Nothing Special   »   [go: up one dir, main page]

JP2007215104A - Terminal equipment - Google Patents

Terminal equipment Download PDF

Info

Publication number
JP2007215104A
JP2007215104A JP2006035262A JP2006035262A JP2007215104A JP 2007215104 A JP2007215104 A JP 2007215104A JP 2006035262 A JP2006035262 A JP 2006035262A JP 2006035262 A JP2006035262 A JP 2006035262A JP 2007215104 A JP2007215104 A JP 2007215104A
Authority
JP
Japan
Prior art keywords
time
server
unit
public key
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2006035262A
Other languages
Japanese (ja)
Inventor
Masakazu Uehata
正和 上畑
Satoshi Kawatani
聡 川谷
Noriaki Uchino
則彰 内野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Seiko Instruments Inc
Original Assignee
Seiko Instruments Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Seiko Instruments Inc filed Critical Seiko Instruments Inc
Priority to JP2006035262A priority Critical patent/JP2007215104A/en
Publication of JP2007215104A publication Critical patent/JP2007215104A/en
Withdrawn legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To perform time certification to a value measured by a number of measuring instruments at low costs. <P>SOLUTION: The instrument 7 is connected to a network 10 and communicates with a slave 9 by radio. The slave 9 is a measuring instrument, such as a thermometer, and transmits measured values to the instrument 7. The instrument 7 incorporates a time stamp issuing function, and issues a time stamp to a measured value for transmitting to a client server 4 when the measured value is received from the instrument 7. The instrument 7 and the slave 9 share a common key. The common key is used to encrypt the communication between the instrument 7 and the slave 9. The slave 9 can also be connected to the instrument 7 via other slaves 9. The instrument 7 has also a measuring section, and issues a time stamp to the measured value measured by itself for transmitting to the client server 4. The client server 4 receives the measured value measured by the instrument 7 and that measured by the slave 9 from the instrument 7 to confirm the time stamp for storing into a measured value database. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、端末機器に関し、例えば、子機端末から計測値を受信するものに関する。   The present invention relates to a terminal device, for example, a device that receives a measurement value from a slave terminal.

近年のネットワーク技術の急激な進歩に伴って、各種の電子化情報がネットワークを介して流通している。
このようなネットワーク技術を用いて遠隔地に設置した計測機器をネットワークに接続する試みも行われている。
これによって、従来は検針員が各計測機器(例えば、ガスメータ)を回って計測値を手作業で収集していたものが、ネットワークを介してサーバで収集することができるようになる。
With the rapid progress of network technology in recent years, various kinds of computerized information are distributed through the network.
Attempts have also been made to connect measuring devices installed at remote locations to the network using such network technology.
As a result, what has conventionally been collected manually by the meter reader around each measuring device (for example, a gas meter) can be collected by the server via the network.

このように、遠隔地での計測値をサーバで収集する場合、計測値か計測された場所の位置一証明と計測値が計測された時刻の時刻証明が重要となる。
例えば、ガスメータのような定位置に固定された機器の場合、計測位置は一定であるが、計測時刻は毎回異なるため、計測値を機器からタイムスタンプサーバに送信し、タイムスタンプサーバでタイムスタンプを発行してもらっていた。
タイムスタンプは、機器から受信した計測値に受信した時刻情報を付加して、タイムスタンプサーバの秘密鍵でデジタル署名を行ったものである。
この秘密鍵に対応する公開鍵でデジタル署名を確認することにより、タイムスタンプサーバが当該時刻に、当該計測値を受信したことを証明することができる。
As described above, when collecting measurement values at a remote place by the server, it is important to prove the position of the measured value or the location where the measurement is performed and the time proof of the time when the measurement value is measured.
For example, in the case of a device fixed at a fixed position such as a gas meter, the measurement position is constant, but the measurement time is different each time, so the measured value is transmitted from the device to the time stamp server, and the time stamp server I had it issued.
The time stamp is obtained by adding the received time information to the measurement value received from the device and performing a digital signature with the secret key of the time stamp server.
By confirming the digital signature with the public key corresponding to the secret key, it is possible to prove that the time stamp server has received the measurement value at the time.

このようなタイムスタンプシステムを構成する技術として、次の信頼されるサードパーティクロックおよび信頼されるローカルクロックを提供するためのシステムおよび方法がある。
特表2003−519417公報
As a technology for constructing such a time stamp system, there are a system and a method for providing the following trusted third-party clock and trusted local clock.
Special table 2003-519417 gazette

この技術は、タイムスタンプサーバのクロックを監査する監査サーバを設け、タイムスタンプサーバでの時刻改竄を防止するものである。   This technology provides an audit server that audits the clock of the time stamp server, and prevents time tampering at the time stamp server.

例えば、温室内の温度分布の計測など、大量の計測機器を設置してデータの収集を行いたいとの要望がある。ところが、大量の計測機器にそれぞれ時刻証明機能を備えるとコストが上昇するという問題があった。   For example, there is a demand for collecting data by installing a large amount of measuring devices such as measuring the temperature distribution in a greenhouse. However, there is a problem that the cost increases when a large number of measuring devices are each provided with a time certification function.

そこで、本発明の目的は、多数の計測機器で計測された計測値に時刻証明を行う機能を低コストで実現することである。   Accordingly, an object of the present invention is to realize a function of performing time certification on measured values measured by a large number of measuring devices at a low cost.

本発明は、前記目的を達成するために、子機端末と、前記子機端末と通信可能な端末機器と、前記端末機器から計測値を受信する情報処理サーバと、を用いて構成された情報処理システムで使用する端末機器であって、前記子機端末が計測対象を計測した計測値を前記子機端末から取得する計測値取得手段と、前記計測値受信手段で計測値を受信した際の時刻を計測する時計装置と、前記受信した計測値に対して前記取得した時刻による時刻証明情報を生成する時刻証明情報生成手段と、を具備したことを特徴とする端末機器を提供する(第1の構成)。
第1に構成において、非対称暗号鍵として対をなす公開鍵と秘密鍵のうち、前記秘密鍵を記憶する秘密鍵記憶手段を具備し、前記時刻証明情報生成手段は、前記記憶した秘密鍵を用いて、前記計測値と前記時刻を対応づけた対応情報を、所定の暗号方式により暗号化することにより時刻証明情報を生成するように構成することもできる(第2の構成)。
第1の構成、又は第2の構成において、前記生成した時刻証明情報を所定の送信先に送信する送信手段を具備するように構成することもできる(第3の構成)。
第1の構成、第2の構成、又は第3の構成において、基準時刻送信装置が送信した基準時刻を受信する基準時刻情報受信手段と、前記受信した基準時刻を用いて、前記時計装置が計測する時刻のうち所定単位よりも小さい単位の時刻を補正する時刻補正手段と、を具備するように構成することもできる(第4の構成)。
第4の構成において、所定の監査サーバから基準時刻を受信する基準時刻受信手段と、前記所定単位以上の時刻において、前記計測した時刻と前記受信した基準時刻が一致する場合に前記時刻証明情報生成手段を動作させ、一致しない場合に前記時刻証明情報生成手段を停止させる監査結果実行手段と、を具備するように構成することもできる(第5の構成)。
第1の構成から第5の構成までのうちの何れか1の構成において、計測対象を計測する計測手段を具備し、前記計測値取得手段は、前記計測手段から計測値を取得するように構成することもできる(第6の構成)。
In order to achieve the above object, the present invention provides information configured using a slave terminal, a terminal device that can communicate with the slave terminal, and an information processing server that receives measurement values from the terminal device. A terminal device used in a processing system, wherein a measurement value acquisition unit that acquires a measurement value measured by the child device terminal from the child device terminal and a measurement value received by the measurement value reception unit There is provided a terminal device comprising: a clock device that measures time; and time proof information generating means that generates time proof information based on the acquired time for the received measurement value. Configuration).
In the first configuration, a public key and a private key paired as an asymmetric encryption key are provided, and a secret key storage unit that stores the secret key is provided, and the time certification information generation unit uses the stored secret key Thus, the time certification information may be generated by encrypting the correspondence information in which the measurement value is associated with the time by a predetermined encryption method (second configuration).
In the first configuration or the second configuration, it may be configured to include a transmission unit that transmits the generated time certification information to a predetermined transmission destination (third configuration).
In the first configuration, the second configuration, or the third configuration, the timepiece device uses the reference time information receiving means for receiving the reference time transmitted by the reference time transmitting device and the received reference time. And a time correction unit that corrects a time in a unit smaller than a predetermined unit among the times to be performed (fourth configuration).
In the fourth configuration, when the reference time receiving means for receiving a reference time from a predetermined audit server, and when the measured time coincides with the received reference time at the time equal to or greater than the predetermined unit, the time certification information generation An audit result executing means for operating the means and stopping the time certification information generating means if they do not match can be configured (fifth structure).
In any one of the first to fifth configurations, a measurement unit that measures a measurement target is provided, and the measurement value acquisition unit acquires a measurement value from the measurement unit It is also possible (sixth configuration).

本発明によれば、子機端末での計測値に端末機器で時刻証明を付与することにより、多数の計測機器で計測された計測値に低コストで時刻証明を行うことができる。   According to the present invention, time certification can be performed at low cost on the measurement values measured by a large number of measurement devices by giving the time certification by the terminal device to the measurement value at the slave terminal.

(1)実施の形態の概要
機器7(図16)は、ネットワーク10に接続すると共に、子機9、9、・・・と無線通信を行う。
子機9は、例えば、温度計などの計測機器であり、計測値を機器7に送信する。機器7は、タイムスタンプ発行機能を内蔵しており、機器7から計測値を受信すると、これにタイムスタンプを発行して顧客サーバ4に送信する。機器7と子機9は、共通鍵を共有しており、機器7と子機9の間の通信はこの共通鍵によって暗号化されている。なお、他の子機9を介して子機9を機器7に接続することもできる。
機器7も計測部を有しており、自己が計測した計測値にタイムスタンプを発行して顧客サーバ4に送信する。
顧客サーバ4は、機器7から機器7で計測した計測値や子機9で計測した計測値を受信してタイムスタンプを確認した後、計測値データベースに記憶する。
(1) Outline of Embodiment The device 7 (FIG. 16) is connected to the network 10 and wirelessly communicates with the slave units 9, 9,.
The subunit | mobile_unit 9 is measuring instruments, such as a thermometer, for example, and transmits a measured value to the apparatus 7. FIG. The device 7 has a built-in time stamp issuing function. When a measured value is received from the device 7, the device 7 issues a time stamp to the measured value and transmits it to the customer server 4. The device 7 and the child device 9 share a common key, and communication between the device 7 and the child device 9 is encrypted by this common key. In addition, the subunit | mobile_unit 9 can also be connected to the apparatus 7 via the other subunit | mobile_unit 9. FIG.
The device 7 also has a measuring unit, issues a time stamp to the measured value measured by itself, and transmits it to the customer server 4.
The customer server 4 receives the measurement value measured by the device 7 from the device 7 and the measurement value measured by the slave unit 9 and confirms the time stamp, and then stores it in the measurement value database.

(2)実施の形態の詳細
本実施の形態では、計測機器のネットワークへの設置と、設置後の計測機器の利用について説明する。
(2) Details of Embodiment In the present embodiment, installation of a measurement device on a network and use of the measurement device after installation will be described.

[機器の設置]
図1は、本実施の形態に係る情報処理システムのネットワーク構成の一例を示したブロック図である。
情報処理システム1は、CA3、3、検証サーバ5、顧客サーバ4、4、機器登録サーバ6、機器7、7、7、・・・、基地局8などがネットワーク10を介して接続可能に配置されており、CA3、3の上位には親CA2が設けられている。
以後、CA3、3、顧客サーバ4、4、機器7、7、・・・など複数存在するものに関しては、特に区別しない場合は単にCA3、顧客サーバ4、機器7と記すことにする。
[Installation of equipment]
FIG. 1 is a block diagram showing an example of a network configuration of the information processing system according to the present embodiment.
The information processing system 1 is arranged such that the CAs 3 and 3, the verification server 5, the customer servers 4 and 4, the device registration server 6, the devices 7, 7, 7,. The parent CA2 is provided above the CA3 and CA3.
Hereinafter, regarding a plurality of items such as CA 3, 3, customer server 4, 4, device 7, 7,..., They are simply referred to as CA 3, customer server 4, device 7 unless otherwise distinguished.

親CA2とCA3は、何れも公開鍵証明書を作成する認証局の認証サーバであり、親CA2が発行するルート証明書によりCA3のCA公開鍵の正統性を証明する証明書信頼チェーンを構成している。
情報処理システム1で複数のCA3を設けたのは、機器7が大量に流通するため、これを例えば、製造ロットごと、あるいは機器7を使用する顧客ごとなどに区分してCA3に割り当てることができるようにするためである。
このように、証明書信頼チェーンを用いるのは事業の便宜のためであり、単一のCAによって全ての機器7を取り扱うように構成してもよい。
Each of the parent CA2 and CA3 is an authentication server of a certificate authority that creates a public key certificate, and forms a certificate trust chain that proves the legitimacy of the CA public key of CA3 by a root certificate issued by the parent CA2. ing.
The reason why a plurality of CAs 3 are provided in the information processing system 1 is that the devices 7 are distributed in large quantities, and can be assigned to the CAs 3 by dividing them into, for example, each production lot or each customer who uses the devices 7. It is for doing so.
As described above, the certificate trust chain is used for business convenience, and all the devices 7 may be handled by a single CA.

CA3の公開鍵を証明するCA公開鍵証明書の正統性は、親CA2の発行するルート証明書により確認される。
より詳細には、CA3のCA公開鍵は、親CA2の親CA秘密鍵によりデジタル署名されており、このデジタル署名の正統性を親CA公開鍵で検証することによりCA公開鍵の正統性を確認することができる。
CA公開鍵証明書やルート証明書は、安全な方法により予め顧客サーバ4、検証サーバ5、機器7などに提供されている。
The legitimacy of the CA public key certificate that certifies the public key of CA3 is confirmed by the root certificate issued by the parent CA2.
More specifically, the CA public key of CA3 is digitally signed by the parent CA private key of the parent CA2, and the authenticity of the CA public key is confirmed by verifying the authenticity of the digital signature with the parent CA public key. can do.
The CA public key certificate and the root certificate are provided to the customer server 4, the verification server 5, the device 7 and the like in advance by a secure method.

顧客サーバ4は、機器7を利用して測定を行う顧客が運用する情報処理サーバである。なお、機器7の販売者側から見て機器7のユーザは販売者の顧客であるためユーザを顧客と呼んでいる。
顧客サーバ4は、A社が運用するものやB社が運用するものなど、顧客がそれぞれ運用している。
機器7は、例えば、ガスメータなどの計測装置であり、顧客サーバ4は、ネットワーク10を介してこれら機器7から計測値を収集する。収集された計測値によりガス料金などが計算される。
The customer server 4 is an information processing server operated by a customer who performs measurement using the device 7. Note that the user of the device 7 is a customer of the seller when viewed from the seller side of the device 7, and the user is called a customer.
The customer server 4 is operated by customers, such as those operated by Company A and those operated by Company B, respectively.
The device 7 is a measuring device such as a gas meter, for example, and the customer server 4 collects measurement values from these devices 7 via the network 10. Gas charges etc. are calculated from the collected measurements.

機器7は、ネットワーク10に接続可能に設置された計測機器などであり、ガスメータなどの固定式のもののほか、移動式のものを用いることもできる。
機器7は、例えば、A社の機器7はA社の顧客サーバ4に接続し、B社の機器7はB社の顧客サーバ4に接続するというように、所有者に対応した顧客サーバ4に接続して計測値などの情報を顧客サーバ4に送信する。
機器7は、有線のほか、無線によってネットワーク10に接続することも可能であり、この場合は、基地局8を介してネットワーク10に接続するようになっている。
The device 7 is a measuring device or the like installed so as to be connectable to the network 10 and may be a mobile device in addition to a fixed device such as a gas meter.
For example, the device 7 is connected to the customer server 4 of the company A, and the device 7 of the company B is connected to the customer server 4 of the company B. Connect to transmit information such as measurement values to the customer server 4.
The device 7 can be connected to the network 10 by wire as well as wirelessly. In this case, the device 7 is connected to the network 10 via the base station 8.

検証サーバ5は、機器7をネットワーク10に設置して顧客サーバ4に接続する際に、機器7の正統性を検証し、なりすましなどの機器7の不正使用を防ぐためのサーバである。
検証サーバ5で機器7が正統品であることが検証された後、顧客サーバ4は機器7と接続する。
The verification server 5 is a server for verifying the legitimacy of the device 7 and preventing unauthorized use of the device 7 such as impersonation when the device 7 is installed in the network 10 and connected to the customer server 4.
After the verification server 5 verifies that the device 7 is a legitimate product, the customer server 4 connects to the device 7.

機器登録サーバ6は、機器7が機器公開鍵証明書などをCA3に発行してもらうに際して機器7とCA3との仲介を行うと共に、機器7を検証サーバ5に登録するサーバである。
なお、機器登録サーバ6は、機器登録サーバ秘密鍵を記憶しており、検証サーバ5は、この秘密鍵に対応する機器登録サーバ公開鍵を記憶している。
そして、機器登録サーバ6は、機器7を機器登録するための登録要求情報を検証サーバ公開鍵で暗号化して検証サーバ5に送信し、検証サーバ5は、これを検証サーバ秘密鍵で復号化するようになっている。
検証サーバ5は、登録要求情報が登録サーバ秘密鍵でデジタル署名することにより、この情報が確かに機器登録サーバ6から送信されたものであることを確認することができる。
The device registration server 6 is a server that mediates between the device 7 and the CA 3 when the device 7 issues a device public key certificate or the like to the CA 3 and registers the device 7 in the verification server 5.
The device registration server 6 stores a device registration server secret key, and the verification server 5 stores a device registration server public key corresponding to the secret key.
Then, the device registration server 6 encrypts the registration request information for registering the device 7 with the verification server public key and transmits it to the verification server 5, and the verification server 5 decrypts it with the verification server private key. It is like that.
The verification server 5 can confirm that this information is surely transmitted from the device registration server 6 by digitally signing the registration request information with the registration server private key.

以上のように構成された情報処理システム1において、親CA2、CA3、検証サーバ5、及び機器登録サーバ6は、機器7の製造事業者や販売事業者などの販売側事業者によって運用されており、顧客サーバ4は、機器7を購入した顧客によって運用されている。
販売側事業者は機器7の製造番号や機器7の納入先の顧客などに関する情報を有しているため、親CA2、CA3、検証サーバ5、機器登録サーバ6を運用して顧客に機器検証サービスを提供するのに適した立場にある。
In the information processing system 1 configured as described above, the parent CA 2, CA 3, the verification server 5, and the device registration server 6 are operated by a sales side business operator such as a manufacturer or sales business of the device 7. The customer server 4 is operated by the customer who purchased the device 7.
Since the sales company has information on the serial number of the device 7 and the customer to whom the device 7 is delivered, the device verification service is provided to the customer by operating the parent CA2, CA3, the verification server 5, and the device registration server 6. Is in a good position to provide.

また、機器7、検証サーバ5、機器登録サーバ6、顧客サーバ4などがネットワーク10を介して形成する通信経路はSSL(Secure Sockets Layer)などの技術を用いて暗号化されており、情報処理システム1のセキュリティが高められている。   The communication path formed by the device 7, the verification server 5, the device registration server 6, the customer server 4 and the like via the network 10 is encrypted using a technology such as SSL (Secure Sockets Layer), and the information processing system 1 security is enhanced.

次に、図2を用いて機器7のハードウェア的な構成について説明する。
機器7は、大きく分けて耐タンパ部20と計測部35がバスラインによって接続されて構成されている。
耐タンパ部20は、機器認証などセキュリティに関わる情報処理を行う機能部であり、例えば、耐タンパ仕様の集積回路を収納したICチップによって構成された耐タンパモジュールである。
Next, the hardware configuration of the device 7 will be described with reference to FIG.
The device 7 is roughly divided into a tamper resistant portion 20 and a measuring portion 35 connected by a bus line.
The tamper resistant unit 20 is a functional unit that performs information processing related to security such as device authentication. For example, the tamper resistant unit 20 is a tamper resistant module configured by an IC chip containing a tamper resistant integrated circuit.

耐タンパ仕様とは、例えば、内部構造を解析しようとすると自動的に内部構造を破壊するなど、改竄や複製、内部の論理構造の解読などの不正行為に対して十分な防御手段を講じるための仕様である。
そのため、耐タンパ部20は、外部からの解析が著しく困難で一種のブラックボックスとなっており、例えば、機器秘密鍵などの秘密情報を安全に保持することができる。
なお、タンパ(tamper)とは、装置に手を加えるという意味や、情報などを不正に変更するという意味があり、耐タンパとは、これらの操作に対して耐性を保持していることを意味する。
The tamper-resistant specification means that the internal structure is automatically destroyed when trying to analyze the internal structure, such as falsification, duplication, and deciphering of the internal logical structure, etc. It is a specification.
Therefore, the tamper resistant unit 20 is a kind of black box that is extremely difficult to analyze from the outside, and can securely hold secret information such as a device secret key.
Note that tamper means that the device is tampered with, or that information is illegally changed, and tamper resistance means that resistance to these operations is maintained. To do.

耐タンパ部20は、CPU(Central Processing Unit)21、内部クロック22、ROM(Read Only Memory)23、RAM(Random Access Memory)24、EEPROM(Electrically Erasable and Programmable ROM)25などが図示しないバスラインによって接続されて構成されている。   The tamper resistant unit 20 includes a CPU (Central Processing Unit) 21, an internal clock 22, a ROM (Read Only Memory) 23, a RAM (Random Access Memory) 24, and an EEPROM (Electrically Erasable and Programmable ROM) 25. Connected and configured.

CPU21は、EEPROM25、ROM23、RAM24などに記憶されているプログラムに従って各種の情報処理を行う中央処理装置である。
本実施の形態では、機器公開鍵と機器秘密鍵のペアを生成したり、検証サーバ5と通信して機器7の機器認証を行ったり、顧客サーバ4と通信する際に情報の暗号化・復号化を行ったりする。
The CPU 21 is a central processing unit that performs various types of information processing according to programs stored in the EEPROM 25, the ROM 23, the RAM 24, and the like.
In the present embodiment, a pair of a device public key and a device private key is generated, device authentication of the device 7 is performed by communicating with the verification server 5, and information is encrypted / decrypted when communicating with the customer server 4. Or do.

内部クロック22は、耐タンパ部20を駆動するためのクロックを発生させるほか、例えば、耐タンパ部20が計測部35の計測値に対して時刻情報を付与するタイプの機器7に関しては、時刻情報を付与するための時計として使用することができる。内部クロック22は、計測部35の外部クロック28と同期しており、CPU21とCPU29はタイミングを同期させて協働して動作することができる。
ROM23は、読み出し専用の記憶装置(メモリ)であって、耐タンパ部20を駆動するための基本的なプログラムやパラメータなどを格納している。
RAM24は、読み書き可能な記憶装置であって、CPU21が各種の情報処理を行う際のワーキングエリアを提供する。
The internal clock 22 generates a clock for driving the tamper resistant part 20 and, for example, for the type of device 7 in which the tamper resistant part 20 gives time information to the measurement value of the measuring part 35, the time information It can be used as a watch for imparting. The internal clock 22 is synchronized with the external clock 28 of the measuring unit 35, and the CPU 21 and the CPU 29 can operate in cooperation with the timing synchronized.
The ROM 23 is a read-only storage device (memory), and stores basic programs and parameters for driving the tamper resistant unit 20.
The RAM 24 is a readable / writable storage device and provides a working area when the CPU 21 performs various types of information processing.

EEPROM25は、読み書きが可能な不揮発性の記憶装置であり、プログラムやデータなどが記憶されている。
本実施の形態では、一例として、非対称暗号鍵生成プログラム、機器秘密鍵、機器公開鍵証明書、検証サーバ公開鍵証明書、検証サーバ接続情報、検証要求プログラム、CA公開鍵証明書や、図示しない、通信プログラム、OS(Operating System)などが記憶されている。
The EEPROM 25 is a readable / writable nonvolatile storage device, and stores programs, data, and the like.
In this embodiment, as an example, an asymmetric encryption key generation program, a device private key, a device public key certificate, a verification server public key certificate, a verification server connection information, a verification request program, a CA public key certificate, or not shown A communication program, an OS (Operating System), and the like are stored.

非対称暗号鍵生成プログラムは、機器7が顧客に渡される前に、機器7の管理者(通常は機器7の製造事業者)が実行するプログラムであり、このプログラムをCPU21で実行すると、耐タンパ部20の内部で機器秘密鍵と機器公開鍵の非対称暗号鍵ペア(対)が生成される。
機器7は、生成した機器秘密鍵をEEPROM25に記憶し、外部からこの機器秘密鍵を知ることはできないようになっている。
The asymmetric encryption key generation program is a program executed by an administrator of the device 7 (usually a manufacturer of the device 7) before the device 7 is delivered to the customer. An asymmetric encryption key pair (pair) of the device private key and the device public key is generated inside 20.
The device 7 stores the generated device secret key in the EEPROM 25 so that the device secret key cannot be known from the outside.

機器公開鍵証明書は、生成した機器公開鍵を機器7が機器登録サーバ6を介してCA3に送信し、CA3がCA秘密鍵でデジタル署名した公開鍵証明書である。
機器公開鍵証明書を受け取ったものは、CA公開鍵でデジタル署名を検証することにより機器公開鍵証明書に記載されている機器公開鍵が正統なものであることを確認することができる。
The device public key certificate is a public key certificate in which the generated device public key is transmitted from the device 7 to the CA 3 via the device registration server 6 and digitally signed by the CA 3 with the CA private key.
A device that has received the device public key certificate can verify that the device public key described in the device public key certificate is authentic by verifying the digital signature with the CA public key.

検証サーバ公開鍵証明書は、検証サーバ5の公開鍵である検証サーバ公開鍵をCA3がCA秘密鍵でデジタル署名した公開鍵証明書である。
後述するように、機器7は、検証サーバ公開鍵に記録されている検証サーバ公開鍵を用いて情報を暗号化し、検証サーバ5に送信する。この暗号化情報は、検証サーバ5が有する検証サーバ秘密鍵でしか復号化することができないため、検証サーバ5以外のものがこの暗号化情報を受信しても復号化できず、セキュリティを高めることができる。
なお、検証サーバ公開鍵の正統性は、CA公開鍵で検証サーバ公開鍵証明書のデジタル署名を検証することにより確認することができる。
The verification server public key certificate is a public key certificate in which the verification server public key that is the public key of the verification server 5 is digitally signed by the CA 3 with the CA private key.
As will be described later, the device 7 encrypts information using the verification server public key recorded in the verification server public key, and transmits the information to the verification server 5. Since this encrypted information can be decrypted only with the verification server private key possessed by the verification server 5, it cannot be decrypted even if the encrypted information is received by anyone other than the verification server 5, thereby improving security. Can do.
The legitimacy of the verification server public key can be confirmed by verifying the digital signature of the verification server public key certificate with the CA public key.

CA公開鍵証明書は、CA3の公開鍵であるCA公開鍵を親CA2が親CA秘密鍵でデジタル署名した公開鍵証明書である。機器7は、CA公開鍵証明書に記載されているCA公開鍵を用いて、検証サーバ5の検証サーバ公開鍵証明書や顧客サーバ4の顧客サーバ公開鍵証明書(何れもCA3のCA公開鍵によりデジタル署名されている)の正統性を検証することができる。
また、図示しないが、機器7は、EEPROM25に親CA2が発行したルート証明書を記憶しており、ルート証明書に記載されている親CA公開鍵によって、CA公開鍵証明書の正統性を確認することができる。
The CA public key certificate is a public key certificate obtained by digitally signing the CA public key, which is the public key of CA3, with the parent CA2 using the parent CA private key. The device 7 uses the CA public key described in the CA public key certificate to verify the verification server public key certificate of the verification server 5 and the customer server public key certificate of the customer server 4 (both are CA public keys of CA3). Can be verified.
Although not shown, the device 7 stores the root certificate issued by the parent CA 2 in the EEPROM 25 and confirms the legitimacy of the CA public key certificate with the parent CA public key described in the root certificate. can do.

検証サーバ接続情報は、機器7がネットワーク10に接続した際に、検証サーバ5に接続するためのアドレス情報であり、例えば、検証サーバ5のURL(Uniform Resource Locators)で構成されている。
機器7は、ネットワーク10に設置された際に、検証サーバ接続情報を用いて検証サーバ5に接続し、機器検証を受ける。
このように、本実施の形態では、機器7に予め検証サーバ接続情報を埋め込んでおくため、どのようなネットワーク環境下で機器7が設置されても、機器7から検証サーバ5にアクセスすることができる。
The verification server connection information is address information for connecting to the verification server 5 when the device 7 is connected to the network 10, and includes, for example, a URL (Uniform Resource Locators) of the verification server 5.
When the device 7 is installed in the network 10, it connects to the verification server 5 using the verification server connection information and receives device verification.
As described above, in this embodiment, since the verification server connection information is embedded in the device 7 in advance, the verification server 5 can be accessed from the device 7 regardless of the network environment. it can.

検証要求プログラムは、検証サーバ5に機器に検証を要求するためのプログラムである。
機器7をネットワーク10に接続した後(例えば、電源投入直後)、CPU21で検証要求プログラムを実行すると、CPU21は、後述の検証情報を生成する。そしてCPU21は、検証サーバ接続情報を用いて機器7を検証サーバ5に接続し、検証情報を検証サーバ5に送信する。
また、図示しないが、EEPROM25には、計測部35で計測した計測値を暗号化するなど、セキュリティに関わる情報処理を行うためのプログラムが格納されている。
以上、耐タンパ部20の各構成要素について説明したが、この他に耐タンパ部20と計測部35との通信を制御する通信制御部なども構成されている。
The verification request program is a program for requesting the verification server 5 to verify the device.
After the device 7 is connected to the network 10 (for example, immediately after the power is turned on), when the CPU 21 executes the verification request program, the CPU 21 generates verification information described later. Then, the CPU 21 connects the device 7 to the verification server 5 using the verification server connection information, and transmits the verification information to the verification server 5.
Although not shown, the EEPROM 25 stores a program for performing information processing related to security, such as encrypting the measurement value measured by the measurement unit 35.
As described above, each component of the tamper resistant part 20 has been described. In addition, a communication control part for controlling communication between the tamper resistant part 20 and the measuring part 35 is also configured.

計測部35は、計測を行う機能部であり、CPU29、ROM27、RAM30、外部クロック28、表示部31、入力部32、記憶部33、計測装置部34などから構成されている。
計測装置部34は、計測を行う装置であって、CPU29から要求があると計測値をデジタル情報としてCPU29に出力する。
計測装置部34としては、例えば、ガス・水道・電気の使用量を計測するもののほか、温度計測、湿度計測、水質計測、大気汚染計測を行うものや、自動販売機に設置して在庫や販売状況などを計測するものなど、各種のものを採用することができる。
The measurement unit 35 is a functional unit that performs measurement, and includes a CPU 29, a ROM 27, a RAM 30, an external clock 28, a display unit 31, an input unit 32, a storage unit 33, a measurement device unit 34, and the like.
The measurement device unit 34 is a device that performs measurement, and outputs a measurement value to the CPU 29 as digital information when requested by the CPU 29.
For example, in addition to measuring the amount of gas, water, and electricity used, the measuring device unit 34 performs temperature measurement, humidity measurement, water quality measurement, and air pollution measurement, and is installed in a vending machine for inventory and sales. Various things, such as what measures a situation etc., are employable.

CPU29は、記憶部33、ROM27、RAM30などに記憶されているプログラムに従って各種の情報処理を行う中央処理装置である。
CPU29は、CPU21と協働して動作し、例えば、機器7の設置の際に、耐タンパ部20から出力された検証情報を検証サーバ5に送信したり、設置後は、計測装置部34から計測値を取得してこれを耐タンパ部20でデジタル署名して顧客サーバ4に送信したりなどする。
The CPU 29 is a central processing unit that performs various types of information processing according to programs stored in the storage unit 33, the ROM 27, the RAM 30, and the like.
The CPU 29 operates in cooperation with the CPU 21. For example, when the device 7 is installed, the CPU 29 transmits the verification information output from the tamper resistant unit 20 to the verification server 5, or after installation, from the measuring device unit 34. The measured value is acquired, and this is digitally signed by the tamper resistant unit 20 and transmitted to the customer server 4.

外部クロック28は、計測部35を駆動するためのクロックを発生させる。また、一般に外部クロック28は内部クロック22よりも精度が高いため、外部クロック28を外部の電波などで更正し、更正された外部クロック28を用いて内部クロック22を更正するように構成されている。   The external clock 28 generates a clock for driving the measuring unit 35. In general, since the external clock 28 has higher accuracy than the internal clock 22, the external clock 28 is corrected by an external radio wave or the like, and the internal clock 22 is corrected using the corrected external clock 28. .

ROM27は、読み出し専用の記憶装置であって、CPU29を駆動するための基本的なプログラムやパラメータなどを格納している。
RAM30は、読み書き可能な記憶装置であって、CPU29が各種の情報処理を行う際のワーキングエリアを提供する。
The ROM 27 is a read-only storage device, and stores basic programs and parameters for driving the CPU 29.
The RAM 30 is a readable / writable storage device and provides a working area when the CPU 29 performs various types of information processing.

記憶部33は、例えば、EEPROMによって更正されており、各種プログラムやデータなどが記憶されている。
記憶部33に記憶しているプログラムをCPU29で実行することにより、計測装置部34から計測値を取得する機能、耐タンパ部20と通信して協働して情報処理を行う機能、通信部26を制御して、検証サーバ5や顧客サーバ4と通信する機能などを実現することができる。
また、記憶部33は、計測装置部34で計測された計測値を一時的に記憶するのに用いることもできる。
The storage unit 33 is corrected by, for example, an EEPROM, and stores various programs and data.
The CPU 29 executes a program stored in the storage unit 33 to obtain a measurement value from the measurement device unit 34, a function to communicate with the tamper resistant unit 20 and perform information processing, and a communication unit 26 And a function of communicating with the verification server 5 and the customer server 4 can be realized.
The storage unit 33 can also be used to temporarily store the measurement values measured by the measurement device unit 34.

表示部31は、例えば、液晶表示パネルなどの表示デバイスを備えており、設置担当者が機器7をネットワーク10に設置する際の操作指示や、計測装置部34の計測値など、各種の情報を表示することができる。
入力部32は、操作ボタンなどを備えており、例えば、設置担当者が機器7をネットワーク10に設置する際に機器7を操作するのに用いられる。
The display unit 31 includes, for example, a display device such as a liquid crystal display panel, and displays various information such as operation instructions when the person in charge of installation installs the device 7 on the network 10 and measurement values of the measurement device unit 34. Can be displayed.
The input unit 32 includes operation buttons and the like, and is used, for example, when the person in charge of installation installs the device 7 on the network 10 to operate the device 7.

通信部26は、機器7をネットワーク10に接続するためのインターフェースを構成しており、CPU21やCPU29は通信部26を介して機器登録サーバ6、検証サーバ5、顧客サーバ4などと通信することができる。機器7が無線でネットワーク10に接続する場合、通信部26はRF回路などを備える。   The communication unit 26 constitutes an interface for connecting the device 7 to the network 10, and the CPU 21 and the CPU 29 can communicate with the device registration server 6, the verification server 5, the customer server 4, and the like via the communication unit 26. it can. When the device 7 connects to the network 10 wirelessly, the communication unit 26 includes an RF circuit and the like.

次に図3を用いて検証サーバ5のハードウェア的な構成について説明する。
検証サーバ5は、CPU41、ROM42、RAM43、記憶部46、及び通信部45などから構成されている。
CPU41は、ROM42、RAM43、記憶部46などに記憶されているプログラムに従って動作し、機器7を検証するための各種の情報処理を行う。
Next, the hardware configuration of the verification server 5 will be described with reference to FIG.
The verification server 5 includes a CPU 41, a ROM 42, a RAM 43, a storage unit 46, a communication unit 45, and the like.
The CPU 41 operates in accordance with programs stored in the ROM 42, RAM 43, storage unit 46, and the like, and performs various types of information processing for verifying the device 7.

ROM42は、読み出し専用の記憶装置であって、CPU41を駆動するための基本的なプログラムやパラメータなどを格納している。
RAM43は、読み書き可能な記憶装置であって、CPU41が各種の情報処理を行う際のワーキングエリアを提供する。
通信部45は、検証サーバ5をネットワーク10に接続するインターフェースである。
The ROM 42 is a read-only storage device, and stores basic programs and parameters for driving the CPU 41.
The RAM 43 is a readable / writable storage device and provides a working area when the CPU 41 performs various types of information processing.
The communication unit 45 is an interface that connects the verification server 5 to the network 10.

記憶部46は、例えば、ハードディスクなどの大容量の記憶媒体を用いて構成されており、図示したような各種プログラムやデータが格納されている。
検証プログラムは、機器7を機器検証するためのプログラムであり、CPU41は機器検証プログラムを実行することにより、機器7から送信されてきた検証情報を検証し、検証結果を顧客サーバ4に送信することができる。
The storage unit 46 is configured using, for example, a large-capacity storage medium such as a hard disk, and stores various programs and data as illustrated.
The verification program is a program for verifying the device 7, and the CPU 41 executes the device verification program to verify the verification information transmitted from the device 7 and transmit the verification result to the customer server 4. Can do.

CA公開鍵証明書は、CA3のCA公開鍵の公開鍵証明書である。また、図示しないが、親CA2のルート証明書も記憶している。これらの証明書は、例えば、担当者間で手渡しするなど、安全な方法により提供されたものである。
検証サーバ秘密鍵は、検証サーバ公開鍵に対応する秘密鍵であり、情報の暗号化やデジタル署名などに用いられる。
The CA public key certificate is a public key certificate of the CA public key of CA3. Although not shown, the root certificate of the parent CA2 is also stored. These certificates are provided by a secure method such as handing them between the persons in charge.
The verification server private key is a private key corresponding to the verification server public key, and is used for information encryption, digital signature, and the like.

顧客サーバ接続情報は、ネットワーク10を介して顧客サーバ4に接続するための情報であり、例えば顧客サーバ4のURLやIPアドレスなどによって構成されている。
顧客サーバ接続情報は、予め顧客に提供してもらい記憶部46に記憶したものである。
検証サーバ5は、検証結果を顧客サーバ4に送信する際に、顧客サーバ接続情報を用いて顧客サーバ4に接続して送信する。
The customer server connection information is information for connecting to the customer server 4 via the network 10 and is configured by, for example, the URL or IP address of the customer server 4.
The customer server connection information is stored in the storage unit 46 in advance by the customer.
When the verification server 5 transmits the verification result to the customer server 4, the verification server 5 connects to the customer server 4 using the customer server connection information and transmits it.

次に、機器登録データベースについて説明する。
機器登録データベースは、検証を要する機器7を予め登録したデータベースであり、その論理的な構成の一例を図4に示す。
図に示したように、機器登録データベースは、「顧客ID」、「顧客サーバ接続情報」、「機器ID」、「機器公開鍵」、・・・などの各項目から構成されている。
Next, the device registration database will be described.
The device registration database is a database in which devices 7 requiring verification are registered in advance, and an example of a logical configuration thereof is shown in FIG.
As shown in the figure, the device registration database includes items such as “customer ID”, “customer server connection information”, “device ID”, “device public key”,.

「顧客ID」は、顧客サーバ4、4、・・・を運用する各顧客を特定するID情報である。このように、顧客は予め検証サーバ5に登録されており、ID情報が付与されている。
「顧客サーバ接続情報」は、顧客サーバ4に接続するための接続情報であり、顧客IDと対応づけて記憶されている。
なお、図では、各顧客に1つの顧客サーバ接続情報が記載されているが、顧客が複数の顧客サーバ4を用いる場合は、これら複数の顧客サーバ接続情報が顧客IDに対応づけられる。
“Customer ID” is ID information for identifying each customer who operates the customer servers 4, 4. As described above, the customer is registered in advance in the verification server 5 and given ID information.
“Customer server connection information” is connection information for connecting to the customer server 4 and is stored in association with the customer ID.
In the figure, one customer server connection information is described for each customer. However, when a customer uses a plurality of customer servers 4, the plurality of customer server connection information is associated with a customer ID.

「機器ID」は、機器7、7、・・・の個々に付与されたID情報であり、例えば、製造シリアル番号などを用いることができる。
「機器公開鍵」は、機器秘密鍵に対応する機器公開鍵を各機器7ごとに記憶したものである。機器公開鍵は、CA3が検証サーバ5に送信した機器公開鍵証明書から取得されたものである。
“Device ID” is ID information assigned to each of the devices 7, 7,..., And for example, a manufacturing serial number can be used.
The “device public key” is a device public key corresponding to the device private key stored for each device 7. The device public key is obtained from the device public key certificate transmitted by the CA 3 to the verification server 5.

機器7を何れの顧客サーバ接続情報に対応させて登録するかは、例えば、機器7の販売時に顧客から機器7を接続する顧客サーバ4の指定を受け、これを検証サーバ5の管理者が対応させたものである。   Which customer server connection information the device 7 is registered to correspond to is specified by the customer server 4 to which the device 7 is connected from the customer when the device 7 is sold, and the administrator of the verification server 5 handles this. It has been made.

以上、検証サーバ5のハードウェア的な構成について説明したが、顧客サーバ4や機器登録サーバ6及びCA3などのハードウェア的な構成も検証サーバ5と同様である。
CA3、親CA2は、予め記憶した所定のプログラムをCPUが実行することにより公開鍵証明書を作成したりなどの各種情報処理を行う機能を発揮する。
更に、CA3の場合は、機器公開鍵証明書を発行した機器7の失効情報を記憶した失効リストを記憶部46に記憶している。
失効リストは、CA3が機器公開鍵証明書を発行した機器7が現在失効状態か否かを機器IDの有無に対応させて記憶したデータリストであり、機器公開鍵証明書発行後直後は、当該機器に関する情報は何も登録されていない。そして、失効は、顧客からの申告により当該機器IDを失効リストに登録することにより設定される。
検証サーバ5は、顧客サーバ4などから有効性の問い合わせがあった場合に、CA3の失効リストを参照し、有効性を検証する。
即ち、検証サーバ5は、機器7の正統性を検証する際に、機器が失効状態であるか否かを記憶した失効状態記憶手段(CA3の失効リスト)を用いて機器7の有効性を検証する有効性検証手段を備えている。
Although the hardware configuration of the verification server 5 has been described above, the hardware configurations of the customer server 4, the device registration server 6, and the CA 3 are the same as those of the verification server 5.
The CA3 and the parent CA2 exhibit a function of performing various information processing such as creating a public key certificate by the CPU executing a predetermined program stored in advance.
Further, in the case of CA3, a revocation list storing revocation information of the device 7 that has issued the device public key certificate is stored in the storage unit 46.
The revocation list is a data list in which whether or not the device 7 to which the CA 3 has issued the device public key certificate is currently revoked is stored in association with the presence or absence of the device ID. No information about the device is registered. The revocation is set by registering the device ID in the revocation list by a declaration from the customer.
The verification server 5 verifies the validity by referring to the revocation list of the CA 3 when there is an inquiry about the validity from the customer server 4 or the like.
That is, when verifying the legitimacy of the device 7, the verification server 5 verifies the validity of the device 7 using the revocation status storage means (revocation list of CA3) that stores whether or not the device is in a revocation status. The effectiveness verification means to provide is provided.

顧客サーバ4の場合は、記憶部46に機器マスタと計測値データベースなどが記憶されている。
機器マスタは、顧客サーバ4が接続する機器7のマスタ情報であり、例えば、機器7の機器ID、機器7に接続するための機器接続情報、機器公開鍵といった基本的な事項や、機器7の設置場所、設置日時といった付属的な情報から構成されている。顧客サーバ4は、機器マスタによって各機器7を管理する。
In the case of the customer server 4, the device master and the measurement value database are stored in the storage unit 46.
The device master is master information of the device 7 to which the customer server 4 is connected. For example, basic information such as the device ID of the device 7, device connection information for connecting to the device 7, and the device public key, It consists of additional information such as installation location and installation date. The customer server 4 manages each device 7 by the device master.

例えば、基本的な事項は、機器検証の際に検証サーバ5から受信して記憶したものであり、付属的な事項は顧客サーバ4の管理者が入力したものである。
機器7が失効となった場合は、顧客サーバ4の管理者が顧客サーバ4に当該機器7の失効を入力して機器マスタから削除する。この際に、顧客サーバ4は、失効要求をCA3に送信し、CA3が失効リストに登録されることにより失効とされる。
For example, basic items are received and stored from the verification server 5 at the time of device verification, and incidental items are input by the administrator of the customer server 4.
When the device 7 is revoked, the administrator of the customer server 4 inputs the revocation of the device 7 to the customer server 4 and deletes it from the device master. At this time, the customer server 4 transmits a revocation request to CA3 and is revoked when CA3 is registered in the revocation list.

計測値データベースは、ネットワーク10を経由して機器7から送信されてきた計測値を記憶・蓄積したデータベースである。
計測値データベースでは、各計測値がこれを計測した機器7の機器IDに対応づけられ、計測日時なども記憶される。
The measurement value database is a database that stores and accumulates measurement values transmitted from the device 7 via the network 10.
In the measurement value database, each measurement value is associated with the device ID of the device 7 that measured it, and the measurement date and time are also stored.

機器登録サーバ6は、機器7が機器公開鍵証明書を取得する際に機器7とCA3との仲介を行う機能や、 登録要求情報を生成して検証サーバ5に送信し、検証サーバ5に機器7を登録する機能などをCPUに発揮させるプログラムを記憶部46に記憶しており、これを実行することによりこれらの機能を発揮する。また、機器登録サーバ6は、機器7に入力するための検証サーバ接続情報なども記憶している。   The device registration server 6 generates a function for mediating between the device 7 and the CA 3 when the device 7 acquires the device public key certificate, and generates registration request information and transmits it to the verification server 5. A program for causing the CPU to perform the function of registering 7 and the like is stored in the storage unit 46, and these functions are exhibited by executing this program. The device registration server 6 also stores verification server connection information for input to the device 7.

次に、図5を用いて、機器7の出荷前処理から設置までの手順の全体構成について説明する。図中に手順の順序を括弧にて示してあり、以下、この順序に従って説明していく。
なお、手順(1)から手順(4)までは、機器7の設置前(好ましくは顧客への出荷前)に行う作業である。
(1)(機器秘密鍵と機器公開鍵の非対称暗号鍵ペアの生成)
機器7のハードウェアが完成すると、作業担当者が機器7を操作して非対称暗号鍵生成プログラムを実行し、耐タンパ部20内でCPU21に機器秘密鍵と機器公開鍵のペアを生成させる(非対称暗号鍵生成手段)。
そして、機器7は、生成した機器秘密鍵をEEPROM25の所定のエリアに記憶する(秘密鍵記憶手段)。
Next, the entire configuration of the procedure from pre-shipment processing to installation of the device 7 will be described with reference to FIG. In the figure, the order of the procedures is shown in parentheses, and the description will be made in accordance with this order.
The procedure (1) to the procedure (4) are operations performed before the installation of the device 7 (preferably before shipping to the customer).
(1) (Generation of asymmetric encryption key pair of device private key and device public key)
When the hardware of the device 7 is completed, the operator operates the device 7 to execute the asymmetric encryption key generation program, and causes the CPU 21 to generate a device private key / device public key pair within the tamper resistant unit 20 (asymmetric Encryption key generation means).
The device 7 stores the generated device secret key in a predetermined area of the EEPROM 25 (secret key storage means).

(2)(機器公開鍵の送信)
機器7は、作業担当者によって当該機器7を担当する機器登録サーバ6に接続され、生成した機器公開鍵や機器固有情報などを機器登録サーバ6に送信する(公開鍵提供手段)。
ここで、機器固有情報には、機器ID、耐タンパ部のMACアドレスなど機器7に固有の情報が含まれている。
機器登録サーバ6は、機器7からこれらの情報を受信する(公開鍵取得手段)。そして、機器登録サーバ6は、機器公開鍵や機器IDなどをCA3に送信し、CA3に機器公開鍵証明書の発行を要求する(公開鍵証明書発行要求手段)。
(2) (Send device public key)
The device 7 is connected to the device registration server 6 in charge of the device 7 by a worker, and transmits the generated device public key, device unique information, and the like to the device registration server 6 (public key providing means).
Here, the device unique information includes information unique to the device 7 such as the device ID and the MAC address of the tamper resistant part.
The device registration server 6 receives these pieces of information from the device 7 (public key acquisition means). Then, the device registration server 6 transmits a device public key, device ID, and the like to the CA 3 and requests the CA 3 to issue a device public key certificate (public key certificate issue request means).

(3)(機器証明書の書き込み)
CA3は、機器登録サーバ6から機器公開鍵から機器証明書を作成する。そして、CA3は、機器証明書に検証サーバ5の検証サーバ公開鍵証明書を加えて機器証明書を作成し、機器登録サーバ6に送信する。
機器登録サーバ6は、機器証明書をCA3から受信すると、これに検証サーバ接続情報を付加して機器7に送信する。
機器7は、機器登録サーバ6から機器証明書を受信して耐タンパ部20に記憶する。
以上のように、機器証明書には、機器公開鍵証明書、検証サーバ接続情報、検証サーバ公開鍵証明書などが含まれている。
(3) (Write device certificate)
The CA 3 creates a device certificate from the device public key from the device registration server 6. The CA 3 adds the verification server public key certificate of the verification server 5 to the device certificate, creates a device certificate, and transmits the device certificate to the device registration server 6.
Upon receiving the device certificate from the CA 3, the device registration server 6 adds verification server connection information to the device certificate and transmits it to the device 7.
The device 7 receives the device certificate from the device registration server 6 and stores it in the tamper resistant unit 20.
As described above, the device certificate includes a device public key certificate, verification server connection information, a verification server public key certificate, and the like.

より詳細には、機器公開鍵証明書は、機器7の機器公開鍵をCA3のCA秘密鍵(証明サーバ秘密鍵)でデジタル署名した公開鍵証明書である(公開鍵証明書作成手段)。このようにCA3は秘密鍵記憶手段を備えている。
より詳細には、機器公開鍵証明書は、例えば、「公開鍵[ab12・・・01]は、機器ID[12・・・]の機器公開鍵である。」といった内容のメッセージと、当該メッセージから生成したダイジェスト(例えば、メッセージのハッシュ値を用いる)をCA3のCA秘密鍵で暗号化したデジタル署名などから構成されている。
機器公開鍵証明書を受信したものは、CA3のCA公開鍵(証明サーバ公開鍵)を用いてデジタル署名を復号化し、更に、メッセージのダイジェストを作成して両者の一致を確認することにより、メッセージが改編されていないことを確認することができる。
More specifically, the device public key certificate is a public key certificate obtained by digitally signing the device public key of the device 7 with the CA private key (certification server private key) of CA3 (public key certificate creating means). Thus, CA3 is provided with a secret key storage means.
More specifically, the device public key certificate includes, for example, a message having a content such as “Public key [ab12... 01] is a device public key of device ID [12. Is composed of a digital signature obtained by encrypting a digest (for example, using a message hash value) with a CA private key of CA3.
When the device public key certificate is received, the digital signature is decrypted using the CA public key (certification server public key) of CA3, and a message digest is created to confirm the match between the two. It can be confirmed that has not been reorganized.

検証サーバ接続情報は、ネットワーク10上で検証サーバ5に接続するための情報であり、例えば、検証サーバ5のURL(Uniform Resource Locators)やIPアドレスで構成されている(検証サーバ接続情報記憶手段)。   The verification server connection information is information for connecting to the verification server 5 on the network 10, and is composed of, for example, the URL (Uniform Resource Locators) or IP address of the verification server 5 (verification server connection information storage means) .

検証サーバ公開鍵証明書は、検証サーバ公開鍵をCA3の秘密鍵でデジタル署名した公開鍵証明書である。
検証サーバ公開鍵証明書には、検証サーバ公開鍵が含まれているため、機器7はこれによって検証サーバ公開鍵を取得する。
なお、機器7は、予め組み込まれているCA公開鍵などを用いて、機器公開鍵証明書や検証サーバ公開鍵証明書の正統性を検証することができる。
なお、本実施の形態の機器登録サーバ6は、CA3から受信した機器証明書に検証サーバ公開鍵証明書を含めて機器7に送信したが、これに限定せず、CA3から受信した機器証明書と、検証サーバ接続情報を別々に機器7に送信するように構成することもできる。
The verification server public key certificate is a public key certificate obtained by digitally signing the verification server public key with the CA3 private key.
Since the verification server public key certificate includes the verification server public key, the device 7 acquires the verification server public key.
The device 7 can verify the legitimacy of the device public key certificate and the verification server public key certificate using a CA public key incorporated in advance.
The device registration server 6 according to the present embodiment includes the verification server public key certificate included in the device certificate received from the CA 3 and transmits the device certificate to the device 7. However, the present invention is not limited to this, and the device certificate received from the CA 3 The verification server connection information can be separately transmitted to the device 7.

(4)(機器7の登録要求)
機器登録サーバ6は、機器7に対してCA3が機器証明書を発行する際に、機器公開鍵証明書を取得することができる。
そして、機器登録サーバ6は、このようにして得た機器公開鍵証明書と、機器固有情報(機器ID)などが含まれる登録要求情報を作成して、検証サーバ5に送信し、検証サーバ5に機器7の登録を要求する(公開鍵証明書送信手段)。
検証サーバ5は、登録要求情報を機器登録サーバ6から受信し、これを用いて機器登録データベースを更新する。
(4) (Registration request for device 7)
The device registration server 6 can obtain a device public key certificate when the CA 3 issues a device certificate to the device 7.
Then, the device registration server 6 creates registration request information including the device public key certificate obtained in this way, device specific information (device ID), and the like, and transmits the registration request information to the verification server 5. Request registration of the device 7 (public key certificate transmission means).
The verification server 5 receives the registration request information from the device registration server 6 and updates the device registration database using this information.

また、機器7の販売側事業者は、機器7の販売先の顧客から当該機器7を接続する顧客サーバ4の指定を受けた後、当該顧客サーバ4の顧客サーバ接続情報を機器7に対応させて検証サーバ5に入力するようになっている。
即ち、検証サーバ5は、登録要求情報に含まれる機器公開鍵を機器7に対応づけて機器登録データベースに記憶し(公開鍵記憶手段)、更に機器7と顧客サーバ4を対応づけて機器登録データベースに記憶する(情報処理サーバ機器対応記憶手段)。
Further, after receiving the designation of the customer server 4 to which the device 7 is connected from the customer to whom the device 7 is sold, the sales operator of the device 7 causes the customer server connection information of the customer server 4 to correspond to the device 7. Are input to the verification server 5.
In other words, the verification server 5 stores the device public key included in the registration request information in the device registration database in association with the device 7 (public key storage means), and further associates the device 7 with the customer server 4 in the device registration database. (Information processing server device corresponding storage means).

(5)(出荷)
機器7は、検証サーバ5に登録された後、顧客に出荷される。機器7は、出荷された後は顧客の管理下におかれる。
(5) (Shipment)
The device 7 is shipped to the customer after being registered in the verification server 5. The device 7 is under customer control after being shipped.

(6)(検証要求)
機器7は、出荷された後、設置担当者によってネットワーク10に接続され、検証要求プログラムが実行される。
検証要求プログラムが実行されると、機器7は、検証要求情報を生成する。そして、機器7は、EEPROM25に記憶してある検証サーバ接続情報を用いて検証サーバ5に接続し(検証サーバ接続手段)、検証要求情報を送信する。
(6) (Verification request)
After the device 7 is shipped, it is connected to the network 10 by the person in charge of installation, and the verification request program is executed.
When the verification request program is executed, the device 7 generates verification request information. And the apparatus 7 connects to the verification server 5 using the verification server connection information memorize | stored in EEPROM25 (verification server connection means), and transmits verification request information.

検証要求情報は、機器ID、顧客サーバ4から機器7に接続するための機器接続情報、環境情報(ネットワーク接続環境に関する情報)などを機器秘密鍵でデジタル署名したものを、検証サーバ公開鍵で暗号化したものである。
このように、機器7は、ネットワーク10に接続されると自身の機器接続情報を取得し(接続情報取得手段)、これを検証サーバ5に送信する(接続情報送信手段)。これに対し、検証サーバ5は、これを受信する接続情報受信手段を備えている。
また、検証要求情報は、機器秘密鍵でダイジェスト(所定の情報)を暗号化したデジタル署名が含まれており、署名情報として機能する。このように機器7は署名情報送信手段を有している。
The verification request information is obtained by digitally signing the device ID, device connection information for connecting from the customer server 4 to the device 7, environment information (information on the network connection environment) with the device private key, and encrypting it with the verification server public key. It has become.
As described above, when the device 7 is connected to the network 10, it acquires its own device connection information (connection information acquisition means) and transmits it to the verification server 5 (connection information transmission means). On the other hand, the verification server 5 includes connection information receiving means for receiving this.
The verification request information includes a digital signature obtained by encrypting a digest (predetermined information) with a device secret key, and functions as signature information. Thus, the device 7 has a signature information transmission unit.

(7)(失効リストの参照)
検証サーバ5は、機器7から検証情報を受信すると(署名情報受信手段)、これを検証サーバ秘密鍵で復号化する。そして、検証サーバ5は、機器登録データベースから当該機器7の機器公開鍵を取得し(公開鍵取得手段)、これを用いてデジタル署名の正統性を確認することにより、機器7が正統品であるか否かを検証する(検証手段)。
更に、図示しないが、検証サーバ5は、当該機器7が失効であるか否かをCA3に問い合わせて確認する(有効性検証手段)。
(8)(検証結果の通知)
当該機器7が有効であった場合、検証サーバ5は、機器登録データベースで当該機器7に対応づけられている顧客サーバ接続情報を用いて顧客サーバ4に検証結果を送信する(検証結果送信手段)。
検証結果は、例えば、機器7の機器公開鍵証明書、機器7への機器接続情報、検証結果などを検証サーバ秘密鍵で暗号化したものである。このように、検証サーバ5は、機器7への接続情報を顧客サーバ4に送信する接続情報送信手段を備えている。
(7) (Refer to revocation list)
When the verification server 5 receives the verification information from the device 7 (signature information receiving means), it decrypts it with the verification server private key. Then, the verification server 5 acquires the device public key of the device 7 from the device registration database (public key acquisition means), and uses this to confirm the authenticity of the digital signature, so that the device 7 is an authentic product. Whether or not (verification means).
Further, although not shown, the verification server 5 inquires to the CA 3 to check whether or not the device 7 has expired (validity verification means).
(8) (Notification of verification result)
When the device 7 is valid, the verification server 5 transmits the verification result to the customer server 4 using the customer server connection information associated with the device 7 in the device registration database (verification result transmitting unit). .
The verification result is obtained by, for example, encrypting the device public key certificate of the device 7, the device connection information to the device 7, the verification result, and the like with the verification server private key. As described above, the verification server 5 includes connection information transmitting means for transmitting connection information to the device 7 to the customer server 4.

顧客サーバ4は、検証結果を予め記憶した検証サーバ公開鍵で復号化することにより検証結果の正統性を確認することができる。あるいは、検証結果を検証サーバ5の検証サーバ秘密鍵でデジタル署名することにより正統性を保証してもよい。
機器7が失効であった場合は、機器7にエラーメッセージを送信し、検証結果は顧客サーバ4に通知しない。または、検証サーバ5が失効となった機器7からの検証要求があった旨の通知を顧客サーバ4に行うように構成してもよい。
The customer server 4 can confirm the legitimacy of the verification result by decrypting the verification result with the verification server public key stored in advance. Alternatively, legitimacy may be guaranteed by digitally signing the verification result with the verification server private key of the verification server 5.
If the device 7 has expired, an error message is transmitted to the device 7 and the verification result is not notified to the customer server 4. Or you may comprise so that the notification to the effect that the verification request | requirement from the apparatus 7 in which the verification server 5 became invalid may be performed to the customer server 4. FIG.

(9)(顧客サーバ情報の通知)
顧客サーバ4は、検証サーバ5から検証結果を受信して(検証結果受信手段)、当該機器7が正統品であると検証されたことを確認した後、機器7と接続して(接続手段)顧客サーバ4に顧客サーバ情報を送信する。
顧客サーバ情報は、顧客サーバ公開鍵証明書や機器7がネットワーク10を介して顧客サーバ4に接続するための顧客サーバ接続情報などが含まれている。
(9) (Notification of customer server information)
The customer server 4 receives the verification result from the verification server 5 (verification result receiving means), confirms that the device 7 is verified as a legitimate product, and then connects to the device 7 (connection means). Customer server information is transmitted to the customer server 4.
The customer server information includes customer server public key certificate, customer server connection information for the device 7 to connect to the customer server 4 via the network 10, and the like.

なお、顧客サーバ4と機器7の接続は、顧客サーバ4から機器7に接続してもよいし、あるいは、機器7から顧客サーバ4に接続してもよい。
前者の場合は、顧客サーバ4が機器7の接続情報を用いて機器7に接続し、後者の場合は、機器7が検証要求の際に検証サーバ5から顧客サーバ接続情報を受信しておき、これを用いて顧客サーバ4に接続するようにする。
The customer server 4 and the device 7 may be connected from the customer server 4 to the device 7 or from the device 7 to the customer server 4.
In the former case, the customer server 4 connects to the device 7 using the connection information of the device 7, and in the latter case, the device 7 receives the customer server connection information from the verification server 5 at the time of the verification request, This is used to connect to the customer server 4.

(10)(機器7と顧客サーバ4の通信)
機器7は、顧客サーバ4から送信された顧客サーバ公開鍵証明書(CA秘密鍵でデジタル署名されている)を予め記憶したCA公開鍵で検証し、顧客サーバ4の正統性を確認することができる。
以降、機器7と顧客サーバ4は通信可能な状態となり、機器7は計測データを顧客サーバ公開鍵で暗号化して顧客サーバ4に送信する。
計測データは顧客サーバ秘密鍵を有する顧客サーバ4しか復号化できないため、計測データの送信途上での漏洩を防止することができる。
(10) (communication between device 7 and customer server 4)
The device 7 may verify the authenticity of the customer server 4 by verifying the customer server public key certificate (digitally signed with the CA private key) transmitted from the customer server 4 with a pre-stored CA public key. it can.
Thereafter, the device 7 and the customer server 4 become communicable, and the device 7 encrypts the measurement data with the customer server public key and transmits it to the customer server 4.
Since the measurement data can be decrypted only by the customer server 4 having the customer server private key, it is possible to prevent leakage of the measurement data during transmission.

(11)(失効要求)
例えば、機器7を新しい機器で置き換えるなどして機器7が使用されなくなった場合、顧客は、機器マスタで当該機器7を失効にすると共に、CA3に対して当該機器7の失効要求を行う。
CA3の失効リストで機器7を失効とすることにより、機器7が他の場所に新たに設置されたり、あるいは不正利用されることを防ぐことができる。
(11) (Revocation request)
For example, when the device 7 is no longer used by replacing the device 7 with a new device or the like, the customer invalidates the device 7 with the device master and requests the CA 3 to invalidate the device 7.
By revoking the device 7 from the revocation list of CA3, it is possible to prevent the device 7 from being newly installed in another place or being illegally used.

以上に、機器7を設置するまでの全体的な手順について説明したが、次に、フローチャートを用いてこれらの手順について詳細に説明する。
図6は、機器7を顧客に出荷するまでの手順を説明するためのフローチャートである。
機器7は、組み立てラインで組み立てられた後、機器登録部門に送られる。機器登録部門では、当該機器7を購入する顧客、機器7を接続する顧客サーバ4、当該機器7を割り当てるCA3などを予め把握している。
The overall procedure up to the installation of the device 7 has been described above. Next, these procedures will be described in detail using a flowchart.
FIG. 6 is a flowchart for explaining a procedure until the device 7 is shipped to a customer.
After the device 7 is assembled on the assembly line, it is sent to the device registration department. In the device registration department, the customer who purchases the device 7, the customer server 4 to which the device 7 is connected, the CA 3 to which the device 7 is assigned, and the like are previously known.

作業担当者は、機器7をCA3に接続して入力部32を操作し、非対称暗号鍵生成プログラムをCPU21に実行させる。
すると、CPU21は、例えば、乱数を用いるなどして、機器7に固有の非対称暗号鍵ペアである機器秘密鍵と機器公開鍵を生成する(ステップ5)。
なお、CA3への接続は、機器秘密鍵と機器公開鍵を生成した後でもよい。
The worker in charge connects the device 7 to the CA 3 and operates the input unit 32 to cause the CPU 21 to execute the asymmetric encryption key generation program.
Then, CPU21 produces | generates the apparatus private key and apparatus public key which are asymmetrical encryption key pairs intrinsic | native to the apparatus 7, for example using a random number (step 5).
The connection to CA3 may be after the device private key and the device public key are generated.

CPU21は、生成した機器秘密鍵をEEPROM25内の所定エリアに格納する。そして、CPU21は、予めEEPROM25に記憶されている機器IDや耐タンパ部20のMACアドレスなどの機器7に固有な機器固有情報を読み出し、これらを機器公開鍵と共に機器登録サーバ6に送信する(ステップ10)。
検証サーバ5は、機器7から機器公開鍵や機器固有情報などを受信し、CA3に送信する(ステップ13)。
The CPU 21 stores the generated device secret key in a predetermined area in the EEPROM 25. Then, the CPU 21 reads out device unique information unique to the device 7 such as the device ID and the MAC address of the tamper resistant unit 20 stored in advance in the EEPROM 25, and transmits these to the device registration server 6 together with the device public key (step). 10).
The verification server 5 receives a device public key, device unique information, and the like from the device 7 and transmits them to the CA 3 (step 13).

CA3は、機器登録サーバ6から機器7の機器公開鍵と機器固有情報を受信する(ステップ15)。
そして、CA3は、機器固有情報から機器IDを抽出し、例えば、「機器公開鍵○○○は、機器ID○○○の機器公開鍵です。証明者はCA3です。」といった、機器公開鍵、機器ID、証明者、及びその他の例えば証明日時からなるメッセージを生成する。
更にCA3は、メッセージからダイジェストを生成し、これをCA秘密鍵で暗号化することによりデジタル署名する。
The CA 3 receives the device public key and device specific information of the device 7 from the device registration server 6 (step 15).
Then, CA3 extracts the device ID from the device unique information. For example, “Device public key XXX is the device public key of device ID XXX. The prover is CA3”, A message including a device ID, a prover, and other certification date and time is generated.
Furthermore, CA3 generates a digest from the message and digitally signs it by encrypting it with a CA private key.

CA3は、メッセージとデジタル署名から機器公開鍵証明書を作成した後(ステップ20)、当該機器公開鍵証明書と検証サーバ公開鍵証明書を用いて機器証明書を生成する(ステップ25)。
そして、CA3は、生成した機器証明書を機器登録サーバ6に送信する(ステップ30)。
機器登録サーバ6は、CA3から機器証明書を受信し、これに検証サーバ接続情報を添付して機器7に送信する(ステップ33)。なお、検証サーバ接続情報は、機器証明書とは別に送信してもよい。
The CA 3 creates a device public key certificate from the message and the digital signature (step 20), and then generates a device certificate using the device public key certificate and the verification server public key certificate (step 25).
Then, the CA 3 transmits the generated device certificate to the device registration server 6 (step 30).
The device registration server 6 receives the device certificate from the CA 3 and sends it to the device 7 with verification server connection information attached thereto (step 33). The verification server connection information may be transmitted separately from the device certificate.

機器7は、機器証明書を受信し、これを耐タンパ部20内のEEPROM25に記憶する(ステップ35)。
EEPROM25内には、予めCA3のCA公開鍵証明書や親CA2のルート証明書が記憶されており、機器7は、これらを用いて機器証明書の正統性を確認することができる。
The device 7 receives the device certificate and stores it in the EEPROM 25 in the tamper resistant unit 20 (step 35).
In the EEPROM 25, the CA public key certificate of CA3 and the root certificate of the parent CA2 are stored in advance, and the device 7 can confirm the legitimacy of the device certificate using these.

一方、機器登録サーバ6は、機器7に機器証明書を送信した後、検証サーバ5に機器ID、機器公開鍵証明書などからなる登録要求情報を送信して、当該機器7の機器登録データベースへの登録要求を行う(ステップ40)。
この際、機器登録サーバ6は、登録要求情報を機器登録サーバ秘密鍵でデジタル署名して検証サーバ5に送信し、検証サーバ5が機器登録サーバ公開鍵で検証要求情報の正統性を確認できるようにする。
On the other hand, after transmitting the device certificate to the device 7, the device registration server 6 transmits registration request information including a device ID, a device public key certificate, and the like to the verification server 5 to the device registration database of the device 7. Registration request is made (step 40).
At this time, the device registration server 6 digitally signs the registration request information with the device registration server private key and transmits it to the verification server 5 so that the verification server 5 can confirm the legitimacy of the verification request information with the device registration server public key. To.

検証サーバ5は、機器登録サーバ6が登録要求情報をデジタル署名し、これを検証サーバ5が確認することにより登録要求情報の正統性を確認する。
検証サーバ5は、機器登録サーバ公開鍵を用いて機器公開鍵証明書の正統性を確認し、登録要求情報に含まれる顧客サーバ接続情報、機器ID、機器公開鍵の対応関係を機器登録データベースに登録する(ステップ45)。
In the verification server 5, the device registration server 6 digitally signs the registration request information, and the verification server 5 confirms this to confirm the legitimacy of the registration request information.
The verification server 5 confirms the legitimacy of the device public key certificate using the device registration server public key, and stores the correspondence between the customer server connection information, the device ID, and the device public key included in the registration request information in the device registration database. Register (step 45).

以上により、機器7の出荷前処理を完了し、機器秘密鍵と検証サーバ接続情報が耐タンパ部20に埋め込まれた機器7が顧客に出荷される。
一方、検証サーバ5では、機器7の検証に備えて、機器7に関する情報が記憶される。
なお、フローチャートには記さなかったが、機器7が接続すべき顧客サーバ4の顧客サーバ接続情報は、検証サーバ5の機器登録データベースに別途入力される。
As described above, the pre-shipment processing of the device 7 is completed, and the device 7 in which the device secret key and the verification server connection information are embedded in the tamper resistant unit 20 is shipped to the customer.
On the other hand, the verification server 5 stores information about the device 7 in preparation for the verification of the device 7.
Although not shown in the flowchart, the customer server connection information of the customer server 4 to which the device 7 is to be connected is separately input to the device registration database of the verification server 5.

次に、図7のフローチャートを用いて、機器7を設置現場に設置して、ネットワーク10を介して顧客サーバ4に接続するまでの手順について説明する。
機器7は、顧客に出荷されると、顧客の事業計画に基づいて設置箇所に搬送される。
設置担当者は現地に赴き、機器7をネットワーク10に接続して、検証要求プログラムを起動する。
すると、機器7は、ネットワーク10上での自己のIPアドレスといった機器接続情報や、例えば、ルータを介して接続されているなどの環境情報を収集する(ステップ50)。
Next, with reference to the flowchart of FIG. 7, a procedure until the device 7 is installed at the installation site and connected to the customer server 4 via the network 10 will be described.
When the device 7 is shipped to the customer, it is transported to the installation location based on the customer's business plan.
The person in charge of installation goes to the site, connects the device 7 to the network 10 and starts the verification request program.
Then, the device 7 collects device connection information such as its own IP address on the network 10 and environmental information such as being connected via a router (step 50).

次に、機器7は、自己の機器IDをEEPROM25から読み出し、これを先に収集した機器接続情報や環境情報と共に機器秘密鍵でデジタル署名して検証要求情報を作成する。
そして、機器7は、検証要求情報を検証サーバ公開鍵で暗号化することにより暗号化した検証要求情報を作成する。
次に、機器7は、検証サーバ接続情報を用いて検証サーバ5に接続し、暗号化した検証要求情報を検証サーバ5に送信し、自身の検証を検証サーバ5に要求する(ステップ55)。
Next, the device 7 reads its own device ID from the EEPROM 25, and creates a verification request information by digitally signing the device ID together with the device connection information and environment information collected earlier with the device private key.
Then, the device 7 creates the encrypted verification request information by encrypting the verification request information with the verification server public key.
Next, the device 7 connects to the verification server 5 using the verification server connection information, transmits the encrypted verification request information to the verification server 5, and requests the verification server 5 for its own verification (step 55).

検証サーバ5は、機器7から暗号化した検証情報を受信し、これを予め記憶した検証サーバ秘密鍵で復号化する。
検証サーバ秘密鍵は検証サーバ5しか有していないため、暗号化した検証情報は送信途上で他者に渡ったとしても復号化することはできない。
次に、検証サーバ5は、検証要求情報に含まれる機器IDを機器登録データベースで検索し、当該機器IDに対応づけられている機器公開鍵を取得する。
The verification server 5 receives the verification information encrypted from the device 7 and decrypts it with the verification server private key stored in advance.
Since the verification server private key has only the verification server 5, the encrypted verification information cannot be decrypted even if the verification information is passed on to others.
Next, the verification server 5 searches the device registration database for the device ID included in the verification request information, and acquires the device public key associated with the device ID.

次に、検証サーバ5は、この機器公開鍵を用いてデジタル署名を確認し、検証情報の正統性を確認する(ステップ60)。
より詳細には、検証サーバ5は検証要求情報からダイジェストを生成すると共にデジタル署名を機器公開鍵で復号化してダイジェストを復元し、両者が一致することをもって検証要求情報が正統であると確認する。
両者が一致しない場合、検証サーバ5は、機器7が正統でないとしてエラーメッセージを機器7に送信する。
Next, the verification server 5 confirms the digital signature using the device public key, and confirms the authenticity of the verification information (step 60).
More specifically, the verification server 5 generates a digest from the verification request information, decrypts the digital signature with the device public key, restores the digest, and confirms that the verification request information is authentic when the two match.
If they do not match, the verification server 5 transmits an error message to the device 7 because the device 7 is not legitimate.

検証サーバ5は、機器7の正統性を確認した後、当該機器7の機器IDなどを図示しないCA3に送信し、当該機器7の失効の有無を問い合わせる。
そして、検証サーバ5は、機器7の失効の有無をCA3から受信し、これによって機器7の有効性を確認する(ステップ65)。
当該機器7が有効である場合、検証サーバ5は、機器7の機器ID、接続情報、正統であるとの検証結果、接続環境などを検証サーバ秘密鍵でデジタル署名し、検証結果を作成する(ステップ70)。
After verifying the legitimacy of the device 7, the verification server 5 transmits the device ID of the device 7 to the CA 3 (not shown) and inquires whether the device 7 has expired.
And the verification server 5 receives the presence or absence of the expiration of the apparatus 7 from CA3, and confirms the effectiveness of the apparatus 7 by this (step 65).
If the device 7 is valid, the verification server 5 digitally signs the device ID of the device 7, the connection information, the verification result of authenticity, the connection environment, etc. with the verification server private key, and creates the verification result ( Step 70).

次に、検証サーバ5は、機器7の機器IDを機器登録データベースで検索し、当該機器7に対応づけられている顧客サーバ4の顧客サーバ接続情報を取得する。
そして、検証サーバ5は、これを用いて顧客サーバ4に接続し、検証結果を送信する(ステップ75)。
一方、当該機器7が機器登録データベースで失効となっていた場合、検証サーバ5は、エラーメッセージを機器7に送信し、顧客サーバ4へは検証結果を送信しない。なお、検証されなかった旨の通知を顧客サーバ4に送信するように構成することもできる。
Next, the verification server 5 searches the device registration database for the device ID of the device 7 and acquires the customer server connection information of the customer server 4 associated with the device 7.
And the verification server 5 connects to the customer server 4 using this, and transmits a verification result (step 75).
On the other hand, if the device 7 has expired in the device registration database, the verification server 5 transmits an error message to the device 7 and does not transmit the verification result to the customer server 4. In addition, it can also comprise so that the notification that it was not verified may be transmitted to the customer server 4. FIG.

顧客サーバ4は、検証サーバ5から検証結果を受信し、これを予め記憶してある検証サーバ公開鍵で復号化することにより検証サーバ5の正統性を検証する(ステップ85)。
即ち、検証結果を検証サーバ秘密鍵でデジタル署名できるのは検証サーバ5だけであるので、検証結果を検証サーバ公開鍵で復号化できることにより検証サーバ5の正統性を検証することができる。
なお、検証結果は、サーバ秘密鍵でデジタル署名し、これを顧客サーバ4で検証するように構成してもよい。
The customer server 4 receives the verification result from the verification server 5, and verifies the legitimacy of the verification server 5 by decrypting it with the verification server public key stored in advance (step 85).
That is, since only the verification server 5 can digitally sign the verification result with the verification server private key, the legitimacy of the verification server 5 can be verified by decrypting the verification result with the verification server public key.
The verification result may be configured to be digitally signed with the server private key and verified by the customer server 4.

顧客サーバ4は、検証サーバ5の正統性を確認した後、検証結果に含まれる機器ID、機器公開鍵、機器接続情報などを機器マスタに記憶し、機器7を顧客サーバ4の正統な計測機器として登録する。
一方、顧客サーバ4は、正統性が確認できなかった場合、エラーメッセージを検証サーバ5に送信する。
After confirming the legitimacy of the verification server 5, the customer server 4 stores the device ID, device public key, device connection information, etc. included in the verification result in the device master, and stores the device 7 in the legitimate measuring device of the customer server 4. Register as
On the other hand, the customer server 4 transmits an error message to the verification server 5 when the legitimacy cannot be confirmed.

次に、顧客サーバ4は、機器マスタに登録した機器接続情報を用いて機器7に接続し、顧客サーバ情報を送信する(ステップ90)。
顧客サーバ情報には、公開鍵証明書(CA公開鍵でデジタル署名された顧客サーバ公開鍵証明書)や、URLやIPアドレスなどからなる顧客サーバ4への接続情報が含まれている。
Next, the customer server 4 connects to the device 7 using the device connection information registered in the device master, and transmits the customer server information (step 90).
The customer server information includes public key certificate (customer server public key certificate digitally signed with a CA public key) and connection information to the customer server 4 including a URL and an IP address.

機器7は、顧客サーバ4から顧客サーバ情報を受信すると、CA公開鍵を用いて顧客サーバ公開鍵証明書のデジタル署名を検証し、顧客サーバ4の正統性を確認する。
そして、機器7は、顧客サーバ接続情報をEEPROM25に記憶し、顧客サーバ4に接続する際に用いる。
以後、顧客サーバ4と機器7は通信可能となり(ステップ95)、機器7は計測値を顧客サーバ4に送信することができる。この際、機器7は、計測値を顧客サーバ公開鍵で暗号化して顧客サーバ4に送信することにより、計測値の漏洩を防止する。
Upon receiving the customer server information from the customer server 4, the device 7 verifies the digital signature of the customer server public key certificate using the CA public key, and confirms the legitimacy of the customer server 4.
The device 7 stores customer server connection information in the EEPROM 25 and uses it when connecting to the customer server 4.
Thereafter, the customer server 4 and the device 7 can communicate (step 95), and the device 7 can transmit the measurement value to the customer server 4. At this time, the device 7 prevents the leakage of the measured value by encrypting the measured value with the customer server public key and transmitting it to the customer server 4.

以上の例では、顧客サーバ4から機器7に接続したが、機器7から顧客サーバ4に接続するように構成することもできる。
この場合、検証サーバ5は、顧客サーバ4に検証結果を送信した後(ステップ75)、顧客サーバ4から機器7を登録した旨の通知を受ける。
検証サーバ5は、このようにして機器7が登録されたことを確認した後、顧客サーバ接続情報を機器7に送信する(ステップ80)。
機器7は、検証サーバ5から顧客サーバ接続情報を受信し、これを用いて顧客サーバ4に接続する。
以後、顧客サーバ4と機器7は通信可能となる(ステップ95)。
In the above example, the customer server 4 is connected to the device 7, but the device 7 may be connected to the customer server 4.
In this case, the verification server 5 transmits a verification result to the customer server 4 (step 75), and then receives a notification that the device 7 has been registered from the customer server 4.
After verifying that the device 7 has been registered in this manner, the verification server 5 transmits customer server connection information to the device 7 (step 80).
The device 7 receives the customer server connection information from the verification server 5 and uses this to connect to the customer server 4.
Thereafter, the customer server 4 and the device 7 can communicate (step 95).

以上に説明した情報処理システム1では、機器7の有効性をCA3の失効リストで管理したが、失効リストのコピーを検証サーバ5で管理するように構成することもできる。
この場合、例えば、1日1回程度、バッチ処理にて検証サーバ5の機器登録データベースをCA3の失効リストに同期させる。
そして、機器7の検証の際に、検証サーバ5の機器登録データベースで機器7が失効であった場合、(失効になったものが有効になることはないので)検証サーバ5はCA3に問い合わせを行わなくても、当該機器7が失効であることを確認することができる。
そのため、検証サーバ5は、自己の機器登録データベースで機器7が有効であった場合にCA3に失効の有無を問い合わせればよい。この場合、前回バッチ処理を行った後、失効となった機器7が失効としてCA3から検証サーバ5に通知される。
このように、失効リストのコピーを用いることによりCA3への問い合わせ回数を減らすことができ、CA3の負荷を低減することができる。
In the information processing system 1 described above, the validity of the device 7 is managed by the revocation list of the CA 3, but a copy of the revocation list can be managed by the verification server 5.
In this case, for example, the device registration database of the verification server 5 is synchronized with the revocation list of CA3 by batch processing about once a day.
When the device 7 is invalidated in the device registration database of the verification server 5 when the device 7 is verified, the verification server 5 sends an inquiry to the CA 3 (since the invalidated item is not valid). Even if it does not carry out, it can confirm that the said apparatus 7 is invalid.
Therefore, the verification server 5 may inquire of the CA 3 about whether or not it has expired when the device 7 is valid in its own device registration database. In this case, after the previous batch processing, the device 7 that has become invalid is notified from the CA 3 to the verification server 5 as invalid.
Thus, by using a copy of the revocation list, the number of inquiries to CA3 can be reduced, and the load on CA3 can be reduced.

また、本実施の形態では、CA3、機器登録サーバ6及び検証サーバ5を別のサーバとして構成したが、1台のサーバで両者の機能を発揮するように構成することもできる。
例えば、検証サーバ5と機器登録サーバ6の機能を備えたサーバとCA3、機器登録サーバ6とCA3の機能を備えたサーバと検証サーバ5、検証サーバ5とCA3の機能を備えたサーバと機器登録サーバ6、あるいは、CA3、検証サーバ5、機器登録サーバ6の機能を備えたサーバを構成することもできる。これらの場合、サーバのメンテナンス作業などを軽減することができる。
In the present embodiment, the CA 3, the device registration server 6, and the verification server 5 are configured as separate servers. However, a single server can be configured to exhibit both functions.
For example, the server and CA3 having the functions of the verification server 5 and the device registration server 6, the server and the verification server 5 having the functions of the device registration server 6 and CA3, and the server and the device registration having the functions of the verification server 5 and CA3. A server 6 or a server having the functions of CA3, verification server 5, and device registration server 6 can also be configured. In these cases, server maintenance work and the like can be reduced.

以上に説明した本実施の形態により次のような効果を得ることができる。
(1)耐タンパ部20内で非対称鍵のペア(機器秘密鍵、機器公開鍵)を生成することにより、機器7に機器秘密鍵を外部から秘匿して記憶させることができる。
(2)機器公開鍵を用いて機器7が機器秘密鍵を記憶していることを確認することにより機器7が正統な機器であることを検証することができる。
(3)機器7と顧客サーバ4を接続する際に、機器7の正統性を検証サーバ5で検証することにより、顧客サーバ4に対して機器7が正統な機器であることを保証することができる。
(4)検証サーバの接続情報を予め機器7に記憶させておくことにより、機器7の接続環境にかかわらず、機器7を検証サーバ5に接続することができる。
(5)失効となった機器7を失効リストで管理することにより、失効になった機器7と顧客サーバ4の接続を防止することができる。
(6)機器7の検証をネットワーク10を介して自動的に行うため、機器7の設置現場に高度な技術を有する技術者を派遣する必要がない。
The following effects can be obtained by the present embodiment described above.
(1) By generating a pair of asymmetric keys (device secret key, device public key) in the tamper resistant unit 20, the device secret key can be stored secretly in the device 7 from the outside.
(2) It is possible to verify that the device 7 is a legitimate device by confirming that the device 7 stores the device secret key using the device public key.
(3) When connecting the device 7 and the customer server 4, it is possible to guarantee that the device 7 is a legitimate device by verifying the legitimacy of the device 7 with the verification server 5. it can.
(4) By storing the verification server connection information in the device 7 in advance, the device 7 can be connected to the verification server 5 regardless of the connection environment of the device 7.
(5) By managing the expired device 7 using the revocation list, connection between the expired device 7 and the customer server 4 can be prevented.
(6) Since the device 7 is automatically verified via the network 10, it is not necessary to dispatch a highly skilled engineer to the installation site of the device 7.

[機器の運用]
次に、情報処理システム1に機器7を設置した後の運用について説明する。
図8は、情報処理システム1で機器7の運用に関係するものを示したブロック図である。図1で示した検証サーバ5、CA3、親CA2は、機器7の設置が完了すると機能を終えるため図8には示していない。
また、機器7の運用を開始すると監査サーバと標準電波送信装置が関係してくるため、図8には、監査サーバ12、標準電波送信装置11が図示されている。
[Device operation]
Next, an operation after the device 7 is installed in the information processing system 1 will be described.
FIG. 8 is a block diagram showing the information processing system 1 related to the operation of the device 7. The verification server 5, CA3, and parent CA2 shown in FIG. 1 are not shown in FIG. 8 because their functions are finished when the installation of the device 7 is completed.
Further, since the audit server and the standard radio wave transmission device are related when the operation of the device 7 is started, FIG. 8 shows the audit server 12 and the standard radio wave transmission device 11.

機器7は、内部クロック22の計測する時刻によって計測値にタイムスタンプを発行するタイムスタンプ機能を有している。
また、機器7は、標準電波送信装置11が送信する標準電波を受信するための装置を備えており、後述するように、標準電波で外部クロック28(図2)を更正し、更に外部クロック28を用いて内部クロック22を更正する。
なお、本実施の形態では、標準電波によって内部クロック22を更正するが、これに限定するものではなく、例えば、GPSで配信される時刻や無線通信のプロトコルに含まれる時刻を用いることも可能であり、あるいは、時刻配信サーバの配信時刻を有線や無線にて機器7に供給するように構成することも可能である。
The device 7 has a time stamp function for issuing a time stamp to the measured value according to the time measured by the internal clock 22.
In addition, the device 7 includes a device for receiving the standard radio wave transmitted by the standard radio wave transmitter 11. As will be described later, the external clock 28 (FIG. 2) is corrected with the standard radio wave, and the external clock 28 is further corrected. Is used to correct the internal clock 22.
In this embodiment, the internal clock 22 is corrected by the standard radio wave. However, the present invention is not limited to this. For example, a time distributed by GPS or a time included in a wireless communication protocol can be used. Alternatively, the distribution time of the time distribution server can be supplied to the device 7 by wire or wireless.

監査サーバ12は、監査局が運用するサーバであって、機器7の内部クロック22を監査する。
一般に、監査局は、機器7を運用する顧客とは第三者である事業体が運用している。そのため、顧客が監査サーバ12の運用者と共謀してタイムスタンプのバックデイトを行うことが事実上不可能になり、極めて高いセキュリティレベルを実現することができる。
The audit server 12 is a server operated by the auditing authority, and audits the internal clock 22 of the device 7.
In general, the auditing bureau is operated by a business entity that is a third party with the customer who operates the device 7. For this reason, it becomes virtually impossible for the customer to conspire with the operator of the audit server 12 to perform the time stamp backdate, and an extremely high security level can be realized.

監査サーバ12は、原子時計と監査用秘密鍵を備えており、原子時計による基準時刻を監査用秘密鍵でデジタル署名して時刻証明書を作成し、これを機器7に送信する。
機器7は、この時刻証明書を用いて内部クロック22が正しい時刻を出力しているか否かを確認し、正しい時刻を出力していない場合は、タイムスタンプの発行を停止するようになっている。このように、監査サーバ12は、機器7に基準時刻を送信することにより時刻監査を行うことができる。
The audit server 12 includes an atomic clock and an audit secret key. The audit server 12 digitally signs the reference time based on the atomic clock with the audit secret key, creates a time certificate, and transmits the time certificate to the device 7.
The device 7 uses this time certificate to check whether or not the internal clock 22 is outputting the correct time. If the correct time is not output, the device 7 stops issuing the time stamp. . As described above, the audit server 12 can perform time audit by transmitting the reference time to the device 7.

標準電波送信装置11は、標準電波局が運用し、時刻情報を含む標準電波を不特定多数の受信装置に送信する送信装置である。
機器7は、標準電波送信装置11が送信する標準電波を受信し、これを用いて(外部クロック28を介して)内部クロック22を更正する。
顧客サーバ4は、機器7からタイムスタンプが付与された計測データを受信し、計測値データベースに記憶する。
The standard radio wave transmitter 11 is a transmitter that is operated by a standard radio station and transmits standard radio waves including time information to an unspecified number of receivers.
The device 7 receives the standard radio wave transmitted from the standard radio wave transmitter 11 and corrects the internal clock 22 using this standard radio wave (via the external clock 28).
The customer server 4 receives the measurement data with the time stamp from the device 7 and stores it in the measurement value database.

図9は、機器7、監査サーバ12、及び顧客サーバ4の関係を説明するための図である。
監査サーバ12は、時刻証明書に記載する時刻を計測するための原子時計を備え、更に監査用秘密鍵を記憶している。
監査サーバ12が機器7に送信する時刻証明書には、基準時刻、制限時間、シリアル番号、固有情報、デジタル署名などが含まれている。
基準時刻は、原子時計が計測した時刻を用いて構成された時刻であり、原子時計の現在時刻をそのまま用いてもよいし、あるいは、通信の遅延が問題になる場合は、遅延時間で健在時刻を補正した値を用いるなど、何らかの補正を施した値を用いてもよい。
FIG. 9 is a diagram for explaining the relationship among the device 7, the audit server 12, and the customer server 4.
The audit server 12 includes an atomic clock for measuring the time described in the time certificate, and further stores an audit secret key.
The time certificate transmitted from the audit server 12 to the device 7 includes a reference time, a time limit, a serial number, unique information, a digital signature, and the like.
The reference time is a time configured using the time measured by the atomic clock, and the current time of the atomic clock may be used as it is, or when communication delay becomes a problem, the alive time is the delay time. You may use the value which performed some corrections, such as using the value which correct | amended.

制限時間は、時刻証明書に記録してある基準時刻の有効期限である。即ち、時刻証明書に記してある基準時刻で監査した内部クロック22の出力時刻は、この制限時間の間、監査局により精度が保証される。
機器7は、この制限時間の範囲内でタイムスタンプを発行することができ、このタイムスタンプを発行できる時間を活性化時間と呼ぶ。
The time limit is the expiration date of the reference time recorded in the time certificate. That is, the accuracy of the output time of the internal clock 22 audited at the reference time described in the time certificate is guaranteed by the auditing bureau during this time limit.
The device 7 can issue a time stamp within the time limit, and the time during which this time stamp can be issued is called an activation time.

シリアル番号は、監査サーバ12が発行順に付与する時刻証明書の番号であるが、連番を発行すると、外部から推測が容易になる可能性があることから、本実施の形態では、シリアル番号を乱数により構成した。
固有情報は、例えば、耐タンパ部20のID情報など、機器7のハードウェアに固有な情報である。固有情報が一致しない場合、耐タンパ部20はエラーを発する。
The serial number is a time certificate number assigned by the audit server 12 in the order of issue. However, since serial numbers may be easily guessed from the outside, in this embodiment, the serial number is Consists of random numbers.
The unique information is information unique to the hardware of the device 7 such as ID information of the tamper resistant unit 20. If the unique information does not match, the tamper resistant unit 20 issues an error.

なお、これらの項目のほかに、時刻証明書の有効期限や、時刻証明書の正当性が確認された後、機器7と監査サーバ12の間の通信の共通鍵なども時刻証明書に含めることができる。   In addition to these items, the expiration date of the time certificate and the common key for communication between the device 7 and the audit server 12 after the validity of the time certificate is confirmed are also included in the time certificate. Can do.

デジタル署名は、メッセージのダイジェストを監査用秘密鍵で暗号化したものである。
ここで、メッセージは、現在時刻、制限時間、シリアル番号、固有情報など、改竄を防止する情報であり、ダイジェストはメッセージをハッシュ関数によって演算したハッシュ値である。
時刻証明書の受信者は、メッセージからダイジェストを作成し、更に、デジタル署名を監査用公開鍵で復号化してダイジェストを復元する。そして、両者の一致によって時刻証明書の内容が改竄されていないことを確認することができる。
A digital signature is a message digest encrypted with a private key for audit.
Here, the message is information for preventing falsification such as the current time, the time limit, the serial number, and the unique information, and the digest is a hash value obtained by calculating the message by a hash function.
The recipient of the time certificate creates a digest from the message, and further decrypts the digital signature with the audit public key to restore the digest. Then, it is possible to confirm that the contents of the time certificate have not been tampered with by matching the two.

機器7は、耐タンパ部20に、先に説明した機器秘密鍵、内部クロック22のほかに、監査用秘密鍵と対をなす監査用公開鍵をEEPROM25に記憶すると共にモード切替部51を有している。
モード切替部51は、出荷時にEEPROM25に予め記憶されたタイムスタンププログラムをCPU21で実行することにより構成されたものである。
また、EEPROM25には、直近の過去に監査サーバ12から受信した時刻証明書である前回証明書が記憶されている。
図2では、通信部26を計測部35に含めて示したが、ここでは理解を容易にするため通信部26を計測部35の外に図示している。
In addition to the device secret key and the internal clock 22 described above, the device 7 stores in the EEPROM 25 an audit public key that is paired with the audit secret key and has a mode switching unit 51. ing.
The mode switching unit 51 is configured by the CPU 21 executing a time stamp program stored in advance in the EEPROM 25 at the time of shipment.
The EEPROM 25 stores a previous certificate that is a time certificate received from the audit server 12 in the past past.
In FIG. 2, the communication unit 26 is illustrated as being included in the measurement unit 35, but here the communication unit 26 is illustrated outside the measurement unit 35 for easy understanding.

監査用公開鍵は、監査サーバ12から送信されてくる時刻証明書に付随するデジタル署名を復号化するための公開鍵情報である。
耐タンパ部20は、監査用公開鍵を用いて時刻証明書の正統性を確認することができ、基準時刻の有効性を確認する。
The audit public key is public key information for decrypting the digital signature attached to the time certificate transmitted from the audit server 12.
The tamper resistant part 20 can confirm the legitimacy of the time certificate using the audit public key, and confirms the validity of the reference time.

機器秘密鍵は、顧客サーバ4に送信する計測データをデジタル署名するのに用いる。
ここで、メッセージとして用いられる情報は、計測値、機器ID、計測時刻などであり、これらのダイジェストを機器秘密鍵でデジタル署名することによりタイムスタンプが構成されている。
なお、ダイジェストを生成せずに、メッセージをそのままデジタル署名してもよい。
The device secret key is used to digitally sign the measurement data transmitted to the customer server 4.
Here, information used as a message is a measurement value, a device ID, a measurement time, and the like, and a time stamp is configured by digitally signing these digests with a device secret key.
The message may be digitally signed as it is without generating a digest.

内部クロック22は、計測値に計測時刻を付与する。即ち、耐タンパ部20が計測部35から計測値を取得した時刻を内部クロック22で計測し、この時刻を計測時刻とする。
内部クロック22は、耐タンパ部20の内部に構成されるという制約があるため、高精度の時計装置で構成することが困難である。一方、外部クロック28は精度が高く、標準電波によって常に更正されている。そこで、耐タンパ部20は、外部クロック28(図2)を適宜参照して内部クロック22を更正する。
The internal clock 22 gives the measurement time to the measurement value. That is, the time when the tamper resistant unit 20 acquires the measurement value from the measurement unit 35 is measured by the internal clock 22, and this time is set as the measurement time.
Since the internal clock 22 has a restriction that it is configured inside the tamper-resistant portion 20, it is difficult to configure it with a highly accurate timepiece device. On the other hand, the external clock 28 has high accuracy and is always corrected by the standard radio wave. Therefore, the tamper resistant unit 20 corrects the internal clock 22 with reference to the external clock 28 (FIG. 2) as appropriate.

ここで、内部クロック22の更正について図10を用いてより詳細に説明する。
図10は、内部クロック22が計測する時刻の一例を示しており、一例として「2005年3月30日15時30分20秒2百ミリ秒」となっている。このように内部クロック22は時刻を百ミリ秒単位で計測している。
耐タンパ部20は、内部クロック22の時刻を分以上の部分(以下、時刻ラベルと呼ぶ)と秒単位に区分して管理しており、時刻監査は時刻ラベルに対して行い、時刻の更正は秒単位に対して行う。
Here, the correction of the internal clock 22 will be described in more detail with reference to FIG.
FIG. 10 shows an example of the time measured by the internal clock 22, and as an example, “March 30, 2005 15:30:20 seconds 2100 milliseconds”. Thus, the internal clock 22 measures the time in units of one hundred milliseconds.
The tamper resistant unit 20 manages the time of the internal clock 22 by dividing it into a portion of minutes or more (hereinafter referred to as a time label) and a second unit, and performs time auditing on the time label. Do this for seconds.

このため、内部クロック22の時刻のうち、セキュリティを要する部分(時刻ラベル)については改竄を行うことができず、セキュリティを高めることができる。また、品質を提供する部分(秒単位)は、標準電波によって高精度に更正される。
一般に、内部クロック22は、更正しなくても数ヶ月間程度は1分以内の精度を維持できるので、顧客は、その間に機器7を設置して内部クロック22の秒単位の更正を行うことにより内部クロック22の更正を行うことができる。
For this reason, in the time of the internal clock 22, a portion (time label) requiring security cannot be tampered with, and security can be improved. In addition, the portion providing quality (seconds) is corrected with high accuracy by the standard radio wave.
In general, the internal clock 22 can maintain accuracy within 1 minute for several months even if it is not corrected. Therefore, the customer installs the device 7 in the meantime and corrects the internal clock 22 in seconds. The internal clock 22 can be corrected.

なお、本実施の形態では、一例として秒単位を境としてセキュリティに関係する部分と品質保証に関係する部分に時刻を区分したが、これに限定するものではなく、計測対象などに応じて、更に大きい単位、あるいは小さい単位で区分することも可能である。
即ち、例えば、タイムスタンプで1秒単位まで正確な時刻が必要な場合は、1秒以上の部分を監査サーバ12で監査し、999ミリ秒以下の時刻を標準電波で更正する。
In this embodiment, as an example, the time is divided into a part related to security and a part related to quality assurance with a second unit as a boundary, but the present invention is not limited to this. It is also possible to divide into large units or small units.
That is, for example, when an accurate time is required up to 1 second in the time stamp, the audit server 12 audits the portion of 1 second or longer and corrects the time of 999 milliseconds or shorter with the standard radio wave.

図9に戻り、前回証明書は、前回の時刻監査の際に監査サーバ12から送られてきて使用した時刻証明書をEEPROM25に記憶しておいたものである。
耐タンパ部20は、監査サーバ12から送信されてきた時刻証明書の基準時刻を確認する際に、この基準時刻が前回に監査サーバ12から受信した基準時刻よりも後であることを確認する。
Returning to FIG. 9, the previous certificate is a time certificate sent from the audit server 12 and used in the previous time audit and stored in the EEPROM 25.
When the tamper resistant unit 20 confirms the reference time of the time certificate transmitted from the audit server 12, it confirms that this reference time is later than the reference time received from the audit server 12 last time.

タイムスタンプにおいて、最も防がなくてはならないことは、改竄などによりバックデイト(過去の時刻を出力させること)された時刻でタイムスタンプを発行することである。
そのため、耐タンパ部20は、監査サーバ12から送信されてきた基準時刻が前回に監査を行った時刻(前回証明書に記載されている時刻)よりも後であることを確認する。
In the time stamp, the most important thing to prevent is to issue the time stamp at the time when it is back dated (to output the past time) by falsification or the like.
Therefore, the tamper resistant unit 20 confirms that the reference time transmitted from the audit server 12 is later than the time when the previous audit was performed (the time described in the previous certificate).

そして、監査サーバ12から送信されてきた基準時刻が前回証明書に記載された時刻よりも前である場合は、エラーメッセージを発するなどして監査モード(後述)で停止し、タイムスタンプの発行を行わない。   If the reference time transmitted from the audit server 12 is earlier than the time described in the previous certificate, it is stopped in an audit mode (described later) by issuing an error message and the time stamp is issued. Not performed.

このように前回の基準時刻を記憶しておき、監査に用いる基準時刻がこれよりも後の時刻であることを確認することにより、バックデイトされた時刻でタイムスタンプが発行されるのを防止することができる。
なお、工場出荷時に、デフォルトの前回証明書をEEPROM25に記憶させておく。
By storing the previous reference time in this way and confirming that the reference time used for the audit is later, it is possible to prevent the time stamp from being issued at the back-dated time. be able to.
Note that a default previous certificate is stored in the EEPROM 25 at the time of factory shipment.

モード切替部51は、耐タンパ部20のタイムスタンプ機能に関する動作モードを順次切り替える機能部である。
耐タンパ部20が行う動作モードには、監査モード、同期モード、スタンプモードがある。
これらの各動作モードはそれぞれ独立したモジュールが行い、モジュール間の干渉が生じないようにしてある。
The mode switching unit 51 is a functional unit that sequentially switches operation modes related to the time stamp function of the tamper resistant unit 20.
The operation modes performed by the tamper resistant unit 20 include an audit mode, a synchronization mode, and a stamp mode.
Each of these operation modes is performed by an independent module so that no interference occurs between the modules.

監査モードは、監査サーバ12から送信されてきた基準時刻を用いて内部クロック22の時刻ラベルが正しいことを監査する動作モードである。
同期モードは、標準電波送信装置11から標準電波により配信される時刻を用いて内部クロック22の秒単位の部分を正確な時刻に同期させる(即ち、更正する)動作モードである。
スタンプモードは、計測部35が計測した計測値に対してタイムスタンプを発行する動作モードである。
The audit mode is an operation mode for auditing whether the time label of the internal clock 22 is correct using the reference time transmitted from the audit server 12.
The synchronization mode is an operation mode that synchronizes (that is, corrects) the second clock portion of the internal clock 22 with an accurate time using the time distributed from the standard radio wave transmitter 11 by the standard radio wave.
The stamp mode is an operation mode in which a time stamp is issued for the measurement value measured by the measurement unit 35.

モード切替部51は、耐タンパ部20の動作モードを、図11に示したように、監査モード→同期モード→スタンプモード→監査モード→・・・、といったように、所定の順序にて順次切り替えていく。
これらのモードのうち、監査モードとスタンプモードは、時刻ラベルを扱うため、高いセキュリティを要する動作モードであり(セキュリティモード)、一方、同期モードは秒単位を扱うため、高いセキュリティが必ずしも必要ない動作モード(一般モード)である。
As shown in FIG. 11, the mode switching unit 51 sequentially switches the operation mode of the tamper resistant unit 20 in a predetermined order such as audit mode → synchronous mode → stamp mode → audit mode →. To go.
Among these modes, the audit mode and stamp mode are operation modes that require high security because they handle time labels (security mode), while the synchronization mode deals with units of seconds and therefore does not necessarily require high security. Mode (general mode).

そして、モード切替部51は、現在動作中の動作モードが完了するまでは耐タンパ部20を次の動作モードに切り替えない。
そのため、スタンプモードで動作するためには、監査モードと同期モードが完了していることが必要となり、耐タンパ部20は、監査、同期された時刻にてタイムスタンプを発行することができる。
また、耐タンパ部20は、監査モード、同期モードの少なくとも一方でエラーが発生した場合に、タイムスタンプの発行を停止することができる。
The mode switching unit 51 does not switch the tamper resistant unit 20 to the next operation mode until the currently operating mode is completed.
Therefore, in order to operate in the stamp mode, it is necessary that the audit mode and the synchronization mode are completed, and the tamper resistant unit 20 can issue a time stamp at the time of the audit and synchronization.
In addition, the tamper resistant unit 20 can stop issuing time stamps when an error occurs in at least one of the audit mode and the synchronization mode.

このように、耐タンパ部20は、セキュリティモードと一般モードを切り替えて動作することにより、高いセキュリティの必要な処理と高いセキュリティの必要のない処理を同時に行うことを防止している。
しかも、各動作モードは独立したモジュールにて動作するため、耐タンパ部20は、セキュリティモードでの処理と一般モードでの処理が耐タンパ部20内で干渉することを防ぐことができ、クラッキングなどの不正アクセスに対して高い耐性を備えている。
As described above, the tamper resistant unit 20 operates by switching between the security mode and the general mode, thereby preventing simultaneous processing that requires high security and processing that does not require high security.
In addition, since each operation mode operates by an independent module, the tamper resistant unit 20 can prevent the processing in the security mode and the process in the general mode from interfering with each other in the tamper resistant unit 20, such as cracking. High resistance against unauthorized access.

なお、耐タンパ部20では、セキュリティモードを監査モードとスタンプモードに区分して切り替えているが、これらは何れもセキュリティモードなので、同じモードにて監査とスタンプの発行を行うように構成してもよい。
更に、本実施の形態では、監査モード→同期モード→スタンプモード→監査モード・・・の順序でモードの切り替えを行ったが、モード切り替えの順序はこれに限定するものではなく、例えば、同期モード→監査モード→スタンプモード→同期モード→・・・など、他の順序で動作モードを切り替えてもよい。
In the tamper resistant unit 20, the security mode is switched between the audit mode and the stamp mode. However, since these are both security modes, it may be configured to perform the audit and issue the stamp in the same mode. Good.
Furthermore, in the present embodiment, the mode is switched in the order of audit mode → synchronous mode → stamp mode → audit mode..., But the order of mode switching is not limited to this. The operation mode may be switched in another order such as → audit mode → stamp mode → synchronization mode →.

このようにして、機器7(図9)は、スタンプモードの間、計測部35から計測値を取得して内部クロック22の時刻によりタイムスタンプを発行し、計測データとして顧客サーバ4に送信する。
このように、機器7は、タイムスタンプ機能を内蔵しており、計測と共にタイムスタンプを発行するため、当該計測値が確かに当該計測時刻に計測されたことを保証することができる。
なお、本実施の形態では、内部クロック22で計測した時刻を計測時刻としたが、計測部35が計測値と共に計測時刻を耐タンパ部20に出力し、この計測時刻を含めて耐タンパ部20がタイムスタンプを発行するように構成することもできる。
In this way, during the stamp mode, the device 7 (FIG. 9) acquires a measurement value from the measurement unit 35, issues a time stamp according to the time of the internal clock 22, and transmits it to the customer server 4 as measurement data.
Thus, since the device 7 has a built-in time stamp function and issues a time stamp together with the measurement, it can be assured that the measurement value is surely measured at the measurement time.
In the present embodiment, the time measured by the internal clock 22 is used as the measurement time. However, the measurement unit 35 outputs the measurement time together with the measurement value to the tamper resistant unit 20, and includes the measurement time. Can also be configured to issue a time stamp.

顧客サーバ4(図9)は、機器7を登録した機器マスタと機器7から送信された計測データを記憶する計測値データベースを備えている。
図12(a)は、機器マスタの論理的な構成の一例を示した図である。
機器マスタは、「機器ID」、「接続情報」、「機器公開鍵」、「型番」、「設置箇所」、「設置日」、・・・などの各項目から構成されている。
機器IDは、機器7を識別するのに用い、接続情報は機器7に接続するのに用いる。機器公開鍵は計測データのタイムスタンプ(デジタル署名)を確認するのに用いる。
The customer server 4 (FIG. 9) includes a device master that registers the device 7 and a measurement value database that stores measurement data transmitted from the device 7.
FIG. 12A is a diagram illustrating an example of a logical configuration of the device master.
The device master includes items such as “device ID”, “connection information”, “device public key”, “model number”, “installation location”, “installation date”, and so on.
The device ID is used to identify the device 7, and the connection information is used to connect to the device 7. The device public key is used to confirm the time stamp (digital signature) of the measurement data.

図12(b)は、計測値データベースの論理的な構成の一例を示した図である。
計測値データベースは、「機器ID」、「受信時刻」、「計測値」、「計測時刻」、・・・などの項目から構成されている。
機器IDは、計測データの送信元である機器7の機器IDであり、受信時刻は、顧客サーバ4が計測データを受信した時刻である。計測値は、計測データに含まれていた計測値である。
顧客サーバ4は、機器7の機器公開鍵で計測データのタイムスタンプを検証し、計測データや計測時刻などが改竄されていないことを確認してからこれらを計測値データベースに登録する。
FIG. 12B is a diagram illustrating an example of a logical configuration of the measurement value database.
The measurement value database includes items such as “device ID”, “reception time”, “measurement value”, “measurement time”,.
The device ID is the device ID of the device 7 that is the transmission source of the measurement data, and the reception time is the time when the customer server 4 receives the measurement data. The measurement value is a measurement value included in the measurement data.
The customer server 4 verifies the time stamp of the measurement data with the device public key of the device 7, confirms that the measurement data, the measurement time, etc. have not been tampered with, and registers them in the measurement value database.

次に、図13を用いて顧客サーバ4が機器7から計測データを収集する手順について説明する。
ここでは、機器7が監査モードに切り替わった時点から説明する。なお、以下の機器7の動作は耐タンパ部20が行うものである。
まず、モード切替部51が耐タンパ部20を監査モードに切り替えると、機器7は、監査サーバ12に接続し、時刻証明書の送信を要求する(ステップ25)。
Next, the procedure in which the customer server 4 collects measurement data from the device 7 will be described with reference to FIG.
Here, a description will be given from the time when the device 7 switches to the audit mode. The following operation of the device 7 is performed by the tamper resistant unit 20.
First, when the mode switching unit 51 switches the tamper resistant unit 20 to the audit mode, the device 7 connects to the audit server 12 and requests transmission of a time certificate (step 25).

監査サーバ12は、機器7から時刻証明書の送信要求を受けると、原子時計の出力する時刻を用いて時刻証明書作成し、機器7に送信する(ステップ30)。
機器7は、監査サーバ12から時刻証明書を受信すると、監査用公開鍵を用いて時刻証明書のデジタル署名を確認した後、時刻証明書の基準時刻と、内部クロック22が計測している時刻の時刻ラベル(図10)が一致することを確認する(ステップ35)。
Upon receiving a time certificate transmission request from the device 7, the audit server 12 creates a time certificate using the time output by the atomic clock and transmits it to the device 7 (step 30).
When the device 7 receives the time certificate from the audit server 12, after confirming the digital signature of the time certificate using the audit public key, the device 7 measures the reference time of the time certificate and the time measured by the internal clock 22 Are confirmed to coincide with each other (step 35).

時刻ラベルが基準時刻ラベルと一致しない場合、耐タンパ部20では、モード切替部51がモード切替を停止し、機器7はエラーメッセージを顧客サーバ4に送信する。これによって、顧客サーバ4では、機器7の異常を検知することができる。
時刻ラベルと基準時刻が一致する場合、モード切替部51は、耐タンパ部20の動作モードを同期モードに切り替える。
When the time label does not match the reference time label, in the tamper resistant unit 20, the mode switching unit 51 stops the mode switching, and the device 7 transmits an error message to the customer server 4. Thereby, the customer server 4 can detect the abnormality of the device 7.
When the time label matches the reference time, the mode switching unit 51 switches the operation mode of the tamper resistant unit 20 to the synchronous mode.

耐タンパ部20が同期モードに設定されると、機器7は、基地局8が放送している標準電波(ステップ40)を受信し、標準電波で送られた時刻を用いて内部クロック22の秒単位を更正する(ステップ45)。
内部クロック22の秒単位の更正が完了すると、モード切替部51は、耐タンパ部20の動作モードをスタンプモードに切り替える。
When the tamper resistant unit 20 is set to the synchronous mode, the device 7 receives the standard radio wave (step 40) broadcasted by the base station 8, and uses the time sent by the standard radio wave to make the second of the internal clock 22 The unit is corrected (step 45).
When the correction of the internal clock 22 in units of seconds is completed, the mode switching unit 51 switches the operation mode of the tamper resistant unit 20 to the stamp mode.

耐タンパ部20がスタンプモードに切り替わると、計測部35のCPU29は、計測装置部34で計測された計測値を耐タンパ部20に送信する。そして、耐タンパ部20は、これを用いて計測データを生成して顧客サーバ4に送信する(ステップ50)。
顧客サーバ4は、機器7から計測データを受信し、計測値などを計測値データベースに記憶する(ステップ60)。
When the tamper resistant unit 20 is switched to the stamp mode, the CPU 29 of the measuring unit 35 transmits the measurement value measured by the measuring device unit 34 to the tamper resistant unit 20. Then, the tamper resistant part 20 generates measurement data using this and transmits it to the customer server 4 (step 50).
The customer server 4 receives the measurement data from the device 7 and stores the measurement value and the like in the measurement value database (step 60).

耐タンパ部20は、時刻監査からの期間が活性化時間を経過したか否かを監視しており、活性化時間を経過していない場合(ステップ55;N)、機器7は、ステップ50に戻って計測を続行する。
一方、活性化時間を経過した場合(ステップ55;N)、機器7は、無限ループを続行するか否かを判断する(ステップ65)。
The tamper resistant unit 20 monitors whether or not the activation time has elapsed since the time audit. If the activation time has not elapsed (step 55; N), the device 7 proceeds to step 50. Return and continue measurement.
On the other hand, when the activation time has elapsed (step 55; N), the device 7 determines whether or not to continue the infinite loop (step 65).

無限ループを続行する場合は(ステップ65;Y)、モード切替部51が耐タンパ部20の動作モードを監査モードに切り替えて機器7はステップ25に戻る。無限ループを続行しない場合(ステップ65;N)、機器7は動作を終了する。
機器7は、通常無限ループで連続的に動作するが、例えば、使用期間が限定されてる場合で使用期限が切れた場合など、無限ループを続行しない場合は自動停止する。
When continuing the infinite loop (step 65; Y), the mode switching unit 51 switches the operation mode of the tamper resistant unit 20 to the audit mode, and the device 7 returns to step 25. When the infinite loop is not continued (step 65; N), the device 7 ends the operation.
The device 7 normally operates continuously in an infinite loop, but automatically stops when the infinite loop is not continued, for example, when the usage period has been limited and the usage period has expired.

次に、図14のフローチャートを用いて機器7の時刻監査についてより詳細に説明する。図14のステップ110〜ステップ140は、図13のステップ35に対応する。
機器7が時刻証明書を要求し(ステップ25)、これに応じて監査サーバ12が時刻証明書を送信する(ステップ30)。
機器7は、監査サーバ12から送信されてきた時刻証明書を受信し、これを耐タンパ部20に入力する。
そして、機器7は、時刻証明書に記されている基準時刻と内部クロック22が計測している時刻を比較する(ステップ110)。
Next, the time audit of the device 7 will be described in more detail using the flowchart of FIG. Steps 110 to 140 in FIG. 14 correspond to step 35 in FIG.
The device 7 requests a time certificate (step 25), and the audit server 12 transmits the time certificate in response (step 30).
The device 7 receives the time certificate transmitted from the audit server 12 and inputs it to the tamper resistant unit 20.
Then, the device 7 compares the reference time described in the time certificate with the time measured by the internal clock 22 (step 110).

この比較は時刻ラベル、即ち分単位で行い、秒単位は行わない。例えば、時刻証明書に記載されていた時刻が「2005年3月20日12時30分3秒2百ミリ秒」で、内部クロック22の時刻が「2005年3月20日12時30分0秒5百ミリ秒」であった場合、両者は分単位以上が同じであるので、機器7は両者が一致すると判断する。   This comparison is done in time labels, ie in minutes, not in seconds. For example, the time described in the time certificate is “March 20, 2005, 12: 30: 3, 2200 milliseconds”, and the time of the internal clock 22 is “March 20, 2005, 12:30 0”. If it is “5,500 milliseconds per second”, since both units have the same minute unit or more, the device 7 determines that they match.

時刻証明書に記載されていた時刻と内部クロック22の時刻が一致しない場合(ステップ115;N)、機器7はステップ25に戻り、監査サーバ12に再度時刻証明書の送信を要求する。
両時刻が一致する場合(ステップ115;Y)、機器7は、時刻証明書の有効性を確認する(ステップ120)。
When the time described in the time certificate does not match the time of the internal clock 22 (step 115; N), the device 7 returns to step 25 and requests the audit server 12 to transmit the time certificate again.
If both times match (step 115; Y), the device 7 checks the validity of the time certificate (step 120).

この有効性は、時刻証明書に付属するデジタル署名を監査用公開鍵で復号化してダイジェストを復元し、更に時刻証明書から監査サーバ12と同じ関数(例えば、ハッシュ関数)を用いてダイジェストを求め、両者の一致を確認することにより行う。
また、時刻証明書に時刻証明書の有効期限が付属している場合は、有効期限内であることを確認する。
This validity is obtained by decrypting the digital signature attached to the time certificate with the audit public key and restoring the digest, and further obtaining the digest from the time certificate using the same function (for example, hash function) as the audit server 12. This is done by confirming a match between the two.
If the time certificate has an expiration date attached to the time certificate, it is confirmed that it is within the expiration date.

このように、時刻証明書と内部クロック22の時刻の比較を時刻証明書の有効性の確認の前に行ったのは、時刻の比較をなるべく速やかに行うためである。
即ち、有効性の確認の後に時刻の比較を行うと、有効性の確認に要する時間だけ内部クロック22の時刻が進んでしまい、時刻証明書に記載されている時刻との差が大きくなるためである。
The reason for comparing the time certificate and the time of the internal clock 22 before confirming the validity of the time certificate is to compare the time as quickly as possible.
That is, if the time is compared after the validity is confirmed, the time of the internal clock 22 is advanced by the time required for the validity confirmation, and the difference from the time described in the time certificate becomes large. is there.

時刻証明書が有効でなかった場合(ステップ125;N)、機器7はステップ25に戻る。
時刻証明書が有効であった場合(ステップ125;Y)、機器7は、前回証明書(図9)に記載されている基準時刻と、時刻証明書に記載されている基準時刻との前後関係を比較する(ステップ130)。
If the time certificate is not valid (step 125; N), the device 7 returns to step 25.
When the time certificate is valid (step 125; Y), the device 7 determines whether the reference time described in the previous certificate (FIG. 9) and the reference time described in the time certificate Are compared (step 130).

時刻証明書に記載されている基準時刻が、前回証明書に記載されている基準時刻よりも前の時刻であった場合(ステップ135;N)、機器7はステップ25に戻る。
一方、時刻証明書に記載されている基準時刻が、前回証明書に記載されている基準時刻よりも後の時刻であった場合(ステップ135;Y)、前回証明書を今回受け取った時刻証明書にて上書きするなどして置き換える。
When the reference time described in the time certificate is a time before the reference time described in the previous certificate (step 135; N), the device 7 returns to step 25.
On the other hand, when the reference time described in the time certificate is later than the reference time described in the previous certificate (step 135; Y), the time certificate that received the previous certificate this time Replace by overwriting with.

通信回線の状態などにより、監査エラーが発生する場合があり、この場合、機器7は、その都度ステップ25に戻って監査サーバ12に時刻証明書の発行を要求するようになっている。
そして、監査サーバ12は、監査の再実行が所定回数に達した場合は、機器7を停止させるコマンドを機器7に送信する。
このように、機器7で何らかの異常が発生していると考えられる場合、監査サーバ12は機器7を停止させることができる。
An audit error may occur depending on the state of the communication line. In this case, the device 7 returns to step 25 each time and requests the audit server 12 to issue a time certificate.
Then, when the audit re-execution reaches a predetermined number of times, the audit server 12 transmits a command for stopping the device 7 to the device 7.
Thus, when it is considered that some abnormality has occurred in the device 7, the audit server 12 can stop the device 7.

次に、図15のフローチャートを用いて機器7の計測処理についてより詳細に説明する。図15のステップ200〜ステップ220は、図13のステップ50に対応し、図15のステップ225、230は、図13のステップ60に対応する。
機器7の計測部35(図2)は、外部クロック28を監視しており、予め設定された計測時刻に達すると、計測装置部34に計測を指示し、これによって計測を実行する(ステップ200)。
なお、計測部35が計測装置部34から計測値を取得するタイミングは、機器7の種類や用途などによって様々設定することができる。
Next, the measurement process of the device 7 will be described in more detail using the flowchart of FIG. Steps 200 to 220 in FIG. 15 correspond to step 50 in FIG. 13, and steps 225 and 230 in FIG. 15 correspond to step 60 in FIG. 13.
The measurement unit 35 (FIG. 2) of the device 7 monitors the external clock 28. When the measurement time set in advance is reached, the measurement unit 35 is instructed to perform measurement, thereby executing measurement (step 200). ).
Note that the timing at which the measurement unit 35 acquires the measurement value from the measurement device unit 34 can be set in various ways depending on the type and application of the device 7.

そして、機器7は、計測部35で取得した計測値をバスラインを介して耐タンパ部20に提供する(ステップ205)。
耐タンパ部20では、計測値が提供された時刻を内部クロック22から取得し、この時刻を測定値の計測時刻とする(ステップ210)。
And the apparatus 7 provides the measured value acquired by the measurement part 35 to the tamper-proof part 20 via a bus line (step 205).
The tamper resistant unit 20 acquires the time when the measurement value is provided from the internal clock 22, and sets this time as the measurement time of the measurement value (step 210).

次に、機器7は、耐タンパ部20内で、機器ID、計測値、計測時刻などのメッセージのダイジェストを作成し、これを機器秘密鍵で暗号化してタイムスタンプを生成・発行する(ステップ215)。
そして、機器7は、機器ID、計測値、計測時刻やタイムスタンプなどから計測データを作成し、顧客サーバ4に送信する(ステップ220)。
Next, the device 7 creates a digest of a message such as a device ID, a measurement value, and a measurement time in the tamper resistant unit 20, encrypts this with a device secret key, and generates and issues a time stamp (step 215). ).
And the apparatus 7 produces measurement data from apparatus ID, a measured value, measurement time, a time stamp, etc., and transmits to the customer server 4 (step 220).

顧客サーバ4は、計測データを機器7から受信すると、計測データに記されている機器IDを機器マスタで検索し、当該機器7の機器公開鍵を取得する。
そして、顧客サーバ4は、この機器公開鍵を用いてタイムスタンプの確認を行う(ステップ225)。
タイムスタンプの確認を終えると、顧客サーバ4は、計測データに記されている計測値や計測時刻などを計測値データベースに記憶し、これを更新する(ステップ230)。
When the customer server 4 receives the measurement data from the device 7, the customer server 4 searches the device master for the device ID described in the measurement data and acquires the device public key of the device 7.
Then, the customer server 4 confirms the time stamp using the device public key (step 225).
When the confirmation of the time stamp is finished, the customer server 4 stores the measurement value and the measurement time described in the measurement data in the measurement value database and updates it (step 230).

以上に説明したように、機器7の計測部35は、計測対象を計測する計測手段として機能し、内部クロック22は、時刻を計測する時計装置として機能する。
そして、耐タンパ部20は、スタンプモードにおいて、計測部35で計測がなされた際の時刻を内部クロック22から取得し、当該計測値に対して当該取得した時刻による時刻証明情報(タイムスタンプ)を生成する時刻証明情報生成手段として機能している。
As described above, the measurement unit 35 of the device 7 functions as a measurement unit that measures a measurement target, and the internal clock 22 functions as a clock device that measures time.
Then, in the stamp mode, the tamper resistant part 20 acquires the time when the measurement is performed by the measurement part 35 from the internal clock 22, and provides time certification information (time stamp) based on the acquired time for the measurement value. It functions as time proof information generating means for generating.

また、EEPROM25は、非対称暗号鍵として対をなす機器公開鍵と機器秘密鍵のうち、機器秘密鍵を記憶する秘密鍵記憶手段として機能し、耐タンパ部20は、当該機器秘密鍵を用いて、計測値と時刻を対応づけた対応情報(メッセージやダイジェスト)を、所定の暗号方式により暗号化することにより時刻証明情報を生成する。
また、通信部26は、生成した時刻証明情報を所定の送信先に送信する送信手段として機能している。
The EEPROM 25 functions as a secret key storage unit that stores a device secret key among a device public key and a device secret key paired as an asymmetric encryption key, and the tamper resistant unit 20 uses the device secret key, Time certification information is generated by encrypting correspondence information (message or digest) in which the measurement value and time are associated with each other by a predetermined encryption method.
The communication unit 26 functions as a transmission unit that transmits the generated time certification information to a predetermined transmission destination.

また、機器7は、基準時刻送信装置(標準電波送信装置11など)が送信した基準時刻(標準電波など)を受信する基準時刻情報受信手段と、当該基準時刻を用いて、内部クロック22が計測する時刻のうち所定単位よりも小さい単位の時刻(秒単位の時刻)を補正する時刻補正手段と、備えている。
更に、機器7は、所定の監査サーバから基準時刻を受信する基準時刻受信手段を備え、モード切替部51は、前記所定単位以上の時刻(時刻ラベル)において、内部クロック22で計測した時刻と当該受信した基準時刻が一致する場合に前記時刻証明情報生成手段を動作させ、一致しない場合に前記時刻証明情報生成手段を停止させる監査結果実行手段として機能している。
In addition, the device 7 uses the reference time information receiving means for receiving the reference time (standard radio wave etc.) transmitted by the reference time transmitting device (standard radio wave transmitter 11 etc.) and the internal clock 22 using the reference time. Time correction means for correcting a time in units smaller than a predetermined unit (time in seconds) among the time to be performed.
Furthermore, the device 7 includes a reference time receiving unit that receives a reference time from a predetermined audit server, and the mode switching unit 51 includes the time measured by the internal clock 22 at the time (time label) equal to or more than the predetermined unit. It functions as an audit result execution unit that operates the time certification information generation unit when the received reference times match, and stops the time certification information generation unit when they do not match.

以上に説明した本実施の形態により次のような効果を得ることができる。
(1)機器7にタイムスタンプ機能が内蔵されてるため、計測値からタイムスタンプで証明される時刻に計測されたものであることを保証することができる。
(2)機器7での計測時刻が改竄できないため、信頼できる計測値の時系列を得ることができる。
(3)内部クロック22の更正に、標準電波を用いるため、更正用の時刻を配信する設備が必要ない。
(4)時刻の更正は秒単位以下に対してしか行うことができないため、時刻ラベルの改竄を防ぐことができる。
(5)耐タンパ部20の動作をセキュリティモード(時刻監査、タイムスタンプの発行)と一般モード(同期)で切り替えるため、セキュリティを高めることができる。
The following effects can be obtained by the present embodiment described above.
(1) Since the device 7 has a built-in time stamp function, it can be assured that the device 7 has been measured at the time certified by the time stamp from the measured value.
(2) Since the measurement time at the device 7 cannot be falsified, a reliable time series of measurement values can be obtained.
(3) Since the standard radio wave is used for the correction of the internal clock 22, no facility for distributing the time for correction is required.
(4) Since the time can be corrected only for the second or less, the time label can be prevented from being falsified.
(5) Since the operation of the tamper resistant unit 20 is switched between the security mode (time audit, time stamp issuance) and the general mode (synchronization), security can be enhanced.

なお、本実施の形態では、内部クロック22の計測する時刻を時刻ラベルと秒単位に区分し、時刻監査は時刻ラベルに対して行い、時刻の更正は標準電波にて秒単位に対して行ったが、従来技術のように時刻配信サーバを設け、これによって時刻配信を行い、これによって更正された内部クロック22の時刻を時刻監査するように構成してもよい。
また、機器7の用途としては、水道・ガスメータといったメータ類のほかに、ハウス栽培の温度計、原子力発電所での放射能漏れ計測装置、地震計などに用いることができる。
In this embodiment, the time measured by the internal clock 22 is divided into a time label and a second unit, the time audit is performed for the time label, and the time correction is performed for the second unit using the standard radio wave. However, as in the prior art, a time distribution server may be provided so that time distribution is performed thereby, and the time of the internal clock 22 corrected thereby may be audited.
In addition to the meters such as water and gas meters, the device 7 can be used for a thermometer for house cultivation, a radioactive leak measurement device at a nuclear power plant, a seismometer, and the like.

また、機器7は、次のような時刻証明サーバとしての機能を有している。
即ち、時刻を出力する時計装置と、前記時計装置が出力した時刻のうち、所定の単位以上の時刻(時刻ラベル)を取得する第1の時刻取得手段と、基準時刻を配信する基準時刻配信サーバ(監査サーバ12)から基準となる時刻を受信する基準時刻受信手段と、前記所定単位以上の時刻において前記第1の時刻取得手段で取得した時刻と前記受信した基準時刻とが一致することを確認することにより、前記時計装置が所定の範囲の精度で作動していることを検証する検証手段と、クライアント機器(計測部35)から、時刻証明対象となる証明対象情報を受信する証明対象情報受信手段と、前記精度を検証した前記時計装置が出力する時刻を用いて、前記受信した証明対象情報の時刻証明情報(タイムスタンプ)を生成する時刻証明情報生成手段と、前記生成した時刻証明情報を所定の送信先に送信する時刻証明情報送信手段と、を具備したことを特徴とする時刻証明サーバを提供する(第1の構成)。
第1の構成において、前記検証手段は、検証に用いる基準時刻が、前回の検証で用いた基準時刻よりも後の時刻であることが確認できた場合に、前記時計装置が所定の範囲の精度にて作動していると検証するように構成することもできる(第2の構成)。
第1の構成、又は第2の構成において、更正時刻発生装置(標準電波送信装置11)から更正時刻を取得する更正時刻取得手段と、前記取得した更正時刻を用いて、前記時計装置が計測する時刻のうち、前記所定の単位よりも小さい単位(秒単位)の時刻を更正する時刻更正手段と、を具備し、前記時刻証明情報生成手段は、前記構成した時刻を用いて前記時刻証明情報を生成するように構成することもできる(第3の構成)。
第1の構成、第2の構成、又は第3の構成において、前記所定の単位を変更する所定単位変更手段を具備するように構成することもできる(第4の構成)。
第3の構成において、前記検証手段と前記時刻証明情報生成手段が動作する第1の動作モードと、前記時刻更正手段が動作する第2の動作モードと、を切り替える動作モード切替手段を具備し、前記動作モード切替手段は、それぞれの動作モードにて動作が完了した後に動作モードを切り替えるように構成することもできる(第5の構成)。
第5の構成において、前記第1の動作モードは、前記検証手段が前記時計装置を検証する検証モードと、前記時刻証明情報生成手段が前記時刻証明情報を生成する時刻証明情報生成モードと、から成り、前記動作モード切替手段は、前記検証モードと前記時刻証明情報生成モードの切替において、モード切替元の動作が完了した後にモード切替先に動作モードを切り替えるように構成することもできる(第6の構成)。
The device 7 has a function as a time certification server as follows.
That is, a clock device that outputs time, first time acquisition means that acquires a time (time label) of a predetermined unit or more among the times output from the clock device, and a reference time distribution server that distributes a reference time Confirm that the reference time receiving means for receiving the reference time from the (audit server 12) and the time acquired by the first time acquisition means at the time equal to or greater than the predetermined unit match the received reference time. By doing so, verification means for verifying that the timepiece device is operating within a predetermined range of accuracy, and receiving proof object information for receiving proof object information as a time proof object from the client device (measurement unit 35) Time proof information generation for generating time proof information (time stamp) of the received proof object information using means and time output by the timepiece device that has verified the accuracy Providing a stage, a time certification information transmission means for transmitting the generated time certification information to a predetermined destination, the time certification server, characterized by comprising a (first configuration).
In the first configuration, when the reference time used for the verification is confirmed to be a time later than the reference time used in the previous verification, the timepiece device has an accuracy within a predetermined range. It can also be configured to verify that it is operating at (second configuration).
In the first configuration or the second configuration, the timepiece device measures using the correction time acquisition means for acquiring the correction time from the correction time generator (standard radio wave transmitter 11) and the acquired correction time. Time correction means for correcting a time in units (seconds) smaller than the predetermined unit of the time, and the time certification information generation means uses the configured time to generate the time certification information. It can also be configured to generate (third configuration).
In the first configuration, the second configuration, or the third configuration, a predetermined unit changing unit that changes the predetermined unit may be provided (fourth configuration).
In the third configuration, an operation mode switching unit that switches between a first operation mode in which the verification unit and the time certification information generation unit operate and a second operation mode in which the time correction unit operates, is provided. The operation mode switching means may be configured to switch the operation mode after the operation is completed in each operation mode (fifth configuration).
In the fifth configuration, the first operation mode includes: a verification mode in which the verification unit verifies the timepiece device; and a time certification information generation mode in which the time certification information generation unit generates the time certification information. The operation mode switching means can be configured to switch the operation mode to the mode switching destination after the operation of the mode switching source is completed in the switching between the verification mode and the time certification information generation mode (Sixth). Configuration).

[子機の設置]
次に、以上のようにして設置された機器7に子機を設置する場合について説明する。
図16は、情報処理システム1において、機器7を親機として子機9を接続したところを示したブロック図である。
機器7は、複数の子機9に直接接続することができると共に、子機9を介して更に多くの子機9と接続することができる。
本実施の形態では、機器7と子機9の接続、及び子機9と子機9の接続は無線を用いるが、有線にて接続してもよい。
[Installation of handset]
Next, the case where a subunit | mobile_unit is installed in the apparatus 7 installed as mentioned above is demonstrated.
FIG. 16 is a block diagram illustrating the information processing system 1 in which the slave unit 9 is connected with the device 7 serving as a master unit.
The device 7 can be directly connected to a plurality of child devices 9 and can be connected to more child devices 9 via the child devices 9.
In the present embodiment, the connection between the device 7 and the slave unit 9 and the connection between the slave unit 9 and the slave unit 9 are wireless, but they may be wired.

情報処理システム1において、子機9は、計測値を機器7に送信し、機器7は、これにタイムスタンプを付与して顧客サーバ4に送信する。
このようにして、顧客サーバ4は、機器7や子機9からタイムスタンプが付与された計測値を収集することができる。
In the information processing system 1, the slave unit 9 transmits the measurement value to the device 7, and the device 7 adds a time stamp thereto and transmits it to the customer server 4.
In this way, the customer server 4 can collect the measurement values to which the time stamp is given from the device 7 or the slave unit 9.

図17は、子機9のハードウェア的な構成の一例を示したブロック図である。
子機9の構成は、図2に示した機器7と概略同じになっている。そのため、対応する構成要素には機器7と同じ符号を付し、重複する説明は簡略化あるいは省略する。
FIG. 17 is a block diagram illustrating an example of a hardware configuration of the slave unit 9.
The structure of the subunit | mobile_unit 9 is substantially the same as the apparatus 7 shown in FIG. For this reason, the corresponding components are denoted by the same reference numerals as those of the device 7, and overlapping descriptions are simplified or omitted.

EEPROM25には、非対称暗号鍵生成プログラム、子機秘密鍵、子機証明書、接続要求プログラム、共通鍵、CA公開鍵証明書などが記憶されている。
非対称暗号鍵生成プログラムは、子機秘密鍵と子機公開鍵のペアを生成するためのプログラムであり、CPU21がこのプログラムを実行することにより、子機秘密鍵と子機公開鍵のペアが耐タンパ部20内で生成される。
そして、子機秘密鍵は、生成された後、EEPROM25に記憶される。このようにEEPROM25は、子機秘密鍵記憶手段を構成している。
The EEPROM 25 stores an asymmetric encryption key generation program, a slave device private key, a slave device certificate, a connection request program, a common key, a CA public key certificate, and the like.
The asymmetric encryption key generation program is a program for generating a pair of the slave unit private key and the slave unit public key. When the CPU 21 executes this program, the pair of the slave unit private key and the slave unit public key is protected. It is generated in the tamper unit 20.
Then, after the child machine private key is generated, it is stored in the EEPROM 25. As described above, the EEPROM 25 constitutes a handset secret key storage means.

子機証明書は、子機公開鍵の子機公開鍵証明書を検証サーバ公開鍵で暗号化した暗号化子機公開鍵証明書や、子機IDなどからなる子機固有情報などを、CA3がCA秘密鍵でデジタル署名したものである。このように、EEPROM25は、暗号化子機公開鍵記憶手段を構成している。
接続要求プログラムは、子機9を機器7に接続する際に用いるプログラムである。機器7も子機9からの接続要求を受け付ける子機接続プログラムを記憶しており、これらが協働して機能することにより機器7と子機9の接続がなされる。
The slave unit certificate includes an encrypted slave unit public key certificate obtained by encrypting a slave unit public key certificate of the slave unit public key with a verification server public key, slave unit unique information including a slave unit ID, and the like. Is digitally signed with a CA private key. As described above, the EEPROM 25 constitutes an encrypted slave device public key storage means.
The connection request program is a program used when connecting the slave unit 9 to the device 7. The device 7 also stores a handset connection program that accepts a connection request from the handset 9, and the device 7 and the handset 9 are connected by functioning in cooperation with each other.

共通鍵は、機器7と接続する際に、機器7から送信されてきた共通鍵であり、子機9は、計測値を機器7に送信する際に、これを共通鍵で暗号化して送信し、また、機器7から送られてくる情報(共通鍵で暗号化されている)を共通鍵で復号化する。
CA公開鍵証明書は、CA3の公開鍵証明書である。また、図示しないが、ルート証明書もEEPROM25に記憶されている。
The common key is a common key transmitted from the device 7 when connecting to the device 7, and the slave unit 9 encrypts and transmits the measurement value to the device 7 with the common key. Also, the information sent from the device 7 (encrypted with the common key) is decrypted with the common key.
The CA public key certificate is a CA3 public key certificate. Although not shown, the root certificate is also stored in the EEPROM 25.

次に、図18を用いて、子機9の出荷前処理から設置までの手順の全体構成について説明する。図中に手順の順序を括弧にて示してあり、以下、この順序に従って説明していく。なお、機器7は、既に情報処理システム1に設置されているものとする。
また、手順(1)から手順(4)までは、子機9の設置前(好ましくは顧客への出荷前)に行う作業である。
(1)(子機秘密鍵と子機公開鍵の非対称暗号鍵ペアの生成)
子機9のハードウェアが完成すると、作業担当者が子機9を操作して非対称暗号鍵生成プログラムを実行し、耐タンパ部20内でCPU21に子機秘密鍵と子機公開鍵のペアを生成させる。
そして、子機9は、生成した子機秘密鍵をEEPROM25の所定のエリアに記憶する。
Next, the overall configuration of the procedure from the pre-shipment process to the installation of the slave unit 9 will be described with reference to FIG. In the figure, the order of the procedures is shown in parentheses, and the description will be made in accordance with this order. Note that the device 7 is already installed in the information processing system 1.
Further, the procedure (1) to the procedure (4) are operations performed before installation of the slave unit 9 (preferably before shipment to the customer).
(1) (Generation of asymmetric encryption key pair of handset private key and handset public key)
When the hardware of the slave unit 9 is completed, the person in charge of the operation operates the slave unit 9 to execute the asymmetric encryption key generation program, and sets the pair of the slave unit private key and the slave unit public key to the CPU 21 in the tamper resistant unit 20. Generate.
Then, the slave unit 9 stores the generated slave unit private key in a predetermined area of the EEPROM 25.

(2)(子機公開鍵の送信)
子機9は、作業担当者によって当該子機9を担当するCA3に接続され、生成した子機公開鍵と子機固有情報(子機IDなど)をCA3に送信する。
(3)(子機証明書の書き込み)
CA3は、子機9から子機公開鍵を受信すると、これをCA秘密鍵でデジタル署名して子機公開鍵証明書を作成する。
更に、CA3は、検証サーバ公開鍵を記憶しており、これを用いて所定の暗号方式により子機公開鍵証明書を暗号化し、暗号化子機公開鍵証明書を作成する。
そして、CA3は、暗号化子機公開鍵証明書やその他の情報(子機固有情報など)をデジタル署名して子機証明書を作成し、子機9に送信する。
子機9は、子機証明書をCA3から受信し、EEPROM25に記憶する。
(4)(出荷)
子機9は、子機証明書を記憶した後、顧客に出荷され、その後は顧客の管理下におかれる。
(2) (Send device public key transmission)
The child device 9 is connected to the CA 3 that is in charge of the child device 9 by the worker in charge, and transmits the generated child device public key and child device unique information (such as a child device ID) to the CA 3.
(3) (Writing handset certificate)
When CA3 receives the slave unit public key from slave unit 9, CA3 digitally signs it with the CA private key and creates a slave unit public key certificate.
Further, the CA 3 stores the verification server public key, and encrypts the slave unit public key certificate by using a predetermined encryption method to create an encrypted slave unit public key certificate.
The CA 3 then digitally signs the encrypted child device public key certificate and other information (such as child device specific information) to create a child device certificate, and transmits it to the child device 9.
The slave unit 9 receives the slave unit certificate from the CA 3 and stores it in the EEPROM 25.
(4) (Shipping)
The handset 9 stores the handset certificate, is shipped to the customer, and thereafter is under the customer's control.

(5)(接続要求)
子機9は、出荷された後、設置担当者によって設置箇所に設置される。機器7と子機9が無線通信できる範囲は限られているので、子機9は、親機となる機器7との通信範囲内(例えば、機器7から半径百メートルの範囲)に設置される。
子機9では、設置箇所に設置された後、設置担当者によって接続要求プログラムが起動される。
(5) (Connection request)
After the child machine 9 is shipped, it is installed at an installation location by a person in charge of installation. Since the range in which the device 7 and the child device 9 can perform wireless communication is limited, the child device 9 is installed within the communication range with the device 7 serving as the parent device (for example, a radius of 100 meters from the device 7). .
In the subunit | mobile_unit 9, after installing in an installation location, a connection request program is started by the installation person in charge.

子機9は、接続要求プログラムが起動すると、通信範囲内にある機器7を検出する。
そして、子機9は、検出された機器7に対して接続要求を行い、子機証明書を機器7に送信する。このように子機9は、暗号化子機公開鍵(子機証明書に含まれている)送信手段を備えている。
機器7が複数検出された場合、子機9は、例えば、各機器7の機器IDを取得して表示装置に表示し、設置担当者に接続する機器7を選択させる。
The subunit | mobile_unit 9 detects the apparatus 7 in the communication range, if a connection request program starts.
Then, the slave unit 9 sends a connection request to the detected device 7 and transmits a slave unit certificate to the device 7. As described above, the slave unit 9 includes an encrypted slave unit public key (included in the slave unit certificate) transmission unit.
When a plurality of devices 7 are detected, the slave unit 9 acquires, for example, the device ID of each device 7 and displays the device ID on the display device, and allows the installation person to select the device 7 to be connected.

(6)(顧客サーバ4への子機証明書の送信)
機器7は、子機9から子機証明書を受信して(暗号化子機公開鍵受信手段)、CA公開鍵でデジタル署名を確認する。そして、機器7は、顧客サーバ4に接続して子機証明書を顧客サーバ4に送信する。
このように、機器7は、暗号化子機公開鍵を所定の送信先に送信する暗号化子機公開鍵送信手段を備えている。本実施の形態では、所定の送信先を顧客サーバ4とするが、例えば、検証サーバ5に直接送信するなど、各種の変形例が考えられる。
(6) (Transmission of handset certificate to customer server 4)
The device 7 receives the handset certificate from the handset 9 (encrypted handset public key receiving means) and confirms the digital signature with the CA public key. Then, the device 7 connects to the customer server 4 and transmits the slave device certificate to the customer server 4.
As described above, the device 7 includes the encrypted slave unit public key transmission unit that transmits the encrypted slave unit public key to a predetermined transmission destination. In the present embodiment, the predetermined transmission destination is the customer server 4, but various modifications are possible, for example, direct transmission to the verification server 5.

顧客サーバ4は、機器7から子機証明書を受信する。このように、機器7は、暗号化子機公開鍵受信手段を備えている。
顧客サーバ4は、機器7から機器IDを取得し、子機証明書から子機IDを取得することができる。なお、顧客サーバ4は、子機証明書の受信に際し、デジタル署名によって正統性を確認する。
そして、顧客サーバ4は、子機マスタを用いて機器7と子機9の組み合わせが予め登録されているか否かを確認する。
The customer server 4 receives the slave certificate from the device 7. As described above, the device 7 includes an encrypted slave device public key receiving unit.
The customer server 4 can acquire the device ID from the device 7 and can acquire the child device ID from the child device certificate. The customer server 4 confirms the legitimacy by the digital signature when receiving the slave unit certificate.
And the customer server 4 confirms whether the combination of the apparatus 7 and the subunit | mobile_unit 9 is registered previously using the subunit | mobile_unit master.

子機マスタは、図19に示したように、機器7に接続する子機9を機器IDと子機IDの組み合わせにより予め規定したものであり、対応記憶手段を構成している。また、子機マスタには、子機9の有効性も登録されており、使用可能なものは有効に設定され、使用されないものは失効に設定されている。   As shown in FIG. 19, the slave device master predefines the slave device 9 connected to the device 7 by a combination of the device ID and the slave device ID, and constitutes correspondence storage means. In addition, the validity of the slave unit 9 is also registered in the slave unit master, and those that can be used are set to be valid, and those that are not used are set to be invalid.

顧客サーバ4は、機器7から受信した機器IDと子機IDの組み合わせが子機マスタで規定されているものと一致し、更に当該子機の有効性が有効である場合に、後の処理を続行する。一方、これらの条件のうち、少なくとも一方が満たされない場合は、エラーメッセージを機器7に送信する。
即ち、機器7は、機器7と子機9が子機マスタで対応づけられているか否かを確認する対応確認手段を備えている。
このように、機器7に接続する子機9を顧客が予め計画して子機マスタに規定しておくことにより、なりすましによる子機9の設置や子機9の誤設置を防ぐことができる。
When the combination of the device ID and the slave device ID received from the device 7 matches the one specified by the slave device master and the validity of the slave device is valid, the customer server 4 performs subsequent processing. continue. On the other hand, if at least one of these conditions is not satisfied, an error message is transmitted to the device 7.
That is, the device 7 includes a correspondence confirmation unit that confirms whether or not the device 7 and the child device 9 are associated with each other by the child device master.
In this way, when the customer plans the child device 9 connected to the device 7 in advance and defines the child device master as the child device master, installation of the child device 9 due to impersonation or erroneous installation of the child device 9 can be prevented.

(7)(検証サーバ5への子機証明書の送信)
図18に戻り、顧客サーバ4は、子機マスタによる確認を行った後、子機証明書を検証サーバ5に送信する。このように、機器7は、暗号化子機公開鍵送信手段を備えている。
(8)(顧客サーバ4への子機公開鍵送信)
検証サーバ5は、顧客サーバ4から子機証明書を受信すると、デジタル署名によって正統性を確認する。
そして、検証サーバ5は、子機証明書に含まれる暗号化子機公開鍵証明書を検証サーバ秘密鍵で復号化し、顧客サーバ4に送信する。
暗号化子機公開鍵証明書の復号化ができなかったり、あるいは子機証明書などの正統性が確認できなかった場合、検証サーバ5は顧客サーバ4にエラーメッセージを送信する。
(7) (Transmission of handset certificate to verification server 5)
Returning to FIG. 18, the customer server 4 transmits the slave unit certificate to the verification server 5 after confirming by the slave unit master. As described above, the device 7 includes an encrypted slave device public key transmission unit.
(8) (Slave unit public key transmission to customer server 4)
When the verification server 5 receives the slave certificate from the customer server 4, the verification server 5 confirms the legitimacy by the digital signature.
Then, the verification server 5 decrypts the encrypted handset public key certificate included in the handset certificate with the verification server private key, and transmits it to the customer server 4.
If the encrypted handset public key certificate cannot be decrypted or the authenticity of the handset certificate or the like cannot be confirmed, the verification server 5 transmits an error message to the customer server 4.

(9)(機器7への子機公開鍵の送信)
顧客サーバ4は、検証サーバ5から子機公開鍵を受信すると、これを機器7に転送する。
(10)(共通鍵の送信)
機器7は、顧客サーバ4から子機公開鍵を受信し(子機公開鍵受信手段)、これをRAM24に一時記憶する。そして、機器7は、乱数を発生させるなどして共通鍵を生成し、これを一時記憶しておいた子機公開鍵で暗号化して子機9に送信する。
子機9は、機器7からこの暗号化共通鍵を受信し、これを子機秘密鍵で復号化して共通鍵を復元する。
以後、機器7と子機9は、この共通鍵を用いて情報を暗号化し、通信する。即ち、機器7と子機9のうち、情報送信側は、共通鍵で情報を暗号化して送信し、情報受信側は、共通鍵で情報を復号化する。
(9) (Transmission of handset public key to device 7)
When the customer server 4 receives the slave unit public key from the verification server 5, it transfers this to the device 7.
(10) (Common key transmission)
The device 7 receives the slave device public key from the customer server 4 (slave device public key receiving means), and temporarily stores it in the RAM 24. Then, the device 7 generates a common key by generating a random number, etc., encrypts it with the child device public key temporarily stored, and transmits it to the child device 9.
The subunit | mobile_unit 9 receives this encryption common key from the apparatus 7, decrypts this with a subunit | mobile_unit private key, and decompress | restores a common key.
Thereafter, the device 7 and the slave unit 9 communicate with each other by encrypting information using the common key. That is, of the device 7 and the slave unit 9, the information transmitting side encrypts and transmits the information with the common key, and the information receiving side decrypts the information with the common key.

なお、以上の例では、機器7は顧客サーバ4を介して検証サーバ5に暗号化子機公開鍵証明書を送信し、更に顧客サーバ4を介して子機公開鍵を受信したが、これに限定するものではなく、例えば、機器7が検証サーバ5と接続し、機器7から検証サーバ5に暗号化子機公開鍵証明書を直接送信し、また、子機公開鍵の受信も検証サーバ5から直接行うように構成することもできる。   In the above example, the device 7 transmits the encrypted child machine public key certificate to the verification server 5 via the customer server 4 and further receives the child machine public key via the customer server 4. For example, the device 7 is connected to the verification server 5, and the encrypted child device public key certificate is directly transmitted from the device 7 to the verification server 5. The reception of the child device public key is also received by the verification server 5. It can also be configured to perform directly from

また、顧客サーバ4は、機器7から暗号化子機公開鍵を受信すると、これを順次検証サーバ5に送信するように構成したが、ある期間の間、暗号化子機公開鍵を受信して記憶しておき、バッチ処理にてこれらを一括して検証サーバ5に送るように構成することもできる。   Further, the customer server 4 is configured to sequentially transmit the encrypted slave unit public key to the verification server 5 when it receives the encrypted slave unit public key from the device 7, but for a certain period, the customer server 4 receives the encrypted slave unit public key. It is also possible to store them and send them to the verification server 5 in batch processing.

次に、図20のフローチャートを用いて子機9が機器7に接続する手順について説明する。なお、以下で子機9が行う情報処理は主に耐タンパ部20(図17)内でCPU21が行うものである。
なお、子機9内で子機公開鍵と子機秘密鍵のペアを生成するなど、子機出荷前の処理は機器7と同様であるので説明を省略する。
子機9は、設置場所に設置されると、設置担当者が入力部32(図17)を操作し、接続要求プログラムを起動する。すると、子機9は、周辺に存在する機器7を検索し、検索された機器7に対して接続要求を行う。
Next, a procedure for connecting the slave unit 9 to the device 7 will be described using the flowchart of FIG. In the following, information processing performed by the slave unit 9 is mainly performed by the CPU 21 in the tamper-proof section 20 (FIG. 17).
The processing before shipping of the slave unit, such as generating a pair of the slave unit public key and the slave unit private key in the slave unit 9, is the same as that of the device 7, and the description thereof is omitted.
When the slave unit 9 is installed at the installation location, the person in charge of installation operates the input unit 32 (FIG. 17) to start the connection request program. Then, the subunit | mobile_unit 9 searches the apparatus 7 which exists in the periphery, and performs a connection request with respect to the searched apparatus 7. FIG.

一方、機器7は子機9から接続要求があった場合に、耐タンパ部20(図2)に予め記憶した子機接続プログラムを起動し、子機9と協働して以下の一連の情報処理を行う。
まず、機器7で子機接続プログラムが起動されると、子機9はEEPROM25から子機証明書を読み出し、機器7に送信する(ステップ305)。
On the other hand, when there is a connection request from the slave unit 9, the device 7 starts a slave unit connection program stored in advance in the tamper-resistant unit 20 (FIG. 2) and cooperates with the slave unit 9 to obtain the following series of information. Process.
First, when the handset connection program is activated in the device 7, the handset 9 reads the handset certificate from the EEPROM 25 and transmits it to the device 7 (step 305).

機器7は、子機9から子機証明書を受信すると、CA公開鍵を用いてデジタル署名を検証し、子機証明書の正統性を確認する。
正統性が確認できなかった場合、機器7は子機9にエラーメッセージを送信する。正統性が確認できた場合、顧客サーバ接続情報を用いて顧客サーバ4に接続する。この際に、機器7の機器IDが顧客サーバ4に通知される。なお、機器7と顧客サーバ4が常時接続されたものである場合は、新たに接続する必要はない。
機器7は、顧客サーバ4に接続した後、子機9から受信した子機証明書を顧客サーバ4に送信する(ステップ310)。
When the device 7 receives the handset certificate from the handset 9, the device 7 verifies the digital signature using the CA public key and confirms the legitimacy of the handset certificate.
When the legitimacy cannot be confirmed, the device 7 transmits an error message to the slave unit 9. When the legitimacy is confirmed, the customer server 4 is connected using the customer server connection information. At this time, the device ID of the device 7 is notified to the customer server 4. In addition, when the apparatus 7 and the customer server 4 are always connected, it is not necessary to newly connect.
After connecting to the customer server 4, the device 7 transmits the slave device certificate received from the slave device 9 to the customer server 4 (step 310).

顧客サーバ4は、機器7から子機証明書を受信すると、CA公開鍵によってデジタル署名を確認する。
次に、機器7の機器IDと子機9の子機証明書に記載された子機IDの組み合わせを子機マスタ(図19)で検索し、予めこの組み合わせが子機マスタで規定されているか否かを確認する(ステップ315)。
組み合わせが確認できなかった場合、顧客サーバ4は機器7に対してエラーメッセージを送信し、このエラーメッセージは、更に機器7から子機9に伝達される。
組み合わせが確認できた場合、顧客サーバ4は、検証サーバ5に接続し、子機証明書を送信する(ステップ320)。
When the customer server 4 receives the slave certificate from the device 7, the customer server 4 confirms the digital signature with the CA public key.
Next, a combination of the device ID of the device 7 and the child device ID described in the child device certificate of the child device 9 is searched in the child device master (FIG. 19), and is this combination defined in advance in the child device master? It is confirmed whether or not (step 315).
If the combination cannot be confirmed, the customer server 4 transmits an error message to the device 7, and this error message is further transmitted from the device 7 to the child device 9.
If the combination can be confirmed, the customer server 4 connects to the verification server 5 and transmits a handset certificate (step 320).

検証サーバ5は、顧客サーバ4から子機証明書を受信すると、CA公開鍵でデジタル署名を確認する。
次に、子機証明書に含まれる暗号化子機公開鍵証明書を予め記憶した検証サーバ秘密鍵でこれを復号化し、子機公開鍵証明書を復元する(ステップ325)。
次に、検証サーバ5は、CA公開鍵を用いて子機公開鍵証明書のデジタル署名を確認し、子機公開鍵証明書の正統性を確認する。
When the verification server 5 receives the slave certificate from the customer server 4, it verifies the digital signature with the CA public key.
Next, the encrypted handset public key certificate included in the handset certificate is decrypted with the verification server private key stored in advance, and the handset public key certificate is restored (step 325).
Next, the verification server 5 confirms the digital signature of the slave unit public key certificate using the CA public key, and confirms the legitimacy of the slave unit public key certificate.

子機証明書や子機公開鍵証明書が正統なものでなかった場合、検証サーバ5は、顧客サーバ4にエラーメッセージを送信し、このエラーメッセージは更に機器7を介して子機9まで伝達される。
子機公開鍵証明書が正統なものであった場合、検証サーバ5は子機公開鍵を顧客サーバ4に送信する(ステップ330)。
If the handset certificate or handset public key certificate is not authentic, the verification server 5 sends an error message to the customer server 4, and this error message is further transmitted to the handset 9 via the device 7. Is done.
If the handset public key certificate is authentic, the verification server 5 transmits the handset public key to the customer server 4 (step 330).

顧客サーバ4は、検証サーバ5から子機公開鍵を受信し、これを機器7に送信する(ステップ335)。
機器7は、顧客サーバ4から子機公開鍵を受信すると、共通鍵を生成し、これを子機公開鍵で暗号化して暗号化共通鍵を生成する(ステップ340)。そして、機器7は、暗号化共通鍵を子機9に送信する(ステップ345)。
The customer server 4 receives the child machine public key from the verification server 5 and transmits it to the device 7 (step 335).
Upon receiving the slave unit public key from the customer server 4, the device 7 generates a common key and encrypts it with the slave unit public key to generate an encrypted common key (step 340). And the apparatus 7 transmits an encryption common key to the subunit | mobile_unit 9 (step 345).

子機9は、機器7から暗号化共通鍵を受信すると、これをEEPROM25に記憶してある子機秘密鍵を用いて復号化して共通鍵を復元する(ステップ350)。
このようにして、機器7と子機9は、共通鍵を共有することができ、以後、機器7と子機9は、送受信する情報を共通鍵で暗号化・復号化して通信する。
このようにして、機器7と子機9が共通鍵を共有したことを確認した後、機器7は、子機9の子機固有情報やアドレスなどをEEPROM25(図2)に記憶し、子機9を自己の子機として正式登録する。このようにして、機器7と子機9は接続する(ステップ355)。
When receiving the encrypted common key from the device 7, the handset 9 decrypts it using the handset private key stored in the EEPROM 25 and restores the common key (step 350).
In this way, the device 7 and the child device 9 can share a common key, and thereafter, the device 7 and the child device 9 communicate by encrypting / decrypting information to be transmitted / received with the common key.
After confirming that the device 7 and the child device 9 share the common key in this way, the device 7 stores the child device specific information and address of the child device 9 in the EEPROM 25 (FIG. 2), and the child device. 9 is officially registered as its own handset. In this way, the device 7 and the slave unit 9 are connected (step 355).

次に、図21のフローチャートを用いて、子機9と機器7の接続方法の変形例について説明する。
先に説明した実施の形態では、子機マスタで予め機器7と子機9の組み合わせが規定されていたが、この変形例では、機器7に任意の子機9を接続し、この機器7と子機9の組み合わせによって動的に子機マスタを更新する。
なお、図20と共通のステップには、同じステップ番号を付し、説明を簡略化あるいは省略することにする。
Next, a modified example of the connection method between the slave unit 9 and the device 7 will be described using the flowchart of FIG.
In the embodiment described above, the combination of the device 7 and the child device 9 is defined in advance by the child device master. However, in this modification, an arbitrary child device 9 is connected to the device 7, The slave unit master is dynamically updated depending on the combination of the slave units 9.
Note that steps common to FIG. 20 are denoted by the same step numbers, and description thereof will be simplified or omitted.

ステップ305、ステップ310は、図20と同様である。
次に、顧客サーバ4は、子機証明書を機器7から受信すると、当該機器7の機器IDに対して当該子機9の子機IDを対応づけて子機マスタに仮登録する(ステップ360)。
本変形例の子機マスタでは、初めは機器IDと子機IDの対応づけがなされておらず、ステップ360の処理によって機器IDと子機IDの対応を記憶するようになっている。
Steps 305 and 310 are the same as those in FIG.
Next, when the customer server 4 receives the child device certificate from the device 7, the customer server 4 associates the device ID of the device 7 with the child device ID of the child device 9 and temporarily registers it in the child device master (step 360). ).
In the slave device master of this modification, the device ID and the slave device ID are not associated with each other at first, and the correspondence between the device ID and the slave device ID is stored by the process of step 360.

以降、ステップ320からステップ355までは図20と同じである。
そして、機器7は、子機9との接続を確立すると、顧客サーバ4に対して子機9と接続した旨の接続通知を送信する(ステップ365)。
顧客サーバ4は、機器7から接続通知を受信すると、子機マスタで仮登録してある当該機器7の機器IDと当該子機9の子機IDの組み合わせを確定し、子機マスタに正式に登録する(ステップ370)。
Thereafter, steps 320 to 355 are the same as those in FIG.
When the device 7 establishes the connection with the child device 9, the device 7 transmits a connection notification indicating that the child device 9 is connected to the customer server 4 (step 365).
When the customer server 4 receives the connection notification from the device 7, the customer server 4 determines the combination of the device ID of the device 7 and the child device ID of the child device 9 that are provisionally registered in the child device master, and formally sets the combination to the child device master. Register (step 370).

この変形例では、予め機器7と子機9の組み合わせを機器マスタで規定しないので、機器7と子機9の組み合わせを確認することはできないが、機器7に対して任意の子機9を接続していくことができるため、子機9運用の柔軟性が高まる。   In this modification, since the combination of the device 7 and the child device 9 is not defined in advance by the device master, the combination of the device 7 and the child device 9 cannot be confirmed, but an arbitrary child device 9 is connected to the device 7. Therefore, the flexibility of the operation of the slave unit 9 is increased.

以上に説明した子機設定方法により次のような効果を得ることができる。
(1)子機の設置と管理は顧客が行うため、機器7や子機9の供給事業者は機器7に関する情報(機器公開鍵など)を管理すればよい。
(2)子機マスタにより機器7と子機9の組み合わせを予め登録しておくことにより、子機9のなりすましや子機9の誤設置などを抑制することができる。
(3)機器7は、子機証明書の検証を検証サーバ5に依頼することにより、子機認証を行うことができる。
(4)機器7に複数の子機9を設置することができ、機器7や子機9による計測機器の設置の柔軟性を高めることができる。
The following effects can be obtained by the slave unit setting method described above.
(1) Since the customer installs and manages the child device, the supplier of the device 7 and the child device 9 may manage information about the device 7 (device public key, etc.).
(2) By registering the combination of the device 7 and the child device 9 in advance by the child device master, it is possible to suppress impersonation of the child device 9 or erroneous installation of the child device 9.
(3) The device 7 can perform handset authentication by requesting the verification server 5 to verify the handset certificate.
(4) A plurality of slave units 9 can be installed in the device 7, and the flexibility of installation of the measuring device by the device 7 or the slave unit 9 can be enhanced.

[子機の運用]
次に、以上のようにして設置した子機9の運用について図22のフローチャートを用いて説明する。
なお、図15と同様の処理を行うステップに関しては、図15と同じステップ番号を付し、説明を簡略化する。
[Operation of slave unit]
Next, the operation of the slave unit 9 installed as described above will be described with reference to the flowchart of FIG.
Note that steps that perform the same processing as in FIG. 15 are denoted by the same step numbers as in FIG.

まず、子機9が、計測装置部34(図17)によって計測対象の計測を実行する(ステップ300)。この計測は、例えば、所定時間間隔や、予め設定された時刻に行われる。
子機9は、計測装置部34で計測値を取得すると、これを耐タンパ部20に送り、耐タンパ部20内で共通鍵によって暗号化する(ステップ305)。そして、子機9は、このようにして計測値を暗号化した暗号化計測値を機器7に送信する(ステップ310)。
First, the subunit | mobile_unit 9 performs measurement of a measuring object by the measuring device part 34 (FIG. 17) (step 300). This measurement is performed at a predetermined time interval or a preset time, for example.
The subunit | mobile_unit 9 will acquire this measured value in the measuring device part 34, will send this to the tamper resistant part 20, and will encrypt with a common key within the tamper resistant part 20 (step 305). And the subunit | mobile_unit 9 transmits the encryption measured value which encrypted the measured value in this way to the apparatus 7 (step 310).

機器7は、子機9から暗号化計測値を受信すると(ステップ315)、これを耐タンパ部20内で共通鍵により復号化する(ステップ320)。このように、機器7は子機9から計測値を取得する計測値取得手段を備えている。
そして、機器7は、暗号化計測値を受信した際の時刻を内部クロック22で計測することにより計測値の計測時刻を取得する(ステップ210)。
When the device 7 receives the encrypted measurement value from the child device 9 (step 315), the device 7 decrypts it with the common key in the tamper resistant unit 20 (step 320). As described above, the device 7 includes a measurement value acquisition unit that acquires a measurement value from the slave unit 9.
And the apparatus 7 acquires the measurement time of a measurement value by measuring the time at the time of receiving an encryption measurement value with the internal clock 22 (step 210).

次に、機器7は、耐タンパ部20内で、計測値、計測時刻、子機9の子機IDなどを含む計測データを生成し、これに機器秘密鍵でデジタル署名してタイムスタンプを発行する(ステップ215)。
機器7は、このようにしてタイムスタンプが発行された計測データを顧客サーバ4に送信する(ステップ220)。
Next, the device 7 generates measurement data including a measurement value, a measurement time, a child device ID of the child device 9 and the like in the tamper resistant unit 20 and issues a time stamp by digitally signing the measurement data. (Step 215).
The device 7 transmits the measurement data issued with the time stamp in this way to the customer server 4 (step 220).

顧客サーバ4は、機器7から計測データを受信すると、デジタル署名を当該機器7の機器公開鍵で復号化することによりタイムスタンプを確認する(ステップ225)。これによって計測データの正統性が確認される。
タイムスタンプが確認されると、顧客サーバ4は、計測データに含まれるデータを計測値データベースに記憶し、これを更新する(ステップ230)。
When the customer server 4 receives the measurement data from the device 7, it confirms the time stamp by decrypting the digital signature with the device public key of the device 7 (step 225). This confirms the legitimacy of the measurement data.
When the time stamp is confirmed, the customer server 4 stores the data included in the measurement data in the measurement value database and updates it (step 230).

計測値データベースは、機器7で計測したデータに加え、子機9で計測したデータも記憶するようになっている。
記憶する項目は、機器7と同様であり、図12(b)の「機器ID」の項目を「子機ID」としたものである。
「計測値」は、子機9で計測された計測値が記憶され、計測値には、機器7が子機9から計測値を受信した際の時刻が記憶される。
The measurement value database stores data measured by the slave unit 9 in addition to data measured by the device 7.
The items to be stored are the same as those of the device 7, and the item of “device ID” in FIG. 12B is set to “child device ID”.
As the “measurement value”, the measurement value measured by the slave unit 9 is stored, and as the measurement value, the time when the device 7 receives the measurement value from the slave unit 9 is stored.

以上に説明した子機9の運用により次のような効果を得ることができる。
(1)子機9での計測値に対して機器7でタイムスタンプを発行することができる。
(2)タイムスタンプは機器7で発行するため、子機9にタイムスタンプ発行機能を搭載する必要がない。
(3)タイムスタンプは、機器7の機器秘密鍵によってなされるため、顧客サーバ4は、子機9の子機秘密鍵を記憶する必要がない。
(4)機器7に複数の台の子機9を接続することができるため、多くの子機9を設置することができる。
The following effects can be obtained by the operation of the slave unit 9 described above.
(1) The time stamp can be issued by the device 7 for the measurement value of the slave unit 9.
(2) Since the time stamp is issued by the device 7, it is not necessary to install the time stamp issuing function in the slave unit 9.
(3) Since the time stamp is made by the device secret key of the device 7, the customer server 4 does not need to store the child device secret key of the child device 9.
(4) Since a plurality of slave units 9 can be connected to the device 7, a large number of slave units 9 can be installed.

本実施の形態に係る情報処理システムのネットワーク構成の一例を示したブロック図である。It is the block diagram which showed an example of the network structure of the information processing system which concerns on this Embodiment. 機器のハードウェア的な構成の一例を示したブロック図である。It is the block diagram which showed an example of the hardware structure of an apparatus. 検証サーバのハードウェア的な構成の一例を示したブロック図である。It is the block diagram which showed an example of the hardware constitutions of a verification server. 機器登録データベースの論理的な構成の一例を示した図である。It is the figure which showed an example of the logical structure of an apparatus registration database. 機器を設置して顧客サーバに接続するまでの全体的な手順について説明するための図である。It is a figure for demonstrating the whole procedure after installing an apparatus and connecting with a customer server. 機器を出荷する前に行う処理の手順を説明するためのフローチャートである。It is a flowchart for demonstrating the procedure of the process performed before shipping an apparatus. 機器を設置現場に設置して顧客サーバに接続するまでの手順を説明するためのフローチャートである。It is a flowchart for demonstrating the procedure until it installs in an installation site and connects with a customer server. 情報処理システムの運用に関する部分を示したブロック図である。It is the block diagram which showed the part regarding operation of an information processing system. 機器、監査サーバ、及び顧客サーバの関係を示したブロック図である。It is the block diagram which showed the relationship between an apparatus, an audit server, and a customer server. 内部クロックの更正について説明するための図である。It is a figure for demonstrating the correction of an internal clock. モード切替部のモード切替動作を説明するための図である。It is a figure for demonstrating the mode switching operation | movement of a mode switching part. 機器マスタ、計測値データベースの論理的な構成を示した図である。It is the figure which showed the logical structure of the apparatus master and the measured value database. 顧客サーバ4が機器7から計測データを収集する手順を説明するためのフローチャートである。4 is a flowchart for explaining a procedure by which a customer server 4 collects measurement data from a device 7. 時刻監査手順を説明するためのフローチャートである。It is a flowchart for demonstrating a time audit procedure. 計測処理手順を説明するためのフローチャートである。It is a flowchart for demonstrating a measurement process procedure. 情報処理システムにおいて機器と子機を接続したところを示した図である。It is the figure which showed the place which connected the apparatus and the subunit | mobile_unit in the information processing system. 子機のハードウェア的な構成の一例を示したブロック図である。It is the block diagram which showed an example of the hardware constitutions of a subunit | mobile_unit. 子機を設置するまでの手順を説明するための図である。It is a figure for demonstrating the procedure until installing a subunit | mobile_unit. 子機マスタの論理的な構成の一例を示した図である。It is the figure which showed an example of the logical structure of a subunit | mobile_unit master. 子機を機器に接続する手順を説明するためのフローチャートである。It is a flowchart for demonstrating the procedure which connects a subunit | mobile_unit to an apparatus. 子機を機器に接続する手順の変形例を説明するためのフローチャートである。It is a flowchart for demonstrating the modification of the procedure which connects a subunit | mobile_unit to an apparatus. 子機の運用を説明するためのフローチャートである。It is a flowchart for demonstrating operation | movement of a subunit | mobile_unit.

符号の説明Explanation of symbols

1 情報処理システム
2 親CA
3 CA
4 顧客サーバ
5 検証サーバ
6 機器登録サーバ
7 機器
8 基地局
9 子機
10 ネットワーク
12 監査サーバ
51 モード切替部
1 Information processing system 2 Parent CA
3 CA
4 customer server 5 verification server 6 device registration server 7 device 8 base station 9 slave unit 10 network 12 audit server 51 mode switching unit

Claims (6)

子機端末と、前記子機端末と通信可能な端末機器と、前記端末機器から計測値を受信する情報処理サーバと、を用いて構成された情報処理システムで使用する端末機器であって、
前記子機端末が計測対象を計測した計測値を前記子機端末から取得する計測値取得手段と、
前記計測値受信手段で計測値を受信した際の時刻を計測する時計装置と、
前記受信した計測値に対して前記取得した時刻による時刻証明情報を生成する時刻証明情報生成手段と、
を具備したことを特徴とする端末機器。
A terminal device used in an information processing system configured using a child device terminal, a terminal device capable of communicating with the child device terminal, and an information processing server that receives measurement values from the terminal device,
A measurement value acquisition means for acquiring a measurement value obtained by measuring the measurement target by the slave terminal from the slave terminal;
A clock device that measures the time when the measurement value is received by the measurement value receiving means;
Time proof information generating means for generating time proof information according to the acquired time for the received measurement value;
A terminal device comprising:
非対称暗号鍵として対をなす公開鍵と秘密鍵のうち、前記秘密鍵を記憶する秘密鍵記憶手段を具備し、
前記時刻証明情報生成手段は、前記記憶した秘密鍵を用いて、前記計測値と前記時刻を対応づけた対応情報を、所定の暗号方式により暗号化することにより時刻証明情報を生成することを特徴とする請求項1に記載の端末機器。
Of a public key and a private key paired as an asymmetric encryption key, the private key storage means for storing the secret key,
The time proof information generation means generates time proof information by encrypting correspondence information in which the measured value and the time are associated with each other using a predetermined encryption method, using the stored secret key. The terminal device according to claim 1.
前記生成した時刻証明情報を所定の送信先に送信する送信手段を具備したことを特徴とする請求項1、又は請求項2に記載の端末機器。   The terminal device according to claim 1, further comprising a transmission unit configured to transmit the generated time certification information to a predetermined transmission destination. 基準時刻送信装置が送信した基準時刻を受信する基準時刻情報受信手段と、
前記受信した基準時刻を用いて、前記時計装置が計測する時刻のうち所定単位よりも小さい単位の時刻を補正する時刻補正手段と、
を具備したことを特徴とする請求項1、請求項2、又は請求項3に記載の端末機器。
Reference time information receiving means for receiving the reference time transmitted by the reference time transmitting device;
Using the received reference time, time correction means for correcting a time in a unit smaller than a predetermined unit among the times measured by the timepiece device;
The terminal device according to claim 1, 2, or 3.
所定の監査サーバから基準時刻を受信する基準時刻受信手段と、
前記所定単位以上の時刻において、前記計測した時刻と前記受信した基準時刻が一致する場合に前記時刻証明情報生成手段を動作させ、一致しない場合に前記時刻証明情報生成手段を停止させる監査結果実行手段と、
を具備したことを特徴とする請求項4に記載の端末機器。
A reference time receiving means for receiving a reference time from a predetermined audit server;
An audit result execution unit that operates the time certification information generation unit when the measured time and the received reference time match at the predetermined unit time or more, and stops the time certification information generation unit when they do not match When,
The terminal device according to claim 4, comprising:
計測対象を計測する計測手段を具備し、
前記計測値取得手段は、前記計測手段から計測値を取得することを特徴とする請求項1から請求項5までのうちの何れか1の請求項に記載の端末機器。
Comprising a measuring means for measuring a measurement object;
The terminal device according to any one of claims 1 to 5, wherein the measurement value acquisition unit acquires a measurement value from the measurement unit.
JP2006035262A 2006-02-13 2006-02-13 Terminal equipment Withdrawn JP2007215104A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006035262A JP2007215104A (en) 2006-02-13 2006-02-13 Terminal equipment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006035262A JP2007215104A (en) 2006-02-13 2006-02-13 Terminal equipment

Publications (1)

Publication Number Publication Date
JP2007215104A true JP2007215104A (en) 2007-08-23

Family

ID=38493106

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006035262A Withdrawn JP2007215104A (en) 2006-02-13 2006-02-13 Terminal equipment

Country Status (1)

Country Link
JP (1) JP2007215104A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011118432A1 (en) * 2010-03-25 2011-09-29 慧通信技術工業 株式会社 Measurement data management method and measurement data management system
JP2019121884A (en) * 2017-12-28 2019-07-22 三菱重工業株式会社 Integrated circuit, control device, information distribution method, and information distribution system

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0736559A (en) * 1993-07-22 1995-02-07 Internatl Business Mach Corp <Ibm> Secure time keeping device
JP2000215379A (en) * 1998-11-17 2000-08-04 Ricoh Co Ltd Digital measuring equipment and image measuring equipment
JP2003315109A (en) * 2002-04-23 2003-11-06 Tis Kk Digital measuring instrument and measuring method using digital measuring instrument
JP2006033650A (en) * 2004-07-21 2006-02-02 Meidensha Corp Measuring system
JP2006303963A (en) * 2005-04-21 2006-11-02 Internatl Business Mach Corp <Ibm> System, method, and program for managing information

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0736559A (en) * 1993-07-22 1995-02-07 Internatl Business Mach Corp <Ibm> Secure time keeping device
JP2000215379A (en) * 1998-11-17 2000-08-04 Ricoh Co Ltd Digital measuring equipment and image measuring equipment
JP2003315109A (en) * 2002-04-23 2003-11-06 Tis Kk Digital measuring instrument and measuring method using digital measuring instrument
JP2006033650A (en) * 2004-07-21 2006-02-02 Meidensha Corp Measuring system
JP2006303963A (en) * 2005-04-21 2006-11-02 Internatl Business Mach Corp <Ibm> System, method, and program for managing information

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011118432A1 (en) * 2010-03-25 2011-09-29 慧通信技術工業 株式会社 Measurement data management method and measurement data management system
JP2011205300A (en) * 2010-03-25 2011-10-13 Kei Tsushin Gijutsu Kogyo Kk Measurement data management method, measurement data management system, measurement data management apparatus, and terminal device
US8701209B2 (en) 2010-03-25 2014-04-15 Kei Communication Technology Inc. Measurement data management and authentication method and measurement data management and authentication system
JP2019121884A (en) * 2017-12-28 2019-07-22 三菱重工業株式会社 Integrated circuit, control device, information distribution method, and information distribution system
US11283632B2 (en) 2017-12-28 2022-03-22 Mitsubishi Heavy Industries, Ltd. Integrated circuit, control device, information distribution method, and information distribution system

Similar Documents

Publication Publication Date Title
US11743054B2 (en) Method and system for creating and checking the validity of device certificates
US10911424B2 (en) Registry apparatus, agent device, application providing apparatus and corresponding methods
US6393126B1 (en) System and methods for generating trusted and authenticatable time stamps for electronic documents
CN101340278B (en) License management system and method
CN101145906B (en) Method and system for authenticating legality of receiving terminal in unidirectional network
CA2767721C (en) System and method for managing electronic assets using multithreaded interfaces for distributed manufacturing
CN108737394A (en) Off-line verification system, barcode scanning equipment and server
JPWO2007094035A1 (en) Device, verification server, information processing server, device registration server, and information processing method
CN106600252A (en) Payment method and system based on block chain
GB2530028A (en) Registry apparatus, agent device, application providing apparatus and corresponding methods
CA2767723A1 (en) System and method for performing serialization of devices
JP2013535859A (en) Electronic document distribution certificate generation / issuance method, electronic document distribution certificate verification method, and electronic document distribution system
JP4918717B2 (en) Measuring device
JP4725978B2 (en) Time certification server, time certification method, and time certification program
JP4868322B2 (en) Information processing system and information processing method
CN110599270A (en) Electronic bill generation method and device and computer equipment
JP4918718B2 (en) Time stamp issuing device, time stamp issuing method, and time stamp issuing program
JP5039931B2 (en) Information processing device
JP3717848B2 (en) Electronic notary system and electronic notary method
JP2008005090A (en) System for issuing and verifying certificates of several open keys, and method for issuing and verifying certificates of several open keys
JP2007215104A (en) Terminal equipment
JP3646055B2 (en) Time signature apparatus, signing method thereof, and time signature system
JP4541740B2 (en) Authentication key update system and authentication key update method
JP4499027B2 (en) Time audit server and time audit method
JP2009187179A (en) Time stamp device and method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080902

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110527

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110714

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110805

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20110926