專利名稱:秘密信息存儲裝置、秘密信息的消除方法以及秘密信息的消除程序的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及檢測篡改而自動消除自己所保存的秘密信息的防篡 改裝置����、秘密信息的消除方法以及秘密信息的消除程序。
背景技術(shù):
在對用于加密的秘密密鑰進(jìn)行管理的加密裝置等的�����、對泄漏的風(fēng)
險極其高的秘密信息進(jìn)行處理的裝置中�,有如下風(fēng)險通過使用邏輯 分析器等來對裝置內(nèi)置的CPU (Central Processing Unit:中央處理 單元)、存儲器的動作進(jìn)行解析����,從而竊取秘密信息。因此�����,采取如 下措施用金屬的罩覆蓋整個裝置����,并使用對軍被取下的情形進(jìn)行檢 測而自動消除秘密信息的防篡改技術(shù),來確保整個裝置的安全性。
以往的防篡改裝置在裝置的軍中具備磁通量發(fā)生裝置����,并在基板 上連接了磁通量檢測裝置。當(dāng)打開罩時磁通量發(fā)生裝置與磁通量檢測 裝置的相對位置發(fā)生變化�����,所以可以用磁通量檢測裝置來檢測磁通量 的變化����。因此����,防篡改裝置在檢測到磁通量的變化的情況下,進(jìn)行通 過停止向易失性存儲器的電源供給從而消除保存在易失性存儲器中 的秘密信息這樣的防篡改處理(例如專利文獻(xiàn)l)�����。
另外����,秘密信息有時并非一個而是存在多個。在這樣的情況下�����, 還提出了如下方法對覆蓋裝置的軍的拆卸等進(jìn)行檢測,將保存在存 儲裝置中的多個秘密信息全部消除�,從而防止密鑰信息的泄漏(例如 專利文獻(xiàn)2)。
專利文獻(xiàn)l:日本特開2006-229667號公凈艮第3 ~4頁���、圖3 專利文獻(xiàn)2:日本特開2006 - 190222號公才艮第5 ~ 7頁��、圖1 發(fā)明要解決的課題以往的防篡改裝置存在如下課題在將根據(jù)保存在本裝置內(nèi)的秘 密信息而在本裝置內(nèi)制作的數(shù)據(jù)發(fā)送給與本裝置連接的PC( Personal Computer (個人計算機(jī))��,以下稱為PC )等的情況下�,無法千預(yù)至 該制作的數(shù)據(jù)是否被保護(hù)�����。
例如��,考慮如下情況購買加密后的電影�、音樂,使用作為防篡 改裝置的一個實施方式的防篡改加密裝置中保存的加密密鑰���,對電 影���、音樂的加密內(nèi)容進(jìn)行解密,并在連接了監(jiān)視器的PC上進(jìn)行再現(xiàn)。 在該情況下�,在防篡改裝置中雖然能夠保護(hù)用于對加密內(nèi)容進(jìn)行解密 的加密密鑰,但是解密的電影��、音樂等內(nèi)容被發(fā)送給處于防篡改裝置 外部的PC���。但是�,PC自身不具有防篡改的結(jié)構(gòu)����。另外,防篡改加密 裝置無法得知PC是否利用調(diào)試器��、邏輯分析器等來進(jìn)行了解析���。因 此,防篡改加密裝置無法干預(yù)至發(fā)送給PC上的內(nèi)容是否被正確地保 護(hù)�����。
另外��,以往的防墓改裝置是使用開關(guān)�����、光學(xué)傳感器、磁傳感器���、 溫度傳感器����、振動傳感器等多個傳感器構(gòu)成的�����。因此��,存在如下課題 只要由某一個傳感器檢測到篡改���,就將防篡改裝置內(nèi)的秘密信息全部 消除��,因此之后的恢復(fù)處理變得煩雜�����。
例如�,在上述例子中示出的防篡改加密裝置中��,考慮保存有內(nèi)容 解密用的加密密鑰和遠(yuǎn)程維護(hù)用的認(rèn)證密鑰的情況。由于內(nèi)容分發(fā)中 心進(jìn)行防篡改加密裝置的維護(hù)���,因此為了建立SSL等加密通信信道而 使用認(rèn)證密鑰�。因此�����,可以認(rèn)為為了保護(hù)內(nèi)容而不直接利用的認(rèn)證密 鑰與內(nèi)容保護(hù)中使用的加密密鑰相比��,必須保護(hù)的程度低�。另外,溫 度傳感器�、振動傳感器是對設(shè)置有防篡改加密裝置的環(huán)境的變化進(jìn)行 檢測的傳感器,可以認(rèn)為與對罩拆卸等進(jìn)行檢測的光學(xué)傳感器�、磁傳 感器相比,秘密信息泄漏的風(fēng)險低�。在該情況下�,如果即使溫度傳感 器、振動傳感器進(jìn)行動作也不消除認(rèn)證密鑰�����、而能夠僅消除重要度高 的加密密鑰�,則可以抑制內(nèi)容泄漏的風(fēng)險���,并且可以容易地進(jìn)行篡改 檢測后的恢復(fù)處理(維護(hù))。但是���,在以往的防篡改加密板中��,無法 根據(jù)篡改檢測的理由����、秘密信息的屬性���、重要度�,來部分地消除秘密4§息���。
發(fā)明內(nèi)容
(1) 本發(fā)明的目的在于�,防墓改裝置不僅針對自己����,而且也針
對自己所連接的PC等外部裝置,檢測拆卸罩等的篡改行為��,并且防
篡改裝置防止通過進(jìn)行墓改處理而泄漏防墓改裝置內(nèi)的秘密信息�、或 發(fā)送給外部裝置的數(shù)據(jù)���。
(2) 另外,目的還在于��,在篡改檢測時���,防篡改裝置不僅可以 消除自身內(nèi)部的所有秘密信息����,而且還可以按照利用者考慮篡改種 類����、秘密信息的重要度而指定的安全性策略,考慮篡改種類�、秘密信 息的重要度,部分地且選擇性地消除秘密信息��,從而防止秘密信息的 泄漏���,并且防止可用性的降低。
用于解決課題的手段
本發(fā)明的秘密信息存儲裝置的特征在于��,具備 傳感器對應(yīng)記錄存儲部�,存儲至少一個傳感器對應(yīng)記錄�����,在該傳
感器對應(yīng)記錄中�����,規(guī)定的秘密信息對應(yīng)著至少一個傳感器��,并且指定
了所對應(yīng)的傳感器應(yīng)滿足的檢測條件�����;
秘密信息存儲部�����,存儲至少一個秘密信息�;以及
秘密信息消除部���,從存儲在上述傳感器對應(yīng)記錄存儲部中的傳感
器對應(yīng)記錄表示的上述傳感器輸入檢測信號����,根據(jù)輸入的檢測信號抽
出滿足所有檢測條件的傳感器對應(yīng)記錄����,并從上述秘密信息存儲部中
消除所抽出的傳感器對應(yīng)記錄表示的秘密信息���。
上述秘密信息存儲部的特征在于,存儲多個秘密信息�����。 上述傳感器對應(yīng)記錄存儲部的特征在于�,存儲多個傳感器對應(yīng)記錄。
上迷傳感器對應(yīng)記錄的特征在于���,包括對是否發(fā)送通知篡改檢 測的篡改檢測通知進(jìn)行指示的發(fā)送指示�����、以及表示篡改檢測通知的發(fā) 送目的地的發(fā)送目的地地址���,上述秘密信息消除部的特征在于,在根 據(jù)所輸入的檢測信號抽出了滿足所有檢測條件的傳感器對應(yīng)記錄的情況下���,確認(rèn)所抽出的傳感器對應(yīng)記錄表示的發(fā)送指示�,在發(fā)送指示 指示發(fā)送的情況下,向發(fā)送目的地地址發(fā)送篡改檢測通知�。
上述傳感器對應(yīng)記錄的特征在于����,還包括對是否消除自己表示的 秘密信息進(jìn)行指示的消除指示,上述秘密信息消除部的特征在于�,在 根據(jù)所輸入的檢測信號抽出了滿足所有檢測條件的傳感器對應(yīng)記錄 的情況下,僅在抽出的傳感器對應(yīng)記錄表示的消除指示指示了秘密信 息的消除的情況下�����,從上述秘密信息存儲部中消除所抽出的傳感器對 應(yīng)記錄表示的秘密信息�。
上述秘密信息消除部的特征在于,對成為發(fā)送篡改檢測通知的契 機(jī)的檢測信號進(jìn)行監(jiān)視�,監(jiān)視的結(jié)果,在所有的檢測信號不滿足所對 應(yīng)的檢測條件的情況下�,向發(fā)送了上述篡改檢測通知的發(fā)送目的地, 發(fā)送通知攻擊停止的篡改恢復(fù)通知�����。
上述秘密信息存儲裝置的特征在于�����,還具備傳感器對應(yīng)記錄設(shè)定 部,該傳感器對應(yīng)記錄設(shè)定部輸入新的傳感器對應(yīng)記錄和存儲在上述 傳感器對應(yīng)記錄存儲部中的傳感器對應(yīng)記錄的修改中使用的修改用 數(shù)據(jù)中的至少某一個而作為輸入數(shù)據(jù)��,將輸入的輸入數(shù)據(jù)設(shè)定到上述 傳感器對應(yīng)記錄存儲部���。
上述秘密信息存儲裝置的特征在于�����,用封裝(package)進(jìn)行了 封裝化(packaging),上述秘密信息消除部輸入檢測信號的上述傳感 器的特征在于���,是配置在上述封裝的外部的外部傳感器和配置在上述 封裝的內(nèi)部的內(nèi)部傳感器中的至少某一個。
本發(fā)明的秘密信息的消除方法����,是存儲秘密信息的秘密信息存儲 裝置進(jìn)行的秘密信息的消除方法,其特征在于�,
傳感器對應(yīng)記錄存儲部存儲至少一個傳感器對應(yīng)記錄,在該傳感 器對應(yīng)記錄中����,規(guī)定的秘密信息對應(yīng)著至少一個傳感器,并且指定了 所對應(yīng)的傳感器應(yīng)滿足的檢測條件��,
秘密信息存儲部存儲至少 一 個秘密信息���,
秘密信息消除部從存儲在上述傳感器對應(yīng)記錄存儲部中的傳感 器對應(yīng)記錄表示的上述傳感器輸入檢測信號����,根據(jù)輸入的檢測信號抽出滿足所有檢測條件的傳感器對應(yīng)記錄,并從上述秘密信息存儲部中 消除所抽出的傳感器對應(yīng)記錄表示的秘密信息���。
本發(fā)明的秘密信息的消除程序的特征在于,使具備秘密信息存儲 部和傳感器對應(yīng)記錄存儲部的計算機(jī)即秘密信息存儲裝置執(zhí)行以下
處理
(1) 在上述傳感器對應(yīng)記錄存儲部中存儲至少一個傳感器對應(yīng) 記錄的處理��,其中�����,在該傳感器對應(yīng)記錄中�,規(guī)定的秘密信息對應(yīng)著 至少一個傳感器,并且指定了所對應(yīng)的傳感器應(yīng)滿足的檢測條件�;
(2) 在上述秘密信息存儲部中,存儲至少一個秘密信息的處理�;
(3) 從存儲在上述傳感器對應(yīng)記錄存儲部中的傳感器對應(yīng)記錄 表示的上述傳感器輸入檢測信號,根據(jù)輸入的檢測信號抽出滿足所有 檢測條件的傳感器對應(yīng)記錄���,并從上述秘密信息存儲部中消除所抽出 的傳感器對應(yīng)記錄表示的秘密信息的處理���。
本發(fā)明的秘密信息存儲裝置,是用封裝進(jìn)行了封裝化的秘密信息 存儲裝置,其特征在于���,具備
秘密信息存儲部����,存儲秘密信息��;以及
秘密信息消除部����,與配置在上述封裝的外部的規(guī)定部位上的外部 傳感器連接,并且在從上述外部傳感器輸入了上述外部傳感器檢測的 檢測信號時���,消除存儲在上述秘密信息存儲部中的秘密信息���。
發(fā)明的效果
根據(jù)本發(fā)明,可以提供一種如下的防篡改裝置防篡改裝置不僅 針對自己���,而且還針對自己所連接的PC等的外部裝置檢測篡改行為�����。 另外�,可以提供一種在篡改檢測時能夠選擇性地消除秘密信息的防篡 改裝置。
圖l是實施方式 圖2是實施方式 圖3是實施方式
1中的防篡改裝置101的使用狀態(tài)的例子���。 1中的防篡改裝置101的硬件結(jié)構(gòu)的例子�。 1中的防篡改裝置101的塊結(jié)構(gòu)圖��。圖4是實施方式1中的秘密信息701的例子���。
圖5是實施方式1中的防篡改策略105的例子。
圖6是實施方式1中的防篡改策略105的設(shè)定的流程圖����。
圖7是實施方式1中的防篡改策略修改請求501的例子。
圖8是實施方式1中的防篡改策略設(shè)定請求601的例子���。
圖9是實施方式1中的篡改檢測的流程圖����。
附圖標(biāo)記說明
101:防篡改裝置�;102:罩;103: CPU; 104:策略設(shè)定部��;105: 防篡改策略�;106:策略存儲部����;107:數(shù)據(jù)存儲部��;108:秘密信息�; 109:內(nèi)部傳感器;110:外部傳感器���;111:篡改檢測部�����;112:數(shù)據(jù) 消除部���;113:電源控制部;114:電池�����;115:外部電源�;116:篡改 通知部;117:數(shù)據(jù)處理部�����;118:應(yīng)用程序;120:秘密信息消除部�����; 201:篡改檢測條件�����;202:消除條件���;203:通知條件���;201n:篡改 檢測條件記錄�;202n:消除條件記錄;203n:通知條件記錄��;204: 對象傳感器�����;205:測定值條件��;206:保管場所��;207:數(shù)據(jù)種類條 件;208:生成者條件��;209:數(shù)據(jù)屬性條件�����;210:通知目的地條件����; 211:通知種類;212:繼續(xù)條件�����;213:防篡改策略記錄���;501:防墓 改策略修改請求�����;502:修改種類����;503:修改源條件����;504:修改內(nèi) 容�����;601:防墓改策略設(shè)定請求�;701:秘密信息�;702:唯一 ID; 703: 數(shù)據(jù)種類;704:生成者信息���;705:秘密信息主體�;706:利用用途 信息��;707:利用者信息��;708:識別標(biāo)簽�����;709:有效期間���;810: CPU; 816:通信IF; 811: ROM; 812: RAM; 825:總線;820:閃存(flash memory) ; 821: OS; 823:程序群���;824:文件群��;900: PC����。
具體實施方式
實施方式1
圖l是示出實施方式l中的防墓改裝置IOI的使用狀態(tài)的例子的 圖。(1)防篡改裝置101例如安裝在PC 900的內(nèi)部���。防篡改裝置101 保存了秘密信息A~C�。防篡改裝置101從在PC 900中動作的應(yīng)用程序118處輸入數(shù)據(jù)�����,使用所保存的秘密信息A C來處理該數(shù)據(jù)���,并將處理后的數(shù)據(jù)回送給應(yīng)用程序118�。
(2)另外��,在防篡改裝置101上�,連接了配置在PC900中的多個外部傳感器110。多個外部傳感器110對PC 900的殼體的開閉����、PC 900主體的移動(GPS ( Global Positioning System:全球定位系統(tǒng))傳感器的情況)進(jìn)行檢測��,并將檢測信號發(fā)送給防篡改裝置101���。(3 )防篡改裝置101在從多個外部傳感器110輸入了檢測信號時,按照預(yù)先保存的消除規(guī)則(后述的防篡改策略)���,從秘密信息A~秘密信息C中選擇應(yīng)消除的秘密信息并消除�。特征點(diǎn)在于防篡改裝置101通過外部傳感器110檢測對PC 900的攻擊來消除秘密信息�;以及防篡改裝置101選擇性地消除秘密信息。
圖2是示出實施方式1中的防篡改裝置101的硬件資源的一個例子的圖�����。防篡改裝置101具備執(zhí)行程序的CPU 103( Central ProcessingUnit:中央處理單元)����。CPU 103經(jīng)由總線825與ROM ( Read OnlyMemory:只讀存儲器)811、 RAM ( Random Access Memory:隨機(jī)存取存儲器)812�、通信IF (InterFace:接口 ) 816、閃存820連接����,并對這些硬件設(shè)備進(jìn)行控制。也可以代替閃存820而使用磁盤裝置�����。
RAM812是易失性存儲器的一個例子���。ROM 811��、閃存820等存儲介質(zhì)是非易失性存儲器的一個例子�����。它們是存儲裝置或存儲部�、保存部的一個例子����。通信IF816是輸入部、輸入裝置的一個例子���。通信IF816也是輸出部����、輸出裝置的一個例子�����。
通信IF 816是對CPU 103與PC 900的應(yīng)用程序之間的數(shù)據(jù)交換進(jìn)行中介的裝置。
在閃存820中�,存儲有操作系統(tǒng)821 (OS)、程序群823��、文件群824����。由CPU 103、操作系統(tǒng)821來執(zhí)行程序群823的程序�。
在上述程序群823中,存儲有執(zhí)行在以下敘述的實施方式的說明中作為" 部"說明的功能的程序�。程序是由CPU103讀出并執(zhí)行的。
在文件群824中����,作為"~文件"、"~數(shù)據(jù)庫"的各項目����,存儲有在以下敘述的實施方式的說明中作為"~的判定結(jié)果"、"~的抽出結(jié)果"���、"~的生成結(jié)果"���、"~的處理結(jié)果"說明的信息、后述的"防篡改
策略105"����、數(shù)據(jù)、信號值���、變量值或參數(shù)等�����。
另夕卜�����,在以下敘述的實施方式的說明中作為"~部�,����,說明的部分既可以是"~電路"、"~裝置"�����、"~機(jī)器"、"單元"�����,另外也可以是" 步驟"�����、"~過程"�、"~處理"。即�,作為" 部,����,說明的部分也可以通過存儲在ROM 811中的固件來實現(xiàn)?;蛘撸部梢詢H通過軟件�����、或僅通過元件/設(shè)備/基板/布線等硬件�、或通過軟件與硬件的組合、或通過軟件及硬件與固件的組合來實施���。程序被CPU 103讀出�,并由CPU103執(zhí)行。即�����,程序使計算機(jī)作為以下敘述的"~部"而發(fā)揮功能��?�;蛘?,使計算機(jī)執(zhí)行以下敘述的"~部"的過程��、方法�����。
圖3是示出防篡改裝置101的結(jié)構(gòu)的框圖���。如圖3所示����,防篡改裝置101 (秘密信息存儲裝置)具備罩102 (封裝)�����、CPU 103、策略存儲部106 (傳感器對應(yīng)記錄存儲部)�、數(shù)據(jù)存儲部107、多個內(nèi)部傳感器109���、電源控制部113��、電池114����、秘密信息消除部120��。
(1) CPU 103具備數(shù)據(jù)處理部117和策略設(shè)定部104���。
(2 )策略存儲部106存儲有防篡改策略105����。
(3 )數(shù)據(jù)存儲部107存儲有作為秘密信息108的秘密信息A�����、秘密信息B、秘密信息C�。
(4)秘密信息消除部120具備篡改檢測部111、數(shù)據(jù)消除部112�、篡改通知部116。
另外��,應(yīng)用程序118 (以下稱為應(yīng)用程序)與CPU103連接�。另外,多個外部傳感器110與篡改檢測部111連接���。另夕卜�����,外部電源115與電源控制部113連接。
(CPU 103��、數(shù)據(jù)處理部117�����、策略設(shè)定部104)如上所述��,CPU 103具備數(shù)據(jù)處理部117和策略設(shè)定部104�����。數(shù)據(jù)處理部117在防篡改裝置101中,實現(xiàn)各種功能��。數(shù)據(jù)處理部117例如在防篡改加密裝置的情況下����,執(zhí)行進(jìn)行加密處理、解密處理的程序��。數(shù)據(jù)處理部117通常處理應(yīng)用程序118的數(shù)據(jù)�,并將處理的數(shù)據(jù)返回給應(yīng)用程序118。另外��,策略設(shè)定部104如后所述�,在檢測到篡改時,對策略存儲部106的防篡改策略105設(shè)定進(jìn)行什么樣的篡改檢測處理���。
(防篡改策略015����、策略存儲部106����、數(shù)據(jù)存儲部107、秘密信息108 )
(1)數(shù)據(jù)存儲部107保存請求了在防篡改裝置101內(nèi)進(jìn)行保存的秘密信息108。通常根據(jù)利用的用途而保存多個秘密信息108�����。在圖3中�,示出保存了秘密信息A、秘密信息B���、秘密信息C這三個的狀態(tài)��。以下�,假設(shè)保存秘密信息108的數(shù)據(jù)存儲部107使用了易失性存儲器的情況而進(jìn)行說明�。
(2 )策略存儲部106保存有防篡改策略105。"防篡改策略105"是記述了在篡改檢測部111檢測到篡改時防篡改裝置101應(yīng)如何動作的策略��。以下���,假設(shè)策略存儲部106是非易失性存儲器而進(jìn)行說明。
(罩102����、內(nèi)部傳感器109、外部傳感器IIO)
(1) 為了使難以針對內(nèi)置于防篡改裝置101中的CPU 103�、存儲器、其它IC (Intergrated Circuit:集成電路)、以及將它們進(jìn)行連接的布線等��,進(jìn)行利用邏輯分析器或調(diào)試器等的硬件解析���、利用電磁波�、X射線引起誤動作等的攻擊����,用罩102 (封裝)覆蓋防篡改裝置101的整體或一部分。另外�����,圖3的虛線表示由罩102密封的區(qū)域�����。電池114由于需要更換����,所以沒有利用罩102來密封。通常��,作為罩102��,使用金屬制罩、利用環(huán)氧樹脂的模(mould)等���。
(2) 圖3示出多個內(nèi)部傳感器109��。內(nèi)部傳感器109是配置在罩102內(nèi)部的傳感器��,是用于檢測針對防篡改裝置101的攻擊的傳感器�。內(nèi)部傳感器109例如由對罩102的拆卸進(jìn)行檢測的開關(guān)���、對防篡改裝置101的卸下進(jìn)行檢測的光傳感器�、對防篡改裝置101中的沖擊進(jìn)行檢測的陀螺傳感器等傳感器構(gòu)成����。通常連接有多個傳感器,但在本實施方式1中����,在存在外部傳感器110的情況下��,有時也可以省略���。
(3) 外部傳感器IIO是為了讀取設(shè)置有防篡改裝置101的環(huán)境的變化�����,而配置在防篡改裝置101的軍102的外部���,并與防墓改裝置101另行連接的傳感器����。外部傳感器110例如由對連接有防篡改裝置101的PC 900的罩(篋體)的開閉進(jìn)行檢測的光傳感器�、對PC卯O被拿走的情形進(jìn)行檢測的GPS傳感器等構(gòu)成。該外部傳感器110根據(jù)利用防篡改裝置101的狀況以及預(yù)想受到什么樣的攻擊��,而針對每個用途另行連接了合適的傳感器���。
(篡改檢測部111����、數(shù)據(jù)消除部112�、電源控制部113、電池114�、外部電源115、墓改通知部116)
(1) 篡改檢測部111通過對內(nèi)部傳感器109��、外部傳感器110的狀況進(jìn)行監(jiān)視�,來檢測針對防墓改裝置101的攻擊�、從攻擊的恢復(fù)����、設(shè)置有防篡改裝置101的環(huán)境的變化等。篡改檢測部lll根據(jù)保存在策略存儲部106中的防篡改策略105,向數(shù)據(jù)消除部112�����、電源控制部113����、墓改通知部116發(fā)出墓改處理或篡改恢復(fù)處理的指令。
(2) 數(shù)據(jù)消除部112按照來自篡改檢測部111的指示�,將保存在數(shù)據(jù)存儲部107中的秘密信息108的全部、或秘密信息108的一部分(例如僅秘密信息A�、或秘密信息A和秘密信息B )進(jìn)行消除或初始化。
(3) 篡改通知部116按照來自篡改檢測部111的指示�����,對在CPU103上動作的程序即數(shù)據(jù)處理部117����、利用防篡改裝置101的應(yīng)用程序118,發(fā)送表示檢測到篡改的"篡改檢測通知"���、表示從篡改狀況恢復(fù)的"篡改恢復(fù)通知"��。
(4) 電池114�����、外部電源115對作為易失性存儲器的數(shù)據(jù)存儲部107供給電力����。通常��,外部電源115兼做用于使防篡改裝置101內(nèi)的CPU103等動作的電源�。電池114限定性地供給電力,使得即使外部電源115不動作也可以使篡改檢測部111���、數(shù)據(jù)消除部112��、電源控制部113����、數(shù)據(jù)存儲部107等進(jìn)行篡改檢測�����。
(5) 電源控制部113將從與防篡改裝置101連接的電池114、外部電源115供給的電力提供給數(shù)據(jù)存儲部107����,并且根據(jù)篡改檢測部111的指示,開啟(On) /關(guān)斷(Off)向數(shù)據(jù)存儲部107的電力供給��。
(應(yīng)用程序118)應(yīng)用程序118是在連接有防篡改裝置101的PC等中進(jìn)行動作的程序等�。應(yīng)用程序118是為了利用防篡改裝置101而另外準(zhǔn)備的功能。應(yīng)用程序118對數(shù)據(jù)處理部117委托數(shù)據(jù)處理并接收其結(jié)果�。或者���,應(yīng)用程序118對策略設(shè)定部104委托防篡改策略105的設(shè)定�����、修改����?����;蛘撸瑧?yīng)用程序118具有從篡改通知部116接收"篡改檢測通知"���、"墓改恢復(fù)通知"的功能��。
圖4是示出秘密信息的數(shù)據(jù)形式的圖。圖4的秘密信息701由唯一ID702����、數(shù)據(jù)種類703、生成者信息704���、秘密信息主體705�、利用用途信息706���、利用者信息707�、識別標(biāo)簽708����、有效期間709構(gòu)成。這些項目是在圖5的防篡改策略記錄213的消除條件記錄202n中指定的�。
圖5是示出防墓改策略105的結(jié)構(gòu)的圖。防篡改策略105是表示在檢測到篡改時進(jìn)行什么樣的篡改檢測處理的策略(規(guī)則)�。參照圖5,對防篡改策略105的結(jié)構(gòu)進(jìn)行說明。
防篡改策略105是具有篡改檢測條件201����、消除條件202、以及通知條件203這三個列的表����。
(1)墓改檢測條件201 (檢測條件)示出在各傳感器的測定值成為什么樣的狀態(tài)時判斷為檢測到篡改的條件。
(2 )消除條件202示出用于確定要消除的秘密信息的條件����。
(3)通知條件203示出在進(jìn)行了篡改處理、篡改恢復(fù)處理時將其處理結(jié)果通知給何處���。通知條件203包括對是否發(fā)送通知篡改檢測的"墓改檢測通知"進(jìn)行指示的"發(fā)送指示"�、以及表示"篡改檢測通知"的發(fā)送目的地的發(fā)送目的地地址�����。
(防篡改策略記錄213 )
防篡改策略105的各行是防篡改策略記錄213�。防篡改策略記錄213由篡改檢測條件記錄201n、消除條件記錄202n�、以及通知條件記錄203n構(gòu)成。
(1 )篡改檢測條件記錄201n記載有墓改檢測條件201的具體的值����。(2 )消除條件記錄202n記載有消除條件202的具體的值���。(3 )通知條件記錄203n記載有通知條件203的具體的值。防篡改策略記錄213無需指定篡改檢測條件記錄201n 通知條件記錄203n的全部��。例如��,也可以是指定篡改檢測條件記錄201n和消除條件記錄202n (確定成為消除對象的秘密信息的記錄)���、而不指定通知條件記錄203n的情況。另外����,在至少指定了篡改檢測條件記錄201n和消除條件記錄202n的防篡改策略記錄213 (傳感器對應(yīng)記錄的一個例子)的情況下,在篡改檢測條件記錄201n表示的傳感器檢測到滿足測定值條件的值時�����,秘密信息消除部120消除消除條件記錄202n表示的秘密信息�����。另外�����,也可以僅指定消除條件記錄202n。在該情況下����,由消除條件記錄202n確定的秘密信息與利用傳感器進(jìn)行的檢測無關(guān)地,都不會成為消除的對象����。另外,在多個防篡改策略記錄213中的任一個消除條件記錄202n中都沒有指定的秘密信息����,與利用傳感器進(jìn)行的檢測無關(guān)地,都不會成為消除的對象���。(墓改檢測條件記錄201n )
篡改檢測條件記錄201b是將用于唯一地確定內(nèi)部傳感器109或外部傳感器110的對象傳感器204�����、與表示用于判斷為檢測到篡改的測定值的范圍的測定值條件205的組集中多個而構(gòu)成的��。(消除條件記錄202n)
消除條件記錄202n是用于確定在滿足篡改檢測條件記錄201n的條件的情況下消除的秘密信息的信息����。消除條件記錄202n通過指定圖4所示的秘密信息701的項目,來確定成為消除對象的秘密信息����。消除條件記錄202n由保管場所206、數(shù)據(jù)種類條件207���、生成者條件208��、以及數(shù)據(jù)屬性條件209構(gòu)成�����。
(1 )保管場所206是表示在數(shù)據(jù)存儲部107由多個IC芯片構(gòu)成、或即使是一個IC芯片也被邏輯地分割的情況等下將保管在何處的數(shù)據(jù)設(shè)為消除對象的信息��。
(2)數(shù)據(jù)種類條件207是用于在對數(shù)據(jù)附加了種類信息的情況下對其進(jìn)行指定的信息�。例如在防篡改加密裝置的情況下,作為數(shù)據(jù)種類條件207而指定"秘密密鑰"�、"共用密鑰"等數(shù)據(jù)種類。
(3)生成者條件208是用于確定生成了秘密信息的程序���、用戶的信息����。例如,指定"數(shù)據(jù)處理部117"����、"應(yīng)用程序118"、"主機(jī)側(cè)OS"等程序���,或者指定用于確定"用戶A"����、"用戶B"等進(jìn)行了操作的人的信息等����。
(4 )數(shù)據(jù)屬性條件209是用于根據(jù)對數(shù)據(jù)附加的保管場所206、數(shù)據(jù)種類條件207�����、生成條件208以外的條件來確定秘密信息的信息�。例如,可以指定對秘密信息附加的唯一 ID702或識別信息等屬性�����、"絕密"等重要度����、或"文書簽名用"等用途信息等�����。
(通知條件記錄203n )通知條件記錄203n是對"墓改檢測通知�����,���,或"篡改恢復(fù)通知����,�����,的發(fā)送條件進(jìn)行指定的信息�。
(1) 通知目的地條件210 (發(fā)送目的地地址的一個例子)記載有用于確定作為通知目的地的數(shù)據(jù)處理部117��、應(yīng)用程序118的信息�����。
(2) 通知種類211 (發(fā)送指定)是用于指定通知篡改檢測通知、篡改恢復(fù)通知中的某一個或兩個的信息����。也可以是"不發(fā)送,���,這樣的指定��?�;蛘?���,也可以是如下設(shè)定即使在滿足篡改檢測條件201的情況下����,也不消除秘密信息,而僅發(fā)送篡改檢測通知��。例如��,對防篡改策略記錄213���,還加上指定是否消除秘密信息的"消除指定"�����。并且�,秘密信息消除部120即使在滿足篡改檢測條件記錄201n的情況下,也僅在防墓改策略記錄213表示的"消除指定�����,���,指定消除秘密信息的情況下�,從數(shù)據(jù)存儲部107中消除消除條件記錄202n表示的秘密信息�。
(3) 繼續(xù)條件212是表示僅通知一次、還是繼續(xù)定期地進(jìn)行通知的信息�����。
圖6是示出防篡改策略105的設(shè)定過程的流程圖����。參照圖6��,對防篡改策略105的設(shè)定過程的動作進(jìn)行說明���。
首先�����,在S301中���,應(yīng)用程序118確保與防篡改裝置101的通信路徑�����,根據(jù)例如作為IC卡而實現(xiàn)的防篡改裝置101所決定的認(rèn)證方式�,進(jìn)行登錄處理����。接下來在S302中,應(yīng)用程序118對策略設(shè)定部104�����,作為輸入數(shù)據(jù)而發(fā)送后述的防篡改策略修改請求501��、或后述的防篡改策略設(shè)定請求601�。策略設(shè)定部104接收防篡改策略修改請求501、或防墓改策略設(shè)定請求601。
(防篡改策略修改請求501)
圖7示出防篡改策略修改請求501 (修改用數(shù)據(jù)的一個例子�、新的傳感器對應(yīng)記錄的一個例子)。防篡改策略修改請求501是用于變更已經(jīng)設(shè)定的防墓改策略105的一部分的請求�。數(shù)據(jù)結(jié)構(gòu)如圖7所示。
(1) 修改種類502表示"消除"����、"變更"或"追加"等針對作為防篡改策略105的結(jié)構(gòu)要素的防篡改策略記錄213的操作的內(nèi)容。
(2) 修改源條件503表示用于指定成為修改對象的防篡改策略記錄213的條件即記錄序號�、對象傳感器204、測定值條件205���。
(3) 修改內(nèi)容504表示追加�����、變更后的防篡改策略記錄213的內(nèi)容��。
(4 ) j�����,務(wù)改源條件503�、 f務(wù)改內(nèi)容504是與4務(wù)改種類502相應(yīng)地保存的信息����,有時全都不包含信息。(防篡改策略設(shè)定請求601)
圖8示出防篡改策略設(shè)定請求601�。防篡改策略設(shè)定請求601是用于將設(shè)定的防篡改策略105全部更換的請求。如圖8所示����,在防篡改策略設(shè)定請求601中,保存有新的防篡改策略105�����。
接下來�����,在S303����、 S304中,策略設(shè)定部104在S302中接收到防篡改策略設(shè)定請求601的情況下�����,將從防篡改策略設(shè)定請求601中取出的防篡改策略105覆蓋到預(yù)先保管在策略存儲部106中的防篡改策略105上而進(jìn)行更換����。策略設(shè)定部104在接收到防篡改策略修改請求501的情況下���,從記錄在策略存儲部106中的防篡改策略105中取出與修改源條件503 —致的防墓改策略記錄213,根據(jù)記載于修改內(nèi)容504中的信息�����,進(jìn)行可以根據(jù)修改種類502來確定的追加���、變更或消除等處理����。
最后在S305中���,應(yīng)用程序118釋放在S301中建立的通信路徑�����,并結(jié)束處理���。
通過以上過程,應(yīng)用程序118可以設(shè)定防墓改裝置101內(nèi)的防篡改策略105��。
接下來,使用圖9�����,說明在攻擊者嘗試了防墓改裝置101的分解等時防篡改裝置101檢測篡改��、并消除秘密信息時的過程�。
最初�,在S401中,墓改檢測部111從策略存儲部106中讀入防篡改策略105,取出所有的篡改檢測條件記錄201n��。
接下來��,在S402中����,篡改檢測部111讀取內(nèi)部傳感器109、外部傳感器110的測定值�。然后,篡改檢測部lll在讀入的所有的篡改檢測條件記錄201n之中��,抽出條件成立的篡改檢測條件記錄201n�。即,篡改檢測部111在讀取了內(nèi)部傳感器109�、外部傳感器110的測定值(檢測信號)時���,根據(jù)輸入的測定值,檢測(抽出)滿足全部墓改檢測條件記錄201n (檢測條件)的防篡改策略記錄213�。
接下來,在S403中�����,篡改檢測部111從包含有在S402中檢測到條件成立的篡改檢測條件記錄201n的防篡改策略記錄213中�����,取出消除條件記錄202n和通知條件記錄203n�。然后,篡改檢測部111解析消除條件記錄202n而決定要消除的秘密信息的條件���,解析通知條件記錄203n而決定通知目的地程序的條件�。
接下來����,在S404中,篡改檢測部111根據(jù)S403的消除條件記錄202n的解析結(jié)果�,判斷是否進(jìn)行秘密信息的消除。在進(jìn)行消除的情況下進(jìn)入S405的處理�,在不進(jìn)行消除的情況下進(jìn)入S409的處理�。
接下來�����,在S405中�����,篡改檢測部111根據(jù)S403的消除條件記錄202n的解析結(jié)果���,判定能否通過切斷電源來一并消除、或者是否程序性地進(jìn)行部分消除����。在可以通過切斷電源來一并消除的情況下進(jìn)入S408的處理,在需要程序性地消除的情況下進(jìn)入S406的處理���。
接下來�,在S406中��,篡改檢測部111在S405中判定為程序性地進(jìn)行部分消除的情況下�����,根據(jù)在S403中決定的要消除的秘密信息的條件,從數(shù)據(jù)存儲部107中確定應(yīng)消除的所有秘密信息��,并對數(shù)據(jù)消除部112輸出消除的指示�。接下來,在S407中��,數(shù)據(jù)消除部112在數(shù)據(jù)存儲部107中�����,確定在S406中從篡改檢測部111指定的秘密信息�����,并全部消除��。之后�����,進(jìn)入S409的處理��。
接下來����,在S408中���,篡改檢測部lll在S405中判定為通過切斷電源進(jìn)行一并消除的情況下,對電源控制部113發(fā)出切斷電源的請求�,停止對數(shù)據(jù)存儲部107的電力供給。在數(shù)據(jù)存儲部107是易失性存儲器的情況下��,通過切斷電源�,所保持的秘密信息被自然地消除。
接下來���,在S409中�,篡 文檢測部111根據(jù)S403的通知條件記錄203n的解析結(jié)果即通知目的地程序的條件�����,來判定是否存在發(fā)送"墓改檢測通知"的程序���。在存在的情況下,篡改檢測部111對墓改通知部116發(fā)出了通知指示之后進(jìn)入S410的處理���,在不存在的情況下結(jié)束處理�����。
接下來�,在S410中,篡改通知部116確認(rèn)與在S409中從篡改檢測部111接收到的通知指示相應(yīng)的數(shù)據(jù)處理部117是否在CPU 103上進(jìn)行動作���,并對所有的數(shù)據(jù)處理部117發(fā)送篡改檢測通知����。篡改通知部116在接收到繼續(xù)地通知的通知指示的情況下�����,存儲通知目的地�,并繼續(xù)發(fā)送篡改檢測通知。
接下來�,在S411中,當(dāng)在S409中從篡改檢測部lll接收到的通知指示指示向應(yīng)用程序118發(fā)送篡改檢測通知的情況下���,篡改通知部116按照該通知指示���,對在主機(jī)PC上進(jìn)行動作的應(yīng)用程序118、 OS等相應(yīng)的所有程序發(fā)送篡改檢測通知����。篡改通知部116在從篡改檢測部lll接收到繼續(xù)地通知的通知指示的情況下����,存儲通知目的地���,并繼續(xù)發(fā)送篡改檢測通知����。
在以上的實施方式l中���,說明了作為裝置的防墓改裝置101���,但也可以通過將防篡改裝置101的各部的動作設(shè)為處理,從而作為使計算機(jī)執(zhí)行防篡改裝置101的動作的秘密信息的消除程序而掌握����。另夕卜�����,也可以將防篡改裝置101的各部的一系列的動作作為秘密信息的消除方法而掌握�����。
如上所述,篡改檢測部111不僅可以連接內(nèi)部傳感器109�,而且還可以連接對設(shè)置了防篡改裝置101的PC的罩的開閉進(jìn)行檢測的開關(guān)、或可以對設(shè)置了防篡改裝置101的PC的設(shè)置位置進(jìn)行測定的GPS等的���、對設(shè)置了防篡改裝置101的環(huán)境的變化進(jìn)行檢測的外部傳感器�����。因此��,防篡改裝置101不僅是對自己的軍��,而且還對自己所連接的PC等外部裝置也檢測拆卸罩等的篡改行為����,并進(jìn)行墓改處理�����。由此���,可以防止泄漏防篡改裝置101內(nèi)的秘密信息����、對PC等外部裝置發(fā)送的數(shù)據(jù)。
另外�,在防篡改策略105中,作為篡改檢測的判斷條件�����,可以設(shè)定多個內(nèi)部傳感器109和外部傳感器110的測定值條件�。并且,使用多個所設(shè)定的測定條件����,來判斷篡改檢測。因此�,不僅可以根據(jù)一個傳感器的反應(yīng)來檢測篡改,而且還可以將一部分傳感器設(shè)為無效���、或通過多個傳感器的組合來檢測篡改��。由此�����,可以根據(jù)所利用的系統(tǒng)中要求的安全要件,靈活地變更防篡改的級別(level)。
另夕卜����,在防篡改策略015中,對要消除的秘密信息進(jìn)行指定的消除條件202�����,是針對每個篡改發(fā)生的判斷條件即篡改檢測條件201進(jìn)行指定的�����。因此�,應(yīng)消除的秘密信息可以根據(jù)檢測篡改的傳感器來進(jìn)行變更。因此��,在外部傳感器IIO檢測到篡改的情況下�����,僅消除機(jī)密度極其高的秘密信息���,或在內(nèi)部傳感器109檢測到篡改的情況下不消除維護(hù)用的秘密信息而進(jìn)行保存等�����,可以根據(jù)利用的系統(tǒng)中要求的安全要件來靈活地變更防篡改的級別�。
另外,在防篡改策略105中��,在發(fā)生了篡改時可以指定是否對數(shù)據(jù)處理部117��、應(yīng)用程序118發(fā)送墓改檢測通知�。并且,墓改通知部116發(fā)送篡改檢測通知�����。因此�,數(shù)據(jù)處理部117、應(yīng)用程序118可以迅速地得知檢測到墓改的情形���。因此��,可以拒絕受理使用了秘密信息的處理���,或者消除在這之前(通知以前)作成的數(shù)據(jù)。因此�����,關(guān)于使用秘密信息進(jìn)行了解密的內(nèi)容等主機(jī)PC中存在的數(shù)據(jù),也可以降低其泄漏的風(fēng)險����。
另外����,由于可以經(jīng)由在CPU 103上動作的策略設(shè)定部104來設(shè)定保存在策略存儲部106中的防篡改策略105,所以不僅是板(board)出廠時(防篡改裝置100作為板而實現(xiàn)的情況)設(shè)定的防墓改策略105��,
而且利用它的系統(tǒng)的管理者可以根據(jù)利用的系統(tǒng)中要求的安全要件���,
靈活地變更防篡改的級別�。
另外��,在圖3中�,示出了在CPU 103上動作的數(shù)據(jù)處理部117是一個的情況。但是���,數(shù)據(jù)處理部117不限于由一個程序構(gòu)成�,也可以由多個程序構(gòu)成���。另外�,也可以存在目的不同的多個數(shù)據(jù)處理部117。
另外���,將數(shù)據(jù)存儲部107設(shè)為易失性存儲器�,但不限于此���,也可以是非易失性存儲器����。但是�����,在非易失性存儲器的情況下無法僅通過切斷電源來消除數(shù)據(jù)��,所以需要例如在磁存儲器時代替電源控制部113而連接磁場發(fā)生裝置�,在半導(dǎo)體存儲器的情況下連接利用高電壓的存儲器破壞裝置,或者根據(jù)所利用的存儲器的種類來選擇合適的一并消除方法�。
另外,設(shè)為將多個內(nèi)部傳感器109連接到篡改檢測部111上�,但在使用拆卸極其困難的利用環(huán)氧樹脂的模等的軍的情況等,認(rèn)為軍被拆卸的風(fēng)險極低時�,也可以不需要一定利用內(nèi)部傳感器109。
另外,在圖9中示出了墓改檢測時的動作�����,但篡改恢復(fù)時的動作也相同����。在該情況下���,秘密信息消除部120對成為發(fā)送篡改檢測通知的契機(jī)的傳感器的檢測信號進(jìn)行監(jiān)視���,監(jiān)視的結(jié)果,在成為發(fā)送篡改檢測通知的契機(jī)的所有傳感器的檢測信號不滿足所對應(yīng)的篡改檢測記錄(檢測條件)的情況下���,向發(fā)送了篡改檢測通知的發(fā)送目的地�,發(fā)送通知攻擊停止的篡改恢復(fù)通知��。
權(quán)利要求
1.一種秘密信息存儲裝置��,其特征在于����,具備傳感器對應(yīng)記錄存儲部,存儲至少一個傳感器對應(yīng)記錄�,在該傳感器對應(yīng)記錄中����,規(guī)定的秘密信息對應(yīng)著至少一個傳感器����,并且指定了所對應(yīng)的傳感器應(yīng)滿足的檢測條件;秘密信息存儲部���,存儲至少一個秘密信息����;以及秘密信息消除部��,從存儲在上述傳感器對應(yīng)記錄存儲部中的傳感器對應(yīng)記錄表示的上述傳感器輸入檢測信號����,根據(jù)輸入的檢測信號抽出滿足所有檢測條件的傳感器對應(yīng)記錄,并從上述秘密信息存儲部中消除所抽出的傳感器對應(yīng)記錄表示的秘密信息�����。
2. 根據(jù)權(quán)利要求l所述的秘密信息存儲裝置��,其特征在于, 上述秘密信息存儲部存儲多個秘密信息����。
3. 根據(jù)權(quán)利要求2所述的秘密信息存儲裝置,其特征在于���, 上述傳感器對應(yīng)記錄存儲部存儲多個傳感器對應(yīng)記錄����。
4. 根據(jù)權(quán)利要求l所述的秘密信息存儲裝置��,其特征在于�, 上述傳感器對應(yīng)記錄包括對是否發(fā)送通知篡改檢測的篡改檢測通知進(jìn)行指示的發(fā)送指示���、以及表示篡改檢測通知的發(fā)送目的地的發(fā) 送目的地地址�����,上述秘密信息消除部在根據(jù)所輸入的檢測信號抽出了滿足所有 檢測條件的傳感器對應(yīng)記錄的情況下����,確認(rèn)所抽出的傳感器對應(yīng)記錄 表示的發(fā)送指示����,在發(fā)送指示指示發(fā)送的情況下����,向發(fā)送目的地地址 發(fā)送篡改檢測通知�。
5. 根據(jù)權(quán)利要求4所述的秘密信息存儲裝置,其特征在于���, 上述傳感器對應(yīng)記錄還包括對是否消除自己表示的秘密信息進(jìn)行指示的消除指示��,上述秘密信息消除部在根據(jù)所輸入的檢測信號抽出了滿足所有 檢測條件的傳感器對應(yīng)記錄的情況下���,僅在抽出的傳感器對應(yīng)記錄表 示的消除指示指示了秘密信息的消除的情況下,從上述秘密信息存儲部中消除所抽出的傳感器對應(yīng)記錄表示的秘密信息����。
6. 根據(jù)權(quán)利要求4所述的秘密信息存儲裝置,其特征在于���, 上述秘密信息消除部對成為發(fā)送篡改檢測通知的契機(jī)的檢測信號進(jìn)行監(jiān)視���,監(jiān)視的結(jié)果,在所有的檢測信號不滿足所對應(yīng)的檢測條 件的情況下�,向發(fā)送了上述篡改檢測通知的發(fā)送目的地��,發(fā)送通知攻 擊停止的篡改恢復(fù)通知�����。
7. 根據(jù)權(quán)利要求l所述的秘密信息存儲裝置���,其特征在于, 上述秘密信息存儲裝置還具備傳感器對應(yīng)記錄設(shè)定部�����,該傳感器對應(yīng)記錄設(shè)定部輸入新的傳感器對應(yīng)記錄和存儲在上述傳感器對應(yīng) 記錄存儲部中的傳感器對應(yīng)記錄的修改中使用的修改用數(shù)據(jù)中的至 少某一個而作為輸入數(shù)據(jù)�,將輸入的輸入數(shù)據(jù)設(shè)定到上述傳感器對應(yīng) 記錄存儲部。
8. 根據(jù)權(quán)利要求l所述的秘密信息存儲裝置����,其特征在于����, 上述秘密信息存儲裝置用封裝進(jìn)行了封裝化, 上述秘密信息消除部輸入檢測信號的上述傳感器��,是配置在上述封裝的外部的外部傳感器和配置在上述封裝的內(nèi)部的內(nèi)部傳感器中 的至少某一個��。
9. 一種秘密信息的消除方法,是存儲秘密信息的秘密信息存儲 裝置進(jìn)行的秘密信息的消除方法���,其特征在于���,傳感器對應(yīng)記錄存儲部存儲至少一個傳感器對應(yīng)記錄,在該傳感 器對應(yīng)記錄中�����,規(guī)定的秘密信息對應(yīng)著至少一個傳感器����,并且指定了 所對應(yīng)的傳感器應(yīng)滿足的檢測條件,秘密信息存儲部存儲至少一個秘密信息����,秘密信息消除部從存儲在上述傳感器對應(yīng)記錄存儲部中的傳感 器對應(yīng)記錄表示的上述傳感器輸入檢測信號,根據(jù)輸入的檢測信號抽 出滿足所有檢測條件的傳感器對應(yīng)記錄�,并從上述秘密信息存儲部中 消除所抽出的傳感器對應(yīng)記錄表示的秘密信息。
10. —種秘密信息的消除程序���,其特征在于��, 使具備秘密信息存儲部和傳感器對應(yīng)記錄存儲部的計算機(jī)即秘密信息存儲裝置執(zhí)行以下處理(1)在上述傳感器對應(yīng)記錄存儲部中存儲至少一個傳感器對應(yīng) 記錄的處理����,其中,在該傳感器對應(yīng)記錄中����,規(guī)定的秘密信息對應(yīng)著 至少 一個傳感器,并且指定了所對應(yīng)的傳感器應(yīng)滿足的檢測條件��;(2 )在上述秘密信息存儲部中�����,存儲至少一個秘密信息的處理����; (3)從存儲在上述傳感器對應(yīng)記錄存儲部中的傳感器對應(yīng)記錄 表示的上述傳感器輸入檢測信號,根據(jù)輸入的檢測信號抽出滿足所有 檢測條件的傳感器對應(yīng)記錄�����,并從上述秘密信息存儲部中消除所抽出 的傳感器對應(yīng)記錄表示的秘密信息的處理����。
11. 一種用封裝進(jìn)行了封裝化的秘密信息存儲裝置���,其特征在于�,具備秘密信息存儲部,存儲秘密信息���;以及秘密信息消除部�,與配置在上述封裝的外部的規(guī)定部位上的外部 傳感器連接���,并且在從上述外部傳感器輸入了上述外部傳感器檢測出 的檢測信號時�,消除存儲在上述秘密信息存儲部中的秘密信息����。
全文摘要
防篡改裝置(101)安裝在PC(900)的內(nèi)部,保存有秘密信息(A~C)����。防篡改裝置(101)從在PC(900)中動作的應(yīng)用程序(118)輸入數(shù)據(jù),使用所保存的秘密信息(A~C)對該數(shù)據(jù)進(jìn)行處理�,將處理的數(shù)據(jù)回送給應(yīng)用程序(118)。在防篡改裝置101上連接有配置于PC(900)中的多個外部傳感器(110)���。多個外部傳感器(110)對PC(900)的殼體的開閉�����、PC(900)主體的移動進(jìn)行檢測����,將檢測信號發(fā)送給防篡改裝置(101)。防篡改裝置(101)在從多個外部傳感器(110)輸入了檢測信號時��,按照預(yù)先保存的防篡改策略�����,從秘密信息(A~C)中選擇應(yīng)消除的秘密信息并消除��。
文檔編號G06F21/06GK101627392SQ20078005210
公開日2010年1月13日 申請日期2007年3月27日 優(yōu)先權(quán)日2007年3月27日
發(fā)明者服部充洋, 松田規(guī), 米田健 申請人:三菱電機(jī)株式會社