JP4838349B2 - 秘密情報記憶装置及び秘密情報の消去方法及び秘密情報の消去プログラム - Google Patents
秘密情報記憶装置及び秘密情報の消去方法及び秘密情報の消去プログラム Download PDFInfo
- Publication number
- JP4838349B2 JP4838349B2 JP2009506179A JP2009506179A JP4838349B2 JP 4838349 B2 JP4838349 B2 JP 4838349B2 JP 2009506179 A JP2009506179 A JP 2009506179A JP 2009506179 A JP2009506179 A JP 2009506179A JP 4838349 B2 JP4838349 B2 JP 4838349B2
- Authority
- JP
- Japan
- Prior art keywords
- secret information
- sensor
- tamper
- record
- storage unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/86—Secure or tamper-resistant housings
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2143—Clearing memory, e.g. to prevent the data from being stolen
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Description
この発明は、タンパを検知して、自己の格納している秘密情報を自動消去する耐タンパ装置及び秘密情報の消去方法及び秘密情報の消去プログラムに関する。
暗号に用いる秘密鍵を管理する暗号装置など、漏洩のリスクが極めて高い秘密情報を扱う装置では、ロジックアナライザなどを用いて装置内蔵のCPU(Central Processing Unit)やメモリの動作を解析する事により、秘密情報の盗難が行われるリスクがある。そのため、装置全体を金属のカバーで覆い、カバーが外された事を検知して秘密情報を自動消去する耐タンパ技術を用いて、装置全体の安全性を確保する処置がとられていた。
従来の耐タンパ装置は、装置のカバーに磁束発生装置を備え、基板上に磁束検知装置が接続される。カバーを開けると磁束発生装置と磁束検知装置との相対位置が変化するため、磁束検知装置で磁束の変化を検知する事ができる。そこで、耐タンパ装置は、磁束の変化を検知した場合、揮発性メモリへの電源供給を停止する事によって、揮発性メモリに保存された秘密情報を消去する様な耐タンパ処理を行っていた(例えば、特許文献1)。
また、秘密情報が一つではなく複数存在する場合もある。この様な場合では、装置を覆うカバーの取り外しなどを検知し、記憶装置に保存された複数の秘密情報を全て削除する事により鍵情報の漏洩を防止する方法も提案されている(例えば、特許文献2)。
特開2006−229667号公報 第3頁〜4頁、第3図
特開2006−190222号公報 第5頁〜7頁、第1図
従来の耐タンパ装置は、自装置内に保存された秘密情報を元にして自装置内で作成したデータを自装置と接続されたPC(Personal Computer、以下PCという)などに送付した場合、その作成したデータが保護されているかどうかまでは関与できないという課題があった。
例えば、暗号化された映画や音楽を購入し、耐タンパ装置の一実装形態である耐タンパ暗号装置に保存されている暗号鍵を用いて映画や音楽の暗号化コンテンツを復号し、モニタが接続されたPC上で再生する場合を考える。この場合、耐タンパ装置では暗号化コンテンツを復号するための暗号鍵を保護する事はできるが、復号した映画や音楽などのコンテンツは、耐タンパ装置の外にあるPCに送付される。しかし、PC自身は耐タンパの仕組みを持たない。また、耐タンパ暗号装置は、PCがデバッガやロジックアナライザなどを用いて解析されているかどうかを知る事ができない。そのため、耐タンパ暗号装置は、PC上に送付されたコンテンツが正しく保護されているかどうかまで関与する事ができなかった。
また、従来の耐タンパ装置は、スイッチ、光学センサ、磁気センサ、温度センサ、振動センサなど、複数のセンサを用いて構成されていた。そのため、いずれか一つのセンサがタンパを検知しただけで、耐タンパ装置内の秘密情報が全て消去されてしまうため、その後のリカバリ処理が煩雑になるという課題があった。
例えば、前記の例で示した耐タンパ暗号装置において、コンテンツ復号用の暗号鍵と、遠隔保守用の認証鍵とが格納されている場合を考える。認証鍵は、コンテンツ配信センタが耐タンパ暗号装置のメンテナンスを行うため、SSLなどの暗号通信チャネルを確立するために用いるものである。そのため、コンテンツ保護のために直接的に利用しない認証鍵は、コンテンツ保護に用いる暗号鍵に比べて保護しなければならない度合いが低いと考えられる。また、温度センサや振動センサは、耐タンパ暗号装置がおかれている環境の変化を検知するセンサであって、カバー取り外しなどを検知する光学センサや磁気センサに比べ、秘密情報が漏洩するリスクが低いと考えられる。この場合、温度センサや振動センサが動作しても認証鍵は消去せず、重要度が高い暗号鍵のみを消去する事ができれば、コンテンツが漏洩するリスクは抑えつつ、タンパ検知後のリカバリ処理(メンテナンス)を容易にできる。しかし、従来の耐タンパ暗号ボードでは、タンパ検出の理由や秘密情報の属性や重要度に応じて、秘密情報を部分的に消去する事ができなかった。
(1)この発明は、耐タンパ装置が自己に対するだけでなく、自己が接続されたPCなどの外部装置に対しても、カバー取り外しなどのタンパ行為が行われた事を検知し、そして、耐タンパ装置がタンパ処理を行う事により、耐タンパ装置内の秘密情報や外部装置に送付したデータが漏洩するのを防ぐ事を目的とする。
(2)また、タンパ検知時において、耐タンパ装置は自己の内部の全ての秘密情報を消去するだけでなく、利用者がタンパ種別や秘密情報の重要度を考慮して指定したセキュリティポリシに従って、タンパ種別や秘密情報の重要度を考慮して、部分的、選択的に秘密情報を削除する事を可能とする事により、秘密情報の漏洩を防止するとともに、可用性の低下を防止する事を目的とする。
(2)また、タンパ検知時において、耐タンパ装置は自己の内部の全ての秘密情報を消去するだけでなく、利用者がタンパ種別や秘密情報の重要度を考慮して指定したセキュリティポリシに従って、タンパ種別や秘密情報の重要度を考慮して、部分的、選択的に秘密情報を削除する事を可能とする事により、秘密情報の漏洩を防止するとともに、可用性の低下を防止する事を目的とする。
この発明の秘密情報記憶装置は、
所定の秘密情報に少なくとも一つのセンサが対応付けられているとともに対応付けられているセンサの満たすべき検知条件が指定されている少なくとも一つのセンサ対応レコードを記憶するセンサ対応レコード記憶部と、
少なくとも一つの秘密情報を記憶する秘密情報記憶部と、
前記センサ対応レコード記憶部に記憶されたセンサ対応レコードの示す前記センサから検知信号が入力された場合に、入力された検知信号に基づき検知条件の全てが満たされているセンサ対応レコードを抽出し、抽出されたセンサ対応レコードの示す秘密情報を前記秘密情報記憶部から消去する秘密情報消去部と
を備えたことを特徴とする。
所定の秘密情報に少なくとも一つのセンサが対応付けられているとともに対応付けられているセンサの満たすべき検知条件が指定されている少なくとも一つのセンサ対応レコードを記憶するセンサ対応レコード記憶部と、
少なくとも一つの秘密情報を記憶する秘密情報記憶部と、
前記センサ対応レコード記憶部に記憶されたセンサ対応レコードの示す前記センサから検知信号が入力された場合に、入力された検知信号に基づき検知条件の全てが満たされているセンサ対応レコードを抽出し、抽出されたセンサ対応レコードの示す秘密情報を前記秘密情報記憶部から消去する秘密情報消去部と
を備えたことを特徴とする。
前記秘密情報記憶部は、
複数の秘密情報を記憶することを特徴とする。
複数の秘密情報を記憶することを特徴とする。
前記センサ対応レコード記憶部は、
複数のセンサ対応レコードを記憶することを特徴とする。
複数のセンサ対応レコードを記憶することを特徴とする。
前記センサ対応レコードは、
タンパの検出を通知するタンパ検出通知を送信するかどうかを指示する送信指示と、タンパ検出通知の送信先を示す送信先アドレスとを含み、
前記秘密情報消去部は、
入力した検知信号に基づき検知条件の全てが満たされているセンサ対応レコードを抽出した場合に、抽出されたセンサ対応レコードの示す送信指示を確認し、送信指示が送信を指示する場合には、送信先アドレスにタンパ検出通知を送信することを特徴とする。
タンパの検出を通知するタンパ検出通知を送信するかどうかを指示する送信指示と、タンパ検出通知の送信先を示す送信先アドレスとを含み、
前記秘密情報消去部は、
入力した検知信号に基づき検知条件の全てが満たされているセンサ対応レコードを抽出した場合に、抽出されたセンサ対応レコードの示す送信指示を確認し、送信指示が送信を指示する場合には、送信先アドレスにタンパ検出通知を送信することを特徴とする。
前記センサ対応レコードは、さらに、
自己の示す秘密情報を消去するかどうかを指示する消去指示を含み、
前記秘密情報消去部は、
入力した検知信号に基づき検知条件の全てが満たされているセンサ対応レコードを抽出した場合に、抽出されたセンサ対応レコードの示す消去指示が秘密情報の消去を指示している場合にのみ、抽出されたセンサ対応レコードの示す秘密情報を前記秘密情報記憶部から消去することを特徴とする。
自己の示す秘密情報を消去するかどうかを指示する消去指示を含み、
前記秘密情報消去部は、
入力した検知信号に基づき検知条件の全てが満たされているセンサ対応レコードを抽出した場合に、抽出されたセンサ対応レコードの示す消去指示が秘密情報の消去を指示している場合にのみ、抽出されたセンサ対応レコードの示す秘密情報を前記秘密情報記憶部から消去することを特徴とする。
前記秘密情報消去部は、
タンパ検出通知を送信する契機となった検知信号を監視し、監視の結果、すべての検知信号が対応する検知条件を満たさなくなった場合に、前記タンパ検出通知を送信した送信先に、攻撃が停止したことを通知するタンパ回復通知を送信することを特徴とする。
タンパ検出通知を送信する契機となった検知信号を監視し、監視の結果、すべての検知信号が対応する検知条件を満たさなくなった場合に、前記タンパ検出通知を送信した送信先に、攻撃が停止したことを通知するタンパ回復通知を送信することを特徴とする。
前記秘密情報記憶装置は、さらに、
入力データとして、新たなセンサ対応レコードと、前記センサ対応レコード記憶部に記憶されているセンサ対応レコードの修正に使用する修正用データとの少なくともいずれかが入力された場合に、入力された入力データを前記センサ対応レコード記憶部に設定するセンサ対応レコード設定部を備えたことを特徴とする。
入力データとして、新たなセンサ対応レコードと、前記センサ対応レコード記憶部に記憶されているセンサ対応レコードの修正に使用する修正用データとの少なくともいずれかが入力された場合に、入力された入力データを前記センサ対応レコード記憶部に設定するセンサ対応レコード設定部を備えたことを特徴とする。
前記秘密情報記憶装置は、
パッケージでパッケージングされており、
前記秘密情報消去部に検知信号を入力する前記センサは、
前記パッケージの外部に配置された外部センサと前記パッケージの内部に配置された内部センサとの少なくともいずれかであることを特徴とする。
パッケージでパッケージングされており、
前記秘密情報消去部に検知信号を入力する前記センサは、
前記パッケージの外部に配置された外部センサと前記パッケージの内部に配置された内部センサとの少なくともいずれかであることを特徴とする。
この発明の秘密情報の消去方法は、
秘密情報を記憶する秘密情報記憶装置が行なう秘密情報の消去方法において、
センサ対応レコード記憶部が、
所定の秘密情報に少なくとも一つのセンサが対応付けられているとともに対応付けられたセンサの満たすべき検知条件が指定されている少なくとも一つのセンサ対応レコードを記憶し、
秘密情報記憶部が、
少なくとも一つの秘密情報を記憶し、
秘密情報消去部が、
前記センサ対応レコード記憶部に記憶されたセンサ対応レコードの示す前記センサから検知信号が入力された場合に、入力された検知信号に基づき検知条件の全てが満たされているセンサ対応レコードを抽出し、抽出されたセンサ対応レコードの示す秘密情報を前記秘密情報記憶部から消去することを特徴とする。
秘密情報を記憶する秘密情報記憶装置が行なう秘密情報の消去方法において、
センサ対応レコード記憶部が、
所定の秘密情報に少なくとも一つのセンサが対応付けられているとともに対応付けられたセンサの満たすべき検知条件が指定されている少なくとも一つのセンサ対応レコードを記憶し、
秘密情報記憶部が、
少なくとも一つの秘密情報を記憶し、
秘密情報消去部が、
前記センサ対応レコード記憶部に記憶されたセンサ対応レコードの示す前記センサから検知信号が入力された場合に、入力された検知信号に基づき検知条件の全てが満たされているセンサ対応レコードを抽出し、抽出されたセンサ対応レコードの示す秘密情報を前記秘密情報記憶部から消去することを特徴とする。
この発明の秘密情報の消去プログラムは、
秘密情報記憶部とセンサ対応レコード記憶部とを備えたコンピュータである秘密情報記憶装置に以下の処理を実行させることを特徴とする。
(1)前記センサ対応レコード記憶部に、所定の秘密情報に少なくとも一つのセンサが対応付けられているとともに対応付けられたセンサの満たすべき検知条件が指定されている少なくとも一つのセンサ対応レコードを記憶する処理
(2)前記秘密情報記憶部に、少なくとも一つの秘密情報を記憶する処理
(3)前記センサ対応レコード記憶部に記憶されたセンサ対応レコードの示す前記センサから検知信号が入力された場合に、入力された検知信号に基づき検知条件の全てが満たされているセンサ対応レコードを抽出し、抽出されたセンサ対応レコードの示す秘密情報を前記秘密情報記憶部から消去する処理
秘密情報記憶部とセンサ対応レコード記憶部とを備えたコンピュータである秘密情報記憶装置に以下の処理を実行させることを特徴とする。
(1)前記センサ対応レコード記憶部に、所定の秘密情報に少なくとも一つのセンサが対応付けられているとともに対応付けられたセンサの満たすべき検知条件が指定されている少なくとも一つのセンサ対応レコードを記憶する処理
(2)前記秘密情報記憶部に、少なくとも一つの秘密情報を記憶する処理
(3)前記センサ対応レコード記憶部に記憶されたセンサ対応レコードの示す前記センサから検知信号が入力された場合に、入力された検知信号に基づき検知条件の全てが満たされているセンサ対応レコードを抽出し、抽出されたセンサ対応レコードの示す秘密情報を前記秘密情報記憶部から消去する処理
この発明の秘密情報記憶装置は、
パッケージでパッケージングされた秘密情報記憶装置であって、
秘密情報を記憶する秘密情報記憶部と、
前記パッケージの外部の所定の箇所に配置される外部センサに接続するとともに、前記外部センサから前記外部センサの検知した検知信号を入力すると、前記秘密情報記憶部に記憶されている秘密情報を消去する秘密情報消去部と
を備えたことを特徴とする。
パッケージでパッケージングされた秘密情報記憶装置であって、
秘密情報を記憶する秘密情報記憶部と、
前記パッケージの外部の所定の箇所に配置される外部センサに接続するとともに、前記外部センサから前記外部センサの検知した検知信号を入力すると、前記秘密情報記憶部に記憶されている秘密情報を消去する秘密情報消去部と
を備えたことを特徴とする。
本発明により、耐タンパ装置が自己に対するだけでなく、自己が接続されたPCなどの外部装置に対するタンパ行為も検知する耐タンパ装置を提供することができる。また、タンパ検知時において、秘密情報を選択的に消去することができる耐タンパ装置を提供することができる。
実施の形態1.
図1は、実施の形態1における耐タンパ装置101の使用状態の例を示す図である。
(1)耐タンパ装置101は、例えば、PC900の内部に装着される。耐タンパ装置101は、秘密情報A〜Cを格納している。耐タンパ装置101は、PC900で動作するアプリケーション118からデータを入力し、格納している秘密情報A〜Cを用いてこのデータを処理し、処理したデータをアプリケーション118に返信する。
(2)また、耐タンパ装置101には、PC900に配置された複数の外部センサ110が接続されている。複数の外部センサ110は、PC900のケースの開閉や、PC900本体の移動(GPS(Global Positioning System)センサの場合)を検知し、検知信号を耐タンパ装置101に送信する。
(3)耐タンパ装置101は、複数の外部センサ110から検知信号を入力すると、予め格納している消去規則(後述の耐タンパポリシ)に従って、秘密情報A〜秘密情報Cの中から消去するべき秘密情報を選択して消去する。耐タンパ装置101が外部センサ110によりPC900への攻撃を検知して秘密情報を消去する点、及び耐タンパ装置101が、選択的に秘密情報を消去する点が特徴である。
図1は、実施の形態1における耐タンパ装置101の使用状態の例を示す図である。
(1)耐タンパ装置101は、例えば、PC900の内部に装着される。耐タンパ装置101は、秘密情報A〜Cを格納している。耐タンパ装置101は、PC900で動作するアプリケーション118からデータを入力し、格納している秘密情報A〜Cを用いてこのデータを処理し、処理したデータをアプリケーション118に返信する。
(2)また、耐タンパ装置101には、PC900に配置された複数の外部センサ110が接続されている。複数の外部センサ110は、PC900のケースの開閉や、PC900本体の移動(GPS(Global Positioning System)センサの場合)を検知し、検知信号を耐タンパ装置101に送信する。
(3)耐タンパ装置101は、複数の外部センサ110から検知信号を入力すると、予め格納している消去規則(後述の耐タンパポリシ)に従って、秘密情報A〜秘密情報Cの中から消去するべき秘密情報を選択して消去する。耐タンパ装置101が外部センサ110によりPC900への攻撃を検知して秘密情報を消去する点、及び耐タンパ装置101が、選択的に秘密情報を消去する点が特徴である。
図2は、実施の形態1における耐タンパ装置101のハードウェア資源の一例を示す図である。耐タンパ装置101は、プログラムを実行するCPU103(Central Processing Unit)を備えている。CPU103は、バス825を介してROM(Read Only Memory)811、RAM(Random Access Memory)812、通信IF(InterFace)816、フラッシュメモリ820と接続され、これらのハードウェアデバイスを制御する。フラッシュメモリ820の代わりに磁気ディスク装置を用いてもよい。
RAM812は、揮発性メモリの一例である。ROM811、フラッシュメモリ820等の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部、格納部の一例である。通信IF816は、入力部、入力装置の一例である。通信IF816は、出力部、出力装置の一例でもある。
通信IF816は、CPU103とPC900のアプリケーションとのデータのやり取りを仲介する装置である。
フラッシュメモリ820には、オペレーティングシステム821(OS)、プログラム群823、ファイル群824が記憶されている。プログラム群823のプログラムは、CPU103、オペレーティングシステム821により実行される。
上記プログラム群823には、以下に述べる実施の形態の説明において「〜部」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU103により読み出され実行される。
ファイル群824には、以下に述べる実施の形態の説明において、「〜の判定結果」、「〜の抽出結果」、「〜の生成結果」、「〜の処理結果」として説明する情報や、後述する「耐タンパポリシ105」や、データや信号値や変数値やパラメータなどが、「〜ファイル」や「〜データベース」の各項目として記憶されている。
また、以下に述べる実施の形態の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「手段」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明するものは、ROM811に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。プログラムはCPU103により読み出され、CPU103により実行される。すなわち、プログラムは、以下に述べる「〜部」としてコンピュータを機能させるものである。あるいは、以下に述べる「〜部」の手順や方法をコンピュータに実行させるものである。
図3は、耐タンパ装置101の構成を示すブロック図である。図3のように、耐タンパ装置101(秘密情報記憶装置)は、カバー102(パッケージ)、CPU103、ポリシ記憶部106(センサ対応レコード記憶部)、データ記憶部107、複数の内部センサ109、電源制御部113、バッテリ114、秘密情報消去部120を備える。
(1)CPU103は、データ処理部117とポリシ設定部104とを備えている。
(2)ポリシ記憶部106は、耐タンパポリシ105を記憶している。
(3)データ記憶部107は、秘密情報108である秘密情報A、秘密情報B、秘密情報Cを記憶している。
(4)秘密情報消去部120は、タンパ検出部111、データ消去部112、タンパ通知部116を備えている。
(2)ポリシ記憶部106は、耐タンパポリシ105を記憶している。
(3)データ記憶部107は、秘密情報108である秘密情報A、秘密情報B、秘密情報Cを記憶している。
(4)秘密情報消去部120は、タンパ検出部111、データ消去部112、タンパ通知部116を備えている。
また、アプリケーションプログラム118(以下、アプリケーションという)が、CPU103に接続している。また、複数の外部センサ110が、タンパ検出部111に接続している。また、外部電源115が、電源制御部113に接続している。
(CPU103、データ処理部117、ポリシ設定部104)
前記のようにCPU103は、データ処理部117とポリシ設定部104とを備える。データ処理部117は、耐タンパ装置101において、様々な機能を実現する。データ処理部117は、例えば、耐タンパ暗号装置の場合は、暗号処理や復号処理を行うプログラムを実行する。データ処理部117は、通常、アプリケーション118のデータを処理し、処理したデータをアプリケーション118に返す。また、ポリシ設定部104は、後述のように、タンパを検知した時に、どの様なタンパ検知処理を行うかをポリシ記憶部106の耐タンパポリシ105に設定する。
前記のようにCPU103は、データ処理部117とポリシ設定部104とを備える。データ処理部117は、耐タンパ装置101において、様々な機能を実現する。データ処理部117は、例えば、耐タンパ暗号装置の場合は、暗号処理や復号処理を行うプログラムを実行する。データ処理部117は、通常、アプリケーション118のデータを処理し、処理したデータをアプリケーション118に返す。また、ポリシ設定部104は、後述のように、タンパを検知した時に、どの様なタンパ検知処理を行うかをポリシ記憶部106の耐タンパポリシ105に設定する。
(耐タンパポリシ105、ポリシ記憶部106、データ記憶部107、秘密情報108)
(1)データ記憶部107は、耐タンパ装置101内で保存する事を要求された秘密情報108を保存する。秘密情報108は、利用する用途に応じて複数格納されるのが一般的である。図3では、秘密情報A、秘密情報B、秘密情報Cの3個が格納されている状態を示している。以降では、秘密情報108を格納するデータ記憶部107は、揮発性メモリを用いた場合を想定して説明する。
(2)ポリシ記憶部106は、耐タンパポリシ105を格納している。「耐タンパポリシ105」とは、タンパ検出部111がタンパを検出した時に、耐タンパ装置101がどの様に動作すべきかを記述したポリシである。以降では、ポリシ記憶部106は、不揮発性メモリであることを想定して説明する。
(1)データ記憶部107は、耐タンパ装置101内で保存する事を要求された秘密情報108を保存する。秘密情報108は、利用する用途に応じて複数格納されるのが一般的である。図3では、秘密情報A、秘密情報B、秘密情報Cの3個が格納されている状態を示している。以降では、秘密情報108を格納するデータ記憶部107は、揮発性メモリを用いた場合を想定して説明する。
(2)ポリシ記憶部106は、耐タンパポリシ105を格納している。「耐タンパポリシ105」とは、タンパ検出部111がタンパを検出した時に、耐タンパ装置101がどの様に動作すべきかを記述したポリシである。以降では、ポリシ記憶部106は、不揮発性メモリであることを想定して説明する。
(カバー102、内部センサ109、外部センサ110)
(1)カバー102(パッケージ)は、耐タンパ装置101に内蔵されたCPU103やメモリやその他のIC(Integrated Circuit)、及びそれらを接続する配線などを、ロジックアナライザやデバッガなどによるハードウェア解析や、電磁波やX線による誤動作の誘発などの攻撃を困難にするため、耐タンパ装置101の全体もしくは一部を覆う。また、図3の破線は、カバー102によって密封される領域を示している。バッテリ114は、交換の必要が生じるので、カバー102によって密封はされていない。一般的には、カバー102としては、金属製カバーや、エポキシ樹脂によるモールドなどが使われる。
(2)図3は複数の内部センサ109を示している。内部センサ109は、カバー102の内部に配置されたセンサであり、耐タンパ装置101に対する攻撃を検出するためのセンサである。内部センサ109は、例えば、カバー102の取り外しを検出するスイッチや、耐タンパ装置101の切り取りを検出する光センサや、耐タンパ装置101における衝撃を検出するジャイロセンサなどのセンサによって構成される。複数のセンサが接続される事が一般的であるが、本実施の形態1では、外部センサ110のある場合は、省略される事もある。
(3)外部センサ110は、耐タンパ装置101が設置された環境の変化を読み取るために、耐タンパ装置101のカバー102の外部に配置され、耐タンパ装置101に別途接続されるセンサである。外部センサ110は、例えば、耐タンパ装置101が接続されたPC900のカバー(筺体)の開閉を検知する光センサや、PC900が持ち去られた事を検出するGPSセンサなどから構成される。この外部センサ110は、耐タンパ装置101が利用される状況と、どの様な攻撃を受けると予想されるかに応じて、用途ごとに適切なセンサが別途接続される。
(1)カバー102(パッケージ)は、耐タンパ装置101に内蔵されたCPU103やメモリやその他のIC(Integrated Circuit)、及びそれらを接続する配線などを、ロジックアナライザやデバッガなどによるハードウェア解析や、電磁波やX線による誤動作の誘発などの攻撃を困難にするため、耐タンパ装置101の全体もしくは一部を覆う。また、図3の破線は、カバー102によって密封される領域を示している。バッテリ114は、交換の必要が生じるので、カバー102によって密封はされていない。一般的には、カバー102としては、金属製カバーや、エポキシ樹脂によるモールドなどが使われる。
(2)図3は複数の内部センサ109を示している。内部センサ109は、カバー102の内部に配置されたセンサであり、耐タンパ装置101に対する攻撃を検出するためのセンサである。内部センサ109は、例えば、カバー102の取り外しを検出するスイッチや、耐タンパ装置101の切り取りを検出する光センサや、耐タンパ装置101における衝撃を検出するジャイロセンサなどのセンサによって構成される。複数のセンサが接続される事が一般的であるが、本実施の形態1では、外部センサ110のある場合は、省略される事もある。
(3)外部センサ110は、耐タンパ装置101が設置された環境の変化を読み取るために、耐タンパ装置101のカバー102の外部に配置され、耐タンパ装置101に別途接続されるセンサである。外部センサ110は、例えば、耐タンパ装置101が接続されたPC900のカバー(筺体)の開閉を検知する光センサや、PC900が持ち去られた事を検出するGPSセンサなどから構成される。この外部センサ110は、耐タンパ装置101が利用される状況と、どの様な攻撃を受けると予想されるかに応じて、用途ごとに適切なセンサが別途接続される。
(タンパ検出部111、データ消去部112、電源制御部113、バッテリ114、外部電源115、タンパ通知部116)
(1)タンパ検出部111は、内部センサ109や外部センサ110の状況を監視する事により、耐タンパ装置101に対する攻撃や、攻撃からの回復や、耐タンパ装置101が設置された環境の変化などを検知する。タンパ検出部111は、ポリシ記憶部106に保存された耐タンパポリシ105に基づいて、データ消去部112や電源制御部113やタンパ通知部116にタンパ処理もしくはタンパ回復処理の指令を出す。
(2)データ消去部112は、タンパ検出部111からの指示に従って、データ記憶部107に保存された秘密情報108の全て、もしくは秘密情報108の一部(例えば秘密情報Aのみ、あるいは秘密情報Aと秘密情報B)を消去もしくは初期化する。
(3)タンパ通知部116は、タンパ検出部111からの指示に従って、CPU103上で動作するプログラムであるデータ処理部117や、耐タンパ装置101を利用しているアプリケーション118に対して、タンパを検知した事を示す「タンパ検出通知」や、タンパ状況から回復した事を示す「タンパ回復通知」を送信する
(4)バッテリ114や外部電源115は、揮発性メモリであるデータ記憶部107に対して電力を供給する。一般的に、外部電源115は、耐タンパ装置101内のCPU103などを動作させるための電源を兼ねている。バッテリ114は、タンパ検出部111やデータ消去部112や電源制御部113やデータ記憶部107など、外部電源115が動作していなくてもタンパ検知が可能なように、限定的に電力を供給する。
(5)電源制御部113は、耐タンパ装置101に接続されたバッテリ114や、外部電源115から供給される電力をデータ記憶部107に供給すると共に、タンパ検出部111の指示に応じて、データ記憶部107への電力供給をOn/Offする。
(1)タンパ検出部111は、内部センサ109や外部センサ110の状況を監視する事により、耐タンパ装置101に対する攻撃や、攻撃からの回復や、耐タンパ装置101が設置された環境の変化などを検知する。タンパ検出部111は、ポリシ記憶部106に保存された耐タンパポリシ105に基づいて、データ消去部112や電源制御部113やタンパ通知部116にタンパ処理もしくはタンパ回復処理の指令を出す。
(2)データ消去部112は、タンパ検出部111からの指示に従って、データ記憶部107に保存された秘密情報108の全て、もしくは秘密情報108の一部(例えば秘密情報Aのみ、あるいは秘密情報Aと秘密情報B)を消去もしくは初期化する。
(3)タンパ通知部116は、タンパ検出部111からの指示に従って、CPU103上で動作するプログラムであるデータ処理部117や、耐タンパ装置101を利用しているアプリケーション118に対して、タンパを検知した事を示す「タンパ検出通知」や、タンパ状況から回復した事を示す「タンパ回復通知」を送信する
(4)バッテリ114や外部電源115は、揮発性メモリであるデータ記憶部107に対して電力を供給する。一般的に、外部電源115は、耐タンパ装置101内のCPU103などを動作させるための電源を兼ねている。バッテリ114は、タンパ検出部111やデータ消去部112や電源制御部113やデータ記憶部107など、外部電源115が動作していなくてもタンパ検知が可能なように、限定的に電力を供給する。
(5)電源制御部113は、耐タンパ装置101に接続されたバッテリ114や、外部電源115から供給される電力をデータ記憶部107に供給すると共に、タンパ検出部111の指示に応じて、データ記憶部107への電力供給をOn/Offする。
(アプリケーション118)
アプリケーション118は、耐タンパ装置101が接続されたPCなどで動作するプログラムなどである。アプリケーション118は、耐タンパ装置101を利用するために別途用意される機能である。アプリケーション118は、データ処理部117に対しデータ処理を依頼してその結果を受け取る。あるいは、アプリケーション118は、ポリシ設定部104に対して耐タンパポリシ105の設定や修正を依頼する。あるいは、アプリケーション118は、タンパ通知部116から「タンパ検知通知」や「タンパ回復通知」を受け取る機能を有する。
アプリケーション118は、耐タンパ装置101が接続されたPCなどで動作するプログラムなどである。アプリケーション118は、耐タンパ装置101を利用するために別途用意される機能である。アプリケーション118は、データ処理部117に対しデータ処理を依頼してその結果を受け取る。あるいは、アプリケーション118は、ポリシ設定部104に対して耐タンパポリシ105の設定や修正を依頼する。あるいは、アプリケーション118は、タンパ通知部116から「タンパ検知通知」や「タンパ回復通知」を受け取る機能を有する。
図4は、秘密情報のデータ形式を示す図である。図4の秘密情報701は、ユニークID702、データ種別703、生成者情報704、秘密情報本体705、利用用途情報706、利用者情報707、識別ラベル708、有効期間709により構成される。これらの項目が、図5の耐タンパポリシレコード213の消去条件レコード202nにおいて指定される。
図5は、耐タンパポリシ105の構成を示す図である。耐タンパポリシ105は、タンパを検知した時に、どの様なタンパ検知処理を行うかを示すポリシ(ルール)である。図5を参照して耐タンパポリシ105の構成を説明する。
耐タンパポリシ105は、タンパ検知条件201と、消去条件202と、通知条件203との3個の列を持つ表である。
(1)タンパ検知条件201(検知条件)は、各センサの測定値がどの様な状態になった時にタンパを検知したと判断するかという条件を示す。
(2)消去条件202は、消去する秘密情報を特定するための条件を示す。
(3)通知条件203は、タンパ処理やタンパ回復処理を行った際に、その処理結果をどこに通知するかを示す。通知条件203は、タンパの検出を通知する「タンパ検出通知」を送信するかどうかを指示する「送信指示」と、「タンパ検出通知」の送信先を示す送信先アドレスとを含む。
(1)タンパ検知条件201(検知条件)は、各センサの測定値がどの様な状態になった時にタンパを検知したと判断するかという条件を示す。
(2)消去条件202は、消去する秘密情報を特定するための条件を示す。
(3)通知条件203は、タンパ処理やタンパ回復処理を行った際に、その処理結果をどこに通知するかを示す。通知条件203は、タンパの検出を通知する「タンパ検出通知」を送信するかどうかを指示する「送信指示」と、「タンパ検出通知」の送信先を示す送信先アドレスとを含む。
(耐タンパポリシレコード213)
耐タンパポリシ105の各行が、耐タンパポリシレコード213である。耐タンパポリシレコード213は、タンパ検知条件レコード201nと、消去条件レコード202nと、通知条件レコード203nとから構成される。
(1)タンパ検知条件レコード201nは、タンパ検知条件201の具体的な値が記載される。
(2)消去条件レコード202nは、消去条件202の具体的な値が記載される。
(3)通知条件レコード203nは、通知条件203の具体的な値が記載される。
耐タンパポリシレコード213は、タンパ検知条件レコード201n〜通知条件レコード203nのすべてが指定されることは必要としない。例えば、タンパ検知条件レコード201nと、消去条件レコード202n(消去対象となる秘密情報を特定するレコード)とが指定され、通知条件レコード203nが指定されない場合でも良い。なお、少なくともタンパ検知条件レコード201nと消去条件レコード202nとが指定された耐タンパポリシレコード213(センサ対応レコードの一例)の場合は、タンパ検知条件レコード201nの示すセンサが測定値条件を満たす値を検出すると、秘密情報消去部120が、消去条件レコード202nの示す秘密情報を消去する。また、消去条件レコード202nだけを指定しても構わない。この場合、消去条件レコード202nで特定される秘密情報は、センサによる検出にかかわらず、消去の対象外となる。また、複数ある耐タンパポリシレコード213のいずれの消去条件レコード202nでも指定されていない秘密情報は、センサによる検出にかかわらず、消去の対象外となる。
耐タンパポリシ105の各行が、耐タンパポリシレコード213である。耐タンパポリシレコード213は、タンパ検知条件レコード201nと、消去条件レコード202nと、通知条件レコード203nとから構成される。
(1)タンパ検知条件レコード201nは、タンパ検知条件201の具体的な値が記載される。
(2)消去条件レコード202nは、消去条件202の具体的な値が記載される。
(3)通知条件レコード203nは、通知条件203の具体的な値が記載される。
耐タンパポリシレコード213は、タンパ検知条件レコード201n〜通知条件レコード203nのすべてが指定されることは必要としない。例えば、タンパ検知条件レコード201nと、消去条件レコード202n(消去対象となる秘密情報を特定するレコード)とが指定され、通知条件レコード203nが指定されない場合でも良い。なお、少なくともタンパ検知条件レコード201nと消去条件レコード202nとが指定された耐タンパポリシレコード213(センサ対応レコードの一例)の場合は、タンパ検知条件レコード201nの示すセンサが測定値条件を満たす値を検出すると、秘密情報消去部120が、消去条件レコード202nの示す秘密情報を消去する。また、消去条件レコード202nだけを指定しても構わない。この場合、消去条件レコード202nで特定される秘密情報は、センサによる検出にかかわらず、消去の対象外となる。また、複数ある耐タンパポリシレコード213のいずれの消去条件レコード202nでも指定されていない秘密情報は、センサによる検出にかかわらず、消去の対象外となる。
(タンパ検知条件レコード201n)
タンパ検知条件レコード201nは、内部センサ109もしくは外部センサ110を一意に特定するための対象センサ204と、タンパを検出したと判断するための測定値の範囲を示す測定値条件205の組が複数集まって構成される。
タンパ検知条件レコード201nは、内部センサ109もしくは外部センサ110を一意に特定するための対象センサ204と、タンパを検出したと判断するための測定値の範囲を示す測定値条件205の組が複数集まって構成される。
(消去条件レコード202n)
消去条件レコード202nは、タンパ検知条件レコード201nの条件が満たされた場合に消去する秘密情報を特定するための情報である。消去条件レコード202nは、図4に示した秘密情報701の項目を指定することにより、消去対象となる秘密情報を特定する。消去条件レコード202nは、保管場所206と、データ種別条件207と、生成者条件208と、データ属性条件209とから構成される。
(1)保管場所206は、データ記憶部107が複数のICチップから構成されていたり、1個のICチップであっても論理的に分割されている場合などにおいて、どこに保管されているデータを消去の対象とするかを示した情報である。
(2)データ種別条件207は、データに種別情報が付加されている場合、それを指定するための情報である。例えば耐タンパ暗号装置の場合、データ種別条件207として「秘密鍵」や「共通鍵」などのデータ種別が指定される。
(3)生成者条件208は、秘密情報を生成したプログラムやユーザを特定するための情報である。例えば、「データ処理部117」や「アプリケーション118」や「ホスト側OS」などのプログラムが指定されたり、「ユーザA」や「ユーザB」などの操作を行った人間を特定するための情報などが指定される。
(4)データ属性条件209は、データに付加された保管場所206やデータ種別条件207や生成者条件208以外の条件によって秘密情報を特定するための情報である。例えば、秘密情報に付加されたユニークID702や識別情報などの属性や、「極秘」などの重要度や、「文書署名用」などの用途情報などが指定可能である。
消去条件レコード202nは、タンパ検知条件レコード201nの条件が満たされた場合に消去する秘密情報を特定するための情報である。消去条件レコード202nは、図4に示した秘密情報701の項目を指定することにより、消去対象となる秘密情報を特定する。消去条件レコード202nは、保管場所206と、データ種別条件207と、生成者条件208と、データ属性条件209とから構成される。
(1)保管場所206は、データ記憶部107が複数のICチップから構成されていたり、1個のICチップであっても論理的に分割されている場合などにおいて、どこに保管されているデータを消去の対象とするかを示した情報である。
(2)データ種別条件207は、データに種別情報が付加されている場合、それを指定するための情報である。例えば耐タンパ暗号装置の場合、データ種別条件207として「秘密鍵」や「共通鍵」などのデータ種別が指定される。
(3)生成者条件208は、秘密情報を生成したプログラムやユーザを特定するための情報である。例えば、「データ処理部117」や「アプリケーション118」や「ホスト側OS」などのプログラムが指定されたり、「ユーザA」や「ユーザB」などの操作を行った人間を特定するための情報などが指定される。
(4)データ属性条件209は、データに付加された保管場所206やデータ種別条件207や生成者条件208以外の条件によって秘密情報を特定するための情報である。例えば、秘密情報に付加されたユニークID702や識別情報などの属性や、「極秘」などの重要度や、「文書署名用」などの用途情報などが指定可能である。
(通知条件レコード203n)
通知条件レコード203nは、「タンパ検出通知」もしくは「タンパ回復通知」の送信条件を指定する情報である。
(1)通知先条件210(送信先アドレスの一例)は、通知先であるデータ処理部117やアプリケーション118を特定するための情報が記載される。
(2)通知種別211(送信指定)は、タンパ検出通知やタンパ回復通知のいずれか一方、もしくは両方を通知するかを指定するための情報である。「送信しない」という指定も可能である。あるいは、タンパ検知条件201が満たされた場合でも、秘密情報を消去せずに、タンパ検出通知のみを送信するという設定も可能である。例えば、耐タンパポリシレコード213に、さらに、秘密情報を消去するかどうかを指定する「消去指定」を加える。そして、秘密情報消去部120は、タンパ検知条件レコード201nが満たされている場合であっても、耐タンパポリシレコード213の示す「消去指定」が秘密情報の消去を指定している場合にのみ、消去条件レコード202nの示す秘密情報をデータ記憶部107から消去するようにする。
(3)継続条件212は、1回のみ通知するか、継続して定期的に通知するかを表す情報である。
通知条件レコード203nは、「タンパ検出通知」もしくは「タンパ回復通知」の送信条件を指定する情報である。
(1)通知先条件210(送信先アドレスの一例)は、通知先であるデータ処理部117やアプリケーション118を特定するための情報が記載される。
(2)通知種別211(送信指定)は、タンパ検出通知やタンパ回復通知のいずれか一方、もしくは両方を通知するかを指定するための情報である。「送信しない」という指定も可能である。あるいは、タンパ検知条件201が満たされた場合でも、秘密情報を消去せずに、タンパ検出通知のみを送信するという設定も可能である。例えば、耐タンパポリシレコード213に、さらに、秘密情報を消去するかどうかを指定する「消去指定」を加える。そして、秘密情報消去部120は、タンパ検知条件レコード201nが満たされている場合であっても、耐タンパポリシレコード213の示す「消去指定」が秘密情報の消去を指定している場合にのみ、消去条件レコード202nの示す秘密情報をデータ記憶部107から消去するようにする。
(3)継続条件212は、1回のみ通知するか、継続して定期的に通知するかを表す情報である。
図6は、耐タンパポリシ105の設定手順を示すフローチャートである。図6を参照して、耐タンパポリシ105の設定手順の動作を説明する。
まずS301において、アプリケーション118は、耐タンパ装置101との通信路を確保し、例えばICカードとして実現される耐タンパ装置101が定める認証方式に応じて、ログイン処理を行う。
次にS302において、アプリケーション118は、ポリシ設定部104に対して、入力データとして、後述する耐タンパポリシ修正要求501、もしくは後述する耐タンパポリシ設定要求601を送付する。ポリシ設定部104は、耐タンパポリシ修正要求501、もしくは耐タンパポリシ設定要求601を受け取る。
(耐タンパポリシ修正要求501)
図7は、耐タンパポリシ修正要求501(修正用データの一例、新たなセンサ対応レコードの一例)を示す。耐タンパポリシ修正要求501は、既に設定されている耐タンパポリシ105の一部を変更するための要求である。データ構造は、図7の様になっている。
(1)修正種別502は、「削除」や「変更」や「追加」など、耐タンパポリシ105の構成要素である耐タンパポリシレコード213に対する操作の内容を表す。
(2)修正元条件503は、修正対象となる耐タンパポリシレコード213を指定する為の条件であるレコード番号や、対象センサ204や測定値条件205を表す。
(3)修正内容504は、追加や変更した後の耐タンパポリシレコード213の内容を表す。
(4)修正元条件503や修正内容504は、修正種別502に応じて格納されるものであって、何も情報を含まない場合もあり得る。
図7は、耐タンパポリシ修正要求501(修正用データの一例、新たなセンサ対応レコードの一例)を示す。耐タンパポリシ修正要求501は、既に設定されている耐タンパポリシ105の一部を変更するための要求である。データ構造は、図7の様になっている。
(1)修正種別502は、「削除」や「変更」や「追加」など、耐タンパポリシ105の構成要素である耐タンパポリシレコード213に対する操作の内容を表す。
(2)修正元条件503は、修正対象となる耐タンパポリシレコード213を指定する為の条件であるレコード番号や、対象センサ204や測定値条件205を表す。
(3)修正内容504は、追加や変更した後の耐タンパポリシレコード213の内容を表す。
(4)修正元条件503や修正内容504は、修正種別502に応じて格納されるものであって、何も情報を含まない場合もあり得る。
(耐タンパポリシ設定要求601)
図8は、耐タンパポリシ設定要求601を示す。耐タンパポリシ設定要求601は、設定されている耐タンパポリシ105を丸ごと差し替えるための要求である。図8に示すように、耐タンパポリシ設定要求601中に、新たな耐タンパポリシ105が格納される。
図8は、耐タンパポリシ設定要求601を示す。耐タンパポリシ設定要求601は、設定されている耐タンパポリシ105を丸ごと差し替えるための要求である。図8に示すように、耐タンパポリシ設定要求601中に、新たな耐タンパポリシ105が格納される。
次に、S303、S304において、ポリシ設定部104は、S302において耐タンパポリシ設定要求601を受領した場合は、耐タンパポリシ設定要求601から取り出した耐タンパポリシ105を、あらかじめポリシ記憶部106に保管された耐タンパポリシ105に上書きして差し替えを行う。ポリシ設定部104は、耐タンパポリシ修正要求501を受領した場合は、ポリシ記憶部106に記録された耐タンパポリシ105から修正元条件503に合致する耐タンパポリシレコード213を取り出し、修正内容504に記載された情報を元にして、修正種別502から特定可能な追加や変更や削除などの処理を行う。
最後にS305において、アプリケーション118は、S301にて確立した通信路の解放を行い、処理を終了する。
以上の手順により、アプリケーション118は、耐タンパ装置101内の耐タンパポリシ105を設定することができる。
次に、図9を用いて、攻撃者が耐タンパ装置101の分解などを試みた際に、耐タンパ装置101がタンパを検出し、秘密情報を消去する場合の手順を説明する。
始めにS401において、タンパ検出部111は、ポリシ記憶部106から耐タンパポリシ105を読み込み、全てのタンパ検知条件レコード201nを取り出す。
次にS402において、タンパ検出部111は、内部センサ109や外部センサ110の測定値を読み取る。そして、タンパ検出部111は、読み込んだ全てのタンパ検知条件レコード201nのうち、条件が成立しているタンパ検知条件レコード201nを抽出する。すなわち、タンパ検出部111は、内部センサ109や外部センサ110の測定値(検知信号)を読み取ると、入力した測定値に基づき、タンパ検知条件レコード201n(検知条件)の全てが満たされている耐タンパポリシレコード213を検知(抽出)する。
次にS403において、タンパ検出部111は、S402で条件成立を検知したタンパ検知条件レコード201nを含む耐タンパポリシレコード213から、消去条件レコード202nと通知条件レコード203nとを取り出す。そして、タンパ検出部111は、消去条件レコード202nを解析して削除する秘密情報の条件を決定し、通知条件レコード203nを解析して通知先プログラムの条件を決定する。
次にS404において、タンパ検出部111は、S403の消去条件レコード202nの解析結果から、秘密情報の消去を行うかどうかを判断する。消去を行う場合はS405の処理に進み、消去を行わない場合はS409の処理に進む。
次にS405において、タンパ検出部111は、S403の消去条件レコード202nの解析結果から、電源切断によって一括消去が可能かどうか、それともプログラム的に部分消去を行うかどうかを判定する。電源切断によって一括切断が可能な場合はS408の処理に進み、プログラム的に消去が必要な場合はS406の処理に進む。
次にS406において、タンパ検出部111は、S405にてプログラム的に部分消去を行うと判定された場合、S403にて決定した削除する秘密情報の条件を元にして、データ記憶部107から削除すべき秘密情報を全て特定し、データ消去部112に消去の指示を出す。
次にS407において、データ消去部112はデータ記憶部107は、S406にてタンパ検出部111から指定された秘密情報をデータ記憶部107において特定し、全て消去する。その後、S409の処理へ進む。
次にS408において、タンパ検出部111は、S405にて電源切断によって一括消去を行うと判定された場合、電源制御部113に対して電源切断の要求を出し、データ記憶部107に対しての電力供給を停止する。データ記憶部107が揮発性メモリの場合、電源切断によって保持していた秘密情報が自然に消去される。
次にS409において、タンパ検出部111は、S403の通知条件レコード203nの解析結果である通知先プログラムの条件から、「タンパ検出通知」を送付するプログラムが存在するかどうかを判定する。存在する場合はタンパ検出部111は、タンパ通知部116に対して通知指示を出した後にS410の処理へ進み、存在しない場合は処理を終了する。
次にS410において、タンパ通知部116は、タンパ検出部111からS409にて受け取った通知指示に応じたデータ処理部117がCPU103上で動作しているかどうかを確認し、全てのデータ処理部117に対してタンパ検出通知を送付する。タンパ通知部116は、継続的に通知する通知指示を受けた場合は、通知先を記憶し、継続的にタンパ検知通知を送付する。
次に、S411において、タンパ通知部116は、タンパ検出部111からS409にて受け取った通知指示がアプリケーション118へのタンパ検出通知の送信を指示する場合は、この通知指示に従って、ホストPC上で動作するアプリケーション118やOSなど該当する全てのプログラムに対してタンパ検出通知を送付する。タンパ通知部116は、タンパ検出部111から、継続的に通知する通知指示を受けた場合は、通知先を記憶し、継続的にタンパ検知通知を送付する。
以上の実施の形態1では装置としての耐タンパ装置101を説明したが、耐タンパ装置101の各部の動作を処理ととらえることにより、耐タンパ装置101の動作をコンピュータに実行させる秘密情報の消去プログラムとして把握することも可能である。また、耐タンパ装置101の各部の一連の動作を、秘密情報の消去方法と把握することも可能である。
以上のように、タンパ検出部111は、内部センサ109だけでなく、耐タンパ装置101が設置されたPCのカバーの開閉を検知するスイッチや、耐タンパ装置101が設置されたPCの設置位置を測定できるGPSなど、耐タンパ装置101が設置された環境の変化を検知する外部センサを接続する事ができる。このため、耐タンパ装置101は、自己のカバーだけでなく、自己が接続されたPCなどの外部装置に対してもカバー取り外しなどのタンパ行為が行われた事を検知し、タンパ処理を行う。これにより、耐タンパ装置101内の秘密情報やPCなどの外部装置に送付したデータが漏洩するのを防ぐ事ができる。
また、耐タンパポリシ105では、タンパ検出の判断条件として、内部センサ109と外部センサ110との測定値条件が、複数設定できる。そして、タンパ検知の判断は、複数設定された測定条件を用いて行われる。このため、一つのセンサの反応からタンパを検出するだけでなく、一部のセンサを無効にしたり、複数のセンサの組合せでタンパを検出できる。これにより、耐タンパのレベルは、利用するシステムに求められるセキュリティ要件に応じて、柔軟に変更可能となる。
また、耐タンパポリシ105では、消去する秘密情報を指定する消去条件202が、タンパ発生の判断条件であるタンパ検知条件201ごとに指定される。このため、消去するべき秘密情報は、タンパを検知するセンサに応じて変更する事ができる。よって、外部センサ110がタンパ検知した場合は、極めて機密度が高い秘密情報のみを消去したり、内部センサ109がタンパ検知した場合はメンテナンス用の秘密情報は消去することなく保存するなど、利用するシステムに求められるセキュリティ要件に応じて、柔軟に耐タンパのレベルを変更する事ができる。
また、耐タンパポリシ105では、タンパが発生した時にデータ処理部117やアプリケーション118にタンパ検出通知を送付するかどうかを指定できる。そして、タンパ通知部116が、タンパ検出通知を送付するようにしている。このため、データ処理部117やアプリケーション118は、タンパが検知された事をいち早く知る事ができる。よって、秘密情報を用いた処理の受け付けを拒否したり、あるいは、それ以前(通知以前)に作成したデータを消去する事が可能となる。そのため、秘密情報を用いて復号したコンテンツ等のホストPCに存在するデータに関しても、その漏洩のリスクを低減する事が可能となる。
また、ポリシ記憶部106に格納された耐タンパポリシ105の設定は、CPU103上で動作するポリシ設定部104を経由して実行できるので、ボード出荷時(耐タンパ装置101がボードとして実現される場合)に設定された耐タンパポリシ105だけでなく、それを利用するシステムの管理者が、利用するシステムに求められるセキュリティ要件に応じて、柔軟に耐タンパのレベルを変更する事ができる。
なお、図3では、CPU103上で動作するデータ処理部117が1個の場合を示した。しかし、データ処理部117は、一つのプログラムで構成される必要はなく、複数のプログラムから構成されていても良い。また、目的が異なる複数のデータ処理部117が存在しても良い。
また、データ記憶部107は、揮発性メモリであるとしたが、それに限定するものではなく不揮発性メモリでも良い。ただし、不揮発性メモリの場合は、電源切断だけでデータが消去できないため、例えば、磁気メモリの時は電源制御部113の代わりに磁場発生装置を接続したり、半導体メモリの場合は高電圧によるメモリ破壊装置を接続したり、利用するメモリの種別に応じて適切な一括消去方法を選択する必要がある。
また、複数の内部センサ109をタンパ検出部111に接続するとしたが、極めて取り外しが困難なエポキシ樹脂によるモールドなどのカバーを用いる場合など、カバーが外されるリスクは極めて低いと考えられる時は、内部センサ109は必ずしも利用しなくても良い。
また、図9ではタンパ検出時の動作を示したが、タンパ回復時の動作も同様である。この場合、秘密情報消去部120は、タンパ検出通知を送信する契機となったセンサの検知信号を監視し、監視の結果、タンパ検出通知を送信する契機となったすべてのセンサの検知信号が対応するタンパ検知レコード(検知条件)を満たさなくなった場合に、タンパ検出通知を送信した送信先に、攻撃が停止したことを通知するタンパ回復通知を送信する。
101 耐タンパ装置、102 カバー、103 CPU、104 ポリシ設定部、105 耐タンパポリシ、106 ポリシ記憶部、107 データ記憶部、108 秘密情報、109 内部センサ、110 外部センサ、111 タンパ検出部、112 データ消去部、113 電源制御部、114 バッテリ、115 外部電源、116 タンパ通知部、117 データ処理部、118 アプリケーション、120 秘密情報消去部、201 タンパ検知条件、202 消去条件、203 通知条件、201n タンパ検知条件レコード、202n 消去条件レコード、203n 通知条件レコード、204 対象センサ、205 測定値条件、206 保管場所、207 データ種別条件、208 生成者条件、209 データ属性条件、210 通知先条件、211 通知種別、212 継続条件、213 耐タンパポリシレコード、501 耐タンパポリシ修正要求、502 修正種別、503 修正元条件、504 修正内容、601 耐タンパポリシ設定要求、701 秘密情報、702 ユニークID、703 データ種別、704 生成者情報、705 秘密情報本体、706 利用用途情報、707 利用者情報、708 識別ラベル、709 有効期間、810 CPU、816 通信IF、811 ROM、812 RAM、825 バス、820 フラッシュメモリ、821 OS、823 プログラム群、824 ファイル群、900 PC。
Claims (10)
- 所定の秘密情報に少なくとも一つのセンサが対応付けられているとともに対応付けられているセンサの満たすべき検知条件が指定されている少なくとも一つのセンサ対応レコードを記憶するセンサ対応レコード記憶部と、
少なくとも一つの秘密情報を記憶する秘密情報記憶部と、
前記センサ対応レコード記憶部に記憶されたセンサ対応レコードの示す前記センサから検知信号が入力された場合に、入力された前記検知信号に基づき検知条件の全てが満たされているセンサ対応レコードを抽出し、抽出されたセンサ対応レコードの示す秘密情報を前記秘密情報記憶部から消去する秘密情報消去部と
を備えたことを特徴とする秘密情報記憶装置。 - 前記秘密情報記憶部は、
複数の秘密情報を記憶することを特徴とする請求項1記載の秘密情報記憶装置。 - 前記センサ対応レコード記憶部は、
複数のセンサ対応レコードを記憶することを特徴とする請求項1記載の秘密情報記憶装置。 - 前記センサ対応レコードは、
タンパの検出を通知するタンパ検出通知を送信するかどうかを指示する送信指示と、タンパ検出通知の送信先を示す送信先アドレスとを含み、
前記秘密情報消去部は、
入力された検知信号に基づき検知条件の全てが満たされているセンサ対応レコードを抽出した場合に、抽出されたセンサ対応レコードの示す送信指示を確認し、送信指示が送信を指示する場合には、送信先アドレスにタンパ検出通知を送信することを特徴とする請求項1記載の秘密情報記憶装置。 - 前記センサ対応レコードは、さらに、
自己の示す秘密情報を消去するかどうかを指示する消去指示を含み、
前記秘密情報消去部は、
入力された検知信号に基づき検知条件の全てが満たされているセンサ対応レコードを抽出した場合に、抽出されたセンサ対応レコードの示す消去指示が秘密情報の消去を指示している場合にのみ、抽出されたセンサ対応レコードの示す秘密情報を前記秘密情報記憶部から消去することを特徴とする請求項4記載の秘密情報記憶装置。 - 前記秘密情報消去部は、
タンパ検出通知を送信する契機となった検知信号を監視し、監視の結果、すべての検知信号が対応する検知条件を満たさなくなった場合に、前記タンパ検出通知を送信した送信先に、攻撃が停止したことを通知するタンパ回復通知を送信することを特徴とする請求項4記載の秘密情報記憶装置。 - 前記秘密情報記憶装置は、さらに、
入力データとして、新たなセンサ対応レコードと、前記センサ対応レコード記憶部に記憶されているセンサ対応レコードの修正に使用する修正用データとの少なくともいずれかが入力された場合に、入力された前記入力データを前記センサ対応レコード記憶部に設定するセンサ対応レコード設定部を備えたことを特徴とする請求項1記載の秘密情報記憶装置。 - 前記秘密情報記憶装置は、
パッケージでパッケージングされており、
前記秘密情報消去部に検知信号を入力する前記センサは、
前記パッケージの外部に配置された外部センサと前記パッケージの内部に配置された内部センサとの少なくともいずれかであることを特徴とする請求項1記載の秘密情報記憶装置。 - 秘密情報を記憶する秘密情報記憶装置が行なう秘密情報の消去方法において、
センサ対応レコード記憶部が、
所定の秘密情報に少なくとも一つのセンサが対応付けられているとともに対応付けられたセンサの満たすべき検知条件が指定されている少なくとも一つのセンサ対応レコードを記憶し、
秘密情報記憶部が、
少なくとも一つの秘密情報を記憶し、
秘密情報消去部が、
前記センサ対応レコード記憶部に記憶されたセンサ対応レコードの示す前記センサから検知信号が入力された場合に、入力された前記検知信号に基づき検知条件の全てが満たされているセンサ対応レコードを抽出し、抽出されたセンサ対応レコードの示す秘密情報を前記秘密情報記憶部から消去することを特徴とする秘密情報の消去方法。 - 秘密情報記憶部とセンサ対応レコード記憶部とを備えたコンピュータである秘密情報記憶装置に以下の処理を実行させる秘密情報の消去プログラム
(1)前記センサ対応レコード記憶部に、所定の秘密情報に少なくとも一つのセンサが対応付けられているとともに対応付けられたセンサの満たすべき検知条件が指定されている少なくとも一つのセンサ対応レコードを記憶する処理
(2)前記秘密情報記憶部に、少なくとも一つの秘密情報を記憶する処理
(3)前記センサ対応レコード記憶部に記憶されたセンサ対応レコードの示す前記センサから検知信号が入力された場合に、入力された前記検知信号に基づき検知条件の全てが満たされているセンサ対応レコードを抽出し、抽出されたセンサ対応レコードの示す秘密情報を前記秘密情報記憶部から消去する処理
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2007/056482 WO2008117467A1 (ja) | 2007-03-27 | 2007-03-27 | 秘密情報記憶装置及び秘密情報の消去方法及び秘密情報の消去プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2008117467A1 JPWO2008117467A1 (ja) | 2010-07-08 |
| JP4838349B2 true JP4838349B2 (ja) | 2011-12-14 |
Family
ID=39788210
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009506179A Expired - Fee Related JP4838349B2 (ja) | 2007-03-27 | 2007-03-27 | 秘密情報記憶装置及び秘密情報の消去方法及び秘密情報の消去プログラム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8286005B2 (ja) |
| EP (1) | EP2131301A4 (ja) |
| JP (1) | JP4838349B2 (ja) |
| CN (1) | CN101627392B (ja) |
| WO (1) | WO2008117467A1 (ja) |
Families Citing this family (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5063777B2 (ja) * | 2008-03-10 | 2012-10-31 | 三菱電機株式会社 | 秘密情報管理装置及び情報処理装置及び秘密情報管理システム |
| JP2010128824A (ja) * | 2008-11-27 | 2010-06-10 | Hitachi Software Eng Co Ltd | ポリシーグループ識別子を利用したクライアント制御システム |
| US8089285B2 (en) * | 2009-03-03 | 2012-01-03 | International Business Machines Corporation | Implementing tamper resistant integrated circuit chips |
| US20100299152A1 (en) * | 2009-05-20 | 2010-11-25 | Mobile Iron, Inc. | Selective Management of Mobile Devices in an Enterprise Environment |
| JP5488049B2 (ja) * | 2010-02-26 | 2014-05-14 | 富士通株式会社 | 情報処理装置及び実行方法 |
| DE102011002706B4 (de) * | 2011-01-14 | 2013-12-19 | Siemens Aktiengesellschaft | Vorrichtung und Verfahren zum Schutz eines Sicherheitsmoduls gegen Manipulationsversuche in einem Feldgerät |
| US9087213B2 (en) * | 2011-02-22 | 2015-07-21 | Fedex Corporate Services, Inc. | Systems and methods for rule-driven management of sensor data across geographic areas and derived actions |
| JP5652297B2 (ja) * | 2011-03-30 | 2015-01-14 | 富士通株式会社 | 情報端末、情報漏洩防止方法および情報漏洩防止プログラム |
| JP5455250B2 (ja) * | 2011-06-20 | 2014-03-26 | 東芝テック株式会社 | 情報処理装置 |
| US8788817B1 (en) * | 2011-09-30 | 2014-07-22 | Emc Corporation | Methods and apparatus for secure and reliable transmission of messages over a silent alarm channel |
| US9515989B1 (en) | 2012-02-24 | 2016-12-06 | EMC IP Holding Company LLC | Methods and apparatus for silent alarm channels using one-time passcode authentication tokens |
| US9008303B1 (en) * | 2011-12-22 | 2015-04-14 | Emc Corporation | Method and apparatus for generating forward secure pseudorandom numbers |
| US9160539B1 (en) | 2011-09-30 | 2015-10-13 | Emc Corporation | Methods and apparatus for secure, stealthy and reliable transmission of alert messages from a security alerting system |
| US9009860B2 (en) * | 2011-11-03 | 2015-04-14 | Cram Worldwide, Llc | Tamper resistance extension via tamper sensing material housing integration |
| JP5825079B2 (ja) * | 2011-12-06 | 2015-12-02 | オムロン株式会社 | 非接触icカードの端末装置、情報処理システム |
| WO2013124878A1 (ja) | 2012-02-20 | 2013-08-29 | 富士通株式会社 | 通信装置、システム、制御プログラム、および制御方法 |
| JPWO2013124878A1 (ja) * | 2012-02-20 | 2015-05-21 | 富士通株式会社 | 通信装置、システム、制御プログラム、および制御方法 |
| US8909942B1 (en) * | 2012-03-30 | 2014-12-09 | Western Digital Technologies, Inc. | MRAM-based security for data storage systems |
| US20140074746A1 (en) * | 2012-09-07 | 2014-03-13 | Hand Held Products Inc. doing business as (d.b.a) Honeywell Scanning & Mobility | Package source verification |
| KR102211212B1 (ko) * | 2013-03-15 | 2021-02-03 | 비데리 인코포레이티드 | 디지털 아트 및 이미징을 디스플레이하고, 배포하고, 뷰잉하고 제어하기 위한 시스템 및 방법 |
| DE102013215245A1 (de) * | 2013-08-02 | 2015-02-05 | Robert Bosch Gmbh | Sicherheitsvorrichtung, Einrichtung |
| CN103490809B (zh) * | 2013-09-04 | 2016-09-21 | 航天数字传媒有限公司 | 一种卫星数据传输系统 |
| US10546293B2 (en) * | 2014-05-29 | 2020-01-28 | Apple Inc. | Apparatuses and methods for using a random authorization number to provide enhanced security for a secure element |
| US20160026275A1 (en) * | 2014-07-23 | 2016-01-28 | Verifone, Inc. | Data device including ofn functionality |
| US9646178B2 (en) | 2014-10-15 | 2017-05-09 | Empire Technology Development Llc | Secure data storage based on physically unclonable functions |
| KR102309203B1 (ko) * | 2015-04-23 | 2021-10-05 | 매그나칩 반도체 유한회사 | 반도체 칩의 위변조 방지 회로 및 방법 |
| US10140296B2 (en) * | 2015-11-24 | 2018-11-27 | Bank Of America Corporation | Reversible redaction and tokenization computing system |
| DE102016207238A1 (de) * | 2016-04-28 | 2017-11-02 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zum Löschen von sicherheitsrelevanter Information in einem Gerät |
| CN107248969A (zh) * | 2016-06-13 | 2017-10-13 | 苏州海博智能系统有限公司 | 安全加密设备用通讯处理系统及方法 |
| IT201600071387A1 (it) * | 2016-07-08 | 2018-01-08 | Tecnosoft S R L | Dispositivo rilevatore di manomissione, particolarmente per registratori di dati ambientali in ambienti a condizioni controllate, e relativo metodo. |
| US20180082066A1 (en) * | 2016-09-16 | 2018-03-22 | Microsoft Technology Licensing, Llc | Secure data erasure in hyperscale computing systems |
| US10536538B2 (en) * | 2016-09-16 | 2020-01-14 | Microsoft Technology Licensing, Llc | Secure data erasure verification in hyperscale computing systems |
| TWI615711B (zh) * | 2017-03-28 | 2018-02-21 | 群聯電子股份有限公司 | 資料寫入方法、記憶體控制電路單元與記憶體儲存裝置 |
| US10609239B1 (en) * | 2018-10-26 | 2020-03-31 | Toshiba Tec Kabushiki Kaisha | System and method for machine learning based restrictive device operation |
| US10978123B2 (en) * | 2018-12-04 | 2021-04-13 | Nxp Usa, Inc. | Tamper protection of memory devices on an integrated circuit |
| JP7259456B2 (ja) * | 2019-03-25 | 2023-04-18 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置およびプログラム |
| CN113221197A (zh) * | 2021-05-08 | 2021-08-06 | 北京汇钧科技有限公司 | 磁盘数据的自动擦除方法及装置、存储介质、电子设备 |
| JP7347698B1 (ja) | 2022-07-05 | 2023-09-20 | 住友電気工業株式会社 | 検知装置および検知方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08249239A (ja) * | 1994-12-19 | 1996-09-27 | Sgs Thomson Microelectron Sa | 集積回路の安全性を向上させるための方法および装置 |
| JP2001147860A (ja) * | 1999-10-01 | 2001-05-29 | Giesecke & Devrient Gmbh | データメモリ保護方法 |
| JP2002216099A (ja) * | 2001-01-16 | 2002-08-02 | Joho Net:Kk | 携帯型データ記録端末 |
| JP2006155159A (ja) * | 2004-11-29 | 2006-06-15 | Fuji Electric Holdings Co Ltd | 耐タンパ装置 |
| JP2008233967A (ja) * | 2007-03-16 | 2008-10-02 | Sky Kk | 可搬型記憶装置 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5533123A (en) | 1994-06-28 | 1996-07-02 | National Semiconductor Corporation | Programmable distributed personal security |
| US7124170B1 (en) * | 1999-08-20 | 2006-10-17 | Intertrust Technologies Corp. | Secure processing unit systems and methods |
| JP2001273468A (ja) | 2000-03-24 | 2001-10-05 | Ntt Data Corp | Icカード発行装置、及び方法 |
| US7490250B2 (en) * | 2001-10-26 | 2009-02-10 | Lenovo (Singapore) Pte Ltd. | Method and system for detecting a tamper event in a trusted computing environment |
| US7205883B2 (en) * | 2002-10-07 | 2007-04-17 | Safenet, Inc. | Tamper detection and secure power failure recovery circuit |
| US7644290B2 (en) * | 2003-03-31 | 2010-01-05 | Power Measurement Ltd. | System and method for seal tamper detection for intelligent electronic devices |
| JP2006180244A (ja) | 2004-12-22 | 2006-07-06 | Mitsubishi Electric Corp | Icカードリーダ装置 |
| JP2006190222A (ja) | 2005-01-07 | 2006-07-20 | Fuji Electric Holdings Co Ltd | 情報媒体、及びセキュリティーシステム |
| JP2006229667A (ja) | 2005-02-18 | 2006-08-31 | Matsushita Electric Ind Co Ltd | 耐タンパ装置及び耐タンパ方法 |
-
2007
- 2007-03-27 US US12/532,492 patent/US8286005B2/en not_active Expired - Fee Related
- 2007-03-27 WO PCT/JP2007/056482 patent/WO2008117467A1/ja active Application Filing
- 2007-03-27 EP EP07739920A patent/EP2131301A4/en not_active Withdrawn
- 2007-03-27 JP JP2009506179A patent/JP4838349B2/ja not_active Expired - Fee Related
- 2007-03-27 CN CN2007800521026A patent/CN101627392B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08249239A (ja) * | 1994-12-19 | 1996-09-27 | Sgs Thomson Microelectron Sa | 集積回路の安全性を向上させるための方法および装置 |
| JP2001147860A (ja) * | 1999-10-01 | 2001-05-29 | Giesecke & Devrient Gmbh | データメモリ保護方法 |
| JP2002216099A (ja) * | 2001-01-16 | 2002-08-02 | Joho Net:Kk | 携帯型データ記録端末 |
| JP2006155159A (ja) * | 2004-11-29 | 2006-06-15 | Fuji Electric Holdings Co Ltd | 耐タンパ装置 |
| JP2008233967A (ja) * | 2007-03-16 | 2008-10-02 | Sky Kk | 可搬型記憶装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8286005B2 (en) | 2012-10-09 |
| US20100058077A1 (en) | 2010-03-04 |
| WO2008117467A1 (ja) | 2008-10-02 |
| EP2131301A1 (en) | 2009-12-09 |
| CN101627392B (zh) | 2011-12-21 |
| JPWO2008117467A1 (ja) | 2010-07-08 |
| CN101627392A (zh) | 2010-01-13 |
| EP2131301A4 (en) | 2011-12-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4838349B2 (ja) | 秘密情報記憶装置及び秘密情報の消去方法及び秘密情報の消去プログラム | |
| US10229547B2 (en) | In-vehicle gateway device, storage control method, and computer program product | |
| CN104156642B (zh) | 一种基于安全触控屏控制芯片的安全密码输入系统和方法 | |
| CN102171704B (zh) | 用硬件加密存储设备进行外部加密和恢复管理 | |
| US7434069B2 (en) | Method and device for encryption/decryption of data on mass storage device | |
| JP5369502B2 (ja) | 機器、管理装置、機器管理システム、及びプログラム | |
| KR101006721B1 (ko) | 키보드 입력정보 보안장치 및 그 방법 | |
| US9641330B2 (en) | Trusted tamper reactive secure storage | |
| CN102918539A (zh) | 用于保护重放内容的方法和装置 | |
| CN103988467A (zh) | 确保软件加密技术安全的加密系统和方法 | |
| CN105612715A (zh) | 具有可配置访问控制的安全处理单元 | |
| JP7487372B2 (ja) | 改良されたデータ制御及びアクセスの方法及びシステム | |
| WO2022126644A1 (zh) | 模型保护装置及方法、计算装置 | |
| US8458491B1 (en) | Cryptographically scrubbable storage device | |
| JP2005346182A (ja) | 情報処理装置、耐タンパ方法、耐タンパプログラム | |
| KR20170102285A (ko) | 보안 요소 | |
| CN101853345B (zh) | 用于处理存储在外部存储装置中的数据的方法和设备 | |
| JP4895990B2 (ja) | 画像処理装置及びデータ消去方法 | |
| JP2015052951A (ja) | セキュリティ強化装置 | |
| CN111737773A (zh) | 具有se安全模块功能的嵌入式安全存储器 | |
| KR101736444B1 (ko) | 컴퓨팅 시스템 | |
| CN106155940A (zh) | 可保护代码的系统芯片与系统芯片的代码保护方法 | |
| CN110020562A (zh) | 基于uefi的硬盘全加密方法及装置 | |
| KR20070046363A (ko) | 데이터 유출차단장치 및 이를 포함하는 데이터 보안저장장치 | |
| US20120310897A1 (en) | Electronic device and information processing method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110726 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110906 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110927 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110929 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141007 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |