Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7567326B2 - Secure component, sensor unit, device, computer program, and information processing method - Google Patents
[go: Go Back, main page]

JP7567326B2 - Secure component, sensor unit, device, computer program, and information processing method - Google Patents

Secure component, sensor unit, device, computer program, and information processing method Download PDF

Info

Publication number
JP7567326B2
JP7567326B2 JP2020163426A JP2020163426A JP7567326B2 JP 7567326 B2 JP7567326 B2 JP 7567326B2 JP 2020163426 A JP2020163426 A JP 2020163426A JP 2020163426 A JP2020163426 A JP 2020163426A JP 7567326 B2 JP7567326 B2 JP 7567326B2
Authority
JP
Japan
Prior art keywords
information
unit
secure component
sensor
location information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020163426A
Other languages
Japanese (ja)
Other versions
JP2022055795A (en
Inventor
正徳 浅野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dai Nippon Printing Co Ltd
Original Assignee
Dai Nippon Printing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dai Nippon Printing Co Ltd filed Critical Dai Nippon Printing Co Ltd
Priority to JP2020163426A priority Critical patent/JP7567326B2/en
Publication of JP2022055795A publication Critical patent/JP2022055795A/en
Application granted granted Critical
Publication of JP7567326B2 publication Critical patent/JP7567326B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Position Fixing By Use Of Radio Waves (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、セキュアコンポーネント、センサユニット、デバイス、コンピュータプログラム及び情報処理方法に関する。 The present invention relates to a secure component, a sensor unit, a device , a computer program, and an information processing method.

近年、IoT(Internet of Things)を利用したビジネスは、自動車業界、家電業界、健康器具業界、製造業界などの様々な業界に浸透している。このような業界におけるサービスの実現に当たっては、これまで以上にヒトやモノなどに関わる様々な情報を大量にネットワーク上で授受することが必要になる。 In recent years, businesses that use the IoT (Internet of Things) have spread to various industries, including the automotive, home appliance, health equipment, and manufacturing industries. To provide services in these industries, it will become necessary to send and receive large amounts of information related to people, things, and other things over the network more than ever before.

一方で、ヒトに関わる情報(例えば、心拍数や体温などの健康に関するセンサ情報、位置情報など)について個人との紐付けがなされることで個人情報となり、秘匿性だけでなく完全性(改ざん防止)が重要となる。 On the other hand, when information related to humans (for example, health-related sensor information such as heart rate and body temperature, location information, etc.) is linked to an individual, it becomes personal information, and so not only confidentiality but also integrity (prevention of tampering) becomes important.

非特許文献1には、位置情報として最も活用されているGPS(Global Positioning System)のセキュリティに関して、ジャミングやスプーフィングなどの攻撃手法に対して、アンテナ等の改良、複数の測位手段の併用、測位信号の暗号化などの対策手法が記載されている。 Non-Patent Document 1 describes security measures for the Global Positioning System (GPS), which is the most widely used form of location information, such as improving antennas, using multiple positioning methods in combination, and encrypting positioning signals to counter attack methods such as jamming and spoofing.

坂井 丈泰、GPSのセキュリティ、日本信頼性学会誌、2017年39巻4号Takeyasu Sakai, Security of GPS, Journal of the Japan Society of Reliability Engineering, Vol. 39, No. 4, 2017

しかし、非特許文献1に記載された対策手法は、いずれも実用的ではない。例えば、測位信号の暗号化は、GPS仕様が世界的に公開・共有されているため実用実装が困難である。位置情報などを含むセンサ情報が重要な社会インフラの一部となると、経済的効果の高まりから、このような情報に対する攻撃や搾取が激化することが予想される。このため、センサ情報の改ざんを防止する必要がある。 However, none of the countermeasures described in Non-Patent Document 1 are practical. For example, encryption of positioning signals is difficult to implement in practice because GPS specifications are published and shared worldwide. If sensor information, including location information, becomes an important part of social infrastructure, it is expected that attacks on and exploitation of such information will intensify due to the increasing economic effects. For this reason, it is necessary to prevent tampering with sensor information.

本発明は、斯かる事情に鑑みてなされたものであり、センサ情報を保護することができるセキュアコンポーネント、センサユニット、デバイス、コンピュータプログラム及び情報処理方法を提供することを目的とする。 The present invention has been made in consideration of the above circumstances, and has an object to provide a secure component, a sensor unit, a device , a computer program, and an information processing method that are capable of protecting sensor information.

本発明の実施の形態に係るセキュアコンポーネントは、センサユニットが検出したセンサ情報を取得するセンサ情報取得部と、前記センサ情報取得部で取得したセンサ情報を暗号化する暗号化部と、前記暗号化部で暗号化したセンサ情報を外部に出力する出力部とを備える。 The secure component according to an embodiment of the present invention includes a sensor information acquisition unit that acquires sensor information detected by a sensor unit, an encryption unit that encrypts the sensor information acquired by the sensor information acquisition unit, and an output unit that outputs the sensor information encrypted by the encryption unit to the outside.

本発明の実施の形態に係るセンサユニットは、前述のセキュアコンポーネントを備える。 The sensor unit according to the embodiment of the present invention includes the above-mentioned secure component.

本発明の実施の形態に係るデバイスは、前述のセキュアコンポーネントと、前述のセンサユニットとを備え、前記センサユニットが検出したセンサ情報であって、暗号化されたセンサ情報を外部装置に送出する。 A device according to an embodiment of the present invention includes the above-mentioned secure component and the above-mentioned sensor unit, and transmits encrypted sensor information detected by the sensor unit to an external device.

本発明の実施の形態に係る情報処理装置は、前述のデバイスが送出した、暗号化されたセンサ情報を受信する受信部と、前記受信部で受信したセンサ情報を復号する復号部と、前記復号部で復号されたセンサ情報に基づいて、前記デバイスの状態を検知する検知部とを備える。 The information processing device according to the embodiment of the present invention includes a receiving unit that receives encrypted sensor information sent by the device, a decoding unit that decodes the sensor information received by the receiving unit, and a detection unit that detects the state of the device based on the sensor information decoded by the decoding unit.

本発明の実施の形態に係るコンピュータプログラムは、コンピュータに、センサユニットが検出したセンサ情報を取得し、取得したセンサ情報を暗号化し、暗号化したセンサ情報を外部に出力する、処理を実行させる。 A computer program according to an embodiment of the present invention causes a computer to execute a process of acquiring sensor information detected by a sensor unit, encrypting the acquired sensor information, and outputting the encrypted sensor information to the outside.

本発明の実施の形態に係る情報処理方法は、センサユニットが検出したセンサ情報をセキュアコンポーネントが暗号化し、前記センサユニット及びセキュアコンポーネントを備えるデバイスが、セキュアコンポーネントが暗号化したセンサ情報を情報処理装置に送出し、前記情報処理装置は、暗号化されたセンサ情報を復号し、復号したセンサ情報に基づいて前記デバイスの状態を検知する。 In an information processing method according to an embodiment of the present invention, a secure component encrypts sensor information detected by a sensor unit, and a device equipped with the sensor unit and secure component transmits the sensor information encrypted by the secure component to an information processing device, which decrypts the encrypted sensor information and detects the state of the device based on the decrypted sensor information.

本発明によれば、センサ情報を保護することができる。 According to the present invention, sensor information can be protected.

本実施の形態の情報処理システムの構成の第1例を示す模式図である。1 is a schematic diagram showing a first example of a configuration of an information processing system according to an embodiment of the present invention; 位置情報データベース及び鍵情報データベースの構成の一例を示す模式図である。FIG. 2 is a schematic diagram showing an example of the configuration of a position information database and a key information database. 位置情報の暗号化出力と管理に関する処理フローの一例を示す模式図である。FIG. 11 is a schematic diagram showing an example of a process flow relating to encrypted output and management of position information. 位置情報データベースの位置情報の反映の一例を示す模式図である。FIG. 11 is a schematic diagram showing an example of reflection of location information in a location information database. 事前に暗号化された位置情報の取扱に関する処理フローの一例を示す模式図である。FIG. 11 is a schematic diagram showing an example of a process flow for handling pre-encrypted location information. ユーザ認証を行う場合のデバイスへの平文出力に関する処理フローの一例を示す模式図である。FIG. 11 is a schematic diagram showing an example of a process flow regarding plain text output to a device when performing user authentication. システム側から設定変更する場合のデバイスへの平文出力に関する処理フローの一例を示す模式図である。FIG. 13 is a schematic diagram showing an example of a processing flow regarding plain text output to a device when a setting is changed from the system side. 秘匿通信路を介した鍵の更新に関する処理フローの一例を示す模式図である。FIG. 11 is a schematic diagram illustrating an example of a processing flow regarding updating of a key via a secure communication channel. 鍵情報データベースへの反映の一例を示す模式図である。FIG. 13 is a schematic diagram showing an example of reflection in a key information database. 本実施の形態の情報処理システムの構成の第2例を示す模式図である。FIG. 2 is a schematic diagram showing a second example of the configuration of the information processing system according to the present embodiment.

以下、本発明をその実施の形態を示す図面に基づいて説明する。図1は本実施の形態の情報処理システムの構成の第1例を示す模式図である。情報処理システムは、測位ユニット10、セキュアコンポーネント30、デバイス50、及び位置情報管理システム100を備える。測位ユニット10及びセキュアコンポーネント30それぞれは、例えば、個々の半導体チップで構成され、秘匿通信路15(セキュアチャネル)を介して接続されている。なお、以下では、センサユニットとして測位ユニット10を例に挙げ、センサ情報の例として位置情報について説明するが、センサ情報は位置情報に限定されるものではない。 The present invention will now be described with reference to the drawings showing an embodiment of the present invention. FIG. 1 is a schematic diagram showing a first example of the configuration of an information processing system according to this embodiment. The information processing system includes a positioning unit 10, a secure component 30, a device 50, and a location information management system 100. The positioning unit 10 and the secure component 30 are each formed, for example, from individual semiconductor chips, and are connected via a secret communication path 15 (secure channel). Note that, in the following, the positioning unit 10 will be taken as an example of a sensor unit, and location information will be described as an example of sensor information, but sensor information is not limited to location information.

測位ユニット10は、外部の環境情報を元に、デバイス50の位置情報を計測する機器である。測位ユニット10は、測位方法として、例えば、GPS(Global Positioning System)、近距離無線(例えば、ビーコン、Wi-Fi、RFIDなど)、移動体通信網、地磁気、及び音波の少なくとも1つを用いることができる。これにより、用途に応じた測位方法を用いて位置情報を取得することができる。測位ユニット10は、位置情報計算機能12、セキュアチャネル機能13、及び出力機能14を備え、アンテナ11に接続されている。 The positioning unit 10 is a device that measures the position information of the device 50 based on external environmental information. The positioning unit 10 can use at least one of the following positioning methods: GPS (Global Positioning System), short-range wireless (e.g., beacons, Wi-Fi, RFID, etc.), mobile communication networks, geomagnetism, and sound waves. This makes it possible to obtain position information using a positioning method appropriate for the application. The positioning unit 10 has a position information calculation function 12, a secure channel function 13, and an output function 14, and is connected to an antenna 11.

位置情報計算機能12は、外部環境情報(例えば、電波、地磁気など)から、自身が置かれている位置情報を計算する。セキュアチャネル機能13は、図1に例示するように、測位ユニット10がセキュアコンポーネント30を内蔵していない場合、セキュアコンポーネント30との間で情報の授受を行うためのセキュアチャネルを開設する。出力機能14は、位置情報計算機能12によって計算された位置情報を外部(図の例では、セキュアコンポーネント30)に出力する。 The position information calculation function 12 calculates its own position information from external environment information (e.g., radio waves, geomagnetism, etc.). As shown in FIG. 1, if the positioning unit 10 does not have a built-in secure component 30, the secure channel function 13 opens a secure channel for sending and receiving information with the secure component 30. The output function 14 outputs the position information calculated by the position information calculation function 12 to the outside (to the secure component 30 in the example shown in the figure).

位置情報計算機能12によって計算される位置情報の具体的な内容は、測位ユニット10で用いる技術によって異なるが、基本的にはGPSで採用されているNMEA(National Marine Electronics Association)フォーマットのような平文出力とすることができる。ただし、測位ユニット10によっては、暗号化した位置情報を出力することもできる。 The specific content of the location information calculated by the location information calculation function 12 varies depending on the technology used in the positioning unit 10, but it can basically be output as plain text, such as the NMEA (National Marine Electronics Association) format used in GPS. However, depending on the positioning unit 10, it may also be possible to output encrypted location information.

出力機能14は、GPSモジュール等で採用されているUART(Universal Asynchronous Receiver/Transmitter)等、通常のチップ間インタフェースでよいが、セキュアコンポーネント30と秘匿通信路を確立する場合はセキュアチャネルを確立する機能を具備すればよい。セキュアチャネルの方式としては、例えば、GP SCP03(Global Platform Secure Channel Protocol 03)、TLS(Transport Layer Security)等、適宜の方式を用いればよい。 The output function 14 may be a normal chip-to-chip interface such as a universal asynchronous receiver/transmitter (UART) used in GPS modules, but may also have a function for establishing a secure channel when establishing a secret communication path with the secure component 30. The secure channel may be any suitable method such as GP SCP03 (Global Platform Secure Channel Protocol 03) or TLS (Transport Layer Security).

セキュアコンポーネント30は、デバイス50や測位ユニット10とは論理的、または物理的に隔離された、メモリを有するセキュアな実行環境である。本実施の形態では、セキュアコンポーネント30は、セキュアエレメントとするが、トラステッド実行環境(TEE:Trusted Execution Environment)等でもよい。セキュアエレメントは、耐タンパ性を有するセキュリティチップであり、内部にCPU、NVM(Non-volatile memory)を有し、セキュアな不揮発性メモリを有する。 The secure component 30 is a secure execution environment having a memory that is logically or physically isolated from the device 50 and the positioning unit 10. In this embodiment, the secure component 30 is a secure element, but it may also be a trusted execution environment (TEE) or the like. The secure element is a tamper-resistant security chip that has an internal CPU, NVM (Non-volatile memory), and secure non-volatile memory.

セキュアコンポーネント30は、測位手段通信機能31、セキュアチャネル機能32、測位手段復号機能33、デバイス通信機能34、秘匿通信機能35、鍵更新機能36、暗号化機能37、署名生成機能38、及びユーザ認証機能39を備える。また、セキュアコンポーネント30は、暗号化フラグ、署名生成フラグ、PIN、測位手段復号鍵、秘匿通信鍵、位置情報暗号鍵、署名生成鍵、SEIDを保持する。 The secure component 30 includes a positioning means communication function 31, a secure channel function 32, a positioning means decryption function 33, a device communication function 34, a secret communication function 35, a key update function 36, an encryption function 37, a signature generation function 38, and a user authentication function 39. The secure component 30 also holds an encryption flag, a signature generation flag, a PIN, a positioning means decryption key, a secret communication key, a location information encryption key, a signature generation key, and a SEID.

測位手段通信機能31は、測位ユニット10と通信する機能を備える。測位手段通信機能31は、測位ユニット10から送られた位置情報を受信する。セキュアチャネル機能32は、測位ユニットとの間でセキュアチャネルを開設し、秘匿通信を行う。測位手段復号機能33は、測位ユニットから送られて位置情報が暗号化されている場合、復号して平文の位置情報に戻す。 The positioning means communication function 31 has a function for communicating with the positioning unit 10. The positioning means communication function 31 receives the position information sent from the positioning unit 10. The secure channel function 32 opens a secure channel with the positioning unit and performs secret communication. If the position information sent from the positioning unit is encrypted, the positioning means decryption function 33 decrypts it and returns it to plaintext position information.

暗号化機能37は、測位ユニット10から送られた位置情報を暗号化する。暗号化機能37は、復号された位置情報を再度暗号化する。署名生成機能38は、位置情報に署名を付加する。デバイス通信機能34は、セキュアコンポーネント30を内蔵しているデバイス50と通信するための機能を備える。 The encryption function 37 encrypts the location information sent from the positioning unit 10. The encryption function 37 re-encrypts the decrypted location information. The signature generation function 38 adds a signature to the location information. The device communication function 34 has a function for communicating with a device 50 that has a built-in secure component 30.

ユーザ認証機能39は、デバイス所有者の認証を受け付け、認証可否判断を行い、認証状態を保持する機能を備える。秘匿通信機能35は、位置情報管理システム100とセキュアコンポーネント30との間で秘匿通信路を開設する機能を備える。鍵更新機能36は、セキュアコンポーネント30内の鍵を更新する機能を備える。 The user authentication function 39 has a function of accepting authentication of the device owner, determining whether or not the authentication is possible, and maintaining the authentication status. The secret communication function 35 has a function of opening a secret communication path between the location information management system 100 and the secure component 30. The key update function 36 has a function of updating the key in the secure component 30.

PINは、ユーザ認証機能39において、正当なユーザであることを確認するために用いられるデータ列である。SEIDは、各セキュアコンポーネント30に個別に付与されたIDであり、位置情報管理システム100側から個体識別が可能となっている。 The PIN is a data string used by the user authentication function 39 to verify that the user is a legitimate user. The SEID is an ID that is individually assigned to each secure component 30, and allows individual identification from the location information management system 100 side.

次に、セキュアコンポーネント30が保持する鍵について説明する。 Next, we will explain the keys held by the secure component 30.

測位手段復号鍵は、測位ユニット10から得られる位置情報が暗号化されている場合に用いる復号鍵であり、使用する測位ユニット10に合わせて事前に設定することができる。測位手段復号鍵に対向する鍵はない。 The positioning means decryption key is a decryption key used when the location information obtained from the positioning unit 10 is encrypted, and can be set in advance to match the positioning unit 10 being used. There is no key that corresponds to the positioning means decryption key.

位置情報暗号鍵は、セキュアコンポーネント30が位置情報を出力する際、位置情報の暗号化に用いる鍵である。位置情報管理システム100側で、対向する鍵(位置情報復号鍵)を持ち、暗号化された位置情報を復号することができる。 The location information encryption key is a key used to encrypt location information when the secure component 30 outputs the location information. The location information management system 100 has the corresponding key (location information decryption key) and can decrypt the encrypted location information.

署名生成鍵は、セキュアコンポーネント30が位置情報に対して署名を行うための鍵である。デバイス50又は位置情報管理システム100側で、対向する鍵(署名検証鍵)を持ち、位置情報の正当性を確認することができる。 The signature generation key is a key that the secure component 30 uses to sign the location information. The device 50 or the location information management system 100 has an opposing key (signature verification key) and can verify the validity of the location information.

秘匿通信鍵は、セキュアコンポーネント30と外部システムが秘匿通信を行うための鍵である。外部システム側も、対向する鍵(秘匿通信鍵)を持つ。 The secret communication key is a key for the secure component 30 and the external system to perform secret communication. The external system also has an opposing key (secret communication key).

セキュアコンポーネント30内の鍵として、対称鍵、非対称鍵のいずれを用いるかは適宜決定することができる。本実施の形態では、鍵の形態を以下のようにするが、これに限定されるものではない。 Whether to use a symmetric key or an asymmetric key as the key in the secure component 30 can be determined appropriately. In this embodiment, the key form is as follows, but is not limited to this.

測位ユニット10の暗号化としては、非対称鍵暗号方式を用い、測位手段復号鍵を公開鍵とすることができる。GPSのように、不特定多数に位置情報を供給する場合、供給を受ける側で秘密鍵を個別化して保持することが困難であるためである。 To encrypt the positioning unit 10, an asymmetric key cryptosystem can be used, with the positioning means decryption key being a public key. This is because, when providing location information to an unspecified number of people, as with GPS, it is difficult for the recipient to individualize and hold a private key.

位置情報の暗号化及び復号としては、対称鍵暗号方式を用い、位置情報の暗号化、復号を同一鍵で行うことができる。非対称暗号方式を用いてもよいが、位置情報を頻繁に取得する場合、演算速度が高速な対称鍵が好適である。 Symmetric key cryptography is used to encrypt and decrypt location information, and the same key can be used to encrypt and decrypt the location information. Asymmetric cryptography may also be used, but if location information is acquired frequently, a symmetric key with high calculation speed is preferable.

署名の生成、検証としては、非対称鍵暗号方式を用い、署名生成鍵を秘密鍵とし、署名検証鍵を公開鍵とすることができる。署名は秘密鍵で生成しないと正当性を検証できないからである。また、署名検証鍵は十分な保護の及ばないデバイス50上に保持されるユースケースがあるからである。 For signature generation and verification, asymmetric key cryptography can be used, with the signature generation key being a private key and the signature verification key being a public key. This is because the authenticity of a signature cannot be verified unless it is generated with a private key. Also, there are use cases in which the signature verification key is stored on a device 50 that is not adequately protected.

セキュアコンポーネント30との秘匿通信としては、対称鍵暗号方式を用い、秘匿通信鍵を同一の鍵とする。非対称暗号方式を用いてもよいが、セキュアコンポーネント30及び位置情報管理システム100に保持されているので対称鍵の方が演算速度上有利だからである。 For secret communication with the secure component 30, a symmetric key cryptosystem is used, and the secret communication key is the same key. Although an asymmetric cryptosystem may be used, the symmetric key is advantageous in terms of calculation speed because it is stored in the secure component 30 and the location information management system 100.

デバイス50は、測位ユニット10、セキュアコンポーネント30、署名検証機能51、ネットワーク通信機能52、セキュアなコンポーネント通信機能53を備える。また、デバイス50は、署名検証鍵、ユーザからPIN入力を受け付けるためのキーパッドを備える。 The device 50 includes a positioning unit 10, a secure component 30, a signature verification function 51, a network communication function 52, and a secure component communication function 53. The device 50 also includes a signature verification key and a keypad for accepting a PIN input from the user.

セキュアなコンポーネント通信機能53は、デバイス50が内蔵するセキュアコンポーネント30と通信を行う機能を備える。署名検証機能51は、セキュアコンポーネント30が生成した署名を検証する機能を備える。署名の検証には、署名検証鍵が用いられる。署名検証鍵は、事前に位置情報管理システム100から取得することができる。ネットワーク通信機能52は、位置情報管理システム100と通信を行うための機能を備える。 The secure component communication function 53 has a function for communicating with the secure component 30 built into the device 50. The signature verification function 51 has a function for verifying the signature generated by the secure component 30. A signature verification key is used for verifying the signature. The signature verification key can be obtained in advance from the location information management system 100. The network communication function 52 has a function for communicating with the location information management system 100.

デバイス50は、一時的、恒常的を問わず、何らかの手段により位置情報を利用する全てのデバイスを含み、位置情報を参照するものであればIoTデバイスも含む。デバイス50は、例えば、スマートフォン、タブレット端末を含み、あるいは、自転車、バイク、自動車、列車、船舶又は飛行機等の交通移動手段を含み、気象観測デバイスのように位置情報を利用するIoTデバイス等を含む。 Device 50 includes all devices that use location information by some means, whether temporary or permanent, and also includes IoT devices that refer to location information. Device 50 includes, for example, smartphones and tablet terminals, as well as means of transportation such as bicycles, motorbikes, automobiles, trains, ships, and airplanes, and includes IoT devices that use location information such as weather observation devices.

位置情報管理システム100は、位置情報管理サーバ110、及び鍵管理サーバ120を備える。なお、図の例では、位置情報管理システム100は、2台のサーバで構成されているが、これに限定されるものではなく、1台または3台以上のサーバで構成してもよい。また、図の例では、1個のデバイス50を図示しているが、デバイス50は、複数備えることができる。 The location information management system 100 includes a location information management server 110 and a key management server 120. Note that, in the example shown in the figure, the location information management system 100 is configured with two servers, but this is not limited to this and may be configured with one server or three or more servers. Also, in the example shown in the figure, one device 50 is shown, but multiple devices 50 may be provided.

位置情報管理サーバ110は、デバイス50(セキュアコンポーネント30)それぞれの位置情報を管理し、把握するサーバである。位置情報管理サーバ110は、位置情報データベース111、位置情報管理機能112、及びネットワーク通信機能113を備える。 The location information management server 110 is a server that manages and keeps track of the location information of each device 50 (secure component 30). The location information management server 110 includes a location information database 111, a location information management function 112, and a network communication function 113.

位置情報管理機能112は、位置情報データベース111へのアクセスを行い、位置情報を更新、参照する。ネットワーク通信機能113は、他のサーバと通信するための機能を備える。位置情報データベース111の詳細は後述する。 The location information management function 112 accesses the location information database 111 to update and reference the location information. The network communication function 113 has a function for communicating with other servers. Details of the location information database 111 will be described later.

鍵管理サーバ120は、鍵情報データベース121、復号機能122、ネットワーク通信機能123、署名検証機能124、鍵更新(生成)機能125、及び秘匿通信機能126を備える。 The key management server 120 includes a key information database 121, a decryption function 122, a network communication function 123, a signature verification function 124, a key update (generation) function 125, and a secret communication function 126.

復号機能122は、デバイス50から受信した暗号化された位置情報を復号する機能を備える。署名検証機能124は、デバイス50から受信した位置情報に付加された署名を検証する機能を備える。秘匿通信機能126は、セキュアコンポーネント30と秘匿通信路を確立するための機能を備える。鍵管理サーバ120は、秘匿通信路を介して、セキュアコンポーネント30の遠隔管理を行うことができる。鍵更新(生成)機能125は、鍵を更新する際に新しい鍵を生成し、鍵情報データベース121側に反映する機能を備える。ネットワーク通信機能123は、他のサーバと通信するための機能を備える。鍵情報データベース121の詳細は後述する。 The decryption function 122 has a function of decrypting encrypted location information received from the device 50. The signature verification function 124 has a function of verifying the signature added to the location information received from the device 50. The secret communication function 126 has a function of establishing a secret communication path with the secure component 30. The key management server 120 can remotely manage the secure component 30 via the secret communication path. The key update (generation) function 125 has a function of generating a new key when updating a key and reflecting it on the key information database 121 side. The network communication function 123 has a function of communicating with other servers. The key information database 121 will be described in detail later.

本実施の形態では、デバイス50は、位置情報を鍵管理サーバ120に一旦送信し、鍵管理サーバ120側で復号や署名検証を行う。位置情報管理サーバ110は、デバイス50と直接通信せず、鍵管理サーバ120側から平文で受け取る形態としている。位置情報管理サーバ110と鍵管理サーバ120との間の通信は、例えば、TLS等の秘匿通信によって秘匿性を確保して行うことができる。 In this embodiment, the device 50 first transmits the location information to the key management server 120, and the key management server 120 performs decryption and signature verification. The location information management server 110 does not communicate directly with the device 50, but receives the information in plain text from the key management server 120. Communication between the location information management server 110 and the key management server 120 can be performed while ensuring confidentiality, for example, by using secret communication such as TLS.

図2は位置情報データベース111及び鍵情報データベース121の構成の一例を示す模式図である。位置情報データベース111は、例えば、SEID、緯度、経度の各欄を有し、セキュアコンポーネント30(あるいは、セキュアコンポーネント30と紐付けられた測位ユニット10やデバイス50)個別の位置情報を保持する。鍵情報データベース121は、SEID、位置情報復号鍵、署名検証鍵、秘匿通信鍵の各欄を有し、各セキュアコンポーネント30に対応する位置情報復号鍵、署名検証鍵、秘匿通信鍵を保持する。 Figure 2 is a schematic diagram showing an example of the configuration of the location information database 111 and the key information database 121. The location information database 111 has columns for, for example, SEID, latitude, and longitude, and stores location information for each secure component 30 (or the positioning unit 10 or device 50 linked to the secure component 30). The key information database 121 has columns for SEID, location information decryption key, signature verification key, and secret communication key, and stores the location information decryption key, signature verification key, and secret communication key corresponding to each secure component 30.

次に、本実施の形態の情報処理システムの具体的な処理について説明する。 Next, we will explain the specific processing of the information processing system of this embodiment.

図3は位置情報の暗号化出力と管理に関する処理フローの一例を示す模式図である。以下、図中の各処理を#1~#13として説明する。図3に例示する処理フローは、測位ユニット10から得られた位置情報を暗号化し、位置情報管理システム100の位置情報データベース111に位置情報を反映するものである。 Figure 3 is a schematic diagram showing an example of a processing flow relating to the encrypted output and management of location information. Each process in the diagram will be explained below as #1 to #13. The processing flow shown in Figure 3 encrypts the location information obtained from the positioning unit 10 and reflects the location information in the location information database 111 of the location information management system 100.

#1(セキュアチャネルの開設):測位ユニット10とセキュアコンポーネント30は、位置情報の授受に先立って、両者間でセキュアチャネルを確立する。なお、後述するように、セキュアコンポーネント30が測位ユニット10に内蔵されている場合、本手順は省略することができる。 #1 (Establishing a secure channel): The positioning unit 10 and the secure component 30 establish a secure channel between each other before transmitting and receiving location information. Note that, as described below, if the secure component 30 is built into the positioning unit 10, this procedure can be omitted.

#2(環境情報の取得):測位ユニット10は、自身が位置情報を計算するために必要な環境情報(電波、地磁気など)を取得する。本実施の形態では、測位ユニット10をGPSとすると、衛星から出力されている電波を受信する。 #2 (Acquisition of environmental information): The positioning unit 10 acquires the environmental information (radio waves, geomagnetism, etc.) necessary for the positioning unit 10 to calculate its own position information. In this embodiment, if the positioning unit 10 is a GPS, it receives radio waves output from satellites.

#3(位置情報の計算):測位ユニット10は、取得した環境情報を元に位置情報を計算する。 #3 (Calculation of location information): The positioning unit 10 calculates location information based on the acquired environmental information.

#4(位置情報の出力):測位ユニット10は、計算した位置情報をセキュアコンポーネント30に出力する。この場合、セキュアチャネルによる保護を用いて、セキュアコンポーネント30に安全に位置情報を出力できる。 #4 (Output of location information): The positioning unit 10 outputs the calculated location information to the secure component 30. In this case, the location information can be safely output to the secure component 30 using protection provided by a secure channel.

#5(位置情報の暗号化):セキュアコンポーネント30は、暗号化機能37を用いて、位置情報の暗号化を行う。ここでは、暗号化機能37は、暗号化フラグを参照し、暗号化フラグが「暗号化を実施する」という状態を示していることを確認した上で、位置情報暗号鍵を用いて、位置情報を暗号化することができる。 #5 (Encryption of location information): The secure component 30 encrypts the location information using the encryption function 37. Here, the encryption function 37 refers to the encryption flag, and after confirming that the encryption flag indicates a state in which "encryption is to be performed," it can encrypt the location information using the location information encryption key.

#6(署名の付与):セキュアコンポーネント30は、署名生成機能38を用いて、暗号化された位置情報に対して署名を付与する。ここでは、署名生成機能38は、署名生成フラグを参照し、署名生成フラグが「署名付与を実施する」という状態を示していることを確認した上で、セキュアコンポーネント30のSEIDを付与し、署名生成鍵を用いて、署名を付与することができる。 #6 (Assignment of signature): The secure component 30 assigns a signature to the encrypted location information using the signature generation function 38. Here, the signature generation function 38 refers to the signature generation flag, and after confirming that the signature generation flag indicates a state in which "signature assignment is performed," it can assign the SEID of the secure component 30 and assign a signature using the signature generation key.

#7(デバイス50への出力):セキュアコンポーネント30は、暗号化、署名付与が完了した位置情報をデバイス50に出力する。 #7 (output to device 50): The secure component 30 outputs the location information after encryption and signing to the device 50.

#8(位置情報管理システム100への送信):デバイス50は、ネットワーク通信機能52を用いて、セキュアコンポーネント30から取得した位置情報を位置情報管理システム100の鍵管理サーバ120に送信する。 #8 (Transmission to location information management system 100): Using the network communication function 52, the device 50 transmits the location information obtained from the secure component 30 to the key management server 120 of the location information management system 100.

#9(署名の検証):位置情報管理システム100は、鍵管理サーバ120の署名検証機能124を用いて、位置情報に付与された署名の検証を行う。署名検証機能124は、鍵情報データベース121に格納された署名検証鍵の中から、当該位置情報に付加されているSEID(この場合、SEID:00000001)に基づいて、対応する署名検証鍵を特定し、特定した署名検証鍵を用いて署名の検証を行うことができる。署名検証に失敗した場合、当該位置情報は不正なデータとして取り扱われ(例えば、廃棄される)、以降の処理を実施しない。 #9 (Signature verification): The location information management system 100 verifies the signature attached to the location information using the signature verification function 124 of the key management server 120. The signature verification function 124 identifies a corresponding signature verification key from among the signature verification keys stored in the key information database 121 based on the SEID (in this case, SEID: 00000001) attached to the location information, and can verify the signature using the identified signature verification key. If the signature verification fails, the location information is treated as invalid data (e.g., discarded), and no further processing is performed.

#10(位置情報の復号):位置情報管理システム100は、署名検証に成功した場合、鍵管理サーバ120の復号機能122を用いて位置情報の復号を行う。復号機能122は、当該位置情報に付加されているSEID(この場合、SEID:00000001)に基づいて、対応する位置情報復号鍵を特定し、特定した位置情報復号鍵を用いて位置情報の復号を行うことができる。 #10 (Decryption of location information): If the signature verification is successful, the location information management system 100 uses the decryption function 122 of the key management server 120 to decrypt the location information. The decryption function 122 identifies the corresponding location information decryption key based on the SEID (in this case, SEID: 00000001) added to the location information, and can decrypt the location information using the identified location information decryption key.

#11(位置情報管理サーバ110への送信):鍵管理サーバ120は、復号した位置情報を位置情報管理サーバ110に送信する。 #11 (Transmission to location information management server 110): The key management server 120 transmits the decrypted location information to the location information management server 110.

#12(位置情報管理機能112への通知):位置情報管理サーバ110は、受信した位置情報を位置情報管理機能112に通知する。 #12 (Notification to location information management function 112): The location information management server 110 notifies the location information management function 112 of the received location information.

#13(位置情報データベース111への反映):位置情報管理機能112は、受信した位置情報に付加されているSEID(この場合、SEID:00000001)をキーとして、位置情報データベース111の位置情報を、受信した位置情報で上書きする。 #13 (reflecting in location information database 111): The location information management function 112 overwrites the location information in the location information database 111 with the received location information, using the SEID (in this case, SEID: 00000001) added to the received location information as a key.

図4は位置情報データベース111の位置情報の反映の一例を示す模式図である。図4の例では、SEID:00000001に対応する緯度が、35.695855から35.795855に変更され、経度が、139.730134から139.630134に変更されている。なお、緯度及び経度の値は一例として挙げているものであり、数値自体に特別な意味を持つものではない。 Figure 4 is a schematic diagram showing an example of the reflection of location information in the location information database 111. In the example of Figure 4, the latitude corresponding to SEID: 00000001 has been changed from 35.695855 to 35.795855, and the longitude has been changed from 139.730134 to 139.630134. Note that the latitude and longitude values are given as an example, and the numbers themselves do not have any special meaning.

なお、位置情報管理システム100側での署名検証に失敗し、位置情報が不正なデータとして取り扱われた場合の処理については、例えば、デバイス50の無効化を行う、当該SEIDのセキュアコンポーネント30からのデータをすべて破棄する等、種々の運用を採用することができる。 When signature verification fails on the location information management system 100 side and the location information is treated as invalid data, various operations can be adopted for processing, such as disabling the device 50 or discarding all data from the secure component 30 of the SEID.

上述のように、平文での位置情報の出力を行わず、位置情報をセキュアコンポーネント30の外に出す際に暗号化を行うので、出力された位置情報の改ざん、漏洩を防止できる。また、不正な位置情報トレースを防止できる。 As described above, location information is not output in plain text, but is encrypted when it is sent outside the secure component 30, which prevents tampering with or leakage of the output location information. It also prevents unauthorized tracing of location information.

また、上述のように、セキュアコンポーネント30で暗号化に用いる鍵と対向する鍵を位置情報管理システム100にのみ持たせることにより、デバイス50側での位置情報の改ざんを防止しつつ、位置情報の個別復号(セキュアコンポーネント30の識別)を可能にする。 As described above, by having only the location information management system 100 hold a key that is opposite to the key used for encryption by the secure component 30, it is possible to prevent tampering with the location information on the device 50 side while enabling individual decryption of the location information (identification of the secure component 30).

また、位置情報を暗号化する際、位置情報に対する署名を生成し、連結して出力するので、位置情報を取得したデバイス50や、位置情報管理システム100側において、測位ユニット10やセキュアコンポーネント30の正当性を確認することができる。 In addition, when encrypting the location information, a signature for the location information is generated, concatenated, and output, so that the authenticity of the positioning unit 10 and the secure component 30 can be confirmed on the device 50 that acquired the location information and on the location information management system 100 side.

スプーフィング対策等に基づき、測位ユニット10から取得した位置情報が事前に暗号化されているケースについても、今後増加することが想定される。GPSのように、不特定多数に対して測位情報を提供する場合、測位情報は不特定多数によって共用されることになるため、受信する主体ごとに個別の暗号化を施すことは困難であり、原則として共通の鍵を用いて暗号化を行うしかない。以下では、測位ユニット10側で事前に暗号化された位置情報の処理について説明する。 It is expected that the number of cases in which location information obtained from the positioning unit 10 is encrypted in advance based on measures against spoofing, etc. will increase in the future. When providing positioning information to an unspecified number of people, as with GPS, the positioning information is shared by an unspecified number of people, so it is difficult to encrypt it individually for each recipient, and as a rule, encryption must be performed using a common key. The following describes how the positioning unit 10 processes the location information that has been encrypted in advance.

図5は事前に暗号化された位置情報の取扱に関する処理フローの一例を示す模式図である。以下、図中の各処理を#1~#14として説明する。 Figure 5 is a schematic diagram showing an example of a process flow for handling pre-encrypted location information. Each process in the diagram will be explained below as #1 to #14.

#1(セキュアチャネルの開設):測位ユニット10とセキュアコンポーネント30は、位置情報の授受に先立って、両者間でセキュアチャネルを確立する。なお、後述するように、セキュアコンポーネント30が測位ユニット10に内蔵されている場合、本手順は省略することができる。 #1 (Establishing a secure channel): The positioning unit 10 and the secure component 30 establish a secure channel between each other before transmitting and receiving location information. Note that, as described below, if the secure component 30 is built into the positioning unit 10, this procedure can be omitted.

#2(環境情報の取得):測位ユニット10は、自身が位置情報を計算するために必要な環境情報(電波、地磁気など)を取得する。本実施の形態では、測位ユニット10をGPSとすると、衛星から出力されている電波を受信する。 #2 (Acquisition of environmental information): The positioning unit 10 acquires environmental information (radio waves, geomagnetism, etc.) necessary for the positioning unit 10 to calculate its own position information. In this embodiment, if the positioning unit 10 is a GPS, it receives radio waves output from satellites.

#3(位置情報の計算):測位ユニット10は、取得した環境情報を元に位置情報を計算する。このとき、当該位置情報は、計算時点で暗号化されているものとする。 #3 (Calculation of location information): The positioning unit 10 calculates location information based on the acquired environmental information. At this time, the location information is assumed to be encrypted at the time of calculation.

#4(位置情報の出力):測位ユニット10は、計算した位置情報をセキュアコンポーネント30に出力する。この場合、セキュアチャネルによる保護を用いて、セキュアコンポーネント30に安全に位置情報を出力できる。 #4 (Output of location information): The positioning unit 10 outputs the calculated location information to the secure component 30. In this case, the location information can be safely output to the secure component 30 using protection provided by a secure channel.

#5(位置情報の復号):セキュアコンポーネント30は、取得した位置情報を測位手段復号機能33に渡し、位置情報に予め施されている暗号化を解いて復号する。復号には、事前に保持している測位手段復号鍵を用いることができる。 #5 (Decryption of location information): The secure component 30 passes the acquired location information to the positioning means decryption function 33, which decrypts the location information by removing the encryption that has been applied to the location information in advance. For decryption, a positioning means decryption key that is held in advance can be used.

#6(位置情報の再暗号化):セキュアコンポーネント30は、暗号化機能37を用いて、位置情報の暗号化を行う。ここでは、暗号化機能37は、暗号化フラグを参照し、暗号化フラグが「暗号化を実施する」という状態を示していることを確認した上で、位置情報暗号鍵を用いて、位置情報を暗号化することができる。 #6 (re-encryption of location information): The secure component 30 encrypts the location information using the encryption function 37. Here, the encryption function 37 refers to the encryption flag, and after confirming that the encryption flag indicates a state in which "encryption is to be performed," it can encrypt the location information using the location information encryption key.

#7(署名の付与):セキュアコンポーネント30は、署名生成機能38を用いて、暗号化された位置情報に対して署名を付与する。ここでは、署名生成機能38は、署名生成フラグを参照し、署名生成フラグが「署名付与を実施する」という状態を示していることを確認した上で、セキュアコンポーネント30のSEIDを付与し、署名生成鍵を用いて、署名を付与することができる。 #7 (Assignment of signature): The secure component 30 assigns a signature to the encrypted location information using the signature generation function 38. Here, the signature generation function 38 refers to the signature generation flag, and after confirming that the signature generation flag indicates a state in which "signature assignment is performed," it can assign the SEID of the secure component 30 and assign a signature using the signature generation key.

#8(デバイス50への出力):セキュアコンポーネント30は、暗号化、署名付与が完了した位置情報をデバイス50に出力する。 #8 (output to device 50): The secure component 30 outputs the location information after encryption and signing to the device 50.

#9(位置情報管理システム100への送信):デバイス50は、ネットワーク通信機能52を用いて、セキュアコンポーネント30から取得した位置情報を位置情報管理システム100の鍵管理サーバ120に送信する。 #9 (Transmission to location information management system 100): Using the network communication function 52, the device 50 transmits the location information obtained from the secure component 30 to the key management server 120 of the location information management system 100.

#10(署名の検証):位置情報管理システム100は、鍵管理サーバ120の署名検証機能124を用いて、位置情報に付与された署名の検証を行う。署名検証機能124は、鍵情報データベース121に格納された署名検証鍵の中から、当該位置情報に付加されているSEID(この場合、SEID:00000001)に基づいて、対応する署名検証鍵を特定し、特定した署名検証鍵を用いて署名の検証を行うことができる。署名検証に失敗した場合、当該位置情報は不正なデータとして取り扱われ(例えば、廃棄される)、以降の処理を実施しない。 #10 (Signature verification): The location information management system 100 verifies the signature attached to the location information using the signature verification function 124 of the key management server 120. The signature verification function 124 identifies a corresponding signature verification key from among the signature verification keys stored in the key information database 121 based on the SEID (in this case, SEID: 00000001) attached to the location information, and can verify the signature using the identified signature verification key. If the signature verification fails, the location information is treated as invalid data (e.g., discarded), and no further processing is performed.

#11(位置情報の復号):位置情報管理システム100は、署名検証に成功した場合、鍵管理サーバ120の復号機能122を用いて位置情報の復号を行う。復号機能122は、当該位置情報に付加されているSEID(この場合、SEID:00000001)に基づいて、対応する位置情報復号鍵を特定し、特定した位置情報復号鍵を用いて位置情報の復号を行うことができる。 #11 (Decryption of location information): If the signature verification is successful, the location information management system 100 decrypts the location information using the decryption function 122 of the key management server 120. The decryption function 122 identifies the corresponding location information decryption key based on the SEID (in this case, SEID: 00000001) added to the location information, and can decrypt the location information using the identified location information decryption key.

#12(位置情報管理サーバ110への送信):鍵管理サーバ120は、復号した位置情報を位置情報管理サーバ110に送信する。 #12 (Transmission to location information management server 110): The key management server 120 transmits the decrypted location information to the location information management server 110.

#13(位置情報管理機能112への通知):位置情報管理サーバ110は、受信した位置情報を位置情報管理機能112に通知する。 #13 (Notification to location information management function 112): The location information management server 110 notifies the location information management function 112 of the received location information.

#14(位置情報データベース111への反映):位置情報管理機能112は、受信した位置情報に付加されているSEID(この場合、SEID:00000001)をキーとして、位置情報データベース111の位置情報を、受信した位置情報で上書きする。 #14 (Reflection to location information database 111): The location information management function 112 overwrites the location information in the location information database 111 with the received location information, using the SEID (in this case, SEID: 00000001) added to the received location information as a key.

上述のように、測位ユニット10の出力情報が暗号化されている場合、セキュアコンポーネント30内で一旦復号し、再度セキュアコンポーネント30内の鍵で暗号化して外部に出力するので、測位ユニット10の暗号鍵が個別化されていない(第三者が復号できる)場合でも、セキュアコンポーネント30の個別鍵で再暗号化することで、位置情報のセキュリティを高めることができる。すなわち、測位ユニット10の暗号鍵が個別化されていない場合でも、セキュアコンポーネント30の個別鍵で暗号化できるので、デバイス50が個別に取得したセンサ情報の秘匿性、完全性を高めることができる。 As described above, if the output information of the positioning unit 10 is encrypted, it is decrypted once within the secure component 30, then re-encrypted with the key within the secure component 30 and output to the outside. Therefore, even if the encryption key of the positioning unit 10 is not individualized (can be decrypted by a third party), the security of the location information can be improved by re-encrypting it with the individual key of the secure component 30. In other words, even if the encryption key of the positioning unit 10 is not individualized, encryption can be performed with the individual key of the secure component 30, so the confidentiality and integrity of the sensor information acquired individually by the device 50 can be improved.

前述の#5の位置情報の復号のアルゴリズムと、#6の位置情報の再暗号化のアルゴリズムとは、必ずしも同一である必要はなく、異なっていてもよい。例えば、暗号化配信されている位置情報は、非対称鍵暗号(RSA:Rivest Shamir Adleman cryptosystem等)を用い、セキュアコンポーネント30内で再暗号化する際のアルゴリズムとして対称鍵暗号(AES:Advanced Encryption Standard等)を用いてもよい。 The algorithm for decrypting the location information in #5 and the algorithm for re-encrypting the location information in #6 described above do not necessarily need to be the same, and may be different. For example, the encrypted and distributed location information may use asymmetric key cryptography (e.g., RSA: Rivest Shamir Adleman cryptosystem), and the algorithm for re-encrypting the information within the secure component 30 may use symmetric key cryptography (e.g., AES: Advanced Encryption Standard).

前述の図3及び図5に例示した処理では、位置情報を位置情報管理システム100側で復号することで位置情報の改ざんを防止できる。しかし、以下のような場合では、ユーザ、またはシステムの認証を付与することで、デバイス50への平文出力を許容する構成とすることができる。すなわち、(1)デバイス50側単体で位置情報の利用が完結している場合、(2)位置情報の取得を高速で行うため、都度暗号化の処理時間を削減したい場合、(3)位置情報のデバイス50側の利用形態がクリティカルなものでなく、多少の改ざんリスクを許容できる場合などである。以下では、まずユーザ認証によってデバイス50への平文出力を行うケースについて説明する。 In the process exemplified in FIG. 3 and FIG. 5, the location information can be decrypted on the location information management system 100 side to prevent tampering with the location information. However, in the following cases, a configuration can be made to allow plaintext output to the device 50 by providing user or system authentication. That is, (1) when the device 50 side alone is responsible for the use of location information, (2) when it is desired to reduce the processing time for encryption each time in order to obtain location information at high speed, and (3) when the usage of location information on the device 50 side is not critical and a certain risk of tampering can be tolerated. Below, we will first explain the case where plaintext output to the device 50 is performed by user authentication.

図6はユーザ認証を行う場合のデバイス50への平文出力に関する処理フローの一例を示す模式図である。以下、図中の各処理を#1~#13として説明する。 Figure 6 is a schematic diagram showing an example of a process flow for plain text output to device 50 when performing user authentication. Each process in the diagram will be explained below as #1 to #13.

#1(セキュアチャネルの開設):測位ユニット10とセキュアコンポーネント30は、位置情報の授受に先立って、両者間でセキュアチャネルを確立する。なお、後述するように、セキュアコンポーネント30が測位ユニット10に内蔵されている場合、本手順は省略することができる。 #1 (Establishing a secure channel): The positioning unit 10 and the secure component 30 establish a secure channel between each other before transmitting and receiving location information. Note that, as described below, if the secure component 30 is built into the positioning unit 10, this procedure can be omitted.

#2(ユーザによる認証情報の入力):ユーザは、デバイス50内部で平文の位置情報を使用したい場合、ユーザ認証情報をデバイス50に入力する。ここでは、ユーザは、PINを入力することができる。 #2 (User inputs authentication information): If the user wants to use plaintext location information within the device 50, the user inputs user authentication information into the device 50. Here, the user can input a PIN.

#3(認証情報のインプット):デバイス50は、ユーザが入力した認証情報をセキュアコンポーネント30にインプットし、ユーザ認証を依頼する。 #3 (Input of authentication information): The device 50 inputs the authentication information entered by the user to the secure component 30 and requests user authentication.

#4(認証の実施と暗号化フラグの変更):セキュアコンポーネント30は、ユーザ認証機能39を用いて、入力された認証情報が正当なユーザのものであるか否かを検証する。ここでは、セキュアコンポーネント30が保持している、事前に設定されているPINの値と、ユーザが入力したPINの値とが一致しているか比較し、両者が一致している場合には、認証成功とする。認証が成功した場合、ユーザ認証機能39は、暗号化フラグが「暗号化を実施する」という状態から「暗号化を実施しない」という状態になるように、暗号化フラグの値を変更する。認証が失敗した場合、セキュアコンポーネント30は、暗号化フラグを変更せず、「暗号化を実施する」という状態のままとして、平文出力を許可しない。この場合、以降の処理は実施されず、通常の暗号化出力のみが行われる。 #4 (Performing authentication and changing encryption flag): Using the user authentication function 39, the secure component 30 verifies whether the entered authentication information belongs to a legitimate user. Here, a comparison is made to see whether the PIN value previously set in the secure component 30 matches the PIN value entered by the user, and if the two match, authentication is deemed successful. If authentication is successful, the user authentication function 39 changes the value of the encryption flag so that it changes from "perform encryption" to "do not perform encryption." If authentication fails, the secure component 30 does not change the encryption flag, leaving it in the "perform encryption" state, and does not allow plaintext output. In this case, no further processing is performed, and only normal encrypted output is performed.

#5(環境情報の取得):測位ユニット10は、自身が位置情報を計算するために必要な環境情報(電波、地磁気など)を取得する。本実施の形態では、測位ユニット10をGPSとすると、衛星から出力されている電波を受信する。 #5 (Acquisition of environmental information): The positioning unit 10 acquires environmental information (radio waves, geomagnetism, etc.) necessary for the positioning unit 10 to calculate its own position information. In this embodiment, if the positioning unit 10 is a GPS, it receives radio waves output from satellites.

#6(位置情報の計算):測位ユニット10は、取得した環境情報を元に位置情報を計算する。このとき、当該位置情報は、計算時点で暗号化されているものとする。 #6 (Calculation of location information): The positioning unit 10 calculates location information based on the acquired environmental information. At this time, the location information is assumed to be encrypted at the time of calculation.

#7(位置情報の出力):測位ユニット10は、計算した位置情報をセキュアコンポーネント30に出力する。この場合、セキュアチャネルによる保護を用いて、セキュアコンポーネント30に安全に位置情報を出力できる。 #7 (Output of location information): The positioning unit 10 outputs the calculated location information to the secure component 30. In this case, the location information can be safely output to the secure component 30 using protection provided by a secure channel.

#8(位置情報の復号):セキュアコンポーネント30は、取得した位置情報を測位手段復号機能33に渡し、位置情報に予め施されている暗号化を解いて復号する。復号には、事前に保持している測位手段復号鍵を用いることができる。 #8 (Decryption of location information): The secure component 30 passes the acquired location information to the positioning means decryption function 33, which decrypts the location information by removing the encryption that has been applied to the location information in advance. For decryption, a positioning means decryption key that is held in advance can be used.

#9(暗号化実施のキャンセル):セキュアコンポーネント30は、暗号化機能37を呼び出す。暗号化機能37は、暗号化フラグを参照し、「暗号化を実施しない」ことを確認した上で、暗号化を実施せずに、次の処理へ進む。 #9 (Cancel encryption): The secure component 30 calls the encryption function 37. The encryption function 37 refers to the encryption flag, and upon confirming that "encryption is not to be performed," it proceeds to the next process without performing encryption.

#10(署名の付与):セキュアコンポーネント30は、署名生成機能38を用いて、平文の位置情報に対して署名を付与する。ここでは、署名生成機能38は、署名生成フラグを参照し、署名生成フラグが「署名付与を実施する」という状態を示していることを確認した上で、セキュアコンポーネント30のSEIDを付与し、署名生成鍵を用いて、署名を付与することができる。 #10 (signature assignment): The secure component 30 assigns a signature to the plaintext location information using the signature generation function 38. Here, the signature generation function 38 refers to the signature generation flag, and after confirming that the signature generation flag indicates a state in which "signature assignment is performed," it can assign the SEID of the secure component 30 and assign a signature using the signature generation key.

#11(デバイス50への出力):セキュアコンポーネント30は、署名付与が完了した平文の位置情報をデバイス50に出力する。 #11 (output to device 50): The secure component 30 outputs the plaintext location information for which a signature has been added to the device 50.

#12(デバイス50による署名検証):デバイス50は、自身が保持する署名検証鍵、及び署名検証機能51を用いて、平文の位置情報に付与された署名の検証を実施する。署名検証に成功した場合、当該位置情報は正当であり、改ざんされていないものとして取り扱う。署名検証に失敗した場合は、当該位置情報は不正な情報として取り扱い、ここで処理を終了する。 #12 (signature verification by device 50): Using the signature verification key and signature verification function 51 held by the device 50, the device 50 verifies the signature attached to the plaintext location information. If the signature verification is successful, the location information is treated as valid and not tampered with. If the signature verification fails, the location information is treated as invalid information, and the process ends here.

#13(デバイス50による位置情報利用):デバイス50は、署名検証に成功した後の正当な位置情報を、測位ユニット10から得られた正確な位置情報として、デバイス50内部で使用する。 #13 (Use of location information by device 50): After successful signature verification, device 50 uses the valid location information internally as accurate location information obtained from positioning unit 10.

上述のように、セキュアコンポーネント30に対してPIN等のユーザ認証を行うことで、位置情報を暗号化せずに直接出力するので、デバイス50内で完結するリアルタイム用途等、改ざん、漏洩のリスクがない(又は極めて低く許容できる)利用において、高速な位置情報の取得を可能にする。 As described above, by performing user authentication such as a PIN on the secure component 30, location information is output directly without encryption, making it possible to obtain location information quickly in real-time applications completed within the device 50, where there is no risk of tampering or leakage (or where the risk is extremely low and tolerable).

前述の例において、ユーザが入力する認証情報は、PINに限定されるものではない。例えば、生体情報等を入力して認証を行ってもよく、あるいはデジタルキー等の所有物認証を行ってもよい。また、デバイス50側の署名検証のタイミングは、位置情報の取得の都度に限定されるものではなく、セキュリティポリシーに応じて、初回受信時のみに署名検証してもよく、また、署名検証のタイミングを変更してもよい。さらに、デバイス50側で署名検証が不要であるとのセキュリティポリシーで運用する場合には、セキュアコンポーネント30内での署名の付与を省略してもよい。すなわち、図6の#4(認証の実施と暗号化フラグの変更)において、暗号化フラグとともに署名生成フラグも変更し、署名の実施を不要とする旨をセキュアコンポーネント30に書き込むことで、署名生成を省略することができる。 In the above example, the authentication information entered by the user is not limited to a PIN. For example, authentication may be performed by entering biometric information or the like, or possession authentication such as a digital key may be performed. Furthermore, the timing of signature verification on the device 50 side is not limited to each time location information is acquired, and signature verification may be performed only upon initial reception according to the security policy, or the timing of signature verification may be changed. Furthermore, when operating under a security policy that does not require signature verification on the device 50 side, the addition of a signature within the secure component 30 may be omitted. That is, in #4 of FIG. 6 (performing authentication and changing the encryption flag), the signature generation flag is changed along with the encryption flag, and a message is written to the secure component 30 indicating that the implementation of the signature is not required, so that signature generation can be omitted.

次に、システム側から秘匿通信路経由で平文出力や署名なし出力を設定する例について説明する。 Next, we will explain an example of setting up plaintext output or unsigned output via a secret communication channel from the system side.

図7はシステム側から設定変更する場合のデバイス50への平文出力に関する処理フローの一例を示す模式図である。以下、図中の各処理を#1~#13として説明する。 Figure 7 is a schematic diagram showing an example of a process flow for plain text output to device 50 when changing settings from the system side. Each process in the diagram will be explained below as #1 to #13.

#1(セキュアチャネルの開設):測位ユニット10とセキュアコンポーネント30は、位置情報の授受に先立って、両者間でセキュアチャネルを確立する。なお、後述するように、セキュアコンポーネント30が測位ユニット10に内蔵されている場合、本手順は省略することができる。 #1 (Establishing a secure channel): The positioning unit 10 and the secure component 30 establish a secure channel between each other before transmitting and receiving location information. Note that, as described below, if the secure component 30 is built into the positioning unit 10, this procedure can be omitted.

#2(秘匿通信路の開設):位置情報管理システム100とセキュアコンポーネント30とは、鍵管理サーバ120のネットワーク通信機能123、デバイス50のネットワーク通信機能52及びセキュアなコンポーネント通信機能53、並びにセキュアコンポーネント30の秘匿通信機能35を用いて、両者間でエンドツーエンドの秘匿通信路を開設する。なお、TLS等を用いてもよい。 #2 (Establishment of a secret communication path): The location information management system 100 and the secure component 30 establish an end-to-end secret communication path between them using the network communication function 123 of the key management server 120, the network communication function 52 and the secure component communication function 53 of the device 50, and the secret communication function 35 of the secure component 30. Note that TLS, etc. may also be used.

#3(フラグ更新指示):位置情報管理システム100は、秘匿通信路上でセキュアコンポーネント30に対して、暗号化フラグの更新指示を送信する。 #3 (Flag update instruction): The location information management system 100 sends an instruction to update the encryption flag to the secure component 30 over the secret communication channel.

#4(暗号化フラグの変更):セキュアコンポーネント30は、秘匿通信機能35を用いて、暗号化フラグの更新指示を受信する。受信した更新指示に基づいて、セキュアコンポーネント30は、暗号化フラグの値を変更し、暗号化を実施しない旨を書き込む。 #4 (changing encryption flag): The secure component 30 receives an instruction to update the encryption flag using the secret communication function 35. Based on the received update instruction, the secure component 30 changes the value of the encryption flag and writes that encryption will not be performed.

#5(環境情報の取得):測位ユニット10は、自身が位置情報を計算するために必要な環境情報(電波、地磁気など)を取得する。本実施の形態では、測位ユニット10をGPSとすると、衛星から出力されている電波を受信する。 #5 (Acquisition of environmental information): The positioning unit 10 acquires environmental information (radio waves, geomagnetism, etc.) necessary for the positioning unit 10 to calculate its own position information. In this embodiment, if the positioning unit 10 is a GPS, it receives radio waves output from satellites.

#6(位置情報の計算):測位ユニット10は、取得した環境情報を元に位置情報を計算する。このとき、当該位置情報は、計算時点で暗号化されているものとする。 #6 (Calculation of location information): The positioning unit 10 calculates location information based on the acquired environmental information. At this time, the location information is assumed to be encrypted at the time of calculation.

#7(位置情報の出力):測位ユニット10は、計算した位置情報をセキュアコンポーネント30に出力する。この場合、セキュアチャネルによる保護を用いて、セキュアコンポーネント30に安全に位置情報を出力できる。 #7 (Output of location information): The positioning unit 10 outputs the calculated location information to the secure component 30. In this case, the location information can be safely output to the secure component 30 using protection provided by a secure channel.

#8(位置情報の復号):セキュアコンポーネント30は、取得した位置情報を測位手段復号機能33に渡し、位置情報に予め施されている暗号化を解いて復号する。復号には、事前に保持している測位手段復号鍵を用いることができる。 #8 (Decryption of location information): The secure component 30 passes the acquired location information to the positioning means decryption function 33, which decrypts the location information by removing the encryption that has been applied to the location information in advance. For decryption, a positioning means decryption key that is held in advance can be used.

#9(暗号化実施のキャンセル):セキュアコンポーネント30は、暗号化機能37を呼び出す。暗号化機能37は、暗号化フラグを参照し、「暗号化を実施しない」ことを確認した上で、暗号化を実施せずに、次の処理へ進む。 #9 (Cancel encryption): The secure component 30 calls the encryption function 37. The encryption function 37 refers to the encryption flag, and upon confirming that "encryption is not to be performed," it proceeds to the next process without performing encryption.

#10(署名の付与):セキュアコンポーネント30は、署名生成機能38を用いて、平文の位置情報に対して署名を付与する。ここでは、署名生成機能38は、署名生成フラグを参照し、署名生成フラグが「署名付与を実施する」という状態を示していることを確認した上で、セキュアコンポーネント30のSEIDを付与し、署名生成鍵を用いて、署名を付与することができる。 #10 (signature assignment): The secure component 30 assigns a signature to the plaintext location information using the signature generation function 38. Here, the signature generation function 38 refers to the signature generation flag, and after confirming that the signature generation flag indicates a state in which "signature assignment is performed," it can assign the SEID of the secure component 30 and assign a signature using the signature generation key.

#11(デバイス50への出力):セキュアコンポーネント30は、署名付与が完了した平文の位置情報をデバイス50に出力する。 #11 (output to device 50): The secure component 30 outputs the plaintext location information for which a signature has been added to the device 50.

#12(デバイス50による署名検証):デバイス50は、自身が保持する署名検証鍵、及び署名検証機能51を用いて、平文の位置情報に付与された署名の検証を実施する。署名検証に成功した場合、当該位置情報は正当であり、改ざんされていないものとして取り扱う。署名検証に失敗した場合は、当該位置情報は不正な情報として取り扱い、ここで処理を終了する。 #12 (signature verification by device 50): Using the signature verification key and signature verification function 51 held by the device 50, the device 50 verifies the signature attached to the plaintext location information. If the signature verification is successful, the location information is treated as valid and not tampered with. If the signature verification fails, the location information is treated as invalid information, and the process ends here.

#13(デバイス50による位置情報利用):デバイス50は、署名検証に成功した後の正当な位置情報を、測位ユニット10から得られた正確な位置情報として、デバイス50内部で使用する。 #13 (Use of location information by device 50): After successful signature verification, device 50 uses the valid location information internally as accurate location information obtained from positioning unit 10.

上述のように、セキュアコンポーネント30に対して秘匿通信路を介した指示を行うことで、位置情報を暗号化せずに直接出力するので、デバイス50内で完結するリアルタイム用途等、改ざん、漏洩のリスクがない(又は極めて低く許容できる)利用において、高速な位置情報の取得を可能にする。 As described above, by issuing instructions to the secure component 30 via a secret communication channel, the location information is output directly without encryption, making it possible to obtain location information quickly in real-time applications completed within the device 50, where there is no risk of tampering or leakage (or where the risk is extremely low and tolerable).

図7に示す処理においても、図6のユーザ認証の場合と同様、デバイス50側の署名検証タイミングや署名生成フラグの更新による署名付与を省略することができる。 In the process shown in FIG. 7, as in the case of user authentication in FIG. 6, the timing of signature verification on the device 50 side and signature assignment by updating the signature generation flag can be omitted.

本実施の形態によれば、個別鍵をベースとした位置情報の個別保護を図ることができるが、ここで用いる鍵をセキュアコンポーネント30毎に個別更新することで、鍵の陳腐化や漏洩に備えることができる。以下では、鍵の更新について説明する。 According to this embodiment, location information can be individually protected based on an individual key, but by updating the key used here individually for each secure component 30, it is possible to prepare for key obsolescence or leakage. The following describes key updating.

図8は秘匿通信路を介した鍵の更新に関する処理フローの一例を示す模式図である。以下、図中の各処理を#1~#10として説明する。 Figure 8 is a schematic diagram showing an example of a process flow for updating a key via a secret communication channel. Below, each process in the diagram will be explained as #1 to #10.

#1(秘匿通信路の開設):位置情報管理システム100とセキュアコンポーネント30とは、鍵管理サーバ120のネットワーク通信機能123、デバイス50のネットワーク通信機能52及びセキュアなコンポーネント通信機能53、並びにセキュアコンポーネント30の秘匿通信機能35を用いて、両者間でエンドツーエンドの秘匿通信路を開設する。なお、TLS等を用いてもよい。 #1 (Establishment of a secret communication path): The location information management system 100 and the secure component 30 establish an end-to-end secret communication path between them using the network communication function 123 of the key management server 120, the network communication function 52 and the secure component communication function 53 of the device 50, and the secret communication function 35 of the secure component 30. Note that TLS, etc. may also be used.

#2(鍵の生成):鍵管理サーバ120は、自身の鍵更新(生成)機能125を用いて、新しい鍵を生成する。本実施例では、新しい鍵として、位置情報暗号鍵、位置情報復号鍵、署名生成鍵、及び署名検証鍵を生成する。生成する鍵は、それぞれバージョン1.1とする。 #2 (Key generation): The key management server 120 generates new keys using its own key update (generation) function 125. In this embodiment, the new keys generated are a location information encryption key, a location information decryption key, a signature generation key, and a signature verification key. The generated keys are all version 1.1.

#3(鍵更新指示の送信):鍵管理サーバ120は、鍵更新(生成)機能125が生成した鍵のうち、セキュアコンポーネント30の新しい鍵(位置情報暗号鍵、署名生成鍵)を取得し、取得した新しい鍵とともに鍵更新指示を秘匿通信路経由でセキュアコンポーネント30に送信する。 #3 (sending a key update instruction): The key management server 120 obtains new keys (location information encryption key, signature generation key) for the secure component 30 from among the keys generated by the key update (generation) function 125, and transmits a key update instruction to the secure component 30 together with the obtained new keys via a secret communication channel.

#4(鍵更新指示の受信):セキュアコンポーネント30は、秘匿通信路経由で鍵更新指示を受信する。 #4 (receiving a key update instruction): The secure component 30 receives a key update instruction via a secret communication channel.

#5(鍵更新機能36の呼び出し):セキュアコンポーネント30は、受信した鍵更新指示を鍵更新機能36に渡す。 #5 (calling key update function 36): The secure component 30 passes the received key update instruction to the key update function 36.

#6(鍵の更新):鍵更新機能36は、鍵更新指示に含まれる新しい鍵を取り出し、位置情報暗号鍵を暗号化機能37で用いる鍵とし、署名生成鍵を署名生成機能38で用いる鍵として、鍵の更新を行う。図の例では、位置情報暗号鍵1.1、署名生成鍵1.1に更新されている。 #6 (Key update): The key update function 36 extracts the new key included in the key update instruction and updates the keys by setting the location information encryption key as the key to be used by the encryption function 37 and the signature generation key as the key to be used by the signature generation function 38. In the example shown in the figure, the location information encryption key and signature generation key have been updated to 1.1 and 1.1.

#7(更新処理終了通知の送信):上述の鍵の更新が終了すると、セキュアコンポーネント30は、鍵管理サーバ120に対して、秘匿通信路経由で鍵更新終了通知を送信する。 #7 (Sending update process completion notification): When the above-mentioned key update is completed, the secure component 30 sends a key update completion notification to the key management server 120 via the secret communication channel.

#8(更新処理終了通知の受信):鍵管理サーバ120は、セキュアコンポーネント30から、秘匿通信路経由で鍵更新終了通知を受信する。 #8 (Receiving update process completion notification): The key management server 120 receives a key update completion notification from the secure component 30 via the secret communication channel.

#9(鍵情報データベース121への反映):鍵管理サーバ120は、鍵情報データベース121に、サーバ側の新しい鍵(位置情報復号鍵、署名検証鍵)を反映する。 #9 (Reflection to key information database 121): The key management server 120 reflects the new server-side keys (location information decryption key, signature verification key) in the key information database 121.

図9は鍵情報データベース121への反映の一例を示す模式図である。図の例では、古いバージョンの位置情報復号鍵及び署名検証鍵が、新しいバーション1.1の位置情報復号鍵及び署名検証鍵に変更されている。 Figure 9 is a schematic diagram showing an example of reflection in the key information database 121. In the example shown, the location information decryption key and signature verification key of the old version have been changed to the location information decryption key and signature verification key of the new version 1.1.

#10(デバイス側署名検証鍵の更新):デバイス50は、鍵管理サーバ120から、新しいバージョンの署名検証鍵の配布を受けて、自身の署名検証鍵を更新する。 #10 (update of device-side signature verification key): The device 50 receives a new version of the signature verification key from the key management server 120 and updates its own signature verification key.

なお、上述の例では、測位手段復号鍵の更新については明示していないが、測位手段復号鍵についても同様に、秘匿通信路を経由して更新することができる。 Note that in the above example, the updating of the positioning means decryption key is not explicitly stated, but the positioning means decryption key can also be updated via a secret communication channel in a similar manner.

上述のように、セキュアコンポーネント30をエンドポイントとした秘匿通信路を外部と確立し、内部の個別鍵を遠隔で更新するので、セキュアコンポーネント30内の鍵の陳腐化を回避できる。 As described above, a secret communication path is established with the secure component 30 as the endpoint with the outside world, and the internal individual keys are updated remotely, so that keys within the secure component 30 can be prevented from becoming obsolete.

図1に例示した第1例では、測位ユニット10とセキュアコンポーネント30とは、秘匿通信路を介して接続される構成であった。すなわち、第1例では、測位ユニット10は、セキュアコンポーネント30を有する半導体チップとは別の半導体チップ内に構成され、秘匿通信路を介してセキュアコンポーネント30と接続されている。これにより、セキュアコンポーネント30との間で一連の動作を協調して行うことができる測位ユニット10を実現できる。 In the first example illustrated in FIG. 1, the positioning unit 10 and the secure component 30 are configured to be connected via a secret communication path. That is, in the first example, the positioning unit 10 is configured in a semiconductor chip separate from the semiconductor chip having the secure component 30, and is connected to the secure component 30 via a secret communication path. This makes it possible to realize a positioning unit 10 that can perform a series of operations in cooperation with the secure component 30.

図10は本実施の形態の情報処理システムの構成の第2例を示す模式図である。第2例は、上述の第1例と異なり、測位ユニット10がセキュアコンポーネント30を備える構成である。この場合、測位ユニット10は、セキュアコンポーネント30を有する半導体チップ内に構成され(物理的に一体化され)、セキュアコンポーネント30と物理的に接続するようにしてもよい。測位ユニット10(出力機能14)は、配線16を介して、セキュアコンポーネント30と物理的に接続されている。これにより、セキュアコンポーネント30との間で一連の動作を協調して行うことができる測位ユニット10を実現できる。 Figure 10 is a schematic diagram showing a second example of the configuration of the information processing system of this embodiment. The second example differs from the first example described above in that the positioning unit 10 is configured with a secure component 30. In this case, the positioning unit 10 may be configured (physically integrated) within a semiconductor chip having the secure component 30, and physically connected to the secure component 30. The positioning unit 10 (output function 14) is physically connected to the secure component 30 via wiring 16. This makes it possible to realize a positioning unit 10 that can perform a series of operations in coordination with the secure component 30.

また、図1又は図10のいずれの構成でも、測位ユニット10から得られた位置情報を速やかにセキュアコンポーネント30に取り込むので、測位ユニット10から取り込んだ位置情報の改ざん機会を与えない。 In addition, in either the configuration of FIG. 1 or FIG. 10, the location information obtained from the positioning unit 10 is quickly imported into the secure component 30, so there is no opportunity to tamper with the location information imported from the positioning unit 10.

本実施の形態は、ICTを利用して交通をクラウド化し、全ての交通手段によるモビリティを一つのサービスとして捉えシームレスに繋ぐことを特徴としたMaaS(Mobility as a Service)にも適用可能である。例えば、社会にMaaSの概念が浸透していくと、(1)自動運転を用いた配車、(2)生活者の位置情報を用いた交通手段の最適選択、(3)人、電車、バス等の個々の位置を収集し、ビッグデータとして解析することで傾向性を把握、などの様々なサービスに利用することが可能となる。 This embodiment can also be applied to MaaS (Mobility as a Service), which is characterized by using ICT to cloud-ify transportation and seamlessly connect all modes of transportation as a single service. For example, as the concept of MaaS becomes more widespread in society, it will be possible to use it for various services such as (1) vehicle dispatch using autonomous driving, (2) optimal selection of transportation modes using location information of residents, and (3) collecting the individual locations of people, trains, buses, etc. and analyzing them as big data to understand trends.

上述の実施の形態では、センサユニットの一例として測位ユニットを挙げ、センサ情報の一例として位置情報について説明したが、センサユニットは測位ユニットに限定されるものではなく、情報も位置情報に限定されるものではない。例えば、家電業界では、エアコンなどの電化製品の使用状況を把握し、自動制御で運転制御、消費電力の最適化などに適用することができる。また、健康器具業界では、例えば、衣服やウェアラブル端末からユーザのバイタルデータ(例えば、心拍数、血圧など)、ユーザの姿勢や動作に関するデータを収集し、健康管理、ストレス、歩行状態などを推定するサービスに適用することができる。製造業界では、例えば、工場の生産設備ごとの稼働状態や消費電力のデータを収集し、設備の保守や予防交換の通知などのサービスに適用することができる。これらの場合、データを検出するためのセンサは、検出対象に応じて、公知のセンサを適宜用いればよい。 In the above embodiment, a positioning unit is given as an example of a sensor unit, and location information is given as an example of sensor information. However, the sensor unit is not limited to a positioning unit, and the information is not limited to location information. For example, in the home appliance industry, the usage status of electrical appliances such as air conditioners can be grasped, and the information can be applied to automatic control, operation control, optimization of power consumption, and the like. In the health equipment industry, for example, vital data of a user (e.g., heart rate, blood pressure, etc.) and data on the user's posture and movement can be collected from clothing or wearable terminals, and the data can be applied to services that estimate health management, stress, walking status, and the like. In the manufacturing industry, for example, data on the operating status and power consumption of each production facility in a factory can be collected, and the data can be applied to services such as notifications for facility maintenance and preventive replacement. In these cases, a known sensor can be appropriately used as the sensor for detecting the data depending on the detection target.

本実施の形態のセキュアコンポーネントは、センサユニットが検出したセンサ情報を取得するセンサ情報取得部と、前記センサ情報取得部で取得したセンサ情報を暗号化する暗号化部と、前記暗号化部で暗号化したセンサ情報を外部に出力する出力部とを備える。 The secure component of this embodiment includes a sensor information acquisition unit that acquires sensor information detected by the sensor unit, an encryption unit that encrypts the sensor information acquired by the sensor information acquisition unit, and an output unit that outputs the sensor information encrypted by the encryption unit to the outside.

本実施の形態のコンピュータプログラムは、コンピュータに、センサユニットが検出したセンサ情報を取得し、取得したセンサ情報を暗号化し、暗号化したセンサ情報を外部に出力する、処理を実行させる。 The computer program of this embodiment causes the computer to execute a process of acquiring sensor information detected by the sensor unit, encrypting the acquired sensor information, and outputting the encrypted sensor information to the outside.

セキュアコンポーネントは、センサユニットが検出したセンサ情報を取得し、取得したセンサ情報を暗号化する。センサユニットから得られたセンサ情報を速やかにセキュアコンポーネントに取り込み、取り込んだセンサ情報を暗号化するので、センサ情報の改ざん機会を与えることを防止でき、センサ情報を保護することができる。また、セキュアコンポーネントは、暗号化したセンサ情報を外部に出力するので、出力されたセンサ情報の改ざん、漏洩を防止でき、センサ情報の保護を図ることができる。 The secure component acquires the sensor information detected by the sensor unit and encrypts the acquired sensor information. The sensor information obtained from the sensor unit is quickly imported into the secure component and the imported sensor information is encrypted, preventing an opportunity for tampering with the sensor information and protecting the sensor information. In addition, the secure component outputs the encrypted sensor information to the outside, preventing tampering with or leakage of the output sensor information and protecting the sensor information.

本実施の形態のセキュアコンポーネントは、セキュアエレメント又はトラステッド実行環境のいずれかを備える。 The secure component in this embodiment comprises either a secure element or a trusted execution environment.

セキュアコンポーネントは、セキュアエレメント又はトラステッド実行環境のいずれかを備えるので、セキュアコンポーネント内部の情報の保護を図ることができる。 Since a secure component has either a secure element or a trusted execution environment, it is possible to protect information inside the secure component.

本実施の形態のセキュアコンポーネントは、前記センサ情報取得部で取得したセンサ情報が暗号化されている場合、前記センサ情報を復号する復号部を備え、前記暗号化部は、前記復号部で復号したセンサ情報を、セキュアコンポーネント自身が保持する鍵で再度暗号化する。 The secure component of this embodiment includes a decryption unit that decrypts the sensor information acquired by the sensor information acquisition unit if the sensor information is encrypted, and the encryption unit re-encrypts the sensor information decrypted by the decryption unit with a key held by the secure component itself.

セキュアコンポーネントは、取得したセンサ情報が暗号化されている場合、センサ情報を復号し、復号したセンサ情報を、セキュアコンポーネント自身が保持する鍵で再度暗号化する。センサユニットが出力するセンサ情報が暗号化されている場合、セキュアコンポーネント内で一旦復号し、再度セキュアコンポーネント内の鍵で暗号化して外部に出力することができる。これにより、センサユニットの暗号鍵が個別化されていない(第三者が復号できる)場合でも、セキュアコンポーネントの個別鍵で再暗号化することで、センサ情報のセキュリティを高めることができる。すなわち、センサユニットの暗号鍵が個別化されていない場合でも、セキュアコンポーネントの個別鍵で暗号化できるので、デバイスが個別に取得したセンサ情報の秘匿性、完全性を高めることができる。 If the acquired sensor information is encrypted, the secure component decrypts the sensor information and re-encrypts the decrypted sensor information with a key held by the secure component itself. If the sensor information output by the sensor unit is encrypted, it can be decrypted once within the secure component, re-encrypted with a key within the secure component, and then output to the outside. As a result, even if the encryption key of the sensor unit is not individualized (can be decrypted by a third party), the security of the sensor information can be improved by re-encrypting it with the individual key of the secure component. In other words, even if the encryption key of the sensor unit is not individualized, encryption with the individual key of the secure component can be performed, thereby improving the confidentiality and integrity of the sensor information acquired individually by the device.

本実施の形態のセキュアコンポーネントは、前記センサ情報取得部で取得したセンサ情報、又は前記暗号化部で暗号化したセンサ情報に対する署名を生成する署名生成部を備え、前記出力部は、暗号化されていないセンサ情報又は暗号化されたセンサ情報に前記署名を付与して外部に出力する。 The secure component of this embodiment includes a signature generation unit that generates a signature for the sensor information acquired by the sensor information acquisition unit or the sensor information encrypted by the encryption unit, and the output unit adds the signature to the unencrypted sensor information or the encrypted sensor information and outputs it to the outside.

セキュアコンポーネントは、取得したセンサ情報、又は暗号化したセンサ情報に対する署名を生成し、暗号化されていないセンサ情報又は暗号化されたセンサ情報に署名を付与して外部に出力する。署名を付与することにより、外部のデバイスや情報処理装置に対して、センサユニットやセキュアコンポーネントの正当性を確認するための情報を提供できる。 The secure component generates a signature for the acquired sensor information or the encrypted sensor information, and outputs the unencrypted or encrypted sensor information with the signature attached to it. By attaching the signature, it is possible to provide information for verifying the legitimacy of the sensor unit or the secure component to external devices or information processing devices.

本実施の形態のセキュアコンポーネントは、ユーザが入力した認証情報を取得する認証情報取得部と、前記認証情報を認証する認証部とを備え、前記出力部は、前記認証情報の認証が成功した場合、前記署名を付与しない。 The secure component of this embodiment includes an authentication information acquisition unit that acquires authentication information entered by a user, and an authentication unit that authenticates the authentication information, and the output unit does not assign the signature if the authentication information is successfully authenticated.

セキュアコンポーネントは、ユーザが入力した認証情報を取得し、取得した認証情報を認証し、認証情報の認証が成功した場合、署名を付与しない。セキュアコンポーネントを備えるデバイス側単体でセンサ情報の利用が完結しているリアルタイム用途であって、センサ情報の改ざんや漏洩のリスクがない場合には、ユーザが入力する認証情報の認証を条件として、署名の処理時間を削減して、高速なセンサ情報の取得を可能にすることができる。 The secure component acquires the authentication information entered by the user, authenticates the acquired authentication information, and does not assign a signature if authentication of the authentication information is successful. In real-time applications where the use of sensor information is completed on the device side equipped with the secure component alone and there is no risk of tampering or leakage of the sensor information, it is possible to reduce the signature processing time and enable high-speed acquisition of sensor information, provided that the authentication information entered by the user is authenticated.

本実施の形態のセキュアコンポーネントは、ユーザが入力した認証情報を取得する認証情報取得部と、前記認証情報を認証する認証部とを備え、前記出力部は、前記認証情報の認証が成功した場合、前記センサ情報取得部で取得したセンサ情報を暗号化せずに外部に出力する。 The secure component of this embodiment includes an authentication information acquisition unit that acquires authentication information input by a user, and an authentication unit that authenticates the authentication information. If the authentication of the authentication information is successful, the output unit outputs the sensor information acquired by the sensor information acquisition unit to the outside without encrypting it.

セキュアコンポーネントは、ユーザが入力した認証情報を取得する認証情報取得部と、前記認証情報を認証する認証部とを備え、ユーザが入力した認証情報の認証が成功した場合、取得したセンサ情報を暗号化せずに外部に出力する。セキュアコンポーネントを備えるデバイス側単体でセンサ情報の利用が完結しているリアルタイム用途であって、センサ情報の改ざんや漏洩のリスクがない場合には、ユーザが入力する認証情報の認証を条件として、センサ情報の平文出力を許容した構成を実現して、暗号化の処理時間を削減して、高速なセンサ情報の取得を可能にすることができる。 The secure component includes an authentication information acquisition unit that acquires authentication information input by the user, and an authentication unit that authenticates the authentication information. If the authentication of the authentication information input by the user is successful, the acquired sensor information is output to the outside without encryption. In a real-time application in which the use of sensor information is completed on the device side equipped with the secure component alone, and there is no risk of tampering or leakage of the sensor information, a configuration can be realized that allows plaintext output of the sensor information, provided that the authentication information input by the user is authenticated, thereby reducing the encryption processing time and enabling high-speed acquisition of sensor information.

本実施の形態のセキュアコンポーネントにおいて、前記出力部は、前記認証情報の認証が成功した場合、前記署名を付与しない。 In the secure component of this embodiment, if the authentication of the authentication information is successful, the output unit does not assign the signature.

セキュアコンポーネントは、ユーザが入力した認証情報の認証が成功した場合、取得したセンサ情報を暗号化せず、かつ署名の付与もせずに外部に出力することができる。 If the authentication information entered by the user is successful, the secure component can output the acquired sensor information to the outside without encrypting it or adding a signature.

本実施の形態のセキュアコンポーネントは、所定の鍵を保持する第1保持部と、第1外部サーバとの間で秘匿通信路を開設する第1開設部と、前記秘匿通信路を介して、前記第1外部サーバから取得した鍵で前記第1保持部に保持する鍵を更新する第1更新部とを備える。 The secure component of this embodiment includes a first holding unit that holds a predetermined key, a first opening unit that opens a secret communication path with a first external server, and a first updating unit that updates the key held in the first holding unit with a key obtained from the first external server via the secret communication path.

セキュアコンポーネントは、所定の鍵を保持し、第1外部サーバとの間で開設した秘匿通信路を介して、第1外部サーバから取得した鍵で保持する鍵を更新する。これにより、セキュアコンポーネント内の鍵の陳腐化を回避することができる。 The secure component holds a specific key and updates the key it holds with a key obtained from the first external server via a secret communication path established between the secure component and the first external server. This makes it possible to prevent keys in the secure component from becoming stale.

本実施の形態のセキュアコンポーネントは、暗号化処理及び署名生成処理の少なくとも1つを含む内部処理の設定情報を保持する第2保持部と、第2外部サーバとの間で秘匿通信路を開設する第2開設部と、前記秘匿通信路を介して、前記第2外部サーバからの指示に基づいて前記設定情報を更新する第2更新部とを備える。 The secure component of this embodiment includes a second storage unit that stores configuration information for internal processing including at least one of encryption processing and signature generation processing, a second establishment unit that establishes a secret communication path with a second external server, and a second update unit that updates the configuration information based on an instruction from the second external server via the secret communication path.

セキュアコンポーネントは、暗号化処理及び署名生成処理の少なくとも1つを含む内部処理の設定情報を保持し、第2外部サーバとの間で開設した秘匿通信路を介して、第2外部サーバからの指示に基づいて設定情報を更新する。設定情報は、例えば、暗号化処理を実施するか否か、または署名生成処理を実施するか否かの設定のための情報である。これにより、デバイス側のセキュリティポリシーに応じた運用を行うことができる。 The secure component holds configuration information for internal processing including at least one of encryption processing and signature generation processing, and updates the configuration information based on instructions from the second external server via a secret communication path established with the second external server. The configuration information is, for example, information for setting whether or not to perform encryption processing or whether or not to perform signature generation processing. This allows operation to be performed in accordance with the security policy on the device side.

本実施の形態のセンサユニットは、前述のセキュアコンポーネントを備える。 The sensor unit of this embodiment is equipped with the aforementioned secure component.

センサユニットは、セキュアコンポーネントを備える。例えば、セキュアコンポーネントをセンサユニットの内部に格納することができる。これにより、セキュアコンポーネントとの間で一連の動作を協調して行うことができるセンサユニットを実現できる。 The sensor unit includes a secure component. For example, the secure component can be stored inside the sensor unit. This makes it possible to realize a sensor unit that can perform a series of operations in coordination with the secure component.

本実施の形態のセンサユニットは、セキュアコンポーネントを有する半導体チップとは別の半導体チップ内に構成され、秘匿通信路を介して前記セキュアコンポーネントと接続されている。 The sensor unit of this embodiment is configured in a semiconductor chip separate from the semiconductor chip that has the secure component, and is connected to the secure component via a secret communication path.

センサユニットは、セキュアコンポーネントを有する半導体チップとは別の半導体チップ内に構成され、秘匿通信路を介してセキュアコンポーネントと接続されている。これにより、セキュアコンポーネントとの間で一連の動作を協調して行うことができるセンサユニットを実現できる。 The sensor unit is configured in a semiconductor chip separate from the semiconductor chip that has the secure component, and is connected to the secure component via a secret communication path. This makes it possible to realize a sensor unit that can perform a series of operations in coordination with the secure component.

本実施の形態のセンサユニットは、セキュアコンポーネントを有する半導体チップ内に構成され、前記セキュアコンポーネントと物理的に接続されている。 The sensor unit of this embodiment is configured in a semiconductor chip that has a secure component and is physically connected to the secure component.

センサユニットは、セキュアコンポーネントを有する半導体チップ内に構成され、セキュアコンポーネントと物理的に接続されている。これにより、セキュアコンポーネントとの間で一連の動作を協調して行うことができるセンサユニットを実現できる。 The sensor unit is configured in a semiconductor chip that has a secure component and is physically connected to the secure component. This makes it possible to realize a sensor unit that can perform a series of operations in coordination with the secure component.

本実施の形態のセンサユニットは、前記センサ情報として位置情報を測位する位置測位センサを備える。 The sensor unit of this embodiment is equipped with a positioning sensor that measures position information as the sensor information.

センサユニットは、位置測位センサを備え、センサ情報として位置情報を測位することができる。センサユニットと協調動作を行うセキュアコンポーネントは、センサユニットが検出した位置情報を取得し、取得した位置情報を暗号化する。センサユニットから得られた位置情報を速やかにセキュアコンポーネントに取り込み、取り込んだ位置情報を暗号化するので、位置情報の改ざん機会を与えることを防止でき、位置情報を保護することができる。また、セキュアコンポーネントは、暗号化した位置情報を外部に出力するので、出力された位置情報の改ざん、漏洩を防止でき、位置情報の保護を図ることができる。 The sensor unit is equipped with a positioning sensor and can measure position information as sensor information. The secure component, which cooperates with the sensor unit, acquires the position information detected by the sensor unit and encrypts the acquired position information. The position information obtained from the sensor unit is quickly imported into the secure component and the imported position information is encrypted, preventing an opportunity to tamper with the position information and protecting the position information. In addition, the secure component outputs the encrypted position information to the outside, preventing tampering with or leakage of the output position information and protecting the position information.

本実施の形態のセンサユニットにおいて、前記位置測位センサは、測位方法に、GPS、近距離無線、移動体通信網、地磁気、及び音波の少なくとも1つを用いる。 In the sensor unit of this embodiment, the positioning sensor uses at least one of the following positioning methods: GPS, short-range radio, mobile communication network, geomagnetism, and sound waves.

センサユニットが備える位置測位センサは、測位方法に、GPS、近距離無線、移動体通信網、地磁気、及び音波の少なくとも1つを用いる。これにより、用途に応じた測位方法を用いて位置情報を取得することができる。 The positioning sensor included in the sensor unit uses at least one of the following positioning methods: GPS, short-range wireless, mobile communication network, geomagnetism, and sound waves. This allows location information to be obtained using a positioning method appropriate for the application.

本実施の形態のデバイスは、前述のセキュアコンポーネントと、前述のセンサユニットとを備え、前記センサユニットが検出したセンサ情報であって、暗号化されたセンサ情報を外部装置に送出する。 The device of this embodiment includes the above-mentioned secure component and the above-mentioned sensor unit, and transmits encrypted sensor information detected by the sensor unit to an external device.

デバイスは、セキュアコンポーネントと、センサユニットとを備え、センサユニットが検出したセンサ情報であって、暗号化されたセンサ情報を外部装置に送出する。デバイスは、セキュアコンポーネント内で暗号化されたセンサ情報を外部装置へ送出するので、センサユニットから取り込んだセンサ情報の改ざんや漏洩を防止できる。 The device includes a secure component and a sensor unit, and transmits encrypted sensor information detected by the sensor unit to an external device. Because the device transmits sensor information encrypted within the secure component to an external device, it is possible to prevent tampering with or leakage of the sensor information acquired from the sensor unit.

本実施の形態のデバイスは、前記セキュアコンポーネントが出力するセンサ情報に署名が付与されている場合、前記署名を検証する検証部を備える。 The device of this embodiment includes a verification unit that verifies the signature if a signature is attached to the sensor information output by the secure component.

デバイスは、セキュアコンポーネントが出力するセンサ情報に署名が付与されている場合、署名を検証する。これにより、センサ情報が正当なものであるか否かを検証することができ、仮に不正なセンサ情報であれば、当該不正なセンサ情報を使用せずに破棄することができる。 If a signature is attached to the sensor information output by the secure component, the device verifies the signature. This makes it possible to verify whether the sensor information is legitimate, and if it is fraudulent, it can discard the fraudulent sensor information without using it.

本実施の形態の情報処理装置は、前述のデバイスが送出した、暗号化されたセンサ情報を受信する受信部と、前記受信部で受信したセンサ情報を復号する復号部と、前記復号部で復号されたセンサ情報に基づいて、前記デバイスの状態を検知する検知部とを備える。 The information processing device of this embodiment includes a receiving unit that receives encrypted sensor information sent by the device, a decoding unit that decodes the sensor information received by the receiving unit, and a detection unit that detects the state of the device based on the sensor information decoded by the decoding unit.

情報処理装置は、デバイスが送出した、暗号化されたセンサ情報を受信し、受信したセンサ情報を復号し、復号されたセンサ情報に基づいて、デバイスの状態を検知する。これにより、デバイス側でセンサ情報(例えば、位置情報を含む)の改ざんを防止しつつ、セキュアコンポーネントの識別に基づく、センサ情報の個別復号を可能にすることができる。デバイスの状態は、デバイスのセキュリティ上の状態とすることができ、例えば、セキュリティの観点でデバイスが適切な状態であるか否かを検知することができる。また、センサ情報が位置情報である場合、デバイスの位置を検知することができる。 The information processing device receives encrypted sensor information sent by the device, decrypts the received sensor information, and detects the state of the device based on the decrypted sensor information. This makes it possible to prevent tampering of the sensor information (including, for example, location information) on the device side while enabling individual decryption of the sensor information based on the identification of the secure component. The state of the device can be the security state of the device, and for example, it can be detected whether or not the device is in an appropriate state from a security perspective. Furthermore, if the sensor information is location information, the location of the device can be detected.

本実施の形態の情報処理装置は、前記デバイスが送出するセンサ情報に署名が付与されている場合、前記署名を検証する検証部を備える。 The information processing device of this embodiment includes a verification unit that verifies the signature when a signature is attached to the sensor information sent by the device.

情報処理装置は、デバイスが送出するセンサ情報に署名が付与されている場合、署名を検証する。これにより、センサ情報が正当なものであるか否かを検証することができ、仮に不正なセンサ情報であれば、当該不正なセンサ情報を使用せずに破棄することができる。 If a signature is attached to the sensor information sent by the device, the information processing device verifies the signature. This makes it possible to verify whether the sensor information is legitimate, and if the sensor information is fraudulent, it can discard the fraudulent sensor information without using it.

本実施の形態の情報処理装置において、前記センサ情報は、位置情報を含み、前記検知部は、前記デバイスの位置を検知する。 In the information processing device of this embodiment, the sensor information includes location information, and the detection unit detects the location of the device.

センサ情報は、位置情報を含み、情報処理装置は、デバイスの位置を検知する。これにより、情報処理装置は、位置情報の計算の元になる測位信号の改ざんや、デバイスでの位置情報の改ざんなどを防止した状態で正当な位置情報を取得することができる。 The sensor information includes location information, and the information processing device detects the location of the device. This allows the information processing device to obtain legitimate location information while preventing tampering with the positioning signals that are the basis for calculating the location information and tampering with the location information on the device.

本実施の形態の情報処理装置は、前記セキュアコンポーネントとの間で秘匿通信路を開設する開設部と、前記秘匿通信路を介して、前記セキュアコンポーネントが保持する所定の鍵、及び前記セキュアコンポーネントによる内部処理設定情報の少なくとも一方の更新指示を出力する出力部とを備える。 The information processing device of this embodiment includes an establishment unit that establishes a secret communication path between the secure component, and an output unit that outputs, via the secret communication path, an instruction to update at least one of a predetermined key held by the secure component and internal processing setting information by the secure component.

情報処理装置は、セキュアコンポーネントとの間で秘匿通信路を開設し、開設した秘匿通信路を介して、セキュアコンポーネントが保持する所定の鍵、及びセキュアコンポーネントによる内部処理設定情報の少なくとも一方の更新指示を出力する。所定の鍵は、例えば、センサ情報の暗号化鍵、暗号化されたセンサ情報の復号鍵、署名を生成するための署名生成鍵、署名を検証するための署名検証鍵、秘匿通信に用いる鍵などを含む。これにより、鍵の陳腐化や漏洩を防止できる。内部処理設定は、例えば、暗号化処理を実施するか否かの設定情報、署名処理を実施するか否かの設定情報を含む。これにより、デバイス側のセキュリティポリシーに応じた運用を行うことができる。 The information processing device opens a secret communication path with the secure component, and outputs, via the opened secret communication path, an instruction to update at least one of a specific key held by the secure component and internal processing setting information by the secure component. The specific keys include, for example, an encryption key for sensor information, a decryption key for encrypted sensor information, a signature generation key for generating a signature, a signature verification key for verifying a signature, and a key used for secret communication. This makes it possible to prevent keys from becoming obsolete or being leaked. The internal processing settings include, for example, setting information on whether or not to perform encryption processing, and setting information on whether or not to perform signature processing. This makes it possible to operate in accordance with the security policy on the device side.

本実施の形態の情報処理方法は、センサユニットが検出したセンサ情報をセキュアコンポーネントが暗号化し、前記センサユニット及びセキュアコンポーネントを備えるデバイスが、セキュアコンポーネントが暗号化したセンサ情報を情報処理装置に送出し、前記情報処理装置は、暗号化されたセンサ情報を復号し、復号したセンサ情報に基づいて前記デバイスの状態を検知する。 In the information processing method of this embodiment, the secure component encrypts the sensor information detected by the sensor unit, and a device equipped with the sensor unit and the secure component transmits the sensor information encrypted by the secure component to an information processing device, which decrypts the encrypted sensor information and detects the state of the device based on the decrypted sensor information.

情報処理方法は、センサユニットが検出したセンサ情報をセキュアコンポーネントが暗号化し、センサユニット及びセキュアコンポーネントを備えるデバイスが、セキュアコンポーネントが暗号化したセンサ情報を情報処理装置に送出し、情報処理装置は、暗号化されたセンサ情報を復号し、復号したセンサ情報に基づいてデバイスの状態を検知する。これにより、情報処理装置は、センサ情報の計算の元になる信号の改ざんや、デバイスでのセンサ情報の改ざんなどを防止した状態で正当なセンサ情報を取得することができる。 In the information processing method, the secure component encrypts sensor information detected by the sensor unit, and a device equipped with the sensor unit and secure component transmits the sensor information encrypted by the secure component to an information processing device, which decrypts the encrypted sensor information and detects the state of the device based on the decrypted sensor information. This allows the information processing device to obtain legitimate sensor information while preventing tampering with the signals that are the basis for calculating the sensor information and tampering with the sensor information in the device.

10 測位ユニット
11 アンテナ
12 位置情報計算機能
13 セキュアチャネル機能
14 出力機能
15 秘匿通信路
16 配線
30 セキュアコンポーネント
31 測位手段通信機能
32 セキュアチャネル機能
33 測位手段復号機能
34 デバイス通信機能
35 秘匿通信機能
36 鍵更新機能
37 暗号化機能
38 署名生成機能
39 ユーザ認証機能
50 デバイス
51 署名検証機能
52 ネットワーク通信機能
53 セキュアなコンポーネント通信機能
100 位置情報管理システム
110 位置情報管理サーバ
111 位置情報データベース
112 位置情報管理機能
113 ネットワーク通信機能
120 鍵管理サーバ
121 鍵情報データベース
122 復号機能
123 ネットワーク通信機能
124 署名検証機能
125 鍵更新(生成)機能
126 秘匿通信機能
10 Positioning unit 11 Antenna 12 Position information calculation function 13 Secure channel function 14 Output function 15 Secret communication path 16 Wiring 30 Secure component 31 Positioning means communication function 32 Secure channel function 33 Positioning means decryption function 34 Device communication function 35 Secret communication function 36 Key update function 37 Encryption function 38 Signature generation function 39 User authentication function 50 Device 51 Signature verification function 52 Network communication function 53 Secure component communication function 100 Position information management system 110 Position information management server 111 Position information database 112 Position information management function 113 Network communication function 120 Key management server 121 Key information database 122 Decryption function 123 Network communication function 124 Signature verification function 125 Key update (generation) function 126 Secret communication function

Claims (15)

センサユニットが検出したセンサ情報を取得するセンサ情報取得部と、
前記センサ情報取得部で取得したセンサ情報を暗号化する暗号化部と、
前記暗号化部で暗号化したセンサ情報を外部に出力する出力部と、
前記センサ情報取得部で取得したセンサ情報が暗号化されている場合、前記センサ情報を復号する復号部と
を備え、
前記暗号化部は、
前記復号部で復号したセンサ情報を、セキュアコンポーネント自身が保持する鍵で再度暗号化する、
セキュアコンポーネント。
a sensor information acquisition unit that acquires sensor information detected by the sensor unit;
an encryption unit that encrypts the sensor information acquired by the sensor information acquisition unit;
an output unit that outputs the sensor information encrypted by the encryption unit to an outside;
a decryption unit that decrypts the sensor information when the sensor information acquired by the sensor information acquisition unit is encrypted,
The encryption unit includes:
the sensor information decrypted by the decryption unit is re-encrypted with a key held by the secure component itself;
Secure components.
セキュアエレメント又はトラステッド実行環境のいずれかを備える、
請求項1に記載のセキュアコンポーネント。
Equipped with either a secure element or a trusted execution environment;
The secure component of claim 1 .
前記センサ情報取得部で取得したセンサ情報、又は前記暗号化部で暗号化したセンサ情報に対する署名を生成する署名生成部を備え、
前記出力部は、
暗号化されていないセンサ情報又は暗号化されたセンサ情報に前記署名を付与して外部に出力する、
請求項1又は請求項2に記載のセキュアコンポーネント。
a signature generation unit that generates a signature for the sensor information acquired by the sensor information acquisition unit or the sensor information encrypted by the encryption unit,
The output unit is
adding the signature to unencrypted or encrypted sensor information and outputting the information to an external device;
A secure component according to claim 1 or 2.
ユーザが入力した認証情報を取得する認証情報取得部と、
前記認証情報を認証する認証部と
を備え、
前記出力部は、
前記認証情報の認証が成功した場合、前記署名を付与しない、
請求項3に記載のセキュアコンポーネント。
an authentication information acquisition unit that acquires authentication information input by a user;
an authentication unit that authenticates the authentication information,
The output unit is
If the authentication of the authentication information is successful, the signature is not added.
A secure component as claimed in claim 3.
ユーザが入力した認証情報を取得する認証情報取得部と、
前記認証情報を認証する認証部と
を備え、
前記出力部は、
前記認証情報の認証が成功した場合、前記センサ情報取得部で取得したセンサ情報を暗号化せずに外部に出力する、
請求項3に記載のセキュアコンポーネント。
an authentication information acquisition unit that acquires authentication information input by a user;
an authentication unit that authenticates the authentication information,
The output unit is
If the authentication of the authentication information is successful, the sensor information acquired by the sensor information acquisition unit is output to an outside without being encrypted.
A secure component as claimed in claim 3.
前記出力部は、
前記認証情報の認証が成功した場合、前記署名を付与しない、
請求項5に記載のセキュアコンポーネント。
The output unit is
If the authentication of the authentication information is successful, the signature is not added.
A secure component as claimed in claim 5.
所定の鍵を保持する第1保持部と、
第1外部サーバとの間で秘匿通信路を開設する第1開設部と、
前記秘匿通信路を介して、前記第1外部サーバから取得した鍵で前記第1保持部に保持する鍵を更新する第1更新部と
を備える、
請求項1から請求項6のいずれか一項に記載のセキュアコンポーネント。
A first storage unit that stores a predetermined key;
a first establishment unit that establishes a secret communication path with a first external server;
a first updating unit that updates a key held in the first holding unit with a key acquired from the first external server via the secret communication path.
A secure component according to any one of claims 1 to 6.
暗号化処理及び署名生成処理の少なくとも1つを含む内部処理の設定情報を保持する第2保持部と、
第2外部サーバとの間で秘匿通信路を開設する第2開設部と、
前記秘匿通信路を介して、前記第2外部サーバからの指示に基づいて前記設定情報を更新する第2更新部と
を備える、
請求項1から請求項7のいずれか一項に記載のセキュアコンポーネント。
a second storage unit that stores setting information for internal processing including at least one of an encryption process and a signature generation process;
a second establishment unit that establishes a secret communication path with a second external server;
a second update unit that updates the setting information based on an instruction from the second external server via the secret communication path.
A secure component according to any one of claims 1 to 7.
請求項1から請求項8のいずれか一項に記載のセキュアコンポーネントを備える、
センサユニット。
A secure component according to any one of claims 1 to 8,
Sensor unit.
前記センサ情報として位置情報を測位する位置測位センサを備える、
請求項9に記載のセンサユニット。
A positioning sensor is provided to measure position information as the sensor information.
The sensor unit according to claim 9 .
前記位置測位センサは、
測位方法に、GPS、近距離無線、移動体通信網、地磁気、及び音波の少なくとも1つを用いる、
請求項10に記載のセンサユニット。
The position measuring sensor includes:
At least one of GPS, short-distance radio, a mobile communication network, geomagnetism, and sound waves is used as a positioning method;
The sensor unit according to claim 10 .
請求項1から請求項8のいずれか一項に記載のセキュアコンポーネントと、
請求項10又は請求項11に記載のセンサユニットと
を備え、
前記センサユニットが検出したセンサ情報であって、暗号化されたセンサ情報を外部装置に送出する、
デバイス。
A secure component according to any one of claims 1 to 8;
The sensor unit according to claim 10 or 11 ,
Transmitting encrypted sensor information detected by the sensor unit to an external device.
device.
前記セキュアコンポーネントが出力するセンサ情報に署名が付与されている場合、前記署名を検証する検証部を備える、
請求項12に記載のデバイス。
a verification unit that verifies a signature when a signature is attached to the sensor information output by the secure component;
The device of claim 12 .
コンピュータに、
センサユニットが検出したセンサ情報を取得し、
取得したセンサ情報を暗号化し、
暗号化したセンサ情報を外部に出力し、
取得したセンサ情報が暗号化されている場合、前記センサ情報を復号し、
復号したセンサ情報を、セキュアコンポーネント自身が保持する鍵で再度暗号化する、
処理を実行させるコンピュータプログラム。
On the computer,
Acquires sensor information detected by the sensor unit,
The acquired sensor information is encrypted,
The encrypted sensor information is output to the outside.
If the acquired sensor information is encrypted, decrypt the sensor information;
The decrypted sensor information is re-encrypted with a key held by the secure component itself.
A computer program that executes a process.
センサユニットが検出したセンサ情報をセキュアコンポーネントが暗号化し、
前記センサユニット及びセキュアコンポーネントを備えるデバイスが、セキュアコンポーネントが暗号化したセンサ情報を情報処理装置に送出し、
前記センサ情報が暗号化されている場合、前記センサ情報を復号し、
復号したセンサ情報を、前記セキュアコンポーネント自身が保持する鍵で再度暗号化し、
前記情報処理装置は、暗号化されたセンサ情報を復号し、復号したセンサ情報に基づいて前記デバイスの状態を検知する、
情報処理方法。
The secure component encrypts the sensor information detected by the sensor unit,
a device including the sensor unit and a secure component, the device transmitting the sensor information encrypted by the secure component to an information processing device;
If the sensor information is encrypted, decrypting the sensor information;
The decrypted sensor information is re-encrypted with a key held by the secure component itself;
The information processing device decrypts the encrypted sensor information and detects a state of the device based on the decrypted sensor information.
Information processing methods.
JP2020163426A 2020-09-29 2020-09-29 Secure component, sensor unit, device, computer program, and information processing method Active JP7567326B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020163426A JP7567326B2 (en) 2020-09-29 2020-09-29 Secure component, sensor unit, device, computer program, and information processing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020163426A JP7567326B2 (en) 2020-09-29 2020-09-29 Secure component, sensor unit, device, computer program, and information processing method

Publications (2)

Publication Number Publication Date
JP2022055795A JP2022055795A (en) 2022-04-08
JP7567326B2 true JP7567326B2 (en) 2024-10-16

Family

ID=80998945

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020163426A Active JP7567326B2 (en) 2020-09-29 2020-09-29 Secure component, sensor unit, device, computer program, and information processing method

Country Status (1)

Country Link
JP (1) JP7567326B2 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015512581A (en) 2012-03-19 2015-04-27 マイクロチップ テクノロジー インコーポレイテッドMicrochip Technology Incorporated Improved sensor data security for systems via built-in controller
JP2016525254A (en) 2013-07-15 2016-08-22 ビザ インターナショナル サービス アソシエーション Secure remote payment transaction processing
JP2018113504A (en) 2017-01-06 2018-07-19 大日本印刷株式会社 Secure element, UIM card, authentication method, and authentication program
JP2019009772A (en) 2017-06-26 2019-01-17 マイオメガ システムズ ゲーエムベーハーMyOmega Systems GmbH Use of block chain to track information for devices on network
JP2019071552A (en) 2017-10-10 2019-05-09 日本電信電話株式会社 Encryption communication method, encryption communication system, key issuing device, and program
JP2020010144A (en) 2018-07-05 2020-01-16 大日本印刷株式会社 Smart speaker, secure element, program, information processing method, and distribution method

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015512581A (en) 2012-03-19 2015-04-27 マイクロチップ テクノロジー インコーポレイテッドMicrochip Technology Incorporated Improved sensor data security for systems via built-in controller
JP2016525254A (en) 2013-07-15 2016-08-22 ビザ インターナショナル サービス アソシエーション Secure remote payment transaction processing
JP2018113504A (en) 2017-01-06 2018-07-19 大日本印刷株式会社 Secure element, UIM card, authentication method, and authentication program
JP2019009772A (en) 2017-06-26 2019-01-17 マイオメガ システムズ ゲーエムベーハーMyOmega Systems GmbH Use of block chain to track information for devices on network
JP2019071552A (en) 2017-10-10 2019-05-09 日本電信電話株式会社 Encryption communication method, encryption communication system, key issuing device, and program
JP2020010144A (en) 2018-07-05 2020-01-16 大日本印刷株式会社 Smart speaker, secure element, program, information processing method, and distribution method

Also Published As

Publication number Publication date
JP2022055795A (en) 2022-04-08

Similar Documents

Publication Publication Date Title
US9959413B2 (en) Security and data privacy for lighting sensory networks
KR101684076B1 (en) A secure Data Communication system between IoT smart devices and a Network gateway under Internet of Thing environment
US20250063027A1 (en) System and method to improve user authentication for enhanced security of cryptographically protected communication sessions
EP3602991B1 (en) Mechanism for achieving mutual identity verification via one-way application-device channels
US7802111B1 (en) System and method for limiting exposure of cryptographic keys protected by a trusted platform module
KR101317496B1 (en) Method for securing transmission data and security system for implementing the same
CN110830245B (en) Anti-quantum-computation distributed Internet of vehicles method and system based on identity secret sharing and implicit certificate
US20050283826A1 (en) Systems and methods for performing secure communications between an authorized computing platform and a hardware component
CN110881177A (en) Anti-quantum computing distributed Internet of vehicles method and system based on identity secret sharing
Sasi et al. A general comparison of symmetric and asymmetric cryptosystems for WSNs and an overview of location based encryption technique for improving security
CN104424446A (en) Safety verification and transmission method and system
US20120124378A1 (en) Method for personal identity authentication utilizing a personal cryptographic device
CN111614621A (en) Internet of things communication method and system
CN104703138A (en) Method and system for protecting location privacy
CN112703500A (en) Protecting data stored in memory of IoT devices during low power mode
CN114362951A (en) Method and apparatus for updating certificates
KR101839048B1 (en) End-to-End Security Platform of Internet of Things
US20120321088A1 (en) Method And System For The Accelerated Decryption Of Cryptographically Protected User Data Units
Naskar et al. Pseudo-random identification and efficient privacy-preserving V2X communication FOR IoV networks
CN101833629B (en) Software area authorization encryption method and implementing device therefor
CN101296077B (en) Identity authentication system based on bus type topological structure
Jaros et al. New location-based authentication techniques in the access management
JP7567326B2 (en) Secure component, sensor unit, device, computer program, and information processing method
JP2008176741A (en) Client terminal, service providing server, service providing system, control method, and service providing method
CN111263360B (en) Wireless encryption device and method using public key to protect variable mechanical authentication password

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230727

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240222

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240227

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240423

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240625

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240820

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240903

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240916

R150 Certificate of patent or registration of utility model

Ref document number: 7567326

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150