JP2006304193A - 時刻及び位置認証装置、方法及びプログラム - Google Patents
時刻及び位置認証装置、方法及びプログラム Download PDFInfo
- Publication number
- JP2006304193A JP2006304193A JP2005126675A JP2005126675A JP2006304193A JP 2006304193 A JP2006304193 A JP 2006304193A JP 2005126675 A JP2005126675 A JP 2005126675A JP 2005126675 A JP2005126675 A JP 2005126675A JP 2006304193 A JP2006304193 A JP 2006304193A
- Authority
- JP
- Japan
- Prior art keywords
- time
- time information
- information
- broadcast
- retransmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】 無線を用いた位置認証に対する偽造攻撃及び再送攻撃を阻止し、信頼性を向上させる。
【解決手段】 無線で送信される送信時刻情報及び放送源位置情報に、放送源固有の認証子を付与しておく。移動端末10においては、認証子検証部17がこの認証子に基づいて偽造の有無を判定するので、偽造攻撃を阻止できる。また、移動端末10においては、時刻情報比較検証部19が、無線放送の受信時刻を示す受信時刻情報と、内部時計11の内部時刻情報とを比較し、両者の差に基づいて再送の有無を判定するので、再送攻撃を阻止できる。従って、上記課題を解決できる。
【選択図】 図1
【解決手段】 無線で送信される送信時刻情報及び放送源位置情報に、放送源固有の認証子を付与しておく。移動端末10においては、認証子検証部17がこの認証子に基づいて偽造の有無を判定するので、偽造攻撃を阻止できる。また、移動端末10においては、時刻情報比較検証部19が、無線放送の受信時刻を示す受信時刻情報と、内部時計11の内部時刻情報とを比較し、両者の差に基づいて再送の有無を判定するので、再送攻撃を阻止できる。従って、上記課題を解決できる。
【選択図】 図1
Description
本発明は、無線放送を用いて放送源の時刻情報と位置情報を配信する移動端末の位置及び時刻認証装置、方法及びプログラムに関する。
現在、GPS(Global Positioning System)を用いた位置情報システムは、カーナビゲーション、携帯電話など、おもに移動体通信において広く利用されている。
GPSでは、24個のGPS衛星から各衛星に関する高精度な位置情報及び時刻情報を電磁波に載せて送信する。受信側では、通常、4つ以上のGPS衛星からの情報に基づき受信地点の高精度な位置情報を取得可能である。
このようなGPSにより、移動端末は、定位置に束縛されずに、GPS衛星からの無線情報が受信可能であればどこでも自己の正確な位置情報を取得可能となっている。また、GPSを用い、移動端末の位置情報を認証する試みが幾つかなされている。
なお、この出願に関連する先行技術文献情報には次のものがある。
「特集 さまざまな次世代GPS測位技術」、情報処理、 社団法人 情報処理学会、2002年8月、第43巻、第8号。
「特集 さまざまな次世代GPS測位技術」、情報処理、 社団法人 情報処理学会、2002年8月、第43巻、第8号。
以上のようなGPSを用いた位置認証には、本発明者の検討によれば、放送型通信への周知の偽造攻撃及び再送攻撃に対し、これら2種類の攻撃を阻止するための対策を講じる必要がある。なお、偽造攻撃とは、正当な位置情報と区別できない不正な位置情報を偽造し使用することを指す。再送攻撃とは、過去に放送された正当な情報を後にそのままの形で不正流用することを指す。
しかしながら、GPSを用いた位置認証には、利用者が正当な電磁波を遮断した場合を想定し、2種類の攻撃への対策が講じられていない。一方、これら2種類の攻撃は、移動端末による認証の信頼性を著しく低下させてしまうと考えられる。また、これらの攻撃は、GPSに限らず、無線を用いた位置認証であれば同様に信頼性を低下させてしまうと考えられる。
本発明は上記実情を考慮してなされたもので、無線を用いた位置認証に対する偽造攻撃及び再送攻撃を阻止し、信頼性を向上し得る時刻及び位置認証装置、方法及びプログラムを提供することを目的とする。
第1の発明は、電子ファイルを認証時点の時刻及び位置で認証する時刻及び位置認証装置であって、外部の放送源から無線で送信される送信時刻情報、放送源位置情報、及び放送源固有の認証子を含む無線放送を受信する受信手段と、前記認証子に基づいて、前記無線放送の偽造の有無を判定する偽造判定手段と、内部時刻情報を提供する内部時計装置と、前記無線放送の受信時刻を示す受信時刻情報を取得する受信時刻取得手段と、前記受信時刻情報と前記内部時刻情報とを比較し、両者の差に基づいて、前記無線放送の再送の有無を判定する再送判定手段と、前記無線放送に基づいて、自装置の位置情報を算出する位置算出手段と、前記偽造判定手段による判定の結果が偽造無しを示し、且つ前記再送判定手段による判定結果が再送無しを示す場合、前記内部時刻情報及び前記自装置の位置情報に基づいて、前記電子ファイルのデジタル署名を生成する署名生成手段と、前記デジタル署名を前記電子ファイルに付加する署名付加手段とを備えた時刻及び位置認証装置である。
(作用)
第1の発明は、無線で送信される送信時刻情報及び放送源位置情報に、放送源固有の認証子を付与し、この認証子に基づいて偽造の有無を判定することにより、偽造攻撃を阻止できる。
第1の発明は、無線で送信される送信時刻情報及び放送源位置情報に、放送源固有の認証子を付与し、この認証子に基づいて偽造の有無を判定することにより、偽造攻撃を阻止できる。
さらに、無線放送の受信時刻を示す受信時刻情報と、内部時計装置の内部時刻情報とを比較し、両者の差に基づいて再送の有無を判定することにより、再送攻撃を阻止できる。ここで、図8に再送攻撃とその防御法の概念図を示す。再送攻撃時には、標準放送源iからの標準放送は、電磁遮蔽材2の囲いにより遮蔽され、利用者1の移動端末10に受信されない。一方、この標準放送は、攻撃者の受信装置i’により受信され、高速専用ケーブル3を介して電磁遮蔽材2の囲い内の基地局i”に伝送され、この基地局i”から利用者1の移動端末10に送信される。しかしながら、第1の発明によれば、このような再送攻撃時に高速専用ケーブル3等にて生じる遅延時間を検出するので、再送攻撃を防止できる。
従って、第1の発明は、無線を用いた位置認証に対する偽造攻撃及び再送攻撃を阻止し、信頼性を向上させることができる。
以上説明したように本発明によれば、無線を用いた位置認証に対する偽造攻撃及び再送攻撃を阻止し、信頼性を向上できる。
以下、本発明の各実施形態について図面を用いて説明する。
(第1の実施形態)
図1は本発明の第1の実施形態に係る時刻及び位置認証装置を内蔵した移動端末の構成を示す模式図である。この移動端末10は、カメラ付き携帯電話であり、内部時計11、内部時計更新時刻情報格納部12、耐タンパー性保証パラメータ格納部13、受信部14、受信情報格納部15、復調部16、認証子検証部17、時刻/位置情報算出部18、時刻情報比較検証部19、時刻情報格納部20、スイッチ21、タイミング制御部22、シャッター23、撮像素子24、電子ファイル生成部25、ハッシュ値生成部26、ディジタル署名生成部27、署名付き電子ファイル格納部28及び耐タンパー保護領域29を備えている。なお、移動端末10は、各機能を実現するためのハードウェア構成、又はハードウェアとソフトウエアとの組み合わせ構成として実現されている。ソフトウェアは、予め記憶媒体又はネットワークからインストールされ、その機能を実現させるためのプログラムからなる。ソフトウエアで実現可能な要素としては、例えば、復調部16、認証子検証部17、時刻/位置情報算出部18、時刻情報比較検証部19、電子ファイル生成部25、ハッシュ値生成部26及びディジタル署名生成部27が挙げられる。
図1は本発明の第1の実施形態に係る時刻及び位置認証装置を内蔵した移動端末の構成を示す模式図である。この移動端末10は、カメラ付き携帯電話であり、内部時計11、内部時計更新時刻情報格納部12、耐タンパー性保証パラメータ格納部13、受信部14、受信情報格納部15、復調部16、認証子検証部17、時刻/位置情報算出部18、時刻情報比較検証部19、時刻情報格納部20、スイッチ21、タイミング制御部22、シャッター23、撮像素子24、電子ファイル生成部25、ハッシュ値生成部26、ディジタル署名生成部27、署名付き電子ファイル格納部28及び耐タンパー保護領域29を備えている。なお、移動端末10は、各機能を実現するためのハードウェア構成、又はハードウェアとソフトウエアとの組み合わせ構成として実現されている。ソフトウェアは、予め記憶媒体又はネットワークからインストールされ、その機能を実現させるためのプログラムからなる。ソフトウエアで実現可能な要素としては、例えば、復調部16、認証子検証部17、時刻/位置情報算出部18、時刻情報比較検証部19、電子ファイル生成部25、ハッシュ値生成部26及びディジタル署名生成部27が挙げられる。
ここで、内部時計11は、耐タンパー保護領域29内で動作し、各放送源iの持つ時計と同期する高精度な時計であり、内部時刻情報を時刻情報格納部20に提供する機能と、不正操作を検知すると直ちに正常動作を停止する機能をもっている。なお、利用者1による内部時計11の操作は禁止されている。また、放送源iとしては、GPS衛星等の人工衛星に限らず、地上の基地局でもよく、船上の移動局でもよい。
内部時計更新時刻情報格納部12は、管理センタにより更新記憶されるメモリであり、管理センタが内部時計11を同期させた時刻を示す同期時刻情報及び有効期限を保持し、撮影毎に、同期時刻情報及び有効期限をそれぞれディジタル署名生成部27及び署名付き電子ファイル格納部28に送出する機能をもっている。
耐タンパー性保証パラメータ格納部13は、耐タンパー保護領域29に設けられ、耐タンパー性保証パラメータを格納するものであり、耐タンパー保護領域29に外部から不正操作が行われた場合、この不正操作を検知してただちに耐タンパー性保証パラメータをゼロ値にする機能をもっている。
受信部14は、外部の放送源から無線で送信される送信時刻情報、放送源位置情報、及び放送源固有の認証子を含む無線放送を受信して受信情報を生成する機能を有し、具体的には無線による標準放送と補正放送のための高感度受信回路から成る。
ここで、標準放送とは、例えばGPS測位衛星の送信情報のように、高精度な「放送源の位置情報」と「放送の発信時刻情報」の2つが含まれた無線放送を指す。さらに、送信情報の放送源を識別しその正当性を保証するため、例えば発信情報の内容を反映したディジタル署名など、放送源に固有な認証子が付加されている。相対測位システムを用いる場合、これに加え、予め正確な位置情報を知る基地局jが補正座標値を放送する。本実施形態では、この補正座標値を補正放送と呼ぶ。ここで、補正放送には、基地局jが補正放送を送信した正確な時刻と、補正座標値・送信時刻を反映したディジタル署名などの基地局j固有の認証子が付加されている。
受信情報格納部15は、タイミング制御部22から要求を受けると、直ちに受信部14から受信情報を取得・記憶する機能をもっている。
復調部16は、受信情報格納部15内の受信情報を読出可能なデータ形式へ復調し、受信情報を認証子検証部17に送出する機能をもっている。
認証子検証部17は、復調部16から受けた受信情報の認証子に基づいて無線放送の偽造の有無を判定する機能を有するものであり、具体的には、復調部16から受けた受信情報に対し、標準放送源iからのものであるか、伝搬経路において改ざんされていないか、の2点に関して認証子を用いて検証する。ここでは具体例として初めに、認証子が公開鍵暗号方式に基づくディジタル署名である場合を考える。各放送源iと各基地局jは、それぞれが固有に持つ秘密鍵を用いて、送信情報のハッシュ値を復号してディジタル署名を生成し、このディジタル署名を認証子として送信情報のメッセージ部に付加する。認証子検証部17は、予め保持した各放送源iと各基地局jの正当な公開鍵を用いて、受信情報に含まれる認証子を暗号化し、得られた暗号化認証子と、受信情報のメッセージ部のハッシュ値とを比較し、両者が等しい場合、受信情報を正当と認める。
次に、現在GPS衛星が発信する放送にはディジタル署名が付加されていないため、ディジタル署名を用いないGPSシステムで使用可能な代替方法を考える。移動端末10はGPS受信情報を一時的に記憶し、過去の正当なGPS衛星データを格納しているデータベース等を参照し、受信情報に含まれるGPS衛星の時計修正情報・軌道情報が一致しているか否かを確認し、放送源iの正当性と改ざんの有無を検証する。但し、正しいGPS衛星データは一般に公開されているため、この方法ではディジタル署名を用いる場合に比べて安全性ははるかに劣る。
時刻/位置情報算出部18は、認証子検証部17により正当と認められた標準放送の受信情報から、受信時刻を示す受信時刻情報と移動端末10の位置情報を算出するものであり、受信時刻情報を時刻情報比較検証部19に送出する機能と、時刻情報比較検証部19からの制御により、位置情報をディジタル署名生成部27及び署名付き電子ファイル格納部28に送出する機能をもっている。
ここで、時刻/位置情報算出部18における算出過程について補足説明する。ある放送源をiとすると、標準放送には放送源iの位置情報(xi,yi,zi)と放送の発信時刻情報tiが含まれている。電磁波の速度をc、移動端末10の位置を(x,y,z)、受信時刻をtとすると、放送源iと移動端末10の間には次式の関係が成り立つ。
上式において、xi,yi,zi,tiは放送源iから標準放送によって与えられる既知数、cは既知の物理定数、x,y,z,tは未知数である。未知数は全部で4つあるので独立な式が4つ以上あればこの連立方程式は解ける。従って、4つ以上の放送源から受信情報を得て連立方程式を解き、移動端末10の位置情報と受信時刻情報を取得する。
ここで、標準放送による位置情報と時刻情報をリアルタイムで得る方法には、図2に示す如き単独測位システムと、図3に示す如き相対測位システムがある。
単独測位システムとは、標準放送源iと移動端末10のみを用いて行う方法である。位置情報・時刻情報の測定に、理想的には十分であるが、現実には電離層における光速の変動など様々な外的要因によって情報にゆらぎが加わるため、単独測位システムでは測定精度に限界がある。
相対測位システムとは、単独測位システムに加え、予め正確に位置情報を把握している基地局jを媒介として、加わる情報のゆらぎをリアルタイムに観測し、その座標補正値を放送によって移動端末10へ送るものである。相対測位システムはかなり高い測定精度を期待できるが、移動端末10が基地局jから離れるほど精度が下がるので、移動端末10の移動範囲の側に基地局jが存在しなければならない。
時刻情報比較検証部19は、時刻/位置情報算出部18で標準放送から算出された受信時刻情報と時刻情報格納部20が取得した内部時刻情報とを比較し、両者の差に基づいて、無線放送の再送の有無を判定するものであり、具体的には、2つの時刻の差分が予め設定した しきい値Δtth以下であるか否かを検証する機能をもっている。なお、しきい値Δtth以下の場合、無線放送の再送無しを意味し、しきい値Δtthを超える場合、無線放送の再送有りを意味する。また、認証により保証される位置情報の距離精度をΔL、攻撃者の再送までにかかる処理時間をαとすると、しきい値Δtthは次式のように定義される。
この検証で差分がΔtth以下の場合、時刻情報比較検証部19は、時刻/位置情報算出部18に位置情報をディジタル署名生成部27へ送るように要求し、時刻情報格納部20に内部時刻情報をディジタル署名生成部27へ送るように要求する機能をもっている。この検証によって再送攻撃を防ぐためには、内部時計11の更新間隔をTとすると、使用する内部時計11の単位時間毎誤差Δτは次式の関係を満たさなくてはならない。
逆に内部時計11の誤差Δτが与えられたとき、保証される距離精度ΔLは、ΔL=c(TΔτ−α)と求められる。具体例としては、攻撃者が必要最小限な信号処理のみを行い伝送に高速専用ケーブル3を用いると仮定し、標準的な処理時間はα=1×10-7[s]程度であり、c=3×108[m/s],Δτ=1×10-11[s],T=86400[s]=(1[day])と仮定する。このとき、保証される距離精度ΔLは次のようになる。
但し、移動端末10は、短時間内に移動しながら使用されるため固定された高速専用ケーブル3を用いることが難しく、無線やインターネットを用いたデータ伝送を想定するのが一般的であり、生じる余分な遅延時間αが大幅に増加する。
このように、時刻情報比較検証部19が位置情報の正当性を保証するには、内部時計11の精度の高さが本質的である。高精度な内部時計の現実的な候補として、2004年アメリカのNIST(米国標準技術局)によって開発された超小型原子時計が挙げられる。NISTの発表によれば、この超小型原子時計は、製造工程において従来のMEMS(micro-electro-mechanical systems)向け生産技術がそのまま適用可能であるため、量産化に適している。また、超小型原子時計は、占有体積も非常に小さく、腕時計や携帯電話などの小型移動端末の組み込みにも適している。さらに、超小型原子時計は、単位時間毎誤差が2004年8月の発表ではΔτ=1×10-10[s]程度とされ、現在はΔτ=1×10-11[s]程度での安定動作を目標に開発中としている。
ここで、日本のAIST(産業技術総合研究所)により開発され2003年6月に発表されたレーザー冷却を用いる原子時計が既にΔτ=1.4×10-15[s]以下の時刻精度を実現していることを念頭に、携帯端末10に組み込み可能な小型原子時計が近い将来Δτ=1×10-14[s]程度の時刻精度を実現した場合を考える。この場合、位置認証の距離精度を先の見積もりと同程度とすると、内部時計11の必要更新間隔は2年半以上にもおよぶので、管理者による内部時計11の更新操作を省略可能となる。また、想定する攻撃者の処理能力が低く、処理時間がα=1×10-3[s]より大きいと分かっている場合も、Δτ=1×10-11[s]であれば、内部時計の必要更新間隔が2年半以上となり、同様に管理者の更新操作を省略可能である。
時刻情報比較検証部19は、相対測位システムの場合、標準放送に加えて補正放送に対しても、内部時計11から取得された受信時刻情報と、補正放送が含む発信(送信)時刻情報とを比較し、差分が規定値以下であるか否かを検証する機能をもっている。この規定値は標準放送に対するしきい値とは異なる設定値で、基地局jの補正放送の更新頻度を適切に考慮していればよく、具体的には1[min]程度といったものが想定される。
時刻情報格納部20は、タイミング制御部22から要求を受けると直ちに内部時計11から時刻情報を取得・記憶するものであり、時刻情報比較検証部19から許可を得た後、取得した時刻情報をディジタル署名生成部27に与える機能をもっている。
スイッチ21は、オン状態においてシャッター23を作動させ、同時にタイミング制御部22へオン状態であることを知らせる。
タイミング制御部22は、スイッチ21がオン状態になると直ちに、受信情報格納部15が受信情報を、時刻情報格納部20が内部時計11の内部時刻情報を、それぞれ同時に取得・記憶するよう制御を行う。
シャッター23は、スイッチ21により作動する開閉機構である。
撮像素子24は、シャッター23が開状態のとき、前方の被写体を撮像し、撮像結果を含む出力信号を電子ファイル生成部25に送出するものである。
撮像素子24は、シャッター23が開状態のとき、前方の被写体を撮像し、撮像結果を含む出力信号を電子ファイル生成部25に送出するものである。
電子ファイル生成部25は、シャッター23作動後、撮像素子24から受けた出力信号に基づいて、画像を表す電子ファイルを生成する機能と、電子ファイルをハッシュ値生成部26及び署名付き電子ファイル格納部28に送出する機能とをもっている。
なお、スイッチ21、シャッター23、撮像素子24、電子ファイル生成部25及び署名付き電子ファイル格納部28は、カメラ付き携帯電話のカメラに対応する要素である。
ハッシュ値生成部26は、電子ファイル生成部25から受けた電子ファイルから一方向性関数と見なせる演算を用いてハッシュ値を生成し、得られたハッシュ値をディジタル署名生成部27へ送出する機能をもっている。
ディジタル署名生成部27は、認証子検証部17による判定の結果が偽造無しを示し、且つ時刻情報比較検証部19による判定結果が再送無しを示す場合、内部時刻情報及び自装置の位置情報に基づいて、電子ファイルのデジタル署名を生成するものである。
具体的にはディジタル署名生成部27は、ハッシュ値生成部26から受けたハッシュ値に対し、時刻/位置情報算出部18から受けた位置情報と、時刻情報格納部20から受けた内部時刻情報と、内部時計更新時刻情報格納部12から受けた同期時刻情報及び有効期限とを付加して署名対象データを作成し、この署名対象データに対し、移動端末10固有の秘密鍵に基づいて復号処理を実行してディジタル署名を生成し、得られたディジタル署名を署名付き電子ファイル格納部28に送出する機能をもっている。
署名付き電子ファイル格納部28は、電子ファイル生成部25から受けた電子ファイルに対し、時刻/位置情報算出部18から受けた位置情報と、時刻情報格納部20から受けた内部時刻情報と、内部時計更新時刻情報格納部12から受けた同期時刻情報及び有効期限と、ディジタル署名生成部27から受けたディジタル署名とを付加し、これら電子ファイル、位置情報、内部時刻情報、同期時刻情報、有効期限及びディジタル署名を1組として記憶する機能をもっている。
耐タンパー保護領域29は、内部時計11、内部時計更新時刻情報格納部12、耐タンパー性保証パラメータ格納部13、受信部14、受信情報格納部15、復調部16、認証子検証部17、時刻/位置情報算出部18、時刻情報比較検証部19、時刻情報格納部20、タイミング制御部22、電子ファイル生成部25、ハッシュ値生成部26、ディジタル署名生成部27に耐タンパー性を持たせて保護するものであり、具体的には、耐タンパー保護領域29に外部から不正操作が行われた場合、この不正操作を検知してただちに前述した各要素11〜20,22,25〜27を無効にする機能をもっている。ここで、無効にする機能は、各要素のデータ又はプログラムを消去すればよい。
次に、以上のように構成された移動端末の動作を説明する。ここでは、単独測位システムの場合について図4に示す。相対測位システムについても本質的に同様である。但し内部時計11の更新期間が端末使用期間に比べて長いとき、内部時計11の時刻更新操作及び管理センタ40は必ずしも必要でない。
[1] 管理センタ40による移動端末10の内部時計11の時刻更新
管理センタ40は、移動端末10の内部時計11を標準放送源iに同期させる。同期のための時刻情報を得る方法は、管理センタ40が標準放送に同期した標準時計を保有してその標準時計から得てもよく、又は標準放送を受信して受信時刻を算出することから得てもよい。管理センタ40は、いずれにしても移動端末10の内部時計11を標準放送源iの時刻に同期させた後、移動端末10を利用者1へ貸し出す。
管理センタ40は、移動端末10の内部時計11を標準放送源iに同期させる。同期のための時刻情報を得る方法は、管理センタ40が標準放送に同期した標準時計を保有してその標準時計から得てもよく、又は標準放送を受信して受信時刻を算出することから得てもよい。管理センタ40は、いずれにしても移動端末10の内部時計11を標準放送源iの時刻に同期させた後、移動端末10を利用者1へ貸し出す。
[2] 利用者1による移動端末10の使用
移動端末10は、管理センタ40から利用者1に貸し出され、利用者1の操作により、管理センタ40が定めた有効期限の間、任意の時刻と場所で撮影を行い、電子ファイルを作成する。移動端末10は、標準放送及び補正放送によって、移動端末10自身の位置情報と時刻情報を得る。
移動端末10は、管理センタ40から利用者1に貸し出され、利用者1の操作により、管理センタ40が定めた有効期限の間、任意の時刻と場所で撮影を行い、電子ファイルを作成する。移動端末10は、標準放送及び補正放送によって、移動端末10自身の位置情報と時刻情報を得る。
移動端末10は、利用者1の操作により、電子ファイルのハッシュ値に位置情報、内部時刻情報、同期時刻情報及び有効期限を付加して署名対象データを作成し、この署名対象データからディジタル署名を生成し、このディジタル署名を電子ファイルに付加して記憶する。
[3] 管理センタ40による携帯端末の検証
移動端末10は、有効期間内に利用者により管理センタ40へ返却される。管理センタ40は、移動端末10の耐タンパー性保証パラメータを検証し、不正操作の無いことを確認し、移動端末10から電子ファイルとディジタル署名とを出力させる。
移動端末10は、有効期間内に利用者により管理センタ40へ返却される。管理センタ40は、移動端末10の耐タンパー性保証パラメータを検証し、不正操作の無いことを確認し、移動端末10から電子ファイルとディジタル署名とを出力させる。
また、利用者1は、有効期限が過ぎると、再び管理センタ40へ有効期限の更新を依頼する。以下同様に、上記[1]〜[3]の動作が繰り返し実行される。
続いて、上記[2]における検証動作を詳細に説明する。
[位置情報の検証手順]
図5の手順で検証を行い、標準放送と補正放送に対する「偽造攻撃」及び「再送攻撃」を防止することを以下のように説明する。
[位置情報の検証手順]
図5の手順で検証を行い、標準放送と補正放送に対する「偽造攻撃」及び「再送攻撃」を防止することを以下のように説明する。
スイッチ21は、利用者1の操作により、オン状態においてシャッター23を開状態に作動させ、同時にタイミング制御部22へオン状態であることを知らせる。
撮像素子24は、シャッター23が開状態のとき、前方の被写体を撮像し、撮像結果を含む出力信号を電子ファイル生成部25に送出する。
電子ファイル生成部25は、この出力信号に基づいて、画像を表す電子ファイルを生成し(ST1)電子ファイルをハッシュ値生成部26及び署名付き電子ファイル格納部28に送出する。
一方、タイミング制御部22は、スイッチ21がオン状態になると直ちに、受信情報格納部15が受信情報を、時刻情報格納部20が内部時計11の内部時刻情報を、それぞれ同時に取得・記憶するよう制御を行う(ST2,ST3)。
復調部16は、受信情報格納部15内の受信情報を読出可能なデータ形式へ復調し(ST4)、受信情報を認証子検証部17に送出する。
認証子検証部17は、この受信情報の認証子に基づいて無線放送の偽造の有無、すなわち、認証子が正当か否かを判定する(ST5)。なお、ステップST5の判定は、ステップST4とST11との間であれば、いつ行ってもよく、例えばステップST10の後に行ってもよい。また、ステップST5の判定結果が正当を示さなければ処理を中止するが(ST6)、ここでは受信情報を正当と認めた場合を述べる。
時刻/位置情報算出部18は、正当と認められた標準放送・補正放送の受信情報から、受信時刻を示す標準放送受信時刻情報と移動端末10の位置情報を算出する一方(ST7)、補正放送から補正放送発信時刻情報を算出し(ST8)、算出結果を時刻情報比較検証部19に送出する。
時刻情報比較検証部19は、算出された標準放送受信時刻情報と時刻情報格納部20が取得した内部時刻情報とを比較し、両者の差に基づいて、無線放送の再送の有無を判定、すなわち、2つの時刻の差分が予め設定した しきい値Δtth以下であるか否かを検証し(ST9)、しきい値Δtthを超えていれば無線放送の再送有りとして処理を中止する。
一方、しきい値Δtth以下の場合、標準放送に加えて補正放送に対しても、内部時計11から取得された時刻情報と、補正放送が含む発信時刻情報とを比較し、差分が規定値以下であるか否かを検証し(ST10)、規定値を超えていれば処理を中止する。
一方、規定値以下の場合、時刻情報比較検証部19は、標準放送・補正放送から算出された位置情報の正当性を確定し(ST11)、位置情報の検証を終了する。
以下、前述同様に、移動端末10は、電子ファイルのハッシュ値に位置情報、内部時刻情報、同期時刻情報及び有効期限を付加して署名対象データを作成し、署名対象データからディジタル署名を生成し、このディジタル署名を電子ファイルに付加して記憶する。
上述したように本実施形態によれば、無線で送信される送信時刻情報及び放送源位置情報に、放送源固有の認証子を付与し、この認証子に基づいて偽造の有無を判定することにより、偽造攻撃を阻止できる。さらに、無線放送の受信時刻を示す受信時刻情報と、内部時計11の内部時刻情報とを比較し、両者の差に基づいて再送の有無を判定することにより、再送攻撃を阻止できる。従って、無線を用いた位置認証に対する偽造攻撃及び再送攻撃を阻止し、信頼性を向上させることができる。
詳しくは、移動体通信に用いる移動端末10に関して、放送等の一方向通信に含まれた時刻情報や位置情報を位置を固定することなく移動端末10で取得する。偽造攻撃に対しては、送信情報に付加された放送源i固有の認証子が正当か否か、あるいは放送源i自身の位置情報と時刻情報が公開された正しい情報と一致するか否か、を検証して防止する。再送攻撃に対しては、移動端末10の内部時計11と送信情報に含まれた時刻情報との差分が設定されたしきい値以下であるか否かを検証して防止する。従って、移動端末10の時刻情報と位置情報及び移動端末10が生成する電子ファイルに付加された時刻情報と位置情報の正当性を技術的に保証することができる。また、GPS等の放送型通信を利用して、電子ファイル生成を端末側で行い、端末を定位置に固定する必要がなくネットワーク接続の必要もない、偽りの位置情報を許さない安全な位置認証を実現することができる。
(第2の実施形態)
図6は本発明の第2の実施形態に係る時刻及び位置認証装置を内蔵した移動端末の構成を示す模式図であり、図1と同一部分には同一符号を付してその詳しい説明を省略し、ここでは異なる部分について主に述べる。なお、以下の各実施形態も同様にして重複した説明を省略する。
図6は本発明の第2の実施形態に係る時刻及び位置認証装置を内蔵した移動端末の構成を示す模式図であり、図1と同一部分には同一符号を付してその詳しい説明を省略し、ここでは異なる部分について主に述べる。なお、以下の各実施形態も同様にして重複した説明を省略する。
本実施形態は、第1の実施形態の変形例であり、移動端末10aとして、タクシー料金メータを用いた構成となっている。これに伴い、図1のスイッチ21、シャッター23及び撮像素子24に代えて、料金確定スイッチ21a及び料金カウント部30を備え、電子ファイル生成部25aがタクシー料金に関する電子ファイルを生成するものとなっている。
ここで、料金確定スイッチ21aは、既に作動中である料金カウント部30をオン状態において停止させて料金を確定し、タイミング制御部22へオン状態であることを知らせるものである。
料金カウント部30は、運転手の操作により、客の乗車時に料金メータ開始スイッチ(図示せず)がオン状態にされると、タクシー料金をカウントし、降車時に料金確定スイッチ21aがオン状態にされると、確定した料金を示す確定データを電子ファイル生成部25aに送出するものである。
電子ファイル生成部25aは、料金カウント部30内の確定データを表す電子ファイルを生成する機能と、電子ファイルをハッシュ値生成部26及び署名付き電子ファイル格納部28に送出する機能とをもっている。
なお、料金確定スイッチ21a、料金カウント部30、電子ファイル生成部25a及び署名付き電子ファイル格納部28は、主にタクシー料金メータに対応し、他の要素11〜20,22〜24,26〜28が主に時刻及び位置認証装置に対応する。
次に、以上のように構成された移動端末の動作を説明する。
タクシー会社(管理センタ40)は、業務開始前に移動端末(タクシー料金メータ)10aの内部時計11を時刻同期させる。運転手は、客の乗車時に料金メータ開始スイッチ(図示せず)をオン状態にし、降車時に料金メーターの料金確定スイッチ21aをオン状態にし、料金を確定させると同時に客の乗車・降車の位置情報と時刻情報、乗車料金、内部時計11の更新時刻、有効期限、に対して料金メータ固有のディジタル署名を生成し、これらデータに付加した上で1組とし、記憶する。
タクシー会社(管理センタ40)は、業務開始前に移動端末(タクシー料金メータ)10aの内部時計11を時刻同期させる。運転手は、客の乗車時に料金メータ開始スイッチ(図示せず)をオン状態にし、降車時に料金メーターの料金確定スイッチ21aをオン状態にし、料金を確定させると同時に客の乗車・降車の位置情報と時刻情報、乗車料金、内部時計11の更新時刻、有効期限、に対して料金メータ固有のディジタル署名を生成し、これらデータに付加した上で1組とし、記憶する。
タクシーが業務終了後に入庫してから、タクシー会社は耐タンパー性保証パラメータを検証後、記憶データを出力し、次回業務開始までに再び移動端末(タクシー料金メータ)10aの内部時計11の時刻同期を行う。
上述したように本実施形態によれば、移動端末をタクシー料金メータに適用した構成としても、第1の実施形態と同様の効果を得ることができる。
(第3の実施形態)
図7は本発明の第3の実施形態に係る時刻及び位置認証装置を内蔵した移動端末の構成を示す模式図である。
図7は本発明の第3の実施形態に係る時刻及び位置認証装置を内蔵した移動端末の構成を示す模式図である。
本実施形態は、第1の実施形態の変形例であり、移動端末10bとして、配送用精算機を用いた構成となっている。これに伴い、図1のスイッチ21、シャッター23及び撮像素子24に代えて、受領書発行スイッチ21b及び精算データ入力端末31を備え、電子ファイル生成部25bが精算データに関する電子ファイルを生成するものとなっている。
ここで、受領証発行スイッチ21bは、オン状態において精算データ入力端末31の入力データを電子ファイル生成部25へ送り、タイミング制御部22へオン状態であることを知らせるものである。
精算データ入力端末31は、クレジットカードもしくは手入力により精算データを入力するものであり、受領書発行スイッチ21bがオン状態にされると、確定した精算データを電子ファイル生成部25bに送出するものである。
電子ファイル生成部25は、精算データ入力端末31から確定された精算データを受けると、精算データに対応する受領証を表す電子ファイルを生成する機能と、電子ファイルをハッシュ値生成部26及び署名付き電子ファイル格納部28に送出する機能とをもっている。
なお、受領書発行スイッチ21b、精算データ入力端末31、電子ファイル生成部25b及び署名付き電子ファイル格納部28は、主に配送用精算機に対応し、他の要素11〜20,22〜24,26〜28が主に時刻及び位置認証装置に対応する。
次に、以上のように構成された移動端末の動作を説明する。
配送会社(管理センタ40)は、業務開始前に移動端末(配送用精算機)10bの内部時計11の時刻同期を行い、移動端末10bを配送者に渡す。
配送会社(管理センタ40)は、業務開始前に移動端末(配送用精算機)10bの内部時計11の時刻同期を行い、移動端末10bを配送者に渡す。
配送者は荷物を届けた段階で決済処理を行い、受領証発行スイッチ21bをオン状態にすると、クレジットカード番号等の決済処理情報、決済を行う際の位置情報と時刻情報、内部時計11の更新時刻情報と有効期限、に対して移動端末10b固有のディジタル署名を生成し、これらデータに付加した上で1組とし、記憶する。
配送者は業務終了時に移動端末(配送用精算機)10bを配送会社に渡す。配送会社は耐タンパー性保証パラメータを検証し、記憶データを出力し、次回業務開始前までに再び移動端末10bの内部時計11の時刻同期を行う。
上述したように本実施形態によれば、移動端末を配送用精算機に適用した構成としても、第1の実施形態と同様の効果を得ることができる。
なお、上記各実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が本実施形態を実現するための各処理の一部を実行しても良い。
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
また、記憶媒体は1つに限らず、複数の媒体から本実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、本実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
10,10a,10b…移動端末、11…内部時計、12…内部時計更新時刻情報格納部、13…耐タンパー性保証パラメータ格納部、14…受信部、15…受信情報格納部、16…復調部、17…認証子検証部、18…時刻/位置情報算出部、19…時刻情報比較検証部、20…時刻情報格納部、21,21a,21b…スイッチ、22…タイミング制御部、23…シャッター、24…撮像素子、25…電子ファイル生成部、26…ハッシュ値生成部、27…ディジタル署名生成部、28…署名付き電子ファイル格納部、29…耐タンパー保護領域。
Claims (3)
- 電子ファイルを認証時点の時刻及び位置で認証する時刻及び位置認証装置であって、
外部の放送源から無線で送信される送信時刻情報、放送源位置情報、及び放送源固有の認証子を含む無線放送を受信する受信手段と、
前記認証子に基づいて、前記無線放送の偽造の有無を判定する偽造判定手段と、
内部時刻情報を提供する内部時計装置と、
前記無線放送の受信時刻を示す受信時刻情報を取得する受信時刻取得手段と、
前記受信時刻情報と前記内部時刻情報とを比較し、両者の差に基づいて、前記無線放送の再送の有無を判定する再送判定手段と、
前記無線放送に基づいて、自装置の位置情報を算出する位置算出手段と、
前記偽造判定手段による判定の結果が偽造無しを示し、且つ前記再送判定手段による判定結果が再送無しを示す場合、前記内部時刻情報及び前記自装置の位置情報に基づいて、前記電子ファイルのデジタル署名を生成する署名生成手段と、
前記デジタル署名を前記電子ファイルに付加する署名付加手段と
を備えたことを特徴とする時刻及び位置認証装置。 - 内部時刻情報を提供する内部時計装置を備えた時刻及び位置認証装置により、電子ファイルを認証時点の時刻及び位置で認証する時刻及び位置認証方法であって、
外部の放送源から無線で送信される送信時刻情報、放送源位置情報、及び放送源固有の認証子を含む無線放送を受信する受信工程と、
前記認証子に基づいて、前記無線放送の偽造の有無を判定する偽造判定工程と、
前記無線放送の受信時刻を示す受信時刻情報を取得する受信時刻取得工程と、
前記受信時刻情報と前記内部時刻情報とを比較し、両者の差に基づいて、前記無線放送の再送の有無を判定する再送判定工程と、
前記無線放送に基づいて、自装置の位置情報を算出する位置算出工程と、
前記偽造判定工程による判定の結果が偽造無しを示し、且つ前記再送判定工程による判定結果が再送無しを示す場合、前記内部時刻情報及び前記自装置の位置情報に基づいて、前記電子ファイルのデジタル署名を生成する署名生成工程と、
前記デジタル署名を前記電子ファイルに付加する署名付加工程と
を備えたことを特徴とする時刻及び位置認証方法。 - 外部の放送源から無線で送信される送信時刻情報、放送源位置情報、及び放送源固有の認証子を含む無線放送を受信する受信手段と、内部時刻情報を提供する内部時計装置とを備え、電子ファイルを認証時点の時刻及び位置で認証する時刻及び位置認証装置に関し、前記時刻及び位置認証装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記認証子に基づいて、前記無線放送の偽造の有無を判定する偽造判定手段、
前記無線放送の受信時刻を示す受信時刻情報を取得する受信時刻取得手段、
前記受信時刻情報と前記内部時刻情報とを比較し、両者の差に基づいて、前記無線放送の再送の有無を判定する再送判定手段、
前記無線放送に基づいて、自装置の位置情報を算出する位置算出手段、
前記偽造判定手段による判定の結果が偽造無しを示し、且つ前記再送判定手段による判定結果が再送無しを示す場合、前記内部時刻情報及び前記自装置の位置情報に基づいて、前記電子ファイルのデジタル署名を生成する署名生成手段、
前記デジタル署名を前記電子ファイルに付加する署名付加手段、
として機能させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005126675A JP2006304193A (ja) | 2005-04-25 | 2005-04-25 | 時刻及び位置認証装置、方法及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005126675A JP2006304193A (ja) | 2005-04-25 | 2005-04-25 | 時刻及び位置認証装置、方法及びプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006304193A true JP2006304193A (ja) | 2006-11-02 |
Family
ID=37471911
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005126675A Withdrawn JP2006304193A (ja) | 2005-04-25 | 2005-04-25 | 時刻及び位置認証装置、方法及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006304193A (ja) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010119866A1 (ja) * | 2009-04-13 | 2010-10-21 | 株式会社コロプラ | 移動距離改ざん防止システムおよび方法 |
JP2013130395A (ja) * | 2011-12-20 | 2013-07-04 | Hitachi Information & Control Solutions Ltd | 位置情報認証システムおよび位置情報認証方法 |
JP2013534622A (ja) * | 2010-06-15 | 2013-09-05 | ジ ヨーロピアン ユニオン,リプレゼンテッド バイ ジ ヨーロピアン コミッション | 認証可能な時間および場所の指標を提供する方法 |
JP2014030171A (ja) * | 2012-06-27 | 2014-02-13 | Ricoh Co Ltd | 通信装置及び通信システム |
WO2015002226A1 (ja) * | 2013-07-03 | 2015-01-08 | 三菱重工業株式会社 | 車載器、及びスプーフィング検知方法 |
JP2018512076A (ja) * | 2015-01-05 | 2018-05-10 | ロケイターエックス, インコーポレイテッドLocatorX, Inc. | グローバルリソースロケータ |
DE112014006225B4 (de) | 2014-01-21 | 2022-05-12 | Denso Corporation | Positionsinformationsauthentifizierungssystem,Positionierungsendgerät und Positionsinformationsberschaffungsvorrichtung |
US12032086B2 (en) | 2022-12-22 | 2024-07-09 | Locatorx, Inc. | Global resource locator label |
-
2005
- 2005-04-25 JP JP2005126675A patent/JP2006304193A/ja not_active Withdrawn
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010119866A1 (ja) * | 2009-04-13 | 2010-10-21 | 株式会社コロプラ | 移動距離改ざん防止システムおよび方法 |
JP4789222B2 (ja) * | 2009-04-13 | 2011-10-12 | 株式会社コロプラ | 移動距離改ざん防止システムおよび方法 |
US8260316B2 (en) | 2009-04-13 | 2012-09-04 | Colopl, Inc. | Movement distance falsification preventing system and method |
JP2013534622A (ja) * | 2010-06-15 | 2013-09-05 | ジ ヨーロピアン ユニオン,リプレゼンテッド バイ ジ ヨーロピアン コミッション | 認証可能な時間および場所の指標を提供する方法 |
JP2013130395A (ja) * | 2011-12-20 | 2013-07-04 | Hitachi Information & Control Solutions Ltd | 位置情報認証システムおよび位置情報認証方法 |
JP2014030171A (ja) * | 2012-06-27 | 2014-02-13 | Ricoh Co Ltd | 通信装置及び通信システム |
WO2015002226A1 (ja) * | 2013-07-03 | 2015-01-08 | 三菱重工業株式会社 | 車載器、及びスプーフィング検知方法 |
JP2015014474A (ja) * | 2013-07-03 | 2015-01-22 | 三菱重工業株式会社 | 車載器、及びスプーフィング検知方法 |
DE112014006225B4 (de) | 2014-01-21 | 2022-05-12 | Denso Corporation | Positionsinformationsauthentifizierungssystem,Positionierungsendgerät und Positionsinformationsberschaffungsvorrichtung |
DE112014006225B8 (de) | 2014-01-21 | 2022-07-21 | Denso Corporation | Positionsinformationsauthentifizierungssystem, Positionierungsendgerät und Positionsinformationsbeschaffungsvorrichtung |
JP2018512076A (ja) * | 2015-01-05 | 2018-05-10 | ロケイターエックス, インコーポレイテッドLocatorX, Inc. | グローバルリソースロケータ |
US12032086B2 (en) | 2022-12-22 | 2024-07-09 | Locatorx, Inc. | Global resource locator label |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2635368C2 (ru) | Спутниковые радионавигационные сигналы с цифровой подписью | |
US11415702B2 (en) | Device and method to detect spoofing of a terminal | |
US5754657A (en) | Authentication of a message source | |
JP5788976B2 (ja) | 認証可能な時間および場所の指標を提供する方法 | |
JP4959463B2 (ja) | 位置認証システム | |
CN110463159A (zh) | 安全距离确定协议 | |
CN110278715B (zh) | 用于无线电导航认证的方法和系统 | |
JP2006304193A (ja) | 時刻及び位置認証装置、方法及びプログラム | |
JPWO2005098468A1 (ja) | 位置保証サーバ、位置保証システム及び位置保証方法 | |
US20220029813A1 (en) | Communication network node, methods, and a mobile terminal | |
CN103124405A (zh) | 保护位置信息和使用该位置信息来访问控制的方法和装置 | |
US20130117572A1 (en) | Portable electronic device, system and method for authenticating a document associated with a geographical location | |
WO2020080301A1 (ja) | 被認証装置、認証装置、認証要求送信方法、認証方法、及びプログラム | |
JP2020502523A (ja) | Pvt解推定を用いたgnssなりすまし信号の検出と除去 | |
JP2015220515A (ja) | 位置情報検証装置、中継装置、移動体装置、位置情報検証プログラム、中継プログラムおよび移動体プログラム | |
US20220104026A1 (en) | Position information providing system and position information providing method | |
TWI525332B (zh) | A location information authentication system, a positioning terminal, and a location information acquisition device | |
JP2007124031A (ja) | 時刻及び位置認証装置、方法及びプログラム | |
Mundt | Two methods of authenticated positioning | |
ES2749180T3 (es) | Método y sistema de certificación de georreferenciación para dispositivos móviles | |
WO2018164096A1 (ja) | 位置認証システム、測位端末装置及び位置認証装置 | |
JP4303733B2 (ja) | 記録装置、及び記録方法 | |
JP2008199530A (ja) | 電波放送検証装置及びプログラム | |
Kuhn | Distance-bounding protocols | |
JP6379503B2 (ja) | 航法メッセージ認証型測位装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20080701 |