WO2016207944A1

WO2016207944A1 - 真贋判定装置、及び真贋判定方法

Info

Publication number: WO2016207944A1
Application number: PCT/JP2015/067862
Authority: WO
Inventors: 伊藤　隆; 米田　健; 松田　規; 充洋服部; 貴人平野
Original assignee: 三菱電機株式会社
Priority date: 2015-06-22
Filing date: 2015-06-22
Publication date: 2016-12-29
Also published as: TWI590637B; TW201701610A; JPWO2016207944A1; CN107710675A; JP6386181B2

Abstract

本発明は、機器が正規品か模倣品かを判定する真贋判定装置に関する。　真贋判定装置は、真贋が判定される判定対象装置の固有の情報を示す装置情報を記憶する装置情報記憶部と、装置情報に対する署名を記憶する署名記憶部と、署名を生成した生成鍵に対応する検証鍵を導出する情報である鍵情報を記憶する鍵情報記憶部と、鍵情報を用いて検証鍵を導出する検証鍵導出部と、検証鍵導出部により導出された検証鍵を用いて装置情報と署名との組の正当性を検証する署名検証部と、署名検証部が検証した正当性に基づいて判定対象装置の真贋を判定する判定部とを備える。

Description

真贋判定装置、及び真贋判定方法

　本発明は、機器が正規品か模倣品かを判定する真贋判定装置に関する。

　機器の製造技術の発達に伴い、正規の機器に見せかけた模倣品の製造も比較的容易となったため、正規品と模倣品を見分けるための真贋判定技術の重要性が増している。真贋判定に利用できる技術の一つとしてＰＵＦ（Ｐｈｙｓｉｃａｌ　Ｕｎｃｌｏｎａｂｌｅ　Ｆｕｎｃｔｉｏｎ）技術が提案されている。ＰＵＦ技術では、同一の設計で製造された全く同じ回路でも、製造ばらつきが必ず存在することを利用し、全く同じ回路から、回路が搭載される個別の集積回路チップごとに異なる値を生成することを可能とする。さらに、この製造ばらつきは人工的に制御や複製をすることが難しいため、正規品に見せかけた模倣品の製造防止に有効である。特許文献１では、ＰＵＦ技術を用いて秘密情報を復元する集積回路を利用することで、回路の複製を防止し、安全な認証を実現する方法が開示されている。

特開２０１０－２２６６０３号公報

　特許文献１の方法は、正当な集積回路に対し、複製された場合に複製品が正規品ではないと見分けることにより、集積回路の複製を防止する機能を提供している。しかし、集積回路を含む機器に対し、集積回路は正当なものを利用しつつ、正当な集積回路以外の部分は別の複製品で構成したような機器については、模倣を検出することができない。従って、例えば、低額な機器を正規に入手し、その外観だけを高額な機器のように見せかける再構成を行なって、これを高額な機器として転売するなどの不正が防げないという課題があった。

　本発明は、上記の課題を解決するためになされたもので、集積回路を含む機器全体に関する装置固有の装置情報を利用して検証を行なうことで、正規品の部品を利用した模倣品の製造を困難にする真贋判定装置を実現することを目的とする。

　上記で述べた課題を解決するため、本発明の真贋判定装置は、真贋が判定される判定対象装置の固有の情報を示す装置情報を記憶する装置情報記憶部と、前記装置情報に対する署名を記憶する署名記憶部と、前記署名を生成した生成鍵に対応する検証鍵を導出する情報である鍵情報を記憶する鍵情報記憶部と、前記鍵情報を用いて前記検証鍵を導出する検証鍵導出部と、前記検証鍵導出部により導出された前記検証鍵を用いて前記装置情報と前記署名との組の正当性を検証する署名検証部と、前記署名検証部が検証した前記正当性に基づいて前記判定対象装置の真贋を判定する判定部とを備える。

　本発明によれば、集積回路を含む機器全体に関する装置固有の情報を利用して検証することにより、正規品の部品を利用した模倣品の製造を困難にするという効果が得られる。

実施の形態１に係る真贋判定装置を判定対象装置に適用する場合の構成を示す図である。実施の形態１に係る真贋判定装置の一構成例を示す図である。真贋判定装置１のハードウェア構成の一例を示す図である。実施の形態１に係る判定情報登録装置３の一構成例を示す図である。判定情報登録装置３のハードウェア構成の一例を示す図である。装置情報記憶部２５に記憶されている装置情報の一例を示す図である。実施の形態１に係る判定情報登録装置３の動作の流れを示すフローチャートである。実施の形態１に係る真贋判定装置１の動作の流れを示すフローチャートである。実施の形態２に係る真贋判定装置１の一構成例を示す図である。実施の形態２に係る判定情報登録装置３の一構成例を示す図である。実施の形態２に係る第二判定装置５８の一構成例を示す図である。署名鍵対記憶部５７に記憶されている第二生成鍵ｋｓ２と第二検証鍵ｋｖ２のペアの一例を示す図である。実施の形態２に係る判定情報登録装置３の動作の流れを示すフローチャートである。実施の形態２に係る真贋判定装置１の動作の流れを示すフローチャートである。

実施の形態１．
　図１は、実施の形態１に係る真贋判定装置１を判定対象装置２に適用する場合の構成を示す図である。
　図１において、真贋判定装置１は、真贋の判定対象となる判定対象装置２に備えられる。真贋判定装置１は、判定対象装置２が正当な装置であることを、判定対象装置２固有の署名検証鍵を利用して証明する真贋判定機能を持つ。真贋判定装置１には、判定対象装置２が工場で製造される際に、判定情報登録装置３によって、真贋を判定するための判定情報が登録される。その後、判定情報が登録された真贋判定装置１を備えた判定対象装置２が、製品として工場から出荷される。

　次に、実施の形態１に係る真贋判定装置１の構成を説明する。
　図２は、実施の形態１に係る真贋判定装置１の一構成例を示す図である。
　図２において、セキュア回路２０は、悪意を持った攻撃者による自由なアクセスを防ぐための耐タンパ性を持つ回路であり、特に、後述する検証鍵に対するセキュア回路２０外からのアクセスを防ぐための回路である。セキュア回路２０は、例えば、集積回路であるＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）チップによって実現できる。

　鍵情報記憶部２１は、検証鍵導出部２２が検証鍵を導出するために必要な鍵情報を記憶するメモリである。鍵情報記憶部２１は、検証鍵をデジタルデータとして単純に記憶するだけであっても良いし、検証鍵導出部２２が鍵導出を行なう際に利用できる物理特性の情報などを記憶しても良い。また、検証鍵導出部２２が、毎回同じ検証鍵を導出するための補助情報を併せて記憶しても良い。なお、物理特性の情報などを利用した鍵導出処理は、既存のＰＵＦ技術を用いて実現できる。

　検証鍵導出部２２は、鍵情報記憶部２１が記憶する鍵情報を用いて、判定対象装置２固有の情報である検証鍵を導出する。検証鍵導出部２２は、鍵情報記憶部２１にデジタルデータとして格納されている検証鍵を単純に読み出すだけの処理であっても良いし、鍵情報記憶部２１に記憶されている物理特性の情報などを利用し、判定対象装置２固有の情報として検証鍵を導出しても良い。なお、検証鍵導出部２２を用いた鍵導出を複数回実行すると、毎回、同じ検証鍵が導出される。物理特性を利用して鍵導出を行なう場合、物理特性は誤差を持つ可能性があるため、検証鍵導出部２２は、誤差を修正して、毎回、同じ検証鍵を導出するための仕組みを備えていても良い。この仕組みは、既存の符号化技術である誤り訂正を用いて実現できる。

　署名検証部２３は、検証鍵導出部２２が導出した検証鍵を利用して、署名検証処理を行なう。この署名検証処理は、既存の暗号技術である署名検証技術を用いて実現できる。

　通信部２４は、セキュア回路２０の外部にある通信部２８と通信を行なう通信モジュールである。

　装置情報記憶領部２５は、判定対象装置２に固有の情報である装置情報を記憶するメモリである。装置情報の例としては、判定対象装置２の装置名、製造年月日、シリアル番号などのテキスト情報や、装置外観などの画像情報が挙げられる。

　署名記憶部２６は、装置情報記憶領部２５が記憶する装置情報に対し、検証鍵導出部２２が導出する検証鍵と対になる生成鍵で署名生成処理を行なった結果である署名情報を記憶するメモリである。

　判定部２７は、署名記憶部２６が記憶する署名情報が、装置情報記憶部２５に記憶する装置情報に対する正しい署名情報であるかどうかを、セキュア回路２０の内部にある署名検証部２３を利用して判定する。

　通信部２８は、セキュア回路２０の内部にある通信部２４との通信や、判定対象装置２の外部との通信を行なう通信モジュールである。

　図３は、真贋判定装置１のハードウェア構成の一例を示す図である。
　真贋判定装置１はコンピュータであり、真贋判定装置１の各構成要素をプログラムで実現することができる。真贋判定装置１のハードウェア構成としては、バス３０に、メモリ３１、プロセッサ３２、セキュア回路３３、通信モジュール３４、入力インタフェース３５、ディスプレイ３６が接続されている。

　メモリ３１は、例えばＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）等の主記憶装置や、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）やフラッシュメモリ、ハードディスク装置等の外部記憶装置である。

　プロセッサ３２は、プログラムを実行するＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）等である。

　セキュア回路３３は、集積回路であるＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）チップであり、セキュア回路３３内部に、ソフトウェアにより実現される構成要素の演算処理を実行する演算回路と、ソフトウェアの実行プログラム、及びソフトウェアの実行プログラムが処理するデータや処理結果を記憶する内蔵メモリを備えている。

　通信モジュール３４は、データの通信処理を実行する電子回路であり、例えば通信ボード等である。

　入力インタフェース３５は、真贋判定装置１に対する入力データを処理するデバイスであり、例えば、タッチパネル、ハードウェアキー、マウス、キーボード等である。

　ディスプレイ３６は、真贋判定装置１による真贋判定結果の出力データを表示するデバイスである。

　プログラムは、通常はメモリ３１、またはセキュア回路３３内部の内蔵メモリに記憶されており、プロセッサ３２、またはセキュア回路３３内部の演算回路に読み込まれ、実行される。このプログラムは、真贋判定装置１を構成する検証鍵導出部２２、署名検証部２３、通信部２４、判定部２７、通信部２８として説明している機能を実現するプログラムである。

　更に、メモリ３１の外部記憶装置には、オペレーティングシステム（ＯＳ）も記憶されており、ＯＳの少なくとも一部が主記憶装置にロードされ、プロセッサ３２は、ＯＳを実行しながら、上記プログラムを実行する。

　また、以下の実施の形態の説明において、鍵情報記憶部２１、装置情報記憶部２５、署名記憶部２６が記憶する情報やデータ、検証鍵導出部２２、署名検証部２３、通信部２４、判定部２７、通信部２８の処理の結果を示す情報やデータや信号値や変数値が、メモリ３１にファイルとして記憶されている。

　なお、図３の構成は、あくまでも装置のハードウェア構成の一例を示すものであり、各置のハードウェア構成は図３に記載の構成に限らず、他の構成であってもよい。

　図４は、実施の形態１に係る判定情報登録装置３の一構成例を示す図である。
　図４において、署名鍵対生成部４０は、デジタル署名の利用に必要な、署名の生成鍵と検証鍵のペアを生成する。この生成鍵と検証鍵のペアを生成する処理は、既存の暗号技術である公開鍵暗号技術を用いて実現できる。例えば、署名の生成鍵としてＲＳＡ暗号の秘密鍵が生成され、署名の検証鍵として秘密鍵と対になるＲＳＡ暗号の公開鍵が生成される。

　署名生成部４１は、署名鍵対生成部４０が生成した生成鍵を利用して、与えられた入力に対するデジタル署名である署名情報を生成する。この署名情報の生成処理は、既存の暗号技術である公開鍵暗号技術を用いて実現できる。

　判定情報登録部４３は、署名鍵対生成部４０が生成した検証鍵や、署名生成部４１が生成した署名情報などを、判定対象装置２に登録する。

　通信部４２は、判定情報登録装置３の外部との通信を行なう。

　図５は、判定情報登録装置３のハードウェア構成の一例を示す図である。
　判定情報登録装置３はコンピュータであり、判定情報登録装置３の各構成要素をプログラムで実現することができる。判定情報登録装置３のハードウェア構成としては、バス５０に、メモリ５１、プロセッサ５２、通信モジュール５３、入力インタフェース５４、ディスプレイ５５が接続されている。

　メモリ５１は、例えばＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）等の主記憶装置や、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）やフラッシュメモリ、ハードディスク装置等の外部記憶装置である。

　プロセッサ５２は、プログラムを実行するＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）等である。

　通信モジュール５３は、データの通信処理を実行する電子回路であり、例えば通信ボード等である。

　入力インタフェース５４は、判定情報登録装置３に対する入力データを処理するデバイスであり、例えば、タッチパネル、ハードウェアキー、マウス、キーボード等である。

　ディスプレイ３６は、判定情報登録装置３による登録処理状況などの出力データを表示するデバイスである。

　プログラムは、通常はメモリ５１に記憶されており、プロセッサ５２に読み込まれ、実行される。このプログラムは、判定情報登録装置３を構成する署名鍵対生成部４０、署名生成部４１、通信部４２、判定情報登録部４３として説明している機能を実現するプログラムである。

　更に、メモリ５１の外部記憶装置には、オペレーティングシステム（ＯＳ）も記憶されており、ＯＳの少なくとも一部が主記憶装置にロードされ、プロセッサ５２は、ＯＳを実行しながら、上記プログラムを実行する。

　また、以下の実施の形態の説明において、署名鍵対生成部４０、署名生成部４１、通信部４２、判定情報登録部４３の処理の結果を示す情報やデータや信号値や変数値が、メモリ５１にファイルとして記憶されている。

　なお、図５の構成は、あくまでも装置のハードウェア構成の一例を示すものであり、各置のハードウェア構成は図５に記載の構成に限らず、他の構成であってもよい。

　次に、実施の形態１に係る真贋判定装置１の動作の流れを説明する。真贋判定装置１の動作は、（１）真贋判定情報の登録処理、（２）真贋判定処理、の二つの処理に大別される。以下、それぞれの処理について、フローチャートを参照しながら説明する。なお、装置間における情報の送受信には各装置の通信部が利用される。

（１）真贋判定情報の登録処理
　真贋判定情報の登録処理では、判定情報登録装置３が、真贋判定対象となる判定対象装置２に備えられている真贋判定装置１に対し、真贋判定に必要な情報である判定情報の登録を行なう。なお、本実施の形態では、本登録処理の前に、判定対象装置２が製造され、当該装置に関する情報である装置情報が、装置情報記憶部２５に記憶されているものとする。
　図６は、装置情報記憶部２５に記憶されている装置情報の一例を示す図である。
　図６において、装置情報は、装置名がＡＢＣ－ｄｅｖｉｃｅ、製造年月日が２０１５年１月１６日、シリアル番号が０１２３４５である例を示している。

　図７は、実施の形態１に係る判定情報登録装置３の動作の流れを示すフローチャートである。
　まず、ステップＳ１００において、判定情報登録装置３の署名鍵対生成部４０が、デジタル署名の利用に必要な、署名の生成鍵ｋｓ１と検証鍵ｋｖ１のペアを生成する。署名の生成鍵ｋｓ１と検証鍵ｋｖ１の生成処理では、例えば、以下のような鍵生成アルゴリズムを実行する。
＜鍵生成アルゴリズム＞
Ｓｔｅｐ１：　十分大きな素数ｐ，ｑを生成し、ｎ＝ｐｑとする。
Ｓｔｅｐ２：　φをオイラーのφ関数とし、φ（ｎ）未満でφ（ｎ）と互いに素な正数ｅを選ぶ。
Ｓｔｅｐ３：　ｄｅ＝１　（ｍｏｄ　φ（ｎ））となる正数ｄを求める。
Ｓｔｅｐ４：　ｄを、秘密情報である生成鍵として決定し、ｅ，ｎを、公開情報である検証鍵として決定する。

　次に、ステップＳ１０１において、署名生成部４１が、通信部４２を介して、真贋判定装置１の装置情報記憶部２５から装置情報ｍを取得する。具体的には、署名生成部４１は、真贋判定装置１の通信部２８に対して、装置情報ｍの取得要求を送信し、通信部２８は、判定部２７を介して装置情報記憶部２５に記憶されている装置情報ｍを取得し、判定情報登録装置３の通信部４２に装置情報ｍを送信して、通信部４２が、受信した装置情報ｍを署名生成部４１に送信する。

　次に、ステップＳ１０２において、署名生成部４１は、署名の生成鍵ｋｓ１で以下の署名生成演算Ｆｓを行ない、署名情報ｓ１を生成する。
＜署名生成演算＞
　ｓ１＝Ｆｓ（ｍ，ｄ）＝ｍ^ｄ　（ｍｏｄ　ｎ）
　ただし、ｍ：装置情報、ｄ：秘密情報、ｎ：公開情報とする。
　ここで、ｄ＝ｋｓ１であるので、
　ｓ１＝Ｆｓ（ｍ，ｋｓ１）＝ｍ^ｋｓ１　（ｍｏｄ　ｎ）

　なお、装置情報ｍは、例えば、装置情報記憶部２５が記憶する個々の情報の連結で与える。図６の例では、装置情報ｍは、装置名のＡＢＣ－ｄｅｖｉｃｅ、製造年月日の２０１５０１１６、シリアル番号の０１２３４５の情報を連結して、ＡＢＣ－ｄｅｖｉｃｅ２０１５０１１６０１２３４５とする。

　次に、ステップＳ１０３において、判定情報登録部４３が、判定対象装置２の鍵情報記憶部２１に、検証鍵ｋｖ１を導出するための鍵情報を登録する。鍵情報は、例えば、検証鍵ｋｖ１そのものを登録しても良いし、既存のＰＵＦ技術などを利用して、検証鍵導出部２１が鍵導出を行なう際に利用できる物理特性の情報などを記憶しても良い。

　最後に、ステップＳ１０４において、判定情報登録部４３が、署名情報ｓ１を、判定対象装置２の署名記憶部２６に登録する。具体的には、判定情報登録部４３は、通信部４２を介して、真贋判定装置１の通信部２８に対して、署名情報ｓ１の登録要求を署名情報ｓ１とともに送信し、通信部２８は、受信した署名情報ｓ１を、判定部２７を介して署名記憶部２６に記憶する。
　以上で、判定情報登録装置３は、真贋判定情報の登録処理を終了する。

（２）真贋判定処理
　真贋判定処理では、（１）の真贋判定情報の登録処理によって判定情報を登録された真贋判定装置１が、判定対象装置２が正当な装置であるかどうかを、判定対象装置２固有の検証鍵を利用して判定する。

　図８は、実施の形態１に係る真贋判定装置１の動作の流れを示すフローチャートである。
　まず、ステップＳ２００において、判定部２７が、装置情報記憶部２５が記憶する装置情報ｍと、署名記憶部２６が記憶する署名情報ｓ１を読み込む。

　次に、ステップＳ２０１において、判定部２７が、署名情報ｓ１が装置情報ｍに対する正しい署名情報であるかどうかの検証を、セキュア回路２０の内部にある署名検証部２３に依頼する。具体的には、判定部２７は、通信部２８を介して、セキュア回路２０の内部にある通信部２４に対して、署名情報ｓ１と装置情報ｍの検証要求を署名情報ｓ１と装置情報ｍとともに送信し、通信部２４は、署名検証部２３に、受信した検証要求を署名情報ｓ１と装置情報ｍとともに送信して、検証を依頼する。また、署名検証部２３は、検証鍵導出部２２に、検証に必要な検証鍵ｋｖ１の導出を依頼する。

　次に、ステップＳ２０２において、セキュア回路２０の内部にある検証鍵導出部２２が、鍵情報記憶部２１が記憶する鍵情報を用いて、判定対象装置２固有の情報である検証鍵ｋｖ１を導出する。検証鍵ｋｖ１は、例えば、鍵情報記憶部２１に登録された検証鍵ｋｖ１そのものを使用しても良いし、既存のＰＵＦ技術などを利用して、鍵情報記憶部２１に登録された物理特性の情報などを使用して、鍵導出を行なっても良い。

　次に、ステップＳ２０３において、署名検証部２３が、検証鍵ｋｖ１で以下の署名検証演算Ｆｖを行なって、装置情報ｍと署名情報ｓ１との組の正当性を検証し、得られた検証結果ｒ１を判定部２７に送信する。
＜署名検証演算＞
　ｒ１＝Ｆｖ（ｍ、ｓ１、ｅ）＝「検証成功」（ｍ＝ｓ１^ｅ　（ｍｏｄ　ｎ）の場合）
　　　　　　　　　　　　　「検証失敗」（ｍ≠ｓ１^ｅ　（ｍｏｄ　ｎ）の場合）
　ただし、ｍ：装置情報、ｓ1：署名情報、ｅ、ｎ：公開情報（検証鍵ｋｖ１）とする。

　次に、ステップＳ２０４において、判定部２７が、署名検証部２３による検証結果ｒ１に基づいて、検証は成功したか否かを判定する。検証結果ｒ１が「検証成功」であれば、Ｙｅｓの分岐によりステップＳ２０５に進み、判定対象装置２が正当な装置であることを装置情報ｍとともに、例えばディスプレイ３６に出力する。検証結果ｒ１が「検証失敗」であれば、Ｎｏの分岐によりステップＳ２０６に進み、判定対象装置２が正当な装置でないことを装置情報ｍとともに、例えばディスプレイ３６に出力する。
　以上で、真贋判定装置１は、真贋判定処理を終了する。

　上記の真贋判定処理の終了後、判定者は、装置情報ｍが判定対象装置２と対応しており、かつ正当な装置であるとの判定結果が得られた場合のみ、判定対象装置２が正当であると判断する。

　以上のように、本実施の形態１の発明では、集積回路を含む機器全体に関する装置固有の装置情報を利用して検証を行なうことで、正規品の部品を利用した模倣品の製造を困難にすることができるという効果が得られる。装置情報ｍと署名情報ｓ１の対応は、検証鍵ｋｖ１を用いた場合のみ正当と判定され、また検証鍵ｋｖ１は、セキュア回路２０の外部からは自由にアクセスできないため、セキュア回路２０が完全に複製されない限り、正当な（ｍ，ｓ１）の組を使い回した模倣品は真贋判定にパスできない。そして、セキュア回路２０の完全な複製は、ＰＵＦ技術などによって阻止される。

　また、判定部２７の出力は装置情報ｍを含むため、正当な判定対象装置２をベースに装置名や外観だけを偽ろうとする攻撃者は、装置情報ｍを改ざんする必要があるが、本発明によれば、この改ざんをデジタル署名技術によって検出できる。なお、高額な判定対象装置２から正当な（ｍ，ｓ１）の組を入手し、これを低額な判定対象装置２の装置情報記憶部２５、署名記憶部２６に書き込んだとしても、これらの装置間では検証鍵が異なるため、真贋判定にパスすることはできない。

　なお、本実施の形態では、公開鍵暗号に基づくデジタル署名技術を用い、署名の生成鍵と検証鍵を別の値としているが、共通鍵暗号に基づくデジタル署名技術として、例えば、ＨＭＡＣ（Ｈａｓｈ－ｂａｓｅｄ　Ｍｅｓｓａｇｅ　Ａｕｔｈｅｎｔｉｃａｔｉｏｎ　Ｃｏｄｅ）などの技術を利用しても良い。この場合、署名の生成鍵と検証鍵は同一の値となる。

　また、本実施の形態では、上記（１）の真贋判定情報の登録処理の前に、判定対象装置２に関する装置情報が装置情報記憶部２５に格納されているとしたが、判定情報登録装置３が、判定対象装置２の装置情報記憶部２５に装置情報を格納しても良い。

　また、本実施の形態では、上記（２）の真贋判定処理で、判定者が装置情報ｍと判定対象装置２との対応を確認するが、これを自動化する機能を持たせても良い。特に、装置情報ｍが判定対象装置２の外観などの画像情報を含む場合、装置情報ｍが含む画像情報と、判定対象装置２をその場で撮影して得た画像情報とを機械的に照合し、外観の一致を自動で判定する機能を持たせても良い。

　また、本実施の形態では、判定対象装置２の装置情報ｍや署名情報は、装置情報記憶部２５や署名記憶部２６に電子的に記憶されていることを前提としているが、これらは、判定対象装置２の筐体に文字、バーコード、二次元コードなどの形で印字や表示がされていても良い。この場合、これらの情報は、それぞれの印字や表示に対応した適切な手段で判定部２７に入力する。このように、装置情報ｍや署名情報を判定対象装置２の筐体に印字や表示をすることにより、装置情報ｍや署名情報の読み取りと入力が容易になるという効果がある。

実施の形態２．
　実施の形態１の真贋判定処理は、真贋判定装置１の装置情報記憶部２５や署名記憶部２６を改ざんする攻撃者に対しては安全であるが、判定部２７も改ざんするような強力な攻撃者に対しては安全でない可能性がある。本実施の形態２では、真贋判定装置１内で導出される検証鍵とは異なる第二検証鍵を利用することにより、前述の強力な攻撃者に対しても安全な真贋判定装置１を実現する実施の形態を説明する。

　次に、実施の形態２に係る真贋判定装置１の構成を説明する。
　図９は、実施の形態２に係る真贋判定装置１の一構成例を示す図である。
　図９において、第二署名記憶部５６は、装置情報記憶部２５が記憶する装置情報に対し、判定情報登録装置３の署名鍵対記憶部５７が記憶する第二生成鍵で署名生成処理を行なった結果である第二署名情報を記憶するメモリである。図９におけるその他の構成については、実施の形態１の真贋判定装置１における同名の構成と同様であるため、説明は省略する。

　図１０は、実施の形態２に係る判定情報登録装置３の一構成例を示す図である。
　図１０において、署名鍵対記憶部５７は、真贋判定装置１の第二署名記憶部５６に記憶される第二署名情報を生成するための第二生成鍵と、第二署名情報を検証するための第二検証鍵をペアにして記憶するメモリである。図１０におけるその他の構成については、実施の形態１の判定情報登録装置３における同名の構成と同様であるため、説明は省略する。

　図１１は、実施の形態２に係る第二判定装置５８の一構成例を示す図である。
　図１１において、第二検証鍵記憶部６０は、真贋判定装置１の第二署名記憶部５６が記憶する第二署名情報を検証するための第二検証鍵を記憶するメモリである。

　署名検証部６１は、第二検証鍵記憶部６０が記憶する第二検証鍵を利用して、署名検証処理を行なう。この署名検証処理は、既存の暗号技術である署名検証技術を用いて実現できる。署名検証部６１は、第二署名検証部の一例である。

　判定部６２は、真贋判定装置１の第二署名記憶部５６が記憶する第二署名情報が、真贋判定装置１の装置情報記憶部２５が記憶する装置情報に対する正しい署名情報であるかどうかを、署名検証部６１を利用して判定する。判定部６２は、第二判定部の一例である。

　通信部５９は、第二判定装置５８の外部との通信を行なう通信モジュールである。

　また、第二判定装置５８のハードウェア構成は、図５に示すハードウェア構成と同様である。
　プログラムは、通常はメモリ５１に記憶されており、プロセッサ５２に読み込まれ、実行される。このプログラムは、第二判定装置５８を構成する通信部５９、署名検証部６１、判定部６２として説明している機能を実現するプログラムである。

　次に、実施の形態２に係る真贋判定装置１の動作の流れを説明する。真贋判定装置１の動作は、（１）システム全体の初期設定、（２）真贋判定用情報の登録処理、（３）検証鍵の登録処理、（４）真贋判定処理、の四つの処理に大別される。以下、それぞれの処理について説明する。なお、装置間における情報の送受信には各装置の通信部が利用される。

（１）システム全体の初期設定
　システム全体の初期設定では、判定情報登録装置３の署名鍵対生成部４０が、デジタル署名の利用に必要な、署名の第二生成鍵ｋｓ２と第二検証鍵ｋｖ２のペアを生成し、署名鍵対記憶部５７に記憶する。
　図１２は、署名鍵対記憶部５７に記憶されている第二生成鍵ｋｓ２と第二検証鍵ｋｖ２のペアの一例を示す図である。

（２）真贋判定情報の登録処理
　真贋判定情報の登録処理は、（１）のシステム全体の初期設定の後に実行され、判定情報登録装置３が、真贋判定対象となる判定対象装置２に備えられた真贋判定装置１に対し、真贋判定に必要な情報である判定情報の登録を行なう。なお、実施の形態１と同様、本登録処理の前に、判定対象装置２が製造され、当該装置に関する情報である装置情報が、装置情報記憶部２５に格納されているものとする。装置情報の格納例は、図６に示す例と同様である。

　図１３は、実施の形態２に係る判定情報登録装置３の動作の流れを示すフローチャートである。
　まず、実施の形態１の（１）真贋判定情報の登録処理に関する図７のフローチャートに記載した全ての処理を同様に実行する。具体的には、図１３において、ステップＳ３００～Ｓ３０４までの処理を実行する。

　次に、ステップＳ３０５において、署名生成部４１は、署名の生成鍵ｋｓ２で以下の署名生成演算Ｆｓを行ない、署名情報ｓ２を生成する。
＜署名生成演算＞
　ｓ２＝Ｆｓ（ｍ，ｄ）＝ｍ^ｄ　（ｍｏｄ　ｎ）
　ただし、ｍ：装置情報、ｄ：秘密情報、ｎ：公開情報とする。
　ここで、ｄ＝ｋｓ２であるので、
　ｓ２＝Ｆｓ（ｍ，ｋｓ２）＝ｍ^ｋｓ2　（ｍｏｄ　ｎ）

　最後に、ステップＳ３０６において、判定情報登録部４３が、署名情報ｓ２を、判定対象装置２の第二署名記憶部５６に登録する。具体的には、判定情報登録部４３は、通信部４２を介して、真贋判定装置１の通信部２８に対して、署名情報ｓ２の登録要求を署名情報ｓ２とともに送信し、通信部２８は、受信した署名情報ｓ２を、第二署名記憶部５６に記憶する。
　以上で、判定情報登録装置３は、真贋判定情報の登録処理を終了する。

（３）検証鍵の登録処理
　検証鍵の登録処理は、（１）のシステム全体の初期設定の後に実行され、判定情報登録装置３が、真贋判定を実行する第二判定装置５８に対し、真贋判定に必要な情報である判定情報の登録を行なう。具体的には、判定情報登録装置３の通信部４２が、署名鍵対記憶部５７に記憶する第二検証鍵ｋｖ２を、第二判定装置５８に送信する。第二検証鍵ｋｖ２を受信した第二判定装置５８は、これを第二検証鍵記憶部６０に格納する。
　以上で、判定情報登録装置３は、第二判定装置５８に対する真贋判定情報の登録処理を終了する。

（４）真贋判定処理
　真贋判定処理では、（３）の検証鍵の登録処理によって第二検証鍵を登録された第二判定装置５８が、真贋判定装置１が備えられている判定対象装置２が正当な装置であるかどうかを、真贋判定装置１で導出される第一検証鍵、及び第二判定装置５８が記憶する第二検証鍵を利用して判定する。

　図１４は、実施の形態２に係る真贋判定装置１の動作の流れを示すフローチャートである。
　まず、ステップＳ４００～Ｓ４０４までの処理で、真贋判定装置１で導出される第一検証鍵を利用した判定を行なう。この処理は、実施の形態１の（２）の真贋判定処理に記載した処理と同様のため、詳細は省略する。

　次に、ステップＳ４０４において、判定部２７は、署名検証部２３による検証結果ｒ１に基づいて、検証は成功したか否かを判定する。検証結果ｒ１が「検証失敗」であれば、Ｎｏの分岐によりステップＳ４０５に進み、判定対象装置２が正当な装置でないことを装置情報ｍとともに、例えばディスプレイ３６に出力し、処理を終了する。検証結果ｒ１が「検証成功」であれば、Ｙｅｓの分岐によりステップＳ４０６に進む。

　次に、ステップＳ４０６において、第二判定装置５８の署名検証部６１は、真贋判定装置１から装置情報ｍと署名情報ｓ２を読み込む。具体的には、署名検証部６１は、通信部５９を介して、真贋判定装置１の通信部２８に対して装置情報ｍと署名情報ｓ２の取得要求を送信する。真贋判定装置１の通信部２８は、判定部２７を介して、装置情報記憶部２５が記憶する装置情報ｍを取得し、また、第二署名記憶部５６が記憶する署名情報ｓ２を取得して、第二判定装置５８の通信部５９に送信する。第二判定装置５８の通信部５９は、受信した装置情報ｍと署名情報ｓ２を、署名検証部６１に送信する。

　次に、ステップＳ４０７において、署名検証部６１は、検証鍵ｋｖ２で以下の署名検証演算Ｆｖを行なって、装置情報ｍと署名情報ｓ２との組の正当性を検証し、得られた検証結果ｒ２を判定部６２に送信する。
＜署名検証演算＞
　ｒ２＝Ｆｖ（ｍ、ｓ２、ｅ）＝「検証成功」（ｍ＝ｓ２^ｅ　（ｍｏｄ　ｎ）の場合）
　　　　　　　　　　　　　「検証失敗」（ｍ≠ｓ２^ｅ　（ｍｏｄ　ｎ）の場合）
　ただし、ｍ：装置情報、ｓ２：署名情報、ｅ、ｎ：公開情報（検証鍵ｋｖ２）とする。

　次に、ステップＳ４０８において、判定部６２が、署名検証部６１による検証結果ｒ２に基づいて、検証は成功したか否かを判定する。検証結果ｒ２が「検証成功」であれば、Ｙｅｓの分岐によりステップＳ４０９に進み、判定対象装置２が正当な装置であることを装置情報ｍとともに、例えばディスプレイ５５に出力する。検証結果ｒ２が「検証失敗」であれば、Ｎｏの分岐によりステップＳ４０５に進み、判定対象装置２が正当な装置でないことを装置情報ｍとともに、例えばディスプレイ５５に出力する。
　以上で、真贋判定装置１は、真贋判定処理を終了する。

　以上のように、本実施の形態２の発明では、装置情報ｍと署名情報ｓ２の対応を、判定対象装置２の外部に存在する第二検証鍵ｋｖ２を用いて確認するため、実施の形態１に記載した効果に加え、真贋判定装置１の判定部２７を改ざんするような強力な攻撃者が存在する場合でも、模倣品を正しく検出できるという効果がある。なお、実施の形態１に記載した実施のバリエーションは、本実施の形態２についても同様に適用可能である。

　また、本実施の形態２は、判定対象装置が複数存在する場合は、判定情報登録装置２が、全ての判定対象装置で共通の第二生成鍵と第二検証鍵を利用する実施の形態であるが、判定対象装置ごとに異なる第二生成鍵と第二検証鍵を生成しても良い。ただし、この場合は、第二判定装置５８の第二検証鍵記憶部６０が、複数の第二検証鍵を、各判定対象装置と対応付けた形で記憶する。

　また、本実施の形態２では、署名情報ｓ１と署名情報ｓ２で同一のデジタル署名アルゴリズムを利用しているが、異なるデジタル署名アルゴリズムを利用しても良い。

　また、本実施の形態２では、判定情報登録装置３と第二判定装置５８を別々の装置としているが、一つの装置で両方の機能を兼ねるようにしても良い。

　また、本実施の形態２では、各装置間の通信手段について特に言及していないが、（４）の真贋判定処理において、真贋判定装置１と第二判定装置５８との間は、例えば、インターネットを介して通信を行なっても良い。すなわち、第二判定装置５８が、例えば、ｗｅｂサーバ上に置かれ、真贋判定装置１がインターネットを介して、第二判定装置５８に真贋判定を依頼しても良い。

　また、本実施の形態２では、第二判定装置５８が第二検証鍵のみを記憶しているが、判定対象装置２に関する追加情報を記憶していても良い。例えば、真贋判定装置１が保持する装置情報が、装置名などのテキスト情報のみである場合に、第二判定装置５８が、装置名と外観画像などの対応情報を記憶し、判定部６２が装置情報を出力する際に、対応する外観画像などを併せて出力しても良い。

　また、本実施の形態２では、（４）の真贋判定処理において、検証結果ｒ１が「検証失敗」となり、正当な装置でないと判定した時点で処理を終了しているが、そのまま、第二検証鍵を利用した判定も行ない、全ての判定結果を詳細に出力しても良い。

１　真贋判定装置、２　判定対象装置、３　判定情報登録装置、２０　３３　セキュア回路、２１　鍵情報記憶部、２２　検証鍵導出部、２３　６１　署名検証部、２４　２８　４２　５９　通信部、２５　装置情報記憶部、２６　署名記憶部、２７　６２　判定部、３０　、５０　バス、３１　５１　メモリ、３２　５２　プロセッサ、３４　５３　通信モジュール、３５　５４　入力インタフェース、３６　５５　ディスプレイ、４０　署名鍵対生成部、４１　署名生成部、４３　判定情報登録部、５６　第二署名記憶部、５７　署名鍵対記憶部、５８　第二判定装置、６０　第二検証鍵記憶部。

Claims

真贋が判定される判定対象装置の固有の情報を示す装置情報を記憶する装置情報記憶部と、
　前記装置情報に対する署名を記憶する署名記憶部と、
　前記署名を生成した生成鍵に対応する検証鍵を導出する情報である鍵情報を記憶する鍵情報記憶部と、
　前記鍵情報を用いて前記検証鍵を導出する検証鍵導出部と、
　前記検証鍵導出部により導出された前記検証鍵を用いて前記装置情報と前記署名との組の正当性を検証する署名検証部と、
　前記署名検証部が検証した前記正当性に基づいて前記判定対象装置の真贋を判定する判定部と
を備える真贋判定装置。
前記鍵情報記憶部と前記検証鍵導出部と前記署名検証部とが、耐タンパ性を持つセキュア回路に格納された請求項１記載の真贋判定装置。
前記鍵情報記憶部は、ＰＵＦ（Ｐｈｙｓｉｃａｌ　Ｕｎｃｌｏｎａｂｌｅ　Ｆｕｎｃｔｉｏｎ）により前記セキュア回路の物理特性を用いて生成された前記セキュア回路に固有の前記鍵情報を記憶し、
　前記検証鍵導出部は、前記ＰＵＦにより生成された前記鍵情報を用いて前記検証鍵を導出する請求項２記載の真贋判定装置。
前記署名の前記生成鍵と前記検証鍵とのペアを生成する署名鍵対生成部と、
　前記装置情報と前記署名鍵対生成部が生成した前記生成鍵とを用いて前記署名を生成する署名生成部と、
　前記署名鍵対生成部が生成した前記検証鍵を導出する情報である前記鍵情報を前記鍵情報記憶部に登録し、前記署名生成部が生成した前記署名を前記署名記憶部に登録する判定情報登録部とを備える判定情報登録装置を備える請求項１記載の真贋判定装置。
前記真贋判定装置は、前記署名とは異なる第二署名を前記装置情報に対して記憶する第二署名記憶部を備え、
　前記検証鍵とは異なる第二検証鍵を記憶する第二検証鍵記憶部と、
　前記第二検証鍵を用いて前記装置情報と前記第二署名との組の正当性を検証する第二署名検証部と、
　前記第二署名検証部が検証した前記正当性に基づいて前記判定対象装置の真贋を判定する第二判定部とを備える第二判定装置
を備える請求項１記載の真贋判定装置。
前記判定情報登録装置は、
　前記署名鍵対生成部が、前記生成鍵と前記検証鍵とは異なる第二生成鍵と第二検証鍵とのペアを生成し、
　前記署名生成部が、前記装置情報と前記署名鍵対生成部が生成した前記第二生成鍵とを用いて第二署名を生成し、
　前記判定情報登録部は、前記署名鍵対生成部が生成した前記第二検証鍵を前記第二判定装置の前記第二検証鍵記憶部に登録し、前記署名生成部が生成した前記第二署名を真贋判定装置の前記第二署名記憶部に登録する請求項５記載の真贋判定装置。
前記装置情報と前記署名とを前記判定対象装置の筐体に表示する請求項１記載の真贋判定装置。
真贋が判定される判定対象装置の固有の情報を示す装置情報と、前記装置情報に対する署名と、前記署名を生成した生成鍵に対応する検証鍵を導出する情報である鍵情報とを記憶し、前記判定対象装置の真贋を判定する真贋判定装置の真贋判定方法であって、
　検証鍵導出部が、前記鍵情報を用いて前記検証鍵を導出する検証鍵導出ステップと、
　署名検証部が、前記検証鍵導出ステップにより導出された前記検証鍵を用いて前記装置情報と前記署名との組の正当性を検証する署名検証ステップと、
　判定部が、前記署名検証ステップが検証した前記正当性に基づいて前記判定対象装置の真贋を判定する判定ステップとを備える真贋判定方法。