WO2020202739A1 - 情報処理システム、情報処理方法、およびプログラム - Google Patents
情報処理システム、情報処理方法、およびプログラム Download PDFInfo
- Publication number
- WO2020202739A1 WO2020202739A1 PCT/JP2020/002754 JP2020002754W WO2020202739A1 WO 2020202739 A1 WO2020202739 A1 WO 2020202739A1 JP 2020002754 W JP2020002754 W JP 2020002754W WO 2020202739 A1 WO2020202739 A1 WO 2020202739A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- information
- work machine
- key information
- processing system
- information processing
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/38—Services specially adapted for particular environments, situations or purposes for collecting sensor information
Definitions
- the present invention relates to an information processing system, an information processing method, and a program for exchanging information between a work machine and an external device.
- Patent Document 1 describes a technique for exchanging information between a work machine and an external device provided outside the work machine.
- security measures are not taken for the information exchanged between the external device and the work machine.
- key information is required when some kind of security measure is taken for the information exchanged between the external device and the work machine.
- it is not easy to generate key information with a work machine. For example, it is costly to provide a random number generator for generating key information in a work machine.
- the controller (computer) mounted on the work machine may not have the processing power suitable for generating the key information.
- an object of the present invention is to provide an information processing system, an information processing method, and a program that can easily generate key information with a work machine.
- the information processing system includes a sensor and a key information generation unit.
- the sensor is provided on the work machine.
- the key information generation unit is provided in the work machine and generates key information based on the sensor value input from the sensor.
- the key information is used for exchanging information between the work machine and an external device provided outside the work machine.
- the information processing method includes a step of generating key information based on a sensor value input from a sensor provided in a work machine.
- the key information is used for exchanging information between the work machine and an external device provided outside the work machine.
- the program according to still another aspect of the present invention causes a computer to perform a step of generating key information based on a sensor value input from a sensor provided in a work machine.
- the key information is used for exchanging information between the work machine and an external device provided outside the work machine.
- FIG. 1 It is a block diagram of the information processing system 1 of 1st Embodiment. It is a figure which looked at the work machine 40 shown in FIG. 1 from the side. It is a figure which shows the sensor 70 and the key information generation part 61 shown in FIG. It is a sequence diagram of the key information generation phase of the information processing system 1 shown in FIG. It is a sequence diagram of the encryption / decryption phase of the information processing system 1 shown in FIG. It is a flowchart of the key information generation phase of the external device 10 shown in FIG. It is a flowchart of the key information generation phase of the work machine 40 shown in FIG. It is a flowchart of the encryption / decryption phase of the external device 10 shown in FIG.
- the information processing system 1 is a system that processes information exchanged (transmitted / received) between the external device 10 (computer) and the work machine 40.
- the information processing system 1 may be an information encryption system, an information tampering detection system (see the third embodiment or the like), or an information user authentication system (see the fifth embodiment or the like).
- the information processing system 1 includes an external device 10 and a work machine 40.
- the external device 10 is an external device of the work machine 40.
- the information exchanged between the external device 10 and the work machine 40 includes, for example, the control parameter P and the worker identification information (ID; peripheral).
- the control parameter P is a parameter for controlling the operation of the work machine 40.
- the control parameter P is, for example, the relationship between the operation amount of the operation lever 63b shown in FIG. 2 and the operating speed of the work machine 40, the priority of the operation when a plurality of operations of the operation lever 63b are performed, and the work machine 40. Includes configuration information, such as information about operational restrictions.
- the ID is information that uniquely identifies an operator (operator) who uses the work machine 40, such as an employee number.
- the external device 10 includes a device 20.
- the device 20 is a device (worker's device, worker's possession device) held by the worker. Each of the plurality of workers has a device 20.
- the device 20 may be a device capable of processing information or a device that only holds (stores) information.
- the device 20 capable of processing information is, for example, a smartphone, a tablet, a mobile phone, a notebook PC (personal computer), or the like.
- the device 20 that only holds information is, for example, an IC card (IC; integrated circuit) or a flash memory (for example, an SD memory card, a USB (Universal Serial Bus) flash drive, or the like).
- IC card IC
- SD memory card Secure Digital Memory
- USB Universal Serial Bus
- the device-side transmission / reception unit 21 (information transmission / reception device) transmits / receives information between the device 20 and the work machine 40. A specific communication method by the device-side transmission / reception unit 21 will be described later.
- the output unit 22 outputs a notification or the like to the operator.
- the output unit 22 outputs, for example, at least one of display and audio.
- the output unit 22 includes, for example, at least one of a display and a speaker. In the example shown in FIG. 1, the output unit 22 is a part of the device 20, but may be provided outside the device 20, for example, an external display or an external speaker connected to the device 20.
- the holding unit 23 holds (stores) and manages information.
- the holding unit 23 is composed of, for example, a non-volatile storage device.
- the holding unit 23 may be a part of the storage area of the storage device.
- the holding unit 23 includes a holding unit 23a that holds the control parameter P, and a holding unit 23b that holds the ID and the key information K (described later).
- the holding unit 23 has as high a tamper resistance as possible.
- the holding unit 23 may be composed of a TPM (Trusted Platform Module) or a TEE (Trusted Execution Environment).
- the region holding the key information K (holding portion 23b) has high tamper resistance.
- the part that processes various information (key information K, control parameter P, etc.) (for example, encryption unit 25, etc.) and the part that holds various information (for example, key information management unit 53, etc.), which will be described below, are also included.
- the tamper resistance is as high as possible.
- a digital signature may be attached to various information. The various information may be retained in an encrypted state.
- the encryption unit 25 (information encryption device) encrypts information (for example, control parameter P) using the key information K. The details of this encryption will be described later.
- the work machine 40 is composed of a machine that performs work.
- the work machine 40 may be, for example, a construction machine that performs construction work.
- This construction machine may be, for example, a shovel or a crane.
- the work machine 40 includes a lower traveling body 41, an upper rotating body 42, an attachment 43, an engine 44, a controller 50 shown in FIG. 1, an input device 63, and a sensor 70.
- the lower traveling body 41 travels the work machine 40.
- the upper swivel body 42 is mounted on the lower traveling body 41 so as to be swivelable.
- the upper swivel body 42 includes a cab 42a for the operator to operate the work machine 40.
- Attachment 43 is a device for performing work.
- the attachment 43 includes, for example, a boom 43a, an arm 43b, and a tip attachment 43c.
- the boom 43a can undulate (rotate) with respect to the upper swing body 42.
- the arm 43b is rotatable with respect to the boom 43a.
- the tip attachment 43c is provided at the tip of the attachment 43 and is rotatable with respect to the arm 43b.
- the tip attachment 43c may be, for example, a bucket for scooping earth and sand, a device for sandwiching an object (such as a grapple), or a device for crushing (such as a breaker).
- the engine 44 is a drive source for the work machine 40.
- the engine 44 may drive a pump (not shown) or a generator.
- the pump driven by the engine 44 supplies hydraulic oil to hydraulic actuators (eg, hydraulic motors and hydraulic cylinders). As a result of the operation of this hydraulic actuator, the work machine 40 operates.
- the controller 50 (control device, computer) is mounted on the work machine 40.
- the controller 50 performs signal input / output, calculation (processing), information storage, and the like.
- the controller 50 includes a work machine side transmission / reception unit 51, a state management unit 52, a key information management unit 53, a decoding unit 55, a control parameter management unit 57, and a key information generation unit 61.
- the work machine side transmission / reception unit 51 (information transmission / reception device) transmits / receives information between the work machine 40 and the external device 10 (for example, device 20).
- the communication between the work machine 40 and the external device 10 may be wireless, wired, or a mixture of wired and wireless. Communication between the work machine 40 and the external device 10 may be direct or via a communication device (not shown) (may be indirect). For example, the communication between the work machine 40 and the external device 10 may be performed by multi-hop as long as a reliable route can be constructed by performing authenticity verification on a communication device (not shown).
- the state management unit 52 manages the state of the work machine 40.
- the state management unit 52 switches the state of the work machine 40 between a key information generation state and a non-key information generation state (normal state).
- the key information management unit 53 holds (manages) the key information K.
- the key information management unit 53 holds (as a set) the IDs of the plurality of workers who use the work machine 40 and the key information K corresponding to the IDs in association with each other.
- the key information management unit 53 has as high a tamper resistance as possible.
- the decoding unit 55 (information decoding device) decodes information (for example, control parameter P) using the key information K. Details of this decoding will be described later.
- the decoding unit 55 determines whether or not the information can be correctly decoded. Details of this determination will be described later.
- the control parameter management unit 57 manages the control parameter P.
- the control parameter management unit 57 stores the control parameter P decoded by the decoding unit 55.
- the key information generation unit 61 (key information generation device) generates key information K.
- the details of the generation of the key information K that the key information generation unit 61 generates the key information K based on the sensor value input from the sensor 70 will be described later.
- the key information K is used for exchanging information between the work machine 40 and the external device 10.
- the key information K may be used for encryption and decryption of information, may be used for detecting falsification of information (see the third embodiment, etc.), and may be used for authenticating a user of information. (Refer to the fifth embodiment and the like).
- the key information K may be used, for example, for the exchange of the control parameter P between the work machine 40 and the external device 10, or may be used for the exchange of information other than the control parameter P.
- a case where the key information K is used for encryption and decryption of the control parameter P will be described.
- the input device 63 is a device operated by an operator (operator) of the work machine 40.
- the input device 63 is arranged inside the cab 42a, for example.
- the input device 63 includes an operation panel 63a, an operation lever 63b, and a lever lock 63c.
- the operation panel 63a is a device for performing various operations, for example, a device including a screen.
- the operation panel 63a has at least one button.
- the button on the operation panel 63a may be a physical button or a button displayed on the screen.
- the operation panel 63a may be a permanent panel fixed in the cab 42a, or may be a device such as an information terminal such as a tablet PC that is not fixed in the cab 42a.
- the operation panel 63a When the operation panel 63a is not fixed in the cab 42a, the operation panel 63a may transmit the button operation information to the button on / off sensor 71a by wireless communication or by wired communication.
- the operation lever 63b is an operation unit for operating the work machine 40.
- the operation lever 63b is an input device for operating the traveling of the lower traveling body 41, the turning of the upper rotating body 42 with respect to the lower traveling body 41, and the operation of the attachment 43.
- the lever lock 63c is an input device that is raised and lowered when an operator enters and exits the cab 42a, and switches between enabling and disabling (locking) the operation of the operating lever 63b.
- the input device 63 may include an input device other than the above example.
- the input device 63 may include a pedal or the like that operates the work machine 40.
- the sensor 70 detects various information and outputs a sensor value (detected value).
- the sensor 70 is a sensor permanently installed in the work machine 40 (see FIG. 2).
- the sensor 70 need not be provided only for the generation of key information K (see FIG. 1).
- the sensor 70 includes a sensor that detects the operation state of the input device 63 and a sensor that detects other states.
- the sensor 70 that detects the operation state of the input device 63 includes a button on / off sensor 71a, an operation amount sensor 71b, and a lever lock on / off sensor 71c.
- the senor 70 includes an injector injection amount sensor 73a, an engine rotation speed sensor 73b, an engine water temperature sensor 73c, a pump pressure sensor 73d, a hydraulic oil temperature sensor 73e, and a proportional valve current value sensor 73f.
- the button on / off sensor 71a detects whether the button operation state of the operation panel 63a is on or off.
- a button on / off sensor 71a is provided for each of the plurality of buttons on the operation panel 63a.
- the operation amount sensor 71b detects a value (at least one of current and oil pressure) that changes when the operation lever 63b is operated.
- the operation amount sensor 71b is provided for each type of operation (for example, turning, boom 43a raising, boom 43a lowering, etc.) of the operating lever 63b shown in FIG.
- the lever lock on / off sensor 71c shown in FIG. 3 detects whether the lever lock 63c is on or off.
- the injector injection amount sensor 73a detects the fuel injection amount of the injector of the engine 44 (see FIG. 2).
- the engine speed sensor 73b detects the speed of the engine 44.
- the engine rotation speed sensor 73b may detect the rotation speed of the engine 44 by using the detection result of the rotation speed of the pump driven by the engine 44.
- the engine water temperature sensor 73c detects the temperature of the cooling water of the engine 44.
- the pump pressure sensor 73d detects the pressure of the hydraulic oil discharged by the pump driven by the engine 44.
- the hydraulic oil temperature sensor 73e detects the temperature of the hydraulic oil flowing through the hydraulic circuit of the work machine 40 (see FIG. 2).
- the proportional valve current value sensor 73f detects the current (command to the proportional valve) of the proportional valve provided in the hydraulic circuit.
- the proportional valve current value sensor 73f may be configured by the controller 50. More specifically, the controller 50 may acquire the value output by the controller 50 to the proportional valve.
- the sensor value used to generate the key information K may be something other than the above example.
- the sensor value of the sensor 70 that detects the operation of the input device 63 may be used to generate the key information K.
- the sensor value of the sensor 70 that detects the operation amount of the pedal may be used to generate the key information K.
- the sensor value of the sensor 70 (see FIG. 3) that detects the posture of the work machine 40 (the posture of the attachment 43, the turning angle of the upper swinging body 42 with respect to the lower traveling body 41, etc.) shown in FIG. 2 is the key information K (see FIG. 3). It may be used to generate (see FIG.
- the sensor value of the sensor 70 that detects at least one of the positions, speeds, and accelerations of the work machine 40 may be used to generate the key information K.
- the sensor value of the camera (included in the sensor 70) provided in the work machine 40 may be used to generate the key information K.
- at least a part of the above sensor 70 example may not be provided in the work machine 40.
- the sensor value of the sensor 70 existing in the work machine 40 may be used to generate the key information K.
- the information processing system 1 shown in FIG. 1 is configured to operate as follows.
- the outline of the operation (information processing method, program) of the information processing system 1 is as follows.
- the operation of the information processing system 1 has a key information generation phase S10 (see FIGS. 4, 6 and 7) and an encryption / decryption phase S40 (see FIGS. 5, 8 and 9).
- the key information generation phase S10 is a phase for generating key information K for use in transmitting and receiving information (here, control parameter P).
- the encryption / decryption phase S40 is performed as follows.
- the external device 10 (for example, the device 20) transmits the control parameter P to the work machine 40 by using the key information K. More specifically, the device 20 encrypts the control parameter P using the key information K (step S51), and transmits the encrypted control parameter P to the work machine 40 (step S53).
- the work machine 40 uses the key information K to decrypt the encrypted control parameter P (step S63).
- the control parameter P received by the work machine 40 (more specifically, the encrypted control parameter P) is the control parameter P assumed by the operator.
- the details of the operation of the information processing system 1 are as follows. Hereinafter, the processing (steps) will be described in order. The order of processing may be changed as appropriate.
- Key information generation phase S10 As shown in FIG. 4, in the key information generation phase S10, the key information K to be used when transmitting and receiving the control parameter P (see FIG. 5) is generated.
- the device 20 transmits an instruction for shifting the state of the work machine 40 from the normal state to the key information generation state (key information generation state transition command) to the state management unit 52 of the work machine 40 (step S11).
- Information here, the key information generation state transition command
- the state management unit 52 shifts (transitions) the work machine 40 (see FIG. 1) from the normal state to the key information generation state (step S13).
- the state management unit 52 does not receive the key information generation state transition command (NO in step S12), the process of the key information generation phase S10 ends.
- the device 20 transmits the ID to the key information generation unit 61 of the work machine 40 (step S15).
- the transmission of the ID from the device 20 to the work machine 40 (step S15) may be performed at the same time as the transmission of the key information generation state transition command (step S11).
- the processes described as separate processes may be performed at the same time, or the processes described as processes to be performed at the same time may be performed separately.
- the portion of the work machine 40 that receives the ID is the key information generation unit 61 in the example shown in FIG. 4, but it does not have to be the key information generation unit 61.
- the part for transmitting and receiving may be changed as appropriate.
- the key information generation unit 61 acquires the sensor value from the sensor 70 (step S21).
- the key information generation unit 61 acquires the sensor value for a predetermined time.
- the predetermined time for the key information generation unit 61 to acquire the sensor value may be a certain moment or a time having a length.
- the length and time of the predetermined time for the key information generation unit 61 to acquire the sensor value may differ depending on the type of the sensor 70, or may be common.
- the key information generation unit 61 generates the key information K by converting the sensor value into the key information K (step S23).
- the details of the generation of the key information K by the key information generation unit 61 are as follows. As shown in FIG. 3, there are a plurality of types of sensors 70 (for example, an injector injection amount sensor 73a, an engine speed sensor 73b, etc.), and there are also a plurality of types of sensor values.
- the key information generation unit 61 generates key information K based on at least one of these plurality of types of sensor values. There are various ways to select the sensor value used by the key information generation unit 61 to generate the key information K.
- the key information generation unit 61 may select either one of the sensor value related to the operation state of the input device 63 and the sensor value related to the state other than the operation of the input device 63, or select both. You may.
- the key information generation unit 61 may select the same sensor value more than once.
- the key information generation unit 61 may duplicately select sensor values of the same type and the same time, or may select sensor values of the same type and different times.
- the key information generation unit 61 may change the type of the sensor value to be selected for each generation of the key information K, or may determine the sensor value to be selected in advance.
- a specific example of conversion of the sensor value to the key information K by the key information generation unit 61 is as follows.
- the key information generation unit 61 uses the bit string generated based on the sensor value as the key information K.
- the key information generation unit 61 converts the sensor value into a bit string as follows, for example.
- An example in which the sensor value is composed of on or off data is as follows. In this case, the key information generation unit 61 sets the bit string to "0/1" when the sensor value is on, and sets the bit string to "1/0" when the sensor value is off. On and off may be reversed.
- the key information generation unit 61 converts the sensor value into a bit string by converting the sensor value into a binary number. May be good.
- the key information generation unit 61 may convert the sensor value into a bit string based on the sensor value (time series data) that changes with time within a predetermined time. For example, the key information generation unit 61 may convert each sensor value for each time into a bit string and combine each bit string.
- the key information generation unit 61 may convert each sensor value into a bit string and combine each bit string.
- the key information generation unit 61 may convert the sensor value and / or the bit string with a predetermined function at least once.
- the key information generation unit 61 may convert the sensor value and finally obtain the bit string by a predetermined function.
- the key information generation unit 61 may convert the sensor value and / or bit string in the stage before the final acquisition by a predetermined function.
- the key information generation unit 61 may convert the sensor value for each time of the sensor value (time series data) that changes with time within a predetermined time by a predetermined function.
- the key information generation unit 61 may convert each of a plurality of types of sensor values by a predetermined function.
- the predetermined function may be addition, subtraction, multiplication, division, one-way function, or other function.
- the one-way function may be, for example, a hash function such as SHA-2 (SHA; Secure Hash Algorithm) (SHA-256 or SHA-512, etc.).
- the key information generation unit 61 stores the ID and the generated key information K in the key information management unit 53 (step S25).
- the key information management unit 53 may store the ID and the key information K in association with each other.
- the key information generation unit 61 transmits the key information K to the device 20 (step S27).
- the device 20 stores the received key information K in the holding unit 23b (see FIG. 1).
- the state management unit 52 shifts the work machine 40 to the normal state (step S31). In the normal state, the key information generation unit 61 does not acquire the sensor value and generate the key information.
- the control parameter P is encrypted and decrypted.
- the encryption unit 25 (see FIG. 1) of the device 20 encrypts the control parameter P using the key information K (step S51).
- an existing common key encryption method such as AES (Advanced Encryption Standard) may be used, or a common key encryption method unique to the information processing system 1 (see FIG. 1) may be used. It may be used.
- the device 20 transmits the ID and the encrypted control parameter P (“Enc (control parameter P)” in FIG. 5) to the decryption unit 55 of the work machine 40 (step S53).
- the decryption unit 55 extracts the key information K corresponding to the received ID from the key information management unit 53 (step S61).
- the decryption unit 55 decrypts the encrypted control parameter P by using the extracted key information K (step S63).
- the decoding unit 55 determines whether the decoding was successful or unsuccessful (step S65 shown in FIG. 9).
- the decoding unit 55 uses, for example, a parity bit or the like to determine whether or not the decoding is successful.
- the decoding unit 55 shown in FIG. 1 succeeds in decoding the control parameter P, that is, when the control parameter P can be correctly decoded by the key information K, the following processing is performed.
- the decoding unit 55 of the work machine 40 expands the decoded control parameter P to the control parameter management unit 57 (step S66 shown in FIG. 9).
- the operation of the work machine 40 shown in FIG. 1 is controlled based on the decoded control parameter P.
- the decoding unit 55 transmits (notifies) to the device 20 that the expansion of the control parameter P is completed (expansion result) (step S71a shown in FIG. 9).
- the device 20 that has received the expansion result causes the output unit 22 shown in FIG. 1 to output the expansion result (step S73 shown in FIG. 8).
- the decoding unit 55 shown in FIG. 1 fails to decode the control parameter P (when the control parameter P is not correctly decoded by the key information K), the following processing is performed.
- the decoding unit 55 notifies the device 20 that the expansion has failed (expansion result) (step S71b shown in FIG. 9).
- the device 20 that has received the expansion result causes the output unit 22 shown in FIG. 1 to output the expansion result (step S73 shown in FIG. 8).
- the decoding unit 55 fails to decode, the working machine 40 does not expand the control parameter P that failed in decoding to the control parameter management unit 57.
- the control parameter P is expanded to the control parameter management unit 57 only when the decoding of the control parameter P is successful. Therefore, the control parameter P associated with the worker using the work machine 40 (specifically, associated with the ID) can be expanded to the work machine 40. Therefore, it is possible to prevent the control parameter P deployed on the work machine 40 from being a control parameter P not expected by the operator.
- control parameter P If information is exchanged in plain text between the external device 10 and the work machine 40, there is a risk that a third party will steal the information and leak it.
- the leaked control parameter P may be used as a clue for analysis of the work machine 40 by a third party (for example, another company).
- a third party analyzes the plaintext control parameter P and obtains the regular format of the control parameter P
- the control parameter P not intended by the operator may be expanded to the work machine 40 in the regular format. There is. In this case, the work machine 40 may perform an operation unexpected by the operator, or the work machine 40 may not operate. Therefore, the information processing system 1 can suppress these problems by encrypting the control parameter P.
- the information processing system 1 includes a sensor 70 and a key information generation unit 61.
- the sensor 70 is provided on the work machine 40.
- the key information generation unit 61 is provided in the work machine 40 and generates key information K based on the sensor value input from the sensor 70.
- the key information K is used for exchanging information between the work machine 40 and the external device 10 provided outside the work machine 40.
- the key information K is generated based on the sensor value of the sensor 70 provided in the work machine 40. Therefore, the work machine 40 can easily generate the key information K as compared with the case where the key information K is generated by the work machine 40 without using the sensor value of the sensor 70. Specifically, a dedicated random number generator for generating the key information K can be eliminated. In addition, the processing capacity required to generate the key information K (specifically, the processing capacity of the controller 50) is suppressed.
- the key information generation unit 61 generates the key information K based on at least one sensor value among the following (2a) to (2f).
- each sensor value is a sensor value of a sensor 70 normally mounted on the work machine 40 shown in FIG. Therefore, the key information generation unit 61 can generate the key information K by using the sensor value of the sensor 70 normally mounted on the work machine 40.
- the sensor 70 detects the operation of the input device 63 operated by the operator of the work machine 40.
- the key information generation unit 61 generates key information K based on at least one sensor value among the following (3a) to (3c).
- each sensor value is a sensor value related to the operation of the input device 63 normally mounted on the work machine 40 shown in FIG. Therefore, the key information generation unit 61 can generate the key information K by using the sensor value of the sensor 70 normally mounted on the work machine 40.
- the key information generation unit 61 uses the bit string generated based on the sensor value as the key information K.
- the key information generation unit 61 can derive the key information K, which is a bit string, from the sensor value.
- the key information generation unit 61 uses a bit string generated based on a sensor value that changes with time within a predetermined time as key information K.
- the key information generation unit 61 can derive the key information K, which is a bit string, based on the sensor value (time series data) that changes over time.
- one of the external device 10 and the work machine 40 is a transmitting side device that transmits information
- the other is a receiving side device that receives information.
- the transmitting side device (for example, the external device 10) encrypts the information using the same key information K as the key information K stored in the receiving side device (for example, the work machine 40) (step S51 (see FIG. 5)).
- the receiving side device (for example, the working machine 40) decrypts the encrypted information received from the transmitting side device (for example, the external device 10) by using the key information K stored in the receiving side device (step S63 (FIG. FIG. 5)).
- the information exchanged between the external device 10 and the work machine 40 is encrypted, so that the information is stolen by a third party when the information is exchanged between the external device 10 and the work machine 40. (Eavesdropping) can be suppressed. As a result, it is possible to suppress the operation of the external device 10 or the work machine 40 based on the information stolen by the third party or the information generated (for example, modified) from the information stolen by the third party.
- the above information (information exchanged between the external device 10 and the work machine 40) is a control parameter P for controlling the operation of the work machine 40.
- the external device 10 transmits the control parameter P to the work machine 40 by using the key information K.
- the work machine 40 determines whether or not to control the operation of the work machine 40 based on the control parameter P based on the key information K.
- the external device 10 encrypts the control parameter P using the key information K received from the work machine 40 (step S51 shown in FIG. 5). As shown in FIG. 5, the work machine 40 decrypts the encrypted control parameter P received from the external device 10 by using the key information K stored in the work machine 40 (step S63).
- the condition for controlling the operation of the work machine 40 based on the control parameter P includes that the control parameter P is correctly decoded by the key information K.
- the information processing method of the present embodiment generates key information K based on the sensor value input from the sensor 70 provided in the work machine 40. Step S23 is provided.
- the key information K is used for exchanging information between the work machine 40 and the external device 10 provided outside the work machine 40 (see FIG. 5 and the like).
- one of the external device 10 and the work machine 40 shown in FIG. 5 is a transmitting side device for transmitting information, and the other is a receiving side device for receiving information.
- the information processing method includes the following steps (a17) and (b17).
- the transmitting side device (for example, the external device 10) encrypts the information using the same key information K as the key information K stored in the receiving side device (for example, the work machine 40) (step S51).
- the receiving side device decrypts the encrypted information received from the transmitting side device using the key information stored in the receiving side device (step S63).
- the above information (information exchanged between the work machine 40 and the external device 10) is a control parameter P for controlling the operation of the work machine 40.
- the information processing method includes the following steps (a20) and (b20).
- the external device 10 transmits the control parameter P to the work machine 40 using the key information K (step S53).
- the program of the first embodiment sets the controller 50 (computer) in step S23 to generate the key information K based on the sensor value input from the sensor 70 provided in the work machine 40. Let it run.
- the key information K is used for exchanging information between the work machine 40 and the external device 10 provided outside the work machine 40 (see FIG. 5 and the like).
- one of the external device 10 and the work machine 40 is a transmitting side device that transmits information, and the other is a receiving side device that receives information.
- the program comprises steps (a17) and (b17) above.
- the above information (information exchanged between the work machine 40 and the external device 10) is a control parameter P for controlling the operation of the work machine 40.
- the program comprises steps (a20) and (b20) above.
- the external device 10 includes a device 20 and a server 220.
- a part of the components (encryption unit 25, etc.) of the device 20 in the example shown in FIG. 1 is provided on the server 220 as shown in FIG.
- the device 20 does not have to include the encryption unit 25.
- the device-side transmission / reception unit 21 transmits / receives information not only between the work machine 40 and the device 20 but also between the server 220 (server-side transmission / reception unit 221) and the device 20.
- the holding unit 23 of the device 20 holds the ID and does not have to hold the key information K.
- the description of the device 20 in the first embodiment may be read as the description of the device 20 or the server 220 (that is, the description of the external device 10) (the same applies to the other embodiments).
- the server 220 centrally manages the key information K.
- the server 220 centrally manages the control parameter P.
- the server 220 is provided separately from the device 20.
- the server 220 includes a server-side transmission / reception unit 221, an encryption unit 25 (similar to the first embodiment), a holding unit 223, and an extraction unit 224.
- the server-side transmission / reception unit 221 transmits / receives information between the server 220 and the work machine 40, and between the server 220 and the device 20.
- the holding unit 223 includes a holding unit 223a that holds the control parameter P and a holding unit 223b that holds the key information K.
- the holding unit 223a holds the IDs of a plurality of workers and the control parameter P (“parameter group” in FIG. 10) in association with each other.
- the holding unit 223b holds the IDs of a plurality of workers and the key information K in association with each other.
- the key information K of the plurality of workers is centrally managed by the server 220, so that the convenience of, for example, the manager of the work machine 40 is improved.
- control parameter P is also centrally managed by the server 220, the convenience of the administrator of the work machine 40 and the like is improved.
- the extraction unit 224 extracts the specific key information K and the control parameter P from the holding unit 223. Details of the extraction of this control parameter P will be described later.
- the key information generation phase S10 (see FIG. 4) is performed in substantially the same manner as in the first embodiment.
- the device 20 transmits an ID to the key information generation unit 61 of the work machine 40 (step S15).
- the device 20 shown in FIG. 10 may transmit an ID to the work machine 40 via the server 220, or may directly transmit the ID to the work machine 40. This also applies to the transmission and reception of information other than the ID.
- the encryption unit 25 of the device 20 encrypts the control parameter P.
- the encryption unit 25 of the server 220 shown in FIG. 10 encrypts the control parameter P.
- the device 20 transmits an ID to the extraction unit 224 (see FIG. 10) of the server 220 (step S241).
- the extraction unit 224 shown in FIG. 10 extracts the control parameter P corresponding to the ID received from the device 20 from the holding unit 223a, and extracts the key information K corresponding to the ID received from the device 20 from the holding unit 223b (FIG. 10).
- the encryption unit 25 encrypts the extracted control parameter P using the extracted key information K (step S51 shown in FIG. 11). If the extraction unit 224 cannot extract the control parameter P and the key information K corresponding to the ID received from the device 20, the encryption unit 25 does not perform encryption. As shown in FIG. 11, the server 220 transmits the ID and the encrypted control parameter P to the decryption unit 55 of the work machine 40 (step S253). The processing after step S53 is the same as that of the first embodiment.
- the information processing system 301 (see FIG. 12), the information processing method, and the program of the third embodiment will be described as being different from the first embodiment.
- the information processing system 1 (see FIG. 1) of the first embodiment was an information encryption system.
- the information processing system 301 (see FIG. 12) of the present embodiment is an information falsification detection system that detects whether or not the information received by the work machine 40 shown in FIG. 12 has been falsified.
- the device 20 includes a first MAC generator 325 (message authentication code generator).
- MAC is a message authentication code (Message Authentication Code).
- the first MAC generation unit 325 generates the first MAC (first authentication code) from the key information K and other information (for example, the control parameter P). Details of the generation of the first authentication code will be described later.
- the first MAC generation unit 325 is preferably mounted in a portion having as high a tamper resistance as possible. This also applies to the second MAC generation unit 355.
- the device 20 does not have to include the encryption unit 25 (see FIG. 1).
- the work machine 40 includes a second MAC generation unit 355 (message authentication code generation device) and a determination unit 356.
- the second MAC generation unit 355 generates the second MAC (second authentication code) from the key information K and other information (for example, the control parameter P). Details of the generation of the second authentication code will be described later.
- the determination unit 356 determines whether or not the information (for example, the control parameter P) has been tampered with by comparing the first MAC and the second MAC. Details of this determination will be described later.
- the work machine 40 does not have to include the decoding unit 55 (see FIG. 1).
- the outline of the operation (information processing method, program) of the information processing system 301 is as follows.
- the operation of the information processing system 301 has a key information generation phase S10 (see FIG. 4) and a falsification detection phase S340 (see FIGS. 13, 14, and 15) similar to those in the first embodiment.
- the falsification detection phase S340 shown in FIG. 13 is a phase for detecting whether or not the information (here, the control parameter P) has been falsified.
- the outline of the tampering detection phase S340 is as follows.
- the external device 10 (device 20) transmits the control parameter P to the work machine 40 by using the key information K. More specifically, the device 20 generates a first MAC based on the key information K and the control parameter P (step S351), and transmits the control parameter P and the first MAC to the work machine 40 (step S353).
- the work machine 40 generates a second MAC based on the key information K and the control parameter P (step S363), and determines whether or not the first MAC received from the device 20 and the generated second MAC match (step). S365). By confirming that the first MAC and the second MAC match, the work machine 40 can confirm that the control parameter P has not been tampered with by a third party. As a result, it can be confirmed whether or not the control parameter P received by the work machine 40 is the control parameter P assumed by the operator.
- the details of the tampering detection phase S340 are as follows.
- the first MAC generation unit 325 (see FIG. 12) of the device 20 generates the first MAC based on the key information K and the control parameter P (step S351). More specifically, the first MAC generation unit 325 shown in FIG. 12 has a key information K received from the work machine 40 and held in the holding unit 23b, and a control parameter P held in the holding unit 23a. 1 Generate MAC. Specifically, for example, the first MAC generation unit 325 may generate the first MAC by using a hash function. The first MAC may be HMAC (Hash-based Message Authentication Code). The first MAC generation unit 325 may generate the first MAC based on the block cipher. The first MAC may be CMAC (Cipher-based MAC).
- the first MAC generation unit 325 may generate the first MAC by the MAC generation method unique to the information processing system 301. As for the specific example of this MAC generation, the MAC generation by the second MAC generation unit 355 is also the same. As shown in FIG. 13, the device 20 transmits the ID, the generated first MAC, and the control parameter P to the second MAC generation unit 355 of the work machine 40 (step S353). The timing at which the device 20 transmits the ID to the work machine 40 may be earlier than the generation of the first MAC by the first MAC generation unit 325 (see FIG. 12).
- the second MAC generation unit 355 of the work machine 40 extracts the key information K corresponding to the ID received from the device 20 from the key information management unit 53 (step S361).
- the second MAC generation unit 355 generates the second MAC based on the control parameter P received from the device 20 and the key information K (key information K stored in the work machine 40) extracted from the key information management unit 53. (Step S363).
- the second MAC generation unit 355 transmits the first MAC and the second MAC to the determination unit 356 (step S364).
- the determination unit 356 compares the first MAC with the second MAC (step S365), and determines whether or not the first MAC and the second MAC match.
- step S365 shown in FIG. 15 the work machine 40 shown in FIG. 12 expands the control parameter P to the control parameter management unit 57 (step shown in FIG. 15). S66). As a result, the operation of the work machine 40 shown in FIG. 12 is controlled based on this control parameter P. Further, the determination unit 356 of the work machine 40 transmits to the device 20 that the expansion of the control parameter P is completed (step S71a shown in FIG. 15).
- the determination unit 356 shown in FIG. 12 notifies the device 20 that the deployment has failed (step S71b shown in FIG. 15). ..
- the work machine 40 shown in FIG. 12 does not expand the received control parameter P to the control parameter management unit 57.
- the control parameter P is expanded in the control parameter management unit 57 only when the first MAC and the second MAC match. Therefore, the untampered control parameter P is expanded to the work machine 40, and the control parameter P associated with the worker who uses the work machine 40 (specifically, is associated with the ID) is applied to the work machine 40. Be expanded. Therefore, it is possible to prevent the control parameter P deployed on the work machine 40 from being a control parameter P not expected by the operator.
- the falsified information by a third party may be received by the work machine 40 and used by the work machine 40.
- the work machine 40 may perform an operation not expected by the worker, or the work machine 40 does not operate. There is a risk. Therefore, the information processing system 301 can suppress this problem by detecting falsification of the control parameter P.
- one of the external device 10 and the work machine 40 shown in FIG. 13 is a transmitting side device for transmitting information, and the other is a receiving side device for receiving information.
- the transmitting side device (for example, the external device 10) uses the same key information K as the key information K stored in the receiving side device (for example, the work machine 40) and the information to obtain the first MAC (first authentication code).
- Generate (step S351).
- the receiving device (for example, the working machine 40) receives the information and the first MAC from the transmitting device (for example, the external device 10), and the second MAC (for example, the second MAC (for example) is based on the received information and the key information K stored in the receiving device.
- the second authentication code is generated (step S363).
- the receiving device (for example, the working machine 40) compares the first MAC with the second MAC (step S365).
- the first MAC and the second MAC by comparing the first MAC and the second MAC, it is possible to detect whether or not the information that generated the first MAC and the information that generated the second MAC match (whether or not they have been tampered with). .. More specifically, when the first MAC and the second MAC match, the information transmitted by the transmitting side device (for example, the external device 10) and the information received by the receiving side device (for example, the working machine 40) match. Therefore, it can be confirmed that the information has not been tampered with. Further, when the first MAC and the second MAC do not match, the information transmitted by the transmitting side device (for example, the external device 10) and the information received by the receiving side device (for example, the working machine 40) are different from each other. Therefore, it is possible to detect that the information has been tampered with. As a result, it is possible to suppress the operation of the external device 10 or the work machine 40 based on the information falsified by a third party.
- the external device 10 generates the first MAC (first authentication code) based on the key information K received from the work machine 40 and the control parameter P (step S351).
- the work machine 40 receives the control parameter P and the first MAC from the external device 10 (step S353).
- the work machine 40 generates a second MAC (second authentication code) based on the received control parameter P and the key information K stored in the work machine 40 (step S363).
- the work machine 40 compares the first MAC with the second MAC (step S365).
- the condition for controlling the operation of the work machine 40 based on the control parameter P includes that the first MAC and the second MAC match.
- one of the external device 10 and the work machine 40 is a transmitting side device for transmitting information, and the other is a receiving side device for receiving information.
- the information processing method includes the following steps (a18) and (b18).
- the transmitting side device (for example, the external device 10) has the same key information K as the key information K stored in the receiving side device (for example, the work machine 40), and the information is based on the first MAC (first authentication). Code) is generated (step S351).
- the receiving device receives the information and the first MAC from the transmitting device, and generates the second MAC (second authentication code) based on the received information and the key information K stored in the receiving device (b18). Step S363), the first MAC and the second MAC are compared (step S365).
- one of the external device 10 and the work machine 40 is a transmitting side device that transmits information, and the other is a receiving side device that receives information.
- the program comprises the steps (a18) and (b18) above.
- the external device 10 includes a device 20 and a server 220 (similar to the second embodiment).
- the configuration of the server 220 is almost the same as that of the server 220 (see FIG. 10) of the second embodiment.
- the server 220 may include a first MAC generation unit 325 and may not include an encryption unit 25 (see FIG. 10), similarly to the device 20 of the third embodiment (see FIG. 12).
- the configuration of the work machine 40 is the same as that of the work machine 40 of the third embodiment (see FIG. 12).
- the first MAC generation unit 325 of the device 20 generated the first MAC.
- the first MAC generation unit 325 of the server 220 generates the first MAC. Details of the differences between the second embodiment and the third embodiment regarding the falsification detection phase S440 shown in FIG. 17 are as follows. Similar to the second embodiment, the device 20 transmits an ID to the extraction unit 224 (see FIG. 16) of the server 220 (step S241). Similar to the second embodiment, the extraction unit 224 shown in FIG.
- step S243 extracts the control parameter P corresponding to the ID received from the device 20 from the holding unit 223a and holds the key information K corresponding to the ID received from the device 20. Extraction from section 223b (step S243 shown in FIG. 17).
- the first MAC generation unit 325 generates the first MAC based on the extracted key information K and the extracted control parameter P (step S351 shown in FIG. 17). If the extraction unit 224 cannot find the control parameter P and the key information K corresponding to the ID received from the device 20, the first MAC generation unit 325 does not generate the first MAC.
- the server 220 transmits the ID, the control parameter P, and the first MAC to the work machine 40 (for example, the second MAC generation unit 355) (step S453).
- the processing after step S453 is the same as that of the third embodiment.
- the information processing system 501 With reference to FIGS. 18 to 21, the information processing system 501, the information processing method, and the program of the fifth embodiment will be described with reference to the differences from the first embodiment.
- the information processing system 1 (see FIG. 1) of the first embodiment was an information encryption system.
- the information processing system 501 of the present embodiment detects whether or not the information received by the work machine 40 shown in FIG. 18 is the information transmitted by the legitimate external device 10 (legitimate device 20). It is an authentication system (spoofing detection system).
- the device 20 includes a coupling unit 525 (information coupling device).
- the coupling unit 525 couples the key information K and other information (for example, the control parameter P). Details of this process will be described later.
- the joint portion 525 is preferably mounted in a portion having as high a tamper resistance as possible.
- the device 20 does not have to include the encryption unit 25 (see FIG. 1).
- the work machine 40 includes a determination unit 555 (information determination device).
- the determination unit 555 determines whether or not the information received by the work machine 40 is transmitted from the legitimate device 20 (whether it is transmitted by a third party or is spoofed). Details of this determination will be described later.
- the work machine 40 does not have to include the decoding unit 55 (see FIG. 1).
- the outline of the operation (information processing method, program) of the information processing system 501 is as follows.
- the operation of the information processing system 501 includes a key information generation phase S10 (see FIG. 4) and an authentication phase S540 (see FIGS. 19, 20, and 21) similar to those in the first embodiment.
- the authentication phase S540 shown in FIG. 19 is a phase for authenticating the information user.
- the outline of the authentication phase S540 is as follows.
- the external device 10 transmits the control parameter P to the work machine 40 by using the key information K. More specifically, the device 20 combines the key information K and the control parameter P (step S551), and transmits the combined key information K (first key information K1) and the control parameter P to the work machine 40 (step S553). ).
- the key information K first key information K1 received from the device 20 and the key information K (second key information K2) held in the work machine 40 prior to this reception match. Whether or not it is determined (step S565).
- the work machine 40 can confirm that the control parameter P has been transmitted from the legitimate device 20. As a result, it can be confirmed that the control parameter P received by the work machine 40 is the control parameter P assumed by the operator.
- the details of the authentication phase S540 are as follows.
- the coupling portion 525 of the device 20 couples the key information K and the control parameter P (step S551). More specifically, the coupling portion 525 shown in FIG. 18 contains the key information K (key information K received from the work machine 40) held in the holding portion 23b of the device 20 and the control held in the holding portion 23a of the device 20. The parameter P and is combined. Specifically, for example, the coupling unit 525 attaches (adds) the key information K to a specific location (for example, the beginning or end of the data) of the data of the control parameter P. The location of the "specific location" is set (shared) between the work machine 40 and the device 20. As shown in FIG. 19, the device 20 transmits the ID, the control parameter P, and the key information K (first key information K1) to the work machine 40 (step S553). The device 20 may transmit an ID to the work machine 40 before combining the control parameter P and the key information K.
- the determination unit 555 of the work machine 40 extracts the key information K (second key information K2) corresponding to the ID received from the device 20 from the key information management unit 53 (step S561).
- the second key information K2 is the key information K stored in the work machine 40 before the work machine 40 receives the first key information K1.
- the second key information K2 is the key information K generated in the key information generation unit 61 (step S23) and stored in the key information management unit 53 (step S25) in the key information generation phase S10 shown in FIG.
- the determination unit 555 compares the first key information K1 and the second key information K2 (step S565), and determines whether or not the first key information K1 and the second key information K2 match. To judge.
- step S565 the work machine 40 shown in FIG. 18 expands the control parameter P to the control parameter management unit 57.
- Step S66 shown in FIG. 21 the operation of the work machine 40 shown in FIG. 18 is controlled based on this control parameter P.
- the determination unit 555 of the work machine 40 transmits to the device 20 that the expansion of the control parameter P is completed (step S71a shown in FIG. 21).
- the determination unit 555 shown in FIG. 18 notifies the device 20 that the deployment has failed (FIG. FIG. Step S71b shown in 21).
- the work machine 40 shown in FIG. 18 does not expand the received control parameter P to the control parameter management unit 57.
- the control parameter P is expanded in the control parameter management unit 57 only when the first key information K1 and the second key information K2 match. Therefore, the control parameter P transmitted from the legitimate device 20 is expanded, and the control parameter P associated with the worker using the work machine 40 (specifically, associated with the ID) is expanded. To. Therefore, it is possible to prevent the control parameter P deployed on the work machine 40 from being a control parameter P not expected by the operator.
- the information transmitted by the third party may be received by the work machine 40 and used by the work machine 40.
- the control parameter P transmitted by a third party is received by the work machine 40 and expanded, there is a risk that the work machine 40 may perform an operation not expected by the worker, or the work machine 40 operates. There is a risk of not doing so. Therefore, the information processing system 501 can suppress this problem by authenticating the information user.
- one of the external device 10 and the work machine 40 shown in FIG. 19 is a transmitting side device for transmitting information, and the other is a receiving side device for receiving information.
- the transmitting side device (for example, the external device 10) combines the same key information K and the information as the key information K stored in the receiving side device (for example, the work machine 40) (step S551).
- the receiving side device (for example, the working machine 40) receives the combined key information K (first key information K1) and the information from the transmitting side device (for example, the external device 10) (step S553).
- the receiving device compares the received first key information K1 with the second key information K2 stored in the receiving device before the receiving device receives the first key information K1. (Step S565).
- the first key information K1 and the second key information K2 are compared.
- the device that transmitted the first key information K1 to the receiving device and the regular transmission that holds the same key information K as the second key information K2 stored in the receiving device (for example, the work machine 40). It can detect whether or not the side device (for example, the external device 10) matches. As a result, it is detected that the person is not spoofing. More specifically, when the first key information K1 and the second key information K2 match, the device that has transmitted the first key information K1 to the receiving device (for example, the work machine 40) and the legitimate transmitting device have You can confirm that they match. This confirms that it is not spoofing.
- the first key information K1 and the second key information K2 do not match, it can be detected that the device that has transmitted the first key information K1 to the work machine 40 and the legitimate transmitting side device do not match. As a result, spoofing is detected. As a result, it is possible to suppress the operation of the external device 10 and the work machine 40 based on the non-genuine information transmitted by the third party.
- the external device 10 combines the key information K received from the work machine 40 with the control parameter P (step S551).
- the work machine 40 receives the combined key information K (first key information K1) and the control parameter P from the external device 10.
- the work machine 40 compares the received first key information K1 with the second key information K2 stored in the work machine 40 before the work machine 40 receives the first key information K1 (step S565).
- the device that has transmitted the control parameter P and the first key information K1 to the work machine 40 by comparing the first key information K1 and the second key information K2, and the work machine 40 have the key information K.
- the following effects may be obtained. It is possible to prevent a third party from transmitting a non-normal control parameter P to the work machine 40 and deploying it. As a result, it is possible to prevent the work machine 40 from executing an operation unexpected by the operator or the work machine 40 from not operating.
- the condition for controlling the operation of the work machine 40 based on the control parameter P is that the work machine 40 receives the first key information K1 and the work machine 40 receives the first key information K1. Includes matching with the second key information K2 previously stored in the work machine 40.
- the control parameter P used for controlling the operation of the work machine 40 is transmitted by the regular external device 10 (the external device 10 to which the work machine 40 has previously transmitted the key information K). That is, it is guaranteed not to be spoofed.
- one of the external device 10 and the work machine 40 is a transmitting side device that transmits information, and the other is a receiving side device that receives information.
- the information processing method includes the following steps (a19) and (b19).
- the transmitting side device (for example, the external device 10) combines the same key information K and the information as the second key information K2 stored in the receiving side device (for example, the work machine 40) (step S551). .. (B19)
- the receiving side device (for example, the working machine 40) receives the combined key information K (first key information K1) and the information from the transmitting side device (for example, the external device 10) (step S553). Further, the first key information K1 received by the receiving device (for example, the work machine 40) and the second key information K2 stored in the receiving device before the receiving device receives the first key information K1. Are compared (step S565).
- one of the external device 10 and the work machine 40 is a transmitting side device that transmits information, and the other is a receiving side device that receives information.
- the program comprises the steps (a19) and (b19) above.
- the external device 10 includes a device 20 and a server 220 as in the second embodiment.
- the configuration of the server 220 is almost the same as that of the server 220 (see FIG. 10) of the second embodiment.
- the server 220 may include a coupling unit 525 and may not include an encryption unit 25 (see FIG. 10) as in the device 20 of the fifth embodiment (see FIG. 18).
- the configuration of the work machine 40 is the same as that of the work machine 40 of the fifth embodiment (see FIG. 18).
- the coupling portion 525 of the device 20 coupled the control parameter P and the key information K.
- the coupling portion 525 of the server 220 couples the control parameter P and the key information K. Details of the differences between the second embodiment and the fifth embodiment regarding the authentication phase S640 shown in FIG. 23 are as follows. Similar to the second embodiment, the device 20 transmits an ID to the extraction unit 224 (see FIG. 22) of the server 220 (step S241). Similar to the second embodiment, the extraction unit 224 shown in FIG.
- step S2 extracts the control parameter P corresponding to the ID received from the device 20 from the holding unit 223a and holds the key information K corresponding to the ID received from the device 20. Extraction from section 223b (step S243 shown in FIG. 23).
- the coupling unit 525 of the server 220 combines the extracted key information K and the extracted control parameter P (step S551 shown in FIG. 23). If the extraction unit 224 cannot find the control parameter P and the key information K corresponding to the ID received from the device 20, the coupling unit 525 does not combine the key information K and the control parameter P.
- the server 220 transmits the ID, the first key information K1, and the control parameter P to the work machine 40 (for example, the determination unit 555) (step S653).
- the processing after step S653 is the same as that of the fifth embodiment.
- the work machine 40 of the information processing system 701 includes a nonce generation unit 781 that generates a nonce (Numered nonce) and a nonce management unit 783.
- the Nonce management unit 783 holds (stores) a plurality of IDs and the Nonces corresponding to the IDs in association with each other.
- the Nonce management unit 783 is preferably mounted in a portion having as high a tamper resistance as possible.
- Authentication phase S740 In the authentication phase S740 shown in FIG. 25, in addition to the authentication phase S540 (see FIG. 19) of the fifth embodiment, a nonce is generated and determined.
- the outline of the difference between the authentication phase S540 (see FIG. 19) of the fifth embodiment and the authentication phase S740 of the present embodiment is as follows.
- the work machine 40 transmits a Nonce to the device 20 (step S747).
- the device 20 transmits the Nonce (also referred to as the first Nonce) received from the work machine 40 to the work machine 40 together with the control parameter P (step S753).
- the work machine 40 determines whether or not the first Nonce received from the device 20 and the Nonce (also referred to as the second Nonce) held in the work machine 40 prior to the reception match (step S757). By confirming that the first None and the second None match, the work machine 40 can confirm that the control parameter P has been transmitted from the legitimate device 20. As a result, it can be confirmed that the control parameter P received by the work machine 40 is the control parameter P assumed by the operator. Details of the differences between the authentication phase S540 of the fifth embodiment (see FIG. 19) and the authentication phase S740 of the present embodiment are as follows.
- the device 20 transmits an ID to the Nonce generation unit 781 of the work machine 40 (step S745).
- the Nonce generation unit 781 generates a Nonce (step S746).
- the Nonce is a disposable random value, for example, a random number, a sequence number, or the current time.
- the Nonce generation unit 781 transmits the generated Nonce to the device 20 (step S747).
- the Nonce generation unit 781 transmits the ID received from the device 20 and the generated Nonce to the Nonce management unit 783 (step S748).
- the Nonce management unit 783 holds the ID and the Nonce in association with each other.
- the device 20 holds the Nonce (see step S747) received from the work machine 40 in the holding unit 23 (see FIG. 24). Similar to the fifth embodiment, the device 20 transmits the ID, the control parameter P, and the key information K to the determination unit 555 of the work machine 40 (step S753). Further, the device 20 transmits a Nonce (first Nonce) to the work machine 40 (for example, the determination unit 555) (step S753). At this time, the device 20 may transmit the Nonce received from the work machine 40 (see step S747) to the work machine 40 as it is, and works on the Nonce converted by a predetermined function (for example, the same as in [Example 2C] above). It may be transmitted to the machine 40.
- a predetermined function for example, the same as in [Example 2C] above
- the determination unit 555 extracts the Nonce (second Nonce) corresponding to the received ID from the Nonce management unit 783 (step S755).
- the second nonce is a nonce stored in the work machine 40 before the work machine 40 receives the first nonce.
- the determination unit 555 compares the first None and the second None (step S757), and determines whether or not the first None and the second None match.
- the work machine 40 When the device 20 transmits the Nonce (first nonce after conversion) converted by a predetermined function to the work machine 40 (step S753), the work machine 40 performs processing as follows, for example. In this case, the work machine 40 converts the nonce generated by the nonce generation unit 781 (see step S746) with a predetermined function to obtain the converted second nonce. Then, the determination unit 555 may compare the converted first None and the converted second None (step S757). Further, the work machine 40 converts the converted first None received from the device 20 by the inverse function of the function used by the device 20 for the conversion to obtain the first None. Then, the determination unit 555 may compare the first None and the second None (step S757).
- the determination unit 555 extracts the second key information K2 corresponding to the ID (step S561), and the first key information K1 and the second key are the same as in the fifth embodiment. Compare with information K2 (step S565). After that (for example, after steps S71a and S71b), the Nonce generation unit 781 generates a Nonce to be used in the next process (next step S746).
- the determination unit 555 does not compare the first key information K1 and the second key information K2 (step S565).
- the work machine 40 may transmit the determination result to the device 20, and the device 20 may output the determination result (to the effect that the authentication has failed) to the output unit 22 (see FIG. 24).
- the first key information K1 and the second key information K2 are compared (step S565), and the control parameter P is sent to the control parameter management unit 57 shown in FIG. 24. Can be deployed.
- control parameter P used in the past is transmitted to the work machine 40, the first None and the second None do not match, so this control parameter P is not expanded to the work machine 40. You can prevent attacks. Therefore, the control parameter P transmitted from the regular external device 10 is expanded to the work machine 40 and is associated with the worker who uses the work machine 40 (specifically, the control parameter is associated with the ID). P is expanded. Therefore, it is possible to prevent the control parameter P deployed on the work machine 40 from becoming a control parameter P not expected by the operator.
- the above embodiment may be variously modified.
- the components of different embodiments may be combined.
- the connection between the elements of the block diagram (see FIG. 1 and the like) may be changed.
- the sequence of steps in a sequence diagram (see FIG. 4 or the like) or a flowchart (see FIG. 6 or the like) may be changed, or a part of the steps may not be performed, and the sequence diagrams and flowcharts are different from each other. Steps may be combined and executed.
- the number of components may be changed, and some of the components may not be provided.
- what has been described as a plurality of components different from each other may be regarded as one part.
- what has been described as one part may be provided separately in a plurality of different parts.
- information encryption (first and second embodiments) processing, falsification detection (third and fourth embodiments) processing, and user authentication (fifth to seventh embodiments) processing. May be combined. Further, for example, in the configuration having the server 220 (second, fourth, sixth embodiment), Nonce (see the seventh embodiment) may be used.
- the components of the server 220 may be divided into a plurality of servers. Some of the components of the server 220 may be provided on the device 20.
- the key information K generated by the key information generation unit 61 can be used in various ways.
- the key information K generated by the key information generation unit 61 is used for exchanging the control parameter P in the above embodiment, but may be used for exchanging information other than the control parameter P.
- the key information K generated by the key information generation unit 61 is also used as the key information K of the common key system in the above embodiment, but may be used as the key information K of the public key system.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Power Engineering (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Operation Control Of Excavators (AREA)
Abstract
情報処理システム(1)は、センサ(70)と、鍵情報生成部(61)と、を備え、センサ(70)は、作業機械(40)に設けられ、鍵情報生成部(61)は、作業機械(40)に設けられ、センサ(70)から入力されたセンサ値に基づいて鍵情報(K)を生成し、鍵情報(K)は、作業機械(40)と、作業機械(40)の外部に設けられる外部装置(10)と、の間での情報の授受に用いられる。
Description
本発明は、作業機械と外部装置との間での情報の授受のための、情報処理システム、情報処理方法、およびプログラムに関する。
例えば特許文献1などに、作業機械と、作業機械の外部に設けられる外部装置と、の間で情報の授受がなされる技術が記載されている。
同文献に記載の技術では、外部装置と作業機械との間で授受される情報に対して、セキュリティ対策がなされていない。また、外部装置と作業機械との間で授受される情報に対して、何らかのセキュリティ対策を行う場合、鍵情報が必要となる。しかし、作業機械で鍵情報を生成するのは容易ではない。例えば、鍵情報を生成するための乱数発生装置を作業機械に設けるにはコストがかかる。通常、作業機械に搭載されるコントローラ(コンピュータ)は、鍵情報を生成するのに適した処理能力を有していない場合がある。
そこで、本発明は、作業機械で容易に鍵情報を生成できる、情報処理システム、情報処理方法、およびプログラムを提供することを目的とする。
本発明の一態様に係る情報処理システムは、センサと、鍵情報生成部と、を備える。前記センサは、作業機械に設けられる。前記鍵情報生成部は、前記作業機械に設けられ、前記センサから入力されたセンサ値に基づいて鍵情報を生成する。前記鍵情報は、前記作業機械と、前記作業機械の外部に設けられる外部装置と、の間での情報の授受に用いられる。
本発明の別の一態様に係る情報処理方法は、作業機械に設けられたセンサから入力されたセンサ値に基づいて鍵情報を生成するステップを備える。前記鍵情報は、前記作業機械と、前記作業機械の外部に設けられる外部装置と、の間での情報の授受に用いられる。
本発明のさらに別の一態様に係るプログラムは、作業機械に設けられたセンサから入力されたセンサ値に基づいて鍵情報を生成するステップをコンピュータに実行させる。前記鍵情報は、前記作業機械と、前記作業機械の外部に設けられる外部装置と、の間での情報の授受に用いられる。
(第1実施形態)
図1~図9を参照して、第1実施形態の情報処理システム1、情報処理方法、およびプログラムについて説明する。
図1~図9を参照して、第1実施形態の情報処理システム1、情報処理方法、およびプログラムについて説明する。
情報処理システム1は、図1に示すように、外部装置10(コンピュータ)と作業機械40との間で授受(送受信)される情報を処理するシステムである。情報処理システム1は、情報暗号化システムでもよく、情報改ざん検知システム(第3実施形態などを参照)でもよく、情報利用者認証システム(第5実施形態などを参照)でもよい。情報処理システム1は、外部装置10と、作業機械40と、を備える。
外部装置10は、作業機械40の外部の装置である。外部装置10と作業機械40との間で授受される情報には、例えば、制御パラメータP、および作業者識別情報(ID;identification)などがある。制御パラメータPは、作業機械40の作動を制御するためのパラメータである。この制御パラメータPは、例えば、図2に示す操作レバー63bの操作量と作業機械40の作動速度との関係、操作レバー63bの操作が複数行われた場合の操作の優先順位、作業機械40の作動の制限に関する情報などの設定情報を含む。IDは、作業機械40を利用する作業者(操作者)を一意に識別する情報であり、例えば社員番号などである。図1に示すように、外部装置10は、デバイス20を備える。
デバイス20は、作業者に持たれる装置(作業者用装置、作業者所持装置)である。複数の作業者それぞれが、デバイス20を持つ。デバイス20は、情報を処理可能な装置でもよく、情報を保持(記憶)のみする装置でもよい。情報を処理可能なデバイス20は、例えば、スマートフォン、タブレット、携帯電話、またはノート型PC(personal computer)などである。情報を保持のみするデバイス20は、例えば、ICカード(IC;integrated circuit)、またはフラッシュメモリ(例えばSDメモリーカード、USB(Universal Serial Bus)フラッシュドライブなど)などである。本実施形態では、デバイス20が、情報を処理可能な装置である場合について説明する。デバイス20は、デバイス側送受信部21と、出力部22と、保持部23と、暗号化部25と、を備える。
デバイス側送受信部21(情報送受信装置)は、デバイス20と作業機械40との間で情報を送受信する。デバイス側送受信部21による具体的な通信方法については後述する。
出力部22(出力装置)は、作業者に対して通知などを出力する。出力部22は、例えば、表示および音声の少なくとも一方を出力する。出力部22は、例えば、ディスプレイおよびスピーカの少なくとも一方を備える。出力部22は、図1に示す例では、デバイス20の一部であるが、デバイス20の外部に設けられてもよく、例えばデバイス20に接続される外部ディスプレイ又は外部スピーカなどでもよい。
保持部23は、情報を保持(記憶)及び管理する。保持部23は、例えば不揮発性の記憶装置で構成されている。保持部23は前記記憶装置の一部の記憶領域であってもよい。保持部23は、制御パラメータPを保持する保持部23aと、IDおよび鍵情報K(後述)を保持する保持部23bと、を備える。第三者(攻撃者)による情報流出を抑制するために、保持部23の耐タンパ性ができるだけ高いことが好ましい。具体的には例えば、保持部23は、TPM(Trusted Platform Module)で構成されてもよく、TEE(Trusted Execution Environment)で構成されてもよい。保持部23のうち、鍵情報Kを保持する領域(保持部23b)の耐タンパ性が高いことがより好ましい。以下で説明する、各種情報(鍵情報K及び制御パラメータPなど)を処理する部分(例えば暗号化部25など)並びに、各種情報を保持する部分(例えば鍵情報管理部53など)などについても、耐タンパ性ができるだけ高いことが好ましい。各種情報にはデジタル署名が添付されてもよい。各種情報は、暗号化された状態で保持されてもよい。
暗号化部25(情報暗号化装置)は、鍵情報Kを用いて情報(例えば制御パラメータP)を暗号化する。この暗号化の詳細は後述される。
作業機械40は、図2に示すように、作業を行う機械で構成される。作業機械40は、例えば建設作業を行う建設機械であってもよい。この建設機械は、例えばショベルであってもよいし、クレーンであってもよい。以下、作業機械40がショベルの場合について説明する。作業機械40は、下部走行体41と、上部旋回体42と、アタッチメント43と、エンジン44と、図1に示すコントローラ50と、入力装置63と、センサ70と、を備える。
下部走行体41は、図2に示すように、作業機械40を走行させる。上部旋回体42は、下部走行体41に旋回可能に搭載される。上部旋回体42は、作業者が作業機械40を操作するためのキャブ42aを備える。
アタッチメント43は、作業を行う装置である。アタッチメント43は、例えば、ブーム43aと、アーム43bと、先端アタッチメント43cと、を備える。ブーム43aは、上部旋回体42に対して起伏(回転)可能である。アーム43bは、ブーム43aに対して回転可能である。先端アタッチメント43cは、アタッチメント43の先端部に設けられ、アーム43bに対して回転可能である。先端アタッチメント43cは、例えば土砂をすくうバケットでもよく、物を挟む装置(グラップルなど)でもよく、破砕を行う装置(ブレーカなど)でもよい。
エンジン44は、作業機械40の駆動源である。エンジン44は、ポンプ(図示なし)を駆動してもよいし、発電機を駆動してもよい。このエンジン44に駆動されるポンプは、油圧アクチュエータ(例えば油圧モータおよび油圧シリンダ)に作動油を供給する。この油圧アクチュエータが作動する結果、作業機械40が作動する。
コントローラ50(制御装置、コンピュータ)は、図1に示すように、作業機械40に搭載される。コントローラ50は、信号の入出力、演算(処理)、および情報の記憶などを行う。コントローラ50は、作業機械側送受信部51と、状態管理部52と、鍵情報管理部53と、復号化部55と、制御パラメータ管理部57と、鍵情報生成部61と、を備える。
作業機械側送受信部51(情報送受信装置)は、作業機械40と外部装置10(例えばデバイス20)との間で情報を送受信する。作業機械40と外部装置10との間での通信は、無線でも、有線でも、有線と無線との混在でもよい。作業機械40と外部装置10との間での通信は、直接的でもよく、図示しない通信装置を経由してもよい(間接的でもよい)。例えば、作業機械40と外部装置10との間での通信は、図示しない通信装置に対して真正性検証を行うなどによって信頼できる経路が構築できるのであれば、マルチホップによるものでもよい。
状態管理部52は、作業機械40の状態を管理する。状態管理部52は、作業機械40の状態を、鍵情報生成状態と、鍵情報生成状態でない状態(通常状態)と、に切り換える。
鍵情報管理部53は、鍵情報Kを保持(管理)する。鍵情報管理部53は、作業機械40を利用する複数の作業者のそれぞれのIDと、このIDに対応する鍵情報Kと、を対応付けて(組として)保持する。保持部23と同様に、鍵情報管理部53の耐タンパ性ができるだけ高いことが好ましい。
復号化部55(情報復号化装置)は、鍵情報Kを用いて情報(例えば制御パラメータP)を復号する。この復号の詳細は後述される。復号化部55は、情報を正しく復号できたか否かを判定する。この判定の詳細は後述される。
制御パラメータ管理部57は、制御パラメータPを管理する。制御パラメータ管理部57には、復号化部55で復号された制御パラメータPが格納される。
鍵情報生成部61(鍵情報生成装置)は、鍵情報Kを生成する。鍵情報生成部61は、センサ70から入力されたセンサ値に基づいて鍵情報Kを生成する鍵情報Kの生成の詳細は後述される。鍵情報Kは、作業機械40と外部装置10との間での情報の授受に用いられる。鍵情報Kは、情報の暗号化および復号に用いられてもよく、情報の改ざん検知に用いられてもよく(第3実施形態などを参照)、情報の利用者の認証に用いられてもよい(第5実施形態などを参照)。鍵情報Kは、例えば、作業機械40と外部装置10との間での、制御パラメータPの授受に用いられてもよく、制御パラメータP以外の情報の授受に用いられてもよい。ここでは、鍵情報Kが、制御パラメータPの暗号化および復号に用いられる場合について説明する。
入力装置63は、図2に示すように、作業機械40の操作者(作業者)に操作される装置である。入力装置63は、例えば、キャブ42aの内部に配置される。入力装置63は、操作パネル63aと、操作レバー63bと、レバーロック63cと、を備える。操作パネル63aは、各種操作を行うための装置であり、例えば画面を備える装置である。操作パネル63aには、少なくとも1つのボタンがある。操作パネル63aのボタンは、物理ボタンでもよく、画面に表示されたボタンでもよい。操作パネル63aは、キャブ42a内に固定された常設パネルでもよく、キャブ42a内に固定されない例えばタブレットPCなどの情報端末などの装置でもよい。操作パネル63aがキャブ42a内に固定されない場合、操作パネル63aは、ボタン操作の情報をボタンオンオフセンサ71aに、無線通信により送信してもよく、有線通信により送信してもよい。操作レバー63bは、作業機械40を操作する操作部である。操作レバー63bは、下部走行体41の走行、下部走行体41に対する上部旋回体42の旋回、およびアタッチメント43の作動を操作するための入力装置である。レバーロック63cは、作業者がキャブ42aに出入りする際に上げ下げされる入力装置であり、操作レバー63bの操作の有効と無効(ロック)とを切り換える。なお、入力装置63は、上記の例以外の入力装置を含んでもよい。例えば、入力装置63は、作業機械40を操作するペダルなどを含んでもよい。
センサ70は、図3に示すように、各種情報を検出し、センサ値(検出値)を出力する。センサ70は、作業機械40(図2参照)に常設されているセンサである。センサ70は、鍵情報K(図1参照)の生成のためにのみ設けられる必要はない。センサ70には、入力装置63の操作の状態を検出するセンサと、それ以外の状態を検出するセンサと、がある。具体的には、入力装置63の操作の状態を検出するセンサ70は、ボタンオンオフセンサ71aと、操作量センサ71bと、レバーロックオンオフセンサ71cと、を含む。さらに、センサ70は、インジェクタ噴射量センサ73aと、エンジン回転数センサ73bと、エンジン水温センサ73cと、ポンプ圧力センサ73dと、作動油温センサ73eと、比例弁電流値センサ73fと、を含む。
ボタンオンオフセンサ71aは、操作パネル63aのボタン操作の状態がオンかオフかを検出する。操作パネル63aの複数のボタンごとに、ボタンオンオフセンサ71aが設けられる。操作量センサ71bは、操作レバー63bが操作された際に変化する値(電流および油圧の少なくともいずれか)を検出する。操作量センサ71bは、図2に示す操作レバー63bの操作の種類(例えば旋回、ブーム43a上げ、ブーム43a下げなど)ごとに設けられる。図3に示すレバーロックオンオフセンサ71cは、レバーロック63cがオンかオフかを検出する。
インジェクタ噴射量センサ73aは、エンジン44(図2参照)のインジェクタの燃料噴射量を検出する。エンジン回転数センサ73bは、エンジン44の回転数を検出する。エンジン回転数センサ73bは、エンジン44に駆動されるポンプの回転数の検出結果を用いて、エンジン44の回転数を検出してもよい。エンジン水温センサ73cは、エンジン44の冷却水の温度を検出する。ポンプ圧力センサ73dは、エンジン44が駆動するポンプが吐出する作動油の圧力を検出する。作動油温センサ73eは、作業機械40(図2参照)の油圧回路を流れる作動油の温度を検出する。比例弁電流値センサ73fは、油圧回路に設けられた比例弁の電流(比例弁への指令)を検出する。比例弁電流値センサ73fは、コントローラ50で構成されてもよい。さらに詳しくは、コントローラ50が比例弁に出力する値をコントローラ50が取得してもよい。
なお、鍵情報Kの生成に用いられるセンサ値は、上記の例以外のものでもよい。例えば、上記の例以外の入力装置63が設けられる場合、その入力装置63の操作を検出するセンサ70のセンサ値が、鍵情報Kの生成に用いられてもよい。例えば、作業機械40を操作するためのペダルなどが作業機械40にある場合は、このペダルの操作量を検出するセンサ70のセンサ値が、鍵情報Kの生成に用いられてもよい。例えば、図2に示す作業機械40の姿勢(アタッチメント43の姿勢、下部走行体41に対する上部旋回体42の旋回角度など)を検出するセンサ70(図3参照)のセンサ値が、鍵情報K(図3参照)の生成に用いられてもよい。例えば、作業機械40の位置、速度、および加速度の少なくともいずれかの状態を検出するセンサ70のセンサ値が、鍵情報Kの生成に用いられてもよい。例えば、作業機械40に設けられたカメラ(センサ70に含まれる)のセンサ値が、鍵情報Kの生成に用いられてもよい。また、上記のセンサ70の例の少なくとも一部が、作業機械40に設けられなくてもよい。作業機械40に存在するセンサ70のセンサ値が、鍵情報Kの生成に用いられればよい。
(作動)
図1に示す情報処理システム1は、以下のように作動するように構成される。情報処理システム1の作動(情報処理方法、プログラム)の概要は、次の通りである。
図1に示す情報処理システム1は、以下のように作動するように構成される。情報処理システム1の作動(情報処理方法、プログラム)の概要は、次の通りである。
情報処理システム1の作動は、鍵情報生成フェーズS10(図4、図6、図7参照)と、暗号化・復号化フェーズS40(図5、図8、図9参照)と、を有する。図4に示すように、鍵情報生成フェーズS10は、情報(ここでは制御パラメータP)の送受信に用いるための鍵情報Kを生成するフェーズである。図5に示すように、暗号化・復号化フェーズS40は、次のように行われる。外部装置10(例えばデバイス20)は、鍵情報Kを用いて、制御パラメータPを作業機械40に送信する。さらに詳しくは、デバイス20は、鍵情報Kを用いて制御パラメータPを暗号化し(ステップS51)、暗号化した制御パラメータPを作業機械40に送信する(ステップS53)。これにより、第三者による制御パラメータPの窃取を抑制できる。また、作業機械40は、鍵情報Kを用いて、暗号化された制御パラメータPを復号する(ステップS63)。これにより、作業機械40が受信した制御パラメータP(さらに詳しくは暗号化された制御パラメータP)が、作業者が想定している制御パラメータPであることを確認できる。情報処理システム1の作動の詳細は、次の通りである。以下では、処理(ステップ)の順に沿って説明する。なお、処理の順は、適宜変更されてもよい。
(鍵情報生成フェーズS10)
図4に示すように、鍵情報生成フェーズS10では、制御パラメータP(図5参照)の送受信の際に用いるための鍵情報Kが生成される。デバイス20は、作業機械40の状態を通常状態から鍵情報生成状態へと移行させる命令(鍵情報生成状態移行命令)を、作業機械40の状態管理部52に送信する(ステップS11)。情報(ここでは鍵情報生成状態移行命令)の送受信は、図1に示すデバイス側送受信部21および作業機械側送受信部51を介して行われる。このことは、以下の送受信について同様である。図4に示すように、状態管理部52は、作業機械40(図1参照)を通常状態から鍵情報生成状態に移行(遷移)させる(ステップS13)。なお、図7に示すように、状態管理部52が鍵情報生成状態移行命令を受信しない場合(ステップS12でNOの場合)、鍵情報生成フェーズS10の処理を終了する。
図4に示すように、鍵情報生成フェーズS10では、制御パラメータP(図5参照)の送受信の際に用いるための鍵情報Kが生成される。デバイス20は、作業機械40の状態を通常状態から鍵情報生成状態へと移行させる命令(鍵情報生成状態移行命令)を、作業機械40の状態管理部52に送信する(ステップS11)。情報(ここでは鍵情報生成状態移行命令)の送受信は、図1に示すデバイス側送受信部21および作業機械側送受信部51を介して行われる。このことは、以下の送受信について同様である。図4に示すように、状態管理部52は、作業機械40(図1参照)を通常状態から鍵情報生成状態に移行(遷移)させる(ステップS13)。なお、図7に示すように、状態管理部52が鍵情報生成状態移行命令を受信しない場合(ステップS12でNOの場合)、鍵情報生成フェーズS10の処理を終了する。
図4に示すように、デバイス20は、IDを、作業機械40の鍵情報生成部61に送信する(ステップS15)。なお、デバイス20から作業機械40へのIDの送信(ステップS15)は、鍵情報生成状態移行命令の送信(ステップS11)と同時に行われてもよい。以下、別々の処理として記載した処理が同時に行われてもよく、同時に行われる処理として記載した処理が別々に行われてもよい。また、作業機械40のうちIDを受信する部分は、図4に示す例では鍵情報生成部61であるが、鍵情報生成部61である必要はない。以下で説明する情報の送受信についても、送受信を行う部分適宜変更されてもよい。鍵情報生成部61は、センサ70からセンサ値を取得する(ステップS21)。鍵情報生成部61は、所定時間の間、センサ値を取得する。鍵情報生成部61がセンサ値を取得する所定時間は、ある瞬間でもよく、長さを有する時間でもよい。鍵情報生成部61がセンサ値を取得する所定時間の長さや時刻などは、センサ70の種類によって異なってもよく、共通でもよい。
鍵情報生成部61は、センサ値を鍵情報Kに変換することで、鍵情報Kを生成する(ステップS23)。鍵情報生成部61による鍵情報Kの生成の詳細は、次の通りである。図3に示すように、センサ70には複数の種類(例えばインジェクタ噴射量センサ73a、エンジン回転数センサ73bなど)があり、センサ値にも複数の種類がある。鍵情報生成部61は、これらの複数種類のセンサ値のうち、少なくとも1種類のセンサ値に基づいて、鍵情報Kを生成する。鍵情報生成部61が鍵情報Kの生成に用いるセンサ値の選び方は様々な選び方がある。例えば、鍵情報生成部61は、入力装置63の操作の状態に関するセンサ値、および、入力装置63の操作以外の状態に関するセンサ値のうち、いずれか一方を選択してもよく、両方を選択してもよい。鍵情報生成部61は、同じセンサ値を重複して選択してもよい。例えば、鍵情報生成部61は、同じ種類のセンサ値かつ同じ時刻のセンサ値を重複して選択してもよく、同じ種類のセンサ値かつ異なる時刻のセンサ値を選択してもよい。鍵情報生成部61は、鍵情報Kの生成ごとに、選択するセンサ値の種類を変えてもよく、選択するセンサ値を予め決めておいてもよい。
鍵情報生成部61による、センサ値の鍵情報Kへの変換の具体例は、次の通りである。[例1]鍵情報生成部61は、センサ値に基づいて生成したビット列を鍵情報Kとする。鍵情報生成部61は、センサ値を例えば次のようにビット列に変換する。[例1A]センサ値がオンかオフのデータで構成される場合(例えばボタンオンオフセンサ71aなどのセンサ値の場合)の例は次の通りである。この場合、鍵情報生成部61は、センサ値がオンの場合はビット列を「0/1」とし、センサ値がオフの場合はビット列を「1/0」とする。オンとオフとは互いに逆でもよい。[例1B]センサ値が数値(圧力値や電流値など)で構成される場合、鍵情報生成部61は、センサ値の数値を二進数に変換することで、センサ値をビット列に変換してもよい。[例1C]鍵情報生成部61は、所定時間内で経時変化するセンサ値(時系列データ)に基づいて、センサ値をビット列に変換してもよい。例えば、鍵情報生成部61は、時間ごとのセンサ値それぞれをビット列に変換し、各ビット列を組み合わせればよい。[例1D]鍵情報Kの生成に用いられるセンサ値が複数の場合、鍵情報生成部61は、それぞれのセンサ値をビット列に変換し、各ビット列を組み合わせればよい。
[例2]鍵情報生成部61は、センサ値および/又はビット列を所定の関数で、少なくとも1回変換してもよい。[例2A]鍵情報生成部61は、センサ値を変換して最終的に得られたビット列を、所定の関数で変換してもよい。[例2B]鍵情報生成部61は、最終的に得られる前の段階のセンサ値及び/又はビット列を、所定の関数で変換してもよい。[例2Ba]鍵情報生成部61は、所定時間内で経時変化するセンサ値(時系列データ)の、時間ごとのセンサ値を、所定の関数で変換してもよい。[例2Bb]鍵情報生成部61は、複数種類のセンサ値のそれぞれを、所定の関数で変換してもよい。[例2C]所定の関数は、加減乗除でもよく、一方向関数でもよく、その他の関数でもよい。[例2Ca]一方向関数は、例えば、SHA-2(SHA;Secure Hash Algorithm)(SHA-256又はSHAー512など)などのハッシュ関数でもよい。
図4に示すように、鍵情報生成部61は、IDと、生成した鍵情報Kと、を鍵情報管理部53に保存する(ステップS25)。この場合、鍵情報管理部53は、IDと鍵情報Kとを対応付けて保存すればよい。鍵情報生成部61は、デバイス20に鍵情報Kを送信する(ステップS27)。デバイス20は、受信した鍵情報Kを保持部23b(図1参照)に保存する。状態管理部52は、作業機械40を通常状態に移行させる(ステップS31)。通常状態では、鍵情報生成部61は、センサ値の取得および鍵情報の生成を行わない。
(暗号化・復号化フェーズS40)
図5に示すように、暗号化・復号化フェーズS40では、制御パラメータPの暗号化および復号が行われる。デバイス20の暗号化部25(図1参照)は、鍵情報Kを用いて制御パラメータPを暗号化する(ステップS51)。暗号化部25による暗号化には、例えばAES(Advanced Encryption Standard)などの既存の共通鍵暗号方式が利用されてもよいし、情報処理システム1(図1参照)独自の共通鍵暗号化方式が利用されてもよい。デバイス20は、IDと、暗号化した制御パラメータP(図5では「Enc(制御パラメータP)」)と、を作業機械40の復号化部55に送信する(ステップS53)。復号化部55は、受信したIDに対応した鍵情報Kを、鍵情報管理部53から抽出する(ステップS61)。復号化部55は、抽出した鍵情報Kを用いて、暗号化された制御パラメータPを復号する(ステップS63)。復号化部55は、復号に成功したか、失敗したか、を判定する(図9に示すステップS65)。復号化部55は、例えばパリティビットなどを利用して、復号に成功したか否かの判定を行う。
図5に示すように、暗号化・復号化フェーズS40では、制御パラメータPの暗号化および復号が行われる。デバイス20の暗号化部25(図1参照)は、鍵情報Kを用いて制御パラメータPを暗号化する(ステップS51)。暗号化部25による暗号化には、例えばAES(Advanced Encryption Standard)などの既存の共通鍵暗号方式が利用されてもよいし、情報処理システム1(図1参照)独自の共通鍵暗号化方式が利用されてもよい。デバイス20は、IDと、暗号化した制御パラメータP(図5では「Enc(制御パラメータP)」)と、を作業機械40の復号化部55に送信する(ステップS53)。復号化部55は、受信したIDに対応した鍵情報Kを、鍵情報管理部53から抽出する(ステップS61)。復号化部55は、抽出した鍵情報Kを用いて、暗号化された制御パラメータPを復号する(ステップS63)。復号化部55は、復号に成功したか、失敗したか、を判定する(図9に示すステップS65)。復号化部55は、例えばパリティビットなどを利用して、復号に成功したか否かの判定を行う。
図1に示す復号化部55が、制御パラメータPの復号に成功した場合、すなわち、鍵情報Kによって正しく制御パラメータPを復号できた場合、次の処理が行われる。この場合、作業機械40の例えば復号化部55は、復号した制御パラメータPを制御パラメータ管理部57に展開する(図9に示すステップS66)。その結果、図1に示す作業機械40の作動が、復号された制御パラメータPに基づいて制御される。また、図5に示すように、復号化部55は、デバイス20に、制御パラメータPの展開が完了した旨(展開結果)を送信(通知)する(図9に示すステップS71a)。展開結果を受信したデバイス20は、図1に示す出力部22に展開結果を出力させる(図8に示すステップS73)。
一方、図1に示す復号化部55が制御パラメータPの復号に失敗した場合(鍵情報Kによって正しく制御パラメータPが復号されなかった場合)、次の処理が行われる。この場合、復号化部55は、デバイス20に、展開が失敗した旨(展開結果)を通知する(図9に示すステップS71b)。展開結果を受信したデバイス20は、図1に示す出力部22に展開結果を出力させる(図8に示すステップS73)。復号化部55が復号に失敗した場合、作業機械40は、復号化に失敗した制御パラメータPを制御パラメータ管理部57に展開しない。このように、制御パラメータPの復号に成功した場合のみ、制御パラメータ管理部57に制御パラメータPが展開される。よって、作業機械40を利用する作業者と対応付けられている(具体的にはIDと対応付けられている)制御パラメータPを作業機械40に展開できる。よって、作業機械40に展開される制御パラメータPが、作業者の想定していない制御パラメータPであることを抑制できる。
(情報を暗号化しない場合の問題)
外部装置10と作業機械40との間で情報が平文で授受された場合、第三者が情報を窃取し流出させるおそれがある。この情報が制御パラメータPの場合は、流出した制御パラメータPが、第三者(例えば他社)による作業機械40の解析の手がかりとして利用されるおそれがある。また、第三者が、平文の制御パラメータPを解析して、制御パラメータPの正規のフォーマットを取得すると、正規のフォーマットで作業者の意図しない制御パラメータPが、作業機械40に展開されるおそれがある。この場合、作業者の想定しない作動を作業機械40が実行するおそれ、又は作業機械40が作動しないおそれがある。そこで、情報処理システム1は、制御パラメータPを暗号化することで、これらの問題を抑制できる。
外部装置10と作業機械40との間で情報が平文で授受された場合、第三者が情報を窃取し流出させるおそれがある。この情報が制御パラメータPの場合は、流出した制御パラメータPが、第三者(例えば他社)による作業機械40の解析の手がかりとして利用されるおそれがある。また、第三者が、平文の制御パラメータPを解析して、制御パラメータPの正規のフォーマットを取得すると、正規のフォーマットで作業者の意図しない制御パラメータPが、作業機械40に展開されるおそれがある。この場合、作業者の想定しない作動を作業機械40が実行するおそれ、又は作業機械40が作動しないおそれがある。そこで、情報処理システム1は、制御パラメータPを暗号化することで、これらの問題を抑制できる。
第1実施形態の内容は下記のようにまとめられる。
図1に示すように、情報処理システム1は、センサ70と、鍵情報生成部61と、を備える。センサ70は、作業機械40に設けられている。鍵情報生成部61は、作業機械40に設けられ、センサ70から入力されたセンサ値に基づいて鍵情報Kを生成する。鍵情報Kは、作業機械40と、作業機械40の外部に設けられる外部装置10と、の間での情報の授受に用いられる。
この構成では、作業機械40に設けられたセンサ70のセンサ値に基づいて、鍵情報Kが生成される。よって、センサ70のセンサ値を用いることなく作業機械40で鍵情報Kが生成される場合に比べ、作業機械40は鍵情報Kを容易に生成できる。具体的には、鍵情報Kを生成するための専用の乱数発生装置を不要にできる。また、鍵情報Kを生成するのに必要な処理能力(具体的にはコントローラ50の処理能力)が抑制される。
さらに情報処理システム1において、鍵情報生成部61は、下記(2a)~(2f)のうち少なくとも1つのセンサ値に基づいて、鍵情報Kを生成する。(2a)図2に示す作業機械40のエンジン44のインジェクタの燃料噴射量。(2b)エンジン44の回転数。(2c)エンジン44の冷却水の温度。(2d)作業機械40のポンプの圧力。(2e)作業機械40の作動油の温度。(2f)作業機械40の比例弁の電流。
さらに情報処理システム1において、各センサ値は、図1に示す作業機械40に通常搭載されているセンサ70のセンサ値である。よって、鍵情報生成部61は、作業機械40に通常搭載されているセンサ70のセンサ値を利用して、鍵情報Kを生成できる。
さらに情報処理システム1において、センサ70は、作業機械40の操作者に操作される入力装置63の操作を検出する。鍵情報生成部61は、下記(3a)~(3c)のうち少なくとも1つのセンサ値に基づいて、鍵情報Kを生成する。(3a)図2に示す作業機械40の操作パネル63aのボタンのオンオフ。(3b)作業機械40の操作レバー63bが操作された際に変化する電流および圧力の少なくともいずれか。(3c)作業機械40のレバーロック63cのオンオフ。
さらに情報処理システム1において、各センサ値は、図1に示す作業機械40に通常搭載されている入力装置63の操作に関するセンサ値である。よって、鍵情報生成部61は、作業機械40に通常搭載されているセンサ70のセンサ値を利用して、鍵情報Kを生成できる。
さらに情報処理システム1において、鍵情報生成部61は、センサ値に基づいて生成したビット列を、鍵情報Kとする。
この構成により、鍵情報生成部61は、センサ値から、ビット列である鍵情報Kを導出できる。
さらに情報処理システム1において、鍵情報生成部61は、所定時間内で経時変化するセンサ値に基づいて生成したビット列を、鍵情報Kとする。
この構成により、鍵情報生成部61は、経時変化するセンサ値(時系列データ)に基づいて、ビット列である鍵情報Kを導出できる。
さらに情報処理システム1において、外部装置10および作業機械40のうちの一方は、情報を送信する送信側機器であり、他方は情報を受信する受信側機器である。送信側機器(例えば外部装置10)は、受信側機器(例えば作業機械40)に保存された鍵情報Kと同一の鍵情報Kを用いて情報を暗号化する(ステップS51(図5参照))。受信側機器(例えば作業機械40)は、送信側機器(例えば外部装置10)から受信した暗号化された情報を、受信側機器に保存された鍵情報Kを用いて復号する(ステップS63(図5参照))。
この構成では、外部装置10と作業機械40との間で授受される情報が暗号化されるので、外部装置10と作業機械40とで情報が授受される際の、第三者による情報の窃取(盗聴)を抑制できる。その結果、第三者が窃取した情報、又は第三者が窃取した情報から生成した(例えば改変された)情報に基づいて、外部装置10又は作業機械40が作動することを抑制できる。
さらに情報処理システム1において、上記情報(外部装置10と作業機械40との間で授受される情報)は、作業機械40の作動を制御するための制御パラメータPである。外部装置10は、鍵情報Kを用いて、制御パラメータPを作業機械40に送信する。作業機械40は、作業機械40の作動を制御パラメータPに基づいて制御するか否かを、鍵情報Kに基づいて判定する。
この構成では、作業機械40の作動を制御パラメータPに基づいて制御するか否かが、鍵情報Kに基づいて判定される。よって、鍵情報Kに基づいた適切な制御パラメータPで、作業機械40の作動が制御される。
さらに情報処理システム1において、外部装置10は、作業機械40から受信した鍵情報Kを用いて制御パラメータPを暗号化する(図5に示すステップS51)。図5に示すように、作業機械40は、外部装置10から受信した暗号化された制御パラメータPを、作業機械40に保存された鍵情報Kを用いて復号する(ステップS63)。
この構成では、制御パラメータPが暗号化されるので、外部装置10と作業機械40とで制御パラメータPが授受される際の、第三者による制御パラメータPの窃取(盗聴)が抑制される。その結果、次の効果が得られる。第三者が、窃取した制御パラメータPに基づいて、例えば改変された正規でない制御パラメータPを生成し、正規でない制御パラメータPを作業機械40に送信し、展開させることを抑制できる。その結果、作業者の想定しない作動を作業機械40が実行すること、又は作業機械40が作動しないことを抑制できる。
さらに情報処理システム1において、作業機械40の作動を制御パラメータPに基づいて制御するための条件は、鍵情報Kによって正しく制御パラメータPが復号されたことを含む。
この構成により、作業機械40の作動の制御に用いられる制御パラメータPが、鍵情報Kによって正しく復号されたものであることを保障できる。
第1実施形態の情報処理方法において、図4に示すように、本実施形態の情報処理方法は、作業機械40に設けられたセンサ70から入力されたセンサ値に基づいて鍵情報Kを生成するステップS23を備える。鍵情報Kは、作業機械40と、作業機械40の外部に設けられる外部装置10と、の間での情報の授受に用いられる(図5などを参照)。
この構成により、上記の情報処理システム1で述べた効果と同様の効果が得られる。
さらに情報処理方法において、図5に示す外部装置10および作業機械40のうちの一方は、情報を送信する送信側機器であり、他方は情報を受信する受信側機器である。情報処理方法は、下記(a17)および(b17)のステップを備える。
(a17)送信側機器(例えば外部装置10)が、受信側機器(例えば作業機械40)に保存された鍵情報Kと同一の鍵情報Kを用いて情報を暗号化する(ステップS51)。(b17)受信側機器が、送信側機器から受信した暗号化された前記情報を、受信側機器保存された前記鍵情報を用いて復号する(ステップS63)。
この構成により、上記の情報処理システム1で述べた効果と同様の効果が得られる。
さらに情報処理方法において、上記情報(作業機械40と外部装置10との間で授受される情報)は、作業機械40の作動を制御するための制御パラメータPである。情報処理方法は、下記(a20)および(b20)のステップを備える。
(a20)外部装置10が、鍵情報Kを用いて、制御パラメータPを作業機械40に送信する(ステップS53)。(b20)作業機械40が、作業機械40の作動を制御パラメータPに基づいて制御するか否かを、鍵情報Kに基づいて判定するステップ(ステップS63、図9に示すステップS65を参照)。
この構成により、上記の情報処理システム1で述べた効果と同様の効果が得られる。
さらに、図4に示すように、第1実施形態のプログラムは、作業機械40に設けられたセンサ70から入力されたセンサ値に基づいて鍵情報Kを生成するステップS23をコントローラ50(コンピュータ)に実行させる。鍵情報Kは、作業機械40と、作業機械40の外部に設けられる外部装置10と、の間での情報の授受に用いられる(図5などを参照)。
この構成により、上記の情報処理システム1で述べた効果と同様の効果が得られる。
さらにプログラムにおいて、外部装置10および作業機械40のうちの一方は、情報を送信する送信側機器であり、他方は情報を受信する側を受信側機器である。プログラムは、上記の(a17)および(b17)のステップを備える。
この構成により、上記の情報処理システム1で述べた効果と同様の効果が得られる。
さらにプログラムにおいて、上記情報(作業機械40と外部装置10との間で授受される情報)は、作業機械40の作動を制御するための制御パラメータPである。プログラムは、上記の(a20)および(b20)のステップを備える。
この構成により、上記の情報処理システム1で述べた効果と同様の効果が得られる。
(第2実施形態)
図10~図11を参照して、第2実施形態の情報処理システム201(図10参照)、情報処理方法、およびプログラムについて、第1実施形態との相違点が説明される。なお、第2実施形態と第1実施形態との共通点については、説明が省略される。共通点の説明を省略する点については、後述する他の実施形態の説明も同様である。
図10~図11を参照して、第2実施形態の情報処理システム201(図10参照)、情報処理方法、およびプログラムについて、第1実施形態との相違点が説明される。なお、第2実施形態と第1実施形態との共通点については、説明が省略される。共通点の説明を省略する点については、後述する他の実施形態の説明も同様である。
外部装置10は、図10に示すように、デバイス20と、サーバ220と、を備える。
図1に示す例におけるデバイス20の構成要素の一部(暗号化部25など)が、本実施形態では、図10に示すように、サーバ220に設けられる。デバイス20は、暗号化部25を備えなくてもよい。デバイス側送受信部21は、作業機械40とデバイス20との間だけでなく、サーバ220(サーバ側送受信部221)とデバイス20との間でも情報を送受信する。デバイス20の保持部23は、IDを保持し、鍵情報Kを保持しなくてもよい。第1実施形態におけるデバイス20に関する説明は、デバイス20またはサーバ220に関する説明(すなわち外部装置10に関する説明)に読み替えてよい(他の実施形態についても同様)。
サーバ220は、鍵情報Kを一元管理する。サーバ220は、制御パラメータPを一元管理する。サーバ220は、デバイス20とは別に設けられる。サーバ220は、サーバ側送受信部221と、暗号化部25(第1実施形態と同様)と、保持部223と、抽出部224と、を備える。
サーバ側送受信部221は、サーバ220と作業機械40との間、および、サーバ220とデバイス20との間で、情報を送受信する。保持部223は、制御パラメータPを保持する保持部223aと、鍵情報Kを保持する保持部223bと、を備える。保持部223aは、複数の作業者のIDと制御パラメータP(図10では「パラメータ群」)とを対応付けて保持する。保持部223bは、複数の作業者のIDと鍵情報Kとを対応付けて保持する。これにより、複数の作業者の鍵情報Kが、サーバ220で一元管理されるので、例えば作業機械40の管理者などの利便性が向上する。さらに、制御パラメータPもサーバ220で一元管理されるので、作業機械40の管理者などの利便性が向上する。抽出部224は、保持部223から、特定の鍵情報Kおよび制御パラメータPを抽出する。この制御パラメータPの抽出の詳細は後述される。
(作動)
第1実施形態の情報処理システム1(図1参照)の作動に対する、本実施形態の情報処理システム201の作動(情報処理方法、プログラム)の相違点は、次の通りである。
第1実施形態の情報処理システム1(図1参照)の作動に対する、本実施形態の情報処理システム201の作動(情報処理方法、プログラム)の相違点は、次の通りである。
鍵情報生成フェーズS10(図4参照)は、第1実施形態とほぼ同様に行われる。図4に示す例では、デバイス20は、作業機械40の鍵情報生成部61にIDを送信した(ステップS15)。本実施形態では、図10に示すデバイス20は、サーバ220を介して作業機械40にIDを送信してもよく、直接的に作業機械40にIDを送信してもよい。このことはID以外の情報の送受信についても同様である。
(暗号化・復号化フェーズS240)
図1に示す例では、デバイス20の暗号化部25が、制御パラメータPを暗号化した。本実施形態では、図10に示すサーバ220の暗号化部25が、制御パラメータPを暗号化する。詳細は次の通りである。図11に示すように、デバイス20は、サーバ220の抽出部224(図10参照)にIDを送信する(ステップS241)。図10に示す抽出部224は、デバイス20から受信したIDに対応する制御パラメータPを保持部223aから抽出し、デバイス20から受信したIDに対応する鍵情報Kを保持部223bから抽出する(図11に示すステップS243)。暗号化部25は、抽出された鍵情報Kを用いて、抽出された制御パラメータPを暗号化する(図11に示すステップS51)。なお、抽出部224が、デバイス20から受信したIDに対応する制御パラメータPおよび鍵情報Kを抽出できない場合は、暗号化部25は、暗号化を行わない。図11に示すように、サーバ220は、IDおよび暗号化した制御パラメータPを、作業機械40の復号化部55に送信する(ステップS253)。ステップS53よりも後の処理は、第1実施形態と同様である。
図1に示す例では、デバイス20の暗号化部25が、制御パラメータPを暗号化した。本実施形態では、図10に示すサーバ220の暗号化部25が、制御パラメータPを暗号化する。詳細は次の通りである。図11に示すように、デバイス20は、サーバ220の抽出部224(図10参照)にIDを送信する(ステップS241)。図10に示す抽出部224は、デバイス20から受信したIDに対応する制御パラメータPを保持部223aから抽出し、デバイス20から受信したIDに対応する鍵情報Kを保持部223bから抽出する(図11に示すステップS243)。暗号化部25は、抽出された鍵情報Kを用いて、抽出された制御パラメータPを暗号化する(図11に示すステップS51)。なお、抽出部224が、デバイス20から受信したIDに対応する制御パラメータPおよび鍵情報Kを抽出できない場合は、暗号化部25は、暗号化を行わない。図11に示すように、サーバ220は、IDおよび暗号化した制御パラメータPを、作業機械40の復号化部55に送信する(ステップS253)。ステップS53よりも後の処理は、第1実施形態と同様である。
(第3実施形態)
図12~図15を参照して、第3実施形態の情報処理システム301(図12参照)、情報処理方法、およびプログラムについて、第1実施形態との相違点を説明する。第1実施形態の情報処理システム1(図1参照)は情報暗号化システムであった。一方、本実施形態の情報処理システム301(図12参照)は、図12に示す作業機械40が受信した情報が改ざんされたものであるか否かを検知する、情報改ざん検知システムである。
図12~図15を参照して、第3実施形態の情報処理システム301(図12参照)、情報処理方法、およびプログラムについて、第1実施形態との相違点を説明する。第1実施形態の情報処理システム1(図1参照)は情報暗号化システムであった。一方、本実施形態の情報処理システム301(図12参照)は、図12に示す作業機械40が受信した情報が改ざんされたものであるか否かを検知する、情報改ざん検知システムである。
デバイス20は、第1MAC生成部325(メッセージ認証符号生成装置)を備える。MACはメッセージ認証符号(Message Authentication Code)である。第1MAC生成部325は、鍵情報Kと、その他の情報(例えば制御パラメータP)と、から第1MAC(第1認証符号)を生成する。第1認証符号の生成の詳細は後述される。第1MAC生成部325は、耐タンパ性ができるだけ高い部分に実装されることが好ましい。このことは、第2MAC生成部355についても同様である。デバイス20は、暗号化部25(図1参照)を備えなくてもよい。
作業機械40は、第2MAC生成部355(メッセージ認証符号生成装置)と、判定部356と、を備える。第2MAC生成部355は、鍵情報Kと、その他の情報(例えば制御パラメータP)と、から第2MAC(第2認証符号)を生成する。第2認証符号の生成の詳細は後述される。判定部356(判定装置)は、第1MACと第2MACとを比較する事で、情報(例えば制御パラメータP)が改ざんされたか否かを判定する。この判定の詳細は後述される。作業機械40は、復号化部55(図1参照)を備えなくてもよい。
(作動)
情報処理システム301の作動(情報処理方法、プログラム)の概要は、次の通りである。情報処理システム301の作動は、第1実施形態と同様の鍵情報生成フェーズS10(図4参照)と、改ざん検知フェーズS340(図13、図14、および図15参照)と、を有する。
情報処理システム301の作動(情報処理方法、プログラム)の概要は、次の通りである。情報処理システム301の作動は、第1実施形態と同様の鍵情報生成フェーズS10(図4参照)と、改ざん検知フェーズS340(図13、図14、および図15参照)と、を有する。
(改ざん検知フェーズS340)
図13に示す改ざん検知フェーズS340は、情報(ここでは制御パラメータP)が改ざんされたか否かを検知するフェーズである。改ざん検知フェーズS340の概要は、次の通りである。外部装置10(デバイス20)は、鍵情報Kを用いて、制御パラメータPを作業機械40に送信する。さらに詳しくは、デバイス20は、鍵情報Kと制御パラメータPとに基づいて第1MACを生成し(ステップS351)、制御パラメータPと第1MACとを作業機械40に送信する(ステップS353)。作業機械40は、鍵情報Kと制御パラメータPとに基づいて第2MACを生成し(ステップS363)、デバイス20から受信した第1MACと生成した第2MACとが一致するか否かを判定する(ステップS365)。作業機械40が、第1MACと第2MACとの一致を確認することにより、第三者により制御パラメータPが改ざんされていないことを確認できる。その結果、作業機械40が受信した制御パラメータPが、作業者が想定している制御パラメータPであるか否かを確認できる。改ざん検知フェーズS340の詳細は、次の通りである。
図13に示す改ざん検知フェーズS340は、情報(ここでは制御パラメータP)が改ざんされたか否かを検知するフェーズである。改ざん検知フェーズS340の概要は、次の通りである。外部装置10(デバイス20)は、鍵情報Kを用いて、制御パラメータPを作業機械40に送信する。さらに詳しくは、デバイス20は、鍵情報Kと制御パラメータPとに基づいて第1MACを生成し(ステップS351)、制御パラメータPと第1MACとを作業機械40に送信する(ステップS353)。作業機械40は、鍵情報Kと制御パラメータPとに基づいて第2MACを生成し(ステップS363)、デバイス20から受信した第1MACと生成した第2MACとが一致するか否かを判定する(ステップS365)。作業機械40が、第1MACと第2MACとの一致を確認することにより、第三者により制御パラメータPが改ざんされていないことを確認できる。その結果、作業機械40が受信した制御パラメータPが、作業者が想定している制御パラメータPであるか否かを確認できる。改ざん検知フェーズS340の詳細は、次の通りである。
デバイス20の第1MAC生成部325(図12参照)は、鍵情報Kと制御パラメータPとに基づいて第1MACを生成する(ステップS351)。さらに詳しくは、図12に示す第1MAC生成部325は、作業機械40から受信して保持部23bに保持された鍵情報Kと、保持部23aに保持された制御パラメータPと、に基づいて第1MACを生成する。具体的には例えば、第1MAC生成部325は、第1MACを、ハッシュ関数を利用して生成してもよい。第1MACはHMAC(Hash-based Message Authentication Code)でもよい。第1MAC生成部325は、第1MACを、ブロック暗号に基づいて生成してもよい。第1MACはCMAC(Cipher-based MAC)であってもよい。第1MAC生成部325は、第1MACを、情報処理システム301独自のMAC生成方式により生成してもよい。このMAC生成の具体例については、第2MAC生成部355によるMACの生成も同様である。図13に示すように、デバイス20は、ID、生成した第1MAC、および制御パラメータPを、作業機械40の第2MAC生成部355に送信する(ステップS353)。なお、デバイス20が作業機械40にIDを送信するタイミングは、第1MAC生成部325(図12参照)での第1MACの生成よりも前でもよい。
作業機械40の第2MAC生成部355は、デバイス20から受信したIDに対応した鍵情報Kを鍵情報管理部53から抽出する(ステップS361)。第2MAC生成部355は、デバイス20から受信した制御パラメータPと、鍵情報管理部53から抽出した鍵情報K(作業機械40に保存された鍵情報K)と、に基づいて、第2MACを生成する(ステップS363)。第2MAC生成部355は、第1MACと第2MACとを判定部356に送信する(ステップS364)。判定部356は、第1MACと第2MACとを比較し(ステップS365)、第1MACと第2MACとが一致するか否かを判定する。
第1MACと第2MACとが一致する場合(図15に示すステップS365でYESの場合)、図12に示す作業機械40は、制御パラメータPを制御パラメータ管理部57に展開する(図15に示すステップS66)。その結果、図12に示す作業機械40の作動が、この制御パラメータPに基づいて制御される。また、作業機械40の判定部356は、デバイス20に、制御パラメータPの展開が完了した旨を送信する(図15に示すステップS71a)。
一方、第1MACと第2MACとが一致しない場合(ステップS365でNOの場合)、図12に示す判定部356は、デバイス20に、展開が失敗した旨を通知する(図15に示すステップS71b)。この場合、図12に示す作業機械40は、受信した制御パラメータPを制御パラメータ管理部57に展開しない。このように、第1MACと第2MACとが一致する場合のみ、制御パラメータ管理部57に制御パラメータPを展開する。よって、改ざんされていない制御パラメータPが作業機械40に展開され、作業機械40を利用する作業者と関連付けられている(具体的にはIDと関連付けられている)制御パラメータPが作業機械40に展開される。よって、作業機械40に展開される制御パラメータPが、作業者の想定していない制御パラメータPであることを抑制できる。
(情報の改ざんを検知しない場合の問題)
情報の改ざんが検知されない場合は、第三者に改ざんされた情報が、作業機械40に受信され、作業機械40に利用されるおそれがある。例えば、第三者に改ざんされた制御パラメータPが、作業機械40に受信され、展開された場合、作業者の想定していない動作を作業機械40が実行するおそれ、又は作業機械40が作動しないおそれがある。そこで、情報処理システム301は、制御パラメータPの改ざんを検知することで、この問題を抑制できる。
情報の改ざんが検知されない場合は、第三者に改ざんされた情報が、作業機械40に受信され、作業機械40に利用されるおそれがある。例えば、第三者に改ざんされた制御パラメータPが、作業機械40に受信され、展開された場合、作業者の想定していない動作を作業機械40が実行するおそれ、又は作業機械40が作動しないおそれがある。そこで、情報処理システム301は、制御パラメータPの改ざんを検知することで、この問題を抑制できる。
第2実施形態の内容は下記のようにまとめられる。
第2実施形態の情報処理システム1において、図13に示す外部装置10および作業機械40のうちの一方は、情報を送信する送信側機器であり、他方は情報を受信する受信側機器である。送信側機器(例えば外部装置10)は、受信側機器(例えば作業機械40)に保存された鍵情報Kと同一の鍵情報Kと、情報と、に基づいて第1MAC(第1認証符号)を生成する(ステップS351)。受信側機器(例えば作業機械40)は、情報および第1MACを送信側機器(例えば外部装置10)から受信し、受信した情報と受信側機器に保存された鍵情報Kとに基づいて第2MAC(第2認証符号)を生成する(ステップS363)。受信側機器(例えば作業機械40)は、第1MACと第2MACとを比較する(ステップS365)。
この構成によれば、第1MACと第2MACとを比較することで、第1MACを生成した情報と、第2MACを生成した情報とが、一致するか否か(改ざんされていないか)を検知できる。さらに詳しくは、第1MACと第2MACとが一致する場合、送信側機器(例えば外部装置10)が送信した情報と、受信側機器(例えば作業機械40)が受信した情報と、が一致する。よって、情報が改ざんされていないことを確認できる。また、第1MACと第2MACとが一致しない場合、送信側機器(例えば外部装置10)が送信した情報と、受信側機器(例えば作業機械40)が受信した情報と、が互いに異なる。よって、情報が改ざんされたことを検知できる。その結果、第三者に改ざんされた情報に基づいて、外部装置10又は作業機械40が作動することを抑制できる。
さらに情報処理システム1において、外部装置10は、作業機械40から受信した鍵情報Kと、制御パラメータPと、に基づいて第1MAC(第1認証符号)を生成する(ステップS351)。作業機械40は、制御パラメータPおよび第1MACを外部装置10から受信する(ステップS353)。作業機械40は、受信した制御パラメータPと、作業機械40に保存された鍵情報Kと、に基づいて第2MAC(第2認証符号)を生成する(ステップS363)。作業機械40は、第1MACと第2MACとを比較する(ステップS365)。
この構成によれば、第1MACと第2MACとを比較することで、第1MACを生成した制御パラメータPと、第2MACを生成した制御パラメータPとが、一致するか否か(改ざんされていないか)を検知できる。その結果、次の効果が得られてもよい。第三者が、改ざんした制御パラメータPを作業機械40に送信し、展開させることを抑制できる。その結果、作業者の想定しない作動を作業機械40が実行すること、又は作業機械40が作動しないことを抑制できる。
さらに情報処理システム1において、作業機械40の作動を制御パラメータPに基づいて制御するための条件は、第1MACと第2MACとが一致することを含む。
この構成により、作業機械40の作動の制御に用いられる制御パラメータPが、改ざんされていないことを保障できる。
第2実施形態の情報処理方法において、外部装置10および作業機械40のうち一方は、情報を送信する側を送信側機器であり、他方は情報を受信する側を受信側機器である。情報処理方法は、下記の(a18)および(b18)のステップを備える。
(a18)送信側機器(例えば外部装置10)が、受信側機器(例えば作業機械40)に保存された鍵情報Kと同一の鍵情報Kと、情報と、に基づいて第1MAC(第1認証符号)を生成する(ステップS351)。(b18)受信側機器が、情報および第1MACを送信側機器から受信し、受信した情報と受信側機器に保存された鍵情報Kとに基づいて第2MAC(第2認証符号)を生成し(ステップS363)、第1MACと第2MACとを比較する(ステップS365)。
この構成により、上記の情報処理システム1で述べた効果と同様の効果が得られる。
第2実施形態のプログラムにおいて、外部装置10および作業機械40のうちの一方は、情報を送信する送信側機器であり、他方は情報を受信する受信側機器である。プログラムは、上記の(a18)および(b18)のステップを備える。
この構成により、上記の情報処理システム1で述べた効果と同様の効果が得られる。
(第4実施形態)
図16~図17を参照して、第4実施形態の情報処理システム401(図16参照)、情報処理方法、およびプログラムについて、主に第2実施形態および第3実施形態との相違点を説明する。
図16~図17を参照して、第4実施形態の情報処理システム401(図16参照)、情報処理方法、およびプログラムについて、主に第2実施形態および第3実施形態との相違点を説明する。
外部装置10は、図16に示すように、デバイス20と、サーバ220と、を備える(第2実施形態と同様)。サーバ220の構成は、第2実施形態のサーバ220(図10参照)とほぼ同様である。図16に示すように、サーバ220は、第3実施形態のデバイス20(図12参照)と同様に、第1MAC生成部325を備え、暗号化部25(図10参照)を備えなくてもよい。なお、作業機械40の構成は、第3実施形態の作業機械40(図12参照)と同様である。
(作動)
主に、第2実施形態の情報処理システム201(図10参照)、および第3実施形態の情報処理システム301(図12参照)の作動に対する、本実施形態の情報処理システム401(図16参照)の作動(情報処理方法、プログラム)の相違点を説明する。鍵情報生成フェーズS10(図4参照)は、第2実施形態と同様に行われる。
主に、第2実施形態の情報処理システム201(図10参照)、および第3実施形態の情報処理システム301(図12参照)の作動に対する、本実施形態の情報処理システム401(図16参照)の作動(情報処理方法、プログラム)の相違点を説明する。鍵情報生成フェーズS10(図4参照)は、第2実施形態と同様に行われる。
(改ざん検知フェーズS440)
図12に示すように、第3実施形態では、デバイス20の第1MAC生成部325が、第1MACを生成した。一方、図16に示すように、本実施形態では、サーバ220の第1MAC生成部325が、第1MACを生成する。図17に示す改ざん検知フェーズS440に関する、第2実施形態と、第3実施形態との相違点の詳細は、次の通りである。デバイス20は、第2実施形態と同様、サーバ220の抽出部224(図16参照)にIDを送信する(ステップS241)。図16に示す抽出部224は、第2実施形態と同様、デバイス20から受信したIDに対応する制御パラメータPを保持部223aから抽出し、デバイス20から受信したIDに対応する鍵情報Kを保持部223bから抽出する(図17に示すステップS243)。第1MAC生成部325は、抽出された鍵情報Kと、抽出された制御パラメータPとに基づいて、第1MACを生成する(図17に示すステップS351)。なお、抽出部224が、デバイス20から受信したIDに対応する制御パラメータPおよび鍵情報Kを見つけられない場合は、第1MAC生成部325は、第1MACの生成を行わない。図17に示すように、サーバ220は、ID、制御パラメータP、および第1MACを、作業機械40(例えば第2MAC生成部355)に送信する(ステップS453)。ステップS453よりも後の処理は、第3実施形態と同様である。
図12に示すように、第3実施形態では、デバイス20の第1MAC生成部325が、第1MACを生成した。一方、図16に示すように、本実施形態では、サーバ220の第1MAC生成部325が、第1MACを生成する。図17に示す改ざん検知フェーズS440に関する、第2実施形態と、第3実施形態との相違点の詳細は、次の通りである。デバイス20は、第2実施形態と同様、サーバ220の抽出部224(図16参照)にIDを送信する(ステップS241)。図16に示す抽出部224は、第2実施形態と同様、デバイス20から受信したIDに対応する制御パラメータPを保持部223aから抽出し、デバイス20から受信したIDに対応する鍵情報Kを保持部223bから抽出する(図17に示すステップS243)。第1MAC生成部325は、抽出された鍵情報Kと、抽出された制御パラメータPとに基づいて、第1MACを生成する(図17に示すステップS351)。なお、抽出部224が、デバイス20から受信したIDに対応する制御パラメータPおよび鍵情報Kを見つけられない場合は、第1MAC生成部325は、第1MACの生成を行わない。図17に示すように、サーバ220は、ID、制御パラメータP、および第1MACを、作業機械40(例えば第2MAC生成部355)に送信する(ステップS453)。ステップS453よりも後の処理は、第3実施形態と同様である。
(第5実施形態)
図18~図21を参照して、第5実施形態の情報処理システム501、情報処理方法、およびプログラムについて、第1実施形態との相違点を説明する。第1実施形態の情報処理システム1(図1参照)は情報暗号化システムであった。一方、本実施形態の情報処理システム501は、図18に示す作業機械40が受信した情報が、正規の外部装置10(正規のデバイス20)が送信した情報か否かを検知する、情報利用者認証システム(なりすまし検出システム)である。
図18~図21を参照して、第5実施形態の情報処理システム501、情報処理方法、およびプログラムについて、第1実施形態との相違点を説明する。第1実施形態の情報処理システム1(図1参照)は情報暗号化システムであった。一方、本実施形態の情報処理システム501は、図18に示す作業機械40が受信した情報が、正規の外部装置10(正規のデバイス20)が送信した情報か否かを検知する、情報利用者認証システム(なりすまし検出システム)である。
デバイス20は、結合部525(情報結合装置)を備える。結合部525は、鍵情報Kと、その他の情報(例えば制御パラメータP)と、を結合する。この処理の詳細は後述される。結合部525は、耐タンパ性ができるだけ高い部分に実装されることが好ましい。デバイス20は、暗号化部25(図1参照)を備えなくてもよい。
作業機械40は、判定部555(情報判定装置)を備える。判定部555は、作業機械40が受信した情報が、正規のデバイス20から送信されたものであるか否か(第三者が送信したか、なりすましであるか)を判定する。この判定の詳細は後述される。作業機械40は、復号化部55(図1参照)を備えなくてもよい。
(作動)
情報処理システム501の作動(情報処理方法、プログラム)の概要は、次の通りである。情報処理システム501の作動は、第1実施形態と同様の鍵情報生成フェーズS10(図4参照)と、認証フェーズS540(図19、図20、および図21参照)と、を有する。
情報処理システム501の作動(情報処理方法、プログラム)の概要は、次の通りである。情報処理システム501の作動は、第1実施形態と同様の鍵情報生成フェーズS10(図4参照)と、認証フェーズS540(図19、図20、および図21参照)と、を有する。
(認証フェーズS540)
図19に示す認証フェーズS540は、情報利用者の認証を行うフェーズである。認証フェーズS540の概要は、次の通りである。外部装置10は、鍵情報Kを用いて、制御パラメータPを作業機械40に送信する。さらに詳しくは、デバイス20は、鍵情報Kと制御パラメータPとを結合し(ステップS551)、結合した鍵情報K(第1鍵情報K1)および制御パラメータPを作業機械40に送信する(ステップS553)。作業機械40は、デバイス20から受信した鍵情報K(第1鍵情報K1)と、この受信よりも前に作業機械40に保持された鍵情報K(第2鍵情報K2)と、が一致するか否かを判定する(ステップS565)。作業機械40が、第1鍵情報K1と第2鍵情報K2との一致を確認することにより、正規のデバイス20から制御パラメータPが送信されたことを確認できる。その結果、作業機械40が受信した制御パラメータPが、作業者が想定している制御パラメータPであることを確認できる。認証フェーズS540の詳細は、次の通りである。
図19に示す認証フェーズS540は、情報利用者の認証を行うフェーズである。認証フェーズS540の概要は、次の通りである。外部装置10は、鍵情報Kを用いて、制御パラメータPを作業機械40に送信する。さらに詳しくは、デバイス20は、鍵情報Kと制御パラメータPとを結合し(ステップS551)、結合した鍵情報K(第1鍵情報K1)および制御パラメータPを作業機械40に送信する(ステップS553)。作業機械40は、デバイス20から受信した鍵情報K(第1鍵情報K1)と、この受信よりも前に作業機械40に保持された鍵情報K(第2鍵情報K2)と、が一致するか否かを判定する(ステップS565)。作業機械40が、第1鍵情報K1と第2鍵情報K2との一致を確認することにより、正規のデバイス20から制御パラメータPが送信されたことを確認できる。その結果、作業機械40が受信した制御パラメータPが、作業者が想定している制御パラメータPであることを確認できる。認証フェーズS540の詳細は、次の通りである。
デバイス20の結合部525(図18参照)は、鍵情報Kと制御パラメータPとを結合する(ステップS551)。さらに詳しくは、図18に示す結合部525は、デバイス20の保持部23bに保持された鍵情報K(作業機械40から受信した鍵情報K)と、デバイス20の保持部23aに保持された制御パラメータPと、を結合する。具体的には例えば、結合部525は、制御パラメータPのデータの特定の箇所(例えばデータの先頭又は末尾など)に鍵情報Kを添付(追記)する。上記「特定の箇所」がどこであるかは、作業機械40とデバイス20とに設定される(共有される)。図19に示すように、デバイス20は、ID、制御パラメータP、および鍵情報K(第1鍵情報K1)を作業機械40に送信する(ステップS553)。なお、デバイス20は、制御パラメータPと鍵情報Kとを結合する前に、作業機械40にIDを送信してもよい。
作業機械40の判定部555は、デバイス20から受信したIDに対応した鍵情報K(第2鍵情報K2)を鍵情報管理部53から抽出する(ステップS561)。第2鍵情報K2は、作業機械40が第1鍵情報K1を受信する前に、作業機械40に保存された鍵情報Kである。第2鍵情報K2は、図4に示す鍵情報生成フェーズS10で、鍵情報生成部61に生成され(ステップS23)、鍵情報管理部53に保存(ステップS25)された鍵情報Kである。図19に示すように、判定部555は、第1鍵情報K1と第2鍵情報K2とを比較し(ステップS565)、第1鍵情報K1と第2鍵情報K2とが一致するか否かを判定する。
第1鍵情報K1と第2鍵情報K2とが一致する場合(図21に示すステップS565でYESの場合)、図18に示す作業機械40は、制御パラメータPを制御パラメータ管理部57に展開する(図21に示すステップS66)。その結果、図18に示す作業機械40の作動が、この制御パラメータPに基づいて制御される。また、作業機械40の判定部555は、デバイス20に、制御パラメータPの展開が完了した旨を送信する(図21に示すステップS71a)。
一方、第1鍵情報K1と第2鍵情報K2とが一致しない場合(ステップS565でNOの場合)、図18に示す判定部555は、デバイス20に、展開が失敗した旨を通知する(図21に示すステップS71b)。この場合、図18に示す作業機械40は、受信した制御パラメータPを制御パラメータ管理部57に展開しない。このように、第1鍵情報K1と第2鍵情報K2とが一致する場合のみ、制御パラメータ管理部57に制御パラメータPが展開される。よって、正規のデバイス20から送信された制御パラメータPが展開され、作業機械40を利用する作業者と対応付けられている(具体的にはIDと対応付けられている)制御パラメータPが展開される。よって、作業機械40に展開される制御パラメータPが、作業者の想定していない制御パラメータPであることを抑制できる。
(情報利用者の認証が行われない場合の問題)
情報利用者の認証が行われない場合は、第三者が送信した情報が、作業機械40に受信され、作業機械40に利用されるおそれがある。例えば、第三者が送信した制御パラメータPが、作業機械40に受信され、展開された場合、作業者の想定していない動作を作業機械40が実行してしまうおそれ、又は作業機械40が作動しないおそれがある。そこで、情報処理システム501は、情報利用者の認証を行うことで、この問題を抑制できる。
情報利用者の認証が行われない場合は、第三者が送信した情報が、作業機械40に受信され、作業機械40に利用されるおそれがある。例えば、第三者が送信した制御パラメータPが、作業機械40に受信され、展開された場合、作業者の想定していない動作を作業機械40が実行してしまうおそれ、又は作業機械40が作動しないおそれがある。そこで、情報処理システム501は、情報利用者の認証を行うことで、この問題を抑制できる。
第5実施形態の内容は以下のようにまとめられる。
情報処理システム1において、図19に示す外部装置10および作業機械40のうちの一方は、情報を送信する送信側機器であり、他方は情報を受信する受信側機器である。送信側機器(例えば外部装置10)は、受信側機器(例えば作業機械40)に保存された鍵情報Kと同一の鍵情報Kと、情報と、を結合する(ステップS551)。受信側機器(例えば作業機械40)は、結合された鍵情報K(第1鍵情報K1)と情報とを送信側機器(例えば外部装置10)から受信する(ステップS553)。受信側機器(例えば作業機械40)は、受信した第1鍵情報K1と、受信側機器が第1鍵情報K1を受信する前に受信側機器に保存された第2鍵情報K2と、を比較する(ステップS565)。
この構成によれば、第1鍵情報K1と第2鍵情報K2とが比較される。これにより、受信側機器に第1鍵情報K1を送信した装置と、受信側機器(例えば作業機械40)に保存された第2鍵情報K2と同一の鍵情報Kを保持している正規の送信側機器(例えば外部装置10)と、が一致するか否かを検知きる。これにより、なりすましでないことが検知される。さらに詳しくは、第1鍵情報K1と第2鍵情報K2とが一致する場合、受信側機器(例えば作業機械40)に第1鍵情報K1を送信した機器と、正規の送信側機器と、が一致することを確認できる。これにより、なりすましでないことが確認される。また、第1鍵情報K1と第2鍵情報K2とが一致しない場合、作業機械40に第1鍵情報K1を送信した機器と、正規の送信側機器と、が一致しないことを検知できる。これにより、なりすましであることが検知される。その結果、第三者が送信した正規でない情報に基づいて、外部装置10や作業機械40が作動することを抑制できる。
情報処理システム1において、外部装置10は、作業機械40から受信した鍵情報Kと制御パラメータPとを結合する(ステップS551)。作業機械40は、結合された鍵情報K(第1鍵情報K1)と制御パラメータPとを外部装置10から受信する。作業機械40は、受信した第1鍵情報K1と、作業機械40が第1鍵情報K1を受信する前に作業機械40に保存された第2鍵情報K2と、を比較する(ステップS565)。
この構成によれば、第1鍵情報K1と第2鍵情報K2とを比較することで、作業機械40に制御パラメータPおよび第1鍵情報K1を送信した装置と、作業機械40が鍵情報Kを予め送信した外部装置10と、が一致するか否かを検知できる。その結果、次の効果が得られてもよい。第三者が、正規でない制御パラメータPを作業機械40に送信し、展開させることを抑制できる。その結果、作業者の想定しない作動を作業機械40が実行すること、又は作業機械40が作動しないことを抑制できる。
情報処理システム1において、作業機械40の作動を制御パラメータPに基づいて制御するための条件は、作業機械40が受信した第1鍵情報K1と、作業機械40が第1鍵情報K1を受信する前に作業機械40に保存された第2鍵情報K2と、が一致することを含む。
この構成によれば、作業機械40の作動の制御に用いられる制御パラメータPが、正規の外部装置10(作業機械40が鍵情報Kを予め送信した外部装置10)が送信したものであること、すなわちなりすましでないことが保障される。
第5実施形態の情報処理方法において、外部装置10および作業機械40のうちの一方は、情報を送信する送信側機器であり、他方は情報を受信する受信側機器である。情報処理方法は、次の(a19)および(b19)のステップを備える。
(a19)送信側機器(例えば外部装置10)が、受信側機器(例えば作業機械40)に保存された第2鍵情報K2と同一の鍵情報Kと、情報と、を結合する(ステップS551)。(b19)受信側機器(例えば作業機械40)が、結合された鍵情報K(第1鍵情報K1)と情報とを送信側機器(例えば外部装置10)から受信する(ステップS553)。また、受信側機器(例えば作業機械40)が、受信した第1鍵情報K1と、受信側機器が第1鍵情報K1を受信する前に受信側機器に保存された第2鍵情報K2と、を比較する(ステップS565)。
この構成により、上記の情報処理システム1で述べた効果と同様の効果が得られる。
第5実施形態のプログラムは、外部装置10および作業機械40のうちの一方は、情報を送信する送信側機器であり、他方は情報を受信する側を受信側機器である。プログラムは、上記の(a19)および(b19)のステップを備える。
この構成により、上記の情報処理システム1で述べた効果と同様の効果が得られる。
(第6実施形態)
図22~図23を参照して、第6実施形態の情報処理システム601(図22参照)、情報処理方法、およびプログラムについて、主に第2実施形態および第5実施形態との相違点を説明する。
図22~図23を参照して、第6実施形態の情報処理システム601(図22参照)、情報処理方法、およびプログラムについて、主に第2実施形態および第5実施形態との相違点を説明する。
外部装置10は、図22に示すように、第2実施形態と同様、デバイス20と、サーバ220と、を備える。サーバ220の構成は、第2実施形態のサーバ220(図10参照)とほぼ同様である。図22に示すように、サーバ220は、第5実施形態のデバイス20(図18参照)と同様に結合部525を備え、暗号化部25(図10参照)を備えなくてもよい。なお、作業機械40の構成は、第5実施形態の作業機械40(図18参照)と同様である。
(作動)
主に、第2実施形態の情報処理システム201(図10参照)および第5実施形態の情報処理システム501(図18参照)の作動に対する、情報処理システム601の作動(情報処理方法、プログラム)の相違点を説明する。鍵情報生成フェーズS10(図4参照)は、第2実施形態と同様に行われる。
主に、第2実施形態の情報処理システム201(図10参照)および第5実施形態の情報処理システム501(図18参照)の作動に対する、情報処理システム601の作動(情報処理方法、プログラム)の相違点を説明する。鍵情報生成フェーズS10(図4参照)は、第2実施形態と同様に行われる。
(認証フェーズS640)
図18に示すように、第5実施形態では、デバイス20の結合部525が、制御パラメータPと鍵情報Kとを結合した。一方、図22に示すように、本実施形態では、サーバ220の結合部525が、制御パラメータPと鍵情報Kとを結合する。図23に示す認証フェーズS640に関する、第2実施形態および第5実施形態との相違点の詳細は、次の通りである。デバイス20は、第2実施形態と同様、サーバ220の抽出部224(図22参照)にIDを送信する(ステップS241)。図22に示す抽出部224は、第2実施形態と同様、デバイス20から受信したIDに対応する制御パラメータPを保持部223aから抽出し、デバイス20から受信したIDに対応する鍵情報Kを保持部223bから抽出する(図23に示すステップS243)。サーバ220の結合部525は、抽出した鍵情報Kと、抽出した制御パラメータPと、を結合する(図23に示すステップS551)。なお、抽出部224が、デバイス20から受信したIDに対応する制御パラメータPおよび鍵情報Kを見つけられない場合は、結合部525は、鍵情報Kと制御パラメータPとの結合を行わない。図23に示すように、サーバ220は、ID、第1鍵情報K1、および制御パラメータPを、作業機械40(例えば判定部555)に送信する(ステップS653)。ステップS653よりも後の処理は、第5実施形態と同様である。
図18に示すように、第5実施形態では、デバイス20の結合部525が、制御パラメータPと鍵情報Kとを結合した。一方、図22に示すように、本実施形態では、サーバ220の結合部525が、制御パラメータPと鍵情報Kとを結合する。図23に示す認証フェーズS640に関する、第2実施形態および第5実施形態との相違点の詳細は、次の通りである。デバイス20は、第2実施形態と同様、サーバ220の抽出部224(図22参照)にIDを送信する(ステップS241)。図22に示す抽出部224は、第2実施形態と同様、デバイス20から受信したIDに対応する制御パラメータPを保持部223aから抽出し、デバイス20から受信したIDに対応する鍵情報Kを保持部223bから抽出する(図23に示すステップS243)。サーバ220の結合部525は、抽出した鍵情報Kと、抽出した制御パラメータPと、を結合する(図23に示すステップS551)。なお、抽出部224が、デバイス20から受信したIDに対応する制御パラメータPおよび鍵情報Kを見つけられない場合は、結合部525は、鍵情報Kと制御パラメータPとの結合を行わない。図23に示すように、サーバ220は、ID、第1鍵情報K1、および制御パラメータPを、作業機械40(例えば判定部555)に送信する(ステップS653)。ステップS653よりも後の処理は、第5実施形態と同様である。
(第7実施形態)
図24~図25を参照して、第7実施形態の情報処理システム701、情報処理方法、およびプログラムについて、第5実施形態との相違点を説明する。
図24~図25を参照して、第7実施形態の情報処理システム701、情報処理方法、およびプログラムについて、第5実施形態との相違点を説明する。
情報処理システム701の作業機械40は、Nonce(Number used once)を生成するNonce生成部781と、Nonce管理部783と、を備える。Nonce管理部783は、複数のIDと、このIDに対応するNonceと、を対応させて保持(保管)する。Nonce管理部783は、耐タンパ性ができるだけ高い部分に実装されることが好ましい。
(作動)
主に、第5実施形態の情報処理システム501(図18参照)の作動に対する、本実施形態の情報処理システム701(図24参照)の作動(情報処理方法、プログラム)の相違点を説明する。鍵情報生成フェーズS10(図4参照)は、第1実施形態と同様に行われる。
主に、第5実施形態の情報処理システム501(図18参照)の作動に対する、本実施形態の情報処理システム701(図24参照)の作動(情報処理方法、プログラム)の相違点を説明する。鍵情報生成フェーズS10(図4参照)は、第1実施形態と同様に行われる。
(認証フェーズS740)
図25に示す認証フェーズS740では、第5実施形態の認証フェーズS540(図19参照)に加えて、Nonceの生成および判定が行われる。第5実施形態の認証フェーズS540(図19参照)に対する、本実施形態の認証フェーズS740の相違点の概要は、次の通りである。作業機械40は、デバイス20にNonceを送信する(ステップS747)。デバイス20は、制御パラメータPと共に、作業機械40から受信したNonce(第1Nonceともいう)を作業機械40に送信する(ステップS753)。作業機械40は、デバイス20から受信した第1Nonceと、この受信よりも前に作業機械40に保持されたNonce(第2Nonceともいう)と、が一致するか否かを判定する(ステップS757)。作業機械40が、第1Nonceと第2Nonceとの一致を確認することにより、正規のデバイス20から制御パラメータPが送信されたことを確認できる。その結果、作業機械40が受信した制御パラメータPが、作業者が想定している制御パラメータPであることを確認できる。第5実施形態の認証フェーズS540(図19参照)に対する、本実施形態の認証フェーズS740の相違点の詳細は次の通りである。
図25に示す認証フェーズS740では、第5実施形態の認証フェーズS540(図19参照)に加えて、Nonceの生成および判定が行われる。第5実施形態の認証フェーズS540(図19参照)に対する、本実施形態の認証フェーズS740の相違点の概要は、次の通りである。作業機械40は、デバイス20にNonceを送信する(ステップS747)。デバイス20は、制御パラメータPと共に、作業機械40から受信したNonce(第1Nonceともいう)を作業機械40に送信する(ステップS753)。作業機械40は、デバイス20から受信した第1Nonceと、この受信よりも前に作業機械40に保持されたNonce(第2Nonceともいう)と、が一致するか否かを判定する(ステップS757)。作業機械40が、第1Nonceと第2Nonceとの一致を確認することにより、正規のデバイス20から制御パラメータPが送信されたことを確認できる。その結果、作業機械40が受信した制御パラメータPが、作業者が想定している制御パラメータPであることを確認できる。第5実施形態の認証フェーズS540(図19参照)に対する、本実施形態の認証フェーズS740の相違点の詳細は次の通りである。
デバイス20は、作業機械40のNonce生成部781にIDを送信する(ステップS745)。Nonce生成部781は、Nonceを生成する(ステップS746)。Nonceは、使い捨てのランダムな値であり、例えば乱数でもよく、シーケンス番号などでもよく、現在時刻などでもよい。Nonce生成部781は、生成したNonceをデバイス20に送信する(ステップS747)。Nonce生成部781は、デバイス20から受信したIDと、生成したNonceと、をNonce管理部783に送信する(ステップS748)。Nonce管理部783は、IDとNonceとを対応させて保持する。
デバイス20は、作業機械40から受信したNonce(ステップS747参照)を、保持部23(図24参照)に保持する。デバイス20は、第5実施形態と同様に、ID、制御パラメータP、および鍵情報Kを、作業機械40の判定部555に送信する(ステップS753)。さらに、デバイス20は、作業機械40(例えば判定部555)にNonce(第1Nonce)を送信する(ステップS753)。このとき、デバイス20は、作業機械40から受信したNonce(ステップS747参照)をそのまま作業機械40に送信してもよく、所定の関数(例えば上記[例2C]と同様)で変換したNonceを作業機械40に送信してもよい。
判定部555は、受信したIDに対応したNonce(第2Nonce)を、Nonce管理部783から抽出する(ステップS755)。第2Nonceは、作業機械40が第1Nonceを受信する前に、作業機械40に保存されたNonceである。判定部555は、第1Nonceと第2Nonceとを比較し(ステップS757)、第1Nonceと第2Nonceとが一致するか否かを判定する。
なお、デバイス20が、所定の関数で変換したNonce(変換後の第1Nonce)を作業機械40に送信(ステップS753)した場合、作業機械40は、例えば次のように処理を行う。この場合、作業機械40は、Nonce生成部781で生成したNonce(ステップS746参照)を、所定の関数で変換して変換後の第2Nonceとする。そして、判定部555が、変換後の第1Nonceと変換後の第2Nonceとを比較(ステップS757)してもよい。また、作業機械40は、デバイス20から受信した変換後の第1Nonceを、デバイス20が変換に用いた関数の逆関数で変換して第1Nonceとする。そして、判定部555が、第1Nonceと第2Nonceとを比較(ステップS757)してもよい。
第1Nonceと第2Nonceとが一致する場合、第5実施形態と同様に、判定部555は、IDに対応する第2鍵情報K2を抽出し(ステップS561)、第1鍵情報K1と第2鍵情報K2とを比較する(ステップS565)。その後(例えばステップS71a、S71bの後など)、Nonce生成部781は、次回の処理に用いられるNonceを生成する(次回のステップS746)。
一方、第1Nonceと第2Nonceとが一致しない場合、判定部555は、第1鍵情報K1と第2鍵情報K2との比較(ステップS565)を行わない。この場合、例えば、作業機械40は、判定結果をデバイス20に送信し、デバイス20は、判定結果(認証に失敗した旨)を出力部22(図24参照)に出力させてもよい。このように、第1Nonceと第2Nonceとが一致する場合のみ、第1鍵情報K1と第2鍵情報K2とを比較し(ステップS565)、図24に示す制御パラメータ管理部57に制御パラメータPが展開され得る。具体的には例えば、過去に使われた制御パラメータPが作業機械40に送信されても、第1Nonceと第2Nonceとが一致しないので、この制御パラメータPは作業機械40に展開されないこれにより、リプレイアタックを防ぐことができる。よって、正規の外部装置10から送信された制御パラメータPが作業機械40に展開され、作業機械40を利用する作業者と対応付けられている(具体的にはIDと関連付けられている)制御パラメータPが展開される。よって、作業機械40に展開される制御パラメータPが、作業者の想定していない制御パラメータPとなることを抑制できる。
(変形例)
上記実施形態は様々に変形されてもよい。例えば、互いに異なる実施形態の構成要素どうしが組み合わされてもよい。例えば、ブロック図(図1などを参照)の要素どうしの接続は変更されてもよい。例えば、シーケンス図(図4などを参照)や、フローチャート(図6などを参照)のステップの順序が変更されてもよく、ステップの一部が行われなくてもよく、互いに異なるシーケンス図およびフローチャートのステップどうしが組み合わされて実行されてもよい。例えば、構成要素の数が変更されてもよく、構成要素の一部が設けられなくてもよい。例えば、互いに異なる複数の構成要素として説明したものが、一つの部分とされてもよい。例えば、一つの部分として説明したものが、互いに異なる複数の部分に分けて設けられてもよい。
上記実施形態は様々に変形されてもよい。例えば、互いに異なる実施形態の構成要素どうしが組み合わされてもよい。例えば、ブロック図(図1などを参照)の要素どうしの接続は変更されてもよい。例えば、シーケンス図(図4などを参照)や、フローチャート(図6などを参照)のステップの順序が変更されてもよく、ステップの一部が行われなくてもよく、互いに異なるシーケンス図およびフローチャートのステップどうしが組み合わされて実行されてもよい。例えば、構成要素の数が変更されてもよく、構成要素の一部が設けられなくてもよい。例えば、互いに異なる複数の構成要素として説明したものが、一つの部分とされてもよい。例えば、一つの部分として説明したものが、互いに異なる複数の部分に分けて設けられてもよい。
例えば、情報の暗号化(第1、第2実施形態)の処理と、改ざん検知(第3、第4実施形態)の処理と、利用者認証(第5~第7実施形態)の処理と、が組み合わされてもよい。また、例えば、サーバ220を有する構成(第2、第4、第6実施形態)において、Nonce(第7実施形態参照)が用いられてもよい。
例えば、サーバ220の構成要素が複数のサーバに分かれて設けられてもよい。サーバ220の構成要素の一部がデバイス20に設けられてもよい。
鍵情報生成部61で生成された鍵情報Kは、様々に用いることができる。例えば、鍵情報生成部61で生成された鍵情報Kは、上記実施形態では制御パラメータPの授受に用いられたが、制御パラメータP以外の情報の授受に用いられてもよい。また、鍵情報生成部61で生成された鍵情報Kは、上記実施形態では共通鍵方式の鍵情報Kとしても用いられたが、公開鍵方式の鍵情報Kとして用いられてもよい。
Claims (25)
- 作業機械に設けられたセンサと、
前記作業機械に設けられ、前記センサから入力されたセンサ値に基づいて鍵情報を生成する鍵情報生成部と、
を備え、
前記鍵情報は、前記作業機械と、前記作業機械の外部に設けられる外部装置と、の間での情報の授受に用いられる、
情報処理システム。 - 請求項1に記載の情報処理システムであって、
前記センサ値は、前記作業機械のエンジンのインジェクタの燃料噴射量、前記エンジンの回転数、前記エンジンの冷却水の温度、前記作業機械のポンプの圧力、前記作業機械の作動油の温度、および、前記作業機械の比例弁の電流、のうち少なくとも1つを含む、 情報処理システム。 - 請求項1または2に記載の情報処理システムであって、
前記センサは、前記作業機械の操作者に操作される入力装置の操作を検出し、
前記センサ値は、前記作業機械の操作パネルのボタンのオンオフ、前記作業機械の操作レバーが操作された際に変化する電流および圧力の少なくともいずれか、ならびに、前記作業機械のレバーロックのオンオフ、のうち少なくとも1つを含む、
情報処理システム。 - 請求項1~3のいずれか1項に記載の情報処理システムであって、
前記鍵情報生成部は、前記センサ値に基づいて生成したビット列を前記鍵情報とする、
情報処理システム。 - 請求項4に記載の情報処理システムであって、
前記鍵情報生成部は、所定時間内で経時変化する前記センサ値に基づいて生成した前記ビット列を前記鍵情報とする、
情報処理システム。 - 請求項1~5のいずれか1項に記載の情報処理システムであって、
前記外部装置および前記作業機械のうちの一方は、前記情報を送信する送信側機器であり、
他方は前記情報を受信する受信側機器であり、 前記送信側機器は、前記受信側機器に保存された前記鍵情報と同一の前記鍵情報を用いて前記情報を暗号化し、
前記受信側機器は、前記送信側機器から受信した暗号化された前記情報を、前記受信側機器に保存された前記鍵情報を用いて復号する、
情報処理システム。 - 請求項1~6のいずれか1項に記載の情報処理システムであって、
前記外部装置および前記作業機械のうちの一方は前記情報を送信する送信側機器であり、
他方は前記情報を受信する受信側機器であり、
前記送信側機器は、前記受信側機器に保存された前記鍵情報と同一の前記鍵情報と、前記情報と、に基づいて第1認証符号を生成し、
前記受信側機器は、前記情報および前記第1認証符号を前記送信側機器から受信し、受信した前記情報と前記受信側機器に保存された前記鍵情報とに基づいて第2認証符号を生成し、前記第1認証符号と前記第2認証符号とを比較する、
情報処理システム。 - 請求項1~7のいずれか1項に記載の情報処理システムであって、
前記外部装置および前記作業機械のうちの一方は前記情報を送信する送信側機器であり、
他方は前記情報を受信する受信側機器であり、
前記送信側機器は、前記受信側機器に保存された前記鍵情報と同一の前記鍵情報と、前記情報と、を結合し、
前記受信側機器は、結合された前記鍵情報と前記情報とを前記送信側機器から受信し、
受信した前記鍵情報と、前記受信側機器が前記鍵情報を受信する前に前記受信側機器に保存された前記鍵情報と、を比較する、
情報処理システム。 - 請求項1~5のいずれか1項に記載の情報処理システムであって、
前記情報は、前記作業機械の作動を制御するための制御パラメータであり、
前記外部装置は、前記鍵情報を用いて、前記制御パラメータを前記作業機械に送信し、
前記作業機械は、前記作業機械の作動を前記制御パラメータに基づいて制御するか否かを、前記鍵情報に基づいて判定する、
情報処理システム。 - 請求項9に記載の情報処理システムであって、
前記外部装置は、前記作業機械から受信した前記鍵情報を用いて前記制御パラメータを暗号化し、
前記作業機械は、前記外部装置から受信した暗号化された前記制御パラメータを、前記作業機械に保存された前記鍵情報を用いて復号する、
情報処理システム。 - 請求項10に記載の情報処理システムであって、
前記作業機械の作動を前記制御パラメータに基づいて制御するための条件は、前記鍵情報によって正しく前記制御パラメータが復号されたことを含む、
情報処理システム。 - 請求項9~11のいずれか1項に記載の情報処理システムであって、
前記外部装置は、前記作業機械から受信した前記鍵情報と前記制御パラメータとに基づいて第1認証符号を生成し、
前記作業機械は、前記制御パラメータおよび前記第1認証符号を前記外部装置から受信し、受信した前記制御パラメータと前記作業機械に保存された前記鍵情報とに基づいて第2認証符号を生成し、前記第1認証符号と前記第2認証符号とを比較する、
情報処理システム。 - 請求項12に記載の情報処理システムであって、
前記作業機械の作動を前記制御パラメータに基づいて制御するための条件は、前記第1認証符号と前記第2認証符号とが一致することを含む、
情報処理システム。 - 請求項9~13のいずれか1項に記載の情報処理システムであって、
前記外部装置は、前記作業機械から受信した前記鍵情報と前記制御パラメータとを結合し、
前記作業機械は、結合された前記鍵情報と前記制御パラメータとを前記外部装置から受信し、受信した前記鍵情報と、前記作業機械が前記鍵情報を受信する前に前記作業機械に保存された前記鍵情報と、を比較する、
情報処理システム。 - 請求項14に記載の情報処理システムであって、
前記作業機械の作動を前記制御パラメータに基づいて制御するための条件は、前記作業機械が受信した前記鍵情報と、前記作業機械が前記鍵情報を受信する前に前記作業機械に保存された前記鍵情報と、が一致することを含む、
情報処理システム。 - 作業機械に設けられたセンサから入力されたセンサ値に基づいて鍵情報を生成するステップを備え、
前記鍵情報は、前記作業機械と、前記作業機械の外部に設けられる外部装置と、の間での情報の授受に用いられる、
情報処理方法。 - 請求項16に記載の情報処理方法であって、
前記外部装置および前記作業機械のうちの一方は、前記情報を送信する送信側機器であり、
他方は前記情報を受信する受信側機器であり、
前記送信側機器が、前記受信側機器に保存された前記鍵情報と同一の前記鍵情報を用いて前記情報を暗号化するステップと、
前記受信側機器が、前記送信側機器から受信した暗号化された前記情報を、前記受信側機器に保存された前記鍵情報を用いて復号するステップと、
を備える、
情報処理方法。 - 請求項16または17に記載の情報処理方法であって、
前記外部装置および前記作業機械のうちの一方は、前記情報を送信する送信側機器であり、
他方は前記情報を受信する受信側機器であり、
前記送信側機器が、前記受信側機器に保存された前記鍵情報と同一の前記鍵情報と、前記情報と、に基づいて第1認証符号を生成するステップと、
前記受信側機器が、前記情報および前記第1認証符号を前記送信側機器から受信し、受信した前記情報と前記受信側機器に保存された前記鍵情報とに基づいて第2認証符号を生成し、前記第1認証符号と前記第2認証符号とを比較するステップと、
を備える、
情報処理方法。 - 請求項16~18のいずれか1項に記載の情報処理方法であって、
前記外部装置および前記作業機械のうちの一方は、前記情報を送信する送信側機器であり、
他方は前記情報を受信する側を受信側機器であり、
前記送信側機器が、前記受信側機器に保存された前記鍵情報と同一の前記鍵情報と、前記情報と、を結合するステップと、
前記受信側機器が、結合された前記鍵情報と前記情報とを前記送信側機器から受信し、受信した前記鍵情報と、前記受信側機器が前記鍵情報を受信する前に前記受信側機器に保存された前記鍵情報と、を比較するステップと、
をさらに備える、
情報処理方法。 - 請求項16~19のいずれか1項に記載の情報処理方法であって、
前記情報は、前記作業機械の作動を制御するための制御パラメータであり、
前記外部装置が、前記鍵情報を用いて、前記制御パラメータを前記作業機械に送信するステップと、
前記作業機械が、前記作業機械の作動を前記制御パラメータに基づいて制御するか否かを、前記鍵情報に基づいて判定するステップと、
をさらに備える、
情報処理方法。 - 作業機械に設けられたセンサから入力されたセンサ値に基づいて鍵情報を生成するステップをコンピュータに実行させ、
前記鍵情報は、前記作業機械と、前記作業機械の外部に設けられる外部装置と、の間での情報の授受に用いられる、
プログラム。 - 請求項21に記載のプログラムであって、
前記外部装置および前記作業機械のうちの一方は、前記情報を送信する送信側機器であり、
他方は前記情報を受信する側を受信側機器であり、
前記送信側機器が、前記受信側機器に保存された前記鍵情報と同一の前記鍵情報を用いて前記情報を暗号化するステップと、
前記受信側機器が、前記送信側機器から受信した暗号化された前記情報を、前記受信側機器に保存された前記鍵情報を用いて復号するステップと、
をさらに前記コンピュータに実行させる、
プログラム。 - 請求項21または22に記載のプログラムであって、
前記外部装置および前記作業機械のうちの一方は、前記情報を送信する送信側機器であり、
他方は前記情報を受信する受信側機器であり、
前記送信側機器が、前記受信側機器に保存された前記鍵情報と同一の前記鍵情報と、前記情報と、に基づいて第1認証符号を生成するステップと、
前記受信側機器が、前記情報および前記第1認証符号を前記送信側機器から受信し、受信した前記情報と前記受信側機器に保存された前記鍵情報とに基づいて第2認証符号を生成し、前記第1認証符号と前記第2認証符号とを比較するステップと、
をさらに前記コンピュータに実行させる、
プログラム。 - 請求項21~23のいずれか1項に記載のプログラムであって、
前記外部装置および前記作業機械のうちの一方は、前記情報を送信する送信側機器であり、
他方は前記情報を受信する側を受信側機器であり、
前記送信側機器が、前記受信側機器に保存された前記鍵情報と同一の前記鍵情報と、前記情報と、を結合するステップと、
前記受信側機器が、結合された前記鍵情報と前記情報とを前記送信側機器から受信し、
受信した前記鍵情報と、前記受信側機器が前記鍵情報を受信する前に前記受信側機器に保存された前記鍵情報と、を比較するステップと、
をさらに前記コンピュータに実行させる、
プログラム。 - 請求項21~24のいずれか1項に記載のプログラムであって、
前記情報は、前記作業機械の作動を制御するための制御パラメータであり、
前記外部装置が、前記鍵情報を用いて、前記制御パラメータを前記作業機械に送信するステップと、
前記作業機械が、前記作業機械の作動を前記制御パラメータに基づいて制御するか否かを、前記鍵情報に基づいて判定するステップと、
をさらに前記コンピュータに実行させる、
プログラム。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202080018118.0A CN113498590A (zh) | 2019-03-29 | 2020-01-27 | 信息处理系统、信息处理方法以及程序 |
US17/438,220 US20220191182A1 (en) | 2019-03-29 | 2020-01-27 | Information processing system, information processing method, and program |
EP20784835.9A EP3920462A4 (en) | 2019-03-29 | 2020-01-27 | INFORMATION PROCESSING SYSTEM, INFORMATION PROCESSING METHOD AND PROGRAM |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019-065928 | 2019-03-29 | ||
JP2019065928A JP2020167509A (ja) | 2019-03-29 | 2019-03-29 | 情報処理システム、情報処理方法、およびプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2020202739A1 true WO2020202739A1 (ja) | 2020-10-08 |
Family
ID=72667949
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2020/002754 WO2020202739A1 (ja) | 2019-03-29 | 2020-01-27 | 情報処理システム、情報処理方法、およびプログラム |
Country Status (5)
Country | Link |
---|---|
US (1) | US20220191182A1 (ja) |
EP (1) | EP3920462A4 (ja) |
JP (1) | JP2020167509A (ja) |
CN (1) | CN113498590A (ja) |
WO (1) | WO2020202739A1 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2022045614A (ja) * | 2020-09-09 | 2022-03-22 | キオクシア株式会社 | 演算装置 |
JP2023132092A (ja) | 2022-03-10 | 2023-09-22 | コベルコ建機株式会社 | 認証システム、認証方法、および認証プログラム |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007013386A (ja) * | 2005-06-29 | 2007-01-18 | Hitachi Ltd | アドホックネットワーク用の通信端末および通信制御方法 |
JP2007332563A (ja) | 2006-06-12 | 2007-12-27 | Hitachi Constr Mach Co Ltd | 建設機械の操作系制御装置 |
JP2011008378A (ja) * | 2009-06-24 | 2011-01-13 | Konica Minolta Business Technologies Inc | 画像形成システム及び画像形成装置並びにプリンタドライバ |
JP2013138320A (ja) * | 2011-12-28 | 2013-07-11 | Denso Corp | 車載システム及び通信方法 |
JP2014107804A (ja) * | 2012-11-29 | 2014-06-09 | Toyota Motor Corp | 車車間通信制御システム |
Family Cites Families (94)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
NL1000238C2 (nl) * | 1995-04-27 | 1996-10-29 | Nederland Ptt | Werkwijze voor het monitoren van een via ten minste één telecommunicatielink te verzenden signaal, monitorsysteem monitorbesturingsinrichting en verwerkingsmiddelen. |
EP1104960B1 (en) * | 1999-12-02 | 2009-08-26 | Sony Deutschland GmbH | Message authentication |
US6490513B1 (en) * | 2001-08-22 | 2002-12-03 | Matsushita Electrical Industrial Co., Ltd. | Automobile data archive system having securely authenticated instrumentation data storage |
US20030188180A1 (en) * | 2002-03-28 | 2003-10-02 | Overney Gregor T. | Secure file verification station for ensuring data integrity |
US20040260927A1 (en) * | 2003-06-20 | 2004-12-23 | Grobman Steven L. | Remote data storage validation |
DE102004024002B4 (de) * | 2004-05-14 | 2008-05-21 | Aim Infrarot-Module Gmbh | Verfahren zur Authentifizierung von Sensordaten und zugehörigem Sensor |
US20050283601A1 (en) * | 2004-06-22 | 2005-12-22 | Sun Microsystems, Inc. | Systems and methods for securing a computer boot |
JP2006108903A (ja) * | 2004-10-01 | 2006-04-20 | Hiromi Fukaya | 暗号化データ配布方法、暗号化装置、復号化装置、暗号化プログラム及び復号化プログラム |
US8295484B2 (en) * | 2004-12-21 | 2012-10-23 | Broadcom Corporation | System and method for securing data from a remote input device |
KR100670005B1 (ko) * | 2005-02-23 | 2007-01-19 | 삼성전자주식회사 | 모바일 플랫폼을 위한 메모리의 무결성을 원격으로 확인하는 확인장치 및 그 시스템 그리고 무결성 확인 방법 |
US8442236B2 (en) * | 2005-12-29 | 2013-05-14 | Telecom Italia S.P.A. | Method for communicating entitlement data from a server, related server, client systems and computer program product |
US7602291B2 (en) * | 2006-09-14 | 2009-10-13 | Userstar Information System Co., Ltd. | Method and system for verifying authenticity of an object |
US20080106371A1 (en) * | 2006-10-20 | 2008-05-08 | Userstar Information System Co., Ltd. | Method and system for verifying authenticity of an object |
JP4197031B2 (ja) * | 2006-11-30 | 2008-12-17 | 沖電気工業株式会社 | メッセージ認証システム及びメッセージ認証方法 |
US8027474B2 (en) * | 2007-04-05 | 2011-09-27 | Industrial Technology Research Institute | Method and system for secure data aggregation in wireless sensor networks |
US8275123B2 (en) * | 2007-08-17 | 2012-09-25 | Infineon Technologies, Ag | Integrated data transceiver and sensor for the generation of a symmetrical cryptographic key |
US8079226B2 (en) * | 2007-12-20 | 2011-12-20 | Spx Corporation | Method for accurately recharging A/C systems |
CN101911130B (zh) * | 2008-01-15 | 2016-03-23 | 泰利特汽车解决方案公司 | 道路收费系统 |
US8255688B2 (en) * | 2008-01-23 | 2012-08-28 | Mastercard International Incorporated | Systems and methods for mutual authentication using one time codes |
US8793497B2 (en) * | 2008-05-09 | 2014-07-29 | Qualcomm Incorporated | Puzzle-based authentication between a token and verifiers |
JP4977782B2 (ja) * | 2008-06-24 | 2012-07-18 | パナソニック株式会社 | アクセス制御装置、アクセス制御プログラム、及びアクセス制御方法 |
EP2194257A1 (en) * | 2008-12-05 | 2010-06-09 | Delphi Technologies Holding S.à.r.l. | A method of controlling a vehicle engine system |
US8225110B2 (en) * | 2009-01-09 | 2012-07-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Cryptographic protection of usage restrictions in electronic devices |
KR101665690B1 (ko) * | 2009-06-26 | 2016-10-12 | 삼성전자주식회사 | 센서 네트워크에서 센서 노드 인증 방법 및 장치 |
US9094195B2 (en) * | 2009-10-02 | 2015-07-28 | Andrew LEPPARD | Protecting de-duplication repositories against a malicious attack |
KR101293117B1 (ko) * | 2009-12-15 | 2013-08-02 | 한국전자통신연구원 | 무선 통신 시스템에서의 그룹 서비스 제공 방법 및 장치 |
US8938621B2 (en) * | 2011-11-18 | 2015-01-20 | Qualcomm Incorporated | Computing device integrity protection |
US8855604B2 (en) * | 2012-01-06 | 2014-10-07 | National Cheng Kung University | Roaming authentication method for a GSM system |
US8954723B2 (en) * | 2012-05-09 | 2015-02-10 | International Business Machines Corporation | Anonymization of data within a streams environment |
US10277867B2 (en) * | 2012-07-12 | 2019-04-30 | Elwha Llc | Pre-event repository associated with individual privacy and public safety protection via double encrypted lock box |
US9355228B2 (en) * | 2012-07-13 | 2016-05-31 | Angel Secure Networks, Inc. | System and method for policy driven protection of remote computing environments |
US9582671B2 (en) * | 2014-03-06 | 2017-02-28 | Sensity Systems Inc. | Security and data privacy for lighting sensory networks |
US8762731B2 (en) * | 2012-09-14 | 2014-06-24 | Sap Ag | Multi-system security integration |
DE102013206185A1 (de) * | 2013-04-09 | 2014-10-09 | Robert Bosch Gmbh | Verfahren zur Erkennung einer Manipulation eines Sensors und/oder von Sensordaten des Sensors |
DE102013206202A1 (de) * | 2013-04-09 | 2014-10-30 | Robert Bosch Gmbh | Sensormodul und Verfahren zum Betreiben eines Sensorsmoduls |
US9818315B2 (en) * | 2013-06-04 | 2017-11-14 | At&T Intellectual Property I, L.P. | Secure multi-party device pairing using sensor data |
US9392446B1 (en) * | 2013-08-05 | 2016-07-12 | Sprint Communications Company L.P. | Authenticating environmental sensor systems based on security keys in communication systems |
KR101729960B1 (ko) * | 2013-10-21 | 2017-04-25 | 한국전자통신연구원 | 신뢰 보안 플랫폼 모듈을 이용한 보안 애플리케이션 인증 및 관리 방법 및 장치 |
JP6165646B2 (ja) * | 2014-01-30 | 2017-07-19 | 株式会社東芝 | 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法 |
JP6169028B2 (ja) * | 2014-03-18 | 2017-07-26 | 株式会社東芝 | 通信装置、通信システムおよび通信方法 |
JP6211963B2 (ja) * | 2014-03-18 | 2017-10-11 | 株式会社東芝 | 受信機、送信機、通信システムおよび通信方法 |
KR102103242B1 (ko) * | 2014-05-27 | 2020-04-23 | 에스케이플래닛 주식회사 | 비콘장치의 보안 강화 방법, 이를 위한 시스템 및 장치 |
TWI581598B (zh) * | 2014-09-17 | 2017-05-01 | 國立成功大學 | 通訊認證方法 |
US9426159B2 (en) * | 2014-09-26 | 2016-08-23 | Intel Corporation | Securing sensor data |
US20160099806A1 (en) * | 2014-10-07 | 2016-04-07 | GM Global Technology Operations LLC | Distributing secret keys for managing access to ecus |
EA201691185A1 (ru) * | 2014-10-14 | 2016-11-30 | Сикпа Холдинг Са | Интерфейс с защищенной промежуточной платформой для создания данных, совместимых с внешней системой, в цепочке поставок нефтегазовых ресурсов |
KR20160066603A (ko) * | 2014-12-02 | 2016-06-13 | 현대자동차주식회사 | Gdi 엔진의 고압펌프 연료압력센서 고장진단방법 |
US10079829B2 (en) * | 2015-04-02 | 2018-09-18 | The Boeing Company | Secure provisioning of devices for manufacturing and maintenance |
EP3284003B1 (en) * | 2015-04-14 | 2021-02-24 | Gigavation, Inc. | Paravirtualized security threat protection of a computer-driven system with networked devices |
US10402792B2 (en) * | 2015-08-13 | 2019-09-03 | The Toronto-Dominion Bank | Systems and method for tracking enterprise events using hybrid public-private blockchain ledgers |
US10439998B2 (en) * | 2015-09-22 | 2019-10-08 | Bernard Wishard | Autonomous sensor system with intrinsic asymmetric encryption |
JP6502832B2 (ja) * | 2015-11-13 | 2019-04-17 | 株式会社東芝 | 検査装置、通信システム、移動体および検査方法 |
US10129022B1 (en) * | 2016-02-22 | 2018-11-13 | The Regents Of The University Of California | Secret key for wireless communication in cyber-physical automotive systems |
JP6490613B2 (ja) * | 2016-03-14 | 2019-03-27 | 株式会社東芝 | 通信装置、量子鍵配送システム、量子鍵配送方法およびプログラム |
US10129228B1 (en) * | 2016-03-30 | 2018-11-13 | Amazon Technologies, Inc. | Authenticated communication between devices |
KR102550672B1 (ko) * | 2016-04-05 | 2023-07-04 | 삼성전자주식회사 | 영상처리장치 및 그 제어방법 |
US10148634B2 (en) * | 2016-04-05 | 2018-12-04 | Deere & Company | Operator authentication for a work machine |
CN107317674B (zh) * | 2016-04-27 | 2021-08-31 | 华为技术有限公司 | 密钥分发、认证方法,装置及系统 |
US10382952B2 (en) * | 2016-05-19 | 2019-08-13 | International Business Machines Corporation | Generating and utilizing a secondary security key |
US9838203B1 (en) * | 2016-09-28 | 2017-12-05 | International Business Machines Corporation | Integrity protected trusted public key token with performance enhancements |
US11012230B2 (en) * | 2016-12-13 | 2021-05-18 | Renesas Electronics Corporation | Communication apparatus and cryptographic processing system |
US10320756B2 (en) * | 2016-12-31 | 2019-06-11 | Intel Corporation | Secure communications for sensor data |
US10825266B2 (en) * | 2017-01-10 | 2020-11-03 | Cummins Inc. | Wireless ECU configuration updating |
US20180205729A1 (en) * | 2017-01-13 | 2018-07-19 | GM Global Technology Operations LLC | Method and apparatus for encryption, decryption and authentication |
US10841084B2 (en) * | 2017-02-03 | 2020-11-17 | Qualcomm Incorporated | Session management authorization token |
US10755322B2 (en) * | 2017-02-22 | 2020-08-25 | Red Hat, Inc. | Blockchain-based software instance usage determination |
CN110637480A (zh) * | 2017-03-17 | 2019-12-31 | Scrrd公司 | 无线设备检测、跟踪和认证平台及技术 |
KR102432356B1 (ko) * | 2017-03-23 | 2022-08-16 | 삼성에스디에스 주식회사 | 키 생성 장치 및 방법, 암호화 장치 및 방법 |
US10412058B2 (en) * | 2017-04-18 | 2019-09-10 | GM Global Technology Operations LLC | Systems and methods for using mechanical vibration for out-of-band communications onboard a vehicle |
US10649969B2 (en) * | 2017-06-13 | 2020-05-12 | Western Digital Technologies, Inc. | Memory efficient persistent key-value store for non-volatile memories |
US20190007212A1 (en) * | 2017-06-30 | 2019-01-03 | Intel Corporation | Secure unlock systems for locked devices |
CN109215164A (zh) * | 2017-07-04 | 2019-01-15 | 百度在线网络技术(北京)有限公司 | 行车数据获取方法和装置 |
WO2019010421A1 (en) * | 2017-07-07 | 2019-01-10 | Ligatti Jay | SYSTEMS AND METHODS FOR GENERATING SYMMETRIC CRYPTOGRAPHIC KEYS |
KR102385474B1 (ko) * | 2017-07-19 | 2022-04-13 | 현대자동차주식회사 | 차량 시스템 및 그 제어방법 |
JP6925907B2 (ja) * | 2017-08-09 | 2021-08-25 | オムロンヘルスケア株式会社 | データ送信装置、データ受信装置、方法及びプログラム |
US10951411B2 (en) * | 2017-08-23 | 2021-03-16 | Semiconductor Components Industries, Llc | Methods and apparatus for a password-protected integrated circuit |
US10833877B2 (en) * | 2017-10-12 | 2020-11-10 | Canon Kabushiki Kaisha | Method of authenticating authentication-target apparatus by authentication apparatus, authentication apparatus, authentication- target apparatus, and image forming apparatus |
US11146402B2 (en) * | 2017-11-17 | 2021-10-12 | Monkton, Inc. | Non-repudiation method and system |
US10819507B2 (en) * | 2017-12-28 | 2020-10-27 | Intel Corporation | Secure key sharing between a sensor and a computing platform using symmetric key cryptography |
US10897354B2 (en) * | 2018-01-19 | 2021-01-19 | Robert Bosch Gmbh | System and method for privacy-preserving data retrieval for connected power tools |
US10637858B2 (en) * | 2018-02-23 | 2020-04-28 | T-Mobile Usa, Inc. | Key-derivation verification in telecommunications network |
US11057352B2 (en) * | 2018-02-28 | 2021-07-06 | Xaptum, Inc. | Communication system and method for machine data routing |
US10706651B2 (en) * | 2018-03-28 | 2020-07-07 | Denso International America, Inc. | Systems and methods for communication bus security in a vehicle |
US10848302B2 (en) * | 2018-04-12 | 2020-11-24 | Simmonds Precision Products, Inc. | Network security framework for wireless aircraft communication |
US20190342101A1 (en) * | 2018-05-04 | 2019-11-07 | John William Hayes | Secure time communication system |
US10956569B2 (en) * | 2018-09-06 | 2021-03-23 | International Business Machiness Corporation | Proactive ransomware defense |
US11377072B2 (en) * | 2018-11-02 | 2022-07-05 | Uatc, Llc | Systems and methods for tamper evident electronic detection |
US10501055B1 (en) * | 2018-11-15 | 2019-12-10 | Didi Research America, Llc | Passenger and vehicle mutual authentication |
US10464529B1 (en) * | 2018-11-15 | 2019-11-05 | Didi Research America, Llc | Method and system for managing access of vehicle compartment |
US10896261B2 (en) * | 2018-11-29 | 2021-01-19 | Battelle Energy Alliance, Llc | Systems and methods for control system security |
US11005656B2 (en) * | 2018-12-07 | 2021-05-11 | Arris Enterprises Llc | Embedding information in elliptic curve base point |
US11048755B2 (en) * | 2018-12-14 | 2021-06-29 | Micron Technology, Inc. | Key-value store tree with selective use of key portion |
US11336433B2 (en) * | 2019-03-25 | 2022-05-17 | Micron Technology, Inc. | Secure sensor communication |
US11323275B2 (en) * | 2019-03-25 | 2022-05-03 | Micron Technology, Inc. | Verification of identity using a secret key |
-
2019
- 2019-03-29 JP JP2019065928A patent/JP2020167509A/ja active Pending
-
2020
- 2020-01-27 WO PCT/JP2020/002754 patent/WO2020202739A1/ja unknown
- 2020-01-27 US US17/438,220 patent/US20220191182A1/en not_active Abandoned
- 2020-01-27 CN CN202080018118.0A patent/CN113498590A/zh active Pending
- 2020-01-27 EP EP20784835.9A patent/EP3920462A4/en not_active Withdrawn
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007013386A (ja) * | 2005-06-29 | 2007-01-18 | Hitachi Ltd | アドホックネットワーク用の通信端末および通信制御方法 |
JP2007332563A (ja) | 2006-06-12 | 2007-12-27 | Hitachi Constr Mach Co Ltd | 建設機械の操作系制御装置 |
JP2011008378A (ja) * | 2009-06-24 | 2011-01-13 | Konica Minolta Business Technologies Inc | 画像形成システム及び画像形成装置並びにプリンタドライバ |
JP2013138320A (ja) * | 2011-12-28 | 2013-07-11 | Denso Corp | 車載システム及び通信方法 |
JP2014107804A (ja) * | 2012-11-29 | 2014-06-09 | Toyota Motor Corp | 車車間通信制御システム |
Non-Patent Citations (1)
Title |
---|
See also references of EP3920462A4 |
Also Published As
Publication number | Publication date |
---|---|
EP3920462A1 (en) | 2021-12-08 |
EP3920462A4 (en) | 2022-04-20 |
US20220191182A1 (en) | 2022-06-16 |
CN113498590A (zh) | 2021-10-12 |
JP2020167509A (ja) | 2020-10-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9911010B2 (en) | Secure field-programmable gate array (FPGA) architecture | |
US6505302B1 (en) | Authentication for secure devices with limited cryptography | |
CN109218263B (zh) | 一种控制方法及装置 | |
CN109587518B (zh) | 图像传输装置、操作图像传输装置的方法以及片上系统 | |
JP2006211343A (ja) | 認証方式及び認証システム | |
WO2020202739A1 (ja) | 情報処理システム、情報処理方法、およびプログラム | |
JP2008541591A (ja) | 完全性保護されたセキュアストレージの実装 | |
EP3877879B1 (en) | Methods and systems of securely transferring data | |
JP2012235214A (ja) | 暗号通信装置および暗号通信システム | |
JP6751545B1 (ja) | 電子署名システム及び耐タンパ装置 | |
CN106302354A (zh) | 一种身份认证方法和装置 | |
CN103514392A (zh) | 一种计算机操作系统登录认证装置和方法 | |
WO2005052768A1 (ja) | 機密情報処理システムおよびlsi | |
EP3472719A1 (en) | Method and apparatus of implementing a vpn tunnel | |
Mayrhofer et al. | Security by spatial reference: Using relative positioning to authenticate devices for spontaneous interaction | |
JP6201835B2 (ja) | 情報処理装置、情報処理方法及びコンピュータプログラム | |
CN101355424B (zh) | 一种手持设备数据安全迁移的方法 | |
WO2016049754A1 (en) | Tamper-evident device and system, and network messaging method and system | |
JP2021111925A (ja) | 電子署名システム | |
EP3213509B1 (en) | Method for verifying positions of a plurality of monitoring devices | |
JP7247709B2 (ja) | 作業機械認証システム、作業機械認証方法、および作業機械認証プログラム | |
CN114329522A (zh) | 一种私钥保护方法、装置、系统及存储介质 | |
KR20100052668A (ko) | 온라인으로 에이티엠과 호스트 사이의 티엠케이를 공유하는방법 | |
JP2018026141A (ja) | 情報処理装置、情報処理方法及びコンピュータプログラム | |
TWI633231B (zh) | Smart lock and smart lock control method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 20784835 Country of ref document: EP Kind code of ref document: A1 |
|
ENP | Entry into the national phase |
Ref document number: 2020784835 Country of ref document: EP Effective date: 20210901 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |