专利名称:在记录介质上保留数据的方法和设备的制作方法
技术领域:
本发明涉及一种系统用于在一个数据可重写或一次写入大容量记录介质如一个磁光盘和一个光盘或者一个磁盘等等上保留数据。
具有几百兆字节的大容量记录介质以无纸信息在医院和政府办公室得到重视。
在那些介质中,大容量磁光盘和一次写入CD-R(可记录的压缩盘)因为它们对公众具有高传播性并且可容易得到,因而具有光明的前景。
然而,MO容易擦除和加上数据,所以容易实施不合法的行为如重新布置、替代或删除在MO上记录的数据(被称为“窜改”),或者窜改文件存储器上的日期数据。
另一方面,对于仅仅能够一次写入操作的CD-R,只是偶尔去除以不适合数据记录的介质,并且不可能防止这样一种行为以致CD-R上的数据在暂时读入一个计算机之后被窜改,以及窜改的数据被写入其他的CD-R。
为了防止上述各个不合法的行为,已经发明了一种保证数据有效性的系统,该系统包括通过散列函数的使用执行一个记录在介质上的数据的署名处理,采用从一个鉴别中心提供的公用密钥加密静态处理的数据,在一个不同于相同介质上数据区的区域作为一个检查和(CS)记录加密的结果,并且使用相应于公用密钥的一把加密钥匙解密检查和(CS)。
然而,这个系统虽然在某种程度上可以防止在相同介质上窜改的数据,但是不能防止日期数据的窜改,不合适介质的去除,以及窜改的数据写入其他介质并且因而不适合记录作为官方记录要求保存固定的年数且要求保证它们的有效性的官方文件等等的数据。
正是考虑到这些问题所做发明的本发明的主要目的是提供一种能够保证记录在介质上的数据的有效性的数据保留/管理系统。
为了完成上面的目的,根据本发明的一个方面,当在相同记录介质上登录多个文件(n,n+1…)时,通过执行第n个文件数据的一个加密过程而获得的第n个鉴别码是与第n个文件数据一起记录的,并且当登录第(n+1)个文件的数据时,通过执行第n个鉴别码的加密处理和第(n+1)个文件数据作为第(n+1)个鉴别码而产生第(n+1)个鉴别码,以及随后被记录。
对每一个文件数据从有关的文件数据中获得的鉴别码被登录,并且下一个文件数据的一个鉴别码由先前的文件数据和它的鉴别码获得。因此可能保证文件的连续性并且容易检测不合法的行为如中间文件的窜改和中间文件的去除,因此限制了对于文件的不合法窜改。
结合下面附图中的讨论本发明的其他目的和优点将会变得明显,其中
图1是一个通过在一个实施例中的数据保留设备展示数据保留过程的概要的解释图;图2是一个通过在实施例中的数据保留设备被保留在MO上的履历信息的解释图;图3是一个展示了用在实施例中的数据保留设备中的数字特征标记创建过程的解释图;图4是一个展示了校验被在实施例中数据保留设备保留的数据的过程概要的解释图;图5是一个展示在实施例中数据保留设备的数据保留功能的解释功能方块图;图6是一个展示了在实施例中将累加鉴别码产生功能加入定义为数据保留设备的结构部分的一个文件管理PC卡中的解释功能方块图;图7是一个展示了文件管理PC卡的累加鉴别码产生功能的解释时序图;图8是一个展示了一个累加鉴别码和一个鉴别码之间关系的原理图;图9是一个展示了在实施例中数据保留设备的数据校验功能的解释功能方块图;图10是一个展示了在实施例中数据保留设备的一次写入操作的解释图;图11是一个展示了在实施例中数据保留设备的一次写入操作的解释图;图12是一个展示了在实施例中数据保留设备的一次写入操作的解释图;图13是一个展示了通过实施例中数据保留设备的累加鉴别码存储操作的解释图;图14是一个展示了存储在多个被实施例中数据保留设备执行的一次写入处理的保留介质上累加鉴别码之间的相互关系的解释图;图15是一个展示校验提供给一次写入处理的数据的过程的解释图;图16是一个展示了在实施例中当请求写数据到MO时数据保留设备的操作过程的流程图;图17是一个展示了在实施例的数据保留设备中一次写入操作的补充的流程图;图18是一个展示了在实施例中加入到数据保留设备的一个三维鉴别功能的解释流程图;图19是一个展示在实施例中加入到数据保留设备的三维鉴别功能的解释流程图;图20是一个展示在实施例中加入到数据保留设备的三维鉴别功能的一个应用实例图;图21是一个展示在实施例中加入到数据保留设备的三维鉴别功能的一个应用实例图;图22是一个在高阶层上一个文件保密/特征标记处理原理的解释图;图23是一个在实施例的介质之间数据管理的草图;图24是一个通过使用累加履历信息和累加鉴别码展示了多个介质之间管理的流程图;图25是一个展示了创建在MO上的鉴别码的创建过程的流程图;图26是一个展示了校验在MO上是否数据被窜改的过程的流程图;以及图27是一个展示了在MO上创建数据过程的流程图。
根据一个实施例的数据保留设备是一个用于在磁光盘(以后简称为MO)上保留数据的装置,并且加入称为一般介质处理功能和保留目的的介质处理功能(一次写入功能)的功能。在这里,当在一般介质中处理时将开始解释根据实施例中数据保留设备的数据保留方法的概要。
如图1中的图示说明,当在一般介质中处理时,当前的数据保留设备以这样一种方式在磁盘MO上保留数据“DATA”使得产生的“DATA”对应于被定义为在磁盘MO上在保留“DATA”时在数据保留设备内提供的无窜改时钟的输出的一段履历信息“LOG”和日期数据“DATE”。另外,当输入一个先前给予磁盘MO的介质ID“MID”、数据“DATA”、日期数据“DATE”以及履历信息“LOG”时,数据保留设备获得一个散列函数输出。数据保留设备随后在磁盘MO上保留这具有作为有关数据“DATA”的数字特征标记“CS”的函数输出。注意根据由介质ID、数据、日期、履历数据和数字特征标记组成的信息单元数据的一些项目被传送和拷贝。
另外,如图2所示的表示一个数据创建履历和一个数据拷贝履历的信息段作为履历信息“LOG”存储。此外,通过使用具有根据图3(a)所示ISO8731-1的结构的机构而获得数字标记“CS”。特别地,如果应该获得数字特征标记的数据是如图3(b)所示用于n块的数据(D1-Dn),则首先通过一个DES加密第一块数据D1,因而获得数据C1。接着,数据C1和下一块数据D2的EOR再一次被DES加密,因而获得数据C2。以后,对于数据Ci-1和块数据Ci(i=3到n)重复执行相同的处理。然后相对于数据Cn-1和块数据Cn的加密结果(64位)的高阶32位被舍位截取后取出并用作为数字特征标记“CS”。
然后,当如图4所示校验数据时,当输入保留在磁盘MO上的相应于“DATA”的这一项的“MID”、“DATA”、“LOG”以及“DATE”时得到一个散列函数输出。接着,这里的函数输出与附属于磁盘MO上的“DATA”的“CS”相比较,因而判断是否“DATA”被窜改。换句话说,如果散列函数输出与“CS”一致,则判断“DATA”不是窜改的。反之如果相互不一致,则判断为“DATA”是窜改的。
除了上面描述的数据保留功能和数据检验功能以外,在实施例中的数据保留设备加入了一种累加鉴别码产生功能。以后,在实施例中的数据保留设备的累加鉴别码产生功能将参照功能方块图等等以及由数据保留功能和数据校验功能所给出的更具体的解释进行描述。
图5是一个实施例中数据保留设备的功能方块图。注意这个功能方块图仅仅展示了当保留数据在磁盘MO上(当在一个特征标记处理时)时的功能。然而,参照图5,履历信息的表示被省略了。
如图5所示,在实施例中的数据保留设备通过连接一个负责产生鉴别码到包括一个MO驱动器11的个人计算机(PC)12的文件管理PC卡13而被实现。
当保留数据在磁盘MO上时,通过使用一个键盘14产生的DATA经过PC12被写入在MO驱动器11中的磁盘MO。与写DATA到磁盘MO的同时,PC12给文件管理卡13提供存储在磁盘MO上的介质ID和DATA。介质ID和DATA被提供到文件管理PC卡13中的鉴别码产生机构22。鉴别码产生机构22通过使用提供到那里的数据开始一个产生鉴别码MAC的处理。在完成了接收DATA之后,文件管理PC卡13提供给PC12和鉴别码产生机构22一个无窜改时钟21的输出(TIME)。然后由鉴别码产生机构22输出的鉴别码MAC作为输入介质ID、DATA和TIME的结果被提供到PC12并且同时存储在一个鉴别码存储存储器23。提供TIME和MAC的PC12写这些数据段到磁盘MO,并且由DATA、TIME和MAC组成的信息的项目被保留在磁盘MO上。
另外,如果磁盘MO在写DATA到那里后变得没有任何区域用于存储数据,文件管理PC卡13使用存储在鉴别码存储存储器23中的鉴别码执行一个产生累加鉴别码(累加MAC、MAC总和)的处理,并且MAC总和经过PC12写到磁盘MO。通过使用鉴别码产生机构22执行这个累加鉴别码产生处理。
以后,参照图6将解释通过文件管理PC卡13的鉴别码产生操作和累加鉴别码产生操作。顺便说说,图6是一个展示文件管理PC卡13的更具体的结构的功能方块图,其中写一个键控的散列函数处理单元的块相应于在图5中的鉴别码产生机构22。
当产生鉴别码时,一个选择器2由一个输入转换控制信号控制以给键控散列处理单元提供从外边输入的数据。另外,选择器1由一个输出转换控制信号控制以给一个鉴别码存储器提供具有来自键控散列处理单元的数据,并且作为一种结果,产生的鉴别码被存储在鉴别码存储器以及产生如上所述的鉴别码。
另一方面,当产生累加鉴别码时,选择器2由输入转换控制信号控制以给键控散列处理单元提供来自一个门电路的数据。另外,选择器1由输出转换控制信号控制以给鉴别码存储器提供从键控散列处理单元输出的预确定数量的数据段并且其后输出作为MAC总和的从键控散列处理单元输出的数据。然后,当开始累加鉴别码产生处理时,一个开始脉冲提供给一个地址计数器和一个门电路。
提供开始脉冲的地址计数器开始控制鉴别码存储器以序列地输出存储在那里的鉴别码MAC。提供开始脉冲的门电路进入一个打开状态并且给选择器2提供来自鉴别码存储器的MAC。结果,由键控散列函数处理单元输出的数据经过选择器1被输入到一个数据选通电路。MAC计数器计数数据选通电路的选通信号输出,并且输出一个计数的结果到比较器。比较器将来自MAC计数器的数据与一个设置值比较,并且如果这两个值是一致的,则输出一个停止脉冲到地址计数器和门电路。
即,当在累加鉴别码产生处理时,累加鉴别码(MAC总和)在文件管理PC卡13内如图7所示的时序中产生。然后,产生的MAT总和由PC12保留在磁盘MO上,并且因此如图8中的图示,通过使用相对于所有存储在磁盘MO上的DATA的MAC产生的数字特征标记最后作为MAC总和保留在磁盘MO上。
注意在实施例中的数据保留设备除了相对于磁盘MO上的所有数据给予累加鉴别码的功能还具有每组给予累加鉴别码到磁盘MO上数据的功能。虽然下面将给予这个功能详细的解释,实际上它是一个通过加上指定用于创建累加鉴别码的数据的功能到上述累加鉴别码给予功能而获得的功能。
下面将参照图9所示的功能方块图描述当校验在实施例中数据保留设备的数据时的操作。
当校验数据时,PC12读取指示要被校验的DATA、附属于来自磁盘MO的DATA的项目的MAC和TIME,并且提供这些数据段到文件管理PC卡13。文件管理PC卡13从来自如此提供的DATA和TIME中产生鉴别码MAC,并且将创建的MAC与提供的MAC相比較。这样,如果两个鉴别码MAC相互间是相同的,显示器单元显示有关的DATA是没有被窜改的数据。反之如果不相同,显示器单元显示有关的DATA是被窜改的数据。另外,文件管理PC卡13将相同的意思通知PC12。
此外,当使用累加鉴别码指示作出一个校验时,PC12从磁盘MO读取所有的DATA和TIME段并且提供它们到文件管理PC卡13以及提供给卡13在磁盘MO上的MAC总和。文件管理PC卡13从提供的所有的DATA和TIME段产生MAC,并且将如此产生的鉴别码MAC与提供的MAC总和比较。然后,如果这两段数据相互间一致,则显示器单元显示在磁盘MO上的每一段DATA是没有窜改的数据,并且将这个意思通知PC12。反之如果不一致,显示器单元显示同一类数据的窜改正发生在磁盘MO上,并且将这个意思通知PC12。
图23展示了一种在多个介质之间数据管理的概念。如果一个磁盘MO1没有任何的数据释放区,并且一个磁盘MO2被从下一个数据输入处理用起,在这种情况下MO1的累加履历信息(LOG1)和MO1的累加鉴别码(CS+1)被暂时记录在个人计算机的硬盘(HD)上。然后,当一个新的数据(D2)项目从键盘输入时,数据(D2)的这一项被写到第二个磁盘MO2的一个用户数据区,并且同时根据MO2的一个介质识别号码(MID2)、用户数据(D2)和累加履历信息(LOG1)以及存储在硬盘(HD)中的第一个磁盘MO1的累加鉴别码(CS+1)产生累加履历信息(LOG2)。这个累加履历信息(LOG2)存储在一个累加履历信息区。另外,与这个处理同时,那些数据段通过散列机构(HASH)处理,因此产生MO2的鉴别码(CS+2)。这样,存储在第二个磁盘MO2的累加鉴别码(CS+2)由第一个磁盘MO1的累加鉴别码(CS+1)产生,并且因此,如果在第一个磁盘MO1上的文件的任何一个被窜改,则接着大体上在累加鉴别码中发生不匹配。
如上所述,校验甚至在多个介质之间的数据内容的有效性是可行的。
下面,将特别描述在实施例中数据保留设备的一次写入功能。当在一次写入处理时,上面提到的文件管理PC卡功能作为一种一次写入/特征标记/校验模块。当保留单个数据段时,一次写入/特征标记/校验模块的基本操作与已经解释的相同。然而,当在一次写入处理时,版本数也被保留,使得一次写入/特征标记/校验模块如下操作。
当第一次记录数据时,一次写入/特征标记/校验模块如图10(a)所示,接收来自介质存储剩余数量判断装置(PC12)的一个关于是否留下一个足够存储数据((1))的容量的通知。被通知留下(打开)容量的一次写入/特征标记/校验模块获得介质ID、版本数和数据((2)-(4))。然后,获得介质ID、版本数和数据的一次写入/特征标记/校验模块产生一个日期和鉴别码((5),(6))。即,一次写入/特征标记/校验模块如图10(b)的图示输出数据的散列函数处理值(鉴别码)、版本数、介质ID和由无窜改时钟输出的日期。随后,这些数据段由PC写到MO。此外,PC还执行一个处理,将作为累加履历信息的一个部分的,由版本数、写到MO的日期和鉴别码、MO的介质ID、写到MO的数据的创建者的信息(在PC的用户上)组成的一项信息存储到工作介质(在实施例的数据保留设备中的硬盘)。顺便说说,累加履历信息将被更详细地描述。
接下来,当如图11(a)所示写数据时,一次写入/特征标记/校验模块首先获得介质ID、版本数、数据、日期和鉴别码((2)-(6))。然后,在确认相应于其他信息((7))的鉴别码以后同样的模块发出版本数。更准确地说,如图11(b)图示,一次写入/特征标记/校验模块判断是否介质ID、版本数、以及从PC给出的数据的散列函数处理值(鉴别码)与从PC给出的鉴别码相一致。如果这两个相互一致,通过加上“1”到版本数而获得的值被作为这次写入数据的版本数输出。以后,一次写入/特征标记/校验模块和PC参照图10的那些解释执行相同的处理,因此存储由版本数、数据、日期和鉴别码组成的信息到MO上。另外,在这种情况下,PC也执行处理,将作为累加履历信息的一个部分的,由版本数、写到MO的日期和鉴别码、MO的介质ID和写到MO的数据创建者信息组成的一个信息项存储到工作介质。
如果如图12(a)所示,作为重复上面处理的结果在MO上不存在数据存储区,则介质存储剩余数量判断装置(PC)通知这种意思((1)关断)给一次写入/特征标记/校验模块。这次通知的一次写入/特征标记/校验模块获得上一个鉴别码((2))的内容。另外,PC在MO中保留存储在工作介质((3))上的累加履历信息,并且提供累加履历信息到一次写入/特征标记/校验模块((4))。如图12(b)图示的一次写入/特征标记/校验模块从累加履历信息和获得的累加鉴别码产生累加鉴别码。然后,PC将由一次写入/特征标记/校验模块((5)、(6))产生的结束代码和累加鉴别码写到MO。
将对保留在MO中的累加履历信息和累加鉴别码作更具体的解释。注意在累加历史信息的内容方面第一个版本介质是不同于第二个和后续的介质的。因此,在这里将通过在三个介质上执行一次写入处理的示例情况解释保留在MO上的累加履历信息和累加鉴别码。
如图13(a)所示,如果两个数据段被保留在第一个版本介质上,它的介质ID是2125,第一个版本介质存储由说明有关的介质是第一个版本介质的序列号001、这种介质的介质ID2125和当保留数据时采集两个信息字节组而组成的累加履历信息。另外,第一个版本介质也存储通过使用上面累加履历信息作为累加鉴别码创建的一个鉴别码。
如图13(b)所示的第二个版本介质1003存储由第一个版本介质ID2125的履历信息和介质1003的履历信息组成的履历信息的一个项目。然后,如图13(c)所示的第三个版本介质2108存储由第二个版本介质1003的履历信息和介质2108的履历信息组成的履历信息的一个项目。
即,如图14所示,第一个版本介质在介质本身上存储履历信息,除去第一个版本介质的其他介质存储前一个产生的介质的履历信息和在介质本身上履历信息。
当校验数据时数据读取处理参照图9等等的那些解释在相同过程中执行。具体的说,如图15(a·)和15(b)所示,一次写入/特征标记/校验模块获得介质ID、版本数、数据、日期和鉴别码,并且将鉴别码的一个值与介质ID、版本数、数据和日期的散列函数处理值相比较。随后,如果这两个值相互是一致的,显示器单元显示一个意思(没有进行窜改),并且PC机被通知这个意思。
图24-27是用于执行在多个介质之间具有累加履历信息(LOG)和累加鉴别码(CS总和)的处理的流程图。
首先,当MO被加载到一个未说明的MO驱动器装置时,判断这个MO是否是用于保存的磁盘(步骤2401)。这种判断方法能够通过如在MO,例如用于保存目的的MO上管理区域的一个预确定地址中设置一个标记的处理来简单地实现。另外,每次用户初始化MO时可以给出定义。随后,如果有关的MO不是用于保存目的的磁盘,以后将提到的管理是不要求的,并且因此执行一般介质处理(不限制数据的读和写)(2403)。
如果在步骤2401判断介质是保存目的的介质,则判断(2402)是否这个MO是用于登录文件的一个新磁盘。通过检测,具体地是否累加鉴别码(CS总和)存在于相同的MO上,另一个方面是否即使一个文件登录在相同的MO上而作出判断。
然后,如果不是新的介质,即如果该介质已经被登录了文件,判断(2405)是否该介质具有足够的释放区以登录一个新文件。接着,如果释放区不足,容量不足的通知显示在显示器单元(DISP)如CRT显示器上,这样完成了处理。
在步骤2402,如果加载的MO是新的,前一个产生的介质的累加履历信息(LOG)被暂时存储在硬盘装置的工作介质或相关的个人计算机的主存储器上(2404)。在这个步骤,在每次一个新的MO加载之时促使用户加载前一个产生的MO的指示可以被显示在显示器单元(DISP)上,并且通过将前一个产生的MO加载到MO驱动器装置可以获得先前产生的累加履历信息(LOG)。
判断下一个是否是从前一个产生(2407)的MO的累加履历信息获得的累加鉴别码(CS总和)。如果没有获得,前一个产生的累加履历信息(LOG)被重写到工作介质上,并且由这次写的内容(2408)产生累加鉴别码(CS总和)。
以后,根据创建数据的处理(转换到图27),在MO上创建的数据的鉴别码的产生处理(转换到图25)或校验是否数据是在MO上被窜改(转换到图26)(2409~2413)的处理,所作的处理可以是不同的。
当创建新数据,即当登录一个新文件在MO上(图27)时,首先由键盘(KEY)或一个分开介质输入的数据被暂时写到个人计算机的工作介质(硬盘)上(2701)。
然后,当给定一个写有关创建的数据到保存介质(MO)的说明(2702)时,无窜改时钟自动地发出那一时刻的时间数据,并且这段时间数据被插入创建数据的尾部中并且输入到散列机构(HASH)(2703)。
接下来,一个介质识别号码(MID)、一个数据创建者和版本数自动地在个人计算机上产生,并且这些信息段被作为累加履历信息(LOG)写到有关的MO(2704)。
接着,在个人计算机中,介质识别号码(MID)、创建的数据(DATA)、时间数据(TIME)和累加履历信息(LOG)被读出(2705)。然后,这些数据段被散列机构(HASH)处理(2706)并且作为一个鉴别码(CS)被写到有关的MO(2707)。
一个如图27所示的一系列这些处理通过在图5解释的硬件结构实现。
另一方面,当鉴别码(CS)或累加鉴别码(CS总和)被给予到已经在MO上创建的数据时,如图25的流程图所示执行这些处理。
即,介质识别号码(MID)、创建的数据(DATA)、时间数据(TIME)和累加履历信息(LOG)从个人计算机中的工作介质读出(2501),并且由散列机构(HASH)处理(2502),因此,获得鉴别码(CS)。鉴别码(CS)随后被写到有关的MO(2503)。这些如图25所示的处理作为用于永久保留登录的数据的特征标记处理是有意义的。
关于是否在MO上已经创建的数据被窜改的有效性可以根据图26所示的一个流程图校验。用于实现这个处理的硬件结构如图9所解释的给出。
具体的说,当一个校验目标MO加载到MO驱动器装置时,首先介质识别号码(MID)、创建的数据(DATA)、时间数据(TIME)和累加履历信息(LOG)被从工作介质读出(2601),并且由散列机构(HASH)处理(2602)。一个比较器(COMP)将这个处理的结果的值与鉴别码(CS)的一个值和累加鉴别码(CS总和)的一个值相比较(2603)。如果这两个值相互一致,显示器单元(DISP)显示没有进行窜改,即数据是有效的。反之如果这两个值不一致,显示器单元显示一种意思,即数据是无效的,假定数据(DATA)或时间数据(TIME)是窜改的,或者一个中间介质被除去(2604)。
接下来,将给出上面讨论的数据保留设备的操作的一个补充解释。
图16展示了一个当数据写入被MO请求时数据保留设备操作的流程图。如已经解释的,处理被大致分类为一般介质处理和保存目的的介质处理。当请求数据写入时,PC执行设置介质不是保存目的介质(步骤S101;N)的一般介质处理(步骤S102)。
而另一方面,如果设置介质是保存目的的介质(步骤S101;Y),并且当这种介质是新介质时(步骤S103;Y),PC将前一个产生的保存介质的累加履历信息存储在工作介质(步骤S104)。在从工作介质的累加履历信息确认前一个产生的保存介质的累加鉴别码获得之后(步骤S105;Y),处理进行到步骤109。如果这个累加鉴别码没有获得(步骤105;N),工作介质被重新存储前一个产生的保存介质的累加履历信息(步骤S106),并且处理返回到步骤S105。注意如果设置介质是第一个版本介质,PC不会执行这些处理。
如果设置介质不是新介质(步骤S103;N),PC判断是否保存区是安全的(步骤107)。然后,如果保留区不是安全的(步骤107;N),PC通知文件管理卡(一次写入/特征标记/校验模块)容量不足并且显示这个通知(步骤108)。随后,PC执行上面累加履历信息的保存处理(步骤S109),并且处理达到结束。注意当显示容量不足的通知时,随着一个新的介质被用户设置到MO驱动器11中。
如果保存区是安全的(步骤107;Y),PC向前移动到步骤S110并且执行在已经解释的过程中的数据保存处理(步骤S111)。然后,处理达到结束。注意在这一步骤实现的数据保存是一次写入处理并且因此被执行,当然只有在如图17所示,MO被存储介质ID并且当确认没有用户数据存在于数据打算被保留的块中时。
最后给出的是给予累加鉴别码每组MO上的数据的一个功能(以后称为三维鉴别功能)应用的解释,该功能准备作为一般介质处理的一个功能。
在近些年来越来越多使用的CALS中,由它的结构数据和管理信息表达一定的I数据段。如果结构数据是简单的,该数据是由管理信息和结构数据的组合构造的。通过使用实施例中的数据保留设备一个日期和鉴别码等等被加到数据的这个项目,并且该数据可以被传送。然而,一般来说,结构数据包含多个根据结构或保密等级被分级的目标信息段。另外,每段目标信息的内容可以经常由不同的人在不同的计算机上更新。因此,希望相应于保密等级的管理被实现用于每段目标信息。
三维鉴别功能是准备用于允许进行这种管理的。这里,通过在一个数据传送处理时做的一个示例将讨论三维鉴别功能。
当使用三维鉴别功能实现数据传送时,用户输入当前装置一个信息段用于规定一个传送终端和要被传送到传送终端的数据的一些识别信息段。一个数据管理装置(一个个人计算机12)接收如图18所示的这种信息的一个输入,首先从MO读出一个或多个保存数据段(范围从数据到说明用于传送的鉴别码的数据(步骤S201))。接着,PC12识别被指示传送的用户的一个用户ID等,并且通过将用户ID与说明要被传送的保存数据的识别信息组合,传送终端识别信息和被传送的终端识别信息等等来创建一个信息项用于传送履历信息(步骤S202)。接下来,PC12给文件管理PC卡13提供读出保存数据的每段的鉴别码以及因此创建的用于传送履历信息的信息(步骤S203)。
文件管理PC卡13给一个鉴别码产生单元22提供鉴别码和用于从PC12提供的传送履历信息的信息,以及在那个时间无窜改时钟21的一个输出(时间数据)(步骤S204)。然后,文件管理PC卡13使得鉴别码产生单元22根据那些输入信息段产生鉴别码,并且当提供到鉴别码产生单元22时给PC12提供时间数据,以及由鉴别码产生单元22产生的鉴别码(步骤S205)。
接收时间数据和鉴别码提供的PC12传送到传送终端说明用于与由用于传送履历信息和加到那里的时间数据以及鉴别码等等信息组成的传送履历信息一起传送的保存数据(步骤S206)。然后,在确认传送正常地完成以后,传送履历信息和鉴别码保留在MO驱动器11(步骤S207),并且该处理到达结束。
另一方面,在步骤S206接收传送的数据并且存在于传送的终端中的数据保留设备中,有关的数据在如图19所示的过程中处理。
首先,构成接收一端数据保留设备的PC12提供给文件管理PC卡13除去尾部鉴别码的鉴别码和包含在接收的数据中的传送履历信息(步骤S301)。文件管理PC卡13获得提供信息的一个散列值(步骤S302)。以后,PC12提供给文件管理PC卡13包含在接收数据尾部的鉴别码(步骤S303)。文件管理PC卡将这个鉴别码与散列值相比较,并且输出到PC12说明是否鉴别码和散列值是相互一致的信息的一个项目(步骤S304)。
当显示这两个值不是一致的信息输入时(步骤S306;N),PC将接收的数据作为窜改的数据处理(步骤S307)。更准确地说,PC12通知用户窜改数据被接收的情况,并且根据由用户指示的内容操作。而另一方面,当表示这两个值是一致的信息输入时(步骤S306;Y),PC12在MO驱动器11中保留接收的数据(步骤S308),并且完成处理。
注意如果起动不伴随数据传送的三维鉴别功能,PC12创建一个相应于不包含根据由用户在相应于步骤202的步骤中输入的多个保存数据段的识别信息的传送终端/被传送终端识别信息的传送履历信息的信息的一项信息(以后称为用于分组履历信息的信息)。然后,在相应于步骤S203到步骤S205的步骤中,PC12或文件管理PC卡13执行使用分组履历信息的信息而不是使用传送履历信息的信息的处理。以后,PC12存储到MO被定义为通过加上时间数据(无窜改时钟21的输出)到用于分组履历信息的信息而获得信息的分组履历信息,以及由文件管理PC卡13产生的鉴别码。
即,如果这个三维鉴别功能如图20所示,鉴别码被分别地给予每段目标信息和它的管理信息,并且以后鉴别码(累加鉴别码)可以被给予所有的。因此,可行的是简单检测对于那些信息段窜改的操作或病毒感染。顺便说说,对于由三维鉴别功能给予的鉴别码的任何类型目标是可接收的。然而,例如如图21的图示,通过使用上面的三维鉴别功能,通过给予鉴别码到一个改变单元(一个改变的构造单元的不同信息)和继续被修正的信息的改变履历信息,由此得出信息的可靠性可以比现有技术更容易得到保证。
注意在实施例中的数据保留设备是用于给予鉴别码到所有数据的装置,当然,用于给予鉴别码到仅仅由用户指定的数据的装置可以被构造。另外,应该认为通过使用提供给文件管理PC卡13加密数据的功能获得的一个保密PC卡,内容不能被读出的正文在转换这个密码为如图22所示之后可以被传送到网络上,并且一个内容可以被读出的摘要和费用可以作为一个明码正文传送到网络上,但是这样一种形式使得给予鉴别码到要求校验窜改的数据的区域。
很明显在本发明中,根据本发明而不背离本发明的精神和范围可以形成许多种不同工作模式。除了附加的权利要求书的限制以外本发明不被它的具体工作模式所局限。
权利要求
1.一种在记录介质上保留数据的方法,包括当在相同的记录介质上登录多个文件(n,n+1…)时,记录通过执行第n个文件的数据加密处理与第n个文件数据一起获得的第n个鉴别码的步骤;以及当登录第(n+1)个文件的数据时,通过执行第n个鉴别码的加密处理和第(n+1)个文件数据作为第(n+1)个鉴别码产生一个第(n+1)个鉴别码的步骤。
2.一种记录介质的格式结构,包括记录了在制造过程中确定的一个数字值和一种介质的特征的一个介质识别号码区;一个存储了用户数据的用户数据保存区;当创建用户数据时记录一个日期和一个时间的时间数据区;在至少所述的介质内记录文件的登录履历的一个累加履历信息存储区;以及登录通过执行所述介质识别号码、用户数据、时间数据和累加履历信息的加密处理而获得的一个鉴别码的一个鉴别码存储区。
3.一种记录介质,记录由在制造过程中确定的一个数字值和每一种介质的特征组成的一种介质识别号码;用于保留用户数据的一个区域;时间数据,当创建用户数据时定义为一个日期和一个时间;在至少所述介质内每个文件的一个登录履历;以及通过执行所述介质识别号码、用户数据、时间数据和累加履历信息的一个加密处理获得的一个鉴别码。
4.一种存储一个程序的程序存储介质,该程序包括当在相同的记录介质上登录多个文件(n,n+1…)时,记录通过执行第n个文件的数据加密处理与第n个文件数据一起获得的第n个鉴别码的步骤;以及当登录第(n+1)个文件的数据时,通过执行第n个鉴别码的加密处理和第(n+1)个文件数据作为第(n+1)个鉴别码产生一个第(n+1)个鉴别码的步骤。
5.如权利要求2所述的一种记录介质上的一种格式结构,其中记录在另一个介质上的文件的登录履历也与在所述介质本身上的文件的登录履历一起被记录在所述累加履历信息存储区,以及根据从所述另一个介质的登录履历获得的鉴别码产生首先在所述介质本身上登录的文件的鉴别码。
6.用于保留数据在一个可附接/可分开和可重写的记录介质上的一种数据保留设备,包括时间数据输出装置,用于输出时间数据,不能调整要被输出的时间数据;鉴别码创建装置,用于当接收一个写数据请求时通过获得一个散列函数处理值创建一个这个数据项目的鉴别码,具有的信息包含那个数据项目,并且由所述时间数据输出装置用输出的时间数据作为一个输入;以及写装置,用于向所述记录介质写入由所述鉴别码创建装置创建的鉴别码,以及用于创建鉴别码的数据的这个项目和时间数据。
7.如权利要求6所述的一种数据保留设备,其中所述记录介质存储特征介质识别信息,所述鉴别码创建装置通过获得散列函数处理值创建数据的这个项目的鉴别码,信息中包含存储在所述记录介质上的介质识别信息,用作为一个输入的数据的这个项目和时间数据。
8.如权利要求6所述的一种数据保留设备,还包括累加鉴别码创建装置,用于通过获得一个散列函数处理值创建定义为相对于由多个数据段组成的一个数据组的鉴别码的累加鉴别码,具有的信息由相对于用作为一个输入的存储在所述记录介质上的多个数据段的鉴别码组成;以及累加鉴别码写装置,用于将由所述累加鉴别码创建装置创建的累加鉴别码写到所述记录介质,其方式使得与数据组对应的关系是可以理解的。
9.如权利要求7所述的一种数据保留设备,其中所述写装置是用于写数据仅仅在不用于存储数据在所述记录介质上的区域的装置,所述设备还包括创建者信息获得装置,用于获得要被写到所述记录介质的数据的一个创建者的信息;存储装置,用于存储通过所述创建者信息获得装置获得的创建者信息,以及由所述写装置存储在所述记录介质上的鉴别码和时间数据;第一个履历信息/累加鉴别码写装置,用于当预确定条件满足所述记录介质被定义为第一个版本介质的情况时,写到所述记录介质一个被定义为具有包含相对于所有用作为一个输入存储在所述记录介质上的数据的鉴别码的信息的散列函数处理值的累加鉴别码,以及第二个履历信息/累加鉴别码写装置,用于当预确定条件满足所述记录介质不被定义为第一个版本介质的情况时,获得存储在定义为所述记录介质前一个产生的记录介质的先前产生记录介质上的履历信息和累加鉴别码,获得定义为具有包含相对于所有存储在所述记录介质上的数据的信息的散列函数处理值的累加鉴别码和用作为一个输入的存储在所述先前产生记录介质上的累加鉴别码,并且写到所述记录介质获得的累加鉴别码,以及包含存储在所述存储装置上信息的履历信息和所述记录介质的介质识别信息。
10.一种数据保留方法,用于保留数据在一个可附接/可分开和可重写的记录介质上,包括一个鉴别码创建步骤,当接收一个写数据请求时创建通过获得一个具有包含这个数据项目以及用作为输入的由一个无窜改时钟输出的时间数据的信息的散列函数处理值的一个数据鉴别码。一个写步骤写到所述记录介质在所述鉴别码创建步骤中创建的鉴别码,以及用于创建鉴别码的数据的那个项目和时间数据。
11.如权利要求10所述的一种数据保留方法,其中所述记录介质存储特征介质识别信息,所述鉴别码创建步骤是一个通过获得具有包含存储在所述记录介质上的介质识别信息的信息的一个散列函数处理值的创建数据鉴别码的步骤,数据的那一项和时间数据用作为一个输入。
12.如权利要求10或11所述的一种数据保留方法,还包括一个累加鉴别码创建步骤,通过获得一个散列函数处理值创建被定义为相对于由多个数据段组成的一个数据组的一个鉴别码的一个累加鉴别码,具有的信息由相对于用作为一个输入存储在所述记录介质的多个数据段的鉴别码组成;以及一个累加鉴别码写步骤,将在所述累加鉴别码创建步骤中创建的累加鉴别码写到所述记录介质,以这样一种方式使得与数据组相应的关系是可以理解的。
13.如权利要求10所述的一种数据保留方法,其中所述写步骤是用于写数据仅仅在不用于存储数据在所述记录介质上的区域的步骤,所述方法还包括一个创建者信息获得步骤用于获得要被写到所述记录介质的数据的一个创建者的信息;一个存储步骤用于存储在所述创建者信息获得步骤获得的创建者信息,以及在所述写步骤存储在所述记录介质上的鉴别码和时间数据;第一个履历信息/累加鉴别码写步骤,用于当预确定条件满足所述记录介质被定义为第一个版本介质的情况时写到所述记录介质一个被定义为具有包含相对于所有用作为一个输入存储在所述记录介质上的数据的鉴别码的信息的散列函数处理值的累加鉴别码,以及第二个履历信息/累加鉴别码写步骤,用于当预确定条件满足所述记录介质不被定义为第一个版本介质的情况时获得存储在定义为所述记录介质前一个产生的记录介质的先前产生记录介质上的履历信息和累加鉴别码,获得定义为具有包含相对于所有存储在所述记录介质上的数据的信息的散列函数处理值的累加鉴别码和用作为一个输入的存储在所述先前产生记录介质上的累加鉴别码,并且写到所述记录介质获得的累加鉴别码,以及包含在所述存储步骤存储的信息的履历信息和所述记录介质的介质识别信息。
14.一种在多种记录介质上记录数据的方法,包括一个通过执行在第一个记录介质上记录的记录内容的加密处理产生第一个鉴别码,并且登录第一个鉴别码在所述第一个记录介质上的步骤;一个将所述第一个记录介质的记录内容的一个加密值与当读取第一个鉴别码时获得的一个值相比较的步骤;以及一个如果比较的结果表示它们之间相一致,通过执行第一个鉴别码和记录在第二个记录介质上的一个记录内容的加密处理产生第二个鉴别码,并且登录第二个鉴别码在所述第二个记录介质上的步骤。
15.如权利要求14所述的在多个记录介质上记录数据的一种方法,其中第二个记录内容至少包括所述第一个记录介质的一个记录累加履历,以及所述第二个记录介质的一个记录累加履历。
16.一种校验一个记录内容有效性的方法,包括一个将在所述第二个记录介质上记录的记录内容的加密值与来自权利要求14所述的第二个记录介质上读出的鉴别码相比较的步骤;以及一个由此判断是否在所述第一个记录介质和所述第二个记录介质之间的记录内容被窜改或者被除去的步骤。
17.一个存储程序的程序存储介质,该程序包括一个通过执行在第一个记录介质上记录的记录内容的加密处理产生第一个鉴别码,并且登录第一个鉴别码到所述第一个记录介质上的步骤;一个将在所述第一个记录介质上的记录内容的加密值与当读取第一个鉴别码时获得的值相比较的步骤;以及一个如果比较的结果表示它们之间相一致,通过执行第一个鉴别码和记录在第二个记录介质上的记录内容的加密处理产生第二个鉴别码,并且登录第二个鉴别码在所述第二个记录介质上的步骤。
全文摘要
为了保证记录在一种介质如可重写的磁光盘等等上数据的有效性,当登录多个文件(n,n+1……)在相同的记录介质上时,通过执行第n个文件的数据的加密处理获得的第n个鉴别码与第n个文件数据一起被记录,并且当登录第(n+1)个文件的数据时,通过执行第n个鉴别码和第(n+1)个文件数据的加密处理作为第(n+1)个鉴别码而产生第(n+1)个鉴别码。
文档编号G06F21/80GK1195816SQ9810567
公开日1998年10月14日 申请日期1998年3月18日 优先权日1997年4月7日
发明者秋山良太, 瓜田诚一, 田崎玄吾 申请人:富士通株式会社