JP4918717B2 - 計測装置 - Google Patents
計測装置 Download PDFInfo
- Publication number
- JP4918717B2 JP4918717B2 JP2006035261A JP2006035261A JP4918717B2 JP 4918717 B2 JP4918717 B2 JP 4918717B2 JP 2006035261 A JP2006035261 A JP 2006035261A JP 2006035261 A JP2006035261 A JP 2006035261A JP 4918717 B2 JP4918717 B2 JP 4918717B2
- Authority
- JP
- Japan
- Prior art keywords
- time
- server
- verification
- public key
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000005259 measurement Methods 0.000 claims description 145
- 238000012550 audit Methods 0.000 claims description 93
- 238000003860 storage Methods 0.000 claims description 33
- 238000012937 correction Methods 0.000 claims description 26
- 238000012790 confirmation Methods 0.000 claims description 6
- 238000012795 verification Methods 0.000 description 233
- 230000006870 function Effects 0.000 description 30
- 230000010365 information processing Effects 0.000 description 23
- 238000000034 method Methods 0.000 description 23
- 238000009434 installation Methods 0.000 description 20
- 238000004891 communication Methods 0.000 description 17
- 230000005540 biological transmission Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 10
- 230000001360 synchronised effect Effects 0.000 description 7
- 238000009826 distribution Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 230000004913 activation Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000003915 air pollution Methods 0.000 description 1
- 238000009529 body temperature measurement Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000000275 quality assurance Methods 0.000 description 1
- 230000002285 radioactive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Landscapes
- Electric Clocks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
このようなネットワーク技術を用いて遠隔地に設置した計測機器をネットワークに接続する試みも行われている。
これによって、従来は検針員が各計測機器(例えば、ガスメータ)を回って計測値を手作業で収集していたものが、ネットワークを介してサーバで収集することができるようになる。
例えば、ガスメータのような定位置に固定された機器の場合、計測位置は一定であるが、計測時刻は毎回異なるため、計測値を機器からタイムスタンプサーバに送信し、タイムスタンプサーバでタイムスタンプを発行してもらっていた。
タイムスタンプは、機器から受信した計測値に受信した時刻情報を付加して、タイムスタンプサーバの秘密鍵でデジタル署名を行ったものである。
この秘密鍵に対応する公開鍵でデジタル署名を確認することにより、タイムスタンプサーバが当該時刻に、当該計測値を受信したことを証明することができる。
また、計測値が計測機器から送出されてネットワークを伝播するため、計測値が途中で改竄される可能性も考えられた。
(2)請求項2に記載の発明では、更正時刻発生装置から更正時刻を取得する更正時刻取得手段と、前記取得した更正時刻を用いて、前記時計装置が計測する時刻のうち、セキュリティを要する所定の単位以上の部分について更正は行わずに前記所定の単位よりも小さい部分を更正する時刻更正手段と、を備え、前記時刻証明情報生成手段は、前記更正した時刻を用いて前記時刻証明情報を生成する、ことを特徴とする請求項1に記載の計測装置を提供する。
(3)請求項3に記載の発明では、前記時刻監査手段は、前記時計装置が計測する時刻のセキュリティを要する所定の単位以上の部分が、前記受信した基準時刻の前記所定の単位以上の部分と一致している場合に、前記時計装置が正しい時刻を計測していると確認する、ことを特徴とする請求項2に記載の計測装置を提供する。
(4)請求項4に記載の発明では、前記確認手段は、前記時刻監査手段により前記時計装置が正しい時刻を計測しているか否かを確認した後に、前記基準時刻受信手段で受信した基準時刻が、前記基準時刻記憶手段に記憶されている前回受信した基準時刻よりも後であるか否かを確認する、ことを特徴とする請求項3に記載の計測装置を提供する。
機器7(図9)は、ガスメータなどの計測機器であって、物理量などの計測対象を計測する計測手段を備えると共に計測値にタイムスタンプ(時刻証明情報)を発行する機能を備えている。
そして、機器7は、計測を行うと、機器7に固有な機器秘密鍵を用いて計測値にタイムスタンプを発行し、顧客サーバ4に送信する。
顧客サーバ4は、機器秘密鍵に対応する機器公開鍵を有しており、機器7から計測データを受信すると、これを用いてタイムスタンプの確認を行う。顧客サーバ4は、タイムスタンプによって計測値や計測時刻が正統なものであると確認した後、これらを計測値データベースに記憶する。
また、機器7のタイムスタンプ機能は耐タンパチップなどで構成された耐タンパ部20内に形成されており、外部からの改竄が著しく困難なように構成されている。
本実施の形態では、計測機器のネットワークへの設置と、設置後の計測機器の利用について説明する。
図1は、本実施の形態に係る情報処理システムのネットワーク構成の一例を示したブロック図である。
情報処理システム1は、CA3、3、検証サーバ5、顧客サーバ4、4、機器登録サーバ6、機器7、7、7、・・・、基地局8などがネットワーク10を介して接続可能に配置されており、CA3、3の上位には親CA2が設けられている。
以後、CA3、3、顧客サーバ4、4、機器7、7、・・・など複数存在するものに関しては、特に区別しない場合は単にCA3、顧客サーバ4、機器7と記すことにする。
情報処理システム1で複数のCA3を設けたのは、機器7が大量に流通するため、これを例えば、製造ロットごと、あるいは機器7を使用する顧客ごとなどに区分してCA3に割り当てることができるようにするためである。
このように、証明書信頼チェーンを用いるのは事業の便宜のためであり、単一のCAによって全ての機器7を取り扱うように構成してもよい。
より詳細には、CA3のCA公開鍵は、親CA2の親CA秘密鍵によりデジタル署名されており、このデジタル署名の正統性を親CA公開鍵で検証することによりCA公開鍵の正統性を確認することができる。
CA公開鍵証明書やルート証明書は、安全な方法により予め顧客サーバ4、検証サーバ5、機器7などに提供されている。
顧客サーバ4は、A社が運用するものやB社が運用するものなど、顧客がそれぞれ運用している。
機器7は、例えば、ガスメータなどの計測装置であり、顧客サーバ4は、ネットワーク10を介してこれら機器7から計測値を収集する。収集された計測値によりガス料金などが計算される。
機器7は、例えば、A社の機器7はA社の顧客サーバ4に接続し、B社の機器7はB社の顧客サーバ4に接続するというように、所有者に対応した顧客サーバ4に接続して計測値などの情報を顧客サーバ4に送信する。
機器7は、有線のほか、無線によってネットワーク10に接続することも可能であり、この場合は、基地局8を介してネットワーク10に接続するようになっている。
検証サーバ5で機器7が正統品であることが検証された後、顧客サーバ4は機器7と接続する。
なお、機器登録サーバ6は、機器登録サーバ秘密鍵を記憶しており、検証サーバ5は、この秘密鍵に対応する機器登録サーバ公開鍵を記憶している。
そして、機器登録サーバ6は、機器7を機器登録するための登録要求情報を検証サーバ公開鍵で暗号化して検証サーバ5に送信し、検証サーバ5は、これを検証サーバ秘密鍵で復号化するようになっている。
検証サーバ5は、登録要求情報が登録サーバ秘密鍵でデジタル署名することにより、この情報が確かに機器登録サーバ6から送信されたものであることを確認することができる。
販売側事業者は機器7の製造番号や機器7の納入先の顧客などに関する情報を有しているため、親CA2、CA3、検証サーバ5、機器登録サーバ6を運用して顧客に機器検証サービスを提供するのに適した立場にある。
機器7は、大きく分けて耐タンパ部20と計測部35がバスラインによって接続されて構成されている。
耐タンパ部20は、機器認証などセキュリティに関わる情報処理を行う機能部であり、例えば、耐タンパ仕様の集積回路を収納したICチップによって構成された耐タンパモジュールである。
そのため、耐タンパ部20は、外部からの解析が著しく困難で一種のブラックボックスとなっており、例えば、機器秘密鍵などの秘密情報を安全に保持することができる。
なお、タンパ(tamper)とは、装置に手を加えるという意味や、情報などを不正に変更するという意味があり、耐タンパとは、これらの操作に対して耐性を保持していることを意味する。
本実施の形態では、機器公開鍵と機器秘密鍵のペアを生成したり、検証サーバ5と通信して機器7の機器認証を行ったり、顧客サーバ4と通信する際に情報の暗号化・復号化を行ったりする。
ROM23は、読み出し専用の記憶装置(メモリ)であって、耐タンパ部20を駆動するための基本的なプログラムやパラメータなどを格納している。
RAM24は、読み書き可能な記憶装置であって、CPU21が各種の情報処理を行う際のワーキングエリアを提供する。
本実施の形態では、一例として、非対称暗号鍵生成プログラム、機器秘密鍵、機器公開鍵証明書、検証サーバ公開鍵証明書、検証サーバ接続情報、検証要求プログラム、CA公開鍵証明書や、図示しない、通信プログラム、OS(Operating System)などが記憶されている。
機器7は、生成した機器秘密鍵をEEPROM25に記憶し、外部からこの機器秘密鍵を知ることはできないようになっている。
機器公開鍵証明書を受け取ったものは、CA公開鍵でデジタル署名を検証することにより機器公開鍵証明書に記載されている機器公開鍵が正統なものであることを確認することができる。
後述するように、機器7は、検証サーバ公開鍵に記録されている検証サーバ公開鍵を用いて情報を暗号化し、検証サーバ5に送信する。この暗号化情報は、検証サーバ5が有する検証サーバ秘密鍵でしか復号化することができないため、検証サーバ5以外のものがこの暗号化情報を受信しても復号化できず、セキュリティを高めることができる。
なお、検証サーバ公開鍵の正統性は、CA公開鍵で検証サーバ公開鍵証明書のデジタル署名を検証することにより確認することができる。
また、図示しないが、機器7は、EEPROM25に親CA2が発行したルート証明書を記憶しており、ルート証明書に記載されている親CA公開鍵によって、CA公開鍵証明書の正統性を確認することができる。
機器7は、ネットワーク10に設置された際に、検証サーバ接続情報を用いて検証サーバ5に接続し、機器検証を受ける。
このように、本実施の形態では、機器7に予め検証サーバ接続情報を埋め込んでおくため、どのようなネットワーク環境下で機器7が設置されても、機器7から検証サーバ5にアクセスすることができる。
機器7をネットワーク10に接続した後(例えば、電源投入直後)、CPU21で検証要求プログラムを実行すると、CPU21は、後述の検証情報を生成する。そしてCPU21は、検証サーバ接続情報を用いて機器7を検証サーバ5に接続し、検証情報を検証サーバ5に送信する。
また、図示しないが、EEPROM25には、計測部35で計測した計測値を暗号化するなど、セキュリティに関わる情報処理を行うためのプログラムが格納されている。
以上、耐タンパ部20の各構成要素について説明したが、この他に耐タンパ部20と計測部35との通信を制御する通信制御部なども構成されている。
計測装置部34は、計測を行う装置であって、CPU29から要求があると計測値をデジタル情報としてCPU29に出力する。
計測装置部34としては、例えば、ガス・水道・電気の使用量を計測するもののほか、温度計測、湿度計測、水質計測、大気汚染計測を行うものや、自動販売機に設置して在庫や販売状況などを計測するものなど、各種のものを採用することができる。
CPU29は、CPU21と協働して動作し、例えば、機器7の設置の際に、耐タンパ部20から出力された検証情報を検証サーバ5に送信したり、設置後は、計測装置部34から計測値を取得してこれを耐タンパ部20でデジタル署名して顧客サーバ4に送信したりなどする。
RAM30は、読み書き可能な記憶装置であって、CPU29が各種の情報処理を行う際のワーキングエリアを提供する。
記憶部33に記憶しているプログラムをCPU29で実行することにより、計測装置部34から計測値を取得する機能、耐タンパ部20と通信して協働して情報処理を行う機能、通信部26を制御して、検証サーバ5や顧客サーバ4と通信する機能などを実現することができる。
また、記憶部33は、計測装置部34で計測された計測値を一時的に記憶するのに用いることもできる。
入力部32は、操作ボタンなどを備えており、例えば、設置担当者が機器7をネットワーク10に設置する際に機器7を操作するのに用いられる。
検証サーバ5は、CPU41、ROM42、RAM43、記憶部46、及び通信部45などから構成されている。
CPU41は、ROM42、RAM43、記憶部46などに記憶されているプログラムに従って動作し、機器7を検証するための各種の情報処理を行う。
RAM43は、読み書き可能な記憶装置であって、CPU41が各種の情報処理を行う際のワーキングエリアを提供する。
通信部45は、検証サーバ5をネットワーク10に接続するインターフェースである。
検証プログラムは、機器7を機器検証するためのプログラムであり、CPU41は機器検証プログラムを実行することにより、機器7から送信されてきた検証情報を検証し、検証結果を顧客サーバ4に送信することができる。
検証サーバ秘密鍵は、検証サーバ公開鍵に対応する秘密鍵であり、情報の暗号化やデジタル署名などに用いられる。
顧客サーバ接続情報は、予め顧客に提供してもらい記憶部46に記憶したものである。
検証サーバ5は、検証結果を顧客サーバ4に送信する際に、顧客サーバ接続情報を用いて顧客サーバ4に接続して送信する。
機器登録データベースは、検証を要する機器7を予め登録したデータベースであり、その論理的な構成の一例を図4に示す。
図に示したように、機器登録データベースは、「顧客ID」、「顧客サーバ接続情報」、「機器ID」、「機器公開鍵」、・・・などの各項目から構成されている。
「顧客サーバ接続情報」は、顧客サーバ4に接続するための接続情報であり、顧客IDと対応づけて記憶されている。
なお、図では、各顧客に1つの顧客サーバ接続情報が記載されているが、顧客が複数の顧客サーバ4を用いる場合は、これら複数の顧客サーバ接続情報が顧客IDに対応づけられる。
「機器公開鍵」は、機器秘密鍵に対応する機器公開鍵を各機器7ごとに記憶したものである。機器公開鍵は、CA3が検証サーバ5に送信した機器公開鍵証明書から取得されたものである。
CA3、親CA2は、予め記憶した所定のプログラムをCPUが実行することにより公開鍵証明書を作成したりなどの各種情報処理を行う機能を発揮する。
更に、CA3の場合は、機器公開鍵証明書を発行した機器7の失効情報を記憶した失効リストを記憶部46に記憶している。
失効リストは、CA3が機器公開鍵証明書を発行した機器7が現在失効状態か否かを機器IDの有無に対応させて記憶したデータリストであり、機器公開鍵証明書発行後直後は、当該機器に関する情報は何も登録されていない。そして、失効は、顧客からの申告により当該機器IDを失効リストに登録することにより設定される。
検証サーバ5は、顧客サーバ4などから有効性の問い合わせがあった場合に、CA3の失効リストを参照し、有効性を検証する。
即ち、検証サーバ5は、機器7の正統性を検証する際に、機器が失効状態であるか否かを記憶した失効状態記憶手段(CA3の失効リスト)を用いて機器7の有効性を検証する有効性検証手段を備えている。
機器マスタは、顧客サーバ4が接続する機器7のマスタ情報であり、例えば、機器7の機器ID、機器7に接続するための機器接続情報、機器公開鍵といった基本的な事項や、機器7の設置場所、設置日時といった付属的な情報から構成されている。顧客サーバ4は、機器マスタによって各機器7を管理する。
機器7が失効となった場合は、顧客サーバ4の管理者が顧客サーバ4に当該機器7の失効を入力して機器マスタから削除する。この際に、顧客サーバ4は、失効要求をCA3に送信し、CA3が失効リストに登録されることにより失効とされる。
計測値データベースでは、各計測値がこれを計測した機器7の機器IDに対応づけられ、計測日時なども記憶される。
なお、手順(1)から手順(4)までは、機器7の設置前(好ましくは顧客への出荷前)に行う作業である。
(1)(機器秘密鍵と機器公開鍵の非対称暗号鍵ペアの生成)
機器7のハードウェアが完成すると、作業担当者が機器7を操作して非対称暗号鍵生成プログラムを実行し、耐タンパ部20内でCPU21に機器秘密鍵と機器公開鍵のペアを生成させる(非対称暗号鍵生成手段)。
そして、機器7は、生成した機器秘密鍵をEEPROM25の所定のエリアに記憶する(秘密鍵記憶手段)。
機器7は、作業担当者によって当該機器7を担当する機器登録サーバ6に接続され、生成した機器公開鍵や機器固有情報などを機器登録サーバ6に送信する(公開鍵提供手段)。
ここで、機器固有情報には、機器ID、耐タンパ部のMACアドレスなど機器7に固有の情報が含まれている。
機器登録サーバ6は、機器7からこれらの情報を受信する(公開鍵取得手段)。そして、機器登録サーバ6は、機器公開鍵や機器IDなどをCA3に送信し、CA3に機器公開鍵証明書の発行を要求する(公開鍵証明書発行要求手段)。
CA3は、機器登録サーバ6から機器公開鍵から機器証明書を作成する。そして、CA3は、機器証明書に検証サーバ5の検証サーバ公開鍵証明書を加えて機器証明書を作成し、機器登録サーバ6に送信する。
機器登録サーバ6は、機器証明書をCA3から受信すると、これに検証サーバ接続情報を付加して機器7に送信する。
機器7は、機器登録サーバ6から機器証明書を受信して耐タンパ部20に記憶する。
以上のように、機器証明書には、機器公開鍵証明書、検証サーバ接続情報、検証サーバ公開鍵証明書などが含まれている。
より詳細には、機器公開鍵証明書は、例えば、「公開鍵[ab12・・・01]は、機器ID[12・・・]の機器公開鍵である。」といった内容のメッセージと、当該メッセージから生成したダイジェスト(例えば、メッセージのハッシュ値を用いる)をCA3のCA秘密鍵で暗号化したデジタル署名などから構成されている。
機器公開鍵証明書を受信したものは、CA3のCA公開鍵(証明サーバ公開鍵)を用いてデジタル署名を復号化し、更に、メッセージのダイジェストを作成して両者の一致を確認することにより、メッセージが改編されていないことを確認することができる。
検証サーバ公開鍵証明書には、検証サーバ公開鍵が含まれているため、機器7はこれによって検証サーバ公開鍵を取得する。
なお、機器7は、予め組み込まれているCA公開鍵などを用いて、機器公開鍵証明書や検証サーバ公開鍵証明書の正統性を検証することができる。
なお、本実施の形態の機器登録サーバ6は、CA3から受信した機器証明書に検証サーバ公開鍵証明書を含めて機器7に送信したが、これに限定せず、CA3から受信した機器証明書と、検証サーバ接続情報を別々に機器7に送信するように構成することもできる。
機器登録サーバ6は、機器7に対してCA3が機器証明書を発行する際に、機器公開鍵証明書を取得することができる。
そして、機器登録サーバ6は、このようにして得た機器公開鍵証明書と、機器固有情報(機器ID)などが含まれる登録要求情報を作成して、検証サーバ5に送信し、検証サーバ5に機器7の登録を要求する(公開鍵証明書送信手段)。
検証サーバ5は、登録要求情報を機器登録サーバ6から受信し、これを用いて機器登録データベースを更新する。
即ち、検証サーバ5は、登録要求情報に含まれる機器公開鍵を機器7に対応づけて機器登録データベースに記憶し(公開鍵記憶手段)、更に機器7と顧客サーバ4を対応づけて機器登録データベースに記憶する(情報処理サーバ機器対応記憶手段)。
機器7は、検証サーバ5に登録された後、顧客に出荷される。機器7は、出荷された後は顧客の管理下におかれる。
機器7は、出荷された後、設置担当者によってネットワーク10に接続され、検証要求プログラムが実行される。
検証要求プログラムが実行されると、機器7は、検証要求情報を生成する。そして、機器7は、EEPROM25に記憶してある検証サーバ接続情報を用いて検証サーバ5に接続し(検証サーバ接続手段)、検証要求情報を送信する。
このように、機器7は、ネットワーク10に接続されると自身の機器接続情報を取得し(接続情報取得手段)、これを検証サーバ5に送信する(接続情報送信手段)。これに対し、検証サーバ5は、これを受信する接続情報受信手段を備えている。
また、検証要求情報は、機器秘密鍵でダイジェスト(所定の情報)を暗号化したデジタル署名が含まれており、署名情報として機能する。このように機器7は署名情報送信手段を有している。
検証サーバ5は、機器7から検証情報を受信すると(署名情報受信手段)、これを検証サーバ秘密鍵で復号化する。そして、検証サーバ5は、機器登録データベースから当該機器7の機器公開鍵を取得し(公開鍵取得手段)、これを用いてデジタル署名の正統性を確認することにより、機器7が正統品であるか否かを検証する(検証手段)。
更に、図示しないが、検証サーバ5は、当該機器7が失効であるか否かをCA3に問い合わせて確認する(有効性検証手段)。
(8)(検証結果の通知)
当該機器7が有効であった場合、検証サーバ5は、機器登録データベースで当該機器7に対応づけられている顧客サーバ接続情報を用いて顧客サーバ4に検証結果を送信する(検証結果送信手段)。
検証結果は、例えば、機器7の機器公開鍵証明書、機器7への機器接続情報、検証結果などを検証サーバ秘密鍵で暗号化したものである。このように、検証サーバ5は、機器7への接続情報を顧客サーバ4に送信する接続情報送信手段を備えている。
機器7が失効であった場合は、機器7にエラーメッセージを送信し、検証結果は顧客サーバ4に通知しない。または、検証サーバ5が失効となった機器7からの検証要求があった旨の通知を顧客サーバ4に行うように構成してもよい。
顧客サーバ4は、検証サーバ5から検証結果を受信して(検証結果受信手段)、当該機器7が正統品であると検証されたことを確認した後、機器7と接続して(接続手段)顧客サーバ4に顧客サーバ情報を送信する。
顧客サーバ情報は、顧客サーバ公開鍵証明書や機器7がネットワーク10を介して顧客サーバ4に接続するための顧客サーバ接続情報などが含まれている。
前者の場合は、顧客サーバ4が機器7の接続情報を用いて機器7に接続し、後者の場合は、機器7が検証要求の際に検証サーバ5から顧客サーバ接続情報を受信しておき、これを用いて顧客サーバ4に接続するようにする。
機器7は、顧客サーバ4から送信された顧客サーバ公開鍵証明書(CA秘密鍵でデジタル署名されている)を予め記憶したCA公開鍵で検証し、顧客サーバ4の正統性を確認することができる。
以降、機器7と顧客サーバ4は通信可能な状態となり、機器7は計測データを顧客サーバ公開鍵で暗号化して顧客サーバ4に送信する。
計測データは顧客サーバ秘密鍵を有する顧客サーバ4しか復号化できないため、計測データの送信途上での漏洩を防止することができる。
例えば、機器7を新しい機器で置き換えるなどして機器7が使用されなくなった場合、顧客は、機器マスタで当該機器7を失効にすると共に、CA3に対して当該機器7の失効要求を行う。
CA3の失効リストで機器7を失効とすることにより、機器7が他の場所に新たに設置されたり、あるいは不正利用されることを防ぐことができる。
図6は、機器7を顧客に出荷するまでの手順を説明するためのフローチャートである。
機器7は、組み立てラインで組み立てられた後、機器登録部門に送られる。機器登録部門では、当該機器7を購入する顧客、機器7を接続する顧客サーバ4、当該機器7を割り当てるCA3などを予め把握している。
すると、CPU21は、例えば、乱数を用いるなどして、機器7に固有の非対称暗号鍵ペアである機器秘密鍵と機器公開鍵を生成する(ステップ5)。
なお、CA3への接続は、機器秘密鍵と機器公開鍵を生成した後でもよい。
検証サーバ5は、機器7から機器公開鍵や機器固有情報などを受信し、CA3に送信する(ステップ13)。
そして、CA3は、機器固有情報から機器IDを抽出し、例えば、「機器公開鍵○○○は、機器ID○○○の機器公開鍵です。証明者はCA3です。」といった、機器公開鍵、機器ID、証明者、及びその他の例えば証明日時からなるメッセージを生成する。
更にCA3は、メッセージからダイジェストを生成し、これをCA秘密鍵で暗号化することによりデジタル署名する。
そして、CA3は、生成した機器証明書を機器登録サーバ6に送信する(ステップ30)。
機器登録サーバ6は、CA3から機器証明書を受信し、これに検証サーバ接続情報を添付して機器7に送信する(ステップ33)。なお、検証サーバ接続情報は、機器証明書とは別に送信してもよい。
EEPROM25内には、予めCA3のCA公開鍵証明書や親CA2のルート証明書が記憶されており、機器7は、これらを用いて機器証明書の正統性を確認することができる。
この際、機器登録サーバ6は、登録要求情報を機器登録サーバ秘密鍵でデジタル署名して検証サーバ5に送信し、検証サーバ5が機器登録サーバ公開鍵で検証要求情報の正統性を確認できるようにする。
検証サーバ5は、機器登録サーバ公開鍵を用いて機器公開鍵証明書の正統性を確認し、登録要求情報に含まれる顧客サーバ接続情報、機器ID、機器公開鍵の対応関係を機器登録データベースに登録する(ステップ45)。
一方、検証サーバ5では、機器7の検証に備えて、機器7に関する情報が記憶される。
なお、フローチャートには記さなかったが、機器7が接続すべき顧客サーバ4の顧客サーバ接続情報は、検証サーバ5の機器登録データベースに別途入力される。
機器7は、顧客に出荷されると、顧客の事業計画に基づいて設置箇所に搬送される。
設置担当者は現地に赴き、機器7をネットワーク10に接続して、検証要求プログラムを起動する。
すると、機器7は、ネットワーク10上での自己のIPアドレスといった機器接続情報や、例えば、ルータを介して接続されているなどの環境情報を収集する(ステップ50)。
そして、機器7は、検証要求情報を検証サーバ公開鍵で暗号化することにより暗号化した検証要求情報を作成する。
次に、機器7は、検証サーバ接続情報を用いて検証サーバ5に接続し、暗号化した検証要求情報を検証サーバ5に送信し、自身の検証を検証サーバ5に要求する(ステップ55)。
検証サーバ秘密鍵は検証サーバ5しか有していないため、暗号化した検証情報は送信途上で他者に渡ったとしても復号化することはできない。
次に、検証サーバ5は、検証要求情報に含まれる機器IDを機器登録データベースで検索し、当該機器IDに対応づけられている機器公開鍵を取得する。
より詳細には、検証サーバ5は検証要求情報からダイジェストを生成すると共にデジタル署名を機器公開鍵で復号化してダイジェストを復元し、両者が一致することをもって検証要求情報が正統であると確認する。
両者が一致しない場合、検証サーバ5は、機器7が正統でないとしてエラーメッセージを機器7に送信する。
そして、検証サーバ5は、機器7の失効の有無をCA3から受信し、これによって機器7の有効性を確認する(ステップ65)。
当該機器7が有効である場合、検証サーバ5は、機器7の機器ID、接続情報、正統であるとの検証結果、接続環境などを検証サーバ秘密鍵でデジタル署名し、検証結果を作成する(ステップ70)。
そして、検証サーバ5は、これを用いて顧客サーバ4に接続し、検証結果を送信する(ステップ75)。
一方、当該機器7が機器登録データベースで失効となっていた場合、検証サーバ5は、エラーメッセージを機器7に送信し、顧客サーバ4へは検証結果を送信しない。なお、検証されなかった旨の通知を顧客サーバ4に送信するように構成することもできる。
即ち、検証結果を検証サーバ秘密鍵でデジタル署名できるのは検証サーバ5だけであるので、検証結果を検証サーバ公開鍵で復号化できることにより検証サーバ5の正統性を検証することができる。
なお、検証結果は、サーバ秘密鍵でデジタル署名し、これを顧客サーバ4で検証するように構成してもよい。
一方、顧客サーバ4は、正統性が確認できなかった場合、エラーメッセージを検証サーバ5に送信する。
顧客サーバ情報には、公開鍵証明書(CA公開鍵でデジタル署名された顧客サーバ公開鍵証明書)や、URLやIPアドレスなどからなる顧客サーバ4への接続情報が含まれている。
そして、機器7は、顧客サーバ接続情報をEEPROM25に記憶し、顧客サーバ4に接続する際に用いる。
以後、顧客サーバ4と機器7は通信可能となり(ステップ95)、機器7は計測値を顧客サーバ4に送信することができる。この際、機器7は、計測値を顧客サーバ公開鍵で暗号化して顧客サーバ4に送信することにより、計測値の漏洩を防止する。
この場合、検証サーバ5は、顧客サーバ4に検証結果を送信した後(ステップ75)、顧客サーバ4から機器7を登録した旨の通知を受ける。
検証サーバ5は、このようにして機器7が登録されたことを確認した後、顧客サーバ接続情報を機器7に送信する(ステップ80)。
機器7は、検証サーバ5から顧客サーバ接続情報を受信し、これを用いて顧客サーバ4に接続する。
以後、顧客サーバ4と機器7は通信可能となる(ステップ95)。
この場合、例えば、1日1回程度、バッチ処理にて検証サーバ5の機器登録データベースをCA3の失効リストに同期させる。
そして、機器7の検証の際に、検証サーバ5の機器登録データベースで機器7が失効であった場合、(失効になったものが有効になることはないので)検証サーバ5はCA3に問い合わせを行わなくても、当該機器7が失効であることを確認することができる。
そのため、検証サーバ5は、自己の機器登録データベースで機器7が有効であった場合にCA3に失効の有無を問い合わせればよい。この場合、前回バッチ処理を行った後、失効となった機器7が失効としてCA3から検証サーバ5に通知される。
このように、失効リストのコピーを用いることによりCA3への問い合わせ回数を減らすことができ、CA3の負荷を低減することができる。
例えば、検証サーバ5と機器登録サーバ6の機能を備えたサーバとCA3、機器登録サーバ6とCA3の機能を備えたサーバと検証サーバ5、検証サーバ5とCA3の機能を備えたサーバと機器登録サーバ6、あるいは、CA3、検証サーバ5、機器登録サーバ6の機能を備えたサーバを構成することもできる。これらの場合、サーバのメンテナンス作業などを軽減することができる。
(1)耐タンパ部20内で非対称鍵のペア(機器秘密鍵、機器公開鍵)を生成することにより、機器7に機器秘密鍵を外部から秘匿して記憶させることができる。
(2)機器公開鍵を用いて機器7が機器秘密鍵を記憶していることを確認することにより機器7が正統な機器であることを検証することができる。
(3)機器7と顧客サーバ4を接続する際に、機器7の正統性を検証サーバ5で検証することにより、顧客サーバ4に対して機器7が正統な機器であることを保証することができる。
(4)検証サーバの接続情報を予め機器7に記憶させておくことにより、機器7の接続環境にかかわらず、機器7を検証サーバ5に接続することができる。
(5)失効となった機器7を失効リストで管理することにより、失効になった機器7と顧客サーバ4の接続を防止することができる。
(6)機器7の検証をネットワーク10を介して自動的に行うため、機器7の設置現場に高度な技術を有する技術者を派遣する必要がない。
次に、情報処理システム1に機器7を設置した後の運用について説明する。
図8は、情報処理システム1で機器7の運用に関係するものを示したブロック図である。図1で示した検証サーバ5、CA3、親CA2は、機器7の設置が完了すると機能を終えるため図8には示していない。
また、機器7の運用を開始すると監査サーバと標準電波送信装置が関係してくるため、図8には、監査サーバ12、標準電波送信装置11が図示されている。
また、機器7は、標準電波送信装置11が送信する標準電波を受信するための装置を備えており、後述するように、標準電波で外部クロック28(図2)を更正し、更に外部クロック28を用いて内部クロック22を更正する。
なお、本実施の形態では、標準電波によって内部クロック22を更正するが、これに限定するものではなく、例えば、GPSで配信される時刻や無線通信のプロトコルに含まれる時刻を用いることも可能であり、あるいは、時刻配信サーバの配信時刻を有線や無線にて機器7に供給するように構成することも可能である。
一般に、監査局は、機器7を運用する顧客とは第三者である事業体が運用している。そのため、顧客が監査サーバ12の運用者と共謀してタイムスタンプのバックデイトを行うことが事実上不可能になり、極めて高いセキュリティレベルを実現することができる。
機器7は、この時刻証明書を用いて内部クロック22が正しい時刻を出力しているか否かを確認し、正しい時刻を出力していない場合は、タイムスタンプの発行を停止するようになっている。このように、監査サーバ12は、機器7に基準時刻を送信することにより時刻監査を行うことができる。
機器7は、標準電波送信装置11が送信する標準電波を受信し、これを用いて(外部クロック28を介して)内部クロック22を更正する。
顧客サーバ4は、機器7からタイムスタンプが付与された計測データを受信し、計測値データベースに記憶する。
監査サーバ12は、時刻証明書に記載する時刻を計測するための原子時計を備え、更に監査用秘密鍵を記憶している。
監査サーバ12が機器7に送信する時刻証明書には、基準時刻、制限時間、シリアル番号、固有情報、デジタル署名などが含まれている。
基準時刻は、原子時計が計測した時刻を用いて構成された時刻であり、原子時計の現在時刻をそのまま用いてもよいし、あるいは、通信の遅延が問題になる場合は、遅延時間で健在時刻を補正した値を用いるなど、何らかの補正を施した値を用いてもよい。
機器7は、この制限時間の範囲内でタイムスタンプを発行することができ、このタイムスタンプを発行できる時間を活性化時間と呼ぶ。
固有情報は、例えば、耐タンパ部20のID情報など、機器7のハードウェアに固有な情報である。固有情報が一致しない場合、耐タンパ部20はエラーを発する。
ここで、メッセージは、現在時刻、制限時間、シリアル番号、固有情報など、改竄を防止する情報であり、ダイジェストはメッセージをハッシュ関数によって演算したハッシュ値である。
時刻証明書の受信者は、メッセージからダイジェストを作成し、更に、デジタル署名を監査用公開鍵で復号化してダイジェストを復元する。そして、両者の一致によって時刻証明書の内容が改竄されていないことを確認することができる。
モード切替部51は、出荷時にEEPROM25に予め記憶されたタイムスタンププログラムをCPU21で実行することにより構成されたものである。
また、EEPROM25には、直近の過去に監査サーバ12から受信した時刻証明書である前回証明書が記憶されている。
図2では、通信部26を計測部35に含めて示したが、ここでは理解を容易にするため通信部26を計測部35の外に図示している。
耐タンパ部20は、監査用公開鍵を用いて時刻証明書の正統性を確認することができ、基準時刻の有効性を確認する。
ここで、メッセージとして用いられる情報は、計測値、機器ID、計測時刻などであり、これらのダイジェストを機器秘密鍵でデジタル署名することによりタイムスタンプが構成されている。
なお、ダイジェストを生成せずに、メッセージをそのままデジタル署名してもよい。
内部クロック22は、耐タンパ部20の内部に構成されるという制約があるため、高精度の時計装置で構成することが困難である。一方、外部クロック28は精度が高く、標準電波によって常に更正されている。そこで、耐タンパ部20は、外部クロック28(図2)を適宜参照して内部クロック22を更正する。
図10は、内部クロック22が計測する時刻の一例を示しており、一例として「2005年3月30日15時30分20秒2百ミリ秒」となっている。このように内部クロック22は時刻を百ミリ秒単位で計測している。
耐タンパ部20は、内部クロック22の時刻を分以上の部分(以下、時刻ラベルと呼ぶ)と秒単位に区分して管理しており、時刻監査は時刻ラベルに対して行い、時刻の更正は秒単位に対して行う。
一般に、内部クロック22は、更正しなくても数ヶ月間程度は1分以内の精度を維持できるので、顧客は、その間に機器7を設置して内部クロック22の秒単位の更正を行うことにより内部クロック22の更正を行うことができる。
即ち、例えば、タイムスタンプで1秒単位まで正確な時刻が必要な場合は、1秒以上の部分を監査サーバ12で監査し、999ミリ秒以下の時刻を標準電波で更正する。
耐タンパ部20は、監査サーバ12から送信されてきた時刻証明書の基準時刻を確認する際に、この基準時刻が前回に監査サーバ12から受信した基準時刻よりも後であることを確認する。
そのため、耐タンパ部20は、監査サーバ12から送信されてきた基準時刻が前回に監査を行った時刻(前回証明書に記載されている時刻)よりも後であることを確認する。
なお、工場出荷時に、デフォルトの前回証明書をEEPROM25に記憶させておく。
耐タンパ部20が行う動作モードには、監査モード、同期モード、スタンプモードがある。
これらの各動作モードはそれぞれ独立したモジュールが行い、モジュール間の干渉が生じないようにしてある。
同期モードは、標準電波送信装置11から標準電波により配信される時刻を用いて内部クロック22の秒単位の部分を正確な時刻に同期させる(即ち、更正する)動作モードである。
スタンプモードは、計測部35が計測した計測値に対してタイムスタンプを発行する動作モードである。
これらのモードのうち、監査モードとスタンプモードは、時刻ラベルを扱うため、高いセキュリティを要する動作モードであり(セキュリティモード)、一方、同期モードは秒単位を扱うため、高いセキュリティが必ずしも必要ない動作モード(一般モード)である。
そのため、スタンプモードで動作するためには、監査モードと同期モードが完了していることが必要となり、耐タンパ部20は、監査、同期された時刻にてタイムスタンプを発行することができる。
また、耐タンパ部20は、監査モード、同期モードの少なくとも一方でエラーが発生した場合に、タイムスタンプの発行を停止することができる。
しかも、各動作モードは独立したモジュールにて動作するため、耐タンパ部20は、セキュリティモードでの処理と一般モードでの処理が耐タンパ部20内で干渉することを防ぐことができ、クラッキングなどの不正アクセスに対して高い耐性を備えている。
更に、本実施の形態では、監査モード→同期モード→スタンプモード→監査モード・・・の順序でモードの切り替えを行ったが、モード切り替えの順序はこれに限定するものではなく、例えば、同期モード→監査モード→スタンプモード→同期モード→・・・など、他の順序で動作モードを切り替えてもよい。
このように、機器7は、タイムスタンプ機能を内蔵しており、計測と共にタイムスタンプを発行するため、当該計測値が確かに当該計測時刻に計測されたことを保証することができる。
なお、本実施の形態では、内部クロック22で計測した時刻を計測時刻としたが、計測部35が計測値と共に計測時刻を耐タンパ部20に出力し、この計測時刻を含めて耐タンパ部20がタイムスタンプを発行するように構成することもできる。
図12(a)は、機器マスタの論理的な構成の一例を示した図である。
機器マスタは、「機器ID」、「接続情報」、「機器公開鍵」、「型番」、「設置箇所」、「設置日」、・・・などの各項目から構成されている。
機器IDは、機器7を識別するのに用い、接続情報は機器7に接続するのに用いる。機器公開鍵は計測データのタイムスタンプ(デジタル署名)を確認するのに用いる。
計測値データベースは、「機器ID」、「受信時刻」、「計測値」、「計測時刻」、・・・などの項目から構成されている。
機器IDは、計測データの送信元である機器7の機器IDであり、受信時刻は、顧客サーバ4が計測データを受信した時刻である。計測値は、計測データに含まれていた計測値である。
顧客サーバ4は、機器7の機器公開鍵で計測データのタイムスタンプを検証し、計測データや計測時刻などが改竄されていないことを確認してからこれらを計測値データベースに登録する。
ここでは、機器7が監査モードに切り替わった時点から説明する。なお、以下の機器7の動作は耐タンパ部20が行うものである。
まず、モード切替部51が耐タンパ部20を監査モードに切り替えると、機器7は、監査サーバ12に接続し、時刻証明書の送信を要求する(ステップ25)。
機器7は、監査サーバ12から時刻証明書を受信すると、監査用公開鍵を用いて時刻証明書のデジタル署名を確認した後、時刻証明書の基準時刻と、内部クロック22が計測している時刻の時刻ラベル(図10)が一致することを確認する(ステップ35)。
時刻ラベルと基準時刻が一致する場合、モード切替部51は、耐タンパ部20の動作モードを同期モードに切り替える。
内部クロック22の秒単位の更正が完了すると、モード切替部51は、耐タンパ部20の動作モードをスタンプモードに切り替える。
顧客サーバ4は、機器7から計測データを受信し、計測値などを計測値データベースに記憶する(ステップ60)。
一方、活性化時間を経過した場合(ステップ55;N)、機器7は、無限ループを続行するか否かを判断する(ステップ65)。
機器7は、通常無限ループで連続的に動作するが、例えば、使用期間が限定されてる場合で使用期限が切れた場合など、無限ループを続行しない場合は自動停止する。
機器7が時刻証明書を要求し(ステップ25)、これに応じて監査サーバ12が時刻証明書を送信する(ステップ30)。
機器7は、監査サーバ12から送信されてきた時刻証明書を受信し、これを耐タンパ部20に入力する。
そして、機器7は、時刻証明書に記されている基準時刻と内部クロック22が計測している時刻を比較する(ステップ110)。
両時刻が一致する場合(ステップ115;Y)、機器7は、時刻証明書の有効性を確認する(ステップ120)。
また、時刻証明書に時刻証明書の有効期限が付属している場合は、有効期限内であることを確認する。
即ち、有効性の確認の後に時刻の比較を行うと、有効性の確認に要する時間だけ内部クロック22の時刻が進んでしまい、時刻証明書に記載されている時刻との差が大きくなるためである。
時刻証明書が有効であった場合(ステップ125;Y)、機器7は、前回証明書(図9)に記載されている基準時刻と、時刻証明書に記載されている基準時刻との前後関係を比較する(ステップ130)。
一方、時刻証明書に記載されている基準時刻が、前回証明書に記載されている基準時刻よりも後の時刻であった場合(ステップ135;Y)、前回証明書を今回受け取った時刻証明書にて上書きするなどして置き換える。
そして、監査サーバ12は、監査の再実行が所定回数に達した場合は、機器7を停止させるコマンドを機器7に送信する。
このように、機器7で何らかの異常が発生していると考えられる場合、監査サーバ12は機器7を停止させることができる。
機器7の計測部35(図2)は、外部クロック28を監視しており、予め設定された計測時刻に達すると、計測装置部34に計測を指示し、これによって計測を実行する(ステップ200)。
なお、計測部35が計測装置部34から計測値を取得するタイミングは、機器7の種類や用途などによって様々設定することができる。
耐タンパ部20では、計測値が提供された時刻を内部クロック22から取得し、この時刻を測定値の計測時刻とする(ステップ210)。
そして、機器7は、機器ID、計測値、計測時刻やタイムスタンプなどから計測データを作成し、顧客サーバ4に送信する(ステップ220)。
そして、顧客サーバ4は、この機器公開鍵を用いてタイムスタンプの確認を行う(ステップ225)。
タイムスタンプの確認を終えると、顧客サーバ4は、計測データに記されている計測値や計測時刻などを計測値データベースに記憶し、これを更新する(ステップ230)。
そして、耐タンパ部20は、スタンプモードにおいて、計測部35で計測がなされた際の時刻を内部クロック22から取得し、当該計測値に対して当該取得した時刻による時刻証明情報(タイムスタンプ)を生成する時刻証明情報生成手段として機能している。
また、通信部26は、生成した時刻証明情報を所定の送信先に送信する送信手段として機能している。
更に、機器7は、所定の監査サーバから基準時刻を受信する基準時刻受信手段を備え、モード切替部51は、前記所定単位以上の時刻(時刻ラベル)において、内部クロック22で計測した時刻と当該受信した基準時刻が一致する場合に前記時刻証明情報生成手段を動作させ、一致しない場合に前記時刻証明情報生成手段を停止させる監査結果実行手段として機能している。
(1)機器7にタイムスタンプ機能が内蔵されてるため、計測値からタイムスタンプで証明される時刻に計測されたものであることを保証することができる。
(2)機器7での計測時刻が改竄できないため、信頼できる計測値の時系列を得ることができる。
(3)内部クロック22の更正に、標準電波を用いるため、更正用の時刻を配信する設備が必要ない。
(4)時刻の更正は秒単位以下に対してしか行うことができないため、時刻ラベルの改竄を防ぐことができる。
(5)耐タンパ部20の動作をセキュリティモード(時刻監査、タイムスタンプの発行)と一般モード(同期)で切り替えるため、セキュリティを高めることができる。
また、機器7の用途としては、水道・ガスメータといったメータ類のほかに、ハウス栽培の温度計、原子力発電所での放射能漏れ計測装置、地震計などに用いることができる。
即ち、時刻を出力する時計装置と、前記時計装置が出力した時刻のうち、所定の単位以上の時刻(時刻ラベル)を取得する第1の時刻取得手段と、基準時刻を配信する基準時刻配信サーバ(監査サーバ12)から基準となる時刻を受信する基準時刻受信手段と、前記所定単位以上の時刻において前記第1の時刻取得手段で取得した時刻と前記受信した基準時刻とが一致することを確認することにより、前記時計装置が所定の範囲の精度で作動していることを検証する検証手段と、クライアント機器(計測部35)から、時刻証明対象となる証明対象情報を受信する証明対象情報受信手段と、前記精度を検証した前記時計装置が出力する時刻を用いて、前記受信した証明対象情報の時刻証明情報(タイムスタンプ)を生成する時刻証明情報生成手段と、前記生成した時刻証明情報を所定の送信先に送信する時刻証明情報送信手段と、を具備したことを特徴とする時刻証明サーバを提供する(第1の構成)。
第1の構成において、前記検証手段は、検証に用いる基準時刻が、前回の検証で用いた基準時刻よりも後の時刻であることが確認できた場合に、前記時計装置が所定の範囲の精度にて作動していると検証するように構成することもできる(第2の構成)。
第1の構成、又は第2の構成において、更正時刻発生装置(標準電波送信装置11)から更正時刻を取得する更正時刻取得手段と、前記取得した更正時刻を用いて、前記時計装置が計測する時刻のうち、前記所定の単位よりも小さい単位(秒単位)の時刻を更正する時刻更正手段と、を具備し、前記時刻証明情報生成手段は、前記構成した時刻を用いて前記時刻証明情報を生成するように構成することもできる(第3の構成)。
第1の構成、第2の構成、又は第3の構成において、前記所定の単位を変更する所定単位変更手段を具備するように構成することもできる(第4の構成)。
第3の構成において、前記検証手段と前記時刻証明情報生成手段が動作する第1の動作モードと、前記時刻更正手段が動作する第2の動作モードと、を切り替える動作モード切替手段を具備し、前記動作モード切替手段は、それぞれの動作モードにて動作が完了した後に動作モードを切り替えるように構成することもできる(第5の構成)。
第5の構成において、前記第1の動作モードは、前記検証手段が前記時計装置を検証する検証モードと、前記時刻証明情報生成手段が前記時刻証明情報を生成する時刻証明情報生成モードと、から成り、前記動作モード切替手段は、前記検証モードと前記時刻証明情報生成モードの切替において、モード切替元の動作が完了した後にモード切替先に動作モードを切り替えるように構成することもできる(第6の構成)。
2 親CA
3 CA
4 顧客サーバ
5 検証サーバ
6 機器登録サーバ
7 機器
8 基地局
10 ネットワーク
12 監査サーバ
51 モード切替部
Claims (4)
- 計測対象を計測する計測手段と、
時刻を計測する時計装置と、
所定の監査サーバから基準時刻を受信する基準時刻受信手段と、
前記受信した基準時刻を記憶する基準時刻記憶手段と、
監査モードにおいて、前記時計装置が正しい時刻を計測しているか否かを、前記受信した基準時刻を用いて確認する時刻監査手段と、
前記監査モードにおいて、前記基準時刻受信手段で受信した基準時刻が、前記基準時刻記憶手段に記憶されている前回受信した基準時刻よりも後であるか否かを確認する確認手段と、
前記監査モードが完了した後に切り替えられるスタンプモードにおいて、前記計測手段による計測値を取得し、前記計測がなされた際の時刻を前記時計装置から取得し、前記取得した計測値に対して前記取得した時刻による時刻証明情報を生成する時刻証明情報生成手段と、を具備し、
前記時刻証明情報生成手段は、前記監査モードにおいて、前記時計装置が正しい時刻を計測していると前記時刻監査手段で確認され、前記受信した基準時刻が前記記憶されている前回受信した基準時刻よりも後であると前記確認手段で確認されて、前記スタンプモードに切り替わった場合に、時刻証明情報を生成する、
ことを特徴とする計測装置。 - 更正時刻発生装置から更正時刻を取得する更正時刻取得手段と、
前記取得した更正時刻を用いて、前記時計装置が計測する時刻のうち、セキュリティを要する所定の単位以上の部分について更正は行わずに前記所定の単位よりも小さい部分を更正する時刻更正手段と、を備え、
前記時刻証明情報生成手段は、前記更正した時刻を用いて前記時刻証明情報を生成する、
ことを特徴とする請求項1に記載の計測装置。 - 前記時刻監査手段は、前記時計装置が計測する時刻のセキュリティを要する所定の単位以上の部分が、前記受信した基準時刻の前記所定の単位以上の部分と一致している場合に、前記時計装置が正しい時刻を計測していると確認する、
ことを特徴とする請求項2に記載の計測装置。 - 前記確認手段は、前記時刻監査手段により前記時計装置が正しい時刻を計測しているか否かを確認した後に、前記基準時刻受信手段で受信した基準時刻が、前記基準時刻記憶手段に記憶されている前回受信した基準時刻よりも後であるか否かを確認する、
ことを特徴とする請求項3に記載の計測装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006035261A JP4918717B2 (ja) | 2006-02-13 | 2006-02-13 | 計測装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006035261A JP4918717B2 (ja) | 2006-02-13 | 2006-02-13 | 計測装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007215103A JP2007215103A (ja) | 2007-08-23 |
JP4918717B2 true JP4918717B2 (ja) | 2012-04-18 |
Family
ID=38493105
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006035261A Active JP4918717B2 (ja) | 2006-02-13 | 2006-02-13 | 計測装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4918717B2 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010067433A1 (ja) | 2008-12-11 | 2010-06-17 | 三菱電機株式会社 | 自己認証通信機器、自己認証検証通信機器、機器認証システム、機器認証システムの機器認証方法、自己認証通信プログラムおよび自己認証検証通信プログラム |
JP2011053762A (ja) * | 2009-08-31 | 2011-03-17 | Yamatake Corp | 施設管理システム及び施設管理方法 |
JP4641327B1 (ja) | 2010-03-25 | 2011-03-02 | 慧通信技術工業 株式会社 | 計測データ管理方法、計測データ管理システム、計測データ管理装置及び端末装置 |
WO2016042664A1 (ja) * | 2014-09-19 | 2016-03-24 | 株式会社東芝 | 管理装置、計測装置、サービス提供装置、プログラム、伝送システムおよび伝送方法 |
US10693636B2 (en) * | 2017-03-17 | 2020-06-23 | Guigen Xia | Authenticated network |
WO2023175793A1 (ja) * | 2022-03-16 | 2023-09-21 | 日本電気株式会社 | 製品管理システム、製品機器、製品管理方法及び非一時的なコンピュータ可読媒体 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5444780A (en) * | 1993-07-22 | 1995-08-22 | International Business Machines Corporation | Client/server based secure timekeeping system |
JP2005351634A (ja) * | 2004-06-08 | 2005-12-22 | Seiko Precision Inc | 無線システム、無線装置及びコンピュータプログラム |
JP2006033650A (ja) * | 2004-07-21 | 2006-02-02 | Meidensha Corp | 計測システム |
-
2006
- 2006-02-13 JP JP2006035261A patent/JP4918717B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2007215103A (ja) | 2007-08-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11743054B2 (en) | Method and system for creating and checking the validity of device certificates | |
US11516016B2 (en) | Method and system for signing and authenticating electronic documents via a signature authority which may act in concert with software controlled by the signer | |
US6393126B1 (en) | System and methods for generating trusted and authenticatable time stamps for electronic documents | |
CN101145906B (zh) | 对单向网络中的接收终端进行合法性认证的方法及系统 | |
CA2767721C (en) | System and method for managing electronic assets using multithreaded interfaces for distributed manufacturing | |
CA2767723C (en) | System and method for performing serialization of devices | |
JPWO2007094035A1 (ja) | 機器、検証サーバ、情報処理サーバ、機器登録サーバ、及び情報処理方法 | |
US6622247B1 (en) | Method for certifying the authenticity of digital objects by an authentication authority and for certifying their compliance by a testing authority | |
CN106600252A (zh) | 一种基于区块链的支付方法及系统 | |
JP4918717B2 (ja) | 計測装置 | |
JP4725978B2 (ja) | 時刻証明サーバ、時刻証明方法、及び時刻証明プログラム | |
CN101571900A (zh) | 一种软件版权保护方法、设备和系统 | |
JP2004013600A (ja) | データ処理システム、データ処理装置、および方法、並びにコンピュータ・プログラム | |
CN110599270A (zh) | 电子票据生成方法、装置和计算机设备 | |
JP4868322B2 (ja) | 情報処理システム、及び情報処理方法 | |
CN113706261A (zh) | 一种基于区块链的电力交易方法、装置及系统 | |
JP2000066590A (ja) | データ保管システム、データ保管方法、保管データ存在証明方法、プログラム記録媒体 | |
JP4918718B2 (ja) | タイムスタンプ発行装置、タイムスタンプ発行方法、及びタイムスタンプ発行プログラム | |
JP3717848B2 (ja) | 電子公証システム及び電子公証方法 | |
JP2007215104A (ja) | 端末機器 | |
JP4541740B2 (ja) | 認証用鍵の更新システム、および認証用鍵の更新方法 | |
JP4499027B2 (ja) | 時刻監査サーバ及び時刻監査方法 | |
KR101336529B1 (ko) | 원격 디바이스 등록 시스템 및 방법 | |
US20240267228A1 (en) | System and gateway for attesting a data record | |
CN118400090A (zh) | 具有智能管理功能的led屏幕的数据管理方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20080829 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080902 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110422 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110506 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110630 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110729 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111021 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20111026 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120106 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20120116 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120116 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4918717 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150210 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |