知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6610060
(24)【登録日】2019年11月8日
(45)【発行日】2019年11月27日
(54)【発明の名称】中継装置、プログラム及び情報処理システム
(51)【国際特許分類】
G06F 21/57 20130101AFI20191118BHJP
H04L 12/46 20060101ALI20191118BHJP
【FI】
G06F21/57
H04L12/46 100C
【請求項の数】9
【全頁数】15
(21)【出願番号】特願2015-151631(P2015-151631)
(22)【出願日】2015年7月31日
(65)【公開番号】特開2017-33225(P2017-33225A)
(43)【公開日】2017年2月9日
【審査請求日】2018年5月28日
(73)【特許権者】
【識別番号】000002897
【氏名又は名称】大日本印刷株式会社
(74)【代理人】
【識別番号】100106002
【弁理士】
【氏名又は名称】正林 真之
(74)【代理人】
【識別番号】100165157
【弁理士】
【氏名又は名称】芝 哲央
(74)【代理人】
【識別番号】100120891
【弁理士】
【氏名又は名称】林 一好
(72)【発明者】
【氏名】宮脇 好美
【審査官】
平井 誠
(56)【参考文献】
【文献】
特開2015−018477(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55−57
(57)【特許請求の範囲】
【請求項1】
1つ以上のネットワークに接続され、前記ネットワークに接続された外部装置の間で送受信されるデータを中継する中継装置であって、
前記中継装置の正当性を確認するための正当性判定プログラムを記憶する正当性判定プログラム記憶部と、
前記正当性判定プログラムによって参照される正当性確認データを記憶する正当性データ記憶部と、
書込み及び書換えが可能な装置記憶部と、
装置制御部と、
を備え、
前記正当性データ記憶部は、前記中継装置に対して取外しが可能であり、又は、前記中継装置に内蔵された、書換え不可のセキュアな記憶領域に有し、
前記装置制御部は、
前記外部装置から前記装置記憶部に対する書込み又は書換え要求を受信したことに応じて、書込み又は書換え処理をする要求処理部と、
前記要求処理部が前記処理をしたことに応じて、要求送信元の前記外部装置を識別する装置識別情報に一致する情報が前記装置記憶部に記憶されているか否かを判定する装置判定部と、
前記正当性判定プログラムを実行し、前記正当性データ記憶部を参照して前記中継装置の正当性を確認する正当性確認部と、
前記正当性確認部による正当性の確認結果に応じた処理を行う結果処理部と、
を備え、
前記装置制御部の前記正当性確認部は、前記装置判定部により前記装置識別情報が記憶されていないと判定された場合に、前記中継装置の正当性を確認し、
前記装置制御部の前記結果処理部は、
前記確認結果が正当性を確認できたものである場合に、要求送信元の前記外部装置を識別する装置識別情報を、前記装置記憶部に記憶させる処理を行い、
前記確認結果が正当性を確認できなかったものである場合に、この中継装置を前記ネットワークから切り離す処理、又は、前記ネットワークによって接続され前記中継装置がデータを送信する少なくとも1つの前記外部装置に対してエラーを通知する処理を行うこと、
を特徴とする中継装置。
前記中継装置の正当性を確認するための正当性判定プログラムを記憶する正当性判定プログラム記憶部と、
前記正当性判定プログラムによって参照される正当性確認データを記憶する正当性データ記憶部と、
書込み及び書換えが可能な装置記憶部と、
装置制御部と、
を備え、
前記正当性データ記憶部は、前記中継装置に対して取外しが可能であり、又は、前記中継装置に内蔵された、書換え不可のセキュアな記憶領域に有し、
前記装置制御部は、
前記外部装置から前記装置記憶部に対する書込み又は書換え要求を受信したことに応じて、書込み又は書換え処理をする要求処理部と、
前記要求処理部が前記処理をしたことに応じて、要求送信元の前記外部装置を識別する装置識別情報に一致する情報が前記装置記憶部に記憶されているか否かを判定する装置判定部と、
前記正当性判定プログラムを実行し、前記正当性データ記憶部を参照して前記中継装置の正当性を確認する正当性確認部と、
前記正当性確認部による正当性の確認結果に応じた処理を行う結果処理部と、
を備え、
前記装置制御部の前記正当性確認部は、前記装置判定部により前記装置識別情報が記憶されていないと判定された場合に、前記中継装置の正当性を確認し、
前記装置制御部の前記結果処理部は、
前記確認結果が正当性を確認できたものである場合に、要求送信元の前記外部装置を識別する装置識別情報を、前記装置記憶部に記憶させる処理を行い、
前記確認結果が正当性を確認できなかったものである場合に、この中継装置を前記ネットワークから切り離す処理、又は、前記ネットワークによって接続され前記中継装置がデータを送信する少なくとも1つの前記外部装置に対してエラーを通知する処理を行うこと、
を特徴とする中継装置。
【請求項2】
請求項1に記載の中継装置において、
前記装置制御部の前記正当性確認部は、この中継装置の電源が投入されたことに応じて、前記中継装置の正当性を確認すること、
を特徴とする中継装置。
前記装置制御部の前記正当性確認部は、この中継装置の電源が投入されたことに応じて、前記中継装置の正当性を確認すること、
を特徴とする中継装置。
【請求項3】
請求項1又は請求項2に記載の中継装置において、
前記装置制御部は、消去条件を満たした場合に、前記装置記憶部に記憶された前記装置識別情報を消去する情報消去部を備えること、
を特徴とする中継装置。
前記装置制御部は、消去条件を満たした場合に、前記装置記憶部に記憶された前記装置識別情報を消去する情報消去部を備えること、
を特徴とする中継装置。
【請求項4】
請求項3に記載の中継装置において、
前記装置制御部の前記情報消去部は、基準日時に達することで前記消去条件を満たした場合に、前記装置記憶部に記憶された前記装置識別情報を消去すること、
を特徴とする中継装置。
前記装置制御部の前記情報消去部は、基準日時に達することで前記消去条件を満たした場合に、前記装置記憶部に記憶された前記装置識別情報を消去すること、
を特徴とする中継装置。
【請求項5】
請求項3に記載の中継装置において、
前記装置制御部の前記結果処理部は、前記確認結果が正当性を確認できたものである場合に、前記装置識別情報を、処理日時に対応付けて前記装置記憶部に記憶させ、
前記装置制御部の前記情報消去部は、前記結果処理部により前記装置識別情報を最初に前記装置記憶部に記憶させてから基準時間を経過することで前記消去条件を満たした場合に、前記装置記憶部に記憶された前記装置識別情報を消去すること、
を特徴とする中継装置。
前記装置制御部の前記結果処理部は、前記確認結果が正当性を確認できたものである場合に、前記装置識別情報を、処理日時に対応付けて前記装置記憶部に記憶させ、
前記装置制御部の前記情報消去部は、前記結果処理部により前記装置識別情報を最初に前記装置記憶部に記憶させてから基準時間を経過することで前記消去条件を満たした場合に、前記装置記憶部に記憶された前記装置識別情報を消去すること、
を特徴とする中継装置。
【請求項6】
請求項3から請求項5までのいずれかに記載の中継装置において、
前記装置制御部は、前記装置判定部により前記装置識別情報が記憶されていると判定された場合に、判定した回数が分かる態様で前記装置識別情報を前記装置記憶部に記憶させる判定回数部を備え、
前記装置制御部の前記情報消去部は、前記装置記憶部に記憶されている前記装置識別情報の判定した回数が基準回数に達することで前記消去条件を満たした場合に、前記装置記憶部に記憶された前記装置識別情報を消去すること、
を特徴とする中継装置。
前記装置制御部は、前記装置判定部により前記装置識別情報が記憶されていると判定された場合に、判定した回数が分かる態様で前記装置識別情報を前記装置記憶部に記憶させる判定回数部を備え、
前記装置制御部の前記情報消去部は、前記装置記憶部に記憶されている前記装置識別情報の判定した回数が基準回数に達することで前記消去条件を満たした場合に、前記装置記憶部に記憶された前記装置識別情報を消去すること、
を特徴とする中継装置。
【請求項7】
請求項1から請求項6までのいずれかに記載の中継装置において、
前記正当性判定プログラム記憶部は、前記中継装置に対して取外しが可能であり、又は、前記中継装置に内蔵された、書換え不可のセキュアな記憶領域に有すること、
を特徴とする中継装置。
前記正当性判定プログラム記憶部は、前記中継装置に対して取外しが可能であり、又は、前記中継装置に内蔵された、書換え不可のセキュアな記憶領域に有すること、
を特徴とする中継装置。
【請求項8】
請求項1から請求項7までのいずれかに記載の中継装置としてコンピュータを機能させるためのプログラム。
【請求項9】
請求項1から請求項7までのいずれかに記載の中継装置と、
前記中継装置に対して前記ネットワークによって接続された外部装置と、
を備える情報処理システム。
前記中継装置に対して前記ネットワークによって接続された外部装置と、
を備える情報処理システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、中継装置、プログラム及び情報処理システムに関する。
【背景技術】
【0002】
従来、コンピュータの信頼性と安全性を向上させるための標準技術を策定する業界団体であるTCG(Trusted Computing Group)が、コンピューティングプラットフォームに向けて、セキュリティチップに関するTPM(Trusted Platform Module)チップの仕様を作成している(例えば、特許文献1)。TPMチップが組み込まれたコンピュータは、起動(ブート)時に自身のハードウェアやソフトウェアが第三者によって改ざんされていないかどうかを検知することが可能であり、コンピュータ自身が信頼されたものであることを確認できる。
また、ゲートウェイの起動時にプラットフォームの完全性検証を行うものが開示されている(例えば、特許文献2)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2005−317026号公報
【特許文献2】特許第5678094号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
最近は、コンピュータ同士が通信ネットワークを介して互いに情報をやり取りするM2M(Machine to Machine)技術が開発されており、ゲートウェイ等の中継装置が使用される。中継装置は、電源を入れたままで長期間利用されるが、その場合には、利用中に外部から改ざん等が行われても、検知されずに利用し続けることになり得るという問題があった。
【0005】
そこで、本発明は、利用中のコンピュータの正当性を判定できる中継装置、プログラム及び情報処理システムを提供することを目的とする。
【課題を解決するための手段】
【0006】
本発明は、以下のような解決手段により、前記課題を解決する。なお、理解を容易にするために、本発明の実施形態に対応する符号を付して説明するが、これに限定されるものではない。また、符号を付して説明した構成は、適宜改良してもよく、また、少なくとも一部を他の構成物に代替してもよい。
【0007】
第1の発明は、1つ以上のネットワーク(N1,N2)に接続され、前記ネットワークに接続された外部装置(7,8)の間で送受信されるデータを中継する中継装置(5)であって、前記中継装置の正当性を確認するための正当性判定プログラム(41a)を記憶する正当性判定プログラム記憶部(41)と、前記正当性判定プログラムによって参照される正当性確認データ(42a)を記憶する正当性データ記憶部(42)と、書込み及び書換えが可能な装置記憶部(20)と、装置制御部(10)と、を備え、前記正当性データ記憶部は、前記中継装置に対して取外しが可能であり、又は、前記中継装置に内蔵された、書換え不可のセキュアな記憶領域に有し、前記装置制御部は、前記外部装置から前記装置記憶部に対する書込み又は書換え要求を受信したことに応じて、書込み又は書換え処理をする要求処理部(11)と、前記正当性判定プログラムを実行し、前記正当性データ記憶部を参照して前記中継装置の正当性を確認する正当性確認部(13)と、前記正当性確認部による正当性の確認結果に応じた処理を行う結果処理部(14)と、を備え、前記装置制御部の前記正当性確認部は、前記要求処理部が前記処理をしたことに応じて、前記中継装置の正当性を確認し、前記装置制御部の前記結果処理部は、前記確認結果が正当性を確認できなかったものである場合に、この中継装置を前記ネットワークから切り離す処理、又は、前記ネットワークによって接続され前記中継装置がデータを送信する少なくとも1つの前記外部装置に対してエラーを通知する処理を行うこと、を特徴とする中継装置である。第2の発明は、第1の発明の中継装置(1)において、前記装置制御部(10)の前記正当性確認部(13)は、この中継装置の電源が投入されたことに応じて、前記中継装置の正当性を確認すること、を特徴とする中継装置である。
第3の発明は、第1の発明又は第2の発明の中継装置(1)において、前記装置制御部(10)の前記結果処理部(14)は、前記正当性確認部(13)による前記確認結果が正当性を確認できたものである場合に、要求送信元の前記外部装置(7,8)を識別する装置識別情報を、前記装置記憶部(22)に記憶させ、前記装置制御部は、前記要求処理部(11)が前記処理をしたことに応じて、要求送信元の前記外部装置を識別する装置識別情報に一致する情報が前記装置記憶部に記憶されているか否かを判定する装置判定部(12)を備え、前記装置制御部の前記正当性確認部は、前記装置判定部により前記装置識別情報が記憶されていないと判定された場合に、前記中継装置の正当性を確認すること、を特徴とする中継装置である。
第4の発明は、第3の発明の中継装置(1)において、前記装置制御部(10)は、消去条件を満たした場合に、前記装置記憶部(22)に記憶された前記装置識別情報を消去する情報消去部(15)を備えること、を特徴とする中継装置である。
第5の発明は、第4の発明の中継装置において、前記装置制御部の前記情報消去部は、基準日時に達することで前記消去条件を満たした場合に、前記装置記憶部に記憶された前記装置識別情報を消去すること、を特徴とする中継装置である。
第6の発明は、第4の発明の中継装置(1)において、前記装置制御部(10)の前記結果処理部(14)は、前記確認結果が正当性を確認できたものである場合に、前記装置識別情報を、処理日時に対応付けて前記装置記憶部(22)に記憶させ、前記装置制御部の前記情報消去部(15)は、前記結果処理部により前記装置識別情報を最初に前記装置記憶部に記憶させてから基準時間を経過することで前記消去条件を満たした場合に、前記装置記憶部に記憶された前記装置識別情報を消去すること、を特徴とする中継装置である。
第7の発明は、第4の発明から第6の発明までのいずれかの中継装置において、前記装置制御部は、前記装置判定部により前記装置識別情報が記憶されていると判定された場合に、判定した回数が分かる態様で前記装置識別情報を前記装置記憶部に記憶させる判定回数部を備え、前記装置制御部の前記情報消去部は、前記装置記憶部に記憶されている前記装置識別情報の判定した回数が基準回数に達することで前記消去条件を満たした場合に、前記装置記憶部に記憶された前記装置識別情報を消去すること、を特徴とする中継装置である。
第8の発明は、第1の発明から第7の発明までのいずれかの中継装置(1)において、前記正当性判定プログラム記憶部(41)は、前記中継装置に対して取外しが可能であり、又は、前記中継装置に内蔵された、書換え不可のセキュアな記憶領域に有すること、を特徴とする中継装置である。
第9の発明は、第1の発明から第8の発明までのいずれかの中継装置(1)としてコンピュータを機能させるためのプログラム(21a)である。
第10の発明は、第1の発明から第8の発明までのいずれかの中継装置(1)と、前記中継装置に対して前記ネットワーク(N1,N2)によって接続された外部装置(7,8)と、を備える情報処理システム(100)である。
【発明の効果】
【0008】
本発明によれば、利用中のコンピュータの正当性を判定できる中継装置、プログラム及び情報処理システムを提供することができる。
【図面の簡単な説明】
【0009】
【図1】本実施形態に係る情報処理システムの機能ブロック図である。
【図2】本実施形態に係るゲートウェイのソフトウェア構造及びICチップの正当性確認データを説明するための図である。
【図3】本実施形態に係るゲートウェイの正当性確認処理のフローチャートである。
【図4】本実施形態に係るゲートウェイの正当性確認処理のフローチャートである。
【図5】本実施形態に係るゲートウェイ及びICチップの検証処理のフローチャートである。
【発明を実施するための形態】
【0010】
以下、本発明を実施するための形態について、図を参照しながら説明する。なお、これは、あくまでも一例であって、本発明の技術的範囲はこれに限られるものではない。(実施形態)
図1は、本実施形態に係る情報処理システム100の機能ブロック図である。
図2は、本実施形態に係るゲートウェイ1のソフトウェア構造50及びICチップ3の正当性確認データ42aを説明するための図である。
【0011】
<情報処理システム100>図1に示す情報処理システム100は、ゲートウェイ1(中継装置)と、端末7(外部装置)と、データ収集サーバ8(外部装置)とを備える。そして、情報処理システム100は、各端末7が送信したデータを、ゲートウェイ1を介してデータ収集サーバ8に送信することで、データ収集サーバ8は、端末7のデータを収集するシステムである。
以下の説明において、ゲートウェイ1と、複数の端末7とは、温度管理が必要な各工場内に設けられ、データ収集サーバ8は、本社等に設けられるものとして説明する。また、各端末7は、工場内の各作業区画に設けられる。そして、端末7が温度データを取得してゲートウェイ1に送信し、データ収集サーバ8は、一定間隔でゲートウェイ1から送信されたデータを収集することで、工場内の温度を監視するものとして説明する。
なお、図1には、データ収集サーバ8には、1つのゲートウェイ1が接続されているが、データ収集サーバ8には、複数のゲートウェイ1が接続されていてもよい。
【0012】
<ゲートウェイ1>ゲートウェイ1は、通信ネットワークN1を介して端末7と接続され、通信ネットワークN2を介してデータ収集サーバ8と接続され、通信を中継する通信装置である。そして、ゲートウェイ1は、複数の端末7とデータ収集サーバ8との間で送受信されるデータを中継する。
通信ネットワークN1は、例えば、Wi−Fiや、Bluetooth(登録商標)等の近距離通信を行うためのローカルエリアネットワークである。また、通信ネットワークN2は、例えば、公衆回線や、携帯電話回線(例えば、3G(3rd Generation)やLTE(Long Term Evolution))等のインターネット接続回線のワイドエリアネットワークである。
【0013】
ゲートウェイ1は、ICチップ3を含んで構成される。そして、ゲートウェイ1は、起動時に、IC(Integrated Circuit)チップ3に記憶されている正当性判定プログラム41aを実行し、ゲートウェイ1のプラットフォーム(ハードウェア、ソフトウェア等)が第三者によって不正に改ざんされていないかどうかの正当性を確認する。また、ゲートウェイ1は、電源が投入されたまま継続して利用中に、記憶部20への書込みや書換えがあったときにも、正当性を確認する。なお、ゲートウェイ1は、ICチップ3との間で通信可能な状態で、電源を投入及び使用する。
【0014】
ゲートウェイ1は、制御部10(装置制御部)と、記憶部20(装置記憶部)と、チップ接続部25と、広域通信部28と、近距離通信部29とを備える。制御部10は、ゲートウェイ1の全体を制御するCPU(中央処理装置)である。制御部10は、記憶部20に記憶されているOS(オペレーティングシステム)や各種アプリケーションプログラムを適宜読み出して実行することにより、上述したハードウェアと協働して各種機能を実行する。
制御部10は、要求処理部11と、装置判定部12と、正当性確認要求部13(正当性確認部)と、結果処理部14と、情報消去部15とを備える。
【0015】
要求処理部11は、端末7、データ収集サーバ8や、通信ネットワークN1又は通信ネットワークN2を介して接続されたその他の装置(図示せず)(以下、これらをまとめて「外部装置」ともいう。)から書込み要求を受信したことに応じて、記憶部20に対して書込み処理を行う。ここで、その他の装置とは、例えば、端末7やデータ収集サーバ8になりすました第三者の装置等をいう。装置判定部12は、書込み要求を送信した外部装置を識別する装置ID(IDentifier)によって、その外部装置が既に正当性を確認した装置であるか否かを判定する。
正当性確認要求部13は、外部装置が正当性を確認した装置でない場合に、ゲートウェイ1の正当性を確認する処理を、ICチップ3に対して依頼する。
結果処理部14は、正当性の確認結果に応じた処理を行う。
情報消去部15は、ログ領域22に記憶されている装置IDを消去する。
なお、各処理の詳細は、後述する。
【0016】
記憶部20は、制御部10が各種の処理を実行するために必要なプログラム、データ等を記憶するためのハードディスク、半導体メモリ素子等の記憶領域である。記憶部20は、プログラム領域21と、ログ領域22とを備える。
プログラム領域21は、OSや、装置プログラム21a等のゲートウェイ1で実行する各プログラムを記憶する記憶領域である。
装置プログラム21aは、上述した制御部10の各機能を実行するプログラムである。
特徴値測定プログラム21bは、プログラム領域21に記憶された各プログラムのハッシュ値を算出するプログラムである。ハッシュ値は、例えば、SHA−1ハッシュ値である。
【0017】
図2(A)に示すように、ゲートウェイ1のプログラム領域21は、ソフトウェア構造50として、ブートローダ部51と、OS部52と、アプリケーション部53とを有する。ブートローダ部51と、OS部52と、アプリケーション部53とは、ブートローダ部51を下位にし、アプリケーション部53を上位にした階層構造になっている。ブートローダ部51は、ブートローダを記憶し、OS部52は、OSを記憶している。また、アプリケーション部53は、各アプリケーションプログラムを記憶している。なお、プログラムAは、装置プログラム21aである。
特徴値測定プログラム21bは、例えば、ブートローダ部51と、OS部52とに分散して記憶されている。ブートローダ部51の特徴値測定プログラム21bは、ブートローダを測定対象にする。また、OS部52の特徴値測定プログラム21bは、OSと、アプリケーション部53の各プログラムとを測定対象にする。
【0018】
図1に戻り、ログ領域22は、正当性確認に関する処理のログを記憶する記憶領域である。チップ接続部25は、ICチップ3とのインタフェース部である。チップ接続部25は、例えば、外部接続用の端子を備える。
広域通信部28は、データ収集サーバ8との間で通信をするためのインタフェースである。
近距離通信部29は、端末7との間で通信をするためのインタフェースである。
【0019】
<ICチップ3>ICチップ3は、耐タンパ性を有するセキュアなチップである。ICチップ3は、1チップ構成になっている。ICチップ3は、例えば、カード媒体に設けられてもよい。
ICチップ3は、制御部30と、記憶部40と、装置接続部45とを備える。
制御部30は、ICチップ3の全体を制御するCPUである。制御部30は、記憶部40に記憶されているOSや各種アプリケーションプログラムを適宜読み出して実行することにより、上述したハードウェアと協働して各種機能を実行する。
制御部30は、正当性確認処理部31(正当性確認部)を備える。
【0020】
正当性確認処理部31は、ゲートウェイ1の正当性を確認する処理を、ゲートウェイ1から受け付けたことに応じて、記憶部40に記憶されている正当性判定プログラム41aを実行して、ゲートウェイ1の正当性を確認する。具体的には、正当性確認処理部31は、ゲートウェイ1のプログラム領域21に記憶されている各プログラムのハッシュ値に基づいて特徴値を得る。そして、正当性確認処理部31は、特徴値と、ICチップ3に記憶されている正当性確認データ42aとを比較することで、ゲートウェイ1の正当性を確認する。
ここで、ゲートウェイ1が正当ではない場合とは、ゲートウェイ1に対して違法な接続等によってゲートウェイ1のプログラムが改ざんされたり、マルウェア等の不正なプログラムが書き込まれたりする場合をいう。なお、以下、ゲートウェイ1が正当ではない場合を、ゲートウェイ1が不当であるともいう。また、ゲートウェイ1が正当な場合とは、ゲートウェイ1に対する改ざんや違法な接続等がされておらず、マルウェア等の不正なプログラムが実行されていない場合をいう。
【0021】
記憶部40は、制御部30が各種の処理を実行するために必要なプログラム、データ等を記憶するための半導体メモリ素子等の記憶領域である。記憶部40は、プログラム領域41と、データ領域42とを備える。
プログラム領域41と、データ領域42とは、例えば、EEPROM(Electrically Erasable and Programmable ROM)に有する。
プログラム領域41は、正当性判定プログラム41aを記憶している。
正当性判定プログラム41aは、ゲートウェイ1の正当性を判定するプログラムである。正当性判定プログラム41aは、例えば、TPMの機能を実行する。
データ領域42は、正当性確認データ42aを記憶している。
正当性確認データ42aは、ゲートウェイ1のプログラム領域21に記憶された各プログラムのハッシュ値と、ハッシュ値に対してデジタル署名をしたものとを、各プログラムの特徴値として予め記憶している。
図2(B)に示すように、正当性確認データ42aは、プログラムごと(ブートローダ、OS、プログラムA,B、・・・)に特徴値を有する。
【0022】
図1に戻り、装置接続部45は、ゲートウェイ1とのインタフェース部である。装置接続部45は、例えば、外部接続用の端子を備える。ICチップ3は、ゲートウェイ1に有するスロット部(図示せず)に差し込むことで、ゲートウェイ1との間で通信を行う。ここで、ICチップ3は、上述したように耐タンパ性を有する。ICチップ3は、装置接続部45以外の経路でデータや処理内容を操作することができない。そして、ICチップ3で実行する機能は、ゲートウェイ1で動作するソフトウェアとは独立に動作する。よって、正当性判定プログラム41aや正当性確認データ42aの内容を、ゲートウェイ1で動作するプログラム等が不正に変更することはできない。
【0023】
<外部装置>端末7は、温度センサ等のセンサ部(図示せず)を備え、センサ部が定期的に検出したデータを、ゲートウェイ1に送信する。
データ収集サーバ8は、各端末7が送信したデータをゲートウェイ1から受信して、データを収集及び解析する。
【0024】
<正当性確認処理>次に、ゲートウェイ1での処理について説明する。
図3及び図4は、本実施形態に係るゲートウェイ1の正当性確認処理のフローチャートである。
図5は、本実施形態に係るゲートウェイ1及びICチップ3の検証処理のフローチャートである。
図3のステップS(以下、「S」という。)10において、ユーザがゲートウェイ1の電源ボタン(図示せず)を操作したことで、ゲートウェイ1の制御部10は、ゲートウェイ1の電源をONにする。
S11において、制御部10(正当性確認要求部13)は、検証処理を行う。
【0025】
ここで、検証処理について、図5に基づき説明する。図5のS50において、ゲートウェイ1の制御部10(正当性確認要求部13)は、ICチップ3に対して正当性確認処理を依頼する。
S51において、ICチップ3の制御部30(正当性確認処理部31)は、ゲートウェイ1からの依頼を受けて、正当性判定プログラム41aを実行する。
S52において、制御部30(正当性確認処理部31)は、ゲートウェイ1に対して、特徴値測定プログラム21bの実行を指示する。
S53において、ゲートウェイ1の制御部10(正当性確認要求部13)は、特徴値測定プログラム21bを実行し、プログラム領域21に記憶されている各プログラムのハッシュ値を算出する。具体的には、まず、制御部10は、ブートローダ部51の特徴値測定プログラム21bを実行し、ブートローダのハッシュ値を算出する。次に、制御部10は、OS部52の特徴値測定プログラム21bを実行し、OSのハッシュ値と、アプリケーション部53の各プログラムのハッシュ値とを算出する。
S54において、制御部10(正当性確認要求部13)は、算出したハッシュ値を、ICチップ3に対して送信する。
【0026】
S55において、ICチップ3の制御部30(正当性確認処理部31)は、ゲートウェイ1からハッシュ値を受信する。S56において、制御部30(正当性確認処理部31)は、受信したハッシュ値からデジタル署名を生成する。
S57において、制御部30(正当性確認処理部31)は、受信したハッシュ値及び生成したデジタル署名である特徴値と、データ領域42に記憶されている正当性確認データ42aとを比較する。なお、制御部30(正当性確認処理部31)は、正当性確認データ42aのハッシュ値を、デジタル署名を使って検証し、そのハッシュ値が改ざんされていないか確認してもよい。
S58において、制御部30(正当性確認処理部31)は、比較結果を、ゲートウェイ1に対して送信する。その後、制御部30は、本処理を終了する。
S59において、ゲートウェイ1の制御部10(正当性確認要求部13)は、比較結果を受信する。その後、制御部10は、処理を図3に移す。
【0027】
図3に戻り、S12において、ゲートウェイ1の制御部10は、比較結果が一致であるか否かを判断する。ゲートウェイ1のプログラム領域21に改ざん等がされていない、つまり、ゲートウェイ1が正当である場合には、比較結果が一致する。他方、ゲートウェイ1のプログラム領域21に改ざん等がされている場合には、比較結果は不一致になる。比較結果が一致である場合(S12:YES)には、制御部10は、処理をS13に移す。他方、比較結果が不一致である場合(S12:NO)には、制御部10(結果処理部14)は、データ収集サーバ8にエラーを通知して(S13a)、電源をOFFにし(S14a)、本処理を終了する。
【0028】
このように、ゲートウェイ1の電源投入時に、ゲートウェイ1の正当性を確認する検証処理を行うことで、ゲートウェイ1が改ざん等されていない正当な状態であるかを判断する。そして、不当であると判断した場合には、ゲートウェイ1は、自身の電源を切断することで、ゲートウェイ1を、通信ネットワークN1及びN2から切り離し、改ざんされたゲートウェイ1を、端末7やデータ収集サーバ8に使用させないようにできる。
【0029】
S13において、ゲートウェイ1の制御部10は、タイマT1及びタイマT2を初期化して計時を開始する。ここで、タイマT1は、ログ領域22をクリアするために使用するものである。また、タイマT2は、端末7から受信したデータを、データ収集サーバ8に対して送信するために使用するものである。S14において、制御部10は、タイマT1が規定時間(消去条件)になったか否かを判断する。規定時間を、例えば、24時間(基準時間)に設定することで、制御部10は、タイマT1が24時間以上になったときに、規定時間になったと判断する。タイマT1が規定時間になった場合(S14:YES)には、制御部10は、処理をS15に移す。他方、タイマT1が規定時間になっていない場合(S14:NO)には、制御部10は、処理を図4のS17に移す。
S15において、制御部10(情報消去部15)は、ログ領域22をクリアする。
S16において、制御部10は、タイマT1を初期化して、計時を開始する。
【0030】
図4のS17において、制御部10(要求処理部11)は、外部装置からデータを受信したか否かを判断する。ここで、外部装置は、端末7や、データ収集サーバ8に限らない。また、データは、端末7から受信した温度データに限らない。例えば、データ収集サーバ8が送信したプログラムの機能を変更するための更新プログラムや、送信時間(後述する)の設定値の変更データ等を含む。データを受信した場合(S17:YES)には、制御部10は、処理をS18に移す。他方、データを受信していない場合(S17:NO)には、制御部10は、処理をS30に移す。S18において、制御部10は、データを受信した外部装置の装置IDを取得する。装置IDは、例えば、外部装置のIPアドレス(Internet Protocol Address)やMACアドレス(Media Access Control address)等であり、外部装置を特定可能な識別情報である。
【0031】
S19において、制御部10(要求処理部11)は、受信したデータを、記憶部20に書き込む書込み処理を行う。その際、制御部10は、データを暗号化してもよい。なお、データの書込みには、更新プログラムを含むと説明した。更新プログラムの場合、正当な者からの更新プログラムの送信であれば、更新プログラムと共に特徴値が送信される。その場合には、制御部10は、記憶部20に対して更新プログラムを書き込み、ICチップ3に特徴値の書込みを指示することで、ICチップ3の制御部30は、データ領域42の正当性確認データ42aに特徴値を書き込む。他方、不当な者からの更新プログラムの送信であれば、更新プログラムのみが送信される。その場合には、制御部10は、記憶部20に対して更新プログラムを書き込む処理のみを行う。
【0032】
S20において、制御部10(装置判定部12)は、S18において取得した装置IDがログ領域22に記憶されているか否かを判断する。取得した装置IDがログ領域22に記憶されている場合(S20:YES)には、制御部10は、処理をS23に移す。他方、取得した装置IDがログ領域に記憶されていない場合(S20:NO)には、制御部10は、処理をS21に移す。S21において、制御部10(正当性確認要求部13)は、図5に示す検証処理を行う。ここでの検証処理は、ゲートウェイ1の電源ON時に行ったものと同じである。
S22において、制御部10は、比較結果が一致であるか否かを判断する。比較結果が一致である場合(S22:YES)には、制御部10は、処理をS23に移す。他方、比較結果が不一致である場合(S22:NO)には、制御部10(結果処理部14)は、データ収集サーバ8に対してゲートウェイ1に不正なアタックがあった旨のエラーを通知し(S23a)、処理をS26に移す。
【0033】
S23において、制御部10(結果処理部14)は、S18で取得した装置IDを、現在日時に対応付けてログ領域22に記憶させる。なお、制御部10は、検証処理を行わなかった場合には、その旨を、ログ領域22に記憶させてもよい。具体的には、制御部10は、S18で取得した装置IDと、現在日時と、検証処理を省略した旨とを対応付けてログ領域22に記憶させる。その後、制御部10は、処理をS25に移す。
【0034】
このように、制御部10は、データの書込み処理の後に、ゲートウェイ1が正当であるか否かを確認する。よって、長時間電源が投入されたままであっても、ゲートウェイ1の正当性を確認できる。そして、データの書込みにより、プログラムが不正に改ざん等された場合であっても、その場合には、特徴値による比較結果が不一致になるので、改ざんを検出できる。また、既に外部装置が正当性を確認できたものである場合には、次にその外部装置からデータを受信して書込みした後には、検証処理を省略する。よって、データの書込みがあった都度、常に検証処理を行わずに済む。
【0035】
S25において、ゲートウェイ1のユーザが電源ボタン(図示せず)を操作したことで、制御部10は、電源OFFを受け付けたか否かを判断する。電源OFFを受け付けた場合(S25:YES)には、制御部10は、処理をS26に移す。他方、電源OFFを受け付けていない場合(S25:NO)には、制御部10は、処理を図3のS14に移す。S26において、制御部10は、電源をOFFにして本処理を終了する。
【0036】
他方、S30において、制御部10は、タイマT2が送信時間になったか否かを判断する。ゲートウェイ1では、例えば、30分等の送信タイミングになった場合に、端末7から受信し記憶部20に記憶されたデータを、データ収集サーバ8にまとめて送信する。タイマT2が送信時間になった場合(S30:YES)には、制御部10は、処理をS31に移す。他方、タイマT2が送信時間になっていない場合(S30:NO)には、制御部10は、処理をS25に移す。S31において、制御部10は、記憶部20に記憶された書込みデータを、データ収集サーバ8に対して送信する。また、制御部10は、送信済のデータを記憶部20から削除する。
S32において、制御部10は、タイマT2を初期化して、計時を開始する。その後、制御部10は、処理をS25に移す。
【0037】
このように、本実施形態によれば、ゲートウェイ1は、以下のような効果がある。(1)データが書き込まれる度に、ゲートウェイ1に対して不正な改ざん等がされたか否かを検証できる。そして、不正な改ざん等が行われた場合には、例えば、ゲートウェイ1の電源を切断するので、ゲートウェイ1を通信ネットワークN1及びN2から切り離すことができ、ゲートウェイ1の使用を制限できる。
(2)ゲートウェイ1の起動時にも検証処理を行うことで正当性を確認できる。よって、ゲートウェイ1の電源が切断されている間に不正な行為等がされ改ざんがされた場合であっても、それを検出できる。
【0038】
(3)書込みデータの送信元の外部装置は、記憶部20に書込み後にゲートウェイ1の正当性が確認できた場合には、その後に同じ外部装置から書込みデータを受信したときに、正当性確認を行わない。よって、信頼性のある外部装置からのデータの書込み要求に対しては、検証処理を省略することで、処理を簡単にできる。(4)検証処理の省略は、信頼された外部装置からであれば常に行うわけではなく、所定の場合には、再度検証処理を実行することで、正当性の確認を行う。そのため、常に正当性確認を省略することへの弊害を是正できる。
所定の場合として、例えば、最初に正当性を確認してから24時間を経過した場合等、時間の経過に応じて正当性の確認を行わせるようにできる。
【0039】
(5)ゲートウェイ1を通信ネットワークN2から切り離す前に、データ収集サーバ8にエラーを通知することで、データ収集サーバ8では、データ送信元のゲートウェイ1が不正になっていることを判別できる。(6)正当性判定プログラム41aを、ICチップ3のセキュアな記憶領域に有するようにすることで、正当性判定プログラム41aの改ざんを防止できる。よって、正当性判定プログラム41aの信頼性を、高いものにできる。
【0040】
以上、本発明の実施形態について説明したが、本発明は上述した実施形態に限定されるものではない。また、実施形態に記載した効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載したものに限定されない。なお、上述した実施形態及び後述する変形形態は、適宜組み合わせて用いることもできるが、詳細な説明は省略する。
【0041】
(変形形態)(1)本実施形態では、専用装置としてのゲートウェイ1を説明した。しかし、ゲートウェイ1は、例えば、パーソナルコンピュータ(PC)、Wi−Fiルータ、携帯電話機、情報家電、自動車、組込システム等の様々な機器であってもよい。ゲートウェイ1は、M2M(Machine to Machine)のような、機器と機器とが通信ネットワークを介して互いに情報を通信することにより、自律的に高度な制御や動作を行うシステムへの適用に有用である。
(2)本実施形態では、ICチップ3をゲートウェイ1に対して接続部を介して接続するものとして説明した。しかし、ICチップは、ゲートウェイに対して取外しが可能であるか否かに限定されるものではない。よって、ICチップは、ゲートウェイに内蔵された組み込みのものでもよい。例えば、ICチップを、マザーボードに装着させてもよい。そのようにすることで、ICチップを取り替えることができないので、ゲートウェイの正当性をより確実に確認できる。
(3)本実施形態では、工場内での温度管理のためのシステムとして説明したが、これに限定されない。例えば、IOT(Internet of Things)を用いたシステム等、様々な用途に活用できる。
【0042】
(4)本実施形態では、ICチップ3に正当性判定プログラム41aを有するものとして説明した。しかし、ゲートウェイに正当性判定プログラムを有してもよい。そのようにすることで、ICチップに有する検証機能を、ゲートウェイに持たせることができる。(5)本実施形態では、ゲートウェイ1は書込み要求を受信して書き込む処理を行うものとして説明したが、これに限定されない。ゲートウェイの記憶部に対して記憶させる処理であればよく、例えば、書き換え処理を含んでもよい。
【0043】
(6)本実施形態では、検証に使用する特徴値を、ハッシュ値と、ハッシュ値に対するデジタル署名とであるして説明したが、これに限定されない。例えば、ハッシュ値そのものであってもよい。但し、デジタル署名を含む方が、さらにセキュリティが向上する。(7)本実施形態では、各プログラムのハッシュ値に基づいてゲートウェイの正当性を確認するものとして説明したが、これに限定されない。各プログラムに加えて、例えば、広域通信部や近距離通信部等のハードウェアのハッシュ値に基づいてゲートウェイの正当性を確認してもよい。
【0044】
(8)本実施形態では、ゲートウェイ1の特徴値測定プログラム21bは、ブートローダ部51とOS部52とに分散されて記憶するものとして説明した。そして、OS部52の特徴値測定プログラム21bがアプリケーション部53の各プログラムのハッシュ値をも算出するものとして説明した。しかし、アプリケーション部の各プログラムにも、特徴値測定プログラムを有するようにしてもよい。また、特徴値測定プログラムは、1つのみとし、例えば、OS部にのみ有するようにしてもよい。(9)本実施形態では、ゲートウェイ1の特徴値測定プログラム21bは、ハッシュ値を算出し、ICチップ3にハッシュ値を送信するものとして説明した。しかし、ハッシュ値を算出するプログラムと、算出したハッシュ値を送信するプログラムとは、別のプログラムであってもよい。また、正当性確認プログラムに特徴値測定プログラムの機能を有するようにしてもよい。
【0045】
(10)本実施形態では、ログ領域22の消去条件を、最初に検証処理を行ってから24時間が経過した後として説明した。しかし、これに限定されない。例えば、基準日時に達した場合(○時△分等)であってもよい。また、ゲートウェイに判定回数部を備え、検証処理を省略した回数(例えば、5回等)に応じてログ領域を消去してもよい。さらに、ログ領域の消去条件を、時間と回数とを組み合わせたものにしてもよい。
【符号の説明】
【0046】
1 ゲートウェイ3 ICチップ
7 端末
8 データ収集サーバ
10,30 制御部
11 要求処理部
12 装置判定部
13 正当性確認要求部
14 結果処理部
15 情報消去部
20,40 記憶部
21,41 プログラム領域
21a 装置プログラム
21b 特徴値測定プログラム
22 ログ領域
31 正当性確認処理部
41a 正当性判定プログラム
42a 正当性確認データ
100 情報処理システム
N1,N2 通信ネットワーク