図面 (/)

技術 データ保護方法及びシステム

出願人 ゴーアテックインコーポレイテッド
発明者 チアン,ビンビン
出願日 2013年1月17日 (7年11ヶ月経過) 出願番号 2014-552498
公開日 2015年2月5日 (5年10ヶ月経過) 公開番号 2015-504222
状態 特許登録済
技術分野 記憶装置の機密保護
主要キーワード 操作メカニズム 光照射環境 データ記憶スペース 初期化ユニット ゼロフィル デュアルシステム 検知サーバ システム起動前
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2015年2月5日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (6)

課題

本発明は、データ保護方法及びシステムを開示している。

解決手段

本発明実施例により提供されているデータ保護方法は、データが所在している機器を1回初期化するプロセスにおいて、セキュリティ環境での機器の環境情報に基づいて環境因子を獲得する処理と、セキュリティ環境での環境因子を用いて機器における敏感データを暗号化するとともに、暗号化の成功を確認できた後に、前記環境因子を廃棄する処理とを含む。前記機器を起動するたびに、現在の環境での機器の環境情報に基づいて環境因子を獲得し、そして、現在の環境での環境因子を用いて前記機器における暗号化された敏感データを復号し、復号成功の場合、前記機器におけるデータへのアクセス許可し、復号失敗の場合、前記機器におけるデータへのアクセスを拒否する。本方案は、必要なハードウェアコストが安く、且つ、データ漏洩リスクが大いに低減される。

概要

背景

情報担体機器の普及に伴い、より多くの自動制御情報処理システムは、組み込み式アーキテクチャを採用し、個人、企業などの社会組織から情報担体機器に対する依存度は、ますます高まっている。組み込み式機器は、常用の情報担体機器であり、その普及は、社会生産効率を向上させ、生産に対する制御を容易にした一方、システムにおける各種の情報記録に対し、セキュリティ保護上の具体的な要求を求めている。

近年、多くの情報セキュリティベンダーによるデータ保護技術についての研究開発は、主に、組み込み式機器のデータのネットワークにおいての安全性を如何に保護するかに限っており、例えば、ネットワークにおけるデータベースローカルファイルなどのデータに対する保護である。しかしながら、情報記憶及び管理担体としての組み込み式機器自体のデータセキュリティ(特に、機器の物理的セキュリティ)は、よく見落とされてしまうため、データ漏洩リスクが高く、確実な安全確保を実現しにくい。特に、組み込み式モバイル機器の場合、紛失又は盗難されると、機器の中のデータは極めて漏洩されやすいので、企業のコアデータが紛失され、企業の技術及び営業秘密損失をもたらしてしまう。

現在、多くの研究開発者及びユーザーは、データのビジネス価値及び企業のバリューチェーンにおける意義を意識し始めており、前記問題に対して、トラステッドコンピューティング理論体系を用いて情報担体機器を保護することを提案した。ハードウェア上では、暗号化されたハードウェア機器、例えばトラステッド・プラットフォームモジュール(Trusted Platform Module,TPMチップ及びUSB−keyなどを増設し、ロジック上では、信頼できるセキュリティルートを設置し、該セキュリティルートは、セキュリティシステムにおける信頼関係の「ルート」であると見なすことができ、セキュリティシステムにおいて全ての相互信頼又は権限付与の活動は、いずれもセキュリティルートに基づいて行われる。

概要

本発明は、データ保護方法及びシステムを開示している。本発明実施例により提供されているデータ保護方法は、データが所在している機器を1回初期化するプロセスにおいて、セキュリティ環境での機器の環境情報に基づいて環境因子を獲得する処理と、セキュリティ環境での環境因子を用いて機器における敏感データを暗号化するとともに、暗号化の成功を確認できた後に、前記環境因子を廃棄する処理とを含む。前記機器を起動するたびに、現在の環境での機器の環境情報に基づいて環境因子を獲得し、そして、現在の環境での環境因子を用いて前記機器における暗号化された敏感データを復号し、復号成功の場合、前記機器におけるデータへのアクセス許可し、復号失敗の場合、前記機器におけるデータへのアクセスを拒否する。本方案は、必要なハードウェアコストが安く、且つ、データ漏洩のリスクが大いに低減される。

目的

効果

実績

技術文献被引用数
2件
牽制数
1件

この技術が所属する分野

(分野番号表示ON)※整理標準化データをもとに当社作成

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

データが所在している機器を1回初期化するプロセスにおいて、セキュリティ環境での機器の環境情報に基づいて環境因子を獲得し、及び、セキュリティ環境での環境因子を用いて機器における敏感データを暗号化し、且つ暗号化の成功を確認できた後に前記環境因子を廃棄し、前記機器を起動するたびに、現在の環境での機器の環境情報に基づいて環境因子を獲得し、現在の環境での環境因子を用いて前記機器における暗号化された敏感データを復号し、復号成功の場合、前記機器におけるデータへのアクセス許可し、復号失敗の場合、前記機器におけるデータへのアクセスを拒否することを特徴とするデータ保護方法

請求項2

前記環境情報は、少なくとも、機器の温度環境情報、機器の湿度環境情報、機器の光照射環境情報、機器使用者生物特徴情報、機器の物理環境画像情報、機器のネットワーク環境情報、機器と認証サーバーとが双方向身分認証を行う双方向身分認証情報のいずれか1種を含み、環境情報に基づいて環境因子を獲得する処理は、抽出された環境情報を環境因子とするか、又は、抽出された環境情報を用いて環境因子を生成する処理を含むことを特徴とする請求項1に記載の方法。

請求項3

前記のセキュリティ環境での環境因子を用いて機器における敏感データを暗号化する処理は、セキュリティ環境での環境因子を用いて、ビットワイズ対称アルゴリズムによって機器における敏感データを暗号化する処理を含み、前記の現在の環境での環境因子を用いて前記機器における暗号化された敏感データを復号する処理は、現在の環境での環境因子を用いて、暗号化した時と同一のビットワイズ対称アルゴリズムによって、前記暗号化された敏感データを復号する処理を含むことを特徴とする請求項1に記載の方法。

請求項4

前記の、復号失敗の場合、前記機器におけるデータへのアクセスを拒否する処理は、前記敏感データを廃棄することによって、前記機器におけるデータへのアクセスを拒否する処理、又は、セキュリティ環境でのオペレーティングシステムを前記機器が起動することを阻止することによって、前記機器におけるデータへのアクセスを拒否する処理を含むことを特徴とする請求項1に記載の方法。

請求項5

前記機器におけるデータへのアクセスを拒否する場合、アラーム情報を送信する処理と、及び/又は、前記敏感データにアクセスできないようになっている非セキュリティ環境でのオペレーティングシステムを前記機器が起動することを、許可する処理とをさらに含むことを特徴とする請求項4に記載の方法。

請求項6

環境監視サーバーは、予めセキュリティ環境での前記機器の身分情報採集しておき、前記機器を毎回起動する前に、環境監視サーバーは、現在の環境での前記機器の身分情報を採集し、セキュリティ環境での前記機器の身分情報に基づいて現在の環境での前記機器の身分情報を検証するとともに、検証結果に基づいて、前記機器が合法機器であるかどうかを判断し、合法機器であれば、前記機器のセキュリティ環境へのアクセスを許可し、合法機器でなければ、前記機器のセキュリティ環境へのアクセスを禁止することを特徴とする請求項1に記載の方法。

請求項7

前記機器が組み込み式機器の場合、前記敏感データは、カーネル及びイメージファイルデータであることを特徴とする請求項1乃至6のいずれか1項に記載の方法。

請求項8

データが所在している機器を含むデータ保護システムであって、前記機器は、初期化ユニットブート制御ユニット、環境因子獲得ユニット及び暗号化・復号ユニットを含み、前記初期化ユニットは、前記機器を1回初期化するプロセスにおいて、環境因子獲得ユニットを介して、セキュリティ環境での機器の環境情報に基づいて環境因子を獲得し、暗号化・復号ユニットを介して、前記環境因子を用いて前記機器における敏感データを暗号化し、暗号化の成功を確認できた後に、前記初期化ユニットは、前記環境因子を廃棄し、前記ブート制御ユニットは、前記機器を起動するたびに、環境因子獲得ユニットを介して、現在の環境での機器の環境情報に基づいて環境因子を獲得し、暗号化・復号ユニットを介して、現在の環境での環境因子を用いて前記暗号化された敏感データを復号し、復号成功の場合、前記ブート制御ユニットは、前記機器におけるデータへのアクセスを許可し、復号失敗の場合、前記機器におけるデータへのアクセスを拒否することを特徴とするシステム

請求項9

環境情報抽出ユニットをさらに含み、前記環境情報抽出ユニットは、少なくとも、機器の温度環境情報を抽出するための温度採集装置、機器の湿度環境情報を抽出するための湿度採集装置、機器の光照射環境情報を抽出するための光照射採集装置、機器使用者の生物特徴情報を抽出するための生物特徴採集装置、機器の物理環境画像情報を抽出するための画像採集装置、機器のネットワーク環境情報を抽出するためのネットワーク検知サーバー、機器と認証サーバーとの双方向身分認証情報を抽出するための認証サーバーのいずれか1種を含み、前記環境因子獲得ユニットは、前記環境情報抽出ユニットより抽出された環境情報を環境因子とするか、又は、前記環境情報抽出ユニットより抽出された環境情報を用いて環境因子を生成することを特徴とする請求項8に記載のシステム。

請求項10

環境監視サーバーをさらに含み、前記環境監視サーバーは、予めセキュリティ環境での前記機器の身分情報を採集しておき、前記機器を毎回起動する前に、現在の環境での前記機器の身分情報を採集し、セキュリティ環境での前記機器の身分情報に基づいて現在の環境での前記機器の身分情報を検証するとともに、検証結果に基づいて前記機器が合法機器であるかどうかを判断し、合法機器であれば、前記機器のセキュリティ環境へのアクセスを許可し、合法機器でなければ、前記機器のセキュリティ環境へのアクセスを禁止することを特徴とする請求項8又は9に記載のシステム。

技術分野

0001

本発明は、データセキュリティ技術分野に関し、特に、データ保護方法及びシステムに関する。

背景技術

0002

情報担体機器の普及に伴い、より多くの自動制御情報処理システムは、組み込み式アーキテクチャを採用し、個人、企業などの社会組織から情報担体機器に対する依存度は、ますます高まっている。組み込み式機器は、常用の情報担体機器であり、その普及は、社会生産効率を向上させ、生産に対する制御を容易にした一方、システムにおける各種の情報記録に対し、セキュリティ保護上の具体的な要求を求めている。

0003

近年、多くの情報セキュリティベンダーによるデータ保護技術についての研究開発は、主に、組み込み式機器のデータのネットワークにおいての安全性を如何に保護するかに限っており、例えば、ネットワークにおけるデータベースローカルファイルなどのデータに対する保護である。しかしながら、情報記憶及び管理担体としての組み込み式機器自体のデータセキュリティ(特に、機器の物理的セキュリティ)は、よく見落とされてしまうため、データ漏洩リスクが高く、確実な安全確保を実現しにくい。特に、組み込み式モバイル機器の場合、紛失又は盗難されると、機器の中のデータは極めて漏洩されやすいので、企業のコアデータが紛失され、企業の技術及び営業秘密損失をもたらしてしまう。

0004

現在、多くの研究開発者及びユーザーは、データのビジネス価値及び企業のバリューチェーンにおける意義を意識し始めており、前記問題に対して、トラステッドコンピューティング理論体系を用いて情報担体機器を保護することを提案した。ハードウェア上では、暗号化されたハードウェア機器、例えばトラステッド・プラットフォームモジュール(Trusted Platform Module,TPMチップ及びUSB−keyなどを増設し、ロジック上では、信頼できるセキュリティルートを設置し、該セキュリティルートは、セキュリティシステムにおける信頼関係の「ルート」であると見なすことができ、セキュリティシステムにおいて全ての相互信頼又は権限付与の活動は、いずれもセキュリティルートに基づいて行われる。

発明が解決しようとする課題

0005

従来のデータ保護方案には、少なくとも下記の欠陥がある。
従来のトラステッドコンピューティング理論体系の解決方案は、コンピューティング・プラットフォームに、暗号化ハードウェア機器、例えばTPMチップ又はUSB−keyなどを別途増設する必要があり、ハードウェアのコストが高すぎるので、多くのユーザーにとっては受け入れにくい。なおかつ、従来のセキュリティ保護体系の実施及び展開の操作が複雑で、専門性が高いため、普通のIT管理者は、通常、単独でシステムの配置及びメンテナンス遂行しにくく、それに、一旦配置を誤ると、システム全体が利用不可になるか、若しくはシステム全体の安全性が大いに低下してしまう可能性が出てくる。

課題を解決するための手段

0006

本発明は、データ保護方法及びシステムを提供しており、従来の方案に存在するハードウェアのコストが高すぎ、専門性が高すぎるという問題を解決することを図る。
上記目的を達成するために、本発明の実施例は、下記の技術方案を採用する。

0007

本発明の1つの実施例は、データ保護方法を提供しており、データが所在している機器を1回初期化するプロセスにおいて、セキュリティ環境での機器の環境情報に基づいて環境因子を獲得し、並びに、セキュリティ環境での環境因子を用いて機器における敏感データを暗号化し、且つ暗号化の成功を確認できた後に前記環境因子を廃棄し、前記機器を起動するたびに、現在の環境での機器の環境情報に基づいて環境因子を獲得し、そして、現在の環境での環境因子を用いて前記機器における暗号化された敏感データを復号し、復号成功の場合、前記機器におけるデータへのアクセス許可し、復号失敗の場合、前記機器におけるデータへのアクセスを拒否する。

0008

本発明のもう1つの実施例は、さらに、データ保護システムを提供しており、前記システムは、データが所在している機器を含み、前記機器は、初期化ユニットと、ブート制御ユニットと、環境因子獲得ユニットと、暗号化・復号ユニットとを備え、その内、前記機器を1回初期化するプロセスにおいて、前記初期化ユニットは、環境因子獲得ユニットを介して、セキュリティ環境での機器の環境情報に基づいて環境因子を獲得し、暗号化・復号ユニットを介して、前記環境因子を用いて前記機器における敏感データを暗号化し、暗号化の成功を確認できた後に、前記初期化ユニットは、前記環境因子を廃棄し、前記機器を起動するたびに、前記ブート制御ユニットは、環境因子獲得ユニットを介して、現在の環境での機器の環境情報に基づいて環境因子を獲得し、暗号化・復号ユニットを介して、現在の環境での環境因子を用いて前記暗号化された敏感データを復号し、復号成功の場合、前記ブート制御ユニットは、前記機器におけるデータへのアクセスを許可し、復号失敗の場合、前記機器におけるデータへのアクセスを拒否する。

発明の効果

0009

本発明実施例が果たす有益な効果は、以下の通りである。
本発明実施例は、セキュリティ環境においてセキュリティ環境因子を抽出するとともに、セキュリティ環境因子を用いて機器における不揮発性敏感データを暗号化することによって、機器における敏感データを動作環境バンドルし、異なる動作環境から異なる環境因子を抽出することができるため、一旦、機器が安全な動作環境から移出されると、一致する環境因子が得られずに復号が失敗してしまい、引いては、機器におけるデータへのアクセスが拒否されることによって、データ漏洩のリスクが低減される。本方案は、暗号化ハードウェア機器を別途増設する必要がなく、環境とバンドルされる暗号化・復号メカニズムを介して、機器における不揮発性敏感データに対する保護が実現されるため、ハードウェアのコストが安く、そして、本データ保護方案を実施及び展開する操作も比較的に簡単であり、専門性の要求が低く、システムの実施及び展開の作業負荷及びマンパワーに対する要求が低下した。

図面の簡単な説明

0010

本発明の1つの実施例により提供されたデータ保護方法のフローチャートである。
本発明のもう1つの実施例により提供された環境因子獲得ユニットの動作モードの模式図である。
本発明のさらなる1つの実施例により提供されたデータ保護システムの動作モードの模式図である。
本発明のさらなる1つの実施例により提供された、環境とバンドルされたデュアルシステム機器が起動する際の一種の動作モードの模式図である。
本発明のさらなる1つの実施例により提供された一種のデュアルシステム操作メカニズムの模式図である。

実施例

0011

本発明の目的、技術方案及び利点をより明らかにするために、以下に、図面を参照しながら、本発明の実施形態をさらに詳しく説明する。

0012

本発明の1つの実施例は、データ保護方法を提供しており、図1を参照して、具体的には、下記のステップ11〜ステップ16を含む。

0013

ステップ11においては、セキュリティ環境での機器の環境情報(セキュリティ環境情報と略称する)を抽出するとともに、セキュリティ環境情報に基づき、環境因子を獲得する。上記機器は、保護すべきデータが所在している機器である。

0014

ステップ12においては、セキュリティ環境因子を用いて機器における敏感データを暗号化し、且つ暗号化の成功を確認できた後に環境因子を廃棄する。
上記セキュリティ環境は、機器の初回セットアップ時の動作環境であってもよく、その際、ステップ11及びステップ12の操作は、機器の第1回の初期化プロセスにおいて実行すればよい。又は、上記セキュリティ環境は、機器の初回セットアップ及び稼動後に、実際の必要に応じて設定された動作環境であってもよく、その際、ステップ11及びステップ12の操作は、機器の1回の初期化プロセスにおいて完成することになる。

0015

上記敏感データは、セキュリティ環境での機器におけるデータへのアクセスに必須の唯一的データであり、該敏感データは、不揮発性データである。例えば、上記敏感データは、機器のセキュリティ環境でのオペレーティングシステムを起動する際に必須となる唯一的不揮発性データでもよい。

0016

ステップ13においては、機器を起動するたびに、現在の環境での機器の環境情報(現在の環境情報と略称する)を抽出し、現在の環境情報に基づき、環境因子を獲得する。
本実施例において、セキュリティ環境因子を用いて不揮発性敏感データを暗号化した後、再起動の際に、現在の動作環境を識別して現在の環境因子を抽出する必要がある。
同様の動作環境にて抽出された環境因子が一致する(或は誤差が一定の許容範囲内に抑えられる)ことが要求されるが、異なる動作環境にて抽出された環境因子が異なることになる。不揮発性敏感データを暗号化及び復号するときの環境因子は、一致する必要がある。

0017

ステップ14においては、現在の環境因子を用いて暗号化された敏感データを復号し、復号が成功したかどうかを判断し、復号が成功した場合、ステップ15を実行し、復号が失敗した場合、ステップ16を実行する。

0018

ステップ15においては、復号が成功した場合に機器におけるデータへのアクセスを許可する。
例えば、機器のセキュリティ環境でのオペレーティングシステムを起動し、且つ動作させることを許可して、機器におけるデータへの正常なアクセスを実現する。

0019

ステップ16においては、復号が失敗した場合に機器におけるデータへのアクセスを拒否する。
例えば、機器のセキュリティ環境でのオペレーティングシステムの起動を禁止することによって、該オペレーティングシステムでのデータアクセスを阻止する。

0020

本実施例においては、環境と機器との双方向認証のメカニズムがさらに提供されており、環境監視サーバーが、予めセキュリティ環境での機器の身分情報採集しておき、機器を毎回起動する前に、環境監視サーバーが、現在の環境での機器の身分情報を採集して、セキュリティ環境での機器の身分情報に基づいて現在の環境での機器の身分情報を検証するとともに、検証結果に応じて機器が合法機器であるかどうかを判断し、合法機器であれば、機器のセキュリティ環境へのアクセスを許可し、合法機器でなければ、機器のセキュリティ環境へのアクセスを禁止する処理を含む。

0021

方法実施例に係るステップの具体的な実行方式について、本発明システム実施例の関連内容を参照する。
本発明のもう1つの実施例は、データ保護システムを例として、本方案が提供しているデータ保護メカニズムを説明する。本実施例が提供しているデータ保護システムは、データが所在している機器を含み、該機器は、初期化ユニット、ブート制御ユニット、環境因子獲得ユニット及び暗号化・復号ユニットを含む。

0022

初期化ユニットは、機器の1回の初期化プロセスにおいて、環境因子獲得ユニットを介して、セキュリティ環境での機器の環境情報に基づいて環境因子を獲得し、暗号化・復号ユニットを介して、環境因子を用いて機器における敏感データを暗号化する。暗号化の成功を確認できた後に、初期化ユニットは、前記環境因子を廃棄する。

0023

ブート制御ユニットは、機器を起動するたびに、環境因子獲得ユニットを介して、現在の環境での機器の環境情報に基づいて環境因子を獲得し、暗号化・復号ユニットを介し現在の環境での環境因子を用いて、暗号化された敏感データを復号する。復号成功の場合、ブート制御ユニットは、機器におけるデータへのアクセスを許可し、復号失敗の場合、機器におけるデータへのアクセスを拒否する。

0024

上記セキュリティ環境は、機器の初回セットアップ時の動作環境であってもよく、又は、機器初回セットアップ及び稼動後に、実際の必要に応じて設定された動作環境であってもよい。本実施例においては、機器の初回セットアップ時の動作環境がセキュリティ環境として選定される例を挙げて説明する。上記機器は、各種の組み込み式機器、例えば、組み込み式記憶機器、組み込み式携帯端末携帯電話タブレットPad)、組み込み式工業制御用コンピュータなどを含むが、これらに限らない。

0025

環境因子の抽出
上記環境因子の抽出とは、保護される機器(例えば組み込み式機器)が、環境情報抽出ユニットを介し、一定のロジックに従ってその動作環境(自然環境、機器の物理環境サーバー及びソフトウェア環境)とインタラクションを行い、環境情報から特徴抽出を完成して、最終的に、環境因子として、一定の長さのデータ列を生成するプロセスを指す。

0026

識別される環境要素が異なれば、環境情報抽出ユニットと環境とのインタラクション方式も異なり、採用可能なインタラクション方式は、少なくとも、温度環境の精確測定、光照射強度の測定、ビデオ監視撮影の物理環境の画像、生物特徴の測定、ネットワーク環境の測定、データの走査チャレンジレスポンス(Challenge−Response)認証メカニズムを用いてインターネットとのインタラクションにより秘密鍵の取得などを含む。これらの要素のいずれか1つ又は複数の組合相互作用によって、最終的に、システムが環境を認知するための環境因子が形成される。

0027

図2を参照して、環境因子獲得ユニット110は、環境情報を抽出するための外部装置112乃至115とインタラクションを行い、該外部装置112乃至115は、環境情報抽出ユニットである。

0028

画像採集装置112は、機器の物理環境に対応する物理環境画像情報を採集でき、採集される環境情報は、該物理環境画像情報を含む。
温度湿度採集装置113(例えば温度採集装置)は、機器の温度環境に対し測定を行い、温度環境情報を獲得でき、採集される環境情報は、該温度環境情報を含む。

0029

温度湿度採集装置113(例えば湿度採集装置)は、また、機器の湿度環境に対し測定を行い、湿度環境情報を獲得でき、採集される環境情報は、該湿度環境情報を含む。
画像採集装置112、温度湿度採集装置113は、いずれも、直接的なデータインタフェースを介してデータを採集し、そして、データの誤差解消メカニズムによって、安定且つ信頼できる数値を環境因子として得るか若しくは環境因子の生成に参与することが可能である。

0030

ネットワーク検知サーバー114は、機器のネットワーク環境のネットワーク環境情報を採集でき、採集される環境情報は、該ネットワーク環境情報を含む。ネットワーク検知サーバー114は、組み込み式機器内部に統合されたサブ機能モジュール、又は、組み込み式機器外部に設置された装置によって実現される。採集されるネットワーク環境情報は、主に、ネットワークのトポロジ構造、ネットワークにおける各サーバー又は特定ホストフィンガープリント(FingerPrint)、例えば、メディアアクセス制御(MAC)アドレス情報などを含み、これらの情報は、抽象化されてから環境因子を生成するか、若しくは環境因子の生成に参与する。

0031

認証サーバー115は、機器と双方向身分認証を行い、認証通過後に、認証サーバーが双方向身分認証情報としてのデータブロックを生成し、該データブロックを機器まで送信して、その際、採集される環境情報が該データブロックを含むことになる。例えば、認証サーバー115と組み込み式機器とは、直接に、チャレンジ/レスポンスの非対称暗号化方法によってチャンネル双方向の認証を行うことが可能であり、その同時に、認証サーバーと組み込み式機器とのそれぞれに相手の身分を確認させ、そして、該非対称暗号化データチャンネルにおいて、認証サーバーにより、組み込み式機器にデータブロックを授与して、該データブロックを環境因子とするか若しくは環境因子の生成に参与させる。そのうち、チャレンジ/レスポンス認証メカニズムは、身分認証の方式であり、該方式にあたって、認証を行うたびに、認証サーバー側が、クライアント側に異なる「チャレンジ」データ列を1つ送信して、クライアント側が、この「チャレンジ」データ列を受信した後、対応する「応答」を行うようにしており、これにより、双方の身分確認を実現している。

0032

さらに、上記環境要素の測定に加え、本システムは、光照射採集装置を用いて機器の光照射環境に対して測定を行い、光照射強度情報を得ることも可能であり、その際、採集される環境情報は、該光照射強度の情報を含むことになるか、又は、生物特徴採集装置を用いて機器使用者の生物特徴情報(例えば指紋虹彩など)を採集可能であり、その際、採集される環境情報は、該生物特徴情報を含むことになる。

0033

環境因子獲得ユニット110は、採集された一種又は多種の環境情報を、そのまま、獲得される環境因子とするか、又は、環境因子獲得ユニットは、採集された一種又は多種の環境情報を用いて環境因子を生成する。例えば、環境因子獲得ユニットは、一種又は多種の環境情報に対して特徴抽出を行い、予め定められたアルゴリズムに基づいて一定の長さのデータ列を生成して、該データ列を環境因子とする。生成の方式は、例えば、環境情報における環境変数の具体的なデータに対して特徴抽出を行って、ミクロ可変要素遮蔽して特徴文字列を形成し、演算に参与した各環境変数のデータに対応する全ての特徴文字列をハッシュ化することにより、最終的に環境因子を獲得するか、又は、特徴文字列に対するモジュロ演算などの方法にて最終的に環境因子を獲得する。環境因子獲得ユニット110は、該環境因子を暗号化・復号ユニット120に転送し、暗号化・復号ユニット120は、該環境因子を不揮発性敏感データの暗号化又は復号のための秘密鍵とする。

0034

初期化ユニット
上記初期化ユニットは、主に、機器の初回セットアップ時の環境情報に対する確認及び環境情報の抽出を達成し、環境因子を形成するとともに、この「環境因子」を初期化の秘密鍵とすることによって、システムにおける不揮発性記憶媒体内の敏感データを暗号化する。該不揮発性敏感データは、機器のセキュリティ環境でのデータをアクセスするに必須の唯一的データであり、例えば、上記不揮発性敏感データは、機器のセキュリティ環境でのオペレーティングシステムを起動するに必須の唯一的データであってもよい。組み込み式機器の場合、選定される不揮発性敏感データは、カーネル及びイメージファイルデータ(Ramdisk,RAMディスク内のデータ)である。一方、機器における不揮発性記憶媒体内のその他のデータに対して、オペレーティングシステムのレベルで、環境因子を用いてプリシェアードキー方式に従って暗号化処理を実現し、信頼性のある伝達を達成する。

0035

初期化ユニットは、ロジック上で、システムのアプリケーション層位置づけられてもよく、システム初回起動時に動作し、環境因子獲得ユニット及び暗号化・復号ユニットをそれぞれ操作してシステムの初回稼動配置を完成するが、その配置の過程においては、保存可能なプロファイル又はデータを生成せず、環境情報からの特徴抽出の結果によって環境因子を獲得して、獲得された環境因子を秘密鍵としてそのまま、保護すべきシステムカーネル及びイメージファイルを暗号化して、暗号化成功後、該環境因子を保存しない。該初期化の結果は、直接抽出及び逆解析が不可能である。

0036

本実施例において、初期化ユニットは、自滅機能を有しており、暗号化の成功が確認できた後、セキュリティ環境因子を廃棄し、機器に記憶されている非暗号化の前記不揮発性敏感データを削除するとともに、暗号化機能を禁止する。システムの記憶媒体において、初期化ユニットに占用されたデータ記憶スペースに対しデータ消去の操作が行われる。消去の方法は、オールゼロ充填ゼロフィル)、オールワン充填、乱数充填などを含む。自滅プロセスの最終段階において、ブート制御ユニットのプロファイルが修正され、初期化ユニットに関わる情報が除去されるとともに、機器が再起動される。

0037

ブート制御ユニット
ブート制御ユニットは、主に、システム起動前の環境確認を達成し、組み込み式機器のオペレーティングシステムのカーネルがブートされる前に環境確認動作を実行して、セキュリティ保護体系のない環境で機器が起動されてしまう(例えば機器が指定の動作環境から移出されてしまう)ことを回避する。

0038

従って、ブート制御ユニットは、上記同一の環境因子獲得ユニットを呼び出すことによって、環境因子の生成を実現可能である。同様に、生じた出力結果(環境因子)は、1回だけ使用される復号キーであり、システムに保存されることはない。
まず、環境因子獲得ユニットは、獲得した環境情報に基づいて1つの環境因子を抽出して、これを元に、機器の不揮発性記憶媒体に記憶されているオペレーティングシステムのカーネル及びその対応するイメージファイル(Ramdisk)を復号する。機器の動作環境が変わると、正確な環境因子が生成できず、不揮発性記憶媒体に記憶されているデータに対し平文の抽出もできない。

0039

同様な環境においては、環境因子獲得ユニットにより抽出される環境因子は、完全に一致しなければならず、且つ該環境因子は、システムのロード又は起動時だけに役割を果たし、一旦システムがロード又は起動を完成すると、該環境因子は、システムのいずれの揮発性又は不揮発性記憶媒体にも存在しない。

0040

図3を参照して、この図は、本発明のもう1つの実施例により提供されたデータ保護システムの動作モードの模式図である。
本実施例において、保護すべき機器が組み込み式機器であり、セキュリティ環境が機器の初回セットアップ環境である場面を例として説明する。初期化プロセスにおいて、環境情報が抽出されて環境因子が生成され、また、環境因子を用いて暗号文のカーネル及びイメージファイルが生成される。従って、初期化プロセスは、1回限り且つ不可逆でなければならず、初期化ユニットは、システムの初回通電時に操作を完成するが、初期化プロセスの不可逆を確保するように、操作完成後に自滅を行わなければならない。

0041

システムの初回起動時に、ブート制御ユニットは、システムのプロファイルに基づいて、システムが初回起動であるかどうかをチェックすることが可能であり、初回起動の場合、ステップ210を実行する。

0042

ステップ210においては、システムの初期化ユニット200を起動する。
初期化ユニット200は、環境因子獲得ユニット100を呼び出して環境情報を採集し、環境因子を生成するとともに、環境因子を暗号化・復号ユニット201に入力する。

0043

ステップ213においては、暗号化・復号ユニット201は、不揮発性記憶媒体300におけるカーネルファイル及びイメージファイルに対し暗号化処理を行う。
本実施例において、ビットワイズ対称アルゴリズムを用いて機器における選定された不揮発性敏感データを暗号化する。ビット毎に操作されるため、原始データは、暗号化された後に、その長さに如何なる変化も発生しないため、元のファイルの長さに如何なる影響も与えず、オペレーティングシステムの安定性が確保され、機器の互換性が向上した。

0044

暗号化・復号ユニット210は、暗号化操作を完成してから、暗号化されたカーネルファイル及びイメージファイルに対しベリファイを行い、ベリファイが完了し、暗号化の成功が確認できた後、初期化ユニット100に、次のステップ215へ進むように知らせる。

0045

ステップ215においては、初期化ユニット200は、自滅操作を行う。
自滅操作は、具体的に、初期化ユニット200の従来のデータ記憶スペースに対してデータ消去の操作を行うことであってもよい。
データ消去の方法は、オールゼロ充填、オールワン充填、乱数充填などを含む。自滅プロセスの最終段階は、ブート制御ユニットのプロファイルが修正され、初期化ユニット200に関わる情報が除去されることになり、これで、機器の初期化プロセスが完了する。

0046

図3における点線に示すステップは、機器初期化時に実行する必要があるステップである。システムの初期化が完了後、再度通電して機器を起動し、図3における実線に示すステップを実行する。

0047

ステップ216においては、ブート制御ユニットは、正常な起動プロセス入り、BIOSのロードが完了した後、環境因子獲得ユニット100を直接に呼び出す。
ステップ217においては、環境因子獲得ユニット100は、現在の環境での環境因子を生成して、暗号化・復号ユニット201に入力する。

0048

ステップ218においては、暗号化・復号ユニット201は、現在の環境での環境因子を用いて、暗号文のカーネル及びイメージファイルに対し復号を行い、復号成功の場合、機器におけるデータへのアクセスを許可し、復号失敗の場合、機器におけるデータへのアクセスを拒否する。

0049

本実施例において、機器がセキュリティ環境から離脱して起動した場合、種々の関連操作を採用可能である。例えば、アラーム通信モジュールを介してアラーム情報発信して、アラーム情報がGPS情報SMS、MMSなどの様々な情報であってもよく、また、種々のネットワーク通信方式を介してアラーム情報を伝送してもよい。或は、削除モジュールを用いて前記敏感データを削除することによって、機器におけるデータへのアクセスを禁止する。或は、起動禁止モジュールを用いて、セキュリティ環境でのオペレーティングシステムを機器が起動することを阻止する。並びに、起動許可モジュールを用いて、暗号化・復号ユニットによる復号に失敗したときに、非セキュリティ環境でのオペレーティングシステムを機器が起動することを許可するが、該非セキュリティ環境でのオペレーティングシステムは、前記敏感データにアクセスできないようになっている。

0050

本発明のもう1つの実施例は、さらに、環境要素に応じて異なるオペレーティングシステムを選択して起動するデュアルシステム機器を提供している。即ち、システムにおいて、少なくとも2種のオペレーティングシステムが設置され、そのうち、1種のオペレーティングシステムは、環境因子とバンドルされる一方、もう1種のオペレーティングシステムは、環境とバンドルされず、必要に応じて異なるオペレーティングシステムの間で自由に切り替える。

0051

図4を参照して、環境因子を用いて機器における不揮発性敏感データを暗号化した後に、本発明実施例が提供しているデュアルシステム機器の起動に係る動作プロセスは、主に、以下のステップ41〜ステップ49を含む。

0052

ステップ41においては、機器通電後に、マスターブートレコード(Master Boot Record,MBR)が動作する。
ステップ42においては、マスターブートレコードは、ブート制御ユニットを起動する。
マスターブートレコードは、ブート制御ユニットのデータを不揮発性記憶媒体からメモリー上にロードして実行し始める。

0053

ステップ43においては、ブート制御ユニットは、システムのプロファイルに基づいて、環境判断プロセスを実行する必要があるかどうかを判断し、必要がない場合、ステップ44が実行され、必要がある場合、ステップ45が実行される。

0054

ステップ44においては、環境判断プロセスを実行する必要がないときに、環境とバンドルされていない第1オペレーティングシステム(OS1と標記する)を起動する。該第1オペレーティングシステムは、暗号化された不揮発性敏感データをアクセスする必要がなく、即ち、該第1オペレーティングシステムの起動及び動作には、上記暗号化された不揮発性敏感データが必要とされない。

0055

ステップ45においては、環境判断プロセスを実行する必要があるときに、環境因子獲得ユニットを起動する。
環境因子獲得ユニットは、獲得した環境情報に基づいて環境因子を生成する。

0056

ステップ46においては、暗号化・復号ユニットは、環境因子に基づいて暗号文のカーネルファイル及びイメージファイルに対し復号操作を実行し、復号の成功が確認できた後に、ステップ49が実行され、復号後のカーネルファイル及びイメージファイルがロードされ、環境要素とバンドルされている第2オペレーティングシステム(OS2と標記する)が起動される。復号が失敗した後に、ステップ47が実行される。

0057

ステップ47においては、アラーム操作の必要があるかどうかを判断し、必要がある場合、ステップ48が実行される。また、必要に応じて、上記不揮発性敏感データを破壊して、環境とバンドルされているオペレーティングシステムにおいて機器が起動されないように確保することも可能であり、これにより、機器の該システムにおけるデータへのアクセスが拒否される。

0058

ステップ48においては、アラーム通信モジュールを起動してアラーム情報を送信する。
上記アラーム通信モジュールは、SMSカード、MMSカード、又は、グローバル?ポジショニング?システム(GPS)チップのいずれか1つ又は複数であってもよい。

0059

本実施例が提供しているデュアルシステム操作メカニズムは、また、図5に示すようにしてもよい。
初期化プロセスにおいて、初期化ユニット200により、機器がサポートしている2種のオペレーティングシステムから1つを選択して環境要素とバンドルし、例えば、オペレーティングシステムOS2を環境とバンドルする。

0060

再度機器を起動するときに、ブート制御ユニットは、直接に環境確認プロセスを通じて機器がセキュリティ環境で動作しているかどうかを判断し、セキュリティ環境で動作している場合は、セキュリティ環境でのオペレーティングシステム(OS2)を起動し、そうでない場合は、もう1つの環境とバンドルされていないオペレーティングシステム(OS1)を起動する。

0061

さらに、システムがより高い安全性を有することを確保するために、本実施例は、さらに、環境と機器との双方向認証メカニズムを提供している。環境因子を用いて機器を環境とバンドルして、セキュリティ環境で機器を起動することを求める一方、環境が、その中に動作している機器の身分を識別することも可能であり、合法身分を持つ機器でないと、該環境での動作を許可しない。この際、本システムは、環境監視サーバーをさらに含み、該環境監視サーバーは、合法機器のセキュリティ環境での身分情報を予め採集し且つ保存しておく。

0062

現在の機器を毎回起動する前に、該環境監視サーバーは、現在の環境での機器の身分情報を採集し、セキュリティ環境での前記機器の身分情報に基づいて現在の機器が合法機器であるかどうかを判断し、合法機器であれば、機器のセキュリティ環境へのアクセスを許可し、合法機器でなければ、機器のセキュリティ環境へのアクセスを禁止する。該環境監視サーバーは、単独のサーバー装置により実現されてもよく、組み込み式機器内に統合されることにより実現されてもよい。

0063

上記処理方式では、保護すべき組み込み式機器について、一定の方式によって自身がセキュリティ環境にあることを確認すると要求されるだけではなく、定義されたセキュリティ環境についても、一定の方法(双方向認証、機器のビデオ監視など)によって環境の中に存在している装置が全て環境に許可された装置であり、任意的インプラント又は侵入された他の装置又は論理ユニットではないことを確保するのが、許可される。環境監視サーバーと組み込み式機器との間で公開鍵基盤(Public Key Infrastructure,PKI)認証メカニズムを用いてもよい。PKIメカニズムは、既定の基準に従う秘密鍵管理技術であり、全てのネットワーク応用に暗号化やデジタル署名などの暗号サービス及びその必要な秘密鍵と証書を提供できる管理体系である。環境監視サーバーと組み込み式機器とは、互いに相手の証書が有効であるかどうかを認証して、一方が認証失敗の場合、組み込み式機器が合法な安全機器ではないと見なされ、該組み込み式機器の動作は、許可されない。

0064

本方案における前記の初期化ユニット、ブート制御ユニット、環境因子獲得ユニット、暗号化・復号ユニット及びアラーム通信モジュールなどは、いずれもハードウェア装置の方式により実現可能であり、本方案は、「ユニット」、「モジュール」を用いてハードウェア装置の命名方式としているのが、これらのユニット及びモジュールを実現できる様々なハードウェア装置をカバーするためであるにすぎない。例えば、本方案における暗号化・復号ユニットは、宏思HS32U1システムレベル暗号化チップのような暗号化・復号チップにより実現してもよい。本方案におけるアラーム通信モジュールは、GPSアラーム方式を用いる場合は、SiRF IIIGPSチップにより実現してもよく、SMSアラーム方式を用いる場合は、WAVECOMの型番M 1206BのSMSカードにより実現してもよい。

0065

以上をまとめて、本発明実施例は、セキュリティ環境からセキュリティ環境因子を抽出するとともに、セキュリティ環境因子を用いて機器における不揮発性敏感データを暗号化することによって、機器における敏感データを動作環境とバンドルし、異なる動作環境から異なる環境因子を抽出することができるため、一旦、機器がセキュリティ環境から移出されると、一致する環境因子が得られずに復号が失敗してしまい、引いては、機器におけるデータへのアクセスが拒否されることによって、データ漏洩のリスクが低減される。本方案は、暗号化ハードウェア装置を別途増設する必要がなく、環境とバンドルされる暗号化・復号メカニズムを介して、機器における不揮発性敏感データに対する保護が実現されるため、ハードウェアのコストが安く、そして、本データ保護方案を実施及び展開する操作も比較的に簡単であり、専門性の要求が低く、システムの実施及び展開の作業負荷及びマンパワーに対する要求が低下した。

0066

以上の説明は、あくまでも本発明の好ましい実施形態であり、本発明の保護範囲は、これに限定されるものではない。本発明の主旨及び原則に準じて行われた如何なる変更、置き換え、改良などは、いずれも本発明の保護範囲に含まれるものとする。

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

技術視点だけで見ていませんか?

この技術の活用可能性がある分野

分野別動向を把握したい方- 事業化視点で見る -

(分野番号表示ON)※整理標準化データをもとに当社作成

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

  • 株式会社メガチップスの「 情報処理装置及び被判定装置の真贋判定方法」が 公開されました。( 2020/10/29)

    【課題】被判定装置の動作環境要素が変動した場合であっても、被判定装置の真贋判定を高精度に実行することが可能な、情報処理装置、プログラム及び被判定装置の真贋判定方法を提供する。【解決手段】メモリシステム... 詳細

  • 株式会社カシカの「 情報処理装置、システム及びプログラム」が 公開されました。( 2020/10/29)

    【課題】コンテンツを容易に悪用することを防止することのできる情報処理装置、システム及びプログラムを提供すること。【解決手段】本発明によれば、受付部と提供部とを備え、前記受付部は、通信可能な端末からの取... 詳細

  • 徳山真旭の「 情報処理システム、情報処理方法、及びプログラム」が 公開されました。( 2020/10/29)

    【課題】簡便にアプリケーションソフトウエアのライセンスを使い回すことができる情報処理システム、情報処理方法、及びプログラムを提供する。【解決手段】情報処理システム100は、アプリケーションソフトウエア... 詳細

この 技術と関連性が強い技術

関連性が強い 技術一覧

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ