本发明专利技术提供一种非法模块确定装置(200a),确定在经由网络连接的信息处理装置(100a)中动作的非法模块并使该非法模块无效化,其特征在于,具备:接收单元(2310),从进行篡改检测的多个模块,接收篡改检测结果;判断单元(210a),将所述多个模块中的一个假定为正常模块,根据所述假定,判断接收到的多个篡改检测结果中有无矛盾,在有矛盾的情况下,将假定为正常模块的所述模块确定为非法模块;和无效化单元(2320),输出被确定的非法模块的无效化指示。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及一种确定有可能进行非法动作的模块的技术。
技术介绍
以往,为了使具有认证密钥等机密数据的应用程序不被有恶意的第三人(下面称为“攻击者”)解析,已知基于耐篡改模块进行保护。耐篡改模块通常作为硬件安装在设备上,保护应用程序。但是,根据攻击方法层出不穷的过往现状,也为了灵活应对新的攻击方法,期望利用容易更新的计算机程序即软件来保护应用程序。作为由软件来保护应用程序的技术,例如存在使用哈希值的篡改验证、或在未利用应用程序时将其加密并保存而仅在利用时解密并加载到存储器的解密加载功能等。但是,即便利用这种技术,保护应用程序的软件(下面称为“保护控制模块”自身也可能被攻击者攻击。若保护控制模块被篡改,则应用程序暴露于攻击者的攻击之下。专利文献1公开了一种用于防止程序改变的技术,即便在检查程序有无改变的检查程序自身被改变的情况下,也能够可靠阻止被改变的程序的执行。根据该技术,准备多个用于监视程序有无改变的检查程序,各检查程序监视其他检查程序之中的某一个检查程序。下面,简单说明该技术。设两个监视模块A、B相互监视。监视模块A、B分别由应保护不被攻击者篡改的程序(主体程序A、B)、用于检测其他模块是否被篡改的程序(检查程序A、B)、以及各个检查程序进行篡改检测所需的信息(检查信息A、B)构成。检查程序A使用检查信息A进行监视模块B的主体程序B和检查程序B的篡改检测。并且,检查程序B使用检查信息B进行监视模块A的主体程序A和检查程序A的篡改检测。这样,各个监视模块进行对方的监视模块的主体程序和检查程序的篡改检测。先行技术文献专利文献专利文献1 日本特许第3056732号公报专利文献2 :W02008/099682非专利文献非专利文献1 本龙明、山本博资,“现代加密”,产业图书(1997年)# 专禾I」文 ^ 2 =ITU-T Recommendation X. 509(1997E) =Information Technology-Open Systems Interconnection—The Directory Authentication Framework,1997非专禾O 文献 3 :F. Preparata, G. Metze and R. T. Chien, "On The Connection Assignment Problem of Diagnosable Systems,” IEEE Trans. Electronic Computers, vol. 16,pp.848-854,1968.专利技术要解决的课题如此进行篡改检测,在检测到篡改的情况下,例如只要经由网络从外部的服务器装置取得正常的保护控制模块,并将被篡改的保护控制模块更新为正常的保护控制模块即可。但是,承担更新保护控制模块的功能的模块(下面称为“更新模块”)也可能被攻击者攻击。若更新模块被篡改,则有可能保护控制模块未被正确更新,应用程序具有的机密数据泄漏。通过进一步具备进行更新模块的篡改检测的模块,可检测更新模块的篡改,但由于该模块自身也仍有可能被篡改,所以无法从根本上解决。上述使用保护控制模块的更新例进行了说明,但除保护控制模块的更新外,即便在对应用程序或更新模块自身进行更新的情况下,也由于它们未被正确更新,从而产生同样的问题。
技术实现思路
为了解决上述问题,本专利技术的目的在于,提供一种非法模块确定装置、信息处理装置、非法模块确定方法、非法模块确定程序、集成电路、软件更新系统及软件更新方法,能够比以往高的概率确定被篡改的非法模块。用于解决课题的手段为了实现上述目的,本专利技术是一种非法模块确定装置,确定在经由网络连接的信息处理装置上动作的非法模块并使该非法模块无效化,其特征在于,具备接收单元,从进行篡改检测的多个模块,接收篡改检测结果;判断单元,将所述多个模块之中的一个假定为正常模块,根据所述假定,判断接收到的多个篡改检测结果中有无矛盾,在有矛盾的情况下,将假定为正常模块的所述模块确定为非法模块;以及无效化单元,输出被确定的非法模块的无效化指示。专利技术效果根据本专利技术,通过检测模块相互进行篡改检测处理的结果的矛盾来确定非法模块,所以可使用逻辑验证方法来有效地确定伪造并通知篡改检测结果的非法模块。这样,通过输出被确定的非法模块的无效化指示,可适当地排除非法模块。附图说明图1是实施方式1中的软件更新系统10的整体构成图。图2是实施方式1中的更新模块131的框图。图3是实施方式1中的保护控制模块120的框图。图4是实施方式1中的访问控制模块140的框图。图5是实施方式1中的设备100的硬件构成图。图6是实施方式1中的设备100的软件构成图。图7是实施方式1中的判断部210的框图。图8是实施方式1中的更新用软件分发部220的框图。图9是实施方式1中的模块无效化部230的框图。图10是表示实施方式1中的软件更新系统10整体的动作的流程图。图11是用于说明实施方式1中的初始设定处理的动作的图。图12是实施方式1中的初始设定处理的时序图。图13是实施方式1中的更新模块初始化处理的流程图。图14是实施方式1中的检测处理的时序图。图15是实施方式1中的解析判断处理的时序图。图16是实施方式1中的相互认证处理的时序图。图17是实施方式1中的相互认证处理的时序图。图18是实施方式1中的恢复处理的流程图。图19是实施方式1中的相互监视处理的时序图。图20是实施方式1中的更新处理的时序图。图21是实施方式1中的更新处理的时序图。图22是用于说明实施方式1中的相互监视处理与更新处理的联动动作的图。图23是实施方式1中的再加密处理的时序图。图24是实施方式1中的下一轮准备处理的时序图。图25是实施方式1中的无效化处理的时序图。图26是用于说明实施方式2中的更新模块群130b的构成的图。图27是实施方式2中的判断部210b的框图。图28是实施方式2中的非法模块确定部605的框图。图29是实施方式2中的循环检测部606的框图。图30是用于说明实施方式2中的监视模式的图。图31是用于说明实施方式2中的相互监视结果的图。图32是用于说明实施方式2中的相互监视结果的矛盾的图。图33是实施方式2中的非法模块确定处理的流程图。图34是用于说明实施方式2中的非法模块确定处理的图。图35是用于说明实施方式2中的循环监视模式的图。图36是用于说明实施方式2中的循环监视模式的矛盾的图。图37是用于说明实施方式2中的循环监视模式的矛盾的图。图38是实施方式2中考虑了循环监视模式的非法模块确定处理的流程图。图39是表示实施方式2中的循环监视模式列表2100的数据结构的图。图40是表示实施方式2中的循环监视模式列表2200的数据结构的图。图41是实施方式2中考虑了循环监视模式的非法模块确定处理的流程图。图42是实施方式2中考虑了循环监视模式的非法模块确定处理的流程图。图43是用于说明考虑循环监视模式来分发分散信息的具体例的图。图44是用于说明考虑循环监视模式来分发分散信息的具体例的图。图45是表示软件更新系统IOcb中的判断部210cb的构成的构成图。图46是表示软件更新系统IOcb中的正常模块确定部607的构成的构成图。图47是用于说明软件更新系统IOcb中的验证结果判定部674的判本文档来自技高网...
【技术保护点】
1.一种非法模块确定装置,确定在经由网络连接的信息处理装置上动作的非法模块并使该非法模块无效化,其特征在于,具备:接收单元,从进行篡改检测的多个模块,接收篡改检测结果;判断单元,将所述多个模块之中的一个假定为正常模块,根据所述假定,判断接收到的多个篡改检测结果中有无矛盾,在有矛盾的情况下,将假定为正常模块的所述模块确定为非法模块;以及无效化单元,输出被确定的非法模块的无效化指示。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:海上勇二,
申请(专利权)人:松下电器产业株式会社,
类型:发明
国别省市:JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。