監視装置
【課題】暗号化した改竄検出に関する管理情報ファイルに対して生成した擬似ファイルの特定を困難にする監視装置を提供すること。
【解決手段】通常処理部(101)から通知された管理情報ファイル(208、209)が擬似であるか否かを判定し、管理情報ファイルが擬似である場合(208の場合)は、擬似改竄検出管理部(205)に通知を行い、管理情報ファイルが擬似でない場合(209の場合)は、改竄検出処理を行う保護改竄検出制御部(203)と、保護改竄検出制御部(203)が取得した管理情報ファイルが擬似であると判定した場合に、保護改竄検出制御部による改竄検出処理を擬似する擬似改竄検出管理部とを備え、擬似改竄検出管理部(205)は、保護改竄検出制御部(203)の処理に要する時間を、スリープ時間としてあらかじめ保持しており、保持しているスリープ時間だけスリープ処理を行う。
【解決手段】通常処理部(101)から通知された管理情報ファイル(208、209)が擬似であるか否かを判定し、管理情報ファイルが擬似である場合(208の場合)は、擬似改竄検出管理部(205)に通知を行い、管理情報ファイルが擬似でない場合(209の場合)は、改竄検出処理を行う保護改竄検出制御部(203)と、保護改竄検出制御部(203)が取得した管理情報ファイルが擬似であると判定した場合に、保護改竄検出制御部による改竄検出処理を擬似する擬似改竄検出管理部とを備え、擬似改竄検出管理部(205)は、保護改竄検出制御部(203)の処理に要する時間を、スリープ時間としてあらかじめ保持しており、保持しているスリープ時間だけスリープ処理を行う。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アプリケーションプログラムに対する不正な改竄を監視する装置に関し、特に、擬似ファイルを用いて対象ファイルの特定を困難にする監視装置に関するものである。
【背景技術】
【0002】
インターネットなどを介して、外部から送り込まれたウィルスなどによって、アプリケーションプログラムが不正に改竄、破壊等されることが問題となっている。以下、アプリケーションプログラムに対する不正な変更は、「改竄」と総称する。
【0003】
悪意のある第三者による外部からの攻撃に対する対策の一つとして、外部から対象ファイルの特定を困難にすることで、このファイルが改竄されることを防ぐ技術があった(例えば、特許文献1参照)。この技術では、アプリケーションが生成した生成ファイルの擬似ファイルを複数生成し、ファイル名を変換するとともにファイル名と変換後のファイル名を内部管理しておくことで、外部からは本物の生成ファイルの特定を困難にする技術である。つまり、従来技術では、擬似ファイルを複数用意することで、外部からの総当り攻撃に対し、本物のファイルの特定を困難にすることができた。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2007−207102号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、前記従来の技術では、擬似ファイルに対する処理と本物のファイルに対する処理時間に差がある場合、それぞれのファイルに対する処理時間を計測することによって、擬似ファイルと本物のファイルの特定が可能となるという課題を有していた。
【0006】
本発明は、前記従来の課題を解決するもので、対象ファイルの特定を困難にするための擬似ファイルをセキュアな環境で処理する際、擬似処理を行うことによって、擬似ファイルを特定されにくくする監視装置を提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明の監視装置は、改竄検出対象ファイルの改竄有無を監視する監視装置であって、前記改竄検出対象ファイルの改竄検出に関する管理情報ファイルと、少なくとも1つ以上の擬似の管理情報ファイルと、前記改竄検出対象ファイルを記憶した記録媒体を有し、前記記憶媒体に記憶されている管理情報ファイルを取得し、前記取得した管理情報ファイルが擬似であるか否かを判定し、擬似でない場合に、前記管理情報ファイルと前記改竄検出対象ファイルの改竄有無を判定する改竄検出処理を行う保護改竄検出制御部と、
前記保護改竄検出制御部が前記取得した管理情報ファイルが擬似であると判定した場合に、前記保護改竄検出制御部による改竄検出処理を擬似する擬似改竄検出管理部とを備え、
前記取得した管理情報ファイルが擬似である場合の処理時間と、前記取得した管理情報ファイルが擬似でない場合の処理時間との差異を少なくすることを特徴とする。
【0008】
本構成によって、暗号化した改竄検出に関する管理情報ファイルに対し、本物のファイルの特定を困難にするための擬似ファイルをセキュアな環境で処理する際、擬似処理を行うことによって、擬似ファイルを特定されにくくすることができる。
【発明の効果】
【0009】
本発明の監視装置によれば、暗号化した改竄検出に関する管理情報ファイルに対して生成した擬似ファイルの特定を困難にすることで、管理情報ファイルへの外部からの総当たり攻撃に対する耐性を強化することができる。
【図面の簡単な説明】
【0010】
【図1】本発明の実施の形態1における監視装置の構成の一例を示すブロック図
【図2】本発明の実施の形態1における改竄検出に関する管理情報ファイルの一例を示す図
【図3】本発明の実施の形態1における監視装置のシーケンス図
【図4】本発明の実施の形態1における監視装置の保護処理部の処理フロー図
【図5】本発明の実施の形態1における監視装置の保護処理部の処理フロー図
【図6】本発明の実施の形態2における監視装置の構成の一例を示すブロック図
【図7】本発明の実施の形態2における監視装置の保護処理部の処理フロー図
【図8】本発明の実施の形態2における監視装置の保護処理部の処理フロー図
【図9】本発明の実施の形態3における監視装置の構成の一例を示すブロック図
【発明を実施するための形態】
【0011】
以下本発明の実施の形態について、図面を参照しながら説明する。
【0012】
(実施の形態1)
図1は、本発明の実施の形態における監視装置(100)の構成の一例を示すブロック図である。
【0013】
図1において、監視装置(100)は、アプリケーションプログラムの改竄有無を監視する機能を有している。監視装置(100)が改竄を検出した場合は、例えばアプリケーションプログラムを停止もしくは削除することによって、改竄されたアプリケーションプログラムの不正実行を防止する。
【0014】
監視装置(100)は、通常処理部(101)と保護処理部(102)と記憶媒体(202)と共有メモリ(215)を備えている。
【0015】
通常処理部(101)は、通常のアプリケーションを実行する。通常のアプリケーションは、例えば、不正に改竄されてはならない音楽再生アプリケーションプログラムなどであり、コンテンツプロバイダなどが提供している音楽データを再生する。
【0016】
保護処理部(102)は、通常のアプリケーションからは読み込み及び書き込みできない保護された処理部であり、例えば通常のアプリケーション実行するハードウェア(CPUやメモリなど)とは別のハードウェアで実行する。
【0017】
記録媒体(202)は、暗号化された改竄検出に関する管理情報を記憶する。暗号化アルゴリズムは、例えばAESやDESなど何でもよい。改竄検出に関する管理情報ファイル(208、209)は、例えば、改竄検出対象ファイルのファイルパスとハッシュ値の対と、管理情報ファイル自身のハッシュ値と、管理情報ファイルが擬似であるか否かのインデックスと、復号化鍵を選択する鍵インデックスを備えている。詳細は、図を用いて後で説明する。ハッシュ値を計算するためのアルゴリズムはSHA−1など何でもよい。なお、図1の第1の管理情報ファイル(208)は、擬似ファイルであり、第2の管理情報ファイル(209)は、本物のファイルである。また、図1には、擬似ファイルを1つのみ図示しているが、1つの本物のファイルに対して、2個以上の擬似ファイルを記憶してもよい。
【0018】
共有メモリ(215)は、通常処理部(101)と保護処理部(102)の両方から参照できるメモリである。
【0019】
上記構成により、監視装置(100)の保護処理部(102)は、記憶媒体(202)が記憶している改竄検出に関する管理情報ファイルを用いて、通常処理部(101)で実行する、通常のアプリケーションの改竄有無を監視する。なお、保護処理部(102)は、入力された管理情報ファイルが、擬似ファイルである場合と、本物のファイルである場合で、異なる処理を行う。詳細は、後で説明する。
【0020】
通常処理部(101)は、ファイルシステム部201と、通常改竄検出制御部200とを備えている。
【0021】
ファイルシステム部(201)は、例えばNTFSやEXT2などであり、記録媒体(202)からファイルをリードもしくはライトする機能を有している。
【0022】
通常改竄検出制御部(200)は、ファイルシステム部(201)を介して、記憶媒体(202)から管理情報ファイル(208、209)を取得する。次に、通常改竄検出制御部(200)は、保護処理部(102)に渡すために、取得した管理情報ファイルを、バイナリデータとして共有メモリ(215)にコピーする。なお、記憶媒体(202)に記憶されている管理情報ファイル(208、209)は、改竄検出対象ファイル(210)である通常アプリケーションプリグラムの改竄検出に用いる、管理情報ファイルであり、暗号化されている。また、前述した通り、第1の管理情報ファイル(208)は、擬似ファイルであり、第2の管理情報ファイル(209)は、本物のファイルである。
【0023】
保護処理部(102)は、保護改竄検出制御部(203)と、復号部(204)と、擬似改竄検出管理部(205)と、鍵選択部(206)と、処理部能力変更部(207)とを備えている。
【0024】
鍵選択部(206)は、管理情報ファイル(208、209)に含まれる鍵インデックスに対応する鍵を選択する。鍵は、AESの場合、例えば128ビット、192ビット、256ビットのデータである。
【0025】
復号部(204)は、鍵選択部(206)が選択した鍵を用いて、管理情報ファイル(208、209)を復号する。復号処理は、暗号エンジンなどのハードウェアもしくはソフトウェア実装で実現される。
【0026】
保護改竄検出制御部(203)は、通常処理部(101)から通知された管理情報ファイル(208、209)が擬似であるか否かを判定する。管理情報ファイルが擬似である場合(208の場合)は、擬似改竄検出管理部(205)に通知を行い、応答を待つ。管理情報ファイルが擬似でない場合(209の場合)は、管理情報ファイルのハッシュ値を計算し、計算して求めたハッシュ値と、管理情報ファイルに含まれる管理情報ファイル自身のハッシュ値を比較する。これにより、保護改竄検出制御部(203)は、管理情報ファイル(209)の改竄有無を判定する。さらに、保護改竄検出制御部(203)は、管理情報ファイル(209)が改竄されていない場合に、管理情報ファイル(209)に基づいて、通常処理部(101)から取得した改竄検出対象ファイル(210)のハッシュ値を計算する。次に、保護改竄検出制御部(203)は、計算して求めたハッシュ値と、管理情報ファイルに含まれる改竄検出対象ファイルのハッシュ値を比較する。これにより、保護改竄検出制御部(203)は、改竄検出対象ファイル(210)の改竄有無を判定する。管理情報ファイル(209)または改竄検出対象ファイル(210)に改竄がある場合は、保護解散検出制御部(203)は、処理部能力変更部(207)に通知を行う。
【0027】
処理部能力変更部(207)は、保護改竄検出制御部(203)から通知を受けると、改竄有無を監視する処理を停止し、監視装置(100)の機能停止を行う。
【0028】
擬似改竄検出管理部(205)は、保護改竄検出制御部(203)から通知を受けると、管理情報ファイル又は改竄検出対象ファイルに対する改竄有無を判定するための、保護改竄検出制御部203の改竄検出処理を擬似する。擬似する方法として、例えば、保護改竄検出制御部(203)の処理に要する時間を、擬似改竄検出管理部(205)が、スリープ時間としてあらかじめ保持しており、保持しているスリープ時間だけスリープ処理を行う。なお、このスリープ時間は、管理情報ファイルに対する改竄検出処理のスリープ時間と、改竄検出対象ファイルに対する改竄検出処理のスリープ時間と、異なる時間を保持してもよい。
【0029】
以上の構成により、本発明は、改竄検出に関する管理情報ファイルに対する、複数の擬似ファイルにより、本物のファイルの特定を困難にするだけでなく、擬似ファイルに対する擬似処理を行うことで、本物のファイルの特定をより困難にする。つまり、擬似ファイルの処理時間と本物のファイルの処理時間の差異を少なくすることで、各ファイルに対する処理時間を計測しても、擬似の改竄検出処理であることを特定されにくくなる。
【0030】
また、擬似処理としてのスリープ処理を行うことで、ハッシュ演算器などのハードウェアリソースを無駄に使用することがない。
【0031】
図2は、改竄検出に関する管理情報ファイルの一例を示した図である。これは、図1の第1の管理情報ファイル(208)又は第2の管理情報ファイル(209)に相当する。
【0032】
管理情報ファイルは、暗号部と非暗号部で構成される。
【0033】
非暗号部には、暗号部を復号するための鍵を、一意に決める鍵インデックスが記載される。
【0034】
鍵選択部(206)が、鍵インデックスを用いて、鍵を選択し、復号部(204)が、選択された鍵を用いて、管理情報ファイルの暗号部を復号する。
【0035】
暗号部には、改竄検出対象ファイル(210)のファイルパスとハッシュ値の対と、管理情報ファイル自身のハッシュ値と、管理情報ファイルが擬似であるか否かのインデックスと、次の管理情報ファイルへのファイルパスを備えている。なお、改竄検出対象ファイル(210)のファイルパスとハッシュ値の対は、1つの管理情報ファイルの中に複数の対を保持することができる。また、擬似であるか否かのインデックスは、例えば、1ビットの情報であり、ON/OFFが擬似/本物を意味する。また、次の管理情報ファイルへのファイルパスは、本物の管理情報ファイルが複数個存在する場合であり、図中の矢印で示す通り、ファイルパスを用いて、記憶装置202上の次の管理情報ファイルにアクセスすることができる。
【0036】
保護改竄検出制御部(203)は、擬似/本物インデックスを参照することで、管理情報ファイルが擬似であるか否かを判定する。本物と判定した場合、前述した通り、管理情報ファイル又は改竄検出対象ファイルの改竄検出処理を行う。一方、擬似と判定した場合、擬似改竄検出管理部(205)に通知を行い、擬似改竄検出管理部(205)は、擬似の改竄検出処理を行う。つまり、保護改竄検出制御部(203)は、擬似/本物インデックスが擬似インデックスである場合は、通知を行うのみで、実際の改竄検出処理(例えば、ハッシュ値の計算など)は、何も行わない。
【0037】
図3は、本実施の形態における監視装置(100)の、通常処理部(101)と保護処理部(102)間の、改竄検出のシーケンスの一例を示す。なお、改竄されたと判断した場合は、改竄が検出されたタイミングで、この処理を停止するものとする。
【0038】
まず、監視装置(100)の通常処理部(101)が、改竄検出開始の通知を受け、処理を開始する(ステップS1)。
【0039】
ファイルシステム部(201)は、暗号化した改竄検出に関する管理情報ファイル(208、209)を、記憶媒体(202)からリードし、通常改竄検出制御部(200)に通知する(ステップS2)。
【0040】
通常改竄検出制御部(200)は、取得した管理情報ファイル(208、209)を、共有メモリ(215)を介して、保護処理部(102)に送信する(ステップS3)。
【0041】
保護処理部(102)の保護改竄検出制御部(203)は、共有メモリ(215)を介して、管理情報ファイル(208、209)を取得し、取得した管理情報ファイル(208、209)の鍵インデックスを復号部(204)に通知する。復号部(204)は、鍵選択部(206)に、通知された鍵インデックスに対応する鍵の選択を要求する。鍵選択部(206)は、要求に従い、通知された鍵インデックスに対応する鍵を選択し、復号部(204)に、選択結果を返す(ステップS4)。
【0042】
次に、保護処理部(102)は、管理情報ファイルの改竄検出もしくはスリープ処理を行う(ステップA1)。つまり、保護処理部102は、取得した管理情報ファイルが擬似でない場合に、管理情報ファイルの改竄検出処理を行い、取得した管理情報ファイルが擬似である場合に、スリープ処理を行う。この詳細については、後で、別の図面を用いて説明する。なお、ステップA1で改竄が検出されなかった場合に、ステップS11に遷移し、改竄が検出された場合に、処理を停止する。
【0043】
保護改竄検出制御部(203)は、取得した管理情報ファイルに含まれる改竄検出対象ファイル(210)を、通常処理部(101)に要求する(ステップS11)。
【0044】
通常処理部(101)のファイルシステム部(201)は、通常改竄検出制御部(200)から通知を受け、要求された改竄検出対象ファイル(210)を、記憶媒体(202)からリードし、通常改竄検出制御部(200)に通知する(ステップS12)。
【0045】
通常改竄検出制御部(200)は、取得した改竄検出対象ファイル(210)を、共有メモリ(215)を介して、保護処理部(102)に送信する(ステップS13)。
【0046】
保護処理部(102)の保護改竄検出制御部(203)は、共有メモリ(215)を介して、改竄検出対象ファイル(210)を受信する(ステップS14)。
【0047】
次に、保護処理部(102)は、改竄検出対象ファイルの改竄検出もしくはスリープ処理を行う(ステップA2)。つまり、保護処理部(102)は、取得した管理情報ファイルが擬似でない場合に、改竄検出対象ファイルの改竄検出処理を行い、取得した管理情報ファイルが擬似である場合に、スリープ処理を行う。この詳細については、後で、別の図面を用いて説明する。なお、ステップA2で改竄が検出されなかった場合に、ステップS20に遷移し、改竄が検出された場合に、処理を停止する。
【0048】
保護改竄検出制御部(203)は、取得した管理情報ファイルに含まれる他の改竄検出対象ファイル(210)があるか否かを判定する(ステップS20)。他の改竄検出対象ファイルとは、管理情報ファイルに含まれており、且つ、ステップS14で受信していないファイルを意味する。
【0049】
他の改竄検出対象ファイル(210)がある場合は(ステップS20がYes)、ステップS11に遷移し、他の改竄検出対象ファイル(210)を、通常処理部(101)に要求する。これにより、保護処理部(102)は、他の改竄検出対象ファイル(210)に対する改竄検出を繰り返す。
【0050】
他の改竄検出対象ファイル(210)がない場合は(ステップS20がNo)、保護改竄検出制御部(203)は、次の暗号化した改竄検出に関する管理情報ファイルがあるか否かを判定する(ステップS22)。
【0051】
次の暗号化した改竄検出に関する管理情報ファイルがある場合は(ステップS22がYes)、次の暗号化した改竄検出に関する管理情報ファイルを、通常処理部(101)に要求する(ステップS23)。これにより、保護処理部(102)は、次の暗号化した改竄検出に関する管理情報ファイルに対する改竄検出を繰り返す。次の暗号化した改竄検出に関する管理情報ファイルがない場合は(ステップS22がNo)、保護改竄検出制御部(203)は、改竄検出終了を通常処理部(101)に通知し、処理を終了する(ステップS24)。
【0052】
図4は、図3における管理情報ファイルの改竄検出もしくはスリープ処理(ステップA1)の詳細を示す処理フロー図である。復号部(204)が、鍵選択部(206)から選択した鍵を受け取って、処理を開始する。
【0053】
復号部(204)は、選択した鍵を用いて、取得した管理情報ファイル(208、209)を復号し、復号した管理情報ファイル(208、209)を保護改竄検出制御部(203)に通知する(ステップS5)。
【0054】
保護改竄検出制御部(203)は、復号した管理情報ファイル(208、209)が本物であるか否かを判定する(ステップS6)。
【0055】
管理情報ファイルが本物でない場合は(ステップS6がNo)、保護改竄検出制御部(203)は、擬似改竄検出管理部(205)に通知を行う。擬似改竄検出管理部(205)は、保護改竄検出制御部(203)から通知を受けると、スリープすることで、保護改竄検出制御部(203)の管理情報ファイルに対する改竄検出処理を擬似する(ステップS7)。また、擬似改竄検出管理部(205)は、スリープから起床したタイミングで、保護改竄検出制御部(203)に応答し、保護改竄検出制御部(203)は、管理情報ファイルの改竄検出を終了する。
【0056】
管理情報ファイルが本物である場合は(ステップS6がYes)、保護改竄検出制御部(203)は、管理情報ファイルのハッシュ値Aを計算する(ステップS8)。保護改竄検出制御部(203)は、計算して求めたハッシュ値Aと、管理情報ファイルにあらかじめ含まれる管理情報ファイル自身のハッシュ値を比較する(ステップS9)。
【0057】
ハッシュ値が異なる場合(ステップS10がNo)、保護改竄検出制御部(203)は、改竄されたと判断し、処理部能力変更部207に通知する。処理部能力変更部207は、処理を停止して終了する。一方、ハッシュ値が同じである場合(ステップS10がYes)、保護改竄検出制御部(203)は、管理情報ファイルの改竄検出を終了する。
【0058】
図5は、図3における改竄検出対象ファイルの改竄検出もしくはスリープ処理(ステップA2)の詳細を示す処理スロー図である。保護改竄検出制御部(203)が、改竄検出対象ファイルを受信して、処理を開始する。
【0059】
保護改竄検出制御部(203)は、復号した管理情報ファイル(208、209)が本物であるか否かを判定する(ステップS15)。なお、ステップS15の判定は、前述した図4ステップS6と同じであるため、保護改竄検出制御部(203)は、図4ステップS6の結果を別途保持しておき、それを用いてもよい。
【0060】
管理情報ファイルが本物でない場合は(ステップS15がNo)、保護改竄検出制御部(203)は、擬似改竄検出管理部(205)に通知を行う。擬似改竄検出管理部(205)は、保護改竄検出制御部(203)から通知を受けると、スリープすることで、保護改竄検出制御部203の改竄検出対象ファイルに対する改竄検出処理を擬似する(ステップS16)。また、擬似改竄検出管理部(205)は、スリープから起床したタイミングで、保護改竄検出制御部(203)に応答し、保護改竄検出制御部(203)は、改竄検出対象ファイルの改竄検出を終了する。
【0061】
管理情報ファイルが本物である場合は(ステップS15がYes)、保護改竄検出制御部(203)は、改竄検出対象ファイルのハッシュ値Bを計算する(ステップS17)。保護改竄検出制御部(203)は、計算して求めたハッシュ値Bと、管理情報ファイルにあらかじめ含まれる改竄検出対象ファイルのハッシュ値を比較する(ステップS18)。
【0062】
ハッシュ値が異なる場合(ステップS19がNo)、保護改竄検出制御部(203)は、改竄されたと判断し、処理部能力変更部(207)に通知する。処理部能力変更部(207)は、処理を停止して終了する。一方、ハッシュ値が同じである場合(ステップS19)、改竄検出対象ファイルの改竄検出を終了する。
【0063】
以上の構成により、本発明は、改竄検出に関する管理情報ファイルに対する、複数の擬似ファイルにより、本物のファイルの特定を困難にするだけでなく、擬似ファイルに対する擬似処理を行うことで、本物のファイルの特定をより困難にする。つまり、擬似ファイルと本物のファイルの処理時間の差異を少なくすることで、各ファイルに対する処理時間を計測しても、擬似の改竄検出処理であることを特定されにくくなる。
【0064】
また、擬似処理としてのスリープ処理を行うことで、ハッシュ演算器などのハードウェアリソースを無駄に使用することがない。
【0065】
(実施の形態2)
図6は、本発明の実施の形態における監視装置(300)の構成の一例を示すブロック図である。
【0066】
図6の監視装置(300)は、図1と比べて、改竄検出時間履歴管理部(211)とタイマ(212)とDMA(213)を追加し、図1の保護改竄検出制御部(203)と擬似改竄検出管理部(205)と処理部能力変更部(207)を、それぞれ、保護改竄検出制御部(303)と擬似改竄検出管理部(305)と処理部能力変更部(307)に変更したものである。
【0067】
なお、図6のブロック図に含まれる構成要素のうち、実施の形態1と同じ構成要素については、図1と同じものを使用し、説明を省略する。
【0068】
監視装置(300)は、通常処理部(101)と保護処理部(302)と記憶媒体(202)と共有メモリ(215)とタイマ(212)とDMA(213)を備えている。
【0069】
タイマ(212)は、保護処理部(302)から通知を受け、処理に要する時間の計測を行う。具体的には、タイマ(212)は、開始通知を受けると、時間の計測を開始し、終了通知を受けると、時間の計測を終了し、計測結果の時間を返す。
【0070】
DMA(213)は、データ転送を制御するDMA(Direct Memory Accrss)コントローラであって、通常、専用LSIとして実装される。
【0071】
保護処理部(302)は、通常のアプリケーションからは読み込み及び書き込みできない保護された処理部であり、例えば通常のアプリケーション実行するハードウェア(CPUやメモリなど)とは別のハードウェアで実行する。図1の保護処理部(102)との違いは、改竄検出時間履歴管理部(211)と、保護改竄検出制御部(303)と、擬似改竄検出管理部(305)と、処理部能力変後部(307)とを備えていることである。
【0072】
保護改竄検出制御部(303)は、通常処理部(101)から通知された管理情報ファイル(208、209)が擬似であるか否かを判定する。管理情報ファイルが擬似である場合(208の場合)は、擬似改竄検出管理部(305)に通知を行い、応答を待つ。管理情報ファイルが擬似でない場合(209の場合)は、改竄検出時間履歴管理部(211)に改竄検出時間の計測開始を通知する。次に、保護改竄検出制御部(303)は、管理情報ファイルのハッシュ値を計算し、計算して求めたハッシュ値と、管理情報ファイルに含まれる管理情報ファイル自身のハッシュ値を比較する。最後に、保護改竄検出制御部(303)は、改竄検出時間履歴管理部(211)に改竄検出時間の計測終了を通知する。これにより、保護改竄検出制御部(303)は、管理情報ファイル(209)の改竄有無を判定すると共に、その処理時間を測定することができる。さらに、保護改竄検出制御部(303)は、管理情報ファイル(209)が改竄されていない場合に、改竄検出時間履歴管理部(211)に改竄検出時間の計測開始を通知する。次に、保護改竄検出制御部(303)は、管理情報ファイル(209)に基づいて、通常処理部(101)から取得した改竄検出対象ファイル(210)のハッシュ値を計算する。次に、保護改竄検出制御部(303)は、計算して求めたハッシュ値と、管理情報ファイルに含まれる改竄検出対象ファイルのハッシュ値を比較する。最後に、保護改竄検出制御部(303)は、改竄検出時間履歴管理部(211)に改竄検出時間の計測終了を通知する。これにより、保護改竄検出制御部(303)は、改竄検出対象ファイル(210)の改竄有無を判定すると共に、その処理時間を測定することができる。管理情報ファイル(209)または改竄検出対象ファイル(210)に改竄がある場合は、保護改竄検出制御部(303)は、処理部能力変更部(207)に通知を行う。
【0073】
擬似改竄検出管理部(305)は、保護改竄検出制御部(303)から通知を受けると、管理情報ファイル又は改竄検出対象ファイルに対する改竄有無を判定するための、保護改竄検出制御部(303)の改竄検出処理を擬似する。擬似する方法として、例えば、保護改竄検出制御部(303)の処理に要する時間を、タイマ(212)があらかじめ計測し、改竄検出時間履歴管理部(211)が保持している。擬似改竄検出管理部(305)は、この計測時間を用いて、スリープ処理を行う。
【0074】
処理部能力変更部(307)は、保護改竄検出制御部(303)から通知を受けると、DMA(213)を停止する。これにより、処理部能力変更部(307)は、監視装置(100)の機能停止を行う。
【0075】
改竄検出時間履歴管理部(211)は、保護改竄検出制御部(303)の処理に要する時間を管理する。改竄検出時間履歴管理部(211)は、保護改竄検出制御部(303)から改竄検出時間の計測開始が通知されると、タイマ(212)を用いて、計測を開始する。また、改竄検出時間履歴管理部(211)は、保護改竄検出制御部(303)から改竄検出時間の計測終了が通知されると、計測を終了し、タイマ(212)から受け取った計測結果の時間を、計測時間として保持する。なお、改竄検出時間履歴管理部(211)が管理する計測時間は、管理情報ファイルに対する計測時間と、改竄検出対象ファイルに対する計測時間とを分けて、管理してもよい。また、最新の計測時間のみを上書き保存してもよい。さらに、計測時間の平均値を保持してもよい。
【0076】
以上の構成により、本発明は、改竄検出に関する管理情報ファイルに対する、複数の擬似ファイルにより、本物のファイルの特定を困難にするだけでなく、擬似ファイルに対する擬似処理を行うことで、本物のファイルの特定をより困難にする。つまり、実際に計測した処理時間を用いて擬似処理を行うことで、擬似ファイルの処理時間と本物のファイルの処理時間の差異を、より少なくすることができる。特に、本発明の監視装置を備えた情報処理機器が、ハード構成を変更するなど環境が変化した場合でも、最新の環境に適した時間を動的に決定し、擬似処理を行うことが可能となる。
【0077】
図7は、保護処理部(300)における管理情報ファイルの改竄検出もしくはスリープ処理の詳細を示す処理フロー図である。
【0078】
なお、本実施の形態における監視装置(300)の、通常処理部(101)と保護処理部(302)間の、改竄検出のシーケンスは、前述した図3と同様となるため、図7は、図3のステップA1の処理フロー図に相当する。
【0079】
まず、復号部(204)が、鍵選択部(206)から選択した鍵を受け取って、処理を開始する。
【0080】
復号部(204)は、選択した鍵を用いて、取得した管理情報ファイル(208、209)を復号し、復号した管理情報ファイル(208、209)を保護改竄検出制御部(303)に通知する(ステップS31)。
【0081】
保護改竄検出制御部(303)は、復号した管理情報ファイル(208、209)が本物であるか否かを判定する(ステップS32)。
【0082】
管理情報ファイルが本物でない場合は(ステップS32がNo)、保護改竄検出制御部(303)は、擬似改竄検出管理部(305)に通知を行う。擬似改竄検出管理部(305)は、保護改竄検出制御部(303)から通知を受けると、改竄検出時間履歴管理部(211)が保持する計測時間を取得し、取得した計測時間分スリープすることで、保護改竄検出制御部(303)の管理情報ファイルに対する改竄検出処理を擬似する(ステップS33)。また、擬似改竄検出管理部(305)は、スリープから起床したタイミングで、保護改竄検出制御部(303)に応答し、保護改竄検出制御部(303)は、管理情報ファイルの改竄検出を終了する。
【0083】
管理情報ファイルが本物である場合は(ステップS32がYes)、保護改竄検出制御部(303)は、改竄検出時間履歴管理部(211)に改竄検出時間の計測開始を通知する。改竄検出時間履歴管理部(211)は、保護改竄検出制御部(303)から改竄検出時間の計測開始が通知されると、タイマ(212)を用いて、計測を開始する(ステップS34)。
【0084】
保護改竄検出制御部(303)は、管理情報ファイルのハッシュ値Aを計算する(ステップS35)。保護改竄検出制御部(303)は、計算して求めたハッシュ値Aと、管理情報ファイルにあらかじめ含まれる管理情報ファイル自身のハッシュ値を比較する(ステップS36)。
【0085】
保護改竄検出制御部(303)は、改竄検出時間履歴管理部(211)に改竄検出時間の計測終了を通知する。改竄検出時間履歴管理部(211)は、保護改竄検出制御部(303)から改竄検出時間の計測終了が通知されると、計測を終了し、タイマ(212)から受け取った計測結果の時間を、計測時間として保持する(ステップS37)。
【0086】
ハッシュ値が異なる場合(ステップS38がNo)、保護改竄検出制御部(303)は、改竄されたと判断し、処理部能力変更部(307)に通知する。処理部能力変更部(307)は、DMA(213)を停止して、処理を終了する。一方、ハッシュ値が同じである場合(ステップS38がYes)、保護改竄検出制御部(303)は、管理情報ファイルの改竄検出を終了する。
【0087】
図8は、保護処理部(300)における改竄検出対象ファイルの改竄検出もしくはスリープ処理の詳細を示す処理フロー図である。
【0088】
なお、本実施の形態における監視装置(300)の、通常処理部(101)と保護処理部(302)間の、改竄検出のシーケンスは、前述した図3と同様となるため、図8は、図3のステップA2の処理フロー図に相当する。
【0089】
まず、保護改竄検出制御部(303)が、改竄検出対象ファイルを受信して、処理を開始する。
【0090】
保護改竄検出制御部(303)は、復号した管理情報ファイル(208、209)が本物であるか否かを判定する(ステップS41)。なお、ステップS41の判定は、前述した図7ステップS32と同じであるため、保護改竄検出制御部(303)は、図7ステップS32の結果を別途保持しておき、それを用いてもよい。
【0091】
管理情報ファイルが本物でない場合は(ステップS41がNo)、保護改竄検出制御部(303)は、擬似改竄検出管理部(305)に通知を行う。擬似改竄検出管理部(305)は、保護改竄検出制御部(303)から通知を受けると、改竄検出時間履歴管理部(211)が保持する計測時間を取得し、取得した計測時間分スリープすることで、保護改竄検出制御部(303)の改竄検出対象ファイルに対する改竄検出処理を擬似する(ステップS42)。また、擬似改竄検出管理部(305)は、スリープから起床したタイミングで、保護改竄検出制御部(303)に応答し、保護改竄検出制御部(303)は、改竄検出対象ファイルの改竄検出を終了する。
【0092】
管理情報ファイルが本物である場合は(ステップS15がYes)、保護改竄検出制御部(303)は、改竄検出時間履歴管理部(211)に改竄検出時間の計測開始を通知する。改竄検出時間履歴管理部(211)は、保護改竄検出制御部(303)から改竄検出時間の計測開始が通知されると、タイマ(212)を用いて、計測を開始する(ステップS43)。
【0093】
保護改竄検出制御部(303)は、改竄検出対象ファイルのハッシュ値Bを計算する(ステップS44)。保護改竄検出制御部(303)は、計算して求めたハッシュ値Bと、管理情報ファイルにあらかじめ含まれる改竄検出対象ファイルのハッシュ値を比較する(ステップS45)。
【0094】
保護改竄検出制御部(303)は、改竄検出時間履歴管理部(211)に改竄検出時間の計測終了を通知する。改竄検出時間履歴管理部(211)は、保護改竄検出制御部(303)から改竄検出時間の計測終了が通知されると、計測を終了し、タイマ(212)から受け取った計測結果の時間を、計測時間として保持する(ステップS46)。
【0095】
ハッシュ値が異なる場合(ステップS47がNo)、保護改竄検出制御部(303)は、改竄されたと判断し、処理部能力変更部(307)に通知する。処理部能力変更部207は、DMA(213)を停止して、処理を終了する。一方、ハッシュ値が同じである場合(ステップS47がYes)、保護改竄検出制御部(303)は、改竄検出対象ファイルの改竄検出を終了する。
【0096】
以上の構成により、本発明は、改竄検出に関する管理情報ファイルに対する、複数の擬似ファイルにより、本物のファイルの特定を困難にするだけでなく、擬似ファイルに対する擬似処理を行うことで、本物のファイルの特定をより困難にする。つまり、実際に計測した処理時間を用いて擬似処理を行うことで、擬似ファイルの処理時間と本物のファイルの処理時間の差異を、より少なくすることができ、各ファイルに対する処理時間を計測しても、擬似の改竄検出処理であることを特定されにくくなる。特に、本発明の監視装置を備えた情報処理機器が、ハード構成を変更するなど環境が変化した場合でも、最新の環境に適した時間を動的に決定し、擬似処理を行うことが可能となる。
【0097】
さらに、擬似処理としてスリープするため、ハッシュ演算器などのハードウェアリソースを無駄に使用することない。
【0098】
(実施の形態3)
図9は、本発明の実施の形態における監視装置(400)の構成の一例を示すブロック図である。
【0099】
図9の監視装置(400)は、図6と比べて、乱数生成部(214)を追加し、図6の擬似改竄検出管理部(305)を、擬似改竄検出管理部(405)に変更したものである。
【0100】
なお、図6のブロック図に含まれる構成要素のうち、実施の形態2と同じ構成要素については、図6と同じものを使用し、説明を省略する。
【0101】
乱数生成部(214)は、乱数を生成し、生成した乱数を、擬似改竄検出管理部405に通知する。例えば、乱数生成部(214)は、各値が1に近い乱数(例えば0.90、1.09、…)を生成し、通知する。なお、乱数生成部(214)が、1より小さい値に偏るよう乱数を生成することで、擬似処理時間の合計を、削減することが可能となる。
【0102】
擬似改竄検出管理部(405)は、保護改竄検出制御部(303)から通知を受けると、管理情報ファイル又は改竄検出対象ファイルに対する改竄有無を判定するための、保護改竄検出制御部(303)の改竄検出処理を擬似する。擬似する方法として、例えば、保護改竄検出制御部(303)の処理に要する時間を、タイマ(212)があらかじめ計測し、改竄検出時間履歴管理部(211)が保持している。擬似改竄検出管理部(405)は、この計測時間と、乱数生成部(214)から取得した乱数を用いて、スリープ処理を行う。具体的には、擬似改竄検出管理部(405)は、改竄検出時間履歴管理部(211)から取得した計測時間に、乱数生成部(214)から取得した乱数を掛けることで、スリープする時間を決定する。つまり、計測時間が1.0秒で、乱数が0.90の場合、擬似改竄検出管理部(405)は、0.90秒スリープする。
【0103】
以上の構成により、本発明は、改竄検出に関する管理情報ファイルに対する、複数の擬似ファイルにより、本物のファイルの特定を困難にするだけでなく、擬似ファイルに対する擬似処理を行うことで、本物のファイルの特定をより困難にする。つまり、実際に計測した処理時間と乱数を用いて擬似処理を行うことで、擬似ファイルの処理時間と本物のファイルの処理時間の差異を、より少なくすることができ、各ファイルに対する処理時間を計測しても、擬似の改竄検出処理であることを特定されにくくなる。特に、本発明の監視装置を備えた情報処理機器が、ハード構成を変更するなど環境が変化した場合でも、最新の環境に適した時間を動的に決定し、擬似処理を行うことが可能となる。
【0104】
また、実際に計測した処理時間だけスリープする方法に比べて、擬似処理であることの特定されにくさは維持しつつ、合計の擬似処理時間を削減することができる。例えば、計測時間が1.0秒とし、乱数(0.90、1.09)とした場合について説明する。乱数を使用しない場合、2回の合計擬似処理時間は2.0秒になるが、乱数(0.90、1.09)を使用した場合、1.99秒(0.90秒+1.09秒)となる。つまり、1より小さい値に偏るよう乱数を生成することで、擬似処理時間の合計を、削減することが可能となる。
【0105】
さらに、擬似処理としてスリープするため、ハッシュ演算器などのハードウェアリソースを無駄に使用することない。
【産業上の利用可能性】
【0106】
本発明にかかる監視装置は、アプリケーションプログラムに対する改竄検出機能を有し、携帯電話、カーナビゲーションシステム、PDA等の情報端末装置などとして有用である。また、AV機器などの用途にも応用できる。
【符号の説明】
【0107】
100,300,400 監視装置
101 通常処理部
102,302,402 保護処理部
200 通常改竄検出制御部
201 ファイルシステム部
202 記憶媒体
203,303 保護改竄検出制御部
204 復号部
205,305,405 擬似改竄検出管理部
206 鍵選択部
207,307 処理部能力変更部
208 第1の管理情報ファイル
209 第2の管理情報ファイル
210 改竄検出対象ファイル
211 改竄検出時間履歴管理部
212 タイマ
213 DMA
214 乱数生成部
【技術分野】
【0001】
本発明は、アプリケーションプログラムに対する不正な改竄を監視する装置に関し、特に、擬似ファイルを用いて対象ファイルの特定を困難にする監視装置に関するものである。
【背景技術】
【0002】
インターネットなどを介して、外部から送り込まれたウィルスなどによって、アプリケーションプログラムが不正に改竄、破壊等されることが問題となっている。以下、アプリケーションプログラムに対する不正な変更は、「改竄」と総称する。
【0003】
悪意のある第三者による外部からの攻撃に対する対策の一つとして、外部から対象ファイルの特定を困難にすることで、このファイルが改竄されることを防ぐ技術があった(例えば、特許文献1参照)。この技術では、アプリケーションが生成した生成ファイルの擬似ファイルを複数生成し、ファイル名を変換するとともにファイル名と変換後のファイル名を内部管理しておくことで、外部からは本物の生成ファイルの特定を困難にする技術である。つまり、従来技術では、擬似ファイルを複数用意することで、外部からの総当り攻撃に対し、本物のファイルの特定を困難にすることができた。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2007−207102号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、前記従来の技術では、擬似ファイルに対する処理と本物のファイルに対する処理時間に差がある場合、それぞれのファイルに対する処理時間を計測することによって、擬似ファイルと本物のファイルの特定が可能となるという課題を有していた。
【0006】
本発明は、前記従来の課題を解決するもので、対象ファイルの特定を困難にするための擬似ファイルをセキュアな環境で処理する際、擬似処理を行うことによって、擬似ファイルを特定されにくくする監視装置を提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明の監視装置は、改竄検出対象ファイルの改竄有無を監視する監視装置であって、前記改竄検出対象ファイルの改竄検出に関する管理情報ファイルと、少なくとも1つ以上の擬似の管理情報ファイルと、前記改竄検出対象ファイルを記憶した記録媒体を有し、前記記憶媒体に記憶されている管理情報ファイルを取得し、前記取得した管理情報ファイルが擬似であるか否かを判定し、擬似でない場合に、前記管理情報ファイルと前記改竄検出対象ファイルの改竄有無を判定する改竄検出処理を行う保護改竄検出制御部と、
前記保護改竄検出制御部が前記取得した管理情報ファイルが擬似であると判定した場合に、前記保護改竄検出制御部による改竄検出処理を擬似する擬似改竄検出管理部とを備え、
前記取得した管理情報ファイルが擬似である場合の処理時間と、前記取得した管理情報ファイルが擬似でない場合の処理時間との差異を少なくすることを特徴とする。
【0008】
本構成によって、暗号化した改竄検出に関する管理情報ファイルに対し、本物のファイルの特定を困難にするための擬似ファイルをセキュアな環境で処理する際、擬似処理を行うことによって、擬似ファイルを特定されにくくすることができる。
【発明の効果】
【0009】
本発明の監視装置によれば、暗号化した改竄検出に関する管理情報ファイルに対して生成した擬似ファイルの特定を困難にすることで、管理情報ファイルへの外部からの総当たり攻撃に対する耐性を強化することができる。
【図面の簡単な説明】
【0010】
【図1】本発明の実施の形態1における監視装置の構成の一例を示すブロック図
【図2】本発明の実施の形態1における改竄検出に関する管理情報ファイルの一例を示す図
【図3】本発明の実施の形態1における監視装置のシーケンス図
【図4】本発明の実施の形態1における監視装置の保護処理部の処理フロー図
【図5】本発明の実施の形態1における監視装置の保護処理部の処理フロー図
【図6】本発明の実施の形態2における監視装置の構成の一例を示すブロック図
【図7】本発明の実施の形態2における監視装置の保護処理部の処理フロー図
【図8】本発明の実施の形態2における監視装置の保護処理部の処理フロー図
【図9】本発明の実施の形態3における監視装置の構成の一例を示すブロック図
【発明を実施するための形態】
【0011】
以下本発明の実施の形態について、図面を参照しながら説明する。
【0012】
(実施の形態1)
図1は、本発明の実施の形態における監視装置(100)の構成の一例を示すブロック図である。
【0013】
図1において、監視装置(100)は、アプリケーションプログラムの改竄有無を監視する機能を有している。監視装置(100)が改竄を検出した場合は、例えばアプリケーションプログラムを停止もしくは削除することによって、改竄されたアプリケーションプログラムの不正実行を防止する。
【0014】
監視装置(100)は、通常処理部(101)と保護処理部(102)と記憶媒体(202)と共有メモリ(215)を備えている。
【0015】
通常処理部(101)は、通常のアプリケーションを実行する。通常のアプリケーションは、例えば、不正に改竄されてはならない音楽再生アプリケーションプログラムなどであり、コンテンツプロバイダなどが提供している音楽データを再生する。
【0016】
保護処理部(102)は、通常のアプリケーションからは読み込み及び書き込みできない保護された処理部であり、例えば通常のアプリケーション実行するハードウェア(CPUやメモリなど)とは別のハードウェアで実行する。
【0017】
記録媒体(202)は、暗号化された改竄検出に関する管理情報を記憶する。暗号化アルゴリズムは、例えばAESやDESなど何でもよい。改竄検出に関する管理情報ファイル(208、209)は、例えば、改竄検出対象ファイルのファイルパスとハッシュ値の対と、管理情報ファイル自身のハッシュ値と、管理情報ファイルが擬似であるか否かのインデックスと、復号化鍵を選択する鍵インデックスを備えている。詳細は、図を用いて後で説明する。ハッシュ値を計算するためのアルゴリズムはSHA−1など何でもよい。なお、図1の第1の管理情報ファイル(208)は、擬似ファイルであり、第2の管理情報ファイル(209)は、本物のファイルである。また、図1には、擬似ファイルを1つのみ図示しているが、1つの本物のファイルに対して、2個以上の擬似ファイルを記憶してもよい。
【0018】
共有メモリ(215)は、通常処理部(101)と保護処理部(102)の両方から参照できるメモリである。
【0019】
上記構成により、監視装置(100)の保護処理部(102)は、記憶媒体(202)が記憶している改竄検出に関する管理情報ファイルを用いて、通常処理部(101)で実行する、通常のアプリケーションの改竄有無を監視する。なお、保護処理部(102)は、入力された管理情報ファイルが、擬似ファイルである場合と、本物のファイルである場合で、異なる処理を行う。詳細は、後で説明する。
【0020】
通常処理部(101)は、ファイルシステム部201と、通常改竄検出制御部200とを備えている。
【0021】
ファイルシステム部(201)は、例えばNTFSやEXT2などであり、記録媒体(202)からファイルをリードもしくはライトする機能を有している。
【0022】
通常改竄検出制御部(200)は、ファイルシステム部(201)を介して、記憶媒体(202)から管理情報ファイル(208、209)を取得する。次に、通常改竄検出制御部(200)は、保護処理部(102)に渡すために、取得した管理情報ファイルを、バイナリデータとして共有メモリ(215)にコピーする。なお、記憶媒体(202)に記憶されている管理情報ファイル(208、209)は、改竄検出対象ファイル(210)である通常アプリケーションプリグラムの改竄検出に用いる、管理情報ファイルであり、暗号化されている。また、前述した通り、第1の管理情報ファイル(208)は、擬似ファイルであり、第2の管理情報ファイル(209)は、本物のファイルである。
【0023】
保護処理部(102)は、保護改竄検出制御部(203)と、復号部(204)と、擬似改竄検出管理部(205)と、鍵選択部(206)と、処理部能力変更部(207)とを備えている。
【0024】
鍵選択部(206)は、管理情報ファイル(208、209)に含まれる鍵インデックスに対応する鍵を選択する。鍵は、AESの場合、例えば128ビット、192ビット、256ビットのデータである。
【0025】
復号部(204)は、鍵選択部(206)が選択した鍵を用いて、管理情報ファイル(208、209)を復号する。復号処理は、暗号エンジンなどのハードウェアもしくはソフトウェア実装で実現される。
【0026】
保護改竄検出制御部(203)は、通常処理部(101)から通知された管理情報ファイル(208、209)が擬似であるか否かを判定する。管理情報ファイルが擬似である場合(208の場合)は、擬似改竄検出管理部(205)に通知を行い、応答を待つ。管理情報ファイルが擬似でない場合(209の場合)は、管理情報ファイルのハッシュ値を計算し、計算して求めたハッシュ値と、管理情報ファイルに含まれる管理情報ファイル自身のハッシュ値を比較する。これにより、保護改竄検出制御部(203)は、管理情報ファイル(209)の改竄有無を判定する。さらに、保護改竄検出制御部(203)は、管理情報ファイル(209)が改竄されていない場合に、管理情報ファイル(209)に基づいて、通常処理部(101)から取得した改竄検出対象ファイル(210)のハッシュ値を計算する。次に、保護改竄検出制御部(203)は、計算して求めたハッシュ値と、管理情報ファイルに含まれる改竄検出対象ファイルのハッシュ値を比較する。これにより、保護改竄検出制御部(203)は、改竄検出対象ファイル(210)の改竄有無を判定する。管理情報ファイル(209)または改竄検出対象ファイル(210)に改竄がある場合は、保護解散検出制御部(203)は、処理部能力変更部(207)に通知を行う。
【0027】
処理部能力変更部(207)は、保護改竄検出制御部(203)から通知を受けると、改竄有無を監視する処理を停止し、監視装置(100)の機能停止を行う。
【0028】
擬似改竄検出管理部(205)は、保護改竄検出制御部(203)から通知を受けると、管理情報ファイル又は改竄検出対象ファイルに対する改竄有無を判定するための、保護改竄検出制御部203の改竄検出処理を擬似する。擬似する方法として、例えば、保護改竄検出制御部(203)の処理に要する時間を、擬似改竄検出管理部(205)が、スリープ時間としてあらかじめ保持しており、保持しているスリープ時間だけスリープ処理を行う。なお、このスリープ時間は、管理情報ファイルに対する改竄検出処理のスリープ時間と、改竄検出対象ファイルに対する改竄検出処理のスリープ時間と、異なる時間を保持してもよい。
【0029】
以上の構成により、本発明は、改竄検出に関する管理情報ファイルに対する、複数の擬似ファイルにより、本物のファイルの特定を困難にするだけでなく、擬似ファイルに対する擬似処理を行うことで、本物のファイルの特定をより困難にする。つまり、擬似ファイルの処理時間と本物のファイルの処理時間の差異を少なくすることで、各ファイルに対する処理時間を計測しても、擬似の改竄検出処理であることを特定されにくくなる。
【0030】
また、擬似処理としてのスリープ処理を行うことで、ハッシュ演算器などのハードウェアリソースを無駄に使用することがない。
【0031】
図2は、改竄検出に関する管理情報ファイルの一例を示した図である。これは、図1の第1の管理情報ファイル(208)又は第2の管理情報ファイル(209)に相当する。
【0032】
管理情報ファイルは、暗号部と非暗号部で構成される。
【0033】
非暗号部には、暗号部を復号するための鍵を、一意に決める鍵インデックスが記載される。
【0034】
鍵選択部(206)が、鍵インデックスを用いて、鍵を選択し、復号部(204)が、選択された鍵を用いて、管理情報ファイルの暗号部を復号する。
【0035】
暗号部には、改竄検出対象ファイル(210)のファイルパスとハッシュ値の対と、管理情報ファイル自身のハッシュ値と、管理情報ファイルが擬似であるか否かのインデックスと、次の管理情報ファイルへのファイルパスを備えている。なお、改竄検出対象ファイル(210)のファイルパスとハッシュ値の対は、1つの管理情報ファイルの中に複数の対を保持することができる。また、擬似であるか否かのインデックスは、例えば、1ビットの情報であり、ON/OFFが擬似/本物を意味する。また、次の管理情報ファイルへのファイルパスは、本物の管理情報ファイルが複数個存在する場合であり、図中の矢印で示す通り、ファイルパスを用いて、記憶装置202上の次の管理情報ファイルにアクセスすることができる。
【0036】
保護改竄検出制御部(203)は、擬似/本物インデックスを参照することで、管理情報ファイルが擬似であるか否かを判定する。本物と判定した場合、前述した通り、管理情報ファイル又は改竄検出対象ファイルの改竄検出処理を行う。一方、擬似と判定した場合、擬似改竄検出管理部(205)に通知を行い、擬似改竄検出管理部(205)は、擬似の改竄検出処理を行う。つまり、保護改竄検出制御部(203)は、擬似/本物インデックスが擬似インデックスである場合は、通知を行うのみで、実際の改竄検出処理(例えば、ハッシュ値の計算など)は、何も行わない。
【0037】
図3は、本実施の形態における監視装置(100)の、通常処理部(101)と保護処理部(102)間の、改竄検出のシーケンスの一例を示す。なお、改竄されたと判断した場合は、改竄が検出されたタイミングで、この処理を停止するものとする。
【0038】
まず、監視装置(100)の通常処理部(101)が、改竄検出開始の通知を受け、処理を開始する(ステップS1)。
【0039】
ファイルシステム部(201)は、暗号化した改竄検出に関する管理情報ファイル(208、209)を、記憶媒体(202)からリードし、通常改竄検出制御部(200)に通知する(ステップS2)。
【0040】
通常改竄検出制御部(200)は、取得した管理情報ファイル(208、209)を、共有メモリ(215)を介して、保護処理部(102)に送信する(ステップS3)。
【0041】
保護処理部(102)の保護改竄検出制御部(203)は、共有メモリ(215)を介して、管理情報ファイル(208、209)を取得し、取得した管理情報ファイル(208、209)の鍵インデックスを復号部(204)に通知する。復号部(204)は、鍵選択部(206)に、通知された鍵インデックスに対応する鍵の選択を要求する。鍵選択部(206)は、要求に従い、通知された鍵インデックスに対応する鍵を選択し、復号部(204)に、選択結果を返す(ステップS4)。
【0042】
次に、保護処理部(102)は、管理情報ファイルの改竄検出もしくはスリープ処理を行う(ステップA1)。つまり、保護処理部102は、取得した管理情報ファイルが擬似でない場合に、管理情報ファイルの改竄検出処理を行い、取得した管理情報ファイルが擬似である場合に、スリープ処理を行う。この詳細については、後で、別の図面を用いて説明する。なお、ステップA1で改竄が検出されなかった場合に、ステップS11に遷移し、改竄が検出された場合に、処理を停止する。
【0043】
保護改竄検出制御部(203)は、取得した管理情報ファイルに含まれる改竄検出対象ファイル(210)を、通常処理部(101)に要求する(ステップS11)。
【0044】
通常処理部(101)のファイルシステム部(201)は、通常改竄検出制御部(200)から通知を受け、要求された改竄検出対象ファイル(210)を、記憶媒体(202)からリードし、通常改竄検出制御部(200)に通知する(ステップS12)。
【0045】
通常改竄検出制御部(200)は、取得した改竄検出対象ファイル(210)を、共有メモリ(215)を介して、保護処理部(102)に送信する(ステップS13)。
【0046】
保護処理部(102)の保護改竄検出制御部(203)は、共有メモリ(215)を介して、改竄検出対象ファイル(210)を受信する(ステップS14)。
【0047】
次に、保護処理部(102)は、改竄検出対象ファイルの改竄検出もしくはスリープ処理を行う(ステップA2)。つまり、保護処理部(102)は、取得した管理情報ファイルが擬似でない場合に、改竄検出対象ファイルの改竄検出処理を行い、取得した管理情報ファイルが擬似である場合に、スリープ処理を行う。この詳細については、後で、別の図面を用いて説明する。なお、ステップA2で改竄が検出されなかった場合に、ステップS20に遷移し、改竄が検出された場合に、処理を停止する。
【0048】
保護改竄検出制御部(203)は、取得した管理情報ファイルに含まれる他の改竄検出対象ファイル(210)があるか否かを判定する(ステップS20)。他の改竄検出対象ファイルとは、管理情報ファイルに含まれており、且つ、ステップS14で受信していないファイルを意味する。
【0049】
他の改竄検出対象ファイル(210)がある場合は(ステップS20がYes)、ステップS11に遷移し、他の改竄検出対象ファイル(210)を、通常処理部(101)に要求する。これにより、保護処理部(102)は、他の改竄検出対象ファイル(210)に対する改竄検出を繰り返す。
【0050】
他の改竄検出対象ファイル(210)がない場合は(ステップS20がNo)、保護改竄検出制御部(203)は、次の暗号化した改竄検出に関する管理情報ファイルがあるか否かを判定する(ステップS22)。
【0051】
次の暗号化した改竄検出に関する管理情報ファイルがある場合は(ステップS22がYes)、次の暗号化した改竄検出に関する管理情報ファイルを、通常処理部(101)に要求する(ステップS23)。これにより、保護処理部(102)は、次の暗号化した改竄検出に関する管理情報ファイルに対する改竄検出を繰り返す。次の暗号化した改竄検出に関する管理情報ファイルがない場合は(ステップS22がNo)、保護改竄検出制御部(203)は、改竄検出終了を通常処理部(101)に通知し、処理を終了する(ステップS24)。
【0052】
図4は、図3における管理情報ファイルの改竄検出もしくはスリープ処理(ステップA1)の詳細を示す処理フロー図である。復号部(204)が、鍵選択部(206)から選択した鍵を受け取って、処理を開始する。
【0053】
復号部(204)は、選択した鍵を用いて、取得した管理情報ファイル(208、209)を復号し、復号した管理情報ファイル(208、209)を保護改竄検出制御部(203)に通知する(ステップS5)。
【0054】
保護改竄検出制御部(203)は、復号した管理情報ファイル(208、209)が本物であるか否かを判定する(ステップS6)。
【0055】
管理情報ファイルが本物でない場合は(ステップS6がNo)、保護改竄検出制御部(203)は、擬似改竄検出管理部(205)に通知を行う。擬似改竄検出管理部(205)は、保護改竄検出制御部(203)から通知を受けると、スリープすることで、保護改竄検出制御部(203)の管理情報ファイルに対する改竄検出処理を擬似する(ステップS7)。また、擬似改竄検出管理部(205)は、スリープから起床したタイミングで、保護改竄検出制御部(203)に応答し、保護改竄検出制御部(203)は、管理情報ファイルの改竄検出を終了する。
【0056】
管理情報ファイルが本物である場合は(ステップS6がYes)、保護改竄検出制御部(203)は、管理情報ファイルのハッシュ値Aを計算する(ステップS8)。保護改竄検出制御部(203)は、計算して求めたハッシュ値Aと、管理情報ファイルにあらかじめ含まれる管理情報ファイル自身のハッシュ値を比較する(ステップS9)。
【0057】
ハッシュ値が異なる場合(ステップS10がNo)、保護改竄検出制御部(203)は、改竄されたと判断し、処理部能力変更部207に通知する。処理部能力変更部207は、処理を停止して終了する。一方、ハッシュ値が同じである場合(ステップS10がYes)、保護改竄検出制御部(203)は、管理情報ファイルの改竄検出を終了する。
【0058】
図5は、図3における改竄検出対象ファイルの改竄検出もしくはスリープ処理(ステップA2)の詳細を示す処理スロー図である。保護改竄検出制御部(203)が、改竄検出対象ファイルを受信して、処理を開始する。
【0059】
保護改竄検出制御部(203)は、復号した管理情報ファイル(208、209)が本物であるか否かを判定する(ステップS15)。なお、ステップS15の判定は、前述した図4ステップS6と同じであるため、保護改竄検出制御部(203)は、図4ステップS6の結果を別途保持しておき、それを用いてもよい。
【0060】
管理情報ファイルが本物でない場合は(ステップS15がNo)、保護改竄検出制御部(203)は、擬似改竄検出管理部(205)に通知を行う。擬似改竄検出管理部(205)は、保護改竄検出制御部(203)から通知を受けると、スリープすることで、保護改竄検出制御部203の改竄検出対象ファイルに対する改竄検出処理を擬似する(ステップS16)。また、擬似改竄検出管理部(205)は、スリープから起床したタイミングで、保護改竄検出制御部(203)に応答し、保護改竄検出制御部(203)は、改竄検出対象ファイルの改竄検出を終了する。
【0061】
管理情報ファイルが本物である場合は(ステップS15がYes)、保護改竄検出制御部(203)は、改竄検出対象ファイルのハッシュ値Bを計算する(ステップS17)。保護改竄検出制御部(203)は、計算して求めたハッシュ値Bと、管理情報ファイルにあらかじめ含まれる改竄検出対象ファイルのハッシュ値を比較する(ステップS18)。
【0062】
ハッシュ値が異なる場合(ステップS19がNo)、保護改竄検出制御部(203)は、改竄されたと判断し、処理部能力変更部(207)に通知する。処理部能力変更部(207)は、処理を停止して終了する。一方、ハッシュ値が同じである場合(ステップS19)、改竄検出対象ファイルの改竄検出を終了する。
【0063】
以上の構成により、本発明は、改竄検出に関する管理情報ファイルに対する、複数の擬似ファイルにより、本物のファイルの特定を困難にするだけでなく、擬似ファイルに対する擬似処理を行うことで、本物のファイルの特定をより困難にする。つまり、擬似ファイルと本物のファイルの処理時間の差異を少なくすることで、各ファイルに対する処理時間を計測しても、擬似の改竄検出処理であることを特定されにくくなる。
【0064】
また、擬似処理としてのスリープ処理を行うことで、ハッシュ演算器などのハードウェアリソースを無駄に使用することがない。
【0065】
(実施の形態2)
図6は、本発明の実施の形態における監視装置(300)の構成の一例を示すブロック図である。
【0066】
図6の監視装置(300)は、図1と比べて、改竄検出時間履歴管理部(211)とタイマ(212)とDMA(213)を追加し、図1の保護改竄検出制御部(203)と擬似改竄検出管理部(205)と処理部能力変更部(207)を、それぞれ、保護改竄検出制御部(303)と擬似改竄検出管理部(305)と処理部能力変更部(307)に変更したものである。
【0067】
なお、図6のブロック図に含まれる構成要素のうち、実施の形態1と同じ構成要素については、図1と同じものを使用し、説明を省略する。
【0068】
監視装置(300)は、通常処理部(101)と保護処理部(302)と記憶媒体(202)と共有メモリ(215)とタイマ(212)とDMA(213)を備えている。
【0069】
タイマ(212)は、保護処理部(302)から通知を受け、処理に要する時間の計測を行う。具体的には、タイマ(212)は、開始通知を受けると、時間の計測を開始し、終了通知を受けると、時間の計測を終了し、計測結果の時間を返す。
【0070】
DMA(213)は、データ転送を制御するDMA(Direct Memory Accrss)コントローラであって、通常、専用LSIとして実装される。
【0071】
保護処理部(302)は、通常のアプリケーションからは読み込み及び書き込みできない保護された処理部であり、例えば通常のアプリケーション実行するハードウェア(CPUやメモリなど)とは別のハードウェアで実行する。図1の保護処理部(102)との違いは、改竄検出時間履歴管理部(211)と、保護改竄検出制御部(303)と、擬似改竄検出管理部(305)と、処理部能力変後部(307)とを備えていることである。
【0072】
保護改竄検出制御部(303)は、通常処理部(101)から通知された管理情報ファイル(208、209)が擬似であるか否かを判定する。管理情報ファイルが擬似である場合(208の場合)は、擬似改竄検出管理部(305)に通知を行い、応答を待つ。管理情報ファイルが擬似でない場合(209の場合)は、改竄検出時間履歴管理部(211)に改竄検出時間の計測開始を通知する。次に、保護改竄検出制御部(303)は、管理情報ファイルのハッシュ値を計算し、計算して求めたハッシュ値と、管理情報ファイルに含まれる管理情報ファイル自身のハッシュ値を比較する。最後に、保護改竄検出制御部(303)は、改竄検出時間履歴管理部(211)に改竄検出時間の計測終了を通知する。これにより、保護改竄検出制御部(303)は、管理情報ファイル(209)の改竄有無を判定すると共に、その処理時間を測定することができる。さらに、保護改竄検出制御部(303)は、管理情報ファイル(209)が改竄されていない場合に、改竄検出時間履歴管理部(211)に改竄検出時間の計測開始を通知する。次に、保護改竄検出制御部(303)は、管理情報ファイル(209)に基づいて、通常処理部(101)から取得した改竄検出対象ファイル(210)のハッシュ値を計算する。次に、保護改竄検出制御部(303)は、計算して求めたハッシュ値と、管理情報ファイルに含まれる改竄検出対象ファイルのハッシュ値を比較する。最後に、保護改竄検出制御部(303)は、改竄検出時間履歴管理部(211)に改竄検出時間の計測終了を通知する。これにより、保護改竄検出制御部(303)は、改竄検出対象ファイル(210)の改竄有無を判定すると共に、その処理時間を測定することができる。管理情報ファイル(209)または改竄検出対象ファイル(210)に改竄がある場合は、保護改竄検出制御部(303)は、処理部能力変更部(207)に通知を行う。
【0073】
擬似改竄検出管理部(305)は、保護改竄検出制御部(303)から通知を受けると、管理情報ファイル又は改竄検出対象ファイルに対する改竄有無を判定するための、保護改竄検出制御部(303)の改竄検出処理を擬似する。擬似する方法として、例えば、保護改竄検出制御部(303)の処理に要する時間を、タイマ(212)があらかじめ計測し、改竄検出時間履歴管理部(211)が保持している。擬似改竄検出管理部(305)は、この計測時間を用いて、スリープ処理を行う。
【0074】
処理部能力変更部(307)は、保護改竄検出制御部(303)から通知を受けると、DMA(213)を停止する。これにより、処理部能力変更部(307)は、監視装置(100)の機能停止を行う。
【0075】
改竄検出時間履歴管理部(211)は、保護改竄検出制御部(303)の処理に要する時間を管理する。改竄検出時間履歴管理部(211)は、保護改竄検出制御部(303)から改竄検出時間の計測開始が通知されると、タイマ(212)を用いて、計測を開始する。また、改竄検出時間履歴管理部(211)は、保護改竄検出制御部(303)から改竄検出時間の計測終了が通知されると、計測を終了し、タイマ(212)から受け取った計測結果の時間を、計測時間として保持する。なお、改竄検出時間履歴管理部(211)が管理する計測時間は、管理情報ファイルに対する計測時間と、改竄検出対象ファイルに対する計測時間とを分けて、管理してもよい。また、最新の計測時間のみを上書き保存してもよい。さらに、計測時間の平均値を保持してもよい。
【0076】
以上の構成により、本発明は、改竄検出に関する管理情報ファイルに対する、複数の擬似ファイルにより、本物のファイルの特定を困難にするだけでなく、擬似ファイルに対する擬似処理を行うことで、本物のファイルの特定をより困難にする。つまり、実際に計測した処理時間を用いて擬似処理を行うことで、擬似ファイルの処理時間と本物のファイルの処理時間の差異を、より少なくすることができる。特に、本発明の監視装置を備えた情報処理機器が、ハード構成を変更するなど環境が変化した場合でも、最新の環境に適した時間を動的に決定し、擬似処理を行うことが可能となる。
【0077】
図7は、保護処理部(300)における管理情報ファイルの改竄検出もしくはスリープ処理の詳細を示す処理フロー図である。
【0078】
なお、本実施の形態における監視装置(300)の、通常処理部(101)と保護処理部(302)間の、改竄検出のシーケンスは、前述した図3と同様となるため、図7は、図3のステップA1の処理フロー図に相当する。
【0079】
まず、復号部(204)が、鍵選択部(206)から選択した鍵を受け取って、処理を開始する。
【0080】
復号部(204)は、選択した鍵を用いて、取得した管理情報ファイル(208、209)を復号し、復号した管理情報ファイル(208、209)を保護改竄検出制御部(303)に通知する(ステップS31)。
【0081】
保護改竄検出制御部(303)は、復号した管理情報ファイル(208、209)が本物であるか否かを判定する(ステップS32)。
【0082】
管理情報ファイルが本物でない場合は(ステップS32がNo)、保護改竄検出制御部(303)は、擬似改竄検出管理部(305)に通知を行う。擬似改竄検出管理部(305)は、保護改竄検出制御部(303)から通知を受けると、改竄検出時間履歴管理部(211)が保持する計測時間を取得し、取得した計測時間分スリープすることで、保護改竄検出制御部(303)の管理情報ファイルに対する改竄検出処理を擬似する(ステップS33)。また、擬似改竄検出管理部(305)は、スリープから起床したタイミングで、保護改竄検出制御部(303)に応答し、保護改竄検出制御部(303)は、管理情報ファイルの改竄検出を終了する。
【0083】
管理情報ファイルが本物である場合は(ステップS32がYes)、保護改竄検出制御部(303)は、改竄検出時間履歴管理部(211)に改竄検出時間の計測開始を通知する。改竄検出時間履歴管理部(211)は、保護改竄検出制御部(303)から改竄検出時間の計測開始が通知されると、タイマ(212)を用いて、計測を開始する(ステップS34)。
【0084】
保護改竄検出制御部(303)は、管理情報ファイルのハッシュ値Aを計算する(ステップS35)。保護改竄検出制御部(303)は、計算して求めたハッシュ値Aと、管理情報ファイルにあらかじめ含まれる管理情報ファイル自身のハッシュ値を比較する(ステップS36)。
【0085】
保護改竄検出制御部(303)は、改竄検出時間履歴管理部(211)に改竄検出時間の計測終了を通知する。改竄検出時間履歴管理部(211)は、保護改竄検出制御部(303)から改竄検出時間の計測終了が通知されると、計測を終了し、タイマ(212)から受け取った計測結果の時間を、計測時間として保持する(ステップS37)。
【0086】
ハッシュ値が異なる場合(ステップS38がNo)、保護改竄検出制御部(303)は、改竄されたと判断し、処理部能力変更部(307)に通知する。処理部能力変更部(307)は、DMA(213)を停止して、処理を終了する。一方、ハッシュ値が同じである場合(ステップS38がYes)、保護改竄検出制御部(303)は、管理情報ファイルの改竄検出を終了する。
【0087】
図8は、保護処理部(300)における改竄検出対象ファイルの改竄検出もしくはスリープ処理の詳細を示す処理フロー図である。
【0088】
なお、本実施の形態における監視装置(300)の、通常処理部(101)と保護処理部(302)間の、改竄検出のシーケンスは、前述した図3と同様となるため、図8は、図3のステップA2の処理フロー図に相当する。
【0089】
まず、保護改竄検出制御部(303)が、改竄検出対象ファイルを受信して、処理を開始する。
【0090】
保護改竄検出制御部(303)は、復号した管理情報ファイル(208、209)が本物であるか否かを判定する(ステップS41)。なお、ステップS41の判定は、前述した図7ステップS32と同じであるため、保護改竄検出制御部(303)は、図7ステップS32の結果を別途保持しておき、それを用いてもよい。
【0091】
管理情報ファイルが本物でない場合は(ステップS41がNo)、保護改竄検出制御部(303)は、擬似改竄検出管理部(305)に通知を行う。擬似改竄検出管理部(305)は、保護改竄検出制御部(303)から通知を受けると、改竄検出時間履歴管理部(211)が保持する計測時間を取得し、取得した計測時間分スリープすることで、保護改竄検出制御部(303)の改竄検出対象ファイルに対する改竄検出処理を擬似する(ステップS42)。また、擬似改竄検出管理部(305)は、スリープから起床したタイミングで、保護改竄検出制御部(303)に応答し、保護改竄検出制御部(303)は、改竄検出対象ファイルの改竄検出を終了する。
【0092】
管理情報ファイルが本物である場合は(ステップS15がYes)、保護改竄検出制御部(303)は、改竄検出時間履歴管理部(211)に改竄検出時間の計測開始を通知する。改竄検出時間履歴管理部(211)は、保護改竄検出制御部(303)から改竄検出時間の計測開始が通知されると、タイマ(212)を用いて、計測を開始する(ステップS43)。
【0093】
保護改竄検出制御部(303)は、改竄検出対象ファイルのハッシュ値Bを計算する(ステップS44)。保護改竄検出制御部(303)は、計算して求めたハッシュ値Bと、管理情報ファイルにあらかじめ含まれる改竄検出対象ファイルのハッシュ値を比較する(ステップS45)。
【0094】
保護改竄検出制御部(303)は、改竄検出時間履歴管理部(211)に改竄検出時間の計測終了を通知する。改竄検出時間履歴管理部(211)は、保護改竄検出制御部(303)から改竄検出時間の計測終了が通知されると、計測を終了し、タイマ(212)から受け取った計測結果の時間を、計測時間として保持する(ステップS46)。
【0095】
ハッシュ値が異なる場合(ステップS47がNo)、保護改竄検出制御部(303)は、改竄されたと判断し、処理部能力変更部(307)に通知する。処理部能力変更部207は、DMA(213)を停止して、処理を終了する。一方、ハッシュ値が同じである場合(ステップS47がYes)、保護改竄検出制御部(303)は、改竄検出対象ファイルの改竄検出を終了する。
【0096】
以上の構成により、本発明は、改竄検出に関する管理情報ファイルに対する、複数の擬似ファイルにより、本物のファイルの特定を困難にするだけでなく、擬似ファイルに対する擬似処理を行うことで、本物のファイルの特定をより困難にする。つまり、実際に計測した処理時間を用いて擬似処理を行うことで、擬似ファイルの処理時間と本物のファイルの処理時間の差異を、より少なくすることができ、各ファイルに対する処理時間を計測しても、擬似の改竄検出処理であることを特定されにくくなる。特に、本発明の監視装置を備えた情報処理機器が、ハード構成を変更するなど環境が変化した場合でも、最新の環境に適した時間を動的に決定し、擬似処理を行うことが可能となる。
【0097】
さらに、擬似処理としてスリープするため、ハッシュ演算器などのハードウェアリソースを無駄に使用することない。
【0098】
(実施の形態3)
図9は、本発明の実施の形態における監視装置(400)の構成の一例を示すブロック図である。
【0099】
図9の監視装置(400)は、図6と比べて、乱数生成部(214)を追加し、図6の擬似改竄検出管理部(305)を、擬似改竄検出管理部(405)に変更したものである。
【0100】
なお、図6のブロック図に含まれる構成要素のうち、実施の形態2と同じ構成要素については、図6と同じものを使用し、説明を省略する。
【0101】
乱数生成部(214)は、乱数を生成し、生成した乱数を、擬似改竄検出管理部405に通知する。例えば、乱数生成部(214)は、各値が1に近い乱数(例えば0.90、1.09、…)を生成し、通知する。なお、乱数生成部(214)が、1より小さい値に偏るよう乱数を生成することで、擬似処理時間の合計を、削減することが可能となる。
【0102】
擬似改竄検出管理部(405)は、保護改竄検出制御部(303)から通知を受けると、管理情報ファイル又は改竄検出対象ファイルに対する改竄有無を判定するための、保護改竄検出制御部(303)の改竄検出処理を擬似する。擬似する方法として、例えば、保護改竄検出制御部(303)の処理に要する時間を、タイマ(212)があらかじめ計測し、改竄検出時間履歴管理部(211)が保持している。擬似改竄検出管理部(405)は、この計測時間と、乱数生成部(214)から取得した乱数を用いて、スリープ処理を行う。具体的には、擬似改竄検出管理部(405)は、改竄検出時間履歴管理部(211)から取得した計測時間に、乱数生成部(214)から取得した乱数を掛けることで、スリープする時間を決定する。つまり、計測時間が1.0秒で、乱数が0.90の場合、擬似改竄検出管理部(405)は、0.90秒スリープする。
【0103】
以上の構成により、本発明は、改竄検出に関する管理情報ファイルに対する、複数の擬似ファイルにより、本物のファイルの特定を困難にするだけでなく、擬似ファイルに対する擬似処理を行うことで、本物のファイルの特定をより困難にする。つまり、実際に計測した処理時間と乱数を用いて擬似処理を行うことで、擬似ファイルの処理時間と本物のファイルの処理時間の差異を、より少なくすることができ、各ファイルに対する処理時間を計測しても、擬似の改竄検出処理であることを特定されにくくなる。特に、本発明の監視装置を備えた情報処理機器が、ハード構成を変更するなど環境が変化した場合でも、最新の環境に適した時間を動的に決定し、擬似処理を行うことが可能となる。
【0104】
また、実際に計測した処理時間だけスリープする方法に比べて、擬似処理であることの特定されにくさは維持しつつ、合計の擬似処理時間を削減することができる。例えば、計測時間が1.0秒とし、乱数(0.90、1.09)とした場合について説明する。乱数を使用しない場合、2回の合計擬似処理時間は2.0秒になるが、乱数(0.90、1.09)を使用した場合、1.99秒(0.90秒+1.09秒)となる。つまり、1より小さい値に偏るよう乱数を生成することで、擬似処理時間の合計を、削減することが可能となる。
【0105】
さらに、擬似処理としてスリープするため、ハッシュ演算器などのハードウェアリソースを無駄に使用することない。
【産業上の利用可能性】
【0106】
本発明にかかる監視装置は、アプリケーションプログラムに対する改竄検出機能を有し、携帯電話、カーナビゲーションシステム、PDA等の情報端末装置などとして有用である。また、AV機器などの用途にも応用できる。
【符号の説明】
【0107】
100,300,400 監視装置
101 通常処理部
102,302,402 保護処理部
200 通常改竄検出制御部
201 ファイルシステム部
202 記憶媒体
203,303 保護改竄検出制御部
204 復号部
205,305,405 擬似改竄検出管理部
206 鍵選択部
207,307 処理部能力変更部
208 第1の管理情報ファイル
209 第2の管理情報ファイル
210 改竄検出対象ファイル
211 改竄検出時間履歴管理部
212 タイマ
213 DMA
214 乱数生成部
【特許請求の範囲】
【請求項1】
改竄検出対象ファイルの改竄有無を監視する監視装置であって、
前記改竄検出対象ファイルの改竄検出に関する管理情報ファイルと、少なくとも1つ以上の擬似の管理情報ファイルと、前記改竄検出対象ファイルを記憶した記録媒体を有し、
前記記憶媒体に記憶されている管理情報ファイルを取得し、前記取得した管理情報ファイルが擬似であるか否かを判定し、擬似でない場合に、前記管理情報ファイルと前記改竄検出対象ファイルの改竄有無を判定する改竄検出処理を行う保護改竄検出制御部と、
前記保護改竄検出制御部が前記取得した管理情報ファイルが擬似であると判定した場合に、前記保護改竄検出制御部による改竄検出処理を擬似する擬似改竄検出管理部とを備え、
前記取得した管理情報ファイルが擬似である場合の処理時間と、前記取得した管理情報ファイルが擬似でない場合の処理時間との差異を少なくすることを特徴とする監視装置。
【請求項2】
前記記憶媒体は、前記管理情報ファイルを暗号化して記憶しており、
前記記憶媒体に記憶されている暗号化された管理情報ファイルを復号するための鍵を選択する鍵選択部と、
前記鍵選択部が選択した鍵を用いて、前記暗号化された管理情報ファイルを復号する復号部を備え、
前記保護改竄検出制御部は、前記復号部が復号した前記管理情報ファイルを取得して処理することを特徴とする請求項1に記載の監視装置。
【請求項3】
前記監視装置は、通常の処理を実行する通常処理部と、秘匿な処理を実行する保護処理部を備え、
前記保護処理部は、前記保護改竄検出制御部と、前記擬似改竄検出管理部と、前記鍵選択部と、前記復号部を備えたことを特徴とする請求項2に記載の監視装置。
【請求項4】
前記取得した管理情報ファイルが擬似でない場合に、前記保護改竄検出制御部による改竄検出処理の時間を測定し、前記測定した時間を保持する改竄検出時間履歴管理部を備え、
前記擬似改竄検出管理部は、前記改竄検出時間履歴管理部が保持している測定時間を用いて、スリープすることを特徴とする請求項3に記載の監視装置。
【請求項5】
前記擬似改竄検出管理部は、前記改竄検出時間履歴管理部が保持している測定時間と同じ時間、スリープすることを特徴とする請求項4に記載の監視装置。
【請求項6】
前記取得した管理情報ファイルが擬似である場合に、乱数を生成する乱数生成部を備え、
前記擬似改竄検出管理部は、前記改竄検出時間履歴管理部が保持している測定時間と、前記乱数生成部が生成した乱数を用いて算出した時間、スリープすることを特徴とする請求項4に記載の監視装置。
【請求項1】
改竄検出対象ファイルの改竄有無を監視する監視装置であって、
前記改竄検出対象ファイルの改竄検出に関する管理情報ファイルと、少なくとも1つ以上の擬似の管理情報ファイルと、前記改竄検出対象ファイルを記憶した記録媒体を有し、
前記記憶媒体に記憶されている管理情報ファイルを取得し、前記取得した管理情報ファイルが擬似であるか否かを判定し、擬似でない場合に、前記管理情報ファイルと前記改竄検出対象ファイルの改竄有無を判定する改竄検出処理を行う保護改竄検出制御部と、
前記保護改竄検出制御部が前記取得した管理情報ファイルが擬似であると判定した場合に、前記保護改竄検出制御部による改竄検出処理を擬似する擬似改竄検出管理部とを備え、
前記取得した管理情報ファイルが擬似である場合の処理時間と、前記取得した管理情報ファイルが擬似でない場合の処理時間との差異を少なくすることを特徴とする監視装置。
【請求項2】
前記記憶媒体は、前記管理情報ファイルを暗号化して記憶しており、
前記記憶媒体に記憶されている暗号化された管理情報ファイルを復号するための鍵を選択する鍵選択部と、
前記鍵選択部が選択した鍵を用いて、前記暗号化された管理情報ファイルを復号する復号部を備え、
前記保護改竄検出制御部は、前記復号部が復号した前記管理情報ファイルを取得して処理することを特徴とする請求項1に記載の監視装置。
【請求項3】
前記監視装置は、通常の処理を実行する通常処理部と、秘匿な処理を実行する保護処理部を備え、
前記保護処理部は、前記保護改竄検出制御部と、前記擬似改竄検出管理部と、前記鍵選択部と、前記復号部を備えたことを特徴とする請求項2に記載の監視装置。
【請求項4】
前記取得した管理情報ファイルが擬似でない場合に、前記保護改竄検出制御部による改竄検出処理の時間を測定し、前記測定した時間を保持する改竄検出時間履歴管理部を備え、
前記擬似改竄検出管理部は、前記改竄検出時間履歴管理部が保持している測定時間を用いて、スリープすることを特徴とする請求項3に記載の監視装置。
【請求項5】
前記擬似改竄検出管理部は、前記改竄検出時間履歴管理部が保持している測定時間と同じ時間、スリープすることを特徴とする請求項4に記載の監視装置。
【請求項6】
前記取得した管理情報ファイルが擬似である場合に、乱数を生成する乱数生成部を備え、
前記擬似改竄検出管理部は、前記改竄検出時間履歴管理部が保持している測定時間と、前記乱数生成部が生成した乱数を用いて算出した時間、スリープすることを特徴とする請求項4に記載の監視装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2011−14018(P2011−14018A)
【公開日】平成23年1月20日(2011.1.20)
【国際特許分類】
【出願番号】特願2009−158710(P2009−158710)
【出願日】平成21年7月3日(2009.7.3)
【出願人】(000005821)パナソニック株式会社 (73,050)
【Fターム(参考)】
【公開日】平成23年1月20日(2011.1.20)
【国際特許分類】
【出願日】平成21年7月3日(2009.7.3)
【出願人】(000005821)パナソニック株式会社 (73,050)
【Fターム(参考)】
[ Back to top ]