暗号処理システムおよび暗号処理方法
【課題】暗号処理モジュールへの被処理データの供給が停止しているときに暗号処理の秘匿性を保持できる暗号処理システムおよび暗号処理方法を提供する。
【解決手段】被暗号処理データの供給停止通知に応じて、暗号処理部での暗号処理を停止させ、被暗号処理データの供給再開通知に応じて、暗号処理部による暗号処理を再開させる。被暗号処理データの供給停止通知、供給再開通知に応じて、暗号処理部による暗号処理を停止、再開することで、被暗号処理データの供給停止中に攻撃者が被暗号処理データを暗号処理部に供給しても、暗号処理済データを入手できなくなる。
【解決手段】被暗号処理データの供給停止通知に応じて、暗号処理部での暗号処理を停止させ、被暗号処理データの供給再開通知に応じて、暗号処理部による暗号処理を再開させる。被暗号処理データの供給停止通知、供給再開通知に応じて、暗号処理部による暗号処理を停止、再開することで、被暗号処理データの供給停止中に攻撃者が被暗号処理データを暗号処理部に供給しても、暗号処理済データを入手できなくなる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、データを暗号化、復号化する暗号処理システムおよび暗号処理方法に関する。
【背景技術】
【0002】
DVD(Digital Versatile Disk)等の記録媒体に動画、静止画、音声等のコンテンツのデータを暗号化して記録し、再生時に復号化することでコンテンツを保護する場合がある(コンテンツ保護システム)。この場合、暗号処理(暗号化、復号化、認証等を含む)を実現するための暗号化鍵や暗号処理のアルゴリズムの秘匿状態を保持する必要がある。
ここで、暗号処理の内容の秘匿状態を保持するために、ストリーム処理をするストリーム処理モジュールと、暗号処理する暗号処理モジュールとを、物理的、または論理的に分離する場合がある。暗号処理モジュールがストリーム処理モジュールの正当性を認証した後に、ストリーム処理モジュールからの暗号処理を許可することで、不正なストリーム処理モジュールによる暗号処理モジュールの使用を排除することができる。
なお、認証用のコマンドを所定の順序でのみ実行可能なものとして、セキュリティを向上する技術が公開されている(特許文献1参照)。また、外部との通信を行って照合をする際の認証レベルを複数有し、それぞれ適切なセキュリティのもとに照合手続きを実行する技術が開示されている(特許文献2参照)。
【特許文献1】特開2001−77805
【特許文献2】特開2004−5267
【発明の開示】
【発明が解決しようとする課題】
【0003】
ストリーム処理モジュールと、暗号処理モジュールとを分離し、暗号処理モジュールがストリーム処理モジュールを認証した後に暗号処理モジュールが暗号処理を行ったとしてもセキュリティが完全であるとは限らない。例えば、認証後にストリーム処理モジュールから暗号処理モジュールへの被処理データの供給が止まった場合に(コンテンツのストリーム処理が一時的に停止している状況など)、攻撃が行われる可能性がある。この場合、暗号処理モジュールが暗号処理を実行できる状態となっている。このときに、攻撃者が通信路をアクセスして、暗号処理モジュールへのデータ入出力を行うことで、暗号処理モジュールの振る舞いを調べることが可能となる。暗号処理前後のデータを対比することにより、暗号鍵や暗号アルゴリズムを推測できる。
上記に鑑み、本発明は、暗号処理モジュールへの被処理データの供給が停止しているときに暗号処理の秘匿性を保持できる暗号処理システムおよび暗号処理方法を提供することを目的とする。
【課題を解決するための手段】
【0004】
本発明に係る暗号処理システムは、暗号化または復号化するための被暗号処理データを供給する被暗号処理データ供給部と、前記被暗号処理データ供給部から供給される被暗号処理データを暗号化または復号化する暗号処理部と、前記被暗号処理データ供給部からの被暗号処理データの供給が停止されることを通知するデータ供給停止通知部と、前記データ供給停止通知部からの被暗号処理データの供給停止通知に応じて、前記暗号処理部による暗号処理を停止させる暗号処理停止制御部と、前記被暗号処理データ供給部からの被暗号処理データの供給が再開されることを通知するデータ供給再開通知部と、前記データ供給再開通知部からの被暗号処理データの供給再開通知に応じて、前記暗号処理部による暗号処理を再開させる暗号処理再開制御部と、を具備することを特徴とする。
【発明の効果】
【0005】
以上説明したように、本発明によれば暗号処理モジュールへの被処理データの供給が停止しているときに暗号処理の秘匿性を保持できる暗号処理システムおよび暗号処理方法を提供できる。
【発明を実施するための最良の形態】
【0006】
以下、図面を参照して、本発明の実施の形態を詳細に説明する。
図1は本発明の一実施形態に係る光ディスク装置10を表すブロック図である。
光ディスク装置10は、暗号化されて光ディスクに記録された暗号化コンテンツを読み出して復号、再生するシステムであり、暗号処理システムとして機能する。
【0007】
コンテンツは、映像(動画、静止画)、音声、文章、プログラム等著作権の対象となる可能性のあるもの一般を含む広範な概念である。コンテンツのデータを暗号化(例えば、CSS暗号化)して光ディスクに記録することでコンテンツの不正なコピー等の防止が図られる。光ディスクから暗号化されたコンテンツのデータが読み出され、復号化されて平文のデータに変換され、さらにデコードされることで映像、音声等の再生が行われる。
なお、暗号処理をデータの暗号化のみならず復号化をも含むものとして定義し、被暗号処理データをこの暗号処理の対象となるデータとして定義する。
【0008】
光ディスク装置10は、光ディスクドライブ11,ストリーム処理モジュール12,暗号処理モジュール13,デコード処理モジュール14,記憶部15,入力部16,表示部17,音声出力部18を有する。
【0009】
光ディスクドライブ11は、CD(Compact Disk)、DVD(Digital Versatile Disk)等の光ディスクへのデータの書き込み、読み出しを行うドライブ装置である。
ストリーム処理モジュール12は、中央演算処理装置(Central Processing Unit)およびそれを制御するプログラムで構成され、光ディスクのフォーマットの解釈、光ディスクからの暗号化データの読み出し等種々の処理を行う。なお、この詳細は後述する。
【0010】
暗号処理モジュール13は、中央演算処理装置(Central Processing Unit)およびそれを制御するプログラムで構成され、コンテンツデータの復号化等種々の処理を行う。なお、この詳細は後述する。
デコード処理モジュール14は、中央演算処理装置(Central Processing Unit)およびそれを制御するプログラムで構成され、暗号処理モジュール13で復号化されたコンテンツデータを表示部17,音声出力部18で処理可能なデータ形式に変更する。例えば、MPEG2,MPEG4等にエンコードされたデータ等を映像、音声のデータにデコードする。
【0011】
記憶部15は、例えば、半導体メモリであり、ストリーム処理モジュール12,暗号処理モジュール13で処理するデータそれぞれの記憶、ストリーム処理モジュール12,暗号処理モジュール13間でのデータの受け渡し等に用いられる。なお、この詳細は後述する。
【0012】
入力部16は、例えば、キースイッチ、リモートコントローラである、光ディスク装置10を操作するための操作用情報等の入力に用いられる。
表示部17は,光ディスクドライブ11から読み出されたコンテンツデータに基づく映像(静止画、動画)を表示する表示装置、例えば、CRT(陰極線管)、LCD(液晶表示装置)である。
音声出力部18は、光ディスクドライブ11から読み出されたコンテンツデータに基づく音声を出力する装置、例えば、ヘッドホン、スピーカである。
【0013】
図2は、ストリーム処理モジュール12および暗号処理モジュール13の詳細を表すブロック図である。ストリーム処理モジュール12および暗号処理モジュール13は、通信路でつながれる互いに独立したモジュールとして観念できる。
これらのモジュールは、独立のハードウェアモジュールで構成できる。但し、これらのモジュールを同一のハードウェアモジュール内の独立したソフトウェアモジュールで構成してもよい。例えば、同一のCPU上で稼働する3つのプログラムによってこれらのモジュールを構成できる。
【0014】
ストリーム処理モジュール12は、認証部121,鍵生成指示部122,ストリーム処理部123,データ供給停止通知部124,データ供給再開通知部125に区分される。
認証部121は、ストリーム処理モジュール12と暗号処理モジュール13間での認証のために後述の認証部132と認証処理を行う。
鍵生成指示部122は、暗号処理モジュール13での復号化処理のための復号鍵の生成を指示する鍵生成コマンドを暗号処理モジュール13に送信する。なお、鍵生成コマンドには、必要に応じて、復号鍵を生成するための鍵生成データが含められる。
【0015】
ストリーム処理部123は、光ディスクからの被暗号処理データの読み出し、および暗号処理モジュール13への提供を行うものであり、被暗号処理データを供給する被暗号処理データ供給部として機能する。
データ供給停止通知部124は,データ供給停止コマンドを暗号処理モジュール13に送信することで、ストリーム処理部123からの被暗号処理データの供給が停止されることを通知する。
データ供給再開通知部125は、データ供給再開コマンドを暗号処理モジュール13に送信することで、ストリーム処理部123からの被暗号処理データの供給が再開されることを通知する。
【0016】
暗号処理モジュール13は、管理部131,認証部132,鍵生成部133,暗号処理部134,タイムアウト処理部135,状態記憶部136に区分される。
管理部131は、暗号処理モジュール13全体の動作状態を管理するものであり、暗号処理停止制御部、暗号処理再開制御部、認証解除処理停止制御部、認証解除処理再開制御部、および第1、第2の警告部として機能する。
【0017】
管理部131は、データ供給停止コマンドに対応して暗号処理部134による暗号処理を停止させ(暗号処理停止制御部としての機能)、データ供給再開コマンドに対応して暗号処理部134による暗号処理を再開させる(暗号処理再開制御部としての機能)。なお、この暗号処理の停止、再開は、状態記憶部136内の停止状態情報の書き替え(停止中、動作中)によって行われる。
【0018】
管理部131は、データ供給停止コマンドに対応してタイムアウト処理部135によるタイムアウト処理を停止させ(認証解除処理停止制御部としての機能)、データ供給再開コマンドに対応してタイムアウト処理部135によるタイムアウト処理を再開させる(認証解除処理再開制御部としての機能)。なお、このタイムアウト処理の停止、再開は、暗号処理と同様、状態記憶部136内の停止状態情報の書き替え(「停止中」、「動作中」)によって行われる。
【0019】
以上のように、データ供給停止コマンドおよびデータ供給再開コマンドに対応して、暗号処理とタイムアウト処理の双方の停止および再開が行われる。但し、暗号処理とタイムアウト処理の一方の停止および再開を行うことも可能である。
【0020】
管理部131は、データ供給停止コマンドの受信後、データ供給再開コマンドの受信前に、暗号処理モジュール13に被暗号処理データが供給されたときに警告を発し(第1の警告部としての機能)、ストリーム処理モジュール12からの被暗号処理データの供給量と、暗号処理モジュール13での暗号処理量とが対応しないときに警告を発する(第2の警告部としての機能)。
これらの警告は、警告のためのコマンドを発行することによって行える。この警告コマンドによって、表示部17,音声出力部18等に何らかの表示を行いユーザの注意を促すことができる。また、データ供給再開コマンドの受信前に検出されたデータの廃棄等も行える。
【0021】
認証部132は、ストリーム処理モジュール12と暗号処理モジュール13間での認証のために認証部121と認証処理を行う。
鍵生成部133は、鍵生成指示部122から発行された鍵生成コマンドに基づき、復号鍵を生成する。
暗号処理部134は、鍵生成部133で生成された復号鍵に基づき、ストリーム処理部123から供給された被暗号処理データを復号化する。
【0022】
タイムアウト処理部135は,ストリーム処理部123からの被暗号処理データが所定時間受信されない場合にタイムアウト処理を行うものであり、認証解除処理部として機能する。タイムアウト処理が行われると、ストリーム処理モジュール12と暗号処理モジュール13間での認証が解除され、状態記憶部136の認証状態情報が「認証済み」から「未認証」に書き替えられる。この結果、認証を再度行わないと、暗号処理部134での暗号処理が行えなくなる。
状態記憶部136は、暗号処理モジュール13の状態を表す状態情報を記憶する。状態情報には、例えば、ストリーム処理モジュール12が認証済みか否かを表す認証状態情報、暗号処理が停止中か否かを表す停止状態情報が挙げられる。
なお、状態記憶部136は、記憶部15を用いて実現できる。
【0023】
図3は、記憶部15中の記憶領域を表す模式図である。図3に示すように、記憶部15の記憶領域は、専用領域AE1〜AE3(ストリーム処理用領域AE1,暗号処理用領域AE2,デコード処理用領域AE3)と、共用領域AC1,AC2に区分される。
専用領域AE1〜AE3は、ストリーム処理モジュール12,暗号処理モジュール13,デコード処理モジュール14それぞれで専用(排他的)に用いられる記憶領域であり、他の構成要素(ストリーム処理モジュール12,暗号処理モジュール13,デコード処理モジュール14)からはアクセスすることができない。この結果、ストリーム処理モジュール12,暗号処理モジュール13,デコード処理モジュール14それぞれでのデータの独立性、秘匿性の保持が可能となる。
【0024】
共用領域AC1,AC2は、ストリーム処理モジュール12,暗号処理モジュール13,デコード処理モジュール14間でのデータのやり取りのための記憶領域であり、それぞれストリーム処理モジュール12,暗号処理モジュール13間、暗号処理モジュール13,デコード処理モジュール14間で共通にアクセスし、これらの間でデータを受け渡すことができる。
例えば、共用領域AC1にストリーム処理モジュール12がデータを書き込み、暗号処理モジュール13がこのデータを読み出すことで、ストリーム処理モジュール12から暗号処理モジュール13にデータを供給できる。
【0025】
以上のように、記憶部15中の記憶領域を専用領域AE1〜AE3および共用領域AC1,AC2に区分することで、ストリーム処理モジュール12,暗号処理モジュール13,デコード処理モジュール14間でのデータの独立性および秘匿性と、データ交換の容易性との両立を図っている。
【0026】
(光ディスク装置10の動作)
以下、光ディスク装置10の動作につき説明する。
図4は、光ディスク装置10の動作手順の一例を表すフロー図である。また、図5は、光ディスク装置10中のストリーム処理モジュール12,暗号処理モジュール13,デコード処理モジュール14間での情報の流れを表すシグナルフローグラフである。
【0027】
(1)認証処理(図4のステップS11,図5のタイミングT11)
ストリーム処理モジュール12は、暗号処理モジュール13により認証を受ける。認証が完了すると状態記憶部136中の認証状態情報が「未認証」から「認証済み」に書き替えられ、暗号処理モジュール13が認証済み状態となる。また、状態記憶部136中の停止状態情報が「停止中」となる。
認証がなされなかった場合は、状態記憶部136中の認証状態情報は未認証のまま保持される。
【0028】
なお、本発明では、主として暗号処理モジュール13へのデータ入力時におけるデータ挿入による攻撃を考慮していることから、図4、図5でデコード処理モジュール14との認証を明記していない。デコード処理モジュール14も認証に参加することで、暗号処理の秘匿性の向上を図れる。例えば、暗号処理モジュール13とデコード処理モジュール14間で認証を行うことができる。暗号処理モジュール13からの暗号処理済データを認証されたデコード処理モジュール14にのみ送信することで、暗号処理済データが横取りされるおそれを低減できる。
【0029】
(2)復号鍵の生成(図4のステップS12,図5のタイミングT12)
ストリーム処理モジュール12から鍵生成コマンドが発行されると、暗号処理モジュール13は、状態記憶部136中の認証状態情報が「認証済み」であれば、暗号処理モジュール13内に復号鍵を生成させる。復号鍵の生成には、鍵生成コマンドと共に、あるいは別個に送信される鍵生成データを用いることができる。また、状態記憶部136中の停止状態情報を「動作中」とする。この結果、暗号処理モジュール13が認証済み、かつ暗号処理可能な状態になる。
なお、暗号処理モジュール13が認証済み状態でない場合には、鍵生成コマンド等の処理は拒絶される。
【0030】
(3)復号化処理(図4のステップS13,図5のタイミングT13〜T16)
暗号処理モジュール13が暗号処理可能な状態(状態記憶部136中の停止状態情報が「動作中」)のときに、ストリーム処理モジュール12から暗号処理モジュール13に被暗号処理データを供給すると(タイミングT13,T15)、暗号処理モジュール13内で暗号処理が行なわれ、暗号処理モジュール13からデコード処理モジュール14に暗号処理済データが送信される(タイミングT14,T16)。
この被暗号処理データの供給と、暗号処理済データの送信は、ストリーム処理モジュール12でのストリーム処理が継続する間、連続的に行なわれる。
この暗号処理の際にストリーム処理モジュール12,暗号処理モジュール13それぞれでの処理量を確認することで、暗号処理の秘匿性を向上することができる。なお、この詳細は後述する。
【0031】
(4)データ供給停止コマンドの発行(図4のステップS14,図5のタイミングT17)
入力部16からの一時停止指示の入力等によりストリーム処理モジュール12からのデータ供給が停止される場合、被暗号処理データが供給されない状態に移行する前に、ストリーム処理モジュール12から暗号処理モジュール13にデータ供給停止コマンドを発行する。
【0032】
(5)暗号処理・タイムアウト処理の停止(図4のステップS15,図5のタイミングT17)
データ供給停止コマンドを受けた暗号処理モジュール13は、状態記憶部136中の停止状態情報を「動作中」から「停止中」に書き替える。この結果、暗号処理モジュール13の状態は、認証済みかつ暗号処理停止状態に移行され、暗号処理モジュール13での暗号処理およびタイムアウト処理が停止される。
【0033】
1)暗号処理の停止
暗号処理が停止していることは、暗号処理モジュール13の暗号処理の秘匿性の保持に役立つ。例えば、ストリーム処理モジュール12からの被暗号処理データの供給停止中に攻撃者がストリーム処理モジュール12に代わって被暗号処理データを供給したとしても(タイミングT18),これに対応する暗号処理済データの返信は行われない(タイミングT19)。このため、攻撃者が暗号処理前後のデータから暗号化アルゴリズムや暗号鍵を解析することはできない。
なお、この攻撃者として、光ディスク、あるいはネットワーク等から光ディスク装置10に送り込まれた寄生プログラムを挙げることができる。光ディスク装置10がネットワークに接続可能な場合には、このような攻撃にさらされる可能性が大きくなる。
【0034】
ここで、認証済みかつ暗号処理停止の状態において供給されたデータは不正データとみなすルールを設定できる。このようにすることで、攻撃者の被暗号処理データが暗号処理モジュール13に供給された場合、不正なデータ供給の検出が行なえる。管理部131が不正なデータを検出し、警告を発する。
また、この検出に対応して、不正データの破棄や、処理自体の全面的な終了といった対策を取ることができ、攻撃の更なる無効化が可能である。
【0035】
このような不正データの検出は、正規の被暗号処理が停止している期間におけるセキュリティ向上手段として価値がある。
一般に暗号処理モジュール13の処理スループットには上限がある。このため、ストリーム処理モジュール12から正規の被暗号処理データの供給中に、攻撃者が不正な被暗号処理データを供給すると、正規の暗号処理済データの単位時間あたりの暗号処理可能量が減少する。この暗号処理可能量の減少を利用して、正規の被暗号処理データを供給しているストリーム処理モジュール12側で異常の検出を行うことが可能である。
【0036】
・比較例1
図6は、本発明の比較例に係る光ディスク装置10xでの処理シーケンスに対する攻撃の1例を示すシグナルフローグラフであり、図5と同様に、ストリーム処理モジュール12x,暗号処理モジュール13x,デコード処理モジュール14x間での情報の流れを表す。
ストリーム処理モジュール12xの認証を経て、暗号処理済データを得るまでは、図5と同様である(図6のタイミングT51〜T56,図5のタイミングT11〜T16)。
ここで、ストリーム処理モジュール12x側で、処理すべきストリームが停止された場合、暗号処理モジュール13xでの認証済み状態が確立したまま、被暗号処理データが供給されない状態になる。
【0037】
この状況で、攻撃者51が、ストリーム処理モジュール12x,暗号処理モジュール13x,デコード処理モジュール14x間の通信路に侵入し、攻撃者の被暗号処理データを供給し、暗号処理済データを取得したとする。攻撃者は、暗号処理前後のデータを収集することで、暗号処理モジュール13x内の秘密鍵や秘密の暗号処理アルゴリズムの推定などを行える。
【0038】
これに対して、本実施形態では、暗号処理モジュール13での暗号処理が停止されているために、攻撃者が被暗号処理データを供給しても、暗号処理済データを取得することはできない。データ供給再開コマンドの発行前にデータを供給したことで、このデータを不正データとして検出することも可能になる。
【0039】
2)タイムアウト処理の停止
暗号処理モジュール13は、認証以降、被暗号処理データの供給が所定期間停止しているときに、タイムアウト処理を実施し、認証状態を解除するのが通例である。暗号処理モジュール13の状態が停止状態の場合には、このタイムアウト処理が停止される。
このタイムアウト処理は、ストリーム処理モジュール12側の障害等に対処して、システムを安定な状態に保つために行われる。しかしながら、ストリーム供給の停止の原因が、ストリーム処理モジュール12側の障害によるものか、ユーザの一時停止指示等によるものか、その確認が困難な場合がある。ストリーム供給の停止の発生のたびに、タイムアウト処理を行なうと、ストリーム供給の再開時に、認証を再度実施する必要があり、暗号処理が迅速に再開できない可能性がある。
【0040】
タイムアウト処理を停止することで、このような事態の発生を防止できる。即ち、ストリーム処理モジュール12側でユーザの一時停止指示など、正常な事象でのデータ供給停止時には、データ供給停止コマンドを発効し、認証済みかつ暗号処理停止の状態に移行させることができる。暗号処理モジュール13では、ストリーム処理モジュール12側をタイムアウトさせる必要がなくなり、認証済みの状態を維持できる。
なお、データ供給の停止期間は、例えば、定期的にタイマ割り込みを発生させ、データの供給が最後に行なわれてからのタイマ割込み回数を計数することで計時できる。
【0041】
・比較例2
図7は、本発明の比較例に係る光ディスク装置10yでのタイムアウト処理の1例を示すシグナルフローグラフであり、図5と同様に、ストリーム処理モジュール12y,暗号処理モジュール13y,デコード処理モジュール14y間での情報の流れを表す。
ストリーム処理モジュール12yが認証を経て、暗号処理済データを得るまでは、図5と同様である(図7のタイミングT61〜T66,図5のタイミングT11〜T16)。
ここで、ストリーム処理モジュール12y側で、処理すべきストリームが停止させた場合、暗号処理モジュール13y内での認証済み状態が確立したまま、被暗号処理データが供給されない状態になる。
【0042】
暗号処理モジュール13への被暗号処理データの供給が一定期間ない場合、タイムアウト処理が実施され、断絶処理(認証の解除、および必要であればその通知)等が行なわれる。ストリーム供給の停止のたびに断絶処理を行なうと、ストリーム供給の再開時に認証を再度実施する必要があり、暗号処理が迅速に再開できない可能性がある。
これに対して、本実施形態では、ストリーム供給が停止されても、認証状態が解除されないので、暗号処理を迅速に再開できる。
【0043】
(6)データ供給再開コマンドの発行(図4のステップS16,図5のタイミングT20)
ストリーム処理モジュール12からのデータ供給を再開する場合は、ストリーム処理モジュール12からデータ供給再開コマンドを発行することとし、暗号処理モジュール13の状態を、認証済みかつ暗号処理可能な状態に移行させる。
【0044】
(7)復号化処理の再開(図4のステップS17、図5のタイミングT21以降)
復号化処理が再開される。ストリーム処理モジュール12が認証済みの状態が保持されていることから、被暗号処理データの供給を迅速に再開できる。
暗号処理モジュール13が暗号処理可能な状態(状態記憶部136中の停止状態情報が「動作中」)のときに、ストリーム処理モジュール12から暗号処理モジュール13に被暗号処理データを供給すると(タイミングT21)、暗号処理モジュール13内で暗号処理が行なわれ、暗号処理モジュール13からデコード処理モジュール14に暗号処理済データが送信される(タイミングT22)。
【0045】
以上のように、ストリーム処理モジュール12が、認証成功後、被暗号処理データの供給を一時的に停止する際に、暗号処理モジュール13にデータ供給の停止を示すコマンドを発行し、再開のコマンドが発行されるまでの間、暗号処理を停止する。このようにして、攻撃者が暗号処理モジュール13にデータを供給する攻撃を排除できる。このとき、供給されたデータの排除等の措置を取ることも可能である。
また、ストリーム処理モジュール12が不具合などで正しく被暗号処理データの供給が行なえなくなった際に、タイムアウト制御を行えるようになり、攻撃者のデータ供給の攻撃を行なえる時間を短くし、また、システムの安定化を図ることが可能となる。
【0046】
(暗号処理中における暗号処理の秘匿性の向上)
前述のように、暗号処理の際にストリーム処理モジュール12,暗号処理モジュール13それぞれでの処理量を確認することで、暗号処理の秘匿性を向上できる。即ち、ストリーム処理モジュール12が暗号処理モジュール13に被暗号化データを供給している状況において、攻撃者がデータを挿入する攻撃をより確実に排除できる。
以下、この処理量の確認による秘匿性の向上の詳細を説明する。
【0047】
A. ストリーム処理モジュール12,暗号処理モジュール13それぞれが、処理したストリームの量(データ量そのもの、データをパケットとして通信している場合のパケット数、ID数(パケットを識別する識別情報)など)を通知し、お互いに処理量を確認する。
【0048】
この通知、確認は、必ずしも双方向で行う必要はなく、一方向のみでも行える。例えば、ストリーム処理モジュール12が被暗号処理データの供給量を暗号処理モジュール13に通知し、暗号処理モジュール13が被暗号処理データの暗号処理量と、通知された被暗号処理データの供給量とが一致するか否かを確認する。また、暗号処理モジュール13が暗号処理した被暗号処理データの量をストリーム処理モジュール12に通知し、ストリーム処理モジュール12が被暗号処理データの供給量と、通知された被暗号処理データの暗号処理量とが一致するか否かを確認する。
【0049】
この通知は、被暗号処理データ、暗号処理済データの送信に対応して行っても良いし(常に送信)、定期的に送信しても良い。常に送信すれば、定期的な送信と比べて、保護の確実性が向上する(定期的なチェックでは、チェック間の未チェック期間に攻撃を受ける可能性がある)。一方、定期的に送信すると処理の負担が低減される。即ち、通知の頻度は処理負担と秘匿性のバランスによって決定できる。
この通知は、被暗号化データ、暗号化データを送信するためのパケットに含めてもよいし、これらのパケットとは別個のパケットとしても差し支えない。
【0050】
この通知の内容は、改竄等を防ぐため、暗号化して送るのが好ましい。
暗号化には次の1)、2)のような方式を利用できる。
1)共通鍵暗号方式
ストリーム処理モジュール12,暗号処理モジュール13双方の処理量を同一の暗号鍵で暗号化して送信する。共通の暗号鍵を用いることで暗号処理の負担を低減できる。
2)署名認証方式
通知内容に送信側が署名して受信側がその署名を確認することでセキュリティを向上できる。送信者の確実性を向上できる。
【0051】
B. データの処理量を通知する替わりに、次の(1)、(2)に示すような手段を採用することで実質的に同様の効果が得られる。
(1)暗号処理モジュール13で処理したデータ量を計測するカウンタを、ストリーム処理モジュール12から、定期的に(または常に)確認する。即ち、暗号処理したデータ量を暗号処理モジュール13が記憶部15に書き込み、ストリーム処理モジュール12が読み出す。このようにして、暗号処理モジュール13からストリーム処理モジュール12に処理量を通知したのと実質的に同様の結果が得られる。
この場合、カウンタ上の記録を暗号化することで、攻撃者からの不正なアクセスから保護することが好ましい。
【0052】
(2)暗号処理モジュール13がソフトウェアで実装されている場合に、ストリーム処理モジュール12が暗号処理モジュール13に供給したストリーム量を定期的に(または常に)確認する。
暗号処理モジュール13がソフトウェアで実装されている場合には、ストリーム処理モジュール12が暗号処理モジュール13での暗号処理量を確認することは比較的容易であるので、ストリーム処理モジュール12が供給量を確認し、両者を比較すればよい。
【0053】
(処理量の確認および暗号処理停止の関係)
以上の処理量の確認は被暗号処理データの供給中、停止中の何れにも適用することができる。このようにすると、被暗号処理データの停止中におけるセキュリティの大幅な向上が図られる。
一方、被暗号処理データの供給中は処理量の確認により、被暗号処理データの供給停止中は暗号処理の停止により、セキュリティを保持することも可能である。被暗号処理データの供給停止中での処理量の確認を不要とすることで、被暗号処理データの供給停止中における処理の負担が軽減される。
【0054】
処理量の確認のみを適用し、暗号処理の停止を適用しない場合には、停止状態への移行直後に攻撃者にデータを送信されたとき、その検出に時間を要する可能性がある。この場合、暗号処理モジュール13で暗号処理が行なわれ、処理結果が攻撃者により読み取られるおそれがある。
このように、処理量の確認と暗号処理停止とを併用することで、処理量の確認を定期的に行っている場合に、この定期的な確認に先立って攻撃を防ぐことが可能となる。
【0055】
(その他の実施形態)
本発明の実施形態は上記の実施形態に限られず拡張、変更可能であり、拡張、変更した実施形態も本発明の技術的範囲に含まれる。
【0056】
例えば、ストリーム処理モジュールとデコード処理モジュールを全体として、ホストシステムとして考え、暗号処理モジュールと対比することもできる。この場合には、図5のタイミングT15,T16での被暗号処理データ、暗号処理済データの送受信は、ホストシステムと暗号処理モジュール間で行っていることになる。
【0057】
被暗号処理データ供給の停止時に、暗号処理の停止およびタイムアウト処理の一方のみを実行することも可能である。また、処理量の確認と、暗号処理の停止の一方のみを適用することも可能である。これら3つの処理は、その1つのみ、適宜な2つの組み合わせ、3つ全部の組み合わせの何れもが適用可能である。
【図面の簡単な説明】
【0058】
【図1】本発明の一実施形態に係る光ディスク装置を表すブロック図である。
【図2】ストリーム処理モジュールおよび暗号処理モジュールの詳細を表すブロック図である。
【図3】記憶部15中の記憶領域を表す模式図である。
【図4】光ディスク装置の動作手順の一例を表すフロー図である。
【図5】光ディスク装置中のストリーム処理モジュール、暗号処理モジュール1デコード処理モジュール間での情報の流れを表すシグナルフローグラフである。
【図6】本発明の比較例に係る光ディスク装置での処理シーケンスに対する攻撃の1例を示すシグナルフローグラフである。
【図7】本発明の比較例に係る光ディスク装置でのタイムアウト処理の1例を示すシグナルフローグラフである。
【符号の説明】
【0059】
10…光ディスク装置、11…光ディスクドライブ、12…ストリーム処理モジュール、13…暗号処理モジュール、14…デコード処理モジュール、15…記憶部、16…入力部、17…表示部、18…音声出力部、121…認証部、122…鍵生成指示部、123…ストリーム処理部、124…データ供給停止通知部、125…データ供給再開通知部、131…管理部、132…認証部、133…鍵生成部、134…暗号処理部、135…タイムアウト処理部、136…状態記憶部、AC1,AC2…共用領域、AE1〜AE3…専用領域、AE1…ストリーム処理用領域、AE2…暗号処理用領域、AE3…デコード処理用領域
【技術分野】
【0001】
本発明は、データを暗号化、復号化する暗号処理システムおよび暗号処理方法に関する。
【背景技術】
【0002】
DVD(Digital Versatile Disk)等の記録媒体に動画、静止画、音声等のコンテンツのデータを暗号化して記録し、再生時に復号化することでコンテンツを保護する場合がある(コンテンツ保護システム)。この場合、暗号処理(暗号化、復号化、認証等を含む)を実現するための暗号化鍵や暗号処理のアルゴリズムの秘匿状態を保持する必要がある。
ここで、暗号処理の内容の秘匿状態を保持するために、ストリーム処理をするストリーム処理モジュールと、暗号処理する暗号処理モジュールとを、物理的、または論理的に分離する場合がある。暗号処理モジュールがストリーム処理モジュールの正当性を認証した後に、ストリーム処理モジュールからの暗号処理を許可することで、不正なストリーム処理モジュールによる暗号処理モジュールの使用を排除することができる。
なお、認証用のコマンドを所定の順序でのみ実行可能なものとして、セキュリティを向上する技術が公開されている(特許文献1参照)。また、外部との通信を行って照合をする際の認証レベルを複数有し、それぞれ適切なセキュリティのもとに照合手続きを実行する技術が開示されている(特許文献2参照)。
【特許文献1】特開2001−77805
【特許文献2】特開2004−5267
【発明の開示】
【発明が解決しようとする課題】
【0003】
ストリーム処理モジュールと、暗号処理モジュールとを分離し、暗号処理モジュールがストリーム処理モジュールを認証した後に暗号処理モジュールが暗号処理を行ったとしてもセキュリティが完全であるとは限らない。例えば、認証後にストリーム処理モジュールから暗号処理モジュールへの被処理データの供給が止まった場合に(コンテンツのストリーム処理が一時的に停止している状況など)、攻撃が行われる可能性がある。この場合、暗号処理モジュールが暗号処理を実行できる状態となっている。このときに、攻撃者が通信路をアクセスして、暗号処理モジュールへのデータ入出力を行うことで、暗号処理モジュールの振る舞いを調べることが可能となる。暗号処理前後のデータを対比することにより、暗号鍵や暗号アルゴリズムを推測できる。
上記に鑑み、本発明は、暗号処理モジュールへの被処理データの供給が停止しているときに暗号処理の秘匿性を保持できる暗号処理システムおよび暗号処理方法を提供することを目的とする。
【課題を解決するための手段】
【0004】
本発明に係る暗号処理システムは、暗号化または復号化するための被暗号処理データを供給する被暗号処理データ供給部と、前記被暗号処理データ供給部から供給される被暗号処理データを暗号化または復号化する暗号処理部と、前記被暗号処理データ供給部からの被暗号処理データの供給が停止されることを通知するデータ供給停止通知部と、前記データ供給停止通知部からの被暗号処理データの供給停止通知に応じて、前記暗号処理部による暗号処理を停止させる暗号処理停止制御部と、前記被暗号処理データ供給部からの被暗号処理データの供給が再開されることを通知するデータ供給再開通知部と、前記データ供給再開通知部からの被暗号処理データの供給再開通知に応じて、前記暗号処理部による暗号処理を再開させる暗号処理再開制御部と、を具備することを特徴とする。
【発明の効果】
【0005】
以上説明したように、本発明によれば暗号処理モジュールへの被処理データの供給が停止しているときに暗号処理の秘匿性を保持できる暗号処理システムおよび暗号処理方法を提供できる。
【発明を実施するための最良の形態】
【0006】
以下、図面を参照して、本発明の実施の形態を詳細に説明する。
図1は本発明の一実施形態に係る光ディスク装置10を表すブロック図である。
光ディスク装置10は、暗号化されて光ディスクに記録された暗号化コンテンツを読み出して復号、再生するシステムであり、暗号処理システムとして機能する。
【0007】
コンテンツは、映像(動画、静止画)、音声、文章、プログラム等著作権の対象となる可能性のあるもの一般を含む広範な概念である。コンテンツのデータを暗号化(例えば、CSS暗号化)して光ディスクに記録することでコンテンツの不正なコピー等の防止が図られる。光ディスクから暗号化されたコンテンツのデータが読み出され、復号化されて平文のデータに変換され、さらにデコードされることで映像、音声等の再生が行われる。
なお、暗号処理をデータの暗号化のみならず復号化をも含むものとして定義し、被暗号処理データをこの暗号処理の対象となるデータとして定義する。
【0008】
光ディスク装置10は、光ディスクドライブ11,ストリーム処理モジュール12,暗号処理モジュール13,デコード処理モジュール14,記憶部15,入力部16,表示部17,音声出力部18を有する。
【0009】
光ディスクドライブ11は、CD(Compact Disk)、DVD(Digital Versatile Disk)等の光ディスクへのデータの書き込み、読み出しを行うドライブ装置である。
ストリーム処理モジュール12は、中央演算処理装置(Central Processing Unit)およびそれを制御するプログラムで構成され、光ディスクのフォーマットの解釈、光ディスクからの暗号化データの読み出し等種々の処理を行う。なお、この詳細は後述する。
【0010】
暗号処理モジュール13は、中央演算処理装置(Central Processing Unit)およびそれを制御するプログラムで構成され、コンテンツデータの復号化等種々の処理を行う。なお、この詳細は後述する。
デコード処理モジュール14は、中央演算処理装置(Central Processing Unit)およびそれを制御するプログラムで構成され、暗号処理モジュール13で復号化されたコンテンツデータを表示部17,音声出力部18で処理可能なデータ形式に変更する。例えば、MPEG2,MPEG4等にエンコードされたデータ等を映像、音声のデータにデコードする。
【0011】
記憶部15は、例えば、半導体メモリであり、ストリーム処理モジュール12,暗号処理モジュール13で処理するデータそれぞれの記憶、ストリーム処理モジュール12,暗号処理モジュール13間でのデータの受け渡し等に用いられる。なお、この詳細は後述する。
【0012】
入力部16は、例えば、キースイッチ、リモートコントローラである、光ディスク装置10を操作するための操作用情報等の入力に用いられる。
表示部17は,光ディスクドライブ11から読み出されたコンテンツデータに基づく映像(静止画、動画)を表示する表示装置、例えば、CRT(陰極線管)、LCD(液晶表示装置)である。
音声出力部18は、光ディスクドライブ11から読み出されたコンテンツデータに基づく音声を出力する装置、例えば、ヘッドホン、スピーカである。
【0013】
図2は、ストリーム処理モジュール12および暗号処理モジュール13の詳細を表すブロック図である。ストリーム処理モジュール12および暗号処理モジュール13は、通信路でつながれる互いに独立したモジュールとして観念できる。
これらのモジュールは、独立のハードウェアモジュールで構成できる。但し、これらのモジュールを同一のハードウェアモジュール内の独立したソフトウェアモジュールで構成してもよい。例えば、同一のCPU上で稼働する3つのプログラムによってこれらのモジュールを構成できる。
【0014】
ストリーム処理モジュール12は、認証部121,鍵生成指示部122,ストリーム処理部123,データ供給停止通知部124,データ供給再開通知部125に区分される。
認証部121は、ストリーム処理モジュール12と暗号処理モジュール13間での認証のために後述の認証部132と認証処理を行う。
鍵生成指示部122は、暗号処理モジュール13での復号化処理のための復号鍵の生成を指示する鍵生成コマンドを暗号処理モジュール13に送信する。なお、鍵生成コマンドには、必要に応じて、復号鍵を生成するための鍵生成データが含められる。
【0015】
ストリーム処理部123は、光ディスクからの被暗号処理データの読み出し、および暗号処理モジュール13への提供を行うものであり、被暗号処理データを供給する被暗号処理データ供給部として機能する。
データ供給停止通知部124は,データ供給停止コマンドを暗号処理モジュール13に送信することで、ストリーム処理部123からの被暗号処理データの供給が停止されることを通知する。
データ供給再開通知部125は、データ供給再開コマンドを暗号処理モジュール13に送信することで、ストリーム処理部123からの被暗号処理データの供給が再開されることを通知する。
【0016】
暗号処理モジュール13は、管理部131,認証部132,鍵生成部133,暗号処理部134,タイムアウト処理部135,状態記憶部136に区分される。
管理部131は、暗号処理モジュール13全体の動作状態を管理するものであり、暗号処理停止制御部、暗号処理再開制御部、認証解除処理停止制御部、認証解除処理再開制御部、および第1、第2の警告部として機能する。
【0017】
管理部131は、データ供給停止コマンドに対応して暗号処理部134による暗号処理を停止させ(暗号処理停止制御部としての機能)、データ供給再開コマンドに対応して暗号処理部134による暗号処理を再開させる(暗号処理再開制御部としての機能)。なお、この暗号処理の停止、再開は、状態記憶部136内の停止状態情報の書き替え(停止中、動作中)によって行われる。
【0018】
管理部131は、データ供給停止コマンドに対応してタイムアウト処理部135によるタイムアウト処理を停止させ(認証解除処理停止制御部としての機能)、データ供給再開コマンドに対応してタイムアウト処理部135によるタイムアウト処理を再開させる(認証解除処理再開制御部としての機能)。なお、このタイムアウト処理の停止、再開は、暗号処理と同様、状態記憶部136内の停止状態情報の書き替え(「停止中」、「動作中」)によって行われる。
【0019】
以上のように、データ供給停止コマンドおよびデータ供給再開コマンドに対応して、暗号処理とタイムアウト処理の双方の停止および再開が行われる。但し、暗号処理とタイムアウト処理の一方の停止および再開を行うことも可能である。
【0020】
管理部131は、データ供給停止コマンドの受信後、データ供給再開コマンドの受信前に、暗号処理モジュール13に被暗号処理データが供給されたときに警告を発し(第1の警告部としての機能)、ストリーム処理モジュール12からの被暗号処理データの供給量と、暗号処理モジュール13での暗号処理量とが対応しないときに警告を発する(第2の警告部としての機能)。
これらの警告は、警告のためのコマンドを発行することによって行える。この警告コマンドによって、表示部17,音声出力部18等に何らかの表示を行いユーザの注意を促すことができる。また、データ供給再開コマンドの受信前に検出されたデータの廃棄等も行える。
【0021】
認証部132は、ストリーム処理モジュール12と暗号処理モジュール13間での認証のために認証部121と認証処理を行う。
鍵生成部133は、鍵生成指示部122から発行された鍵生成コマンドに基づき、復号鍵を生成する。
暗号処理部134は、鍵生成部133で生成された復号鍵に基づき、ストリーム処理部123から供給された被暗号処理データを復号化する。
【0022】
タイムアウト処理部135は,ストリーム処理部123からの被暗号処理データが所定時間受信されない場合にタイムアウト処理を行うものであり、認証解除処理部として機能する。タイムアウト処理が行われると、ストリーム処理モジュール12と暗号処理モジュール13間での認証が解除され、状態記憶部136の認証状態情報が「認証済み」から「未認証」に書き替えられる。この結果、認証を再度行わないと、暗号処理部134での暗号処理が行えなくなる。
状態記憶部136は、暗号処理モジュール13の状態を表す状態情報を記憶する。状態情報には、例えば、ストリーム処理モジュール12が認証済みか否かを表す認証状態情報、暗号処理が停止中か否かを表す停止状態情報が挙げられる。
なお、状態記憶部136は、記憶部15を用いて実現できる。
【0023】
図3は、記憶部15中の記憶領域を表す模式図である。図3に示すように、記憶部15の記憶領域は、専用領域AE1〜AE3(ストリーム処理用領域AE1,暗号処理用領域AE2,デコード処理用領域AE3)と、共用領域AC1,AC2に区分される。
専用領域AE1〜AE3は、ストリーム処理モジュール12,暗号処理モジュール13,デコード処理モジュール14それぞれで専用(排他的)に用いられる記憶領域であり、他の構成要素(ストリーム処理モジュール12,暗号処理モジュール13,デコード処理モジュール14)からはアクセスすることができない。この結果、ストリーム処理モジュール12,暗号処理モジュール13,デコード処理モジュール14それぞれでのデータの独立性、秘匿性の保持が可能となる。
【0024】
共用領域AC1,AC2は、ストリーム処理モジュール12,暗号処理モジュール13,デコード処理モジュール14間でのデータのやり取りのための記憶領域であり、それぞれストリーム処理モジュール12,暗号処理モジュール13間、暗号処理モジュール13,デコード処理モジュール14間で共通にアクセスし、これらの間でデータを受け渡すことができる。
例えば、共用領域AC1にストリーム処理モジュール12がデータを書き込み、暗号処理モジュール13がこのデータを読み出すことで、ストリーム処理モジュール12から暗号処理モジュール13にデータを供給できる。
【0025】
以上のように、記憶部15中の記憶領域を専用領域AE1〜AE3および共用領域AC1,AC2に区分することで、ストリーム処理モジュール12,暗号処理モジュール13,デコード処理モジュール14間でのデータの独立性および秘匿性と、データ交換の容易性との両立を図っている。
【0026】
(光ディスク装置10の動作)
以下、光ディスク装置10の動作につき説明する。
図4は、光ディスク装置10の動作手順の一例を表すフロー図である。また、図5は、光ディスク装置10中のストリーム処理モジュール12,暗号処理モジュール13,デコード処理モジュール14間での情報の流れを表すシグナルフローグラフである。
【0027】
(1)認証処理(図4のステップS11,図5のタイミングT11)
ストリーム処理モジュール12は、暗号処理モジュール13により認証を受ける。認証が完了すると状態記憶部136中の認証状態情報が「未認証」から「認証済み」に書き替えられ、暗号処理モジュール13が認証済み状態となる。また、状態記憶部136中の停止状態情報が「停止中」となる。
認証がなされなかった場合は、状態記憶部136中の認証状態情報は未認証のまま保持される。
【0028】
なお、本発明では、主として暗号処理モジュール13へのデータ入力時におけるデータ挿入による攻撃を考慮していることから、図4、図5でデコード処理モジュール14との認証を明記していない。デコード処理モジュール14も認証に参加することで、暗号処理の秘匿性の向上を図れる。例えば、暗号処理モジュール13とデコード処理モジュール14間で認証を行うことができる。暗号処理モジュール13からの暗号処理済データを認証されたデコード処理モジュール14にのみ送信することで、暗号処理済データが横取りされるおそれを低減できる。
【0029】
(2)復号鍵の生成(図4のステップS12,図5のタイミングT12)
ストリーム処理モジュール12から鍵生成コマンドが発行されると、暗号処理モジュール13は、状態記憶部136中の認証状態情報が「認証済み」であれば、暗号処理モジュール13内に復号鍵を生成させる。復号鍵の生成には、鍵生成コマンドと共に、あるいは別個に送信される鍵生成データを用いることができる。また、状態記憶部136中の停止状態情報を「動作中」とする。この結果、暗号処理モジュール13が認証済み、かつ暗号処理可能な状態になる。
なお、暗号処理モジュール13が認証済み状態でない場合には、鍵生成コマンド等の処理は拒絶される。
【0030】
(3)復号化処理(図4のステップS13,図5のタイミングT13〜T16)
暗号処理モジュール13が暗号処理可能な状態(状態記憶部136中の停止状態情報が「動作中」)のときに、ストリーム処理モジュール12から暗号処理モジュール13に被暗号処理データを供給すると(タイミングT13,T15)、暗号処理モジュール13内で暗号処理が行なわれ、暗号処理モジュール13からデコード処理モジュール14に暗号処理済データが送信される(タイミングT14,T16)。
この被暗号処理データの供給と、暗号処理済データの送信は、ストリーム処理モジュール12でのストリーム処理が継続する間、連続的に行なわれる。
この暗号処理の際にストリーム処理モジュール12,暗号処理モジュール13それぞれでの処理量を確認することで、暗号処理の秘匿性を向上することができる。なお、この詳細は後述する。
【0031】
(4)データ供給停止コマンドの発行(図4のステップS14,図5のタイミングT17)
入力部16からの一時停止指示の入力等によりストリーム処理モジュール12からのデータ供給が停止される場合、被暗号処理データが供給されない状態に移行する前に、ストリーム処理モジュール12から暗号処理モジュール13にデータ供給停止コマンドを発行する。
【0032】
(5)暗号処理・タイムアウト処理の停止(図4のステップS15,図5のタイミングT17)
データ供給停止コマンドを受けた暗号処理モジュール13は、状態記憶部136中の停止状態情報を「動作中」から「停止中」に書き替える。この結果、暗号処理モジュール13の状態は、認証済みかつ暗号処理停止状態に移行され、暗号処理モジュール13での暗号処理およびタイムアウト処理が停止される。
【0033】
1)暗号処理の停止
暗号処理が停止していることは、暗号処理モジュール13の暗号処理の秘匿性の保持に役立つ。例えば、ストリーム処理モジュール12からの被暗号処理データの供給停止中に攻撃者がストリーム処理モジュール12に代わって被暗号処理データを供給したとしても(タイミングT18),これに対応する暗号処理済データの返信は行われない(タイミングT19)。このため、攻撃者が暗号処理前後のデータから暗号化アルゴリズムや暗号鍵を解析することはできない。
なお、この攻撃者として、光ディスク、あるいはネットワーク等から光ディスク装置10に送り込まれた寄生プログラムを挙げることができる。光ディスク装置10がネットワークに接続可能な場合には、このような攻撃にさらされる可能性が大きくなる。
【0034】
ここで、認証済みかつ暗号処理停止の状態において供給されたデータは不正データとみなすルールを設定できる。このようにすることで、攻撃者の被暗号処理データが暗号処理モジュール13に供給された場合、不正なデータ供給の検出が行なえる。管理部131が不正なデータを検出し、警告を発する。
また、この検出に対応して、不正データの破棄や、処理自体の全面的な終了といった対策を取ることができ、攻撃の更なる無効化が可能である。
【0035】
このような不正データの検出は、正規の被暗号処理が停止している期間におけるセキュリティ向上手段として価値がある。
一般に暗号処理モジュール13の処理スループットには上限がある。このため、ストリーム処理モジュール12から正規の被暗号処理データの供給中に、攻撃者が不正な被暗号処理データを供給すると、正規の暗号処理済データの単位時間あたりの暗号処理可能量が減少する。この暗号処理可能量の減少を利用して、正規の被暗号処理データを供給しているストリーム処理モジュール12側で異常の検出を行うことが可能である。
【0036】
・比較例1
図6は、本発明の比較例に係る光ディスク装置10xでの処理シーケンスに対する攻撃の1例を示すシグナルフローグラフであり、図5と同様に、ストリーム処理モジュール12x,暗号処理モジュール13x,デコード処理モジュール14x間での情報の流れを表す。
ストリーム処理モジュール12xの認証を経て、暗号処理済データを得るまでは、図5と同様である(図6のタイミングT51〜T56,図5のタイミングT11〜T16)。
ここで、ストリーム処理モジュール12x側で、処理すべきストリームが停止された場合、暗号処理モジュール13xでの認証済み状態が確立したまま、被暗号処理データが供給されない状態になる。
【0037】
この状況で、攻撃者51が、ストリーム処理モジュール12x,暗号処理モジュール13x,デコード処理モジュール14x間の通信路に侵入し、攻撃者の被暗号処理データを供給し、暗号処理済データを取得したとする。攻撃者は、暗号処理前後のデータを収集することで、暗号処理モジュール13x内の秘密鍵や秘密の暗号処理アルゴリズムの推定などを行える。
【0038】
これに対して、本実施形態では、暗号処理モジュール13での暗号処理が停止されているために、攻撃者が被暗号処理データを供給しても、暗号処理済データを取得することはできない。データ供給再開コマンドの発行前にデータを供給したことで、このデータを不正データとして検出することも可能になる。
【0039】
2)タイムアウト処理の停止
暗号処理モジュール13は、認証以降、被暗号処理データの供給が所定期間停止しているときに、タイムアウト処理を実施し、認証状態を解除するのが通例である。暗号処理モジュール13の状態が停止状態の場合には、このタイムアウト処理が停止される。
このタイムアウト処理は、ストリーム処理モジュール12側の障害等に対処して、システムを安定な状態に保つために行われる。しかしながら、ストリーム供給の停止の原因が、ストリーム処理モジュール12側の障害によるものか、ユーザの一時停止指示等によるものか、その確認が困難な場合がある。ストリーム供給の停止の発生のたびに、タイムアウト処理を行なうと、ストリーム供給の再開時に、認証を再度実施する必要があり、暗号処理が迅速に再開できない可能性がある。
【0040】
タイムアウト処理を停止することで、このような事態の発生を防止できる。即ち、ストリーム処理モジュール12側でユーザの一時停止指示など、正常な事象でのデータ供給停止時には、データ供給停止コマンドを発効し、認証済みかつ暗号処理停止の状態に移行させることができる。暗号処理モジュール13では、ストリーム処理モジュール12側をタイムアウトさせる必要がなくなり、認証済みの状態を維持できる。
なお、データ供給の停止期間は、例えば、定期的にタイマ割り込みを発生させ、データの供給が最後に行なわれてからのタイマ割込み回数を計数することで計時できる。
【0041】
・比較例2
図7は、本発明の比較例に係る光ディスク装置10yでのタイムアウト処理の1例を示すシグナルフローグラフであり、図5と同様に、ストリーム処理モジュール12y,暗号処理モジュール13y,デコード処理モジュール14y間での情報の流れを表す。
ストリーム処理モジュール12yが認証を経て、暗号処理済データを得るまでは、図5と同様である(図7のタイミングT61〜T66,図5のタイミングT11〜T16)。
ここで、ストリーム処理モジュール12y側で、処理すべきストリームが停止させた場合、暗号処理モジュール13y内での認証済み状態が確立したまま、被暗号処理データが供給されない状態になる。
【0042】
暗号処理モジュール13への被暗号処理データの供給が一定期間ない場合、タイムアウト処理が実施され、断絶処理(認証の解除、および必要であればその通知)等が行なわれる。ストリーム供給の停止のたびに断絶処理を行なうと、ストリーム供給の再開時に認証を再度実施する必要があり、暗号処理が迅速に再開できない可能性がある。
これに対して、本実施形態では、ストリーム供給が停止されても、認証状態が解除されないので、暗号処理を迅速に再開できる。
【0043】
(6)データ供給再開コマンドの発行(図4のステップS16,図5のタイミングT20)
ストリーム処理モジュール12からのデータ供給を再開する場合は、ストリーム処理モジュール12からデータ供給再開コマンドを発行することとし、暗号処理モジュール13の状態を、認証済みかつ暗号処理可能な状態に移行させる。
【0044】
(7)復号化処理の再開(図4のステップS17、図5のタイミングT21以降)
復号化処理が再開される。ストリーム処理モジュール12が認証済みの状態が保持されていることから、被暗号処理データの供給を迅速に再開できる。
暗号処理モジュール13が暗号処理可能な状態(状態記憶部136中の停止状態情報が「動作中」)のときに、ストリーム処理モジュール12から暗号処理モジュール13に被暗号処理データを供給すると(タイミングT21)、暗号処理モジュール13内で暗号処理が行なわれ、暗号処理モジュール13からデコード処理モジュール14に暗号処理済データが送信される(タイミングT22)。
【0045】
以上のように、ストリーム処理モジュール12が、認証成功後、被暗号処理データの供給を一時的に停止する際に、暗号処理モジュール13にデータ供給の停止を示すコマンドを発行し、再開のコマンドが発行されるまでの間、暗号処理を停止する。このようにして、攻撃者が暗号処理モジュール13にデータを供給する攻撃を排除できる。このとき、供給されたデータの排除等の措置を取ることも可能である。
また、ストリーム処理モジュール12が不具合などで正しく被暗号処理データの供給が行なえなくなった際に、タイムアウト制御を行えるようになり、攻撃者のデータ供給の攻撃を行なえる時間を短くし、また、システムの安定化を図ることが可能となる。
【0046】
(暗号処理中における暗号処理の秘匿性の向上)
前述のように、暗号処理の際にストリーム処理モジュール12,暗号処理モジュール13それぞれでの処理量を確認することで、暗号処理の秘匿性を向上できる。即ち、ストリーム処理モジュール12が暗号処理モジュール13に被暗号化データを供給している状況において、攻撃者がデータを挿入する攻撃をより確実に排除できる。
以下、この処理量の確認による秘匿性の向上の詳細を説明する。
【0047】
A. ストリーム処理モジュール12,暗号処理モジュール13それぞれが、処理したストリームの量(データ量そのもの、データをパケットとして通信している場合のパケット数、ID数(パケットを識別する識別情報)など)を通知し、お互いに処理量を確認する。
【0048】
この通知、確認は、必ずしも双方向で行う必要はなく、一方向のみでも行える。例えば、ストリーム処理モジュール12が被暗号処理データの供給量を暗号処理モジュール13に通知し、暗号処理モジュール13が被暗号処理データの暗号処理量と、通知された被暗号処理データの供給量とが一致するか否かを確認する。また、暗号処理モジュール13が暗号処理した被暗号処理データの量をストリーム処理モジュール12に通知し、ストリーム処理モジュール12が被暗号処理データの供給量と、通知された被暗号処理データの暗号処理量とが一致するか否かを確認する。
【0049】
この通知は、被暗号処理データ、暗号処理済データの送信に対応して行っても良いし(常に送信)、定期的に送信しても良い。常に送信すれば、定期的な送信と比べて、保護の確実性が向上する(定期的なチェックでは、チェック間の未チェック期間に攻撃を受ける可能性がある)。一方、定期的に送信すると処理の負担が低減される。即ち、通知の頻度は処理負担と秘匿性のバランスによって決定できる。
この通知は、被暗号化データ、暗号化データを送信するためのパケットに含めてもよいし、これらのパケットとは別個のパケットとしても差し支えない。
【0050】
この通知の内容は、改竄等を防ぐため、暗号化して送るのが好ましい。
暗号化には次の1)、2)のような方式を利用できる。
1)共通鍵暗号方式
ストリーム処理モジュール12,暗号処理モジュール13双方の処理量を同一の暗号鍵で暗号化して送信する。共通の暗号鍵を用いることで暗号処理の負担を低減できる。
2)署名認証方式
通知内容に送信側が署名して受信側がその署名を確認することでセキュリティを向上できる。送信者の確実性を向上できる。
【0051】
B. データの処理量を通知する替わりに、次の(1)、(2)に示すような手段を採用することで実質的に同様の効果が得られる。
(1)暗号処理モジュール13で処理したデータ量を計測するカウンタを、ストリーム処理モジュール12から、定期的に(または常に)確認する。即ち、暗号処理したデータ量を暗号処理モジュール13が記憶部15に書き込み、ストリーム処理モジュール12が読み出す。このようにして、暗号処理モジュール13からストリーム処理モジュール12に処理量を通知したのと実質的に同様の結果が得られる。
この場合、カウンタ上の記録を暗号化することで、攻撃者からの不正なアクセスから保護することが好ましい。
【0052】
(2)暗号処理モジュール13がソフトウェアで実装されている場合に、ストリーム処理モジュール12が暗号処理モジュール13に供給したストリーム量を定期的に(または常に)確認する。
暗号処理モジュール13がソフトウェアで実装されている場合には、ストリーム処理モジュール12が暗号処理モジュール13での暗号処理量を確認することは比較的容易であるので、ストリーム処理モジュール12が供給量を確認し、両者を比較すればよい。
【0053】
(処理量の確認および暗号処理停止の関係)
以上の処理量の確認は被暗号処理データの供給中、停止中の何れにも適用することができる。このようにすると、被暗号処理データの停止中におけるセキュリティの大幅な向上が図られる。
一方、被暗号処理データの供給中は処理量の確認により、被暗号処理データの供給停止中は暗号処理の停止により、セキュリティを保持することも可能である。被暗号処理データの供給停止中での処理量の確認を不要とすることで、被暗号処理データの供給停止中における処理の負担が軽減される。
【0054】
処理量の確認のみを適用し、暗号処理の停止を適用しない場合には、停止状態への移行直後に攻撃者にデータを送信されたとき、その検出に時間を要する可能性がある。この場合、暗号処理モジュール13で暗号処理が行なわれ、処理結果が攻撃者により読み取られるおそれがある。
このように、処理量の確認と暗号処理停止とを併用することで、処理量の確認を定期的に行っている場合に、この定期的な確認に先立って攻撃を防ぐことが可能となる。
【0055】
(その他の実施形態)
本発明の実施形態は上記の実施形態に限られず拡張、変更可能であり、拡張、変更した実施形態も本発明の技術的範囲に含まれる。
【0056】
例えば、ストリーム処理モジュールとデコード処理モジュールを全体として、ホストシステムとして考え、暗号処理モジュールと対比することもできる。この場合には、図5のタイミングT15,T16での被暗号処理データ、暗号処理済データの送受信は、ホストシステムと暗号処理モジュール間で行っていることになる。
【0057】
被暗号処理データ供給の停止時に、暗号処理の停止およびタイムアウト処理の一方のみを実行することも可能である。また、処理量の確認と、暗号処理の停止の一方のみを適用することも可能である。これら3つの処理は、その1つのみ、適宜な2つの組み合わせ、3つ全部の組み合わせの何れもが適用可能である。
【図面の簡単な説明】
【0058】
【図1】本発明の一実施形態に係る光ディスク装置を表すブロック図である。
【図2】ストリーム処理モジュールおよび暗号処理モジュールの詳細を表すブロック図である。
【図3】記憶部15中の記憶領域を表す模式図である。
【図4】光ディスク装置の動作手順の一例を表すフロー図である。
【図5】光ディスク装置中のストリーム処理モジュール、暗号処理モジュール1デコード処理モジュール間での情報の流れを表すシグナルフローグラフである。
【図6】本発明の比較例に係る光ディスク装置での処理シーケンスに対する攻撃の1例を示すシグナルフローグラフである。
【図7】本発明の比較例に係る光ディスク装置でのタイムアウト処理の1例を示すシグナルフローグラフである。
【符号の説明】
【0059】
10…光ディスク装置、11…光ディスクドライブ、12…ストリーム処理モジュール、13…暗号処理モジュール、14…デコード処理モジュール、15…記憶部、16…入力部、17…表示部、18…音声出力部、121…認証部、122…鍵生成指示部、123…ストリーム処理部、124…データ供給停止通知部、125…データ供給再開通知部、131…管理部、132…認証部、133…鍵生成部、134…暗号処理部、135…タイムアウト処理部、136…状態記憶部、AC1,AC2…共用領域、AE1〜AE3…専用領域、AE1…ストリーム処理用領域、AE2…暗号処理用領域、AE3…デコード処理用領域
【特許請求の範囲】
【請求項1】
暗号化または復号化するための被暗号処理データを供給する被暗号処理データ供給部と、
前記被暗号処理データ供給部から供給される被暗号処理データを暗号化または復号化する暗号処理部と、
前記被暗号処理データ供給部からの被暗号処理データの供給が停止されることを通知するデータ供給停止通知部と、
前記データ供給停止通知部からの被暗号処理データの供給停止通知に応じて、前記暗号処理部による暗号処理を停止させる暗号処理停止制御部と、
前記被暗号処理データ供給部からの被暗号処理データの供給が再開されることを通知するデータ供給再開通知部と、
前記データ供給再開通知部からの被暗号処理データの供給再開通知に応じて、前記暗号処理部による暗号処理を再開させる暗号処理再開制御部と、
を具備することを特徴とする暗号処理システム。
【請求項2】
前記データ供給停止通知部からの被暗号処理データの供給停止通知の後、前記データ供給再開通知部からの被暗号処理データの供給再開通知の前に、前記暗号処理部に被暗号処理データが供給されたときに警告を発する警告部
をさらに具備することを特徴とする請求項1記載の暗号処理システム。
【請求項3】
前記被暗号処理データ供給部を認証する認証部をさらに具備し、
前記暗号処理部が、前記認証部で認証された前記被暗号処理データ供給部から供給される被暗号処理データを暗号処理する
ことを特徴とする請求項1記載の暗号処理システム。
【請求項4】
前記被暗号処理データ供給部からの被暗号処理データの供給が所定期間停止したときに、前記認証部による前記被暗号処理データ供給部の認証を解除する認証解除処理部と、
前記データ供給停止通知部からの被暗号処理データの供給停止通知に応じて、前記認証解除処理部による認証解除処理を停止させる認証解除処理停止制御部と、
前記データ供給再開通知部からの被暗号処理データの供給再開通知に応じて、前記認証解除処理部による認証解除処理を再開させる認証解除処理再開制御部と、
をさらに具備することを特徴とする請求項3記載の暗号処理システム。
【請求項5】
前記被暗号処理データ供給部からの被暗号処理データの供給量と、前記暗号処理部での暗号処理量とが対応しないときに警告を発する警告部、
をさらに具備することを特徴とする請求項1記載の暗号処理システム。
【請求項6】
被暗号処理データ供給部からの、暗号処理部で暗号化または復号化するための被暗号処理データの供給が停止されることを通知するデータ供給停止通知ステップと、
前記被暗号処理データの供給停止通知に応じて、前記暗号処理部での暗号処理を停止させる暗号処理停止ステップと、
前記被暗号処理データの供給が再開されることを通知するデータ供給再開通知ステップと、
前記被暗号処理データの供給再開通知に応じて、前記暗号処理部による暗号処理を再開させる暗号処理再開制御ステップと、
を具備することを特徴とする暗号処理方法。
【請求項7】
前記被暗号処理データの供給停止通知の後、前記被暗号処理データの供給再開通知の前に、前記暗号処理部に被暗号処理データが供給されたときに警告を発する警告ステップ
をさらに具備することを特徴とする請求項6記載の暗号処理方法。
【請求項8】
前記被暗号処理データ供給部を認証する認証ステップと、
前記認証ステップで認証された前記被暗号処理データ供給部から供給される被暗号処理データを前記暗号処理部で暗号処理するステップと、
をさらに具備することを特徴とする請求項6記載の暗号処理方法。
【請求項9】
前記被暗号処理データ供給部からの被暗号処理データの供給が所定期間停止したときに、前記被暗号処理データ供給部の認証を解除する認証解除部の認証解除処理を、前記被暗号処理データの供給停止通知に応じて、停止させる認証解除処理停止ステップと、
前記被暗号処理データの供給再開通知に応じて、前記認証解除処理部による認証解除処理を再開させる認証解除処理再開ステップと、
をさらに具備することを特徴とする請求項8記載の暗号処理方法。
【請求項10】
前記被暗号処理データ供給部からの被暗号処理データの供給量と、前記暗号処理部での暗号処理量とが対応しないときに警告を発する警告ステップ、
をさらに具備することを特徴とする請求項6記載の暗号処理方法。
【請求項1】
暗号化または復号化するための被暗号処理データを供給する被暗号処理データ供給部と、
前記被暗号処理データ供給部から供給される被暗号処理データを暗号化または復号化する暗号処理部と、
前記被暗号処理データ供給部からの被暗号処理データの供給が停止されることを通知するデータ供給停止通知部と、
前記データ供給停止通知部からの被暗号処理データの供給停止通知に応じて、前記暗号処理部による暗号処理を停止させる暗号処理停止制御部と、
前記被暗号処理データ供給部からの被暗号処理データの供給が再開されることを通知するデータ供給再開通知部と、
前記データ供給再開通知部からの被暗号処理データの供給再開通知に応じて、前記暗号処理部による暗号処理を再開させる暗号処理再開制御部と、
を具備することを特徴とする暗号処理システム。
【請求項2】
前記データ供給停止通知部からの被暗号処理データの供給停止通知の後、前記データ供給再開通知部からの被暗号処理データの供給再開通知の前に、前記暗号処理部に被暗号処理データが供給されたときに警告を発する警告部
をさらに具備することを特徴とする請求項1記載の暗号処理システム。
【請求項3】
前記被暗号処理データ供給部を認証する認証部をさらに具備し、
前記暗号処理部が、前記認証部で認証された前記被暗号処理データ供給部から供給される被暗号処理データを暗号処理する
ことを特徴とする請求項1記載の暗号処理システム。
【請求項4】
前記被暗号処理データ供給部からの被暗号処理データの供給が所定期間停止したときに、前記認証部による前記被暗号処理データ供給部の認証を解除する認証解除処理部と、
前記データ供給停止通知部からの被暗号処理データの供給停止通知に応じて、前記認証解除処理部による認証解除処理を停止させる認証解除処理停止制御部と、
前記データ供給再開通知部からの被暗号処理データの供給再開通知に応じて、前記認証解除処理部による認証解除処理を再開させる認証解除処理再開制御部と、
をさらに具備することを特徴とする請求項3記載の暗号処理システム。
【請求項5】
前記被暗号処理データ供給部からの被暗号処理データの供給量と、前記暗号処理部での暗号処理量とが対応しないときに警告を発する警告部、
をさらに具備することを特徴とする請求項1記載の暗号処理システム。
【請求項6】
被暗号処理データ供給部からの、暗号処理部で暗号化または復号化するための被暗号処理データの供給が停止されることを通知するデータ供給停止通知ステップと、
前記被暗号処理データの供給停止通知に応じて、前記暗号処理部での暗号処理を停止させる暗号処理停止ステップと、
前記被暗号処理データの供給が再開されることを通知するデータ供給再開通知ステップと、
前記被暗号処理データの供給再開通知に応じて、前記暗号処理部による暗号処理を再開させる暗号処理再開制御ステップと、
を具備することを特徴とする暗号処理方法。
【請求項7】
前記被暗号処理データの供給停止通知の後、前記被暗号処理データの供給再開通知の前に、前記暗号処理部に被暗号処理データが供給されたときに警告を発する警告ステップ
をさらに具備することを特徴とする請求項6記載の暗号処理方法。
【請求項8】
前記被暗号処理データ供給部を認証する認証ステップと、
前記認証ステップで認証された前記被暗号処理データ供給部から供給される被暗号処理データを前記暗号処理部で暗号処理するステップと、
をさらに具備することを特徴とする請求項6記載の暗号処理方法。
【請求項9】
前記被暗号処理データ供給部からの被暗号処理データの供給が所定期間停止したときに、前記被暗号処理データ供給部の認証を解除する認証解除部の認証解除処理を、前記被暗号処理データの供給停止通知に応じて、停止させる認証解除処理停止ステップと、
前記被暗号処理データの供給再開通知に応じて、前記認証解除処理部による認証解除処理を再開させる認証解除処理再開ステップと、
をさらに具備することを特徴とする請求項8記載の暗号処理方法。
【請求項10】
前記被暗号処理データ供給部からの被暗号処理データの供給量と、前記暗号処理部での暗号処理量とが対応しないときに警告を発する警告ステップ、
をさらに具備することを特徴とする請求項6記載の暗号処理方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2006−101374(P2006−101374A)
【公開日】平成18年4月13日(2006.4.13)
【国際特許分類】
【出願番号】特願2004−287090(P2004−287090)
【出願日】平成16年9月30日(2004.9.30)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
【公開日】平成18年4月13日(2006.4.13)
【国際特許分類】
【出願日】平成16年9月30日(2004.9.30)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
[ Back to top ]