JPWO2009141935A1 - セキュリティレベル制御装置 - Google Patents

セキュリティレベル制御装置 Download PDF

Info

Publication number
JPWO2009141935A1
JPWO2009141935A1 JP2010512909A JP2010512909A JPWO2009141935A1 JP WO2009141935 A1 JPWO2009141935 A1 JP WO2009141935A1 JP 2010512909 A JP2010512909 A JP 2010512909A JP 2010512909 A JP2010512909 A JP 2010512909A JP WO2009141935 A1 JPWO2009141935 A1 JP WO2009141935A1
Authority
JP
Japan
Prior art keywords
authentication
security level
unit
transition
level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2010512909A
Other languages
English (en)
Inventor
安齋 潤
潤 安齋
寿春 板垣
寿春 板垣
俊介 横山
俊介 横山
貴文 賀川
貴文 賀川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Publication of JPWO2009141935A1 publication Critical patent/JPWO2009141935A1/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Telephone Function (AREA)

Abstract

3種類以上のセキュリティレベルのいずれかで動作可能なセキュリティレベル制御装置は、認証情報を取得する認証情報取得部と、認証情報が正しいか否かを認証する認証部と、認証部の認証結果が正しい場合、認証情報に対応したセキュリティレベルに遷移する遷移部とを備える。

Description

本発明は、状況に応じて3種類以上のセキュリティレベルのいずれかに設定可能なセキュリティレベル制御装置、セキュリティレベル制御方法及びセキュリティレベル制御プログラムに関する。
特許文献1には、データの読み出し・書き込みに関するセキュリティの高い第1動作モード、及び第1動作モードよりセキュリティの低い第2動作モードのいずれかのモードで動作可能な半導体メモリのセキュリティ技術について開示されている。特許文献2には、内部バスを介してアクセスされるモジュールと、モジュールが外部からの観測を受けないセキュア状態か外部からの観測を受ける非セキュア状態かを判定する判定回路と、非セキュア状態と判定されたときモジュールを内部バスから切り離すバスアクセス遮断回路とを含む情報処理装置について開示されている。
特許文献3には、セルラー電話のような電子装置内のメモリに対するいたずらを防止ために、電子装置のメモリへの無許可のアクセスを防止するシステムについて開示されている。当該システムでは、保護されたメモリへアクセスする企図を検出し、命令コードの実行に基づくアクセスを当該アクセスが認証された場合に許可し、当該アクセスが認証されない場合にはマイクロプロセッサの動作を停止して、当該アクセスを防止する。
特開2007−213478号公報 特開2006−318334号公報 特開2007−293847号公報
特許文献1〜3に記載の技術では、2種類のモードが定義され、一方のモードからもう一方のモードに遷移する際に、特定の認証方式による認証が成功した場合に当該遷移を許可する。しかし、3種類以上のモードが存在する場合については開示されていない。したがって、状況に応じて3種類以上のセキュリティレベルのいずれかに設定可能な携帯電話等の電子機器に、上記技術を適用することはできない。
本発明の目的は、状況に応じて3種類以上のセキュリティレベルのいずれかに設定可能なセキュリティレベル制御装置、セキュリティレベル制御方法及びセキュリティレベル制御プログラムを提供することである。
本発明は、3種類以上のセキュリティレベルのいずれかで動作可能なセキュリティレベル制御装置において、認証情報を取得する認証情報取得部と、前記認証情報が正しいか否かを認証する認証部と、前記認証部の認証結果が正しい場合、前記認証情報に対応したセキュリティレベルに遷移する遷移部と、を備えたセキュリティレベル制御装置を提供する。
上記セキュリティレベル制御装置では、記認証部は、前記認証情報に基づいて認証方式を判定し、当該判定した認証方式によって認証を行い、前記遷移部は、前記認証方式に対応したセキュリティレベルに遷移する。
上記セキュリティレベル制御装置では、前記認証部は、前記認証情報取得部が前記認証情報を取得したタイミングでの状態に応じて異なる認証方式を受け付け、当該受け付けた認証方式によって認証を行い、前記遷移部は、前記認証方式に対応したセキュリティレベルに遷移する。
上記セキュリティレベル制御装置では、前記遷移部は、前記認証情報に対応したセキュリティレベルに遷移する前に、当該セキュリティレベルに遷移するためのレベル遷移条件を満たすか否かを判定し、前記レベル遷移条件を満たさないときは当該セキュリティレベルへの遷移を中止する。
上記セキュリティレベル制御装置では、前記遷移部は、前記認証情報に対応したセキュリティレベルに遷移する前に、当該セキュリティレベルに遷移するためのレベル遷移条件を満たすか否かを判定し、前記レベル遷移条件を満たさないときは当該レベル遷移条件を満たすようプログラム又はデータを修正する。
上記セキュリティレベル制御装置は、プログラム又はデータを書き換える書換処理部と、前記遷移部によって遷移したセキュリティレベルが、前記書換部によるプログラム又はデータの書き換えによって低下した場合、前記書き換え前のレベル以上に高いレベルにセキュリティレベルを設定するレベル維持部と、を備える。
本発明は、3種類以上のセキュリティレベルのいずれかで動作可能なセキュリティレベル制御装置が行うセキュリティレベル制御方法であって、認証情報を取得する認証情報取得ステップと、前記認証情報が正しいか否かを認証し認証ステップと、認証結果が正しい場合、前記認証情報に対応したセキュリティレベルに遷移する遷移ステップと、を有するセキュリティレベル制御方法を提供する。
本発明は、コンピュータに、上記セキュリティレベル制御方法に記載の各ステップを実行させるためのセキュリティレベル制御プログラムを提供する。
本発明は、複数のセキュリティレベルで動作可能なセキュリティレベル制御装置において、認証情報を取得する認証情報取得部と、前記認証情報が正しいか否かを認証する認証部と、前記認証部の認証結果が正しい場合、前記認証情報に対応したセキュリティレベルに遷移する遷移部と、を備えたセキュリティレベル制御装置であって、前記遷移部は、前記認証情報に対応したセキュリティレベルに遷移する前に、当該セキュリティレベルに遷移するためのレベル遷移条件を満たすか否かを判定し、前記レベル遷移条件を満たさないときは当該セキュリティレベルへの遷移を中止するセキュリティレベル制御装置を提供する。
本発明は、複数のセキュリティレベルで動作可能なセキュリティレベル制御装置において、認証情報を取得する認証情報取得部と、前記認証情報が正しいか否かを認証する認証部と、前記認証部の認証結果が正しい場合、前記認証情報に対応したセキュリティレベルに遷移する遷移部と、を備えたセキュリティレベル制御装置であって、前記遷移部は、前記認証情報に対応したセキュリティレベルに遷移する前に、当該セキュリティレベルに遷移するためのレベル遷移条件を満たすか否かを判定し、前記レベル遷移条件を満たさないときは当該レベル遷移条件を満たすようプログラム又はデータを修正するセキュリティレベル制御装置を提供する。
本発明は、複数のセキュリティレベルで動作可能なセキュリティレベル制御装置において、認証情報を取得する認証情報取得部と、前記認証情報が正しいか否かを認証する認証部と、前記認証部の認証結果が正しい場合、前記認証情報に対応したセキュリティレベルに遷移する遷移部と、を備えたセキュリティレベル制御装置であって、プログラム又はデータを書き換える書換処理部と、前記遷移部によって遷移したセキュリティレベルが、前記書換部によるプログラム又はデータの書き換えによって低下した場合、前記書き換え前のレベル以上に高いレベルにセキュリティレベルを設定するレベル維持部と、を備えたセキュリティレベル制御装置を提供する。
本発明に係るセキュリティレベル制御装置、セキュリティレベル制御方法及びセキュリティレベル制御プログラムによれば、状況に応じて3種類以上のセキュリティレベルのいずれかに設定することができる。
本発明に係るセキュリティレベル制御装置を含む携帯端末と、この携帯端末に接続され得る認証用治具とを備えたシステムを示すブロック図 認証部が携帯端末の状態に応じて異なる認証方式を受け付ける方法を示す図 レベル遷移条件の一例を示す図 レベル維持部による動作の条件の一例を示す図 図1に示した携帯端末がセキュリティレベルを変更する際の動作を示すフローチャート 図1に示した携帯端末がセキュリティレベルを変更する際の動作を示すフローチャート
符号の説明
10 携帯端末
20A〜20C 認証用治具
101 通信部
103 認証部
105 鍵記憶部
107 セキュリティレベル記憶部
109 PGデータ記憶部
111 遷移部
113 レベル維持情報記憶部
115 書換部
151 レベル遷移条件判定部
153 状態変更部
155 レベル遷移部
157 書換制御部
161 書換処理部
163 書換後状態判定部
165 レベル維持部
以下、本発明の実施形態について、図面を参照して説明する。
図1は、本発明に係るセキュリティレベル制御装置を含む携帯端末と、この携帯端末に接続され得る認証用治具とを備えたシステムを示すブロック図である。図1に示すシステムは、状況に応じて3種類以上のセキュリティレベルのいずれかに設定可能な携携帯電話等の携帯端末10と、携帯端末10に接続され得る認証用治具20A〜20Cとを備える。
認証用治具20A〜20Cは、ケーブル等で接続された携帯端末10に、書き換えのためのプログラム若しくはデータ又は認証情報を送る。認証情報とは、携帯端末10が各認証用治具を識別するための情報である。認証用治具20A〜20Cは、携帯端末10の開発現場や工場、カスタマーサービスセンター等で用いられ、開発や生産、メンテナンス等のために携帯端末10のプログラム又はデータを書き換えるためのソフトウェアがインストールされたコンピュータである。各認証用治具のソフトウェアには、所望のセキュリティレベルに対応した認証方式による認証を行う機能が含まれる。
図1に示す例では、例えば、認証用治具20Aはカスタマーサービスセンターに設けられ、認証方式Aによる認証を行うことができる。また、認証用治具20Bは工場に設けられ、認証方式B,C,Dによる認証を行うことができる。さらに、認証用治具20Cは開発現場に設けられ、認証方式F,Gによる認証を行うことができる。
なお、認証方式には、共通鍵暗号による認証、公開鍵暗号による認証、ハッシュ関数による認証、チャレンジレスポンス認証、端末IDによる認証、ドングルによる認証、コマンドの正当性確認による認証、PW認証のいずれか又はこれらの組合わせが含まれる。
携帯端末10は、図1に示すように、通信部101と、認証部103と、鍵記憶部105と、セキュリティレベル記憶部107と、PGデータ記憶部109と、遷移部111と、レベル維持情報記憶部113と、書換部115とを備える。なお、認証部103、遷移部111及び書換部115はチップセット等によって構成され、プログラムが実行されることにより動作しても良い。
通信部101は、携帯端末10に接続された認証用治具から送られた、書き換えのためのプログラム若しくはデータ又は認証情報を受け取る。認証部103は、通信部101が受け取った認証情報に基づいて認証方式を判定し、当該判定した認証方式によって、携帯端末10に接続されている認証用治具を認証する。なお、認証部103には、認証方式とセキュリティレベルが対応したテーブルが設けられている。したがって、認証部103は、認証が成功した場合、当該認証の際に採用された認証方式に応じて、携帯端末10に設定するセキュリティレベルを特定する。
また、認証部103は、認証情報を受け取ったタイミングにおける携帯端末10の状態に応じて異なる認証方式を受け付け、当該受け付けた認証方式によって認証用治具を認証しても良い。例えば、認証部103は、図2に示すように、携帯端末10の内部ROM起動時、BIOS/IPL(Initial Program Loader)起動時、OS起動時、プログラムマネージャ起動時、通常起動時、メンテナンスモード時といった各段階に応じて、それぞれ異なる認証方式を受け付ける。
鍵記憶部105は、認証部103が認証用治具の認証を行う際に必要な鍵や証明書等の情報を記憶する。なお、鍵記憶部105に格納されている鍵や証明書は少なくとも1つの認証方式に対応している。
セキュリティレベル記憶部107は、携帯端末10に設定されているセキュリティレベルを記憶する。なお、セキュリティレベルを決定する要素には、デバッガ有効化機能、ソフトウェアの改ざん検出機能、ソフトウェア書換え機能、端末ID書換え機能、OSのコンソール有効化機能、及び携帯端末10が認証用治具からダウンロードしたプログラムの実行を行う機能が含まれる。PGデータ記憶部109は、携帯端末10で実行されるプログラム、又はプログラムを実行する際に用いられるデータを記憶する。
遷移部111は、レベル遷移条件判定部151と、状態変更部153と、レベル遷移部155と、書換制御部157とを有する。レベル遷移条件判定部151は、認証部103によって特定されたセキュリティレベルに遷移するための条件(以下「レベル遷移条件」という。)を携帯端末10が満たすか否かを判定する。レベル遷移条件の一例を図3に示す。例えば、レベルBの場合は認証に成功した場合に不揮発メモリへのプログラム書込みが許可される。ただし、遷移条件である書き込まれるプログラムの正当性が確認される必要がある。また、レベルFの場合は認証に成功した場合に全セキュリティ機能が有効となる。ただし、ソフトウェアの改ざん検出機能や全ての認証機能も有効となるため、改ざん検出に利用する正当性確認用ハッシュ値や認証用鍵などのデータが設定済みであることが遷移条件となる。
状態変更部153は、携帯端末10がレベル遷移条件を満たさない場合、遷移を禁止する、又は携帯端末10がレベル遷移条件を満たすようプログラム又はデータを修正する。なお、状態変更部153によって行われるプログラム又はデータの修正は、例えばレベルBの場合は遷移条件である書込みプログラムの正当性確認が失敗しているので、書込みプログラムに対応した正当性確認用ハッシュ値に差し替える、または書換えプログラム自体を別途保存している正当性確認済みのプログラムに差し替えることになる。また、正当性確認用ハッシュ値については別途保存しているハッシュ値に差し替える以外に、書込みプログラムから新規に計算することも可能である。
以上説明した遷移条件判定処理及び判定結果に応じた処理により、条件を満たさない状態遷移による携帯端末の状態不整合を防止することが可能となる。なお、状態不整合の携帯端末は、不整合の状況によっては復旧できずに廃棄端末となり大きなロストコストとなる。なお、セキュリティレベルが3種以上の場合について説明したが、2種の場合も3種以上と同様の課題と効果を有する。
レベル遷移部155は、レベル遷移条件を満たした後、携帯端末10が認証部103によって特定されたセキュリティレベルに遷移するよう、セキュリティレベル記憶部107に設定されているセキュリティレベルを書き換える。レベル遷移部155によってセキュリティレベルが書き換えられた後、遷移部111は、通信部101から認証用治具にレベル遷移結果を送る。書換制御部157は、セキュリティレベルが書き換えられた後、通信部101が認証用治具から受け取ったプログラム又はデータによってPGデータ記憶部109を書き換えるよう書換部115に指示する。
レベル維持情報記憶部113は、書換部115によってPGデータ記憶部109のプログラム又はデータが書き換えられる前に、当該書き換えによってセキュリティレベルが現在のレベルよりも下がっても、書き換え前のレベル又は最も高いレベルにセキュリティレベルを設定するために必要な情報(以下「レベル維持情報」という。)を記憶する。例えば、書換え前のプログラムとデータをレベル維持情報記憶部113に保存しておく。又は、最も高いセキュリティレベルのプログラムとデータをレベル維持情報記憶部113に保存しておく。
書換部115は、書換処理部161と、書換後状態判定部163と、レベル維持部165とを有する。書換処理部161は、遷移部111のレベル遷移部155によって遷移されたセキュリティレベルに関するレベル維持情報をレベル維持情報記憶部113に格納した後、PGデータ記憶部109のプログラム又はデータを書き換える。書換後状態判定部163は、書換処理部161によるプログラム又はデータの書き換え後に携帯端末10の状態を判定し、書き換え後のセキュリティレベルが書き換え前のレベルよりも下がっている場合には、レベルを上げるようレベル維持部165に指示する。携帯端末10の状態の判定方法としては、書換え後のプログラム自身がセキュリティレベルを変更する場合と、変更しない場合に分かれる。前者ではセキュリティレベル記憶部107を参照することで状態を判定できる。後者の場合は書換え後のプログラムを解析することで状態を判定する。例えば、低セキュリティレベルのプログラムの場合は認証用の鍵や改ざん検出用のハッシュ値がダミーであることから判定することが可能である。また、レベル維持部165による動作の条件の一例を図4に示す。レベル維持部165は、レベル維持情報記憶部113に格納されているレベル維持情報が示すセキュリティレベルに携帯端末10を設定する。
以上説明したレベル維持処理により、意図しないセキュリティレベルの低下を防止することが可能となる。なお、意図せずセキュリティレベルが低下した状態の携帯端末を再度市場へ流通させた場合、当該端末への攻撃のみならず当該端末の解析結果から他の端末への攻撃可能性もあるため大きなセキュリティリスクとなる。なお、セキュリティレベルが3種以上の場合について説明したが、2種の場合も3種以上と同様の課題と効果を有する。
図5及び図6は、図1に示した携帯端末10がセキュリティレベルを変更する際の動作を示すフローチャートである。図5に示すように、通信部101は、認証用治具から送られた認証情報を受け取る(ステップS101)。次に、認証部103は、認証情報に基づいて認証方式を判定し、当該判定した認証方式によって認証用治具を認証する(ステップS103)。次に、認証部103は、ステップS103での認証が成功したかを判別し(ステップS105)、認証が失敗していれば処理を終了し、成功していればステップS107に進む。
ステップS107では、認証部103は、ステップS103で行われた認証の際に採用された認証方式に応じたセキュリティレベルを特定する。次に、遷移部111は、ステップS107で特定されたセキュリティレベルに遷移するためのレベル遷移条件を携帯端末10が満たすか否かを判別し(ステップS109)、条件を満たさない場合はステップS111に進み、満たす場合はステップS115に進む。なお、ステップS109でレベル遷移条件を満たさないと判断された場合、ステップS111に進まずに処理を終了しても良い。
ステップS111では、遷移部111は、携帯端末10がレベル遷移条件を満たすようプログラム又はデータを修正する。次に、遷移部111は、ステップS109で行った処理と同様に、携帯端末10がレベル遷移条件を満たすか否かを判別し(ステップS113)、条件を満たさない場合は処理を終了し、満たす場合はステップS115に進む。
ステップS115では、遷移部111は、ステップS107で特定されたセキュリティレベルに遷移するようセキュリティレベルを書き換える。次に、遷移部111は、ステップS115で行ったレベル遷移の結果を通信部101を介して認証用治具に送る(ステップS117)。
次に、図6に示すように、通信部101が書き換えのためのプログラム又はデータを受け取って、携帯端末10がプログラム又はデータを書き換えるか否かを判別する(ステップS119)。プログラム又はデータの書き換えを行う場合、書換部115は、ステップS115で行ったレベル遷移後のセキュリティレベルに関するレベル維持情報をレベル維持情報記憶部113に格納する(ステップS121)。なお、レベル維持情報記憶部113に予め最も高いレベルのセキュリティレベルに関するレベル維持情報が格納されている場合、ステップS121を行う必要はない。
次に、書換部115は、PGデータ記憶部109のプログラム又はデータを書き換える(ステップS123)。次に、書換部115は、ステップS123実行後のセキュリティレベルがステップS123実行前のレベルよりも低下したかを判別し(ステップS125)、レベルが低下していなければ処理を終了し、低下していればステップS127に進む。ステップS127では、書換部115は、ステップS121で格納されたレベル維持情報が示すセキュリティレベルに携帯端末10を設定して、処理を終了する。
以上説明したように、本実施形態の携帯端末10によれば、3種類以上のセキュリティレベルの内、認証用治具の認証の際に採用された認証方式に応じたセキュリティレベルに遷移することができる。また、認証方式に応じたセキュリティレベルに遷移する前に、レベル遷移条件を満たすか否かを判定し、条件を満たさない場合には、遷移を禁止する、又は当該条件を満たすよう携帯端末10のプログラム又はデータを修正するため、不正規状態への遷移を防止できる、又は所望のレベルに確実に遷移することができる。さらに、認証用治具から送られたプログラム又はデータによる書き換えの結果、セキュリティレベルが低下しても、レベル遷移後の元のレベル又は最も高いレベルに上げられるため、プログラム又はデータの書き換えによるセキュリティレベルの低下を維持することができる。
本発明を詳細にまた特定の実施態様を参照して説明したが、本発明の精神と範囲を逸脱することなく様々な変更や修正を加えることができることは当業者にとって明らかである。
本出願は、2008年5月22日出願の日本特許出願(特願2008−134738)に基づくものであり、その内容はここに参照として取り込まれる。
本発明に係るセキュリティレベル制御装置、セキュリティレベル制御方法及びセキュリティレベル制御プログラムは、状況に応じて3種類以上のセキュリティレベルのいずれかに設定可能な技術等として有用である。
本発明は、状況に応じて3種類以上のセキュリティレベルのいずれかに設定可能なセキュリティレベル制御装置に関する。
特許文献1には、データの読み出し・書き込みに関するセキュリティの高い第1動作モード、及び第1動作モードよりセキュリティの低い第2動作モードのいずれかのモードで動作可能な半導体メモリのセキュリティ技術について開示されている。特許文献2には、内部バスを介してアクセスされるモジュールと、モジュールが外部からの観測を受けないセキュア状態か外部からの観測を受ける非セキュア状態かを判定する判定回路と、非セキュア状態と判定されたときモジュールを内部バスから切り離すバスアクセス遮断回路とを含む情報処理装置について開示されている。
特許文献3には、セルラー電話のような電子装置内のメモリに対するいたずらを防止ために、電子装置のメモリへの無許可のアクセスを防止するシステムについて開示されている。当該システムでは、保護されたメモリへアクセスする企図を検出し、命令コードの実行に基づくアクセスを当該アクセスが認証された場合に許可し、当該アクセスが認証されない場合にはマイクロプロセッサの動作を停止して、当該アクセスを防止する。
特開2007−213478号公報 特開2006−318334号公報 特開2007−293847号公報
特許文献1〜3に記載の技術では、2種類のモードが定義され、一方のモードからもう一方のモードに遷移する際に、特定の認証方式による認証が成功した場合に当該遷移を許可する。しかし、3種類以上のモードが存在する場合については開示されていない。したがって、状況に応じて3種類以上のセキュリティレベルのいずれかに設定可能な携帯電話等の電子機器に、上記技術を適用することはできない。
本発明の目的は、状況に応じて3種類以上のセキュリティレベルのいずれかに設定可能なセキュリティレベル制御装置を提供することである。
本発明は、複数のセキュリティレベルのいずれかで動作可能なセキュリティレベル制御装置において、認証情報を取得する認証情報取得部と、前記認証情報が正しいか否かを認証する認証部と、前記認証部の認証結果が正しい場合、前記認証情報に対応したセキュリティレベルに遷移する遷移部と、を備え、前記遷移部は、前記認証情報に対応したセキュリティレベルに遷移する前に、当該セキュリティレベルに遷移するためのレベル遷移条件を満たすか否かを判定し、前記レベル遷移条件を満たさないときは、当該セキュリティレベルへの遷移を中止する、もしくは、当該レベル遷移条件を満たすようプログラム又はデータを修正するセキュリティレベル制御装置を提供する。
上記セキュリティレベル制御装置では、プログラム又はデータを書き換える書換処理部と、前記遷移部によって遷移したセキュリティレベルが、前記書換部によるプログラム又はデータの書き換えによって低下した場合、前記書き換え前のレベル以上に高いレベルにセキュリティレベルを設定するレベル維持部と、を備える。
本発明は、複数のセキュリティレベルで動作可能なセキュリティレベル制御装置において、認証情報を取得する認証情報取得部と、前記認証情報が正しいか否かを認証する認証部と、前記認証部の認証結果が正しい場合、前記認証情報に対応したセキュリティレベルに遷移する遷移部と、プログラム又はデータを書き換える書換処理部と、前記遷移部によって遷移したセキュリティレベルが、前記書換部によるプログラム又はデータの書き換えによって低下した場合、前記書き換え前のレベル以上に高いレベルにセキュリティレベルを設定するレベル維持部と、を備えたセキュリティレベル制御装置を提供する。
本発明に係るセキュリティレベル制御装置によれば、状況に応じて3種類以上のセキュリティレベルのいずれかに設定することができる。
本発明に係るセキュリティレベル制御装置を含む携帯端末と、この携帯端末に接続され得る認証用治具とを備えたシステムを示すブロック図 認証部が携帯端末の状態に応じて異なる認証方式を受け付ける方法を示す図 レベル遷移条件の一例を示す図 レベル維持部による動作の条件の一例を示す図 図1に示した携帯端末がセキュリティレベルを変更する際の動作を示すフローチャート 図1に示した携帯端末がセキュリティレベルを変更する際の動作を示すフローチャート
以下、本発明の実施形態について、図面を参照して説明する。
図1は、本発明に係るセキュリティレベル制御装置を含む携帯端末と、この携帯端末に接続され得る認証用治具とを備えたシステムを示すブロック図である。図1に示すシステムは、状況に応じて3種類以上のセキュリティレベルのいずれかに設定可能な携携帯電話等の携帯端末10と、携帯端末10に接続され得る認証用治具20A〜20Cとを備える。
認証用治具20A〜20Cは、ケーブル等で接続された携帯端末10に、書き換えのためのプログラム若しくはデータ又は認証情報を送る。認証情報とは、携帯端末10が各認証用治具を識別するための情報である。認証用治具20A〜20Cは、携帯端末10の開発現場や工場、カスタマーサービスセンター等で用いられ、開発や生産、メンテナンス等のために携帯端末10のプログラム又はデータを書き換えるためのソフトウェアがインストールされたコンピュータである。各認証用治具のソフトウェアには、所望のセキュリティレベルに対応した認証方式による認証を行う機能が含まれる。
図1に示す例では、例えば、認証用治具20Aはカスタマーサービスセンターに設けられ、認証方式Aによる認証を行うことができる。また、認証用治具20Bは工場に設けられ、認証方式B,C,Dによる認証を行うことができる。さらに、認証用治具20Cは開発現場に設けられ、認証方式F,Gによる認証を行うことができる。
なお、認証方式には、共通鍵暗号による認証、公開鍵暗号による認証、ハッシュ関数による認証、チャレンジレスポンス認証、端末IDによる認証、ドングルによる認証、コマンドの正当性確認による認証、PW認証のいずれか又はこれらの組合わせが含まれる。
携帯端末10は、図1に示すように、通信部101と、認証部103と、鍵記憶部105と、セキュリティレベル記憶部107と、PGデータ記憶部109と、遷移部111と、レベル維持情報記憶部113と、書換部115とを備える。なお、認証部103、遷移部111及び書換部115はチップセット等によって構成され、プログラムが実行されることにより動作しても良い。
通信部101は、携帯端末10に接続された認証用治具から送られた、書き換えのためのプログラム若しくはデータ又は認証情報を受け取る。認証部103は、通信部101が受け取った認証情報に基づいて認証方式を判定し、当該判定した認証方式によって、携帯端末10に接続されている認証用治具を認証する。なお、認証部103には、認証方式とセキュリティレベルが対応したテーブルが設けられている。したがって、認証部103は、認証が成功した場合、当該認証の際に採用された認証方式に応じて、携帯端末10に設定するセキュリティレベルを特定する。
また、認証部103は、認証情報を受け取ったタイミングにおける携帯端末10の状態に応じて異なる認証方式を受け付け、当該受け付けた認証方式によって認証用治具を認証しても良い。例えば、認証部103は、図2に示すように、携帯端末10の内部ROM起動時、BIOS/IPL(Initial Program Loader)起動時、OS起動時、プログラムマネージャ起動時、通常起動時、メンテナンスモード時といった各段階に応じて、それぞれ異なる認証方式を受け付ける。
鍵記憶部105は、認証部103が認証用治具の認証を行う際に必要な鍵や証明書等の情報を記憶する。なお、鍵記憶部105に格納されている鍵や証明書は少なくとも1つの認証方式に対応している。
セキュリティレベル記憶部107は、携帯端末10に設定されているセキュリティレベ
ルを記憶する。なお、セキュリティレベルを決定する要素には、デバッガ有効化機能、ソフトウェアの改ざん検出機能、ソフトウェア書換え機能、端末ID書換え機能、OSのコンソール有効化機能、及び携帯端末10が認証用治具からダウンロードしたプログラムの実行を行う機能が含まれる。PGデータ記憶部109は、携帯端末10で実行されるプログラム、又はプログラムを実行する際に用いられるデータを記憶する。
遷移部111は、レベル遷移条件判定部151と、状態変更部153と、レベル遷移部155と、書換制御部157とを有する。レベル遷移条件判定部151は、認証部103によって特定されたセキュリティレベルに遷移するための条件(以下「レベル遷移条件」という。)を携帯端末10が満たすか否かを判定する。レベル遷移条件の一例を図3に示す。例えば、レベルBの場合は認証に成功した場合に不揮発メモリへのプログラム書込みが許可される。ただし、遷移条件である書き込まれるプログラムの正当性が確認される必要がある。また、レベルFの場合は認証に成功した場合に全セキュリティ機能が有効となる。ただし、ソフトウェアの改ざん検出機能や全ての認証機能も有効となるため、改ざん検出に利用する正当性確認用ハッシュ値や認証用鍵などのデータが設定済みであることが遷移条件となる。
状態変更部153は、携帯端末10がレベル遷移条件を満たさない場合、遷移を禁止する、又は携帯端末10がレベル遷移条件を満たすようプログラム又はデータを修正する。なお、状態変更部153によって行われるプログラム又はデータの修正は、例えばレベルBの場合は遷移条件である書込みプログラムの正当性確認が失敗しているので、書込みプログラムに対応した正当性確認用ハッシュ値に差し替える、または書換えプログラム自体を別途保存している正当性確認済みのプログラムに差し替えることになる。また、正当性確認用ハッシュ値については別途保存しているハッシュ値に差し替える以外に、書込みプログラムから新規に計算することも可能である。
以上説明した遷移条件判定処理及び判定結果に応じた処理により、条件を満たさない状態遷移による携帯端末の状態不整合を防止することが可能となる。なお、状態不整合の携帯端末は、不整合の状況によっては復旧できずに廃棄端末となり大きなロストコストとなる。なお、セキュリティレベルが3種以上の場合について説明したが、2種の場合も3種以上と同様の課題と効果を有する。
レベル遷移部155は、レベル遷移条件を満たした後、携帯端末10が認証部103によって特定されたセキュリティレベルに遷移するよう、セキュリティレベル記憶部107に設定されているセキュリティレベルを書き換える。レベル遷移部155によってセキュリティレベルが書き換えられた後、遷移部111は、通信部101から認証用治具にレベル遷移結果を送る。書換制御部157は、セキュリティレベルが書き換えられた後、通信部101が認証用治具から受け取ったプログラム又はデータによってPGデータ記憶部109を書き換えるよう書換部115に指示する。
レベル維持情報記憶部113は、書換部115によってPGデータ記憶部109のプログラム又はデータが書き換えられる前に、当該書き換えによってセキュリティレベルが現在のレベルよりも下がっても、書き換え前のレベル又は最も高いレベルにセキュリティレベルを設定するために必要な情報(以下「レベル維持情報」という。)を記憶する。例えば、書換え前のプログラムとデータをレベル維持情報記憶部113に保存しておく。又は、最も高いセキュリティレベルのプログラムとデータをレベル維持情報記憶部113に保存しておく。
書換部115は、書換処理部161と、書換後状態判定部163と、レベル維持部165とを有する。書換処理部161は、遷移部111のレベル遷移部155によって遷移さ
れたセキュリティレベルに関するレベル維持情報をレベル維持情報記憶部113に格納した後、PGデータ記憶部109のプログラム又はデータを書き換える。書換後状態判定部163は、書換処理部161によるプログラム又はデータの書き換え後に携帯端末10の状態を判定し、書き換え後のセキュリティレベルが書き換え前のレベルよりも下がっている場合には、レベルを上げるようレベル維持部165に指示する。携帯端末10の状態の判定方法としては、書換え後のプログラム自身がセキュリティレベルを変更する場合と、変更しない場合に分かれる。前者ではセキュリティレベル記憶部107を参照することで状態を判定できる。後者の場合は書換え後のプログラムを解析することで状態を判定する。例えば、低セキュリティレベルのプログラムの場合は認証用の鍵や改ざん検出用のハッシュ値がダミーであることから判定することが可能である。また、レベル維持部165による動作の条件の一例を図4に示す。レベル維持部165は、レベル維持情報記憶部113に格納されているレベル維持情報が示すセキュリティレベルに携帯端末10を設定する。
以上説明したレベル維持処理により、意図しないセキュリティレベルの低下を防止することが可能となる。なお、意図せずセキュリティレベルが低下した状態の携帯端末を再度市場へ流通させた場合、当該端末への攻撃のみならず当該端末の解析結果から他の端末への攻撃可能性もあるため大きなセキュリティリスクとなる。なお、セキュリティレベルが3種以上の場合について説明したが、2種の場合も3種以上と同様の課題と効果を有する。
図5及び図6は、図1に示した携帯端末10がセキュリティレベルを変更する際の動作を示すフローチャートである。図5に示すように、通信部101は、認証用治具から送られた認証情報を受け取る(ステップS101)。次に、認証部103は、認証情報に基づいて認証方式を判定し、当該判定した認証方式によって認証用治具を認証する(ステップS103)。次に、認証部103は、ステップS103での認証が成功したかを判別し(ステップS105)、認証が失敗していれば処理を終了し、成功していればステップS107に進む。
ステップS107では、認証部103は、ステップS103で行われた認証の際に採用された認証方式に応じたセキュリティレベルを特定する。次に、遷移部111は、ステップS107で特定されたセキュリティレベルに遷移するためのレベル遷移条件を携帯端末10が満たすか否かを判別し(ステップS109)、条件を満たさない場合はステップS111に進み、満たす場合はステップS115に進む。なお、ステップS109でレベル遷移条件を満たさないと判断された場合、ステップS111に進まずに処理を終了しても良い。
ステップS111では、遷移部111は、携帯端末10がレベル遷移条件を満たすようプログラム又はデータを修正する。次に、遷移部111は、ステップS109で行った処理と同様に、携帯端末10がレベル遷移条件を満たすか否かを判別し(ステップS113)、条件を満たさない場合は処理を終了し、満たす場合はステップS115に進む。
ステップS115では、遷移部111は、ステップS107で特定されたセキュリティレベルに遷移するようセキュリティレベルを書き換える。次に、遷移部111は、ステップS115で行ったレベル遷移の結果を通信部101を介して認証用治具に送る(ステップS117)。
次に、図6に示すように、通信部101が書き換えのためのプログラム又はデータを受け取って、携帯端末10がプログラム又はデータを書き換えるか否かを判別する(ステップS119)。プログラム又はデータの書き換えを行う場合、書換部115は、ステップ
S115で行ったレベル遷移後のセキュリティレベルに関するレベル維持情報をレベル維持情報記憶部113に格納する(ステップS121)。なお、レベル維持情報記憶部113に予め最も高いレベルのセキュリティレベルに関するレベル維持情報が格納されている場合、ステップS121を行う必要はない。
次に、書換部115は、PGデータ記憶部109のプログラム又はデータを書き換える(ステップS123)。次に、書換部115は、ステップS123実行後のセキュリティレベルがステップS123実行前のレベルよりも低下したかを判別し(ステップS125)、レベルが低下していなければ処理を終了し、低下していればステップS127に進む。ステップS127では、書換部115は、ステップS121で格納されたレベル維持情報が示すセキュリティレベルに携帯端末10を設定して、処理を終了する。
以上説明したように、本実施形態の携帯端末10によれば、3種類以上のセキュリティレベルの内、認証用治具の認証の際に採用された認証方式に応じたセキュリティレベルに遷移することができる。また、認証方式に応じたセキュリティレベルに遷移する前に、レベル遷移条件を満たすか否かを判定し、条件を満たさない場合には、遷移を禁止する、又は当該条件を満たすよう携帯端末10のプログラム又はデータを修正するため、不正規状態への遷移を防止できる、又は所望のレベルに確実に遷移することができる。さらに、認証用治具から送られたプログラム又はデータによる書き換えの結果、セキュリティレベルが低下しても、レベル遷移後の元のレベル又は最も高いレベルに上げられるため、プログラム又はデータの書き換えによるセキュリティレベルの低下を維持することができる。
本発明を詳細にまた特定の実施態様を参照して説明したが、本発明の精神と範囲を逸脱することなく様々な変更や修正を加えることができることは当業者にとって明らかである。
本出願は、2008年5月22日出願の日本特許出願(特願2008−134738)に基づくものであり、その内容はここに参照として取り込まれる。
本発明に係るセキュリティレベル制御装置は、状況に応じて3種類以上のセキュリティレベルのいずれかに設定可能な技術等として有用である。
10 携帯端末
20A〜20C 認証用治具
101 通信部
103 認証部
105 鍵記憶部
107 セキュリティレベル記憶部
109 PGデータ記憶部
111 遷移部
113 レベル維持情報記憶部
115 書換部
151 レベル遷移条件判定部
153 状態変更部
155 レベル遷移部
157 書換制御部
161 書換処理部
163 書換後状態判定部
165 レベル維持部

Claims (11)

  1. 3種類以上のセキュリティレベルのいずれかで動作可能なセキュリティレベル制御装置において、
    認証情報を取得する認証情報取得部と、
    前記認証情報が正しいか否かを認証する認証部と、
    前記認証部の認証結果が正しい場合、前記認証情報に対応したセキュリティレベルに遷移する遷移部と、
    を備えたことを特徴とするセキュリティレベル制御装置。
  2. 請求項1に記載のセキュリティレベル制御装置であって、
    記認証部は、前記認証情報に基づいて認証方式を判定し、当該判定した認証方式によって認証を行い、
    前記遷移部は、前記認証方式に対応したセキュリティレベルに遷移することを特徴とするセキュリティレベル制御装置。
  3. 請求項1に記載のセキュリティレベル制御装置であって、
    前記認証部は、前記認証情報取得部が前記認証情報を取得したタイミングでの状態に応じて異なる認証方式を受け付け、当該受け付けた認証方式によって認証を行い、
    前記遷移部は、前記認証方式に対応したセキュリティレベルに遷移することを特徴とするセキュリティレベル制御装置。
  4. 請求項1に記載のセキュリティレベル制御装置であって、
    前記遷移部は、前記認証情報に対応したセキュリティレベルに遷移する前に、当該セキュリティレベルに遷移するためのレベル遷移条件を満たすか否かを判定し、前記レベル遷移条件を満たさないときは当該セキュリティレベルへの遷移を中止することを特徴とするセキュリティレベル制御装置。
  5. 請求項1に記載のセキュリティレベル制御装置であって、
    前記遷移部は、前記認証情報に対応したセキュリティレベルに遷移する前に、当該セキュリティレベルに遷移するためのレベル遷移条件を満たすか否かを判定し、前記レベル遷移条件を満たさないときは当該レベル遷移条件を満たすようプログラム又はデータを修正することを特徴とするセキュリティレベル制御装置。
  6. 請求項1に記載のセキュリティレベル制御装置であって、
    プログラム又はデータを書き換える書換処理部と、
    前記遷移部によって遷移したセキュリティレベルが、前記書換部によるプログラム又はデータの書き換えによって低下した場合、前記書き換え前のレベル以上に高いレベルにセキュリティレベルを設定するレベル維持部と、
    を備えたことを特徴とするセキュリティレベル制御装置。
  7. 3種類以上のセキュリティレベルのいずれかで動作可能なセキュリティレベル制御装置が行うセキュリティレベル制御方法であって、
    認証情報を取得する認証情報取得ステップと、
    前記認証情報が正しいか否かを認証し認証ステップと、
    認証結果が正しい場合、前記認証情報に対応したセキュリティレベルに遷移する遷移ステップと、
    を有することを特徴とするセキュリティレベル制御方法。
  8. コンピュータに、請求項7に記載の各ステップを実行させるためのセキュリティレベル制御プログラム。
  9. 複数のセキュリティレベルで動作可能なセキュリティレベル制御装置において、
    認証情報を取得する認証情報取得部と、
    前記認証情報が正しいか否かを認証する認証部と、
    前記認証部の認証結果が正しい場合、前記認証情報に対応したセキュリティレベルに遷移する遷移部と、
    を備えたセキュリティレベル制御装置であって、
    前記遷移部は、前記認証情報に対応したセキュリティレベルに遷移する前に、当該セキュリティレベルに遷移するためのレベル遷移条件を満たすか否かを判定し、前記レベル遷移条件を満たさないときは当該セキュリティレベルへの遷移を中止することを特徴とするセキュリティレベル制御装置。
  10. 複数のセキュリティレベルで動作可能なセキュリティレベル制御装置において、
    認証情報を取得する認証情報取得部と、
    前記認証情報が正しいか否かを認証する認証部と、
    前記認証部の認証結果が正しい場合、前記認証情報に対応したセキュリティレベルに遷移する遷移部と、
    を備えたセキュリティレベル制御装置であって、
    前記遷移部は、前記認証情報に対応したセキュリティレベルに遷移する前に、当該セキュリティレベルに遷移するためのレベル遷移条件を満たすか否かを判定し、前記レベル遷移条件を満たさないときは当該レベル遷移条件を満たすようプログラム又はデータを修正することを特徴とするセキュリティレベル制御装置。
  11. 複数のセキュリティレベルで動作可能なセキュリティレベル制御装置において、
    認証情報を取得する認証情報取得部と、
    前記認証情報が正しいか否かを認証する認証部と、
    前記認証部の認証結果が正しい場合、前記認証情報に対応したセキュリティレベルに遷移する遷移部と、
    を備えたセキュリティレベル制御装置であって、
    プログラム又はデータを書き換える書換処理部と、
    前記遷移部によって遷移したセキュリティレベルが、前記書換部によるプログラム又はデータの書き換えによって低下した場合、前記書き換え前のレベル以上に高いレベルにセキュリティレベルを設定するレベル維持部と、
    を備えたことを特徴とするセキュリティレベル制御装置。
JP2010512909A 2008-05-22 2009-01-30 セキュリティレベル制御装置 Withdrawn JPWO2009141935A1 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2008134738 2008-05-22
JP2008134738 2008-05-22
PCT/JP2009/000371 WO2009141935A1 (ja) 2008-05-22 2009-01-30 セキュリティレベル制御装置、セキュリティレベル制御方法及びセキュリティレベル制御プログラム

Publications (1)

Publication Number Publication Date
JPWO2009141935A1 true JPWO2009141935A1 (ja) 2011-09-29

Family

ID=41339880

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010512909A Withdrawn JPWO2009141935A1 (ja) 2008-05-22 2009-01-30 セキュリティレベル制御装置

Country Status (2)

Country Link
JP (1) JPWO2009141935A1 (ja)
WO (1) WO2009141935A1 (ja)

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0830745A (ja) * 1994-07-20 1996-02-02 Nippon Telegr & Teleph Corp <Ntt> 個人識別機能付きカード、個人識別機能付きカードの処理システムおよび個人識別機能付きカードの処理方法
JP2001282625A (ja) * 2000-03-31 2001-10-12 Fujitsu Ltd セキュリティ管理システムおよびセキュリティ管理プログラム記憶媒体
JP3827600B2 (ja) * 2001-04-17 2006-09-27 松下電器産業株式会社 個人認証方法および装置
JP2003216582A (ja) * 2002-01-25 2003-07-31 Toshiba Corp 情報ネットワークシステム
JP4794242B2 (ja) * 2005-08-30 2011-10-19 富士通株式会社 制御方法、制御プログラム及び制御装置
JP2007164661A (ja) * 2005-12-16 2007-06-28 Fuji Xerox Co Ltd ユーザ認証プログラム、ユーザ認証装置、ユーザ認証方法
JP2007282103A (ja) * 2006-04-11 2007-10-25 Hitachi Electronics Service Co Ltd セキュリティシステム及びセキュリティ管理サーバ
JP4977425B2 (ja) * 2006-09-28 2012-07-18 Necカシオモバイルコミュニケーションズ株式会社 携帯端末装置及びプログラム

Also Published As

Publication number Publication date
WO2009141935A1 (ja) 2009-11-26

Similar Documents

Publication Publication Date Title
CN102521548B (zh) 一种管理功能使用权限的方法及移动终端
EP3480720B1 (en) Method and system for downloading software based on mobile terminal
US20140250290A1 (en) Method for Software Anti-Rollback Recovery
US9832230B2 (en) IC chip, information processing apparatus, system, method, and program
US20190278613A1 (en) Managing the Customizing of Appliances
KR20100016657A (ko) 전자 디바이스에서 simlock 정보를 보호하는 방법 및 장치
CN111143854B (zh) 芯片的安全启动装置、***及方法
WO2017045627A1 (zh) 一种控制单板安全启动的方法、软件包升级的方法及装置
CN112148314B (zh) 一种嵌入式***的镜像验证方法、装置、设备及存储介质
US20130124845A1 (en) Embedded device and control method thereof
WO2014206170A1 (zh) 一种验证方法及设备
US9843451B2 (en) Apparatus and method for multi-state code signing
US8549312B2 (en) Mobile terminal and method for protecting its system data
CN112417422A (zh) 安全芯片升级方法及计算机可读存储介质
JP6354438B2 (ja) 情報処理装置、情報処理システム及び処理プログラム
JPWO2009141935A1 (ja) セキュリティレベル制御装置
JP4665635B2 (ja) 認証データ格納方法
JP5099895B2 (ja) 通信端末及びアクセス制御方法
CN110929283B (zh) 一种uefi bios的分级保护***和相应的实现方法
CN108809647B (zh) 电缆调制解调器的启动方法及***
KR100351875B1 (ko) 이동 단말기의 고유 번호 복제 방지 방법
CN115758301A (zh) Led控制卡的用户权限保护方法、装置、控制卡及介质
CN116257839A (zh) 升级签名固件的方法、电子设备和存储介质
CN114880651A (zh) 一种基于文件扩展属性的进程白名单实现方法及装置
CN114253576A (zh) 双bios镜像刷新验证的方法、装置、存储介质及设备

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20111212

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20121024