JP2009175880A - Information processing apparatus and program - Google Patents
Information processing apparatus and program Download PDFInfo
- Publication number
- JP2009175880A JP2009175880A JP2008011849A JP2008011849A JP2009175880A JP 2009175880 A JP2009175880 A JP 2009175880A JP 2008011849 A JP2008011849 A JP 2008011849A JP 2008011849 A JP2008011849 A JP 2008011849A JP 2009175880 A JP2009175880 A JP 2009175880A
- Authority
- JP
- Japan
- Prior art keywords
- data
- encryption
- encryption method
- recorded
- recording
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
Description
本発明は、データ記録装置に対して暗号化されたデータの書き込み及び読み出しを行うことが可能な情報処理装置及びその情報処理装置に適用されるプログラムに関する。 The present invention relates to an information processing apparatus capable of writing and reading encrypted data to and from a data recording apparatus, and a program applied to the information processing apparatus.
従来、ハードディスクなどのデータ記録装置に記録するデータの安全性を確保するために、外部装置から書き込み要求されたデータを上記データ記録装置に書き込む際に当該データを所定の暗号方式により暗号化した上で上記データ記録装置に記録する処理を行う装置がある。ここでは、このような装置を暗号化記録装置と呼ぶ。 Conventionally, in order to ensure the safety of data recorded in a data recording device such as a hard disk, when data requested to be written from an external device is written into the data recording device, the data is encrypted by a predetermined encryption method. There is an apparatus for performing a process of recording in the data recording apparatus. Here, such a device is called an encryption recording device.
暗号化記録装置は、外部装置とデータ記録装置との間に設置されるものであり、外部装置からデータ記録装置へのデータの入力時にはそのデータを所定の暗号方式により暗号化し、データ記録装置から外部装置へのデータの出力時にはそのデータを復号する処理を行う。この場合、データ記録装置を利用する外部装置は、暗号化記録装置が介在しない場合のデータ記録装置へのアクセスと同様なアクセスを行って所望のデータ書き込みを実現することができる。 The encryption recording device is installed between the external device and the data recording device. When data is input from the external device to the data recording device, the data is encrypted by a predetermined encryption method, and the data recording device When data is output to the external device, the data is decrypted. In this case, an external device that uses the data recording device can implement desired data writing by performing the same access as the access to the data recording device without the encryption recording device.
データの暗号化に用いる暗号方式は、暗号化に使用する暗号アルゴリズムと暗号化の際に使用する暗号鍵により決まる。暗号アルゴリズムの例としては、共通鍵暗号方式であるAES(Advanced Encryption Standard)やDES(Data Encryption Standard)などが良く知られている。暗号鍵については、例えばAESの場合、128ビット,192ビット,256ビットのランダムな値から選択することができる。 The encryption method used for data encryption is determined by the encryption algorithm used for encryption and the encryption key used for encryption. As examples of encryption algorithms, AES (Advanced Encryption Standard) and DES (Data Encryption Standard), which are common key cryptosystems, are well known. For example, in the case of AES, the encryption key can be selected from random values of 128 bits, 192 bits, and 256 bits.
データを長期間に渡りデータ記録装置に保存する場合、暗号化に用いる暗号アルゴリズムの危殆化や鍵漏洩のリスクが問題となることがある。例えば、先に述べたDESは長く暗号アルゴリズムのデファクトスタンダードとして使用されてきたが、近年は計算機技術の進展によりその強度が問題視されており、AESなどの次世代の暗号方式に移行することが要求されている。また、同じ暗号アルゴリズムを用いた場合にも、頻繁に鍵を更新することや、より長い鍵長の鍵を使用することを要求される場合がある。 When data is stored in a data recording device for a long period of time, there are cases where the encryption algorithm used for encryption is compromised and the risk of key leakage becomes a problem. For example, the DES described above has long been used as the de facto standard for cryptographic algorithms, but in recent years, its strength has been seen as a problem due to the advancement of computer technology, and it is possible to shift to next-generation cryptographic methods such as AES. It is requested. Even when the same encryption algorithm is used, it may be required to update the key frequently or to use a key having a longer key length.
以上の理由により、運用中の記録されているデータが暗号化済みの記録装置に対して、暗号化に用いる暗号アルゴリズムや暗号鍵といった暗号方式を変更することが要求される場合がある。暗号方式の変更時には、暗号化記録装置は、記録装置に記録されたデータを読み出し暗号方式変更前の暗号方式で復号した上で、変更後の暗号方式で暗号化し再度記録し直すという操作が必要となる。これをデータの再暗号化と呼ぶ。 For the above reasons, there is a case where it is required to change the encryption method such as the encryption algorithm and encryption key used for encryption for the recording apparatus in which the recorded data being operated is already encrypted. When changing the encryption method, the encryption recording device needs to read the data recorded in the recording device, decrypt it with the encryption method before changing the encryption method, encrypt it with the changed encryption method, and re-record it. It becomes. This is called data re-encryption.
特許文献1には、暗号方式の更新が発生した場合にデータを再暗号化する方式が提案されている。この方式では、再暗号化中であってもデータ記録装置内のデータにアクセス可能な点が特徴的である。
近年、ストレージシステムに記録する情報としては、テキストデータだけでなく音声・画像などのマルチメディアデータが増えており、ストレージシステムの容量は益々巨大化する傾向にあり、テラバイト、ペタバイトクラスのストレージシステムも珍しくない。大規模ストレージシステムの場合、暗号方式の変更に伴う再暗号化に要する時間も膨大であり、処理効率の低下が問題となる。また、再暗号化に長時間を要する場合、再暗号化が終了するまでは暗号方式変更前の古い暗号方式で暗号化されたデータがストレージ内に残ってしまうため、安全性の面から好ましくないという問題がある。 In recent years, as data to be recorded in storage systems, not only text data but also multimedia data such as voice and images are increasing, and the capacity of storage systems is becoming increasingly larger, and terabyte and petabyte class storage systems are also increasing. Not uncommon. In the case of a large-scale storage system, the time required for re-encryption due to the change of the encryption method is enormous, and a decrease in processing efficiency becomes a problem. Also, if re-encryption takes a long time, data encrypted with the old encryption method before changing the encryption method will remain in the storage until the re-encryption is completed. There is a problem.
本発明は上記実情に鑑みてなされたものであり、データ記録装置に記録されているデータの再暗号化を効果的に行うことが可能な情報処理装置およびプログラムを提供することを目的とする。 The present invention has been made in view of the above circumstances, and an object thereof is to provide an information processing apparatus and program capable of effectively re-encrypting data recorded in a data recording apparatus.
本発明に係る情報処理装置は、データ記録装置に対して暗号化されたデータの書き込み及び読み出しを行うことが可能な情報処理装置であって、前記データ記録装置に記録するデータを第1の暗号方式で暗号化するための第1の暗号アルゴリズム及び第1の暗号鍵を記録する第1の暗号方式記録手段と、前記データ記録装置に記録するデータを第2の暗号方式で暗号化するための第2の暗号アルゴリズム及び第2の暗号鍵を記録する第2の暗号方式記録手段と、前記第1の暗号方式記録手段に記録された第1の暗号アルゴリズム及び第1の暗号鍵を用いて、又は前記第2の暗号方式記録手段に記録された第2の暗号アルゴリズム及び第2の暗号鍵を用いて、前記データ記録装置に記録するデータの暗号化、又は前記データ記録装置から読み出したデータの復号を行う暗号処理手段と、前記データ記録装置に記録したデータの利用履歴を記録する利用履歴記録手段と、前記第1の暗号方式で暗号化されて前記データ記録装置に記録された個々のデータに対し、前記第1の暗号方式で復号してから前記第2の暗号方式で暗号化する処理を行う順番を、少なくとも前記利用履歴記録手段に記録された利用履歴に基づいて決定するスケジューリング手段とを具備することを特徴とする。 An information processing apparatus according to the present invention is an information processing apparatus capable of writing and reading encrypted data to and from a data recording apparatus, wherein the data to be recorded in the data recording apparatus is a first encryption A first encryption method recording means for recording a first encryption algorithm and a first encryption key for encryption by a method, and a second encryption method for encrypting data to be recorded in the data recording device. Using the second encryption method recording means for recording the second encryption algorithm and the second encryption key, and the first encryption algorithm and the first encryption key recorded in the first encryption method recording means, Alternatively, using the second encryption algorithm and the second encryption key recorded in the second encryption method recording means, encryption of data to be recorded in the data recording device or reading from the data recording device An encryption processing means for decrypting the recorded data; a usage history recording means for recording a usage history of the data recorded in the data recording device; and the data encrypted by the first encryption method and recorded in the data recording device The order in which individual data is decrypted by the first encryption method and then encrypted by the second encryption method is determined based on at least the usage history recorded in the usage history recording means. And a scheduling means.
また、本発明に係る情報処理装置は、データ記録装置に対して暗号化されたデータの書き込み及び読み出しを行うことが可能な情報処理装置であって、前記データ記録装置に記録するデータを第1の暗号方式で暗号化するための第1の暗号アルゴリズム及び第1の暗号鍵を記録する第1の暗号方式記録手段と、前記データ記録装置に記録するデータを第2の暗号方式で暗号化するための第2の暗号アルゴリズム及び第2の暗号鍵を記録する第2の暗号方式記録手段と、前記第1の暗号方式記録手段に記録された第1の暗号アルゴリズム及び第1の暗号鍵を用いて、又は前記第2の暗号方式記録手段に記録された第2の暗号アルゴリズム及び第2の暗号鍵を用いて、前記データ記録装置に記録するデータの暗号化、又は前記データ記録装置から読み出したデータの復号を行う暗号処理手段と、前記データ記録装置に記録したデータの重要度を記録するデータ重要度記録手段と、前記第1の暗号方式で暗号化されて前記データ記録装置に記録されている個々のデータに対し、前記第1の暗号方式で復号してから前記第2の暗号方式で暗号化する処理を行う順番を、少なくとも前記データ重要度記録手段に記録された重要度に基づいて決定するスケジューリング手段とを具備することを特徴とする。 An information processing apparatus according to the present invention is an information processing apparatus capable of writing and reading encrypted data to and from a data recording apparatus, and stores data to be recorded in the data recording apparatus in a first manner. A first encryption method recording means for recording a first encryption algorithm and a first encryption key for encryption using the encryption method, and data to be recorded in the data recording device is encrypted using a second encryption method. Second encryption method recording means for recording a second encryption algorithm and a second encryption key for use, and the first encryption algorithm and the first encryption key recorded in the first encryption method recording means Or using the second encryption algorithm and the second encryption key recorded in the second encryption method recording means, or encrypting data to be recorded in the data recording device, or from the data recording device An encryption processing means for decrypting the extracted data; a data importance recording means for recording the importance of the data recorded in the data recording apparatus; and the data recording apparatus encrypted by the first encryption method. The importance level recorded in at least the data importance level recording means is the order in which the recorded data is decrypted by the first encryption method and then encrypted by the second encryption method. Scheduling means for determining based on the above.
本発明によれば、データ記録装置に記録されているデータの再暗号化を効果的に行うことが可能となる。 According to the present invention, it is possible to effectively re-encrypt data recorded in a data recording apparatus.
以下、本発明の各実施形態について図面を用いて説明する。
(第1の実施形態)
最初に、本発明の第1の実施形態について説明する。
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
(First embodiment)
First, a first embodiment of the present invention will be described.
図1は、本発明の第1の実施形態に係る情報処理システムの構成の一例を示す図である。なお、ここでの説明は、この第1の実施形態のみならず、後述する第2の実施形態〜第4の実施形態にも適用されるものである。 FIG. 1 is a diagram illustrating an example of a configuration of an information processing system according to the first embodiment of the present invention. The description here applies not only to the first embodiment, but also to the second to fourth embodiments described later.
情報処理システムは、暗号化記録装置1、データ記録装置2、及び外部装置3を含む。この情報処理システムにおいては、例えば、暗号化記録装置1が各種情報のデータベースとしてデータ記録装置2を使用するサーバとして機能し、外部装置3がクライアントとして機能するように構成することが可能である。なお、これらの装置1,2,3を含む情報処理システム全体を、1つの情報処理装置として実現することも可能である。
The information processing system includes an
暗号化記録装置1は、例えばパーソナルコンピュータや映像記録再生装置などの情報処理装置に相当するものであり、データ記録装置2及び外部装置3に接続される。この暗号化記録装置1は、外部装置3からのデータの書き込み要求に応じてその外部装置3から供給されるデータを所定の暗号方式で暗号化した上でデータ記録装置2に記録したり、外部装置3からのデータの読み出し要求に応じてデータ記録装置2に記録されているデータを読み出して所定の暗号方式で復号した上でそのデータを外部装置3へ供給したりすることができる。
The
特に、この暗号化記録装置1は、第1の暗号方式(例えば、DES方式)で暗号化されてデータ記録装置2内に記録されているデータを、状況に応じて、第2の暗号方式(例えば、AES方式)で暗号化されたデータに効果的に更新する機能、即ち、第1の暗号方式で暗号化されてデータ記録装置2内に記録されている個々のデータに対し、当該第1の暗号方式で復号してから第2の暗号方式で再暗号化する処理を効果的に行う機能を備えている。
In particular, the
データ記録装置2は、例えばハードディスクなどの不揮発性のストレージ装置に相当するものであり、暗号化記録装置1により暗号化されたデータを記録する。
The
外部装置3は、例えばパーソナルコンピュータや、情報携帯端末、携帯電話機などの情報処理装置に相当するものであり、暗号化記録装置1にアクセスして、データ記録装置2に対するデータの書き込みや読み出しを要求することができる。
The
暗号化記録装置1は、制御部11、データ入出力部12、利用履歴記録部13、データ管理部14、ポリシー記録部15、スケジューリング部16、暗号処理部17、第1の暗号方式記録部18(以下、「暗号方式1記録部18」と呼ぶ)、第2の暗号方式記録部19(以下、「暗号方式2記録部19」と呼ぶ)などの各種機能を有する。
The
制御部11は、暗号化記録装置1の全体の動作を制御するものであり、プロセッサがOS(Operating System)のもとで動作するコンピュータプログラムを実行するにより実現される機能である。
The
データ入出力部12は、外部装置3からのデータ記録装置2に対するデータの書き込み要求を受け付けて当該データを制御部11へ送ったり、外部装置3からのデータ記録装置2内のデータの読み出し要求を受け付けて当該データを制御部11から外部装置3へ送ったりするものである。
The data input /
利用履歴記録部13は、データ記録装置2に記録したデータの利用履歴を記録するものである。この利用履歴は、データ記録装置2に記録するデータの物理的あるいは論理的な単位ごとに記録する。物理的な単位とは例えばハードディスク装置におけるレコード単位であり、論理的な単位とは例えばファイル単位である。利用履歴には、データ毎に、当該データのアクセス日時、アクセス種別、データの識別名などの一般的な情報ほか、当該データに対するアクセス頻度を示す情報が含まれる。アクセス頻度は、この第1の実施形態においては、「当該データに対するアクセス回数/データ記録装置2に対する総アクセス回数」で表現されるものとする。
The usage
データ管理部14は、データ記録装置2に記録された個々のデータが、第1の暗号方式で記録されたものであるか、第2の暗号方式で記録されたものであるか、をデータ毎に示す暗号方式種別情報を記録し、それらを管理するものである。
The
ポリシー記録部15は、再暗号化を実施すべきデータの順番を決めるスケジューリングを行う上でスケジューリング部16が必要とするスケジューリングポリシー(どのような方針でスケジューリングを行うべきかを示す情報)を記録するものである。
The
スケジューリング部16は、利用履歴記録部13に記録された利用履歴、ポリシー記録部15に記録されたスケジューリングポリシー、及び、データ管理部14に記録された暗号方式種別情報に基づき、再暗号化時にどのデータから再暗号化を行べきかを示す順番を決めるスケジューリングを行うものである。
Based on the usage history recorded in the usage
暗号処理部17は、第1の暗号方式又は第2の暗号方式により、データ記録装置2に記録するデータの暗号化、又はデータ記録装置2から読み出したデータの復号を行うものである。
The
暗号方式1記録部18は、データ記録装置2に記録するデータを第1の暗号方式で暗号化するための第1の暗号アルゴリズム(プログラム)及びこれに使用する第1の暗号鍵を記録するものである。
The
暗号方式2記録部19は、データ記録装置2に記録するデータを第2の暗号方式で暗号化するための第2の暗号アルゴリズム(プログラム)及びこれに使用する第2の暗号鍵を記録するものである。
The
ここでは、便宜上、暗号方式1記録部18と暗号方式2記録部19とを分けた構成としているが、それぞれの暗号方式を決定付ける暗号アルゴリズム及び暗号鍵のうち、暗号アルゴリズムが共通している場合には当該暗号アルゴリズムを記録するための記憶領域を1つとすることができる。
Here, for the sake of convenience, the
次に、図2を参照して、暗号化記録装置1における通常使用状態及び再暗号化状態について説明する。なお、ここでの説明は、この第1の実施形態のみならず、後述する第2の実施形態〜第5の実施形態にも適用されるものである。
Next, a normal use state and a re-encryption state in the
暗号化記録装置1は、動作中において、通常使用状態及び再暗号化状態のいずれか一方の状態を取る。通常使用状態は、暗号方式1記録部18に第1の暗号方式に相当する第1の暗号アルゴリズム及び第1の暗号鍵が記録されており、データ記録装置2に記録されている全てのデータが第1の暗号方式で暗号化されている状態である。このとき、暗号方式2記録部19には第2の暗号方式に相当する第2の暗号アルゴリズム及び第2の暗号鍵はまだ記録されていない。
During operation, the
再暗号化に用いる第2の暗号方式に相当する第2の暗号アルゴリズム及び第2の暗号鍵が、例えば外部装置3からデータ入出力部12を経由して入力され、制御部11により暗号方式2記録部19に記録されると、暗号化記録装置1は再暗号化状態に移行する。再暗号化状態において、データ記録装置2に記録される全てのデータが第2の暗号方式で再暗号化されると、再び通常使用状態に移行する。このとき、暗号方式1記録部18に記録されていた第1の暗号アルゴリズム及び第1の暗号鍵は制御部11により消去され、暗号方式2記録部19に記録されていた第2の暗号アルゴリズム及び第2の暗号鍵が制御部11により暗号方式1記録部18に移される。
A second encryption algorithm and a second encryption key corresponding to the second encryption method used for re-encryption are input from, for example, the
次に、図3〜図5を参照して、暗号化記録装置1が通常使用状態から再暗号化状態データ管理部14へ移行するにつれてデータ管理部14に管理されている暗号方式種別情報がどのように変化していくかを説明する。なお、ここでの説明は、この第1の実施形態のみならず、後述する第2の実施形態〜第5の実施形態にも適用されるものである。以下の説明では、便宜上、第1の暗号方式を「暗号方式1」と呼び、第2の暗号方式を「暗号方式2」と呼ぶ。
Next, referring to FIG. 3 to FIG. 5, which encryption method type information is managed by the
暗号化記録装置1が、再暗号化開始状態を含む通常使用状態にあるとき、暗号化記録装置1内の全てのデータ(例えば、データA,データB,データC,データD,データE)は、暗号方式1で暗号化されている。このとき、図3に示されるように、データ管理部14に管理されている暗号方式種別情報は、データA,データB,データC,データD,データEがそれぞれ暗号方式1で暗号化された状態であることを示す。
When the
暗号化記録装置1が再暗号化中のとき、つまり再暗号化状態にあるときには、暗号化記録装置1内には暗号方式1で暗号化されたデータと暗号方式2で暗号化されたデータとが混在している。このとき、図4に示されるように、データ管理部14に管理されている暗号方式種別情報は、例えばデータA,データCがまだ暗号方式1で暗号化された状態のままで、一方、データB,データD,データEが暗号方式2で再暗号化された状態となっていることを示す。
When the
暗号化記録装置1が再暗号化を終了したときは、暗号化記録装置1内の全てのデータA,データB,データC,データD,データEは、暗号方式2で暗号化されている。このとき、図5に示されるように、データ管理部14に管理されている暗号方式種別情報は、データA,データB,データC,データD,データEがそれぞれ暗号方式2で暗号化された状態であることを示す。
When the
次に、図6を参照して、第1の実施形態に係るスケジューリングの一例を説明する。 Next, an example of scheduling according to the first embodiment will be described with reference to FIG.
この第1の実施形態では、「アクセス頻度の低いデータから順に再暗号化を実施する」ことを示すスケジューリングポリシーがポリシー記録部15に記録されている。このため、スケジューリング部16は、このスケジューリングポリシーに従い、アクセス頻度の低いデータから順に再暗号化を実施するためのスケジューリングを行う。なお、上記スケジューリングポリシーの内容は、図示しない入力装置等を通じて変更することが可能である。
In the first embodiment, a scheduling policy indicating that “re-encryption is performed in order from data with lower access frequency” is recorded in the
利用履歴記録部13内のデータの利用履歴は、前述したように、データ記録装置2に記録するデータの物理的あるいは論理的な単位ごとに記録される。図6の例では、上記単位に基づき、データの利用履歴における各データの識別名をデータA、データB、データC、・・・と表記している。各データの下には、各データへのアクセス頻度が分数で示されている。分数の分母は当該データがデータ記録装置2に記録されたとき以降のデータ記録装置2への総アクセス回数を示し、分子はそのうち当該データへアクセスした回数を示している。
As described above, the usage history of data in the usage
図6の例では、左側よりアクセス頻度が大きい順にデータが並べられている。右側のデータほどアクセス頻度が低く、再暗号化中に当該データへのアクセスが生じる可能性が低いため、再暗号化を行う優先度が高くなる。 In the example of FIG. 6, data is arranged in descending order of access frequency from the left side. The data on the right side has a lower access frequency and is less likely to be accessed during re-encryption, so the priority for re-encryption is higher.
例えば、状態1では、今までデータ記録装置2へのアクセス回数が10回あり、そのうち4回がデータB、3回がデータA、2回がデータD、1回がデータCへのアクセスであることを示している。
For example, in
ここで、データEの書き込み要求などのアクセスが発生し、データの利用履歴にデータEの情報が追加されると、状態2のように遷移する。状態2では、データA、データB、データC、データDへのアクセス頻度に変化はなく、データEが追加されている。データEのアクセス頻度は1/1としている。
Here, when an access such as a write request for data E occurs and the information of data E is added to the data usage history, a transition is made as in
次に、データCの読み出し要求などのアクセスが発生すると、状態3に遷移する。状態3では、それぞれのデータについて分母の総アクセス回数が1ずつ加算され、分子についてはデータCのみ1が加算されている。
Next, when an access such as a read request for data C occurs, the state transits to
次に、データBの読み出し要求などのアクセスが発生すると、状態4に遷移する。状態4では、それぞれのデータについて分母の総アクセス回数が1ずつ加算され、分子についてはデータBのみ1が加算されている。すなわち、データEのアクセス頻度よりもデータBのアクセス頻度の方が大きくなったため、データBとデータEのデータの並びが入れ替わっている。
Next, when an access such as a read request for data B occurs, the state transits to
このようにアクセス頻度が分数で表現される場合、例えば「1/2」と「5/10」のように、比率が同じであっても、各データに対するアクセス数や総アクセス数が異なるものが生じる場合が考えられる。その場合、「1/2」よりも「5/10」の方が、多くのアクセス数に基づく統計結果が反映されており、また、データ記録装置2に対して次のアクセスがあった場合に当該データのアクセス頻度は大きく変動することはないため、信頼性や正確性が高いとみなすことができる。一方、「1/2」の方は、データ記録装置2に対する総アクセス数が2回だけという状況でアクセス頻度を算出しており、また、データ記録装置2に対して次のアクセスがあった場合に当該データのアクセス頻度は大きく変動するため、信頼性や正確性が低いとみなすことができる。このような場合、アクセス頻度が「1/2」のデータよりも、アクセス頻度が「5/10」のデータの方が優先的に再暗号化されるようスケジューリングすることが望ましい。
When the access frequency is expressed as a fraction in this way, for example, “1/2” and “5/10”, even if the ratio is the same, the number of accesses to each data and the total number of accesses are different. It may occur. In that case, the statistical result based on the larger number of accesses is reflected in “5/10” than in “1/2”, and when the next access to the
次に、図7を参照して、暗号化記録装置1が通常使用状態にあるときの基本的な動作について説明する。なお、ここでの説明は、この第1の実施形態のみならず、後述する第2の実施形態〜第5の実施形態にも適用されるものである。
Next, a basic operation when the
まず、図7(a)を参照して、データ読み出し要求があった場合の動作について説明する。 First, with reference to FIG. 7A, an operation when a data read request is made will be described.
外部装置3からデータ読み出し要求があった場合、制御部11は、読み出し要求されたデータをデータ記憶部2から読み出し(ステップS11)、暗号処理部17により当該データを暗号方式1で復号する(ステップS12)。この復号したデータを外部装置3へ出力し(ステップS13)、利用履歴記録部13内の利用履歴に当該データ読み出しの履歴を追加して更新し(ステップS14)、データ読み出しの処理を完了する。
When there is a data read request from the
次に、図7(b)を参照して、データ書き込み要求があった場合の動作について説明する。 Next, with reference to FIG. 7B, an operation when there is a data write request will be described.
外部装置3からデータ書き込み要求があった場合、制御部11は、その書き込み要求されたデータを暗号処理部17により暗号方式1で暗号化する(ステップS15)。この暗号化したデータをデータ記憶部2へ書き込み(ステップS16)、利用履歴記録部13内の利用履歴に当該データ書き込みの履歴を追加して更新すると共に、データ管理部14に当該データを暗号方式1で暗号化したことを示す情報を登録し(ステップS17)、データ書き込みの処理を完了する。
When there is a data write request from the
次に、図8を参照して、暗号化記録装置1が再暗号化状態にあるときの再暗号化の動作について説明する。なお、ここでの説明は、この第1の実施形態のみならず、後述する第2の実施形態や第3の実施形態にも適用されるものである。
Next, the re-encryption operation when the
制御部11は、暗号方式2記録部19に新しい暗号方式に対応する暗号アルゴリズム及び暗号鍵を記録すると、暗号化記録装置1は通常使用状態から再暗号化状態に移行し、データ記録装置2に記録されている全てのデータの暗号方式を新しい暗号方式に効果的に変更するための再暗号化の処理を開始する。
When the
データの暗号方式変更中においても外部装置3からのデータ読み出し要求やデータ書き込み要求が発生する可能性があるため、制御部11はそれらの要求があるかどうかの監視を行う(ステップS21)。
Since there is a possibility that a data read request or a data write request from the
なお、データ書き込み要求が発生した場合の動作は、前述の図7(b)で説明した通常使用状態のときの動作と同様である。但し、通常使用状態のときはステップS15においてデータを暗号方式1で暗号化したが、再暗号化状態のときは暗号方式2で暗号化する。
The operation when a data write request is generated is the same as the operation in the normal use state described with reference to FIG. However, in the normal use state, the data is encrypted by the
外部装置3からデータの読み出し要求があった場合(ステップS22の「読み出し要求あり」の場合)、制御部11は、読み出し要求されたデータをデータ記録装置2から読み出し(ステップS23)、データ管理部14により当該データが暗号方式1と暗号方式2のいずれで暗号化されているかを判別する(ステップS24)。
When there is a data read request from the external device 3 (in the case of “read request” in step S22), the
データが暗号方式1で暗号化されている場合(ステップS25の「暗号方式1により暗号化されている」の場合)、制御部11は、当該データを暗号処理部17により暗号方式1で復号する(ステップS26)。次いで、制御部11は、この復号したデータを暗号処理部17により暗号方式2で暗号化し(ステップS27)、データ記録装置2に書き戻し(すなわち、データ記録装置2内の該当するデータを置き換え)(ステップS28)、データ管理部14に当該データが暗号方式2で記録されている旨を記録する(すなわち、暗号方式1から暗号方式2へ変更した旨を記録する)(ステップS29)。また、制御部11は、ステップS26において復号したデータをデータ入出力部12を通じて外部装置3へ出力する(ステップS31)。なお、このステップS31の処理は、上記ステップS26の処理の直後に行うようにしてもよい。
When the data is encrypted with the encryption method 1 (in the case of “encrypted with the
一方、データが暗号方式2で暗号化されている場合(ステップS25の「暗号方式2により暗号化されている」の場合)、制御部11は、当該データを暗号処理部17により暗号方式2で復号し(ステップS30)、データ入出力部12を通じて外部装置3へ出力する(ステップS31)。
On the other hand, when the data is encrypted by the encryption method 2 (in the case of “encrypted by the
上述のステップS22において、外部装置3からデータの読み出し要求も書き込み要求もない場合(ステップS22の「読み出し要求なし」の場合)、制御部11は、スケジューリング部16を通じて、利用履歴記録部13に記録されたデータの利用履歴に基づきアクセス頻度の低いものから順にデータを取得し(ステップS32)、当該データが暗号方式1と暗号方式2のいずれの暗号方式で暗号化されているかをデータ管理部14により判定する(ステップS33)。
In step S22 described above, when there is no data read request or write request from the external device 3 (in the case of “no read request” in step S22), the
データが暗号方式1により暗号化されている場合(ステップS34の「暗号方式1により暗号化されている」の場合)、制御部11は、当該データをデータ記録装置2から読み出し(ステップS35)、この読み出したデータを暗号処理部17により暗号方式1で復号し(ステップS36)、この復号したデータを暗号処理部17により暗号方式2で暗号化し(ステップS37)、この暗号化したデータをデータ記録装置2に書き戻し(すなわち、データ記録装置2内の該当するデータを置き換え)(ステップS38)、データ管理部14に当該データが暗号方式2で記録されている旨を記録する(すなわち、暗号方式1から暗号方式2へ変更した旨を記録する)(ステップS39)。
When the data is encrypted by the encryption method 1 (in the case of “encrypted by the
一方、データが暗号方式2で暗号化されている場合(ステップS34の「暗号方式2により暗号化されている」の場合)、当該データを再び暗号方式2で暗号化する必要はない。
On the other hand, when the data is encrypted by the encryption method 2 (in the case of “encrypted by the
このような一連の処理を行った後、制御部11は、データ管理部14に暗号方式1で暗号化されているデータの情報があるか否かを判定する(ステップS41)。存在する場合(ステップS41の「あり」)、前述のステップS21からの処理を繰り返し、存在しない場合(ステップS41の「なし」)、制御部11は、暗号方式2記録部19に記録されている第2の暗号アルゴリズム及び第2の暗号鍵を暗号方式1記録部18に移動し、暗号方式1記録部18内の第1の暗号アルゴリズム及び第1の暗号鍵を第2の暗号アルゴリズム及び第2の暗号鍵で置き換え(ステップS42)、暗号方式の変更が発生していない通常使用状態へ移行する。
After performing such a series of processes, the
このように第1の実施形態によれば、データ記録装置2内のデータを先頭から順次再暗号化していく場合に比べ効率的に再暗号化を実施することができる。すなわち、アクセス頻度の高いデータは、データ記録装置2内のデータの再暗号化中にも外部装置3から読み出し要求が発生する可能性が高く、そのデータ読み出し時には通常の読み出し時の復号が行われるため、そのときに、ついでに当該復号されたデータを暗号方式2で暗号化することにより、全体としてはデータの頭から順次暗号方式の変更を行う場合に比べ効率的に暗号方式の変更を行うことができる。
As described above, according to the first embodiment, re-encryption can be performed more efficiently than when data in the
(第2の実施形態)
次に、本発明の第2の実施形態について説明する。なお、前述した第1の実施形態と共通する部分の説明を省略し、異なる部分について説明する。
(Second Embodiment)
Next, a second embodiment of the present invention will be described. In addition, description of the part which is common in 1st Embodiment mentioned above is abbreviate | omitted, and a different part is demonstrated.
本発明の第2の実施形態に係る情報処理システムの構成及び動作は、基本的には、第1の実施形態に係る情報処理システムの構成及び動作と同様である。但し、利用履歴記録部13に利用履歴の一部として記録されるデータ毎のアクセス頻度の定義が、第1の実施形態の場合とは異なる。
The configuration and operation of the information processing system according to the second embodiment of the present invention are basically the same as the configuration and operation of the information processing system according to the first embodiment. However, the definition of the access frequency for each data recorded as a part of the usage history in the usage
すなわち、第1の実施形態におけるアクセス頻度が「当該データに対するアクセス回数/データ記録装置2に対する総アクセス回数」で表現されるのに対し、第2の実施形態におけるアクセス頻度は単純に「当該データに対するアクセス回数」で表現される。
That is, the access frequency in the first embodiment is expressed by “the number of accesses to the data / the total number of accesses to the
このようにアクセス頻度の定義が異なることから、第2の実施形態に係るスケジューリングの手法は、図6に示した第1の実施形態に係るスケジューリングの手法とは異なる。 Since the definition of the access frequency is thus different, the scheduling method according to the second embodiment is different from the scheduling method according to the first embodiment shown in FIG.
図9に、第2の実施形態に係るスケジューリングの一例を示す。 FIG. 9 shows an example of scheduling according to the second embodiment.
この図9の例においても、左側よりアクセス頻度が大きい順にデータが並べられている。右側のデータほどアクセス頻度が低く、再暗号化を行う優先度が高くなる。但し、ここでのアクセス頻度はアクセス回数で表現されている。 In the example of FIG. 9 as well, data is arranged in descending order of access frequency from the left side. The data on the right side has a lower access frequency and a higher priority for re-encryption. However, the access frequency here is expressed by the number of accesses.
例えば、状態1では、過去にデータCが1回、データDが2回、データAが3回、データBが4回アクセスされたことを示している。
For example,
ここで、データEの書き込み要求などのアクセスが発生し、データの利用履歴にデータEの情報が追加されると、状態2のように遷移する。状態2ではデータA、データB、データC、データDへのアクセス頻度に変化はなく、データEが追加されている。データEのアクセス頻度は0としている。
Here, when an access such as a write request for data E occurs and the information of data E is added to the data usage history, a transition is made as in
次に、データCの読み出し要求などのアクセスが発生すると、状態3に遷移する。状態3では、データCのみ1が加算されている。
Next, when an access such as a read request for data C occurs, the state transits to
次に、データBの読み出し要求などのアクセスが発生すると、状態4に遷移する。状態4では、データBのみ1が加算されている。
Next, when an access such as a read request for data B occurs, the state transits to
このように第2の実施形態によれば、アクセス頻度を単純に「当該データに対するアクセス回数」で表現した場合にも、第1の実施形態と同様の効果を得ることができる。 As described above, according to the second embodiment, even when the access frequency is simply expressed by “the number of accesses to the data”, the same effect as that of the first embodiment can be obtained.
(第3の実施形態)
次に、本発明の第3の実施形態について説明する。なお、前述した第1の実施形態や第2の実施形態と共通する部分の説明を省略し、異なる部分について説明する。
(Third embodiment)
Next, a third embodiment of the present invention will be described. In addition, description of the part which is common in 1st Embodiment and 2nd Embodiment mentioned above is abbreviate | omitted, and a different part is demonstrated.
本発明の第3の実施形態に係る情報処理システムの構成及び動作は、基本的には、第1の実施形態や第2の実施形態に係る情報処理システムの構成及び動作と同様である。但し、利用履歴記録部13に利用履歴の一部として記録されるデータ毎のアクセス頻度の定義が、第1の実施形態や第2の実施形態の場合とは異なる。
The configuration and operation of the information processing system according to the third embodiment of the present invention are basically the same as the configuration and operation of the information processing system according to the first embodiment and the second embodiment. However, the definition of the access frequency for each data recorded as a part of the usage history in the usage
すなわち、第3の実施形態におけるアクセス頻度は「アクセス順」(アクセスがあった時以降の経過時間が短い順)として表現される。このアクセス順は、例えば、利用履歴記録部13に利用履歴の一部として記録されるデータ毎のアクセス日時などの情報に基づいて決めることができる。このようにアクセス頻度の定義が異なることから、第3の実施形態に係るスケジューリングの手法は、図6に示した第1の実施形態に係るスケジューリングの手法や、図9に示した第2の実施形態に係るスケジューリングの手法とは異なる。
That is, the access frequency in the third embodiment is expressed as “access order” (order in which the elapsed time after the access is short). This access order can be determined based on information such as the access date and time for each data recorded in the usage
図10に、第3の実施形態に係るスケジューリングの一例を示す。 FIG. 10 shows an example of scheduling according to the third embodiment.
この図10の例においては、左側にあるデータほど直近で読み出しアクセスがあったものであることを示している。右側のデータほどアクセスが生じる可能性が低く、再暗号化を行う優先度が高くなる。 In the example of FIG. 10, the data on the left side indicates that the most recent read access was made. The data on the right side is less likely to be accessed, and the priority for re-encryption is higher.
例えば、状態1では、データC、データD、データA、データBの順でアクセスされたことを示している。
For example,
ここで、データEの書き込み要求などのアクセスが発生し、データの利用履歴にデータEの情報が追加されると、状態2のように遷移する。
Here, when an access such as a write request for data E occurs and the information of data E is added to the data usage history, a transition is made as in
次に、データCの読み出し要求などのアクセスが発生すると、状態3に遷移する。
Next, when an access such as a read request for data C occurs, the state transits to
次に、データBの読み出し要求などのアクセスが発生すると、状態4に遷移する。
Next, when an access such as a read request for data B occurs, the state transits to
このように第3の実施形態によれば、アクセス頻度を「アクセス順」で表現した場合にも、第1の実施形態や第2の実施形態と同様の効果を得ることができる。 As described above, according to the third embodiment, even when the access frequency is expressed in the “access order”, the same effects as those of the first embodiment and the second embodiment can be obtained.
(第4の実施形態)
次に、本発明の第4の実施形態について説明する。なお、前述した第1の実施形態や第2の実施形態と共通する部分の説明を省略し、異なる部分について説明する。
(Fourth embodiment)
Next, a fourth embodiment of the present invention will be described. In addition, description of the part which is common in 1st Embodiment and 2nd Embodiment mentioned above is abbreviate | omitted, and a different part is demonstrated.
本発明の第4の実施形態に係る情報処理システムの構成及び動作は、スケジューリングに係る部分を除けば、第1の実施形態〜第3の実施形態に係る情報処理システムの構成及び動作と同様である。第4の実施形態におけるアクセス頻度の定義としては、第1の実施形態〜第3の実施形態で説明したアクセス頻度の定義のいずれを採用してもよい。 The configuration and operation of the information processing system according to the fourth embodiment of the present invention are the same as the configuration and operation of the information processing system according to the first to third embodiments, except for the portion related to scheduling. is there. As the definition of the access frequency in the fourth embodiment, any of the access frequency definitions described in the first to third embodiments may be adopted.
第1の実施形態〜第3の実施形態と異なる部分は、ポリシー記録部15に記録されているスケジューリングポリシーの内容と、これを使用するスケジューリング部16の処理の内容である。
The difference from the first to third embodiments is the content of the scheduling policy recorded in the
第1の実施形態〜第3の実施形態では、スケジューリングポリシーが「アクセス頻度の低いデータから順に再暗号化を実施する」ことを示すものであったが、この第3の実施形態では、スケジューリングポリシーは「アクセス頻度の高いデータから順に再暗号化を実施する」ことを示すものである。このため、スケジューリング部16は、このスケジューリングポリシーに従い、アクセス頻度の高いデータから順に再暗号化を実施するためのスケジューリングを行う。
In the first to third embodiments, the scheduling policy indicates that “re-encryption is performed in order from the data with the lowest access frequency”. In the third embodiment, the scheduling policy Indicates that “re-encryption is performed in order from the data with the highest access frequency”. Therefore, the
第4の実施形態に係るスケジューリングポリシーは、アクセス頻度の高いデータはよく使用されるのでデータの重要度も高いという考えに基づく。暗号方式の変更前の暗号方式1が危殆化したために暗号方式2に変更する必要が生じた場合には、重要なデータはできる限り早く新しい暗号方式2で再暗号化することが望ましい。その場合、アクセス頻度の高いデータから順に再暗号化を実施することで重要なデータはできる限り早く再暗号化するという目的を効果的に達成できる。
The scheduling policy according to the fourth embodiment is based on the idea that data with high access frequency is often used and therefore the importance of the data is high. When the
次に、図11を参照して、暗号化記録装置1が再暗号化状態にあるときの再暗号化の動作について説明する。
Next, the re-encryption operation when the
図11に示される動作は、ステップS32Aを除けば、図8に示した動作と同様である。すなわち、第1の実施形態〜第3の実施形態では、図8中のステップS32において、利用履歴記録部13に記録されたデータの利用履歴に基づきアクセス頻度の低いものから順にデータを取得したが、この第4の実施形態では、図11中のステップS32Aにおいて、利用履歴記録部13に記録されたデータの利用履歴に基づきアクセス頻度の高いものから順にデータを取得する。
The operation shown in FIG. 11 is the same as the operation shown in FIG. 8 except for step S32A. That is, in the first to third embodiments, data is acquired in order from the lowest access frequency based on the usage history of the data recorded in the usage
このように第4の実施形態によれば、アクセス頻度の高いデータから順に再暗号化を実施することにより、暗号方式に弱点が見つかった場合や古くなり暗号強度が不足した場合などの暗号方式の危殆化に即座に対処でき、重要なデータをできる限り早く新しい暗号方式に変更することができる。 As described above, according to the fourth embodiment, by performing re-encryption in order from the data with the highest access frequency, when the weakness is found in the encryption method or when the encryption method becomes old and the encryption strength is insufficient, Compromise can be dealt with immediately, and important data can be changed to a new cryptosystem as soon as possible.
(第5の実施形態)
次に、本発明の第5の実施形態について説明する。なお、前述した第4の実施形態と共通する部分の説明を省略し、異なる部分について説明する。
(Fifth embodiment)
Next, a fifth embodiment of the present invention will be described. In addition, description of the part which is common in 4th Embodiment mentioned above is abbreviate | omitted, and a different part is demonstrated.
第4の実施形態では、アクセス頻度の高いデータほど重要度が高いという考えに基づき、利用履歴記録部13内の利用履歴に含まれるアクセス頻度の情報を用いて、アクセス頻度の高いデータから順に再暗号化を実施するためのスケジューリングを行う場合を説明したが、第5の実施形態では、アクセス頻度の情報を用いず、代わりにデータ記録装置2に記録された各データに対してあらかじめ設定しておいた重要度の情報を用いて、重要度の高いデータから順に再暗号化を実施するためのスケジューリングを行う。
In the fourth embodiment, based on the idea that data having a higher access frequency has a higher importance level, information on the access frequency included in the usage history in the usage
図12は、本発明の第5の実施形態に係る情報処理システムの構成の一例を示す図である。第1の実施形態〜第4の実施形態では、図1に示されるように利用履歴記録部13が設けられていたが、第5の実施形態では利用履歴記録部13の代わりにデータ重要度管理部20が設けられる。データ重要度管理部20は、データ記録装置2に記録した各データの重要度を記録するものである。この場合、スケジューリング部16は、データ重要度管理部20に記録されたデータ毎の重要度、ポリシー記録部15に記録されたスケジューリングポリシー、及び、データ管理部14に記録された暗号方式種別情報に基づき、再暗号化時にどのデータから再暗号化を行べきかを示す順番を決めるスケジューリングを行うことになる。
FIG. 12 is a diagram illustrating an example of a configuration of an information processing system according to the fifth embodiment of the present invention. In the first to fourth embodiments, the usage
なお、データの重要度は、あらかじめ決定し、データ重要度管理20に記録しておく。データの重要度は、データ単位が追加されるごとに各データに対して手作業で設定しても良いが、以下のような方法が考えられる。
The importance of data is determined in advance and recorded in the
第1の方法としては、あらかじめデータの用途ごとに重要度を設定しておき、データが追加された場合にはあらかじめ設定された重用度を適用する。例えば、データベースが使用する領域、OSが使用する領域など、領域ごとに重要度を設定する。 As a first method, importance is set in advance for each use of data, and when data is added, a preset degree of importance is applied. For example, the importance level is set for each area such as an area used by the database and an area used by the OS.
第2の方法としては、データの種別ごとに重要度を設定する。例えば、テキストファイル、画像ファイル、データベース用ファイルなどの種別ごとにあらかじめ重要度を設定しておき、データが追加された場合にはその重要度を追加されたデータの重要度とする。 As a second method, the importance is set for each type of data. For example, the importance is set in advance for each type of text file, image file, database file, etc., and when data is added, the importance is set as the importance of the added data.
次に、図13を参照して、暗号化記録装置1が再暗号化状態にあるときの再暗号化の動作について説明する。
Next, the re-encryption operation when the
図13に示される動作は、ステップS32Bを除けば、図11に示した動作と同様である。すなわち、第4の実施形態では、図11中のステップS32Aにおいて、利用履歴記録部13に記録されたデータの利用履歴に基づきアクセス頻度の高いものから順にデータを取得したが、この第5の実施形態では、図13中のステップS32Bにおいて、データ重要度管理部20に記録されたデータの重要度に基づき重要度の高いものから順にデータを取得する。
The operation shown in FIG. 13 is the same as the operation shown in FIG. 11 except for step S32B. That is, in the fourth embodiment, in step S32A in FIG. 11, data is acquired in descending order of access frequency based on the usage history of data recorded in the usage
このように第5の実施形態によれば、データのアクセス頻度の代わりに、あらかじめ設定しておいたデータの重要度を用いた場合にも、第4の実施形態と同様の効果を得ることができる。 As described above, according to the fifth embodiment, the same effect as that of the fourth embodiment can be obtained even when the preset importance of data is used instead of the data access frequency. it can.
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。 Note that the method described in the above embodiment includes a magnetic disk (floppy (registered trademark) disk, hard disk, etc.), an optical disk (CD-ROM, DVD, etc.), a magneto-optical disk (MO) as programs that can be executed by a computer. ), And can be distributed in a storage medium such as a semiconductor memory.
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。 In addition, as long as the storage medium can store a program and can be read by a computer, the storage format may be any form.
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。 In addition, an OS (operating system) running on a computer based on an instruction of a program installed in the computer from a storage medium, MW (middleware) such as database management software, network software, and the like realize the above-described embodiment. A part of each process may be executed.
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶又は一時記憶した記憶媒体も含まれる。 Furthermore, the storage medium in the present invention is not limited to a medium independent of a computer, but also includes a storage medium in which a program transmitted via a LAN or the Internet is downloaded and stored or temporarily stored.
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。 Further, the number of storage media is not limited to one, and the case where the processing in the above embodiment is executed from a plurality of media is also included in the storage media in the present invention, and the media configuration may be any configuration.
なお、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。 The computer according to the present invention executes each process in the above-described embodiment based on a program stored in a storage medium, and includes a single device such as a personal computer or a system in which a plurality of devices are connected to a network. Any configuration may be used.
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。 In addition, the computer in the present invention is not limited to a personal computer, but includes an arithmetic processing device, a microcomputer, and the like included in an information processing device, and is a generic term for devices and devices that can realize the functions of the present invention by a program. .
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。 Note that the present invention is not limited to the above-described embodiment as it is, and can be embodied by modifying the constituent elements without departing from the scope of the invention in the implementation stage. Moreover, various inventions can be formed by appropriately combining a plurality of constituent elements disclosed in the embodiment. For example, some components may be deleted from all the components shown in the embodiment. Furthermore, you may combine the component covering different embodiment suitably.
1…暗号化記録装置、2…データ記録装置、3…外部装置、11…制御部、12…データ入出力部、13…利用履歴記録部、14…データ管理部、15…ポリシー記録部、16…スケジューリング部、17…暗号処理部、18…暗号方式1記録部、19…暗号方式2記録部、20…データ重要度管理部。
DESCRIPTION OF
Claims (6)
前記データ記録装置に記録するデータを第1の暗号方式で暗号化するための第1の暗号アルゴリズム及び第1の暗号鍵を記録する第1の暗号方式記録手段と、
前記データ記録装置に記録するデータを第2の暗号方式で暗号化するための第2の暗号アルゴリズム及び第2の暗号鍵を記録する第2の暗号方式記録手段と、
前記第1の暗号方式記録手段に記録された第1の暗号アルゴリズム及び第1の暗号鍵を用いて、又は前記第2の暗号方式記録手段に記録された第2の暗号アルゴリズム及び第2の暗号鍵を用いて、前記データ記録装置に記録するデータの暗号化、又は前記データ記録装置から読み出したデータの復号を行う暗号処理手段と、
前記データ記録装置に記録したデータの利用履歴を記録する利用履歴記録手段と、
前記第1の暗号方式で暗号化されて前記データ記録装置に記録された個々のデータに対し、前記第1の暗号方式で復号してから前記第2の暗号方式で暗号化する処理を行う順番を、少なくとも前記利用履歴記録手段に記録された利用履歴に基づいて決定するスケジューリング手段と
を具備することを特徴とする情報処理装置。 An information processing apparatus capable of writing and reading encrypted data to and from a data recording apparatus,
A first encryption method recording means for recording a first encryption algorithm and a first encryption key for encrypting data to be recorded in the data recording device with a first encryption method;
A second encryption method recording means for recording a second encryption algorithm and a second encryption key for encrypting data to be recorded in the data recording device by a second encryption method;
Using the first encryption algorithm and the first encryption key recorded in the first encryption method recording means, or the second encryption algorithm and the second encryption recorded in the second encryption method recording means Encryption processing means for encrypting data to be recorded in the data recording device or decrypting data read from the data recording device using a key;
Usage history recording means for recording a usage history of data recorded in the data recording device;
The order in which individual data encrypted by the first encryption method and recorded in the data recording apparatus is decrypted by the first encryption method and then encrypted by the second encryption method An information processing apparatus comprising: a scheduling unit that determines at least a usage history recorded in the usage history recording unit.
前記データ記録装置に記録するデータを第1の暗号方式で暗号化するための第1の暗号アルゴリズム及び第1の暗号鍵を記録する第1の暗号方式記録手段と、
前記データ記録装置に記録するデータを第2の暗号方式で暗号化するための第2の暗号アルゴリズム及び第2の暗号鍵を記録する第2の暗号方式記録手段と、
前記第1の暗号方式記録手段に記録された第1の暗号アルゴリズム及び第1の暗号鍵を用いて、又は前記第2の暗号方式記録手段に記録された第2の暗号アルゴリズム及び第2の暗号鍵を用いて、前記データ記録装置に記録するデータの暗号化、又は前記データ記録装置から読み出したデータの復号を行う暗号処理手段と、
前記データ記録装置に記録したデータの重要度を記録するデータ重要度記録手段と、
前記第1の暗号方式で暗号化されて前記データ記録装置に記録されている個々のデータに対し、前記第1の暗号方式で復号してから前記第2の暗号方式で暗号化する処理を行う順番を、少なくとも前記データ重要度記録手段に記録された重要度に基づいて決定するスケジューリング手段と
を具備することを特徴とする情報処理装置。 An information processing apparatus capable of writing and reading encrypted data to and from a data recording apparatus,
A first encryption method recording means for recording a first encryption algorithm and a first encryption key for encrypting data to be recorded in the data recording device with a first encryption method;
A second encryption method recording means for recording a second encryption algorithm and a second encryption key for encrypting data to be recorded in the data recording device by a second encryption method;
Using the first encryption algorithm and the first encryption key recorded in the first encryption method recording means, or the second encryption algorithm and the second encryption recorded in the second encryption method recording means Encryption processing means for encrypting data to be recorded in the data recording device or decrypting data read from the data recording device using a key;
Data importance recording means for recording the importance of data recorded in the data recording device;
The individual data encrypted by the first encryption method and recorded in the data recording device is decrypted by the first encryption method and then encrypted by the second encryption method. An information processing apparatus comprising: scheduling means for determining an order based on at least the importance recorded in the data importance recording means.
第1の暗号方式又は第2の暗号方式により、前記データ記録装置に記録するデータの暗号化、又は前記データ記録装置から読み出したデータの復号を行う機能と、
前記データ記録装置に記録したデータの利用履歴を利用履歴記録手段に記録する機能と、
前記第1の暗号方式で暗号化されて前記データ記録装置に記録されている個々のデータに対し、前記第1の暗号方式で復号してから前記第2の暗号方式で暗号化する処理を行う順番を、少なくとも前記利用履歴記録手段に記録された利用履歴に基づいて決定する機能と
をコンピュータに実現させることを特徴とするプログラム。 A program applied to a computer capable of writing and reading encrypted data to and from a data recording device,
A function of performing encryption of data recorded in the data recording device or decryption of data read from the data recording device by the first encryption method or the second encryption method;
A function of recording a usage history of data recorded in the data recording device in a usage history recording means;
The individual data encrypted by the first encryption method and recorded in the data recording device is decrypted by the first encryption method and then encrypted by the second encryption method. A program for causing a computer to realize a function of determining an order based on at least the usage history recorded in the usage history recording means.
第1の暗号方式又は第2の暗号方式により、前記データ記録装置に記録するデータの暗号化、又は前記データ記録装置から読み出したデータの復号を行う機能と、
前記データ記録装置に記録したデータの重要度をデータ重要度記録手段に記録する機能と、
前記第1の暗号方式で暗号化されて前記データ記録装置に記録されている個々のデータに対し、前記第1の暗号方式で復号してから前記第2の暗号方式で暗号化する処理を行う順番を、少なくとも前記データ重要度記録手段に記録された重要度に基づいて決定する機能と
をコンピュータに実現させることを特徴とするプログラム。 A program applied to a computer capable of writing and reading encrypted data to and from a data recording device,
A function of performing encryption of data recorded in the data recording device or decryption of data read from the data recording device by the first encryption method or the second encryption method;
A function of recording the importance of data recorded in the data recording device in a data importance recording means;
The individual data encrypted by the first encryption method and recorded in the data recording device is decrypted by the first encryption method and then encrypted by the second encryption method. A program for causing a computer to realize a function of determining an order based on at least the importance recorded in the data importance recording means.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008011849A JP2009175880A (en) | 2008-01-22 | 2008-01-22 | Information processing apparatus and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008011849A JP2009175880A (en) | 2008-01-22 | 2008-01-22 | Information processing apparatus and program |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009175880A true JP2009175880A (en) | 2009-08-06 |
Family
ID=41030924
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008011849A Pending JP2009175880A (en) | 2008-01-22 | 2008-01-22 | Information processing apparatus and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2009175880A (en) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010087741A (en) * | 2008-09-30 | 2010-04-15 | Ntt Data Corp | Storage service system and file protection program |
| JP2011101117A (en) * | 2009-11-04 | 2011-05-19 | Konica Minolta Business Technologies Inc | Data encryption device, data recovery device, and image forming apparatus |
| JP2011151541A (en) * | 2010-01-20 | 2011-08-04 | Nec Infrontia Corp | Security method switching system, security method switching method, and program thereof |
| JP2012103436A (en) * | 2010-11-09 | 2012-05-31 | Nippon Telegr & Teleph Corp <Ntt> | Confirmation device, confirmation method and confirmation program |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09258977A (en) * | 1996-01-17 | 1997-10-03 | Fuji Xerox Co Ltd | Information processor with protection function of software |
| JP2003158514A (en) * | 2001-07-09 | 2003-05-30 | Matsushita Electric Ind Co Ltd | Digital work protection system, recording medium apparatus, transmission apparatus, and playback apparatus |
| JP2003321123A (en) * | 2002-05-08 | 2003-11-11 | Nippon Telegr & Teleph Corp <Ntt> | Sale follow apparatus and method, program and recording medium for mail order |
| JP2007094572A (en) * | 2005-09-27 | 2007-04-12 | Toshiba Corp | Master data management device and master data management program |
| JP2007233426A (en) * | 2004-04-05 | 2007-09-13 | Matsushita Electric Ind Co Ltd | Application execution device |
| JP2007286983A (en) * | 2006-04-18 | 2007-11-01 | Hitachi Ltd | Data i/o processing method, program, and information processing system |
-
2008
- 2008-01-22 JP JP2008011849A patent/JP2009175880A/en active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09258977A (en) * | 1996-01-17 | 1997-10-03 | Fuji Xerox Co Ltd | Information processor with protection function of software |
| JP2003158514A (en) * | 2001-07-09 | 2003-05-30 | Matsushita Electric Ind Co Ltd | Digital work protection system, recording medium apparatus, transmission apparatus, and playback apparatus |
| JP2003321123A (en) * | 2002-05-08 | 2003-11-11 | Nippon Telegr & Teleph Corp <Ntt> | Sale follow apparatus and method, program and recording medium for mail order |
| JP2007233426A (en) * | 2004-04-05 | 2007-09-13 | Matsushita Electric Ind Co Ltd | Application execution device |
| JP2007094572A (en) * | 2005-09-27 | 2007-04-12 | Toshiba Corp | Master data management device and master data management program |
| JP2007286983A (en) * | 2006-04-18 | 2007-11-01 | Hitachi Ltd | Data i/o processing method, program, and information processing system |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010087741A (en) * | 2008-09-30 | 2010-04-15 | Ntt Data Corp | Storage service system and file protection program |
| JP2011101117A (en) * | 2009-11-04 | 2011-05-19 | Konica Minolta Business Technologies Inc | Data encryption device, data recovery device, and image forming apparatus |
| JP2011151541A (en) * | 2010-01-20 | 2011-08-04 | Nec Infrontia Corp | Security method switching system, security method switching method, and program thereof |
| JP2012103436A (en) * | 2010-11-09 | 2012-05-31 | Nippon Telegr & Teleph Corp <Ntt> | Confirmation device, confirmation method and confirmation program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100713046B1 (en) | License movement device and program | |
| US8352751B2 (en) | Encryption program operation management system and program | |
| JP4327865B2 (en) | Content processing apparatus, encryption processing method, and program | |
| JP5134894B2 (en) | Storage apparatus and encryption key changing method | |
| JP5645725B2 (en) | Data processing apparatus, data processing system, and control method therefor | |
| US20090022318A1 (en) | Content data distribution terminal and content data distribution system | |
| JP5338306B2 (en) | Data storage device and data management method in data storage device | |
| US20030140239A1 (en) | Contents recorder/reproducer | |
| JP4608931B2 (en) | Information processing apparatus and method, program, and recording medium | |
| JP2008234544A (en) | File encrypting/decrypting system, file encrypting/decrypting method and file encrypting/decrypting program | |
| JP2009175880A (en) | Information processing apparatus and program | |
| JP5118494B2 (en) | Memory system having in-stream data encryption / decryption function | |
| JP2009187646A (en) | Encrypting/decrypting apparatus for hard disk drive, and hard disk drive apparatus | |
| JP2008524969A5 (en) | ||
| JP2007019638A (en) | Key managing device and method thereof | |
| JP2008005304A (en) | Copyright protection system, copyright protection device and video processor | |
| JP4867935B2 (en) | ENCRYPTED DATA STORAGE DEVICE, ENCRYPTED DATA MANAGEMENT METHOD, DATA ENCRYPTION DEVICE, AND ENCRYPTED DATA MANAGEMENT CONTROL PROGRAM | |
| US20040153654A1 (en) | Data recording apparatus and data reading apparatus | |
| JP4642516B2 (en) | Information processing apparatus and program | |
| JP2005011105A (en) | Reproducing apparatus, encryption recording apparatus and program | |
| JP2006330126A (en) | Ciphering processing method and deciphering processing method | |
| JP4887668B2 (en) | Encryption / decryption processing circuit and encryption / decryption system | |
| JP2007026105A (en) | Device, method, and program for file management | |
| JP5983939B2 (en) | Information processing apparatus and information processing program | |
| JP5424060B2 (en) | Information recording apparatus and control method thereof |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101116 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110308 |