JP4349389B2 - データ記憶装置、および、通信装置 - Google Patents

データ記憶装置、および、通信装置 Download PDF

Info

Publication number
JP4349389B2
JP4349389B2 JP2006205713A JP2006205713A JP4349389B2 JP 4349389 B2 JP4349389 B2 JP 4349389B2 JP 2006205713 A JP2006205713 A JP 2006205713A JP 2006205713 A JP2006205713 A JP 2006205713A JP 4349389 B2 JP4349389 B2 JP 4349389B2
Authority
JP
Japan
Prior art keywords
power
memory
housing
scramble key
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006205713A
Other languages
English (en)
Other versions
JP2008033593A (ja
Inventor
如竹 村岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sony Corp
Original Assignee
Sony Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sony Corp filed Critical Sony Corp
Priority to JP2006205713A priority Critical patent/JP4349389B2/ja
Priority to CN2007101363680A priority patent/CN101131678B/zh
Priority to US11/782,440 priority patent/US20080028168A1/en
Publication of JP2008033593A publication Critical patent/JP2008033593A/ja
Application granted granted Critical
Publication of JP4349389B2 publication Critical patent/JP4349389B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2143Clearing memory, e.g. to prevent the data from being stolen

Description

本発明は、データ記憶装置、および、通信装置に関し、特に、耐タンパ性を物理的に向上させるようにしたデータ記憶装置、および、通信装置に関する。
従来、メカニカルスイッチを用いて端末装置の筐体のドアの開放を検出したり、光センサを用いて筐体の破壊を検出し、ドアの開放または筐体の破壊を検出した場合、端末装置のRAMに記憶されているデータを消去することが提案されている(例えば、特許文献1参照)。
特開2005−56439号公報
ところで、データの盗聴や改ざんの手口がより巧妙になっている近年においては、特許文献1に記載されている手法に加えて、さらに耐タンパ性を物理的に向上させることが望まれている。
本発明は、このような状況に鑑みてなされたものであり、耐タンパ性を物理的に向上させるようにするものである。
本発明の第1の側面のデータ記憶装置は、筐体内にメモリが設けられたデータ記憶装置であって前記筐体の面の長さまたは幅に対して狭い間隔で前記筐体のほぼ全面を覆うように配線された、前記筐体の面の長さまたは幅に対して細い電線と、前記電線の断線を検出する検出手段と、第1の電源もしくはバックアップ用の第2の電源からの電力、または、前記第1の電源もしくは前記第2の電源により内部に蓄えた電力により動作するとともに、前記検出手段に電力を供給し、前記電線の断線が検出された場合、または、前記第2の電源からの電力の供給が停止されてから所定の時間が経過した場合、前記メモリに記憶されているデータを消去させる制御手段と、スクランブル鍵を用いて、論理アドレスにスクランブルをかけることにより、前記論理アドレスに対する前記メモリの物理アドレスを割り当てる割り当て手段と、前記電線の断線が検出された場合、前記スクランブル鍵を変更する変更手段とが設けられている。
前記電線は、前記筐体の内面の近傍に配置された基板の第1の面において、長さ方向が第1の方向にほぼ平行となるように配線され、前記基板の第2の面において、長さ方向が前記第1の方向とほぼ直交する第2の方向とほぼ平行になるようにほぼ平行に配線されるようにすることができる。
前記メモリは揮発性であり、前記制御手段には、前記メモリへの電源の供給を停止させることにより、前記メモリに記憶されているデータを消去させるようにすることができる。
本発明の第2の側面の通信装置は、非接触ICカード機能を有する装置と通信する通信装置であって、前記非接触ICカード機能を有する装置から読み出したデータを格納するメモリが筐体内に設けられたデータ記憶装置を備える通信装置において、前記筐体の面の長さまたは幅に対して狭い間隔で前記筐体のほぼ全面を覆うように配線された、前記筐体の面の長さまたは幅に対して細い電線と、前記電線の断線を検出する検出手段と、第1の電源もしくはバックアップ用の第2の電源からの電力、または、前記第1の電源もしくは前記第2の電源により内部に蓄えた電力により動作するとともに、前記検出手段に電力を供給し、前記電線の断線が検出された場合、または、前記第2の電源からの電力の供給が停止されてから所定の時間が経過した場合、前記メモリに記憶されているデータを消去させる制御手段と、スクランブル鍵を用いて、論理アドレスにスクランブルをかけることにより、前記論理アドレスに対する前記メモリの物理アドレスを割り当てる割り当て手段と、前記電線の断線が検出された場合、前記スクランブル鍵を変更する変更手段とが設けられている。
本発明の第1の側面においては、筐体内にメモリが設けられたデータ記憶装置の前記筐体の面の長さまたは幅に対して狭い間隔で前記筐体のほぼ全面を覆うように配線された、前記筐体の面の長さまたは幅に対して細い電線の断線が検出された場合、または、バックアップ用の第2の電源からの電力の供給が停止されてから所定の時間が経過した場合、前記メモリに記憶されているデータが消去され、前記電線の断線が検出された場合、論理アドレスに対する前記メモリの物理アドレスを割り当てるために前記論理アドレスにスクランブルをかけるのに用いるスクランブル鍵が変更される。
本発明の第2の側面においては、筐体内にメモリが設けられたデータ記憶装置の前記筐体の面の長さまたは幅に対して狭い間隔で前記筐体のほぼ全面を覆うように配線された、前記筐体の面の長さまたは幅に対して細い電線の断線が検出された場合、または、バックアップ用の2の電源からの電力の供給が停止されてから所定の時間が経過した場合、前記メモリに記憶されているデータが消去され、前記電線の断線が検出された場合、論理アドレスに対する前記メモリの物理アドレスを割り当てるために前記論理アドレスにスクランブルをかけるのに用いるスクランブル鍵が変更される。
本発明の第1の側面または第2の側面によれば、メモリに記憶されているデータを保護することができる。また、本発明の第1の側面または第2の側面によれば、耐タンパ性を物理的に向上させることができる。
以下に本発明の実施の形態を説明するが、本発明の構成要件と、明細書または図面に記載の実施の形態との対応関係を例示すると、次のようになる。この記載は、本発明をサポートする実施の形態が、発明の詳細な説明に記載されていることを確認するためのものである。従って、発明の詳細な説明中には記載されているが、本発明の構成要件に対応する実施の形態として、ここには記載されていない実施の形態があったとしても、そのことは、その実施の形態が、その構成要件に対応するものではないことを意味するものではない。逆に、実施の形態が構成要件に対応するものとしてここに記載されていたとしても、そのことは、その実施の形態が、その構成要件以外の構成要件には対応しないものであることを意味するものでもない。
本発明の第1の側面のデータ記憶装置(例えば、図1の制御モジュール13)は、第1に、筐体(例えば、図2の筐体31)内にメモリ(例えば、図5のRAM171)が設けられたデータ記憶装置において、前記筐体の面の長さまたは幅に対して狭い間隔で前記筐体のほぼ全面を覆うように配線された、前記筐体の面の長さまたは幅に対して細い電線(例えば、図3の電線51Aおよび図4の電線51B)と、前記電線の断線を検出する検出手段(例えば、図5のタンパ監視回路105−1乃至105−6)と、第1の電源(例えば、図1の主電源14)もしくはバックアップ用の第2の電源(例えば、図10の電池351)からの電力、または、前記第1の電源もしくは前記第2の電源により内部に蓄えた電力により動作するとともに、前記検出手段に電力を供給し、前記電線の断線が検出された場合、または、前記第2の電源からの電力の供給が停止されてから所定の時間が経過した場合、前記メモリに記憶されているデータを消去させる制御手段(例えば、図5の電源制御部106)と、スクランブル鍵を用いて、論理アドレスにスクランブルをかけることにより、前記論理アドレスに対する前記メモリの物理アドレスを割り当てる割り当て手段(例えば、図5のバススクランブル器144)と、前記電線の断線が検出された場合、前記スクランブル鍵を変更する変更手段(例えば、図5のスクランブル鍵変更指令器142および乱数出力器143)とを備える。
本発明の第2の側面の通信装置(例えば、図1のリーダライタ1)は、非接触ICカード機能を有する装置(例えば、図1のICカード2)と通信を行う通信装置であって、前記非接触ICカード機能を有する装置から読み出したデータを格納するメモリ(例えば、図5のRAM171)が筐体(例えば、図2の筐体31)内に設けられたデータ記憶装置を備える通信装置において、前記筐体の面の長さまたは幅に対して狭い間隔で前記筐体のほぼ全面を覆うように配線された、前記筐体の面の長さまたは幅に対して細い電線(例えば、図3の電線51Aおよび図4の電線51B)と、前記電線の断線を検出する検出手段(例えば、図5のタンパ監視回路105−1乃至105−6)と、第1の電源(例えば、図1の主電源14)もしくはバックアップ用の第2の電源(例えば、図10の電池351)からの電力、または、前記第1の電源もしくは前記第2の電源により内部に蓄えた電力により動作するとともに、前記検出手段に電力を供給し、前記電線の断線が検出された場合、または、前記第2の電源からの電力の供給が停止されてから所定の時間が経過した場合、前記メモリに記憶されているデータを消去させる制御手段(例えば、図5の電源制御部106)と、スクランブル鍵を用いて、論理アドレスにスクランブルをかけることにより、前記論理アドレスに対する前記メモリの物理アドレスを割り当てる割り当て手段(例えば、図5のバススクランブル器144)と、前記電線の断線が検出された場合、前記スクランブル鍵を変更する変更手段(例えば、図5のスクランブル鍵変更指令器142および乱数出力器143)とを備える。
以下、図を参照して、本発明の実施の形態について説明する。
図1は、本発明を適用したリーダライタの一実施の形態を示すブロック図である。本発明を適用したリーダライタ1は、アンテナ11、RFドライブ基板12、制御モジュール13、および、主電源14を含むように構成される。
RFドライブ基板12は、アンテナ11を介して、非接触式のICカード2との間で、単一の周波数の搬送波を使用した、電磁誘導による近接通信を行う。RFドライブ基板12が使用する搬送波の周波数としては、例えば、ISM(Industrial Scientific Medical)バンドの13.56MHzなどを採用することができる。また、近接通信とは、通信する装置どうしの距離が、数10cm以内となって可能となる通信を意味し、通信する装置(の筐体)同士が接触して行う通信も含まれる。
制御モジュール13は、ICカード2を利用したサービスを実現するための処理を実行し、適宜、サービスで使用されるデータを、アンテナ11およびRFドライブ基板12を介して、ICカード2に書き込んだり、ICカード2から読み出したりする。また、制御モジュール13は、複数の種類のサービスの処理を並行して実行することが可能である。すなわち、例えば、電子マネーサービス、プリペイドカードサービス、各種の交通機関の乗車カードサービスなど、非接触式のICカードを利用した複数のサービスを、1台のリーダライタ1により提供することができる。
主電源14は、RFドライブ基板12および制御モジュール13の動作に必要な電力を供給する。
図2は、制御モジュール13の外観の構成の例を示す断面図である。
制御モジュール13においては、直方体の筐体31内に、メイン基板32、および、保護基板33乃至36が設けられている。メイン基板32は、筐体31の高さ方向のほぼ中央付近に配置されている。保護基板33乃至36は、それぞれ、筐体31の面31A乃至面31Dの内面とほぼ同じ形状および面積の基板であり、筐体31の面31A乃至面31Dの内面に取り付けられている。また、図示されていないが、筐体31の残りの2面にも、保護基板33乃至36と同様に、各面の内面とほぼ同じ形状および面積の保護基板が取り付けられている。すなわち、保護基板33乃至36および図示せぬ2枚の保護基板の合計6枚の保護基板が筐体31の内面のほぼ全面を覆うように、かつ、メイン基板32を囲むように配置されている。なお、図2においては、筐体13の内面と各保護基板との間に所定の間隔が設けられているが、各保護基板を筐体31内の内面に接するように配置するようにしてもよい。
メイン基板32は、CPU(Central Processing Unit)101(図5)、RAM171(図5)などの制御モジュール13の処理を行うための各部品が搭載されている。
6枚の保護基板は、図8などを参照して後述するように、メイン基板32上に設けられているRAM171に格納されているデータに対して盗聴や改ざんなどの不正行為を行うために、筐体31を開放したり、破壊するなどのタンパ行為を検出するために設けられている基板である。
図3および図4は、保護基板33の構成の例を示している。図3は、図2においてメイン基板32側となる保護基板33の面33Aの構成の例を示し、図4は、図2において筐体31側となる保護基板33の面33Bの構成の例を示している。
保護基板33の形状は、上述したように、筐体31の面31Aの内面とほぼ同じ大きさおよび形状の長方形である。保護基板33の面33Aのほぼ中央には、コネクタ41Bが設けられている。また、面33Aのコネクタ41B以外の部分において、面33Aの長さまたは幅に対して十分細い電線51Aが、面33Aの長さまたは幅に対して十分狭い間隔で、長さ方向が面33Aの縦方向とほぼ平行となり、面33Aのほぼ全面を覆うように配線されている。さらに、面33Bにおいて、面33Bの長さまたは幅に対して十分細い電線51Bが、面33Bの長さまたは幅に対して十分狭い間隔で、長さ方向が面33A電線51Aの長さ方向とほぼ直交する面33Bの横方向とほぼ平行となり、面33Bのほぼ全面を覆うように配線されている。また、電線51Aと電線51Bとは、貫通ビア52および53により接続されることにより、1本の電線を構成している。すなわち、面33Aと面33Bの両面を合わせて、保護基板33のほぼ全面にほぼ格子状に1本の電線が配線されている。
なお、以下、適宜、電線51Aと電線51Bとを合わせて、電線51と称する。
図示および詳細な説明は省略するが、保護基板33以外の他の5枚の保護基板についても、保護基板33と同様に、各基板の両面を合わせて、各基板のほぼ全面にほぼ格子状に1本の電線が配線されている。すなわち、筐体31の各面の長さまたは幅に対して十分細い電線が、筐体31の各面の長さまたは幅に対して十分狭い間隔で筐体31のほぼ全面を覆うように配線されている。従って、筐体31に穴を開けるなどの破壊行為が行われた場合、筐体31のほぼ全面を覆っている電線の一部がほぼ確実に断線される。
なお、各保護基板において、電線をできる限り細くし、隣接する電線の間隔をできる限り狭くするようにすることが望ましい。
図2に戻り、メイン基板32と保護基板33とは、コネクタ41Aおよび41Bにより電気的に接続されており、メイン基板32と保護基板34とは、コネクタ42Aおよび42Bにより電気的に接続されており、メイン基板32と保護基板35とは、コネクタ43Aおよび43Bにより電気的に接続されており、メイン基板32と保護基板36とは、コネクタ44Aおよび44Bにより電気的に接続されている。また、図示されていない2枚の保護基板についても、図示せぬコネクタを用いて、メイン基板32と電気的に接続されている。すなわち、筐体31の各面を開放しようとした場合、筐体31の内面に取り付けられている保護基板とメイン基板32とが電気的に切断されるようになされている。
なお、制御モジュール13には、図示した以外にも、RFドライブ基板12および主電源14と電気的に接続するためのコネクタなどが設けられる。
図5は、図1の制御モジュール13の機能的構成を示すブロック図である。制御モジュール13は、CPU101、メモリアクセス制御部102、記憶部103、リセット回路104、タンパ監視回路105−1乃至105−6、および、電源制御部106を含むように構成される。また、メモリアクセス制御部102は、スイッチ141、スクランブル鍵変更指令器142、乱数出力器143、および、バススクランブル器144を含むように構成される。さらに、バススクランブル器144は、スクランブル鍵保持部151、および、アドレスバススクランブル回路152を含むように構成される。また、スクランブル鍵保持部151は、スクランブル鍵バッファ161、および、内部メモリ162を含むように構成される。さらに、記憶部103は、RAM(Random Access Memory)171および不揮発性メモリ172を含むように構成される。
CPU101とアドレスバススクランブル回路152とは、バス幅がnビットのアドレスバス121を介して相互に接続され、アドレスバススクランブル回路152と記憶部103とは、アドレスバス121と同じnビットのバス幅のアドレスバス122を介して相互に接続されている。また、CPU101と記憶部103は、バス幅がmビットのデータバス123を介して、相互に接続されている。
CPU101は、所定のプログラムを実行することにより、ICカード2を利用したサービスを実現するための処理を実行する。また、CPU101は、各サービスに対応したプログラムを並行して実行することができる。換言すれば、CPU101は、複数のサービスの処理を並行して実行することができる。
CPU101は、各サービスで使用するデータを、記憶部103のRAM171または不揮発性メモリ172に書き込んだり、記憶部103のRAM171または不揮発性メモリ172から読み出したりする。なお、以下、適宜、記憶部103のRAM171または不揮発性メモリ172にデータを書き込むことを、単に、記憶部103にデータを書き込むと表現し、記憶部103のRAM171または不揮発性メモリ172からデータを読み出すことを、単に、記憶部103からデータを読み出すと表現する。
CPU101は、記憶部103にデータを書き込む場合、データの論理的な書き込み位置を表す論理アドレスを示す論理アドレス信号を、アドレスバス121を介してアドレスバススクランブル回路152に供給するとともに、書き込むデータを含み、データの書き込みの指令を示す書き込み信号を、データバス123を介して記憶部103に供給する。また、CPU101は、記憶部103からデータを読み出す場合、データの論理的な読み出し位置を表す論理アドレスを示す論理アドレス信号を、アドレスバス121を介してアドレスバススクランブル回路152に供給するとともに、データの読み出しの指令を示す読み出し信号を、データバス123を介して記憶部103に供給する。
メモリアクセス制御部102は、CPU101の記憶部103へのアクセスを制御する。
メモリアクセス制御部102に含まれる個々の構成要素のうち、スイッチ141は、ユーザがスクランブル鍵の変更を指令する場合に押下される。スイッチ141は、ユーザにより押下された場合、押下されたことを示す信号をスクランブル鍵変更指令器142に供給する。
スクランブル鍵変更指令器142は、スイッチ141が押下された場合、スクランブル鍵の変更の指令を乱数出力器143に供給する。また、スクランブル鍵変更指令器142は、タンパ監視回路105−1乃至105−6から出力される監視信号に基づいて、筐体31の破壊や開放などのタンパ行為を検出した場合、スクランブル鍵の変更の指令を乱数出力器143に供給する。
乱数出力器143は、スクランブル鍵変更指令器142からスクランブル鍵の変更の指令を示す信号が供給された場合、nビットのビット列からなる疑似乱数を生成し、生成した疑似乱数をスクランブル鍵としてスクランブル鍵バッファ161に出力する。
バススクランブル器144は、CPU101から供給される論理アドレス信号により示される論理アドレスを、記憶部103に実際にアクセスする物理アドレスに変換する処理を行う。
バススクランブル器144に含まれる個々の構成要素のうち、スクランブル鍵保持部151は、乱数出力器143から供給された疑似乱数をスクランブル鍵として保持する。具体的には、スクランブル鍵保持部151のスクランブル鍵バッファ161が、乱数出力器143から供給された疑似乱数をスクランブル鍵として保持するととともに、スクランブル鍵を内部メモリ162に供給し、記憶させる。内部メモリ162は、フラッシュメモリなどの不揮発性メモリ、または、電池などによりバックアップされたRAMなどにより構成され、主電源14がオフされた状態においても、スクランブル鍵を保持し続ける。また、スクランブル鍵バッファ161は、主電源14がオフされた状態からオンされた場合、内部メモリ162に記憶されているスクランブル鍵を読み出し、保持する。さらに、スクランブル鍵バッファ161は、主電源14がオンされてから、内部メモリ162からのスクランブル鍵の読み出しが完了するまでの間、リセット指令信号をリセット回路104に供給する。
アドレスバススクランブル回路152は、スクランブル鍵バッファ161に保持されている鍵を用いて、CPU101から供給された論理アドレス信号により示される論理アドレスにスクランブルをかけることにより、論理アドレスを実際に記憶部103にアクセスする物理アドレスに変換する。換言すれば、アドレススバスクランブル回路152は、入力された論理アドレスにスクランブルをかけることにより、その論理アドレスに対して、物理アドレスを割り当てる。アドレスバススクランブル回路152は、アドレスバス122を介して、変換後の物理アドレスを示す物理アドレス信号を記憶部103に供給する。
記憶部103に含まれる個々の構成要素のうち、RAM171は、各サービスのデータや個人情報などの機密性の高いデータを格納する。RAM171に格納されているデータは、電源制御部106からの電力により保持され、電源制御部106からの電力の供給が停止された場合、消去される。
不揮発性メモリ172は、例えば、フラッシュメモリ、EEPROM(Electrically Erasable and Programmable Read Only Memory)、HDD(Hard Disk Drive)、MRAM(Magnetoresistive Random Access Memory,磁気抵抗メモリ)、FeRAM(Ferroelectric Random Access Memory,強誘電体メモリ)、または、OUM(Ovonic Unified Memory)などにより構成され、機密性の低いデータが格納される。
RAM171および不揮発性メモリ172は、CPU101から書き込み信号が供給された場合、アドレスバススクランブル回路152から供給された物理アドレス信号により示されるRAM171または不揮発性メモリ172上の物理アドレスに、書き込み信号に含まれるデータを書き込む。また、RAM171および不揮発性メモリ172は、CPU101から読み出し信号が供給された場合、アドレスバススクランブル回路152から供給された物理アドレス信号により示されるRAM171または不揮発性メモリ172上の物理アドレスからデータを読み出し、読み出したデータを、データバス123を介して、CPU101に供給する。
リセット回路104は、スクランブル鍵バッファ161からリセット指令信号が供給されている間、CPU101にリセット信号を供給し、CPU101の状態を初期化する。
タンパ監視回路105−1乃至105−6は、図8などを参照して後述するように、筐体31の破壊や開放などのタンパ行為を監視し、監視結果を示す監視信号を電源制御部106およびスクランブル鍵変更指令器142に供給する。
なお、以下、タンパ監視回路105−1乃至105−6を個々に区別する必要がない場合、単に、タンパ監視回路105と称する。
電源制御部106は、図10などを参照して後述するように、主電源14からの電力の供給を受け、制御モジュール13の各部への電力の供給を制御する。また、電源制御部106は、制御モジュール13に対するタンパ行為が検出された場合、記憶部103への電力の供給を停止することにより、RAM171のデータを消去させる。
図6は、乱数出力器143の機能的構成を示すブロック図である。乱数出力器143は、乱数生成器201、および、スイッチ202を含むように構成される。
乱数生成器201は、L1ビットのシフトレジスタを有するLFSR(Linear Feedback Shift Register,リニアフィードバックシフトレジスタ)型乱数発生器211、L2ビットのシフトレジスタを有するLFSR型乱数発生器212、および、EXOR回路213を含むように構成される。
LFSR型乱数発生器211,212は、シフトレジスタの所定のビットの値の排他的論理和をフィードバック値としてシフトレジスタに入力する周知のLFSRの原理により構成される。乱数生成器201は、LFSR型乱数発生器211,212により生成される2つの異なるM系列の疑似乱数の排他的論理和をEXOR回路213によりビット毎に取ることにより、Gold系列の疑似乱数を生成する。なお、乱数生成器201が備えるLFSR型乱数発生器211,212の個数は、2個に限定されるものではなく、3個以上とすることも可能である。
スイッチ202は、スクランブル鍵変更指令器142からスクランブル鍵の変更の指令を示す信号が入力された場合、オンとなり、乱数生成器201により生成されたGold系列の疑似乱数を示すビット列が、スイッチ202を介してスクランブル鍵バッファ161に出力される。
図7は、バススクランブル器144の機能的構成の詳細を示すブロック図である。
スクランブル鍵バッファ161は、シリアル入力およびパラレル入出力のnビットのシフトレジスタなどにより構成され、乱数出力器143からシリアル信号により供給された疑似乱数をスクランブル鍵として保持する。
アドレスバススクランブル回路152は、アドレスバス121を介してCPU101から供給される論理アドレス信号により示されるビットA1乃至Anからなるnビットの論理アドレスと、スクランブル鍵バッファ161に保持されているビットK1乃至Knからなるnビットのスクランブル鍵との排他的論理和を、EXOR回路251−1乃至251−nによりビット毎に取ることにより、論理アドレスをビットSA1乃至SAnからなるnビットの物理アドレスに変換する。アドレスバススクランブル回路152は、アドレスバス122を介して、変換後の物理アドレスを示す物理アドレス信号を記憶部103に供給する。
図8は、図5のタンパ監視回路105−1の回路構成の例を示す図である。タンパ監視回路105−1は、保護基板33上の電線51および抵抗301、抵抗302、抵抗303、p型のMOSFET(Metal Oxide Semiconductor Field Effect Transistor)304、比較電圧源素子305、および、電圧比較器306を含むように構成される。
MOSFET304のゲートは、点A、コネクタ41A,41B、および、電線51を介して、抵抗301の一端に接続され、点Aを介して、抵抗302の一端に接続されている。MOSFET304のソースは、点Bを介して、抵抗303の一端、および、電圧比較器306のプラス端子に接続されている。MOSFET304のドレインは、抵抗302の一端であって、MOSFET304のゲートに接続されている一端とは異なる一端、および、比較電圧源素子305のマイナス端子に接続されるとともに、接地されている。すなわち、タンパ監視回路105−1は、MOSFET304のドレインが接地されたソースフォロワ回路により構成される。
また、抵抗301の一端であって、電線51に接続されている一端とは異なる一端は、コネクタ41B,41Aを介して、電源制御部106、および、抵抗303の一端であって、点Bに接続されている一端とは異なる一端に接続されている。比較電圧源素子305のプラス端子は、電圧比較器306のマイナス端子に接続されている。電圧比較器306の出力端子は、点S1を介して、図5の電源制御部106およびスクランブル鍵変更指令器142に接続されている。
抵抗302の値は、抵抗301の値と比較して十分大きな値を持つ。従って、点Aの電圧、すなわち、MOSFET304のゲート電圧は、電源制御部106からの入力電圧とほぼ同じ値まで引き上げられ、MOSFET304のソース電圧は、ゲート電圧とほぼ同じ電圧となるように追従するので、点Aと点Bはほぼ同じ電圧となる。従って、電圧比較器306のプラス端子には、電源制御部106からの入力電圧とほぼ等しい電圧が入力される。比較電圧源素子305は、電源制御部106からの入力電圧の約半分の電圧を電圧比較器306のマイナス端子に入力する。電圧比較器306から出力される監視信号の電圧は、マイナス端子よりプラス端子に入力される電圧の方が高い場合、プラス端子とマイナス端子との電圧の差分を増幅した値となり、プラス端子よりマイナス端子に入力される電圧の方が高い場合、ほぼ0Vとなる。
ここで、図9を参照して、タンパ監視回路105−1の動作の例について説明する。図9は、制御モジュール13の筐体31の面31Aに対して、開放や破壊などのタンパ行為が行われた場合の点A、点Bおよび点S1の電圧の変化の例を示す図である。なお、時刻t1は、タンパ行為が行われた時刻を示す。
時刻t1以前の異常が発生していない状態においては、上述したように、点Aと点Bの電圧は、電源制御部106からの入力電圧とほぼ等しくなる。従って、電圧比較器306のプラス端子の電圧、すなわち、点Bの電圧が、マイナス端子の電圧、すなわち、比較電圧源素子305の電圧より高くなるため、電圧比較器306の出力電圧、すなわち、点S1の電圧は、プラス端子とマイナス端子との電圧の差分を増幅した正の値となる。
時刻t1において、制御モジュール13の筐体31の面31Aが開放され、コネクタ41Aとコネクタ41Bとが分離されたり、面31Aに対して、穴を開けるなどの破壊行為が行われ、電線51に断線が生じた場合、電源制御部106とMOSFET304のゲートとの間が断線され、点Aの電圧はほぼ0Vとなる。これに伴い、図9に示されるように、点Bの電圧もほぼ0Vとなり、電圧比較器306のマイナス端子の電圧がプラス端子の電圧より高くなるため、電圧比較器306の出力電圧、すなわち、点S1の電圧は、ほぼ0Vとなる。
従って、タンパ監視回路105−1から出力される監視信号に基づいて、筐体31の開放や破壊などのタンパ行為を検出することができる。
なお、タンパ監視回路105−2乃至105−6も、タンパ監視回路105−1と同様の構成を有しており、その説明は繰り返しになるので省略するが、タンパ監視回路105−1と同様に、タンパ監視回路105−2乃至105−6からの監視信号に基づいて、筐体31の開放や破壊などのタンパ行為を検出することができる。
従って、タンパ監視回路105−1乃至105−6からの監視信号の電圧を監視することにより、筐体31の全ての面に対する開放や破壊などのタンパ行為を確実に検出することができる。
なお、以下、タンパ監視回路105−2は、保護基板34上の電線を含み、タンパ監視回路105−3は、保護基板35上の電線を含み、タンパ監視回路105−4は、保護基板35上の電線を含み、タンパ監視回路105−5および105−6は、図2に図示されていない筐体31の2面にそれぞれ対応する保護基板上の電線を含むものとする。
図10は、図5の電源制御部106の回路構成の例を示す図である。電源制御部106は、主電源14のバックアップ電源である電池351、電池ソケット352、ダイオード353,354、コンデンサ355、電源レギュレータ356、抵抗357、電池電圧検知器358、および、スイッチ359を含むように構成される。
電池351は、電池ソケット352に装着された状態において、正極が、電池ソケット352を介して、逆流防止用のダイオード353のアノード、抵抗357の一端、および、電池電圧検知器358の入力端子T11に接続され、負極が、電池ソケット352を介して、コンデンサ355の一端、および、抵抗357の一端であって、電池351の正極に接続されている一端とは異なる一端に接続されるとともに、接地されている。ダイオード353のカソードは、逆流防止用のダイオード354のカソード、コンデンサ355の一端であって、電池351の負極に接続されている一端とは異なる一端、および、電源レギュレータ356の入力端子T1に接続されている。ダイオード354のアノードは、主電源14に接続されている。
電源レギュレータ356の出力端子T2は、電池電圧検知器358の電源端子T13、スイッチ359の一端、CPU101、メモリアクセス制御部102、リセット回路104、および、タンパ監視回路105−1乃至105−6に接続されている。電池電圧検知器358の出力端子T12は、スイッチ359の図示せぬ電圧検知端子に接続されている。スイッチ359の一端であって、電源レギュレータ356の出力端子T2に接続されている一端とは異なる一端は、記憶部103に接続されている。また、スイッチ359の図示せぬ電圧検知端子が、点S1乃至S6を介して、タンパ監視回路105−1乃至105−6に接続されている。
電源レギュレータ356は、ダイオード354を介して、主電源14から入力される電圧、または、ダイオード353を介して、電池351から入力される電圧を所定の電圧に変換し、ほぼ一定の電圧を出力端子T2から出力する。出力端子T2から出力された電圧は、CPU101、メモリアクセス制御部102、リセット回路104、タンパ監視回路105−1乃至105−6、電池電圧検知器358、および、スイッチ359を介して、記憶部103に供給される。すなわち、主電源14または電池351からの電力が、電源レギュレータ356により、その電圧が安定化されて、CPU101、メモリアクセス制御部102、リセット回路104、タンパ監視回路105−1乃至105−6、電池電圧検知器358、および、記憶部103に供給される。従って、主電源14または電池351のいずれか一方からの電力の供給が停止されても、CPU101、メモリアクセス制御部102、リセット回路104、タンパ監視回路105−1乃至105−6、電池電圧検知器358、および、記憶部103に安定化された電力が供給される。
また、コンデンサ355は、主電源14または電池351により電力が供給されている場合、主電源14または電池351により所定の電圧に充電される。そして、主電源14および電池351からの電力の供給が停止された場合、コンデンサ355に蓄えられた電力が、電源レギュレータ356を介して、CPU101、メモリアクセス制御部102、リセット回路104、タンパ監視回路105−1乃至105−6、電池電圧検知器358、および、スイッチ359を介して、記憶部103に供給される。コンデンサ355は、例えば、スーパーキャパシタ(電気二重層キャパシタ)により構成され、CPU101、メモリアクセス制御部102、リセット回路104、タンパ監視回路105−1乃至105−6、電池電圧検知器358、および、記憶部103に所定の時間(例えば、30〜40分)以上の電力の供給が可能な蓄電容量を持つ。
電池電圧検知器358は、入力端子T11に入力される電圧、すなわち、電池351により抵抗357に印加される電圧を検知することにより、電池351の取り外しを検出する。電池電圧検知器358は、入力端子T11の電圧が所定の閾値以下になった場合、内部の図示せぬカウンタを用いて時間の計測を開始し、入力端子T11の電圧が閾値以下の状態が所定の時間継続した場合、出力端子T12の電圧をHighレベル(例えば、5V)からLowレベル(例えば、0V)に変化させる。
スイッチ359は、タンパ監視回路105−1乃至105−6からの監視信号、および、電池電圧検知器358の出力信号の電圧のうち1つでも所定の閾値以下になった場合、オフされ、電源制御部106から記憶部103への電力の供給が停止される。
ここで、図11を参照して、電源制御部106の動作の例を説明する。図11は、主電源14がオフされており、かつ、タンパ監視回路105−1乃至105−6によりタンパ行為が検出されていない状態において、電池351が電池ソケット352から取り外された場合の電池電圧検知器358の端子T11,T12、および、電源制御部106から記憶部103への出力電圧の変化の例を示す図である。なお、時刻t11は、電池351が電池ソケット352から取り外された時刻を示す。
時刻t11以前の電池351が取り付けられた状態においては、電池351により、電池電圧検知器358の入力端子T11に正の電圧が入力され、出力端子T12からHighレベルの電圧がスイッチ359に入力される。また、タンパ監視回路105−1乃至105−6によりタンパ行為が検出されておらず、タンパ監視回路105−1乃至105−6から正の電圧がスイッチ359に入力されているため、スイッチ359はオンの状態となり、電源レギュレータ356の出力端子T2から出力された電力が、スイッチ359を介して、記憶部103に供給される。また、このとき、電源レギュレータ356の出力端子T2から出力された電力は、CPU101、メモリアクセス制御部102、リセット回路104、タンパ監視回路105−1乃至105−6、および、電池電圧検知器358にも供給される。
時刻t11において、電池351が電池ソケット352から取り外された場合、電池電圧検知器358の入力端子T11に入力される電圧が、ほぼ0Vとなり、電池電圧検知器358は、内部のカウンタを用いて、時間の計測を開始する。また、コンデンサ355が放電を開始し、コンデンサ355に蓄積されている電力が、電源レギュレータ356を介して、CPU101、メモリアクセス制御部102、リセット回路104、タンパ監視回路105−1乃至105−6、および、電池電圧検知器358に供給される。
時刻t11において電池電圧検知器358が時間の計測を開始してから、所定の時間Taが経過した時刻t12において、電池電圧検知器358は、出力端子T12の電圧をHighレベルからLowレベルに変化させる。これにより、スイッチ359がオフされ、記憶部103への電力の供給が停止される。これにより、記憶部103のRAM171に記憶されているデータが消去される。
なお、時刻t12以降も、CPU101、メモリアクセス制御部102、リセット回路104、タンパ監視回路105−1乃至105−6、および、電池電圧検知器358には、電源レギュレータ356を介して、コンデンサ355から電力が継続して供給される。従って、電池351が取り外されても、タンパ監視回路105−1乃至105−6によるタンパ行為の監視が継続して行われる。
なお、電池電圧検知器358は、時間Taの間に電池351が取り付けられ、入力端子T11に入力される電圧が、所定の閾値を超えた場合、内部のカウンタによる時間の計測を停止する。従って、時間Taを適切に設定することにより、主電源14をオフした状態においても、RAM171のデータを消去させることなく、電池351を交換することができる。なお、電池351の交換を考慮しなくてもよい場合、時間Taを設けずに、時刻t11において、スイッチ359をオフするようにしてもよい。
次に、図12乃至図14を参照して、リーダライタ1の処理を説明する。
まず、図12のフローチャートを参照して、リーダライタ1により実行されるスクランブル鍵生成処理について説明する。なお、この処理は、例えば、ユーザが、スイッチ141を押下したとき開始される。
ステップS1において、乱数出力器143は、疑似乱数を出力する。具体的には、スイッチ141は、押下されたことを示す信号をスクランブル鍵変更指令器142に供給する。スクランブル鍵変更指令器142は、スクランブル鍵の変更の指令を示す信号をスイッチ202に供給し、スイッチ202をオンさせる。乱数生成器201は、リーダライタ1の主電源14がオンになっている間、常に疑似乱数を生成しており、スイッチ202がオンされることにより、スイッチ202を介して、乱数生成器201からスクランブル鍵バッファ161への疑似乱数の出力が開始される。スイッチ202は、乱数生成器201から疑似乱数がnビット出力されたとき、オフとなる。
ステップS2において、バススクランブル器144は、スクランブル鍵を設定し、スクランブル鍵生成処理は終了する。具体的には、スクランブル鍵バッファ161は、乱数出力器143から供給されたnビットのビット列からなる疑似乱数をスクランブル鍵として内部のレジスタに保持する。また、スクランブル鍵バッファ161は、内部メモリ162にスクランブル鍵を供給し、記憶させる。すなわち、スクランブル鍵が内部メモリ162にバックアップされる。
これにより、簡単に、各制御モジュール13に対して、それぞれ値が異なり、かつ、予測が困難なスクランブル鍵を設定することができる。なお、このスクランブル鍵設定処理は、例えば、リーダライタ1を工場から出荷する前に行われる。
次に、図13のフローチャートを参照して、リーダライタ1により実行されるメモリアクセス制御処理を説明する。なお、この処理は、例えば、リーダライタ1の主電源14がオンされたとき開始される。
ステップS31において、スクランブル鍵バッファ161は、リーダライタ1の主電源14がオンされることにより、リセット回路104へのリセット指令信号の供給を開始する。
ステップS32において、リセット回路104は、CPU101へのリセット信号の供給を開始し、CPU101をリセットする。これにより、CPU101の状態が初期化される。
ステップS33において、スクランブル鍵バッファ161は、内部メモリ162に保持されているスクランブル鍵を読み出す。スクランブル鍵バッファ161は、読み出したスクランブル鍵を内部のレジスタに保持する。
ステップS34において、スクランブル鍵バッファ161は、リセット回路104へのリセット指令信号の供給を停止する。これに伴い、リセット回路104は、CPU101へのリセット信号の供給を停止し、CPU101は、プログラムの実行を開始する。
ステップS35において、CPU101は、データを書き込むかを判定する。CPU101は、実行中のプログラムにおいて、次の処理がデータの書き込みを行う処理でない場合、データを書き込まないと判定し、処理はステップS36に進む。
ステップS36において、CPU101は、データを読み出すかを判定する。CPU101は、実行中のプログラムにおいて、次の処理がデータの読み出しを行う処理でない場合、データを読み出さないと判定し、処理はステップS35に戻る。
その後、ステップS35において、データを書き込むと判定されるか、ステップS36においてデータを読み出すと判定されるまで、ステップS35およびS36の処理が繰り返し実行される。
ステップS35においてCPU101は、実行中のプログラムにおいて、次の処理がデータの書き込みを行う処理である場合、データを書き込むと判定し、処理はステップS37に進む。
ステップS37において、CPU101は、データの書き込みを指令する。具体的には、CPU101は、データの論理的な書き込み位置を表す論理アドレスを示す論理アドレス信号を、アドレスバス121を介してアドレスバススクランブル回路152に供給するとともに、書き込むデータを含み、データの書き込みの指令を示す書き込み信号を、データバス123を介して記憶部103に供給する。
ステップS38において、アドレスバススクランブル回路152は、論理アドレスを物理アドレスに変換する。具体的には、アドレスバススクランブル回路152は、論理アドレス信号により示される論理アドレスとスクランブル鍵バッファ161に保持されているスクランブル鍵との排他的論理和をビット毎に取り、論理アドレスにスクランブルをかけることにより、論理アドレスを物理アドレスに変換する。アドレスバススクランブル回路152は、変換後の物理アドレスを示す物理アドレス信号を、アドレスバス122を介して記憶部103に供給する。
ステップS39において、記憶部103は、データを書き込む。具体的には、RAM171または不揮発性メモリ172は、物理アドレス信号に示されるRAM171または不揮発性メモリ172上の物理アドレスに、CPU101から供給された書き込み信号に含まれるデータを書き込む。これにより、CPU101から連続した論理アドレスへのデータの書き込みが指令されても、実際には、ランダムに配置されるようにRAM171または不揮発性メモリ172にデータが書き込まれるため、RAM171または不揮発性メモリ172に格納されているデータの内容を解析したり、改ざんしたりすることが困難となる。
その後、処理はステップS35に戻り、ステップS35以降の処理が実行される。
ステップS36において、CPU101は、実行中のプログラムにおいて、次の処理がデータの読み出しを行う処理である場合、データを読み出すと判定し、処理はステップS40に進む。
ステップS40において、CPU101は、データの読み出しを指令する。具体的には、CPU101は、データの論理的な読み出し位置を表す論理アドレスを示す論理アドレス信号を、アドレスバス121を介してアドレスバススクランブル回路152に供給するとともに、データの読み出しの指令を示す読み出し信号を、データバス123を介して記憶部103に供給する。
ステップS41において、上述したステップS38の処理と同様に、論理アドレスが物理アドレスに変換され、変換後の物理アドレスを示す物理アドレス信号が、アドレスバス122を介して、アドレスバススクランブル回路152から記憶部103に供給される。
ステップS42において、記憶部103は、データを読み出す。具体的には、RAM171または不揮発性メモリ172は、物理アドレス信号により示される物理アドレスに記憶されているデータを読み出し、読み出したデータを、データバス123を介して、CPU101に供給する。
その後、処理はステップS35に戻り、ステップS35以降の処理が実行される。
以上のように、各制御モジュール13に異なるスクランブル鍵を簡単に設定することができるため、たとえ、1台の制御モジュール13に設定されているスクランブル鍵が解析されたとしても、そのスクランブル鍵を用いて、他の制御モジュール13のRAM171および不揮発性メモリ172に記憶されているデータの解析や改ざんをすることができない。従って、データの流出や改ざんの被害を最小限に抑えることができる。
また、疑似乱数の生成方法およびアドレスのスクランブル方法については、従来の技術をそのまま使用することができ、新たに複雑な回路を設ける必要がなく、スクランブル鍵の変更の指令を入力する以外にユーザの手間も増えないため、簡単にRAM171および不揮発性メモリ172上のデータのセキュリティを向上させることができる。
次に、図14のフローチャートを参照して、リーダライタ1により実行されるタンパ行為監視処理を説明する。なお、この処理は、例えば、工場出荷後に、リーダライタ1の使用が開始されたとき開始される。
ステップS61において、電池電圧検知器358は、電池351からの電力の供給が停止されたかを判定する。図10および図11を参照して上述したように、電池電圧検知器358は、例えば、電池351が電池ソケット352から取り外され、入力端子T11の電圧が所定の閾値を超える状態から閾値以下になった場合、電池351からの電力の供給が停止されたと判定し、処理はステップS62に進む。
ステップS62において、電池電圧検知器358は、内部の図示せぬカウンタを用いて、時間の計測を開始する。
その後、処理はステップS61に戻り、ステップS61以降の処理が実行される。
ステップS61において、電池電圧検知器358は、入力端子T11の電圧が閾値を超えている場合、または、入力端子T11の電圧が閾値以下の状態が継続している場合、電池351から電力が供給されている、または、電池351からの電力の供給が停止された状態が継続していると判定し、処理はステップS63に進む。
ステップS63において、電池電圧検知器358は、電池351からの電力の供給が再開されたかを判定する。具体的には、電池電圧検知器358は、入力端子T11の電圧が閾値以下の状態から閾値を超える状態に変化した場合、電池351からの電力の供給が再開されたと判定し、処理はステップS64に進む。
ステップS64において、電池電圧検知器358は、内部の図時せぬカウンタによる時間の計測を停止する。
その後、処理はステップS61に戻り、ステップS61以降の処理が実行される。
ステップS63において、電池電圧検知器358は、入力端子T11の電圧が閾値を超える状態が継続している場合、または、閾値以下の状態が継続している場合、電池351から電力が供給されている状態が継続している、または、電池351からの電力の供給が停止された状態が継続していると判定し、処理はステップS65に進む。
ステップS65において、電池電圧検知器358は、電池351からの電力の供給が停止されてから所定の時間が経過したかを判定する。電池電圧検知器358は、内部のカウンタの値が所定の時間以上になっている場合、電池351からの電力の供給が停止されてから所定の時間が経過したと判定し、処理はステップS66に進む。
ステップS66において、電源制御部106は、メモリへの電力の供給を停止し、タンパ行為監視処理は終了する。具体的には、電池電圧検知器358は、出力端子T12の電圧をHighレベルからLowレベルに変化させる。これにより、スイッチ359がオフされ、電源レギュレータ356から記憶部103への電力の供給が停止される。これにより、記憶部103のRAM171に記憶されているデータが消去される。
ステップS65において、電池電圧検知器358は、内部のカウンタの値が所定の時間未満である場合、電池351からの電力の供給が停止されてから所定の時間が経過していない、または、電池351からの電力の供給が停止されていないと判定し、処理はステップS67に進む。
ステップS67において、電源制御部106は、筐体31に対してタンパ行為が行われたかを判定する。具体的には、図8および図9を参照して上述したように、筐体31の開放や破壊などにより、電源制御部106とタンパ監視回路105内のMOSFET(図8のタンパ監視回路105−1の場合、MOSFET304)のゲートとの間が断線された場合、断線されたタンパ監視回路105から出力される監視信号の電圧がほぼ0Vになる。電源制御部106は、タンパ監視回路105−1乃至105−6の監視信号の電圧のうち1つでも所定の閾値以下になった場合、筐体31に対してタンパ行為が行われたと判定し、処理はステップS68に進む。
ステップS68において、電源制御部106は、メモリへの電力の供給を停止する。具体的には、タンパ監視回路105−1乃至105−6の監視信号の電圧のうち1つでも所定の閾値以下になることにより、スイッチ359がオフされ、電源レギュレータ356から記憶部103への電力の供給が停止される。これにより、記憶部103のRAM171に記憶されているデータが消去される。
ステップS69において、メモリアクセス制御部102は、スクランブル鍵を変更し、タンパ行為監視処理は終了する。具体的には、スクランブル鍵変更指令器142は、タンパ監視回路105−1乃至105−6の監視信号の電圧のうち1つでも所定の閾値以下になった場合、スクランブル鍵の変更の指令を示す信号を乱数出力器143のスイッチ202に供給し、スイッチ202をオンさせる。スイッチ202がオンされることにより、スイッチ202を介して、乱数生成器201からスクランブル鍵バッファ161への疑似乱数の出力が開始される。スイッチ202は、乱数生成器201から疑似乱数がnビット出力されたとき、オフとなる。スクランブル鍵バッファ161は、乱数出力器143から供給されたnビットのビット列からなる疑似乱数を新たなスクランブル鍵として内部のレジスタに保持する。また、スクランブル鍵バッファ161は、内部メモリ162にスクランブル鍵を供給し、記憶させる。
なお、ステップS69において、アドレスのスクランブルが行われないためスクランブル鍵として用いられることがない、全て0からなる値を強制的にスクランブル鍵に設定するようにしてもよい。
ステップS67において、筐体31に対してタンパ行為が行われていないと判定された場合、処理はステップS61に戻り、ステップS61以降の処理が実行される。
このようにして、例えば、タンパ監視回路105−1乃至105−6の動作を停止させる目的で電池351が取り外されても、タンパ監視回路105−1乃至105−6が継続して動作するので、制御モジュール13の耐タンパ性を向上させることができる。また、電池351が取り外されてから所定の時間が経過した場合、RAM171のデータが消去されるので、耐タンパ性をさらに向上させることができる。
さらに、筐体31の開放や破壊などのタンパ行為が確実に検出され、タンパ行為が検出された場合、RAM171のデータが消去されるため、さらに耐タンパ性を向上させることができる。
また、タンパ行為が検出された場合、スクランブル鍵が変更されるため、たとえRAM171のデータが消去されなくても、ICE(In-Circuit Emulator)などを用いたRAM171上のデータの解析を困難にすることができる。
なお、以上の説明では、揮発性のメモリであるRAM171のデータを保護する例を示したが、例えば、電池351の取り外し、筐体の開放や破壊などが検出された場合に、不揮発性のメモリのデータを消去または破壊することにより、不揮発性のメモリのデータを保護するようにすることも可能である。なお、揮発性メモリのデータを消去する場合、不揮発性メモリのデータを消去する場合と比較して、CPU等のプロセッサを動作させる必要がないため、より少ない電力でデータを消去することができる。従って、コンデンサ355の容量を低く抑えることができる。
また、保護基板を、図3に示されるような単層構造ではなく、多層構造とするようにして、各層に配線のパターンを設けるようにしてもよい。
さらに、保護基板上の電線の配線パターンは、上述した例に限定されるものではなく、筐体31の面の長さまたは幅に対して十分細い電線が、筐体31の面の長さまたは幅に対して十分狭い間隔で前記筐体のほぼ全面を覆うように配線されるようにすればよい。
また、必ずしも保護基板上に電線を設ける必要はなく、例えば、筐体31の内面上に設けたり、筐体の外面と内面との間に設けるようにしてもよい。
さらに、本発明の実施の形態においては、制御モジュール13を、主電源14を用いずに電池351のみで動作させるようにすることも可能である。
また、本発明の実施の形態における電池351の取り外しに対する対策は、上述したタンパ監視回路105−1乃至105−6に限らず、動作させるために電力の供給が必要なタンパ監視回路、例えば、誤動作を目的にした熱による攻撃を監視する温度監視回路などに対して有効である。
さらに、以上の説明では、保護基板ごとにタンパ監視回路105を設けるようにしたが、例えば、複数の保護基板の電線を直列に接続することにより、タンパ監視回路の数を削減するようにしてもよい。
また、電池351の取り外しが検出された場合、タンパ監視回路105によりタンパ行為が検出された場合と同様に、スクランブル鍵を変更するようにしてもよい。
さらに、以上の説明では、Gold系列の疑似乱数をスクランブル鍵に用いる例を示したが、スクランブル鍵に用いる乱数または疑似乱数は上述した例に限定されるものではなく、例えば、LFSRを1個だけ備えたM系列の疑似乱数を用いたり、熱雑音を利用した物理乱数を用いるようにしてもよい。
また、アドレスにスクランブルをかける方法も上述した例に限定されるものではなく、乱数または疑似乱数により設定されたスクランブル鍵を用いた他の方法を適用するようにしてもよい。
さらに、以上の説明では、リーダライタ1と通信する相手としてICカード2を例に挙げたが、もちろん、リーダライタ1は、非接触ICカード機能を有する装置、例えば、非接触ICカード機能を有する携帯電話機、携帯情報端末(Personal Digital Assistants)、時計、コンピュータなどと通信することが可能である。
また、図5のメモリアクセス制御部102を、リーダライタ以外の、メモリのデータを読み書きする他の装置に適用することも可能である。
さらに、本発明の実施の形態は、上述した実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲において種々の変更が可能である。
本発明を適用したリーダライタの一実施の形態を示すブロック図である。 図1の制御モジュールの外観の構成の例を示す断面図である。 図2の保護基板の一つの面の構成の例を示す図である。 図2の保護基板の他の面の構成の例を示す図である。 図1の制御モジュールの機能的構成を示すブロック図である。 図5の乱数出力器の機能的構成を示すブロック図である。 図5のバススクランブル器の機能的構成の詳細を示すブロック図である。 図5のタンパ監視回路の構成の例を示す図である。 図5のタンパ監視回路の動作の例を説明するための図である。 図5の電源制御部の回路の構成の例を示す図である。 図5の電源制御部の動作の例を説明するための図である。 図1のリーダライタにより実行されるスクランブル鍵生成処理を説明するためのフローチャートである。 図1のリーダライタにより実行されるメモリアクセス制御処理を説明するためのフローチャートである。 図1のリーダライタにより実行されるタンパ行為監視処理を説明するためのフローチャートである。
符号の説明
1 リーダライタ, 2 ICカード, 13 制御モジュール, 14 主電源, 31 筐体, 32 メイン基板, 33乃至36 保護基板, 41乃至44 コネクタ, 51 電線, 101 CPU, 102 メモリアクセス制御部, 103 記憶部, 105 タンパ監視回路, 106 電源制御部, 142 スクランブル鍵変更指令器, 143 乱数出力器, 144 バススクランブル器, 151 スクランブル鍵保持部, 152 アドレスバススクランブル回路, 161 スクランブル鍵バッファ, 162 内部メモリ, 171 RAM, 172 不揮発性メモリ, 201 乱数生成器, 202 スイッチ, 301乃至303 抵抗, 304 MOSFET, 305 比較電圧源素子, 306 電圧比較器, 351 電池, 352 電池ソケット, 355 コンデンサ, 356 電源レギュレータ, 358 電池電圧検知器, 359 スイッチ

Claims (4)

  1. 筐体内にメモリが設けられたデータ記憶装置において、
    前記筐体の面の長さまたは幅に対して狭い間隔で前記筐体のほぼ全面を覆うように配線された、前記筐体の面の長さまたは幅に対して細い電線と、
    前記電線の断線を検出する検出手段と、
    第1の電源もしくはバックアップ用の第2の電源からの電力、または、前記第1の電源もしくは前記第2の電源により内部に蓄えた電力により動作するとともに、前記検出手段に電力を供給し、前記電線の断線が検出された場合、または、前記第2の電源からの電力の供給が停止されてから所定の時間が経過した場合、前記メモリに記憶されているデータを消去させる制御手段と、
    スクランブル鍵を用いて、論理アドレスにスクランブルをかけることにより、前記論理アドレスに対する前記メモリの物理アドレスを割り当てる割り当て手段と、
    前記電線の断線が検出された場合、前記スクランブル鍵を変更する変更手段と
    を含むデータ記憶装置。
  2. 前記電線は、前記筐体の内面の近傍に配置された基板の第1の面において、長さ方向が第1の方向にほぼ平行となるように配線され、前記基板の第2の面において、長さ方向が前記第1の方向とほぼ直交する第2の方向とほぼ平行になるようにほぼ平行に配線されている
    請求項1に記載のデータ記憶装置。
  3. 前記メモリは揮発性であり、
    前記制御手段は、前記メモリへの電源の供給を停止させることにより、前記メモリに記憶されているデータを消去させる
    請求項1に記載のデータ記憶装置。
  4. 非接触ICカード機能を有する装置と通信する通信装置であって、前記非接触ICカード機能を有する装置から読み出したデータを格納するメモリが筐体内に設けられたデータ記憶装置を備える通信装置において、
    前記筐体の面の長さまたは幅に対して狭い間隔で前記筐体のほぼ全面を覆うように配線された、前記筐体の面の長さまたは幅に対して細い電線と、
    前記電線の断線を検出する検出手段と、
    第1の電源もしくはバックアップ用の第2の電源からの電力、または、前記第1の電源もしくは前記第2の電源により内部に蓄えた電力により動作するとともに、前記検出手段に電力を供給し、前記電線の断線が検出された場合、または、前記第2の電源からの電力の供給が停止されてから所定の時間が経過した場合、前記メモリに記憶されているデータを消去させる制御手段と、
    スクランブル鍵を用いて、論理アドレスにスクランブルをかけることにより、前記論理アドレスに対する前記メモリの物理アドレスを割り当てる割り当て手段と、
    前記電線の断線が検出された場合、前記スクランブル鍵を変更する変更手段と
    を含む通信装置。
JP2006205713A 2006-07-28 2006-07-28 データ記憶装置、および、通信装置 Expired - Fee Related JP4349389B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2006205713A JP4349389B2 (ja) 2006-07-28 2006-07-28 データ記憶装置、および、通信装置
CN2007101363680A CN101131678B (zh) 2006-07-28 2007-07-24 数据存储装置、数据保护方法、以及通信装置
US11/782,440 US20080028168A1 (en) 2006-07-28 2007-07-24 Data storage apparatus, data protection method, and communication apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006205713A JP4349389B2 (ja) 2006-07-28 2006-07-28 データ記憶装置、および、通信装置

Publications (2)

Publication Number Publication Date
JP2008033593A JP2008033593A (ja) 2008-02-14
JP4349389B2 true JP4349389B2 (ja) 2009-10-21

Family

ID=38987761

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006205713A Expired - Fee Related JP4349389B2 (ja) 2006-07-28 2006-07-28 データ記憶装置、および、通信装置

Country Status (3)

Country Link
US (1) US20080028168A1 (ja)
JP (1) JP4349389B2 (ja)
CN (1) CN101131678B (ja)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19922155A1 (de) * 1999-05-12 2000-11-23 Giesecke & Devrient Gmbh Speicheranordnung mit Adreßverwürfelung
JP5082737B2 (ja) * 2007-10-09 2012-11-28 パナソニック株式会社 情報処理装置および情報盗用防止方法
CN101527159B (zh) * 2009-04-18 2011-01-05 深圳市新国都技术股份有限公司 信息存储电路防盗取装置及其方法
JP4914530B1 (ja) 2011-09-06 2012-04-11 パナソニック株式会社 端末装置
JP5263999B2 (ja) 2011-12-16 2013-08-14 Necインフロンティア株式会社 情報処理装置
EP2892161B1 (en) * 2012-08-31 2017-08-02 Bluebird Inc. Mobile terminal provided with security function
WO2014034981A1 (ko) * 2012-08-31 2014-03-06 주식회사 블루버드 모바일 단말기
JP5641589B2 (ja) * 2013-04-05 2014-12-17 Necプラットフォームズ株式会社 耐タンパ回路、耐タンパ回路を備える装置及び耐タンパ方法
US9990382B1 (en) * 2013-04-10 2018-06-05 Amazon Technologies, Inc. Secure erasure and repair of non-mechanical storage media
JP5703453B1 (ja) * 2014-03-28 2015-04-22 パナソニックIpマネジメント株式会社 情報処理装置
JP5656303B1 (ja) * 2014-03-28 2015-01-21 パナソニック株式会社 情報処理装置
US9378156B2 (en) * 2014-10-03 2016-06-28 Dell Products L.P. Information handling system secret protection across multiple memory devices
JP6052561B1 (ja) 2015-08-31 2016-12-27 パナソニックIpマネジメント株式会社 取引端末装置および情報入力装置
EP3147830B1 (en) * 2015-09-23 2020-11-18 Nxp B.V. Protecting an integrated circuit
JP6249302B2 (ja) * 2015-12-22 2017-12-20 パナソニックIpマネジメント株式会社 取引端末装置およびタンパ検知装置
CN106096463B (zh) * 2016-06-08 2019-02-19 福建联迪商用设备有限公司 一种基于电容检测原理的防揭检测系统及方法
CN108460284B (zh) * 2017-02-17 2023-12-29 广州亿三电子科技有限公司 一种计算机关键数据保护系统及方法
TWI647707B (zh) * 2017-09-30 2019-01-11 宇瞻科技股份有限公司 具有資料保護機構之資料儲存裝置及其資料保護方法
US11093599B2 (en) * 2018-06-28 2021-08-17 International Business Machines Corporation Tamper mitigation scheme for locally powered smart devices
JP6803551B1 (ja) 2020-02-13 2020-12-23 パナソニックIpマネジメント株式会社 耐タンパ壁、及び、情報処理装置
JP6712793B1 (ja) * 2020-02-13 2020-06-24 パナソニックIpマネジメント株式会社 情報処理装置、及び、情報処理装置の製造方法
CN114329657A (zh) * 2022-01-10 2022-04-12 北京密码云芯科技有限公司 一种外壳打开监测和防护系统

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2182176B (en) * 1985-09-25 1989-09-20 Ncr Co Data security device for protecting stored data
JPS63237144A (ja) * 1987-03-25 1988-10-03 Sega Enterp:Kk 模倣防止機能付半導体装置
US5027397A (en) * 1989-09-12 1991-06-25 International Business Machines Corporation Data protection by detection of intrusion into electronic assemblies
JP3305737B2 (ja) * 1991-11-27 2002-07-24 富士通株式会社 情報処理装置の機密情報管理方式
JP3764198B2 (ja) * 1996-03-04 2006-04-05 富士通株式会社 情報保護システム
US5861662A (en) * 1997-02-24 1999-01-19 General Instrument Corporation Anti-tamper bond wire shield for an integrated circuit
US7743262B2 (en) * 1997-07-15 2010-06-22 Silverbrook Research Pty Ltd Integrated circuit incorporating protection from power supply attacks
JP2000029790A (ja) * 1998-07-15 2000-01-28 Matsushita Electric Ind Co Ltd データセキュリティシステム
US6396400B1 (en) * 1999-07-26 2002-05-28 Epstein, Iii Edwin A. Security system and enclosure to protect data contained therein
US6414884B1 (en) * 2000-02-04 2002-07-02 Lucent Technologies Inc. Method and apparatus for securing electronic circuits
GB0012478D0 (en) * 2000-05-24 2000-07-12 Ibm Intrusion detection mechanism for cryptographic cards
JP4683442B2 (ja) * 2000-07-13 2011-05-18 富士通フロンテック株式会社 処理装置および集積回路
US6686539B2 (en) * 2001-01-03 2004-02-03 International Business Machines Corporation Tamper-responding encapsulated enclosure having flexible protective mesh structure
US7065656B2 (en) * 2001-07-03 2006-06-20 Hewlett-Packard Development Company, L.P. Tamper-evident/tamper-resistant electronic components
JP2003030601A (ja) * 2001-07-17 2003-01-31 Nippon Avionics Co Ltd 非接触式リーダライタ
KR100471147B1 (ko) * 2002-02-05 2005-03-08 삼성전자주식회사 보안 기능을 갖는 반도체 집적 회로
JP4190231B2 (ja) * 2002-08-23 2008-12-03 パナソニック株式会社 不正改造検出機能を持つ決済端末装置
CN100356342C (zh) * 2003-11-18 2007-12-19 株式会社瑞萨科技 信息处理装置
JP2005157930A (ja) * 2003-11-28 2005-06-16 Matsushita Electric Ind Co Ltd 機密情報処理システムおよびlsi
DE102004021346A1 (de) * 2004-04-30 2005-12-01 Micronas Gmbh Chip mit Versorgungseinrichtung
US7247791B2 (en) * 2004-05-27 2007-07-24 Pitney Bowes Inc. Security barrier for electronic circuitry
US7270275B1 (en) * 2004-09-02 2007-09-18 Ncr Corporation Secured pin entry device
JP4125277B2 (ja) * 2004-09-22 2008-07-30 キヤノン株式会社 画像形成装置及びデータ消去方法
US7281667B2 (en) * 2005-04-14 2007-10-16 International Business Machines Corporation Method and structure for implementing secure multichip modules for encryption applications
US7549064B2 (en) * 2005-05-10 2009-06-16 Hewlett-Packard Development Company, L.P. Secure circuit assembly

Also Published As

Publication number Publication date
CN101131678A (zh) 2008-02-27
US20080028168A1 (en) 2008-01-31
CN101131678B (zh) 2010-06-09
JP2008033593A (ja) 2008-02-14

Similar Documents

Publication Publication Date Title
JP4349389B2 (ja) データ記憶装置、および、通信装置
JP4984721B2 (ja) データ記憶装置、電力制御方法、並びに、通信装置
KR100687071B1 (ko) 집적 회로용 변조 방지 캡슐
JP2008027327A (ja) メモリアクセス制御装置および方法、並びに、通信装置
US9578763B1 (en) Tamper detection using internal power signal
US8316242B2 (en) Cryptoprocessor with improved data protection
US8656185B2 (en) High-assurance processor active memory content protection
US20120185636A1 (en) Tamper-Resistant Memory Device With Variable Data Transmission Rate
US20120278579A1 (en) Self-Initiated Secure Erasure Responsive to an Unauthorized Power Down Event
US7821841B2 (en) Method of detecting a light attack against a memory device and memory device employing a method of detecting a light attack
US20090065591A1 (en) Smart-card chip arrangement
US20070299894A1 (en) Random number generating apparatus, random number generating control method, memory access control apparatus, and communication apparatus
JP2012022666A (ja) 暗号化フラッシュドライブ
US7752407B1 (en) Security RAM block
US10489614B2 (en) Tamper detecting cases
JP2008003976A (ja) メモリアクセス制御装置および方法、並びに、通信装置
JP2009277085A (ja) 情報削除機能付きlsi
Obermaier et al. The past, present, and future of physical security enclosures: from battery-backed monitoring to puf-based inherent security and beyond
JP5160940B2 (ja) ハードディスク装置
US20050041803A1 (en) On-device random number generator
JP6396119B2 (ja) Icモジュール、icカード、及びicカードの製造方法
JP5767657B2 (ja) 不揮発性メモリが記憶するデータを保護する方法およびコンピュータ
TW200409040A (en) Chip having attack protection
JP4881606B2 (ja) ユニバーサルメモリ及びこれを用いた情報処理装置
JP2010216998A (ja) テストモード設定回路およびそれを備えた半導体集積回路

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080421

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080424

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080623

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090331

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090528

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090630

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090713

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120731

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees