知財求人 - 知財ポータルサイト「IP Force」
特開2024-168368IoTデバイス、および、セキュアエレメントの交換方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024168368
(43)【公開日】2024-12-05
(54)【発明の名称】IoTデバイス、および、セキュアエレメントの交換方法
(51)【国際特許分類】
H04L 9/10 20060101AFI20241128BHJP
H04L 9/14 20060101ALI20241128BHJP
【FI】
H04L9/10 A
H04L9/14
【審査請求】未請求
【請求項の数】7
【出願形態】OL
(21)【出願番号】P 2023084970
(22)【出願日】2023-05-23
(71)【出願人】
【識別番号】000002897
【氏名又は名称】大日本印刷株式会社
(74)【代理人】
【識別番号】100122529
【弁理士】
【氏名又は名称】藤枡 裕実
(74)【代理人】
【識別番号】100135954
【弁理士】
【氏名又は名称】深町 圭子
(74)【代理人】
【識別番号】100119057
【弁理士】
【氏名又は名称】伊藤 英生
(74)【代理人】
【識別番号】100131369
【弁理士】
【氏名又は名称】後藤 直樹
(74)【代理人】
【識別番号】100171859
【弁理士】
【氏名又は名称】立石 英之
(72)【発明者】
【氏名】高田 憲一
(72)【発明者】
【氏名】木下 靖夫
(72)【発明者】
【氏名】平野 晋健
(72)【発明者】
【氏名】福永 正剛
(72)【発明者】
【氏名】高橋 憲介
(72)【発明者】
【氏名】嘉瀬 悠太
(57)【要約】
【課題】セキュアエレメントを交換可能なIoTデバイスを提供する。
【解決手段】IOTデバイスであるスマートメーター2は、セキュアエレメント3(SE3)を装着する2つのスロット201と、空きスロットになっている一方のスロット201(第2スロット201b)に新規のSE3(対策後SE3b)が装着されたことを検知すると、もう一方のスロット201(第1スロット201a)に装着されている既存のSE3(危殆化SE3a)を無効にしてSE3を切替える切替え処理を実行するMCU200を備えている。
【選択図】図4
【解決手段】IOTデバイスであるスマートメーター2は、セキュアエレメント3(SE3)を装着する2つのスロット201と、空きスロットになっている一方のスロット201(第2スロット201b)に新規のSE3(対策後SE3b)が装着されたことを検知すると、もう一方のスロット201(第1スロット201a)に装着されている既存のSE3(危殆化SE3a)を無効にしてSE3を切替える切替え処理を実行するMCU200を備えている。
【選択図】図4
【特許請求の範囲】
【請求項1】
セキュアエレメントを装着する2つのスロットと、
空きスロットになっている一方の前記スロットに新規のセキュアエレメントが装着されたことを検出すると、使用するセキュアエレメントを、もう一方の前記スロットに装着されている既存のセキュアエレメントから前記新規のセキュアエレメントに切替える切替え処理を実行するMCU(Micro Controller Unit)を、
備えたIoTデバイス。
空きスロットになっている一方の前記スロットに新規のセキュアエレメントが装着されたことを検出すると、使用するセキュアエレメントを、もう一方の前記スロットに装着されている既存のセキュアエレメントから前記新規のセキュアエレメントに切替える切替え処理を実行するMCU(Micro Controller Unit)を、
備えたIoTデバイス。
【請求項2】
前記切替え処理を実行する前に、前記新規のセキュアエレメントと前記既存のセキュアエレメントを互いに認証させる認証処理を実行し、前記認証処理が成功した場合のみ、前記切替え処理を実行する前記MCUを備えた、
請求項1に記載したIoTデバイス。
請求項1に記載したIoTデバイス。
【請求項3】
前記認証処理が成功した後、前記既存のセキュアエレメントが記憶している秘密情報を取得して前記新規のセキュアエレメントに書き込む秘密情報移行処理を実行してから、前記切替え処理を実行する前記MCUを備えた、
請求項2に記載したIoTデバイス。
請求項2に記載したIoTデバイス。
【請求項4】
暗号アルゴリズムが危殆化したセキュアエレメントを前記既存のセキュアエレメントとし、暗号アルゴリズムの危殆化に対策を施したセキュアエレメントを前記新規のセキュアエレメントとした、
請求項1から3のいずれか一つに記載したIoTデバイス。
請求項1から3のいずれか一つに記載したIoTデバイス。
【請求項5】
セキュアエレメントを装着する2つのスロットを備えたIoTデバイスのMCU(Micro Controller Unit)が、空きスロットになっている一方の前記スロットに新規のセキュアエレメントが装着されたことを検出するステップa、
前記MCUが、使用するセキュアエレメントを、もう一方の前記スロットに装着されている既存のセキュアエレメントから前記新規のセキュアエレメントに切替える切替え処理を実行するステップb、
を含むセキュアエレメントの交換方法。
前記MCUが、使用するセキュアエレメントを、もう一方の前記スロットに装着されている既存のセキュアエレメントから前記新規のセキュアエレメントに切替える切替え処理を実行するステップb、
を含むセキュアエレメントの交換方法。
【請求項6】
前記MCUが、前記新規のセキュアエレメントと前記既存のセキュアエレメントを互いに認証させる認証処理を実行するステップcをさらに含み、
前記MCUは、前記ステップaを実行した後に前記ステップcを実行し、前記ステップcにおいて前記認証処理が成功した場合のみ、前記ステップbを実行する、
請求項5に記載したセキュアエレメントの交換方法。
前記MCUは、前記ステップaを実行した後に前記ステップcを実行し、前記ステップcにおいて前記認証処理が成功した場合のみ、前記ステップbを実行する、
請求項5に記載したセキュアエレメントの交換方法。
【請求項7】
前記MCUが、前記既存のセキュアエレメントが記憶している秘密情報を取得して前記新規のセキュアエレメントに書き込む秘密情報移行処理を実行するステップdをさらに含み、
前記MCUは、前記ステップcを実行してから前記ステップdを実行する、
請求項6に記載したセキュアエレメントの交換方法。
前記MCUは、前記ステップcを実行してから前記ステップdを実行する、
請求項6に記載したセキュアエレメントの交換方法。
【発明の詳細な説明】
【技術分野】
【0001】
本願で開示する発明は、IoTデバイスに関する。
【背景技術】
【0002】
物理的オブジェクトであるモノによりネットワークを構成するIoT(Internet of Things)が普及している。IoTを構成するモノとなるデバイスは、IoTデバイスと呼ばれている。IoTデバイスは、IoTネットワークを介して、リモートサーバとネットワーク通信する。
【0003】
IoTデバイスは、屋外に設置されることが多い。例えば、IoTデバイスの1つであるスマートメーターは、スマートメーターに表示される指示数を目視で確認し易い建屋の位置に設置される。このため、IoTデバイスでは、IoTデバイスとリモートサーバの間でやり取りするデータの改ざんリスクおよび漏洩リスクが高くなる。そこで、IoTデバイスとリモートサーバの間でやり取りするデータを暗号化することが推奨されている。
【0004】
外部からのサイバー攻撃に対するIoTデバイスの耐タンパー性が低いと、データの暗号化に用いる秘密情報(例えば、暗号鍵)の漏洩リスクが高くなる。このため、外部からのサイバー攻撃に対する耐タンパー性が高いセキュアエレメントをIoTデバイスに実装し、IoTデバイスとリモートサーバの間でやり取りするデータの暗号化に係る処理を、このセキュアエレメントに行わせている(例えば、特許文献1)。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2012-113670号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
IoTデバイスとリモートサーバの間でやり取りするデータの暗号化で使用する暗号アルゴリズムに脆弱性が見つかり、この暗号アルゴリズムが非推奨になった場合、非推奨になった暗号アルゴリズムを非推奨になっていない暗号アルゴリズムに更新する必要がある。
【0007】
暗号アルゴリズムを更新する手法としては、セキュアエレメントに実装されたファームウェアを更新する手法もあるが、この手法は、セキュアエレメントのファームウェアが電気的に書き換え可能な不揮発性メモリに記憶されている場合に限定される。セキュアエレメントのファームウェアが電気的に書き換え不可能な不揮発性メモリに記憶されている場合、暗号アルゴリズムを更新するためには、セキュアエレメントの交換が必要になる。
【0008】
本願では、セキュアエレメントを交換可能なIoTデバイスを提供する。
【課題を解決するための手段】
【0009】
本願で開示する第1発明は、セキュアエレメントを装着する2つのスロットと、空きスロットになっている一方の前記スロットに新規のセキュアエレメントが装着されたことを検出すると、使用するセキュアエレメントを、もう一方の前記スロットに装着されている既存のセキュアエレメントから前記新規のセキュアエレメントに切替える切替え処理を実行するMCU(Micro Controller Unit)を備えたIoTデバイスである。
第1発明に係るIoTデバイスでは、セキュアエレメントを装着する2つのスロットが設けられる。このため、第1発明に係るIoTデバイスは、前記既存のセキュアエレメントに加え、前記新規のセキュアエレメントを装着するための空きスロットを備えることになる。空きスロットになっている前記スロットに前記新規のセキュアエレメントが装着されると、前記既存のセキュアエレメントと前記新規のセキュアエレメントが共に有効になる。第1発明に係るIoTデバイスでは、前記新規のセキュアエレメントが装着された後、前記MCUが、前記既存のセキュアエレメントのみを無効にすることで、サービスに係る処理を中断することなく、本願に係るIoTデバイスが使用するセキュアエレメントを切替えられる。
第1発明において、不正なセキュアエレメントが装着されていないことを確認できるように、前記MCUは、前記切替え処理を実行する前に、前記新規のセキュアエレメントと前記既存のセキュアエレメントを互いに認証させる認証処理を実行し、前記認証処理が成功した場合のみ、前記切替え処理を実行することが望ましい。
また、第1発明において、前記既存のセキュアエレメントが記憶している秘密情報を前記新規のセキュアエレメントに移行できるように、前記MCUは、前記認証処理が成功した後、前記既存のセキュアエレメントが記憶している秘密情報を取得して前記新規のセキュアエレメントに書き込む秘密情報移行処理を実行してから、前記切替え処理を実行することが好適である。
なお、第1発明では、暗号アルゴリズムが危殆化したセキュアエレメントを前記既存のセキュアエレメントとし、暗号アルゴリズムの危殆化に対策を施したセキュアエレメントを前記新規のセキュアエレメントとすることが好適である。
第1発明に係るIoTデバイスでは、セキュアエレメントを装着する2つのスロットが設けられる。このため、第1発明に係るIoTデバイスは、前記既存のセキュアエレメントに加え、前記新規のセキュアエレメントを装着するための空きスロットを備えることになる。空きスロットになっている前記スロットに前記新規のセキュアエレメントが装着されると、前記既存のセキュアエレメントと前記新規のセキュアエレメントが共に有効になる。第1発明に係るIoTデバイスでは、前記新規のセキュアエレメントが装着された後、前記MCUが、前記既存のセキュアエレメントのみを無効にすることで、サービスに係る処理を中断することなく、本願に係るIoTデバイスが使用するセキュアエレメントを切替えられる。
第1発明において、不正なセキュアエレメントが装着されていないことを確認できるように、前記MCUは、前記切替え処理を実行する前に、前記新規のセキュアエレメントと前記既存のセキュアエレメントを互いに認証させる認証処理を実行し、前記認証処理が成功した場合のみ、前記切替え処理を実行することが望ましい。
また、第1発明において、前記既存のセキュアエレメントが記憶している秘密情報を前記新規のセキュアエレメントに移行できるように、前記MCUは、前記認証処理が成功した後、前記既存のセキュアエレメントが記憶している秘密情報を取得して前記新規のセキュアエレメントに書き込む秘密情報移行処理を実行してから、前記切替え処理を実行することが好適である。
なお、第1発明では、暗号アルゴリズムが危殆化したセキュアエレメントを前記既存のセキュアエレメントとし、暗号アルゴリズムの危殆化に対策を施したセキュアエレメントを前記新規のセキュアエレメントとすることが好適である。
【0010】
本願で開示する第2発明は、セキュアエレメントを装着する2つのスロットを備えたIoTデバイスのMCU(Micro Controller Unit)が、空きスロットになっている一方の前記スロットに新規のセキュアエレメントが装着されたことを検出するステップa、前記MCUが、使用するセキュアエレメントを、もう一方の前記スロットに装着されている既存のセキュアエレメントから前記新規のセキュアエレメントに切替える切替え処理を実行するステップbを含むセキュアエレメントの交換方法である。
第2発明では、不正なセキュアエレメントが装着されていないことを確認できるように、前記MCUが、前記新規のセキュアエレメントと前記既存のセキュアエレメントを互いに認証させる認証処理を実行するステップcを含ませ、前記MCUは、前記ステップaを実行した後に前記ステップcを実行し、前記ステップcにおいて前記認証処理が成功した場合のみ、前記ステップbを実行することが好適である。
また、第2発明では、前記既存のセキュアエレメントが記憶している秘密情報を前記新規のセキュアエレメントに移行できるように、前記MCUが、前記既存のセキュアエレメントが記憶している秘密情報を取得して前記新規のセキュアエレメントに書き込む秘密情報移行処理を実行するステップdを含ませ、前記MCUは、前記ステップcを実行してから前記ステップdを実行することが好適である。
第2発明では、不正なセキュアエレメントが装着されていないことを確認できるように、前記MCUが、前記新規のセキュアエレメントと前記既存のセキュアエレメントを互いに認証させる認証処理を実行するステップcを含ませ、前記MCUは、前記ステップaを実行した後に前記ステップcを実行し、前記ステップcにおいて前記認証処理が成功した場合のみ、前記ステップbを実行することが好適である。
また、第2発明では、前記既存のセキュアエレメントが記憶している秘密情報を前記新規のセキュアエレメントに移行できるように、前記MCUが、前記既存のセキュアエレメントが記憶している秘密情報を取得して前記新規のセキュアエレメントに書き込む秘密情報移行処理を実行するステップdを含ませ、前記MCUは、前記ステップcを実行してから前記ステップdを実行することが好適である。
【発明の効果】
【0011】
本願で開示する発明では、セキュアエレメントを装着する2つのスロットを一つのIoTデバイスに設け、使用するセキュアエレメントを切替えられるようにIoTデバイスを構成している。
【図面の簡単な説明】
【0012】
【図1】スマートメーターシステムを説明する図。
【図2】スマートメーターの構造を示した図。
【図3】セキュアエレメント(SE)のブロック図。
【図4】スマートメーターのブロック図。
【図5】セキュアエレメント(SE)を切替える手順を説明する図。
【図6】スマートメーターのMCUが実行する処理を説明する第1図。
【図7】スマートメーターのMCUが実行する処理を説明する第2図。
【発明を実施するための形態】
【0013】
ここから,本発明に係る実施形態について記載する。本実施形態は、本願で開示する発明の理解を容易にするためのものである。本願で開示する発明は、本実施形態に限定されるものではない。また、特に断りのない限り、図面は、本願で開示する発明の理解を容易にするために描かれた模式的な図である。
【0014】
本実施形態では、本願で開示する発明を適用するIoTデバイスをスマートメーターとしている。これは、現時点において、スマートメーターは、世の中で普及しているIoTデバイスの1つだからである。当然のことながら、本願で開示する発明を適用するIoTデバイスは、スマートメーターに限定されない。本願で開示する発明は、自動車分野、ホームセキュリティ分野、医療分野などにおいて利用される様々なIoTデバイスに適用可能である。
【0015】
図1は、スマートメーター2を利用するスマートメーターシステム1を説明する図である。図1で図示したスマートメーターシステム1は、家庭などの電力使用量をデジタルで計量する機能を備えたスマートメーター2と、スマートメーター2ごとに電力使用量の計量データを管理するリモートサーバ4を含んでいる。
【0016】
リモートサーバ4はWAN6(Wide Area Network)と接続している。スマートメーター2がWAN6に接続する態様は一つではない。図1で図示したスマートメーター2aは、FAN5(Field Area Network)を介してWAN6と接続している。また、スマートメーター2bは、FAN5を介さずにWAN6と接続している。
【0017】
FAN5とは、FAN5と接続しているスマートメーター2aの計量データを、コンセントレータとも呼ばれる集約装置5aで収集してリモートサーバ4へ送信するように構築された自営網である。FAN5に接続するスマートメーター2aは、無線マルチホップ方式で計量データを集約装置5aへ送信する。無線マルチホップ方式とは、他の機器(ここでは、スマートメーター2a)を中継器として利用する通信方式である。FAN5を介さずにWAN6と接続しているスマートメーター2bの通信方式は、1:N無線通信(例えば、5G)やPLC(Power Line Communication)になる。
【0018】
このように、スマートメーター2が計量した電力使用量に係る計量データは、公衆網であるWAN6を介してリモートサーバ4へ届く。FAN5に接続しているスマートメーター2aの場合、スマートメーター2aの計量データは、他のスマートメーター2aを経由して集約装置5aへ届き、集約装置5aを経由してリモートサーバ4へ届く。このため、スマートメーター2の分野では、スマートメーター2がリモートサーバ4へ送信する計量データを、スマートメーター2で固有な鍵で暗号化することが推奨されている。
【0019】
図2では、本願で開示する発明を適用するIoTデバイスとなるスマートメーター2の構造を示している。図2で図示した通り、スマートメーター2は、計量部20、端子部21および通信部22を備えている。計量部20と端子部21を分離することで、計量部20を交換するスマートメーター2の近辺を停電させることなく、計量部20の交換工事を行える。計量部20と通信部22を分離することで、スマートメーター2の設置場所に合わせて通信方式を変えられる。
【0020】
スマートメーター2の計量部20は、単位時間当たり(例えば、30分)の電力使用量を計測する機能を有している。スマートメーター2の計量部20には、電力使用量に係る計量データを表示するディスプレイ203が設けられている。通信部22には、スマートメーター2がリモートサーバ4とデータのやりとり行うための通信回路が実装される。
【0021】
上述した通り、スマートメーター2では、リモートサーバ4へ送信する計量データを、スマートメーター2で固有な鍵で暗号化することが推奨されている。本実施形態では、スマートメーター2のセキュリティを高めるために、外部からのサイバー攻撃に対する耐タンパー性を有し、計量データを暗号化する機能を備えたセキュアエレメント3(以下、SEと記す。SEは、Secure Elementの略)をスマートメーター2に実装している。本実施形態において、リモートサーバ4に送信する計量データの暗号化に用いる暗号鍵などの秘密情報はSE3に記憶される。
【0022】
図3は、本実施形態に係るSE3のブロック図である。図3で示したごとく、SE3は、CPU30(Central Processing Unit)、ROM31(Read Only Memory)、RAM32(Random Access Memory)、NVM33 (Non-volatile memory)、コプロセッサ34、および、周辺機能35を備えている。CPU30は、SE3を制御する演算装置である。ROM31は、電気的に書き換え不可能な不揮発性メモリである。RAM32は、電気的に書き換え可能な揮発性メモリである。NVM33は、電気的に書き換え可能な不揮発性メモリである。コプロセッサ34は、暗号演算に特化した演算装置である。周辺機能35は、SE3の動作に必要な様々な図外の回路を意味している。例えば、周辺機能35は、SE3の通信回路を含む。
【0023】
SE3が備えるNVM33には、リモートサーバ4に送信するデータの暗号化に用いる暗号鍵などの秘密情報が記憶される。SE3のRAM32には、端末から受信した情報などが一時的に記憶される。SE3のROM31には、リモートサーバ4に送信するデータの暗号化処理など、スマートメーター2に必要な処理をCPU30に行わせるためのコンピュータプログラムが実装される。コンピュータプログラムをROM31に実装することで、コンピュータプログラムの改ざんを防止できる。ただし、リモートサーバ4に送信するデータの暗号化処理に用いる暗号アルゴリズムに脆弱性が見つかり、この暗号アルゴリズムが危殆化して、暗号アルゴリズムの更新が必要になると、SE3の交換が必要になる。
【0024】
本実施形態では、リモートサーバ4へ送信するデータの暗号化処理に用いる暗号アルゴリズムの危殆化に備えて、スマートメーター2に実装するSE3を交換できようにする。SE3の交換を容易にするため、図3で図示したSE3は、SIMカード形状のカード媒体36に実装されている。SE3は、樹脂モールドされた状態で、接点端子37の裏面に実装されている。
【0025】
図4は、本実施形態に係るスマートメーター2のブロック図である。図4では示していないが、スマートメーター2の端子部21は、電力事業者の電線と接続する端子と、計量部20と接続する端子を有する。端子部21を介して、計量部20と通信部22に電力が供給される。通信部22は、スマートメーター2が対応した通信方式を行うための回路である。例えば、通信部22は、無線マルチホップにより通信するための回路である。
【0026】
計量部20は、スマートメーター2が設置された場所(例えば、建屋)に係る電力使用量を計量する機能を有している。図4で図示した通り、計量部20は、MCU200(Micro Controller Unit)、電力センサ202、ディスプレイ203を備えている。図4において、電力センサ202およびディスプレイ203それぞれはMCU200と接続している。
【0027】
電力センサ202は、端子部21を利用して電線に接続し、電線に流れる電流と電線の間の電圧を計測するセンサである。
【0028】
ディスプレイ203は、電力使用量に係る計量データなどを表示するメーターである。ディスプレイ203には、液晶ディスプレイが利用されている。ディスプレイ203に表示する値は、単位時間当たり(例えば、30分)の計量データではなく、過去に計量した計量データの積算値である。
【0029】
本実施形態に係るスマートメーター2の計量部20は、SE3を装着するスロット201を備える。図4では、スロット201の詳細を示していないが、スロット201は、接点端子37に含まれる端子それぞれと接触するピン端子を備えている。
【0030】
本実施形態では、スマートメーター2に実装するSE3を交換できようにする。このため、本実施形態に係るスマートメーター2は、SE3を装着するスロット201を2つ備えている。SE3を装着する2つのスロット201の構造は同じである。本実施形態では、便宜的に、2つのスロット201の1つを第1スロット201a(図4では左側)と呼び、もう1つを第2スロット201b(図4では右側)と呼んでいる。第1スロット201aおよび第2スロット201bそれぞれはMCU200と接続している。
【0031】
2つのスロット201のうちの一方は空きスロットになる。空きスロットとは、SE3が装着されていないスロット201を意味している。本実施形態では、便宜的に、暗号アルゴリズムが危殆化したSE3を危殆化SE3aと呼び、暗号アルゴリズムの危殆化に対策を施したSE3を対策後SE3bと呼んでいる。図4において、危殆化SE3aは、空きスロットになっていないもう一方の第1スロット201aに装着されている。危殆化SE3aを対策後SE3bに切替える際、対策後SE3bは、空きスロットになっている第2スロット201bに装着される。
【0032】
MCU200は、マイクロプロセッサとメモリなどを一つに集積したチップである。MCU200は、コンピュータプログラムによって実現される機能として、電力センサ202を利用して単位時間あたり(例えば、30分)の電力使用量を計量する機能と、通信部22を利用して、リモートサーバ4と通信する機能を備えている。更に、本実施形態において、MCU200は、コンピュータプログラムによって実現される機能として、SE3の切替えに係る処理を実行する機能を備える。
【0033】
図5は、SE3を交換する手順を説明する図である。スマートメーター2で使用するSE3を交換する際、作業者の操作によって、新規のSE3が空きスロットになっているスロット201に装着される(ステップS1)。新規のSE3が、空きスロットになっているスロット201に装着されると、スマートメーター2は、空きスロットになっているスロット201に装着された新規のSE3を検出する(ステップS2)。空きスロットに装着された新規のSE3を検出すると、スマートメーター2は、使用するセキュアエレメントを、もう一方の前記スロットに装着されている既存のセキュアエレメントから前記新規のセキュアエレメントに切替える切替え処理を実行する(ステップS3)。スマートメーター2は、SE3を切替える切替え処理において、既存のSE3を無効にする。切替え処理を実行すると、スマートメーター2は、既存のSE3の取り外しを指示し(ステップS4)、作業者によって、既存のSE3がスマートメーター2から取り外される(ステップS5)。既存のSE3がスマートメーター2から取り外されることによって、既存のSE3が装着されていたスロット201が空きスロットになる(ステップS6)。
【0034】
MCU200は、SE3の交換に係る処理として、図5を用いて説明した手順を実施する処理を実行する。図6は、スマートメーター2のMCU200が実行する処理を説明する第1図である。図7は、スマートメーター2のMCU200が実行する処理を説明する第2図である。図6,図7の説明は、本願に係るセキュアエレメントの交換方法の説明も兼ねている。なお、図6,図7において、既存のSE3は、暗号アルゴリズムが危殆化した危殆化SE3aで、新規のSE3は、暗号アルゴリズムの危殆化に対策を施した対策後SE3bである。また、対策後SE3bをスマートメーター2に装着させる前、第2スロット201bが空きスロットになっている。
【0035】
MCU200は、新規のSE3となる対策後SE3bが空きスロットになっている第2スロット201bに装着されたことを検出すると(ステップS10)、第2スロット201bに装着された対策後SE3bをリセットし(ステップS11)、対策後SE3bは、リセット応答をMCU200に返信する(ステップS12)。MCU200は、対策後SE3bからリセット応答を受信することで、空きスロットに装着された対策後SE3bを検出する。対策後SE3bが第2スロット201bに装着されたことを検出する手法は任意である。センサを用いて、対策後SE3bが第2スロット201bに装着されたことを検出してもよい。また、接点端子37にスロット201のピン端子が接触していることを電気的に検出してもよい。
【0036】
第2スロット201bに装着された対策後SE3bを検出すると、MCU200は、図6のステップS21に処理を進め、スマートメーター2で使用するSE3を切替える切替え処理を実行してもよい。本実施形態では、SE3の切替えに係るセキュリティを高めるために、MCU200は、危殆化SE3aと対策後SE3bを互に認証させる認証処理を実行し、不正なSE3がスマートメーター2に装着されていないか確認する。なお、危殆化SE3aと対策後SE3bを互に認証させる認証処理を実行する際、危殆化SE3aと対策後SE3bとの間にセキュアチャネルを構築することが望ましい、
【0037】
危殆化SE3aと対策後SE3bを相互に認証させる際、スマートメーター2のMCU200は、認証コマンドメッセージの送信を危殆化SE3aに要求し(ステップS13)、危殆化SE3aは、危殆化SE3aの認証コマンドメッセージをMCU200に返信する(ステップS14)。認証コマンドメッセージの送信をSE3に要求する方法としては、認証コマンドメッセージをデータとしてSE3に記憶させ、読取りコマンドによりこのデータを読み取る方法が考えられる。また、コマンドメッセージの送信を要求する特別なコマンドをSE3に実装させる方法も考えられる。
【0038】
危殆化SE3aの認証コマンドメッセージを取得すると、MCU200は、危殆化SE3aの認証コマンドメッセージを対策後SE3bに送信する(ステップS15)。危殆化SE3aの認証コマンドメッセージは、危殆化SE3aの認証情報を含む。公開鍵暗号方式を用いる場合、例えば、危殆化SE3aの認証情報を、危殆化SE3aの公開鍵証明書と、危殆化SE3aの秘密鍵を用いて生成した公開鍵証明書の電子署名にできる。共通鍵暗号方式を用いる場合、例えば、危殆化SE3aの認証情報を、共通鍵のすべてまたは一部を共通鍵で暗号化した乱数の暗号文にできる。
【0039】
対策後SE3bは、危殆化SE3aの認証コマンドメッセージをMCU200から受信すると、危殆化SE3aの認証コマンドメッセージに含まれる危殆化SE3aの認証情報を認証し、危殆化SE3aの認証コマンドメッセージの実行結果をMCU200に返信する(ステップS16)。
【0040】
危殆化SE3aの認証コマンドメッセージの実行結果によって認証成功が示される場合、MCU200は、認証コマンドメッセージの送信を対策後SE3bに要求し(ステップS17)、対策後SE3bは、対策後SE3bの認証コマンドメッセージをMCU200に返信する(ステップS18)。なお、本実施形態では、認証コマンドメッセージの送信を対策後SE3bに要求しているが、危殆化SE3aの認証コマンドメッセージの実行結果に対策後SE3bの認証コマンドメッセージを含ませてもよい。
【0041】
対策後SE3bの認証コマンドメッセージを取得すると、MCU200は、対策後SE3bの認証コマンドメッセージを危殆化SE3aに送信する(ステップS19)。危殆化SE3aの認証コマンドメッセージと同様に、対策後SE3bの認証コマンドメッセージは、対策後SE3bの認証情報を含んでいる。危殆化SE3aは、対策後SE3bの認証コマンドメッセージをMCU200から受信すると、対策後SE3bの認証コマンドメッセージに含まれる対策後SE3bの認証情報を認証し、対策後SE3bの認証コマンドメッセージの実行結果をMCU200に返信する(ステップS20)。図6のステップS13からステップ20が、MCU200が実行する認証処理の詳細な説明になる。
【0042】
対策後SE3bの認証コマンドメッセージの実行結果によって認証成功が示される場合、MCU200は、スマートメーター2で使用するSE3を危殆化SE3aから対策後SE3bに切り替える切替え処理を実行する(ステップS21)。切替え処理において、MCU200は、既存のSE3となる危殆化SE3aを無効にする。危殆化SE3aを無効にする手法は任意である。スマートメーター2のMUCが使用するスロット201を、危殆化SE3aが装着されている第1スロット201aから対策後SE3bが装着された第2スロット201bに変更することで、危殆化SE3aを無効にできる。また、危殆化SE3aへの電力供給を止めることで、危殆化SE3aを無効にできる。さらに、SE3の識別番号を用いてSE3にアクセスする場合、MCU200が記憶している危殆化SE3aの識別番号を削除することで、危殆化SE3aを無効にできる。
【0043】
スマートメーター2で使用するSE3を危殆化SE3aから対策後SE3bに切り替えると、MCU200は、危殆化SE3aの取り外し指示をディスプレイに表示し(ステップS22)、作業を行う作業者によって、危殆化SE3aが取り外される。次に、MCU200は、危殆化SE3aが実装されていた第1スロット201aが空きスロットになっているか判定する(ステップS23)。例えば、第1スロット201aのピン端子がSE3の接触端子38と接触していないか電気的に判定することで、第1スロット201aが空きスロットになったと判定できる。MCU200は、第1スロット201aが空きスロットになっていると判定すると、SE3を切替えたことをリモートサーバ4へ送信して(ステップS24)、図6の手順は終了する。
【0044】
リモートサーバ4との通信に用いる暗号鍵などの秘密情報がSE3に保存されることがある。危殆化SE3aから対策後SE3bに切替えた場合、危殆化SE3aの秘密情報を対策後SE3bに自動的に移行できることが望まれる。図7のステップS30からステップS33が、図6から追加したステップになり、秘密情報移行処理に係るステップになる。ここでは、図7で追加したステップについてのみ説明する。
【0045】
図6のステップS20において、対策後SE3bの認証コマンドメッセージの実行結果によって認証成功が示される場合、MCU200は、秘密情報設定コマンドメッセージの送信を危殆化SE3aに要求し(ステップS30)、危殆化SE3aは、危殆化SE3aの秘密情報設定コマンドメッセージをMCU200に返信する(ステップS31)。秘密情報設定コマンドメッセージは、危殆化SE3aのNVM33に保存されている秘密情報を含む。秘密情報設定コマンドメッセージは、SE3のNVM33に情報を書き込むコマンドになる。
【0046】
危殆化SE3aから秘密情報設定コマンドメッセージを取得すると、MCU200は、危殆化SE3aから得た秘密情報設定コマンドメッセージを対策後SE3bに送信する(ステップS32)。対策後SE3bは、秘密情報設定コマンドメッセージに含まれる秘密情報を対策後SE3bのNVM33に保存した後、秘密情報設定コマンドメッセージの実行結果をMCU200に返信する(ステップS33)。秘密情報設定コマンドメッセージの実行結果によって成功が示さる場合のみ、MCU200は、スマートメーター2で使用するSE3を危殆化SE3aから対策後SE3bに切り替える(ステップS21)。
【符号の説明】
【0047】
1 スマートメーターシステム
2 スマートメーター
200 MCU
3 セキュアエレメント(SE)
2 スマートメーター
200 MCU
3 セキュアエレメント(SE)
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】