JP4496061B2 - 機密情報処理装置 - Google Patents
機密情報処理装置 Download PDFInfo
- Publication number
- JP4496061B2 JP4496061B2 JP2004328200A JP2004328200A JP4496061B2 JP 4496061 B2 JP4496061 B2 JP 4496061B2 JP 2004328200 A JP2004328200 A JP 2004328200A JP 2004328200 A JP2004328200 A JP 2004328200A JP 4496061 B2 JP4496061 B2 JP 4496061B2
- Authority
- JP
- Japan
- Prior art keywords
- update
- program
- hash value
- unit
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000010365 information processing Effects 0.000 title claims description 148
- 238000000034 method Methods 0.000 claims description 210
- 230000008569 process Effects 0.000 claims description 184
- 238000004364 calculation method Methods 0.000 claims description 17
- 230000008859 change Effects 0.000 claims description 12
- 230000004044 response Effects 0.000 claims description 11
- 238000003672 processing method Methods 0.000 claims description 6
- 230000006870 function Effects 0.000 description 14
- 238000012790 confirmation Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 230000009471 action Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1458—Protection against unauthorised use of memory or access to memory by checking the subject access rights
- G06F12/1491—Protection against unauthorised use of memory or access to memory by checking the subject access rights in a hierarchical protection system, e.g. privilege levels, memory rings
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Description
本発明は、上記の問題点に鑑み、機密情報の漏洩を有効に防止しつつ、機密情報処理装置の機能変更を随時行うことが可能な機密情報処理装置を提供することを目的とする。
ここで、前記変更手段は、前記更新処理が終了すると、変更したアクセス制御レベルを変更前のアクセス制御レベルに再変更することとしてもよい。
ここで、前記アクセス制御レベルは、ランクで示され、前記機密情報処理装置は、外部装置から当該外部装置のアクセス制御レベルを受取るレベル受取手段を備え、前記アクセス制御手段は、前記外部装置のアクセス制御レベルの示すランクが、前記各リソースのアクセス制御レベルの示すランク以上である場合に、前記外部装置から当該リソースへのアクセスを許可し、前記外部装置のアクセス制御レベルの示すランクが、前記各リソースのアクセス制御レベルの示すランク以上でない場合に、前記外部装置から当該リソースへのアクセスを許可しないこととしてもよい。
ここで、前記受取手段は、前記リソースの1つであり、前記アクセス制御手段によって、前記外部装置の前記受取手段へのアクセスが許可された場合に限り、当該外部装置からの前記更新要求を受取ることとしてもよい。
ここで、前記機密情報処理装置はさらに、ランクの上限値を格納している上限値格納手段を備え、前記アクセス制御手段は、前記外部装置のアクセス制御レベルの示すランクが、上限値を超える場合に、前記各リソースへのアクセスを許可しないこととしてもよい。
ここで、前記機密情報処理装置はさらに、前記外部装置の認証を行う認証手段を備え、前記アクセス制御手段は、前記認証手段によって前記外部装置が認証されない場合に、前記外部装置から各リソースへのアクセスを許可しないこととしてもよい。
ここで、前記機密情報処理装置は、外部装置から、暗号化された、前記更新対象プログラムの更新プログラムを受取り、復号化する復号化手段を備え、前記復号化手段は、前記変更手段によるアクセス制御レベルの変更対象となるリソースであり、復号化した前記更新プログラムを出力するデータ出力部を有し、前記更新手段は、前記データ出力部にアクセスして、復号化された前記更新プログラムを受取り、当該更新プログラムを前記プログラム格納手段に格納することにより、前記更新処理を行うこととしてもよい。
ここで、前記プログラム格納手段は、プログラム格納部と退避部とを有し、前記プログラム格納部は、前記更新対象プログラムと当該更新対象プログラムのコンテキストとを格納し、前記更新手段は、前記更新対象プログラムのコンテキストを前記更新プログラムにおいて引継ぐか否かを判定する引継判定手段と、引継ぐ場合に、前記コンテキストを前記退避部に退避する退避手段と前記更新対象プログラムのハッシュ値を算出するハッシュ値算出手段とを有し、前記復号化手段はさらに、前記外部装置から、前記更新対象プログラムのハッシュ値を暗号化したハッシュ値を受取り、復号化して、前記データ出力部に出力し、前記更新手段は、前記データ出力部から復号された前記更新対象プログラムのハッシュ値を受取り、受取ったハッシュ値と算出したハッシュ値とが一致する場合に限り、前記更新プログラムと前記更新対象プログラムのコンテキストとを前記プログラム格納部に格納することとしてもよい。
これにより、更新対象のプログラムのハッシュ値に基づいて、外部装置から入力された更新プログラムに更新対象のプログラムのコンテキストを引継がせてよいか否かを判定することできるので、コンテキストが不正に利用されるのを効果的に防止することができる。
これにより、外部装置から入力された更新プログラムが改ざんされていないことをハッシュ値に基づいて、確認した上で、更新プログラムを受取ることができるので、不正に改ざんされたプログラムが、機密情報処理装置内に格納されるのを事前に防止することができる。
これにより、複数世代ハッシュ値に基づいて、外部装置から入力された更新プログラムに更新前のプログラムのコンテキストを引継がせてよいか否かを判定できるので、各更新回のプログラムのハッシュ値が全て流出しない限り、不正利用者によって外部から入力された更新プログラムによってコンテキストが不正に利用されることはなく、コンテキストの不正な引継行為を効果的に防止することができる。
これにより、外部装置から入力された更新プログラムが改ざんされていないことをハッシュ値に基づいて、確認した上で、更新プログラムを受取ることができるので、不正に改ざんされたプログラムが、機密情報処理装置内に格納されるのを事前に防止することができる。
これにより、更新プログラムに更新対象プログラムのコンテキストが引継がれた場合に、複数世代ハッシュ値を更新することができるので、外部からのコンテキストの不正な引継行為に対する防御力をより高めることができる。
前記更新プログラムのハッシュ値を算出するハッシュ値算出手段と算出したハッシュ値と復号化された前記更新プログラムのハッシュ値とが一致するか否かを判定するハッシュ値判定手段とを有し、前記更新手段は、一致する場合に、復号化された前記コンテキストを前記プログラム格納手段に格納されている前記更新プログラムのコンテキストとして格納し、一致しない場合に、前記プログラム格納手段に格納されている前記更新プログラムを消去することとしてもよい。
ここで、前記プログラム格納手段は、プログラム格納部と退避部とを有し、前記プログラム格納部は、前記更新プログラムを格納し、前記退避部は、前記更新プログラムのコンテキストと当該更新プログラムのハッシュ値とを連結した連結データを複数、格納し、前記更新手段は、前記更新プログラムのハッシュ値を算出するハッシュ値算出手段と、前記退避部に、算出したハッシュ値と同じハッシュ値を有する連結データが格納されているか否かを判定する連結データ判定手段とを有し、格納されている場合に、前記更新手段は、前記退避部に格納されている該当する連結データに含まれる前記更新プログラムのコンテキストを前記プログラム格納部に格納し、格納されていない場合に、前記プログラム格納部に格納されている前記更新プログラムを消去することとしてもよい。
ここで、前記プログラム格納手段は、プログラム格納部と退避部とを有し、前記プログラム格納部は、前記更新対象プログラムと前記更新対象プログラムのコンテキストとを格納し、前記退避部は、暗号化された更新対象プログラムの示す値である連鎖値とを格納し、前記更新プログラムは、暗号鍵と前記連鎖値とを用いて暗号化され、前記更新手段は、前記更新対象プログラムのコンテキストを前記更新プログラムにおいて引継ぐか否かを判定する引継判定手段と、引継ぐ場合に、前記コンテキストを前記退避部に退避する退避手段とを有し、前記復号化手段はさらに、前記外部装置から、前記外部装置から受取った前記更新プログラムを前記暗号鍵と、前記退避部に格納されている前記連鎖値とを用いて復号化して、前記データ出力部に出力し、前記更新手段は、前記データ出力部から復号された前記更新プログラムを受取り、受取った前記更新プログラムと前記更新対象プログラムのコンテキストとを前記プログラム格納部に格納することとしてもよい。
又、前記更新対象プログラムを格納しているバンクは、当該更新対象プログラムのコンテキストを格納し、前記受取手段は、切り替えるべき、前記更新プログラムを格納しているバンクを指定するバンク情報を前記更新要求として受取り、前記更新手段は、前記更新対象プログラムのコンテキストを前記更新プログラムにおいて引継ぐか否かを判定する引継判定手段と、引継ぐ場合に、前記プログラム格納手段におけるアクセス対象となるバンクを、前記更新対象プログラムを格納しているバンクから前記更新プログラムを格納しているバンクに切り替えるバンク切替手段とを有し、前記更新手段は、切り替えたバンクに、前記更新対象プログラムのコンテキストを格納することとしてもよい。
ここで、前記更新対象プログラムには、当該更新対象プログラムのコンテキストを引継ぎ可能な、当該更新対象プログラムの更新プログラムが格納されているバンクを特定する情報である引継可能バンク情報が含まれ、前記更新手段はさらに、受取られたバンク情報の指定するバンクと、引継可能バンク情報の特定するバンクとが一致するか否かの判定する引継バンク判定手段を有し、前記バンク切替手段は、一致する場合に限り、前記プログラム格納手段におけるアクセス対象となるバンクを、前記更新対象プログラムを格納しているバンクから前記更新プログラムを格納しているバンクに切り替えることとしてもよい。
ここで、前記アクセス制御レベルは、3段階以上のランクで示される
こととしてもよい。
(実施の形態1)
<構成>
図1は本発明の実施の形態1に係る機密情報処理装置100の構成を示す機能ブロック図である。
ここで、「ランク情報」とは、機密情報処理装置内の各リソースにアクセスを許可するか否かの判断基準となるランクを示す情報のことをいい、外部装置120、121および機密情報処理装置100内の各リソースにそれぞれランク情報が予め設定されており、外部装置120、121及び内部CPU103が機密情報処理装置100内の各リソースへのアクセスをする際に、それぞれランク情報を図1に示す専用バスを介して制御部102に出力する。
アクセス制御部1021は、ランク対応テーブルを格納しているランク対応テーブル格納部1022を有し、外部装置120、121及び内部CPU103から出力される各ランク情報に基いて、当該外部装置或いは内部CPU103から要求された機密情報処理装置100内のアクセス対象のリソースへのアクセスを制御する。
上限ランク格納部1023は、ランク上限値を格納している。
ここで、「ランク上限値」とは、外部装置120、121から出力されたランク情報の示すランクが不当に高いか否かを判定する基準となる閾値のことをいい、出力されたランク情報の示すランクがこの閾値より高い場合には、制御部102は、当該外部装置からのアクセス対象へのアクセスを拒否し、出力されたランク情報の示すランクがこの閾値より高くない場合には、さらに当該外部装置からのアクセス対象へのアクセスに対し、上記に説明したアクセス制御部1021によるアクセス制御が行われる。
制御部102は、プログラム更新要求レジスタの更新要求フラグを監視し、更新要求フラグが、プログラム更新要求が有ったことを示している場合に、内部CPU103に更新用プログラムの実行の指示をする。
暗号演算部104は、データ入力部1041、演算処理部1042、データ出力部1043から構成される。
演算処理部1042は、データを暗号化又は復号化するための鍵データを格納する鍵データ格納部を有し、データ入力部1041から入力されるデータを鍵データ格納部に格納されている鍵を用いて暗号化又は復号化し、データ出力部1043に出力する。
機密情報格納部105は、演算用プログラム格納領域1051、更新用プログラム格納領域1052、退避領域1053から構成される。
図25は、演算用プログラム格納領域1051の構成を示す。演算用プログラム格納領域1051は、2つの格納領域である演算用プログラム格納領域A10511及び演算用プログラム格納領域B10515とから構成され、演算用プログラム格納領域A10511には、演算用プログラム領域10512、コンテキスト退避フラグ領域10513、演算用プログラム格納済フラグ領域10514が含まれ、演算用プログラム格納領域B10515には、コンテキスト引継フラグ領域10516、コンテキスト入力方法フラグ領域10517が含まれる。
又、「演算用プログラム格納済フラグ」とは、後述するプログラム更新処理において、更新前プログラム及びそのコンテキストが演算用プログラム領域10512に格納済であるか否かを示すフラグのことをいう。
ここで、「コンテキスト引継フラグ」とは、後述するプログラム更新処理において、更新前プログラムと差替えるべき、更新前プログラムの一部又は全部を変更した、機密情報処理装置100の機能を実現するためのプログラム(以下、「更新後プログラム」という。)において、更新前プログラムのコンテキストを引継ぐか否かを指示するフラグのことをいう。
又、「コンテキスト入力方法フラグ」とは、後述するプログラム更新処理において、更新後プログラムのコンテキストの入力方法を示すフラグのことをいう。
更新用プログラム格納領域1052は、演算用プログラム格納領域1051に格納されているプログラムのプログラム更新処理を実行させる更新用プログラムを格納している格納領域である。
外部装置120は、CPU1201を有し、機密情報処理装置100にアクセスする際に、ランク情報とアクセスを要求するアクセス対象を特定するアドレスとを外部I/F101に出力し、アクセスが許可されると、機密情報処理装置100の中の許可されたアクセス対象と各種データの送受信を行う。
ここで、暗号化第1世代ハッシュ値及び暗号化連結ハッシュ値作成は、外部環境において作成される。
暗号化第1世代ハッシュ値は、更新前プログラムのハッシュ値と更新後プログラムのハッシュ値とを連結して暗号鍵を用いて暗号化することにより作成される。
又、暗号化連結ハッシュ値は、後述する複数世代ハッシュ値と更新後プログラムのハッシュ値とを連結して暗号化することにより、作成される。
より具体的には、「暗号化連結ハッシュ値」とは、機密情報処理装置100の機能を実現する初期プログラムから複数回更新された各更新回の更新プログラムのハッシュ値に基づいて算出されたハッシュ値(以下、「複数世代ハッシュ値」という。)と最新の更新プログラムのハッシュ値とを連結して、暗号鍵を用いて暗号化したハッシュ値のことをいう。
まず、初期プログラム(以下、「第1世代プログラム」という。)のハッシュ値と更新回数が1回目の更新プログラム(以下、「第2世代プログラムという。」のハッシュ値とが連結され、連結されたハッシュ値に対して、ハッシュ演算を行うことにより最初の複数世代ハッシュ値が算出される。以下、更新回数が2回目の更新プログラム(以下、「第3世代プログラム」という。)のハッシュ値と最初の複数世代ハッシュ値とが連結され、連結されたハッシュ値に対して、同様にしてハッシュ演算を行うことにより、2回目の複数世代ハッシュ値が算出され、複数世代ハッシュ値が更新される。上記の手順を繰り返すことにより、プログラムの更新があるごとに、複数世代ハッシュ値が次々に算出され、更新される。
外部装置121は、DSP(Digital Signal Processor)1211を有し、機密情報処理装置100にアクセスする際に、ランク情報とアクセスを要求するアクセス対象を特定するアドレスとを外部I/F101に出力し、アクセスが許可されると、機密情報処理装置100の中の許可されたアクセス対象と各種データの送受信を行う。
次に機密情報処理装置100の行うアクセス制御処理の動作について説明する。図2は、上記処理の動作を示すフローチャートである。以下、図2のフローチャートを参照して上記処理の動作について説明する。
制御部102は、外部装置120又は121から、外部I/F101を介してランク情報とアクセス対象のアドレスの入力を受取ると(ステップS201)、受取ったランク情報の示すランクと上限ランク格納部1023に格納しているランク上限値とを比較し、ランク情報の示すランクがランク上限値より高いか否かを判定する(ステップS202)。
ランク情報の示すランクがランク上限値より高くない場合(ステップS202:N)、制御部102は、アクセス制御部1021に格納しているランク対応テーブルを参照して、ランク情報の示すランクがアクセス対象のリソースのランクよりも低くないか否かを判定する(ステップS203)。
なお、機密情報処理装置100は、内部CPU103に対しても、ステップS202の処理を除いて、上記アクセス制御処理の動作を行う。
プログラム更新要求レジスタ1024は、図2のアクセス制御処理によって、プログラム更新要求レジスタ1024へのアクセスが許可された外部装置120から、外部I/F101を介してプログラム更新要求を受取ると(ステップS401)、プログラム更新要求レジスタ1024は、更新要求フラグをプログラム更新要求が有ったこと(以下、「有」という。)を示すフラグに変更する。
次に、内部CPU103は、図2のアクセス制御処理によって、演算用プログラム格納領域1051へのアクセスが許可されると、演算用プログラム格納領域1051に格納されている演算用プログラム格納済フラグが「格納済」を示しているか否かを判定する(ステップS404)。
コンテキスト引継フラグが「引継有」を指示している場合(ステップS405:Y)、内部CPU103は、後述するコンテンツ引継入力処理を行い(ステップS407)、処理が終了すると、図2のアクセス制御処理によって、アクセス制御部1021へのアクセスが許可されると、ステップS403において変更した、アクセス制御部1021のランク対応テーブルの特定のリソースのランクを変更前のランクに再変更する(ステップS416)。
ステップS417において、コンテンツ入力方法フラグが外部入力を示している場合、内部CPU103は、後述するコンテキスト外部入力処理を行い(ステップS414)、処理が終了すると、ステップS416の処理を行う。
ステップS417において、コンテンツ入力方法フラグが入力なしを示している場合、後述するステップ411の処理に移行する。
ステップS406において、コンテキスト退避フラグが「外部出力」を示している場合、内部CPU103は、後述するコンテキスト外部出力処理を行い(ステップS408)、処理が終了すると、ステップS414の処理に移行する。
ステップS406において、コンテキスト退避フラグが「消去」を示している場合、内部CPU103は、演算用プログラム格納領域1051に格納されている更新前プログラムのコンテキストを消去する(ステップS410)。
図2のアクセス制御処理によって退避領域1053へのアクセスを許可された内部CPU103は、演算用プログラム格納領域1051に格納されている更新前プログラムのコンテキストを退避領域1053に格納することにより、退避し(ステップS601)、さらに、図2のアクセス制御処理によって演算用プログラム格納領域1051へのアクセスを許可されると、演算用プログラム格納領域1051に格納されている更新前プログラムに含まれる依存確認方法フラグの示す依存確認方法を判定する(ステップS602)。
次に、暗号演算部104は、図2のアクセス制御処理によってデータ入力部1041へのアクセスが許可された外部装置120から、暗号化された更新後プログラムの、データ入力部1041への入力を外部I/F101を介して受取ると(ステップS609)、受取った更新後プログラムを演算処理部1042で復号化した後、データ出力部1043に出力する。
ステップS607において、両者が一致しない場合(ステップS607:N)、内部CPU103は、外部装置120に対し、更新後プログラムの入力を拒否する旨を外部I/F101を介して通知し(ステップS623)、ステップS627の処理を行う。
次に、暗号演算部104は、図2のアクセス制御処理によってデータ入力部1041へのアクセスが許可された外部装置120から、暗号化された更新後プログラムの、データ入力部1041への入力を外部I/F101を介して受取ると(ステップS618)、受取った更新後プログラムを演算処理部1042で復号化した後、データ出力部1043に出力する。
又、ステップS621において、両者が一致しない場合(ステップS621:N)、内部CPU103は、ステップS622の処理に移行する。
次に機密情報処理装置100の行うコンテキスト外部出力処理の動作について説明する。
内部CPU103は、図2のアクセス制御処理によって演算用プログラム格納領域1051へのアクセスを許可されると、演算用プログラム格納領域1051に格納されている更新前プログラムのハッシュ演算処理を行い(ステップS901)、さらに、図2のアクセス制御処理によってデータ入力部1041へのアクセスを許可されると、演算したハッシュ値と演算用プログラム格納領域に格納されている更新前プログラムのコンテキストとを連結して(ステップS902)、暗号演算部104に出力する。
内部CPU103は、図2のアクセス制御処理によってデータ出力部1043へのアクセスを許可されると、データ出力部1043から暗号化された後の連結されたハッシュ値とコンテキストを受取り、外部I/F101を介して外部装置120へ出力する(ステップS904)。
暗号演算部104は、図2のアクセス制御処理によってデータ入力部1041へのアクセスを許可された外部装置120から、データ入力部1041への暗号化された更新後プログラムの入力を受取ると(ステップS1001)、演算処理部1042において、暗号化された更新後プログラムを復号化し(ステップS1002)、データ出力部1043に出力する。
さらに、暗号演算部104は、図2のアクセス制御処理によってデータ入力部1041へのアクセスを許可された外部装置120から、データ入力部1041への暗号化された更新後プログラムのハッシュ値とコンテキストとの連結データの入力を受取ると(ステップS1004)、演算処理部1042において、暗号化された連結データを復号化し(ステップS1005)、データ出力部1043に出力する。
次に、機密情報処理装置100の行うコンテキスト退避処理の動作について説明する。図12は、上記処理の動作を示すフローチャートである。以下、図12を参照して、上
記処理の動作について説明する。
暗号演算部104は、図2のアクセス制御処理によってデータ入力部1041へのアクセスを許可された外部装置120から、データ入力部1041への暗号化された更新後プログラムの入力を受取ると(ステップS1201)、演算処理部1042において、暗号化された更新後プログラムを復号化し、データ出力部1043に出力する。
(実施の形態2)
実施の形態1においては、コンテキスト引継入力処理、コンテキスト外部入力処理、及び退避コンテキスト入力処理において、外部から入力されたコンテキスト又は退避領域1053に退避されたコンテキストが、更新後プログラムに適用できることの確認をハッシュ値に基づいて行うこととしたが、実施の形態2においては、上記確認を後述する連鎖値に基づいて行う。
<構成>
実施の形態2における機密情報処理装置150の構成は、退避領域1053に更新前プログラムの連鎖値が格納されている点を除くと、実施の形態1における機密情報処理装置100の構成と同じであるので、機密情報処理装置150の構成については説明を省略する。
以下、上記機能を実現するための初期プログラムを第1世代プログラム、1回目の更新後の上記プログラムを第2世代プログラム、2回目の更新後の上記プログラムを第3世代プログラムというように呼ぶこととする。
<動作>
図16は、機密情報処理装置150が、退避領域1053に連鎖値を格納し、格納した連鎖値を更新するために行う連鎖値生成処理の動作を示すフローチャートである。
暗号演算部104は、退避領域1053に格納されている連鎖値の初期値と、演算用プログラム格納領域1051に格納されている第1世代プログラムとを内部CPU103から取得し、取得した初期値と暗号鍵とを用いて第1世代プログラムを暗号化する(ステップS1401)。
内部CPU103は、図2のアクセス制御処理によってデータ出力部1043へのアクセスを許可されると、暗号化第2世代プログラムをデータ出力部1043から受け取り、さらに、2のアクセス制御処理によって退避領域1053へのアクセスを許可されると、暗号化第2世代プログラムの示す値を更新された連鎖値として、退避領域1053に格納されている連鎖値に上書きし(ステップS1404)、演算用プログラム格納領域1051に格納されている第3世代以降のプログラムについても、ステップS1403、S1404の処理を繰り返す(ステップS1405)。
図17は、上記動作に従って、連鎖値が更新される様子を模式的に表した図である。
図14及び図15は、機密情報処理装置150の行うプログラム更新処理の動作を示すフローチャートである。図4に示す実施の形態1におけるプログラム更新処理の動作と同じ処理ステップについては、同じステップ番号が付されている。
最初にステップS1312及びS1313の処理について説明する。
暗号化演算部104は、ステップS411の処理を行った後、演算処理部1042において、退避領域1053に格納されている初期値と暗号鍵とを用いて、受取った更新後プログラムの復号化を行う(S1313)。
内部CPU103は、図2のアクセス制御処理によって退避領域1053へのアクセスを許可されると、演算用プログラム格納領域1051に格納されている更新前プログラムのコンテキストを退避領域1053に格納することにより、退避する(ステップS1601)。
図19は、上記処理の動作を示すフローチャートである。以下、図19のフローチャートを参照して、上記動作について説明する。
内部CPU103は、図2のアクセス制御処理によって退避領域1053へのアクセスを許可されると、退避領域1053に格納されている暗号化更新前プログラムの示す連鎖値を初期値に初期化する(ステップS1701)。
図20は、上記処理の動作を示すフローチャートである。以下、図20のフローチャートを参照して、上記動作について説明する。
内部CPU103は、図2のアクセス制御処理によって退避領域1053へのアクセスを許可されると、退避領域1053に格納されている暗号化更新前プログラムの示す連鎖値を初期値に初期化する(ステップS1801)。
(実施の形態3)
実施の形態1及び2においては、外部から更新後プログラムを機密情報処理装置内に入力することにより、更新前プログラムを更新することとしたが、本実施の形態3は、機密情報処理装置内の格納部の異なるバンクに予め更新前と更新後のプログラム格納しておき、外部からバンクの切替を行うことにより、プログラムの更新処理を行うことを特徴としている。
<構成>
図21は、本実施の形態における機密情報処理装置200の構成を示す機能ブロック図である。図21において、実施の形態1における機密情報処理装置100と同じ構成要素に対しては同じ番号を付している。図19に示すように、機密情報処理装置200は、制御部112及び機密情報格納部115の構成において機密情報処理装置100と相違する。
認証部1125は、外部装置120からの認証要求を外部I/F101を介して受け取ると、認証処理を実行し、認証結果を外部I/F101を介して外部装置120に通知する。
プログラム更新要求レジスタ1124は、認証部1125によって認証された外部装置120から、機密情報格納部115の演算用プログラム格納領域1151における更新後プログラムが格納されているバンクを指定するためのバンク情報を受け取り、格納する。
演算用プログラム格納領域1151は、複数のバンクに分割され、各バンクには、更新前プログラム又は更新後プログラムが1つ格納されている。分割された各演算用プログラム格納領域の構成は、図25で示す構成と同じである。
<動作>
次に機密情報処理装置200の行うプアクセス制御処理の動作における、実施の形態1における当該動作との相違点について説明する。
実施の形態1におけるアクセス制御処理の動作においては、図2に示すように、ランク情報の示すランクがランク上限値より高い場合(ステップS202:Y)、制御部102は、外部装置からアクセス対象へのアクセスを拒否する(ステップS205)こととしたが、本実施の形態3における機密情報処理装置200においては、ランク情報の示すランクがランク上限値より高い場合(ステップS202:Y)、アクセスを拒否するのではなく、ランク情報の示すランクをランク上限値とみなして、ステップS203の処理を行う点において相違する。
制御部112の認証部1125は、図26のアクセス制御処理によって、認証部1125へのアクセスが許可された外部装置120より認証要求を外部I/F101を介して受け取ると(ステップS2001)、認証処理を実行し、認証できたか否かを判定する(ステップS2002)。
バンク情報がプログラム更新要求レジスタ1124に格納されると、内部CPU103は、図26のアクセス制御処理によって更新用プログラム格納領域1052へのアクセスを許可されると、制御部112からの更新用プログラムの実行指示に応じて、更新用プログラム格納領域1052に格納されている更新用プログラムを起動し(ステップS2004)、さらに、図26のアクセス制御処理によってアクセス制御部1021へのアクセスを許可されると、アクセス制御部1021のランク対応テーブルの特定のリソース(ここでは、プログラム更新要求レジスタ1124とする。)のランクを変更し、(ステップS2005)、さらに、図26のアクセス制御処理によって演算用プログラム格納領域1151へのアクセスを許可されると、演算用プログラム格納領域1151の、更新前プログラムが格納されているバンクに格納されているコンテキスト引継フラグが「引継有」を指示しているか否かを判定する(ステップS2006)。
ステップS2008において、コンテキスト退避フラグが「退避」を示している場合、内部CPU103は、更新前プログラムのコンテキストを上記バンクに退避し(ステップS2009)、アクセス対象となるバンクを、プログラム更新要求レジスタ1124に格納されているバンク情報の指定するバンクに切り替え(ステップS2013)、切替後のバンクに格納されている更新後プログラムのコンテキストを復帰し(ステップS2014)、ステップS2012の処理を行う。
ステップS2002において、認証できなかった場合(ステップS2002:N)、CPU103は、プログラム更新処理を終了する。
内部CPU103は、図26のアクセス制御処理によってプログラム更新要求レジスタ1124へのアクセスを許可されると、プログラム更新要求レジスタ1124に格納されているバンク情報の指定するバンクが、更新前プログラムに含まれる引継可能バンク情報の示すバンクの何れか1つと一致するか否かを判定する(ステップS2101)。
ステップS2101において、プログラム更新要求レジスタ1124に格納されているバンク情報の指定するバンクが、更新前プログラムに含まれる引継可能バンク情報の示すバンクの何れか1つと一致する場合(ステップS2101:Y)、内部CPU103は、図26のアクセス制御処理によって演算用プログラム格納領域1151へのアクセスを許可されると、演算用プログラム格納領域1151の、更新前プログラムが格納されているバンクに格納されている更新前プログラムのコンテキストを読出し、さらに、図26のアクセス制御処理によって退避領域1053へのアクセスを許可されると、読出したコンテキストを退避領域1053に退避し(ステップS2102)、アクセス対象となるバンクを、プログラム更新要求レジスタ1124に格納されているバンク情報の指定するバンクに切り替え(ステップS2103)、退避領域1053に格納されている更新前プログラムのコンテキストを読出し、図26のアクセス制御処理によって演算用プログラム格納領域1151へのアクセスを許可されると、読出したコンテキストを切り替えたバンクに格納し(ステップS2104)、さらに、図26のアクセス制御処理によって退避領域1053へのアクセスを許可されると、退避領域1053に退避されている更新前プログラムのコンテキストを消去する(ステップS2105)。
<補足>
以上、本発明に係る機密情報処理装置100、150、200について、実施の形態に基づいて説明したが、本発明はこれら実施の形態に限られないことは勿論である。
(1)例えば、実施の形態1〜3においては、内部CPU103は、プログラム更新処理の実行前後を問わず、更新用プログラム格納領域1052にアクセスできることとしたが、内部CPU103に設定されるランクをプログラム更新処理の前後で、変更することにより、プログラム更新処理の実行中のみ更新用プログラム1052へアクセスできるように制御することとしてもよい。
又、上記の具体例では、外部装置120が直接、演算用プログラム格納領域1051にアクセスすることができるので、更新後プログラムを内部CPU103によらず演算用プログラム格納領域1051に格納する処理を行うことができるので、機密情報処理装置のプログラム更新処理に対する負荷を軽減することができる。
(2)又、実施の形態1〜3においては、ランク情報の示すランクは3段階としたが、3段階に限らず、それ以上であってもよい。
(3)又、実施の形態1〜3においては、ランク情報の入出力は、専用のバスを介して行うこととしたが、データバスを介して行うこととしてもよい。
(4)又、実施の形態1〜3において、機密情報処理装置100又は150又は200と外部装置120と外部装置121とは、1つのLSIに実装されていてもよいし、それぞれ別のLSIに実装されていてもよい。
(5)又、実施の形態1〜3においては、制御部102のアクセス制御部1021によって統括的にランクに基づくアクセス制御を行うこととしたが、暗号演算部103及び機密情報格納部105又は115については、それぞれ独立したアクセス制御部を設けることにより、ランクに基づくアクセス制御を行うこととしてもよい。
(6)又、実施の形態1〜3において、外部装置120、121に設定されているランクは、固定であってもよいし、変更可能であってもよい。
(7)又、実施の形態3においては、各バンクにコンテキストを退避することとしたが、退避領域1053に対応するコンテキスト格納領域を設けて、退避領域1053に退避することとしてもよい。
101 外部I/F
102、112 制御部
103 内部CPU
104 暗号演算部
105、115 機密情報格納部
120 外部装置
121 外部装置
1021 アクセス制御部
1022 ランク対応テーブル格納部
1023 上限ランク格納部
1024、1124 プログラム更新要求レジスタ
1041 データ入力部
1042 演算処理部
1043 データ出力部
1051、1151 演算用プログラム格納領域
1052 更新用プログラム格納領域
1053 退避領域
1125 認証部
1201 CPU
1211 DSP
Claims (29)
- 外部装置から自装置内部の各リソースへのアクセスを制御する機密情報処理装置であって、
前記各リソースについて、外部装置からのアクセスを許可するか否かの判定基準となるアクセス制御レベルを格納しているレベル格納手段と、
更新対象プログラムを格納しているプログラム格納手段と、
外部装置から前記更新対象プログラムの更新要求を受け取る受取手段と、
前記更新要求の受取に応じて、更新対象プログラムを更新する更新処理を行う更新手段と、
前記各アクセス制御レベルに従って、外部装置から前記各リソースへのアクセスを許可するか否かを決定するアクセス制御手段と、
前記更新処理が行われている間、前記レベル格納手段に格納されている各リソースのアクセス制御レベルの内、アクセス制御レベルが、外部装置からのアクセスを許可する状態にあり、かつ、前記更新処理の過程において前記更新手段によってアクセスされるリソースのアクセス制御レベルを、外部装置からのアクセスを不許可とするアクセス制御レベルに変更する変更手段と
を備えることを特徴とする機密情報処理装置。 - 前記変更手段は、前記更新処理が終了すると、変更したアクセス制御レベルを変更前のアクセス制御レベルに再変更する
ことを特徴とする請求項1記載の機密情報処理装置。 - 前記アクセス制御レベルは、ランクで示され、
前記機密情報処理装置は、外部装置から当該外部装置のアクセス制御レベルを受取るレベル受取手段を備え、
前記アクセス制御手段は、前記外部装置のアクセス制御レベルの示すランクが、前記各リソースのアクセス制御レベルの示すランク以上である場合に、前記外部装置から当該リソースへのアクセスを許可し、
前記外部装置のアクセス制御レベルの示すランクが、前記各リソースのアクセス制御レベルの示すランク以上でない場合に、前記外部装置から当該リソースへのアクセスを許可しない
ことを特徴とする請求項1又は2記載の機密情報処理装置。 - 前記受取手段は、前記リソースの1つであり、前記アクセス制御手段によって、前記外部装置の前記受取手段へのアクセスが許可された場合に限り、当該外部装置からの前記更新要求を受取る
ことを特徴とする請求項3記載の機密情報処理装置。 - 前記機密情報処理装置はさらに、ランクの上限値を格納している上限値格納手段を備え、
前記アクセス制御手段は、前記外部装置のアクセス制御レベルの示すランクが、上限値を超える場合に、前記各リソースへのアクセスを許可しない
ことを特徴とする請求項3又は4に記載の機密情報処理装置。 - 前記機密情報処理装置はさらに、前記外部装置の認証を行う認証手段を備え、
前記アクセス制御手段は、前記認証手段によって前記外部装置が認証されない場合に、前記外部装置から各リソースへのアクセスを許可しない
ことを特徴とする請求項1〜5の何れかに記載の機密情報処理装置。 - 前記機密情報処理装置は、外部装置から、暗号化された、前記更新対象プログラムの更新プログラムを受取り、復号化する復号化手段を備え、
前記復号化手段は、前記変更手段によるアクセス制御レベルの変更対象となるリソースであり、復号化した前記更新プログラムを出力するデータ出力部を有し、
前記更新手段は、前記データ出力部にアクセスして、復号化された前記更新プログラムを受取り、当該更新プログラムを前記プログラム格納手段に格納することにより、前記更新処理を行う
ことを特徴とする請求項1〜6の何れかに記載の機密情報処理装置。 - 前記プログラム格納手段は、プログラム格納部と退避部とを有し、
前記プログラム格納部は、前記更新対象プログラムと当該更新対象プログラムのコンテキストとを格納し、
前記更新手段は、前記更新対象プログラムのコンテキストを前記更新プログラムにおいて引継ぐか否かを判定する引継判定手段と、
引継ぐ場合に、前記コンテキストを前記退避部に退避する退避手段と
前記更新対象プログラムのハッシュ値を算出するハッシュ値算出手段と
を有し、
前記復号化手段はさらに、前記外部装置から、前記更新対象プログラムのハッシュ値を暗号化したハッシュ値を受取り、復号化して、前記データ出力部に出力し、
前記更新手段は、前記データ出力部から復号された前記更新対象プログラムのハッシュ値を受取り、受取ったハッシュ値と算出したハッシュ値とが一致する場合に限り、前記更新プログラムと前記更新対象プログラムのコンテキストとを前記プログラム格納部に格納する
ことを特徴とする請求項7記載の機密情報処理装置。 - 前記復号化手段はさらに、前記外部装置から、前記更新プログラムのハッシュ値を暗号化したハッシュ値を受取り、復号化して、前記データ出力部に出力し、
前記ハッシュ値算出手段は、受取った前記更新対象プログラムのハッシュ値と算出した更新対象プログラムのハッシュ値とが一致する場合に、さらに、前記更新プログラムのハッシュ値を算出し、
前記更新手段は、前記データ出力部から復号化された前記更新プログラムのハッシュ値を受取り、さらに、受取った前記更新プログラムのハッシュ値と算出した前記更新プログラムのハッシュ値とが一致する場合に限り、前記更新プログラムと前記更新対象プログラムのコンテキストとを前記プログラム格納部に格納する
ことを特徴とする請求項8記載の機密情報処理装置。 - 前記更新手段はさらに、受取った前記更新対象プログラムのハッシュ値と算出した前記更新対象プログラムのハッシュ値とが一致しない場合に、前記退避部に格納されている前記更新対象プログラムのコンテキストを消去する
ことを特徴とする請求項8又は9に記載の機密情報処理装置。 - 前記更新手段はさらに、受取った前記更新プログラムのハッシュ値と算出した前記更新プログラムのハッシュ値とが一致しない場合に、前記プログラム格納手段に格納されている前記更新プログラムを消去する
ことを特徴とする請求項10記載の機密情報処理装置。 - 前記プログラム格納手段は、プログラム格納部と退避部とを有し、
前記プログラム格納部は、前記更新対象プログラムと前記更新対象プログラムのコンテキストとを格納し、
前記退避部は、初期プログラムから前記更新対象プログラムに更新されるまでの各更新回のプログラムのハッシュ値に基づいて算出された複数世代ハッシュ値を格納し、
前記更新手段は、前記更新対象プログラムのコンテキストを前記更新プログラムにおいて引継ぐか否かを判定する引継判定手段と、
引継ぐ場合に、前記コンテキストを前記退避部に退避する退避手段と
を有し、
前記復号化手段はさらに、前記外部装置から、複数世代ハッシュ値を暗号化したハッシュ値を受取り、復号化して、前記データ出力部に出力し、
前記更新手段は、前記データ出力部から復号された複数世代ハッシュ値を受取り、受取った複数世代ハッシュ値と、前記退避部に格納されている複数世代ハッシュ値とが一致する場合に限り、前記更新プログラムと前記更新対象プログラムのコンテキストとを前記プログラム格納部に格納する
ことを特徴とする請求項7記載の機密情報処理装置。 - 前記復号化手段はさらに、前記外部装置から、前記更新プログラムのハッシュ値を暗号化したハッシュ値を受取り、復号化して、前記データ出力部に出力し、
前記更新手段は、受取った複数世代ハッシュ値と前記退避部より取得した複数世代ハッシュ値とが一致する場合に、さらに、前記更新プログラムのハッシュ演算を行うことにより、前記更新プログラムのハッシュ値を算出し、さらに前記データ出力部から復号された前記更新プログラムのハッシュ値を受取り、受取った前記更新プログラムのハッシュ値と算出した前記更新プログラムのハッシュ値とが一致する場合に限り、前記更新プログラムと前記更新対象プログラムのコンテキストとを前記プログラム格納部に格納する
ことを特徴とする請求項12記載の機密情報処理装置。 - 前記更新手段はさらに、取得した複数世代ハッシュ値と算出した前記更新プログラムのハッシュ値とを連結し、連結したものについてハッシュ演算を行うことにより、ハッシュ値を算出し、前記退避部に格納されている複数世代ハッシュ値を算出したハッシュ値に書換える
ことを特徴とする請求項13記載の機密情報処理装置。 - 前記更新手段はさらに、受取った複数世代ハッシュ値と前記退避部に格納されている複数世代ハッシュ値とが一致しない場合に、前記退避部に格納されている前記更新対象プログラムのコンテキストを消去する
ことを特徴とする請求項12〜14の何れかに記載の機密情報処理装置。 - 前記更新手段はさらに、受取った前記更新プログラムのハッシュ値と算出した前記更新プログラムのハッシュ値とが一致しない場合に、前記プログラム格納手段に格納されている前記更新プログラムを消去する
ことを特徴とする請求項15記載の機密情報処理装置。 - 前記プログラム格納手段はさらに、前記更新対象プログラムのコンテキストを格納し、
前記更新手段は、
前記更新対象プログラムのコンテキストを前記更新プログラムにおいて引継ぐか否かを判定する引継判定手段と、
引継がない場合に、前記コンテキストを出力するか否かを判定する出力判定手段と、
出力する場合に、前記更新対象プログラムのハッシュ値を算出するハッシュ値算出手段と
を有し、
前記機密情報処理装置はさらに、算出されたハッシュ値と前記コンテキストを暗号化する暗号化手段を備え、
前記更新手段は、暗号化された前記ハッシュ値と前記コンテキストとを連結して自装置外部へ出力する
ことを特徴とする請求項7記載の機密情報処理装置。 - 前記プログラム格納手段は、プログラム格納部と退避部とを有し、
前記プログラム格納部は、前記更新対象プログラムと前記更新対象プログラムのコンテキストとを格納し、
前記更新手段は、
前記更新対象プログラムのコンテキストを前記更新プログラムにおいて引継ぐか否かを判定する引継判定手段と、
引継がない場合に、前記コンテキストを前記退避部に退避するか否かを判定する退避判定手段と、
退避する場合に、前記更新対象プログラムのハッシュ値を算出するハッシュ値算出手段と
前記ハッシュ値と前記コンテキストとを連結して前記退避部へ退避する退避手段と
を有することを特徴とする請求項7記載の機密情報処理装置。 - 前記復号化手段はさらに、前記外部装置から暗号化された、更新プログラムのハッシュ値と更新プログラムのコンテキストとを受取り、復号化し、
前記更新手段は、
前記更新プログラムのハッシュ値を算出するハッシュ値算出手段と
算出したハッシュ値と復号化された前記更新プログラムのハッシュ値とが一致するか否かを判定するハッシュ値判定手段と
を有し、
前記更新手段は、一致する場合に、復号化された前記コンテキストを前記プログラム格納手段に格納されている前記更新プログラムのコンテキストとして格納し、
一致しない場合に、前記プログラム格納手段に格納されている前記更新プログラムを消去する
ことを特徴とする請求項7記載の機密情報処理装置。 - 前記プログラム格納手段は、プログラム格納部と退避部とを有し、
前記プログラム格納部は、前記更新プログラムを格納し、
前記退避部は、前記更新プログラムのコンテキストと当該更新プログラムのハッシュ値とを連結した連結データを複数、格納し、
前記更新手段は、
前記更新プログラムのハッシュ値を算出するハッシュ値算出手段と、
前記退避部に、算出したハッシュ値と同じハッシュ値を有する連結データが格納されているか否かを判定する連結データ判定手段と
を有し、
格納されている場合に、前記更新手段は、前記退避部に格納されている該当する連結データに含まれる前記更新プログラムのコンテキストを前記プログラム格納部に格納し、
格納されていない場合に、前記プログラム格納部に格納されている前記更新プログラムを消去する
ことを特徴とする請求項7記載の機密情報処理装置。 - 前記プログラム格納手段は、プログラム格納部と退避部とを有し、
前記プログラム格納部は、前記更新対象プログラムと前記更新対象プログラムのコンテキストとを格納し、
前記退避部は、暗号化された更新対象プログラムの示す値である連鎖値を格納し、
前記更新プログラムは、暗号鍵と前記連鎖値とを用いて暗号化され、
前記更新手段は、前記更新対象プログラムのコンテキストを前記更新プログラムにおいて引継ぐか否かを判定する引継判定手段と、
引継ぐ場合に、前記コンテキストを前記退避部に退避する退避手段と
を有し、
前記復号化手段はさらに、前記外部装置から受取った前記更新プログラムを前記暗号鍵と、前記退避部に格納されている前記連鎖値とを用いて復号化して、前記データ出力部に出力し、
前記更新手段は、前記データ出力部から復号された前記更新プログラムを受取り、受取った前記更新プログラムと前記更新対象プログラムのコンテキストとを前記プログラム格納部に格納する
ことを特徴とする請求項7記載の機密情報処理装置。 - 前記プログラム格納手段は、前記更新対象プログラムを格納しているバンクと前記更新対象プログラムの更新プログラムを格納しているバンクとを有し、
前記更新手段は、前記プログラム格納手段のバンクを切り替えることにより、前記更新処理を行う
ことを特徴とする請求項1又は2記載の機密情報処理装置。 - 前記更新対象プログラムを格納しているバンクは、当該更新対象プログラムのコンテキストを格納し、
前記受取手段は、切り替えるべき、前記更新プログラムを格納しているバンクを指定するバンク情報を前記更新要求として受取り、
前記更新手段は、
前記更新対象プログラムのコンテキストを前記更新プログラムにおいて引継ぐか否かを判定する引継判定手段と、
引継ぐ場合に、前記プログラム格納手段におけるアクセス対象となるバンクを、前記更新対象プログラムを格納しているバンクから前記更新プログラムを格納しているバンクに切り替えるバンク切替手段と
を有し、
前記更新手段は、切り替えたバンクに、前記更新対象プログラムのコンテキストを格納する
ことを特徴とする請求項22記載の機密情報処理装置。 - 前記更新対象プログラムには、当該更新対象プログラムのコンテキストを引継ぎ可能な、当該更新対象プログラムの更新プログラムが格納されているバンクを特定する情報である引継可能バンク情報が含まれ、
前記更新手段はさらに、受取られたバンク情報の指定するバンクと、引継可能バンク情報の特定するバンクとが一致するか否かの判定する引継バンク判定手段を有し、
前記バンク切替手段は、一致する場合に限り、前記プログラム格納手段におけるアクセス対象となるバンクを、前記更新対象プログラムを格納しているバンクから前記更新プログラムを格納しているバンクに切り替える
ことを特徴とする請求項23記載の機密情報処理装置。 - 前記アクセス制御レベルは、3段階以上のランクで示される
ことを特徴とする請求項3記載の機密情報処理装置。 - 前記機密情報処理装置はさらに、ランクの上限値を格納している上限値格納手段を備え、
前記アクセス制御手段は、前記外部装置のアクセス制御レベルの示すランクが、上限値を超える場合に、当該外部装置のアクセス制御レベルの示すランクを上限値と同一のランクとみなして、当該外部装置から前記各リソースへのアクセスを許可するか否かを決定する
ことを特徴とする請求項3記載の機密情報処理装置。 - 外部装置から自装置内部の各リソースへのアクセスを制御する機密情報処理装置に用いる機密情報処理方法であって、
前記機密情報処理装置は、
前記各リソースについて、外部装置からのアクセスを許可するか否かの判定基準となるアクセス制御レベルを格納しているレベル格納手段と、
更新対象プログラムを格納しているプログラム格納手段と
を備え、
前記機密情報処理方法は、
外部装置から前記更新対象プログラムの更新要求を受け取る受取ステップと、
前記更新要求の受取に応じて、更新対象プログラムを更新する更新処理を行う更新ステップと、
前記各アクセス制御レベルに従って、外部装置から前記各リソースへのアクセスを許可するか否かを決定するアクセス制御ステップと、
前記更新処理が行われている間、前記レベル格納手段に格納されている各リソースのアクセス制御レベルの内、アクセス制御レベルが、外部装置からのアクセスを許可する状態にあり、かつ、前記更新処理の過程においてアクセスされるリソースのアクセス制御レベルを、外部装置からのアクセスを不許可とするアクセス制御レベルに変更するランク変更ステップと
を含むことを特徴とする機密情報処理方法。 - 外部装置から自装置内部の各リソースへのアクセスを制御する機密情報処理装置において、機密情報処理を実行させるプログラムであって、
前記機密情報処理装置は、
前記各リソースについて、外部装置からのアクセスを許可するか否かの判定基準となるアクセス制御レベルを格納しているレベル格納手段と、
更新対象プログラムを格納しているプログラム格納手段と
を備え、
前記機密情報処理は、
外部装置から前記更新対象プログラムの更新要求を受け取る受取ステップと、
前記更新要求の受取に応じて、更新対象プログラムを更新する更新処理を行う更新ステップと、
前記各アクセス制御レベルに従って、外部装置から前記各リソースへのアクセスを許可するか否かを決定するアクセス制御ステップと、
前記更新処理が行われている間、前記レベル格納手段に格納されている各リソースのアクセス制御レベルの内、アクセス制御レベルが、外部装置からのアクセスを許可する状態にあり、かつ、前記更新処理の過程においてアクセスされるリソースのアクセス制御レベルを、外部装置からのアクセスを不許可とするアクセス制御レベルに変更するランク変更ステップと
を含むことを特徴とするプログラム。 - 外部装置から自装置内部の各リソースへのアクセスを制御する機密情報処理装置において、機密情報処理を実行させるプログラムを記録したコンピュータ読取可能な記録媒体であって、
前記機密情報処理装置は、
前記各リソースについて、外部装置からのアクセスを許可するか否かの判定基準となるアクセス制御レベルを格納しているレベル格納手段と、
更新対象プログラムを格納しているプログラム格納手段と
を備え、
前記機密情報処理は、
外部装置から前記更新対象プログラムの更新要求を受け取る受取ステップと、
前記更新要求の受取に応じて、更新対象プログラムを更新する更新処理を行う更新ステップと、
前記各アクセス制御レベルに従って、外部装置から前記各リソースへのアクセスを許可するか否かを決定するアクセス制御ステップと、
前記更新処理が行われている間、前記レベル格納手段に格納されている各リソースのアクセス制御レベルの内、アクセス制御レベルが、外部装置からのアクセスを許可する状態にあり、かつ、前記更新処理の過程においてアクセスされるリソースのアクセス制御レベルを、外部装置からのアクセスを不許可とするアクセス制御レベルに変更するランク変更ステップと
を含むことを特徴とするコンピュータ読取可能な記録媒体。
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004328200A JP4496061B2 (ja) | 2004-11-11 | 2004-11-11 | 機密情報処理装置 |
CNB2005800373097A CN100524254C (zh) | 2004-11-11 | 2005-11-07 | 机密信息处理设备及方法 |
US11/665,822 US20080010686A1 (en) | 2004-11-11 | 2005-11-07 | Confidential Information Processing Device |
PCT/JP2005/020373 WO2006051754A1 (ja) | 2004-11-11 | 2005-11-07 | 機密情報処理装置 |
EP05799882A EP1830273A4 (en) | 2004-11-11 | 2005-11-07 | PROCESSING DEVICE FOR CONFIDENTIAL INFORMATION |
KR1020077010722A KR20070084188A (ko) | 2004-11-11 | 2005-11-07 | 기밀정보 처리장치 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004328200A JP4496061B2 (ja) | 2004-11-11 | 2004-11-11 | 機密情報処理装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006139517A JP2006139517A (ja) | 2006-06-01 |
JP4496061B2 true JP4496061B2 (ja) | 2010-07-07 |
Family
ID=36336435
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004328200A Expired - Fee Related JP4496061B2 (ja) | 2004-11-11 | 2004-11-11 | 機密情報処理装置 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20080010686A1 (ja) |
EP (1) | EP1830273A4 (ja) |
JP (1) | JP4496061B2 (ja) |
KR (1) | KR20070084188A (ja) |
CN (1) | CN100524254C (ja) |
WO (1) | WO2006051754A1 (ja) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
ATE491999T1 (de) * | 2006-10-06 | 2011-01-15 | Agere Systems Inc | Schutz von geheiminformationen in einem programmierten elektronischen gerät |
US20080178257A1 (en) * | 2007-01-20 | 2008-07-24 | Takuya Mishina | Method for integrity metrics management |
JP4931245B2 (ja) * | 2007-11-30 | 2012-05-16 | インターナショナル・ビジネス・マシーンズ・コーポレーション | アクセス制御方法、サーバ装置およびシステム |
WO2009083971A2 (en) * | 2007-12-27 | 2009-07-09 | Safend Ltd. | System and method for contextual and behavioral based data access control |
US10430604B2 (en) * | 2008-02-05 | 2019-10-01 | Equifax Inc. | Systems and methods for securing data in electronic communications |
US8600896B2 (en) * | 2008-03-28 | 2013-12-03 | Panasonic Corporation | Software updating apparatus, software updating system, invalidation method, and invalidation program |
JP4932033B2 (ja) * | 2008-03-28 | 2012-05-16 | パナソニック株式会社 | ソフトウェア更新装置、ソフトウェア更新システム、改ざん検証方法、及び改ざん検証プログラム |
CN102224704A (zh) * | 2008-11-13 | 2011-10-19 | 松下电器产业株式会社 | 内容解密处理装置、内容解密处理方法及集成电路 |
US8386800B2 (en) * | 2009-12-04 | 2013-02-26 | Cryptography Research, Inc. | Verifiable, leak-resistant encryption and decryption |
CN102480548A (zh) * | 2010-11-23 | 2012-05-30 | 腾讯科技(深圳)有限公司 | 应用程序启动方法及装置 |
WO2012124270A1 (ja) * | 2011-03-15 | 2012-09-20 | パナソニック株式会社 | 改ざん監視システム、管理装置、保護制御モジュール及び検知モジュール |
US20130166922A1 (en) * | 2011-12-23 | 2013-06-27 | Ati Technologies Ulc | Method and system for frame buffer protection |
CN103457922B (zh) * | 2012-06-05 | 2017-01-25 | 腾讯科技(深圳)有限公司 | 电子认证客户端系统及处理方法、电子认证系统及方法 |
WO2017111903A1 (en) | 2015-12-21 | 2017-06-29 | Intel Corporation | Integrating system in package (sip) with input/output (io) board for platform miniaturization |
US10091904B2 (en) * | 2016-07-22 | 2018-10-02 | Intel Corporation | Storage sled for data center |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS6227840A (ja) * | 1985-07-29 | 1987-02-05 | Nec Corp | デ−タ破壊防止方式 |
JPH06324857A (ja) * | 1993-05-13 | 1994-11-25 | Toshiba Corp | コンピュータシステム |
JP2004152123A (ja) * | 2002-10-31 | 2004-05-27 | Matsushita Electric Ind Co Ltd | 半導体集積回路装置、並びにプログラム引き渡し方法及びそのシステム |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4625081A (en) * | 1982-11-30 | 1986-11-25 | Lotito Lawrence A | Automated telephone voice service system |
FR2591775B1 (fr) * | 1985-12-12 | 1988-03-04 | Inst Nat Rech Inf Automat | Dispositif electronique formant memoire stable rapide perfectionnee |
US5522076A (en) * | 1993-05-13 | 1996-05-28 | Kabushiki Kaisha Toshiba | Computer system having BIOS (basic input/output system)-ROM (Read Only Memory) writing function |
JP3882321B2 (ja) * | 1998-03-13 | 2007-02-14 | 株式会社日立製作所 | オペレーティングシステムのモジュールプログラムを備えた計算機 |
EA003963B1 (ru) * | 2000-05-10 | 2003-12-25 | Конинклейке Филипс Электроникс Н.В. | Контролируемое распространение цифровой информации, в особенности аудиоданных |
US9213836B2 (en) * | 2000-05-28 | 2015-12-15 | Barhon Mayer, Batya | System and method for comprehensive general electric protection for computers against malicious programs that may steal information and/or cause damages |
US7484105B2 (en) * | 2001-08-16 | 2009-01-27 | Lenovo (Singapore) Ptd. Ltd. | Flash update using a trusted platform module |
US6456485B1 (en) * | 2001-08-27 | 2002-09-24 | Eldre Corporation | Device for connecting a circuit breaker to a bus bar |
US7137004B2 (en) * | 2001-11-16 | 2006-11-14 | Microsoft Corporation | Manifest-based trusted agent management in a trusted operating system environment |
US20040001087A1 (en) * | 2002-06-27 | 2004-01-01 | Warmus James L. | Methods and apparatus for electronic distribution of customized content via a broadcast signal |
JP2004259077A (ja) * | 2003-02-27 | 2004-09-16 | Hitachi Ltd | 組込み機器プログラム更新方法 |
JP2004272832A (ja) * | 2003-03-12 | 2004-09-30 | Konica Minolta Holdings Inc | プログラマブル論理回路及び該プログラマブル論理回路を備えるコンピュータシステム並びに論理回路情報の書き込み方法 |
US7644288B2 (en) * | 2003-03-19 | 2010-01-05 | Ricoh Company, Ltd. | Image forming apparauts that checks authenticity of an update program |
JP2004323209A (ja) * | 2003-04-25 | 2004-11-18 | Sumitomo (Shi) Construction Machinery Manufacturing Co Ltd | リフティングマグネットの制御方法 |
US9077611B2 (en) * | 2004-07-07 | 2015-07-07 | Sciencelogic, Inc. | Self configuring network management system |
US7590589B2 (en) * | 2004-09-10 | 2009-09-15 | Hoffberg Steven M | Game theoretic prioritization scheme for mobile ad hoc networks permitting hierarchal deference |
-
2004
- 2004-11-11 JP JP2004328200A patent/JP4496061B2/ja not_active Expired - Fee Related
-
2005
- 2005-11-07 US US11/665,822 patent/US20080010686A1/en not_active Abandoned
- 2005-11-07 EP EP05799882A patent/EP1830273A4/en not_active Withdrawn
- 2005-11-07 CN CNB2005800373097A patent/CN100524254C/zh not_active Expired - Fee Related
- 2005-11-07 WO PCT/JP2005/020373 patent/WO2006051754A1/ja active Application Filing
- 2005-11-07 KR KR1020077010722A patent/KR20070084188A/ko not_active Application Discontinuation
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS6227840A (ja) * | 1985-07-29 | 1987-02-05 | Nec Corp | デ−タ破壊防止方式 |
JPH06324857A (ja) * | 1993-05-13 | 1994-11-25 | Toshiba Corp | コンピュータシステム |
JP2004152123A (ja) * | 2002-10-31 | 2004-05-27 | Matsushita Electric Ind Co Ltd | 半導体集積回路装置、並びにプログラム引き渡し方法及びそのシステム |
Also Published As
Publication number | Publication date |
---|---|
KR20070084188A (ko) | 2007-08-24 |
US20080010686A1 (en) | 2008-01-10 |
CN101048765A (zh) | 2007-10-03 |
JP2006139517A (ja) | 2006-06-01 |
WO2006051754A1 (ja) | 2006-05-18 |
EP1830273A1 (en) | 2007-09-05 |
EP1830273A4 (en) | 2009-01-07 |
CN100524254C (zh) | 2009-08-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100524254C (zh) | 机密信息处理设备及方法 | |
KR100463842B1 (ko) | 파일 보안 시스템의 키 관리 장치와 암호키 관리방법 | |
US8223972B2 (en) | Method and device for speeding up key use in key management software with tree structure | |
US7788487B2 (en) | Data processing apparatus | |
CN100442252C (zh) | 对可记录介质上的安全存储进行写入或读取的方法 | |
JP4907880B2 (ja) | 携帯情報端末およびデータ保護方法 | |
US8281115B2 (en) | Security method using self-generated encryption key, and security apparatus using the same | |
EP3644574A1 (en) | Key management method and apparatus and device | |
KR100678927B1 (ko) | 비보안 영역에 보안 영역을 할당하는 방법 및 이를제공하는 휴대용 저장 장치 | |
US20050246778A1 (en) | Transparent encryption and access control for mass-storage devices | |
KR101536086B1 (ko) | 인증장치, 피인증장치, 및 인증 방법 | |
US20060156036A1 (en) | Method and portable storage device for allocating secure area in insecure area | |
US20110099387A1 (en) | Method and apparatus for enforcing a predetermined memory mapping | |
US8286001B2 (en) | Method and central processing unit for processing encrypted software | |
CN101268650A (zh) | 在微控制器中用于数据安全性处理的方法和装置 | |
JP2007213478A (ja) | 半導体メモリおよびデータアクセス方法 | |
WO2006013924A1 (ja) | 記録再生装置、記録媒体処理装置、再生装置、記録媒体、コンテンツ記録再生システム、及びコンテンツ記録再生方法 | |
JP2009290331A (ja) | データ保護システム、データ保護方法、及びメモリカード | |
KR101761799B1 (ko) | 단말의 보안 데이터 관리 장치 및 그 방법 | |
US11698993B2 (en) | Integrated circuit configured to perform symmetric encryption operations with secret key protection | |
JP2010231623A (ja) | キャッシュメモリ制御装置及び方法 | |
JP2021141524A (ja) | 復号システム | |
JP2005100378A (ja) | プログラム実行装置、認証局装置 | |
JP2007026105A (ja) | ファイル管理装置、ファイル管理方法、及びファイル管理プログラム | |
KR100897449B1 (ko) | 휴대용 단말기 및 이에 있어서 보안 기능 제공 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071026 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100316 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100412 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130416 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |