JP6894469B2 - 情報処理装置およびその制御プログラム - Google Patents
情報処理装置およびその制御プログラム Download PDFInfo
- Publication number
- JP6894469B2 JP6894469B2 JP2019108731A JP2019108731A JP6894469B2 JP 6894469 B2 JP6894469 B2 JP 6894469B2 JP 2019108731 A JP2019108731 A JP 2019108731A JP 2019108731 A JP2019108731 A JP 2019108731A JP 6894469 B2 JP6894469 B2 JP 6894469B2
- Authority
- JP
- Japan
- Prior art keywords
- client certificate
- key
- public key
- private key
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000010365 information processing Effects 0.000 title claims description 50
- 238000000034 method Methods 0.000 claims description 40
- 238000004891 communication Methods 0.000 claims description 29
- 230000004044 response Effects 0.000 claims description 26
- 230000005540 biological transmission Effects 0.000 claims description 21
- 230000008569 process Effects 0.000 claims description 12
- 238000009826 distribution Methods 0.000 claims description 10
- 238000012217 deletion Methods 0.000 claims description 2
- 230000037430 deletion Effects 0.000 claims description 2
- 238000012545 processing Methods 0.000 description 29
- 238000001994 activation Methods 0.000 description 27
- 230000004913 activation Effects 0.000 description 25
- 238000010586 diagram Methods 0.000 description 25
- 238000003860 storage Methods 0.000 description 19
- 230000006870 function Effects 0.000 description 16
- 230000009849 deactivation Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000000717 retained effect Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Description
本発明は、IoTデバイスの管理に関する。
上記技術分野において、特許文献1には、IoTシステムに含まれるIoTデバイスとセンタサーバ間の相互認証を、通信装置としての管理サーバやルート認証局などの仲介により行う技術が開示されている。
しかしながら、上記文献に記載の技術では、IoTデバイスとセンタサーバ間の個々の相互認証をするのみで、IoTデバイスのクライアント証明書の有効期間を考慮した効率的な管理をすることができなかった。
本発明の目的は、上述の課題を解決する技術を提供することにある。
上記目的を達成するため、本発明に係る情報処理装置は、
IoTデバイスが備える情報処理部としての情報処理装置であって、
ネットワーク上でデータを暗号化し前記IoTデバイスを認証するために用いられる公開鍵および秘密鍵の配布、ならびに、前記IoTデバイスの信頼性を証明するクライアント証明書の配布を要求する要求メッセージであって、前記IoTデバイスに固有の識別子を含む要求メッセージを、デバイス管理サーバに送信する送信手段と、
前記デバイス管理サーバが前記要求メッセージに応答して機密に配布した、前記公開鍵と前記秘密鍵と前記クライアント証明書とを受信する受信手段と、
受信した前記公開鍵と前記秘密鍵と前記クライアント証明書とを保持する保持手段と、
前記保持手段に保持された前記公開鍵と前記秘密鍵と前記クライアント証明書とを用いて、サービスを提供するサービス提供サーバとネットワーク上でデータを暗号化して送受信する暗号化通信手段と、
前記IoTデバイスの使用を停止する場合に、前記保持手段に保持された前記公開鍵と前記秘密鍵と前記クライアント証明書とを消去する消去手段とを、
備え、
前記消去手段は、さらに、前記公開鍵と前記秘密鍵と前記クライアント証明書とを更新する場合に、前記保持手段に保持された前記公開鍵と前記秘密鍵と前記クライアント証明書とを所定時間ごとに消去し、
前記送信手段は、前記保持手段に前記公開鍵と前記秘密鍵と前記クライアント証明書との少なくとも1つが保持されてない場合に、前記要求メッセージを前記デバイス管理サーバに送信する。
IoTデバイスが備える情報処理部としての情報処理装置であって、
ネットワーク上でデータを暗号化し前記IoTデバイスを認証するために用いられる公開鍵および秘密鍵の配布、ならびに、前記IoTデバイスの信頼性を証明するクライアント証明書の配布を要求する要求メッセージであって、前記IoTデバイスに固有の識別子を含む要求メッセージを、デバイス管理サーバに送信する送信手段と、
前記デバイス管理サーバが前記要求メッセージに応答して機密に配布した、前記公開鍵と前記秘密鍵と前記クライアント証明書とを受信する受信手段と、
受信した前記公開鍵と前記秘密鍵と前記クライアント証明書とを保持する保持手段と、
前記保持手段に保持された前記公開鍵と前記秘密鍵と前記クライアント証明書とを用いて、サービスを提供するサービス提供サーバとネットワーク上でデータを暗号化して送受信する暗号化通信手段と、
前記IoTデバイスの使用を停止する場合に、前記保持手段に保持された前記公開鍵と前記秘密鍵と前記クライアント証明書とを消去する消去手段とを、
備え、
前記消去手段は、さらに、前記公開鍵と前記秘密鍵と前記クライアント証明書とを更新する場合に、前記保持手段に保持された前記公開鍵と前記秘密鍵と前記クライアント証明書とを所定時間ごとに消去し、
前記送信手段は、前記保持手段に前記公開鍵と前記秘密鍵と前記クライアント証明書との少なくとも1つが保持されてない場合に、前記要求メッセージを前記デバイス管理サーバに送信する。
上記目的を達成するため、本発明に係る情報処理装置の制御プログラムは、
IoTデバイスが備える情報処理部としての情報処理装置の制御プログラムであって、
ネットワーク上でデータを暗号化し前記IoTデバイスを認証するために用いられる公開鍵および秘密鍵の配布、ならびに、前記IoTデバイスの信頼性を証明するクライアント証明書の配布を要求する要求メッセージであって、前記IoTデバイスに固有の識別子を含む要求メッセージを、デバイス管理サーバに送信する送信ステップと、
前記デバイス管理サーバが前記要求メッセージに応答して機密に配布した、前記公開鍵と前記秘密鍵と前記クライアント証明書とを受信する受信ステップと、
受信した前記公開鍵と前記秘密鍵と前記クライアント証明書とを保持手段に保持する保持ステップと、
前記保持手段に保持された前記公開鍵と前記秘密鍵と前記クライアント証明書とを用いて、サービスを提供するサービス提供サーバとネットワーク上でデータを暗号化して送受信する暗号化通信ステップと、
前記IoTデバイスの使用を停止する場合に、前記保持手段に保持された前記公開鍵と前記秘密鍵と前記クライアント証明書とを消去する消去ステップと、
をコンピュータに実行させる情報処理装置の制御プログラムであって、
前記消去ステップにおいては、さらに、前記公開鍵と前記秘密鍵と前記クライアント証明書とを更新する場合に、前記保持手段に保持された前記公開鍵と前記秘密鍵と前記クライアント証明書とを所定時間ごとに消去し、
前記送信ステップにおいては、前記保持手段に前記公開鍵と前記秘密鍵と前記クライアント証明書との少なくとも1つが保持されてない場合に、前記要求メッセージを前記デバイス管理サーバに送信する。
IoTデバイスが備える情報処理部としての情報処理装置の制御プログラムであって、
ネットワーク上でデータを暗号化し前記IoTデバイスを認証するために用いられる公開鍵および秘密鍵の配布、ならびに、前記IoTデバイスの信頼性を証明するクライアント証明書の配布を要求する要求メッセージであって、前記IoTデバイスに固有の識別子を含む要求メッセージを、デバイス管理サーバに送信する送信ステップと、
前記デバイス管理サーバが前記要求メッセージに応答して機密に配布した、前記公開鍵と前記秘密鍵と前記クライアント証明書とを受信する受信ステップと、
受信した前記公開鍵と前記秘密鍵と前記クライアント証明書とを保持手段に保持する保持ステップと、
前記保持手段に保持された前記公開鍵と前記秘密鍵と前記クライアント証明書とを用いて、サービスを提供するサービス提供サーバとネットワーク上でデータを暗号化して送受信する暗号化通信ステップと、
前記IoTデバイスの使用を停止する場合に、前記保持手段に保持された前記公開鍵と前記秘密鍵と前記クライアント証明書とを消去する消去ステップと、
をコンピュータに実行させる情報処理装置の制御プログラムであって、
前記消去ステップにおいては、さらに、前記公開鍵と前記秘密鍵と前記クライアント証明書とを更新する場合に、前記保持手段に保持された前記公開鍵と前記秘密鍵と前記クライアント証明書とを所定時間ごとに消去し、
前記送信ステップにおいては、前記保持手段に前記公開鍵と前記秘密鍵と前記クライアント証明書との少なくとも1つが保持されてない場合に、前記要求メッセージを前記デバイス管理サーバに送信する。
本発明によれば、IoTデバイスのクライアント証明書の有効期間を考慮した効率的な管理をすることできる。
以下に、図面を参照して、本発明の実施の形態について例示的に詳しく説明する。ただし、以下の実施の形態に記載されている構成要素は単なる例示であり、本発明の技術範囲をそれらのみに限定する趣旨のものではない。本発明において使用される文言「デバイスに固有の識別子」は、デバイスを識別するためのデバイス情報、および/または、デバイスに提供されるサービスを識別するためのサービス情報を含む。
[第1実施形態]
本発明の第1実施形態としての情報処理装置100について、図1を用いて説明する。情報処理装置100は、インターネットで接続されるデバイスを管理するため制御する。
本発明の第1実施形態としての情報処理装置100について、図1を用いて説明する。情報処理装置100は、インターネットで接続されるデバイスを管理するため制御する。
図1に示すように、情報処理装置100は、送信部101と、受信部102と、保持部103と、を含む。送信部101は、ネットワーク130上でデータを暗号化するために用いられる公開鍵および秘密鍵の配布、ならびにデバイス110の信頼性を証明するクライアント証明書の配布を要求する要求メッセージであって、デバイス110に固有の識別子を含む要求メッセージを、デバイス管理サーバ120に送信する。受信部102は、要求メッセージに応答して前記デバイス管理サーバ120が機密に配布した、公開鍵と秘密鍵とクライアント証明書とを受信する。保持部103は、受信した公開鍵と秘密鍵とクライアント証明書とを保持する。
本実施形態によれば、デバイスが使用する公開鍵と秘密鍵とクライアント証明書とをデバイス管理サーバに要求して、機密に配布された公開鍵と秘密鍵とクライアント証明書とを受信して保持するよう構成したので、IoTデバイスのクライアント証明書の有効期間を考慮した効率的な管理をすることができる。
[第2実施形態]
次に、本発明の第2実施形態に係る情報処理装置としての情報処理部を備えるデバイスを含むデバイス管理システムについて説明する。本実施形態に係る情報処理装置は、上記第1実施形態に加えて、デバイス管理サーバに、サービス提供サーバに対して使用する公開鍵と秘密鍵とクライアント証明書との配布を要求する。そして、デバイス管理サーバから公開鍵と秘密鍵とクライアント証明書とが機密に配布され、公開鍵と秘密鍵とクライアント証明書とを機密に保持する。さらに、本実施形態の情報処理装置は、デバイスの使用を停止する場合に、サービス提供サーバの指示を受けて保持された公開鍵と秘密鍵とクライアント証明書とを消去する。また、本実施形態の情報処理装置は、デバイス管理サーバから一意の識別子(本実施形態では、UUID(Universally Unique Identifier))を配布されて機密に保持し、以降のデバイス管理サーバへのアクセスに使用する。
次に、本発明の第2実施形態に係る情報処理装置としての情報処理部を備えるデバイスを含むデバイス管理システムについて説明する。本実施形態に係る情報処理装置は、上記第1実施形態に加えて、デバイス管理サーバに、サービス提供サーバに対して使用する公開鍵と秘密鍵とクライアント証明書との配布を要求する。そして、デバイス管理サーバから公開鍵と秘密鍵とクライアント証明書とが機密に配布され、公開鍵と秘密鍵とクライアント証明書とを機密に保持する。さらに、本実施形態の情報処理装置は、デバイスの使用を停止する場合に、サービス提供サーバの指示を受けて保持された公開鍵と秘密鍵とクライアント証明書とを消去する。また、本実施形態の情報処理装置は、デバイス管理サーバから一意の識別子(本実施形態では、UUID(Universally Unique Identifier))を配布されて機密に保持し、以降のデバイス管理サーバへのアクセスに使用する。
《デバイス管理システム》
以下、図2乃至図5Cを参照して、本実施形態に係る情報処理装置としての情報処理部を備えるデバイスを含むデバイス管理システム200の構成と動作を説明する。
以下、図2乃至図5Cを参照して、本実施形態に係る情報処理装置としての情報処理部を備えるデバイスを含むデバイス管理システム200の構成と動作を説明する。
(構成)
図2Aは、本実施形態に係るデバイス管理システム200の構成を示すブロック図である。
図2Aは、本実施形態に係るデバイス管理システム200の構成を示すブロック図である。
デバイス管理システム200は、IoTデバイス210と、デバイス管理サーバ220と、サービス提供サーバ230と、デバイス製造者240と、を含む。
IoTデバイス210は、デバイス管理サーバ220に管理されサービス提供サーバ230からサービスを提供されるデバイスである。IoTデバイス210は、FOTA(Firmware Over The Air),TrustZone,TPM(Trusted Platform Module)などの機能を有してよい。デバイス管理サーバ220は、デバイス管理(Device management)と、証明書管理および鍵管理(Certification/Key management)との機能を有して、IoTデバイス210を管理するサーバである。サービス提供サーバ230は、デバイス管理サーバ220がIoTデバイス210に機密に配布した証明書および鍵を認証し、IoTデバイス210にサービスを提供するWeb serversなどのサーバである。デバイス製造者240は、IoTデバイス210を製造する製造者であり、例えばIoTデバイス210に固有の識別子などを含むデバイス情報を付して、Device Lifecycle Managementを実現させる。
(動作シーケンス)
図2Bおよび図2Cは、本実施形態に係るデバイス管理システム200の動作手順の概要を示すシーケンス図である。
図2Bおよび図2Cは、本実施形態に係るデバイス管理システム200の動作手順の概要を示すシーケンス図である。
デバイス管理サーバ220は、ステップS201において、認証局としてサービス提供サーバ230に登録する。一方、IoTデバイス210は、ステップS205において、デバイスに固有の識別子となり得るデバイス情報を記憶する。また、IoTデバイス210は、ステップS207において、デバイスに固有の識別子となり得るサービス情報を記憶する。
その後、ステップS210において、デバイスを認証するためのデバイスアクティベーション処理として、IoTデバイス210からデバイス管理サーバ220に公開鍵と、秘密鍵と、IoTデバイス210が正当であること(信頼性)を証明するクライアント証明書とを要求して、取得して保持する。次に、ステップS220において、例えばSSL(Secure Sockets Layer)方式やTLS(Transport Layer Security)方式によるデータ通信を含むサービス処理として、IoTデバイス210からサービス提供サーバ230にサービスを要求して、サービスを受ける。ステップS230において、デバイスの使用を中止または停止するためのデバイスデアクティベーション処理として、デバイス管理サーバ220の指示に従い、IoTデバイス210から公開鍵と秘密鍵とクライアント証明書とを消去する。ここで、ステップS210の処理が要求部の要求ステップと、保持部の保持ステップとに相当する。また、ステップ220の処理が暗号化通信部の暗号化通信ステップに相当する。
デバイス認証のデバイスアクティベーション処理(S210)において、IoTデバイス210は、ステップS211において、デバイスに固有の識別子を添付した要求メッセージにより、公開鍵と秘密鍵とクライアント証明書とを要求する。なお、デバイスに固有の識別子には、デバイス情報やサービス情報が含まれてよい。デバイス管理サーバ220は、ステップS212において、デバイスに固有の識別子がデバイス管理サーバ220に登録済みかを確認する。そして、デバイス登録が確認できれば、デバイス管理サーバ220は、ステップS213において、サービス事業者の情報を含むクライアント証明書を生成する。デバイス管理サーバ220は、ステップS214において、IoTデバイス210からの要求に応答して公開鍵と秘密鍵とクライアント証明書とをIoTデバイス210に機密に送信する。IoTデバイス210は、ステップS215において、受信した公開鍵と秘密鍵とクライアント証明書とを機密に記憶して保持する。
また、デバイス管理サーバ220は、ステップS216において、一意の識別子(例えば、UUID)を生成する。そして、デバイス管理サーバ220は、ステップS217において、一意の識別子(UUID)をIoTデバイス210に機密に送信する。IoTデバイス210は、ステップS218において、受信した一意の識別子(UUID)を機密に記憶して保持する。なお、ステップS216の一意の識別子(UUID)の生成をステップS214の前に実行して、ステップS217の一意の識別子(UUID)の送信はステップS214に含ませてもよい。また、公開鍵および秘密鍵と、クライアント証明書とを別々にデバイス管理サーバ220からIoTデバイス210に機密に送信してもよい。
データ通信を含むサービス処理(S220)において、IoTデバイス210は、ステップS221において、デバイス認証(S210)で取得した公開鍵とクライアント証明書を添付してサービス提供サーバ230にサービス(アクセス)を要求する。サービス提供サーバ230は、ステップS222において、公開鍵とクライアント証明書とに基づいてIoTデバイス210が正当なデバイスか否かを認証する。正当なデバイスと認証されたならば、サービス提供サーバ230は、ステップS223において、サービス(アクセス)許可として、サーバ公開鍵を含み、サービス提供サーバ230が正当なサービス提供者であることを証明するサーバ証明書をIoTデバイス210に送信する。IoTデバイス210は、ステップS224において、受信したサーバ証明書によりサービス提供サーバ230が正当なサービス提供者であること認証する。IoTデバイス210とサービス提供サーバ230との互いの認証がされると、ステップS225およびS226において、IoTデバイス210とサービス提供サーバ230との間で暗号化データの送受信が実行される。
デバイスの使用を中止または停止するためのデバイスデアクティベーション処理(S230)において、IoTデバイス210は、ステップS231において、サービス提供サーバ230にデバイス認証(S210)で取得した一意の識別子(UUID)を用いてポーリングする。デバイス管理サーバ220は、ステップS233において、IoTデバイス210が使用中止になる場合には、公開鍵と秘密鍵とクライアント証明書との削除指示をIoTデバイス210に送信する。IoTデバイス210は、ステップS234において、機密に保持された公開鍵と秘密鍵とクライアント証明書とをIoTデバイス210から消去する。
なお、IoTデバイス210の使用中止は、デバイス管理サーバ220の判断であっても、ステップS232に示すようにサービス提供サーバ230から通知されても、IoTデバイス210からの要求であってもよい。さらに、他の条件に基づいてもよく特に制限はない。例えば、デバイス管理サーバ220との1回のセッション毎、あるいは、所定セッションごとに消去して更新するように構成してもよい。また、所定時間経過ごとに、消去して更新するように構成してもよい。
(アクティベーション要求:図中では、“Activate req”で示す)
図3Aは、本実施形態に係るアクティベーション要求手順を示すシーケンス図である。図3Aにおいて、IoTデバイス210は、SE(Secure Element)311とSE制御部312とを含む情報処理部310(本実施形態の情報処理装置に相当)と、DE(Device Element)320と、を備える。ここで、SE311は、公開鍵、秘密鍵、クライアント証明書、あるいは、一意の識別子(UUID)を機密に保持する保持部を構成する。また、SE制御部312は、デバイス管理サーバ220との通信による情報取得およびSE311に対する情報の機密保持を制御する。また、DE320は、IoTデバイス210に固有の処理を行う部分であり、例えばIoTデバイス210がセンサならばセンサ部分、IoTデバイス210がスマートフォンならばスマートフォンとしての機能部分などを表している。なお、この機能部の分け方は、本実施形態においてIoTデバイス210を説明する一例であって別の機能部に分けることもできる。
図3Aは、本実施形態に係るアクティベーション要求手順を示すシーケンス図である。図3Aにおいて、IoTデバイス210は、SE(Secure Element)311とSE制御部312とを含む情報処理部310(本実施形態の情報処理装置に相当)と、DE(Device Element)320と、を備える。ここで、SE311は、公開鍵、秘密鍵、クライアント証明書、あるいは、一意の識別子(UUID)を機密に保持する保持部を構成する。また、SE制御部312は、デバイス管理サーバ220との通信による情報取得およびSE311に対する情報の機密保持を制御する。また、DE320は、IoTデバイス210に固有の処理を行う部分であり、例えばIoTデバイス210がセンサならばセンサ部分、IoTデバイス210がスマートフォンならばスマートフォンとしての機能部分などを表している。なお、この機能部の分け方は、本実施形態においてIoTデバイス210を説明する一例であって別の機能部に分けることもできる。
情報処理部310のSE制御部312は、ステップS301において、デバイス管理サーバ220にアクティベーション要求(Activate req)を送信する。アクティベーション要求のBodyにはパラメータ、例えば、JSONとして、デバイスに固有の識別子が設定される。デバイスに固有の識別子としては、デバイス情報やサービス情報が含まれてよい。
ステップS303において、デバイス管理サーバ220からSE制御部312に、アクティベーション要求の応答として、例えばStatus 200(HTTP Status CodeのOK)が機密に返され、そのBodyにはバイナリデータが含まれている。このバイナリデータは、ステップS305において、SE制御部312からSE311に送信され、ステップS307においてSE311からの機密保持完了を示すSEレスポンスを受けると、最初のバイナリデータがSE311内に保持されたことが分かる。
以降、ステップS310において、SE制御部312は、SE311からのSEレスポンスを次のバイナリデータを要求する再開要求(Resume req)としてデバイス管理サーバ220に送信し、次のバイナリデータを機密に受信し、SE311に機密に保持する処理を繰り返す。このバイナリデータに、公開鍵と秘密鍵とクライアント証明書、および/または、一意の識別子(UUID)のデータが含まれている。
最後に、SE制御部312は、ステップS321において、デバイス管理サーバ220に対し再開要求(Resume req)を送信する。しかし、所望データの送信が完了したデバイス管理サーバ220からは、ステップS323において、例えばStatus 204(HTTP Status CodeのNo Content)を返し、アクティベーション要求の手順が終了する。
図3Bは、本実施形態に係るアクティベーション要求コマンドのパラメータ300の構成を示す図である。図3Bには、JSON(JavaScript(登録商標) Object Notation)の例を示すが、本実施形態と同様の動作を実現する他の異なるパラメータであってもよい。
アクティベーション要求コマンドのパラメータ300は、サービス情報330とデバイス情報340とを含む。サービス情報330は、サービスプロバイダーID(SP)と、サービスID(sv)と、サービスバージョン(version)などを含む。デバイス情報340は、IoTデバイスの造者名(manufacturer)と、IoTデバイスのモデル名(model)と、IoTデバイスのシリアル番号(serial)と、IoTデバイスのソフトウェアバージョン(sw_ver)と、IoTデバイスのハードウェアバージョン(hw_ver)と、を含む。なお、サービス情報330とデバイス情報340は、上記例に限定されるものではない。また、サービス固有拡張データ(extended object)は、サービスについての拡張データである。
図3Cは、本実施形態に係るアクティベーション要求コマンドへの応答データ301の構成例を示す図である。応答データ301は、クライアント証明書350と、公開鍵および秘密鍵360と、一意の識別子(UUID)370と、を含む。クライアント証明書350には、発行先としてサービス事業者などが含まれ、発行者として証明書の発行機関が含まれ、有効期限が含まれる。なお、これら応答データ301のSE311への機密な保持は、クライアント証明書350と、公開鍵および秘密鍵360とが関連付けられていれば、共通の記憶領域に保持されても異なる記憶領域に保持されてもよい。
(サービスアクセス要求)
図4Aは、本実施形態に係るSSLまたはTLSによるデータ通信手順を示すシーケンス図である。なお、図4Aにおいては、例えばIoTデバイス210がセンサの場合であって、サービス提供サーバ230に検出データを送信する例を説明する。ただし、サービス提供サーバ230からのデータ受信、あるいは、アプリケーションプログラムの受信などの処理も、図3Aとデータの流れが逆になるだけで類似しており、重複する説明は省略する。また、図4Aにおいて、図3Aと同様の構成要素には同じ参照番号を付して、重複する説明は省略する。
図4Aは、本実施形態に係るSSLまたはTLSによるデータ通信手順を示すシーケンス図である。なお、図4Aにおいては、例えばIoTデバイス210がセンサの場合であって、サービス提供サーバ230に検出データを送信する例を説明する。ただし、サービス提供サーバ230からのデータ受信、あるいは、アプリケーションプログラムの受信などの処理も、図3Aとデータの流れが逆になるだけで類似しており、重複する説明は省略する。また、図4Aにおいて、図3Aと同様の構成要素には同じ参照番号を付して、重複する説明は省略する。
図4Aにおいては、IoTデバイス210に、サービス提供サーバ230とのSSLまたはTLSによるデータ通信を処理するSSL/TLS処理部413が含まれる。なお、図4Aには、SE制御部312を図示していないが情報処理部310に含まれている。
SSL/TLS処理部413は、ステップS401において、SE311から公開鍵とクライアント証明書とを読み出す。このSE311からの公開鍵とクライアント証明書との読み出しは、SE制御部312を経由して行われてよい。SSL/TLS処理部413は、ステップS403において、サービス提供サーバ230へのアクセス(サービス)要求を、公開鍵およびクライアント証明書と共に送信する。そして、アクセス(サービス)要求の応答として、SSL/TLS処理部413は、ステップS405において、サービス提供サーバ230からサーバ証明書を含むアクセス許可通知を受信する。ここで、SSL/TLSのハンドシェイクでDHE(Ephemeral Diffie-Hellman)を用いる場合は、ステップS407において別途の鍵交換処理が実行される。
SSL/TLS処理部413は、ステップS409において、DE320に送信データ(本例の場合は、センサデータ)を要求する。その後、SSL/TLS処理部413は、ステップS410において、DE320からサービス提供サーバ230へのセンサデータの送信を繰り返す。なお、1回の送信で全データが送信される場合は、繰り返しはない。ステップS421において、DE320からセンサデータの送信終了が通知されると、SSL/TLS処理部413は、ステップS423において、センサデータ終了をサービス提供サーバ230に通知する。そして、SSL/TLS処理部413は、ステップS425において、SSL/TLS処理部413からの受信完了通知を受信して、サービスを終了する。そして、IoTデバイス210とサービス提供サーバ230は他のフェーズに移行する。この場合に、サービスを提供するサービス提供サーバ230が変更されてもよい。
図4Bは、本実施形態に係るSSLまたはTLSによるデータ通信におけるサーバ証明書450の構成を示す図である。
サーバ証明書450は、データとして、証明書の発行先(ウェブサイトの所有者:本実施形態のサービス提供サーバ230の所有者に相当)と、証明書の発行者(証明書の発行機関:本実施形態のデバイス管理サーバ220の所有者に相当)と、証明書の有効期間などを含む。また、RAS方式を使用する場合、サーバ証明書450は、ウェブサイトのRAS秘密鍵に対応するRAS公開鍵を含んでいる。
(ポーリング要求:図中では、“Polling req”で示す)
図5Aは、本実施形態に係るポーリング要求手順を示すシーケンス図である。なお、図5Aにおいて、図3Aと同様の構成要素およびステップには同じステップ番号を付して、重複する説明は省略する。
図5Aは、本実施形態に係るポーリング要求手順を示すシーケンス図である。なお、図5Aにおいて、図3Aと同様の構成要素およびステップには同じステップ番号を付して、重複する説明は省略する。
情報処理部310のSE制御部312は、ステップS501において、デバイス管理サーバ220にポーリング要求(Polling req)を送信する。ポーリング要求のBodyにはパラメータ、例えば、JSONとして、アクティベーション要求で取得された一意の識別子(UUID)が設定される。以下のステップS303〜S232の処理は、バイナリデータが鍵や証明書の削除を指示する指示コマンドである以外は同様である。
図5Bは、本実施形態に係るポーリング要求コマンドのパラメータ500の構成を示す図である。
ポーリング要求コマンドのパラメータ500は、一意の識別子(UUID)である。本実施形態においては、36文字が使用されているがこれに限定されない。この、UUIDは、アクティベーション要求でデバイス管理サーバ220から機密に配布されたUUIDである。
図5Cは、本実施形態に係るポーリング要求コマンドへの応答データ510の構成例を示す図である。
ポーリング要求コマンドへの応答データ510は、本実施形態においては、デバイス管理サーバ220からの公開鍵と秘密鍵とクライアント証明書との削除指示が含まれるが、これに限定されるものではない。
《デバイスの機能構成》
図6は、本実施形態に係る情報処理部310を含むIoTデバイス210の機能構成を示すブロック図である。なお、図6において、図3A、図4A、図5Aと同様の構成要素には同じ参照番号を付して、重複する説明を省略する。
図6は、本実施形態に係る情報処理部310を含むIoTデバイス210の機能構成を示すブロック図である。なお、図6において、図3A、図4A、図5Aと同様の構成要素には同じ参照番号を付して、重複する説明を省略する。
IoTデバイス210は、本実施形態の情報処理部310を構成するSE311およびSE制御部312と、DE320と、SSL/TLS処理部413とを備える。
SE制御部312は、通信制御部601と、要求メッセージ送信部602と、鍵および証明書受信部603と、鍵および証明書保持部604と、鍵および証明書消去部605と、SSL/TLS処理部413と、を備える。
通信制御部601は、ネットワークを介して、デバイス管理サーバ220やサービス提供サーバ230との通信を制御する。なお、通信制御部601は、SE制御部312およびSSL/TLS処理部413の通信制御に兼用されてもよいし、それぞれ別個に設けられてもよい。要求メッセージ送信部602は、デバイス管理サーバ220への要求メッセージ(例えば、Activate reqやPolling reqなど)を送信する。鍵および証明書受信部603は、デバイス管理サーバ220から要求メッセージに応答して返信された公開鍵と秘密鍵とクライアント証明書とを受信する。鍵および証明書保持部604は、受信された公開鍵と秘密鍵とクライアント証明書とをSE311に機密に保持する。鍵および証明書消去部605は、IoTデバイス210を使用しなくなった場合に、あるいは、使用を避ける場合、あるいは、定期的にデバイス認証を更新する場合などに、デバイス管理サーバ220からの指示で公開鍵と秘密鍵とクライアント証明書とを消去する。SSL/TLS処理部413は、受信して機密に保持された公開鍵と秘密鍵とクライアント証明書とを用いてSSL方式やTLS方式によりサービス提供サーバ230との暗号化データの通信を実行する。
《デバイス制御装置のハードウェア構成》
図7は、本実施形態に係る情報処理部310を含むIoTデバイス210のハードウェア構成を示すブロック図である。
図7は、本実施形態に係る情報処理部310を含むIoTデバイス210のハードウェア構成を示すブロック図である。
図7で、CPU(Central Processing Unit)710は演算制御用のプロセッサであり、プログラムを実行することで図6の機能を実現する。なお、CPU710は、それぞれの機能に対応して複数あってもよく、例えば、後述するNon Secure WorldとSecure Worldとは、異なるCPUで実現してもよい。また、SE制御部の処理とデバイスの処理とを、異なるCPUで並行に実行してもよい。ROM(Read Only Memory)720は、初期データおよびプログラムなどの固定データおよびプログラムを記憶する。ネットワークインタフェース730は、ネットワークを介して、デバイス管理サーバ220やサービス提供サーバ230との通信を制御する。SE311は、情報処理部310に含まれる機密情報の保持部であり、デバイス管理サーバ220に認証されて取得され、サービス提供サーバ230とのSSL/TLS処理に使用される、公開鍵と秘密鍵とクライアント証明書とを機密に記憶する。また、SE311は、デバイス管理サーバ220へのアクセスに使用される一意の識別子(UUID)も記憶する。
RAM(Random Access Memory)740は、CPU710が一時記憶のワークエリアとして使用するランダムアクセスメモリである。RAM740には、本実施形態の実現に必要なデータを記憶する領域が確保されている。送信コマンド741は、SE制御部312が外部装置に対して送信するアクティベーションやポーリングなどのコマンドである。送信パラメータ742は、送信コマンド741に付与されるJSONなどのパラメータである。送信データ743は、送信コマンド741に付与される、例えばデバイスがセンサ機能を有する場合は検出データである。受信コマンド744は、SE制御部312が外部装置から受信するコマンドである。受信パラメータ745は、受信コマンド744に付与される、例えばSE311からの機密情報の削除指示を含むパラメータである。受信データ746は、受信コマンド744に付与される、例えばデバイスがアプリケーションを更新・変更可能な場合はアプリケーションプログラムである。入出力データ748は、入出力インタフェース760を介して入出力機器などと交換するデータである。
ストレージ750は、データベースや各種のパラメータ、あるいは本実施形態の実現に必要な以下のデータまたはプログラムが記憶さる不揮発メモリである。デバイス情報340は、図3Bに示したアクティベーションコマンドのパラメータとして使用され得るデータである。サービス情報330は、図3Bに示したアクティベーションコマンドのパラメータとして使用され得るデータである。通信アルゴリズム751は、本IoTデバイス210のSE制御部312やSSL/TLS処理部413がデバイス管理サーバ220やサービス提供サーバ230と通信ために使用する通信プロトコルやシーケンス、フォーマットなどを記憶する。
ストレージ750には、以下のプログラムが格納される。デバイス制御プログラム752は、本IoTデバイス210全体を制御するプログラムである。SE制御プログラム753は、図3A、図5Aおよび図6のSE制御部312を実現するプログラムである。SE制御プログラム753は、デバイスアクティベーションモジュール754とデバイスデアクティベーションモジュール755とを含む。デバイスアクティベーションモジュール754は、デバイス管理サーバ220との間でデバイスをアクティベーションする、すなわち、公開鍵と秘密鍵とクライアント証明書とを受信してSE311に機密に保持するモジュールである。デバイスデアクティベーションモジュール755は、デバイス管理サーバ220からの指示でデバイスをデアクティベーション、すなわち、アクティベーション時に取得した公開鍵と秘密鍵とクライアント証明書とを消去するモジュールである。サービスプログラム756は、サービス提供サーバ230と接続してサービスを受けるためのプログラムであり、サービスアクティベーションモジュール757を有する。サービスアクティベーションモジュール757は、サービス提供サーバ230との間でサービスをアクティベーションして実行するモジュールである。
入出力インタフェース760は、入出力デバイスとのデータ入出力を制御するためのインタフェースを行なう。本実施形態においては、入出力インタフェース760には、表示部761と、操作部762と、デバイスがセンサの場合のセンサ部763とが接続される。入出力インタフェース760には、さらに、撮像部やGPS位置算出部、などが接続されてもよい。
なお、図7のRAM740やストレージ750には、IoTデバイス210や情報処理部310が有する汎用の機能や他の実現可能な機能に関連するプログラムやデータは図示されていない。
《デバイス制御装置の処理手順》
図8は、本実施形態に係る情報処理装置としての情報処理部310の処理手順を示すフローチャートである。このフローチャートは、図7のCPU710がRAM740を使用して実行し、図6のSE制御部312の機能構成部を実現する。
図8は、本実施形態に係る情報処理装置としての情報処理部310の処理手順を示すフローチャートである。このフローチャートは、図7のCPU710がRAM740を使用して実行し、図6のSE制御部312の機能構成部を実現する。
SE制御部312は、ステップS820において、SE311に公開鍵、秘密鍵、クライアント証明書が記憶されているか否かをチェックする。そして、SE制御部312は、ステップS821において、SE311内に公開鍵、秘密鍵、クライアント証明書が有るか無いかにより、分岐する。公開鍵、秘密鍵、クライアント証明書が無いと判定した場合、SE制御部312は、ステップS823において、対応するパラメータとしてデバイス情報やサービス情報から選ばれたデバイスに固有の識別子を取得して設定する。SE制御部312は、ステップS825において、アクティベーションメッセージを送信する。SE制御部312は、ステップS827において、アクティベーションメッセージへの応答を待つ。アクティベーションメッセージへの応答を受信すると、SE制御部312は、ステップS829において、応答メッセージを受信する。そして、SE制御部312は、ステップS831において、応答メッセージから公開鍵と秘密鍵とクライアント証明書とを抽出して機密にSE311に記憶する。なお、図示していないが、一意の識別子(UUID)も受信して機密にSE311に記憶する。
SE311内に公開鍵、秘密鍵、クライアント証明書が有ると判定された場合、SE制御部312は、ステップS841において、所定の閾値時間が経過したか否かを判定する。所定の閾値時間が経過したと判定した場合、SE制御部312は、ステップS843において、対応するパラメータとして、一意の識別子(UUID)をSE311から取得して設定する。SE制御部312は、ステップS845において、ポーリングメッセージを送信する。SE制御部312は、ステップS847において、ポーリングメッセージへの応答を待つ。ポーリングメッセージへの応答を受信すると、SE制御部312は、ステップS849において、公開鍵と秘密鍵とクライアント証明書との消去指示であるか否かを判定する。公開鍵と秘密鍵とクライアント証明書との消去指示であれば、SE制御部312は、ステップS851において、公開鍵と秘密鍵とクライアント証明書との消去処理を実行する。公開鍵と秘密鍵とクライアント証明書との消去指示でなければ、SE制御部312は、ステップS849において、他の指示された処理を実行する。
なお、SE311に公開鍵、秘密鍵、クライアント証明書が記憶されているか否かのチェックにおいては、全てが揃っている場合を有り、1つでも欠けていれば無いと判定するのが望ましい。
本実施形態によれば、公開鍵と秘密鍵とクライアント証明書とをデバイスの要求に基づいて機密に配布して機密保持し、デバイスが使用停止になる場合に公開鍵と秘密鍵とクライアント証明書とを消去するよう構成したので、IoTデバイスのクライアント証明書の有効期間を考慮したさらに効率的な管理をすることできる。
[第3実施形態]
次に、本発明の第3実施形態に係るデバイス管理システムについて説明する。本実施形態に係るデバイス管理システムのデバイスは、上記第2実施形態と比べると、デバイス内にSecure World (Secure OS Part)とNon Secure World (Non Secure OS Part)とを有する。そして、公開鍵と秘密鍵とクライアント証明書、または、一意の識別子(UUID)がSecure Worldに保持される点で異なる。その他の構成および動作は、第2実施形態と同様であるため、同じ構成および動作については同じ符号を付してその詳しい説明を省略する。なお、本実施形態の構成および動作の詳細は、特許文献2を参照されたい。
次に、本発明の第3実施形態に係るデバイス管理システムについて説明する。本実施形態に係るデバイス管理システムのデバイスは、上記第2実施形態と比べると、デバイス内にSecure World (Secure OS Part)とNon Secure World (Non Secure OS Part)とを有する。そして、公開鍵と秘密鍵とクライアント証明書、または、一意の識別子(UUID)がSecure Worldに保持される点で異なる。その他の構成および動作は、第2実施形態と同様であるため、同じ構成および動作については同じ符号を付してその詳しい説明を省略する。なお、本実施形態の構成および動作の詳細は、特許文献2を参照されたい。
《キーセットを格納する記憶部を機密部分に配置するソフトウェア階層》
図9は、本実施形態に係る情報処理部の機能構成を示すブロック図である。すなわち、本実施形態に係るコンテンツ保護部を組み込んだデバイスで、キーセットを格納する記憶部を機密部分に配置したIoTデバイス210のソフトウェア階層を示す図である。本実施形態のキーセットを格納する記憶部は、ハードウェア的に分離されたSecure World925内に、Middleware's Secure Data Part926として確保される。
図9は、本実施形態に係る情報処理部の機能構成を示すブロック図である。すなわち、本実施形態に係るコンテンツ保護部を組み込んだデバイスで、キーセットを格納する記憶部を機密部分に配置したIoTデバイス210のソフトウェア階層を示す図である。本実施形態のキーセットを格納する記憶部は、ハードウェア的に分離されたSecure World925内に、Middleware's Secure Data Part926として確保される。
IoTデバイス210のソフトウェア階層は、Application層(901および902)と、Middlewareとして提供されるHDCP SDK層(910)と、Middlewareとして提供される本実施形態の暗号化/復号層Middleware(920)と、OSとの接続層(931、932および933)と、OS層(941および942)と、ファームウェア(Firmware)層960と、ハードウェア層(950、951および952)とを有する。
(Application層)
User Application901は、暗復号化処理とセキュアに扱うべきデータを読み書きの機能が必要なユーザが独自に開発するアプリケーションを示す。一方、User Application902は、HDCP SDK910のAPIを使用してHDCP対向機とのAKE(Authentication and Key Exchange)開始の指示や、検出したトポロジーチェンジに対する具体的な動作の制御を行うアプリケーションを示す。ソース機器の場合は、AKEの完了後、送信するストリーミングデータを生成してHDCP SDK910に入力する。一方、シンク機器の場合、AKE完了後、HDCP SDK910が復号化したストリーミングデータの描画処理を行う。なお、Applicationは上記例に限定されない。種々の暗号化や復号に関連するハードウェアを利用するApplicationが接続可能である。
User Application901は、暗復号化処理とセキュアに扱うべきデータを読み書きの機能が必要なユーザが独自に開発するアプリケーションを示す。一方、User Application902は、HDCP SDK910のAPIを使用してHDCP対向機とのAKE(Authentication and Key Exchange)開始の指示や、検出したトポロジーチェンジに対する具体的な動作の制御を行うアプリケーションを示す。ソース機器の場合は、AKEの完了後、送信するストリーミングデータを生成してHDCP SDK910に入力する。一方、シンク機器の場合、AKE完了後、HDCP SDK910が復号化したストリーミングデータの描画処理を行う。なお、Applicationは上記例に限定されない。種々の暗号化や復号に関連するハードウェアを利用するApplicationが接続可能である。
(HDCP SDK層:所定の通信プロトコルのMiddleware)
HDCP SDK910は、例えば、HDCP 2.2 の仕様(HDCP Specification Rev. 2.2 Interface Independent Adaptation)に基づき、以下の機能を提供する。
(1) DCP(Digital Content Protection, LLC) が発行するデバイス鍵を使用して、対向となるHDCP機器とAKEを実行してセッションキーを共有する。
(2) セッションキーを使用したストリーミングデータの暗号化/復号化を行なう。
(3) 接続されているHDCP機器のトポロジーチェンジの検出と通知を行なう。
(4) HDCPソース機器の場合、SRM(System Renewability Message)リストに基づいた無効機器の検出を行なう。
HDCP SDK910は、例えば、HDCP 2.2 の仕様(HDCP Specification Rev. 2.2 Interface Independent Adaptation)に基づき、以下の機能を提供する。
(1) DCP(Digital Content Protection, LLC) が発行するデバイス鍵を使用して、対向となるHDCP機器とAKEを実行してセッションキーを共有する。
(2) セッションキーを使用したストリーミングデータの暗号化/復号化を行なう。
(3) 接続されているHDCP機器のトポロジーチェンジの検出と通知を行なう。
(4) HDCPソース機器の場合、SRM(System Renewability Message)リストに基づいた無効機器の検出を行なう。
HDCP SDK910のSecure Data Partは、AKEのシーケンスで扱うデータのうち、HDCPの仕様によりセキュアに扱うことが定められているデータを扱う箇所であり、例えば、セッションキーやDCPが発行するデバイス鍵などを保持する。一方、HDCP SDK910のNon Secure Data Partは、AKEのシーケンスで扱うデータのうち、ネットワーク上に非暗号データとして流れるなど、HDCPの仕様によりセキュアに扱うことが定められていないデータを扱う箇所であり、例えば、DCPが発行する公開鍵やHDCP機器の機能を示すフラグなどを保持する。また、HDCP SDK910のCommunication Partは、AKEを行う際に使用するネットワーク通信セッションの確立や、AKE完了後、セッションキーにより暗復号化されたストリーミングデータのやり取りを行う。
本実施形態において、HDCP SDK910は、AKEのシーケンスで扱うデータのうち、HDCPの仕様によりセキュアに扱うことが定められているデータ以外を扱う箇所であり、例えば、セッションキーやDCPが発行するデバイス鍵などを保持するためのSecure Data Partを有さない。Secure Data Partは、ハードウェア的に分離されたSecure World925内に、Middleware's Secure Data Part926として確保される。
(暗号化/復号層のMiddleware)
暗号化/復号層Middleware920は、Non Secure OS上のNon Secure OS Part(Non Secure World)924と、Secure OS上のSecure OS Part(Secure World)925と、に分離されている。
暗号化/復号層Middleware920は、Non Secure OS上のNon Secure OS Part(Non Secure World)924と、Secure OS上のSecure OS Part(Secure World)925と、に分離されている。
Non Secure World924は、User Application901または902から直接、あるいは、HDCP SDK層910を介してインタフェースするPublic API921と、ハードウェアとの接続を管理するPrivate Layer922と、Secure World925とのハードウェア的に分離されたデータ転送を行なうためのPorting Layer927と、を有する。
一方、Secure World925は、Non Secure World924とのハードウェア的に分離されたデータ転送を行なうためのPorting Layer928と、Secure World925内でハードウェアとの接続を管理するPrivate Layer922と、Secure World925内でハードウェア層951および952を各々制御するPorting Layer923と、Middleware's Secure Data Part926と、を有する。
なお、Porting Layer927とPorting Layer928との間のデータ転送929は、ファームウェア(Firmware)層960まで戻ることによって、ハードウェア的に分離される。
(OSとの接続層)
OSとの接続層は、新たに、Secure World925をSecureOS層942と接続するSoC depended Secure Middleware for Secure OS933、を有する。
OSとの接続層は、新たに、Secure World925をSecureOS層942と接続するSoC depended Secure Middleware for Secure OS933、を有する。
(OS層)
OS層は、Non Secure World924に対応するNon Secure OS driverおよびNon Secure OS941と、Secure World925に対応するSecure OS driverおよびSecure OS942と、を有する。
OS層は、Non Secure World924に対応するNon Secure OS driverおよびNon Secure OS941と、Secure World925に対応するSecure OS driverおよびSecure OS942と、を有する。
(ファームウェア層)
ファームウェア層960は、Non Secure World924とSecure World925とをハードウェア的に分離する。
ファームウェア層960は、Non Secure World924とSecure World925とをハードウェア的に分離する。
(ハードウェア層)
ハードウェア層は、SoC950と、各ハードウェア951あるいは952と、を有する。図9においては、Secure Storage Feature951とHardware Accelerated952とを示すが、これらに限定されない。他の機密保護の暗号化や復号に関連する機能を有するハードウェアが接続可能である。
ハードウェア層は、SoC950と、各ハードウェア951あるいは952と、を有する。図9においては、Secure Storage Feature951とHardware Accelerated952とを示すが、これらに限定されない。他の機密保護の暗号化や復号に関連する機能を有するハードウェアが接続可能である。
(Secure World)
Secure WorldとHDCP SDK910を組み合わせた場合、HDCP SDK910のSecure Data PartがSecure OS内に入り、Non Secure OS上で動作するHDCP SDKは、Secure Data Interfaceを使用してSecure OS内で動作するSecure Data Partとやり取りを行うことになる。
Secure WorldとHDCP SDK910を組み合わせた場合、HDCP SDK910のSecure Data PartがSecure OS内に入り、Non Secure OS上で動作するHDCP SDKは、Secure Data Interfaceを使用してSecure OS内で動作するSecure Data Partとやり取りを行うことになる。
本実施形態によれば、上記実施形態の効果に加えて、暗号鍵やサーバ証明書などをSecure World内に保持するので、機密性をさらに高めることができる。
[第4実施形態]
次に、本発明の第3実施形態に係るデバイス管理システムについて説明する。本実施形態に係るデバイス管理システムのデバイスは、上記第2実施形態および第3実施形態と比べると、デバイス内に、デバイス固有の識別子を用いて暗号化した公開鍵と秘密鍵とクライアント証明書とを保持するコンテンツ保護部を組み込んだ点で異なる。その他の構成および動作は、第2実施形態と同様であるため、同じ構成および動作については同じ符号を付してその詳しい説明を省略する。なお、本実施形態の構成および動作の詳細は、特許文献3を参照されたい。
次に、本発明の第3実施形態に係るデバイス管理システムについて説明する。本実施形態に係るデバイス管理システムのデバイスは、上記第2実施形態および第3実施形態と比べると、デバイス内に、デバイス固有の識別子を用いて暗号化した公開鍵と秘密鍵とクライアント証明書とを保持するコンテンツ保護部を組み込んだ点で異なる。その他の構成および動作は、第2実施形態と同様であるため、同じ構成および動作については同じ符号を付してその詳しい説明を省略する。なお、本実施形態の構成および動作の詳細は、特許文献3を参照されたい。
《コンテンツ保護部を組み込んだデバイスの構成》
図10は、本実施形態に係るコンテンツ保護部1021を組み込んだIoTデバイス210の構成を示すブロック図である。
図10は、本実施形態に係るコンテンツ保護部1021を組み込んだIoTデバイス210の構成を示すブロック図である。
IoTデバイス210は、アプリケーション1011と、暗号化コンテンツ格納部1012と、デバイス固有の識別子(ID)の記憶部1013と、を備える。暗号化コンテンツ格納部1012には、ブロック暗号化された暗号化コンテンツ1002が格納される。また、デバイス固有の識別子(ID)としては、IoTデバイス210の製造時に不揮発に記憶された製造番号などが使用されてよい。
アプリケーション1011は、本実施形態のコンテンツ保護部1021として機能するミドルウェア(Middleware)を含み、コンテンツ保護部1021のブロック暗号化および復号部1041に、コンテンツを分割したブロックに固有のブロック番号1022およびコンテンツを識別するコンテンツIDを提供する。
コンテンツ保護部1021として機能するミドルウェア(Middleware)は、コンテンツ保護処理部1031と、キーセット記憶部1032と、を有する。キーセット記憶部1032は、少なくとも公開鍵と秘密鍵とを含むキーセット1033を記憶する。
コンテンツ保護処理部1031は、ブロック暗号化および復号部1041と、キーセットのRSA署名検証部1042と、記憶部1013のデバイス固有の識別子によるRSA秘密鍵生成部1043と、復号RSA秘密鍵によるブロック暗号鍵セット生成部1044と、を含む。ブロック暗号化および復号部1041は、ブロックに固有のブロック番号1022およびコンテンツを識別するコンテンツIDを用いて、復号されたブロック暗号鍵セットにより、入力された入力コンテンツ1001をブロック暗号化して、暗号化コンテンツ1002を生成する。
ここで、ブロック暗号化および復号部1041で使用される復号されたブロック暗号鍵セットは、次の手順で生成される。
(1)キーセット記憶部1032に記憶された、暗号化ブロック暗号鍵セットとRSA公開鍵と暗号化RSA秘密鍵とのRSA署名されたキーセット1033を、RSA署名検証部1042で検証する。
(2)検証されたキーセットの暗号化RSA秘密鍵を、RSA秘密鍵生成部1043において記憶部1013のデバイス固有の識別子で復号して、復号RSA秘密鍵を生成する。
(3)検証されたキーセットの暗号化ブロック暗号鍵セットを、ブロック暗号鍵セット生成部1044において復号RSA秘密鍵により復号して、復号ブロック暗号鍵セットを生成する。
(1)キーセット記憶部1032に記憶された、暗号化ブロック暗号鍵セットとRSA公開鍵と暗号化RSA秘密鍵とのRSA署名されたキーセット1033を、RSA署名検証部1042で検証する。
(2)検証されたキーセットの暗号化RSA秘密鍵を、RSA秘密鍵生成部1043において記憶部1013のデバイス固有の識別子で復号して、復号RSA秘密鍵を生成する。
(3)検証されたキーセットの暗号化ブロック暗号鍵セットを、ブロック暗号鍵セット生成部1044において復号RSA秘密鍵により復号して、復号ブロック暗号鍵セットを生成する。
なお、本実施形態においては、暗号化と復号化は全く同じ構造になるので、プログラムで実装するのが容易である点、暗号化・復号化の際に使う「カウンタ」をContent IDとブロック番号から生成し、ブロックを任意の順番で暗号化・復号化することができることなどから、カウンタモード(CTRモード:CounTeR mode)を使用する。CTRモードは、1ずつ増加していくカウンタを暗号化して鍵ストリームを作りだすブロック暗号方式であり、カウンタの初期値は暗号化のたびにInitial Vector とContent ID、inputCtrとを元にして作る。しかしながら、使用するブロック暗号は、CTRモードに限定されない。
このように、RSA検証およびデバイス固有の識別子で復号したコンテンツ保護用鍵をコンテンツの暗号化および復号に使用するので、コンテンツ保護用鍵の不正取得によってもコンテンツの不正使用を充分に防ぐデバイスまたはデバイスが組み込まれた情報処理装置を提供することができる。
本実施形態によれば、上記実施形態の効果に加えて、コンテンツ保護用鍵の不正取得によってもコンテンツの不正使用を充分に防ぐことができる。
[他の実施形態]
なお、上記実施形態においては、IoTデバイスとサービス提供サーバ間のデータ暗号化通信としてSSL方式またはTLS方式を使用したが、他の方式であってもよい。その場合、使用されたデータ暗号化通信方式で使用される鍵や証明書などの情報をデバイスがあらかじめデバイス管理サーバから取得することになる。これらの構成においても、同様に効果を奏することができる。また、デバイス管理サーバから情報処理装置に機密に配布される情報は、サービス提供サーバに対して有用な情報であればよく、公開鍵、秘密鍵およびクライアント証明書の組に限定されるものではない。また、公開鍵、秘密鍵、クライアント証明書を機密保持する構成として図9または図10の構成例を示したが、この構成に限定されるものではない。
なお、上記実施形態においては、IoTデバイスとサービス提供サーバ間のデータ暗号化通信としてSSL方式またはTLS方式を使用したが、他の方式であってもよい。その場合、使用されたデータ暗号化通信方式で使用される鍵や証明書などの情報をデバイスがあらかじめデバイス管理サーバから取得することになる。これらの構成においても、同様に効果を奏することができる。また、デバイス管理サーバから情報処理装置に機密に配布される情報は、サービス提供サーバに対して有用な情報であればよく、公開鍵、秘密鍵およびクライアント証明書の組に限定されるものではない。また、公開鍵、秘密鍵、クライアント証明書を機密保持する構成として図9または図10の構成例を示したが、この構成に限定されるものではない。
また、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。また、それぞれの実施形態に含まれる別々の特徴を如何様に組み合わせたシステムまたは装置も、本発明の範疇に含まれる。
また、本発明は、複数の機器から構成されるシステムに適用されてもよいし、単体の装置に適用されてもよい。さらに、本発明は、実施形態の機能を実現する情報処理プログラムが、システムあるいは装置に直接あるいは遠隔から供給される場合にも適用可能である。したがって、本発明の機能をコンピュータで実現するために、コンピュータにインストールされるプログラム、あるいはそのプログラムを格納した媒体、そのプログラムをダウンロードさせるWWW(World Wide Web)サーバも、本発明の範疇に含まれる。特に、少なくとも、上述した実施形態に含まれる処理ステップをコンピュータに実行させるプログラムを格納した非一時的コンピュータ可読媒体(non-transitory computer readable medium)は本発明の範疇に含まれる。
Claims (4)
- IoTデバイスが備える情報処理部としての情報処理装置であって、
ネットワーク上でデータを暗号化し前記IoTデバイスを認証するために用いられる公開鍵および秘密鍵の配布、ならびに、前記IoTデバイスの信頼性を証明するクライアント証明書の配布を要求する要求メッセージであって、前記IoTデバイスに固有の識別子を含む要求メッセージを、デバイス管理サーバに送信する送信手段と、
前記デバイス管理サーバが前記要求メッセージに応答して機密に配布した、前記公開鍵と前記秘密鍵と前記クライアント証明書とを受信する受信手段と、
受信した前記公開鍵と前記秘密鍵と前記クライアント証明書とを保持する保持手段と、
前記保持手段に保持された前記公開鍵と前記秘密鍵と前記クライアント証明書とを用いて、サービスを提供するサービス提供サーバとネットワーク上でデータを暗号化して送受信する暗号化通信手段と、
前記IoTデバイスの使用を停止する場合に、前記保持手段に保持された前記公開鍵と前記秘密鍵と前記クライアント証明書とを消去する消去手段とを、
備え、
前記消去手段は、さらに、前記公開鍵と前記秘密鍵と前記クライアント証明書とを更新する場合に、前記保持手段に保持された前記公開鍵と前記秘密鍵と前記クライアント証明書とを所定時間ごとに消去し、
前記送信手段は、前記保持手段に前記公開鍵と前記秘密鍵と前記クライアント証明書との少なくとも1つが保持されてない場合に、前記要求メッセージを前記デバイス管理サーバに送信する情報処理装置。 - 前記消去手段は、前記デバイス管理サーバから前記情報処理装置に設定された一意の識別子(UUID:Universally Unique Identifier)を有する、前記デバイス管理サーバへのポーリング要求に応答する削除メッセージに基づいて、前記公開鍵と前記秘密鍵と前記クライアント証明書とを消去する請求項1に記載の情報処理装置。
- 前記情報処理装置は非機密部(Non Secure World)と機密部(Secure World)とを有し、前記保持手段は、前記公開鍵と前記秘密鍵と前記クライアント証明書とを機密に処理して保持する前記機密部にあり、前記識別子を用いて暗号化した前記公開鍵と前記秘密鍵と前記クライアント証明書とを保持する請求項1または2に記載の情報処理装置。
- IoTデバイスが備える情報処理部としての情報処理装置の制御プログラムであって、
ネットワーク上でデータを暗号化し前記IoTデバイスを認証するために用いられる公開鍵および秘密鍵の配布、ならびに、前記IoTデバイスの信頼性を証明するクライアント証明書の配布を要求する要求メッセージであって、前記IoTデバイスに固有の識別子を含む要求メッセージを、デバイス管理サーバに送信する送信ステップと、
前記デバイス管理サーバが前記要求メッセージに応答して機密に配布した、前記公開鍵と前記秘密鍵と前記クライアント証明書とを受信する受信ステップと、
受信した前記公開鍵と前記秘密鍵と前記クライアント証明書とを保持手段に保持する保持ステップと、
前記保持手段に保持された前記公開鍵と前記秘密鍵と前記クライアント証明書とを用いて、サービスを提供するサービス提供サーバとネットワーク上でデータを暗号化して送受信する暗号化通信ステップと、
前記IoTデバイスの使用を停止する場合に、前記保持手段に保持された前記公開鍵と前記秘密鍵と前記クライアント証明書とを消去する消去ステップと、
をコンピュータに実行させる情報処理装置の制御プログラムであって、
前記消去ステップにおいては、さらに、前記公開鍵と前記秘密鍵と前記クライアント証明書とを更新する場合に、前記保持手段に保持された前記公開鍵と前記秘密鍵と前記クライアント証明書とを所定時間ごとに消去し、
前記送信ステップにおいては、前記保持手段に前記公開鍵と前記秘密鍵と前記クライアント証明書との少なくとも1つが保持されてない場合に、前記要求メッセージを前記デバイス管理サーバに送信する情報処理装置の制御プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019108731A JP6894469B2 (ja) | 2019-06-11 | 2019-06-11 | 情報処理装置およびその制御プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019108731A JP6894469B2 (ja) | 2019-06-11 | 2019-06-11 | 情報処理装置およびその制御プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020202500A JP2020202500A (ja) | 2020-12-17 |
| JP6894469B2 true JP6894469B2 (ja) | 2021-06-30 |
Family
ID=73742164
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019108731A Active JP6894469B2 (ja) | 2019-06-11 | 2019-06-11 | 情報処理装置およびその制御プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6894469B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7561359B2 (ja) | 2021-08-20 | 2024-10-04 | パナソニックIpマネジメント株式会社 | 情報処理システム、第一管理装置、第二管理装置、及び、情報処理方法 |
| JP7116878B1 (ja) | 2022-02-28 | 2022-08-12 | 株式会社ユビキタスAi | デバイス管理システム、デバイス管理方法、デバイス管理サーバおよびIoTデバイス |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2452699A (en) * | 1998-01-09 | 1999-07-26 | Cybersafe Corporation | Client side public key authentication method and apparatus with short-lived certificates |
| JP3842569B2 (ja) * | 2000-03-31 | 2006-11-08 | 富士通株式会社 | 電子証明書の管理方法、装置、プログラム及び記憶媒体 |
| JP2002014929A (ja) * | 2000-04-26 | 2002-01-18 | Sony Corp | アクセス制御システム、アクセス制御方法、およびデバイス、アクセス制御サーバ、アクセス制御サーバ登録サーバ、データ処理装置、並びにプログラム記憶媒体 |
| JP2004297639A (ja) * | 2003-03-28 | 2004-10-21 | Hitachi Ltd | 公開鍵証明書の失効情報提供方法、および装置 |
| JP2005128996A (ja) * | 2003-09-30 | 2005-05-19 | Dainippon Printing Co Ltd | 情報処理装置、情報処理システム及びプログラム |
| JP2006246272A (ja) * | 2005-03-07 | 2006-09-14 | Fuji Xerox Co Ltd | 証明書取得システム |
| JP4761348B2 (ja) * | 2005-05-02 | 2011-08-31 | Kddi株式会社 | ユーザ認証方法およびシステム |
| US20100043016A1 (en) * | 2006-10-26 | 2010-02-18 | Panasonic Corporation | Application management device and application management method |
| US20100262991A1 (en) * | 2007-11-01 | 2010-10-14 | Lg Electronics Inc. | Method for processing data and iptv receiving device |
| CN105722067B (zh) * | 2014-12-02 | 2019-08-13 | 阿里巴巴集团控股有限公司 | 移动终端上数据加/解密方法及装置 |
-
2019
- 2019-06-11 JP JP2019108731A patent/JP6894469B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020202500A (ja) | 2020-12-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8181266B2 (en) | Method for moving a rights object between devices and a method and device for using a content object based on the moving method and device | |
| JP5062870B2 (ja) | 任意通信サービスのセキュリティ確保 | |
| JP4326443B2 (ja) | 情報処理装置および情報処理方法、並びにプログラム | |
| JP5749236B2 (ja) | 鍵付け替え管理装置および鍵付け替え管理方法 | |
| JP6096785B2 (ja) | 第1のエンティティから第2のエンティティにセキュリティモジュールの制御を移行する方法 | |
| TW202015378A (zh) | 密碼運算、創建工作密鑰的方法、密碼服務平台及設備 | |
| JP3857610B2 (ja) | 承継保証装置、通信装置、プログラム、及び記録媒体 | |
| JPWO2018070242A1 (ja) | 車載ゲートウェイ、鍵管理装置 | |
| US11153344B2 (en) | Establishing a protected communication channel | |
| JP5452192B2 (ja) | アクセス制御システム、アクセス制御方法およびプログラム | |
| JP6894469B2 (ja) | 情報処理装置およびその制御プログラム | |
| JP2018041224A (ja) | ソフトウェア更新システム | |
| CN107409043B (zh) | 基于中央加密的存储数据对产品的分布式处理 | |
| CN116561820B (zh) | 可信数据处理方法及相关装置 | |
| JP6603632B2 (ja) | Apiシステム及びデータ暗号化方法 | |
| JP6501701B2 (ja) | システム、端末装置、制御方法、およびプログラム | |
| JP4437310B2 (ja) | 公衆ネットワークを用いて専用仮想ネットワークを生成する方法 | |
| JP2017183930A (ja) | サーバ管理システム、サーバ装置、サーバ管理方法、及びプログラム | |
| JPWO2021009866A1 (ja) | データ配信システム、データ処理装置、及びプログラム | |
| KR20190007336A (ko) | 보안채널 생성 방법 및 그 장치와 이를 이용한 보안정보의 송수신 방법 및 그 장치 | |
| JP2007159009A (ja) | チケット保護方法およびクライアント | |
| JP2018032908A (ja) | 情報送信方法、情報処理方法、プログラム、復号方法、プログラム | |
| JP2009212747A (ja) | 電子署名システム | |
| JP7253809B2 (ja) | 情報処理システム、情報処理方法、IoTデバイス、情報処理装置およびその制御プログラム | |
| US12047496B1 (en) | Noncustodial techniques for granular encryption and decryption |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190708 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20190708 |
|
| A80 | Written request to apply exceptions to lack of novelty of invention |
Free format text: JAPANESE INTERMEDIATE CODE: A80 Effective date: 20190704 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190725 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20190821 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191003 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191202 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20200213 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200513 |
|
| C60 | Trial request (containing other claim documents, opposition documents) |
Free format text: JAPANESE INTERMEDIATE CODE: C60 Effective date: 20200513 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20200526 |
|
| C21 | Notice of transfer of a case for reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C21 Effective date: 20200602 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20200710 |
|
| C211 | Notice of termination of reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C211 Effective date: 20200714 |
|
| C22 | Notice of designation (change) of administrative judge |
Free format text: JAPANESE INTERMEDIATE CODE: C22 Effective date: 20201020 |
|
| C30 | Protocol of an oral hearing |
Free format text: JAPANESE INTERMEDIATE CODE: C30 Effective date: 20201214 |
|
| C302 | Record of communication |
Free format text: JAPANESE INTERMEDIATE CODE: C302 Effective date: 20201216 |
|
| C13 | Notice of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: C13 Effective date: 20210105 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210302 |
|
| C22 | Notice of designation (change) of administrative judge |
Free format text: JAPANESE INTERMEDIATE CODE: C22 Effective date: 20210406 |
|
| C23 | Notice of termination of proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C23 Effective date: 20210420 |
|
| C302 | Record of communication |
Free format text: JAPANESE INTERMEDIATE CODE: C302 Effective date: 20210423 |
|
| C03 | Trial/appeal decision taken |
Free format text: JAPANESE INTERMEDIATE CODE: C03 Effective date: 20210601 |
|
| C30A | Notification sent |
Free format text: JAPANESE INTERMEDIATE CODE: C3012 Effective date: 20210601 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210603 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6894469 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |