JP7106845B2 - Terminal device and verification method - Google Patents

Terminal device and verification method Download PDF

Info

Publication number
JP7106845B2
JP7106845B2 JP2017225064A JP2017225064A JP7106845B2 JP 7106845 B2 JP7106845 B2 JP 7106845B2 JP 2017225064 A JP2017225064 A JP 2017225064A JP 2017225064 A JP2017225064 A JP 2017225064A JP 7106845 B2 JP7106845 B2 JP 7106845B2
Authority
JP
Japan
Prior art keywords
data
terminal device
unit
server device
control chip
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017225064A
Other languages
Japanese (ja)
Other versions
JP2019096069A (en
Inventor
正明 今泉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toppan Inc
Original Assignee
Toppan Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toppan Inc filed Critical Toppan Inc
Priority to JP2017225064A priority Critical patent/JP7106845B2/en
Publication of JP2019096069A publication Critical patent/JP2019096069A/en
Application granted granted Critical
Publication of JP7106845B2 publication Critical patent/JP7106845B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)

Description

本発明は、端末装置、及び検証方法に関する。 The present invention relates to a terminal device and verification method.

近年、センサなどを様々な場所に設置し、その場所の環境データや、撮像データなどを取得するシステムが普及している。このようなシステムでは、通信ネットワークを介し、センサが搭載された端末装置と、データを集約するサーバ装置との間でデータが送受信される。端末装置には、スレーブとしての複数のセンサと、複数のセンサを制御するマスタとしての制御チップが搭載される。サーバ装置からセンサに対してデータが送信された場合、端末装置では制御チップを介してセンサへの設定がなされる。また、センサは、検知したデータを、制御チップを介してサーバ装置に送信する。つまり、端末装置では、サーバ装置とセンサとの間のデータの送受信が、常に制御チップを介して行われる。
このため、センサが増設されたり、センサに対する制御処理が頻繁に行われたりした場合には、サーバ装置とセンサとの間のデータの送受信が増大し、制御チップの負荷が増加してしまう。この対策として、サーバ装置とセンサとが、制御チップを介さずに、直接、データを送信することが考えられる。
特許文献1では、異なるファームウェアプログラムで動作する二以上のプロセッサを備える装置において、プロセッサ間でマスタとスレーブとの役割を交代させながら、装置の運用を継続させつつ、それぞれのファームウェアプログラムを更新させる技術が開示されている。 2. Description of the Related Art In recent years, a system in which sensors or the like are installed at various locations to acquire environmental data, imaging data, and the like of the locations has become widespread. In such a system, data is transmitted and received between a terminal device equipped with a sensor and a server device that collects data via a communication network. A terminal device is equipped with a plurality of sensors as slaves and a control chip as a master for controlling the plurality of sensors. When data is transmitted from the server device to the sensor, the terminal device sets the sensor via the control chip. The sensor also transmits the detected data to the server device via the control chip. In other words, in the terminal device, data transmission/reception between the server device and the sensor is always performed via the control chip.
Therefore, when sensors are added or when control processing for sensors is frequently performed, the amount of data transmitted and received between the server device and the sensors increases, increasing the load on the control chip. As a countermeasure, it is conceivable that the server device and the sensor directly transmit data without going through the control chip.
In Patent Document 1, in a device provided with two or more processors that operate with different firmware programs, a technique is provided in which the respective firmware programs are updated while continuing the operation of the device while alternating the roles of master and slave between the processors. is disclosed.

特開2016-103114号公報JP 2016-103114 A

通信ネットワークを介したデータの送受信では、ネットワーク上でデータが改ざんされるなど悪意ある攻撃を受けることがあり得る。サーバ装置が送信したデータが不正に改ざんされ、その改ざんされたデータをセンサが取得した場合、センサが不正に制御されてしまう可能性がある。このため、センサが取得するデータの正当性を検証する必要があるが、センサ自体にはデータの正当性を検証する機能が備えられていない場合がほとんどである。 Transmission and reception of data over a communication network may be subject to malicious attacks such as falsification of data on the network. If the data transmitted by the server device is illegally falsified and the sensor acquires the falsified data, the sensor may be illegally controlled. Therefore, it is necessary to verify the validity of the data acquired by the sensor, but in most cases the sensor itself does not have a function to verify the validity of the data.

本発明は、このような状況に鑑みてなされたもので、その目的は、制御チップの処理負
担を抑制しつつ、不正なデータか否かを把握することができる端末装置、及び検証方法を提供することにある。 SUMMARY OF THE INVENTION The present invention has been made in view of such circumstances, and an object of the present invention is to provide a terminal device and a verification method capable of grasping whether or not the data is illegal while suppressing the processing load on the control chip. is to provide

上述した課題を解決するために、本発明の一態様は、通信ネットワークを介してサーバ装置と通信する端末装置であって、マスタチップと、前記マスタチップからの指示に基づいて、前記マスタチップとの間で通信を行うスレーブチップと、セキュアエレメントと、を備え、前記マスタチップは、前記端末装置により受信された受信データを取得する第1の取得部と、前記受信データに基づいて、前記受信データの送信先を判定し、前記送信先が前記スレーブチップである場合、前記セキュアエレメントに前記受信データの正当性を検証させ、その検証結果に基づいて、前記受信データが正当であると判定される場合、前記受信データを前記スレーブチップに転送するデータ処理部と、を有し、前記セキュアエレメントは、前記マスタチップから前記受信データを取得する第2の取得部と、前記第2の取得部により取得された前記受信データの正当性を検証し、前記受信データが正当か否かを示す検証結果を前記マスタチップに出力する検証部と、を有する端末装置である。 To solve the above-described problems, one aspect of the present invention is a terminal device that communicates with a server device via a communication network , comprising: a master chip; a slave chip that communicates with a master chip; and a secure element. determining a destination of the received data, and if the destination is the slave chip, causing the secure element to verify the validity of the received data, and determining that the received data is valid based on the verification result. a data processing unit that transfers the received data to the slave chip, the secure element includes a second acquisition unit that acquires the received data from the master chip; and a verifying unit that verifies the validity of the received data acquired by the acquiring unit of and outputs a verification result indicating whether or not the received data is valid to the master chip .

本発明によれば、制御チップの処理負担を抑制しつつ、不正なデータか否かを把握することができる。 According to the present invention, it is possible to grasp whether or not the data is illegal while reducing the processing load on the control chip.

実施形態の処理システム1の構成例を示すシステム構成図である。1 is a system configuration diagram showing a configuration example of a processing system 1 of an embodiment; FIG. 実施形態のサーバ装置10の構成例を示すブロック図である。1 is a block diagram showing a configuration example of a server device 10 according to an embodiment; FIG. 実施形態の制御チップ32の構成例を示すブロック図である。3 is a block diagram showing a configuration example of a control chip 32 of the embodiment; FIG. 実施形態のセンサモジュール34の構成例を示すブロック図である。3 is a block diagram showing a configuration example of a sensor module 34 of the embodiment; FIG. 実施形態のSE40の構成例を示すブロック図である。It is a block diagram which shows the structural example of SE40 of embodiment. 実施形態の制御チップ32の動作例を示すフローチャートである。4 is a flowchart showing an operation example of the control chip 32 of the embodiment; 実施形態の処理システム1の動作例を示すシーケンスチャートである。4 is a sequence chart showing an operation example of the processing system 1 of the embodiment; 実施形態の処理システム1の動作例を示すシーケンスチャートである。4 is a sequence chart showing an operation example of the processing system 1 of the embodiment; 実施形態の処理システム1の動作例を示すシーケンスチャートである。4 is a sequence chart showing an operation example of the processing system 1 of the embodiment;

以下、実施形態のセキュアエレメント、端末装置、サーバ装置、検証方法、及びプログラムを、図面を参照して説明する。 A secure element, a terminal device, a server device, a verification method, and a program according to embodiments will be described below with reference to the drawings.

図1は、実施形態の処理システム1の構成例を示すシステム構成図である。
処理システム1は、例えば、サーバ装置10と端末装置30とを備える。サーバ装置10と端末装置30とは、通信ネットワーク20を介して互いに通信可能に接続される。 FIG. 1 is a system configuration diagram showing a configuration example of a processing system 1 according to an embodiment.
The processing system 1 includes, for example, a server device 10 and a terminal device 30 . The server device 10 and the terminal device 30 are communicably connected to each other via the communication network 20 .

サーバ装置10は、端末装置30からデータを取得する。サーバ装置10は、端末装置30から取得した撮像データ等のデータを蓄積し、蓄積したデータに基づいてユーザの操作に応じた画像を表示する等し、様々なサービスを提供する。
また、サーバ装置10は、端末装置30に対してデータを送信する。サーバ装置10から端末装置30に対して送信されるデータは、例えば端末装置30に対する制御を行うためのデータである。 The server device 10 acquires data from the terminal device 30 . The server device 10 accumulates data such as imaging data obtained from the terminal device 30, and provides various services such as displaying an image according to a user's operation based on the accumulated data.
The server device 10 also transmits data to the terminal device 30 . The data transmitted from the server device 10 to the terminal device 30 is data for controlling the terminal device 30, for example.

端末装置30は、通信モジュール31と、制御チップ32と、センサモジュール34(センサモジュール34-1、…34-N)(但し、Nは任意の自然数)と、SE(セキュアエレメント、Secure Element)40とを備える。
通信モジュール31は、通信ネットワーク20を介して、サーバ装置10や、その他の通信装置により端末装置30に対して送信されたデータを受信する。通信モジュール31は、受信したデータを、制御チップ32に出力する。また、通信モジュール31は、制御チップ32の制御により、センサモジュール34により取得されたデータをサーバ装置10に送信する。 The terminal device 30 includes a communication module 31, a control chip 32, a sensor module 34 (sensor modules 34-1, . . . 34-N) (where N is any natural number), and an SE (Secure Element) 40. and
The communication module 31 receives data transmitted from the server device 10 or other communication devices to the terminal device 30 via the communication network 20 . The communication module 31 outputs the received data to the control chip 32 . The communication module 31 also transmits data acquired by the sensor module 34 to the server device 10 under the control of the control chip 32 .

制御チップ32は、端末装置30の他の機能部(通信モジュール31、センサモジュール34、及びSE40)を制御する。制御チップ32は、端末装置30の機能を実現させるために端末装置30の各機能部が連携して動作する際に、他の機能部を制御するマスタ側として動作する。つまり、制御チップ32は、「マスタチップ」の一例である。一方、端末装置30の他の機能部は、端末装置30の機能を実現させるために端末装置30の各機能部が連携して動作する際に、制御チップ32により制御されるスレーブ側として動作する。つまり、通信モジュール31、センサモジュール34、及びSE40は、「スレーブチップ」の一例である。 The control chip 32 controls other functional units of the terminal device 30 (communication module 31, sensor module 34, and SE 40). The control chip 32 operates as a master side that controls other functional units when the functional units of the terminal device 30 operate in cooperation to realize the functions of the terminal device 30 . That is, the control chip 32 is an example of a "master chip." On the other hand, other functional units of the terminal device 30 operate as slaves controlled by the control chip 32 when the functional units of the terminal device 30 operate in cooperation to realize the functions of the terminal device 30. . That is, the communication module 31, the sensor module 34, and the SE 40 are examples of "slave chips."

センサモジュール34は、例えば撮像機能を備えた撮像モジュールである。センサモジュール34は、温度や湿度を検知する環境センサであってもよい。また、センサモジュール34はデータを出力する機能を備えていてもよい。例えば、端末装置30がスマート家電である場合には、センサモジュール34は、制御チップ32の指示により家電を起動又は停止させたり、あるいは稼働状況を変更させたりする信号を出力してもよい。端末装置30が携帯端末である場合には、センサモジュール34は画像を表示するディスプレイ、音を出力するスピーカ等であってもよい。 The sensor module 34 is, for example, an imaging module having an imaging function. Sensor module 34 may be an environmental sensor that senses temperature and humidity. Also, the sensor module 34 may have a function of outputting data. For example, if the terminal device 30 is a smart home appliance, the sensor module 34 may output a signal to start or stop the home appliance or change its operating status according to instructions from the control chip 32 . When the terminal device 30 is a mobile terminal, the sensor module 34 may be a display for displaying images, a speaker for outputting sound, or the like.

SE40は、検証機能又は暗号化機能を備える検証チップである。SE40は、例えば、セキュアICチップ、セキュアチップ、セキュアIC等と称される。SE40は、外部からの悪意ある攻撃から情報を守る堅牢な構造を持ち耐タンパ性を備えていてもよい。ただし、SE40は、検証機能又は暗号化機能を有するICチップであればよく、セキュアICチップ等に限定されることはない。例えば、SE40は、暗号ライブラリを備えたICチップであってもよい。
また、SE40は、例えばプラスチック等のカード機材に、SE40が実装されたICカード、又はSIMカード(Subscriber Identity Module Card)であってもよい。この場合、SE40は、ICカード、又はSIMカードのコンタクト部を介して端末装置30と通信を行う。コンタクト部は、ICカード又はSIMカードが動作するために必要な各種信号の端子を有している。各種信号の端子は、端末装置30から電源電圧、クロック信号、リセット信号の供給を受ける端子、及び端末装置30と通信を行うシリアルデ―タ入出力端子である。 SE 40 is a verification chip with verification or encryption functions. The SE 40 is called, for example, a secure IC chip, a secure chip, a secure IC, or the like. The SE 40 may have a robust structure and tamper resistance to protect information from malicious attacks from the outside. However, the SE 40 may be any IC chip having a verification function or an encryption function, and is not limited to a secure IC chip or the like. For example, SE 40 may be an IC chip with a cryptographic library.
Also, the SE 40 may be an IC card or a SIM card (Subscriber Identity Module Card) in which the SE 40 is mounted on a card material such as plastic. In this case, the SE 40 communicates with the terminal device 30 via the contact portion of the IC card or SIM card. The contact section has terminals for various signals necessary for the operation of the IC card or SIM card. Terminals for various signals are terminals for receiving power supply voltage, clock signal, and reset signal from the terminal device 30 and serial data input/output terminals for communicating with the terminal device 30 .

図2は、実施形態のサーバ装置10の構成例を示すブロック図である。
サーバ装置10は、サーバ通信部11と、サーバ制御部12と、出力部13とを備える。サーバ通信部11は、通信ネットワーク20に接続され、通信ネットワーク20を介して、端末装置30、及び他の通信装置と通信を行う。サーバ制御部12は、サーバ通信部11を介して端末装置30等から取得したデータを、サーバ装置10の記憶部(不図示)に記憶させる。出力部13は、サーバ装置10の入力部(不図示)にユーザの操作等により入力された情報に基づいて、記憶部に記憶させた情報からユーザの所望の情報を出力する。 FIG. 2 is a block diagram showing a configuration example of the server device 10 of the embodiment.
The server device 10 includes a server communication section 11 , a server control section 12 and an output section 13 . The server communication unit 11 is connected to the communication network 20 and communicates with the terminal device 30 and other communication devices via the communication network 20 . The server control unit 12 causes the storage unit (not shown) of the server device 10 to store data acquired from the terminal device 30 or the like via the server communication unit 11 . The output unit 13 outputs information desired by the user from the information stored in the storage unit based on information input to an input unit (not shown) of the server device 10 by user's operation or the like.

また、サーバ制御部12は、端末装置30に対して送信するデータを生成する。
本実施形態では、サーバ制御部12は、端末装置30に対して送信するデータに、送信先を示す情報(送信先情報)を含めて送信する。つまり、サーバ制御部12は、端末装置30に対して送信するデータに、端末装置30の制御チップ32に対して送信するデータであるのか、センサモジュール34に対して送信するデータであるのか、その他の機能部に対して送信するデータなのか、を含めて送信する。サーバ制御部12は、例えば、端末装置30に対して送信するデータの特定の箇所に、端末装置30の各機能部に対応するアドレス情報や識別番号を設定することにより、送信先情報を通知する。 The server control unit 12 also generates data to be transmitted to the terminal device 30 .
In this embodiment, the server control unit 12 transmits data including information indicating a destination (destination information) to the terminal device 30 . That is, the server control unit 12 determines whether the data to be transmitted to the terminal device 30 is data to be transmitted to the control chip 32 of the terminal device 30, data to be transmitted to the sensor module 34, and other data. It is transmitted including whether it is data to be transmitted to the functional part of . The server control unit 12 notifies the destination information by, for example, setting address information and an identification number corresponding to each function unit of the terminal device 30 in a specific portion of the data to be transmitted to the terminal device 30. .

また、サーバ装置10は、端末装置30にデータを送信する際、データとともに認証コード(例えば、MAC(Message Authentication Code))を送信する。認証コードは、データに基づいて導出される所定の符号であって、例えば、サーバ装置10と端末装置30との間で予め定めた共通の暗号鍵(共通鍵)とデータとに基づいて導出される符号である。端末装置30が受信したデータと、共通鍵とを用いて導出された認証コードが、端末装置30が受信した認証コードと一致した場合、端末装置30が受信したデータは、サーバ装置10側で生成されたデータと同じデータであり、通信の途中で改ざんされていないデータ、つまり正当なデータであると判定できる。一方で、端末装置30側で導出された認証コードと、端末装置30側で受信された認証コードとが不一致であった場合、端末装置30が受信したデータは、途中で改ざんされた不正なデータであると判定することができる。 Further, when transmitting data to the terminal device 30, the server device 10 transmits an authentication code (for example, MAC (Message Authentication Code)) together with the data. The authentication code is a predetermined code derived based on data, for example, derived based on a common cryptographic key (common key) predetermined between the server device 10 and the terminal device 30 and data. is a sign that When the data received by the terminal device 30 and the authentication code derived using the common key match the authentication code received by the terminal device 30, the data received by the terminal device 30 are generated by the server device 10 side. It can be determined that the data is the same as the data that has been transmitted and that the data has not been tampered with during communication, that is, the data is valid. On the other hand, if the authentication code derived on the terminal device 30 side and the authentication code received on the terminal device 30 side do not match, the data received by the terminal device 30 is illegal data that has been falsified on the way. It can be determined that

図3は、実施形態の制御チップ32の構成例を示すブロック図である。
制御チップ32は、通信部320と、記憶部322と、制御部324とを備える。
通信部320は、通信モジュール31、センサモジュール34、及びSE40と通信を行う。通信部320は、例えば、通信モジュール31等との通信において、マスタ側として動作する。通信部320は、通信モジュール31等の他の機能部に通信の開始を要求し、要求に応じた機能部に対し通信を行う。
通信部320は、通信モジュール31等の他の機能部からデータを取得し、取得したデータを記憶部322の受信データを記憶させる領域(受信バッファ)(不図示)に記憶させる。また、通信部320は、通信モジュール31等の他の機能部から取得したデータを制御部324に出力する。また、通信部320は、制御部324の指示により、記憶部322の送信データを記憶させる領域(送信バッファ)に記憶されたデータを通信モジュール31等に対してデータを出力する。 FIG. 3 is a block diagram showing a configuration example of the control chip 32 of the embodiment.
The control chip 32 includes a communication section 320 , a storage section 322 and a control section 324 .
The communication unit 320 communicates with the communication module 31, the sensor module 34, and the SE40. The communication unit 320 operates as a master side in communication with the communication module 31 and the like, for example. The communication unit 320 requests other functional units such as the communication module 31 to start communication, and performs communication with the functional units that respond to the request.
The communication unit 320 acquires data from other functional units such as the communication module 31 and stores the acquired data in an area (reception buffer) (not shown) for storing received data of the storage unit 322 . The communication unit 320 also outputs data acquired from other functional units such as the communication module 31 to the control unit 324 . Further, the communication unit 320 outputs the data stored in the area (transmission buffer) for storing the transmission data of the storage unit 322 to the communication module 31 and the like according to the instruction of the control unit 324 .

記憶部322は、制御チップ32の各種処理を実行するためのプログラム、及びデータ等を記憶する。記憶部322は、例えば、通信情報記憶部323を備える。通信情報記憶部323は、通信モードを記憶する。
通信モードは、端末装置30におけるデータの通信の方法を示すモードである。通信モードには、少なくともマスタモードと、スレーブモードとの二つのモードがある。
マスタモードでは、制御チップ32が主体となって他の機能部を制御する。マスタモードでは、制御チップ32がサーバ装置10から端末装置30に送信された全てデータの内容を解釈し、解釈した内容に応じて他の機能部を制御する。
スレーブモードでは、マスタモードにて制御チップ32が行う処理の一部を、他の機能部に行わせる。スレーブモードでは、制御チップ32は、サーバ装置10から他の機能部(センサモジュール34等)に対して送信されたデータについては、そのデータの内容を解釈することなく、送信先の他の機能部(センサモジュール34等)にデータを転送する。 The storage unit 322 stores programs and data for executing various processes of the control chip 32 . The storage unit 322 includes a communication information storage unit 323, for example. The communication information storage unit 323 stores communication modes.
The communication mode is a mode indicating a data communication method in the terminal device 30 . Communication modes include at least two modes, a master mode and a slave mode.
In the master mode, the control chip 32 mainly controls other functional units. In the master mode, the control chip 32 interprets the content of all data transmitted from the server device 10 to the terminal device 30, and controls other functional units according to the interpreted content.
In the slave mode, part of the processing performed by the control chip 32 in the master mode is performed by other functional units. In the slave mode, the control chip 32 does not interpret the data transmitted from the server device 10 to other functional units (sensor module 34, etc.), and transmits the data to the other functional units at the destination. (sensor module 34, etc.).

制御部324は、制御チップ32を統括的に制御する。制御部324は、取得部325と、データ処理部326と、割り込み処理部327とを備える。
取得部325は、サーバ装置10から端末装置30に対して送信されたデータを、通信モジュール31及び通信部320を介して取得する。データ処理部326は、取得したデータの送信先を判定し、判定した送信先の応じた処理を行う。具体的には、データ処理部326は、取得したデータの送信先が制御チップ32である場合、マスタモードにてデータの処理を行う。この場合、データ処理部326は、通信情報記憶部323の通信モードに「0」を記憶させる。また、データ処理部326は、取得したデータの送信先が制御チップ32ではない他の機能部(例えば、センサモジュール34)である場合、スレーブモードにてデータの処理を行う。この場合、データ処理部326は、通信情報記憶部323の通信モードに「1」を記憶させる。 The control unit 324 controls the control chip 32 in an integrated manner. The control unit 324 includes an acquisition unit 325 , a data processing unit 326 and an interrupt processing unit 327 .
The acquisition unit 325 acquires data transmitted from the server device 10 to the terminal device 30 via the communication module 31 and the communication unit 320 . The data processing unit 326 determines the transmission destination of the acquired data, and performs processing according to the determined transmission destination. Specifically, when the destination of the acquired data is the control chip 32, the data processing unit 326 processes the data in the master mode. In this case, the data processing unit 326 stores “0” in the communication mode of the communication information storage unit 323 . Further, when the destination of the acquired data is a functional unit other than the control chip 32 (for example, the sensor module 34), the data processing unit 326 processes the data in the slave mode. In this case, the data processing unit 326 stores “1” in the communication mode of the communication information storage unit 323 .

データ処理部326は、マスタモードの場合、取得したデータの内容を解釈し、解釈したデータの内容に基づいた設定を行う。マスタモードの場合、データには制御チップ32に対する制御の内容が示されている。マスタモードの場合、データ処理部326は、データに示された制御の内容を解釈し、解釈した内容に応じて制御チップ32の設定を行う。 In the case of the master mode, the data processing unit 326 interprets the contents of the acquired data and makes settings based on the contents of the interpreted data. In master mode, the data indicates the content of control for the control chip 32 . In the master mode, the data processing unit 326 interprets the contents of control indicated by the data, and sets the control chip 32 according to the interpreted contents.

データ処理部326は、スレーブモードの場合、取得したデータの内容を解釈することなく、取得したデータを送信先の機能部(例えば、センサモジュール34)に転送する。スレーブモードの場合、データには制御チップ32ではない他の機能部(例えば、センサモジュール34)に対する制御の内容が示されている。スレーブモードの場合、データ処理部326は、データに示された制御の内容を解釈することなく、取得したデータを送信先に転送する。データ処理部326は、データを送信先に転送する場合、記憶部322のセンサモジュール34に対応する送信バッファ(不図示)に、取得したデータを記憶させ、通信部320にデータの送信を指示する。データ処理部326がデータの内容を解釈しないことで、制御チップ32の処理負担を軽減させることが可能となる。 In the slave mode, the data processing unit 326 transfers the acquired data to the destination functional unit (for example, the sensor module 34) without interpreting the content of the acquired data. In the slave mode, the data indicates the contents of control for other functional units (eg, sensor module 34) other than the control chip 32. FIG. In the slave mode, the data processing unit 326 transfers the acquired data to the transmission destination without interpreting the content of control indicated in the data. When transferring data to the destination, the data processing unit 326 stores the acquired data in a transmission buffer (not shown) corresponding to the sensor module 34 of the storage unit 322 and instructs the communication unit 320 to transmit the data. . Since the data processing unit 326 does not interpret the contents of the data, the processing load on the control chip 32 can be reduced.

また、データ処理部326は、スレーブモードの場合、SE40に取得したデータの正当性を検証させる。具体的には、データ処理部326は、取得したデータをSE40に出力する。データ処理部326は、記憶部322のSE40に対応する送信バッファ(不図示)に、取得したデータを記憶させ、通信部320にデータの送信を指示する。そして、データ処理部326は、SE40からの検証結果を、通信部320を介して取得し、検証結果によりデータが正当であることが示された場合に、当該データをセンサモジュール34に出力する。これにより、正当性が保障された安全なデータをセンサモジュール34に転送することが可能となる。 Also, in the slave mode, the data processing unit 326 causes the SE 40 to verify the validity of the acquired data. Specifically, the data processing unit 326 outputs the acquired data to the SE40. The data processing unit 326 stores the acquired data in a transmission buffer (not shown) corresponding to the SE40 of the storage unit 322, and instructs the communication unit 320 to transmit the data. Then, the data processing unit 326 acquires the verification result from the SE 40 via the communication unit 320, and outputs the data to the sensor module 34 when the verification result indicates that the data is valid. This makes it possible to transfer safe data whose validity is guaranteed to the sensor module 34 .

データ処理部326は、SE40にデータの正当性を検証させた場合、その検証結果に基づいて、データが正当である場合にはデータをセンサモジュール34に転送し、データが正当でない場合にはデータを破棄するようにしてもよい。データ処理部326が正当でないデータを破棄することで、センサモジュール34が正当でない不正なデータにより不正に制御されることを抑止することが可能となる。 When having the SE 40 verify the validity of the data, the data processing unit 326 transfers the data to the sensor module 34 if the data is valid based on the verification result, and transfers the data to the sensor module 34 if the data is not valid. may be discarded. Since the data processing unit 326 discards the invalid data, it is possible to prevent the sensor module 34 from being illegally controlled by the invalid data.

なお、上記では、データ処理部326は、取得部325からデータを取得する都度、データの正当性を検証する場合を例示して説明したが、これに限定されることはない。データ処理部326は、サーバ装置10と端末装置30との間で通信が連続して行われる場合などにおいて、最初のデータの正当性を検証した結果、データが正当であると判定された場合には、その後に続くデータについては、データが正当であるとして、検証を省くようにしてもよい。サーバ装置10と端末装置30との間で通信が連続して行われる場合とは、例えば、一連のデータが複数のデータブロックに分割され、順に送信される場合である。 In the above description, the data processing unit 326 verifies the validity of the data each time it acquires data from the acquisition unit 325, but the present invention is not limited to this. When the data processing unit 326 verifies the validity of the first data in a case such as when communication is continuously performed between the server device 10 and the terminal device 30, the data processing unit 326 determines that the data is valid. may omit the verification of subsequent data, assuming that the data is valid. A case where communication is continuously performed between the server device 10 and the terminal device 30 is, for example, a case where a series of data is divided into a plurality of data blocks and transmitted in order.

データ処理部326は、例えば、取得部325からデータを取得した場合、データが一連のデータの一部のデータブロックであるか否かを判定する。データ処理部326は、取得したデータが、データブロックである場合には、最初のデータブロックか否かを判定する。そして、データ処理部326は、最初のデータブロックでない場合には、通信情報記憶部323を参照し、通信モードに「1」が記憶されていた場合、データを検証することなく、センサモジュール34に転送する。 For example, when data is acquired from the acquisition unit 325, the data processing unit 326 determines whether the data is part of a data block of a series of data. If the acquired data is a data block, the data processing unit 326 determines whether it is the first data block. If the data block is not the first data block, the data processing unit 326 refers to the communication information storage unit 323, and if the communication mode stores "1", the data is sent to the sensor module 34 without verifying the data. Forward.

割り込み処理部327は、センサモジュール34や、他の機能部からの割り込み信号が出力された場合に、当該割り込み信号に応じた処理を行う。センサモジュール34が、所定の閾値を超えたデータを取得した場合などに、不定期にセンサモジュール34からサーバ装置10に対してデータを送信することがある。このような場合、センサモジュール34は、制御チップに対して割り込み信号を出力する。割り込み信号は、例えば、通信部320を介して割り込み処理部327に通知される。割り込み処理部327は、通知された割り込み信号に応じた処理を行う。
割り込み処理部327は、例えば、センサモジュール34からサーバ装置10に対してデータを送信することを示す割り込み信号を取得した場合、通信部320を介してセンサモジュール34に対してデータを要求する信号を出力し、センサモジュール34からデータを取得する。割り込み処理部327は、取得したデータを、データ処理部326に出力する。 When an interrupt signal is output from the sensor module 34 or another functional unit, the interrupt processing unit 327 performs processing according to the interrupt signal. When the sensor module 34 acquires data exceeding a predetermined threshold value, the sensor module 34 may occasionally transmit data to the server device 10 . In such a case, the sensor module 34 outputs an interrupt signal to the control chip. The interrupt signal is notified to the interrupt processing unit 327 via the communication unit 320, for example. The interrupt processing unit 327 performs processing according to the notified interrupt signal.
For example, when the interrupt processing unit 327 acquires an interrupt signal indicating that data is to be transmitted from the sensor module 34 to the server device 10 , the interrupt processing unit 327 transmits a signal requesting data to the sensor module 34 via the communication unit 320 . output and acquire data from the sensor module 34 . The interrupt processing unit 327 outputs the acquired data to the data processing unit 326 .

図4は、実施形態のセンサモジュール34の構成例を示すブロック図である。センサモジュール34は、通信部340と、センサ制御部341と、センサ部342とを備える。
通信部340は、制御チップ32と通信を行う。通信部340は、制御チップ32との通信において、スレーブ側として動作する。通信部340は、制御チップ32から通信の要求があった場合、その要求に応じて制御チップ32との通信を行う。
通信部340は、制御チップ32からデータを送信する要求があった場合、センサモジュール34の記憶部(不図示)の送信データを記憶させる領域(送信バッファ)に記憶されたデータを、制御チップ32に対して送信する。 FIG. 4 is a block diagram showing a configuration example of the sensor module 34 of the embodiment. The sensor module 34 includes a communication section 340 , a sensor control section 341 and a sensor section 342 .
The communication unit 340 communicates with the control chip 32 . The communication unit 340 operates as a slave side in communication with the control chip 32 . When receiving a communication request from the control chip 32, the communication unit 340 communicates with the control chip 32 in response to the request.
When receiving a request to transmit data from the control chip 32 , the communication unit 340 transmits data stored in a transmission data storage area (transmission buffer) of a storage unit (not shown) of the sensor module 34 to the control chip 32 . Send to

また、通信部340は、制御チップ32の指示により、制御チップ32に対して割り込み信号を出力、割り込み信号の応じた制御チップ32から通信部340に対して通信の要求をさせることにより、制御チップ32との通信を行う。
センサ制御部341は、センサモジュール34を統括的に制御する。センサ制御部341は、通信部340を介して制御チップ32からデータを取得し、取得したデータの内容を解釈し、解釈した内容に応じた設定等を行う。また、センサ制御部341は、センサ部342により取得されたデータを、送信バッファに記憶させる。
センサ部342は、撮像データ等を取得する。センサ部342は、取得した撮像データをセンサ制御部341に出力する。 In addition, the communication unit 340 outputs an interrupt signal to the control chip 32 according to an instruction from the control chip 32, and causes the control chip 32 in response to the interrupt signal to request communication to the communication unit 340. 32.
The sensor control unit 341 controls the sensor module 34 in an integrated manner. The sensor control unit 341 acquires data from the control chip 32 via the communication unit 340, interprets the content of the acquired data, and performs settings according to the interpreted content. Further, the sensor control unit 341 causes the data acquired by the sensor unit 342 to be stored in the transmission buffer.
The sensor unit 342 acquires imaging data and the like. The sensor unit 342 outputs the acquired imaging data to the sensor control unit 341 .

図5は、実施形態のSE40の構成例を示すブロック図である。図5に示す通り、SE40は、通信部400と制御部410と記憶部420とを備える。
図2に示す各部は、SE40のハードウェアを用いて実現される。SE40のハードウェアは、例えば、UART(Universal Asynchronous Receiver Transmitter)、CPU、ROM(Read Only Memory)、RAM(Random Access Memory)、及びEEPROM(Electrically Erasable Programmable ROM)の各構成を備え、各構成は、内部バスを介して接続されている。 FIG. 5 is a block diagram showing a configuration example of the SE 40 of the embodiment. As shown in FIG. 5 , SE 40 includes communication section 400 , control section 410 and storage section 420 .
Each unit shown in FIG. 2 is implemented using hardware of the SE 40 . The hardware of the SE 40 includes, for example, a UART (Universal Asynchronous Receiver Transmitter), a CPU, a ROM (Read Only Memory), a RAM (Random Access Memory), and an EEPROM (Electrically Erasable Programmable ROM). Connected via an internal bus.

通信部400は、例えば、UARTと、CPUと、ROMに記憶されているプログラムとにより実現され、制御チップ32の間で通信を行う。通信部400は、制御チップ32との通信において、スレーブ側として動作する。通信部400は、コマンドを制御チップ32から受信するとともに、コマンドに対するレスポンスを制御チップ32に送信する。通信部400は、制御チップ32から受信した受信データを記憶部420の受信データ記憶部421に記憶させる。また、通信部400は、記憶部420の送信データ記憶部423に記憶されている送信データを、制御チップ32に送信する。 The communication unit 400 is implemented by, for example, a UART, a CPU, and programs stored in a ROM, and performs communication between the control chips 32 . The communication unit 400 operates as a slave side in communication with the control chip 32 . The communication unit 400 receives commands from the control chip 32 and transmits responses to the commands to the control chip 32 . The communication unit 400 stores the received data received from the control chip 32 in the received data storage unit 421 of the storage unit 420 . The communication unit 400 also transmits the transmission data stored in the transmission data storage unit 423 of the storage unit 420 to the control chip 32 .

制御部410は、例えば、CPUと、RAMと、ROM、又はEEPROMとにより実現され、SE40を統括的に制御する。制御部410は、コマンド処理部411と、取得部412と、検証部413とを備える。
コマンド処理部411は、端末装置30の受信データに含まれるコマンドを解釈し、SE40における種々の処理に対応する各部の制御を行う。
取得部412は端末装置30の受信データを取得する。取得部412は取得した受信データを検証部413に出力する。 Control unit 410 is implemented by, for example, a CPU, RAM, ROM, or EEPROM, and controls SE 40 in a centralized manner. Control unit 410 includes command processing unit 411 , acquisition unit 412 , and verification unit 413 .
The command processing unit 411 interprets commands included in the data received by the terminal device 30 and controls each unit corresponding to various processes in the SE 40 .
The acquisition unit 412 acquires reception data of the terminal device 30 . Acquisition unit 412 outputs the acquired reception data to verification unit 413 .

検証部413は、受信データの正当性を検証する。検証部413は、サーバ装置10から端末装置30に対して送信されたデータが、端末装置30により受信されるまでに改ざんされていない場合に受信データが正当であると判定する。検証部413は、端末装置30により受信されたデータが、サーバ装置10等の通信先として想定された装置からのデータである場合に受信データが正当であると判定する。
検証部413は、受信データに含まれるデータ部分のデータと、検証情報記憶部422に記憶された共通鍵とに基づいて、認証コードを導出する。検証部413は、導出した認証コードと、受信データに含まれる認証コードとを比較することにより、受信データの正当性を検証する。検証部413は、受信データの正当性を検証した検証結果を、コマンドに対するレスポンスとして、送信データ記憶部423に記憶させる。 Verification unit 413 verifies the validity of received data. The verification unit 413 determines that the received data is valid when the data transmitted from the server device 10 to the terminal device 30 has not been tampered with before being received by the terminal device 30 . The verification unit 413 determines that the received data is valid when the data received by the terminal device 30 is data from a device assumed as a communication destination such as the server device 10 .
Verification section 413 derives an authentication code based on the data of the data portion included in the received data and the common key stored in verification information storage section 422 . The verification unit 413 verifies the validity of the received data by comparing the derived authentication code with the authentication code included in the received data. The verification unit 413 causes the transmission data storage unit 423 to store the verification result obtained by verifying the validity of the received data as a response to the command.

なお、検証部413は、データの正当性を検証できればよく、上述した認証コードを用いた検証方法に限定されることはない。検証部413は、例えば一方向性のハッシュ関数(MD5、SHA1、SHA2等)や、共通鍵、公開鍵等の暗号鍵などを用いて受信データの正当性を検証するようにしてもよいし、サーバ装置10側で公開鍵により暗号化された認証コードを、端末装置30側で検証部413が秘密鍵を用いて復号することにより、データの正当性を検証するようにしてもよい。 It should be noted that the verification unit 413 only needs to verify the validity of the data, and is not limited to the verification method using the authentication code described above. The verification unit 413 may verify the validity of the received data by using, for example, a one-way hash function (MD5, SHA1, SHA2, etc.), an encryption key such as a common key or a public key, The authentication code encrypted with the public key on the server device 10 side may be decrypted by the verification unit 413 on the terminal device 30 side using the private key to verify the validity of the data.

記憶部420は、例えば、EEPROMにより構成された記憶部であり、制御部410のプログラム、及びデータ等を記憶する。記憶部420は、受信データ記憶部421と、検証情報記憶部422と、送信データ記憶部423とを備える。受信データ記憶部421は、通信部400を介して受信されたデータを記憶する。検証情報記憶部422は、共通鍵、公開鍵等の暗号鍵など検証の処理で用いる情報を記憶する。送信データ記憶部423は、通信部400を介してSE40から送信されるデータが記憶される。 The storage unit 420 is configured by, for example, an EEPROM, and stores programs, data, etc. of the control unit 410 . Storage unit 420 includes reception data storage unit 421 , verification information storage unit 422 , and transmission data storage unit 423 . Received data storage unit 421 stores data received via communication unit 400 . The verification information storage unit 422 stores information used in verification processing, such as a common key and an encryption key such as a public key. Transmission data storage unit 423 stores data transmitted from SE 40 via communication unit 400 .

図6は、実施形態の制御チップ32の動作例を示すフローチャートである。図6のフローチャートは、サーバ装置10から端末装置30に対してデータが送信された場合の制御チップ32の動作例を示す。 FIG. 6 is a flow chart showing an operation example of the control chip 32 of the embodiment. The flowchart of FIG. 6 shows an operation example of the control chip 32 when data is transmitted from the server device 10 to the terminal device 30 .

まず、制御チップ32は、通信部320により通信モジュール31を介してサーバ装置10からのデータを受信したか否かを判定する(ステップS100)。
制御チップ32は、サーバ装置10からデータを受信した場合、データ処理部326によりデータを、マスタモードで処理するか、スレーブモードで処理するかを判定させる(ステップS101)。制御チップ32は、取得部325によりサーバ装置10から受信したデータを取得し、データ処理部326により取得したデータの特定の箇所に設けられた送信先情報を参照することで、データの送信先を判定する。データ処理部326は、送信先情報に制御チップ32が示されていた場合、データをマスタモードで処理すると判定する。データ処理部326は、送信先情報に制御チップ32ではない他の機能部(センサモジュール34等)が示されていた場合、データをスレーブモードで処理すると判定する。
制御チップ32は、データをスレーブモードで処理すると判定する場合、データをSE40に転送する(ステップS102)。SE40は、制御チップ32から受信したデータの正当性を検証する。SE40は、データの正当性を検証した検証結果を制御チップ32に送信する。
制御チップ32は、取得部325により通信部320を介してSE40から検証結果を取得する(ステップS103)。データ処理部326は、検証結果に基づいてデータが正当であるか否かを判定する(ステップS104)。データ処理部326は、データが正当であると判定する場合、データを送信先(例えば、センサモジュール34)に出力する(ステップS105)。一方、データ処理部326は、データが正当でないと判定する場合、データを破棄する(ステップS107)。
一方、制御チップ32は、ステップS101により、データをマスタモードで処理すると判定する場合、データの内容を解釈し、解釈した内容に応じた制御を行う(ステップS106)。 First, the control chip 32 determines whether or not the communication unit 320 has received data from the server device 10 via the communication module 31 (step S100).
When receiving data from the server device 10, the control chip 32 causes the data processing unit 326 to determine whether to process the data in master mode or slave mode (step S101). The control chip 32 obtains the data received from the server device 10 by the obtaining unit 325, and refers to the destination information provided at a specific location of the data obtained by the data processing unit 326, thereby determining the destination of the data. judge. The data processing unit 326 determines to process the data in the master mode when the control chip 32 is indicated in the destination information. The data processing unit 326 determines to process the data in the slave mode when the destination information indicates a functional unit other than the control chip 32 (sensor module 34, etc.).
If the control chip 32 determines to process the data in the slave mode, it transfers the data to the SE 40 (step S102). SE 40 verifies the validity of data received from control chip 32 . The SE 40 transmits to the control chip 32 the result of verifying the correctness of the data.
The control chip 32 acquires the verification result from the SE 40 via the communication unit 320 using the acquisition unit 325 (step S103). The data processing unit 326 determines whether the data is valid based on the verification result (step S104). When determining that the data is valid, the data processing unit 326 outputs the data to the destination (for example, the sensor module 34) (step S105). On the other hand, when the data processing unit 326 determines that the data is not valid, it discards the data (step S107).
On the other hand, when the control chip 32 determines in step S101 to process the data in the master mode, it interprets the content of the data and performs control according to the interpreted content (step S106).

図7は、実施形態の処理システム1の動作例を示すシーケンスチャートである。図7のシーケンスチャートは、サーバ装置10から端末装置30に対してデータが送信された場合の処理システム1の動作例を示す。なお、図7のシーケンスチャートでは、通信モジュール31を省略しているが、実際には、サーバ装置10と制御チップ32との通信には、通信モジュール31が介在している。 FIG. 7 is a sequence chart showing an operation example of the processing system 1 of the embodiment. The sequence chart of FIG. 7 shows an operation example of the processing system 1 when data is transmitted from the server device 10 to the terminal device 30 . Although the communication module 31 is omitted in the sequence chart of FIG. 7, the communication module 31 actually intervenes in communication between the server device 10 and the control chip 32 .

まず、サーバ装置10は、端末装置30に送信するデータを作成する(ステップS301)。サーバ装置10は、端末装置30に送信するデータに、送信先情報を含めて作成する。
次に、サーバ装置10は、データと共通鍵とを用いて、認証コードを作成する(ステップS302)。サーバ装置10は、データと認証コードとを、端末装置30に送信する(ステップS303)。
制御チップ32は、サーバ装置10から端末装置30に対して送信されたデータを受信する(ステップS304)。制御チップ32は、受信したデータをSE40に転送する(ステップS305)。SE40は、転送されたデータの正当性を検証する(ステップS306)。SE40は、検証結果を制御チップ32に出力する(ステップS307)。制御チップ32は、検証チップから受信した検証結果に基づいて、データが正当であると判定された場合、通信モードをスレーブモードに設定する(ステップS308)。制御チップ32は、データをセンサモジュール34に転送する(ステップS309)。 First, the server device 10 creates data to be transmitted to the terminal device 30 (step S301). The server device 10 creates data to be transmitted to the terminal device 30 including destination information.
Next, the server device 10 creates an authentication code using the data and the common key (step S302). The server device 10 transmits the data and the authentication code to the terminal device 30 (step S303).
The control chip 32 receives data transmitted from the server device 10 to the terminal device 30 (step S304). The control chip 32 transfers the received data to the SE 40 (step S305). SE 40 verifies the validity of the transferred data (step S306). The SE 40 outputs the verification result to the control chip 32 (step S307). Based on the verification result received from the verification chip, the control chip 32 sets the communication mode to the slave mode when the data is determined to be valid (step S308). The control chip 32 transfers the data to the sensor module 34 (step S309).

図8、図9は、実施形態の処理システム1の他の動作例を示すシーケンスチャートである。図8、図9のシーケンスチャートは、サーバ装置10に対して端末装置30からデータを送信する場合の処理システム1の他の動作例を示す。なお、図8、図9のシーケンスチャートでは、通信モジュール31を省略しているが、実際には、サーバ装置10と制御チップ32との通信には、通信モジュール31が介在している。
また、図8、及び図9のシーケンスチャートは、センサモジュール34から制御チップ32に対して割り込み信号を出力することにより、センサモジュール34からサーバ装置10にデータを送信する場合の例を示している。 8 and 9 are sequence charts showing other operation examples of the processing system 1 of the embodiment. The sequence charts of FIGS. 8 and 9 show another operation example of the processing system 1 when data is transmitted from the terminal device 30 to the server device 10. FIG. Although the communication module 31 is omitted in the sequence charts of FIGS. 8 and 9, the communication module 31 actually intervenes in the communication between the server device 10 and the control chip 32 .
The sequence charts of FIGS. 8 and 9 show an example of transmitting data from the sensor module 34 to the server device 10 by outputting an interrupt signal from the sensor module 34 to the control chip 32. .

まず、図8のシーケンスチャートに示す処理を説明する。センサモジュール34は、データを取得する(ステップS401)。センサモジュール34は、取得したデータをサーバ装置10に対して送信する場合、制御チップ32に対して、割り込み信号を出力する(ステップS402)。
制御チップ32は、センサモジュール34からの割り込み信号を取得し(ステップS403)、サーバに対して通信を要求する通信要求を送信する(ステップS404)。
サーバ装置10は、通信要求に対する応答データとともに認証コードを作成する(ステップS405)。サーバ装置10は、応答データと認証コードとを、端末装置30に対して送信する(ステップS406)。 First, the processing shown in the sequence chart of FIG. 8 will be described. The sensor module 34 acquires data (step S401). When transmitting the acquired data to the server device 10, the sensor module 34 outputs an interrupt signal to the control chip 32 (step S402).
The control chip 32 acquires an interrupt signal from the sensor module 34 (step S403), and transmits a communication request requesting communication to the server (step S404).
The server device 10 creates an authentication code together with response data to the communication request (step S405). The server device 10 transmits the response data and the authentication code to the terminal device 30 (step S406).

制御チップ32は、データを受信する(ステップS407)。制御チップ32は、受信したデータをSE40に転送する(ステップS408)。SE40は、転送されたデータの正当性を検証する(ステップS409)。SE40は、検証結果を制御チップ32に出力する(ステップS410)。制御チップ32は、検証チップから受信した検証結果に基づいて、データが正当であると判定された場合、通信モードをスレーブモードに設定する(ステップS411)。制御チップ32は、サーバ装置10に対して通信モードをスレーブモードに設定するモード変更を完了した旨の通知を行う(ステップS412)。 The control chip 32 receives the data (step S407). The control chip 32 transfers the received data to the SE 40 (step S408). SE 40 verifies the validity of the transferred data (step S409). The SE 40 outputs the verification result to the control chip 32 (step S410). The control chip 32 sets the communication mode to the slave mode when it is determined that the data is valid based on the verification result received from the verification chip (step S411). The control chip 32 notifies the server device 10 that the mode change for setting the communication mode to the slave mode has been completed (step S412).

次に、図9のシーケンスチャートに示す処理を説明する。図9は、図8に示すシーケンスチャートに対応する処理が行われ、通信モードがスレーブモードに切り替わった後に、サーバ装置10からセンサモジュール34に対して処理を要求するデータ(図9では、処理要求データと記載)が送信された場合に、各機能部において行われる動作の流れを示している。 Next, the processing shown in the sequence chart of FIG. 9 will be described. FIG. 9 shows data for requesting processing from the server device 10 to the sensor module 34 after the processing corresponding to the sequence chart shown in FIG. 8 is performed and the communication mode is switched to the slave mode (in FIG. data) is transmitted.

サーバ装置10は、センサモジュール34に対して処理要求データを作成する(ステップS413)。サーバ装置10は、処理要求データを、端末装置30に対して送信する(ステップS414)。
制御チップ32は、処理要求データを受信する(ステップS415)。制御チップ32は、受信した処理要求データを、データの解釈を行うことなく、SE40に出力する(ステップS416)。SE40は、制御チップ32より取得した処理要求データの正当性を検証する(ステップS417)。SE40は、検証結果を制御チップ32に出力する(ステップS418)。 The server device 10 creates processing request data for the sensor module 34 (step S413). The server device 10 transmits the processing request data to the terminal device 30 (step S414).
The control chip 32 receives the processing request data (step S415). The control chip 32 outputs the received processing request data to the SE 40 without interpreting the data (step S416). The SE 40 verifies the validity of the processing request data obtained from the control chip 32 (step S417). The SE 40 outputs the verification result to the control chip 32 (step S418).

制御チップ32は、SE40から受信した検証結果に基づいて、データが正当であると判定された場合、処理要求データをセンサモジュール34に出力する(ステップS420)。センサモジュール34は、制御チップ32より取得した処理要求データに基づいて、処理を実行する(ステップS421)。センサモジュール34は、処理を実行した処理結果を示すデータを制御チップ32に出力する(ステップS422)。
制御チップ32は、センサモジュール34より取得した処理結果を示すデータを、データの解釈を行うことなく、SE40に出力する(ステップS424)。SE40は、制御チップ32より取得した処理結果を示すデータを暗号化する、又は/及び、署名を付与する等するデータ処理を行う(ステップS425)。SE40は、暗号化等のデータ処理を行ったデータを制御チップ32に出力する(ステップS426)。
制御チップ32は、SE40より暗号化等のデータ処理が施されたデータを取得し(ステップS427)、取得したデータをサーバ装置10に対して送信する(ステップS428)。 The control chip 32 outputs the processing request data to the sensor module 34 when it is determined that the data is valid based on the verification result received from the SE 40 (step S420). The sensor module 34 executes processing based on the processing request data acquired from the control chip 32 (step S421). The sensor module 34 outputs to the control chip 32 data indicating the processing result of the executed processing (step S422).
The control chip 32 outputs the data indicating the processing result obtained from the sensor module 34 to the SE 40 without interpreting the data (step S424). The SE 40 performs data processing such as encrypting the data indicating the processing result obtained from the control chip 32 and/or adding a signature (step S425). The SE 40 outputs the data that has undergone data processing such as encryption to the control chip 32 (step S426).
The control chip 32 acquires data that has undergone data processing such as encryption from the SE 40 (step S427), and transmits the acquired data to the server device 10 (step S428).

以上、説明したように、実施形態のSE40は、通信ネットワーク20を介してサーバ装置10と通信する端末装置30に接続可能なSE40であって、端末装置30により受信され、送信先が端末装置30のセンサモジュール34(「スレーブチップ」の一例)である受信データを、端末装置30の制御チップ32(「マスタチップ」の一例)より取得する取得部412と、取得部412により取得されたデータの正当性を検証し、データが正当か否かを示す検証結果を制御チップ32に出力する検証部413と、を備える。これにより、実施形態のSE40は、制御チップ32がセンサモジュール34に転送するデータについて、その正当性を検証し、検証した結果を出力することができる。このため、制御チップ32は正当性が検証されたデータについて、その内容を解釈せずに、センサモジュール34に転送することができ、制御チップ32の処理負担を抑制しつつ、不正なデータか否かを把握することが可能となる。 As described above, the SE 40 of the embodiment is connectable to the terminal device 30 that communicates with the server device 10 via the communication network 20. an acquisition unit 412 that acquires received data that is the sensor module 34 (an example of a “slave chip”) from the control chip 32 (an example of a “master chip”) of the terminal device 30; and a verification unit 413 that verifies validity and outputs a verification result indicating whether or not the data is valid to the control chip 32 . Thereby, the SE 40 of the embodiment can verify the validity of the data that the control chip 32 transfers to the sensor module 34 and output the verified result. Therefore, the control chip 32 can transfer the data whose validity has been verified to the sensor module 34 without interpreting the content of the data. It is possible to grasp whether

また、実施形態のSE40では、取得部412は、センサモジュール34から制御チップ32に対して出力された、サーバ装置10に送信する送信データを取得する。これにより、実施形態のSE40は、センサモジュール34から出力されたデータの正当性を検証し、検証した結果を出力することができる。このため、制御チップ32は、センサモジュール34から出力されたデータについて、正当性が検証されたデータを、サーバ装置10に対して送信することができ、サーバ装置10が不正なデータが送信されることを抑制することが可能となる。 Further, in SE40 of the embodiment, the acquisition unit 412 acquires transmission data to be transmitted to the server device 10, which is output from the sensor module 34 to the control chip 32. FIG. Thereby, the SE 40 of the embodiment can verify the correctness of the data output from the sensor module 34 and output the verified result. Therefore, the control chip 32 can transmit to the server device 10 data whose validity has been verified with respect to the data output from the sensor module 34, and the server device 10 can transmit incorrect data. It is possible to suppress

また、実施形態の端末装置30は、通信ネットワーク20を介してサーバ装置10と通信する端末装置30であって、制御チップ32と、制御チップ32からの指示に基づいて、制御チップ32との間で通信を行うセンサモジュール34と、上述のSE40と、を備え、制御チップ32は、端末装置30により受信された受信データを取得する取得部325と、受信データに基づいて、受信データの送信先を判定し、送信先がセンサモジュール34である場合、SE40に受信データの正当性を検証させ、その検証結果に基づいて、受信データが正当であると判定される場合、受信データをセンサモジュール34に転送するデータ処理部326と、を有する。これにより、実施形態の端末装置30は、サーバ装置10から受信したデータのうち、送信先が制御チップ32ではないデータについて、そのデータが正当であると判定された場合に、データをセンサモジュール34に転送することができる。このため、端末装置30は、不正なデータか否かを把握することが可能となる。また、制御チップ32は、SE40にデータの正当性を検証させることができ、且つ、データの内容を解釈することなくセンサモジュール34に転送することができるため、制御チップの処理負担を軽減させることが可能となる。 Further, the terminal device 30 of the embodiment is a terminal device 30 that communicates with the server device 10 via the communication network 20, and is based on the control chip 32 and the instruction from the control chip 32. The control chip 32 includes an acquisition unit 325 that acquires reception data received by the terminal device 30, and a transmission destination of the reception data based on the reception data. If the destination is the sensor module 34, the SE 40 verifies the validity of the received data. and a data processing unit 326 for transferring to. As a result, the terminal device 30 according to the embodiment transmits data received from the server device 10 whose destination is not the control chip 32 to the sensor module 34 when it is determined that the data is valid. can be transferred to Therefore, the terminal device 30 can grasp whether or not the data is unauthorized. In addition, the control chip 32 can cause the SE 40 to verify the validity of the data, and can transfer the content of the data to the sensor module 34 without interpreting it, thus reducing the processing load of the control chip. becomes possible.

また、実施形態のサーバ装置10は、通信ネットワーク20を介して端末装置30と通信するサーバ装置10であって、端末装置30に対して送信するデータに、端末装置30の制御チップ32に対して送信するデータか否かを示す送信先情報、及び認証コード(「データに基づいて導出される所定の符号」の一例)を含めて送信する。これにより、実施形態のサーバ装置10は、端末装置30に対して送信したデータの送信先が制御チップ32なのか否かを、端末装置30に通知することができる。このため、端末装置30は、送信先に応じた対応をすることができる。例えば、端末装置30は、送信先の機能部にデータの解釈を行わせることで、制御チップ32が全てのデータの解釈を行う場合よりも、端末装置30の機能を実現させるための処理を分散させることができ、制御チップ32の処理を低減させることが可能となる。また、データの送信先に応じて、データの正当性を検証することができるため、不正なデータが入力されることで攻撃を受け得る機能部には、正当と判定されたデータのみを出力することができ、不正なデータか否かを把握することが可能となる。 Further, the server device 10 of the embodiment is a server device 10 that communicates with the terminal device 30 via the communication network 20, and the data to be transmitted to the terminal device 30 is The data is transmitted including destination information indicating whether or not it is data to be transmitted, and an authentication code (an example of a "predetermined code derived based on data"). Thereby, the server device 10 of the embodiment can notify the terminal device 30 whether or not the destination of the data transmitted to the terminal device 30 is the control chip 32 . Therefore, the terminal device 30 can respond according to the destination. For example, the terminal device 30 distributes the processing for realizing the functions of the terminal device 30 more than the case where the control chip 32 interprets all the data by causing the functional unit of the transmission destination to interpret the data. , and the processing of the control chip 32 can be reduced. In addition, since the validity of data can be verified according to the destination of the data, only data judged to be valid will be output to functional units that can be attacked by inputting invalid data. It is possible to grasp whether or not the data is illegal.

なお、本発明におけるSE40、端末装置30、サーバ装置10の全部又は一部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませて実行することにより処理を行なってもよい。
なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。
また、「コンピュータシステム」は、ホームページ提供環境(あるいは表示環境)を備えたWWWシステムも含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD-ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。 A program for realizing all or part of the functions of the SE 40, the terminal device 30, and the server device 10 in the present invention is recorded on a computer-readable recording medium, and the program recorded on this recording medium is transferred to the computer system. The processing may be performed by loading and executing the .
It should be noted that the "computer system" referred to here includes hardware such as an OS and peripheral devices.
Also, the "computer system" includes a WWW system provided with a home page providing environment (or display environment). The term "computer-readable recording medium" refers to portable media such as flexible discs, magneto-optical discs, ROMs and CD-ROMs, and storage devices such as hard discs incorporated in computer systems. In addition, "computer-readable recording medium" means a volatile memory (RAM) inside a computer system that acts as a server or client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line. , includes those that hold the program for a certain period of time.

また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上記プログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。 Further, the above program may be transmitted from a computer system storing this program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in a transmission medium. Here, the "transmission medium" for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line. Further, the program may be for realizing part of the functions described above. Further, it may be a so-called difference file (difference program) that can realize the above-described functions in combination with a program already recorded in the computer system.

本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。 While several embodiments of the invention have been described, these embodiments have been presented by way of example and are not intended to limit the scope of the invention. These embodiments can be implemented in various other forms, and various omissions, replacements, and modifications can be made without departing from the scope of the invention. These embodiments and their modifications are included in the scope and spirit of the invention, as well as the scope of the invention described in the claims and equivalents thereof.

1…処理システム、10…サーバ装置、12…サーバ制御部、20…通信ネットワーク、30…端末装置、325…取得部、326…データ処理部、323…通信情報記憶部、40…SE、412…取得部、413…検証部。 DESCRIPTION OF SYMBOLS 1... Processing system 10... Server apparatus 12... Server control part 20... Communication network 30... Terminal device 325... Acquisition part 326... Data processing part 323... Communication information storage part 40... SE 412... Acquisition unit 413 . . . Verification unit.

Claims (5)

通信ネットワークを介してサーバ装置と通信する端末装置であって、
マスタチップと、
前記マスタチップからの指示に基づいて、前記マスタチップとの間で通信を行うスレーブチップと、
セキュアエレメントと、を備え、
前記マスタチップは、
前記端末装置により受信された受信データを取得する第の取得部と
前記受信データに基づいて、前記受信データの送信先を判定し、前記送信先が前記スレーブチップである場合、前記セキュアエレメントに前記受信データの正当性を検証させ、その検証結果に基づいて、前記受信データが正当であると判定される場合、前記受信データを前記スレーブチップに転送するデータ処理部と、を有し、
前記セキュアエレメントは、
前記マスタチップから前記受信データを取得する第の取得部と、
前記第の取得部により取得された前記受信データの正当性を検証し、前記受信データが正当か否かを示す検証結果を前記マスタチップに出力する検証部と、を有する
ことを特徴とする端末装置。 A terminal device that communicates with a server device via a communication network,
a master chip;
a slave chip that communicates with the master chip based on instructions from the master chip;
a secure element;
The master chip is
a first acquisition unit for acquiring reception data received by the terminal device; determining a transmission destination of the reception data based on the reception data; a data processing unit that verifies the validity of the received data and transfers the received data to the slave chip when the received data is determined to be valid based on the verification result;
The secure element is
a second acquisition unit that acquires the received data from the master chip;
a verification unit that verifies validity of the received data acquired by the second acquisition unit and outputs a verification result indicating whether or not the received data is valid to the master chip. Terminal equipment. 前記データ処理部は、前記受信データに含まれる認証コードに基づいて、前記受信データが正当であるか否かを前記セキュアエレメントに判定させる
ことを特徴とする請求項に記載の端末装置。 The terminal device according to claim 1 , wherein the data processing unit causes the secure element to determine whether the received data is valid based on an authentication code included in the received data. 前記第の取得部は、前記スレーブチップから前記マスタチップに対して出力された前記サーバ装置に送信する送信データを取得した場合、前記サーバ装置から認証コードを取得し、
前記データ処理部は、前記サーバ装置から取得した認証コードに基づいて、前記受信データが正当であるか否かを前記セキュアエレメントに判定させ、認証コードが正当であると判定された場合、前記送信データを前記サーバ装置に送信する
ことを特徴とする請求項又は請求項に記載の端末装置。 the first acquiring unit acquires an authentication code from the server device when acquiring transmission data output from the slave chip to the master chip and to be transmitted to the server device;
The data processing unit causes the secure element to determine whether the received data is valid based on the authentication code acquired from the server device, and if the authentication code is determined to be valid, the transmission 3. The terminal device according to claim 1 , wherein data is transmitted to said server device. 前記第の取得部は、前記サーバ装置から一連のデータが分割されたデータブロックを順に取得し、
前記データ処理部は、前記一連のデータの最初の前記データブロックである先頭ブロックに含まれる認証コードに基づいて、前記先頭ブロックが正当であるか否かを前記セキュアエレメントに判定させ、前記先頭ブロックが正当であると判定された場合、前記一連のデータのうち、前記先頭ブロックではない前記データブロックを、前記セキュアエレメントにその正当性を検証させることなく、前記スレーブチップに転送する
ことを特徴とする請求項から請求項のいずれか一項に記載の端末装置。 The first acquisition unit sequentially acquires data blocks obtained by dividing a series of data from the server device,
The data processing unit causes the secure element to determine whether or not the leading block is valid based on an authentication code included in the leading block, which is the first data block of the series of data. is determined to be valid, of the series of data, the data block other than the leading block is transferred to the slave chip without having the secure element verify the validity thereof. The terminal device according to any one of claims 1 to 3 . 通信ネットワークを介してサーバ装置と通信する端末装置であって、マスタチップと、前記マスタチップからの指示に基づいて、前記マスタチップと通信を行うスレーブチップと、セキュアエレメントと、を備える端末装置が行う検証方法であって、
前記マスタチップの第の取得部が、前記端末装置により受信された受信データを取得する工程と、
前記マスタチップのデータ処理部が、前記受信データに基づいて、前記受信データの送信先を判定し、前記送信先が前記スレーブチップである場合、前記セキュアエレメントに前記受信データの正当性を検証させ、その検証結果に基づいて、前記受信データが正当であると判定される場合、前記受信データを前記スレーブチップに転送する工程と、
前記セキュアエレメントの第の取得部が、前記マスタチップから前記受信データを取得する工程と、
前記セキュアエレメントの検証部が、前記第の取得部により取得された前記受信データの正当性を検証し、前記受信データが正当か否かを示す検証結果を前記マスタチップに出力する工程と、
を有する検証方法。 A terminal device that communicates with a server device via a communication network, the terminal device comprising a master chip, a slave chip that communicates with the master chip based on instructions from the master chip, and a secure element. A verification method for performing
a step in which a first acquisition unit of the master chip acquires reception data received by the terminal device;
The data processing unit of the master chip determines a transmission destination of the reception data based on the reception data, and causes the secure element to verify the validity of the reception data when the transmission destination is the slave chip. transferring the received data to the slave chip if the received data is determined to be valid based on the verification result;
a second acquisition unit of the secure element acquiring the received data from the master chip;
a verification unit of the secure element verifying the validity of the received data acquired by the second acquisition unit, and outputting a verification result indicating whether or not the received data is valid to the master chip;
A verification method with
JP2017225064A 2017-11-22 2017-11-22 Terminal device and verification method Active JP7106845B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017225064A JP7106845B2 (en) 2017-11-22 2017-11-22 Terminal device and verification method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017225064A JP7106845B2 (en) 2017-11-22 2017-11-22 Terminal device and verification method

Publications (2)

Publication Number Publication Date
JP2019096069A JP2019096069A (en) 2019-06-20
JP7106845B2 true JP7106845B2 (en) 2022-07-27

Family

ID=66971791

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017225064A Active JP7106845B2 (en) 2017-11-22 2017-11-22 Terminal device and verification method

Country Status (1)

Country Link
JP (1) JP7106845B2 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017017616A (en) 2015-07-03 2017-01-19 Kddi株式会社 Software distribution processing unit, vehicle, software distribution processing method and computer program
JP2017120984A (en) 2015-12-28 2017-07-06 Kddi株式会社 On-vehicle computer system, vehicle, management method and computer program

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017017616A (en) 2015-07-03 2017-01-19 Kddi株式会社 Software distribution processing unit, vehicle, software distribution processing method and computer program
JP2017120984A (en) 2015-12-28 2017-07-06 Kddi株式会社 On-vehicle computer system, vehicle, management method and computer program

Also Published As

Publication number Publication date
JP2019096069A (en) 2019-06-20

Similar Documents

Publication Publication Date Title
US9509502B2 (en) Symmetric keying and chain of trust
US9768951B2 (en) Symmetric keying and chain of trust
US9521125B2 (en) Pseudonymous remote attestation utilizing a chain-of-trust
JP5521764B2 (en) Information processing apparatus, authentication system, authentication method, authentication program, and recording medium
KR20110020800A (en) Integrated circuit with secured software image and method therefor
US20070136820A1 (en) Server apparatus, client apparatus, control method therefor, and computer program
WO2007003078A1 (en) A method for implementing encryption and the device thereof
US20170265081A1 (en) Wireless communication device, wireless communication method, and computer readable storage medium
KR102643372B1 (en) Electronic device for performing discovery device and method thereof
US10970016B2 (en) Image processing system, method for image processing, and image forming apparatus that are provided with security function of image
JP5905087B2 (en) Application program execution device
US10389913B2 (en) Information management control apparatus, image processing apparatus, and information management control system
JP6192495B2 (en) Semiconductor device, information terminal, semiconductor element control method, and information terminal control method
WO2016081404A1 (en) Symmetric keying and chain of trust
JP7106845B2 (en) Terminal device and verification method
EP2650816B1 (en) User authentication
EP4044500B1 (en) Electronic device for ensuring integrity of electronic device intrinsic information, and operating method therefor
EP3866033A1 (en) Information processing device and information processing system
JP6992440B2 (en) Secure elements, terminals, verification systems, verification methods, and programs
EP3220622B1 (en) Image processing apparatus, image processing method and computer program product
JP2016174326A (en) Information processing device, information processing program, and information processing system
CN105323287B (en) Third-party application program login method and system
CN210515296U (en) Data security processing device, system, hardware encryption device and portable device
CN110784308B (en) Information processing method, information processing system, and communication apparatus
CN109671229B (en) Cash register and safety verification method thereof

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201021

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210721

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210831

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211027

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220405

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220601

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220614

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220627

R150 Certificate of patent or registration of utility model

Ref document number: 7106845

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150