JP2019097034A - Secure element, terminal device, verification system, verification method, and program - Google Patents
Secure element, terminal device, verification system, verification method, and program Download PDFInfo
- Publication number
- JP2019097034A JP2019097034A JP2017225063A JP2017225063A JP2019097034A JP 2019097034 A JP2019097034 A JP 2019097034A JP 2017225063 A JP2017225063 A JP 2017225063A JP 2017225063 A JP2017225063 A JP 2017225063A JP 2019097034 A JP2019097034 A JP 2019097034A
- Authority
- JP
- Japan
- Prior art keywords
- data
- verification
- unit
- terminal device
- valid
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、セキュアエレメント、端末装置、検証システム、検証方法、及びプログラムに関する。 The present invention relates to a secure element, a terminal device, a verification system, a verification method, and a program.
近年、センサなどを様々な場所に設置して、それぞれの場所の環境データや撮像データを取得するシステムが普及している。このようなシステムでは、端末装置からサーバ装置に対してデータが送信され、サーバ装置から端末装置に対して制御データが送信される。これらのデータの送受信がネットワークを介して行われる場合、悪意ある攻撃者がサーバ装置になりすまして端末装置からのセンシングデータを不正に取得したり、端末装置に対して不正な制御データを送信したりすることが起こり得る。このような不正を抑制するため、受信したデータを端末装置が検証する技術が開示されている(例えば、特許文献1)。 BACKGROUND In recent years, systems that install sensors and the like at various places and acquire environmental data and imaging data of the respective places have become widespread. In such a system, data is transmitted from the terminal device to the server device, and control data is transmitted from the server device to the terminal device. When transmission and reception of these data is performed via a network, a malicious attacker spoofs the server device and illegally acquires sensing data from the terminal device, or transmits illegal control data to the terminal device. It can happen. In order to suppress such fraud, there is disclosed a technique in which a terminal device verifies received data (for example, Patent Document 1).
しかしながら、このようなシステムでは、端末装置のCPU(Central Processing Unit)は主にセンサを制御することを想定して設計されており、受信データを検証する処理能力を備えていない場合がほとんどである。このような場合に、端末装置に受信データを検証させようとすると、端末装置のCPUを高い処理能力を有するものにして設計し直したり、メモリを増設したりする必要があり端末装置の設計コストや装置コストが増大してしまう。 However, in such a system, the CPU (Central Processing Unit) of the terminal device is designed mainly to control the sensor, and in most cases, it does not have the processing capability to verify received data. . In such a case, if the terminal device is to verify received data, the CPU of the terminal device needs to be redesigned with a high processing capability, and it is necessary to add a memory, which is a design cost of the terminal device. And equipment costs increase.
本発明は、このような状況に鑑みてなされたもので、その目的は、端末装置の設計コストや装置コストを抑制しつつ安全性を向上させることができるセキュアエレメント、端末装置、検証システム、検証方法、及びプログラムを提供することにある。 The present invention has been made in view of such a situation, and an object thereof is a secure element, a terminal device, a verification system, verification that can improve the safety while suppressing the design cost and the device cost of the terminal device. A method and a program are provided.
上述した課題を解決するために、本発明の一態様は、相互に通信する第1機能部と第2機能部との間に接続可能なセキュアエレメントであって、前記第1機能部から前記第2機能部に対して通知する通知データを取得する取得部と、前記取得部により取得されたデータの正当性を検証する検証部と、前記検証部により検証された検証結果に基づいて、前記通知データが正当であると判定される場合には前記通知データを前記第2機能部に対して出力し、前記通知データが正当でないと判定される場合には前記通知データを破棄するデータ処理部とを有することを特徴とする。 In order to solve the problems described above, an aspect of the present invention is a secure element connectable between a first functional unit and a second functional unit that communicate with each other, the first functional unit including the first functional unit The notification based on the verification result verified by the verification unit, the verification unit verifying the validity of the data acquired by the acquisition unit that acquires notification data notified to the two functional units, and the verification unit A data processing unit that outputs the notification data to the second function unit when it is determined that the data is valid, and discards the notification data when it is determined that the notification data is not valid It is characterized by having.
本発明によれば、端末装置の設計コストや装置コストを抑制しつつ安全性を向上させることができる。 According to the present invention, safety can be improved while suppressing the design cost and the device cost of the terminal device.
以下、実施形態のセキュアエレメント、端末装置、検証システム、検証方法、及びプログラムを、図面を参照して説明する。 Hereinafter, a secure element, a terminal device, a verification system, a verification method, and a program according to the embodiment will be described with reference to the drawings.
<第1の実施形態>
まず、第1の実施形態について説明する。
First Embodiment
First, the first embodiment will be described.
図1は、第1の実施形態の検証システム1の構成例を示すシステム構成図である。検証システム1は、例えば、サーバ装置10と端末装置30とを備える。サーバ装置10と端末装置30とは、通信ネットワーク20を介して互いに通信可能に接続される。端末装置30には検証機能を有するICチップ(以下、SE(セキュアエレメント、Secure Element)という)SE40が接続される。検証システム1では、端末装置30が送受信するデータの正当性をSE40により検証させることで、悪意ある不正なデータを排除し端末装置30の安全性を維持する。なお、SE40は、SE40が組み込まれたICカードと端末装置30とが着脱可能に接続されることにより、端末装置30と接続されていてもよい。ここで、サーバ装置10は、「外部装置」の一例である。
FIG. 1 is a system configuration diagram showing a configuration example of a verification system 1 of the first embodiment. The verification system 1 includes, for example, a
サーバ装置10は、端末装置30から送信されたデータを蓄積する。サーバ装置10は、蓄積したデータに基づいて様々なサービスをユーザに提供する。また、サーバ装置10は、端末装置30に対して端末装置30の各機能部を制御する制御データを送信する。
サーバ装置10は単数あるいは複数のクラウドサーバであってもよい。サーバ装置10が複数のクラウドサーバである場合、例えば、サーバ装置10はネットワーク上に設けられた複数のクラウドサーバを互いに連携させることにより実現される。
The
The
端末装置30は、通信ネットワーク20を介してデータを送信するIoT(Internet of Things)機器である。端末装置30は、例えば端末装置30が設けられた場所の周囲の映像を撮像してサーバ装置10に撮像データを送信するネットワークカメラである。
以下の説明において、端末装置30がネットワークカメラである場合を例示して説明するが、これに限定されることはない。端末装置30は、端末装置30が設けられた場所の温度や湿度などの環境データを取得するネットワークセンサであってもよいし、今いる場所の位置データを通知する携帯端末等であってもよい。端末装置30は、ネットワークを介してエアコンなどの電化製品の稼働の状況をユーザに通知したり、ユーザの操作により電化製品を起動又は停止させたりするスマート家電等であってもよい。
The
In the following description, although the case where
端末装置30は、例えば通信モジュール31と制御チップ32とセンサモジュール34(センサモジュール34−1、34−2、…34−N)(但し、Nは任意の自然数)とを備える。制御チップ32とセンサモジュール34の各々との間は、例えばシリアル通信によりデータの授受が行われる。シリアル通信には、例えばUART(Universal Asynchronous Receiver/Transmitter)、SPI(Serial Peripheral Interface)、I2C(I-squared-C、Inter-Integrated Circuit)等が用いられる。
The
通信モジュール31は、例えばネットワーク通信モジュールである。
通信モジュール31は、サーバ装置10、その他の通信装置により端末装置30に対して送信されたデータを、通信ネットワーク20を介して受信する。通信モジュール31は、受信したデータを、SE40に出力する。
また、通信モジュール31は、センサモジュール34により検知されたセンシングデータを、制御チップ32を介して取得し、取得したセンシングデータをサーバ装置10に送信する。
The
The
Further, the
制御チップ32は、センサモジュール34を制御する。
制御チップ32は、SE40から、検証済みの正当なデータを取得する。制御チップ32は、SE40から取得したデータに基づいて、複数のセンサモジュール34のうち何れのセンサモジュール34でセンシングさせるか、あるいは何れの時間間隔によりセンシングさせるか等を制御する。
また、制御チップ32は、センサモジュール34の各々により検知されたセンシングデータを、センサモジュール34の各々から取得する。制御チップ32は取得したセンシングデータを、通信モジュール31を介してサーバ装置10に送信する。
The
The
The
センサモジュール34は、例えば撮像機能を備えた撮像モジュールである。この場合、センサモジュール34は、周囲の光景を撮像し、撮像データを制御チップに出力する。また、センサモジュール34は、温度や湿度を検知する環境センサであってもよい。この場合、センサモジュール34は、周囲の温度や湿度を取得し、取得したデータを制御チップに出力する。
また、センサモジュール34は周囲の状況を取得するだけでなく、周囲に対し出力する機能を備えていてもよい。センサモジュール34は例えば、画像を表示するディスプレイ、音を出力するスピーカ等であってもよい。また、端末装置30がスマート家電である場合には、センサモジュール34は、制御チップ32の指示により家電を起動又は停止させたり、あるいは稼働状況を変更させたりする信号を出力してもよい。
The
Also, the
SE40は、例えば、検証機能又は暗号化機能を備える検証チップである。SE40は、例えば、セキュアICチップ、セキュアチップ、セキュアIC等と称される。SE40は、外部からの悪意ある攻撃から情報を守る堅牢な構造を持ち耐タンパ性を備えてもよい。ただし、SE40は、検証機能又は暗号化機能を有していればよく、耐タンパ性を備えたセキュアICチップに限定されることはない。例えば、SE40は、暗号ライブラリを備えたICチップであってもよい。
また、SE40は、例えばプラスチック等のカード機材に、SE40が実装されたICカード、又はSIMカード(Subscriber Identity Module Card)であってもよい。この場合、SE40は、ICカード、又はSIMカードのコンタクト部を介して端末装置30と通信を行う。コンタクト部は、ICカード又はSIMカードが動作するために必要な各種信号の端子を有している。各種信号の端子は、端末装置30から電源電圧、クロック信号、リセット信号の供給を受ける端子、及び端末装置30と通信を行うシリアルデ―タ入出力端子である。
The
In addition, the
図2は、第1の実施形態のSE40の構成例を示すプロック図である。SE40は、通信部400と制御部410と記憶部420とを備える。図2に示す各部は、SE40のハードウェアを用いて実現される。
SE40のハードウェアは、例えば、UART(Universal Asynchronous Receiver Transmitter)、CPU、ROM(Read Only Memory)、RAM(Random Access Memory)、及びEEPROM(Electrically Erasable Programmable ROM)の各構成を備え、各構成は、内部バスを介して接続されている。
FIG. 2 is a block diagram showing an example of the configuration of the
The hardware of the
通信部400は、例えば、UARTと、CPUと、ROMに記憶されているプログラムとにより実現され、端末装置30の間で通信を行う。通信部400は、コマンドを端末装置30から受信するとともに、コマンドに対するレスポンスを端末装置30に送信する。通信部400は、端末装置30から受信した受信データを記憶部420に記憶させる。また、通信部400は、記憶部420に記憶されている送信データを、端末装置30に送信する。
The
制御部410は、例えば、CPUと、RAMと、ROM又はEEPROMとにより実現され、SE40を統括的に制御する。制御部410は、コマンド処理部411と、取得部412と、検証部413と、データ処理部414とを備える。
コマンド処理部411は、端末装置30の受信データに含まれるコマンドを解釈し、SE40における種々の処理に対応する各部の制御を行う。
取得部412は端末装置30の受信データを取得する。取得部412は取得した受信データを検証部413に出力する。
The
The
The
検証部413は、受信データの正当性を検証する。検証部413は、サーバ装置10から端末装置30に対して送信されたデータが、端末装置30により受信されるまでに改ざんされていない場合に受信データが正当であると判定する。検証部413は、端末装置30により受信されたデータが、サーバ装置10等の通信先として想定された装置からのデータである場合に受信データが正当であると判定する。
検証部413は、例えば一方向性のハッシュ関数(MD5、SHA1、SHA2等)や、共通鍵、公開鍵等の暗号鍵などを用いて受信データの正当性を検証する。検証部413は、受信データの正当性を検証した検証結果をデータ処理部414に出力する。
なお、検証部413は、受信データの正当性を検証すればよく、上述したハッシュ関数の他、電子署名、及びメッセージ認証などを算出することにより受信データの正当性を検証してもよい。検証部413が電子署名、及びメッセージ認証を用いて受信データの正当性を検証する場合、検証部413は、受信データから電子署名、及びメッセージ認証を算出し、算出した値と、端末装置30により付加(付随)される電子署名、及びメッセージ認証に相当する値とを、比較、検証することにより、受信データが正当であるか否かを検証する。
データ処理部414は、検証部413の検証結果に基づいて受信データを処理する。データ処理部414は、受信データが正当であると判定された場合には受信データを制御チップ32に出力する。受信データが正当でないと判定された場合には受信データを破棄する。
The
The
The
The
記憶部420は、例えば、EEPROMにより構成された記憶部であり、制御部410が動作するための基本のプログラムを記憶する。記憶部420は、検証の処理に必要な各種のプログラムを記憶する。記憶部420は、制御部410が動作するために一時的に使用するワークエリアとしての記憶領域を備える。記憶部420は、受信データ記憶部421と、検証情報記憶部422と、送信データ記憶部423とを備える。受信データ記憶部421は、SE40により受信されたデータを記憶する。検証情報記憶部422は、ハッシュ値、共通鍵、公開鍵等の暗号鍵など検証の処理で用いる情報を記憶する。送信データ記憶部423は、SE40から送信されるデータが記憶される。
The
図3は、第1の実施形態のSE40のレイヤ構成例を示す図である。図3に示すように、SE40は、アプリケーションレイヤ450と、ソフトウェア制御レイヤ460と、ハードウェア制御レイヤ470とに分類される。
アプリケーションレイヤ450には、SE40の検証機能部(取得部412、検証部413、及びデータ処理部414)に相当する通信データ検証アプリ451、SE40のその他の機能を実現する、その他のアプリ452が実装される。
ソフトウェア制御レイヤ460には、アプリケーションレイヤ450からハードウェア制御レイヤ470に実装されている機能を呼び出すための各種ライブラリ(暗号ライブラリ461、IOライブラリ462)と、アプリケーションレイヤ450に実装された各種アプリケーションを管理するための機能(アプリ管理463、及びその他のAPI464)が実装される。
ハードウェア制御レイヤ470には、ハードウェア回路として実装された暗号プロセッサ471や、SE40の記憶機能部(記憶部420)に相当する種々のプログラムが記憶される記憶領域を制御するメモリ制御472、その他の制御473が実装される。また、ハードウェア制御レイヤ470には、SE40の通信機能部(通信部400)に相当する外部との通信を担うインターフェース474が実装される。
検証システム1では、SE40は、インターフェース474を介したシリアル通信により、端末装置30の各部(通信モジュール31、制御チップ32)との間でデータを送受信する。
インターフェース474に受信されたデータは、アプリ管理463を介して通信データ検証アプリ451に出力される。
通信データ検証アプリ451は、暗号ライブラリ461等を用いて受信データのハッシュ値を算出することで受信データの正当性を検証する。通信データ検証アプリ451は、受信データが正当であると判定された場合、インターフェース474を介して制御チップ32に受信データを端末装置30に出力する。
FIG. 3 is a diagram showing an example of the layer configuration of the
The
The
The
In the verification system 1, the
The data received by the
The communication
ここで、SE40の動作について図4から図7を用いて説明する。
図4は、第1の実施形態のSE40の動作例を示すフローチャートである。
図4に示すように、まず、SE40は、取得部412により受信データを取得する受信データ取得処理を行う(ステップS110)。次に、SE40は、検証部413により受信データを検証する受信データ検証処理を行う(ステップS120)。そして、SE40は、データ処理部414により受信データを破棄又は出力する受信データ処理を行う(ステップS130)。以下、ステップS110、S120、S130の各処理について詳細を説明する。
Here, the operation of the
FIG. 4 is a flowchart showing an operation example of the
As shown in FIG. 4, first, the
(ステップS110について)
図5は、第1の実施形態のSE40の受信データ取得処理の動作例を示すフローチャートである。
図5に示すように、取得部412は、受信データの受信を待機する(ステップS111)。受信データは、通信モジュール31により、通信部400を介して、受信データ記憶部421に書込まれる。
取得部412は、定期的に受信データ記憶部421を参照し、受信データ記憶部421に受信データが書き込まれたか否かを判定する(ステップS112)。
取得部412は、受信データ記憶部421に受信データが書き込まれた場合、検証部413に受信データを出力する(ステップS113)。
一方、取得部412は、受信データ記憶部421に受信データが書き込まれていない場合、ステップS111に戻り受信データの受信を待機する。
(About step S110)
FIG. 5 is a flowchart showing an operation example of the reception data acquisition process of the
As shown in FIG. 5, the
The
When the reception data is written in the reception
On the other hand, when the reception data is not written in the reception
(ステップS120について)
図6は、第1の実施形態のSE40の受信データ検証処理の動作例を示すフローチャートである。
図6に示すように、検証部413は、取得部412により出力された受信データのハッシュ値を算出する(ステップS121)。受信データのハッシュ値は受信データの特徴を表す情報である。このため、受信データが改ざんされている場合、改ざんされた受信データのハッシュ値は、改ざんされていない正当な受信データのハッシュ値とは異なる情報となる。一方、検証情報記憶部422には、正当な受信データのハッシュ値が記憶されている。
検証部413は、算出したハッシュ値(算出結果)が検証情報記憶部422に記憶されたハッシュ値と一致するか否かを判定する(ステップS122)。
検証部413は、算出結果が検証情報記憶部422に記憶されたハッシュ値と一致する場合、受信データが正当であると判定する(ステップS123)。
一方、検証部413は、算出結果が検証情報記憶部422に記憶されたハッシュ値と一致しない場合、受信データが正当でないと判定する(ステップS124)。
検証部413は、受信データを判定結果とともにデータ処理部414に出力する(ステップS125)。
(About step S120)
FIG. 6 is a flowchart showing an operation example of received data verification processing of the
As shown in FIG. 6, the
The
If the calculation result matches the hash value stored in the verification
On the other hand, when the calculation result does not match the hash value stored in the verification
The
なお、データからハッシュ値を算出することができるが、ハッシュ値から元のデータを復元することはできない。つまり、検証情報記憶部422に記憶されたハッシュ値から、正当な受信データを得ることはできない。このため、検証情報記憶部422にハッシュ値が記憶されている場合でも、端末装置30は受信データを受信する必要がある。
Although the hash value can be calculated from the data, the original data can not be restored from the hash value. That is, it is not possible to obtain valid received data from the hash value stored in the verification
上述した図6のフローチャートでは、検証部413がハッシュ値を算出することにより受信データを検証する場合を例示して説明したが、これに限定されることはない。検証部413は、例えば、サーバ装置10と端末装置30とに共通する共通鍵を用いた共通鍵暗号方式(例えば、暗号アルゴリズム情報であるDESや、AES等を用いた暗号方式)、公開鍵暗号による証明書による検証等を行うことにより、受信データの正当性を検証するようにしてもよい。
Although the flow chart of FIG. 6 described above exemplifies the case where the
(ステップS130について)
図7は、第1の実施形態のSE40のデータ処理の動作例を示すフローチャートである。
図7に示すように、データ処理部414は、検証部413により出力された受信データが正当であるか否かを判定する(ステップS131)。データ処理部414は、検証部413により受信データとともに出力された判定結果に従い、判定結果が正当であることを示す場合に受信データが正当であると判定し、判定結果が正当でないことを示す場合に受信データが正当でないと判定する。
データ処理部414は、受信データが正当である場合、受信データを送信データ記憶部423に記憶させる(ステップS132)。
SE40の通信部400は、受信データを送信する命令(送信命令)を待機する(ステップS133)。送信命令は、制御チップ32により、通信部400を介して、コマンド処理部411に取得される。コマンド処理部411は、取得した送信命令に基づいて、通信部400に送信データ記憶部423に記憶された受信データを端末装置30に送信する指示を示す信号を出力する。
通信部400は、コマンド処理部411からの信号に基づいて、送信データ記憶部423に記憶された受信データを端末装置30に送信する(ステップS135)。
一方、ステップS131において、データ処理部414は、受信データが正当でない場合、受信データを破棄する(ステップS136)。
(About step S130)
FIG. 7 is a flowchart showing an operation example of data processing of the
As shown in FIG. 7, the
If the received data is valid, the
The
The
On the other hand, in step S131, if the received data is not valid, the
図8は、第1の実施形態の検証システム1の動作例を示すシーケンスチャートである。
図8に示すように、まず、端末装置30が起動する(ステップS201)。端末装置30は、サーバ装置10からの起動を命じる信号に基づいて、各部(通信モジュール31、制御チップ32、センサモジュール34、及びSE40)が起動する。
サーバ装置10は、端末装置30に送信するデータを生成する(ステップS202)。サーバ装置10は、生成したデータを、通信ネットワーク20の通信プロトコルに従って端末装置30に送信する(ステップS203)。
通信モジュール31は、サーバ装置10により送信されたデータを受信する(ステップS204)。通信モジュール31は、受信したデータからデータ領域を抽出し、抽出したデータを、シリアル通信の通信プロトコルに従ってSE40に出力する(ステップS205)。
FIG. 8 is a sequence chart showing an operation example of the verification system 1 of the first embodiment.
As shown in FIG. 8, first, the
The
The
SE40は、通信モジュール31により送信されたデータを受信し、受信したデータの正当性を検証する(ステップS206)。SE40は、上述したステップS110、S120、及びS130の各々の処理を実行することにより、データの正当性を検証する。以下、ステップS207〜S213までの各々では、データが正当であった場合の処理である。ステップS206において、データの正当性が確認できない場合はデータが破棄され、ステップS207〜S213までの処理は実行されない。
SE40は、データの正当性が確認できた場合、データを制御チップ32に出力する(ステップS207)。
制御チップ32は、SE40から受け取ったデータの内容に基づいて、処理を実行する(ステップS208)。制御チップ32は、サーバ装置10に対して実行した処理の結果として通知する処理結果データを作成する。制御チップ32は、作成した処理結果データをSE40に出力する(ステップS209)。
The
If the legitimacy of the data can be confirmed, the
The
SE40は、制御チップ32により送信された処理結果データを受信し、データの正当性を検証する(ステップS210)。SE40は、上述したステップS110、S120、及びS130の各々の処理を実行することにより、データの正当性を検証する。これにより、例えば、端末装置30のIDやパスワードを不正に入手した者により制御チップ32が作成した処理結果データが不正に書き換えられた場合であっても、不正な処理結果データがサーバ装置10に対して送信されてしまうことを抑制する。
SE40は、データの正当性が確認できた場合、処理結果データを通信モジュール31に出力する(ステップS211)。
通信モジュール31は、SE40により出力されたデータを受信する(ステップS212)。通信モジュール31は、受信したデータを、通信ネットワーク20の通信プロトコルに従ってサーバ装置10に送信する(ステップS213)。
The
If the legitimacy of the data can be confirmed, the
The
以上説明したように、第1の実施形態のSE40は、相互に通信する通信モジュール31(第1機能部)と制御チップ32(第2機能部)との間に接続可能なSE40(セキュアエレメント)であって通信モジュール31から制御チップ32に対して通知する通知データを取得する取得部412と、取得部412により取得されたデータの正当性を検証する検証部413と、検証部413により検証された検証結果に基づいて、データが正当であると判定される場合にはデータを制御チップ32に対して出力し、データが正当でないと判定される場合にはデータを破棄するデータ処理部414とを有する。
これにより、第1の実施形態のSE40は、検証部413によりデータの正当性を検証し、正当であると判定したデータのみを制御チップ32に出力することができ、正当でないと判定したデータを破棄することができる。このため、第1の実施形態のSE40は、端末装置30の通信モジュール31と制御チップ32との間で正当でないデータが送受信されることを抑制することができ、端末装置30の安全性を向上させることができる。また、SE40によりデータの正当性が検証されることから、制御チップ32の処理負担が増大することがないため、制御チップ32の処理能力を高めるために高価なチップを用いる必要がない。つまり、端末装置30の装置コストを抑制させることができる。
また、第1の実施形態のSE40は、通信ネットワーク20を介してサーバ装置10と相互に通信可能な端末装置30の通信モジュール31と制御チップ32との間に接続可能なSE40であって、取得部412は、サーバ装置10から端末装置30に送信されたデータを取得する。これにより、第1の実施形態のSE40は、通信ネットワーク20を介して通知されたデータの正当性を検証することができるためデータがネットワーク上で改ざんされてしまった場合など、正当でないと判定したデータを破棄することができ、通信ネットワーク20を介して端末装置30に悪意ある攻撃が行われることを抑制し、その安全性を向上させることができる。
また、第1の実施形態のSE40では、検証部413は、受信データのハッシュ値を算出することにより受信データが正当であるか否かを判定する。これにより、検証部413は、算出したハッシュ値を、受信データが改ざんされていない正当な受信データのハッシュ値と比較するという簡単な方法で受信データの正当性を検証することができる。
As described above, the
As a result, the
The
In addition, in
ここで、第1の実施形態の端末装置30の効果について図9を用いて説明する。
図9は、検証機能を有しないシステムの動作例を示すシーケンスチャートである。検証機能を有しないシステムでは、端末装置がSE40を備えていない。
図9に示すように、検証機能を有しないシステムにおいても、まず、端末装置30が起動する(ステップS301)。端末装置30の起動は、上述したステップS201と同様な処理が行われる。ただし、端末装置がSE40を備えていないため、SE40が起動することはない。不正なサーバ装置100は、端末装置に送信する不正なデータを生成する(ステップS302)。不正なサーバ装置100は、生成したデータを端末装置に送信する(ステップS303)。通信モジュール31は、不正なサーバ装置100により送信された不正なデータを受信する(ステップS304)。通信モジュール31は、受信した不正なデータからデータ領域を抽出し、抽出した不正なデータを制御チップ32に出力する(ステップS305)。
制御チップ32は、通信モジュール31から受け取った不正なデータの内容に基づいて、不正な処理を実行する(ステップS306)。この結果、検証機能を有しない端末装置は、センサモジュール34の動作が不正に変更される等、不正な処理が行われてしまう。
その後、サーバ装置10は、端末装置に送信するデータを生成する(ステップS307)。サーバ装置10は、生成したデータを端末装置30に送信する(ステップS308)。
通信モジュール31は、サーバ装置10により送信されたデータを受信する(ステップS309)。通信モジュール31は、受信したデータからデータ領域を抽出し、抽出したデータを制御チップ32に出力する(ステップS310)。
制御チップ32は、通信モジュール31から受け取ったデータの内容に基づいて処理を実行する(ステップS311)。しかしながら、上述したステップS306で、端末装置には不正な処理が行われた後であるため、制御チップ32がステップS311により行った処理は不正な結果となる。制御チップ32は、不正な処理結果データをSE40に出力する(ステップS312)。通信モジュール31は、制御チップ32から不正なデータを受信し、不正なデータをサーバ装置10に送信してしまう(ステップS314)。
Here, the effect of the
FIG. 9 is a sequence chart showing an operation example of a system having no verification function. In a system without a verification function, the terminal device does not have the
As shown in FIG. 9, in the system not having the verification function, the
The
Thereafter, the
The
The
このように、検証機能を有しないシステムでは、不正なサーバ装置100などにより送信された不正なデータに基づいた処理が実行されてしまい、不正なデータがサーバ装置10に送信されてしまう。不正なデータがサーバ装置10に送信されてしまうことで、サービスの停止などの事態に繋がる可能性がある。
これに対し、実施形態1の検証システム1においては、端末装置30が不正なデータを受信した場合であっても、SE40が不正なデータを破棄するため、制御チップ32が不正なデータを取得することはない。このため、センサモジュール34に対し不正な処理が行われることがない。
As described above, in a system that does not have the verification function, processing based on the illegal data transmitted by the
On the other hand, in the verification system 1 according to the first embodiment, even if the
<第2の実施形態>
次に、第2の実施形態について説明する。
第2の実施形態では、サーバ装置10Aが端末装置30Aに対して相互認証を要求する点において上記第1の実施形態の構成と相違する。ここで、相互認証とは、相互に通信を行う装置の双方が互いに相手の正当性を認証することである。例えば、サーバ装置10Aと端末装置30Aとが相互に通信を行う場合、サーバ装置10Aは端末装置30Aの正当性を認証し、端末装置30Aはサーバ装置10Aの正当性を認証する。
Second Embodiment
Next, a second embodiment will be described.
The second embodiment differs from the configuration of the first embodiment in that the
また、第2の実施形態では、端末装置30Aに対してデータを送信してきた装置との間で相互認証が行われる点、及びSE40Aがサーバ装置10Aと相互認証済みの場合にサーバ装置10Aからのデータの検証を一時的に停止して制御チップ32にデータを出力する点において上記第1の実施形態の構成と相違する。
第2の実施形態では、SE40Aが、相互認証済みの装置から送信されたデータに対してその正当性の検証を省略することで、システムの安全性を維持しつつ、検証にかかる処理負荷の増加を抑制する。
In the second embodiment, mutual authentication is performed with the device that has transmitted data to the terminal device 30A, and when the
In the second embodiment, the
また、第2の実施形態では、データの検証が一時的に停止されている場合に、相互認証済みのサーバ装置10Aが検証の再開を要求する点において上記第1の実施形態の構成と相違する。相互認証済みのサーバ装置10Aの要求に応じて、検証を再開させることでシステムの安全性を向上させることが可能となる。
The second embodiment is different from the configuration of the first embodiment in that the mutually authenticated
図10は、第2の実施形態のSE40Aの機能構成例を示すプロック図である。図10に示すように、第2の実施形態では、SE40Aの検証部413Aが第1の実施形態と異なる処理を行う。また、SE40Aは、検証停止情報記憶部424を備える。
検証停止情報記憶部424は、検証済みフラグを記憶する。検証済みフラグは、相互認証済みか否かを示す変数であり、端末装置30Aに対してデータを送信してきた装置ごとに記憶される変数である。相互認証が行われていない初期状態か、又は相互認証を行ったが通信先の正当性が検証されなかった場合、検証済みフラグには「0」が記憶される。相互認証を行った結果、通信先の正当性が検証された場合、当該通信先に対応する証済みフラグは「1」が記憶される。
FIG. 10 is a block diagram showing an example of a functional configuration of the
The verification stop
検証部413Aは、端末装置30Aに対してデータを送信してきた装置と、相互認証を行う。以下、サーバ装置10Aが端末装置30Aに対してデータを送信した場合を例示して説明する。
検証部413Aは、サーバ装置10Aから送信されたデータに相互認証を要求するデータが含まれていた場合、サーバ装置10Aの正当性を検証する。検証部413Aは、例えば、サーバ装置10Aから送信されたデータからサーバ証明書を取得し、取得したサーバ証明書と検証情報記憶部422に予め記憶させた正当なサーバの証明書とを比較することによりサーバ装置10Aの正当性を検証する。検証部413Aは、サーバ装置10Aが正当であると判定した場合、検証済みフラグに「1」を書込んで記憶させる。
検証部413Aは、検証済みフラグに「1」が記憶されている場合、サーバ装置10Aから送信されたデータを、検証することなく制御チップ32に出力する。
The
When the data transmitted from the
When “1” is stored in the verified flag, the
検証部413Aは、サーバ装置10Aが正当でないと判定した場合、サーバ装置10Aが正当でないこと(不正接続)を、通信部400を介して制御チップ32に報告する。
If the
また、検証部413Aは、検証済みフラグに「1」が記憶されている場合であって、サーバ装置10Aから送信されたデータに検証の再開を要求するデータが含まれていた場合、検証済みフラグに「0」を書込んで記憶させる。
検証部413Aは、検証済みフラグに「0」が記憶されている場合、上記第1の実施形態と同様に、サーバ装置10Aから送信されたデータを検証し、データが正当であると判定する場合に当該データを制御チップ32に出力する。
In addition, in the case where the
When “0” is stored in the verified flag, the verifying
第2の実施形態のSE40Aの動作について図11、図12を用いて説明する。
図11は、第2の実施形態のSE40Aの動作例を示すフローチャートである。
図11に示すように、まず、SE40Aは、上記第1の実施形態と同様に、取得部412により受信データを取得する受信データ取得処理を行う(ステップS110)。
次に、検証部413Aは、受信データが相互認証を要求するものであるか否かを判定する(ステップS400)。検証部413Aは、受信データの所定箇所に相互認証を要求することが示されていた場合、受信データが相互認証を要求するものであると判定する。
検証部413Aは、受信データが相互認証を要求するものであると判定する場合、サーバ装置10Aとの間で相互認証を行う相互認証処理を行う(ステップS401)。
検証部413Aは、相互認証が正常に終了したか否かを判定する(ステップS402)。検証部413Aは、相互認証が正常に終了した場合、相互認証済みフラグに「1」を書込んで記憶させる(ステップS403)。
一方、検証部413Aは、相互認証が正常に終了なかった場合、相互認証済みフラグに「0」を書込んで記憶させる(ステップS404)。そして、検証部413Aは、相互認証が正常に終了しない不正接続があったことを、制御チップ32に報告する(ステップS405)。
The operation of the
FIG. 11 is a flowchart showing an operation example of the
As shown in FIG. 11, first, the
Next, the
If the
The
On the other hand, when the mutual authentication is not completed normally, the
検証部413Aは、ステップS400において、受信データが相互認証を要求するものでない場合、受信データが検証の再開を要求するものか否かを判定する(ステップS406)。検証部413Aは、受信データが検証の再開を要求するものである場合、相互認証済みフラグに「0」を書込んで記憶させる(ステップS407)。
In step S400, if the received data does not require mutual authentication in step S400, the verifying
検証部413Aは、ステップS406において、受信データが検証の再開を要求するものでない場合、相互認証済みフラグが「1」であるか否かを判定する(ステップS408)。受信データが相互認証を要求するものでなく、且つ検証の再開を要求するものでない場合、受信データは、端末装置30Aの各機能部(例えば、センサモジュール34)を制御する制御データである。
検証部413Aは、相互認証済みフラグが「1」である場合、受信データを検証することなく制御チップ32に出力する。
一方、検証部413Aは、相互認証済みフラグが「0」である場合、上記第1の実施形態のステップS120の検証処理を行い、受信データの正当性を検証する。
In step S406, if the received data does not require resumption of verification, the
When the mutual authentication completion flag is “1”, the
On the other hand, when the mutual authentication completion flag is “0”, the
図12は、第2の実施形態のSE40Aの相互認証の処理の動作例を示すフローチャートである。
図12に示すように、相互認証を行う場合、検証部413Aは、まず、受信データに含まれるサーバ装置10Aの相互認証データを検証する(ステップS500)。検証部413Aは、サーバ装置10Aの相互認証データに施された暗号を共通鍵で復号してサーバ証明書を取得し、取得したサーバ証明書が、検証情報記憶部422に記憶させたサーバ証明書と一致した場合にサーバ装置10Aが正当な通信先であると判定し、相互認証データの検証が正常に終了したと判定する。また、乱数を用いて相互認証を行ってもよい。
FIG. 12 is a flowchart illustrating an operation example of the mutual authentication process of the
As shown in FIG. 12, when performing mutual authentication, the
検証部413Aは、相互認証データの検証が正常に終了した場合、サーバ装置10Aに対して送信する端末装置30A側の相互認証データを作成し、作成した相互認証データを通信部400、及び通信モジュール31を介してサーバ装置10Aに送信する(ステップS502)。
検証部413Aは、サーバ装置10Aに対して端末装置30A側の相互認証データを送信した後、サーバ装置10Aから送信されたデータを、通信モジュール31等を介して受信する(ステップS503)。
検証部413Aは、受信データがサーバ装置10Aに対して送信した相互認証データに対する応答であるか否かを判定する(ステップS504)。検証部413Aは、受信データが送信した相互認証データに対する応答である場合、応答が正常終了を示すものであるか否かを判定する(ステップS505)。そして、検証部413Aは、応答が正常に終了したことを示すものである場合、相互認証は正常に終了したと判定する(ステップS506)。
When the verification of the mutual authentication data ends normally, the
After transmitting the mutual authentication data on the terminal device 30A side to the
The
一方、検証部413Aは、ステップS501においてサーバ装置10Aからの相互認証データの検証が正常に終了しない場合、及びステップS505においてサーバ装置10Aからの応答が正常に終了しないことを示す場合、相互認証は正常に終了しなかったと判定する(ステップS507)。
On the other hand, in the case where verification of the mutual authentication data from the
また、検証部413Aは、ステップS504において、受信データが送信した相互認証データに対する応答でない場合、受信データが端末装置30Aの各機能部(例えば、センサモジュール34)を制御する制御データであるとみなし、上記第1の実施形態のステップS120の検証処理を行い、受信データの正当性を検証する。
If the received data is not a response to the transmitted mutual authentication data in step S504, the verifying
図13は、第2の実施形態の検証システム1Aの動作例を示すシーケンスチャートである。
図13に示すように、まず、サーバ装置10AとSE40Aとの間で上述した相互認証が行われる(ステップS601)。相互認証が正常に終了した後、サーバ装置10Aは、端末装置30Aに送信するデータを生成する(ステップS602)。サーバ装置10Aは、生成したデータを端末装置30Aに送信する(ステップS603)。
通信モジュール31は、サーバ装置10Aにより送信されたデータを受信する(ステップS604)。通信モジュール31は、受信したデータからデータ領域を抽出し、抽出したデータをSE40Aに出力する(ステップS605)。
SE40Aは、通信モジュール31により送信されたデータを受信し、受信したデータの正当性を検証することなく(ステップS606)、制御チップ32に出力する(ステップS607)。
制御チップ32は、SE40Aから受け取ったデータの内容に基づいて、処理を実行する(ステップS608)。制御チップ32は、サーバ装置10Aに対して実行した処理の結果として通知する処理結果データを作成する。制御チップ32は、作成した処理結果データをSE40Aに出力する(ステップS609)。
FIG. 13 is a sequence chart showing an operation example of the verification system 1A of the second embodiment.
As shown in FIG. 13, first, the above-described mutual authentication is performed between the
The
The
The
SE40Aは、制御チップ32により送信された処理結果データを受信し、データの正当性を検証することなく(ステップS610)、通信モジュール31に出力する(ステップS611)。
通信モジュール31は、SE40Aにより出力されたデータを受信する(ステップS612)。通信モジュール31は、受信したデータを、通信ネットワーク20の通信プロトコルに従ってサーバ装置10Aに送信する(ステップS613)。
The
The
図14は、第2の実施形態の検証システム1Aの検証を再開させる処理の動作例を示すシーケンスチャートである。
図14に示すように、まず、サーバ装置10AとSE40Aとの間で上述した相互認証が行われる(ステップS601)。
相互認証が正常に終了した後、サーバ装置10Aは、端末装置30Aに対し検証の再開を要求するデータを生成する(ステップS702)。サーバ装置10Aは、生成したデータを端末装置30Aに送信する(ステップS703)。
通信モジュール31は、サーバ装置10Aにより送信されたデータを受信する(ステップS604)。通信モジュール31は、受信したデータからデータ領域を抽出し、抽出したデータをSE40Aに出力する(ステップS605)。
SE40Aは、通信モジュール31により送信されたデータを受信し、受信した検証の再開を要求するデータに基づいて、相互認証済みフラグを「0」とする(ステップS706)。SE40Aは、受信した検証の再開を要求するデータに対する応答データを作成する(ステップS708)。SE40Aは、作成した応答データを通信モジュール31に出力する(ステップS709)。
通信モジュール31は、SE40Aにより出力されたデータを受信する(ステップS710)。通信モジュール31は、受信したデータをサーバ装置10Aに送信する(ステップS711)。
FIG. 14 is a sequence chart showing an operation example of a process of restarting verification of the verification system 1A of the second embodiment.
As shown in FIG. 14, first, the above-described mutual authentication is performed between the
After the mutual authentication ends normally, the
The
The
The
以上説明したように、第2の実施形態のSE40Aでは、検証部413Aは、受信データにサーバ装置10Aからの相互認証の要求を示すデータが含まれる場合、サーバ装置10Aとの間で相互認証を行い、サーバ装置10Aが正当であるか否かを判定する。これにより、第2の実施形態のSE40Aでは、サーバ装置10Aが正当な通信先か否かを判定することができる。
また、第2の実施形態の端末装置30Aでは、検証部413Aは、相互認証によりサーバ装置10Aが正当でないと判定した場合、端末装置30Aに対して判定結果を出力する。これにより、第2の実施形態のSE40Aはでは、自身が正当な通信先として想定されていない装置、つまり不正なサーバ装置から攻撃を受けている可能性があることを端末装置30Aに認識させることができる。
また、第2の実施形態のSE40Aでは、検証部413Aは、相互認証の認証結果によりサーバ装置10Aが正当であると判定した場合、端末装置30Aに受信された受信データのうち、正当であると判定したサーバ装置10Aから端末装置30Aに対して送信されたデータについて、その正当性を検証することなく端末装置30Aに出力する。
これにより、第2の実施形態のSE40Aでは、検証部413Aが、通信相手が正当な装置であるか否かを判定し、通信相手が正当な装置である場合に検証処理を省略できるため、検証処理の処理負荷を低減させることができる。
As described above, in the
Further, in the terminal device 30A according to the second embodiment, the
Further, in
Thereby, in
また、第2の実施形態の端末装置30Aでは、検証部413Aは、サーバ装置10Aから端末装置30Aに対して送信されたデータに、データの正当性の検証を要求するデータが含まれていた場合、受信データの正当性を検証し、受信データが正当であると判定した場合に受信データを端末装置30Aに出力する。これにより、第2の実施形態のSE40Aでは、サーバ装置10Aから要求により、通信相手が正当な装置であるか否かを判定した後に検証処理を省略した場合であっても、検証を再開させることができ、より安全性を向上させることが可能となる。
Further, in the terminal device 30A of the second embodiment, the
上述した実施形態においては、通信ネットワーク20を介して、サーバ装置10(10A)と端末装置30(30A)とが相互に通信する場合を例示して説明したが、これに限定されることはない。サーバ装置10(10A)は、端末装置30(30A)と通信する外部機器であればよく、端末装置30(30A)と同等構成を有する他の端末装置30(30A)であってもよいし、その他の汎用コンピュータ端末、スマートフォン、タブレット等であってもよい。
また、通信ネットワーク20は、3G(3rd Generation)、4G(4th Generation)、LTE(Long Term Evolution)などの携帯電話網、Wi−Fi、ブルートゥース(登録商標)などの無線通信の伝送路、及びUSB(Universal Serial Bus)、LAN(Local Area Network)ケーブル等による接続等、有線通信の伝送路であってもよく、上記無線通信の伝送路と上記有線通信の組み合わせであってもよい。
In the embodiment described above, the case where the server device 10 (10A) and the terminal device 30 (30A) communicate with each other via the
In addition, the
なお、本発明における検証システム1の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませて実行することにより処理を行なってもよい。
なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。
また、「コンピュータシステム」は、ホームページ提供環境(あるいは表示環境)を備えたWWWシステムも含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
A program for realizing the function of verification system 1 in the present invention is recorded in a computer readable recording medium, and the program recorded in this recording medium is read by computer system and executed. May be
Here, the “computer system” includes an OS and hardware such as peripheral devices.
The "computer system" also includes a WWW system provided with a homepage providing environment (or display environment). The term "computer-readable recording medium" refers to a storage medium such as a flexible disk, a magneto-optical disk, a ROM, a portable medium such as a ROM or a CD-ROM, or a hard disk built in a computer system. Furthermore, the "computer-readable recording medium" is a volatile memory (RAM) in a computer system serving as a server or a client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line. In addition, those that hold the program for a certain period of time are also included.
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上記プログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。 The program may be transmitted from a computer system in which the program is stored in a storage device or the like to another computer system via a transmission medium or by transmission waves in the transmission medium. Here, the “transmission medium” for transmitting the program is a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line. Further, the program may be for realizing a part of the functions described above. Furthermore, it may be a so-called difference file (difference program) that can realize the above-described functions in combination with a program already recorded in the computer system.
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。 While certain embodiments of the present invention have been described, these embodiments have been presented by way of example only, and are not intended to limit the scope of the invention. These embodiments can be implemented in other various forms, and various omissions, replacements, and modifications can be made without departing from the scope of the invention. These embodiments and modifications thereof are included in the invention described in the claims and the equivalents thereof as well as included in the scope and the gist of the invention.
1…検証システム、10…サーバ装置、20…通信ネットワーク、30…端末装置、40…SE、412…取得部、413…検証部、414…データ処理部。 DESCRIPTION OF SYMBOLS 1 ... Verification system, 10 ... Server apparatus, 20 ... Communication network, 30 ... Terminal device, 40 ... SE, Acquisition part, 413 ... Verification part, 414 ... Data processing part.
Claims (13)
前記第1機能部から前記第2機能部に対して通知する通知データを取得する取得部と、
前記取得部により取得されたデータの正当性を検証する検証部と、
前記検証部により検証された検証結果に基づいて、前記通知データが正当であると判定される場合には前記通知データを前記第2機能部に対して出力し、前記通知データが正当でないと判定される場合には前記通知データを破棄するデータ処理部と
を有することを特徴とするセキュアエレメント。 A secure element connectable between a first function unit and a second function unit that communicate with each other, the secure element comprising:
An acquisition unit for acquiring notification data to be notified from the first functional unit to the second functional unit;
A verification unit that verifies the legitimacy of the data acquired by the acquisition unit;
When it is determined that the notification data is valid based on the verification result verified by the verification unit, the notification data is output to the second function unit, and it is determined that the notification data is not valid. And a data processing unit that discards the notification data, if any.
前記取得部は、前記外部装置から前記端末装置に送信された受信データを前記通知データとして取得する
ことを特徴とする請求項1に記載のセキュアエレメント。 A secure element connectable between a communication module of a terminal device capable of mutually communicating with an external device and a control chip,
The secure element according to claim 1, wherein the acquisition unit acquires, as the notification data, reception data transmitted from the external device to the terminal device.
を更に備えることを特徴とする請求項1又は請求項2に記載のセキュアエレメント。 The verification unit may further include determining whether the data for calculating at least one of a hash value of the data acquired by the acquisition unit, an electronic signature, and a message authentication is valid. The secure element according to claim 1 or claim 2.
ことを特徴とする請求項2に記載のセキュアエレメント。 When the received data includes data indicating a request for mutual authentication from the external device, the verification unit performs mutual authentication with the external device, and determines whether the external device is valid. The secure element according to claim 2, characterized in that:
ことを特徴とする請求項4に記載のセキュアエレメント。 The secure element according to claim 4, wherein the verification unit outputs the determination result to the control chip when it determines that the external device is not valid based on the authentication result of the mutual authentication.
ことを特徴とする請求項4又は請求項5に記載のセキュアエレメント。 If the verification unit determines that the external device is valid based on the authentication result of the mutual authentication, the validity of the data transmitted from the external device determined to be valid among the received data is determined. The secure element according to claim 4 or 5, wherein the secure element is output to the control chip without verifying.
ことを特徴とする請求項6に記載のセキュアエレメント。 If the verification unit determines that the external device is valid when the received data includes data requiring verification of the validity of the received data, the validity of the received data is determined. The secure element according to claim 6, wherein the received data is output to the control chip if it is determined that the received data is valid.
請求項1から請求項7のいずれかに記載のセキュアエレメントと、
前記セキュアエレメントに対してデータを出力し、前記セキュアエレメントにより正当であると判定された前記データを前記セキュアエレメントから取得する制御チップと、
を備えることを特徴とする端末装置。 A terminal device that can communicate with an external device,
A secure element according to any of claims 1 to 7;
A control chip that outputs data to the secure element and acquires the data determined to be valid by the secure element from the secure element;
A terminal device comprising:
ことを特徴とする請求項8に記載の端末装置。 The terminal device according to claim 8, wherein the terminal device mutually communicates with the external device via a communication network.
前記端末装置に対し、前記端末装置との相互認証を要求するデータ、又は前記端末装置が受信した受信データの正当性を検証させるか否かを命令するデータの少なくとも一方を含むデータを送信する外部装置と
を備えることを特徴とする検証システム。 A terminal device according to claim 8 or 9;
An external device that transmits data including at least one of data requesting mutual authentication with the terminal device, and data instructing whether the terminal device is to verify the legitimacy of received data, to the terminal device And a device.
ことを特徴とする請求項10に記載の検証システム。 The verification system according to claim 10, wherein the external device transmits data to the terminal device via a communication network.
取得部が、前記第1機能部から前記第2機能部に対して通知する通知データを取得する取得工程と、
検証部が、前記取得工程により取得されたデータの正当性を検証する検証工程と、
データ処理部が、前記検証工程により検証された検証結果に基づいて、前記通知データが正当であると判定される場合には前記通知データを前記第2機能部に対して出力し、前記通知データが正当でないと判定される場合には前記通知データを破棄する工程と
を有する検証方法。 A verification method of a secure element connectable between a first function unit and a second function unit that communicate with each other, comprising:
An acquiring step of acquiring notification data to be notified from the first functional unit to the second functional unit;
A verification process in which a verification unit verifies the correctness of the data acquired by the acquisition process;
The data processing unit outputs the notification data to the second function unit when it is determined that the notification data is valid based on the verification result verified by the verification step, and the notification data is output. And c. Discarding the notification data if it is determined that the notification data is not valid.
前記第1機能部から前記第2機能部に対して通知する通知データを取得する取得工程と、
前記取得工程により取得されたデータの正当性を検証する検証工程と、
前記検証工程により検証された検証結果に基づいて、前記通知データが正当であると判定される場合には前記通知データを前記第2機能部に対して出力し、前記通知データが正当でないと判定される場合には前記通知データを破棄する工程と
を実行させるプログラム。 In the computer of the secure element connectable between the first function unit and the second function unit that communicate with each other,
An acquiring step of acquiring notification data to be notified from the first functional unit to the second functional unit;
A verification step of verifying the correctness of data acquired by the acquisition step;
When it is determined that the notification data is valid based on the verification result verified in the verification step, the notification data is output to the second function unit, and it is determined that the notification data is not valid. Discarding the notification data, if any.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017225063A JP6992440B2 (en) | 2017-11-22 | 2017-11-22 | Secure elements, terminals, verification systems, verification methods, and programs |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017225063A JP6992440B2 (en) | 2017-11-22 | 2017-11-22 | Secure elements, terminals, verification systems, verification methods, and programs |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019097034A true JP2019097034A (en) | 2019-06-20 |
JP6992440B2 JP6992440B2 (en) | 2022-01-13 |
Family
ID=66972108
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017225063A Active JP6992440B2 (en) | 2017-11-22 | 2017-11-22 | Secure elements, terminals, verification systems, verification methods, and programs |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6992440B2 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014212860A (en) * | 2013-04-23 | 2014-11-17 | グローリー株式会社 | Game management system, and game management method |
JP2016072675A (en) * | 2014-09-26 | 2016-05-09 | Kddi株式会社 | Management device, vehicle, management method and computer program |
US20170041290A1 (en) * | 2015-08-05 | 2017-02-09 | Samsung Electronics Co., Ltd. | Apparatus and method for transparent, secure element-based mediation of on-board diagnostic operations |
-
2017
- 2017-11-22 JP JP2017225063A patent/JP6992440B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014212860A (en) * | 2013-04-23 | 2014-11-17 | グローリー株式会社 | Game management system, and game management method |
JP2016072675A (en) * | 2014-09-26 | 2016-05-09 | Kddi株式会社 | Management device, vehicle, management method and computer program |
US20170041290A1 (en) * | 2015-08-05 | 2017-02-09 | Samsung Electronics Co., Ltd. | Apparatus and method for transparent, secure element-based mediation of on-board diagnostic operations |
Also Published As
Publication number | Publication date |
---|---|
JP6992440B2 (en) | 2022-01-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9386045B2 (en) | Device communication based on device trustworthiness | |
CN107592964B (en) | System, apparatus and method for multi-owner transfer of ownership of a device | |
CN111542822B (en) | Electronic device and method for sharing screen data | |
CN114556865A (en) | Electronic device and method for managing block chain address by using same | |
US8397274B2 (en) | Method for authenticating device capabilities to a verified third party | |
US10984084B2 (en) | System, device management system, and methods for the same | |
KR20200104043A (en) | Electronic device for storing user identification information and method thereof | |
US20150365827A1 (en) | Methods and systems for authentication of a communication device | |
JP2023509896A (en) | DEVICE SHARING METHODS AND ELECTRONIC DEVICES | |
KR20190033380A (en) | Authenticating a networked camera using a certificate having device binding information | |
CN113826137A (en) | Electronic device and method for receiving push messages stored in blockchain | |
CN114450663A (en) | Electronic device for updating firmware by using secure integrated circuit and operation method thereof | |
CN107223322B (en) | Signature verification method, device and system | |
JP2018067807A (en) | Electronic signature system, electronic signature client, electronic signature program, server, and electronic signature method | |
JP6992440B2 (en) | Secure elements, terminals, verification systems, verification methods, and programs | |
EP4044500B1 (en) | Electronic device for ensuring integrity of electronic device intrinsic information, and operating method therefor | |
EP2407904B1 (en) | Method for authenticating device capabilities to a verified third party | |
US11921857B2 (en) | Electronic device for providing service by using secure element, and operating method thereof | |
CN115146253A (en) | Mobile App login method, mobile device and system | |
JP7106845B2 (en) | Terminal device and verification method | |
CN105323287B (en) | Third-party application program login method and system | |
CN112020065B (en) | Information processing method, terminal equipment, server and storage medium | |
CN109671229B (en) | Cash register and safety verification method thereof | |
JP2018113504A (en) | Secure element, UIM card, authentication method, and authentication program | |
KR20240003681A (en) | Electronic device for providing encryption service and method of operating the same |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201021 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210714 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210727 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210921 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211109 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211122 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6992440 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |