JPWO2006057390A1 - Distribution process authentication system, distribution process authentication method - Google Patents

Distribution process authentication system, distribution process authentication method Download PDF

Info

Publication number
JPWO2006057390A1
JPWO2006057390A1 JP2006547916A JP2006547916A JPWO2006057390A1 JP WO2006057390 A1 JPWO2006057390 A1 JP WO2006057390A1 JP 2006547916 A JP2006547916 A JP 2006547916A JP 2006547916 A JP2006547916 A JP 2006547916A JP WO2006057390 A1 JPWO2006057390 A1 JP WO2006057390A1
Authority
JP
Japan
Prior art keywords
base
wireless
distribution history
tag
history information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006547916A
Other languages
Japanese (ja)
Other versions
JP4993076B2 (en
Inventor
潤 野田
潤 野田
田口 大悟
大悟 田口
和恵 佐古
和恵 佐古
勇 寺西
勇 寺西
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2006547916A priority Critical patent/JP4993076B2/en
Publication of JPWO2006057390A1 publication Critical patent/JPWO2006057390A1/en
Application granted granted Critical
Publication of JP4993076B2 publication Critical patent/JP4993076B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

悪意のある第3者における流通経緯情報の偽造および改竄を検知可能な流通経緯認証システムを提供する。製品に付された無線ICタグ1との間で情報を送受信する送受信部24と署名を作成する署名作成部22と署名を検証する署名検証部23とを有するリーダライタ2−1〜2−nを製品の流通経路上の各拠点に設ける。最初の拠点のリーダライタ2−1は、自拠点に流通してきた製品に付された無線ICタグ1と交信して、ROM部11に記憶されたIDに対して自拠点の秘密鍵で署名した署名文を流通経緯情報uiとして無線ICタグ1のRAM部12に書き込む。最初の拠点以外のリーダライタは、自拠点に流通してきた製品に付された無線ICタグ1と交信して、RAM部12に書き込まれている流通経緯情報に対して自拠点の秘密鍵で署名した署名文を新たな流通経緯情報として導出し、元の流通経緯情報と置き換える。A distribution history authentication system capable of detecting counterfeiting and falsification of distribution history information by a malicious third party is provided. Reader / writer 2-1 to 2-n having a transmitting / receiving unit 24 for transmitting / receiving information to / from the wireless IC tag 1 attached to the product, a signature creating unit 22 for creating a signature, and a signature verification unit 23 for verifying the signature At each base on the product distribution channel. The reader / writer 2-1 of the first base communicates with the wireless IC tag 1 attached to the product distributed to the base and signs the ID stored in the ROM unit 11 with the secret key of the base. The signature text is written in the RAM section 12 of the wireless IC tag 1 as distribution history information ui. The reader / writer other than the first base station communicates with the wireless IC tag 1 attached to the product distributed to the local base and signs the distribution history information written in the RAM section 12 with the private key of the local base. The signed text is derived as new distribution history information and replaced with the original distribution history information.

Description

本発明は、工場生産品や食品などの一般消費者向けの製品または製品パッケージの流通経緯を認証するシステムであって、特に、RF-ID(Radio Frequency-IDentification)タグに代表される無線ICタグを付して行う製品の製造、加工、小売り、消費/利用、再利用、廃棄等の各拠点の流通経緯認証システム及び流通経緯認証方法に関する。   The present invention is a system for authenticating the distribution history of products or product packages for general consumers such as factory-produced products and foods, and in particular, a wireless IC tag represented by an RF-ID (Radio Frequency-IDentification) tag The present invention relates to a distribution history authentication system and a distribution history authentication method at each base such as manufacturing, processing, retailing, consumption / use, reuse, disposal, etc. of products.

製品流通システムにおいて、製品の流通がどのように行われたか、すなわち流通経緯を知ることが望まれる場合がある。流通中に製品が破損した場合に、責任の所在を明確化することや、生産地を明確にすることで、特に食品などの製品に関する安全性や信頼性を高める目的などにおいて、これらの流通経緯を知る必要が生じる。このような流通経緯を知る従来の方法の一例に、特許文献1に示す無線ICタグを利用した宅配便システムがある。この従来の宅配便システムは、無線ICタグ内の記憶領域に、無線ICタグ固有のIDが記憶される。この無線ICタグを製品に付し、集荷店及び配送店に設置されたリーダライタでそのIDが読み出され、読み出されたIDがその都度、ホストコンピュータに送信され、これにより、ホストコンピュータ側で配送物品の流通経緯を管理することができる(以下、第1の従来技術)。   In the product distribution system, it may be desired to know how the product is distributed, that is, the distribution history. If the product is damaged during distribution, clarify the location of responsibility and clarify the production location, especially for the purpose of improving the safety and reliability of products such as food, etc. Need to know. As an example of a conventional method for knowing such a distribution history, there is a home delivery system using a wireless IC tag described in Patent Document 1. In this conventional home delivery system, an ID unique to a wireless IC tag is stored in a storage area in the wireless IC tag. The wireless IC tag is attached to the product, and the ID is read by a reader / writer installed at a collection store and a delivery store, and the read ID is transmitted to the host computer each time. Can manage the distribution history of the delivered goods (hereinafter referred to as the first prior art).

また、書き込み可能なメモリ領域を有する無線ICタグを製品に付して流通経緯を管理する従来の方法の一例に、特許文献2に示す製品情報管理方法がある。この従来の製品情報管理方法は、製品に付する無線ICタグに、流通経緯を証明する情報(本明細書ではこのような情報を、流通経緯情報と呼ぶ)を書き込むリーダライタを製品の製造、流通、小売り、消費/利用、再利用、廃棄の各拠点に備え、拠点を経由する際に無線ICタグに対して流通経緯情報を書き込み、この流通経緯情報を必要に応じて参照することで製品の流通経緯を知る方法である(以下、第2の従来技術)。   Further, as an example of a conventional method for managing the distribution history by attaching a wireless IC tag having a writable memory area to a product, there is a product information management method disclosed in Patent Document 2. In this conventional product information management method, a reader / writer that writes information that certifies the distribution process (this information is referred to as distribution process information in this specification) to a wireless IC tag attached to the product is manufactured. In preparation for distribution, retail, consumption / use, reuse, and disposal bases, products are written by writing distribution background information to the wireless IC tag when passing through the bases and referring to the distribution background information as necessary. It is a method to know the distribution history of (the second conventional technology).

書き込み可能なメモリ領域を有する無線ICタグを製品に付して流通経緯を管理する従来の他の方法の一例に、特許文献3に示す食肉流通用非接触型ICタグ管理方法がある。この従来技術は、流通させる食肉に関連する情報を秘密鍵によって暗号化した情報とこれを解読するための公開鍵とをICタグに書き込んでおき、流通先において、ICタグに記録された公開鍵によってそのICタグに記録された情報を解読するようにする方法である。   As an example of another conventional method for managing the distribution history by attaching a wireless IC tag having a writable memory area to a product, there is a non-contact type IC tag management method for meat distribution shown in Patent Document 3. In this conventional technology, information related to meat to be distributed is encrypted with a secret key and a public key for decrypting the information is written on an IC tag, and the public key recorded on the IC tag is distributed at the distribution destination. This is a method for decoding the information recorded in the IC tag.

なお、無線ICタグに関する文献としては非特許文献1が公知である。   Note that Non-Patent Document 1 is known as a document relating to a wireless IC tag.

他方、計算機やインターネット環境の普及に伴い、電子的にメッセージを送受信する機会が増えている。このような場合に、メッセージを送信する途中でメッセージが改竄されることを防ぐため、メッセージに電子署名を添付することが行われている。電子署名の方式は各種存在し、複数の署名装置が署名をかさねて行ういわゆる多重署名も公知である。RSAやDSAといった署名方式はよく知られた署名方式であるが、これを用いて多重署名を作成した場合、全員が署名したことを表すには、全署名装置が個々に署名文を作成し、それらの署名文を全て保存する必要がある。この為、署名文のデータ長の合計値が署名装置の台数に比例する。このような問題を改善し、署名文のデータ長の合計値が署名装置の台数に比例しない署名方式が、非特許文献2および非特許文献3により公知である。非特許文献2の方式はRSA問題の困難性に安全性の基礎をおく方式であり、非特許文献3の方式はsupersingularな楕円曲線上のGap Diffie Hellman問題という問題の困難性に頼って安全性を示している。   On the other hand, with the spread of computers and the Internet environment, opportunities for electronically transmitting and receiving messages are increasing. In such a case, an electronic signature is attached to the message in order to prevent the message from being tampered with during the transmission of the message. There are various types of electronic signatures, and so-called multiple signatures, which are performed by a plurality of signature devices as signatures, are also known. Signature schemes such as RSA and DSA are well-known signature schemes, but when creating a multiple signature using this scheme, all signature devices individually create a signature sentence to indicate that everyone has signed, All those signatures need to be saved. For this reason, the total value of the data length of the signature text is proportional to the number of signature devices. A non-patent document 2 and a non-patent document 3 disclose a signature method that improves such a problem and the total value of the data length of the signature text is not proportional to the number of signature devices. The method of Non-Patent Document 2 is based on the difficulty of the RSA problem, and the method of Non-Patent Document 3 relies on the difficulty of the Gap Diffie Hellman problem on a supersingular elliptic curve. Is shown.

特開2001−206514号公報JP 2001-206514 A 特開2002−49905号公報JP 2002-49905 A 特開2004−43143号公報JP 2004-43143 A 無線ICタグのすべて、日経BP社、pp.197、2004All wireless IC tags, Nikkei BP, pp.197, 2004 AnnaLysyanskaya, Silvio Micali, Leonid Reyzin, Hovav Shacham. Sequential Aggregate Signatures from Trapdoor Permutations. InAdvances in Cryptology-EUROCRYPT 2004, vol. 3027 of LNCS, pp. 74-90. Springer-Verlag, 2004.AnnaLysyanskaya, Silvio Micali, Leonid Reyzin, Hovav Shacham. Sequential Aggregate Signatures from Trapdoor Permutations. InAdvances in Cryptology-EUROCRYPT 2004, vol. 3027 of LNCS, pp. 74-90. Springer-Verlag, 2004. D. Boneh, C.Gentry, B. Lynn, and H. Shacham. Aggregate and Verifiably Encrypted Signaturesfrom Bilinear Maps. In Advances in Cryptolog y -- EUROCRYPT 2003, vol. 2656 ofLNCS, pp. 416-432. Springer-Verlag, 2003.D. Boneh, C. Gentry, B. Lynn, and H. Shacham. Aggregate and Verifiably Encrypted Signatures from Bilinear Maps. In Advances in Cryptolog y-EUROCRYPT 2003, vol. 2656 ofLNCS, pp. 416-432. Springer-Verlag, 2003.

しかしながら、第1の従来技術では、ホストコンピュータとの間で情報通信が不可能な拠点では、製品が通過した際にホストコンピュータに情報を送信することができず、流通経緯情報を記録することができない。また、製品の流通経緯を知ろうとしてもホストコンピュータから通過情報を受信できないので、不可能である。またホストコンピュータでデータを集中管理する場合、各拠点が共通に情報通信できるようなホストコンピュータを運用しなければならないが、製品流通経路中に異業種の店舗等も存在するような運用環境を想定する場合には、このような運用環境を整えることは困難であった。すなわち今までは、ある特定業種で閉じた環境での運用しか実現できていなかった。   However, in the first prior art, at a site where information communication with the host computer is impossible, information cannot be transmitted to the host computer when the product passes, and distribution history information can be recorded. Can not. Further, it is impossible to know the distribution history of the product because it cannot receive passage information from the host computer. In addition, when centrally managing data with a host computer, it is necessary to operate a host computer that allows each base to communicate information in common, but an operating environment is assumed in which there are stores of different industries in the product distribution channel. In such a case, it has been difficult to prepare such an operating environment. In other words, until now, only operation in a closed environment in a specific industry could be realized.

一方、第2の従来技術においても、主要な書き込み型無線ICタグの有する書き込み可能メモリ領域は、非特許文献1を参照すると、高々1Kバイトの有限領域であり、流通経緯中の各拠点を経由するたびに次々に発生する流通経緯情報を記録することができないという問題がある。記憶領域が足りず記録できない場合は、流通経緯情報を正しく記録することができないため、流通経緯を知ることができなくなる。また、有限の書き込み可能メモリ領域内に、記録すべき流通経緯情報が収まる場合でも、当該書き込みメモリ領域は、流通経緯を知るために必要な情報だけを記憶するために使われるわけではなく、システムに応じて様々な情報を記憶することが考えられ、流通経緯情報はできるだけ小容量で管理できることが望ましい。   On the other hand, even in the second prior art, the writable memory area of the main writable wireless IC tag is a finite area of 1 Kbyte at most referring to Non-Patent Document 1, and passes through each base in the course of distribution. There is a problem that the distribution history information generated one after another cannot be recorded. If there is not enough storage area to record, the distribution history information cannot be recorded correctly, and the distribution history cannot be known. Further, even if the distribution history information to be recorded is stored in a finite writable memory area, the write memory area is not used to store only the information necessary to know the distribution history. Depending on the situation, various information may be stored, and it is desirable that distribution history information can be managed with as little capacity as possible.

また、ローカルの書き込み領域に流通経緯情報を記録する第2の従来技術のような方法の場合、流通経緯情報の書き換え(改竄)や、虚偽のため、流通経緯の真正性を保障できないという問題が潜在する。特許文献3を参照すると、このような流通経緯を記録する際に、公開鍵暗号系の性質、つまり、秘密鍵で暗号化(署名付与)したデータは、対応する公開鍵でしか正しく復号(署名検証)できないという性質を使用して、流通過程における第3者による偽造、改竄を防止することが可能となる。しかし、本方式は流通経緯中の各拠点のリーダライタ(端末)は、不正を働かないという前提でのみ機能する。流通経緯中の各拠点のリーダライタが故意に流通経緯情報を偽造、および改竄をして不当な利益を得ようとする場合、対応できない。何故なら、秘密鍵で暗号化する情報がすりかえられると、その情報は正当な秘密鍵で暗号化されているため、対応する公開鍵での検証はパスしてしまうからである。   In addition, in the case of a method such as the second conventional technique for recording distribution history information in the local writing area, there is a problem that the authenticity of the distribution history cannot be guaranteed due to rewriting (falsification) of the distribution history information or falsehood. Latent. Referring to Patent Document 3, when recording such distribution history, the properties of the public key cryptosystem, that is, the data encrypted (signed) with the private key can only be correctly decrypted (signed) It is possible to prevent forgery and tampering by a third party in the distribution process by using the property that it cannot be verified. However, this method works only on the premise that the reader / writer (terminal) at each site in the distribution process does not work illegally. If the reader / writer at each location in the distribution process deliberately forges or falsifies the distribution process information to obtain an unfair advantage, it cannot respond. This is because if the information to be encrypted with the private key is replaced, the information is encrypted with the legitimate private key and the verification with the corresponding public key is passed.

他方、いわゆる多重署名方式が公知であるが、製品の流通経緯を認証するシステムに多重署名方式を適用した事例は皆無であり、特にRF-IDに代表される無線ICタグを付して行う製品の流通経緯認証システムに多重署名方式を適用した事例は見当たらない。   On the other hand, the so-called multiple signature method is known, but there are no cases where the multiple signature method is applied to a system for authenticating the distribution history of a product, and in particular, a product that is attached with a wireless IC tag represented by RF-ID. There are no examples of applying the multiple signature method to the distribution history authentication system.

『発明の目的』
本発明は、上記の問題点に鑑みてなされたものであり、その目的は、工場生産品や食品などの一般消費者向けの製品または製品パッケージの流通過程において、ホストコンピュータと通信できないオフライン環境でも、流通経緯を確認することができ、かつ流通経緯中の各拠点のリーダライタや悪意のある第3者における流通経緯情報の偽造および改竄も検知可能な流通経緯認証方法および流通経緯認証システムを提供することにある。
“Purpose of invention”
The present invention has been made in view of the above-mentioned problems, and the object thereof is to be able to communicate with a host computer in a distribution process of products or product packages for general consumers such as factory products and foods. , Providing a distribution history authentication method and distribution history authentication system that can check distribution history and can detect forgery and falsification of distribution history information in readers / writers and malicious third parties at each location in the distribution history There is to do.

本発明の別の目的は、製品の流通経緯が正しいかどうかの検証を簡易に行うことのできる流通経緯認証方法および流通経緯認証システムを提供することにある。   Another object of the present invention is to provide a distribution history authentication method and distribution history authentication system that can easily verify whether the distribution history of a product is correct.

本発明のさらに別の目的は、流通経緯中にたどる拠点数にスケーラビリティを有する流通経緯認証方法および流通経緯認証システムを提供することにある。   Still another object of the present invention is to provide a distribution history authentication method and distribution history authentication system having scalability in the number of bases traced during distribution history.

本発明の第1の流通経緯認証システムは、製品またはそのパッケージに付された無線ICタグとの間で情報を送受信する送受信部と署名を作成する署名作成部とを有するリーダライタを前記製品の流通経路上の各拠点に備え、最初の拠点に備わるリーダライタは、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグと交信して、初期値またはそれから導出した値に対して自拠点の秘密鍵で署名した署名文を流通経緯情報として無線ICタグの読み書き可能なメモリに書き込むものであり、最初の拠点以外の拠点に備わるリーダライタは、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグと交信して、その無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報またはそれから導出した情報に対して自拠点の秘密鍵で署名した署名文を新たな流通経緯情報として導出し、無線ICタグの読み書き可能なメモリに書き込まれていた元の流通経緯情報と置き換えるものであることを特徴とする。   A first distribution history authentication system according to the present invention includes a reader / writer having a transmission / reception unit that transmits and receives information to and from a wireless IC tag attached to a product and a signature generation unit that generates a signature. The reader / writer provided at each site on the distribution channel communicates with the wireless IC tag attached to the product distributed to the site or its package, and responds to the initial value or the value derived from it. The signature text signed with the private key of the local site is written in the readable / writable memory of the wireless IC tag as distribution history information. The reader / writer provided at the base other than the first base Communicate with the wireless IC tag attached to the package, and the distribution history information written in the readable / writable memory of the wireless IC tag or information derived from it Deriving a signature statement signed with the private key of the own base as a new distribution history information, and characterized in that to replace the original distribution history information written in read-write memory of the wireless IC tag.

本発明の第2の流通経緯認証システムは、第1の流通経緯認証システムにおいて、前記初期値として、無線ICタグの読み出し専用メモリに記憶されている当該無線ICタグ固有の識別番号を使用するものであることを特徴とする。   The second distribution history authentication system of the present invention uses the identification number unique to the wireless IC tag stored in the read-only memory of the wireless IC tag as the initial value in the first distribution history authentication system. It is characterized by being.

本発明の第3の流通経緯認証システムは、第1または第2の流通経緯認証システムにおいて、最初の拠点以外の少なくとも1つの拠点に備わるリーダライタは、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報に対して、自拠点より上流の各拠点の公開鍵を自拠点に近い拠点の公開鍵から順番に使用して検証を繰り返していき、最終的に前記初期値が得られるところまで遡って検証できることにより、前記製品が自拠点まで正しく経緯してきたものと判断する署名検証部を有することを特徴とする。   The third distribution history authentication system according to the present invention is the first or second distribution history authentication system, wherein the reader / writer provided in at least one site other than the first site is attached to the product distributed to its own site or its package. For the distribution history information written in the readable / writable memory of the attached wireless IC tag, use the public key of each base upstream from the base in order from the public key of the base close to the base. It is characterized by having a signature verification unit that determines that the product has been correctly processed to its own base by repeating the process and verifying the process until the initial value is finally obtained.

本発明の第4の流通経緯認証システムは、製品またはそのパッケージに付された無線ICタグとの間で情報を送受信する送受信部と署名を作成する署名作成部とを有するリーダライタを前記製品の流通経路上の各拠点に備え、最初の拠点に備わるリーダライタは、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグと交信して、初期値またはそれから導出した値に対して自拠点の秘密鍵で署名した署名文を流通経緯情報、前記初期値またはそれから導出した値を補助情報として無線ICタグの読み書き可能なメモリに書き込むものであり、最初の拠点以外の拠点に備わるリーダライタは、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグと交信して、その無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報またはそれから導出した情報に対して自拠点の秘密鍵で署名した署名文を新たな流通経緯情報、書き込まれていた元の流通経緯情報またはそれから導出した情報を補助情報として導出し、無線ICタグの読み書き可能なメモリに書き込まれていた元の流通経緯情報と補助情報と置き換えるものであることを特徴とする。   A fourth distribution history authentication system according to the present invention includes a reader / writer having a transmission / reception unit that transmits and receives information to and from a wireless IC tag attached to a product and a signature generation unit that generates a signature. The reader / writer provided at each site on the distribution channel communicates with the wireless IC tag attached to the product distributed to the site or its package, and responds to the initial value or the value derived from it. The signature text signed with the private key of the local site is written into the readable / writable memory of the wireless IC tag as the distribution history information and the initial value or the value derived therefrom as auxiliary information. The writer communicates with the wireless IC tag attached to the product distributed at its base or its package, and is written in the readable / writable memory of the wireless IC tag. The distribution history information or the information derived from it, the signature sentence signed with the private key of the local site is derived as new distribution history information, the written original distribution history information or information derived therefrom as auxiliary information, and wirelessly It is characterized in that it replaces the original distribution history information and auxiliary information written in the readable / writable memory of the IC tag.

本発明の第5の流通経緯認証システムは、第4の流通経緯認証システムにおいて、最初の拠点以外の少なくとも1つの拠点に備わるリーダライタは、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報に対して、自拠点より1つ上流の拠点の公開鍵を使用して検証し、その検証結果において前記無線ICタグの読み書き可能なメモリに書き込まれている補助情報と同じ補助情報が導出できることにより、前記製品が1つ前の拠点から正しく経緯してきたものと判断する署名検証部を有することを特徴とする。   The fifth distribution history authentication system of the present invention is the fourth distribution history authentication system, in which the reader / writer provided in at least one base other than the first base is attached to the product distributed to its own base or its package. The distribution history information written in the readable / writable memory of the wireless IC tag is verified using the public key of the site one upstream from the own site, and the wireless IC tag can be read / written in the verification result. Since the same auxiliary information as the auxiliary information written in the memory can be derived, it has a signature verifying unit that determines that the product has been correctly processed from the previous base.

本発明の第6の流通経緯認証システムは、第1の流通経緯認証システムにおいて、経緯順がi番目の拠点に備わるリーダライタの署名作成部は、自拠点の秘密鍵をdi、RSAモジュラスをni、初期値u0若しくはそれから導出した値または自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報ui-1若しくはそれから導出した情報をST、(u<ni)?fi(u)=u^{di}mod ni
: fi(u)=uと定義される関数をfi(u)、セキュリティパラメタkビット(ただしni<2k)長自然数空間での写像としてφ(u)= (u+ni)mod2kと定義される関数をφ(u)、その逆関数をφ-1とするとき、φ-1(fi(φ(fi(ST)))))を新たな流通経緯情報として導出するものであることを特徴とする。
The sixth distribution history authentication system of the present invention is the first distribution history authentication system, wherein the reader / writer's signature creation unit provided at the i-th location in the order of history has the private key di i and the RSA modulus. n i , initial value u 0 or a value derived from it, or a distribution history information u i-1 written in a readable / writable memory of a wireless IC tag attached to a product distributed to its own base or its package, or derived from it Information, ST, (u <n i )? f i (u) = u ^ {d i } mod n i
: The function defined as f i (u) = u is f i (u), and the security parameter is k bits (where n i <2 k ) long natural number space φ (u) = (u + n i ) When φ (u) is the function defined as mod2 k and φ -1 is the inverse function, φ -1 (f i (φ (f i (ST))))) is derived as new distribution history information. It is a thing to do.

本発明の第7の流通経緯認証システムは、第6の流通経緯認証システムにおいて、前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵を連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする。7 Distribution Background authentication system of the present invention, in the sixth flow history authentication system, the ST is a bit string obtained by connecting the public keys of all bases upstream of the own base and own base T i of the hash value H ( T i ) and a value H (T i ) ○ u obtained by exclusive OR of the initial value or the bit sequence u of the distribution history information written in the readable / writable memory of the wireless IC tag To do.

本発明の第8の流通経緯認証システムは、第6の流通経緯認証システムにおいて、前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵およびメッセージを連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする。Eighth distribution history authentication system of the present invention, in the sixth distribution history authentication system, the ST may own base and own base than the hash value of a bit string T i coupled to a public key and a message for all bases upstream H (T i ) and the value H (T i ) ○ u obtained by exclusive OR of the initial value or the bit sequence u of the distribution history information written in the readable / writable memory of the wireless IC tag Features.

本発明の第9の流通経緯認証システムは、第7または第8の流通経緯認証システムにおいて、経緯順がi番目の拠点に備わるリーダライタは、(u<ni)?gi(u)=u^{ei}
mod ni: gi(u)=uと定義される関数をgi(u)とするとき、φ-1(g1(φ(g1(H(T1 ○φ-1(g2(φ((g2(H(T2○…Ti-1○φ-1(gi-1(φ(gi-1(ui-1)))))… ))))))))) = u0が成立することにより、前記製品が自拠点まで正しく経緯してきたものと判断する署名検証部を有することを特徴とする。
In the ninth distribution history authentication system of the present invention, in the seventh or eighth distribution history authentication system, the reader / writer provided at the i-th site in the order of history is (u <n i )? G i (u) = u ^ {e i }
mod n i : When the function defined as g i (u) = u is g i (u), φ -1 (g 1 (φ (g 1 (H (T 1 ○ φ -1 (g 2 ( φ ((g 2 (H (T 2 ○ ... T i-1 ○ φ -1 (g i-1 (φ (g i-1 (u i-1 )))) ...)))))))) )) = u 0 is satisfied, the signature verification unit determines that the product has been correctly processed up to its own site.

本発明の第10の流通経緯認証システムは、第4の流通経緯認証システムにおいて、経緯順がi番目の拠点に備わるリーダライタの署名作成部は、自拠点の秘密鍵をdi、RSAモジュラスをni、初期値u0若しくはそれから導出した値または自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報ui-1若しくはそれから導出した情報をST、(u<ni)?fi(u)=u^{di}mod ni
: fi(u)=uと定義される関数をfi(u)、セキュリティパラメタkビット(ただしni<2k)長自然数空間での写像としてφ(u)= (u+ni)mod2kと定義される関数をφ(u)、その逆関数をφ-1とするとき、φ-1(fi(φ(fi(ST)))))を新たな流通経緯情報、流通経緯情報ui-1またはそのハッシュ値h(ui-1)を新たな補助情報viとしてそれぞれ導出するものであることを特徴とする。
The tenth distribution history authentication system according to the present invention is the fourth distribution history authentication system, wherein the reader / writer's signature creation unit provided at the i-th location in the order of history has the private key di i and the RSA modulus. n i , initial value u 0 or a value derived from it, or a distribution history information u i-1 written in a readable / writable memory of a wireless IC tag attached to a product distributed to its own base or its package, or derived from it Information, ST, (u <n i )? f i (u) = u ^ {d i } mod n i
: The function defined as f i (u) = u is f i (u), and the security parameter is k bits (where n i <2 k ) long natural number space φ (u) = (u + n i ) When the function defined as mod2 k is φ (u) and its inverse is φ -1 , φ -1 (f i (φ (f i (ST))))) is the new distribution history information and distribution The background information u i-1 or its hash value h (u i-1 ) is derived as new auxiliary information v i , respectively.

本発明の第11の流通経緯認証システムは、第10の流通経緯認証システムにおいて、前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵を連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする。11 Distribution Background authentication system of the present invention, in the tenth distribution history authentication system, the ST is a bit string obtained by connecting the public keys of all bases upstream of the own base and own base T i of the hash value H ( T i ) and a value H (T i ) ○ u obtained by exclusive OR of the initial value or the bit sequence u of the distribution history information written in the readable / writable memory of the wireless IC tag To do.

本発明の第12の流通経緯認証システムは、第10の流通経緯認証システムにおいて、前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵およびメッセージを連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする。The twelfth distribution history authentication system of the present invention is the tenth distribution history authentication system, wherein the ST is a hash value of a bit string T i that concatenates public keys and messages of the base and all bases upstream from the base. H (T i ) and the value H (T i ) ○ u obtained by exclusive OR of the initial value or the bit sequence u of the distribution history information written in the readable / writable memory of the wireless IC tag Features.

本発明の第13の流通経緯認証システムは、第11または第12の流通経緯認証システムにおいて、経緯順がi番目の拠点に備わるリーダライタは、(u<ni)?gi(u)=u^{ei}
mod ni: gi(u)=uと定義される関数をgi(u)とするとき、h(H(Ti-1○φ-1(gi-1(φ(gi-1(ui-1)))))… ))))))))) = vi-1が成立することにより、前記製品が1つ前の拠点から正しく経緯してきたものと判断する署名検証部を有することを特徴とする。
In the thirteenth distribution history authentication system of the present invention, in the eleventh or twelfth distribution history authentication system, the reader / writer provided at the i-th base in the order of history is (u <n i )? G i (u) = u ^ {e i }
mod n i : When a function defined as g i (u) = u is g i (u), h (H (T i-1 ○ φ -1 (g i-1 (φ (g i-1 (u i-1 ))))) ...)))))))))))))) =) Signature verification that the product is judged to have been correctly developed from the previous location when v i-1 is satisfied. It has the part.

本発明の第1の流通経緯認証方法は、製品またはそのパッケージに付された無線ICタグとの間で情報を送受信する送受信部と署名を作成する署名作成部とを有するリーダライタを前記製品の流通経路上の各拠点に設け、最初の拠点に備わるリーダライタが、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグと交信して、初期値またはそれから導出した値に対して自拠点の秘密鍵で署名した署名文を流通経緯情報として無線ICタグの読み書き可能なメモリに書き込み、最初の拠点以外の拠点に備わるリーダライタが、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグと交信して、その無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報またはそれから導出した情報に対して自拠点の秘密鍵で署名した署名文を新たな流通経緯情報として導出し、無線ICタグの読み書き可能なメモリに書き込まれていた元の流通経緯情報と置き換えることを特徴とする。   A first distribution history authentication method according to the present invention provides a reader / writer having a transmission / reception unit that transmits and receives information to and from a wireless IC tag attached to a product and a signature generation unit that generates a signature. The reader / writer installed at each site on the distribution channel communicates with the wireless IC tag attached to the product distributed to the site or its package, and the initial value or the value derived from it The signature text signed with the private key of the local site is written in the readable / writable memory of the wireless IC tag as distribution history information, and the reader / writer provided at the base other than the first base is attached to the product or its package distributed to the local base. Communicating with a wireless IC tag that has been registered, the distribution history information written in the readable / writable memory of the wireless IC tag, or the information derived from it In the signed signature message derived as a new distribution history information, and replaces the read-write original distribution history information written in the memory of the wireless IC tag.

本発明の第2の流通経緯認証方法は、第1の流通経緯認証方法において、前記初期値として、無線ICタグの読み出し専用メモリに記憶されている当該無線ICタグ固有の識別番号を使用することを特徴とする。   The second distribution history authentication method of the present invention uses the identification number unique to the wireless IC tag stored in the read-only memory of the wireless IC tag as the initial value in the first distribution history authentication method. It is characterized by.

本発明の第3の流通経緯認証方法は、第1または第2の流通経緯認証方法において、最初の拠点以外の少なくとも1つの拠点に備わるリーダライタの署名検証部が、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報に対して、自拠点より上流の各拠点の公開鍵を自拠点に近い拠点の公開鍵から順番に使用して検証を繰り返していき、最終的に前記初期値が得られるところまで遡って検証できることにより、前記製品が自拠点まで正しく経緯してきたものと判断する段階を有することを特徴とする。   The third distribution history authentication method of the present invention is the product in which the signature verification unit of the reader / writer provided in at least one base other than the first base distributes to the own base in the first or second distribution background authentication method. Or, for the distribution history information written in the readable / writable memory of the wireless IC tag attached to the package, the public key of each base upstream from the base is used in order from the public key of the base close to the base In this case, it is possible to repeat the verification and finally verify that the initial value can be obtained, thereby determining that the product has been correctly processed up to its own site.

本発明の第4の流通経緯認証方法は、製品またはそのパッケージに付された無線ICタグとの間で情報を送受信する送受信部と署名を作成する署名作成部とを有するリーダライタを前記製品の流通経路上の各拠点に設け、最初の拠点に備わるリーダライタが、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグと交信して、初期値またはそれから導出した値に対して自拠点の秘密鍵で署名した署名文を流通経緯情報、前記初期値またはそれから導出した値を補助情報として無線ICタグの読み書き可能なメモリに書き込み、最初の拠点以外の拠点に備わるリーダライタが、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグと交信して、その無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報またはそれから導出した情報に対して自拠点の秘密鍵で署名した署名文を新たな流通経緯情報、書き込まれていた元の流通経緯情報またはそれから導出した情報を補助情報として導出し、無線ICタグの読み書き可能なメモリに書き込まれていた元の流通経緯情報と補助情報と置き換えることを特徴とする。   According to a fourth distribution history authentication method of the present invention, a reader / writer having a transmission / reception unit for transmitting / receiving information to / from a wireless IC tag attached to a product or a package thereof and a signature generation unit for generating a signature is provided. The reader / writer installed at each site on the distribution channel communicates with the wireless IC tag attached to the product distributed to the site or its package, and the initial value or the value derived from it The signature sentence signed with the private key of the local site is written in the readable / writable memory of the wireless IC tag as the distribution history information, the initial value or the value derived therefrom as auxiliary information, and the reader / writer provided in the base other than the first base, Distribution history information written in the readable / writable memory of the wireless IC tag by communicating with the wireless IC tag attached to the product or its package distributed to its own base Or, the signature text signed with the private key of the local site is derived as new distribution history information, the original distribution history information written or information derived therefrom as auxiliary information, and the wireless IC tag The original distribution history information and auxiliary information written in the readable / writable memory are replaced.

本発明の第5の流通経緯認証方法は、第4の流通経緯認証方法において、最初の拠点以外の少なくとも1つの拠点に備わるリーダライタの署名検証部が、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報に対して、自拠点より1つ上流の拠点の公開鍵を使用して検証し、その検証結果において前記無線ICタグの読み書き可能なメモリに書き込まれている補助情報と同じ補助情報が導出できることにより、前記製品が1つ前の拠点から正しく経緯してきたものと判断する段階を有することを特徴とする。   The fifth distribution history authentication method of the present invention is the fourth distribution history authentication method, wherein the signature verification unit of the reader / writer provided in at least one site other than the first site has distributed the product or its package to the local site. The distribution history information written in the readable / writable memory of the wireless IC tag attached to the wireless IC tag is verified using the public key of the base one upstream from the local base, and the wireless IC tag in the verification result Since the same auxiliary information as the auxiliary information written in the readable / writable memory can be derived, it is determined that the product has been correctly developed from the previous base.

本発明の第6の流通経緯認証方法は、第1の流通経緯認証方法において、経緯順がi番目の拠点に備わるリーダライタの署名作成部が、自拠点の秘密鍵をdi、RSAモジュラスをni、初期値u0若しくはそれから導出した値または自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報ui-1若しくはそれから導出した情報をST、(u<ni)?fi(u)=u^{di}mod ni
: fi(u)=uと定義される関数をfi(u)、セキュリティパラメタkビット(ただしni<2k)長自然数空間での写像としてφ(u)= (u+ni)mod2kと定義される関数をφ(u)、その逆関数をφ-1とするとき、φ-1(fi(φ(fi(ST)))))を新たな流通経緯情報として導出することを特徴とする。
Sixth flow history authentication method of the present invention, in the first distribution history authentication method, signature creation unit of the reader writer history order is provided in the i-th bases, the secret key of the own base d i, the RSA modulus n i , initial value u 0 or a value derived from it, or a distribution history information u i-1 written in a readable / writable memory of a wireless IC tag attached to a product distributed to its own base or its package, or derived from it Information, ST, (u <n i )? f i (u) = u ^ {d i } mod n i
: The function defined as f i (u) = u is f i (u), and the security parameter is k bits (where n i <2 k ) long natural number space φ (u) = (u + n i ) When φ (u) is the function defined as mod2 k and φ -1 is the inverse function, φ -1 (f i (φ (f i (ST))))) is derived as new distribution history information. It is characterized by doing.

本発明の第7の流通経緯認証方法は、第6の流通経緯認証方法において、前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵を連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする。According to a seventh distribution history authentication method of the present invention, in the sixth distribution history authentication method, the ST includes a hash value H (T of a bit string Ti obtained by concatenating the public keys of the base and all bases upstream from the base. i ) and a value H (T i ) ○ u obtained by exclusive OR between the initial value or the bit sequence u of the distribution history information written in the readable / writable memory of the wireless IC tag .

本発明の第8の流通経緯認証方法は、第6の流通経緯認証方法において、前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵およびメッセージを連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする。The eighth distribution history authentication method of the present invention is the sixth distribution history authentication method, wherein the ST is a hash value of a bit string T i that concatenates public keys and messages of the base and all bases upstream from the base. H (T i ) and the value H (T i ) ○ u obtained by exclusive OR of the initial value or the bit sequence u of the distribution history information written in the readable / writable memory of the wireless IC tag Features.

本発明の第9の流通経緯認証方法は、第7または第8の流通経緯認証方法において、経緯順がi番目の拠点に備わるリーダライタの署名検証部が、(u<ni)?gi(u)=u^{ei}
mod ni: gi(u)=uと定義される関数をgi(u)とするとき、φ-1(g1(φ(g1(H(T1 ○φ-1(g2(φ((g2(H(T2○…Ti-1○φ-1(gi-1(φ(gi-1(ui-1)))))… ))))))))) = u0が成立することにより、前記製品が自拠点まで正しく経緯してきたものと判断する段階を有することを特徴とする。
The ninth distribution history authentication method of the present invention is the seventh or eighth distribution history authentication method, wherein the signature verification unit of the reader / writer provided at the i-th site in the history order is (u <n i )? G i (u) = u ^ {e i }
mod n i : When the function defined as g i (u) = u is g i (u), φ -1 (g 1 (φ (g 1 (H (T 1 ○ φ -1 (g 2 ( φ ((g 2 (H (T 2 ○ ... T i-1 ○ φ -1 (g i-1 (φ (g i-1 (u i-1 )))) ...)))))))) )) = u 0 is established, the method has a step of determining that the product has been correctly processed up to its own site.

本発明の第10の流通経緯認証方法は、第4の流通経緯認証方法において、経緯順がi番目の拠点に備わるリーダライタの署名作成部が、自拠点の秘密鍵をdi、RSAモジュラスをni、初期値u0若しくはそれから導出した値または自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報ui-1若しくはそれから導出した情報をST、(u<ni)?fi(u)=u^{di}mod ni
: fi(u)=uと定義される関数をfi(u)、セキュリティパラメタkビット(ただしni<2k)長自然数空間での写像としてφ(u)= (u+ni)mod2kと定義される関数をφ(u)、その逆関数をφ-1とするとき、φ-1(fi(φ(fi(ST)))))を新たな流通経緯情報、流通経緯情報ui-1またはそのハッシュ値h(ui-1)を新たな補助情報viとしてそれぞれ導出することを特徴とする。
The tenth distribution history authentication method of the present invention is the fourth distribution history authentication method, in which the reader / writer's signature creation unit provided at the i-th site in the order of history uses the private key di i and the RSA modulus. n i , initial value u 0 or a value derived from it, or a distribution history information u i-1 written in a readable / writable memory of a wireless IC tag attached to a product distributed to its own base or its package, or derived from it Information, ST, (u <n i )? f i (u) = u ^ {d i } mod n i
: The function defined as f i (u) = u is f i (u), and the security parameter is k bits (where n i <2 k ) long natural number space φ (u) = (u + n i ) When the function defined as mod2 k is φ (u) and its inverse is φ -1 , φ -1 (f i (φ (f i (ST))))) is the new distribution history information and distribution The background information u i-1 or its hash value h (u i-1 ) is derived as new auxiliary information v i , respectively.

本発明の第11の流通経緯認証方法は、第10の流通経緯認証方法において、前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵を連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする。11 distribution history authentication method of the present invention, in the tenth distribution history authentication method, the ST may own base and bit string obtained by connecting the public keys of all bases upstream of the own base T i of the hash value H ( T i ) and a value H (T i ) ○ u obtained by exclusive OR of the initial value or the bit sequence u of the distribution history information written in the readable / writable memory of the wireless IC tag To do.

本発明の第12の流通経緯認証方法は、第10の流通経緯認証方法において、前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵およびメッセージを連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする。The twelfth distribution history authentication method of the present invention is the tenth distribution history authentication method, wherein the ST is a hash value of a bit string T i that concatenates public keys and messages of the base and all bases upstream from the base. H (T i ) and the value H (T i ) ○ u obtained by exclusive OR of the initial value or the bit sequence u of the distribution history information written in the readable / writable memory of the wireless IC tag Features.

本発明の第13の流通経緯認証方法は、第11または第12の流通経緯認証方法において、経緯順がi番目の拠点に備わるリーダライタの署名検証部が、(u<ni)?gi(u)=u^{ei}
mod ni: gi(u)=uと定義される関数をgi(u)とするとき、h(H(Ti-1○φ-1(gi-1(φ(gi-1(ui-1)))))… ))))))))) = vi-1が成立することにより、前記製品が1つ前の拠点から正しく経緯してきたものと判断する署名検証部を有することを特徴とする。
The thirteenth distribution history authentication method of the present invention is the eleventh or twelfth distribution history authentication method, wherein the signature verification unit of the reader / writer provided at the i-th site in the history order is (u <n i )? G i (u) = u ^ {e i }
mod n i : When a function defined as g i (u) = u is g i (u), h (H (T i-1 ○ φ -1 (g i-1 (φ (g i-1 (u i-1 ))))) ...)))))))))))))) =) Signature verification that the product is judged to have been correctly developed from the previous location when v i-1 is satisfied. It has the part.

本発明の第1のリーダライタは、製品またはそのパッケージに付された無線ICタグとの間で情報を送受信する送受信部と署名を作成する署名作成部とを有し、前記製品の流通経路上の拠点に設けられるリーダライタであって、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグと交信して、その無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報またはそれから導出した情報に対して自拠点の秘密鍵で署名した署名文を新たな流通経緯情報として導出し、無線ICタグの読み書き可能なメモリに書き込まれていた元の流通経緯情報と置き換えるものであることを特徴とする。   A first reader / writer of the present invention has a transmission / reception unit that transmits and receives information to and from a wireless IC tag attached to a product or a package thereof, and a signature creation unit that creates a signature. Distribution writer information that is written in the readable / writable memory of the wireless IC tag that communicates with the product or the wireless IC tag attached to the package that has been distributed to the base. Alternatively, the signature text signed with the private key of the local site is derived as new distribution history information and replaced with the original distribution history information written in the readable / writable memory of the wireless IC tag. It is characterized by being.

本発明の第2のリーダライタは、第1のリーダライタにおいて、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報に対して、自拠点より上流の各拠点の公開鍵を自拠点に近い拠点の公開鍵から順番に使用して検証を繰り返していき、最終的に予め定められた初期値または前記無線ICタグの読み出し専用メモリに記憶されている当該無線ICタグ固有の識別番号が得られるところまで遡って検証できることにより、前記製品が自拠点まで正しく経緯してきたものと判断する署名検証部を有することを特徴とする。   The second reader / writer of the present invention is the first reader / writer for the distribution history information written in the readable / writable memory of the wireless IC tag attached to the product distributed to its own base or its package. , Repeat the verification using the public key of each base upstream from the local base in order from the public key of the base close to the local base, and finally the preset initial value or the read-only memory of the wireless IC tag And having a signature verification unit that determines that the product has been correctly processed up to its own base by being able to verify retroactively to the point where the identification number unique to the wireless IC tag stored in is obtained.

本発明の第3のリーダライタは、製品またはそのパッケージに付された無線ICタグとの間で情報を送受信する送受信部と署名を作成する署名作成部とを有し、前記製品の流通経路上の拠点に設けられるリーダライタであって、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグと交信して、その無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報またはそれから導出した情報に対して自拠点の秘密鍵で署名した署名文を新たな流通経緯情報、書き込まれていた元の流通経緯情報またはそれから導出した情報を補助情報として導出し、無線ICタグの読み書き可能なメモリに書き込まれていた元の流通経緯情報と補助情報と置き換えるものであることを特徴とする。   The third reader / writer of the present invention has a transmission / reception unit for transmitting / receiving information to / from a wireless IC tag attached to a product or a package thereof, and a signature generation unit for generating a signature. Distribution writer information that is written in the readable / writable memory of the wireless IC tag that communicates with the product or the wireless IC tag attached to the package that has been distributed to the base. Alternatively, the signature sentence signed with the private key of the local site is derived as new distribution history information, the original distribution history information written or information derived therefrom as auxiliary information, and the information of the wireless IC tag is derived. It is characterized in that it replaces the original distribution history information and auxiliary information written in the readable / writable memory.

本発明の第4のリーダライタは、第3のリーダライタにおいて、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報に対して、自拠点より1つ上流の拠点の公開鍵を使用して検証し、その検証結果において前記無線ICタグの読み書き可能なメモリに書き込まれている補助情報と同じ補助情報が導出できることにより、前記製品が1つ前の拠点から正しく経緯してきたものと判断する署名検証部を有することを特徴とする。   The fourth reader / writer of the present invention is the third reader / writer for the distribution history information written in the readable / writable memory of the wireless IC tag attached to the product distributed to its own base or its package. The product can be verified by using the public key of the site one upstream from the own site, and the same auxiliary information as the auxiliary information written in the readable / writable memory of the wireless IC tag can be derived in the verification result. Is characterized by having a signature verification unit that judges that it has been correctly developed from the previous base.

本発明の第5のリーダライタは、第1のリーダライタにおいて、前記署名作成部は、自拠点の秘密鍵をdi、RSAモジュラスをni、初期値u0若しくはそれから導出した値または自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報ui-1若しくはそれから導出した情報をST、(u<ni)?fi(u)=u^{di}mod ni
: fi(u)=uと定義される関数をfi(u)、セキュリティパラメタkビット(ただしni<2k)長自然数空間での写像としてφ(u)= (u+ni)mod2kと定義される関数をφ(u)、その逆関数をφ-1とするとき、φ-1(fi(φ(fi(ST)))))を新たな流通経緯情報として導出するものであることを特徴とする。
Fifth writer of the present invention, in the first reader-writer, the signature creation unit sets a secret key of the own base d i, the value or own base derived the RSA modulus n i, the initial value u 0 or therefrom ST (u <n i ), distribution history information u i-1 written in the readable / writable memory of the wireless IC tag attached to the product distributed to the product or the package thereof, or information derived therefrom? f i (u) = u ^ {d i } mod n i
: The function defined as f i (u) = u is f i (u), and the security parameter is k bits (where n i <2 k ) long natural number space φ (u) = (u + n i ) When φ (u) is the function defined as mod2 k and φ -1 is the inverse function, φ -1 (f i (φ (f i (ST))))) is derived as new distribution history information. It is a thing to do.

本発明の第6のリーダライタは、第5のリーダライタにおいて、前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵を連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする。The sixth reader / writer of the present invention is the fifth reader / writer, wherein the ST is a hash value H (T i ) of a bit string T i concatenating the public key of the base and all bases upstream from the base. The initial value or a value H (T i ) ○ u obtained by exclusive OR with the bit string u of the distribution history information written in the readable / writable memory of the wireless IC tag.

本発明の第7のリーダライタは、第5のリーダライタにおいて、前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵およびメッセージを連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする。The seventh reader / writer of the present invention is the fifth reader / writer, wherein the ST is a hash value H (T i) of a bit string T i concatenating the public key and the message of the base and all bases upstream from the base. ) And a value H (T i ) ○ u obtained by exclusive OR of the initial value or the bit sequence u of the distribution history information written in the readable / writable memory of the wireless IC tag.

本発明の第8のリーダライタは、第6または第7のリーダライタにおいて、(u<ni)?gi(u)=u^{ei}
mod ni: gi(u)=uと定義される関数をgi(u)とするとき、φ-1(g1(φ(g1(H(T1 ○φ-1(g2(φ((g2(H(T2○…Ti-1○φ-1(gi-1(φ(gi-1(ui-1)))))… ))))))))) = u0が成立することにより、前記製品が自拠点まで正しく経緯してきたものと判断する署名検証部を有することを特徴とする。
The eighth reader / writer of the present invention is the sixth or seventh reader / writer, wherein (u <n i )? G i (u) = u ^ {e i }
mod n i : When the function defined as g i (u) = u is g i (u), φ -1 (g 1 (φ (g 1 (H (T 1 ○ φ -1 (g 2 ( φ ((g 2 (H (T 2 ○ ... T i-1 ○ φ -1 (g i-1 (φ (g i-1 (u i-1 )))) ...)))))))) )) = u 0 is satisfied, the signature verification unit determines that the product has been correctly processed up to its own site.

本発明の第9のリーダライタは、第3のリーダライタにおいて、前記署名作成部は、自拠点の秘密鍵をdi、RSAモジュラスをni、初期値u0若しくはそれから導出した値または自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報ui-1若しくはそれから導出した情報をST、(u<ni)?fi(u)=u^{di}mod ni
: fi(u)=uと定義される関数をfi(u)、セキュリティパラメタkビット(ただしni<2k)長自然数空間での写像としてφ(u)= (u+ni)mod2kと定義される関数をφ(u)、その逆関数をφ-1とするとき、φ-1(fi(φ(fi(ST)))))を新たな流通経緯情報、流通経緯情報ui-1またはそのハッシュ値h(ui-1)を新たな補助情報viとしてそれぞれ導出するものであることを特徴とする。
Ninth writer of the present invention, in the third writer, the signature creation unit sets a secret key of the own base d i, the value or own base derived the RSA modulus n i, the initial value u 0 or therefrom ST (u <n i ), distribution history information u i-1 written in the readable / writable memory of the wireless IC tag attached to the product distributed to the product or the package thereof, or information derived therefrom? f i (u) = u ^ {d i } mod n i
: The function defined as f i (u) = u is f i (u), and the security parameter is k bits (where n i <2 k ) long natural number space φ (u) = (u + n i ) When the function defined as mod2 k is φ (u) and its inverse is φ -1 , φ -1 (f i (φ (f i (ST))))) is the new distribution history information and distribution The background information u i-1 or its hash value h (u i-1 ) is derived as new auxiliary information v i , respectively.

本発明の第10のリーダライタは、第9のリーダライタにおいて、前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵を連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする。The tenth reader / writer of the present invention is the ninth reader / writer, wherein the ST is a hash value H (T i ) of a bit string T i concatenating the public key of the base and all bases upstream from the base. The initial value or a value H (T i ) ○ u obtained by exclusive OR with the bit string u of the distribution history information written in the readable / writable memory of the wireless IC tag.

本発明の第11のリーダライタは、第9のリーダライタにおいて、前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵およびメッセージを連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする。The eleventh reader / writer of the present invention is the ninth reader / writer, wherein the ST is a hash value H (T i) of a bit string T i concatenating the public key and message of the base and all bases upstream from the base. ) And a value H (T i ) ○ u obtained by exclusive OR of the initial value or the bit sequence u of the distribution history information written in the readable / writable memory of the wireless IC tag.

本発明の第12のリーダライタは、第10または第11のリーダライタにおいて、(u<ni)?gi(u)=u^{ei}
mod ni: gi(u)=uと定義される関数をgi(u)とするとき、h(H(Ti-1○φ-1(gi-1(φ(gi-1(ui-1)))))… ))))))))) = vi-1が成立することにより、前記製品が1つ前の拠点から正しく経緯してきたものと判断する署名検証部を有することを特徴とする。
The twelfth reader / writer of the present invention is the tenth or eleventh reader / writer, wherein (u <n i )? G i (u) = u ^ {e i }
mod n i : When a function defined as g i (u) = u is g i (u), h (H (T i-1 ○ φ -1 (g i-1 (φ (g i-1 (u i-1 ))))) ...)))))))))))))) =) Signature verification that the product is judged to have been correctly developed from the previous location when v i-1 is satisfied. It has the part.

本発明の第13のリーダライタは、製品またはそのパッケージに付された無線ICタグとの間で情報を送受信する送受信部と署名を検証する署名検証部とを有し、前記製品の流通経路上の拠点に設けられるリーダライタであって、前記署名検証部は、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報に対して、自拠点より上流の各拠点の公開鍵を自拠点に近い拠点の公開鍵から順番に使用して検証を繰り返していき、最終的に予め定められた値または前記無線ICタグの読み出し専用メモリに記憶されている当該無線ICタグ固有の識別番号である初期値が得られるところまで遡って検証できることにより、前記製品が自拠点まで正しく経緯してきたものと判断するものであることを特徴とする。   A thirteenth reader / writer of the present invention has a transmission / reception unit that transmits / receives information to / from a wireless IC tag attached to a product or a package thereof, and a signature verification unit that verifies a signature, and The signature verification unit is provided for a distribution history information written in a readable / writable memory of a wireless IC tag attached to a product distributed to the site or a package thereof. , Repeat the verification using the public key of each base upstream from the local base in order from the public key of the base close to the local base, and finally to the predetermined value or the read-only memory of the wireless IC tag It is possible to verify that the product has been correctly processed up to its own base by being able to verify retroactively to the point where the initial value, which is the identification number unique to the stored wireless IC tag, is obtained. It is characterized by that.

本発明の第14のリーダライタは、第13のリーダライタにおいて、i番目の拠点の秘密鍵をdi、RSAモジュラスをni、前記初期値をu0、i番目の拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報をui-1、i番目の拠点およびそれより上流の全ての拠点の公開鍵を連結したビット列Tiのハッシュ値H(Ti)と流通経緯情報との排他的論理和により求められる値をH(Ti)○u、(u<ni)?gi(u)=u^{ei} mod ni: gi(u)=uと定義される関数をgi(u)、セキュリティパラメタkビット(ただしni<2k)長自然数空間での写像としてφ(u)= (u+ni)mod2kと定義される関数をφ(u)、その逆関数をφ-1とするとき、前記署名検証部は、φ-1(g1(φ(g1(H(T1 ○φ-1(g2(φ((g2(H(T2○…Ti-1○φ-1(gi-1(φ(gi-1(ui-1)))))… ))))))))) = u0が成立することにより、前記製品が自拠点まで正しく経緯してきたものと判断するものであることを特徴とする。The fourteenth reader / writer of the present invention is the product that has been distributed to the i-th base in the thirteenth reader / writer, with the secret key of the i-th base d i , the RSA modulus n i , and the initial value u 0 . Or, the distribution history information written in the readable / writable memory of the wireless IC tag attached to the package is u i-1 , the bit string T i linking the public keys of the i-th base and all bases upstream from it. H (T i ) ○ u, (u <n i )? G i (u) = u ^ {e i } is obtained by exclusive OR of the hash value H (T i ) and distribution history information mod n i : g i (u) = u is a function defined as g i (u), security parameter k bits (where n i <2 k ) long natural number space, φ (u) = (u + When the function defined as n i ) mod2 k is φ (u) and its inverse function is φ −1 , the signature verification unit is φ −1 (g 1 (φ (g 1 (H (T 1 φ -1 (g 2 (φ ( (g 2 (H (T 2 ○ ... T i-1 ○ φ -1 (g i-1 (φ (g i-1 (u i-1))))) ))))))))) = By u 0 is satisfied, wherein the product is one which determines that has been correctly history to own base.

本発明の第15のリーダライタは、第13のリーダライタにおいて、i番目の拠点の秘密鍵をdi、RSAモジュラスをni、前記初期値をu0、i番目の拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報をui-1、i番目の拠点およびそれより上流の全ての拠点の公開鍵およびメッセージを連結したビット列Tiのハッシュ値H(Ti)と流通経緯情報との排他的論理和により求められる値をH(Ti)○u、(u<ni)?gi(u)=u^{ei} mod ni: gi(u)=uと定義される関数をgi(u)、セキュリティパラメタkビット(ただしni<2k)長自然数空間での写像としてφ(u)= (u+ni)mod2kと定義される関数をφ(u)、その逆関数をφ-1とするとき、前記署名検証部は、φ-1(g1(φ(g1(H(T1 ○φ-1(g2(φ((g2(H(T2○…Ti-1○φ-1(gi-1(φ(gi-1(ui-1)))))… ))))))))) = u0が成立することにより、前記製品が自拠点まで正しく経緯してきたものと判断するものであることを特徴とする。The fifteenth reader / writer of the present invention is the product that has been distributed to the th th th th thirteenth reader / writer, with the secret key of the i th base d i , the RSA modulus n i , the initial value u 0 , and the i th base. Or, the distribution history information written in the readable / writable memory of the wireless IC tag attached to the package is the bit string that concatenates the public key and message of u i-1 , the i-th base and all bases upstream from it. T i hash value H (T i) and the value of H (T i) obtained by the exclusive OR of the distribution history information ○ u, (u <n i )? g i (u) = u ^ {e i } mod n i : The function defined as g i (u) = u is g i (u), and the security parameter is k bits (where n i <2 k ) long natural number space φ (u) = ( When the function defined as u + n i ) mod2 k is φ (u) and its inverse function is φ −1 , the signature verification unit is φ −1 (g 1 (φ (g 1 (H (T 1 ○ φ -1 (g 2 (φ ((g 2 (H (T 2 ○… T i-1 ○ φ -1 (g i-1 (φ (g i-1 ( u i-1))))) ...))))))))) = by u 0 is satisfied, it is determined that the said product has been correctly history to own base It is characterized by being.

本発明の第16のリーダライタは、製品またはそのパッケージに付された無線ICタグとの間で情報を送受信する送受信部と署名を検証する署名検証部とを有し、前記製品の流通経路上の拠点に設けられるリーダライタであって、前記署名検証部は、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報に対して、自拠点より1つ上流の拠点の公開鍵を使用して検証し、その検証結果において前記無線ICタグの読み書き可能なメモリに書き込まれている補助情報と同じ補助情報が導出できることにより、前記製品が1つ前の拠点から正しく経緯してきたものと判断するものであることを特徴とする。   A sixteenth reader / writer of the present invention has a transmission / reception unit that transmits / receives information to / from a wireless IC tag attached to a product or a package thereof, and a signature verification unit that verifies a signature. The signature verification unit is provided for a distribution history information written in a readable / writable memory of a wireless IC tag attached to a product distributed to the site or a package thereof. The product can be verified by using the public key of the site one upstream from the own site, and the same auxiliary information as the auxiliary information written in the readable / writable memory of the wireless IC tag can be derived in the verification result. It is characterized that it is judged that it has come from the previous base correctly.

本発明の第17のリーダライタは、第16のリーダライタにおいて、i番目の拠点の秘密鍵をdi、RSAモジュラスをni、前記初期値をu0、i番目の拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報および補助情報をui-1およびvi-1、i番目の拠点およびそれより上流の全ての拠点の公開鍵を連結したビット列Tiのハッシュ値H(Ti)と流通経緯情報との排他的論理和により求められる値をH(Ti)○u、(u<ni)?gi(u)=u^{ei} mod ni: gi(u)=uと定義される関数をgi(u)、セキュリティパラメタkビット(ただしni<2k)長自然数空間での写像としてφ(u)= (u+ni)mod2kと定義される関数をφ(u)、その逆関数をφ-1、hをハッシュ関数とするとき、前記署名検証部は、h(H(Ti-1○φ-1(gi-1(φ(gi-1(ui-1)))))… ))))))))) = vi-1が成立することにより、前記製品が1つ前の拠点から正しく経緯してきたものと判断するものであることを特徴とする。The seventeenth reader / writer of the present invention is the product that has been distributed to the i-th base in the sixteenth reader-writer, with the secret key of the i-th base d i , the RSA modulus n i , and the initial value u 0 . Or the distribution history information and auxiliary information written in the readable / writable memory of the wireless IC tag attached to the package is used for u i-1 and v i-1 , the i-th base and all the bases upstream from it. The values obtained by exclusive OR of the hash value H (T i ) of the bit string T i concatenated with the public key and the distribution history information are H (T i ) ○ u, (u <n i )? G i (u ) = u ^ {e i } mod n i : a function defined as g i (u) = u as a mapping in g i (u), security parameter k bits (where n i <2 k ) long natural number space When a function defined as φ (u) = (u + n i ) mod2 k is φ (u), its inverse function is φ −1 , and h is a hash function, the signature verification unit is h (H ( T i-1 ○ φ -1 (g i-1 (φ (g i-1 (u i-1 )))) ) ...)))))))))) = v i-1 , it is judged that the product has been correctly developed from the previous base.

本発明の第18のリーダライタは、第16のリーダライタにおいて、i番目の拠点の秘密鍵をdi、RSAモジュラスをni、前記初期値をu0、i番目の拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報および補助情報をui-1およびvi-1、i番目の拠点およびそれより上流の全ての拠点の公開鍵およびメッセージを連結したビット列Tiのハッシュ値H(Ti)と流通経緯情報との排他的論理和により求められる値をH(Ti)○u、(u<ni)?gi(u)=u^{ei} mod ni: gi(u)=uと定義される関数をgi(u)、セキュリティパラメタkビット(ただしni<2k)長自然数空間での写像としてφ(u)= (u+ni)mod2kと定義される関数をφ(u)、その逆関数をφ-1、hをハッシュ関数とするとき、前記署名検証部は、h(H(Ti-1○φ-1(gi-1(φ(gi-1(ui-1)))))… ))))))))) = vi-1が成立することにより、前記製品が1つ前の拠点から正しく経緯してきたものと判断するものであることを特徴とする。The eighteenth reader / writer of the present invention is the product that has been distributed to the i-th base in the sixteenth reader-writer, with the secret key of the i-th base being d i , the RSA modulus being n i , and the initial value being u 0 . Or the distribution history information and auxiliary information written in the readable / writable memory of the wireless IC tag attached to the package is used for u i-1 and v i-1 , the i-th base and all the bases upstream from it. The values obtained by exclusive OR of the hash value H (T i ) of the bit string T i concatenating the public key and the message and the distribution history information are H (T i ) ○ u, (u <n i )? G i (u) = u ^ {e i } mod n i : g i (u) = u is a function defined as g i (u), security parameter k bits (where n i <2 k ) When a function defined as φ (u) = (u + n i ) mod2 k as a mapping is φ (u), its inverse function is φ −1 , and h is a hash function, the signature verification unit is h ( H (T i-1 ○ φ -1 (g i -1 by (φ (g i-1 where (u i-1))) )) ...))))))))) = v i-1 is satisfied, the product is properly from the previous site It is characterized in that it is determined that it has progressed.

本発明の無線ICタグは、製品の流通経緯を管理するために製品またはそのパッケージに付加される無線ICタグにおいて、製品の流通経路上の各拠点に備わるリーダライタとの間で情報を送受信する送受信部と、自無線ICタグ固有の識別番号を記憶する読み出し専用メモリと、流通経緯情報を記憶する読み書き可能なメモリとを備え、最初の拠点に流通した際にはその拠点に備わるリーダライタによって、前記識別番号またはそれから導出した値に対してその拠点の秘密鍵で署名された署名文が前記流通経緯情報として前記読み書き可能なメモリに書き込まれ、最初の拠点以外の拠点に流通した際にはその拠点に備えるリーダライタによって、前記読み書き可能なメモリに書き込まれている流通経緯情報またはそれから導出した情報に対してその拠点の秘密鍵で署名された署名文が新たな流通経緯情報として導出されて、前記読み書き可能なメモリに書き込まれていた元の流通経緯情報が置き換えられるものであることを特徴とする。   The wireless IC tag of the present invention transmits / receives information to / from a reader / writer provided at each site on the product distribution path in a wireless IC tag added to the product or its package in order to manage the distribution history of the product. A transmitter / receiver, a read-only memory that stores the identification number unique to the wireless IC tag, and a readable / writable memory that stores distribution history information. When distributed to the first site, the reader / writer When a signature sentence signed with the secret key of the base for the identification number or a value derived therefrom is written in the readable / writable memory as the distribution history information and distributed to a base other than the first base The distribution history information written in the readable / writable memory or information derived therefrom is read by the reader / writer provided at the base. Signature message signed with the private key of the point is derived as a new distribution history information, wherein the original distribution history information written in the writable memory is intended to be replaced.

『作用』
本発明にあっては、製品またはそのパッケージに付加された無線ICタグがその製品に付随して流通し、流通経緯上の各拠点に設けられたリーダライタによって、無線ICタグの読み書き可能なメモリ中の流通経緯情報が書き換えられていく。
"Action"
In the present invention, a wireless IC tag attached to a product or a package thereof is distributed along with the product, and a memory capable of reading and writing the wireless IC tag by a reader / writer provided at each site in the distribution process. The distribution history information inside is rewritten.

具体的には、最初の拠点に備わるリーダライタにより、初期値u0またはそれからハッシュ関数などにより一意に導出した値に対してその拠点の秘密鍵で署名された署名文が流通経緯情報u1として無線ICタグの読み書き可能なメモリに書き込まれ、2番目の拠点に備わるリーダライタにより、読み書き可能なメモリに書き込まれている流通経緯情報u1またはそれからハッシュ関数などにより一意に導出した情報に対してその拠点の秘密鍵で署名された署名文が新たな流通経緯情報u2として導出されて元の流通経緯情報u1と置き換えられ、3番目の拠点に備わるリーダライタにより、読み書き可能なメモリに書き込まれている流通経緯情報u2またはそれからハッシュ関数などにより一意に導出した情報に対してその拠点の秘密鍵で署名された署名文が新たな流通経緯情報u3として導出されて元の流通経緯情報u2と置き換えられる。Specifically, a signature sentence signed with the private key of the base for the initial value u 0 or a value uniquely derived by a hash function or the like by the reader / writer provided in the first base is used as the distribution history information u 1. It is written in the writable memory of the wireless IC tag, the reader-writer provided in the second base, the information that uniquely derived by and distribution history information u 1 or from the hash function written in the read-write memory The signature text signed with the private key of the site is derived as new distribution history information u 2 and replaced with the original distribution history information u 1, and is written in a readable / writable memory by the reader / writer at the third site. A signed sentence signed with the private key of the base for the distribution history information u 2 or the information uniquely derived from it using a hash function etc. It is derived as new distribution history information u 3 and is replaced with the original distribution history information u 2 .

或る拠点に流通してきた製品が正しく経緯してきたかどうかは、その製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報に対して、その拠点より上流の各拠点の公開鍵を自拠点に近い拠点の公開鍵から順番に使用して検証を繰り返していき、最終的に初期値u0が得られるところまで遡って検証できるかどうかによって判断できる。Whether a product that has been distributed to a certain base has been processed correctly is determined based on the distribution history information written in the readable / writable memory of the wireless IC tag attached to that product or its package. The verification can be repeated by repeatedly using the public key of each base in order from the public key of the base close to its own base, and finally verifying whether the initial value u 0 can be obtained.

例えば、3番目の拠点に流通してきた製品は、1番目の拠点、2番目の拠点をその順に経緯してきたはずである。従って、3番目の拠点に届いた製品に付加された無線ICタグの読み書き可能なメモリに記憶されている流通経緯情報u2を、2番目の拠点の公開鍵で検証し、その検証結果を1番目の拠点の公開鍵で検証すると、その検証結果は初期値に一致する。例えば、若し2番目の拠点において、1番目の拠点以外から流通した製品に付加された無線ICタグの読み書き可能なメモリに記憶されている流通経緯情報u'1(≠u1)に対して、2番目の拠点の秘密鍵で署名した署名文を新たな流通経緯情報u2として導出し、元の流通経緯情報u'1と置き換えて、3番目の拠点に流通させたとすると、流通経緯情報u2を2番目の拠点の公開鍵で検証し、その検証結果を1番目の拠点の公開鍵で検証すると、その検証結果は初期値u0に一致しない。For example, a product that has been distributed to the third base must have gone through the first base and the second base in that order. Therefore, the distribution history information u 2 stored in the readable / writable memory of the wireless IC tag attached to the product delivered to the third base is verified with the public key of the second base, and the verification result is 1 When verifying with the public key of the th site, the verification result matches the initial value. For example, for the distribution history information u ′ 1 (≠ u 1 ) stored in the readable / writable memory of the wireless IC tag attached to the product distributed from other than the first base at the second base Suppose that the signature sentence signed with the secret key of the second base is derived as new distribution history information u 2 , replaced with the original distribution history information u ′ 1, and distributed to the third base. Distribution history information When u 2 is verified with the public key of the second base and the verification result is verified with the public key of the first base, the verification result does not match the initial value u 0 .

こうして、工場生産品や食品などの一般消費者向けの製品または製品パッケージの流通過程において、ホストコンピュータと通信できないオフライン環境でも、流通経緯を確認することができ、かつ流通経緯中の各拠点のリーダライタや悪意のある第3者における流通経緯情報の偽造および改竄も検知可能となる。また、初期値u0として、0などの数値を使用すると、正規に流通する製品Aに付加された無線ICタグの読み書き可能なメモリに記憶されている流通経緯情報を読み出して、別の製品Bに付加された無線ICタグの読み書き可能なメモリにコピーするといった不正を防止できないが、初期値u0として、無線ICタグの読み出し専用メモリに記憶された当該無線ICタグ固有の識別子を用いることにより、そのような不正な行為を阻止でき、流通経緯情報の偽造および改竄をより一層困難にすることが可能となる。In this way, in the distribution process of products or product packages for general consumers such as factory-produced products and food products, the distribution process can be confirmed even in an offline environment where communication with the host computer is not possible, and the leader of each site in the distribution process Forgery and falsification of distribution history information by a writer or a malicious third party can also be detected. In addition, when a numerical value such as 0 is used as the initial value u 0 , the distribution history information stored in the readable / writable memory of the wireless IC tag attached to the product A that is normally distributed is read and another product B is read. It is impossible to prevent fraud such as copying to a readable / writable memory of a wireless IC tag added to the wireless IC tag, but by using an identifier unique to the wireless IC tag stored in the read-only memory of the wireless IC tag as an initial value u 0 Thus, it is possible to prevent such illegal acts and make it more difficult to forge and falsify distribution history information.

また、或る拠点に流通してきた製品が正しく経緯してきたかどうかを検証するために、その製品に付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報に対して、その拠点より上流の各拠点の公開鍵を全て使って検証を繰り返す方法は信頼性は高いが、計算量が多い。これに対して、最初の拠点に備わるリーダライタが、初期値またはそれから導出した値に対して自拠点の秘密鍵で署名した署名文を流通経緯情報、前記初期値またはそれから導出した値を補助情報として無線ICタグの読み書き可能なメモリに書き込み、最初の拠点以外の拠点に備わるリーダライタが、無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報またはそれから導出した情報に対して自拠点の秘密鍵で署名した署名文を新たな流通経緯情報、書き込まれていた元の流通経緯情報またはそれから導出した情報を補助情報として導出し、無線ICタグの読み書き可能なメモリに書き込まれていた元の流通経緯情報と補助情報と置き換えるようにする方法によれば、或る拠点に流通してきた製品が正しく経緯してきたかどうかの検証を簡易化できる。つまり、その拠点に流通してきた製品に付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報に対して、その拠点より1つ上流の拠点の公開鍵を使用して検証し、その検証結果において無線ICタグの読み書き可能なメモリに書き込まれている補助情報と同じ補助情報が導出できるかどうかによって、当該製品が1つ前の拠点から正しく経緯してきたかどうかを判断できる。ただし、この場合は、1つ前の拠点が信頼のおける拠点であることが必要である。   In addition, in order to verify whether or not a product distributed to a certain base has been correctly processed, the base for the distribution history information written in the readable / writable memory of the wireless IC tag attached to the product. The method of repeating verification using all the public keys of each upstream site is highly reliable, but requires a large amount of calculation. On the other hand, the reader / writer provided at the first base distributes the signature text signed with the private key of the base for the initial value or the value derived therefrom, the distribution history information, and the initial value or the value derived therefrom as auxiliary information. The reader / writer provided in the base other than the first base is responsible for the distribution history information written in the read / write memory of the wireless IC tag or the information derived from it. The signature sentence signed with the private key of the original is derived from the new distribution history information, the original distribution history information that was written, or the information derived from it as auxiliary information, and the original that was written in the readable / writable memory of the wireless IC tag According to the method of replacing the distribution history information and auxiliary information, whether or not the product distributed to a certain base has been correctly Proof can be simplified. In other words, the distribution history information written in the readable / writable memory of the wireless IC tag attached to the product distributed to the base is verified using the public key of the base one upstream from the base. Based on the verification result, whether the same auxiliary information as the auxiliary information written in the readable / writable memory of the wireless IC tag can be derived can determine whether the product has been correctly developed from the previous base. However, in this case, the previous base must be a reliable base.

本発明における流通経緯情報を生成するための署名方式には、非特許文献2に記載される署名方式など、公知の署名方式を利用可能である。ただし、非特許文献2に記載される署名方式は、署名を重ねるたびに1ビットずつ署名データ長が大きくなる。これに対して、後述する第2の実施の形態において提案する新規な署名方式によれば、流通経緯情報のサイズを一定にすることができる。   As a signature scheme for generating distribution history information in the present invention, a known signature scheme such as the signature scheme described in Non-Patent Document 2 can be used. However, the signature method described in Non-Patent Document 2 increases the signature data length by 1 bit each time a signature is overlapped. On the other hand, according to the new signature method proposed in the second embodiment to be described later, the size of the distribution history information can be made constant.

本発明によれば、工場生産品や食品などの一般消費者向けの製品または製品パッケージの流通過程において、ホストコンピュータと通信できないオフライン環境でも、流通経緯を確認することができる。これによって、運用コストを軽減できる。その理由は、製品に付する書き込み型無線ICタグのローカルな記憶領域に流通の経緯を管理する情報を持ち、それを必要に応じて参照することで流通経緯を確認することができるからである。   According to the present invention, the distribution process can be confirmed even in an offline environment where communication with a host computer is not possible in the distribution process of products or product packages for general consumers such as factory-produced products and foods. This can reduce operational costs. The reason is that the local storage area of the writable wireless IC tag attached to the product has information for managing the distribution process, and the distribution process can be confirmed by referring to the information as necessary. .

また本発明によれば、流通経緯中の各段階のリーダライタや悪意のある第3者における流通経緯情報の偽造および改竄を検知できる。その理由は、流通経緯を証明する署名が、流通経緯中の拠点全ての公開鍵を用いて検証することが可能だからである。   Further, according to the present invention, it is possible to detect forgery and falsification of distribution history information in a reader / writer at each stage in the distribution history or a malicious third party. The reason is that the signature that certifies the distribution process can be verified using the public keys of all the sites in the distribution process.

本発明の第1の実施の形態の構成を示すブロック図である。1 is a block diagram showing a configuration of a first exemplary embodiment of the present invention. 本発明の第1の実施の形態における流通経緯情報の説明図である。It is explanatory drawing of the distribution history information in the 1st Embodiment of this invention. 本発明の第1の実施の形態において無線ICタグが付された製品がリーダライタを経由する際の動作を示すシーケンス図である。FIG. 5 is a sequence diagram showing an operation when a product with a wireless IC tag is passed through a reader / writer in the first embodiment of the present invention. 本発明の第1の実施の形態における流通経緯情報に対する署名の作成と検証に使用する関数を示す図である。FIG. 5 is a diagram showing functions used for creating and verifying a signature for distribution history information in the first exemplary embodiment of the present invention. 本発明の第1の実施の形態にかかるリーダライタの署名作成部の処理例を示すフローチャートである。6 is a flowchart showing a processing example of a signature creation unit of the reader / writer according to the first embodiment of the present invention. 本発明の第1の実施の形態にかかるリーダライタの署名検証部の処理例を示すフローチャートである。5 is a flowchart showing a processing example of a signature verification unit of the reader / writer according to the first embodiment of the present invention. 本発明の第1の実施の形態にかかるリーダライタの署名作成部の別の処理例を示すフローチャートである。6 is a flowchart illustrating another example of processing of the signature creation unit of the reader / writer according to the first embodiment of the present invention. 本発明の第1の実施の形態にかかるリーダライタの署名検証部の別の処理例を示すフローチャートである。6 is a flowchart showing another example of processing of the signature verification unit of the reader / writer according to the first exemplary embodiment of the present invention. 本発明の第2の実施の形態の構成を示すブロック図である。FIG. 5 is a block diagram showing a configuration of a second exemplary embodiment of the present invention. 本発明の第2の実施の形態における流通経緯情報に対する署名の作成と検証に使用する関数を示す図である。FIG. 12 is a diagram showing functions used for creating and verifying a signature for distribution history information in the second exemplary embodiment of the present invention. 本発明の第2の実施の形態にかかるリーダライタの署名作成部の処理例を示すフローチャートである。7 is a flowchart showing a processing example of a signature creation unit of a reader / writer according to a second embodiment of the present invention. 本発明の第2の実施の形態にかかるリーダライタの署名検証部の処理例を示すフローチャートである。10 is a flowchart showing a processing example of a signature verification unit of the reader / writer according to the second exemplary embodiment of the present invention. 本発明の第2の実施の形態にかかるリーダライタの署名作成部の別の処理例を示すフローチャートである。10 is a flowchart showing another processing example of the signature creation unit of the reader / writer according to the second exemplary embodiment of the present invention. 本発明の第2の実施の形態にかかるリーダライタの署名検証部の別の処理例を示すフローチャートである。10 is a flowchart showing another processing example of the signature verification unit of the reader / writer according to the second exemplary embodiment of the present invention. 本発明の第3の実施の形態の構成を示すブロック図である。FIG. 10 is a block diagram showing a configuration of a third exemplary embodiment of the present invention. 本発明の第3の実施の形態において無線ICタグが付された製品がリーダライタを経由する際の動作を示すシーケンス図である。FIG. 10 is a sequence diagram showing an operation when a product with a wireless IC tag is passed through a reader / writer in the third embodiment of the present invention. 本発明の第3の実施の形態にかかるリーダライタの署名作成部の処理例を示すフローチャートである。10 is a flowchart showing a processing example of a signature creation unit of a reader / writer according to a third embodiment of the present invention. 本発明の第3の実施の形態にかかるリーダライタの署名検証部の処理例を示すフローチャートである。10 is a flowchart showing a processing example of a signature verification unit of a reader / writer according to a third embodiment of the present invention. 本発明の第3の実施の形態にかかるリーダライタの署名作成部の別の処理例を示すフローチャートである。10 is a flowchart showing another processing example of the signature creation unit of the reader / writer according to the third exemplary embodiment of the present invention. 本発明の第3の実施の形態にかかるリーダライタの署名検証部の別の処理例を示すフローチャートである。14 is a flowchart showing another processing example of the signature verification unit of the reader / writer according to the third exemplary embodiment of the present invention. 本発明の第4の実施の形態の構成を示すブロック図である。FIG. 10 is a block diagram showing a configuration of a fourth exemplary embodiment of the present invention. 本発明の第4の実施の形態にかかるリーダライタの署名作成部の処理例を示すフローチャートである。10 is a flowchart showing a processing example of a signature creation unit of a reader / writer according to a fourth embodiment of the present invention. 本発明の第4の実施の形態にかかるリーダライタの署名検証部の処理例を示すフローチャートである。10 is a flowchart showing a processing example of a signature verification unit of a reader / writer according to a fourth embodiment of the present invention. 本発明の第4の実施の形態にかかるリーダライタの署名作成部の別の処理例を示すフローチャートである。16 is a flowchart showing another example of processing of the signature creation unit of the reader / writer according to the fourth exemplary embodiment of the present invention. 本発明の第4の実施の形態にかかるリーダライタの署名検証部の別の処理例を示すフローチャートである。14 is a flowchart showing another processing example of the signature verification unit of the reader / writer according to the fourth exemplary embodiment of the present invention.

符号の説明Explanation of symbols

1…無線ICタグ
2−1〜2−n…リーダライタ
3…公開鍵発行者
11…ROM部
12…RAM部
13…送受信部
21…鍵管理部
22…署名作成部
23…署名検証部
24…送受信部
25…外部情報入力部
1… Wireless IC tag
2-1 to 2-n: Reader / writer
3 ... Public key issuer
11 ... ROM part
12 ... RAM section
13 ... Transceiver
21… Key Management Department
22 ... Signature creation department
23 ... Signature verification part
24 ... Transceiver
25… External information input section

『第1の実施の形態』
次に本発明の第1の実施の形態について、図面を参照して詳細に説明する。
"First embodiment"
Next, a first embodiment of the present invention will be described in detail with reference to the drawings.

図1を参照すると、本発明の第1の実施の形態にかかる流通経緯認証システムは、流通する製品に付され、製品とともに流通経路(配送経路)をたどる無線ICタグ(RFIDタグ)1と、流通経路中の各拠点に配置されるリーダライタ2−1〜2−nとから構成される。ここで、無線ICタグ1が付された製品は、リーダライタ2−1の配置された1番目の拠点、リーダライタ2−2の配置された2番目の拠点、…、リーダライタ2−nの配置されたn番目の拠点の順で経緯(流通)していくものとする。   Referring to FIG. 1, a distribution history authentication system according to a first exemplary embodiment of the present invention is attached to a product to be distributed, and a wireless IC tag (RFID tag) 1 that follows the distribution route (delivery route) together with the product, It consists of reader / writers 2-1 to 2-n arranged at each base in the distribution channel. Here, the products to which the wireless IC tag 1 is attached are the first site where the reader / writer 2-1 is arranged, the second site where the reader / writer 2-2 is arranged,... The history (distribution) shall be in the order of the nth base.

無線ICタグ1は、ROM部11、RAM部12および送受信部13を備えている。   The wireless IC tag 1 includes a ROM unit 11, a RAM unit 12, and a transmission / reception unit 13.

ROM部11は、読み取り専用のメモリ領域であり、当該無線ICタグ1を他の無線ICタグと区別するための固有のIDを記憶する。   The ROM unit 11 is a read-only memory area, and stores a unique ID for distinguishing the wireless IC tag 1 from other wireless IC tags.

RAM部12は、読み取りと書き込みが可能であるメモリ領域であり、書き込み可能なメモリサイズは有限である。本書き込み可能なメモリ領域には、当該メモリサイズに収まるサイズsで表現可能な流通経緯情報uiが記憶される。添え字がiである流通経緯情報uiは、1番目からi番目までの拠点を経緯したことを表す。流通経緯情報の初期値は、どこも経緯していないことを表すu0である。u0には、所定値たとえば0、または、無線ICタグ1のROM部11に記憶された当該無線ICタグ固有のID値が設定される。The RAM unit 12 is a memory area that can be read and written, and the writable memory size is limited. In the writable memory area, distribution history information u i that can be expressed in a size s that fits in the memory size is stored. Distribution history information u i whose subscript is i represents the history of the first to i-th bases. The initial value of the distribution history information is u 0 indicating that there is no history. In u 0 , a predetermined value, for example, 0, or an ID value unique to the wireless IC tag stored in the ROM unit 11 of the wireless IC tag 1 is set.

図2を参照すると、流通経緯情報uiは、リーダライタ2−1、…、2−iの秘密鍵sk1、…、skiを用いて順次計算された署名から構成される。つまり、最初のリーダライタ2−1が初期値u0に対して秘密鍵sk1を用いて計算した署名に、次の拠点のリーダライタ2−2が秘密鍵sk2を用いて署名し、更にその署名に対して次の拠点のリーダライタが署名するという手順をi番目の拠点まで繰り返されたものが流通経緯情報uiである。Referring to FIG. 2, the distribution history information ui is composed of signatures sequentially calculated using the secret keys sk 1 ,..., Sk i of the reader / writers 2-1,. That is, the first reader / writer 2-1 uses the private key sk 2 to sign the signature calculated by using the private key sk 1 for the initial value u 0 , The distribution history information u i is obtained by repeating the procedure of signing the signature by the reader / writer of the next site up to the i-th site.

送受信部13は、各拠点においてその拠点に配置されたリーダライタ2−1〜2−nとの間で無線伝送により情報の授受を行うべく増幅、フィルタリング、変調等の処理を行う。具体的には、リーダライタからROM部11のIDまたはRAM部12の流通経緯情報への読み取り要求時に、当該情報を読み取ってリーダライタへ送信し、また、リーダライタからRAM部12への書き込み要求時に、書き込む情報を受信してRAM部11へ書き込む。   The transmission / reception unit 13 performs processing such as amplification, filtering, and modulation to exchange information by wireless transmission with the reader / writers 2-1 to 2-n arranged at each site. Specifically, when a read request is made from the reader / writer to the ROM section 11 ID or the distribution history information of the RAM section 12, the information is read and transmitted to the reader / writer, and a write request from the reader / writer to the RAM section 12 is also made. Sometimes, information to be written is received and written to the RAM unit 11.

リーダライタ2−1〜2−nは全て同じ構成であり、図1にはリーダライタ2−1のブロックにのみ内部構造を図示してある。   The reader / writers 2-1 to 2-n all have the same configuration, and FIG. 1 shows the internal structure only in the block of the reader / writer 2-1.

図1を参照すると、各リーダライタは、RSA公開鍵暗号アルゴリズムにおける公開鍵と秘密鍵のペアを管理する鍵管理部21と、鍵管理部21に格納された自リーダライタの秘密鍵に基づいて署名を作成する署名作成部22と、鍵管理部21に格納された各拠点のリーダライタの公開鍵に基づいて署名を検証する署名検証部23と、無線ICタグ1との間で情報を送受信する送受信部24から構成される。また、リーダライタに製品に付加する情報(時間、温度などの属性情報など)を入力し、またリーダライタ上の情報(経由時においての経緯認証の成否などを通知するための情報など)を出力する外部情報入力部25を備えていてもよい。   Referring to FIG. 1, each reader / writer is based on a key management unit 21 that manages a pair of a public key and a private key in the RSA public key encryption algorithm, and a private key of the reader / writer stored in the key management unit 21. Information is sent and received between the wireless IC tag 1 and the signature creation unit 22 that creates the signature, the signature verification unit 23 that verifies the signature based on the public key of the reader / writer at each site stored in the key management unit 21 The transmitting / receiving unit 24 is configured. Also, information to be added to the product (attribute information such as time and temperature) is input to the reader / writer, and information on the reader / writer (information for notifying the success or failure of background authentication at the time of transit) is output. The external information input unit 25 may be provided.

鍵管理部21は、リーダライタ2−1〜2−nの公開鍵及び自リーダライタの秘密鍵を保持する。このリーダライタ2−1〜2−nの公開鍵及び自リーダライタの秘密鍵は、システム外の信頼のおける公開鍵発行者3から発行されたものでもよい。ここでは、鍵管理部21が自ら公開鍵と秘密鍵の鍵ペアを生成する手続きに関して説明する。公開鍵発行者3で鍵ペアを生成するときも同様の手続きを踏むものとする。本手続きは、個々のリーダライタ2−iごとに、RSA公開鍵暗号アルゴリズムを基本とする方法で、セキュリティを最大化するように鍵生成を行う。素数pi、qiを、積ni=piqi(RSAモジュラス)のビット長がセキュリティパラメタkに等しく、かつpi、qiのビット長が同程度になるように選ぶ。さらに自然数eiでniよりも大きく、かつ((pi-1)(qi-1))と互いに素であるものをランダムに選ぶ。このように決定するパラメタを用い、リーダライタ2−iの公開鍵pki、秘密鍵skiをそれぞれ(ni, ei)、di=ei -1 mod
((pi-1)(qi-1))とする。このように生成される各リーダライタの公開鍵は、システム外の手段で公開され、各リーダライタは公開されている公開鍵をシステム外の手段から入手可能とする。
The key management unit 21 holds the public keys of the reader / writers 2-1 to 2-n and the private key of the reader / writer. The public keys of the reader / writers 2-1 to 2-n and the private key of the reader / writer may be issued from a reliable public key issuer 3 outside the system. Here, a procedure in which the key management unit 21 generates a key pair of a public key and a secret key by itself will be described. It is assumed that the same procedure is followed when the public key issuer 3 generates a key pair. In this procedure, for each reader / writer 2-i, a key is generated so as to maximize security by a method based on the RSA public key encryption algorithm. The prime numbers p i and q i are selected so that the bit length of the product n i = p i q i (RSA modulus) is equal to the security parameter k and the bit lengths of p i and q i are approximately the same. Further, a natural number e i that is larger than n i and that is relatively prime to ((p i -1) (q i -1)) is selected at random. Using the parameters determined in this way, the public key pk i and the secret key sk i of the reader / writer 2- i are respectively (n i , e i ), d i = e i −1 mod
((p i -1) (q i -1)). The public key of each reader / writer generated in this way is disclosed by means outside the system, and each reader / writer makes the public key publicly available from means outside the system.

署名作成部22は、無線ICタグ1とリーダライタの送受信部13、24を介して得られた、無線ICタグ1のRAM部12に保持されている流通経緯情報ui-1に対して、鍵管理部21で管理している自リーダライタの秘密鍵diとRSAモジュラスniとを用いて、署名作成処理を行い、作成した署名を新たな流通経緯情報uiとして、無線ICタグ1とリーダライタの送受信部13、24を介して無線ICタグ1のRAM部12に保持されている流通経緯情報ui-1と置き換える。The signature creation unit 22 is obtained through the wireless IC tag 1 and the transmission / reception units 13 and 24 of the reader / writer, and the distribution history information u i-1 held in the RAM unit 12 of the wireless IC tag 1, Using the private key d i of the reader / writer managed by the key management unit 21 and the RSA modulus n i , a signature creation process is performed, and the created signature is used as new distribution history information u i to the wireless IC tag 1 And the distribution history information u i-1 held in the RAM unit 12 of the wireless IC tag 1 via the transmission / reception units 13 and 24 of the reader / writer.

署名検証部23は、無線ICタグ1とリーダライタの送受信部13、24を介して得られた、無線ICタグ1のRAM部12に保持している流通経緯情報ui-1に対して、各リーダライタの公開鍵pki-1,…, pk1を用いて、自リーダライタの拠点に到る経緯を逆順に検証していき、最終的にu0が得られるところまでさかのぼって検証できれば、自リーダライタの拠点に到るまでの全てのリーダライタを正しく経緯してきたものと判断する。The signature verification unit 23 is obtained through the wireless IC tag 1 and the transmission / reception units 13 and 24 of the reader / writer, with respect to the distribution history information u i-1 held in the RAM unit 12 of the wireless IC tag 1. If the reader / writer's public key pk i-1 , ..., pk 1 is used, the process of reaching the reader / writer's base will be verified in reverse order, and finally u 0 can be obtained. Then, it is determined that all reader / writers have been processed correctly until reaching the base of the reader / writer.

送受信部24は、無線ICタグ1間で無線伝送により情報の授受を行うべく増幅、フィルタリング、変調等の処理を行う。具体的には、リーダライタからROM部11のIDまたはRAM部12の流通経緯情報への読み取り要求時に、リーダライタへ送信されてくる当該情報を受信する。また、リーダライタからRAM部12への書き込み要求時にRAM部12書き込む情報を送信する。   The transmission / reception unit 24 performs processing such as amplification, filtering, and modulation in order to exchange information by wireless transmission between the wireless IC tags 1. Specifically, when the reader / writer requests to read the ID of the ROM unit 11 or the distribution history information of the RAM unit 12, the information transmitted to the reader / writer is received. In addition, information to be written to the RAM unit 12 is transmitted at the time of a write request from the reader / writer to the RAM unit 12.

次に、無線ICタグ1が付された製品がリーダライタ2−iを経由する際の動作を図3のシーケンス図を参照して説明する。   Next, the operation when the product with the wireless IC tag 1 passes through the reader / writer 2-i will be described with reference to the sequence diagram of FIG.

まず、リーダライタ2−iは、無線ICタグ1が付された製品が経由されてきた時、送受信部24により無線ICタグ1に対して、無線ICタグ1のRAM部12に格納された流通経緯情報ui-1および流通経緯情報の初期値u0として無線ICタグ固有のIDが使用される場合はROM部11のIDを要求する(S101)。First, the reader / writer 2-i distributes the wireless IC tag 1 stored in the RAM section 12 of the wireless IC tag 1 to the wireless IC tag 1 when a product with the wireless IC tag 1 is routed. When the ID specific to the wireless IC tag is used as the history information u i-1 and the initial value u 0 of the distribution history information, the ID of the ROM unit 11 is requested (S101).

無線ICタグ1は、この要求に応じて、RAM部12に格納されている流通経緯情報ui-1および要求された場合にはROM部11に格納されているIDを、送受信部13を介してリーダライタ2−iに送信する(S201)。   In response to this request, the wireless IC tag 1 sends the distribution history information ui-1 stored in the RAM unit 12 and the ID stored in the ROM unit 11 through the transmission / reception unit 13 when requested. The data is transmitted to the reader / writer 2-i (S201).

流通経緯情報ui-1を受信した(S102)リーダライタ2−iは、署名検証部23により、鍵管理部21に保持されているリーダライタ2−1〜2−(i−1)までの公開鍵pk1〜pki-1を用いて、流通経緯情報ui-1に対して順に署名を検証していき、流通経緯情報の初期値u0が得られるかどうかを検証する(S103)。The reader / writer 2-i that has received the distribution history information u i-1 (S102) receives the reader / writer 2-1 to 2- (i−1) held in the key management unit 21 by the signature verification unit 23. Using public keys pk 1 to pk i-1 , signatures are sequentially verified for the distribution history information u i-1 to verify whether or not the initial value u 0 of the distribution history information can be obtained (S103). .

ここで、u0が得られれば、リーダライタ2−1〜2−(i−1)まで正しく経緯してきたものと判断され、u0が得られない場合、流通経緯中で何か不正があったものと検出される(S106)。Here, if u 0 is obtained, it is determined that the reader / writer 2-1 to 2- (i-1) has correctly gone through. If u 0 cannot be obtained, there is something wrong with the distribution process. Is detected (S106).

検証に成功した場合、リーダライタ2−iは、自リーダライタが配置された拠点を正しく経緯したことを証明するために、正しく経緯してきたことが署名検証部23により認証できた流通経緯情報ui-1に対して、署名作成部22により、鍵管理部21に保持されている自リーダライタの秘密鍵skiを用いて署名を生成し(S104)、生成された署名値uiを新しい流通経緯情報として過去のui-1に上書きするために、無線ICタグ1に送受信部24により送信する(S105)。無線ICタグ1は、送受信部13によりuiを受信したら(S202)、受信したuiでRAM部12に格納されているui-1を上書きする(S203)。If the verification is successful, the reader / writer 2-i can certify that the correct history has been obtained by the signature verification unit 23 in order to prove that the site where the reader / writer is located correctly has been authenticated. For i-1 , the signature creation unit 22 generates a signature using the private key sk i of its own reader / writer held in the key management unit 21 (S104), and generates a new signature value u i In order to overwrite the past u i-1 as distribution history information, the wireless IC tag 1 is transmitted by the transmitting / receiving unit 24 (S105). When the wireless IC tag 1 receives u i by the transmission / reception unit 13 (S202), it overwrites u i−1 stored in the RAM unit 12 with the received u i (S203).

以上と同様な動作は、無線ICタグ1が付加された製品が次の拠点に配送された場合にも実施される。リーダライタ2−nが配置された拠点まで正しく経緯した製品の無線ICタグ1の流通経緯情報unに対して、リーダライタ2−1〜2−nの公開鍵pk1〜pknを用いて、順に署名を検証していけば、流通経緯情報の初期値u0が得られることになる。これにより、全ての拠点のリーダライタを正しく経緯してきたことを知ることができる。The same operation as described above is also performed when a product to which the wireless IC tag 1 is added is delivered to the next base. Products writer 2-n is correctly history to base disposed in the wireless IC tag 1 against the flow history information u n, using the public key pk 1 ~pk n interrogator 2-1 to 2-n If the signatures are verified in order, the initial value u 0 of the distribution history information can be obtained. As a result, it is possible to know that all the base readers / writers have been properly processed.

次に署名作成部22をより詳細に説明する。   Next, the signature creation unit 22 will be described in more detail.

署名作成部22によるステップS104における署名作成処理は、リーダライタ2−1〜2−(i-1)の公開鍵pk1,…, pki-1が全て異なること、かつeiが、niよりも大きくかつ((pi-1)(qi-1))と互いに素であることを確認し、Ti = pk1||…||pkiを計算した後、u=a||s(aはkビット長)としたときに(a<ni)?Ei(u)=
((a^{di} mod ni, s||0) : ((a-ni)^{di}
mod ni, s||1)と定義される図4の関数Ei(u)を用いて、無線ICタグ1の有する流通経緯情報ui-1に対して、Ei (H(Ti)○ui-1) を署名として導出する。ここで、関数Ei(u)の定義に使用する「式1?式2:式3」なる表記は、式1の条件が真のとき式2を評価し、式1の条件が偽のとき式3を評価することを意味し、また、「||」はビット列同士の連結、「H」はniのビット数と同じビット数のビット列を出力するハッシュ関数、「○」はビット毎の排他的論理和、「^」は右の被演算子を指数として左の被演算子をべき乗した値を算出する算術演算子を表し、以下においても同様の意味で用いる。この署名作成処理の詳しい手順を図5のステップS314〜S319に示す。以下、前後の処理と共に署名作成処理を図5を参照して詳しく説明する。
Signature generation processing in step S104 by the signature generating unit 22, the public key pk 1 interrogator 2-1~2- (i-1), ... , pk i-1 are all different, and e i is, n i Greater than and ((p i -1) (q i -1)) and relatively prime, and after calculating T i = pk 1 ||… || pk i , u = a || If s (a is k bits long), then (a <n i )? E i (u) =
((a ^ {d i } mod n i , s || 0): ((an i ) ^ {d i }
mod n i, s || 1) using a defined function to be in FIG. 4 E i (u) and, with respect to the distribution history information u i-1 having the wireless IC tag 1, E i (H (T i ) ○ u i-1 ) is derived as a signature. Here, the expression “expression 1? Expression 2: expression 3” used to define the function E i (u) evaluates expression 2 when the condition of expression 1 is true, and when the condition of expression 1 is false. It means that expression 3 is evaluated, “||” is a concatenation of bit strings, “H” is a hash function that outputs a bit string having the same number of bits as n i , and “O” is a bit-by-bit Exclusive OR, “^”, represents an arithmetic operator that calculates the value of the right operand as the exponent and the left operand as a power, and is used in the same meaning in the following. The detailed procedure of the signature creation process is shown in steps S314 to S319 in FIG. Hereinafter, the signature creation process as well as the preceding and following processes will be described in detail with reference to FIG.

図5を参照すると、リーダライタ2−iは、RFIDのRAM部12に格納されている流通経路情報ui-1を読み取ると(S311)、所有している鍵の正当性を検証した後(S312)、ui-1が正当であるかを署名検証部23で検証する(S313)。その後、署名作成部22により、現拠点の公開鍵及び上流に位置する拠点の公開鍵からTi = pk1||…||pkiを計算した後(S314)、Ei (H(Ti)○ui-1) をリーダライタ2−iでの流通経緯情報uiとして導出する(S315〜S319)。具体的には、まずv=H(Ti)○ui-1を計算し(S315)、vのはじめのセキュリティパラメタkビットをa、残りをsとし(S316)、aがRSAモジュラスniよりも小さいときは、aに対して秘密鍵diでRSA方式に準じて署名値を計算する(S317,S318)。このときsに制御情報として1ビットの情報0を付け加え、署名値とともにuiとする。また、aがRSAモジュラスniよりも大きいときは、モジュラスより大きい数に対してはRSA署名を計算できないので、aをniだけ減算したものに対して署名値を計算する(S319)。このときsに制御情報として1ビットの情報1を付け加え、署名値とともにuiとする。このように計算したuiをRFIDのRAM部に格納されていたui-1と置換する(S319)。Referring to FIG. 5, when the reader / writer 2-i reads the distribution route information u i-1 stored in the RFID RAM unit 12 (S311), after verifying the validity of the possessed key ( The signature verification unit 23 verifies whether u i-1 is valid (S312). After that, the signature creation unit 22 calculates T i = pk 1 || ... || pk i from the public key of the current site and the public key of the upstream site (S314), and then E i (H (T i ) ○ u i-1 ) is derived as distribution history information u i in the reader / writer 2-i (S315 to S319). Specifically, first, v = H (T i ) ○ u i-1 is calculated (S315), the first security parameter k bit of v is a, the rest is s (S316), and a is the RSA modulus n i when less than calculates the signature value according to the RSA scheme with the secret key d i with respect to a (S317, S318). At this time, 1-bit information 0 is added to s as control information, and u i is set together with the signature value. If a is larger than the RSA modulus n i , the RSA signature cannot be calculated for a number greater than the modulus, so the signature value is calculated for a value obtained by subtracting a from n i (S319). At this time, 1-bit information 1 is added to s as control information, and u i is set together with the signature value. U i calculated in this way is replaced with u i−1 stored in the RAM portion of the RFID (S319).

このように、リーダライタ2−iは、基本的には、無線IDタグ1に既に書き込まれている流通経路情報ui-1に対して、自リーダライタの秘密鍵diで署名を付けるが、RSAの場合、自リーダライタのRSAモジュラスniより大きい数に対しては署名を計算できないので、若しui-1がniより大きい場合はモジュラスniだけ減算してから署名を付ける。このとき、後の検証を可能にするために、後ろに1bitの制御情報(モジュラスを超えていた場合は1、そうでない場合は0)を付けておく。また署名を計算する際には、セキュリティ強度を考慮し、経緯上の各拠点の公開鍵を署名対象として入力することによって、公開鍵のすり替えを防止する。つまり、通常の方法で署名を作成するにはまず自分の公開鍵ペアを作成してから署名するが、まず署名を偽造して偽造した署名とつじつまが合うように公開鍵ペアを作成する不正行為が考えられるため、それを防ぐためにハッシュに公開鍵を入れる。ハッシュに公開鍵が入っていることにより、署名する前に公開鍵を作ったことが保証される。As described above, the reader / writer 2-i basically signs the distribution path information u i-1 already written in the wireless ID tag 1 with the private key d i of the reader / writer. in the case of RSA, for RSA modulus n i is greater than the number of self-writer can not calculate a signature, if Wakashi greater than u i-1 is n i signing since by subtracting the modulus n i . At this time, in order to enable later verification, 1-bit control information (1 if the modulus has been exceeded, 1 if not) is added behind. Also, when calculating the signature, considering the security strength, the public key of each base in the background is input as a signature target to prevent the public key from being replaced. In other words, in order to create a signature in the usual way, you must first create your public key pair and then sign, but first you forge the signature and create a public key pair that matches the forged signature. To prevent this, put the public key in the hash. Having the public key in the hash ensures that the public key was created before signing.

次に署名検証部23をより詳細に説明する。   Next, the signature verification unit 23 will be described in more detail.

署名検証部23によるステップS103における署名検証処理は、リーダライタ2−iにおいて、Ti = pk1||…||pki、u=a||s||b(aはkビット長、bは1ビット長)としたときに、(b=0)?Di(u)=
((a^{ei} mod ni, s):((a^{ei} mod ni) + ni, s)と定義される図4に示す関数Di(u)を用いて、D1(H(T1)○(D2(H(T2)○…Di-1(ui-1))…)) = u0が成立すれば署名の検証に成功したと判断する。この署名検証処理の詳しい手順を図6に示す。
The signature verification processing in step S103 by the signature verification unit 23 is performed by the reader / writer 2-i with T i = pk 1 || ... || pk i , u = a || s || b (a is a k-bit length, b (B = 0)? D i (u) =
((a ^ {e i } mod n i , s): Using the function D i (u) shown in Fig. 4 defined as ((a ^ {e i } mod n i ) + n i , s) , D 1 (H (T 1 ) ○ (D 2 (H (T 2 ) ○… D i-1 (u i-1 )) ...)) = u 0 The detailed procedure of this signature verification process is shown in FIG.

図6を参照すると、まずリーダライタ2−iは、流通経路情報ui-1を変数viに記憶する(S331)。Referring to FIG. 6, first, the reader / writer 2-i stores the distribution route information u i-1 in the variable v i (S331).

経緯中の拠点のリーダライタ2-iから最上流拠点のリーダライタ2-1までを遡って、順に検証処理を行う(S332〜S342)。   The verification process is performed in sequence from the reader / writer 2-i at the base in the process to the reader / writer 2-1 at the most upstream base (S332 to S342).

まず、どの拠点における署名を検証しているかを管理するループ変数jにi-1を記憶する(S332)。   First, i-1 is stored in a loop variable j that manages which base is verifying the signature (S332).

jが1以上であるかどうかの判定を行い(S333)、1以上であれば次のように処理を行う。リーダライタ2-jの備えられた拠点の公開鍵及びその上流に位置する拠点の公開鍵からTj = pk1||…||pkjを計算した後(S334)、vjのはじめのkビットをaに、最後の1ビットをbに、残りのビットをsに記憶し(S335)、bが0ならば、aを公開鍵ejで検証し、検証結果の末尾にsを加えたものとH(Tj)の排他的論理和を計算し、それをvj-1として記憶する(S336,S337)。It is determined whether j is 1 or more (S333). If j is 1 or more, the following processing is performed. After calculating Tj = pk 1 ||… || pk j from the public key of the base provided for the reader / writer 2-j and the public key of the base located upstream thereof (S334), the first k bits of v j to a, the last one bit to b, and stores the remaining bits in s (S335), what b is 0 if, that verifies the public key e j a a, was added s at the end of the verification result And H (T j ) are calculated and stored as v j−1 (S336, S337).

bが1ならば、aを公開鍵ejで検証し、検証結果にモジュラスnjを加算した後、末尾にsを加えたものとH(Tj)の排他的論理和を計算し、それをvj-1として記憶する(S338)。最後にループ変数jをデクリメントし(S339)、再度jが1以上であるかどうかの判定から上記の処理を繰り返す。jが0のときは、v0が流通経緯情報の初期値u0と等しいかどうかを確かめる(S340)。If b is 1, a is verified with public key e j , modulus n j is added to the verification result, and s is added to the end and H (T j ) is calculated as the exclusive OR. Is stored as v j-1 (S338). Finally, the loop variable j is decremented (S339), and the above processing is repeated from the determination whether j is 1 or more again. When j is 0, it is confirmed whether v 0 is equal to the initial value u 0 of the distribution history information (S340).

等しいならば正しい経緯を辿り、かつ途中経緯で不正がなかったことの検証に成功したとし、本処理を完了する(S341)。等しくない場合は検証に失敗したとし、本処理を完了する(S342)。   If they are equal, it follows that the correct process is followed, and it is assumed that the verification is successful that there was no fraud on the way, and this process is completed (S341). If they are not equal, it is assumed that the verification has failed, and this processing is completed (S342).

このように、リーダライタ2-iにおける署名検証は、経緯をさかのぼって処理し、最終的に初期値u0が得られたら正しい経緯をたどってきたと判断する。また署名を検証する際に経緯上の各拠点の公開鍵を検証対象として入力しているため、公開鍵のすり替えを検出できる。In this way, the signature verification in the reader / writer 2-i is processed retroactively, and when the initial value u 0 is finally obtained, it is determined that the correct history has been followed. In addition, when verifying the signature, the public key of each site in the background is input as the verification target, so that the public key replacement can be detected.

次に、本実施の形態の変形例として、各リーダライタにおいて無線ICタグ1に書き込むメッセージが外部情報入力部25から入力された場合の署名作成部22の署名作成処理を図7を参照して説明する。   Next, as a modification of the present embodiment, referring to FIG. 7, the signature creation process of the signature creation unit 22 when a message to be written to the wireless IC tag 1 is input from the external information input unit 25 in each reader / writer. explain.

図7を参照すると、リーダライタ2-iに無線ICタグ1に書き込むメッセージMiが存在する場合、署名作成部22により、T’i = M1||…||Mi||pk1||…||pkiを計算し(S314')、以下、T’iを図5のTiと同様に扱うことにより、Ei
(H(T’i)○u) を署名として導出する。このように署名を計算する際に、経緯上の各拠点の公開鍵とともに、付与するメッセージも署名対象として入力することで、公開鍵のすり替えだけでなく、各リーダライタで付与するメッセージに対する改竄も検知可能となる。
Referring to FIG. 7, when the message M i to be written to the wireless IC tag 1 exists in the reader / writer 2-i, the signature creation unit 22 performs T ′ i = M 1 ||… || M i || pk 1 | | ... calculate the || pk i (S314 '), the following, T' by treating i as with T i in Fig. 5, E i
Derive (H (T'i) ○ u) as a signature. When calculating the signature in this way, by inputting the message to be added together with the public key of each site in the background as a signature target, not only the replacement of the public key but also the alteration of the message to be assigned by each reader / writer Detectable.

図8は各リーダライタにおいて無線ICタグ1に書き込むメッセージが存在する場合の署名検証部23の署名検証処理の手順を示す。T’j = M1||…||Mj||pk1||…||pkjを計算し(S334')、以下、T’jを図6のTjと同様に扱うことにより、D1(H(T’1)○(D2(H(T’2)○…Di-1(ui-1))…)) = u0が成立すれば署名の検証に成功したとする。このように署名を検証する際に、経緯上の各拠点の公開鍵とともに、付与するメッセージも検証対象として入力することによって、公開鍵のすり替え、メッセージの改竄を検出できる。FIG. 8 shows a procedure of signature verification processing of the signature verification unit 23 when there is a message to be written to the wireless IC tag 1 in each reader / writer. T ′ j = M 1 ||… || M j || pk 1 ||… || pk j is calculated (S334 ′), and T ′ j is treated in the same manner as T j in FIG. D 1 (H (T'1 ) ○ (D 2 (H (T ' 2 ) ○… D i-1 (u i-1 )) ...)) = u 0 To do. When verifying a signature in this way, by inputting the message to be given as a verification target together with the public key of each site in the history, it is possible to detect the replacement of the public key and the alteration of the message.

次に本実施の形態の効果を説明する。   Next, the effect of this embodiment will be described.

第1の効果は、工場生産品や食品などの一般消費者向けの製品または製品パッケージの流通過程において、ホストコンピュータと通信できないオフライン環境でも、流通経緯を確認することができることである。その理由は、製品に付する書き込み型無線ICタグ1のローカルな記憶領域(RAM部12)に流通の経緯を管理する情報を持ち、それを必要に応じて参照することで流通経緯を確認することができるからである。これによって、運用コストを軽減できる。   The first effect is that the distribution process can be confirmed even in an offline environment where communication with the host computer is not possible in the distribution process of products or product packages for general consumers such as factory-produced products and foods. The reason is that the local storage area (RAM unit 12) of the writable wireless IC tag 1 attached to the product has information for managing the distribution process, and confirms the distribution process by referring to it as necessary. Because it can. This can reduce operational costs.

第2の効果は、流通経緯中にたどる拠点数にスケーラビリティを有することである。その理由は、(署名サイズ+(拠点数)×1ビット)で、流通経緯情報を表現できるからである。   The second effect is that the number of bases traced during distribution is scalable. This is because the distribution history information can be expressed by (signature size + (number of bases) × 1 bit).

第3の効果は、無線ICタグ1の価格を低く抑えられることである。その理由は、第2の効果の理由と同等であり、書き込みメモリ領域を多量に実装する必要がないからである。これによって、流通用途に大量に使用することが容易になる。   The third effect is that the price of the wireless IC tag 1 can be kept low. The reason is the same as the reason for the second effect, and it is not necessary to mount a large amount of write memory area. This facilitates use in large quantities for distribution purposes.

第4の効果は、流通経緯中の各段階のリーダライタや悪意のある第3者における流通経緯情報の偽造および改竄を検知できることにある。その理由は、流通経緯を証明する署名が、流通経緯中の拠点全ての公開鍵を用いて検証することが可能だからである。特に、初期値u0に無線IDタグ1のROM部11に記憶してある当該無線IDタグ固有のIDを用いる場合、ROM部11のデータが不正に改ざんできないことを前提にできるのであれば、RAM部12の流通経緯情報を不正に他の無線IDタグのRAM部12にコピーした場合も検知できる。   The fourth effect is that it is possible to detect counterfeiting and falsification of distribution history information in each stage of the reader / writer and a malicious third party in the distribution history. The reason is that the signature that certifies the distribution process can be verified using the public keys of all the sites in the distribution process. In particular, when using an ID unique to the wireless ID tag stored in the ROM part 11 of the wireless ID tag 1 as the initial value u0, if it can be assumed that the data in the ROM part 11 cannot be tampered with, the RAM Even when the distribution history information of the unit 12 is illegally copied to the RAM unit 12 of another wireless ID tag, it can be detected.

『第2の実施の形態』
次に本発明の第2の実施の形態について、図面を参照して詳細に説明する。
“Second Embodiment”
Next, a second embodiment of the present invention will be described in detail with reference to the drawings.

図9を参照すると、本発明の第2の実施の形態にかかる流通経緯認証システムは、各リーダライタ2−1〜2−nが署名作成部22および署名検証部23の代わりに署名作成部22Aおよび署名検証部23Aを備えている点で図1の第1の実施の形態にかかる流通経緯認証システムと相違し、その他の点は第1の実施の形態と同じである。   Referring to FIG. 9, in the distribution history authentication system according to the second exemplary embodiment of the present invention, each reader / writer 2-1 to 2-n replaces the signature creation unit 22 and the signature verification unit 23 with a signature creation unit 22A. 1 is different from the distribution history authentication system according to the first exemplary embodiment of FIG. 1 in that a signature verification unit 23A is provided, and the other points are the same as those of the first exemplary embodiment.

署名作成部22Aは、無線ICタグ1とリーダライタの送受信部13、24を介して得られた、無線ICタグ1のRAM部12に保持されている流通経緯情報ui-1に対して、鍵管理部21で管理している自リーダライタの秘密鍵diとRSAモジュラスniとを用いて、署名作成処理を行い、作成した署名を新たな流通経緯情報uiとして、無線ICタグ1とリーダライタの送受信部13、24を介して無線ICタグ1のRAM部12に保持されている流通経緯情報ui-1と置き換える。ただし、本実施の形態の場合、置き換え前後の流通経緯情報ui、ui-1のサイズは変わらない。The signature creation unit 22A is obtained through the wireless IC tag 1 and the transmission / reception units 13 and 24 of the reader / writer, with respect to the distribution history information u i-1 held in the RAM unit 12 of the wireless IC tag 1. Using the private key d i of the reader / writer managed by the key management unit 21 and the RSA modulus n i , a signature creation process is performed, and the created signature is used as new distribution history information u i to the wireless IC tag 1 And the distribution history information u i-1 held in the RAM unit 12 of the wireless IC tag 1 via the transmission / reception units 13 and 24 of the reader / writer. However, in the case of the present embodiment, the sizes of the distribution history information u i and u i-1 before and after replacement are not changed.

署名検証部23Aは、無線ICタグ1とリーダライタの送受信部13、24を介して得られた、無線ICタグ1のRAM部12に保持している流通経緯情報ui-1に対して、各リーダライタの公開鍵pki-1,…, pk1を用いて、自リーダライタの拠点に到る経緯を逆順に検証していき、最終的にu0が得られるところまでさかのぼって検証できれば、自リーダライタの拠点に到るまでの全てのリーダライタを正しく経緯してきたものと判断する。The signature verification unit 23A is obtained through the wireless IC tag 1 and the transmission / reception units 13 and 24 of the reader / writer, with respect to the distribution history information u i-1 held in the RAM unit 12 of the wireless IC tag 1. If the reader / writer's public key pk i-1 , ..., pk 1 is used, the process of reaching the reader / writer's base will be verified in reverse order, and finally u 0 can be obtained. Then, it is determined that all reader / writers have been processed correctly until reaching the base of the reader / writer.

無線ICタグ1が付された製品がリーダライタ2−iを経由する際の動作は、基本的には第1の実施の形態と同様に、図3のシーケンスに沿って行われる。ただし、ステップS103における署名検証処理とステップS104における署名作成処理の中身が第1の実施の形態と相違する。   The operation when the product to which the wireless IC tag 1 is attached passes through the reader / writer 2-i is basically performed according to the sequence of FIG. 3 as in the first embodiment. However, the contents of the signature verification process in step S103 and the signature creation process in step S104 are different from those in the first embodiment.

次に署名作成部22Aの詳細を説明する。   Next, details of the signature creation unit 22A will be described.

署名作成部22AによるステップS104における署名作成処理は、リーダライタ2−1〜2−(i-1)の公開鍵pk1,…, pki-1が全て異なること、かつeiが、niよりも大きくかつ((pi-1)(qi-1))と互いに素であることを確認し、Ti = pk1||…||pkiを計算した後、(u<ni)?fi(u)=u^{di}mod ni
: fi(u)=uと定義される図10の関数fi(u)、および、セキュリティパラメタkビット(ただしni<2k)長自然数空間での写像としてφ(u)= (u+ni)mod2kと定義される図10の関数φ(u)を用いて、無線ICタグ1の有する流通経緯情報ui-1に対して、φ-1(fi(φ(fi((H(Ti)○ui-1)))))を署名として導出する。ここで、φ-1は、写像φの逆写像である。その後、導出した署名は新たな流通経緯情報uiとして、無線ICタグ1とリーダライタの送受信部13、24を介して無線ICタグ1のRAM部12に保持されている流通経緯情報ui-1と置き換えられる。この署名作成処理の詳しい手順を図11のステップS364〜S371に示す。以下、前後の処理と共に署名作成部22Aによる署名作成処理を図11を参照して詳しく説明する。
Signature generation processing in step S104 by the signature generating section 22A, the public key pk 1 interrogator 2-1~2- (i-1), ... , pk i-1 are all different, and e i is, n i Is larger than ((p i -1) (q i -1)) and is relatively prime, and after calculating T i = pk 1 ||… || pk i , (u <n i )? f i (u) = u ^ {d i } mod n i
: F (u) = (u) as a mapping in the function f i (u) in FIG. 10 defined as f i (u) = u and security parameter k bits (where n i <2 k ) long natural number space + n i ) mod2 k Using the function φ (u) in FIG. 10, the distribution history information u i-1 of the wireless IC tag 1 is expressed as φ −1 (f i (φ (f i ((H (T i ) ○ u i-1 ))))) is derived as a signature. Here, φ −1 is an inverse mapping of the mapping φ. Then, the derived signature as a new distribution history information u i, the distribution history information u stored in the RAM unit 12 of the wireless IC tag 1 via the transceiver 13, 24 of the wireless IC tag 1 and the reader-writer i- Replaced with 1 . The detailed procedure of the signature creation process is shown in steps S364 to S371 in FIG. Hereinafter, the signature creation processing by the signature creation unit 22A as well as the preceding and following processing will be described in detail with reference to FIG.

図11を参照すると、リーダライタ2−iは、RFIDのRAM部12に格納されている流通経路情報ui-1を読み取ると(S361)、所有している鍵の正当性を検証した後(S362)、ui-1が正当であるかを署名検証部23Aで検証する(S363)。その後、署名作成部22Aにより、現拠点の公開鍵及び上流に位置する拠点の公開鍵からTi = pk1||…||pkiを計算した後(S364)、署名対象としてv:=H(Ti)○ui-1を計算し(S365)、vがRSAモジュラスniよりも小さいときは(S366でYES)、そのまま秘密鍵diでvの署名を計算した値に、2kをモジュラスとするniの加算を行い、結果をv’とする(S367)。大きいときは(S366でNO)、モジュラスより大きい数に対してはRSA署名を計算できないので、vに対して署名計算を行わず、その値に対して直接2kをモジュラスとするniの加算を行い、結果をv’とする(S368)。Referring to FIG. 11, the reader / writer 2-i reads the distribution route information u i-1 stored in the RFID RAM unit 12 (S361), and after verifying the validity of the owned key ( In step S362), the signature verification unit 23A verifies whether u i-1 is valid (S363). Thereafter, T i = pk 1 || ... || pk i is calculated from the public key of the current site and the public key of the upstream site by the signature creation unit 22A (S364), and v: = H as the signature target (T i ) ○ u i-1 is calculated (S365) .If v is smaller than the RSA modulus n i (YES in S366), the value obtained by calculating the signature of v with the private key d i is set to 2 k Then, add n i with modulo as v, and set the result as v ′ (S367). If larger (NO in S366), RSA signature cannot be calculated for numbers greater than the modulus, so no signature calculation is performed for v, and n i is directly added to the value with a modulus of 2 k. And set the result as v ′ (S368).

次にv'がRSAモジュラスniよりも小さいときは(S369でYES)、秘密鍵diでv’の署名を計算した値から、2kをモジュラスとするniの減算を行い、その値をリーダライタ2−iでの流通経緯情報uiとする(S370)。Next, when v ′ is smaller than the RSA modulus n i (YES in S369), subtract n i with a modulus of 2 k from the value obtained by calculating the signature of v ′ with the secret key d i , and the value Is the distribution history information u i in the reader / writer 2-i (S370).

大きいときは(S369でNO)、モジュラスより大きい数に対してはRSA署名を計算できないので、v’に対して署名計算を行わず、その値から直接2kをモジュラスとするniの減算を行い、その値をリーダライタiでの流通経緯情報uiとする(S371)。このように計算したuiをRFIDのRAM部12に格納されていたui-1と置換する(S372)。If it is larger (NO in S369), the RSA signature cannot be calculated for numbers greater than the modulus, so the signature calculation is not performed for v ', and the subtraction of n i with a modulus of 2 k directly is performed from that value. The value is set as distribution history information u i in the reader / writer i (S371). The u i calculated in this way is replaced with u i−1 stored in the RFID RAM 12 (S372).

このように、リーダライタ2−iは、基本的には、無線IDタグ1に既に書き込まれている流通経路情報ui-1に対して、自リーダライタの秘密鍵diで署名を付けるが、第1の実施の形態と異なり、制御ビットをつける代わりに、モジュラスniを超える数の署名を計算する際は、モジュラスniだけ大きいほうに写像させる関数をかけた後、署名計算をし、その後、その逆写像をかけて同じくモジュラスniだけ小さいほうに写像する。また、第1の実施の形態と同様に、署名を計算する際に、経緯上の各拠点の公開鍵を署名対象として入力することによって、公開鍵のすり替えを防止する。As described above, the reader / writer 2-i basically signs the distribution path information u i-1 already written in the wireless ID tag 1 with the private key d i of the reader / writer. Unlike the first embodiment, instead of adding control bits, when calculating the number of signatures exceeding the modulus n i , the signature is calculated after applying a function that maps to the larger by the modulus n i. After that, the inverse mapping is applied to the smaller one by the modulus n i . Similarly to the first embodiment, when a signature is calculated, the public key of each site on the background is input as a signature target, thereby preventing the public key from being replaced.

次に署名検証部23Aをより詳細に説明する。   Next, the signature verification unit 23A will be described in more detail.

署名検証部23AによるステップS103における署名検証処理は、リーダライタ2−iにおいて、Ti= pk1||…||pki-1を計算し、(u<ni)?gi(u)=u^{ei}
mod ni: gi(u)=uと定義される図10の関数gi(u)と上記写像φ(u)とを用いて、φ-1(g1(φ(g1(H(T1 ○φ-1(g2(φ((g2(H(T2○…φ-1(gi-1(φ(gi-1(ui-1)))))… ))))))))) = u0が成立すれば署名の検証に成功したと判断する。この署名検証処理の詳しい手順を図12に示す。
In the signature verification processing in step S103 by the signature verification unit 23A, the reader / writer 2-i calculates T i = pk 1 || ... || i k i -1 and (u <n i )? G i (u) = u ^ {e i }
mod n i : Using the function g i (u) of FIG. 10 defined as g i (u) = u and the mapping φ (u), φ −1 (g 1 (φ (g 1 (H ( T1 ○ φ -1 (g 2 (φ ((g 2 (H (T 2 ○ ... φ -1 (g i-1 (φ (g i-1 (u i-1 ))))) ...))) If)))))) = u 0, it is determined that the signature has been successfully verified, and the detailed procedure of this signature verification processing is shown in FIG.

図12を参照すると、まずリーダライタ2−iは、1つ前の拠点のリーダライタ2−(i-1)から最初の拠点のリーダライタ2−1までを遡って、順に検証処理を行うために、まず、どの拠点における署名を検証しているかを管理するループ変数jにiを記憶する(S381)。jが1以上であれば(S382でYES)、次のように処理を行う。   Referring to FIG. 12, first, the reader / writer 2-i performs verification processing in order from the reader / writer 2- (i-1) at the previous base to the reader / writer 2-1 at the first base. First, i is stored in a loop variable j that manages which base is verifying the signature (S381). If j is 1 or more (YES in S382), the following process is performed.

リーダライタjの備えられた拠点の公開鍵及びその上流に位置する拠点の公開鍵からTj =
pk1||…||pkjを計算した後(S383)、検証対象としてRFIDのRAM部12から読み込んだujを用いてv:=H(Tj)○ujを計算し(S384)、vがRSAモジュラスnjよりも小さいときは(S385でYES)、そのまま公開鍵ejでvの署名を検証した値に、2kをモジュラスとするnjの加算を行い、結果をv’とする(S386)。大きいときは(S385でNO)、モジュラスより大きい数に対してはRSA署名を検証できないので、vに対して検証処理を行わず、その値に対して直接2kをモジュラスとするnjの加算を行い、結果をv’とする(S387)。
From the public key of the base equipped with the reader / writer j and the public key of the base located upstream thereof, T j =
After calculating pk 1 ||… || pk j (S383), v: = H (T j ) ○ u j is calculated using u j read from the RFID RAM 12 as the verification target (S384) When v is smaller than the RSA modulus n j (YES in S385), n j with a modulus of 2 k is added to the value obtained by verifying the signature of v with the public key e j as it is, and the result is v ′ (S386). If it is larger (NO in S385), the RSA signature cannot be verified for numbers greater than the modulus, so no verification processing is performed on v, and n j is directly added to the value with a modulus of 2 k. And set the result as v ′ (S387).

次にv'がRSAモジュラスnjよりも小さいときは(S388でYES)、公開鍵ejでv’の署名を検証した値から、2kをモジュラスとするnjの減算を行い、その値をvjとする(S389)。大きいときは(S388でNO)、モジュラスより大きい数に対してはRSA署名を検証できないので、v’に対して検証処理を行わず、その値に対して直接2kをモジュラスとするnjの減算を行い、結果をvjとする(S390)。Next, when v 'is smaller than the RSA modulus n j (YES in S388), subtract n j with a modulus of 2 k from the value obtained by verifying the signature of v' with the public key e j V j (S389). If it is larger (NO in S388), the RSA signature cannot be verified for numbers greater than the modulus, so no verification processing is performed on v ', and n j with a modulus of 2 k directly for that value Subtraction is performed and the result is set to v j (S390).

最後にループ変数jをデクリメントし(S391)、再度jが1以上であるかどうかの判定から上記の処理を繰り返す。jが0の時は、v0が流通経緯情報の初期値u0と等しいかどうかを確かめる(S392)。等しいならば正しい経緯を辿り、かつ途中経緯で不正がなかったことの検証に成功したとし、本処理を完了する(S393)。等しくない場合は検証に失敗したとし、本処理を完了する(S394)。Finally, the loop variable j is decremented (S391), and the above processing is repeated from the determination whether j is 1 or more again. When j is 0, it is confirmed whether v 0 is equal to the initial value u 0 of the distribution history information (S392). If they are equal, it follows that the correct process is followed, and it is determined that there has been no fraud on the way, and this processing is completed (S393). If they are not equal, it is assumed that the verification has failed, and this processing is completed (S394).

このように、署名検証時も、写像関数でモジュラスだけ大きいほうにずらして検証処理し、再び逆写像してという処理を、経緯中の拠点をさかのぼって検証し、最終的に最初の拠点の公開鍵による検証で初期値u0が得られたら正しい経緯をたどってきたと判断する。また署名を検証する際に、経緯上の各拠点の公開鍵を検証対象として入力することによって、公開鍵のすり替えを検出できる。In this way, at the time of signature verification, verification processing is performed by shifting the modulus by a larger value in the mapping function, and reverse mapping is performed again, verifying the base in the background, and finally releasing the first base If the initial value u 0 is obtained by the key verification, it is determined that the correct process has been followed. In addition, when verifying a signature, it is possible to detect the replacement of the public key by inputting the public key of each site in the background as a verification target.

次に、本実施の形態の変形例として、各リーダライタにおいて無線ICタグ1に書き込むメッセージが外部情報入力部25から入力された場合の署名作成部22Aの署名作成処理を図13を参照して説明する。   Next, as a modification of the present embodiment, referring to FIG. 13, the signature creation process of the signature creation unit 22A when a message to be written to the wireless IC tag 1 is input from the external information input unit 25 in each reader / writer. explain.

図13を参照すると、リーダライタ2−iに無線ICタグ1に書き込むメッセージMiが存在する場合、署名作成部22Aにより、T’i = M1||…||Mi||pk1||…||pkiを計算し(S314')、以下、T’iを図11のTiと同様に扱うことにより、u’i-1(fi(φ(fi((H(T’i)○ui-1)))))を署名として導出する。このように署名を計算する際に、経緯上の各拠点の公開鍵とともに、付与するメッセージも署名対象として入力することで、公開鍵のすり替えだけでなく、各リーダライタで付与するメッセージに対する改竄も検知可能となる。Referring to FIG. 13, when the message M i to be written to the wireless IC tag 1 exists in the reader / writer 2-i, the signature creation unit 22A causes T ′ i = M 1 || ... || M i || pk 1 | |… || pk i is calculated (S314 ′), and T ′ i is treated in the same manner as T i in FIG. 11, so that u ′ i = φ −1 (f i (φ (f i ((H (T ' i ) ○ u i-1 ))))) is derived as a signature. When calculating the signature in this way, by inputting the message to be added together with the public key of each site in the background as a signature target, not only the replacement of the public key but also the alteration of the message to be assigned by each reader / writer Detectable.

図14は各リーダライタにおいて無線ICタグ1に書き込むメッセージが存在する場合の署名検証部23Aの署名検証処理の手順を示す。T’j = M1||…||Mj||pk1||…||pkjを計算し(S334')、以下、T’jを図12のTjと同様に扱うことにより、φ-1(g1(φ(g1(H(T'1 ○φ-1(g2(φ((g2(H(T'2○…φ-1(gi(φ(gi(u’i)))))… ))))))))) = u0が成立すれば署名の検証に成功したとする。このように署名を検証する際に、経緯上の各拠点の公開鍵とともに、付与するメッセージも検証対象として入力することによって、公開鍵のすり替え、メッセージの改竄を検出できる。FIG. 14 shows the procedure of the signature verification process of the signature verification unit 23A when there is a message to be written to the wireless IC tag 1 in each reader / writer. T ′ j = M 1 ||… || M j || pk 1 ||… || pk j is calculated (S334 ′), and T ′ j is treated in the same manner as T j in FIG. φ -1 (g 1 (φ (g 1 (H (T ' 1 ○ φ -1 (g 2 (φ ((g 2 (H (T' 2 ○ ... φ -1 (g i (φ (g i ( u ' i ))))) ...)))))))))) =) It is assumed that the signature verification is successful if u 0 is satisfied. By inputting the message to be given together with the public key as a verification target, it is possible to detect the replacement of the public key and the alteration of the message.

次に本実施の形態の効果を説明する。   Next, the effect of this embodiment will be described.

第1の効果は、工場生産品や食品などの一般消費者向けの製品または製品パッケージの流通過程において、ホストコンピュータと通信できないオフライン環境でも、流通経緯を確認することができることである。その理由は、製品に付する書き込み型無線ICタグ1のローカルな記憶領域(RAM部12)に流通の経緯を管理する情報を持ち、それを必要に応じて参照することで流通経緯を確認することができるからである。これによって、運用コストを軽減できる。   The first effect is that the distribution process can be confirmed even in an offline environment where communication with the host computer is not possible in the distribution process of products or product packages for general consumers such as factory-produced products and foods. The reason is that the local storage area (RAM unit 12) of the writable wireless IC tag 1 attached to the product has information for managing the distribution process, and confirms the distribution process by referring to it as necessary. Because it can. This can reduce operational costs.

第2の効果は、流通経緯中にたどる拠点数にスケーラビリティを有することである。その理由は、流通経緯中にたどる拠点数に無関係な定数(署名サイズ)で、流通経緯情報を表現できるからである。   The second effect is that the number of bases traced during distribution is scalable. The reason is that the distribution history information can be expressed by a constant (signature size) that is irrelevant to the number of bases traced during the distribution history.

第3の効果は、無線ICタグ1の価格を低く抑えられることである。その理由は、第2の効果の理由と同等であり、書き込みメモリ領域を多量に実装する必要がないからである。これによって、流通用途に大量に使用することが容易になる。   The third effect is that the price of the wireless IC tag 1 can be kept low. The reason is the same as the reason for the second effect, and it is not necessary to mount a large amount of write memory area. This facilitates use in large quantities for distribution purposes.

第4の効果は、流通経緯中の各段階のリーダライタや悪意のある第3者における流通経緯情報の偽造および改竄を検知できることにある。その理由は、流通経緯を証明する署名が、流通経緯中の拠点全ての公開鍵を用いて検証することが可能だからである。特に、初期値u0に無線IDタグ1のROM部11に記憶してある当該無線IDタグ固有のIDを用いる場合、ROM部11のデータが不正に改ざんできないことを前提にできるのであれば、RAM部12の流通経緯情報を不正に他の無線IDタグのRAM部12にコピーした場合も検知できる。   The fourth effect is that it is possible to detect counterfeiting and falsification of distribution history information in each stage of the reader / writer and a malicious third party in the distribution history. The reason is that the signature that certifies the distribution process can be verified using the public keys of all the sites in the distribution process. In particular, when using an ID unique to the wireless ID tag stored in the ROM part 11 of the wireless ID tag 1 as the initial value u0, if it can be assumed that the data in the ROM part 11 cannot be tampered with, the RAM Even when the distribution history information of the unit 12 is illegally copied to the RAM unit 12 of another wireless ID tag, it can be detected.

『第3の実施の形態』
次に本発明の第3の実施の形態について、図面を参照して詳細に説明する。
“Third embodiment”
Next, a third embodiment of the present invention will be described in detail with reference to the drawings.

図15を参照すると、本発明の第3の実施の形態にかかる流通経緯認証システムは、無線ICタグ1がRAM部12の代わりにRAM部12Aを備え、各リーダライタ2−1〜2−nが署名作成部22および署名検証部23の代わりに署名作成部22Bおよび署名検証部23Bを備えている点で図1の第1の実施の形態にかかる流通経緯認証システムと装置し、その他の点は第1の実施の形態と同じである。   Referring to FIG. 15, in the distribution history authentication system according to the third exemplary embodiment of the present invention, the wireless IC tag 1 includes a RAM unit 12A instead of the RAM unit 12, and each reader / writer 2-1 to 2-n Is provided with the distribution background authentication system according to the first embodiment of FIG. 1 in that it has a signature generation unit 22B and a signature verification unit 23B instead of the signature generation unit 22 and the signature verification unit 23, and other points. Is the same as in the first embodiment.

無線ICタグ1におけるRAM部12Bは、書き込み可能なメモリサイズが有限であり、当該メモリサイズに収まる容量s’で表現可能な流通経緯情報uiと補助情報viの組(ui,vi)を保持する。The RAM unit 12B in the wireless IC tag 1 has a finite memory size that can be written, and a set of distribution history information u i and auxiliary information v i (u i , v i) that can be expressed by a capacity s ′ that fits in the memory size ).

流通経緯情報uiは、第1の実施の形態における流通経緯情報uiと同じであり、1番目からi番目までの拠点を経緯したことを表す。流通経緯情報uiの初期値は、どこも経緯していないことを表すu0であり、u0には、所定値たとえば0、または、無線ICタグ1のROM部11に記憶された当該無線ICタグ固有のID値が設定される。Distribution history information u i is the same as the distribution history information u i in the first embodiment, indicating that it has history bases from first to i-th. The initial value of the distribution history information u i is u 0 indicating that no history has occurred, and u 0 is a predetermined value, for example, 0, or the wireless IC stored in the ROM unit 11 of the wireless IC tag 1 Tag-specific ID value is set.

補助情報viは、1番目からi-1番目までの拠点を経緯したことを表す流通経緯情報ui-1に所定のハッシュ関数を適用して生成された情報である。補助情報viの初期値は流通経緯情報uiの初期値と同じであり、所定値たとえば0、または、無線ICタグ1のROM部11に記憶された当該無線ICタグ固有のID値である。このような補助情報viを流通経緯情報uiに添えることで、後述するように流通経緯情報uiの簡易な検証が可能になる。The auxiliary information v i is information generated by applying a predetermined hash function to the distribution history information u i-1 representing the history from the first to the (i-1) th base. The initial value of the auxiliary information v i is the same as the initial value of the distribution history information u i and is a predetermined value, for example, 0 or an ID value unique to the wireless IC tag stored in the ROM unit 11 of the wireless IC tag 1 . By attaching such auxiliary information v i to the distribution history information u i , it becomes possible to easily verify the distribution history information u i as will be described later.

署名作成部22Bは、無線ICタグ1とリーダライタの送受信部13、24を介して得られた、無線ICタグ1のRAM部12に保持されている流通経緯情報ui-1と補助情報vi-1の組のうちの流通経緯情報ui-1に対して、鍵管理部21で管理している自リーダライタの秘密鍵diとRSAモジュラスniとを用いて、署名作成処理を行って新たな流通経緯情報uiを作成すると同時に、流通経緯情報ui-1から新たな補助情報viを作成し、作成したuiとviの組を新たな流通経緯情報uiと補助情報viの組として、無線ICタグ1とリーダライタの送受信部13、24を介して無線ICタグ1のRAM部12Bに保持されている流通経緯情報ui-1と補助情報vi-1の組を置き換える。The signature creation unit 22B is obtained through the wireless IC tag 1 and the transmission / reception units 13 and 24 of the reader / writer, the distribution history information u i-1 and auxiliary information v held in the RAM unit 12 of the wireless IC tag 1. For the distribution history information u i-1 in the set of i-1 , signature creation processing is performed using the private key d i of the reader / writer managed by the key management unit 21 and the RSA modulus n i. To create new distribution history information u i and at the same time, create new auxiliary information v i from distribution history information u i−1 , and set the created u i and v i as new distribution history information u i As a set of auxiliary information v i , distribution history information u i-1 and auxiliary information v i− held in the RAM unit 12B of the wireless IC tag 1 via the wireless IC tag 1 and the transmission / reception units 13 and 24 of the reader / writer. Replace 1 pair.

署名検証部23Bは、無線ICタグ1とリーダライタの送受信部13、24を介して得られた、無線ICタグ1のRAM部12に保持されている流通経緯情報ui-1を検証する手段である。第1の実施の形態における署名検証部23は、流通経緯情報ui-1に対して、各リーダライタの公開鍵pki-1,…, pk1を用いて、自リーダライタの拠点に到る経緯を逆順に検証していき、最終的にu0が得られるところまでさかのぼって検証できれば、自リーダライタの拠点に到るまでの全てのリーダライタを正しく経緯してきたものと判断したが、本実施の形態の署名検証部23Bは、補助情報vi-1を使って簡易な検証を行う。つまり、流通経緯情報ui-1に対して、自リーダライタの一つ前に署名したリーダライタが正しく署名したかどうかを、公開鍵pki-1を用いて検証し、検証結果のハッシュ値が補助情報vi-1と等しければ、1つ前のリーダライタから正しく経緯してものと判断する。The signature verification unit 23B verifies the distribution history information u i-1 held in the RAM unit 12 of the wireless IC tag 1 obtained through the wireless IC tag 1 and the transmission / reception units 13 and 24 of the reader / writer. It is. The signature verification unit 23 in the first embodiment uses the public keys pk i−1 ,..., Pk 1 of each reader / writer to the distribution history information u i−1 to reach the base of the reader / writer. If we were able to verify the process in reverse order and go back to the point where u 0 was finally obtained, we determined that all the readers / writers up to the base of the reader / writer had been correctly processed. The signature verification unit 23B according to the present embodiment performs simple verification using the auxiliary information v i−1 . In other words, the distribution history information u i-1 is verified using the public key pk i-1 to verify whether the reader / writer signed immediately before its own reader / writer has signed correctly, and the hash value of the verification result Is equal to the auxiliary information v i−1 , it is determined that the information has been correctly obtained from the previous reader / writer.

次に、無線ICタグ1が付された製品がリーダライタ2−iを経由する際の本実施の形態の動作を図16のシーケンス図を参照して説明する。   Next, the operation of the present embodiment when a product to which the wireless IC tag 1 is attached passes through the reader / writer 2-i will be described with reference to the sequence diagram of FIG.

まず、リーダライタ2−iは、無線ICタグ1が付された製品が経由されてきた時、送受信部24により無線ICタグ1に対して、無線ICタグ1のRAM部12に格納された流通経緯情報ui-1と補助情報vi-1の組および流通経緯情報ui-1と補助情報vi-1の組の初期値u0,v0として無線ICタグ固有のIDが使用される場合はROM部11のIDを要求する(S111)。無線ICタグ1は、この要求に応じて、RAM部12に格納されている流通経緯情報ui-1と補助情報vi-1の組および要求された場合にはROM部11に格納されているIDを、送受信部13を介してリーダライタ2−iに送信する(S211)。First, the reader / writer 2-i distributes the wireless IC tag 1 stored in the RAM section 12 of the wireless IC tag 1 to the wireless IC tag 1 when a product with the wireless IC tag 1 is routed. IDs unique to wireless IC tags are used as initial values u 0 , v 0 of sets of history information u i-1 and auxiliary information v i-1 and distribution history information u i-1 and auxiliary information v i-1 If so, the ID of the ROM unit 11 is requested (S111). In response to this request, the wireless IC tag 1 is a set of distribution history information u i-1 and auxiliary information v i-1 stored in the RAM unit 12, and stored in the ROM unit 11 when requested. The transmitted ID is transmitted to the reader / writer 2-i via the transmitter / receiver 13 (S211).

流通経緯情報ui-1と補助情報vi-1の組を受信した(S112)リーダライタ2−iは、署名検証部23Bにより、自リーダライタの1つ前に署名したリーダライタが正しく署名したかどうかを、鍵管理部21に保持されているリーダライタ2−(i−1)の公開鍵pki-1を用いて検証する。(S113)。つまり、公開鍵pki-1を用いて流通経緯情報ui-1を検証した結果のハッシュ値が補助情報vi-1と等しいかどうかを検査する。ここで、v0が得られれば、1つ前のリーダライタ2−(i−1)から正しく経緯してきたものと判断され、v0が得られない場合、不正があったものと検出される(S116)。The reader / writer 2-i that has received the set of the distribution history information u i-1 and the auxiliary information v i-1 (S112) uses the signature verification unit 23B to correctly sign the reader / writer signed immediately before its own reader / writer. It is verified by using the public key pk i-1 of the reader / writer 2- (i-1) held in the key management unit 21. (S113). That is, it is checked whether or not the hash value as a result of verifying the distribution history information u i-1 using the public key pk i-1 is equal to the auxiliary information v i-1 . Here, if v 0 is obtained, it is judged that the previous reader / writer 2- (i−1) has correctly gone through, and if v 0 cannot be obtained, it is detected that there has been a fraud. (S116).

検証に成功した場合、リーダライタ2−iは、自リーダライタが配置された拠点を正しく経緯したことを証明するために、正しく経緯してきたことが署名検証部23により認証できた流通経緯情報ui-1に対して、署名作成部22Bにより、鍵管理部21に保持されている自リーダライタの秘密鍵skiを用いて署名uiを生成すると共に、流通経緯情報ui-1から補助情報viを生成し(S114)、生成された署名値uiと補助情報viの組を新しい流通経緯情報と補助情報の組として過去のui-1とvi-1に上書きするために、無線ICタグ1に送受信部24により送信する(S115)。無線ICタグ1は、送受信部13によりuiとviの組を受信したら(S212)、受信したuiとviの組でRAM部12に格納されているui-1とvi-1の組を上書きする(S213)。If the verification is successful, the reader / writer 2-i can certify that the correct history has been obtained by the signature verification unit 23 in order to prove that the site where the reader / writer is located correctly has been authenticated. For signature i-1 , the signature creation unit 22B generates a signature u i using the private key sk i of the reader / writer held in the key management unit 21, and assists with distribution history information u i-1 Information v i is generated (S114), and the set of the generated signature value u i and auxiliary information v i is overwritten on the past u i-1 and v i-1 as a set of new distribution history information and auxiliary information. Then, it is transmitted to the wireless IC tag 1 by the transmission / reception unit 24 (S115). The wireless IC tag 1, upon receiving a set of u i and v i by transceiver unit 13 (S212), stored in the RAM unit 12 by a set of the received u i and v i u i-1 and v i- The set of 1 is overwritten (S213).

以上と同様な動作は、無線ICタグ1が付加された製品が次の拠点に配送された場合にも実施される。リーダライタ2−nが配置された拠点まで正しく経緯した製品の無線ICタグ1の流通経緯情報unに対して、リーダライタ2−nの公開鍵pknを用いて署名を検証すれば、補助情報v0が得られることになる。これにより、1つ前の拠点のリーダライタを正しく経緯してきたことを知ることができる。The same operation as described above is also performed when a product to which the wireless IC tag 1 is added is delivered to the next base. Relative distribution history information u n product of the wireless IC tag 1 by the reader-writer 2-n is correctly Background to bases arranged, if verify the signature using the public key pk n interrogator 2-n, the auxiliary Information v 0 is obtained. As a result, it is possible to know that the reader / writer at the previous base has been correctly processed.

次に署名作成部22Bの詳細を説明する。   Next, details of the signature creation unit 22B will be described.

署名作成部22BによるステップS114における署名作成処理は、リーダライタ2−1〜2−(i-1)の公開鍵pk1,…, pki-1が全て異なること、かつeiが、niよりも大きくかつ((pi-1)(qi-1))と互いに素であることを確認し、Ti = pk1||…||pkiを計算した後、u=a||s(aはkビット長)としたときに(a<ni)?Ei(u)=
((a^{di} mod ni, s||0) : ((a-ni)^{di}
mod ni, s||1)と定義される図4の関数Ei(u)を用いて、無線ICタグ1の有する流通経緯情報ui-1に対して、Ei (H(Ti)○ui-1) を新たな署名uiとして導出すると同時に、新たな補助情報vi=h(ui-1)を計算する。ここで、hは予め定められたハッシュ関数である。第1の実施の形態の署名作成部22との相違点は、新たな補助情報vi=h(ui-1)を計算するとろこである。この署名作成処理の詳しい手順を図17のステップS444〜S449に示す。以下、前後の処理と共に本実施の形態における署名作成処理を図17を参照して詳しく説明する。
Signature generation processing in step S114 by the signature generating unit 22B, a public key pk 1 interrogator 2-1~2- (i-1), ... , pk i-1 are all different, and e i is, n i Greater than and ((p i -1) (q i -1)) and relatively prime, and after calculating T i = pk 1 ||… || pk i , u = a || If s (a is k bits long), then (a <n i )? E i (u) =
((a ^ {d i } mod n i , s || 0): ((an i ) ^ {d i }
mod n i, s || 1) using a defined function to be in FIG. 4 E i (u) and, with respect to the distribution history information u i-1 having the wireless IC tag 1, E i (H (T i ) ○ u i-1 ) is derived as a new signature u i , and at the same time, new auxiliary information v i = h (u i-1 ) is calculated. Here, h is a predetermined hash function. The difference from the signature creation unit 22 of the first embodiment is that new auxiliary information v i = h (u i-1 ) is calculated. The detailed procedure of the signature creation process is shown in steps S444 to S449 in FIG. Hereinafter, the signature creation processing in the present embodiment together with the preceding and following processing will be described in detail with reference to FIG.

図17を参照すると、リーダライタ2−iは、RFIDのRAM部12に格納されている流通経路情報ui-1と補助情報vi-1の組を読み取ると(S441)、所有している鍵の正当性を検証した後(S442)、ui-1が正当であるかを署名検証部23Bで検証する(S443)。Referring to FIG. 17, the reader / writer 2-i reads the set of distribution route information u i-1 and auxiliary information v i-1 stored in the RFID RAM unit 12 (S441) and owns it. After verifying the validity of the key (S442), the signature verification unit 23B verifies whether u i-1 is valid (S443).

その後、署名作成部22Bにより、現拠点の公開鍵及び上流に位置する拠点の公開鍵からTi = pk1||…||pkiを計算した後(S444)、Ei (H(Ti)○ui-1)、h(ui-1)をリーダライタ2−iでの流通経緯情報ui、補助情報viとして導出する(S445〜S449)。具体的には、まずw=H(Ti)○ui-1を計算し(S445)、wのはじめのセキュリティパラメタkビットをa、残りをsとし(S446)、aがRSAモジュラスniよりも小さいときは(S447でYES)、aに対して秘密鍵diで署名値を計算する(S448)。このときsに制御情報として1ビットの情報0を付け加え、署名値とともに流通経緯情報uiとする。またこのときui-1のハッシュを計算し、補助情報viとする。また、aがRSAモジュラスniよりも大きいときは(S447でNO)、モジュラスniより大きい数に対してはRSA署名を計算できないので、aをniだけ減算したものに対して署名値を計算する(S449)。このときsに制御情報として1ビットの情報1を付け加え、署名値とともに流通経緯情報uiとする。またこのときui-1のハッシュを計算し、補助情報viとする。このように計算したui,viのペアをRFIDのRAM部12に格納されていたui-1,vi-1と置換する(S450)。After that, the signature creation unit 22B calculates Ti = pk 1 || ... || pk i from the public key of the current site and the public key of the upstream site (S444), and then E i (H (T i ) ○ u i-1 ) and h (u i-1 ) are derived as distribution history information u i and auxiliary information v i in the reader / writer 2-i (S445 to S449). Specifically, first, w = H (T i ) ○ u i-1 is calculated (S445), the first security parameter k bits of w is a, the rest is s (S446), and a is the RSA modulus n i when less than calculates the signature value with the secret key d i with respect to (YES in S447), a (S448). At this time, 1-bit information 0 is added to s as control information, and it is set as distribution history information u i together with the signature value. At this time, a hash of u i-1 is calculated and used as auxiliary information v i . Also, when a is greater than RSA modulus n i (NO in S447), RSA signature cannot be calculated for numbers greater than modulus n i, so the signature value is calculated for a value obtained by subtracting a from n i Calculate (S449). At this time, 1-bit information 1 is added to s as control information, and it is used as distribution history information u i together with the signature value. At this time, a hash of u i-1 is calculated and used as auxiliary information v i . The pair of u i and v i calculated in this way is replaced with u i−1 and v i−1 stored in the RFID RAM unit 12 (S450).

このように本実施の形態における署名作成処理は、第1の実施の形態と同様にして署名値uiの導出を行うが、その際に署名対象の署名値ui-1のハッシュ値viを余分に計算しておき、補助情報viとして署名値uiと組にしてRAM部12に書き戻す点が異なる。本実施の形態の方が第1の実施の形態に比べて、書き戻すサイズがハッシュ関数の出力値vi分だけ大きくなる。As described above, in the signature generation process according to the present embodiment, the signature value u i is derived in the same manner as in the first embodiment. At this time, the hash value v i of the signature value u i-1 to be signed is used. Is redundantly calculated and written back to the RAM unit 12 in combination with the signature value u i as auxiliary information v i . In the present embodiment, the size to be written back becomes larger by the output value v i of the hash function than in the first embodiment.

次に署名検証部23Bの詳細を説明する。   Next, details of the signature verification unit 23B will be described.

署名検証部23BによるステップS113における署名検証処理は、リーダライタ2−iにおいて、Ti = pk1||…||pki、u=a||s||b(aはkビット長、bは1ビット長)としたときに、(b=0)?Di(u)=
((a^{ei} mod ni, s):((a^{ei} mod ni) + ni, s)と定義される図4に示す関数Di(u)を用いて、h(H(Ti-1)○Di-1(ui-1)) = vi-1が成立すれば署名の検証に成功したと判断する。この署名検証処理の詳しい手順を図18に示す。
The signature verification processing in step S113 by the signature verification unit 23B is performed by the reader / writer 2-i with T i = pk 1 || ... || pk i , u = a || s || b (a is k bit length, b (B = 0)? D i (u) =
((a ^ {e i } mod n i , s): Using the function D i (u) shown in Fig. 4 defined as ((a ^ {e i } mod n i ) + n i , s) , H (H (T i-1 ) ○ D i-1 (u i-1 )) = v i-1 is satisfied, it is judged that the signature has been successfully verified. Shown in 18.

図18を参照すると、まずリーダライタ2−iは、RFIDのRAM部12に格納されている流通経路情報ui-1と補助情報vi-1の組を読み取る(S461)。リーダライタ2−iの備えられた拠点の上流に位置する拠点の公開鍵からTi = pk1||…||pki-1を計算した後(S462)、ui-1のはじめのkビットをaに、最後の1ビットをbに、残りのビットをsに記憶し(S463)、bが0ならば(S464でYES)、aをリーダライタ2-(i-1)の公開鍵で検証し、検証結果の末尾にsを加えたものとH(Ti-1)の排他的論理和を計算し、それをwi-1として記憶する(S465)。bが1ならば(S464でNO)、aをリーダライタ2-(i-1)の公開鍵で検証し、検証結果にモジュラスniを加算した後、末尾にsを加えたものとH(Ti-1)の排他的論理和を計算し、それをwi-1として記憶する(S466)。Referring to FIG. 18, the reader / writer 2-i first reads a set of the distribution route information u i-1 and auxiliary information v i-1 stored in the RFID RAM unit 12 (S461). After calculating T i = pk 1 ||… || pk i-1 from the public key of the base located upstream of the base equipped with the reader / writer 2-i (S462), the first k of u i-1 The bit is stored in a, the last 1 bit is stored in b, and the remaining bits are stored in s (S463) .If b is 0 (YES in S464), a is the public key of reader / writer 2- (i-1) Then, the exclusive OR of H (T i-1 ) and s added to the end of the verification result is calculated and stored as w i-1 (S465). If b is 1 (NO in S464), a is verified with the public key of reader / writer 2- (i-1), modulus n i is added to the verification result, s is added to the end, and H ( The exclusive OR of T i-1 ) is calculated and stored as w i-1 (S466).

その後、wi-1のハッシュ関数hによるハッシュ値が補助情報vi-1と等しいかどうかを確かめる(S467)。等しいならば正しい経緯を辿ったことの検証に成功したとし、本処理を完了する(S468)。等しくない場合は検証に失敗したとし、本処理を完了する(S469)。Thereafter, it is confirmed whether or not the hash value of the w i-1 hash function h is equal to the auxiliary information v i-1 (S467). If equal, it is assumed that the verification of the correct process has been successful, and this processing is completed (S468). If they are not equal, it is assumed that the verification has failed, and this processing is completed (S469).

このように流通経緯中の一つ前の署名装置が信用のおけることを仮定できるのであれば、検証処理を高速化できる。その理由は、第1の実施の形態と異なり、署名検証時の公開鍵による演算処理を高々1度だけで済ますことができるためである。   In this way, if it can be assumed that the previous signature device in the course of distribution can be trusted, the verification process can be speeded up. The reason is that, unlike the first embodiment, the calculation process using the public key at the time of signature verification can be performed only once.

次に、本実施の形態の変形例として、各リーダライタにおいて無線ICタグ1に書き込むメッセージが外部情報入力部25から入力された場合の署名作成部22Bの署名作成処理を図19を参照して説明する。   Next, as a modification of the present embodiment, a signature creation process of the signature creation unit 22B when a message to be written to the wireless IC tag 1 is input from the external information input unit 25 in each reader / writer will be described with reference to FIG. explain.

図19を参照すると、リーダライタ2-iに無線ICタグ1に書き込むメッセージMiが存在する場合、署名作成部22により、T’i = M1||…||Mi||pk1||…||pkiを計算し(S444')、以下、T’iを図17のTiと同様に扱うことにより、Ei
(H(T’i)○ui-1) を新たな流通経緯情報ui、h(ui-1)を補助情報viとして導出する。このように署名を計算する際に、経緯上の各拠点の公開鍵とともに、付与するメッセージも署名対象として入力することで、公開鍵のすり替えだけでなく、各リーダライタで付与するメッセージに対する改竄も検知可能となる。
Referring to FIG. 19, when there is a message M i to be written to the wireless IC tag 1 in the reader / writer 2-i, the signature creation unit 22 performs T ′ i = M 1 ||… || M i || pk 1 | | ... calculate the || pk i (S444 '), the following, T' by treating i as with T i in Fig. 17, E i
(H (T ′ i ) ○ u i-1 ) is derived as new distribution history information u i , and h (u i-1 ) is derived as auxiliary information v i . When calculating the signature in this way, by inputting the message to be added together with the public key of each site in the background as a signature target, not only the replacement of the public key but also the alteration of the message to be assigned by each reader / writer It can be detected.

図20は各リーダライタにおいて無線ICタグ1に書き込むメッセージが存在する場合の署名検証部23Bの署名検証処理の手順を示す。T’i = M1||…||Mi-1||pk1||…||pki-1を計算し(S462')、以下、T’iを図18のTiと同様に扱うことにより、Ei
(H(T’i)○ui-1) を新たな流通経緯情報ui、h(ui-1)を補助情報viとして導出する。このように署名を検証する際に、経緯上の各拠点の公開鍵とともに、付与するメッセージも検証対象として入力することによって、公開鍵のすり替え、メッセージの改竄を検出できる。
FIG. 20 shows the procedure of signature verification processing of the signature verification unit 23B when there is a message to be written to the wireless IC tag 1 in each reader / writer. T 'i = M 1 || ... || M i-1 || pk 1 || ... calculate the || pk i-1 (S462' ), hereinafter, the T 'i as with T i in FIG. 18 E i by handling
(H (T ′ i ) ○ u i-1 ) is derived as new distribution history information u i , and h (u i-1 ) is derived as auxiliary information v i . When verifying a signature in this way, by inputting the message to be given as a verification target together with the public key of each site in the history, it is possible to detect the replacement of the public key and the alteration of the message.

次に本実施の形態の効果を説明する。   Next, the effect of this embodiment will be described.

第1の効果は、工場生産品や食品などの一般消費者向けの製品または製品パッケージの流通過程において、ホストコンピュータと通信できないオフライン環境でも、流通経緯を確認することができることである。その理由は、製品に付する書き込み型無線ICタグ1のローカルな記憶領域(RAM部12B)に流通の経緯を管理する情報を持ち、それを必要に応じて参照することで流通経緯を確認することができるからである。これによって、運用コストを軽減できる。   The first effect is that the distribution process can be confirmed even in an offline environment where communication with the host computer is not possible in the distribution process of products or product packages for general consumers such as factory-produced products and foods. The reason is that the local storage area (RAM unit 12B) of the write-type wireless IC tag 1 attached to the product has information for managing the distribution process, and confirms the distribution process by referring to it as necessary. Because it can. This can reduce operational costs.

第2の効果は、流通経緯中にたどる拠点数にスケーラビリティを有することである。その理由は、(署名サイズ+(拠点数)×1ビット+(補助情報サイズ)で、流通経緯の認証に利用する情報を表現できるからである。   The second effect is that the number of bases traced during distribution is scalable. The reason is that (signature size + (number of sites) × 1 bit + (auxiliary information size) can express information used for authentication of the distribution process.

第3の効果は、無線ICタグ1の価格を低く抑えられることである。その理由は、第2の効果の理由と同等であり、書き込みメモリ領域を多量に実装する必要がないからである。これによって、流通用途に大量に使用することが容易になる。   The third effect is that the price of the wireless IC tag 1 can be kept low. The reason is the same as the reason for the second effect, and it is not necessary to mount a large amount of write memory area. This facilitates use in large quantities for distribution purposes.

第4の効果は、一つ前の拠点が信用のおける拠点であることを仮定できるのであれば、流通経緯中の各段階のリーダライタや悪意のある第3者における流通経緯情報の偽造および改竄の検知に要する署名検証処理を高速化できることである。その理由は、署名検証処理を補助情報を利用して高々1度だけで済ますことが可能だからである。   The fourth effect is that if it is possible to assume that the previous base is a trustworthy base, forgery and falsification of the distribution background information at each stage of the distribution process or a malicious third party The signature verification process required for detecting the image can be speeded up. The reason is that the signature verification process can be performed at most once using auxiliary information.

『第4の実施の形態』
次に本発明の第4の実施の形態について、図面を参照して詳細に説明する。
"Fourth embodiment"
Next, a fourth embodiment of the present invention will be described in detail with reference to the drawings.

図21を参照すると、本発明の第4の実施の形態にかかる流通経緯認証システムは、各リーダライタ2−1〜2−nが署名作成部22Bおよび署名検証部23Bの代わりに署名作成部22Cおよび署名検証部23Cを備えている点で図15の第3の実施の形態にかかる流通経緯認証システムと相違し、その他の点は第3の実施の形態と同じである。   Referring to FIG. 21, in the distribution history authentication system according to the fourth exemplary embodiment of the present invention, each reader / writer 2-1 to 2-n replaces the signature creation unit 22B and the signature verification unit 23B with a signature creation unit 22C. 15 is different from the distribution history authentication system according to the third exemplary embodiment in FIG. 15 in that a signature verification unit 23C is provided, and the other points are the same as those in the third exemplary embodiment.

署名作成部22Cは、無線ICタグ1とリーダライタの送受信部13、24を介して得られた、無線ICタグ1のRAM部12に保持されている流通経緯情報ui-1と補助情報vi-1の組のうちの流通経緯情報ui-1に対して、鍵管理部21で管理している自リーダライタの秘密鍵diとRSAモジュラスniとを用いて、署名作成処理を行って新たな流通経緯情報uiを作成すると同時に、流通経緯情報ui-1から新たな補助情報viを作成し、作成したuiとviの組を新たな流通経緯情報uiと補助情報viの組として、無線ICタグ1とリーダライタの送受信部13、24を介して無線ICタグ1のRAM部12Bに保持されている流通経緯情報ui-1と補助情報vi-1の組を置き換える。ただし、本実施の形態の場合、置き換え前後の流通経緯情報ui、ui-1のサイズは変わらない。The signature creation unit 22C is obtained through the wireless IC tag 1 and the transmission / reception units 13 and 24 of the reader / writer, the distribution history information u i-1 and auxiliary information v held in the RAM unit 12 of the wireless IC tag 1. For the distribution history information u i-1 in the set of i-1 , signature creation processing is performed using the private key d i of the reader / writer managed by the key management unit 21 and the RSA modulus n i. To create new distribution history information u i and at the same time, create new auxiliary information v i from distribution history information u i−1 , and set the created u i and v i as new distribution history information u i As a set of auxiliary information v i , distribution history information u i-1 and auxiliary information v i− held in the RAM unit 12B of the wireless IC tag 1 via the wireless IC tag 1 and the transmission / reception units 13 and 24 of the reader / writer. Replace 1 pair. However, in the case of the present embodiment, the sizes of the distribution history information u i and u i-1 before and after replacement are not changed.

署名検証部23Cは、流通経緯情報ui-1に対して、自リーダライタの一つ前に署名したリーダライタが正しく署名したかどうかを、公開鍵pki-1を用いて検証する。その検証結果のハッシュ値が補助情報vi-1と等しければ、1つ前のリーダライタから正しく経緯してものと判断する。The signature verification unit 23C verifies, using the public key pk i-1 , whether or not the reader / writer signed immediately before its own reader / writer has signed the distribution history information u i-1 correctly. If the hash value of the verification result is equal to the auxiliary information v i−1 , it is determined that the background has been correctly obtained from the previous reader / writer.

無線ICタグ1が付された製品がリーダライタ2−iを経由する際の動作は、基本的には第3の実施の形態と同様に、図16のシーケンスに沿って行われる。ただし、ステップS113における署名検証処理とステップS114における署名作成処理の中身が第3の実施の形態と相違する。   The operation when the product to which the wireless IC tag 1 is attached passes through the reader / writer 2-i is basically performed according to the sequence of FIG. 16, as in the third embodiment. However, the contents of the signature verification process in step S113 and the signature creation process in step S114 are different from those in the third embodiment.

次に署名作成部22Cの詳細を説明する。   Next, details of the signature creation unit 22C will be described.

署名作成部22CによるステップS114における署名作成処理は、リーダライタ2−1〜2−(i-1)の公開鍵pk1,…, pki-1が全て異なること、かつeiが、niよりも大きくかつ((pi-1)(qi-1))と互いに素であることを確認し、Ti = pk1||…||pkiを計算した後、(u<ni)?fi(u)=u^{di}mod ni
: fi(u)=uと定義される図10の関数fi(u)、および、セキュリティパラメタkビット(ただしni<2k)長自然数空間での写像としてφ(u)= (u+ni)mod2kと定義される図10の関数φ(u)を用いて、無線ICタグ1の有する流通経緯情報ui-1に対して、φ-1(fi(φ(fi((H(Ti)○ui-1)))))を新たな流通経緯情報uiとして導出し、また無線ICタグ1の有する流通経緯情報ui-1に対して、h(ui-1)を新たな補助情報viとして導出する。その後、導出した新たな流通経緯情報uiと補助情報viの組は、無線ICタグ1とリーダライタの送受信部13、24を介して無線ICタグ1のRAM部12に保持されている流通経緯情報ui-1と補助情報vi-1の組と置き換えられる。この署名作成処理の詳しい手順を図22のステップS494〜S501に示す。
Signature generation processing in step S114 by the signature creating unit 22C is the public key pk 1 interrogator 2-1~2- (i-1), ... , pk i-1 are all different, and e i is, n i Is larger than ((p i -1) (q i -1)) and is relatively prime, and after calculating T i = pk 1 ||… || pk i , (u <n i )? f i (u) = u ^ {d i } mod n i
: F (u) = (u) as a mapping in the function f i (u) in FIG. 10 defined as f i (u) = u and security parameter k bits (where n i <2 k ) long natural number space + n i ) mod2 k Using the function φ (u) in FIG. 10, the distribution history information u i-1 of the wireless IC tag 1 is expressed as φ −1 (f i (φ (f i ((H (T i) ○ u i-1))))) was derived as a new distribution history information u i, also with respect to the distribution history information u i-1 having the wireless IC tag 1, h (u i-1 ) is derived as new auxiliary information v i . Thereafter, the newly derived set of distribution history information u i and auxiliary information v i is stored in the RAM unit 12 of the wireless IC tag 1 via the wireless IC tag 1 and the transmission / reception units 13 and 24 of the reader / writer. It is replaced with a set of history information u i-1 and auxiliary information v i-1 . The detailed procedure of the signature creation process is shown in steps S494 to S501 in FIG.

以下、前後の処理と共に署名作成部22Cによる署名作成処理を図22を参照して詳しく説明する。   Hereinafter, the signature creation processing by the signature creation unit 22C will be described in detail with reference to FIG.

図22を参照すると、リーダライタ2−iは、RFIDのRAM部12に格納されている流通経路情報ui-1と補助情報vi-1の組を読み取ると(S491)、所有している鍵の正当性を検証した後(S492)、ui-1が正当であるかを署名検証部23Cで検証する(S492)。Referring to FIG. 22, the reader / writer 2-i reads the set of distribution route information u i-1 and auxiliary information v i-1 stored in the RFID RAM unit 12 (S491) and owns it. After verifying the validity of the key (S492), the signature verification unit 23C verifies whether u i-1 is valid (S492).

その後、署名作成部22Cにより、現拠点の公開鍵及び上流に位置する拠点の公開鍵からTi = pk1||…||pkiを計算した後(S494)、署名対象としてw:=H(Ti)○ui-1を計算し(S495)、wがRSAモジュラスniよりも小さいときは(S496でYES)、そのまま秘密鍵diでwの署名を計算した値に、2kをモジュラスとするniの加算を行い、結果をw’とする(S497)。大きいときは(S496でNO)、モジュラスより大きい数に対してはRSA署名を計算できないので、wに対して署名計算を行わず、その値に対して直接2kをモジュラスとするniの加算を行い、結果をw’とする(S498)。After that, the signature creation unit 22C calculates T i = pk 1 ||… || pk i from the public key of the current base and the base public key located upstream (S494), and then w: = H as the signature target (T i ) ○ u i-1 is calculated (S495), and when w is smaller than the RSA modulus n i (YES in S496), the value obtained by calculating the signature of w with the private key d i is set to 2 k N i is added as a modulus, and the result is set as w ′ (S497). If larger (NO in S496), RSA signature cannot be calculated for numbers greater than the modulus, so no signature calculation is performed on w, and n i is directly added to the value with a modulus of 2 k. And set the result to w ′ (S498).

次にw'がRSAモジュラスniよりも小さいときは(S499でYES)、秘密鍵diでw’の署名を計算した値から、2kをモジュラスとするniの減算を行い、その値をリーダライタ2−iでの流通経緯情報uiとする(S500)。この際、流通経路情報ui-1にハッシュ関数hを適用し、h(ui-1)をリーダライタ2−iでの補助情報viとする。大きいときは(S499でNO)、モジュラスより大きい数に対してはRSA署名を計算できないので、w’に対して署名計算を行わず、その値から直接2kをモジュラスとするniの減算を行い、その値をリーダライタiでの流通経緯情報uiとする(S501)。この際、ステップS500と同様にh(ui-1)をリーダライタ2−iでの補助情報viとする。このように計算したuiとviをRFIDのRAM部12に格納されていたui-1とvi-1と置換する(S502)。Next, when w ′ is smaller than the RSA modulus n i (YES in S499), subtract n i with a modulus of 2 k from the value obtained by calculating the signature of w ′ with the secret key d i , and the value Is the distribution history information u i in the reader / writer 2-i (S500). At this time, the hash function h is applied to the distribution route information u i−1 , and h (u i−1 ) is set as auxiliary information vi in the reader / writer 2-i. If it is larger (NO in S499), the RSA signature cannot be calculated for numbers greater than the modulus, so the signature calculation is not performed for w ', and the subtraction of n i with 2 k as the modulus directly is performed from that value. The value is set as distribution history information u i in the reader / writer i (S501). At this time, as in step S500, h (u i-1 ) is set as auxiliary information v i in the reader / writer 2-i. U i and v i calculated in this way are replaced with u i−1 and v i−1 stored in the RAM portion 12 of the RFID (S502).

このように、リーダライタ2−iは、基本的には、無線IDタグ1に既に書き込まれている流通経路情報ui-1に対して、自リーダライタの秘密鍵diで署名を付けるが、第3の実施の形態と異なり、制御ビットをつける代わりに、モジュラスniを超える数の署名を計算する際は、モジュラスniだけ大きいほうに写像させる関数をかけた後、署名計算をし、その後、その逆写像をかけて同じくモジュラスniだけ小さいほうに写像する。また、第3の実施の形態と同様に、署名を計算する際に、経緯上の各拠点の公開鍵を署名対象として入力することによって、公開鍵のすり替えを防止し、更に流通経緯情報uiの導出を行う際に署名対象の流通経緯情報ui-1のハッシュ値viを余分に計算しておき、補助情報viとして流通経緯情報uiと組にしてRAM部12に書き戻す。As described above, the reader / writer 2-i basically signs the distribution path information u i-1 already written in the wireless ID tag 1 with the private key d i of the reader / writer. Unlike the third embodiment, instead of putting the control bits, in calculating the signature number greater than the modulus n i, after applying a function to be mapped to the larger only the modulus n i, and the signature calculation After that, the inverse mapping is applied to the smaller one by the modulus n i . Similarly to the third embodiment, when the signature is calculated, the public key of each site on the background is input as the signature target, thereby preventing the replacement of the public key, and the distribution history information u i. The hash value v i of the distribution history information u i-1 to be signed is extra calculated when the derivation is performed, and is written back to the RAM unit 12 as a pair with the distribution history information u i as auxiliary information v i .

次に署名検証部23Cを詳細に説明する。   Next, the signature verification unit 23C will be described in detail.

署名検証部23CによるステップS113における署名検証処理は、リーダライタ2−iにおいて、Ti-1 = pk1||…||pki-1を計算し、(u<ni)?gi(u)=u^{ei}
mod ni: gi(u)=uと定義される図10の関数gi(u)と上記写像φ(u)とを用いて、h(H(Ti-1○φ-1(gi-1(φ(gi-1(ui-1)))))) = vi-1が成立すれば署名の検証に成功したとする。この署名検証処理の詳しい手順を図23に示す。
In the signature verification process in step S113 by the signature verification unit 23C, the reader / writer 2-i calculates T i-1 = pk 1 || ... || i k i -1 and (u <n i )? G i ( u) = u ^ {e i }
mod n i : Using the function g i (u) of FIG. 10 defined as g i (u) = u and the above mapping φ (u), h (H (T i-1 ○ φ -1 (g i-1 (φ (g i-1 (u i-1 ))))) = v i-1 is satisfied, the signature is successfully verified. A detailed procedure of the signature verification process is shown in FIG.

図23を参照すると、まずリーダライタiは、RFIDのRAM部12に格納されている流通経路情報uiと補助情報viの組を読み取る(S511)。次に、リーダライタ2−iの備えられた拠点の上流に位置する各拠点の公開鍵からTi-1 = pk1||…||pki-1を計算した後(S512)、検証対象としてw:=H(Ti-1)○ui-1を計算し(S513)、wがRSAモジュラスni-1よりも小さいときは(S514でYES)、そのまま公開鍵ei-1でwの署名を検証した値に、2kをモジュラスとするni-1の加算を行い、結果をw’とする(S515)。Referring to FIG. 23, first, the reader / writer i reads a set of the distribution route information u i and auxiliary information v i stored in the RFID RAM unit 12 (S511). Next, after calculating T i-1 = pk 1 || ... || pk i-1 from the public key of each base located upstream of the base provided with the reader / writer 2-i (S512), the verification target W: = H (T i-1 ) ○ u i-1 is calculated (S513), and when w is smaller than the RSA modulus n i-1 (YES in S514), w with the public key ei-1 as it is signing the value of verification of, performs addition of the n i-1 of the 2 k and modulus result be w '(S515).

一方、大きいときは(S514でNO)、モジュラスより大きい数に対してはRSA署名を検証できないので、wに対して検証処理を行わず、その値に対して直接2kをモジュラスとするni-1の加算を行い、結果をw’とする(S516)。次にw'がRSAモジュラスniよりも小さいときは(S517でYES)、公開鍵ei-1でw’の署名を検証した値から、2kをモジュラスとするni-1の減算を行い、その値をw”とする(S518)。大きいときは(S517でNO)、モジュラスより大きい数に対してはRSA署名を検証できないので、w’に対して検証処理を行わず、その値に対して直接2kをモジュラスとするni-1の減算を行い、結果をw”とする(S519)。On the other hand, when it is greater (NO in S514), because for the modulus greater number not verify the RSA signature, without verifying processing on w, n i to modulus directly 2 k for that value -1 is added and the result is set as w '(S516). Next, when w ′ is smaller than the RSA modulus n i (YES in S517), subtraction of n i−1 with a modulus of 2 k is performed from the value obtained by verifying the signature of w ′ with the public key e i−1. The value is set to w ″ (S518). If it is larger (NO in S517), the RSA signature cannot be verified for a number greater than the modulus, so the value is not verified for w ′. N i-1 is subtracted directly with a modulus of 2 k , and the result is w ″ (S519).

そして、W”のハッシュ値が流通経緯情報vi-1と等しいかどうかを確かめる(S520)。等しいならば正しい経緯を辿ったことの検証に成功したとし、本処理を完了する(S521)。等しくない場合は検証に失敗したとし、本処理を完了する(S522)。Then, it is confirmed whether or not the hash value of W ″ is equal to the distribution history information v i−1 (S520). If it is equal, it is assumed that the correct history has been successfully verified, and this processing is completed (S521). If they are not equal, it is assumed that the verification has failed, and this processing is completed (S522).

このように、署名検証時は、写像関数でモジュラスだけ大きいほうにずらして検証処理し、再び逆写像する処理を行って経緯中の1つ前の拠点の公開鍵による検証で補助情報vi-1が得られたら正しい経緯をたどってきたと判断するものであり、署名検証時の公開鍵による演算処理を高々1度だけで済ますことが可能なため、検証処理を高速化できる。また署名を検証する際に、経緯上の各拠点の公開鍵を検証対象として入力することによって、公開鍵のすり替えを検出できる。In this way, at the time of signature verification, the verification function is shifted to the larger modulus by the mapping function, the reverse mapping process is performed again, and the auxiliary information v i- is verified by verification with the public key of the previous base in the process. If 1 is obtained, it is determined that the correct process has been followed, and the computation process using the public key at the time of signature verification can be performed only once, so the verification process can be speeded up. In addition, when verifying a signature, it is possible to detect the replacement of the public key by inputting the public key of each site in the background as a verification target.

次に、本実施の形態の変形例として、各リーダライタにおいて無線ICタグ1に書き込むメッセージが外部情報入力部25から入力された場合の署名作成部22Cの署名作成処理を図24を参照して説明する。   Next, as a modification of the present embodiment, referring to FIG. 24, the signature creation process of the signature creation unit 22C when a message to be written to the wireless IC tag 1 is input from the external information input unit 25 in each reader / writer. explain.

図24を参照すると、リーダライタ2−iに無線ICタグ1に書き込むメッセージMiが存在する場合、署名作成部22Cにより、T'i = M1||…||Mi||pk1||…||pkiを計算し(S494')、以下、T’iを図22のTiと同様に扱うことにより、φ-1(fi(φ(fi((H(T'i)○ui-1)))))を新たな流通経緯情報uiとして導出し、また無線ICタグ1の有する流通経緯情報ui-1に対して、h(ui-1)を新たな補助情報viとして導出する。このように署名を計算する際に、経緯上の各拠点の公開鍵とともに、付与するメッセージも署名対象として入力することで、公開鍵のすり替えだけでなく、各リーダライタで付与するメッセージに対する改竄も検知可能となる。Referring to FIG. 24, when there is a message M i to be written to the wireless IC tag 1 in the reader / writer 2-i, the signature creation unit 22C performs T ′ i = M 1 || ... || M i || pk 1 | |… || pk i is calculated (S494 ′), and T ′ i is treated in the same manner as T i in FIG. 22 to obtain φ −1 (f i (φ (f i ((H (T ′ i ) ○ u i-1 ))))) is derived as new distribution history information u i , and h (u i-1 ) is newly added to distribution history information u i-1 possessed by the wireless IC tag 1. Is derived as the auxiliary information v i . When calculating the signature in this way, by inputting the message to be added together with the public key of each site in the background as a signature target, not only the replacement of the public key but also the alteration of the message to be assigned by each reader / writer Detectable.

図25は各リーダライタにおいて無線ICタグ1に書き込むメッセージが存在する場合の署名検証部23Cの署名検証処理の手順を示す。T'i-1 = M1||…||Mi-1||pk1||…||pki-1を計算し(S512')、以下、T'i-1を図23のTi-1と同様に扱うことにより、h(H(T'i-1○φ-1(gi-1(φ(gi-1(ui-1)))))) = vi-1が成立すれば署名の検証に成功したとする。このように署名を検証する際に、経緯上の各拠点の公開鍵とともに、付与するメッセージも検証対象として入力することによって、公開鍵のすり替え、メッセージの改竄を検出できる。FIG. 25 shows the procedure of signature verification processing of the signature verification unit 23C when there is a message to be written to the wireless IC tag 1 in each reader / writer. T ′ i-1 = M 1 ||… || M i-1 || pk 1 ||… || pk i-1 is calculated (S512 ′), and T ′ i-1 is expressed as T in FIG. By treating like i-1 , h (H (T ' i-1 ○ φ -1 (g i-1 (φ (g i-1 (u i-1 )))))) = v i- If 1 is established, the signature is successfully verified. When verifying a signature in this way, by inputting the message to be given as a verification target together with the public key of each site in the history, it is possible to detect the replacement of the public key and the alteration of the message.

次に本実施の形態の効果を説明する。   Next, the effect of this embodiment will be described.

第1の効果は、工場生産品や食品などの一般消費者向けの製品または製品パッケージの流通過程において、ホストコンピュータと通信できないオフライン環境でも、流通経緯を確認することができることである。その理由は、製品に付する書き込み型無線ICタグ1のローカルな記憶領域(RAM部12B)に流通の経緯を管理する情報を持ち、それを必要に応じて参照することで流通経緯を確認することができるからである。これによって、運用コストを軽減できる。   The first effect is that the distribution process can be confirmed even in an offline environment where communication with the host computer is not possible in the distribution process of products or product packages for general consumers such as factory-produced products and foods. The reason is that the local storage area (RAM unit 12B) of the write-type wireless IC tag 1 attached to the product has information for managing the distribution process, and confirms the distribution process by referring to it as necessary. Because it can. This can reduce operational costs.

第2の効果は、流通経緯中にたどる拠点数にスケーラビリティを有することである。その理由は、流通経緯中にたどる拠点数に無関係な定数(署名サイズ)+補助情報サイズで、流通経緯の認証に利用する情報を表現できるからである。   The second effect is that the number of bases traced during distribution is scalable. The reason is that the information used for authentication of the distribution process can be expressed by a constant (signature size) + auxiliary information size irrelevant to the number of bases traced during the distribution process.

第3の効果は、無線ICタグ1の価格を低く抑えられることである。その理由は、第2の効果の理由と同等であり、書き込みメモリ領域を多量に実装する必要がないからである。これによって、流通用途に大量に使用することが容易になる。   The third effect is that the price of the wireless IC tag 1 can be kept low. The reason is the same as the reason for the second effect, and it is not necessary to mount a large amount of write memory area. This facilitates use in large quantities for distribution purposes.

第4の効果は、一つ前の拠点が信用のおける拠点であることを仮定できるのであれば、流通経緯中の各段階のリーダライタや悪意のある第3者における流通経緯情報の偽造および改竄の検知に要する署名検証処理を高速化できることである。その理由は、署名検証処理を補助情報を利用して高々1度だけで済ますことが可能だからである。   The fourth effect is that if it is possible to assume that the previous base is a trustworthy base, forgery and falsification of the distribution background information at each stage of the distribution process or a malicious third party The signature verification process required for detecting the image can be speeded up. The reason is that the signature verification process can be performed at most once using auxiliary information.

『その他の実施の形態』
以上、本発明を幾つかの実施の形態を挙げて説明したが、本発明は以上の実施の形態にのみ限定されず、その他各種の付加変更が可能である。例えば、前述の各実施の形態におけるリーダライタは、署名する前に署名対象の検証を行ったが、その検証を省略するようにしても良く、その場合には署名検証部を省略することができる。また、無線ICタグが付された製品が正しい経路を経由したものであるかを検証するだけで、新たな署名を行わないリーダライタも考えられる。その場合には署名作成部を省略できる。さらに、リーダライタは、その有する機能をハードウェア的に実現することは勿論、コンピュータとプログラムとで実現することができる。プログラムは、磁気ディスクや半導体メモリ等のコンピュータ可読記録媒体に記録されて提供され、コンピュータの立ち上げ時などにコンピュータに読み取られ、そのコンピュータの動作を制御することにより、そのコンピュータを前述した各実施の形態におけるリーダライタの署名作成部、署名検証部および送受信部として機能させる。
"Other embodiments"
While the present invention has been described with reference to some embodiments, the present invention is not limited to the above embodiments, and various other additions and modifications can be made. For example, the reader / writer in each of the above embodiments verified the signature object before signing, but the verification may be omitted, and in that case, the signature verification unit can be omitted. . In addition, a reader / writer that simply verifies whether a product with a wireless IC tag is routed through a correct route and does not perform a new signature is also conceivable. In that case, the signature creation unit can be omitted. Furthermore, the reader / writer can be realized by a computer and a program as well as by realizing the functions of the reader / writer as hardware. The program is provided by being recorded on a computer-readable recording medium such as a magnetic disk or a semiconductor memory, and is read by the computer at the time of starting up the computer, etc. The reader / writer functions as a signature creation unit, a signature verification unit, and a transmission / reception unit.

次に本発明の利用分野について説明する。   Next, the application field of the present invention will be described.

経済活動における流通業者を考える。すなわち、農林水産物あるいは工業製品の生産者と、製品を購入して消費/利用する消費者との間に存在する、製品の仕分け、加工、輸送、保管、販売などに関係する業者である。ここで、流通製品として冷凍マグロなどの冷凍食品を、流通業者として冷凍コンテナ業者、トラック業者、冷凍庫を備える倉庫業者、加工者、販売者を考える。これらの流通製品は商品が生産者から消費者に届けられるまで、契約にのっとり、流通業者を順に経ていく。このとき、本発明によって、生産者や個々の流通業者が、彼等と契約関係にある流通業者を正しく経てきたかどうかを確認することができる。このとき、流通業者間で共通のホストコンピュータを必要とせず、各流通業者はホストコンピュータに通信するインフラも必要としない。また、書き込み型無線ICタグに実装する書き込み可能なメモリ容量も、既存の書き込み型無線ICタグが保持する数百バイト〜1Kバイト程度の、高々1つの署名を記録するのに十分なメモリ容量さえあれば、流通経緯情報を格納するのに十分であり、特別に書き込み容量を多く実装した高コストな無線ICタグを利用せずとも、経緯情報の管理が可能である。また、実運用時には、情報の改竄や偽造に対応しなければならないが、本方式では、書き込んだデータの改竄や、偽造も検知可能であり、改竄防止のために耐タンパ性を無線ICタグのメモリに備えさせることも必要としない。また、署名付与、検証の演算は、全てリーダライタ側で行われるため、無線ICタグ側に特別な演算装置を必要としない。以上によって、低コストで流通経緯の認証が実現できる。   Consider distributors in economic activities. In other words, it is a company related to product sorting, processing, transportation, storage, sales, etc. that exists between producers of agricultural, forestry and fishery products or industrial products and consumers who purchase and consume / use the products. Here, a frozen food such as frozen tuna is assumed as a distribution product, and a refrigeration container trader, a truck trader, a warehouse trader equipped with a freezer, a processor, and a seller are considered as a trader. These distribution products go through the distributors in order according to the contract until the goods are delivered from the producers to the consumers. At this time, according to the present invention, it is possible to confirm whether or not the producers and individual distributors have passed through distributors who have a contractual relationship with them. At this time, there is no need for a common host computer among distributors, and each distributor does not need an infrastructure for communicating with the host computers. Also, the writable memory capacity to be mounted on the writable wireless IC tag is even enough memory capacity to record at most one signature of several hundred bytes to 1K bytes held by the existing writable wireless IC tag. If so, it is sufficient to store the distribution history information, and it is possible to manage the history information without using a high-cost wireless IC tag with a specially large writing capacity. In actual operation, it is necessary to cope with falsification and forgery of information, but with this method, falsification and forgery of written data can also be detected, and tamper resistance is prevented in order to prevent tampering. There is no need to prepare the memory. In addition, since all operations for assigning and verifying signatures are performed on the reader / writer side, no special arithmetic unit is required on the wireless IC tag side. As described above, authentication of distribution history can be realized at low cost.

また、流通時に、配送中の衝撃や温度などの情報が何らかの手段で取れれば、それらをメッセージとして無線ICタグに書き込んで配送管理をすることも考えられる。流通経緯情報を付す際に、これらのメッセージ情報を加味して署名を計算しておくことで、これらの情報の改ざん検知も同時に実現でき、なおかつ経緯が把握できるので、不良品発見などのトラブルの際に、不具合の内容と無線ICタグの記録情報から原因を推定することがたやすくなり、トラブルの早期解決につながる。   In addition, if information such as shock and temperature during distribution can be obtained by some means during distribution, it may be possible to manage the distribution by writing them in a wireless IC tag as a message. When adding the distribution history information, calculating the signature taking these message information into account, it is possible to simultaneously detect tampering of this information and to grasp the background, so trouble such as finding defective products can be detected. At the same time, it becomes easier to estimate the cause from the content of the defect and the recorded information of the wireless IC tag, leading to an early solution of the trouble.

また、パーソナルコンピュータや車などの工業製品のパーツ修理や、書籍やCDなどのリサイクルを考える。例えば、前者の工業製品のパーツ修理の場合、修理業者として、本製品の修理を専門に行う店舗や、工場が考えられる。このとき、同じ店舗で常に修理するのであれば、修理状況を店舗のホストコンピュータで逐次記録しておくことで、修理履歴を管理することができ、状況が明確になる。しかし、一般に修理する箇所・内容や、製品の利用者の都合などで、常に同じ店舗に持ち込まれるとは限らないことがある。別の店舗同士で、ホストサーバを共通に運用している状況は一般に考えにくく、この場合、ユーザが自ら修理状況を管理することが必要になる。従来、車などは整備手帳の存在が考えられ、これがあれば修理時履歴の管理は可能であったが、整備手帳自体を管理する手間があった。また整備手帳のような書類が存在しない細かい部品などの場合は、ユーザがそれに変わるものを用意して管理する必要があった。これを各製品に付する無線ICタグで管理することで、ユーザが意識的に行わずとも、製品、さらにはそれらを構成するパーツごとの修理状況の管理が行えるようになる。同様に、書籍やCDのリサイクル時に、中古売買店舗などで売買の履歴を管理することで、どの程度二次流通が行われたかを知ることができ、商品の販売に活かすことができる。このとき、利用者側でデータを管理するために考えられうる情報の改竄や偽造にも本発明では検知可能である。また製品に付する無線ICタグに高コストなメモリを搭載する必要もないので運用コストを抑えられる。このとき、各店舗や工場の公開鍵はお互いに事前に共有されていない可能性が高いが、これは必要に応じて公開鍵管理局(CA)から得ることができる。一般に公開鍵管理局はPKIのフレームワークの中で共通運用されている。   We also consider parts repair for industrial products such as personal computers and cars, and recycling of books and CDs. For example, in the case of parts repair of the former industrial product, a shop or a factory that specializes in repairing this product can be considered as a repairer. At this time, if repair is always performed at the same store, the repair history can be managed by sequentially recording the repair status with the host computer of the store, and the situation becomes clear. However, it may not always be brought into the same store depending on the location / content to be repaired and the convenience of the user of the product. In general, it is difficult to think of a situation where the host servers are commonly operated in different stores, and in this case, the user needs to manage the repair situation himself. Conventionally, a maintenance notebook is considered to exist for cars and the like, and if it was possible to manage the repair history, it was troublesome to manage the maintenance notebook itself. Also, in the case of small parts such as maintenance notebooks that do not have documents, the user has to prepare and manage a replacement for them. By managing this with the wireless IC tag attached to each product, it becomes possible to manage the repair status of each product and further the parts that constitute them, without the user having to do it consciously. Similarly, when recycling books and CDs, it is possible to know how much secondary distribution has been performed by managing the sales history at second-hand stores and the like, which can be utilized for the sale of merchandise. At this time, the present invention can also detect falsification or forgery of information that can be considered for managing data on the user side. In addition, it is not necessary to install a high-cost memory in the wireless IC tag attached to the product, so the operating cost can be reduced. At this time, there is a high possibility that the public key of each store or factory is not shared in advance with each other, but this can be obtained from the public key management station (CA) as necessary. In general, public key management stations are commonly operated in the PKI framework.

また、どの経緯で製品が流通してきたかが分からないことがある。このときは、所持する公開鍵で考えられうる流通経緯に関して全て検証を行い、検証をパスした経緯があれば、その経緯をたどってきたとみなしてよい。もちろん、予め経緯を知るための情報を無線ICタグに書き込んでおいて、その順に検証してもよい。このとき経緯を知るための情報としては各リーダライタの製造番号(ID)などを利用できる。これらのIDに対応する公開鍵を導出する機構を持つことで、経緯情報の検証を効率化してもよい。   Also, you may not know how the product has been distributed. At this time, all the distribution processes that can be considered with the public key possessed are verified, and if there is a process that passes the verification, it may be considered that the process has been followed. Of course, information for knowing the background may be written in the wireless IC tag in advance and verified in that order. At this time, the production number (ID) of each reader / writer can be used as information for knowing the background. By having a mechanism for deriving public keys corresponding to these IDs, verification of history information may be made more efficient.

Claims (57)

製品またはそのパッケージに付された無線ICタグとの間で情報を送受信する送受信部と署名を作成する署名作成部とを有するリーダライタを前記製品の流通経路上の各拠点に備え、最初の拠点に備わるリーダライタは、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグと交信して、初期値またはそれから導出した値に対して自拠点の秘密鍵で署名した署名文を流通経緯情報として無線ICタグの読み書き可能なメモリに書き込むものであり、最初の拠点以外の拠点に備わるリーダライタは、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグと交信して、その無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報またはそれから導出した情報に対して自拠点の秘密鍵で署名した署名文を新たな流通経緯情報として導出し、無線ICタグの読み書き可能なメモリに書き込まれていた元の流通経緯情報と置き換えるものであることを特徴とする流通経緯認証システム。   A reader / writer having a transmission / reception unit for transmitting / receiving information to / from a wireless IC tag attached to a product or its package and a signature creation unit for creating a signature is provided at each site on the distribution channel of the product, and the first site The reader / writer in the product communicates with the product distributed at its base or the wireless IC tag attached to its package, and distributes the signature text signed with the private key of its base to the initial value or the value derived from it. The information is written in the readable / writable memory of the wireless IC tag as background information, and the reader / writer provided at the base other than the first base station communicates with the wireless IC tag attached to the product distributed to the base or the package. , A new signature text signed with the private key of the local site for the distribution history information written in the readable / writable memory of the wireless IC tag or information derived therefrom Distribution history authentication system characterized in that it is derived as simple distribution history information and replaces the original distribution history information written in a readable / writable memory of the wireless IC tag. 前記初期値として、無線ICタグの読み出し専用メモリに記憶されている当該無線ICタグ固有の識別番号を使用するものであることを特徴とする請求項1記載の流通経緯認証システム。   2. The distribution history authentication system according to claim 1, wherein an identification number unique to the wireless IC tag stored in a read-only memory of the wireless IC tag is used as the initial value. 最初の拠点以外の少なくとも1つの拠点に備わるリーダライタは、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報に対して、自拠点より上流の各拠点の公開鍵を自拠点に近い拠点の公開鍵から順番に使用して検証を繰り返していき、最終的に前記初期値が得られるところまで遡って検証できることにより、前記製品が自拠点まで正しく経緯してきたものと判断する署名検証部を有することを特徴とする請求項1記載の流通経緯認証システム。   The reader / writer provided in at least one site other than the first site is responsible for the distribution history information written in the readable / writable memory of the wireless IC tag attached to the product distributed to the site or the package. Using the public key of each base upstream from the base in order from the public key of the base closest to the base, the verification can be repeated, and finally the initial value can be obtained. 2. The distribution history authentication system according to claim 1, further comprising a signature verification unit that determines that the history has been correctly reached to the local site. 製品またはそのパッケージに付された無線ICタグとの間で情報を送受信する送受信部と署名を作成する署名作成部とを有するリーダライタを前記製品の流通経路上の各拠点に備え、最初の拠点に備わるリーダライタは、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグと交信して、初期値またはそれから導出した値に対して自拠点の秘密鍵で署名した署名文を流通経緯情報、前記初期値またはそれから導出した値を補助情報として無線ICタグの読み書き可能なメモリに書き込むものであり、最初の拠点以外の拠点に備わるリーダライタは、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグと交信して、その無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報またはそれから導出した情報に対して自拠点の秘密鍵で署名した署名文を新たな流通経緯情報、書き込まれていた元の流通経緯情報またはそれから導出した情報を補助情報として導出し、無線ICタグの読み書き可能なメモリに書き込まれていた元の流通経緯情報と補助情報と置き換えるものであることを特徴とする流通経緯認証システム。   A reader / writer having a transmission / reception unit for transmitting / receiving information to / from a wireless IC tag attached to a product or its package and a signature creation unit for creating a signature is provided at each site on the distribution channel of the product, and the first site The reader / writer in the product communicates with the product distributed at its base or the wireless IC tag attached to its package, and distributes the signature text signed with the private key of its base to the initial value or the value derived from it. The background information, the initial value or the value derived therefrom is written as auxiliary information in a readable / writable memory of the wireless IC tag, and the reader / writer provided at the base other than the first base is the product distributed to the base or its Communicating with the wireless IC tag attached to the package, the distribution history information written in the readable / writable memory of the wireless IC tag or information derived from it A wireless IC tag readable / writable memory that derives the signature text signed with the private key of the local site as new distribution history information, the original distribution history information that has been written, or information derived therefrom as auxiliary information A distribution history authentication system, which replaces the original distribution history information and auxiliary information written in. 最初の拠点以外の少なくとも1つの拠点に備わるリーダライタは、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報に対して、自拠点より1つ上流の拠点の公開鍵を使用して検証し、その検証結果において前記無線ICタグの読み書き可能なメモリに書き込まれている補助情報と同じ補助情報が導出できることにより、前記製品が1つ前の拠点から正しく経緯してきたものと判断する署名検証部を有することを特徴とする請求項4記載の流通経緯認証システム。   The reader / writer provided in at least one site other than the first site is responsible for the distribution history information written in the readable / writable memory of the wireless IC tag attached to the product distributed to the site or the package. The product can be verified by using the public key of the base one upstream from the base, and the same auxiliary information as the auxiliary information written in the readable / writable memory of the wireless IC tag can be derived in the verification result. 5. The distribution history authentication system according to claim 4, further comprising a signature verification unit that determines that the history has been correctly obtained from the previous base. 経緯順がi番目の拠点に備わるリーダライタの署名作成部は、自拠点の秘密鍵をdi、RSAモジュラスをni、初期値u0若しくはそれから導出した値または自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報ui-1若しくはそれから導出した情報をST、(u<ni)?fi(u)=u^{di}mod ni
: fi(u)=uと定義される関数をfi(u)、セキュリティパラメタkビット(ただしni<2k)長自然数空間での写像としてφ(u)= (u+ni)mod2kと定義される関数をφ(u)、その逆関数をφ-1とするとき、φ-1(fi(φ(fi(ST)))))を新たな流通経緯情報として導出するものであることを特徴とする請求項1記載の流通経緯認証システム。
Signature creation part of the reader-writer of history order is provided in the i-th base, the private key d i of the site itself, the product of the RSA modulus has been distribution n i, the initial value u 0 or value or own base it from the derived or Distribution history information u i-1 written in the readable / writable memory of the wireless IC tag attached to the package or information derived therefrom ST (u <n i )? f i (u) = u ^ {d i } mod n i
: The function defined as f i (u) = u is f i (u), and the security parameter is k bits (where n i <2 k ) long natural number space φ (u) = (u + n i ) When φ (u) is the function defined as mod2 k and φ -1 is the inverse function, φ -1 (f i (φ (f i (ST))))) is derived as new distribution history information. 2. The distribution history authentication system according to claim 1, wherein
前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵を連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする請求項6記載の流通経緯認証システム。The ST is written in the hash value H (T i ) of the bit string T i concatenating the public key of the base and all the bases upstream from the base, and the initial value or the readable / writable memory of the wireless IC tag 7. The distribution history authentication system according to claim 6, wherein the distribution history authentication system is a value H (T i ) ○ u obtained by exclusive OR with the bit string u of the distribution history information. 前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵およびメッセージを連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする請求項6記載の流通経緯認証システム。The ST is written in the hash value H (T i ) of the bit string T i that concatenates the public key and message of the base and all the bases upstream from the base, and the initial value or the readable / writable memory of the wireless IC tag. 7. The distribution history authentication system according to claim 6, wherein the distribution history authentication system is a value H (T i ) ○ u obtained by exclusive OR with a bit string u of distribution history information. 経緯順がi番目の拠点に備わるリーダライタは、(u<ni)?gi(u)=u^{ei}
mod ni: gi(u)=uと定義される関数をgi(u)とするとき、φ-1(g1(φ(g1(H(T1 ○φ-1(g2(φ((g2(H(T2○…Ti-1○φ-1(gi-1(φ(gi-1(ui-1)))))… ))))))))) = u0が成立することにより、前記製品が自拠点まで正しく経緯してきたものと判断する署名検証部を有することを特徴とする請求項7または8記載の流通経緯認証システム。
The reader / writer at the i-th base in the order of history is (u <n i )? G i (u) = u ^ {e i }
mod n i : When a function defined as g i (u) = u is g i (u), φ -1 (g 1 (φ (g1 (H (T 1 ○ φ -1 (g 2 (φ ((g 2 (H (T 2 ○ ... T i-1 ○ φ -1 (g i-1 (φ (g i-1 (u i-1 )))) ...))))))))) ) = by u 0 is established, distribution history authentication system according to claim 7 or 8, wherein the having the signature verification unit determines that the product has been correctly history to own base.
経緯順がi番目の拠点に備わるリーダライタの署名作成部は、自拠点の秘密鍵をdi、RSAモジュラスをni、初期値u0若しくはそれから導出した値または自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報ui-1若しくはそれから導出した情報をST、(u<ni)?fi(u)=u^{di}mod ni
: fi(u)=uと定義される関数をfi(u)、セキュリティパラメタkビット(ただしni<2k)長自然数空間での写像としてφ(u)= (u+ni)mod2kと定義される関数をφ(u)、その逆関数をφ-1とするとき、φ-1(fi(φ(fi(ST)))))を新たな流通経緯情報、流通経緯情報ui-1またはそのハッシュ値h(ui-1)を新たな補助情報viとしてそれぞれ導出するものであることを特徴とする請求項4記載の流通経緯認証システム。
Signature creation part of the reader-writer of history order is provided in the i-th base, the private key d i of the site itself, the product of the RSA modulus has been distribution n i, the initial value u 0 or value or own base it from the derived or Distribution history information u i-1 written in the readable / writable memory of the wireless IC tag attached to the package or information derived therefrom ST (u <n i )? f i (u) = u ^ {d i } mod n i
: The function defined as f i (u) = u is f i (u), and the security parameter is k bits (where n i <2 k ) long natural number space φ (u) = (u + n i ) When the function defined as mod2 k is φ (u) and its inverse is φ -1 , φ -1 (f i (φ (f i (ST))))) is the new distribution history information and distribution 5. The distribution history authentication system according to claim 4, wherein the history information u i-1 or its hash value h (u i-1 ) is derived as new auxiliary information v i , respectively.
前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵を連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする請求項10記載の流通経緯認証システム。The ST is written in the hash value H (T i ) of the bit string T i concatenating the public key of the base and all the bases upstream from the base, and the initial value or the readable / writable memory of the wireless IC tag 11. The distribution history authentication system according to claim 10, wherein the distribution history authentication system is a value H (T i ) ○ u obtained by exclusive OR with the bit sequence u of the distribution history information. 前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵およびメッセージを連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする請求項10記載の流通経緯認証システム。The ST is written in the hash value H (T i ) of the bit string T i concatenating the public key and message of the base and all the bases upstream from the base, and the initial value or the readable / writable memory of the wireless IC tag. 11. The distribution history authentication system according to claim 10, wherein the distribution history authentication system is a value H (T i ) ○ u obtained by exclusive OR with a bit string u of distribution history information. 経緯順がi番目の拠点に備わるリーダライタは、(u<ni)?gi(u)=u^{ei}
mod ni: gi(u)=uと定義される関数をgi(u)とするとき、h(H(Ti-1○φ-1(gi-1(φ(gi-1(ui-1)))))… ))))))))) = vi-1が成立することにより、前記製品が1つ前の拠点から正しく経緯してきたものと判断する署名検証部を有することを特徴とする請求項11記載の流通経緯認証システム。
The reader / writer at the i-th base in the order of history is (u <n i )? G i (u) = u ^ {e i }
mod n i : When a function defined as g i (u) = u is g i (u), h (H (T i-1 ○ φ -1 (g i-1 (φ (g i-1 (u i-1 ))))) ...)))))))))))))) =) Signature verification that the product is judged to have been correctly developed from the previous location when v i-1 is satisfied. 12. The distribution history authentication system according to claim 11, further comprising a section.
製品またはそのパッケージに付された無線ICタグとの間で情報を送受信する送受信部と署名を作成する署名作成部とを有するリーダライタを前記製品の流通経路上の各拠点に設け、最初の拠点に備わるリーダライタが、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグと交信して、初期値またはそれから導出した値に対して自拠点の秘密鍵で署名した署名文を流通経緯情報として無線ICタグの読み書き可能なメモリに書き込み、最初の拠点以外の拠点に備わるリーダライタが、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグと交信して、その無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報またはそれから導出した情報に対して自拠点の秘密鍵で署名した署名文を新たな流通経緯情報として導出し、無線ICタグの読み書き可能なメモリに書き込まれていた元の流通経緯情報と置き換えることを特徴とする流通経緯認証方法。   A reader / writer having a transmission / reception unit for transmitting / receiving information to / from a wireless IC tag attached to a product or its package and a signature creation unit for creating a signature is provided at each site on the distribution channel of the product, and the first site Reader / writer communicates with the wireless IC tag attached to the product or its package distributed at its own site, and distributes the signature text signed with its own private key to the initial value or the value derived from it The background information is written in the readable / writable memory of the wireless IC tag, and the reader / writer in the base other than the first base station communicates with the wireless IC tag attached to the product distributed to the base or its package, and the wireless Distribution history information written in the IC tag's readable / writable memory or information derived from it is signed with the private key of the local site. A distribution history authentication method which is derived as information and replaces the original distribution history information written in a readable / writable memory of the wireless IC tag. 前記初期値として、無線ICタグの読み出し専用メモリに記憶されている当該無線ICタグ固有の識別番号を使用することを特徴とする請求項14記載の流通経緯認証方法。   15. The distribution history authentication method according to claim 14, wherein an identification number unique to the wireless IC tag stored in a read-only memory of the wireless IC tag is used as the initial value. 最初の拠点以外の少なくとも1つの拠点に備わるリーダライタの署名検証部が、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報に対して、自拠点より上流の各拠点の公開鍵を自拠点に近い拠点の公開鍵から順番に使用して検証を繰り返していき、最終的に前記初期値が得られるところまで遡って検証できることにより、前記製品が自拠点まで正しく経緯してきたものと判断する段階を有することを特徴とする請求項14記載の流通経緯認証方法。   The signature verification unit of the reader / writer in at least one base other than the first base is in the distribution history information written in the readable / writable memory of the wireless IC tag attached to the product distributed to the base or its package. On the other hand, verification can be repeated by using the public key of each base upstream from the local base in order from the public key of the base closest to the local base, and finally the initial value can be obtained. 15. The distribution history authentication method according to claim 14, further comprising the step of determining that the product has been correctly developed up to its own base. 製品またはそのパッケージに付された無線ICタグとの間で情報を送受信する送受信部と署名を作成する署名作成部とを有するリーダライタを前記製品の流通経路上の各拠点に設け、最初の拠点に備わるリーダライタが、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグと交信して、初期値またはそれから導出した値に対して自拠点の秘密鍵で署名した署名文を流通経緯情報、前記初期値またはそれから導出した値を補助情報として無線ICタグの読み書き可能なメモリに書き込み、最初の拠点以外の拠点に備わるリーダライタが、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグと交信して、その無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報またはそれから導出した情報に対して自拠点の秘密鍵で署名した署名文を新たな流通経緯情報、書き込まれていた元の流通経緯情報またはそれから導出した情報を補助情報として導出し、無線ICタグの読み書き可能なメモリに書き込まれていた元の流通経緯情報と補助情報と置き換えることを特徴とする流通経緯認証方法。   A reader / writer having a transmission / reception unit for transmitting / receiving information to / from a wireless IC tag attached to a product or its package and a signature creation unit for creating a signature is provided at each site on the distribution channel of the product, and the first site Reader / writer communicates with the wireless IC tag attached to the product or its package distributed at its own site, and distributes the signature text signed with its own private key to the initial value or the value derived from it The history information, the initial value, or the value derived from it is written as auxiliary information in the readable / writable memory of the wireless IC tag, and the reader / writer provided at the base other than the first base is attached to the product distributed to the base or its package. Communicating with a wireless IC tag that has been sent and the distribution history information written in the readable / writable memory of the wireless IC tag or information derived therefrom The signature text signed with the private key of the local site is derived as new distribution history information, the original distribution history information that has been written, or the information derived therefrom as auxiliary information, and is written in the readable / writable memory of the wireless IC tag. A distribution history authentication method characterized by replacing original distribution history information and auxiliary information. 最初の拠点以外の少なくとも1つの拠点に備わるリーダライタの署名検証部が、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報に対して、自拠点より1つ上流の拠点の公開鍵を使用して検証し、その検証結果において前記無線ICタグの読み書き可能なメモリに書き込まれている補助情報と同じ補助情報が導出できることにより、前記製品が1つ前の拠点から正しく経緯してきたものと判断する段階を有することを特徴とする請求項17記載の流通経緯認証方法。   The signature verification unit of the reader / writer in at least one base other than the first base is in the distribution history information written in the readable / writable memory of the wireless IC tag attached to the product distributed to the base or its package. On the other hand, by verifying using the public key of the site one upstream from the own site, the same auxiliary information as the auxiliary information written in the readable / writable memory of the wireless IC tag can be derived in the verification result, 18. The distribution history authentication method according to claim 17, further comprising the step of determining that the product has been correctly developed from a previous base. 経緯順がi番目の拠点に備わるリーダライタの署名作成部が、自拠点の秘密鍵をdi、RSAモジュラスをni、初期値u0若しくはそれから導出した値または自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報ui-1若しくはそれから導出した情報をST、(u<ni)?fi(u)=u^{di}mod ni
: fi(u)=uと定義される関数をfi(u)、セキュリティパラメタkビット(ただしni<2k)長自然数空間での写像としてφ(u)= (u+ni)mod2kと定義される関数をφ(u)、その逆関数をφ-1とするとき、φ-1(fi(φ(fi(ST)))))を新たな流通経緯情報として導出することを特徴とする請求項14記載の流通経緯認証方法。
Signature creation part of the reader-writer of history order is provided in the i-th bases, private key d i of the site itself, the product of the RSA modulus has been distribution n i, the initial value u 0 or value or own base it from the derived or Distribution history information u i-1 written in the readable / writable memory of the wireless IC tag attached to the package or information derived therefrom ST (u <n i )? f i (u) = u ^ {d i } mod n i
: The function defined as f i (u) = u is f i (u), and the security parameter is k bits (where n i <2 k ) long natural number space φ (u) = (u + n i ) When φ (u) is the function defined as mod2 k and φ -1 is the inverse function, φ -1 (f i (φ (f i (ST))))) is derived as new distribution history information. 15. The distribution history authentication method according to claim 14, characterized in that:
前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵を連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする請求項19記載の流通経緯認証方法。The ST is written in the hash value H (T i ) of the bit string T i concatenating the public key of the base and all the bases upstream from the base, and the initial value or the readable / writable memory of the wireless IC tag 20. The distribution history authentication method according to claim 19, wherein the distribution history authentication method is a value H (T i ) ○ u obtained by exclusive OR with the bit sequence u of the distribution history information. 前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵およびメッセージを連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする請求項19記載の流通経緯認証方法。The ST is written in the hash value H (T i ) of the bit string T i that concatenates the public key and message of the base and all the bases upstream from the base, and the initial value or the readable / writable memory of the wireless IC tag. 20. The distribution history authentication method according to claim 19, wherein the distribution history authentication method is a value H (T i ) uu obtained by exclusive OR with the bit sequence u of the distribution history information. 経緯順がi番目の拠点に備わるリーダライタの署名検証部が、(u<ni)?gi(u)=u^{ei}
mod ni: gi(u)=uと定義される関数をgi(u)とするとき、φ-1(g1(φ(g1(H(T1 ○φ-1(g2(φ((g2(H(T2○…Ti-1○φ-1(gi-1(φ(gi-1(ui-1)))))… ))))))))) = u0が成立することにより、前記製品が自拠点まで正しく経緯してきたものと判断する段階を有することを特徴とする請求項20記載の流通経緯認証方法。
The signature verification part of the reader / writer at the i-th base in the order of history is (u <n i )? G i (u) = u ^ {e i }
mod n i : When the function defined as g i (u) = u is g i (u), φ -1 (g 1 (φ (g 1 (H (T 1 ○ φ -1 (g 2 ( φ ((g 2 (H (T 2 ○ ... T i-1 ○ φ -1 (g i-1 (φ (g i-1 (u i-1 )))) ...)))))))) 21. The distribution history authentication method according to claim 20, further comprising the step of determining that the product has been correctly processed up to its own site when)) = u 0 is established.
経緯順がi番目の拠点に備わるリーダライタの署名作成部が、自拠点の秘密鍵をdi、RSAモジュラスをni、初期値u0若しくはそれから導出した値または自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報ui-1若しくはそれから導出した情報をST、(u<ni)?fi(u)=u^{di}mod ni
: fi(u)=uと定義される関数をfi(u)、セキュリティパラメタkビット(ただしni<2k)長自然数空間での写像としてφ(u)= (u+ni)mod2kと定義される関数をφ(u)、その逆関数をφ-1とするとき、φ-1(fi(φ(fi(ST)))))を新たな流通経緯情報、流通経緯情報ui-1またはそのハッシュ値h(ui-1)を新たな補助情報viとしてそれぞれ導出することを特徴とする請求項17記載の流通経緯認証方法。
Signature creation part of the reader-writer of history order is provided in the i-th bases, private key d i of the site itself, the product of the RSA modulus has been distribution n i, the initial value u 0 or value or own base it from the derived or Distribution history information u i-1 written in the readable / writable memory of the wireless IC tag attached to the package or information derived therefrom ST (u <n i )? f i (u) = u ^ {d i } mod n i
: The function defined as f i (u) = u is f i (u), and the security parameter is k bits (where n i <2 k ) long natural number space φ (u) = (u + n i ) When the function defined as mod2 k is φ (u) and its inverse is φ -1 , φ -1 (f i (φ (f i (ST))))) is the new distribution history information and distribution 18. The distribution history authentication method according to claim 17, wherein the history information u i-1 or its hash value h (u i-1 ) is derived as new auxiliary information v i , respectively.
前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵を連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする請求項23記載の流通経緯認証方法。The ST is written in the hash value H (T i ) of the bit string T i concatenating the public key of the base and all the bases upstream from the base, and the initial value or the readable / writable memory of the wireless IC tag 24. The distribution history authentication method according to claim 23, wherein the distribution history authentication method is a value H (T i ) ○ u obtained by exclusive OR with the bit sequence u of the distribution history information. 前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵およびメッセージを連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする請求項23記載の流通経緯認証方法。The ST is written in the hash value H (T i ) of the bit string T i that concatenates the public key and message of the base and all the bases upstream from the base, and the initial value or the readable / writable memory of the wireless IC tag. 24. The distribution history authentication method according to claim 23, wherein the distribution history authentication method is a value H (T i ) ○ u obtained by exclusive OR with the bit sequence u of the distribution history information. 経緯順がi番目の拠点に備わるリーダライタの署名検証部が、(u<ni)?gi(u)=u^{ei}
mod ni: gi(u)=uと定義される関数をgi(u)とするとき、h(H(Ti-1○φ-1(gi-1(φ(gi-1(ui-1)))))… ))))))))) = vi-1が成立することにより、前記製品が1つ前の拠点から正しく経緯してきたものと判断する署名検証部を有することを特徴とする請求項24記載の流通経緯認証方法。
The signature verification part of the reader / writer at the i-th base in the order of history is (u <n i )? G i (u) = u ^ {e i }
mod n i : When a function defined as g i (u) = u is g i (u), h (H (T i-1 ○ φ -1 (g i-1 (φ (g i-1 (u i-1 ))))) ...)))))))))))))) =) Signature verification that the product is judged to have been correctly developed from the previous location when v i-1 is satisfied. 25. The distribution history authentication method according to claim 24, further comprising: a section.
製品またはそのパッケージに付された無線ICタグとの間で情報を送受信する送受信部と署名を作成する署名作成部とを有し、前記製品の流通経路上の拠点に設けられるリーダライタであって、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグと交信して、その無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報またはそれから導出した情報に対して自拠点の秘密鍵で署名した署名文を新たな流通経緯情報として導出し、無線ICタグの読み書き可能なメモリに書き込まれていた元の流通経緯情報と置き換えるものであることを特徴とするリーダライタ。   A reader / writer provided at a base on a distribution path of the product, having a transmission / reception unit for transmitting / receiving information to / from a wireless IC tag attached to the product or its package and a signature creation unit for creating a signature; Communicating with the wireless IC tag attached to the product or its package that has been distributed to its own base, the local base for the distribution history information written in the readable / writable memory of the wireless IC tag or the information derived therefrom A reader / writer characterized in that a signature sentence signed with a private key is derived as new distribution history information and replaced with the original distribution history information written in a readable / writable memory of the wireless IC tag. 自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報に対して、自拠点より上流の各拠点の公開鍵を自拠点に近い拠点の公開鍵から順番に使用して検証を繰り返していき、最終的に予め定められた初期値または前記無線ICタグの読み出し専用メモリに記憶されている当該無線ICタグ固有の識別番号が得られるところまで遡って検証できることにより、前記製品が自拠点まで正しく経緯してきたものと判断する署名検証部を有することを特徴とする請求項27記載のリーダライタ。   For the distribution history information written in the readable / writable memory of the wireless IC tag attached to the product or its package distributed to your site, the public key of each site upstream from your site is the closest to your site The verification is repeated using the public key in order, and finally a predetermined initial value or an identification number unique to the wireless IC tag stored in the read-only memory of the wireless IC tag is obtained. 28. The reader / writer according to claim 27, further comprising: a signature verification unit that determines that the product has been correctly processed up to its own base by being able to verify the process retroactively. 製品またはそのパッケージに付された無線ICタグとの間で情報を送受信する送受信部と署名を作成する署名作成部とを有し、前記製品の流通経路上の拠点に設けられるリーダライタであって、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグと交信して、その無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報またはそれから導出した情報に対して自拠点の秘密鍵で署名した署名文を新たな流通経緯情報、書き込まれていた元の流通経緯情報またはそれから導出した情報を補助情報として導出し、無線ICタグの読み書き可能なメモリに書き込まれていた元の流通経緯情報と補助情報と置き換えるものであることを特徴とするリーダライタ。   A reader / writer provided at a base on a distribution path of the product, having a transmission / reception unit for transmitting / receiving information to / from a wireless IC tag attached to the product or its package and a signature creation unit for creating a signature; Communicating with the wireless IC tag attached to the product or its package that has been distributed to its own base, the local base for the distribution history information written in the readable / writable memory of the wireless IC tag or the information derived therefrom The signature sentence signed with the private key of the original is derived from the new distribution history information, the original distribution history information that was written, or the information derived from it as auxiliary information, and the original that was written in the read / write memory of the wireless IC tag A reader / writer characterized in that it replaces the distribution history information and auxiliary information. 自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報に対して、自拠点より1つ上流の拠点の公開鍵を使用して検証し、その検証結果において前記無線ICタグの読み書き可能なメモリに書き込まれている補助情報と同じ補助情報が導出できることにより、前記製品が1つ前の拠点から正しく経緯してきたものと判断する署名検証部を有することを特徴とする請求項29記載のリーダライタ。   Verify the distribution history information written in the readable / writable memory of the wireless IC tag attached to the product or the package distributed to your site using the public key of the site one upstream from your site. In the verification result, it is possible to derive the auxiliary information that is the same as the auxiliary information written in the readable / writable memory of the wireless IC tag, so that the signature verification that the product has been correctly processed from the previous base is determined. 30. The reader / writer according to claim 29, further comprising a section. 前記署名作成部は、自拠点の秘密鍵をdi、RSAモジュラスをni、初期値u0若しくはそれから導出した値または自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報ui-1若しくはそれから導出した情報をST、(u<ni)?fi(u)=u^{di}mod ni
: fi(u)=uと定義される関数をfi(u)、セキュリティパラメタkビット(ただしni<2k)長自然数空間での写像としてφ(u)= (u+ni)mod2kと定義される関数をφ(u)、その逆関数をφ-1とするとき、φ-1(fi(φ(fi(ST)))))を新たな流通経緯情報として導出するものであることを特徴とする請求項27記載のリーダライタ。
The signature creation section, the private key of the own base d i, the RSA modulus n i, read and write the initial value u 0 or products or wireless IC tag attached to the package has been distributed to the value or own base derived therefrom Distribution history information u i-1 written in a possible memory or information derived from ST (u <n i )? f i (u) = u ^ {d i } mod n i
: The function defined as f i (u) = u is f i (u), and the security parameter is k bits (where n i <2 k ) long natural number space φ (u) = (u + n i ) When φ (u) is the function defined as mod2 k and φ -1 is the inverse function, φ -1 (f i (φ (f i (ST))))) is derived as new distribution history information. 28. The reader / writer according to claim 27, wherein:
前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵を連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする請求項31記載のリーダライタ。The ST is written in the hash value H (T i ) of the bit string T i concatenating the public key of the base and all the bases upstream from the base, and the initial value or the readable / writable memory of the wireless IC tag 32. The reader / writer according to claim 31, wherein the reader / writer is a value H (T i ) ○ u obtained by exclusive OR with a bit string u of distribution history information. 前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵およびメッセージを連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする請求項31記載のリーダライタ。The ST is written in the hash value H (T i ) of the bit string T i that concatenates the public key and message of the base and all the bases upstream from the base, and the initial value or the readable / writable memory of the wireless IC tag. 32. The reader / writer according to claim 31, wherein the reader / writer is a value H (T i ) u obtained by exclusive OR with a bit string u of distribution history information. (u<ni)?gi(u)=u^{ei}
mod ni: gi(u)=uと定義される関数をgi(u)とするとき、φ-1(g1(φ(g1(H(T1 ○φ-1(g2(φ((g2(H(T2○…Ti-1○φ-1(gi-1(φ(gi-1(ui-1)))))… ))))))))) = u0が成立することにより、前記製品が自拠点まで正しく経緯してきたものと判断する署名検証部を有することを特徴とする請求項32記載のリーダライタ。
(u <n i )? g i (u) = u ^ {e i }
mod n i : When the function defined as g i (u) = u is g i (u), φ -1 (g 1 (φ (g 1 (H (T 1 ○ φ -1 (g 2 ( φ ((g 2 (H (T 2 ○ ... T i-1 ○ φ -1 (g i-1 (φ (g i-1 (u i-1 )))) ...)))))))) 33. The reader / writer according to claim 32, further comprising: a signature verification unit that determines that the product has been properly processed up to its own site when)) = u 0 is established.
前記署名作成部は、自拠点の秘密鍵をdi、RSAモジュラスをni、初期値u0若しくはそれから導出した値または自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報ui-1若しくはそれから導出した情報をST、(u<ni)?fi(u)=u^{di}mod ni
: fi(u)=uと定義される関数をfi(u)、セキュリティパラメタkビット(ただしni<2k)長自然数空間での写像としてφ(u)= (u+ni)mod2kと定義される関数をφ(u)、その逆関数をφ-1とするとき、φ-1(fi(φ(fi(ST)))))を新たな流通経緯情報、流通経緯情報ui-1またはそのハッシュ値h(ui-1)を新たな補助情報viとしてそれぞれ導出するものであることを特徴とする請求項29記載のリーダライタ。
The signature creation section, the private key of the own base d i, the RSA modulus n i, read and write the initial value u 0 or products or wireless IC tag attached to the package has been distributed to the value or own base derived therefrom Distribution history information u i-1 written in a possible memory or information derived from ST (u <n i )? f i (u) = u ^ {d i } mod n i
: The function defined as f i (u) = u is f i (u), and the security parameter is k bits (where n i <2 k ) long natural number space φ (u) = (u + n i ) When the function defined as mod2 k is φ (u) and its inverse is φ -1 , φ -1 (f i (φ (f i (ST))))) is the new distribution history information and distribution 30. The reader / writer according to claim 29, wherein the history information u i-1 or its hash value h (u i-1 ) is derived as new auxiliary information v i , respectively.
前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵を連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする請求項35記載のリーダライタ。The ST is written in the hash value H (T i ) of the bit string T i concatenating the public key of the base and all the bases upstream from the base, and the initial value or the readable / writable memory of the wireless IC tag 36. The reader / writer according to claim 35, wherein the reader / writer is a value H (T i ) ○ u obtained by exclusive OR with the bit string u of the distribution history information. 前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵およびメッセージを連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする請求項35記載のリーダライタ。The ST is written in the hash value H (T i ) of the bit string T i that concatenates the public key and message of the base and all the bases upstream from the base, and the initial value or the readable / writable memory of the wireless IC tag. 36. The reader / writer according to claim 35, wherein the reader / writer is a value H (T i ) ○ u obtained by exclusive OR with the bit sequence u of the distribution history information. (u<ni)?gi(u)=u^{ei}
mod ni: gi(u)=uと定義される関数をgi(u)とするとき、h(H(Ti-1○φ-1(gi-1(φ(gi-1(ui-1)))))… ))))))))) = vi-1が成立することにより、前記製品が1つ前の拠点から正しく経緯してきたものと判断する署名検証部を有することを特徴とする請求項36記載のリーダライタ。
(u <n i )? g i (u) = u ^ {ei}
mod n i : When a function defined as g i (u) = u is g i (u), h (H (T i-1 ○ φ -1 (g i-1 (φ (g i-1 (u i-1 ))))) ...)))))))))))))) =) Signature verification that the product is judged to have been correctly developed from the previous location when v i-1 is satisfied. 37. The reader / writer according to claim 36, further comprising a portion.
製品またはそのパッケージに付された無線ICタグとの間で情報を送受信する送受信部と署名を検証する署名検証部とを有し、前記製品の流通経路上の拠点に設けられるリーダライタであって、前記署名検証部は、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報に対して、自拠点より上流の各拠点の公開鍵を自拠点に近い拠点の公開鍵から順番に使用して検証を繰り返していき、最終的に予め定められた値または前記無線ICタグの読み出し専用メモリに記憶されている当該無線ICタグ固有の識別番号である初期値が得られるところまで遡って検証できることにより、前記製品が自拠点まで正しく経緯してきたものと判断するものであることを特徴とするリーダライタ。   A reader / writer provided at a base on a distribution path of the product, having a transmission / reception unit for transmitting / receiving information to / from a wireless IC tag attached to the product or its package and a signature verification unit for verifying a signature; The signature verification unit discloses the distribution history information written in the readable / writable memory of the wireless IC tag attached to the product distributed to its own site or the package thereof, to each site upstream from its own site. The key is used in order from the public key of the base closest to its own base, and the verification is repeated, and finally, a predetermined value or a unique value of the wireless IC tag stored in the read-only memory of the wireless IC tag The reader / writer is characterized in that it can be determined that the product has been correctly processed up to its own base by being able to verify retroactively to the point where an initial value that is an identification number is obtained. . i番目の拠点の秘密鍵をdi、RSAモジュラスをni、前記初期値をu0、i番目の拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報をui-1、i番目の拠点およびそれより上流の全ての拠点の公開鍵を連結したビット列Tiのハッシュ値H(Ti)と流通経緯情報との排他的論理和により求められる値をH(Ti)○u、(u<ni)?gi(u)=u^{ei} mod ni: gi(u)=uと定義される関数をgi(u)、セキュリティパラメタkビット(ただしni<2k)長自然数空間での写像としてφ(u)= (u+ni)mod2kと定義される関数をφ(u)、その逆関数をφ-1とするとき、前記署名検証部は、φ-1(g1(φ(g1(H(T1 ○φ-1(g2(φ((g2(H(T2○…Ti-1○φ-1(gi-1(φ(gi-1(ui-1)))))… ))))))))) = u0が成立することにより、前記製品が自拠点まで正しく経緯してきたものと判断するものであることを特徴とする請求項39記載のリーダライタ。Write the private key of the i-th site to di, RS i modulus to n i , the initial value to u 0 , and write to the readable / writable memory of the wireless IC tag attached to the product distributed to the i-th site or its package Is the exclusive logic of the distribution history information and the hash value H (T i ) of the bit string T i that concatenates the distribution history information u i-1 , the public key of the i th base and all the bases upstream from it. The value obtained by the sum is H (T i ) ○ u, (u <n i )? G i (u) = u ^ {e i } mod n i : a function defined as g i (u) = u g i (u), security parameter k bits (where n i <2 k ), a function defined as φ (u) = (u + n i ) mod2 k When the inverse function is φ −1 , the signature verification unit performs φ −1 (g 1 (φ (g 1 (H (T 1 ○ φ −1 (g 2 (φ ((g 2 (H (T 2 ○… T i-1 ○ φ -1 (g i-1 (φ (g i-1 (u i-1 ))))) ...)))))))))))) =) u 0 , The product is Writer according to claim 39, wherein a is to determined to have been Ku history. i番目の拠点の秘密鍵をdi、RSAモジュラスをni、前記初期値をu0、i番目の拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報をui-1、i番目の拠点およびそれより上流の全ての拠点の公開鍵およびメッセージを連結したビット列Tiのハッシュ値H(Ti)と流通経緯情報との排他的論理和により求められる値をH(Ti)○u、(u<ni)?gi(u)=u^{ei} mod ni: gi(u)=uと定義される関数をgi(u)、セキュリティパラメタkビット(ただしni<2k)長自然数空間での写像としてφ(u)= (u+ni)mod2kと定義される関数をφ(u)、その逆関数をφ-1とするとき、前記署名検証部は、φ-1(g1(φ(g1(H(T1 ○φ-1(g2(φ((g2(H(T2○…Ti-1○φ-1(gi-1(φ(gi-1(ui-1)))))… ))))))))) = u0が成立することにより、前記製品が自拠点まで正しく経緯してきたものと判断するものであることを特徴とする請求項39記載のリーダライタ。The secret key of the i-th site is d i , the RSA modulus is ni, the initial value is u 0 , and it is written to the readable / writable memory of the wireless IC tag attached to the product distributed to the i-th site or its package The distribution history information is exclusive of u i-1 , the hash value H (T i ) of the bit string T i that concatenates the public keys and messages of the i th base and all bases upstream from it. A function defined by H (Ti) ○ u, (u <n i )? G i (u) = u ^ {e i } mod n i : g i (u) = u g i (u), security parameter k bits (where n i <2 k ) A function defined as φ (u) = (u + n i ) mod2k as a mapping in natural number space, φ (u), and vice versa when the function and phi -1, the signature verification unit, φ -1 (g 1 (φ (g 1 (H (T 1 ○ φ -1 (g 2 (φ ((g 2 (H (T 2 ○ ... T i-1 ○ φ -1 (g i-1 (φ (g i-1 (u i-1))))) ...))))))))) = by u 0 is established, The product is Writer according to claim 39, wherein a is to determined to have been correctly history to base. 製品またはそのパッケージに付された無線ICタグとの間で情報を送受信する送受信部と署名を検証する署名検証部とを有し、前記製品の流通経路上の拠点に設けられるリーダライタであって、前記署名検証部は、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報に対して、自拠点より1つ上流の拠点の公開鍵を使用して検証し、その検証結果において前記無線ICタグの読み書き可能なメモリに書き込まれている補助情報と同じ補助情報が導出できることにより、前記製品が1つ前の拠点から正しく経緯してきたものと判断するものであることを特徴とするリーダライタ。   A reader / writer provided at a base on a distribution path of the product, having a transmission / reception unit for transmitting / receiving information to / from a wireless IC tag attached to the product or its package and a signature verification unit for verifying a signature; The signature verifying unit, for the distribution history information written in the readable / writable memory of the wireless IC tag attached to the product distributed at its own site or its package, By verifying using the public key, and the auxiliary information that is the same as the auxiliary information written in the readable / writable memory of the wireless IC tag can be derived in the verification result, the product has been properly developed from the previous base. Reader / writer characterized in that it is determined to be i番目の拠点の秘密鍵をdi、RSAモジュラスをni、前記初期値をu0、i番目の拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報および補助情報をui-1およびvi-1、i番目の拠点およびそれより上流の全ての拠点の公開鍵を連結したビット列Tiのハッシュ値H(Ti)と流通経緯情報との排他的論理和により求められる値をH(Ti)○u、(u<ni)?gi(u)=u^{ei} mod ni: gi(u)=uと定義される関数をgi(u)、セキュリティパラメタkビット(ただしni<2k)長自然数空間での写像としてφ(u)= (u+ni)mod2kと定義される関数をφ(u)、その逆関数をφ-1、hをハッシュ関数とするとき、前記署名検証部は、h(H(Ti-1○φ-1(gi-1(φ(gi-1(ui-1)))))… ))))))))) = vi-1が成立することにより、前記製品が1つ前の拠点から正しく経緯してきたものと判断するものであることを特徴とする請求項42記載のリーダライタ。written secret key of the i-th base d i, the RSA modulus n i, the initial value u 0, i-th products have been distributed in the base or read-write memory of the wireless IC tag attached to the package The distribution history information and auxiliary information that are stored are u i-1 and v i-1 , the hash value H (T i ) of the bit string T i that concatenates the public keys of the i th base and all bases upstream from it. H (T i ) ○ u, (u <n i )? G i (u) = u ^ {e i } mod n i : g i (u) A function defined as = u is defined as g i (u), security parameter k bits (where n i <2 k ) long natural number space is defined as φ (u) = (u + n i ) mod2 k When the function is φ (u), the inverse function is φ −1 , and h is a hash function, the signature verification unit can calculate h (H (T i-1 ○ φ -1 (g i-1 (φ (g i-1 (u i-1 ))))) ...))))))))) = v by i-1 is satisfied, the product of the previous one bases Writer according to claim 42, wherein a from in which it is determined that what has been correctly history. i番目の拠点の秘密鍵をdi、RSAモジュラスをni、前記初期値をu0、i番目の拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報および補助情報をui-1およびvi-1、i番目の拠点およびそれより上流の全ての拠点の公開鍵およびメッセージを連結したビット列Tiのハッシュ値H(Ti)と流通経緯情報との排他的論理和により求められる値をH(Ti)○u、(u<ni)?gi(u)=u^{ei} mod ni: gi(u)=uと定義される関数をgi(u)、セキュリティパラメタkビット(ただしni<2k)長自然数空間での写像としてφ(u)= (u+ni)mod2kと定義される関数をφ(u)、その逆関数をφ-1、hをハッシュ関数とするとき、前記署名検証部は、h(H(Ti-1○φ-1(gi-1(φ(gi-1(ui-1)))))… ))))))))) = vi-1が成立することにより、前記製品が1つ前の拠点から正しく経緯してきたものと判断するものであることを特徴とする請求項42記載のリーダライタ。Write the private key of the i-th site to di, RS i modulus to n i , the initial value to u 0 , and write to the readable / writable memory of the wireless IC tag attached to the product distributed to the i-th site or its package The distribution history information and auxiliary information that are stored are u i-1 and v i-1 , and the hash value H (T i of the bit string T i that concatenates the public key and message of the i th base and all bases upstream from it. ) and the value determined by the exclusive OR of the distribution history information H (T i) ○ u, (u <n i) g i (u) = u ^ {e i} mod n i:? g i ( u) = u is defined as g i (u), security parameter k bits (where n i <2 k ) long natural number space is defined as φ (u) = (u + n i ) mod2 k And φ (u), the inverse function thereof is φ −1 , and h is a hash function, the signature verification unit determines that h (H (T i-1 ○ φ −1 (g i-1 (φ (g i-1 (u i-1 ))))) ...))))))))) = v i-1 43. The reader / writer according to claim 42, wherein the product is determined to have been correctly developed from the previous base. 製品の流通経路上の拠点に設けられるリーダライタを構成するコンピュータを、前記製品またはそのパッケージに付された無線ICタグとの間で情報を送受信する送受信手段、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグと前記送受信手段を通じて交信し、前記無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報またはそれから導出した情報に対して記憶手段に記憶されている自拠点の秘密鍵で署名した署名文を新たな流通経緯情報として導出し、前記無線ICタグの読み書き可能なメモリに書き込まれていた元の流通経緯情報と置き換える署名作成手段、として機能させるためのプログラム。   Transmission / reception means for transmitting / receiving information to / from a wireless IC tag attached to the product or its package to a computer constituting a reader / writer provided at a base on the product distribution path, a product distributed to the base or the Local base station which communicates with the wireless IC tag attached to the package through the transmission / reception means, and which is stored in the storage means for the distribution history information written in the readable / writable memory of the wireless IC tag or information derived therefrom A program for deriving a signature sentence signed with a private key as new distribution history information and replacing it with the original distribution history information written in the readable / writable memory of the wireless IC tag. 前記コンピュータをさらに、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報に対して、前記記憶手段に記憶されている自拠点より上流の各拠点の公開鍵を自拠点に近い拠点の公開鍵から順番に使用して検証を繰り返していき、最終的に予め定められた初期値または前記無線ICタグの読み出し専用メモリに記憶されている当該無線ICタグ固有の識別番号が得られるところまで遡って検証できることにより、前記製品が自拠点まで正しく経緯してきたものと判断する署名検証手段、として機能させるための請求項45記載のプログラム。   The computer further includes distribution history information written in a readable / writable memory of a wireless IC tag attached to a product distributed to the local site or a package thereof, from the local site stored in the storage unit. The verification is repeated using the public key of each upstream base in order from the public key of the base closest to its own base, and finally stored in the predetermined initial value or the read-only memory of the wireless IC tag 46. The program according to claim 45, wherein the program is made to function as signature verification means for determining that the product has been correctly processed up to its own base by being able to verify retroactively until the identification number unique to the wireless IC tag is obtained. 製品の流通経路上の拠点に設けられるリーダライタを構成するコンピュータを、前記製品またはそのパッケージに付された無線ICタグとの間で情報を送受信する送受信手段、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグと前記送受信手段を通じて交信し、前記無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報またはそれから導出した情報に対して記憶手段に記憶されている自拠点の秘密鍵で署名した署名文を新たな流通経緯情報、書き込まれていた元の流通経緯情報またはそれから導出した情報を補助情報として導出し、前記無線ICタグの読み書き可能なメモリに書き込まれていた元の流通経緯情報および補助情報と置き換える署名作成手段、として機能させるためのプログラム。   Transmission / reception means for transmitting / receiving information to / from a wireless IC tag attached to the product or its package to a computer constituting a reader / writer provided at a base on the product distribution path, a product distributed to the base or the Local base station which communicates with the wireless IC tag attached to the package through the transmission / reception means and which is stored in the storage means for the distribution history information written in the readable / writable memory of the wireless IC tag or information derived therefrom The signature sentence signed with the private key of the new IC was derived as new distribution history information, the original distribution history information that was written or information derived therefrom as auxiliary information, and was written in the readable / writable memory of the wireless IC tag A program for functioning as a signature creation means that replaces the original distribution history information and auxiliary information. 前記コンピュータをさらに、自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報に対して、前記記憶手段に記憶されている自拠点より1つ上流の拠点の公開鍵を使用して検証し、その検証結果において前記無線ICタグの読み書き可能なメモリに書き込まれている補助情報と同じ補助情報が導出できることにより、前記製品が1つ前の拠点から正しく経緯してきたものと判断する署名検証手段、として機能させるための請求項47記載のプログラム。   The computer further includes distribution history information written in a readable / writable memory of a wireless IC tag attached to a product distributed to the local site or a package thereof, from the local site stored in the storage unit. By verifying using the public key of one upstream base, the same auxiliary information as the auxiliary information written in the readable / writable memory of the wireless IC tag can be derived as a result of the verification. 48. The program according to claim 47, wherein the program is made to function as signature verification means for determining that the process has been correctly performed from the base of the company. 前記署名作成手段は、自拠点の秘密鍵をdi、RSAモジュラスをni、初期値u0若しくはそれから導出した値または自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報ui-1若しくはそれから導出した情報をST、(u<ni)?fi(u)=u^{di}mod ni
: fi(u)=uと定義される関数をfi(u)、セキュリティパラメタkビット(ただしni<2k)長自然数空間での写像としてφ(u)= (u+ni)mod2kと定義される関数をφ(u)、その逆関数をφ-1とするとき、φ-1(fi(φ(fi(ST)))))を新たな流通経緯情報として導出するものであることを特徴とする請求項45記載のプログラム。
The signature generating means, the secret key of the own base d i, reading and writing of a wireless IC tag attached to RSA modulus to n i, the product or its packaging has been circulated to the initial value u 0 or a value or own base derived therefrom Distribution history information u i-1 written in a possible memory or information derived from ST (u <n i )? f i (u) = u ^ {d i } mod n i
: The function defined as f i (u) = u is f i (u), and the security parameter is k bits (where n i <2 k ) long natural number space φ (u) = (u + n i ) When φ (u) is the function defined as mod2 k and φ -1 is the inverse function, φ -1 (f i (φ (f i (ST))))) is derived as new distribution history information. 46. The program according to claim 45, wherein:
前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵を連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする請求項49記載のプログラム。The ST is written in the hash value H (T i ) of the bit string T i concatenating the public key of the base and all the bases upstream from the base, and the initial value or the readable / writable memory of the wireless IC tag 50. The program according to claim 49, which is a value H (T i )) u obtained by exclusive OR with a bit string u of distribution history information. 前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵およびメッセージを連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする請求項49記載のプログラム。The ST is written in the hash value H (T i ) of the bit string Ti concatenating the public key and message of the base and all bases upstream from the base, and the initial value or the read / write memory of the wireless IC tag. 50. The program according to claim 49, which is a value H (T i )) u obtained by exclusive OR with a bit string u of distribution history information. 前記コンピュータをさらに、(u<ni)?gi(u)=u^{ei}
mod ni: gi(u)=uと定義される関数をgi(u)とするとき、φ-1(g1(φ(g1(H(T1 ○φ-1(g2(φ((g2(H(T2○…Ti-1○φ-1(gi-1(φ(gi-1(ui-1)))))… ))))))))) = u0が成立することにより、前記製品が自拠点まで正しく経緯してきたものと判断する署名検証手段、として機能させることを特徴とする請求項50記載のプログラム。
The computer is further (u <n i )? G i (u) = u ^ {e i }
mod n i : When the function defined as g i (u) = u is g i (u), φ -1 (g 1 (φ (g 1 (H (T 1 ○ φ -1 (g 2 ( φ ((g 2 (H (T 2 ○ ... T i-1 ○ φ -1 (g i-1 (φ (g i-1 (u i-1 )))) ...)))))))) 51. The program according to claim 50, wherein, when)) = u 0 is established, the program is made to function as a signature verification unit that determines that the product has been correctly processed up to its own site.
前記署名作成手段は、自拠点の秘密鍵をdi、RSAモジュラスをni、初期値u0若しくはそれから導出した値または自拠点に流通してきた製品またはそのパッケージに付された無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報ui-1若しくはそれから導出した情報をST、(u<ni)?fi(u)=u^{di}mod ni
: fi(u)=uと定義される関数をfi(u)、セキュリティパラメタkビット(ただしni<2k)長自然数空間での写像としてφ(u)= (u+ni)mod2kと定義される関数をφ(u)、その逆関数をφ-1とするとき、φ-1(fi(φ(fi(ST)))))を新たな流通経緯情報、流通経緯情報ui-1またはそのハッシュ値h(ui-1)を新たな補助情報viとしてそれぞれ導出するものであることを特徴とする請求項47記載のプログラム。
The signature generating means, the secret key of the own base d i, reading and writing of a wireless IC tag attached to RSA modulus to n i, the product or its packaging has been circulated to the initial value u 0 or a value or own base derived therefrom Distribution history information u i-1 written in a possible memory or information derived from ST (u <n i )? f i (u) = u ^ {d i } mod n i
: The function defined as f i (u) = u is f i (u), and the security parameter is k bits (where n i <2 k ) long natural number space φ (u) = (u + n i ) When the function defined as mod2 k is φ (u) and its inverse is φ -1 , φ -1 (f i (φ (f i (ST))))) is the new distribution history information and distribution 48. The program according to claim 47, wherein the history information u i-1 or the hash value h (u i-1 ) thereof is respectively derived as new auxiliary information v i .
前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵を連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする請求項53記載のプログラム。The ST is a own base and bit string obtained by connecting the public keys of all bases upstream of the own base T i of the hash value H (T i), it is written in the writable memory of the initial value or wireless IC tag 54. The program according to claim 53, wherein the value is H (T i ) uu obtained by exclusive OR with the bit string u of the distribution history information. 前記STは、自拠点および自拠点より上流の全ての拠点の公開鍵およびメッセージを連結したビット列Tiのハッシュ値H(Ti)と、初期値または無線ICタグの読み書き可能なメモリに書き込まれている流通経緯情報のビット列uとの排他的論理和により求められる値H(Ti)○uであることを特徴とする請求項53記載のプログラム。The ST is written in the hash value H (T i ) of the bit string T i that concatenates the public key and message of the base and all the bases upstream from the base, and the initial value or the readable / writable memory of the wireless IC tag. 54. The program according to claim 53, which is a value H (T i )) u obtained by exclusive OR with a bit sequence u of distribution history information. 前記コンピュータをさらに、(u<ni)?gi(u)=u^{ei}
mod ni: gi(u)=uと定義される関数をgi(u)とするとき、h(H(Ti-1○φ-1(gi-1(φ(gi-1(ui-1)))))… ))))))))) = vi-1が成立することにより、前記製品が1つ前の拠点から正しく経緯してきたものと判断する署名検証手段、として機能させることを特徴とする請求項54記載のプログラム。
The computer is further (u <n i )? G i (u) = u ^ {e i }
mod n i : When a function defined as g i (u) = u is g i (u), h (H (T i-1 ○ φ -1 (g i-1 (φ (g i-1 (u i-1 ))))) ...)))))))))))))) =) Signature verification that the product is judged to have been correctly developed from the previous location when v i-1 is satisfied. 55. The program according to claim 54, wherein the program is made to function as a means.
製品の流通経緯を管理するために製品またはそのパッケージに付加される無線ICタグにおいて、製品の流通経路上の各拠点に備わるリーダライタとの間で情報を送受信する送受信部と、自無線ICタグ固有の識別番号を記憶する読み出し専用メモリと、流通経緯情報を記憶する読み書き可能なメモリとを備え、最初の拠点に流通した際にはその拠点に備わるリーダライタによって、前記識別番号またはそれから導出した値に対してその拠点の秘密鍵で署名された署名文が前記流通経緯情報として前記読み書き可能なメモリに書き込まれ、最初の拠点以外の拠点に流通した際にはその拠点に備えるリーダライタによって、前記読み書き可能なメモリに書き込まれている流通経緯情報またはそれから導出した情報に対してその拠点の秘密鍵で署名された署名文が新たな流通経緯情報として導出されて、前記読み書き可能なメモリに書き込まれていた元の流通経緯情報が置き換えられるものであることを特徴とする無線ICタグ。   In a wireless IC tag attached to a product or its package to manage the distribution process of the product, a transmission / reception unit that transmits / receives information to / from a reader / writer at each site on the product distribution route, and a self-wireless IC tag It has a read-only memory that stores a unique identification number and a readable / writable memory that stores distribution history information. When distributed to the first site, it is derived from the identification number or from it by a reader / writer provided at that site. A signature sentence signed with the secret key of the base for the value is written in the readable / writable memory as the distribution history information, and when distributed to a base other than the first base, by a reader / writer provided for the base, The distribution history information written in the readable / writable memory or information derived therefrom is signed with the secret key of the base. The wireless IC tag is characterized in that the signature text is derived as new distribution history information and the original distribution history information written in the readable / writable memory is replaced.
JP2006547916A 2004-11-29 2005-11-28 Distribution history authentication system, distribution history authentication method, reader / writer, program, wireless IC tag Expired - Fee Related JP4993076B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006547916A JP4993076B2 (en) 2004-11-29 2005-11-28 Distribution history authentication system, distribution history authentication method, reader / writer, program, wireless IC tag

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2004343702 2004-11-29
JP2004343702 2004-11-29
JP2006547916A JP4993076B2 (en) 2004-11-29 2005-11-28 Distribution history authentication system, distribution history authentication method, reader / writer, program, wireless IC tag
PCT/JP2005/021822 WO2006057390A1 (en) 2004-11-29 2005-11-28 Distribution channel authenticating system and distribution channel authenticating method

Publications (2)

Publication Number Publication Date
JPWO2006057390A1 true JPWO2006057390A1 (en) 2008-08-07
JP4993076B2 JP4993076B2 (en) 2012-08-08

Family

ID=36498123

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006547916A Expired - Fee Related JP4993076B2 (en) 2004-11-29 2005-11-28 Distribution history authentication system, distribution history authentication method, reader / writer, program, wireless IC tag

Country Status (2)

Country Link
JP (1) JP4993076B2 (en)
WO (1) WO2006057390A1 (en)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4806303B2 (en) * 2006-07-03 2011-11-02 Necパーソナルプロダクツ株式会社 Article management system, article management method, information processing terminal, and information recording medium
US9013266B2 (en) * 2006-09-08 2015-04-21 Certicom Corp. Authenticated radio frequency identification and key distribution system therefor
GB0704963D0 (en) * 2007-03-14 2007-04-25 British Telecomm Verification of movement of items
GB0704900D0 (en) * 2007-03-14 2007-04-18 British Telecomm Verification of movement of items
CN104735059B (en) * 2015-03-04 2018-07-10 上海鸿研物流技术有限公司 The wireless authentication method and device of recyclable physical distribution apparatus
JP7009743B2 (en) * 2017-01-23 2022-01-26 凸版印刷株式会社 Wireless communication devices and information communication systems
CN109615034B (en) * 2018-11-20 2022-06-17 广州市格利网络技术有限公司 Information tracing method and device for reusable catering tool

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000250408A (en) * 1999-03-01 2000-09-14 Ntt Data Corp File authentication system, system and method for signature, system and method for authentication, and recording medium
JP2004043143A (en) * 2002-07-12 2004-02-12 Matsushita Electric Ind Co Ltd Meat distribution non-contact type ic tag management system and meat distribution non-contact type ic tag management method

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09251268A (en) * 1996-03-15 1997-09-22 Matsushita Electric Ind Co Ltd Multiple digital signature system
JP2005242530A (en) * 2004-02-25 2005-09-08 Hitachi Ltd History recording system, history recording method, history recording program and terminal for receipt transferer

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000250408A (en) * 1999-03-01 2000-09-14 Ntt Data Corp File authentication system, system and method for signature, system and method for authentication, and recording medium
JP2004043143A (en) * 2002-07-12 2004-02-12 Matsushita Electric Ind Co Ltd Meat distribution non-contact type ic tag management system and meat distribution non-contact type ic tag management method

Also Published As

Publication number Publication date
JP4993076B2 (en) 2012-08-08
WO2006057390A1 (en) 2006-06-01

Similar Documents

Publication Publication Date Title
JP4993076B2 (en) Distribution history authentication system, distribution history authentication method, reader / writer, program, wireless IC tag
CN107274139B (en) Bill data management method and computer-readable medium
JP5260523B2 (en) Radio frequency identification (RFID) authentication and key distribution system therefor
US11909887B2 (en) Architecture for secure IoT interactions
US9858569B2 (en) Systems and methods in support of authentication of an item
JP2004029984A (en) Electronic tag intrinsic number management system and processing system therefor
CN113538004B (en) Asset management record and storage and collection system and method based on blockchain
US20180357603A1 (en) Systems and methods for delivering retail items
CN111460525B (en) Block chain-based data processing method, device and storage medium
CN111641631B (en) Bin bill verification method and system based on block chain bin bill platform
KR20070003830A (en) System and method for generating collision-free identifiers for financial transaction cards
US20120099725A1 (en) Method of generating id with guaranteed validity, and validity legitimacy guarantying rfid tag
US20100148935A1 (en) Duplication detection for non-cryptographic rfid tags using encrypted traceability information
CN111630544A (en) Method and system for controlling distribution of products in computer network
CN112669141A (en) Block chain intelligent contract mechanism-based warehouse receipt pledge method for bulk commodities
US20060265594A1 (en) Documentation of service measures on a motor vehicle
JP4843960B2 (en) Tag authentication system, authentication device, and tag authentication method
CN117574939A (en) Real asset right determining method based on RFID technology and application thereof
KR20140140552A (en) External log storage in an asset storage and transfer system
KR100883147B1 (en) Personal Identity And Settlement system For Service Using RFID
CN114780992A (en) Method, system and equipment for managing supply chain of electronic mall
CN110798321B (en) Article information service method based on block chain
CN114830599A (en) Managing physical objects using encrypted anchors
JP4564851B2 (en) Tag information verification method and program
US20220200790A1 (en) Data recording apparatus, data recording method, recording medium having recorded thereon data recording program, system, method, and recording medium having recorded thereon program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081016

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111026

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120125

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120228

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120316

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120411

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120424

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150518

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4993076

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees