[发明专利]信息处理设备和信息处理方法

说明书

提供了一种信息处理设备。内部存储单元将用于数据加密的数据加密密钥加密为经加密的数据加密密钥(EDEK)并存储经加密的密钥。第一验证单元基于从其自身的外部存储单元获取的识别信息和外部存储单元的识别信息来验证外部存储单元的有效性，其中该外部存储单元存储与EDEK有关的备份数据。另一验证单元对存储在外部存储单元中的备份数据的有效性进行验证。

技术领域

本发明涉及信息处理设备和信息处理方法。

背景技术

迄今为止，提出了如下的一种信息处理设备：其将用于数据加密的加密密钥存储在可信平台模块(TPM)(该可信平台模块是与控制器板形成为一体的安全芯片的示例)中，从而在数据被加密并存储在硬盘驱动器(HDD)、非易失性存储器(NVRAM)等中时防止加密密钥泄露(例如，参见专利文献1)。

在专利文献1中所公开的信息处理设备(其为将加密密钥存储在TPM中并将使用加密密钥进行加密的数据存储在NVRAM中的信息处理设备)包括：加密密钥检验单元，其检验从TPM获取的加密密钥的有效性；恢复密钥检验单元，当加密密钥不具备有效性时，其从作为外部存储介质的示例的SD卡获取对数据进行加密所使用的加密密钥的恢复密钥(备份数据)，从而检验恢复密钥的有效性；以及加密密钥恢复单元，当恢复密钥具备有效性时，其将恢复密钥存储在TPM中。根据是否可以正确地对存储在NVRAM中的数据进行解密来执行对存储在TPM中的加密密钥和恢复密钥的检验。

专利文献1：JP-A-2008-236089

发明内容

本发明的目的在于提供如下的信息处理设备和信息处理方法：与单次验证相比，其能够加强对备份有经加密的数据加密密钥(EDEK)的外部存储单元的有效性的验证。

[1]提供了一种信息处理设备，包括：内部存储单元，其将用于数据加密的数据加密密钥加密为经加密的数据加密密钥(EDEK)并存储经加密的密钥；第一验证单元，其基于从其自身的外部存储单元获取的识别信息来验证外部存储单元的有效性，其中该外部存储单元存储关于EDEK的备份数据和该外部存储单元的识别信息；以及另一验证单元，其验证存储在外部存储单元中的备份数据的有效性。

[2]在根据上述[1]的信息处理设备中，另一验证单元可以包括第二验证单元，当第一验证单元能够验证外部存储单元的有效性时，该第二验证单元从外部存储单元获取包括在备份数据中的第一数据，并且可以将第一数据与根据该设备的设备特定信息所生成的数据进行比较，从而验证第一数据的有效性。

[3]根据上述[1]或[2]的信息处理设备还可以包括确定内部存储单元的状态的确定单元，其中，另一验证单元可以包括第三验证单元，当确定单元确定内部存储单元处于非初始化状态时，该第三验证单元从外部存储单元获取包括在备份数据中的第二数据，从而根据是否能够利用内部存储单元的功能依据第二数据恢复内部存储单元的状态，来验证第二数据的有效性。

[4]根据上述[1]或[2]的信息处理设备还可以包括确定内部存储单元的状态的确定单元，其中，另一验证单元可以包括第四验证单元，当确定单元确定内部存储单元处于初始化状态时，该第四验证单元从外部存储单元获取包括在备份数据中的第三数据，从而根据是否能够利用内部存储单元的功能依据第三数据恢复数据加密密钥，来验证第三数据的有效性。

[5]根据上述[1]至[4]中任一项的信息处理设备还可以包括备份单元，当另一验证单元确定验证所需的数据未备份在外部存储单元中时，该备份单元生成所需的数据，从而将所生成的数据备份在外部存储单元中。

[6]根据上述[1]至[5]中任一项的信息处理设备还可以包括操作停止单元，当另一验证单元的验证失败时，该操作停止单元停止该设备的后续操作。