[发明专利]秘密信息存储装置、秘密信息的消除方法以及秘密信息的消除程序

说明书

技术领域

本发明涉及检测篡改而自动消除自己所保存的秘密信息的防篡改装置、秘密信息的消除方法以及秘密信息的消除程序。 

背景技术

在对用于加密的秘密密钥进行管理的加密装置等的、对泄漏的风险极其高的秘密信息进行处理的装置中，有如下风险：通过使用逻辑分析器等来对装置内置的CPU(Central Processing Unit：中央处理单元)、存储器的动作进行解析，从而窃取秘密信息。因此，采取如下措施：用金属的罩覆盖整个装置，并使用对罩被取下的情形进行检测而自动消除秘密信息的防篡改技术，来确保整个装置的安全性。 

以往的防篡改装置在装置的罩中具备磁通量发生装置，并在基板上连接了磁通量检测装置。当打开罩时磁通量发生装置与磁通量检测装置的相对位置发生变化，所以可以用磁通量检测装置来检测磁通量的变化。因此，防篡改装置在检测到磁通量的变化的情况下，进行通过停止向易失性存储器的电源供给从而消除保存在易失性存储器中的秘密信息这样的防篡改处理(例如专利文献1)。 

另外，秘密信息有时并非一个而是存在多个。在这样的情况下，还提出了如下方法：对覆盖装置的罩的拆卸等进行检测，将保存在存储装置中的多个秘密信息全部消除，从而防止密钥信息的泄漏(例如专利文献2)。 

专利文献1：日本特开2006-229667号公报第3～4页、图3 

专利文献2：日本特开2006-190222号公报第5～7页、图1 

发明要解决的课题

以往的防篡改装置存在如下课题：在将根据保存在本装置内的秘密信息而在本装置内制作的数据发送给与本装置连接的PC(PersonalComputer(个人计算机)，以下称为PC)等的情况下，无法干预至该制作的数据是否被保护。 

例如，考虑如下情况：购买加密后的电影、音乐，使用作为防篡改装置的一个实施方式的防篡改加密装置中保存的加密密钥，对电影、音乐的加密内容进行解密，并在连接了监视器的PC上进行再现。在该情况下，在防篡改装置中虽然能够保护用于对加密内容进行解密的加密密钥，但是解密的电影、音乐等内容被发送给处于防篡改装置外部的PC。但是，PC自身不具有防篡改的结构。另外，防篡改加密装置无法得知PC是否利用调试器、逻辑分析器等来进行了解析。因此，防篡改加密装置无法干预至发送给PC上的内容是否被正确地保护。 

另外，以往的防篡改装置是使用开关、光学传感器、磁传感器、温度传感器、振动传感器等多个传感器构成的。因此，存在如下课题：只要由某一个传感器检测到篡改，就将防篡改装置内的秘密信息全部消除，因此之后的恢复处理变得烦杂。 

例如，在上述例子中示出的防篡改加密装置中，考虑保存有内容解密用的加密密钥和远程维护用的认证密钥的情况。由于内容分发中心进行防篡改加密装置的维护，因此为了建立SSL等加密通信信道而使用认证密钥。因此，可以认为为了保护内容而不直接利用的认证密钥与内容保护中使用的加密密钥相比，必须保护的程度低。另外，温度传感器、振动传感器是对设置有防篡改加密装置的环境的变化进行检测的传感器，可以认为与对罩拆卸等进行检测的光学传感器、磁传感器相比，秘密信息泄漏的风险低。在该情况下，如果即使温度传感器、振动传感器进行动作也不消除认证密钥、而能够仅消除重要度高的加密密钥，则可以抑制内容泄漏的风险，并且可以容易地进行篡改检测后的恢复处理(维护)。但是，在以往的防篡改加密板中，无法根据篡改检测的理由、秘密信息的属性、重要度，来部分地消除秘密 信息。 

发明内容

(1)本发明的目的在于，防篡改装置不仅针对自己，而且也针对自己所连接的PC等外部装置，检测拆卸罩等的篡改行为，并且防篡改装置防止通过进行篡改处理而泄漏防篡改装置内的秘密信息、或发送给外部装置的数据。 

(2)另外，目的还在于，在篡改检测时，防篡改装置不仅可以消除自身内部的所有秘密信息，而且还可以按照利用者考虑篡改种类、秘密信息的重要度而指定的安全性策略，考虑篡改种类、秘密信息的重要度，部分地且选择性地消除秘密信息，从而防止秘密信息的泄漏，并且防止可用性的降低。 

用于解决课题的手段

本发明的秘密信息存储装置的特征在于，具备： 

传感器对应记录存储部，存储至少一个传感器对应记录，在该传感器对应记录中，规定的秘密信息对应着至少一个传感器，并且指定了所对应的传感器应满足的检测条件；