JP2009124520A - データ送付方法および電子機器 - Google Patents
データ送付方法および電子機器 Download PDFInfo
- Publication number
- JP2009124520A JP2009124520A JP2007297389A JP2007297389A JP2009124520A JP 2009124520 A JP2009124520 A JP 2009124520A JP 2007297389 A JP2007297389 A JP 2007297389A JP 2007297389 A JP2007297389 A JP 2007297389A JP 2009124520 A JP2009124520 A JP 2009124520A
- Authority
- JP
- Japan
- Prior art keywords
- public key
- vendor
- electronic device
- signed
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】データ送付方法に関し,インターネットへの通信機能を持たない電子機器に対して,インターネットを介して安全にデータを送付する技術を提供する。
【解決手段】機器ベンダは,電子機器10の出荷前に,機器公開鍵証明書100,機器秘密鍵102,機器ベンダ公開鍵証明書300を登録しておく。データ送付時には,電子機器10は,保持された機器公開鍵証明書100を,ホスト20を介して機器ベンダ装置30に送る。機器ベンダ装置30は,機器公開鍵証明書100を検証し,機器公開鍵証明書100が自ら発行したものであれば,機器公開鍵101を用いて送付するデータを暗号化し,さらに機器ベンダ秘密鍵302で署名し,ホスト20を介して電子機器10に送付する。電子機器10は,データに付された署名を保持された機器ベンダ公開鍵301で検証し,正当であれば,送付されたデータを保持された機器秘密鍵102で復号する。
【選択図】図3
【解決手段】機器ベンダは,電子機器10の出荷前に,機器公開鍵証明書100,機器秘密鍵102,機器ベンダ公開鍵証明書300を登録しておく。データ送付時には,電子機器10は,保持された機器公開鍵証明書100を,ホスト20を介して機器ベンダ装置30に送る。機器ベンダ装置30は,機器公開鍵証明書100を検証し,機器公開鍵証明書100が自ら発行したものであれば,機器公開鍵101を用いて送付するデータを暗号化し,さらに機器ベンダ秘密鍵302で署名し,ホスト20を介して電子機器10に送付する。電子機器10は,データに付された署名を保持された機器ベンダ公開鍵301で検証し,正当であれば,送付されたデータを保持された機器秘密鍵102で復号する。
【選択図】図3
Description
本発明は,電子機器にデータを送付する技術に関するものであり,特に,インターネットへの通信機能を持たない電子機器に対して,インターネットを介して安全にデータを送付するデータ送付方法および電子機器に関するものである。
さまざまな局面において,インターネットを介した電子機器へのデータの送付が行われている。例えば,電子機器のファームウェアを更新する必要があるときに,更新ファームウェアやファームウェア更新プログラムを,電子機器のベンダから電子機器に送付する場合などである。
インターネットを介して電子機器に送付されるデータの中には,上記のファームウェアのような機密データも存在するため,その安全性の確保が重要な課題となっている。
なお,電子機器には,インターネットへの通信機能を備えた,すなわちインターネットへの直接接続が可能なPC(パソコン)などの電子機器と,インターネットへの通信機能を持たない,すなわちインターネットへの直接接続ができないペリフェラル機器などの電子機器とが存在する。
インターネットへの直接接続が可能な電子機器を前提として,電子機器にデータを送付する技術が記載された先行技術文献として,例えば特許文献1,特許文献2などがある。特許文献1には,家電機器の制御プログラムを,装置の認証,鍵交換等を行って供給する技術が記載されている。特許文献2には,画像処理装置自身がPCなどを必要とせずにネットワークと接続し,装置固有データを暗号鍵として使用することによりファームウェアのバージョンアップを行う技術が記載されている。
また,例えば特許文献3には,機器と仲介者と更新者の間で信頼を連鎖させる技術が記載されている。ただし,特許文献3に記載された技術は,仲介者が悪意のある第三者により操作される可能性がある状況では機能を果たさない。
特開2003−111170号公報
特開2007−011944号公報
特開2004−318838号公報
ここで,販売後の電子機器におけるファームウェアの更新を例として考える。ファームウェアには企業のノウハウやセキュリティ関連情報などの機密情報が含まれており,ファームウェアの内容が公開されないようにする必要がある。また,製品の保証やセキュリティ上の観点で,電子機器のベンダの純正ファームウェア以外のものをインストールできないようにする必要がある。
このような状況を踏まえて,販売後の電子機器のファームウェアを更新するための方法としては,例えば,
(A)電子機器をそのベンダがユーザから回収し,ベンダ側でファームウェアを更新する方法,
(B)更新ファームウェアやファームウェア更新プログラムをCD−ROM等の媒体に記録し,それを電子機器のユーザに配布してユーザにファームウェアの更新をしてもらう方法,
(C)電子機器をインターネットに接続して直接にベンダと通信を行い,認証,更新ファームウェアやファームウェア更新プログラムのダウンロード,ファームウェアの更新を行う方法
などが考えられる。
(A)電子機器をそのベンダがユーザから回収し,ベンダ側でファームウェアを更新する方法,
(B)更新ファームウェアやファームウェア更新プログラムをCD−ROM等の媒体に記録し,それを電子機器のユーザに配布してユーザにファームウェアの更新をしてもらう方法,
(C)電子機器をインターネットに接続して直接にベンダと通信を行い,認証,更新ファームウェアやファームウェア更新プログラムのダウンロード,ファームウェアの更新を行う方法
などが考えられる。
(A)の方法では,ユーザがベンダに電子機器を物理的に送付する必要があり,コストが高い,手続きが煩雑であるという問題がある。ファームウェアの更新頻度や,電子機器の販売台数などによっては,あまり現実的な方法とはいえない。
(B)の方法において,更新ファームウェアやファームウェア更新プログラムを安全に配布する方法としては,更新ファームウェアやファームウェア更新プログラムを逆アセンブルが困難なものにする方法や,ベンダ側と電子機器側にあらかじめ共通鍵を用意し,更新ファームウェアやファームウェア更新プログラムを共通鍵暗号方式により暗号化する方法などが考えられる。
しかし,技術力があれば逆アセンブルは全く不可能というわけではなく,ファームウェアに関する情報が流出してしまったり,それによって誰でもファームウェアの改竄が可能となってしまうという問題がある。また,共通鍵暗号方式を用いた場合には,ベンダ側では各電子機器に登録した共通鍵をすべて保持/管理しておく必要がある。例えば電子機器ごとに別の共通鍵を用意するなど,共通鍵の種類を多くすると,その管理コストが膨大となり,非現実的である。また,例えば電子機器の機種ごとにまとめて同じ共通鍵を用意したり,全電子機器で単一の共通鍵を用意するなど,共通鍵の種類を少なくすると,現代の暗号は計算量的な安全性に基づいているため,鍵が破られてしまう可能性が高くなり,そのときの被害は甚大なものとなる。
このように,(B)の方法には,その安全性の面においてさまざまな問題があり,さらに,各ユーザにデータを配布するための媒体のコストや,その輸送コストなどの問題もある。
(C)の方法は,(A)の方法や(B)の方法のような輸送コストの問題もなく,安全性の面でもSSLなどのセキュリティ技術が用意されている。ただし,(C)の方法を実行するには電子機器がインターネットに直接接続されている必要があるため,インターネットへの直接接続が可能な電子機器に限られる。従来,インターネットへの直接接続ができない電子機器は,ベンダの装置との間で安全な鍵交換ができないため,ベンダの装置との間に安全な経路を確立することができない。
インターネットに直接接続されないペリフェラル機器などの電子機器のファームウェアを更新する場合には,例えば,ペリフェラル機器をPCなどのインターネットへの通信機能を備えた電子機器に接続し,PCにベンダからファームウェア更新プログラムをダウンロードし,PCでペリフェラル機器のファームウェア更新プログラムを実行する必要がある。この場合,鍵交換はPCとベンダの装置との間で行われるため,安全な通信経路はあくまでPCとベンダの装置との間で確立される。そのため,PCから機密データが洩れてしまう可能性がある。電子機器をPCに接続して使用するユーザが,ベンダの競合他社である可能性は十分にある。
本発明は,上記の問題点の解決を図り,インターネットへの通信機能を持たない電子機器と,その電子機器のベンダの装置との間で安全な通信経路を確立し,インターネットへの通信機能を持たない電子機器に,電子機器のベンダの装置から,インターネットを介して安全にデータを送付する技術を提供することを目的とする。
インターネットへの通信機能を持たない電子機器と,その電子機器にデータを送付する電子機器のベンダ(以下,機器ベンダという)の装置との間で,公開鍵暗号方式に基づく鍵交換を行うことにより,安全な通信経路を確立する。なお,機器ベンダには,電子機器の製造元だけではなく,電子機器の販売元や,電子機器のファームウェアの開発元など,電子機器の製造からアフターサポートまでに関わるすべてのベンダが含まれうる。
機器ベンダは,インターネットへの通信機能を持たない電子機器に対して,その出荷前に,電子機器の公開鍵(以下,第二の公開鍵という)と秘密鍵(以下,第二の秘密鍵という),機器ベンダの公開鍵(以下,第一の公開鍵という)を登録する。このとき,第二の公開鍵に,機器ベンダが署名をしておく。第二の公開鍵と第二の秘密鍵とは,対となる鍵である。
電子機器を使用するユーザは,その電子機器を,インターネットへの通信機能を備えたホストに接続する。ホストは,インターネットを介して機器ベンダの装置にアクセスすることが可能である。
機器ベンダの装置から電子機器にデータを送付する必要がある場合には,ユーザがホストを操作し,インターネットを介して機器ベンダの装置にアクセスする。電子機器はホストからの要求にしたがって自らが保持する署名付き第二の公開鍵をホストに渡す。署名付き第二の公開鍵は,ホストの通信機能を介して,機器ベンダの装置に送られる。
機器ベンダの装置は,受け取った署名付き第二の公開鍵の正当性を検証し,その正当性が確認されれば,受け取った第二の公開鍵を用いて,電子機器に送付するデータを暗号化する。また,暗号化されたデータに,機器ベンダの秘密鍵(以下,第一の秘密鍵という)を用いて署名する。第一の秘密鍵は,電子機器に保持された第一の公開鍵と対となる鍵である。暗号化され,署名されたデータは,インターネット,ホストを介して,電子機器に送られる。
なお,データの暗号化に第二の公開鍵を用いるという表現には,データを共通鍵で暗号化し,その共通鍵を第二の公開鍵で暗号化して,共通鍵で暗号化されたデータに付するハイブリッド方式なども当然含まれる。
電子機器は,ホストを介して,機器ベンダの装置から暗号化され,署名されたデータを受信し,自らが保持する第一の公開鍵を用いて受け取ったデータの正当性を検証する。正当性が確認されれば,自らが保持する第二の秘密鍵を用いてデータを復号する。
このように,機器ベンダは,自らが署名して電子機器に登録した第二の公開鍵の正当性を検証することにより,なりすましの防止を図る。また,電子機器は,受信したデータの署名をあらかじめ登録された第一の公開鍵で検証することにより,なりすましの防止を図る。また,ホストは,電子機器と機器ベンダの装置との仲介をしてはいるが,第二の秘密鍵を持たないため,機器ベンダの装置から電子機器に送付されたデータを復号することができない。
これにより,インターネットへの通信機能を持たない電子機器と,その電子機器にデータを送付する機器ベンダの装置との間で鍵交換を行い,安全な通信経路を確立し,機器ベンダの装置から電子機器に安全にデータを送付することができるようになる。
機器ベンダ装置から電子機器に送付されるデータが,電子機器のファームウェア更新プログラム,または前記電子機器の更新するファームウェアであれば,そのファームウェアの機密情報が他に洩れることを防ぐことができる。また,純正以外のファームウェアで電子機器のファームウェアが更新されることを防ぐことができる。
機器ベンダが電子機器に第二の秘密鍵と第二の公開鍵とを登録するのではなく,電子機器で第二の秘密鍵と第二の公開鍵とを生成するようにすることもできる。この場合には,電子機器が接続されるホストに,セキュリティチップが搭載されている必要がある。セキュリティチップには,あらかじめセキュリティチップのベンダによって,そのセキュリティチップの秘密鍵(以下,第三の秘密鍵という)と,セキュリティチップのベンダによって署名されたセキュリティチップの公開鍵(以下,第三の公開鍵という)とが登録されている。第三の秘密鍵と第三の公開鍵とは,対となる鍵である。
機器ベンダの装置から電子機器にデータを送付する必要がある場合には,ユーザがホストを操作し,インターネットを介して機器ベンダの装置にアクセスし,電子機器はホストからの要求にしたがって自らが生成した第二の公開鍵をセキュリティチップに渡す。
セキュリティチップは,受け取った第二の公開鍵に自らが保持する第三の秘密鍵で署名する。その署名付き第二の公開鍵は,セキュリティチップに保持された署名付き第三の公開鍵とともに,ホストの通信機能によって,機器ベンダの装置に送られる。
機器ベンダの装置は,受け取った署名付き第二の公開鍵および署名付き第三の公開鍵の正当性を,PKIの認証局等を利用して検証する。機器ベンダで,第二の公開鍵の正当性が確認されたあとの流れは,機器ベンダによって電子機器にあらかじめ第二の秘密鍵と第二の公開鍵とが登録された場合と同様である。
これにより,電子機器で第二の秘密鍵と第二の公開鍵とを更新することが可能となるため,同じ第二の秘密鍵と第二の公開鍵とを長期間使用することによる危険性を,回避することができる。
インターネットへの通信機能を持たない電子機器と,電子機器のベンダの装置との間で,公開鍵暗号方式に基づく安全な鍵交換を行うことができるようになるため,電子機器とその電子機器のベンダの装置との間で,インターネットを介した安全な通信経路を確立することができる。これにより,インターネットを介して,電子機器のベンダの装置から電子機器に安全にデータを送付することができるようになる。
以下,本実施の形態について,図を用いて説明する。
〔実施の形態1〕
図1は,本実施の形態1による電子機器の構成例を示す図である。電子機器10は,インターネット90への通信機能を持たない情報機器であり,インターネット90への通信機能を備えたコンピュータであるホスト20に接続される。
図1は,本実施の形態1による電子機器の構成例を示す図である。電子機器10は,インターネット90への通信機能を持たない情報機器であり,インターネット90への通信機能を備えたコンピュータであるホスト20に接続される。
電子機器10は,機器公開鍵証明書送信部11,データ受信部12,署名検証部13,データ復号部14を備える。また,電子機器10は,機器ベンダ公開鍵証明書300,機器公開鍵証明書100,機器秘密鍵102を保持する。機器ベンダ公開鍵証明書300,機器公開鍵証明書100,機器秘密鍵102は,電子機器10のベンダ(以下,機器ベンダという)によって,その出荷前に登録された情報である。
機器公開鍵証明書送信部11は,ホスト20を介して,保持された機器公開鍵証明書100を機器ベンダ側の装置に送る。データ受信部12は,ホスト20を介して,機器ベンダ側の装置から送付されたデータを受信する。署名検証部13は,機器ベンダ側の装置から送付されたデータに含まれる機器ベンダの署名を検証する。データ復号部14は,機器ベンダ側の装置から送付されたデータに含まれる署名が正当であれば,機器ベンダ側の装置から送付されたデータを機器秘密鍵102で復号する。
機器ベンダ公開鍵証明書300には,機器ベンダ公開鍵301,機器ベンダの署名303が含まれる。機器ベンダの署名303は,機器ベンダ公開鍵301のハッシュ値が機器ベンダ秘密鍵により暗号化されたものである。機器ベンダが保持する機器ベンダ秘密鍵と機器ベンダ公開鍵301とは,対となる鍵である。署名検証部13で機器ベンダ側の装置から送付されたデータに含まれる機器ベンダの署名を検証するときには,機器ベンダ公開鍵証明書300に含まれる機器ベンダ公開鍵301を用いる。
機器公開鍵証明書100には,機器公開鍵101,機器ベンダの署名103が含まれる。機器ベンダの署名103は,機器公開鍵101のハッシュ値が機器ベンダ秘密鍵により暗号化されたものである。機器公開鍵101と機器秘密鍵102とは,対となる鍵である。
図2は,本実施の形態1の電子機器による処理のフローチャートである。図2に示す処理の例は,例えばホスト20がインターネット90を介して機器ベンダ側にアクセスし,機器ベンダ側が電子機器10に配布しているデータを,電子機器10にダウンロードする場合の例である。
まず,電子機器10は,ホスト20からの要求に応じて,保持された機器公開鍵証明書100を,ホスト20を介して機器ベンダ側に送信する(ステップS10)。
このとき,機器ベンダ側では,電子機器10から受け取った機器公開鍵証明書100を検証し,その機器公開鍵証明書100が正当であれば,機器公開鍵証明書100に含まれる機器公開鍵101を用いて電子機器10に送付するデータを暗号化する。さらに,その暗号化されたデータに対して機器ベンダ秘密鍵による署名を行う。具体的には,暗号化されたデータのハッシュ値を算出し,算出されたハッシュ値を機器ベンダ秘密鍵によって暗号化したものを暗号化されたデータに付す。機器ベンダ側は,暗号化されたデータを電子機器10に送付する。
電子機器10は,ホスト20を介して機器ベンダ側から送付されたデータを受信すると(ステップS11),受信したデータに付された署名を検証する(ステップS12)。具体的には,受信したデータに付された署名を機器ベンダ公開鍵証明書300に含まれる機器ベンダ公開鍵301で復号してハッシュ値を取得し,また,受信したデータ本体のハッシュ値を算出し,双方のハッシュ値が一致すれば署名が正当であるとする。
署名が正当であれば(ステップS13),受信したデータを保持された機器秘密鍵102で復号する(ステップS14)。署名が正当でなければ(ステップS13),エラーを通知する(ステップS15)。
以下では,特にインターネットへの通信機能を持たない電子機器10のファームウェアの更新を例として,機器ベンダ側から電子機器10側に安全にデータを送付する技術の例を説明する。
図3は,本実施の形態1による情報システムの構成例を示す図である。図3に示す情報システムにおいて,インターネット90(図3では省略)への通信機能を持たない情報機器である電子機器10は,ユーザが操作するコンピュータであるホスト20に接続されている。機器ベンダ装置30は,電子機器10を販売した機器ベンダ側の情報装置である。ホスト20は,インターネット90を介して機器ベンダ装置30にアクセスすることができる。
機器ベンダ装置30は,機器ベンダ公開鍵301,機器ベンダ秘密鍵302,ファームウェア更新プログラム304を保持する。機器ベンダ公開鍵301と機器ベンダ秘密鍵302とは,対となる鍵である。ファームウェア更新プログラム304は,電子機器10のファームウェアを更新するプログラムである。
機器ベンダは,電子機器10の出荷前に,電子機器10に対して機器公開鍵証明書100,機器秘密鍵102,機器ベンダ公開鍵証明書300を登録しておく。機器公開鍵証明書100には,機器公開鍵101と,機器公開鍵101のハッシュ値を機器ベンダ秘密鍵302で暗号化した機器ベンダの署名103とが含まれる。機器公開鍵101と機器秘密鍵102とは,対となる鍵である。また,機器ベンダ公開鍵証明書300には,機器ベンダ公開鍵301と,機器ベンダ公開鍵301のハッシュ値を機器ベンダ秘密鍵302で暗号化した機器ベンダの署名303とが含まれる。
ユーザは,電子機器10にファームウェア更新プログラム304をダウンロードするために,ホスト20を操作して機器ベンダ装置30にアクセスする。電子機器10は,ホスト20からの要求にしたがって,ホスト20を介して,機器ベンダ装置30に機器公開鍵証明書100を送信する。
機器ベンダ装置30では,電子機器10から受信された機器公開鍵証明書100の正当性の検証が行われる。
図4は,本実施の形態1による機器公開鍵証明書の正当性の検証を説明する図である。電子機器10にあらかじめ保持されている機器公開鍵証明書100は,機器ベンダにより電子機器10の出荷前に発行され,登録された情報である。機器ベンダ装置30は,電子機器10から受信した機器公開鍵証明書100が,機器ベンダ自身により発行された機器公開鍵証明書100であるかを検証する。
図4に示すように,機器公開鍵証明書100には,機器ベンダの署名103が含まれている。機器ベンダの署名103は,機器公開鍵101のハッシュ値を機器ベンダ秘密鍵302で暗号化したものである。すなわち,電子機器10から受信した機器公開鍵証明書100に含まれる機器ベンダの署名103が機器ベンダ公開鍵301で正しく復号されれば,それは機器ベンダ秘密鍵302によって暗号化されたものであるので,電子機器10から受信した機器公開鍵証明書100が機器ベンダ自身により発行された機器公開鍵証明書100であることが証明される。
電子機器10から受信した機器公開鍵証明書100の検証を行うときには,まず,機器公開鍵証明書100に含まれる機器ベンダの署名103を機器ベンダ公開鍵301で復号し,ハッシュ値を取得する。また,電子機器10から受信した機器公開鍵証明書100に含まれる機器公開鍵101のハッシュ値を算出する。復号により取得されたハッシュ値と算出されたハッシュ値とを比較し,双方が一致すれば,電子機器10から受信した機器公開鍵証明書100の正当性が認められる。
上述したように,機器ベンダ公開鍵301で正しく復号される機器ベンダの署名103は,機器ベンダ秘密鍵302で暗号化されたものであるため,機器公開鍵証明書100の正当性が確認されることにより,電子機器10から送られた機器公開鍵証明書100が機器ベンダ自身により発行された機器公開鍵証明書100であることが証明される。よって,機器ベンダ自身により発行された機器公開鍵証明書100を送信した電子機器10は,正当な電子機器10であると判断できる。
このように,本実施の形態1では,電子機器10から送られた機器公開鍵証明書100が機器ベンダ自身により発行された機器公開鍵証明書100であることにより,機器公開鍵証明書100の送信元である電子機器10を信頼する。
図3において,機器ベンダ装置30は,機器公開鍵証明書100が正当であると判断されると,機器公開鍵証明書100に含まれる機器公開鍵101でファームウェア更新プログラム304を暗号化する。暗号化されたファームウェア更新プログラム304のハッシュ値を算出し,算出されたハッシュ値を機器ベンダ秘密鍵302を用いて暗号化されたファームウェア更新プログラム304に署名する。機器ベンダ装置30は,暗号化されたファームウェア更新プログラム304を,ホスト20を介して電子機器10に送付する。
電子機器10は,暗号化されたファームウェア更新プログラム304を受信すると,受信した暗号化されたファームウェア更新プログラム304の署名の検証を行う。暗号化されたファームウェア更新プログラム304の正当性が証明されると,その暗号化されたファームウェア更新プログラム304を機器秘密鍵102で復号する。
機器公開鍵101で暗号化されたファームウェア更新プログラム304は,電子機器10が保持する機器秘密鍵102でのみ復号可能である。よって,機器ベンダ装置30から電子機器10に暗号化されたファームウェア更新プログラム304が送られる過程で,例えば中継するホスト20などで暗号化されたファームウェア更新プログラム304を取得したとしても,その暗号化されたファームウェア更新プログラム304を復号することはできない。
電子機器10は,復号されたファームウェア更新プログラム304を実行することにより,電子機器10自身のファームウェアの更新を行う。
なお,図3に示す例では,ファームウェア更新プログラム304を電子機器10にダウンロードし,そのファームウェア更新プログラム304を実行することにより,電子機器10のファームウェアを更新しているが,更新するファームウェアを電子機器にダウンロードし,電子機器10に備えられたファームウェア更新機能によりファームウェア更新を行うようにしてもよい。
また,図3,図4に示す例では,あらかじめ電子機器10に登録しておく機器公開鍵証明書100に含まれる機器ベンダの署名103の署名,検証に用いられる公開鍵/秘密鍵の対と,機器ベンダ装置30から電子機器10に送付される暗号化データに対する署名,検証に用いられる公開鍵/秘密鍵の対とが,共に機器ベンダ公開鍵301/機器ベンダ秘密鍵302の対となっているが,機器ベンダの署名103の署名,検証に用いられる公開鍵/秘密鍵の対と,暗号化データに対する署名,検証に用いられる公開鍵/秘密鍵の対とに,異なる公開鍵/秘密鍵の対を用いるようにしてもよい。
図5は,ファームウェア更新プログラムの暗号化/復号化の流れを説明する図である。ファームウェア更新プログラム304は,機器ベンダ側で暗号化され,電子機器10側で復号される。
機器ベンダ側では,ファームウェア更新プログラム304を,機器公開鍵証明書100に含まれる機器公開鍵101で暗号化する。暗号化されたファームウェア更新プログラム304のハッシュ値305を算出し,そのハッシュ値305を機器ベンダ秘密鍵302で暗号化し,それを暗号化されたファームウェア更新プログラム304の署名とする。署名済の暗号化されたファームウェア更新プログラム304が,電子機器10側に送信される。
電子機器10側では,署名済の暗号化されたファームウェア更新プログラム304を受信すると,暗号化(署名)されたハッシュ値305を機器ベンダ公開鍵証明書300に含まれる機器ベンダ公開鍵301で復号し,ハッシュ値305を取得する。また,暗号化されたファームウェア更新プログラム304のハッシュ値306を算出する。復号により得られたハッシュ値305と算出されたハッシュ値306とを比較し,双方が一致する場合には,受信データの正当性,すなわち暗号化されたファームウェア更新プログラム304の正当性が証明される。電子機器10側では,あらかじめ保持された機器ベンダ公開鍵301によって受信データの正当性が証明されることにより,受信データが機器ベンダ側から送られた正当なデータであることを信頼する。
暗号化されたファームウェア更新プログラム304を機器秘密鍵102で復号し,実行可能なファームウェア更新プログラム304が得られる。
ここまでの説明では,データの暗号化に公開鍵暗号方式を用いているが,処理時間の短縮を図るため,共通鍵暗号方式と公開鍵暗号方式とのハイブリッド方式を用いるようにしてもよい。実際には,送付するデータのデータサイズが大きい場合には,ハイブリッド方式でデータを暗号化するのが一般的である。なお,署名に関しては,データサイズの小さいハッシュ値を暗号化するので,公開鍵暗号方式を用いるのが一般的である。
図6は,ハイブリッド方式を説明する図である。図6(A)は,公開鍵暗号方式によるデータの暗号化を示す。公開鍵暗号化方式では,公開鍵360によって直接にデータサイズが大きいデータ(平文)350を暗号化し,暗号化されたデータ(暗号文)351を生成する。この場合には,暗号化処理に長時間を費やしてしまう。
図6(B)は,ハイブリッド方式によるデータの暗号化を示す。ハイブリッド方式では,データサイズが大きいデータ(平文)350を比較的に処理時間が短い共通鍵370によって暗号化し(共通鍵暗号方式),暗号化されたデータ(暗号文)351を生成する。さらに,データサイズが小さい共通鍵370を公開鍵360によって暗号化し(公開鍵暗号方式),その暗号化された共通鍵371をデータ(暗号文)351に添付する。
このようなハイブリッド方式を用いることにより,暗号化の処理時間を短縮し,かつ安全なデータの送付を行うことができる。
本実施の形態1により,電子機器10と機器ベンダ装置30との間で安全な鍵交換が可能となり,電子機器10と機器ベンダ装置30との間の安全な通信経路を確立することが可能となる。
〔実施の形態2〕
前述の実施の形態1では,電子機器10にあらかじめ登録された機器公開鍵101と機器秘密鍵102とを変えずに使用することとなるため,一度鍵が破られてしまうと,電子機器10と機器ベンダ装置30との間に安全な通信経路を確立することができなくなってしまう。
前述の実施の形態1では,電子機器10にあらかじめ登録された機器公開鍵101と機器秘密鍵102とを変えずに使用することとなるため,一度鍵が破られてしまうと,電子機器10と機器ベンダ装置30との間に安全な通信経路を確立することができなくなってしまう。
以下で説明する本実施の形態2では,機器公開鍵101と機器秘密鍵102とを変更可能とすることにより,電子機器10と機器ベンダ装置30との間の安全な通信経路の確立を,長期間保つことができるようにする。
本実施の形態2は,機器ベンダ側から電子機器側に安全にデータを送付する技術として,セキュリティチップを用いた場合の例である。本実施の形態2では,セキュリティチップとして,TCG(Trusted Computing Group )で標準化されているTPM(Trusted Platform Module )を用いることを前提としている。
図7は,本実施の形態2による電子機器の構成例を示す図である。電子機器10’は,インターネット90への通信機能を持たない情報機器であり,インターネット90への通信機能を備えたコンピュータであるホスト20’に接続される。
ホスト20’には,セキュリティチップ(TPM)40が搭載されている。セキュリティチップ(TPM)40は,耐タンパ性を持ち,通常はPCなどのマザーボードに直付けされているチップである。セキュリティチップ(TPM)40では,暗号鍵やハッシュ値などの安全な保管が行われる。
電子機器10’は,機器公開鍵送信部15,データ受信部12,署名検証部13,データ復号部14,鍵生成部16を備える。また,電子機器10’は,機器ベンダによって,その出荷前に登録された機器ベンダ公開鍵証明書300を保持する。なお,機器公開鍵101と機器秘密鍵102との対は,必要に応じて電子機器10’内で生成される。
データ受信部12,署名検証部13,データ復号部14,機器ベンダ公開鍵証明書300については,前述の実施の形態1と同様であるので,ここでの説明は省略する。機器公開鍵送信部15は,機器公開鍵101を,セキュリティチップ(TPM)40に送る。鍵生成部16は,必要に応じて機器公開鍵101と機器秘密鍵102との対を生成する。
図8は,本実施の形態2の電子機器による処理のフローチャートである。図8に示す処理の例は,例えばホスト20’がインターネット90を介して機器ベンダ側にアクセスし,機器ベンダ側が電子機器10’に配布しているデータを,電子機器10’にダウンロードする場合の例である。
電子機器10’は,機器公開鍵101,機器秘密鍵102を生成する(ステップS20)。ホスト20’からの要求に応じて,生成された機器公開鍵101を,ホスト20’に搭載されたセキュリティチップ(TPM)40に対して,セキュリティチップ(TPM)40との認証に基づく安全な方法で送信する(ステップS21)。
このとき,セキュリティチップ(TPM)40は,電子機器10’から受け取った機器公開鍵101に対してTPM秘密鍵(セキュリティチップ(TPM)40の秘密鍵)で署名することにより,機器公開鍵証明書を生成し,生成された機器公開鍵証明書とTPM公開鍵証明書(セキュリティチップ(TPM)40の公開鍵を含む,セキュリティチップ(TPM)40の公開鍵証明書)とを,ホスト20’の通信機能を介して,機器ベンダ側に送信する。
機器ベンダ側では,受け取った機器公開鍵証明書,TPM公開鍵証明書をPKIの認証局などを利用して検証し,その機器公開鍵証明書が正当であれば,機器公開鍵証明書に含まれる機器公開鍵101を用いて電子機器10’に送付するデータを暗号化する。さらに,その暗号化されたデータに対して機器ベンダ秘密鍵による署名を行う。具体的には,暗号化されたデータのハッシュ値を算出し,算出されたハッシュ値を機器ベンダ秘密鍵によって暗号化したものを暗号化されたデータに付す。機器ベンダ側は,暗号化されたデータを電子機器10’に送付する。
電子機器10’は,ホスト20’を介して機器ベンダ側から送付されたデータを受信すると(ステップS22),受信したデータに付された署名を検証する(ステップS23)。具体的には,受信したデータに付された署名を機器ベンダ公開鍵証明書300に含まれる機器ベンダ公開鍵301で復号してハッシュ値を取得し,また,受信したデータ本体のハッシュ値を算出し,双方のハッシュ値が一致すれば署名が正当であるとする。
署名が正当であれば(ステップS24),受信したデータを生成された機器秘密鍵102で復号する(ステップS25)。署名が正当でなければ(ステップS24),エラーを通知する(ステップS26)。
以下では,前述の実施の形態1と同様に,特にインターネットに直接接続することができない電子機器10’のファームウェアの更新を例として,機器ベンダ側から電子機器10’側に安全にデータを送付する技術の例を説明する。
図9は,本実施の形態2による情報システムの構成例を示す図である。図9に示す情報システムにおいて,インターネット90(図9では省略)への通信機能を持たない情報機器である電子機器10’は,ユーザが操作するコンピュータであるホスト20’に接続されている。機器ベンダ装置30は,電子機器10’を販売した機器ベンダ側の情報装置である。ホスト20’は,インターネット90を介して機器ベンダ装置30にアクセスすることができる。
機器ベンダ装置30は,機器ベンダ秘密鍵302,ファームウェア更新プログラム304を保持する。ファームウェア更新プログラム304は,電子機器10’のファームウェアを更新するプログラムである。
機器ベンダは,電子機器10’の出荷前に,電子機器10’に対して機器ベンダ公開鍵証明書300を登録しておく。機器ベンダ公開鍵証明書300には,機器ベンダ公開鍵301と,機器ベンダ公開鍵301のハッシュ値を機器ベンダ秘密鍵302で暗号化した機器ベンダの署名303とが含まれる(図7参照)。機器ベンダ公開鍵証明書300に含まれる機器ベンダ公開鍵301と,機器ベンダ装置30が保持する機器ベンダ秘密鍵302とは,対となる鍵である。
ホスト20’には,セキュリティチップ(TPM)40が搭載されている。セキュリティチップ(TPM)40には,TPM公開鍵証明書400,TPM秘密鍵402が,TPMベンダ(セキュリティチップ(TPM)40のベンダ)によって,その製造時に登録されている。セキュリティチップ(TPM)40では,電子機器10’から受け取った機器公開鍵101にTPM秘密鍵102で署名を施すことにより,機器公開鍵証明書100’を生成する。
TPMベンダは,TPMベンダ公開鍵(TPMベンダの公開鍵)を,あらかじめ認証局(CA:Certification Authority )に登録しておく。認証局では,登録されたTPMベンダ公開鍵に署名を施してTPMベンダ公開鍵証明書500を生成し,機器ベンダ側からの要求に応じて,TPMベンダ公開鍵証明書500を発行する。
図10は,本実施の形態2によるTPM公開鍵証明書,機器公開鍵証明書,TPMベンダ公開鍵証明書の例を示す図である。図10(A)に示すように,TPM公開鍵証明書400には,TPM公開鍵401,TPMベンダの署名403が含まれる。TPM公開鍵証明書400に含まれるTPM公開鍵401と,セキュリティチップ(TPM)40が保持するTPM秘密鍵402とは,対となる鍵である。また,図10(B)に示すように,機器公開鍵証明書100’には,機器公開鍵101,TPMの署名104が含まれる。また,図10(C)に示すように,TPMベンダ公開鍵証明書500には,TPMベンダ公開鍵501,認証局の署名502が含まれる。
図10(A)に示すTPM公開鍵証明書400において,TPMベンダの署名403は,TPM公開鍵401のハッシュ値がTPMベンダの秘密鍵(TPMベンダ公開鍵501と対となる鍵)により暗号化されたものである。また,図10(B)に示す機器公開鍵証明書100’において,TPMの署名104は,機器公開鍵101のハッシュ値がTPM秘密鍵402により暗号化されたものである。また,図10(C)に示すTPMベンダ公開鍵証明書500において,認証局の署名502は,TPMベンダ公開鍵501のハッシュ値が認証局の秘密鍵により暗号化されたものである。
図9において,ユーザは,電子機器10’にファームウェア更新プログラム304をダウンロードするために,ホスト20’を操作して機器ベンダ装置30にアクセスする。電子機器10’は,機器公開鍵101と機器秘密鍵102との対を生成し,ホスト20’に搭載されたセキュリティチップ(TPM)40に対して,セキュリティチップ(TPM)40との認証に基づく安全な方法で機器公開鍵101を送信する。
セキュリティチップ(TPM)40は,電子機器10’から受け取った機器公開鍵101に対してTPM秘密鍵402により署名を行って機器公開鍵証明書100’を生成し,その機器公開鍵証明書100’と自らが保持するTPM公開鍵証明書400とを,ホスト20’の通信機能を介して,機器ベンダ装置30に送信する。
機器ベンダ装置30では,受信された機器公開鍵証明書100’の正当性の検証が行われる。
図11は,本実施の形態2による機器公開鍵証明書の正当性の検証を説明する図である。受信された機器公開鍵証明書100’は,TPMベンダにより製造されたセキュリティチップ(TPM)40で署名を受けた情報である。機器ベンダ装置30は,受信された機器公開鍵証明書100’が,正当なTPMベンダにより製造された正当なセキュリティチップ(TPM)40によって署名を受けた情報であるかを検証する。
図11に示すように,機器公開鍵証明書100’には,機器公開鍵101のハッシュ値がTPM秘密鍵402で暗号化されたTPMベンダの署名104が含まれている。また,TPM公開鍵証明書400には,TPM公開鍵401のハッシュ値がTPMベンダの秘密鍵で暗号化されたTPMベンダの署名403が含まれている。また,TPMベンダ公開鍵証明書500には,TPMベンダ公開鍵501のハッシュ値が認証局の秘密鍵で暗号化された認証局の署名502が含まれている。これらの署名が段階的にすべて正しく復号されれば,受信された機器公開鍵証明書100’が,正当なTPMベンダにより製造された正当なセキュリティチップ(TPM)40によって署名を受けた機器公開鍵証明書100’であることが証明される。
まず,機器公開鍵証明書100’の検証を行う。機器公開鍵証明書100’に含まれるTPMの署名104を,TPM公開鍵証明書400に含まれるTPM公開鍵401で復号し,ハッシュ値を取得する。また,機器公開鍵証明書100’に含まれる機器公開鍵101のハッシュ値を算出する。復号により取得されたハッシュ値と算出されたハッシュ値とを比較し,双方が一致すれば,受信された機器公開鍵証明書100’が,TPM公開鍵証明書400を発行したセキュリティチップ(TPM)40によって署名された情報であると認められる。
次に,TPM公開鍵証明書400の検証を行う。機器ベンダ側では,認証局からTPMベンダ公開鍵証明書500を取得しておく。TPM公開鍵証明書400に含まれるTPMベンダの署名403を,TPMベンダ公開鍵証明書500に含まれるTPMベンダ公開鍵501で復号し,ハッシュ値を取得する。また,TPM公開鍵証明書400に含まれるTPM公開鍵401のハッシュ値を算出する。復号により取得されたハッシュ値と算出されたハッシュ値とを比較し,双方が一致すれば,受信されたTPM公開鍵証明書400が,TPMベンダによって署名された情報であると認められる。
次に,TPMベンダ公開鍵証明書500の検証を行う。機器ベンダ側では,正規の手段で認証局の公開鍵601を取得しておく。認証局の公開鍵601は,TPMベンダ公開鍵501に対する署名に用いられた認証局の秘密鍵と対となる鍵である。TPMベンダ公開鍵証明書500に含まれる認証局の署名502を,認証局の公開鍵601で復号し,ハッシュ値を取得する。また,TPMベンダ公開鍵証明書500に含まれるTPMベンダ公開鍵501のハッシュ値を算出する。復号により取得されたハッシュ値と算出されたハッシュ値とを比較し,双方が一致すれば,TPMベンダ公開鍵証明書500が,認証局によって署名された情報であると認められる。
TPMベンダ公開鍵証明書500は,認証局によってその正当性が証明され,TPM公開鍵証明書400は,TPMベンダ公開鍵証明書500の正当性が証明されることにより間接的にその正当性が証明され,機器公開鍵証明書100’は,TPM公開鍵証明書400の正当性が証明されることにより間接的にその正当性が証明される。
このように,本実施の形態2では,PKI等の既存のインフラを利用し,段階的な証明により,受信された機器公開鍵証明書100’が,正当なTPMベンダにより製造された正当なセキュリティチップ(TPM)40によって署名を受けた情報であることを信頼する。
図9において,機器ベンダ装置30は,機器公開鍵証明書100’が正当であると判断されると,機器公開鍵証明書100’に含まれる機器公開鍵101でファームウェア更新プログラム304を暗号化する。暗号化されたファームウェア更新プログラム304のハッシュ値を算出し,算出されたハッシュ値を機器ベンダ秘密鍵302を用いて暗号化されたファームウェア更新プログラム304に署名する。機器ベンダ装置30は,暗号化されたファームウェア更新プログラム304を,ホスト20’を介して電子機器10’に送付する。
電子機器10’は,暗号化されたファームウェア更新プログラム304を受信すると,受信した暗号化されたファームウェア更新プログラム304の署名の検証を行う。暗号化されたファームウェア更新プログラム304の正当性が証明されると,その暗号化されたファームウェア更新プログラム304を機器秘密鍵102で復号する。
機器公開鍵101で暗号化されたファームウェア更新プログラム304は,電子機器10’が生成し,保持する機器秘密鍵102でのみ復号可能である。よって,機器ベンダ装置30から電子機器10’に暗号化されたファームウェア更新プログラム304が送られる過程で,例えば中継するホスト20’などで暗号化されたファームウェア更新プログラム304を取得したとしても,その暗号化されたファームウェア更新プログラム304を復号することはできない。
電子機器10’は,復号されたファームウェア更新プログラム304を実行することにより,電子機器10’自身のファームウェアの更新を行う。
本実施の形態2によるファームウェア更新プログラムの暗号化/復号化の流れについては,前述の実施の形態1と同様であるので,説明を省略する。また,本実施の形態2においても,前述の実施の形態1の場合と同様に,データの暗号化にハイブリッド方式を用いることも当然可能である。
本実施の形態2により,セキュリティチップ(TPM)40を用いることで,機器ベンダ側が,電子機器10’で生成された機器公開鍵101の正当性を認証局等を利用して確認することが可能となるので,機器公開鍵101と機器秘密鍵102を更新することが可能となり,電子機器10’と機器ベンダ装置30との間の通信経路を長期間安全に保つことが可能となる。
以上,実施の形態1,2について説明したが,本発明はこれらの形態に限るものではない。例えば,前述の実施の形態1,2では,機器ベンダから電子機器にデータを送付する例として,ファームウェアの更新プログラムを送付する例を挙げたが,送付データがファームウェア更新プログラムである必要はない。例えば,携帯型音楽プレーヤのベンダ(機器ベンダに相当)からPC(ホスト20に相当)などを用いて携帯型音楽プレーヤ(電子機器10に相当)に音楽データをダウンロードする場合には,ベンダから携帯型音楽プレーヤへの送付データが音楽データとなる。
10,10’ 電子機器
11 機器公開鍵証明書送信部
12 データ受信部
13 署名検証部
14 データ復号部
15 機器公開鍵送信部
16 鍵生成部
20,20’ ホスト
30 機器ベンダ装置
40 セキュリティチップ(TPM)
90 インターネット
100,100’ 機器公開鍵証明書
101 機器公開鍵
102 機器秘密鍵
103 機器ベンダの署名
104 TPMの署名
300 機器ベンダ公開鍵証明書
301 機器ベンダ公開鍵
302 機器ベンダ秘密鍵
303 機器ベンダの署名
304 ファームウェア更新プログラム
400 TPM公開鍵証明書
401 TPM公開鍵
402 TPM秘密鍵
403 TPMベンダの署名
500 TPMベンダ公開鍵証明書
501 TPMベンダ公開鍵
502 認証局の署名
11 機器公開鍵証明書送信部
12 データ受信部
13 署名検証部
14 データ復号部
15 機器公開鍵送信部
16 鍵生成部
20,20’ ホスト
30 機器ベンダ装置
40 セキュリティチップ(TPM)
90 インターネット
100,100’ 機器公開鍵証明書
101 機器公開鍵
102 機器秘密鍵
103 機器ベンダの署名
104 TPMの署名
300 機器ベンダ公開鍵証明書
301 機器ベンダ公開鍵
302 機器ベンダ秘密鍵
303 機器ベンダの署名
304 ファームウェア更新プログラム
400 TPM公開鍵証明書
401 TPM公開鍵
402 TPM秘密鍵
403 TPMベンダの署名
500 TPMベンダ公開鍵証明書
501 TPMベンダ公開鍵
502 認証局の署名
Claims (6)
- インターネットへの通信機能を持たない電子機器と,前記電子機器が接続され,インターネットへの通信機能を備えたホストと,前記ホストからインターネットを介してアクセス可能な,前記電子機器のベンダである機器ベンダの装置とからなる情報処理システムによるデータ送付方法であって,
前記電子機器には,第一の公開鍵と,第二の秘密鍵と,前記機器ベンダによって署名された前記第二の秘密鍵と対となる第二の公開鍵とが,あらかじめ前記機器ベンダによって登録されており,
前記電子機器が,前記署名された第二の公開鍵を,前記ホストを介して前記機器ベンダの装置に送信する過程と,
前記機器ベンダの装置が,受信された前記署名された第二の公開鍵を検証する過程と,
前記機器ベンダの装置が,検証により前記署名された第二の公開鍵の正当性が確認されると,少なくとも前記第二の公開鍵を用いて,前記電子機器に送信するデータを暗号化する過程と,
前記機器ベンダの装置が,前記第一の公開鍵と対となる第一の秘密鍵を用いて,前記暗号化されたデータに署名する過程と,
前記機器ベンダの装置が,前記署名され,暗号化されたデータを,前記ホストを介して前記電子機器に送信する過程と,
前記電子機器が,受信された前記署名され,暗号化されたデータを,前記第一の公開鍵を用いて検証する過程と,
前記電子機器が,検証により前記署名され,暗号化されたデータの正当性が確認されると,前記第二の秘密鍵を用いて前記暗号化されたデータを復号する過程とを有する
ことを特徴とするデータ送付方法。 - インターネットへの通信機能を持たない電子機器と,前記電子機器が接続され,インターネットへの通信機能を備え,セキュリティチップを搭載するホストと,前記ホストからインターネットを介してアクセス可能な,前記電子機器のベンダである機器ベンダの装置とからなる情報処理システムによるデータ送付方法であって,
前記電子機器には,第一の公開鍵が,あらかじめ前記機器ベンダによって登録されており,
前記セキュリティチップには,第三の秘密鍵と,前記セキュリティチップのベンダによって署名された第三の秘密鍵と対となる第三の公開鍵とが,あらかじめ前記セキュリティチップのベンダによって登録されており,
前記電子機器が,第二の秘密鍵と,前記第二の秘密鍵と対となる第二の公開鍵とを生成する過程と,
前記電子機器が,前記第二の公開鍵を前記セキュリティチップに送信する過程と,
前記セキュリティチップが,前記第三の秘密鍵を用いて,受信された前記第二の公開鍵に署名する過程と,
前記ホストが,前記署名された第二の公開鍵と,前記署名された第三の公開鍵とを,前記機器ベンダの装置に送信する過程と,
前記機器ベンダの装置が,受信された前記署名された第二の公開鍵と,前記署名された第三の公開鍵とを検証する過程と,
前記機器ベンダの装置が,検証により前記署名された第二の公開鍵の正当性が確認されると,少なくとも前記第二の公開鍵を用いて,前記電子機器に送信するデータを暗号化する過程と,
前記機器ベンダの装置が,前記第一の公開鍵と対となる第一の秘密鍵を用いて,前記暗号化されたデータに署名する過程と,
前記機器ベンダの装置が,前記署名され,暗号化されたデータを,前記ホストを介して前記電子機器に送信する過程と,
前記電子機器が,受信された前記署名され,暗号化されたデータを,前記第一の公開鍵を用いて検証する過程と,
前記電子機器が,検証により前記署名され,暗号化されたデータの正当性が確認されると,前記第二の秘密鍵を用いて前記暗号化されたデータを復号する過程とを有する
ことを特徴とするデータ送付方法。 - 前記データが,前記電子機器で実行される前記電子機器のファームウェア更新プログラム,または前記電子機器の更新するファームウェアである
ことを特徴とする請求項1または請求項2に記載のデータ送付方法。 - インターネットへの通信機能を備えたホストに接続される,インターネットへの通信機能を持たない電子機器であって,
前記電子機器のベンダである機器ベンダによって登録された,第一の公開鍵と,第二の秘密鍵と,前記機器ベンダによって署名された前記第二の秘密鍵と対となる第二の公開鍵とを保持する手段と,
前記署名された第二の公開鍵を,前記ホストを介して前記機器ベンダの装置に送信する手段と,
前記機器ベンダの装置から,前記ホストを介して,少なくとも前記第二の公開鍵を用いて暗号化され,さらに前記第一の公開鍵と対となる第一の秘密鍵を用いて署名されたデータを受信する手段と,
前記ベンダの装置から受信された前記署名され,暗号化されたデータを,前記第一の公開鍵を用いて検証する手段と,
検証により前記署名され,暗号化されたデータの正当性が確認されると,前記第二の秘密鍵を用いて前記暗号化されたデータを復号する手段とを備える
ことを特徴とする電子機器。 - インターネットへの通信機能を備え,セキュリティチップが搭載されたホストに接続される,インターネットへの通信機能を持たない電子機器であって,
前記電子機器のベンダである機器ベンダによって登録された,第一の公開鍵を保持する手段と,
第二の秘密鍵と,前記第二の秘密鍵と対となる第二の公開鍵とを生成する手段と,
前記第二の公開鍵を,前記セキュリティチップに送信する手段と,
前記機器ベンダの装置から,前記ホストを介して,少なくとも前記第二の公開鍵を用いて暗号化され,さらに前記第一の公開鍵と対となる第一の秘密鍵を用いて署名されたデータを受信する手段と,
前記ベンダの装置から受信された前記署名され,暗号化されたデータを,前記第一の公開鍵を用いて検証する手段と,
検証により前記署名され,暗号化されたデータの正当性が確認されると,前記第二の秘密鍵を用いて前記暗号化されたデータを復号する手段とを備える
ことを特徴とする電子機器。 - 前記データが,前記電子機器で実行される前記電子機器のファームウェア更新プログラム,または前記電子機器の更新するファームウェアである
ことを特徴とする請求項4または請求項5に記載の電子機器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007297389A JP5136012B2 (ja) | 2007-11-16 | 2007-11-16 | データ送付方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007297389A JP5136012B2 (ja) | 2007-11-16 | 2007-11-16 | データ送付方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009124520A true JP2009124520A (ja) | 2009-06-04 |
| JP5136012B2 JP5136012B2 (ja) | 2013-02-06 |
Family
ID=40816177
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007297389A Active JP5136012B2 (ja) | 2007-11-16 | 2007-11-16 | データ送付方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5136012B2 (ja) |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012533128A (ja) * | 2009-07-16 | 2012-12-20 | アルカテル−ルーセント | セキュア仮想マシンを提供するためのシステムおよび方法 |
| JP2013003777A (ja) * | 2011-06-15 | 2013-01-07 | Ihi Corp | 遠隔保守システム及び遠隔保守方法 |
| US8522045B2 (en) | 2010-02-08 | 2013-08-27 | Ricoh Company, Ltd. | Multi-functional system, security method, security program, and storage medium |
| JP2014505318A (ja) * | 2011-02-11 | 2014-02-27 | シーメンス・ヘルスケア・ダイアグノスティックス・インコーポレーテッド | 安全なソフトウェアの更新のためのシステム及び方法 |
| WO2016031260A1 (ja) * | 2014-08-28 | 2016-03-03 | 三菱重工業株式会社 | 制御プログラム配信システム及びその方法 |
| JP2017535096A (ja) * | 2014-08-18 | 2017-11-24 | クゥアルコム・インコーポレイテッドQualcomm Incorporated | 認証証明のセキュアプロビジョニング |
| JP6340120B1 (ja) * | 2017-06-16 | 2018-06-06 | アイビーシー株式会社 | デバイスプロビジョニングシステム |
| JP2018170806A (ja) * | 2018-08-09 | 2018-11-01 | Kddi株式会社 | 通信システム、通信方法、及びプログラム |
| JP2018182765A (ja) * | 2015-02-03 | 2018-11-15 | 日本電気株式会社 | 仮想ネットワークシステム、仮想ネットワーク制御方法、制御装置およびそのプログラム |
| CN109840104A (zh) * | 2017-11-27 | 2019-06-04 | 施耐德电器工业公司 | 用于提供设备的固件更新的方法 |
| JP2019113886A (ja) * | 2017-12-20 | 2019-07-11 | 大日本印刷株式会社 | 初期設定方法、セキュアエレメント、デバイス及びプログラム |
| CN110784302A (zh) * | 2018-07-31 | 2020-02-11 | 株式会社东芝 | 加密数据生成装置、数字签名生成装置、带数字签名的数据生成装置和系统 |
| WO2020158247A1 (ja) * | 2019-01-28 | 2020-08-06 | オムロン株式会社 | セーフティシステムおよびメンテナンス方法 |
| WO2020184064A1 (ja) * | 2019-03-12 | 2020-09-17 | オムロン株式会社 | セーフティシステムおよびメンテナンス方法 |
| CN112559979A (zh) * | 2020-12-21 | 2021-03-26 | 福建新大陆支付技术有限公司 | 一种pos机上通过硬件安全芯片保护软件库授权使用的方法 |
| CN112654985A (zh) * | 2019-01-28 | 2021-04-13 | 欧姆龙株式会社 | 安全系统以及维护方法 |
| JP2022052542A (ja) * | 2020-09-23 | 2022-04-04 | 東芝情報システム株式会社 | Ffu検査装置及びffu検査用プログラム |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001230770A (ja) * | 2000-02-14 | 2001-08-24 | Toshiba Corp | マイクロプロセッサ |
| JP2003500923A (ja) * | 1999-05-21 | 2003-01-07 | インターナショナル・ビジネス・マシーンズ・コーポレーション | セキュア通信をイニシャライズし、装置を排他的にペアリングする方法、コンピュータ・プログラムおよび装置 |
| JP2003032242A (ja) * | 2001-05-10 | 2003-01-31 | Ranco Inc Of Delaware | マイクロコントローラにおけるファームウェアを更新するための方法 |
| JP2003223416A (ja) * | 2001-11-13 | 2003-08-08 | Microsoft Corp | 認証可能なゲームシステムを製造するためのアーキテクチャ |
| WO2007014314A2 (en) * | 2005-07-26 | 2007-02-01 | Apple Computer, Inc. | Secure software updates |
-
2007
- 2007-11-16 JP JP2007297389A patent/JP5136012B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003500923A (ja) * | 1999-05-21 | 2003-01-07 | インターナショナル・ビジネス・マシーンズ・コーポレーション | セキュア通信をイニシャライズし、装置を排他的にペアリングする方法、コンピュータ・プログラムおよび装置 |
| JP2001230770A (ja) * | 2000-02-14 | 2001-08-24 | Toshiba Corp | マイクロプロセッサ |
| JP2003032242A (ja) * | 2001-05-10 | 2003-01-31 | Ranco Inc Of Delaware | マイクロコントローラにおけるファームウェアを更新するための方法 |
| JP2003223416A (ja) * | 2001-11-13 | 2003-08-08 | Microsoft Corp | 認証可能なゲームシステムを製造するためのアーキテクチャ |
| WO2007014314A2 (en) * | 2005-07-26 | 2007-02-01 | Apple Computer, Inc. | Secure software updates |
Cited By (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012533128A (ja) * | 2009-07-16 | 2012-12-20 | アルカテル−ルーセント | セキュア仮想マシンを提供するためのシステムおよび方法 |
| US8522045B2 (en) | 2010-02-08 | 2013-08-27 | Ricoh Company, Ltd. | Multi-functional system, security method, security program, and storage medium |
| JP2014505318A (ja) * | 2011-02-11 | 2014-02-27 | シーメンス・ヘルスケア・ダイアグノスティックス・インコーポレーテッド | 安全なソフトウェアの更新のためのシステム及び方法 |
| US9276752B2 (en) | 2011-02-11 | 2016-03-01 | Siemens Healthcare Diagnostics Inc. | System and method for secure software update |
| JP2013003777A (ja) * | 2011-06-15 | 2013-01-07 | Ihi Corp | 遠隔保守システム及び遠隔保守方法 |
| JP2017535096A (ja) * | 2014-08-18 | 2017-11-24 | クゥアルコム・インコーポレイテッドQualcomm Incorporated | 認証証明のセキュアプロビジョニング |
| WO2016031260A1 (ja) * | 2014-08-28 | 2016-03-03 | 三菱重工業株式会社 | 制御プログラム配信システム及びその方法 |
| JP2016051185A (ja) * | 2014-08-28 | 2016-04-11 | 三菱重工業株式会社 | 制御プログラム配信システム及びその方法 |
| US11201750B2 (en) | 2015-02-03 | 2021-12-14 | Nec Corporation | Virtual network system, control apparatus, control method, and control program |
| US11777739B2 (en) | 2015-02-03 | 2023-10-03 | Nec Corporation | Virtual network system, control apparatus, control method, and control program |
| JP2018182765A (ja) * | 2015-02-03 | 2018-11-15 | 日本電気株式会社 | 仮想ネットワークシステム、仮想ネットワーク制御方法、制御装置およびそのプログラム |
| US10505742B2 (en) | 2015-02-03 | 2019-12-10 | Nec Corporation | Virtual network system, control apparatus, control method, and control program |
| JP6340120B1 (ja) * | 2017-06-16 | 2018-06-06 | アイビーシー株式会社 | デバイスプロビジョニングシステム |
| JP2019004391A (ja) * | 2017-06-16 | 2019-01-10 | アイビーシー株式会社 | デバイスプロビジョニングシステム |
| WO2018230305A1 (ja) * | 2017-06-16 | 2018-12-20 | アイビーシー株式会社 | デバイスプロビジョニングシステム |
| US11296934B2 (en) | 2017-06-16 | 2022-04-05 | Internetworking & Broadband Consulting Co., Ltd. | Device provisioning system |
| CN109840104A (zh) * | 2017-11-27 | 2019-06-04 | 施耐德电器工业公司 | 用于提供设备的固件更新的方法 |
| JP2019113886A (ja) * | 2017-12-20 | 2019-07-11 | 大日本印刷株式会社 | 初期設定方法、セキュアエレメント、デバイス及びプログラム |
| CN110784302A (zh) * | 2018-07-31 | 2020-02-11 | 株式会社东芝 | 加密数据生成装置、数字签名生成装置、带数字签名的数据生成装置和系统 |
| JP2018170806A (ja) * | 2018-08-09 | 2018-11-01 | Kddi株式会社 | 通信システム、通信方法、及びプログラム |
| JP7334492B2 (ja) | 2019-01-28 | 2023-08-29 | オムロン株式会社 | セーフティシステムおよびメンテナンス方法 |
| CN112654985A (zh) * | 2019-01-28 | 2021-04-13 | 欧姆龙株式会社 | 安全系统以及维护方法 |
| WO2020158247A1 (ja) * | 2019-01-28 | 2020-08-06 | オムロン株式会社 | セーフティシステムおよびメンテナンス方法 |
| CN112654985B (zh) * | 2019-01-28 | 2024-04-09 | 欧姆龙株式会社 | 安全系统以及维护方法 |
| CN113498494A (zh) * | 2019-03-12 | 2021-10-12 | 欧姆龙株式会社 | 安全系统和维护方法 |
| JP7127585B2 (ja) | 2019-03-12 | 2022-08-30 | オムロン株式会社 | セーフティシステムおよびメンテナンス方法 |
| WO2020184064A1 (ja) * | 2019-03-12 | 2020-09-17 | オムロン株式会社 | セーフティシステムおよびメンテナンス方法 |
| JP2020149244A (ja) * | 2019-03-12 | 2020-09-17 | オムロン株式会社 | セーフティシステムおよびメンテナンス方法 |
| JP2022052542A (ja) * | 2020-09-23 | 2022-04-04 | 東芝情報システム株式会社 | Ffu検査装置及びffu検査用プログラム |
| JP7436848B2 (ja) | 2020-09-23 | 2024-02-22 | 東芝情報システム株式会社 | Ffu検査装置及びffu検査用プログラム |
| CN112559979A (zh) * | 2020-12-21 | 2021-03-26 | 福建新大陆支付技术有限公司 | 一种pos机上通过硬件安全芯片保护软件库授权使用的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5136012B2 (ja) | 2013-02-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5136012B2 (ja) | データ送付方法 | |
| US10382485B2 (en) | Blockchain-assisted public key infrastructure for internet of things applications | |
| Anati et al. | Innovative technology for CPU based attestation and sealing | |
| US8291231B2 (en) | Common key setting method, relay apparatus, and program | |
| CN105095696B (zh) | 对应用程序进行安全认证的方法、系统及设备 | |
| US7526649B2 (en) | Session key exchange | |
| US20150333915A1 (en) | Method and apparatus for embedding secret information in digital certificates | |
| US8495383B2 (en) | Method for the secure storing of program state data in an electronic device | |
| CN109639427B (zh) | 一种数据发送的方法及设备 | |
| US20050283826A1 (en) | Systems and methods for performing secure communications between an authorized computing platform and a hardware component | |
| CN111010410A (zh) | 一种基于证书身份认证的拟态防御系统及证书签发方法 | |
| JP2010011400A (ja) | 共通鍵方式の暗号通信システム | |
| JP2008507203A (ja) | ディストリビューションcdを使用した、署名されたグループにおけるダイレクトプルーフの秘密鍵を装置に伝達する方法 | |
| JPWO2015193945A1 (ja) | 更新プログラム及び方法、及び、管理プログラム及び方法 | |
| JP2018117185A (ja) | 情報処理装置、情報処理方法 | |
| KR20210153419A (ko) | Puf를 이용한 인증서 기반 디바이스 인증 장치 및 방법 | |
| CN111510448A (zh) | 汽车ota升级中的通讯加密方法、装置及系统 | |
| Barker et al. | Sp 800-57. recommendation for key management, part 1: General (revised) | |
| JP2004140636A (ja) | 電子文書の署名委任システム、署名委任サーバ及び署名委任プログラム | |
| JP2004282391A (ja) | 認証機能を有する情報処理装置及び認証機能付与方法 | |
| JP2014022920A (ja) | 電子署名システム、電子署名方法および電子署名プログラム | |
| JP4541740B2 (ja) | 認証用鍵の更新システム、および認証用鍵の更新方法 | |
| KR20100043799A (ko) | Mtm 기반 모바일 단말기 간의 비밀 데이터 이전 방법 | |
| KR102288444B1 (ko) | 인증모듈의 펌웨어 업데이트 방법, 장치 및 프로그램 | |
| JP2010028689A (ja) | 公開パラメータ提供サーバ、公開パラメータ提供方法、公開パラメータ提供プログラム、暗号化処理実行装置、暗号化処理実行方法、暗号化処理実行プログラム、署名処理実行装置、署名処理実行方法及び署名処理実行プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100715 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120712 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120724 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120924 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121016 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121029 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5136012 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151122 Year of fee payment: 3 |