JP2007066008A - 電子装置 - Google Patents
電子装置 Download PDFInfo
- Publication number
- JP2007066008A JP2007066008A JP2005251418A JP2005251418A JP2007066008A JP 2007066008 A JP2007066008 A JP 2007066008A JP 2005251418 A JP2005251418 A JP 2005251418A JP 2005251418 A JP2005251418 A JP 2005251418A JP 2007066008 A JP2007066008 A JP 2007066008A
- Authority
- JP
- Japan
- Prior art keywords
- electronic device
- data
- data storage
- storage means
- electronic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】
実装ケースの不正な方法による開封、親機からの不正な方法による取り外および不正なソフト的なアクセスがあった場合、内部の電子データを消去するだけでなく、データ記憶手段への不正なデータの書き込みを防止することのできる電子装置を提供する。
【解決手段】
セキュリティ動作モードにおいて、不正なアクセスに対し異常検知コマンドが送信されると、データ記憶手段の通信インターフェース回路が異常検知コマンドを受信し、アクセス管理手段が不正アクセスと認識すると、電子データを消去し、全電子データが消去完了すると高電圧発生手段を動作開始し、データ記憶手段の回路の一部を破壊することでデータ記憶手段への電気的アクセスを不可能とする。
【選択図】 図2
実装ケースの不正な方法による開封、親機からの不正な方法による取り外および不正なソフト的なアクセスがあった場合、内部の電子データを消去するだけでなく、データ記憶手段への不正なデータの書き込みを防止することのできる電子装置を提供する。
【解決手段】
セキュリティ動作モードにおいて、不正なアクセスに対し異常検知コマンドが送信されると、データ記憶手段の通信インターフェース回路が異常検知コマンドを受信し、アクセス管理手段が不正アクセスと認識すると、電子データを消去し、全電子データが消去完了すると高電圧発生手段を動作開始し、データ記憶手段の回路の一部を破壊することでデータ記憶手段への電気的アクセスを不可能とする。
【選択図】 図2
Description
本発明は、データ記憶手段を備えた電子装置に関する。更に詳しくは電子装置のデータ記憶手段に記録された電子データへの不正アクセスを防止する手段を備えた電子装置に関する。
データ記憶手段を備えた電子装置は、日常生活の中で近年多種多様に利用されている。中でも、通常は単独に保管あるいは携行され、使用時には、大きなシステム(以後、これを親機と称す)に組み込まれる記憶手段を備えた脱着可能な小型な電子装置は、例えば、銀行預貯金口座の利用時に利用されるキャッシュカードにクレジットカードの機能と電子マネーの機能を付加したICカードとして、広く利用されている。以下、ICカードを例としてデータ記憶手段を備えた電子装置のデータ記憶手段への不正アクセスについて説明する。
ICカードは、正当なICカード所有者が正当に使用する限り、旧来の印鑑などによる認証に比べて便利なものである。然るに、ICカードが正当でない第三者の手に渡り、例えばICカードが記録する重要な機密情報である利用者番号やパスワード等の電子データを、第三者が所有者の承諾なしに不正に入手する(以後、「重要な機密情報である電子データを第三者が不正に入手する。」ことを不正アクセスと称する。)ことが起こりうる。そして、不正アクセスに成功した第三者は、たとえば、正当なICカード所有者の預貯金口座から預貯金を不正に引き落とすことができる。こうした不正アクセスを防止することは、社会秩序を維持するために欠くことはできない重要な課題である。
ICカード等に対する不正アクセスは、第三者によりソフト的、電気的または物理的に行われる。
1.ソフト的不正アクセスの方法
例えば、第三者は、IDカード所有者から当該パスワードの聞き取りや、IDカードを適当なコンピュータ等のシステム(以後、これを単にシステムと称する。)に接続し、適当なプログラムを悪用してデータ記憶手段、例えば半導体メモリ素子であるEEPROMに記憶されている当該IDや当該パスワード等の電子データを不正入手する。
2.電気的不正アクセスの方法
例えば、IDカードの外装ケースを開封し、データ記憶手段、例えば半導体メモリ素子であるEEPROMが実装された回路基板の電気配線に探針を立て、これらの電気配線を流れる電気信号を電気計測器の一種であるロジックアナライザ等で観測して、データ記憶手段に記憶されている当該IDや当該パスワード等の電子データを不正入手する。
3.物理的不正アクセスの方法
例えば、IDカードの外装ケースを開封し、データ記憶手段、例えば半導体メモリ素子であるEEPROMのパッケージを開けて、走査型電子顕微鏡等を用いてデータ記憶手段に記憶されている当該IDや当該パスワード等の電子データを不正入手する。
1.ソフト的不正アクセスの方法
例えば、第三者は、IDカード所有者から当該パスワードの聞き取りや、IDカードを適当なコンピュータ等のシステム(以後、これを単にシステムと称する。)に接続し、適当なプログラムを悪用してデータ記憶手段、例えば半導体メモリ素子であるEEPROMに記憶されている当該IDや当該パスワード等の電子データを不正入手する。
2.電気的不正アクセスの方法
例えば、IDカードの外装ケースを開封し、データ記憶手段、例えば半導体メモリ素子であるEEPROMが実装された回路基板の電気配線に探針を立て、これらの電気配線を流れる電気信号を電気計測器の一種であるロジックアナライザ等で観測して、データ記憶手段に記憶されている当該IDや当該パスワード等の電子データを不正入手する。
3.物理的不正アクセスの方法
例えば、IDカードの外装ケースを開封し、データ記憶手段、例えば半導体メモリ素子であるEEPROMのパッケージを開けて、走査型電子顕微鏡等を用いてデータ記憶手段に記憶されている当該IDや当該パスワード等の電子データを不正入手する。
以後、本明細書で単に不正アクセスと記述した場合は、ソフト的、電気的または物理的不正アクセスを含む広い意味での不正アクセスを意味するものとする。
さて、従来技術によるソフト的不正アクセスを防止する電子装置としては、第三者が利用できない身体的特徴を電子データ化してIDとし、パスワードを暗号化したものが多数提案されている。しかし、この種の電子装置でも電気的不正アクセスや物理的不正アクセスを防止するには十分ではない。
一方、従来技術には、図10に示したように電気的不正アクセスや物理的不正アクセスを防止する手段を備えたものがある(例えば、特許文献1参照)。これを、以下図面を用いて説明する。
従来技術による記憶手段を備えた脱着可能で小型な電子装置10は、電子装置10が組み込まれるシステムと電気的に接続するデータI/O手段5、電子装置10がシステムから取り外されたことを検知する取り外し検知センサ手段4、電子装置10の回路動作を制御する回路制御手段3、回路制御手段3の指示を受信する通信インターフェース回路25を備えた電子データを記録保持する例えばEEPROMを有するデータ記憶手段20および通信インターフェース回路25が受信した電子データに基づき記憶手段20を管理するアクセス管理手段23とを有している。電子装置10に含まれる複数手段間のデータ通信は、データバス9を介して行われる。電源手段17は上記の手段に電力を供給する。電源手段17から上記の手段への電源配線は本図では省略してある。さらに、データ記憶手段20は、公知のソフト的不正アクセスの防止手段を備えているとする。ソフト的不正アクセスの防止手段の内容については、ここでは省略する。
次に、電子装置10の不正アクセス防止動作について説明する。電子装置10がシステムから取り外されたことを、例えば、機械的コネクタを監視する取り外し検知センサ手段4が、電子装置10がシステムから外れたことを検知して電子装置10がシステムから取り外されたとする取り外し信号Stを発生する。取り外し信号Stを受けた回路制御手段3は、予め電子装置10の正当な取り外し手続きをデータ記憶手段20に記憶しており、取り外し手続が正当な取り外し手続によるものか否かを判断する。正当な取り外し手続による場合は、データ記憶手段20の電子データはそのまま保持される。しかし、不正な取り外し手続による場合は、回路制御手段3はデータ記憶手段20に対してデータ消去の命令を送信し、データ記憶手段20内部の、例えばEEPROMに含まれるユーザメモリ21の電子データを消去して不正アクセスを防止する。従って、電子データが消去されているので、図示されていない回路基板の電気配線へ探針して、目的とする電子データに電気的不正アクセスすることはできない。また、電子データが消去されているので、データ記憶手段20内部の、たとえばEEPROMのパッケージを開封し、走査型電子顕微鏡等を用いてデータ記憶手段20に物理的不正アクセスすることもできない。電源手段17は、取り外し後の不正アクセスを防止する一連の回路動作に必要な電力を供給する。なお、不正アクセスを防止するには、当該電子データを破壊しても良いし、当該電子データを偽電子データに書換えても良い。従って従来技術は、システムから不正に取り外しされたデータ記憶手段20のユーザメモリ21を消去することが出来るので、電子装置10に対するソフト的不正アクセス防止は無論のこと、電気的不正アクセスや物理的不正アクセスを高い確度で防止できる。
特開平11−175406号公報
然るに従来技術では、データ記憶手段20のユーザメモリ21の電子データを消去することにより情報漏洩防止はできるが、データ記憶手段20に不正な電子データを書き込まれる恐れがある。また、データ記憶手段20と回路制御手段3との通信に、不正アクセスに対抗してパスワード認証等を含む特殊な通信プロトコルを用いている場合においては、通信プロトコルが解析/解読されて電子データが漏洩する恐れがある。即ち、電子装置10は不正アクセス防止手段を備えていたとしても、特殊な通信プロトコルを解析/解読されてしまった場合には、電子装置10に不正アクセスと認識できないことが大きな課題となっている。
本発明は、以下の手段を提供することにより、前述の課題を解決する。
親機に組み込まれて使用できるように着脱自在なケースに収められた電子装置であり、前記電子装置の外部と電子データを入出力するデータI/O手段と、前記電子データを記録するデータ記憶手段と、前記電子装置が不正アクセスされたことを検知し異常検知信号を発するセンサ手段と、前記異常検知信号を得て、データ記憶手段内の前記セキュリティ情報格納領域を参照して不正アクセスを認知し、不正アクセス認識信号を発するアクセス管理手段と、前記データ記憶手段が前記不正アクセス認識信号を得て前記電子データを消去した後に前記データ記憶手段の一部を破壊する破壊手段と、前記電子装置が有する複数の前記手段を制御する回路制御手段と、前記電子装置が有する複数の前記手段に電力を供給する電源手段と、を備えた電子装置とすることで、不正アクセスを防止する。
さらに、前記アクセス管理手段はセキュリティ情報格納領域を参照して、前記破壊手段の動作及び解除を制御することができる。
前記破壊手段は高電圧発生回路と電圧切り替えスイッチとから成っている。
前記センサ手段は前記パッケージが開封されたこと。あるいは前記パッケージが前記親機から取り外されたことを検知することで不正アクセスを防止する。
前記データ記憶手段の中で電子データを格納するメモリは不揮発性であり、電源電圧の開閉に関わらず格納した情報を保持する。
さらに、前記破壊手段が動作しているセキュリティ動作モードを有し、さらに、セキュリティ動作モード時には前記データ記憶手段へのデータをやり取りする通信インターフェース回路への正しくないコマンドは前記アクセス管理手段が不正アクセスと認識し、前記電子データの消去と前記データ記憶手段の一部を破壊する機能を有する電子装置とすることでソフト的不正アクセスを防止する。
本発明は、多様な利用形態の電子装置において、各種不正アクセスを高い確度で防止できる安全な電子装置を実現すると共に、電子装置を実装中に引き起こされると想定される問題を回避できる実装上の問題のない電子装置を実現する。
本発明の実施の形態を示す概略構成を図1に示す。本発明の電子装置1は、一般に図示していない親機と電気的に接続して利用される。図2には、図1に示す本発明による電子装置1の回路ブロック図を示す。電子装置1は、データ記憶手段2、回路制御手段3、ROM31、RAM32、センサ手段4、データI/O手段5、回路基板6、電源手段7、外装ケース8、から構成される。電子装置1とシステムとのデータ通信は、データI/O手段5を介して行う。データI/O手段5は、回路制御手段3とのみ通信が行われる。回路制御手段3と、ROM31と、RAM32と、センサ手段4と、データ記憶手段2は、データバス9によって相互接続されている。センサ手段4は、例えば電子装置1が親機から不正に取り外しされたり、外装ケース8が開封されたりした不正アクセスを検知して異常検知信号を発する。図2のデータ記憶手段2は不揮発性メモリ、例えばEEPROM、でありユーザデータを電子データとして格納するユーザメモリ21と、ユーザメモリ21のセキュリティ情報を格納するセキュリティ情報格納領域22を備え、回路制御手段3との通信を行う通信インターフェース回路25を備える。更に、不正アクセス検知を判断するアクセス管理手段23と、アクセス管理手段23が不正アクセスと判断した場合に動作する高電圧発生手段24とを備えている。データI/O手段5は、電子装置1とシステムとの通信を仲立ちする。回路制御手段3は、各手段とのやり取りを通じて電子装置1の全体制御を行う。ROM31は、回路制御手段3のプログラムを格納している。RAM32は、回路制御手段3の電子データを格納する。センサ手段4は、不正アクセスを検知し、データバス9を介して、回路制御手段3へ異常検知信号を発する。異常検知信号を得た回路制御手段3は、データバス9を介して、データ記憶手段2へ異常検知信号が発せられたことを通知する。異常検知信号を得たデータ記憶手段2は、アクセス管理手段23がセキュリティ情報格納領域22のセキュリティ情報を参照して不正アクセス検知と判断した場合に、ユーザメモリ21の電子データを消去および、高圧発生回路24を作動させて、電子装置1に含まれる回路、例えば通信インターフェース回路25を破壊し、データ記憶手段2に含まれる電子データが外部に漏洩しないようにする。このアクセス管理手段23の不正アクセス検知判断、ユーザメモリ21の電子データ消去及び通信インターフェース回路25破壊の詳細は、各実施例の中で詳しく説明する。
本発明の第1の実施例である電子装置1においては、図1および図2におけるセンサ手段4は外装ケース8が開封されたことを検知するセンサを有している。
まず、本実施例による電子装置の組み立て実装方法を説明する。
本発明第1の実施例の組み立て実装手順を図3(a)に示す。先ず、ステップP01で、実装前の初期状態として、データ記憶手段2が実装中において、センサ手段4が動作して不正検知をしてもデータ記憶手段2が破壊されないように、実装前にセキュリティ機能を解除した状態(以後、これをセキュリティ解除モードと称する)とするように、データ記憶手段2のセキュリティ情報格納領域22にセキュリティ解除データDoffを格納しておく。その後ステップP02で、電子装置1の構成要素であるデータ記憶手段2と回路制御手段3とROM31とRAM32とセンサ手段4とデータI/O手段5を回路基板6に実装する。次にステップP03で、電源手段7を回路基板6に実装する。電子装置1に電源手段7が接続されると、電子装置1が動作開始する。この状態の時、電子装置1は外装ケース8に覆われていない状態であるため、センサ手段4が動作し、回路制御手段3は物理的不正アクセスと検知し、データ記憶手段2に対し、メモリデータ消去命令Cerを送信する。データ記憶手段2がメモリデータ消去命令Cerを受信すると、アクセス管理手段23は、セキュリティ情報格納領域22からセキュリティ解除モードか否かの判断を行うが、予めセキュリティ解除モードとしてあるので、実装中の物理的不正アクセスの検知によるユーザメモリ21の消去および、通信インターフェース回路25の破壊動作は行われない。次にステップP04で、前記手段を実装した回路基板6を外装ケース8に実装することにより、センサ手段4からの異常検知信号が停止する。最後にステップP05で、セキュリティ情報格納領域22へセキュリティ機能を作動する状態(以後、セキュリティ動作モードと称す)になるようにI/O手段5からでセキュリティ動作データDonを格納する。この時、セキュリティ情報格納領域22にはユーザが任意の電子データを書き込むことができず、セキュリティ情報格納領域22の情報を初期化する目的などのためにセキュリティ情報格納領域22に書き込みを行うためには所定の命令を、通信インターフェース回路25を介して行うことでセキュリティ情報格納領域22に書き込みを行うことができる。なお、本実装工程のステップP01は必ず最初に実行し、ステップP05は最後に行う必要があるが、他のステップの実装順序やステップP02の各手段の実装順序は必要に応じて変更しても、本発明の効果は変わらないことは明白である。
次に本発明による電子装置の開封方法を説明する。
電子装置1を実装後に、電源手段7の電圧低下等による交換等の作業ためにデータ記憶手段2を破壊せずに正規に外装ケース8を開封する手順を図4aに示す。先ずステップP11で、セキュリティ解除モードに遷移させるようにデータI/O手段5からセキュリティ解除データDoffをセキュリティ情報格納領域22へ格納後、ステップP12で外装ケース8の開封を行う。この状態の時、電子装置1は外装ケース8に覆われていない状態であるため、センサ手段4が動作し、回路制御手段3は、物理的不正アクセスと検知し、データ記憶手段2に対し、メモリデータ消去コマンドCerを送信する。データ記憶手段2がメモリデータ消去命令Cerを受信すると、アクセス管理手段23は、セキュリティ情報格納領域22からセキュリティ解除モードか否かの判断を行う。セキュリティ解除モードであれば、実装中の物理的不正アクセスの誤検知によるユーザメモリ21の消去および、通信インターフェース回路25の破壊動作は行われない。上記の方法により、ユーザメモリ21の消去や通信インターフェース回路25の破壊動作を行わずに、外装ケース8を開封して電源手段7を交換することができる。なお、この電子装置1の開封手順のステップ順序は、変更してはならない。
次に、本実施例の電子装置へ不正アクセスをした場合の動作について説明する。
セキュリティ動作モードにおける電子装置1へ外装ケースの開封という物理的不正アクセスがあった場合の、電子装置1の動作フローを図5に示す。不正に外装ケース8が開封される(ステップP21)と、センサ手段4は開封されたことを検知して異常検知信号を回路制御手段3にデータバス9を介して送信する(ステップP22)。回路制御手段3は、不正アクセスの異常検知信号を受信し、データ記憶手段2へ不正アクセスを受けたことを示す異常検知コマンドCkを送信する(ステップP23)。データ記憶手段2の通信インターフェース回路25が異常検知コマンドCkを受信し、アクセス管理手段23が不正アクセスと認識する(ステップP24)と、今現在の状態はセキュリティ動作モードであるか否かの判断を行う(ステップP25)。セキュリティ動作モードである場合には、通信インターフェース回路25へ不正アクセス認識信号を通知する。セキュリティ解除モードの場合は、不正アクセス認識信号を通知しない(ステップP26)で、セキュリティ動作を終了する。通信インターフェース回路25は、不正アクセス認識信号を受信すると、ユーザメモリ21への緊急消去コマンドCsを送信する(ステップP27)。消去コマンドに従いユーザメモリ21内の電子データを消去する(ステップP28)ことにより、不正アクセスによる第三者への情報漏洩防止を図ることができる。
ユーザメモリ21から全電子データの消去が完了したことを通知された通信インターフェース回路25は、アクセス管理手段23へユーザメモリ21の全消去が完了したことを通知し、電源手段7の電圧を昇圧する高電圧発生手段24の動作を開始する(ステップP29)。通信インターフェース回路25は耐圧の低いトランジスタで構成し、高圧電圧27で破壊される構成となっているので、高圧電圧27を通信インターフェース回路25に印加することにより、通信インターフェース回路25は破壊(ステップP30)され、データ記憶手段2との電気的アクセスは不可能となる。データ記憶手段2のユーザメモリ21へのアクセスに、セキュリティを高めるためのパスワード認証等のカスタムプロトコルを用いている場合においても、通信プロトコルの解析・解読を不可能にすることで、更なる情報漏洩防止を図ることができる。
以下では通信インターフェース回路の破壊方法について図6乃至図8を用いて説明する。
図6、図7及び図8に示したデータ記憶手段2に含まれる通信インターフェース回路25は、通信インターフェースロジック回路252、電圧切り替えスイッチ251、センスアンプ回路253及びセンスアンプ回路253のリファレンスレベルを決定する基準電圧254を含んでいる。また、本発明の実施例である電子装置1の破壊手段は、少なくとも高電圧発生手段24と電圧切り替えスイッチ251から構成されている。図6、図7及び図8には、電源手段7の電圧をもとに発生される昇圧電圧27の供給経路を太字矢印で示すが、電源手段7による電源配線は省略する。
先ず、図6を用いて、通信インターフェース回路25の第1の破壊方法を説明する。通信インターフェース回路25に含まれる通信インターフェースロジック回路252の電源電圧を、電圧切り替えスイッチ251を用いて電源手段7から高電圧発生手段24へ切り替えることで通信インターフェース回路25を破壊する。通信インターフェースロジック回路252のMOSトランジスタの耐圧は、例えば7Vとする。高電圧発生手段24で耐圧7VのMOSトランジスタが破壊する電圧、例えば20Vの高圧電圧27を通信インターフェースロジック回路252に印加することにより、通信インターフェースロジック回路252は破壊される。
次に、通信インターフェース回路25の第2の破壊方法を図7に示す。ここでは通信インターフェース回路25に含まれるセンスアンプ回路253の電源電圧を、電圧切り替えスイッチ251を用いて電源手段7から高電圧発生手段24へ切り替える。センスアンプ253回路のMOSトランジスタの耐圧は、例えば7Vとする。高電圧発生手段24で20Vの電圧をセンスアンプ回路253に印加することにより、センスアンプ回路253は破壊される。
次に、通信インターフェース回路25の第3の破壊方法を図8に示す。255は高電圧が印加されることにより導通するアンチヒューズを用いた短絡回路である。この短絡回路をセンスアンプのリファレンス側に入れておく。電圧切り替えスイッチ251を用いて短絡回路に高電圧27を印加することで、アンチヒューズを導通させ、その結果リファレンスレベルがずれることでセンスアンプ回路253は正しく動作しなくなる。もし電子データを読み出しても電子データはは不定の出力となり、データ記憶手段2から正しいデータを読み出すことはできなくなる。
電子装置が記憶する電子データの電気的読み出しを不可能にする本発明の破壊手段は、図6、図7及び図8に示された本実施例の高電圧発生手段24と電圧切り替えスイッチ251に限定されるものではなく、通信インターフェース回路25を破壊する他の手段を用いても同様の効果が得られる、また、ヒューズスイッチ回路255には、抵抗素子と組み合わせることにより、高圧電圧27の印加で開放される開放ヒューズ回路を用いることも出来る。
本発明の第2の実施例である電子装置1は、親機から取り外しされたことを検知するセンサ手段4を有する。本実施例のセンサとしては光を感知する光センサを用いている。
最初に本実施例による電子装置の実装方法を説明する。
本発明の第2の実施例における組み立て実装手順を図3(b)に示す。先ず、ステップS01で、実装前の初期状態として、データ記憶手段2の実装において、センサ手段4が動作して不正アクセスを検知してもデータ記憶手段2が破壊されないように、実装前にセキュリティ解除モードとするように、データ記憶手段2のセキュリティ情報メモリ22にセキュリティ解除データDoffを格納しておく。その後ステップS02で、電子装置1の構成要素であるデータ記憶手段2と回路制御手段3とROM31とRAM32とセンサ手段4とデータI/O手段5を回路基板6に実装する。次にステップS03で、電源手段7を回路基板6に実装する。電子装置1に電源手段7が接続されると、電子装置1が動作開始する。この状態の時、電子装置1は外装ケース8に覆われていない状態であるため、光を感知するセンサ手段4が動作し、回路制御手段3は物理的不正アクセスと検知し、データ記憶手段2に対し、メモリデータ消去命令Cerを送信する。データ記憶手段2がメモリデータ消去命令Cerを受信すると、アクセス管理手段23は、セキュリティ情報格納領域22からセキュリティ解除モードか否かの判断を行う。予めセキュリティ解除モードとしておいたため、実装中の物理的アクセス誤検知によるユーザメモリ21の消去および、通信インターフェース回路25の破壊動作は行われない。次にステップS04で、前記手段を実装した回路基板6を外装ケース8に実装するが、本実施例では、センサ手段4は、外装ケース8外からの光の検知を続けるため、異常検知信号28は停止しない。次にステップS05で、電子装置1を親機へ電気的に接続する。この時親機または電子装置の図示されていない遮光器が、センサ手段4を遮光する。ステップS06でのセキュリティ情報格納領域22へセキュリティ動作モードとなる様にI/O手段5を介して親機からセキュリティ動作データDonを格納する。この時、セキュリティ情報格納領域22の情報を初期化する目的などのためにセキュリティ情報格納領域22に書き込みを行うためには所定の命令を、通信インターフェース回路25を介して行うことでセキュリティ情報格納領域22に書き込みを行うことができる。なお、本実装工程のステップS01は必ず最初に実行し、ステップS05は最後のステップS06の直前に行う必要があるが、他のステップの実装順序やステップS02の各手段の実装順序は必要に応じて変更しても、本発明の効果は変わらないことは明白である。
次に、本実施例による電子装置の取り外し方法について説明する。
電子装置1を親機に接続後、保管や電源手段7交換等の作業ためにデータ記憶手段2を破壊せずに正規に親機から取り外す手順を図4bに示す。先ずステップS11で、セキュリティ情報格納領域22へセキュリティ解除モードに遷移させるようにデータI/O手段5からセキュリティ解除データDoffを格納後、ステップS12で電子装置1を親機から取り外す。この状態の時、電子装置1は前記遮光器に覆われていない状態であるため、センサ手段4が動作し、回路制御手段3は、物理的不正アクセスと検知し、データ記憶手段2に対し、メモリデータ消去コマンドCerを送信する。データ記憶手段2がメモリデータ消去命令Cerを受信すると、アクセス管理手段23は、セキュリティ情報格納領域22からセキュリティ解除モードか否かの判断を行う。セキュリティ解除モードであれば、実装中の物理的アクセス誤検知によるユーザメモリ21の消去および、通信インターフェース回路25の破壊動作は行われない。上記の方法により、ユーザメモリ21の消去や通信インターフェース回路25の破壊動作を行わずに、電子装置1を親機から取り外すことができる。なお、この電子装置1の取り外し手順のステップ順序は、変更してはならない。
次に、セキュリティ動作モードにおける電子装置1へ物理的不正アクセスがあった場合の、電子装置1の動作フローを図5に示す。電子装置1が不正に親機から取り外しされる(ステップS21)と、センサ手段4は取り外されたことを検知して異常検知信号28を回路制御手段3にデータバス9を介して送信する(ステップS22)。回路制御手段3は、不正アクセスの異常検知信号を受信し、データ記憶手段2へ不正アクセスを受けたことを示す異常検知コマンドCkを送信する(ステップS23)。データ記憶手段2の通信インターフェース回路25が異常検知コマンドCkを受信し、アクセス管理手段23が不正アクセスと認識する(ステップS24)と、今現在の状態はセキュリティ動作モードであるか否かの判断を行う(ステップS25)。セキュリティ動作モードである場合には、通信インターフェース回路25へ不正アクセス認識信号を通知する。セキュリティ解除モードの場合は、不正アクセス認識信号を通知しない(ステップS26)で、セキュリティ動作を終了する。通信インターフェース回路25は、不正アクセス認識信号を受信すると、ユーザメモリ21への緊急消去コマンドCsを送信する(ステップS27)。ユーザメモリ21内の電子データを消去する(ステップS28)ことにより、不正アクセスによる第三者への情報漏洩防止を図ることができる。
ユーザメモリ21から全メモリデータが消去完了したことを通知された通信インターフェース回路25は、アクセス管理手段23へユーザメモリ21の全消去が完了したことを通知し、電源手段7の電圧を昇圧する高電圧発生手段24を動作開始する(ステップS29)。通信インターフェース回路25は耐圧の低いトランジスタで構成され、高圧電圧27で破壊される回路構成となっている。高圧電圧27を通信インターフェース回路25に印加することにより、通信インターフェース回路25を破壊(ステップS30)し、データ記憶手段2との電気的アクセスが不可能となる。データ記憶手段2のユーザメモリ21へのアクセスに、セキュリティを高めるためのパスワード認証等のカスタムプロトコルを用いている場合においても、通信プロトコルの解析・解読を不可能にすることで、更なる情報漏洩防止を図ることができる。
第2の実施例における破壊手段の構成と動作は、第1の実施例と同様なので、説明は省略する。
以上、本発明の構成と動作をセンサ手段4に光センサを用いた実施例で説明したが、センサ手段4に、振動を検知する振動センサや加速度センサを用いても、同様な効果が得られる。更に、電子装置1を親機に電気的に接続する手段、たとえばコネクタ等を利用した取り外し検知信号などを利用しても、不正アクセスを防止することが出来る。
また、本発明の動作の不正検知方法について、センサ手段4からの通知を、回路制御手段3を介さずに、データ記憶手段2で直接受信を行うことによっても、第1の実施例と同様にデータ隠蔽を行うことが出来る。
本発明の第3の実施例による電子装置1は、セキュリティ動作モードを有し、さらに、セキュリティ動作モード時には通信インターフェース回路25への正しくないコマンドはアクセス管理手段23が不正アクセスと認識する機能を有する。
本実施例による電子回路1に対し、セキュリティ動作モードでソフト的不正アクセスがあった場合の動作フローを図9に示す。データ記憶手段2の通信インターフェース回路25が何らかのコマンドを受信し、アクセス管理手段23が不正アクセスと認識すると、今現在の状態がセキュリティ動作モードであるか否かの判断を行う。セキュリティ動作モードである場合には、通信インターフェース回路25へ不正アクセスであったことを通知する。通信インターフェース回路25は、不正アクセス認識信号26を受信すると、ユーザメモリ21への全消去コマンドを送信する。ユーザメモリ21を消去することにより、不正アクセスによる第三者への情報漏洩防止を図ることができる。
ユーザメモリ21から全消去が完了したことを、通信インターフェース回路25が通知されると、アクセス管理手段23へユーザメモリ21の全消去が完了したことを通知し、高電圧発生手段24を動作開始する。通信インターフェース回路25を耐圧の低いトランジスタで構成し、高電圧発生手段24の発生電圧で破壊される回路構成とする。高電圧発生手段24で発生した電圧を通信インターフェース回路25に印加することにより、通信インターフェース回路25を破壊し、データ記憶手段2との電気的アクセスが不可能となり、上記と同様に、データ記憶手段2のユーザメモリ21へのアクセスに、セキュリティを高めるためのパスワード認証等のカスタムプロトコルを用いている場合において、通信プロトコルの解析を不可能にすることで、更なる情報漏洩防止を図ることができる。
以上3つの実施例について説明したが、これらの実施例は容易に組み合わせて実施することができる。組み合わせることで実装ケースの不正な開封、親機からの不正な取り外し、不正なソフト的アクセスに対し、データ記憶手段2に収められたデータを消去するだけでなく、データ記憶手段2の一部を恒久的に破壊することで不正なデータの書き込みを防ぐことができる。
1 電子装置
2 データ記憶手段
3 回路制御手段
4 センサ手段
5 データI/O手段
6 回路基板
7 電源手段
8 外装ケース
9 データバス
21 ユーザメモリ
22 セキュリティ情報格納領域
23 アクセス管理手段
24 高電圧発生手段
25 通信インターフェース回路
26 不正アクセス認識信号
27 高圧電圧
31 ROM
32 RAM
251 電圧切り替えスイッチ
252 通信インターフェースロジック回路
253 センスアンプ回路
254 センスアンプ基準電圧
255 短絡回路
2 データ記憶手段
3 回路制御手段
4 センサ手段
5 データI/O手段
6 回路基板
7 電源手段
8 外装ケース
9 データバス
21 ユーザメモリ
22 セキュリティ情報格納領域
23 アクセス管理手段
24 高電圧発生手段
25 通信インターフェース回路
26 不正アクセス認識信号
27 高圧電圧
31 ROM
32 RAM
251 電圧切り替えスイッチ
252 通信インターフェースロジック回路
253 センスアンプ回路
254 センスアンプ基準電圧
255 短絡回路
Claims (6)
- 親機に組み込まれて使用できるように着脱自在なケースに収められた電子装置であり、
前記電子装置の外部と電子データを入出力するデータI/O手段と、
前記電子データを記録するデータ記憶手段と、
前記電子装置が不正アクセスされたことを検知し異常検知信号を発するセンサ手段と、前記異常検知信号を得て、データ記憶手段内の前記セキュリティ情報格納領域を参照して不正アクセスを認知し、不正アクセス認識信号を発するアクセス管理手段と、
前記データ記憶手段が前記不正アクセス認識信号を得て前記電子データを消去した後に前記データ記憶手段の一部を破壊する破壊手段と、
前記電子装置が有する複数の前記手段を制御する回路制御手段と、
前記電子装置が有する複数の前記手段に電力を供給する電源手段と、を備えた電子装置。 - 前記アクセス管理手段はセキュリティ情報格納領域を参照して、前記破壊手段の動作及び解除を制御する請求項1に記載の電子装置。
- 前記破壊手段は高電圧発生回路と電圧切り替えスイッチとを含む請求項1ないし2に記載の電子装置。
- 前記センサ手段は前記パッケージが開封されたこと。あるいは前記パッケージが前記親機から取り外されたことを検知する請求項1に記載の電子装置。
- 前記データ記憶手段の中で電子データを格納するメモリは不揮発性であり、電源電圧の開閉に関わらず格納した情報を保持する事を特徴とする請求項1に記載の電子装置。
- 前記破壊手段が動作しているセキュリティ動作モードを有し、さらに、セキュリティ動作モード時には前記データ記憶手段へのデータをやり取りする通信インターフェース回路への正しくないコマンドは前記アクセス管理手段が不正アクセスと認識し、前記電子データの消去と前記データ記憶手段の一部を破壊する機能を有する請求項1に記載の電子装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005251418A JP2007066008A (ja) | 2005-08-31 | 2005-08-31 | 電子装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005251418A JP2007066008A (ja) | 2005-08-31 | 2005-08-31 | 電子装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007066008A true JP2007066008A (ja) | 2007-03-15 |
Family
ID=37928139
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005251418A Withdrawn JP2007066008A (ja) | 2005-08-31 | 2005-08-31 | 電子装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2007066008A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008233967A (ja) * | 2007-03-16 | 2008-10-02 | Sky Kk | 可搬型記憶装置 |
| JP2009025852A (ja) * | 2007-07-17 | 2009-02-05 | Meidensha Corp | 通信制御装置 |
| WO2015182785A1 (ja) * | 2014-05-31 | 2015-12-03 | 船井電機株式会社 | 画像形成装置用カートリッジ |
| JP2016128939A (ja) * | 2008-10-10 | 2016-07-14 | エシロール アンテルナシオナル (コンパニー ジェネラル ドプティック) | 眼科用レンズの注文要求を処理するための処理装置 |
| JP2016535886A (ja) * | 2013-10-15 | 2016-11-17 | キム,ジュン−テク | 指紋認証を遂行する保安カードとそれによる保安カード処理システム及びその処理方法 |
| JP2016194842A (ja) * | 2015-04-01 | 2016-11-17 | 株式会社リニア・サーキット | メモリ素子用の保管装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH02157988A (ja) * | 1988-12-12 | 1990-06-18 | Hitachi Ltd | Icカードにおけるコマンド処理方法 |
| JPH03100753A (ja) * | 1989-09-13 | 1991-04-25 | Fujitsu Ltd | 個人識別装置 |
| JPH0749931A (ja) * | 1993-06-22 | 1995-02-21 | Mitsubishi Heavy Ind Ltd | 非接触icカード |
| JPH11306786A (ja) * | 1998-04-21 | 1999-11-05 | Nippon Telegr & Teleph Corp <Ntt> | 自己破壊型半導体装置 |
| JPH11338999A (ja) * | 1998-05-22 | 1999-12-10 | Nippon Signal Co Ltd:The | Icカード |
| JP2003330805A (ja) * | 2002-05-15 | 2003-11-21 | Matsushita Electric Ind Co Ltd | 不正読取防止装置および不正読取防止プログラム |
| JP2004532490A (ja) * | 2001-06-12 | 2004-10-21 | ギーゼッケ ウント デフリエント ゲーエムベーハー | 制御装置 |
-
2005
- 2005-08-31 JP JP2005251418A patent/JP2007066008A/ja not_active Withdrawn
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH02157988A (ja) * | 1988-12-12 | 1990-06-18 | Hitachi Ltd | Icカードにおけるコマンド処理方法 |
| JPH03100753A (ja) * | 1989-09-13 | 1991-04-25 | Fujitsu Ltd | 個人識別装置 |
| JPH0749931A (ja) * | 1993-06-22 | 1995-02-21 | Mitsubishi Heavy Ind Ltd | 非接触icカード |
| JPH11306786A (ja) * | 1998-04-21 | 1999-11-05 | Nippon Telegr & Teleph Corp <Ntt> | 自己破壊型半導体装置 |
| JPH11338999A (ja) * | 1998-05-22 | 1999-12-10 | Nippon Signal Co Ltd:The | Icカード |
| JP2004532490A (ja) * | 2001-06-12 | 2004-10-21 | ギーゼッケ ウント デフリエント ゲーエムベーハー | 制御装置 |
| JP2003330805A (ja) * | 2002-05-15 | 2003-11-21 | Matsushita Electric Ind Co Ltd | 不正読取防止装置および不正読取防止プログラム |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008233967A (ja) * | 2007-03-16 | 2008-10-02 | Sky Kk | 可搬型記憶装置 |
| JP4550847B2 (ja) * | 2007-03-16 | 2010-09-22 | Sky株式会社 | 可搬型記憶装置 |
| JP2009025852A (ja) * | 2007-07-17 | 2009-02-05 | Meidensha Corp | 通信制御装置 |
| JP2016128939A (ja) * | 2008-10-10 | 2016-07-14 | エシロール アンテルナシオナル (コンパニー ジェネラル ドプティック) | 眼科用レンズの注文要求を処理するための処理装置 |
| JP2016535886A (ja) * | 2013-10-15 | 2016-11-17 | キム,ジュン−テク | 指紋認証を遂行する保安カードとそれによる保安カード処理システム及びその処理方法 |
| US10140439B2 (en) | 2013-10-15 | 2018-11-27 | Jung Taek Kim | Security card having fingerprint authentication, processing system and processing method therefor |
| WO2015182785A1 (ja) * | 2014-05-31 | 2015-12-03 | 船井電機株式会社 | 画像形成装置用カートリッジ |
| JP2016194842A (ja) * | 2015-04-01 | 2016-11-17 | 株式会社リニア・サーキット | メモリ素子用の保管装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| USRE47621E1 (en) | Secure transaction microcontroller with secure boot loader | |
| US8745752B2 (en) | Detection method for detecting fraud | |
| KR100906175B1 (ko) | 프로세서에서 데이터 보안성을 갖는 메모리 장치 | |
| EP2115655B1 (en) | Virtual secure on-chip one time programming | |
| US7418602B2 (en) | Memory card | |
| US20090307783A1 (en) | Data processing device, method, program, integrated circuit, and program generating device | |
| JP2009505266A (ja) | 不揮発性メモリモジュールを有する回路装置、およびこの不揮発性メモリモジュールに対する攻撃を記録する方法 | |
| US7822995B2 (en) | Apparatus and method for protecting diagnostic ports of secure devices | |
| JP2000076139A (ja) | 携帯型情報記憶媒体 | |
| KR20010034283A (ko) | 기억 장치, 암호화ㆍ복호화 장치 및 불휘발성 메모리의액세스 방법 | |
| CA2529580C (en) | Method of authentication of memory device and device therefor | |
| CN101901195A (zh) | 物理修改数据存储装置以禁止对安全数据的存取和转换数据存储装置的用途 | |
| JP2007066008A (ja) | 電子装置 | |
| CN101349997A (zh) | 将数据写入芯片内存储器的方法及其系统 | |
| KR100830910B1 (ko) | 반도체 기억장치 | |
| WO2009149715A1 (en) | Secure link module and transaction system | |
| CN107832589A (zh) | 软件版权保护方法及其系统 | |
| JP2009123071A (ja) | データ処理回路及び通信携帯端末装置 | |
| JP2018508063A (ja) | セキュア素子 | |
| CN103914664A (zh) | 具有内部存储体保护功能的控制器与控制方法 | |
| US20040186947A1 (en) | Access control system for nonvolatile memory | |
| JP2005080932A (ja) | 遊技制御ユニット、補助遊技制御ユニット及び遊技機 | |
| JP2006301879A (ja) | 記録媒体価値付け装置 | |
| US20030140236A1 (en) | Method and arrangement for preventing unauthorized execution of computer programs and a corresponding software product and a corresponding computer-legible storage medium | |
| JP2004288179A (ja) | マイクロプロセッサシステム及びシステムにおけるモジュールの交換検出方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080516 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20091105 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20091112 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101227 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110105 |
|
| A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20110303 |