管理装置使用从信息安全装置接收到的监视结果,检测没有被篡改的正常的监视模组的存在,在进行了上述检测的情况下,对从上述监视模组选择的1个监视模组假定为被篡改,以被假定为被篡改的上述监视模组为起点,对未处理的监视模组连锁地采用使用接收到的上述监视结果、对将假定为被篡改的监视模组判断为正常的监视模组假定为被篡改的时序,判断时序的采用的结果是否是全部的监视模组被假定为被篡改,在进行了上述判断的情况下,将最初被假定为被篡改的上述监视模组决定为正常的监视模组。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及监视并管理在设备内部中动作的模组等的篡改的技术。
技术介绍
以往,为了使具有认证密钥等的隐秘数据的应用程序不被有恶意的第三者(以下称作“攻击者”)解析,已知有通过防篡改模组进行的保护。防篡改模组通常作为硬件安装在设备上,保护应用程序。但是,如果沿着考虑到日益更新的攻击手法的近来的现状,则为了灵活地对应于新的攻击手法,希望通过容易更新的作为计算机程序的软件来保护应用程序。作为通过软件保护应用程序的技术,例如有使用哈希值的篡改验证、和在不使用应用程序时将程序加密保存、仅在使用时将加密的程序解密并向存储器装载的解密装载功能等。但是,即使使用这样的技术,保护应用程序的软件(以下称作“保护控制模组”)自身也有可能被攻击者攻击。如果保护控制模组被篡改,则应用程序被暴露在攻击者的攻击下。专利文献1公开了即使在进行检查程序的改变的有无的检查程序自身的改变的情况下、也能够可靠地阻止被改变的程序的执行的用于程序的改变防止的技术。根据该技术,准备多个用来监视程序的改变的有无的检查程序,各检查程序监视其他检查程序中的某个。以下,对该技术简单地说明。假设两个监视模组A、B相互进行监视。监视模组A、B分别由应保护不受攻击者篡改的程序(主体程序A、B)、用来检测其他模组是否被篡改的程序(检查程序A、B)、以及为了各个检查程序进行篡改检测而需要的信息(检查信息A、B)构成。检查程序A使用检查信息A进行监视模组B的主体程序B和检查程序B的篡改检测。进而,检查程序B使用检查信息B进行监视模组A的主体程序A和检查程序A的篡改检测。这样,各个监视模组进行对方的监视模组的主体程序及检查程序的篡改检测。先行技术文献专利文献专利文献1 日本特许第3056732号公报专利文献2 :W02008/099682非专利文献非专利文献1 本龙明、山本博资,“现代加密”,产业图书(1997年)非专利文献 2:ITU-T Recommendation X. 509(1997E) Jnformation Technology Open Systems Interconnection—The Directory !Authentication Framework,1997非专利文献 3 :F. Pr印arata,G. Metze and R. T. Chien,“On The Connection Assignment Problem of Diagnosable Systems," IEEE Trans. Electronic Computers, vol. 16,pp.848-854,1968.
技术实现思路
专利技术的概要专利技术要解决的课题这样,进行篡改检测,在检测到篡改的情况下,例如只要经由网络从外部的服务器装置取得正常的保护控制模组、将被篡改的保护控制模组更新为正常的保护控制模组就可以。但是,担负将保护控制模组更新的功能的模组(以下称作“更新模组”)也可能被攻击者攻击。如果更新模组被篡改,则保护控制模组不能被正确地更新,应用程序具有的隐秘数据有可能泄漏。通过还具备进行更新模组的篡改检测的模组,能够检测更新模组的篡改, 但由于该模组自身也有可能被篡改,所以没有达到根本性的解决。在上述中,使用保护控制模组的更新例进行了说明,但在保护控制模组的更新以外将应用程序或更新模组自身更新的情况下,也因它们没有被正确地更新而发生同样的问题。为了解决上述那样的问题,本专利技术的目的是提供一种即使在多个监视模组中的一部分的监视模组被篡改的情况下、也能够以较高的概率确定没有被篡改的正常的监视模组的篡改监视系统、管理装置、管理方法、集成电路、程序及记录介质。为了达到上述目的,本专利技术是一种管理具有监视篡改的多个监视模组的信息安全装置的管理装置,具备接收机构,从上述信息安全装置接收各监视模组对其他监视模组的监视结果;检测机构,使用接收到的上述监视结果,对没有被篡改的正常的监视模组的存在进行检测;第1假定机构,在进行了上述检测的情况下,对从上述监视模组选择的1个监视模组假定为被篡改;第2假定机构,以假定为被篡改的上述监视模组为起点,对未处理的监视模组连锁地采用以下次序使用接收到的上述监视结果对将假定为被篡改的监视模组判断为正常的监视模组假定为被篡改;判断机构,判断由上述第2假定机构进行的时序的采用的结果是否是全部的监视模组被假定为被篡改,在进行了上述判断的情况下,将最初被假定为被篡改的上述监视模组决定为正常的监视模组。专利技术效果根据该结构,由于检测机构检测到没有被篡改的正常的监视模组的存在,所以至少1个监视模组是正常的。相对于此,在由判断机构判断为对全部的监视模组假定为被篡改的情况下,该判断结果与检测机构的检测的结果矛盾。这是因为在第1假定机构的假定中存在错误。因而,将第1假定机构的假定推翻,将由第1假定机构假定为被篡改的监视模组决定为正常的监视模组。如以上这样,能够决定正常的监视模组,所以正常的监视模组的监视结果是能够信赖的,能够有效地利用。附图说明图1是实施方式1的软件更新系统10的整体结构图。图2是实施方式1的更新模组131的框图。图3是实施方式1的保护控制模组120的框图。图4是实施方式1的访问控制模组140的框图。图5是实施方式1的设备100的硬件结构图。图6是实施方式1的设备100的软件结构图。图7是实施方式1的判断部210的框图。图8是实施方式1的更新用软件分配部220的框图。图9是实施方式1的模组无效化部230的框图。图10是表示实施方式1的软件更新系统10整体的动作的流程图。图11是用来说明实施方式1的初始设定处理的动作的图。图12是实施方式1的初始设定处理的时序图。图13是实施方式1的更新模组初始化处理的流程图。图14是实施方式1的检测处理的时序图。图15是实施方式1的解析-判断处理的时序图。图16是实施方式1的相互认证处理的时序图。图17是实施方式1的相互认证处理的时序图。图18是实施方式1的恢复处理的流程图。图19是实施方式1的相互监视处理的时序图。图20是实施方式1的更新处理的时序图。图21是实施方式1的更新处理的时序图。图22是用来对实施方式1的相互监视处理与更新处理的协同动作进行说明的图。图23是实施方式1的再加密处理的时序图。图M是实施方式1的下一轮准备处理的时序图。图25是实施方式1的无效化处理的时序图。图沈是用来说明实施方式2的更新模组群130b的结构的图。图27是实施方式2的判断部210b的框图。图28是实施方式2的非法模组确定部605的框图。图四是实施方式2的循环检测部606的框图。图30是用来说明实施方式2的监视模式的图。图31是用来说明实施方式2的相互监视结果的图。图32是用来说明实施方式2的相互监视结果的矛盾的图。图33是实施方式2的非法模组确定处理的流程图。图34是用来说明实施方式2的非法模组确定处理的图。图35是用来说明实施方式2的循环监视模式的图。图36是用来说明实施方式2的循环监视模式的矛盾的图。图37是用来说明实施方式2的循环监视模式的矛盾的图。图38是实施方式2的考虑到循环监视模式的非法模组确定处理的流程图。图39是表示实施方式2的循环监视模式列表2100的数据结构的图。图40是表示实施方式2的循环监视模式列表22本文档来自技高网...
【技术保护点】
1.一种管理装置,对信息安全装置进行管理,该信息安全装置具有对篡改进行监视的多个监视模组,该管理装置的特征在于,具备:接收机构,从上述信息安全装置接收各监视模组对其他监视模组的监视结果;检测机构,使用接收到的上述监视结果,对没有被篡改的正常的监视模组的存在进行检测;第1假定机构,在进行了上述检测的情况下,对从上述监视模组选择的1个监视模组假定为被篡改;第2假定机构,以假定为被篡改的上述监视模组为起点,对未处理的监视模组连锁地采用以下次序:使用接收到的上述监视结果对将假定为被篡改的监视模组判断为正常的监视模组假定为被篡改;以及判断机构,判断由上述第2假定机构进行的时序的采用结果是否是全部的监视模组被假定为被篡改,在进行了上述判断的情况下,将最初被假定为被篡改的上述监视模组决定为正常的监视模组。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:海上勇二,
申请(专利权)人:松下电器产业株式会社,
类型:发明
国别省市:JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。