秘密信息存儲裝置、秘密信息的消除方法以及秘密信息的消除程序的製作方法

2023-09-18 06:50:45 1

專利名稱：秘密信息存儲裝置、秘密信息的消除方法以及秘密信息的消除程序的製作方法
技術領域：
本發明涉及檢測篡改而自動消除自己所保存的秘密信息的防篡 改裝置、秘密信息的消除方法以及秘密信息的消除程序。
背景技術：
在對用於加密的秘密密鑰進行管理的加密裝置等的、對洩漏的風
險極其高的秘密信息進行處理的裝置中，有如下風險通過使用邏輯 分析器等來對裝置內置的CPU (Central Processing Unit:中央處理 單元)、存儲器的動作進行解析，從而竊取秘密信息。因此，採取如 下措施用金屬的罩覆蓋整個裝置，並使用對軍被取下的情形進行檢 測而自動消除秘密信息的防篡改技術，來確保整個裝置的安全性。
以往的防篡改裝置在裝置的軍中具備磁通量發生裝置，並在基板 上連接了磁通量檢測裝置。當打開罩時磁通量發生裝置與磁通量檢測 裝置的相對位置發生變化，所以可以用磁通量檢測裝置來檢測磁通量 的變化。因此，防篡改裝置在檢測到磁通量的變化的情況下，進行通 過停止向易失性存儲器的電源供給從而消除保存在易失性存儲器中 的秘密信息這樣的防篡改處理(例如專利文獻l)。
另外，秘密信息有時並非一個而是存在多個。在這樣的情況下， 還提出了如下方法對覆蓋裝置的軍的拆卸等進行檢測，將保存在存 儲裝置中的多個秘密信息全部消除，從而防止密鑰信息的洩漏(例如 專利文獻2)。
專利文獻l:日本特開2006-229667號公淨艮第3 ~4頁、圖3 專利文獻2:日本特開2006 - 190222號公才艮第5 ~ 7頁、圖1 發明要解決的課題以往的防篡改裝置存在如下課題在將根據保存在本裝置內的秘 密信息而在本裝置內製作的數據發送給與本裝置連接的PC( Personal Computer (個人計算機)，以下稱為PC )等的情況下，無法千預至 該製作的數據是否被保護。
例如，考慮如下情況購買加密後的電影、音樂，使用作為防篡 改裝置的一個實施方式的防篡改加密裝置中保存的加密密鑰，對電 影、音樂的加密內容進行解密，並在連接了監視器的PC上進行再現。 在該情況下，在防篡改裝置中雖然能夠保護用於對加密內容進行解密 的加密密鑰，但是解密的電影、音樂等內容被發送給處於防篡改裝置 外部的PC。但是，PC自身不具有防篡改的結構。另外，防篡改加密 裝置無法得知PC是否利用調試器、邏輯分析器等來進行了解析。因 此，防篡改加密裝置無法幹預至發送給PC上的內容是否被正確地保 護。
另外，以往的防墓改裝置是使用開關、光學傳感器、磁傳感器、 溫度傳感器、振動傳感器等多個傳感器構成的。因此，存在如下課題 只要由某一個傳感器檢測到篡改，就將防篡改裝置內的秘密信息全部 消除，因此之後的恢復處理變得煩雜。
例如，在上述例子中示出的防篡改加密裝置中，考慮保存有內容 解密用的加密密鑰和遠程維護用的認證密鑰的情況。由於內容分發中 心進行防篡改加密裝置的維護，因此為了建立SSL等加密通信信道而 使用認證密鑰。因此，可以認為為了保護內容而不直接利用的認證密 鑰與內容保護中使用的加密密鑰相比，必須保護的程度低。另外，溫 度傳感器、振動傳感器是對設置有防篡改加密裝置的環境的變化進行 檢測的傳感器，可以認為與對罩拆卸等進行檢測的光學傳感器、磁傳 感器相比，秘密信息洩漏的風險低。在該情況下，如果即使溫度傳感 器、振動傳感器進行動作也不消除認證密鑰、而能夠僅消除重要度高 的加密密鑰，則可以抑制內容洩漏的風險，並且可以容易地進行篡改 檢測後的恢復處理(維護)。但是，在以往的防篡改加密板中，無法 根據篡改檢測的理由、秘密信息的屬性、重要度，來部分地消除秘密4§息。

發明內容
(1) 本發明的目的在於，防墓改裝置不僅針對自己，而且也針
對自己所連接的PC等外部裝置，檢測拆卸罩等的篡改行為，並且防
篡改裝置防止通過進行墓改處理而洩漏防墓改裝置內的秘密信息、或 發送給外部裝置的數據。
(2) 另外，目的還在於，在篡改檢測時，防篡改裝置不僅可以 消除自身內部的所有秘密信息，而且還可以按照利用者考慮篡改種 類、秘密信息的重要度而指定的安全性策略，考慮篡改種類、秘密信 息的重要度，部分地且選擇性地消除秘密信息，從而防止秘密信息的 洩漏，並且防止可用性的降低。
用於解決課題的手段
本發明的秘密信息存儲裝置的特徵在於，具備 傳感器對應記錄存儲部，存儲至少一個傳感器對應記錄，在該傳
感器對應記錄中，規定的秘密信息對應著至少一個傳感器，並且指定
了所對應的傳感器應滿足的檢測條件；
秘密信息存儲部，存儲至少一個秘密信息；以及
秘密信息消除部，從存儲在上述傳感器對應記錄存儲部中的傳感
器對應記錄表示的上述傳感器輸入檢測信號，根據輸入的檢測信號抽
出滿足所有檢測條件的傳感器對應記錄，並從上述秘密信息存儲部中
消除所抽出的傳感器對應記錄表示的秘密信息。
上述秘密信息存儲部的特徵在於，存儲多個秘密信息。 上述傳感器對應記錄存儲部的特徵在於，存儲多個傳感器對應記錄。
上迷傳感器對應記錄的特徵在於，包括對是否發送通知篡改檢 測的篡改檢測通知進行指示的發送指示、以及表示篡改檢測通知的發 送目的地的發送目的地地址，上述秘密信息消除部的特徵在於，在根 據所輸入的檢測信號抽出了滿足所有檢測條件的傳感器對應記錄的情況下，確認所抽出的傳感器對應記錄表示的發送指示，在發送指示 指示發送的情況下，向發送目的地地址發送篡改檢測通知。
上述傳感器對應記錄的特徵在於，還包括對是否消除自己表示的 秘密信息進行指示的消除指示，上述秘密信息消除部的特徵在於，在 根據所輸入的檢測信號抽出了滿足所有檢測條件的傳感器對應記錄 的情況下，僅在抽出的傳感器對應記錄表示的消除指示指示了秘密信 息的消除的情況下，從上述秘密信息存儲部中消除所抽出的傳感器對 應記錄表示的秘密信息。
上述秘密信息消除部的特徵在於，對成為發送篡改檢測通知的契 機的檢測信號進行監視，監視的結果，在所有的檢測信號不滿足所對 應的檢測條件的情況下，向發送了上述篡改檢測通知的發送目的地， 發送通知攻擊停止的篡改恢復通知。
上述秘密信息存儲裝置的特徵在於，還具備傳感器對應記錄設定 部，該傳感器對應記錄設定部輸入新的傳感器對應記錄和存儲在上述 傳感器對應記錄存儲部中的傳感器對應記錄的修改中使用的修改用 數據中的至少某一個而作為輸入數據，將輸入的輸入數據設定到上述 傳感器對應記錄存儲部。
上述秘密信息存儲裝置的特徵在於，用封裝(package)進行了 封裝化(packaging),上述秘密信息消除部輸入檢測信號的上述傳感 器的特徵在於，是配置在上述封裝的外部的外部傳感器和配置在上述 封裝的內部的內部傳感器中的至少某一個。
本發明的秘密信息的消除方法，是存儲秘密信息的秘密信息存儲 裝置進行的秘密信息的消除方法，其特徵在於，
傳感器對應記錄存儲部存儲至少一個傳感器對應記錄，在該傳感 器對應記錄中，規定的秘密信息對應著至少一個傳感器，並且指定了 所對應的傳感器應滿足的檢測條件，
秘密信息存儲部存儲至少 一 個秘密信息，
秘密信息消除部從存儲在上述傳感器對應記錄存儲部中的傳感 器對應記錄表示的上述傳感器輸入檢測信號，根據輸入的檢測信號抽出滿足所有檢測條件的傳感器對應記錄，並從上述秘密信息存儲部中 消除所抽出的傳感器對應記錄表示的秘密信息。
本發明的秘密信息的消除程序的特徵在於，使具備秘密信息存儲 部和傳感器對應記錄存儲部的計算機即秘密信息存儲裝置執行以下
處理
(1) 在上述傳感器對應記錄存儲部中存儲至少一個傳感器對應 記錄的處理，其中，在該傳感器對應記錄中，規定的秘密信息對應著 至少一個傳感器，並且指定了所對應的傳感器應滿足的檢測條件；
(2) 在上述秘密信息存儲部中，存儲至少一個秘密信息的處理；
(3) 從存儲在上述傳感器對應記錄存儲部中的傳感器對應記錄 表示的上述傳感器輸入檢測信號，根據輸入的檢測信號抽出滿足所有 檢測條件的傳感器對應記錄，並從上述秘密信息存儲部中消除所抽出 的傳感器對應記錄表示的秘密信息的處理。
本發明的秘密信息存儲裝置，是用封裝進行了封裝化的秘密信息 存儲裝置，其特徵在於，具備
秘密信息存儲部，存儲秘密信息；以及
秘密信息消除部，與配置在上述封裝的外部的規定部位上的外部 傳感器連接，並且在從上述外部傳感器輸入了上述外部傳感器檢測的 檢測信號時，消除存儲在上述秘密信息存儲部中的秘密信息。
發明的效果
根據本發明，可以提供一種如下的防篡改裝置防篡改裝置不僅 針對自己，而且還針對自己所連接的PC等的外部裝置檢測篡改行為。 另外，可以提供一種在篡改檢測時能夠選擇性地消除秘密信息的防篡 改裝置。


圖l是實施方式 圖2是實施方式 圖3是實施方式
1中的防篡改裝置101的使用狀態的例子。 1中的防篡改裝置101的硬體結構的例子。 1中的防篡改裝置101的塊結構圖。圖4是實施方式1中的秘密信息701的例子。
圖5是實施方式1中的防篡改策略105的例子。
圖6是實施方式1中的防篡改策略105的設定的流程圖。
圖7是實施方式1中的防篡改策略修改請求501的例子。
圖8是實施方式1中的防篡改策略設定請求601的例子。
圖9是實施方式1中的篡改檢測的流程圖。
附圖標記說明
101:防篡改裝置；102:罩；103: CPU; 104:策略設定部；105: 防篡改策略；106:策略存儲部；107:數據存儲部；108:秘密信息； 109:內部傳感器；110:外部傳感器；111:篡改檢測部；112:數據 消除部；113:電源控制部；114:電池；115:外部電源；116:篡改 通知部；117:數據處理部；118:應用程式；120:秘密信息消除部； 201:篡改檢測條件；202:消除條件；203:通知條件；201n:篡改 檢測條件記錄；202n:消除條件記錄；203n:通知條件記錄；204: 對象傳感器；205:測定值條件；206:保管場所；207:數據種類條 件；208:生成者條件；209:數據屬性條件；210:通知目的地條件； 211:通知種類；212:繼續條件；213:防篡改策略記錄；501:防墓 改策略修改請求；502:修改種類；503:修改源條件；504:修改內 容；601:防墓改策略設定請求；701:秘密信息；702:唯一 ID; 703: 數據種類；704:生成者信息；705:秘密信息主體；706:利用用途 信息；707:利用者信息；708:識別標籤；709:有效期間；810: CPU; 816:通信IF; 811: ROM; 812: RAM; 825:總線；820:快閃記憶體(flash memory) ; 821: OS; 823:程序群；824:文件群；900: PC。
具體實施方式
實施方式1
圖l是示出實施方式l中的防墓改裝置IOI的使用狀態的例子的 圖。(1)防篡改裝置101例如安裝在PC 900的內部。防篡改裝置101 保存了秘密信息A~C。防篡改裝置101從在PC 900中動作的應用程式118處輸入數據，使用所保存的秘密信息A C來處理該數據，並將處理後的數據回送給應用程式118。
(2)另外，在防篡改裝置101上，連接了配置在PC900中的多個外部傳感器110。多個外部傳感器110對PC 900的殼體的開閉、PC 900主體的移動(GPS ( Global Positioning System:全球定位系統)傳感器的情況)進行檢測，並將檢測信號發送給防篡改裝置101。(3 )防篡改裝置101在從多個外部傳感器110輸入了檢測信號時，按照預先保存的消除規則(後述的防篡改策略)，從秘密信息A~秘密信息C中選擇應消除的秘密信息並消除。特徵點在於防篡改裝置101通過外部傳感器110檢測對PC 900的攻擊來消除秘密信息；以及防篡改裝置101選擇性地消除秘密信息。
圖2是示出實施方式1中的防篡改裝置101的硬體資源的一個例子的圖。防篡改裝置101具備執行程序的CPU 103( Central ProcessingUnit:中央處理單元)。CPU 103經由總線825與ROM ( Read OnlyMemory:只讀存儲器)811、 RAM ( Random Access Memory:隨機存取存儲器)812、通信IF (InterFace:接口 ) 816、快閃記憶體820連接，並對這些硬體設備進行控制。也可以代替快閃記憶體820而使用磁碟裝置。
RAM812是易失性存儲器的一個例子。ROM 811、快閃記憶體820等存儲介質是非易失性存儲器的一個例子。它們是存儲裝置或存儲部、保存部的一個例子。通信IF816是輸入部、輸入裝置的一個例子。通信IF816也是輸出部、輸出裝置的一個例子。
通信IF 816是對CPU 103與PC 900的應用程式之間的數據交換進行中介的裝置。
在快閃記憶體820中，存儲有作業系統821 (OS)、程序群823、文件群824。由CPU 103、作業系統821來執行程序群823的程序。
在上述程序群823中，存儲有執行在以下敘述的實施方式的說明中作為" 部"說明的功能的程序。程序是由CPU103讀出並執行的。
在文件群824中，作為"~文件"、"~資料庫"的各項目，存儲有在以下敘述的實施方式的說明中作為"~的判定結果"、"~的抽出結果"、"~的生成結果"、"~的處理結果"說明的信息、後述的"防篡改
策略105"、數據、信號值、變量值或參數等。
另夕卜，在以下敘述的實施方式的說明中作為"~部，，說明的部分既可以是"~電路"、"~裝置"、"~機器"、"單元"，另外也可以是" 步驟"、"~過程"、"~處理"。即，作為" 部，，說明的部分也可以通過存儲在ROM 811中的固件來實現。或者，也可以僅通過軟體、或僅通過元件/設備/基板/布線等硬體、或通過軟體與硬體的組合、或通過軟體及硬體與固件的組合來實施。程序被CPU 103讀出，並由CPU103執行。即，程序使計算機作為以下敘述的"~部"而發揮功能。或者，使計算機執行以下敘述的"~部"的過程、方法。
圖3是示出防篡改裝置101的結構的框圖。如圖3所示，防篡改裝置101 (秘密信息存儲裝置)具備罩102 (封裝)、CPU 103、策略存儲部106 (傳感器對應記錄存儲部)、數據存儲部107、多個內部傳感器109、電源控制部113、電池114、秘密信息消除部120。
(1) CPU 103具備數據處理部117和策略設定部104。
(2 )策略存儲部106存儲有防篡改策略105。
(3 )數據存儲部107存儲有作為秘密信息108的秘密信息A、秘密信息B、秘密信息C。
(4)秘密信息消除部120具備篡改檢測部111、數據消除部112、篡改通知部116。
另外，應用程式118 (以下稱為應用程式)與CPU103連接。另外，多個外部傳感器110與篡改檢測部111連接。另夕卜，外部電源115與電源控制部113連接。
(CPU 103、數據處理部117、策略設定部104)如上所述，CPU 103具備數據處理部117和策略設定部104。數據處理部117在防篡改裝置101中，實現各種功能。數據處理部117例如在防篡改加密裝置的情況下，執行進行加密處理、解密處理的程序。數據處理部117通常處理應用程式118的數據，並將處理的數據返回給應用程式118。另外，策略設定部104如後所述，在檢測到篡改時，對策略存儲部106的防篡改策略105設定進行什麼樣的篡改檢測處理。
(防篡改策略015、策略存儲部106、數據存儲部107、秘密信息108 )
(1)數據存儲部107保存請求了在防篡改裝置101內進行保存的秘密信息108。通常根據利用的用途而保存多個秘密信息108。在圖3中，示出保存了秘密信息A、秘密信息B、秘密信息C這三個的狀態。以下，假設保存秘密信息108的數據存儲部107使用了易失性存儲器的情況而進行說明。
(2 )策略存儲部106保存有防篡改策略105。"防篡改策略105"是記述了在篡改檢測部111檢測到篡改時防篡改裝置101應如何動作的策略。以下，假設策略存儲部106是非易失性存儲器而進行說明。
(罩102、內部傳感器109、外部傳感器IIO)
(1) 為了使難以針對內置於防篡改裝置101中的CPU 103、存儲器、其它IC (Intergrated Circuit:集成電路)、以及將它們進行連接的布線等，進行利用邏輯分析器或調試器等的硬體解析、利用電磁波、X射線引起誤動作等的攻擊，用罩102 (封裝)覆蓋防篡改裝置101的整體或一部分。另外，圖3的虛線表示由罩102密封的區域。電池114由於需要更換，所以沒有利用罩102來密封。通常，作為罩102，使用金屬制罩、利用環氧樹脂的模(mould)等。
(2) 圖3示出多個內部傳感器109。內部傳感器109是配置在罩102內部的傳感器，是用於檢測針對防篡改裝置101的攻擊的傳感器。內部傳感器109例如由對罩102的拆卸進行檢測的開關、對防篡改裝置101的卸下進行檢測的光傳感器、對防篡改裝置101中的衝擊進行檢測的陀螺傳感器等傳感器構成。通常連接有多個傳感器，但在本實施方式1中，在存在外部傳感器110的情況下，有時也可以省略。
(3) 外部傳感器IIO是為了讀取設置有防篡改裝置101的環境的變化，而配置在防篡改裝置101的軍102的外部，並與防墓改裝置101另行連接的傳感器。外部傳感器110例如由對連接有防篡改裝置101的PC 900的罩(篋體)的開閉進行檢測的光傳感器、對PC卯O被拿走的情形進行檢測的GPS傳感器等構成。該外部傳感器110根據利用防篡改裝置101的狀況以及預想受到什麼樣的攻擊，而針對每個用途另行連接了合適的傳感器。
(篡改檢測部111、數據消除部112、電源控制部113、電池114、外部電源115、墓改通知部116)
(1) 篡改檢測部111通過對內部傳感器109、外部傳感器110的狀況進行監視，來檢測針對防墓改裝置101的攻擊、從攻擊的恢復、設置有防篡改裝置101的環境的變化等。篡改檢測部lll根據保存在策略存儲部106中的防篡改策略105,向數據消除部112、電源控制部113、墓改通知部116發出墓改處理或篡改恢復處理的指令。
(2) 數據消除部112按照來自篡改檢測部111的指示，將保存在數據存儲部107中的秘密信息108的全部、或秘密信息108的一部分(例如僅秘密信息A、或秘密信息A和秘密信息B )進行消除或初始化。
(3) 篡改通知部116按照來自篡改檢測部111的指示，對在CPU103上動作的程序即數據處理部117、利用防篡改裝置101的應用程式118，發送表示檢測到篡改的"篡改檢測通知"、表示從篡改狀況恢復的"篡改恢復通知"。
(4) 電池114、外部電源115對作為易失性存儲器的數據存儲部107供給電力。通常，外部電源115兼做用於使防篡改裝置101內的CPU103等動作的電源。電池114限定性地供給電力，使得即使外部電源115不動作也可以使篡改檢測部111、數據消除部112、電源控制部113、數據存儲部107等進行篡改檢測。
(5) 電源控制部113將從與防篡改裝置101連接的電池114、外部電源115供給的電力提供給數據存儲部107，並且根據篡改檢測部111的指示，開啟(On) /關斷(Off)向數據存儲部107的電力供給。
(應用程式118)應用程式118是在連接有防篡改裝置101的PC等中進行動作的程序等。應用程式118是為了利用防篡改裝置101而另外準備的功能。應用程式118對數據處理部117委託數據處理並接收其結果。或者，應用程式118對策略設定部104委託防篡改策略105的設定、修改。或者，應用程式118具有從篡改通知部116接收"篡改檢測通知"、"墓改恢復通知"的功能。
圖4是示出秘密信息的數據形式的圖。圖4的秘密信息701由唯一ID702、數據種類703、生成者信息704、秘密信息主體705、利用用途信息706、利用者信息707、識別標籤708、有效期間709構成。這些項目是在圖5的防篡改策略記錄213的消除條件記錄202n中指定的。
圖5是示出防墓改策略105的結構的圖。防篡改策略105是表示在檢測到篡改時進行什麼樣的篡改檢測處理的策略(規則)。參照圖5，對防篡改策略105的結構進行說明。
防篡改策略105是具有篡改檢測條件201、消除條件202、以及通知條件203這三個列的表。
(1)墓改檢測條件201 (檢測條件)示出在各傳感器的測定值成為什麼樣的狀態時判斷為檢測到篡改的條件。
(2 )消除條件202示出用於確定要消除的秘密信息的條件。
(3)通知條件203示出在進行了篡改處理、篡改恢復處理時將其處理結果通知給何處。通知條件203包括對是否發送通知篡改檢測的"墓改檢測通知"進行指示的"發送指示"、以及表示"篡改檢測通知"的發送目的地的發送目的地地址。
(防篡改策略記錄213 )
防篡改策略105的各行是防篡改策略記錄213。防篡改策略記錄213由篡改檢測條件記錄201n、消除條件記錄202n、以及通知條件記錄203n構成。
(1 )篡改檢測條件記錄201n記載有墓改檢測條件201的具體的值。(2 )消除條件記錄202n記載有消除條件202的具體的值。(3 )通知條件記錄203n記載有通知條件203的具體的值。防篡改策略記錄213無需指定篡改檢測條件記錄201n 通知條件記錄203n的全部。例如，也可以是指定篡改檢測條件記錄201n和消除條件記錄202n (確定成為消除對象的秘密信息的記錄)、而不指定通知條件記錄203n的情況。另外，在至少指定了篡改檢測條件記錄201n和消除條件記錄202n的防篡改策略記錄213 (傳感器對應記錄的一個例子)的情況下，在篡改檢測條件記錄201n表示的傳感器檢測到滿足測定值條件的值時，秘密信息消除部120消除消除條件記錄202n表示的秘密信息。另外，也可以僅指定消除條件記錄202n。在該情況下，由消除條件記錄202n確定的秘密信息與利用傳感器進行的檢測無關地，都不會成為消除的對象。另外，在多個防篡改策略記錄213中的任一個消除條件記錄202n中都沒有指定的秘密信息，與利用傳感器進行的檢測無關地，都不會成為消除的對象。(墓改檢測條件記錄201n )
篡改檢測條件記錄201b是將用於唯一地確定內部傳感器109或外部傳感器110的對象傳感器204、與表示用於判斷為檢測到篡改的測定值的範圍的測定值條件205的組集中多個而構成的。(消除條件記錄202n)
消除條件記錄202n是用於確定在滿足篡改檢測條件記錄201n的條件的情況下消除的秘密信息的信息。消除條件記錄202n通過指定圖4所示的秘密信息701的項目，來確定成為消除對象的秘密信息。消除條件記錄202n由保管場所206、數據種類條件207、生成者條件208、以及數據屬性條件209構成。
(1 )保管場所206是表示在數據存儲部107由多個IC晶片構成、或即使是一個IC晶片也被邏輯地分割的情況等下將保管在何處的數據設為消除對象的信息。
(2)數據種類條件207是用於在對數據附加了種類信息的情況下對其進行指定的信息。例如在防篡改加密裝置的情況下，作為數據種類條件207而指定"秘密密鑰"、"共用密鑰"等數據種類。
(3)生成者條件208是用於確定生成了秘密信息的程序、用戶的信息。例如，指定"數據處理部117"、"應用程式118"、"主機側OS"等程序，或者指定用於確定"用戶A"、"用戶B"等進行了操作的人的信息等。
(4 )數據屬性條件209是用於根據對數據附加的保管場所206、數據種類條件207、生成條件208以外的條件來確定秘密信息的信息。例如，可以指定對秘密信息附加的唯一 ID702或識別信息等屬性、"絕密"等重要度、或"文書籤名用"等用途信息等。
(通知條件記錄203n )通知條件記錄203n是對"墓改檢測通知，，或"篡改恢復通知，，的發送條件進行指定的信息。
(1) 通知目的地條件210 (發送目的地地址的一個例子)記載有用於確定作為通知目的地的數據處理部117、應用程式118的信息。
(2) 通知種類211 (發送指定)是用於指定通知篡改檢測通知、篡改恢復通知中的某一個或兩個的信息。也可以是"不發送，，這樣的指定。或者，也可以是如下設定即使在滿足篡改檢測條件201的情況下，也不消除秘密信息，而僅發送篡改檢測通知。例如，對防篡改策略記錄213，還加上指定是否消除秘密信息的"消除指定"。並且，秘密信息消除部120即使在滿足篡改檢測條件記錄201n的情況下，也僅在防墓改策略記錄213表示的"消除指定，，指定消除秘密信息的情況下，從數據存儲部107中消除消除條件記錄202n表示的秘密信息。
(3) 繼續條件212是表示僅通知一次、還是繼續定期地進行通知的信息。
圖6是示出防篡改策略105的設定過程的流程圖。參照圖6，對防篡改策略105的設定過程的動作進行說明。
首先，在S301中，應用程式118確保與防篡改裝置101的通信路徑，根據例如作為IC卡而實現的防篡改裝置101所決定的認證方式，進行登錄處理。接下來在S302中，應用程式118對策略設定部104，作為輸入數據而發送後述的防篡改策略修改請求501、或後述的防篡改策略設定請求601。策略設定部104接收防篡改策略修改請求501、或防墓改策略設定請求601。
(防篡改策略修改請求501)
圖7示出防篡改策略修改請求501 (修改用數據的一個例子、新的傳感器對應記錄的一個例子)。防篡改策略修改請求501是用於變更已經設定的防墓改策略105的一部分的請求。數據結構如圖7所示。
(1) 修改種類502表示"消除"、"變更"或"追加"等針對作為防篡改策略105的結構要素的防篡改策略記錄213的操作的內容。
(2) 修改源條件503表示用於指定成為修改對象的防篡改策略記錄213的條件即記錄序號、對象傳感器204、測定值條件205。
(3) 修改內容504表示追加、變更後的防篡改策略記錄213的內容。
(4 ) j，務改源條件503、 f務改內容504是與4務改種類502相應地保存的信息，有時全都不包含信息。(防篡改策略設定請求601)
圖8示出防篡改策略設定請求601。防篡改策略設定請求601是用於將設定的防篡改策略105全部更換的請求。如圖8所示，在防篡改策略設定請求601中，保存有新的防篡改策略105。
接下來，在S303、 S304中，策略設定部104在S302中接收到防篡改策略設定請求601的情況下，將從防篡改策略設定請求601中取出的防篡改策略105覆蓋到預先保管在策略存儲部106中的防篡改策略105上而進行更換。策略設定部104在接收到防篡改策略修改請求501的情況下，從記錄在策略存儲部106中的防篡改策略105中取出與修改源條件503 —致的防墓改策略記錄213，根據記載於修改內容504中的信息，進行可以根據修改種類502來確定的追加、變更或消除等處理。
最後在S305中，應用程式118釋放在S301中建立的通信路徑，並結束處理。
通過以上過程，應用程式118可以設定防墓改裝置101內的防篡改策略105。
接下來，使用圖9，說明在攻擊者嘗試了防墓改裝置101的分解等時防篡改裝置101檢測篡改、並消除秘密信息時的過程。
最初，在S401中，墓改檢測部111從策略存儲部106中讀入防篡改策略105,取出所有的篡改檢測條件記錄201n。
接下來，在S402中，篡改檢測部111讀取內部傳感器109、外部傳感器110的測定值。然後，篡改檢測部lll在讀入的所有的篡改檢測條件記錄201n之中，抽出條件成立的篡改檢測條件記錄201n。即，篡改檢測部111在讀取了內部傳感器109、外部傳感器110的測定值(檢測信號)時，根據輸入的測定值，檢測(抽出)滿足全部墓改檢測條件記錄201n (檢測條件)的防篡改策略記錄213。
接下來，在S403中，篡改檢測部111從包含有在S402中檢測到條件成立的篡改檢測條件記錄201n的防篡改策略記錄213中，取出消除條件記錄202n和通知條件記錄203n。然後，篡改檢測部111解析消除條件記錄202n而決定要消除的秘密信息的條件，解析通知條件記錄203n而決定通知目的地程序的條件。
接下來，在S404中，篡改檢測部111根據S403的消除條件記錄202n的解析結果，判斷是否進行秘密信息的消除。在進行消除的情況下進入S405的處理，在不進行消除的情況下進入S409的處理。
接下來，在S405中，篡改檢測部111根據S403的消除條件記錄202n的解析結果，判定能否通過切斷電源來一併消除、或者是否程序性地進行部分消除。在可以通過切斷電源來一併消除的情況下進入S408的處理，在需要程序性地消除的情況下進入S406的處理。
接下來，在S406中，篡改檢測部111在S405中判定為程序性地進行部分消除的情況下，根據在S403中決定的要消除的秘密信息的條件，從數據存儲部107中確定應消除的所有秘密信息，並對數據消除部112輸出消除的指示。接下來，在S407中，數據消除部112在數據存儲部107中，確定在S406中從篡改檢測部111指定的秘密信息，並全部消除。之後，進入S409的處理。
接下來，在S408中，篡改檢測部lll在S405中判定為通過切斷電源進行一併消除的情況下，對電源控制部113發出切斷電源的請求，停止對數據存儲部107的電力供給。在數據存儲部107是易失性存儲器的情況下，通過切斷電源，所保持的秘密信息被自然地消除。
接下來，在S409中，篡 文檢測部111根據S403的通知條件記錄203n的解析結果即通知目的地程序的條件，來判定是否存在發送"墓改檢測通知"的程序。在存在的情況下，篡改檢測部111對墓改通知部116發出了通知指示之後進入S410的處理，在不存在的情況下結束處理。
接下來，在S410中，篡改通知部116確認與在S409中從篡改檢測部111接收到的通知指示相應的數據處理部117是否在CPU 103上進行動作，並對所有的數據處理部117發送篡改檢測通知。篡改通知部116在接收到繼續地通知的通知指示的情況下，存儲通知目的地，並繼續發送篡改檢測通知。
接下來，在S411中，當在S409中從篡改檢測部lll接收到的通知指示指示向應用程式118發送篡改檢測通知的情況下，篡改通知部116按照該通知指示，對在主機PC上進行動作的應用程式118、 OS等相應的所有程序發送篡改檢測通知。篡改通知部116在從篡改檢測部lll接收到繼續地通知的通知指示的情況下，存儲通知目的地，並繼續發送篡改檢測通知。
在以上的實施方式l中，說明了作為裝置的防墓改裝置101，但也可以通過將防篡改裝置101的各部的動作設為處理，從而作為使計算機執行防篡改裝置101的動作的秘密信息的消除程序而掌握。另夕卜，也可以將防篡改裝置101的各部的一系列的動作作為秘密信息的消除方法而掌握。
如上所述，篡改檢測部111不僅可以連接內部傳感器109，而且還可以連接對設置了防篡改裝置101的PC的罩的開閉進行檢測的開關、或可以對設置了防篡改裝置101的PC的設置位置進行測定的GPS等的、對設置了防篡改裝置101的環境的變化進行檢測的外部傳感器。因此，防篡改裝置101不僅是對自己的軍，而且還對自己所連接的PC等外部裝置也檢測拆卸罩等的篡改行為，並進行墓改處理。由此，可以防止洩漏防篡改裝置101內的秘密信息、對PC等外部裝置發送的數據。
另外，在防篡改策略105中，作為篡改檢測的判斷條件，可以設定多個內部傳感器109和外部傳感器110的測定值條件。並且，使用多個所設定的測定條件，來判斷篡改檢測。因此，不僅可以根據一個傳感器的反應來檢測篡改，而且還可以將一部分傳感器設為無效、或通過多個傳感器的組合來檢測篡改。由此，可以根據所利用的系統中要求的安全要件，靈活地變更防篡改的級別(level)。
另夕卜，在防篡改策略015中，對要消除的秘密信息進行指定的消除條件202，是針對每個篡改發生的判斷條件即篡改檢測條件201進行指定的。因此，應消除的秘密信息可以根據檢測篡改的傳感器來進行變更。因此，在外部傳感器IIO檢測到篡改的情況下，僅消除機密度極其高的秘密信息，或在內部傳感器109檢測到篡改的情況下不消除維護用的秘密信息而進行保存等，可以根據利用的系統中要求的安全要件來靈活地變更防篡改的級別。
另外，在防篡改策略105中，在發生了篡改時可以指定是否對數據處理部117、應用程式118發送墓改檢測通知。並且，墓改通知部116發送篡改檢測通知。因此，數據處理部117、應用程式118可以迅速地得知檢測到墓改的情形。因此，可以拒絕受理使用了秘密信息的處理，或者消除在這之前(通知以前)作成的數據。因此，關於使用秘密信息進行了解密的內容等主機PC中存在的數據，也可以降低其洩漏的風險。
另外，由於可以經由在CPU 103上動作的策略設定部104來設定保存在策略存儲部106中的防篡改策略105，所以不僅是板(board)出廠時(防篡改裝置100作為板而實現的情況)設定的防墓改策略105，
而且利用它的系統的管理者可以根據利用的系統中要求的安全要件，
靈活地變更防篡改的級別。
另外，在圖3中，示出了在CPU 103上動作的數據處理部117是一個的情況。但是，數據處理部117不限於由一個程序構成，也可以由多個程序構成。另外，也可以存在目的不同的多個數據處理部117。
另外，將數據存儲部107設為易失性存儲器，但不限於此，也可以是非易失性存儲器。但是，在非易失性存儲器的情況下無法僅通過切斷電源來消除數據，所以需要例如在磁存儲器時代替電源控制部113而連接磁場發生裝置，在半導體存儲器的情況下連接利用高電壓的存儲器破壞裝置，或者根據所利用的存儲器的種類來選擇合適的一併消除方法。
另外，設為將多個內部傳感器109連接到篡改檢測部111上，但在使用拆卸極其困難的利用環氧樹脂的模等的軍的情況等，認為軍被拆卸的風險極低時，也可以不需要一定利用內部傳感器109。
另外，在圖9中示出了墓改檢測時的動作，但篡改恢復時的動作也相同。在該情況下，秘密信息消除部120對成為發送篡改檢測通知的契機的傳感器的檢測信號進行監視，監視的結果，在成為發送篡改檢測通知的契機的所有傳感器的檢測信號不滿足所對應的篡改檢測記錄(檢測條件)的情況下，向發送了篡改檢測通知的發送目的地，發送通知攻擊停止的篡改恢復通知。
權利要求
1.一種秘密信息存儲裝置，其特徵在於，具備傳感器對應記錄存儲部，存儲至少一個傳感器對應記錄，在該傳感器對應記錄中，規定的秘密信息對應著至少一個傳感器，並且指定了所對應的傳感器應滿足的檢測條件；秘密信息存儲部，存儲至少一個秘密信息；以及秘密信息消除部，從存儲在上述傳感器對應記錄存儲部中的傳感器對應記錄表示的上述傳感器輸入檢測信號，根據輸入的檢測信號抽出滿足所有檢測條件的傳感器對應記錄，並從上述秘密信息存儲部中消除所抽出的傳感器對應記錄表示的秘密信息。
2. 根據權利要求l所述的秘密信息存儲裝置，其特徵在於， 上述秘密信息存儲部存儲多個秘密信息。
3. 根據權利要求2所述的秘密信息存儲裝置，其特徵在於， 上述傳感器對應記錄存儲部存儲多個傳感器對應記錄。
4. 根據權利要求l所述的秘密信息存儲裝置，其特徵在於， 上述傳感器對應記錄包括對是否發送通知篡改檢測的篡改檢測通知進行指示的發送指示、以及表示篡改檢測通知的發送目的地的發 送目的地地址，上述秘密信息消除部在根據所輸入的檢測信號抽出了滿足所有 檢測條件的傳感器對應記錄的情況下，確認所抽出的傳感器對應記錄 表示的發送指示，在發送指示指示發送的情況下，向發送目的地地址 發送篡改檢測通知。
5. 根據權利要求4所述的秘密信息存儲裝置，其特徵在於， 上述傳感器對應記錄還包括對是否消除自己表示的秘密信息進行指示的消除指示，上述秘密信息消除部在根據所輸入的檢測信號抽出了滿足所有 檢測條件的傳感器對應記錄的情況下，僅在抽出的傳感器對應記錄表 示的消除指示指示了秘密信息的消除的情況下，從上述秘密信息存儲部中消除所抽出的傳感器對應記錄表示的秘密信息。
6. 根據權利要求4所述的秘密信息存儲裝置，其特徵在於， 上述秘密信息消除部對成為發送篡改檢測通知的契機的檢測信號進行監視，監視的結果，在所有的檢測信號不滿足所對應的檢測條 件的情況下，向發送了上述篡改檢測通知的發送目的地，發送通知攻 擊停止的篡改恢復通知。
7. 根據權利要求l所述的秘密信息存儲裝置，其特徵在於， 上述秘密信息存儲裝置還具備傳感器對應記錄設定部，該傳感器對應記錄設定部輸入新的傳感器對應記錄和存儲在上述傳感器對應 記錄存儲部中的傳感器對應記錄的修改中使用的修改用數據中的至 少某一個而作為輸入數據，將輸入的輸入數據設定到上述傳感器對應 記錄存儲部。
8. 根據權利要求l所述的秘密信息存儲裝置，其特徵在於， 上述秘密信息存儲裝置用封裝進行了封裝化， 上述秘密信息消除部輸入檢測信號的上述傳感器，是配置在上述封裝的外部的外部傳感器和配置在上述封裝的內部的內部傳感器中 的至少某一個。
9. 一種秘密信息的消除方法，是存儲秘密信息的秘密信息存儲 裝置進行的秘密信息的消除方法，其特徵在於，傳感器對應記錄存儲部存儲至少一個傳感器對應記錄，在該傳感 器對應記錄中，規定的秘密信息對應著至少一個傳感器，並且指定了 所對應的傳感器應滿足的檢測條件，秘密信息存儲部存儲至少一個秘密信息，秘密信息消除部從存儲在上述傳感器對應記錄存儲部中的傳感 器對應記錄表示的上述傳感器輸入檢測信號，根據輸入的檢測信號抽 出滿足所有檢測條件的傳感器對應記錄，並從上述秘密信息存儲部中 消除所抽出的傳感器對應記錄表示的秘密信息。
10. —種秘密信息的消除程序，其特徵在於， 使具備秘密信息存儲部和傳感器對應記錄存儲部的計算機即秘密信息存儲裝置執行以下處理(1)在上述傳感器對應記錄存儲部中存儲至少一個傳感器對應 記錄的處理，其中，在該傳感器對應記錄中，規定的秘密信息對應著 至少 一個傳感器，並且指定了所對應的傳感器應滿足的檢測條件；(2 )在上述秘密信息存儲部中，存儲至少一個秘密信息的處理； (3)從存儲在上述傳感器對應記錄存儲部中的傳感器對應記錄 表示的上述傳感器輸入檢測信號，根據輸入的檢測信號抽出滿足所有 檢測條件的傳感器對應記錄，並從上述秘密信息存儲部中消除所抽出 的傳感器對應記錄表示的秘密信息的處理。
11. 一種用封裝進行了封裝化的秘密信息存儲裝置，其特徵在於，具備秘密信息存儲部，存儲秘密信息；以及秘密信息消除部，與配置在上述封裝的外部的規定部位上的外部 傳感器連接，並且在從上述外部傳感器輸入了上述外部傳感器檢測出 的檢測信號時，消除存儲在上述秘密信息存儲部中的秘密信息。
全文摘要
防篡改裝置(101)安裝在PC(900)的內部，保存有秘密信息(A～C)。防篡改裝置(101)從在PC(900)中動作的應用程式(118)輸入數據，使用所保存的秘密信息(A～C)對該數據進行處理，將處理的數據回送給應用程式(118)。在防篡改裝置101上連接有配置於PC(900)中的多個外部傳感器(110)。多個外部傳感器(110)對PC(900)的殼體的開閉、PC(900)主體的移動進行檢測，將檢測信號發送給防篡改裝置(101)。防篡改裝置(101)在從多個外部傳感器(110)輸入了檢測信號時，按照預先保存的防篡改策略，從秘密信息(A～C)中選擇應消除的秘密信息並消除。
文檔編號G06F21/06GK101627392SQ20078005210
公開日2010年1月13日 申請日期2007年3月27日 優先權日2007年3月27日
發明者服部充洋, 松田規, 米田健 申請人:三菱電機株式會社