耐タンパ装置
【課題】機密情報の重要度に応じてメモリ領域に優先度を設け、タンパ検出時に、ソフトウェアにて優先度順にメモリ領域内のデータを消去することにより、低コストでセキュリティ性能を向上させた耐タンパ装置を提供する。
【解決手段】機密情報としてのデータに対する不正アクセスを検出するタンパ検出スイッチ110と、内部メモリ152におけるデータの記憶領域を、データの機密性、重要性に応じた消去優先度と共に定義し記憶した領域・優先度メモリ120と、不正アクセス検出時に、前記消去優先度に従って内部メモリ152のデータを消去するCPU151とを備える。内部メモリ152は、暗号キーの記憶領域と、この暗号キーを用いて暗号化されたデータの記憶領域とを有し、領域・優先度メモリ120は、内部メモリ152内の暗号キーの記憶領域を消去優先度が最も高い記憶領域として記憶する。
【解決手段】機密情報としてのデータに対する不正アクセスを検出するタンパ検出スイッチ110と、内部メモリ152におけるデータの記憶領域を、データの機密性、重要性に応じた消去優先度と共に定義し記憶した領域・優先度メモリ120と、不正アクセス検出時に、前記消去優先度に従って内部メモリ152のデータを消去するCPU151とを備える。内部メモリ152は、暗号キーの記憶領域と、この暗号キーを用いて暗号化されたデータの記憶領域とを有し、領域・優先度メモリ120は、内部メモリ152内の暗号キーの記憶領域を消去優先度が最も高い記憶領域として記憶する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、外部からの不正アクセスを防止してメモリ内の機密情報を保護するために各種電子機器に適用される耐タンパ装置に関するものである。
【背景技術】
【0002】
近年、ICカード型電子マネーやネットワーク型電子マネーを利用した電子決済システムが徐々に普及してきている。
これらの電子決済システムでは、電子マネー機能を有するICカードや、携帯電話、PDA(Personal Digital Assistants)、決済端末、チャージ端末等の各種端末機器に、データの暗号化/復号化に使用する暗号キー情報、ID、パスワード等の認証情報、氏名、電話番号等の個人情報、電子マネーの金額等の電子価値情報といった各種の機密情報が格納されている。このため、第三者による不正アクセスによってこれらの機密情報の読み出し、解析、改ざん等を防ぐための機能、いわゆる耐タンパ機能が必要不可欠である。
【0003】
この耐タンパ機能を実現する従来技術としては、下記の特許文献1に記載されたものが知られている。
特許文献1に記載された耐タンパ装置及び方法は、端末機器等の筐体の開放により不正行為を検出する耐タンパスイッチ等の不正行為認識手段と、不正行為を認識した際にRAM等の記憶手段への電源供給を遮断して記憶内容を破壊する電源制御手段とを備えている。また、回路電源のオフ時に不正行為認識手段が動作すると記憶手段への電源供給を遮断し、回路電源のオン時に不正行為認識手段が動作すると、CPUに割り込みをかけてプログラムにより記憶内容を消去する手段を備えている。
この従来技術は、回路電源の有無に関係なく機密情報が不正にアクセスされるのを防ぐ方式であり、不正アクセス検出時に記憶手段への電源供給を遮断してデータを破壊したり、あるいは、割り込み処理によってデータを消去することにより、機密情報の保護を行っている。
【0004】
【特許文献1】特開2003−337753号公報(請求項1,2,5,6、段落[0026]〜[0033],[0058]〜[0075]、図1,図2,図9〜図12等)
【発明の開示】
【発明が解決しようとする課題】
【0005】
上記の従来技術には以下のような問題があった。
まず、不正アクセス時に記憶手段への電源供給を遮断する回路が必要であり、この回路は半導体スイッチ素子を用いた電子スイッチ等により構成されているため、製造コストが高くなる。
また、近年では、電子機器のメモリ容量の増加に伴って機密情報のデータ量も増加の一途を辿っている。言い換えれば、不正アクセス時にソフトウェアによってこれらのデータを消去する場合には、その消去動作に長時間を要することになり、その間に未消去のデータが読み出されて解析されるおそれがある。
従って、従来では、耐タンパ装置やこれを内蔵した電子機器の製造コストが高くなったり、セキュリティが万全ではない等の問題を有していた。
【0006】
そこで本発明の解決課題は、機密情報の重要度に応じてメモリ領域に消去優先度を設け、タンパ(不正アクセス)検出時に、ソフトウェアにて消去優先度順に当該メモリ領域内のデータを消去することで、製造コストを抑えると共にセキュリティを向上させた耐タンパ装置を提供することにある。
【課題を解決するための手段】
【0007】
上記課題を解決するため、請求項1に記載した発明は、機密情報としてのデータが機密情報記憶手段に格納された電子機器において、
前記データに対する不正アクセスを検出するタンパ検出手段と、
前記機密情報記憶手段におけるデータの記憶領域を、データの機密性、重要性に応じた消去優先度と共に定義し記憶してなる領域・優先度定義記憶手段と、
前記タンパ検出手段による不正アクセス検出時に、前記消去優先度に従って前記記憶領域のデータを消去する消去手段と、を備えたものである。
【0008】
請求項2に記載した発明は、請求項1に記載した耐タンパ装置において、
前記機密情報記憶手段は暗号キーの記憶領域を有し、かつ、この暗号キーを用いて暗号化されたデータの記憶領域を有すると共に、
前記領域・優先度定義記憶手段は、前記暗号キーの記憶領域を、消去優先度が最も高い記憶領域として記憶してなるものである。
【発明の効果】
【0009】
本発明においては、機密情報の機密性や重要性に応じてメモリ領域の消去優先度を予め定義しておき、不正アクセスの検出時には、ソフトウェアにより前記消去優先度に従って順に機密情報を消去していく。これにより、機密性、重要性の高いデータを優先的に保護することができ、また、暗号キーを組み合わせることで、データの解析、改ざんが困難なセキュリティシステムを構築することができる。
更に、タンパ検出時に電源供給を遮断する従来技術に比べてハードウェアの追加も少なくて済み、低コスト化を図れるという利点がある。
加えて、暗号キーの記憶領域を最優先に消去することで実質的に他のデータの解析等が困難または不可能になるので、最短の場合には暗号キーの記憶領域を消去する時間だけあれば機密情報の保護が一応可能であり、消去時間の長期化を回避することができる。
【発明を実施するための最良の形態】
【0010】
以下、図に沿って本発明の実施形態を説明する。
まず、図1は本実施形態にかかる耐タンパ装置の機能ブロック図である。なお、この実施形態の耐タンパ装置は、決済端末、チャージ端末、携帯電話、PDA等の各種端末機器や、ICカードに内蔵されるものであり、以下では、これらの各種端末機器やICカードを便宜的に電子機器と総称する。
【0011】
図1において、11は、電子機器内の内部メモリ(主メモリ)に格納されたデータ(機密情報)に対する不正アクセスを検出するためのタンパ検出手段、12は、前記データの機密性、重要性に応じて、データを消去するべきメモリ領域を優先度(消去優先度)順に定義して記憶した消去メモリ領域・優先度定義記憶手段、13は、タンパ検出手段11によるタンパ検出信号をトリガとして、内部メモリのデータ消去を実行するメモリ領域消去手段である。
ここで、不正アクセスとは、電子機器の筐体の破壊、正規の手順以外の手順による分解、あるいは、データが格納された内部メモリの取り外し、外部からのスキミング等による機密情報への各種アクセスを意味し、前記タンパ検出手段11は、これらの不正アクセス行為を物理的、電気的な手段によって検出可能となっている。
【0012】
次に、図2及び図3は、本実施形態の耐タンパ装置を含む電子機器のハードウェア構成を示す図であり、例えば電子マネー用の決済端末に耐タンパ装置を内蔵した場合のものである。
図2において、110は図1におけるタンパ検出手段11としてのタンパ検出スイッチ、150はCPUを備えた決済処理部、210はキーボード、220はディスプレイ、230はプリンタ、240はハードディスク等の補助記憶装置、250はリード/ライト(読み出し/書き込み)部である。
【0013】
決済処理部150は、通信回線を介してホストコンピュータ(図示せず)に接続されている。また、リード/ライト部250は、例えば電子マネー機能を有するICカードとの間で情報を送受信可能なカードリーダ/ライタや、非接触の無線通信により情報を送受信する送受信部等を含む。
なお、図2におけるタンパ検出スイッチ110以外の構成は、従来の決済端末が有するハードウェアであり、キーボード210、ディスプレイ220等の周辺機器は、端末の機能、性質(決済端末、チャージ端末等)に応じて適宜、選択的に接続される。
【0014】
図3は、図2における決済処理部150の構成図である。
この決済処理部150は、通常のコンピュータシステムと同様に、CPU151、内部メモリ152、バス153を備え、また、図2に示したキーボード210、ディスプレイ220等の周辺機器が接続されるインタフェース155と、リード/ライト部250やホストコンピュータが接続されるインタフェース156とを備えている。
【0015】
決済処理部150による決済処理は、周知のように、内部メモリ152に格納されたプログラム及びデータを用い、更には、必要に応じて図2の補助記憶装置240内のデータを用いて、CPU151が暗号キー情報や認証情報、個人情報の照合、認証を行い、また、電子価値情報の更新(利用者の有する電子マネーの減額及び売上げの計上)を行うと共に、これらの処理結果や前記各種情報をホストコンピュータとの間で送受信して実行されるものである。
【0016】
上記内部メモリ152は、いわゆる主メモリやキャッシュメモリを纏めて表したものであり、フラッシュROM(フラッシュメモリ)、EEPROM(電気的に消去可能なプログラマブルROM)等のROM、SRAM(スタティックRAM)、DRAM(ダイナミックRAM)等のRAMによって構成されている。
不正アクセスから保護するべきデータは、主として上記内部メモリ152に格納されているが、補助記憶装置240に記憶されていても良い。
【0017】
また、図3において、120は図1の消去メモリ領域・優先度定義記憶手段12としての領域・優先度メモリであり、このメモリ120には、不正アクセスから保護するべきデータの機密性、重要性に応じて、これらのデータが格納された内部メモリ152(または補助記憶装置240)内のメモリ領域が優先度順に定義して記憶されている。
更に、タンパ検出スイッチ110は、インタフェース154を介してバス153に接続されている。
なお、以下において、機密情報であるデータは内部メモリ152に記憶されており、領域・優先度メモリ120には、内部メモリ152のメモリ領域が消去優先度順に記憶されているものとして説明する。
【0018】
図3のCPU151は、図1におけるメモリ領域消去手段13に相当しており、タンパ検出スイッチ110からタンパ検出信号が入力されると、これをトリガとして、消去プログラムを実行し、前記領域・優先度メモリ120から読み出したメモリ領域及びその優先度に従って内部メモリ152内のメモリ領域を順番に選択してそのデータを消去するものである。
ここで、前記消去プログラムは、内部メモリ152以外のメモリや領域・優先度メモリ120に常駐させておけばよい。
【0019】
図4は、図3における領域・優先度メモリ120に予め記憶された情報、すなわち、内部メモリ152内の、データを消去するべきメモリ領域を優先度と共に定義した情報を示している。
この情報は、消去メモリ領域定義数121(その定義数をNとする)と、N個分の消去メモリ領域定義情報122とから構成されており、消去メモリ領域定義情報122には、内部メモリ152内のデータの機密性、重要性に応じて、各データが格納されているN個のメモリ領域に関する情報が優先度と共に定義されている。図示例では、消去メモリ領域定義情報1に格納されているデータが最高の優先度を持ち、消去メモリ領域定義情報Nに格納されているデータが最低の優先度を持っている。
【0020】
各々の消去メモリ領域定義情報122は、内部メモリ152のメモリ領域のアドレス122a、サイズ122b、メモリ種別122c、及びクリアデータ122dからなっている。ここで、アドレス122bは消去するメモリ領域の先頭アドレスであり、サイズ122bは当該領域に格納されたデータのサイズである。メモリ種別122cは、例えばSRAM、フラッシュROM、EEPROM等の種別であり、クリアデータ122dは消去する際にメモリ領域に書き込むデータである。
CPU151は、上記の定義情報に基づいてタンパ検出時のデータ消去処理を行う。
【0021】
図5は、上述した消去メモリ領域の定義例である。
この例では、消去メモリ領域の定義数が5であり、優先度が最高(優先度1)のデータを暗号キーとしてそのメモリ領域を定義情報1とし、以下、優先度に応じて、電子価値情報のメモリ領域を定義情報2、認証情報のメモリ領域を定義情報3、個人情報のメモリ領域を定義情報4、決済処理に必要なプログラムのメモリ領域を定義情報5に設定している。
CPU151は、消去プログラムにより、上記優先度順に各メモリ領域のデータを消去するように動作する。
【0022】
また、内部メモリ152においては、上記定義情報1のメモリ領域内の暗号キーを用いて、定義情報2〜5の各メモリ領域のデータが暗号化されたうえ記憶されている。
なお、各定義情報1〜5によって定義されるメモリ領域のアドレスは必ずしも連続している必要はなく、ランダムであっても良い。これにより、複数種類の機密情報をそれぞれの優先度にかかわらず分散させてメモリ領域に格納することも可能である。
【0023】
次いで、図6はタンパ検出時のメモリ領域の消去処理を示すフローチャートである。
外部からの不正アクセスが発生し、タンパ検出スイッチ110からタンパ検出信号が出力されると、CPU151により消去プログラムが呼び出され、以下に述べるデータ消去処理が開始される。
【0024】
まず、領域・優先度メモリ120から図4の消去メモリ領域定義数121を読み込む(ステップS1)。次に、消去メモリ領域定義情報122を読み込み(S2)、消去するべきメモリ領域の開始アドレス及びサイズをセットする(S3)。
そして、このメモリ領域のメモリ種別を判定し(S4)、当該メモリ領域が揮発性メモリ(例えばSRAM)領域であれば、予め指定されたクリアデータによりメモリ領域をクリア、すなわちデータを消去する(S5)。また、当該メモリ領域が不揮発性メモリ(例えばフラッシュROM、EEPROM)であれば、各メモリ種別毎に指定されているクリアシーケンスに従って、当該メモリ領域のデータを消去する(S6)。
その後、消去メモリ領域定義数分だけ消去したか否かを判定し(S7)、定義数に達するまでステップS2〜S7の処理を繰り返し実行する。
【0025】
以上の処理を行うことにより、例えば、図5に例示したごとく暗号キーのメモリ領域を定義情報1(優先度1)に割り付けてその他のメモリ領域を定義情報2〜5に順次割り付けると共に、上記暗号キーを用いて定義情報2〜5の各メモリ領域のデータを暗号化しておけば、タンパ検出時に一番優先度の高いメモリ領域の暗号キーが最初に消去されるため、その後、仮に優先度2以下の領域でデータを不正に読み出されたとしても、暗号キーは不明であるからこれらのデータの解析や改ざんが困難になり、データを保護することができる。
このため、定義情報2以下のメモリ領域を消去するために長時間を要する場合であっても、少なくとも定義情報1の暗号キーを最優先で消去することにより、必要最低限のセキュリティ性能を確保することが可能である。
【図面の簡単な説明】
【0026】
【図1】本発明の実施形態を示す機能ブロック図である。
【図2】図1に示した機能ブロックを含む決済端末のハードウェアの構成例である。
【図3】図2における決済処理部の構成図である。
【図4】図3における領域・優先度メモリの記憶情報の説明図である。
【図5】図4に対応する消去メモリ領域の定義例を示す図である。
【図6】本発明の実施形態におけるメモリ領域の消去処理を示すフローチャートである。
【符号の説明】
【0027】
11:タンパ検出手段
12:消去メモリ領域・優先度定義記憶手段
13:メモリ領域消去手段
110:タンパ検出スイッチ
120:領域・優先度メモリ
121:消去メモリ領域定義数
122:消去メモリ領域定義情報
122a:アドレス
122b:サイズ
122c:メモリ種別
122d:クリアデータ
150:決済処理部
151:CPU
152:内部メモリ
153:バス
154,155,156:インタフェース
210:キーボード
220:ディスプレイ
230:プリンタ
240:補助記憶装置
250:リード/ライト部
【技術分野】
【0001】
本発明は、外部からの不正アクセスを防止してメモリ内の機密情報を保護するために各種電子機器に適用される耐タンパ装置に関するものである。
【背景技術】
【0002】
近年、ICカード型電子マネーやネットワーク型電子マネーを利用した電子決済システムが徐々に普及してきている。
これらの電子決済システムでは、電子マネー機能を有するICカードや、携帯電話、PDA(Personal Digital Assistants)、決済端末、チャージ端末等の各種端末機器に、データの暗号化/復号化に使用する暗号キー情報、ID、パスワード等の認証情報、氏名、電話番号等の個人情報、電子マネーの金額等の電子価値情報といった各種の機密情報が格納されている。このため、第三者による不正アクセスによってこれらの機密情報の読み出し、解析、改ざん等を防ぐための機能、いわゆる耐タンパ機能が必要不可欠である。
【0003】
この耐タンパ機能を実現する従来技術としては、下記の特許文献1に記載されたものが知られている。
特許文献1に記載された耐タンパ装置及び方法は、端末機器等の筐体の開放により不正行為を検出する耐タンパスイッチ等の不正行為認識手段と、不正行為を認識した際にRAM等の記憶手段への電源供給を遮断して記憶内容を破壊する電源制御手段とを備えている。また、回路電源のオフ時に不正行為認識手段が動作すると記憶手段への電源供給を遮断し、回路電源のオン時に不正行為認識手段が動作すると、CPUに割り込みをかけてプログラムにより記憶内容を消去する手段を備えている。
この従来技術は、回路電源の有無に関係なく機密情報が不正にアクセスされるのを防ぐ方式であり、不正アクセス検出時に記憶手段への電源供給を遮断してデータを破壊したり、あるいは、割り込み処理によってデータを消去することにより、機密情報の保護を行っている。
【0004】
【特許文献1】特開2003−337753号公報(請求項1,2,5,6、段落[0026]〜[0033],[0058]〜[0075]、図1,図2,図9〜図12等)
【発明の開示】
【発明が解決しようとする課題】
【0005】
上記の従来技術には以下のような問題があった。
まず、不正アクセス時に記憶手段への電源供給を遮断する回路が必要であり、この回路は半導体スイッチ素子を用いた電子スイッチ等により構成されているため、製造コストが高くなる。
また、近年では、電子機器のメモリ容量の増加に伴って機密情報のデータ量も増加の一途を辿っている。言い換えれば、不正アクセス時にソフトウェアによってこれらのデータを消去する場合には、その消去動作に長時間を要することになり、その間に未消去のデータが読み出されて解析されるおそれがある。
従って、従来では、耐タンパ装置やこれを内蔵した電子機器の製造コストが高くなったり、セキュリティが万全ではない等の問題を有していた。
【0006】
そこで本発明の解決課題は、機密情報の重要度に応じてメモリ領域に消去優先度を設け、タンパ(不正アクセス)検出時に、ソフトウェアにて消去優先度順に当該メモリ領域内のデータを消去することで、製造コストを抑えると共にセキュリティを向上させた耐タンパ装置を提供することにある。
【課題を解決するための手段】
【0007】
上記課題を解決するため、請求項1に記載した発明は、機密情報としてのデータが機密情報記憶手段に格納された電子機器において、
前記データに対する不正アクセスを検出するタンパ検出手段と、
前記機密情報記憶手段におけるデータの記憶領域を、データの機密性、重要性に応じた消去優先度と共に定義し記憶してなる領域・優先度定義記憶手段と、
前記タンパ検出手段による不正アクセス検出時に、前記消去優先度に従って前記記憶領域のデータを消去する消去手段と、を備えたものである。
【0008】
請求項2に記載した発明は、請求項1に記載した耐タンパ装置において、
前記機密情報記憶手段は暗号キーの記憶領域を有し、かつ、この暗号キーを用いて暗号化されたデータの記憶領域を有すると共に、
前記領域・優先度定義記憶手段は、前記暗号キーの記憶領域を、消去優先度が最も高い記憶領域として記憶してなるものである。
【発明の効果】
【0009】
本発明においては、機密情報の機密性や重要性に応じてメモリ領域の消去優先度を予め定義しておき、不正アクセスの検出時には、ソフトウェアにより前記消去優先度に従って順に機密情報を消去していく。これにより、機密性、重要性の高いデータを優先的に保護することができ、また、暗号キーを組み合わせることで、データの解析、改ざんが困難なセキュリティシステムを構築することができる。
更に、タンパ検出時に電源供給を遮断する従来技術に比べてハードウェアの追加も少なくて済み、低コスト化を図れるという利点がある。
加えて、暗号キーの記憶領域を最優先に消去することで実質的に他のデータの解析等が困難または不可能になるので、最短の場合には暗号キーの記憶領域を消去する時間だけあれば機密情報の保護が一応可能であり、消去時間の長期化を回避することができる。
【発明を実施するための最良の形態】
【0010】
以下、図に沿って本発明の実施形態を説明する。
まず、図1は本実施形態にかかる耐タンパ装置の機能ブロック図である。なお、この実施形態の耐タンパ装置は、決済端末、チャージ端末、携帯電話、PDA等の各種端末機器や、ICカードに内蔵されるものであり、以下では、これらの各種端末機器やICカードを便宜的に電子機器と総称する。
【0011】
図1において、11は、電子機器内の内部メモリ(主メモリ)に格納されたデータ(機密情報)に対する不正アクセスを検出するためのタンパ検出手段、12は、前記データの機密性、重要性に応じて、データを消去するべきメモリ領域を優先度(消去優先度)順に定義して記憶した消去メモリ領域・優先度定義記憶手段、13は、タンパ検出手段11によるタンパ検出信号をトリガとして、内部メモリのデータ消去を実行するメモリ領域消去手段である。
ここで、不正アクセスとは、電子機器の筐体の破壊、正規の手順以外の手順による分解、あるいは、データが格納された内部メモリの取り外し、外部からのスキミング等による機密情報への各種アクセスを意味し、前記タンパ検出手段11は、これらの不正アクセス行為を物理的、電気的な手段によって検出可能となっている。
【0012】
次に、図2及び図3は、本実施形態の耐タンパ装置を含む電子機器のハードウェア構成を示す図であり、例えば電子マネー用の決済端末に耐タンパ装置を内蔵した場合のものである。
図2において、110は図1におけるタンパ検出手段11としてのタンパ検出スイッチ、150はCPUを備えた決済処理部、210はキーボード、220はディスプレイ、230はプリンタ、240はハードディスク等の補助記憶装置、250はリード/ライト(読み出し/書き込み)部である。
【0013】
決済処理部150は、通信回線を介してホストコンピュータ(図示せず)に接続されている。また、リード/ライト部250は、例えば電子マネー機能を有するICカードとの間で情報を送受信可能なカードリーダ/ライタや、非接触の無線通信により情報を送受信する送受信部等を含む。
なお、図2におけるタンパ検出スイッチ110以外の構成は、従来の決済端末が有するハードウェアであり、キーボード210、ディスプレイ220等の周辺機器は、端末の機能、性質(決済端末、チャージ端末等)に応じて適宜、選択的に接続される。
【0014】
図3は、図2における決済処理部150の構成図である。
この決済処理部150は、通常のコンピュータシステムと同様に、CPU151、内部メモリ152、バス153を備え、また、図2に示したキーボード210、ディスプレイ220等の周辺機器が接続されるインタフェース155と、リード/ライト部250やホストコンピュータが接続されるインタフェース156とを備えている。
【0015】
決済処理部150による決済処理は、周知のように、内部メモリ152に格納されたプログラム及びデータを用い、更には、必要に応じて図2の補助記憶装置240内のデータを用いて、CPU151が暗号キー情報や認証情報、個人情報の照合、認証を行い、また、電子価値情報の更新(利用者の有する電子マネーの減額及び売上げの計上)を行うと共に、これらの処理結果や前記各種情報をホストコンピュータとの間で送受信して実行されるものである。
【0016】
上記内部メモリ152は、いわゆる主メモリやキャッシュメモリを纏めて表したものであり、フラッシュROM(フラッシュメモリ)、EEPROM(電気的に消去可能なプログラマブルROM)等のROM、SRAM(スタティックRAM)、DRAM(ダイナミックRAM)等のRAMによって構成されている。
不正アクセスから保護するべきデータは、主として上記内部メモリ152に格納されているが、補助記憶装置240に記憶されていても良い。
【0017】
また、図3において、120は図1の消去メモリ領域・優先度定義記憶手段12としての領域・優先度メモリであり、このメモリ120には、不正アクセスから保護するべきデータの機密性、重要性に応じて、これらのデータが格納された内部メモリ152(または補助記憶装置240)内のメモリ領域が優先度順に定義して記憶されている。
更に、タンパ検出スイッチ110は、インタフェース154を介してバス153に接続されている。
なお、以下において、機密情報であるデータは内部メモリ152に記憶されており、領域・優先度メモリ120には、内部メモリ152のメモリ領域が消去優先度順に記憶されているものとして説明する。
【0018】
図3のCPU151は、図1におけるメモリ領域消去手段13に相当しており、タンパ検出スイッチ110からタンパ検出信号が入力されると、これをトリガとして、消去プログラムを実行し、前記領域・優先度メモリ120から読み出したメモリ領域及びその優先度に従って内部メモリ152内のメモリ領域を順番に選択してそのデータを消去するものである。
ここで、前記消去プログラムは、内部メモリ152以外のメモリや領域・優先度メモリ120に常駐させておけばよい。
【0019】
図4は、図3における領域・優先度メモリ120に予め記憶された情報、すなわち、内部メモリ152内の、データを消去するべきメモリ領域を優先度と共に定義した情報を示している。
この情報は、消去メモリ領域定義数121(その定義数をNとする)と、N個分の消去メモリ領域定義情報122とから構成されており、消去メモリ領域定義情報122には、内部メモリ152内のデータの機密性、重要性に応じて、各データが格納されているN個のメモリ領域に関する情報が優先度と共に定義されている。図示例では、消去メモリ領域定義情報1に格納されているデータが最高の優先度を持ち、消去メモリ領域定義情報Nに格納されているデータが最低の優先度を持っている。
【0020】
各々の消去メモリ領域定義情報122は、内部メモリ152のメモリ領域のアドレス122a、サイズ122b、メモリ種別122c、及びクリアデータ122dからなっている。ここで、アドレス122bは消去するメモリ領域の先頭アドレスであり、サイズ122bは当該領域に格納されたデータのサイズである。メモリ種別122cは、例えばSRAM、フラッシュROM、EEPROM等の種別であり、クリアデータ122dは消去する際にメモリ領域に書き込むデータである。
CPU151は、上記の定義情報に基づいてタンパ検出時のデータ消去処理を行う。
【0021】
図5は、上述した消去メモリ領域の定義例である。
この例では、消去メモリ領域の定義数が5であり、優先度が最高(優先度1)のデータを暗号キーとしてそのメモリ領域を定義情報1とし、以下、優先度に応じて、電子価値情報のメモリ領域を定義情報2、認証情報のメモリ領域を定義情報3、個人情報のメモリ領域を定義情報4、決済処理に必要なプログラムのメモリ領域を定義情報5に設定している。
CPU151は、消去プログラムにより、上記優先度順に各メモリ領域のデータを消去するように動作する。
【0022】
また、内部メモリ152においては、上記定義情報1のメモリ領域内の暗号キーを用いて、定義情報2〜5の各メモリ領域のデータが暗号化されたうえ記憶されている。
なお、各定義情報1〜5によって定義されるメモリ領域のアドレスは必ずしも連続している必要はなく、ランダムであっても良い。これにより、複数種類の機密情報をそれぞれの優先度にかかわらず分散させてメモリ領域に格納することも可能である。
【0023】
次いで、図6はタンパ検出時のメモリ領域の消去処理を示すフローチャートである。
外部からの不正アクセスが発生し、タンパ検出スイッチ110からタンパ検出信号が出力されると、CPU151により消去プログラムが呼び出され、以下に述べるデータ消去処理が開始される。
【0024】
まず、領域・優先度メモリ120から図4の消去メモリ領域定義数121を読み込む(ステップS1)。次に、消去メモリ領域定義情報122を読み込み(S2)、消去するべきメモリ領域の開始アドレス及びサイズをセットする(S3)。
そして、このメモリ領域のメモリ種別を判定し(S4)、当該メモリ領域が揮発性メモリ(例えばSRAM)領域であれば、予め指定されたクリアデータによりメモリ領域をクリア、すなわちデータを消去する(S5)。また、当該メモリ領域が不揮発性メモリ(例えばフラッシュROM、EEPROM)であれば、各メモリ種別毎に指定されているクリアシーケンスに従って、当該メモリ領域のデータを消去する(S6)。
その後、消去メモリ領域定義数分だけ消去したか否かを判定し(S7)、定義数に達するまでステップS2〜S7の処理を繰り返し実行する。
【0025】
以上の処理を行うことにより、例えば、図5に例示したごとく暗号キーのメモリ領域を定義情報1(優先度1)に割り付けてその他のメモリ領域を定義情報2〜5に順次割り付けると共に、上記暗号キーを用いて定義情報2〜5の各メモリ領域のデータを暗号化しておけば、タンパ検出時に一番優先度の高いメモリ領域の暗号キーが最初に消去されるため、その後、仮に優先度2以下の領域でデータを不正に読み出されたとしても、暗号キーは不明であるからこれらのデータの解析や改ざんが困難になり、データを保護することができる。
このため、定義情報2以下のメモリ領域を消去するために長時間を要する場合であっても、少なくとも定義情報1の暗号キーを最優先で消去することにより、必要最低限のセキュリティ性能を確保することが可能である。
【図面の簡単な説明】
【0026】
【図1】本発明の実施形態を示す機能ブロック図である。
【図2】図1に示した機能ブロックを含む決済端末のハードウェアの構成例である。
【図3】図2における決済処理部の構成図である。
【図4】図3における領域・優先度メモリの記憶情報の説明図である。
【図5】図4に対応する消去メモリ領域の定義例を示す図である。
【図6】本発明の実施形態におけるメモリ領域の消去処理を示すフローチャートである。
【符号の説明】
【0027】
11:タンパ検出手段
12:消去メモリ領域・優先度定義記憶手段
13:メモリ領域消去手段
110:タンパ検出スイッチ
120:領域・優先度メモリ
121:消去メモリ領域定義数
122:消去メモリ領域定義情報
122a:アドレス
122b:サイズ
122c:メモリ種別
122d:クリアデータ
150:決済処理部
151:CPU
152:内部メモリ
153:バス
154,155,156:インタフェース
210:キーボード
220:ディスプレイ
230:プリンタ
240:補助記憶装置
250:リード/ライト部
【特許請求の範囲】
【請求項1】
機密情報としてのデータが機密情報記憶手段に格納された電子機器において、
前記データに対する不正アクセスを検出するタンパ検出手段と、
前記機密情報記憶手段におけるデータの記憶領域を、データの機密性、重要性に応じた消去優先度と共に定義し記憶してなる領域・優先度定義記憶手段と、
前記タンパ検出手段による不正アクセス検出時に、前記消去優先度に従って前記記憶領域のデータを消去する消去手段と、
を備えたことを特徴とする耐タンパ装置。
【請求項2】
請求項1に記載した耐タンパ装置において、
前記機密情報記憶手段は暗号キーの記憶領域を有し、かつ、この暗号キーを用いて暗号化されたデータの記憶領域を有すると共に、
前記領域・優先度定義記憶手段は、前記暗号キーの記憶領域を、消去優先度が最も高い記憶領域として記憶してなることを特徴とする耐タンパ装置。
【請求項1】
機密情報としてのデータが機密情報記憶手段に格納された電子機器において、
前記データに対する不正アクセスを検出するタンパ検出手段と、
前記機密情報記憶手段におけるデータの記憶領域を、データの機密性、重要性に応じた消去優先度と共に定義し記憶してなる領域・優先度定義記憶手段と、
前記タンパ検出手段による不正アクセス検出時に、前記消去優先度に従って前記記憶領域のデータを消去する消去手段と、
を備えたことを特徴とする耐タンパ装置。
【請求項2】
請求項1に記載した耐タンパ装置において、
前記機密情報記憶手段は暗号キーの記憶領域を有し、かつ、この暗号キーを用いて暗号化されたデータの記憶領域を有すると共に、
前記領域・優先度定義記憶手段は、前記暗号キーの記憶領域を、消去優先度が最も高い記憶領域として記憶してなることを特徴とする耐タンパ装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2006−155159(P2006−155159A)
【公開日】平成18年6月15日(2006.6.15)
【国際特許分類】
【出願番号】特願2004−343863(P2004−343863)
【出願日】平成16年11月29日(2004.11.29)
【出願人】(000005234)富士電機ホールディングス株式会社 (3,146)
【Fターム(参考)】
【公開日】平成18年6月15日(2006.6.15)
【国際特許分類】
【出願日】平成16年11月29日(2004.11.29)
【出願人】(000005234)富士電機ホールディングス株式会社 (3,146)
【Fターム(参考)】
[ Back to top ]