JP4984721B2 - データ記憶装置、電力制御方法、並びに、通信装置 - Google Patents

データ記憶装置、電力制御方法、並びに、通信装置 Download PDF

Info

Publication number
JP4984721B2
JP4984721B2 JP2006205714A JP2006205714A JP4984721B2 JP 4984721 B2 JP4984721 B2 JP 4984721B2 JP 2006205714 A JP2006205714 A JP 2006205714A JP 2006205714 A JP2006205714 A JP 2006205714A JP 4984721 B2 JP4984721 B2 JP 4984721B2
Authority
JP
Japan
Prior art keywords
power
power supply
memory
supply
monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006205714A
Other languages
English (en)
Other versions
JP2008033594A5 (ja
JP2008033594A (ja
Inventor
如竹 村岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sony Corp
Original Assignee
Sony Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sony Corp filed Critical Sony Corp
Priority to JP2006205714A priority Critical patent/JP4984721B2/ja
Priority to US11/782,403 priority patent/US7873853B2/en
Priority to CNB2007101376178A priority patent/CN100573478C/zh
Publication of JP2008033594A publication Critical patent/JP2008033594A/ja
Publication of JP2008033594A5 publication Critical patent/JP2008033594A5/ja
Application granted granted Critical
Publication of JP4984721B2 publication Critical patent/JP4984721B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/30Means for acting in the event of power-supply failure or interruption, e.g. power-supply fluctuations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Power Sources (AREA)
  • Techniques For Improving Reliability Of Storages (AREA)
  • Charge And Discharge Circuits For Batteries Or The Like (AREA)

Description

本発明は、データ記憶装置、電力制御方法、および、通信装置に関し、特に、耐タンパ性を物理的に向上させるようにしたデータ記憶装置、電力制御方法、および、通信装置に関する。
近年、筐体の開放や破壊などのタンパ行為を監視する監視回路を設け、メモリに記憶されているデータを保護する装置が普及してきている(例えば、特許文献1参照)。
そのような装置においては、主電源がオフの状態においても、タンパ行為の監視が行われるように、監視回路用にバッテリなどのバックアップ電源が設けられる場合がある。
特開2005−56439号公報
しかしながら、監視回路用にバックアップ電源を設けた場合、バックアップ電源が取り外され、監視回路の動作を停止させられた上で、データの盗聴や改ざんが行われる恐れがある。
本発明は、このような状況に鑑みてなされたものであり、耐タンパ性を物理的に向上させるようにするものである。
本発明の第1の側面のデータ記憶装置は、揮発性のメモリと、前記メモリに格納されているデータに対する不正行為を監視する監視手段と、前記監視手段および前記メモリに電力を供給する主電源がオフされた場合に前記監視手段および前記メモリに電力を供給するバックアップ電源と、前記主電源または前記バックアップ電源により充電され、前記主電源および前記バックアップ電源からの電力の供給が停止された場合前記監視手段および前記メモリに電力を供給する蓄電手段と、前記蓄電手段からの電力により動作可能で、前記バックアップ電源からの電力の供給が停止した状態が設定時間継続した場合、前記蓄電手段から前記メモリへの電力の供給を停止させる電力供給制御手段とが設けられている。
前記蓄電手段には、前記バックアップ電源からの電力の供給が停止された状態が前記設定時間継続した後も、前記監視手段への電力の供給を継続させることができる。
前記バックアップ電源は電池であり、前記蓄電手段はコンデンサであるようにすることができる。
本発明の第1の電力制御方法は、揮発性のメモリ、および、前記メモリに格納されているデータに対する不正行為を監視する監視手段を有するデータ記憶装置の電力制御方法であって、前記監視手段および前記メモリに電力を供給する主電源、または、前記主電源がオフされた場合に前記監視手段および前記メモリに電力を供給するバックアップ電源により蓄電手段を充電し、前記主電源および前記バックアップ電源からの電力の供給が停止された場合、前記蓄電手段から前記監視手段および前記メモリに電力を供給し、前記バックアップ電源からの電力の供給が停止した状態が設定時間継続した場合、前記蓄電手段から前記メモリへの電力の供給を停止させる。
本発明の第2の側面の通信装置は、非接触ICカード機能を有する装置と通信を行う通信手段と、前記非接触ICカード機能を有する装置から読み出したデータを格納する揮発性のメモリと、前記メモリに格納されているデータに対する不正行為を監視する監視手段と、前記監視手段および前記メモリに電力を供給する主電源がオフされた場合に前記監視手段および前記メモリに電力を供給するバックアップ電源と、前記主電源または前記バックアップ電源により充電され、前記主電源および前記バックアップ電源からの電力の供給が停止された場合前記監視手段および前記メモリに電力を供給する蓄電手段と、前記蓄電手段からの電力により動作可能で、前記バックアップ電源からの電力の供給が停止した状態が設定時間継続した場合、前記蓄電手段から前記メモリへの電力の供給を停止させる電力供給制御手段とが設けられている。
本発明の第1の側面においては、蓄電手段が主電源またはバックアップ電源により充電され、前記主電源および前記バックアップ電源からの電力の供給が停止された場合に前記蓄電手段から監視手段およびメモリに電力が供給され、前記バックアップ電源からの電力の供給が停止した状態が設定時間継続した場合、前記蓄電手段から前記メモリへの電力の供給が停止される。
本発明の第2の側面においては、蓄電手段が主電源またはバックアップ電源により充電され、前記主電源および前記バックアップ電源からの電力の供給が停止された場合に前記蓄電手段から監視手段およびメモリに電力が供給され、前記バックアップ電源からの電力の供給が停止した状態が設定時間継続した場合、前記蓄電手段から前記メモリへの電力の供給が停止される。
本発明の第1の側面または第2の側面によれば、メモリに格納されているデータに対する不正行為を監視する監視手段に電力を供給することができる。また、本発明の第1の側面または第2の側面によれば、耐タンパ性を物理的に向上させることができる。
以下に本発明の実施の形態を説明するが、本発明の構成要件と、明細書または図面に記載の実施の形態との対応関係を例示すると、次のようになる。この記載は、本発明をサポートする実施の形態が、発明の詳細な説明に記載されていることを確認するためのものである。従って、発明の詳細な説明中には記載されているが、本発明の構成要件に対応する実施の形態として、ここには記載されていない実施の形態があったとしても、そのことは、その実施の形態が、その構成要件に対応するものではないことを意味するものではない。逆に、実施の形態が構成要件に対応するものとしてここに記載されていたとしても、そのことは、その実施の形態が、その構成要件以外の構成要件には対応しないものであることを意味するものでもない。
本発明の第1の側面のデータ記憶装置(例えば、図1の制御モジュール13)は、揮発性のメモリ(例えば、図5のRAM171)と、前記メモリに格納されているデータに対する不正行為を監視する監視手段(例えば、図5のタンパ監視回路105−1乃至105−6)と、前記監視手段および前記メモリに電力を供給する主電源(例えば、図1の主電源14)がオフされた場合に前記監視手段および前記メモリに電力を供給するバックアップ電源(例えば、図10の電池351)と、前記主電源または前記バックアップ電源により充電され、前記主電源および前記バックアップ電源からの電力の供給が停止された場合前記監視手段および前記メモリに電力を供給する蓄電手段(例えば、図10のコンデンサ355)と、前記蓄電手段からの電力により動作可能で、前記バックアップ電源からの電力の供給が停止した状態が設定時間継続した場合、前記蓄電手段から前記メモリへの電力の供給を停止させる電力供給制御手段(例えば、図10の電池電圧検知器358)とを備える。
本発明の第1の側面の電力制御方法は、揮発性のメモリ(例えば、図5のRAM171)、および、前記メモリに格納されているデータに対する不正行為を監視する監視手段(例えば、図5のタンパ監視回路105−1乃至105−6)を有するデータ記憶装置(例えば、図1の制御モジュール13)の電力制御方法において、前記監視手段および前記メモリに電力を供給する主電源(例えば、図1の主電源14)、または、前記主電源がオフされた場合に前記監視手段および前記メモリに電力を供給するバックアップ電源(例えば、図10の電池351)により蓄電手段(例えば、図10のコンデンサ355)を充電し、前記主電源および前記バックアップ電源からの電力の供給が停止された場合、前記蓄電手段から前記監視手段および前記メモリに電力を供給し、前記バックアップ電源からの電力の供給が停止した状態が設定時間継続した場合、前記蓄電手段から前記メモリへの電力の供給を停止させる。
本発明の第2の通信装置(例えば、図1のリーダライタ1)は、非接触ICカード機能を有する装置(例えば、図1のICカード2)と通信を行う通信手段(例えば、図1のRFドライブ基板12)と、前記非接触ICカード機能を有する装置から読み出したデータを格納する揮発性のメモリ(例えば、図5のRAM171)と、前記メモリに格納されているデータに対する不正行為を監視する監視手段(例えば、図5のタンパ監視回路105−1乃至105−6)と、前記監視手段および前記メモリに電力を供給する主電源(例えば、図1の主電源14)がオフされた場合に前記監視手段および前記メモリに電力を供給するバックアップ電源(例えば、図10の電池351)と、前記主電源または前記バックアップ電源により充電され、前記主電源および前記バックアップ電源からの電力の供給が停止された場合前記監視手段および前記メモリに電力を供給する蓄電手段(例えば、図10のコンデンサ355)と、前記蓄電手段からの電力により動作可能で、前記バックアップ電源からの電力の供給が停止した状態が設定時間継続した場合、前記蓄電手段から前記メモリへの電力の供給を停止させる電力供給制御手段(例えば、図10の電池電圧検知器358)とを備える。
以下、図を参照して、本発明の実施の形態について説明する。
図1は、本発明を適用したリーダライタの一実施の形態を示すブロック図である。本発明を適用したリーダライタ1は、アンテナ11、RFドライブ基板12、制御モジュール13、および、主電源14を含むように構成される。
RFドライブ基板12は、アンテナ11を介して、非接触式のICカード2との間で、単一の周波数の搬送波を使用した、電磁誘導による近接通信を行う。RFドライブ基板12が使用する搬送波の周波数としては、例えば、ISM(Industrial Scientific Medical)バンドの13.56MHzなどを採用することができる。また、近接通信とは、通信する装置どうしの距離が、数10cm以内となって可能となる通信を意味し、通信する装置(の筐体)同士が接触して行う通信も含まれる。
制御モジュール13は、ICカード2を利用したサービスを実現するための処理を実行し、適宜、サービスで使用されるデータを、アンテナ11およびRFドライブ基板12を介して、ICカード2に書き込んだり、ICカード2から読み出したりする。また、制御モジュール13は、複数の種類のサービスの処理を並行して実行することが可能である。すなわち、例えば、電子マネーサービス、プリペイドカードサービス、各種の交通機関の乗車カードサービスなど、非接触式のICカードを利用した複数のサービスを、1台のリーダライタ1により提供することができる。
主電源14は、RFドライブ基板12および制御モジュール13の動作に必要な電力を供給する。
図2は、制御モジュール13の外観の構成の例を示す断面図である。
制御モジュール13においては、直方体の筐体31内に、メイン基板32、および、保護基板33乃至36が設けられている。メイン基板32は、筐体31の高さ方向のほぼ中央付近に配置されている。保護基板33乃至36は、それぞれ、筐体31の面31A乃至面31Dの内面とほぼ同じ形状および面積の基板であり、筐体31の面31A乃至面31Dの内面に取り付けられている。また、図示されていないが、筐体31の残りの2面にも、保護基板33乃至36と同様に、各面の内面とほぼ同じ形状および面積の保護基板が取り付けられている。すなわち、保護基板33乃至36および図示せぬ2枚の保護基板の合計6枚の保護基板が筐体31の内面のほぼ全面を覆うように、かつ、メイン基板32を囲むように配置されている。なお、図2においては、筐体13の内面と各保護基板との間に所定の間隔が設けられているが、各保護基板を筐体31内の内面に接するように配置するようにしてもよい。
メイン基板32は、CPU(Central Processing Unit)101(図5)、RAM171(図5)などの制御モジュール13の処理を行うための各部品が搭載されている。
6枚の保護基板は、図8などを参照して後述するように、メイン基板32上に設けられているRAM171に格納されているデータに対して盗聴や改ざんなどの不正行為を行うために、筐体31を開放したり、破壊するなどのタンパ行為を検出するために設けられている基板である。
図3および図4は、保護基板33の構成の例を示している。図3は、図2においてメイン基板32側となる保護基板33の面33Aの構成の例を示し、図4は、図2において筐体31側となる保護基板33の面33Bの構成の例を示している。
保護基板33の形状は、上述したように、筐体31の面31Aの内面とほぼ同じ大きさおよび形状の長方形である。保護基板33の面33Aのほぼ中央には、コネクタ41Bが設けられている。また、面33Aのコネクタ41B以外の部分において、面33Aの長さまたは幅に対して十分細い電線51Aが、面33Aの長さまたは幅に対して十分狭い間隔で、長さ方向が面33Aの縦方向とほぼ平行となり、面33Aのほぼ全面を覆うように配線されている。さらに、面33Bにおいて、面33Bの長さまたは幅に対して十分細い電線51Bが、面33Bの長さまたは幅に対して十分狭い間隔で、長さ方向が面33A電線51Aの長さ方向とほぼ直交する面33Bの横方向とほぼ平行となり、面33Bのほぼ全面を覆うように配線されている。また、電線51Aと電線51Bとは、貫通ビア52および53により接続されることにより、1本の電線を構成している。すなわち、面33Aと面33Bの両面を合わせて、保護基板33のほぼ全面にほぼ格子状に1本の電線が配線されている。
なお、以下、適宜、電線51Aと電線51Bとを合わせて、電線51と称する。
図示および詳細な説明は省略するが、保護基板33以外の他の5枚の保護基板についても、保護基板33と同様に、各基板の両面を合わせて、各基板のほぼ全面にほぼ格子状に1本の電線が配線されている。すなわち、筐体31の各面の長さまたは幅に対して十分細い電線が、筐体31の各面の長さまたは幅に対して十分狭い間隔で筐体31のほぼ全面を覆うように配線されている。従って、筐体31に穴を開けるなどの破壊行為が行われた場合、筐体31のほぼ全面を覆っている電線の一部がほぼ確実に断線される。
なお、各保護基板において、電線をできる限り細くし、隣接する電線の間隔をできる限り狭くするようにすることが望ましい。
図2に戻り、メイン基板32と保護基板33とは、コネクタ41Aおよび41Bにより電気的に接続されており、メイン基板32と保護基板34とは、コネクタ42Aおよび42Bにより電気的に接続されており、メイン基板32と保護基板35とは、コネクタ43Aおよび43Bにより電気的に接続されており、メイン基板32と保護基板36とは、コネクタ44Aおよび44Bにより電気的に接続されている。また、図示されていない2枚の保護基板についても、図示せぬコネクタを用いて、メイン基板32と電気的に接続されている。すなわち、筐体31の各面を開放しようとした場合、筐体31の内面に取り付けられている保護基板とメイン基板32とが電気的に切断されるようになされている。
なお、制御モジュール13には、図示した以外にも、RFドライブ基板12および主電源14と電気的に接続するためのコネクタなどが設けられる。
図5は、図1の制御モジュール13の機能的構成を示すブロック図である。制御モジュール13は、CPU101、メモリアクセス制御部102、記憶部103、リセット回路104、タンパ監視回路105−1乃至105−6、および、電源制御部106を含むように構成される。また、メモリアクセス制御部102は、スイッチ141、スクランブル鍵変更指令器142、乱数出力器143、および、バススクランブル器144を含むように構成される。さらに、バススクランブル器144は、スクランブル鍵保持部151、および、アドレスバススクランブル回路152を含むように構成される。また、スクランブル鍵保持部151は、スクランブル鍵バッファ161、および、内部メモリ162を含むように構成される。さらに、記憶部103は、RAM(Random Access Memory)171および不揮発性メモリ172を含むように構成される。
CPU101とアドレスバススクランブル回路152とは、バス幅がnビットのアドレスバス121を介して相互に接続され、アドレスバススクランブル回路152と記憶部103とは、アドレスバス121と同じnビットのバス幅のアドレスバス122を介して相互に接続されている。また、CPU101と記憶部103は、バス幅がmビットのデータバス123を介して、相互に接続されている。
CPU101は、所定のプログラムを実行することにより、ICカード2を利用したサービスを実現するための処理を実行する。また、CPU101は、各サービスに対応したプログラムを並行して実行することができる。換言すれば、CPU101は、複数のサービスの処理を並行して実行することができる。
CPU101は、各サービスで使用するデータを、記憶部103のRAM171または不揮発性メモリ172に書き込んだり、記憶部103のRAM171または不揮発性メモリ172から読み出したりする。なお、以下、適宜、記憶部103のRAM171または不揮発性メモリ172にデータを書き込むことを、単に、記憶部103にデータを書き込むと表現し、記憶部103のRAM171または不揮発性メモリ172からデータを読み出すことを、単に、記憶部103からデータを読み出すと表現する。
CPU101は、記憶部103にデータを書き込む場合、データの論理的な書き込み位置を表す論理アドレスを示す論理アドレス信号を、アドレスバス121を介してアドレスバススクランブル回路152に供給するとともに、書き込むデータを含み、データの書き込みの指令を示す書き込み信号を、データバス123を介して記憶部103に供給する。また、CPU101は、記憶部103からデータを読み出す場合、データの論理的な読み出し位置を表す論理アドレスを示す論理アドレス信号を、アドレスバス121を介してアドレスバススクランブル回路152に供給するとともに、データの読み出しの指令を示す読み出し信号を、データバス123を介して記憶部103に供給する。
メモリアクセス制御部102は、CPU101の記憶部103へのアクセスを制御する。
メモリアクセス制御部102に含まれる個々の構成要素のうち、スイッチ141は、ユーザがスクランブル鍵の変更を指令する場合に押下される。スイッチ141は、ユーザにより押下された場合、押下されたことを示す信号をスクランブル鍵変更指令器142に供給する。
スクランブル鍵変更指令器142は、スイッチ141が押下された場合、スクランブル鍵の変更の指令を乱数出力器143に供給する。また、スクランブル鍵変更指令器142は、タンパ監視回路105−1乃至105−6から出力される監視信号に基づいて、筐体31の破壊や開放などのタンパ行為を検出した場合、スクランブル鍵の変更の指令を乱数出力器143に供給する。
乱数出力器143は、スクランブル鍵変更指令器142からスクランブル鍵の変更の指令を示す信号が供給された場合、nビットのビット列からなる疑似乱数を生成し、生成した疑似乱数をスクランブル鍵としてスクランブル鍵バッファ161に出力する。
バススクランブル器144は、CPU101から供給される論理アドレス信号により示される論理アドレスを、記憶部103に実際にアクセスする物理アドレスに変換する処理を行う。
バススクランブル器144に含まれる個々の構成要素のうち、スクランブル鍵保持部151は、乱数出力器143から供給された疑似乱数をスクランブル鍵として保持する。具体的には、スクランブル鍵保持部151のスクランブル鍵バッファ161が、乱数出力器143から供給された疑似乱数をスクランブル鍵として保持するととともに、スクランブル鍵を内部メモリ162に供給し、記憶させる。内部メモリ162は、フラッシュメモリなどの不揮発性メモリ、または、電池などによりバックアップされたRAMなどにより構成され、主電源14がオフされた状態においても、スクランブル鍵を保持し続ける。また、スクランブル鍵バッファ161は、主電源14がオフされた状態からオンされた場合、内部メモリ162に記憶されているスクランブル鍵を読み出し、保持する。さらに、スクランブル鍵バッファ161は、主電源14がオンされてから、内部メモリ162からのスクランブル鍵の読み出しが完了するまでの間、リセット指令信号をリセット回路104に供給する。
アドレスバススクランブル回路152は、スクランブル鍵バッファ161に保持されている鍵を用いて、CPU101から供給された論理アドレス信号により示される論理アドレスにスクランブルをかけることにより、論理アドレスを実際に記憶部103にアクセスする物理アドレスに変換する。換言すれば、アドレススバスクランブル回路152は、入力された論理アドレスにスクランブルをかけることにより、その論理アドレスに対して、物理アドレスを割り当てる。アドレスバススクランブル回路152は、アドレスバス122を介して、変換後の物理アドレスを示す物理アドレス信号を記憶部103に供給する。
記憶部103に含まれる個々の構成要素のうち、RAM171は、各サービスのデータや個人情報などの機密性の高いデータを格納する。RAM171に格納されているデータは、電源制御部106からの電力により保持され、電源制御部106からの電力の供給が停止された場合、消去される。
不揮発性メモリ172は、例えば、フラッシュメモリ、EEPROM(Electrically Erasable and Programmable Read Only Memory)、HDD(Hard Disk Drive)、MRAM(Magnetoresistive Random Access Memory,磁気抵抗メモリ)、FeRAM(Ferroelectric Random Access Memory,強誘電体メモリ)、または、OUM(Ovonic Unified Memory)などにより構成され、機密性の低いデータが格納される。
RAM171および不揮発性メモリ172は、CPU101から書き込み信号が供給された場合、アドレスバススクランブル回路152から供給された物理アドレス信号により示されるRAM171または不揮発性メモリ172上の物理アドレスに、書き込み信号に含まれるデータを書き込む。また、RAM171および不揮発性メモリ172は、CPU101から読み出し信号が供給された場合、アドレスバススクランブル回路152から供給された物理アドレス信号により示されるRAM171または不揮発性メモリ172上の物理アドレスからデータを読み出し、読み出したデータを、データバス123を介して、CPU101に供給する。
リセット回路104は、スクランブル鍵バッファ161からリセット指令信号が供給されている間、CPU101にリセット信号を供給し、CPU101の状態を初期化する。
タンパ監視回路105−1乃至105−6は、図8などを参照して後述するように、筐体31の破壊や開放などのタンパ行為を監視し、監視結果を示す監視信号を電源制御部106およびスクランブル鍵変更指令器142に供給する。
なお、以下、タンパ監視回路105−1乃至105−6を個々に区別する必要がない場合、単に、タンパ監視回路105と称する。
電源制御部106は、図10などを参照して後述するように、主電源14からの電力の供給を受け、制御モジュール13の各部への電力の供給を制御する。また、電源制御部106は、制御モジュール13に対するタンパ行為が検出された場合、記憶部103への電力の供給を停止することにより、RAM171のデータを消去させる。
図6は、乱数出力器143の機能的構成を示すブロック図である。乱数出力器143は、乱数生成器201、および、スイッチ202を含むように構成される。
乱数生成器201は、L1ビットのシフトレジスタを有するLFSR(Linear Feedback Shift Register,リニアフィードバックシフトレジスタ)型乱数発生器211、L2ビットのシフトレジスタを有するLFSR型乱数発生器212、および、EXOR回路213を含むように構成される。
LFSR型乱数発生器211,212は、シフトレジスタの所定のビットの値の排他的論理和をフィードバック値としてシフトレジスタに入力する周知のLFSRの原理により構成される。乱数生成器201は、LFSR型乱数発生器211,212により生成される2つの異なるM系列の疑似乱数の排他的論理和をEXOR回路213によりビット毎に取ることにより、Gold系列の疑似乱数を生成する。なお、乱数生成器201が備えるLFSR型乱数発生器211,212の個数は、2個に限定されるものではなく、3個以上とすることも可能である。
スイッチ202は、スクランブル鍵変更指令器142からスクランブル鍵の変更の指令を示す信号が入力された場合、オンとなり、乱数生成器201により生成されたGold系列の疑似乱数を示すビット列が、スイッチ202を介してスクランブル鍵バッファ161に出力される。
図7は、バススクランブル器144の機能的構成の詳細を示すブロック図である。
スクランブル鍵バッファ161は、シリアル入力およびパラレル入出力のnビットのシフトレジスタなどにより構成され、乱数出力器143からシリアル信号により供給された疑似乱数をスクランブル鍵として保持する。
アドレスバススクランブル回路152は、アドレスバス121を介してCPU101から供給される論理アドレス信号により示されるビットA1乃至Anからなるnビットの論理アドレスと、スクランブル鍵バッファ161に保持されているビットK1乃至Knからなるnビットのスクランブル鍵との排他的論理和を、EXOR回路251−1乃至251−nによりビット毎に取ることにより、論理アドレスをビットSA1乃至SAnからなるnビットの物理アドレスに変換する。アドレスバススクランブル回路152は、アドレスバス122を介して、変換後の物理アドレスを示す物理アドレス信号を記憶部103に供給する。
図8は、図5のタンパ監視回路105−1の回路構成の例を示す図である。タンパ監視回路105−1は、保護基板33上の電線51および抵抗301、抵抗302、抵抗303、p型のMOSFET(Metal Oxide Semiconductor Field Effect Transistor)304、比較電圧源素子305、および、電圧比較器306を含むように構成される。
MOSFET304のゲートは、点A、コネクタ41A,41B、および、電線51を介して、抵抗301の一端に接続され、点Aを介して、抵抗302の一端に接続されている。MOSFET304のソースは、点Bを介して、抵抗303の一端、および、電圧比較器306のプラス端子に接続されている。MOSFET304のドレインは、抵抗302の一端であって、MOSFET304のゲートに接続されている一端とは異なる一端、および、比較電圧源素子305のマイナス端子に接続されるとともに、接地されている。すなわち、タンパ監視回路105−1は、MOSFET304のドレインが接地されたソースフォロワ回路により構成される。
また、抵抗301の一端であって、電線51に接続されている一端とは異なる一端は、コネクタ41B,41Aを介して、電源制御部106、および、抵抗303の一端であって、点Bに接続されている一端とは異なる一端に接続されている。比較電圧源素子305のプラス端子は、電圧比較器306のマイナス端子に接続されている。電圧比較器306の出力端子は、点S1を介して、図5の電源制御部106およびスクランブル鍵変更指令器142に接続されている。
抵抗302の値は、抵抗301の値と比較して十分大きな値を持つ。従って、点Aの電圧、すなわち、MOSFET304のゲート電圧は、電源制御部106からの入力電圧とほぼ同じ値まで引き上げられ、MOSFET304のソース電圧は、ゲート電圧とほぼ同じ電圧となるように追従するので、点Aと点Bはほぼ同じ電圧となる。従って、電圧比較器306のプラス端子には、電源制御部106からの入力電圧とほぼ等しい電圧が入力される。比較電圧源素子305は、電源制御部106からの入力電圧の約半分の電圧を電圧比較器306のマイナス端子に入力する。電圧比較器306から出力される監視信号の電圧は、マイナス端子よりプラス端子に入力される電圧の方が高い場合、プラス端子とマイナス端子との電圧の差分を増幅した値となり、プラス端子よりマイナス端子に入力される電圧の方が高い場合、ほぼ0Vとなる。
ここで、図9を参照して、タンパ監視回路105−1の動作の例について説明する。図9は、制御モジュール13の筐体31の面31Aに対して、開放や破壊などのタンパ行為が行われた場合の点A、点Bおよび点S1の電圧の変化の例を示す図である。なお、時刻t1は、タンパ行為が行われた時刻を示す。
時刻t1以前の異常が発生していない状態においては、上述したように、点Aと点Bの電圧は、電源制御部106からの入力電圧とほぼ等しくなる。従って、電圧比較器306のプラス端子の電圧、すなわち、点Bの電圧が、マイナス端子の電圧、すなわち、比較電圧源素子305の電圧より高くなるため、電圧比較器306の出力電圧、すなわち、点S1の電圧は、プラス端子とマイナス端子との電圧の差分を増幅した正の値となる。
時刻t1において、制御モジュール13の筐体31の面31Aが開放され、コネクタ41Aとコネクタ41Bとが分離されたり、面31Aに対して、穴を開けるなどの破壊行為が行われ、電線51に断線が生じた場合、電源制御部106とMOSFET304のゲートとの間が断線され、点Aの電圧はほぼ0Vとなる。これに伴い、図9に示されるように、点Bの電圧もほぼ0Vとなり、電圧比較器306のマイナス端子の電圧がプラス端子の電圧より高くなるため、電圧比較器306の出力電圧、すなわち、点S1の電圧は、ほぼ0Vとなる。
従って、タンパ監視回路105−1から出力される監視信号に基づいて、筐体31の開放や破壊などのタンパ行為を検出することができる。
なお、タンパ監視回路105−2乃至105−6も、タンパ監視回路105−1と同様の構成を有しており、その説明は繰り返しになるので省略するが、タンパ監視回路105−1と同様に、タンパ監視回路105−2乃至105−6からの監視信号に基づいて、筐体31の開放や破壊などのタンパ行為を検出することができる。
従って、タンパ監視回路105−1乃至105−6からの監視信号の電圧を監視することにより、筐体31の全ての面に対する開放や破壊などのタンパ行為を確実に検出することができる。
なお、以下、タンパ監視回路105−2は、保護基板34上の電線を含み、タンパ監視回路105−3は、保護基板35上の電線を含み、タンパ監視回路105−4は、保護基板35上の電線を含み、タンパ監視回路105−5および105−6は、図2に図示されていない筐体31の2面にそれぞれ対応する保護基板上の電線を含むものとする。
図10は、図5の電源制御部106の回路構成の例を示す図である。電源制御部106は、主電源14のバックアップ電源である電池351、電池ソケット352、ダイオード353,354、コンデンサ355、電源レギュレータ356、抵抗357、電池電圧検知器358、および、スイッチ359を含むように構成される。
電池351は、電池ソケット352に装着された状態において、正極が、電池ソケット352を介して、逆流防止用のダイオード353のアノード、抵抗357の一端、および、電池電圧検知器358の入力端子T11に接続され、負極が、電池ソケット352を介して、コンデンサ355の一端、および、抵抗357の一端であって、電池351の正極に接続されている一端とは異なる一端に接続されるとともに、接地されている。ダイオード353のカソードは、逆流防止用のダイオード354のカソード、コンデンサ355の一端であって、電池351の負極に接続されている一端とは異なる一端、および、電源レギュレータ356の入力端子T1に接続されている。ダイオード354のアノードは、主電源14に接続されている。
電源レギュレータ356の出力端子T2は、電池電圧検知器358の電源端子T13、スイッチ359の一端、CPU101、メモリアクセス制御部102、リセット回路104、および、タンパ監視回路105−1乃至105−6に接続されている。電池電圧検知器358の出力端子T12は、スイッチ359の図示せぬ電圧検知端子に接続されている。スイッチ359の一端であって、電源レギュレータ356の出力端子T2に接続されている一端とは異なる一端は、記憶部103に接続されている。また、スイッチ359の図示せぬ電圧検知端子が、点S1乃至S6を介して、タンパ監視回路105−1乃至105−6に接続されている。
電源レギュレータ356は、ダイオード354を介して、主電源14から入力される電圧、または、ダイオード353を介して、電池351から入力される電圧を所定の電圧に変換し、ほぼ一定の電圧を出力端子T2から出力する。出力端子T2から出力された電圧は、CPU101、メモリアクセス制御部102、リセット回路104、タンパ監視回路105−1乃至105−6、電池電圧検知器358、および、スイッチ359を介して、記憶部103に供給される。すなわち、主電源14または電池351からの電力が、電源レギュレータ356により、その電圧が安定化されて、CPU101、メモリアクセス制御部102、リセット回路104、タンパ監視回路105−1乃至105−6、電池電圧検知器358、および、記憶部103に供給される。従って、主電源14または電池351のいずれか一方からの電力の供給が停止されても、CPU101、メモリアクセス制御部102、リセット回路104、タンパ監視回路105−1乃至105−6、電池電圧検知器358、および、記憶部103に安定化された電力が供給される。
また、コンデンサ355は、主電源14または電池351により電力が供給されている場合、主電源14または電池351により所定の電圧に充電される。そして、主電源14および電池351からの電力の供給が停止された場合、コンデンサ355に蓄えられた電力が、電源レギュレータ356を介して、CPU101、メモリアクセス制御部102、リセット回路104、タンパ監視回路105−1乃至105−6、電池電圧検知器358、および、スイッチ359を介して、記憶部103に供給される。コンデンサ355は、例えば、スーパーキャパシタ(電気二重層キャパシタ)により構成され、CPU101、メモリアクセス制御部102、リセット回路104、タンパ監視回路105−1乃至105−6、電池電圧検知器358、および、記憶部103に所定の時間(例えば、30〜40分)以上の電力の供給が可能な蓄電容量を持つ。
電池電圧検知器358は、入力端子T11に入力される電圧、すなわち、電池351により抵抗357に印加される電圧を検知することにより、電池351の取り外しを検出する。電池電圧検知器358は、入力端子T11の電圧が所定の閾値以下になった場合、内部の図示せぬカウンタを用いて時間の計測を開始し、入力端子T11の電圧が閾値以下の状態が所定の時間継続した場合、出力端子T12の電圧をHighレベル(例えば、5V)からLowレベル(例えば、0V)に変化させる。
スイッチ359は、タンパ監視回路105−1乃至105−6からの監視信号、および、電池電圧検知器358の出力信号の電圧のうち1つでも所定の閾値以下になった場合、オフされ、電源制御部106から記憶部103への電力の供給が停止される。
ここで、図11を参照して、電源制御部106の動作の例を説明する。図11は、主電源14がオフされており、かつ、タンパ監視回路105−1乃至105−6によりタンパ行為が検出されていない状態において、電池351が電池ソケット352から取り外された場合の電池電圧検知器358の端子T11,T12、および、電源制御部106から記憶部103への出力電圧の変化の例を示す図である。なお、時刻t11は、電池351が電池ソケット352から取り外された時刻を示す。
時刻t11以前の電池351が取り付けられた状態においては、電池351により、電池電圧検知器358の入力端子T11に正の電圧が入力され、出力端子T12からHighレベルの電圧がスイッチ359に入力される。また、タンパ監視回路105−1乃至105−6によりタンパ行為が検出されておらず、タンパ監視回路105−1乃至105−6から正の電圧がスイッチ359に入力されているため、スイッチ359はオンの状態となり、電源レギュレータ356の出力端子T2から出力された電力が、スイッチ359を介して、記憶部103に供給される。また、このとき、電源レギュレータ356の出力端子T2から出力された電力は、CPU101、メモリアクセス制御部102、リセット回路104、タンパ監視回路105−1乃至105−6、および、電池電圧検知器358にも供給される。
時刻t11において、電池351が電池ソケット352から取り外された場合、電池電圧検知器358の入力端子T11に入力される電圧が、ほぼ0Vとなり、電池電圧検知器358は、内部のカウンタを用いて、時間の計測を開始する。また、コンデンサ355が放電を開始し、コンデンサ355に蓄積されている電力が、電源レギュレータ356を介して、CPU101、メモリアクセス制御部102、リセット回路104、タンパ監視回路105−1乃至105−6、および、電池電圧検知器358に供給される。
時刻t11において電池電圧検知器358が時間の計測を開始してから、所定の時間Taが経過した時刻t12において、電池電圧検知器358は、出力端子T12の電圧をHighレベルからLowレベルに変化させる。これにより、スイッチ359がオフされ、記憶部103への電力の供給が停止される。これにより、記憶部103のRAM171に記憶されているデータが消去される。
なお、時刻t12以降も、CPU101、メモリアクセス制御部102、リセット回路104、タンパ監視回路105−1乃至105−6、および、電池電圧検知器358には、電源レギュレータ356を介して、コンデンサ355から電力が継続して供給される。従って、電池351が取り外されても、タンパ監視回路105−1乃至105−6によるタンパ行為の監視が継続して行われる。
なお、電池電圧検知器358は、時間Taの間に電池351が取り付けられ、入力端子T11に入力される電圧が、所定の閾値を超えた場合、内部のカウンタによる時間の計測を停止する。従って、時間Taを適切に設定することにより、主電源14をオフした状態においても、RAM171のデータを消去させることなく、電池351を交換することができる。なお、電池351の交換を考慮しなくてもよい場合、時間Taを設けずに、時刻t11において、スイッチ359をオフするようにしてもよい。
次に、図12乃至図14を参照して、リーダライタ1の処理を説明する。
まず、図12のフローチャートを参照して、リーダライタ1により実行されるスクランブル鍵生成処理について説明する。なお、この処理は、例えば、ユーザが、スイッチ141を押下したとき開始される。
ステップS1において、乱数出力器143は、疑似乱数を出力する。具体的には、スイッチ141は、押下されたことを示す信号をスクランブル鍵変更指令器142に供給する。スクランブル鍵変更指令器142は、スクランブル鍵の変更の指令を示す信号をスイッチ202に供給し、スイッチ202をオンさせる。乱数生成器201は、リーダライタ1の主電源14がオンになっている間、常に疑似乱数を生成しており、スイッチ202がオンされることにより、スイッチ202を介して、乱数生成器201からスクランブル鍵バッファ161への疑似乱数の出力が開始される。スイッチ202は、乱数生成器201から疑似乱数がnビット出力されたとき、オフとなる。
ステップS2において、バススクランブル器144は、スクランブル鍵を設定し、スクランブル鍵生成処理は終了する。具体的には、スクランブル鍵バッファ161は、乱数出力器143から供給されたnビットのビット列からなる疑似乱数をスクランブル鍵として内部のレジスタに保持する。また、スクランブル鍵バッファ161は、内部メモリ162にスクランブル鍵を供給し、記憶させる。すなわち、スクランブル鍵が内部メモリ162にバックアップされる。
これにより、簡単に、各制御モジュール13に対して、それぞれ値が異なり、かつ、予測が困難なスクランブル鍵を設定することができる。なお、このスクランブル鍵設定処理は、例えば、リーダライタ1を工場から出荷する前に行われる。
次に、図13のフローチャートを参照して、リーダライタ1により実行されるメモリアクセス制御処理を説明する。なお、この処理は、例えば、リーダライタ1の主電源14がオンされたとき開始される。
ステップS31において、スクランブル鍵バッファ161は、リーダライタ1の主電源14がオンされることにより、リセット回路104へのリセット指令信号の供給を開始する。
ステップS32において、リセット回路104は、CPU101へのリセット信号の供給を開始し、CPU101をリセットする。これにより、CPU101の状態が初期化される。
ステップS33において、スクランブル鍵バッファ161は、内部メモリ162に保持されているスクランブル鍵を読み出す。スクランブル鍵バッファ161は、読み出したスクランブル鍵を内部のレジスタに保持する。
ステップS34において、スクランブル鍵バッファ161は、リセット回路104へのリセット指令信号の供給を停止する。これに伴い、リセット回路104は、CPU101へのリセット信号の供給を停止し、CPU101は、プログラムの実行を開始する。
ステップS35において、CPU101は、データを書き込むかを判定する。CPU101は、実行中のプログラムにおいて、次の処理がデータの書き込みを行う処理でない場合、データを書き込まないと判定し、処理はステップS36に進む。
ステップS36において、CPU101は、データを読み出すかを判定する。CPU101は、実行中のプログラムにおいて、次の処理がデータの読み出しを行う処理でない場合、データを読み出さないと判定し、処理はステップS35に戻る。
その後、ステップS35において、データを書き込むと判定されるか、ステップS36においてデータを読み出すと判定されるまで、ステップS35およびS36の処理が繰り返し実行される。
ステップS35においてCPU101は、実行中のプログラムにおいて、次の処理がデータの書き込みを行う処理である場合、データを書き込むと判定し、処理はステップS37に進む。
ステップS37において、CPU101は、データの書き込みを指令する。具体的には、CPU101は、データの論理的な書き込み位置を表す論理アドレスを示す論理アドレス信号を、アドレスバス121を介してアドレスバススクランブル回路152に供給するとともに、書き込むデータを含み、データの書き込みの指令を示す書き込み信号を、データバス123を介して記憶部103に供給する。
ステップS38において、アドレスバススクランブル回路152は、論理アドレスを物理アドレスに変換する。具体的には、アドレスバススクランブル回路152は、論理アドレス信号により示される論理アドレスとスクランブル鍵バッファ161に保持されているスクランブル鍵との排他的論理和をビット毎に取り、論理アドレスにスクランブルをかけることにより、論理アドレスを物理アドレスに変換する。アドレスバススクランブル回路152は、変換後の物理アドレスを示す物理アドレス信号を、アドレスバス122を介して記憶部103に供給する。
ステップS39において、記憶部103は、データを書き込む。具体的には、RAM171または不揮発性メモリ172は、物理アドレス信号に示されるRAM171または不揮発性メモリ172上の物理アドレスに、CPU101から供給された書き込み信号に含まれるデータを書き込む。これにより、CPU101から連続した論理アドレスへのデータの書き込みが指令されても、実際には、ランダムに配置されるようにRAM171または不揮発性メモリ172にデータが書き込まれるため、RAM171または不揮発性メモリ172に格納されているデータの内容を解析したり、改ざんしたりすることが困難となる。
その後、処理はステップS35に戻り、ステップS35以降の処理が実行される。
ステップS36において、CPU101は、実行中のプログラムにおいて、次の処理がデータの読み出しを行う処理である場合、データを読み出すと判定し、処理はステップS40に進む。
ステップS40において、CPU101は、データの読み出しを指令する。具体的には、CPU101は、データの論理的な読み出し位置を表す論理アドレスを示す論理アドレス信号を、アドレスバス121を介してアドレスバススクランブル回路152に供給するとともに、データの読み出しの指令を示す読み出し信号を、データバス123を介して記憶部103に供給する。
ステップS41において、上述したステップS38の処理と同様に、論理アドレスが物理アドレスに変換され、変換後の物理アドレスを示す物理アドレス信号が、アドレスバス122を介して、アドレスバススクランブル回路152から記憶部103に供給される。
ステップS42において、記憶部103は、データを読み出す。具体的には、RAM171または不揮発性メモリ172は、物理アドレス信号により示される物理アドレスに記憶されているデータを読み出し、読み出したデータを、データバス123を介して、CPU101に供給する。
その後、処理はステップS35に戻り、ステップS35以降の処理が実行される。
以上のように、各制御モジュール13に異なるスクランブル鍵を簡単に設定することができるため、たとえ、1台の制御モジュール13に設定されているスクランブル鍵が解析されたとしても、そのスクランブル鍵を用いて、他の制御モジュール13のRAM171および不揮発性メモリ172に記憶されているデータの解析や改ざんをすることができない。従って、データの流出や改ざんの被害を最小限に抑えることができる。
また、疑似乱数の生成方法およびアドレスのスクランブル方法については、従来の技術をそのまま使用することができ、新たに複雑な回路を設ける必要がなく、スクランブル鍵の変更の指令を入力する以外にユーザの手間も増えないため、簡単にRAM171および不揮発性メモリ172上のデータのセキュリティを向上させることができる。
次に、図14のフローチャートを参照して、リーダライタ1により実行されるタンパ行為監視処理を説明する。なお、この処理は、例えば、工場出荷後に、リーダライタ1の使用が開始されたとき開始される。
ステップS61において、電池電圧検知器358は、電池351からの電力の供給が停止されたかを判定する。図10および図11を参照して上述したように、電池電圧検知器358は、例えば、電池351が電池ソケット352から取り外され、入力端子T11の電圧が所定の閾値を超える状態から閾値以下になった場合、電池351からの電力の供給が停止されたと判定し、処理はステップS62に進む。
ステップS62において、電池電圧検知器358は、内部の図示せぬカウンタを用いて、時間の計測を開始する。
その後、処理はステップS61に戻り、ステップS61以降の処理が実行される。
ステップS61において、電池電圧検知器358は、入力端子T11の電圧が閾値を超えている場合、または、入力端子T11の電圧が閾値以下の状態が継続している場合、電池351から電力が供給されている、または、電池351からの電力の供給が停止された状態が継続していると判定し、処理はステップS63に進む。
ステップS63において、電池電圧検知器358は、電池351からの電力の供給が再開されたかを判定する。具体的には、電池電圧検知器358は、入力端子T11の電圧が閾値以下の状態から閾値を超える状態に変化した場合、電池351からの電力の供給が再開されたと判定し、処理はステップS64に進む。
ステップS64において、電池電圧検知器358は、内部の図時せぬカウンタによる時間の計測を停止する。
その後、処理はステップS61に戻り、ステップS61以降の処理が実行される。
ステップS63において、電池電圧検知器358は、入力端子T11の電圧が閾値を超える状態が継続している場合、または、閾値以下の状態が継続している場合、電池351から電力が供給されている状態が継続している、または、電池351からの電力の供給が停止された状態が継続していると判定し、処理はステップS65に進む。
ステップS65において、電池電圧検知器358は、電池351からの電力の供給が停止されてから所定の時間が経過したかを判定する。電池電圧検知器358は、内部のカウンタの値が所定の時間以上になっている場合、電池351からの電力の供給が停止されてから所定の時間が経過したと判定し、処理はステップS66に進む。
ステップS66において、電源制御部106は、メモリへの電力の供給を停止し、タンパ行為監視処理は終了する。具体的には、電池電圧検知器358は、出力端子T12の電圧をHighレベルからLowレベルに変化させる。これにより、スイッチ359がオフされ、電源レギュレータ356から記憶部103への電力の供給が停止される。これにより、記憶部103のRAM171に記憶されているデータが消去される。
ステップS65において、電池電圧検知器358は、内部のカウンタの値が所定の時間未満である場合、電池351からの電力の供給が停止されてから所定の時間が経過していない、または、電池351からの電力の供給が停止されていないと判定し、処理はステップS67に進む。
ステップS67において、電源制御部106は、筐体31に対してタンパ行為が行われたかを判定する。具体的には、図8および図9を参照して上述したように、筐体31の開放や破壊などにより、電源制御部106とタンパ監視回路105内のMOSFET(図8のタンパ監視回路105−1の場合、MOSFET304)のゲートとの間が断線された場合、断線されたタンパ監視回路105から出力される監視信号の電圧がほぼ0Vになる。電源制御部106は、タンパ監視回路105−1乃至105−6の監視信号の電圧のうち1つでも所定の閾値以下になった場合、筐体31に対してタンパ行為が行われたと判定し、処理はステップS68に進む。
ステップS68において、電源制御部106は、メモリへの電力の供給を停止する。具体的には、タンパ監視回路105−1乃至105−6の監視信号の電圧のうち1つでも所定の閾値以下になることにより、スイッチ359がオフされ、電源レギュレータ356から記憶部103への電力の供給が停止される。これにより、記憶部103のRAM171に記憶されているデータが消去される。
ステップS69において、メモリアクセス制御部102は、スクランブル鍵を変更し、タンパ行為監視処理は終了する。具体的には、スクランブル鍵変更指令器142は、タンパ監視回路105−1乃至105−6の監視信号の電圧のうち1つでも所定の閾値以下になった場合、スクランブル鍵の変更の指令を示す信号を乱数出力器143のスイッチ202に供給し、スイッチ202をオンさせる。スイッチ202がオンされることにより、スイッチ202を介して、乱数生成器201からスクランブル鍵バッファ161への疑似乱数の出力が開始される。スイッチ202は、乱数生成器201から疑似乱数がnビット出力されたとき、オフとなる。スクランブル鍵バッファ161は、乱数出力器143から供給されたnビットのビット列からなる疑似乱数を新たなスクランブル鍵として内部のレジスタに保持する。また、スクランブル鍵バッファ161は、内部メモリ162にスクランブル鍵を供給し、記憶させる。
なお、ステップS69において、アドレスのスクランブルが行われないためスクランブル鍵として用いられることがない、全て0からなる値を強制的にスクランブル鍵に設定するようにしてもよい。
ステップS67において、筐体31に対してタンパ行為が行われていないと判定された場合、処理はステップS61に戻り、ステップS61以降の処理が実行される。
このようにして、例えば、タンパ監視回路105−1乃至105−6の動作を停止させる目的で電池351が取り外されても、タンパ監視回路105−1乃至105−6が継続して動作するので、制御モジュール13の耐タンパ性を向上させることができる。また、電池351が取り外されてから所定の時間が経過した場合、RAM171のデータが消去されるので、耐タンパ性をさらに向上させることができる。
さらに、筐体31の開放や破壊などのタンパ行為が確実に検出され、タンパ行為が検出された場合、RAM171のデータが消去されるため、さらに耐タンパ性を向上させることができる。
また、タンパ行為が検出された場合、スクランブル鍵が変更されるため、たとえRAM171のデータが消去されなくても、ICE(In-Circuit Emulator)などを用いたRAM171上のデータの解析を困難にすることができる。
なお、以上の説明では、揮発性のメモリであるRAM171のデータを保護する例を示したが、例えば、電池351の取り外し、筐体の開放や破壊などが検出された場合に、不揮発性のメモリのデータを消去または破壊することにより、不揮発性のメモリのデータを保護するようにすることも可能である。なお、揮発性メモリのデータを消去する場合、不揮発性メモリのデータを消去する場合と比較して、CPU等のプロセッサを動作させる必要がないため、より少ない電力でデータを消去することができる。従って、コンデンサ355の容量を低く抑えることができる。
また、保護基板を、図3に示されるような単層構造ではなく、多層構造とするようにして、各層に配線のパターンを設けるようにしてもよい。
さらに、保護基板上の電線の配線パターンは、上述した例に限定されるものではなく、筐体31の面の長さまたは幅に対して十分細い電線が、筐体31の面の長さまたは幅に対して十分狭い間隔で前記筐体のほぼ全面を覆うように配線されるようにすればよい。
また、必ずしも保護基板上に電線を設ける必要はなく、例えば、筐体31の内面上に設けたり、筐体の外面と内面との間に設けるようにしてもよい。
さらに、本発明の実施の形態においては、制御モジュール13を、主電源14を用いずに電池351のみで動作させるようにすることも可能である。
また、本発明の実施の形態における電池351の取り外しに対する対策は、上述したタンパ監視回路105−1乃至105−6に限らず、動作させるために電力の供給が必要なタンパ監視回路、例えば、誤動作を目的にした熱による攻撃を監視する温度監視回路などに対して有効である。
さらに、以上の説明では、保護基板ごとにタンパ監視回路105を設けるようにしたが、例えば、複数の保護基板の電線を直列に接続することにより、タンパ監視回路の数を削減するようにしてもよい。
また、電池351の取り外しが検出された場合、タンパ監視回路105によりタンパ行為が検出された場合と同様に、スクランブル鍵を変更するようにしてもよい。
さらに、以上の説明では、Gold系列の疑似乱数をスクランブル鍵に用いる例を示したが、スクランブル鍵に用いる乱数または疑似乱数は上述した例に限定されるものではなく、例えば、LFSRを1個だけ用いて得られるM系列の疑似乱数を用いたり、熱雑音を利用した物理乱数を用いるようにしてもよい。
また、アドレスにスクランブルをかける方法も上述した例に限定されるものではなく、乱数または疑似乱数により設定されたスクランブル鍵を用いた他の方法を適用するようにしてもよい。
さらに、以上の説明では、リーダライタ1と通信する相手としてICカード2を例に挙げたが、もちろん、リーダライタ1は、非接触ICカード機能を有する装置、例えば、非接触ICカード機能を有する携帯電話機、携帯情報端末(Personal Digital Assistants)、時計、コンピュータなどと通信することが可能である。
また、図5のメモリアクセス制御部102を、リーダライタ以外の、メモリのデータを読み書きする他の装置に適用することも可能である。
さらに、本発明の実施の形態は、上述した実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲において種々の変更が可能である。
本発明を適用したリーダライタの一実施の形態を示すブロック図である。 図1の制御モジュールの外観の構成の例を示す断面図である。 図2の保護基板の一つの面の構成の例を示す図である。 図2の保護基板の他の面の構成の例を示す図である。 図1の制御モジュールの機能的構成を示すブロック図である。 図5の乱数出力器の機能的構成を示すブロック図である。 図5のバススクランブル器の機能的構成の詳細を示すブロック図である。 図5のタンパ監視回路の構成の例を示す図である。 図5のタンパ監視回路の動作の例を説明するための図である。 図5の電源制御部の回路の構成の例を示す図である。 図5の電源制御部の動作の例を説明するための図である。 図1のリーダライタにより実行されるスクランブル鍵生成処理を説明するためのフローチャートである。 図1のリーダライタにより実行されるメモリアクセス制御処理を説明するためのフローチャートである。 図1のリーダライタにより実行されるタンパ行為監視処理を説明するためのフローチャートである。
符号の説明
1 リーダライタ, 2 ICカード, 13 制御モジュール, 14 主電源, 31 筐体, 32 メイン基板, 33乃至36 保護基板, 41乃至44 コネクタ, 51 電線, 101 CPU, 102 メモリアクセス制御部, 103 記憶部, 105 タンパ監視回路, 106 電源制御部, 142 スクランブル鍵変更指令器, 143 乱数出力器, 144 バススクランブル器, 151 スクランブル鍵保持部, 152 アドレスバススクランブル回路, 161 スクランブル鍵バッファ, 162 内部メモリ, 171 RAM, 172 不揮発性メモリ, 201 乱数生成器, 202 スイッチ, 301乃至303 抵抗, 304 MOSFET, 305 比較電圧源素子, 306 電圧比較器, 351 電池, 352 電池ソケット, 355 コンデンサ, 356 電源レギュレータ, 358 電池電圧検知器, 359 スイッチ

Claims (5)

  1. 揮発性のメモリと、
    前記メモリに格納されているデータに対する不正行為を監視する監視手段と、
    前記監視手段および前記メモリに電力を供給する主電源がオフされた場合に前記監視手段および前記メモリに電力を供給するバックアップ電源と、
    前記主電源または前記バックアップ電源により充電され、前記主電源および前記バックアップ電源からの電力の供給が停止された場合前記監視手段および前記メモリに電力を供給する蓄電手段と
    前記蓄電手段からの電力により動作可能で、前記バックアップ電源からの電力の供給が停止した状態が設定時間継続した場合、前記蓄電手段から前記メモリへの電力の供給を停止させる電力供給制御手段と
    を含むデータ記憶装置。
  2. 前記蓄電手段は、前記バックアップ電源からの電力の供給が停止された状態が前記設定時間継続した後も、前記監視手段への電力の供給を継続する
    請求項1に記載のデータ記憶装置。
  3. 前記バックアップ電源は電池であり、前記蓄電手段はコンデンサである
    請求項1に記載のデータ記憶装置。
  4. 揮発性のメモリ、および、前記メモリに格納されているデータに対する不正行為を監視する監視手段を有するデータ記憶装置の電力制御方法において、
    前記監視手段および前記メモリに電力を供給する主電源、または、前記主電源がオフされた場合に前記監視手段および前記メモリに電力を供給するバックアップ電源により蓄電手段を充電し、
    前記主電源および前記バックアップ電源からの電力の供給が停止された場合、前記蓄電手段から前記監視手段および前記メモリに電力を供給し、
    前記バックアップ電源からの電力の供給が停止した状態が設定時間継続した場合、前記蓄電手段から前記メモリへの電力の供給を停止させる
    電力制御方法。
  5. 非接触ICカード機能を有する装置と通信を行う通信手段と、
    前記非接触ICカード機能を有する装置から読み出したデータを格納する揮発性のメモリと、
    前記メモリに格納されているデータに対する不正行為を監視する監視手段と、
    前記監視手段および前記メモリに電力を供給する主電源がオフされた場合に前記監視手段および前記メモリに電力を供給するバックアップ電源と、
    前記主電源または前記バックアップ電源により充電され、前記主電源および前記バックアップ電源からの電力の供給が停止された場合前記監視手段および前記メモリに電力を供給する蓄電手段と
    前記蓄電手段からの電力により動作可能で、前記バックアップ電源からの電力の供給が停止した状態が設定時間継続した場合、前記蓄電手段から前記メモリへの電力の供給を停止させる電力供給制御手段と
    を含む通信装置。
JP2006205714A 2006-07-28 2006-07-28 データ記憶装置、電力制御方法、並びに、通信装置 Expired - Fee Related JP4984721B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2006205714A JP4984721B2 (ja) 2006-07-28 2006-07-28 データ記憶装置、電力制御方法、並びに、通信装置
US11/782,403 US7873853B2 (en) 2006-07-28 2007-07-24 Data storage apparatus, power control, method, and communication apparatus
CNB2007101376178A CN100573478C (zh) 2006-07-28 2007-07-27 数据存储装置、电源控制方法、以及通信装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006205714A JP4984721B2 (ja) 2006-07-28 2006-07-28 データ記憶装置、電力制御方法、並びに、通信装置

Publications (3)

Publication Number Publication Date
JP2008033594A JP2008033594A (ja) 2008-02-14
JP2008033594A5 JP2008033594A5 (ja) 2009-08-13
JP4984721B2 true JP4984721B2 (ja) 2012-07-25

Family

ID=38987817

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006205714A Expired - Fee Related JP4984721B2 (ja) 2006-07-28 2006-07-28 データ記憶装置、電力制御方法、並びに、通信装置

Country Status (3)

Country Link
US (1) US7873853B2 (ja)
JP (1) JP4984721B2 (ja)
CN (1) CN100573478C (ja)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2093701A1 (en) * 2006-11-14 2009-08-26 Panasonic Corporation Reader/writer device for noncontact ic card, communication system and noncontact communication method
JP2010098600A (ja) * 2008-10-17 2010-04-30 Panasonic Corp 非接触通信装置
US8201267B2 (en) * 2008-10-24 2012-06-12 Pitney Bowes Inc. Cryptographic device having active clearing of memory regardless of state of external power
EP2211289A1 (en) * 2009-01-22 2010-07-28 Robert Bosch GmbH Method and control device for protecting a sensor against manipulation
JP5290052B2 (ja) * 2009-05-20 2013-09-18 新潟原動機株式会社 データ収集装置
DE102011010319A1 (de) * 2011-02-03 2012-08-09 Rwe Ag Ladestation und Verfahren zum Sichern einer Ladestation
JP5742362B2 (ja) * 2011-03-28 2015-07-01 富士通株式会社 退避処理装置
US9269418B2 (en) * 2012-02-06 2016-02-23 Arm Limited Apparatus and method for controlling refreshing of data in a DRAM
US9323957B2 (en) * 2013-03-01 2016-04-26 Marvell World Trade Ltd. Anti-tamper system based on dual random bits generators for integrated circuits
JP2013140625A (ja) * 2013-03-21 2013-07-18 Niigata Power Systems Co Ltd データ収集装置
JP5622341B2 (ja) * 2013-09-25 2014-11-12 東プレ株式会社 データの安全ケース
CN105245755A (zh) * 2014-07-11 2016-01-13 山东新北洋信息技术股份有限公司 介质输送控制方法及装置和馈纸式扫描装置
JP5774177B2 (ja) * 2014-09-20 2015-09-02 東プレ株式会社 データの安全ケース
US9569641B2 (en) * 2015-03-24 2017-02-14 Nxp Usa, Inc. Data processing system with temperature monitoring for security
US20180319007A1 (en) * 2017-05-04 2018-11-08 Travis Wilkinson Automated Mechanic Creeper
JP7066394B2 (ja) * 2017-12-15 2022-05-13 Dynabook株式会社 電源システム
US11013340B2 (en) 2018-05-23 2021-05-25 L&P Property Management Company Pocketed spring assembly having dimensionally stabilizing substrate
US11093599B2 (en) * 2018-06-28 2021-08-17 International Business Machines Corporation Tamper mitigation scheme for locally powered smart devices
EP3871313A4 (en) * 2018-10-23 2022-08-24 2449049 Ontario Inc. HYBRID BACKUP POWER STORAGE SYSTEM
CN109660247B (zh) * 2018-12-11 2021-06-04 上海安路信息科技股份有限公司 片内电压调节器间的时序控制系统及时序控制方法
CN114815952B (zh) * 2021-01-18 2024-03-01 瑞昱半导体股份有限公司 能应用于通过动态电压改变来进行系统保护的集成电路
US11273074B1 (en) * 2021-03-24 2022-03-15 Stroma Medical Corporation Systems and methods for for physical and electronic security of medical devices

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0629869A (ja) * 1992-07-09 1994-02-04 Icom Inc 電子機器の改造防止構造
JP3600266B2 (ja) * 1994-04-08 2004-12-15 株式会社ルネサステクノロジ 非接触icカードインタフェース装置及びそれを用いた通信システム
US5513337A (en) 1994-05-25 1996-04-30 Intel Corporation System for protecting unauthorized memory accesses by comparing base memory address with mask bits and having attribute bits for identifying access operational mode and type
EP0964361A1 (en) * 1998-06-08 1999-12-15 International Business Machines Corporation Protection of sensitive information contained in integrated circuit cards
JP3480675B2 (ja) * 1998-06-08 2003-12-22 日本電信電話株式会社 Icカード
JP2000076139A (ja) * 1998-08-28 2000-03-14 Nippon Telegr & Teleph Corp <Ntt> 携帯型情報記憶媒体
JP2000268141A (ja) * 1999-03-15 2000-09-29 Ntt Data Corp プリペイドカード用読書装置
US6396400B1 (en) * 1999-07-26 2002-05-28 Epstein, Iii Edwin A. Security system and enclosure to protect data contained therein
US6715078B1 (en) * 2000-03-28 2004-03-30 Ncr Corporation Methods and apparatus for secure personal identification number and data encryption
JP2005202719A (ja) 2004-01-16 2005-07-28 Dainippon Printing Co Ltd 特定情報を所定時間後に消去するicカード
JP4257268B2 (ja) 2004-06-22 2009-04-22 埼玉日本電気株式会社 非接触icカード機能付き携帯電話端末と電池残容量による機能制限方法
JP4244905B2 (ja) * 2004-10-18 2009-03-25 サクサ株式会社 メモリデータ制御装置
TWI250768B (en) * 2004-11-01 2006-03-01 Inventec Appliances Corp Method and device to combine mobile phone with contactless IC card

Also Published As

Publication number Publication date
US20080028247A1 (en) 2008-01-31
JP2008033594A (ja) 2008-02-14
CN100573478C (zh) 2009-12-23
US7873853B2 (en) 2011-01-18
CN101114258A (zh) 2008-01-30

Similar Documents

Publication Publication Date Title
JP4984721B2 (ja) データ記憶装置、電力制御方法、並びに、通信装置
JP4349389B2 (ja) データ記憶装置、および、通信装置
US20080025506A1 (en) Memory access control apparatus and method, and communication apparatus
US8656185B2 (en) High-assurance processor active memory content protection
JP3184228B2 (ja) チップカード
US20120278579A1 (en) Self-Initiated Secure Erasure Responsive to an Unauthorized Power Down Event
CA2687582C (en) Cryptoprocessor with improved data protection
US10489614B2 (en) Tamper detecting cases
US8331189B1 (en) Tamper-protected DRAM memory module
US20140020097A1 (en) Method of detecting fault attack
US7821841B2 (en) Method of detecting a light attack against a memory device and memory device employing a method of detecting a light attack
US20070299894A1 (en) Random number generating apparatus, random number generating control method, memory access control apparatus, and communication apparatus
US7752407B1 (en) Security RAM block
JP2008003976A (ja) メモリアクセス制御装置および方法、並びに、通信装置
JP6293648B2 (ja) メモリデバイス
KR101025421B1 (ko) 전자기분석 공격을 방지하기 위한 스마트 카드 시스템
JP5160940B2 (ja) ハードディスク装置
CN111737773A (zh) 具有se安全模块功能的嵌入式安全存储器
EP1435558A1 (en) On-device random number generator
KR101612562B1 (ko) 집적 회로 및 전자 기기
JP6396119B2 (ja) Icモジュール、icカード、及びicカードの製造方法
WO2008099348A2 (en) Semiconductor device identifier generation
TW200409040A (en) Chip having attack protection
EP4439366A1 (en) A device for secure storage of data
JP2014146256A (ja) 不揮発性メモリが記憶するデータを保護する方法およびコンピュータ

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090629

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090629

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111024

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111027

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111213

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120403

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120416

R151 Written notification of patent or utility model registration

Ref document number: 4984721

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150511

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees