专利名称:存储媒体中的数据变换方法、装置以及程序的制作方法
技术领域:
本发明涉及存储媒体的数据变换,特别是一种与存储媒体内的数据 关联的存储媒体的特定区域的数据变换方法、装置以及程序。
背景技术:
作为防备硬件等存储媒体的被盗等,而预先按照可解密的形式变换 存储媒体内数据的方法,具有使用加密算法等来加密的方法,其被大致 分为文件加密和盘加密两种。
文件加密是在操作系统(os)上的应用层中以文件或文件夹为单位 进行加密的方式。
另一方面,盘加密是在文件系统的下级以区段为单位进行加密的方 式, 一般是将盘整体加密。盘加密在想要不依赖于操作用户的意图来对 盘内的数据加密时、处理速度方面比文件加密更有利。
专利文献1:日本特开2005-172866 专利文献2:日本特开2006-033326
如上所述,以往盘加密是以盘整体为对象进行加密。因此,存在从 非加密状态进行初始加密时需要较长时间(数小时左右),在盘发生错 误时等没有完成初始加密之类的问题。另外,还存在进行初始加密期间 该计算机终端无法在工作上使用这样的不便。
作为避免这种问题的对策,人们想到可以仅对实际使用的区域加密 等、利用上述盘加密的优点并且仅以符合作为目的的特定条件的存储媒 体内的数据使用所需的区域作为对象,但是盘加密在比文件系统下位的 没有文件的概念的层进行处理,因此以往盘加密无法可选择地对与这种 文件等的存储媒体内的数据相关联的区域进行加密。
发明内容
一般os内的盘管理在概念上被分层,从应用程序向存储媒体内的
数据访问等、概念上比文件系统上位的数据访问要求在文件系统的下级 被分解为区段单位的要求。
本发明中利用该OS的盘(disk)管理的构造。
本发明中除了在盘管理层的概念上文件系统的下级进行数据变换 的模块之外,还具备用于在文件系统上级规定作为数据变换的对象的盘 区域的数据变换辅助模块。
数据变换辅助模块针对进行数据变换的区域的存储媒体内的数据 进行访问读入,接受了该读入要求的文件系统参照盘管理信息,将针对
段单位,从而针对设备驱动程序进行读入要求。
数据变换模块从文件系统捕捉对设备驱动程序的区段单位的读入 要求,存储于读入地址区段号,将处理转至设备驱动程序。数据变换模 块进而使用加密算法等以可解密的形式将从设备驱动程序返回的该区 段的数据变换,并将变换数据写入该区段,将处理返到文件系统。
在数据变换辅助模块中,对作为数据变换对象的存储媒体内的数据 依次进行访问读入,从而能够进行与存储媒体内的数据建立关联的存储 媒体的特定区域的数据变换。
另夕卜,将数据变换辅助模块的程序的动作优先级设定为OS,从而能够 获得数据变换处理和其他应用程序的动作优先级的平衡。
即,根据本发明的第一方式是一种信息处理装置,其特征在于,具备: 数据访问单元,其设置在盘管理层上文件系统的上级,进行用于读出存储
媒体内数据的数据读出访问;捕捉单元,其设置在上述文件系统的下级别, 通过利用上述数据读出访问从上述文件系统产生的针对设备驱动程序的 区段单位的数据读出访问要求,来捕捉被读出的区段的数据;数据变换单 元,其对上述被捕捉的区段的数据加密;数据写入单元,其将上述被加 密的区段的数据写入上述被加密的数据的区段。
图l是表示本发明实施方式涉及的信息处理装置的构成的图。
图2是以数据变换辅助模块为中心的系统构成图。 图3是以数据变换模块为中心的系统构成图。 图4是数据变换信息表的简图。
图5是关于数据变换辅助模块的数据变换时的流程图。 图6是关于数据变换模块的数据变换时的流程图。
具体实施例方式
下面,利用附图来说明本发明的实施方式。
图l是表示本发明实施方式涉及的信息处理装置的构成的图。
如上图所示,信息处理装置1在总线11上连接有CPU12、存储器 13、输入部14以及存储媒体15。
CPU12通过与存储于存储媒体15的第一加密/解密程序21和第二 加密/解密程序23等协调动作来进行本发明实施方式涉及的数据变换处 理,除此之外还管理信息处理装置l整体的控制。
存储器13作为执行第一加密/解密程序21和第二加密/解密程序23 时所需的工作区等使用。
输入部14是用于输入数据等的接口,例如是键盘、触摸板等,其 中,上述数据用于确定进行数据变换处理的数据。
存储媒体15是用于存储本发明实施方式涉及的数据变换处理所需 的程序、数据的装置,例如是硬盘(HDD)、 USB存储器等。
该存储媒体15中存储第一加密/解密程序21、 OS (操作系统)22、 第二加密/解密程序23以及设备驱动程序24。
第一加密/解密程序21是文件系统22a上位概念的应用级(a卯lication level)的程序,管理应用级中的本发明实施方式涉及的数 据变换处理。
第一加密/解密程序21具有数据变换辅助模块21a。该数据变换辅 助模块21a在盘管理层上文件系统的上级动作,规定作为数据变换对象 的存储媒体区域,进行用于读出存储媒体内的数据的数据读出访问和用 于向存储媒体写入数据的数据写入访问。
OS22具有用于进行存储媒体15的文件管理的文件系统22a和作为 与应用程序的接口的API (Application Programming Interface: 应用 程序编程接口 ) 22a。这里,这些文件系统22a和API22b是'厶知技术。
第二加密/解密程序23是文件系统22a下位概念的驱动程序,管理 文件系统下位概念的级别中的本发明实施方式涉及的数据变换处理。
该第二加密/解密程序23具有数据变换模块23a。
数据变换模块23a在文件系统22a的下级动作,进行数据变换和写 入数据的向存储媒体15的写入等处理。
数据变换模块23a具有数据变换信息表23b。数据变换信息表23b 将存储媒体15的区段号、表示是否是作为数据变换对象的区段的数据 变换对象标记、表示数据是否被加密的数据变换标记相关联地存储。
设备驱动程序24是用于向存储媒体15访问的驱动程序,其是公知 技术。
图2表示数据变换辅助模块21a的构成。数据变换辅助模块21a主 要由数据访问部201、盘管理信息取得部202、设定读入部203以及数 据变换区域传输部204构成。
在设定读入部203中读入数据变换的对象、条件的设定。设定由设 定文件来设定,其具有读入它的方法、从用户接口输入的方法或者将利 用通信方式由服务器设备等其他机器进行的设定读入的方法等。
作为设定对象可以举例如下的对象。作为数据变换的对象区域的选 择,可以举出被全部的存储媒体内的数据使用的区域、OS使用或者未
7使用的存储媒体内的数据的区域、特定的应用程序使用或者未使用的存 储媒体内的数据的区域、特定的存储媒体内数据或者其存储位置的区 域、特定的驱动程序内的存储媒体内的数据的区域等。作为条件,可以
举出利用机器名、MAC地址、IP地址等判断的计算机终端、内置硬盘、 USB存储器、USB硬盘等存储媒体的种类、盘管理方法的种类(FAT: File Allocation Table (文件分配表)等)、是否是移动PC等。
盘管理信息取得部202扫描文件系统信息、分区信息等盘管理信息, 按照设定选择作为数据变换对象的存储媒体内的数据。另外,根据需要 (例如指定了追加的数据变换区域时)基于盘管理信息取得这些存储媒 体内的数据所使用的区段号。
数据访问部201通过OS22的API (Application Programming Interface:应用编程接口 ) 22b和文件系统22a对利用盘管理信息取得 部202成为数据变换对象的存储媒体内的数据进行访问,进行存储媒体 内的数据的读入。这里,从文件系统22a对设备驱动程序24的访问按 照区段单位进行。
数据变换区域传输部204根据需要(例如指定了追加的数据变换区 域时)将由盘管理信息取得部202取得的存储媒体内数据所使用的区段 号通过OS22的API22b和文件系统22a传输至数据变换模块22a。
图3表示数据变换模块23a的构成。数据变换模块23a主要由访问 要求捕捉部301、对象区段存储部302、数据变换区域接受部303、数据 写入部304、数据变换部305以及数据变换信息表306构成。
访问要求捕捉部301从文件系统22a捕捉针对设备驱动程序24的 区段(或者簇)单位的访问要求。另外,在访问要求是数据读出访问要 求的情况下,捕捉利用数据读出要求读出的数据。
对象区段存储部302在从文件系统22a捕捉到针对设备驱动程序24 的访问要求后存储访问地址的区段号。
数据变换部305针对从设备驱动程序24向文件系统22a返回的被 读出的数据进行数据变换(加密)。另外,在已读出的数据被加密的情 况下,进行数据的解密处理。数据写入部304针对由对象区段存储部302存储的区段向设备驱动 程序24发行写入变换数据(被加密的数据)的命令。另外,存储媒体 的数据解密时,同样向设备驱动程序24发放写入解密数据的命令。
如图4所示,数据变换信息表306是用于针对区段号进行该区段是 否是数据变换对象或者该区段的数据是否已被数据变换的管理的表。图 4中,在数据变换对象信息402中,l表示对象、O表示非对象。在数据 变换信息403中,1是表示数据变换状态、0是表示非数据变换状态。
数据变换区域接受部303根据需要(例如指定了追加的数据变换区 域时)接受从数据变换辅助模块21a传输来的数据变换对象的区段号信 息,并将其反映到数据变换信息表306的数据变换对象标记。具体说来, 加密对象的情况下设定为"1"。
另外,数据变换部305对与已进行访问的标记编号对应的数据变换 对象标记402设定表示成为加密对象的"1"。另外,在将被数据写入部 304加密的数据写入到已进行访问的区段号的情况下,数据变换部305 对与该区段号对应的数据标记403设定表示数据被加密的"1"。
而且,在进行存储媒体的解密的情况下,利用数据变换部305对与 写入了已进行解密的数据的区段对应的数据变换标记设定"0"。
接下来,利用图5和图6的流程图说明从没有进行数据变换的存储 媒体的状态进行初始数据变换时的动作。
基于图5说明数据变换辅助模块21a的动作。
当开始初始数据变换处理时,数据变换辅助模块21a首先利用设定 读入部203读入数据变换对象、条件等的设定。
接着,扫描盘管理信息,对全部的存储媒体内的数据进行是否是与 被设定读入部203读入的设定条件符合的数据变换对象的判断,在存储 媒体内的数据与数据变换的设定条件(对象、条件)符合的情况下,利 用数据访问部201进行向存储媒体内的数据访问(读出访问)。在存储 媒体内的数据不符合数据变换的设定条件(对象、条件)的情况下,不 进行向存储媒体内的数据访问。在上述过程中,S502判断是否是盘管理信息的扫描的最后的数据。
S506是S502中被判断为是最后的数据时的处理结束,结束初始数 据变换处理。
在S503中当在S502中被判断为不是最后的数据时取得下一个存储 媒体内的数据的信息。
在S504中通过比较在S503中取得的该存储媒体内的数据的信息和 被设定读入部203读入的设定条件,从而判断是否是数据变换对象。
在S505中当在S504中被判断为存储媒体内的数据是数据变换对象 的情况下,利用API22b向存储媒体内的数据访问,进行存储媒体内的 数据读入。
在S504中被判断为存储媒体内的数据不是数据变换的对象的情况 下不进行向存储媒体内的数据访问而返回S502。
当根据需要(例如指定了追加的数据变换区域时)将数据变换区域 信息传输至数据变换模块23a的情况下,在上述的处理的S505中代替 进行向存储媒体的数据访问,数据变换区域传输部204通过API22b将 存储媒体内的数据使用的区段号传输至数据变换模块23a。
该数据变换区域信息向数据变换模块23a的传输,在利用数据变换 模块23a,基于预先传输来的数据变换对象信息402进行数据变换或者 变换数据的解密比较有利时进行。
数据变换区域信息的传输,也可以预先在存储器上保持信息,整理 后传输至数据变换模块23a,而不是如上所述逐次进行。
基于图6说明数据变换模块23a的动作。
当数据变换辅助模块21a在上述过程中已进行向存储媒体内的数据 访问的情况下,接受了对存储媒体的数据访问要求的文件系统驱动程序 参照盘管理信息,将针对存储媒体内的数据的访问要求分解成该存储媒 体内的数据所使用的区段单位,对设备驱动程序24进行访问要求。
数据变换模块23a通过从文件系统捕捉针对设备驱动程序24的区段单位的访问要求,将访问地址区段存储于对象区段存储部302,将处 理转至设备驱动程序24。数据变换模块23a进而捕捉从设备驱动程序 24读出的数据,将被捕捉的该区段的数据变换(加密),向设备驱动程 序24进行将变换数据写入该区段的要求。并且,使数据变换信息表306 的对该区段的标记为l:数据变换状态,将处理返回文件系统22a。
下面,基于图6的流程图说明数据变换模块23a的动作。
在上述处理中,S602中访问要求捕捉部301捕捉从文件系统22a对 设备驱动程序24的区段单位的访问要求。
S603中,对象区段存储部302中存储访问地址区段。另外,数据变 换部305对与数据变换信息表306的已访问的区段号对应的数据变换对 象标记402设定表示是变换对象的"1"。
S604中访问要求捕捉部301将处理转至设备驱动程序24。
S605进而捕捉从设备驱动程序24读出的数据。
在S606中数据变换部305将返回的该区段的数据变换(加密)。作 为数据的变换方法,可以使用一般公开的加密算法。
在S607中向设备驱动程序24进行数据写入部304将已被变换的数 据写入预先存储的区段的要求。
S608中数据变换部进而将数据变换信息表306的对该区段的标记设 为"1"(数据变换状态)。
S609将处理返回文件系统22a。
如上所述,通过数据变换辅助模块21a和数据变换模块23a的连动, 能够从没有数据变换的存储媒体的状态进行初始数据变换处理。
另外,除了图6所记载的处理方法之外,还存在参照从数据变换辅 助模块21a传输来的数据变换区域信息402,对数据变换对象标记为1、 即数据变换对象的区段依次进行数据变换的方法。
在对存储媒体上的被变换的数据解密的情况下,在数据变换模块23a中参照数据变换信息表306,在数据变换信息的标记为1的情况下 将该区段号的数据解密,将解密数据写入到存储媒体中。通过扫描数据 变换信息表的区段号依次进行该动作,从而能够进行存储媒体上的数据 解密。
而且,将数据变换辅助模块21a的处理的优先级设定于OS22,由 此能够调整初始数据变换处理的优先级。在想要尽可能短时间完成初始 数据变换处理的情况下,将数据变换辅助模块21a的处理的优先级设定 得较高,提高初始数据变换处理的优先级。
相反,在虽花费时间但想要一边使其他应用程序动作一边进行初始 数据变换的情况下,将数据变换辅助模块21a的处理优先级设定得较低, 降低初始数据变换处理的优先级。
而且,本申请发明不限于上述各实施方式,在实施阶段可以在不脱 离其宗旨的范围内进行各种变形。另外,各实施方式也可以尽可能适当 组合,该情况下获得组合的效果。并且,上述各实施方式包括各个阶段 的发明,通过所公开的多个构成要件中的适当的组合能够获得各种发 明。例如,在实施方式所示的全部构成要件中省略几个构成要件来提取 出发明的情况下,实施该提取出的发明的情况下省略部分以公知惯用技 术适当补充。
产业上的可利用性
如上所述,利用本发明能够进行与存储媒体内的数据建立关联的存 储媒体的特定区域的数据变换。因此,不受盘错误等的影响而可高速地 进行所需存储媒体的区域的数据变换,能够加强存储媒体的安全性。
另外,能够调整进行数据变换的处理的动作优先级,因此能够容易 地边进行数据变换边利用其他的应用程序。
权利要求
1.一种信息处理装置,其特征在于,具备数据访问单元,其设置在盘管理层上文件系统的上级,进行用于读出存储媒体内的数据的数据读出访问;捕捉单元,其设置在所述文件系统的下级,通过利用所述数据读出访问从所述文件系统产生的针对设备驱动程序的区段单位的数据读出访问要求,来捕捉被读出的区段的数据;数据变换单元,其对所述被捕捉的区段的数据加密;数据写入单元,其将所述被加密的区段的数据写入所述被加密的数据的区段。
2. 根据权利要求1所述的信息处理装置,其特征在于,所述数据 访问单元仅对满足所指定的条件的存储媒体内的数据进行数据访问。
3. 根据权利要求1所述的信息处理装置,其特征在于,所述数据 变换单元还具备对所述被加密的区段的数据进行解密的单元。
4. 根据权利要求1所述的信息处理装置,其特征在于,还具备将 所述数据访问单元的处理的动作优先级设定于所述信息处理装置的OS(操作系统)的设定单元。
5. 根据权利要求l所述的信息处理装置,其特征在于,还具备数据变换信息表,所述数据变换信息表将所述存储媒体的区 段号和表示是否是作为数据变换对象的区段的数据变换对象标记以及 表示数据是否已被加密的数据变换标记相互建立关联地存储,在从所述文件系统捕捉到作为加密对象的区段的情况下,所述捕捉 单元将所述数据变换对象标记设定为表示是作为数据变换对象的区段 的数值,在已写入所述被加密的区段的数据的情况下,所述写入单元将所述 数据变换信息表的数据变换标记设定为表示数据已被加密的数值。
6. —种信息处理装置的数据变换方法,其特征在于,在盘管理层上的文件系统的上级进行用于读出存储媒体内的数据 的数据读出访问,通过利用所述数据读出访问从所述文件系统产生的针对设备驱动程序的区段单位的数据读出访问要求,捕捉被读出的区段的数据, 对所述被捕捉的区段的数据加密,将所述被加密的区段的数据写入所述被加密的数据的区段。
7. 根据权利要求6所述的数据变换方法,其特征在于,仅对满足 被指定的条件的存储媒体内数据进行所述数据访问。
8. 根据权利要求6所述的数据变换方法,其特征在于,还具备对 所述被加密的区段的数据解密的步骤。
9. 根据权利要求6所述的数据变换方法,其特征在于,还具备将 所述数据访问步骤中的处理的动作优先级设定于所述信息处理装置的 OS (操作系统)的步骤。
10. —种程序,被使用于对存储于存储媒体的数据加密的信息处理 装置,其特征在于,所述程序在所述信息处理装置中进行下述动作,在盘管理层上的文件系统的上级进行用于读出存储媒体内的数据 的数据读出访问,通过利用所述数据读出访问从所述文件系统产生的针对设备驱动 程序的区段单位的数据读出访问要求,捕捉被读出的区段的数据,使所述被捕捉的区段的数据加密,使所述被加密的区段的数据写入所述被加密的数据的区段。
全文摘要
利用在盘管理层概念上比文件系统上位的数据变换辅助模块,依次访问作为对象的存储媒体内的数据,数据变换模块从文件系统捕捉对设备驱动程序的区段单位的访问要求,将从设备驱动程序返回的区段的数据变换,将变换数据写入该区段,由此能够进行与存储媒体内数据建立关联的存储媒体的特定区域的数据变换。
文档编号G06F21/24GK101632087SQ200880003069
公开日2010年1月20日 申请日期2008年1月23日 优先权日2007年1月24日
发明者南井佑介, 大江尚之, 志摩浩树, 志摩贵浩, 松本佳之, 竹田孝宏 申请人:哈明头株式会社