JP5436412B2 - データ暗号化装置、制御方法および集積回路 - Google Patents

データ暗号化装置、制御方法および集積回路 Download PDF

Info

Publication number
JP5436412B2
JP5436412B2 JP2010505343A JP2010505343A JP5436412B2 JP 5436412 B2 JP5436412 B2 JP 5436412B2 JP 2010505343 A JP2010505343 A JP 2010505343A JP 2010505343 A JP2010505343 A JP 2010505343A JP 5436412 B2 JP5436412 B2 JP 5436412B2
Authority
JP
Japan
Prior art keywords
data
storage unit
encryption
circuit
encryption key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010505343A
Other languages
English (en)
Other versions
JPWO2009119079A1 (ja
Inventor
薫 横田
真佐男 野仲
裕一 布田
なつめ 松崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Priority to JP2010505343A priority Critical patent/JP5436412B2/ja
Publication of JPWO2009119079A1 publication Critical patent/JPWO2009119079A1/ja
Application granted granted Critical
Publication of JP5436412B2 publication Critical patent/JP5436412B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • AHUMAN NECESSITIES
    • A61MEDICAL OR VETERINARY SCIENCE; HYGIENE
    • A61BDIAGNOSIS; SURGERY; IDENTIFICATION
    • A61B5/00Measuring for diagnostic purposes; Identification of persons
    • A61B5/0002Remote monitoring of patients using telemetry, e.g. transmission of vital signals via a communication network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Measuring And Recording Apparatus For Diagnosis (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、ユーザ側で計測されたユーザの体重、血圧などの健康情報を通信ネットワーク経由で受信し、前記健康情報を元に健康アドバイスなどをユーザに返送するヘルスケア管理サービスにおいて、健康情報の機密性を保護することが可能なセキュアヘルスケア管理システムに関する。
温度センサー、化学センサー、圧力センサー、バイオセンサーなどの各種センサー機能と、RFID(Radio Frequency Identification)などの通信機能との両方の機能を兼ね備えたタグの開発が進められている。また、それらタグを用いた各種アプリケーションも検討されている。例えば、輸送する生鮮食料品や美術品に、温度センサーや湿度センサーなどのセンサー機能を有するタグを付けて、輸送時の温度、湿度を管理をするような応用が考えられる。他にも、体温、血糖値、心拍数などを長期間あるいは定期的に計測する必要のある患者向けの健康管理用途が考えられる。それらの生体情報計測機能を有するタグ(以降、「センサータグ」と呼ぶ)を患者の体に貼り付けることにより、定期的に生体情報を計測することができる。計測した生体情報は、センサータグ内に蓄積しておく。センサータグは、一定期間の計測が終わった後に、患者の体から取り外され、内部に蓄積されたデータが読み出される。センサータグを超小型化することにより、患者が意識することなく定期的な生体情報計測が可能となる。
上記の健康管理用途にセンサータグを用いる場合、センサータグ内に蓄積される計測情報の機密性担保が必要となる。即ち、計測した生体情報は、被計測者にとってはプライバシー情報である。このため、例えば、体に貼り付けていたセンサータグが気づかないうちに剥がれ落ちて第三者に拾得された場合や、データ読出し後のセンサータグの管理の不徹底により第三者の手に渡った場合には、内部に記録されている計測データが漏洩してしまう恐れがある。そのようなデータ漏洩を防止するために、計測した生体情報をセンサータグ内部で暗号化して蓄積するような仕組みが必要である。
センサータグ内で暗号化処理を行う場合、鍵は商品(センサータグ)の出荷後に設定できる必要がある。健康管理用途の場合、センサータグは病院が購入し病院から患者に提供される。したがって、ある病院の鍵が漏洩することで、他の病院の患者の計測情報が漏洩してしまう恐れがないように、鍵は病院ごとに異ならせることが必要である。即ち、センサータグは、鍵が設定されていない状態で出荷されて病院に納入され、各病院で鍵の設定ができるようにする必要がある。
また、センサータグは、計測中は電力が供給されている必要があり、かつ、計測中はセンサータグ外部から電力供給する手段がないために、電池内蔵式である。さらに、常時患者の身に貼り付けておくことから、超小型形状である必要がある。このため、電源からの電力供給をON、OFFするようなスイッチ機構を設けることは難しい。したがって、例えば、電池とセンサータグ回路との間に絶縁体を装着しておき、使用時には絶縁体を取り除いて電源からの電力供給をONとするような仕組みを取らざるを得ない。この場合、一旦除去した絶縁体を再び電池とセンサータグとの間に装着することは難しい。即ち、電源からの電力供給をOFFの状態からONの状態に一旦すると、電源からの電力供給をOFFの状態に戻すことは(電池が切れるまでは)できない。
上記の前提の下で、従来のセンサータグに暗号化機能を付加すると、以下の通りになる。まず、鍵が設定されていないセンサータグが、病院に納入される。病院では、センサータグの電源からの電力供給をONにして、鍵を設定する。病院は鍵設定済みのセンサータグを患者に提供し、患者は受け取ったセンサータグを体に貼り付けて生体情報の計測を行う。センサータグは体に貼り付けられている間、生体情報を計測し設定されている鍵で暗号化して内部に蓄積してゆく。計測が完了した後、患者は計測済みのセンサータグを病院に引き渡す。そして、病院は、センサータグから計測された暗号化生体情報を読出し、病院が保持している鍵で復号して、平文の生体情報を得る。センサータグ内の生体情報は暗号化されている。このため、たとえセンサータグが第三者の手に渡ったとしても、第三者は鍵を持っていないため平文の生体情報を得ることはできず、情報漏洩の心配はない。
特開2006−197202号公報
しかしながら、従来技術においては、鍵の設定を行う際にセンサータグの電源からの電力供給をONにする必要がある。このため、計測開始までに電池が消耗してしまうという課題を有している。即ち、センサータグは、構成上小さくする必要があり、電源スイッチをできるだけ簡略化した構成、例えば片方向のスイッチにすることが考えられる。しかし、この構成では、一度電源からの電力供給をONにするとOFFにすることができないため、鍵の設定を行ってから患者がセンサータグを体に装着するまでの間は、電源からの電力供給がONのままになり、電池を無駄に消耗してしまう。これを避けるためには、病院は患者にセンサータグを渡す直前に鍵の設定を行う必要があり、患者はセンサータグを受け取るとできるだけ早く体に貼り付けて計測を開始する必要がある。しかし、病院は、まとめ買いしたセンサータグを入手後、一括して鍵設定を行い在庫として保管するような運用ができなくなり、また、長期に渡って継続的な計測が必要な患者に対して、まとまった数のセンサータグを渡すことができず、運用面で多大な負担を強いることになる。
また以下のような別の課題もある。センサータグは体につけるものであるため、滅菌処理したうえでパッケージに入った状態で出荷されることが想定される。この場合、病院で鍵を設定するために、パッケージを破って電源からの電力供給をONにする必要がある。しかし、患者である被計測者が使用するより前に滅菌処理されたパッケージが破られてしまうのは、衛生上問題を生じると考えられる。
特許文献1には、電波により電源エネルギーの供給を受けるパッシブ構造体と内部の電源から電源エネルギーの供給を受けるアクティブ構造体とを搭載した電子タグが開示されている。この電子タグでは、パッシブ構造体において識別情報を受信し、アクティブ構造体において受信した識別情報を送信する。即ち、特許文献1が開示する電子タグにおいては、識別情報の設定時には、パッシブ構造体が用いられるため、内部電源からの電力供給をONにする必要がない。しかし、特許文献1では、電子タグに設定するのは、物品などの識別情報だけであり、電子タグ内で暗号処理を行う方法や、鍵を設定するための方法については開示されておらず、前記課題を解決することはできない。
本発明は、前記課題を解決するもので、使用する前に事前の鍵設定が必要となるセンサータグシステムにおいて、鍵設定者やセンサータグ使用者に運用上の負担を強いることがなく、かつ、センサータグが使用される直前まで衛生的な状態を保つことが可能な暗号化機能付きセンサータグを提供することを目的とする。
上記目的を達成するために、本発明に係るデータ暗号化装置は、可搬型のデータ暗号化装置であって、記憶部と、外部端末から無線の起動信号を受信し、受信した前記起動信号により発生する起電力で動作することにより前記外部端末から暗号鍵を受信し、受信した前記暗号鍵を前記記憶部に格納する無線通信回路と、電力を供給する一次電池と、前記一次電池からの電力供給をOFF状態からON状態に切替える切替手段と、前記一次電池からの電力供給がON状態に切替えられた後、前記一次電池から供給される電力で動作し、前記記憶部から前記暗号鍵を読み出し、読み出した前記暗号鍵を用いて所定の暗号化対象のデータを暗号化し、暗号化されたデータを前記記憶部に格納する暗号化回路と、前記無線通信回路から前記記憶部へのアクセスと、前記暗号化回路から前記記憶部へのアクセスと、を制御する記憶部制御部と、を具備し、前記記憶部制御部は、前記一次電池からの電力供給がON状態に切替えられた後、前記無線通信回路から前記記憶部への暗号鍵の書込みを禁止し、前記切替手段は、前記一次電池からの電力供給をOFF状態からON状態への一方向にのみ切替える。
本態様によると、無線通信回路は、外部端末から無線の起動信号を受信し、この受信した起動信号により発生する起電力で動作して前記外部端末から暗号鍵を受信し、記憶部に格納する。一方、暗号化回路は、一次電池からの電力供給がON状態になったとき前記一次電池から供給された電力で動作し、前記暗号鍵を読み出して所定の暗号化対象のデータを暗号化して前記記憶部に格納する。これによると、前記無線通信回路が外部装置から暗号鍵を受信する際には、データ暗号化装置内の一次電池を使用しないので、前記暗号鍵の受信から前記所定の暗号化対象のデータの暗号化までに時間が経過する場合であっても、前記暗号化回路が所定の暗号化対象のデータを暗号化する際に装置内の一次電池が消耗されているという事態を防止できる。
また、電源として寿命の短い一次電池を用いた場合であっても、前記無線通信回路が外部装置から暗号鍵を受信する際には前記一次電池の電力を使用しないので、前記暗号化回路が所定の暗号化対象のデータを暗号化する際に前記一次電池の電力が消耗されているという事態を防止できる。
また、無線で暗号鍵を受信できるため、滅菌処理されたパッケージを破ることなくデータ暗号化装置に暗号鍵を設定することができる。よって、データ暗号化装置が使用される直前まで衛生的な状態を保つことができる。
また、前記暗号化回路が前記一次電池からの電力供給がON状態に切替えられた後、前記記憶部制御部は前記無線通信回路から前記記憶部への暗号鍵の書込みを禁止する。これによると、前記暗号化対象のデータの暗号化が開始されるときには、暗号鍵を前記記憶部に記憶できないので、前記暗号化対象のデータの暗号化が開始されるときに、誤って暗号鍵が書き換えられるのを防止できる。
また、前記切替手段を、前記一次電池からの電力供給をOFF状態からON状態への一方向にのみ切替えることができる。この場合、前記一次電池からの電力供給をON状態とする機構を簡易にできる。その結果、データ暗号化装置を小型化できる。
さらに好ましくは、前記暗号化回路は、前記データ暗号化装置のユーザの生体データを計測するセンサー回路であって、前記記憶部から前記暗号鍵を読み出し、読み出した前記暗号鍵を用いて前記生体データを暗号化し、暗号化された生体データを前記記憶部に格納する。
本態様によると、前記暗号化回路を、データ暗号化装置のユーザの生体データを計測するセンサー回路とし、センサー回路が、前記記憶部から前記暗号鍵を読み出して前記生体データを暗号化して前記記憶部に格納することができる。この場合、前記データ暗号化装置を、ユーザの生体データを計測する計測装置として用いることができる。
また、上述のデータ暗号化装置は、さらに、ユーザの生体データを計測する外部の計測装置から、前記生体データを入力として受け付ける入力部を備え、前記暗号化回路は、前記生体データを前記所定の暗号化対象のデータとして暗号化し、暗号化された生体データを前記記憶部に格納してもよい。
本態様によると、入力部が、ユーザの生体データを計測する外部の計測装置から前記生体データを入力として受け、前記暗号化回路が、前記生体データを前記所定の暗号化対象のデータとして暗号化して前記記憶部に格納することができる。この場合、前記データ暗号化装置を、ユーザの生体データを計測する計測装置とは別体のデータ暗号化装置として用いることができる。
また、前記記憶部に前記暗号鍵が記憶されていない状態で、前記一次電池からの電力供給がON状態になって前記暗号化回路が前記一次電池から供給された電力で動作する場合、前記暗号化回路は前記所定の暗号化対象のデータを暗号化せずに前記記憶部に格納してもよい。
本態様によると、前記記憶部に前記暗号鍵が記憶されていない状態で、前記一次電池からの電力供給がON状態になって前記暗号化回路が前記一次電池から供給された電力で動作した場合、前記所定の暗号化対象のデータを暗号化せずに前記記憶部に格納することができる。
また、前記記憶部に前記暗号鍵が記憶されていない状態で、前記一次電池からの電力供給がON状態になって前記暗号化回路が前記一次電池から供給された電力で動作する場合、前記暗号化回路は前記所定の暗号化対象のデータを破棄して前記記憶部への格納は行わなくてもよい。
本態様によると、前記記憶部に前記暗号鍵が記憶されていない状態で、前記一次電池からの電力供給がON状態になって前記暗号化回路が前記一次電池から供給された電力で動作した場合、前記所定の暗号化対象のデータを破棄して前記記憶部への格納は行わないようにすることができる。この場合、前記記憶部には暗号化されない状態で、前記所定の暗号化対象のデータが格納されることはないので、前記所定の暗号化対象のデータの秘匿性を保障できる。
さらに好ましくは、前記一次電池と前記暗号化回路とは、互いに接触する方向に付勢されており、前記切替手段は、付勢された前記一次電池と前記暗号化回路との間に介在する絶縁体である。
本態様によると、前記切替手段を、前記一次電池と前記暗号化回路との間に介在する絶縁体とすることができる。この場合、前記絶縁体をデータ暗号化装置本体から引き抜けば、前記一次電池からの電力供給をON状態にできる。その結果、データ暗号化装置の構成を簡易にしつつ小型化を図ることができる。
好ましくは、前記暗号化対象データは、前記データ暗号化装置のユーザの個人情報である。
本態様によると、前記暗号化対象データを、データ暗号化装置のユーザの個人情報とすることができる。
また、前記暗号化回路は、前記データ暗号化装置が付与されている物品の周囲の環境情報を計測するセンサー回路であって、前記記憶部から前記暗号鍵を読み出し、読み出した前記暗号鍵を用いて前記環境情報を暗号化し、暗号化された環境情報を前記記憶部に格納してもよい。
本態様によると、前記暗号化回路を、データ暗号化装置が付与されている物品の周囲の環境情報を計測するセンサー回路とし、前記記憶部から前記暗号鍵を読み出して前記環境情報を暗号化して前記記憶部に格納することができる。この場合、例えば、輸送中の生鮮食料品にデータ暗号化装置を付けて、データ暗号化装置に輸送中の温度、湿度、照度などの環境情報を格納することができる。
また、前記無線通信回路は、RFID(Radio Frequency Identification)の通信回路であってもよい。
本態様によると、前記無線通信回路を、RFIDの通信回路とすることができる。この場合、データ暗号化装置をRFIDタグとして用いることができる。
また、上述のデータ暗号化装置は、さらに、前記記憶部が前記暗号鍵を記憶していることを示す表示を行う表示部を備えていてもよい。
本態様によると、前記記憶部が前記暗号鍵を記憶していることを示す表示を行う表示部を設けることにより、前記記憶部に前記暗号鍵が格納された状態か否かをデータ暗号化装置を外部から視認することにより用意に確認できる。そのため、ユーザは、前記記憶部に前記暗号鍵が格納されていることを確認した上で、本データ暗号化装置を使用することができ、前記所定の暗号化対象のデータの秘匿性を保障できる。
また、前記記憶部制御部は、前記暗号化回路が前記一次電池から供給された電力で動作するとき、前記暗号化回路から前記記憶部へのデータの書込みを許可し、前記無線通信回路から前記記憶部へのデータの書込みを禁止し、前記暗号化回路は、前記データ暗号化装置のユーザの生体データを計測するセンサー回路であって、前記記憶部から前記暗号鍵を読み出し、読み出した前記暗号鍵を用いて前記生体データを暗号化し、暗号化されたデータを前記記憶部に格納し、前記記憶部制御部は、前記無線通信回路から前記記憶部に格納された前記暗号化されたデータの取得依頼を受けた場合、前記暗号化回路から前記記憶部へのデータの書込みを禁止し、前記無線通信回路は、前記暗号化回路から前記記憶部へのデータの書込みを禁止された後、前記記憶部に格納された前記暗号化されたデータを所定の宛先に送信してもよい。
本態様によると、前記記憶部制御部は、前記無線通信回路から前記記憶部に格納された暗号化されたデータの取得依頼を受けた場合、前記暗号化回路から前記記憶部へのデータの書込みを禁止する。一方、前記無線通信回路は、前記暗号化回路から前記記憶部へのデータの書込みを禁止された後、前記暗号化回路が暗号化して前記記憶部に格納した暗号化されたデータを読み出して所定の宛先に送信する。これにより、前記無線通信回路によるデータ送信中に前記暗号化回路による前記記憶部への書込みは行われないので、前記記憶部内に格納された暗号化されたデータの送信データ漏れを防止できる。
さらに好ましくは、前記記憶部制御部は、前記無線通信回路から前記記憶部に格納された前記暗号化されたデータの取得依頼を受けた場合、所定期間内に前記暗号化回路から前記記憶部への書き込みがあったか否かを判断し、前記暗号化回路から前記記憶部への書き込みが前記所定期間無かったと判断した場合、前記暗号化回路から前記記憶部へのデータの書込みを禁止する。
本態様によると、前記記憶部制御部は、前記暗号化回路から前記記憶部への書き込みが所定期間無かった場合、前記一次電池の電力が消耗したものとみなして、前記暗号化回路から前記記憶部へのデータの書込みを禁止する。これにより、前記記憶部に、無線通信回路に送信すべき暗号化されたデータが十分格納された場合に、前記無線通信回路は前記記憶部から前記暗号化されたデータを読み出して所定の宛先に送信できる。そのため、例えば、前記一次電池からの電力供給がON状態となった直後に前記無線通信回路による取得依頼を受けた場合のように、前記記憶部に、無線通信回路に送信すべき暗号化されたデータが十分格納されていない状態で、前記記憶部から前記暗号化されたデータが送信される非効率を簡易な構成で防止できる。
さらに好ましくは、前記記憶部制御部は、前記無線通信回路から前記記憶部に格納された前記暗号化されたデータの取得依頼を受けた場合、所定期間内に前記暗号化回路から前記記憶部への書き込みがあったか否かを判断し、前記暗号化回路から前記記憶部への書き込みが前記所定期間内にあったと判断した場合、前記暗号化回路から前記記憶部へのデータの書込みを許可し、前記無線通信回路から前記記憶部へのデータの書込みを禁止する状態を維持する。
本態様によると、前記記憶部制御部は、前記暗号化回路から前記記憶部への書き込みが前記所定期間内に存在する場合、前記一次電池の電力の寿命はまだあると判断して、前記暗号化回路から前記記憶部へのデータの書込みを許可し、前記無線通信回路から前記記憶部へのデータの書込みを禁止する状態を維持する。これにより、前記一次電池の電力の寿命はまだあると判断した場合には、前記無線通信回路から前記記憶部に格納された暗号化データの取得依頼を受けた場合であっても、前記記憶部に、無線通信回路に送信すべき暗号化されたデータを格納する処理を継続する。そのため、例えば、前記一次電池からの電力供給がON状態となった直後に前記無線通信回路による取得依頼を受けた場合のように、前記記憶部に、無線通信回路に送信すべき暗号化されたデータが十分格納されていない状態で、前記記憶部から前記暗号化されたデータが送信される非効率を簡易な構成で防止できる。
また、前記記憶部制御部は、前記無線通信回路から前記記憶部に格納された前記暗号化されたデータの取得依頼を受けた場合、前記暗号化回路が動作状態にあることを確認する所定の信号を前記暗号化回路に出力し、所定期間内に応答があったか否かを判断し、前記応答が前記所定期間内に無かったと判断した場合、前記暗号化回路から前記記憶部へのデータの書込みを禁止してもよい。
本態様によると、前記記憶部制御部は、前記暗号化回路からの応答が所定期間内に無かった場合、前記一次電池の電力が消耗したものとみなして、前記暗号化回路から前記記憶部へのデータの書込みを禁止する。これにより、前記記憶部に、無線通信回路に送信すべき暗号化されたデータが十分格納された場合に、前記無線通信回路は前記記憶部から前記暗号化されたデータを読み出して所定の宛先に送信できる。そのため、例えば、前記一次電池からの電力供給がON状態となった直後に前記無線通信回路による取得依頼を受けた場合のように、前記記憶部に、無線通信回路に送信すべき暗号化されたデータが十分格納されていない状態で、前記記憶部から前記暗号化されたデータが送信される非効率を簡易な構成で防止できる。
さらに好ましくは、前記記憶部制御部は、前記無線通信回路から前記記憶部に格納された前記暗号化されたデータの取得依頼を受けた場合、前記暗号化回路が動作状態にあることを確認する所定の信号を前記暗号化回路に出力し、所定期間内に応答があったか否かを判断し、前記応答が前記所定期間内にあったと判断した場合、前記暗号化回路から前記記憶部へのデータの書込みを許可し、前記無線通信回路から前記記憶部へのデータの書込みを禁止する状態を維持する。
本態様によると、前記記憶部制御部は、前記暗号化回路からの応答が前記所定期間内に存在した場合、前記一次電池の電力の寿命はまだあると判断して、前記暗号化回路から前記記憶部へのデータの書込みを許可し、前記無線通信回路から前記記憶部へのデータの書込みを禁止する状態を維持する。これにより、前記一次電池の電力の寿命はまだあると判断した場合には、前記無線通信回路から前記記憶部に格納された暗号化されたデータの取得依頼を受けた場合であっても、前記記憶部に、無線通信回路に送信すべき暗号化されたデータを格納する処理を継続する。そのため、例えば、前記一次電池からの電力供給がON状態となった直後に前記無線通信回路による取得依頼を受けた場合のように、前記記憶部に、無線通信回路に送信すべき暗号化されたデータが十分格納されていない状態で、前記記憶部から前記暗号化されたデータが送信される非効率を簡易な構成で防止できる。
また、前記記憶部制御部は、前記暗号化回路が前記一次電池から供給された電力で動作するとき、前記暗号化回路から前記記憶部へのデータの書込みを許可し、前記無線通信回路から前記記憶部へのデータの書込みを禁止し、前記暗号化回路は、前記データ暗号化装置のユーザの生体データを計測するセンサー回路であって、前記記憶部から前記暗号鍵を読み出して前記生体データを暗号化して前記記憶部に格納し、前記生体データを所定回数計測した場合、前記記憶部制御部に、前記生体データを前記所定回数計測した旨を通知し、前記記憶部制御部は、前記生体データを前記所定回数計測した旨の通知を受けると、前記暗号化回路から前記記憶部へのデータの書込みを禁止し、前記無線通信回路は、前記暗号化回路から前記記憶部へのデータの書込みが禁止された後、前記記憶部に格納された暗号化された生体データを所定の宛先に送信してもよい。
本態様によると、前記生体データを所定回数計測した旨の通知を前記記憶部制御部が前記暗号化回路から受けた場合、前記記憶部制御部は、前記暗号化回路から前記記憶部へのデータの書込みを禁止する。一方、前記無線通信回路は、前記暗号化回路が暗号化して前記記憶部に格納した暗号化されたデータを読み出して所定の宛先に送信する。これにより、前記無線通信回路による暗号化されたデータの送信中に前記暗号化回路による前記記憶部への書込みは行われないので、前記記憶部内に格納された暗号化されたデータの送信データ漏れを防止できる。
また、前記記憶部制御部は、前記暗号化回路が前記一次電池から供給された電力で動作するとき、前記暗号化回路から前記記憶部へのデータの書込みを許可し、前記無線通信回路から前記記憶部へのデータの書込みを禁止し、前記暗号化回路は、前記データ暗号化装置のユーザの生体データを計測するセンサー回路であって、前記記憶部から前記暗号鍵を読み出して前記生体データを暗号化して前記記憶部に格納し、前記記憶部制御部は、前記一次電池からの電力供給がON状態になってから所定時間が経過すると、前記暗号化回路から前記記憶部へのデータの書込みを禁止し、前記無線通信回路は、前記暗号化回路から前記記憶部へのデータの書込みが禁止された後、前記記憶部に格納された暗号化された生体データを所定の宛先に送信してもよい。
本態様によると、前記記憶部制御部は、所定時間が経過すると、前記暗号化回路から前記記憶部へのデータの書込みを禁止する。一方、前記無線通信回路は、前記暗号化回路が暗号化して前記記憶部に格納した暗号化されたデータを読み出して所定の宛先に送信する。これにより、前記無線通信回路による暗号化されたデータの送信中に前記暗号化回路による前記記憶部への書込みは行われないので、前記記憶部内に格納された暗号化されたデータの送信データ漏れを防止できる。
なお、本発明は、このような特徴的な処理部を備えるデータ暗号化装置として実現することができるだけでなく、データ暗号化装置に含まれる特徴的な処理部をステップとするデータ暗号化方法として実現したり、データ暗号化方法に含まれる特徴的なステップをコンピュータに実行させるプログラムとして実現したりすることもできる。そして、そのようなプログラムは、CD−ROM(Compact Disc-Read Only Memory)等の記録媒体やインターネット等の通信ネットワークを介して流通させることができるのは言うまでもない。
本発明のセンサータグによれば、ON・OFFを自由に切り替え可能なスイッチ機構が実装できない小型センサータグのような場合であっても、暗号鍵設定時に内蔵電池からの電力供給をOFFからONにする必要がないので、課題として述べた計測開始までの電池消耗課題は起こらないという効果がある。
図1は、本発明の実施の形態1および2に係るセンサータグシステムの構成を示すブロック図である。 図2は、本発明の実施の形態1および2に係るセンサータグシステムの使用態様を示す図である。 図3は、本発明の実施の形態1および2に係るセンサータグの構成を示すブロック図である。 図4は、本発明の実施の形態1および2に係るデータ通信回路の構成を示すブロック図である。 図5は、本発明の実施の形態1および2に係るセンサー回路の構成を示すブロック図である。 図6は、本発明の実施の形態1および2に係る暗号鍵書込み装置の構成を示すブロック図である。 図7は、本発明の実施の形態1および2に係る計測データ読取装置の構成を示すブロック図である。 図8は、本発明の実施の形態1および2に係るセンサータグの全体動作を示すフローチャートである。 図9は、本発明の実施の形態1および2に係る暗号鍵取得処理の詳細なフローチャートである。 図10は、本発明の実施の形態1および2に係る暗号鍵設定処理の詳細なフローチャートである。 図11は、本発明の実施の形態1に係る電力ON検知処理の詳細なフローチャートである。 図12は、本発明の実施の形態1に係るモード変更処理の詳細なフローチャートである。 図13は、本発明の実施の形態1に係るセンサー計測処理の詳細なフローチャートである。 図14は、本発明の実施の形態1に係る計測データ蓄積処理の詳細なフローチャートである。 図15は、本発明の実施の形態1および2に係る暗号化計測データ群の構成を示すブロック図である。 図16は、本発明の実施の形態1および2に係るデータ取得依頼処理の詳細なフローチャートである。 図17は、本発明の実施の形態1および2に係る計測停止処理の詳細なフローチャートである。 図18は、本発明の実施の形態1および2に係るデータ取得処理の詳細なフローチャートである。 図19は、本発明の実施の形態1および2に係るデータ出力処理の詳細なフローチャートである。 図20は、本発明の実施の形態1に係るメモリアクセス制御回路25が保持するメモリアクセス制御規則(モード)の遷移について説明するための図である。 図21は、本発明の実施の形態1の変形例1に係る計測停止処理の詳細なフローチャートである。 図22は、本発明の実施の形態1の変形例2に係る計測停止処理の詳細なフローチャートである。 図23は、本発明の実施の形態1の変形例3に係るセンサー計測処理の詳細なフローチャートである。 図24は、本発明の実施の形態2に係るセンサータグ2の全体動作を示すフローチャートである。 図25は、本発明の実施の形態2に係る電力ON検知処理の詳細なフローチャートである。 図26は、本発明の実施の形態2に係るモード変更処理の詳細なフローチャートである。 図27は、本発明の実施の形態2に係るセンサー計測処理の詳細なフローチャートである。 図28は、本発明の実施の形態2に係る計測データ蓄積処理の詳細なフローチャートである。
(実施の形態1)
以下、本発明の実施の形態1について、図面を参照しながら説明する。
<概要>
図1は、センサータグシステム1の構成を示すブロック図である。
センサータグシステム1は、センサータグ2、暗号鍵書込み装置11、計測データ読取装置13を含む。また、センサータグシステム1内で行われる処理としては、鍵設定処理3、計測処理4、計測データ読取処理5の3つの処理がある。
センサータグ2は、被計測者12の体温、脈拍、心拍数、心音などの生体情報を定期的に計測する。計測した生体情報は、センサータグ2の内部に予め設定された暗号鍵を用いて暗号化され、センサータグ2の内部に蓄積される。
暗号鍵書込み装置11は、暗号鍵が未設定のセンサータグ2に対して、暗号鍵を書き込むための装置である。
被計測者12は、センサータグ2に体温、脈拍、心拍数、心音などの生体情報を計測される人のことである。
計測データ読取装置13は、生体情報の計測が終わったセンサータグ2から、センサータグ2の内部に蓄積された暗号化計測データを読出すための装置である。さらに、計測データ読取装置13は、読み出した暗号化計測データを、復号鍵を用いて復号し、平文の計測データを算出する。
鍵設定処理3は、暗号鍵が未設定の状態であるセンサータグ2に対して、暗号鍵書込み装置11が暗号鍵を設定する処理である。
計測処理4は、図2に示すように被計測者12に貼り付けられた暗号鍵設定済みのセンサータグ2が、被計測者12の生体情報を計測して、暗号化した上で、内部に蓄積する処理である。
計測データ読取処理5は、計測データ読取装置13が、計測が終わったセンサータグ2から、暗号化計測データを読み取って復号を行い、平文の計測データを算出する処理である。
センサータグシステム1の具体的な適用例としては、以下のようなものが考えられる。暗号鍵書込み装置11、計測データ読取装置13は、病院が保持、管理しており、病院は、暗号鍵が未設定のセンサータグ2を、センサータグメーカーから買い入れる。病院は、暗号鍵書き込み装置11を用いて、買い入れた前記センサータグ2に暗号鍵を設定する。暗号鍵設定済みのセンサータグ2は、病院の患者である被計測者12に提供される。被計測者12は、病院の指示に従って、適切なタイミングで暗号鍵設定済みのセンサータグ2を自身の体に貼り付けて、生体情報の計測を行う。被計測者12は、計測が終わったセンサータグ2を、体から取り外して、病院に提出する。病院は、計測データ読取装置13を用いて、提出された計測済みセンサータグ2から暗号化計測データを読み取り、さらに、復号鍵を用いて暗号化計測データを復号して、平文の計測データを得る。病院は、得られた計測データを元に、患者である被計測者12の診断などを行う。
<構成>
次に、センサータグシステム1の構成について説明する。
1.センサータグ2
図3は、センサータグ2の構成を示すブロック図である。図3に示す通り、センサータグ2は、データ通信回路20、アンテナ21、センサー回路22、電源23、メモリ24、メモリアクセス制御回路25、メモリアクセス制御規則更新部26、絶縁体27、受信回路28、表示部29、起電力発生回路30を含む。
起電力発生回路30は、アンテナ21が受信する起動信号から起電力を発生する回路である。
データ通信回路20は、起電力発生回路30が発生した起電力で動作する回路であり、RFIDの通信回路である。データ通信回路20は、暗号鍵書込み装置11から送付される暗号鍵をメモリ24に設定する。また、データ通信回路20は、計測データ読取装置13の要求に応じて、メモリ24に蓄積されている暗号化計測データを読み出して計測データ読取装置13に送付する。データ通信回路20の内部構成については後で説明する。
アンテナ21は、暗号鍵書込み装置11や計測データ読取装置13からの信号を受信してデータ通信回路20に出力する。また、アンテナ21は、データ通信回路20から出力された信号を、所定周波数の電波、電磁波、又はマイクロ波などに乗せて、暗号鍵書込み装置11や計測データ読取装置13に送信する。
センサー回路22は、電源23から供給される電力により動作する回路であり、被計測者12から定期的に生体情報を計測して、メモリ24に記憶されている暗号鍵を用いて暗号化した上で、メモリ24に蓄積する処理を行う。センサー回路22の内部構成については、後で説明する。
電源23は、センサータグ2の内蔵の一次電池であり、センサー回路22などに電力を供給する。
メモリ24は、センサー回路22、データ通信回路20の両方の回路によって共有されている不揮発のデータ記憶素子であり、暗号鍵データや、暗号化計測データなどの各種データを記憶している。メモリ24は、センサー回路22からアクセスされる場合には、センサー回路22から(即ち、電源23から)電力の供給を受け、データ通信回路20からアクセスされる場合には、データ通信回路20から(即ち、起電力発生回路30から)電力の供給を受ける。
メモリアクセス制御回路25は、センサー回路22、データ通信回路20からメモリ24へのメモリアクセスを制御する。センサー回路22、データ通信回路20からメモリ24へのデータ書込み、データ読出し要求は、メモリアクセス制御回路25が受け付けて、内部に保持するメモリアクセス制御規則に基づいて、その可否を判断する。判断の結果、データ書込み、データ読出しを許可する場合には、要求に従って、メモリ24への所定のデータ書込み、メモリ24からの所定のデータ読出しを行う。メモリアクセス制御回路25は、センサー回路22からアクセスされる場合には、センサー回路22から(即ち、電源23から)電力の供給を受け、データ通信回路20からアクセスされる場合には、データ通信回路20から(即ち、起電力発生回路30から)電力の供給を受ける。
メモリアクセス制御規則更新部26は、センサー回路22が、初めて電源23から電力の供給を受け動作する時に、メモリアクセス制御回路25の内部に保持するメモリアクセス制御規則を更新する。メモリアクセス制御回路25は、それ以降は、更新されたメモリアクセス制御規則に基づいて、センサー回路22、データ通信回路20からのデータアクセスを制御する。メモリアクセス制御規則更新部26のひとつの実現例としては、センサー回路22が最初に動作したときに実行する初期化プログラムの一部として実装され、センサー回路22の初期化処理の一部として実行されることが考えられる。
絶縁体27は、センサータグ2の出荷時は、センサー回路22と電源23の電気的な接続を遮断する形で装着され、これにより、センサー回路22への電力供給は遮断されている。絶縁体27は、その一部分がセンサータグ2の外部に露出しているなど、外部から除去が可能な状態で装着されており、被計測者12は、絶縁体27を除去することで、電源23からセンサー回路22への電力供給を開始して、好きなときに生体情報の計測を開始することができる。なお、センサー回路22と電源23とは互いに接触する方向に付勢されており、絶縁体27は、電源23からの電力供給をOFF状態からON状態への一方向にのみ切替える。つまり、絶縁体27を一度除去すると、センサー回路22と電源23との間に絶縁体27を挿入することはできない。これにより、センサータグ2の構成を簡易にしつつ小型化を図ることができる。
受信回路28は、被計測者12の生体データを計測する外部の計測装置から、生体データを入力として受け付ける。受け付けられた生体データは、センサー回路22において暗号化が施された後、メモリ24に蓄積される。
表示部29は、メモリ24が暗号鍵を記憶していることを示す。表示部29は、例えば、LEDなどにより構成され、メモリアクセス制御回路25からの制御により、メモリ24に暗号鍵が記憶されているときに点灯し、暗号鍵が記憶されていないときに消灯する。これにより、ユーザが誤って暗号鍵が未設定のセンサータグ2を使用して計測を開始してしまうことが防止できる。よって、計測データの秘匿性を保障できる。
1.1.データ通信回路20
図4は、データ通信回路20の構成を示すブロック図である。図4に示す通り、データ通信回路20は、データ通信部200、認証部201、暗号鍵書込み部202、ID書込み部203、計測データ読取部204を含む。
データ通信部200は、アンテナ21が、暗号鍵書込み装置11、計測データ読取装置13から受信して、出力するデータを受け取って、データ通信回路20内の適切な処理部に出力する。また、データ通信部200は、データ通信回路20内の他の処理部から出力されるデータを受け取って、アンテナ21を介して暗号鍵書込み装置11、計測データ読取装置13に送信する。
認証部201は、内部に保管する認証検証用データを用いて、データ通信回路20とデータ送受信を行おうとしている暗号鍵書込み装置11、計測データ読取装置13の正当性を認証する。
暗号鍵書込み部202は、暗号鍵書込み装置11から送付される暗号鍵データを、メモリアクセス制御回路25を介してメモリ24に書き込む。
ID書込み部203は、暗号鍵書込み装置11から送付されるIDデータを、メモリアクセス制御回路25を介してメモリ24に書き込む。
計測データ読取部204は、計測データ読取装置13からの要求に応じて、メモリアクセス制御回路25を介してメモリ24から暗号化計測データを読み出して、計測データ読取装置13に送付する。
1.2.センサー回路22
図5は、センサー回路22の構成を示すブロック図である。図5に示す通り、センサー回路22は、生体データ計測部220、タイマー部221、暗号鍵読取部222、データ暗号化部223、計測データ書込み部224、電源状態検知部225を含む。
生体データ計測部220は、タイマー部221のカウント値に基づいて、所定間隔で被計測者から生体情報を計測して計測データとし、タイマーデータ(カウント値)とともに、データ暗号化部223に出力する。
タイマー部221は、一定間隔ごとにカウント値をインクリメント(1加える)し、カウント値が所定の値になるたびに、所定の値に到達したことをカウント値とともに生体データ計測部220に通知する。
暗号鍵読取部222は、データ暗号化部223の要求に応じて、メモリアクセス制御回路25を介して、メモリ24から暗号鍵を読み出して、データ暗号化部223に出力する。
データ暗号化部223は、生体データ計測部220から計測データを受け付けると、暗号鍵読取部222に暗号鍵取得を指示して暗号鍵を受け取る。そして、暗号鍵読取部222から受け取った暗号鍵で生体データ計測部220から受け取った計測データを暗号化して暗号化計測データとし、計測データ書込み部224に出力する。
計測データ書込み部224は、データ暗号化部223から受け付けた暗号化計測データを、メモリアクセス制御回路25を介して、メモリ24に書き込む。
電源状態検知部225は、電源23の状態、つまり、電源23からの電力供給がON状態にあるか否かを検知する。
2.暗号鍵書込み装置11
図6は、暗号鍵書込み装置11の構成を示すブロック図である。図6に示す通り、暗号鍵書込み装置11は、データ通信部110、暗号鍵記憶部111、暗号鍵送付部112、ID受付部113、ID送付部114、認証部115を含む。
データ通信部110は、センサータグ2とのデータ送受信を行う。
暗号鍵記憶部111は、暗号鍵書込み装置11の管理者が設定した暗号鍵を保管している。
暗号鍵送付部112は、暗号鍵記憶部111に保管する暗号鍵を読み出して、データ通信部110を介して、センサータグ2に送付する。
ID受付部113は、暗号鍵書込み装置11外部からのIDデータ入力を受け付けて、受け付けたIDデータをID送付部114に出力する。
ID送付部114は、ID受付部113から出力されたIDデータを、データ通信部110を介して、センサータグ2に送付する。
認証部115は、内部に保管する認証用データを用いて、センサータグ2に対して暗号鍵書込み装置11の正当性を証明するための認証処理を行う。
3.計測データ読取装置13
図7は、計測データ読取装置13の構成を示すブロック図である。図7に示す通り、計測データ読取装置13は、データ通信部130、認証部131、復号鍵保管部135、計測データ読取部132、データ復号部133、計測データ蓄積部134を含む。
データ通信部130は、センサータグ2とのデータ送受信を行う。
認証部131は、内部に保管する認証用データを用いて、センサータグ2に対して計測データ読取装置13の正当性を証明するための認証処理を行う。
復号鍵保管部135は、計測データ読取装置13の管理者が設定した復号鍵を保管している。
計測データ読取部132は、データ通信部130を介して、センサータグ2から、暗号化計測データを受け取って、データ復号部133に出力する。
データ復号部133は、復号鍵保管部135から読み出した復号鍵を用いて、計測データ読取部132から受け取った暗号化計測データを復号して、平文の計測データを算出する。データ復号部133は、算出した平文の計測データを、計測データ蓄積部134に出力する。
計測データ蓄積部134は、データ復号部133から受け取った平文の計測データを、保管する。
<動作>
以下、センサータグ2が行う処理について図面を参照しながら説明する。
図8は、センサータグ2の全体動作を示すフローチャートである。同図では、センサー回路22と、メモリアクセス制御回路25と、データ通信回路20との間での処理の流れを示している。
センサータグ2が行なう処理は、大きく分けて、鍵設定処理3、計測処理4、計測データ読取処理5の3つに分類される。
まず、鍵設定処理3が行なわれる。つまり、暗号鍵書込み装置11のデータ通信部110は、センサータグ2のアンテナ21に起動信号を送信する。アンテナ21は、受信した前記起動信号を起電力発生回路30に出力し、起電力発生回路30は、起動信号から起電力を発生して、データ通信回路20を含むセンサータグ2内の各回路を動作させる(S2)。以下、データ通信回路20は、暗号鍵書込み装置11のデータ通信部110から適宜受信した起動信号により発生する起電力で動作しながら処理を行う。
データ通信回路20は、暗号鍵書込み装置11より、暗号鍵を取得する(S4)。
メモリアクセス制御回路25は、取得した暗号鍵をメモリ24に設定する(S6)。
ここまでの処理で、メモリ24に暗号鍵が設定されることとなる。なお、S4およびS6の処理については後に詳述する。
その後、絶縁体27がセンサータグ2より除去されると、計測処理4が開始される。つまり、電源23がON状態に切替えられ、電源状態検知部225が電源23のON状態を検知する(S8)。電源23のON状態が検知されると、メモリアクセス制御回路25は、メモリアクセス制御規則(モード)を変更する(S10)。つまり、データ通信回路20からのメモリ24への暗号鍵書込みとID書込みを禁止する。このモード変更により、これ以降は、暗号鍵を更新することが不可能となる(S16、S18、S20)。よって、計測データが暗号化されるときに、誤って暗号鍵が書き換えられるのを防止できる。
電源23がON状態になると、センサー回路22は、被計測者12の生体情報を計測し、計測データをメモリアクセス制御回路25に出力する(S12)。メモリアクセス制御回路25は、出力された計測データをメモリ24に蓄積する(S14)。以降、S12およびS14の処理が繰り返し実行される。なお、S8〜S14の処理については後に詳述する。
次に、計測データ読取処理5が行なわれる。つまり、計測データ読取装置13のデータ通信部130は、センサータグ2のアンテナ21に起動信号を送信する。アンテナ21は、受信した前記起動信号を起電力発生回路30に出力し、起電力発生回路30は、起動信号から起電力を発生して、データ通信回路20を含むセンサータグ2内の各回路を動作する(S22)。以下、データ通信回路20は、計測データ読取装置13のデータ通信部130から適宜受信した起動信号により発生する起電力で動作しながら処理を行う。
データ通信回路20は、計測データ読取装置13からの計測データ取得依頼に基づいて、メモリアクセス制御回路25へ計測データ取得依頼信号を出力する(S24)。メモリアクセス制御回路25は、計測データ取得依頼信号に応答して、センサー回路22による生体情報の計測を停止させる(S26)。その後、メモリアクセス制御回路25は、メモリ24に蓄積された計測データを読み出し、データ通信回路20に出力する(S28)。データ通信回路20は、メモリアクセス制御回路25より計測データを受け取り、計測データ読取装置13に出力する(S30)。なお、S24〜S30の処理については後に詳述する。
1.鍵設定処理3(S4、S6)
次に、鍵設定処理3の詳細について説明する。鍵設定処理3は、図1の左側に示すとおり、暗号鍵書込み装置11が、暗号鍵が未設定のセンサータグ2に、暗号鍵を設定する処理である。典型的には、暗号鍵書込み装置11は、病院が保持・管理し、鍵設定処理3は、病院が暗号鍵未設定のセンサータグ2を買い入れたときに行われる。
[データ設定など]
図6の暗号鍵書込み装置11において、暗号鍵記憶部111には、当該暗号鍵書込み装置11の管理者が予め設定した暗号鍵が、保管されている。認証部115には、所定桁数のパスワードデータが格納されている。また、センサータグ2のデータ通信回路20内部にある認証部201には、前記パスワードデータに対してハッシュ関数を計算した結果であるハッシュ値が、認証検証用データとして保管されている。
センサータグ2のメモリアクセス制御回路25には、以下のメモリアクセスだけを許可し、それ以外のメモリアクセスは拒否するようなメモリアクセス制御規則が設定されている。
(1)データ通信回路20からの暗号鍵書込み
(2)データ通信回路20からのID書込み
(3)データ通信回路20からの暗号化計測データ読出し
(4)センサー回路22からの暗号鍵読出し
(5)センサー回路22からの暗号化計測データ書込み
鍵設定処理3を行う時点では、図3に示すセンサータグ2は、絶縁体27が装着された状態なので、センサー回路22は、電源23からの電力供給を受けておらず、動作していない。
[暗号鍵取得処理(S4)]
図9は、暗号鍵取得処理(S4)の詳細なフローチャートである。
暗号鍵書込み装置11の認証部115は、保管している認証データであるパスワードデータを、データ通信部110を介してセンサータグ2に送付する。センサータグ2のアンテナ21は、前記認証データを受信し、データ通信回路20のデータ通信部200を介して、認証部201に転送する。認証部201は、受け取った認証データに対してハッシュ関数を計算した結果であるハッシュ値を計算する。認証部201は、計算したハッシュ値と、内部に保管している認証検証用データとの比較を行い、両者が一致すれば、暗号鍵書込み装置11を正当なものとし、以降の鍵設定処理を行うことを認める。一致しなければ、暗号鍵書込み装置11が正当ではないものとし、以降の鍵設定処理を中止する(S402)。
暗号鍵書込み装置11の操作者は、センサータグ2に設定したいIDを、暗号鍵書込み装置11に入力する。入力されたIDは、ID受付部113にて受け付けられ、ID送付部114を介してデータ通信部110に転送される。それと同時に、暗号鍵送付部112は、暗号鍵記憶部111に保管されている暗号鍵を読出し、データ通信部110に転送する。データ通信部110は、前記のIDと暗号鍵を、センサータグ2に送信する。センサータグ2のアンテナ21は、暗号鍵書込み装置11から送信されたIDと暗号鍵を受信する。アンテナ21は、受信したIDと暗号鍵を、データ通信回路20のデータ通信部200に転送する。データ通信部200は、前記IDをID書込み部203に転送し、前記暗号鍵を暗号鍵書込み部202に、ぞれぞれ、転送する(S404)。
ID書込み部203は、受け取った前記IDを、メモリアクセス制御回路25に転送する(S406)。
暗号鍵書込み部202は、受け取った前記暗号鍵を、メモリアクセス制御回路25に転送する(S408)。
[暗号鍵設定処理(S6)]
次に、暗号鍵設定処理(S6)について説明する。
図10は、暗号鍵設定処理(S6)の詳細なフローチャートである。
メモリアクセス制御回路25は、ID書込み部203よりIDを受け取り、暗号鍵書込み部202より暗号鍵を受け取る(S602)。
メモリアクセス制御回路25は、内部に設定されているメモリアクセス制御規則をチェックして、データ通信回路20からのID書込みおよびデータ通信回路20からの暗号鍵書込みが許可されていることを確認して(S604でYes)メモリ24のID記憶領域にIDを書き込み、メモリ24の暗号鍵記憶領域に暗号鍵を書き込む(S606)。
以上の一連の処理(S4、S6)により、鍵設定処理3が完了する。
2.計測処理4(S8〜S14)
次に、計測処理4の詳細について説明する。計測処理4は、図1の中程に示すとおり、暗号鍵設定済みのセンサータグ2が、被計測者12の生体情報を定期的に計測する処理である。典型的には、病院から暗号鍵設定済みのセンサータグ2を提供された患者である被計測者12が、自宅などで、センサータグ2を体に装着して生体情報の計測を行うときに行われる。
[電源ON検知処理(S8)]
図11は、電源ON検知処理(S8)の詳細なフローチャートである。
電源状態検知部225は、電源23からの電力供給の状態を確認する(S802)。被計測者12は、計測を開始時に、センサータグ2から絶縁体27を除去する。これにより、センサー回路22に電源23から電力が供給されるようになり、センサー回路22が動作を開始する。以下、センサー回路22は、電源23から供給される電力で動作しながら処理を行う。
電源23からの電力供給がOFF状態からON状態に変更されたことを確認すると(S804でYes)、電源状態検知部225は、メモリアクセス制御回路25に対し、データ通信回路20からのメモリ24への暗号鍵書込みとID書込みを禁止させることを指示する暗号鍵書込不可信号を出力する(S806)。
[モード変更処理(S10)]
図12は、モード変更処理(S10)の詳細なフローチャートである。
メモリアクセス制御回路25は、センサー回路22からデータを受信する(S1002)。メモリアクセス制御回路25が受信したデータが暗号鍵書込不可信号である場合には(S1004でYes)、メモリアクセス制御規則更新部26は、データ通信回路20からのメモリ24への暗号鍵書込みとID書込みを禁止するように、メモリアクセス制御規則(モード)を変更する(S1006)。つまり、メモリアクセス制御規則更新部26は、メモリアクセス制御回路25の内部に設定されているメモリアクセス制御規則を以下のメモリアクセスだけを許可し、それ以外のメモリアクセスは拒否するように更新する。
(3)データ通信回路20からの暗号化計測データ読出し
(4)センサー回路22からの暗号鍵読出し
(5)センサー回路22からの暗号化計測データ書込み
上述したように、このメモリアクセス制御規則の更新により、これ以降は、暗号鍵を更新することが不可能となる(図8のS16、S18、S20)。
[センサー計測処理(S12)]
図13は、センサー計測処理(S12)の詳細なフローチャートである。
生体データ計測部220は、被計測者12から生体情報を計測する。計測した生体情報(以下、「計測データ」と呼ぶ)に、タイマー部221から転送されたカウント値を付加したものを、データ暗号化部223に転送する(S1202)。
暗号鍵読取部222は、メモリアクセス制御回路25に、暗号鍵を要求する(S1204)。
暗号鍵読取部222が、メモリアクセス制御回路25より暗号鍵を取得した場合には(S1206でYes)、データ暗号化部223は、暗号鍵読取部222から暗号鍵を受け取り、その暗号鍵を用いて、生体データ計測部220から受け取った計測データを暗号化して、暗号化計測データを生成する(S1208)。なお、ここでは、カウント値は、暗号化しないものとするが、暗号化してもよい。
データ暗号化部223は、暗号化計測データに、生体データ計測部220から受け取ったカウント値を付加して、計測データ書込み部224に転送する。計測データ書込み部224は、データ暗号化部223から受け取った暗号化計測データとカウント値を、メモリアクセス制御回路25に転送して、メモリ24への書込み要求を行う(S1210)。
暗号鍵読取部222が、メモリアクセス制御回路25より暗号鍵を取得していない場合には(S1206でNo)、データ暗号化部223は、計測データを暗号化することなく、計測データに、生体データ計測部220から受け取ったカウント値を付加して、計測データ書込み部224に転送する。計測データ書込み部224は、データ暗号化部223から受け取った暗号化されていない計測データとカウント値を、メモリアクセス制御回路25に転送して、メモリ24への書込み要求を行う(S1210)。
[計測データ蓄積処理(S14)]
図14は、計測データ蓄積処理(S14)の詳細なフローチャートである。
メモリアクセス制御回路25は、センサー回路22より暗号鍵の要求を受け取る(S1402)。メモリアクセス制御回路25は、内部に保持するメモリアクセス制御規則をチェックして、センサー回路22からの暗号鍵読出しが許可されていることを確認する。メモリアクセス制御回路25は、前記のことが確認できれば、メモリ24に暗号鍵が設定されているか否かを確認する(S1404)。
暗号鍵が設定されていれば(S1404でYes)、メモリアクセス制御回路25は、メモリ24の暗号鍵記憶領域から暗号鍵を読み出して、センサー回路22の暗号鍵読取部222に転送する(S1406)。
メモリアクセス制御回路25は、センサー回路22の計測データ書込み部224から暗号化計測データとカウント値とを受信するまで待機する(S1408)。暗号化計測データとカウント値とを受信すると(S1408でYes)、メモリアクセス制御回路25は、内部に保持するメモリアクセス制御規則をチェックして、センサー回路22からの暗号化計測データ書込みが許可されていることを確認する。メモリアクセス制御回路25は、前記のことが確認できれば、センサー回路22の計測データ書込み部224から受け取った暗号化計測データとカウント値とを、メモリ24の暗号化計測データ記憶領域に書き込む(S1410)。なお、メモリ24に暗号鍵が設定されていない場合には(S1404でNo)、暗号化されていない計測データに対して同様の処理(S1408、S1410)が実行される。
以上の一連の計測処理4(S12、S14)が繰り返し実行される。
[計測処理4終了後のメモリ24内のデータ]
計測処理4では、定期的に被計測者12の生体情報が計測されて、逐次、メモリ24に追記される。計測処理4が終了後には、メモリ24には、暗号鍵以外に、図15に示すような暗号化計測データ群6が記憶されている。暗号化計測データ群6は、1個のID60と、1組以上のタイマーデータ(タイマーデータ610、620、630、・・・)と暗号化計測データ(暗号化計測データ611、621、631、・・・)からなるデータ組(データ組61、62、63、・・・)とからなる。ID60は、鍵設定処理3で、暗号鍵とともにセンサータグ2に設定されたIDである。タイマーデータと暗号化計測データは、計測処理4において、計測データ蓄積処理が実行される度に1組ずつ追記されていく。
3.計測データ読取処理5(S24〜S30)
次に、計測データ読取処理5の詳細について説明する。計測データ読取処理5は、図1の右側に示すとおり、計測データ読取装置13が、計測処理済みのセンサータグ2から、暗号化計測データを読み出す処理である。典型的な例として、病院において、計測データ読取装置13を用いて、患者である被計測者12から提出された計測処理済みのセンサータグ2から暗号化計測データを読み出すときに行われる。
[データ設定など]
図7の計測データ読取装置13において、復号鍵保管部135には、当該計測データ読取装置13の管理者が予め設定した復号鍵が、保管されている。復号鍵は、暗号鍵書込み装置11の暗号鍵記憶部111に記憶されている暗号鍵と対をなすものである。即ち、あるデータを暗号鍵で暗号化した暗号化データを復号鍵で復号すると、元のデータが得られるようになっている。認証部131には、暗号鍵書込み装置11の認証部115に保管されているものと同じパスワードデータが格納されている。
また、センサータグ2のメモリ24には、先ほど説明したとおり、図15に示すような暗号化計測データ群6が、記憶されている。
[データ取得依頼処理(S24)]
図16は、データ取得依頼処理(S24)の詳細なフローチャートである。
計測データ読取装置13の認証部131は、保管している認証データであるパスワードデータを、データ通信部130を介してセンサータグ2に送付する。センサータグ2のアンテナ21は、前記認証データを受信し、データ通信回路20のデータ通信部200を介して、認証部201に転送する。認証部201は、受け取った認証データに対してハッシュ関数を計算した結果であるハッシュ値を計算する。認証部201は、計算したハッシュ値が、内部に保管している認証検証用データと比較を行い、一致すれば、計測データ読取装置13を正当なものとし、以降の計測データ読取処理を行うことを認める。一致しなければ、計測データ読取装置13が正当ではないものとし、以降の計測データ読取処理を中止する(S2402)。
計測データ読取部132は、計測データ取得依頼信号を、データ通信部130を介して、センサータグ2に送信する。センサータグ2のアンテナ21は、計測データ読取装置13から送信された計測データ取得依頼信号を受信する。アンテナ21は、受信した計測データ取得依頼信号を、データ通信回路20のデータ通信部200に転送する。さらに、データ通信部200は、計測データ取得依頼信号を計測データ読取部204に転送する(S2404)。そして、計測データ読取部204は、計測データ取得依頼信号を、メモリアクセス制御回路25に送信する(S2406)。
[計測停止処理(S26)]
図17は、計測停止処理(S26)の詳細なフローチャートである。
メモリアクセス制御回路25は、データ通信回路20の計測データ読取部204より、計測データ取得依頼信号を受け取ると(S2602)、計測停止信号をセンサー回路22に出力する(S2604)。それとともに、メモリアクセス制御規則更新部26は、センサー回路22からメモリ24への暗号化計測データの書込みを禁止するように、メモリアクセス制御回路25の内部に設定されているメモリアクセス制御規則(モード)を変更する。これにより、データ通信回路20による暗号化計測データの送信中にセンサー回路22によるメモリ24への暗号化計測データの書込みは行われないので、メモリ24内に格納された暗号化された暗号化計測データの送信漏れを防止できる。
計測停止信号を受け取ったセンサー回路22は、それ以降の生体情報の計測を停止させる。なお、センサー回路22が計測を停止するのではなく、メモリアクセス制御回路25が、暗号化計測データをメモリ24に格納しないようにしても良い。
[データ取得処理(S28)]
図18は、データ取得処理(S28)の詳細なフローチャートである。
メモリアクセス制御回路25は、内部に設定されているメモリアクセス制御規則をチェックして、データ通信回路20からの暗号化計測データ読出しが許可されていることを確認する。メモリアクセス制御回路25は、前記の確認ができれば、メモリ24から暗号化計測データ群6を読出して(S2802)、計測データ読取部204に転送する(S2804)。
[データ出力処理(S30)]
図19は、データ出力処理(S30)の詳細なフローチャートである。
計測データ読取部204は、メモリアクセス制御回路25より転送された暗号化計測データ群6を受け取る(S3002)。計測データ読取部204は、受け取った暗号化計測データ群6を、データ通信部200、アンテナ21を経て計測データ読取装置13に送信する(S3004)。
暗号化計測データ群6は、計測データ読取装置13のデータ通信部130、計測データ読取部132を経て、データ復号部133に転送される。データ復号部133は、復号鍵保管部135から読み出した復号鍵を用いて、受け取った暗号化計測データ群6の暗号化計測データ611、621、631を復号し、それらの平文計測データを得る。そして、暗号化計測データ群6の暗号化計測データ611、621、631を、それぞれ前記の平文計測データに置き換えたものを、計測データ群として、計測データ蓄積部134に転送する。
計測データ蓄積部134は、受け取った平文の計測データ群を保管する。
以上の一連の処理(S24〜S30)により、計測データ読取処理5が完了する。
計測データ蓄積部134には、1個のIDと、1組以上のタイマーデータおよび平文の計測データの組とからなる、計測データ群が保管されている。設定するIDは、暗号鍵書込み装置11、計測データ読取装置13を管理する管理者の運用形態に応じて決めればよい。例えば、センサータグを識別するために、センサータグIDとしても良いし、センサータグを渡す患者(被計測者)を識別する被計測者IDとしても良い。前者の運用の場合、設定するIDはセンサータグごとに異なるが、後者の運用の場合には、ある患者に渡すセンサータグには全て同一のID(患者ID)が設定される。各計測データと対となっているタイマーデータは、その計測データが計測された時間情報として使用される。
計測データ蓄積部134に保管されている計測データ群は、必要に応じて、読み出されて、患者である被計測者12の健康管理や健康診断などに利用される。
図20は、メモリアクセス制御回路25が保持するメモリアクセス制御規則(モード)の遷移について説明するための図である。
初期状態(S4001)では、電源23からの電力供給はOFF状態であり、計測は行なわれていない。また、メモリ24にも暗号鍵が設定されておらず、メモリアクセス制御規則では、データ通信回路20からの暗号鍵書込みが許可されている。
この状態で、絶縁体27がセンサータグ2より除去されると(S4002)、上述のモード変更処理(S10)が実行され、次の状態(S4003)に移行する。状態(S4003)では、電源23からの電力供給がON状態となるが、計測は行なわれていない状態となる。また、依然としてメモリ24には暗号鍵が設定されていない。さらに、メモリアクセス制御規則では、データ通信回路20からの暗号鍵書込みが禁止される。
この状態で、センサー計測処理(S12)および計測データ蓄積処理(S14)が開始されると、暗号化処理が施されない計測データが蓄積される状態(S4004)に移行し、計測処理が終了するまでその状態が維持される。計測処理が終了すると(S4005でYes)、計測停止処理(S26)が実行された後、生体情報の計測が停止した状態(S4007)に移行する。その後、取得処理(S24)が実行され、一連の処理が終了する。
また、初期状態(S4001)において、暗号鍵設定処理(S6)が実行されると、暗号鍵が設定済みの状態(S4008)に移行する。
この状態で、絶縁体27がセンサータグ2より除去されると(S4002)、上述のモード変更処理(S10)が実行され、次の状態(S4003)に移行する。状態(S4003)では、電源23からの電力供給がON状態となるが、計測は行なわれていない状態となる。また、依然としてメモリ24には暗号鍵が設定されていない。さらに、メモリアクセス制御規則では、データ通信回路20からの暗号鍵書込みが禁止される。
この状態で、センサー計測処理(S12)および計測データ蓄積処理(S14)が開始されると、暗号化処理が施された計測データが蓄積される状態(S4009)に移行し、計測処理が終了するまでその状態が維持される。計測処理が終了すると(S4011でYes)、計測停止処理(S26)が実行された後、生体情報の計測が停止した状態(S4007)に移行する。その後、取得処理(S24)が実行され、一連の処理が終了する。
<まとめ>
以上のように、本実施の形態のセンサータグ2では、暗号鍵の設定処理を行うデータ通信回路は、暗号鍵書込み装置11から受信する起動信号から生起される電力によって動作するので、暗号鍵設定時に、絶縁体27を除去して、内蔵の電源23から電力供給を受ける必要がない。このために、電源23からの電力供給のON、OFFを自由に切り替え可能なスイッチ機構が実装できない小型センサータグのような場合であっても、暗号鍵設定時に、内蔵電池からの電力供給をOFFからONにする必要がないので、課題として述べた、計測開始までの電池消耗課題は起こらない。
また、無線で暗号鍵を受信できるため、滅菌処理されたパッケージを破ることなくセンサータグ2に暗号鍵を設定することができる。よって、センサータグ2が使用される直前まで衛生的な状態を保つことができる。
また、一旦、電源23からセンサー回路22へ電力が供給されると、メモリアクセス制御規則更新部26は、暗号鍵の書き込みができなくなるように、メモリアクセス制御回路25のメモリアクセス制御規則を更新する。これにより、電源23からセンサー回路22へ電力が供給され、計測が開始された後に、誤って暗号鍵を書き換えてしまうような誤操作が防止できる。
(実施の形態1の変形例1)
実施の形態1の図17に示した計測停止処理(S26)の代わりに、以下に説明する計測停止処理(S26)を実行するようにしてもよい。
図21は、実施の形態1の変形例1に係る計測停止処理(S26)の詳細なフローチャートである。
メモリアクセス制御回路25は、データ通信回路20の計測データ読取部204より、計測データ取得依頼信号を受け取ると(S2602)、現在を基準として過去の所定期間内にセンサー回路22からメモリ24への暗号化計測データの書込み処理があったかどうかを判断する(S2612)。
所定期間内にセンサー回路22からメモリ24への暗号化計測データの書込み処理があったと判断した場合には(S2612でYes)、メモリアクセス制御規則更新部26は、センサー回路22からメモリ24への暗号化計測データの書込みを許可するように、メモリアクセス制御回路25の内部に設定されているメモリアクセス制御規則(モード)を変更する(S2614)。
所定期間内にセンサー回路22からメモリ24への暗号化計測データの書込み処理がなかったと判断した場合には(S2612でNo)、メモリアクセス制御規則更新部26は、センサー回路22からメモリ24への暗号化計測データの書込みを禁止するように、メモリアクセス制御回路25の内部に設定されているメモリアクセス制御規則(モード)を変更する(S2616)。
S2616の処理の後、メモリアクセス制御回路25は、計測停止信号をセンサー回路22に出力する(S2604)。
以上説明したように、本変形例によると、メモリアクセス制御回路25は、センサー回路22からメモリ24への書き込みが所定期間無かった場合、電源23の電力が消耗したものとみなして、センサー回路22からメモリ24へのデータの書込みを禁止する。これにより、メモリ24に、データ通信回路20に送信すべき暗号化計測データが十分格納された場合に、データ通信回路20はメモリ24から暗号化計測データを読み出して所定の宛先に送信できる。そのため、例えば、電源23からの電力供給がON状態となった直後にデータ通信回路20による取得依頼を受けた場合のように、メモリ24に、データ通信回路20に送信すべき暗号化計測データが十分格納されていない状態で、メモリ24から暗号化計測データが送信される非効率を簡易な構成で防止できる。
また、メモリアクセス制御回路25は、暗号化回路からメモリ24への書き込みが所定期間内に存在する場合、電源23の電力の寿命はまだあると判断して、センサー回路22からメモリ24へのデータの書込みを許可し、データ通信回路20からメモリ24へのデータの書込みを禁止する状態を維持する。これにより、電源23の電力の寿命はまだあると判断した場合には、データ通信回路20からメモリ24に格納された暗号化計測データの取得依頼を受けた場合であっても、メモリ24に、データ通信回路20に送信すべき暗号化計測データを格納する処理を継続する。そのため、例えば、電源23からの電力供給がON状態となった直後にデータ通信回路20による取得依頼を受けた場合のように、メモリ24に、データ通信回路20に送信すべき暗号化計測データが十分格納されていない状態で、メモリ24から暗号化計測データが送信される非効率を簡易な構成で防止できる。
(実施の形態1の変形例2)
実施の形態1の図17に示した計測停止処理(S26)の代わりに、以下に説明する計測停止処理(S26)を実行するようにしてもよい。
図22は、実施の形態1の変形例2に係る計測停止処理(S26)の詳細なフローチャートである。
メモリアクセス制御回路25は、データ通信回路20の計測データ読取部204より、計測データ取得依頼信号を受け取ると(S2602)、センサー回路22が動作状態にあることを確認するための動作確認信号をセンサー回路22に出力する(S2622)。動作状態にあるセンサー回路22は、動作確認信号を受け取ると、応答信号をメモリアクセス制御回路25に出力するものとする。
メモリアクセス制御回路25は、所定期間内に、センサー回路22から応答信号を受信したか否かを判断する(S2624)。
動作確認信号を受信した場合には(S2624でYes)、メモリアクセス制御規則更新部26は、センサー回路22からメモリ24への暗号化計測データの書込みを許可するように、メモリアクセス制御回路25の内部に設定されているメモリアクセス制御規則(モード)を変更する(S2614)。
動作確認信号を受信しなかった場合には(S2624でNo)、メモリアクセス制御規則更新部26は、センサー回路22からメモリ24への暗号化計測データの書込みを禁止するように、メモリアクセス制御回路25の内部に設定されているメモリアクセス制御規則(モード)を変更する(S2616)。
S2616の処理の後、メモリアクセス制御回路25は、計測停止信号をセンサー回路22に出力する(S2604)。
以上説明したように、本変形例によると、メモリアクセス制御回路25は、センサー回路22からの応答が所定期間内に無かった場合、電源23の電力が消耗したものとみなして、センサー回路22からメモリ24へのデータの書込みを禁止する。これにより、メモリ24に、データ通信回路20に送信すべき暗号化計測データが十分格納された場合に、データ通信回路20はメモリ24から暗号化計測データを読み出して所定の宛先に送信できる。そのため、例えば、電源23からの電力供給がON状態となった直後にデータ通信回路20による取得依頼を受けた場合のように、メモリ24に、データ通信回路20に送信すべき暗号化計測データが十分格納されていない状態で、メモリ24から暗号化計測データが送信される非効率を簡易な構成で防止できる。
また、メモリアクセス制御回路25は、センサー回路22からの応答が所定期間内にあった場合、電源23の電力の寿命はまだあると判断して、センサー回路22からメモリ24へのデータの書込みを許可し、データ通信回路20からメモリ24へのデータの書込みを禁止する状態を維持する。これにより、電源23の電力の寿命はまだあると判断した場合には、データ通信回路20から、メモリ24に格納された暗号化計測データの取得依頼を受けた場合であっても、メモリ24に、データ通信回路20に送信すべき暗号化計測データを格納する処理を継続する。そのため、例えば、電源23からの電力供給がON状態となった直後にデータ通信回路20による取得依頼を受けた場合のように、メモリ24に、データ通信回路20に送信すべき暗号化計測データが十分格納されていない状態で、メモリ24から暗号化計測データが送信される非効率を簡易な構成で防止できる。
(実施の形態1の変形例3)
実施の形態1の図13に示したセンサー計測処理(S12)では、暗号鍵読取部222が暗号鍵を取得できなかった場合には(図13のS1206)、センサー回路22は、計測データを暗号化することなくメモリアクセス制御回路25に転送していた。
これに対して、暗号鍵読取部222が暗号鍵を取得できなかった場合には、センサー回路22は、計測データを破棄してメモリアクセス制御回路25に転送しないようにしても良い。
図23は、実施の形態1の変形例3に係るセンサー計測処理(S12)の詳細なフローチャートである。各処理は、図7に示したものと同様であるが、上述したように、暗号鍵読取部222が暗号鍵を取得できなかった場合には(S1208でNo)、センサー回路22は、何も処理を実行しない。これにより、計測データが破棄され、メモリアクセス制御回路25に送信されることがなくなる。
本変形例によると、メモリ24に暗号化されていない計測データが蓄積されることがない。このため、計測データの秘匿性を保障できる。
(実施の形態2)
次に、本発明の実施の形態2について、図面を参照しながら説明する。実施の形態1では、センサー回路22による生体情報の計測は、計測データ読取装置13からセンサータグ2に対して計測データ取得依頼が行なわれた時点で終了する。これに対して、実施の形態2では、センサー回路22により、所定回数または所定時間、生体情報の計測が行なわれた時点で、センサー回路22による生体情報の計測が終了する。
センサータグシステム1と、センサータグシステム1を構成するセンサータグ2、暗号鍵書込み装置11および計測データ読取装置13との構成は、実施の形態1に示したものと同様である。このため、その詳細な説明はここでは繰り返さない。
実施の形態2では、センサー回路22が実行する計測処理4が、実施の形態1と一部異なる。以下、異なる点を中心に説明を行なう。
<動作>
以下、センサータグ2が行う処理について図面を参照しながら説明する。
図24は、センサータグ2の全体動作を示すフローチャートである。同図では、図8と同様に、センサー回路22と、メモリアクセス制御回路25と、データ通信回路20との間での処理の流れを示している。
鍵設定処理3(S2〜S6)は、実施の形態1に示したものと同様である。このため、その詳細な説明はここでは繰り返さない。
鍵設定処理3の後に、絶縁体27がセンサータグ2より除去されると、計測処理4が開始される。つまり、電源23からの電力供給がON状態に切替えられ、電源状態検知部225が電源23からの電力供給のON状態を検知する(S38)。電源23からの電力供給のON状態が検知されると、メモリアクセス制御回路25は、メモリアクセス制御規則(モード)を変更する(S40)。つまり、データ通信回路20からのメモリ24への暗号鍵書込みとID書込みを禁止する。また、データ通信回路20からの暗号化計測データの読み出しも禁止する。このモード変更により、これ以降は、暗号鍵を更新することが不可能となる(S16、S18、S20)。また、暗号化計測データを取得することが不可能となる(S22、S24、S28)。
電源23からの電力供給がON状態になると、センサー回路22は、被計測者12の生体情報を計測し、計測データをメモリアクセス制御回路25に出力する(S42)。メモリアクセス制御回路25は、出力された計測データをメモリ24に蓄積する(S44)。以降、S42およびS14の処理が所定回数だけ繰り返し実行される。これにより、所定回数分の計測データがメモリ24に蓄積される。なお、S42およびS44の処理については後に詳述する。
所定回数分の計測データを計測するとセンサー計測処理(S42)は終了する。センサー計測処理(S42)が終了すると、データ通信回路20からの暗号化計測データの読出しが許可され、計測データ読取処理5(S22〜S30)が行なわれる。
[電源ON検知処理(S38)]
次に、図25を参照して、電源ON検知処理(S38)について説明する。
S802〜S806の処理は、図11に示したものと同様であるため、その詳細な説明はここでは繰り返さない。実施の形態2では、さらに、電源23からの電力供給がOFF状態からON状態に変更されたことを確認すると(S804でYes)、電源状態検知部225は、メモリアクセス制御回路25に対し、データ通信回路20によるメモリ24からの暗号化計測データの読出しを禁止させることを指示する計測データ読出し不可信号を出力する(S812)。
[モード変更処理(S40)]
図26を参照して、モード変更処理(S40)について説明する。
S1002〜S1006の処理は、図12に示したものと同様であるため、その詳細な説明はここでは繰り返さない。実施の形態2では、さらに、S1006の処理の後、メモリアクセス制御回路25は、計測データ読出し不可信号を受信したか否かを判断する(S1012)。計測データ読出し不可信号を受信した場合には(S1012でYes)、メモリアクセス制御規則更新部26は、データ通信回路20によるメモリ24からの暗号化計測データの読出しを禁止するように、メモリアクセス制御規則(モード)を変更する(S1014)。つまり、メモリアクセス制御規則更新部26は、メモリアクセス制御回路25の内部に設定されているメモリアクセス制御規則を以下のメモリアクセスだけを許可し、それ以外のメモリアクセスは拒否するように更新する。
(4)センサー回路22からの暗号鍵読出し
(5)センサー回路22からの暗号化計測データ書込み
上述したように、このメモリアクセス制御規則の更新により、これ以降は、暗号化計測データを取得することが不可能となる(S22、S24、S28)。
[センサー計測処理(S42)]
図27を参照して、センサー計測処理(S42)について説明する。
S1202〜S1210の処理は、図13に示したものと同様であるため、その詳細な説明はここでは繰り返さない。実施の形態2では、さらに、S1210の後、生体データ計測部220が、内部に記憶している計測回数を1つ増加させる(S1212)。なお、計測回数は計測開始時には予め0にセットされているものとする。
生体データ計測部220は、現在の計測回数が予め定められた閾値を超えているか否かを判断する(S1214)。閾値を超えていると判断した場合には(S1214でYes)、生体データ計測部220は、生体情報の計測を停止する(S1216)。また、計測データ書込み部224は、メモリアクセス制御回路25に対して、生体情報の計測を停止したことを示す計測停止信号を出力する(S1218)。これにより、生体情報の計測が所定回数行なわれた後、生体情報の計測が終了する。なお、センサー回路22が計測を停止するのではなく、メモリアクセス制御回路25が、暗号化計測データをメモリ24に格納しないようにしても良い。
[計測データ蓄積処理(S44)]
図28を参照して、計測データ蓄積処理(S44)について説明する。
S1402〜S1410の処理は、図14に示したものと同様であるため、その詳細な説明はここでは繰り返さない。実施の形態2では、さらに、S1410の後、メモリアクセス制御回路25が計測停止信号を受信したか否かを判断する(S1412)。計測停止信号を受信したと判断した場合には(S1412でYes)、メモリアクセス制御規則更新部26は、センサー回路からの暗号化計測データの書込みを禁止し、データ通信回路20からの暗号化計測データの読出しを許可するように、メモリアクセス制御規則(モード)を変更する(S1413、S1414)。つまり、メモリアクセス制御規則更新部26は、メモリアクセス制御回路25の内部に設定されているメモリアクセス制御規則を以下のメモリアクセスだけを許可し、それ以外のメモリアクセスは拒否するように更新する。
(3)データ通信回路20からの暗号化計測データ読出し
(4)センサー回路22からの暗号鍵読出し
これにより、生体情報の計測が終了した後、メモリ24内の暗号化計測データは更新されることがなくなり、データ通信回路20からの暗号化計測データの読出しが可能となる。
なお、実施の形態2では、計測回数が所定の閾値を越えた時点で、生体情報の計測を停止することとしたが、停止条件はこれに限定されるものではない。例えば、センサー回路22の生体データ計測部220は、タイマー部221のタイマーデータ(カウント値)を監視し、カウント値が所定の閾値を越えた場合に、生体情報の計測を停止する構成としても良い。また、タイマー部221が計測開始からの時間を管理し、生体データ計測部220が計測開始からの時間を監視し、当該時間が所定の閾値を超えた場合に、生体情報の計測を停止する構成としても良い。
以上説明したように、実施の形態2は、実施の形態1と同様の効果を奏する。
それに加えて、データ通信回路20により暗号化計測データが読み出されている最中には、センサー回路22によるメモリ24への書込みは行われない。このため、メモリ24内に格納された暗号化計測データの読み出しの漏れを防止できる。
<変形例>
なお、本発明は、上記の実施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる。
(1)暗号化、復号に用いる暗号方式は、特定のアルゴリズムに限定されない。RSA(Rivest Shamir Adleman)暗号方式、楕円曲線暗号方式、ElGamal暗号方式などの公開鍵暗号方式であっても良いし、AES(Advanced Encryption Standard)暗号、DES(Data Encryption Standard)暗号などの共通鍵暗号方式であってもよい。各データのデータサイズ、データ個数は、特定のサイズ、個数に限定されない。
(2)暗号化対象は、上述の実施の形態に記載のデータのみに限らない。例えば、計測データとともに当該計測データが計測を開始してから何番目のデータであるかを示すカウンタ情報を記録するものとし、このカウンタ情報も暗号化するようにしてもよい。さらに、センサータグ2に書き込むデータは、センサータグ2による計測データに限定されない。例えば、患者の氏名や住所、電話番号といった個人情報を書き込んでも良い。その場合、設定される鍵で暗号化してもよい。
(3)センサータグ2は、2種類以上のセンサー回路を備えていてもよい。即ち、センサータグ2は、2種類以上の計測データを計測して内部に蓄積してもよい。その場合、計測データの種類を識別するための、センサー種別IDを加えて、計測データとともに蓄積するようにしてもよい。また、計測データの種類に依存して、暗号化して保存したり暗号化せずに保存したり設定できても良い。さらに、計測データの種類からその計測データを暗号化するかどうかを判定する規則を、外部から設定できるようにしてもよい。規則の設定処理は、鍵設定時にできるようにしてもよいし、計測途中に外部からの指示により変更できるようにしてもよい。
(4)上述の実施の形態では、センサータグ2に設定できる暗号鍵の個数を1つとしているが、センサータグ2に複数の暗号鍵を設定できるようにしても良い。この場合、計測データの種類に依存してその計測データの暗号化に用いる暗号鍵を設定してもよいし、その計測データを計測した時間や場所に依存して暗号鍵を変えても良い。さらに、前記のような使用する暗号鍵を決定する規則は、センサータグ2の内部で取得できる仕組みを有していても良いし、センサータグ2の外部から取得してもよい。
(5)センサータグ2が暗号鍵書込み装置11、計測データ読取装置13の正当性を認証する方法としては、上記の実施の形態に示したハッシュ値を用いる方法に限定されるものではなく、例えば、共通鍵暗号方式や公開鍵暗号方式を用いたチャレンジ―レスポンス式認証であってもよい。また、センサータグ2と暗号鍵書込み装置11または計測データ読取装置13との間の通信データは、SSL(Secure Socket Layer)などを用いて暗号化してもよい。さらに、計測データ読取処理時において、センサータグ2が計測データ読取装置13を認証する認証方式が複数あって、用いた認証方式の種類に依存して、計測データ読取装置13がセンサータグ2から取得できる情報を変えても良い。また、複数の計測データ読取装置が存在した場合に、その装置毎にセンサータグ2が与える情報を変えても良い。
(6)センサータグ2は、センサー回路22内の生体データ計測部220で生体情報を計測しているが、生体情報の計測機能は、センサータグ2以外の機器が行うようにしてもよい。この場合、センサータグ2以外に、生体情報計測装置があり、生体情報計測装置は、計測した生体データを、センサータグ2に無線通信などで送信する。センサータグ2の受信回路28は、前記送信されてくる生体データを受信する。この場合、センサータグ2を、生体情報計測装置とは別体のセンサータグ2として用いることができる。
(7)センサータグシステム1の適用例として、暗号鍵書込み装置11と計測データ読取装置13を病院が管理して、暗号鍵設定後のセンサータグ2を患者に提供する、というモデルを説明したが、このモデルに限定されない。例えば、暗号鍵書込み装置11と計測データ読取装置13を、患者が管理して、患者が独自に決定した暗号鍵をセンサータグ2に設定できるようにしてもよい。
(8)暗号鍵書込み装置11や計測データ読取装置13は、ネットワークを介してサーバに接続していてもよい。このとき、暗号鍵、復号鍵はサーバが保持しており、暗号鍵をセンサータグ2に設定するときや、計測済みセンサータグ2から暗号化計測データを読み取って復号する際には、暗号鍵書込み装置11や計測データ読取装置13は、前記サーバから暗号鍵、復号鍵を取得するようにしてもよい。
(9)センサータグ2は、計測データを暗号化するだけでなく、計測データの改ざん検出データを生成してもよい。改ざん検出データの生成方法としては、公知の暗号鍵を用いたMAC(Message Authentication Code)生成方法を用いればよい。
(10)センサータグシステム1は、生体情報の計測というユースケースに限定されるものでない。例えば、輸送中の生鮮食料品の環境管理にも用いることができる。この場合、センサータグ2は、生鮮食料品もしくはそれを輸送しているコンテナに設置して、輸送中の温度、湿度、照度などを計測して蓄積する。また、センサー回路22は、加速度センサーやGPS(Global Positioning System)受信モジュールであり、センサータグシステム1を位置履歴や移動速度を計測する行動追跡システムとして使用してもよい。この場合、センサータグ2を身に着けている被計測者の位置履歴や移動速度を暗号化してセンサータグ2内部に記録することが可能になる。さらに、本発明は、センサー機能付きタグに限定されるものではなく、例えば、設定された暗号鍵を用いたチャレンジ―レスポンス式認証を行うような認証タグであっても良い。つまり、装置内部で暗号処理を行い、その暗号処理に用いる暗号鍵を外部から設定できるような暗号処理装置であれば本発明が適用可能である。
(11)電源23からセンサー回路22への電力供給をOFF状態からON状態にする方法として、装着されている絶縁体27の除去により行ったが、これに限定されない。例えば、磁気スイッチや赤外線スイッチなどの仕組みにより、電源23からセンサー回路22への電力供給をOFFからONにするようにしてもよい。
(12)計測データ読取装置13が、センサータグ2から計測データを読み取るための通信方法として、アンテナ21を介した非接触の無線通信を用いたが、これに限定されるものではなく、接触式の通信であってもよい。また、データ読取時の電力供給は、計測データ読取装置13からの起動信号によるものに限られず、センサータグ2に内蔵の電源23から供給されてもよい。
(13)センサータグ2への暗号鍵設定処理の際、暗号鍵書込み装置11は、センサータグ2に設定する暗号鍵を、暗号鍵書込み装置11内部に保持していても良いし、装置外部から入力されるようにしてもよい。さらに、暗号鍵書込み装置11は、ネットワークを介して、暗号鍵設定処理の際に暗号鍵管理装置に接続し、暗号鍵管理装置から送付を受け、センサータグ2に設定するようにしても良い。
(14)センサータグ2からの計測データ読取処理の際、計測データ読取装置13は、インターネットなどのネットワークを介してセンサータグ2に接続して、暗号化計測データ群を読み出すようにしても良い。
(15)電源23からセンサー回路22に電力供給されたときのメモリアクセス制御回路25のメモリアクセス制御規則更新の方法は、上述の実施の形態に記載の方法に限定されない。例えば、メモリアクセス制御規則の異なる二つ以上のメモリアクセス制御回路があって、センサー回路22に電源23からの電力が供給されると、使用するアクセス制御回路が切り替わるようにしてもよい。あるいは、絶縁体27を除去することにより、暗号鍵を書き込むための信号線が切断されて、暗号鍵を書き込むことが物理的に不可能になるようにしても良い。
(16)電池消耗や電源からの電力供給がOFF状態になることにより、電源23からセンサー回路22へ電力が供給されている状態から供給されていない状態になった場合には、「暗号鍵書込み不可」の状態から「暗号鍵書込み可」の状態になるようにしてもよい。
(17)上記の各装置は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記RAMまたはハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。
(18)上記の各装置を構成する構成要素の一部または全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAMなどを含んで構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、システムLSIは、その機能を達成する。
(19)上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なICカードまたは単体のモジュールから構成されているとしてもよい。前記ICカードまたは前記モジュールは、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。前記ICカードまたは前記モジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ICカードまたは前記モジュールは、その機能を達成する。このICカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。
(20)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。
また、本発明は、前記コンピュータプログラムまたは前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD−ROM、MO、DVD、DVD−ROM、DVD−RAM、BD(Blu−ray Disc)、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記デジタル信号であるとしてもよい。
また、本発明は、前記コンピュータプログラムまたは前記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。
また、本発明は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。
また、前記プログラムまたは前記デジタル信号を前記記録媒体に記録して移送することにより、または前記プログラムまたは前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
(21)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。
今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。
本発明にかかるセンサータグは、内蔵電池からの電力供給の自由なON,OFF機構が実装できない場合であっても、内蔵電池を無駄に消耗せずに、暗号鍵設定が可能になるという特徴を有するので、電池容量や実装サイズの厳しい制約の下で蓄積するセンサー情報の暗号化の必要性があるようなセンサータグの実現に有用である。
1 センサータグシステム
2 センサータグ
3 鍵設定処理
4 計測処理
5 計測データ読取処理
6 暗号化計測データ群
11 暗号鍵書込み装置
12 被計測者
13 計測データ読取装置
20 データ通信回路
21 アンテナ
22 センサー回路
23 電源
24 メモリ
25 メモリアクセス制御回路
26 メモリアクセス制御規則更新部
27 絶縁体
28 受信回路
29 表示部
30 起電力発生回路
110、130、200 データ通信部
111 暗号鍵記憶部
112 暗号鍵送付部
113 ID受付部
114 ID送付部
115、131、201 認証部
132、204 計測データ読取部
133 データ復号部
134 計測データ蓄積部
135 復号鍵保管部
202 暗号鍵書込み部
203 ID書込み部
220 生体データ計測部
221 タイマー部
222 暗号鍵読取部
223 データ暗号化部
224 計測データ書込み部
225 電源状態検知部

Claims (19)

  1. 可搬型のデータ暗号化装置であって、
    記憶部と、
    外部端末から無線の起動信号を受信し、受信した前記起動信号により発生する起電力で動作することにより前記外部端末から暗号鍵を受信し、受信した前記暗号鍵を前記記憶部に格納する無線通信回路と、
    電力を供給する一次電池と、
    前記一次電池からの電力供給をOFF状態からON状態に切替える切替手段と、
    前記一次電池からの電力供給がON状態に切替えられた後、前記一次電池から供給される電力で動作し、前記記憶部から前記暗号鍵を読み出し、読み出した前記暗号鍵を用いて所定の暗号化対象のデータを暗号化し、暗号化されたデータを前記記憶部に格納する暗号化回路と、
    前記無線通信回路から前記記憶部へのアクセスと、前記暗号化回路から前記記憶部へのアクセスと、を制御する記憶部制御部と、
    を具備し、
    前記記憶部制御部は、前記一次電池からの電力供給がON状態に切替えられた後、前記無線通信回路から前記記憶部への暗号鍵の書込みを禁止し、
    前記切替手段は、前記一次電池からの電力供給をOFF状態からON状態への一方向にのみ切替える
    データ暗号化装置。
  2. 前記暗号化回路は、前記データ暗号化装置のユーザの生体データを計測するセンサー回路であって、前記記憶部から前記暗号鍵を読み出し、読み出した前記暗号鍵を用いて前記生体データを暗号化し、暗号化された生体データを前記記憶部に格納する
    ことを特徴とする請求項1記載のデータ暗号化装置。
  3. さらに、ユーザの生体データを計測する外部の計測装置から、前記生体データを入力として受け付ける入力部を備え、
    前記暗号化回路は、前記生体データを前記所定の暗号化対象のデータとして暗号化し、暗号化された生体データを前記記憶部に格納する
    ことを特徴とする請求項1記載のデータ暗号化装置。
  4. 前記記憶部に前記暗号鍵が記憶されていない状態で、前記一次電池からの電力供給がON状態になって前記暗号化回路が前記一次電池から供給された電力で動作する場合、前記暗号化回路は前記所定の暗号化対象のデータを暗号化せずに前記記憶部に格納する
    ことを特徴とする請求項1記載のデータ暗号化装置。
  5. 前記記憶部に前記暗号鍵が記憶されていない状態で、前記一次電池からの電力供給がON状態になって前記暗号化回路が前記一次電池から供給された電力で動作する場合、前記暗号化回路は前記所定の暗号化対象のデータを破棄して前記記憶部への格納は行わない
    ことを特徴とする請求項1記載のデータ暗号化装置。
  6. 前記一次電池と前記暗号化回路とは、互いに接触する方向に付勢されており、
    前記切替手段は、付勢された前記一次電池と前記暗号化回路との間に介在する絶縁体である
    ことを特徴とする請求項1記載のデータ暗号化装置。
  7. 前記暗号化対象データは、前記データ暗号化装置のユーザの個人情報である
    ことを特徴とする請求項1記載のデータ暗号化装置。
  8. 前記暗号化回路は、前記データ暗号化装置が付与されている物品の周囲の環境情報を計測するセンサー回路であって、前記記憶部から前記暗号鍵を読み出し、読み出した前記暗号鍵を用いて前記環境情報を暗号化し、暗号化された環境情報を前記記憶部に格納する
    ことを特徴とする請求項1記載のデータ暗号化装置。
  9. 前記無線通信回路は、RFID(Radio Frequency Identification)の通信回路である
    ことを特徴とする請求項1記載のデータ暗号化装置。
  10. さらに、前記記憶部が前記暗号鍵を記憶していることを示す表示を行う表示部を備える
    ことを特徴とする請求項1記載のデータ暗号化装置。
  11. 前記記憶部制御部は、前記暗号化回路が前記一次電池から供給された電力で動作するとき、前記暗号化回路から前記記憶部へのデータの書込みを許可し、前記無線通信回路から前記記憶部へのデータの書込みを禁止し、
    前記暗号化回路は、前記データ暗号化装置のユーザの生体データを計測するセンサー回路であって、前記記憶部から前記暗号鍵を読み出し、読み出した前記暗号鍵を用いて前記生体データを暗号化し、暗号化されたデータを前記記憶部に格納し、
    前記記憶部制御部は、
    前記無線通信回路から前記記憶部に格納された前記暗号化されたデータの取得依頼を受けた場合、前記暗号化回路から前記記憶部へのデータの書込みを禁止し、
    前記無線通信回路は、
    前記暗号化回路から前記記憶部へのデータの書込みを禁止された後、前記記憶部に格納された前記暗号化されたデータを所定の宛先に送信する
    ことを特徴とする請求項1記載のデータ暗号化装置。
  12. 前記記憶部制御部は、
    前記無線通信回路から前記記憶部に格納された前記暗号化されたデータの取得依頼を受けた場合、所定期間内に前記暗号化回路から前記記憶部への書き込みがあったか否かを判断し、前記暗号化回路から前記記憶部への書き込みが前記所定期間無かったと判断した場合、前記暗号化回路から前記記憶部へのデータの書込みを禁止する
    ことを特徴とする請求項11記載のデータ暗号化装置。
  13. 前記記憶部制御部は、
    前記無線通信回路から前記記憶部に格納された前記暗号化されたデータの取得依頼を受けた場合、所定期間内に前記暗号化回路から前記記憶部への書き込みがあったか否かを判断し、前記暗号化回路から前記記憶部への書き込みが前記所定期間内にあったと判断した場合、前記暗号化回路から前記記憶部へのデータの書込みを許可し、前記無線通信回路から前記記憶部へのデータの書込みを禁止する状態を維持する
    ことを特徴とする請求項12記載のデータ暗号化装置。
  14. 前記記憶部制御部は、
    前記無線通信回路から前記記憶部に格納された前記暗号化されたデータの取得依頼を受けた場合、前記暗号化回路が動作状態にあることを確認する所定の信号を前記暗号化回路に出力し、所定期間内に応答があったか否かを判断し、前記応答が前記所定期間内に無かったと判断した場合、前記暗号化回路から前記記憶部へのデータの書込みを禁止する
    ことを特徴とする請求項12記載のデータ暗号化装置。
  15. 前記記憶部制御部は、
    前記無線通信回路から前記記憶部に格納された前記暗号化されたデータの取得依頼を受けた場合、前記暗号化回路が動作状態にあることを確認する所定の信号を前記暗号化回路に出力し、所定期間内に応答があったか否かを判断し、前記応答が前記所定期間内にあったと判断した場合、前記暗号化回路から前記記憶部へのデータの書込みを許可し、前記無線通信回路から前記記憶部へのデータの書込みを禁止する状態を維持する
    ことを特徴とする請求項14記載のデータ暗号化装置。
  16. 前記記憶部制御部は、前記暗号化回路が前記一次電池から供給された電力で動作するとき、前記暗号化回路から前記記憶部へのデータの書込みを許可し、前記無線通信回路から前記記憶部へのデータの書込みを禁止し、
    前記暗号化回路は、前記データ暗号化装置のユーザの生体データを計測するセンサー回路であって、前記記憶部から前記暗号鍵を読み出して前記生体データを暗号化して前記記憶部に格納し、前記生体データを所定回数計測した場合、前記記憶部制御部に、前記生体データを前記所定回数計測した旨を通知し、
    前記記憶部制御部は、前記生体データを前記所定回数計測した旨の通知を受けると、前記暗号化回路から前記記憶部へのデータの書込みを禁止し、
    前記無線通信回路は、前記暗号化回路から前記記憶部へのデータの書込みが禁止された後、前記記憶部に格納された暗号化された生体データを所定の宛先に送信する
    ことを特徴とする請求項1記載のデータ暗号化装置。
  17. 前記記憶部制御部は、前記暗号化回路が前記一次電池から供給された電力で動作するとき、前記暗号化回路から前記記憶部へのデータの書込みを許可し、前記無線通信回路から前記記憶部へのデータの書込みを禁止し、
    前記暗号化回路は、前記データ暗号化装置のユーザの生体データを計測するセンサー回路であって、前記記憶部から前記暗号鍵を読み出して前記生体データを暗号化して前記記憶部に格納し、
    前記記憶部制御部は、前記一次電池からの電力供給がON状態になってから所定時間が経過すると、前記暗号化回路から前記記憶部へのデータの書込みを禁止し、
    前記無線通信回路は、前記暗号化回路から前記記憶部へのデータの書込みが禁止された後、前記記憶部に格納された暗号化された生体データを所定の宛先に送信する
    ことを特徴とする請求項1記載のデータ暗号化装置。
  18. 外部端末から無線の起動信号を受信し、受信した前記起動信号により発生する起電力で動作する無線通信回路と、データの記憶部と、電力を供給する一次電池と、前記一次電池からの電力供給をOFF状態からON状態に切替える切替手段と、前記一次電池から供給された電力で動作する暗号化回路と、前記無線通信回路から前記記憶部へのアクセスと、前記暗号化回路から前記記憶部へのアクセスと、を制御する記憶部制御部と、を具備した可搬型のデータ暗号化装置の制御方法であって、
    前記一次電池からの電力供給がOFF状態のとき、前記無線通信回路にて前記外部端末から暗号鍵を受信して前記暗号鍵を前記記憶部に格納し、
    前記切替手段により前記一次電池からの電力供給がOFF状態からON状態に切替えられた後、前記暗号化回路にて前記記憶部から前記暗号鍵を読み出し、所定の暗号化対象のデータを暗号化して前記記憶部に格納し、
    前記記憶部制御部は、前記一次電池からの電力供給がON状態に切替えられた後、前記無線通信回路から前記記憶部への暗号鍵の書込みを禁止し、
    前記切替手段は、前記一次電池からの電力供給をOFF状態からON状態への一方向にのみ切替える
    ことを特徴とする制御方法。
  19. 可搬型の集積回路であって、
    記憶部と、
    外部端末から無線の起動信号を受信し、受信した前記起動信号により発生する起電力で動作することにより前記外部端末から暗号鍵を受信し、受信した前記暗号鍵を前記記憶部に格納する無線通信回路と、
    電力を供給する一次電池と、
    前記一次電池からの電力供給をOFF状態からON状態に切替える切替手段と、
    前記一次電池からの電力供給がON状態に切替えられた後、前記一次電池から供給される電力で動作し、前記記憶部から前記暗号鍵を読み出し、読み出した前記暗号鍵を用いて所定の暗号化対象のデータを暗号化し、暗号化されたデータを前記記憶部に格納する暗号化回路と、
    前記無線通信回路から前記記憶部へのアクセスと、前記暗号化回路から前記記憶部へのアクセスと、を制御する記憶部制御部と、
    を具備し、
    前記記憶部制御部は、前記一次電池からの電力供給がON状態に切替えられた後、前記無線通信回路から前記記憶部への暗号鍵の書込みを禁止し、
    前記切替手段は、前記一次電池からの電力供給をOFF状態からON状態への一方向にのみ切替える
    集積回路。
JP2010505343A 2008-03-25 2009-03-25 データ暗号化装置、制御方法および集積回路 Active JP5436412B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010505343A JP5436412B2 (ja) 2008-03-25 2009-03-25 データ暗号化装置、制御方法および集積回路

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2008077315 2008-03-25
JP2008077315 2008-03-25
JP2010505343A JP5436412B2 (ja) 2008-03-25 2009-03-25 データ暗号化装置、制御方法および集積回路
PCT/JP2009/001313 WO2009119079A1 (ja) 2008-03-25 2009-03-25 データ暗号化装置

Publications (2)

Publication Number Publication Date
JPWO2009119079A1 JPWO2009119079A1 (ja) 2011-07-21
JP5436412B2 true JP5436412B2 (ja) 2014-03-05

Family

ID=41113290

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010505343A Active JP5436412B2 (ja) 2008-03-25 2009-03-25 データ暗号化装置、制御方法および集積回路

Country Status (5)

Country Link
US (1) US8683229B2 (ja)
EP (1) EP2244414A1 (ja)
JP (1) JP5436412B2 (ja)
CN (1) CN101978649B (ja)
WO (1) WO2009119079A1 (ja)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010116678A1 (ja) * 2009-03-30 2010-10-14 パナソニック株式会社 ヘルスケアシステム
US8938620B2 (en) 2009-04-03 2015-01-20 Panasonic Corporation Measurement device and method of controlling the same
KR101824503B1 (ko) * 2011-03-09 2018-02-01 삼성전자 주식회사 저전력 무선 통신 장치
JP5698614B2 (ja) * 2011-06-22 2015-04-08 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation コンテキスト情報処理システム及び方法
US9251900B2 (en) * 2011-11-15 2016-02-02 Sandisk Technologies Inc. Data scrambling based on transition characteristic of the data
CA2861975C (en) * 2011-12-15 2022-05-31 Becton, Dickinson And Company System for improved interpretation of physiological data and presentation of physiological condition management information
JP2014112819A (ja) 2012-10-30 2014-06-19 Yokogawa Electric Corp 無線機器、入出力ユニット、無線ユニット、及び無線機器の設定方法
JP6164277B2 (ja) * 2012-10-30 2017-07-19 横河電機株式会社 無線機器、入出力ユニット、無線ユニット、及び無線機器の設定方法
KR20140071605A (ko) * 2012-12-04 2014-06-12 삼성전자주식회사 데이터 처리 방법, 센서 장치 및 사용자 단말
JP5898642B2 (ja) 2013-05-20 2016-04-06 横河電機株式会社 無線機器
US9392446B1 (en) * 2013-08-05 2016-07-12 Sprint Communications Company L.P. Authenticating environmental sensor systems based on security keys in communication systems
JP6237363B2 (ja) * 2014-03-14 2017-11-29 ソニー株式会社 情報処理装置、情報処理方法及びコンピュータプログラム
EP3032453B1 (en) * 2014-12-08 2019-11-13 eperi GmbH Storing data in a server computer with deployable encryption/decryption infrastructure
US20170089968A1 (en) * 2015-09-30 2017-03-30 Sky Align Solutions Private Limited Antenna communication system and antenna integrated smart device thereof
US10912283B2 (en) * 2016-04-02 2021-02-09 Intel Corporation Technologies for managing the health of livestock
JP2017192117A (ja) * 2016-04-15 2017-10-19 富士通株式会社 センサ装置、情報収集システム、および情報収集方法
JP7261166B2 (ja) 2016-11-03 2023-04-19 レスメド・プロプライエタリー・リミテッド セキュアなネットワーク化された呼吸治療システム
DE102017109415A1 (de) 2017-05-03 2018-11-08 Krohne Messtechnik Gmbh Elektrisches Gerät und Speichersystem mit einem elektrischen Gerät
US11115215B2 (en) * 2017-07-27 2021-09-07 Fingerprint Cards Ab Methods and devices of enabling authentication of a user of a client device over a secure communication channel based on biometric data
CN111417919A (zh) * 2017-12-08 2020-07-14 索尼公司 信息处理装置及其控制方法和记录介质
JP6903609B2 (ja) * 2018-07-30 2021-07-14 株式会社日立製作所 センサシステム、データ収集装置及びデータ収集方法
CN111053575A (zh) * 2019-12-30 2020-04-24 无锡祥生医疗科技股份有限公司 超声设备扫查方法、装置和存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5655919U (ja) * 1979-10-04 1981-05-15
JPH11272822A (ja) * 1998-03-24 1999-10-08 Toshiba Corp 接触式及び非接触式インターフェイスを有する複合icカード及び複合icカード用icモジュール
JP2002230161A (ja) * 2001-02-06 2002-08-16 Nidek Co Ltd 計測情報管理システム
JP2005348306A (ja) * 2004-06-07 2005-12-15 Yokosuka Telecom Research Park:Kk 電子タグシステム、電子タグ、電子タグリーダライタ、およびプログラム
JP2006072565A (ja) * 2004-08-31 2006-03-16 Fuji Electric Holdings Co Ltd セキュリティ端末活性化システム及び活性化端末装置

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5655919A (en) 1979-10-13 1981-05-16 Mitsubishi Electric Corp Light modulating device
JPH09160899A (ja) * 1995-12-06 1997-06-20 Matsushita Electric Ind Co Ltd 情報サービス処理装置
ATE345539T1 (de) * 1998-03-24 2006-12-15 Toshiba Kk Ic karte mit kontaktbehafteten und kontaktlosen schnittstellen
JP2005128996A (ja) * 2003-09-30 2005-05-19 Dainippon Printing Co Ltd 情報処理装置、情報処理システム及びプログラム
US20050278222A1 (en) * 2004-05-24 2005-12-15 Nortrup Edward H Systems and methods for performing transactions
JP4449752B2 (ja) 2005-01-13 2010-04-14 日本電気株式会社 電子タグを用いた情報システム、および電子タグ
JP2008065360A (ja) * 2005-03-07 2008-03-21 Wise Media Technology Inc 時限付き使い捨てidタグ
WO2007068002A2 (en) * 2005-12-09 2007-06-14 Tego Inc. Multiple radio frequency network node rfid tag
US20070244825A1 (en) * 2006-04-14 2007-10-18 Gilbert Semmer Item, accessory kit, and method for software based medical resource activation
CN101101637A (zh) * 2006-07-03 2008-01-09 上海中策工贸有限公司 传感器密码系统
US20090058648A1 (en) * 2007-08-29 2009-03-05 Micron Technology, Inc. Methods and systems of using rfid tags in emergency situations
US8174362B2 (en) * 2008-03-06 2012-05-08 Round Rock Research, Llc Methods and apparatuses to secure data transmission in RFID systems

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5655919U (ja) * 1979-10-04 1981-05-15
JPH11272822A (ja) * 1998-03-24 1999-10-08 Toshiba Corp 接触式及び非接触式インターフェイスを有する複合icカード及び複合icカード用icモジュール
JP2002230161A (ja) * 2001-02-06 2002-08-16 Nidek Co Ltd 計測情報管理システム
JP2005348306A (ja) * 2004-06-07 2005-12-15 Yokosuka Telecom Research Park:Kk 電子タグシステム、電子タグ、電子タグリーダライタ、およびプログラム
JP2006072565A (ja) * 2004-08-31 2006-03-16 Fuji Electric Holdings Co Ltd セキュリティ端末活性化システム及び活性化端末装置

Also Published As

Publication number Publication date
EP2244414A1 (en) 2010-10-27
CN101978649B (zh) 2013-11-06
US8683229B2 (en) 2014-03-25
US20110022851A1 (en) 2011-01-27
CN101978649A (zh) 2011-02-16
JPWO2009119079A1 (ja) 2011-07-21
WO2009119079A1 (ja) 2009-10-01

Similar Documents

Publication Publication Date Title
JP5436412B2 (ja) データ暗号化装置、制御方法および集積回路
KR101460811B1 (ko) 보안 시스템을 위한 바이-프로세서 아키텍처
US8180060B2 (en) Telemedical system
US6957333B2 (en) System and method for encrypted communications between electronic devices
US9679126B2 (en) Decryption device, method for decrypting and method and system for secure data transmission
KR101338323B1 (ko) 사용자 인증 시스템 및 사용자 인증 방법
WO2012051275A1 (en) Method and apparatus for a multi-band, multi-mode smartcard
JP2009111974A (ja) ヘルスケアシステム、鍵管理サーバ及びその方法、並びに暗号化装置及びその方法
JP2007514207A (ja) 携帯型薬歴管理装置、メモリカード、及び管理方法
Siddiqi et al. Imdfence: Architecting a secure protocol for implantable medical devices
US8607073B2 (en) Storage medium having an encrypting device
CN104102863A (zh) 一种身份认证设备及该设备控制方法
CN103984906B (zh) 一种无按键的电子密钥设备
KR101467636B1 (ko) 의료정보 교환 시스템, 인증 프록시 서버 및 의료정보 교환 방법
US9129099B1 (en) Portable health record system and method
Ukalkar et al. Cloud based NFC health card system
EP3643101B1 (en) Wireless authentication systems
JP2010286936A (ja) 半導体素子および認証装置、認証システム
KR101210605B1 (ko) 보안 모드에 따른 수동형 rfid 보안 방법
JP2010066929A (ja) サーバシステム、電子機器、通信端末及び認証方法
JP2005311456A (ja) 通信装置および通信システム
Hamze et al. An improvement of NFC-SEC with signed exchanges for an e-prescription-based application
Lee et al. Privacy management for medical service application using mobile phone collaborated with RFID reader
JP7446746B2 (ja) 携帯可能電子装置、及びicカード
Kim Privacy and security issues for RFID healthcare system in wireless sensor networks

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120209

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120209

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130604

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130718

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131119

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131210

R150 Certificate of patent or registration of utility model

Ref document number: 5436412

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150