ホーム > 特許ランキング > 株式会社デンソーウェーブ
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-06-04
(45)【発行日】2024-06-12
(54)【発明の名称】情報読取装置
(51)【国際特許分類】
G06F 21/60 20130101AFI20240605BHJP
【FI】
G06F21/60
【請求項の数】
7
(21)【出願番号】P 2021020814
(22)【出願日】2021-02-12
(65)【公開番号】P2022123479
(43)【公開日】2022-08-24
【審査請求日】2023-07-25
(73)【特許権者】
【識別番号】501428545
【氏名又は名称】株式会社デンソーウェーブ
(74)【代理人】
【識別番号】110000110
【氏名又は名称】弁理士法人 快友国際特許事務所
(72)【発明者】
【氏名】鈴鹿 真央
【審査官】三森 雄介
(56)【参考文献】
【文献】特開2008-242922(JP,A)
【文献】特開平03-105538(JP,A)
【文献】特開2019-171656(JP,A)
【文献】特開昭62-117047(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/60-21/88
(57)【特許請求の範囲】
【請求項1】
情報読取装置であって、情報を読み取り可能な情報読取部と、
前記情報読取部によって読み取られた情報の暗号化および復号化に利用される鍵情報を記憶する揮発性メモリと、
前記情報読取装置の温度を検出する第1の温度センサと、
前記第1の温度センサにより検出された前記温度が、摂氏0度以下である基準温度を下回る場合に、前記揮発性メモリから前記鍵情報を削除する第1の削除部と、
前記情報読取装置の温度を検出する第2の温度センサと、
前記第1の温度センサにより検出された前記温度が、前記基準温度を上回り、かつ、前記第1の温度センサにより検出された前記温度と前記第2の温度センサにより検出された前記温度との差の絶対値が、所定の温度差を上回る場合に、前記揮発性メモリから前記鍵情報を削除する第2の削除部と、
を備える、情報読取装置。
【請求項2】
前記第2の温度センサは、前記情報読取装置のバッテリの温度を検出するセンサである、請求項1に記載の情報読取装置。
【請求項3】
前記第1の温度センサにより検出された前記温度が、前記基準温度を上回り、かつ、前記情報読取装置のバッテリの残量の単位時間当たりの変化の絶対値が、所定の値を下回る場合に、前記揮発性メモリから前記鍵情報を削除する第3の削除部をさらに備える、請求項1または2に記載の情報読取装置。
【請求項4】
情報読取装置であって、
情報を読み取り可能な情報読取部と、
前記情報読取部によって読み取られた情報の暗号化および復号化に利用される鍵情報を記憶する揮発性メモリと、
前記情報読取装置の温度を検出する第1の温度センサと、
前記第1の温度センサにより検出された前記温度が、摂氏0度以下である基準温度を下回る場合に、前記揮発性メモリから前記鍵情報を削除する第1の削除部と、
前記第1の温度センサにより検出された前記温度が、前記基準温度を上回り、かつ、前記情報読取装置のバッテリの残量の単位時間当たりの変化の絶対値が、所定の値を下回る場合に、前記揮発性メモリから前記鍵情報を削除する第3の削除部と、
を備える、情報読取装置。
【請求項5】
情報を通信可能な通信部をさらに備え、前記鍵情報は、前記通信部によって通信される情報の暗号化および復号化にも利用される、請求項1から4のいずれか一項に記載の情報読取装置。
【請求項6】
前記第1の温度センサは、前記揮発性メモリの温度を検出するセンサである、請求項1から5のいずれか一項に記載の情報読取装置。
【請求項7】
前記第1の削除部は、前記第1の温度センサにより検出された前記温度が、前記基準温度を下回り、かつ、前記温度の単位時間当たりの変化の絶対値が、所定の閾値を上回る場合に、前記揮発性メモリから前記鍵情報を削除する、請求項1から6のいずれか一項に記載の情報読取装置。
【発明の詳細な説明】
【技術分野】
【0001】
本明細書で開示する技術は、情報読取装置に関する。
【背景技術】
【0002】
特許文献1には、半導体記憶装置が開示されている。半導体記憶装置は、半導体記憶装置のメモリ内の認証コードと一致する解除コードが入力される場合に、データの暗号化処理を解除する。一方、半導体記憶装置は、解除コードの入力無しに、データを強制的に読み出す指示が入力される場合に、データを暗号化して出力する。データを強制的に読み出す指示は、例えば、コールドブートアタックが行われる場合に入力される。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2012-93906号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
上記の特許文献1の技術では、暗号化されたデータが出力されるに過ぎない。このため、データを復号するための鍵情報が第三者によって盗み出されると、暗号化されたデータが復号される可能性がある。
【0005】
本明細書では、コールドブートアタックによって鍵情報が盗み出されることを抑制するための技術を開示する。
【課題を解決するための手段】
【0006】
揮発性メモリは、電力の供給を受けないと、情報の記憶を維持することができない。即ち、揮発性メモリ内の情報は、電力の供給が停止されると、自動的に削除される。鍵情報は、秘匿性の高い情報である。鍵情報は、情報が自動的に削除される揮発性メモリに記憶される。しかし、揮発性メモリは、一般的に、摂氏0度を下回る温度(例えば、摂氏マイナス50度)まで冷却されると、電力の供給が停止される場合であっても、揮発性メモリ内の情報を削除せずに維持する性質を有する。コールドブートアタックは、揮発性メモリの性質を利用して、揮発性メモリ内の情報を盗み出す方法である。
【0007】
本明細書が開示する情報読取装置は、情報を読み取り可能な情報読取部と、情報読取部によって読み取られた情報の暗号化および復号化に利用される鍵情報を記憶する揮発性メモリと、情報読取装置の温度を検出する第1の温度センサと、第1の温度センサにより検出された温度が、摂氏0度以下である基準温度を下回る場合に、揮発性メモリから鍵情報を削除する第1の削除部と、を備える。
【0008】
上記の構成によれば、情報読取装置は、第1の温度センサにより検出された温度が摂氏0度以下である基準温度を下回る場合に、揮発性メモリから鍵情報を削除する。この場合、第三者が盗み出す鍵情報が揮発性メモリ内に存在しない。これにより、コールドブートアタックによって鍵情報が盗み出されることを抑制することができる。
【0009】
また、情報読取装置は、情報を通信可能な通信部をさらに備える。鍵情報は、通信部によって通信される情報の暗号化および復号化にも利用される。
【0010】
上記の構成によれば、鍵情報が削除されることにより、情報読取装置によって通信される情報が第三者に盗み出されることも抑制することができる。
【0011】
また、第1の温度センサは、揮発性メモリの温度を検出するセンサである。
【0012】
例えば、第1の温度センサが、情報読取装置のうち、揮発性メモリ以外の部分の温度を検出するセンサである比較例が想定される。この比較例では、揮発性メモリがコールドブートアタックにより揮発性メモリ内の情報が維持される温度まで冷却されていない場合でも、鍵情報が不必要に削除される可能性がある。上記の構成によれば、揮発性メモリの温度に基づいて鍵情報が削除される。これにより、鍵情報が不必要に削除されることを抑制することができる。
【0013】
また、第1の削除部は、第1の温度センサにより検出された温度が、基準温度を下回り、かつ、温度の単位時間当たりの変化の絶対値が、所定の閾値を上回る場合に、揮発性メモリから鍵情報を削除する。
【0014】
情報読取装置がコールドブートアタックを受ける場合、情報読取装置が急激に冷却される。単位時間当たりの温度の変化の絶対値が所定の閾値を上回ることは、急激な冷却を意味し、情報読取装置がコールドブートアタックを受けている可能性が高い。上記の構成によれば、単位時間当たりの温度の変化の絶対値を利用しない比較例と比べて、情報読取装置がコールドブートアタックを受けていることを精度よく検出して、鍵情報を削除することができる。
【0015】
また、情報読取装置は、情報読取装置の温度を検出する第2の温度センサと、第1の温度センサにより検出された温度が、基準温度を上回り、かつ、第1の温度センサにより検出された温度と第2の温度センサにより検出された温度との差の絶対値が、所定の温度差を上回る場合に、揮発性メモリから鍵情報を削除する第2の削除部と、をさらに備える。
【0016】
情報読取装置がコールドブートアタックを受ける際に、第1の温度センサの温度が改ざんされる可能性がある。例えば、第1の温度センサの温度が改ざんされると、当該温度が基準温度を下回らず、揮発性メモリから鍵情報が削除されない可能性がある。上記の構成では、第1の温度センサの温度だけでなく、第2の温度センサの温度も利用される。第1の温度センサの温度が改ざんされたとしても、第1の温度センサの温度と第2の温度センサの温度の間に差異が生じる。上記の構成によれば、当該差異が所定の温度差を上回る場合に、鍵情報が揮発性メモリから削除される。第1の温度センサの温度が改ざんされる場合でも、鍵情報が盗み出されることを抑制することができる。
【0017】
また、第2の温度センサは、情報読取装置のバッテリの温度を検出するセンサである。
【0018】
一般的な情報読取装置は、バッテリの温度を検出するバッテリ温度センサを備える。上記の構成によれば、バッテリ温度センサを第2の温度センサとして利用することができる。
【0019】
また、情報読取装置は、第1の温度センサにより検出された温度が、基準温度を上回り、かつ、情報読取装置のバッテリの残量の単位時間当たりの変化の絶対値が、所定の値を下回る場合に、揮発性メモリから鍵情報を削除する第3の削除部をさらに備える。
【0020】
情報読取装置がコールドブートアタックを受ける際に、第1の温度センサの温度が改ざんされ、さらに、情報読取装置のバッテリがダミーバッテリに交換される可能性がある。ダミーバッテリの電源として、例えば、商用電源が利用される。この場合、ダミーバッテリの残量の変化は、情報読取装置のバッテリの残量の変化よりも比較的に小さい。バッテリの残量の単位時間当たりの変化の絶対値が所定の値を下回ることは、ダミーバッテリが利用されている可能性が高いことを意味する。上記の構成によれば、ダミーバッテリの利用が推定される場合に、揮発性メモリから鍵情報が削除される。ダミーバッテリが利用される場合でも、鍵情報が盗み出されることを抑制することができる。
【図面の簡単な説明】
【0021】
【図1】第1実施例の情報読取装置の構成を示すブロック図である。
【図2】第1実施例の鍵情報削除処理を示すフローチャートである。
【図3】第2実施例の鍵情報削除処理を示すフローチャートである。
【図4】第3実施例の鍵情報削除処理を示すフローチャートである。
【図5】第4実施例の鍵情報削除処理を示すフローチャートである。
【発明を実施するための形態】
【0022】
(第1実施例)
(情報読取装置10の構成;図1)
図面を参照して、第1実施例の情報読取装置10を説明する。情報読取装置10は、2次元バーコード等の各種情報コードに記録された情報を読み取ることができるバーコードハンディターミナルである。例えば、情報読取装置10は、作業に従事するユーザにより携帯される端末である。なお、変形例では、情報読取装置10は、据え置き型の端末であってもよい。
(情報読取装置10の構成;図1)
図面を参照して、第1実施例の情報読取装置10を説明する。情報読取装置10は、2次元バーコード等の各種情報コードに記録された情報を読み取ることができるバーコードハンディターミナルである。例えば、情報読取装置10は、作業に従事するユーザにより携帯される端末である。なお、変形例では、情報読取装置10は、据え置き型の端末であってもよい。
【0023】
(情報読取装置10の構成;図1)
図1に示すように、情報読取装置10は、情報読取部20と、表示部22と、操作部24と、通信部26と、メモリ28と、メモリ温度センサ34と、バッテリ36と、バッテリ温度センサ38と、制御部40と、を備える。
図1に示すように、情報読取装置10は、情報読取部20と、表示部22と、操作部24と、通信部26と、メモリ28と、メモリ温度センサ34と、バッテリ36と、バッテリ温度センサ38と、制御部40と、を備える。
【0024】
情報読取部20は、バーコードや2次元コード等の各種情報コードに記憶された情報を読み取ることができる。情報読取部20は、例えば、CCD方式におけるCCDセンサ等を含む。なお、情報コードを読み取る方式は、CCD方式に限らず、例えば、レーザ方式、ペン方式であってもよい。また、情報読取部20は、所定の通信範囲内(例えば、半径5m圏内)に存在するRFIDのタグとの間で無線通信が実行されることにより、当該タグ内の情報を読み取ることができる構成を備えてもよい。また、情報読取部20は、ICチップとの間でNFC方式に従った近距離無線通信が実行されることにより、ICチップ内の情報を読み取ることができる構成を備えてもよい。
【0025】
表示部22は、様々な情報を表示するためのディスプレイである。例えば、表示部22は、情報読取部20により読み取られた情報を表示することができる。表示部22は、例えば、液晶表示器である。変形例では、表示部22は、タッチパネル式のディスプレイであってもよい。
【0026】
操作部24は、複数のキーを備える。ユーザは、複数のキーを操作することにより、様々な指示を情報読取装置10に入力することができる。変形例では、表示部22と操作部24は、両者の機能を併せ持つタッチパネルとして構成されていてもよい。
【0027】
通信部26は、インターネット等のネットワークに接続可能である。制御部40は、通信部26を介して、図示省略する外部機器との間でWi-Fi(登録商標)方式に従った無線通信を実行することができる。制御部40は、通信部26を介して、外部機器から情報を受信することができ、また、外部機器に対して情報を送信することができる。
【0028】
メモリ28は、揮発性メモリ30と、不揮発性メモリ32と、を備える。揮発性メモリ30は、秘密鍵情報を記憶する。秘密鍵情報は、1個以上の秘密鍵を含む。秘密鍵は、秘匿性の高い情報である。秘密鍵情報は、通信部26を介して受信した暗号化情報を復号化することに利用され、通信部26を介して送信する情報を暗号化することに利用される。また、秘密鍵情報は、情報読取部20により読み取られた情報を暗号化および復号化することにも利用される。不揮発性メモリ32は、各種情報(例えば、プログラム)を記憶している。また、不揮発性メモリ32は、情報読取部20により読み取られた情報コードと、ICチップ内の情報と、RFIDのタグ内の情報と、通信部26を介して受信した情報を記憶する。
【0029】
メモリ温度センサ34は、メモリ28の温度(即ち、揮発性メモリ30の温度と不揮発性メモリ32の温度)を検出する。メモリ温度センサ34は、メモリ28に近接して配置されている(例えば、メモリ温度センサ34は、メモリ28に接している)。メモリ温度センサ34は、例えば、メモリ28の温度に応じて抵抗値が変化するサーミスタである。
【0030】
バッテリ36は、情報読取装置10の本体(図示省略)に対して着脱可能である。変形例では、バッテリ36は、情報読取装置10に内蔵されている着脱不能な構成であってもよい。バッテリ36は、例えば、リチウムイオンバッテリ等の公知の二次電池である。バッテリ36の充電電力により、情報読取装置10が動作可能となる。
【0031】
バッテリ温度センサ38は、バッテリ36の温度を検出する。バッテリ温度センサ38は、バッテリ36に近接して配置されている(例えば、バッテリ温度センサ38は、バッテリ36に接している)。バッテリ温度センサ38は、例えば、バッテリ36の温度に応じて抵抗値が変更するサーミスタである。
【0032】
制御部40は、上記の各部20-38と電気的に接続されており、これらの各部20-38を制御することができる。制御部40は、不揮発性メモリ32に記憶されているプログラムに従って、様々な処理を実行する。
【0033】
(鍵情報削除処理;図2)
図2を参照して、鍵情報削除処理について説明する。鍵情報削除処理は、揮発性メモリ30に記憶されている秘密鍵情報を盗み出そうとする第三者からコールドブートアタックを受けたとき、秘密鍵情報を削除するための処理である。鍵情報削除処理は、情報読取装置10が起動状態にある場合とスリープ状態にある場合に実行される。また、鍵情報削除処理は、定期的に実行される。
図2を参照して、鍵情報削除処理について説明する。鍵情報削除処理は、揮発性メモリ30に記憶されている秘密鍵情報を盗み出そうとする第三者からコールドブートアタックを受けたとき、秘密鍵情報を削除するための処理である。鍵情報削除処理は、情報読取装置10が起動状態にある場合とスリープ状態にある場合に実行される。また、鍵情報削除処理は、定期的に実行される。
【0034】
S2では、制御部40は、メモリ温度センサ34から検出温度(即ち、メモリ28の温度を示す計測値)を取得する。
【0035】
S4では、制御部40は、取得した検出温度が基準温度以下であるか否かを判断する。本実施例では、基準温度を下回ることは、基準温度以下であることを意味する。変形例では、基準温度を下回ることは、基準温度未満であることを意味してもよい。基準温度は、不揮発性メモリ32に記憶されている。基準温度は、摂氏0度以下の所定の温度である。例えば、コールドブートアタックでは、情報読取装置10が摂氏マイナス50度まで冷却される。基準温度は、例えば、摂氏マイナス50度である。変形例では、基準温度は、情報読取装置10の推奨使用温度域の下限温度、例えば、摂氏0度以下の温度(例えば、摂氏マイナス20度等)であってもよい。制御部40は、取得した検出温度が基準温度以下であると判断する場合(S4でYES)、S6に進む。一方、制御部40は、取得した検出温度が基準温度よりも高いと判断する場合(S4でNO)、S8において、正常であると判断し、鍵情報削除処理を終了する。
【0036】
S6では、制御部40は、揮発性メモリ30から秘密鍵情報を削除し、鍵情報削除処理を終了する。削除された秘密鍵情報は復元されない。
【0037】
(効果)
本実施例の構成によれば、メモリ温度センサ34の検出温度が基準温度以下であり、コールドブートアタックを受けていることが推定される場合(S4でYES)に、揮発性メモリ30から秘密鍵情報が削除される(S6)。コールドブートアタックを行っている第三者が盗み出す秘密鍵情報が揮発性メモリ30内に存在しない。これにより、コールドブートアタックによって秘密鍵情報が盗み出されることを抑制することができる。
本実施例の構成によれば、メモリ温度センサ34の検出温度が基準温度以下であり、コールドブートアタックを受けていることが推定される場合(S4でYES)に、揮発性メモリ30から秘密鍵情報が削除される(S6)。コールドブートアタックを行っている第三者が盗み出す秘密鍵情報が揮発性メモリ30内に存在しない。これにより、コールドブートアタックによって秘密鍵情報が盗み出されることを抑制することができる。
【0038】
また、秘密鍵情報は、通信部26によって通信された情報の暗号化および復号化にも利用される。上記の構成によれば、秘密鍵情報が削除されることにより、情報読取装置10によって通信される情報が第三者に盗み出されることも抑制することができる。
【0039】
例えば、S2の処理において、メモリ温度センサ34に代えて、バッテリ温度センサ38から検出温度を取得する比較例が想定される。この比較例では、揮発性メモリ30がコールドブートアタックにより揮発性メモリ30内の情報が維持される温度まで冷却されていない場合でも、秘密鍵情報が不必要に削除される可能性がある。上記の構成によれば、揮発性メモリ30の温度に基づいて、秘密鍵情報が削除される。これにより、秘密鍵情報が不必要に削除されることを抑制することができる。なお、変形例では、上記の比較例の構成が採用されてもよい。
【0040】
(対応関係)
情報読取装置10は、「情報読取装置」の一例である。情報読取部20は、「情報読取部」の一例である。秘密鍵情報は、「鍵情報」の一例である。揮発性メモリ30は、「揮発性メモリ」の一例である。メモリ温度センサ34は、「第1の温度センサ」の一例である。図2のS6を実行する制御部40が、「第1の削除部」の一例である。通信部26は、「通信部」の一例である。
情報読取装置10は、「情報読取装置」の一例である。情報読取部20は、「情報読取部」の一例である。秘密鍵情報は、「鍵情報」の一例である。揮発性メモリ30は、「揮発性メモリ」の一例である。メモリ温度センサ34は、「第1の温度センサ」の一例である。図2のS6を実行する制御部40が、「第1の削除部」の一例である。通信部26は、「通信部」の一例である。
【0041】
(第2実施例)
(鍵情報削除処理;図3)
第2実施例では、第1実施例と異なる点のみを説明し、第1実施例と同様の点については同様の符号を付して説明を省略する。第3実施例以降でも、第1実施例と異なる点のみを説明し、第1実施例と同様の点については同様の符号を付して説明を省略する。
(鍵情報削除処理;図3)
第2実施例では、第1実施例と異なる点のみを説明し、第1実施例と同様の点については同様の符号を付して説明を省略する。第3実施例以降でも、第1実施例と異なる点のみを説明し、第1実施例と同様の点については同様の符号を付して説明を省略する。
【0042】
第2実施例は、鍵情報削除処理においてS20の処理が実行される点を除いて、第1実施例と同様である。
【0043】
図3のS20は、S4でYESと判断された後、即ち、メモリ温度センサ34の検出温度が基準温度以下である場合に実行される。S20では、制御部40は、メモリ温度センサ34の検出温度の単位時間当たりの変化の絶対値が第1の閾値以上であるか否かを判断する。本実施例では、第1の閾値を上回ることは、第1の閾値以上であることを意味する。変形例では、第1の閾値よりも高いことを意味してもよい。第1の閾値は、不揮発性メモリ32に記憶されている。第1の閾値は、例えば、3度/秒の温度の変化量である。第1の閾値は、例えば、実験等によって予め決定される。なお、第1の閾値は、3度/秒以外の他の値(例えば、5度/秒等)であってもよい。制御部40は、メモリ温度センサ34の検出温度の単位時間当たりの変化の絶対値が第1の閾値以上であると判断する場合(S20でYES)に、S6に進む。一方、制御部40は、メモリ温度センサ34の検出温度の単位時間当たりの変化の絶対値が第1の閾値よりも小さいと判断する場合(S20でNO)に、S8に進む。
【0044】
(効果)
情報読取装置10がコールドブートアタックを受ける場合、情報読取装置10が急激に冷却される。単位時間当たりの温度の変化の絶対値が第1の閾値を上回ることは、急激な冷却を意味し、情報読取装置10がコールドブートアタックを受けている可能性が高い。本実施例では、情報読取装置10は、メモリ温度センサ34の検出温度が基準温度以下である場合(S4でYES)、メモリ温度センサ34の単位時間当たりの温度の変化の絶対値が第1の閾値以上であると判断すると(S20でYES)、揮発性メモリ30から秘密鍵情報を削除する(S6)。上記の構成によれば、単位時間当たりの温度の変化の絶対値を利用しない比較例と比べて、情報読取装置10がコールドブートアタックを受けていることを精度よく検出して、秘密鍵情報を削除することができる。
情報読取装置10がコールドブートアタックを受ける場合、情報読取装置10が急激に冷却される。単位時間当たりの温度の変化の絶対値が第1の閾値を上回ることは、急激な冷却を意味し、情報読取装置10がコールドブートアタックを受けている可能性が高い。本実施例では、情報読取装置10は、メモリ温度センサ34の検出温度が基準温度以下である場合(S4でYES)、メモリ温度センサ34の単位時間当たりの温度の変化の絶対値が第1の閾値以上であると判断すると(S20でYES)、揮発性メモリ30から秘密鍵情報を削除する(S6)。上記の構成によれば、単位時間当たりの温度の変化の絶対値を利用しない比較例と比べて、情報読取装置10がコールドブートアタックを受けていることを精度よく検出して、秘密鍵情報を削除することができる。
【0045】
【0046】
図4のS106は、S4でNOと判断された後、即ち、メモリ温度センサ34の検出温度が基準温度より大きい場合に実行される。S106では、制御部40は、バッテリ温度センサ38から検出温度(即ち、バッテリ36の温度を示す計測値)を取得する。
【0047】
S108では、制御部40は、取得したメモリ温度センサ34の検出温度と取得したバッテリ温度センサ38の検出温度との差の絶対値が所定の温度差以上であるか否かを判断する。本実施例では、所定の温度差を上回ることは、所定の温度差以上であることを意味する。変形例では、所定の温度差を上回ることは、所定の温度差よりも大きいことを意味してもよい。所定の温度差は、不揮発性メモリ32に記憶されている。所定の温度差は、例えば、10度である。所定の温度差は、例えば、実験等によって予め決定される。所定の温度差は、10度以外の他の値(例えば、15度等)であってもよい。制御部40は、検出温度の差の絶対値が所定の温度差以上であると判断する場合(S108でYES)に、S6に進む。一方、制御部40は、検出温度の差の絶対値が第1の温度差よりも小さいと判断する場合(S108でNO)に、S8に進む。
【0048】
(効果)
例えば、情報読取装置10がコールドブートアタックを受ける際に、メモリ温度センサ34の温度が改ざんされる可能性がある。例えば、メモリ温度センサ34の温度が改ざんされると、当該温度が基準温度を下回らず、揮発性メモリ30から秘密鍵情報が削除されない可能性がある。上記の構成では、メモリ温度センサ34の温度とバッテリ温度センサ38の温度が利用される。メモリ温度センサ34の温度が改ざんされたとしても、メモリ温度センサ34の温度とバッテリ温度センサ38の温度との間に差異が生じる。上記の構成によれば、当該差異が所定の温度差以上である場合(S108でYES)に、秘密鍵情報が揮発性メモリ30から削除される(S6)。メモリ温度センサ34の温度が改ざんされる場合でも、秘密鍵情報が盗み出されることを抑制することができる。
例えば、情報読取装置10がコールドブートアタックを受ける際に、メモリ温度センサ34の温度が改ざんされる可能性がある。例えば、メモリ温度センサ34の温度が改ざんされると、当該温度が基準温度を下回らず、揮発性メモリ30から秘密鍵情報が削除されない可能性がある。上記の構成では、メモリ温度センサ34の温度とバッテリ温度センサ38の温度が利用される。メモリ温度センサ34の温度が改ざんされたとしても、メモリ温度センサ34の温度とバッテリ温度センサ38の温度との間に差異が生じる。上記の構成によれば、当該差異が所定の温度差以上である場合(S108でYES)に、秘密鍵情報が揮発性メモリ30から削除される(S6)。メモリ温度センサ34の温度が改ざんされる場合でも、秘密鍵情報が盗み出されることを抑制することができる。
【0049】
また、バッテリ温度センサ38は、バッテリ36の温度を検出する。一般的な情報読取装置では、バッテリの温度を検出するバッテリ温度センサを備える。上記の構成では、バッテリ温度センサ38をメモリ温度センサ34の温度の改ざんの有無を判断するためのセンサとして利用することができる。
【0050】
(対応関係)
メモリ温度センサ34は、「第1の温度センサ」の一例である。バッテリ温度センサ38は、「第2の温度センサ」の一例である。S108の所定の温度差が、「所定の温度差」の一例である。図4のS4のYESの判断の後のS6を実行する制御部40、図4のS108のYESの判断の後のS6を実行する制御部40が、それぞれ、「第1の削除部」、「第2の削除部」の一例である。バッテリ36は、「バッテリ」の一例である。
メモリ温度センサ34は、「第1の温度センサ」の一例である。バッテリ温度センサ38は、「第2の温度センサ」の一例である。S108の所定の温度差が、「所定の温度差」の一例である。図4のS4のYESの判断の後のS6を実行する制御部40、図4のS108のYESの判断の後のS6を実行する制御部40が、それぞれ、「第1の削除部」、「第2の削除部」の一例である。バッテリ36は、「バッテリ」の一例である。
【0051】
【0052】
図5のS220は、S4でNOと判断された後、即ち、メモリ温度センサ34の検出温度が基準温度より大きい場合に実行される。S220では、制御部40は、バッテリ36の残量の変化の絶対値が第2の閾値以下であるか否かを判断する。本実施例では、第2の閾値を下回ることは、第2の閾値以下であることを意味する。変形例では、第2の閾値を下回ることは、第2の閾値未満であることを意味する。第2の閾値は、不揮発性メモリ32に記憶されている。第2の閾値は、例えば、0.1%/秒の残量の変化量である。第2の閾値は、例えば、実験等によって予め決定される。なお、第2の閾値は、0.1%/10秒以外の他の値(例えば、0.05秒/10秒等)であってもよい。制御部40は、バッテリ36の残量の変化の絶対値が第2の閾値以下である場合(S220でYES)に、S6に進む。一方、制御部40は、バッテリ36の容量の変化の絶対値が第2の閾値よりも大きい場合(S220でNO)に、S8に進む。
【0053】
(効果)
例えば、情報読取装置10がコールドブートアタックを受ける際に、メモリ温度センサ34の温度が改ざんされ、さらに、情報読取装置10のバッテリ36がダミーバッテリに交換される可能性がある。ダミーバッテリの電源として、例えば、商用電源が利用される。この場合、ダミーバッテリの残量の変化は、情報読取装置10のバッテリ36の残量の変化よりも比較的に小さい。バッテリの残量の単位時間当たりの変化の絶対値が第2の閾値以下であること(S220でYES)は、ダミーバッテリが利用されている可能性が高いことを意味する。上記の構成によれば、ダミーバッテリの利用が推定される場合(S220でYES)に、揮発性メモリ30から秘密鍵情報が削除される。ダミーバッテリが利用される場合でも、秘密鍵情報が盗み出されることを抑制することができる。
例えば、情報読取装置10がコールドブートアタックを受ける際に、メモリ温度センサ34の温度が改ざんされ、さらに、情報読取装置10のバッテリ36がダミーバッテリに交換される可能性がある。ダミーバッテリの電源として、例えば、商用電源が利用される。この場合、ダミーバッテリの残量の変化は、情報読取装置10のバッテリ36の残量の変化よりも比較的に小さい。バッテリの残量の単位時間当たりの変化の絶対値が第2の閾値以下であること(S220でYES)は、ダミーバッテリが利用されている可能性が高いことを意味する。上記の構成によれば、ダミーバッテリの利用が推定される場合(S220でYES)に、揮発性メモリ30から秘密鍵情報が削除される。ダミーバッテリが利用される場合でも、秘密鍵情報が盗み出されることを抑制することができる。
【0054】
(対応関係)
第2の閾値は、「所定の値」の一例である。図5のS4のYESの判断の後のS6を実行する制御部40と、図5のS220のYESの判断の後のS6を実行する制御部40が、それぞれ、「第1の削除部」と、「第3の削除部」の一例である。
第2の閾値は、「所定の値」の一例である。図5のS4のYESの判断の後のS6を実行する制御部40と、図5のS220のYESの判断の後のS6を実行する制御部40が、それぞれ、「第1の削除部」と、「第3の削除部」の一例である。
【0055】
以上、実施例を詳細に説明したが、これらは例示に過ぎず、特許請求の範囲を限定するものではない。特許請求の範囲に記載の技術には、以上に例示した具体例を様々に変形、変更したものが含まれる。例えば、以下の変形例を採用してもよい。
【0056】
(変形例1)
揮発性メモリ30は、1個以上の共通鍵を含む共通鍵情報を記憶してもよい。また、制御部40は、鍵情報削除処理のS6において、揮発性メモリ30から共通鍵情報を削除してもよい。本変形例では、共通鍵情報が、「鍵情報」の一例である。
揮発性メモリ30は、1個以上の共通鍵を含む共通鍵情報を記憶してもよい。また、制御部40は、鍵情報削除処理のS6において、揮発性メモリ30から共通鍵情報を削除してもよい。本変形例では、共通鍵情報が、「鍵情報」の一例である。
【0057】
(変形例2)
情報読取装置10は、通信部26を備えなくてもよい。
情報読取装置10は、通信部26を備えなくてもよい。
【0058】
(変形例3)
情報読取装置10は、メモリ温度センサ34に替えて、別の温度センサを備えてもよい。別の温度センサは、例えば、情報読取部20の温度を検出可能であってもよく、制御部40の温度を検出可能であってもよく、情報読取装置10の本体の内部の温度を検出可能であってもよい。本変形例では、別の温度センサは、「第1の温度センサ」の一例である。
情報読取装置10は、メモリ温度センサ34に替えて、別の温度センサを備えてもよい。別の温度センサは、例えば、情報読取部20の温度を検出可能であってもよく、制御部40の温度を検出可能であってもよく、情報読取装置10の本体の内部の温度を検出可能であってもよい。本変形例では、別の温度センサは、「第1の温度センサ」の一例である。
【0059】
(変形例4)
各実施例を組み合わせてもよい。例えば、第2実施例の鍵情報削除処理と第3実施例の鍵情報削除処理が組み合わされてもよい。具体的には、制御部40は、図4のS4でYESの後に、図3のS20の判断を実行してもよい。
各実施例を組み合わせてもよい。例えば、第2実施例の鍵情報削除処理と第3実施例の鍵情報削除処理が組み合わされてもよい。具体的には、制御部40は、図4のS4でYESの後に、図3のS20の判断を実行してもよい。
【0060】
(変形例5)
バッテリ温度センサ38は、バッテリ36に内蔵されていてもよい。
バッテリ温度センサ38は、バッテリ36に内蔵されていてもよい。
【0061】
また、本明細書または図面に説明した技術要素は、単独であるいは各種の組合せによって技術的有用性を発揮するものであり、出願時請求項記載の組合せに限定されるものではない。また、本明細書または図面に例示した技術は複数目的を同時に達成するものであり、そのうちの一つの目的を達成すること自体で技術的有用性を持つものである。
【符号の説明】
【0062】
10 :情報読取装置
20 :情報読取部
22 :表示部
24 :操作部
26 :通信部
28 :メモリ
30 :揮発性メモリ
32 :不揮発性メモリ
34 :メモリ温度センサ
36 :バッテリ
38 :バッテリ温度センサ
40 :制御部
20 :情報読取部
22 :表示部
24 :操作部
26 :通信部
28 :メモリ
30 :揮発性メモリ
32 :不揮発性メモリ
34 :メモリ温度センサ
36 :バッテリ
38 :バッテリ温度センサ
40 :制御部
【図1】
【図2】
【図3】
【図4】
【図5】