JP2020036145A - Data transmission source device, data transmission destination device, data processing system, and data processing method - Google Patents

Data transmission source device, data transmission destination device, data processing system, and data processing method Download PDF

Info

Publication number
JP2020036145A
JP2020036145A JP2018160130A JP2018160130A JP2020036145A JP 2020036145 A JP2020036145 A JP 2020036145A JP 2018160130 A JP2018160130 A JP 2018160130A JP 2018160130 A JP2018160130 A JP 2018160130A JP 2020036145 A JP2020036145 A JP 2020036145A
Authority
JP
Japan
Prior art keywords
data
latest
past
unit
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2018160130A
Other languages
Japanese (ja)
Inventor
清水 良昭
Yoshiaki Shimizu
良昭 清水
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fuji Electric Co Ltd
Original Assignee
Fuji Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Electric Co Ltd filed Critical Fuji Electric Co Ltd
Priority to JP2018160130A priority Critical patent/JP2020036145A/en
Publication of JP2020036145A publication Critical patent/JP2020036145A/en
Pending legal-status Critical Current

Links

Abstract

To provide a data transmission source device that encrypts and decrypts communication data using key data updated for each transmission and reception.SOLUTION: A data transmission source device 10 is connected to a data transmission destination device 20 having time-series data 210, and transmits the encrypted latest value obtained by encrypting the latest value to the data transmission destination device 20. The data transmission source device 10 includes a key generation unit 102 that creates an encryption key 420 used for encryption on the basis of a previous value 113 and a value 114 before the previous value for the latest value 112 to be encrypted, an encryption unit 104 that encrypts the latest value 112 to create an encrypted latest value 440 by using the encryption key 420, and a transmitting unit 105 that transmits the encrypted latest value 440, and each time the encrypted latest value 440 is transmitted, the encryption key generation unit 102 creates an encryption key.SELECTED DRAWING: Figure 4

Description

本発明は、データ送信元装置、データ送信先装置、データ処理システム及びデータ処理方法に関する。   The present invention relates to a data transmission source device, a data transmission destination device, a data processing system, and a data processing method.

近年、あらゆるものがネットワークに繋がるようになり、各種制御装置・計測装置、情報家電、携帯電話などの組込機器についてもセキュリティ対策が急務となっている。セキュリティ対策として例えば、不正な手段で第三者が通信データを見られないようにするためにデータを暗号化して通信する技術として暗号化に公開鍵を使い復号に秘密鍵を使う公開鍵暗号方式と、暗号化と復号に共通の共通鍵を使う共通鍵暗号方式が一般的に知られている。また、第三者が通信データの内容を書き換える(改ざんする)場合は公開鍵暗号方式に基づくデジタル署名によって検知することが可能となっている。しかしながら、組込機器はある目的に特化した専用機である場合が多く、汎用PCと比べてCPU(Central Processing Unit)処理能力が低く、メモリ資源も少ないため、公開鍵暗号方式のように高度な演算処理が使えない場合が多い。また、公開鍵暗号方式が使えた場合でも公開鍵および秘密鍵の生産管理ならびにデータ送信元およびデータ送信先の組込機器間での鍵の共有や交換をどうするかなどの課題がある。同様に共通鍵暗号方式においても共通鍵の共有や交換においての課題がある。   In recent years, everything has come to be connected to networks, and security measures are urgently required for embedded devices such as various control devices and measuring devices, information home appliances, and mobile phones. As a security measure, for example, a public key encryption system that uses a public key for encryption and a private key for decryption as a technology for encrypting and communicating data so that a third party cannot view communication data by unauthorized means A common key cryptosystem using a common key for encryption and decryption is generally known. Also, when a third party rewrites (falsifies) the content of the communication data, it can be detected by a digital signature based on a public key cryptosystem. However, embedded devices are often dedicated machines dedicated to a certain purpose, and have lower CPU (Central Processing Unit) processing capacity and less memory resources than general-purpose PCs. In many cases, complicated arithmetic processing cannot be used. Further, even when the public key cryptosystem can be used, there are problems such as production control of the public key and the private key, and how to share and exchange the key between the data transmission source and the data transmission destination embedded device. Similarly, the common key cryptosystem also has a problem in sharing and exchanging a common key.

組込機器(計測装置)間でデータ送受信するシステムについて電気量をサンプリングし、高調波電流データを算出し、この高調波電流データから鍵データを作成し、送受信毎に鍵データを変更して認証タグデータを作成する技術が知られている(特許文献1参照)。   For a system that transmits and receives data between embedded devices (measuring devices), it samples electrical quantities, calculates harmonic current data, creates key data from this harmonic current data, and changes the key data for each transmission and reception for authentication. A technique for creating tag data is known (see Patent Document 1).

特開2013−197759号公報JP 2013-197759 A

しかしながら、特許文献1は、高調波電流データを基に鍵データを作成するが、高調波電流データを取得するために通常、実施する計測データのサンプリング周期よりも高速でサンプリングする必要があり鍵データを作成するために高度な演算処理及び負荷がかかってしまう。   However, in Patent Literature 1, key data is created based on harmonic current data. However, in order to acquire harmonic current data, it is usually necessary to perform sampling at a higher speed than a sampling cycle of measurement data to be performed. Requires a high-level calculation process and load.

本発明の一実施形態は、上記の点に鑑みてなされたものであり、装置が保持するデータを基に鍵データを作成し、送受信毎に更新した鍵データを用いて通信データを暗号化及び復号することを目的とする。   One embodiment of the present invention has been made in view of the above points, creates key data based on data held by an apparatus, encrypts communication data using key data updated for each transmission and reception, and encrypts communication data. The purpose is to decrypt.

上記目的を達成するため、本発明の一実施形態は、過去データを有するデータ送信先装置と接続され、最新データを暗号化した暗号化済み最新データを前記データ送信先装置に送信するデータ送信元装置であって、データを時系列で蓄積する時系列データ記憶部と、前記時系列データ記憶部に蓄積された前記過去データに基づいて暗号化に用いる暗号化鍵を作成する暗号化鍵生成部と、前記暗号化鍵生成部により作成された前記暗号化鍵を用いて、前記暗号化済み最新データを作成する暗号化部と、前記暗号化部で作成した前記暗号化済み最新データを前記デ−タ送信先装置に送信する送信部と、を有し、前記暗号化鍵生成部は、前記最新データを取得する毎に前記暗号化鍵を作成し、前記暗号化部は、前記鍵生成部が前記暗号化鍵を作成する毎に前記最新データを暗号化した前記暗号化済み最新データを作成し、前記送信部は、前記暗号化部で前記暗号化済み最新データを作成する毎に前記暗号化済み最新データを前記デ−タ送信先装置に送信する。   In order to achieve the above object, an embodiment of the present invention is directed to a data transmission source connected to a data transmission destination device having past data and transmitting encrypted latest data obtained by encrypting latest data to the data transmission destination device. An apparatus, comprising: a time-series data storage unit that stores data in time series; and an encryption key generation unit that creates an encryption key used for encryption based on the past data stored in the time-series data storage unit. An encryption unit that creates the latest encrypted data using the encryption key created by the encryption key generation unit; and stores the latest encrypted data created by the encryption unit in the data. A transmission unit for transmitting to the destination device, wherein the encryption key generation unit generates the encryption key every time the latest data is obtained, and the encryption unit includes the key generation unit Creates the encryption key Each time the encrypted latest data is encrypted, the encrypted latest data is created, and the transmission unit creates the encrypted latest data every time the encryption unit creates the encrypted latest data. Data to the destination device.

本発明の一実施形態によれば、装置間で鍵の受け渡し及び管理を不要とし、装置間で送受信するデータは、毎回、異なる鍵を用いて暗号化したデータであるため、セキュリティ強度の低下を防ぐことが期待できる。   According to an embodiment of the present invention, it is not necessary to transfer and manage a key between devices, and data transmitted and received between devices is data that is encrypted using a different key each time. Can be expected to prevent.

第一の実施形態に係るデータ処理システムのシステム構成の一例を示す図である。FIG. 1 is a diagram illustrating an example of a system configuration of a data processing system according to a first embodiment. 第一の実施形態に係るデータ送信元装置のハードウェア構成の一例を示す図である。FIG. 2 is a diagram illustrating an example of a hardware configuration of a data transmission source device according to the first embodiment. 第一の実施形態に係るデータ送信先装置のハードウェア構成の一例を示す図である。FIG. 3 is a diagram illustrating an example of a hardware configuration of a data transmission destination device according to the first embodiment. 第一の実施形態に係るデータ処理システムの機能構成の一例を示す図である。FIG. 2 is a diagram illustrating an example of a functional configuration of the data processing system according to the first embodiment. 第一の実施形態に係るデータ送信元装置における過去データ取得から送信までの処理の一例を示すフローチャートである。5 is a flowchart illustrating an example of a process from acquisition of past data to transmission in the data transmission source device according to the first embodiment. 第一の実施形態に係るデータ送信先装置における最新データを格納する処理の一例を示すフローチャートである。5 is a flowchart illustrating an example of a process of storing the latest data in the data transmission destination device according to the first embodiment. 第一の実施形態に係るデータ送信元装置における暗号化鍵を作成する処理の一例を示すフローチャートである。5 is a flowchart illustrating an example of a process of creating an encryption key in the data transmission source device according to the first embodiment. 第一の実施形態に係るデータ送信先装置における復号鍵を作成する処理の一例を示すフローチャートである。6 is a flowchart illustrating an example of a process for creating a decryption key in the data transmission destination device according to the first embodiment. 第一の実施形態に係るデータ処理システムの機能構成の一例を示す図である。FIG. 2 is a diagram illustrating an example of a functional configuration of the data processing system according to the first embodiment. 第一の実施形態に係るデータ処理システムの機能構成の一例を示す図である。FIG. 2 is a diagram illustrating an example of a functional configuration of the data processing system according to the first embodiment. 第一の実施形態に係るデータ送信先装置における装置IDテーブルの一例を示す図である。FIG. 4 is a diagram illustrating an example of a device ID table in the data transmission destination device according to the first embodiment. 第一の実施形態に係るデータ送信元装置における通信パケットの一例を示す図である。FIG. 3 is a diagram illustrating an example of a communication packet in the data transmission source device according to the first embodiment.

以下、本発明の実施の形態について、図面を参照しながら詳細に説明する。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.

[第一の実施形態]
<システム構成>
まず、本実施形態に係るデータ処理システム1のシステム構成について、図1を参照しながら説明する。図1は、本実施形態に係るデータ処理システム1のシステム構成の一例を示す図である。 [First embodiment]
<System configuration>
First, a system configuration of a data processing system 1 according to the present embodiment will be described with reference to FIG. FIG. 1 is a diagram illustrating an example of a system configuration of a data processing system 1 according to the present embodiment.

図1に示すように、本実施形態に係るデータ処理システム1は、データを送信するデータ送信元装置10と、データを受信するデータ送信先装置20とを有し、例えば制御用LAN及びインターネットや電話回線網等のネットワークNを介して通信可能に接続されている。なお、データ送信先装置10とデータ送信元装置20とは、例えばBluetooth(登録商標)等の近距離無線通信及び専用の通信線や共通バスを介して通信可能に接続されていても良い。   As shown in FIG. 1, a data processing system 1 according to the present embodiment includes a data transmission source device 10 for transmitting data and a data transmission destination device 20 for receiving data. They are communicably connected via a network N such as a telephone network. The data transmission destination device 10 and the data transmission source device 20 may be communicably connected via short-range wireless communication such as Bluetooth (registered trademark) or a dedicated communication line or a common bus.

データ送信元装置10は、センサ等から各種計測データを定期的または必要時に収集し、収集した時系列で計測データを蓄積するデータ処理装置であり、組込機器に分類される計測装置である。データ送信元装置10は、最新データ提供処理部100と、時系列データ記憶部110とを有する。   The data transmission source device 10 is a data processing device that collects various measurement data from sensors and the like regularly or when necessary, and accumulates the measurement data in the collected time series, and is a measurement device classified as an embedded device. The data transmission source device 10 includes a latest data provision processing unit 100 and a time-series data storage unit 110.

時系列データ記憶部110は、各種計測データを時系列に記憶する。以降、時系列に蓄積した計測データの内、最新の計測データを最新データ(=最新値)112、過去の計測データを過去データ111と表す。過去データ111の内、最新データを収集したタイミングの1つ前に収集した計測データを前回データ(=前回値)、2つ前に収集した計測データを前々回データ(=前々回値)と表す。   The time series data storage unit 110 stores various measurement data in a time series. Hereinafter, of the measurement data accumulated in a time series, the latest measurement data is referred to as latest data (= latest value) 112, and the past measurement data is referred to as past data 111. Among the past data 111, the measurement data collected just before the timing of collecting the latest data is referred to as previous data (= previous value), and the measurement data collected two times before is referred to as pre-last data (= pre-last value).

また、最新データ提供処理部100は、最新データ112を認証付き暗号(AE:Authenticated Encryption又はAEAD:Authenticated Encryption with Associated Data)の手法により暗号化する。そして、最新データ提供処理部100は、当該暗号化後の最新データ(後述する暗号化済み最新データ及び認証タグ)をデータ送信先装置20に提供する。このとき、最新データ提供処理部100は、過去データ111に基づき暗号化鍵を作成した上で、当該暗号鍵を用いて最新データ112を暗号化する。なお、認証タグは、メッセージ認証符号(MAC:Message Authentication Code)とも称され、暗号化後の最新データの完全性(すなわち、当該暗号化後の最新データが改ざん等されていないこと)を検証するための情報である。   Further, the latest data providing processing unit 100 encrypts the latest data 112 by using a method of authenticated encryption (AE: Authenticated Encryption or AEAD: Authenticated Encryption with Associated Data). Then, the latest data provision processing unit 100 provides the latest data after the encryption (the latest encrypted data and the authentication tag described later) to the data transmission destination device 20. At this time, the latest data provision processing unit 100 creates an encryption key based on the past data 111, and then encrypts the latest data 112 using the encryption key. The authentication tag is also called a message authentication code (MAC), and verifies the integrity of the latest data after encryption (that is, that the latest data after encryption is not falsified). Information.

データ送信先装置20は、例えば計測装置、制御装置等の組込機器またはクラウド上にあるサーバである。データ送信先装置20は、最新データ格納処理部200と、時系列データ記憶部210とを有する。   The data transmission destination device 20 is, for example, an embedded device such as a measuring device or a control device, or a server on a cloud. The data transmission destination device 20 includes a latest data storage processing unit 200 and a time-series data storage unit 210.

最新データ格納処理部200は、データ送信元装置10から提供された暗号化済み最新データ及び認証タグを、認証付き暗号の手法ににより復号し、最新データ470を作成する。このとき、最新データ格納処理部200は、データ送信元装置20が有する過去データ111に基づき復号鍵を作成した上で、当該復号鍵を用いて暗号化済み最新データを復号する。また、暗号化鍵および復号鍵の作成に使われる過去データは、対象となる最新データに対する過去データから抽出される。データ送信元装置とデータ送信先装置で同じ計測データが使われる(つまり値が同じ)。   The latest data storage processing unit 200 decrypts the encrypted latest data and the authentication tag provided from the data transmission source device 10 by using an authentication-assisted encryption method, and creates the latest data 470. At this time, the latest data storage processing unit 200 creates a decryption key based on the past data 111 of the data transmission source device 20, and then decrypts the encrypted latest data using the decryption key. Further, the past data used for creating the encryption key and the decryption key is extracted from the past data corresponding to the target latest data. The same measurement data is used in the data transmission source device and the data transmission destination device (that is, the values are the same).

このように、本実施形態に係るデータ処理システム1では、データ送信元装置10が、認証付き暗号の手法を用いて、最新データ112をデータ送信先装置20に提供する。これにより、本実施形態に係るデータ処理システム1では、例えば、悪意のある第三者がネッワーク上で暗号化済み最新データを傍受しても解読を難しくし、さらに、不正な最新データをデータ送信先装置20に送ったとしても、書き込まれてしまうような事態(すなわち、時系列データ記憶部に不正な最新データを格納してしまうような事態)を防止することができる。   As described above, in the data processing system 1 according to the present embodiment, the data transmission source device 10 provides the latest data 112 to the data transmission destination device 20 by using the authentication-assisted encryption method. Thereby, in the data processing system 1 according to the present embodiment, for example, even if a malicious third party intercepts the latest encrypted data on the network, it is difficult to decrypt the data, and furthermore, the malicious third party transmits the incorrect latest data. Even if the data is sent to the destination device 20, it is possible to prevent a situation in which the data is written (that is, a situation in which incorrect latest data is stored in the time-series data storage unit).

また、このとき、本実施形態に係るデータ処理システム1では、データ送信元装置10が有する過去データ111に基づいて暗号化鍵を作成すると共に、データ送信先装置20が有する過去データ111に基づいて復号鍵を作成する。これにより、本実施形態に係るデータ処理システム1では、データ送信先装置10及びデータ送信元装置20は、それぞれ暗号化鍵及び復号鍵を管理しておく必要がない。更に、本実施形態に係るデータ処理システム1では、最新データを取得する度に、暗号化鍵及び復号鍵を更新することができる。   At this time, in the data processing system 1 according to the present embodiment, an encryption key is created based on the past data 111 included in the data transmission source device 10 and based on the past data 111 included in the data transmission destination device 20. Create a decryption key. Thus, in the data processing system 1 according to the present embodiment, the data transmission destination device 10 and the data transmission source device 20 do not need to manage the encryption key and the decryption key, respectively. Further, in the data processing system 1 according to the present embodiment, the encryption key and the decryption key can be updated every time the latest data is obtained.

なお、本実施形態は、データ送信先装置20が有する時系列データ記憶部210に最新の計測データを格納する場合について説明するが、これに限られず、最新データは、データ送信元装置10が、計測データを収集したタイミングで計測データを基に演算した結果である演算値、制御値等についても同様に適用することができる。   In the present embodiment, the case where the latest measurement data is stored in the time-series data storage unit 210 of the data transmission destination device 20 will be described. However, the present invention is not limited to this. The same can be applied to a calculation value, a control value, and the like, which are the results of calculation based on the measurement data at the timing of collecting the measurement data.

<ハードウェア構成>
次に、本実施形態に係るデータ送信元装置10のハードウェア構成について、図2を参照しながら説明する。図2は、本実施形態に係るデータ送信元装置10のハードウェア構成の一例を示す図である。 <Hardware configuration>
Next, a hardware configuration of the data transmission source device 10 according to the present embodiment will be described with reference to FIG. FIG. 2 is a diagram illustrating an example of a hardware configuration of the data transmission source device 10 according to the present embodiment.

図2に示すように、本実施形態に係るデータ処理装置10は、CPU601と、RAM(Random Access Memory)602と、フラッシュROM(Read Only Memory)603と、外部I/F604と、通信I/F605とを有する。これら各ハードウェアは、バス607により相互に通信可能に接続されている。 外部I/F604は、外部装置とのインタフェースである。外部装置には、記録媒体604a等がある。データ処理装置10は、外部I/F604を介して、記録媒体604aの読み取りや書き込みを行うことができる。   As shown in FIG. 2, the data processing device 10 according to the present embodiment includes a CPU 601, a RAM (Random Access Memory) 602, a flash ROM (Read Only Memory) 603, an external I / F 604, and a communication I / F 605. And These pieces of hardware are communicably connected to each other by a bus 607. The external I / F 604 is an interface with an external device. The external device includes a recording medium 604a and the like. The data processing device 10 can read and write the recording medium 604a via the external I / F 604.

記録媒体604aには、例えば、フレキシブルディスク、CD(Compact Disc)、DVD(Digital Versatile Disk)、SDメモリカード(Secure Digital memory card)、USB(Universal Serial Bus)メモリカード等がある。   Examples of the recording medium 604a include a flexible disk, a CD (Compact Disc), a DVD (Digital Versatile Disk), an SD memory card (Secure Digital memory card), and a USB (Universal Serial Bus) memory card.

CPU601は、フラッシュROM603からプログラムやデータをRAM602上に読み出し、処理を実行することで、データ送信元装置10全体の制御や機能を実現する演算装置である。   The CPU 601 is an arithmetic unit that reads out programs and data from the flash ROM 603 onto the RAM 602 and executes processing to realize control and functions of the entire data transmission source device 10.

フラッシュROM603は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリである。フラッシュROM603には、例えば、時系列データ記憶部110、最新データ提供処理部100を実現するプログラム等が格納されている。
RAM602は、プログラムやデータを一時保持する揮発性の半導体メモリである。 The flash ROM 603 is a nonvolatile semiconductor memory that can retain programs and data even when the power is turned off. The flash ROM 603 stores, for example, a program that implements the time-series data storage unit 110 and the latest data provision processing unit 100.
The RAM 602 is a volatile semiconductor memory that temporarily stores programs and data.

通信I/F605は、データ送信元装置10をネットワークNに接続するためのインタフェースである。データ送信元装置10は、通信I/F605を介して、最新データを認証付き暗号の手法により暗号化した最新データ(すなわち、暗号化済み最新データ及び認証タグ)をデータ送信元装置20に送信することができる。   The communication I / F 605 is an interface for connecting the data transmission source device 10 to the network N. The data transmission source device 10 transmits, to the data transmission source device 20, the latest data obtained by encrypting the latest data using the encryption method with authentication (that is, the encrypted latest data and the authentication tag) via the communication I / F 605. be able to.

また、センサ等から各種計測データを定期的または必要時に収集するための通信インターフェース及び収集した計測データを時系列データ記憶部110に格納するプログラムを有する(図示せず)。また、プログラムやデータを格納している不揮発性のメモリとして、例えば、HDD(Hard Disk Drive)等を備えても良い。プログラムやデータには、最新データ提供処理部100を実現するプログラム、時系列で計測データを蓄積する時系列データ記憶部等がある。   Further, it has a communication interface for collecting various measurement data from sensors and the like regularly or when necessary, and a program for storing the collected measurement data in the time-series data storage unit 110 (not shown). Further, as a nonvolatile memory storing programs and data, for example, an HDD (Hard Disk Drive) may be provided. The programs and data include a program for realizing the latest data provision processing unit 100, a time series data storage unit for accumulating measurement data in time series, and the like.

本実施形態に係るデータ送信元装置10は、図2に示すハードウェア構成を有することにより、後述する各種処理を実現することができる。     The data transmission source device 10 according to the present embodiment has the hardware configuration illustrated in FIG. 2, so that various processes described below can be realized.

次に、本実施形態に係るデータ送信先装置20のハードウェア構成について、図3を参照しながら説明する。図3は、本実施形態に係るデータ送信先装置20のハードウェア構成の一例を示す図である。   Next, a hardware configuration of the data transmission destination device 20 according to the present embodiment will be described with reference to FIG. FIG. 3 is a diagram illustrating an example of a hardware configuration of the data transmission destination device 20 according to the present embodiment.

図3に示すように、本実施形態に係るデータ送信先装置20は、外部I/F701と、RAM702と、CPU703と、フラッシュROM704と、通信I/F705とを有する。これら各ハードウェアは、バス706により相互に通信可能に接続されている。   As shown in FIG. 3, the data transmission destination device 20 according to the present embodiment includes an external I / F 701, a RAM 702, a CPU 703, a flash ROM 704, and a communication I / F 705. These pieces of hardware are communicably connected to each other by a bus 706.

外部I/F701は、外部装置とのインタフェースである。外部装置には、記録媒体701a等がある。データ送信先装置20は、外部I/F701を介して、記録媒体701aの読み取りや書き込みを行うことができる。記録媒体701aには、例えば、SDメモリカードやUSBメモリカード等がある。   The external I / F 701 is an interface with an external device. The external device includes a recording medium 701a and the like. The data transmission destination device 20 can read and write the recording medium 701a via the external I / F 701. Examples of the recording medium 701a include an SD memory card and a USB memory card.

RAM702は、プログラムやデータを一時保持する揮発性の半導体メモリである。CPU703は、フラッシュROM704からプログラムやデータをRAM702上に読み出し、処理を実行することで、データ送信元装置20全体の制御や機能を実現する演算装置である。   The RAM 702 is a volatile semiconductor memory that temporarily stores programs and data. The CPU 703 is an arithmetic unit that reads out programs and data from the flash ROM 704 onto the RAM 702 and executes processing to realize control and functions of the entire data transmission source device 20.

フラッシュROM704は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリである。フラッシュROM704には、例えば、時系列データ記憶部210、最新データ格納処理部200を実現するプログラム等が格納されている。   The flash ROM 704 is a nonvolatile semiconductor memory that can retain programs and data even when the power is turned off. The flash ROM 704 stores, for example, a program that implements the time-series data storage unit 210 and the latest data storage processing unit 200.

通信I/F705は、データ送信先装置20をネットワークNに接続するためのインタフェースである。データ送信先装置20は、通信I/F705を介して、暗号化済み最新データ及び認証タグをデータ送信元装置10から受信することができる。また、プログラムやデータを格納している不揮発性のメモリとして、例えば、HDD(Hard Disk Drive)等を備えても良い。プログラムやデータには、最新データ格納処理部200を実現するプログラム、時系列で計測データを蓄積する時系列データ記憶部等がある。   The communication I / F 705 is an interface for connecting the data transmission destination device 20 to the network N. The data transmission destination device 20 can receive the latest encrypted data and the authentication tag from the data transmission source device 10 via the communication I / F 705. Further, as a nonvolatile memory storing programs and data, for example, an HDD (Hard Disk Drive) may be provided. The programs and data include a program for realizing the latest data storage processing unit 200, a time series data storage unit for accumulating measurement data in time series, and the like.

本実施形態に係るデータ送信先装置20は、図3に示すハードウェア構成を有することにより、後述する各種処理を実現することができる。   The data transmission destination device 20 according to the present embodiment has the hardware configuration illustrated in FIG. 3, so that various processes described below can be realized.

<機能構成>
次に、本実施形態に係るデータ処理システム1の機能構成について、図4を参照しながら説明する。図4は、本実施形態に係るデータ処理システム1の機能構成の一例を示す図である。 <Functional configuration>
Next, a functional configuration of the data processing system 1 according to the present embodiment will be described with reference to FIG. FIG. 4 is a diagram illustrating an example of a functional configuration of the data processing system 1 according to the present embodiment.

図4に示すように、本実施形態に係るデータ送信元装置10の最新データ提供部100は、鍵生成部102と、暗号化部104と、通信部105とを有する。なお、最新データ提供部100は、データ送信元装置10にインストールされた1以上のプログラムが、CPU606に実行させる処理により実現される。   As shown in FIG. 4, the latest data providing unit 100 of the data transmission source device 10 according to the present embodiment includes a key generation unit 102, an encryption unit 104, and a communication unit 105. Note that the latest data providing unit 100 is realized by a process of causing the CPU 606 to execute one or more programs installed in the data transmission source device 10.

鍵生成部102は、時系列データ記憶部110に記憶されている暗号化する最新データに対する過去データの内、前回データ113と前々回データ114を抽出し、所定のアルゴリズムを用いて、前回データ113と前々回データ114から暗号化鍵420を作成する。     The key generation unit 102 extracts the previous data 113 and the data 114 before and after the previous data 113 from the past data for the latest data to be encrypted stored in the time-series data storage unit 110, and extracts the previous data 113 and the previous data 113 using a predetermined algorithm. An encryption key 420 is created from the data 114 two times before.

暗号化部104は、鍵生成部102により作成された暗号化鍵420を用いた認証付き暗号の手法により、最新データ112を暗号化して、暗号化済み最新データ440と認証タグ450とを作成する。   The encrypting unit 104 encrypts the latest data 112 by using an encryption method with authentication using the encryption key 420 created by the key generating unit 102, and creates the encrypted latest data 440 and the authentication tag 450. .

認証付き暗号の手法には、例えば、EtM(Encrypt-then-MAC)やE&M(Encrypt-and-MAC)等が挙げられる。   Examples of the method of the encryption with authentication include EtM (Encrypt-then-MAC) and E & M (Encrypt-and-MAC).

EtMでは、暗号化部104は、暗号化鍵420を用いて最新データ112を暗号化して、暗号化済み最新データ440を作成する。そして、暗号化部104は、所定のハッシュ関数と暗号化鍵420とを用いて、暗号化済み最新データ440のハッシュ値を算出して、算出したハッシュ値を認証タグ450とする。   In EtM, the encryption unit 104 encrypts the latest data 112 using the encryption key 420 to create the encrypted latest data 440. Then, the encryption unit 104 calculates the hash value of the latest encrypted data 440 using the predetermined hash function and the encryption key 420, and sets the calculated hash value as the authentication tag 450.

E&Mでは、暗号化部104は、暗号化鍵420を用いて最新データ112を暗号化して、暗号化済み最新データ440を作成する。そして、暗号化部104は、所定のハッシュ関数と暗号化鍵420とを用いて、最新データ112のハッシュ値を算出して、算出したハッシュ値を認証タグ450とする。   In E & M, the encryption unit 104 encrypts the latest data 112 using the encryption key 420 to create encrypted latest data 440. Then, the encryption unit 104 calculates the hash value of the latest data 112 using the predetermined hash function and the encryption key 420, and sets the calculated hash value as the authentication tag 450.

なお、暗号化部104は、認証付き暗号の手法として、MtE(MAC-then-Encrypt)を用いても良い。ただし、この場合、暗号化部104は、最新データ112と、当該最新データ112から作成した認証タグとを連結した上で暗号化して、暗号化済み最新データ440を作成する。   Note that the encryption unit 104 may use MtE (MAC-then-Encrypt) as a technique of encryption with authentication. However, in this case, the encryption unit 104 couples the latest data 112 and the authentication tag created from the latest data 112 and encrypts them to create encrypted latest data 440.

通信部105は、暗号化部104により作成された暗号化済み最新データ440と認証タグ450とをデータ送信先装置20に送信する。   The communication unit 105 transmits the encrypted latest data 440 created by the encryption unit 104 and the authentication tag 450 to the data transmission destination device 20.

図4に示すように、本実施形態に係るデータ送信先装置20の最新データ格納処理部200は、通信部201と、鍵生成部202と、復号部203と、通知部204と、判定部205と、格納部207とを有する。なお、最新データ格納処理部200は、データ送信先装置20にインストールされた1以上のプログラムが、CPU703に実行させる処理により実現される。   As shown in FIG. 4, the latest data storage processing unit 200 of the data transmission destination device 20 according to the present embodiment includes a communication unit 201, a key generation unit 202, a decryption unit 203, a notification unit 204, and a determination unit 205. And a storage unit 207. Note that the latest data storage processing unit 200 is realized by a process of causing the CPU 703 to execute one or more programs installed in the data transmission destination device 20.

通信部201は、暗号化済み最新データ440と認証タグ450とをデータ送信先装置10から受信する。   The communication unit 201 receives the encrypted latest data 440 and the authentication tag 450 from the data transmission destination device 10.

鍵生成部202は、時系列データ記憶部210に記憶されている、暗号化した最新データに対する過去データの内、前回データ113と前々回データ114を抽出し、データ送信元装置10の鍵生成部102と同一のアルゴリズムを用いて、データ送信先装置20が有する前回データ113と前々回データ114(すなわち、データ送信先装置20のフラッシュROM704に格納されている前回データ114と前々回データ113)から復号鍵460を作成する。   The key generation unit 202 extracts the previous data 113 and the data 114 two times before the previous data from the past data corresponding to the latest encrypted data stored in the time-series data storage unit 210, and extracts the key generation unit 102 of the data transmission source device 10. Using the same algorithm as that described above, the decryption key 460 is obtained from the previous data 113 and the data before last data 114 (that is, the previous data 114 and the data before last data 113 stored in the flash ROM 704 of the data transmission destination device 20) of the data transmission destination device 20. Create

復号部203は、鍵生成部202により作成された復号鍵460を用いた認証付き暗号の手法により、通信部201により受信された暗号化済み最新データ440を復号して、最新データ470を作成する。   The decryption unit 203 decrypts the latest encrypted data 440 received by the communication unit 201 and creates the latest data 470 by using an authentication-based encryption method using the decryption key 460 created by the key generation unit 202. .

判定部205は、通信部201により受信された認証タグ450を検証する。すなわち、判定部205は、例えば、復号部203が復号した最新データ470から認証タグを作成した上で、作成した認証タグと、認証タグ450とが一致するか否かにより、認証タグ450の検証結果が正当又は不当のいずれであるかを判定する。   The determination unit 205 verifies the authentication tag 450 received by the communication unit 201. That is, for example, the determination unit 205 generates an authentication tag from the latest data 470 decrypted by the decryption unit 203, and verifies the authentication tag 450 based on whether the created authentication tag matches the authentication tag 450. Determine whether the result is valid or unjust.

なお、復号部203及び判定部205は、データ送信元装置10の暗号化部104と同一の認証付き暗号の手法を用いて、暗号化済み最新データ440の復号と認証タグ450の検証とを行う。また、復号部203は、判定部205の処理を含むものであっても良い。   Note that the decryption unit 203 and the determination unit 205 perform decryption of the latest encrypted data 440 and verification of the authentication tag 450 by using the same encryption method with authentication as the encryption unit 104 of the data transmission source device 10. . Further, the decoding unit 203 may include the processing of the determination unit 205.

通知部204は、判定部205による認証タグ450の検証結果が不当(すなわち、判定部205が作成した認証タグと、通信部201が受信した認証タグ450とが一致しない)場合、最新データを時系列データ記憶部へ格納できなかったこと(格納失敗)を通知する。   If the verification result of the authentication tag 450 by the determination unit 205 is invalid (that is, the authentication tag created by the determination unit 205 does not match the authentication tag 450 received by the communication unit 201), the notification unit 204 updates the latest data. Notify that the data could not be stored in the sequence data storage unit (storage failure).

格納部207は、判定部205による認証タグ450の検証結果が正当(すなわち、判定部205が作成した認証タグと、通信部201が受信した認証タグ450とが一致する)場合、時系列データ記憶部に復号した最新データ470を格納する。これにより、データ送信元装置10の時系列データ記憶部に記憶されている最新データ112と、データ送信先装置20の時系列データ記憶部に記憶された最新データ470は、同一のデータとなる。   The storage unit 207 stores the time-series data when the verification result of the authentication tag 450 by the determination unit 205 is valid (that is, the authentication tag created by the determination unit 205 matches the authentication tag 450 received by the communication unit 201). The decrypted latest data 470 is stored in the section. Thus, the latest data 112 stored in the time-series data storage unit of the data transmission source device 10 and the latest data 470 stored in the time-series data storage unit of the data transmission destination device 20 become the same data.

<処理の詳細>
次に、本実施形態に係るデータ処理システム1の処理の詳細について説明する。 <Details of processing>
Next, details of processing of the data processing system 1 according to the present embodiment will be described.

<<データ処理装置10における過去データ取得から送信までの処理>>
以降では、デ゛ータ送信元装置10における過去データ取得からデータ送信先装置20への送信までの処理について、図5を参照しながら説明する。図5は、本実施形態に係るデータ送信先装置10における過去データ(前回データ113、前々回データ114)の取得から送信までの処理の一例を示すフローチャートである。なお、図5に示す処理は、データ送信元装置10がセンサ等から最新の計測データを収集し、時系列データ記憶部110に最新データ112が記憶されたタイミングで実行される。 <<< Process from Data Acquisition to Transmission in Data Processing Device 10 >>>
Hereinafter, processing from the acquisition of past data in the data transmission source device 10 to the transmission to the data transmission destination device 20 will be described with reference to FIG. FIG. 5 is a flowchart illustrating an example of a process from acquisition of past data (previous data 113, data before last data 114) to transmission in the data transmission destination device 10 according to the present embodiment. The process illustrated in FIG. 5 is executed at the timing when the data transmission source device 10 collects the latest measurement data from a sensor or the like and the latest data 112 is stored in the time-series data storage unit 110.

まず、鍵生成部102は、最新データ112に対する過去データ(前回データ113、前々回データ114)を時系列データ記憶部110から取得する(ステップS501)。時系列データ記憶部に格納されたデータは、センサ等から収集した計測データである。センサ等の入力元に対応する計測データごとに識別コードが付いており、センサ等からの計測データ収集タイミングで時系列に格納されているため、該当する最新データ及びその最新データに対する過去データ(前回データ113、前々回データ114)を取得することは容易である。   First, the key generation unit 102 acquires past data (previous data 113, data before last data 114) for the latest data 112 from the time-series data storage unit 110 (step S501). The data stored in the time-series data storage unit is measurement data collected from a sensor or the like. An identification code is attached to each measurement data corresponding to the input source of the sensor, etc., and is stored in chronological order at the measurement data collection timing from the sensor, etc. It is easy to acquire the data 113 and the data 114) two times before.

次に、鍵生成部102は、所定のアルゴリズムを用いて、過去データ(前回データ113、前々回データ114)から暗号化鍵420を作成する(ステップS502)。例えば、鍵生成部102は、過去データ(前回データ113、前々回データ114)を連結して1つのバイナリデータを当該アルゴリズムに入力することで、当該アルゴリズムの出力として暗号化鍵420を作成する。なお、所定のアルゴリズムには、例えば、所定のハッシュ関数等を用いることができる。また、鍵生成部102は、当該連結したバイナリデータ自体を暗号化鍵420としても良い。   Next, the key generation unit 102 generates an encryption key 420 from past data (previous data 113, data before last data 114) using a predetermined algorithm (step S502). For example, the key generation unit 102 creates the encryption key 420 as an output of the algorithm by connecting past data (previous data 113 and data 114 before the previous one) and inputting one binary data to the algorithm. Note that a predetermined hash function or the like can be used as the predetermined algorithm, for example. Further, the key generation unit 102 may use the concatenated binary data itself as the encryption key 420.

次に、暗号化部104は、上記のステップS502で作成された暗号化鍵420を用いた認証付き暗号の手法により、最新データ112を暗号化して、暗号化済み最新データ440と認証タグ450とを作成する(ステップS503)。   Next, the encryption unit 104 encrypts the latest data 112 by an authentication-based encryption method using the encryption key 420 created in step S502 described above, and generates the encrypted latest data 440 and the authentication tag 450. Is created (step S503).

次に、通信部105は、上記のステップS503で作成された暗号化済み最新データ440と認証タグ450とをデータ送信先装置20に送信する(ステップS504)。   Next, the communication unit 105 transmits the encrypted latest data 440 and the authentication tag 450 created in step S503 to the data transmission destination device 20 (step S504).

以上により、本実施形態に係るデータ処理システム1では、データ送信元装置10で作成された暗号化済み最新データ440及び認証タグ450がデータ送信先装置20に送信される。   As described above, in the data processing system 1 according to the present embodiment, the latest encrypted data 440 and the authentication tag 450 created by the data transmission source device 10 are transmitted to the data transmission destination device 20.

<<<データ送信元装置が暗号化鍵を作成する処理[その1]>>
上述した図5のS502では、鍵生成部102が、所定のアルゴリズムを用いて、過去データ(前回データ113、前々回データ114)から暗号化鍵420を作成することを説明した。 <<< Process in which Data Source Apparatus Creates Encryption Key [1] >>>
In S502 of FIG. 5 described above, it has been described that the key generation unit 102 generates the encryption key 420 from the past data (the previous data 113 and the data before the previous one 114) using a predetermined algorithm.

以降では、暗号化鍵を作成する処理について、図7及び図4、9、10を参照しながらさらに詳細を説明する。図7は、本実施形態に係るデータ送信元装置10が暗号鍵を作成する処理の一例を示すフローチャートである。   Hereinafter, the process of creating an encryption key will be described in more detail with reference to FIGS. FIG. 7 is a flowchart illustrating an example of a process in which the data transmission source device 10 according to the present embodiment creates an encryption key.

まず、鍵生成部102は、時系列データ記憶部110の中に前回データ113または前々回データ114が存在するか検索する(ステップ701)。S701でどちらかの過去データが存在する場合、次に、前回データ113と前々回データ114が存在するか検索する(ステップ702)。S702で前回データ113、前々回データとも存在する場合(ステップ702 YES)、過去データ(前回データ113、前々回データ114)から暗号化鍵420を作成する(ステップ703)。図4は、前回データ113、前々回データ114ともに存在する場合における本実施形態に係るデータ処理システム1の機能構成の一例を示す図である。   First, the key generation unit 102 searches the time-series data storage unit 110 for the existence of the previous data 113 or the data 114 before last time (step 701). If any of the past data exists in S701, it is next searched whether the previous data 113 and the data 114 before last exist (step 702). If both the previous data 113 and the data before last exist in S702 (step 702: YES), an encryption key 420 is created from the past data (previous data 113, data before last 114) (step 703). FIG. 4 is a diagram illustrating an example of a functional configuration of the data processing system 1 according to the present embodiment when both the previous data 113 and the data before last 114 exist.

S702に戻り、前々回データ114が無い場合(ステップ702 NO)、過去データ(前回データ)を基に暗号化鍵を作成する(ステップ704)。図9は、前々回データが無い場合における本実施形態に係るデータ処理システム1の機能構成の一例を示す図である。   Returning to S702, if there is no data 114 two times before (step 702: NO), an encryption key is created based on past data (previous data) (step 704). FIG. 9 is a diagram illustrating an example of a functional configuration of the data processing system 1 according to the present embodiment when there is no data two times before.

さらに、S701に戻り、前回データ113と前々回データとも存在しない場合(ステップ701 NO)、データ送信元装置10が保持する自装置の装置IDを基に暗号化鍵を作成する(ステップ705)。図10は、前回データ113、前々回データ114ともに存在しない場合における本実施形態に係るデータ処理システム1の機能構成の一例を示す図である。   Further, returning to S701, if neither the previous data 113 nor the data two times before exists (step 701 NO), an encryption key is created based on the device ID of the own device held by the data transmission source device 10 (step 705). FIG. 10 is a diagram illustrating an example of the functional configuration of the data processing system 1 according to the present embodiment when neither the previous data 113 nor the data 114 before the last exists.

<<<データ送信元装置が暗号化鍵を作成する処理 [その2]>>
上述の<<<データ送信元装置が暗号化鍵を作成する処理 [その1]>>では、暗号化鍵を作成する処理について、図7のフローチャートに沿って説明した。ここでは、その他、第2の暗号化鍵を作成する処理について説明する。[その1]との対比で主な特徴部分は、図5のS501に相当する。 <<<< Process in which data transmission source device creates encryption key [2] >>
In the above <<<< Process in which data transmission source device creates encryption key [1] >>>>, the process of creating the encryption key has been described with reference to the flowchart in FIG. Here, other processes for creating the second encryption key will be described. The main characteristic part in comparison with [Part 1] corresponds to S501 in FIG.

まず、鍵生成部102は、暗号化する最新データに対する時系列データ記憶部110に蓄積した過去データの内、第1のランダム算出部を用いて所定の数だけ過去データを取得する。取得した過去データに基づいて暗号化に用いる暗号化鍵を作成する。第1のランダム算出部は、所定の数だけランダム関数を用いて過去データの格納場所を特定し、該当する過去データを取得する。時系列データ記憶部110には、過去データが時系列に順番に蓄積されているので過去データを特定することは容易である。また、鍵生成部202についても同様に行われるものとする。また、過去データが無い、または一部無い場合は、[その1]と同様の処理とすれば良い。   First, the key generation unit 102 acquires a predetermined number of pieces of past data from the past data stored in the time-series data storage unit 110 for the latest data to be encrypted, using the first random calculation unit. An encryption key used for encryption is created based on the acquired past data. The first random calculation unit specifies a storage location of past data by using a predetermined number of random functions, and acquires the corresponding past data. Since the past data is stored in the time-series data storage unit 110 in time series, it is easy to specify the past data. The same applies to the key generation unit 202. If there is no past data or there is no past data, the same processing as [Part 1] may be performed.

<<<データ送信元装置が暗号化鍵を作成する処理 [その3]>>
ここでは、その他、第3の暗号化鍵を作成する処理について説明する。[その1]との対比で主な特徴部分は、図5のS501に相当する。 <<< Process in which Data Source Device Creates Encryption Key [Part 3] >>>>
Here, other processes for creating the third encryption key will be described. The main characteristic part in comparison with [Part 1] corresponds to S501 in FIG.

まず、鍵生成部102は、暗号化する最新データに対する時系列データ記憶部110に蓄積した過去データの内、最新データが格納された系列から所定の数だけ過去にさかのぼり所定の数だけ過去データを取得し、取得した過去データに基づいて暗号化に用いる暗号化鍵を作成する。時系列データ記憶部110には、過去データが時系列に順番に蓄積されているので過去データを特定することは容易である。また、鍵生成部202についても同様に行われるものとする。また、過去データが無い、または一部無い場合は、[その1]と同様の処理とすれば良い。   First, the key generation unit 102 retrieves a predetermined number of past data from the series in which the latest data is stored, from the past data stored in the time-series data storage unit 110 for the latest data to be encrypted. An encryption key to be used for encryption is created based on the acquired past data. Since the past data is stored in the time-series data storage unit 110 in time series, it is easy to specify the past data. The same applies to the key generation unit 202. If there is no past data or there is no past data, the same processing as [Part 1] may be performed.

<<<データ送信元装置が暗号化鍵を作成する処理 [その4]>>
ここでは、その他、第4の暗号化鍵を作成する処理について説明する。 <<< Process in which Data Source Apparatus Creates Encryption Key [Part 4] >>>>
Here, other processes for creating the fourth encryption key will be described.

まず、鍵生成部102は、識別コードが異なる複数の最新データを暗号化してまとめて1回で送信する場合、複数の最新データの内、第2のランダム算出部を用いて最新データを1つだけ選定し、選定した該最新データに対する前記過去データに基づいてまとめて1回で送信する複数の最新データの暗号化に共通で用いる暗号鍵を1つだけ作成する。また、選定した最新データに対する過去データの取得方法は、上述した[その1]〜[その3]のいずれか、またはその組み合わせであっても良い。   First, when encrypting a plurality of latest data having different identification codes and transmitting the latest data collectively at one time, the key generation unit 102 uses the second random calculation unit to select one of the latest data from among the plurality of latest data. Only one encryption key is created, and only one encryption key commonly used for encrypting a plurality of latest data to be transmitted at one time in a lump based on the selected latest data is created. The method of acquiring past data for the selected latest data may be any one of [Part 1] to [Part 3] described above or a combination thereof.

<<<データ送信元装置が暗号化鍵を作成する処理 [その5]>>
ここでは、その他、第5の暗号化鍵を作成する処理について説明する。 <<<< Process in which data transmission source device creates encryption key [5] >>
Here, other processes for creating a fifth encryption key will be described.

まず、鍵生成部102は、識別コードが異なる複数の最新データを暗号化してまとめて1回で送信する場合、前記複数の最新データのそれぞれに対する前記過去データに基づいて暗号化に用いる暗号化鍵をそれぞれ作成する。また、最新データのそれぞれに対する過去データの取得方法は、上述した[その1]〜[その3]のいずれか、またはその組み合わせであっても良い。   First, when encrypting a plurality of latest data having different identification codes and transmitting them collectively at one time, the key generation unit 102 uses an encryption key used for encryption based on the past data for each of the plurality of latest data. Is created respectively. The method of acquiring past data for each of the latest data may be any one of the above [Part 1] to [Part 3] or a combination thereof.

<<データ送信先装置20が最新データを時系列データ記憶部に格納する処理>>
以降では、データ送信先装置20が最新データ470を時系列データ記憶部210に格納する処理について、図6を参照しながら説明する。図6は、本実施形態に係るデータ送信先装置20が最新データ112を時系列データ記憶部210に格納する処理の一例を示すフローチャートである。 << Process in which Data Destination Device 20 Stores Latest Data in Time-Series Data Storage Unit >>
Hereinafter, a process in which the data transmission destination device 20 stores the latest data 470 in the time-series data storage unit 210 will be described with reference to FIG. FIG. 6 is a flowchart illustrating an example of a process in which the data transmission destination device 20 according to the present embodiment stores the latest data 112 in the time-series data storage unit 210.

まず、通信部201は、暗号化済み最新データ440と認証タグ450とをデータ送信元装置10から受信する(ステップS601)。   First, the communication unit 201 receives the encrypted latest data 440 and the authentication tag 450 from the data transmission source device 10 (step S601).

次に、鍵生成部202は、データ送信元装置10の鍵生成部102と同一のアルゴリズムを用いて、データ送信先装置20が有する過去データ(前回データ113、前々回データ114)から復号鍵460を作成する(ステップS602)。   Next, the key generation unit 202 uses the same algorithm as the key generation unit 102 of the data transmission source device 10 to derive the decryption key 460 from the past data (the previous data 113 and the data before last data 114) of the data transmission destination device 20. It is created (step S602).

次に、復号部203は、上記のステップS602で作成された復号鍵460を用いた認証付き暗号の手法により、上記のステップS601で受信された暗号化済み最新データ440を復号して、最新データ470を作成する(ステップS603)。   Next, the decryption unit 203 decrypts the latest encrypted data 440 received in step S601 by using an authentication-assisted encryption method using the decryption key 460 created in step S602 described above. 470 is created (step S603).

次に、判定部205は、上記のステップS601で受信された認証タグ450を検証する(ステップS604)。すなわち、判定部205は、例えば、上記のステップS603で作成された最新データ470から認証タグを作成した上で、作成した認証タグと、認証タグ450とが一致するか否かにより、認証タグ450の検証結果が正当又は不当のいずれであるかを判定する。   Next, the determination unit 205 verifies the authentication tag 450 received in step S601 (step S604). That is, for example, the determination unit 205 creates an authentication tag from the latest data 470 created in step S603, and determines whether the created authentication tag matches the authentication tag 450. It is determined whether the verification result is valid or invalid.

ステップS604において、検証結果が正当であると判定された場合、格納部207は、上記のステップS603で作成された最新データ470を時系列データ記憶部に格納する(ステップS605)。   If it is determined in step S604 that the verification result is valid, the storage unit 207 stores the latest data 470 created in step S603 in the time-series data storage unit (step S605).

このように最新データ470が格納された時系列データ記憶部210は、データ送信元装置10の時系列データ記憶部110に記憶されているデータと同一のデータとなる。   The time-series data storage unit 210 in which the latest data 470 is stored is the same data as the data stored in the time-series data storage unit 110 of the data transmission source device 10.

一方、ステップS604において、検証結果が不当である(正当でない)と判定された場合、通知部204は、最新データを時系列データ記憶部に格納できなかったこと(格納失敗)を通知する(ステップS606)。通知部204は、例えば、LED(Light Emitting Diode)ランプを点灯させる、ブザー音を発する等により、最新データ470の格納失敗を通知すれば良い。また、通知部204は、所定のメールアドレス宛に格納失敗を示すメールを送信することにより、最新データの格納失敗を通知しても良い。
<<<データ送信先装置が復号鍵を作成する処理>>
上述した図6のS602では、鍵生成部202が、所定のアルゴリズムを用いて、過去データ(前回データ113、前々回データ114)から復号鍵460を作成することを説明した。 On the other hand, if it is determined in step S604 that the verification result is invalid (not valid), the notification unit 204 notifies that the latest data could not be stored in the time-series data storage unit (storage failure) (step S604). S606). The notification unit 204 may notify the storage failure of the latest data 470 by, for example, turning on an LED (Light Emitting Diode) lamp or emitting a buzzer sound. Further, the notification unit 204 may notify the storage failure of the latest data by transmitting a mail indicating the storage failure to a predetermined mail address.
<<< Process in which Data Destination Apparatus Creates Decryption Key >>
In S602 of FIG. 6 described above, it has been described that the key generation unit 202 generates the decryption key 460 from the past data (the previous data 113 and the data before the previous one 114) using a predetermined algorithm.

以降では、復号鍵を作成する処理について、図8及び図4、9、10を参照しながらさらに詳細を説明する。図8は、本実施形態に係るデータ送信先装置20が復号鍵を作成する処理の一例を示すフローチャートである。   Hereinafter, the process of creating the decryption key will be described in more detail with reference to FIGS. FIG. 8 is a flowchart illustrating an example of a process in which the data transmission destination device 20 according to the present embodiment creates a decryption key.

まず、鍵生成部202は、時系列データ記憶部210の中に前回データ113または前々回データ114が存在するか検索する(ステップ801)。S801でどちらかの過去データが存在する場合、次に、前回データ113と前々回データ114が存在するか検索する(ステップ802)。S802で前回データ113、前々回データとも存在する場合(ステップ802 YES)、過去データ(前回データ113、前々回データ114)から復号鍵460を作成する(ステップ803)。図4は、前回データ113、前々回データ114ともに存在する場合における本実施形態に係るデータ処理システム1の機能構成の一例を示す図である。   First, the key generation unit 202 searches the time-series data storage unit 210 for the existence of the previous data 113 or the data 114 before last time (step 801). If any of the past data exists in S801, it is next searched whether the previous data 113 and the data 114 before last exist (step 802). If both the previous data 113 and the data before the previous data exist in S802 (step 802: YES), a decryption key 460 is created from the past data (the previous data 113 and the data before the previous data 114) (step 803). FIG. 4 is a diagram illustrating an example of a functional configuration of the data processing system 1 according to the present embodiment when both the previous data 113 and the data before last 114 exist.

S802に戻り、前々回データ114が無い場合(ステップ802 NO)、過去データ(前回データ)を基に復号鍵を作成する(ステップ804)。図9は、前々回データが無い場合における本実施形態に係るデータ処理システム1の機能構成の一例を示す図である。   Returning to S802, if there is no data 114 two times before (step 802 NO), a decryption key is created based on the past data (previous data) (step 804). FIG. 9 is a diagram illustrating an example of a functional configuration of the data processing system 1 according to the present embodiment when there is no data two times before.

さらに、S801に戻り、前回データ113と前々回データ114とも存在しない場合(ステップ801 NO)、データ送信元装置10が保持する自装置の装置IDを基に暗号化鍵を作成する(ステップ705)。図10は、前回データ113、前々回データ114ともに存在しない場合における本実施形態に係るデータ処理システム1の機能構成の一例を示す図である。さらに図11は、本実施形態に係るデータ送信先装置における装置IDテーブルの構成の一例を示す図である。図11が示す装置IDテーブル300は、データ送信元装置の情報が予め設定されメモリ領域に記憶されている。装置IDテーブル300には、データ送信元装置10の装置固有IDである装置IDの情報と、装置IDに対応するパケット情報としてデータ送信元装置の装置名称とIPアドレスで構成されている。データ送信先装置20は、データ送信元装置から送信された通信パケットのヘッダ情報を参照し、ヘッダ情報入っている送信元装置の装置名称またはIPアドレスを取得し、装置テーブル300のパケット情報と照合し、送信元の装置IDを装置テーブルから取得することができる。   Further, returning to S801, if neither the previous data 113 nor the data 114 before last exists (step 801 NO), an encryption key is created based on the device ID of the own device held by the data transmission source device 10 (step 705). FIG. 10 is a diagram illustrating an example of the functional configuration of the data processing system 1 according to the present embodiment when neither the previous data 113 nor the data 114 before the last exists. FIG. 11 is a diagram illustrating an example of a configuration of a device ID table in the data transmission destination device according to the present embodiment. In the device ID table 300 shown in FIG. 11, information on a data transmission source device is set in advance and stored in a memory area. The device ID table 300 includes device ID information, which is a device unique ID of the data transmission source device 10, and the device name and IP address of the data transmission source device as packet information corresponding to the device ID. The data transmission destination device 20 refers to the header information of the communication packet transmitted from the data transmission source device, obtains the device name or the IP address of the transmission source device containing the header information, and checks the packet against the packet information in the device table 300. Then, the device ID of the transmission source can be acquired from the device table.

このようにすることで、第三者がネットワーク上に流れる通信パケットの情報を入手できたとしても暗号化鍵及び復号鍵の元となる情報は入手できないために通信パケット上のデータを解読することはできない。従って、前回データ113と前々回データ114とも存在しない場合(ステップ801 NO)、データ送信元装置10が保持する自装置の装置IDを基に暗号化鍵を作成しても安全が保たれる。
<補足説明 通信パケットの構成>
次に、本実施形態に係るデータ送信元装置における通信パケットの機能構成について、図12を参照しながら説明する。図12は、本実施形態に係るデータ送信元装置における通信パケットの機能構成の一例を示す図である。 In this way, even if a third party can obtain information on a communication packet flowing on the network, the information on the basis of the encryption key and the decryption key cannot be obtained. Can not. Therefore, when neither the previous data 113 nor the data 114 before last exists (NO in step 801), security is maintained even if an encryption key is created based on the device ID of the own device held by the data transmission source device 10.
<Supplementary explanation Communication packet configuration>
Next, a functional configuration of a communication packet in the data transmission source device according to the present embodiment will be described with reference to FIG. FIG. 12 is a diagram illustrating an example of a functional configuration of a communication packet in the data transmission source device according to the present embodiment.

図12に示すように、本実施形態に係るデータ送信元装置10が送信に用いる通信パケットは、ヘッダ部とデータ部に分類され、ヘッダ部には、送信先アドレスまたは送信先装置名称、送信元アドレスまたは送信元装置名称、メッセージ種別、メッセージID、デタサイズ等が割り付けられ、データ部には、データが割り付けられる。データ送信元装置が暗号化済み最新データ440と認証タグ450をデータ送信先装置に送信する場合、通信部105は、ヘッダ部にデータ送信先装置の送信先アドレスまたは送信先装置名称、データ送信元装置の送信元アドレスまたは送信元装置名称、計測データを通知するメッセージ種別、計測データに対応する識別コード等のメッセージID、データサイズ等を入力し、データ部に送信する暗号化済み最新データ440と認証タグ450をセットで入力し、通信パケットを作成して送信する。   As shown in FIG. 12, communication packets used for transmission by the data source device 10 according to the present embodiment are classified into a header portion and a data portion, and the header portion includes a destination address or a destination device name, a source An address or a source device name, a message type, a message ID, a data size, and the like are assigned, and data is assigned to the data portion. When the data transmission source device transmits the encrypted latest data 440 and the authentication tag 450 to the data transmission destination device, the communication unit 105 includes, in the header part, the transmission destination address or the transmission destination device name of the data transmission destination device, and the data transmission source. The source address or the source device name of the device, a message type for notifying measurement data, a message ID such as an identification code corresponding to the measurement data, a data size, and the like are input, and the latest encrypted data 440 to be transmitted to the data portion is input. The authentication tag 450 is input as a set, and a communication packet is created and transmitted.

また、複数の最新データを送る場合、メッセージIDに複数の識別コードをセットし、暗号化済み最新データと認証タグがセットになった複数のデータをデータ部に入力すれば良い。また、複数のデータに対して暗号化鍵を1つ作成する場合、複数の認証済み最新データに1つの認証タグをセットにしたデータをデータ部に入力すれば良い。
<まとめ>
以上により、本実施形態に係るデータ処理システム1では、データ送信先装置20は、データ送信元装置10から受信した暗号化済み最新データ440及び認証タグ450に基づいて、最新データを時系列データ記憶部210に格納することができる。これにより、本実施形態に係るデータ処理システム1では、例えば、不正な最新データがデータ送信先装置20に書き込まれてしまうような事態(すなわち、時系列データ記憶部に不正な最新データを格納してしまうような事態)を防止することができる。 When sending a plurality of latest data, a plurality of identification codes may be set in the message ID, and a plurality of data in which the encrypted latest data and the authentication tag are set may be input to the data section. Also, when one encryption key is created for a plurality of data, data obtained by setting one authentication tag to a plurality of authenticated latest data may be input to the data section.
<Summary>
As described above, in the data processing system 1 according to the present embodiment, the data transmission destination device 20 stores the latest data in time-series data based on the encrypted latest data 440 and the authentication tag 450 received from the data transmission source device 10. It can be stored in the unit 210. As a result, in the data processing system 1 according to the present embodiment, for example, a situation in which incorrect latest data is written to the data transmission destination device 20 (that is, when the incorrect latest data is stored in the time-series data storage unit). Situation).

また、本実施形態に係るデータ処理システム1では、データ送信元装置10が有する過去データ111に基づいて暗号化鍵420が作成されると共に、データ送信先装置20が有する過去データ111に基づいて復号鍵460が作成される。このため、本実施形態に係るデータ処理システム1では、データ送信元装置10及びデータ送信先装置20は、それぞれ暗号化鍵420及び復号鍵460を管理しておく必要がない(すなわち、フラッシュROM603、704にそれぞれ暗号化鍵420や復号鍵460を記憶させておく必要がない。)。したがって、本実施形態に係るデータ処理システム1では、暗号化鍵420や復号鍵460の漏洩も防止することができる。   Further, in the data processing system 1 according to the present embodiment, the encryption key 420 is created based on the past data 111 included in the data transmission source device 10 and decrypted based on the past data 111 included in the data transmission destination device 20. A key 460 is created. Therefore, in the data processing system 1 according to the present embodiment, the data transmission source device 10 and the data transmission destination device 20 do not need to manage the encryption key 420 and the decryption key 460, respectively (that is, the flash ROM 603, It is not necessary to store the encryption key 420 and the decryption key 460 in the 704 respectively.) Therefore, in the data processing system 1 according to the present embodiment, leakage of the encryption key 420 and the decryption key 460 can be prevented.

更に、本実施形態に係るデータ処理システム1では、過去データに基づいて暗号化鍵420及び復号鍵460が作成されるため、最新データを時系列データ記憶部110,210に格納する度に、暗号化鍵420及び復号鍵460も更新することができる。したがって、本実施形態に係るデータ処理システム1では、万が一、暗号化鍵420や復号鍵460が漏洩した場合であっても、過去データの更新により、鍵が更新され、その後、不正な最新データがデータ送信先装置20に書き込まれてしまうような事態を防止することができる。なお、最新データが格納された後は、暗号化鍵420及び復号鍵460の情報を直ちに削除し、データ処理システム1に記憶させておかないようにすることが望ましい。   Furthermore, in the data processing system 1 according to the present embodiment, since the encryption key 420 and the decryption key 460 are created based on the past data, every time the latest data is stored in the time-series data storage units 110 and 210, The encryption key 420 and the decryption key 460 can also be updated. Therefore, in the data processing system 1 according to the present embodiment, even if the encryption key 420 or the decryption key 460 is leaked, the key is updated by updating the past data, and thereafter, the unauthorized latest data is updated. It is possible to prevent a situation in which the data is written to the data transmission destination device 20. After the latest data is stored, it is desirable to immediately delete the information of the encryption key 420 and the decryption key 460 so that the information is not stored in the data processing system 1.

なお、本発明は、具体的に開示された上記の実施形態に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。     Note that the present invention is not limited to the above-described embodiments specifically disclosed, and various modifications and changes can be made without departing from the scope of the claims.

1 データ処理システム
10 データ送信元装置
20 データ送信先装置
100 最新データ提供処理部
102 鍵生成部
104 暗号化部
105 通信部
111 過去データ
112 最新データ
113 前回データ
114 前々回データ
115 装置ID
116 装置IDテーブルのパケットのヘッダ情報
200 最新データ格納処理部
201 通信部
202 鍵生成部
203 復号部
204 通知部
205 判定部
207 格納部
300 装置IDテーブル
420 暗号化鍵
440 暗号化済み最新データ
450 認証タグ
460 復号鍵
470 最新データ Reference Signs List 1 data processing system 10 data transmission device 20 data transmission destination device 100 latest data provision processing unit 102 key generation unit 104 encryption unit 105 communication unit 111 past data 112 latest data 113 previous data 114 previous data 115 device ID
116 Device ID table packet header information 200 Latest data storage processing unit 201 Communication unit 202 Key generation unit 203 Decryption unit 204 Notification unit 205 Judgment unit 207 Storage unit 300 Device ID table 420 Encryption key 440 Encrypted latest data 450 Authentication Tag 460 Decryption key 470 Latest data

Claims (14)

過去データを有するデータ送信先装置と接続され、最新データを暗号化した暗号化済み最新データを前記データ送信先装置に送信するデータ送信元装置であって、
送信するデータを時系列で蓄積する時系列データ記憶部と、
前記時系列データ記憶部に蓄積され過去に送信された前記過去データに基づいて暗号化に用いる暗号化鍵を作成する暗号化鍵生成部と、
前記暗号化鍵生成部により作成された前記暗号化鍵を用いて、前記暗号化済み最新データを作成する暗号化部と、
前記暗号化部で作成した前記暗号化済み最新データを前記デ−タ送信先装置に送信する送信部と、
を有するデータ送信元装置。 A data transmission source device connected to a data transmission destination device having past data and transmitting the latest encrypted data to the data transmission destination device by encrypting the latest data,
A time-series data storage unit for storing data to be transmitted in a time-series,
An encryption key generation unit that creates an encryption key used for encryption based on the past data stored in the time-series data storage unit and transmitted in the past,
Using the encryption key created by the encryption key generation unit, an encryption unit that creates the encrypted latest data,
A transmitting unit that transmits the encrypted latest data created by the encrypting unit to the data transmission destination device;
A data transmission device having: 前記暗号化部は、
更に、暗号化後の完全性を検証するための認証タグを作成し、
前記送信部は、
更に、前記認証タグを前記データ送信先装置に送信する、請求項1に記載のデータ送信元装置。 The encryption unit includes:
In addition, create an authentication tag to verify the integrity after encryption,
The transmission unit,
The data transmission source device according to claim 1, further comprising transmitting the authentication tag to the data transmission destination device. 前記暗号化鍵生成部は、
暗号化する前記最新データに対する前記時系列データ記憶部に蓄積した過去データの内、第1のランダム算出部を用いて所定の数だけ過去データを取得し、該過去データに基づいて暗号化に用いる前記暗号化鍵を作成する、請求項1又は2に記載のデータ送信元装置。 The encryption key generator,
Of the past data stored in the time-series data storage unit with respect to the latest data to be encrypted, a predetermined number of past data are obtained using a first random calculation unit, and used for encryption based on the past data. 3. The data transmission source device according to claim 1, wherein the encryption key is created. 前記暗号化鍵作成部は、
暗号化する前記最新データに対する前記時系列データ記憶部に蓄積した過去データの内、前記最新データが格納された系列から所定の数だけ過去にさかのぼり前記所定の数だけ過去データを取得し、該過去データに基づいて暗号化に用いる前記暗号化鍵を作成する、請求項1または2に記載のデータ送信元装置。 The encryption key creation unit,
Among the past data stored in the time-series data storage unit for the latest data to be encrypted, the past data is obtained by the predetermined number from the series in which the latest data is stored, and the past data is acquired by the predetermined number. 3. The data transmission source device according to claim 1, wherein the encryption key used for encryption is created based on data. 前記暗号化鍵作成部は、
前記所定の数だけ過去データが取得できなかった場合、取得できた過去データに基づいて暗号化に用いる前記暗号化鍵を作成する、請求項3または4に記載のデータ送信元装置。 The encryption key creation unit,
5. The data transmission source device according to claim 3, wherein when the predetermined number of pieces of past data cannot be obtained, the encryption key used for encryption is created based on the obtained past data. 6. 前記暗号化鍵生成部は、
識別コードが異なる複数の最新データを暗号化してまとめて1回で送信する場合、前記複数の最新データの内、第2のランダム算出部を用いて最新データを1つだけ選定し、選定した該最新データに対する前記過去データに基づいてまとめて1回で送信する複数の最新データの暗号化に共通で用いる前記暗号鍵を1つだけ作成する、
請求項1乃至5の何れか一項に記載のデータ送信元装置。 The encryption key generator,
In the case where a plurality of latest data having different identification codes are encrypted and transmitted collectively at one time, only one of the plurality of latest data is selected by using a second random calculation unit, and the selected latest data is selected. Creating only one encryption key that is commonly used for encrypting a plurality of latest data to be transmitted at one time based on the past data with respect to the latest data;
The data transmission source device according to claim 1. 前記暗号化鍵生成部は、
識別コードが異なる複数の最新データを暗号化してまとめて1回で送信する場合、前記複数の最新データのそれぞれに対する前記過去データに基づいて暗号化に用いる前記暗号化鍵をそれぞれ作成する、
請求項1乃至5の何れか一項に記載のデータ送信元装置。 The encryption key generator,
When encrypting a plurality of latest data having different identification codes and transmitting them collectively at once, creating the encryption keys used for encryption based on the past data for each of the plurality of latest data.
The data transmission source device according to claim 1. 過去データと最新データを有するデータ送信元装置と接続されるデータ送信先装置において、
前記最新データを暗号化した暗号化済み最新データを前記データ送信元装置から受信する受信部と、
過去に受信した前記最新データを前記過去データとして時系列で蓄積する時系列データ記憶部と、
前記時系列データ記憶部に蓄積された前記過去データに基づいて前記暗号化済み最新データの復号に用いる復号鍵を作成する復号鍵生成部と、
前記復号鍵を用いて、前記暗号化済み最新データを復号して最新データを作成する復号部と、
前記復号部により作成された前記最新データを前記過去データとして前記時系列データ記憶部に格納する格納部と、
を有するデータ送信先装置。 In a data transmission destination device connected to a data transmission source device having past data and the latest data,
A receiving unit that receives the encrypted latest data obtained by encrypting the latest data from the data transmission source device,
A time-series data storage unit that accumulates the latest data received in the past in time series as the past data,
A decryption key generation unit that creates a decryption key used for decrypting the encrypted latest data based on the past data stored in the time-series data storage unit,
Using the decryption key, a decryption unit that decrypts the encrypted latest data to create the latest data,
A storage unit that stores the latest data created by the decoding unit as the past data in the time-series data storage unit,
A data transmission destination device having: 前記受信部は、
更に、前記暗号化済み最新データの完全性を検証するための第1の認証タグを前記データ送信元装置から受信し、
前記復号部は、
更に、復号した前記最新データから第2の認証タグを作成し、該第2の認証タグと前記前記第1の認証タグとを用いて、前記暗号化済み最新データの完全性を検証する、請求項8に記載のデータ送信先装置。 The receiving unit,
Further, receiving a first authentication tag for verifying the integrity of the encrypted latest data from the data transmission source device,
The decoding unit,
Further, a second authentication tag is created from the decrypted latest data, and the integrity of the encrypted latest data is verified using the second authentication tag and the first authentication tag. Item 9. A data transmission destination device according to Item 8. 前記復号鍵生成部は、
前記データ送信元装置から送信されたパケットのヘッダ情報を基に装置IDマッピング情報からデータ送信元装置を特定し、前記ヘッダ情報を基に前記時系列データ記憶部から暗号化済み最新データに対する過去データを取得し、取得した該過去データに基づいて復号に用いる復号鍵を作成する、
請求項8又は9に記載のデータ送信先装置。 The decryption key generator,
The data transmission source device is identified from the device ID mapping information based on the header information of the packet transmitted from the data transmission source device, and the past data for the latest encrypted data is transmitted from the time-series data storage unit based on the header information. To create a decryption key to be used for decryption based on the acquired past data,
The data transmission destination device according to claim 8. 前記復号部は、
前記受信部が前記暗号化済み最新データを受信した後に、前記復号鍵を作成し、
前記復号鍵生成部は、
前記格納部が前記最新データを格納した場合、前記復号鍵を削除する、
請求項8乃至10の何れか一項に記載のデータ送信先装置。 The decoding unit,
After the receiving unit receives the encrypted latest data, creates the decryption key,
The decryption key generator,
When the storage unit stores the latest data, deletes the decryption key;
The data transmission destination device according to claim 8. 最新データと過去データを有するデータ送信元装置と過去データを有するデータ送信先装置が接続されたデータ処理システムであって、
データ送信元装置は、
送信するデータを時系列で蓄積する時系列データ記憶部と、
前記時系列データ記憶部に蓄積され過去に送信された前記過去データに基づいて暗号化に用いる暗号化鍵を作成する暗号化鍵生成部と、
前記暗号化鍵生成部により作成された前記暗号化鍵を用いて、前記最新データを暗号化した暗号化済み最新データを作成する暗号化部と、
前記暗号化部で作成した前記暗号化済み最新データを前記デ−タ送信先装置に送信する送信部と、
を有し、
データ送信先装置は、
前記暗号化済み最新データを前記データ送信元装置から受信する受信部と、
過去に受信した前記最新データを前記過去データとして時系列で蓄積する時系列データ記憶部と、
前記時系列データ記憶部に蓄積された前記過去データに基づいて復号に用いる復号鍵を作成する復号鍵生成部と、
前記復号鍵生成部により作成された前記復号鍵を用いて、前記暗号化済み最新データを復号して最新データを作成する復号部と、
前記復号部により作成された前記最新データを前記過去データとして前記時系列データ記憶部に格納する格納部と、
を有するデータ処理システム。 A data processing system in which a data transmission source device having latest data and past data and a data transmission destination device having past data are connected,
The data source device is
A time-series data storage unit for storing data to be transmitted in a time-series,
An encryption key generation unit that creates an encryption key used for encryption based on the past data stored in the time-series data storage unit and transmitted in the past,
Using the encryption key created by the encryption key generation unit, an encryption unit that creates the latest encrypted data by encrypting the latest data,
A transmitting unit that transmits the encrypted latest data created by the encrypting unit to the data transmission destination device;
Has,
The data destination device is
A receiving unit that receives the encrypted latest data from the data transmission device,
A time-series data storage unit that accumulates the latest data received in the past in time series as the past data,
A decryption key generation unit that creates a decryption key used for decryption based on the past data stored in the time-series data storage unit,
Using the decryption key created by the decryption key generation unit, a decryption unit that decrypts the encrypted latest data to create the latest data,
A storage unit that stores the latest data created by the decoding unit as the past data in the time-series data storage unit,
A data processing system having: 過去データを有するデータ送信先装置と接続され、最新データを暗号化した暗号化済み最新データを前記データ送信先装置に送信するデータ送信元装置に用いられるデータ処理方法であって、
送信するデータを時系列で蓄積する時系列データ記憶部と、
前記時系列データ記憶部に蓄積され過去に送信された前記過去データに基づいて認証付き暗号化に用いる暗号化鍵を作成する暗号化鍵生成手順と、
前記暗号化鍵生成手順により作成された前記暗号化鍵を用いて、前記最新データを前記認証付き暗号方式により暗号化した前記暗号化済み最新データと該暗号化済み最新データの完全性を検証するための認証タグとを作成する暗号化手順と、
前記暗号化手順で作成した前記暗号化済み最新データと、前記認証タグとを前記デ−タ送信先装置に送信する送信手順と、
を有する、
データ処理方法。 A data processing method used for a data transmission source device connected to a data transmission destination device having past data and transmitting the latest encrypted data to the data transmission destination device by encrypting the latest data,
A time-series data storage unit for storing data to be transmitted in a time-series,
An encryption key generation procedure for creating an encryption key used for authenticated encryption based on the past data stored in the time-series data storage unit and transmitted in the past,
Using the encryption key created by the encryption key generation procedure, verify the integrity of the latest encrypted data obtained by encrypting the latest data using the authenticated encryption method and the latest encrypted data. An encryption step to create an authentication tag for
A transmission step of transmitting the encrypted latest data created in the encryption step and the authentication tag to the data transmission destination device;
Having,
Data processing method. 過去データと最新データを有するデータ送信元装置と接続されるデータ送信先装置に用いられるデータ処理方法であって、
前記最新データが認証付き暗号方式により暗号化された暗号化済み最新データと、該暗号化済み最新データの完全性を検証するための認証タグとを前記データ送信元装置から受信する受信手順と、
過去に受信した前記最新データを前記過去データとして時系列で蓄積する時系列データ記憶部と、
前記過去データを前記時系列データ記憶部より取得し、取得した前記過去データに基づいて前記暗号化済み最新データの復号に用いる復号鍵を作成する復号鍵生成手順と、
暗号化された最新データに対する前記過去データに基づいて、認証付き暗号に用いる復号鍵を作成する復号鍵作成手順と、
前記復号鍵作成手順により作成された前記復号鍵と、前記受信手順により受信された前記認証タグとを用いて、前記暗号化済み最新データを前記認証付き暗号方式により復号して、最新データを作成し、該最新データから認証タグを作成する復号手順と、
前記復号手順により作成された前記最新データを前記過去データとして前記時系列データ記憶部に格納する格納部手順と、
を有する、
データ処理方法。

A data processing method used for a data transmission destination device connected to a data transmission source device having past data and latest data,
A receiving step of receiving, from the data transmission apparatus, the latest data in which the latest data has been encrypted by an authenticated encryption method and an authentication tag for verifying the integrity of the encrypted latest data;
A time-series data storage unit that accumulates the latest data received in the past in time series as the past data,
A decryption key generation procedure for acquiring the past data from the time-series data storage unit and creating a decryption key for use in decrypting the encrypted latest data based on the acquired past data,
A decryption key creation procedure for creating a decryption key used for authenticated encryption based on the past data for the latest encrypted data,
Using the decryption key created by the decryption key creation procedure and the authentication tag received by the reception procedure, decrypts the encrypted latest data by the authentication-assisted encryption method to create the latest data. And a decryption procedure for creating an authentication tag from the latest data;
A storage unit procedure for storing the latest data created by the decoding procedure as the past data in the time-series data storage unit,
Having,
Data processing method.

JP2018160130A 2018-08-29 2018-08-29 Data transmission source device, data transmission destination device, data processing system, and data processing method Pending JP2020036145A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018160130A JP2020036145A (en) 2018-08-29 2018-08-29 Data transmission source device, data transmission destination device, data processing system, and data processing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018160130A JP2020036145A (en) 2018-08-29 2018-08-29 Data transmission source device, data transmission destination device, data processing system, and data processing method

Publications (1)

Publication Number Publication Date
JP2020036145A true JP2020036145A (en) 2020-03-05

Family

ID=69668764

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018160130A Pending JP2020036145A (en) 2018-08-29 2018-08-29 Data transmission source device, data transmission destination device, data processing system, and data processing method

Country Status (1)

Country Link
JP (1) JP2020036145A (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003134107A (en) * 2001-10-25 2003-05-09 Ntt Data Corp System, method and program for individual authentication
WO2009157048A1 (en) * 2008-06-27 2009-12-30 独立行政法人情報通信研究機構 Wireless communication authentication method, wireless communication system, and wireless sensor

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003134107A (en) * 2001-10-25 2003-05-09 Ntt Data Corp System, method and program for individual authentication
WO2009157048A1 (en) * 2008-06-27 2009-12-30 独立行政法人情報通信研究機構 Wireless communication authentication method, wireless communication system, and wireless sensor

Similar Documents

Publication Publication Date Title
US10560271B2 (en) Increased communication security
JP6013988B2 (en) Data collection system, data collection method, gateway device, and data aggregation program
JP5062775B2 (en) SEARCH METHOD, SEARCH DEVICE, INDEX GENERATION METHOD, INDEX GENERATION DEVICE
US9602486B2 (en) Increased communication security
TWI477134B (en) Generating secure device secret key
US20150281196A1 (en) Increased communication security
CN109754226B (en) Data management method, device and storage medium
US9426148B2 (en) Increased communication security
US9419979B2 (en) Increased communication security
US20240106636A1 (en) Multiple post-quantum cryptography key encapsulations with authentication and forward secrecy
JP2020065191A (en) Data transmission source device, data transmission destination device, data processing system, and data processing method
JP6192495B2 (en) Semiconductor device, information terminal, semiconductor element control method, and information terminal control method
JP5586397B2 (en) Secure network storage system, method, client device, server device, and program
JP2020036145A (en) Data transmission source device, data transmission destination device, data processing system, and data processing method
CN113545025A (en) Method and system for information transmission
GB2570292A (en) Data protection
CN113572599B (en) Power data transmission method, data source equipment and data access equipment
US20240205204A1 (en) Data transmission protocol execution methods and apparatuses
JP6739685B2 (en) Supervisory control system
EP2991308B1 (en) Increased communication security
JP2018182398A (en) Information processing device, apparatus, apparatus management system and information processing method
EP2928153B1 (en) Increased communication security
JPWO2022195824A5 (en) Trail collection system, trail collection method, trail provision device, trail provision method, and program
Anju et al. Removal of Duplicates and Similarity Checking Using Bi-Gram Approach with Jaccard Index in Cloud Data Storage

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210714

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220323

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220419

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220602

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221018

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221201

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20230322