説明

不正検出装置、及び、コンピュータプログラム

【課題】 正当性を確認するために機器に組み込まれたチップの抜き取りや差し替えが行われた場合にも不正を検出し、不正な機器がネットワークに混入することを防止する。
【解決手段】 固有情報記憶装置(ICチップ1)が組み込まれる不正検出装置(VPN構成機器2)に、各固有情報記憶装置それぞれに固有の情報である固有情報のうち、正当な固有情報を記憶する記憶手段と、所定のタイミングに、自身に組み込まれた固有情報記憶装置から当該固有情報記憶装置の固有情報を読み出す読み出し手段と、前記読み出し手段によって読み出された固有情報と、前記記憶手段内に記憶されている固有情報とを照合して自身に組み込まれた前記固有情報記憶装置が正当であるか否かを判断し、正当ではないと判断した場合に異常の通知を出力する判断手段と、を備える。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、不正検出装置、及び、コンピュータプログラムに関する。
【背景技術】
【0002】
従来、機器単体において、不揮発性メモリ内のデータの改ざん通知と、異常検出時の起動制御を行っていた。例えば、識別番号通信装置内のチップに機器の識別情報を格納しておき、識別番号通信装置の通信ユニットがプロセッサを介さずにチップから直接識別番号を読み出して外部に送信することにより、プロセッサから改ざんされた識別番号が通信ユニットに送信されることを防止することが行われている(例えば、特許文献1参照)。
【特許文献1】特開2002−109503号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
端末やルータなどの複数の機器から構成されるネットワークにおいて、悪意のある機器が混入した場合、その機器が含まれるネットワーク全体のセキュリティが脅かされてしまうという問題があった。そこで、ネットワークを構成する各機器が正当な状態で接続されていることを確認し、正当であると確認された機器同士のみで接続が行われるよう制御することにより、セキュアなネットワーク環境を構築することが望まれていた。
しかし、特許文献1の技術は、機器内のチップ自体の抜き取りや、差し替えが行われた場合には不正を検出することはできなかった。
【0004】
本発明は、このような事情に鑑みてなされたものであり、正当性を確認するために機器に組み込まれたチップの抜き取りや差し替えが行われた場合にも不正を検出し、不正な機器がネットワークに混入することを防止することができる不正検出装置、及び、コンピュータプログラムを提供することをその目的とする。
【課題を解決するための手段】
【0005】
上記課題を解決するために、本発明は、固有情報記憶装置が組み込まれる不正検出装置であって、各固有情報記憶装置それぞれに固有の情報である固有情報のうち、正当な固有情報を記憶する記憶手段と、所定のタイミングに、自身に組み込まれた固有情報記憶装置から当該固有情報記憶装置の固有情報を読み出す読み出し手段と、前記読み出し手段によって読み出された固有情報と、前記記憶手段内に記憶されている固有情報とを照合して自身に組み込まれた前記固有情報記憶装置が正当であるか否かを判断し、正当ではないと判断した場合に異常の通知を出力する判断手段と、を備えることを特徴とする不正検出装置である。
【0006】
また、本発明は、上述する不正検出装置であって、前記判断手段は、固有情報記憶装置が自身に組み込まれているか否かを判断し、組み込まれていないと判断した場合に、異常の通知を出力する、ことを特徴とする。
【0007】
また、本発明は、上述する不正検出装置であって、前記判断手段によって自身に組み込まれた前記固有情報記憶装置が正当ではないと判断された場合、あるいは、固有情報記憶装置が自身に組み込まれていないと判断された場合に、動作を停止する動作制御手段をさらに備えることを特徴とする。
【0008】
また、本発明は、上述する不正検出装置であって、前記読み出し手段は、前記記憶手段内に固有情報が記憶されていない場合に、自身に組み込まれた固有情報記憶装置から読み出した固有情報を前記記憶手段内に格納する、ことを特徴とする。
【0009】
また、本発明は、固有情報記憶装置が組み込まれ、各固有情報記憶装置それぞれに固有の情報である固有情報のうち、正当な固有情報を記憶する記憶手段を備える不正検出装置に用いられるコンピュータプログラムであって、所定のタイミングに、自身に組み込まれた固有情報記憶装置から当該固有情報記憶装置の固有情報を読み出す読み出しステップと、前記読み出しステップにおいて読み出された固有情報と、前記記憶手段内に記憶されている固有情報とを照合して自身に組み込まれた前記固有情報記憶装置が正当であるか否かを判断し、正当ではないと判断した場合に異常の通知を出力する判断ステップと、をコンピュータに実行させることを特徴とするコンピュータプログラムである。
【発明の効果】
【0010】
本発明によれば、固有情報記憶装置を組み込んだ不正検出装置が、固有情報記憶装置内の固有情報と不正検出装置内の固有情報を照合し続けることにより、不正検出装置からの固有情報記憶装置の抜き取りや、異なる他の不正検出装置への装着等の不正を検出するとともに、外部に不正を検出した旨を出力することができる。これにより、不正が検出された不正検出装置を運用から排除することができる。また、不正が検出された不正検出装置の動作を停止することにより、不正検出装置がネットワークに接続されている場合などには、この不正が検出された不正検出装置をネットワークから完全に切り離し、正当な不正検出装置のみでセキュアなネットワークを構成し、管理することができる。
【発明を実施するための最良の形態】
【0011】
以下、本発明の不正検出装置について図面を参照して詳細に説明する。
【0012】
<第1の実施の形態>
以下では、不正検出装置を、VPN(virtual private network:仮想私設網)を構成するVPN構成機器2として、不正検出装置に組み込まれる固有情報記憶装置をICチップ1として説明する。
図1は、本発明の第1の実施の形態によるVPNの構成を示す図である。第1の実施の形態においては、製造段階において、ICチップ1をVPN構成機器2に組み込む。同図において、VPNは、ICチップ1が組み込まれたVPN構成機器2、2、…と管理サーバ3とを、LAN(Local Area Network)やインターネットなどの通信ネットワークであるネットワークNを介して接続してなる。VPN構成機器2は、VPNに参加する任意のコンピュータ機器であり、例えば、ルータなどの通信装置、パーソナルコンピュータや携帯電話端末などの端末装置、情報家電、STB(セット・トップ・ボックス)等である。VPN構成機器2は、さらに他のネットワークや任意の機器と接続されるものであってもよい。VPN構成機器2は、VPNに属している他のVPN構成機器2との通信を行う場合、まず、ネットワークNを介して管理サーバ3にアクセスし、管理サーバ3において接続許可を受けた場合に、通信先の他のVPN構成機器2との接続を行う。
【0013】
図2は、ICチップ1及びVPN構成機器2の構成を示すブロック図であり、本発明に関連する部分のみを示している。
ICチップ1は、VPN構成機器2内に組み込まれ、内部に記憶されているデータに対する読み出しや改ざんなどへの防御機能を有する耐タンパー性を持つ。ICチップ1は、ICチップ1の全体を統括制御するCPU101、プログラム及びデータを記録するメモリ102、VPN構成機器2とのデータ交換を行う通信部103などを有している。VPN構成機器2は、VPN構成機器2の全体を統括制御するCPU201、プログラム及びデータを記憶するメモリ202、ICチップ1とのデータの送受信を行う通信部203、ネットワークNを介したデータの送受信を行う通信部204などを有している。
【0014】
図3は、管理サーバ3の構成を示すブロック図であり、本発明に関連する部分のみを示している。
管理サーバ3は、管理サーバ3の全体を統括制御するCPU301、プログラム及びデータを記憶するメモリ302、ネットワークNを介したデータの送受信を行う通信部303、キーボードやマウスなどにより入力を行う入力部304、ディスプレイなどの表示部305などを有している。
【0015】
図4は、図1に示すICチップ1、VPN構成機器2、及び、管理サーバ3の機能ブロック図である。
ICチップ1は、固有情報記憶部11を備えたチッププレゼンスマネージャ部12を有する。
固有情報記憶部11は、全てのICチップ1に対してユニークであり、ICチップ1そのものを一意に識別することができる固有情報を記憶する。固有情報として、ICチップ1のID自体を用いてもよい。
チッププレゼンスマネージャ部12は、ICチップ1自身の状態の情報、ICチップ1が組込まれたVPN構成機器2の情報、ICチップ1周辺の情報を収集し、これらの収集した情報を含むチッププレゼンス情報をVPN構成機器2の機器プレゼンスマネージャ部23、管理サーバ3のサーバプレゼンスマネージャ部33へ定期的に通知する。
【0016】
VPN構成機器2は、固有情報記憶部21(記憶手段)を備えた機器チップバインドアプリケーション実行部(以下、「機器チップバインドAP実行部」と記載)22(読み出し手段、判断手段)、機器プレゼンスマネージャ部23、動作制御部24(動作制御手段)、及び、通信制御部25を有する。
固有情報記憶部21は、正当なICチップ1の固有情報を記憶する。
機器チップバインドAP実行部22は、VPN構成機器2内にICチップ1が組み込まれているか否かを判断する機能を有する。また、自身に組み込まれているICチップ1のチッププレゼンスマネージャ部12から固有情報記憶部11内の固有情報を読み出し、固有情報記憶部21に格納された固有情報と照合して、ICチップ1の正当性の検証を行う機能を有する。機器チップバインドAP実行部22は、このICチップ1の検証及びICチップ1の組み込みの有無を電源がオンになっている間、定期的に続けることにより、ICチップ1の抜き取り、差し替えなどの異常を検知する。機器チップバインドAP実行部22は、ICチップ1の検証結果を示す検証情報を管理サーバ3へ通知する。
機器プレゼンスマネージャ部23は、VPN構成機器2自身の状態の情報、及び、VPN構成機器2の周辺の情報を収集し、これらの収集した情報を含む機器プレゼンス情報をICチップ1のチッププレゼンスマネージャ部12及び管理サーバ3のサーバプレゼンスマネージャ部33へ定期的に通知する。
動作制御部24は、機器チップバインドAP実行部22が異常を検出したときに、所定の機能を停止する機能を有する。ここでは、動作制御部24は、自身の電源をオフにすることにより当該VPN構成機器2の全ての機能を停止する。
通信制御部25は、ネットワークNを介したVPN通信を制御する。
【0017】
管理サーバ3は、管理情報記憶部31、バインド状態管理部32、サーバプレゼンスマネージャ部33、及び、アクセス制御部34を有する。
管理情報記憶部31は、管理情報を記憶する。管理情報は、VPN構成機器2のID毎にバインドされているICチップ1のID、チップ状態情報、機器情報、ネットワーク状態情報、検証情報を含む。なお、「バインド」されているとは、ICチップ1とVPN構成機器2とが1対1に関連づけられていることを示す。また、ICチップ1とVPN構成機器2とが1対1に関連づけられている状態を「機器チップバインドモード」という。
チップ状態情報は、VPN構成機器2に備えられているICチップ1のステータスの情報を含む。ICチップ1のステータスには、ICチップ1内に固有情報が登録されている「固有情報登録済み」、ICチップ1内に固有情報が登録されていない「固有情報未登録」、ICチップ1がVPNで利用できないことを示す「ロック状態」、ICチップ1がVPNで利用可能なことを示す「オープン状態」などがある。
機器情報には、機器状態情報、仕様情報が含まれる。機器状態情報は、VPN構成機器2のステータスの情報を含む。VPN構成機器2のステータスには、VPN構成機器2とICチップ1とがバインドされている「バインド状態」、VPN構成機器2とICチップ1とがバインドされていない「フリー状態」などがある。仕様情報は、VPN構成機器2の性能、仕様、機器の種別(たとえば、端末、ルータ、情報家電など)、各種のVPN構成機器2に固有の情報等が含まれる。
ネットワーク状態情報は、VPNにおける接続のステータスを示す。接続のステータスには、VPNへ接続可能なことを示す「接続可能状態」、VPNへ接続不可であることを示す「ブロック状態」などがある。
【0018】
バインド状態管理部32は、VPN構成機器2の機器チップバインドAP実行部22から検証情報を受信し、管理情報記憶部31内の管理情報に書き込む。
サーバプレゼンスマネージャ部33は、ICチップ1のチッププレゼンスマネージャ部12からチッププレゼンス情報を、VPN構成機器2の機器プレゼンスマネージャ部23から機器プレゼンス情報を定期的に受信し、受信したチッププレゼンス情報、機器プレゼンス情報により、管理情報記憶部31内の管理情報を更新する。
アクセス制御部34は、VPNにおけるVPN構成機器2の接続を制御する。アクセス制御部34は、VPN構成機器2の通信制御部25からVPNへの参加要求を受信したときに、管理情報記憶部31内の管理情報を参照してVPNへの参加を許可するか否かを判断する機能を有する。アクセス制御部34は、参加を許可すると判断した場合のみ、参加要求の送信元のVPN構成機器2と他のVPN構成機器2との接続を行う。
【0019】
次に、図5及び図6を用いて図1に示すVPNの動作手順について説明する。
図5は、VPN構成機器2の製造時及び電源起動/通常運用時の動作手順について説明するための図である。
VPN構成機器2の製造時、VPN構成機器2内に、固有情報が固有情報記憶部11内に書き込まれているICチップ1を組み込む。そして、情報の改ざんや情報が外部に流出するおそれのない製造時のセキュアな環境下において、VPN構成機器2の機器チップバインドAP実行部22は、ICチップ1のチッププレゼンスマネージャ部12を介して固有情報記憶部11内に登録されている固有情報を読み出す(ステップS110)。VPN構成機器2の機器チップバインドAP実行部22は、ICチップ1から読み出した固有情報を、固有情報記憶部21にセキュアに格納する(ステップS120)。
【0020】
VPN構成機器2は、製造後、ユーザに販売される。販売されたVPN構成機器2をVPNにおいて運用可能とするため、管理サーバ3の管理情報記憶部31へ当該VPN構成機器2に関する管理情報が登録される。すなわち、VPN構成機器2のIDと対応させてICチップ1のIDが登録され、さらに、チップ状態情報には、ステータス「固有情報登録済み」及び「オープン状態」が、機器情報には、ステータス「バインド状態」、仕様情報が、また、ネットワーク状態情報には、ステータス「接続可能状態」が登録される。
【0021】
管理サーバ3への管理情報の登録後、ユーザは、ネットワークNにVPN構成機器2を接続して電源を投入する。VPN構成機器2の電源の投入及び起動後、ICチップ1のチッププレゼンスマネージャ部12は、所定の間隔で定期的に、ICチップ1自身の状態の情報、自身が組み込まれているVPN構成機器2の情報、ICチップ1の周辺の情報を読み出す。チッププレゼンスマネージャ部12は、収集したICチップ1自身の状態の情報、自身が組み込まれているVPN構成機器2の情報、ICチップ1の周辺の情報を含むチッププレゼンス情報を管理サーバ3へ通知する(ステップS210)。チッププレゼンスマネージャ部12が収集した情報により、何らかのエラーを検出した場合、チッププレゼンス情報にエラーの通知を含めてもよい。ICチップ1自身の状態の情報としては、バインド状態を確認するために使用されるICチップ1の有無の情報、バインド状態が維持されているかを確認するために使用される「ロック状態」または「アンロック状態」、「固有情報登録済み」または「固有情報未登録」、「通信可能状態」または「通信拒否状態」などのステータスの情報、ICチップ1が管理サーバ3に登録されているか否かを示すチップ登録の有無の情報などが含まれる。自身が組み込まれているVPN構成機器2の情報としては、VPN構成機器2のID等が通知される。ICチップ1の周辺の情報としては、VPN構成機器2の状態、例えば、ステータス「バインド状態」や、VPN構成機器2に接続されている他の機器やその機器との接続状態などが含まれる。
なお、このチッププレゼンス情報の通知は、ICチップ1の通信部103からVPN構成機器2の通信部203へ送信され、さらに通信部204がネットワークNを介して管理サーバ3へ送信することによって行われる。
【0022】
管理サーバ3のサーバプレゼンスマネージャ部33は、受信したチッププレゼンス情報により管理情報記憶部31の管理情報を更新する。サーバプレゼンスマネージャ部33は、チッププレゼンス情報にエラーの通知が含まれていた場合や、受信したチッププレゼンス情報から異常状態であると判断した場合、異常が発生したICチップ1及びVPN構成機器2の情報を登録する。具体的には、サーバプレゼンスマネージャ部33は、ネットワーク状態情報を「ブロック状態」に書き換える。また、アクセス制御部34は、チッププレゼンス情報の送信元のVPN構成機器2がVPNに参加している場合、通信パスを切断し、VPNから隔離する。そして、異常発生後に、再びVPNへの参加を行おうとした場合、接続を拒否してVPNから排除し、ネットワークに参加させない。
【0023】
一方、VPN構成機器2の機器プレゼンスマネージャ部23は、電源の投入及び起動後、所定の間隔で定期的に、VPN構成機器2自身の状態の情報、及び、VPN構成機器2の周辺の情報を読み出す。機器プレゼンスマネージャ部23は、VPN構成機器2のID、読み出したVPN構成機器2自身の状態の情報及び周辺の情報を含む機器プレゼンス情報を管理サーバ3へ通知する(ステップS220)。機器プレゼンスマネージャ部23が収集した情報により、何らかのエラーを検出した場合、機器プレゼンス情報にエラーの通知を含めてもよい。VPN構成機器2自身の状態の情報には、電源のオン/オフなどの状態(通常は、電源オン)、VPN構成機器2のステータス、仕様情報などが含まれる。VPN構成機器2のステータスとしては、固有情報記憶部21内に固有情報が記憶されている場合には「バインド状態」、記憶されていないときには「フリー状態」のステータスが通知される。VPN構成機器2の周辺の情報としては、例えば、自身に組み込まれているICチップ1のIDやステータスの情報、VPN構成機器2に接続されている他の機器やその機器との接続状態などが含まれる。
【0024】
管理サーバ3のサーバプレゼンスマネージャ部33は、受信した機器プレゼンス情報により管理情報記憶部31の管理情報を更新する。サーバプレゼンスマネージャ部33は、機器プレゼンス情報にエラーの通知が含まれていた場合や、受信した機器プレゼンス情報から異常状態であると判断した場合、チッププレゼンス情報の受信時と同様、ネットワーク状態情報を「ブロック状態」に書き換える。そして、アクセス制御部34は、チッププレゼンス情報の送信元のVPN構成機器2がVPNに参加している場合、通信パスを切断してVPNから隔離するとともに、異常発生後に、再びVPNへの参加を行おうとした場合、接続を拒否してVPNから排除し、ネットワークに参加させない。
【0025】
また、VPN構成機器2の機器チップバインドAP実行部22は、電源の投入及び起動後、所定の間隔で定期的にICチップ1のチッププレゼンスマネージャ部12を介して固有情報記憶部11内に登録された固有情報を読み出す。機器チップバインドAP実行部22は、固有情報記憶部21内に記憶されている固有情報と、ICチップ1から読み出した固有情報とを照合し、ICチップ1の正当性を検証する(ステップS230)。すなわち、機器チップバインドAP実行部22は、固有情報記憶部21内に記憶されている固有情報と、ICチップ1から読み出した固有情報とが一致する場合に検証結果が「正常動作」であると判断する(ステップ240)。機器チップバインドAP実行部22は、検証結果が「正常動作」であると判断している間は所定のタイミングで検証情報を管理サーバ3へ通知する。検証情報には、VPN構成機器2のID、ICチップ1のID、及び、検証結果の情報が含まれる。
管理サーバ3のバインド状態管理部32は、受信した検証情報を管理情報記憶部31に書き込む。また、受信した検証情報で示される検証結果が「正常動作」である場合には、ネットワーク状態情報の書き換えを行わず、「接続可能状態」のままとする。
【0026】
電源起動/通常運用時に、悪意のあるユーザが、VPN構成機器2に組み込まれているICチップ1を抜き去ったり、あるいは、他のICチップ1に取り替えてVPN構成機器2へ装着したとする。すると、VPN構成機器2の機器チップバインドAP実行部22は、ステップS230の正当性の検証において、ICチップ1との通信が一定時間以上滞ったこと等によりICチップ1が自身に組み込まれていないことを検出するか、あるいは、固有情報記憶部21内に記憶されている固有情報と、ICチップ1から読み出した固有情報とが一致しないと判断する。このとき、機器チップバインドAP実行部22は、検証結果が「不正検知」であると判断する(ステップS250)。機器チップバインドAP実行部22は、検証結果が「不正検知」であると判断すると、この検出結果「不正検知」を含む検証情報を直ちに管理サーバ3へ通知する(ステップS260)。加えて、機器チップバインドAP実行部22は、ICチップ1のチッププレゼンスマネージャ部12へ、ICチップ1をロックするコマンドを送る。コマンドを受信したICチップ1は、ロック状態となる。これにより、以降ICチップ1のチッププレゼンスマネージャ部12から管理サーバ3へ通知されるチッププレゼンス情報には、ICチップ1のステータス「ロック状態」が含まれる。また、不正を検出したVPN構成機器2の動作制御部24は、電源をオフすることにより、当該VPN構成機器2をVPNから隔離する(ステップS270)。
管理サーバ3のバインド状態管理部32は、VPN構成機器2から受信した検証情報を管理情報記憶部31に書き込む。そして、受信した検証結果が「不正検知」であることを認識すると、異常状態であると判断し、ネットワーク状態情報を「ブロック状態」に書き換える。
【0027】
図6は、電源起動/通常運用時の不正検出後のVPNの動作手順について説明するための図である。
VPN構成機器2は、他のVPN構成機器2との接続を行う場合、管理サーバ3へ接続先のVPN構成機器2を識別する情報(例えば、IDやアドレス情報等)と、接続要求とを送信する。管理サーバ3のアクセス制御部34は、管理情報記憶部31内の情報を参照し、接続要求の送信元及び接続先のVPN構成機器2のネットワーク状態が「接続可能状態」であり、かつ、検証結果が「不正検知」の検証情報を過去に受信したことがない場合に、接続先のVPN構成機器2との接続を許可する。接続を許可した場合、アクセス制御部34は、接続要求元のVPN構成機器2と接続先のVPN構成機器2との通信パスを確立する。この確立された通信パスにより、接続要求元のVPN構成機器2と接続先のVPN構成機器2との通信が行われる。また、アクセス制御部34は、接続要求の送信元あるいは接続先のVPN構成機器2のネットワーク状態が「ブロック状態」である場合、あるいは、検証結果が「不正検知」の検証情報を過去に受信したことがある場合、接続を規制する。管理サーバ3のアクセス制御部34は、VPN構成機器2へ接続の拒否を通知する。
【0028】
図5において説明したように、VPN構成機器2の機器チップバインドAP実行部22は、所定の間隔で定期的にICチップ1から固有情報を読み出し、固有情報記憶部21内に記憶されている固有情報と照合して、ICチップ1の正当性を検証する(ステップS310)。機器チップバインドAP実行部22は、検証結果が「不正検知」であると判断した場合(ステップS320)、直ちに検証情報を管理サーバ3へ通知する(ステップS330)。管理サーバ3のバインド状態管理部32は、受信した検証情報を管理情報記憶部31に書き込むとともに、ネットワーク状態情報を「ブロック状態」に書き換える。
【0029】
悪意のあるユーザは、一旦不正が検出され、電源がオフになったVPN構成機器2に正当なICチップ1を組み込み、再びVPNへの参加を試みる。VPN構成機器2の電源投入及び起動後、機器チップバインドAP実行部22は、所定の間隔で定期的にICチップ1から固有情報を読み出し、固有情報記憶部21内に記憶されている固有情報と照合して、ICチップ1の正当性を検証する(ステップS340)。機器チップバインドAP実行部22は、検証結果が「正常動作」であると判断する(ステップS350)。機器チップバインドAP実行部22は、検証結果が「正常動作」であると判断している間は所定のタイミングにおいて、検証情報を管理サーバ3へ通知する。管理サーバ3は、受信した検証情報を管理情報記憶部31内に書き込む。また、検証情報内で示される検証結果が「正常動作」である場合、ネットワーク状態情報の書換えを行わない。従って、ネットワークN状態情報は、「ブロック状態」ステータスのままとなる。
【0030】
VPN構成機器2の通信制御部25は、接続先のVPN構成機器2のIDと、接続要求とを管理サーバ3へ送信する。管理サーバ3のアクセス制御部34は、管理情報記憶部31を参照し、接続要求元のVPN構成機器2から過去に検証結果が「不正検知」の検証情報を受信したことがあり、ネットワーク状態が「ブロック状態」のステータスであることを読み出す。これにより、アクセス制御部34は、接続要求元のVPN構成機器2に対して、VPNへの参加を規制する。すなわち、管理サーバ3のアクセス制御部34は、接続要求元のVPN構成機器2へ接続の拒否を通知する。
【0031】
<第2の実施の形態>
第1の実施の形態では、VPN構成機器2の製造時にICチップ1を組み込んだが、第2の実施の形態においては、VPN構成機器2の製造後、ICチップ1を組み込む。
第2の実施の形態におけるVPNの構成は、図1に示す第1の実施の形態におけるVPNの構成と同じである。また、ICチップ1及びVPN構成機器2の構成は、図2に示す第1の実施の形態におけるICチップ1及びVPN構成機器2の構成と同様であり、管理サーバ3の構成は、図3に示す第1の実施の形態における管理サーバ3の構成と同様である。
【0032】
図7は、第2の実施の形態によるICチップ1、VPN構成機器2、及び、管理サーバ3の機能ブロック図である。なお、同図において、図4に示す第1の実施の形態と同一の部分には同一の符号を付し、その説明を省略する。この図に示す機能ブロック図が第1の実施の形態と異なる点は、ICチップ1が、チッププレゼンスマネージャ部12の代わりに、チッププレゼンスマネージャ部18を有する点と、VPN構成機器2が、固有情報記憶部21を備える機器チップバインドAP実行部22の代わりに、固有情報記憶部27を備える機器チップバインドAP実行部28を備える点である。
【0033】
ICチップ1のチッププレゼンスマネージャ部18は、第1の実施の形態によるチッププレゼンスマネージャ部12と同様の機能を有する。さらに、チッププレゼンスマネージャ部18は、VPN構成機器2の機器チップバインドAP実行部22との間で相互認証を行う機能と、固有情報記憶部11内の固有情報を暗号化してVPN構成機器2の機器チップバインドAP実行部28へ送信する機能とを有する。
【0034】
VPN構成機器2の固有情報記憶部27は、暗号化した正当な固有情報(以下、暗号化した固有情報を「暗号化固有情報」と記載)を記憶する。機器チップバインドAP実行部28は、VPN構成機器2内にICチップ1が組み込まれているか否かを判断する機能を有する。また、固有情報記憶部27に暗号化固有情報が未登録の場合、ICチップ1のチッププレゼンスマネージャ部18との間で相互認証を行い、相互認証後にICチップ1のチッププレゼンスマネージャ部18から暗号化固有情報を受信して、固有情報記憶部27に格納する。また、定期的に、ICチップ1のチッププレゼンスマネージャ部18から受信した固有情報と、固有情報記憶部11内の暗号化固有情報を復号して得た固有情報とを照合して、ICチップ1の正当性の検証を行い、検証情報を管理サーバ3へ通知する機能を有する。
【0035】
次に、図8及び図9を用いて第2の実施の形態によるVPNの動作手順について説明する。
図8は、第2の実施の形態によるVPN構成機器2の製造時の動作手順について説明するための図である。
VPN構成機器2は、ICチップ1を組み込まずに製造される。VPN構成機器2の製造時、VPN構成機器2には、機器チップバインドAP実行部28が搭載される(ステップS410)。搭載される機器チップバインドAP実行部28内の固有情報記憶部27には、固有情報は書き込まれていない。一方、ICチップ1の固有情報記憶部11には、情報の改ざんや情報が外部に流出するおそれのないセキュアな環境下において、固有情報が書き込まれる(ステップS420)。
【0036】
ICチップ1が組み込まれていない状態でVPN構成機器2の電源を投入し、起動した場合、機器チップバインドAP実行部28は、固有情報記憶部27内に固有情報が登録されているか否かを判断する。固有情報が未登録であることを検出した場合、機器チップバインドAP実行部28は、ICチップ1の有無をのみ監視する(ステップS430)。機器チップバインドAP実行部28が、ICチップ1が自身に組み込まれていないことを検出すると、動作制御部24は、当該VPN構成機器2自身の電源をオフする(ステップS440)。
【0037】
図9は、第2の実施の形態によるVPN構成機器2の電源起動/通常運用時の動作手順について説明するための図である。
VPN構成機器2は、製造後、ICチップ1とともにユーザに販売される。販売されたVPN構成機器2をVPNにおいて運用可能とするため、管理サーバ3へ当該VPN構成機器2に関する管理情報が登録される。すなわち、管理サーバ3の管理情報記憶部31には、ICチップ1のチップ状態情報として、ステータス「固有情報登録済み」及び「オープン状態」が登録され、VPN構成機器2の機器情報には、ステータス「フリー状態」、仕様情報が登録される。また、ネットワーク状態情報には、ステータス「接続可能状態」が登録される。
【0038】
上記の管理サーバ3への管理情報の初期登録段階において、VPN構成機器2の機器チップバインドAP実行部28は、固有情報記憶部27へ固有情報をセキュアに登録する(ステップS510)。ユーザは、VPN構成機器2へICチップ1を装着して電源を投入する。VPN構成機器2が起動されると、機器チップバインドAP実行部28は、相互認証によるセキュアな環境下で、ICチップ1から固有情報を読みだす(ステップS520)。具体的には、例えば、機器チップバインドAP実行部28は、自身に装着されたICチップ1のチッププレゼンスマネージャ部18との間で相互認証を行う。これは、公開鍵方式や共通鍵方式などが用いられる。そして、相互認証がOKであれば、ICチップ1のチッププレゼンスマネージャ部18は、固有情報記憶部11内に格納されている固有情報を暗号化して、VPN構成機器2の機器チップバインドAP実行部28に送信する。VPN構成機器2の機器チップバインドAP実行部28はICチップ1のチッププレゼンスマネージャ部18から受信した暗号化固有情報を固有情報記憶部27へ格納する。これにより、外部の第三者によって固有情報記憶部27内の固有情報を盗み見られてもデータの中身が暴露されることの無いセキュアな環境が構築される。
【0039】
一方、ICチップ1のチッププレゼンスマネージャ部18は、図5に示す第1の実施の形態と同様に、電源の投入及び起動後、所定の間隔で定期的に、ICチップ1自身の状態の情報、自身が組み込まれているVPN構成機器2の情報、ICチップ1の周辺の情報を読み出し、チッププレゼンス情報を管理サーバ3へ通知している(ステップS530)。暗号化固有情報の格納後は、VPN構成機器2の状態として、ステータス「バインド状態」がチッププレゼンス情報により通知される。
また、VPN構成機器2の機器プレゼンスマネージャ部23は、図5に示す第1の実施の形態と同様に、電源の投入及び起動後、所定の間隔で定期的に、VPN構成機器2自身の状態の情報、及び、VPN構成機器2の周辺の情報を読み出し、機器プレゼンス情報を管理サーバ3へ通知している(ステップS540)。固有情報記憶部27内への暗号化固有情報の格納後は、VPN構成機器2自身の状態の情報として、ステータス「バインド状態」が機器プレゼンス情報により通知される。
管理サーバ3のサーバプレゼンスマネージャ部33は、受信したチッププレゼンス情報、機器プレゼンス情報により管理情報記憶部31の管理情報を更新する。管理サーバ3のサーバプレゼンスマネージャ部33は、受信したチッププレゼンス情報または機器プレゼンス情報を基に異常状態であると判断した場合、管理情報記憶部31内のネットワーク状態情報を「ブロック状態」に書き換え、チッププレゼンス情報の送信元のVPN構成機器2がVPNに参加している場合、通信パスを切断し、VPNから隔離する。
【0040】
一方、VPN構成機器2の機器チップバインドAP実行部28は、固有情報記憶部27への暗号化固有情報の格納後、定期的に、ICチップ1内の固有情報の検証を行う。すなわち、VPN構成機器2の機器チップバインドAP実行部28は、固有情報記憶部27から暗号化固有情報をICチップ1のチッププレゼンスマネージャ部18へ送信する。ICチップ1のチッププレゼンスマネージャ部18は、受信した暗号化固有情報を復号し、固有情報記憶部11内の固有情報と照合する。同じであれば、正常であると判断し、同じでなければ不正であると判断する。
さらに、VPN構成機器2の機器チップバインドAP実行部28は、ICチップ1のチッププレゼンスマネージャ部18を介して固有情報記憶部11内の暗号化固有情報を読み出す。そして、自身に組み込まれたICチップ1のチッププレゼンスマネージャ部18から読み出した暗号化固有情報を復号して得た固有情報と、固有情報記憶部27内の暗号化固有情報を復号して得た固有情報とを照合して、ICチップ1の正当性を検証する。機器チップバインドAP実行部28は、ICチップ1から読み出した暗号化固有情報を復号して得た固有情報と、固有情報記憶部27内の暗号化固有情報を復号して得た固有情報とが一致する場合に検証結果が「正常動作」であると判断し(ステップS560)、一致しない場合に検証結果が「不正検知」であると判断する(ステップS570)。
【0041】
第2の実施の形態による不正検出後のVPNの動作は、図5に示す第1の実施の形態と同様である。すなわち、機器チップバインドAP実行部28は、検証結果が「不正検知」であると判断すると、直ちに検証結果「不正検知」を含む検証情報を管理サーバ3へ通知する(ステップS580)。不正を検出したVPN構成機器2の動作制御部24は、電源をオフすることにより、当該VPN構成機器2をVPNから隔離する(ステップS590)。管理サーバ3のバインド状態管理部32は、VPN構成機器2から受信した検証情報を管理情報記憶部31に書き込む。そして、受信した検証結果が「不正検知」である場合、異常状態であると判断し、ネットワーク状態情報を「ブロック状態」に書き換える。
【0042】
また、第2の実施の形態による不正検出後のVPNの動作は、図6に示す第1の実施の形態と同様である。すなわち、一旦不正が検出されたVPN構成機器2に正当なICチップ1を組み込んで再びVPNへの参加を試みた場合、ICチップ1の正当性の検証結果は、「正常動作」であると判断される。しかし、検証結果「正常動作」を含む検証情報を受信したとしても、管理サーバ3のバインド状態管理部32は、ネットワーク状態情報を書換えず、従って、「ブロック状態」ステータスのままとなる。VPN構成機器2からの接続要求を受信したとき、管理サーバ3のアクセス制御部34は、接続要求元のVPN構成機器2から過去に検証結果が「不正検知」の検証情報を受信したことがあり、ネットワーク状態は「ブロック状態」のステータスであることを読み出す。よって、アクセス制御部34は、接続要求元のVPN構成機器2に対して、VPNへの接続を拒否することにより、ネットワークへの参加を規制する。
【0043】
上述した実施の形態によれば、ICチップ1などの耐タンパーな領域を持つデバイスをVPN構成機器2に組み込み、VPN構成機器2の電源起動時及び運用時に、ICチップ1内の固有情報とVPN構成機器2内の固有情報を定期的に照合することにより、VPN構成機器2からの不正なチップの抜き取り、または、異なる他のVPN構成機器2への装着を防止する。このように、ICチップ1とVPN構成機器2とを1対1に紐付ける(バインドする)ことにより、不正なVPN構成機器2を特定し、排除することができる。
また、ICチップ1の抜き取りや差し替えが発生した場合に、VPN構成機器2において不正を検出し、不正な操作によりバインド状態が解除されたことを管理サーバ3へ通知する。このため、管理サーバ3は、不正なVPN構成機器2を検出及び特定することができ、不正なVPN構成機器2からのアクセスを遮断し、ネットワークから排除することができる。また、不正が発生したVPN構成機器2の電源を強制的にシャットダウンすることにより、ネットワークから完全に切り離すことができる。従って、セキュアなネットワークを構築することができる。
【0044】
なお、上述のICチップ1、VPN構成機器2、及び、管理サーバ3は、内部にコンピュータシステムを有している。そして、上述したICチップ1のチッププレゼンスマネージャ部12、VPN構成機器2の機器チップバインドAP実行部22、28、機器プレゼンスマネージャ部23、動作制御部24、及び、通信制御部25、ならびに、管理サーバ3のバインド状態管理部32、38、サーバプレゼンスマネージャ部33、及び、アクセス制御部34の動作の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータシステムが読み出して実行することによって、上記処理が行われる。ここでいうコンピュータシステムとは、OSや周辺機器等のハードウェアを含むものである。
【0045】
また、「コンピュータ読み取り可能な記録媒体」とは、ROMの他に、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のシステムやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0046】
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含むものとする。また上記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであっても良い。
【図面の簡単な説明】
【0047】
【図1】本発明の第一の実施の形態によるVPNの構成図である。
【図2】本発明の第一の実施の形態に係るICチップ及びVPN構成機器の構成図である。
【図3】本発明の第一の実施の形態に係る管理サーバの構成図である。
【図4】本発明の第一の実施の形態に係るICチップ、VPN構成機器、及び、管理サーバの機能ブロック図である。
【図5】本発明の第一の実施の形態に係るVPNの動作手順を説明するための図である。
【図6】本発明の第一の実施の形態に係るVPNの動作手順を説明するための図である。
【図7】本発明の第二の実施の形態によるICチップ、VPN構成機器、及び、管理サーバの機能ブロック図である。
【図8】本発明の第二の実施の形態に係るVPNの動作手順を説明するための図である。
【図9】本発明の第二の実施の形態に係るVPNの動作手順を説明するための図である。
【符号の説明】
【0048】
1 ICチップ(固有情報記憶装置)
2 VPN構成機器(不正検出装置)
3 管理サーバ
11 固有情報記憶部
12、18 チッププレゼンスマネージャ部
21、27 固有情報記憶部(記憶手段)
22、28 機器チップバインドAP実行部(読み出し手段、判断手段)
23 機器プレゼンスマネージャ部
24 動作制御部(動作制御手段)
25 通信制御部
31 管理情報記憶部
32 バインド状態管理部
33 サーバプレゼンスマネージャ部
34 アクセス制御部


【特許請求の範囲】
【請求項1】
固有情報記憶装置が組み込まれる不正検出装置であって、
各固有情報記憶装置それぞれに固有の情報である固有情報のうち、正当な固有情報を記憶する記憶手段と、
所定のタイミングに、自身に組み込まれた固有情報記憶装置から当該固有情報記憶装置の固有情報を読み出す読み出し手段と、
前記読み出し手段によって読み出された固有情報と、前記記憶手段内に記憶されている固有情報とを照合して自身に組み込まれた前記固有情報記憶装置が正当であるか否かを判断し、正当ではないと判断した場合に異常の通知を出力する判断手段と、
を備えることを特徴とする不正検出装置。
【請求項2】
前記判断手段は、固有情報記憶装置が自身に組み込まれているか否かを判断し、組み込まれていないと判断した場合に、異常の通知を出力することを特徴とする請求項1に記載の不正検出装置。
【請求項3】
前記判断手段によって自身に組み込まれた前記固有情報記憶装置が正当ではないと判断された場合、あるいは、固有情報記憶装置が自身に組み込まれていないと判断された場合に、動作を停止する動作制御手段をさらに備えることを特徴とする請求項2に記載の不正検出装置。
【請求項4】
前記読み出し手段は、前記記憶手段内に固有情報が記憶されていない場合に、自身に組み込まれた固有情報記憶装置から読み出した固有情報を前記記憶手段内に格納することを特徴とする請求項1から請求項3のいずれかの項に記載の不正検出装置。
【請求項5】
固有情報記憶装置が組み込まれ、各固有情報記憶装置それぞれに固有の情報である固有情報のうち、正当な固有情報を記憶する記憶手段を備える不正検出装置に用いられるコンピュータプログラムであって、
所定のタイミングに、自身に組み込まれた固有情報記憶装置から当該固有情報記憶装置の固有情報を読み出す読み出しステップと、
前記読み出しステップにおいて読み出された固有情報と、前記記憶手段内に記憶されている固有情報とを照合して自身に組み込まれた前記固有情報記憶装置が正当であるか否かを判断し、正当ではないと判断した場合に異常の通知を出力する判断ステップと、
をコンピュータに実行させることを特徴とするコンピュータプログラム。


【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate

【図9】
image rotate


【公開番号】特開2006−148200(P2006−148200A)
【公開日】平成18年6月8日(2006.6.8)
【国際特許分類】
【出願番号】特願2004−331642(P2004−331642)
【出願日】平成16年11月16日(2004.11.16)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成16年度、総務省、高度ネットワーク認証基盤技術(オンデマンドVPN技術)の委託研究、産業再生法第30条の適用を受ける特許出願
【出願人】(000102728)株式会社エヌ・ティ・ティ・データ (438)
【Fターム(参考)】