[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2007335962A - センサノードのデータ保護方法、センサノードを配布するための計算機システム及びセンサノード - Google Patents

センサノードのデータ保護方法、センサノードを配布するための計算機システム及びセンサノード Download PDF

Info

Publication number
JP2007335962A
JP2007335962A JP2006162378A JP2006162378A JP2007335962A JP 2007335962 A JP2007335962 A JP 2007335962A JP 2006162378 A JP2006162378 A JP 2006162378A JP 2006162378 A JP2006162378 A JP 2006162378A JP 2007335962 A JP2007335962 A JP 2007335962A
Authority
JP
Japan
Prior art keywords
key
computer system
sensor node
information
sensor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006162378A
Other languages
English (en)
Other versions
JP4833745B2 (ja
Inventor
Masahiro Motobayashi
正裕 本林
Akiko Sato
暁子 佐藤
Toshio Okochi
俊夫 大河内
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2006162378A priority Critical patent/JP4833745B2/ja
Priority to US11/806,966 priority patent/US7693675B2/en
Publication of JP2007335962A publication Critical patent/JP2007335962A/ja
Application granted granted Critical
Publication of JP4833745B2 publication Critical patent/JP4833745B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Small-Scale Networks (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】センサノードと基地局間の秘密情報共有方法及び相互認証方法の確立、並びに、センサノードに搭載されているデータを物理的な攻撃から保護する。
【解決手段】耐タンパデバイス121を有するセンサノード106に対してセンサノード発行処理を行う。センサノード発行処理とは、センサノードの製造からセンサノードを運用するシステムまでの間に、センサノードの耐タンパデバイスに情報と機能を無効化して搭載する処理である。無効化された情報と機能を有効化するためには有効化情報を用いる。この有効化情報を発行処理の各段階において情報管理システムを用いて共有化する。これによりセンサノードと基地局間の秘密情報共有及び相互認証、並びに、センサノードに搭載されているデータの物理的な攻撃からの保護を実現する。
【選択図】図1

Description

本発明はセンサノードを用いた通信技術に係わり、特にセンサノードと基地局間の秘密情報と機能の共有及び、センサノードに搭載されているデータ保護を行うための技術に関する。
近年、多数のセンサノードが近距離無線通信によって接続されるセンサネットが普及している。このセンサネットでは、無線通信で情報をブロードキャストすることにより、盗聴、改ざん、なりすまし、など、またセンサノードを管理者の居ない場所に配置することが多いため、センサノードから物理的な手段によるセンサノードに搭載されている情報の略奪などのセキュリティリスクが問題となっている。
非特許文献1では、センサノードに与えられている暗号鍵などの秘密情報を利用することによりセンサノード間の無線通信をセキュリティリスクから保護している。
また特許文献1、特許文献2及び特許文献3は秘密情報の搭載と、この秘密情報を用いて基地局がセンサノードを認証することにより、セキュリティリスクからの保護を実現する。
特開2003−87242号公報 特開2004−318881号公報 特開2004−241976号公報 Security Services Specification Revision 13, Version 1.00(ZigBee Alliance、December 14、2004)
本発明の課題は、電力などリソースに制限のあるセンサノードにおいて、センサノード及びセンサノードと無線通信を行う基地局間の通信を盗聴、改ざんなどのセキュリティリスクから保護すること、及びセンサノードに搭載されている情報を物理的に略奪する攻撃から保護すること、である。なお、センサノードに対する攻撃は、例えば、情報を格納したICに対して高電圧をかけたり、レーザ光を照射することでICを誤動作させて情報を不正に取得することを指す。
非特許文献1では、セキュリティリスクからの保護のためにセンサノードが共有する秘密情報を利用するが、秘密情報共有方法についての記述はない。
特許文献1、特許文献2及び特許文献3は秘密情報の搭載と、基地局によるセンサノードの認証を全てのセンサノードに対して一様に行う。このため、運用時には無線通信可能な範囲に存在し、秘密情報を知る全ての計算機システムがセンサノードを利用可能になる。しかしセンサノードは基地局の認証を行わないため、センサノードが基地局の正当性を判定し、正当な基地局にのみ読解可能な形態でデータを送信することができない、という問題があった。
また、センサノードの利用形態から、センサノードの盗難を防ぐことは難しいと考えられる。したがって、盗難後、センサノードに搭載されている情報の物理的に略奪する攻撃によって、システム全体に被害が及ぶ場合があり得るため、これに対する防御策が必要であった。
したがって、本発明はセンサノードと基地局間の秘密情報共有方法及び相互認証方法の確立、並びに、センサノードに搭載されているデータを物理的な攻撃から保護する方法の確立を目的とする。特に、センサノードを製造してからセンサノードの使用を開始するまでの期間のセンサノードに格納された情報の保護を目的とする。
本発明は、基地局または第1の計算機システムあるいは第2の計算機システムと通信を行う無線通信部と、情報を保持する記憶部と、を備えたセンサノードに固有の情報を設定し、当該固有の情報を保護するセンサノードのデータ保護方法であって、前記第1の計算機システムが、第1の鍵と第2の鍵とを生成し、前記第1の計算機システムが、前記第1の鍵で前記固有の情報を無効化し、前記センサノードの記憶部へ当該無効化した固有の情報を格納し、前記第1の計算機システムが、前記センサノードの記憶部に前記第2の鍵を格納し、さらに、前記第1の計算機システムが、前記第1の鍵と第2の鍵とを予め設定した計算機システムに格納する。そして、前記センサノードが第1の計算機システムから第2の計算機システムへ到着した後に、前記第2の計算機システムが前記予め設定した計算機システムから前記第1の鍵と第2の鍵を取得し、前記第2の計算機システムが取得した第2の鍵と、前記センサノードの記憶部に格納した第2の鍵で認証を行う。
また、前記第1の計算機システムは、前記センサノードに機能を設定するための計算機システムであって、前記第2の計算機システムは、前記センサノードと通信を行うセンサネットシステムの基地局であり、前記認証が成功した場合には、前記基地局が前記センサノードへ通信に用いる鍵を送信する。
また、前記認証が成功した場合には、前記第2の計算機システムが前記無効化した固有の情報を前記センサノードの記憶部から読み込んで、前記取得した第1の鍵で当該無効化した固有の情報を有効化する。
本発明によれば、センサノードと基地局や第2の計算機システムとの間で相互認証を行うことにより通信可能な通信先を限定し、センサノードと通信先の計算機システム間の安全な通信を実現することが可能となる。また、センサノードに搭載されている固有の情報へのアクセス制御を実現し、センサノードを安全に運用することが可能となる。
以下、図面を用いて本発明を実施するための最良の形態を説明する。本発明を適用する計算機システムの基本構成を図1に示す。
図1は本発明の第1の実施形態を示す計算機システムのブロック図であり、センサノード106を製造してから、使用を開始するまでにセンサノード106と通信を行う計算機システムの一例を示している。
センサノード106は、センサノード製造システム107で製造された後、基地局105を含むセンサネットシステムでセンサノード106を運用する際に必要となる基本的な情報を運用機能搭載システム108でセンサノード106に設定し、センサノード106を運用するためのより詳細な情報を配置管理システム110でセンサノード106に設定した後、センサノード106を実際に運用するセンサネットシステム130に移動して運用を開始する。すなわち、図1の例では、センサノード製造システム107は、センサノード106のハードウェアを製造するメーカAを示し、運用機能搭載システム108は、センサネットシステム130のソフトウェアを製造するメーカBを示し、配置管理システム110は、センサネットシステム130の運用を行う会社(または組織)Cを示し、センサネットシステム130は、メーカA、B、会社Cの顧客(センサネットシステム130の使用者)である会社(または組織)Dである。なお、本実施形態では、製造したセンサノード106をセンサノード製造システム107から配置管理システム110まで輸送するものとし、配置管理システム110では輸送されたセンサノード106に所定の設定を行ってから、センサネットシステム130に組み込む例を示す。
なお、ソフトウェアの製造メーカBと、センサネットシステム130の運用を委託された会社Cが同一であっても良く、この場合は、運用機能搭載システム108と配置管理システム110を統合するようにしてもよい。
本実施形態では、センサノード製造システム107で製造されたセンサノード106が、運用機能搭載システム108へ輸送されて運用のための基本的な情報を設定され、その後、センサノード106が、配置管理システム110へ輸送されて運用のための詳細な情報を設定され、最後にセンサノード106が実際に運用を行うセンサネットシステム130に輸送される例を示す。そして、各システム間でセンサノード106を輸送している間に、センサノード106に格納された情報を、情報管理システム109を解して保護する例を示す。
図1では、センサノード106を製造するセンサノード製造システム107と、センサノード106に基本的な情報・機能を搭載する運用機能搭載システム108と、センサノード106に詳細な情報を設定する配置管理システム110と、実際に運用を行うセンサネットシステム130の基地局105と、センサノード106に格納された情報を各システム間での輸送中に保護する情報管理システム109と、を備えた例を示している。
センサノード製造システム107は、センサノード106の製造時にセンサノード106に初期情報10と初期機能11を搭載(設定)する製造管理処理部112を有する。センサノード製造システム107は、センサノード製造者101によって管理され、製造管理処理部112は例えば、計算機で構成される。また、センサノード製造システム107は、製造したセンサノード106と通信を行うための通信装置(図示省略)を備えている。
運用機能搭載システム108は、センサネットシステム130でセンサノード106を運用する際に必要な基本的な情報を搭載するもので、運用機能搭載システム108は搭載管理処理部113を介してセンサノード106に情報を設定する。なお、運用機能搭載システム108は、運用機能搭載者102によって管理される。また、運用機能搭載システム108は、製造したセンサノード106と通信を行うための通信装置(図示省略)を備えている。
情報管理システム109はセンサノード106に搭載する情報などを管理する。情報管理システム109は、各システムからの情報の登録要求及び返戻要求に対して適切な処理を行う情報管理処理部114と、情報を保持する情報管理データベース115と、を有する。なお、情報管理処理部114と情報管理データベース115は計算機で構成される。また、情報管理システム109は情報管理者103によって管理される。
配置管理システム110はセンサノード106の運用時に必要な詳細設定を行う配置管理処理部116を有する。基地局105はセンサノード106と通信を行うデータ送受信システム111を有する。また、データ送受信システム111は、ネットワーク122を介して他の計算機システムと通信可能となっている。データ送受信システム111はセンサノード106と安全な通信を行うための処理を行うデータ送受信処理部117を有する。また、配置管理システム110は配置管理104によって管理される。また、配置管理システム110は、製造したセンサノード106と通信を行うための通信装置(図示省略)を備えている。
センサノード106は、無線通信を行う無線通信部118と各種情報を観測するセンサ119と、センサノードの制御を行う端末制御部120と、データを保存し、保存されたデータの安全性を保つ耐タンパデバイス121と、を有する。
センサネットシステム130は、センサノード106と通信を行って、センサ119からの情報(センシングデータ)を取得する基地局105と、基地局105が収集したセンシングデータを格納し、図示しないクライアント計算機などにセンシングデータに基づくサービスを提供するセンサネットサーバ131と、基地局105とセンサネットサーバ131を接続するネットワーク132を備える。図示しないクライアント計算機もネットワーク132に接続される。なお、基地局105は無線ネットワーク133を介して複数のセンサノード106と接続可能となっている
センサネットサーバ131は、基地局105から収集したセンシングデータに意味づけを行って格納し、予め設定されたサービスを提供する。この意味付けは、例えば、センサノード106のセンサ119が温度センサの場合、バイナリ形式のセンシングデータを、摂氏または華氏などの意味を付加して格納する。なお、この意味付けは、基地局105で行っても良い。
なお、図1において、センサノード106は、各システムと無線通信によって順次接続する。
図1では、センサノード製造システム107は一つのセンサノード106のみを扱っているが、当然センサノード製造システム107は複数のセンサノードを製造する。
センサノード製造システム107、運用機能搭載システム108、情報管理システム109、配置管理システム110、データ送受信システム111間は、基本的にはネットワーク122を通して接続され、情報のやり取りはオンライン上で伝聞メッセージの送受信により実現されている。しかし、運用事業者の方針によりフロッピー(登録商標)ディスクなどの情報記録媒体の郵送・手渡しや、書面の郵送・手渡しなどにより情報のやり取りを実現することも可能である。
本発明では、(i)センサノード106の耐タンパデバイス121を安全に運用するための処理と、(ii)センサノード106と通信可能な基地局105を限定し、安全な通信を可能とするための処理を行う。これら2つの処理を合わせて発行処理と呼ぶ。図2は発行処理の概要を示すブロック図である。
耐タンパデバイス121の安全な運用を実現するための処理では、センサノード製造システム107で製造されたセンサノード106を運用機能搭載システム108へ輸送する際(図中150)や、運用機能搭載システム108から配置管理システム110へ輸送する際(図中151)には、各システムが輸送を開始する前にセンサノード106の耐タンパデバイス121に搭載する情報を無効化して搭載する(図中153、154、155)。ここで、情報の無効化とは、後述する鍵などを用いて情報を暗号化し、第3者が容易に情報を抽出することを防ぐ処理を意味する。なお、以下ではソフトウェアの鍵を用いて情報を暗号化することを無効化として開示するが、これに限定されるものではなく、各システム毎に認証を行って、認証が成功した場合にセンサノード106に格納された情報をアクセスできればよい。
上記各システムが無効化したセンサノード106の情報を有効化するためには、情報管理システム109のシステムの有効化情報を用いる。上記有効化情報を他のシステムに安全に渡すために、前記各システムは情報管理システム109に該有効化情報を登録する。ここで、情報の有効化とは、暗号化などにより無効化された情報を、所定の鍵などによって復号化した情報を意味する。
センサノード106と基地局105間の安全な通信確立を実現するための処理では、配置管理システム110は、センサノード106と基地局105間で秘密情報を共有させる155。
前記発行処理では、センサノード106は、前記各システムから無効化された情報の搭載を受けるために輸送などによって移動する150、151、152。
図2では、表記の簡便のためセンサノード106と通信可能な基地局105は唯一となっているが、該センサノード106の利用方針によっては複数の基地局と通信可能となっても構わない。
図3は、耐タンパデバイス121を備えたセンサノード106の一例を示すブロック図である。
端末制御部120は、演算処理を行うCPU1201と、予め設定されたプログラムを保持する不揮発性メモリ(図中EEPROM)1203と、一時的に情報を格納するメモリ(図中RAM)1202と、を備えている。なお、不揮発性メモリ1203は、EEPROMの他にフラッシュメモリなどで構成することができる。また、メモリ1202は、書き込み回数に制限のないDRAM等で構成することができる。そして、CPU1201は、不揮発性メモリ1203に予め格納されたプログラムをメモリ1202に読み出して実行することで所定の処理を行う。
耐タンパデバイス121には、演算処理を行うCPU1211と、予め設定された識別子などの情報やプログラムを保持する不揮発性メモリ(図中EEPROM)1213と、一時的に情報を格納するメモリ(図中RAM)1212と、を備えている。なお、不揮発性メモリ1213は、EEPROMの他にフラッシュメモリなどで構成することができる。また、メモリ1212は、書き込み回数に制限のないDRAM等で構成することができる。そして、CPU1211は、端末制御部120のCPU1201と通信を行って、不揮発性メモリ1213に予め格納されたプログラムをメモリ1212に読み出して所定の処理を行ったり、不揮発性メモリ1213に格納された識別子などの情報を読み書きする。この耐タンパデバイス121は、例えば、特開2006−107305号に開示されるように、ICカード用LSIのようなセキュリティモジュールであり、例えば、電流値や電磁波を読み取ってそれを測定するなどの物理的な手法を用いても内部のデータを読みとることが困難なように、内部が暗号化されているなどの耐タンパ技術が施されたデバイスである。
図4は、センサノード製造システム107がセンサノード106に初期機能11を搭載し、また、無効化した初期情報10を搭載し、情報管理システム109に有効化した製造者鍵1と初期鍵2を登録する処理の手順を示すタイムチャートである。この処理は、製造したセンサノード106を、次に処理を行う運用機能搭載システム108へ輸送する以前に実施する。
図4において、まず、センサノード製造システム107の製造管理処理部112は製造者鍵1と初期鍵2を生成する。製造管理処理部112は、予め設定(または製造管理処理部112で生成)したセンサノード106の初期情報10を、製造者鍵1で無効化する(200)。初期情報10とは、センサノード106を特定することが可能な固有の情報であり、識別子などを含む情報で構成される。また、初期機能11は、他のセンサノードや基地局を特定するために用いる機能(例えば、基本的な通信機能)など、主に実際の運用時に用いる機能を含む。
製造者鍵1は、センサノード製造システム107が上述のように生成する鍵である。製造者鍵1は各センサノード毎に生成する場合と幾つかのセンサノードの組に対して生成する場合と製造する全てのセンサノードに対して一つの鍵を生成する場合がある。
次に、製造管理処理部112は、センサノード106の端末制御部120を通して耐タンパデバイス121に初期鍵2と無効化済の初期情報10を搭載(格納)する(201、202)。また、初期情報10は、例えば、耐タンパデバイス121の不揮発性メモリ1213に格納する。
ここで、初期鍵2とは、センサノード製造システム107が上述のように生成する鍵であり、センサノードと各システム間の認証などに用いる鍵である。初期鍵2は各センサノード毎に生成する場合と幾つかのセンサノードの組に対して生成する場合と製造する全てのセンサノードに対して一つの鍵を生成する場合がある。
次に、製造管理処理部112はセンサノード106の端末制御部120を通して耐タンパデバイス121に初期機能11を搭載する(203、204)。また、初期機能11も、例えば、耐タンパデバイス121の不揮発性メモリ1213に格納する。
初期機能11は、センサノード製造システム107がセンサノード106に搭載する基本的な機能(基本的な送受信プログラム)であり、初期鍵2を用いて各システムの認証処理を行う機能などの、主に発行処理で用いる情報・機能が含まれる。初期機能11は各センサノード毎に生成する場合と幾つかのセンサノードの組に対して生成する場合と製造する全てのセンサノードに対して一つを生成する場合がある。
次に、製造管理処理部112は情報管理処理部114を通して情報管理システム109の情報管理データベース115にセンサノード106を特定する符号(識別子)、初期鍵2及び、製造者鍵1を登録する(205、206)。なお、センサノード106を特定する初期情報10に含まれる符号(識別子)は、例えば、MACアドレスなどのグローバルユニークなIDや、予め設定したノードIDなどを用いることができ、センサノード106の個体を特定可能な情報であればよい。
図5に、センサノード製造システム107の処理が終了時点において、センサノード106の耐タンパデバイス121が保持するデータの内容を示す。上記図4の処理が完了した時点では、耐タンパデバイス121の不揮発性メモリ1213には、初期鍵2と、初期情報10と初期機能11が格納され、初期情報10は、製造者鍵1で無効化される。また、図6に上記図4の処理が終了した時点での情報管理データベース115が保持する当該センサノード106のデータを示す。すなわち、情報管理システム109の情報管理データベース115には、センサノード製造システム107が生成した製造者鍵1と初期鍵2が当該センサノード106の情報として格納される。
以上の処理が完了した後に、センサノード106は運用機能搭載システム108へ輸送される。輸送中に悪意のある者が、耐タンパデバイス121の不揮発性メモリ1213から初期情報10を抽出したとしても、製造者鍵1で無効化されているため、容易に初期情報10を解読することはできない。
図7は、運用機能搭載システム108は、輸送されてきたセンサノード106に無効化した運用機能情報12と活性化機能13を搭載し、情報管理システム109に有効化した活性化鍵3と搭載者鍵4を登録する処理の手順を示すタイムチャートである。
運用機能搭載システム108の搭載管理処理部113は輸送などによって受け取ったセンサノード106の耐タンパデバイス121に搭載されている無効化済の初期情報10を有効化するために、情報管理処理部114を通して情報管理データベース115から初期鍵2と製造者鍵1を受け取る(207、208、209、210)。
次に、搭載管理処理部113とセンサノード106の端末制御部120は、初期鍵2を用いて相互認証を行う(211、212)。この認証は、例えば、運用機能搭載システム108が情報管理システム109から取得した初期鍵2と、センサノード106の耐タンパデバイス121から読み出した有効化された初期鍵2が一致すれば認証は成功する。双方の初期鍵2が一致しなければ、センサノード106は輸送中に改竄された可能性があるとして、認証されない。
相互の認証に成功した場合、端末制御部120は耐タンパデバイス121から無効化済の初期情報10を抽出し(213、214)、搭載管理処理部113に送付する(215)。
搭載管理処理部113は、情報管理システム109から取得した製造者鍵1を用いて無効化済の初期情報10を有効化する(216)。次に、運用機能搭載システム108は、活性化鍵3と、搭載者鍵4を発行する。そして、初期鍵2を用いて活性化鍵3を無効化し、運用機能情報12と上記216で有効化した初期情報10を搭載者鍵4で無効化する(217)。
活性化鍵3とは、運用機能搭載システム108が生成する鍵であり、センサノード106と各システム間の認証などに用いる鍵である。活性化鍵3は各センサノード毎に生成する場合と幾つかのセンサノードの組に対して生成する場合と製造する全てのセンサノードに対して一つの鍵を生成する場合がある。
運用機能情報12とは、送受信したデータの完全性や信頼性を保証する機能など、主に実際の運用時に用いる汎用的な機能が含まれる。この運用機能情報12は、運用機能搭載システム108で予め生成されたものである。
搭載者鍵4とは、運用機能搭載システム108が生成する鍵である。搭載者鍵4は各センサノード毎に生成する場合と幾つかのセンサノードの組に対して生成する場合と製造する全てのセンサノードに対して一つの鍵を生成する場合がある。
搭載管理処理部113は無効化済の活性化鍵3と、無効化済の初期情報10と無効化済の運用機能情報12の搭載要求を端末制御部120を通して耐タンパデバイス121に送付する(218、219)。
つまり、輸送元のセンサノード製造システム107(前段のシステム)が発行した鍵(初期鍵2)で、現在センサノード106に処理を加えるシステム(運用機能搭載システム108)が発行した鍵(活性化鍵3)を無効化(暗号化)しておく。また、現在センサノード106に処理を加えるシステム(運用機能搭載システム108)が発行した鍵(活性化鍵3)で、センサノード106に格納する情報を無効化しておく。そして、搭載管理処理部113はセンサノード106と通信を行って、異なる鍵で無効化した情報を送信する。
センサノード106の端末制御部120は耐タンパデバイス121上で初期鍵2を用いて無効化済の活性化鍵3を有効化する(220)。すなわち、耐タンパデバイス121のCPU1211で活性化鍵3の復号を実行する。
次に、搭載管理処理部113は、端末制御部120を通して耐タンパデバイス121に有効化した活性化機能13を搭載する(221、222)。活性化機能13とは、運用機能搭載システム108がセンサノード106に搭載する機能であり、主に発行処理で用いる情報・機能が含まれる。活性化機能13は、例えば、センサノード106にセンサ119の種類などに応じた測定手順や、使用するセンサネットシステム130毎の通信プロトコルに対応した通信手順などの情報で構成される。この活性化機能13も運用機能搭載システム108で予め生成されたものである。活性化機能13は各センサノード毎に生成する場合と幾つかのセンサノードの組に対して生成する場合と製造する全てのセンサノードに対して一つを生成する場合がある。
搭載管理処理部113は情報管理処理部114を通して情報管理データベース115にセンサノード106を特定する符号(識別子)、活性化鍵3及び、搭載者鍵4を登録する(223、224)。
図8は、上記図7の処理が終了した時点で、耐タンパデバイス121の不揮発性メモリ1213が保持するデータを示す。運用機能搭載システム108では、耐タンパデバイス121の不揮発性メモリ1213に運用機能情報12と活性化鍵3及び活性化機能13が加えられる。
図9は、上記図7の処理が終了した時点で、情報管理データベース115が保持する当該センサノード106のデータを示す。運用機能搭載システム108では、情報管理データベース115の当該センサノード106の欄に、活性化鍵3と搭載者鍵4が加えられる。
以上の処理が完了した後に、センサノード106は運用機能搭載システム108から配置管理システム110へ輸送される。輸送中に悪意のある者が、耐タンパデバイス121の不揮発性メモリ1213から初期情報10、運用機能情報12、活性化機能13を抽出したとしても、搭載者鍵4で無効化されているため、容易に初期情報10、運用機能情報12、活性化機能13を解読することはできない。
図10は配置管理システム110が、輸送されてきたセンサノード106に無効化した配置情報を搭載し、情報管理システム109に有効化した配置鍵5を登録する処理の手順を示すタイムチャートである。
配置管理システム110の配置管理処理部116は、輸送などによって受け取ったセンサノード106の耐タンパデバイス121に搭載されている無効化済の初期情報10及び無効化済の運用機能情報12を有効化するために、情報管理システム109の情報管理処理部114を通して情報管理データベース115から活性化鍵3と搭載者鍵4を取得する(225、226、227、228)。
次に、配置管理処理部116とセンサノード106の端末制御部120は、活性化鍵3を用いて相互認証を行う(229、230)。この認証は、上記211,212と同様に、配置管理処理部116が取得した活性化鍵3と、耐タンパデバイス121の不揮発性メモリ1213に格納されている有効化された活性化鍵3が一致すれば認証は成功する。双方の活性化鍵3が一致しなければ、センサノード106は輸送中に改竄された可能性があるとして、認証されない。
配置管理処理部116とセンサノード106の端末制御部120で相互の認証に成功した場合、端末制御部120は耐タンパデバイス121から無効化済の初期情報10及び無効化済の運用機能情報12を抽出し(231、232)、配置管理処理部116に送付する(233)。
配置管理処理部116は、情報管理システム109から取得した搭載者鍵4を用いて無効化済の初期情報10及び無効化済の運用機能情報12を有効化する(234)。
ここで、配置管理システム110は、配置鍵5を生成する。次に、配置管理処理部116は、活性化鍵3を用いて配置鍵5を無効化し、配置情報14と上記234で有効化した初期情報10及び運用機能情報12を配置鍵5で無効化する(235)。
配置鍵5とは、配置管理システム110が生成した鍵であり、センサノード106と各システム間の認証などに用いる鍵である。配置鍵5は各センサノード毎に生成する場合と幾つかのセンサノードの組に対して生成する場合と製造する全てのセンサノードに対して一つの鍵を生成する場合がある。
配置情報14とは、センサノード106と通信を行う基地局105の情報など、主に実際の実運用時の運用方針などを決定付けるセンサノード106専用の情報・機能が含まれる。配置情報14はセンサノード毎に異なる場合が多いが、幾つかの組で同一の配置情報14を用いる場合もある。なお、この配置情報14は、配置管理システム110で予め生成したものである。
次に、配置管理処理部116は無効化済の配置鍵5と、無効化済の初期情報10と、無効化済の運用機能情報12と無効化済の配置情報14の搭載要求を端末制御部120を通して耐タンパデバイス121に送付する(236、237)。
つまり、輸送元の運用機能搭載システム108(前段のシステム)が発行した鍵(搭載者鍵4)で、現在センサノード106に処理を加えるシステム(配置管理システム110)が発行した鍵(配置鍵5)を無効化(暗号化)しておく。また、現在センサノード106に処理を加えるシステム(配置管理システム110)が発行した鍵(配置鍵5)で、センサノード106に格納する情報を無効化しておく。そして、配置管理処理部116はセンサノード106と通信を行って、異なる鍵で無効化した情報を送信する。
端末制御部120は、耐タンパデバイス121上で活性化鍵3を用いて無効化済の配置鍵5を有効化し(238)、有効化した配置鍵5を用いて無効化済の初期情報10と、無効化済の運用機能情報12及び無効化済の配置情報14を有効化する(239)。
つまり、輸送元の運用機能搭載システム108(前段のシステム)が発行した鍵(活性化鍵3)で、現在センサノード106に処理を加えるシステム(配置管理システム110)が発行した鍵(配置鍵5)を有効化(復号化)しておく。そして、配置鍵5で、センサノード106に格納した情報を有効化しておき、基地局105と通信可能な状態にする。そして、センサノード106は実際に運用を行う位置に配置または配布される。
次に、配置管理処理部116は端末制御部120を通して耐タンパデバイス121に配置機能15を搭載する(240、241)。配置機能15とは、配置管理システム110がセンサノード106に搭載する機能であり、主に発行処理で用いる情報・機能が含まれる。配置機能15は各センサノード毎に生成する場合と幾つかのセンサノードの組に対して生成する場合と製造する全てのセンサノードに対して一つを生成する場合がある。
配置管理処理部116は情報管理処理部114を通して情報管理データベース115にセンサノード106を特定する符号及び配置鍵5を登録する(242、243)。
図11は、上記図9の処理が終了した時点で、耐タンパデバイス121の不揮発性メモリ1213が保持するデータを示す。配置管理システム110では、耐タンパデバイス121の不揮発性メモリ1213に配置鍵5と配置情報14及び配置機能15が加えられる。
図12は、上記図9の処理が終了した時点で情報管理データベース115が保持する当該センサノード106のデータを示す。配置管理システム110では、情報管理データベース115の当該センサノード106の欄に、配置鍵5が加えられる。
図13は基地局105が、センサノード106と安全な通信を行う処理の手順を示すタイムチャートである。
基地局105の送受信処理部117は輸送などによって受け取ったセンサノード106と安全な通信を行うために、情報管理処理部114を通して情報管理データベース115から配置鍵5を受け取る(244、245、246、247)。
次に、送受信処理部117とセンサノード106の端末制御部120は、情報管理システム109から取得した配置鍵5と、耐タンパデバイス121の不揮発性メモリ1213に格納されている有効化された配置鍵5を用いて相互認証を行う(248、249)。相互認証に成功した場合、送受信処理部117と端末制御部120は通信に用いる通信鍵6を交換する(252、253)。通信に用いる通信鍵6は、基地局105が各センサノード毎に生成する場合と、基地局105が幾つかのセンサノードの組に対して生成する場合と製造する全てのセンサノードに対して共通の鍵を生成する場合がある。すなわち、基地局105は生成した通信鍵6を、認証が成功したセンサノード106に配信し、以降、センサノード106と基地局105は共通の通信鍵6で通信内容を暗号化して通信を行う。
以上のように、センサノード106を製造してからセンサネットシステム130の使用者(上記では配置管理システム110)に届くまで、センサノード106に設定された固有の識別子を含む初期情報10は、輸送中は必ず鍵により無効化されている。したがって、輸送中に不正な攻撃などにより耐タンパデバイス121の不揮発性メモリ1213から初期情報10を抽出したとしても、初期情報10は鍵により無効化されているので、容易に解読することはできない。これにより、センサノードを製造してからセンサノードの使用を開始するまでの期間の初期情報10を保護することが可能となる。
すなわち、センサノード106を製造するセンサノード製造システム107からセンサネットシステム130までの各システムは、ネットワーク122を介して情報管理システム109に接続されており、各システムが発行した鍵を情報管理システム109で管理しておく。
一方、センサノード106の輸送元になるシステム(第1の計算機システム)は、第1の鍵(製造者鍵1)と第2の鍵(初期鍵2)を生成し、第1の鍵で初期情報10を無効化しておき、第1の鍵と第2の鍵を情報管理システム109(第3のシステム)に送っておく。そして、輸送元のシステムでは、無効化した初期情報10と第2の鍵をセンサノード106の耐タンパデバイス121の不揮発性メモリ1213に格納してから、次のシステムに輸送する。
次のシステム(第2のシステム)では、輸送元のシステムが発行した第2の鍵を第3のシステムから取得して、輸送されてきたセンサノード106の耐タンパデバイス121に格納されている第2の鍵と照合し、正当なセンサノード106であるか否かを判定できる。
第2のシステム(運用機能搭載システム108)は、第3のシステム(情報管理システム109)から輸送元の第1のシステム(センサノード製造システム107)が発行した第1の鍵と第2の鍵を取得して、耐タンパデバイス121の不揮発性メモリ1213に格納された初期情報10等を有効化する。
そして、第2のシステム(運用機能搭載システム108)では、輸送元のシステムと同様に第1の鍵(搭載者鍵4)と第2の鍵(活性化鍵3)を生成する。第2のシステムは、センサノード106の耐タンパデバイス121に新たな情報を付与し、この情報と初期情報10を第1の鍵で無効化しておき、第1の鍵を情報管理システム109に送っておく。そして、輸送元のシステムでは、無効化した初期情報10と第2の鍵をセンサノード106の耐タンパデバイス121の不揮発性メモリ1213に格納してから、次のシステムに輸送する。
このように、センサノード106の輸送元のシステムが、第1の鍵と第2の鍵の2つの鍵を生成して、情報管理システム109に送信しておき、第1の鍵を初期情報10の無効化するために使用し、第2の鍵はセンサノード106の耐タンパデバイス121に格納し、輸送先のシステムにセンサノード106を輸送する。
初期情報10を無効化した第1の鍵は、耐タンパデバイス121に格納されることなく、ネットワーク122を介して各システム間で流通する。一方、耐タンパデバイス121の不揮発性メモリ1213には、センサノード106の認証を行うための第2の鍵が格納されているが、この第2の鍵では無効化された初期情報10を有効化することはできない。このため、センサノード106の輸送中に、耐タンパデバイス121へ物理的な攻撃を加えて内部の情報を不正に取得したとしても、無効化された初期情報10を容易に有効化することはできず、センサノード106の初期情報10を保護することが可能となり、初期情報10の流出などによるセンサネットシステム130の不正な利用を抑制でき、センサネットシステム130の安全性を高めることができる。そして、センサノード106を受け取った輸送先のシステムでは、第2の鍵で輸送元のシステムと認証を行った上で、第1の鍵を情報管理システム109から取得することで、耐タンパデバイス121の無効化された初期情報10を有効化して利用することができる。
さらに、輸送元のシステムが代わる度に、第1の鍵と第2の鍵が代わるため、輸送中の初期情報10等をより高度に保護することができる。すなわち、輸送元のシステムが、センサノード106のハードウェアを製造するセンサノード製造システム107から、運用機能搭載システム108、配置管理システム110と順次輸送される度に、センサノード106に格納される第2の鍵が代わるため、輸送中の安全性を確保できる。
なお、上記では初期情報10等を耐タンパデバイス121に格納したが、センサノード106に耐タンパデバイス121が無い場合には、端末制御部120の不揮発性メモリ1203に初期情報10等を無効化して格納しておくことができる。この場合、不揮発性メモリ1203は、不正なアクセスによって格納していた無効化された初期情報10や有効化された第2の鍵を抽出される可能性がある。しかしながら、無効化された初期情報10は、第2の鍵では有効化することができないため、無効化された初期情報10を解読することは容易に実現できない。したがって、本発明によれば、耐タンパデバイス121のないセンサノード106であっても有効に機能するのである。
<第2実施形態>
本発明の第2の実施形態について以下に説明する。
前記第1の実施形態では、端末制御部120は耐タンパデバイス121から無効化済の初期情報10と、無効化済の運用機能情報12を搭載管理処理部113や配置管理処理部116に送付し、各処理部が無効化済の初期情報10及び運用機能情報12を有効化していた(213〜220、231〜239)。これに対し、第2の実施形態では、耐タンパデバイス121の内部で上記有効化を行う例を示す。
図14は、運用機能搭載システム108が、センサノード106に無効化した情報を搭載し、無効化した情報の有効化はセンサノード106の耐タンパデバイス121上で行う処理の手順を説明するためのタイムチャートである。
図14の処理(207〜212)は、前記第1実施形態の図7と同様に運用機能搭載システム108の搭載管理処理部113と端末制御部120の相互認証を行う。相互認証に成功した場合、搭載管理処理部113は製造者鍵1と搭載者鍵4を初期鍵2で無効化し(301)、端末制御部120を通して耐タンパデバイス121に送付する(302、303)。
耐タンパデバイス121は耐タンパデバイス121の不揮発性メモリ1213に記憶されている有効化された初期鍵2を用いて、無効化済の製造者鍵1と無効化済みの搭載者鍵4を有効化し(304)、有効化した製造者鍵1を用いて無効化済の初期情報10を有効化する(305)。これにより、運用機能搭載システム108は、センサノード製造システム107で無効化された初期情報10を参照することが可能となる。
次に、搭載管理処理部113は、初期情報10を搭載者鍵4で無効化し(306)、無効化に用いた搭載者鍵4を削除する(307)。これにより、センサノード製造システム107において製造者鍵1で無効化された初期情報10は、現在センサノード106に機能を付加する運用機能搭載システム108が生成した搭載者鍵4により再度無効化される。すなわち、初期情報10を無効化する鍵が変更され、センサノード製造システム107が保有する情報では、現在の初期情報10を有効化することはできない。
搭載管理処理部113は、活性化鍵3を初期鍵2で無効化し、運用機能情報12を搭載者鍵4で無効化する(308)。搭載管理処理部113は端末制御部120を通して耐タンパデバイス121に無効化済の活性化鍵3と無効化済の運用機能情報12の搭載要求を送付する(309、310)。耐タンパデバイス121は、端末制御部120を介して受け付けた無効化済みの活性化鍵3と無効化済の運用機能情報12を不揮発性メモリ1213に格納する。
耐タンパデバイス121は初期鍵2で無効化済の活性化鍵3を有効化し、不揮発性メモリ1213に格納する(311)。図14の処理221〜224は、前記第1実施形態の図7と同様である。
図15は、上記図14の処理が終了した時点で耐タンパデバイス121が保持するデータを示す。運用機能搭載システム108では、耐タンパデバイス121の不揮発性メモリ1213に活性化鍵3及び活性化機能13と無効化した運用機能情報12が加えられ、鍵を搭載者鍵4に変更した無効化済みの初期情報10が更新される。なお、上記図14の処理が終了した時点で、情報管理データベース115が保持する当該センサノード106のデータは図9と同様である。
図16は、配置管理システム110がセンサノード106に無効化した情報を搭載し、無効化した情報の有効化をセンサノード106の耐タンパデバイス121上で行う処理の手順を説明するためのタイムチャートである。
図16の処理225〜230は、前記第1実施形態の図10と同様に配置管理処理部116と端末制御部120の相互認証を行う。相互認証に成功した場合、配置管理処理部116は搭載者鍵4を活性化鍵3で無効化し(312)、端末制御部120を通して耐タンパデバイス121に送付する(313、314)。
耐タンパデバイス121は活性化鍵3を用いて無効化済の搭載者鍵4を有効化し(315)、有効化した搭載者鍵4を用いて無効化された初期情報10と、無効化済の運用機能情報12を有効化する(316)。これにより、耐タンパデバイス121の初期情報10と運用機能情報12は配置管理システム110から参照可能となり、以降のセンサネットシステム131での利用を可能にする。
次に配置管理処理部116は、配置情報14を配置鍵5で無効化し、配置鍵5を活性化鍵3で無効化する(317)。配置管理処理部116は端末制御部120を通して耐タンパデバイス121に無効化済の配置鍵5と無効化済の配置情報14の搭載要求を送付する(318、319)。
端末制御部120は耐タンパデバイス121上で活性化鍵3を用いて無効化済の配置鍵5を有効化し、不揮発性メモリ1213に搭載する(320)。端末制御部120は耐タンパデバイス121上で配置鍵5を用いて無効化済の配置情報14を有効化し、不揮発性メモリ1213に搭載する(321)。なお、図16に示す処理240〜243は、図10と同様である。
図17は、上記図16の処理が終了した時点で耐タンパデバイス121が保持するデータを示す。配置管理システム110では、耐タンパデバイス121の不揮発性メモリ1213に配置鍵5と配置情報14と配置機能15が加えられ、初期情報10と各鍵は有効化されて利用可能となる。
以上のように、耐タンパデバイス121のCPU1211を機能させて無効化と有効化を行うことで、各システムの鍵が外部のシステムに漏れることを抑制できる。
<第3実施形態>
本発明の第3の実施形態について説明する。
前記第1の実施形態では図1、図13において、基地局105の送受信処理部117は配置鍵5を情報管理システム109の情報管理処理部114を通して情報管理データベース115から受け取っていた(244〜247)。これに対し、第3の実施形態では、基地局105の送受信部117は配置管理システム110の配置管理処理部116から配置鍵5を受け取る例を示す。このため、配置管理システム110は、前記第1実施形態の図10において、情報管理システム109の情報管理データベース115に配置鍵5を登録する処理(242、243)を省略し、配置管理システム110が自ら当該センサノード106の配置鍵5を保持する。
図18は、基地局105がセンサノード106と安全な通信を行うために配置管理システム110から配置鍵5を受け取る処理の手順を示すタイムチャートである。
基地局105のデータ送受信システム111の送受信処理部117は、配置管理システム110の配置管理処理部116からセンサノード106に対応する配置鍵5を受け取る(320、321)。なお、図18の処理248〜253は、前記第1実施形態の図13と同様であり基地局105の送受信処理部117と、耐タンパデバイス121がそれぞれの配置鍵5で相互に認証を行い、認証が成功すると通信鍵6を交換する。
以上の処理により、センサネットシステム131の運用時に、ネットワーク122に情報管理システム109が存在しない場合でも、配置管理システム110とセンサネットシステム131により基地局105とセンサノード106の認証を行って、正当なセンサノード106のみをセンサネットシステム131に参加させることができるのである。
前記第1実施形態の図5、図8、図11や、第2実施形態の図15、図17では、例えば活性化鍵13など、発行処理に係わったデータが耐タンパデバイス121に搭載されているが、これらは適当な時期に必要に応じて削除しても構わない。
また、前記第1実施形態の図6、図9、図12では情報管理データベース115は一つのセンサノードのデータのみを保持しているが、実際には複数のセンサノードのデータを管理する。
以上のように第1〜第3実施形態により、配置管理システム110がセンサノードと基地局105間の秘密情報共有処理を行い、センサノード106と基地局105で相互認証を行うことにより、センサノード106と通信可能な基地局105を限定し、センサノード106と基地局105間の安全な通信を実現することが可能となる。また、センサノード106に搭載する情報を各システムが無効化してセンサノード106の耐タンパデバイス121に搭載し、情報管理システム109が各システムの有効化情報を管理することにより、センサノードに搭載されているデータへのアクセス制御を実現し、センサノードを安全に運用することが可能となる。すなわち、センサノード106が保持する配置鍵5と、基地局105が情報管理システム109または配置管理システム110から取得した配置鍵5が一致したときのみ認証が成功し、センサノード106のセンシングデータを基地局105で収集することができ、内部の情報を改竄された不正なセンサノード106がセンサネットシステム131に参加するのを防ぐことができる。
以上、本発明を実施するための最良の形態について説明したが、本発明のセンサノード発行管理方式及びシステムは、上述の図示例にのみ限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変更を加え得ることは勿論である。
また、各処理部における処理はコンピュータにプログラムを読み込むことで実現することができる。
以上のように、本発明はセンサノードを製造するシステムや、センサノードに搭載するソフトウェアを製造するシステムや、センサノードを運用するシステムや、センサネットシステム及びセンサノードに適用することができる。
本発明を適用する計算機システムの構成を示すブロック図。 センサノードの発行処理の概要を示すブロック図。 センサノードの構成を示すブロック図。 センサノード製造システムで実行される処理の一例を示すタイムチャート。 センサノード製造システムにおける処理により、センサノードの耐タンパデバイスに格納されたデータの一例を示す説明図。 センサノード製造システムにおける処理により、情報管理データベースに格納されたデータの一例を示す説明図。 運用機能搭載システムで実行される処理の一例を示すタイムチャート。 運用機能搭載システムにおける処理により、センサノードの耐タンパデバイスに格納されたデータの一例を示す説明図。 運用機能搭載システムにおける処理により、情報管理データベースに格納されたデータの一例を示す説明図。 配置管理システムで実行される処理の一例を示すタイムチャート。 配置管理システムにおける処理により、センサノードの耐タンパデバイスに格納されたデータの一例を示す説明図。 配置管理システムにおける処理により、情報管理データベースに格納されたデータの一例を示す説明図。 基地局で実行される処理の一例を示すタイムチャート。 第2の実施形態を示し、運用機能搭載システムで実行される処理の一例を示すタイムチャート。 第2の実施形態を示し、運用機能搭載システムにおける処理により、センサノードの耐タンパデバイスに格納されたデータの一例を示す説明図。 第2の実施形態を示し、配置管理システムで実行される処理の一例を示すタイムチャート。 第2の実施形態を示し、配置管理システムにおける処理により、センサノードの耐タンパデバイスに格納されたデータの一例を示す説明図。 第3の実施形態を示し、基地局で実行される処理の一例を示すタイムチャート。
符号の説明
105 基地局
106 センサノード
107 センサノード製造システム
108 運用機能搭載システム
109 情報管理システム
110 配置管理システム
111 データ送受信システム
112 製造管理処理部
113 搭載管理処理部
114 情報管理処理部
115 情報管理データベース
116 配置管理処理部
117 送受信処理部
120 端末制御部
121 耐タンパデバイス
122 ネットワーク

Claims (20)

  1. 基地局または第1の計算機システムあるいは第2の計算機システムと通信を行う無線通信部と、情報を保持する記憶部と、を備えたセンサノードに固有の情報を設定し、当該固有の情報を保護するセンサノードのデータ保護方法であって、
    前記第1の計算機システムが、第1の鍵と第2の鍵とを生成する手順と、
    前記第1の計算機システムが、前記第1の鍵で前記固有の情報を無効化し、前記センサノードの記憶部へ当該無効化した固有の情報を格納する手順と、
    前記第1の計算機システムが、前記センサノードの記憶部に前記第2の鍵を格納する手順と、
    前記第1の計算機システムが、前記第1の鍵と第2の鍵とを予め設定した計算機システムに格納する手順と、
    前記センサノードが第1の計算機システムから第2の計算機システムへ到着した後に、前記第2の計算機システムが前記予め設定した計算機システムから前記第1の鍵と第2の鍵を取得する手順と、
    前記第2の計算機システムが取得した第2の鍵と、前記センサノードの記憶部に格納した第2の鍵で認証を行う手順と、
    を含むことを特徴とするセンサノードのデータ保護方法。
  2. 前記予め設定した計算機システムは、前記第1の計算機システム及び第2の計算機システムに接続された第3の計算機システムであって、
    前記第1の鍵と第2の鍵とを予め設定した計算機システムに格納する手順は、
    と、
    前記第1の計算機システムが、前記第1の鍵と第2の鍵とを前記第3の計算機システムに格納し、
    前記予め設定した計算機システムから前記第1の鍵と第2の鍵を取得する手順は、
    前記センサノードが第1の計算機システムから第2の計算機システムへ到着した後に、前記第2の計算機システムが前記第3の計算機システムから前記第1の鍵と第2の鍵を取得することを特徴とする請求項1に記載のセンサノードのデータ保護方法。
  3. 前記予め設定した計算機システムは、前記第1の計算機システムであって、
    前記第1の鍵と第2の鍵とを予め設定した計算機システムに格納する手順は、
    と、
    前記第1の計算機システムが、前記第1の鍵と第2の鍵とを自らに格納し、
    前記予め設定した計算機システムから前記第1の鍵と第2の鍵を取得する手順は、
    前記センサノードが第1の計算機システムから第2の計算機システムへ到着した後に、前記第2の計算機システムが前記第1の計算機システムから前記第1の鍵と第2の鍵を取得することを特徴とする請求項1に記載のセンサノードのデータ保護方法。
  4. 前記第1の計算機システムは、前記センサノードを製造するための計算機システムであって、前記第2の計算機システムは、前記センサノードに機能を設定するための計算機システムであって、前記第3の計算機システムは、前記第1の計算機システムが生成した第1の鍵と第2の鍵を格納することを特徴とする請求項2に記載のセンサノードのデータ保護方法。
  5. 前記第1の計算機システムは、前記センサノードに機能を設定するための計算機システムであって、前記第2の計算機システムは、前記センサノードと通信を行うセンサネットシステムの基地局であることを特徴とする請求項3に記載のセンサノードのデータ保護方法。
  6. 前記認証が成功した場合には、
    前記第2の計算機システムが前記無効化した固有の情報を前記センサノードの記憶部から読み込んで、前記取得した第1の鍵で当該無効化した固有の情報を有効化する手順を含むことを特徴とする請求項1に記載のセンサノードのデータ保護方法。
  7. 前記認証が成功した場合には、
    前記センサノードが前記第2の計算機システムから前記第1の鍵を取得する手順と、
    前記センサノードが、前記取得した第1の鍵で当該無効化した固有の情報を有効化する手順と、
    を含むことを特徴とする請求項1に記載のセンサノードのデータ保護方法。
  8. 前記認証が成功した場合には、
    前記基地局が前記センサノードへ通信に用いる鍵を送信する手順を含むことを特徴とする請求項5に記載のセンサノードのデータ保護方法。
  9. 所定の情報を測定するセンサと、通信を行う無線通信部と、情報を保持する記憶部と、を備えたセンサノードと、
    前記センサノードに情報を設定する第1の計算機システムと、
    前記センサノードに運用のための機能または情報を設定する第2の計算機システムと、
    前記第1の計算機システムと第2の計算機システムを接続するネットワークと、
    を備えたセンサノードを配布するための計算機システムにおいて、
    前記第1の計算機システムは、
    前記センサノードの記憶部に格納する当該センサノードに固有の情報を無効化するための第1の鍵と、センサノードと第1または第2の計算機システムの間で認証を行うための第2の鍵とを生成する鍵生成部と、
    前記第1の鍵で前記固有の情報を無効化して、当該無効化した固有の情報を前記センサノードの記憶部に格納する暗号化部と、
    前記第2の鍵を、前記センサノードの記憶部に格納する鍵格納部と、
    前記生成した第1の鍵と第2の鍵とを予め設定した計算機システムに送信する鍵送信部と、を備え、
    前記第2の計算機システムは、
    前記センサノードが第1の計算機システムから第2の計算機システムへ到着した後に、前記予め設定した計算機システムから前記第1の鍵と第2の鍵を取得する鍵取得部と、
    前記取得した第2の鍵と、前記センサノードの記憶部に格納した第2の鍵とで認証を行う認証部と、
    を備えたことを特徴とするセンサノードを配布するための計算機システム。
  10. 前記予め設定した計算機システムは、前記第1の計算機システム及び第2の計算機システムに接続された第3の計算機システムであって、
    前記第1の計算機システムの鍵送信部は、前記第1の鍵と第2の鍵とを前記第3の計算機システムに格納し、
    前記第2の計算機システムの鍵取得部は、前記センサノードが第1の計算機システムから第2の計算機システムへ到着した後に、前記第3の計算機システムから前記第1の鍵と第2の鍵を取得することを特徴とする請求項9に記載のセンサノードを配布するための計算機システム。
  11. 前記予め設定した計算機システムは、前記第1の計算機システムであって、
    前記第1の鍵と第2の鍵とを予め設定した計算機システムに格納する手順は、
    と、
    前記第1の計算機システムの鍵送信部は、前記第1の鍵と第2の鍵とを自らに格納し、
    前記第2の計算機システムの鍵取得部は、前記センサノードが第1の計算機システムから第2の計算機システムへ到着した後に、前記第1の計算機システムから前記第1の鍵と第2の鍵を取得することを特徴とする請求項9に記載のセンサノードを配布するための計算機システム。
  12. 前記第1の計算機システムは、前記センサノードを製造するための計算機システムであって、前記第2の計算機システムは、前記センサノードに機能を設定するための計算機システムであって、前記第3の計算機システムは、前記第1の計算機システムが生成した第1の鍵と第2の鍵を格納することを特徴とする請求項10に記載のセンサノードを配布するための計算機システム。
  13. 前記第1の計算機システムは、前記センサノードに機能を設定するための計算機システムであって、前記第2の計算機システムは、前記センサノードと通信を行うセンサネットシステムの基地局であることを特徴とする請求項11に記載のセンサノードを配布するための計算機システム。
  14. 前記第2の計算機システムは、
    前記認証部で認証が成功した場合に、前記第2の計算機システムが前記無効化した固有の情報を前記センサノードの記憶部から読み込んで、前記取得した第1の鍵で当該無効化した固有の情報を有効化する情報有効化部を有することを特徴とする請求項9に記載のセンサノードを配布するための計算機システム。
  15. 前記センサノードは、
    前記認証が成功した場合に、前記センサノードが前記第2の計算機システムから前記第1の鍵を取得し、前記取得した第1の鍵で当該無効化した固有の情報を有効化する有効化部を有することを特徴とする請求項9に記載のセンサノードを配布するための計算機システム。
  16. 前記基地局は、
    前記認証が成功した場合に、前記センサノードへ通信に用いる鍵を送信する通信鍵送信部を有することを特徴とする請求項13に記載のセンサノードを配布するための計算機システム。
  17. 所定の情報を測定するセンサと、通信を行う無線通信部と、情報を保持する記憶部と、前記センサと無線通信部及び記憶部を制御する制御部と、備えたセンサノードにおいて、
    前記制御部は、
    予め第1の鍵で無効化された当該センサノードに固有の情報を前記記憶部に格納し、前記無線通信部を介して認証の要求があったときには、前記記憶部に予め格納された第2の鍵によって、前記認証の応答を行う認証部を有することを特徴とするセンサノード。
  18. 前記制御部は、
    前記認証部で認証が成功したときには、前記無線通信部で通信鍵を受信し、当該受信した通信鍵を用いて以降の通信内容を暗号化する暗号化部を有することを特徴とする請求項17に記載のセンサノード。
  19. 前記制御部は、
    前記認証部で認証が成功したときには、前記無線通信部で前記第1の鍵を受信し、当該受信した第1の鍵を用いて記憶部に格納される無効化された固有の情報を有効化する有効化部を有することを特徴とする請求項17に記載のセンサノード。
  20. 前記記憶部は、耐タンパデバイスで構成されたことを特徴とする請求項17に記載のセンサノード。
JP2006162378A 2006-06-12 2006-06-12 センサノードのデータ保護方法、センサノードを配布するための計算機システム及びセンサノード Expired - Fee Related JP4833745B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006162378A JP4833745B2 (ja) 2006-06-12 2006-06-12 センサノードのデータ保護方法、センサノードを配布するための計算機システム及びセンサノード
US11/806,966 US7693675B2 (en) 2006-06-12 2007-06-05 Method for protection of sensor node's data, a systems for secure transportation of a sensor node and a sensor node that achieves these

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006162378A JP4833745B2 (ja) 2006-06-12 2006-06-12 センサノードのデータ保護方法、センサノードを配布するための計算機システム及びセンサノード

Publications (2)

Publication Number Publication Date
JP2007335962A true JP2007335962A (ja) 2007-12-27
JP4833745B2 JP4833745B2 (ja) 2011-12-07

Family

ID=38874516

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006162378A Expired - Fee Related JP4833745B2 (ja) 2006-06-12 2006-06-12 センサノードのデータ保護方法、センサノードを配布するための計算機システム及びセンサノード

Country Status (2)

Country Link
US (1) US7693675B2 (ja)
JP (1) JP4833745B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110126015A1 (en) * 2009-11-25 2011-05-26 Samsung Electronics Co., Ltd. Sink authentication system and method using mobile communication network
JP2015529910A (ja) * 2012-09-12 2015-10-08 インテル・コーポレーション センサデータセキュリティを有するモバイルプラットフォーム

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008014633B4 (de) * 2008-03-17 2010-10-14 Siemens Aktiengesellschaft Verfahren zum Betreiben eines drahtlosen Sensornetzwerks und Sensorknoten
US20120030770A1 (en) * 2010-07-30 2012-02-02 Jameel Abdul Ahed Assisted tuning of capacitive monitoring components
US9407433B1 (en) * 2011-08-10 2016-08-02 Nutanix, Inc. Mechanism for implementing key-based security for nodes within a networked virtualization environment for storage management
FI125393B (en) * 2012-07-17 2015-09-30 Arm Finland Oy Procedure, device and system for use in a web service
WO2014016922A1 (ja) 2012-07-25 2014-01-30 富士通株式会社 データ処理装置、データ処理システムおよびデータ処理方法
CN105379304B (zh) 2013-07-04 2018-11-13 富士通株式会社 数据网络管理系统、数据网络管理装置、数据处理装置、以及数据网络管理方法
US10095858B2 (en) * 2013-10-28 2018-10-09 Maxim Integrated Products, Inc. Systems and methods to secure industrial sensors and actuators
US12069174B2 (en) * 2019-02-08 2024-08-20 Malikie Innovations Limited Secure communication with an authentication process

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004318478A (ja) * 2003-04-16 2004-11-11 Nippon Telegr & Teleph Corp <Ntt> Rfタグ発行装置、rfタグ利用装置、rfタグの利用方法、及びプログラム
JP2005515695A (ja) * 2002-01-10 2005-05-26 ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング 管理及び制御のための階層型無線自己組織ネットワーク
JP2005520269A (ja) * 2002-07-09 2005-07-07 アメリカン・エキスプレス・トラベル・リレイテッド・サービシズ・カンパニー・インコーポレーテッド 接触および非接触取引における無線周波数識別を用いて支払を動機付けするシステムおよび方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100419484B1 (ko) 2001-09-07 2004-02-19 한국전자통신연구원 공개키 기반구조에서 검증서버를 이용한 인증서의 유효성검증 장치 및 방법
US7486795B2 (en) * 2002-09-20 2009-02-03 University Of Maryland Method and apparatus for key management in distributed sensor networks
JP2004241976A (ja) * 2003-02-05 2004-08-26 Nec Corp 移動通信ネットワークシステムおよび移動端末認証方法
KR100555949B1 (ko) 2003-04-11 2006-03-03 삼성전자주식회사 홈 디바이스의 인증시스템 및 그의 인증방법
JP4285420B2 (ja) * 2005-02-22 2009-06-24 株式会社日立製作所 センサネット管理システム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005515695A (ja) * 2002-01-10 2005-05-26 ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング 管理及び制御のための階層型無線自己組織ネットワーク
JP2005520269A (ja) * 2002-07-09 2005-07-07 アメリカン・エキスプレス・トラベル・リレイテッド・サービシズ・カンパニー・インコーポレーテッド 接触および非接触取引における無線周波数識別を用いて支払を動機付けするシステムおよび方法
JP2004318478A (ja) * 2003-04-16 2004-11-11 Nippon Telegr & Teleph Corp <Ntt> Rfタグ発行装置、rfタグ利用装置、rfタグの利用方法、及びプログラム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110126015A1 (en) * 2009-11-25 2011-05-26 Samsung Electronics Co., Ltd. Sink authentication system and method using mobile communication network
JP2015529910A (ja) * 2012-09-12 2015-10-08 インテル・コーポレーション センサデータセキュリティを有するモバイルプラットフォーム

Also Published As

Publication number Publication date
US20070299624A1 (en) 2007-12-27
JP4833745B2 (ja) 2011-12-07
US7693675B2 (en) 2010-04-06

Similar Documents

Publication Publication Date Title
JP4833745B2 (ja) センサノードのデータ保護方法、センサノードを配布するための計算機システム及びセンサノード
EP1388989B1 (en) Digital contents issuing system and digital contents issuing method
CN102508791B (zh) 一种对硬盘分区进行加密的方法及装置
US20040255119A1 (en) Memory device and passcode generator
US20050061875A1 (en) Method and apparatus for a secure RFID system
CN106936588B (zh) 一种硬件控制锁的托管方法、装置及系统
US11373762B2 (en) Information communication device, authentication program for information communication device, and authentication method
JP5380583B1 (ja) デバイス認証方法及びシステム
CN112257093B (zh) 数据对象的鉴权方法、终端及存储介质
JP2008287335A (ja) 認証情報管理システム、認証情報管理サーバ、認証情報管理方法及びプログラム
JP6479723B2 (ja) 秘密鍵管理システムおよび秘密鍵管理方法
KR101314751B1 (ko) 디알엠 설치 관리 방법 및 장치
JP2008001089A (ja) 印刷プログラムおよび印刷装置
JP2017152880A (ja) 認証システム、鍵処理連携方法、および、鍵処理連携プログラム
JP3597704B2 (ja) Icカードおよび記録媒体
US20110154436A1 (en) Provider Management Methods and Systems for a Portable Device Running Android Platform
JP2008033512A (ja) セキュリティチップ及びプラットフォーム
KR101078839B1 (ko) 이동단말에 대한 사용 제한 방법 및 이를 위한 이동단말
CN102222195A (zh) 电子书阅读方法和系统
JP2006262393A (ja) 耐タンパ装置およびファイル生成方法
KR101133210B1 (ko) 모바일 클라이언트 단말기의 보안인증시스템
TW201826160A (zh) 資料驗證方法
CN113872986B (zh) 配电终端认证方法、装置和计算机设备
CN109740321B (zh) 吊销加密机管理员锁的方法、加密机及厂商服务器
JP2022064688A (ja) IoT機器認証システム、IoT機器認証方法、鍵配信用サーバおよびICチップ

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081127

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110705

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110902

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110920

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110922

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140930

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees