JP2018042081A - Data transmitting/receiving method and sensing system - Google Patents
Data transmitting/receiving method and sensing system Download PDFInfo
- Publication number
- JP2018042081A JP2018042081A JP2016174379A JP2016174379A JP2018042081A JP 2018042081 A JP2018042081 A JP 2018042081A JP 2016174379 A JP2016174379 A JP 2016174379A JP 2016174379 A JP2016174379 A JP 2016174379A JP 2018042081 A JP2018042081 A JP 2018042081A
- Authority
- JP
- Japan
- Prior art keywords
- data
- transmission
- information
- key
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、通信ネットワークを介して接続された送信側装置から受信側装置へ、各種のデータを暗号化して送信するためのデータ送受信技術に関する。 The present invention relates to a data transmission / reception technique for encrypting and transmitting various types of data from a transmission-side device connected via a communication network to a reception-side device.
センシングシステムは、遠隔地に設置したセンサからのデータを通信ネットワークを利用して、サーバなどの処理装置に収集するシステムであり、最近では、人の生体情報を用いたヘルスケアや見守り等についても検討が進んでいる。
このようなシステムにおいて、セキュリティ確保のためには、ネットワークにアクセスするセンサ端末や処理装置が、正当なものであることを確認したり、アプリケーションによっては、センサ値を秘匿化したりする必要がある。例えば、パソコンやスマートフォンでは、電子証明書を用いた相互認証や秘密鍵暗号による暗号化通信が行われている(例えば、非特許文献1など参照)。
A sensing system is a system that collects data from sensors installed in remote locations in a processing device such as a server using a communication network. Recently, it has also been used for health care and monitoring using human biological information. Consideration is progressing.
In such a system, in order to ensure security, it is necessary to confirm that the sensor terminal and the processing device that access the network are valid, or to conceal the sensor value depending on the application. For example, in personal computers and smartphones, mutual authentication using electronic certificates and encrypted communication using private key encryption are performed (see, for example, Non-Patent Document 1).
このような従来の暗号化通信技術では、送信側装置と受信側装置との間で所定のシーケンスに基づいて双方向通信を行うことにより認証処理を行う必要がある。しかしながら、センシングシステムのセンサ端末では、通信方式や端末制御における制約などの理由により、片方向通信にしか対応していないセンサ端末や、双方向通信に対応していても実際には消費電力低減のため片方向通信で運用させるセンサ端末などを用いる場合がある。このため、このようなセンシングシステムには、従来の暗号化通信技術を適用できないという問題点があった。 In such a conventional encrypted communication technique, it is necessary to perform authentication processing by performing bidirectional communication based on a predetermined sequence between the transmission side device and the reception side device. However, the sensor terminal of the sensing system is actually a sensor terminal that supports only one-way communication, or actually reduces power consumption even if it supports two-way communication due to restrictions on the communication method and terminal control. For this reason, a sensor terminal or the like that is operated by one-way communication may be used. Therefore, such a sensing system has a problem that the conventional encrypted communication technology cannot be applied.
本発明はこのような課題を解決するためのものであり、送信側装置が片方向通信で動作する場合でも、セキュアなデータ通信を行うことができるデータ送受信技術を提供することを目的としている。 An object of the present invention is to provide a data transmission / reception technique capable of performing secure data communication even when a transmission side device operates in one-way communication.
このような目的を達成するために、本発明にかかるデータ送受信方法は、通信ネットワークを介して接続された送信側装置から受信側装置へ、各種のデータを暗号化して送信する際に用いられるデータ送受信方法であって、送信側装置は、データのハッシュ値を計算して送信側秘密鍵で暗号化することにより署名情報を生成する署名情報生成ステップと、データを送信側暗号鍵で暗号化することにより暗号情報を生成する暗号情報生成ステップと、送信側暗号鍵を受信側公開鍵で暗号化することにより鍵情報を生成する鍵情報生成ステップと、署名情報、暗号情報、および鍵情報を1つのメッセージに格納して受信側装置へ送信する送信ステップとを備え、受信側装置は、送信側装置からメッセージを受信する受信ステップと、メッセージに含まれる鍵情報を受信側秘密鍵で復号化することにより送信側暗号鍵を取得する鍵情報復号化ステップと、メッセージに含まれる暗号情報を送信側暗号鍵で復号化することによりデータを取得する暗号情報復号化ステップと、メッセージに含まれる署名情報を送信側公開鍵で復号化することによりハッシュ値を取得する署名情報復号化ステップと、復号化して得られたデータのハッシュ値を計算し、復号化して得られたハッシュ値とを比較することにより、送信側装置および受信側装置の真正性を認証判定する認証判定ステップとを備えている。 In order to achieve such an object, a data transmission / reception method according to the present invention is a data used when various data is encrypted and transmitted from a transmission-side device connected via a communication network to a reception-side device. A transmission / reception method in which a transmission side device calculates a hash value of data and encrypts the data with a transmission side secret key by encrypting the data with a transmission side encryption key Encryption information generation step for generating encryption information, key information generation step for generating key information by encrypting the transmission-side encryption key with the reception-side public key, signature information, encryption information, and key information as 1 A transmission step of storing the message in one message and transmitting the message to the reception side device, wherein the reception side device receives the message from the transmission side device; The key information decrypting step for obtaining the transmitting side encryption key by decrypting the key information to be received with the receiving side private key, and obtaining the data by decrypting the encryption information included in the message with the transmitting side encryption key. An encryption information decryption step, a signature information decryption step of obtaining a hash value by decrypting the signature information included in the message with the transmission side public key, and calculating a hash value of the data obtained by decryption, And an authentication determination step for authenticating the authenticity of the transmission side device and the reception side device by comparing with the hash value obtained by decryption.
また、本発明にかかる上記データ送受信方法の一構成例は、送信ステップが、受信側装置に対してデータを順次送信する際、通常は暗号情報生成ステップで生成されたデータに関する暗号情報のみを受信側装置へ送信し、所定の送信頻度または送信時間間隔でデータに関するメッセージを生成して送信し、暗号情報復号化ステップは、送信側装置から暗号情報のみを受信した場合、それまでにメッセージにより取得した送信側暗号鍵で暗号情報を復号化するようにしたものである。 Also, in one configuration example of the data transmission / reception method according to the present invention, when the transmission step sequentially transmits data to the receiving side device, usually only the cryptographic information related to the data generated in the cryptographic information generation step is received. Sends to the side device, generates and sends a message about the data at a predetermined transmission frequency or transmission time interval, and when only the encryption information is received from the sending side device, the encryption information decryption step is acquired by the message so far The encrypted information is decrypted with the transmitted encryption key.
また、本発明にかかる上記データ送受信方法の一構成例は、送信ステップが、送信側装置と受信側装置との間の通信トラヒックに応じて、メッセージを送信する送信頻度または送信時間間隔を変更するようにしたものである。 Also, in one configuration example of the data transmission / reception method according to the present invention, the transmission step changes a transmission frequency or a transmission time interval for transmitting a message in accordance with communication traffic between the transmission side device and the reception side device. It is what I did.
また、本発明にかかる上記データ送受信方法の一構成例は、暗号情報生成ステップが、データを送信側暗号鍵で暗号化する際、任意の頻度で送信側暗号鍵を変更するようにしたものである。 Also, one configuration example of the data transmission / reception method according to the present invention is such that the encryption information generation step changes the transmission side encryption key at an arbitrary frequency when the data is encrypted with the transmission side encryption key. is there.
また、本発明にかかる上記データ送受信方法の一構成例は、暗号情報生成ステップが、データを送信側暗号鍵で暗号化する際、送信側装置から送信するデータの送信頻度に応じて送信側暗号鍵の変更頻度を変更するようにしたものである。 Also, one configuration example of the data transmission / reception method according to the present invention is that, when the encryption information generation step encrypts data with the transmission side encryption key, the transmission side encryption is performed according to the transmission frequency of the data transmitted from the transmission side device. The change frequency of the key is changed.
また、本発明にかかるセンシングシステムは、通信ネットワークを介して接続されたセンサ端末から処理装置へ、各種のデータを暗号化して送信するセンシングシステムであって、前述したいずれかのデータ送受信方法に基づいて、センサ端末から処理装置へデータを送信するようにしたものである。 The sensing system according to the present invention is a sensing system that encrypts and transmits various types of data from a sensor terminal connected via a communication network to a processing device, and is based on any one of the data transmission / reception methods described above. Thus, data is transmitted from the sensor terminal to the processing device.
また、本発明にかかる他のセンシングシステムは、通信ネットワークを介して接続されたセンサ端末から処理装置へ、各種のデータを暗号化して送信するセンシングシステムであって、センサ端末から送信されたデータを処理装置へ中継転送する中継装置を備え、前述したいずれかのデータ送受信方法に基づいて、中継装置から処理装置へデータを送信するようにしたものである。 Another sensing system according to the present invention is a sensing system that encrypts and transmits various types of data from a sensor terminal connected via a communication network to a processing device, and transmits data transmitted from the sensor terminal. A relay device that relays and transfers to the processing device is provided, and data is transmitted from the relay device to the processing device based on any of the data transmission / reception methods described above.
また、本発明にかかる上記他のセンシングシステムの一構成例は、センサ端末が、署名情報、暗号情報、および鍵情報のうち、いずれか1または複数の情報を分担して生成し、中継装置は、メッセージを送信する際、署名情報、暗号情報、および鍵情報のうち、センサ端末で生成された情報と自己で生成した残りの情報とを、1つのメッセージに格納して処理装置へ送信するようにしたものである。 In another configuration example of the sensing system according to the present invention, the sensor terminal divides and generates any one or a plurality of pieces of information among signature information, encryption information, and key information. When transmitting a message, among the signature information, encryption information, and key information, the information generated by the sensor terminal and the remaining information generated by itself are stored in one message and transmitted to the processing device. It is a thing.
本発明によれば、送信するデータが送信側の公開鍵暗号方式で暗号化されるとともに、データのハッシュ値が送信側の共通鍵暗号方式で暗号化され、さらに送信側の共通鍵暗号方式で用いる送信側暗号鍵(共通鍵)が受信側の公開鍵暗号方式で暗号化されて、これらが1つのメッセージにより送信側から受信側へ転送される。このため、このメッセージを受信側で復号化することにより、送信側および受信側の真正性を認証判定することができるとともに、データに関する秘匿性も確保することができる。 According to the present invention, the data to be transmitted is encrypted by the public key encryption method on the transmission side, the hash value of the data is encrypted by the common key encryption method on the transmission side, and further the common key encryption method on the transmission side. The transmission side encryption key (common key) to be used is encrypted by the reception side public key encryption method, and these are transferred from the transmission side to the reception side by one message. For this reason, by decoding this message on the receiving side, it is possible to authenticate and determine the authenticity of the transmitting side and the receiving side, and it is possible to ensure confidentiality regarding data.
したがって、センシングシステムのセンサ端末のように、通信方式や端末制御における制約などの理由により、送信側が片方向通信にしか対応していない場合や、双方向通信に対応していても実際には消費電力低減のため片方向通信で運用させる場合であっても、セキュアなデータ通信を行うことができる。これにより、送信側の処理負担や回路構成を削減することができ、システム全体のコストを大幅に低減することが可能となる。 Therefore, even if the sending side only supports one-way communication, or actually supports two-way communication, due to limitations in the communication method and terminal control, such as sensor terminals of sensing systems, it is actually consumed. Secure data communication can be performed even when operating in one-way communication to reduce power consumption. As a result, the processing load and circuit configuration on the transmission side can be reduced, and the cost of the entire system can be greatly reduced.
次に、本発明の実施の形態について図面を参照して説明する。
[第1の実施の形態]
まず、図1を参照して、本発明の第1の実施の形態にかかるセンシングシステム1について説明する。図1は、第1の実施の形態にかかるセンシングシステムの構成を示すブロック図である。
Next, embodiments of the present invention will be described with reference to the drawings.
[First Embodiment]
First, a sensing system 1 according to a first embodiment of the present invention will be described with reference to FIG. FIG. 1 is a block diagram illustrating a configuration of a sensing system according to the first embodiment.
このセンシングシステム1は、複数のセンサ端末10が通信ネットワークNWを介して処理装置20と接続されており、これらセンサ端末10で検出されたセンサ値を通信ネットワークNWを介して処理装置20で収集するシステムである。
In the sensing system 1, a plurality of
センサ端末10は、センサで検出したセンサ値などのデータを、通信ネットワークNWを介して処理装置20へ送信する際、送信するデータと予め設定されている各種暗号鍵とに基づいて暗号化処理することにより、センサ端末10および処理装置20の真正性認証およびデータ秘匿化のための各種の認証情報を生成し、これらを1つのメッセージに格納して送信する機能を有している。
When the
処理装置20は、全体としてサーバ装置などの情報処理装置からなり、通信ネットワークNWを介して受信したセンサ端末10からのメッセージからそれぞれの認証情報を取得して、予め設定されている各種暗号鍵に基づいて復号化処理することにより、センサ端末10および処理装置20の真正性認証および秘匿化された元のデータの復号化を行う機能を有している。
The
本実施の形態において、センサ端末10が送信側装置となるとともに、処理装置20が受信側装置となって、センサ端末10がメッセージの送信機能のみを備える場合を例として説明するが、これに限定されるものではなく、センサ端末10がメッセージの受信機能を備えていてもよい。
In the present embodiment, a case will be described as an example where the
なお、図1には、センサ端末10と処理装置20とが通信ネットワークNWを介して直接データ通信を行う構成が例として説明されているが、これに限定されるものではなく、例えば、センサ端末10と通信ネットワークNWとの間に中継装置を設けて、複数のセンサ端末10からのメッセージを集約して、処理装置20へ転送するようにしてもよい。
In FIG. 1, the configuration in which the
図2は、第1の実施の形態にかかる暗号処理を示す説明図である。本実施の形態において、送信側となるセンサ端末10には、送信側秘密鍵Kssと送信側公開鍵Kspとのペアからなる送信側公開暗号鍵が予め設定されている。また、受信側となる処理装置20には、受信側秘密鍵Krsと受信側公開鍵Krpとのペアからなる受信側公開暗号鍵が予め設定されている。これら送信側公開暗号鍵および受信側公開暗号鍵は、一般的な公開暗号鍵から構成されている。
FIG. 2 is an explanatory diagram of encryption processing according to the first embodiment. In the present embodiment, a transmission side public encryption key composed of a pair of a transmission side private key Kss and a transmission side public key Ksp is set in advance in the
本実施の形態において、センサ端末10の送信側公開鍵Kspは、予め処理装置20に設定しておき、処理装置20の受信側公開鍵Krpは、予めセンサ端末10に設定しておくものとする。暗号アルゴリズムとしては、RSA、ElGamal等の一般的な手法を用いればよい。
また、センサ端末10には、共通暗号鍵からなる送信側暗号鍵Kscが予め設定されており、所定のタイミングで更新される。
これらの鍵の保管や暗号処理は、センサ端末10や処理装置20内に設置された、耐タンパ性を有するハードウェア内で安全に行われる。
In the present embodiment, the transmission side public key Ksp of the
The
The storage and encryption processing of these keys are safely performed in tamper-resistant hardware installed in the
図2に示すように、センサ端末10において、送信側秘密鍵Kss、送信側暗号鍵Ksc、および受信側公開鍵Krpは、それぞれハッシュ値Hd、データD、および送信側暗号鍵Kscの暗号化に用いられる。
また、処理装置20において、受信側秘密鍵Krs、送信側暗号鍵Ksc、および送信側公開鍵Kspは、それぞれ送信側暗号鍵Ksc、データD、およびハッシュ値Hdの復号化に用いられる。
As shown in FIG. 2, in the
In the
[センサ端末]
次に、図1を参照して、本実施の形態にかかるセンサ端末10の構成について詳細に説明する。
センサ端末10には、主な機能部として、センサ11、署名情報生成部12、暗号情報生成部13、鍵情報生成部14、および送信部15が設けられている。
[Sensor terminal]
Next, with reference to FIG. 1, the structure of the
The
センサ11は、対象からセンサ値を検出して出力する機能を有している。
署名情報生成部12は、センサ11で検出したセンサ値などのデータDについてハッシュ値Hdを計算する機能と、得られたハッシュ値Hdを送信側秘密鍵Kssで暗号化することにより署名情報Dsを生成する機能を有している。
The
The signature
暗号情報生成部13は、データDを送信側暗号鍵Kscで暗号化することにより暗号情報Dcを生成する機能を有している。この際、暗号アルゴリズムとしては、AES、Camellia等一般的な手法を用いればよい。
鍵情報生成部14は、送信側暗号鍵Kscを受信側公開鍵Krpで暗号化することにより鍵情報Dkを生成する機能を有している。
送信部15は、署名情報Ds、暗号情報Dc、および鍵情報Dkからなる認証情報を、1つの認証メッセージMaに格納し、通信ネットワークNWを介して処理装置20へ送信する機能を有している。
The encryption
The key
The
[処理装置]
次に、図1を参照して、本実施の形態にかかる処理装置20の構成について詳細に説明する。
処理装置20には、主な機能部として、受信部21、鍵情報復号化部22、暗号情報復号化部23、署名情報復号化部24、および認証判定部25が設けられている。
[Processing equipment]
Next, the configuration of the
The
受信部21は、センサ端末10から送信された認証メッセージMaを受信し、格納されている署名情報Ds、暗号情報Dc、および鍵情報Dkからなる認証情報を、それぞれ取得する機能を有している。
The receiving
鍵情報復号化部22は、認証メッセージMaに含まれる鍵情報Dkを受信側秘密鍵Krsで復号化することにより送信側暗号鍵Kscを取得する機能を有している。
暗号情報復号化部23は、認証メッセージMaに含まれる暗号情報Dcを、鍵情報復号化部22で得られた送信側暗号鍵Kscで復号化することによりデータDを取得する機能を有している。
The key
The encryption
署名情報復号化部24は、認証メッセージMaに含まれる署名情報Dsを送信側公開鍵Kspで復号化することによりハッシュ値Hdを取得する機能を有している。
認証判定部25は、暗号情報復号化部23で復号化して得られたデータDのハッシュ値Hd’を計算する機能と、署名情報復号化部24で復号化して得られたハッシュ値Hdをハッシュ値Hd’と比較することにより、センサ端末10および処理装置20の真正性を認証判定する機能とを有している。
The signature
The
[第1の実施の形態の動作]
次に、図3を参照して、本実施の形態にかかるセンシングシステム1のデータ転送動作について説明する。図3は、第1の実施の形態にかかるデータ転送処理を示すシーケンス図である。
センシングシステム1は、図3に示すように、センサ端末10から処理装置20へデータDを転送するデータ転送処理において、予め設定されている転送タイミングに応じて間欠的に、認証メッセージ転送処理(ステップ100)を実行する。
[Operation of First Embodiment]
Next, the data transfer operation of the sensing system 1 according to the present embodiment will be described with reference to FIG. FIG. 3 is a sequence diagram illustrating data transfer processing according to the first embodiment.
As shown in FIG. 3, the sensing system 1 intermittently performs an authentication message transfer process (steps) according to a preset transfer timing in a data transfer process for transferring data D from the
まず、センサ端末10は、送信する新たなデータDと予め設定されている各種暗号鍵とに基づいて暗号化処理することにより、署名情報Ds、暗号情報Dc、および鍵情報Dkからなる認証情報を生成し(ステップ101)、これら認証情報Ds、Dc、Dkが格納された認証メッセージMaを処理装置20へ送信する(ステップ102)。
First, the
処理装置20は、センサ端末10からの認証メッセージMaを受信し、認証メッセージMaから取得した認証情報Ds、Dc、Dkを予め設定されている各種暗号鍵に基づいて復号化処理し(ステップ103)、センサ端末10および処理装置20に関する真正性の認証成功に応じて、得られたデータDを出力し、一連の認証メッセージ転送処理(ステップ100)を終了する。
The
[センサ端末の動作]
次に、図4を参照して、データ転送動作におけるセンサ端末10での送信側動作について説明する。図4は、第1の実施の形態にかかるセンサ端末の送信側処理を示すフローチャートである。
センサ端末10は、データ転送動作において、図4の送信側処理を実行する。
[Operation of sensor terminal]
Next, with reference to FIG. 4, the transmission side operation in the
The
まず、署名情報生成部12は、センサ11で検出したセンサ値などの新たなデータDについてハッシュ値Hdを計算し(ステップ110)、得られたハッシュ値Hdを送信側秘密鍵Kssで暗号化することにより署名情報Dsを生成する(ステップ111)。
また、暗号情報生成部13は、データDを送信側暗号鍵Kscで暗号化することにより暗号情報Dcを生成し(ステップ112)、鍵情報生成部14は、送信側暗号鍵Kscを受信側公開鍵Krpで暗号化することにより鍵情報Dkを生成する(ステップ113)。
First, the signature
Also, the encryption
この後、送信部15は、署名情報Ds、暗号情報Dc、および鍵情報Dkからなる認証情報を、1つの認証メッセージMaに格納した後(ステップ114)、通信ネットワークNWを介して処理装置20へ送信し(ステップ115)、一連の認証メッセージ送信処理を終了する。
Thereafter, the
[処理装置の動作]
次に、図5を参照して、データ転送動作における処理装置20での受信側動作について説明する。図5は、第1の実施の形態にかかる処理装置の受信側処理を示すフローチャートである。
処理装置20は、データ転送動作において、図5の受信側処理を実行する。
[Processing unit operation]
Next, with reference to FIG. 5, the reception side operation in the
The
まず、受信部21は、受信した認証メッセージMaに格納されている署名情報Ds、暗号情報Dc、および鍵情報Dkからなる認証情報を、それぞれ取得する(ステップ120)。
次に、鍵情報復号化部22は、認証メッセージMaに含まれる鍵情報Dkを受信側秘密鍵Krsで復号化することにより送信側暗号鍵Kscを取得し(ステップ121)、暗号情報復号化部23は、認証メッセージMaに含まれる暗号情報Dcを、鍵情報復号化部22で得られた送信側暗号鍵Kscで復号化することにより元のデータDを取得する(ステップ122)。
First, the receiving
Next, the key
また、署名情報復号化部24は、認証メッセージMaに含まれる署名情報Dsを送信側公開鍵Kspで復号化することによりハッシュ値Hdを取得する(ステップ123)。
この後、認証判定部25は、暗号情報復号化部23で復号化して得られたデータDのハッシュ値Hd’を計算し(ステップ124)、署名情報復号化部24で復号化して得られたハッシュ値Hdをハッシュ値Hd’と比較する(ステップ125)。
Further, the signature
Thereafter, the
ここで、ハッシュ値Hdとハッシュ値Hd’とが一致した場合(ステップ125:YES)、認証判定部25は、センサ端末10および処理装置20に関する真正性の認証成功と判定して(ステップ126)、暗号情報復号化部23で得られたデータDを後段処理へ出力し(ステップ127)、一連の認証メッセージ受信処理を終了する。これにより、センサ端末10および処理装置20に関する真正性が確認でき、データDに関する秘匿性も確保できたことになる。
Here, when the hash value Hd and the hash value Hd ′ match (step 125: YES), the
一方、ハッシュ値Hdとハッシュ値Hd’とが不一致であった場合(ステップ125:NO)、認証判定部25は、センサ端末10および処理装置20に関する真正性の認証失敗と判定して(ステップ128)、暗号情報復号化部23で得られたデータDを廃棄し(ステップ129)、一連の認証メッセージ受信処理を終了する。これにより、センサ端末10および処理装置20に関する真正性が確認できなかったことになる。
On the other hand, when the hash value Hd and the hash value Hd ′ do not match (step 125: NO), the
[第1の実施の形態の効果]
このように、本実施の形態は、送信側のセンサ端末10で、送信するデータDのハッシュ値Hdを送信側秘密鍵Kssで暗号化して生成した署名情報Dsと、データDを送信側暗号鍵Kscで暗号化して生成した暗号情報Dcと、送信側暗号鍵Kscを受信側公開鍵Krpで暗号化して生成した鍵情報Dkとを、認証メッセージMaに格納して受信側へ送信し、受信側の処理装置20で、受信した認証メッセージMaの鍵情報Dkを受信側秘密鍵Krsで復号化して送信側暗号鍵Kscを取得し、認証メッセージMaの暗号情報Dcを送信側暗号鍵Kscで復号化してデータDを取得し、認証メッセージMaの署名情報Dsを送信側公開鍵Kspで復号化してハッシュ値Hdを取得し、データDから計算したハッシュ値Hd’とを比較することにより、送信側および受信側の真正性を認証判定するようにしたものである。
[Effect of the first embodiment]
As described above, in the present embodiment, in the
これにより、データDが送信側の公開鍵暗号方式で暗号化されるとともに、データDのハッシュ値Hdが送信側の共通鍵暗号方式で暗号化され、さらに送信側の共通鍵暗号方式で用いる送信側暗号鍵(共通鍵)が受信側の公開鍵暗号方式で暗号化されて、これらが1つのメッセージMaにより送信側から受信側へ転送される。このため、このメッセージMaを受信側で復号化することにより、送信側および受信側の真正性を認証判定することができるとともに、データに関する秘匿性も確保することができる。 As a result, the data D is encrypted by the transmission side public key cryptosystem, and the hash value Hd of the data D is encrypted by the transmission side common key cryptosystem, and further transmitted by the transmission side common key cryptosystem. The side encryption key (common key) is encrypted by the public key cryptosystem on the reception side, and these are transferred from the transmission side to the reception side by one message Ma. For this reason, by decoding this message Ma on the receiving side, it is possible to authenticate and determine the authenticity of the transmitting side and the receiving side, and it is also possible to ensure confidentiality regarding data.
したがって、センシングシステム1のセンサ端末10のように、通信方式や端末制御における制約などの理由により、送信側が片方向通信にしか対応していない場合や、双方向通信に対応していても実際には消費電力低減のため片方向通信で運用させる場合であっても、セキュアなデータ通信を行うことができる。これにより、送信側の処理負担や回路構成を削減することができ、システム全体のコストを大幅に低減することが可能となる。
Therefore, as in the case of the
[第2の実施の形態]
次に、本発明の第2の実施の形態にかかるセンシングシステム1について説明する。
第1の実施の形態では、データ転送処理において、データDを転送するごとに、認証メッセージ転送処理(ステップ100)を実行する場合を例として説明した。ここで、データDの転送間隔が短い場合、データDを転送するごとに、毎回、認証メッセージ転送処理を実行する必要性がない場合もある。本実施の形態では、通常はデータDを暗号化してデータ転送する暗号メッセージ転送処理を実行し、一定の送信頻度または送信時間間隔で認証メッセージ転送処理を実行する場合について説明する。
[Second Embodiment]
Next, the sensing system 1 concerning the 2nd Embodiment of this invention is demonstrated.
In the first embodiment, the case where the authentication message transfer process (step 100) is executed each time the data D is transferred in the data transfer process has been described as an example. Here, when the transfer interval of the data D is short, it may not be necessary to execute the authentication message transfer process every time the data D is transferred. In the present embodiment, a case will be described in which encrypted message transfer processing is performed in which data D is normally encrypted and transferred, and authentication message transfer processing is executed at a constant transmission frequency or transmission time interval.
本実施の形態において、センサ端末10の送信部15は、処理装置20に対してデータを順次送信する際、通常は暗号情報生成部13で生成されたデータDに関する暗号情報Dcのみを格納した暗号メッセージMdにより処理装置20へ送信する機能と、所定の送信頻度または送信時間間隔でデータDに関する認証メッセージMaを生成して送信する機能とを有している。
In the present embodiment, when the
この際、認証メッセージMaの送信については、予め設定された暗号メッセージMdに対する送信頻度、例えば暗号メッセージMdの数万回に1回などの送信頻度で、認証メッセージMaを送信するようにしてもよく、例えば数時間に1回などの送信時間間隔で認証メッセージMaを送信してもよい。 At this time, as for the transmission of the authentication message Ma, the authentication message Ma may be transmitted at a transmission frequency for the encryption message Md set in advance, for example, once every tens of thousands of encryption messages Md. For example, the authentication message Ma may be transmitted at a transmission time interval such as once every several hours.
また、認証メッセージMaを送信するごとに毎回、あるいは認証メッセージMaに対する一定の送信頻度で、送信側暗号鍵Kscを更新してもよい。これにより、悪意のある第三者によるデータDの解読に対するセキュリティ性を高めることができる。
なお、認証メッセージMaについては、処理装置20で収集すべきデータDではなく、擬似的なダミーデータを用いてもよい。これにより、収集すべき新たなデータDが存在していなくても、任意のタイミングで認証メッセージMaを送信することができる。
Further, the transmission side encryption key Ksc may be updated every time the authentication message Ma is transmitted, or at a constant transmission frequency for the authentication message Ma. Thereby, the security against the decryption of the data D by a malicious third party can be enhanced.
For the authentication message Ma, pseudo dummy data may be used instead of the data D to be collected by the
また、センサ端末10と処理装置20との間の通信経路に関する通信トラヒックに応じて、認証メッセージMaを送信する送信頻度または送信時間間隔を変更してもよい。例えば、通信ネットワークNWや通信経路上に位置する中継装置などのネットワーク機器、さらには処理装置20から通知された通信トラヒックが増大/低減に応じて、送信頻度(送信時間間隔)を低減/増大(延長/短縮)すればよい。これにより、ネットワーク負荷を軽減することができる。
Further, the transmission frequency or transmission time interval for transmitting the authentication message Ma may be changed according to the communication traffic related to the communication path between the
また、処理装置20の暗号情報復号化部23は、センサ端末10から暗号メッセージMdにより暗号情報Dcのみを受信した場合、それまでに認証メッセージMaにより取得した送信側暗号鍵Kscで暗号情報Dcを復号化することによりデータDを取得する機能を有している。
Further, when only the encryption information Dc is received from the
[第2の実施の形態の動作]
次に、図6を参照して、本実施の形態にかかるセンシングシステム1の動作について説明する。図6は、第2の実施の形態にかかるデータ転送処理を示すシーケンス図である。
[Operation of Second Embodiment]
Next, the operation of the sensing system 1 according to the present embodiment will be described with reference to FIG. FIG. 6 is a sequence diagram illustrating data transfer processing according to the second embodiment.
センシングシステム1は、図3に示すように、センサ端末10から処理装置20へデータDを転送するデータ転送処理において、まず最初に、認証メッセージ転送処理(ステップ100)を実行して、センサ端末10から処理装置20へ送信側暗号鍵Kscを通知する。
その後、所定の送信頻度または送信時間間隔に基づき認証メッセージ転送処理の処理タイミングが到来するまで、暗号メッセージ転送処理(ステップ200)を繰り返し実行する。
As shown in FIG. 3, in the data transfer process for transferring the data D from the
Thereafter, the encryption message transfer process (step 200) is repeatedly executed until the processing timing of the authentication message transfer process arrives based on a predetermined transmission frequency or transmission time interval.
暗号メッセージ転送処理(ステップ200)において、まず、センサ端末10は、暗号情報生成部13により、新たなデータDを送信側暗号鍵Kscで暗号化することにより暗号情報Dcを生成し(ステップ201)、送信部15により、暗号情報Dcのみを格納した暗号メッセージMcを処理装置20へ送信する(ステップ202)。この際、暗号情報生成部13で送信側暗号鍵Kscを更新した後、暗号情報Dcを生成してもよい。
In the encryption message transfer process (step 200), the
処理装置20は、受信部21により、センサ端末10からの暗号メッセージMcを受信し、暗号メッセージMcから取得した暗号情報Dcを、それまでに実行した暗号メッセージ転送処理(ステップ100)により得られた送信側暗号鍵Kscに基づいて復号化処理し(ステップ203)、センサ端末10および処理装置20に関する真正性の認証成功に応じて、得られたデータDを出力し、一連の暗号メッセージ転送処理(ステップ200)を終了する。
The
また、図6のうち、一定の割合で認証メッセージMaに代えて、更新した送信側暗号鍵を通知するための鍵メッセージMkを送信するようにしてもよい。
この場合、中継装置30では、更新した新たな送信側暗号鍵KscによりデータDを暗号化して得た暗号情報Dcと、受信側公開鍵Krpにより新たな送信側暗号鍵Kscを暗号化して得られた鍵情報Dkとを、1つの鍵メッセージMkに格納して処理装置20へ送信すればよい。
In addition, instead of the authentication message Ma in FIG. 6, a key message Mk for notifying the updated transmitting side encryption key may be transmitted.
In this case, the
また、処理装置20では、受信した鍵メッセージMkから取得した鍵情報Dkを受信側秘密鍵Krsにより復号化して新たな送信側暗号鍵Kscを取得した後、受信した鍵メッセージMkから取得した暗号情報Dcを新たな送信側暗号鍵Kscにより復号化してデータDを取得すればよい。
The
[第2の実施の形態の効果]
このように本実施の形態は、送信側のセンサ端末10において、通常は暗号情報生成部13で生成されたデータDに関する暗号情報Dcのみを暗号メッセージMcにより受信側へ送信し、所定の送信頻度または送信時間間隔でデータDに関する認証メッセージMaを生成して送信し、受信側の処理装置20において、暗号情報復号化部23が、送信側から暗号情報のみを格納する暗号メッセージMc受信した場合、それまでに認証メッセージMaにより取得した送信側暗号鍵Kscで暗号情報Dcを復号化することによりデータDを取得するようにしたものである。
[Effect of the second embodiment]
As described above, according to the present embodiment, in the
これにより、通常は、認証メッセージMaよりデータ長の短い暗号メッセージMcによりデータDが転送されるため、認証メッセージMaを送信する頻度が低減される。したがって、ある程度のセキュリティ性を確保しつつ、送信側のセンサ端末10における処理負担、さらには受信側の処理装置20における処理負担を軽減することが可能となる。
Thereby, since the data D is normally transferred by the encryption message Mc having a data length shorter than that of the authentication message Ma, the frequency of transmitting the authentication message Ma is reduced. Therefore, it is possible to reduce the processing load on the transmitting-
また、本実施の形態において、送信側のセンサ端末10において、送信側と受信側との間の通信トラヒックに応じて、認証メッセージMaを送信する送信頻度または送信時間間隔を変更するようにしてもよい。
これにより、通信トラヒックが比較的低い場合には、より高い頻度でデータDを送信できるとともに、通信トラヒックが増大した場合には、データDの送信頻度を低減させて通信トラヒックに対する悪影響を回避させることができる。
In the present embodiment, in the
As a result, when communication traffic is relatively low, data D can be transmitted at a higher frequency, and when communication traffic increases, the transmission frequency of data D is reduced to avoid adverse effects on communication traffic. Can do.
また、本実施の形態において、一定の割合で認証メッセージMaに代えて、更新した送信側暗号鍵Kscにより得た暗号情報Dcと、更新した送信側暗号鍵Kscを暗号化して得られた鍵情報Dkとを、1つの鍵メッセージMkに格納して処理装置20へ送信するようにしてもよい。
これにより、認証メッセージMaを送信する頻度をさらに低減しつつ、送信側暗号鍵Kscを更新される。したがって、ある程度のセキュリティ性を確保しつつ、送信側のセンサ端末10における処理負担、さらには受信側の処理装置20における処理負担を軽減することが可能となる。
In the present embodiment, instead of the authentication message Ma at a certain rate, the encryption information Dc obtained by the updated transmission side encryption key Ksc and the key information obtained by encrypting the updated transmission side encryption key Ksc. Dk may be stored in one key message Mk and transmitted to the
Thereby, the transmission side encryption key Ksc is updated while further reducing the frequency of transmitting the authentication message Ma. Therefore, it is possible to reduce the processing load on the transmitting-
[第3の実施の形態]
次に、図7を参照して、本発明の第3の実施の形態にかかるセンシングシステム1について説明する。図7は、第3の実施の形態にかかるセンシングシステムの構成を示すブロック図である。
[Third Embodiment]
Next, with reference to FIG. 7, the sensing system 1 concerning the 3rd Embodiment of this invention is demonstrated. FIG. 7 is a block diagram illustrating a configuration of a sensing system according to the third embodiment.
センシングシステム1では、多数のセンサ端末10が処理装置20に対して接続される場合、センサ端末10と処理装置20との間に中継装置30を設け、中継装置30によりセンサ端末10からのデータを集約して処理装置20へ中継転送する場合がある。
本実施の形態では、センサ端末10に代えて中継装置30を送信側装置とし、中継装置30と処理装置20との間に暗号化通信技術を適用する場合を例として説明する。ここでは、中継装置30が1つの場合を例として説明するが、中継装置30を複数設け、それぞれに複数のセンサ端末10を収容するようにしてもよい。なお、処理装置20の構成については、第1の実施の形態と同様であり、ここでの詳細な説明は省略する。
In the sensing system 1, when a large number of
In the present embodiment, a case will be described as an example in which the
本実施の形態において、中継装置30は、全体としてゲートウェイ装置などのネットワーク機器からなり、各センサ端末10と通信ネットワークNWとの間に接続されて、センサ端末10からのデータを集約した後、暗号化通信技術により処理装置20へ中継転送する機能を有している。
この中継装置30には、主な機能部として、受信部31、署名情報生成部32、暗号情報生成部33、鍵情報生成部34、および送信部35が設けられている。
In the present embodiment, the
The
受信部31は、配下のセンサ端末10から通知された端末データを受信する機能と、これら端末データに対して集約などのデータ処理を実行することにより、処理装置20へ送信すべきデータDを生成する機能とを有している。
署名情報生成部32は、受信部31で生成したデータDについてハッシュ値Hdを計算する機能と、得られたハッシュ値Hdを送信側秘密鍵Kssで暗号化することにより署名情報Dsを生成する機能を有している。
The receiving
The signature
暗号情報生成部33は、受信部31で生成したデータDを送信側暗号鍵Kscで暗号化することにより暗号情報Dcを生成する機能を有している。この際、暗号アルゴリズムとしては、AES、Camellia等一般的な手法を用いればよい。
鍵情報生成部34は、送信側暗号鍵Kscを受信側公開鍵Krpで暗号化することにより鍵情報Dkを生成する機能を有している。
送信部35は、署名情報Ds、暗号情報Dc、および鍵情報Dkからなる認証情報を、1つの認証メッセージMaに格納し、通信ネットワークNWを介して処理装置20へ送信する機能を有している。
The encryption
The key
The
図8は、第3の実施の形態にかかる暗号処理を示す説明図である。本実施の形態において、送信側となる中継装置30には、送信側秘密鍵Kssと送信側公開鍵Kspとのペアからなる送信側公開暗号鍵が予め設定されている。また、受信側となる処理装置20には、受信側秘密鍵Krsと受信側公開鍵Krpとのペアからなる受信側公開暗号鍵が予め設定されている。これら送信側公開暗号鍵および受信側公開暗号鍵は、一般的な公開暗号鍵から構成されている。
FIG. 8 is an explanatory diagram of an encryption process according to the third embodiment. In the present embodiment, a transmission side public encryption key composed of a pair of a transmission side private key Kss and a transmission side public key Ksp is set in advance in the
本実施の形態において、中継装置30の送信側公開鍵Kspは、予め処理装置20に設定しておき、処理装置20の受信側公開鍵Krpは、予め中継装置30に設定しておくものとする。また、中継装置30には、共通暗号鍵からなる送信側暗号鍵Kscが予め設定されており、所定のタイミングで更新される。
これらの鍵の保管や暗号処理は、中継装置30や処理装置20内に設置された、耐タンパ性を有するハードウェア内で安全に行われる。暗号アルゴリズムとしては、RSA、ElGamal等の一般的な手法を用いればよい。
In the present embodiment, the transmission side public key Ksp of the
Storage of these keys and encryption processing are performed safely in tamper-resistant hardware installed in the
図8に示すように、中継装置30において、送信側秘密鍵Kss、送信側暗号鍵Ksc、および受信側公開鍵Krpは、それぞれハッシュ値Hd、データD、および送信側暗号鍵Kscの暗号化に用いられる。
また、処理装置20において、受信側秘密鍵Krs、送信側暗号鍵Ksc、および送信側公開鍵Kspは、それぞれ送信側暗号鍵Ksc、データD、およびハッシュ値Hdの復号化に用いられる。
As shown in FIG. 8, in the
In the
[第3の実施の形態の動作]
次に、図9を参照して、本実施の形態にかかるセンシングシステム1のデータ転送動作について説明する。図9は、第3の実施の形態にかかるデータ転送処理を示すシーケンス図である。
センシングシステム1は、図9に示すように、中継装置30から処理装置20へデータDを転送するデータ転送処理において、予め設定されている転送タイミングに応じて間欠的に、認証メッセージ転送処理(ステップ300)を実行する。
[Operation of Third Embodiment]
Next, a data transfer operation of the sensing system 1 according to the present embodiment will be described with reference to FIG. FIG. 9 is a sequence diagram illustrating data transfer processing according to the third embodiment.
As shown in FIG. 9, the sensing system 1 intermittently performs an authentication message transfer process (step (step)) in a data transfer process for transferring data D from the
まず、中継装置30は、配下のセンサ端末10から端末データを受け取って送信すべき新たなデータDを生成し(ステップ301)、得られたデータDと予め設定されている各種暗号鍵とに基づいて暗号化処理することにより、署名情報Ds、暗号情報Dc、および鍵情報Dkからなる認証情報を生成し(ステップ302)、これら認証情報Ds、Dc、Dkが格納された認証メッセージMaを処理装置20へ送信する(ステップ303)。
First, the
処理装置20は、中継装置30からの認証メッセージMaを受信し、認証メッセージMaから取得した認証情報Ds、Dc、Dkを予め設定されている各種暗号鍵に基づいて復号化処理し(ステップ304)、センサ端末10および処理装置20に関する真正性の認証成功に応じて、得られたデータDを出力し、一連の認証メッセージ転送処理(ステップ300)を終了する。
The
なお、中継装置30における詳細な送信側処理については、前述した図4のセンサ端末10に関する送信側処理と同様であり、ここでの詳細な説明は省略する。
また、処理装置20における詳細な受信側処理については、前述した図5の受信側処理と同様であり、ここでの詳細な説明は省略する。
なお、本実施の形態に対して、第2の実施の形態を適用して、認証メッセージ転送処理の送信頻度を低減するようにしてもよく、前述と同様の作用効果が得られる。
The detailed transmission side processing in the
Further, the detailed reception side processing in the
Note that the second embodiment may be applied to the present embodiment to reduce the transmission frequency of the authentication message transfer process, and the same effect as described above can be obtained.
[第3の実施の形態の効果]
このように、本実施の形態は、第1の実施の形態にかかる送信側を、センサ端末10に代えて中継装置30とし、中継装置30と処理装置20との間に第1の実施の形態にかかるデータ送受信方法を適用したものである。
これにより、センサ端末10での暗号化処理を省くことができ、センサ端末10での処理負担を大幅に削減することができる。したがって、センサ端末10の構成を簡素化でき、あるいは既存のセンサ端末10を適用でき、センシングシステム1全体のコストを削減することが可能となる。
[Effect of the third embodiment]
As described above, in this embodiment, the transmission side according to the first embodiment is replaced with the
Thereby, the encryption process in the
[第4の実施の形態]
次に、図10を参照して、本発明の第4の実施の形態にかかるセンシングシステム1について説明する。図10は、第4の実施の形態にかかるセンシングシステムの構成を示すブロック図である。
[Fourth Embodiment]
Next, a sensing system 1 according to a fourth embodiment of the present invention will be described with reference to FIG. FIG. 10 is a block diagram illustrating a configuration of a sensing system according to the fourth embodiment.
第1野実施の形態では、送信側処理をセンサ端末10ですべて実行する場合を例として説明し、第3の実施の形態では、送信側処理を中継装置30ですべて実行する場合を例として説明した。本実施の形態では、送信側処理をセンサ端末10と中継装置30とで分担して実行する場合について説明する。
In the first embodiment, a case in which all transmission side processing is executed by the
図10には、具体例として、送信側処理のうち、署名情報Dsの生成をセンサ端末10で実行し、暗号化情報Dcおよび鍵情報Dkの生成を中継装置30で実行する場合が例として説明されている。なお、センサ端末10と中継装置30との処理分担については、これに限定されるものではなく、任意に入れ替え可能である。なお、処理装置20の構成については、第1の実施の形態と同様であり、ここでの詳細な説明は省略する。
FIG. 10 illustrates, as a specific example, a case in which the generation of the signature information Ds is executed by the
本実施の形態において、センサ端末10には、主な機能部として、センサ11、署名情報生成部12、および送信部15が設けられている。
送信部15は、センサ11で検出したセンサ値などの新たなデータDに基づいて、署名情報生成部12で生成された署名情報Dsと、データDとを署名メッセージMsに格納して、中継装置30へ送信する機能を有している。なお、センサ11および署名情報生成部12は、第1の実施の形態で説明したものと同様であり、ここでの詳細な説明は省略する。
In the present embodiment, the
The
中継装置30には、主な機能部として、受信部31、暗号情報生成部33、鍵情報生成部34、および送信部35が設けられている。
受信部31は、配下のセンサ端末10からの署名メッセージMsを受信して、署名情報DsとデータDとを取得する機能を有している。
暗号情報生成部33は、受信部31からのデータDを送信側暗号鍵Kscで暗号化することにより暗号情報Dcを生成する機能を有している。
なお、鍵情報生成部34および送信部35は、第3の実施の形態で説明したものと同様であり、ここでの詳細な説明は省略する。
The
The receiving
The encryption
The key
図11は、第4の実施の形態にかかる暗号処理を示す説明図である。本実施の形態において、送信側となるセンサ端末10には、送信側秘密鍵Kssと送信側公開鍵Kspとのペアからなる送信側公開暗号鍵が予め設定されている。また、受信側となる処理装置20には、受信側秘密鍵Krsと受信側公開鍵Krpとのペアからなる受信側公開暗号鍵が予め設定されている。これら送信側公開暗号鍵および受信側公開暗号鍵は、一般的な公開暗号鍵から構成されている。
FIG. 11 is an explanatory diagram of encryption processing according to the fourth embodiment. In the present embodiment, a transmission side public encryption key composed of a pair of a transmission side private key Kss and a transmission side public key Ksp is set in advance in the
本実施の形態において、センサ端末10の送信側公開鍵Kspは、予め処理装置20に設定しておき、処理装置20の受信側公開鍵Krpは、予め中継装置30に設定しておくものとする。また、中継装置30には、共通暗号鍵からなる送信側暗号鍵Kscが予め設定されており、所定のタイミングで更新される。
これらの鍵の保管や暗号処理は、センサ端末10、中継装置30、および処理装置20内に設置された、耐タンパ性を有するハードウェア内で安全に行われる。暗号アルゴリズムとしては、RSA、ElGamal等の一般的な手法を用いればよい。
In the present embodiment, the transmission side public key Ksp of the
Storage of these keys and encryption processing are performed safely in tamper-resistant hardware installed in the
図11に示すように、センサ端末10において、送信側秘密鍵Kssはハッシュ値Hdの暗号化に用いられ、中継装置30において、送信側暗号鍵Kscおよび受信側公開鍵Krpは、それぞれデータDおよび送信側暗号鍵Kscの暗号化に用いられる。
また、処理装置20において、受信側秘密鍵Krs、送信側暗号鍵Ksc、および送信側公開鍵Kspは、それぞれ送信側暗号鍵Ksc、データD、およびハッシュ値Hdの復号化に用いられる。
As shown in FIG. 11, in the
In the
[第4の実施の形態の動作]
次に、図12を参照して、本実施の形態にかかるセンシングシステム1のデータ転送動作について説明する。図12は、第4の実施の形態にかかるデータ転送処理を示すシーケンス図である。
センシングシステム1は、図12に示すように、センサ端末10から中継装置30を介して処理装置20へデータDを転送するデータ転送処理において、予め設定されている転送タイミングに応じて間欠的に、認証メッセージ転送処理(ステップ400)を実行する。
[Operation of Fourth Embodiment]
Next, the data transfer operation of the sensing system 1 according to the present embodiment will be described with reference to FIG. FIG. 12 is a sequence diagram illustrating data transfer processing according to the fourth embodiment.
As shown in FIG. 12, the sensing system 1 intermittently according to a preset transfer timing in a data transfer process of transferring data D from the
まず、センサ端末10は、送信する新たなデータDと予め設定されている送信側秘密鍵Kssとに基づいて暗号化処理することにより署名情報Dsを生成し(ステップ401)、署名情報DsとデータDとが格納された署名メッセージMsを中継装置30へ送信する(ステップ402)。
First, the
中継装置30は、配下のセンサ端末10からの署名メッセージMsを受信し、署名メッセージMsから取得したデータDを送信側暗号鍵Kscで暗号化することにより暗号情報Dcを生成する(ステップ403)。また、送信側暗号鍵Kscを受信側公開鍵Krpで暗号化することにより鍵情報Dkを生成し(ステップ404)、署名メッセージMsから取得した署名情報Dsと、中継装置30で生成した暗号情報Dcおよび鍵情報Dkとを、1つの認証メッセージMaに格納して処理装置20へ送信する(ステップ405)。
The
処理装置20は、センサ端末10からの認証メッセージMaを受信し、認証メッセージMaから取得した認証情報Ds、Dc、Dkを予め設定されている各種暗号鍵に基づいて復号化処理し(ステップ406)、センサ端末10および処理装置20に関する真正性の認証成功に応じて、得られたデータDを出力し、一連の認証メッセージ転送処理(ステップ400)を終了する。
The
[第4の実施の形態の効果]
このように、本実施の形態は、センサ端末10は、署名情報Ds、暗号情報Dc、および鍵情報Dkのうち、いずれか1または複数の情報を分担して生成し、中継装置30は、メッセージを送信する際、署名情報Ds、暗号情報Dc、および鍵情報Dkのうち、センサ端末10で生成された情報と自己で生成した情報とを、1つのメッセージに格納して処理装置20へ送信するようにしたものである。
[Effect of the fourth embodiment]
As described above, in the present embodiment, the
これにより、第1の実施の形態と比較して、送信側処理の処理負担をセンサ端末10から中継装置30に分散することができ、センサ端末10の処理負担を軽減でき、センサ端末10の構成を簡素化することが可能となる。
また、送信側処理の分担は、例えばセンサ端末10の接続数や、データDの収集間隔など、センシングシステム1の規模や仕様に応じて分担を決定すればよく、極めてコストパフォーマンスの良好なセンシングシステム1を実現することが可能となる。
Thereby, compared with 1st Embodiment, the processing burden of a transmission side process can be disperse | distributed from the
Further, the sharing of the transmission side processing may be determined according to the scale and specifications of the sensing system 1 such as the number of connections of the
[実施の形態の拡張]
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。また、各実施形態については、矛盾しない範囲で任意に組み合わせて実施することができる。
[Extended embodiment]
The present invention has been described above with reference to the embodiments, but the present invention is not limited to the above embodiments. Various changes that can be understood by those skilled in the art can be made to the configuration and details of the present invention within the scope of the present invention. In addition, each embodiment can be implemented in any combination within a consistent range.
1…センシングシステム、10…センサ端末、11…センサ、12…署名情報生成部、13…暗号情報生成部、14…鍵情報生成部、15…送信部、20…処理装置、21…受信部、22…鍵情報復号化部、23…暗号情報復号化部、24…署名情報復号化部、25…認証判定部、30…中継装置、31…受信部、32…署名情報生成部、33…暗号情報生成部、34…鍵情報生成部、35…送信部、NW…通信ネットワーク。
DESCRIPTION OF SYMBOLS 1 ... Sensing system, 10 ... Sensor terminal, 11 ... Sensor, 12 ... Signature information generation part, 13 ... Encryption information generation part, 14 ... Key information generation part, 15 ... Transmission part, 20 ... Processing apparatus, 21 ... Reception part, DESCRIPTION OF
Claims (8)
送信側装置は、
データのハッシュ値を計算して送信側秘密鍵で暗号化することにより署名情報を生成する署名情報生成ステップと、
データを送信側暗号鍵で暗号化することにより暗号情報を生成する暗号情報生成ステップと、
送信側暗号鍵を受信側公開鍵で暗号化することにより鍵情報を生成する鍵情報生成ステップと、
署名情報、暗号情報、および鍵情報を1つのメッセージに格納して受信側装置へ送信する送信ステップとを備え、
受信側装置は、
送信側装置からメッセージを受信する受信ステップと、
メッセージに含まれる鍵情報を受信側秘密鍵で復号化することにより送信側暗号鍵を取得する鍵情報復号化ステップと、
メッセージに含まれる暗号情報を送信側暗号鍵で復号化することによりデータを取得する暗号情報復号化ステップと、
メッセージに含まれる署名情報を送信側公開鍵で復号化することによりハッシュ値を取得する署名情報復号化ステップと、
復号化して得られたデータのハッシュ値を計算し、復号化して得られたハッシュ値とを比較することにより、送信側装置および受信側装置の真正性を認証判定する認証判定ステップとを備える
ことを特徴とするデータ送受信方法。 A data transmission / reception method used when encrypting and transmitting various types of data from a transmission side device connected via a communication network to a reception side device,
The sending device is
A signature information generation step for generating signature information by calculating a hash value of the data and encrypting the data with a transmission side private key;
An encryption information generation step for generating encryption information by encrypting data with a transmission side encryption key;
A key information generation step for generating key information by encrypting the transmission side encryption key with the reception side public key;
Including a signature step, encryption information, and key information stored in one message and transmitted to the receiving device,
The receiving device
A receiving step of receiving a message from the transmitting device;
A key information decryption step for obtaining a transmission side encryption key by decrypting the key information included in the message with the reception side private key;
An encryption information decryption step for obtaining data by decrypting the encryption information included in the message with the transmission side encryption key;
A signature information decryption step for obtaining a hash value by decrypting the signature information included in the message with the transmission side public key;
An authentication determination step for calculating the hash value of the data obtained by decryption and comparing the hash value obtained by the decryption to authenticate the authenticity of the transmission side device and the reception side device. A data transmission / reception method characterized by the above.
送信ステップは、受信側装置に対してデータを順次送信する際、通常は暗号情報生成ステップで生成されたデータに関する暗号情報のみを受信側装置へ送信し、所定の送信頻度または送信時間間隔でデータに関するメッセージを生成して送信し、
暗号情報復号化ステップは、送信側装置から暗号情報のみを受信した場合、それまでにメッセージにより取得した送信側暗号鍵で暗号情報を復号化することによりデータを取得する
ことを特徴とするデータ送受信方法。 The data transmission / reception method according to claim 1,
In the transmission step, when data is sequentially transmitted to the reception side device, normally, only the encryption information related to the data generated in the encryption information generation step is transmitted to the reception side device, and the data is transmitted at a predetermined transmission frequency or transmission time interval. Generate and send a message about
In the encryption information decryption step, when only the encryption information is received from the transmission side device, data is obtained by decrypting the encryption information with the transmission side encryption key obtained by the message so far. Method.
送信ステップは、送信側装置と受信側装置との間の通信トラヒックに応じて、メッセージを送信する送信頻度または送信時間間隔を変更することを特徴とするデータ送受信方法。 The data transmission / reception method according to claim 2,
A transmission step is a data transmission / reception method characterized by changing a transmission frequency or a transmission time interval for transmitting a message in accordance with communication traffic between a transmission side device and a reception side device.
暗号情報生成ステップは、データを送信側暗号鍵で暗号化する際、任意の頻度で送信側暗号鍵を変更することを特徴とするデータ送受信方法。 In the data transmission / reception method in any one of Claims 1-3,
An encryption information generating step is characterized in that, when data is encrypted with a transmission side encryption key, the transmission side encryption key is changed at an arbitrary frequency.
暗号情報生成ステップは、データを送信側暗号鍵で暗号化する際、送信側装置から送信するデータの送信頻度に応じて送信側暗号鍵の変更頻度を変更することを特徴とするデータ送受信方法。 The data transmission / reception method according to claim 4,
The encryption information generation step, when encrypting data with a transmission side encryption key, changes the transmission side encryption key change frequency according to the transmission frequency of data transmitted from the transmission side device.
請求項1〜請求項5のいずれかに記載のデータ送受信方法に基づいて、センサ端末から処理装置へデータを送信することを特徴とするセンシングシステム。 A sensing system that encrypts and transmits various data to a processing device from a sensor terminal connected via a communication network,
6. A sensing system that transmits data from a sensor terminal to a processing device based on the data transmission / reception method according to claim 1.
センサ端末から送信されたデータを処理装置へ中継転送する中継装置を備え、
請求項1〜請求項5のいずれかに記載のデータ送受信方法に基づいて、中継装置から処理装置へデータを送信する
ことを特徴とするセンシングシステム。 A sensing system that encrypts and transmits various data to a processing device from a sensor terminal connected via a communication network,
A relay device that relays and forwards data transmitted from the sensor terminal to the processing device,
6. A sensing system, comprising: transmitting data from a relay device to a processing device based on the data transmission / reception method according to claim 1.
センサ端末は、署名情報、暗号情報、および鍵情報のうち、いずれか1または複数の情報を分担して生成し、
中継装置は、メッセージを送信する際、署名情報、暗号情報、および鍵情報のうち、センサ端末で生成された情報と自己で生成した残りの情報とを、1つのメッセージに格納して処理装置へ送信する
ことを特徴とするセンシングシステム。 The sensing system according to claim 7,
The sensor terminal divides and generates any one or more of signature information, encryption information, and key information,
When transmitting a message, the relay device stores the information generated by the sensor terminal and the remaining information generated by itself among the signature information, encryption information, and key information in one message and sends it to the processing device. A sensing system characterized by transmitting.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016174379A JP6491162B2 (en) | 2016-09-07 | 2016-09-07 | Data transmission / reception method and sensing system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016174379A JP6491162B2 (en) | 2016-09-07 | 2016-09-07 | Data transmission / reception method and sensing system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018042081A true JP2018042081A (en) | 2018-03-15 |
JP6491162B2 JP6491162B2 (en) | 2019-03-27 |
Family
ID=61624002
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016174379A Active JP6491162B2 (en) | 2016-09-07 | 2016-09-07 | Data transmission / reception method and sensing system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6491162B2 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020075640A1 (en) * | 2018-10-12 | 2020-04-16 | 株式会社東芝 | Information processing device and information processing system |
JP6793880B1 (en) * | 2019-06-28 | 2020-12-02 | 三菱電機株式会社 | Data management equipment, data management methods and programs |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH02209043A (en) * | 1989-02-09 | 1990-08-20 | Nippon Telegr & Teleph Corp <Ntt> | Frame transmission system |
JP2001111606A (en) * | 1999-10-08 | 2001-04-20 | Open Loop:Kk | Communication controller and recording medium |
JP2003298566A (en) * | 2002-04-03 | 2003-10-17 | Mitsubishi Electric Corp | Encryption key exchange system |
US6754661B1 (en) * | 1999-07-13 | 2004-06-22 | Microsoft Corporation | Hierarchical storage systems for holding evidentiary objects and methods of creating and operating upon hierarchical storage systems |
JP2004207890A (en) * | 2002-12-24 | 2004-07-22 | Matsushita Electric Ind Co Ltd | Digital broadcast reception system, reception method, recording medium, and program |
US20050081039A1 (en) * | 2003-10-10 | 2005-04-14 | Dae-Ha Lee | Method for creating and verifying simple object access protocol message in web service security using signature encryption |
JP2005236809A (en) * | 2004-02-20 | 2005-09-02 | Canon Inc | Method and device for decrypting image data |
JP2008072417A (en) * | 2006-09-14 | 2008-03-27 | Kddi Corp | Content distribution device for digital broadcasting, content authentication system for digital broadcasting, content authentication method for digital broadcasting, and program |
WO2011114373A1 (en) * | 2010-03-17 | 2011-09-22 | 富士通株式会社 | Communication device, program, and method |
-
2016
- 2016-09-07 JP JP2016174379A patent/JP6491162B2/en active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH02209043A (en) * | 1989-02-09 | 1990-08-20 | Nippon Telegr & Teleph Corp <Ntt> | Frame transmission system |
US6754661B1 (en) * | 1999-07-13 | 2004-06-22 | Microsoft Corporation | Hierarchical storage systems for holding evidentiary objects and methods of creating and operating upon hierarchical storage systems |
JP2001111606A (en) * | 1999-10-08 | 2001-04-20 | Open Loop:Kk | Communication controller and recording medium |
JP2003298566A (en) * | 2002-04-03 | 2003-10-17 | Mitsubishi Electric Corp | Encryption key exchange system |
JP2004207890A (en) * | 2002-12-24 | 2004-07-22 | Matsushita Electric Ind Co Ltd | Digital broadcast reception system, reception method, recording medium, and program |
US20050081039A1 (en) * | 2003-10-10 | 2005-04-14 | Dae-Ha Lee | Method for creating and verifying simple object access protocol message in web service security using signature encryption |
JP2005236809A (en) * | 2004-02-20 | 2005-09-02 | Canon Inc | Method and device for decrypting image data |
JP2008072417A (en) * | 2006-09-14 | 2008-03-27 | Kddi Corp | Content distribution device for digital broadcasting, content authentication system for digital broadcasting, content authentication method for digital broadcasting, and program |
WO2011114373A1 (en) * | 2010-03-17 | 2011-09-22 | 富士通株式会社 | Communication device, program, and method |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020075640A1 (en) * | 2018-10-12 | 2020-04-16 | 株式会社東芝 | Information processing device and information processing system |
US11934511B2 (en) | 2018-10-12 | 2024-03-19 | Kabushiki Kaisha Toshiba | Information processing device and information processing system |
JP6793880B1 (en) * | 2019-06-28 | 2020-12-02 | 三菱電機株式会社 | Data management equipment, data management methods and programs |
Also Published As
Publication number | Publication date |
---|---|
JP6491162B2 (en) | 2019-03-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10785019B2 (en) | Data transmission method and apparatus | |
US10015159B2 (en) | Terminal authentication system, server device, and terminal authentication method | |
CN104219228B (en) | A kind of user's registration, user identification method and system | |
KR101725847B1 (en) | Master key encryption functions for transmitter-receiver pairing as a countermeasure to thwart key recovery attacks | |
CN106134128B (en) | Use the system and method for the faster public key encryption in associated private key part | |
US11870891B2 (en) | Certificateless public key encryption using pairings | |
CN105164968A (en) | Method performed by at least one server for processing a data packet from a first computing device to a second computing device to permit end-to-end encryption communication | |
CN106549939B (en) | Data processing method and device for intelligent access control system | |
CA3178180A1 (en) | Constructing a distributed ledger transaction on a cold hardware wallet | |
KR101608815B1 (en) | Method and system for providing service encryption in closed type network | |
CN109309566B (en) | Authentication method, device, system, equipment and storage medium | |
KR101481403B1 (en) | Data certification and acquisition method for vehicle | |
CN110247752A (en) | LoRa chaotic communication system and its implementation based on elliptic curve cryptography | |
CN115118458B (en) | Data processing method, device, computer equipment and storage medium | |
CN113300999B (en) | Information processing method, electronic device, and readable storage medium | |
KR101424972B1 (en) | Method for using contents with a mobile card, host device, and mobile card | |
CN114500064B (en) | Communication security verification method and device, storage medium and electronic equipment | |
CN108011856B (en) | Method and device for transmitting data | |
JP6491162B2 (en) | Data transmission / reception method and sensing system | |
EP3010173B1 (en) | Key storage device, key storage method, and program therefor | |
CN109587149A (en) | A kind of safety communicating method and device of data | |
US9473471B2 (en) | Method, apparatus and system for performing proxy transformation | |
CN106487761B (en) | Message transmission method and network equipment | |
US20220038267A1 (en) | Methods and devices for secured identity-based encryption systems with two trusted centers | |
KR101695361B1 (en) | Terminology encryption method using paring calculation and secret key |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180202 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20181017 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181211 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190206 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190226 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190228 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6491162 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |