JP5398867B2 - Information management apparatus, information management system, information management method and program - Google Patents

Information management apparatus, information management system, information management method and program Download PDF

Info

Publication number
JP5398867B2
JP5398867B2 JP2012072904A JP2012072904A JP5398867B2 JP 5398867 B2 JP5398867 B2 JP 5398867B2 JP 2012072904 A JP2012072904 A JP 2012072904A JP 2012072904 A JP2012072904 A JP 2012072904A JP 5398867 B2 JP5398867 B2 JP 5398867B2
Authority
JP
Japan
Prior art keywords
encrypted data
communication unit
information
information management
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012072904A
Other languages
Japanese (ja)
Other versions
JP2013206021A (en
Inventor
哲郎 石合
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2012072904A priority Critical patent/JP5398867B2/en
Publication of JP2013206021A publication Critical patent/JP2013206021A/en
Application granted granted Critical
Publication of JP5398867B2 publication Critical patent/JP5398867B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、情報管理装置及び情報管理システム及び情報管理方法及びプログラムに関するものである。本発明は、特に、電子マネーシステム、IC(集積回路)カード応用システム、プリペイドカードシステム等、外部に漏洩してはならない機密情報を扱うシステムで使用されるセキュリティ装置の盗難防止機構に関するものである。   The present invention relates to an information management apparatus, an information management system, an information management method, and a program. The present invention particularly relates to an anti-theft mechanism for a security device used in a system that handles confidential information that should not be leaked to the outside, such as an electronic money system, an IC (integrated circuit) card application system, and a prepaid card system. .

近年、電子マネーシステム、ICカード応用システム、プリペイドカードシステム等、その内部で機密情報を扱うシステムが多数開発されている。そのようなシステムにおいては、システムを制御する装置の内部に機密情報を保管している。また、その保管している機密情報に対するアクセスを制御するための制御情報として、当該装置と他の装置との間での相互認証や、装置間の通信を秘匿するための情報も装置内部に保持している。この制御情報も外部に漏洩してはならないものであるため、機密情報の一部であるといえる。   In recent years, many systems that handle confidential information have been developed, such as an electronic money system, an IC card application system, and a prepaid card system. In such a system, confidential information is stored inside an apparatus that controls the system. Also, as control information for controlling access to the confidential information stored in the device, mutual authentication between the device and other devices and information for concealing communication between devices are also held inside the device. doing. Since this control information should not be leaked to the outside, it can be said that it is a part of confidential information.

従来、機密情報への不正なアクセスを抑止する方法として、装置への外部給電が絶たれたことを装置の盗難とみなして、装置内部の機密情報を消去する方法が考案されている(例えば、特許文献1参照)。しかし、この方法では、停電により外部給電が絶たれる場合と盗難により外部給電が絶たれる場合とを区別できないため、停電時にも機密情報が消去され、装置が使用不可となるという課題があった。対策として、外部給電が絶たれたときに、装置に振動が加わったことを装置の盗難とみなして、装置内部の機密情報を消去する方法が考えられている(例えば、特許文献2参照)。   Conventionally, as a method of preventing unauthorized access to confidential information, a method of erasing confidential information inside the device has been devised by regarding the fact that the external power supply to the device has been interrupted as theft of the device (for example, Patent Document 1). However, this method cannot distinguish between a case where the external power supply is cut off due to a power failure and a case where the external power supply is cut off due to theft. Therefore, there is a problem that confidential information is erased even during a power failure and the apparatus becomes unusable. As a countermeasure, there has been considered a method of erasing confidential information inside the device by regarding the device being stolen when vibration is applied to the device when external power supply is cut off (see, for example, Patent Document 2).

また、機密情報への不正なアクセスを抑止する別の方法として、GPS(全地球測位システム)を用いて定期的に装置の現在の位置情報を取得し、予め登録された設置時の位置情報と比較して装置の盗難を判定し、盗難時は装置内部の機密情報を消去する方法が考案されている(例えば、特許文献3参照)。   In addition, as another method of preventing unauthorized access to confidential information, the current position information of the apparatus is periodically acquired using GPS (Global Positioning System), and the position information at the time of installation registered in advance A method has been devised in which device theft is determined by comparison, and confidential information inside the device is erased during theft (see, for example, Patent Document 3).

特開2004−287984号公報JP 2004-287984 A 特開2006−301879号公報JP 2006-301879 A 特開2002−236619号公報JP 2002-236619 A

上記のように、従来技術においては、外部電源の切断、又は、外部電源の切断時の振動検知を契機として、装置内部の機密情報を消去することで、外部への機密情報の漏洩を抑止している。しかしながら、従来技術においては、装置を、停電時にも装置に振動が加わるような環境で使用した場合、やはり停電と盗難との区別ができないという課題があった。また、装置への攻撃者(機密情報を盗もうとする者)が、装置に振動を与えないように慎重に装置を持ち去った場合には、機密情報が消去されず、漏洩してしまう危険性があった。   As described above, in the prior art, leakage of confidential information to the outside is suppressed by erasing confidential information inside the device triggered by the detection of vibration when the external power supply is disconnected or when the external power supply is disconnected. ing. However, in the prior art, when the device is used in an environment in which vibration is applied to the device even during a power failure, there is still a problem that it is impossible to distinguish between a power failure and a theft. Also, if an attacker to the device (who tries to steal confidential information) carefully removes the device so as not to vibrate the device, there is a risk that confidential information will not be erased and leaked. was there.

また、別の従来技術においては、GPSの位置情報の変化を検知して、装置内部の機密情報を消去することで、外部への機密情報の漏洩を抑止している。しかしながら、この従来技術は、装置がGPSの衛星からの搬送波(位置情報)を受信できない環境においては、使用することができないという課題があった。また、装置への攻撃者が、装置の外部からGPSの搬送波を模擬した電波を放射しながら装置を持ち去った場合には、装置側で盗難を検知することができず、機密情報が漏洩してしまう危険性があった。   In another prior art, leakage of confidential information to the outside is suppressed by detecting a change in GPS position information and deleting confidential information inside the apparatus. However, this conventional technique has a problem that it cannot be used in an environment where the apparatus cannot receive a carrier wave (position information) from a GPS satellite. Also, if an attacker to the device takes away the device while emitting a radio wave simulating a GPS carrier wave from the outside of the device, the device cannot detect the theft and leaks confidential information. There was a risk of it.

本発明は、例えば、機密情報を保持する装置において、装置の盗難を確実に検知し、盗難時の機密情報の漏洩を抑止することを目的とする。   For example, an object of the present invention is to reliably detect theft of a device in a device holding confidential information and suppress leakage of confidential information during theft.

本発明の一の態様に係る情報管理装置は、
情報を記憶するメモリと、
外部の装置から繰り返し発信される暗号データを受信する通信部と、
前記通信部による前記暗号データの受信状況を監視するとともに、前記通信部により前記暗号データが受信される度に前記暗号データを復号して検証し、前記暗号データの受信が途絶えたと判定した場合、及び、前記暗号データの検証が失敗した場合に、前記メモリに記憶された情報を消去する情報消去部とを有する。 An information management apparatus according to one aspect of the present invention includes:
A memory for storing information;
A communication unit that receives encrypted data repeatedly transmitted from an external device;
When monitoring the reception status of the encrypted data by the communication unit, decrypting and verifying the encrypted data every time the encrypted data is received by the communication unit, and determining that the reception of the encrypted data is interrupted, And an information erasure unit for erasing information stored in the memory when the verification of the encrypted data fails.

本発明の一の態様によれば、機密情報を保持する装置(情報管理装置)において、装置の盗難を確実に検知し、盗難時の機密情報の漏洩を抑止することが可能となる。   According to one aspect of the present invention, in a device that holds confidential information (information management device), it is possible to reliably detect theft of the device and suppress leakage of confidential information during theft.

実施の形態1に係る情報管理システムの構成を示すブロック図。1 is a block diagram illustrating a configuration of an information management system according to Embodiment 1. FIG. 実施の形態1に係る監視装置の構成例を示す図。FIG. 3 is a diagram illustrating a configuration example of a monitoring device according to the first embodiment. 実施の形態1に係るセキュリティ装置の固有信号検証モジュールの構成例を示す図。FIG. 3 is a diagram illustrating a configuration example of a unique signal verification module of the security device according to the first embodiment. 実施の形態1に係るセキュリティ装置のハードウェア構成例を示す図。FIG. 3 is a diagram illustrating a hardware configuration example of the security device according to the first embodiment. 実施の形態2に係る情報管理システムの構成を示すブロック図。FIG. 3 is a block diagram showing a configuration of an information management system according to a second embodiment. 実施の形態3に係る情報管理システムの構成を示すブロック図。FIG. 4 is a block diagram illustrating a configuration of an information management system according to a third embodiment. 実施の形態4に係る情報管理システムの構成を示すブロック図。FIG. 6 is a block diagram illustrating a configuration of an information management system according to a fourth embodiment.

以下、本発明の実施の形態について、図を用いて説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

実施の形態1.
図1は、本実施の形態に係る情報管理システム10の構成を示すブロック図である。 Embodiment 1 FIG.
FIG. 1 is a block diagram showing a configuration of an information management system 10 according to the present embodiment.

図1において、情報管理システム10は、セキュリティ装置11(情報管理装置の一例)、監視装置20(外部の装置の一例)、外部電源30を備える。   In FIG. 1, the information management system 10 includes a security device 11 (an example of an information management device), a monitoring device 20 (an example of an external device), and an external power supply 30.

セキュリティ装置11は、電子マネーシステム、ICカード応用システム、プリペイドカードシステム等、外部に漏洩してはならない機密情報を扱うシステムを制御する装置である。セキュリティ装置11は、バッテリ12、電源スイッチ13、通信部14、固有信号検証モジュール15(情報消去部の一例)、揮発性メモリ16(メモリの一例)を有する。また、図示していないが、セキュリティ装置11は、電子マネーシステム、ICカード応用システム、プリペイドカードシステム等のシステムを制御するための機能部を有する。   The security device 11 is a device that controls a system that handles confidential information that should not be leaked to the outside, such as an electronic money system, an IC card application system, and a prepaid card system. The security device 11 includes a battery 12, a power switch 13, a communication unit 14, a unique signal verification module 15 (an example of an information erasure unit), and a volatile memory 16 (an example of a memory). Although not shown, the security device 11 has a functional unit for controlling a system such as an electronic money system, an IC card application system, and a prepaid card system.

バッテリ12は、外部電源30と電力線31により接続されている。バッテリ12は、電力線31を介して外部電源30から電力供給信号を受信し(電力の供給を受け)、電力を蓄積する。外部電源30は、セキュリティ装置11の設置場所から離れた建造物等の遠隔場所に配備される。なお、外部電源30は、セキュリティ装置11の設置場所に配備される給電設備(例えば、商用電源)であってもよい。   The battery 12 is connected to the external power source 30 by a power line 31. The battery 12 receives a power supply signal from the external power supply 30 via the power line 31 (receives power supply), and accumulates power. The external power supply 30 is deployed at a remote location such as a building away from the installation location of the security device 11. Note that the external power supply 30 may be a power supply facility (for example, a commercial power supply) provided at a place where the security device 11 is installed.

電源スイッチ13は、バッテリ12と同様に、外部電源30と電力線31により接続されている。電源スイッチ13は、電力線31を介して外部電源30から電力供給信号を受信する(電力の供給を受ける)。つまり、電源スイッチ13は、電力線31を介して外部給電を受ける。また、電源スイッチ13は、バッテリ12とも接続されている。電源スイッチ13は、外部電源30の停電時にはバッテリ12に蓄積された電力の供給を受ける。   Similarly to the battery 12, the power switch 13 is connected to the external power supply 30 and the power line 31. The power switch 13 receives a power supply signal from the external power supply 30 via the power line 31 (receives power supply). That is, the power switch 13 receives external power supply via the power line 31. The power switch 13 is also connected to the battery 12. The power switch 13 receives supply of electric power stored in the battery 12 when the external power supply 30 is powered off.

電源スイッチ13は、例えば手動により操作され、ON(オン)であれば外部給電の電力を固有信号検証モジュール15へ供給し、OFF(オフ)であれば固有信号検証モジュール15への給電を停止する。停電発生時には、外部給電が絶たれるため、電源スイッチ13は、ONであればバッテリ12からの電力を固有信号検証モジュール15へ供給し、OFFであれば固有信号検証モジュール15への給電を停止する。   The power switch 13 is operated manually, for example, and supplies power from the external power supply to the specific signal verification module 15 if the power switch 13 is ON (on), and stops power supply to the specific signal verification module 15 if it is OFF (off). . When a power failure occurs, the external power supply is cut off, so that the power switch 13 supplies power from the battery 12 to the specific signal verification module 15 if it is ON, and stops power supply to the specific signal verification module 15 if it is OFF. .

なお、停電発生時に、電源スイッチ13が固有信号検証モジュール15への電力供給源をバッテリ12に切り替えるのではなく、電源スイッチ13とは別にセキュリティ装置11に設けられた電源制御部(図示していない)が電力供給源を切り替えるようにしてもよい。この場合、電源スイッチ13はバッテリ12と接続されている必要はなく、電源制御部がバッテリ12及び電源スイッチ13と接続されていればよい。電源スイッチ13がONで電源スイッチ13からの給電がある場合、電源制御部は、外部給電の電力(電源スイッチ13から供給された電力)を固有信号検証モジュール15へ供給する。また、この場合、電源制御部は、外部給電の電力によりバッテリ12を充電する。電源スイッチ13がONで電源スイッチ13からの給電が絶たれた場合、電源制御部は、停電が発生したと判断し、固有信号検証モジュール15への電力供給源をバッテリ12に切り換える。つまり、この場合、電源制御部は、バッテリ12により固有信号検証モジュール15に電力を供給する。電源スイッチ13がOFFの場合、電源制御部は、バッテリ12が充電されていたとしても、固有信号検証モジュール15への給電を停止する。   When a power failure occurs, the power switch 13 does not switch the power supply source to the specific signal verification module 15 to the battery 12, but a power control unit (not shown) provided in the security device 11 separately from the power switch 13. ) May switch the power supply source. In this case, the power switch 13 does not need to be connected to the battery 12, and the power control unit may be connected to the battery 12 and the power switch 13. When the power switch 13 is ON and power is supplied from the power switch 13, the power supply control unit supplies externally supplied power (power supplied from the power switch 13) to the specific signal verification module 15. Further, in this case, the power supply control unit charges the battery 12 with electric power supplied from the outside. When the power switch 13 is ON and the power supply from the power switch 13 is cut off, the power control unit determines that a power failure has occurred and switches the power supply source to the specific signal verification module 15 to the battery 12. That is, in this case, the power supply control unit supplies power to the specific signal verification module 15 by the battery 12. When the power switch 13 is OFF, the power control unit stops power supply to the unique signal verification module 15 even if the battery 12 is charged.

通信部14は、監視装置20と信号線21により接続されており、監視装置20とLAN(Local・Area・Network)等の通信を行う。通信部14は、信号線21を介して監視装置20から暗号データを含む固有信号を受信する。監視装置20は、所定のタイミングで(例えば、10秒、30秒、1分といった一定時間ごとに)信号線21を介して固有信号を繰り返し発信する。監視装置20は、PC(パーソナルコンピュータ)やサーバコンピュータ等であり、外部電源30と同様に、遠隔場所に設置される。なお、監視装置20は、外部電源30と異なる場所に設置されてもよいが、セキュリティ装置11とともに盗み出すことが困難な場所に設置されることが望ましい。例えば、監視装置20は、セキュリティ装置11を収納する筐体やラック等に内蔵されてもよく、この場合、筐体やラック等は建物の外に持ち出せないように床等に固定されることが望ましい。セキュリティ装置11は、信号線21を切断しない限り、外部に持ち出せないようになっている。   The communication unit 14 is connected to the monitoring device 20 through a signal line 21 and communicates with the monitoring device 20 via a LAN (Local / Area / Network) or the like. The communication unit 14 receives a unique signal including encrypted data from the monitoring device 20 via the signal line 21. The monitoring device 20 repeatedly transmits a unique signal via the signal line 21 at a predetermined timing (for example, every fixed time such as 10 seconds, 30 seconds, 1 minute). The monitoring device 20 is a PC (personal computer), a server computer, or the like, and is installed at a remote location, like the external power supply 30. The monitoring device 20 may be installed at a location different from the external power supply 30, but is preferably installed at a location where it is difficult to steal together with the security device 11. For example, the monitoring device 20 may be built in a housing, a rack, or the like that houses the security device 11. In this case, the housing, the rack, or the like may be fixed to a floor or the like so that it cannot be taken out of a building. desirable. The security device 11 cannot be taken outside unless the signal line 21 is cut.

揮発性メモリ16は、例えばSRAM(Static・Random・Access・Memory)であり、機密情報(情報の一例)を記憶する。揮発性メモリ16は、通常時には外部給電により、停電時にはバッテリ12により電力を供給されて動作する。給電が絶たれると、揮発性メモリ16から機密情報が消失する。なお、揮発性メモリ16が記憶する情報は、機密情報に限らず、他の任意の情報であってよい。   The volatile memory 16 is, for example, an SRAM (Static / Random / Access / Memory), and stores confidential information (an example of information). The volatile memory 16 operates with external power supply during normal operation and power supplied by the battery 12 during a power failure. When the power supply is cut off, confidential information is lost from the volatile memory 16. The information stored in the volatile memory 16 is not limited to confidential information, and may be other arbitrary information.

固有信号検証モジュール15は、通信部14による固有信号の受信状況を監視する。具体的には、固有信号検証モジュール15は、通信部14が前述した所定のタイミングで固有信号を繰り返し受信しているかどうか監視し、通信部14が固有信号を受信すべきタイミングで受信していなければ(例えば、前回の受信から一定時間が経過したら)、固有信号の受信が途絶えたと判定する。固有信号検証モジュール15は、固有信号の受信が途絶えたと判定した場合、揮発性メモリ16に記憶された機密情報を消去する。   The unique signal verification module 15 monitors the reception status of the unique signal by the communication unit 14. Specifically, the unique signal verification module 15 monitors whether or not the communication unit 14 has repeatedly received the unique signal at the predetermined timing described above, and must have received the unique signal at the timing at which the communication unit 14 should receive the unique signal. If, for example, a certain time has elapsed since the previous reception, it is determined that the reception of the unique signal has been interrupted. When the unique signal verification module 15 determines that reception of the unique signal is interrupted, it erases confidential information stored in the volatile memory 16.

また、固有信号検証モジュール15は、通信部14により固有信号が受信される度に、固有信号に含まれる暗号データを復号して検証する。暗号データを復号して得られたデータが正規のデータであれば、検証は成功したことになり、正規のデータでなければ、検証は失敗したことになる。固有信号検証モジュール15は、暗号データの検証が失敗した場合、固有信号の受信が途絶えたと判定した場合と同様に、揮発性メモリ16に記憶された機密情報を消去する。   The unique signal verification module 15 decrypts and verifies the encrypted data included in the unique signal every time the unique signal is received by the communication unit 14. If the data obtained by decrypting the encrypted data is regular data, the verification is successful. If the data is not regular data, the verification is unsuccessful. The unique signal verification module 15 erases the confidential information stored in the volatile memory 16 in the same manner as when it is determined that the reception of the unique signal is interrupted when the verification of the encrypted data fails.

本実施の形態では、バッテリ12が、停電時のみに、固有信号検証モジュール15に電力を供給するが、通常時も、固有信号検証モジュール15に電力を供給するようにしてもよい。この場合、電源スイッチ13がONであれば、外部給電の有無に関わらず、バッテリ12から固有信号検証モジュール15に電力が供給される。これにより、停電時に、固有信号検証モジュール15への電力供給源をバッテリ12に切り換える動作が不要となるため、この動作中に揮発性メモリ16から機密情報が消失するという事態を確実に回避できる。   In the present embodiment, the battery 12 supplies power to the specific signal verification module 15 only at the time of a power failure, but power may be supplied to the specific signal verification module 15 also during normal times. In this case, if the power switch 13 is ON, power is supplied from the battery 12 to the specific signal verification module 15 regardless of the presence or absence of external power supply. This eliminates the need to switch the power supply source to the specific signal verification module 15 to the battery 12 in the event of a power failure, so that it is possible to reliably avoid a situation where confidential information is lost from the volatile memory 16 during this operation.

図2は、監視装置20の構成例を示す図である。   FIG. 2 is a diagram illustrating a configuration example of the monitoring device 20.

図2において、監視装置20は、メッセージ生成部22、ハッシュ関数処理部23、秘密鍵保持部24、暗号処理部25、固有信号発信部26を有する。   In FIG. 2, the monitoring device 20 includes a message generation unit 22, a hash function processing unit 23, a secret key holding unit 24, an encryption processing unit 25, and a unique signal transmission unit 26.

メッセージ生成部22は、任意のデジタルデータであるメッセージを生成する。このメッセージは、固有信号が盗聴されてもなりすましができないように、毎回(固有信号の発信ごとに)異なるものであることが望ましく、セキュリティ装置11の固有信号検証モジュール15との間で同期されたカウンタ値や時刻情報等を含むものであることがより望ましい。   The message generation unit 22 generates a message that is arbitrary digital data. This message is preferably different each time (for each transmission of the unique signal) so that it cannot be spoofed even if the unique signal is eavesdropped, and is synchronized with the unique signal verification module 15 of the security device 11 It is more desirable to include a counter value and time information.

ハッシュ関数処理部23は、所定のハッシュ関数を用いて、メッセージ生成部22により生成されたメッセージのハッシュ値を算出する。   The hash function processing unit 23 calculates a hash value of the message generated by the message generation unit 22 using a predetermined hash function.

秘密鍵保持部24は、監視装置20の秘密鍵をROM(Read・Only・Memory)等の記録媒体に予め保持する。   The secret key holding unit 24 holds the secret key of the monitoring device 20 in a recording medium such as a ROM (Read / Only / Memory) in advance.

暗号処理部25は、ハッシュ関数処理部23により算出されたハッシュ値を、秘密鍵保持部24により保持されている秘密鍵で暗号化することにより、メッセージ生成部22により生成されたメッセージのデジタル署名を生成する。   The encryption processing unit 25 encrypts the hash value calculated by the hash function processing unit 23 with the secret key held by the secret key holding unit 24, thereby digitally signing the message generated by the message generation unit 22. Is generated.

固有信号発信部26は、メッセージ生成部22により生成されたメッセージに、暗号処理部25により生成されたデジタル署名を付加した固有信号を、信号線21を介してセキュリティ装置11に発信する。   The unique signal transmission unit 26 transmits a unique signal obtained by adding the digital signature generated by the encryption processing unit 25 to the message generated by the message generation unit 22 to the security device 11 via the signal line 21.

なお、本例におけるデジタル署名は、固有信号に含まれる暗号データの一例であり、上記以外の方法により生成されるデジタル署名あるいはその他の暗号データに置き換えても構わない。   The digital signature in this example is an example of encrypted data included in the unique signal, and may be replaced with a digital signature generated by a method other than the above or other encrypted data.

図3は、セキュリティ装置11の固有信号検証モジュール15の構成例を示す図である。   FIG. 3 is a diagram illustrating a configuration example of the unique signal verification module 15 of the security device 11.

図3において、固有信号検証モジュール15は、メッセージ保持部41、ハッシュ関数処理部42、デジタル署名保持部43、公開鍵保持部44、復号処理部45、メッセージ比較部46、電子スイッチ47を有する。   In FIG. 3, the unique signal verification module 15 includes a message holding unit 41, a hash function processing unit 42, a digital signature holding unit 43, a public key holding unit 44, a decryption processing unit 45, a message comparison unit 46, and an electronic switch 47.

メッセージ保持部41は、通信部14により受信された固有信号に含まれるメッセージをRAM(Random・Access・Memory)等の記録媒体に一時的に保持する。   The message holding unit 41 temporarily holds a message included in the unique signal received by the communication unit 14 in a recording medium such as a RAM (Random / Access / Memory).

ハッシュ関数処理部42は、前述した所定のハッシュ関数を用いて、メッセージ保持部41により保持されたメッセージのハッシュ値を算出する。   The hash function processing unit 42 calculates the hash value of the message held by the message holding unit 41 using the predetermined hash function described above.

デジタル署名保持部43は、通信部14により受信された固有信号に含まれるデジタル署名をRAM等の記録媒体に一時的に保持する。   The digital signature holding unit 43 temporarily holds the digital signature included in the unique signal received by the communication unit 14 in a recording medium such as a RAM.

公開鍵保持部44は、監視装置20の公開鍵をROM等の記録媒体に予め保持する。   The public key holding unit 44 holds the public key of the monitoring device 20 in a recording medium such as a ROM in advance.

復号処理部45は、デジタル署名保持部43により保持されたデジタル署名を、公開鍵保持部44により保持されている公開鍵で復号することにより、元のハッシュ値(平文データ)を取得する。   The decryption processing unit 45 obtains the original hash value (plain text data) by decrypting the digital signature held by the digital signature holding unit 43 with the public key held by the public key holding unit 44.

メッセージ比較部46は、ハッシュ関数処理部42により算出されたハッシュ値と復号処理部45により取得されたハッシュ値とを比較し、両方のハッシュ値が一致すれば、電子スイッチ47をON(導通)のまま保持し、一致しなければ、電子スイッチ47をOFF(非導通)にする。   The message comparison unit 46 compares the hash value calculated by the hash function processing unit 42 with the hash value acquired by the decryption processing unit 45, and turns on the electronic switch 47 if both hash values match. If they do not match, the electronic switch 47 is turned off (non-conducting).

電子スイッチ47は、メッセージ比較部46によりON/OFFを制御されて、電源スイッチ13からの電源入力と、揮発性メモリ16への電源出力との間の導通/非導通を切り換える。電子スイッチ47がON(導通)であれば、通常時は外部給電の電力、停電時はバッテリ12の電力が揮発性メモリ16に供給される。電子スイッチ47がOFF(非導通)であれば、揮発性メモリ16への給電が停止する。その結果、揮発性メモリ16に記憶された機密情報が消失する。なお、電子スイッチ47の初期値はONであり、メッセージ比較部46が不一致になった場合にOFFになる。   The electronic switch 47 is ON / OFF controlled by the message comparison unit 46 to switch between conduction / non-conduction between the power input from the power switch 13 and the power output to the volatile memory 16. If the electronic switch 47 is ON (conducting), the externally supplied power is normally supplied to the volatile memory 16 during a power failure and the battery 12 is supplied during a power failure. If the electronic switch 47 is OFF (non-conduction), the power supply to the volatile memory 16 is stopped. As a result, confidential information stored in the volatile memory 16 is lost. The initial value of the electronic switch 47 is ON, and is turned OFF when the message comparison unit 46 does not match.

図示していないが、固有信号検証モジュール15は、さらに、時間を計測するタイマを有する。このタイマは、通信部14が固有信号を受信する度にリセットされる。固有信号のメッセージ部分に、メッセージの先頭を識別するデータ(ビット列)を配置することで、固有信号検証モジュール15は通信部14が固有信号を検知したタイミングを検知できる。固有信号検証モジュール15は、タイマにより計測された時間が一定時間に達した場合にも、電子スイッチ47をOFF(非導通)にする。   Although not shown, the unique signal verification module 15 further includes a timer for measuring time. This timer is reset every time the communication unit 14 receives a unique signal. By arranging data (bit string) for identifying the head of the message in the message portion of the unique signal, the unique signal verification module 15 can detect the timing when the communication unit 14 detects the unique signal. The unique signal verification module 15 also turns off the electronic switch 47 (non-conduction) even when the time measured by the timer reaches a certain time.

上記のように、本実施の形態では、通常時だけでなく、停電時においても、確実にセキュリティ装置11の盗難を検知し、盗難時の機密情報の漏洩を抑止することが可能となる。   As described above, in this embodiment, it is possible to reliably detect the theft of the security device 11 not only during normal times but also during power outages, and to prevent leakage of confidential information during theft.

なお、本実施の形態では、揮発性メモリ16が機密情報を記憶するが、揮発性メモリ16の代わりに、不揮発性メモリを用いてもよい。この場合、固有信号検証モジュール15は、固有信号の受信が途絶えたと判定した場合、及び、暗号データの検証が失敗した場合に、不揮発性メモリに記憶された機密情報を別の情報(例えば、機密情報を暗号化した情報でもよいし、機密情報と何ら関連性のないダミー情報でもよい)で上書きする。あるいは、不揮発性メモリを物理的に破壊する。これにより、不揮発性メモリから機密情報が実質的に消去されるため、機密情報の漏洩を防止できる。   In the present embodiment, the volatile memory 16 stores confidential information, but a nonvolatile memory may be used instead of the volatile memory 16. In this case, when the unique signal verification module 15 determines that reception of the unique signal has been interrupted, and when verification of the encrypted data fails, the confidential information stored in the non-volatile memory is changed to another information (for example, confidential information). The information may be encrypted information or may be dummy information that is not related to confidential information). Alternatively, the nonvolatile memory is physically destroyed. Thereby, since the confidential information is substantially erased from the nonvolatile memory, leakage of the confidential information can be prevented.

以上説明したように、本実施の形態において、セキュリティ装置11は、外部に漏洩してはならない機密情報を扱うシステムで使用され、かつ、外部からの電源供給を受けて動作する装置である。セキュリティ装置11は、停電時は、バッテリ12により、装置内部の揮発性メモリ16に保管された機密情報をバックアップする機構を備える。セキュリティ装置11は、装置の外部にある監視装置20から定期的に発信される固有信号を受けて、当該固有信号が監視装置20から発信された信号であることを検証できる手段を備える。セキュリティ装置11は、固有信号の検証が失敗することで装置の盗難を検知し、機密情報を保管した揮発性メモリ16への給電を遮断して、機密情報を消去する。   As described above, in the present embodiment, the security device 11 is a device that is used in a system that handles confidential information that should not be leaked to the outside, and that operates by receiving external power supply. The security device 11 includes a mechanism for backing up confidential information stored in the volatile memory 16 inside the device by the battery 12 in the event of a power failure. The security device 11 includes means for receiving a unique signal periodically transmitted from the monitoring device 20 outside the device and verifying that the unique signal is a signal transmitted from the monitoring device 20. The security device 11 detects theft of the device due to the failure of the verification of the unique signal, cuts off the power supply to the volatile memory 16 storing the confidential information, and erases the confidential information.

具体的には、セキュリティ装置11は、監視装置20からの固有信号を検証する固有信号検証モジュール15を備える。固有信号検証モジュール15は、固有信号を検証した結果、それが不正な信号だと判断した場合、機密情報を保管した揮発性メモリ16への給電を遮断して、機密情報を消去する機能をもつ。   Specifically, the security device 11 includes a unique signal verification module 15 that verifies the unique signal from the monitoring device 20. The unique signal verification module 15 has a function of erasing the confidential information by cutting off the power supply to the volatile memory 16 storing the confidential information when the unique signal is verified as a result of verifying the unique signal. .

停電が発生し、外部電源30からの給電が途絶えた場合、電源スイッチ13により、バッテリ12からの電力が、固有信号検証モジュール15を経由して、機密情報を保持する揮発性メモリ16に供給されるため、機密情報が消えるのを防止することができる。   When a power failure occurs and power supply from the external power supply 30 is interrupted, the power from the battery 12 is supplied by the power switch 13 to the volatile memory 16 that holds the confidential information via the unique signal verification module 15. Therefore, it is possible to prevent the confidential information from disappearing.

セキュリティ装置11の盗難に際しては、電力供給信号が伝送される電力線31、固有信号が伝送される信号線21が切断され、揮発性メモリ16への給電がなくなるため、機密情報が消去される。   When the security device 11 is stolen, the power line 31 to which the power supply signal is transmitted and the signal line 21 to which the unique signal is transmitted are disconnected, and power is not supplied to the volatile memory 16, so that confidential information is erased.

セキュリティ装置11の盗難に先立ち、信号線21が別の信号線につなぎ換えられたとしても、固有信号の受信が一旦途絶えることで、固有信号検証モジュール15により揮発性メモリ16への給電が遮断されるため、機密情報が消去される。仮に、信号線21が別の信号線に素早くつなぎ換えられたとしても、その(別の)信号線上で固有信号を模擬することは極めて困難であるため、機密情報が消去されるのを回避することはできない。   Even if the signal line 21 is connected to another signal line prior to the security device 11 being stolen, the unique signal verification module 15 cuts off the power supply to the volatile memory 16 by temporarily stopping the reception of the unique signal. Therefore, confidential information is erased. Even if the signal line 21 is quickly switched to another signal line, it is extremely difficult to simulate the unique signal on that (other) signal line, and thus the confidential information is prevented from being erased. It is not possible.

以上から、本実施の形態によれば、セキュリティ装置11の盗難時において、固有信号が伝送される信号線21の切断を検知することで、装置が盗難されたことを確実に検知し、機密情報の漏洩を防止することができる。また、セキュリティ装置11の盗難時において、固有信号が伝送される信号線21が別の信号線に素早くつなぎ換えられても、その(別の)信号線上では固有信号を模擬することができないため、装置が盗難されたことを確実に検知し、機密情報の漏洩を防止することができる。   As described above, according to the present embodiment, when the security device 11 is stolen, by detecting the disconnection of the signal line 21 through which the unique signal is transmitted, it is possible to reliably detect that the device has been stolen and Leakage can be prevented. In addition, when the security device 11 is stolen, even if the signal line 21 through which the unique signal is transmitted is quickly switched to another signal line, the unique signal cannot be simulated on that (other) signal line. It is possible to reliably detect that the device has been stolen and prevent leakage of confidential information.

図4は、セキュリティ装置11のハードウェア構成例を示す図である。なお、監視装置20にも、同様のハードウェア構成を採用することができる。   FIG. 4 is a diagram illustrating a hardware configuration example of the security device 11. Note that a similar hardware configuration can be adopted for the monitoring device 20.

図4において、セキュリティ装置11は、コンピュータであり、LCD71(Liquid・Crystal・Display)、キーボード72(K/B)、マウス73、FDD74(Flexible・Disk・Drive)、CDD75(Compact・Disc・Drive)、プリンタ76といったハードウェアデバイスを備えている。これらのハードウェアデバイスはケーブルや信号線で接続されている。LCD71の代わりに、CRT(Cathode・Ray・Tube)、あるいは、その他の表示装置が用いられてもよい。マウス73の代わりに、タッチパネル、タッチパッド、トラックボール、ペンタブレット、あるいは、その他のポインティングデバイスが用いられてもよい。   In FIG. 4, the security device 11 is a computer, and includes an LCD 71 (Liquid / Crystal / Display), a keyboard 72 (K / B), a mouse 73, an FDD 74 (Flexible Disk / Drive), and a CDD 75 (Compact / Disk / Drive). , A hardware device such as a printer 76 is provided. These hardware devices are connected by cables and signal lines. Instead of the LCD 71, a CRT (Cathode / Ray / Tube) or other display device may be used. Instead of the mouse 73, a touch panel, a touch pad, a trackball, a pen tablet, or other pointing devices may be used.

セキュリティ装置11は、プログラムを実行するCPU81(Central・Processing・Unit)を備えている。CPU81は、処理装置の一例である。CPU81は、バス82を介してROM83、RAM84、通信ボード85、LCD71、キーボード72、マウス73、FDD74、CDD75、プリンタ76、HDD90(Hard・Disk・Drive)と接続され、これらのハードウェアデバイスを制御する。HDD90の代わりに、フラッシュメモリ、光ディスク装置、メモリカードリーダライタ、あるいは、その他の記録媒体が用いられてもよい。   The security device 11 includes a CPU 81 (Central Processing Unit) that executes a program. The CPU 81 is an example of a processing device. The CPU 81 is connected to the ROM 83, the RAM 84, the communication board 85, the LCD 71, the keyboard 72, the mouse 73, the FDD 74, the CDD 75, the printer 76, and the HDD 90 (Hard / Disk / Drive) via the bus 82, and controls these hardware devices. To do. Instead of the HDD 90, a flash memory, an optical disk device, a memory card reader / writer, or other recording medium may be used.

RAM84は、揮発性メモリ16の一例である。ROM83、FDD74、CDD75、HDD90は、不揮発性メモリの一例である。これらは、記憶装置の一例である。通信ボード85、キーボード72、マウス73、FDD74、CDD75は、入力装置の一例である。また、通信ボード85、LCD71、プリンタ76は、出力装置の一例である。   The RAM 84 is an example of the volatile memory 16. ROM83, FDD74, CDD75, HDD90 is an example of a non-volatile memory. These are examples of the storage device. The communication board 85, the keyboard 72, the mouse 73, the FDD 74, and the CDD 75 are examples of input devices. The communication board 85, the LCD 71, and the printer 76 are examples of output devices.

通信ボード85は、LAN等に接続されている。通信ボード85は、LANに限らず、IP−VPN(Internet・Protocol・Virtual・Private・Network)、広域LAN、ATM(Asynchronous・Transfer・Mode)ネットワークといったWAN(Wide・Area・Network)、あるいは、インターネットに接続されていても構わない。LAN、WAN、インターネットは、ネットワークの一例である。   The communication board 85 is connected to a LAN or the like. The communication board 85 is not limited to a LAN, but is an IP-VPN (Internet, Protocol, Private, Network), a wide area LAN, an ATM (Asynchronous / Transfer / Mode) network, a WAN (Wide / Area / Network), or the Internet. It does not matter if it is connected to. LAN, WAN, and the Internet are examples of networks.

HDD90には、オペレーティングシステム91(OS)、ウィンドウシステム92、プログラム群93、ファイル群94が記憶されている。プログラム群93のプログラムは、CPU81、オペレーティングシステム91、ウィンドウシステム92により実行される。プログラム群93には、本実施の形態の説明において「〜部」として説明する機能を実行するプログラムが含まれている。プログラムは、CPU81により読み出され実行される。ファイル群94には、本実施の形態の説明において、「〜データ」、「〜情報」、「〜ID(識別子)」、「〜フラグ」、「〜結果」として説明するデータや情報や信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」や「〜テーブル」の各項目として含まれている。「〜ファイル」や「〜データベース」や「〜テーブル」は、RAM84やHDD90等の記録媒体に記憶される。RAM84やHDD90等の記録媒体に記憶されたデータや情報や信号値や変数値やパラメータは、読み書き回路を介してCPU81によりメインメモリやキャッシュメモリに読み出され、抽出、検索、参照、比較、演算、計算、制御、出力、印刷、表示といったCPU81の処理(動作)に用いられる。抽出、検索、参照、比較、演算、計算、制御、出力、印刷、表示といったCPU81の処理中、データや情報や信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。   The HDD 90 stores an operating system 91 (OS), a window system 92, a program group 93, and a file group 94. The programs in the program group 93 are executed by the CPU 81, the operating system 91, and the window system 92. The program group 93 includes a program for executing a function described as “˜unit” in the description of the present embodiment. The program is read and executed by the CPU 81. The file group 94 includes data, information, and signal values described as “˜data”, “˜information”, “˜ID (identifier)”, “˜flag”, and “˜result” in the description of the present embodiment. And variable values and parameters are included as items of “˜file”, “˜database”, and “˜table”. The “˜file”, “˜database”, and “˜table” are stored in a recording medium such as the RAM 84 or the HDD 90. Data, information, signal values, variable values, and parameters stored in a recording medium such as the RAM 84 and the HDD 90 are read out to the main memory and the cache memory by the CPU 81 via a read / write circuit, and extracted, searched, referenced, compared, and calculated. It is used for processing (operation) of the CPU 81 such as calculation, control, output, printing, and display. During processing of the CPU 81 such as extraction, search, reference, comparison, calculation, calculation, control, output, printing, and display, data, information, signal values, variable values, and parameters are temporarily stored in the main memory, cache memory, and buffer memory. Remembered.

本実施の形態の説明において用いるブロック図やフローチャートの矢印の部分は主としてデータや信号の入出力を示す。データや信号は、RAM84等のメモリ、FDD74のフレキシブルディスク(FD)、CDD75のコンパクトディスク(CD)、HDD90の磁気ディスク、光ディスク、DVD(Digital・Versatile・Disc)、あるいは、その他の記録媒体に記録される。また、データや信号は、バス82、信号線、ケーブル、あるいは、その他の伝送媒体により伝送される。   The arrows in the block diagrams and flowcharts used in the description of this embodiment mainly indicate input / output of data and signals. Data and signals are recorded in a memory such as RAM 84, FDD 74 flexible disk (FD), CDD 75 compact disk (CD), HDD 90 magnetic disk, optical disk, DVD (Digital Versatile Disc), or other recording media. Is done. Data and signals are transmitted by a bus 82, signal lines, cables, or other transmission media.

本実施の形態の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜工程」、「〜手順」、「〜処理」であってもよい。即ち、「〜部」として説明するものは、ROM83に記憶されたファームウェアで実現されていても構わない。あるいは、「〜部」として説明するものは、ソフトウェアのみ、あるいは、素子、デバイス、基板、配線といったハードウェアのみで実現されていても構わない。あるいは、「〜部」として説明するものは、ソフトウェアとハードウェアとの組み合わせ、あるいは、ソフトウェアとハードウェアとファームウェアとの組み合わせで実現されていても構わない。ファームウェアとソフトウェアは、プログラムとして、フレキシブルディスク、コンパクトディスク、磁気ディスク、光ディスク、DVD等の記録媒体に記憶される。プログラムはCPU81により読み出され、CPU81により実行される。即ち、プログラムは、本実施の形態の説明で述べる「〜部」としてコンピュータを機能させるものである。あるいは、プログラムは、本実施の形態の説明で述べる「〜部」の手順や方法をコンピュータに実行させるものである。   In the description of the present embodiment, what is described as “to part” may be “to circuit”, “to device”, “to device”, and “to step”, “to process”, “to”. ~ Procedure "," ~ process ". That is, what is described as “˜unit” may be realized by firmware stored in the ROM 83. Alternatively, what is described as “˜unit” may be realized only by software, or only by hardware such as an element, a device, a board, and wiring. Alternatively, what is described as “to part” may be realized by a combination of software and hardware, or a combination of software, hardware and firmware. Firmware and software are stored as programs in a recording medium such as a flexible disk, a compact disk, a magnetic disk, an optical disk, and a DVD. The program is read by the CPU 81 and executed by the CPU 81. That is, the program causes the computer to function as “to part” described in the description of the present embodiment. Or a program makes a computer perform the procedure and method of "-part" described by description of this Embodiment.

実施の形態2.
本実施の形態について、主に実施の形態1との差異を説明する。 Embodiment 2. FIG.
In the present embodiment, differences from the first embodiment will be mainly described.

図5は、本実施の形態に係る情報管理システム10の構成を示すブロック図である。   FIG. 5 is a block diagram showing the configuration of the information management system 10 according to the present embodiment.

図5において、バッテリ12は、セキュリティ装置11の内部に設けられる代わりに、バックアップ電源として、監視装置20や外部電源30と同じ遠隔場所に設けられている。なお、バッテリ12は、監視装置20や外部電源30と異なる場所に設置されてもよい。   In FIG. 5, the battery 12 is provided as a backup power source at the same remote location as the monitoring device 20 and the external power source 30 instead of being provided inside the security device 11. The battery 12 may be installed at a location different from the monitoring device 20 and the external power supply 30.

電源スイッチ13は、バッテリ12と電力線32により接続されている。電源スイッチ13は、外部電源30の停電時には電力線32を介してバッテリ12から電力供給信号を受信する。つまり、電源スイッチ13は、停電が発生すると、電力線32を介して外部のバッテリ12に蓄積された電力の供給を受ける。   The power switch 13 is connected to the battery 12 by a power line 32. The power switch 13 receives a power supply signal from the battery 12 via the power line 32 at the time of a power failure of the external power supply 30. That is, when a power failure occurs, the power switch 13 receives supply of power stored in the external battery 12 via the power line 32.

なお、本実施の形態では、実施の形態1と同様に、セキュリティ装置11の内部にバッテリ12が設けられていてもよい。即ち、セキュリティ装置11の内部と外部との両方にバッテリ12が設けられていてもよい。   In the present embodiment, a battery 12 may be provided inside the security device 11 as in the first embodiment. That is, the battery 12 may be provided both inside and outside the security device 11.

実施の形態3.
本実施の形態について、主に実施の形態1との差異を説明する。 Embodiment 3 FIG.
In the present embodiment, differences from the first embodiment will be mainly described.

図6は、本実施の形態に係る情報管理システム10の構成を示すブロック図である。   FIG. 6 is a block diagram showing a configuration of the information management system 10 according to the present embodiment.

図6において、情報管理システム10は、さらに、信号重畳制御部33を備える。セキュリティ装置11は、さらに、信号分離制御部17を有する。   In FIG. 6, the information management system 10 further includes a signal superposition control unit 33. The security device 11 further includes a signal separation control unit 17.

バッテリ12及び電源スイッチ13は、外部電源30とは直接接続されていない。また、通信部14は、監視装置20とは直接接続されていない。本実施の形態では、信号分離制御部17が信号重畳制御部33と電力線31により接続されている。   The battery 12 and the power switch 13 are not directly connected to the external power source 30. Further, the communication unit 14 is not directly connected to the monitoring device 20. In the present embodiment, the signal separation control unit 17 is connected to the signal superposition control unit 33 by the power line 31.

信号重畳制御部33は、電力線31を介して電力供給信号を送信する。信号分離制御部17は、信号重畳制御部33から電力供給信号を受信する。監視装置20から固有信号が発信されるタイミングにおいて、信号重畳制御部33は、監視装置20から発信された固有信号を、外部電源30からの電力供給信号に重畳する。そして、信号重畳制御部33は、電力線31を介して、固有信号を重畳した電力供給信号を送信する。この場合、信号分離制御部17は、信号重畳制御部33から、固有信号が重畳された電力供給信号を受信する。   The signal superposition control unit 33 transmits a power supply signal via the power line 31. The signal separation control unit 17 receives the power supply signal from the signal superposition control unit 33. At the timing when the unique signal is transmitted from the monitoring device 20, the signal superimposing control unit 33 superimposes the unique signal transmitted from the monitoring device 20 on the power supply signal from the external power supply 30. Then, the signal superimposing control unit 33 transmits a power supply signal on which the unique signal is superimposed via the power line 31. In this case, the signal separation control unit 17 receives the power supply signal on which the unique signal is superimposed from the signal superposition control unit 33.

信号分離制御部17は、固有信号が重畳されていない電力供給信号を受信した場合、受信した電力供給信号を電源スイッチ13に入力する。電源スイッチ13は、電力供給信号が入力されると、実施の形態1と同様に動作するとともに、バッテリ12を充電する。   When receiving the power supply signal on which the unique signal is not superimposed, the signal separation control unit 17 inputs the received power supply signal to the power switch 13. When a power supply signal is input, the power switch 13 operates in the same manner as in the first embodiment and charges the battery 12.

信号分離制御部17は、固有信号が重畳された電力供給信号を受信した場合、受信した電力供給信号から固有信号を分離した上で、その電力供給信号を電源スイッチ13に入力する。電源スイッチ13は、電力供給信号が入力されると、実施の形態1と同様に動作するとともに、バッテリ12を充電する。信号分離制御部17は、電力供給信号から分離した固有信号を通信部14に入力する。通信部14は、固有信号が入力されると、実施の形態1と同様に動作する。   When receiving the power supply signal on which the unique signal is superimposed, the signal separation control unit 17 separates the unique signal from the received power supply signal and then inputs the power supply signal to the power switch 13. When a power supply signal is input, the power switch 13 operates in the same manner as in the first embodiment and charges the battery 12. The signal separation control unit 17 inputs a unique signal separated from the power supply signal to the communication unit 14. When a unique signal is input, communication unit 14 operates in the same manner as in the first embodiment.

上記のように、本実施の形態では、通信部14が、監視装置20から(間接的に)電力線31を介して暗号データを含む固有信号を受信する。そのため、実施の形態1における信号線21が不要となる。   As described above, in the present embodiment, the communication unit 14 receives (indirectly) a unique signal including encrypted data from the monitoring device 20 via the power line 31. Therefore, the signal line 21 in Embodiment 1 is not necessary.

以上説明したように、本実施の形態では、装置の外部にある監視装置20から定期的に発信される固有信号が、外部からの電力供給信号に重畳されてセキュリティ装置11に送信される。これにより、情報管理システム10の敷設に必要なケーブル本数が減少し、設置・移設の手間が少なくなる。   As described above, in the present embodiment, the unique signal periodically transmitted from the monitoring device 20 outside the device is transmitted to the security device 11 while being superimposed on the power supply signal from the outside. As a result, the number of cables required for laying the information management system 10 is reduced, and installation and relocation is reduced.

実施の形態4.
本実施の形態について、主に実施の形態1との差異を説明する。 Embodiment 4 FIG.
In the present embodiment, differences from the first embodiment will be mainly described.

図7は、本実施の形態に係る情報管理システム10の構成を示すブロック図である。   FIG. 7 is a block diagram showing a configuration of the information management system 10 according to the present embodiment.

図7において、セキュリティ装置11の通信部14は、アンテナ18を具備する。   In FIG. 7, the communication unit 14 of the security device 11 includes an antenna 18.

通信部14は、監視装置20と有線により接続される代わりに、監視装置20とアンテナ18を介して無線通信を行う。監視装置20は、所定のタイミングで(例えば、10秒、30秒、1分といった一定時間ごとに)固有信号を繰り返し無線で発信する。通信部14は、監視装置20から暗号データを含む固有信号を無線で受信する。そのため、実施の形態1における信号線21が不要となる。   The communication unit 14 performs wireless communication with the monitoring device 20 via the antenna 18 instead of being connected to the monitoring device 20 by wire. The monitoring device 20 repeatedly transmits a unique signal wirelessly at a predetermined timing (for example, every fixed time such as 10 seconds, 30 seconds, 1 minute). The communication unit 14 wirelessly receives a unique signal including encrypted data from the monitoring device 20. Therefore, the signal line 21 in Embodiment 1 is not necessary.

実施の形態5.
本実施の形態について、主に実施の形態1との差異を説明する。 Embodiment 5 FIG.
In the present embodiment, differences from the first embodiment will be mainly described.

本実施の形態に係る情報管理システム10の構成は、図1に示した実施の形態1のものと同様である。   The configuration of the information management system 10 according to the present embodiment is the same as that of the first embodiment shown in FIG.

監視装置20は、固有信号の発信が中断されることを通知する通知データを、任意のタイミングで発信する(例えば、セキュリティ装置11の移設に先立って、管理者からの入力指示により通信データを発信する)。この通知データには、固有信号の発信が中断される期間(例えば、セキュリティ装置11の移設にかかる期間)等を示す情報が含まれる。なお、監視装置20は、通知データを固有信号の1つとして発信してもよい。即ち、監視装置20は、固有信号のメッセージに通知データを含めてもよい。   The monitoring device 20 transmits notification data for notifying that transmission of the unique signal is interrupted at an arbitrary timing (for example, prior to the relocation of the security device 11, communication data is transmitted according to an input instruction from the administrator). To do). The notification data includes information indicating a period during which the transmission of the unique signal is interrupted (for example, a period for moving the security device 11). Note that the monitoring device 20 may transmit the notification data as one of the unique signals. That is, the monitoring device 20 may include the notification data in the unique signal message.

監視装置20から発信された通知データは、信号線21を介してセキュリティ装置11の通信部14により受信される。固有信号検証モジュール15は、通信部14により通知データが受信された場合、所定の期間(予め定められていてもよいし、前述したように通知データにより通知される期間をそのまま適用してもよいし、その通知される期間に基づいて決定してもよい)内は、通信部14により固有信号が受信されなくても、揮発性メモリ16に記憶された機密情報を消去しない。ただし、その期間が経過した後も固有信号の受信が途絶えたままであれば、揮発性メモリ16に記憶された機密情報を消去する。   Notification data transmitted from the monitoring device 20 is received by the communication unit 14 of the security device 11 via the signal line 21. When the notification data is received by the communication unit 14, the specific signal verification module 15 may apply a predetermined period (which may be determined in advance or the period notified by the notification data as described above as it is. However, the confidential information stored in the volatile memory 16 is not erased even if the unique signal is not received by the communication unit 14. However, if the reception of the unique signal is stopped after the period has elapsed, the confidential information stored in the volatile memory 16 is erased.

本実施の形態によれば、揮発性メモリ16に記憶された機密情報を保持した状態でセキュリティ装置11の移設、点検等を行うことができる。   According to the present embodiment, the security device 11 can be moved, inspected, etc. while the confidential information stored in the volatile memory 16 is retained.

以上、本発明の実施の形態について説明したが、これらの実施の形態のうち、2つ以上を組み合わせて実施しても構わない。あるいは、これらの実施の形態のうち、1つを部分的に実施しても構わない。あるいは、これらの実施の形態のうち、2つ以上を部分的に組み合わせて実施しても構わない。なお、本発明は、これらの実施の形態に限定されるものではなく、必要に応じて種々の変更が可能である。   As mentioned above, although embodiment of this invention was described, you may implement in combination of 2 or more among these embodiment. Alternatively, one of these embodiments may be partially implemented. Alternatively, two or more of these embodiments may be partially combined. In addition, this invention is not limited to these embodiment, A various change is possible as needed.

10 情報管理システム、11 セキュリティ装置、12 バッテリ、13 電源スイッチ、14 通信部、15 固有信号検証モジュール、16 揮発性メモリ、17 信号分離制御部、18 アンテナ、20 監視装置、21 信号線、22 メッセージ生成部、23 ハッシュ関数処理部、24 秘密鍵保持部、25 暗号処理部、26 固有信号発信部、30 外部電源、31 電力線、32 電力線、33 信号重畳制御部、41 メッセージ保持部、42 ハッシュ関数処理部、43 デジタル署名保持部、44 公開鍵保持部、45 復号処理部、46 メッセージ比較部、47 電子スイッチ、71 LCD、72 キーボード、73 マウス、74 FDD、75 CDD、76 プリンタ、81 CPU、82 バス、83 ROM、84 RAM、85 通信ボード、90 HDD、91 オペレーティングシステム、92 ウィンドウシステム、93 プログラム群、94 ファイル群。   DESCRIPTION OF SYMBOLS 10 Information management system, 11 Security apparatus, 12 Battery, 13 Power switch, 14 Communication part, 15 Specific signal verification module, 16 Volatile memory, 17 Signal separation control part, 18 Antenna, 20 Monitoring apparatus, 21 Signal line, 22 Message Generation unit, 23 Hash function processing unit, 24 Secret key holding unit, 25 Cryptographic processing unit, 26 Eigen signal transmission unit, 30 External power supply, 31 Power line, 32 Power line, 33 Signal superposition control unit, 41 Message holding unit, 42 Hash function Processing unit, 43 Digital signature holding unit, 44 Public key holding unit, 45 Decryption processing unit, 46 Message comparison unit, 47 Electronic switch, 71 LCD, 72 Keyboard, 73 Mouse, 74 FDD, 75 CDD, 76 Printer, 81 CPU, 82 bus, 83 ROM, 84 RA , 85 communication board, 90 HDD, 91 operating system, 92 window system, 93 programs, 94 files.

Claims (11)

情報を記憶するメモリと、
外部の装置から繰り返し発信される暗号データを受信するとともに、前記外部の装置から前記暗号データの発信が中断されることを通知する通知データを受信する通信部と、
前記通信部による前記暗号データの受信状況を監視するとともに、前記通信部により前記暗号データが受信される度に前記暗号データを復号して検証し、前記暗号データの受信が途絶えたと判定した場合、及び、前記暗号データの検証が失敗した場合に、前記メモリに記憶された情報を消去し、前記通信部により前記通知データが受信された場合、所定の期間内は、前記通信部により前記暗号データが受信されなくても、前記メモリに記憶された情報を消去しない情報消去部と
を有することを特徴とする情報管理装置。 A memory for storing information;
A communication unit that receives encrypted data repeatedly transmitted from an external device and receives notification data for notifying that transmission of the encrypted data is interrupted from the external device ;
When monitoring the reception status of the encrypted data by the communication unit, decrypting and verifying the encrypted data every time the encrypted data is received by the communication unit, and determining that the reception of the encrypted data is interrupted, When the verification of the encrypted data fails, the information stored in the memory is deleted, and when the notification data is received by the communication unit, the encrypted data is received by the communication unit within a predetermined period. And an information erasing unit that does not erase the information stored in the memory even if it is not received . 前記通信部は、前記通知データとして、前記暗号データの発信が中断される期間を通知する通知データを受信し、
前記情報消去部は、前記通信部により前記通知データが受信された場合、前記所定の期間として、前記通知データによって通知された期間内は、前記通信部により前記暗号データが受信されなくても、前記メモリに記憶された情報を消去しないことを特徴とする請求項の情報管理装置。 The communication unit receives, as the notification data, notification data for notifying a period during which transmission of the encrypted data is interrupted,
The information erasure unit, when the notification data is received by the communication unit, as the predetermined period, even if the encryption data is not received by the communication unit within the period notified by the notification data, 2. The information management apparatus according to claim 1 , wherein the information stored in the memory is not erased. 前記通信部は、前記暗号データの1つとして、前記通知データを暗号化したデータを受信することを特徴とする請求項1又は2の情報管理装置。   The information management apparatus according to claim 1, wherein the communication unit receives data obtained by encrypting the notification data as one of the encrypted data. 前記情報管理装置は、前記外部の装置と電力線により接続され、
前記メモリは、前記外部の装置から前記電力線を介して供給される電力により動作する揮発性メモリであることを特徴とする請求項1からのいずれかの情報管理装置。 The information management device is connected to the external device via a power line,
The memory may be any information management apparatus of claims 1 to 3, characterized in that said external device is a volatile memory which is operated by power supplied through the power line. 外部の装置と電力線により接続された情報管理装置であって、
前記外部の装置から前記電力線を介して供給される電力により動作する揮発性メモリと、
前記外部の装置から繰り返し発信される暗号データを受信する通信部と、
前記通信部による前記暗号データの受信状況を監視するとともに、前記通信部により前記暗号データが受信される度に前記暗号データを復号して検証し、前記暗号データの受信が途絶えたと判定した場合、及び、前記暗号データの検証が失敗した場合に、前記揮発性メモリに記憶された情報を消去する情報消去部と
を有することを特徴とする情報管理装置。 An information management device connected to an external device via a power line,
A volatile memory that operates by power supplied from the external device via the power line ;
A communication unit for receiving encrypted data transmitted repeatedly from said external device,
When monitoring the reception status of the encrypted data by the communication unit, decrypting and verifying the encrypted data every time the encrypted data is received by the communication unit, and determining that the reception of the encrypted data is interrupted, And an information erasing unit for erasing information stored in the volatile memory when the verification of the encrypted data fails. 前記通信部は、前記外部の装置から前記電力線を介して前記暗号データを受信することを特徴とする請求項4又は5の情報管理装置。 6. The information management apparatus according to claim 4 , wherein the communication unit receives the encrypted data from the external apparatus via the power line. 請求項1から6のいずれかの情報管理装置と、
前記外部の装置と
を備えることを特徴とする情報管理システム。 An information management device according to any one of claims 1 to 6,
An information management system comprising the external device. 情報を記憶するメモリを有する情報管理装置を用いた情報管理方法において、
前記情報管理装置の通信部が、外部の装置から繰り返し発信される暗号データを受信するとともに、前記外部の装置から前記暗号データの発信が中断されることを通知する通知データを受信し、
前記情報管理装置の情報消去部が、前記通信部による前記暗号データの受信状況を監視するとともに、前記通信部により前記暗号データが受信される度に前記暗号データを復号して検証し、前記暗号データの受信が途絶えたと判定した場合、及び、前記暗号データの検証が失敗した場合に、前記メモリに記憶された情報を消去し、前記通信部により前記通知データが受信された場合、所定の期間内は、前記通信部により前記暗号データが受信されなくても、前記メモリに記憶された情報を消去しないことを特徴とする情報管理方法。 In an information management method using an information management apparatus having a memory for storing information,
The communication unit of the information management device receives encrypted data repeatedly transmitted from an external device, and also receives notification data notifying that transmission of the encrypted data is interrupted from the external device ,
The information erasure unit of the information management device monitors the reception status of the encrypted data by the communication unit, decrypts and verifies the encrypted data every time the encrypted data is received by the communication unit, and When it is determined that reception of data has been interrupted, and when verification of the encrypted data fails, information stored in the memory is erased, and when the notification data is received by the communication unit, a predetermined period of time The information management method is characterized in that the information stored in the memory is not erased even if the encrypted data is not received by the communication unit . 外部の装置から電力線を介して供給される電力により動作する揮発性メモリを有し、前記外部の装置と前記電力線により接続された情報管理装置を用いた情報管理方法において、
前記情報管理装置の通信部が、前記外部の装置から繰り返し発信される暗号データを受信し、
前記情報管理装置の情報消去部が、前記通信部による前記暗号データの受信状況を監視するとともに、前記通信部により前記暗号データが受信される度に前記暗号データを復号して検証し、前記暗号データの受信が途絶えたと判定した場合、及び、前記暗号データの検証が失敗した場合に、前記揮発性メモリに記憶された情報を消去することを特徴とする情報管理方法。 Have a volatile memory which is operated by power supplied through the power line from the external device, the information management method using the information management apparatus connected through the power line and the external device,
The communication unit of the information management apparatus receives the encrypted data originating repeatedly from said external device,
The information erasure unit of the information management device monitors the reception status of the encrypted data by the communication unit, decrypts and verifies the encrypted data every time the encrypted data is received by the communication unit, and An information management method comprising: erasing information stored in the volatile memory when it is determined that reception of data is interrupted and when verification of the encrypted data fails. 情報を記憶するメモリを有するコンピュータを、
外部の装置から繰り返し発信される暗号データを受信するとともに、前記外部の装置から前記暗号データの発信が中断されることを通知する通知データを受信する通信部と、
前記通信部による前記暗号データの受信状況を監視するとともに、前記通信部により前記暗号データが受信される度に前記暗号データを復号して検証し、前記暗号データの受信
が途絶えたと判定した場合、及び、前記暗号データの検証が失敗した場合に、前記メモリに記憶された情報を消去し、前記通信部により前記通知データが受信された場合、所定の期間内は、前記通信部により前記暗号データが受信されなくても、前記メモリに記憶された情報を消去しない情報消去部
として機能させるためのプログラム。 A computer having a memory for storing information;
A communication unit that receives encrypted data repeatedly transmitted from an external device and receives notification data for notifying that transmission of the encrypted data is interrupted from the external device ;
When monitoring the reception status of the encrypted data by the communication unit, decrypting and verifying the encrypted data every time the encrypted data is received by the communication unit, and determining that the reception of the encrypted data is interrupted, When the verification of the encrypted data fails, the information stored in the memory is deleted, and when the notification data is received by the communication unit, the encrypted data is received by the communication unit within a predetermined period. A program for functioning as an information erasure unit that does not erase information stored in the memory even if no information is received . 外部の装置から電力線を介して供給される電力により動作する揮発性メモリを有し、前記外部の装置と前記電力線により接続されたコンピュータを、
前記外部の装置から繰り返し発信される暗号データを受信する通信部と、
前記通信部による前記暗号データの受信状況を監視するとともに、前記通信部により前記暗号データが受信される度に前記暗号データを復号して検証し、前記暗号データの受信
が途絶えたと判定した場合、及び、前記暗号データの検証が失敗した場合に、前記揮発性メモリに記憶された情報を消去する情報消去部
として機能させるためのプログラム。 Have a volatile memory which is operated by power supplied through the power line from the external device, a computer connected to the said power line and said external device,
A communication unit for receiving encrypted data transmitted repeatedly from said external device,
When monitoring the reception status of the encrypted data by the communication unit, decrypting and verifying the encrypted data every time the encrypted data is received by the communication unit, and determining that the reception of the encrypted data is interrupted, And the program for functioning as an information erasure | elimination part which erase | eliminates the information memorize | stored in the said volatile memory when verification of the said encryption data fails.
JP2012072904A 2012-03-28 2012-03-28 Information management apparatus, information management system, information management method and program Active JP5398867B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012072904A JP5398867B2 (en) 2012-03-28 2012-03-28 Information management apparatus, information management system, information management method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012072904A JP5398867B2 (en) 2012-03-28 2012-03-28 Information management apparatus, information management system, information management method and program

Publications (2)

Publication Number Publication Date
JP2013206021A JP2013206021A (en) 2013-10-07
JP5398867B2 true JP5398867B2 (en) 2014-01-29

Family

ID=49525053

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012072904A Active JP5398867B2 (en) 2012-03-28 2012-03-28 Information management apparatus, information management system, information management method and program

Country Status (1)

Country Link
JP (1) JP5398867B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103745171A (en) * 2013-12-25 2014-04-23 惠州华阳通用电子有限公司 Method and system for realizing in-vehicle information entertainment system data security
JP6344309B2 (en) * 2015-05-21 2018-06-20 京セラドキュメントソリューションズ株式会社 Security system

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3884800B2 (en) * 1996-09-25 2007-02-21 潤一 白石 IC card unauthorized use prevention device
JP2005117254A (en) * 2003-10-06 2005-04-28 Nippon Telegr & Teleph Corp <Ntt> Method for authenticating counterpart between wireless stations, wireless station terminal, and program
EP1779582A4 (en) * 2004-07-21 2010-10-06 Beachhead Solutions Inc A system and method for lost data destruction of electronic data stored on portable electronic devices

Also Published As

Publication number Publication date
JP2013206021A (en) 2013-10-07

Similar Documents

Publication Publication Date Title
CN108322461B (en) Method, system, device, equipment and medium for automatically logging in application program
JP5369502B2 (en) Device, management device, device management system, and program
JP5534029B2 (en) Data protection method, apparatus and system
CN102508791B (en) Method and device for encrypting hard disk partition
JP5673417B2 (en) Data recovery method, data recovery device, and data recovery program
JP4933946B2 (en) External storage device and information leakage prevention method
JP4881468B1 (en) Storage device, protection method, and electronic device
KR101442539B1 (en) Storage system having security storage device and managing method thereof
CN104094275A (en) Security policy for device data
CN101331492A (en) Method and system for protecting user data in a node
WO2016014919A1 (en) Integrated circuit for determining whether data stored in external nonvolative memory is valid
US20130173877A1 (en) Information processing device, data management method, and storage device
JP2009199195A (en) Computer system and terminal
CN101517587A (en) Persistent security system and method
US9832027B2 (en) Tamper detection systems and methods for industrial and metering devices not requiring a battery
US20160371499A1 (en) Deleting information to maintain security level
JP2008005408A (en) Recorded data processing apparatus
JP5398867B2 (en) Information management apparatus, information management system, information management method and program
JP2009080772A (en) Software starting system, software starting method and software starting program
CN102279813B (en) Protecting method of system inside encryption card
JP2007020065A (en) Decryption backup method, decryption restoration method, attestation device, individual key setting machine, user terminal, backup equipment, encryption backup program, decryption restoration program
JP2007282064A (en) Device and method for processing data, storage medium and program
JP5617981B2 (en) Device, management device, device management system, and program
JP5528198B2 (en) Information processing apparatus and program
CN111125791B (en) Memory data encryption method and device, CPU chip and server

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130730

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130827

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130924

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131022

R150 Certificate of patent or registration of utility model

Ref document number: 5398867

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250