ソフトウェア更新システム、管理装置、記録媒体及び集積回路
【課題】機器におけるソフトウェア更新処理に対する信頼性を高め、より安全にソフトウェアを更新することができるソフトウェア更新システムを提供する。
【解決手段】更新サーバ200は、機器100から、保護制御モジュール120及び更新モジュール群130に含まれる各更新モジュールの改ざんに係る検証結果を取得する。更新サーバ200は、取得した検証機器に応じて、機器100の処理順序を決定する。具体的に、保護制御モジュール120及び更新モジュールが共に不正であると判断する場合、更新サーバ200は、不正な更新モジュールの無効化に優先して、不正な保護制御モジュール120を更新する指示を、機器100に送信する。
【解決手段】更新サーバ200は、機器100から、保護制御モジュール120及び更新モジュール群130に含まれる各更新モジュールの改ざんに係る検証結果を取得する。更新サーバ200は、取得した検証機器に応じて、機器100の処理順序を決定する。具体的に、保護制御モジュール120及び更新モジュールが共に不正であると判断する場合、更新サーバ200は、不正な更新モジュールの無効化に優先して、不正な保護制御モジュール120を更新する指示を、機器100に送信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、機器内部で動作するソフトウェアを更新する技術に関し、特に、当該機器が、サーバからの指示に従って安全にソフトウェアを更新する技術に関する。
【背景技術】
【0002】
従来、機器内部のソフトウェアを更新するには、更新モジュールが定期的にネットワーク上のサーバに更新用ファイルが存在するか否かを確認する。そして、更新用ファイルが存在する場合、更新モジュールは、更新用ファイルをダウンロードし、ダウンロードした更新用ファイルで前記ソフトウェアを更新する。
しかし、更新モジュールが悪意の第三者により改ざんされると、ソフトウェアの更新が正しく行われない可能性がある。
【0003】
そこで、機器内部に複数の更新モジュール(更新モジュール群)を保持しておき、各更新モジュールが相互に改ざんの有無を検証し合う。そして、改ざんされていることが検出された更新モジュールを無効化する、という技術が提案されている。これにより、更新モジュールの一つが改ざんされた場合であっても、残りの有効な更新モジュールを用いて、更新すべきソフトウェアを正しく更新することが可能となる。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特許第3056732号公報(第4−6頁、図2)
【特許文献2】WO2008/099682
【非特許文献】
【0005】
【非特許文献1】岡本龍明、山本博資、「現代暗号」、産業図書(1997年)
【非特許文献2】ITU−T Recommendation X.509 (1997 E):Information Technology−Open Systems Interconnection−The Directory:Authentication Framework,1997
【発明の概要】
【発明が解決しようとする課題】
【0006】
ところで、更新モジュールを無効化するか否かの判断や、処理順序の決定を機器内部だけで行うと、安全性が低下するという問題がある。
本発明は、上記の問題点に鑑みなされたものであって、更新モジュールの無効化の決定や処理順序の決定を機器内部で行うことなく、機器におけるソフトウェア更新処理に対する信頼性を高め、より安全にソフトウェアを更新することができるソフトウェア更新システムを提供することを目的とする。
【課題を解決するための手段】
【0007】
上記の目的を達成するために、本発明の一実施態様であるソフトウェア更新システムは、情報処理装置と正当な管理装置とがネットワークを介して接続されており、前記情報処理装置上で動作するソフトウェアを更新するソフトウェア更新システムであって、前記情報処理装置は、ソフトウェアを更新する機能を有し、相互に改ざんの有無を検証し合う複数の更新モジュールと、前記複数の更新モジュールによる検証結果を、前記管理装置へ送信する送信手段とを備え、前記管理装置は、前記複数の更新モジュールによる検証結果を受信する受信手段と、受信した前記検証結果に基づき、各更新モジュールが正当であるか否か判断する判断手段と、前記判断手段からの指示を受け、不正であると判断された更新モジュールの無効化指示を前記情報処理装置に送信する無効化手段とを備えることを特徴とする。
【発明の効果】
【0008】
上記の構成によると、正当な管理装置は、各更新モジュールから受信した検証結果を用いて各更新モジュールが不正であるか否か判断するので、改ざんされた更新モジュールが改ざんされていない他の更新モジュールを改ざんされていると偽って管理装置に通知した場合であっても、管理装置は、いずれの更新モジュールが不正であるかを適切に判断することができる。
【0009】
さらに、管理装置から情報処理装置へ、不正であると判断された更新モジュールを無効化する指示を送信するので、改ざんされた不正な更新モジュールが、改ざんされていない更新モジュールを「改ざんされた」と偽って検証した場合であっても、正当な更新モジュールが無効化されることを防止し、且つ、不正な更新モジュールが情報処理装置内に残存するのを防止することができる。
【図面の簡単な説明】
【0010】
【図1】本発明の実施の形態1におけるソフトウェア更新システム10の全体構成図である。
【図2】本発明の実施の形態1における機器100の構成図である。
【図3】本発明の実施の形態1における更新モジュール群130の構成図である。
【図4】本発明の実施の形態1におけるハードウェア構成図である。
【図5】本発明の実施の形態1における更新サーバ200の構成図である。
【図6】本発明の実施の形態1における更新モジュールの構成図である。
【図7】本発明の実施の形態1における監視パターン情報の構成図である。
【図8】本発明の実施の形態1における更新モジュール本体の構成図である。
【図9】本発明の実施の形態1における保護制御モジュール120の構成図である。
【図10】本発明の実施の形態1におけるアクセス制御モジュール140の構成図である。
【図11】本発明の実施の形態1における判断部210の構成図である。
【図12】本発明の実施の形態1における更新用ソフトウェア配布部220の構成図である。
【図13】本発明の実施の形態1におけるモジュール無効化部230の構成図である。
【図14】本発明の実施の形態1におけるモジュール追加部240の構成図である。
【図15】本発明の実施の形態1における監視パターン更新部250の構成図である。
【図16】本発明の実施の形態1におけるソフトウェア更新システム10のフローチャートである。
【図17】本発明の実施の形態1におけるソフトウェア更新システム10の初期設計時の動作概要図である。
【図18】本発明の実施の形態1における初期設計処理のシーケンス図である。
【図19】本発明の実施の形態1における初期設計処理(更新モジュール初期化処理)のフローチャートである。
【図20】本発明の実施の形態1における検知処理のシーケンス図である。
【図21】本発明の実施の形態1における解析・判断処理のシーケンス図である。
【図22】本発明の実施の形態1における解析・判断処理(通常時判断処理)のシーケンス図である。
【図23】本発明の実施の形態1における解析・判断処理(相互監視処理)のシーケンス図である。
【図24】本発明の実施の形態1における解析・判断処理(通常時無効化判断処理)のフローチャートである。
【図25】本発明の実施の形態1における無効化処理のシーケンス図である。
【図26】本発明の実施の形態1における解析・判断処理(追加判断処理)のフローチャートである。
【図27】本発明の実施の形態1における追加処理のシーケンス図である。
【図28】本発明の実施の形態1における解析・判断処理(監視パターン更新判断処理)のフローチャートである。
【図29】本発明の実施の形態1における相互認証処理のシーケンス図である。
【図30】本発明の実施の形態1における相互認証処理のシーケンス図である。
【図31】本発明の実施の形態1における回復処理のフローチャートである。
【図32】本発明の実施の形態1における回復処理のシーケンス図である。
【図33】本発明の実施の形態1における回復処理(更新処理)のシーケンス図である。
【図34】本発明の実施の形態1における回復処理(更新処理)のシーケンス図である。
【図35】本発明の実施の形態1における回復処理(回復時相互監視処理)のシーケンス図である。
【図36】本発明の実施の形態1における回復処理(回復時判断処理)のフローチャートである。
【図37】本発明の実施の形態1における回復処理(再暗号化処理)のシーケンス図である。
【図38】本発明の実施の形態1における回復処理(回復時無効化判断処理)のフローチャートである。
【図39】本発明の実施の形態1における次ラウンド準備処理のシーケンス図である。
【図40】本発明の実施の形態1における監視パターンの更新例の図である。
【図41】本発明の実施の形態1における通常時の処理の優先順位の図である。
【図42】本発明の実施の形態1における回復時の処理の優先順位の図である。
【図43】本発明の実施の形態2における更新モジュールの構成図である。
【図44】本発明の実施の形態2における監視パターン更新検証例の図である。
【図45】本発明の実施の形態2における監視パターン更新部250の構成図である。
【図46】本発明の実施の形態2における監視パターン更新処理のシーケンス図である。
【図47】本発明の実施の形態2における新監視パターンへの更新処理のシーケンス図である。
【図48】本発明の実施の形態3における更新モジュール群130の構成図である。
【図49】本発明の実施の形態3における更新モジュールが保持する分散情報の構成例の図である。
【図50】本発明の実施の形態3における解析・判断処理(通常時無効化判断処理)のフローチャートである。
【図51】本発明の実施の形態3における更新モジュールが半数以上危殆化した例の図である。
【図52】本発明の実施の形態3における更新モジュールの3つが危殆化した例の図である。
【図53】本発明の実施の形態3における更新モジュール131の両隣の更新モジュールが危殆化した例の図である。
【図54】本発明の実施の形態3における回復処理(回復時判断処理)のフローチャートである。
【図55】本発明の変形例1における回復処理(更新処理)のシーケンス図である。
【図56】本発明の変形例1における回復処理(更新処理)のシーケンス図である。
【図57】本発明の変形例47における追加用更新モジュールの分割例の図である。
【図58】本発明の変形例69における解析・判断処理(追加判断処理)のフローチャートである。
【図59】本発明の変形例71における更新モジュールが保持する分散情報の構成例の図である。
【図60】本発明の変形例72における更新モジュールが保持する分散情報の構成例の図である。
【図61】本発明の実施の形態2の相互監視において各モジュールの監視先、監視元を表す模式図である。
【発明を実施するための形態】
【0011】
請求項1に記載の態様であるソフトウェア更新システムは、情報処理装置と正当な管理装置とがネットワークを介して接続されており、前記情報処理装置上で動作するソフトウェアを更新するソフトウェア更新システムであって、前記情報処理装置は、ソフトウェアを更新する機能を有し、相互に改ざんの有無を検証し合う複数の更新モジュールと、前記複数の更新モジュールによる検証結果を、前記管理装置へ送信する送信手段とを備え、前記管理装置は、前記複数の更新モジュールによる検証結果を受信する受信手段と、受信した前記検証結果に基づき、各更新モジュールが正当であるか否か判断する判断手段と、前記判断手段からの指示を受け、不正であると判断された更新モジュールの無効化指示を前記情報処理装置に送信する無効化手段とを備えることを特徴とする。
【0012】
請求項2に記載の態様であるソフトウェア更新システムにおいて、前記複数の更新モジュールのそれぞれは、他の更新モジュールを無効化する機能を有し、前記無効化手段は、無効化処理を行う更新モジュールを選択し、前記判断手段により不正であると判断された前記更新モジュールを指定する識別情報を含む前記無効化指示を、選択された前記更新モジュールへ送信し、前記無効化指示を受け付けた更新モジュールは、前記識別情報により指定される更新モジュールを無効化するように構成してもよい。
【0013】
この構成によると、管理装置の無効化手段が、正当な更新モジュールを選択して無効化処理を実施させることにより、情報処理装置では、不正な更新モジュールの無効化を正しく行うことが可能となる。
請求項3に記載の態様であるソフトウェア更新システムにおいて、前記情報処理装置は、秘匿データを保護する機能を有する保護制御モジュールを含み、前記複数の更新モジュールのそれぞれは、更に、前記保護制御モジュールの改ざんの有無を検証し、前記管理装置から前記保護制御モジュールの更新用ファイルを受信すると、前記保護制御モジュールを更新し、前記管理装置は、更に、前記判断手段からの指示を受け、不正な保護制御モジュールを更新するための更新用ファイルを前記情報処理装置へ配布する配布手段を備え、前記受信手段は、更に、前記保護制御モジュールに係る検証結果を受信し、前記判断手段は、前記保護制御モジュールに係る検証結果を用いて前記保護制御モジュールが正当であるか否か判断し、判断結果と予め保持している判断基準とに応じて決定される処理順序に従い前記無効化手段及び前記配布手段へ指示を出力するように構成してもよい。
【0014】
この構成によると、管理装置は、情報処理装置の状態に応じた処理順序に従い、前記無効化手段及び前記配布手段へ指示を出力するので、情報処理装置は、安全な処理順序で不正な更新モジュールの無効化処理及び不正な保護制御モジュールの更新処理を行うことができる。
請求項4に記載の態様であるソフトウェア更新システムにおいて、前記判断手段は、前記保護制御モジュールが不正であると判断する場合、前記更新モジュールの無効化に優先して、前記保護制御モジュールを更新するように前記処理順序を決定するように構成してもよい。
【0015】
この構成によると、秘匿データを保護する機能を有する保護制御モジュールが不正であると判断する場合、前記保護制御モジュールの更新処理を優先して行うので、更新モジュールの無効化処理中に、不正な保護制御モジュールを介して本来保護すべき秘匿データが攻撃されるのを防止することができる。
請求項5に記載の態様であるソフトウェア更新システムにおいて、前記判断手段は、前記保護制御モジュールが正当であると判断する場合、前記更新モジュールの無効化を優先的に行うように前記処理順序を決定するように構成してもよい。
【0016】
この構成によると、秘匿データを保護する機能を有する保護制御モジュールが健全な状態であることを確認した後に、更新モジュールを無効化するので、更新モジュールの無効化処理中に、不正な保護制御モジュールを介して、本来保護すべき秘匿データが攻撃されるのを防止することができる。
請求項6に記載の態様であるソフトウェア更新システムにおいて、前記判断手段は、前記保護制御モジュールが不正であると判断し、且つ、前記複数の更新モジュールの全てが不正であると判断する場合、前記無効化手段及び前記配布手段への指示に代えて、前記情報処理装置を停止させる指示を生成し、前記情報処理装置は、前記管理装置から停止の指示を受信すると、処理を停止するように構成してもよい。
【0017】
この構成によると、情報処理装置が攻撃されている可能性が高い場合には、管理装置から情報処理装置の処理を停止させることができるので、情報処理装置への攻撃が、ネットワークを介して接続されている他の装置に影響を及ぼすのを防止することができる。
請求項7に記載の太陽であるソフトウェア更新システムにおいて、前記保護制御モジュールは、更に、前記複数の更新モジュールの改ざんの有無を検証し、前記受信手段は、更に、前記保護制御モジュールによる前記複数の更新モジュールに係る検証結果を受信し、前記判断手段は、前記保護制御モジュールにより改ざんが検出された更新モジュールに係る、他の更新モジュールによる検証結果を用いて、当該更新モジュールが正当であるか否かを判断し、当該更新モジュールが不正であると判断する場合に、前記保護制御モジュールは正当であると判断し、当該更新モジュールが正当であると判断する場合に、前記保護制御モジュールが不正であると判断するように構成してもよい。
【0018】
この構成によると、保護制御モジュールによる改ざん検出結果と、各更新モジュールによる改ざん検出結果とを用いることで、保護制御モジュールが正当であるか不正であるかを確実に判断することが可能となる。
請求項8に記載の態様であるソフトウェア更新システムにおいて、前記管理装置は、更に、前記判断手段からの指示を受けて、前記情報処理装置に追加の更新モジュールを送信するモジュール追加手段を備え、前記判断手段は、前記情報処理装置へ無効化指示を送信した後において、前記情報処理装置に含まれる更新モジュールの数が所定値以下であるか否か判断し、更新モジュールの数が所定値以下の場合、前記モジュール追加手段に更新モジュールの追加を指示するように構成してもよい。
【0019】
この構成によると、相互検証を行う複数の更新モジュールの数を一定に保つことができるので、情報処理装置は、更新モジュールの改ざん検証を安定して行うことができる。
請求項9に記載の態様であるソフトウェア更新システムにおいて、前記判断手段は、前記保護制御モジュールが正当であるか否かの判断結果に応じて決定される処理順序に従い、前記モジュール追加手段及び前記配布手段へ指示を出力するように構成してもよい。
【0020】
この構成によると、情報処理装置は、安全な処理順序で更新モジュールの追加処理及び不正な保護制御モジュールの更新処理を行うことができる。
請求項10に記載の態様であるソフトウェア更新システムにおいて、前記判断手段は、前記保護制御モジュールが不正であると判断する場合、前記追加の更新モジュールの送信に優先して、前記保護制御モジュールを更新するように前記処理順序を決定するように構成してもよい。
【0021】
この構成によると、更新モジュールの追加処理中に、不正な保護制御モジュールを介して、本来保護すべき秘匿データが攻撃されるのを防止することができる。
請求項11に記載の態様であるソフトウェア更新システムにおいて、前記判断手段は、前記保護制御モジュールが正当であると判断する場合、前記追加の更新モジュールの送信を優先的に行うように前記処理順序を決定するように構成してもよい。
【0022】
この構成によると、保護制御モジュールが正当であるとことを確認した後に、更新モジュールの追加処理を行うので、更新モジュールの追加処理中に、不正な保護制御モジュールを介して、本来保護すべき秘匿データが攻撃されるのを防止することができる。
請求項12に記載の態様であるソフトウェア更新システムにおいて、前記情報処理装置は、更に、前記秘匿データを含み、且つ、暗号化されているアプリケーションプログラムを備え、前記複数の更新モジュールは、各更新モジュールが多角形の端点に位置するように仮想的に配置されており、前記複数の更新モジュールのそれぞれは、前記暗号化アプリケーションプログラムを復号するための復号鍵から所定の鍵分散法に従って生成された複数の分散鍵のうち、自身に割り当てられた分散鍵及び前記多角形における両隣の端点に配置されている更新モジュールに割り当てられた分散鍵を保持しており、前記保護制御モジュールは、前記複数の更新モジュールから、少なくとも3個の分散鍵を取得して前記復号鍵を復元し、前記暗号化アプリケーションプログラムを復号するように構成してもよい。
【0023】
この構成によると、複数の更新モジュールのそれぞれに分散鍵を割り当てることにより、保護制御モジュールが解析されても復号鍵が暴露されず、アプリケーションプログラムの機密性を担保することができる。
請求項13に記載の態様であるソフトウェア更新システムにおいて、前記判断手段は、不正であると判断された更新モジュールが無効化されることにより、ある更新モジュールの両隣の更新モジュールが無効化される場合、前記モジュール追加手段に、前記両隣の更新モジュールのうち、少なくとも一方の更新モジュールの追加を指示するように構成してもよい。
【0024】
この構成によると、ある更新モジュールに割り当てられた分散鍵を保持する更新モジュールの数を複数に維持できるので、ある更新モジュールの両隣の更新モジュールが無効化され、更に、ある更新モジュールが無効化された場合であっても、前記復号鍵を復元することができる。
請求項14に記載の態様であるソフトウェア更新システムにおいて、前記判断手段は、前記保護制御モジュールが不正であると判断する場合、前記更新モジュールの両隣の更新モジュールのうち、少なくとも一方の更新モジュールの追加に優先して、前記保護制御モジュールを更新するように前記処理順序を決定するように構成してもよい。
【0025】
この構成によると、保護制御モジュールが不正であると判断する場合、保護制御モジュールの更新処理を優先して行うので、更新モジュールの追加処理中に、不正な保護制御モジュールを介して、本来保護すべき秘匿データが攻撃されるのを防止することができる。
請求項15に記載の態様であるソフトウェア更新システムにおいて、前記判断手段は、前記保護制御モジュールが正当であると判断する場合、前記更新モジュールの両隣の更新モジュールのうち、少なくとも一方の更新モジュールの追加を優先的に行うように前記処理順序を決定するように構成してもよい。
【0026】
この構成によると、保護制御モジュールが正当であることを確認した後に、更新モジュールの追加処理を行うので、更新モジュールの追加処理中に、不正な保護制御モジュールを介して、本来保護すべき秘匿データが攻撃されるのを防止することができる。
請求項16に記載の態様であるソフトウェア更新システムにおいて、前記保護制御モジュールは、更に、前記アプリケーションプログラムの改ざんの有無を検出し、前記複数の更新モジュールのそれぞれは、前記モジュール追加手段から追加の更新モジュールを受信すると、受信した更新モジュールを追加する機能を有し、前記モジュール追加手段から追加の更新モジュールを受信した更新モジュールは、前記保護制御モジュールによる前記アプリケーションプログラムの改ざん検出が終了したのちに、受信した更新モジュールを追加するように構成してもよい。
【0027】
この構成によると、本来保護すべき秘匿データを含むアプリケーションプログラムの改ざん検出処理を優先的に行うことにより、更新モジュールの追加処理中に、アプリケーションプログラムが攻撃されるのを防止することができる。
請求項17に記載の態様であるソフトウェア更新システムにおいて、前記判断手段は、不正であると判断された更新モジュールが無効化されることにより、ある更新モジュールの片隣の更新モジュールのみが無効化される場合には、前記モジュール追加手段に、前記片隣の更新モジュールの追加を指示しないように構成してもよい。
【0028】
この構成によると、前記片隣の更新モジュールが無効化されたとしても、前記更新モジュールに割り当てられた分散鍵を保有する更新モジュールは複数存在するので、更新モジュールの追加処理を行わなくとも、前記復号鍵を復元することができる。
以下では、本発明に係る一つの実施形態であるソフトウェア更新システムについて、図面を参照して説明する。
(実施の形態1)
1.ソフトウェア更新システム10の構成
図1は、本発明の実施の形態1におけるソフトウェア更新システム10の全体構成図である。
【0029】
ソフトウェア更新システム10は、図1に示すように、本発明の情報処理装置である機器100と、本発明の管理装置である更新サーバ200とから構成され、機器100と更新サーバ200とは、ネットワークを介して接続されている。
機器100は、ユーザに対してネットワークを利用した様々な機能を提供する情報処理装置である。具体的には、機器100は、ネットワークを介して、音楽コンテンツや映像コンテンツ等を購入し、再生する。また、機器100は、ネットワークを介して、ネットバンキングサービス(残高照会や振り込み等)を利用する。
【0030】
2.機器100の構成
ここでは、図2から図4を用いて、機器100の構成について説明する。
機器100は、図2に示すように、アプリ110、アプリ111、保護制御モジュール120、更新モジュール群130及びアクセス制御モジュール140から構成される。
アプリ110及びアプリ111は、ネットワークを介して、機器100を使用するユーザに、様々な機能を提供するためのソフトウェアである。例えば、コンテンツ配信サーバ(不図示)から音楽コンテンツや映像コンテンツを購入し、その購入したコンテンツを再生するソフトウェアや、金融機関のシステム(不図示)にアクセスし、残高照会や振り込み等のネットバンキングを行うためのソフトウェアである。
【0031】
アプリ110及びアプリ111は、コンテンツ配信サーバや金融機関のシステムと認証を行うための認証鍵など、秘匿データを有している。秘匿データは、悪意のある第三者(攻撃者)によりアプリから抜き取られ、不正に利用されないよう保護する必要があるデータである。
保護制御モジュール120は、攻撃者によりアプリ(110、111)が解析され、認証鍵などの秘匿データが抜き取られないようにアプリ(110、111)を保護するための機能を制御するモジュールである。アプリを保護するための機能としては、アプリを利用しない時には暗号化して保存しておき、アプリを利用する時にのみ復号してメモリへロードする復号ロード機能や、アプリが改ざんされていないかをチェックする改ざん検出機能、デバッガなどの解析ツールが動作しないかをチェックする解析ツール検出機能などがある。
【0032】
保護制御モジュール120は、これらの機能の動作を制御し、アプリ(110、111)が攻撃者によって解析されていないかなどをチェックする。保護制御モジュール120が、アプリ(110、111)に対する攻撃を検出したときには、アプリ(110、111)の動作を停止し、アプリ(110、111)が利用していたメモリ、特に秘匿データが記録されたメモリ領域のクリアなどの処理を行い、秘匿データの漏洩を防止する。
【0033】
図3は、実施の形態1に係る更新モジュール群130の構成図である。更新モジュール群130は、更新モジュール131、更新モジュール132及び更新モジュール133から構成される。
更新モジュール131、更新モジュール132及び更新モジュール133は、機器100の外部にある更新サーバ200から更新用のソフトウェアを受信し、受信した更新用のソフトウェアを用いて、機器100の内部のソフトウェア(アプリ110、アプリ111、保護制御モジュール120等)を更新する機能を備える。
【0034】
更に、更新モジュール群130は、攻撃者によって各更新モジュールが改ざんされ、各更新モジュールを不正に利用されることを防止するために、更新モジュール同士が相互に改ざん検出を実施する。これにより、更新モジュール群130の一部が攻撃され、改ざんされた場合においても、それを検出し、攻撃に対処することが可能となる。なお、各更新モジュール(131、132、133)の構成については後述する。
【0035】
アクセス制御モジュール140は、更新モジュール(131、132、133)が他のモジュールを消去するために必要なアクセス情報を保持する。アクセス情報は、消去対象であるモジュールの消去に必要な情報(モジュールが配置されているアドレスや消去に必要な手順が書かれた手順書等)である。アクセス制御モジュール140は、消去対象であるモジュール毎に、それぞれ個別のアクセス情報取得鍵で暗号化された状態のアクセス情報を保持している。
【0036】
ここで、図2に戻って、機器100のソフトウェア階層について説明する。図2に示すように、アクセス制御モジュール140及び更新モジュール群130は、OS150の中に組み込まれている。アプリ110及びアプリ111は、OS150上で動作し、保護制御モジュール120及びブートローダ160は、OS150の管理外にある。
機器100の起動の際には、まず保護制御モジュール120及び更新モジュール群130が起動された上でアプリケーションが実行される。
【0037】
続いて、図4を用いて、機器100のハードウェア構成について説明する。図4に示すように、機器100は、CPU(Central Processing Unit)171、不揮発メモリ(例えば、EEPROM(Electrically Erasable and Programmable Read Only Memory))172、RAM(Random Access Memory)173、及びNIC(Network Interface Card)174等を含んで構成され、これらはバスを介して相互に通信可能に接続されている。
【0038】
EEPROM172には、保護制御モジュール120、更新モジュール(131、132、133)、及びアプリ(110、111)等が格納されている。
EEPROM172に格納されている各種モジュールをCPU171が実行することにより、各種モジュールの各機能部が実現される。各機能部は、具体的には、コンピュータプログラムによって記述されている。
【0039】
RAM173は、CPU171のワークエリアとして用いられる。RAM173には更新モジュール(131、132、133)及びアプリ(110、111)がロードされる。RAM173上で動作している更新モジュールが、保護制御モジュール120による改ざんチェック及び無効化の対象となる。
NIC174は、ネットワークに接続するための拡張カードである。
【0040】
3.更新サーバ200の構成
次に、更新サーバ200の構成について説明する。更新サーバ200は、機器100内部のソフトウェアを更新するために必要な更新用のソフトウェアを配布する装置である。
図5は、実施の形態1における更新サーバ200の構成図である。更新サーバ200は、判断部210、更新用ソフトウェア配布部220、モジュール無効化部230、モジュール追加部240、監視パターン更新部250及び通信部260から構成される。
【0041】
判断部210は、機器100内部のソフトウェア(アプリ110、111、保護制御モジュール120、更新モジュール群130)の状態に応じて、予め与えられた判断基準を用いて、機器100が次に実行すべき処理を決定する。そして、更新サーバ200内部の各モジュール(更新用ソフトウェア配布部220、モジュール無効化部230、モジュール追加部240、監視パターン更新部250)に指示を行う。
【0042】
更新用ソフトウェア配布部220は、機器100内部のソフトウェア(アプリ110、111、保護制御モジュール120)を更新する時に、判断部210の更新処理開始指示に応じて、更新モジュール群130と連携して動作し、更新用のソフトウェアを機器100へ安全に送信する。
モジュール無効化部230は、機器100の更新モジュール群130の更新モジュールを無効化する時に、判断部210のモジュール無効化の指示に応じて、更新モジュール群130と連携して動作し、アクセス情報取得鍵を、無効化対象である更新モジュールの無効化処理を行う更新モジュールへ配布する。
【0043】
モジュール追加部240は、機器100の更新モジュール群130に更新モジュールを追加する時に、判断部210のモジュール追加の指示に応じて、更新モジュール群130と連携し、追加用の更新モジュールを機器100へ安全に送信する。
監視パターン更新部250は、機器100の更新モジュール群130の監視パターンを更新する時に、判断部210の監視パターン更新の指示に応じて、更新モジュール群130と連携し、更新モジュール群130内の各更新モジュールの監視パターンを更新するために必要なデータを送信する。
【0044】
通信部260は、機器100との間で情報の送受信を行う。通信部260は、機器100から受信した情報を、情報の種類に応じて、更新サーバ200の各部に出力する。また、通信部260は、更新サーバ200の各部から指示や情報を受け取り、機器100に送信する。
具体的には、通信部260は、更新処理の際に、更新用ソフトウェア配布部220から受け取った指示や通知などを機器100に送信したり、機器100から受信した改ざん検出の結果を判断部210に送信したりする。
【0045】
また、通信部260は、無効化処理では、モジュール無効化部230と機器100との間で指示や情報を送受信する。また、通信部260は、追加処理では、モジュール追加部240と機器100との間で指示や情報を送受信し、監視パターン更新処理では、監視パターン更新部250と機器100との間で指示や情報を送受信する。
機器100と更新サーバ200とは、ネットワークを介して接続され、機器100内部のソフトウェア(アプリ110、111、保護制御モジュール120)を更新する場合には、更新モジュール群130と更新用ソフトウェア配布部220とが連携して動作し、機器100内部のソフトウェアを更新するために、更新用のソフトウェアをインストールする。
【0046】
また、機器100内部のソフトウェア(アプリ110、111、保護制御モジュール120、更新モジュール131、132、133)が攻撃され改ざんされた場合には、改ざんされていない更新モジュールとアクセス制御モジュール140とモジュール無効化部230とが連携して動作し、改ざんされたソフトウェアを消去する。
また、更新モジュール群130の更新モジュールの数が消去により減少した場合には、改ざんされていない更新モジュールとモジュール追加部240とが連携して動作し、更新モジュールを追加する。
【0047】
また、更新モジュールの消去や追加により更新モジュール間の相互監視の監視パターンに変更が必要になった場合には、監視パターン更新部250と更新モジュール群130とが連携して動作し、監視パターンを更新する。
なお、機器100と更新サーバ200との間の通信は、データを暗号化する等により、セキュリティを確保した通信路を用いてもよい。
【0048】
4.更新モジュール131、132、133の構成
次に、更新モジュール群130に含まれる更新モジュールの構成について説明する。ここでは、更新モジュール131の構成について説明するが、他の更新モジュールも基本的に同一の構成を有する。
図6は、更新モジュール131の構成図である。更新モジュール131は、更新モジュール本体、更新モジュール検証用証明書、MAC(Message Authentication Code)値テーブル及び監視パターン情報から構成される。
【0049】
更新モジュール本体は、ソフトウェアの更新処理を行うプログラムである。更新モジュール本体の詳細は後述する。
更新モジュール検証用証明書は、更新モジュール本体が改ざんされていないかを検証するための証明書である。更新モジュール本体を検証するモジュールは、更新モジュール本体と本検証用証明書とを取得し、更新モジュール本体が改ざんされていないか検証を行う。
【0050】
MAC値テーブルは、モジュールの改ざんの有無の検証にMAC値を利用する場合に使用されるテーブルである。本テーブルには、モジュールを識別するためのモジュール識別子と、そのモジュールに対応するMAC値とが対になって格納されている。モジュールの改ざん検出は、対象のモジュールを取得し、MAC値を計算し、計算されたMAC値とMAC値テーブルに格納されている対象モジュールのMAC値とを比較することにより行う。
【0051】
監視パターン情報は、更新モジュールが相互監視を行うときの監視対象に関する情報である。図7は、監視パターン情報の構成図である。監視パターン情報は、監視パターン本体、監視頻度及び検証値リストから構成される。
監視パターン本体には、監視対象であるモジュールに関する情報(例えば、モジュール識別子、メモリ上の位置、サイズ、アドレス、ファイル名等)が記述されている。監視パターン本体には、複数の監視パターンが記述可能であり、複数の監視パターンを記述する場合には、それぞれを、監視パターン識別子で区別する。監視パターン本体のデータ構造は、先頭にヘッダ情報として監視パターンの数と監視パターンそれぞれのサイズとが記述され、それ以降に、監視パターン識別子と監視パターンとの組が記述される。
【0052】
監視頻度は、監視パターン本体に記述されている監視対象を監視するタイミングに関する情報である。監視パターン情報に監視頻度を含めることにより、監視の頻度を任意に調整できるので、更新モジュールの改ざんを適切に検証できる。
タイミングに関する情報としては、監視を行う時刻や、繰り返し監視を行う場合はその時間間隔などである。また、監視パターン本体に複数の監視パターンが記述されている場合には、監視パターン毎に監視頻度を記述してもよい。その場合、監視頻度と、その監視頻度を利用する監視パターンの監視パターン識別子とを記述する。また、複数の監視パターンのうち、使用する監視パターンを選択するタイミングを記述してもよい。更新モジュール131、132、133は、タイミング情報に応じて、監視パターンに記述されているモジュールを監視する。
【0053】
検証値リストは、監視パターン本体及び監視頻度を、更新サーバ200から正しく取得し、更新できたかを検証するための検証値が記述されている。
続いて、図8を用いて更新モジュール本体について説明する。図8は、更新モジュール131における更新モジュール本体の構成図である。同図に示すように、更新モジュール本体は、受信部301、送信部302、制御部303、更新部304、検証部305、MAC値生成部306、MAC値テーブル更新部307、監視パターン取得部308、監視パターン更新部309及び分散情報保持部310から構成される。
【0054】
受信部301は、更新サーバ200から、各種指示、通知、更新用ソフトウェアを受信する。また、受信部301は、相互監視を行うために必要な、他の更新モジュールの更新モジュール本体及び更新用モジュール検証用証明書を受信する。さらに、受信部301は、他のモジュールへ依頼した処理の結果を受信したり、他の更新モジュールによる保護制御モジュール120の監視結果を受信する。
【0055】
送信部302は、更新サーバ200、保護制御モジュール120、他の更新モジュール、アクセス制御モジュール140へ、各種処理結果や証明書などのデータを送信する。
制御部303は、受信部301が受信した各種指示及び通知に基づいて、更新部304、検証部305及び監視パターン更新部309を制御し、保護制御モジュール120、更新モジュール132及び更新モジュール133の更新処理及び検証処理、監視パターンの更新処理を行う。
【0056】
更新部304は、更新サーバ200と連携して、機器100内部のソフトウェア(アプリ110、111、保護制御モジュール120、更新モジュール132、133)を更新する。
検証部305は、保護制御モジュール120、更新モジュール132、133が正当か否かの検証を行う。検証方法としては、各モジュールに付加されている検証用の証明書を用いる方法や、事前に計算されたメッセージ認証コード(MAC)値を用いる方法がある。
【0057】
検証部305がどのモジュールをどのタイミングで検証するかは、監視パターン情報に記述されている。検証部305は、監視パターン情報から、監視パターン本体及び監視頻度を取得し、それらの情報に応じて検証を行う。監視パターンが複数ある場合には、更新サーバ200からの指示に応じて、利用する監視パターン及び監視頻度を変更する。例えば、更新サーバ200から、利用する監視パターン及び監視頻度をその都度指示してもよいし、どの時刻にどの監視パターン、どの監視頻度で監視を行うかが記述されたタイムチャートを用いて指示してもよい。また、機器100の状態と、監視パターン及び監視頻度とを対応付けたものを用いて指示してもよい。
【0058】
機器100の状態の具体例としては、「保護制御モジュール更新状態」、「保護制御モジュール非更新状態」や、「検証処理中」、「解析・判断処理中」、「回復処理中」などがある。そして、機器100の状態が「保護制御モジュール非更新状態」の場合、大まかな監視パターンで監視頻度を低くし、機器100の状態が「保護制御モジュール更新状態」の場合、細かな監視パターンで監視頻度を高くしてもよい。
【0059】
このように、保護制御モジュール120の回復時に更新モジュールの検証をより厳重に行うことにより、更新モジュールが改ざんされ、更新モジュールの正常な動作が妨害されるのを一層効果的に防止できる。
MAC値生成部306は、検証部305が使用するMAC値を生成する。MAC値生成部306は、予め保持している検証鍵を用いてMAC値を生成する。
【0060】
MAC値テーブル更新部307は、各モジュールのMAC値が格納されているMAC値テーブルを更新する。
監視パターン取得部308は、検証部305が検証処理を行うときの、監視対象のモジュールが記述されている監視パターンを取得する。監視パターンが複数ある場合には、取得する監視パターンの識別子を検証部305から指示し、監視パターン取得部308は指示された監視パターンを、監視パターン情報から取得する。
【0061】
監視パターン更新部309は、更新サーバ200から監視パターン更新の指示を受けると、本モジュール(更新モジュール131)が保持する監視パターンを、更新サーバ200から受信した新たな監視パターンへ更新する処理を行う。
分散情報保持部310は、保護制御モジュール120がアプリ(110、111)の暗復号処理を行うときに用いる暗復号鍵から生成された分散情報(share)と、保護制御モジュール120が分散情報を配布したときの配置情報とを保持する。配置情報は、どの分散情報をどの更新モジュールに配布したかを記述した情報である。
【0062】
署名方式に関しては、非特許文献1に詳しく説明されており、証明書に関しては、非特許文献2に詳しく説明されている。また、分散情報に関しては、特許文献2に詳しく説明されている。
5.保護制御モジュール120の構成
図9は、機器100の保護制御モジュール120の構成図である。同図に示すように、保護制御モジュール120は、受信部401、送信部402、制御部403、復号ロード部404、改ざん検出部405、解析ツール検出部406、暗復号鍵保持部407、暗復号鍵生成部408、暗復号鍵分散部409、証明書生成部410及び暗復号鍵復元部411から構成される。
【0063】
受信部401は、更新モジュール131、132、133から、分散情報や各種依頼などを受信する。
送信部402は、更新モジュール131、132、133へ、各種依頼などを送信する。
制御部403は、復号ロード部404、改ざん検出部405及び解析ツール検出部406を制御し、アプリ(110、111)が攻撃者により攻撃されている場合に、それを検出する。
【0064】
復号ロード部404は、暗号化して機器100内部に保持されているアプリ(110、111)を実行するときに、暗復号鍵を用いて復号し、メモリ上にロードする処理を行う。また、アプリ(110、111)の実行中に、他のアプリへのコンテキストスイッチが発生した場合には、メモリ上のデータを、暗復号鍵を用いて暗号化する。そして、再びアプリ(110、111)へコンテキストスイッチしたときに、暗号化したデータを復号する。
【0065】
さらに、復号ロード部404は、後述する再暗号化処理において、暗復号鍵復元部411から入力される復元された暗復号鍵を用いて、アプリ(110、111)を復号し、暗復号鍵保持部407が保持している新たな暗復号鍵を用いて、アプリ(100、111)を暗号化する。
改ざん検出部405は、アプリ(110、111)の改ざんの有無を検出する改ざん検出処理を実行する。改ざん検出部405は、アプリ(110、111)に付加されている改ざん検出用の証明書を用いて改ざん検出処理を行ってもよいし、MAC値を比較する方法を用いてもよい。
【0066】
解析ツール検出部406は、デバッガなどの解析ツールがインストールされたり、動作したときにそれを検出する。不正な攻撃者がアプリ(110、111)を攻撃するために、解析ツールをインストールしたり、動作させることが想定されるからである。検出方法としては、例えば、ファイル名を検索する方法や、デバッガが使用する特殊なレジスタが使用されているかを調べる方法や、デバッガが設定する割り込みを検出する方法などを用いる。
【0067】
暗復号鍵保持部407は、アプリ(110、111)を暗復号するための暗復号鍵を保持する。
暗復号鍵生成部408は、アプリ(110、111)を暗復号するための暗復号鍵を生成する。
暗復号鍵分散部409は、初期設計時及び次ラウンド準備時に、秘密分散法を用いて、暗復号鍵から分散情報を生成する。
【0068】
証明書生成部410は、暗復号鍵から生成された分散情報を復元したときに、正しく復元できたか否かを検証するために使用する証明書を生成する。
暗復号鍵復元部411は、更新モジュールの構成に基づいて、各更新モジュールから分散情報を取得し、取得した分散情報から暗復号鍵を復元する。なお、更新モジュールの構成とは、更新モジュール群130内の分散情報の配置情報である。暗復号鍵復元部411は、復元した暗復号鍵を復号ロード部404に出力する。
【0069】
6.アクセス制御モジュール140の構成
図10は、機器100のアクセス制御モジュール140の構成図である。同図に示すように、アクセス制御モジュール140は、受信部501、送信部502及びアクセス情報保持部503から構成される。
受信部501は、更新モジュール(131、132、133)から、改ざんされた更新モジュールを消去するために必要な情報であるアクセス情報の取得依頼を受信する。
【0070】
送信部502は、アクセス情報取得依頼に応じて、アクセス情報取得を依頼してきた更新モジュールへアクセス情報を送信する。
アクセス情報保持部503は、更新モジュール131、132、133毎に、そのモジュールを消去するためのアクセス情報を保持する。
各アクセス情報は、消去対象となる更新モジュールの識別子(更新モジュール識別子)が付されており、識別子によって更新モジュールと対応付けられている。各アクセス情報は、アクセス情報取得鍵で暗号化されている。
【0071】
更新モジュール131、132、133から、アクセス情報取得依頼があると、アクセス情報保持部503は、消去対象の更新モジュールの識別子が付されたアクセス情報を、送信部502を介して、更新モジュールへ送信する。
7.判断部210の構成
図11は、更新サーバ200の判断部210の構成図である。同図に示すように、判断部210は、受付部601、指示部602、指示生成部603、不正モジュール特定部604、判断基準読込部605及び判断基準格納部606から構成される。
【0072】
受付部601は、更新モジュール131、132、133から、分散情報、各種依頼などを受信し、指示生成部603へ出力する。さらに、受付部601は、更新サーバ200内の各部(更新用ソフトウェア配布部220、モジュール無効化部230、モジュール追加部240、監視パターン更新部250)から、処理が完了した通知を受け付けると、指示生成部603へ出力する。
【0073】
指示部602は、指示生成部603で生成された指示を更新サーバ200内の各部へ出力する。
指示生成部603は、判断基準読込部605から受け付けた判断基準に基づいて、機器100の処理の優先順位を決定し、更新サーバ200内の各部へ出力すべき指示を生成する。
【0074】
具体的に、保護制御モジュール120が改ざんされていない場合、指示生成部603は、モジュール無効化部230へ更新モジュールの無効化処理を指示し、その後、モジュール追加部240へ更新モジュールの追加処理を指示し、さらに、その後、監視パターン更新部250へ監視パターンの更新処理を指示する。
一方、保護制御モジュール120が改ざんされている場合、指示生成部603は、更新用ソフトウェア配布部220へ保護制御モジュール120の回復処理を指示し、その後、モジュール無効化部230へ更新モジュールの無効化処理を指示する。更に、その後、モジュール追加部240へ更新モジュールの追加処理を指示し、監視パターン更新部250へ監視パターンの更新処理を指示する。
【0075】
不正モジュール特定部604は、更新モジュール131、132、133から受信した相互監視結果(改ざん検出結果)を用いて、更新モジュールが改ざんされているか否かを判定し、更新モジュールが改ざんされていると判定した場合には、どの更新モジュールが改ざんされたかを特定する。さらに、不正モジュール特定部604は、更新モジュール131、132、133から受信した保護制御モジュール120についての改ざん検出結果から、保護制御モジュール120が改ざんされているか否かを判定する。
【0076】
判断基準読込部605は、判断基準格納部606に格納されている判断基準を読み込み、指示生成部603へ出力する。
判断基準格納部606は、予め与えられた判断基準を格納している。判断基準は、機器100の状態と処理の優先順位とを対応付けたものである。
8.更新用ソフトウェア配布部220の構成
図12は、更新サーバ200の更新用ソフトウェア配布部220の構成図である。同図に示すように、更新用ソフトウェア配布部220は、受信部701、送信部702、暗号鍵生成部703、暗号処理部704、認証部705、更新モジュール選択部706、制御部707、証明書生成部708、署名秘密鍵保持部709、更新用ソフトウェア保持部710及び暗号鍵保持部711から構成される。
【0077】
受信部701は、更新モジュール131、132、133から保護制御モジュール120の改ざん検出結果や、他の更新モジュールの相互監視結果(改ざん検出結果)を受信する。
送信部702は、機器100内部のソフトウェア(アプリ110、111、保護制御モジュール120)を更新する必要があるときに、更新モジュール131、132、133へ、更新処理開始の依頼、更新用ソフトウェア、復号に必要な鍵などのデータを送信する。
【0078】
暗号鍵生成部703は、更新用ソフトウェアを更新モジュール131、132、133へ送信するときに使用する暗号鍵を生成する。
暗号処理部704は、暗号鍵生成部703が生成した暗号鍵を用いて、更新用ソフトウェアを暗号化する。また、各更新モジュールに固有の鍵を用いて、暗号鍵を暗号化する。
認証部705は、更新モジュール131、132、133、及び、保護制御モジュール120と相互認証を行う。
【0079】
更新モジュール選択部706は、保護制御モジュール120を更新するときに、更新処理にどの更新モジュールを使用するかを選択する。そして、更新モジュール選択部706は、更新用の保護制御モジュールの暗号化に用いられた暗号鍵を、選択した更新モジュールに固有の鍵を用いて暗号化し、選択した更新モジュールへ送信する。
制御部707は、更新用ソフトウェア配布部220内の各構成要素を制御する。具体的には、制御部707は、複数の暗号鍵を用いた更新用ソフトウェアの多重暗号化、多重暗号化に使用した複数の暗号鍵の暗号化、及び、暗号化した更新用ソフトウェアと暗号鍵との更新モジュールへの送信を制御する。
【0080】
ここで、暗号鍵及び更新用ソフトウェアは、一度に更新モジュール131、132、133へ送信するのではなく、更新処理の中で、それぞれのデータが必要になったタイミングで、それぞれの更新モジュール131、132、133へ送信する。
証明書生成部708は、署名秘密鍵を用いて、更新モジュール131、132、133の認証公開鍵に対する認証証明書を生成する。また、証明書生成部708は、更新用の新保護制御モジュールに対する更新検証証明書を生成する。更新検証証明書は、保護制御モジュールが正しく更新されたか否かを検証するために用いられる。
【0081】
署名秘密鍵保持部709は、証明書生成部708による証明書の生成に用いられる署名秘密鍵を保持する。
更新用ソフトウェア保持部710は、保護制御モジュール120が攻撃された時に更新するための更新用の保護制御モジュールを保持する。
暗号鍵保持部711は、暗号鍵生成部703により生成された暗号鍵及び暗号処理部704により暗号化された暗号鍵を保持する。
【0082】
9.モジュール無効化部230の構成
図13は、更新サーバ200のモジュール無効化部230の構成図である。同図に示すように、モジュール無効化部230は、受信部801、送信部802、アクセス情報取得鍵保持部803及び更新モジュール選択部804から構成される。
受信部801は、判断部210から不正に改ざんされた更新モジュールを消去する指示を受け付ける。また、受信部801は、機器100の更新モジュール131、132、133からアクセス情報取得鍵の取得依頼を受信する。
【0083】
送信部802は、アクセス情報取得鍵の取得依頼に応じて、アクセス情報取得鍵を、依頼してきた更新モジュールへ送信する。
アクセス情報取得鍵保持部803は、アクセス制御モジュール140が保持するアクセス情報を復号するためのアクセス情報取得鍵を保持する。
更新モジュール選択部804は、無効化対象の更新モジュール(改ざんされたと判定された更新モジュール)を消去する無効化処理を行う更新モジュールを選択し、選択した更新モジュールに、無効化処理を指示する。更新モジュール選択部804は、選択した更新モジュール(無効化処理を行う更新モジュール)からアクセス情報取得鍵の取得依頼があった場合には、消去対象となる更新モジュールの識別子を付加したアクセス情報取得鍵を、無効化処理を行う更新モジュールへ送信する。
【0084】
10.モジュール追加部240の構成
図14は、更新サーバ200のモジュール追加部240の構成図である。同図に示すように、モジュール追加部240は、受信部901、送信部902、更新モジュール選択部903、更新モジュール保持部904、更新モジュール分割部905及び制御部906から構成される。
【0085】
受信部901は、判断部210から更新モジュール追加の指示と、この時点で更新モジュール群130に含まれている更新モジュールのリストとを受信する。
送信部902は、機器100へ、追加用の更新モジュール及び更新モジュールが正しく追加されたかを検証するための検証値を送信する。また、送信部902は、判断部210へ、更新モジュールの追加処理の終了を通知する。
【0086】
更新モジュール選択部903は、判断部210から受信した更新モジュールのリストから、更新モジュールの追加処理を行う更新モジュールを選択する。
更新モジュール保持部904は、追加用の更新モジュールを保持する。
更新モジュール分割部905は、更新モジュール保持部904から追加用の更新モジュールを1つ取得し、更新モジュール選択部903が選択した数に応じて、追加用の更新モジュールを分割する。更新モジュール分割部905は、分割した更新モジュールを、更新モジュール選択部903が選択した各更新モジュールへ送信する。
【0087】
制御部906は、判断部210及び更新モジュール131、132、133と連携して、更新モジュールの追加処理を制御する。
11.監視パターン更新部250の構成
図15は、更新サーバ200の監視パターン更新部250の構成図である。同図に示すように、監視パターン更新部250は、受信部1001、送信部1002、監視パターン生成部1003、監視パターン分割部1004及び制御部1005から構成される。
【0088】
受信部1001は、判断部210から、監視パターン更新の指示と、この時点で更新モジュール群130に含まれている更新モジュールのリストとを受信する。
送信部1002は、機器100へ更新用の監視パターンを送信する。また、送信部1002は、判断部210へ監視パターンの更新処理の終了を通知する。
監視パターン生成部1003は、判断部210から受信した更新モジュールのリストから、どの更新モジュールがどの更新モジュールを監視するかを決定し、監視パターンを生成する。監視パターンの一例としては、各更新モジュールが他のすべての更新モジュールを監視するとしてもよい。
【0089】
監視パターン分割部1004は、監視パターン生成部1003により生成された監視パターンを、それぞれの更新モジュール毎の監視パターンに分割する。そして、監視パターン分割部1004は、分割した監視パターンを更新用の監視パターンとして、それぞれの更新モジュールに送信する。
制御部1005は、監視パターン生成部1003と監視パターン分割部1004とを制御し、監視パターンの更新処理を行う。
【0090】
12.ソフトウェア更新システム10の動作
続いて、図16を用いて、ソフトウェア更新システム10の動作について説明する。
先ず、ソフトウェア更新システム10のインストール処理を説明する。インストール処理には、大まかに以下の9つの処理が含まれる。
1つ目は、初期設定処理である。初期設定処理では、ソフトウェア更新に必要な各種鍵データ及びソフトウェア更新後に必要となるデータから秘密分散法を用いて生成された分散情報を、各更新モジュール131、132、133に埋め込む。
【0091】
2つ目は、検知処理である。検知処理では、機器100内部のソフトウェア(アプリ110や111、保護制御モジュール120)が改ざんされていないかを検出する。
3つ目は、解析・判断処理である。解析・判断処理では、改ざんが検出された場合に、どのモジュールが改ざんされたかの判定、及び改ざんされた原因の解析を行い、改ざんされたモジュールを含むソフトウェアを更新するか否かを判定する。そして、ソフトウェアを更新する場合は、改ざんされた箇所を修正した更新用のソフトウェアを生成し、更新モジュール131、132、133へ更新処理の実施を通知する。
【0092】
4つ目は、相互認証処理である。相互認証処理では、更新モジュール131、132、133と更新用ソフトウェア配布部220とが互いに正しいソフトウェアであるかどうかを確認するために、相互に認証処理を行う。
5つ目は、回復処理である。回復処理では、更新用のソフトウェアを機器100へインストールし、更に、更新モジュール131、132、133へ埋め込まれた分散情報から元のデータを復元する。
【0093】
6つ目は、次ラウンド準備処理である。次ラウンド準備処理では、次のソフトウェア更新のための分散情報を生成し、各更新モジュールに埋め込む。
7つ目は、無効化処理である。無効化処理では、検知処理、相互認証処理、回復処理において、更新モジュール131、132、133又は保護制御モジュール120が不正に改ざんされたことを検知した場合に、改ざんされたモジュールを消去する。
【0094】
8つ目は、追加処理である。追加処理では、無効化処理によって更新モジュールが減少した場合、インストール処理を確実に行うために、更新モジュールを増やしたい場合などに、更新モジュールを追加する。
9つ目は、監視パターン更新処理である。監視パターン更新処理では、無効化処理や追加処理により、更新モジュール群130の構成を変更した場合に、監視パターンの更新が必要であれば、監視パターンを更新する。
【0095】
上記9つの処理のうち、初期設定処理、検知処理、解析・判断処理、相互認証処理、回復処理及び次ラウンド処理は、図16に示す順序で行われる。無効化処理、追加処理及び監視パターン更新処理は、図16に記載されたそれぞれの処理の中で必要に応じて呼び出される。
図16は、ソフトウェア更新システム10の全体的な動作の流れを示すフローチャートである。
【0096】
ソフトウェア更新システム10は、機器100の工場製造時に初期設計処理を行い、各更新モジュール131、132、133へ分散情報を埋め込む。その後、機器100は、工場から出荷され、ユーザにより利用される。
ユーザにより機器100が利用される際には、機器100は、検知処理を行う。具体的には、保護制御モジュール120がアプリ(110、111)を攻撃者による攻撃から保護する。これと同時に、更新モジュール131、132、133が保護制御モジュール120の改ざん検出を実施し、保護制御モジュール120が攻撃されていないかをチェックする。
【0097】
更新サーバ200が、検知処理を行った更新モジュールから、保護制御モジュールが改ざんされた旨の通知を受信した場合、更新サーバ200は、解析・判断処理を行う。保護制御モジュール120が改ざんされたと判明した場合には、相互認証処理、回復処理、次ラウンド準備処理を行った後、再び、検知処理へ戻る。
なお、本発明のソフトウェア更新システムは、上記のすべての処理は必須ではない。ソフトウェア更新システムは、外部から更新のトリガを与えられて、更新を行う処理(回復処理)があればよい。
【0098】
以下では、上記の9つの処理について、それぞれの詳細を説明する。
13.初期設計処理の動作
ここでは、図17〜図19を用いて、初期設計処理について説明する。
図18は、ソフトウェア更新システム10による初期設計処理の動作を示すシーケンス図である。
【0099】
機器100の工場製造時に、機器100の不揮発メモリへアプリ(110、111)、保護制御モジュール120、更新モジュール(131、132、133)などをインストールする(S1000)。
これらのソフトウェアには、ソフトウェアが改ざんされているか否かを検証するための改ざん検出用証明書が付加されている。この改ざん検出用証明書は、更新サーバ200の更新用ソフトウェア配布部220が保持する署名秘密鍵により署名が施されている。なお、S1000では、上記のソフトウェア以外にも、機器100の動作に必要なソフトウェアがインストールされる。
【0100】
ここで、図17を用いて、初期設計処理の際に機器100に埋め込まれる鍵について説明する。図17は、機器100に埋め込まれる鍵を模式的に示す図である。ここでは、更新モジュール131だけ示し、更新モジュール132及び133については省略する。
図17に示すように、保護制御モジュール120には暗復号鍵が埋め込まれ、更新モジュール131、132、133には署名公開鍵、検証鍵及び認証鍵対が埋め込まれる(この時点では、まだ、更新モジュールに分散情報の組は埋め込まれてない)。更に、更新モジュール131、132、133には、それぞれ更新モジュールを識別するための更新モジュール識別子が埋め込まれ、その状態でインストールされる。
【0101】
暗復号鍵は、アプリ(110、111)を暗号化及び復号するための鍵である。アプリ(110、111)は、暗復号鍵を用いて暗号化された状態で不揮発メモリへ記憶され、実行時に保護制御モジュール120により暗復号鍵を用いて復号された後、実行される。機器100が、コンテキストを切り替えながら複数のアプリを実行する場合には、コンテキスト切り替えのタイミングで、暗復号鍵を用いて、アプリ(110、111)が使用しているデータの暗号化及び復号を行うことにより、アプリ(110、111)実行時に、デバッガなどの解析ツールによって、データが抜き取られることを防止する。
【0102】
更新モジュール131、132、133に埋め込まれる鍵のうち、署名公開鍵はすべての更新モジュールで共通の鍵である。検証鍵と認証鍵対は、それぞれの更新モジュールで異なる鍵である。
図18に戻って説明を続ける。S1000で各ソフトウェアをインストールした後、初期設定を行うソフトウェア、正常に動作するかをテストするためのソフトウェアなどを実行し、機器100を初期化する(S1001)。
【0103】
S1001の初期化処理では、保護制御モジュール120、更新モジュール131、132、133でも、それぞれ初期化処理が行われる。
保護制御モジュール120は、暗復号鍵から秘密分散法を用いて分散情報を生成する(S1002)。更に、保護制御モジュール120は、署名秘密鍵を用いて、暗復号鍵の復元時に、暗復号鍵が正しく復元できたか否かを確認するための証明書(暗復号鍵証明書)を生成する(S1003)。
【0104】
保護制御モジュール120は、生成した分散情報と暗復号鍵証明書とを、更新モジュール131、132、133へ送信する(S1004)。ここで、保護制御モジュール120は、分散情報保持部310を備える更新モジュールと同数の分散情報を生成する。そして、それぞれの更新モジュール131、132、133が、異なる分散情報の組を保持するように送信する。更に、保護制御モジュール120は、どの更新モジュールへどの分散情報を送信したかを示す分散情報の配置情報を送信する。暗復号鍵証明書と配置情報とは、すべての更新モジュール131、132、133へ同じ情報が送信される。
【0105】
暗復号鍵から秘密分散法を用いて分散情報を生成する方法や、分散情報を更新モジュールへ送信する方法については、特許文献2の47ページから49ページに詳しく説明されている。特許文献2における秘密鍵dを本実施の形態の暗復号鍵に対応させ、認証局装置を保護制御モジュール120に対応させ、分散情報保持装置を更新モジュール131、132、133に対応させることで、特許文献2と同じ方法を用いることができる。
【0106】
保護制御モジュール120から分散情報、配置情報及び暗復号鍵証明書を受信した更新モジュール群130は、更新モジュール初期化処理へ移行する。
13.1.更新モジュール初期化処理
図19は、更新モジュール初期化処理を示すフローチャートである。ここでは、更新モジュール131について説明するが、他の更新モジュール132、133の動作も基本的に同一である。
【0107】
更新モジュール131は、保護制御モジュール120から分散情報、配置情報及び暗復号鍵証明書を受信し、受信した各情報を分散情報保持部310に保持する(S1005)。
更に、更新モジュール131は、改ざん検出対象である他の更新モジュール132、133及び保護制御モジュール120の改ざん検出用証明書の検証を行う(S1006)。この検証は、各モジュールからハッシュ値を生成し、生成したハッシュ値とそれぞれの改ざん検出用証明書に記述されているハッシュ値とを比較することにより行う。
【0108】
生成した各ハッシュ値がそれぞれの改ざん検出用証明書に記述されているハッシュ値と一致するか否かを判定し、一致すれば、他の更新モジュール132、133、保護制御モジュール120のそれぞれに対してMAC値を生成する。そして、生成したMAC値を、MAC値テーブルとして保持する(S1007)。
少なくとも1のハッシュ値が、改ざん検出用証明書に記述されているハッシュ値と一致しなければ、更新モジュール131は、エラーを出力して停止する(S1008)。
【0109】
14.検知処理の動作
機器100は、初期設計処理を終えると工場から出荷され、ユーザの元へ送られる。ユーザの元で機器100が使用される。
アプリ(110、111)を利用しているときには、機器100内部では、保護制御モジュール120が復号ロード機能、改ざん検出機能、解析ツール検出機能などの機能を制御し、アプリ(110、111)を攻撃者による攻撃から保護する。
【0110】
ここでは、図20のシーケンス図を用いて、検知処理の動作について説明する。
更新モジュール131、132、133は、保護制御モジュール120の改ざん検出を実施する(S2000)。
改ざん検出は、検証鍵を使用して保護制御モジュール120のMAC値を計算し、計算したMAC値とMAC値テーブルに保持されているMAC値とを比較することにより行う。MAC値が一致すれば、保護制御モジュール120は改ざんされていないと判定し、MAC値が一致しなければ、保護制御モジュール120は改ざんされていると判定する。
【0111】
なお、図20では記載を簡略化し、更新モジュール131のみが保護制御モジュールの改ざん検出を行っているように記載されているが、当然、更新モジュール132、133でも同様の処理が行われる。
その後の処理についても、更新モジュール131が保護制御モジュール120の改ざんを検出した場合を中心に記載しているが、更新モジュール132、133が保護制御モジュール120の改ざんを検出した場合も基本的には同様の処理が行われる。
【0112】
保護制御モジュール120が改ざんされているか否か、即ち、MAC値が一致するか否かを判定し、保護制御モジュール120が改ざんされていると判定した場合には、更新モジュール131は、その旨を、更新サーバ200の判断部210及び他の更新モジュールへ通知する(S2001)。
保護制御モジュール120が改ざんされていないと判定した場合には、更新モジュール131は、判断部210や他の更新モジュールへ通知を行わず、S2000の改ざん検出処理へ戻る。
【0113】
他の更新モジュールから保護制御モジュール120が改ざんされている旨の通知を受けた更新モジュールは、検証鍵及びMAC値を用いて、保護制御モジュール120の改ざん検出を実施する(S2002)。そして、改ざん検出結果を、判断部210及び他の更新モジュールへ通知する(S2003)。
判断部210は、更新モジュール131、132、133から改ざん検出結果を受信する。
【0114】
15.解析・判断処理の動作
次に、図21を用いて、解析・判断処理の動作について説明する。図21は、解析・判断処理の動作の流れを示すシーケンス図である。図21では、各更新モジュール131、132、133が個別に行う処理を、更新モジュール群130が行う処理としてまとめて記載している。
【0115】
検知処理において、更新モジュールから判断部210へ、保護制御モジュール120の改ざんを検出した旨の通知(S2001またはS2003)があった場合、判断部210は、更新モジュールから通知された改ざん検出結果に基づいて、保護制御モジュール120が不正であるか正当であるか(改ざんされているか否か)を判定する(S3000)。
判定方法の一例として、例えば、所定数の更新モジュールが改ざんを検出した場合には、保護制御モジュール120は不正である(改ざんされている)と判定し、また、所定数未満の更新モジュールが改ざんを検出した場合には、保護制御モジュール120は正当である(改ざんされていない)と判定する。前記所定数は、更新モジュール群130に含まれる更新モジュールの過半数としてもよい。
【0116】
保護制御モジュール120が不正である(改ざんされている)と判定した場合、判断部210は、保護制御モジュール120を回復する必要があるか否かを判断するために、更新モジュールに対して、保護制御モジュール120のどの部分が改ざんされたかなどの改ざん情報の通知を依頼する(S3001)。判断部210は、改ざん情報に基づいて、保護制御モジュール120を回復する必要があるか否かを判断する(S3002)。
【0117】
S3002の「回復する必要があるか否か」の判断に代えて、「リボークするか否か」を判断するとしてもよい。
S3002の判断の結果、回復する必要がある場合、更新用の保護制御モジュールを準備し(S3003)、更新モジュールに、更新処理の開始を指示する(S3004)。また、リボークする場合には、アプリ(110、111)にサービスを提供しているサーバに対して、機器100をリボークするように依頼する(S3005)。
【0118】
保護制御モジュール120が正当である(改ざんされていない)と判定した場合には、更新モジュール群130を更新する必要があるか否かを判断するために、通常時判断処理に移行する(S3006)。
15.1.通常時判断処理
図22は、解析・判断処理の通常時判断処理(S3006)のシーケンス図である。
【0119】
更新サーバ200の判断部210は、更新モジュール群130に対し、相互監視処理の指示を送信し、更新モジュール群130は相互監視処理を行う(S3100)。更新モジュール群130は、相互監視処理による検出結果を、判断部210に通知する。
判断部210は、検出結果の通知を受けると、通常時無効化判断処理を行い(S3200)、追加判断処理(S3300)、監視パターン更新判断処理(S3400)を行う。
【0120】
15.2.相互監視処理
図23は、相互監視処理(S3100)の詳細なシーケンス図である。
更新モジュール群130内の更新モジュール131、132、133は、それぞれ、他の更新モジュールに対して改ざん検出の処理を実施し、攻撃者により改ざんされていた場合には、それを検出する。
【0121】
具体的には、更新モジュール131が更新モジュール132の改ざん検出を行い(S3101)、更新モジュール132が更新モジュール133の改ざん検出を行い(S3102)、更新モジュール133が更新モジュール131の改ざん検出を行う(S3103)。
改ざん検出は、検証鍵を用いて各更新モジュールのMAC値を計算し、計算したMAC値と、MAC値テーブルに保持されているMAC値とを比較することで行う。そして、各更新モジュールは、改ざん検出処理の結果を、判断部210及び他の更新モジュールへ通知する。
【0122】
各更新モジュールの改ざん検出処理が完了すると、通常時判断処理に戻る。
15.3.通常時無効化判断処理
図24は、通常時判断処理の通常時無効化判断処理(S3200)の詳細なフローチャートである。
図24を用いて、通常時無効化判断処理について説明する。
【0123】
判断部210の不正モジュール特定部604において不正であると判定された更新モジュールが、更新モジュール群130の半数以上である場合(S3201)、判断部210の指示生成部603は、更新モジュール群130の全体を更新する指示を生成し、更新モジュール群130全体を更新する(S3202)。
更新モジュール群130の全体を更新することにより、更新モジュールの正常な動作が妨害されるのを防止できる。
【0124】
判断部210の不正モジュール特定部604において不正であると判定された更新モジュールが、更新モジュール群130の半数未満である場合(S3201)、不正モジュール特定部604は、更新モジュール群130のいずれかの更新モジュールが危殆化しているか判定し(S3203)、危殆化されていると判定された更新モジュールの無効化処理を実施する(S3204)。無効化処理についての詳細は後述する。
【0125】
通常時無効化判断処理では、保護制御モジュール120が改ざんされていないことを確認した上で、更新モジュールが危殆化していた場合、無効化処理を行うため、更新モジュールの無効化処理の間に、不正な保護制御モジュールを介してアプリ(110、111)が攻撃されるのを防止できる。
いずれの更新モジュールも危殆化していないと判定した場合、または、無効化処理が完了すると、通常時判断処理に戻る。
【0126】
15.4.追加判断処理
次に、追加判断処理について説明する。図26は、通常時判断処理の追加判断処理(S3300)の詳細なフローチャートである。
判断部210は、更新モジュール群130の更新モジュールの数が所定値以下であるかを判定し(S3301)、所定値以下の場合、追加処理を行う(S3302)。追加処理についての詳細は後述する。更新モジュールの数が所定値以上であった場合、または、追加処理が終了すると、通常時判断処理に戻る。
【0127】
追加処理により更新モジュールを追加することで、相互監視処理を行う更新モジュールの数を一定数に保つことができるので、更新モジュールの改ざんを更新モジュール群130の内部で安定して自己検証することができる。
また、保護制御モジュール120が改ざんされていないことを確認した上で追加処理を行うので、更新モジュールの追加処理の間に、不正な保護制御モジュールを介してアプリ(110、111)が攻撃されるのを防止できる。
【0128】
なお、更新モジュールの数が所定値以下でなくても、判断部210が更新モジュールの追加が必要と判断した場合には、追加処理を行ってもよい。
具体的には、更新モジュールの数が所定値以上であったとしても、幾つかの更新モジュールが短い期間に連続して危殆化した場合は、すぐに所定値以下になる可能性がある。このような場合、更新モジュール全体の安全性を向上させるために、更新モジュールの数が所定値以上であったとしても、更新モジュールを追加してもよい。
【0129】
ここで、「所定値」とは、システム設計時に決定する値であり、例えば、「システム設計時の更新モジュールの数の過半数」、或いは「4つ」などの具体的な数値が考えられる。
また、新たな更新モジュールを更新モジュール群に追加する処理に代えて、更新モジュール群自体を更新してもよい。例えば、更新モジュールの数が所定値より大きい場合には、更新モジュールを更新モジュール群に追加し、所定値以下の場合には、更新モジュール群自体を更新するというような処理を行ってもよい。更新モジュール群を一新することにより、各更新モジュールの正常な動作が妨害されるのを防止できる。
【0130】
15.5.監視パターン更新判断処理
次に、図28を用いて、監視パターン更新判断処理を説明する。図28は、通常時判断処理の監視パターン更新判断処理(S3400)の詳細なフローチャートである。
判断部210は、無効化処理や追加処理により、更新モジュール群130の構成に変更があった場合、監視パターンの更新が必要であるかを判断する(S3401)。監視パターンの更新が必要であると判断した場合、監視パターン更新部250へ更新を指示し、監視パターン更新部250は、監視パターン更新処理を行う(S3402)。
【0131】
監視パターンを更新する必要がないと判断した場合、または、監視パターン更新処理が完了すると、通常時判断処理へ戻る。
監視パターン更新処理(S3402)では、監視されない更新モジュールが存在しないように監視パターンを更新する。以下、具体的に説明する。
更新モジュールAが更新モジュールBを監視していた時に、更新モジュールAが無効化された場合、更新モジュールBはどの更新モジュールからも監視されない可能性がある。そのため、更新モジュールBも、いずれかの更新モジュールにより監視される新たな監視パターンを生成し、更新モジュールAを除いた更新モジュールの監視パターンを更新する。
【0132】
また、更新モジュールCが新たに更新モジュール群に追加された場合、従来の監視パターンでは更新モジュールCを監視する更新モジュールがないため、更新モジュールCを含めた更新モジュール群での新たな監視パターンを生成し、更新モジュールCを含めたすべての更新モジュールの監視パターンを更新する。
これにより、更新モジュールの無効化後であっても、また、新たな更新モジュールの追加後であっても相互監視を維持し、更新モジュールの正常な動作が妨害されるのを防止できる。
【0133】
16.相互認証処理の動作
ここでは、図29及び図30を用いて、ソフトウェア更新システム10による相互認証処理の動作について説明する。
更新サーバ200の判断部210が、解析・判断処理において、保護制御モジュール120を回復する必要があると判断した場合、判断部210は、更新用ソフトウェア配布部220へ、保護制御モジュール120の回復を指示する。
【0134】
更新用ソフトウェア配布部220は、更新モジュール131、132、133へ更新処理の開始を指示した後、各更新モジュールとの間で、それぞれ1対1の相互認証処理を行う。これにより、機器100が不正なサーバと接続したり、更新サーバ200が不正な機器と接続することを防止する。なお、相互認証処理において、更新サーバ200は、署名秘密鍵及び署名公開鍵を使用し、各更新モジュールは、認証鍵対(認証秘密鍵及び認証公開鍵)を使用する。
【0135】
図29は、更新モジュール131が更新用ソフトウェア配布部220を認証するときのシーケンス図である。なお、更新モジュール132、133も図29と同様に動作し、更新用ソフトウェア配布部220を認証する。
更新モジュール131は、乱数生成器を用いて乱数を生成し(S4000)、生成した乱数をチャレンジデータとして更新用ソフトウェア配布部220へ送信する(S4001)。この時、更新モジュール131を識別するための更新モジュール識別子を、チャレンジデータと共に送信する。
【0136】
更新用ソフトウェア配布部220は、受信したチャレンジデータに署名秘密鍵を用いて署名データを生成し(S4002)、生成した署名データをレスポンスデータとして、更新モジュール131へ返信する(S4003)。
更新モジュール131は、更新用ソフトウェア配布部220からレスポンスデータを受信すると(S4004)、署名公開鍵を用いて、受信したレスポンスデータが、チャレンジデータの署名データになっているか検証する(S4005)。
【0137】
検証の結果、レスポンスデータが正しく、更新用ソフトウェア配布部220が正当なモジュールである場合、更新モジュール131は、処理を継続する。レスポンスデータが正しくなく、更新用ソフトウェア配布部220が正当なモジュールでない場合には、更新モジュール131は、エラーを出力し、処理を停止する(S4006)。
次に、更新用ソフトウェア配布部220が、更新モジュール131、132、133を認証する。
【0138】
図30は、更新用ソフトウェア配布部220が各更新モジュールを認証するときのシーケンス図である。
更新用ソフトウェア配布部220は、チャレンジデータを送信してきた各更新モジュールに対して、乱数生成器を用いてそれぞれ異なる乱数を生成し(S4100)、チャレンジデータとして各更新モジュールへ個別に送信する(S4101)。
【0139】
各更新モジュールは、受信したチャレンジデータに認証秘密鍵を用いて署名データを生成し(S4102)、生成した署名データをレスポンスデータとして更新用ソフトウェア配布部220へ返信する(S4103)。
このとき、各更新モジュールは、レスポンスデータと共に認証公開鍵と認証鍵証明書とを更新用ソフトウェア配布部220へ送信する。
【0140】
更新用ソフトウェア配布部220は、それぞれの更新モジュールからレスポンスデータ、認証公開鍵及び認証鍵証明書を受信する(S4104)。更新用ソフトウェア配布部220は、認証鍵証明書が、自身が発行した証明書であるか否か検証し、更に、認証鍵証明書を用いて、認証公開鍵の正当性を検証する(S4105)。
認証鍵証明書及び認証公開鍵が不正であれば、更新用ソフトウェア配布部220は、処理を停止する(S4106)。
【0141】
認証鍵証明書及び認証公開鍵が正当であれば、更新用ソフトウェア配布部220は、認証公開鍵を用いて、受信したレスポンスデータがチャレンジデータの署名データになっているか検証する(S4107)。
次に、更新用ソフトウェア配布部220は、正しいレスポンスデータを返した更新モジュール(正当な更新モジュール)の数が、予め設定されている回復処理に必要な数以上であるかを判断する。正当な更新モジュールの数が、回復処理に必要な数に満たなかった場合、回復処理が実行できないため、更新用ソフトウェア配布部220は、処理を停止する(S4106)。正当な更新モジュールの数が、回復処理に必要な数を満たしている場合、相互認証処理を終了し、回復処理に移る。
【0142】
また、更新用ソフトウェア配布部220は、相互認証処理において、正当性が確認されたすべての更新モジュールの更新モジュール識別子を記載した認証リストを作成する。そして、これ以降の回復処理では、認証リストに識別子が記載されている更新モジュールのみを利用する。
17.回復処理の動作
ここでは、図31から図38を用いて、ソフトウェア更新システム10による回復処理の動作について説明する。
【0143】
相互認証処理において、相互認証が成功した場合、改ざんされた保護制御モジュール120を新保護制御モジュールへ更新する回復処理を実施する。
まず、図31を用いて回復処理の大まかな流れを説明する。図31は、回復処理の全体の流れを示したフローチャートである。同図に示すように、回復処理は、大きく6つの処理からなる。
【0144】
1つ目の処理は、新保護制御モジュールを用いて、改ざんされた保護制御モジュール120を更新する更新処理(S5000)である。
2つ目の処理は、更新モジュール131、132.133が相互に改ざん検出処理を実施する回復時相互監視処理(S5100)である。
3つ目の処理は、暗号化されたアプリ(110、111)を再暗号化する、再暗号化処理(S5300)である。
【0145】
4つ目の処理は、更新モジュール群130内の更新モジュールが危殆化していた場合に無効化処理を行うか判断する、回復時無効化判断処理(S5400)である。
5つ目の処理は、無効化後の更新モジュール群130内の更新モジュールの数により、更新モジュールの追加処理を行うか判断する、追加判断処理(S5500)である。
6つ目の処理は、更新モジュールの無効化又は/及び追加が行われた場合に、監視パターンを更新するか判断する、監視パターン更新判断処理(S5600)である。
【0146】
なお、本発明のソフトウェア更新システムは、上記のすべての処理は必須ではない。ソフトウェア更新システムは、外部から更新のトリガを与えられて、新保護制御モジュールを用いて、改ざんされた保護制御モジュール120を更新する更新処理(S5000)、及び、更新モジュールが相互に改ざん検出を実施する回復時相互監視処理(S5100)があればよい。
【0147】
上記6つの処理について、その詳細を順に説明する。
17.1.更新処理
ここでは、図33及び図34を用いて、更新処理(S5000)の一例を説明する。
先ず、更新用ソフトウェア配布部220の証明書生成部708は、署名秘密鍵を用いて、更新検証証明書を生成する(S5001)。更新検証証明書は、新保護制御モジュールが正しくインストールできたかを各更新モジュール131、132、133が確認するための証明書である。更新用ソフトウェア配布部220は、生成した証明書を、各更新モジュールへ送信する(S5002)。
【0148】
次に、更新用ソフトウェア配布部220の暗号鍵生成部703は、新保護制御モジュールを多重に暗号化するための暗号鍵を2つ(第1の鍵及び第2の鍵)生成する(S5003)。復号ロード部404は、第2の鍵を用いて新保護制御モジュールを暗号化し、暗号化新保護制御モジュールを生成する(S5004)。復号ロード部404は、暗号化新保護制御モジュールに対して、第1の鍵を用いてさらに暗号化し、多重暗号化新保護制御モジュールを生成する(S5005)。
【0149】
更新用ソフトウェア配布部220は、更新モジュール群130から正当な更新モジュールを一つ選択し(S5006)、選択した更新モジュールの識別子を判断部210に通知する。S5006では、判断部210内の不正モジュール特定部604に記憶されている危殆化した更新モジュール以外の更新モジュールを選択する。ここでは、一例として、更新モジュール131を選択するものとする。
【0150】
更新用ソフトウェア配布部220は、選択した更新モジュール131へ多重暗号化新保護制御モジュールを送信し(S5007)、更に、第1の鍵を送信する(S5008)。
更新モジュール131は、多重暗号化新保護制御モジュールと第1の鍵とを受信する(S5009)。更新モジュール131は、第1の鍵を用いて、多重暗号化新保護制御モジュールを復号し、暗号化新保護制御モジュールを取得する(S5010)。そして、復号が終了すると、その旨を更新用ソフトウェア配布部220へ通知する(S5011)。
【0151】
更新用ソフトウェア配布部220は、復号終了通知を受信すると、更新モジュール群130から、正当なモジュールであって、且つ、S5006で選択した更新モジュールとは異なる更新モジュールを一つ選択する(S5012)。ここでは、一例として、更新モジュール132を選択するものとする。
更新モジュールの選択は、上記と同様に判断部210内の不正モジュール特定部604に記憶されている危殆化した更新モジュール以外の更新モジュールを選択する。
【0152】
更新用ソフトウェア配布部220は、選択した更新モジュール132に、第2の鍵を送信する(S5013)。さらに、更新用ソフトウェア配布部220は、更新モジュール131に対して、S5010で取得した暗号化新保護制御モジュールを更新モジュール132へ送信するよう依頼する(S5014)。
更新モジュール131は、更新用ソフトウェア配布部220からの依頼を受けて、暗号化新保護制御モジュールを更新モジュール132へ送信する(S5015)。
【0153】
更新モジュール132は、更新用ソフトウェア配布部220から第2の鍵を受信し、更新モジュール131から暗号化新保護制御モジュールを受信する(S5016)。そして、第2の鍵を用いて、暗号化新保護制御モジュールを復号し、新保護制御モジュールを取得する(S5017)。
更新モジュール132は、S5017で取得した新保護制御モジュールを保護制御モジュール120に上書きし、更新する(S5018)。そして、更新モジュール132は、更新の終了を他の更新モジュールへ通知する(S5019)。
【0154】
続いて、各更新モジュール131、132、133のそれぞれは、事前に受信した更新検証証明書を用いて、保護制御モジュールが正しく更新されたか否か検証し(S5020)、検証結果を更新用ソフトウェア配布部220へ通知する(S5021)。
更新用ソフトウェア配布部220は、各更新モジュールから送信された検証結果を受信すると、保護制御モジュールが正しく更新されたかを判定する(S5022)。正しく更新されていないと判定する場合は、更新用ソフトウェア配布部220は、機器100を停止させる(S5023)。
【0155】
正しく更新されている場合には、更新用ソフトウェア配布部220は、更新処理の終了を各更新モジュールへ通知する(S5024)。
各更新モジュールは、更新処理終了通知を受信すると、新保護制御モジュールのMAC値を生成し、生成したMAC値と保護制御モジュールの識別子との組を、MAC値テーブルに書き込む(S5025)。
【0156】
以上説明したように、更新処理では、更新用ソフトウェア配布部220が更新用の新保護制御モジュールを複数の鍵を用いて多重に暗号化し、更新モジュール群130へ送信する。更新モジュール群130は、受信した新保護制御モジュールで、保護制御モジュール120を更新する。
この時、更新用ソフトウェア配布部220は、多重に暗号化された新保護制御モジュールを復号するための複数の鍵を、更新モジュール群130に送信するタイミングを制御することにより、攻撃者が暗号化されていない新保護制御モジュールを入手することを困難にする。
【0157】
17.2.回復時相互監視処理
ここでは、図35及び図36を用いて、回復時相互監視処理(S5100)の一例を説明する。
判断部210は、更新モジュール群130へ相互監視処理の指示を送信し、更新モジュール群130は相互監視処理を行う(S5101)。S5101の詳細は、図23の相互監視処理(S3100)と同様であるので、ここでは説明を省略する。
【0158】
各更新モジュールは改ざん検出を行い、改ざん検出結果を判断部210へ送信する(S5102)。なお、相互監視処理の結果、改ざんされた更新モジュールを検出しなかった場合、判断部210への通知は行わなくてよい。判断部210は、検出結果を用いて、回復時判断処理を行う(S5103)。
このように、回復時相互監視処理では、更新モジュール群130が相互監視処理を行うので、回復処理中に一部の更新モジュールが改ざんされた場合であっても、改ざん検出が可能となる。さらに、回復時相互監視処理を定期的に実施することにより、新保護制御モジュールのすべてが完全に漏洩する前に改ざんを検出して、新保護制御モジュールのすべてが漏洩するのを防止することが可能となる。
【0159】
17.3.回復時判断処理
ここでは、図36を用いて、回復時判断処理(S5103)の詳細について説明する。
まず、判断部210において、いずれかの更新モジュールが危殆化しているか判定する(S5110)。いずれの更新モジュールも危殆化していない場合、回復時判断処理を終了し、図35の回復時相互監視処理へ戻る。
【0160】
いずれかの更新モジュールが危殆化している場合、判断部210は、更新モジュール群に含まれる更新モジュールの内、半数以上が危殆化しているか判定する(S5111)。半数以上危殆化している場合には、機器100を停止する(S5112)。
機器100を停止することにより、機器100が改ざんされ、不正に動作し、ネットワークを介して接続された他の機器に影響することを防止できる。また、保護制御モジュール120も危殆化している場合、アプリ(110、111)が攻撃されている可能性が高く、アプリ(110、111)への攻撃が他の機器に影響することも防止できる。
【0161】
更新モジュールの半数未満が危殆化していた場合には、不正モジュール特定部604は、どの更新モジュールが危殆化しているかを特定し、特定した更新モジュールの識別子を、不正モジュール特定部604の内部に記憶する(S5113)。
次に、不正モジュール特定部604は、更新処理で選択した更新モジュールが危殆化しているかを判定する(S5114)。更新処理で選択した更新モジュールが危殆化している場合には、更新処理時に不正を働く可能性があるため、更新用ソフトウェア配布部220及び更新モジュール群130に更新処理の中止を通知する(S5115)。更新用ソフトウェア配布部220及び更新モジュール群130へ通知後、回復処理開始に戻る。
【0162】
回復処理開始に戻ることにより、回復時無効化判断処理(S5300)や追加判断処理(S5400)へ処理が移行しないため、危殆化した更新モジュールの無効化処理及び追加処理より、保護制御モジュールの更新処理を優先的に行うことができる。保護制御モジュールの更新処理を優先的に行うことにより、不正な保護制御モジュールを介して、アプリ(110、111)が攻撃されるのを防止できる。
【0163】
更新処理に選択した更新モジュールが危殆化していないと判定した場合、回復時相互監視処理を終了する。
17.4.更新処理と回復時相互監視処理との関係
ここでは、図32を用いて、更新処理と回復時相互監視処理との連携動作の詳細について説明する。回復時相互監視処理は、更新処理と連携するだけでなく、更新処理の開始から終了まで定期的に繰り返して行なわれる。回復時相互監視処理は、新保護制御モジュールがネットワークを介して完全に外部に出力されるまでに要する時間より短い時間間隔で繰り返し実施する必要がある。例えば、新保護制御モジュールが完全に外部に出力されるまでに1秒かかるのであれば、それより短い500ミリ秒間隔のタイミングで回復時相互監視処理を実行する。以下、詳細に説明する。
【0164】
先ず、機器100は、更新サーバ200から多重暗号化新保護制御モジュールが送付される前に、回復時相互監視処理(相互監視1)を実施する。不正な更新モジュールを選択して、更新処理を行わないようにするためである。
その後、機器100は、更新サーバ200により送信された第1の鍵を更新モジュール131が受信する前に、回復時相互監視処理(相互監視2)を実施し、機器100が第1の鍵を受信する時に、不正な更新モジュールを選択していないことを確認する。
【0165】
さらに、更新モジュール131が第1の鍵を受信し、第1の鍵を用いて多重暗号化新保護制御モジュールを復号する間、定期的に、更新モジュール131による復号処理を中断して、回復時相互監視処理(相互監視3−1、3−2)を実施する。これにより、復号処理中に、更新モジュール131、132、133が攻撃されたとしても、暗号化新保護制御モジュールがすべて漏洩する前に更新モジュールが攻撃されたことを検出し、漏洩を防止することが可能となる。
【0166】
これ以降の処理は、上記と同様である。即ち、機器100は、更新サーバ200により送信された第2の鍵を更新モジュール132が受信する前に、回復時相互監視処理(相互監視4)を実施し、機器100が鍵を受信する時に、不正な更新モジュールを更新処理において、選択していないことを確認する。
さらに、更新モジュール132が第2の鍵を受信し、第2の鍵を用いて暗号化新保護制御モジュールを復号する間、定期的に、更新モジュール132による復号処理を中断し、回復時相互監視処理(相互監視5−1、5−2)を実施する。最後に、回復時相互監視処理(相互監視6)を実施する。
【0167】
これにより、新保護制御モジュールがすべて漏洩する前に更新モジュールが攻撃されたことを検出し、漏洩を防止することが可能となる。
ここで、各回復時相互監視処理において、更新モジュールに改ざんが検出されたた場合には、更新サーバ200の判断部210によって、回復時判断処理を行う(S5103)。これにより、更新サーバ200は、第1の鍵や第2の鍵の送信を中止することが可能となり、攻撃者は、多重暗号化新保護制御モジュールを復号するための鍵を入手することが不可能となる。
【0168】
17.5.再暗号化処理
次に、図37を用いて、回復処理の再暗号化処理(S5200)の一例について説明する。
先ず、更新された保護制御モジュール(以下、「保護制御モジュール121」と記載する。)が、各更新モジュール131、132、133に対して、それぞれが保持している分散情報及び暗復号鍵証明書の送信を依頼する(S5201)。
【0169】
各更新モジュール131、132、133は、保護制御モジュール121からの依頼を受けて、分散情報及び暗復号鍵証明書を送信する(S5202)。
保護制御モジュール121は、各更新モジュール131、132、133から分散情報及び暗復号鍵証明書を受信し(S5203)、受信した分散情報から更新前の保護制御モジュール120が使用していた暗復号鍵(旧暗復号鍵)を復元する(S5204)。更に、保護制御モジュール121は、暗復号鍵証明書を用いて、旧暗復号鍵が正しく復元されたか否か検証する(S5205)。
【0170】
旧暗復号鍵が正しく復元されなかった場合、保護制御モジュール121は、不正な更新モジュールを炙り出す(どの更新モジュールが不正な分散情報を送信したか特定する)(S5206)。特定された不正な更新モジュールは、更新サーバ200へ通知される。
旧暗復号鍵が正しく復元された場合、保護制御モジュール121の暗復号鍵生成部408は、新しい暗復号鍵(新暗復号鍵)を生成する(S5207)。そして、復号ロード部404は、旧暗復号鍵を用いて暗号化されたアプリ(110、111)を復号し、新暗復号鍵を用いてアプリ(110、111)を再暗号化する(S5208)。
【0171】
ここで、S5206において、不正な更新モジュールを特定するための方法について説明する。先ず、保護制御モジュール121は、各更新モジュールから分散情報の組を集め、集めた分散情報に各更新モジュールを識別するための識別情報を付加する。
その後、初期設計時に同じ値に設定されて配布された分散情報同士をグループにまとめる。そして、各グループに含まれる分散情報同士の値を比較し、同じ値になる分散情報同士を更に1つのサブグループにまとめる。そして、すべてのグループの中からサブグループを1つずつ選び出す組み合わせを全て生成する。
【0172】
生成した組み合わせそれぞれに対して旧暗復号鍵を生成し、正しい旧暗復号鍵が生成できたかを検証する。検証OKの場合、その組み合わせに含まれるサブグループに、検証OKを表す検証通過識別情報を付加する。
すべての組み合わせについて、旧暗復号鍵の生成・検証を行った後、検証通過識別情報の付いているサブグループに含まれる分散情報を取り除く。
【0173】
取り除かれずに残っている分散情報は、不正な値となっている。そこで、この分散情報に付加された識別情報により、不正な値となっている分散情報を送信してきた更新モジュールを特定することができる。識別情報により特定された更新モジュールが不正な更新モジュールであると特定される。
分散情報から旧暗復号鍵を復元する方法や不正な更新モジュールの特定方法については、特許文献2の50ページから52ページに詳しく説明されている。特許文献2における秘密鍵dを本実施形態の暗復号鍵に対応させ、認証局装置を本実施形態の保護制御モジュール121に対応させ、分散情報保持装置を更新モジュール131、132、133に対応させることで、特許文献2と同じ方法が利用可能である。
【0174】
17.6.回復時無効化判断処理
次に、図38を用いて、回復処理の回復時無効化判断処理(S5300)について説明する。
回復時無効化判断処理(S5300)は、回復時相互監視処理(S5100)で改ざんが検出され、図36のS5113において、危殆化した更新モジュールを記憶した場合、どの更新モジュールが危殆化しているのか判定し(S5301)、危殆化していると判定された更新モジュールに対し、無効化処理を行う(S5302)。無効化処理の詳細は後述する。
【0175】
17.7.追加判断処理
追加判断処理(S5400)は、通常時判断処理(図21のS3006)で行う追加判断処理(図22のS3300)と同様である。ここでは説明を省略する。
17.8.監視パターン更新判断処理
監視パターン更新判断処理(S5500)は、通常時判断処理(図21のS3006)で行う監視パターン更新判断処理(図22のS3400)と同様である。ここでは説明を省略する。
【0176】
18.次ラウンド準備処理の動作
ここでは、図39のフローチャートを用いて、次ラウンド準備処理の動作について説明する。次ラウンド準備処理では、回復処理の終了後、次の回復処理のための準備を行う。以下、具体的に説明する。
まず、保護制御モジュール121は、新しい暗復号鍵から、秘密分散法を用いて分散情報を生成し(S6000)、更に、署名秘密鍵を用いて、新暗復号鍵証明書を生成する(S6001)。そして、保護制御モジュール121は、生成した分散情報と暗復号鍵証明書とを各更新モジュール131、132、133へ送信する(S6002)。
【0177】
ここで、初期設計処理時と同様に、分散情報は、更新モジュールの数と同数が生成され、それぞれの更新モジュールが、異なる分散情報のペアを保持するように送信される。新暗復号鍵証明書は、各更新モジュール131、132、133へ同じ証明書が送信される。
各更新モジュール131、132、133は、保護制御モジュール121から分散情報と新暗復号鍵証明書とを受信し、受信した分散情報と新暗復号鍵証明書とを分散情報保持部310に保持する(S6003)。
【0178】
19.無効化処理の動作
ここでは、図25のフローチャートを用いて、ソフトウェア更新システム10における無効化処理の動作について説明する。
無効化処理は、相互認証時に認証に失敗した更新モジュールが存在する場合、通常時判断処理時に改ざんされた更新モジュールが検出された場合、保護制御モジュール120の改ざんが検出された場合など、機器100内部に存在する不正な(改ざんされた)モジュールを無効化する処理である。
【0179】
ここでは、具体例として、通常時判断処理時に、更新モジュール131、132が、更新モジュール133の改ざんを検出した場合の無効化処理について説明する。
判断部210は、更新モジュール131、132、133から受信した、相互監視結果を基に、どの更新モジュールが改ざんされているかを判定する(S7001)。判定方法としては、例えば、所定数の更新モジュールが改ざんされていると判定している場合に、その更新モジュールは改ざんされていると判定する。
【0180】
判断部210は、改ざんされた更新モジュールの識別情報と共に、モジュール無効化部230へ無効化の指示を出力する(S7002)。
モジュール無効化部230は、改ざんされていないと判定した更新モジュール131及び132のいずれか(ここでは、更新モジュール131とする。)へ、改ざんされた更新モジュール133の無効化を依頼する(S7003)。
【0181】
更新モジュール131は、モジュール無効化部230から、更新モジュール133の無効化依頼を受信すると、モジュール無効化部230に対し、更新モジュール133を無効化するためのアクセス情報取得鍵の送付を依頼する(S7004)。更に、更新モジュール131は、アクセス制御モジュール140へ、更新モジュール133を無効化するためのアクセス情報の取得を依頼する(S7005)。
【0182】
モジュール無効化部230は、アクセス情報取得鍵の送付依頼を受信すると、更新モジュール131が正当な(改ざんされていない)更新モジュールか否か、及び、依頼されたアクセス情報取得鍵が不正な(改ざんされた)更新モジュール133を無効化するためのアクセス情報取得鍵か否かを確認する(S7006)。この確認は、判断部210からモジュール無効化部230へ通知された更新モジュールの情報を利用して行う。
【0183】
確認した結果、改ざんされた更新モジュール133からの依頼であったり、或いは、改ざんされていない更新モジュール(131、132)に対するアクセス情報取得鍵の取得依頼であったりする場合には、無効化処理を停止する(S7007)。確認した結果、問題なければ、依頼してきた更新モジュール131へ更新モジュール133を無効化するためのアクセス情報取得鍵を送付する(S7008)。
【0184】
更新モジュール131は、モジュール無効化部230からアクセス情報取得鍵を受信し、さらに、アクセス制御モジュール140から暗号化されたアクセス情報を受信する(S7009)。更新モジュール131は、アクセス情報取得鍵と暗号化されたアクセス情報とから、アクセス情報を取得する(S7010)。取得したアクセス情報は、更新モジュール133を消去するための専用ドライバである。更新モジュール131は、専用ドライバを利用して、改ざんされた不正な更新モジュール133を消去する(S7011)。
【0185】
更新モジュール131は、無効化処理が終了すると、アクセス情報取得鍵、暗号化されたアクセス情報、及び、アクセス情報等を消去し、モジュール無効化部230へ完了通知を送信する(S7012)。モジュール無効化部230は、更新モジュール131から完了通知を受信したら、判断部210へ無効化の完了通知を送信する(S7013)。
なお、無効化処理により、分散情報保持部310を備える更新モジュールが無効化された場合、その更新モジュールが保持していた分散情報も消去される。そこで、分散情報保持部310を備える更新モジュールを無効化する場合は、分散情報の消去を考慮した無効化処理を行う必要がある。
【0186】
分散情報の消去を考慮した無効化処理については、特許文献2の56ページから64ページに、「脱退処理」として詳しく説明されている。特許文献2における秘密鍵dを、本実施形態の暗復号鍵に対応させ、分散情報保持装置を、本実施形態の更新モジュール131、132、133に対応させることで、特許文献2と同じ方法が利用可能である。なお、分散情報の消去を考慮した無効化処理を行うには、無効化する不正な更新モジュール以外に、正当な更新モジュールが最低3つ必要である。無効化処理に保護制御モジュール120を使用する場合は、初期設計時と同じ方法で再度分散情報を生成し、配布すればよい。
【0187】
以上説明したように、本実施形態では、更新モジュール群130内の複数の更新モジュールが相互監視処理を行うので、改ざんされた更新モジュールを検出することが可能となり、ソフトウェア更新システムの信頼性を高めることができる。また、改ざんされた更新モジュールを無効化するので、改ざんされた更新モジュールによる不正動作を防止することができる。
【0188】
20.追加処理の動作
次に、図27のフローチャートを用いて、ソフトウェア更新システム10における追加処理の動作について説明する。追加処理は、図26のS3302の詳細であり、機器100内部の更新モジュールの数を増やすために更新モジュールを追加する処理である。
ここでは、更新モジュール131、132を用いて、新たな更新モジュールを追加する処理を例に説明する。
【0189】
判断部210は、更新モジュール群130に更新モジュールの追加が必要であると判断すると、モジュール追加部240へ更新モジュールの追加を指示する。このとき、追加の指示と同時に、現在の機器100内部の正当な更新モジュールの一覧(リスト)を通知する。
判断部210からの指示を受けると、先ず、更新モジュール選択部903は、判断部210から受信した正当な更新モジュールのリストから、追加処理を実施する更新モジュールを選択する(S3310)。
【0190】
選択する方法としては、例えば、ランダムに選択してもよいし、リストの上から順番に選択してもよいし、一番多くの更新モジュールから監視されている更新モジュールを選択してもよい。更新モジュール選択部903が選択する更新モジュールの数は、1つでもよいし、半数の更新モジュールを選択してもよいし、すべての更新モジュールを選択してもよい。選択する方法及び選択する数は、システム設計時に決めてもよいし、その都度、判断部210が指示してもよい。
【0191】
次に、更新モジュール分割部905は、更新モジュール保持部904から追加用更新モジュールを取得し、追加用更新モジュールを、追加処理を実施する更新モジュールの数と同数に分割する(S3311)。
その後、更新モジュール分割部905は、分割した追加用更新モジュールを、更新モジュール選択部903が選択した更新モジュールのそれぞれへ送信する(S3312)。このとき、更新モジュール分割部905は、分割された追加用更新モジュールを書き込む領域を示す情報も送信する。また、更新モジュール保持部904から取得する追加用更新モジュールには、そのモジュールを検証するための検証用証明書が付加されている。
【0192】
このように、追加の権限を一つの更新モジュールに独占させるのではなく、複数の更新モジュールに分散することにより、追加の権限を有する更新モジュールが改ざんされたことにより、不正な更新モジュールが追加される危険性を低下させることができる。
分割した追加用更新モジュールを受信した各更新モジュールは、それぞれ指定された領域に、分割された追加用更新モジュールを書き込む(S3313)。書き込みが終了した更新モジュールは、追加処理の終了をモジュール追加部240へ通知する(S3314)。
【0193】
モジュール追加部240の制御部906は、分割した追加用更新モジュールを送信したすべての更新モジュールから追加処理の終了通知を受け取ると、更新モジュール群130のすべての更新モジュールに対して、追加した更新モジュールの検証情報を送付し、検証を依頼する(S3315)。検証情報は、追加した更新モジュールが書き込まれた領域の先頭アドレス及びサイズである。
【0194】
検証情報を受信した更新モジュールは、検証情報を基に更新モジュールを読み込み、更新モジュールに付加されている検証用証明書を用いて検証を実施する(S3316)。検証が終了した更新モジュールは、検証結果をモジュール追加部240へ通知する(S3317)。
制御部906は、更新モジュールから通知された検証結果から、更新モジュールが正しく追加されたかを判定する(S3318)。そして、判定結果と追加処理の終了とを、判断部210へ通知する(S3319)。
【0195】
なお、分散情報保持部310を備える更新モジュールを追加する場合、追加する更新モジュールに分散情報を配布する必要がある。追加する更新モジュールに分散情報を配布する方法については、特許文献2の64ページから79ページに詳しく説明されている。ここで、特許文献2における秘密鍵dを、本実施形態の暗復号鍵に対応させ、分散情報保持装置を、本実施形態の更新モジュール131、132、133に対応させることで、特許文献2と同じ方法が利用可能である。なお、追加する更新モジュールに分散情報を配布する場合、追加する追加用更新モジュール以外に、正当な更新モジュールが最低3つ必要である。保護制御モジュール120を使用する場合は、初期設計時と同じ方法で再度分散情報を生成し、配布すればよい。
【0196】
以上説明したように、本実施形態によると、更新モジュールを追加することにより、機器100内の更新モジュールの数を一定数に保つことが可能となり、更新モジュールの改ざんを更新モジュール群130内で安定して検証することができる。これにより、ソフトウェア更新システムの信頼性を高めることができる。
21.監視パターン更新処理
ここでは、ソフトウェア更新システム10における監視パターン更新処理について説明する。監視パターン更新処理は、更新モジュールの無効化処理や追加処理を行った後に、監視パターンを更新する必要あると判断された場合、機器100内部の更新モジュール群130の監視パターンを更新する処理である。
【0197】
具体例として、図40において、更新モジュールAを無効化し、更新モジュールDを追加した場合に、監視パターンを更新する処理について説明する。
図40Aに示すように、更新モジュールAが更新モジュールBを監視し、更新モジュールBが更新モジュールCを監視し、更新モジュールCが更新モジュールAを監視しているとする。
【0198】
この状態で、更新モジュールAを無効化し、更新モジュールDを追加した場合を考える。更新モジュールAは無効化されるため、更新モジュールBはどの更新モジュールからも監視されなくなる。また、更新モジュールDは新たに追加したため、どの更新モジュールからも監視されない。そこで、監視パターンの更新処理を行う必要がある。
更新する監視パターンとして、例えば、図40Bに示すように、更新モジュールBが更新モジュールCを監視し、更新モジュールCが更新モジュールDを監視し、更新モジュールDが更新モジュールBを監視するという監視パターンに更新する。
【0199】
このように、無効化処理や追加処理の後に監視パターンを更新することにより、どの更新モジュールからも監視されない更新モジュールを無くし、すべての更新モジュールが監視される状態を保つことが可能となる。
また、更新サーバ200から、逐次監視パターンを変更できるので、監視パターンを見破られて、更新モジュールが改ざんされるのを防止することができる。その結果、不正な更新モジュールを介して保護制御モジュール120が改ざんされるのを防止し、不正な保護制御モジュールによってアプリ(110、111)が攻撃されるのを防止することができる。
【0200】
22.更新サーバ200が保持する判断基準
実施の形態1では、機器100の状態に応じて、機器100が行う処理の処理順序が異なる。管理サーバ200の判断部210は、機器100にどの処理を優先させるか、判断基準を用いて判断する。
具体的に、判断部210は、保護制御モジュール120が改ざんされているときに機器100が行う処理の優先順位と、保護制御モジュール120が改ざんされていないときに機器100が行う処理の優先順位とを対応付けた判断基準を保持している。
【0201】
図41は、保護制御モジュール120が改ざんされていない場合の処理順序を示す図である。保護制御モジュール120が改ざんされていない場合、機器100は、更新モジュールの無効化処理、追加処理、監視パターン更新処理の順序で行う。
例えば、通常時判断処理において、更新モジュール133が改ざんされていると判断された場合、機器100は、更新モジュール133の無効化処理を行い、更新モジュール133を無効化したことにより、更新モジュールの数が所定値以下となる場合には、更新モジュールの追加処理を行う。また、無効化された更新モジュール133が監視をしていた更新モジュールや、新たに追加された更新モジュールを監視するために、監視パターンの更新を更新する。
【0202】
図42は、保護制御モジュールが改ざんされている場合の処理順序を示す図である。保護制御モジュール120が改ざんされている場合、回復時相互監視処理で更新モジュール133が改ざんされていることを検知しても、更新モジュール133の無効化処理に優先して、保護制御モジュール120の回復処理を行う。
更新モジュール133の無効化処理に優先して、保護制御モジュール120の回復処理を行うことにより、更新モジュール133の無効化処理中に、改ざんされた保護制御モジュール120を介して、本来保護されるべきアプリ(110、111)が攻撃されるのを防止することができる。
【0203】
機器100は、保護制御モジュール120の回復処理が完了した後に、更新モジュール133の無効化処理を行う。さらに、必要に応じて、更新モジュールの追加処理及び監視パターン更新処理を行う。
(実施の形態2)
実施の形態1では、ある更新モジュールが無効化されることによって、他の更新モジュールから監視されない更新モジュールが存在してしまうことのないよう、監視パターンの更新処理(S3402)を行っていた。本実施の形態では、さらに、監視モジュールにおいて監視パターンの更新処理が確実に行われたか否かを他の更新モジュールが検証し、更新後の監視パターンが常に用いられることを保証する。これにより、古い監視パターンに基づき他の更新モジュールから一切監視されていないなど不正な動作をしうる更新モジュールが動作してしまうのを避けることができる。さらに、本実施の形態では、更新サーバ200の監視パターン更新部250が、更新モジュール131〜133の構成に応じた適切な監視パターンを生成している。以下、それぞれの詳細について説明する。なお、実施の形態1と同じ構成要素については同じ符号を用いるものとし、実施の形態1で既に説明した処理についての説明は省略する。
【0204】
23.各部の構成
まず、更新モジュール131〜133の構成について説明し、次に、監視パターン更新部250の構成について説明する。
図43は、本発明の実施の形態2における更新モジュール131〜133の構成を示す図である。
【0205】
更新モジュール本体は、図8に示した実施の形態1の更新モジュール本体の構成要素に加え、監視パターン更新検証部311、モジュール機能通知部312、機能情報保持部313を備える。
監視パターン更新検証部311は、他のモジュールの監視パターン本体を取得し、取得した監視パターンを用いて、他のモジュールが正しい監視パターンに更新したか否か検証する。ここで、検証対象となるのは、自身の監視パターン本体に記述されている監視先の更新モジュールである。また、検証には、更新サーバ200から受信した監視パターン情報に含まれる検証値リストを使用する。実施の形態2における検証値リスト中に、自身の監視パターン本体を検証するための検証値、監視パターン本体に記述されている監視先に係る監視パターン本体を検証するための検証値が格納されている。検証値としては、ハッシュ値、MAC値などがあるが、ここでは、一例としてハッシュ値を用いる。
【0206】
ハッシュ値を用いて監視先の監視パターンを検証する際には、まず監視先の監視パターン本体を取得してハッシュ値を算出し、算出したハッシュ値と、自身の監視パターン情報に含まれる監視先の検証値とを比較することで行う。比較の結果一致した場合、正しい監視パターンに更新されたと判定する。
機能情報保持部313は、各更新モジュールが、検証(監視)機能、更新機能、分散情報保持機能の3つの機能のうちいずれを有しているかを示す機能情報を保持している。更新モジュール本体は、3つの機能のうち少なくとも1つを有していればよい。
【0207】
モジュール機能通知部312は、機能情報保持部313が保持する機能情報を更新サーバ200へ通知する。
図44は、監視パターン更新検証についての更新モジュール相互の対応関係を模式的に示す図である。図44は、具体的には、3つの更新モジュール(更新モジュール1、更新モジュール2、更新モジュール3)が機器100内に存在する場合について示している。
【0208】
それぞれの更新モジュールは、まず、自身の監視パターンを、更新サーバ200から通知された監視パターンに更新する。次に、各監視モジュールは、他の更新モジュールが正しく監視パターンを更新したか否かを検証する。監視対象がいずれの更新モジュールであるかは、自身の監視パターン本体に記述されている。図44の例では、更新モジュール1に係る更新後の監視パターンは、更新モジュール1が更新モジュール2と更新モジュール3を監視すべきことを示している。また、更新モジュール2に係る更新後の監視パターンは、更新モジュール2が更新モジュール1を監視すべきことを示し、更新モジュール3に係る更新後の監視パターンは、更新モジュール3が更新モジュール2を監視すべきことを示している。
【0209】
監視パターンの検証には、監視パターン本体と一緒に更新サーバ200から送信されてきた検証値リストを使用する。検証値リストには、監視パターンの検証に利用する検証値が格納されている。
図44の例では、更新モジュール1の検証値リストには、更新モジュール2と更新モジュール3の監視パターンの更新を検証するための検証値が格納されている。また、更新モジュール2の検証値リストには、更新モジュール1の監視パターンの更新を検証するための検証値が格納され、更新モジュール3の検証値リストには、更新モジュール2の監視パターンの更新を検証するための検証値が格納されている。
【0210】
次に、監視パターン更新部250について説明する。
図45は、監視パターン更新部250の構成を示すブロック図である。
図45に示すように、本実施の形態に係る監視パターン更新部250は、図15を用いて説明した実施の形態1に係る監視パターン更新部250の構成要素に加え、機能情報取得部1006、更新完了判定部1007を備える。
【0211】
機能情報取得部1006は、機器100内の更新モジュール131〜133それぞれがどのような機能を持っているかを示す情報(機能情報)を、それぞれの更新モジュールから取得する。機能情報は、具体的には、更新モジュールが備え得る機能である検証(監視)機能、更新機能、分散情報保持機能のうち1つ以上を示す。
監視パターン生成部1003は、機能情報取得部1006が取得した機能情報に基づいてまず監視モジュール群全体の新たな監視パターンを生成する。監視パターン生成部1003は、各監視モジュールが、少なくとも1つの他の監視モジュールから監視されることとなるように監視パターンを生成する。監視パターンの一例については、図61を用いて説明する。
【0212】
図61は、新たな監視パターンに従って、各更新モジュールが、他のいずれの更新モジュールを監視するかを模式的に示している。なお、これまで、更新モジュールは3個(更新モジュール131〜133)の例で説明しているが、図61においては、更新モジュールのバリエーションを増やすために更新モジュールが7個(更新モジュール131〜137)の例で説明している。ここで、図中の更新モジュールにおいては、検証(監視)機能を有するものには、その機能を実現する監視部を図中に記載しており、更新機能を有するものにはその機能を実現する更新部を記載している。また、検証(監視)機能、更新機能の両方を有する更新モジュールについては、監視部、更新部の両方を記載している。なお、上述の更新モジュールの説明では、各更新モジュールが、監視部、更新部の双方を有する構成で説明していたが、監視部、更新部のいずれか一方しか有しない更新モジュールが混在していてもよいこととしている。
【0213】
また、図61の監視パターンは以下に示す規則に従い構成されている。
まず、監視部のみを有する更新モジュール131、132、135、137は、監視部を有する最低1つ以上の他の更新モジュールから監視される。また、更新部のみを有する更新モジュール133、136は、監視部を有する2以上の更新モジュールから監視される。そして、監視部と更新部の両方を有する更新モジュール134は、自モジュール以外の全ての監視部から監視される。この規則は、他のモジュールの更新を行う更新部は、他のモジュールの不正動作を監視する監視部よりも厳格に管理される必要があり、監視部、更新部の両方を有する監視モジュールは、更新部のみを有するものよりもさらに厳格に管理されるべきことに基づいている。
【0214】
なお、監視するモジュールが増すほど、監視されるモジュールの安全性は増すが、各モジュールの処理は複雑になり、プロセッサ等ハードウェアの処理負担も増す。よって、監視パターンは、システムの処理性能等に応じて最適なパターンを生成すればよい。
また、回復処理時には、更新機能が正しく動作する必要があるため、回復処理時に用いる監視パターンとして、更新機能を持つ更新モジュールが多くの更新モジュールから監視され、検証(監視)機能と更新機能を持つ更新モジュールは他の更新モジュールを監視しないような監視パターンを生成するとしてもよい。このように、監視パターンは1パターンに限らず複数パターンを保持しておき、各処理、場面等に応じた監視パターンを使い分けることとしてもよい。
【0215】
次に、監視パターン分割部1004は、監視パターン生成部1003が生成した新監視パターン(全体)を、個々の更新モジュール毎の監視パターンに分割し、更新モジュール毎の新監視パターンを生成する
図61に示す例の場合、更新モジュール131は、更新モジュール133、134を監視するので、更新モジュール131に係る新監視パターンには更新モジュール133及び134を識別する識別子が記載される。また、更新モジュール134については、更新モジュール133、136、137を監視するので、更新モジュール134に係る新監視パターンには、更新モジュール133、136、137のそれぞれを識別する識別子が記載される。
【0216】
更新完了判定部1007は、更新モジュール131〜133の相互監視結果(監視パターン更新検証結果等)を受信し、すべての更新モジュールにおいて、監視パターンが正しく更新できたかどうかを判定する。正しく更新できたと判定できた場合には、監視パターン更新処理を終了する。正しく更新できていない場合には、再度、監視パターン更新処理を実施する。ここで、更新モジュール13xのそれぞれは、監視パターン更新処理において、更新前の更新パターンをバックアップしておいてもよい。そして、全ての更新モジュールにおいて監視パターンが正しく更新できたと確認できた場合に、バックアップしていた更新パターンを削除することとしてもよい。
【0217】
24.監視パターン更新処理の動作
ソフトウェア更新システム10における監視パターン更新処理の動作について図46のフローチャートを用いて説明する。
更新サーバ200の判断部210により、監視パターンの更新が必要と判断された場合(S3401)に、更新サーバ200の監視パターン更新部250と、機器100内部の更新モジュール131〜133において監視パターンの更新処理が開始される。
【0218】
まず、更新サーバ200の監視パターン更新部250における機能情報取得部1006が、監視パターンを生成するために必要な、更新モジュールの機能情報を取得するために、機器100内のすべての更新モジュールに対して機能情報通知依頼を行う(S8001)。
機能情報通知依頼を受けた更新モジュール131〜133において、モジュール機能通知部311が機能情報保持部312に保持している機能情報を取得し、監視パターン更新部250へ通知する(S8002)。
【0219】
機能情報の通知を受けた監視パターン更新部250は、その機能情報を元に、監視パターン生成部1003により新監視パターン(全体)を生成する。
次に、監視パターン分割部1004は、監視パターン生成部1003が生成した新監視パターン(全体)を、個々の更新モジュール毎の監視パターンに分割し、更新モジュール毎の新監視パターンを生成する(S8004)。生成した新監視パターンは、それぞれの更新モジュールへ送付する(S8005)。
【0220】
新監視パターンを受信したそれぞれの更新モジュールは、各自の監視パターンを更新し、更に他の更新モジュールが正しく監視パターンを更新したかを検証し(S8006)、その結果(相互監視結果)を監視パターン更新部250へ通知する(S8007)。各更新モジュールにおける監視パターンの更新処理(S8006)の詳細は後述する。
相互監視結果の通知を受けた監視パターン更新部250は、更新終了判定部1007により、相互監視結果から正しく監視パターンの更新処理が終了したか否かを判定する。その結果、正しく監視パターンを更新しなかった不正な更新モジュールがあった場合には、その不正な更新モジュール以外の更新モジュールを監視対象とする新監視パターン(全体)を生成する(S8003)。不正な更新モジュールがなかった場合には、更新モジュール131〜133へ監視パターンの更新処理の終了を通知する(S8009)。
【0221】
監視パターンの更新処理の終了通知を受けた更新モジュール131〜133は、他の更新モジュールの監視パターンが更新されているので、それぞれに対応するMAC値を再計算し、MAC値テーブルを更新する(S8010)。
次に、各更新モジュールにおける監視パターンの更新処理(S8006)の詳細について図47のフローチャートを用いて説明する。ここで、以下では、図44の場合と同様に3つの更新モジュールがある場合の処理について説明する。なお、更新モジュールの数や、更新される監視パターンが本説明と異なる場合であっても以下の説明と同様の方法を用い得る。
【0222】
先ず、監視パターン更新部250からそれぞれの更新モジュールへ新監視パターンが通知される。新監視パターンを受信したそれぞれの更新モジュールは、監視パターン更新部309を用いて、自身の監視パターン情報を、受信した新監視パターンへ更新する(S8101)。更新が終了すると、検証リストを用いて、自身の監視パターンが正しく更新されたか検証し、監視パターンの反映終了を更新サーバ200へ通知する(S8102)。
【0223】
更新サーバ200では、監視パターン更新部250が更新モジュールからの監視パターンの反映終了の通知を受け、各更新モジュールへ更新検証を依頼する(S8103)。
更新検証依頼を受けた更新モジュールは、更新した新監視パターン本体に記述されている更新モジュールの監視パターン本体を検証する(S8104)。例えば、図44に示した様に監視パターンが更新されたとすると、更新モジュール1は、更新モジュール2と更新モジュール3の監視パターンの更新を検証し、更新モジュール2は、更新モジュール1の監視パターンの更新を検証し、更新モジュール3は、更新モジュール2の監視パターンの更新を検証する。監視パターン本体の検証には、更新サーバ200から受信した監視パターン情報の検証値リスト内の検証値を利用し、検証を行う。検証が終了すれば、それぞれの更新モジュールは、その検証結果を更新サーバ200へ通知する。
【0224】
監視パターンの更新の検証が終了した更新モジュールは、次に、更新した新監視パターン本体に記述されている更新モジュールの更新モジュール本体を検証する(S8105)。更新モジュール本体の検証には、更新モジュール検証用証明書を利用する。検証が終了すれば、それぞれの更新モジュールはその検証結果を更新サーバ200へ通知する。
以上で、各更新モジュールにおける監視パターンの更新処理は終了する。この後は、上述したように、監視パターン更新部250が相互監視結果として監視パターンの更新検証結果と更新モジュール本体の検証結果を受信し、更新完了判定部1007が更新の完了を判定する処理を行う。
【0225】
(実施の形態3)
上述の実施の形態1では、暗復号鍵に対し秘密分散法を用いて分散情報を生成し、各更新モジュール自身に割り当てられた分散情報を保持するものとしていた。本実施の形態では、各更新モジュールには、各更新モジュール自身に割り当てられた分散情報だけでなく、他の更新モジュールの分散情報をも保持する機能が追加されている。この機能により、一部の更新モジュールが無効化されても、残りの更新モジュールから暗復号鍵を復元しうる。よって、暗復号鍵を復元するために更新モジュールが改ざんされたとしても、改ざんされた更新モジュールを無効化することなく、正常な更新モジュールのみで動作を継続できる。以下、実施の形態3における処理の詳細について説明する。
【0226】
図48は、更新モジュール群130の構成図である。
図49は、自身の分散情報だけでなく、隣接する更新モジュールの分散情報を保持する場合における、分散情報の持ち合いを説明するための図である。
実施の形態3では、更新モジュールは、図48、図49に示すように一例として7つである。
【0227】
本実施の形態でも、実施の形態1で説明した初期設計処理(図18)を行うが、初期設計処理において、保護制御モジュール120が暗復号鍵から秘密分散法を用いて分散情報を生成する(S1002)点が実施の形態1と異なっている。このとき、図49に示すように、各更新モジュールの分散情報と隣接する更新モジュールの分散情報を各更新モジュールへ送信する。例えば、更新モジュール131では、更新モジュール131の分散情報である分散情報1と隣接する更新モジュール2の分散情報2と更新モジュール7の分散情報7を保持する。この処理により、更新モジュール132が改ざんされた場合においても、更新モジュール131が分散情報2を保持しているため暗復号鍵の復元をすることができる。
【0228】
次に、隣接する更新モジュールの分散情報を保持した場合の各判断処理について図面を用い説明する。以下の説明において、実施の形態1と同じ処理については同じ符号を用いることとし、説明については省略する。
25.通常時無効化判断処理
まず、通常時無効化判断処理について説明する。
【0229】
図50は、通常時判断処理の通常時無効化判断処理のフローチャートである。
図50において、実施の形態1の通常時無効化判断処理(図24)と同じ処理については同じ符号を用い、詳細な説明は省略する
図51は、更新モジュール群130のうち、半数以上が危殆化した例を示す図である。
通常時無効化判断処理では、図51に示すように、判断部210が、更新モジュールが半数以上危殆化しているか否かを判定(S3201)し、半数以上危殆化している場合には、判断部210内の指示生成部603で更新モジュール群130全体を更新する指示を生成し、更新モジュール全体を更新する(S3202)。
【0230】
また、判断部210は、更新モジュールの連続3つが危殆化しているかを判定し(S320A)、連続3つが危殆化していた場合には、判断部210内の指示生成部603で更新モジュール群130全体を更新する指示を生成し、更新モジュール全体を更新する。
図52は、更新モジュール群130のうち、更新モジュール131、132、137の3つが危殆化した例を示す図である。ここで、連続3つとは、更新モジュール131、更新モジュール132、更新モジュール137が同じ分散情報1を持つ関係のように、分散情報を保持する更新モジュールの構成において、同じ分散情報を保持する更新モジュールの関係を表す。更新モジュール131、更新モジュール132と更新モジュール137が改ざんされ危殆化した場合、更新モジュール131の分散情報1が取得できず、暗復号鍵の復元をすることができなくなる。そのため、保護制御モジュール120が更新モジュール全体を更新し、暗復号鍵を再分散する必要がある。具体的には、S3202と同様に更新モジュール全体を更新した後に、判断部210が保護制御モジュール120に暗復号鍵の更新と再分散の通知を行う。そして保護制御モジュール120が、現在の暗復号鍵でアプリ(110、111)を復号し、暗復号鍵を更新して、新しい暗復号鍵でアプリを暗号化する。さらに、保護制御モジュール120は、暗復号鍵から秘密分散法を用いて分散情報を生成し、更に署名秘密鍵を用いて暗復号鍵の復元時に正しく復元できたかを確認するための証明書(暗復号鍵証明書)を生成する。生成した分散情報と暗復号鍵証明書と隣接する更新モジュールの分散情報と暗復号鍵証明書をそれぞれ、更新モジュール131〜137へ送信する。
【0231】
なお、暗復号鍵から秘密分散法を用いて分散情報を生成する方式や分散情報を更新モジュールへ送信する方法については、特許文献2の47ページから49ページに詳しく説明されているので説明は省略する。また、特許文献2における秘密鍵dを暗復号鍵に、認証局装置を保護制御モジュール120に、分散情報保持装置を更新モジュール131〜133に対応させることで、特許文献2と同じ方法が利用可能である。
【0232】
また、連続3つが危殆化していないと判断した場合において、隣接する更新モジュールが危殆化していると判定した場合には、更新モジュール全体の更新を行う(S320B)。
図53は、更新モジュール群130のうち、更新モジュール131の隣接する更新モジュール132、137が危殆化した例を示す図である。
【0233】
隣接する更新モジュールが危殆化した場合、特許文献2の脱退処理を行うことができない。この場合、危殆化した更新モジュールの無効化処理を行った後、更新モジュール全体の分散情報を更新する。分散情報を更新する方法は上記の更新モジュール全体の分散情報の更新と同様であるので省略する。
26.回復時判断処理
回復時判断処理(S5103)の詳細について図54を用いて説明する。
【0234】
図54は、回復時相互監視処理の回復時判断処理を示すフローチャートである。図54において、実施の形態1の回復時判断処理(図36)と同じ処理については同じ符号を用いており、重複する説明については省略する。
判断部210は、更新モジュールが半数以上が危殆化しているかを判定し(S5111)、更新モジュールの危殆化が半数未満であった場合、更新モジュールの連続3つが危殆化しているかを判定する(S511A)。更新モジュールの連続3つが危殆化していた場合には、暗復号鍵の復元をすることができなくなるため機器100を停止する。
【0235】
上記のように、更新モジュールAの分散情報を両隣の更新モジュールに保持させることにより、保護制御モジュール120の更新処理中に更新モジュールAが改ざんされたとしても、更新モジュールAの分散情報を両隣の更新モジュールから取得することによって保護制御モジュールの暗復号鍵を復元することができる。また、連続3つの更新モジュールが危殆化しているか否かを判定し、危殆化していた場合には、更新モジュール全体の分散情報を更新することで、保護制御モジュール120の暗復号鍵が復元できない状況を事前に防ぐことができる。これにより、保護制御モジュールの更新処理を正しく行うことができる。
【0236】
(その他の変形例)
なお、本発明を上記実施の形態に基づいて説明してきたが、本発明は、上記の実施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる。
(1)上記実施の形態では、保護制御モジュール120を更新するとしたが、これに限定するものではなく、更新モジュールやアプリ等、保護制御モジュール120以外のモジュールを更新するとしてもよい。以下、更新モジュール133を更新する場合を例に、更新モジュールの更新処理を説明する。
【0237】
更新モジュールの更新処理では、保護制御モジュールを更新する場合と同様に、更新用ソフトウェア配布モジュール210が、新更新モジュール133を複数の鍵を用いて多重に暗号化し、更新モジュール群130に含まれる更新モジュール(更新モジュール133を除く)を送信先として送信する。更新モジュール群130に含まれる更新モジュールは、更新モジュール133を新更新モジュール133に更新する。この時、多重に暗号化された新更新モジュール133を復号するための複数の鍵を、更新モジュール群130に含まれる更新モジュールへ送信するタイミングを更新用ソフトウェア配布部220が制御することで、攻撃者が暗号化されていない新更新モジュール133を入手することを不可能にする。
【0238】
図55〜56は、更新モジュールの更新処理の一例を示すフローチャートである。ここでは、上述したように更新モジュール133を更新するものとする。図55〜56は、基本的には、図33〜34と同様である。異なる点は、更新対象となる更新モジュール133には、更新検証証明書や、復号終了通知、更新終了通知が送信されないことである。
以下、更新モジュール131、132が更新モジュール133を更新する処理を例に、更新モジュールの更新の処理について詳細に説明する。
【0239】
まず、更新用ソフトウェア配布部220は、新更新モジュール133の証明書(更新検証証明書)を証明書生成部408を用いて生成し(S9001)、各更新モジュール131〜132へ送信する(S9002)。この証明書を用い更新モジュール131〜132は、新更新モジュール133が正しくインストールできたか否かを確認できる。更新検証証明書の生成には、署名秘密鍵を利用する。各更新モジュールは、更新検証証明書を受信する。
【0240】
次に、更新用ソフトウェア配布部220は、暗号鍵生成部403を用いて、新更新モジュール133を多重に暗号化するための暗号鍵を2つ(第1の鍵、第2の鍵)生成する(S9003)。そして、暗号化部404を利用して、第2の鍵を用いて新更新モジュール133を暗号化し、暗号化新更新モジュール133を生成する(S9004)。更に暗号化新更新モジュール133に対して、第1の鍵を用いてさらに暗号化し、多重暗号化新更新モジュール133を生成する(S9005)。
【0241】
更新用ソフトウェア配布部220は、更新モジュール群130から一つの更新モジュール(ここでは、更新モジュール131)を選択する(S9006)。更新モジュールの選択では、判断部210内の不正モジュール特定部604に記憶されている危殆化した更新モジュール以外の更新モジュールを選択する。また、選択した更新モジュールの識別子を判断部210に送信する。更新用ソフトウェア配布部220は、選択した更新モジュールに多重暗号化新更新モジュール133を送信する(S9007)。更に、更新モジュール131へ第1の鍵を送信する(S9008)。
【0242】
更新モジュール131は、多重暗号化新更新モジュール133と第1の鍵を受信し(S9009)、第1の鍵を用いて、多重暗号化新更新モジュール133を復号し、暗号化新更新モジュール133を取得する(S9010)。復号が終了すると、その旨を更新用ソフトウェア配布部220へ通知する(S9011)。
更新用ソフトウェア配布部220は、復号終了通知を受信すると、更新モジュール群130から上記とは異なる更新モジュール(ここでは、更新モジュール132)を1つ選択する(S9012)。更新モジュールの選択は、上記と同様に判断部210内の不正モジュール特定部604に記憶されている危殆化した更新モジュール以外の更新モジュールを選択する。更新用ソフトウェア配布部220は、選択した更新モジュールに第2の鍵を送信する(S9013)。さらに、更新モジュール131に対して、暗号化新更新モジュール133を更新モジュール132へ送信するよう依頼する(S9014)。
【0243】
更新モジュール131は、更新用ソフトウェア配布部220からの依頼を受けて、暗号化新更新モジュール133を更新モジュール132へ送信する(S9015)。
更新モジュール132は、更新用ソフトウェア配布部220から第2の鍵を受信し、更新モジュール131から暗号化新更新モジュール133を受信する(S9016)。そして、第2の鍵を用いて、暗号化新更新モジュール133を復号し、新更新モジュールを133取得する(S9017)。
【0244】
更新モジュール132は、取得した新更新モジュール133を更新モジュール133に上書きし、新たな更新モジュール133に更新する(S9018)。そして、更新の終了を更新モジュール133以外の他の更新モジュールへ通知する(S9019)。
更新モジュール131〜132はそれぞれ、事前に受信した更新検証証明書を用いて、更新モジュール133が正しく更新されたかを検証し(S9020)、検証結果を更新用ソフトウェア配布部220へ通知する(S9021)。
【0245】
更新用ソフトウェア配布部220は、各更新モジュールから送信された通知を受信すると、検証結果から更新モジュール133が正しく更新されたかを判定し(S9022)、正しく更新されていない場合には、機器100を停止する(S9023)。
正しく更新されている場合には、更新処理の終了を更新モジュール133以外の各更新モジュールへ通知する(S9024)。
【0246】
更新モジュール131〜132はそれぞれ、更新処理の終了の通知を受けて、更新モジュール133のMAC値を生成し、MAC値テーブルへ更新モジュール133の識別子とMAC値の組を保存する(S9025)。
また、更新モジュールを上書きするとしたが、これに限定するものではなく、改ざんされた更新モジュールを無効化してから、上書きをするとしてもよい。
【0247】
なお、更新モジュールを上書きするとしたが、これに限定するものではなく、保護制御モジュール120やアプリ等、更新モジュール以外のモジュールを上書きするとしてもよい。アプリ100、110は、上述した機能以外の機能を提供するソフトウェアであってもよい。
また、一つでも更新モジュールが改ざんされている場合には、改ざんされていない更新モジュールが全ての更新モジュール及び保護制御モジュール120を更新あるいは上書きするとしてもよい。
【0248】
また、更新用ソフトウェア配布部220は、各更新モジュールから送信された通知を受信すると、検証結果から更新モジュール133が正しく更新されたかを判定し(S9022)、正しく更新されていない場合には、機器100を停止する(S9023)としたが、これに限定するものではなく、再度更新モジュール更新処理を行うとしてもよい。
(2)上記実施の形態では、更新モジュール13x(xは1〜7)は、受信部301、送信部302、制御部303、更新部304、検証部305、MAC値生成部306、MAC値テーブル更新部307、監視パターン取得部308、監視パターン更新部309、分散情報保持部310を含んで構成されるとしたが、これに限定されるものではない。例えば、監視処理に必要な構成要素(制御部303、検証部305、監視パターン取得部308、監視パターン更新部309)のみで構成されるとしてもよい。また、更新処理に必要な構成要素(制御部303、更新部304)のみで構成されるとしてもよい。また、無効化処理に必要な構成要素(制御部303、更新部304)のみで構成されるとしてもよい。さらに、上記の組み合わせから構成されるとしてもよい。
【0249】
この時、更新モジュール群130に含まれる更新モジュール全体として、監視処理と更新処理に必要な構成要素を含むよう構成されていればよい。
(3)上記実施の形態では、更新モジュール13xにおいて検証部305により他の更新モジュールや保護制御モジュール120の改ざんチェックを実行するとしたが、改ざんチェック対象はモジュール全体に限定するものではなく、モジュール内の一部、例えば、特定の機能や関数、鍵等のデータであってもよい。また、一度に改ざん対象全てを改ざんチェックするのではなく、改ざん対象の一部を改ざんチェックするだけでもよい。この場合、改ざん対象を一定のサイズに分割した部分毎に改ざんチェックしてもよいし、機能や関数単位で分割した部分毎に改ざんチェックしてもよい。さらに、改ざん対象の一部を、改ざんチェックの度に順番に改ざんチェックするとしてもよいし、改ざんチェックする部分を改ざんチェックの度にランダムに決定してもよし、どの部分を改ざんチェックするかを他のモジュールや機器100外部などから指定されることとしてもよい。
(4)上記実施の形態では、特に明示はしなかったが、重要度の高いモジュールについて、耐タンパ化された領域など、攻撃者による攻撃から保護されている領域で動作させることとしてもよい。例えば、更新モジュール13xや保護制御モジュール120を、上述のような保護されている領域で動作させてもよい。監視処理に必要な構成要素のみで構成される更新モジュールが、攻撃者による攻撃から保護されている領域で動作する場合には、他の更新モジュールや判断部210は、その保護された領域にある更新モジュールから、他の更新モジュールや保護制御モジュール120が攻撃されたことを検知した旨の通知を受けたときに、その通知を無条件に受け入れ、更新処理や無効化処理を実施することとしてもよい。また、その通知を他のモジュールからの通知よりも重要な通知として扱い、更新処理や無効化処理の判断を行ってもよい。
【0250】
また、保護制御モジュールは、保護モード(耐タンパ化された領域等)で動作し、更新モジュールは、通常モード(耐タンパ化されていない領域等)で動作するとしてもよい。
(5)上記実施の形態では、モジュール無効化部230は、更新サーバ200にあり、アクセス制御モジュール140は、機器100にあるとしたが、これに限定するものではない。例えば、モジュール無効化部230とアクセス制御モジュール140とはそれぞれ、機器100にあってもよいし、更新サーバ200にあってもよいし、各更新モジュール内にあってもよい。また、アクセス情報取得鍵配布モジュール220とアクセス制御モジュール140とは、別々のモジュールではなく1つのモジュールであってもよい。モジュール無効化部230とアクセス制御モジュール140とが1つのモジュールである場合には、更新モジュールへアクセス情報取得鍵と暗号化アクセス情報とを送信するのではなく、アクセス情報を直接送信してもよい。さらに、モジュール無効化部230やアクセス制御モジュール140が機器100内にあるときには、耐タンパ化などにより攻撃から保護される領域にあるとしてもよい。
(6)上記実施の形態では、更新サーバ200は、判断部210と更新用ソフトウェア配布部220、モジュール無効化部230、モジュール追加部240、監視パターン更新部250、通信部260とから構成されるとしたが、これに限定するものではなく、判断部210と更新用ソフトウェア配布部220、モジュール無効化部230、モジュール追加部240、監視パターン更新部250、通信部260が、1つのモジュールであってもよいし、どれか1つのモジュールのみで構成されてもよいし、上記の組み合わせから構成されるとしてもよい。
(7)上記実施の形態では、ソフトウェア更新システム10は、機器100の工場製造時に初期設計処理を行うとしたが、これに限定するものではなく、販売後など工場出荷後のどこかで初期化処理を実施してもよい。また、初期化処理は1度だけでなく、2度以上実施してもよい。
(8)上記実施の形態では、初期設計処理の動作として、検証用証明書及び認証鍵証明書は、更新用ソフトウェア配布部220が保持する署名秘密鍵を用いて生成された証明書であるとしたが、これに限定するものではなく、それぞれ別の鍵を用いて生成されてもよいし、更新用ソフトウェア配布部220以外の証明書発行装置により発行された証明書でもよい。
【0251】
(9)上記実施の形態では、初期設計処理や次ラウンド準備処理の動作として、暗復号鍵から生成する分散情報を更新モジュール13xへ送信し、更新モジュール13xが分散情報を保持するとしたが、これに限定するものではなく、更新モジュールの代わりにアプリが保持するとしてもよいし、更新モジュール13xとアプリとが保持するとしてもよい。
(10)上記実施の形態では、検知処理の動作として、更新モジュール13xが保護制御モジュール120の改ざん検出を行うときに、検証鍵を使用して計算したMAC値を用いて改ざん検出処理を行うとしたが、これに限定するものではなく、保護制御モジュール120の改ざん検出用証明書を用いて検証するとしてもよい。また、MAC値や証明書のようにハッシュ値を利用した改ざん検証を行うのではなく、ログをチェックすることで改ざん検証を行うとしてもよい。
(11)上記実施の形態では、検知処理の動作として、更新モジュール13xが保護制御モジュール120の改ざんを検出した場合、判断部210と他の更新モジュールへ通知するとしたが、これに限定するものではなく、判断部210と他の更新モジュールのうち、どれか1つ以上のモジュールに通知するとしてもよい。また、保護制御モジュール120の改ざんを検出した場合、更新モジュールを停止するとしてもよいし、機器100や保護制御モジュール120を停止するとしてもよい。更に、改ざんされた保護制御モジュールを消去するとしてもよい。さらに、更新モジュール131〜133が保護制御モジュール120の改ざんを検出しなかった場合、更新用ソフトウェア配布モジュール210へ通知を行わないとしたが、これに限定するものではなく、改ざん検出処理を実施した結果として、改ざんを検出しなかった旨を通知するとしてもよい。
(12)上記実施の形態では、検知処理の動作として、更新モジュール13xは、他の更新モジュールに保護制御モジュールの改ざん検出結果を送信しないとしたが、それぞれの更新モジュールで検出結果を共有するとしてもよい。また、検出結果を共有しない更新モジュールがあった場合に、当該更新モジュールを不正な更新モジュールと判断して無効化するとしてもよい。
(13)上記実施の形態では、解析・判断処理の動作として、改ざん情報に基づいて保護制御モジュール120を更新するかどうか判定するとしたが、これに限定するものではなく、改ざんされていると通知してきた更新モジュールの数によって更新するか否かを判定してもよい。また、解析・判断時の動作として、保護制御モジュール120を更新するか否か、及び保護制御モジュール120を無効化するか否かを判断したが、これに限定するものではなく、機器100を停止するか否かを判断するとしてもよい。
(14)上記実施の形態では、相互認証処理の動作として、更新モジュール131〜133が更新用ソフトウェア配布部220を認証し、その後、更新用ソフトウェア配布部220がそれぞれの更新モジュール131〜133を認証するとしたが、これに限定するものではなく、更新用ソフトウェア配布部220がそれぞれの更新モジュール131〜133を認証し、その後、更新モジュール131〜133が更新用ソフトウェア配布部220を認証してもよいし、それぞれの更新モジュール131〜133と更新用ソフトウェア配布部220とが個別に認証処理を行ってもよい。
(15)上記実施の形態では、相互認証処理の動作として、更新用ソフトウェア配布部220がそれぞれの更新モジュール13xを認証する処理において、チャレンジデータをそれぞれの更新モジュールで異なる値にするとしたが、これに限定するものではなく、チャレンジデータを全ての更新モジュールで同じ値としてもよいし、更新モジュール13xを複数のグルーブに分けた場合のそれぞれのグループで異なる値にしてもよい。
(16)上記実施の形態では、相互認証処理の動作として、それぞれの更新モジュール13xが、更新用ソフトウェア配布部220を認証する処理において、それぞれの更新モジュール13xが個別に更新用ソフトウェア配布部220を認証するとしたが、これに限定するものではなく、署名検証した結果を他の更新モジュールへ通知し、更新モジュール間で検証結果を共有し、自更新モジュールの認証結果と他の更新モジュールから受信した認証結果とから、更新用ソフトウェア配布部220が正当かどうかをそれぞれ判定してもよい。判定方法としては、例えば、一定数(例えば、過半数等)の更新モジュールが認証に成功した場合には正当であると判定し、認証に成功しなかった場合には、正当ではないと判定する方法がある。
【0252】
(17)上記実施の形態では、相互認証処理の動作として、更新サーバ200は署名秘密鍵と署名公開鍵とを使用して相互認証処理を実施するとしたが、これに限定するものではなく、署名秘密鍵と署名公開鍵とは別に、相互認証に使用する認証鍵対を用いるとしてもよい。この時、更新サーバ200の認証鍵対のうちの認証公開鍵は、予め更新モジュール13xで保持するとしてもよいし、相互認証処理時に更新サーバ200から更新モジュール13xへ送信するとしてもよい。
(18)上記実施の形態では、相互認証処理の動作として、正当なモジュールであると検証できた更新モジュールが、回復処理に必要な数以上あるかどうかで、その後の回復処理を実施するかどうか判定したが、これに限定するものではなく、不正な更新モジュールの数が、予め設定されている許容数未満かどうかで回復処理を実施するかどうか判定してもよい。また、相互認証処理において、回復処理に必要な数に満たないと判定した場合には、機器を停止するとしたが、更新モジュールを無効化してもよい。
(19)上記実施の形態では、相互認証処理の動作として、更新用ソフトウェア配布モジュール210がそれぞれの更新モジュール131〜133を認証する時に、更新モジュール131〜133は、レスポンスデータと一緒に認証公開鍵と認証鍵証明書とを更新用ソフトウェア配布部220へ送信するとしたが、これに限定するものではなく、それぞれ別のタイミングで送信してもよい。また、認証公開鍵や認証鍵証明書は、更新用ソフトウェア配布部220から要求があったときにのみそれぞれ送信するとしてもよい。この時、更新用ソフトウェア配布部220は、全ての更新モジュールの認証公開鍵や認証鍵証明書を受信してもよいし、予め設定されている、回復処理に必要な数以上、或いは予め設定されている、不正な更新モジュールの許容数未満の更新モジュールの認証公開鍵と認証鍵証明書とを受信してもよい。
(20)上記実施の形態では、回復処理の動作として、監視処理を1回の復号中(監視3−1、3−2、5−1、5−2)に2回実施するとしたが、これに限定するものではなく、復号処理の時間にあわせて監視処理を3回以上行ってもよいし、復号処理以外であっても、鍵や更新用保護制御モジュールの受信処理時や検知処理時、相互認証処理時に監視処理を行ってもよい。また、監視処理を一定時間間隔で定期的に実施するとしたが、これに限定するものではなく、更新処理を複数のブロックに分割し、その処理ブロックの処理が終わるごとに実施してもよいし、ランダムな時間間隔で実施してもよいし、更新サーバ200から指定された時間間隔で実施してもよい。
【0253】
また、各更新モジュールは、監視処理を実行するタイミングを示す同期情報を外部のサーバから取得し、取得した同期情報にしたがって監視処理を実行するとしてもよい。これにより、各更新モジュールは、他の更新モジュールと同じタイミングで監視処理を実行することができるので、不正な更新モジュールの検出精度を向上させることができる。
さらに、通常時と回復処理時とにおける検知頻度を変更するとしてもよい。例えば、通常時より回復処理時の検知頻度を高くすることにより、回復処理中の保護制御モジュールの保護に万全を期すことができる。検知頻度の変更は、回復処理中であってもよい。
(21)上記実施の形態1や実施の形態2では、回復処理の動作として、監視処理のパターンは、更新モジュール131が更新モジュール132の改ざん検出を行い、更新モジュール132が更新モジュール133の改ざん検出を行い、更新モジュール133が更新モジュール131の改ざん検出を行うものであったが、これに限定するものではない。例えば、更新モジュール131が更新モジュール133の改ざん検出を行い、更新モジュール132が更新モジュール131の改ざん検出を行い、更新モジュール133が更新モジュール132の改ざん検出を行うなど、予め決められたパターンで改ざん検出するとしてもよいし、どの更新モジュールの改ざん検出を行うかをランダムに決定してもよいし、他のモジュールや機器100外部から与えられるとしてもよい。また、各更新モジュールは、当該更新モジュール(自更新モジュール)が改ざんされていないかを検証するとしてもよい。さらに、自更新モジュールの改ざんを検出した場合に、自更新モジュール自身を無効化するとしてもよい。更に、複数の監視パターンを保持している場合、全ての更新モジュールが他の更新モジュールから監視される必要はなく、ある監視パターンでは、他の更新モジュールから監視されない更新モジュールがあってもよい。また、全ての更新モジュールは、複数の更新モジュールから監視されてもよい。また、監視処理のパターンを変更する場合は、改ざん検出の処理毎など、一定の間隔で変更するとしてもよいし、ランダムなタイミングで変更するとしてもよいし、他のモジュールや機器100外部から与えられたタイミングで変更するとしてもよい。また、複数の更新モジュールは、改ざん検出の結果を、更新サーバ200により指定される順序で、更新サーバ200に送信してもよい。
(22)上記実施の形態1や実施の形態2では、回復処理の動作として、監視処理時に、更新モジュール131が更新モジュール132の改ざん検出を行い、更新モジュール132が更新モジュール133の改ざん検出を行い、更新モジュール133が更新モジュール131の改ざん検出を行うというように、全ての更新モジュールが監視処理を行うとしたが、これに限定するものではなく、一つの更新モジュールが更新処理を実施し、他の更新モジュールが監視処理を実施してもよい。このときの監視パターンとしては、更新処理を行っている更新モジュールを、1つの更新モジュールが監視してもよいし、複数または全ての更新モジュールが監視してもよい。例えば、更新モジュール131が更新モジュール132の改ざん検出を行い、更新モジュール132が更新モジュール133の改ざん検出を行い、更新モジュール133が更新処理を行う。これにより、更新処理を中断することなく監視処理も実施できる。
【0254】
また、上記実施の形態1や実施の形態2では、更新モジュール131が更新モジュール132の改ざん検出を行い、更新モジュール132が更新モジュール133の改ざん検出を行い、更新モジュール133が更新モジュール131の改ざん検出を行うというように、監視構成としてループ方式を用いたが、複数の更新モジュールの各々が相互に監視し合う構成としてもよいし、それらを組み合わせてもよい。複数の更新モジュールの各々が相互に監視し合う構成とすることにより、改ざん検証精度をさらに高めることができる。
(23)上記実施の形態では、回復処理の動作として、更新モジュール132は、取得した更新用保護制御モジュール121を保護制御モジュール120に上書きし、保護制御モジュール120を更新するとしたが、これに限定するものではなく、更新用ソフトウェア配布モジュール210から保護制御モジュール120と更新用保護制御モジュール121との差分を取得し、差分のみを更新するとしてもよいし、更新用保護制御モジュール121を保護制御モジュール120とは別の領域へ書き込み、保護制御モジュール120に代わって、更新用保護制御モジュール121が実行されるようにしてもよい。
(24)上記実施の形態では、回復処理の動作として、監視処理により更新モジュール13xの改ざんが検出された場合、改ざん検出の通知を受けた判断部210は、直ちに回復処理を停止するとしたが、これに限定するものではなく、更新用ソフトウェア配布部220から更新モジュールへ、鍵などのデータを次に送信するタイミングで回復処理を停止するとしてもよい。また、回復処理を停止するのではなく、改ざんされた更新モジュールを使用せずに、正常な更新モジュールを用いて回復処理を行うとしてもよい。また、監視処理により改ざんが検出された場合だけでなく、検知処理時に保護制御モジュール120によって改ざんが検出された更新モジュールや、相互認証処理時に認証に失敗した更新モジュールについても同様に、当該更新モジュールを使用せずに回復処理を行うとしてもよい。さらに、改ざんされた更新モジュールが存在する場合には、保護制御モジュールの更新を行わないとしてもよい。
(25)上記実施の形態では、回復処理の動作として、更新処理において復号に使用する更新モジュールを、更新用ソフトウェア配布部220が更新モジュール群130から一つ選択するとしたが、その選択方法は、予め決められた更新モジュールを選択するとしてもよいし、ランダムに決定するとしてもよいし、機器100から通知された情報を元に決定するとしてもよいし、相互認証時に認証した順番に応じて選択するとしてもよい。
(26)上記実施の形態では、回復処理の動作として、更新処理において更新用ソフトウェア配布部220が更新用保護制御モジュール121を複数の鍵を用いて多重に暗号化するとしたが、これに限定するものではなく、更新用保護制御モジュール121を複数の部分に分割した分割モジュールを生成し、分割モジュールそれぞれを個別に暗号化し、更新モジュールと一対一に対応する形態で、更新モジュールへ送信するとしてもよい。この場合、更新処理としては、暗号化した分割モジュールと暗号に使用した鍵を送信するときに、それらを1度に全て送信するのではなく、1つの暗号化した分割モジュールの復号処理が終了するまで、他の暗号化した分割モジュールと鍵を送信しないように、更新モジュールへの送信を制御する。別の方法として、暗号化した分割モジュールは1度に更新モジュールへ送信し、それらを復号するための鍵の送信のタイミングのみを制御するとしてもよいし、鍵は1度に更新モジュールへ送信し、暗号化した分割モジュールの送信のタイミングのみを制御するとしてもよいし、全ての鍵と暗号化した分割モジュールを1度に送信するとしてもよい。また、分割モジュールは、1つの鍵で暗号化されるのではなく、複数の鍵を用いて多重に暗号化されてもよい。この場合、鍵や多重暗号化した分割モジュールの送信制御は、更新用保護制御モジュール121を複数の鍵を用いて多重に暗号化した時と同様である。更に、暗号化した分割モジュールとそれを復号する鍵は、1つの更新モジュールへ送信してもよいし、それぞれ別の更新モジュールへ送信し、機器100内部で更新モジュール同士が協調動作するとしてもよい。その際、分割モジュールを受信する前後で監視処理を実施してもよい。また、監視処理により、改ざんされた不正な更新モジュールが検出された場合、次の分割モジュールを送信するタイミングで更新処理を停止してもよい。さらに、複数の更新モジュールは、改ざんされた更新モジュールが存在する場合には、それを更新サーバに通知し、更新サーバは、改ざんされた更新モジュールには復号鍵を送信しないとしてもよい。分割モジュールはそれぞれ異なる暗号鍵で暗号化されていてもよい。
【0255】
(27)上記実施の形態では、回復処理の動作として、暗復号鍵(旧暗復号鍵)で暗号化されたアプリ110、111を新しい暗復号鍵(新暗復号鍵)を用いて再暗号化するとしたが、これに限定するものではなく、再暗号化処理を行わなくてもよい。この時、新暗復号鍵を生成せずに旧暗復号鍵を使い続けるとしてもよいし、旧暗復号鍵と新暗復号鍵を保持しておき、アプリによって使用する鍵を変える構成にしてもよいし、旧暗復号鍵が必要になったときには分散情報から再び生成するとしてもよい。旧暗復号鍵を使用し続ける場合は、保護制御モジュール120が更新される度に旧暗復号鍵が増えることになる。また、各更新モジュールで新暗復号鍵と旧暗復号鍵の分散情報を保持しておく必要がある。
(28)上記実施の形態において、保護制御モジュール121が正しく更新されなかった場合に機器100を停止するとしたが、これに限定するものではなく、再度、相互認証処理及び回復処理を実施するとしても良い。
(29)上記実施の形態において、無効化処理の動作として、アクセス情報は、更新モジュールを消去するための専用ドライバであるとしたが、これに限定するものではなく、更新モジュールを消去するための専用プログラムであってもよいし、更新モジュールを消去するための手順が記された手順書であってもよいし、消去する更新モジュールのアドレスであってもよいし、更新モジュールを消去するプログラムのアドレスであってもよいし、更新モジュールを消去するための機能を動作させるためのレジスタやメモリのアドレスやレジスタやメモリに設定する値であってもよい。また、アクセス情報は、コード部分を消去する旨が記述された情報であってもよい。この場合、コード位置はヘッダに格納されており、ヘッダを参照して消去すべきコード部分を判断するとしてもよい。さらに、アクセス制御モジュール自体が暗号鍵で暗号化されているとしてもよい。その場合には、改ざんされていない更新モジュールは、更新サーバから、アクセス制御モジュールを暗号化した暗号鍵に対応する復号鍵を取得し、取得した復号鍵を用いてアクセス制御モジュールを復号し、改ざんされた更新モジュールに対応するアクセス情報をアクセス制御モジュールから取得し、取得したアクセス情報に基づいて、改ざんされた更新モジュールを無効化するとしてもよい。
(30)上記実施の形態において、無効化処理の動作として、改ざんされた更新モジュール全体を消去するとしたが、これに限定するものではなく、改ざんされた不正な更新モジュールの一部、例えば、他のモジュールを読み込むための読み込み機能など特定の機能や関数、鍵や他のモジュールをアクセスするための情報(チケット、トークン、ソケット)などのデータを消去するとしてもよいし、他のプログラムからアクセスできなくしてもよいし、不活性化してもよいし、更新してもよい。また、改ざんされた更新モジュールを無効化した後、無効化処理を行った更新モジュールは、アクセス制御モジュールに格納されている、無効化した更新モジュールに対応するアクセス情報を消去するとしてもよい。
【0256】
(31)上記実施の形態において、改ざんされた不正な更新モジュールを無効化するとしたが、これに限定するものではなく、改ざんされた不正な更新モジュールを無効化しないとしてもよい。このとき、どのくらいの部分が改ざんされているか、どの部分が改ざんされたか等によって、無効化するかどうかを判断してもよいし、改ざんされた不正な更新モジュールの数によって無効化する更新モジュール数を決めてもよい。
(32)上記実施の形態1や実施の形態2では、更新モジュールの数を3として説明したが、これに限定されるものでなく、更新モジュールは、複数あればよい。
(33)上記実施の形態では、アクセス制御モジュール140及び更新モジュール群130は、OS150の中に組み込まれているとしたが、更新モジュールがOSを更新する機能を備えている場合等には、更新モジュールは、OSの管理外にプログラムとして格納されているとしてもよい。また、保護制御モジュールがOSに組み込まれているとしてもよい。
(34)機器100は、具体的には、携帯電話等の携帯端末やデジタルテレビ等、双方向のデータ通信が可能な機器であればよい。
(35)上記実施の形態では、アクセス情報は、更新モジュール毎にそれぞれ個別のアクセス情報取得鍵で暗号化されているとしたが、同一のアクセス情報取得鍵で暗号化されているとしてもよい。その場合には、正常な更新モジュールが更新サーバにアクセスして、アクセス情報取得鍵に対応した復号鍵を取得し、取得した復号鍵を用いてアクセス制御モジュールを復号し、アクセス制御モジュールから、改ざんされた更新モジュールに対応するアクセス情報を取得し、取得したアクセス情報に基づいて、改ざんされた更新モジュールを無効化するとしてもよい。
(36)上記実施の形態では、保護制御モジュールが改ざんされている場合に、当該保護制御モジュールを更新し、その際、更新モジュール群に含まれる複数の更新モジュールの各々が、他の更新モジュールの改ざん検証を行うとしたが、改ざんの有無に関わらず、例えば、保護制御モジュールのバージョンをアップさせる場合等において改ざん検証を行うとしてもよい。
(37)上記実施の形態では、更新用の保護制御モジュールは、複数の暗号鍵で暗号化されていたが、一つの暗号鍵で暗号化されているとしてもよい。その場合、当該暗号鍵に対応する復号鍵が複数に分割され、分割された復号鍵の全てが、改ざんされていない更新モジュールを送信先として送信され、分割された全ての復号鍵を用いて、改ざんされていない更新モジュールは、更新用の保護制御モジュールを復号するとしてもよい。
【0257】
(38)上記実施の形態では、更新モジュール131、132、133が、保護制御モジュール120の改ざん検出を実施しているが、さらに、保護制御モジュール120が各更新モジュールの改ざん検出を実施してもよい。
以下では、保護制御モジュール120が、各更新モジュールの改ざん検出をする処理について説明する。
【0258】
保護制御モジュール120は、更新モジュール131、132、133の改ざんの有無を、改ざん検出用証明書を用いて検証する。更新モジュール131、132、133のうち、何れかの更新モジュールの改ざんが検出された場合には、保護制御モジュール120は、その旨を判断部210に通知する。改ざんが検出されない場合には、判断部210への通知は行わない。
【0259】
保護制御モジュール120から改ざん検出の通知があった場合、判断部210は、保護制御モジュール120自体が改ざんされていないかを確認するために、更新モジュール131、132,133へ、保護制御モジュール120の改ざん検出処理を依頼する。
判断部210から依頼を受けた各更新モジュールは、保護制御モジュール120の改ざん検出を実施し、改ざん検出結果を判断部210へ通知する。なお、保護制御モジュール120が改ざんされていた場合でも、他の更新モジュールへは通知しない。以降の処理は、実施の形態1における検知処理と同様であるので、省略する。
【0260】
次に、保護制御モジュール120が改ざんされているか否かを判断するために保護制御モジュール120による各更新モジュールの改ざん検出結果を用いる例について説明する。
上述したように、検知処理時に、保護制御モジュール120が、各更新モジュール131、132、133の改ざん検出を実施する。保護制御モジュール120は、更新モジュールの改ざんを検出した場合、その旨を判断部210に通知する。
【0261】
通知を受けた判断部210は、各更新モジュール131、132、133へ、相互監視を依頼し、各更新モジュールは相互に改ざん検出を実施する。
判断部210は、各更新モジュールから相互監視の結果を受け取ると、相互監視の結果から、保護制御モジュール120が改ざんを検出した更新モジュールは、改ざんされているか否かを判断する。
【0262】
相互検視の結果から、前記更新モジュールが改ざんされていると判断する場合、判断部210は、保護制御モジュール120は、正当であると判断する。一方、相互監視の結果から、前記更新モジュールが改ざんされていないと判断する場合、判断部210は、保護制御モジュール120は、不正であると判断する。
例えば、保護制御モジュール120が、更新モジュール132の改ざんを検出した場合に、相互監視によっても、同様に、更新モジュール132は改ざんされていると判断された場合、保護制御モジュール120による検出結果は、正しかったことが証明されるので、保護制御モジュール120は改ざんされていないことがわかる。一方、相互監視の結果、更新モジュール132は改ざんされていないと判断された場合、保護制御モジュール120による検出結果は正しくなかったことが証明されるので、保護制御モジュールは改ざんされていることがわかる。
(39)上記実施の形態では、各更新モジュールに保護制御モジュール120を更新するための機能を予め保持させていたが、これに限定するものではなく、保護制御モジュールの改ざんを検出し、保護制御モジュール120を更新する必要が生じたときに、保護制御モジュール120を更新するためのアクセス情報を取得することにより、保護制御モジュール120を更新する機能を更新モジュールに付加するとしてもよい。このとき、モジュール無効化部230は、アクセス情報取得鍵保持部803に加え、保護制御モジュール120を更新するためのアクセス情報取得鍵を保持している。また、アクセス制御モジュール140は、各更新モジュールのアクセス情報に加え、保護制御モジュール120の暗号化アクセス情報を保持している。
【0263】
更新モジュールに保護制御モジュールを更新する機能を付加する処理を説明する。実施の形態1と同じ処理については同じ符号を用いる。更新処理において、更新用ソフトウェア配布部220が更新用保護制御モジュール121を複数の鍵を用いて多重に暗号化し、多重暗号化更新用保護制御モジュールと第1の鍵とを、更新モジュール群130に含まれる更新モジュール131に送信する(S5001からS5009)。更新モジュール群130に含まれる更新モジュールは、更新用ソフトウェア配布部220から第2の鍵を受信し、多重暗号化された更新用保護制御モジュールを復号し、更新用保護制御モジュールを取得する(S5012からS5016)。
【0264】
更新用保護制御モジュールを取得後、更新モジュール132は、保護制御モジュール120を更新用保護制御モジュール121へ更新するために、モジュール無効化部230に対し保護制御モジュール120を更新するためのアクセス情報取得鍵を送付するよう依頼する。さらに、アクセス制御モジュール140に対し保護制御モジュール120を更新するためのアクセス情報を送信するよう依頼する。
【0265】
モジュール無効化部230は、アクセス情報取得鍵の送付依頼を受けると、依頼元の更新モジュールが保護制御モジュール120を更新する更新モジュールであるかどうかを、更新用ソフトウェア配布部220に問い合わせ、保護制御モジュール120を更新する更新モジュールであった場合には、依頼元の更新モジュール132へ、保護制御モジュール120を更新するためのアクセス情報取得鍵を送付する。
【0266】
アクセス情報モジュール140は、更新モジュール132からアクセス情報の送信依頼を受け付けると、保護制御モジュール120に対応する暗号化アクセス情報を更新モジュール132に送信する。
更新モジュール132は、モジュール無効化部230からアクセス情報取得鍵を受信し、アクセス制御モジュール140から暗号化アクセス情報を受信すると、受信したアクセス情報取得鍵を用いて、暗号化アクセス情報を復号し、アクセス情報を取得する。取得したアクセス情報は、保護制御モジュール120を更新するための専用ドライバである。更新モジュール132は、そのドライバを利用して、保護制御モジュール120を更新用保護制御モジュール121へ更新する。そして、更新の終了を他の更新モジュールへ通知する。
【0267】
更新モジュール群130に含まれる各更新モジュールは、保護制御モジュール120が更新用保護制御モジュール121へ正しく更新されたか検証し、正しく更新されている場合には、保護制御モジュール121のMAC値を生成する。
(40)上記実施の形態では、判断基準は判断部210内の判断基準格納部606に格納されているとしたが、これに限定するものではなく、判断基準は更新サーバ200の外部の装置やサーバに格納してもよいし、判断基準を読み込む場合に、その都度外部から取得してもよい。
(41)上記実施の形態では、判断基準は判断部210内の判断基準格納部606に予め格納されているとしたが、これに限定するものではなく、予め格納されている判断基準を更新サーバ200内部で変更してもよいし、外部の装置やサーバから判断基準を取得して変更してもよい。
(42)上記実施の形態では、更新モジュールは監視パターン情報を1つ持つとしているが、監視パターン情報を複数持ってもよい。また、監視パターン情報を複数持つ場合、更新モジュール群130で一斉に監視パターンを切り替えてもよいし、各更新モジュールが個別に判断し切り替えてもよい。切り替えるタイミングは、機器100内で判断してもよいし、更新サーバ200から通知してもよいし、切り替えタイミングを判断するアルゴリズムを更新サーバ200から事前に通知し、そのアルゴリズムを使用して機器100で切り替えタイミングを判断してもよい。また、複数の監視パターン情報と一緒に、監視パターンを切り替えるタイミングやどの監視パターンをいつ使うかの情報を持ってもよい。これにより、機器100と更新サーバ200が通信不可能な状況においても、様々な監視パターンを組み合わせた監視を機器100単独で実施することが可能となる。また、監視パターンの更新が必要になった時に、更新サーバ200から切り替えの指示のみを行えばよいため、機器100と更新サーバ200との通信量を減らすことが可能となる。
(43)上記実施の形態では、監視パターン情報の監視頻度として、監視対象を、監視するタイミングに関する情報から構成されるとしたが、これに限定するものではなく、複数の監視パターンのうち、どの監視パターンを使用するかのタイミングや、監視パターンの選択アルゴリズムを含むとしてもよい。これにより、同じ監視頻度であっても異なる監視パターンを選択することが可能となり、攻撃者による、監視される更新モジュールの予想が困難になる。
(44)上記実施の形態では、監視パターン本体の構造が、先頭にヘッダ情報として監視パターンの数と監視パターンそれぞれのサイズが記述され、それ以降に、監視パターン識別子と監視パターンの組がそれぞれ並ぶ構造になるとしたが、これに限定するものではなく、単に、監視パターン1つを記述するだけでもよいし、監視パターンのサイズを固定長のサイズとし、監視パターン本体にサイズを記述しないとしてもよい。また、ヘッダ情報として監視パターンの数を記述し、それ以降に、サイズと監視パターン識別子、監視パターンの組がそれぞれ並ぶ構造になっていてもよい。更に、複数の監視パターンの並び順は、監視対象であるモジュールに関する情報(モジュール識別子、メモリ上の位置、サイズ、アドレス、ファイル名等)に応じた順番で並べてもよいし、監視パターンのサイズに応じた順番で並べてもよいし、監視パターン識別子に応じた順番で並べてもよいし、それらの情報とは無関係に並べてもよい。但し、ヘッダ情報としてサイズを記述する場合には、サイズの順番と、それに対応する監視パターン識別子と監視パターンの組の順番は一致している必要がある。
【0268】
(45)上記実施の形態では、追加処理の動作として、更新モジュール分割部905が追加処理を実施する更新モジュールの数と同数に分割するとしたが、これに限定するものではなく、更新処理を実施する更新モジュールの数より少なく分割してもよいし、多く分割してもよい。例えば、少ない場合には、分割した追加用更新モジュール(追加用更新モジュール部分)の一部を2以上の複数の更新モジュールに送信し、多い場合には、一部の更新モジュールが複数の追加用更新モジュール部分を受信するとしてもよい。これにより、追加処理を実施する更新モジュールの数と、追加用更新モジュールを分割する数を、異なる数にすることが可能となる。また、1つの追加用更新モジュール部分を複数の更新モジュールに送信することで、どちらか一方の更新モジュールが攻撃され不正なものとなった場合にも、同じ追加用更新モジュール部分を受信した更新モジュールが追加処理を行うことで、更新モジュールの追加処理を継続することが可能になる。さらに、1つの更新モジュールが複数の追加用更新モジュール部分を受信することが可能になるため、追加用更新モジュールを細かく分割し、連続しない複数の追加用更新モジュール部分をそれぞれの更新モジュールへ送信することで、攻撃者による解析を困難にすることが可能となる。
【0269】
さらに、更新モジュール保持部904に、予め分割された追加用更新モジュールを保持してもよい。そのように保持しても、モジュール追加部は、機器100内部の更新モジュールの数によらず、追加処理が可能となる。また、あらかじめ分割方法・分割数が決まっている場合にも、追加処理を実施する更新モジュールの数によらず追加処理を実施することが可能になる。
(46)上記実施の形態では、分割した追加用更新モジュールを受信した各更新モジュールは、それぞれ独立に追加処理を実施するとしたが、これに限定するものではなく、それぞれの更新モジュールが連携して、順番に追加処理を実施するとしてもよい。この場合、図27の追加処理のシーケンス図において、各更新モジュールで追加処理が終了したときに、「追加処理終了通知」をモジュール追加部のみへ通知しているが、この「追加処理終了通知」を他の更新モジュールへも通知することで、他の更新モジュールが何番目の追加処理まで終了したかを認識できるようにする、あるいは、「追加処理終了通知」を次の更新モジュールへ通知することで、順番に処理が可能になるようにする必要がある。
【0270】
追加処理を実行する順番に関しては、例えば、それぞれの更新モジュールに追加処理を行う優先順位を付加し、その優先順位に応じて、更新サーバ200により選択された更新モジュールが順に追加処理を実行してもよい。この時、優先順位はシステム設計時に決定してもよいし、サーバから事前に優先順位が通知されるとしてもよいし、機器内でその都度ランダムに決定されるとしてもよい。また、優先順位ではなく、分割した追加用更新モジュールを各更新モジュールへ送信するときに、処理順番を一緒に送信してもよい。処理順番の決定方法としては、例えば、更新モジュール選択部903が選択したときの順番に応じて追加処理の順番を決定してもよいし、ランダムな順番にしてもよいし、たくさんのモジュールから監視されている更新モジュールの処理順番が後になるように順番を決めてもよい。また、更新モジュール分割部905が追加用更新モジュールを分割するときに、セキュリティ上重要な情報が含まれる部分の処理順番が後になるように順番を決めてもよいし、サイズの大きな部分から順番に追加処理が実施されるように順番を決めてもよい。
【0271】
さらに、機器100の内部で追加処理の順番を認識するのではなく、更新サーバ200が追加処理の順番を認識し、更新サーバ200において機器100に送付する順番、およびタイミングを制御してもよい。
(47)上記実施の形態では、更新モジュールを1つ追加する処理を説明したが、これに限定するものではなく、複数の更新モジュールを同時に追加するとしてもよい。図57は、複数の更新モジュールを同時に追加するときの分割方法の一例を示す図である。図57において、3つの更新モジュールを用いて追加処理を実施するとき、まず、それぞれの追加用更新モジュールを、追加処理する更新モジュールと同じ数の3つに分割し、それぞれに書き込み順を付加する。そして、追加用更新モジュール1部分1と追加用更新モジュール2部分1を更新モジュール131へ、追加用更新モジュール1部分2と追加用更新モジュール2部分2を更新モジュール132へ、追加用更新モジュール1部分3と追加用更新モジュール2部分3を更新モジュール133へ送信する。それぞれの更新モジュールでは、受信した追加用更新モジュール部分に付加されている書き込み順番に応じて追加処理を実施する。ここで、複数の追加用更新モジュールをそれぞれ同じ数に分割したが、これに限定するものではなく、すべての追加用更新モジュールで所定の数に分割するとしてもよい。また、複数の更新モジュールを同時に追加するとしたが、これに限定するものではなく、更新モジュールとダミーモジュールを追加してもよい。これにより、複数の更新モジュールを一度に追加することが可能となり、機器100のセキュリティ強度を向上させることが可能になる。また、複数の追加用更新モジュールの部分が一緒になった状態で、更新サーバ200から機器100へ送信、追加処理が実施されるため、攻撃者による解析が困難になる。さらに、ダミーモジュールも含めることにより、より解析を困難にすることが可能となる。
(48)上記実施の形態では、機器100が追加用更新モジュールを更新サーバ200から受信するとしたが、これに限定するものではなく、初期設計処理時に、各更新モジュールへ追加用更新モジュール部分を予め格納してもよい。また、追加用更新モジュール部分ではなく、追加用更新モジュール部分を生成するプログラムを予め格納し、追加処理が必要な時に各更新モジュールが追加用更新モジュール部分を生成してもよい。この場合、モジュール追加部240において、更新モジュール保持部904と更新モジュール分割部905は不要であり、追加処理を行う更新モジュールを選択し、選択した更新モジュールへ処理開始の指示を送信するのみでよい。
(49)上記実施の形態では、追加用更新モジュールを機器100が受信した時に追加処理を行うが、これに限定するものではなく、更新サーバ200から分割された追加用更新モジュールと更新モジュール検証情報を機器100があらかじめ受信し、更新モジュール群130による相互監視の結果や、保護制御モジュール120による更新モジュールのチェック結果から、正常な更新モジュールの数が過半数などの所定の値以下になったことを検出したときに、更新サーバ200と通信することなく、あらかじめ受信した追加用更新モジュールを用いて追加処理を実施してもよい。これにより、機器100がネットワークから切断されていた場合にも、更新モジュールの追加処理が可能となり、セキュリティ強度を保つことが可能となる。
(50)上記実施の形態では、監視パターン更新部250では、監視パターンを生成するとしたが、これに限定するものではなく、監視パターンを予め格納しているとしてもよい。また、監視パターンは更新サーバ200の外部の装置やサーバから与えられてもよい。これにより、監視パターン更新部250の処理を減らすことが可能となるため、監視パターンの更新処理を迅速に行うことが可能となる。
(51)上記実施の形態では、監視パターン更新部250では、生成した新監視パターンを機器100へ送付するとしたが、これに限定するものではなく、監視パターン生成プログラムを機器100に送付するとしてもよい。このとき、監視パターン生成プログラムを受信した機器100は、監視パターン生成プログラムを実行して監視パターンを生成し、生成した監視パターンに従って監視する。これにより、機器100の内部状態に応じて最適な監視パターンを生成することが可能となり、不正な更新モジュールを検知しやすくなる。
【0272】
(52)上記実施の形態では、初期設計処理の動作として、機器100の工場製造時に、予め監視パターンをインストールしてもよいし、更新サーバ200から入手してもよい。また、監視パターンがインストールされていない場合には、デフォルトの監視パターンを使用するとしてもよい。デフォルトの監視パターンは、例えば、すべての他の更新モジュールを監視する監視パターンや実施の形態1のように更新モジュールが3つの場合、更新モジュール131が更新モジュール132を監視し、更新モジュール132が更新モジュール133を監視し、更新モジュール133が更新モジュール131を監視するように、リングのような監視パターンであってもよい。
(53)上記実施の形態では、初期化設計処理の動作として、ユーザがセキュリティレベルを設定してもよい。設定したセキュリティレベルに合わせて、更新モジュールの数や監視の頻度を設定できるとしてもよい。また、ユーザが設定したセキュリティレベルにおいて、更新モジュールの数が足りない場合、更新サーバ200から更新モジュールを入手してもよい。また、セキュリティレベルに合わせて、監視パターンを入手してもよい。このことにより、セキュリティレベル適切に設定でき、セキュリティ強度を保つことが可能となる。
(54)上記実施の形態では、更新モジュール初期化処理の動作として、自身の監視パターンがあるか否かを検証してもよい。また、監視パターンが存在しない場合には、更新サーバ200に問い合わせをし、監視パターンを入手してもよい。
(55)上記実施の形態では、解析・判断処理の動作として、検知処理の結果を基に、保護制御モジュール120が改ざんされていると判断し、回復するかの判断をしているが、これに限定するものではなく、機器100と同様の第三の機器の保護制御モジュールが改ざんされた情報を基に、保護制御モジュール120を回復するか判断してもよいし、外部から保護制御モジュール危殆化情報を取得するとしてもよい。保護制御モジュール危殆化情報として、例えば、同じ実装方法の保護制御モジュールが改ざんされたなどの情報がある。
【0273】
(56)上記実施の形態3では、通常時無効化判断処理の動作として、更新モジュールが半数以上危殆化と判断した場合、更新モジュール全体を更新しているが、これに限定するものではなく、機器を停止するとしてもよい。
(57)上記実施の形態では、通常時無効化判断処理の動作として、更新モジュールが半数以上危殆化と判断した場合、更新モジュール群130全体を更新しているが、これに限定するものではなく、危殆化している更新モジュールの全てに対し、無効化処理を行い、無効化処理が完了した後に、更新モジュールの追加処理を行うとしてもよい。
(58)上記実施の形態では、追加判断処理の動作として、更新モジュールが所定値以下の場合、追加処理を行うとしたが、これに限定するものではなく、無効化処理が行われたか否かを判断し、無効化処理が行われていた場合に、追加処理を行うとしてもよい。また、追加処理は1回に限らず複数回行ってもよい。さらに、所定値を増やし、初期の更新モジュールの数より多くなるように追加してもよい。また、追加処理を実施するのではなく更新モジュール全体を更新してもよい。このことにより、更新モジュール数が一定数で維持することができ、機器100内のセキュリティ強度を保つことができる。
(59)上記実施の形態では、監視パターン更新判断処理の動作として、無効化処理や追加処理により更新モジュールの構成が変更されたことで、監視パターンの更新が必要であるか否かを判断しているが、これに限定するものではなく、ある一定時間が経過したことで監視パターンの更新の判断をしてもよいし、通常時と回復時のような機器100内部の状態に応じて監視パターンの更新の判断をしてもよい。また、第三の機器の監視パターンが更新された情報を入手し、監視パターンの更新の判断をしてもよいし、更新サーバ200の外部の装置やサーバから情報を入手し、監視パターンの更新を判断してもよい。更に、相互監視の結果、不正な更新モジュールが判明した場合に監視パターンを更新すると判断してもよい。これにより、攻撃者による攻撃が行われる前、或いは攻撃直後に監視パターンの更新を行うことが可能となるため、攻撃を困難にできる。
【0274】
(60)上記実施の形態では、追加処理の動作として、更新モジュールの検証情報を受信した更新モジュールは、追加用更新モジュールの検証を実施し(S3316)、モジュール追加部240の制御部960が、検証結果から、追加用更新モジュールが正しく追加されたかを判定(S3318)しているが、これに限定するものではなく、モジュール追加部240の制御部960が追加した更新モジュールの検証情報とは異なった検証情報を更新モジュールに送信し、異なった検証情報で検証させることで、更新モジュールからの通知される検証結果が正しくないことを確認することで、追加用更新モジュールの検証が正しく実施されているかを検証するとしてもよい。また、更新モジュール分割部905が誤った更新モジュールを分割し、更新モジュールへ送信し、制御部960が正しい更新モジュールの検証情報を送信することで、更新モジュールからの通知される検証結果が正しくないことを確認することで、追加用更新モジュールの検証が正しく実施されているかを検証するとしてもよい。このことにより、追加用更新モジュールの検証(S3316)が正しく動作しているかの確認ができ、検証機能が正しく動作していることで、機器100内に不正な更新モジュールが追加されることを防止できる。
(61)上記実施の形態では、通常時無効化判断処理の動作として、更新モジュールが半数以上危殆化と判断した場合、更新モジュール全体を更新しているが、これに限定するものではなく、監視機能の限界を超えているかを判断し、超えている場合に、更新モジュール全体を更新してもよい。監視機能の限界を超えている場合として、例えば、半数以上の所定のしきい値を超えた場合、監視機能の限界を超えていると判断してもよい。また、監視機能を持たない更新モジュールが存在する場合において、更新モジュール全体の数では半数以下だが、監視機能を持つ更新モジュールが半数以上危殆化した場合は監視機能の限界を超えていると判断する。
(62)上記実施の形態では、監視パターン更新判断処理の動作として、無効化処理や追加処理による更新モジュールの構成が変更されたことで、監視パターンの更新が必要であるか否かを判断しているが、これに限定するものではなく、相互監視処理で、何らかの不正を検出した場合に監視パターンを更新すると判断してもよい。これにより、どの更新モジュールが不正なのか、また、どのような不正なのかなど詳細に不正の確認をすることができる。
(63)上記実施の形態では、相互監視処理の動作として、更新モジュール群130内の更新モジュール131〜133がそれぞれ他の更新モジュールに対して改ざん検出の処理を実施し、攻撃者により改ざんされていた場合にはそれを検出するとしているが、これに限定するものではなく、改ざんされていた位置や量の度合いにより、不正を検出するとしてもよいし、更新モジュールのログをチェックして不正を検出するとしてもよい。
【0275】
(64)上記実施の形態では、相互認証処理の動作として、正しいレスポンスデータを返す更新モジュールの数を判定し、回復処理に必要な更新モジュールの数が満たされていれば、回復処理に移行するが、このとき、正しいレスポンスデータを返さない更新モジュールを記憶する機能を追加してもよい。正しいレスポンスデータを返さない更新モジュールは改ざんされている可能性があり、記憶することで、更新処理に用いる更新モジュールを選択する(S5006)が正しいレスポンスデータを返さない更新モジュールを選択しないことで、正しいレスポンスデータを返さない更新モジュールが改ざんされていて、更新処理が正常に行えなくなることを防止することができる。また、正しいレスポンスデータを返さない更新モジュールを除いた監視パターンに更新するとしてもよい。このことにより、回復時相互監視処理の相互監視処理(S5101)の動作において、正しいレスポンスデータを返した更新モジュール群のみで相互監視を行うことができる。
(65)本発明の実施の形態2では、監視パターンの更新処理の動作として、監視パターン分割部1004が新監視パターン(全体)を分割し、それぞれの更新モジュールに送るとしているが、これに限定するものではなく、新監視パターン(全体)を機器100に送り、更新モジュールが新監視パターン(全体)から自身の監視パターンを取得し、更新してもよい。
(66)本発明の実施の形態2では、監視パターンの更新処理の動作として、更新した新監視パターン本体に記述されている更新モジュールの、監視パターン本体を検証するとしているが、すべての更新モジュールを検証してもよいし、機器100内で予め決められた更新モジュールを検証してもよいし、更新サーバ200がどの更新モジュールを検証するかを通知してもよいし、すべての更新モジュールが検証されるのであればランダムに決定してもよい。
(67)本発明の実施の形態2では、監視パターンの更新処理の動作として、監視パターン分割部1004が新監視パターン(全体)を分割してそれぞれの更新モジュールに送るとしているが、これに限定するものではない。例えば、以下のように、監視パターンを取得してもよい。まず、更新サーバ200がある更新モジュールに新監視パターン(全体)を送信し、新監視パターン(全体)を受信した更新モジュールが、新監視パターン(全体)のうち自身の監視パターンのみを取得して、他の更新モジュールに転送する。さらに、新監視パターン(全体)を受信した他の更新モジュールが、新監視パターン(全体)のうち自身の監視パターンのみを取得して、新監視パターンを取得していない他の更新モジュールへ送信する。これをすべての更新モジュールについて繰り返すことで、各更新モジュールが自身の監視パターンを取得できる。
【0276】
また、更新サーバは、それぞれの更新モジュールのみが復号できるように当該更新モジュールに係る新監視パターンを暗号化し、暗号化新監視パターン(全体)をある更新モジュールに送信する。新監視パターン(全体)を受信した更新モジュールは、自身の新監視パターンのみを復号することで自身の監視パターンを入手して、古くなった監視パターンを更新してもよい。
(68)本発明の実施の形態3では、初期設計処理の動作として、隣接する更新モジュールの分散情報を保持するとしているが、これに限定するものではなく、隣接する更新モジュールの分散情報だけでなく、隣接する更新モジュールが隣接する自身以外の更新モジュールの分散情報を保持するようにしてもよい。具体的には、更新モジュールAの一方に隣接する更新モジュールBが隣接する更新モジュールCの分散情報も更新モジュールAが保持するようにしてもよい。この場合、更新モジュールAは自身の分散情報を含め、分散情報4つを保持することになる。また、通常時無効化判断処理の動作として、隣接する両隣の更新モジュールが危殆化したと判断しても、更新モジュール全体を更新する必要はなく、危殆化した更新モジュールに無効化処理を行い、特許文献2の脱退処理を行うことで、分散情報の持ち合いが行われる。ただし、再暗号化処理において、暗復号鍵の復元の動作では、危殆化していない更新モジュールの持つ分散情報が正しいかどうか、特許文献2の分散情報の検証処理を行う。分散情報の検証処理の詳細な方法は特許文献2の57ページに詳しく説明されているので、ここでの説明は省略する。上記の処理により、更新モジュールCに隣接する更新モジュールが危殆化しても、更新モジュールAが更新モジュールCの分散情報を保持するため、特許文献2のにおける分散情報の検証処理を行うことができ、更新モジュールCの分散情報の正当性を検証し、暗復号鍵の復元処理(S5204)において、正しく復元できなくなることを防止することができる。
【0277】
(69)本発明の実施の形態3では、通常時無効化判断処理の動作として、隣接する更新モジュールが危殆化したと判定した場合(S320B)、更新モジュール全体を更新するとしたが、これに限定するものではなく、危殆化した更新モジュールの無効化処理を行い、更新モジュール全体を更新しなくてもよい。ただし、図58に示すように、更新モジュール131の保持する分散情報1を他の更新モジュールが保持しなくなるため、追加処理が必要となる。この場合の追加判断処理を図58を用いて説明する。隣接する更新モジュールが危殆化し、無効化処理のみが行われたかを判定し(S330A)、無効化されている場合には、追加処理を行う。更新モジュール131に隣接する更新モジュール132と更新モジュール137が無効化された場合、分散情報1を保持する更新モジュールは更新モジュール131のみになり、次に更新モジュール131が攻撃された場合、暗復号鍵の復元をすることができなくなる。この場合、更新モジュールを追加し、追加した更新モジュールに分散情報1を保持させることで、更新モジュール131が攻撃されても、暗復号鍵が復元できなくなることを回避することができる。ここで、追加した更新モジュールに分散情報1を保持させるのではなく、保護制御モジュール120が更新モジュール全体の分散情報を更新するとしてもよい。更新モジュール全体の分散情報を更新する方法は、通常時無効化判断処理における更新モジュール全体の分散情報の更新方法と同様であるので、ここでは省略する。上記のようにすることにより、分散情報1を複数の更新モジュールで保持することができるため、更新モジュール131が改ざんされた場合においても、暗復号鍵の復元ができなくなることを防止できる。
(70)本発明の実施の形態3では、通常時無効化判断処理の動作として、ある更新モジュール13Aに隣接する更新モジュールのどちらか一方(ここでは、更新モジュール13)が危殆化した場合において、特許文献2の脱退処理を行わず、更新モジュール13Bの無効化処理を行ってもよい。このことにより、更新モジュール13Aの分散情報Aはどちらか一方が保持しているため、追加処理の必要がなく、追加処理を行わないことで複数の更新モジュールが不正動作を行わないかの検証を継続するなど他の処理を行うことができる。
【0278】
また、保護制御モジュール120がアプリ(110、111)が改ざんされていないかを検証した後において、更新モジュール13Aに隣接するように更新モジュールの追加処理を行うとしてもよい。このことにより、本来守るべきのアプリが改ざんされていないかを検証する処理を終わらせてから、更新モジュール13Aに隣接する更新モジュールの追加を行うので、隣接する更新モジュールを追加しなくても前記所定の復号鍵は復元できる場合にまで、前記一方に隣接する更新モジュールの追加作業を優先させて、前記追加作業の間に前記所定のアプリケーションが攻撃されるのを防止できる。
(71)本発明の実施の形態3では、初期設計処理の動作として、全ての更新モジュールが隣接する更新モジュールの分散情報を保持するとしたが、これに限定するものではなく、ある更新モジュールの分散情報は隣接する更新モジュールとさらに他の更新モジュールが保持するとしてもよい。以下、図59を用いて具体的に説明する。実施の形態3では、隣接する更新モジュールの分散情報を保持するため、分散情報1は更新モジュール131、132、137が保持していた。そのため、通常時無効化判断処理や回復時判断処理の動作として、更新モジュール131、132、137の連続3つが危殆化した場合、分散情報1が復元できなくなるため、機器を停止するなどの処理を行っていた。図59のように、分散情報1を更新モジュール131、132、133、137が保持するようにすることで、通常時無効化判断処理や回復時判断処理で更新モジュール131、132、137の連続3つが危殆化した場合においても、分散情報1が復元できなくなることはないため、分散情報1に関しては、通常時無効化判断処理や回復時判断処理の動作として、連続4つが危殆化しているかの判定となる。ただし、分散情報2から分散情報7に関しては、隣接する更新モジュールのみが保持しているため、連続3つが危殆化しているかの判定となる。このように、各分散情報を持ち合いする数が違う場合には、分散情報ごとに持ち合いの数を考慮して判定する必要がある。実施の形態3では、分散情報の持ち合いの数がすべて3のため、分散情報ごとの判定が考慮不要となる。
【0279】
(72)本発明の実施の形態3では、初期設計処理の動作として、保護制御モジュール120の暗復号鍵を全ての更新モジュールが一様に保持するとしたが、これに限定するものではなく、暗復号鍵を分割し、分割した暗復号鍵の1つに対して、秘密分散法を用いて分散情報を生成するとしてもよい。具体的な例として、図60を用いて説明する。保護制御モジュール120は暗復号鍵を分割鍵1と分割鍵2の2つに分割する。それぞれの分割鍵に初期設計処理と同様に秘密分散法を用いて、分割鍵1が分散情報1から分散情報5に、分割鍵2が分散情報6から分散情報10となるように分散情報を生成する。分割鍵1の分散情報を更新モジュール1301から1305に送信し、分割鍵2の分散情報を更新モジュール1306から1310に送信する。暗復号鍵の復元では、各更新モジュールから分散情報を受信し、分割鍵を復元し、復元した分割鍵から暗復号鍵を復元する。また、通常時無効化判断処理や回復時判断処理の動作では、分割鍵に対する分散情報を持つ更新モジュールの構成において、連続3つ更新モジュールが危殆化しているかの判定を行う。また、無効化処理や追加処理に用いる特許文献2の脱退処理や追加処理は、分割鍵の分散情報を持つ更新モジュールの構成で行う。
(73)本発明の実施の形態3では、保護制御モジュール120が暗復号鍵の分散情報の配置情報を生成しているが、これに限定するものではなく、更新サーバ200が配置情報を生成し、保護制御モジュール120に送信するとしてもよいし、外部の装置やサーバから入手するとしてもよい。また、分散情報の持ち合いの数を更新サーバ200から入力するとしてもよい。この時、持ち合いの数によって、更新サーバ200内で通常時無効化判断処理や回復時判断処理の更新モジュールのうち更新モジュールの構成で連続いくつが危殆化するかを判定する数を決定してもよい。
(74)本発明の実施の形態3では、保護制御モジュール120が暗復号鍵の分散情報の配置情報を記憶しているが、これに限定するものではなく、保護制御モジュール120が分散情報の配置情報を更新サーバ200に送信し、更新サーバ200が記憶してもよいし、更新サーバ200が更新モジュール群130に通知依頼を送信し、更新モジュール群130から受信してもよいし、更新サーバ200の外部の装置やサーバから入手するとしてもよい。
(75)実施の形態2では、S8101において新監視パターンを受信したそれぞれの更新モジュールは、監視パターン更新部309を用いて、自身の監視パターン情報を、受信した新監視パターンへ更新することとしていたが、更新前の監視パターンを保持しておくものとしてもよい。そして、S8102において、監視パターン更新部250が全更新モジュールから監視パターンの反映終了の通知を受け取った場合、すなわち、全ての更新パターンの更新が完了した場合に、監視パターン更新部250は、各更新モジュールに更新前の監視パターン破棄の指示を送信する。そして、各更新モジュールは、監視パターン破棄の指示を受けた場合に、更新前の監視パターンを破棄する。全ての更新パターンの更新が完了しなかった場合、新監視パターンの方を破棄する。
【0280】
ここで、全ての監視パターンの更新が完了したか否かは、監視パターン更新部250側で行ってもよいし、更新モジュール側で行なってもよい。監視パターン更新部250で行う場合であれば、監視パターン更新部250が、新監視パターンを各更新モジュールに送信してから一定時間内に、全更新モジュールから反映終了の通知を受け取らなかった場合に、全ての更新パターンの更新が完了しなかったと判断する。この場合に、監視パターン更新部250が、各更新モジュールに更新前の監視パターンを破棄するよう指示する。
【0281】
また、全ての監視パターンの更新が完了したか否かを更新モジュール側で行う場合には、監視パターン更新部250が、全更新モジュールから反映終了の通知を受け取ったときに、各更新モジュールに全ての更新パターンの更新が完了した旨を通知する。各更新モジュールは、新監視パターンを受け取ってから一定時間内に、全ての監視パターンの更新が完了した旨の通知を受け取った場合に更新前の監視パターンを破棄し、全ての監視パターンの更新が完了した旨の通知を受け取らなかった場合には、新監視パターンを破棄する。
(76)上記実施の形態1において、各更新モジュールは、MAC値テーブルに格納されているMAC値を用いて、他の更新モジュールの改ざんの有無を検出する。ここで、MAC値テーブル自体が改ざんされた場合には、更新モジュールの改ざん検出が正しく実施されない可能性がある。例えば、更新モジュールが改ざんされた場合であっても、MAC値テーブルに格納されているMAC値も同じ攻撃者により改ざんされていた場合、更新モジュールが改ざんされているにもかかわらず、改ざんは無いと検出される。
【0282】
また、上記実施の形態1において、各更新モジュールは、検証値リストに格納されている検証値を用いて、監視パターン及び監視頻度を正しく更新できたか否かを検証する。ここで、検証値リスト自体が改ざんされた場合には、監視パターン及び監視頻度の検証が正しく実施されない可能性がある。
そこで、これらの問題に対応するために、実施の形態1において、各更新モジュールは、MAC値テーブル及び検証値リストを保護するための保護プログラムを実装して、MAC値テーブル及び検証値リストを保護するとしてもよい。
【0283】
この場合、相互監視において、各更新モジュールは相互に、各更新モジュールに実装されている保護プログラムの改ざん検出を行うとしてもよい。
そして、保護プログラムの改ざんが検出されない場合、その更新モジュールにおいては、MAC値テーブル及び検証値リストが改ざんされていないとみなし、保護プログラムの改ざんが検出された場合、その更新モジュールにおいて、MAC値テーブル及び検証値リストが改ざんされているとみなすことができる。
【0284】
また、MAC値テーブル及び検証値リストを保護するための保護プログラムは、例えば、MAC値テーブル及び検証値リストを、暗号化/復号するプログラムでもよいし、署名生成プログラムであってもよい。このとき、MAC値テーブル及び検証値リストにパディングデータを付加してもよい。これにより、復号時又は署名検証時にパディングデータが正しいか否かを判断することにより、MAC値テーブル及び検証値リストの改ざんを検出することができる。
【0285】
また、MAC値テーブル自体のMAC値を生成しておくことにより、MAC値テーブルの改ざんを検出するとしてもよい。このとき、MAC値を検証すための鍵に難読化を施してもよい。同様に、検証値リストのMAC値を生成しておくことにより、検証値リストの改ざんを検証するとしてもよい。
MAC値テーブル及び検証値リストの検証は、定期的に行っても良いし、不定期に行っても良い。不定期に行う場合には、例えば、更新モジュール群130による相互監視処理の前に行うとしてもよい。
(77)上記の各モジュールは、具体的には、それぞれ個別のコンピュータプログラムであってもよいし、オペレーティングシステムに組み込まれるモジュールであってもよいし、オペレーティングシステムから呼ばれるドライバであってもよいし、アプリケーションプログラムであってもよい。
(78)上記の各装置は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記RAMまたはハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。
(79)上記の各装置を構成する構成要素の一部または全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAMなどを含んで構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、システムLSIは、その機能を達成する。
【0286】
また、上記の各装置を構成する構成要素の各部は、個別に1チップ化されていても良いし、一部又は全てを含むように1チップ化されてもよい。
また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサーを利用しても良い。
【0287】
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。
(80)上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なICカードまたは単体のモジュールから構成されているとしてもよい。前記ICカードまたは前記モジュールは、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。前記ICカードまたは前記モジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ICカードまたは前記モジュールは、その機能を達成する。このICカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。
(81)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。
【0288】
また、本発明は、前記コンピュータプログラムまたは前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD−ROM、MO、DVD、DVD−ROM、DVD−RAM、BD(Blu−ray Disc)、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記デジタル信号であるとしてもよい。
【0289】
また、本発明は、前記コンピュータプログラムまたは前記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。
また、本発明は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。
【0290】
また、前記プログラムまたは前記デジタル信号を前記記録媒体に記録して移送することにより、または前記プログラムまたは前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
(82)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。
【産業上の利用可能性】
【0291】
本発明は、ユーザに対してネットワークを利用した様々な機能を提供する情報処理装置を製造及び販売する産業において、前記情報処理装置で利用されるソフトウェアを製作及び販売する産業において、前記情報処理装置に対してソフトウェアを提供する管理装置を製造及び販売する産業において、安全にソフトウェアを更新する技術として利用することができる。
【符号の説明】
【0292】
10 ソフトウェア更新システム
100 機器
110 アプリ
111 アプリ
120 保護制御モジュール
130 更新モジュール群
131 更新モジュール
132 更新モジュール
133 更新モジュール
140 アクセス制御モジュール
160 ブートローダ
200 更新サーバ
210 判断部
220 更新用ソフトウェア配布部
230 モジュール無効化部
240 モジュール追加部
250 監視パターン更新部
260 通信部
301 受信部
302 送信部
303 制御部
304 更新部
305 検証部
306 MAC値生成部
307 MAC値テーブル更新部
308 監視パターン取得部
309 監視パターン更新部
310 分散情報保持部
401 受信部
402 送信部
403 制御部
404 暗号化部
405 検出部
406 解析ツール検出部
407 暗復号鍵保持部
408 暗復号鍵生成部
409 暗復号鍵分散部
410 証明書生成部
411 暗復号鍵復元部
501 受信部
502 送信部
503 アクセス情報保持部
601 受付部
602 指示部
603 指示生成部
604 不正モジュール特定部
605 判断基準読込部
606 判断基準格納部
701 受信部
702 送信部
703 暗号鍵生成部
704 暗号処理部
705 認証部
706 更新モジュール選択部
707 制御部
708 証明書生成部
709 署名秘密鍵保持部
710 更新用ソフトウェア保持部
711 暗号鍵保持部
801 受信部
802 送信部
803 アクセス情報取得鍵保持部
804 更新モジュール選択部
901 受信部
902 送信部
903 更新モジュール選択部
904 更新モジュール保持部
905 更新モジュール分割部
906 制御部
1001 受信部
1002 送信部
1003 監視パターン生成部
1004 監視パターン分割部
1005 制御部
【技術分野】
【0001】
本発明は、機器内部で動作するソフトウェアを更新する技術に関し、特に、当該機器が、サーバからの指示に従って安全にソフトウェアを更新する技術に関する。
【背景技術】
【0002】
従来、機器内部のソフトウェアを更新するには、更新モジュールが定期的にネットワーク上のサーバに更新用ファイルが存在するか否かを確認する。そして、更新用ファイルが存在する場合、更新モジュールは、更新用ファイルをダウンロードし、ダウンロードした更新用ファイルで前記ソフトウェアを更新する。
しかし、更新モジュールが悪意の第三者により改ざんされると、ソフトウェアの更新が正しく行われない可能性がある。
【0003】
そこで、機器内部に複数の更新モジュール(更新モジュール群)を保持しておき、各更新モジュールが相互に改ざんの有無を検証し合う。そして、改ざんされていることが検出された更新モジュールを無効化する、という技術が提案されている。これにより、更新モジュールの一つが改ざんされた場合であっても、残りの有効な更新モジュールを用いて、更新すべきソフトウェアを正しく更新することが可能となる。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特許第3056732号公報(第4−6頁、図2)
【特許文献2】WO2008/099682
【非特許文献】
【0005】
【非特許文献1】岡本龍明、山本博資、「現代暗号」、産業図書(1997年)
【非特許文献2】ITU−T Recommendation X.509 (1997 E):Information Technology−Open Systems Interconnection−The Directory:Authentication Framework,1997
【発明の概要】
【発明が解決しようとする課題】
【0006】
ところで、更新モジュールを無効化するか否かの判断や、処理順序の決定を機器内部だけで行うと、安全性が低下するという問題がある。
本発明は、上記の問題点に鑑みなされたものであって、更新モジュールの無効化の決定や処理順序の決定を機器内部で行うことなく、機器におけるソフトウェア更新処理に対する信頼性を高め、より安全にソフトウェアを更新することができるソフトウェア更新システムを提供することを目的とする。
【課題を解決するための手段】
【0007】
上記の目的を達成するために、本発明の一実施態様であるソフトウェア更新システムは、情報処理装置と正当な管理装置とがネットワークを介して接続されており、前記情報処理装置上で動作するソフトウェアを更新するソフトウェア更新システムであって、前記情報処理装置は、ソフトウェアを更新する機能を有し、相互に改ざんの有無を検証し合う複数の更新モジュールと、前記複数の更新モジュールによる検証結果を、前記管理装置へ送信する送信手段とを備え、前記管理装置は、前記複数の更新モジュールによる検証結果を受信する受信手段と、受信した前記検証結果に基づき、各更新モジュールが正当であるか否か判断する判断手段と、前記判断手段からの指示を受け、不正であると判断された更新モジュールの無効化指示を前記情報処理装置に送信する無効化手段とを備えることを特徴とする。
【発明の効果】
【0008】
上記の構成によると、正当な管理装置は、各更新モジュールから受信した検証結果を用いて各更新モジュールが不正であるか否か判断するので、改ざんされた更新モジュールが改ざんされていない他の更新モジュールを改ざんされていると偽って管理装置に通知した場合であっても、管理装置は、いずれの更新モジュールが不正であるかを適切に判断することができる。
【0009】
さらに、管理装置から情報処理装置へ、不正であると判断された更新モジュールを無効化する指示を送信するので、改ざんされた不正な更新モジュールが、改ざんされていない更新モジュールを「改ざんされた」と偽って検証した場合であっても、正当な更新モジュールが無効化されることを防止し、且つ、不正な更新モジュールが情報処理装置内に残存するのを防止することができる。
【図面の簡単な説明】
【0010】
【図1】本発明の実施の形態1におけるソフトウェア更新システム10の全体構成図である。
【図2】本発明の実施の形態1における機器100の構成図である。
【図3】本発明の実施の形態1における更新モジュール群130の構成図である。
【図4】本発明の実施の形態1におけるハードウェア構成図である。
【図5】本発明の実施の形態1における更新サーバ200の構成図である。
【図6】本発明の実施の形態1における更新モジュールの構成図である。
【図7】本発明の実施の形態1における監視パターン情報の構成図である。
【図8】本発明の実施の形態1における更新モジュール本体の構成図である。
【図9】本発明の実施の形態1における保護制御モジュール120の構成図である。
【図10】本発明の実施の形態1におけるアクセス制御モジュール140の構成図である。
【図11】本発明の実施の形態1における判断部210の構成図である。
【図12】本発明の実施の形態1における更新用ソフトウェア配布部220の構成図である。
【図13】本発明の実施の形態1におけるモジュール無効化部230の構成図である。
【図14】本発明の実施の形態1におけるモジュール追加部240の構成図である。
【図15】本発明の実施の形態1における監視パターン更新部250の構成図である。
【図16】本発明の実施の形態1におけるソフトウェア更新システム10のフローチャートである。
【図17】本発明の実施の形態1におけるソフトウェア更新システム10の初期設計時の動作概要図である。
【図18】本発明の実施の形態1における初期設計処理のシーケンス図である。
【図19】本発明の実施の形態1における初期設計処理(更新モジュール初期化処理)のフローチャートである。
【図20】本発明の実施の形態1における検知処理のシーケンス図である。
【図21】本発明の実施の形態1における解析・判断処理のシーケンス図である。
【図22】本発明の実施の形態1における解析・判断処理(通常時判断処理)のシーケンス図である。
【図23】本発明の実施の形態1における解析・判断処理(相互監視処理)のシーケンス図である。
【図24】本発明の実施の形態1における解析・判断処理(通常時無効化判断処理)のフローチャートである。
【図25】本発明の実施の形態1における無効化処理のシーケンス図である。
【図26】本発明の実施の形態1における解析・判断処理(追加判断処理)のフローチャートである。
【図27】本発明の実施の形態1における追加処理のシーケンス図である。
【図28】本発明の実施の形態1における解析・判断処理(監視パターン更新判断処理)のフローチャートである。
【図29】本発明の実施の形態1における相互認証処理のシーケンス図である。
【図30】本発明の実施の形態1における相互認証処理のシーケンス図である。
【図31】本発明の実施の形態1における回復処理のフローチャートである。
【図32】本発明の実施の形態1における回復処理のシーケンス図である。
【図33】本発明の実施の形態1における回復処理(更新処理)のシーケンス図である。
【図34】本発明の実施の形態1における回復処理(更新処理)のシーケンス図である。
【図35】本発明の実施の形態1における回復処理(回復時相互監視処理)のシーケンス図である。
【図36】本発明の実施の形態1における回復処理(回復時判断処理)のフローチャートである。
【図37】本発明の実施の形態1における回復処理(再暗号化処理)のシーケンス図である。
【図38】本発明の実施の形態1における回復処理(回復時無効化判断処理)のフローチャートである。
【図39】本発明の実施の形態1における次ラウンド準備処理のシーケンス図である。
【図40】本発明の実施の形態1における監視パターンの更新例の図である。
【図41】本発明の実施の形態1における通常時の処理の優先順位の図である。
【図42】本発明の実施の形態1における回復時の処理の優先順位の図である。
【図43】本発明の実施の形態2における更新モジュールの構成図である。
【図44】本発明の実施の形態2における監視パターン更新検証例の図である。
【図45】本発明の実施の形態2における監視パターン更新部250の構成図である。
【図46】本発明の実施の形態2における監視パターン更新処理のシーケンス図である。
【図47】本発明の実施の形態2における新監視パターンへの更新処理のシーケンス図である。
【図48】本発明の実施の形態3における更新モジュール群130の構成図である。
【図49】本発明の実施の形態3における更新モジュールが保持する分散情報の構成例の図である。
【図50】本発明の実施の形態3における解析・判断処理(通常時無効化判断処理)のフローチャートである。
【図51】本発明の実施の形態3における更新モジュールが半数以上危殆化した例の図である。
【図52】本発明の実施の形態3における更新モジュールの3つが危殆化した例の図である。
【図53】本発明の実施の形態3における更新モジュール131の両隣の更新モジュールが危殆化した例の図である。
【図54】本発明の実施の形態3における回復処理(回復時判断処理)のフローチャートである。
【図55】本発明の変形例1における回復処理(更新処理)のシーケンス図である。
【図56】本発明の変形例1における回復処理(更新処理)のシーケンス図である。
【図57】本発明の変形例47における追加用更新モジュールの分割例の図である。
【図58】本発明の変形例69における解析・判断処理(追加判断処理)のフローチャートである。
【図59】本発明の変形例71における更新モジュールが保持する分散情報の構成例の図である。
【図60】本発明の変形例72における更新モジュールが保持する分散情報の構成例の図である。
【図61】本発明の実施の形態2の相互監視において各モジュールの監視先、監視元を表す模式図である。
【発明を実施するための形態】
【0011】
請求項1に記載の態様であるソフトウェア更新システムは、情報処理装置と正当な管理装置とがネットワークを介して接続されており、前記情報処理装置上で動作するソフトウェアを更新するソフトウェア更新システムであって、前記情報処理装置は、ソフトウェアを更新する機能を有し、相互に改ざんの有無を検証し合う複数の更新モジュールと、前記複数の更新モジュールによる検証結果を、前記管理装置へ送信する送信手段とを備え、前記管理装置は、前記複数の更新モジュールによる検証結果を受信する受信手段と、受信した前記検証結果に基づき、各更新モジュールが正当であるか否か判断する判断手段と、前記判断手段からの指示を受け、不正であると判断された更新モジュールの無効化指示を前記情報処理装置に送信する無効化手段とを備えることを特徴とする。
【0012】
請求項2に記載の態様であるソフトウェア更新システムにおいて、前記複数の更新モジュールのそれぞれは、他の更新モジュールを無効化する機能を有し、前記無効化手段は、無効化処理を行う更新モジュールを選択し、前記判断手段により不正であると判断された前記更新モジュールを指定する識別情報を含む前記無効化指示を、選択された前記更新モジュールへ送信し、前記無効化指示を受け付けた更新モジュールは、前記識別情報により指定される更新モジュールを無効化するように構成してもよい。
【0013】
この構成によると、管理装置の無効化手段が、正当な更新モジュールを選択して無効化処理を実施させることにより、情報処理装置では、不正な更新モジュールの無効化を正しく行うことが可能となる。
請求項3に記載の態様であるソフトウェア更新システムにおいて、前記情報処理装置は、秘匿データを保護する機能を有する保護制御モジュールを含み、前記複数の更新モジュールのそれぞれは、更に、前記保護制御モジュールの改ざんの有無を検証し、前記管理装置から前記保護制御モジュールの更新用ファイルを受信すると、前記保護制御モジュールを更新し、前記管理装置は、更に、前記判断手段からの指示を受け、不正な保護制御モジュールを更新するための更新用ファイルを前記情報処理装置へ配布する配布手段を備え、前記受信手段は、更に、前記保護制御モジュールに係る検証結果を受信し、前記判断手段は、前記保護制御モジュールに係る検証結果を用いて前記保護制御モジュールが正当であるか否か判断し、判断結果と予め保持している判断基準とに応じて決定される処理順序に従い前記無効化手段及び前記配布手段へ指示を出力するように構成してもよい。
【0014】
この構成によると、管理装置は、情報処理装置の状態に応じた処理順序に従い、前記無効化手段及び前記配布手段へ指示を出力するので、情報処理装置は、安全な処理順序で不正な更新モジュールの無効化処理及び不正な保護制御モジュールの更新処理を行うことができる。
請求項4に記載の態様であるソフトウェア更新システムにおいて、前記判断手段は、前記保護制御モジュールが不正であると判断する場合、前記更新モジュールの無効化に優先して、前記保護制御モジュールを更新するように前記処理順序を決定するように構成してもよい。
【0015】
この構成によると、秘匿データを保護する機能を有する保護制御モジュールが不正であると判断する場合、前記保護制御モジュールの更新処理を優先して行うので、更新モジュールの無効化処理中に、不正な保護制御モジュールを介して本来保護すべき秘匿データが攻撃されるのを防止することができる。
請求項5に記載の態様であるソフトウェア更新システムにおいて、前記判断手段は、前記保護制御モジュールが正当であると判断する場合、前記更新モジュールの無効化を優先的に行うように前記処理順序を決定するように構成してもよい。
【0016】
この構成によると、秘匿データを保護する機能を有する保護制御モジュールが健全な状態であることを確認した後に、更新モジュールを無効化するので、更新モジュールの無効化処理中に、不正な保護制御モジュールを介して、本来保護すべき秘匿データが攻撃されるのを防止することができる。
請求項6に記載の態様であるソフトウェア更新システムにおいて、前記判断手段は、前記保護制御モジュールが不正であると判断し、且つ、前記複数の更新モジュールの全てが不正であると判断する場合、前記無効化手段及び前記配布手段への指示に代えて、前記情報処理装置を停止させる指示を生成し、前記情報処理装置は、前記管理装置から停止の指示を受信すると、処理を停止するように構成してもよい。
【0017】
この構成によると、情報処理装置が攻撃されている可能性が高い場合には、管理装置から情報処理装置の処理を停止させることができるので、情報処理装置への攻撃が、ネットワークを介して接続されている他の装置に影響を及ぼすのを防止することができる。
請求項7に記載の太陽であるソフトウェア更新システムにおいて、前記保護制御モジュールは、更に、前記複数の更新モジュールの改ざんの有無を検証し、前記受信手段は、更に、前記保護制御モジュールによる前記複数の更新モジュールに係る検証結果を受信し、前記判断手段は、前記保護制御モジュールにより改ざんが検出された更新モジュールに係る、他の更新モジュールによる検証結果を用いて、当該更新モジュールが正当であるか否かを判断し、当該更新モジュールが不正であると判断する場合に、前記保護制御モジュールは正当であると判断し、当該更新モジュールが正当であると判断する場合に、前記保護制御モジュールが不正であると判断するように構成してもよい。
【0018】
この構成によると、保護制御モジュールによる改ざん検出結果と、各更新モジュールによる改ざん検出結果とを用いることで、保護制御モジュールが正当であるか不正であるかを確実に判断することが可能となる。
請求項8に記載の態様であるソフトウェア更新システムにおいて、前記管理装置は、更に、前記判断手段からの指示を受けて、前記情報処理装置に追加の更新モジュールを送信するモジュール追加手段を備え、前記判断手段は、前記情報処理装置へ無効化指示を送信した後において、前記情報処理装置に含まれる更新モジュールの数が所定値以下であるか否か判断し、更新モジュールの数が所定値以下の場合、前記モジュール追加手段に更新モジュールの追加を指示するように構成してもよい。
【0019】
この構成によると、相互検証を行う複数の更新モジュールの数を一定に保つことができるので、情報処理装置は、更新モジュールの改ざん検証を安定して行うことができる。
請求項9に記載の態様であるソフトウェア更新システムにおいて、前記判断手段は、前記保護制御モジュールが正当であるか否かの判断結果に応じて決定される処理順序に従い、前記モジュール追加手段及び前記配布手段へ指示を出力するように構成してもよい。
【0020】
この構成によると、情報処理装置は、安全な処理順序で更新モジュールの追加処理及び不正な保護制御モジュールの更新処理を行うことができる。
請求項10に記載の態様であるソフトウェア更新システムにおいて、前記判断手段は、前記保護制御モジュールが不正であると判断する場合、前記追加の更新モジュールの送信に優先して、前記保護制御モジュールを更新するように前記処理順序を決定するように構成してもよい。
【0021】
この構成によると、更新モジュールの追加処理中に、不正な保護制御モジュールを介して、本来保護すべき秘匿データが攻撃されるのを防止することができる。
請求項11に記載の態様であるソフトウェア更新システムにおいて、前記判断手段は、前記保護制御モジュールが正当であると判断する場合、前記追加の更新モジュールの送信を優先的に行うように前記処理順序を決定するように構成してもよい。
【0022】
この構成によると、保護制御モジュールが正当であるとことを確認した後に、更新モジュールの追加処理を行うので、更新モジュールの追加処理中に、不正な保護制御モジュールを介して、本来保護すべき秘匿データが攻撃されるのを防止することができる。
請求項12に記載の態様であるソフトウェア更新システムにおいて、前記情報処理装置は、更に、前記秘匿データを含み、且つ、暗号化されているアプリケーションプログラムを備え、前記複数の更新モジュールは、各更新モジュールが多角形の端点に位置するように仮想的に配置されており、前記複数の更新モジュールのそれぞれは、前記暗号化アプリケーションプログラムを復号するための復号鍵から所定の鍵分散法に従って生成された複数の分散鍵のうち、自身に割り当てられた分散鍵及び前記多角形における両隣の端点に配置されている更新モジュールに割り当てられた分散鍵を保持しており、前記保護制御モジュールは、前記複数の更新モジュールから、少なくとも3個の分散鍵を取得して前記復号鍵を復元し、前記暗号化アプリケーションプログラムを復号するように構成してもよい。
【0023】
この構成によると、複数の更新モジュールのそれぞれに分散鍵を割り当てることにより、保護制御モジュールが解析されても復号鍵が暴露されず、アプリケーションプログラムの機密性を担保することができる。
請求項13に記載の態様であるソフトウェア更新システムにおいて、前記判断手段は、不正であると判断された更新モジュールが無効化されることにより、ある更新モジュールの両隣の更新モジュールが無効化される場合、前記モジュール追加手段に、前記両隣の更新モジュールのうち、少なくとも一方の更新モジュールの追加を指示するように構成してもよい。
【0024】
この構成によると、ある更新モジュールに割り当てられた分散鍵を保持する更新モジュールの数を複数に維持できるので、ある更新モジュールの両隣の更新モジュールが無効化され、更に、ある更新モジュールが無効化された場合であっても、前記復号鍵を復元することができる。
請求項14に記載の態様であるソフトウェア更新システムにおいて、前記判断手段は、前記保護制御モジュールが不正であると判断する場合、前記更新モジュールの両隣の更新モジュールのうち、少なくとも一方の更新モジュールの追加に優先して、前記保護制御モジュールを更新するように前記処理順序を決定するように構成してもよい。
【0025】
この構成によると、保護制御モジュールが不正であると判断する場合、保護制御モジュールの更新処理を優先して行うので、更新モジュールの追加処理中に、不正な保護制御モジュールを介して、本来保護すべき秘匿データが攻撃されるのを防止することができる。
請求項15に記載の態様であるソフトウェア更新システムにおいて、前記判断手段は、前記保護制御モジュールが正当であると判断する場合、前記更新モジュールの両隣の更新モジュールのうち、少なくとも一方の更新モジュールの追加を優先的に行うように前記処理順序を決定するように構成してもよい。
【0026】
この構成によると、保護制御モジュールが正当であることを確認した後に、更新モジュールの追加処理を行うので、更新モジュールの追加処理中に、不正な保護制御モジュールを介して、本来保護すべき秘匿データが攻撃されるのを防止することができる。
請求項16に記載の態様であるソフトウェア更新システムにおいて、前記保護制御モジュールは、更に、前記アプリケーションプログラムの改ざんの有無を検出し、前記複数の更新モジュールのそれぞれは、前記モジュール追加手段から追加の更新モジュールを受信すると、受信した更新モジュールを追加する機能を有し、前記モジュール追加手段から追加の更新モジュールを受信した更新モジュールは、前記保護制御モジュールによる前記アプリケーションプログラムの改ざん検出が終了したのちに、受信した更新モジュールを追加するように構成してもよい。
【0027】
この構成によると、本来保護すべき秘匿データを含むアプリケーションプログラムの改ざん検出処理を優先的に行うことにより、更新モジュールの追加処理中に、アプリケーションプログラムが攻撃されるのを防止することができる。
請求項17に記載の態様であるソフトウェア更新システムにおいて、前記判断手段は、不正であると判断された更新モジュールが無効化されることにより、ある更新モジュールの片隣の更新モジュールのみが無効化される場合には、前記モジュール追加手段に、前記片隣の更新モジュールの追加を指示しないように構成してもよい。
【0028】
この構成によると、前記片隣の更新モジュールが無効化されたとしても、前記更新モジュールに割り当てられた分散鍵を保有する更新モジュールは複数存在するので、更新モジュールの追加処理を行わなくとも、前記復号鍵を復元することができる。
以下では、本発明に係る一つの実施形態であるソフトウェア更新システムについて、図面を参照して説明する。
(実施の形態1)
1.ソフトウェア更新システム10の構成
図1は、本発明の実施の形態1におけるソフトウェア更新システム10の全体構成図である。
【0029】
ソフトウェア更新システム10は、図1に示すように、本発明の情報処理装置である機器100と、本発明の管理装置である更新サーバ200とから構成され、機器100と更新サーバ200とは、ネットワークを介して接続されている。
機器100は、ユーザに対してネットワークを利用した様々な機能を提供する情報処理装置である。具体的には、機器100は、ネットワークを介して、音楽コンテンツや映像コンテンツ等を購入し、再生する。また、機器100は、ネットワークを介して、ネットバンキングサービス(残高照会や振り込み等)を利用する。
【0030】
2.機器100の構成
ここでは、図2から図4を用いて、機器100の構成について説明する。
機器100は、図2に示すように、アプリ110、アプリ111、保護制御モジュール120、更新モジュール群130及びアクセス制御モジュール140から構成される。
アプリ110及びアプリ111は、ネットワークを介して、機器100を使用するユーザに、様々な機能を提供するためのソフトウェアである。例えば、コンテンツ配信サーバ(不図示)から音楽コンテンツや映像コンテンツを購入し、その購入したコンテンツを再生するソフトウェアや、金融機関のシステム(不図示)にアクセスし、残高照会や振り込み等のネットバンキングを行うためのソフトウェアである。
【0031】
アプリ110及びアプリ111は、コンテンツ配信サーバや金融機関のシステムと認証を行うための認証鍵など、秘匿データを有している。秘匿データは、悪意のある第三者(攻撃者)によりアプリから抜き取られ、不正に利用されないよう保護する必要があるデータである。
保護制御モジュール120は、攻撃者によりアプリ(110、111)が解析され、認証鍵などの秘匿データが抜き取られないようにアプリ(110、111)を保護するための機能を制御するモジュールである。アプリを保護するための機能としては、アプリを利用しない時には暗号化して保存しておき、アプリを利用する時にのみ復号してメモリへロードする復号ロード機能や、アプリが改ざんされていないかをチェックする改ざん検出機能、デバッガなどの解析ツールが動作しないかをチェックする解析ツール検出機能などがある。
【0032】
保護制御モジュール120は、これらの機能の動作を制御し、アプリ(110、111)が攻撃者によって解析されていないかなどをチェックする。保護制御モジュール120が、アプリ(110、111)に対する攻撃を検出したときには、アプリ(110、111)の動作を停止し、アプリ(110、111)が利用していたメモリ、特に秘匿データが記録されたメモリ領域のクリアなどの処理を行い、秘匿データの漏洩を防止する。
【0033】
図3は、実施の形態1に係る更新モジュール群130の構成図である。更新モジュール群130は、更新モジュール131、更新モジュール132及び更新モジュール133から構成される。
更新モジュール131、更新モジュール132及び更新モジュール133は、機器100の外部にある更新サーバ200から更新用のソフトウェアを受信し、受信した更新用のソフトウェアを用いて、機器100の内部のソフトウェア(アプリ110、アプリ111、保護制御モジュール120等)を更新する機能を備える。
【0034】
更に、更新モジュール群130は、攻撃者によって各更新モジュールが改ざんされ、各更新モジュールを不正に利用されることを防止するために、更新モジュール同士が相互に改ざん検出を実施する。これにより、更新モジュール群130の一部が攻撃され、改ざんされた場合においても、それを検出し、攻撃に対処することが可能となる。なお、各更新モジュール(131、132、133)の構成については後述する。
【0035】
アクセス制御モジュール140は、更新モジュール(131、132、133)が他のモジュールを消去するために必要なアクセス情報を保持する。アクセス情報は、消去対象であるモジュールの消去に必要な情報(モジュールが配置されているアドレスや消去に必要な手順が書かれた手順書等)である。アクセス制御モジュール140は、消去対象であるモジュール毎に、それぞれ個別のアクセス情報取得鍵で暗号化された状態のアクセス情報を保持している。
【0036】
ここで、図2に戻って、機器100のソフトウェア階層について説明する。図2に示すように、アクセス制御モジュール140及び更新モジュール群130は、OS150の中に組み込まれている。アプリ110及びアプリ111は、OS150上で動作し、保護制御モジュール120及びブートローダ160は、OS150の管理外にある。
機器100の起動の際には、まず保護制御モジュール120及び更新モジュール群130が起動された上でアプリケーションが実行される。
【0037】
続いて、図4を用いて、機器100のハードウェア構成について説明する。図4に示すように、機器100は、CPU(Central Processing Unit)171、不揮発メモリ(例えば、EEPROM(Electrically Erasable and Programmable Read Only Memory))172、RAM(Random Access Memory)173、及びNIC(Network Interface Card)174等を含んで構成され、これらはバスを介して相互に通信可能に接続されている。
【0038】
EEPROM172には、保護制御モジュール120、更新モジュール(131、132、133)、及びアプリ(110、111)等が格納されている。
EEPROM172に格納されている各種モジュールをCPU171が実行することにより、各種モジュールの各機能部が実現される。各機能部は、具体的には、コンピュータプログラムによって記述されている。
【0039】
RAM173は、CPU171のワークエリアとして用いられる。RAM173には更新モジュール(131、132、133)及びアプリ(110、111)がロードされる。RAM173上で動作している更新モジュールが、保護制御モジュール120による改ざんチェック及び無効化の対象となる。
NIC174は、ネットワークに接続するための拡張カードである。
【0040】
3.更新サーバ200の構成
次に、更新サーバ200の構成について説明する。更新サーバ200は、機器100内部のソフトウェアを更新するために必要な更新用のソフトウェアを配布する装置である。
図5は、実施の形態1における更新サーバ200の構成図である。更新サーバ200は、判断部210、更新用ソフトウェア配布部220、モジュール無効化部230、モジュール追加部240、監視パターン更新部250及び通信部260から構成される。
【0041】
判断部210は、機器100内部のソフトウェア(アプリ110、111、保護制御モジュール120、更新モジュール群130)の状態に応じて、予め与えられた判断基準を用いて、機器100が次に実行すべき処理を決定する。そして、更新サーバ200内部の各モジュール(更新用ソフトウェア配布部220、モジュール無効化部230、モジュール追加部240、監視パターン更新部250)に指示を行う。
【0042】
更新用ソフトウェア配布部220は、機器100内部のソフトウェア(アプリ110、111、保護制御モジュール120)を更新する時に、判断部210の更新処理開始指示に応じて、更新モジュール群130と連携して動作し、更新用のソフトウェアを機器100へ安全に送信する。
モジュール無効化部230は、機器100の更新モジュール群130の更新モジュールを無効化する時に、判断部210のモジュール無効化の指示に応じて、更新モジュール群130と連携して動作し、アクセス情報取得鍵を、無効化対象である更新モジュールの無効化処理を行う更新モジュールへ配布する。
【0043】
モジュール追加部240は、機器100の更新モジュール群130に更新モジュールを追加する時に、判断部210のモジュール追加の指示に応じて、更新モジュール群130と連携し、追加用の更新モジュールを機器100へ安全に送信する。
監視パターン更新部250は、機器100の更新モジュール群130の監視パターンを更新する時に、判断部210の監視パターン更新の指示に応じて、更新モジュール群130と連携し、更新モジュール群130内の各更新モジュールの監視パターンを更新するために必要なデータを送信する。
【0044】
通信部260は、機器100との間で情報の送受信を行う。通信部260は、機器100から受信した情報を、情報の種類に応じて、更新サーバ200の各部に出力する。また、通信部260は、更新サーバ200の各部から指示や情報を受け取り、機器100に送信する。
具体的には、通信部260は、更新処理の際に、更新用ソフトウェア配布部220から受け取った指示や通知などを機器100に送信したり、機器100から受信した改ざん検出の結果を判断部210に送信したりする。
【0045】
また、通信部260は、無効化処理では、モジュール無効化部230と機器100との間で指示や情報を送受信する。また、通信部260は、追加処理では、モジュール追加部240と機器100との間で指示や情報を送受信し、監視パターン更新処理では、監視パターン更新部250と機器100との間で指示や情報を送受信する。
機器100と更新サーバ200とは、ネットワークを介して接続され、機器100内部のソフトウェア(アプリ110、111、保護制御モジュール120)を更新する場合には、更新モジュール群130と更新用ソフトウェア配布部220とが連携して動作し、機器100内部のソフトウェアを更新するために、更新用のソフトウェアをインストールする。
【0046】
また、機器100内部のソフトウェア(アプリ110、111、保護制御モジュール120、更新モジュール131、132、133)が攻撃され改ざんされた場合には、改ざんされていない更新モジュールとアクセス制御モジュール140とモジュール無効化部230とが連携して動作し、改ざんされたソフトウェアを消去する。
また、更新モジュール群130の更新モジュールの数が消去により減少した場合には、改ざんされていない更新モジュールとモジュール追加部240とが連携して動作し、更新モジュールを追加する。
【0047】
また、更新モジュールの消去や追加により更新モジュール間の相互監視の監視パターンに変更が必要になった場合には、監視パターン更新部250と更新モジュール群130とが連携して動作し、監視パターンを更新する。
なお、機器100と更新サーバ200との間の通信は、データを暗号化する等により、セキュリティを確保した通信路を用いてもよい。
【0048】
4.更新モジュール131、132、133の構成
次に、更新モジュール群130に含まれる更新モジュールの構成について説明する。ここでは、更新モジュール131の構成について説明するが、他の更新モジュールも基本的に同一の構成を有する。
図6は、更新モジュール131の構成図である。更新モジュール131は、更新モジュール本体、更新モジュール検証用証明書、MAC(Message Authentication Code)値テーブル及び監視パターン情報から構成される。
【0049】
更新モジュール本体は、ソフトウェアの更新処理を行うプログラムである。更新モジュール本体の詳細は後述する。
更新モジュール検証用証明書は、更新モジュール本体が改ざんされていないかを検証するための証明書である。更新モジュール本体を検証するモジュールは、更新モジュール本体と本検証用証明書とを取得し、更新モジュール本体が改ざんされていないか検証を行う。
【0050】
MAC値テーブルは、モジュールの改ざんの有無の検証にMAC値を利用する場合に使用されるテーブルである。本テーブルには、モジュールを識別するためのモジュール識別子と、そのモジュールに対応するMAC値とが対になって格納されている。モジュールの改ざん検出は、対象のモジュールを取得し、MAC値を計算し、計算されたMAC値とMAC値テーブルに格納されている対象モジュールのMAC値とを比較することにより行う。
【0051】
監視パターン情報は、更新モジュールが相互監視を行うときの監視対象に関する情報である。図7は、監視パターン情報の構成図である。監視パターン情報は、監視パターン本体、監視頻度及び検証値リストから構成される。
監視パターン本体には、監視対象であるモジュールに関する情報(例えば、モジュール識別子、メモリ上の位置、サイズ、アドレス、ファイル名等)が記述されている。監視パターン本体には、複数の監視パターンが記述可能であり、複数の監視パターンを記述する場合には、それぞれを、監視パターン識別子で区別する。監視パターン本体のデータ構造は、先頭にヘッダ情報として監視パターンの数と監視パターンそれぞれのサイズとが記述され、それ以降に、監視パターン識別子と監視パターンとの組が記述される。
【0052】
監視頻度は、監視パターン本体に記述されている監視対象を監視するタイミングに関する情報である。監視パターン情報に監視頻度を含めることにより、監視の頻度を任意に調整できるので、更新モジュールの改ざんを適切に検証できる。
タイミングに関する情報としては、監視を行う時刻や、繰り返し監視を行う場合はその時間間隔などである。また、監視パターン本体に複数の監視パターンが記述されている場合には、監視パターン毎に監視頻度を記述してもよい。その場合、監視頻度と、その監視頻度を利用する監視パターンの監視パターン識別子とを記述する。また、複数の監視パターンのうち、使用する監視パターンを選択するタイミングを記述してもよい。更新モジュール131、132、133は、タイミング情報に応じて、監視パターンに記述されているモジュールを監視する。
【0053】
検証値リストは、監視パターン本体及び監視頻度を、更新サーバ200から正しく取得し、更新できたかを検証するための検証値が記述されている。
続いて、図8を用いて更新モジュール本体について説明する。図8は、更新モジュール131における更新モジュール本体の構成図である。同図に示すように、更新モジュール本体は、受信部301、送信部302、制御部303、更新部304、検証部305、MAC値生成部306、MAC値テーブル更新部307、監視パターン取得部308、監視パターン更新部309及び分散情報保持部310から構成される。
【0054】
受信部301は、更新サーバ200から、各種指示、通知、更新用ソフトウェアを受信する。また、受信部301は、相互監視を行うために必要な、他の更新モジュールの更新モジュール本体及び更新用モジュール検証用証明書を受信する。さらに、受信部301は、他のモジュールへ依頼した処理の結果を受信したり、他の更新モジュールによる保護制御モジュール120の監視結果を受信する。
【0055】
送信部302は、更新サーバ200、保護制御モジュール120、他の更新モジュール、アクセス制御モジュール140へ、各種処理結果や証明書などのデータを送信する。
制御部303は、受信部301が受信した各種指示及び通知に基づいて、更新部304、検証部305及び監視パターン更新部309を制御し、保護制御モジュール120、更新モジュール132及び更新モジュール133の更新処理及び検証処理、監視パターンの更新処理を行う。
【0056】
更新部304は、更新サーバ200と連携して、機器100内部のソフトウェア(アプリ110、111、保護制御モジュール120、更新モジュール132、133)を更新する。
検証部305は、保護制御モジュール120、更新モジュール132、133が正当か否かの検証を行う。検証方法としては、各モジュールに付加されている検証用の証明書を用いる方法や、事前に計算されたメッセージ認証コード(MAC)値を用いる方法がある。
【0057】
検証部305がどのモジュールをどのタイミングで検証するかは、監視パターン情報に記述されている。検証部305は、監視パターン情報から、監視パターン本体及び監視頻度を取得し、それらの情報に応じて検証を行う。監視パターンが複数ある場合には、更新サーバ200からの指示に応じて、利用する監視パターン及び監視頻度を変更する。例えば、更新サーバ200から、利用する監視パターン及び監視頻度をその都度指示してもよいし、どの時刻にどの監視パターン、どの監視頻度で監視を行うかが記述されたタイムチャートを用いて指示してもよい。また、機器100の状態と、監視パターン及び監視頻度とを対応付けたものを用いて指示してもよい。
【0058】
機器100の状態の具体例としては、「保護制御モジュール更新状態」、「保護制御モジュール非更新状態」や、「検証処理中」、「解析・判断処理中」、「回復処理中」などがある。そして、機器100の状態が「保護制御モジュール非更新状態」の場合、大まかな監視パターンで監視頻度を低くし、機器100の状態が「保護制御モジュール更新状態」の場合、細かな監視パターンで監視頻度を高くしてもよい。
【0059】
このように、保護制御モジュール120の回復時に更新モジュールの検証をより厳重に行うことにより、更新モジュールが改ざんされ、更新モジュールの正常な動作が妨害されるのを一層効果的に防止できる。
MAC値生成部306は、検証部305が使用するMAC値を生成する。MAC値生成部306は、予め保持している検証鍵を用いてMAC値を生成する。
【0060】
MAC値テーブル更新部307は、各モジュールのMAC値が格納されているMAC値テーブルを更新する。
監視パターン取得部308は、検証部305が検証処理を行うときの、監視対象のモジュールが記述されている監視パターンを取得する。監視パターンが複数ある場合には、取得する監視パターンの識別子を検証部305から指示し、監視パターン取得部308は指示された監視パターンを、監視パターン情報から取得する。
【0061】
監視パターン更新部309は、更新サーバ200から監視パターン更新の指示を受けると、本モジュール(更新モジュール131)が保持する監視パターンを、更新サーバ200から受信した新たな監視パターンへ更新する処理を行う。
分散情報保持部310は、保護制御モジュール120がアプリ(110、111)の暗復号処理を行うときに用いる暗復号鍵から生成された分散情報(share)と、保護制御モジュール120が分散情報を配布したときの配置情報とを保持する。配置情報は、どの分散情報をどの更新モジュールに配布したかを記述した情報である。
【0062】
署名方式に関しては、非特許文献1に詳しく説明されており、証明書に関しては、非特許文献2に詳しく説明されている。また、分散情報に関しては、特許文献2に詳しく説明されている。
5.保護制御モジュール120の構成
図9は、機器100の保護制御モジュール120の構成図である。同図に示すように、保護制御モジュール120は、受信部401、送信部402、制御部403、復号ロード部404、改ざん検出部405、解析ツール検出部406、暗復号鍵保持部407、暗復号鍵生成部408、暗復号鍵分散部409、証明書生成部410及び暗復号鍵復元部411から構成される。
【0063】
受信部401は、更新モジュール131、132、133から、分散情報や各種依頼などを受信する。
送信部402は、更新モジュール131、132、133へ、各種依頼などを送信する。
制御部403は、復号ロード部404、改ざん検出部405及び解析ツール検出部406を制御し、アプリ(110、111)が攻撃者により攻撃されている場合に、それを検出する。
【0064】
復号ロード部404は、暗号化して機器100内部に保持されているアプリ(110、111)を実行するときに、暗復号鍵を用いて復号し、メモリ上にロードする処理を行う。また、アプリ(110、111)の実行中に、他のアプリへのコンテキストスイッチが発生した場合には、メモリ上のデータを、暗復号鍵を用いて暗号化する。そして、再びアプリ(110、111)へコンテキストスイッチしたときに、暗号化したデータを復号する。
【0065】
さらに、復号ロード部404は、後述する再暗号化処理において、暗復号鍵復元部411から入力される復元された暗復号鍵を用いて、アプリ(110、111)を復号し、暗復号鍵保持部407が保持している新たな暗復号鍵を用いて、アプリ(100、111)を暗号化する。
改ざん検出部405は、アプリ(110、111)の改ざんの有無を検出する改ざん検出処理を実行する。改ざん検出部405は、アプリ(110、111)に付加されている改ざん検出用の証明書を用いて改ざん検出処理を行ってもよいし、MAC値を比較する方法を用いてもよい。
【0066】
解析ツール検出部406は、デバッガなどの解析ツールがインストールされたり、動作したときにそれを検出する。不正な攻撃者がアプリ(110、111)を攻撃するために、解析ツールをインストールしたり、動作させることが想定されるからである。検出方法としては、例えば、ファイル名を検索する方法や、デバッガが使用する特殊なレジスタが使用されているかを調べる方法や、デバッガが設定する割り込みを検出する方法などを用いる。
【0067】
暗復号鍵保持部407は、アプリ(110、111)を暗復号するための暗復号鍵を保持する。
暗復号鍵生成部408は、アプリ(110、111)を暗復号するための暗復号鍵を生成する。
暗復号鍵分散部409は、初期設計時及び次ラウンド準備時に、秘密分散法を用いて、暗復号鍵から分散情報を生成する。
【0068】
証明書生成部410は、暗復号鍵から生成された分散情報を復元したときに、正しく復元できたか否かを検証するために使用する証明書を生成する。
暗復号鍵復元部411は、更新モジュールの構成に基づいて、各更新モジュールから分散情報を取得し、取得した分散情報から暗復号鍵を復元する。なお、更新モジュールの構成とは、更新モジュール群130内の分散情報の配置情報である。暗復号鍵復元部411は、復元した暗復号鍵を復号ロード部404に出力する。
【0069】
6.アクセス制御モジュール140の構成
図10は、機器100のアクセス制御モジュール140の構成図である。同図に示すように、アクセス制御モジュール140は、受信部501、送信部502及びアクセス情報保持部503から構成される。
受信部501は、更新モジュール(131、132、133)から、改ざんされた更新モジュールを消去するために必要な情報であるアクセス情報の取得依頼を受信する。
【0070】
送信部502は、アクセス情報取得依頼に応じて、アクセス情報取得を依頼してきた更新モジュールへアクセス情報を送信する。
アクセス情報保持部503は、更新モジュール131、132、133毎に、そのモジュールを消去するためのアクセス情報を保持する。
各アクセス情報は、消去対象となる更新モジュールの識別子(更新モジュール識別子)が付されており、識別子によって更新モジュールと対応付けられている。各アクセス情報は、アクセス情報取得鍵で暗号化されている。
【0071】
更新モジュール131、132、133から、アクセス情報取得依頼があると、アクセス情報保持部503は、消去対象の更新モジュールの識別子が付されたアクセス情報を、送信部502を介して、更新モジュールへ送信する。
7.判断部210の構成
図11は、更新サーバ200の判断部210の構成図である。同図に示すように、判断部210は、受付部601、指示部602、指示生成部603、不正モジュール特定部604、判断基準読込部605及び判断基準格納部606から構成される。
【0072】
受付部601は、更新モジュール131、132、133から、分散情報、各種依頼などを受信し、指示生成部603へ出力する。さらに、受付部601は、更新サーバ200内の各部(更新用ソフトウェア配布部220、モジュール無効化部230、モジュール追加部240、監視パターン更新部250)から、処理が完了した通知を受け付けると、指示生成部603へ出力する。
【0073】
指示部602は、指示生成部603で生成された指示を更新サーバ200内の各部へ出力する。
指示生成部603は、判断基準読込部605から受け付けた判断基準に基づいて、機器100の処理の優先順位を決定し、更新サーバ200内の各部へ出力すべき指示を生成する。
【0074】
具体的に、保護制御モジュール120が改ざんされていない場合、指示生成部603は、モジュール無効化部230へ更新モジュールの無効化処理を指示し、その後、モジュール追加部240へ更新モジュールの追加処理を指示し、さらに、その後、監視パターン更新部250へ監視パターンの更新処理を指示する。
一方、保護制御モジュール120が改ざんされている場合、指示生成部603は、更新用ソフトウェア配布部220へ保護制御モジュール120の回復処理を指示し、その後、モジュール無効化部230へ更新モジュールの無効化処理を指示する。更に、その後、モジュール追加部240へ更新モジュールの追加処理を指示し、監視パターン更新部250へ監視パターンの更新処理を指示する。
【0075】
不正モジュール特定部604は、更新モジュール131、132、133から受信した相互監視結果(改ざん検出結果)を用いて、更新モジュールが改ざんされているか否かを判定し、更新モジュールが改ざんされていると判定した場合には、どの更新モジュールが改ざんされたかを特定する。さらに、不正モジュール特定部604は、更新モジュール131、132、133から受信した保護制御モジュール120についての改ざん検出結果から、保護制御モジュール120が改ざんされているか否かを判定する。
【0076】
判断基準読込部605は、判断基準格納部606に格納されている判断基準を読み込み、指示生成部603へ出力する。
判断基準格納部606は、予め与えられた判断基準を格納している。判断基準は、機器100の状態と処理の優先順位とを対応付けたものである。
8.更新用ソフトウェア配布部220の構成
図12は、更新サーバ200の更新用ソフトウェア配布部220の構成図である。同図に示すように、更新用ソフトウェア配布部220は、受信部701、送信部702、暗号鍵生成部703、暗号処理部704、認証部705、更新モジュール選択部706、制御部707、証明書生成部708、署名秘密鍵保持部709、更新用ソフトウェア保持部710及び暗号鍵保持部711から構成される。
【0077】
受信部701は、更新モジュール131、132、133から保護制御モジュール120の改ざん検出結果や、他の更新モジュールの相互監視結果(改ざん検出結果)を受信する。
送信部702は、機器100内部のソフトウェア(アプリ110、111、保護制御モジュール120)を更新する必要があるときに、更新モジュール131、132、133へ、更新処理開始の依頼、更新用ソフトウェア、復号に必要な鍵などのデータを送信する。
【0078】
暗号鍵生成部703は、更新用ソフトウェアを更新モジュール131、132、133へ送信するときに使用する暗号鍵を生成する。
暗号処理部704は、暗号鍵生成部703が生成した暗号鍵を用いて、更新用ソフトウェアを暗号化する。また、各更新モジュールに固有の鍵を用いて、暗号鍵を暗号化する。
認証部705は、更新モジュール131、132、133、及び、保護制御モジュール120と相互認証を行う。
【0079】
更新モジュール選択部706は、保護制御モジュール120を更新するときに、更新処理にどの更新モジュールを使用するかを選択する。そして、更新モジュール選択部706は、更新用の保護制御モジュールの暗号化に用いられた暗号鍵を、選択した更新モジュールに固有の鍵を用いて暗号化し、選択した更新モジュールへ送信する。
制御部707は、更新用ソフトウェア配布部220内の各構成要素を制御する。具体的には、制御部707は、複数の暗号鍵を用いた更新用ソフトウェアの多重暗号化、多重暗号化に使用した複数の暗号鍵の暗号化、及び、暗号化した更新用ソフトウェアと暗号鍵との更新モジュールへの送信を制御する。
【0080】
ここで、暗号鍵及び更新用ソフトウェアは、一度に更新モジュール131、132、133へ送信するのではなく、更新処理の中で、それぞれのデータが必要になったタイミングで、それぞれの更新モジュール131、132、133へ送信する。
証明書生成部708は、署名秘密鍵を用いて、更新モジュール131、132、133の認証公開鍵に対する認証証明書を生成する。また、証明書生成部708は、更新用の新保護制御モジュールに対する更新検証証明書を生成する。更新検証証明書は、保護制御モジュールが正しく更新されたか否かを検証するために用いられる。
【0081】
署名秘密鍵保持部709は、証明書生成部708による証明書の生成に用いられる署名秘密鍵を保持する。
更新用ソフトウェア保持部710は、保護制御モジュール120が攻撃された時に更新するための更新用の保護制御モジュールを保持する。
暗号鍵保持部711は、暗号鍵生成部703により生成された暗号鍵及び暗号処理部704により暗号化された暗号鍵を保持する。
【0082】
9.モジュール無効化部230の構成
図13は、更新サーバ200のモジュール無効化部230の構成図である。同図に示すように、モジュール無効化部230は、受信部801、送信部802、アクセス情報取得鍵保持部803及び更新モジュール選択部804から構成される。
受信部801は、判断部210から不正に改ざんされた更新モジュールを消去する指示を受け付ける。また、受信部801は、機器100の更新モジュール131、132、133からアクセス情報取得鍵の取得依頼を受信する。
【0083】
送信部802は、アクセス情報取得鍵の取得依頼に応じて、アクセス情報取得鍵を、依頼してきた更新モジュールへ送信する。
アクセス情報取得鍵保持部803は、アクセス制御モジュール140が保持するアクセス情報を復号するためのアクセス情報取得鍵を保持する。
更新モジュール選択部804は、無効化対象の更新モジュール(改ざんされたと判定された更新モジュール)を消去する無効化処理を行う更新モジュールを選択し、選択した更新モジュールに、無効化処理を指示する。更新モジュール選択部804は、選択した更新モジュール(無効化処理を行う更新モジュール)からアクセス情報取得鍵の取得依頼があった場合には、消去対象となる更新モジュールの識別子を付加したアクセス情報取得鍵を、無効化処理を行う更新モジュールへ送信する。
【0084】
10.モジュール追加部240の構成
図14は、更新サーバ200のモジュール追加部240の構成図である。同図に示すように、モジュール追加部240は、受信部901、送信部902、更新モジュール選択部903、更新モジュール保持部904、更新モジュール分割部905及び制御部906から構成される。
【0085】
受信部901は、判断部210から更新モジュール追加の指示と、この時点で更新モジュール群130に含まれている更新モジュールのリストとを受信する。
送信部902は、機器100へ、追加用の更新モジュール及び更新モジュールが正しく追加されたかを検証するための検証値を送信する。また、送信部902は、判断部210へ、更新モジュールの追加処理の終了を通知する。
【0086】
更新モジュール選択部903は、判断部210から受信した更新モジュールのリストから、更新モジュールの追加処理を行う更新モジュールを選択する。
更新モジュール保持部904は、追加用の更新モジュールを保持する。
更新モジュール分割部905は、更新モジュール保持部904から追加用の更新モジュールを1つ取得し、更新モジュール選択部903が選択した数に応じて、追加用の更新モジュールを分割する。更新モジュール分割部905は、分割した更新モジュールを、更新モジュール選択部903が選択した各更新モジュールへ送信する。
【0087】
制御部906は、判断部210及び更新モジュール131、132、133と連携して、更新モジュールの追加処理を制御する。
11.監視パターン更新部250の構成
図15は、更新サーバ200の監視パターン更新部250の構成図である。同図に示すように、監視パターン更新部250は、受信部1001、送信部1002、監視パターン生成部1003、監視パターン分割部1004及び制御部1005から構成される。
【0088】
受信部1001は、判断部210から、監視パターン更新の指示と、この時点で更新モジュール群130に含まれている更新モジュールのリストとを受信する。
送信部1002は、機器100へ更新用の監視パターンを送信する。また、送信部1002は、判断部210へ監視パターンの更新処理の終了を通知する。
監視パターン生成部1003は、判断部210から受信した更新モジュールのリストから、どの更新モジュールがどの更新モジュールを監視するかを決定し、監視パターンを生成する。監視パターンの一例としては、各更新モジュールが他のすべての更新モジュールを監視するとしてもよい。
【0089】
監視パターン分割部1004は、監視パターン生成部1003により生成された監視パターンを、それぞれの更新モジュール毎の監視パターンに分割する。そして、監視パターン分割部1004は、分割した監視パターンを更新用の監視パターンとして、それぞれの更新モジュールに送信する。
制御部1005は、監視パターン生成部1003と監視パターン分割部1004とを制御し、監視パターンの更新処理を行う。
【0090】
12.ソフトウェア更新システム10の動作
続いて、図16を用いて、ソフトウェア更新システム10の動作について説明する。
先ず、ソフトウェア更新システム10のインストール処理を説明する。インストール処理には、大まかに以下の9つの処理が含まれる。
1つ目は、初期設定処理である。初期設定処理では、ソフトウェア更新に必要な各種鍵データ及びソフトウェア更新後に必要となるデータから秘密分散法を用いて生成された分散情報を、各更新モジュール131、132、133に埋め込む。
【0091】
2つ目は、検知処理である。検知処理では、機器100内部のソフトウェア(アプリ110や111、保護制御モジュール120)が改ざんされていないかを検出する。
3つ目は、解析・判断処理である。解析・判断処理では、改ざんが検出された場合に、どのモジュールが改ざんされたかの判定、及び改ざんされた原因の解析を行い、改ざんされたモジュールを含むソフトウェアを更新するか否かを判定する。そして、ソフトウェアを更新する場合は、改ざんされた箇所を修正した更新用のソフトウェアを生成し、更新モジュール131、132、133へ更新処理の実施を通知する。
【0092】
4つ目は、相互認証処理である。相互認証処理では、更新モジュール131、132、133と更新用ソフトウェア配布部220とが互いに正しいソフトウェアであるかどうかを確認するために、相互に認証処理を行う。
5つ目は、回復処理である。回復処理では、更新用のソフトウェアを機器100へインストールし、更に、更新モジュール131、132、133へ埋め込まれた分散情報から元のデータを復元する。
【0093】
6つ目は、次ラウンド準備処理である。次ラウンド準備処理では、次のソフトウェア更新のための分散情報を生成し、各更新モジュールに埋め込む。
7つ目は、無効化処理である。無効化処理では、検知処理、相互認証処理、回復処理において、更新モジュール131、132、133又は保護制御モジュール120が不正に改ざんされたことを検知した場合に、改ざんされたモジュールを消去する。
【0094】
8つ目は、追加処理である。追加処理では、無効化処理によって更新モジュールが減少した場合、インストール処理を確実に行うために、更新モジュールを増やしたい場合などに、更新モジュールを追加する。
9つ目は、監視パターン更新処理である。監視パターン更新処理では、無効化処理や追加処理により、更新モジュール群130の構成を変更した場合に、監視パターンの更新が必要であれば、監視パターンを更新する。
【0095】
上記9つの処理のうち、初期設定処理、検知処理、解析・判断処理、相互認証処理、回復処理及び次ラウンド処理は、図16に示す順序で行われる。無効化処理、追加処理及び監視パターン更新処理は、図16に記載されたそれぞれの処理の中で必要に応じて呼び出される。
図16は、ソフトウェア更新システム10の全体的な動作の流れを示すフローチャートである。
【0096】
ソフトウェア更新システム10は、機器100の工場製造時に初期設計処理を行い、各更新モジュール131、132、133へ分散情報を埋め込む。その後、機器100は、工場から出荷され、ユーザにより利用される。
ユーザにより機器100が利用される際には、機器100は、検知処理を行う。具体的には、保護制御モジュール120がアプリ(110、111)を攻撃者による攻撃から保護する。これと同時に、更新モジュール131、132、133が保護制御モジュール120の改ざん検出を実施し、保護制御モジュール120が攻撃されていないかをチェックする。
【0097】
更新サーバ200が、検知処理を行った更新モジュールから、保護制御モジュールが改ざんされた旨の通知を受信した場合、更新サーバ200は、解析・判断処理を行う。保護制御モジュール120が改ざんされたと判明した場合には、相互認証処理、回復処理、次ラウンド準備処理を行った後、再び、検知処理へ戻る。
なお、本発明のソフトウェア更新システムは、上記のすべての処理は必須ではない。ソフトウェア更新システムは、外部から更新のトリガを与えられて、更新を行う処理(回復処理)があればよい。
【0098】
以下では、上記の9つの処理について、それぞれの詳細を説明する。
13.初期設計処理の動作
ここでは、図17〜図19を用いて、初期設計処理について説明する。
図18は、ソフトウェア更新システム10による初期設計処理の動作を示すシーケンス図である。
【0099】
機器100の工場製造時に、機器100の不揮発メモリへアプリ(110、111)、保護制御モジュール120、更新モジュール(131、132、133)などをインストールする(S1000)。
これらのソフトウェアには、ソフトウェアが改ざんされているか否かを検証するための改ざん検出用証明書が付加されている。この改ざん検出用証明書は、更新サーバ200の更新用ソフトウェア配布部220が保持する署名秘密鍵により署名が施されている。なお、S1000では、上記のソフトウェア以外にも、機器100の動作に必要なソフトウェアがインストールされる。
【0100】
ここで、図17を用いて、初期設計処理の際に機器100に埋め込まれる鍵について説明する。図17は、機器100に埋め込まれる鍵を模式的に示す図である。ここでは、更新モジュール131だけ示し、更新モジュール132及び133については省略する。
図17に示すように、保護制御モジュール120には暗復号鍵が埋め込まれ、更新モジュール131、132、133には署名公開鍵、検証鍵及び認証鍵対が埋め込まれる(この時点では、まだ、更新モジュールに分散情報の組は埋め込まれてない)。更に、更新モジュール131、132、133には、それぞれ更新モジュールを識別するための更新モジュール識別子が埋め込まれ、その状態でインストールされる。
【0101】
暗復号鍵は、アプリ(110、111)を暗号化及び復号するための鍵である。アプリ(110、111)は、暗復号鍵を用いて暗号化された状態で不揮発メモリへ記憶され、実行時に保護制御モジュール120により暗復号鍵を用いて復号された後、実行される。機器100が、コンテキストを切り替えながら複数のアプリを実行する場合には、コンテキスト切り替えのタイミングで、暗復号鍵を用いて、アプリ(110、111)が使用しているデータの暗号化及び復号を行うことにより、アプリ(110、111)実行時に、デバッガなどの解析ツールによって、データが抜き取られることを防止する。
【0102】
更新モジュール131、132、133に埋め込まれる鍵のうち、署名公開鍵はすべての更新モジュールで共通の鍵である。検証鍵と認証鍵対は、それぞれの更新モジュールで異なる鍵である。
図18に戻って説明を続ける。S1000で各ソフトウェアをインストールした後、初期設定を行うソフトウェア、正常に動作するかをテストするためのソフトウェアなどを実行し、機器100を初期化する(S1001)。
【0103】
S1001の初期化処理では、保護制御モジュール120、更新モジュール131、132、133でも、それぞれ初期化処理が行われる。
保護制御モジュール120は、暗復号鍵から秘密分散法を用いて分散情報を生成する(S1002)。更に、保護制御モジュール120は、署名秘密鍵を用いて、暗復号鍵の復元時に、暗復号鍵が正しく復元できたか否かを確認するための証明書(暗復号鍵証明書)を生成する(S1003)。
【0104】
保護制御モジュール120は、生成した分散情報と暗復号鍵証明書とを、更新モジュール131、132、133へ送信する(S1004)。ここで、保護制御モジュール120は、分散情報保持部310を備える更新モジュールと同数の分散情報を生成する。そして、それぞれの更新モジュール131、132、133が、異なる分散情報の組を保持するように送信する。更に、保護制御モジュール120は、どの更新モジュールへどの分散情報を送信したかを示す分散情報の配置情報を送信する。暗復号鍵証明書と配置情報とは、すべての更新モジュール131、132、133へ同じ情報が送信される。
【0105】
暗復号鍵から秘密分散法を用いて分散情報を生成する方法や、分散情報を更新モジュールへ送信する方法については、特許文献2の47ページから49ページに詳しく説明されている。特許文献2における秘密鍵dを本実施の形態の暗復号鍵に対応させ、認証局装置を保護制御モジュール120に対応させ、分散情報保持装置を更新モジュール131、132、133に対応させることで、特許文献2と同じ方法を用いることができる。
【0106】
保護制御モジュール120から分散情報、配置情報及び暗復号鍵証明書を受信した更新モジュール群130は、更新モジュール初期化処理へ移行する。
13.1.更新モジュール初期化処理
図19は、更新モジュール初期化処理を示すフローチャートである。ここでは、更新モジュール131について説明するが、他の更新モジュール132、133の動作も基本的に同一である。
【0107】
更新モジュール131は、保護制御モジュール120から分散情報、配置情報及び暗復号鍵証明書を受信し、受信した各情報を分散情報保持部310に保持する(S1005)。
更に、更新モジュール131は、改ざん検出対象である他の更新モジュール132、133及び保護制御モジュール120の改ざん検出用証明書の検証を行う(S1006)。この検証は、各モジュールからハッシュ値を生成し、生成したハッシュ値とそれぞれの改ざん検出用証明書に記述されているハッシュ値とを比較することにより行う。
【0108】
生成した各ハッシュ値がそれぞれの改ざん検出用証明書に記述されているハッシュ値と一致するか否かを判定し、一致すれば、他の更新モジュール132、133、保護制御モジュール120のそれぞれに対してMAC値を生成する。そして、生成したMAC値を、MAC値テーブルとして保持する(S1007)。
少なくとも1のハッシュ値が、改ざん検出用証明書に記述されているハッシュ値と一致しなければ、更新モジュール131は、エラーを出力して停止する(S1008)。
【0109】
14.検知処理の動作
機器100は、初期設計処理を終えると工場から出荷され、ユーザの元へ送られる。ユーザの元で機器100が使用される。
アプリ(110、111)を利用しているときには、機器100内部では、保護制御モジュール120が復号ロード機能、改ざん検出機能、解析ツール検出機能などの機能を制御し、アプリ(110、111)を攻撃者による攻撃から保護する。
【0110】
ここでは、図20のシーケンス図を用いて、検知処理の動作について説明する。
更新モジュール131、132、133は、保護制御モジュール120の改ざん検出を実施する(S2000)。
改ざん検出は、検証鍵を使用して保護制御モジュール120のMAC値を計算し、計算したMAC値とMAC値テーブルに保持されているMAC値とを比較することにより行う。MAC値が一致すれば、保護制御モジュール120は改ざんされていないと判定し、MAC値が一致しなければ、保護制御モジュール120は改ざんされていると判定する。
【0111】
なお、図20では記載を簡略化し、更新モジュール131のみが保護制御モジュールの改ざん検出を行っているように記載されているが、当然、更新モジュール132、133でも同様の処理が行われる。
その後の処理についても、更新モジュール131が保護制御モジュール120の改ざんを検出した場合を中心に記載しているが、更新モジュール132、133が保護制御モジュール120の改ざんを検出した場合も基本的には同様の処理が行われる。
【0112】
保護制御モジュール120が改ざんされているか否か、即ち、MAC値が一致するか否かを判定し、保護制御モジュール120が改ざんされていると判定した場合には、更新モジュール131は、その旨を、更新サーバ200の判断部210及び他の更新モジュールへ通知する(S2001)。
保護制御モジュール120が改ざんされていないと判定した場合には、更新モジュール131は、判断部210や他の更新モジュールへ通知を行わず、S2000の改ざん検出処理へ戻る。
【0113】
他の更新モジュールから保護制御モジュール120が改ざんされている旨の通知を受けた更新モジュールは、検証鍵及びMAC値を用いて、保護制御モジュール120の改ざん検出を実施する(S2002)。そして、改ざん検出結果を、判断部210及び他の更新モジュールへ通知する(S2003)。
判断部210は、更新モジュール131、132、133から改ざん検出結果を受信する。
【0114】
15.解析・判断処理の動作
次に、図21を用いて、解析・判断処理の動作について説明する。図21は、解析・判断処理の動作の流れを示すシーケンス図である。図21では、各更新モジュール131、132、133が個別に行う処理を、更新モジュール群130が行う処理としてまとめて記載している。
【0115】
検知処理において、更新モジュールから判断部210へ、保護制御モジュール120の改ざんを検出した旨の通知(S2001またはS2003)があった場合、判断部210は、更新モジュールから通知された改ざん検出結果に基づいて、保護制御モジュール120が不正であるか正当であるか(改ざんされているか否か)を判定する(S3000)。
判定方法の一例として、例えば、所定数の更新モジュールが改ざんを検出した場合には、保護制御モジュール120は不正である(改ざんされている)と判定し、また、所定数未満の更新モジュールが改ざんを検出した場合には、保護制御モジュール120は正当である(改ざんされていない)と判定する。前記所定数は、更新モジュール群130に含まれる更新モジュールの過半数としてもよい。
【0116】
保護制御モジュール120が不正である(改ざんされている)と判定した場合、判断部210は、保護制御モジュール120を回復する必要があるか否かを判断するために、更新モジュールに対して、保護制御モジュール120のどの部分が改ざんされたかなどの改ざん情報の通知を依頼する(S3001)。判断部210は、改ざん情報に基づいて、保護制御モジュール120を回復する必要があるか否かを判断する(S3002)。
【0117】
S3002の「回復する必要があるか否か」の判断に代えて、「リボークするか否か」を判断するとしてもよい。
S3002の判断の結果、回復する必要がある場合、更新用の保護制御モジュールを準備し(S3003)、更新モジュールに、更新処理の開始を指示する(S3004)。また、リボークする場合には、アプリ(110、111)にサービスを提供しているサーバに対して、機器100をリボークするように依頼する(S3005)。
【0118】
保護制御モジュール120が正当である(改ざんされていない)と判定した場合には、更新モジュール群130を更新する必要があるか否かを判断するために、通常時判断処理に移行する(S3006)。
15.1.通常時判断処理
図22は、解析・判断処理の通常時判断処理(S3006)のシーケンス図である。
【0119】
更新サーバ200の判断部210は、更新モジュール群130に対し、相互監視処理の指示を送信し、更新モジュール群130は相互監視処理を行う(S3100)。更新モジュール群130は、相互監視処理による検出結果を、判断部210に通知する。
判断部210は、検出結果の通知を受けると、通常時無効化判断処理を行い(S3200)、追加判断処理(S3300)、監視パターン更新判断処理(S3400)を行う。
【0120】
15.2.相互監視処理
図23は、相互監視処理(S3100)の詳細なシーケンス図である。
更新モジュール群130内の更新モジュール131、132、133は、それぞれ、他の更新モジュールに対して改ざん検出の処理を実施し、攻撃者により改ざんされていた場合には、それを検出する。
【0121】
具体的には、更新モジュール131が更新モジュール132の改ざん検出を行い(S3101)、更新モジュール132が更新モジュール133の改ざん検出を行い(S3102)、更新モジュール133が更新モジュール131の改ざん検出を行う(S3103)。
改ざん検出は、検証鍵を用いて各更新モジュールのMAC値を計算し、計算したMAC値と、MAC値テーブルに保持されているMAC値とを比較することで行う。そして、各更新モジュールは、改ざん検出処理の結果を、判断部210及び他の更新モジュールへ通知する。
【0122】
各更新モジュールの改ざん検出処理が完了すると、通常時判断処理に戻る。
15.3.通常時無効化判断処理
図24は、通常時判断処理の通常時無効化判断処理(S3200)の詳細なフローチャートである。
図24を用いて、通常時無効化判断処理について説明する。
【0123】
判断部210の不正モジュール特定部604において不正であると判定された更新モジュールが、更新モジュール群130の半数以上である場合(S3201)、判断部210の指示生成部603は、更新モジュール群130の全体を更新する指示を生成し、更新モジュール群130全体を更新する(S3202)。
更新モジュール群130の全体を更新することにより、更新モジュールの正常な動作が妨害されるのを防止できる。
【0124】
判断部210の不正モジュール特定部604において不正であると判定された更新モジュールが、更新モジュール群130の半数未満である場合(S3201)、不正モジュール特定部604は、更新モジュール群130のいずれかの更新モジュールが危殆化しているか判定し(S3203)、危殆化されていると判定された更新モジュールの無効化処理を実施する(S3204)。無効化処理についての詳細は後述する。
【0125】
通常時無効化判断処理では、保護制御モジュール120が改ざんされていないことを確認した上で、更新モジュールが危殆化していた場合、無効化処理を行うため、更新モジュールの無効化処理の間に、不正な保護制御モジュールを介してアプリ(110、111)が攻撃されるのを防止できる。
いずれの更新モジュールも危殆化していないと判定した場合、または、無効化処理が完了すると、通常時判断処理に戻る。
【0126】
15.4.追加判断処理
次に、追加判断処理について説明する。図26は、通常時判断処理の追加判断処理(S3300)の詳細なフローチャートである。
判断部210は、更新モジュール群130の更新モジュールの数が所定値以下であるかを判定し(S3301)、所定値以下の場合、追加処理を行う(S3302)。追加処理についての詳細は後述する。更新モジュールの数が所定値以上であった場合、または、追加処理が終了すると、通常時判断処理に戻る。
【0127】
追加処理により更新モジュールを追加することで、相互監視処理を行う更新モジュールの数を一定数に保つことができるので、更新モジュールの改ざんを更新モジュール群130の内部で安定して自己検証することができる。
また、保護制御モジュール120が改ざんされていないことを確認した上で追加処理を行うので、更新モジュールの追加処理の間に、不正な保護制御モジュールを介してアプリ(110、111)が攻撃されるのを防止できる。
【0128】
なお、更新モジュールの数が所定値以下でなくても、判断部210が更新モジュールの追加が必要と判断した場合には、追加処理を行ってもよい。
具体的には、更新モジュールの数が所定値以上であったとしても、幾つかの更新モジュールが短い期間に連続して危殆化した場合は、すぐに所定値以下になる可能性がある。このような場合、更新モジュール全体の安全性を向上させるために、更新モジュールの数が所定値以上であったとしても、更新モジュールを追加してもよい。
【0129】
ここで、「所定値」とは、システム設計時に決定する値であり、例えば、「システム設計時の更新モジュールの数の過半数」、或いは「4つ」などの具体的な数値が考えられる。
また、新たな更新モジュールを更新モジュール群に追加する処理に代えて、更新モジュール群自体を更新してもよい。例えば、更新モジュールの数が所定値より大きい場合には、更新モジュールを更新モジュール群に追加し、所定値以下の場合には、更新モジュール群自体を更新するというような処理を行ってもよい。更新モジュール群を一新することにより、各更新モジュールの正常な動作が妨害されるのを防止できる。
【0130】
15.5.監視パターン更新判断処理
次に、図28を用いて、監視パターン更新判断処理を説明する。図28は、通常時判断処理の監視パターン更新判断処理(S3400)の詳細なフローチャートである。
判断部210は、無効化処理や追加処理により、更新モジュール群130の構成に変更があった場合、監視パターンの更新が必要であるかを判断する(S3401)。監視パターンの更新が必要であると判断した場合、監視パターン更新部250へ更新を指示し、監視パターン更新部250は、監視パターン更新処理を行う(S3402)。
【0131】
監視パターンを更新する必要がないと判断した場合、または、監視パターン更新処理が完了すると、通常時判断処理へ戻る。
監視パターン更新処理(S3402)では、監視されない更新モジュールが存在しないように監視パターンを更新する。以下、具体的に説明する。
更新モジュールAが更新モジュールBを監視していた時に、更新モジュールAが無効化された場合、更新モジュールBはどの更新モジュールからも監視されない可能性がある。そのため、更新モジュールBも、いずれかの更新モジュールにより監視される新たな監視パターンを生成し、更新モジュールAを除いた更新モジュールの監視パターンを更新する。
【0132】
また、更新モジュールCが新たに更新モジュール群に追加された場合、従来の監視パターンでは更新モジュールCを監視する更新モジュールがないため、更新モジュールCを含めた更新モジュール群での新たな監視パターンを生成し、更新モジュールCを含めたすべての更新モジュールの監視パターンを更新する。
これにより、更新モジュールの無効化後であっても、また、新たな更新モジュールの追加後であっても相互監視を維持し、更新モジュールの正常な動作が妨害されるのを防止できる。
【0133】
16.相互認証処理の動作
ここでは、図29及び図30を用いて、ソフトウェア更新システム10による相互認証処理の動作について説明する。
更新サーバ200の判断部210が、解析・判断処理において、保護制御モジュール120を回復する必要があると判断した場合、判断部210は、更新用ソフトウェア配布部220へ、保護制御モジュール120の回復を指示する。
【0134】
更新用ソフトウェア配布部220は、更新モジュール131、132、133へ更新処理の開始を指示した後、各更新モジュールとの間で、それぞれ1対1の相互認証処理を行う。これにより、機器100が不正なサーバと接続したり、更新サーバ200が不正な機器と接続することを防止する。なお、相互認証処理において、更新サーバ200は、署名秘密鍵及び署名公開鍵を使用し、各更新モジュールは、認証鍵対(認証秘密鍵及び認証公開鍵)を使用する。
【0135】
図29は、更新モジュール131が更新用ソフトウェア配布部220を認証するときのシーケンス図である。なお、更新モジュール132、133も図29と同様に動作し、更新用ソフトウェア配布部220を認証する。
更新モジュール131は、乱数生成器を用いて乱数を生成し(S4000)、生成した乱数をチャレンジデータとして更新用ソフトウェア配布部220へ送信する(S4001)。この時、更新モジュール131を識別するための更新モジュール識別子を、チャレンジデータと共に送信する。
【0136】
更新用ソフトウェア配布部220は、受信したチャレンジデータに署名秘密鍵を用いて署名データを生成し(S4002)、生成した署名データをレスポンスデータとして、更新モジュール131へ返信する(S4003)。
更新モジュール131は、更新用ソフトウェア配布部220からレスポンスデータを受信すると(S4004)、署名公開鍵を用いて、受信したレスポンスデータが、チャレンジデータの署名データになっているか検証する(S4005)。
【0137】
検証の結果、レスポンスデータが正しく、更新用ソフトウェア配布部220が正当なモジュールである場合、更新モジュール131は、処理を継続する。レスポンスデータが正しくなく、更新用ソフトウェア配布部220が正当なモジュールでない場合には、更新モジュール131は、エラーを出力し、処理を停止する(S4006)。
次に、更新用ソフトウェア配布部220が、更新モジュール131、132、133を認証する。
【0138】
図30は、更新用ソフトウェア配布部220が各更新モジュールを認証するときのシーケンス図である。
更新用ソフトウェア配布部220は、チャレンジデータを送信してきた各更新モジュールに対して、乱数生成器を用いてそれぞれ異なる乱数を生成し(S4100)、チャレンジデータとして各更新モジュールへ個別に送信する(S4101)。
【0139】
各更新モジュールは、受信したチャレンジデータに認証秘密鍵を用いて署名データを生成し(S4102)、生成した署名データをレスポンスデータとして更新用ソフトウェア配布部220へ返信する(S4103)。
このとき、各更新モジュールは、レスポンスデータと共に認証公開鍵と認証鍵証明書とを更新用ソフトウェア配布部220へ送信する。
【0140】
更新用ソフトウェア配布部220は、それぞれの更新モジュールからレスポンスデータ、認証公開鍵及び認証鍵証明書を受信する(S4104)。更新用ソフトウェア配布部220は、認証鍵証明書が、自身が発行した証明書であるか否か検証し、更に、認証鍵証明書を用いて、認証公開鍵の正当性を検証する(S4105)。
認証鍵証明書及び認証公開鍵が不正であれば、更新用ソフトウェア配布部220は、処理を停止する(S4106)。
【0141】
認証鍵証明書及び認証公開鍵が正当であれば、更新用ソフトウェア配布部220は、認証公開鍵を用いて、受信したレスポンスデータがチャレンジデータの署名データになっているか検証する(S4107)。
次に、更新用ソフトウェア配布部220は、正しいレスポンスデータを返した更新モジュール(正当な更新モジュール)の数が、予め設定されている回復処理に必要な数以上であるかを判断する。正当な更新モジュールの数が、回復処理に必要な数に満たなかった場合、回復処理が実行できないため、更新用ソフトウェア配布部220は、処理を停止する(S4106)。正当な更新モジュールの数が、回復処理に必要な数を満たしている場合、相互認証処理を終了し、回復処理に移る。
【0142】
また、更新用ソフトウェア配布部220は、相互認証処理において、正当性が確認されたすべての更新モジュールの更新モジュール識別子を記載した認証リストを作成する。そして、これ以降の回復処理では、認証リストに識別子が記載されている更新モジュールのみを利用する。
17.回復処理の動作
ここでは、図31から図38を用いて、ソフトウェア更新システム10による回復処理の動作について説明する。
【0143】
相互認証処理において、相互認証が成功した場合、改ざんされた保護制御モジュール120を新保護制御モジュールへ更新する回復処理を実施する。
まず、図31を用いて回復処理の大まかな流れを説明する。図31は、回復処理の全体の流れを示したフローチャートである。同図に示すように、回復処理は、大きく6つの処理からなる。
【0144】
1つ目の処理は、新保護制御モジュールを用いて、改ざんされた保護制御モジュール120を更新する更新処理(S5000)である。
2つ目の処理は、更新モジュール131、132.133が相互に改ざん検出処理を実施する回復時相互監視処理(S5100)である。
3つ目の処理は、暗号化されたアプリ(110、111)を再暗号化する、再暗号化処理(S5300)である。
【0145】
4つ目の処理は、更新モジュール群130内の更新モジュールが危殆化していた場合に無効化処理を行うか判断する、回復時無効化判断処理(S5400)である。
5つ目の処理は、無効化後の更新モジュール群130内の更新モジュールの数により、更新モジュールの追加処理を行うか判断する、追加判断処理(S5500)である。
6つ目の処理は、更新モジュールの無効化又は/及び追加が行われた場合に、監視パターンを更新するか判断する、監視パターン更新判断処理(S5600)である。
【0146】
なお、本発明のソフトウェア更新システムは、上記のすべての処理は必須ではない。ソフトウェア更新システムは、外部から更新のトリガを与えられて、新保護制御モジュールを用いて、改ざんされた保護制御モジュール120を更新する更新処理(S5000)、及び、更新モジュールが相互に改ざん検出を実施する回復時相互監視処理(S5100)があればよい。
【0147】
上記6つの処理について、その詳細を順に説明する。
17.1.更新処理
ここでは、図33及び図34を用いて、更新処理(S5000)の一例を説明する。
先ず、更新用ソフトウェア配布部220の証明書生成部708は、署名秘密鍵を用いて、更新検証証明書を生成する(S5001)。更新検証証明書は、新保護制御モジュールが正しくインストールできたかを各更新モジュール131、132、133が確認するための証明書である。更新用ソフトウェア配布部220は、生成した証明書を、各更新モジュールへ送信する(S5002)。
【0148】
次に、更新用ソフトウェア配布部220の暗号鍵生成部703は、新保護制御モジュールを多重に暗号化するための暗号鍵を2つ(第1の鍵及び第2の鍵)生成する(S5003)。復号ロード部404は、第2の鍵を用いて新保護制御モジュールを暗号化し、暗号化新保護制御モジュールを生成する(S5004)。復号ロード部404は、暗号化新保護制御モジュールに対して、第1の鍵を用いてさらに暗号化し、多重暗号化新保護制御モジュールを生成する(S5005)。
【0149】
更新用ソフトウェア配布部220は、更新モジュール群130から正当な更新モジュールを一つ選択し(S5006)、選択した更新モジュールの識別子を判断部210に通知する。S5006では、判断部210内の不正モジュール特定部604に記憶されている危殆化した更新モジュール以外の更新モジュールを選択する。ここでは、一例として、更新モジュール131を選択するものとする。
【0150】
更新用ソフトウェア配布部220は、選択した更新モジュール131へ多重暗号化新保護制御モジュールを送信し(S5007)、更に、第1の鍵を送信する(S5008)。
更新モジュール131は、多重暗号化新保護制御モジュールと第1の鍵とを受信する(S5009)。更新モジュール131は、第1の鍵を用いて、多重暗号化新保護制御モジュールを復号し、暗号化新保護制御モジュールを取得する(S5010)。そして、復号が終了すると、その旨を更新用ソフトウェア配布部220へ通知する(S5011)。
【0151】
更新用ソフトウェア配布部220は、復号終了通知を受信すると、更新モジュール群130から、正当なモジュールであって、且つ、S5006で選択した更新モジュールとは異なる更新モジュールを一つ選択する(S5012)。ここでは、一例として、更新モジュール132を選択するものとする。
更新モジュールの選択は、上記と同様に判断部210内の不正モジュール特定部604に記憶されている危殆化した更新モジュール以外の更新モジュールを選択する。
【0152】
更新用ソフトウェア配布部220は、選択した更新モジュール132に、第2の鍵を送信する(S5013)。さらに、更新用ソフトウェア配布部220は、更新モジュール131に対して、S5010で取得した暗号化新保護制御モジュールを更新モジュール132へ送信するよう依頼する(S5014)。
更新モジュール131は、更新用ソフトウェア配布部220からの依頼を受けて、暗号化新保護制御モジュールを更新モジュール132へ送信する(S5015)。
【0153】
更新モジュール132は、更新用ソフトウェア配布部220から第2の鍵を受信し、更新モジュール131から暗号化新保護制御モジュールを受信する(S5016)。そして、第2の鍵を用いて、暗号化新保護制御モジュールを復号し、新保護制御モジュールを取得する(S5017)。
更新モジュール132は、S5017で取得した新保護制御モジュールを保護制御モジュール120に上書きし、更新する(S5018)。そして、更新モジュール132は、更新の終了を他の更新モジュールへ通知する(S5019)。
【0154】
続いて、各更新モジュール131、132、133のそれぞれは、事前に受信した更新検証証明書を用いて、保護制御モジュールが正しく更新されたか否か検証し(S5020)、検証結果を更新用ソフトウェア配布部220へ通知する(S5021)。
更新用ソフトウェア配布部220は、各更新モジュールから送信された検証結果を受信すると、保護制御モジュールが正しく更新されたかを判定する(S5022)。正しく更新されていないと判定する場合は、更新用ソフトウェア配布部220は、機器100を停止させる(S5023)。
【0155】
正しく更新されている場合には、更新用ソフトウェア配布部220は、更新処理の終了を各更新モジュールへ通知する(S5024)。
各更新モジュールは、更新処理終了通知を受信すると、新保護制御モジュールのMAC値を生成し、生成したMAC値と保護制御モジュールの識別子との組を、MAC値テーブルに書き込む(S5025)。
【0156】
以上説明したように、更新処理では、更新用ソフトウェア配布部220が更新用の新保護制御モジュールを複数の鍵を用いて多重に暗号化し、更新モジュール群130へ送信する。更新モジュール群130は、受信した新保護制御モジュールで、保護制御モジュール120を更新する。
この時、更新用ソフトウェア配布部220は、多重に暗号化された新保護制御モジュールを復号するための複数の鍵を、更新モジュール群130に送信するタイミングを制御することにより、攻撃者が暗号化されていない新保護制御モジュールを入手することを困難にする。
【0157】
17.2.回復時相互監視処理
ここでは、図35及び図36を用いて、回復時相互監視処理(S5100)の一例を説明する。
判断部210は、更新モジュール群130へ相互監視処理の指示を送信し、更新モジュール群130は相互監視処理を行う(S5101)。S5101の詳細は、図23の相互監視処理(S3100)と同様であるので、ここでは説明を省略する。
【0158】
各更新モジュールは改ざん検出を行い、改ざん検出結果を判断部210へ送信する(S5102)。なお、相互監視処理の結果、改ざんされた更新モジュールを検出しなかった場合、判断部210への通知は行わなくてよい。判断部210は、検出結果を用いて、回復時判断処理を行う(S5103)。
このように、回復時相互監視処理では、更新モジュール群130が相互監視処理を行うので、回復処理中に一部の更新モジュールが改ざんされた場合であっても、改ざん検出が可能となる。さらに、回復時相互監視処理を定期的に実施することにより、新保護制御モジュールのすべてが完全に漏洩する前に改ざんを検出して、新保護制御モジュールのすべてが漏洩するのを防止することが可能となる。
【0159】
17.3.回復時判断処理
ここでは、図36を用いて、回復時判断処理(S5103)の詳細について説明する。
まず、判断部210において、いずれかの更新モジュールが危殆化しているか判定する(S5110)。いずれの更新モジュールも危殆化していない場合、回復時判断処理を終了し、図35の回復時相互監視処理へ戻る。
【0160】
いずれかの更新モジュールが危殆化している場合、判断部210は、更新モジュール群に含まれる更新モジュールの内、半数以上が危殆化しているか判定する(S5111)。半数以上危殆化している場合には、機器100を停止する(S5112)。
機器100を停止することにより、機器100が改ざんされ、不正に動作し、ネットワークを介して接続された他の機器に影響することを防止できる。また、保護制御モジュール120も危殆化している場合、アプリ(110、111)が攻撃されている可能性が高く、アプリ(110、111)への攻撃が他の機器に影響することも防止できる。
【0161】
更新モジュールの半数未満が危殆化していた場合には、不正モジュール特定部604は、どの更新モジュールが危殆化しているかを特定し、特定した更新モジュールの識別子を、不正モジュール特定部604の内部に記憶する(S5113)。
次に、不正モジュール特定部604は、更新処理で選択した更新モジュールが危殆化しているかを判定する(S5114)。更新処理で選択した更新モジュールが危殆化している場合には、更新処理時に不正を働く可能性があるため、更新用ソフトウェア配布部220及び更新モジュール群130に更新処理の中止を通知する(S5115)。更新用ソフトウェア配布部220及び更新モジュール群130へ通知後、回復処理開始に戻る。
【0162】
回復処理開始に戻ることにより、回復時無効化判断処理(S5300)や追加判断処理(S5400)へ処理が移行しないため、危殆化した更新モジュールの無効化処理及び追加処理より、保護制御モジュールの更新処理を優先的に行うことができる。保護制御モジュールの更新処理を優先的に行うことにより、不正な保護制御モジュールを介して、アプリ(110、111)が攻撃されるのを防止できる。
【0163】
更新処理に選択した更新モジュールが危殆化していないと判定した場合、回復時相互監視処理を終了する。
17.4.更新処理と回復時相互監視処理との関係
ここでは、図32を用いて、更新処理と回復時相互監視処理との連携動作の詳細について説明する。回復時相互監視処理は、更新処理と連携するだけでなく、更新処理の開始から終了まで定期的に繰り返して行なわれる。回復時相互監視処理は、新保護制御モジュールがネットワークを介して完全に外部に出力されるまでに要する時間より短い時間間隔で繰り返し実施する必要がある。例えば、新保護制御モジュールが完全に外部に出力されるまでに1秒かかるのであれば、それより短い500ミリ秒間隔のタイミングで回復時相互監視処理を実行する。以下、詳細に説明する。
【0164】
先ず、機器100は、更新サーバ200から多重暗号化新保護制御モジュールが送付される前に、回復時相互監視処理(相互監視1)を実施する。不正な更新モジュールを選択して、更新処理を行わないようにするためである。
その後、機器100は、更新サーバ200により送信された第1の鍵を更新モジュール131が受信する前に、回復時相互監視処理(相互監視2)を実施し、機器100が第1の鍵を受信する時に、不正な更新モジュールを選択していないことを確認する。
【0165】
さらに、更新モジュール131が第1の鍵を受信し、第1の鍵を用いて多重暗号化新保護制御モジュールを復号する間、定期的に、更新モジュール131による復号処理を中断して、回復時相互監視処理(相互監視3−1、3−2)を実施する。これにより、復号処理中に、更新モジュール131、132、133が攻撃されたとしても、暗号化新保護制御モジュールがすべて漏洩する前に更新モジュールが攻撃されたことを検出し、漏洩を防止することが可能となる。
【0166】
これ以降の処理は、上記と同様である。即ち、機器100は、更新サーバ200により送信された第2の鍵を更新モジュール132が受信する前に、回復時相互監視処理(相互監視4)を実施し、機器100が鍵を受信する時に、不正な更新モジュールを更新処理において、選択していないことを確認する。
さらに、更新モジュール132が第2の鍵を受信し、第2の鍵を用いて暗号化新保護制御モジュールを復号する間、定期的に、更新モジュール132による復号処理を中断し、回復時相互監視処理(相互監視5−1、5−2)を実施する。最後に、回復時相互監視処理(相互監視6)を実施する。
【0167】
これにより、新保護制御モジュールがすべて漏洩する前に更新モジュールが攻撃されたことを検出し、漏洩を防止することが可能となる。
ここで、各回復時相互監視処理において、更新モジュールに改ざんが検出されたた場合には、更新サーバ200の判断部210によって、回復時判断処理を行う(S5103)。これにより、更新サーバ200は、第1の鍵や第2の鍵の送信を中止することが可能となり、攻撃者は、多重暗号化新保護制御モジュールを復号するための鍵を入手することが不可能となる。
【0168】
17.5.再暗号化処理
次に、図37を用いて、回復処理の再暗号化処理(S5200)の一例について説明する。
先ず、更新された保護制御モジュール(以下、「保護制御モジュール121」と記載する。)が、各更新モジュール131、132、133に対して、それぞれが保持している分散情報及び暗復号鍵証明書の送信を依頼する(S5201)。
【0169】
各更新モジュール131、132、133は、保護制御モジュール121からの依頼を受けて、分散情報及び暗復号鍵証明書を送信する(S5202)。
保護制御モジュール121は、各更新モジュール131、132、133から分散情報及び暗復号鍵証明書を受信し(S5203)、受信した分散情報から更新前の保護制御モジュール120が使用していた暗復号鍵(旧暗復号鍵)を復元する(S5204)。更に、保護制御モジュール121は、暗復号鍵証明書を用いて、旧暗復号鍵が正しく復元されたか否か検証する(S5205)。
【0170】
旧暗復号鍵が正しく復元されなかった場合、保護制御モジュール121は、不正な更新モジュールを炙り出す(どの更新モジュールが不正な分散情報を送信したか特定する)(S5206)。特定された不正な更新モジュールは、更新サーバ200へ通知される。
旧暗復号鍵が正しく復元された場合、保護制御モジュール121の暗復号鍵生成部408は、新しい暗復号鍵(新暗復号鍵)を生成する(S5207)。そして、復号ロード部404は、旧暗復号鍵を用いて暗号化されたアプリ(110、111)を復号し、新暗復号鍵を用いてアプリ(110、111)を再暗号化する(S5208)。
【0171】
ここで、S5206において、不正な更新モジュールを特定するための方法について説明する。先ず、保護制御モジュール121は、各更新モジュールから分散情報の組を集め、集めた分散情報に各更新モジュールを識別するための識別情報を付加する。
その後、初期設計時に同じ値に設定されて配布された分散情報同士をグループにまとめる。そして、各グループに含まれる分散情報同士の値を比較し、同じ値になる分散情報同士を更に1つのサブグループにまとめる。そして、すべてのグループの中からサブグループを1つずつ選び出す組み合わせを全て生成する。
【0172】
生成した組み合わせそれぞれに対して旧暗復号鍵を生成し、正しい旧暗復号鍵が生成できたかを検証する。検証OKの場合、その組み合わせに含まれるサブグループに、検証OKを表す検証通過識別情報を付加する。
すべての組み合わせについて、旧暗復号鍵の生成・検証を行った後、検証通過識別情報の付いているサブグループに含まれる分散情報を取り除く。
【0173】
取り除かれずに残っている分散情報は、不正な値となっている。そこで、この分散情報に付加された識別情報により、不正な値となっている分散情報を送信してきた更新モジュールを特定することができる。識別情報により特定された更新モジュールが不正な更新モジュールであると特定される。
分散情報から旧暗復号鍵を復元する方法や不正な更新モジュールの特定方法については、特許文献2の50ページから52ページに詳しく説明されている。特許文献2における秘密鍵dを本実施形態の暗復号鍵に対応させ、認証局装置を本実施形態の保護制御モジュール121に対応させ、分散情報保持装置を更新モジュール131、132、133に対応させることで、特許文献2と同じ方法が利用可能である。
【0174】
17.6.回復時無効化判断処理
次に、図38を用いて、回復処理の回復時無効化判断処理(S5300)について説明する。
回復時無効化判断処理(S5300)は、回復時相互監視処理(S5100)で改ざんが検出され、図36のS5113において、危殆化した更新モジュールを記憶した場合、どの更新モジュールが危殆化しているのか判定し(S5301)、危殆化していると判定された更新モジュールに対し、無効化処理を行う(S5302)。無効化処理の詳細は後述する。
【0175】
17.7.追加判断処理
追加判断処理(S5400)は、通常時判断処理(図21のS3006)で行う追加判断処理(図22のS3300)と同様である。ここでは説明を省略する。
17.8.監視パターン更新判断処理
監視パターン更新判断処理(S5500)は、通常時判断処理(図21のS3006)で行う監視パターン更新判断処理(図22のS3400)と同様である。ここでは説明を省略する。
【0176】
18.次ラウンド準備処理の動作
ここでは、図39のフローチャートを用いて、次ラウンド準備処理の動作について説明する。次ラウンド準備処理では、回復処理の終了後、次の回復処理のための準備を行う。以下、具体的に説明する。
まず、保護制御モジュール121は、新しい暗復号鍵から、秘密分散法を用いて分散情報を生成し(S6000)、更に、署名秘密鍵を用いて、新暗復号鍵証明書を生成する(S6001)。そして、保護制御モジュール121は、生成した分散情報と暗復号鍵証明書とを各更新モジュール131、132、133へ送信する(S6002)。
【0177】
ここで、初期設計処理時と同様に、分散情報は、更新モジュールの数と同数が生成され、それぞれの更新モジュールが、異なる分散情報のペアを保持するように送信される。新暗復号鍵証明書は、各更新モジュール131、132、133へ同じ証明書が送信される。
各更新モジュール131、132、133は、保護制御モジュール121から分散情報と新暗復号鍵証明書とを受信し、受信した分散情報と新暗復号鍵証明書とを分散情報保持部310に保持する(S6003)。
【0178】
19.無効化処理の動作
ここでは、図25のフローチャートを用いて、ソフトウェア更新システム10における無効化処理の動作について説明する。
無効化処理は、相互認証時に認証に失敗した更新モジュールが存在する場合、通常時判断処理時に改ざんされた更新モジュールが検出された場合、保護制御モジュール120の改ざんが検出された場合など、機器100内部に存在する不正な(改ざんされた)モジュールを無効化する処理である。
【0179】
ここでは、具体例として、通常時判断処理時に、更新モジュール131、132が、更新モジュール133の改ざんを検出した場合の無効化処理について説明する。
判断部210は、更新モジュール131、132、133から受信した、相互監視結果を基に、どの更新モジュールが改ざんされているかを判定する(S7001)。判定方法としては、例えば、所定数の更新モジュールが改ざんされていると判定している場合に、その更新モジュールは改ざんされていると判定する。
【0180】
判断部210は、改ざんされた更新モジュールの識別情報と共に、モジュール無効化部230へ無効化の指示を出力する(S7002)。
モジュール無効化部230は、改ざんされていないと判定した更新モジュール131及び132のいずれか(ここでは、更新モジュール131とする。)へ、改ざんされた更新モジュール133の無効化を依頼する(S7003)。
【0181】
更新モジュール131は、モジュール無効化部230から、更新モジュール133の無効化依頼を受信すると、モジュール無効化部230に対し、更新モジュール133を無効化するためのアクセス情報取得鍵の送付を依頼する(S7004)。更に、更新モジュール131は、アクセス制御モジュール140へ、更新モジュール133を無効化するためのアクセス情報の取得を依頼する(S7005)。
【0182】
モジュール無効化部230は、アクセス情報取得鍵の送付依頼を受信すると、更新モジュール131が正当な(改ざんされていない)更新モジュールか否か、及び、依頼されたアクセス情報取得鍵が不正な(改ざんされた)更新モジュール133を無効化するためのアクセス情報取得鍵か否かを確認する(S7006)。この確認は、判断部210からモジュール無効化部230へ通知された更新モジュールの情報を利用して行う。
【0183】
確認した結果、改ざんされた更新モジュール133からの依頼であったり、或いは、改ざんされていない更新モジュール(131、132)に対するアクセス情報取得鍵の取得依頼であったりする場合には、無効化処理を停止する(S7007)。確認した結果、問題なければ、依頼してきた更新モジュール131へ更新モジュール133を無効化するためのアクセス情報取得鍵を送付する(S7008)。
【0184】
更新モジュール131は、モジュール無効化部230からアクセス情報取得鍵を受信し、さらに、アクセス制御モジュール140から暗号化されたアクセス情報を受信する(S7009)。更新モジュール131は、アクセス情報取得鍵と暗号化されたアクセス情報とから、アクセス情報を取得する(S7010)。取得したアクセス情報は、更新モジュール133を消去するための専用ドライバである。更新モジュール131は、専用ドライバを利用して、改ざんされた不正な更新モジュール133を消去する(S7011)。
【0185】
更新モジュール131は、無効化処理が終了すると、アクセス情報取得鍵、暗号化されたアクセス情報、及び、アクセス情報等を消去し、モジュール無効化部230へ完了通知を送信する(S7012)。モジュール無効化部230は、更新モジュール131から完了通知を受信したら、判断部210へ無効化の完了通知を送信する(S7013)。
なお、無効化処理により、分散情報保持部310を備える更新モジュールが無効化された場合、その更新モジュールが保持していた分散情報も消去される。そこで、分散情報保持部310を備える更新モジュールを無効化する場合は、分散情報の消去を考慮した無効化処理を行う必要がある。
【0186】
分散情報の消去を考慮した無効化処理については、特許文献2の56ページから64ページに、「脱退処理」として詳しく説明されている。特許文献2における秘密鍵dを、本実施形態の暗復号鍵に対応させ、分散情報保持装置を、本実施形態の更新モジュール131、132、133に対応させることで、特許文献2と同じ方法が利用可能である。なお、分散情報の消去を考慮した無効化処理を行うには、無効化する不正な更新モジュール以外に、正当な更新モジュールが最低3つ必要である。無効化処理に保護制御モジュール120を使用する場合は、初期設計時と同じ方法で再度分散情報を生成し、配布すればよい。
【0187】
以上説明したように、本実施形態では、更新モジュール群130内の複数の更新モジュールが相互監視処理を行うので、改ざんされた更新モジュールを検出することが可能となり、ソフトウェア更新システムの信頼性を高めることができる。また、改ざんされた更新モジュールを無効化するので、改ざんされた更新モジュールによる不正動作を防止することができる。
【0188】
20.追加処理の動作
次に、図27のフローチャートを用いて、ソフトウェア更新システム10における追加処理の動作について説明する。追加処理は、図26のS3302の詳細であり、機器100内部の更新モジュールの数を増やすために更新モジュールを追加する処理である。
ここでは、更新モジュール131、132を用いて、新たな更新モジュールを追加する処理を例に説明する。
【0189】
判断部210は、更新モジュール群130に更新モジュールの追加が必要であると判断すると、モジュール追加部240へ更新モジュールの追加を指示する。このとき、追加の指示と同時に、現在の機器100内部の正当な更新モジュールの一覧(リスト)を通知する。
判断部210からの指示を受けると、先ず、更新モジュール選択部903は、判断部210から受信した正当な更新モジュールのリストから、追加処理を実施する更新モジュールを選択する(S3310)。
【0190】
選択する方法としては、例えば、ランダムに選択してもよいし、リストの上から順番に選択してもよいし、一番多くの更新モジュールから監視されている更新モジュールを選択してもよい。更新モジュール選択部903が選択する更新モジュールの数は、1つでもよいし、半数の更新モジュールを選択してもよいし、すべての更新モジュールを選択してもよい。選択する方法及び選択する数は、システム設計時に決めてもよいし、その都度、判断部210が指示してもよい。
【0191】
次に、更新モジュール分割部905は、更新モジュール保持部904から追加用更新モジュールを取得し、追加用更新モジュールを、追加処理を実施する更新モジュールの数と同数に分割する(S3311)。
その後、更新モジュール分割部905は、分割した追加用更新モジュールを、更新モジュール選択部903が選択した更新モジュールのそれぞれへ送信する(S3312)。このとき、更新モジュール分割部905は、分割された追加用更新モジュールを書き込む領域を示す情報も送信する。また、更新モジュール保持部904から取得する追加用更新モジュールには、そのモジュールを検証するための検証用証明書が付加されている。
【0192】
このように、追加の権限を一つの更新モジュールに独占させるのではなく、複数の更新モジュールに分散することにより、追加の権限を有する更新モジュールが改ざんされたことにより、不正な更新モジュールが追加される危険性を低下させることができる。
分割した追加用更新モジュールを受信した各更新モジュールは、それぞれ指定された領域に、分割された追加用更新モジュールを書き込む(S3313)。書き込みが終了した更新モジュールは、追加処理の終了をモジュール追加部240へ通知する(S3314)。
【0193】
モジュール追加部240の制御部906は、分割した追加用更新モジュールを送信したすべての更新モジュールから追加処理の終了通知を受け取ると、更新モジュール群130のすべての更新モジュールに対して、追加した更新モジュールの検証情報を送付し、検証を依頼する(S3315)。検証情報は、追加した更新モジュールが書き込まれた領域の先頭アドレス及びサイズである。
【0194】
検証情報を受信した更新モジュールは、検証情報を基に更新モジュールを読み込み、更新モジュールに付加されている検証用証明書を用いて検証を実施する(S3316)。検証が終了した更新モジュールは、検証結果をモジュール追加部240へ通知する(S3317)。
制御部906は、更新モジュールから通知された検証結果から、更新モジュールが正しく追加されたかを判定する(S3318)。そして、判定結果と追加処理の終了とを、判断部210へ通知する(S3319)。
【0195】
なお、分散情報保持部310を備える更新モジュールを追加する場合、追加する更新モジュールに分散情報を配布する必要がある。追加する更新モジュールに分散情報を配布する方法については、特許文献2の64ページから79ページに詳しく説明されている。ここで、特許文献2における秘密鍵dを、本実施形態の暗復号鍵に対応させ、分散情報保持装置を、本実施形態の更新モジュール131、132、133に対応させることで、特許文献2と同じ方法が利用可能である。なお、追加する更新モジュールに分散情報を配布する場合、追加する追加用更新モジュール以外に、正当な更新モジュールが最低3つ必要である。保護制御モジュール120を使用する場合は、初期設計時と同じ方法で再度分散情報を生成し、配布すればよい。
【0196】
以上説明したように、本実施形態によると、更新モジュールを追加することにより、機器100内の更新モジュールの数を一定数に保つことが可能となり、更新モジュールの改ざんを更新モジュール群130内で安定して検証することができる。これにより、ソフトウェア更新システムの信頼性を高めることができる。
21.監視パターン更新処理
ここでは、ソフトウェア更新システム10における監視パターン更新処理について説明する。監視パターン更新処理は、更新モジュールの無効化処理や追加処理を行った後に、監視パターンを更新する必要あると判断された場合、機器100内部の更新モジュール群130の監視パターンを更新する処理である。
【0197】
具体例として、図40において、更新モジュールAを無効化し、更新モジュールDを追加した場合に、監視パターンを更新する処理について説明する。
図40Aに示すように、更新モジュールAが更新モジュールBを監視し、更新モジュールBが更新モジュールCを監視し、更新モジュールCが更新モジュールAを監視しているとする。
【0198】
この状態で、更新モジュールAを無効化し、更新モジュールDを追加した場合を考える。更新モジュールAは無効化されるため、更新モジュールBはどの更新モジュールからも監視されなくなる。また、更新モジュールDは新たに追加したため、どの更新モジュールからも監視されない。そこで、監視パターンの更新処理を行う必要がある。
更新する監視パターンとして、例えば、図40Bに示すように、更新モジュールBが更新モジュールCを監視し、更新モジュールCが更新モジュールDを監視し、更新モジュールDが更新モジュールBを監視するという監視パターンに更新する。
【0199】
このように、無効化処理や追加処理の後に監視パターンを更新することにより、どの更新モジュールからも監視されない更新モジュールを無くし、すべての更新モジュールが監視される状態を保つことが可能となる。
また、更新サーバ200から、逐次監視パターンを変更できるので、監視パターンを見破られて、更新モジュールが改ざんされるのを防止することができる。その結果、不正な更新モジュールを介して保護制御モジュール120が改ざんされるのを防止し、不正な保護制御モジュールによってアプリ(110、111)が攻撃されるのを防止することができる。
【0200】
22.更新サーバ200が保持する判断基準
実施の形態1では、機器100の状態に応じて、機器100が行う処理の処理順序が異なる。管理サーバ200の判断部210は、機器100にどの処理を優先させるか、判断基準を用いて判断する。
具体的に、判断部210は、保護制御モジュール120が改ざんされているときに機器100が行う処理の優先順位と、保護制御モジュール120が改ざんされていないときに機器100が行う処理の優先順位とを対応付けた判断基準を保持している。
【0201】
図41は、保護制御モジュール120が改ざんされていない場合の処理順序を示す図である。保護制御モジュール120が改ざんされていない場合、機器100は、更新モジュールの無効化処理、追加処理、監視パターン更新処理の順序で行う。
例えば、通常時判断処理において、更新モジュール133が改ざんされていると判断された場合、機器100は、更新モジュール133の無効化処理を行い、更新モジュール133を無効化したことにより、更新モジュールの数が所定値以下となる場合には、更新モジュールの追加処理を行う。また、無効化された更新モジュール133が監視をしていた更新モジュールや、新たに追加された更新モジュールを監視するために、監視パターンの更新を更新する。
【0202】
図42は、保護制御モジュールが改ざんされている場合の処理順序を示す図である。保護制御モジュール120が改ざんされている場合、回復時相互監視処理で更新モジュール133が改ざんされていることを検知しても、更新モジュール133の無効化処理に優先して、保護制御モジュール120の回復処理を行う。
更新モジュール133の無効化処理に優先して、保護制御モジュール120の回復処理を行うことにより、更新モジュール133の無効化処理中に、改ざんされた保護制御モジュール120を介して、本来保護されるべきアプリ(110、111)が攻撃されるのを防止することができる。
【0203】
機器100は、保護制御モジュール120の回復処理が完了した後に、更新モジュール133の無効化処理を行う。さらに、必要に応じて、更新モジュールの追加処理及び監視パターン更新処理を行う。
(実施の形態2)
実施の形態1では、ある更新モジュールが無効化されることによって、他の更新モジュールから監視されない更新モジュールが存在してしまうことのないよう、監視パターンの更新処理(S3402)を行っていた。本実施の形態では、さらに、監視モジュールにおいて監視パターンの更新処理が確実に行われたか否かを他の更新モジュールが検証し、更新後の監視パターンが常に用いられることを保証する。これにより、古い監視パターンに基づき他の更新モジュールから一切監視されていないなど不正な動作をしうる更新モジュールが動作してしまうのを避けることができる。さらに、本実施の形態では、更新サーバ200の監視パターン更新部250が、更新モジュール131〜133の構成に応じた適切な監視パターンを生成している。以下、それぞれの詳細について説明する。なお、実施の形態1と同じ構成要素については同じ符号を用いるものとし、実施の形態1で既に説明した処理についての説明は省略する。
【0204】
23.各部の構成
まず、更新モジュール131〜133の構成について説明し、次に、監視パターン更新部250の構成について説明する。
図43は、本発明の実施の形態2における更新モジュール131〜133の構成を示す図である。
【0205】
更新モジュール本体は、図8に示した実施の形態1の更新モジュール本体の構成要素に加え、監視パターン更新検証部311、モジュール機能通知部312、機能情報保持部313を備える。
監視パターン更新検証部311は、他のモジュールの監視パターン本体を取得し、取得した監視パターンを用いて、他のモジュールが正しい監視パターンに更新したか否か検証する。ここで、検証対象となるのは、自身の監視パターン本体に記述されている監視先の更新モジュールである。また、検証には、更新サーバ200から受信した監視パターン情報に含まれる検証値リストを使用する。実施の形態2における検証値リスト中に、自身の監視パターン本体を検証するための検証値、監視パターン本体に記述されている監視先に係る監視パターン本体を検証するための検証値が格納されている。検証値としては、ハッシュ値、MAC値などがあるが、ここでは、一例としてハッシュ値を用いる。
【0206】
ハッシュ値を用いて監視先の監視パターンを検証する際には、まず監視先の監視パターン本体を取得してハッシュ値を算出し、算出したハッシュ値と、自身の監視パターン情報に含まれる監視先の検証値とを比較することで行う。比較の結果一致した場合、正しい監視パターンに更新されたと判定する。
機能情報保持部313は、各更新モジュールが、検証(監視)機能、更新機能、分散情報保持機能の3つの機能のうちいずれを有しているかを示す機能情報を保持している。更新モジュール本体は、3つの機能のうち少なくとも1つを有していればよい。
【0207】
モジュール機能通知部312は、機能情報保持部313が保持する機能情報を更新サーバ200へ通知する。
図44は、監視パターン更新検証についての更新モジュール相互の対応関係を模式的に示す図である。図44は、具体的には、3つの更新モジュール(更新モジュール1、更新モジュール2、更新モジュール3)が機器100内に存在する場合について示している。
【0208】
それぞれの更新モジュールは、まず、自身の監視パターンを、更新サーバ200から通知された監視パターンに更新する。次に、各監視モジュールは、他の更新モジュールが正しく監視パターンを更新したか否かを検証する。監視対象がいずれの更新モジュールであるかは、自身の監視パターン本体に記述されている。図44の例では、更新モジュール1に係る更新後の監視パターンは、更新モジュール1が更新モジュール2と更新モジュール3を監視すべきことを示している。また、更新モジュール2に係る更新後の監視パターンは、更新モジュール2が更新モジュール1を監視すべきことを示し、更新モジュール3に係る更新後の監視パターンは、更新モジュール3が更新モジュール2を監視すべきことを示している。
【0209】
監視パターンの検証には、監視パターン本体と一緒に更新サーバ200から送信されてきた検証値リストを使用する。検証値リストには、監視パターンの検証に利用する検証値が格納されている。
図44の例では、更新モジュール1の検証値リストには、更新モジュール2と更新モジュール3の監視パターンの更新を検証するための検証値が格納されている。また、更新モジュール2の検証値リストには、更新モジュール1の監視パターンの更新を検証するための検証値が格納され、更新モジュール3の検証値リストには、更新モジュール2の監視パターンの更新を検証するための検証値が格納されている。
【0210】
次に、監視パターン更新部250について説明する。
図45は、監視パターン更新部250の構成を示すブロック図である。
図45に示すように、本実施の形態に係る監視パターン更新部250は、図15を用いて説明した実施の形態1に係る監視パターン更新部250の構成要素に加え、機能情報取得部1006、更新完了判定部1007を備える。
【0211】
機能情報取得部1006は、機器100内の更新モジュール131〜133それぞれがどのような機能を持っているかを示す情報(機能情報)を、それぞれの更新モジュールから取得する。機能情報は、具体的には、更新モジュールが備え得る機能である検証(監視)機能、更新機能、分散情報保持機能のうち1つ以上を示す。
監視パターン生成部1003は、機能情報取得部1006が取得した機能情報に基づいてまず監視モジュール群全体の新たな監視パターンを生成する。監視パターン生成部1003は、各監視モジュールが、少なくとも1つの他の監視モジュールから監視されることとなるように監視パターンを生成する。監視パターンの一例については、図61を用いて説明する。
【0212】
図61は、新たな監視パターンに従って、各更新モジュールが、他のいずれの更新モジュールを監視するかを模式的に示している。なお、これまで、更新モジュールは3個(更新モジュール131〜133)の例で説明しているが、図61においては、更新モジュールのバリエーションを増やすために更新モジュールが7個(更新モジュール131〜137)の例で説明している。ここで、図中の更新モジュールにおいては、検証(監視)機能を有するものには、その機能を実現する監視部を図中に記載しており、更新機能を有するものにはその機能を実現する更新部を記載している。また、検証(監視)機能、更新機能の両方を有する更新モジュールについては、監視部、更新部の両方を記載している。なお、上述の更新モジュールの説明では、各更新モジュールが、監視部、更新部の双方を有する構成で説明していたが、監視部、更新部のいずれか一方しか有しない更新モジュールが混在していてもよいこととしている。
【0213】
また、図61の監視パターンは以下に示す規則に従い構成されている。
まず、監視部のみを有する更新モジュール131、132、135、137は、監視部を有する最低1つ以上の他の更新モジュールから監視される。また、更新部のみを有する更新モジュール133、136は、監視部を有する2以上の更新モジュールから監視される。そして、監視部と更新部の両方を有する更新モジュール134は、自モジュール以外の全ての監視部から監視される。この規則は、他のモジュールの更新を行う更新部は、他のモジュールの不正動作を監視する監視部よりも厳格に管理される必要があり、監視部、更新部の両方を有する監視モジュールは、更新部のみを有するものよりもさらに厳格に管理されるべきことに基づいている。
【0214】
なお、監視するモジュールが増すほど、監視されるモジュールの安全性は増すが、各モジュールの処理は複雑になり、プロセッサ等ハードウェアの処理負担も増す。よって、監視パターンは、システムの処理性能等に応じて最適なパターンを生成すればよい。
また、回復処理時には、更新機能が正しく動作する必要があるため、回復処理時に用いる監視パターンとして、更新機能を持つ更新モジュールが多くの更新モジュールから監視され、検証(監視)機能と更新機能を持つ更新モジュールは他の更新モジュールを監視しないような監視パターンを生成するとしてもよい。このように、監視パターンは1パターンに限らず複数パターンを保持しておき、各処理、場面等に応じた監視パターンを使い分けることとしてもよい。
【0215】
次に、監視パターン分割部1004は、監視パターン生成部1003が生成した新監視パターン(全体)を、個々の更新モジュール毎の監視パターンに分割し、更新モジュール毎の新監視パターンを生成する
図61に示す例の場合、更新モジュール131は、更新モジュール133、134を監視するので、更新モジュール131に係る新監視パターンには更新モジュール133及び134を識別する識別子が記載される。また、更新モジュール134については、更新モジュール133、136、137を監視するので、更新モジュール134に係る新監視パターンには、更新モジュール133、136、137のそれぞれを識別する識別子が記載される。
【0216】
更新完了判定部1007は、更新モジュール131〜133の相互監視結果(監視パターン更新検証結果等)を受信し、すべての更新モジュールにおいて、監視パターンが正しく更新できたかどうかを判定する。正しく更新できたと判定できた場合には、監視パターン更新処理を終了する。正しく更新できていない場合には、再度、監視パターン更新処理を実施する。ここで、更新モジュール13xのそれぞれは、監視パターン更新処理において、更新前の更新パターンをバックアップしておいてもよい。そして、全ての更新モジュールにおいて監視パターンが正しく更新できたと確認できた場合に、バックアップしていた更新パターンを削除することとしてもよい。
【0217】
24.監視パターン更新処理の動作
ソフトウェア更新システム10における監視パターン更新処理の動作について図46のフローチャートを用いて説明する。
更新サーバ200の判断部210により、監視パターンの更新が必要と判断された場合(S3401)に、更新サーバ200の監視パターン更新部250と、機器100内部の更新モジュール131〜133において監視パターンの更新処理が開始される。
【0218】
まず、更新サーバ200の監視パターン更新部250における機能情報取得部1006が、監視パターンを生成するために必要な、更新モジュールの機能情報を取得するために、機器100内のすべての更新モジュールに対して機能情報通知依頼を行う(S8001)。
機能情報通知依頼を受けた更新モジュール131〜133において、モジュール機能通知部311が機能情報保持部312に保持している機能情報を取得し、監視パターン更新部250へ通知する(S8002)。
【0219】
機能情報の通知を受けた監視パターン更新部250は、その機能情報を元に、監視パターン生成部1003により新監視パターン(全体)を生成する。
次に、監視パターン分割部1004は、監視パターン生成部1003が生成した新監視パターン(全体)を、個々の更新モジュール毎の監視パターンに分割し、更新モジュール毎の新監視パターンを生成する(S8004)。生成した新監視パターンは、それぞれの更新モジュールへ送付する(S8005)。
【0220】
新監視パターンを受信したそれぞれの更新モジュールは、各自の監視パターンを更新し、更に他の更新モジュールが正しく監視パターンを更新したかを検証し(S8006)、その結果(相互監視結果)を監視パターン更新部250へ通知する(S8007)。各更新モジュールにおける監視パターンの更新処理(S8006)の詳細は後述する。
相互監視結果の通知を受けた監視パターン更新部250は、更新終了判定部1007により、相互監視結果から正しく監視パターンの更新処理が終了したか否かを判定する。その結果、正しく監視パターンを更新しなかった不正な更新モジュールがあった場合には、その不正な更新モジュール以外の更新モジュールを監視対象とする新監視パターン(全体)を生成する(S8003)。不正な更新モジュールがなかった場合には、更新モジュール131〜133へ監視パターンの更新処理の終了を通知する(S8009)。
【0221】
監視パターンの更新処理の終了通知を受けた更新モジュール131〜133は、他の更新モジュールの監視パターンが更新されているので、それぞれに対応するMAC値を再計算し、MAC値テーブルを更新する(S8010)。
次に、各更新モジュールにおける監視パターンの更新処理(S8006)の詳細について図47のフローチャートを用いて説明する。ここで、以下では、図44の場合と同様に3つの更新モジュールがある場合の処理について説明する。なお、更新モジュールの数や、更新される監視パターンが本説明と異なる場合であっても以下の説明と同様の方法を用い得る。
【0222】
先ず、監視パターン更新部250からそれぞれの更新モジュールへ新監視パターンが通知される。新監視パターンを受信したそれぞれの更新モジュールは、監視パターン更新部309を用いて、自身の監視パターン情報を、受信した新監視パターンへ更新する(S8101)。更新が終了すると、検証リストを用いて、自身の監視パターンが正しく更新されたか検証し、監視パターンの反映終了を更新サーバ200へ通知する(S8102)。
【0223】
更新サーバ200では、監視パターン更新部250が更新モジュールからの監視パターンの反映終了の通知を受け、各更新モジュールへ更新検証を依頼する(S8103)。
更新検証依頼を受けた更新モジュールは、更新した新監視パターン本体に記述されている更新モジュールの監視パターン本体を検証する(S8104)。例えば、図44に示した様に監視パターンが更新されたとすると、更新モジュール1は、更新モジュール2と更新モジュール3の監視パターンの更新を検証し、更新モジュール2は、更新モジュール1の監視パターンの更新を検証し、更新モジュール3は、更新モジュール2の監視パターンの更新を検証する。監視パターン本体の検証には、更新サーバ200から受信した監視パターン情報の検証値リスト内の検証値を利用し、検証を行う。検証が終了すれば、それぞれの更新モジュールは、その検証結果を更新サーバ200へ通知する。
【0224】
監視パターンの更新の検証が終了した更新モジュールは、次に、更新した新監視パターン本体に記述されている更新モジュールの更新モジュール本体を検証する(S8105)。更新モジュール本体の検証には、更新モジュール検証用証明書を利用する。検証が終了すれば、それぞれの更新モジュールはその検証結果を更新サーバ200へ通知する。
以上で、各更新モジュールにおける監視パターンの更新処理は終了する。この後は、上述したように、監視パターン更新部250が相互監視結果として監視パターンの更新検証結果と更新モジュール本体の検証結果を受信し、更新完了判定部1007が更新の完了を判定する処理を行う。
【0225】
(実施の形態3)
上述の実施の形態1では、暗復号鍵に対し秘密分散法を用いて分散情報を生成し、各更新モジュール自身に割り当てられた分散情報を保持するものとしていた。本実施の形態では、各更新モジュールには、各更新モジュール自身に割り当てられた分散情報だけでなく、他の更新モジュールの分散情報をも保持する機能が追加されている。この機能により、一部の更新モジュールが無効化されても、残りの更新モジュールから暗復号鍵を復元しうる。よって、暗復号鍵を復元するために更新モジュールが改ざんされたとしても、改ざんされた更新モジュールを無効化することなく、正常な更新モジュールのみで動作を継続できる。以下、実施の形態3における処理の詳細について説明する。
【0226】
図48は、更新モジュール群130の構成図である。
図49は、自身の分散情報だけでなく、隣接する更新モジュールの分散情報を保持する場合における、分散情報の持ち合いを説明するための図である。
実施の形態3では、更新モジュールは、図48、図49に示すように一例として7つである。
【0227】
本実施の形態でも、実施の形態1で説明した初期設計処理(図18)を行うが、初期設計処理において、保護制御モジュール120が暗復号鍵から秘密分散法を用いて分散情報を生成する(S1002)点が実施の形態1と異なっている。このとき、図49に示すように、各更新モジュールの分散情報と隣接する更新モジュールの分散情報を各更新モジュールへ送信する。例えば、更新モジュール131では、更新モジュール131の分散情報である分散情報1と隣接する更新モジュール2の分散情報2と更新モジュール7の分散情報7を保持する。この処理により、更新モジュール132が改ざんされた場合においても、更新モジュール131が分散情報2を保持しているため暗復号鍵の復元をすることができる。
【0228】
次に、隣接する更新モジュールの分散情報を保持した場合の各判断処理について図面を用い説明する。以下の説明において、実施の形態1と同じ処理については同じ符号を用いることとし、説明については省略する。
25.通常時無効化判断処理
まず、通常時無効化判断処理について説明する。
【0229】
図50は、通常時判断処理の通常時無効化判断処理のフローチャートである。
図50において、実施の形態1の通常時無効化判断処理(図24)と同じ処理については同じ符号を用い、詳細な説明は省略する
図51は、更新モジュール群130のうち、半数以上が危殆化した例を示す図である。
通常時無効化判断処理では、図51に示すように、判断部210が、更新モジュールが半数以上危殆化しているか否かを判定(S3201)し、半数以上危殆化している場合には、判断部210内の指示生成部603で更新モジュール群130全体を更新する指示を生成し、更新モジュール全体を更新する(S3202)。
【0230】
また、判断部210は、更新モジュールの連続3つが危殆化しているかを判定し(S320A)、連続3つが危殆化していた場合には、判断部210内の指示生成部603で更新モジュール群130全体を更新する指示を生成し、更新モジュール全体を更新する。
図52は、更新モジュール群130のうち、更新モジュール131、132、137の3つが危殆化した例を示す図である。ここで、連続3つとは、更新モジュール131、更新モジュール132、更新モジュール137が同じ分散情報1を持つ関係のように、分散情報を保持する更新モジュールの構成において、同じ分散情報を保持する更新モジュールの関係を表す。更新モジュール131、更新モジュール132と更新モジュール137が改ざんされ危殆化した場合、更新モジュール131の分散情報1が取得できず、暗復号鍵の復元をすることができなくなる。そのため、保護制御モジュール120が更新モジュール全体を更新し、暗復号鍵を再分散する必要がある。具体的には、S3202と同様に更新モジュール全体を更新した後に、判断部210が保護制御モジュール120に暗復号鍵の更新と再分散の通知を行う。そして保護制御モジュール120が、現在の暗復号鍵でアプリ(110、111)を復号し、暗復号鍵を更新して、新しい暗復号鍵でアプリを暗号化する。さらに、保護制御モジュール120は、暗復号鍵から秘密分散法を用いて分散情報を生成し、更に署名秘密鍵を用いて暗復号鍵の復元時に正しく復元できたかを確認するための証明書(暗復号鍵証明書)を生成する。生成した分散情報と暗復号鍵証明書と隣接する更新モジュールの分散情報と暗復号鍵証明書をそれぞれ、更新モジュール131〜137へ送信する。
【0231】
なお、暗復号鍵から秘密分散法を用いて分散情報を生成する方式や分散情報を更新モジュールへ送信する方法については、特許文献2の47ページから49ページに詳しく説明されているので説明は省略する。また、特許文献2における秘密鍵dを暗復号鍵に、認証局装置を保護制御モジュール120に、分散情報保持装置を更新モジュール131〜133に対応させることで、特許文献2と同じ方法が利用可能である。
【0232】
また、連続3つが危殆化していないと判断した場合において、隣接する更新モジュールが危殆化していると判定した場合には、更新モジュール全体の更新を行う(S320B)。
図53は、更新モジュール群130のうち、更新モジュール131の隣接する更新モジュール132、137が危殆化した例を示す図である。
【0233】
隣接する更新モジュールが危殆化した場合、特許文献2の脱退処理を行うことができない。この場合、危殆化した更新モジュールの無効化処理を行った後、更新モジュール全体の分散情報を更新する。分散情報を更新する方法は上記の更新モジュール全体の分散情報の更新と同様であるので省略する。
26.回復時判断処理
回復時判断処理(S5103)の詳細について図54を用いて説明する。
【0234】
図54は、回復時相互監視処理の回復時判断処理を示すフローチャートである。図54において、実施の形態1の回復時判断処理(図36)と同じ処理については同じ符号を用いており、重複する説明については省略する。
判断部210は、更新モジュールが半数以上が危殆化しているかを判定し(S5111)、更新モジュールの危殆化が半数未満であった場合、更新モジュールの連続3つが危殆化しているかを判定する(S511A)。更新モジュールの連続3つが危殆化していた場合には、暗復号鍵の復元をすることができなくなるため機器100を停止する。
【0235】
上記のように、更新モジュールAの分散情報を両隣の更新モジュールに保持させることにより、保護制御モジュール120の更新処理中に更新モジュールAが改ざんされたとしても、更新モジュールAの分散情報を両隣の更新モジュールから取得することによって保護制御モジュールの暗復号鍵を復元することができる。また、連続3つの更新モジュールが危殆化しているか否かを判定し、危殆化していた場合には、更新モジュール全体の分散情報を更新することで、保護制御モジュール120の暗復号鍵が復元できない状況を事前に防ぐことができる。これにより、保護制御モジュールの更新処理を正しく行うことができる。
【0236】
(その他の変形例)
なお、本発明を上記実施の形態に基づいて説明してきたが、本発明は、上記の実施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる。
(1)上記実施の形態では、保護制御モジュール120を更新するとしたが、これに限定するものではなく、更新モジュールやアプリ等、保護制御モジュール120以外のモジュールを更新するとしてもよい。以下、更新モジュール133を更新する場合を例に、更新モジュールの更新処理を説明する。
【0237】
更新モジュールの更新処理では、保護制御モジュールを更新する場合と同様に、更新用ソフトウェア配布モジュール210が、新更新モジュール133を複数の鍵を用いて多重に暗号化し、更新モジュール群130に含まれる更新モジュール(更新モジュール133を除く)を送信先として送信する。更新モジュール群130に含まれる更新モジュールは、更新モジュール133を新更新モジュール133に更新する。この時、多重に暗号化された新更新モジュール133を復号するための複数の鍵を、更新モジュール群130に含まれる更新モジュールへ送信するタイミングを更新用ソフトウェア配布部220が制御することで、攻撃者が暗号化されていない新更新モジュール133を入手することを不可能にする。
【0238】
図55〜56は、更新モジュールの更新処理の一例を示すフローチャートである。ここでは、上述したように更新モジュール133を更新するものとする。図55〜56は、基本的には、図33〜34と同様である。異なる点は、更新対象となる更新モジュール133には、更新検証証明書や、復号終了通知、更新終了通知が送信されないことである。
以下、更新モジュール131、132が更新モジュール133を更新する処理を例に、更新モジュールの更新の処理について詳細に説明する。
【0239】
まず、更新用ソフトウェア配布部220は、新更新モジュール133の証明書(更新検証証明書)を証明書生成部408を用いて生成し(S9001)、各更新モジュール131〜132へ送信する(S9002)。この証明書を用い更新モジュール131〜132は、新更新モジュール133が正しくインストールできたか否かを確認できる。更新検証証明書の生成には、署名秘密鍵を利用する。各更新モジュールは、更新検証証明書を受信する。
【0240】
次に、更新用ソフトウェア配布部220は、暗号鍵生成部403を用いて、新更新モジュール133を多重に暗号化するための暗号鍵を2つ(第1の鍵、第2の鍵)生成する(S9003)。そして、暗号化部404を利用して、第2の鍵を用いて新更新モジュール133を暗号化し、暗号化新更新モジュール133を生成する(S9004)。更に暗号化新更新モジュール133に対して、第1の鍵を用いてさらに暗号化し、多重暗号化新更新モジュール133を生成する(S9005)。
【0241】
更新用ソフトウェア配布部220は、更新モジュール群130から一つの更新モジュール(ここでは、更新モジュール131)を選択する(S9006)。更新モジュールの選択では、判断部210内の不正モジュール特定部604に記憶されている危殆化した更新モジュール以外の更新モジュールを選択する。また、選択した更新モジュールの識別子を判断部210に送信する。更新用ソフトウェア配布部220は、選択した更新モジュールに多重暗号化新更新モジュール133を送信する(S9007)。更に、更新モジュール131へ第1の鍵を送信する(S9008)。
【0242】
更新モジュール131は、多重暗号化新更新モジュール133と第1の鍵を受信し(S9009)、第1の鍵を用いて、多重暗号化新更新モジュール133を復号し、暗号化新更新モジュール133を取得する(S9010)。復号が終了すると、その旨を更新用ソフトウェア配布部220へ通知する(S9011)。
更新用ソフトウェア配布部220は、復号終了通知を受信すると、更新モジュール群130から上記とは異なる更新モジュール(ここでは、更新モジュール132)を1つ選択する(S9012)。更新モジュールの選択は、上記と同様に判断部210内の不正モジュール特定部604に記憶されている危殆化した更新モジュール以外の更新モジュールを選択する。更新用ソフトウェア配布部220は、選択した更新モジュールに第2の鍵を送信する(S9013)。さらに、更新モジュール131に対して、暗号化新更新モジュール133を更新モジュール132へ送信するよう依頼する(S9014)。
【0243】
更新モジュール131は、更新用ソフトウェア配布部220からの依頼を受けて、暗号化新更新モジュール133を更新モジュール132へ送信する(S9015)。
更新モジュール132は、更新用ソフトウェア配布部220から第2の鍵を受信し、更新モジュール131から暗号化新更新モジュール133を受信する(S9016)。そして、第2の鍵を用いて、暗号化新更新モジュール133を復号し、新更新モジュールを133取得する(S9017)。
【0244】
更新モジュール132は、取得した新更新モジュール133を更新モジュール133に上書きし、新たな更新モジュール133に更新する(S9018)。そして、更新の終了を更新モジュール133以外の他の更新モジュールへ通知する(S9019)。
更新モジュール131〜132はそれぞれ、事前に受信した更新検証証明書を用いて、更新モジュール133が正しく更新されたかを検証し(S9020)、検証結果を更新用ソフトウェア配布部220へ通知する(S9021)。
【0245】
更新用ソフトウェア配布部220は、各更新モジュールから送信された通知を受信すると、検証結果から更新モジュール133が正しく更新されたかを判定し(S9022)、正しく更新されていない場合には、機器100を停止する(S9023)。
正しく更新されている場合には、更新処理の終了を更新モジュール133以外の各更新モジュールへ通知する(S9024)。
【0246】
更新モジュール131〜132はそれぞれ、更新処理の終了の通知を受けて、更新モジュール133のMAC値を生成し、MAC値テーブルへ更新モジュール133の識別子とMAC値の組を保存する(S9025)。
また、更新モジュールを上書きするとしたが、これに限定するものではなく、改ざんされた更新モジュールを無効化してから、上書きをするとしてもよい。
【0247】
なお、更新モジュールを上書きするとしたが、これに限定するものではなく、保護制御モジュール120やアプリ等、更新モジュール以外のモジュールを上書きするとしてもよい。アプリ100、110は、上述した機能以外の機能を提供するソフトウェアであってもよい。
また、一つでも更新モジュールが改ざんされている場合には、改ざんされていない更新モジュールが全ての更新モジュール及び保護制御モジュール120を更新あるいは上書きするとしてもよい。
【0248】
また、更新用ソフトウェア配布部220は、各更新モジュールから送信された通知を受信すると、検証結果から更新モジュール133が正しく更新されたかを判定し(S9022)、正しく更新されていない場合には、機器100を停止する(S9023)としたが、これに限定するものではなく、再度更新モジュール更新処理を行うとしてもよい。
(2)上記実施の形態では、更新モジュール13x(xは1〜7)は、受信部301、送信部302、制御部303、更新部304、検証部305、MAC値生成部306、MAC値テーブル更新部307、監視パターン取得部308、監視パターン更新部309、分散情報保持部310を含んで構成されるとしたが、これに限定されるものではない。例えば、監視処理に必要な構成要素(制御部303、検証部305、監視パターン取得部308、監視パターン更新部309)のみで構成されるとしてもよい。また、更新処理に必要な構成要素(制御部303、更新部304)のみで構成されるとしてもよい。また、無効化処理に必要な構成要素(制御部303、更新部304)のみで構成されるとしてもよい。さらに、上記の組み合わせから構成されるとしてもよい。
【0249】
この時、更新モジュール群130に含まれる更新モジュール全体として、監視処理と更新処理に必要な構成要素を含むよう構成されていればよい。
(3)上記実施の形態では、更新モジュール13xにおいて検証部305により他の更新モジュールや保護制御モジュール120の改ざんチェックを実行するとしたが、改ざんチェック対象はモジュール全体に限定するものではなく、モジュール内の一部、例えば、特定の機能や関数、鍵等のデータであってもよい。また、一度に改ざん対象全てを改ざんチェックするのではなく、改ざん対象の一部を改ざんチェックするだけでもよい。この場合、改ざん対象を一定のサイズに分割した部分毎に改ざんチェックしてもよいし、機能や関数単位で分割した部分毎に改ざんチェックしてもよい。さらに、改ざん対象の一部を、改ざんチェックの度に順番に改ざんチェックするとしてもよいし、改ざんチェックする部分を改ざんチェックの度にランダムに決定してもよし、どの部分を改ざんチェックするかを他のモジュールや機器100外部などから指定されることとしてもよい。
(4)上記実施の形態では、特に明示はしなかったが、重要度の高いモジュールについて、耐タンパ化された領域など、攻撃者による攻撃から保護されている領域で動作させることとしてもよい。例えば、更新モジュール13xや保護制御モジュール120を、上述のような保護されている領域で動作させてもよい。監視処理に必要な構成要素のみで構成される更新モジュールが、攻撃者による攻撃から保護されている領域で動作する場合には、他の更新モジュールや判断部210は、その保護された領域にある更新モジュールから、他の更新モジュールや保護制御モジュール120が攻撃されたことを検知した旨の通知を受けたときに、その通知を無条件に受け入れ、更新処理や無効化処理を実施することとしてもよい。また、その通知を他のモジュールからの通知よりも重要な通知として扱い、更新処理や無効化処理の判断を行ってもよい。
【0250】
また、保護制御モジュールは、保護モード(耐タンパ化された領域等)で動作し、更新モジュールは、通常モード(耐タンパ化されていない領域等)で動作するとしてもよい。
(5)上記実施の形態では、モジュール無効化部230は、更新サーバ200にあり、アクセス制御モジュール140は、機器100にあるとしたが、これに限定するものではない。例えば、モジュール無効化部230とアクセス制御モジュール140とはそれぞれ、機器100にあってもよいし、更新サーバ200にあってもよいし、各更新モジュール内にあってもよい。また、アクセス情報取得鍵配布モジュール220とアクセス制御モジュール140とは、別々のモジュールではなく1つのモジュールであってもよい。モジュール無効化部230とアクセス制御モジュール140とが1つのモジュールである場合には、更新モジュールへアクセス情報取得鍵と暗号化アクセス情報とを送信するのではなく、アクセス情報を直接送信してもよい。さらに、モジュール無効化部230やアクセス制御モジュール140が機器100内にあるときには、耐タンパ化などにより攻撃から保護される領域にあるとしてもよい。
(6)上記実施の形態では、更新サーバ200は、判断部210と更新用ソフトウェア配布部220、モジュール無効化部230、モジュール追加部240、監視パターン更新部250、通信部260とから構成されるとしたが、これに限定するものではなく、判断部210と更新用ソフトウェア配布部220、モジュール無効化部230、モジュール追加部240、監視パターン更新部250、通信部260が、1つのモジュールであってもよいし、どれか1つのモジュールのみで構成されてもよいし、上記の組み合わせから構成されるとしてもよい。
(7)上記実施の形態では、ソフトウェア更新システム10は、機器100の工場製造時に初期設計処理を行うとしたが、これに限定するものではなく、販売後など工場出荷後のどこかで初期化処理を実施してもよい。また、初期化処理は1度だけでなく、2度以上実施してもよい。
(8)上記実施の形態では、初期設計処理の動作として、検証用証明書及び認証鍵証明書は、更新用ソフトウェア配布部220が保持する署名秘密鍵を用いて生成された証明書であるとしたが、これに限定するものではなく、それぞれ別の鍵を用いて生成されてもよいし、更新用ソフトウェア配布部220以外の証明書発行装置により発行された証明書でもよい。
【0251】
(9)上記実施の形態では、初期設計処理や次ラウンド準備処理の動作として、暗復号鍵から生成する分散情報を更新モジュール13xへ送信し、更新モジュール13xが分散情報を保持するとしたが、これに限定するものではなく、更新モジュールの代わりにアプリが保持するとしてもよいし、更新モジュール13xとアプリとが保持するとしてもよい。
(10)上記実施の形態では、検知処理の動作として、更新モジュール13xが保護制御モジュール120の改ざん検出を行うときに、検証鍵を使用して計算したMAC値を用いて改ざん検出処理を行うとしたが、これに限定するものではなく、保護制御モジュール120の改ざん検出用証明書を用いて検証するとしてもよい。また、MAC値や証明書のようにハッシュ値を利用した改ざん検証を行うのではなく、ログをチェックすることで改ざん検証を行うとしてもよい。
(11)上記実施の形態では、検知処理の動作として、更新モジュール13xが保護制御モジュール120の改ざんを検出した場合、判断部210と他の更新モジュールへ通知するとしたが、これに限定するものではなく、判断部210と他の更新モジュールのうち、どれか1つ以上のモジュールに通知するとしてもよい。また、保護制御モジュール120の改ざんを検出した場合、更新モジュールを停止するとしてもよいし、機器100や保護制御モジュール120を停止するとしてもよい。更に、改ざんされた保護制御モジュールを消去するとしてもよい。さらに、更新モジュール131〜133が保護制御モジュール120の改ざんを検出しなかった場合、更新用ソフトウェア配布モジュール210へ通知を行わないとしたが、これに限定するものではなく、改ざん検出処理を実施した結果として、改ざんを検出しなかった旨を通知するとしてもよい。
(12)上記実施の形態では、検知処理の動作として、更新モジュール13xは、他の更新モジュールに保護制御モジュールの改ざん検出結果を送信しないとしたが、それぞれの更新モジュールで検出結果を共有するとしてもよい。また、検出結果を共有しない更新モジュールがあった場合に、当該更新モジュールを不正な更新モジュールと判断して無効化するとしてもよい。
(13)上記実施の形態では、解析・判断処理の動作として、改ざん情報に基づいて保護制御モジュール120を更新するかどうか判定するとしたが、これに限定するものではなく、改ざんされていると通知してきた更新モジュールの数によって更新するか否かを判定してもよい。また、解析・判断時の動作として、保護制御モジュール120を更新するか否か、及び保護制御モジュール120を無効化するか否かを判断したが、これに限定するものではなく、機器100を停止するか否かを判断するとしてもよい。
(14)上記実施の形態では、相互認証処理の動作として、更新モジュール131〜133が更新用ソフトウェア配布部220を認証し、その後、更新用ソフトウェア配布部220がそれぞれの更新モジュール131〜133を認証するとしたが、これに限定するものではなく、更新用ソフトウェア配布部220がそれぞれの更新モジュール131〜133を認証し、その後、更新モジュール131〜133が更新用ソフトウェア配布部220を認証してもよいし、それぞれの更新モジュール131〜133と更新用ソフトウェア配布部220とが個別に認証処理を行ってもよい。
(15)上記実施の形態では、相互認証処理の動作として、更新用ソフトウェア配布部220がそれぞれの更新モジュール13xを認証する処理において、チャレンジデータをそれぞれの更新モジュールで異なる値にするとしたが、これに限定するものではなく、チャレンジデータを全ての更新モジュールで同じ値としてもよいし、更新モジュール13xを複数のグルーブに分けた場合のそれぞれのグループで異なる値にしてもよい。
(16)上記実施の形態では、相互認証処理の動作として、それぞれの更新モジュール13xが、更新用ソフトウェア配布部220を認証する処理において、それぞれの更新モジュール13xが個別に更新用ソフトウェア配布部220を認証するとしたが、これに限定するものではなく、署名検証した結果を他の更新モジュールへ通知し、更新モジュール間で検証結果を共有し、自更新モジュールの認証結果と他の更新モジュールから受信した認証結果とから、更新用ソフトウェア配布部220が正当かどうかをそれぞれ判定してもよい。判定方法としては、例えば、一定数(例えば、過半数等)の更新モジュールが認証に成功した場合には正当であると判定し、認証に成功しなかった場合には、正当ではないと判定する方法がある。
【0252】
(17)上記実施の形態では、相互認証処理の動作として、更新サーバ200は署名秘密鍵と署名公開鍵とを使用して相互認証処理を実施するとしたが、これに限定するものではなく、署名秘密鍵と署名公開鍵とは別に、相互認証に使用する認証鍵対を用いるとしてもよい。この時、更新サーバ200の認証鍵対のうちの認証公開鍵は、予め更新モジュール13xで保持するとしてもよいし、相互認証処理時に更新サーバ200から更新モジュール13xへ送信するとしてもよい。
(18)上記実施の形態では、相互認証処理の動作として、正当なモジュールであると検証できた更新モジュールが、回復処理に必要な数以上あるかどうかで、その後の回復処理を実施するかどうか判定したが、これに限定するものではなく、不正な更新モジュールの数が、予め設定されている許容数未満かどうかで回復処理を実施するかどうか判定してもよい。また、相互認証処理において、回復処理に必要な数に満たないと判定した場合には、機器を停止するとしたが、更新モジュールを無効化してもよい。
(19)上記実施の形態では、相互認証処理の動作として、更新用ソフトウェア配布モジュール210がそれぞれの更新モジュール131〜133を認証する時に、更新モジュール131〜133は、レスポンスデータと一緒に認証公開鍵と認証鍵証明書とを更新用ソフトウェア配布部220へ送信するとしたが、これに限定するものではなく、それぞれ別のタイミングで送信してもよい。また、認証公開鍵や認証鍵証明書は、更新用ソフトウェア配布部220から要求があったときにのみそれぞれ送信するとしてもよい。この時、更新用ソフトウェア配布部220は、全ての更新モジュールの認証公開鍵や認証鍵証明書を受信してもよいし、予め設定されている、回復処理に必要な数以上、或いは予め設定されている、不正な更新モジュールの許容数未満の更新モジュールの認証公開鍵と認証鍵証明書とを受信してもよい。
(20)上記実施の形態では、回復処理の動作として、監視処理を1回の復号中(監視3−1、3−2、5−1、5−2)に2回実施するとしたが、これに限定するものではなく、復号処理の時間にあわせて監視処理を3回以上行ってもよいし、復号処理以外であっても、鍵や更新用保護制御モジュールの受信処理時や検知処理時、相互認証処理時に監視処理を行ってもよい。また、監視処理を一定時間間隔で定期的に実施するとしたが、これに限定するものではなく、更新処理を複数のブロックに分割し、その処理ブロックの処理が終わるごとに実施してもよいし、ランダムな時間間隔で実施してもよいし、更新サーバ200から指定された時間間隔で実施してもよい。
【0253】
また、各更新モジュールは、監視処理を実行するタイミングを示す同期情報を外部のサーバから取得し、取得した同期情報にしたがって監視処理を実行するとしてもよい。これにより、各更新モジュールは、他の更新モジュールと同じタイミングで監視処理を実行することができるので、不正な更新モジュールの検出精度を向上させることができる。
さらに、通常時と回復処理時とにおける検知頻度を変更するとしてもよい。例えば、通常時より回復処理時の検知頻度を高くすることにより、回復処理中の保護制御モジュールの保護に万全を期すことができる。検知頻度の変更は、回復処理中であってもよい。
(21)上記実施の形態1や実施の形態2では、回復処理の動作として、監視処理のパターンは、更新モジュール131が更新モジュール132の改ざん検出を行い、更新モジュール132が更新モジュール133の改ざん検出を行い、更新モジュール133が更新モジュール131の改ざん検出を行うものであったが、これに限定するものではない。例えば、更新モジュール131が更新モジュール133の改ざん検出を行い、更新モジュール132が更新モジュール131の改ざん検出を行い、更新モジュール133が更新モジュール132の改ざん検出を行うなど、予め決められたパターンで改ざん検出するとしてもよいし、どの更新モジュールの改ざん検出を行うかをランダムに決定してもよいし、他のモジュールや機器100外部から与えられるとしてもよい。また、各更新モジュールは、当該更新モジュール(自更新モジュール)が改ざんされていないかを検証するとしてもよい。さらに、自更新モジュールの改ざんを検出した場合に、自更新モジュール自身を無効化するとしてもよい。更に、複数の監視パターンを保持している場合、全ての更新モジュールが他の更新モジュールから監視される必要はなく、ある監視パターンでは、他の更新モジュールから監視されない更新モジュールがあってもよい。また、全ての更新モジュールは、複数の更新モジュールから監視されてもよい。また、監視処理のパターンを変更する場合は、改ざん検出の処理毎など、一定の間隔で変更するとしてもよいし、ランダムなタイミングで変更するとしてもよいし、他のモジュールや機器100外部から与えられたタイミングで変更するとしてもよい。また、複数の更新モジュールは、改ざん検出の結果を、更新サーバ200により指定される順序で、更新サーバ200に送信してもよい。
(22)上記実施の形態1や実施の形態2では、回復処理の動作として、監視処理時に、更新モジュール131が更新モジュール132の改ざん検出を行い、更新モジュール132が更新モジュール133の改ざん検出を行い、更新モジュール133が更新モジュール131の改ざん検出を行うというように、全ての更新モジュールが監視処理を行うとしたが、これに限定するものではなく、一つの更新モジュールが更新処理を実施し、他の更新モジュールが監視処理を実施してもよい。このときの監視パターンとしては、更新処理を行っている更新モジュールを、1つの更新モジュールが監視してもよいし、複数または全ての更新モジュールが監視してもよい。例えば、更新モジュール131が更新モジュール132の改ざん検出を行い、更新モジュール132が更新モジュール133の改ざん検出を行い、更新モジュール133が更新処理を行う。これにより、更新処理を中断することなく監視処理も実施できる。
【0254】
また、上記実施の形態1や実施の形態2では、更新モジュール131が更新モジュール132の改ざん検出を行い、更新モジュール132が更新モジュール133の改ざん検出を行い、更新モジュール133が更新モジュール131の改ざん検出を行うというように、監視構成としてループ方式を用いたが、複数の更新モジュールの各々が相互に監視し合う構成としてもよいし、それらを組み合わせてもよい。複数の更新モジュールの各々が相互に監視し合う構成とすることにより、改ざん検証精度をさらに高めることができる。
(23)上記実施の形態では、回復処理の動作として、更新モジュール132は、取得した更新用保護制御モジュール121を保護制御モジュール120に上書きし、保護制御モジュール120を更新するとしたが、これに限定するものではなく、更新用ソフトウェア配布モジュール210から保護制御モジュール120と更新用保護制御モジュール121との差分を取得し、差分のみを更新するとしてもよいし、更新用保護制御モジュール121を保護制御モジュール120とは別の領域へ書き込み、保護制御モジュール120に代わって、更新用保護制御モジュール121が実行されるようにしてもよい。
(24)上記実施の形態では、回復処理の動作として、監視処理により更新モジュール13xの改ざんが検出された場合、改ざん検出の通知を受けた判断部210は、直ちに回復処理を停止するとしたが、これに限定するものではなく、更新用ソフトウェア配布部220から更新モジュールへ、鍵などのデータを次に送信するタイミングで回復処理を停止するとしてもよい。また、回復処理を停止するのではなく、改ざんされた更新モジュールを使用せずに、正常な更新モジュールを用いて回復処理を行うとしてもよい。また、監視処理により改ざんが検出された場合だけでなく、検知処理時に保護制御モジュール120によって改ざんが検出された更新モジュールや、相互認証処理時に認証に失敗した更新モジュールについても同様に、当該更新モジュールを使用せずに回復処理を行うとしてもよい。さらに、改ざんされた更新モジュールが存在する場合には、保護制御モジュールの更新を行わないとしてもよい。
(25)上記実施の形態では、回復処理の動作として、更新処理において復号に使用する更新モジュールを、更新用ソフトウェア配布部220が更新モジュール群130から一つ選択するとしたが、その選択方法は、予め決められた更新モジュールを選択するとしてもよいし、ランダムに決定するとしてもよいし、機器100から通知された情報を元に決定するとしてもよいし、相互認証時に認証した順番に応じて選択するとしてもよい。
(26)上記実施の形態では、回復処理の動作として、更新処理において更新用ソフトウェア配布部220が更新用保護制御モジュール121を複数の鍵を用いて多重に暗号化するとしたが、これに限定するものではなく、更新用保護制御モジュール121を複数の部分に分割した分割モジュールを生成し、分割モジュールそれぞれを個別に暗号化し、更新モジュールと一対一に対応する形態で、更新モジュールへ送信するとしてもよい。この場合、更新処理としては、暗号化した分割モジュールと暗号に使用した鍵を送信するときに、それらを1度に全て送信するのではなく、1つの暗号化した分割モジュールの復号処理が終了するまで、他の暗号化した分割モジュールと鍵を送信しないように、更新モジュールへの送信を制御する。別の方法として、暗号化した分割モジュールは1度に更新モジュールへ送信し、それらを復号するための鍵の送信のタイミングのみを制御するとしてもよいし、鍵は1度に更新モジュールへ送信し、暗号化した分割モジュールの送信のタイミングのみを制御するとしてもよいし、全ての鍵と暗号化した分割モジュールを1度に送信するとしてもよい。また、分割モジュールは、1つの鍵で暗号化されるのではなく、複数の鍵を用いて多重に暗号化されてもよい。この場合、鍵や多重暗号化した分割モジュールの送信制御は、更新用保護制御モジュール121を複数の鍵を用いて多重に暗号化した時と同様である。更に、暗号化した分割モジュールとそれを復号する鍵は、1つの更新モジュールへ送信してもよいし、それぞれ別の更新モジュールへ送信し、機器100内部で更新モジュール同士が協調動作するとしてもよい。その際、分割モジュールを受信する前後で監視処理を実施してもよい。また、監視処理により、改ざんされた不正な更新モジュールが検出された場合、次の分割モジュールを送信するタイミングで更新処理を停止してもよい。さらに、複数の更新モジュールは、改ざんされた更新モジュールが存在する場合には、それを更新サーバに通知し、更新サーバは、改ざんされた更新モジュールには復号鍵を送信しないとしてもよい。分割モジュールはそれぞれ異なる暗号鍵で暗号化されていてもよい。
【0255】
(27)上記実施の形態では、回復処理の動作として、暗復号鍵(旧暗復号鍵)で暗号化されたアプリ110、111を新しい暗復号鍵(新暗復号鍵)を用いて再暗号化するとしたが、これに限定するものではなく、再暗号化処理を行わなくてもよい。この時、新暗復号鍵を生成せずに旧暗復号鍵を使い続けるとしてもよいし、旧暗復号鍵と新暗復号鍵を保持しておき、アプリによって使用する鍵を変える構成にしてもよいし、旧暗復号鍵が必要になったときには分散情報から再び生成するとしてもよい。旧暗復号鍵を使用し続ける場合は、保護制御モジュール120が更新される度に旧暗復号鍵が増えることになる。また、各更新モジュールで新暗復号鍵と旧暗復号鍵の分散情報を保持しておく必要がある。
(28)上記実施の形態において、保護制御モジュール121が正しく更新されなかった場合に機器100を停止するとしたが、これに限定するものではなく、再度、相互認証処理及び回復処理を実施するとしても良い。
(29)上記実施の形態において、無効化処理の動作として、アクセス情報は、更新モジュールを消去するための専用ドライバであるとしたが、これに限定するものではなく、更新モジュールを消去するための専用プログラムであってもよいし、更新モジュールを消去するための手順が記された手順書であってもよいし、消去する更新モジュールのアドレスであってもよいし、更新モジュールを消去するプログラムのアドレスであってもよいし、更新モジュールを消去するための機能を動作させるためのレジスタやメモリのアドレスやレジスタやメモリに設定する値であってもよい。また、アクセス情報は、コード部分を消去する旨が記述された情報であってもよい。この場合、コード位置はヘッダに格納されており、ヘッダを参照して消去すべきコード部分を判断するとしてもよい。さらに、アクセス制御モジュール自体が暗号鍵で暗号化されているとしてもよい。その場合には、改ざんされていない更新モジュールは、更新サーバから、アクセス制御モジュールを暗号化した暗号鍵に対応する復号鍵を取得し、取得した復号鍵を用いてアクセス制御モジュールを復号し、改ざんされた更新モジュールに対応するアクセス情報をアクセス制御モジュールから取得し、取得したアクセス情報に基づいて、改ざんされた更新モジュールを無効化するとしてもよい。
(30)上記実施の形態において、無効化処理の動作として、改ざんされた更新モジュール全体を消去するとしたが、これに限定するものではなく、改ざんされた不正な更新モジュールの一部、例えば、他のモジュールを読み込むための読み込み機能など特定の機能や関数、鍵や他のモジュールをアクセスするための情報(チケット、トークン、ソケット)などのデータを消去するとしてもよいし、他のプログラムからアクセスできなくしてもよいし、不活性化してもよいし、更新してもよい。また、改ざんされた更新モジュールを無効化した後、無効化処理を行った更新モジュールは、アクセス制御モジュールに格納されている、無効化した更新モジュールに対応するアクセス情報を消去するとしてもよい。
【0256】
(31)上記実施の形態において、改ざんされた不正な更新モジュールを無効化するとしたが、これに限定するものではなく、改ざんされた不正な更新モジュールを無効化しないとしてもよい。このとき、どのくらいの部分が改ざんされているか、どの部分が改ざんされたか等によって、無効化するかどうかを判断してもよいし、改ざんされた不正な更新モジュールの数によって無効化する更新モジュール数を決めてもよい。
(32)上記実施の形態1や実施の形態2では、更新モジュールの数を3として説明したが、これに限定されるものでなく、更新モジュールは、複数あればよい。
(33)上記実施の形態では、アクセス制御モジュール140及び更新モジュール群130は、OS150の中に組み込まれているとしたが、更新モジュールがOSを更新する機能を備えている場合等には、更新モジュールは、OSの管理外にプログラムとして格納されているとしてもよい。また、保護制御モジュールがOSに組み込まれているとしてもよい。
(34)機器100は、具体的には、携帯電話等の携帯端末やデジタルテレビ等、双方向のデータ通信が可能な機器であればよい。
(35)上記実施の形態では、アクセス情報は、更新モジュール毎にそれぞれ個別のアクセス情報取得鍵で暗号化されているとしたが、同一のアクセス情報取得鍵で暗号化されているとしてもよい。その場合には、正常な更新モジュールが更新サーバにアクセスして、アクセス情報取得鍵に対応した復号鍵を取得し、取得した復号鍵を用いてアクセス制御モジュールを復号し、アクセス制御モジュールから、改ざんされた更新モジュールに対応するアクセス情報を取得し、取得したアクセス情報に基づいて、改ざんされた更新モジュールを無効化するとしてもよい。
(36)上記実施の形態では、保護制御モジュールが改ざんされている場合に、当該保護制御モジュールを更新し、その際、更新モジュール群に含まれる複数の更新モジュールの各々が、他の更新モジュールの改ざん検証を行うとしたが、改ざんの有無に関わらず、例えば、保護制御モジュールのバージョンをアップさせる場合等において改ざん検証を行うとしてもよい。
(37)上記実施の形態では、更新用の保護制御モジュールは、複数の暗号鍵で暗号化されていたが、一つの暗号鍵で暗号化されているとしてもよい。その場合、当該暗号鍵に対応する復号鍵が複数に分割され、分割された復号鍵の全てが、改ざんされていない更新モジュールを送信先として送信され、分割された全ての復号鍵を用いて、改ざんされていない更新モジュールは、更新用の保護制御モジュールを復号するとしてもよい。
【0257】
(38)上記実施の形態では、更新モジュール131、132、133が、保護制御モジュール120の改ざん検出を実施しているが、さらに、保護制御モジュール120が各更新モジュールの改ざん検出を実施してもよい。
以下では、保護制御モジュール120が、各更新モジュールの改ざん検出をする処理について説明する。
【0258】
保護制御モジュール120は、更新モジュール131、132、133の改ざんの有無を、改ざん検出用証明書を用いて検証する。更新モジュール131、132、133のうち、何れかの更新モジュールの改ざんが検出された場合には、保護制御モジュール120は、その旨を判断部210に通知する。改ざんが検出されない場合には、判断部210への通知は行わない。
【0259】
保護制御モジュール120から改ざん検出の通知があった場合、判断部210は、保護制御モジュール120自体が改ざんされていないかを確認するために、更新モジュール131、132,133へ、保護制御モジュール120の改ざん検出処理を依頼する。
判断部210から依頼を受けた各更新モジュールは、保護制御モジュール120の改ざん検出を実施し、改ざん検出結果を判断部210へ通知する。なお、保護制御モジュール120が改ざんされていた場合でも、他の更新モジュールへは通知しない。以降の処理は、実施の形態1における検知処理と同様であるので、省略する。
【0260】
次に、保護制御モジュール120が改ざんされているか否かを判断するために保護制御モジュール120による各更新モジュールの改ざん検出結果を用いる例について説明する。
上述したように、検知処理時に、保護制御モジュール120が、各更新モジュール131、132、133の改ざん検出を実施する。保護制御モジュール120は、更新モジュールの改ざんを検出した場合、その旨を判断部210に通知する。
【0261】
通知を受けた判断部210は、各更新モジュール131、132、133へ、相互監視を依頼し、各更新モジュールは相互に改ざん検出を実施する。
判断部210は、各更新モジュールから相互監視の結果を受け取ると、相互監視の結果から、保護制御モジュール120が改ざんを検出した更新モジュールは、改ざんされているか否かを判断する。
【0262】
相互検視の結果から、前記更新モジュールが改ざんされていると判断する場合、判断部210は、保護制御モジュール120は、正当であると判断する。一方、相互監視の結果から、前記更新モジュールが改ざんされていないと判断する場合、判断部210は、保護制御モジュール120は、不正であると判断する。
例えば、保護制御モジュール120が、更新モジュール132の改ざんを検出した場合に、相互監視によっても、同様に、更新モジュール132は改ざんされていると判断された場合、保護制御モジュール120による検出結果は、正しかったことが証明されるので、保護制御モジュール120は改ざんされていないことがわかる。一方、相互監視の結果、更新モジュール132は改ざんされていないと判断された場合、保護制御モジュール120による検出結果は正しくなかったことが証明されるので、保護制御モジュールは改ざんされていることがわかる。
(39)上記実施の形態では、各更新モジュールに保護制御モジュール120を更新するための機能を予め保持させていたが、これに限定するものではなく、保護制御モジュールの改ざんを検出し、保護制御モジュール120を更新する必要が生じたときに、保護制御モジュール120を更新するためのアクセス情報を取得することにより、保護制御モジュール120を更新する機能を更新モジュールに付加するとしてもよい。このとき、モジュール無効化部230は、アクセス情報取得鍵保持部803に加え、保護制御モジュール120を更新するためのアクセス情報取得鍵を保持している。また、アクセス制御モジュール140は、各更新モジュールのアクセス情報に加え、保護制御モジュール120の暗号化アクセス情報を保持している。
【0263】
更新モジュールに保護制御モジュールを更新する機能を付加する処理を説明する。実施の形態1と同じ処理については同じ符号を用いる。更新処理において、更新用ソフトウェア配布部220が更新用保護制御モジュール121を複数の鍵を用いて多重に暗号化し、多重暗号化更新用保護制御モジュールと第1の鍵とを、更新モジュール群130に含まれる更新モジュール131に送信する(S5001からS5009)。更新モジュール群130に含まれる更新モジュールは、更新用ソフトウェア配布部220から第2の鍵を受信し、多重暗号化された更新用保護制御モジュールを復号し、更新用保護制御モジュールを取得する(S5012からS5016)。
【0264】
更新用保護制御モジュールを取得後、更新モジュール132は、保護制御モジュール120を更新用保護制御モジュール121へ更新するために、モジュール無効化部230に対し保護制御モジュール120を更新するためのアクセス情報取得鍵を送付するよう依頼する。さらに、アクセス制御モジュール140に対し保護制御モジュール120を更新するためのアクセス情報を送信するよう依頼する。
【0265】
モジュール無効化部230は、アクセス情報取得鍵の送付依頼を受けると、依頼元の更新モジュールが保護制御モジュール120を更新する更新モジュールであるかどうかを、更新用ソフトウェア配布部220に問い合わせ、保護制御モジュール120を更新する更新モジュールであった場合には、依頼元の更新モジュール132へ、保護制御モジュール120を更新するためのアクセス情報取得鍵を送付する。
【0266】
アクセス情報モジュール140は、更新モジュール132からアクセス情報の送信依頼を受け付けると、保護制御モジュール120に対応する暗号化アクセス情報を更新モジュール132に送信する。
更新モジュール132は、モジュール無効化部230からアクセス情報取得鍵を受信し、アクセス制御モジュール140から暗号化アクセス情報を受信すると、受信したアクセス情報取得鍵を用いて、暗号化アクセス情報を復号し、アクセス情報を取得する。取得したアクセス情報は、保護制御モジュール120を更新するための専用ドライバである。更新モジュール132は、そのドライバを利用して、保護制御モジュール120を更新用保護制御モジュール121へ更新する。そして、更新の終了を他の更新モジュールへ通知する。
【0267】
更新モジュール群130に含まれる各更新モジュールは、保護制御モジュール120が更新用保護制御モジュール121へ正しく更新されたか検証し、正しく更新されている場合には、保護制御モジュール121のMAC値を生成する。
(40)上記実施の形態では、判断基準は判断部210内の判断基準格納部606に格納されているとしたが、これに限定するものではなく、判断基準は更新サーバ200の外部の装置やサーバに格納してもよいし、判断基準を読み込む場合に、その都度外部から取得してもよい。
(41)上記実施の形態では、判断基準は判断部210内の判断基準格納部606に予め格納されているとしたが、これに限定するものではなく、予め格納されている判断基準を更新サーバ200内部で変更してもよいし、外部の装置やサーバから判断基準を取得して変更してもよい。
(42)上記実施の形態では、更新モジュールは監視パターン情報を1つ持つとしているが、監視パターン情報を複数持ってもよい。また、監視パターン情報を複数持つ場合、更新モジュール群130で一斉に監視パターンを切り替えてもよいし、各更新モジュールが個別に判断し切り替えてもよい。切り替えるタイミングは、機器100内で判断してもよいし、更新サーバ200から通知してもよいし、切り替えタイミングを判断するアルゴリズムを更新サーバ200から事前に通知し、そのアルゴリズムを使用して機器100で切り替えタイミングを判断してもよい。また、複数の監視パターン情報と一緒に、監視パターンを切り替えるタイミングやどの監視パターンをいつ使うかの情報を持ってもよい。これにより、機器100と更新サーバ200が通信不可能な状況においても、様々な監視パターンを組み合わせた監視を機器100単独で実施することが可能となる。また、監視パターンの更新が必要になった時に、更新サーバ200から切り替えの指示のみを行えばよいため、機器100と更新サーバ200との通信量を減らすことが可能となる。
(43)上記実施の形態では、監視パターン情報の監視頻度として、監視対象を、監視するタイミングに関する情報から構成されるとしたが、これに限定するものではなく、複数の監視パターンのうち、どの監視パターンを使用するかのタイミングや、監視パターンの選択アルゴリズムを含むとしてもよい。これにより、同じ監視頻度であっても異なる監視パターンを選択することが可能となり、攻撃者による、監視される更新モジュールの予想が困難になる。
(44)上記実施の形態では、監視パターン本体の構造が、先頭にヘッダ情報として監視パターンの数と監視パターンそれぞれのサイズが記述され、それ以降に、監視パターン識別子と監視パターンの組がそれぞれ並ぶ構造になるとしたが、これに限定するものではなく、単に、監視パターン1つを記述するだけでもよいし、監視パターンのサイズを固定長のサイズとし、監視パターン本体にサイズを記述しないとしてもよい。また、ヘッダ情報として監視パターンの数を記述し、それ以降に、サイズと監視パターン識別子、監視パターンの組がそれぞれ並ぶ構造になっていてもよい。更に、複数の監視パターンの並び順は、監視対象であるモジュールに関する情報(モジュール識別子、メモリ上の位置、サイズ、アドレス、ファイル名等)に応じた順番で並べてもよいし、監視パターンのサイズに応じた順番で並べてもよいし、監視パターン識別子に応じた順番で並べてもよいし、それらの情報とは無関係に並べてもよい。但し、ヘッダ情報としてサイズを記述する場合には、サイズの順番と、それに対応する監視パターン識別子と監視パターンの組の順番は一致している必要がある。
【0268】
(45)上記実施の形態では、追加処理の動作として、更新モジュール分割部905が追加処理を実施する更新モジュールの数と同数に分割するとしたが、これに限定するものではなく、更新処理を実施する更新モジュールの数より少なく分割してもよいし、多く分割してもよい。例えば、少ない場合には、分割した追加用更新モジュール(追加用更新モジュール部分)の一部を2以上の複数の更新モジュールに送信し、多い場合には、一部の更新モジュールが複数の追加用更新モジュール部分を受信するとしてもよい。これにより、追加処理を実施する更新モジュールの数と、追加用更新モジュールを分割する数を、異なる数にすることが可能となる。また、1つの追加用更新モジュール部分を複数の更新モジュールに送信することで、どちらか一方の更新モジュールが攻撃され不正なものとなった場合にも、同じ追加用更新モジュール部分を受信した更新モジュールが追加処理を行うことで、更新モジュールの追加処理を継続することが可能になる。さらに、1つの更新モジュールが複数の追加用更新モジュール部分を受信することが可能になるため、追加用更新モジュールを細かく分割し、連続しない複数の追加用更新モジュール部分をそれぞれの更新モジュールへ送信することで、攻撃者による解析を困難にすることが可能となる。
【0269】
さらに、更新モジュール保持部904に、予め分割された追加用更新モジュールを保持してもよい。そのように保持しても、モジュール追加部は、機器100内部の更新モジュールの数によらず、追加処理が可能となる。また、あらかじめ分割方法・分割数が決まっている場合にも、追加処理を実施する更新モジュールの数によらず追加処理を実施することが可能になる。
(46)上記実施の形態では、分割した追加用更新モジュールを受信した各更新モジュールは、それぞれ独立に追加処理を実施するとしたが、これに限定するものではなく、それぞれの更新モジュールが連携して、順番に追加処理を実施するとしてもよい。この場合、図27の追加処理のシーケンス図において、各更新モジュールで追加処理が終了したときに、「追加処理終了通知」をモジュール追加部のみへ通知しているが、この「追加処理終了通知」を他の更新モジュールへも通知することで、他の更新モジュールが何番目の追加処理まで終了したかを認識できるようにする、あるいは、「追加処理終了通知」を次の更新モジュールへ通知することで、順番に処理が可能になるようにする必要がある。
【0270】
追加処理を実行する順番に関しては、例えば、それぞれの更新モジュールに追加処理を行う優先順位を付加し、その優先順位に応じて、更新サーバ200により選択された更新モジュールが順に追加処理を実行してもよい。この時、優先順位はシステム設計時に決定してもよいし、サーバから事前に優先順位が通知されるとしてもよいし、機器内でその都度ランダムに決定されるとしてもよい。また、優先順位ではなく、分割した追加用更新モジュールを各更新モジュールへ送信するときに、処理順番を一緒に送信してもよい。処理順番の決定方法としては、例えば、更新モジュール選択部903が選択したときの順番に応じて追加処理の順番を決定してもよいし、ランダムな順番にしてもよいし、たくさんのモジュールから監視されている更新モジュールの処理順番が後になるように順番を決めてもよい。また、更新モジュール分割部905が追加用更新モジュールを分割するときに、セキュリティ上重要な情報が含まれる部分の処理順番が後になるように順番を決めてもよいし、サイズの大きな部分から順番に追加処理が実施されるように順番を決めてもよい。
【0271】
さらに、機器100の内部で追加処理の順番を認識するのではなく、更新サーバ200が追加処理の順番を認識し、更新サーバ200において機器100に送付する順番、およびタイミングを制御してもよい。
(47)上記実施の形態では、更新モジュールを1つ追加する処理を説明したが、これに限定するものではなく、複数の更新モジュールを同時に追加するとしてもよい。図57は、複数の更新モジュールを同時に追加するときの分割方法の一例を示す図である。図57において、3つの更新モジュールを用いて追加処理を実施するとき、まず、それぞれの追加用更新モジュールを、追加処理する更新モジュールと同じ数の3つに分割し、それぞれに書き込み順を付加する。そして、追加用更新モジュール1部分1と追加用更新モジュール2部分1を更新モジュール131へ、追加用更新モジュール1部分2と追加用更新モジュール2部分2を更新モジュール132へ、追加用更新モジュール1部分3と追加用更新モジュール2部分3を更新モジュール133へ送信する。それぞれの更新モジュールでは、受信した追加用更新モジュール部分に付加されている書き込み順番に応じて追加処理を実施する。ここで、複数の追加用更新モジュールをそれぞれ同じ数に分割したが、これに限定するものではなく、すべての追加用更新モジュールで所定の数に分割するとしてもよい。また、複数の更新モジュールを同時に追加するとしたが、これに限定するものではなく、更新モジュールとダミーモジュールを追加してもよい。これにより、複数の更新モジュールを一度に追加することが可能となり、機器100のセキュリティ強度を向上させることが可能になる。また、複数の追加用更新モジュールの部分が一緒になった状態で、更新サーバ200から機器100へ送信、追加処理が実施されるため、攻撃者による解析が困難になる。さらに、ダミーモジュールも含めることにより、より解析を困難にすることが可能となる。
(48)上記実施の形態では、機器100が追加用更新モジュールを更新サーバ200から受信するとしたが、これに限定するものではなく、初期設計処理時に、各更新モジュールへ追加用更新モジュール部分を予め格納してもよい。また、追加用更新モジュール部分ではなく、追加用更新モジュール部分を生成するプログラムを予め格納し、追加処理が必要な時に各更新モジュールが追加用更新モジュール部分を生成してもよい。この場合、モジュール追加部240において、更新モジュール保持部904と更新モジュール分割部905は不要であり、追加処理を行う更新モジュールを選択し、選択した更新モジュールへ処理開始の指示を送信するのみでよい。
(49)上記実施の形態では、追加用更新モジュールを機器100が受信した時に追加処理を行うが、これに限定するものではなく、更新サーバ200から分割された追加用更新モジュールと更新モジュール検証情報を機器100があらかじめ受信し、更新モジュール群130による相互監視の結果や、保護制御モジュール120による更新モジュールのチェック結果から、正常な更新モジュールの数が過半数などの所定の値以下になったことを検出したときに、更新サーバ200と通信することなく、あらかじめ受信した追加用更新モジュールを用いて追加処理を実施してもよい。これにより、機器100がネットワークから切断されていた場合にも、更新モジュールの追加処理が可能となり、セキュリティ強度を保つことが可能となる。
(50)上記実施の形態では、監視パターン更新部250では、監視パターンを生成するとしたが、これに限定するものではなく、監視パターンを予め格納しているとしてもよい。また、監視パターンは更新サーバ200の外部の装置やサーバから与えられてもよい。これにより、監視パターン更新部250の処理を減らすことが可能となるため、監視パターンの更新処理を迅速に行うことが可能となる。
(51)上記実施の形態では、監視パターン更新部250では、生成した新監視パターンを機器100へ送付するとしたが、これに限定するものではなく、監視パターン生成プログラムを機器100に送付するとしてもよい。このとき、監視パターン生成プログラムを受信した機器100は、監視パターン生成プログラムを実行して監視パターンを生成し、生成した監視パターンに従って監視する。これにより、機器100の内部状態に応じて最適な監視パターンを生成することが可能となり、不正な更新モジュールを検知しやすくなる。
【0272】
(52)上記実施の形態では、初期設計処理の動作として、機器100の工場製造時に、予め監視パターンをインストールしてもよいし、更新サーバ200から入手してもよい。また、監視パターンがインストールされていない場合には、デフォルトの監視パターンを使用するとしてもよい。デフォルトの監視パターンは、例えば、すべての他の更新モジュールを監視する監視パターンや実施の形態1のように更新モジュールが3つの場合、更新モジュール131が更新モジュール132を監視し、更新モジュール132が更新モジュール133を監視し、更新モジュール133が更新モジュール131を監視するように、リングのような監視パターンであってもよい。
(53)上記実施の形態では、初期化設計処理の動作として、ユーザがセキュリティレベルを設定してもよい。設定したセキュリティレベルに合わせて、更新モジュールの数や監視の頻度を設定できるとしてもよい。また、ユーザが設定したセキュリティレベルにおいて、更新モジュールの数が足りない場合、更新サーバ200から更新モジュールを入手してもよい。また、セキュリティレベルに合わせて、監視パターンを入手してもよい。このことにより、セキュリティレベル適切に設定でき、セキュリティ強度を保つことが可能となる。
(54)上記実施の形態では、更新モジュール初期化処理の動作として、自身の監視パターンがあるか否かを検証してもよい。また、監視パターンが存在しない場合には、更新サーバ200に問い合わせをし、監視パターンを入手してもよい。
(55)上記実施の形態では、解析・判断処理の動作として、検知処理の結果を基に、保護制御モジュール120が改ざんされていると判断し、回復するかの判断をしているが、これに限定するものではなく、機器100と同様の第三の機器の保護制御モジュールが改ざんされた情報を基に、保護制御モジュール120を回復するか判断してもよいし、外部から保護制御モジュール危殆化情報を取得するとしてもよい。保護制御モジュール危殆化情報として、例えば、同じ実装方法の保護制御モジュールが改ざんされたなどの情報がある。
【0273】
(56)上記実施の形態3では、通常時無効化判断処理の動作として、更新モジュールが半数以上危殆化と判断した場合、更新モジュール全体を更新しているが、これに限定するものではなく、機器を停止するとしてもよい。
(57)上記実施の形態では、通常時無効化判断処理の動作として、更新モジュールが半数以上危殆化と判断した場合、更新モジュール群130全体を更新しているが、これに限定するものではなく、危殆化している更新モジュールの全てに対し、無効化処理を行い、無効化処理が完了した後に、更新モジュールの追加処理を行うとしてもよい。
(58)上記実施の形態では、追加判断処理の動作として、更新モジュールが所定値以下の場合、追加処理を行うとしたが、これに限定するものではなく、無効化処理が行われたか否かを判断し、無効化処理が行われていた場合に、追加処理を行うとしてもよい。また、追加処理は1回に限らず複数回行ってもよい。さらに、所定値を増やし、初期の更新モジュールの数より多くなるように追加してもよい。また、追加処理を実施するのではなく更新モジュール全体を更新してもよい。このことにより、更新モジュール数が一定数で維持することができ、機器100内のセキュリティ強度を保つことができる。
(59)上記実施の形態では、監視パターン更新判断処理の動作として、無効化処理や追加処理により更新モジュールの構成が変更されたことで、監視パターンの更新が必要であるか否かを判断しているが、これに限定するものではなく、ある一定時間が経過したことで監視パターンの更新の判断をしてもよいし、通常時と回復時のような機器100内部の状態に応じて監視パターンの更新の判断をしてもよい。また、第三の機器の監視パターンが更新された情報を入手し、監視パターンの更新の判断をしてもよいし、更新サーバ200の外部の装置やサーバから情報を入手し、監視パターンの更新を判断してもよい。更に、相互監視の結果、不正な更新モジュールが判明した場合に監視パターンを更新すると判断してもよい。これにより、攻撃者による攻撃が行われる前、或いは攻撃直後に監視パターンの更新を行うことが可能となるため、攻撃を困難にできる。
【0274】
(60)上記実施の形態では、追加処理の動作として、更新モジュールの検証情報を受信した更新モジュールは、追加用更新モジュールの検証を実施し(S3316)、モジュール追加部240の制御部960が、検証結果から、追加用更新モジュールが正しく追加されたかを判定(S3318)しているが、これに限定するものではなく、モジュール追加部240の制御部960が追加した更新モジュールの検証情報とは異なった検証情報を更新モジュールに送信し、異なった検証情報で検証させることで、更新モジュールからの通知される検証結果が正しくないことを確認することで、追加用更新モジュールの検証が正しく実施されているかを検証するとしてもよい。また、更新モジュール分割部905が誤った更新モジュールを分割し、更新モジュールへ送信し、制御部960が正しい更新モジュールの検証情報を送信することで、更新モジュールからの通知される検証結果が正しくないことを確認することで、追加用更新モジュールの検証が正しく実施されているかを検証するとしてもよい。このことにより、追加用更新モジュールの検証(S3316)が正しく動作しているかの確認ができ、検証機能が正しく動作していることで、機器100内に不正な更新モジュールが追加されることを防止できる。
(61)上記実施の形態では、通常時無効化判断処理の動作として、更新モジュールが半数以上危殆化と判断した場合、更新モジュール全体を更新しているが、これに限定するものではなく、監視機能の限界を超えているかを判断し、超えている場合に、更新モジュール全体を更新してもよい。監視機能の限界を超えている場合として、例えば、半数以上の所定のしきい値を超えた場合、監視機能の限界を超えていると判断してもよい。また、監視機能を持たない更新モジュールが存在する場合において、更新モジュール全体の数では半数以下だが、監視機能を持つ更新モジュールが半数以上危殆化した場合は監視機能の限界を超えていると判断する。
(62)上記実施の形態では、監視パターン更新判断処理の動作として、無効化処理や追加処理による更新モジュールの構成が変更されたことで、監視パターンの更新が必要であるか否かを判断しているが、これに限定するものではなく、相互監視処理で、何らかの不正を検出した場合に監視パターンを更新すると判断してもよい。これにより、どの更新モジュールが不正なのか、また、どのような不正なのかなど詳細に不正の確認をすることができる。
(63)上記実施の形態では、相互監視処理の動作として、更新モジュール群130内の更新モジュール131〜133がそれぞれ他の更新モジュールに対して改ざん検出の処理を実施し、攻撃者により改ざんされていた場合にはそれを検出するとしているが、これに限定するものではなく、改ざんされていた位置や量の度合いにより、不正を検出するとしてもよいし、更新モジュールのログをチェックして不正を検出するとしてもよい。
【0275】
(64)上記実施の形態では、相互認証処理の動作として、正しいレスポンスデータを返す更新モジュールの数を判定し、回復処理に必要な更新モジュールの数が満たされていれば、回復処理に移行するが、このとき、正しいレスポンスデータを返さない更新モジュールを記憶する機能を追加してもよい。正しいレスポンスデータを返さない更新モジュールは改ざんされている可能性があり、記憶することで、更新処理に用いる更新モジュールを選択する(S5006)が正しいレスポンスデータを返さない更新モジュールを選択しないことで、正しいレスポンスデータを返さない更新モジュールが改ざんされていて、更新処理が正常に行えなくなることを防止することができる。また、正しいレスポンスデータを返さない更新モジュールを除いた監視パターンに更新するとしてもよい。このことにより、回復時相互監視処理の相互監視処理(S5101)の動作において、正しいレスポンスデータを返した更新モジュール群のみで相互監視を行うことができる。
(65)本発明の実施の形態2では、監視パターンの更新処理の動作として、監視パターン分割部1004が新監視パターン(全体)を分割し、それぞれの更新モジュールに送るとしているが、これに限定するものではなく、新監視パターン(全体)を機器100に送り、更新モジュールが新監視パターン(全体)から自身の監視パターンを取得し、更新してもよい。
(66)本発明の実施の形態2では、監視パターンの更新処理の動作として、更新した新監視パターン本体に記述されている更新モジュールの、監視パターン本体を検証するとしているが、すべての更新モジュールを検証してもよいし、機器100内で予め決められた更新モジュールを検証してもよいし、更新サーバ200がどの更新モジュールを検証するかを通知してもよいし、すべての更新モジュールが検証されるのであればランダムに決定してもよい。
(67)本発明の実施の形態2では、監視パターンの更新処理の動作として、監視パターン分割部1004が新監視パターン(全体)を分割してそれぞれの更新モジュールに送るとしているが、これに限定するものではない。例えば、以下のように、監視パターンを取得してもよい。まず、更新サーバ200がある更新モジュールに新監視パターン(全体)を送信し、新監視パターン(全体)を受信した更新モジュールが、新監視パターン(全体)のうち自身の監視パターンのみを取得して、他の更新モジュールに転送する。さらに、新監視パターン(全体)を受信した他の更新モジュールが、新監視パターン(全体)のうち自身の監視パターンのみを取得して、新監視パターンを取得していない他の更新モジュールへ送信する。これをすべての更新モジュールについて繰り返すことで、各更新モジュールが自身の監視パターンを取得できる。
【0276】
また、更新サーバは、それぞれの更新モジュールのみが復号できるように当該更新モジュールに係る新監視パターンを暗号化し、暗号化新監視パターン(全体)をある更新モジュールに送信する。新監視パターン(全体)を受信した更新モジュールは、自身の新監視パターンのみを復号することで自身の監視パターンを入手して、古くなった監視パターンを更新してもよい。
(68)本発明の実施の形態3では、初期設計処理の動作として、隣接する更新モジュールの分散情報を保持するとしているが、これに限定するものではなく、隣接する更新モジュールの分散情報だけでなく、隣接する更新モジュールが隣接する自身以外の更新モジュールの分散情報を保持するようにしてもよい。具体的には、更新モジュールAの一方に隣接する更新モジュールBが隣接する更新モジュールCの分散情報も更新モジュールAが保持するようにしてもよい。この場合、更新モジュールAは自身の分散情報を含め、分散情報4つを保持することになる。また、通常時無効化判断処理の動作として、隣接する両隣の更新モジュールが危殆化したと判断しても、更新モジュール全体を更新する必要はなく、危殆化した更新モジュールに無効化処理を行い、特許文献2の脱退処理を行うことで、分散情報の持ち合いが行われる。ただし、再暗号化処理において、暗復号鍵の復元の動作では、危殆化していない更新モジュールの持つ分散情報が正しいかどうか、特許文献2の分散情報の検証処理を行う。分散情報の検証処理の詳細な方法は特許文献2の57ページに詳しく説明されているので、ここでの説明は省略する。上記の処理により、更新モジュールCに隣接する更新モジュールが危殆化しても、更新モジュールAが更新モジュールCの分散情報を保持するため、特許文献2のにおける分散情報の検証処理を行うことができ、更新モジュールCの分散情報の正当性を検証し、暗復号鍵の復元処理(S5204)において、正しく復元できなくなることを防止することができる。
【0277】
(69)本発明の実施の形態3では、通常時無効化判断処理の動作として、隣接する更新モジュールが危殆化したと判定した場合(S320B)、更新モジュール全体を更新するとしたが、これに限定するものではなく、危殆化した更新モジュールの無効化処理を行い、更新モジュール全体を更新しなくてもよい。ただし、図58に示すように、更新モジュール131の保持する分散情報1を他の更新モジュールが保持しなくなるため、追加処理が必要となる。この場合の追加判断処理を図58を用いて説明する。隣接する更新モジュールが危殆化し、無効化処理のみが行われたかを判定し(S330A)、無効化されている場合には、追加処理を行う。更新モジュール131に隣接する更新モジュール132と更新モジュール137が無効化された場合、分散情報1を保持する更新モジュールは更新モジュール131のみになり、次に更新モジュール131が攻撃された場合、暗復号鍵の復元をすることができなくなる。この場合、更新モジュールを追加し、追加した更新モジュールに分散情報1を保持させることで、更新モジュール131が攻撃されても、暗復号鍵が復元できなくなることを回避することができる。ここで、追加した更新モジュールに分散情報1を保持させるのではなく、保護制御モジュール120が更新モジュール全体の分散情報を更新するとしてもよい。更新モジュール全体の分散情報を更新する方法は、通常時無効化判断処理における更新モジュール全体の分散情報の更新方法と同様であるので、ここでは省略する。上記のようにすることにより、分散情報1を複数の更新モジュールで保持することができるため、更新モジュール131が改ざんされた場合においても、暗復号鍵の復元ができなくなることを防止できる。
(70)本発明の実施の形態3では、通常時無効化判断処理の動作として、ある更新モジュール13Aに隣接する更新モジュールのどちらか一方(ここでは、更新モジュール13)が危殆化した場合において、特許文献2の脱退処理を行わず、更新モジュール13Bの無効化処理を行ってもよい。このことにより、更新モジュール13Aの分散情報Aはどちらか一方が保持しているため、追加処理の必要がなく、追加処理を行わないことで複数の更新モジュールが不正動作を行わないかの検証を継続するなど他の処理を行うことができる。
【0278】
また、保護制御モジュール120がアプリ(110、111)が改ざんされていないかを検証した後において、更新モジュール13Aに隣接するように更新モジュールの追加処理を行うとしてもよい。このことにより、本来守るべきのアプリが改ざんされていないかを検証する処理を終わらせてから、更新モジュール13Aに隣接する更新モジュールの追加を行うので、隣接する更新モジュールを追加しなくても前記所定の復号鍵は復元できる場合にまで、前記一方に隣接する更新モジュールの追加作業を優先させて、前記追加作業の間に前記所定のアプリケーションが攻撃されるのを防止できる。
(71)本発明の実施の形態3では、初期設計処理の動作として、全ての更新モジュールが隣接する更新モジュールの分散情報を保持するとしたが、これに限定するものではなく、ある更新モジュールの分散情報は隣接する更新モジュールとさらに他の更新モジュールが保持するとしてもよい。以下、図59を用いて具体的に説明する。実施の形態3では、隣接する更新モジュールの分散情報を保持するため、分散情報1は更新モジュール131、132、137が保持していた。そのため、通常時無効化判断処理や回復時判断処理の動作として、更新モジュール131、132、137の連続3つが危殆化した場合、分散情報1が復元できなくなるため、機器を停止するなどの処理を行っていた。図59のように、分散情報1を更新モジュール131、132、133、137が保持するようにすることで、通常時無効化判断処理や回復時判断処理で更新モジュール131、132、137の連続3つが危殆化した場合においても、分散情報1が復元できなくなることはないため、分散情報1に関しては、通常時無効化判断処理や回復時判断処理の動作として、連続4つが危殆化しているかの判定となる。ただし、分散情報2から分散情報7に関しては、隣接する更新モジュールのみが保持しているため、連続3つが危殆化しているかの判定となる。このように、各分散情報を持ち合いする数が違う場合には、分散情報ごとに持ち合いの数を考慮して判定する必要がある。実施の形態3では、分散情報の持ち合いの数がすべて3のため、分散情報ごとの判定が考慮不要となる。
【0279】
(72)本発明の実施の形態3では、初期設計処理の動作として、保護制御モジュール120の暗復号鍵を全ての更新モジュールが一様に保持するとしたが、これに限定するものではなく、暗復号鍵を分割し、分割した暗復号鍵の1つに対して、秘密分散法を用いて分散情報を生成するとしてもよい。具体的な例として、図60を用いて説明する。保護制御モジュール120は暗復号鍵を分割鍵1と分割鍵2の2つに分割する。それぞれの分割鍵に初期設計処理と同様に秘密分散法を用いて、分割鍵1が分散情報1から分散情報5に、分割鍵2が分散情報6から分散情報10となるように分散情報を生成する。分割鍵1の分散情報を更新モジュール1301から1305に送信し、分割鍵2の分散情報を更新モジュール1306から1310に送信する。暗復号鍵の復元では、各更新モジュールから分散情報を受信し、分割鍵を復元し、復元した分割鍵から暗復号鍵を復元する。また、通常時無効化判断処理や回復時判断処理の動作では、分割鍵に対する分散情報を持つ更新モジュールの構成において、連続3つ更新モジュールが危殆化しているかの判定を行う。また、無効化処理や追加処理に用いる特許文献2の脱退処理や追加処理は、分割鍵の分散情報を持つ更新モジュールの構成で行う。
(73)本発明の実施の形態3では、保護制御モジュール120が暗復号鍵の分散情報の配置情報を生成しているが、これに限定するものではなく、更新サーバ200が配置情報を生成し、保護制御モジュール120に送信するとしてもよいし、外部の装置やサーバから入手するとしてもよい。また、分散情報の持ち合いの数を更新サーバ200から入力するとしてもよい。この時、持ち合いの数によって、更新サーバ200内で通常時無効化判断処理や回復時判断処理の更新モジュールのうち更新モジュールの構成で連続いくつが危殆化するかを判定する数を決定してもよい。
(74)本発明の実施の形態3では、保護制御モジュール120が暗復号鍵の分散情報の配置情報を記憶しているが、これに限定するものではなく、保護制御モジュール120が分散情報の配置情報を更新サーバ200に送信し、更新サーバ200が記憶してもよいし、更新サーバ200が更新モジュール群130に通知依頼を送信し、更新モジュール群130から受信してもよいし、更新サーバ200の外部の装置やサーバから入手するとしてもよい。
(75)実施の形態2では、S8101において新監視パターンを受信したそれぞれの更新モジュールは、監視パターン更新部309を用いて、自身の監視パターン情報を、受信した新監視パターンへ更新することとしていたが、更新前の監視パターンを保持しておくものとしてもよい。そして、S8102において、監視パターン更新部250が全更新モジュールから監視パターンの反映終了の通知を受け取った場合、すなわち、全ての更新パターンの更新が完了した場合に、監視パターン更新部250は、各更新モジュールに更新前の監視パターン破棄の指示を送信する。そして、各更新モジュールは、監視パターン破棄の指示を受けた場合に、更新前の監視パターンを破棄する。全ての更新パターンの更新が完了しなかった場合、新監視パターンの方を破棄する。
【0280】
ここで、全ての監視パターンの更新が完了したか否かは、監視パターン更新部250側で行ってもよいし、更新モジュール側で行なってもよい。監視パターン更新部250で行う場合であれば、監視パターン更新部250が、新監視パターンを各更新モジュールに送信してから一定時間内に、全更新モジュールから反映終了の通知を受け取らなかった場合に、全ての更新パターンの更新が完了しなかったと判断する。この場合に、監視パターン更新部250が、各更新モジュールに更新前の監視パターンを破棄するよう指示する。
【0281】
また、全ての監視パターンの更新が完了したか否かを更新モジュール側で行う場合には、監視パターン更新部250が、全更新モジュールから反映終了の通知を受け取ったときに、各更新モジュールに全ての更新パターンの更新が完了した旨を通知する。各更新モジュールは、新監視パターンを受け取ってから一定時間内に、全ての監視パターンの更新が完了した旨の通知を受け取った場合に更新前の監視パターンを破棄し、全ての監視パターンの更新が完了した旨の通知を受け取らなかった場合には、新監視パターンを破棄する。
(76)上記実施の形態1において、各更新モジュールは、MAC値テーブルに格納されているMAC値を用いて、他の更新モジュールの改ざんの有無を検出する。ここで、MAC値テーブル自体が改ざんされた場合には、更新モジュールの改ざん検出が正しく実施されない可能性がある。例えば、更新モジュールが改ざんされた場合であっても、MAC値テーブルに格納されているMAC値も同じ攻撃者により改ざんされていた場合、更新モジュールが改ざんされているにもかかわらず、改ざんは無いと検出される。
【0282】
また、上記実施の形態1において、各更新モジュールは、検証値リストに格納されている検証値を用いて、監視パターン及び監視頻度を正しく更新できたか否かを検証する。ここで、検証値リスト自体が改ざんされた場合には、監視パターン及び監視頻度の検証が正しく実施されない可能性がある。
そこで、これらの問題に対応するために、実施の形態1において、各更新モジュールは、MAC値テーブル及び検証値リストを保護するための保護プログラムを実装して、MAC値テーブル及び検証値リストを保護するとしてもよい。
【0283】
この場合、相互監視において、各更新モジュールは相互に、各更新モジュールに実装されている保護プログラムの改ざん検出を行うとしてもよい。
そして、保護プログラムの改ざんが検出されない場合、その更新モジュールにおいては、MAC値テーブル及び検証値リストが改ざんされていないとみなし、保護プログラムの改ざんが検出された場合、その更新モジュールにおいて、MAC値テーブル及び検証値リストが改ざんされているとみなすことができる。
【0284】
また、MAC値テーブル及び検証値リストを保護するための保護プログラムは、例えば、MAC値テーブル及び検証値リストを、暗号化/復号するプログラムでもよいし、署名生成プログラムであってもよい。このとき、MAC値テーブル及び検証値リストにパディングデータを付加してもよい。これにより、復号時又は署名検証時にパディングデータが正しいか否かを判断することにより、MAC値テーブル及び検証値リストの改ざんを検出することができる。
【0285】
また、MAC値テーブル自体のMAC値を生成しておくことにより、MAC値テーブルの改ざんを検出するとしてもよい。このとき、MAC値を検証すための鍵に難読化を施してもよい。同様に、検証値リストのMAC値を生成しておくことにより、検証値リストの改ざんを検証するとしてもよい。
MAC値テーブル及び検証値リストの検証は、定期的に行っても良いし、不定期に行っても良い。不定期に行う場合には、例えば、更新モジュール群130による相互監視処理の前に行うとしてもよい。
(77)上記の各モジュールは、具体的には、それぞれ個別のコンピュータプログラムであってもよいし、オペレーティングシステムに組み込まれるモジュールであってもよいし、オペレーティングシステムから呼ばれるドライバであってもよいし、アプリケーションプログラムであってもよい。
(78)上記の各装置は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記RAMまたはハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。
(79)上記の各装置を構成する構成要素の一部または全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAMなどを含んで構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、システムLSIは、その機能を達成する。
【0286】
また、上記の各装置を構成する構成要素の各部は、個別に1チップ化されていても良いし、一部又は全てを含むように1チップ化されてもよい。
また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサーを利用しても良い。
【0287】
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。
(80)上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なICカードまたは単体のモジュールから構成されているとしてもよい。前記ICカードまたは前記モジュールは、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。前記ICカードまたは前記モジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ICカードまたは前記モジュールは、その機能を達成する。このICカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。
(81)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。
【0288】
また、本発明は、前記コンピュータプログラムまたは前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD−ROM、MO、DVD、DVD−ROM、DVD−RAM、BD(Blu−ray Disc)、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記デジタル信号であるとしてもよい。
【0289】
また、本発明は、前記コンピュータプログラムまたは前記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。
また、本発明は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。
【0290】
また、前記プログラムまたは前記デジタル信号を前記記録媒体に記録して移送することにより、または前記プログラムまたは前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
(82)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。
【産業上の利用可能性】
【0291】
本発明は、ユーザに対してネットワークを利用した様々な機能を提供する情報処理装置を製造及び販売する産業において、前記情報処理装置で利用されるソフトウェアを製作及び販売する産業において、前記情報処理装置に対してソフトウェアを提供する管理装置を製造及び販売する産業において、安全にソフトウェアを更新する技術として利用することができる。
【符号の説明】
【0292】
10 ソフトウェア更新システム
100 機器
110 アプリ
111 アプリ
120 保護制御モジュール
130 更新モジュール群
131 更新モジュール
132 更新モジュール
133 更新モジュール
140 アクセス制御モジュール
160 ブートローダ
200 更新サーバ
210 判断部
220 更新用ソフトウェア配布部
230 モジュール無効化部
240 モジュール追加部
250 監視パターン更新部
260 通信部
301 受信部
302 送信部
303 制御部
304 更新部
305 検証部
306 MAC値生成部
307 MAC値テーブル更新部
308 監視パターン取得部
309 監視パターン更新部
310 分散情報保持部
401 受信部
402 送信部
403 制御部
404 暗号化部
405 検出部
406 解析ツール検出部
407 暗復号鍵保持部
408 暗復号鍵生成部
409 暗復号鍵分散部
410 証明書生成部
411 暗復号鍵復元部
501 受信部
502 送信部
503 アクセス情報保持部
601 受付部
602 指示部
603 指示生成部
604 不正モジュール特定部
605 判断基準読込部
606 判断基準格納部
701 受信部
702 送信部
703 暗号鍵生成部
704 暗号処理部
705 認証部
706 更新モジュール選択部
707 制御部
708 証明書生成部
709 署名秘密鍵保持部
710 更新用ソフトウェア保持部
711 暗号鍵保持部
801 受信部
802 送信部
803 アクセス情報取得鍵保持部
804 更新モジュール選択部
901 受信部
902 送信部
903 更新モジュール選択部
904 更新モジュール保持部
905 更新モジュール分割部
906 制御部
1001 受信部
1002 送信部
1003 監視パターン生成部
1004 監視パターン分割部
1005 制御部
【特許請求の範囲】
【請求項1】
情報処理装置と正当な管理装置とがネットワークを介して接続されており、前記情報処理装置上で動作するソフトウェアを更新するソフトウェア更新システムであって、
前記情報処理装置は、
ソフトウェアを更新する機能を有し、相互に改ざんの有無を検証し合う複数の更新モジュールと、
前記複数の更新モジュールによる検証結果を、前記管理装置へ送信する送信手段とを備え、
前記管理装置は、
前記複数の更新モジュールによる検証結果を受信する受信手段と、
受信した前記検証結果に基づき、各更新モジュールが正当であるか否か判断する判断手段と、
前記判断手段からの指示を受け、不正であると判断された更新モジュールの無効化指示を前記情報処理装置に送信する無効化手段とを備える
ことを特徴とするソフトウェア更新システム。
【請求項2】
前記複数の更新モジュールのそれぞれは、他の更新モジュールを無効化する機能を有し、
前記無効化手段は、無効化処理を行う更新モジュールを選択し、前記判断手段により不正であると判断された前記更新モジュールを指定する識別情報を含む前記無効化指示を、選択された前記更新モジュールへ送信し、
前記無効化指示を受け付けた更新モジュールは、前記識別情報により指定される更新モジュールを無効化する
ことを特徴とする請求項1に記載のソフトウェア更新システム。
【請求項3】
前記情報処理装置は、
秘匿データを保護する機能を有する保護制御モジュールを含み、
前記複数の更新モジュールのそれぞれは、更に、前記保護制御モジュールの改ざんの有無を検証し、前記管理装置から前記保護制御モジュールの更新用ファイルを受信すると、前記保護制御モジュールを更新し、
前記管理装置は、更に、
前記判断手段からの指示を受け、不正な保護制御モジュールを更新するための更新用ファイルを前記情報処理装置へ配布する配布手段を備え、
前記受信手段は、更に、前記保護制御モジュールに係る検証結果を受信し、
前記判断手段は、前記保護制御モジュールに係る検証結果を用いて前記保護制御モジュールが正当であるか否か判断し、判断結果と予め保持している判断基準とに応じて決定される処理順序に従い前記無効化手段及び前記配布手段へ指示を出力する
ことを特徴とする請求項2に記載のソフトウェア更新システム。
【請求項4】
前記判断手段は、前記保護制御モジュールが不正であると判断する場合、前記更新モジュールの無効化に優先して、前記保護制御モジュールを更新するように前記処理順序を決定する
ことを特徴とする請求項3に記載のソフトウェア更新システム。
【請求項5】
前記判断手段は、前記保護制御モジュールが正当であると判断する場合、前記更新モジュールの無効化を優先的に行うように前記処理順序を決定する
ことを特徴とする請求項3に記載のソフトウェア更新システム。
【請求項6】
前記判断手段は、前記保護制御モジュールが不正であると判断し、且つ、前記複数の更新モジュールの全てが不正であると判断する場合、前記無効化手段及び前記配布手段への指示に代えて、前記情報処理装置を停止させる指示を生成し、
前記情報処理装置は、前記管理装置から停止の指示を受信すると、処理を停止する
ことを特徴とする請求項3に記載のソフトウェア更新システム。
【請求項7】
前記保護制御モジュールは、更に、前記複数の更新モジュールの改ざんの有無を検証し、
前記受信手段は、更に、前記保護制御モジュールによる前記複数の更新モジュールに係る検証結果を受信し、
前記判断手段は、
前記保護制御モジュールにより改ざんが検出された更新モジュールに係る、他の更新モジュールによる検証結果を用いて、当該更新モジュールが正当であるか否かを判断し、
当該更新モジュールが不正であると判断する場合に、前記保護制御モジュールは正当であると判断し、当該更新モジュールが正当であると判断する場合に、前記保護制御モジュールが不正であると判断する
ことを特徴とする請求項3に記載のソフトウェア更新システム。
【請求項8】
前記管理装置は、更に、
前記判断手段からの指示を受けて、前記情報処理装置に追加の更新モジュールを送信するモジュール追加手段を備え、
前記判断手段は、前記情報処理装置へ無効化指示を送信した後において、前記情報処理装置に含まれる更新モジュールの数が所定値以下であるか否か判断し、更新モジュールの数が所定値以下の場合、前記モジュール追加手段に更新モジュールの追加を指示する
ことを特徴とする請求項3に記載のソフトウェア更新システム。
【請求項9】
前記判断手段は、前記保護制御モジュールが正当であるか否かの判断結果に応じて決定される処理順序に従い、前記モジュール追加手段及び前記配布手段へ指示を出力する
ことを特徴とする請求項8に記載のソフトウェア更新システム。
【請求項10】
前記判断手段は、前記保護制御モジュールが不正であると判断する場合、前記追加の更新モジュールの送信に優先して、前記保護制御モジュールを更新するように前記処理順序を決定する
ことを特徴とする請求項9に記載のソフトウェア更新システム。
【請求項11】
前記判断手段は、前記保護制御モジュールが正当であると判断する場合、前記追加の更新モジュールの送信を優先的に行うように前記処理順序を決定する
ことを特徴とする請求項9に記載のソフトウェア更新システム。
【請求項12】
前記情報処理装置は、更に、
前記秘匿データを含み、且つ、暗号化されているアプリケーションプログラムを備え、
前記複数の更新モジュールは、各更新モジュールが多角形の端点に位置するように仮想的に配置されており、
前記複数の更新モジュールのそれぞれは、前記暗号化アプリケーションプログラムを復号するための復号鍵から所定の鍵分散法に従って生成された複数の分散鍵のうち、自身に割り当てられた分散鍵及び前記多角形における両隣の端点に配置されている更新モジュールに割り当てられた分散鍵を保持しており、
前記保護制御モジュールは、前記複数の更新モジュールから、少なくとも3個の分散鍵を取得して前記復号鍵を復元し、前記暗号化アプリケーションプログラムを復号する
ことを特徴とする請求項8に記載のソフトウェア更新システム。
【請求項13】
前記判断手段は、不正であると判断された更新モジュールが無効化されることにより、ある更新モジュールの両隣の更新モジュールが無効化される場合、前記モジュール追加手段に、前記両隣の更新モジュールのうち、少なくとも一方の更新モジュールの追加を指示する
ことを特徴とする請求項12記載のソフトウェア更新システム。
【請求項14】
前記判断手段は、前記保護制御モジュールが不正であると判断する場合、前記更新モジュールの両隣の更新モジュールのうち、少なくとも一方の更新モジュールの追加に優先して、前記保護制御モジュールを更新するように前記処理順序を決定する
ことを特徴とする請求項13に記載のソフトウェア更新システム。
【請求項15】
前記判断手段は、前記保護制御モジュールが正当であると判断する場合、前記更新モジュールの両隣の更新モジュールのうち、少なくとも一方の更新モジュールの追加を優先的に行うように前記処理順序を決定する
ことを特徴とする請求項13に記載のソフトウェア更新システム。
【請求項16】
前記保護制御モジュールは、更に、前記アプリケーションプログラムの改ざんの有無を検出し、
前記複数の更新モジュールのそれぞれは、前記モジュール追加手段から追加の更新モジュールを受信すると、受信した更新モジュールを追加する機能を有し、
前記モジュール追加手段から追加の更新モジュールを受信した更新モジュールは、前記保護制御モジュールによる前記アプリケーションプログラムの改ざん検出が終了したのちに、受信した更新モジュールを追加する
ことを特徴とする請求項13に記載のソフトウェア更新システム。
【請求項17】
前記判断手段は、不正であると判断された更新モジュールが無効化されることにより、ある更新モジュールの片隣の更新モジュールのみが無効化される場合には、前記モジュール追加手段に、前記片隣の更新モジュールの追加を指示しない
ことを特徴とする請求項13に記載のソフトウェア更新システム。
【請求項18】
ソフトウェアを更新する機能を有し、相互に改ざんの有無を検証し合う複数の更新モジュールを備える情報処理装置から、前記複数の更新モジュールによる検証結果を受信する受信手段と、
受信した前記検証結果に基づき、各更新モジュールが正当であるか否か判断する判断手段と、
前記判断手段からの指示を受け、不正であると判断された更新モジュールの無効化指示を前記情報処理装置に送信する無効化手段とを備える
ことを特徴とする管理装置。
【請求項19】
ソフトウェアを更新する機能を有し、相互に改ざんの有無を検証し合う複数の更新モジュールを備える情報処理装置から、前記複数の更新モジュールによる検証結果を受信する受信ステップと、
受信した前記検証結果に基づき、各更新モジュールが正当であるか否か判断する判断ステップと、
前記判断ステップからの指示を受け、不正であると判断された更新モジュールの無効化指示を前記情報処理装置に送信する無効化ステップと
を含むコンピュータプログラムを記録しているコンピュータ読み取り可能な記録媒体。
【請求項20】
ソフトウェアを更新する機能を有し、相互に改ざんの有無を検証し合う複数の更新モジュールを備える情報処理装置から、前記複数の更新モジュールによる検証結果を受信する受信手段と、
受信した前記検証結果に基づき、各更新モジュールが正当であるか否か判断する判断手段と、
前記判断手段からの指示を受け、不正であると判断された更新モジュールの無効化指示を前記情報処理装置に送信する無効化手段とを備える
ことを特徴とする集積回路。
【請求項1】
情報処理装置と正当な管理装置とがネットワークを介して接続されており、前記情報処理装置上で動作するソフトウェアを更新するソフトウェア更新システムであって、
前記情報処理装置は、
ソフトウェアを更新する機能を有し、相互に改ざんの有無を検証し合う複数の更新モジュールと、
前記複数の更新モジュールによる検証結果を、前記管理装置へ送信する送信手段とを備え、
前記管理装置は、
前記複数の更新モジュールによる検証結果を受信する受信手段と、
受信した前記検証結果に基づき、各更新モジュールが正当であるか否か判断する判断手段と、
前記判断手段からの指示を受け、不正であると判断された更新モジュールの無効化指示を前記情報処理装置に送信する無効化手段とを備える
ことを特徴とするソフトウェア更新システム。
【請求項2】
前記複数の更新モジュールのそれぞれは、他の更新モジュールを無効化する機能を有し、
前記無効化手段は、無効化処理を行う更新モジュールを選択し、前記判断手段により不正であると判断された前記更新モジュールを指定する識別情報を含む前記無効化指示を、選択された前記更新モジュールへ送信し、
前記無効化指示を受け付けた更新モジュールは、前記識別情報により指定される更新モジュールを無効化する
ことを特徴とする請求項1に記載のソフトウェア更新システム。
【請求項3】
前記情報処理装置は、
秘匿データを保護する機能を有する保護制御モジュールを含み、
前記複数の更新モジュールのそれぞれは、更に、前記保護制御モジュールの改ざんの有無を検証し、前記管理装置から前記保護制御モジュールの更新用ファイルを受信すると、前記保護制御モジュールを更新し、
前記管理装置は、更に、
前記判断手段からの指示を受け、不正な保護制御モジュールを更新するための更新用ファイルを前記情報処理装置へ配布する配布手段を備え、
前記受信手段は、更に、前記保護制御モジュールに係る検証結果を受信し、
前記判断手段は、前記保護制御モジュールに係る検証結果を用いて前記保護制御モジュールが正当であるか否か判断し、判断結果と予め保持している判断基準とに応じて決定される処理順序に従い前記無効化手段及び前記配布手段へ指示を出力する
ことを特徴とする請求項2に記載のソフトウェア更新システム。
【請求項4】
前記判断手段は、前記保護制御モジュールが不正であると判断する場合、前記更新モジュールの無効化に優先して、前記保護制御モジュールを更新するように前記処理順序を決定する
ことを特徴とする請求項3に記載のソフトウェア更新システム。
【請求項5】
前記判断手段は、前記保護制御モジュールが正当であると判断する場合、前記更新モジュールの無効化を優先的に行うように前記処理順序を決定する
ことを特徴とする請求項3に記載のソフトウェア更新システム。
【請求項6】
前記判断手段は、前記保護制御モジュールが不正であると判断し、且つ、前記複数の更新モジュールの全てが不正であると判断する場合、前記無効化手段及び前記配布手段への指示に代えて、前記情報処理装置を停止させる指示を生成し、
前記情報処理装置は、前記管理装置から停止の指示を受信すると、処理を停止する
ことを特徴とする請求項3に記載のソフトウェア更新システム。
【請求項7】
前記保護制御モジュールは、更に、前記複数の更新モジュールの改ざんの有無を検証し、
前記受信手段は、更に、前記保護制御モジュールによる前記複数の更新モジュールに係る検証結果を受信し、
前記判断手段は、
前記保護制御モジュールにより改ざんが検出された更新モジュールに係る、他の更新モジュールによる検証結果を用いて、当該更新モジュールが正当であるか否かを判断し、
当該更新モジュールが不正であると判断する場合に、前記保護制御モジュールは正当であると判断し、当該更新モジュールが正当であると判断する場合に、前記保護制御モジュールが不正であると判断する
ことを特徴とする請求項3に記載のソフトウェア更新システム。
【請求項8】
前記管理装置は、更に、
前記判断手段からの指示を受けて、前記情報処理装置に追加の更新モジュールを送信するモジュール追加手段を備え、
前記判断手段は、前記情報処理装置へ無効化指示を送信した後において、前記情報処理装置に含まれる更新モジュールの数が所定値以下であるか否か判断し、更新モジュールの数が所定値以下の場合、前記モジュール追加手段に更新モジュールの追加を指示する
ことを特徴とする請求項3に記載のソフトウェア更新システム。
【請求項9】
前記判断手段は、前記保護制御モジュールが正当であるか否かの判断結果に応じて決定される処理順序に従い、前記モジュール追加手段及び前記配布手段へ指示を出力する
ことを特徴とする請求項8に記載のソフトウェア更新システム。
【請求項10】
前記判断手段は、前記保護制御モジュールが不正であると判断する場合、前記追加の更新モジュールの送信に優先して、前記保護制御モジュールを更新するように前記処理順序を決定する
ことを特徴とする請求項9に記載のソフトウェア更新システム。
【請求項11】
前記判断手段は、前記保護制御モジュールが正当であると判断する場合、前記追加の更新モジュールの送信を優先的に行うように前記処理順序を決定する
ことを特徴とする請求項9に記載のソフトウェア更新システム。
【請求項12】
前記情報処理装置は、更に、
前記秘匿データを含み、且つ、暗号化されているアプリケーションプログラムを備え、
前記複数の更新モジュールは、各更新モジュールが多角形の端点に位置するように仮想的に配置されており、
前記複数の更新モジュールのそれぞれは、前記暗号化アプリケーションプログラムを復号するための復号鍵から所定の鍵分散法に従って生成された複数の分散鍵のうち、自身に割り当てられた分散鍵及び前記多角形における両隣の端点に配置されている更新モジュールに割り当てられた分散鍵を保持しており、
前記保護制御モジュールは、前記複数の更新モジュールから、少なくとも3個の分散鍵を取得して前記復号鍵を復元し、前記暗号化アプリケーションプログラムを復号する
ことを特徴とする請求項8に記載のソフトウェア更新システム。
【請求項13】
前記判断手段は、不正であると判断された更新モジュールが無効化されることにより、ある更新モジュールの両隣の更新モジュールが無効化される場合、前記モジュール追加手段に、前記両隣の更新モジュールのうち、少なくとも一方の更新モジュールの追加を指示する
ことを特徴とする請求項12記載のソフトウェア更新システム。
【請求項14】
前記判断手段は、前記保護制御モジュールが不正であると判断する場合、前記更新モジュールの両隣の更新モジュールのうち、少なくとも一方の更新モジュールの追加に優先して、前記保護制御モジュールを更新するように前記処理順序を決定する
ことを特徴とする請求項13に記載のソフトウェア更新システム。
【請求項15】
前記判断手段は、前記保護制御モジュールが正当であると判断する場合、前記更新モジュールの両隣の更新モジュールのうち、少なくとも一方の更新モジュールの追加を優先的に行うように前記処理順序を決定する
ことを特徴とする請求項13に記載のソフトウェア更新システム。
【請求項16】
前記保護制御モジュールは、更に、前記アプリケーションプログラムの改ざんの有無を検出し、
前記複数の更新モジュールのそれぞれは、前記モジュール追加手段から追加の更新モジュールを受信すると、受信した更新モジュールを追加する機能を有し、
前記モジュール追加手段から追加の更新モジュールを受信した更新モジュールは、前記保護制御モジュールによる前記アプリケーションプログラムの改ざん検出が終了したのちに、受信した更新モジュールを追加する
ことを特徴とする請求項13に記載のソフトウェア更新システム。
【請求項17】
前記判断手段は、不正であると判断された更新モジュールが無効化されることにより、ある更新モジュールの片隣の更新モジュールのみが無効化される場合には、前記モジュール追加手段に、前記片隣の更新モジュールの追加を指示しない
ことを特徴とする請求項13に記載のソフトウェア更新システム。
【請求項18】
ソフトウェアを更新する機能を有し、相互に改ざんの有無を検証し合う複数の更新モジュールを備える情報処理装置から、前記複数の更新モジュールによる検証結果を受信する受信手段と、
受信した前記検証結果に基づき、各更新モジュールが正当であるか否か判断する判断手段と、
前記判断手段からの指示を受け、不正であると判断された更新モジュールの無効化指示を前記情報処理装置に送信する無効化手段とを備える
ことを特徴とする管理装置。
【請求項19】
ソフトウェアを更新する機能を有し、相互に改ざんの有無を検証し合う複数の更新モジュールを備える情報処理装置から、前記複数の更新モジュールによる検証結果を受信する受信ステップと、
受信した前記検証結果に基づき、各更新モジュールが正当であるか否か判断する判断ステップと、
前記判断ステップからの指示を受け、不正であると判断された更新モジュールの無効化指示を前記情報処理装置に送信する無効化ステップと
を含むコンピュータプログラムを記録しているコンピュータ読み取り可能な記録媒体。
【請求項20】
ソフトウェアを更新する機能を有し、相互に改ざんの有無を検証し合う複数の更新モジュールを備える情報処理装置から、前記複数の更新モジュールによる検証結果を受信する受信手段と、
受信した前記検証結果に基づき、各更新モジュールが正当であるか否か判断する判断手段と、
前記判断手段からの指示を受け、不正であると判断された更新モジュールの無効化指示を前記情報処理装置に送信する無効化手段とを備える
ことを特徴とする集積回路。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図33】
【図34】
【図35】
【図36】
【図37】
【図38】
【図39】
【図40】
【図41】
【図42】
【図43】
【図44】
【図45】
【図46】
【図47】
【図48】
【図49】
【図50】
【図51】
【図52】
【図53】
【図54】
【図55】
【図56】
【図57】
【図58】
【図59】
【図60】
【図61】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図33】
【図34】
【図35】
【図36】
【図37】
【図38】
【図39】
【図40】
【図41】
【図42】
【図43】
【図44】
【図45】
【図46】
【図47】
【図48】
【図49】
【図50】
【図51】
【図52】
【図53】
【図54】
【図55】
【図56】
【図57】
【図58】
【図59】
【図60】
【図61】
【公開番号】特開2010−152877(P2010−152877A)
【公開日】平成22年7月8日(2010.7.8)
【国際特許分類】
【出願番号】特願2009−264534(P2009−264534)
【出願日】平成21年11月20日(2009.11.20)
【出願人】(000005821)パナソニック株式会社 (73,050)
【Fターム(参考)】
【公開日】平成22年7月8日(2010.7.8)
【国際特許分類】
【出願日】平成21年11月20日(2009.11.20)
【出願人】(000005821)パナソニック株式会社 (73,050)
【Fターム(参考)】
[ Back to top ]