專利名稱:篡改監(jiān)視系統(tǒng)����、管理裝置及篡改管理方法
技術領域:
本發(fā)明涉及監(jiān)視并管理在設備內(nèi)部中動作的模組等的篡改的技術���。
背景技術:
以往����,為了使具有認證密鑰等的隱秘數(shù)據(jù)的應用程序不被有惡意的第三者(以下稱作“攻擊者”)解析�,已知有通過防篡改模組進行的保護。防篡改模組通常作為硬件安裝在設備上�,保護應用程序。但是�,如果沿著考慮到日益更新的攻擊手法的近來的現(xiàn)狀,則為了靈活地對應于新的攻擊手法�����,希望通過容易更新的作為計算機程序的軟件來保護應用程序��。作為通過軟件保護應用程序的技術���,例如有使用哈希值的篡改驗證�����、和在不使用應用程序時將程序加密保存�、僅在使用時將加密的程序解密并向存儲器裝載的解密裝載功能等。但是�����,即使使用這樣的技術����,保護應用程序的軟件(以下稱作“保護控制模組”)自身也有可能被攻擊者攻擊。如果保護控制模組被篡改����,則應用程序被暴露在攻擊者的攻擊下。專利文獻1公開了即使在進行檢查程序的改變的有無的檢查程序自身的改變的情況下�、也能夠可靠地阻止被改變的程序的執(zhí)行的用于程序的改變防止的技術。根據(jù)該技術���,準備多個用來監(jiān)視程序的改變的有無的檢查程序��,各檢查程序監(jiān)視其他檢查程序中的某個���。以下,對該技術簡單地說明�����。假設兩個監(jiān)視模組A�、B相互進行監(jiān)視。監(jiān)視模組A�����、B分別由應保護不受攻擊者篡改的程序(主體程序A����、B)、用來檢測其他模組是否被篡改的程序(檢查程序A�����、B)���、以及為了各個檢查程序進行篡改檢測而需要的信息(檢查信息A����、B)構成�����。檢查程序A使用檢查信息A進行監(jiān)視模組B的主體程序B和檢查程序B的篡改檢測。進而��,檢查程序B使用檢查信息B進行監(jiān)視模組A的主體程序A和檢查程序A的篡改檢測�����。這樣����,各個監(jiān)視模組進行對方的監(jiān)視模組的主體程序及檢查程序的篡改檢測。先行技術文獻專利文獻專利文獻1 日本特許第3056732號公報專利文獻2 :W02008/099682非專利文獻非專利文獻1 本龍明����、山本博資,“現(xiàn)代加密”�,產(chǎn)業(yè)圖書(1997年)非專利文獻 2:ITU-T Recommendation X. 509(1997E) Jnformation Technology Open Systems Interconnection—The Directory !Authentication Framework,1997非專利文獻 3 :F. Pr印arata,G. Metze and R. T. Chien����,“On The Connection Assignment Problem of Diagnosable Systems," IEEE Trans. Electronic Computers, vol. 16,pp.848-854�����,1968.
發(fā)明內(nèi)容
發(fā)明的概要發(fā)明要解決的課題這樣,進行篡改檢測���,在檢測到篡改的情況下,例如只要經(jīng)由網(wǎng)絡從外部的服務器裝置取得正常的保護控制模組�����、將被篡改的保護控制模組更新為正常的保護控制模組就可以����。但是,擔負將保護控制模組更新的功能的模組(以下稱作“更新模組”)也可能被攻擊者攻擊��。如果更新模組被篡改����,則保護控制模組不能被正確地更新,應用程序具有的隱秘數(shù)據(jù)有可能泄漏�����。通過還具備進行更新模組的篡改檢測的模組��,能夠檢測更新模組的篡改, 但由于該模組自身也有可能被篡改��,所以沒有達到根本性的解決���。在上述中���,使用保護控制模組的更新例進行了說明,但在保護控制模組的更新以外將應用程序或更新模組自身更新的情況下�,也因它們沒有被正確地更新而發(fā)生同樣的問題。為了解決上述那樣的問題��,本發(fā)明的目的是提供一種即使在多個監(jiān)視模組中的一部分的監(jiān)視模組被篡改的情況下����、也能夠以較高的概率確定沒有被篡改的正常的監(jiān)視模組的篡改監(jiān)視系統(tǒng)、管理裝置����、管理方法、集成電路�、程序及記錄介質(zhì)。為了達到上述目的���,本發(fā)明是一種管理具有監(jiān)視篡改的多個監(jiān)視模組的信息安全裝置的管理裝置�,具備接收機構,從上述信息安全裝置接收各監(jiān)視模組對其他監(jiān)視模組的監(jiān)視結果��;檢測機構���,使用接收到的上述監(jiān)視結果����,對沒有被篡改的正常的監(jiān)視模組的存在進行檢測�����;第1假定機構�,在進行了上述檢測的情況下�����,對從上述監(jiān)視模組選擇的1個監(jiān)視模組假定為被篡改�;第2假定機構,以假定為被篡改的上述監(jiān)視模組為起點��,對未處理的監(jiān)視模組連鎖地采用以下次序使用接收到的上述監(jiān)視結果對將假定為被篡改的監(jiān)視模組判斷為正常的監(jiān)視模組假定為被篡改�;判斷機構,判斷由上述第2假定機構進行的時序的采用的結果是否是全部的監(jiān)視模組被假定為被篡改�����,在進行了上述判斷的情況下,將最初被假定為被篡改的上述監(jiān)視模組決定為正常的監(jiān)視模組�。發(fā)明效果根據(jù)該結構,由于檢測機構檢測到?jīng)]有被篡改的正常的監(jiān)視模組的存在�,所以至少1個監(jiān)視模組是正常的。相對于此�����,在由判斷機構判斷為對全部的監(jiān)視模組假定為被篡改的情況下���,該判斷結果與檢測機構的檢測的結果矛盾��。這是因為在第1假定機構的假定中存在錯誤�。因而����,將第1假定機構的假定推翻,將由第1假定機構假定為被篡改的監(jiān)視模組決定為正常的監(jiān)視模組�。如以上這樣,能夠決定正常的監(jiān)視模組����,所以正常的監(jiān)視模組的監(jiān)視結果是能夠信賴的��,能夠有效地利用�。
圖1是實施方式1的軟件更新系統(tǒng)10的整體結構圖。圖2是實施方式1的更新模組131的框圖。圖3是實施方式1的保護控制模組120的框圖���。
圖4是實施方式1的訪問控制模組140的框圖�����。圖5是實施方式1的設備100的硬件結構圖���。圖6是實施方式1的設備100的軟件結構圖。圖7是實施方式1的判斷部210的框圖��。圖8是實施方式1的更新用軟件分配部220的框圖���。圖9是實施方式1的模組無效化部230的框圖�����。圖10是表示實施方式1的軟件更新系統(tǒng)10整體的動作的流程圖���。圖11是用來說明實施方式1的初始設定處理的動作的圖�����。圖12是實施方式1的初始設定處理的時序圖�����。圖13是實施方式1的更新模組初始化處理的流程圖�����。圖14是實施方式1的檢測處理的時序圖��。圖15是實施方式1的解析-判斷處理的時序圖�。圖16是實施方式1的相互認證處理的時序圖���。圖17是實施方式1的相互認證處理的時序圖��。圖18是實施方式1的恢復處理的流程圖����。圖19是實施方式1的相互監(jiān)視處理的時序圖��。圖20是實施方式1的更新處理的時序圖�。圖21是實施方式1的更新處理的時序圖�。圖22是用來對實施方式1的相互監(jiān)視處理與更新處理的協(xié)同動作進行說明的圖�。圖23是實施方式1的再加密處理的時序圖。圖M是實施方式1的下一輪準備處理的時序圖���。圖25是實施方式1的無效化處理的時序圖��。圖沈是用來說明實施方式2的更新模組群130b的結構的圖�。圖27是實施方式2的判斷部210b的框圖��。圖28是實施方式2的非法模組確定部605的框圖���。圖四是實施方式2的循環(huán)檢測部606的框圖��。圖30是用來說明實施方式2的監(jiān)視模式的圖�����。圖31是用來說明實施方式2的相互監(jiān)視結果的圖。圖32是用來說明實施方式2的相互監(jiān)視結果的矛盾的圖����。圖33是實施方式2的非法模組確定處理的流程圖。圖34是用來說明實施方式2的非法模組確定處理的圖�����。圖35是用來說明實施方式2的循環(huán)監(jiān)視模式的圖。圖36是用來說明實施方式2的循環(huán)監(jiān)視模式的矛盾的圖����。圖37是用來說明實施方式2的循環(huán)監(jiān)視模式的矛盾的圖。圖38是實施方式2的考慮到循環(huán)監(jiān)視模式的非法模組確定處理的流程圖����。圖39是表示實施方式2的循環(huán)監(jiān)視模式列表2100的數(shù)據(jù)結構的圖。圖40是表示實施方式2的循環(huán)監(jiān)視模式列表2200的數(shù)據(jù)結構的圖�����。圖41是實施方式2的考慮到循環(huán)監(jiān)視模式的非法模組確定處理的流程圖����。圖42是實施方式2的考慮到循環(huán)監(jiān)視模式的非法模組確定處理的流程圖。
圖43是用來說明考慮循環(huán)監(jiān)視模式而分配分散信息的具體例的圖����。圖44是用來說明考慮到循環(huán)監(jiān)視模式而分配分散信息的具體例的圖。圖45是表示軟件更新系統(tǒng)IOcb的判斷部210cb的結構的結構圖�。圖46是表示軟件更新系統(tǒng)IOcb的正常模組確定部607的結構的結構圖。圖47是用來說明軟件更新系統(tǒng)IOcb的驗證結果判斷部674的判斷方法的監(jiān)視模式及監(jiān)視的結果的一例。圖48表示軟件更新系統(tǒng)IOcb的各更新模組的篡改檢測的監(jiān)視的結果的一例��。圖49表示軟件更新系統(tǒng)IOcb的各更新模組的篡改檢測的監(jiān)視的結果的另一例�����。圖50是表示軟件更新系統(tǒng)IOcb的正常的更新模組的確定處理的動作的流程圖�。 后接圖51。圖51是表示軟件更新系統(tǒng)IOcb的正常的更新模組的確定處理的動作的流程圖�。 后接圖52。圖52是表示軟件更新系統(tǒng)IOcb的正常的更新模組的確定處理的動作的流程圖����。 上接圖51。圖53是表示軟件更新系統(tǒng)IOdb的結構的結構圖����。圖M是表示軟件更新系統(tǒng)IOdb的監(jiān)視模式更新部250的結構的結構圖。圖55是表示軟件更新系統(tǒng)IOdb的判斷部210cb的結構的結構圖�����。圖56是表示軟件更新系統(tǒng)IOdb的妨礙模組確定部608的結構的結構圖�����。圖57表示監(jiān)視的結果的一例���。圖58是表示軟件更新系統(tǒng)IOdb的動作的動作圖�����。特別是表示妨礙模組確定處理與正常模組確定處理的關系��。圖59是表示軟件更新系統(tǒng)IOdb的妨礙模組的確定處理和正常模組的確定處理的動作時序圖��。后接圖60��。圖60是表示軟件更新系統(tǒng)IOdb的妨礙模組的確定處理和正常模組的確定處理的動作時序圖���。上接圖59。圖61是表示軟件更新系統(tǒng)IOdb的妨礙模組的確定處理的流程圖�。后接圖62。圖62是表示軟件更新系統(tǒng)IOdb的妨礙模組的確定處理的流程圖��。后接圖63����。圖63是表示軟件更新系統(tǒng)IOdb的妨礙模組的確定處理的流程圖。上接圖62�。圖64表示軟件更新系統(tǒng)IOdb的變形例的監(jiān)視的結果的一例。圖65表示軟件更新系統(tǒng)IOdb的監(jiān)視模式的一例。圖66表示軟件更新系統(tǒng)IOdb的相互的監(jiān)視的結果的一例��。圖67表示軟件更新系統(tǒng)IOdb的相互的監(jiān)視的結果的另一例��。圖68表示軟件更新系統(tǒng)IOdb的相互的監(jiān)視的結果的再另一例���。圖69表示軟件更新系統(tǒng)IOdb的相互的監(jiān)視的結果的再另一例�。圖70表示變形例02)的監(jiān)視結果的一例�����。圖71表示變形例05)的監(jiān)視結果的一例���。圖72表示變形例05)的監(jiān)視結果的一例�。圖73表示變形例06)的監(jiān)視結果的一例���。圖74表示變形例06)的監(jiān)視結果的一例�����。
圖75是表示內(nèi)容再現(xiàn)系統(tǒng)IOe的結構的結構圖��。圖76是表示移動銀行系統(tǒng)IOf的結構的結構圖����。圖77是表示本發(fā)明的實施方式3的篡改監(jiān)視系統(tǒng)IOca的結構的框圖����。圖78是表示本發(fā)明的實施方式4的篡改監(jiān)視系統(tǒng)IOda的結構的框圖。圖79是有關實施方式2的軟件更新系統(tǒng)IOa的整體結構圖��。圖80是有關實施方式2的軟件更新系統(tǒng)IOb的整體結構圖�����。
具體實施例方式在作為技術方案1所述的形態(tài)的管理具有監(jiān)視篡改的多個監(jiān)視模組的信息安全裝置的管理裝置中���,其特征在于�����,具備接收機構���,從上述信息安全裝置接收各監(jiān)視模組對其他監(jiān)視模組的監(jiān)視結果;檢測機構�,使用接收到的上述監(jiān)視結果,檢測沒有被篡改的正常的監(jiān)視模組的存在�;第1假定機構�����,在做出了上述檢測的情況下����,對從上述監(jiān)視模組選擇的 1個監(jiān)視模組假定為被篡改�;第2假定機構,以假定為被篡改的上述監(jiān)視模組為起點���,對未處理的監(jiān)視模組連鎖地采用使用接收到的上述監(jiān)視結果�、對將假定為被篡改的監(jiān)視模組判斷為正常的監(jiān)視模組假定為被篡改的時序����;判斷機構,判斷由上述第2假定機構進行的時序的采用的結果是否是全部的監(jiān)視模組被假定為被篡改�,在進行了上述判斷的情況下,將最初被假定為被篡改的上述監(jiān)視模組決定為正常的監(jiān)視模組�����。這里�,也可以是,上述檢測機構使用上次接收到的監(jiān)視結果��、和此次接收到的監(jiān)視結果,在通過上次接收到的監(jiān)視結果�����,判斷全部的監(jiān)視模組是正常的��,通過此次接收到的監(jiān)視結果沒有判斷為全部的監(jiān)視模組是正常的情況下�����,檢測沒有被篡改的正常的監(jiān)視模組的存在����;上次的監(jiān)視與此次的監(jiān)視的時間間隔比規(guī)定的閾值小�。根據(jù)該結構,由于上次的監(jiān)視與此次的監(jiān)視的時間間隔比規(guī)定的閾值小���,所以可以認為在上次的監(jiān)視與此次的監(jiān)視之間不會有全部的監(jiān)視模組被篡改的情況���。因此,在此次的監(jiān)視之后存在正常的監(jiān)視模組的可能性較高�����。這里,也可以是��,上述第1假定機構生成包括識別所選擇的上述監(jiān)視模組的識別號碼的假定非法組�����;上述第2假定機構使用上述監(jiān)視結果判斷是否存在將由包含在上述假定非法組中的識別號碼識別的監(jiān)視模組判斷為正常的監(jiān)視模組�,在判斷為存在的情況下, 將識別該監(jiān)視模組的識別號碼追加到上述假定非法組中�����,對未處理的監(jiān)視模組進行控制���, 以使其反復進行上述判斷和上述追加�;上述判斷機構判斷在上述假定非法組中是否包含識別全部的監(jiān)視模組的識別號碼���,在判斷為在上述假定非法組中包含識別全部的監(jiān)視模組的識別號碼的情況下�����,決定正常的監(jiān)視模組�。根據(jù)該結構�,能夠使用識別號碼識別監(jiān)視模組�����。這里�,也可以是�,上述管理裝置還具備從上述監(jiān)視模組之中確定被篡改的非法的監(jiān)視模組的非法模組確定機構;上述第1假定機構將非法的監(jiān)視模組去除��,選擇上述監(jiān)視模組�����;上述第2假定機構對去除了非法的監(jiān)視模組的未處理的監(jiān)視模組采用上述時序�;上述判斷機構判斷是否除了非法的監(jiān)視模組以外�、其他全部的監(jiān)視模組被假定為被篡改,在進行了上述判斷的情況下����,確定正常的監(jiān)視模組。根據(jù)該結構�,確定非法的監(jiān)視模組,將所確定的非法的監(jiān)視模組去除�,確定正常的監(jiān)視模組,所以正常的監(jiān)視模組的確定變得更容易��。
這里,也可以是�,上述非法模組確定機構在假定為1個監(jiān)視模組是正常的情況下, 使用接收的監(jiān)視結果判斷在多個監(jiān)視結果中是否有不一致�����,在有不一致的情況下��,將上述監(jiān)視模組確定為非法的監(jiān)視模組�����。此外�,也可以是,對上述監(jiān)視模組通過循環(huán)監(jiān)視模式?jīng)Q定監(jiān)視對象的監(jiān)視模組�,上述循環(huán)監(jiān)視模式表示作為第1監(jiān)視模組的監(jiān)視對象的第2監(jiān)視模組監(jiān)視上述第1監(jiān)視模組、或者經(jīng)由1個以上的監(jiān)視模組監(jiān)視上述第1監(jiān)視模組�����;上述非法模組確定機構在由有關上述循環(huán)監(jiān)視模式的多個監(jiān)視模組進行的對其他1個監(jiān)視模組的多個監(jiān)視結果不一致的情況下��,將有關該循環(huán)監(jiān)視模式的多個監(jiān)視模組確定為非法的監(jiān)視模組�。根據(jù)這些結構,能夠可靠地確定非法的監(jiān)視模組。這里���,也可以是����,上述信息安全裝置具有的至少1個監(jiān)視模組是具備將其他模組更新的功能的更新模組��;上述管理裝置還具備在被決定為正常的監(jiān)視模組的監(jiān)視模組是具有將其他模組更新的功能的上述更新模組的情況下����、對作為更新模組的該監(jiān)視模組進行控制、以使其將其他模組更新的控制機構����。根據(jù)該結構�,能夠通過被確定為正常的更新模組將其他模組可靠地更新。這里����,也可以是,上述信息安全裝置還具備應用程序及保護該應用程序的保護控制模組��;上述他的模組是上述監(jiān)視模組��、上述應用程序、或上述保護控制模組����。在作為技術方案9所述的形態(tài)的管理具有監(jiān)視篡改的多個監(jiān)視模組的信息安全裝置的管理裝置中,其特征在于����,具備接收機構,從上述信息安全裝置接收各監(jiān)視模組對其他監(jiān)視模組的監(jiān)視結果��;判斷機構�����,使用接收到的上述監(jiān)視結果�����,從上述監(jiān)視模組中���,提取對全部的監(jiān)視對象的監(jiān)視模組判斷為被篡改的妨礙候補模組���;更新機構,在檢測到多個妨礙候補模組的情況下���,生成新的監(jiān)視模式��,以在多個妨礙候補模組間相互監(jiān)視對方���,將所生成的新的監(jiān)視模式對上述信息安全裝置發(fā)送���,使其替換為新的監(jiān)視模式;上述接收機構還從上述信息安全裝置接收新的監(jiān)視模式的新的監(jiān)視結果�;上述判斷機構還使用接收到的新的監(jiān)視結果,將從上述妨礙候補模組中去除了相互判斷為正常����、對其他妨礙候補模組判斷為非法的兩個妨礙候補模組以外的其他妨礙候補模組確定為妨礙模組。根據(jù)該結構����,由于能夠確定妨礙模組,所以只要將所確定的妨礙模組無效化就可以��。這里���,也可以是,上述判斷機構還使用接收到的新的監(jiān)視結果��,在兩個妨礙候補模組中的第1妨礙候補模組對第2妨礙候補模組判斷為正常、第2妨礙候補模組對第1妨礙候補模組判斷為非法的情況下�����,將第1妨礙候補模組確定為被篡改的非法的監(jiān)視模組��。根據(jù)該結構����,能夠可靠地確定非法的監(jiān)視模組。這里���,也可以是���,上述更新機構在全部的監(jiān)視模組間生成新的上述監(jiān)視模式,以使其相互監(jiān)視對方���。這里�,也可以是����,上述管理裝置還包括控制上述信息安全裝置、以使其將所確定的上述妨礙模組無效化的無效化機構�����。這里,也可以是���,上述更新機構還生成新的監(jiān)視模式���,以使其通過除了被無效化的上述妨礙模組以外的上述監(jiān)視模組監(jiān)視對方,將所生成的新的監(jiān)視模式對上述信息安全裝置發(fā)送����,使其替換為新的監(jiān)視模式;上述接收機構還從上述信息安全裝置接收由除了無效化的上述妨礙模組以外的各監(jiān)視模組對其他監(jiān)視模組的監(jiān)視結果�;上述管理裝置還包括使CN 102272770 A
說明書
7/70 頁
用接收到的監(jiān)視結果確定正常的監(jiān)視模組的正常模組確定機構。根據(jù)該結構��,將妨礙模組去除���,確定正常的監(jiān)視模組���,所以正常的監(jiān)視模組的確定變得容易。這里�,也可以是��,是管理具有監(jiān)視篡改的多個監(jiān)視模組的信息安全裝置的管理裝置,具備接收機構���,從上述信息安全裝置接收各監(jiān)視模組對其他監(jiān)視模組的監(jiān)視結果��;判斷機構�����,使用接收到的上述監(jiān)視結果����,從上述監(jiān)視模組中�����,提取對全部的監(jiān)視對象的監(jiān)視模組判斷為被篡改的妨礙候補模組�����;無效化機構����,在僅提取了 1個妨礙候補模組的情況下,控制上述信息安全裝置�����,以使其將所提取的上述妨礙候補模組無效化;更新機構�,在僅檢測到 1個妨礙候補模組的情況下,去除該妨礙候補模組而新制作監(jiān)視模式��,將制作出的監(jiān)視模式向上述信息安全裝置發(fā)送��,使其替換為新的監(jiān)視模式���;上述接收機構還從上述信息安全裝置接收新的監(jiān)視模式的新的監(jiān)視結果�����;上述判斷機構還使用接收到的新的監(jiān)視結果確定正常的監(jiān)視模組���。根據(jù)該結構,由于僅將1個妨礙候補模組去除�����,所以確定正常的監(jiān)視模組變得容
易ο此外�,技術方案15所述的形態(tài),是由具有監(jiān)視篡改的多個監(jiān)視模組的信息安全裝置�����、和管理該信息安全裝置的管理裝置構成的篡改監(jiān)視系統(tǒng)���,其特征在于��,上述管理裝置具備接收機構����,從上述信息安全裝置接收各監(jiān)視模組對其他監(jiān)視模組的監(jiān)視結果�����;檢測機構,使用接收到的上述監(jiān)視結果,檢測沒有被篡改的正常的監(jiān)視模組的存在���;第1假定機構,在做出了上述檢測的情況下,對從上述監(jiān)視模組選擇的1個監(jiān)視模組假定為被篡改����;第 2假定機構��,以假定為被篡改的上述監(jiān)視模組為起點�,對未處理的監(jiān)視模組連鎖地采用使用接收到的上述監(jiān)視結果�����、對將假定為被篡改的監(jiān)視模組判斷為正常的監(jiān)視模組假定為被篡改的時序�����;判斷機構�,判斷由上述第2假定機構進行的時序的采用的結果是否是全部的監(jiān)視模組被假定為被篡改���,在進行了上述判斷的情況下���,將最初被假定為被篡改的上述監(jiān)視模組決定為正常的監(jiān)視模組。這里�,也可以是,上述信息安全裝置具有的至少1個監(jiān)視模組是具備將其他模組更新的功能的更新模組��;上述管理裝置還具備在被決定為正常的監(jiān)視模組的監(jiān)視模組是具有將其他模組更新的功能的上述更新模組的情況下���、對作為更新模組的該監(jiān)視模組進行控制���、以使其將其他模組更新的控制機構。這里,也可以是�����,是由具有監(jiān)視篡改的多個監(jiān)視模組的信息安全裝置�����、和管理該信息安全裝置的管理裝置構成的篡改監(jiān)視系統(tǒng)���,上述管理裝置具備接收機構,從上述信息安全裝置接收各監(jiān)視模組對其他監(jiān)視模組的監(jiān)視結果����;判斷機構,使用接收到的上述監(jiān)視結果�,從上述監(jiān)視模組中,提取對全部的監(jiān)視對象的監(jiān)視模組判斷為被篡改的妨礙候補模組����; 更新機構,在檢測到多個妨礙候補模組的情況下�����,生成新的監(jiān)視模式,以在多個妨礙候補模組間相互監(jiān)視對方���,將所生成的新的監(jiān)視模式對上述信息安全裝置發(fā)送����,使其替換為新的監(jiān)視模式�;上述接收機構還從上述信息安全裝置接收新的監(jiān)視模式的新的監(jiān)視結果;上述判斷機構還使用接收到的新的監(jiān)視結果��,將從上述妨礙候補模組中去除了相互判斷為正常����、對其他妨礙候補模組判斷為非法的兩個妨礙候補模組以外的其他妨礙候補模組確定為妨礙模組。這里�����,也可以是���,上述信息安全裝置具有的至少1個監(jiān)視模組是具備將其他模組更新的功能的更新模組����;上述管理裝置還具備在被決定為正常的監(jiān)視模組的監(jiān)視模組是具有將其他模組更新的功能的上述更新模組的情況下�、對作為更新模組的該監(jiān)視模組進行控制�、以使其將其他模組更新的控制機構�����。1.實施方式1這里�,作為有關本發(fā)明的非法模組無效化系統(tǒng)的實施方式,對軟件更新系統(tǒng)10參照附圖進行說明�。1. 1軟件更新系統(tǒng)10的結構(1)整體結構圖1是軟件更新系統(tǒng)10的整體結構圖。如該圖所示�,軟件更新系統(tǒng)10由作為有關本發(fā)明的信息處理裝置的設備100、和作為有關本發(fā)明的非法模組確定裝置的更新服務器200構成�。設備100和更新服務器200 經(jīng)由網(wǎng)絡連接�。(2)設備100的結構接著,對設備100進行說明����。設備100是對用戶提供經(jīng)由網(wǎng)絡的各種服務的設備。例如���,設備100對內(nèi)容分發(fā)服務器訪問���,購買音樂或影像等的內(nèi)容并再現(xiàn),或對金融機構的系統(tǒng)訪問����,利用網(wǎng)絡銀行(存款的余額查詢或賬戶存入等)�。(a)設備100的軟件結構如圖1所示�����,設備100包括應用軟件(以下稱作“應用”)110���、應用111�、保護控制模組120���、更新模組群130�����、以及訪問控制模組140��。應用110及應用111是用來經(jīng)由網(wǎng)絡對使用設備100的用戶提供各種功能的軟件�����。例如�,是從內(nèi)容分發(fā)服務器(未圖示)購買音樂內(nèi)容或影像內(nèi)容�、將該購買的內(nèi)容再現(xiàn)的軟件��、或用來對金融機構的系統(tǒng)(未圖示)訪問����、使用余額確認或存入等的網(wǎng)絡銀行的軟件���。應用110及應用111具有用來與內(nèi)容分發(fā)服務器或金融機構的系統(tǒng)進行認證的認證密鑰等��、隱秘數(shù)據(jù)��。隱秘數(shù)據(jù)是需要進行保護以使其不被有惡意的第三者(以下稱作“攻擊者”)從應用抽取而被非法地利用的數(shù)據(jù)�����。保護控制模組120是控制用來保護應用110及應用111以使得應用110及應用 111不被攻擊者解析而被抽取認證密鑰等的隱秘數(shù)據(jù)的功能的模組。作為用來保護應用的功能���,有當不利用應用時加密保存��、僅在利用應用時解密而向存儲器裝載的解密裝載功能��、 檢查應用是否被篡改的篡改檢測功能����、檢查調(diào)試器等的解析工具是否沒有動作的解析工具檢測功能等。保護控制模組120控制這些功能的動作��,檢查應用110及應用111是否沒有被攻擊者解析等�����。當檢測到攻擊者的攻擊時�����,保護控制模組120將應用110及應用111的動作停止��,進行應用110及應用111使用的存儲器��、特別是記錄有隱秘數(shù)據(jù)的存儲器區(qū)域的清空等的處理����,防止隱秘數(shù)據(jù)的泄漏。更新模組群130由多個更新模組構成�����。在實施方式1中���,更新模組群130如圖1 所示�,由更新模組131、更新模組132���、及更新模組133的3個更新模組構成����。更新模組131��、132�����、133分別檢測保護控制模組120的篡改的有無���。各更新模組具有在保護控制模組120被篡改的情況下從更新服務器200下載更新用的保護控制模組�、將被篡改的保護控制模組更新的功能�。此外,更新模組131��、132����、133也可以具有將應用110及應用111更新的功能�。并且���,更新模組群130為了防止由攻擊者將各更新模組篡改、將各更新模組非法地利用����,更新模組彼此相互實施篡改檢測。并且����,將篡改檢測結果向更新服務器200發(fā)送。 在由更新服務器200判斷為某個更新模組被篡改的情況下�,其他正常的更新模組接受來自更新服務器200的無效化指示,使被篡改的更新模組無效化�����。由此����,即使在包含在更新模組群130中的一部分的更新模組被攻擊而被篡改的情況下,也能夠對其進行檢測而應對攻擊����。訪問控制模組140保持各更新模組為了將其他模組刪除而需要的訪問信息。訪問信息是例如配置作為刪除對象的模組的地址、寫有刪除所需要的時序的時序書等�����。另外����,訪問信息被按照作為刪除對象的模組分別用不同的訪問信息取得密鑰來加密。(b)更新模組的結構接著����,對更新模組131、132�����、133的詳細情況進行說明���。圖2是表示更新模組131的功能結構的功能框圖���。更新模組132及133也具有同樣的結構。更新模組131包括更新模組主體���、驗證用證書�、和MAC值表�����。更新模組主體由接收部301��、發(fā)送部302����、控制部303、更新部304��、驗證部305�����、MAC 值生成部306��、MAC值表更新部307�����、及分散信息保持部308構成��。接收部301從更新服務器200接收各種指示及更新用軟件���。此外����,接收部301從其他更新模組接收為了進行相互監(jiān)視而需要的更新模組主體及更新模組驗證用證書等。進而��,接收部301從其他更新模組接收委托的處理的結果�����、及該其他更新模組對保護控制模組120的監(jiān)視結果等����。發(fā)送部302向更新服務器200、保護控制模組120��、其他更新模組�、以及訪問控制模組140發(fā)送各種處理結果及證書等的數(shù)據(jù)?�?刂撇?03通過基于接收部301接收到的各種指示及通知來控制更新部304及驗證部305�����,進行各種處理���。具體而言����,控制部303進行保護控制模組120�、更新模組132.及更新模組133的篡改驗證處理、保護控制模組120�����、更新模組132�、及更新模組133的更新處理、監(jiān)視模式的更
新處理等��。更新部304基于控制部303的控制���,與更新服務器200協(xié)同�,將設備100內(nèi)部的軟件�、具體而言將應用110及111、保護控制模組120�、更新模組131、132及133更新���。驗證部305基于控制部303的控制���,進行保護控制模組120���、更新模組132及更新模組133的篡改檢測處理。驗證部305也可以使用對各模組附加的驗證用證書進行篡改檢測處理���?��;蛘撸?也可以使用預先計算的消息認證代碼(Message Authentication Code)(以下稱作“MAC 值”)�。驗證部305以哪個定時進行哪個模組的篡改檢測處理,是預先被從更新服務器 200給出�����。驗證部305在從更新服務器200有篡改檢測對象的模組的變更或進行篡改檢測的定時的變更的指示的情況下按照指示進行變更�����。
MAC值生成部306保持有驗證密鑰�����。MAC值生成部306在驗證部305在篡改檢測處理中使用MAC值的情況下�����,使用驗證密鑰生成MAC值。MAC值表更新部307將保存有各模組的MAC值的MAC值表更新���。在MAC值表中���,成對地保存有用來識別模組的模組識別符�、和對應于該模組的MAC值。MAC值生成部306取得作為篡改檢測處理的對象的模組�,計算MAC值。驗證部305 通過將計算出的MAC值與保存在MAC值表中的對象模組的MAC值比較來進行篡改檢測�����。分散信息保持部308保持有分散信息及配置信息����。分散信息是保護控制模組120 根據(jù)在應用110及111的加解密處理中使用的加解密密鑰基于秘密分散法生成的信息。配置信息是記述有將哪個分散信息分配給了哪個更新模組的信息�����。另外�����,關于簽名方式已在非專利文獻1中詳細地說明。關于證書已在非專利文獻 2中詳細地說明����。此外,關于分散信息已在專利文獻2中詳細地說明����。(c)保護控制模組120的結構這里,對保護控制模組120的詳細情況進行說明��。圖3是表示保護控制模組120的功能性的結構的功能框圖��。如該圖所示��,保護控制模組120由接收部401�����、發(fā)送部402�����、控制部403�����、解密裝載部 404、篡改檢測部405��、解析工具檢測部406��、加解密密鑰保持部407���、加解密密鑰生成部408����、 加解密密鑰分散部409�����、證書生成部410�����、以及加解密密鑰復原部411構成���。接收部401從更新模組131、132��、133接收分散信息及各種委托等。發(fā)送部402向更新模組131����、132、133發(fā)送各種委托等���?����?刂撇?03通過控制解密裝載部404�、篡改檢測部405����、及解析工具檢測部406,在應用110�����、111被攻擊者攻擊的情況下檢測到該情況����。解密裝載部404當執(zhí)行被加密的應用110、111時,進行使用加解密密鑰解密���、裝載到存儲器上的處理��。此外����,如果在應用110�、111的執(zhí)行中發(fā)生向其他應用的上下文切換,則解密裝載部404將存儲器上的數(shù)據(jù)使用加解密密鑰加密���。并且����,在再次向應用110�、111上下文切換時��,進行將加密的數(shù)據(jù)解密的處理��。進而�����,在后述的再加密處理中,解密裝載部404在使用被從加解密密鑰復原部411 輸入的復原后的舊加解密密鑰將應用110�、111解密后,使用保持在加解密密鑰保持部407 中的新的加解密密鑰將應用110��、111再加密����。篡改檢測部405執(zhí)行應用110、111的篡改檢測處理��。篡改檢測處理有使用對應用 110���、111附加的驗證用證書的方法�、和比較MAC值的方法�。解析工具檢測部406安裝有調(diào)試器等的解析工具,當動作時對其進行檢測���。這是因為�,可以想到非法的攻擊者為了攻擊應用110���、111會安裝解析工具����、使其動作。作為檢測方法���,例如使用檢索文件名的方法����、調(diào)查調(diào)試器使用的特殊的寄存器是否被使用的方法�、檢測調(diào)試器設定的中斷的方法等。加解密密鑰保持部407保持用來將應用110���、111加解密的加解密密鑰����。加解密密鑰生成部408生成用來將應用110����、111加解密的加解密密鑰。加解密密鑰分散部409在初始設定時及下一輪準備時�����,根據(jù)加解密密鑰使用秘密分散法生成分散信息���。證書生成部410當將從加解密密鑰生成的分散信息復原時,生成為了驗證是否能夠正確地復原而使用的證書。加解密密鑰復原部411基于配置信息從各更新模組取得對各更新模組分配的分散信息�。并且,加解密密鑰復原部411從所取得的分散信息復原加解密密鑰����,將所復原的加解密密鑰向解密裝載部404發(fā)送。(d)訪問控制模組140的結構圖4是功能性地表示訪問控制模組140的結構的功能框圖�。如該圖所示,訪問控制模組140由接收部501��、發(fā)送部502���、及訪問信息保持部503構成��。接收部501從更新模組131�、132�、133接收作為為了將被篡改的更新模組刪除而需要的信息的訪問信息的取得委托。發(fā)送部502根據(jù)訪問信息取得委托��,向委托訪問信息取得的更新模組發(fā)送訪問信肩��、ο訪問信息保持部503按照更新模組131���、132��、133保持用來將該模組刪除的訪問信
肩����、ο各訪問信息被附加了用來識別作為刪除對象的更新模組的更新模組識別符。此外�,將各訪問信息用訪問信息取得密鑰加密。如果從更新模組131��、132��、133接受到訪問信息取得委托�,則訪問信息保持部503 將被賦予了刪除對象的更新模組的識別符的訪問信息向委托源的更新模組發(fā)送。(e)設備100的硬件結構接著��,使用圖5對設備100的硬件結構進行說明��。如圖5所示�,設備100包括CPU (Central Processing Unit) 171、作為非易失性存儲器的 EEPROM(Electrically Erasable and Programmable Read Only Memory) 172�、 RAM (Random Access Memory) 173、及 NIC (Network Interface Card) 174 等而構成�����。此夕卜�����, 將它們經(jīng)由總線可相互通信地連接�����。在EEPR0M172中��,保存有保護控制模組120�����、更新模組131�����、132�、133、及應用110�����、 111 等��。通過CPU171執(zhí)行保存在EEPR0M172中的各種模組�����,實現(xiàn)各種模組的各功能部。各功能部具體而言通過計算機程序記述����。RAM173被作為CPU171的工作區(qū)使用。在RAM173中��,裝載有更新模組131�����、132����、 133、及應用110����、111。作為篡改檢測處理及無效化處理的對象的更新模組是在RAM173上動作的更新模組���。NIC174是用來連接到網(wǎng)絡上的擴展卡�����。(f)軟件層級接著�����,使用圖6對設備100的軟件層級進行說明�。如圖6所示����,訪問控制模組140及更新模組群130裝入在0S150之中。應用110 及應用111在0S150上動作�����,保護控制模組120及引導裝載器160處于0S150的管理外�����。在設備100的起動時�,首先在將保護控制模組120及更新模組群130起動后執(zhí)行應用。(3)更新服務器200的結構接著��,對更新服務器200的結構進行說明���。
更新服務器200作為從設備100的更新模組群130接收篡改檢測結果�,基于接收到的篡改檢測結果確定應無效化的非法的更新模組的非法模組確定裝置發(fā)揮功能。進而��, 更新服務器200作為將為了將在設備100上動作的軟件(例如保護控制模組120)更新而需要的更新用的軟件向設備100分配的軟件分配裝置發(fā)揮功能��。(a)整體結構如圖1所示��,更新服務器200由判斷部210�����、更新用軟件分配部220�、模組無效化部 230、及通信部240構成�����。更新服務器200具體而言是具備CPU����、ROM、RAM����、硬盤單元等的計算機系統(tǒng)。CPU通過按照存儲在ROM或硬盤單元中的計算機程序動作,更新服務器200發(fā)揮上述功能����。判斷部210從設備100的更新模組群130接收篡改檢測結果,基于接收到的篡改檢測結果���,確定應無效化的非法的更新模組�����。更新用軟件分配部220在將保護控制模組120更新時,與更新模組131����、132、133 協(xié)同動作���,將更新用的軟件向設備100安全地發(fā)送�����。模組無效化部230如果從更新模組131���、132、133接受到訪問信息取得密鑰取得請求,向請求源的更新模組發(fā)送訪問信息取得密鑰��。通信部240在設備100與更新服務器200內(nèi)部的各部之間進行信息的收發(fā)����。例如, 通信部240將從設備100接收到的篡改檢測結果向判斷部210發(fā)送���。另外���,在設備100與更新服務器200之間的通信中,也可以使用將數(shù)據(jù)加密等��、確保了安全的通信路徑����。接著,對更新服務器200的各構成單元說明��。(b)判斷部210的結構圖7是功能性地表示判斷部210的結構的功能框圖��。如該圖所示����,判斷部210由接收部601��、發(fā)送部602���、指示生成部603、及模組確定部 604構成�。接收部601從更新模組131、132��、133接收篡改檢測結果��、分散信息�、各種委托等、 將它們向指示生成部603輸出��。此外���,接收部601從更新服務器200內(nèi)的各部接受處理完成的通知,將其向指示生成部603輸出��。發(fā)送部602將由指示生成部603生成的指示向更新服務器200內(nèi)的各部輸出����。指示生成部603將從更新模組131、132���、133接收到的篡改檢測結果(以下有稱作 “相互監(jiān)視結果”的情況)向模組確定部604輸出���。此外����,指示生成部603從模組確定部604 取得識別被篡改的非法的更新模組的信息�����,基于所取得的信息生成對更新服務器200內(nèi)的各部的指示��。模組確定部604使用從更新模組131�、132、133接收到的相互監(jiān)視結果�����,判斷各更新模組是否被篡改���,確定被篡改的非法的更新模組�。模組確定部604將識別非法的更新模組的信息向指示生成部603輸出�。實施方式1的模組確定部604使用例如從各更新模組接收到的多個篡改檢測結果,將判斷為過半數(shù)的更新模組“被篡改”的更新模組確定為是非法的更新模組����。具體而言��, 目前在更新模組群130中包含有3個更新模組131�����、132���、133,所以將判斷為兩個更新模組 “被篡改”的更新模組確定為非法的更新模組�。(c)更新用軟件分配部220
圖8是表示更新用軟件分配部220的功能性結構的功能框圖。如該圖所示�,更新用軟件分配部220由接收部701、發(fā)送部702���、加密密鑰生成部 703���、加密處理部704����、認證部705、更新模組選擇部706�����、控制部707、證書生成部708���、簽名秘密密鑰保持部709����、更新用軟件保持部710���、及加密密鑰保持部711構成����。接收部701從更新模組131�����、132���、133接收對保護控制模組120的篡改檢測結果�、 以及更新模組間的相互監(jiān)視結果���。發(fā)送部702在需要將設備100的應用110����、111、保護控制模組120更新的情況下���, 向更新模組131����、132����、133發(fā)送更新處理的委托、更新用軟件���、解密所需要的密鑰等的數(shù)據(jù)�����。加密密鑰生成部703生成在將更新用軟件向更新模組131�����、132、133發(fā)送時使用的加密密鑰����。加密處理部704使用加密密鑰生成部703生成的加密密鑰��,將更新用軟件加密���。此外,加密處理部704使用各更新模組固有的密鑰將加密密鑰加密����。加密密鑰及更新用軟件不是向更新模組131、132����、133 —次發(fā)送全部,而是在更新處理之中���,以需要各個數(shù)據(jù)的定時分別向各更新模組發(fā)送�����。認證部705與更新模組131���、132、133及保護控制模組120進行相互認證�����。更新模組選擇部706在將保護控制模組120更新的情況下,選擇在更新處理中使用的更新模組����。加密處理部704將在更新用的保護控制模組的加密中使用的加密密鑰使用更新模組選擇部706選擇的更新模組固有的密鑰加密。并且�����,發(fā)送部702向更新模組選擇部706選擇的更新模組發(fā)送加密密鑰及更新用的保護控制模組�����?��?刂撇?07控制更新用軟件分配部220的各構成單元��。證書生成部708對更新模組131�、132���、133的認證公開密鑰使用簽名秘密密鑰生成認證證書�。此外,證書生成部708對更新用的保護控制模組使用簽名秘密密鑰���,由設備100 生成用來驗證保護控制模組是否被正確地更新的更新驗證證書。簽名秘密密鑰保持部709保持當證書生成部708生成證書時使用的簽名秘密密鑰��。更新用軟件保持部710保持用來在保護控制模組120被攻擊的情況下更新的更新用的保護控制模組�。加密密鑰保持部711保持加密密鑰生成部703生成的加密密鑰及由加密處理部 704加密的加密密鑰。(d)模組無效化部230圖9是表示模組無效化部230的功能性的結構的功能框圖���。如該圖所示�,模組無效化部230由接收部801����、發(fā)送部802、訪問信息取得密鑰保持部803���、及更新模組選擇部804構成�。接收部801從判斷部210接收將被篡改的非法的更新模組無效化的指示����。此外�����, 接收部801從更新模組131、132��、133接收訪問信息取得密鑰的取得委托����。發(fā)送部802根據(jù)訪問信息取得密鑰的取得委托,將訪問信息取得密鑰向委托源的更新模組發(fā)送����。訪問信息取得密鑰保持部803保持作為用來將訪問控制模組140保持的訪問信息解密的密鑰的訪問信息取得密鑰。
更新模組選擇部804選擇進行被篡改的非法的更新模組的無效化處理的更新模組����,對所選擇的更新模組指示非法的更新模組的無效化。另外��,在從模組選擇部804所選擇的更新模組有訪問信息取得密鑰的取得委托的情況下��,發(fā)送部802對訪問信息取得密鑰附加作為刪除對象的更新模組的識別符��,向上述更新模組發(fā)送�����。1. 2軟件更新系統(tǒng)10的動作接著,說明軟件更新系統(tǒng)10的動作��。(1)整體動作圖10是表示軟件更新系統(tǒng)10整體的處理的流程的流程圖����。軟件更新系統(tǒng)10首先進行初始設定處理(S100)。所謂初始設定處理����,是將為了將保護控制模組120更新而需要的各種密鑰數(shù)據(jù)�����、 在軟件更新后將需要的數(shù)據(jù)(使用秘密分散法分散的分散信息)等分別植入到更新模組 131���、132���、133中的處理。另外����,初始設定處理在將設備100在工廠中制造時進行。然后�,將設備100從工廠出貨���,供用戶使用。當由用戶利用設備100時�,在設備100內(nèi)部中,保護控制模組120從攻擊者的攻擊保護應用110�、111。與此同時�,更新模組131、132�����、133執(zhí)行保護控制模組120的篡改檢測處理���,進行檢查保護控制模組120是否被攻擊的檢測處理(S200)�。接著���,軟件更新系統(tǒng)10在步驟S200中檢測到保護控制模組120的篡改的情況下�, 進行判斷是否需要將保護控制模組120解析����、更新的解析-判斷處理(S300)。接著�,軟件更新系統(tǒng)10進行用來確認更新模組131��、132��、133和更新用軟件分配部 220是否是相互正確的軟件的相互認證處理(S400)���。接著,軟件更新系統(tǒng)10進行恢復處理(S500)���。所謂恢復處理�����,是在包含于更新模組群130中的更新模組間相互進行篡改檢測處理后、將更新用的保護控制模組向設備100安裝����。并且,在設備100中��,是使用向更新模組 131���、132����、133植入的分散信息將保護控制模組更新的處理。然后���,軟件更新系統(tǒng)10進行生成在接著需要保護控制模組的更新的情況下準備����、 更新所需要的密鑰數(shù)據(jù)及分散信息��、植入到各更新模組中的下一輪準備處理(S600)���。然后���, 軟件更新系統(tǒng)10向步驟S200的檢測處理返回,繼續(xù)處理����。這里,軟件更新系統(tǒng)10在步驟S400的相互認證處理�����、以及步驟S400的恢復處理中�����,在檢測到更新模組131、132����、133的篡改的情況下,進行將被篡改的非法的更新模組刪除的無效化處理����。另外,本發(fā)明的軟件更新系統(tǒng)并不是上述所有的處理都是必須的�。軟件更新系統(tǒng)只要有被從外部給出更新的觸發(fā)事件而進行更新的處理(恢復處理)就可以。(2)初始設定處理的動作這里�����,使用圖11到圖13����,對軟件更新系統(tǒng)10的初始設定處理(圖10的S100)的
詳細情況進行說明����。圖12是初始設定處理的時序圖。軟件更新系統(tǒng)10在設備100的工廠制造時��,向設備100的非易失性存儲器安裝應用(110�����、111)、保護控制模組120�、更新模組(131、132���、133)等(S1000)�����。對于這些軟件���,附加了用來驗證軟件是否被篡改的篡改檢測用證書。該篡改檢測用證書由更新服務器200的更新用軟件分配部220保持的簽名秘密密鑰實施了簽名���。另外�����, 在S1000中����,在上述軟件以外還安裝了設備100的動作所需要的軟件。這里��,使用圖11����,對在初始設定處理時植入在設備100中的密鑰進行說明。圖11 是示意地表示植入在設備100中的密鑰的圖��。這里���,在更新模組群130的內(nèi)部中僅包含有更新模組131�。實際上還包含有更新模組132及133���,但這里省略�。如圖11所示����,在保護控制模組120中植入了加解密密鑰��,在更新模組131、132���、133 中植入了簽名公開密鑰、驗證密鑰及認證密鑰對(在該時點�,在更新模組中還沒有植入分散信息的組)�����。進而�,在更新模組131����、132、133中�,植入了用來識別各個更新模組的更新模組識別符,在該狀態(tài)下安裝到設備100中�����。加解密密鑰是用來將應用110���、111加密及解密的密鑰����。應用110��、111在被使用加解密密鑰加密的狀態(tài)下被向非易失性存儲器存儲����,在執(zhí)行時被保護控制模組120使用加解密密鑰解密后執(zhí)行����。設備100在一邊切換上下文一邊執(zhí)行多個應用的情況下�,以上下文切換的定時, 通過使用加解密密鑰進行應用110�����、111使用的數(shù)據(jù)的加密及解密�����,在應用110��、111的執(zhí)行時�,通過調(diào)試器等的解析工具防止數(shù)據(jù)被抽取。植入在更新模組131���、132����、133中的密鑰中的�����、簽名公開密鑰是在全部更新模組中共通的密鑰��。驗證密鑰和認證密鑰對是在各個更新模組中不同的密鑰�����?�;氐綀D12繼續(xù)說明���。在S1000中將各軟件安裝后�,設備100執(zhí)行進行初始設定的軟件�����、以及用來測試是否正常動作的軟件等��,進行初始化(S1001)����。此外,設備100對保護控制模組120�����、以及更新模組
131、132�、133輸出初始化指示。保護控制模組120根據(jù)加解密密鑰使用秘密分散法生成分散信息(SlOO》�。另外, 保護控制模組120生成與具備分散信息保持部308的更新模組的數(shù)量相同數(shù)量的分散信息��。在更新模組131�����、132�、133都具備分散信息保持部308的情況下,保護控制模組120生成3個分散信息���。進而�����,保護控制模組120使用簽名秘密密鑰生成加解密密鑰證書(S1003)�。加解密密鑰證書是用來在加解密密鑰的復原時確認加解密密鑰是否能夠被正確地復原的證書����。保護控制模組120將所生成的分散信息和加解密密鑰證書向更新模組131�����、132、 133 發(fā)送(S1004)��。另外��,保護控制模組120對各更新模組發(fā)送分散信息的組�����,以使更新模組131�����、
132�、133分別保持不同的分散信息的組。進而��,保護控制模組120將表示向哪個更新模組發(fā)送了哪個分散信息的配置信息向各更新模組發(fā)送���。對各更新模組發(fā)送的配置信息是相同的 fn息ο關于根據(jù)加解密密鑰使用秘密分散法生成分散信息的方法���、以及將分散信息向更新模組發(fā)送的方法����,已在專利文獻2的47頁到49頁中詳細地說明�����。通過使專利文獻2中的秘密密鑰d對應于本實施方式的加解密密鑰�����、使認證局裝置對應于保護控制模組120��、使分散信息保持裝置對應于更新模組131�����、132�����、133��,能夠使用與專利文獻2相同的方法���。從保護控制模組120接收到分散信息�����、配置信息及加解密密鑰證書的各更新模組進行更新模組初始化處理(S1005)���。(3)更新模組初始化處理圖13是表示更新模組初始化處理(圖12的S1005)的動作的流程圖���。另外�����,這里僅對更新模組131進行說明����,但更新模組132、及133的動作也基本上相同���。更新模組131從保護控制模組120接收分散信息��、配置信息及加解密密鑰證書�����,將接收到的各信息保持在分散信息保持部308中(S1006)����。進而,更新模組131進行作為篡改檢測對象的更新模組132����、133及保護控制模組 120的篡改檢測用證書的驗證(S1007)。該驗證通過各模組生成哈希值�、將所生成的哈希值與記述在各個篡改檢測用證書中的哈希值比較來進行。如果生成的哈希值與記述在各個篡改檢測用證書中的哈希值一致(S1008中 “是”)����,則對更新模組132、133�、保護控制模組120分別生成MAC值。并且�����,將所生成的MAC 值作為MAC值表保持(S1009)���。如果至少1個哈希值與記述在篡改檢測用證書中的哈希值不一致(S1008中 “否”)�����、更新模組131輸出錯誤并停止(S1010)�。(4)檢測處理的動作接著,使用圖14的時序圖�,對軟件更新系統(tǒng)10的檢測處理(圖10的S200)的詳細情況進行說明。設備100如果結束了初始設定處理則被從工廠出貨��,向用戶的地點運送����,在用戶的地點使用設備100。當在設備100中應用110���、111動作時,在設備100內(nèi)部中��,保護控制模組120控制解密裝載功能���、篡改檢測功能�、解析工具檢測功能等的功能���,將應用110�����、111從攻擊者的攻擊保護�����。在檢測處理中�,首先,更新模組131����、132、133實施保護控制模組120的篡改檢測��。 篡改檢測通過使用驗證密鑰計算保護控制模組120的MAC值���、將計算出的MAC值與保持在 MAC值表中的MAC值比較來進行�����。如果MAC值一致���,則判斷為保護控制模組120沒有被篡改,如果MAC值不一致�����,則判斷為保護控制模組120被篡改。另外��,在圖14中將記載簡略化�����,記載為���,僅更新模組131進行保護控制模組120的篡改檢測����,但當然在更新模組132����、133中也進行同樣的處理。關于然后的處理����,也以更新模組131檢測到保護控制模組120的篡改的情況為中心記載�����,但在更新模組132��、133檢測到保護控制模組120的篡改的情況下也基本上進行同樣的處理。判斷保護控制模組120是否被篡改����、即MAC值是否一致,在判斷為保護控制模組 120被篡改的情況下(S2000中“是”)���,更新模組131將該消息向更新服務器200的判斷部 210及其他更新模組通知(S2001)�。在判斷為保護控制模組120沒有被篡改的情況下(S2000中“否”)�,更新模組131 不向判斷部210及其他更新模組進行通知,向篡改檢測處理返回���。從其他更新模組接受到保護控制模組120被篡改的通知的更新模組使用驗證密鑰及MAC值實施保護控制模組120的篡改檢測(S2002)���。并且,將篡改檢測結果向判斷部 210及其他更新模組通知(S2003)���。判斷部210從更新模組131�、132���、133接收篡改檢測結果�。另外��,也可以是,在步驟S2000的檢測處理時�����,更新模組群130也相互進行篡改檢測處理����,進行確定非法的更新模組的相互監(jiān)視處理。并且�,也可以在確定了非法的更新模組的情況下進行將所確定的更新模組無效化的無效化處理。關于相互監(jiān)視處理及無效化處理的詳細情況在后面敘述�。另外,在相互監(jiān)視處理中���,也可以使用在有關本發(fā)明的實施方式2中說明的方法進行非法模組確定處理���。(5)解析-判斷處理的動作接著,使用圖15的時序圖���,對解析判斷處理(圖10的S300)的詳細情況進行說明����。 另外����,在圖15中,將更新模組131�、132、133分別單獨進行的處理作為更新模組群130進行的處理集中記載���。在圖14的S2001及S2003中����,如果判斷部210從各更新模組接收到保護控制模組 120的篡改檢測結果���,則判斷部210基于接收到的篡改檢測結果�����,判斷保護控制模組120是正常的還是非法的(是否被篡改)��。作為判斷方法的一例���,例如在規(guī)定數(shù)量的更新模組檢測到篡改的情況下,保護控制模組120判斷為非法(被篡改)��,此外����,在不到規(guī)定數(shù)量的更新模組檢測到篡改的情況下���, 保護控制模組120判斷為正常(沒有被篡改)。上述規(guī)定數(shù)也可以設為包含在更新模組群 130中的更新模組的過半數(shù)���。在判斷為保護控制模組120被篡改的情況下(S3000中“是”)����,判斷部210為了判斷是否需要將保護控制模組120恢復�,對更新模組群130委托保護控制模組120的哪個部分被篡改等的篡改信息的通知(S3001)。更新模組群130如果被委托篡改信息的通知��,則收集篡改信息(S3002)�����,向判斷部 210 通知(S3003)��。判斷部210基于篡改信息�����,判斷是將保護控制模組120恢復��、還是將設備100吊銷�����、還是什么都不做(S3004)���。在將保護控制模組120恢復的情況下(S3004中“是”)��,判斷部210準備更新用的保護控制模組(S3006)�,對更新模組群130指示更新處理的開始(S3007)����。此外,在將設備100吊銷的情況下�����,對于向應用110��、111提供服務的服務器委托��,以使其將設備100吊銷 (S3005)����。在什么都不做的情況下(S3004中“否”)�,向檢測處理返回�。在判斷為保護控制模組120是合法(沒有被篡改)的情況下(S3000中“否”),向檢測處理返回���。(6)相互認證處理的動作接著���,使用圖16及圖17的時序圖,說明由軟件更新系統(tǒng)10進行的相互認證處理 (圖10的S400)的詳細情況����。在更新服務器200的判斷部210在解析-判斷處理中判斷為需要將保護控制模組 120恢復的情況下,判斷部210向更新用軟件分配部220指示保護控制模組120的恢復��。更新用軟件分配部220在向更新模組131�、132、133指示更新處理的開始后����,在與各更新模組之間分別進行1對1的相互認證處理。由此���,防止設備100與非法的服務器連接��、或更新服務器200與非法的設備連接��。另外�����,在相互認證處理中��,更新用軟件分配部220 使用簽名秘密密鑰及簽名公開密鑰����,各更新模組使用認證密鑰對(認證秘密密鑰及認證公開密鑰)��。圖16是更新模組131認證更新用軟件分配部220時的時序圖�����。另外���,更新模組 132��、133也與圖16的更新模組131同樣動作��,認證更新用軟件分配部220��。更新模組131使用隨機數(shù)生成器生成隨機數(shù)(挑戰(zhàn)數(shù)據(jù))(S4000)�,將所生成的挑戰(zhàn)數(shù)據(jù)向更新用軟件分配部220發(fā)送(S4001)。此時�����,將用來識別更新模組131的更新模組識別符與挑戰(zhàn)數(shù)據(jù)一起發(fā)送���。更新用軟件分配部220對接收到的挑戰(zhàn)數(shù)據(jù)使用簽名秘密密鑰生成簽名數(shù)據(jù)(S4002)��,將所生成的簽名數(shù)據(jù)作為應答數(shù)據(jù)��,向更新模組131返送 (S4003)�����。更新模組131如果從更新用軟件分配部220接收到應答數(shù)據(jù)���,則使用簽名公開密鑰,驗證應答數(shù)據(jù)是否與挑戰(zhàn)數(shù)據(jù)的簽名數(shù)據(jù)一致(S4004)����。在驗證的結果是應答數(shù)據(jù)正確、更新用軟件分配部220是合法的模組的情況下 (S4005中“是”)����,更新模組131繼續(xù)處理����。在應答數(shù)據(jù)不正確�����、更新用軟件分配部220是非法的模組的情況下(S4005中“否”)�����,更新模組131輸出錯誤�,停止處理(S4006)�。接著,更新用軟件分配部220認證更新模組131���、132�、133��。圖17是更新用軟件分配部220認證各更新模組時的時序圖����。更新用軟件分配部220對發(fā)送來挑戰(zhàn)數(shù)據(jù)的各更新模組使用隨機數(shù)生成器生成分別不同的隨機數(shù)(挑戰(zhàn)數(shù)據(jù))(S4100),將所生成的挑戰(zhàn)數(shù)據(jù)向各更新模組分別發(fā)送 (S4101)。各更新模組對接收到的挑戰(zhàn)數(shù)據(jù)使用認證秘密密鑰而生成簽名數(shù)據(jù)(S4102)����,將所生成的簽名數(shù)據(jù)作為應答數(shù)據(jù)向更新用軟件分配部220返送。此時���,各更新模組與應答數(shù)據(jù)一起�,將認證公開密鑰和認證密鑰證書向更新用軟件分配部220發(fā)送����。更新用軟件分配部220從各個更新模組接收應答數(shù)據(jù)、認證公開密鑰及認證密鑰證書(S4104)����。更新用軟件分配部220驗證認證密鑰證書是否是自身發(fā)行的證書,進而�,使用認證密鑰證書驗證認證公開密鑰的合法性(S4105)。如果認證密鑰證書及認證公開密鑰是非法的����,則更新用軟件分配部220停止處理 (S4106)。如果認證密鑰證書及認證公開密鑰是合法的��,則更新用軟件分配部220使用認證公開密鑰驗證接收到的應答數(shù)據(jù)是否與挑戰(zhàn)數(shù)據(jù)的簽名數(shù)據(jù)一致(S4107)�。接著�����,更新用軟件分配部220判斷返回了正確的應答數(shù)據(jù)的更新模組(合法的更新模組)的數(shù)量是否是預先設定的恢復處理所需要的數(shù)量以上(S4108)����。在合法的更新模組的數(shù)量不到恢復處理所需要的數(shù)量的情況下��,不能執(zhí)行恢復處理��,所以更新用軟件分配部220停止處理(S4106)�����。在合法的更新模組的數(shù)量滿足恢復處理所需要的數(shù)量的情況下�����,結束相互認證處理���,轉移到恢復處理。此外���,更新用軟件分配部220制作記載有在相互認證處理中確認了合法性的全部的更新模組的更新模組識別符的認證列表�����。并且���,在其以后的恢復處理中�����,僅使用在認證列表中記載有識別符的更新模組�����。
(7)恢復處理的動作接著��,使用圖18 23�����,對恢復處理(圖10的S500)的詳細情況進行說明����?��;謴吞幚硎窃谏鲜龅南嗷フJ證處理中相互認證成功的情況下����、將被篡改的保護控制模組120向新的更新用的保護控制模組更新的處理。圖18是表示恢復處理時的動作的流程圖��。首先�����,各更新模組131���、132��、133進行相互監(jiān)視處理(S5000)����。在相互監(jiān)視處理中���, 各更新模組執(zhí)行其他更新模組的篡改檢測處理。進而��,進行使用更新用保護控制模組將保護控制模組120更新的更新處理 (S5100)���。接著�,進行將加密的應用110、111再加密的再加密處理(S5200)���。另外����,本發(fā)明的軟件更新系統(tǒng)并不是上述的全部處理都是必須的���。軟件更新系統(tǒng)只要有被從外部給予更新的觸發(fā)事件���、使用新的保護控制模組將被篡改的保護控制模組120更新的更新處理(S5000)、以及更新模組相互實施篡改檢測的恢復時相互監(jiān)視處理 (S5100)就可以�。(8)相互監(jiān)視處理這里,使用圖19的時序圖���,對相互監(jiān)視處理(圖18的S5000)的詳細情況進行說明�。在相互監(jiān)視處理中,更新模組131、132��、133對更新模組群130內(nèi)的其他更新模組執(zhí)行篡改檢測處理�����。在相互監(jiān)視處理中對哪個更新模組執(zhí)行篡改檢測處理記述在更新模組保持的監(jiān)視模式中�����。在監(jiān)視模式中���,記述有關于作為篡改檢測對象的模組的信息(模組識別符�����、存儲器上的位置�、尺寸��、地址�����、文件名等)��。首先��,更新模組131進行更新模組132的篡改檢測處理(S5001a)�,更新模組132進行更新模組133的篡改檢測處理(S5001b),更新模組133進行更新模組131的篡改檢測處理(S5001c)���。各更新模組使用驗證密鑰計算各更新模組131��、132���、133的MAC值,通過與保持在 MAC值表中的��、在初始設定時計算出的MAC值比較來進行篡改檢測處理��。此外�,各更新模組也可以計算更新模組131、132�����、133的哈希值��,通過將計算出的哈希值���、與記述在對各更新模組預先附加的證書中的哈希值比較來進行篡改檢測處理�。各更新模組將篡改檢測結果向判斷部210通知(S5002)��。判斷部210從各更新模組接收篡改檢測結果(S5003)���,判斷是否有被篡改的更新模組(S5004)�����。在判斷為有被篡改的更新模組的情況下(S5004中“是”)��,判斷部210立即停止恢復處理(S5005)��。在判斷為沒有被篡改的更新模組的情況下(S5004中“否”)�,繼續(xù)處理。(9)更新處理接著�����,使用圖20及圖21的時序圖��,對更新處理(圖18的S5100)的詳細情況進行說明����。首先,更新用軟件分配部220的證書生成部708使用簽名秘密密鑰生成更新驗證證書(S5101)�����。更新驗證證書是各更新模組131����、132����、133用來確認是否能夠正確地安裝新的保護控制模組的證書�����。更新用軟件分配部220將所生成的證書向各更新模組發(fā)送 (S5102)�����。接著,更新用軟件分配部220的加密密鑰生成部703生成兩個用來將新的保護控制模組多重加密的加密密鑰(第1密鑰及第2密鑰)(S5103)�。加密處理部704使用第2密鑰將新的保護控制模組加密����,生成加密新保護控制模組(S5104)����。加密處理部704對加密新保護控制模組使用第1密鑰再進行加密��,生成多重加密新保護控制模組(S5105)���。更新用軟件分配部220從更新模組群130中選擇一個合法的更新模組(S5106)���,將所選擇的更新模組的識別符向判斷部210通知。在S5106中�,選擇存儲在判斷部210內(nèi)的非法模組確定部604中的非法的更新模組以外的更新模組。這里����,作為一例而選擇更新模組 131。更新用軟件分配部220向所選擇的更新模組131發(fā)送多重加密新保護控制模組 (S5107)�,還發(fā)送第1密鑰(S5108)。更新模組131接收多重加密新保護控制模組和第1密鑰�����。更新模組131使用第1 密鑰將多重加密新保護控制模組解密,取得加密新保護控制模組(S5109)��。并且���,如果解密結束�,則將該消息向更新用軟件分配部220通知(S5110)��。更新用軟件分配部220如果接收到解密結束通知�����,則從更新模組群130中選擇一個是合法的模組���、且與在S5106中選擇的更新模組不同的更新模組(S5112)�。這里�,作為一例,假設選擇更新模組132�。更新模組的選擇與上述同樣,選擇存儲在判斷部210內(nèi)的非法模組確定部604中的非法的更新模組以外的更新模組��。更新用軟件分配部220對所選擇的更新模組132發(fā)送第2密鑰(S5113)�。進而��,更新用軟件分配部220對更新模組131委托,以使其將在S5109中取得的加密新保護控制模組向更新模組132發(fā)送(S5114)�。更新模組131接受來自更新用軟件分配部220的委托,將加密新保護控制模組向更新模組132發(fā)送(S5115)��。更新模組132從更新用軟件分配部220接收第2密鑰����,從更新模組131接收加密新保護控制模組。并且����,使用第2密鑰將加密新保護控制模組解密,取得新的保護控制模組 (S5117)��。更新模組132將在S5117中取得的新的保護控制模組覆蓋到保護控制模組120上并更新(S5118)�����。并且�����,更新模組132將更新的結束向其他更新模組通知(S5119)����。接著��, 各更新模組131����、132�����、133分別使用事前接收到的更新驗證證書����,驗證保護控制模組是否被正確地更新(S5120),將驗證結果向更新用軟件分配部220通知(S5121)����。更新用軟件分配部220如果接收到從各更新模組發(fā)送的驗證結果通知,則判斷保護控制模組是否被正確地更新(S5122)���。在判斷為沒有被正確地更新的情況下(S5121中 “否”)���,更新用軟件分配部220使設備100停止(S5123)。在被正確地更新的情況下(S5121中“是”)�,更新用軟件分配部220將更新處理結束向各更新模組通知(S51M)。各更新模組如果接收到更新處理結束通知�����,則生成新的保護控制模組的MAC值��, 將所生成的MAC值和保護控制模組的識別符的組寫入到MAC值表中(S5125)�����。
如以上說明���,在更新處理中��,更新用軟件分配部220將更新用的新保護控制模組使用多個密鑰多重加密�,向更新模組群130發(fā)送����。更新模組群130用接收到的新保護控制模組將保護控制模組120更新。此時���,更新用軟件分配部220通過控制將用來將多重加密的新保護控制模組解密的多個密鑰向更新模組群130發(fā)送的定時���,使攻擊者難以得到?jīng)]有被加密的新保護控制模組。(10)相互監(jiān)視處理與更新處理的關系將上述的相互監(jiān)視處理和更新處理一邊相互協(xié)同一邊執(zhí)行����。相互監(jiān)視處理在從更新用軟件分配部220以包含在更新模組群130中的更新模組為發(fā)送目標發(fā)送多個密鑰時�����、和包含在加密的更新用保護控制模組的更新模組群130中的更新模組中的解密處理中被定期地實施��。定期實施時的時間間隔例如是比更新用保護控制模組被通過通信路徑完全輸出到外部的時間短的間隔�。如果被完全輸出到外部花費1秒���, 則例如以比其短的500毫秒間隔的定時執(zhí)行監(jiān)視處理����,這里����,使用圖22,對相互監(jiān)視處理和更新處理的協(xié)同動作進行說明���。首先��,設備100在被從更新服務器200發(fā)送多重加密新保護控制模組之前�����,實施相互監(jiān)視處理(相互監(jiān)視1)����。這是為了使得不會選擇非法的更新模組而進行更新處理��。然后�����,設備100在更新模組131接收由更新服務器200發(fā)送的第1密鑰之前實施相互監(jiān)視處理(相互監(jiān)視2�、,當設備100接收第1密鑰時確認沒有選擇非法的更新模組���。進而���,更新模組131接收第1密鑰,在使用第1密鑰將多重加密新保護控制模組解密的期間中�����,定期地將更新模組131的解密處理中斷���,實施相互監(jiān)視處理(相互監(jiān)視3-1�、 3-2)。由此���,即使在解密處理中更新模組131���、132、133被攻擊�����,也能夠在加密新保護控制模組全部泄漏之前檢測到更新模組被攻擊而防止泄漏�。其以后的處理與上述是同樣的。S卩��,設備100在更新模組132接收由更新服務器 200發(fā)送的第2密鑰之前�,實施監(jiān)視處理(相互監(jiān)視4),當設備100接收密鑰時���,確認在更新處理中沒有選擇非法的更新模組�。進而���,更新模組132接收第2密鑰��,在使用第2密鑰將加密新保護控制模組解密的期間中��,定期地將更新模組132的解密處理中斷����,實施相互監(jiān)視處理(相互監(jiān)視5-1、5-2)�����。 最后�,實施相互監(jiān)視處理(相互監(jiān)視6)����。由此,能夠在新保護控制模組全部泄漏之前檢測到更新模組被攻擊�、防止泄漏。這里�,在相互監(jiān)視處理中,在更新模組中檢測到篡改的情況下���,將恢復處理停止���。 由此,更新服務器200能夠將第1密鑰及第2密鑰的發(fā)送中止,攻擊者不能得到用來將多重加密新保護控制模組解密的密鑰��。(11)再加密處理接著��,使用圖23的時序圖��,對再加密處理(圖18的S5200)的詳細情況進行說明�����。首先���,更新后的保護控制模組(在圖23及圖M的說明中��,為了與更新前的保護控制模組120區(qū)別而稱作“保護控制模組121”)對各更新模組131����、132���、133委托各自保持的分散信息及加解密密鑰證書的發(fā)送(S5201)�����。各更新模組131�����、132���、133接受來自保護控制模組121的委托����,發(fā)送分散信息及加解密密鑰證書(S5202)�。
保護控制模組121從各更新模組131、132���、133接收分散信息及加解密密鑰證書 (S5203),根據(jù)接收到的分散信息將更新前的保護控制模組120使用的加解密密鑰(這里稱作“舊加解密密鑰”)復原(S5204)����。進而,保護控制模組121使用加解密密鑰證書�,驗證舊加解密密鑰是否被正確地復原(S5205)。在舊加解密密鑰沒有被正確地復原的情況下(S5205中“否”)�,保護控制模組121 找出非法的更新模組(確定哪個更新模組發(fā)送了非法的分散信息)(S5206)。將所確定的非法的更新模組向更新服務器200通知�����。在舊加解密密鑰沒有被正確地復原的情況下(S5205中“是”),保護控制模組121 的加解密密鑰生成部408生成新的加解密密鑰(這里稱作“新加解密密鑰”)(S5207)�����。并且�����,解密裝載部404將使用舊加解密密鑰加密的應用(110���、111)解密��,使用新加解密密鑰將應用(IlOUll)再加密(S5208)�。這里����,對在S5206中用來確定非法的更新模組的方法進行說明。首先���,保護控制模組121從各更新模組收集分散信息的組�,對收集的分散信息附加用來識別各更新模組的識別信息��。然后����,將在初始設計時被設定為相同的值而分配的分散信息彼此匯集為組���。并且, 將包含在各組中的分散信息彼此的值比較�����,將為相同的值的分散信息彼此再匯集為1個子組��。并且�����,生成所有的從全部的組中將子組各選出1個的組合��。對所生成的組合分別生成舊加解密密鑰�����,驗證是否能夠生成正確的舊加解密密鑰���。在驗證OK的情況下,對包含在該組合中的子組附加表示驗證OK的驗證通過識別信息����。對所有的組合進行舊加解密密鑰的生成�����、驗證后����,將包含在帶有驗證通過識別信息的子組中的分散信息去除�����。沒有被去除而留下的分散信息為非法的值���。所以��,通過對該分散信息附加的識別信息�,能夠確定發(fā)送來為非法的值的分散信息的更新模組��。確定由識別信息確定的更新模組是非法的更新模組�。關于根據(jù)分散信息復原舊加解密密鑰的方法及非法的更新模組的確定方法,已在專利文獻2的50頁到52頁詳細地說明����。通過使專利文獻2中的秘密密鑰d對應于本實施方式的加解密密鑰����、使認證局裝置對應于本實施方式的保護控制模組121�����、使分散信息保持裝置對應于更新模組131���、132��、133�,能夠使用與專利文獻2相同的方法�。此外�,作為在S5206中用來確定非法的更新模組的方法,也可以使用在后述的實施方式2中詳細說明的非法模組確定方法����。(12)下一輪準備處理的動作接著,使用圖M的時序圖�����,對下一輪準備處理(圖10的S600)的詳細情況進行說明��。在下一輪準備處理中���,在恢復處理的結束后��、進行用于下個恢復處理的準備����。以下�����,具體地進行說明。首先���,保護控制模組121根據(jù)新加解密密鑰���,使用秘密分散法生成分散信息 (S6000),進而�,使用簽名秘密密鑰,生成新加解密密鑰證書(S6001)��。并且�,保護控制模組 121將所生成的分散信息和加解密密鑰證書向各更新模組131、132�����、133發(fā)送(S6002)���。這里���,與初始設計處理時同樣,將分散信息生成與更新模組的數(shù)量相同數(shù)量����,并發(fā)送,以使各個更新模組保持不同的分散信息的對���。新加解密密鑰證書被向各更新模組131���、132、133發(fā)送相同的證書����。各更新模組131、132�����、133從保護控制模組121接收分散信息和新加解密密鑰證書����,將接收到的分散信息和新加解密密鑰證書保持在分散信息保持部308中(S6003)。(13)無效化處理的動作接著��,使用圖25的時序圖���,對無效化處理的詳細情況進行說明�����。無效化處理是在存在在相互認證時認證失敗的更新模組的情況下�、在恢復處理內(nèi)的監(jiān)視處理中檢測到被篡改的更新模組的情況下、在恢復處理內(nèi)的再加密處理中找出了非法的更新模組的情況下等�����、將存在于設備100內(nèi)部中的非法的(被篡改的)模組無效化的處理�����。這里���,以更新模組133被篡改�����、更新模組131及132檢測到該狀況的情況下的處理為例�����,說明無效化處理的動作的詳細情況��。判斷部210基于從更新模組131�����、132���、133接收到的相互監(jiān)視結果,判斷哪個更新模組被篡改了(S7001)��。作為判斷方法�����,例如將判斷為過半數(shù)的更新模組“被篡改”的更新模組判斷為非法的更新模組����。判斷部210將無效化的指示與被篡改的更新模組的識別信息一起向模組無效化部 230 輸出(S7002)。模組無效化部230向判斷為沒有被篡改的更新模組131及132的某個(這里設為更新模組131)委托被篡改的更新模組133的無效化(S7003)�����。更新模組131如果從模組無效化部230接收到更新模組133的無效化委托����,則對模組無效化部230委托用來將更新模組133無效化的訪問信息取得密鑰的發(fā)送(S7004)。 進而���,更新模組131向訪問控制模組140委托用來將更新模組133無效化的訪問信息的取得(S7005)����。模組無效化部230如果接收到訪問信息取得密鑰的發(fā)送委托,則確認更新模組 131是否是合法的(沒有被篡改的)更新模組����、以及被委托的訪問信息取得密鑰是否是用來將非法的(被篡改的)更新模組133無效化的訪問信息取得密鑰(S7006)。該確認利用從判斷部210向模組無效化部230通知的更新模組的信息來進行��。在確認的結果為是來自被篡改的更新模組133的委托�、或者是對沒有被篡改的更新模組131、132的訪問信息取得密鑰的取得委托的情況下(S7006中“否”)��,將無效化處理停止���。如果確認的結果是沒有問題(S7006中“是”)����,則向委托來的更新模組131發(fā)送用來使更新模組133無效化的訪問信息取得密鑰(S7008)����。更新模組131從模組無效化部230接收訪問信息取得密鑰,再從訪問控制模組140 接收加密的訪問信息(S7009)��。更新模組131根據(jù)訪問信息取得密鑰和加密的訪問信息����,取得訪問信息(S7010)��。所取得的訪問信息是用來將更新模組133刪除的專用驅動器�����。更新模組131利用專用驅動器將被篡改的非法的更新模組133刪除(S7011)�。更新模組131如果無效化處理結束,則將訪問信息取得密鑰���、加密的訪問信息��、以及訪問信息等刪除����,向模組無效化部230發(fā)送完成通知(S7012)�����。模組無效化部230如果從更新模組131接收到完成通知���,則向判斷部210發(fā)送無效化的完成通知(S7013)����。這里,在步驟S7003中���,對更新模組131委托被篡改的更新模組133的無效化處理�,但作為選擇1個合法的更新模組的方法����,也可以使用有關本發(fā)明的非法模組確定處理的結果選擇1個合法的模組。另外���,在通過無效化處理將具備分散信息保持部308的更新模組無效化的情況下,將該更新模組保持的分散信息也刪除��。所以���,在將具備分散信息保持部308的更新模組無效化的情況下��,需要進行考慮到分散信息的刪除的無效化處理�����。關于考慮到分散信息的刪除的無效化處理��,已在專利文獻2的56頁到64頁中作為“脫離處理”詳細地說明���。通過使專利文獻2中的秘密密鑰d對應于本實施方式的加解密密鑰��、使分散信息保持裝置對應于本實施方式的更新模組131�����、132�、133����,能夠使用與專利文獻2相同的方法。另外����,為了進行考慮到分散信息的刪除的無效化處理,除了無效化的非法的更新模組以外���,需要最低3個合法的更新模組�。在無效化處理中使用保護控制模組120 的情況下,只要用與初始設計時相同的方法再次生成分散信息并分配就可以��。如以上說明���,由于更新模組群130內(nèi)的多個更新模組進行相互監(jiān)視處理����,所以能夠檢測到被篡改的更新模組�,能夠提高軟件更新系統(tǒng)的可靠性。此外�,由于將被篡改的更新模組無效化,所以能夠防止由被篡改的更新模組進行的非法動作�����。2.實施方式2這里�����,參照附圖對有關本發(fā)明的非法模組無效化系統(tǒng)的實施方式2進行說明��。在上述實施方式1中����,作為確定被篡改的非法的更新模組的方法�����,例如在判斷為過半數(shù)等一定數(shù)量的更新模組“被篡改”的情況下,將該判斷的更新模組判斷為非法的更新模組���。但是���,在更新模組被篡改的情況下���,有可能將實際上沒有被篡改的模組誤判斷為 “被篡改”����、或將實際上被篡改的模組誤判斷為“沒有被篡改”。這樣�,可以想到不能將應無效化的更新模組無效化的情況、或將不應無效化的模組無效化的狀況����。另外,在非專利文獻3中�,記載有用來通過模組的相互監(jiān)視進行故障診斷的技術。但是���,在該技術中�����,由于限制了系統(tǒng)內(nèi)的故障數(shù)�����,所以與實施方式1的情況同樣有可能進行誤判斷����。所以,在實施方式2中�,根據(jù)篡改檢測結果的矛盾確定非法的更新模組。2. 1軟件更新系統(tǒng)IOa的結構使用圖79對有關實施方式2的軟件更新系統(tǒng)IOa的結構進行說明����。如該圖所示,軟件更新系統(tǒng)IOa將信息處理裝置IOOa和非法模組確定裝置200a 經(jīng)由網(wǎng)絡連接而構成���。信息處理裝置IOOa包括模組131�、模組132��、模組133���。這些模組相互進行篡改檢測處理��,將篡改檢測結果經(jīng)由網(wǎng)絡向非法模組確定裝置200a發(fā)送�����。另外�,信息處理裝置IOOa 也可以構成為��,使其包括更多的模組�。非法模組確定裝置200a由接收機構2310、判斷機構210a����、以及無效化機構2320 構成。接收機構2310從信息處理裝置IOOa的模組131����、132、133接收篡改檢測結果��。判斷機構210a將上述多個模組中的一個假定為正常模組�,基于上述假定,判斷接收到的多個篡改檢測結果中的矛盾的有無��,在有矛盾的情況下,將假定為正常模組的上述模組確定為非法模組��。
判斷機構210a如圖79所示���,由假定正常模組群存儲機構2330����、假定機構2340��、假定正常模組群生成機構2350����、矛盾檢測機構2360、以及確定機構2370構成����。假定正常模組群存儲機構2330存儲假定為正常模組的模組的識別信息。假定機構2340從模組131�、132、133中選擇一個�����,假定為正常模組��,將識別信息記錄到假定正常模組群存儲機構2330中。假定正常模組群生成機構2350反復進行將由假定機構2340假定為正常模組的上述模組作為起點�����、將篡改檢測處理的結果為沒有檢測到篡改的模組假定為正常模組����、將識別信息記錄到假定正常模組群存儲機構2330中的順序動作�。矛盾檢測機構2360判斷在由與存儲在假定正常模組群存儲機構2330中的識別信息對應的模組進行的篡改檢測結果中是否有矛盾。確定機構2370在由矛盾檢測機構2360檢測到矛盾的情況下��,將在假定機構2340 中假定為正常模組的上述模組確定為非法模組����。無效化機構2320輸出所確定的非法模組的無效化指示。2. 2軟件更新系統(tǒng)IOb的結構這里���,對有關本發(fā)明的實施方式2更具體地說明����。(1)整體結構圖80是表示作為用來更具體地說明實施方式2的實施例的軟件更新系統(tǒng)IOb的結構的框圖��。如該圖所示����,軟件更新系統(tǒng)IOb由作為有關本發(fā)明的信息處理裝置的設備100b�、 和作為有關本發(fā)明的非法模組確定裝置的更新服務器200b構成��。并且���,設備IOOb及更新服務器200b經(jīng)由網(wǎng)絡連接����。設備IOOb由應用110����、應用111、保護控制模組120����、更新模組群130b、及訪問控制模組140構成���。更新服務器200b由判斷部210b��、更新用軟件分配部220����、模組無效化部230、及通信部240構成���。在圖80中��,對具有與實施方式1同樣的功能的構成單元�,賦予與圖1相同的標號����, 省略詳細的說明��。以下�����,對實施方式2的特征性的構成單元及處理詳細地說明�����。(2)更新模組群130b的結構圖沈是表示實施方式2的更新模組群130b的結構的圖���。如該圖所示���,實施方式2的更新模組群130b包括更新模組131���、132、133��、134�����、135���、 136���、及137這7個更新模組。各更新模組的結構與實施方式1是同樣的(參照圖2)��。(3)判斷部210b的結構圖27是功能性地表示有關實施方式2的判斷部210b的結構的功能框圖��。如該圖所示���,判斷部210b由接收部601��、發(fā)送部602���、指示生成部603��、模組確定部 604b��、以及循環(huán)檢測部606構成���。并且,在模組確定部604的內(nèi)部中具備非法模組確定部 605���。與實施方式1的判斷部210的不同點是在模組確定部604的內(nèi)部中具備非法模組確定部605這一點�、以及具備循環(huán)檢測部606這一點��。(a)非法模組確定部605的結構
這里���,對作為實施方式2的特征性的構成單元的非法模組確定部605的詳細的結構進行說明。圖觀是表示非法模組確定部605的功能性的結構的功能框圖�。如該圖所示,非法模組確定部605由確定指示接收部651�����、確定結果發(fā)送部652����、正常模組假定部653�����、驗證結果判斷部654����、假定正常更新模組群提取部655�、矛盾檢測部656、以及循環(huán)監(jiān)視模式取得部 657構成���。確定指示接收部651如果從指示生成部603接受到非法的更新模組的確定的指示和更新模組群130b的相互監(jiān)視結果(篡改檢測結果)�����,則確定指示接收部561對正常模組假定部653輸出上述指示�。確定結果發(fā)送部652如果從矛盾檢測部656接受到非法的更新模組的確定結果�, 則將確定結果向指示生成部603輸出。正常模組假定部653如果從確定指示接收部651接受到指示��,則選擇一個更新模組群130內(nèi)的更新模組�����,將所選擇的更新模組假定為正常的更新模組。并且���,將所選擇的更新模組作為假定正常更新模組群�。假定正常更新模組群是由被正常模組假定部653假定為正常的模組的更新模組構成的概念上的組���。具體而言���,正常模組假定部653生成包括假定是正常的全部的更新模組的識別信息的假定正常更新模組群構成信息。正常模組假定部653將所選擇的更新模組的識別號碼向矛盾檢測部656輸出�。此外,將假定正常更新模組群構成信息向驗證結果判斷部6M輸出��。正常模組假定部653將循環(huán)監(jiān)視模式取得的指示向循環(huán)監(jiān)視模式取得部657輸出��。如果從循環(huán)監(jiān)視模式取得部657接受到確定結果��,則正常模組假定部653將循環(huán)監(jiān)視模式內(nèi)的更新模組以外的更新模組假定為正常的更新模組��。另外�����,對循環(huán)監(jiān)視模式的詳細情況在后面敘述��。如果從矛盾檢測部656接受到?jīng)]有矛盾的通知�,則正常模組假定部653將與所選擇的更新模組不同的更新模組假定為正常的更新模組,包含到假定正常更新模組群中�。并且,將假定正常更新模組群構成信息更新�。正常模組假定部653將更新后的假定正常更新模組群構成信息向驗證結果判斷部6M輸出。驗證結果判斷部6M如果從正常模組假定部653接受到假定正常更新模組群構成信息�����,則判斷由假定正常更新模組群內(nèi)的更新模組進行的對其他更新模組的篡改檢測結
果ο驗證結果判斷部6M在由假定正常更新模組群內(nèi)的更新模組進行的對其他更新模組的篡改檢測結果是正常的情況下�,將驗證后的更新模組看作是正常的更新模組。即��,能夠將判斷正常的更新模組為“正?���!钡母履=M看作正常的更新模組。并且��,驗證結果判斷部6M將看作正常的更新模組的識別信息�����、與從正常模組假定部653接受到的假定正常更新模組群構成信息向假定正常更新模組群提取部655輸出����。在不存在能夠看作正常的更新模組的情況下���,驗證結果判斷部肪4將該消息向假定正常更新模組群提取部655輸出。此外�,驗證結果判斷部6M在從假定正常更新模組群提取部655接收到假定正常更新模組群構成信息的情況下也進行同樣的處理。
假定正常更新模組群提取部655接受能夠看作正常的更新模組的識別號碼和假定正常更新模組群構成信息���。并且����,將接受到的識別號碼向接受到的假定正常更新模組群構成信息追加�����,將構成信息更新�����。假定正常更新模組群提取部655將更新后的假定正常更新模組群構成信息向驗證結果判斷部6M輸出�。如果從驗證結果判斷部6M接受到不存在能夠看作正常的更新模組的通知����,則假定正常更新模組群提取部655向矛盾檢測部656輸出假定正常更新模組群構成信息�����。矛盾檢測部656如果從假定正常更新模組群提取部655接受到假定正常更新模組群構成信息�,則進行矛盾檢測處理�。關于詳細情況在后面敘述。在檢測到矛盾的情況下��,能夠確定在正常模組假定部653中假定為正常的更新模組是非法的更新模組���。所以���,矛盾檢測部656將確定了非法的更新模組的消息向確定結果發(fā)送部652通知。在沒有檢測到矛盾的情況下�����,矛盾檢測部656向正常模組假定部653通知沒有矛盾�。此外,矛盾檢測部656在從循環(huán)監(jiān)視模式取得部657接受到循環(huán)監(jiān)視模式的情況下�����,判斷是否存在循環(huán)監(jiān)視模式內(nèi)的更新模組對循環(huán)監(jiān)視模式內(nèi)的其他更新模組進行篡改檢測處理的結果是判斷為非法的更新模組���。在存在非法的更新模組的情況下����,將包含在循環(huán)監(jiān)視模式中的全部的更新模組確定為非法模組。進而����,矛盾檢測部656驗證在循環(huán)監(jiān)視模式內(nèi)的更新模組進行篡改檢測處理的循環(huán)監(jiān)視模式外的同一更新模組的檢測結果中是否有矛盾。在有矛盾的情況下�,確定包含在循環(huán)監(jiān)視模式中的全部的更新模組是非法模組。并且�����,如果確定了包含在循環(huán)監(jiān)視模式中的全部的更新模組是非法模組����,則矛盾檢測部656將該消息向確定結果發(fā)送部652及正常模組假定部653輸出。循環(huán)監(jiān)視模式取得部657如果從正常模組假定部653接受到取得指示��,則向循環(huán)檢測部606輸出循環(huán)監(jiān)視模式的取得指示��。此外��,如果從循環(huán)檢測部606接受到循環(huán)監(jiān)視模式��,則向矛盾檢測部656輸出循環(huán)監(jiān)視模式��。(b)循環(huán)檢測部606的結構這里�����,對作為實施方式2的特征性的構成單元的循環(huán)檢測部606的詳細的結構進行說明��。圖四是表示循環(huán)檢測部606的功能性的結構的功能框圖����。如該圖所示,循環(huán)檢測部606由取得指示接收部661�����、循環(huán)監(jiān)視模式發(fā)送部662����、循環(huán)監(jiān)視模式取得部663、已取得循環(huán)監(jiān)視模式存儲部664���、監(jiān)視模式存儲部665�、以及循環(huán)監(jiān)視模式存儲部666構成��。取得指示接收部661如果從非法模組確定部605接受到循環(huán)監(jiān)視模式的取得指示,則向循環(huán)監(jiān)視模式取得部663輸出指示�。循環(huán)監(jiān)視模式發(fā)送部662如果從循環(huán)監(jiān)視模式取得部663取得循環(huán)監(jiān)視模式,則將所取得的循環(huán)監(jiān)視模式向非法模組確定部605輸出����。循環(huán)監(jiān)視模式取得部663從循環(huán)監(jiān)視模式存儲部666讀出循環(huán)監(jiān)視模式,判斷包含在所讀出的循環(huán)監(jiān)視模式中的一群更新模組向一方向循環(huán)進行的篡改檢測處理的結果是否都為正常����。在都為正常的情況下,循環(huán)監(jiān)視模式取得部663將從循環(huán)監(jiān)視模式存儲部 666讀出的該循環(huán)監(jiān)視模式向循環(huán)監(jiān)視模式發(fā)送部662輸出���。此外����,將該循環(huán)監(jiān)視模式向已取得循環(huán)監(jiān)視模式存儲部664輸出��。
已取得循環(huán)監(jiān)視模式存儲部664存儲從循環(huán)監(jiān)視模式取得部663取得的循環(huán)監(jiān)視模式�。監(jiān)視模式存儲部665存儲有包含在更新模組群130b中的更新模組間的監(jiān)視模式。 所謂監(jiān)視模式��,是記述有當包含在更新模組群130b中的更新模組131 137相互進行篡改檢測處理時的����、關于監(jiān)視對象(驗證對象)的模組的信息的模式�。具體而言�����,在監(jiān)視模式中����, 記述有模組識別符�����、存儲器上的位置����、尺寸、地址���、文件名等����。使用圖30所示的具體例進行說明�。在圖30中,為了使監(jiān)視模式的說明變得容易, 將監(jiān)視模式用有方向曲線表示����。箭頭從監(jiān)視源(驗證源)的更新模組朝向監(jiān)視目標(驗證目標)的更新模組。例如��,因為箭頭2000從更新模組131朝向更新模組132���,所以更新模組131進行更新模組132的篡改驗證處理�����。因為箭頭2001從更新模組131朝向更新模組134����,所以更新模組131還進行更新模組134的篡改驗證處理�。因為箭頭2003從更新模組133朝向更新模組131,所以更新模組133進行更新模組131的篡改檢測處理���。循環(huán)監(jiān)視模式存儲部666取得存儲在監(jiān)視模式存儲部665中的監(jiān)視模式���,從整體的監(jiān)視模式中檢測向一方向循環(huán)進行篡改檢測處理的一群更新模組,生成循環(huán)監(jiān)視模式���。 并且��,循環(huán)監(jiān)視模式存儲部666將所生成的循環(huán)監(jiān)視模式存儲����。所謂循環(huán)監(jiān)視模式,是對于向一方向循環(huán)進行篡改檢測處理的多個更新模組記述有關于監(jiān)視對象(驗證對象)的模組的信息的模式����。具體而言��,在循環(huán)監(jiān)視模式中���,記述有模組識別符����、存儲器上的位置����、尺寸、地址�、文件名等。利用圖30所示的具體例進行說明���。所謂向一方向循環(huán)而進行篡改檢測處理的一群更新模組�����,例如是更新模組131��、更新模組132��、及更新模組133�。如圖30的箭頭所示,具有更新模組131驗證更新模組132���、更新模組132驗證更新模組133���、更新模組133驗證更新模組131的關系。記述這些更新模組131��、132�����、及133的信息的是循環(huán)監(jiān)視模式����。此外��,在圖30中�,更新模組131����、更新模組132、更新模組135����、更新模組137、更新模組133也向一方向循環(huán)而進行篡改檢測處理���,更新模組133、更新模組136��、更新模組137 也向一方向循環(huán)而進行篡改檢測處理�����。這樣�,循環(huán)監(jiān)視模式存儲部666能夠從圖30的監(jiān)視模式生成多個循環(huán)監(jiān)視模式。(b)相互監(jiān)視結果(篡改檢測結果)的矛盾這里���,對篡改檢測結果的矛盾進行說明�。在更新模組群130b以圖30所示的監(jiān)視模式相互進行篡改檢測處理的情況下,更新模組131 137將各個篡改檢測結果向更新服務器200b的判斷部210b發(fā)送��。圖31是表示判斷部210b接收到的檢測結果的圖��。在圖31中�,將“沒有被篡改”的檢測結果用與箭頭對應而記載的〇記號表示,將“被篡改”的檢測結果用與箭頭對應而記載的χ記號表示��。例如����,〇記號2010表示更新模組131進行更新模組132的篡改檢測處理的結果是判斷為“沒有被篡改”。此外�����,〇記號2011表示更新模組131進行更新模組134的篡改檢測處理的結果是判斷為“沒有被篡改”�����。
此外���,〇記號2012表示更新模組133進行更新模組131的篡改檢測處理的結果是判斷為“沒有被篡改”���。此外����,X記號2013表示更新模組134進行更新模組136的篡改檢測處理的結果是判斷為“被篡改”���。此外����,X記號2014表示更新模組133進行更新模組136的篡改檢測處理的結果是判斷為“被篡改”�����。另外�����,在圖31中�����,對應于全部的箭頭而記載有檢測結果��。這表示判斷部210b完成了全部的篡改檢測結果的接收�����。接著�,使用圖32對矛盾進行說明。首先����,將更新模組132假定為正常的更新模組。 并且�,更新模組133及135如由〇記號2015及〇記號2016表示那樣,都被更新模組132判斷為“沒有被篡改”����。可以假定由正常的更新模組132判斷為“沒有被篡改”的更新模組133 及135都是正常的模組�����。但是�����,如由X記號2017表示那樣�����,被假定是正常的模組的更新模組133將更新模組135判斷為“被篡改”,作為正常的模組的更新模組132的篡改檢測結果�、與作為正常的模組的更新模組133的篡改檢測結果不一致。將這樣的情況稱作篡改檢測結果的矛盾�����。(4)非法模組確定處理的動作這里�����,使用圖33及圖42�,對軟件更新系統(tǒng)IOb的非法的更新模組的確定處理的動作進行說明。(a)通常的監(jiān)視模式的情況圖33是表示非法模組確定處理的動作的流程圖�。非法模組確定部605對全部的更新模組重復步驟S8001到步驟S8006的處理 (S8000)。以下�,使用圖34所示的篡改檢測結果作為具體例,說明對于更新模組131的非法模組確定處理的動作���。首先��,正常模組假定部653將更新模組131假定為正常的更新模組��,生成僅包括更新模組131的假定正常更新模組群(S8001)。接著����,驗證結果判斷部肪4判斷是否存在在由包含在假定正常更新模組群中的更新模組131進行的篡改檢測處理中被判斷為“沒有被篡改(正常)”的更新模組(S8002)���。根據(jù)圖;34���,如〇記號2021及〇記號2022所示�,更新模組132及更新模組1�;34被判斷為正常。在存在被判斷為正常的更新模組的情況下(S8002中“是”)�,驗證結果判斷部6M 將被判斷為正常的更新模組132及更新模組134識別信息向假定正常更新模組群提取部 655輸出。假定正常更新模組群提取部655將接受到的識別信息追加到假定正常更新模組群中��。由此��,將被判斷為正常的更新模組132及更新模組134追加到假定正常更新模組群中(S8003)�����。同樣��,驗證結果判斷部肪4判斷是否存在在由包含在假定正常更新模組群中的更新模組132及更新模組134進行的篡改檢測處理中被判斷為正常的更新模組(SSOO》�����。如 〇記號2023表示那樣,更新模組133被判斷為正常���,所以將更新模組133追加到假定正常更新模組群中(S8003)�����。同樣��,驗證結果判斷部肪4判斷是否存在在由包含在假定正常更新模組群中的更新模組133進行的篡改檢測處理中被判斷為正常的更新模組(SSOO》���。如〇記號20M及〇 記號2025表示那樣,更新模組131及更新模組136被判斷為正常�����,所以將更新模組136追加到假定正常更新模組群中(S8003)��。在包含在假定正常更新模組群中的更新模組不再存在判斷為正常的更新模組的情況下(S8002中“否”)�����,矛盾檢測部656判斷在包含在假定正常更新模組群中的更新模組的驗證結果中是否有矛盾(S8004)����。此時�,形成了圖34所示的假定正常更新模組群2031�����。如果觀察包含在假定正常更新模組群2031中的更新模組的驗證結果���,則由更新模組133進行的對更新模組136的驗證結果是〇記號2025,相對于此����,由更新模組134進行的對更新模組136的驗證結果是X記號2(^6,所以在驗證結果中有矛盾����。在假定正常更新模組內(nèi)有矛盾的情況下(S8004中“是”),在步驟S8001中�,假定為正常的更新模組131為假定錯誤。即�,確定更新模組131為非法的更新模組(S8005)。在假定正常更新模組內(nèi)沒有矛盾的情況下(S8004中“否”)�,在步驟S8001中,不進行對假定為正常的更新模組131的確定(S8006)�����。接著,回到步驟S8000����,將其他更新模組假定為正常,進行從步驟S8001到步驟 S8006的處理��。對包含在更新模組群130b中的全部的更新模組重復步驟S8001到步驟S8006的處理直到結束(S8007)�。這樣,實施方式2的非法模組確定處理作為判斷對象而著眼于一個更新模組����,在將該更新模組假定為正常的模組后,基于該假定驗證在各更新模組的篡改檢測結果中是否有矛盾��。并且��,在有矛盾的情況下��,將判斷對象的更新模組確定為非法的模組�����。由此���,判斷部210b能夠使用邏輯性的驗證方法有效地確定虛假通知篡改檢測結果的非法的更新模組�。并且,判斷部210b通過將所確定的非法的更新模組的無效化指示輸出����,能夠將非法的更新模組適當?shù)嘏懦?b)循環(huán)監(jiān)視模式的情況下接著,對在包含于更新模組群130b中的更新模組間的監(jiān)視模式中包含循環(huán)監(jiān)視模式的情況下的非法模組確定處理進行說明���。例如,在圖35中�,更新模組133、更新模組136���、更新模組137如箭頭2041��、2042、 2043表示那樣��,向一方向循環(huán)而進行篡改檢測處理�。并且����,如〇記號2045、2046����、2047表示那樣����,篡改檢測結果都是正常�。在這樣的情況下,在非法模組確定處理中�,能夠將更新模組133、更新模組136���、更新模組137作為一群處理�。例如��,在將更新模組133確定為非法的更新模組的情況下����,由更新模組137進行的更新模組133的篡改檢測結果(圖35的〇記號2047)是錯誤。這樣��,更新模組137不能正確地進行篡改檢測�,是非法的更新模組的可能性較高。進而��,在更新模組137是非法的更新模組的情況下��,由更新模組136進行的更新模組137的篡改檢測結果(圖35的〇記號 2046)是錯誤����。這樣�,更新模組136也不能正確地進行篡改檢測��,是非法的更新模組的可能性較高�����。S卩�,在全部的篡改檢測結果是正常的循環(huán)監(jiān)視模式中���,在確定了其中的一個更新模組是非法的情況下��,可以將循環(huán)監(jiān)視模式內(nèi)的全部的更新模組看作是非法的�。以下�����,使用圖36及圖37更具體地說明�����。在圖36中���,由更新模組133�、136、137構成的循環(huán)監(jiān)視模式的篡改檢測結果都是正常�。因此,能夠將更新模組133����、136、137作為一群處理��。這里�����,在由更新模組133進行的更新模組136的篡改檢測結果�、和由更新模組137 進行的更新模組136的篡改檢測結果中有矛盾。所以���,能夠將更新模組133���、136、137作為一群�����,確定全部是非法的更新模組。此外�,在圖36的例子中,更新模組136及更新模組137相互進行篡改檢測處理����。更新模組136將更新模組137判斷為“被篡改”,更新模組137將更新模組136判斷為“沒有被篡改”�。這樣,在循環(huán)監(jiān)視模式內(nèi)的一組更新模組的相互監(jiān)視結果中有矛盾的情況下���,能夠將更新模組133����、136���、137作為一群確定為全部是非法的更新模組。在圖37中���,由更新模組131���、132、133構成的循環(huán)監(jiān)視模式的篡改檢測結果都是正常的。因此��,能夠將更新模組131����、132、133作為一群處理��。這里����,在由更新模組132進行的更新模組135的篡改檢測結果(〇記號2061)、和由更新模組133進行的更新模組135的篡改檢測結果(X記號2062)中有矛盾�����。這樣��,在對循環(huán)監(jiān)視模式外的更新模組的篡改檢測結果矛盾的情況下�����,也能夠將更新模組131��、132��、 133作為一群而都確定為非法的更新模組。通過這樣將包含在循環(huán)監(jiān)視模式中的更新模組作為一群處理�����,與按照各個更新模組判斷是否是非法的情況相比���,能夠顯著地提高處理效率��。接著��,使用圖38的流程圖對考慮到循環(huán)監(jiān)視模式的非法模組確定處理的動作進行說明�。首先��,循環(huán)監(jiān)視模式取得部663通過參照循環(huán)監(jiān)視模式存儲部666�����,判斷在更新模組群130b的監(jiān)視模式之中是否存在循環(huán)監(jiān)視模式(S8101)��。在不存在循環(huán)監(jiān)視模式的情況下(S8101中“否”)����,結束非法模組確定處理�。在存在循環(huán)監(jiān)視模式的情況下(S8101中“是”),判斷該循環(huán)監(jiān)視模式的篡改檢測結果是否都是正常的(S8102)。在不都是正常的情況下(S8102中“否”)�����,不能將該循環(huán)監(jiān)視模式內(nèi)的更新模組作為一群處理�。所以,向步驟S8105前進�。在該循環(huán)監(jiān)視模式的篡改檢測結果都是正常的情況下(S8102中“是”),循環(huán)監(jiān)視模式內(nèi)的更新模組關于進行篡改檢測處理的同一個更新模組判斷驗證結果是否一致 (S8103)�。在不一致的情況下(S8103中“否”),確定循環(huán)監(jiān)視模式內(nèi)的更新模組都是非法的更新模組(S8104)��。在循環(huán)監(jiān)視模式的監(jiān)視結果不是都正常的情況下(S8102中“否”)����、以及循環(huán)監(jiān)視模式內(nèi)的更新模組關于進行篡改檢測處理的同一個更新模組驗證結果一致的情況下 (S8103中“是”),判斷在更新模組群130b的監(jiān)視模式之中是否存在其他循環(huán)監(jiān)視模式 (S8105)����。
在存在其他循環(huán)監(jiān)視模式的情況下(S8105中“是”),向步驟S8102返回而繼續(xù)處理����。在不存在其他循環(huán)監(jiān)視模式的情況下(S8105中“否”),結束非法模組確定處理���。(c)循環(huán)監(jiān)視模式選擇方法接著�,對循環(huán)監(jiān)視模式選擇方法進行說明。如上所述��,在非法模組確定處理中���,在循環(huán)監(jiān)視模式的篡改檢測結果都正常的情況下�����,能夠將包含在循環(huán)監(jiān)視模式中的全部的更新模組作為一群處理�。這里��,在包含在循環(huán)監(jiān)視模式中的更新模組的數(shù)量(以下表現(xiàn)為“循環(huán)的尺寸”) 較大的情況下����,可以認為包含在循環(huán)監(jiān)視模式中的全部的更新模組同時被篡改的可能性較低。此外���,循環(huán)的尺寸越大���,全部的驗證結果為正常的可能性越低����。因為這些���,在實施方式2中,在存在多個循環(huán)監(jiān)視模式的情況下�����,通過從循環(huán)的尺寸較小的循環(huán)監(jiān)視模式起優(yōu)先地進行非法模組確定處理�����,能夠高效率地發(fā)現(xiàn)非法的更新模組并將其無效化��。此外�����,在存在多個循環(huán)的尺寸相同的循環(huán)監(jiān)視模式的情況下����,基于對循環(huán)監(jiān)視模式內(nèi)的更新模組進行篡改檢測處理的循環(huán)監(jiān)視模式外的更新模組的數(shù)量,決定進行非法模組確定處理的情況下的優(yōu)先順序�����。在判斷為循環(huán)監(jiān)視模式內(nèi)的更新模組都是非法模組后,在循環(huán)監(jiān)視模式外的更新模組將包含在循環(huán)監(jiān)視模式中的某個更新模組判斷為正常的情況下����,該循環(huán)監(jiān)視模式外的更新模組可以判斷是非法的更新模組。所以��,在存在多個循環(huán)的尺寸相同的循環(huán)監(jiān)視模式的情況下��,從對循環(huán)監(jiān)視模式內(nèi)的更新模組進行篡改檢測處理的循環(huán)監(jiān)視模式外的更新模組的數(shù)量較多的循環(huán)監(jiān)視模式起優(yōu)先地進行非法模組確定處理�。為了實現(xiàn)上述處理,循環(huán)監(jiān)視模式存儲部666如果從監(jiān)視模式存儲部665中檢測到多個循環(huán)監(jiān)視模式����,則除了上述的循環(huán)監(jiān)視模式以外,還生成圖39或圖40所示的循環(huán)監(jiān)視模式列表并存儲���。循環(huán)監(jiān)視模式列表是對包含在監(jiān)視模式中的多個循環(huán)監(jiān)視模式按照循環(huán)監(jiān)視模式記述了有關該循環(huán)監(jiān)視模式的信息的列表���。圖39是表示循環(huán)監(jiān)視模式列表2100的數(shù)據(jù)結構的圖。如該圖所示��,循環(huán)監(jiān)視模式列表2100對于各循環(huán)監(jiān)視模式��,將循環(huán)的尺寸��、構成該循環(huán)監(jiān)視模式的更新模組的識別信息、以及對該循環(huán)監(jiān)視模式內(nèi)的更新模組進行篡改檢測處理的循環(huán)監(jiān)視模式外的更新模組的數(shù)量(這里稱作“向循環(huán)的輸入”)建立對應存儲��。例如�,No. 1的循環(huán)監(jiān)視模式的循環(huán)的尺寸是3��,由更新模組131�、132、133構成����。此外,存在1個對該循環(huán)監(jiān)視模式內(nèi)的更新模組進行篡改檢測處理的循環(huán)監(jiān)視模式外的更新模組�。圖40是表示循環(huán)監(jiān)視模式列表2200的數(shù)據(jù)結構的圖。循環(huán)監(jiān)視模式列表2200與圖39的循環(huán)監(jiān)視模式列表2100相比�,關于各循環(huán)監(jiān)視模式的信息以循環(huán)的尺寸較小的順序排列。進而�����,在有多個循環(huán)的尺寸相同的循環(huán)監(jiān)視模式的情況下�����,驗證循環(huán)監(jiān)視模式內(nèi)的更新模組的外部的更新模組的數(shù)量(向循環(huán)的輸入) 以較大的順序排列�。所以����,如果使用圖40的列表2200�,則容易判斷從多個循環(huán)監(jiān)視模式中的哪個的循環(huán)監(jiān)視模式優(yōu)先地進行處理更好,與使用圖39的列表2100的情況相比���,能夠更高效率地發(fā)現(xiàn)非法的更新模組并將其無效化�����。接著�����,使用圖41及圖42的流程圖�����,對存在多個循環(huán)監(jiān)視模式的情況下的非法模組確定處理的動作進行說明��。首先�,循環(huán)監(jiān)視模式取得部663通過參照循環(huán)監(jiān)視模式存儲部666�,判斷在更新模組群130b的監(jiān)視模式之中是否存在循環(huán)監(jiān)視模式(S8111)。在不存在循環(huán)監(jiān)視模式的情況下(S8111中“否”),結束非法模組確定處理��。在存在循環(huán)監(jiān)視模式的情況下(S8111中“是”)�,循環(huán)監(jiān)視模式取得部663從存儲在循環(huán)監(jiān)視模式存儲部666中的循環(huán)監(jiān)視模式列表中搜索循環(huán)的尺寸為最小的循環(huán)監(jiān)視模式(S8112)。進而�,在存在多個循環(huán)的尺寸相同的循環(huán)監(jiān)視模式的情況下,循環(huán)監(jiān)視模式取得部663選擇驗證循環(huán)監(jiān)視模式內(nèi)的更新模組的外部的更新模組的數(shù)量較多的循環(huán)監(jiān)視模式(S8113)�����。接著��,循環(huán)監(jiān)視模式取得部663判斷所選擇的循環(huán)監(jiān)視模式的監(jiān)視結果是否都是正常的(S8114)�����。在不是都正常的情況下(S8114中“否”)��,向步驟S8118前進�。在都是正常的情況下(S8114中“是”)��,矛盾檢測部656確認是否存在循環(huán)監(jiān)視模式內(nèi)的更新模組進行循環(huán)監(jiān)視模式內(nèi)的其他更新模組的篡改檢測處理的結果為判斷是非法的更新模組(S8115)���。在存在被判斷為非法的更新模組的情況下(S8115中“是”)�,將循環(huán)監(jiān)視模式內(nèi)的更新模組都確定為非法的更新模組(S8116),向步驟S8118前進��。在不存在判斷為非法的更新模組的情況下(S8115中“否”)����,矛盾檢測部656判斷在循環(huán)監(jiān)視模式內(nèi)的更新模組對循環(huán)監(jiān)視模式外的同一更新模組進行的篡改檢測結果中是否有矛盾(S8117)。在驗證結果矛盾的情況下(S8117中“否”)���,將循環(huán)監(jiān)視模式內(nèi)的更新模組都確定為非法的更新模組(S8116)����,向步驟S8118前進����。在驗證結果一致的情況下(S8117中“是”),循環(huán)監(jiān)視模式取得部663參照存儲在循環(huán)監(jiān)視模式存儲部666中的循環(huán)監(jiān)視模式列表����,判斷除此以外是否存在循環(huán)監(jiān)視模式
(58118)。在存在循環(huán)監(jiān)視模式的情況下(S8118中“是”)�,循環(huán)監(jiān)視模式取得部663選擇循環(huán)的尺寸是上次作為對象的循環(huán)監(jiān)視模式的循環(huán)的尺寸以上、并且是最小的循環(huán)監(jiān)視模式
(58119)�。并且,向步驟S8113返回而繼續(xù)處理���。在除此以外不存在循環(huán)監(jiān)視模式的情況下(S8118中“否”)�����,結束非法模組確定處理�。(5)關于分散信息這里,對循環(huán)監(jiān)視模式與更新模組保持的分散信息的關系進行說明�。在上述的初始設定處理中,保護控制模組120根據(jù)加解密密鑰使用秘密分散法制作分散信息���,將所生成的分散信息向各更新模組發(fā)送�����。在使用記載在專利文獻2中的方法的情況下,將同一個分散信息向多個更新模組發(fā)送�����。由此���,即使是某個更新模組被無效化�����、不能從該更新模組取得分散信息的情況下��,通過從保持相同的分散信息的其他更新模組取得分散信息��,也能夠將加解密密鑰復原��。
在循環(huán)監(jiān)視模式中��,如果將一個更新模組確定為非法模組�,則將包含在循環(huán)監(jiān)視模式中的全部的更新模組確定為非法模組并無效化。所以��,實施方式2的保護控制模組120為了防止不能進行加解密密鑰的復原的狀況�����,在存在循環(huán)監(jiān)視模式的情況下����,基于循環(huán)監(jiān)視模式的結構對各更新模組發(fā)送分散信息。以下�����,使用圖43及圖44具體地說明���。圖43是表示監(jiān)視模式的一例的圖�����。根據(jù)該圖�����,更新模組131�����、132����、133、以及更新模組133�、136���、137是循環(huán)監(jiān)視模式���。 此時,僅保持循環(huán)監(jiān)視模式內(nèi)的更新模組131��、132、133�����,在有其他更新模組沒有保持的分散信息的情況下�����,如果將更新模組131����、132、133都無效化�,則保護控制模組120不能將加解密密鑰復原。同樣�����,僅保持更新模組133��、136����、137,在有其他更新模組沒有保持的分散信息的情況下�,如果將更新模組133����、136�、137都無效化,則保護控制模組120不能將加解密密鑰復原��。所以��,保護控制模組120如圖44所示���,關于分散信息1�����、分散信息2�����、分散信息3��、分散信息4、分散信息5���、分散信息6�、及分散信息7的全部,將各分散信息向各更新模組發(fā)送�, 以使得不存在僅由更新模組131、132���、133保持的分散信息����、以及僅由更新模組133���、136�、 137保持的分散信息��。由此���,即使在更新模組131�、132����、133都被無效化的情況下、或者在更新模組133�����、 136,137都被無效化的情況下,保護控制模組120也能夠將加解密密鑰復原����。3.實施方式3這里,對另一實施方式進行說明����。3. 1篡改監(jiān)視系統(tǒng)IOca對于作為另一實施方式的篡改監(jiān)視系統(tǒng)10ca,使用圖77所示的結構圖進行說明�����。篡改監(jiān)視系統(tǒng)IOca如圖77所示����,由信息安全裝置IOOca及管理裝置200ca構成。信息安全裝置IOOca具有監(jiān)視篡改的多個監(jiān)視模組131ca�、132ca、133ca��、134ca0管理裝置200ca由以下單元構成接收部MOca��,從信息安全裝置IOOca接收各監(jiān)視模組的對其他監(jiān)視模組的監(jiān)視結果的���;檢測部678ca��,使用接收到的上述監(jiān)視結果檢測沒有被篡改的正常的監(jiān)視模組的存在����;第一假定部673ca���,在做出了上述檢測的情況下對從上述監(jiān)視模組選擇的1個監(jiān)視模組假定為被篡改�;第二假定部679ca���,將假定為被篡改的上述監(jiān)視模組作為起點����,對未處理的監(jiān)視模組�����,連鎖地采用使用接收到的上述監(jiān)視結果��、對于將假定為被篡改的監(jiān)視模組判斷為正常的監(jiān)視模組假定為被篡改的時序����;判斷部 676ca,判斷上述第二假定部679ca的時序的采用的結果是否是假定了全部的監(jiān)視模組被篡改,在做出了上述判斷的情況下����,將最初假定為被篡改的上述監(jiān)視模組決定為正常的監(jiān)視模組。根據(jù)管理裝置200ca��,由于檢測部678ca檢測到?jīng)]有被篡改的正常的監(jiān)視模組的存在����,所以至少1個監(jiān)視模組是正常的。相對于此�,在由判斷部676ca判斷為對全部的監(jiān)視模組假定為被篡改的情況下, 該判斷結果與檢測部678ca的檢測的結果矛盾����。這是因為在第一假定部673ca的假定中有錯誤。
因而�,推翻第一假定部673ca的假定,將由第一假定部673ca假定為被篡改的監(jiān)視模組決定為正常的監(jiān)視模組��。能夠如以上這樣決定正常的監(jiān)視模組�����,所以正常的監(jiān)視模組的監(jiān)視結果是可以信賴的����,能夠有效地利用��。另外�����,在能夠如以上這樣決定正常的監(jiān)視模組的情況下,將在上述中設為非法的假定全部取消�。3. 2軟件更新系統(tǒng)IOcb對作為另一實施方式的軟件更新系統(tǒng)IOcb (未圖示)進行說明。在軟件更新系統(tǒng)IOcb中����,在更新處理中的更新模組的選擇(圖20的步驟S5106 及圖21的步驟S5112)中,使用確定沒有被篡改的��、即正常的更新模組的方式��。如果使用該方式�����,則能夠從多個更新模組之中從邏輯上確定是正常的更新模組���,所以能夠使用所確定的正常的更新模組將保護控制模組安全地更新����。另外,在軟件更新系統(tǒng)IOcb中��,與實施方式2同樣�����,對更新模組是7個的情況進行說明�����。但是�����,更新模組也可以是8個以上��,也可以是6個以下�����。(1)軟件更新系統(tǒng)IOcb的結構軟件更新系統(tǒng)IOcb由更新服務器200cb (未圖示)及設備100構成�。設備100具有與實施方式1的設備100相同的結構。更新服務器200cb具有與實施方式1的更新服務器200類似的結構�,代替更新服務器200的判斷部210而具有圖45所示的判斷部210cb�。 其他結構與更新服務器200相同����。以下,以與更新服務器200的不同點為中心進行說明�。(2)判斷部210cb的結構判斷部210cb具有與圖27所示的判斷部210b類似的結構。判斷部210cb如圖45 所示��,代替判斷部210b的模組確定部604b而具有模組確定部6(Mcb�。模組確定部604cb如該圖所示�,具有非法模組確定部605及正常模組確定部607。非法模組確定部605與圖27 所示的非法模組確定部605是相同的����。以下,對正常模組確定部607進行說明�����。(3)正常模組確定部607正常模組確定部607如以下所示�����,使用設備100中的各更新模組的相互監(jiān)視結果����, 確定沒有被篡改的正常的更新模組�����。正常模組確定部607如圖46所示�����,由確定指示接收部671��、確定結果發(fā)送部672��、 非法模組假定部(也稱作第一假定部)673�、驗證結果判斷部674���、假定非法更新模組群提取部675�、提取結果判斷部676��、循環(huán)監(jiān)視模式判斷部677及異常檢測部678構成���。此外���,驗證結果判斷部674及假定非法更新模組群提取部675構成第二假定部679��。第二假定部679將由非法模組假定部673假定為被篡改的更新模組作為起點���,對未處理的更新模組連鎖地采用使用接收到的監(jiān)視結果、對于將假定為被篡改的更新模組判斷為正常的更新模組假定為被篡改的時序���。(a)確定指示接收部671確定指示接收部671從指示生成部603接收表示正常的更新模組的確定的指示的正常模組確定指示����。如果接收到正常模組確定指示�,則將正常模組確定指示向異常檢測部 678輸出。此外����,確定指示接收部671從指示生成部603接收更新模組列表�����。更新模組列表包括識別構成設備100的更新模組群130的全部更新模組的識別號碼�。接著,確定指示接收部671將接收到的更新模組列表向非法模組假定部673及提取結果判斷部676輸出����。此外�,確定指示接收部671從設備100經(jīng)由網(wǎng)絡5����、通信部M0、接收部601及指示生成部603接收設備100中的更新模組群130的監(jiān)視的結果��。此外���,將接收到的更新模組群130的監(jiān)視的結果向異常檢測部678�、非法模組假定部673���、循環(huán)監(jiān)視模式判斷部677及驗證結果判斷部674輸出����。(b)異常檢測部678異常檢測部678如以下所示這樣�����,使用接收到的上述監(jiān)視結果��,檢測沒有被篡改的正常的更新模組的存在��。如果簡單地說明,則異常檢測部678使用上次接收到的監(jiān)視結果�、和此次接收到的監(jiān)視結果,在由上次接收到的監(jiān)視結果判斷為全部的更新模組正常��、由此次接收到的監(jiān)視結果判斷為全部的更新模組正常的情況下�����,檢測沒有被篡改的正常的更新模組的存在���。這里�,假設上次的監(jiān)視與此次的監(jiān)視的時間間隔比規(guī)定的閾值小�����。以下��,更詳細地對異常檢測部678進行說明���。異常檢測部678從確定指示接收部671接收正常模組確定指示。如果接收到正常模組確定指示�,則異常檢測部678從確定指示接收部671接收設備100中的更新模組群130的監(jiān)視的結果(最新的監(jiān)視的結果)。此外����,從確定指示接收部 671接收設備100中的更新模組群130的上次的監(jiān)視的結果���。所謂上次的監(jiān)視,表示進行最新的監(jiān)視的1次前的監(jiān)視�。設備100定期或不定期地通過較密的間隔(例如1月10 20次、1周5 6次�����、1天2 3次���、1小時1次等)�����,反復進行監(jiān)視���。上次的監(jiān)視與此次的監(jiān)視的時間間隔比規(guī)定的閾值小。這里��,規(guī)定的閾值的例子是5天����、3天、1天、12小時���、6小時�、3小時���、1小時等����。更新服務器200cb將各監(jiān)視的監(jiān)視的結果累積地存儲����。如上述那樣,設備100定期或不定期地通過較密的間隔反復進行監(jiān)視���,所以在從第1監(jiān)視時點到其下個第2監(jiān)視時點之間��,能夠假定能夠避免全部的更新模組被篡改的狀況�����。S卩,在第1監(jiān)視時點����,在全部的更新模組沒有被篡改的情況下���,在第1監(jiān)視時點的下個的第2監(jiān)視時點,能夠假定至少1個更新模組沒有被篡改�����。異常檢測部678使用接收到的最新的監(jiān)視的結果判斷最新的監(jiān)視的結果是否全部是正常的���。在最新的監(jiān)視的結果全部正常的情況下���,將表示最新的監(jiān)視的結果全部正常的正常結果經(jīng)由確定結果發(fā)送部672向指示生成部603輸出,模組確定部604cb結束處理�����。 在此情況下����,由于全部的更新模組是正常的,所以不需要進行正常的更新模組的確定處理����。異常檢測部678在沒有判斷為最新的監(jiān)視的結果全部是正常的情況下�,接著�����,使用接收到的上次的監(jiān)視的結果�,判斷上次的監(jiān)視的結果是否全部是正常的����。在上次的監(jiān)視的結果沒有判斷為全部是正常的情況下�����,將表示該情況的結果經(jīng)由確定結果發(fā)送部672向指示生成部603輸出��,模組確定部604cb結束處理�����。在此情況下���,全部的更新模組都有可能不正常,所以不進行正常的更新模組的確定處理�����。在上次的監(jiān)視的結果全部是正常的情況下,異常檢測部678對構成正常模組確定部607的其他結構部進行控制�,以使其進行正常模組的確定處理����。此外,對循環(huán)監(jiān)視模式判斷部677輸出表示確定非法的更新模組的非法模組確定指示�����。
(c)循環(huán)監(jiān)視模式判斷部677循環(huán)監(jiān)視模式判斷部677從異常檢測部678接收非法模組確定指示��,從確定指示接收部671接收更新模組群130的監(jiān)視的結果�。如果接收到非法模組確定指示,則循環(huán)監(jiān)視模式判斷部677向循環(huán)檢測部606發(fā)送循環(huán)監(jiān)視模式的取得指示���。循環(huán)檢測部606如果存在則將1個以上的循環(huán)監(jiān)視模式向循環(huán)監(jiān)視模式判斷部677發(fā)送�����。接著�����,循環(huán)監(jiān)視模式判斷部677從循環(huán)檢測部606接收循環(huán)監(jiān)視模式�。接著,循環(huán)監(jiān)視模式判斷部677使用接收到的監(jiān)視的結果���,驗證在由接收到的循環(huán)監(jiān)視模式表示的多個更新模組的監(jiān)視的結果中是否有矛盾�����。在有矛盾的情況下��,確定包含在接收到的循環(huán)監(jiān)視模式內(nèi)的更新模組都是非法的更新模組�,將分別識別確定為非法的全部的更新模組的非法識別號碼向非法模組假定部673發(fā)送���。另外��,如果對循環(huán)監(jiān)視模式簡單地說明����,則是以下這樣的�����。對于更新模組�����,通過循環(huán)監(jiān)視模式?jīng)Q定監(jiān)視對象的更新模組。循環(huán)監(jiān)視模式表示作為第1更新模組的監(jiān)視對象的第2更新模組監(jiān)視上述第1更新模組��、或者經(jīng)由1個以上的更新模組監(jiān)視上述第1更新模組�。總之�,循環(huán)監(jiān)視模式判斷部677在由有關循環(huán)監(jiān)視模式的多個更新模組進行的對其他的1個更新模組的多個監(jiān)視結果不一致的情況下����,將有關該循環(huán)監(jiān)視模式的多個更新模組確定為非法的更新模組。另外���,也可以如以下這樣確定非法的更新模組��。即��,非法模組確定部在假定1個更新模組是正常的情況下����,使用接收的監(jiān)視結果����,判斷在多個監(jiān)視結果中是否有不一致,在有不一致的情況下�,將假定為正常的上述更新模組確定為非法的更新模組�����。(d)非法模組假定部673非法模組假定部673如以下所示����,對從更新模組之中選擇的1個更新模組假定為
被篡改���。非法模組假定部673從確定指示接收部671接收更新模組列表����,接收設備100中的更新模組群130的監(jiān)視的結果�。此外,從循環(huán)監(jiān)視模式判斷部677接收分別識別被確定為非法的全部的更新模組的非法識別號碼�����。接著�����,非法模組假定部673選擇一個包含在更新模組列表中的更新模組的識別號碼中的���、接收到的非法識別號碼以外的更新模組的識別號碼��,將由所選擇的識別號碼表示的更新模組假定為非法的更新模組���。將該選擇的識別號碼稱作假定識別號碼���。非法模組假定部673決定空集合的假定非法更新模組群,接著����,將假定識別號碼包含到假定非法更新模組群中�����。在該時點�,在假定非法更新模組群中,僅包含識別所選擇的更新模組的假定識別號碼�。另外,也可以將假定非法更新模組群稱作假定非法組�。這樣,非法模組假定部673生成包括假定識別號碼的假定非法組�。接著,非法模組假定部673將所選擇的更新模組的假定識別號碼向提取結果判斷部676發(fā)送����,將假定非法更新模組群的假定非法構成信息向驗證結果判斷部674發(fā)送����。假定非法更新模組群的假定非法構成信息由包含在假定非法更新模組群中的全部的識別號碼構成�。此外,非法模組假定部673從提取結果判斷部676接收不能確定正常的更新模組的不能確定通知���。在接收到不能確定通知的情況下���,非法模組假定部673新選擇包含在更新模組列表中的更新模組的識別號碼中的、接收到的非法識別號碼以外的更新模組���、與已選擇的更新模組不同的更新模組的識別號碼�����,將所選擇的更新模組假定為非法的正常模組��,僅將識別所選擇的該更新模組的假定識別號碼包含到假定非法更新模組群中����,將假定非法更新模組群的假定非法構成信息向驗證結果判斷部674發(fā)送�����。(e)第二假定部價9第二假定部679如上述那樣由驗證結果判斷部674及假定非法更新模組群提取部 675構成。第二假定部679如以下說明那樣�����,將由非法模組假定部673假定為被篡改的更新模組作為起點�,對未處理的更新模組連鎖地采用使用接收到的監(jiān)視結果、對將假定為被篡改的更新模組判斷為正常的更新模組假定為被篡改的時序���。第二假定部679如果簡單地說明�,則使用監(jiān)視結果判斷是否存在將由包含在上述假定非法組中的識別號碼識別的更新模組判斷為正常的更新模組���,在判斷為存在的情況下,將識別該更新模組的識別號碼追加到上述假定非法組中�,對未處理的更新模組進行控制,以使其重復進行上述判斷和上述追加�����。(i)驗證結果判斷部674驗證結果判斷部674從確定指示接收部671接收設備100中的更新模組群130的監(jiān)視的結果����。此外,從非法模組假定部673接收假定非法構成信息。驗證結果判斷部674使用從確定指示接收部671接收到的設備100中的更新模組群130的監(jiān)視的結果����、以及從非法模組假定部673接收到的假定非法更新模組群的假定非法構成信息,判斷向假定非法更新模組群內(nèi)的更新模組的驗證結果����。這里,使用圖47所示的例子�,對驗證結果判斷部674的判斷方法進行說明。如圖47所示����,更新模組131監(jiān)視更新模組132 (3004),假設更新模組131對更新模組132的監(jiān)視結果是正常(300 ���。此外�,假設更新模組132是包含在假定非法更新模組群 3002內(nèi)的更新模組����。此時,驗證結果判斷部674使用接收到的監(jiān)視的結果�,搜索將包含在假定非法更新模組群3002內(nèi)的更新模組132判斷為正常的更新模組。在圖47所示的例子中��,更新模組131將更新模組132判斷為正常(3003)。所以�����,驗證結果判斷部674將判斷更新模組132 為正常的更新模組131看作假定非法更新模組����。如后所述,更新模組131被作為假定非法更新模組追加包含到假定非法更新模組群中��。結果����,更新模組132及131包含在新的假定非法更新模組群3001中。驗證結果判斷部674作為向假定非法更新模組群內(nèi)的更新模組的監(jiān)視的結果�����,將識別判斷為正常的更新模組的識別號碼(以下稱作假定非法識別號碼)�����、和接收到的假定非法更新模組群的構成信息向假定非法更新模組群提取部675發(fā)送����。作為向假定非法更新模組群內(nèi)的更新模組的監(jiān)視的結果,在不存在為正常的更新模組的情況下���,將該消息向假定非法更新模組群提取部675發(fā)送���。在從假定非法更新模組群提取部675接收到假定非法更新模組群的構成信息的情況下也進行同樣的動作。(ii)假定非法更新模組群提取部675假定非法更新模組群提取部675從驗證結果判斷部674�����,作為向假定非法更新模組群內(nèi)的更新模組的監(jiān)視的結果�,接收判斷為正常的更新模組的識別號碼(假定非法識別號碼)、和假定非法更新模組群的構成信息���。接著����,將接收到的更新模組的識別號碼(假定非法識別號碼)向接收到的假定非法更新模組群追加�。在圖47所示的例子的情況下,更新模組131作為假定非法更新模組被追加包含到假定非法更新模組群中����。結果,更新模組132及131被包含到新的假定非法更新模組群 3001 中��。接著,假定非法更新模組群提取部675將追加了識別號碼的新的假定非法更新模組群的構成信息向驗證結果判斷部674發(fā)送����。在從驗證結果判斷部674接收到不存在更新模組的通知的情況下,向提取結果判斷部676發(fā)送假定非法更新模組群的構成信息����。(f)提取結果判斷部676提取結果判斷部676從確定指示接收部671接收更新模組列表。此外���,從假定非法更新模組群提取部675接收假定非法更新模組群的假定非法構成信息及假定識別號碼���。 還從循環(huán)監(jiān)視模式判斷部677接收識別非法的更新模組的非法識別號碼。接著�����,提取結果判斷部676使用識別假定非法更新模組群的假定非法構成信息及非法的更新模組的非法識別號碼���,判斷是否由循環(huán)監(jiān)視模式判斷部677確定的非法的更新模組以外的全部的更新模組都包含在假定非法更新模組群中����。此外�����,在不存在非法的更新模組的情況下��,提取結果判斷部676判斷是否全部的更新模組包含在假定非法更新模組群中�����。進而�����,在非法的更新模組沒有檢測到存在的情況下�,也判斷是否全部的更新模組包含在假定非法更新模組群中。換言之��,對于全部的更新模組����,判斷是否假定了被篡改。進而����,換言之,提取結果判斷部676判斷在假定非法組中是否包含識別全部更新模組的識別號碼�。換言之����,提取結果判斷部676判斷從包含在更新模組列表中的識別號碼中去除非法識別號碼����、再將包含在假定非法構成信息中的識別號碼去除后的結果、是使更新模組列表成為空集合��、還是不為空集合而包含有識別號碼�。此外,在不存在非法的更新模組的情況下���,提取結果判斷部676判斷從包含在更新模組列表中的識別號碼中去除了包含在假定非法構成信息中的識別號碼后的結果�、是使更新模組列表成為空集合��、還是不為空集合而包含有識別號碼���。進而����,判斷在非法的更新模組沒有檢測到存在的情況下也從包含在更新模組列表中的識別號碼去除了包含在假定非法構成信息中的識別號碼后的結果��、是更新模組列表成為空集合、還是不為空集合而包含有識別號碼��。在由循環(huán)監(jiān)視模式判斷部677確定的非法的更新模組以外的全部的更新模組包含在假定非法更新模組群中的情況下���,提取結果判斷部676將由非法模組假定部673假定的更新模組確定為正常的更新模組,將接收到的假定識別號碼作為表示正常模組的識別號碼���,將正常模組識別號碼作為確定結果向確定結果發(fā)送部672輸出����。在不是全部的更新模組包含在假定非法更新模組群中的情況下��,提取結果判斷部 676向非法模組假定部673發(fā)送指示(不能確定正常的更新模組的不能確定通知)����,以使其將由非法模組假定部673假定的更新模組以外的更新模組假定。(g)確定結果發(fā)送部672確定結果發(fā)送部672從提取結果判斷部676接收正常的更新模組的確定結果�,將接收到的確定結果向指示生成部603發(fā)送。
此外�����,確定結果發(fā)送部672將表示最新的監(jiān)視的結果全部是正常的正常結果向指示生成部603發(fā)送�。此外,將表示最新的監(jiān)視的結果不全部正常(即至少一部分非法)、此外上次的監(jiān)視的結果不全部正常(即至少一部分非法)的結果向指示生成部603發(fā)送��。(4)正常模組確定處理的動作使用圖48�、圖49及圖50 圖52說明軟件更新系統(tǒng)IOcb中的正常的更新模組的確定處理的動作。另外����,圖48及圖49分別表示各更新模組的篡改檢測的監(jiān)視的結果的一例,圖 50 圖52是表示正常模組確定處理的動作的流程圖�。以下,對正常模組確定處理的動作��,使用圖50 圖52所示的流程圖進行說明����。異常檢測部678判斷是否至少1個更新模組為正常。換言之�,檢測沒有被篡改的正常的更新模組的存在(步驟S9000)。步驟S9000的詳細情況如下(步驟S9001 S9004)��。異常檢測部678通過接收而取得最新的全部的監(jiān)視結果(步驟S9001)�����,判斷是否最新的全部的監(jiān)視結果是正常的(步驟S9002)�����。在全部的監(jiān)視結果是正常的情況下(步驟 S9002中“是”),確定全部的更新模組是正常����,模組確定部6(Mcb結束正常模組確定處理。 在沒有判斷為全部的監(jiān)視結果是正常的情況下(步驟S9002中“否”)���,通過接收而取得之前的、即上次的全部的監(jiān)視結果(步驟S9003)����,判斷之前的監(jiān)視結果是否全部是正常的(步驟S9004)。在沒有判斷為之前的監(jiān)視結果全部是正常的情況下(步驟S9004中“否”)����,模組確定部604cb將正常模組確定處理結束。在之前的監(jiān)視結果全部是正常的情況下(步驟 S9004中“是”)���,判斷更新模組群130的至少一個更新模組是正常的��。這是因為��,在之前的相互監(jiān)視中全部的更新模組是正常的情況下����,由于相互監(jiān)視的間隔較窄,所以判斷不會在該間隔中將全部的更新模組向非法的更新模組篡改���。通過這樣確認更新模組群130的至少一個更新模組是正常的���,如后面說明那樣, 能夠在邏輯上確定正常模組���。接著��,在之前的相互監(jiān)視處理的監(jiān)視結果全部是正常的情況下(步驟S9004中 “是”)���,循環(huán)監(jiān)視模式判斷部677判斷是否存在循環(huán)監(jiān)視模式(步驟S9005)。該判斷通過確認在循環(huán)檢測部606內(nèi)的循環(huán)監(jiān)視模式存儲部666中是否存儲有循環(huán)監(jiān)視模式來進行����。 在不存在循環(huán)監(jiān)視模式的情況下(步驟S9005中“否”),向步驟S9014轉移���。在存在循環(huán)監(jiān)視模式的情況下(步驟S9005中“是”)����,循環(huán)監(jiān)視模式判斷部677 進行使用循環(huán)監(jiān)視模式的非法的更新模組的確定(步驟S9006)。步驟S9006的詳細情況如下(步驟S9007 S90i;3)�。另外,也可以不進行使用循環(huán)監(jiān)視模式的非法的更新模組的確定�。即,也可以通過別的方法進行非法的更新模組的確定�����。此外���,也可以不進行非法的更新模組的確定���。循環(huán)監(jiān)視模式判斷部677選擇存儲在循環(huán)檢測部606內(nèi)的循環(huán)監(jiān)視模式存儲部 666中的1個循環(huán)監(jiān)視模式(步驟S9007)���,判斷所選擇的循環(huán)監(jiān)視模式內(nèi)的監(jiān)視結果是否全部正常(步驟S9008)�����。在循環(huán)監(jiān)視模式的監(jiān)視結果全部是正常的情況下(步驟S9008中 “是”)���,驗證對作為循環(huán)監(jiān)視模式內(nèi)的多個更新模組的監(jiān)視對象的同一模組的多個監(jiān)視結果是否一致(步驟S9009)。在不一致的情況下(步驟S9009中“否”)����,循環(huán)監(jiān)視模式內(nèi)的更新模組確定全部是非法的更新模組(步驟S9010)�。進而���,判斷是否存在將在步驟S9010中被確定是非法的更新模組的更新模組判斷為正常的更新模組(步驟S9011)���。在存在的情況下(步驟S9011中“是”),將判斷為正常的更新模組確定為非法的更新模組(步驟S9012)�����。 由此��,能夠不進行是否是非法的更新模組的判斷而減少剩余的更新模組的數(shù)量����。結果,能夠更有效地確定將保護控制模組更新的正常的更新模組��。接著���,向步驟S9013轉移控制�。循環(huán)監(jiān)視模式判斷部677在循環(huán)監(jiān)視模式的監(jiān)視結果不是全部為正常的情況下 (步驟S9008中“否”)�����,在對作為循環(huán)監(jiān)視模式內(nèi)的多個更新模組的監(jiān)視對象的同一模組的多個監(jiān)視結果一致的情況下(步驟S9009中“是”)、或者在不存在將確定為非法的更新模組的更新模組判斷為正常的更新模組的情況下(步驟S9011中“否”)�����,再判斷在循環(huán)檢測部606內(nèi)的循環(huán)監(jiān)視模式存儲部666中是否存在其他循環(huán)監(jiān)視模式(步驟S90i;3)���。在存在其他循環(huán)監(jiān)視模式的情況下(步驟S9013中“是”)��,向步驟S9007轉移控制���。在不存在其他循環(huán)監(jiān)視模式的情況下(步驟S9013中“否”),循環(huán)監(jiān)視模式判斷部677結束使用循環(huán)監(jiān)視模式的非法的更新模組的確定的處理����。接著����,非法模組假定部673在步驟S9010或步驟S9012中選擇被確定為非法的更新模組的更新模組以外的更新模組,將所選擇的更新模組假定為非法的更新模組�,假設假定非法更新模組群僅包含該假定為非法的更新模組的識別號碼(步驟S9014)。驗證結果判斷部674判斷在假定非法更新模組群以外�����、是否存在即便一個將由包含在假定非法更新模組群內(nèi)的識別號碼識別的更新模組判斷為正常的更新模組(步驟 S9015)。在將假定非法更新模組群內(nèi)的模組判斷為正常的假定非法更新模組群以外的更新模組即便存在一個的情況下(步驟S9015中“是”)�����,假定非法更新模組群提取部675將識別該更新模組的識別號碼包含在假定非法更新模組群中(步驟S9016)�����。接著�,將控制向步驟S9015轉移。在將假定非法更新模組群內(nèi)的更新模組判斷為正常的假定非法更新模組群以外的更新模組一個都不存在的情況下(步驟S9015中“否”)�,判斷是否存在在步驟S9010 或步驟S9012中被確定為非法的更新模組的非法的更新模組、和假定非法更新模組群以外的更新模組(步驟S9017)����。在不存在的情況下(步驟S9017中“否”),將在步驟S9014中假定的更新模組確定為正常的更新模組(步驟S9018)���。在這樣能夠確定正常的更新模組的情況下�,然后將在上述中設為非法的假定全部取消����,將包含在假定非法更新模組群中的識別號碼刪除��。此外����,在存在的情況下(步驟S9017中“是”)�,不將在步驟S9014中假定的更新模組確定為正常的更新模組(步驟S9019)。在步驟S9014中��,在沒有選擇在步驟S9010或步驟S9012中被確定為非法的更新模組的更新模組以外的全部的更新模組的情況下(步驟 S9020中“否”)����,向步驟S9014轉移控制。在假定了全部的更新模組的情況下(步驟S9020 中“是”)����,結束正常模組確定處理。如以上說明��,在步驟S9019中����,通過不將假定的更新模組確定為正常的更新模組��, 能夠防止將非法的更新模組誤判斷為正常的更新模組����。由此���,能夠防止經(jīng)由非法的更新模組將保護控制模組更新為非法的保護控制模組。在上述正常模組確定處理中����,首先,進行多個更新模組中的某一個更新模組是非法的更新模組的假定��。然后����,從更新模組之中能夠使用邏輯性的驗證方法有效地確定是正常的更新模組,所以能夠使用確定的正常的更新模組將保護控制模組安全地更新�����。另外�����,在上述中����,更新模組也可以是監(jiān)視模組���。(5)正常模組確定的例
(a)正常模組確定的第1例接著,使用圖48所示的例子�����,對正常模組確定處理的一例進行說明��。如圖48所示�,設備100具有的更新模組群130包括更新模組131 137。更新模組131監(jiān)視更新模組132及134���,該監(jiān)視結果分別是正常(302 及非法的�����, 更新模組132監(jiān)視更新模組131���、133及135,該監(jiān)視結果分別是非法(3021)�����、正常(3023) 及非法��,更新模組133監(jiān)視更新模組131��、135及136����,其監(jiān)視結果分別是正常(30M)、非法及非法�,更新模組134監(jiān)視更新模組136,其監(jiān)視結果是正常(3027)��,更新模組135監(jiān)視更新模組137�,其監(jiān)視結果是正常(3025),更新模組136監(jiān)視更新模組137�����,其監(jiān)視結果是正常 (30 )���,更新模組137監(jiān)視更新模組133�����,其監(jiān)視結果是非法�。此外,假設更新模組131監(jiān)視更新模組132(30 )����、更新模組132監(jiān)視更新模組 133(3029)、更新模組133監(jiān)視更新模組131 (3030)����。因而,存在循環(huán)監(jiān)視模式3014�����。這樣�����,對于更新模組����,通過循環(huán)監(jiān)視模式設定監(jiān)視對象的更新模組。循環(huán)監(jiān)視模式表示作為第1更新模組的監(jiān)視對象的第2更新模組監(jiān)視上述第1更新模組�����、或者經(jīng)由1個以上的更新模組監(jiān)視上述第1更新模組��。首先,循環(huán)監(jiān)視模式判斷部677判斷是否存在循環(huán)監(jiān)視模式(步驟S9005)�,確定循環(huán)監(jiān)視模式的全部的更新模組131、132及133全部是非法的更新模組(步驟S9010)�����。根據(jù)圖48��,存在循環(huán)監(jiān)視模式3014�����,循環(huán)監(jiān)視模式3014中的監(jiān)視結果全部是正常(3022���、3023、 30M)�,更新模組132對更新模組131的監(jiān)視結果(3021)、與更新模組133對更新模組131 的監(jiān)視結果(3024)不同�����。接著���,非法模組假定部673選擇更新模組137����,將更新模組137假定為非法的更新模組,將識別更新模組137的識別號碼包含在假定非法更新模組群3011中(步驟S9014)�。 接著,根據(jù)圖48�,由于被判斷為非法的更新模組131 133以外的更新模組135及136將更新模組137判斷為正常(3025、3026)(步驟S9015)��,所以將判斷假定非法更新模組群3011 內(nèi)的更新模組137為正常的更新模組135���、更新模組136包含到假定非法更新模組群中(步驟S9016)�����。結果�����,生成新的假定非法更新模組群3012��。此外����,根據(jù)圖48���,由于將被判斷為非法的更新模組131 133以外的更新模組134判斷為更新模組136 (包含在假定非法更新模組群3012中)(3027)(步驟S90M)�,所以將判斷假定非法更新模組群3012內(nèi)的更新模組 136為正常的更新模組134包含到假定非法更新模組群中(步驟S9016)。結果�����,生成新的假定非法更新模組群3013���。接著,提取結果判斷部676判斷是否存在在步驟S9010中被確定為非法的更新模組的非法的更新模組131 133�����、和假定非法更新模組群(更新模組134 137)以外的更新模組(步驟S9017)����。根據(jù)圖48,由于全部的更新模組是非法的更新模組或假定非法更新模組(步驟S9017中“否”)��,所以提取結果判斷部676確定更新模組137是正常的更新模組(步驟S9018)�。這樣,能夠從更新模組之中通過邏輯性的驗證方法有效地確定是正常的更新模組 137����,所以能夠使用所確定的是正常的更新模組137將保護控制模組安全地更新�����。(b)正常模組確定的第2例接著���,使用圖49所示的例子,對正常模組確定處理的一例進行說明����。如圖49所示,設備100具有的更新模組群130包括更新模組131 137���。
假設更新模組131監(jiān)視更新模組132及134����,其監(jiān)視結果分別是正常(3052)及非法�����,更新模組132監(jiān)視更新模組131���、133及135���,其監(jiān)視結果分別是正常(3051)���、正常 (3053)及正常(3060),更新模組133監(jiān)視更新模組131���、135及136��,其監(jiān)視結果分別是正常(30M)�����、正常(3059)及正常(3055)���,更新模組134監(jiān)視更新模組136���,其監(jiān)視結果是正常(3056)���,更新模組135監(jiān)視更新模組137,其監(jiān)視結果是正常(3058)��,更新模組136監(jiān)視更新模組137�,其監(jiān)視結果是正常(3057),更新模組137監(jiān)視更新模組133,其監(jiān)視結果是正常�����。此外�,假設更新模組131監(jiān)視更新模組132 (3061),更新模組132監(jiān)視更新模組 133 (3062)��,更新模組133監(jiān)視更新模組131 (3063)�����。因而��,存在循環(huán)監(jiān)視模式3041��。首先���,循環(huán)監(jiān)視模式判斷部677判斷是否存在循環(huán)監(jiān)視模式(步驟S9005)�����,由于監(jiān)視的同一模組的監(jiān)視結果一致(步驟S9009中“是”)�,所以向步驟S9014轉移控制��。根據(jù)圖49,存在循環(huán)監(jiān)視模式3041���,循環(huán)監(jiān)視模式3041中的監(jiān)視結果全部是正常(3052����、3053��、 30M)�,這是因為,由更新模組132進行的更新模組131的監(jiān)視結果(3051)���、與由更新模組 133進行的更新模組131的監(jiān)視結果(3054) —致��。此外��,這是因為除此以外不存在矛盾的監(jiān)視結果�。接著�����,非法模組假定部673選擇更新模組137����,將更新模組137假定為非法的更新模組,將識別更新模組137的識別號碼包含在假定非法更新模組群3042中(步驟S9014)�。接著,根據(jù)圖49���,由于被判斷為非法的更新模組135及136將更新模組137判斷為正常(3058���、3057)(步驟S9015),所以將判斷假定非法更新模組群3042內(nèi)的更新模組137 為正常的更新模組135��、更新模組136包含在假定非法更新模組群中(步驟S9016)�����。結果�����, 生成新的假定非法更新模組群3043��。此外�,根據(jù)圖49,由于沒有被判斷為非法的更新模組 134將更新模組136(包含在假定非法更新模組群3043中)判斷為正常(3056)��,此外由于沒有被判斷為非法的更新模組132將更新模組135(包含在假定非法更新模組群3043中) 判斷為正常(3060)(步驟S9015)�����,所以將分別判斷假定非法更新模組群3043內(nèi)的更新模組 136及135為正常的更新模組134及132包含到假定非法更新模組群中(步驟S9016)。結果���,生成新的假定非法更新模組群3044����。進而����,由于被判斷為非法的更新模組131將更新模組132(包含在假定非法更新模組群3044中)判斷為正常(305 (步驟S90M),所以將判斷假定非法更新模組群3044內(nèi)的更新模組132為正常的更新模組131包含到假定非法更新模組群中(步驟S9016)�����。結果����,生成新的假定非法更新模組群3045。這樣�,更新模組131 137的全部包含在假定非法更新模組群3045中。因而���,不存在假定非法更新模組群以外的更新模組(步驟S9017中“否”)���,所以提取結果判斷部676 確定更新模組137是正常的更新模組(步驟S9018)。這樣���,能夠從多個更新模組之中使用邏輯性的驗證方法有效地確定是正常的更新模組137�����,所以能夠使用所確定的更新模組137將保護控制模組安全地更新��。4.實施方式4這里�����,對另一實施方式進行說明���。4. 1關于實施方式3在上述實施方式3的軟件更新系統(tǒng)IOcb中,在更新處理的更新模組的選擇中���,確定了沒有被篡改的正常的更新模組���。
但是,在軟件更新系統(tǒng)IOcb的確定正常模組的方法中��,如果存在妨礙正常模組的確定的更新模組,則有不能確定正常的更新模組的情況�。這里,妨礙正常模組的確定的更新模組的一例是將該更新模組的監(jiān)視結果的全部判斷為非法的例子����。在圖57中表示其一例。圖57表示由包含在更新模組群130中的更新模組131 137進行的監(jiān)視的結果�����。在該圖中�����,更新模組132監(jiān)視更新模組131��、133及135���,更新模組132對更新模組 131�、133及135的監(jiān)視結果全部是非法(4001,4003,4004)的�。 此外,更新模組131監(jiān)視更新模組134�����,該監(jiān)視的結果是正常0006),更新模組133 監(jiān)視更新模組131�、135及136�����,其監(jiān)視的結果分別是正常0005����、4012及4008),更新模組 134監(jiān)視更新模組136�����,其監(jiān)視的結果是正常0007)�����,更新模組135監(jiān)視更新模組137����,其監(jiān)視的結果是正常(4011),更新模組136監(jiān)視更新模組137����,其監(jiān)視的結果是正常(4010)����,更新模組137監(jiān)視更新模組133��,其監(jiān)視的結果是正常0009)�。在此情況下,即使想要通過在上述各實施方式中說明的方法確定非法模組���,也由于在各更新模組的監(jiān)視結果中不發(fā)生矛盾����,所以哪個更新模組都不能確定為非法的更新模組���。此外�����,在此情況下�,即使使用在實施方式3的軟件更新系統(tǒng)IOcb中說明的正常模組的確定處理采用了圖50的步驟S9001到S9013的時序���,也是哪個更新模組也不能判斷為非法的更新模組��。接著����,采用步驟S9014的時序,選擇1個更新模組���,采用步驟S9015到S9016的時序,將假定為非法的更新模組追加到假定非法更新模組群中�。在此情況下,根據(jù)圖57所示的監(jiān)視的結果���,更新模組132不包含在假定非法更新模組群中���。這是因為,更新模組132將向更新模組131���、133�、135的監(jiān)視全部判斷為非法(4001,4003,4004)�����。結果,不能將圖57所示的更新模組131 137僅分為假定非法更新模組群及非法的更新模組群��。因此���,不能采用在實施方式3的軟件更新系統(tǒng)IOcb中說明的正常模組的確定處理�,哪個更新模組都不能確定為正常的更新模組���。這樣�,即使使用軟件更新系統(tǒng)IOcb中的確定正常模組的方法��,更新模組132也不能被判斷為非法的更新模組��,此外也不能被分類到假定非法更新模組群中��。因此�,對于該情況,不能采用軟件更新系統(tǒng)IOcb的確定正常模組的方式來確定正常模組�。為了確定正常的更新模組,也許只要變更監(jiān)視模式����、新接受監(jiān)視的結果、再次進行正常模組確定處理就可以����。但是���,即使變更監(jiān)視模式而再次進行監(jiān)視,在更新模組132在向對象的更新模組的監(jiān)視中全部判斷為非法的情況下�����,也同樣不能確定正常的更新模組�����。這樣即使將監(jiān)視模式更新而再次進行監(jiān)視�、也總是使向對象的更新模組的監(jiān)視結果都為非法的更新模組被篡改�����,是妨礙正常模組的確定的更新模組(以下稱作妨礙模組)�����。4. 2篡改監(jiān)視系統(tǒng)IOda在篡改監(jiān)視系統(tǒng)IOda中����,為了解決上述問題,對全部的監(jiān)視對象的監(jiān)視模組提取判斷為非法的監(jiān)視模組(以下稱作妨礙候補模組)�����,從所提取的妨礙候補模組之中確定真的妨礙模組,將所確定的妨礙模組預先排除����。通過這樣將被篡改而進行非法動作的妨礙模組預先排除,能夠從剩余的多個監(jiān)視模組之中有效地確定是正常的監(jiān)視模組�,能夠有效地用于確定的正常的監(jiān)視模組。
對作為另一實施方式的篡改監(jiān)視系統(tǒng)10da����,使用圖78所示的結構圖進行說明。篡改監(jiān)視系統(tǒng)IOda如該圖所示�����,由信息安全裝置IOOda及管理裝置200da構成��。信息安全裝置IOOda具有監(jiān)視篡改的多個監(jiān)視模組131da�����、132da�、133da、134da�。管理裝置200da由以下單元構成接收部MOda����,從信息安全裝置IOOda接收各監(jiān)視模組對其他監(jiān)視模組的監(jiān)視結果����;判斷部683da,使用接收到的上述監(jiān)視結果�����,從上述監(jiān)視模組之中����,提取對全部的監(jiān)視對象的監(jiān)視模組判斷為被篡改的妨礙候補模組;更新部 250da���,在檢測到多個妨礙候補模組的情況下,生成新的監(jiān)視模式��,以在多個妨礙候補模組間相互監(jiān)視對方���,將所生成的新的監(jiān)視模式對上述信息安全裝置發(fā)送�����,使其替換為新的監(jiān)視模式�����。接收部MOda還從信息安全裝置IOOda接收新的監(jiān)視模式的新的監(jiān)視結果�����。判斷部683da還使用接收到的新的監(jiān)視結果�,將從上述妨礙候補模組中去除了將相互判斷為正常、對其他妨礙候補模組判斷為非法的兩個妨礙候補模組的另一妨礙候補模組確定為妨礙模組�����。這樣��,能夠確定妨礙模組�,所以只要使確定的妨礙模組無效化就可以。這里�,判斷部683da還可以使用接收到的新的監(jiān)視結果、在兩個妨礙候補模組中的第1妨礙候補模組對第2妨礙候補模組判斷為正常�、第2妨礙候補模組對第1妨礙候補模組判斷為非法的情況下,將第1妨礙候補模組確定為被篡改的非法的更新模組��。4. 3軟件更新系統(tǒng)IOdb對作為另一實施方式的軟件更新系統(tǒng)IOdb進行說明����。在軟件更新系統(tǒng)IOdb中��,為了解決實施方式3的問題���,對全部的監(jiān)視對象的更新模組提取判斷為非法的更新模組(以下稱作妨礙候補模組),從所提取的妨礙候補模組之中確定真的妨礙模組�����,將所確定的妨礙模組預先排除��。這樣����,通過將被篡改而進行非法動作的妨礙模組預先排除,能夠從剩余的多個更新模組之中有效地確定是正常的更新模組�,能夠使用所確定的正常的更新模組將保護控制模組安全地更新。另外�,在軟件更新系統(tǒng)IOdb中����,與實施方式2及實施方式3同樣,對更新模組是7 個的情況進行說明�����。但是,更新模組也可以是8個以上�,也可以是6個以下。(1)軟件更新系統(tǒng)IOdb的結構軟件更新系統(tǒng)IOdb如圖53所示��,由更新服務器200db及設備IOOdb構成���。設備 IOOdb具有與實施方式1的設備100相同的結構��。此外����,更新服務器200db具有與實施方式1的更新服務器200類似的結構�����,由判斷部210db��、更新用軟件分配部220��、模組無效化部 230����、通信部240及監(jiān)視模式更新部250構成���。更新用軟件分配部220、模組無效化部230及通信部240與更新服務器200具有的更新用軟件分配部220�、模組無效化部230及通信部240相同。判斷部210db具有與軟件更新系統(tǒng)IOcb的更新服務器200cb具有的判斷部210cb類似的結構�����。這里����,以判斷部210db及監(jiān)視模式更新部250為中心進行說明。(2)監(jiān)視模式更新部250的結構監(jiān)視模式更新部250在將設備IOOdb內(nèi)部的更新模組群130的監(jiān)視模式更新的情況下�����,根據(jù)判斷部210db的監(jiān)視模式更新的指示�,為了將更新模組群130內(nèi)的各更新模組的監(jiān)視模式更新,生成用于更新的監(jiān)視模式���,將所生成的監(jiān)視模式向各更新模組發(fā)送����。監(jiān)視模式更新部250如圖M所示�,由接收部901、發(fā)送部902��、監(jiān)視模式生成部903�����、監(jiān)視模式分割部904及控制部905構成�����。(a)接收部 901接收部901從判斷部210db接收表示監(jiān)視模式的生成的生成指示及指示的時點的更新模組列表�����。更新模組列表包含有分別識別包含在設備IOOdb具有的更新模組群130中的全部的更新模組的識別號碼����。此外,在存在妨礙候補模組的情況下���,接收識別全部的妨礙候補模組的識別號碼���。接收部901將接收到的監(jiān)視模式的生成指示向控制部905輸出。此外,將接收到的更新模組列表經(jīng)由控制部905向監(jiān)視模式生成部903輸出���。此外����,在接收到識別妨礙候補模組的識別號碼的情況下�,將接收到的識別號碼經(jīng)由控制部905向監(jiān)視模式生成部903輸出。(b)監(jiān)視模式生成部903監(jiān)視模式生成部903從接收部901經(jīng)由控制部905接收更新模組列表����。此外,在存在妨礙候補模組的情況下���,接收識別全部的妨礙候補模組的識別號碼���。如果接收到更新模組列表,則監(jiān)視模式生成部903使用接收到的更新模組列表����, 決定哪個更新模組監(jiān)視哪個更新模組,生成設備IOOdb具有的更新模組群130的整體的監(jiān)視模式��。特別是�,監(jiān)視模式生成部903使用識別接收到的妨礙候補模組的識別號碼�����,生成整體的監(jiān)視模式,以使多個妨礙候補模組分別監(jiān)視其他全部的妨礙候補模組����、即進行多個妨礙候補模組間的相互監(jiān)視。另外��,關于多個妨礙候補模組間的相互監(jiān)視的監(jiān)視模式的具體例在后面敘述����。另外,監(jiān)視模式生成部903作為整體的監(jiān)視模式�,例如也可以決定為,使全部的更新模組監(jiān)視其他的全部的更新模組�。監(jiān)視模式生成部903將所生成的整體的監(jiān)視模式向監(jiān)視模式分割部904輸出。(c)監(jiān)視模式分割部904監(jiān)視模式分割部904從監(jiān)視模式生成部903接收整體的監(jiān)視模式��。如果接收到整體的監(jiān)視模式�����,則監(jiān)視模式分割部904將接收到的整體的監(jiān)視模式分割為按照各個更新模組的監(jiān)視模式�。接著�,將分割得到的按照更新模組的監(jiān)視模式作為更新用的監(jiān)視模式���,經(jīng)由控制部905�、發(fā)送部902�����、通信部240及網(wǎng)絡5向設備IOOdb的各個更新模組發(fā)送��。(d)發(fā)送部 902發(fā)送部902經(jīng)由通信部240及網(wǎng)絡5向設備IOOdb發(fā)送按照更新用的更新模組的監(jiān)視模式��。此外��,向判斷部210db通知更新用的監(jiān)視模式的生成及發(fā)送的結束���。(e)控制部 905控制部905從接收部901接收監(jiān)視模式的生成指示���。如果接收到監(jiān)視模式的生成指示,則控制部905對監(jiān)視模式生成部903及監(jiān)視模式分割部904生成設備IOOdb具有的更新模組群130的整體的監(jiān)視模式�����,生成更新用的按照更新模組的監(jiān)視模式��,將更新用的按照更新模組的監(jiān)視模式向設備IOOdb發(fā)送,進行控制�,以在設備IOOdb中進行監(jiān)視模式的更新處理。(3)判斷部210db的結構
判斷部210db如圖55所示����,由接收部601、發(fā)送部602�����、指示生成部603����、模組確定部604db及循環(huán)檢測部606構成�。此外,模組確定部604db由非法模組確定部605�����、正常模組確定部607及妨礙模組確定部608構成��。接收部601��、發(fā)送部602���、指示生成部603及循環(huán)檢測部606分別與軟件更新系統(tǒng) IOcb的更新服務器200cb的判斷部210cb具有的接收部601���、發(fā)送部602��、指示生成部603 及循環(huán)檢測部606相同��。指示生成部603將表示監(jiān)視模式的生成的生成指示經(jīng)由發(fā)送部602向監(jiān)視模式更新部250發(fā)送�。此外����,非法模組確定部605及正常模組確定部607分別與軟件更新系統(tǒng)IOcb的更新服務器200cb的判斷部210cb的模組確定部604cb具有的非法模組確定部605及正常模組確定部607相同。接著�����,對妨礙模組確定部608進行說明����。(4)妨礙模組確定部608的結構妨礙模組確定部608判斷是否存在有可能被篡改、進行非法動作的更新模組�。妨礙模組確定部608如圖56所示,由確定指示接收部681���、確定結果發(fā)送部682���、 驗證結果判斷部683�����、監(jiān)視模式更新指示生成部684及驗證結果接收部685構成�����。(a)確定指示接收部681確定指示接收部681從指示生成部603接收表示確定妨礙正常模組的確定的更新模組的指示的妨礙確定指示�、以及設備IOOdb的更新模組的監(jiān)視的結果�,將接收到的監(jiān)視的結果向驗證結果判斷部683發(fā)送��。(b)驗證結果接收部685驗證結果接收部685從指示生成部603接收在設備IOOdb中更新模組群130的監(jiān)視模式被更新后的監(jiān)視的結果���,將接收到的更新后的監(jiān)視的結果向驗證結果判斷部683發(fā)送���。(c)驗證結果判斷部683驗證結果判斷部683從確定指示接收部681接收監(jiān)視的結果,使用接收到的監(jiān)視的結果����,判斷是否有可能存在妨礙正常模組的確定的更新模組。即�����,判斷是否存在妨礙候補模組。妨礙候補模組是對該全部的監(jiān)視對象的更新模組判斷為非法的更新模組����。另外,關于是否存在妨礙候補模組的判斷的詳細情況在后面敘述���。在判斷為不存在妨礙候補模組的情況下��,驗證結果判斷部683將不存在妨礙候補模組的消息向確定結果發(fā)送部682發(fā)送���。在判斷為存在妨礙候補模組的情況下,驗證結果判斷部683為了判斷妨礙候補模組是否真是妨礙模組���,向監(jiān)視模式更新指示生成部684發(fā)送全部的候補妨礙模組的識別號碼�����,委托監(jiān)視模式的更新��。這是為了判斷妨礙候補模組被非法地篡改而妨礙正常模組的確定����、還是正常的更新模組對非法的更新模組正常地監(jiān)視。關于詳細情況在后面敘述���。在設備IOOdb中�,在將更新模組群130的監(jiān)視模式更新后���,驗證結果判斷部683從驗證結果接收部685接收監(jiān)視模式的更新后的監(jiān)視的結果���,判斷有可能為非法的更新模組是否是非法的更新模組。將判斷的結果向確定結果發(fā)送部682發(fā)送�����,為了將更新模組群130 的監(jiān)視模式更新����,向監(jiān)視模式更新指示生成部684委托監(jiān)視模式的更新�����。
(d)監(jiān)視模式更新指示生成部684監(jiān)視模式更新指示生成部684從驗證結果判斷部683接收有可能為非法的更新模組的識別信息和監(jiān)視模式的更新委托���,向指示生成部603發(fā)送監(jiān)視模式的更新指示���,以成為由接收到的識別信息識別的各更新模組監(jiān)視本更新模組以外的全部的更新模組的監(jiān)視模式����。此外���,在僅接收到監(jiān)視模式的更新的委托的情況下�����,向指示生成部603發(fā)送監(jiān)視模式的更新指示�����。(e)確定結果發(fā)送部682確定結果發(fā)送部682從驗證結果判斷部683接收妨礙正常模組的確定的更新模組的確定結果�,將確定結果向指示生成部603發(fā)送�。(4)軟件更新系統(tǒng)IOdb的動作這里,對軟件更新系統(tǒng)IOdb的動作����,使用圖58所示的動作圖進行說明。特別是��, 對從妨礙模組確定處理到正常模組確定處理的處理的轉移進行說明。為了確定正常的更新模組�,更新模組群130內(nèi)的多個更新模組相互進行監(jiān)視,設備IOOdb將監(jiān)視的結果向更新服務器200db發(fā)送�����。更新服務器200db接收監(jiān)視的結果���,判斷是否存在使向監(jiān)視對象的全部的更新模組的監(jiān)視結果全部為非法的更新模組(如上述那樣�,將這樣的更新模組稱作妨礙候補模組)(步驟S10001)��。在存在妨礙候補模組的情況下��,更新服務器200db從更新模組群130中提取全部的妨礙候補模組(步驟31000 ����。接著,更新服務器200db為了判斷所提取的妨礙候補模組是否是妨礙模組�����,生成新的監(jiān)視模式��,以使各妨礙候補模組監(jiān)視其他全部的妨礙候補模組��。接著���,對設備IOOdb的各更新模組發(fā)送新的監(jiān)視模式���,控制設備lOOdb,以使其更新為新的監(jiān)視模式(步驟S10003)�。設備IOOdb的各更新模組使用新的監(jiān)視模式相互進行監(jiān)視。特別是�����,各妨礙候補模組進行其他全部的妨礙候補模組的監(jiān)視�。更新服務器200db從設備IOOdb接收新的監(jiān)視模式的監(jiān)視的結果,使用接收到的監(jiān)視的結果����,判斷妨礙候補模組是否是妨礙模組。妨礙模組總是對監(jiān)視對象的全部的更新模組判斷為非法����,但正常的更新模組對正常的更新模組判斷為正常。因此����,在妨礙候補模組群內(nèi)存在多個正常的更新模組的情況下��,正常的妨礙候補模組間的相互監(jiān)視的結果為正常�。另一方面����,由妨礙候補模組進行的、向正常的妨礙候補模組以外的妨礙候補模組的監(jiān)視結果全部為非法���。由此����,在妨礙候補模組是否是妨礙模組的判斷中����,在(i)兩個的妨礙候補模組間的相互監(jiān)視的結果是正常、而且(ii)通過相互判斷為正常的該兩個妨礙候補模組在向該兩個妨礙候補模組以外的妨礙候補模組的監(jiān)視中判斷為非法的情況下��,將該兩個妨礙候補模組決定為不是妨礙模組�����。不滿足該條件的妨礙候補模組對于自妨礙候補模組以外的妨礙候補模組總是判斷為非法���,所以確定為妨礙模組 (步驟 S10004)���。更新服務器200db在存在滿足上述的條件的妨礙候補模組的情況下,提取不滿足條件的妨礙候補模組����,確定為妨礙模組(步驟S10005),模組無效化部230對設備IOOdb輸出指示����,以使其將所確定的妨礙模組無效化(步驟S10006)。此外�,更新服務器200db的模組無效化部230在不存在滿足上述的條件的妨礙候補模組的情況下,由于全部的妨礙候補模組是妨礙模組����,所以對設備IOOdb輸出指示,以使其將所確定的妨礙模組無效化(步驟S10006)�。接著,更新服務器200db將全部的更新模組的監(jiān)視模式更新(步驟S10007)����,在更新模組全體中進行相互監(jiān)視(步驟S10001)。更新服務器200db接收更新模組群130的監(jiān)視的結果�����,在不存在妨礙候補模組的情況下,執(zhí)行正常模組確定處理(步驟S10008)����,確定正常的更新模組(步驟S10009)。如以上說明�����,通過將妨礙正常模組的確定的妨礙模組無效化并排除��,在正常模組確定處理中��,用來確定正常的更新模組的效率提高��。在上述中����,步驟S10001到步驟S10006是妨礙模組確定處理。(5)妨礙模組確定處理及正常模組確定處理的時序這里����,對妨礙模組確定處理及正常模組確定處理的時序,使用圖59 圖60所示的時序圖進行說明�����。判斷部210db的指示生成部603向監(jiān)視模式更新部250發(fā)送監(jiān)視模式的生成指示,監(jiān)視模式更新部250接收監(jiān)視模式生成指示(步驟S11001)��。監(jiān)視模式更新部250的監(jiān)視模式生成部903生成整體的新的監(jiān)視模式�����,監(jiān)視模式分割部904將整體的新的監(jiān)視模式分割為按照更新模組的監(jiān)視模式(步驟S110(^)����。監(jiān)視模式更新部250經(jīng)由通信部240及網(wǎng)絡5向設備IOOdb的各更新模組發(fā)送按照更新模組的監(jiān)視模式��,設備IOOdb的更新模組群130內(nèi)的各更新模組接收按照更新模組的監(jiān)視模式(步驟Sl 1003)��。更新模組群130內(nèi)的各更新模組通過將舊的監(jiān)視模式替換為接收到的新的監(jiān)視模式��,將監(jiān)視模式更新(步驟S11004)����。在向新的監(jiān)視模式更新后,更新模組群130內(nèi)的各更新模組通過新的監(jiān)視模式執(zhí)行監(jiān)視處理��,與實施方式1的相互監(jiān)視處理同樣����,按照監(jiān)視模式進行篡改檢測處理(步驟Sl 1005)���。另外,不進行是否有實施方式1的被篡改的更新模組的判斷(圖19的步驟S5004)�。接著,設備IOOdb將監(jiān)視的結果經(jīng)由網(wǎng)絡5及通信部MO 向判斷部210db發(fā)送�����,判斷部210db接收監(jiān)視的結果(步驟S11006)�����。判斷部210db進行妨礙模組的確定處理(步驟S11007)��。關于妨礙模組確定處理的詳細情況在后面敘述���。在妨礙模組處理的確定中確定了妨礙模組的情況下�,判斷部210db 與識別所確定的妨礙模組的識別號碼一起����、向模組無效化部230發(fā)送無效化指示(步驟 S11008)。模組無效化部230與識別所確定的妨礙模組的識別號碼一起�,向更新模組群130 內(nèi)的更新模組無效化的委托發(fā)送(步驟S11009)。接收到了無效化的委托的更新模組與訪問控制模組140協(xié)同,通過接收到的識別妨礙模組的識別號碼����,使妨礙模組無效化(步驟 S11010)。另外��,無效化處理的詳細情況與實施方式1的無效化處理是同樣的��,所以省略����。在妨礙模組的確定處理中���,判斷部210db發(fā)送監(jiān)視模式的生成指示�����,監(jiān)視模式更新部250接收監(jiān)視模式的生成指示(步驟S11011)�。監(jiān)視模式更新部250的監(jiān)視模式生成部903基于接收到的監(jiān)視模式的生成指示生成整體的新的監(jiān)視模式��,監(jiān)視模式分割部904將整體的新的監(jiān)視模式分割為按照更新模組的監(jiān)視模式(步驟S110U)��。監(jiān)視模式更新部250經(jīng)由通信部240及網(wǎng)絡5向設備IOOdb 的各更新模組發(fā)送按照更新模組的監(jiān)視模式�,設備IOOdb的更新模組群130內(nèi)的各更新模組接收按照更新模組的監(jiān)視模式(步驟S11013)。設備IOOdb的更新模組群130內(nèi)的各更新模組向新的監(jiān)視模式更新(步驟 S11014)。在向新的監(jiān)視模式更新后��,各更新模組執(zhí)行相互監(jiān)視處理(步驟S11015)���。設備 IOOdb發(fā)送監(jiān)視的結果�����,判斷部210db接收監(jiān)視的結果(步驟S11016)��。判斷部210db進行正常模組的確定處理(步驟S11017)�。另外��,正常模組的確定處理的詳細情況與實施方式3是同樣的����,所以省略。(6)相互監(jiān)視的監(jiān)視模式的一例對于相互監(jiān)視的監(jiān)視模式的一例�����,使用圖65所示的相互監(jiān)視的監(jiān)視模式的例子進行說明���。在圖65中表示通過4個妨礙候補模組相互進行監(jiān)視的情況下的例子��。如該圖所示��,更新模組131��、132�、136及137分別被作為妨礙候補模組提取。此外�,更新模組131、132��、136及137分別被作為妨礙候補模組提取��,所以通過監(jiān)視模式更新部250生成按照更新模組的監(jiān)視模式��,以使更新模組131及132相互進行監(jiān)視�、更新模組132及137相互進行監(jiān)視�、更新模組137及136相互進行監(jiān)視、更新模組136及131 相互進行監(jiān)視���、更新模組137及131相互進行監(jiān)視�。此外�,通過監(jiān)視模式更新部250,將按照更新模組的監(jiān)視模式發(fā)送給更新模組131���、132�、136及137,更新模組131����、132、136及137 通過新接收到的監(jiān)視模式變更舊的監(jiān)視模式����,通過新的監(jiān)視模式進行相互的監(jiān)視。(7)由相互監(jiān)視的監(jiān)視模式進行的相互監(jiān)視的結果的例子對使用圖65所示的相互監(jiān)視的監(jiān)視模式的例子的情況下的相互監(jiān)視的結果的例子�����,使用圖66 圖69進行說明����。另外,如圖65中說明那樣�,作為一例,作為妨礙候補模組的更新模組131���、132�����、136 及137分別相互進行監(jiān)視�。(a)相互監(jiān)視的結果的第1例在圖66中表示使用圖65所示的相互監(jiān)視的監(jiān)視模式的例子的情況下的相互監(jiān)視的結果的第1例。在圖66所示的第1例中����,全部的監(jiān)視的結果是非法的。S卩�,更新模組131、132���、136 及137分別將監(jiān)視對方的更新模組全部判斷為非法��。(b)相互監(jiān)視的結果的第2例在圖67中表示使用圖65所示的相互監(jiān)視的監(jiān)視模式的例子的情況下的相互監(jiān)視的結果的第2例����。在圖67所示的第2例中����,除了更新模組131對更新模組132的監(jiān)視的結果0051) 以外�,其他全部的監(jiān)視的結果是非法的。S卩�����,更新模組131對更新模組132判斷為正常0051),更新模組132對更新模組 131判斷為非法�。此外,在更新模組131及137之間的相互監(jiān)視�����、更新模組132及137之間的相互監(jiān)視��、更新模組132及136之間的相互監(jiān)視��、更新模組131及136之間的相互監(jiān)視及更新模組136及137之間的相互監(jiān)視中判斷為非法����。(c)相互監(jiān)視的結果的第3例在圖68中表示使用圖65所示的相互監(jiān)視的監(jiān)視模式的例子的情況下的相互監(jiān)視的結果的第3例。在圖68所示的第3例中�,除了更新模組131對更新模組132的監(jiān)視的結果0061)、 更新模組131對更新模組137的監(jiān)視的結果及更新模組137對更新模組131的監(jiān)視的結果G062)以外�,其他的全部的監(jiān)視的結果是非法的。S卩��,更新模組131對更新模組132判斷為正常(4061)����,更新模組132對更新模組 131判斷為非法。此外����,更新模組131對更新模組137判斷為正常(4063)�,更新模組137對更新模組131判斷為正常006 ��。進而����,在更新模組132及137之間的相互監(jiān)視、更新模組 132及136之間的相互監(jiān)視���、更新模組131及136之間的相互監(jiān)視及更新模組136及137之間的相互監(jiān)視中��,判斷為非法����。(d)相互監(jiān)視的結果的第4例在圖69中表示使用圖65所示的相互監(jiān)視的監(jiān)視模式的例子的情況下的相互監(jiān)視的結果的第4例��。在圖69所示的第4例中�,除了更新模組131對更新模組137的監(jiān)視的結果0072) 及更新模組137對更新模組131的監(jiān)視的結果007 以外,其他全部的監(jiān)視的結果是非法的�。S卩,更新模組131對更新模組137判斷為正常007 �����,更新模組137對更新模組 131判斷為正常0071)�����。此外�,在更新模組131及132之間的相互監(jiān)視、更新模組132及 137之間的相互監(jiān)視����、更新模組132及136之間的相互監(jiān)視、更新模組131及136之間的相互監(jiān)視以及更新模組136及137之間的相互監(jiān)視中判斷為非法���。(8)妨礙模組的確定處理的詳細情況的動作接著��,對妨礙模組的確定處理的動作�,使用圖61 圖63所示的流程圖進行說明����。判斷部210db如以下所示,基于更新模組群130的各更新模組的監(jiān)視的結果�,進行妨礙模組的確定處理。驗證結果判斷部683判斷是否存在將對全部的監(jiān)視對象的更新模組的監(jiān)視結果全部判斷為非法的更新模組����、換言之是否存在妨礙候補模組(步驟S12001)��。在不存在妨礙候補模組的情況下(步驟S12001中“否”)�����,驗證結果判斷部683結束妨礙模組的確定處理���。在存在妨礙候補模組的情況下(步驟S12001中“是”),驗證結果判斷部683將分別識別全部的妨礙候補模組的識別號碼向監(jiān)視模式更新部250輸出���。監(jiān)視模式更新部250 使用接收到的分別識別全部的妨礙候補模組的識別號碼����,生成按照更新模組的監(jiān)視模式��, 以使全部的妨礙候補模組相互進行監(jiān)視(步驟S12002)�����。作為一例���,如果更新模組群130中的��、更新模組131�、132、136及137分別對作為全部的監(jiān)視的對象的更新模組判斷為非法����,則更新模組131��、132�、136及137分別是妨礙候補模組,生成監(jiān)視模式�����,以使更新模組131���、132���、136及137相互進行監(jiān)視。將該情況下的監(jiān)視模式表示在圖65中�����。接著�,將生成的監(jiān)視模式向設備IOOdb發(fā)送,以使設備IOOdb具有的更新模組執(zhí)行相互監(jiān)視,使設備IOOdb具有的更新模組執(zhí)行相互監(jiān)視����。設備IOOdb接收監(jiān)視模式。更新模組群130的各更新模組通過接收到的監(jiān)視模式將舊的監(jiān)視模式更新��,使用新更新的監(jiān)視模式相互進行監(jiān)視(步驟S12003)����。設備IOOdb將該監(jiān)視的結果向更新服務器200db發(fā)送。 更新服務器200db的判斷部210db的妨礙模組確定部608的驗證結果判斷部683接收相互監(jiān)視的結果(步驟S12004)�。接著,驗證結果判斷部683判斷在妨礙候補模組間的監(jiān)視的結果中是否存在至少 1個正常的(步驟S12005)���。驗證結果判斷部683在妨礙候補模組間的全部的相互監(jiān)視的結果全部非法��、在相互監(jiān)視的結果中完全不存在正常的情況下(步驟S12005中“否”)����,將全部的妨礙候補模組確定為妨礙模組(步驟S12006)�����。在圖66所示的例子的情況下���,在作為妨礙候補模組的更新模組131�、132、136及137中��,全部的相互監(jiān)視的結果全部是非法(在圖66中是“X”)��, 在相互監(jiān)視的結果中不存在正常(“〇”)����,驗證結果判斷部683將更新模組131��、132���、136及 137確定為妨礙模組�。接著�,向步驟S12011轉移控制。在妨礙候補模組的監(jiān)視的結果中存在至少1個正常的情況下(步驟S12005中 “是”)�,驗證結果判斷部683再判斷相互判斷為正常的兩個妨礙候補模組(步驟S12007)。在圖67���、圖68及圖69所示的例子的情況下����,分別在妨礙候補模組的監(jiān)視的結果中存在至少1個正常。此外���,在圖67所示的例子的情況下�,不存在相互判斷為正常的兩個的妨礙候補模組�。進而,在圖68所示的例子的情況下�����,更新模組131及137是相互將對方判斷為正常的妨礙候補模組����。此外,在圖69所示的例子的情況下�����,更新模組131及137也是相互將對方判斷為正常的妨礙候補模組���。因而�,在圖67所示的例子的情況下��,不滿足步驟S12007的條件����。另一方面���,在圖 68及圖69所示的例子的情況下,滿足步驟S12007的條件�。在判斷為不存在相互判斷為正常的兩個妨礙候補模組的情況下(步驟S12007 中“否”),如果如圖67的例子所示的更新模組131那樣����、存在將監(jiān)視結果判斷為正常 (4051 “〇”)的妨礙候補模組,則更新模組131對更新模組132的判斷結果是正常��,但更新模組132對更新模組131的判斷結果是非法����。這樣���,在監(jiān)視結果中發(fā)生矛盾��。由此��,驗證結果判斷部683將更新模組131確定為非法的更新模組�����。這里說明的情況是相互進行監(jiān)視的兩個妨礙候補模組中的第1妨礙候補模組對第2妨礙候補模組判斷為正常��、而第2妨礙候補模組對第1妨礙候補模組判斷為非法的情況��。在這樣的情況下�����,將判斷對方的妨礙候補模組為正常的妨礙候補模組確定為非法的更新模組(步驟S12008a)����。接著,判斷部210db為了使確定為非法的更新模組的更新模組無效化而發(fā)送無效化指示(步驟S 12008b)����。接著,在圖67的例子所示的情況下�,更新模組132、136及137將對妨礙候補模組的全部的監(jiān)視結果判斷為非法(“X”)���,所以驗證結果判斷部683將更新模組132����、136及 137確定為妨礙模組�����。即,驗證結果判斷部683將判斷對全部的監(jiān)視對象的妨礙候補模組的全部的監(jiān)視結果為非法的妨礙候補模組確定為妨礙模組(步驟S12008C)����。接著,向步驟S12011轉移控制��。在存在相互判斷為正常的兩個妨礙候補模組的情況下(步驟S12007中“是”)��,驗證結果判斷部683再判斷相互判斷為正常(“〇”)的妨礙候補模組群在使監(jiān)視結果全部為非法的妨礙候補模組群之中���、向相互判斷為正常(“〇”)的妨礙候補模組群以外的妨礙候補模組是否判斷為非法(“X”)(步驟S12009)�����。在相互判斷為正常(“〇”)的更新模組群在使監(jiān)視結果全部為非法的更新模組群之中向更新模組群以外的更新模組判斷為非法 (“X”)的情況下(步驟S12009中“是”),如圖68所示的例子的情況那樣��,更新模組131 和更新模組137相互判斷為正常(“〇”)�����,但根據(jù)更新模組131與更新模組132的相互監(jiān)視的結果�����,在更新模組131的監(jiān)視結果中發(fā)生矛盾(更新模組132將更新模組131判斷為非法、更新模組137將更新模組131判斷為正常)�。進而,在更新模組137的監(jiān)視結果中也發(fā)生矛盾����。由此,將更新模組131和更新模組137確定為非法的更新模組(步驟S12010a)����。接著,判斷部210db為了將確定為非法的更新模組的更新模組131和更新模組137無效化而發(fā)送無效化指示(步驟S12010b)����。接著,驗證結果判斷部683由于更新模組132及136總是將全部的監(jiān)視結果判斷為非法(“ X ”)�����,所以將更新模組132及136確定為妨礙模組(步驟S12010C)��。接著����,驗證結果判斷部683判斷是否存在妨礙候補模組相互判斷為正常(“〇”) 的妨礙候補模組群以外的更新模組�����。即����,判斷是否存在妨礙模組(步驟S12011)����。在如圖69所示的例子的情況那樣,更新模組131和更新模組137是相互判斷為正常(“〇”)的妨礙候補模組群�,在其以外存在更新模組132和更新模組136。此時�,更新模組132和更新模組136總是將全部的監(jiān)視結果判斷為非法(“ X ”),所以驗證結果判斷部 683確認為妨礙模組����。在存在妨礙模組的情況下(步驟S12011中“是”),判斷部210db發(fā)送將妨礙模組無效化的指示(步驟S12012)���。在不存在妨礙模組的情況下(步驟S12011中 “否”)或無效化指示的發(fā)送后(步驟S12012),判斷部210db對監(jiān)視模式更新部250指示���, 以生成更新模組群130整體為新的監(jiān)視模式���,監(jiān)視模式更新部250生成更新模組群130整體的新的監(jiān)視模式����,將新的監(jiān)視模式對設備IOOdb發(fā)送(步驟S12013)���。判斷部210db對設備IOOdb的更新模組群130發(fā)送通過新的監(jiān)視模式的相互監(jiān)視的指示(步驟S12014)�����。如以上說明��,在妨礙模組的確定處理中�,即使變更監(jiān)視模式�,也通過將監(jiān)視對象的更新模組總是判斷為非法(“X”)的更新模組無效化,將妨礙正常的更新模組的確定的更新模組(即妨礙模組)積極地排除�。在將妨礙模組排除后,確定正常的更新模組����,通過使用確定的正常的更新模組進行保護控制模組的更新,能夠更有效地救濟保護控制模組�,能夠進一步提高系統(tǒng)的安全性。此外,通過將妨礙正常的更新模組的確定的更新模組積極地排除��,不能實現(xiàn)正常的更新模組的確定的可能性變小����,能夠確定正常的更新模組、使用所確定的正常的更新模組將保護控制模組盡可能地更新�。另外,在上述中�,更新模組也可以是監(jiān)視模組。5.其他變形例另外��,將本發(fā)明基于上述各實施方式進行了說明��,但本發(fā)明當然并不限定于上述各實施方式����。以下那樣的情況也包含在本發(fā)明中。(1)在上述各實施方式中�����,將保護控制模組120更新��,但并不限定于此��。也可以將更新模組及應用程序等��、保護控制模組120以外的模組更新���。以下���,舉將更新模組133更新的情況為例,對更新模組的更新處理進行說明��。在更新模組的更新處理中�����,與將保護控制模組更新的情況同樣��,更新用軟件分配部220將用來將更新模組133更新的更新用更新模組使用多個密鑰多重加密����,將包含在更新模組群130中的更新模組(除了更新模組133以外)作為發(fā)送目標發(fā)送。包含在更新模組群130中的更新模組(除了更新模組133以外)將更新模組133更新為更新用更新模組���。此時���,通過更新用軟件分配部220控制用來將被多重加密的更新用更新模組解密的多個密鑰向包含在更新模組群130中的更新模組發(fā)送的定時����,使攻擊者不能得到?jīng)]有被加密的更新用更新模組�。(2)在上述各實施方式中,各更新模組包括接收部301�、發(fā)送部302、控制部303�����、更新部304�����、驗證部305����、MAC值生成部306、MAC值表更新部307���、分散信息保持部308而構成����。 但是���,并不限定于此�。
各更新模組也可以僅由監(jiān)視處理所需要的構成單元(控制部303、驗證部305)構成�。此外�,各更新模組也可以僅由更新處理所需要的構成單元(控制部303、更新部304)構成��。此外�,各更新模組也可以僅由無效化處理所需要的構成單元(控制部303、更新部304) 構成�。進而,各更新模組也可以由上述的組合構成�����。在此情況下���,只要構成為��、使包含在更新模組群130中的多個更新模組作為整體而包括監(jiān)視處理和更新處理中需要的構成單元就可以��。(3)在上述各實施方式中����,各更新模組的驗證部305執(zhí)行其他更新模組或保護控制模組120的篡改檢查,但篡改檢查的對象并不限定于該模組整體���。篡改檢查的對象也可以是更新模組內(nèi)的一部分���、例如包含在更新模組中的確定的功能及函數(shù)、密鑰等的數(shù)據(jù)����。此外,也可以不是一次將篡改對象全部進行篡改檢查�����,而僅將篡改對象的一部分進行篡改檢查�����。此時,既可以按照將篡改對象分割為一定的尺寸得到的部分進行篡改檢查,也可以按照以功能或函數(shù)單位分割而得到的部分進行篡改檢查�。進而�, 也可以每當篡改檢查時從篡改對象的多個部分依次選擇一個部分、對所選擇的部分進行篡改檢查。此外��,也可以每當篡改檢查時隨機地決定進行篡改檢查的部分��。此外���,也可以從其他模組或設備100的外部的裝置給出將哪個部分進行篡改檢查的指示�����、對由該指示表示的部分進行篡改檢查。(4)在上述各實施方式中����,各更新模組及保護控制模組120也可以在被防篡改化的區(qū)域等、被從攻擊者的攻擊保護的區(qū)域中動作����。在僅由監(jiān)視處理所需要的構成單元構成的更新模組在被從攻擊者的攻擊保護的區(qū)域中動作的情況下,其他更新模組及判斷部210在從存在于該被保護的區(qū)域中的更新模組接受到檢測出其他更新模組或保護控制模組120被攻擊的通知時��,既可以將該通知無條件地接受����、實施更新處理或無效化處理,也可以將該通知作為比來自其他模組的通知重要的通知處理�����、進行更新處理或無效化處理的判斷。此外���,也可以是�����,保護控制模組在保護模式下動作�����,即存在于被防篡改化的區(qū)域等中而動作����。此外更新模組在通常模式下動作��,即存在于沒有被防篡改化的區(qū)域等中而動作��。(5)在上述各實施方式中���,模組無效化部230存在于更新服務器內(nèi)���,訪問控制模組 140存在于設備內(nèi),但并不限定于此。模組無效化部230及訪問控制模組140也可以分別存在于設備內(nèi)部中����,也可以存在于更新服務器中。此外���,也可以存在于各更新模組內(nèi)���。此外,模組無效化部230和訪問控制模組140也可以不是不同的模組�,而在設備內(nèi)部中、或在更新服務器內(nèi)部中是1個模組�����。在模組無效化部230和訪問控制模組140是1個模組的情況下�,也可以不是向更新模組發(fā)送訪問信息取得密鑰和加密訪問信息���,而將訪問信息向執(zhí)行無效化的更新模組直接發(fā)送��。進而�����,在模組無效化部230及訪問控制模組140存在于設備內(nèi)的情況下�����,也可以存在于通過防篡改化等而被從攻擊保護的區(qū)域中�����。(6)在各實施方式中��,更新服務器由判斷部�、更新用軟件分配部、模組無效化部�、通信部及監(jiān)視模式更新部等構成,但并不限定于此���。判斷部�����、更新用軟件分配部�����、模組無效化部���、通信部及監(jiān)視模式更新部等也可以由1個模組構成�。此外����,也可以由上述各部的組合構成。(7)在上述各實施方式中�,軟件更新系統(tǒng)在設備的工廠制造時進行初始設定處理, 但并不限定于此���。也可以在銷售后等工廠出貨后的某處實施初始化處理�����。此外��,初始化處理不僅是1次���,也可以實施兩次以上�。(8)在上述各實施方式中,在初始設定處理中�,驗證用證書及認證密鑰證書為使用更新用軟件分配部220保持的簽名秘密密鑰生成的證書,但并不限定于此����,也可以分別使用不同的密鑰生成�,也可以是由更新用軟件分配部220以外的證書發(fā)行裝置發(fā)行的證書�。(9)在上述各實施方式中,作為初始設定處理及下一輪準備處理的動作��,將根據(jù)加解密密鑰生成的分散信息向更新模組13x發(fā)送���,更新模組13x保持分散信息�,但并不限定于此�����。也可以代替更新模組而由應用程序保持分散信息����,也可以由更新模組13x和應用程序保持分散信息。(10)在上述各實施方式中���,作為檢測處理的動作�,更新模組13x在進行保護控制模組120的篡改檢測時���,利用使用驗證密鑰計算的MAC值進行篡改檢測處理����,但并不限定于此。也可以使用保護控制模組120的篡改檢測用證書進行驗證����。此外,也可以不是進行如MAC值或證書那樣利用哈希值的篡改驗證����,而通過檢查日志來進行篡改驗證。(11)在上述各實施方式中��,作為檢測處理的動作�����,在各更新模組檢測到保護控制模組120的篡改的情況下���,向判斷部210和其他更新模組通知��,但并不限定于此���。也可以對判斷部210和其他更新模組中的某1個以上的模組通知����。此外�����,在檢測到保護控制模組120的篡改的情況下�����,也可以將更新模組停止�,也可以將設備100或保護控制模組120停止�����。進而�,也可以將被篡改的保護控制模組刪除。進而����,在各更新模組沒有檢測到保護控制模組120的篡改的情況下,不向判斷部 210進行通知��,但并不限定于此����。作為實施篡改檢測處理的結果�����,也可以通知沒有檢測到篡改����。(12)在上述各實施方式中����,作為檢測處理的動作,各更新模組不對其他更新模組發(fā)送保護控制模組的篡改檢測結果����,但也可以在各個更新模組中共享檢測結果。此外���,也可以在有不共享檢測結果的更新模組的情況下將該更新模組判斷為非法的更新模組而無效化�����。(13)在上述各實施方式中����,作為解析-判斷處理的動作����,基于篡改信息判斷是否將保護控制模組120更新,但并不限定于此�。也可以根據(jù)通知為被篡改的更新模組的數(shù)量來判斷是否更新。例如�����,也可以在通知為被篡改的更新模組的數(shù)量比規(guī)定的數(shù)量多或相等的情況下判斷為更新�����、在少的情況下判斷為不更新����。這里,規(guī)定的數(shù)量是包含在更新模組群中的全部的更新模組的數(shù)量�����。此外����,作為解析-判斷時的動作,判斷是否將保護控制模組120更新���、以及是否將保護控制模組120無效化��,但并不限定于此���,也可以判斷是否將設備100停止�。(14)在上述各實施方式中���,作為相互認證處理的動作����,各更新模組認證更新用軟件分配部220����,然后,更新用軟件分配部220認證各更新模組���,但并不限定于此��。
也可以是�,更新用軟件分配部220認證各更新模組���,然后��,各更新模組認證更新用軟件分配部220��。此外��,也可以是各更新模組和更新用軟件分配部220單獨進行認證處理�。(15)在上述各實施方式中���,作為相互認證處理的動作��,更新用軟件分配部220在認證各更新模組的處理中���,將挑戰(zhàn)數(shù)據(jù)在各個更新模組中設為不同的值,但并不限定于此��。 作為挑戰(zhàn)數(shù)據(jù)�����,也可以在全部的更新模組中設為相同的值�,也可以將全部的更新模組分為多個組、將挑戰(zhàn)數(shù)據(jù)在各個組中設為不同的值���。(16)在上述各實施方式中�,作為相互認證處理的動作,在各更新模組認證更新用軟件分配部220的處理中����,各更新模組單獨認證更新用軟件分配部220,但并不限定于此���。也可以是�����,將簽名驗證的結果向其他更新模組通知��,在更新模組間共享驗證結果�����, 根據(jù)本更新模組的認證結果和從其他更新模組接收到的認證結果�,更新用軟件分配部220 分別判斷是否是合法的�����。作為判斷方法���,例如有在一定數(shù)量(例如過半數(shù)等)的更新模組認證成功的情況下判斷為合法�、在不是那樣的情況下判斷為非法的方法。(17)在上述各實施方式中�,作為相互認證處理的動作,更新服務器200使用簽名秘密密鑰和簽名公開密鑰實施相互認證處理�,但并不限定于此。也可以是���,簽名秘密鑰和簽名公開密鑰分別地使用在相互認證中使用的認證密鑰對�����。此時,更新服務器的認證密鑰對中的認證公開密鑰也可以預先由1個更新模組保持�����,也可以在相互認證處理時從更新服務器向該更新模組發(fā)送�����。(18)在上述各實施方式中�����,作為相互認證處理的動作,根據(jù)能夠驗證為是合法的模組的更新模組的數(shù)量是否是恢復處理所需要的數(shù)量以上來判斷是否實施然后的恢復處理���,但并不限定于此���。也可以根據(jù)非法的更新模組的數(shù)量是否不到預先設定的容許數(shù)來判斷是否實施
恢復處理。此外���,在相互認證處理中���,在判斷為不滿足恢復處理所需要的數(shù)量的情況下,將設備停止����,但在此情況下也可以將更新模組無效化。(19)在上述各實施方式中�����,作為相互認證處理的動作�����,在更新用軟件分配部220 認證各更新模組時��,各更新模組將認證公開密鑰和認證密鑰證書與應答數(shù)據(jù)一起向更新用軟件分配部220發(fā)送,但并不限定于此��。各更新模組也可以將認證公開密鑰和認證密鑰證書與應答數(shù)據(jù)一起分別以不同的定時發(fā)送�。此外,認證公開密鑰及認證密鑰證書也可以僅在從更新用軟件分配部220有請求時分別發(fā)送��。此時���,更新用軟件分配部220也可以接收全部的更新模組的認證公開密鑰及認證密鑰證書��,也可以接收預先設定����、恢復處理所需要的數(shù)量以上的數(shù)量的更新模組的認證公開密鑰及認證密鑰證書���,也可以接收預先設定、不到非法的更新模組的容許數(shù)的更新模組的認證公開密鑰和認證密鑰證書���。(20)在上述各實施方式中���,作為恢復處理的動作,將監(jiān)視處理時在1次的解密中 (監(jiān)視3-1���、3-2�����、5-1����、5-2)實施兩次,但并不限定于此�。也可以匹配于解密處理的時間進行多次監(jiān)視處理,如果是解密處理以外�����,也可以在密鑰或更新用保護控制模組的接收處理時�����、 或檢測處理時�、相互認證處理時進行監(jiān)視處理。
此外���,將監(jiān)視處理以一定時間間隔定期地實施����,但并不限定于此。也可以將更新處理分割為多個塊��、每當該塊的處理結束時實施����,也可以以隨機的時間間隔實施,也可以以被從更新服務器指定的時間間隔實施�����。此外�,各更新模組也可以從外部的服務器取得表示執(zhí)行監(jiān)視處理的定時的同步信息、按照所取得的同步信息執(zhí)行監(jiān)視處理�。由此,各更新模組能夠以與其他更新模組相同的定時執(zhí)行監(jiān)視處理��,所以能夠提高非法的更新模組的檢測精度�����。進而��,也可以變更通常時和恢復處理時的檢測頻度�����。檢測頻度的變更也可以是恢
復處理中�����。(21)在上述實施方式2及實施方式3中����,設循環(huán)監(jiān)視模式內(nèi)的更新模組的數(shù)量是 3個而進行說明,但并不限定于此�����。4個以上的更新模組也可以向一方向循環(huán)而驗證�����。(22)在上述實施方式2及實施方式3中����,在向一方向循環(huán)驗證的結果全部正常的情況下,將循環(huán)監(jiān)視模式內(nèi)的多個更新模組作為一群處理���,但并不限定于此�����。也可以是���,一組的更新模組相互監(jiān)視�����,在驗證結果都正常的情況下也將一組的更新模組作為一群處理�����。 此時���,在相互監(jiān)視的更新模組向同一個更新模組的驗證結果不一致的情況下,將一組的更新模組全部確定為非法的更新模組�����。使用圖70所示的監(jiān)視結果的例子進行說明���。更新模組131和更新模組132的一組的更新模組相互監(jiān)視�����,驗證結果都正常(3101��、3102)���。此時,由于更新模組131對更新模組133的驗證結果(310 �����、與更新模組132對更新模組133的驗證結果(3104)不一致���,所以確定更新模組131和更新模組132是非法的更新模組��。(23)在上述實施方式2及實施方式3中���,在循環(huán)監(jiān)視模式的選擇中,基于循環(huán)的尺寸進行選擇�����,但并不限定于此����。也可以以循環(huán)監(jiān)視模式內(nèi)的更新模組驗證同一個更新模組的數(shù)量較多的順序選擇。例如,存在第1����、第2及第3循環(huán)監(jiān)視模式,在第1循環(huán)監(jiān)視模式中�����,由20個的更新模組進行對第1更新模組的監(jiān)視��,在第2循環(huán)監(jiān)視模式中�����,由10個更新模組進行對第2更新模組的監(jiān)視����,在第3循環(huán)監(jiān)視模式中,通過5個更新模組進行對第3更新模組的監(jiān)視�����。在此情況下�,以第1、第2及第3循環(huán)監(jiān)視模式的順序選擇循環(huán)監(jiān)視模式�。通過這樣����,驗證同一個更新模組的數(shù)量越多�����,能夠越多地進行是否有矛盾的驗證���, 所以在存在矛盾的情況下,容易迅速地找到矛盾���。結果�����,能夠迅速地確定非法的更新模組����, 能夠將非法的更新模組高效率且迅速地排除���。(24)在上述實施方式2及實施方式3中����,在存在多個循環(huán)的尺寸相同的循環(huán)監(jiān)視模式的情況下,循環(huán)監(jiān)視模式外的更新模組基于驗證循環(huán)監(jiān)視模式內(nèi)的更新模組的數(shù)量���, 從多個循環(huán)監(jiān)視模式中選擇循環(huán)監(jiān)視模式���,但并不限定于此。也可以以循環(huán)監(jiān)視模式內(nèi)的更新模組驗證同一個更新模組的數(shù)量較多的順序選擇��。由此���,驗證同一個更新模組的數(shù)量越多���,能夠越多地進行是否有矛盾的驗證,所以在存在矛盾的情況下��,容易迅速地找到矛盾�。結果,能夠迅速地確定非法的更新模組�,能夠將非法的更新模組高效率且迅速地排除。(25)在上述實施方式2中�����,在一次的相互監(jiān)視處理的監(jiān)視結果中�����,確定了非法的更新模組,但并不限定于此�。也可以基于多次的相互監(jiān)視處理的監(jiān)視結果確定非法的更新模組。
使用圖71及圖72所示的監(jiān)視結果的例子具體地說明�����。更新服務器2001Λ在相互監(jiān)視處理中接收圖71的監(jiān)視結果��,進而�,在接著的相互監(jiān)視處理中�����,接收圖72的監(jiān)視結果��。在圖71所示的例子中��,更新模組137向更新模組136的監(jiān)視結果是非法(3112)�, 更新模組136向更新模組137的監(jiān)視結果也是非法(3111)。其他監(jiān)視結果是正常的��。此外����,在圖72所示的例子中����,更新模組132向更新模組135的監(jiān)視結果是非法 (3115)��,更新模組133向更新模組135的監(jiān)視結果也是非法(3114)����。此外,更新模組137向更新模組135的監(jiān)視結果是非法(311 �����。進而���,更新模組137向更新模組136的監(jiān)視結果是非法(3112)���,更新模組136向更新模組137的監(jiān)視結果也是非法(3111)。其他監(jiān)視結果是正常的���。在圖71中作為一例表示的監(jiān)視結果中���,如果執(zhí)行非法模組的確定處理��,能夠確定更新模組137是非法的更新模組�����。非法的更新模組只要沒有通過無效化處理從設備100內(nèi)刪除���,就作為非法的更新模組持續(xù)存在。因此��,在接著的相互監(jiān)視處理中����,將一次確定為非法的更新模組的更新模組判斷為正常的更新模組的更新模組是非法的更新模組��。由此����,能夠將圖72所示的更新模組135也確定為非法的更新模組。這是因為���,更新模組135將確定為非法的更新模組137判斷為正常�。(26)在上述實施方式2中��,在一次的相互監(jiān)視處理的監(jiān)視結果中確定非法的更新模組,但并不限定于此���。也可以基于多次的相互監(jiān)視處理的監(jiān)視結果確定非法的更新模組�。使用圖73及圖74所示的監(jiān)視結果的例子具體地說明���。假設更新服務器2001Λ在相互監(jiān)視處理中接收圖73所示的監(jiān)視結果���、進而在接著的相互監(jiān)視處理中接收圖74所示的監(jiān)視結果。在圖73所示的例子中�,更新模組137向更新模組136的監(jiān)視結果是非法(3121), 更新模組136向更新模組137的監(jiān)視結果也是非法(312 �。此外,更新模組135向更新模組 137的監(jiān)視結果是非法(31 )���,更新模組137向更新模組133的監(jiān)視結果也是非法(3123)����。 其他監(jiān)視結果是正常的�����。在圖74所示的例子中,更新模組137向更新模組136的監(jiān)視結果是非法(3121)�����, 更新模組136向更新模組137的監(jiān)視結果也是非法(312 ���。此外���,更新模組133向更新模組135的監(jiān)視結果是非法(3124),更新模組132向更新模組135的監(jiān)視結果是非法(3125)��, 更新模組137向更新模組133的監(jiān)視結果也是非法(3123)���。其他監(jiān)視結果是正常�����。根據(jù)圖73所示的例子,更新模組135將更新模組137判斷為非法(3126)的更新模組�。然后,根據(jù)圖74所示的例子���,更新模組135將更新模組137判斷為正常(3127)的更新模組���。這樣�����,在圖73所示的例子���、和圖74所示的例子中,更新模組135對更新模組137 的判斷結果不一致����。因而,能夠確定更新模組135是非法的更新模組�。(27)在上述實施方式2中,正常模組假定部653隨機地選擇一個更新模組群130 內(nèi)的更新模組�����,但并不限定于此�����。正常模組假定部653也可以選擇將許多的其他更新模組判斷為正常的更新模組�����。 由此,通過將其他更新模組判斷為正常���,包含在假定正常更新模組群中的更新模組變多�����,能夠使是否有矛盾的驗證變多��,所以容易迅速找到矛盾����。結果��,能夠迅速地確定非法的更新模組�����,能夠將非法的更新模組高效率且迅速地排除�����。(28)在上述實施方式2中�����,在由圖33所示的步驟S8006中���,結束非法模組確定處理���,將其他更新模組假定為正常,再次進行非法模組確定處理�����。此時����,在非法模組確定處理中,正常模組假定部653隨機地選擇一個更新模組群130內(nèi)的更新模組��,但并不限定于此�����。也可以選擇上次的非法模組確定處理的步驟S8003的假定正常更新模組群內(nèi)的更新模組以外�����。在上次的非法模組確定處理中�,知道了在假定正常更新模組群內(nèi)的更新模組中沒有矛盾����,所以即使將假定正常更新模組群內(nèi)的更新模組在步驟S8001中選擇����,也不能確定為非法的更新模組。由此����,通過不選擇不能確定為非法的更新模組的更新模組,能夠提高處理效率�。(29)在上述實施方式3中,在正常模組的確定處理中�����,判斷是否存在循環(huán)監(jiān)視模式����,判斷在循環(huán)監(jiān)視模式中是否有矛盾,但并不限定于此�。也可以代替判斷在循環(huán)監(jiān)視模式中是否有矛盾、以及判斷在循環(huán)監(jiān)視模式中是否有矛盾��,而執(zhí)行非法模組確定處理����。也可以通過執(zhí)行非法模組確定處理來確定非法的更新模組。(30)在上述實施方式3中�,非法模組假定部673隨機地選擇一個更新模組群130 內(nèi)的更新模組,但并不限定于此��。非法模組假定部673也可以從許多其他更新模組中選擇判斷為正常的更新模組�。通過被從其他更新模組判斷為正常而包含在假定非法更新模組群中的更新模組變多。由此���,在步驟S9014中�,選擇的更新模組的數(shù)量變少�,能夠提高處理效率。(31)在上述實施方式3中����,在步驟S9020中沒有選擇全部的更新模組的情況下,在步驟S9014中隨機地選擇一個其他更新模組����,但并不限定于此。也可以選擇上次的正常模組確定處理的步驟S9016的假定非法更新模組群內(nèi)的更新模組以外�����。在上次的正常模組確定處理中,知道了在假定非法更新模組群內(nèi)的更新模組中沒有矛盾����,所以即使將假定非法更新模組群內(nèi)的更新模組在步驟S9014中選擇,也不能確定為正常的更新模組��。由此�����,通過不選擇不能確定為非法的更新模組的更新模組�����,能夠提高處理效率���。(32)在上述實施方式3中��,在步驟S9005到步驟S9013中判斷是否存在循環(huán)監(jiān)視模式�,確定非法的更新模組后�����,在步驟S9014到步驟S9016中選擇更新模組�����,設為假定非法更新模組群,但并不限定于此���,也可以在步驟S9004之后進行步驟S9014到步驟S9016的處理、然后進行步驟S9005到步驟S9013的處理后���,進行步驟S9017的判斷�。此外���,在此情況下����,在不能確定正常的更新模組的情況下�,回到步驟S9014,在步驟S9005到步驟S9013中���, 選擇被確定為非法的更新模組的更新模組以外的更新模組����。(33)在上述實施方式2及實施方式3中���,在相互監(jiān)視處理中���,從各模組接收監(jiān)視結果��,但也可以在更新模組不發(fā)送監(jiān)視結果的情況下將不發(fā)送監(jiān)視結果的更新模組確定為非法的更新模組���。此外,也可以將判斷不發(fā)送監(jiān)視結果的更新模組為正常的更新模組確定為非法的更新模組����。由此,能夠在進行非法模組確定處理之前確定非法的更新模組�����,能夠將非法的更新模組高效率且迅速地排除�。(34)在上述實施方式4中,在步驟S11017中進行實施方式3的正常模組確定處理�����,但并不限定于此�,也可以進行變形例09)所述的正常模組確定處理。(35)在上述實施方式4中,在存在將向對象的更新模組的監(jiān)視結果全部判斷為非法的更新模組(即妨礙候補模組)的情況下�,在步驟S12002中將監(jiān)視模式更新。在將監(jiān)視模式更新后��,根據(jù)監(jiān)視結果判斷是否存在妨礙模組���,但并不限定于此����。也可以是����,在存在多個將向對象的更新模組的監(jiān)視結果全部判斷為非法的更新模組(即妨礙候補模組)的情況下����,只要將向對象的更新模組的監(jiān)視結果全部判斷為非法的更新模組相互判斷為非法,就發(fā)送相互判斷為非法的更新模組的無效化指示��。此外�����,在上述實施方式4中����,在將向對象的更新模組的監(jiān)視結果全部判斷為非法的更新模組(即妨礙候補模組)僅存在1個的情況下�����,也可以發(fā)送該妨礙候補模組的無效化指示���。然后,也可以在將該妨礙候補模組排除后進行正常模組確定處理��。此外�,也可以是管理具有監(jiān)視篡改的多個監(jiān)視模組的信息安全裝置的管理裝置。 上述管理裝置具備接收部����,從上述信息安全裝置接收各監(jiān)視模組對其他監(jiān)視模組的監(jiān)視結果;判斷部�����,使用接收到的上述監(jiān)視結果����,從上述監(jiān)視模組中,提取對全部的監(jiān)視對象的監(jiān)視模組判斷為被篡改的妨礙候補模組���;無效化部��,在僅提取了 1個妨礙候補模組的情況下�,控制上述信息安全裝置,以使其將所提取的上述妨礙候補模組無效化�;更新部,在僅檢測到1個妨礙候補模組的情況下��,將該妨礙候補模組去除�����,新制作監(jiān)視模式��,將制作出的監(jiān)視模式向上述信息安全裝置發(fā)送�����,替換為新的監(jiān)視模式����。上述接收部還從上述信息安全裝置接收新的監(jiān)視模式的新的監(jiān)視結果�����,上述判斷部還使用接收到的新的監(jiān)視結果,確定正常的監(jiān)視模組����。(36)在上述實施方式4中,在步驟S12007中���,判斷是否存在作為妨礙候補模組的更新模組相互判斷為正常(“〇”)的妨礙候補模組群���。也可以是,在存在相互判斷為正常的妨礙候補模組群的情況下����,在相互判斷為正常的妨礙候補模組群的步驟S12001的監(jiān)視結果中相互判斷為非法的情況下,將該妨礙候補模組確定為非法的更新模組�,發(fā)送無效化指示。這在從一個更新模組對另一個更新模組的監(jiān)視結果中�,在步驟S12001中將監(jiān)視對象的更新模組判斷為非法、在步驟S12007中將相同的監(jiān)視對象的更新模組判斷為正常的情況下���,在各個步驟的監(jiān)視結果中發(fā)生矛盾��,所以能夠將判斷出的更新模組確定為非法的更新模組�。(37)在上述實施方式4中���,確定妨礙正常模組的確定的更新模組��,但并不限定于此���。也可以確定妨礙非法模組的確定的更新模組�����。此時����,在圖58所示的動作圖的步驟S10008中����,代替正常模組確定處理而進行非法模組確定處理。此外��,在圖64所示的例子的情況下���,當進行非法模組確定處理時,更新模組 131��、132����、136及137不能被確定是非法的更新模組�����。即��,更新模組131����、132�����、136及137的各更新模組妨礙了自身的非法模組確定�。在此情況下,通過進行妨礙模組確定處理�����,將在非法模組確定處理中不能確定的非法模組確定為妨礙模組��,將所確定的妨礙模組預先排除���,然后�,通過執(zhí)行非法模組確定處理,能夠將非法的更新模組高效率且迅速地排除��。(38)在上述實施方式4中�,在步驟S12002中,生成了在將向監(jiān)視對象的更新模組的監(jiān)視結果全部判斷為非法的妨礙候補模組群內(nèi)監(jiān)視全部的妨礙候補模組的監(jiān)視模式��,但并不限定于此����。也可以生成監(jiān)視更新模組群130的全部更新模組的監(jiān)視模式。在此情況下����,在將監(jiān)視模式更新后,在妨礙候補模組對全部的更新模組判斷為非法的情況下���,將該妨礙模組確定為妨礙模組����。(39)上述各模組具體而言��,也可以是分別獨立的計算機程序��,也可以是裝入在操作系統(tǒng)中的計算機程序���,也可以是被從操作系統(tǒng)調(diào)用的驅動器程序����,也可以是應用程序����。(40)各系統(tǒng)的應用例(1)上述各實施方式的各系統(tǒng)也可以如圖75所示那樣是內(nèi)容再現(xiàn)系統(tǒng)10e。內(nèi)容再現(xiàn)系統(tǒng)IOe如該圖所示�����,由BD再現(xiàn)裝置100e���、監(jiān)視器20e及家庭服務器裝置200e構成�,BD再現(xiàn)裝置100e�����、監(jiān)視器20e及家庭服務器裝置200e經(jīng)由家庭網(wǎng)絡30e相互連接����。家庭服務器裝置200e經(jīng)由因特網(wǎng)40e從連接在因特網(wǎng)40e上的內(nèi)容服務器裝置 (未圖示)取得內(nèi)容。內(nèi)容作為一例是將影像數(shù)據(jù)及聲音數(shù)據(jù)壓縮�、再加密而構成的�����。家庭服務器裝置200e經(jīng)由家庭網(wǎng)絡30e����,將所取得的內(nèi)容向BD再現(xiàn)裝置IOOe發(fā)送����。BD再現(xiàn)裝置IOOe從家庭服務器裝置200e接收內(nèi)容,將所接收到的內(nèi)容記錄到 BD(Blu-ray Disc)中����。此外,BD再現(xiàn)裝置IOOe將記錄在BD中的內(nèi)容的被加密�����、壓縮的影像數(shù)據(jù)及聲音數(shù)據(jù)展開����,生成影像信號及聲音信號,將所生成的影像信號及聲音信號經(jīng)由家庭網(wǎng)絡30e向監(jiān)視器20e輸出���。監(jiān)視器20e接收影像信號及聲音信號���,通過接收到的影像信號及聲音信號顯示影像、輸出聲音���。BD再現(xiàn)裝置IOOe相當于上述各實施方式的各軟件更新系統(tǒng)的設備����、或者相當于各篡改監(jiān)視系統(tǒng)的信息安全裝置�����,具有與該設備或該信息安全裝置同樣的結構���。BD再現(xiàn)裝置IOOe具有的應用程序的一例是用來將加密的數(shù)據(jù)解密的計算機程序�,此外����,另一例是用來將壓縮的影像數(shù)據(jù)及聲音數(shù)據(jù)展開的計算機程序。此外�����,家庭服務器裝置200e相當于各軟件更新系統(tǒng)的更新服務器、或者相當于各篡改監(jiān)視系統(tǒng)的管理裝置��,具有與更新服務器或管理裝置同樣的結構���。(41)各系統(tǒng)的應用例O)上述各實施方式的各系統(tǒng)也可以如圖76所示那樣是移動銀行系統(tǒng)IOf�。移動銀行系統(tǒng)IOf如該圖所示����,由便攜電話100f、無線基站50f����、銀行服務器裝置 40f及更新服務器裝置200f構成。便攜電話IOOf經(jīng)由無線基站50f�、便攜電話網(wǎng)20f及因特網(wǎng)30f連接在更新服務器裝置200f及銀行服務器裝置40f上。銀行服務器裝置40f存儲有相當于銀行的使用者的賬戶的賬戶文件�����。賬戶文件包括交易數(shù)據(jù)�。交易數(shù)據(jù)包括交易的種類、金額�、日期、對方的識別信息等�。便攜電話IOOf作為一例��,通過操作者的指示�����,經(jīng)由無線基站50f、便攜電話網(wǎng)20f 及因特網(wǎng)30f���,對銀行服務器裝置40f請求從操作者的賬戶向交易目標的賬戶的轉賬�。銀行服務器裝置40f按照轉賬的請求�,執(zhí)行從操作者的賬戶向交易目標的賬戶的轉賬。便攜電話IOOf當在與銀行服務器裝置40f之間收發(fā)數(shù)據(jù)時��,進行使用數(shù)字簽名的相互的設備認證�。此外,請求數(shù)據(jù)的加密����。銀行服務器裝置40f按照轉賬的請求,執(zhí)行從操作者的賬戶向交易目標的賬戶的轉賬�。當在便攜電話IOOf與銀行服務器裝置40f之間通信時,便攜電話IOOf及銀行服務器裝置40f分別進行使用數(shù)字簽名的相互的設備認證�����。此外,當在便攜電話IOOf與銀行服務器裝置40f之間進行數(shù)據(jù)的收發(fā)時���,便攜電話IOOf及銀行服務器裝置40f進行數(shù)據(jù)的加密及加密的數(shù)據(jù)的解密��。便攜電話IOOf相當于各實施方式的各軟件更新系統(tǒng)的設備��、或者相當于各篡改監(jiān)視系統(tǒng)的信息安全裝置���,具有與設備或信息安全裝置同樣的結構。便攜電話IOOf具有的應用程序的一例���,是用來將數(shù)據(jù)加密的計算機程序或用來將加密的數(shù)據(jù)解密的計算機程序����,此外�����,另一例是用來在與通信對方的裝置之間使用數(shù)字簽名進行設備認證的計算機程序�����。更新服務器裝置200f相當于各實施方式的各軟件更新系統(tǒng)的更新服務器��、或者相當于各篡改監(jiān)視系統(tǒng)的管理裝置。(42)在上述實施方式1及實施方式2中說明的更新服務器200�、200a、200b也可以是分別具有生成設備100���、100a����、IOOb的更新模組群進行相互監(jiān)視處理時的監(jiān)視模式的監(jiān)視模式生成部的結構��。并且���,更新服務器200、200a���、200b將所生成的監(jiān)視模式向設備100�����、 100a�����、IOOb發(fā)送�,設備100、100a���、IOOb接收監(jiān)視模式���。設備100、100a�、IOOb基于接收到的監(jiān)視模式進行相互監(jiān)視處理。特別是��,實施方式2的更新服務器200a及200b也可以生成包括循環(huán)監(jiān)視模式的監(jiān)視模式�����。設備IOOa及IOOb通過使用包括循環(huán)監(jiān)視模式的監(jiān)視模式進行相互監(jiān)視處理�, 能夠提高之后進行的更新服務器200a及200b的非法模組確定處理的處理效率。(43)上述各裝置具體而言是由微處理器�����、ROM�、RAM、硬盤單元�����、顯示單元、鍵盤����、鼠標等構成的計算機系統(tǒng)。在上述RAM或硬盤單元中存儲有計算機程序����。通過上述微處理器按照上述計算機程序動作,各裝置實現(xiàn)其功能����。這里,計算機程序是為了實現(xiàn)規(guī)定的功能���、 將表示對計算機的指令的命令代碼組合多個而構成的。(44)構成上述各裝置的構成單元的一部分或全部也可以由1個系統(tǒng)LSI (Large Scale htegration:大規(guī)模集成電路)構成��。系統(tǒng)LSI是將多個結構部集成在1個芯片上而制造的超多功能LSI�,具體而言是包括微處理器、ROM�、RAM等而構成的計算機系統(tǒng)。在上述RAM中�����,存儲有計算機程序。通過上述微處理器按照上述計算機程序動作����,系統(tǒng)LSI實現(xiàn)其功能。此外�,構成上述各裝置的構成單元的各部既可以單獨1芯片化,也可以包含一部分或全部而1芯片化����。此外,這里設為系統(tǒng)LSI�����,但根據(jù)集成度的差異��,也有稱作IC�����、LSI�����、超級LSI、超大規(guī)模LSI的情況�。此外,集成電路化的方法并不限定于LSI���,也可以由專用電路或通用處理器實現(xiàn)��。也可以使用在LSI制造后能夠編程的FPGA (Field Programmable Gate Array)�、或能夠再構成LSI內(nèi)部的電路單元的連接或設定的可重構處理器�����。進而���,如果因半導體技術的進步或派生的其他技術而出現(xiàn)代替LSI的集成電路化的技術���,則當然也可以使用該技術進行功能塊的集成化。有可能是生物技術的應用等��。(45)構成上述各裝置的構成單元的一部分或全部也可以由相對于各裝置能夠拆裝的IC卡或單體的模組構成����。上述IC卡或上述模組是由微處理器����、ROM�、RAM等構成的計算機系統(tǒng)��。上述IC卡或上述模組也可以包括上述超多功能LSI�。微處理器通過按照計算機程序動作,上述IC卡或上述模組實現(xiàn)其功能�����。該IC卡或該模組也可以具有防篡改性�。(46)本發(fā)明也可以是上述所示的方法。此外�����,也可以是將這些方法通過計算機實現(xiàn)的計算機程序��,也可以是由上述計算機程序構成的數(shù)字信號���。此外����,本發(fā)明也可以是將上述計算機程序或上述數(shù)字信號記錄到計算機可讀取的記錄介質(zhì)�、例如軟盤、硬盤、CD-ROM����、M0、DVD�、DVD-ROM、DVD-RAM�、BD (Blu-ray Disc),半導體存儲器等中的產(chǎn)品��。此外����,也可以是記錄在這些記錄介質(zhì)中的上述數(shù)字信號。
此外�����,本發(fā)明也可以將上述計算機程序或上述數(shù)字信號經(jīng)由電通信線路����、無線或有線通信線路、以因特網(wǎng)為代表的網(wǎng)絡��、數(shù)據(jù)廣播等傳送的系統(tǒng)��。此外���,本發(fā)明也可以是具備微處理器和存儲器的計算機系統(tǒng)����,上述存儲器存儲有上述計算機程序�����,上述微處理器按照上述計算機程序動作��。此外�����,也可以通過將上述程序或上述數(shù)字信號記錄到上述記錄介質(zhì)中并移送����,或將上述程序或上述數(shù)字信號經(jīng)由上述網(wǎng)絡等移送,由獨立的其他計算機系統(tǒng)實施�����。(47)也可以將上述實施方式及上述變形例分別組合�。(48)作為本發(fā)明的一技術方案的軟件更新系統(tǒng)���,是包括保存規(guī)定的應用的軟件更新裝置、和與該軟件更新裝置連接的管理裝置的系統(tǒng)�����。上述軟件更新裝置從上述管理裝置接收包括驗證上述規(guī)定的應用是否沒有被篡改的保護控制模組�、和將上述保護控制模組更新的更新用的保護控制模組、和包括多個將上述保護控制模組更新的更新模組的更新模組群�����,包含在上述更新模組群中的多個更新模組分別相互驗證其他更新模組是否沒有進行非法動作����,上述管理裝置從上述多個更新模組分別接收驗證結果,基于上述接收到的驗證結果判斷有可能進行非法動作的更新模組�����,對上述軟件更新裝置發(fā)送將上述判斷為有可能進行非法動作的更新模組無效化的指示�����。根據(jù)該結構���,將用來將上述保護控制模組更新的更新模組作為包括多個更新模組的更新模組群�����,通過多個更新模組相互驗證是否沒有進行非法動作���,在上述更新模組群的內(nèi)部中自我驗證上述更新模組的篡改,所以能夠防止上述更新模組的篡改及上述更新模組的正常的動作被妨礙���。結果�����,能夠防止經(jīng)由進行非法動作的更新模組將保護控制模組更新為非法的保護控制模組����,能夠防止通過上述非法的保護控制模組攻擊上述規(guī)定的應用�����。此外���,上述管理裝置基于分別來自上述多個更新模組的驗證結果�����,判斷有可能進行非法動作的更新模組����,通過進行將上述判斷為有可能進行非法動作的更新模組無效化的指示,即使在被篡改的更新模組將沒有被篡改的其他更新模組謊稱作被篡改而向管理裝置通知的情況下����,在管理裝置側也考慮來自其他更新模組的驗證結果進行判斷,所以能夠適當?shù)嘏袛嗄膫€更新模組是有可能進行非法動作的更新模組�。進而,通過從管理裝置對更新軟件裝置進行將判斷為上述有可能進行非法動作的更新模組無效化的指示���,將適當判斷為上述有可能進行非法動作的更新模組無效化�,所以即使在被篡改的更新模組將沒有被篡改的更新模組謊稱作被篡改而驗證的情況下���,也能夠防止將沒有被篡改的更新模組無效化��,此外����,能夠防止將被篡改的更新模組在沒有無效化的狀態(tài)下保留在更新模組群內(nèi)��。此外,作為本發(fā)明的一形態(tài)的軟件更新系統(tǒng)是包括保存規(guī)定的應用的軟件更新裝置����、和與該軟件更新裝置連接的管理裝置的軟件更新系統(tǒng)。上述軟件更新裝置包括驗證上述規(guī)定的應用是否沒有被篡改的保護控制模組���、和將上述保護控制模組更新的多個更新模組,上述多個更新模組分別進行上述保護控制模組是否沒有進行非法動作的第1驗證��,此外�����,上述多個更新模組分別進行其他更新模組是否沒有進行非法動作的第2驗證����,將上述第1驗證結果及上述第2驗證結果向上述管理裝置發(fā)送。上述管理裝置包括從上述多個更新模組分別接收上述第1驗證結果及上述第2驗證結果的通信部����、和在基于上述第1驗證結果判斷為上述保護控制模組有可能進行非法動作的情況下、基于上述第2驗證結果從上述多個更新模組之中確定更新上述保護控制模組的更新模組來更新上述保護控制模組的控制部���。上述控制部決定在上述多個更新模組之間對哪個更新模組進行第2驗證的組合�, 將表示該組合的組合信息向上述軟件更新裝置發(fā)送,在上述組合之中�,包括上述多個更新模組中的一部分的多個更新模組向一方向循環(huán)而依次驗證的規(guī)定的關系,首先�����,定期地確認上述第2驗證結果���,在上次的第2驗證結果表示不存在有可能進行非法動作的更新模組�、 并且在此次的第2驗證結果中表示出現(xiàn)了有可能進行非法動作的某個更新模組的情況下����, 判斷為在上述多個更新模組之中至少存在1個正常的更新模組,接著�,基于上述第2驗證結果將包含在上述規(guī)定的關系中的多個更新模組向一方向循環(huán)驗證的結果是判斷為包含在上述規(guī)定的關系中的多個更新模組全部是正常、并且在包含于上述規(guī)定的關系中的多個更新模組的判斷的某個中有矛盾的情況下�����,判斷為包含在上述規(guī)定的關系中的多個更新模組的全部都有可能進行非法動作����,從將上述保護控制模組更新的更新模組中排除,接著,假定剩余的更新模組中的某一個第1更新模組有可能進行非法動作�,將上述第1更新模組包含在非法更新模組群中,在存在以上述非法更新模組群中的某個更新模組為判斷對象的第2 更新模組的情況下���,判斷上述第2更新模組是否將上述非法更新模組群中的某個更新模組判斷為正常��,在上述第2更新模組將上述非法更新模組群中的某個更新模組判斷為正常的情況下�,將上述第2更新模組也判斷為有可能進行非法動作而包含到上述非法更新模組群中�,另一方面,在除了上述非法更新模組群以外不存在其他沒有判斷的更新模組的情況下�, 將上述假定認定為錯誤,將上述第1更新模組判斷為正常的更新模組����,將上述第1更新模組確定為將上述保護控制模組更新的更新模組�。由此,首先����,進行上述多個更新模組中的某一個更新模組是正常的確認。接著����,將判斷對象的第1更新模組假定為有可能進行非法動作,基于該假定,如果存在將判斷對象的第1更新模組判斷為合法的第2更新模組��,則判斷為上述第2更新模組有可能進行非法動作��,在除此以外不存在沒有判斷的更新模組的情況下�����,將上述假定認定為錯誤���,將上述第 1更新模組判斷為正常的更新模組���,對將上述保護控制模組更新的更新模組確定上述第1 更新模組。由此�,能夠從多個更新模組之中使用邏輯性的驗證方法有效地確認真正為正常的更新模組,所以能夠適當?shù)剡x擇沒有進行非法動作的可能性的更新模組而將上述保護控制模組安全地更新����。這里,在上述軟件更新系統(tǒng)中�,規(guī)定的關系,在是包含在上述規(guī)定的關系中的第1 更新模組��、第2更新模組及第3更新模組的3個更新模組的情況下����,是上述第1更新模組驗證上述第2更新模組��、上述第2更新模組驗證上述第3更新模組�����、上述3更新模組驗證上述第1更新模組����、在上述第1更新模組���、上述第2更新模組及上述第3更新模組之間向一方向循環(huán)依次驗證的關系��。由此���,規(guī)定的關系在是包含在上述規(guī)定的關系中的第1更新模組�����、第2更新模組及第3更新模組的3個更新模組的情況下���,可以設為上述第1更新模組驗證上述第2更新模組���、上述第2更新模組驗證上述第3更新模組�、上述3更新模組驗證上述第1更新模組�、在上述第1更新模組、上述第2更新模組及上述第3更新模組之間向一方向循環(huán)依次驗證的關系�����。這里�����,在上述軟件更新系統(tǒng)中��,上述控制部定期地確定上述第2驗證結果����,在上次的第2驗證結果表示存在有可能進行非法動作的更新模組的情況下,不判斷在上述多個更新模組之中是否存在至少1個正常的更新模組���,不進行確定將上述保護控制模組更新的更新模組的判斷���。由此,定期地確認上述第2驗證結果�,在上次的第2驗證結果表示存在有可能進行非法動作的更新模組的情況下���,不判斷在上述多個更新模組之中是否存在至少1個正常的更新模組。在此情況下�,不進行確定將上述保護控制模組更新的更新模組的判斷。即���,在不能確立上述第1更新模組有可能進行非法動作的假定的情況下��,不進行確定將上述保護控制模組更新的更新模組的判斷���。由此,能夠防止將有可能進行非法動作的更新模組誤判斷為正常的更新模組�。結果,能夠防止經(jīng)由進行非法動作的更新模組將保護控制模組更新為非法的保護控制模組����,能夠防止由上述非法的保護控制模組攻擊上述規(guī)定的應用。這里����,在上述軟件更新系統(tǒng)中�,上述控制部在除了上述非法更新模組群以外還存在沒有判斷的更新模組、上述沒有判斷的更新模組將包含在上述非法更新模組群中的某個更新模組判斷為有可能進行非法動作的情況下�����,不進行確定將上述保護控制模組更新的更新模組的判斷。由此���,在上述非法更新模組群以外還存在沒有判斷的更新模組���、上述沒有判斷的更新模組將包含在上述非法更新模組群中的某個更新模組判斷為有可能進行非法動作的情況下,不進行確定將上述保護控制模組更新的更新模組的判斷����。即,在不能將上述第1更新模組有可能進行非法動作的假定認定為誤判斷的情況下���,不進行確定將上述保護控制模組更新的更新模組的判斷�。由此��,能夠防止將有可能進行非法動作的更新模組誤判斷為正常的更新模組����。結果,能夠防止經(jīng)由進行非法動作的更新模組將保護控制模組更新為非法的保護控制模組��,能夠防止由上述非法的保護控制模組攻擊上述規(guī)定的應用�����。這里,在上述軟件更新系統(tǒng)中���,上述控制部在除了上述非法更新模組群以外還存在沒有判斷的更新模組���、上述沒有判斷的更新模組對于包含在上述非法更新模組群中的某個更新模組也沒有做出是否正常的判斷的情況下,不進行確定將上述保護控制模組更新的更新模組的判斷����。由此,在除了上述非法更新模組群以外還存在沒有判斷的更新模組�����、上述沒有判斷的更新模組對于包含在上述非法更新模組群中的某個更新模組也沒有做出是否正常的判斷的情況下���,不進行確定將上述保護控制模組更新的更新模組的判斷����。即�,在不能將上述第1更新模組有可能進行非法動作的假定認定為誤判斷的情況下,不進行確定將上述保護控制模組更新的更新模組的判斷����。由此,能夠防止將有可能進行非法動作的更新模組誤判斷為正常的更新模組���。結果�,能夠防止經(jīng)由進行非法動作的更新模組將保護控制模組更新為非法的保護控制模組��,能夠防止由上述非法的保護控制模組攻擊上述規(guī)定的應用���。這里����,在上述軟件更新系統(tǒng)中�����,上述控制部在判斷為包含在上述規(guī)定的關系中的多個更新模組全部有可能進行非法動作的情況下����,將包含在上述規(guī)定的關系中的多個更新模組的全部包含在第2非法更新模組群中,在不包含在上述第2非法更新模組群中的規(guī)定的更新模組將上述第2非法更新模組群內(nèi)的某個判斷為正常的情況下�����,將上述規(guī)定的更新模組判斷為有可能進行非法動作的更新模組,包含到上述第2非法更新模組群中���,在不存在將上述第2非法更新模組群的某個判斷為正常的上述第2非法更新模組群以外的更新模組的情況下����,將包含在上述第2非法更新模組群中的全部更新模組從將上述保護控制模組更新的更新模組中排除�����。由此�,在判斷為包含在上述規(guī)定的關系中的多個更新模組全部有可能進行非法動作的情況下,將包含在上述規(guī)定的關系中的多個更新模組的全部包含在第2非法更新模組群中���,在不包含在上述第2非法更新模組群中的規(guī)定的更新模組將上述第2非法更新模組群內(nèi)的某個判斷為正常的情況下���,將上述規(guī)定的更新模組判斷為有可能進行非法動作的更新模組,包含到上述第2非法更新模組群中�����,在不存在將上述第2非法更新模組群的某個判斷為正常的上述第2非法更新模組群以外的更新模組的情況下�,將包含在上述第2非法更新模組群中的全部更新模組從將上述保護控制模組更新的更新模組中排除。由此,對于不包含在上述規(guī)定的關系中的規(guī)定的更新模組也能夠進行是否有可能進行非法動作的判斷���。 因此���,能夠不進行是否有可能進行非法動作的判斷而減少剩余的更新模組的數(shù)量�。結果,能夠更有效地確定將上述保護控制模組更新的正常的更新模組��。此外�����,作為本發(fā)明的一形態(tài)的軟件更新裝置包括通信部��,與包括驗證上述規(guī)定的應用是否沒有被篡改的保護控制模組���、和將上述保護控制模組更新的多個更新模組����、上述多個更新模組分別進行上述保護控制模組是否沒有進行非法動作的第1驗證���、此外上述多個更新模組分別進行其他更新模組是否沒有進行非法動作的第2驗證的軟件更新裝置連接�����,從上述軟件更新裝置接收上述第1驗證結果及上述第2驗證結果�;控制部,在基于上述第1驗證結果判斷為上述保護控制模組有可能進行非法動作的情況下�����,基于上述第2驗證結果從上述多個更新模組之中確定將上述保護控制模組更新的更新模組�,使上述保護控制模組更新;上述控制部決定在上述多個更新模組之間對哪個更新模組進行第2驗證的組合��,將表示該組合的組合信息向上述軟件更新裝置發(fā)送���,在上述組合之中�,包括上述多個更新模組中的一部分的多個更新模組向一方向循環(huán)而依次驗證的規(guī)定的關系�����,首先�����,定期地確認上述第2驗證結果�,在上次的第2驗證結果表示不存在有可能進行非法動作更新模組�����、 并且在此次的第2驗證結果中表示出現(xiàn)了有可能進行非法動作的更新模組的情況下�����,判斷為在上述多個更新模組之中至少存在一個正常的更新模組�����,接著,基于上述第2驗證結果�����, 在將包含在上述規(guī)定的關系中的多個更新模組向一方向循環(huán)而驗證的結果是判斷為包含在上述規(guī)定的關系中的多個更新模組的全部是正常����、并且在包含在上述規(guī)定的關系中的多個更新模組的判斷的某個中有矛盾的情況下,判斷為包含在上述規(guī)定的關系中的多個更新模組的全部有可能進行非法動作����,從將上述保護控制模組更新的更新模組排除,接著�����,假定剩余的更新模組中的某一個第1更新模組有可能進行非法動作,將上述第1更新模組包含在非法更新模組群中���,在存在將上述非法更新模組群內(nèi)的某個更新模組作為判斷對象的第 2更新模組的情況下���,判斷是否上述第2更新模組將上述非法更新模組群內(nèi)的某個更新模組判斷為正常,在上述第2更新模組將上述非法更新模組群內(nèi)的某個更新模組判斷為正常的情況下���,判斷為上述第2更新模組也有可能進行非法動作��,包含到上述非法更新模組群中����,另一方面�,在除了上述非法更新模組群以外不存在沒有判斷的更新模組的情況下,將上述假定認定為錯誤�,將上述第1更新模組判斷為正常的更新模組,將上述第1更新模組確定為將上述保護控制模組更新的更新模組�。此外,作為本發(fā)明的一形態(tài)的軟件更新方法是在包括軟件更新裝置和管理裝置的軟件更新系統(tǒng)中���、由上述管理裝置從上述多個更新模組之中確定有可能進行非法動作的更新模組的方法�����,所述軟件更新裝置具有存儲機構����,保存規(guī)定的應用、驗證上述規(guī)定的應用是否沒有被篡改的保護控制模組��、以及將上述保護控制模組更新的多個更新模組��;控制機構���,進行上述多個更新模組分別進行上述保護控制模組是否不進行非法動作的第1驗證、此外上述多個更新模組分別進行其他更新模組是否不進行非法動作的第2驗證����、將上述第 1驗證結果及上述第2驗證結果向上述管理裝置發(fā)送的控制;所述管理裝置具有通信部����, 從上述多個更新模組分別接收上述第1驗證結果及上述第2驗證結果;控制部�����,在基于上述第1驗證結果判斷為上述保護控制模組有可能進行非法動作的情況下,基于上述第2驗證結果從上述多個更新模組之中確定將上述保護控制模組更新的更新模組���,使上述保護控制模組更新�;決定在上述多個更新模組之間對哪個更新模組進行第2驗證的組合���,將表示該組合的組合信息向上述軟件更新裝置發(fā)送����,在上述組合之中���,包括上述多個更新模組中的一部分的多個更新模組向一方向循環(huán)而依次驗證的規(guī)定的關系��,首先����,定期地確認上述第2驗證結果���,在上次的第2驗證結果表示不存在有可能進行非法動作更新模組�、并且在此次的第2驗證結果中表示出現(xiàn)了有可能進行非法動作的更新模組的情況下����,判斷為在上述多個更新模組之中至少存在一個正常的更新模組���,接著,基于上述第2驗證結果����,在將包含在上述規(guī)定的關系中的多個更新模組向一方向循環(huán)而驗證的結果是判斷為包含在上述規(guī)定的關系中的多個更新模組的全部是正常、并且在包含在上述規(guī)定的關系中的多個更新模組的判斷的某個中有矛盾的情況下����,判斷為包含在上述規(guī)定的關系中的多個更新模組的全部有可能進行非法動作,從將上述保護控制模組更新的更新模組排除���,接著�,假定剩余的更新模組中的某一個第1更新模組有可能進行非法動作�,將上述第1更新模組包含在非法更新模組群中,在存在將上述非法更新模組群內(nèi)的某個更新模組作為判斷對象的第2更新模組的情況下����,判斷是否上述第2更新模組將上述非法更新模組群內(nèi)的某個更新模組判斷為正常�����,在上述第2更新模組將上述非法更新模組群內(nèi)的某個更新模組判斷為正常的情況下����,判斷為上述第2更新模組也有可能進行非法動作��,包含到上述非法更新模組群中�����,另一方面�,在除了上述非法更新模組群以外不存在沒有判斷的更新模組的情況下���,將上述假定認定為錯誤�,將上述第1更新模組判斷為正常的更新模組�����,將上述第1更新模組確定為將上述保護控制模組更新的更新模組�����。此外�����,作為本發(fā)明的一形態(tài)的軟件更新系統(tǒng)��,是包括保存規(guī)定的應用的軟件更新裝置、和與該軟件更新裝置連接的管理裝置的系統(tǒng)�。上述軟件更新裝置包括驗證上述規(guī)定的應用是否沒有被篡改的保護控制模組、和從上述管理裝置接收將上述保護控制模組更新的更新用的保護控制模組���、包括多個將上述保護控制模組更新的更新模組的更新模組群���; 包含在上述更新模組群中的多個更新模組分別相互驗證其他更新模組是否不進行非法動作,上述管理裝置從上述多個更新模組分別接收驗證結果�,基于上述接收到的驗證結果判斷有可能進行非法動作的更新模組,對上述軟件更新裝置發(fā)送將上述判斷為有可能進行非法動作的更新模組無效化的指示���。根據(jù)該結構�,將用來將上述保護控制模組更新的更新模組設為包括多個更新模組的更新模組群��,通過多個更新模組相互驗證是否沒有進行非法動作�,在上述更新模組群的內(nèi)部中自我驗證上述更新模組的篡改,所以能夠防止上述更新模組的篡改或妨礙上述更新模組的正常的動作�。結果,能夠防止經(jīng)由進行非法動作的更新模組將保護控制模組更新為非法的保護控制模組�、防止由上述非法的保護控制模組攻擊上述規(guī)定的應用��。此外��,上述管理裝置基于分別來自上述多個更新模組的驗證結果,判斷有可能進行非法動作的更新模組�����,通過進行將上述判斷為有可能進行非法動作的更新模組無效化的指示����,即使在被篡改的更新模組將沒有被篡改的其他更新模組謊稱作被篡改而向管理裝置通知的情況下,在管理裝置側也考慮來自其他更新模組的驗證結果進行判斷����,所以能夠適當?shù)嘏袛嗄膫€更新模組是有可能進行非法動作的更新模組。進而�����,通過從管理裝置對更新軟件裝置進行將判斷為上述有可能進行非法動作的更新模組無效化的指示���,將適當判斷為上述有可能進行非法動作的更新模組無效化�,所以即使在被篡改的更新模組將沒有被篡改的更新模組謊稱作被篡改而驗證的情況下����,也能夠防止將沒有被篡改的更新模組無效化,此外,能夠防止將被篡改的更新模組在沒有無效化的狀態(tài)下保留在更新模組群內(nèi)����。此外,作為本發(fā)明的一形態(tài)的軟件更新系統(tǒng)是包括保存規(guī)定的應用的軟件更新裝置�����、和與該軟件更新裝置連接的管理裝置的軟件更新系統(tǒng)�。上述軟件更新裝置包括驗證上述規(guī)定的應用是否沒有被篡改的保護控制模組、和將上述保護控制模組更新的多個更新模組�����,上述多個更新模組分別進行上述保護控制模組是否沒有進行非法動作的第1驗證�����,將上述第1驗證結果向上述管理裝置發(fā)送�����。上述管理裝置包括從上述多個更新模組分別接收上述第1驗證結果的通信部�、和在基于上述第1驗證結果判斷為上述保護控制模組有可能進行非法動作的情況下、從上述多個更新模組之中確定上述保護控制模組更新的更新模組來更新上述保護控制模組的控制部�。上述管理裝置在由上述多個更新模組的全部構成的第 1組之中�,生成表示各更新模組對其他的哪個更新模組判斷是否有可能進行非法動作的組合的第1監(jiān)視模式���,向上述軟件更新裝置發(fā)送。上述軟件更新裝置基于上述第1監(jiān)視模式����, 進行各更新模組是否沒有進行非法動作的第2驗證,將該第2驗證結果向上述管理裝置發(fā)送�����。上述管理裝置基于上述第2驗證結果�����,將判斷作為自己判斷的對象的更新模組的全部都有可能進行非法動作的更新模組作為有可能被篡改的更新模組包含到第2組中���,從上述第1組中抽取上述第2組��,接著�����,在該抽取的第2組內(nèi)�,生成第2監(jiān)視模式,以使各更新模組將自更新模組以外的其他更新模組的全部相互監(jiān)視�,接著,將上述生成的第2監(jiān)視模式向上述軟件更新裝置發(fā)送���。上述軟件更新裝置基于上述第2監(jiān)視模式��,對包含在上述第2監(jiān)視模式中的更新模組的相互進行是否沒有進行非法動作的第3驗證��,將該第3驗證結果向上述管理裝置發(fā)送�����。上述管理裝置基于上述第3驗證結果����,在屬于上述第2組的更新模組之中��,將由相互判斷為不會進行非法動作的更新模組構成的第3組�、即屬于該第3組的更新模組分別將上述第3組以外的更新模組判斷為有可能進行非法動作的第3組送回到上述第 1組中,將在上述第2組之中不包含在上述第3組中的更新模組刪除���。由此����,通過將沒有被送回到上述第1組中的更新模組刪除,在沒有被送回到上述第1組中的更新模組之中包含進行非法動作的可能性較高的更新模組�,將其從更新模組之中積極地排除,所以能夠更有效地挽救上述保護控制模組�,能夠進一步提高系統(tǒng)的安全性。這里�����,在上述軟件更新系統(tǒng)中����,上述管理裝置基于上述第3驗證結果���,在屬于上述第2組的更新模組之中��,將由相互判斷為不會進行非法動作的更新模組構成的第3組��、即屬于該第3組的更新模組分別將上述第3組以外的更新模組判斷為有可能進行非法動作的第3組送回到上述第1組中���,接著,將被送回了上述第3組后的第1組作為第4組����,生成表示屬于該第4組的各更新模組對其他的哪個更新模組判斷是否有可能進行非法動作的組合的第3監(jiān)視模式����,接著�����,將上述生成的第3監(jiān)視模式向上述軟件更新裝置發(fā)送����。上述軟件更新裝置基于上述第3監(jiān)視模式,對包含在上述第3監(jiān)視模式中的更新模組的相互進行是否沒有進行非法動作的第4驗證����,將該第4驗證結果向上述管理裝置發(fā)送。上述管理裝置基于上述第4驗證結果���,從上述多個更新模組之中確定將上述保護控制模組更新的更新模組�,使上述保護控制模組更新����,在上述第3監(jiān)視模式之中包括屬于上述第4組的多個更新模組中的一部分的多個更新模組向一方向循環(huán)而依次驗證的規(guī)定的關系,首先���,定期地確認上述第4驗證結果��,在上次的第4驗證結果表示不存在有可能進行非法動作的更新模組����、 并且在此次的第4驗證結果中表示出現(xiàn)了有可能進行非法動作的更新模組的情況下,判斷為在上述多個更新模組之中至少存在1個正常的更新模組�����,接著���,基于上述第4驗證結果, 在將包含在上述規(guī)定的關系中的多個更新模組向一方向循環(huán)而驗證的結果是判斷為包含在上述規(guī)定的關系中的多個更新模組的全部是正常�����、并且在包含于上述規(guī)定的關系中的多個更新模組的判斷某個中有矛盾的情況下����,判斷為包含在上述規(guī)定的關系中的多個更新模組的全部有可能進行非法動作,從將上述保護控制模組更新的更新模組中排除�����,接著����,假定剩余的更新模組中的某一個第1更新模組有可能進行非法動作��,將上述第1更新模組包含到非法更新模組群中�,在存在以上述非法更新模組群內(nèi)的某個更新模組為判斷對象的第2 更新模組的情況下�,判斷是否上述第2更新模組將上述非法更新模組群內(nèi)的某個更新模組判斷為正常,在上述第2更新模組將上述非法更新模組群內(nèi)的某個更新模組判斷為正常的情況下�,將上述第2更新模組也判斷為有可能進行非法動作而包含到上述非法更新模組群中,另一方面���,在除了上述非法更新模組群以外不存在沒有判斷的更新模組的情況下�,將上述假定認定為錯誤�,將上述第1更新模組判斷為正常的更新模組,將上述第1更新模組確定為將上述保護控制模組更新更新模組���。由此�,首先����,進行上述多個更新模組中的某一個更新模組是正常的確認。接著�����,將判斷對象的第1更新模組假定為有可能進行非法動作,基于該假定����,如果存在將判斷對象的第1更新模組判斷為合法的第2更新模組,則判斷為上述第2更新模組有可能進行非法動作���,在除此以外不存在沒有判斷的更新模組的情況下���,將上述假定認定為錯誤,將上述第 1更新模組判斷為正常的更新模組����,將上述第1更新模組確定為將上述保護控制模組更新的更新模組��。由此��,由此����,能夠從多個更新模組之中使用邏輯性的驗證方法有效地確定真正是正常的更新模組,所以能夠適當選擇不會進行非法動作的更新模組而將上述保護控制模組安全地更新�����。此外,在進行上述判斷的情況下�����,如果在多個更新模組之中�、存在將作為自己判斷的對象的更新模組的全部判斷為有可能進行非法動作的類型的更新模組,則存在不能確定不會進行非法動作的更新模組的情況����。所以,根據(jù)本形態(tài)�����,首先��,從上述多個更新模組之中抽取將作為自己判斷的對象的更新模組的全部判斷為有可能進行非法動作的類型的更新模組�����,僅將該類型的更新模組集中����,使其相互判斷是否有可能進行非法動作。結果,在上述類型的更新模組中����,對于由相互判斷為不會進行非法動作的更新模組構成的組、即屬于該組的更新模組分別將上述組以外的更新模組判斷為有可能進行非法動作那樣的更新模組的組�����,判斷為沒有被篡改���,送回到原來的多個更新模組中����。并且�,在被送回后的多個更新模組之中進行上述判斷。由此�����,不能進行上述判斷的可能性變少�����,所以能夠確定不會進行非法動作的更新模組而盡可能地挽救上述保護控制模組����。工業(yè)實用性本發(fā)明能夠廣泛地用在即使是多個監(jiān)視模組中的一部分的監(jiān)視模組被篡改的情況、也能夠以較高的概率確定沒有被篡改的正常的監(jiān)視模組的篡改監(jiān)視系統(tǒng)及管理裝置
中����。
符號說明
IOcaUOda篡改監(jiān)視系統(tǒng)
IOcbUOdb軟件更新系統(tǒng)
IOe內(nèi)容再現(xiàn)系統(tǒng)
IOf移動銀行系統(tǒng)
40f銀行服務器裝置
IOOUOOdb 設備
lOOca、IOOda信息安全裝置
IOOe BD再現(xiàn)裝置
IOOf便攜電話
200���、200bb���、200cb、200db 更新服務器
200ca��、200da管理裝置
200e家庭服務器裝置
200f更新服務器裝置
權利要求
1.一種管理裝置����,對信息安全裝置進行管理,該信息安全裝置具有對篡改進行監(jiān)視的多個監(jiān)視模組�����,該管理裝置的特征在于�,具備接收機構,從上述信息安全裝置接收各監(jiān)視模組對其他監(jiān)視模組的監(jiān)視結果��;檢測機構,使用接收到的上述監(jiān)視結果��,對沒有被篡改的正常的監(jiān)視模組的存在進行檢測���;第1假定機構�����,在進行了上述檢測的情況下��,對從上述監(jiān)視模組選擇的1個監(jiān)視模組假定為被篡改�����;第2假定機構�����,以假定為被篡改的上述監(jiān)視模組為起點�,對未處理的監(jiān)視模組連鎖地采用以下次序使用接收到的上述監(jiān)視結果對將假定為被篡改的監(jiān)視模組判斷為正常的監(jiān)視模組假定為被篡改����;以及判斷機構��,判斷由上述第2假定機構進行的時序的采用結果是否是全部的監(jiān)視模組被假定為被篡改,在進行了上述判斷的情況下��,將最初被假定為被篡改的上述監(jiān)視模組決定為正常的監(jiān)視模組�。
2.如權利要求1所述的管理裝置,其特征在于�,上述檢測機構使用上次接收到的監(jiān)視結果、和此次接收到的監(jiān)視結果���,在通過上次接收到的監(jiān)視結果��,判斷全部的監(jiān)視模組是正常的���,通過此次接收到的監(jiān)視結果沒有判斷為全部的監(jiān)視模組是正常的情況下,對沒有被篡改的正常的監(jiān)視模組的存在進行檢測����;上次的監(jiān)視與此次的監(jiān)視的時間間隔比規(guī)定的閾值小。
3.如權利要求1所述的管理裝置�,其特征在于,上述第1假定機構生成包括識別所選擇的上述監(jiān)視模組的識別號碼在內(nèi)的假定非法組�;上述第2假定機構使用上述監(jiān)視結果判斷是否存在將由包含在上述假定非法組中的識別號碼識別的監(jiān)視模組判斷為正常的監(jiān)視模組,在判斷為存在的情況下�����,將識別該監(jiān)視模組的識別號碼追加到上述假定非法組中,對未處理的監(jiān)視模組進行控制�����,以反復進行上述判斷和上述追加���;上述判斷機構判斷在上述假定非法組中是否包含識別全部的監(jiān)視模組的識別號碼�,在判斷為在上述假定非法組中包含識別全部的監(jiān)視模組的識別號碼的情況下�,決定正常的監(jiān)視模組。
4.如權利要求1所述的管理裝置�,其特征在于,上述管理裝置還具備從上述監(jiān)視模組之中確定被篡改的非法的監(jiān)視模組的非法模組確定機構�;上述第1假定機構將非法的監(jiān)視模組去除,選擇上述監(jiān)視模組�;上述第2假定機構對去除了非法的監(jiān)視模組的未處理的監(jiān)視模組采用上述時序;上述判斷機構判斷是否除了非法的監(jiān)視模組以外��、其他全部的監(jiān)視模組被假定為被篡改��,在做出了上述判斷的情況下���,確定正常的監(jiān)視模組���。
5.如權利要求4所述的管理裝置����,其特征在于��,上述非法模組確定機構在假定為1個監(jiān)視模組是正常的情況下����,使用接收的監(jiān)視結果判斷在多個監(jiān)視結果中是否有不一致���,在有不一致的情況下����,將上述監(jiān)視模組確定為非法的監(jiān)視模組���。
6.如權利要求4所述的管理裝置��,其特征在于�,對上述監(jiān)視模組通過循環(huán)監(jiān)視模式?jīng)Q定監(jiān)視對象的監(jiān)視模組���,上述循環(huán)監(jiān)視模式表示作為第1監(jiān)視模組的監(jiān)視對象的第2監(jiān)視模組監(jiān)視上述第1監(jiān)視模組���、或者經(jīng)由1個以上的監(jiān)視模組監(jiān)視上述第1監(jiān)視模組���;上述非法模組確定機構在由有關上述循環(huán)監(jiān)視模式的多個監(jiān)視模組進行的對其他1 個監(jiān)視模組的多個監(jiān)視結果不一致的情況下,將有關該循環(huán)監(jiān)視模式的多個監(jiān)視模組確定為非法的監(jiān)視模組��。
7.如權利要求1所述的管理裝置����,其特征在于,上述信息安全裝置具有的至少1個監(jiān)視模組是具備將其他模組更新的功能的更新模組���;上述管理裝置還具備控制機構�����,該控制機構在被決定為正常的監(jiān)視模組的監(jiān)視模組是具有將其他模組更新的功能的上述更新模組的情況下�,對作為更新模組的該監(jiān)視模組進行控制�����、以將其他模組更新����。
8.如權利要求7所述的管理裝置,其特征在于,上述信息安全裝置還具備應用程序及保護該應用程序的保護控制模組���;上述其他模組是上述監(jiān)視模組��、上述應用程序����、或上述保護控制模組�����。
9.如權利要求1所述的管理裝置���,對信息安全裝置進行管理,該信息安全裝置具有對篡改進行監(jiān)視的多個監(jiān)視模組�����,其特征在于���,具備接收機構����,從上述信息安全裝置接收各監(jiān)視模組對其他監(jiān)視模組的監(jiān)視結果;判斷機構�,使用接收到的上述監(jiān)視結果,從上述監(jiān)視模組中�����,提取對全部的監(jiān)視對象的監(jiān)視模組判斷為被篡改的妨礙候補模組���;以及更新機構��,在檢測到多個妨礙候補模組的情況下����,生成新的監(jiān)視模式���,以在多個妨礙候補模組間相互監(jiān)視對方�����,將所生成的新的監(jiān)視模式對上述信息安全裝置發(fā)送����,使其替換為新的監(jiān)視模式���;上述接收機構還從上述信息安全裝置接收新的監(jiān)視模式的新的監(jiān)視結果��;上述判斷機構還使用接收到的新的監(jiān)視結果����,將從上述妨礙候補模組中去除了相互判斷為正常、對其他妨礙候補模組判斷為非法的兩個妨礙候補模組以外的其妨礙候補模組確定為妨礙模組��。
10.如權利要求9所述的管理裝置�����,其特征在于����,上述判斷機構還使用接收到的新的監(jiān)視結果�����,在兩個妨礙候補模組中的第1妨礙候補模組對第2妨礙候補模組判斷為正常��、第2妨礙候補模組對第1妨礙候補模組判斷為非法的情況下��,將第1妨礙候補模組確定為被篡改的非法的監(jiān)視模組����。
11.如權利要求9所述的管理裝置�,其特征在于���,上述更新機構在全部的監(jiān)視模組間生成新的上述監(jiān)視模式�����,以便于相互監(jiān)視對方����。
12.如權利要求9所述的管理裝置�����,其特征在于�,上述管理裝置還包括控制上述信息安全裝置、以便于將所確定的上述妨礙模組無效化的無效化機構�。
13.如權利要求12所述的管理裝置,其特征在于����,上述更新機構還生成新的監(jiān)視模式,以便于通過除了被無效化的上述妨礙模組以外的上述監(jiān)視模組監(jiān)視對方��,將所生成的新的監(jiān)視模式對上述信息安全裝置發(fā)送,使其替換為新的監(jiān)視模式����;上述接收機構還從上述信息安全裝置接收由除了被無效化的上述妨礙模組以外的各監(jiān)視模組對其他監(jiān)視模組的監(jiān)視結果;上述管理裝置還包括使用接收到的監(jiān)視結果確定正常的監(jiān)視模組的正常模組確定機構��。
14.如權利要求1所述的管理裝置���,對信息安全裝置進行管理�,該信息安全裝置具有對篡改進行監(jiān)視的多個監(jiān)視模組����,其特征在于,具備接收機構�,從上述信息安全裝置接收各監(jiān)視模組對其他監(jiān)視模組的監(jiān)視結果; 判斷機構�����,使用接收到的上述監(jiān)視結果���,從上述監(jiān)視模組中,提取對全部的監(jiān)視對象的監(jiān)視模組判斷為被篡改的妨礙候補模組���;無效化機構���,在僅提取了 1個妨礙候補模組的情況下���,控制上述信息安全裝置,以便于將所提取的上述妨礙候補模組無效化����;以及更新機構,在僅檢測到1個妨礙候補模組的情況下�����,去除該妨礙候補模組而新制作監(jiān)視模式���,將制作出的監(jiān)視模式向上述信息安全裝置發(fā)送����,使其替換為新的監(jiān)視模式���; 上述接收機構還從上述信息安全裝置接收新的監(jiān)視模式的新的監(jiān)視結果��; 上述判斷機構還使用接收到的新的監(jiān)視結果確定正常的監(jiān)視模組�。
15.一種篡改監(jiān)視系統(tǒng),由具有對篡改進行監(jiān)視的多個監(jiān)視模組的信息安全裝置����、和管理該信息安全裝置的管理裝置構成,其特征在于����,上述管理裝置具備接收機構,從上述信息安全裝置接收各監(jiān)視模組對其他監(jiān)視模組的監(jiān)視結果�����; 檢測機構���,使用接收到的上述監(jiān)視結果�,對沒有被篡改的正常的監(jiān)視模組的存在進行檢測�;第1假定機構,在進行了上述檢測的情況下����,對從上述監(jiān)視模組選擇的1個監(jiān)視模組假定為被篡改�;第2假定機構,以假定為被篡改的上述監(jiān)視模組為起點�,對未處理的監(jiān)視模組連鎖地采用以下次序使用接收到的上述監(jiān)視結果對將假定為被篡改的監(jiān)視模組判斷為正常的監(jiān)視模組假定為被篡改���;以及判斷機構,判斷由上述第2假定機構進行的時序的采用的結果是否是全部的監(jiān)視模組被假定為被篡改�,在進行了上述判斷的情況下,將最初被假定為被篡改的上述監(jiān)視模組決定為正常的監(jiān)視模組���。
16.如權利要求15所述的篡改監(jiān)視系統(tǒng)�����,其特征在于����,上述信息安全裝置具有的至少1個監(jiān)視模組是具備將其他模組更新的功能的更新模組�;上述管理裝置還具備控制機構,該控制機構在被決定為正常的監(jiān)視模組的監(jiān)視模組是具有將其他模組更新的功能的上述更新模組的情況下�,對作為更新模組的該監(jiān)視模組進行控制、以將其他模組更新���。
17.如權利要求15所述的篡改監(jiān)視系統(tǒng)�����,由具有對篡改進行監(jiān)視的多個監(jiān)視模組的信息安全裝置�����、和上述信息安全裝置構成����,其特征在于,上述管理裝置具備接收機構�,從上述信息安全裝置接收各監(jiān)視模組對其他監(jiān)視模組的監(jiān)視結果;判斷機構��,使用接收到的上述監(jiān)視結果����,從上述監(jiān)視模組中,提取對全部的監(jiān)視對象的監(jiān)視模組判斷為被篡改的妨礙候補模組���;以及更新機構����,在檢測到多個妨礙候補模組的情況下�,生成新的監(jiān)視模式,以在多個妨礙候補模組間相互監(jiān)視對方��,將所生成的新的監(jiān)視模式對上述信息安全裝置發(fā)送��,使其替換為新的監(jiān)視模式���;上述接收機構還從上述信息安全裝置接收新的監(jiān)視模式的新的監(jiān)視結果����;上述判斷機構還使用接收到的新的監(jiān)視結果��,將從上述妨礙候補模組中去除了相互判斷為正常���、對其他妨礙候補模組判斷為非法的兩個妨礙候補模組以外的其他妨礙候補模組確定為妨礙模組����。
18.如權利要求17所述的篡改監(jiān)視系統(tǒng)����,其特征在于,上述信息安全裝置具有的至少1個監(jiān)視模組是具備將其他模組更新的功能的更新模組�����;上述管理裝置還具備控制機構�����,該控制機構在被決定為正常的監(jiān)視模組的監(jiān)視模組是具有將其他模組更新的功能的更新模組的情況下,對作為更新模組的該監(jiān)視模組進行控制��、以將其他模組更新�����。
19.一種集成電路�����,具有管理信息安全裝置的功能���,該信息安全裝置具有對篡改進行監(jiān)視的多個監(jiān)視模組�,該集成電路的特征在于���,具備檢測機構��,使用從上述信息安全裝置接收到的�、各監(jiān)視模組對其他監(jiān)視模組的監(jiān)視結果���,對沒有被篡改的正常的監(jiān)視模組的存在進行檢測�;第1假定機構,在進行了上述檢測的情況下��,對從上述監(jiān)視模組選擇的1個監(jiān)視模組假定為被篡改����;第2假定機構�,以假定為被篡改的上述監(jiān)視模組為起點,對未處理的監(jiān)視模組連鎖地采用以下次序使用接收到的上述監(jiān)視結果對將假定為被篡改的監(jiān)視模組判斷為正常的監(jiān)視模組假定為被篡改�;以及判斷機構,判斷由上述第2假定機構進行的時序的采用結果是否是全部的監(jiān)視模組被假定為被篡改����,在進行了上述判斷的情況下,將最初被假定為被篡改的上述監(jiān)視模組決定為正常的監(jiān)視模組����。
20.如權利要求19所述的集成電路,具有管理信息安全裝置的功能��,該信息安全裝置具有對篡改進行監(jiān)視的多個監(jiān)視模組����,其特征在于,具備判斷機構��,使用從上述信息安全裝置接收到的、各監(jiān)視模組對其他監(jiān)視模組的監(jiān)視結果�,從上述監(jiān)視模組中,提取對全部的監(jiān)視對象的監(jiān)視模組判斷為被篡改的妨礙候補模組��; 以及更新機構���,在檢測到多個妨礙候補模組的情況下�,生成新的監(jiān)視模式���,以在多個妨礙候補模組間相互監(jiān)視對方�,將所生成的新的監(jiān)視模式對上述信息安全裝置發(fā)送���,使其替換為新的監(jiān)視模式�;上述接收機構還從上述信息安全裝置接收新的監(jiān)視模式的新的監(jiān)視結果�����;上述判斷機構還使用接收到的新的監(jiān)視結果�,將從上述妨礙候補模組中去除了相互判斷為正常、對其他妨礙候補模組判斷為非法的兩個妨礙候補模組以外的其他妨礙候補模組確定為妨礙模組���。
21.—種管理方法���,對信息安全裝置進行管理�����,該信息安全裝置具有對篡改進行監(jiān)視的多個監(jiān)視模組��,該管理方法的特征在于����,包括接收步驟���,從上述信息安全裝置接收各監(jiān)視模組對其他監(jiān)視模組的監(jiān)視結果;檢測步驟���,使用接收到的上述監(jiān)視結果�����,對沒有被篡改的正常的監(jiān)視模組的存在進行檢測�����;第1假定步驟����,在進行了上述檢測的情況下,對從上述監(jiān)視模組選擇的1個監(jiān)視模組假定為被篡改��;第2假定步驟���,以假定為被篡改的上述監(jiān)視模組為起點�����,對未處理的監(jiān)視模組連鎖地采用以下次序使用接收到的上述監(jiān)視結果對將假定為被篡改的監(jiān)視模組判斷為正常的監(jiān)視模組假定為被篡改����;以及判斷步驟�,判斷由上述第2假定步驟進行的時序的采用結果是否是全部的監(jiān)視模組被假定為被篡改,在進行了上述判斷的情況下���,將最初被假定為被篡改的上述監(jiān)視模組決定為正常的監(jiān)視模組���。
22.如權利要求21所述的管理方法,對信息安全裝置進行管理�,該信息安全裝置具有對篡改進行監(jiān)視的多個監(jiān)視模組,其特征在于�,包括判斷步驟��,使用從上述信息安全裝置接收到的�����、各監(jiān)視模組對其他監(jiān)視模組的監(jiān)視結果�,從上述監(jiān)視模組中���,提取對全部的監(jiān)視對象的監(jiān)視模組判斷為被篡改的妨礙候補模組�����; 以及更新步驟,在檢測到多個妨礙候補模組的情況下����,生成新的監(jiān)視模式,以在多個妨礙候補模組間相互監(jiān)視對方�����,將所生成的新的監(jiān)視模式對上述信息安全裝置發(fā)送����,使其替換為新的監(jiān)視模式���;在上述接收步驟,還從上述信息安全裝置接收新的監(jiān)視模式的新的監(jiān)視結果�;在上述判斷步驟,還使用接收到的新的監(jiān)視結果���,將從上述妨礙候補模組中去除了相互判斷為正常�����、對其他妨礙候補模組判斷為非法的兩個妨礙候補模組以外的其他妨礙候補模組確定為妨礙模組�����。
23.—種記錄介質(zhì)���,是記錄有管理具有對篡改進行監(jiān)視的多個監(jiān)視模組的信息安全裝置的管理用的計算機程序的計算機可讀取的記錄介質(zhì),其特征在于��,記錄有用來使計算機執(zhí)行以下的步驟的程序接收步驟�,從上述信息安全裝置接收各監(jiān)視模組對其他監(jiān)視模組的監(jiān)視結果;檢測步驟�����,使用接收到的上述監(jiān)視結果,對沒有被篡改的正常的監(jiān)視模組的存在進行檢測����;第1假定步驟,在進行了上述檢測的情況下���,對從上述監(jiān)視模組選擇的1個監(jiān)視模組假定為被篡改�;第2假定步驟����,以假定為被篡改的上述監(jiān)視模組為起點,對未處理的監(jiān)視模組連鎖地采用以下次序使用接收到的上述監(jiān)視結果對將假定為被篡改的監(jiān)視模組判斷為正常的監(jiān)視模組假定為被篡改����;以及判斷步驟,判斷由上述第2假定步驟進行的時序的采用的結果是否是全部的監(jiān)視模組被假定為被篡改�����,在進行了上述判斷的情況下�,將最初被假定為被篡改的上述監(jiān)視模組決定為正常的監(jiān)視模組���。
24.如權利要求23所述的記錄介質(zhì)��,是記錄有管理具有對篡改進行監(jiān)視的多個監(jiān)視模組的信息安全裝置的管理用的計算機程序的計算機可讀取的記錄介質(zhì)����,其特征在于,記錄有計算機程序��,上述計算機程序使計算機執(zhí)行判斷步驟��,使用從上述信息安全裝置接收到的��、各監(jiān)視模組對其他監(jiān)視模組的監(jiān)視結果�����,從上述監(jiān)視模組中�����,提取對全部的監(jiān)視對象的監(jiān)視模組判斷為被篡改的妨礙候補模組����; 以及更新步驟,在檢測到多個妨礙候補模組的情況下���,生成新的監(jiān)視模式��,以在多個妨礙候補模組間相互監(jiān)視對方�����,將所生成的新的監(jiān)視模式對上述信息安全裝置發(fā)送�,使其替換為新的監(jiān)視模式;在上述接收步驟���,還從上述信息安全裝置接收新的監(jiān)視模式的新的監(jiān)視結果����;在上述判斷步驟���,還使用接收到的新的監(jiān)視結果�����,將從上述妨礙候補模組中去除了相互判斷為正常�、對其他妨礙候補模組判斷為非法的兩個妨礙候補模組以外的其他妨礙候補模組確定為妨礙模組����。
25.一種計算機程序,是管理具有對篡改進行監(jiān)視的多個監(jiān)視模組的信息安全裝置的管理用的計算機程序���,其特征在于��,使計算機執(zhí)行接收步驟��,從上述信息安全裝置接收各監(jiān)視模組對其他監(jiān)視模組的監(jiān)視結果��;檢測步驟�,使用接收到的上述監(jiān)視結果���,對沒有被篡改的正常的監(jiān)視模組的存在進行檢測��;第1假定步驟�����,在進行了上述檢測的情況下���,對從上述監(jiān)視模組選擇的1個監(jiān)視模組假定為被篡改;第2假定步驟���,以假定為被篡改的上述監(jiān)視模組為起點�����,對未處理的監(jiān)視模組連鎖地采用以下次序使用接收到的上述監(jiān)視結果對將假定為被篡改的監(jiān)視模組判斷為正常的監(jiān)視模組假定為被篡改����;以及判斷步驟,判斷由上述第2假定步驟進行的時序的采用結果是否是全部的監(jiān)視模組被假定為被篡改�����,在進行了上述判斷的情況下����,將最初被假定為被篡改的上述監(jiān)視模組決定為正常的監(jiān)視模組。
26.如權利要求25所述的計算機程序����,是管理具有監(jiān)視篡改的多個監(jiān)視模組的信息安全裝置的管理用的計算機程序,其特征在于�����,使計算機執(zhí)行判斷步驟��,使用從上述信息安全裝置接收到的�、各監(jiān)視模組對其他監(jiān)視模組的監(jiān)視結果���,從上述監(jiān)視模組中�����,提取對全部的監(jiān)視對象的監(jiān)視模組判斷為被篡改的妨礙候補模組; 以及更新步驟���,在檢測到多個妨礙候補模組的情況下��,生成新的監(jiān)視模式����,以在多個妨礙候補模組間相互監(jiān)視對方�,將所生成的新的監(jiān)視模式對上述信息安全裝置發(fā)送,使其替換為新的監(jiān)視模式��;在上述接收步驟�����,還從上述信息安全裝置接收新的監(jiān)視模式的新的監(jiān)視結果�; 在上述判斷步驟,還使用接收到的新的監(jiān)視結果�,將從上述妨礙候補模組中去除了相互判斷為正常�、對其他妨礙候補模組判斷為非法的兩個妨礙候補模組以外的其他妨礙候補模組確定為妨礙模組����。
全文摘要
管理裝置使用從信息安全裝置接收到的監(jiān)視結果,檢測沒有被篡改的正常的監(jiān)視模組的存在���,在進行了上述檢測的情況下���,對從上述監(jiān)視模組選擇的1個監(jiān)視模組假定為被篡改,以被假定為被篡改的上述監(jiān)視模組為起點��,對未處理的監(jiān)視模組連鎖地采用使用接收到的上述監(jiān)視結果���、對將假定為被篡改的監(jiān)視模組判斷為正常的監(jiān)視模組假定為被篡改的時序�����,判斷時序的采用的結果是否是全部的監(jiān)視模組被假定為被篡改��,在進行了上述判斷的情況下��,將最初被假定為被篡改的上述監(jiān)視模組決定為正常的監(jiān)視模組��。
文檔編號G06F11/00GK102272770SQ20108000387
公開日2011年12月7日 申請日期2010年2月15日 優(yōu)先權日2009年2月16日
發(fā)明者前田學, 宮內(nèi)誠卡洛斯, 小泉英介, 布田裕一, 松崎棗, 海上勇二, 磯邊秀司, 酒井正夫, 野仲真佐男, 長谷川真吾, 靜谷啟樹 申請人:松下電器產(chǎn)業(yè)株式會社