ライフログデータの管理システム、管理方法及びプログラム
【課題】少なくとも位置検出機能に対する偽装を確実に検証できるようにして、これによりライフログデータの信頼性を高める。
【解決手段】携帯端末MSにおいてライフログデータブロックが生成されるごとに、このライフログデータブロックを蓄積すると共に、当該ライフログデータブロックのハッシュ値を計算してこのハッシュ値を基地局BS2に送信し、基地局BS2が上記送られたハッシュ値に基地局IDを付与し、これを署名元データとして署名サーバSSVに送る。そして、署名サーバSSVにより上記署名元データに現在時刻情報を付加したのち秘密鍵を用いて署名を行い、この署名された署名データを基地局BS2を介して要求元の携帯端末MSへ返送し、携帯端末MSで蓄積する。
【解決手段】携帯端末MSにおいてライフログデータブロックが生成されるごとに、このライフログデータブロックを蓄積すると共に、当該ライフログデータブロックのハッシュ値を計算してこのハッシュ値を基地局BS2に送信し、基地局BS2が上記送られたハッシュ値に基地局IDを付与し、これを署名元データとして署名サーバSSVに送る。そして、署名サーバSSVにより上記署名元データに現在時刻情報を付加したのち秘密鍵を用いて署名を行い、この署名された署名データを基地局BS2を介して要求元の携帯端末MSへ返送し、携帯端末MSで蓄積する。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、ユーザが所持する携帯端末から、ユーザの位置情報やバイタル情報、コンテンツへのアクセス履歴情報等のライフログデータを収集し管理するライフログデータの管理システム、管理方法及びプログラムに関する。
【背景技術】
【0002】
従来、ユーザの位置情報に基づいて、当該ユーザ向けにサービス情報を配信するシステムが提案されている。この種のシステムは、例えば無線LAN基地局をユーザ位置検出装置として利用して基地局設置スポット近傍での位置検出を行い、無線LANシステムの認証情報からユーザ識別情報を取得する。そして、この取得したユーザ識別情報に対応付けて記憶されている当該ユーザの個人属性や履歴情報を参照して、ユーザ端末へ特定ユーザのための情報を配信するものとなっている(例えば、特許文献1を参照。)。
【0003】
また、ユーザの位置情報に止まらず、ユーザのバイタル情報や、コンテンツへのアクセス履歴情報等を取得し、これらの情報をユーザのライフログデータとして管理することにより、さらにきめ細やかなサービスを提供できるようにすることも提案されている。この種のシステムを利用すれば、例えばユーザが何らかの犯罪やトラブルに巻き込まれた場合に、ユーザの所在を証明したり容疑者を特定することが可能となり、犯罪やトラブルを解決する上で効果が期待できる。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2004−240708号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ところが、収集されたライフログデータはディジタルデータであるため容易に改ざんすることができ、立証能力が低いという欠点がある。例えば、ユーザが犯罪行為を行った後に自身のライフログデータを改ざんして自身の無実を偽証したり、他人のライフログデータを改ざんすることで犯人を偽証する可能性がある。また、ユーザ端末が例えばGPS(Global Positioning System)を利用した位置検出機能を内蔵している場合に、当該位置検出機能を改造することで位置検出情報の偽装が可能となる。
【0006】
この発明は上記事情に着目してなされたもので、その目的とするところは、少なくとも位置検出機能に対する偽装を確実に検証できるようにし、これによりライフログデータの信頼性を高めたライフログデータの管理システム、管理方法及びプログラムを提供することにある。
【課題を解決するための手段】
【0007】
上記目的を達成するためにこの発明の一観点は、各々が予め定められた地域に無線通信可能エリアを形成する複数の無線基地局と、これらの無線基地局が形成する無線通信可能エリア内で当該無線基地局との間で無線通信を行うことが可能な携帯端末と、上記各無線基地局を介して上記携帯端末との間で通信を行うことが可能な署名サーバとを具備するライフログデータ管理システムにあって、上記携帯端末、無線基地局及び署名サーバに以下のような機能を持たせるようにしたものである。
すなわち、先ず携帯端末が、自端末の位置情報を位置検出手段により検出して、この検出された自端末の位置情報を含むライフログデータを生成し、この生成されたライフログデータを当該ライフログデータの生成時刻を表す情報に対応付けて第1のデータ蓄積手段に記憶させると共に、上記ライフログデータのハッシュ値を生成して上記無線基地局へ送信する。次に上記各無線基地局が、上記携帯端末から送信されたハッシュ値を受信すると、この受信されたハッシュ値と上記記憶された自局の基地局識別情報とを合成して署名元データを生成し、この署名元データを上記署名サーバへ送信する。続いて上記署名サーバが、上記無線基地局から送信された署名元データを受信すると、この受信された署名元データに現在時刻情報を合成したデータに対し上記記憶された秘密鍵を用いて署名を行って署名データを生成し、この生成された署名データを上記署名元データの送信元となる無線基地局へ返送する。上記無線基地局は、上記署名サーバから返送された署名データを上記ハッシュ値の送信元となる携帯端末へ転送する。最後に携帯端末が、上記転送された署名データを受信して第2のデータ蓄積手段に記憶させ、上記第1のデータ蓄積手段に記憶されたライフログデータに含まれる自局の位置情報と、上記第2のデータ蓄積手段に記憶された署名データに含まれる基地局識別情報に対応する無線基地局の位置情報とを比較し、その比較結果に基づいて上記位置検出手段に対する偽装の有無を判定する。
【0008】
すなわち、携帯端末でライフログデータが生成されるごとに、このライフログデータのハッシュ値が無線基地局に送られてここで基地局識別情報が付与され、このハッシュ値と基地局識別情報が署名元データとして署名サーバに送られてここで秘密鍵を用いて署名が行われ、この署名後のデータが無線基地局で中継されて携帯端末に返送され蓄積される。そして、携帯端末に内蔵されている位置検出手段の偽装を検出する際には、蓄積された上記ライフログデータに含まれる自局の位置情報と、上記蓄積された署名データに含まれる基地局識別情報に対応する無線基地局の位置情報とが比較され、その比較結果に基づいて上記位置検出手段に対する偽装の有無が判定される。
【0009】
したがって、携帯端末に内蔵されている位置検出手段が、ライフログデータの生成前又は生成後に偽装されたとすると、当該ライフログデータに含まれる位置情報、つまり上記位置検出手段により検出された自端末の位置情報は、同時刻に生成された署名データに含まれる基地局識別情報に対応する基地局の位置情報とは異なるものとなり、これにより上記位置検出機能の偽装を検出することが可能となる。
【0010】
またこの発明の一観点は、次のような実施態様を備えることも特徴とする。
第1の実施態様は、位置検出手段の偽装を検出する際に、先ず偽装検出対象となる期間に生成された複数のライフログデータを上記第1のデータ蓄積手段から読み出すと共に、上記複数のライフログデータと時刻が対応する複数の署名データを上記第2のデータ蓄積手段から読み出す。次に、上記読み出された複数のライフログデータに含まれる自局の位置情報と、上記読み出された複数の署名データに含まれる基地局識別情報に対応する無線基地局の位置情報とを時刻が対応するもの同士で比較し、この比較の結果自局の位置情報と無線基地局の位置情報との距離差が当該無線基地局の無線通信可能エリアの大きさに応じて予め設定された許容範囲内となる回数を求める。そして、全比較回数に対する当該許容範囲内と判定された回数の割合を算出し、この算出された割合を予め設定されたしきい値と比較してその結果を位置検出手段に対する偽装の有無を表す情報として出力するようにしたものである。
したがって、位置検出手段により検出された位置情報に誤差が含まれ、この誤差が検出タイミングごとに変化するような場合でも、この誤差を考慮して位置検出手段の偽装の有無をより正確に判定することが可能となる。
【0011】
第2の実施態様は、携帯端末に改ざん検証機能をさらに備える。そして、この改ざん検出手段により、第1のデータ蓄積手段に記憶されたライフログデータに基づいて当該ライフログデータのハッシュ値を計算し直し、この計算し直されたハッシュ値を、第2のデータ蓄積手段から読み出された同一時刻の署名データに含まれるハッシュ値と比較し、この比較結果をデータログデータの改ざんの有無を表す情報として出力する。またそれと共に、上記第2のデータ蓄積手段から読み出した署名データの署名が正しいか否かを、署名時に使用した秘密鍵に対応する公開鍵を用いて検証し、その検証結果を出力するようにしたものである。
このようにすると、第1のデータ蓄積手段に蓄積されたライフログデータが改ざんされた場合には、ハッシュ値の不一致によりこの改ざんを検出することが可能となる。また、第2のデータ蓄積手段に記憶された署名データが改ざんされた場合にも、秘密鍵と公開鍵を用いた署名の検証により署名データの改ざんを検出することが可能となる。
【発明の効果】
【0012】
すなわちこの発明の一観点によれば、少なくとも位置検出機能に対する偽装を確実に検証することが可能となり、これによりライフログデータの信頼性を高めたライフログデータの管理システム、管理方法及びプログラムを提供することができる。
【図面の簡単な説明】
【0013】
【図1】この発明に係わるライフログデータ管理システムの一実施形態を示す概略構成図である。
【図2】図1に示したライフログデータ管理システムの具体例を示す図である。
【図3】図1に示したライフログデータ管理システムに用いられる携帯端末、基地局及び署名サーバの機能構成を示すブロック図である。
【図4】図3に示した携帯端末に設けられる改ざん検証部の機能構成を示すブロック図である。
【図5】図3に示した携帯端末に設けられる位置偽装検出部の機能構成を示すブロック図である。
【図6】図3に示した携帯端末によるライフログデータ管理に係わる制御手順と制御内容を示すフローチャートである。
【図7】図3に示した基地局によるライフログデータ管理に係わる制御手順と制御内容を示すフローチャートである。
【図8】図3に示した署名サーバによるライフログデータ管理に係わる制御手順と制御内容を示すフローチャートである。
【図9】図4に示した改ざん検証部によるライフログデータの検証処理手順と処理内容を示すフローチャートである。
【図10】図4に示した改ざん検証部による署名の検証処理手順と処理内容を示すフローチャートである。
【図11】図5に示した位置偽装検出部の処理手順と処理内容を示すフローチャートである。
【図12】図3に示したシステムで生成される署名データの一例を示す図である。
【発明を実施するための形態】
【0014】
以下、図面を参照してこの発明に係わる実施形態を説明する。
図1は、この発明に係わるライフログデータ管理システムの一実施形態を示す概略構成図である。このライフログデータ管理システムは、無線LAN(Local Area Network)を利用するもので、携帯端末MSをその存在位置に応じて上記無線LANを構成する複数の基地局BS1〜BS4のいずれかに無線チャネルを介して接続し、この基地局BS1〜BS4からさらに通信ネットワークNWを介して署名サーバSSVに接続可能としたものである。通信ネットワークNWは、インターネットに代表されるIP(Internet Protocol)網からなる。
【0015】
図2は、このライフログデータ管理システムの具体例を示すものである。同図において、携帯端末MSは携帯電話機又はPDA(Personal Digital Assistant)からなり、図示しない携帯電話網との間で通信を行うための主たる無線インタフェースに加え、無線LANとの間で通信を行うための第2の無線インタフェースを備えている。
【0016】
基地局BS1〜BS4は、アクセスポイントAPと、プロキシサーバPSVを備える。アクセスポイントAPはそれぞれ、図1に示すように無線通信エリアE1〜E4を形成し、この無線通信エリアE1〜E4内に位置する携帯端末MSとの間で無線チャネルRCHを介して無線通信を行う。
【0017】
プロキシサーバPSVは、ローカルエリアネットワーク用の第1のネットワークインタフェースIF1と、ワイドエリアネットワーク用の第2のネットワークインタフェースIF2を有する。第1のネットワークインタフェースIF1はアクセスポイントAPに接続され、第2のネットワークインタフェースIF2は通信ネットワークNWの通信チャネルLCHを介して署名サーバSSVに接続される。プロキシサーバPSVは、ハイパーテキスト転送プロトコル(Hyper Text Transport Protocol;HTTP)を使用して、アクセスポイントAPと署名サーバSSVとの間でデータ転送を行う。
【0018】
図3は、上記ライフログデータ管理システムに用いられる携帯端末MS、基地局BS1〜BS4及び署名サーバSSVの機能構成を示すブロック図である。なお、同図では簡単のため基地局BS1〜BS4のうち基地局BS2のみを図示している。
【0019】
(1)携帯端末MS
携帯端末MSは、ハードウエアとしては、中央処理ユニット(central Processing Unit;CPU)と、プログラムメモリと、データメモリと、入力操作部及び表示部を有する入出力インタフェースを備えている。そして、この発明を実施するために必要な機能として、位置情報検出部11と、ライフログ収集部12と、ライフログ一時蓄積部13と、ライフログ蓄積部14と、ハッシュ生成部15と、無線送信部16と、無線受信部17と、署名データ蓄積部18と、改ざん検証部19と、位置偽装検出部20を備えている。これらの機能はいずれもプログラムメモリに格納されたプログラムをCPUに実行させることにより実現される。
【0020】
位置情報検出部11はGPS受信機を有し、このGPS受信機により受信されたGPS信号をもとに緯度経度からなる自端末の位置情報を算出し、この算出された位置情報をライフログ収集部12へ出力する。
ライフログ収集部12は、上記位置情報検出部11から定期的に位置情報を取り込み、この取り込んだ位置情報に時刻情報を付加してこれをライフログデータとする。ライフログ一時蓄積部13はバッファメモリからなり、一定時間分のライフログデータが蓄積されると、この一定時間分のライフログデータをライフログデータブロックとしてライフログ蓄積部14へ出力する。ライフログ蓄積部14は記憶媒体としてハードディスクやフラッシュメモリ等の不揮発性メモリを使用したもので、上記ライフログ一時蓄積部13から読み出されたライフログデータブロックを1個のライフログファイルとして蓄積する。
【0021】
ハッシュ生成部15は、上記ライフロログ蓄積部14に1個のライフログデータブロックが蓄積されるごとに、このライフログデータブロックを上記ライフログ一時蓄積部13から取り込んでそのハッシュ値を生成する。
無線送信部16は、上記ハッシュ生成部15により生成されたハッシュ値をHTTPリクエストとして基地局BS2へ無線送信する。
無線受信部17は、基地局BS2から送信された署名データを受信し、この受信された署名データを署名データ蓄積部18に蓄積させる。
【0022】
改ざん検証部19は、例えば図4に示すように公開鍵記憶部191と、ハッシュ生成部192と、改ざん検出処理部193を備える。
公開鍵記憶部191は、後述する署名サーバSSVが使用する署名用秘密鍵と対をなす公開鍵を図示しない公開鍵サーバから取得して記憶する。ハッシュ生成部192は、上記ライフログ蓄積部14からライフログデータを読み出してそのハッシュ値を計算する。
改ざん検出処理部193は、ライフログ蓄積部14に蓄積されたライフログデータに対する改ざんを検証する機能と、署名データ蓄積部18に蓄積された署名データに対する改ざんを検証する機能とを有する。
ライフログデータの改ざん検証機能は、上記ハッシュ生成部192により計算されたライフログデータのハッシュ値と、署名データ蓄積部18から読み出される、上記ライフログデータと時刻が対応する署名データに含まれるハッシュ値とを比較し、両値が一致するか否かを判定する。そして、このハッシュ値の比較結果を上記ライフログデータの改ざん検証結果を表す情報として例えば表示部に表示させる。
【0023】
署名データの改ざん検証機能は、署名データ蓄積部18から読み出された署名データを、上記公開鍵記憶部192に記憶された公開鍵を用いて検証することにより、署名が一致するか否かを判定する。そして、その判定結果を上記署名データの改ざん検証結果を表す情報として表示部に表示させる。
【0024】
位置偽装検出部20は、例えば図5に示すように基地局位置取得部201と、内部位置取得部202と、位置比較部203を備えている。
内部位置取得部202は、偽装検出対象となる期間に生成された複数のライフログデータをライフログ蓄積部14から読み出し、この読み出された各ライフログデータから自端末の位置情報を抽出する。
基地局位置取得部201は、上記各ライフログデータと時刻が対応する複数の署名データを署名データ蓄積部18から読み出し、この読み出された各署名データに含まれる基地局IDをもとに当該基地局BS2の位置情報を取得する。
【0025】
位置比較部203は、先ず上記内部位置取得部202より抽出された自端末の位置情報、つまり携帯端末MSに内蔵された位置情報検出部11により検出された位置情報と、上記基地局位置取得部201により取得された基地局BS2の位置情報とを、時刻が対応するもの同士で比較する。そして、自端末MSの位置情報と基地局BS2の位置情報との距離差が、当該基地局BS2の無線通信可能エリアE2の大きさに応じて予め設定された許容範囲内であるか否かを判定する。続いて、上記判定の結果、距離差が許容範囲内と判定された位置情報の数を求め、比較を行ったすべての位置情報の数に対する上記許容範囲内と判定された位置情報の数の割合を算出する。そして、この算出された割合を予め設定されたしきい値と比較し、その比較結果を位置情報検出部11に対する偽装の有無を表す情報として表示部に表示させる。
【0026】
(2)基地局BS2
基地局BS2は、図2に示したようにアクセスポイントAPと、プロキシサーバPSVと、その通信インタフェースIF1,IF2とから構成されるが、ここではこれらの構成要素を分けずに1つの装置として説明する。
基地局BS2は、ハードウエアとして、CPUと、プログラムメモリと、データメモリを備えている。そして、この発明を実施するために必要な機能として、無線受信部21と、合成部22と、基地局ID記憶部23と、ネットワーク送信部24と、中継部25を有している。これらの機能はいずれもプログラムメモリに格納されたプログラムをCPUに実行させることにより実現される。
【0027】
無線受信部21は、上記携帯端末MSからHTTPリクエストとして送信されたハッシュ値を受信する。
合成部22は、上記受信されたハッシュ値と、上記基地局ID記憶部23に記憶された基地局IDとを合成して署名元データを生成する。基地局IDとしては、当該基地局の緯度経度で表される位置情報を用いる。
ネットワーク送信部24は、上記合成部22により生成された署名元データを通信ネットワークNWを介して署名サーバSSVへ送信する。
中継部25は、後述する署名サーバSSVからHTTPレスポンスとして返送された署名データを通信ネットワークNWを介して受信し、この受信した署名データを上記HTTPリクエストの送信元となる携帯端末MSへ送信する。
【0028】
(3)署名サーバSSV
署名サーバSSVも、ハードウエアとしては、CPUと、プログラムメモリと、データメモリと、入力操作部及び表示部を有する入出力インタフェースを備えている。そして、この発明を実施するために必要な機能として、ネットワーク受信部31と、署名処理部32と、秘密鍵記憶部33と、ネットワーク送信部34を備えている。これらの機能はいずれもプログラムメモリに格納されたプログラムをCPUに実行させることにより実現される。
【0029】
ネットワーク受信部31は、上記基地局BS2のネットワーク送信部24から送信された署名元データを通信ネットワークNWを介して受信する。
署名処理部32は、先ず上記ネットワーク受信部31により受信された署名元データに現在時刻情報を付加する。そして、この現在時刻情報が付加された署名元データに対し、秘密鍵記憶部33に記憶された署名用秘密鍵を用いて署名を行い、署名データを生成する。署名の方式としては、例えばRSA(Revest Shamir Adleman)等の公開鍵暗号アルゴリズムが使用される。
ネットワーク送信部34は、上記署名処理部32により生成された署名データを、HTTPレスポンスとして、上記署名元データの送信元となる基地局BS2へ送信する。
【0030】
次に、以上のように構成されたライフログデータ管理システムの動作を説明する。
図6は携帯端末MSの処理手順と処理内容を表すフローチャート、図7は基地局BS2の処理手順と処理内容を表すフローチャート、図8は署名サーバSSVの処理手順と処理内容を表すフローチャートである。
なお、ここでは図2に示したように携帯端末MSは基地局BS2の無線通信可能エリアE2内に位置しているものとして説明を行う。
【0031】
(1)ライフログデータの生成
携帯端末MSは、ステップS61において、ライフログ収集部12により位置情報検出部11から自端末の位置情報を定期的に取り込む。そして、この取り込んだ位置情報にこのときの時刻情報を付加してライフログデータを生成し、このライフログデータをステップS62によりライフログ一時蓄積部13に記憶させる。なお、ユーザに万歩計(登録商標)や心拍計等のバイタルセンサを装着させ、このバイタルセンサからバイタル情報を定期的に取り込んで、このバイタル情報を上記ライフログデータに含めるようにしてもよいし、コンテンツサーバへのアクセス履歴を表す情報を携帯端末MS内のデータメモリで管理している場合には、このデータメモリからアクセス履歴情報を定期的に読み出して上記ライフログデータに含めるようにしてもよい。
【0032】
上記ライフログデータの収集処理を行いながら携帯端末MSは、ステップS63により一定時間が経過したか否かを監視している。そして、一定時間、例えば10分が経過するごとに、ステップS64において上記ライフログ一時蓄積部13から一定時間分のライフログデータを読み出し、この読み出されたライフログデータのブロックをライフログ蓄積部14に記憶させる。このとき、ライフログデータのブロックには、その先頭のライフログデータの時刻情報を当該ライフログデータブロックのファイル名として付加する。
【0033】
(2)署名データの生成とその蓄積
携帯端末MSは、ライフログ蓄積部14にライフログデータブロックが1つ記憶されるごとに、ステップS65により当該ライフログデータブロックをライフログ一時蓄積部13から読み出してハッシュ生成部15に与える。そして、ハッシュ生成部15においてSHA−1(Secure Hash Algorithm-1)等のハッシュ生成アルゴリズムを使用して上記ライフログデータブロックのハッシュ値を計算する。この計算されたハッシュ値は、ステップS16により、HTTPプロトコルに従い無線送信部16からHTTPリクエストとして基地局BS2へ送信される。
【0034】
これに対し基地局BS2は、ステップS71において、上記携帯端末MSからHTTPリクエストとして送信されたハッシュ値を、HTTPプロトコルに従い無線受信部21により受信する。ハッシュ値を受信すると基地局BS2は、合成部22において先ず基地局ID記憶部23から自局の基地局IDを読み出す(ステップS72)。そしてステップS73により、上記受信されたハッシュ値と上記読み出された基地局IDとを合成して署名元データを生成する。例えば、上記受信されたハッシュ値の後ろに単純に基地局IDを追加したものを署名元データとする。基地局IDとしては、既に述べたように当該基地局の緯度経度で表される位置情報を用いる。次に基地局BS2は、ステップS74により、上記生成された署名元データをHTTPプロトコルに従いネットワーク送信部24からHTTPリクエストとして署名サーバSSVへ送信する。
【0035】
署名サーバSSVは、ステップS81において、上記基地局BS2からHTTPリクエストとして送信された署名元データを、HTTPプロトコルに従いネットワーク受信部31により受信する。署名元データを受信すると署名サーバSSVは、署名処理部32において先ずステップS82により図示しない内蔵時計から現在時刻情報を取得し、ステップS83によりこの現在時刻情報を上記署名元データに付加する。続いてステップS84により秘密鍵記憶部33から署名用秘密鍵を読み出し、ステップS85においてこの署名用秘密鍵を用いて上記現在時刻情報が付加された署名元データに対し署名を行う。かくして署名データが生成される。図12はこの署名データの構造を示す図である。そして署名サーバSSVは、ステップS86により、上記署名データをHTTPプロトコルに従いネットワーク送信部34からHTTPレスポンスとしてリクエスト元の基地局BS2へ返送する。
【0036】
基地局BS2は、上記署名サーバSSVから署名データが返送されると、この署名データを中継部25でHTTPプロトコルに従い受信したのちリクエスト元の携帯端末MSへ送信する(ステップS75)。すなわち、署名データを送信元の署名サーバSSVからリクエスト元の携帯端末MSへ中継転送する。
【0037】
携帯端末MSは、ステップS67において、上記基地局BS2からHTTPレスポンスとして返送された署名データを、HTTPプロトコルに従い無線受信部17で受信する。署名データを受信すると携帯端末MSは、ステップS68により上記署名データを署名データ蓄積部18に記憶させる。
【0038】
すなわち、携帯端末MSにおいてライフログデータブロックが生成されると、そのハッシュ値の生成からその送信、基地局BS2における署名元データの生成、当該署名元データに基づく署名サーバSSV2による署名データの生成とその返送、携帯端末MSにおける当該署名データの蓄積までの一連の処理が、HTTPプロトコルに従い自動的に行われる。
【0039】
(3)ライフログデータ及び署名データの検証
ライフログ蓄積部14に蓄積されたライフログデータブロック及び署名データ蓄積部18に蓄積された署名データの検証は以下のように行われる。図9は改ざん検証部19によるライフログデータブロックの検証処理手順とその処理内容を、また図10は改ざん検証部19による署名データの検証処理手順とその処理内容をそれぞれ示すフローチャートである。
【0040】
携帯端末MSにおいて、検証対象となるライフログデータブロックの開始時刻情報が図示しない入力部により指定入力されると、改ざん検証部19は先ずステップS91により上記指定された開始時刻情報をキーとしてライフログ蓄積部14から該当するライフログデータブロックを読み出す。そして、ステップS92において、上記読み出されたライフログデータブロックのハッシュ値を計算する。
【0041】
改ざん検証部19は次に、ステップS93により、上記指定されたライフログデータブロックと時刻が対応する署名データを署名データ蓄積部18から読み出す。そして、この読み出された署名データからハッシュ値を取り出し、この署名データから取り出したハッシュ値と、上記ライフログデータブロックから計算したハッシュ値とを比較する。そして、ステップS95により両ハッシュ値が一致するか否かを判定する。
【0042】
この判定の結果、両ハッシュ値が一致すれば、上記ライフログデータブロックは改変されていないと判断し、その旨のメッセージを生成して表示部に表示させる。これに対し、両ハッシュ値が一致しなければ、上記ライフログデータブロックは改変されたおそれがあると判断し、その旨のメッセージを生成して表示部に表示させる。
【0043】
以上のライフログデータブロックの検証処理により、ライフログデータブロックが改ざんされていないことが確認されれば、ライフログデータブロックに含まれる携帯端末MSの位置情報等は改ざんされていない信頼性の高いデータと見なすことができる。
【0044】
また、上記ライフログデータブロックの検証処理が終了すると改ざん検証部19は、続いて署名データの検証処理を以下のように実行する。すなわち、改ざん検証部19は図10に示すように、先ずステップS101により上記指定されたライフログデータブロックと時刻が対応する署名データを署名データ蓄積部18から読み出す。次に、ステップS102により、例えば公開鍵を管理するサーバから署名サーバSSVが使用した署名用秘密鍵とペアをなす公開鍵を取得し、この公開鍵を用いて上記読み出された署名データに含まれる署名を復号する。そして、この復号された署名が一致するか否かをステップS104で判定する。
【0045】
この判定の結果、署名が一致すれば上記署名データは改変されていないと判断し、その旨のメッセージを生成して表示部に表示させる。これに対し、署名が一致しなければ、上記署名データは改変されたおそれがあると判断し、その旨のメッセージを生成して表示部に表示させる。
【0046】
以上の署名データ検証処理により、署名データに改ざんがないことが確認されれば、署名データに含まれる基地局IDと時刻情報はともに改ざんされていない信頼性の高いデータと見なすことができる。
【0047】
(4)位置偽装の検出
上記ライフログデータブロックの検証処理によりライフログデータブロック自体に改ざんがないことが確認されても、位置情報検出部11が偽装されれば、上記ライフログデータブロックに含まれる位置情報は信頼のおけないものとなる。
そこで、この実施形態のシステムでは、携帯端末MSの位置偽装検出部20により以下のように位置情報検出部11の偽装を検出するようにしている。図11はその検出処理手順と処理内容を示すフローチャートである。
【0048】
すなわち、位置情報検出部11の偽装を確認するにあたっては、その開始時刻と終了時刻を入力部により指定入力する。例えば、偽装が疑われる日の0時から翌日の0時までの24時間を指定する。そうすると位置偽装検出部20は、先ずステップS111において、上記指定された時間帯に含まれる時刻情報が付与された署名データを署名データ蓄積部18から順に読み出し、この読み出された各署名データからそれぞれ基地局IDを取り出す(ステップS112)。なお、この署名データについては、事前に先に述べた改ざん検証処理により改ざんがないことを確認しておく。
【0049】
位置偽装検出部20は、続いてステップS113により、上記読み出された署名データと時刻が対応する各ライフログデータブロックをライフログ蓄積部14から順に読み出し、この読み出された各ライフログデータブロックの例えば最後の時刻のログデータからそれぞれ位置情報を取り出す(ステップS114)。なお、この位置情報を取り出すログデータは最後でなくてもよい。
【0050】
位置偽装検出部20は、次に上記ライフログデータから取り出した位置情報、つまり位置情報検出部11により実際に検出した自端末の位置情報と、対応する時刻に生成された署名データから取り出された基地局ID、つまり同じ時間帯に携帯端末MSが無線通信可能エリア内に存在した基地局BS2の位置情報とを、ステップS115により比較する。そして、ライフログデータから取り出した位置情報が、署名データから取り出された基地局IDの位置情報を中心とする無線通信可能エリア内に含まれているか否かを判定する。この判定は、例えばライフログデータから取り出した位置情報と、署名データから取り出された基地局IDの位置情報との距離差を算出し、この距離差が基地局BS2の無線通信可能エリアの半径に相当する距離(許容範囲)以内であるか否かを判定することによりなされる。
【0051】
位置偽装検出部20は、以上の判定処理を上記すべてのライフログデータブロックについて行い、ライフログデータから取り出した位置情報が許容範囲内にあると判定されたライフログデータブロックの数をカウントする。そして、上記偽装監視対象期間(24時間)に時刻情報が含まれるすべてのライフログデータブロックの数に対する、上記許容範囲内にあると判定されたライフログデータブロックの数の割合を計算し、この計算された割合が予め設定したしきい値以上であるか否かを判定する。この判定の結果、上記割合がしきい値以上であれば、位置情報検出部11は偽装されていないと判断し、その旨のメッセージを生成して表示部に表示させる。これに対し、上記割合がしきい値未満であれば、位置情報検出部11は偽装されているおそれがあると判断し、その旨のメッセージを生成して表示部に表示させる。
【0052】
以上詳述したようにこの実施形態では、携帯端末MSにおいてライフログデータブロックが生成されるごとに、このライフログデータブロックを蓄積すると共に、当該ライフログデータブロックのハッシュ値を計算してこのハッシュ値をHTTPプロトコルに従い基地局BS2に送信する。基地局BS2では、上記送られたハッシュ値に基地局IDを付与し、これを署名元データとして署名サーバSSVに送る。署名サーバSSVでは、上記送られた署名元データに現在時刻情報を付加したのち秘密鍵を用いて署名を行い、この署名が付与された署名データを基地局BS2を介して要求元の携帯端末MSへ返送し、携帯端末MSで蓄積するようにしている。
【0053】
また、携帯端末MSでは、上記蓄積されたライフログデータブロックに含まれる自局の位置情報と、当該ライフログデータブロックと時刻が対応する署名データから基地局IDとして取り出された位置情報とを比較し、その比較結果に基づいて上記位置情報検出部11の偽装の有無を判定するようにしている。
【0054】
したがって、携帯端末MSに内蔵されている位置情報検出部11が、ライフログデータブロックの生成前又は生成後に偽装されたとしても、当該ライフログデータブロックに含まれる位置情報と、同時刻に生成された署名データに基地局IDとして挿入された基地局の位置情報との相違により、上記位置情報検出部11の偽装を検出することが可能となる。
【0055】
しかも、位置情報検出部11の偽装の有無を判定する際に、ライフログデータから取り出した位置情報と、署名データから取り出された基地局IDの位置情報との距離差を算出し、この距離差が基地局BS2の無線通信可能エリアの半径に相当する距離(許容範囲)以内であるか否かを判定する。そして、偽装監視対象期間に時刻情報が含まれるすべてのライフログデータブロックの数に対する、上記許容範囲内にあると判定されたライフログデータブロックの数の割合を計算し、この計算された割合が予め設定したしきい値以上である場合に、位置情報検出部11は偽装されていないと判定するようにしている。
したがって、位置情報検出部11により検出された位置情報に誤差が含まれ、この誤差が検出時刻により変化するような場合でも、この誤差を吸収して位置情報検出部11の偽装の有無をより一層正確に判定することが可能となる。
【0056】
また、上記蓄積されたライフログデータブロックから計算されるハッシュ値と、上記蓄積された署名データに含まれるハッシュ値とを比較することによりライフログデータブロックの改善の有無を検証すると共に、上記蓄積された署名データに含まれる署名を公開鍵を用いて復号することで署名データの改ざんの有無を検証している。このため、ライフログデータの改ざん及び署名データの改ざんをそれぞれ確実に検証することができる。
【0057】
なお、この発明は上記実施形態に限定されるものではない。例えば、前記実施形態では改ざん検証部19及び位置偽装検出部20を携帯端末MSに設けたが、これらの改ざん検証部19及び位置偽装検出部20の機能を署名サーバSSVに設けるようにしてもよい。この場合、署名サーバSSVは改ざんの検証及び位置偽装の検証に際し、携帯端末MSからライフログ蓄積部14に蓄積されたライフログデータ及び署名データ蓄積部18に蓄積された署名データを基地局を介して取り込むことにより、実現できる。このようにすると、改ざん検証部19及び位置偽装検出部20自体が偽装される心配をなくすことができる。
【0058】
また、署名データを署名サーバSSV2蓄積し、ライフログデータブロックの改ざん検証及び位置偽装の検証を行う際に、署名サーバSSVがライフログデータブロックを携帯端末MSから取得し、この取得したライフログデータブロックと上記蓄積された署名データとをもとに検証処理を行うようにしてもよい。
【0059】
その他、携帯端末の種類とその構成、基地局の構成とその機能、署名サーバの構成とその機能、ライフログデータの収集処理手順とその内容、署名データの生成処理手順とその内容、改ざん検証処理手順とその内容、位置偽装検証手順とその内容等についても、この発明の要旨を逸脱しない範囲で種々変形して実施できる。
【0060】
要するにこの発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
【符号の説明】
【0061】
MS…携帯端末、BS1〜BS4…基地局、E1〜E4…無線通信エリア、SSV…署名サーバ、NW…通信ネットワーク、AP…アクセスポイント、PSV…プロキシサーバ、IF1,IF2…通信インタフェース、11…位置情報検出部、12…ライフログ収集部、13…ライフログ一時蓄積部、14…ライフログ蓄積部、15…ハッシュ生成部、16…無線送信部、17…無線受信部、18…署名データ蓄積部、19…改ざん検証部、20…位置偽装検出部、21…無線受信部、22…合成部、23…基地局ID記憶部、24…ネットワーク送信部、31…ネットワーク受信部、32…署名処理部、33…秘密鍵記憶部、34…ネットワーク送信部、191…公開鍵記憶部、192…ハッシュ生成部、193…改ざん検出処理部、201…基地局位置取得部、202…内部位置取得部、203…位置比較部。
【技術分野】
【0001】
この発明は、ユーザが所持する携帯端末から、ユーザの位置情報やバイタル情報、コンテンツへのアクセス履歴情報等のライフログデータを収集し管理するライフログデータの管理システム、管理方法及びプログラムに関する。
【背景技術】
【0002】
従来、ユーザの位置情報に基づいて、当該ユーザ向けにサービス情報を配信するシステムが提案されている。この種のシステムは、例えば無線LAN基地局をユーザ位置検出装置として利用して基地局設置スポット近傍での位置検出を行い、無線LANシステムの認証情報からユーザ識別情報を取得する。そして、この取得したユーザ識別情報に対応付けて記憶されている当該ユーザの個人属性や履歴情報を参照して、ユーザ端末へ特定ユーザのための情報を配信するものとなっている(例えば、特許文献1を参照。)。
【0003】
また、ユーザの位置情報に止まらず、ユーザのバイタル情報や、コンテンツへのアクセス履歴情報等を取得し、これらの情報をユーザのライフログデータとして管理することにより、さらにきめ細やかなサービスを提供できるようにすることも提案されている。この種のシステムを利用すれば、例えばユーザが何らかの犯罪やトラブルに巻き込まれた場合に、ユーザの所在を証明したり容疑者を特定することが可能となり、犯罪やトラブルを解決する上で効果が期待できる。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2004−240708号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ところが、収集されたライフログデータはディジタルデータであるため容易に改ざんすることができ、立証能力が低いという欠点がある。例えば、ユーザが犯罪行為を行った後に自身のライフログデータを改ざんして自身の無実を偽証したり、他人のライフログデータを改ざんすることで犯人を偽証する可能性がある。また、ユーザ端末が例えばGPS(Global Positioning System)を利用した位置検出機能を内蔵している場合に、当該位置検出機能を改造することで位置検出情報の偽装が可能となる。
【0006】
この発明は上記事情に着目してなされたもので、その目的とするところは、少なくとも位置検出機能に対する偽装を確実に検証できるようにし、これによりライフログデータの信頼性を高めたライフログデータの管理システム、管理方法及びプログラムを提供することにある。
【課題を解決するための手段】
【0007】
上記目的を達成するためにこの発明の一観点は、各々が予め定められた地域に無線通信可能エリアを形成する複数の無線基地局と、これらの無線基地局が形成する無線通信可能エリア内で当該無線基地局との間で無線通信を行うことが可能な携帯端末と、上記各無線基地局を介して上記携帯端末との間で通信を行うことが可能な署名サーバとを具備するライフログデータ管理システムにあって、上記携帯端末、無線基地局及び署名サーバに以下のような機能を持たせるようにしたものである。
すなわち、先ず携帯端末が、自端末の位置情報を位置検出手段により検出して、この検出された自端末の位置情報を含むライフログデータを生成し、この生成されたライフログデータを当該ライフログデータの生成時刻を表す情報に対応付けて第1のデータ蓄積手段に記憶させると共に、上記ライフログデータのハッシュ値を生成して上記無線基地局へ送信する。次に上記各無線基地局が、上記携帯端末から送信されたハッシュ値を受信すると、この受信されたハッシュ値と上記記憶された自局の基地局識別情報とを合成して署名元データを生成し、この署名元データを上記署名サーバへ送信する。続いて上記署名サーバが、上記無線基地局から送信された署名元データを受信すると、この受信された署名元データに現在時刻情報を合成したデータに対し上記記憶された秘密鍵を用いて署名を行って署名データを生成し、この生成された署名データを上記署名元データの送信元となる無線基地局へ返送する。上記無線基地局は、上記署名サーバから返送された署名データを上記ハッシュ値の送信元となる携帯端末へ転送する。最後に携帯端末が、上記転送された署名データを受信して第2のデータ蓄積手段に記憶させ、上記第1のデータ蓄積手段に記憶されたライフログデータに含まれる自局の位置情報と、上記第2のデータ蓄積手段に記憶された署名データに含まれる基地局識別情報に対応する無線基地局の位置情報とを比較し、その比較結果に基づいて上記位置検出手段に対する偽装の有無を判定する。
【0008】
すなわち、携帯端末でライフログデータが生成されるごとに、このライフログデータのハッシュ値が無線基地局に送られてここで基地局識別情報が付与され、このハッシュ値と基地局識別情報が署名元データとして署名サーバに送られてここで秘密鍵を用いて署名が行われ、この署名後のデータが無線基地局で中継されて携帯端末に返送され蓄積される。そして、携帯端末に内蔵されている位置検出手段の偽装を検出する際には、蓄積された上記ライフログデータに含まれる自局の位置情報と、上記蓄積された署名データに含まれる基地局識別情報に対応する無線基地局の位置情報とが比較され、その比較結果に基づいて上記位置検出手段に対する偽装の有無が判定される。
【0009】
したがって、携帯端末に内蔵されている位置検出手段が、ライフログデータの生成前又は生成後に偽装されたとすると、当該ライフログデータに含まれる位置情報、つまり上記位置検出手段により検出された自端末の位置情報は、同時刻に生成された署名データに含まれる基地局識別情報に対応する基地局の位置情報とは異なるものとなり、これにより上記位置検出機能の偽装を検出することが可能となる。
【0010】
またこの発明の一観点は、次のような実施態様を備えることも特徴とする。
第1の実施態様は、位置検出手段の偽装を検出する際に、先ず偽装検出対象となる期間に生成された複数のライフログデータを上記第1のデータ蓄積手段から読み出すと共に、上記複数のライフログデータと時刻が対応する複数の署名データを上記第2のデータ蓄積手段から読み出す。次に、上記読み出された複数のライフログデータに含まれる自局の位置情報と、上記読み出された複数の署名データに含まれる基地局識別情報に対応する無線基地局の位置情報とを時刻が対応するもの同士で比較し、この比較の結果自局の位置情報と無線基地局の位置情報との距離差が当該無線基地局の無線通信可能エリアの大きさに応じて予め設定された許容範囲内となる回数を求める。そして、全比較回数に対する当該許容範囲内と判定された回数の割合を算出し、この算出された割合を予め設定されたしきい値と比較してその結果を位置検出手段に対する偽装の有無を表す情報として出力するようにしたものである。
したがって、位置検出手段により検出された位置情報に誤差が含まれ、この誤差が検出タイミングごとに変化するような場合でも、この誤差を考慮して位置検出手段の偽装の有無をより正確に判定することが可能となる。
【0011】
第2の実施態様は、携帯端末に改ざん検証機能をさらに備える。そして、この改ざん検出手段により、第1のデータ蓄積手段に記憶されたライフログデータに基づいて当該ライフログデータのハッシュ値を計算し直し、この計算し直されたハッシュ値を、第2のデータ蓄積手段から読み出された同一時刻の署名データに含まれるハッシュ値と比較し、この比較結果をデータログデータの改ざんの有無を表す情報として出力する。またそれと共に、上記第2のデータ蓄積手段から読み出した署名データの署名が正しいか否かを、署名時に使用した秘密鍵に対応する公開鍵を用いて検証し、その検証結果を出力するようにしたものである。
このようにすると、第1のデータ蓄積手段に蓄積されたライフログデータが改ざんされた場合には、ハッシュ値の不一致によりこの改ざんを検出することが可能となる。また、第2のデータ蓄積手段に記憶された署名データが改ざんされた場合にも、秘密鍵と公開鍵を用いた署名の検証により署名データの改ざんを検出することが可能となる。
【発明の効果】
【0012】
すなわちこの発明の一観点によれば、少なくとも位置検出機能に対する偽装を確実に検証することが可能となり、これによりライフログデータの信頼性を高めたライフログデータの管理システム、管理方法及びプログラムを提供することができる。
【図面の簡単な説明】
【0013】
【図1】この発明に係わるライフログデータ管理システムの一実施形態を示す概略構成図である。
【図2】図1に示したライフログデータ管理システムの具体例を示す図である。
【図3】図1に示したライフログデータ管理システムに用いられる携帯端末、基地局及び署名サーバの機能構成を示すブロック図である。
【図4】図3に示した携帯端末に設けられる改ざん検証部の機能構成を示すブロック図である。
【図5】図3に示した携帯端末に設けられる位置偽装検出部の機能構成を示すブロック図である。
【図6】図3に示した携帯端末によるライフログデータ管理に係わる制御手順と制御内容を示すフローチャートである。
【図7】図3に示した基地局によるライフログデータ管理に係わる制御手順と制御内容を示すフローチャートである。
【図8】図3に示した署名サーバによるライフログデータ管理に係わる制御手順と制御内容を示すフローチャートである。
【図9】図4に示した改ざん検証部によるライフログデータの検証処理手順と処理内容を示すフローチャートである。
【図10】図4に示した改ざん検証部による署名の検証処理手順と処理内容を示すフローチャートである。
【図11】図5に示した位置偽装検出部の処理手順と処理内容を示すフローチャートである。
【図12】図3に示したシステムで生成される署名データの一例を示す図である。
【発明を実施するための形態】
【0014】
以下、図面を参照してこの発明に係わる実施形態を説明する。
図1は、この発明に係わるライフログデータ管理システムの一実施形態を示す概略構成図である。このライフログデータ管理システムは、無線LAN(Local Area Network)を利用するもので、携帯端末MSをその存在位置に応じて上記無線LANを構成する複数の基地局BS1〜BS4のいずれかに無線チャネルを介して接続し、この基地局BS1〜BS4からさらに通信ネットワークNWを介して署名サーバSSVに接続可能としたものである。通信ネットワークNWは、インターネットに代表されるIP(Internet Protocol)網からなる。
【0015】
図2は、このライフログデータ管理システムの具体例を示すものである。同図において、携帯端末MSは携帯電話機又はPDA(Personal Digital Assistant)からなり、図示しない携帯電話網との間で通信を行うための主たる無線インタフェースに加え、無線LANとの間で通信を行うための第2の無線インタフェースを備えている。
【0016】
基地局BS1〜BS4は、アクセスポイントAPと、プロキシサーバPSVを備える。アクセスポイントAPはそれぞれ、図1に示すように無線通信エリアE1〜E4を形成し、この無線通信エリアE1〜E4内に位置する携帯端末MSとの間で無線チャネルRCHを介して無線通信を行う。
【0017】
プロキシサーバPSVは、ローカルエリアネットワーク用の第1のネットワークインタフェースIF1と、ワイドエリアネットワーク用の第2のネットワークインタフェースIF2を有する。第1のネットワークインタフェースIF1はアクセスポイントAPに接続され、第2のネットワークインタフェースIF2は通信ネットワークNWの通信チャネルLCHを介して署名サーバSSVに接続される。プロキシサーバPSVは、ハイパーテキスト転送プロトコル(Hyper Text Transport Protocol;HTTP)を使用して、アクセスポイントAPと署名サーバSSVとの間でデータ転送を行う。
【0018】
図3は、上記ライフログデータ管理システムに用いられる携帯端末MS、基地局BS1〜BS4及び署名サーバSSVの機能構成を示すブロック図である。なお、同図では簡単のため基地局BS1〜BS4のうち基地局BS2のみを図示している。
【0019】
(1)携帯端末MS
携帯端末MSは、ハードウエアとしては、中央処理ユニット(central Processing Unit;CPU)と、プログラムメモリと、データメモリと、入力操作部及び表示部を有する入出力インタフェースを備えている。そして、この発明を実施するために必要な機能として、位置情報検出部11と、ライフログ収集部12と、ライフログ一時蓄積部13と、ライフログ蓄積部14と、ハッシュ生成部15と、無線送信部16と、無線受信部17と、署名データ蓄積部18と、改ざん検証部19と、位置偽装検出部20を備えている。これらの機能はいずれもプログラムメモリに格納されたプログラムをCPUに実行させることにより実現される。
【0020】
位置情報検出部11はGPS受信機を有し、このGPS受信機により受信されたGPS信号をもとに緯度経度からなる自端末の位置情報を算出し、この算出された位置情報をライフログ収集部12へ出力する。
ライフログ収集部12は、上記位置情報検出部11から定期的に位置情報を取り込み、この取り込んだ位置情報に時刻情報を付加してこれをライフログデータとする。ライフログ一時蓄積部13はバッファメモリからなり、一定時間分のライフログデータが蓄積されると、この一定時間分のライフログデータをライフログデータブロックとしてライフログ蓄積部14へ出力する。ライフログ蓄積部14は記憶媒体としてハードディスクやフラッシュメモリ等の不揮発性メモリを使用したもので、上記ライフログ一時蓄積部13から読み出されたライフログデータブロックを1個のライフログファイルとして蓄積する。
【0021】
ハッシュ生成部15は、上記ライフロログ蓄積部14に1個のライフログデータブロックが蓄積されるごとに、このライフログデータブロックを上記ライフログ一時蓄積部13から取り込んでそのハッシュ値を生成する。
無線送信部16は、上記ハッシュ生成部15により生成されたハッシュ値をHTTPリクエストとして基地局BS2へ無線送信する。
無線受信部17は、基地局BS2から送信された署名データを受信し、この受信された署名データを署名データ蓄積部18に蓄積させる。
【0022】
改ざん検証部19は、例えば図4に示すように公開鍵記憶部191と、ハッシュ生成部192と、改ざん検出処理部193を備える。
公開鍵記憶部191は、後述する署名サーバSSVが使用する署名用秘密鍵と対をなす公開鍵を図示しない公開鍵サーバから取得して記憶する。ハッシュ生成部192は、上記ライフログ蓄積部14からライフログデータを読み出してそのハッシュ値を計算する。
改ざん検出処理部193は、ライフログ蓄積部14に蓄積されたライフログデータに対する改ざんを検証する機能と、署名データ蓄積部18に蓄積された署名データに対する改ざんを検証する機能とを有する。
ライフログデータの改ざん検証機能は、上記ハッシュ生成部192により計算されたライフログデータのハッシュ値と、署名データ蓄積部18から読み出される、上記ライフログデータと時刻が対応する署名データに含まれるハッシュ値とを比較し、両値が一致するか否かを判定する。そして、このハッシュ値の比較結果を上記ライフログデータの改ざん検証結果を表す情報として例えば表示部に表示させる。
【0023】
署名データの改ざん検証機能は、署名データ蓄積部18から読み出された署名データを、上記公開鍵記憶部192に記憶された公開鍵を用いて検証することにより、署名が一致するか否かを判定する。そして、その判定結果を上記署名データの改ざん検証結果を表す情報として表示部に表示させる。
【0024】
位置偽装検出部20は、例えば図5に示すように基地局位置取得部201と、内部位置取得部202と、位置比較部203を備えている。
内部位置取得部202は、偽装検出対象となる期間に生成された複数のライフログデータをライフログ蓄積部14から読み出し、この読み出された各ライフログデータから自端末の位置情報を抽出する。
基地局位置取得部201は、上記各ライフログデータと時刻が対応する複数の署名データを署名データ蓄積部18から読み出し、この読み出された各署名データに含まれる基地局IDをもとに当該基地局BS2の位置情報を取得する。
【0025】
位置比較部203は、先ず上記内部位置取得部202より抽出された自端末の位置情報、つまり携帯端末MSに内蔵された位置情報検出部11により検出された位置情報と、上記基地局位置取得部201により取得された基地局BS2の位置情報とを、時刻が対応するもの同士で比較する。そして、自端末MSの位置情報と基地局BS2の位置情報との距離差が、当該基地局BS2の無線通信可能エリアE2の大きさに応じて予め設定された許容範囲内であるか否かを判定する。続いて、上記判定の結果、距離差が許容範囲内と判定された位置情報の数を求め、比較を行ったすべての位置情報の数に対する上記許容範囲内と判定された位置情報の数の割合を算出する。そして、この算出された割合を予め設定されたしきい値と比較し、その比較結果を位置情報検出部11に対する偽装の有無を表す情報として表示部に表示させる。
【0026】
(2)基地局BS2
基地局BS2は、図2に示したようにアクセスポイントAPと、プロキシサーバPSVと、その通信インタフェースIF1,IF2とから構成されるが、ここではこれらの構成要素を分けずに1つの装置として説明する。
基地局BS2は、ハードウエアとして、CPUと、プログラムメモリと、データメモリを備えている。そして、この発明を実施するために必要な機能として、無線受信部21と、合成部22と、基地局ID記憶部23と、ネットワーク送信部24と、中継部25を有している。これらの機能はいずれもプログラムメモリに格納されたプログラムをCPUに実行させることにより実現される。
【0027】
無線受信部21は、上記携帯端末MSからHTTPリクエストとして送信されたハッシュ値を受信する。
合成部22は、上記受信されたハッシュ値と、上記基地局ID記憶部23に記憶された基地局IDとを合成して署名元データを生成する。基地局IDとしては、当該基地局の緯度経度で表される位置情報を用いる。
ネットワーク送信部24は、上記合成部22により生成された署名元データを通信ネットワークNWを介して署名サーバSSVへ送信する。
中継部25は、後述する署名サーバSSVからHTTPレスポンスとして返送された署名データを通信ネットワークNWを介して受信し、この受信した署名データを上記HTTPリクエストの送信元となる携帯端末MSへ送信する。
【0028】
(3)署名サーバSSV
署名サーバSSVも、ハードウエアとしては、CPUと、プログラムメモリと、データメモリと、入力操作部及び表示部を有する入出力インタフェースを備えている。そして、この発明を実施するために必要な機能として、ネットワーク受信部31と、署名処理部32と、秘密鍵記憶部33と、ネットワーク送信部34を備えている。これらの機能はいずれもプログラムメモリに格納されたプログラムをCPUに実行させることにより実現される。
【0029】
ネットワーク受信部31は、上記基地局BS2のネットワーク送信部24から送信された署名元データを通信ネットワークNWを介して受信する。
署名処理部32は、先ず上記ネットワーク受信部31により受信された署名元データに現在時刻情報を付加する。そして、この現在時刻情報が付加された署名元データに対し、秘密鍵記憶部33に記憶された署名用秘密鍵を用いて署名を行い、署名データを生成する。署名の方式としては、例えばRSA(Revest Shamir Adleman)等の公開鍵暗号アルゴリズムが使用される。
ネットワーク送信部34は、上記署名処理部32により生成された署名データを、HTTPレスポンスとして、上記署名元データの送信元となる基地局BS2へ送信する。
【0030】
次に、以上のように構成されたライフログデータ管理システムの動作を説明する。
図6は携帯端末MSの処理手順と処理内容を表すフローチャート、図7は基地局BS2の処理手順と処理内容を表すフローチャート、図8は署名サーバSSVの処理手順と処理内容を表すフローチャートである。
なお、ここでは図2に示したように携帯端末MSは基地局BS2の無線通信可能エリアE2内に位置しているものとして説明を行う。
【0031】
(1)ライフログデータの生成
携帯端末MSは、ステップS61において、ライフログ収集部12により位置情報検出部11から自端末の位置情報を定期的に取り込む。そして、この取り込んだ位置情報にこのときの時刻情報を付加してライフログデータを生成し、このライフログデータをステップS62によりライフログ一時蓄積部13に記憶させる。なお、ユーザに万歩計(登録商標)や心拍計等のバイタルセンサを装着させ、このバイタルセンサからバイタル情報を定期的に取り込んで、このバイタル情報を上記ライフログデータに含めるようにしてもよいし、コンテンツサーバへのアクセス履歴を表す情報を携帯端末MS内のデータメモリで管理している場合には、このデータメモリからアクセス履歴情報を定期的に読み出して上記ライフログデータに含めるようにしてもよい。
【0032】
上記ライフログデータの収集処理を行いながら携帯端末MSは、ステップS63により一定時間が経過したか否かを監視している。そして、一定時間、例えば10分が経過するごとに、ステップS64において上記ライフログ一時蓄積部13から一定時間分のライフログデータを読み出し、この読み出されたライフログデータのブロックをライフログ蓄積部14に記憶させる。このとき、ライフログデータのブロックには、その先頭のライフログデータの時刻情報を当該ライフログデータブロックのファイル名として付加する。
【0033】
(2)署名データの生成とその蓄積
携帯端末MSは、ライフログ蓄積部14にライフログデータブロックが1つ記憶されるごとに、ステップS65により当該ライフログデータブロックをライフログ一時蓄積部13から読み出してハッシュ生成部15に与える。そして、ハッシュ生成部15においてSHA−1(Secure Hash Algorithm-1)等のハッシュ生成アルゴリズムを使用して上記ライフログデータブロックのハッシュ値を計算する。この計算されたハッシュ値は、ステップS16により、HTTPプロトコルに従い無線送信部16からHTTPリクエストとして基地局BS2へ送信される。
【0034】
これに対し基地局BS2は、ステップS71において、上記携帯端末MSからHTTPリクエストとして送信されたハッシュ値を、HTTPプロトコルに従い無線受信部21により受信する。ハッシュ値を受信すると基地局BS2は、合成部22において先ず基地局ID記憶部23から自局の基地局IDを読み出す(ステップS72)。そしてステップS73により、上記受信されたハッシュ値と上記読み出された基地局IDとを合成して署名元データを生成する。例えば、上記受信されたハッシュ値の後ろに単純に基地局IDを追加したものを署名元データとする。基地局IDとしては、既に述べたように当該基地局の緯度経度で表される位置情報を用いる。次に基地局BS2は、ステップS74により、上記生成された署名元データをHTTPプロトコルに従いネットワーク送信部24からHTTPリクエストとして署名サーバSSVへ送信する。
【0035】
署名サーバSSVは、ステップS81において、上記基地局BS2からHTTPリクエストとして送信された署名元データを、HTTPプロトコルに従いネットワーク受信部31により受信する。署名元データを受信すると署名サーバSSVは、署名処理部32において先ずステップS82により図示しない内蔵時計から現在時刻情報を取得し、ステップS83によりこの現在時刻情報を上記署名元データに付加する。続いてステップS84により秘密鍵記憶部33から署名用秘密鍵を読み出し、ステップS85においてこの署名用秘密鍵を用いて上記現在時刻情報が付加された署名元データに対し署名を行う。かくして署名データが生成される。図12はこの署名データの構造を示す図である。そして署名サーバSSVは、ステップS86により、上記署名データをHTTPプロトコルに従いネットワーク送信部34からHTTPレスポンスとしてリクエスト元の基地局BS2へ返送する。
【0036】
基地局BS2は、上記署名サーバSSVから署名データが返送されると、この署名データを中継部25でHTTPプロトコルに従い受信したのちリクエスト元の携帯端末MSへ送信する(ステップS75)。すなわち、署名データを送信元の署名サーバSSVからリクエスト元の携帯端末MSへ中継転送する。
【0037】
携帯端末MSは、ステップS67において、上記基地局BS2からHTTPレスポンスとして返送された署名データを、HTTPプロトコルに従い無線受信部17で受信する。署名データを受信すると携帯端末MSは、ステップS68により上記署名データを署名データ蓄積部18に記憶させる。
【0038】
すなわち、携帯端末MSにおいてライフログデータブロックが生成されると、そのハッシュ値の生成からその送信、基地局BS2における署名元データの生成、当該署名元データに基づく署名サーバSSV2による署名データの生成とその返送、携帯端末MSにおける当該署名データの蓄積までの一連の処理が、HTTPプロトコルに従い自動的に行われる。
【0039】
(3)ライフログデータ及び署名データの検証
ライフログ蓄積部14に蓄積されたライフログデータブロック及び署名データ蓄積部18に蓄積された署名データの検証は以下のように行われる。図9は改ざん検証部19によるライフログデータブロックの検証処理手順とその処理内容を、また図10は改ざん検証部19による署名データの検証処理手順とその処理内容をそれぞれ示すフローチャートである。
【0040】
携帯端末MSにおいて、検証対象となるライフログデータブロックの開始時刻情報が図示しない入力部により指定入力されると、改ざん検証部19は先ずステップS91により上記指定された開始時刻情報をキーとしてライフログ蓄積部14から該当するライフログデータブロックを読み出す。そして、ステップS92において、上記読み出されたライフログデータブロックのハッシュ値を計算する。
【0041】
改ざん検証部19は次に、ステップS93により、上記指定されたライフログデータブロックと時刻が対応する署名データを署名データ蓄積部18から読み出す。そして、この読み出された署名データからハッシュ値を取り出し、この署名データから取り出したハッシュ値と、上記ライフログデータブロックから計算したハッシュ値とを比較する。そして、ステップS95により両ハッシュ値が一致するか否かを判定する。
【0042】
この判定の結果、両ハッシュ値が一致すれば、上記ライフログデータブロックは改変されていないと判断し、その旨のメッセージを生成して表示部に表示させる。これに対し、両ハッシュ値が一致しなければ、上記ライフログデータブロックは改変されたおそれがあると判断し、その旨のメッセージを生成して表示部に表示させる。
【0043】
以上のライフログデータブロックの検証処理により、ライフログデータブロックが改ざんされていないことが確認されれば、ライフログデータブロックに含まれる携帯端末MSの位置情報等は改ざんされていない信頼性の高いデータと見なすことができる。
【0044】
また、上記ライフログデータブロックの検証処理が終了すると改ざん検証部19は、続いて署名データの検証処理を以下のように実行する。すなわち、改ざん検証部19は図10に示すように、先ずステップS101により上記指定されたライフログデータブロックと時刻が対応する署名データを署名データ蓄積部18から読み出す。次に、ステップS102により、例えば公開鍵を管理するサーバから署名サーバSSVが使用した署名用秘密鍵とペアをなす公開鍵を取得し、この公開鍵を用いて上記読み出された署名データに含まれる署名を復号する。そして、この復号された署名が一致するか否かをステップS104で判定する。
【0045】
この判定の結果、署名が一致すれば上記署名データは改変されていないと判断し、その旨のメッセージを生成して表示部に表示させる。これに対し、署名が一致しなければ、上記署名データは改変されたおそれがあると判断し、その旨のメッセージを生成して表示部に表示させる。
【0046】
以上の署名データ検証処理により、署名データに改ざんがないことが確認されれば、署名データに含まれる基地局IDと時刻情報はともに改ざんされていない信頼性の高いデータと見なすことができる。
【0047】
(4)位置偽装の検出
上記ライフログデータブロックの検証処理によりライフログデータブロック自体に改ざんがないことが確認されても、位置情報検出部11が偽装されれば、上記ライフログデータブロックに含まれる位置情報は信頼のおけないものとなる。
そこで、この実施形態のシステムでは、携帯端末MSの位置偽装検出部20により以下のように位置情報検出部11の偽装を検出するようにしている。図11はその検出処理手順と処理内容を示すフローチャートである。
【0048】
すなわち、位置情報検出部11の偽装を確認するにあたっては、その開始時刻と終了時刻を入力部により指定入力する。例えば、偽装が疑われる日の0時から翌日の0時までの24時間を指定する。そうすると位置偽装検出部20は、先ずステップS111において、上記指定された時間帯に含まれる時刻情報が付与された署名データを署名データ蓄積部18から順に読み出し、この読み出された各署名データからそれぞれ基地局IDを取り出す(ステップS112)。なお、この署名データについては、事前に先に述べた改ざん検証処理により改ざんがないことを確認しておく。
【0049】
位置偽装検出部20は、続いてステップS113により、上記読み出された署名データと時刻が対応する各ライフログデータブロックをライフログ蓄積部14から順に読み出し、この読み出された各ライフログデータブロックの例えば最後の時刻のログデータからそれぞれ位置情報を取り出す(ステップS114)。なお、この位置情報を取り出すログデータは最後でなくてもよい。
【0050】
位置偽装検出部20は、次に上記ライフログデータから取り出した位置情報、つまり位置情報検出部11により実際に検出した自端末の位置情報と、対応する時刻に生成された署名データから取り出された基地局ID、つまり同じ時間帯に携帯端末MSが無線通信可能エリア内に存在した基地局BS2の位置情報とを、ステップS115により比較する。そして、ライフログデータから取り出した位置情報が、署名データから取り出された基地局IDの位置情報を中心とする無線通信可能エリア内に含まれているか否かを判定する。この判定は、例えばライフログデータから取り出した位置情報と、署名データから取り出された基地局IDの位置情報との距離差を算出し、この距離差が基地局BS2の無線通信可能エリアの半径に相当する距離(許容範囲)以内であるか否かを判定することによりなされる。
【0051】
位置偽装検出部20は、以上の判定処理を上記すべてのライフログデータブロックについて行い、ライフログデータから取り出した位置情報が許容範囲内にあると判定されたライフログデータブロックの数をカウントする。そして、上記偽装監視対象期間(24時間)に時刻情報が含まれるすべてのライフログデータブロックの数に対する、上記許容範囲内にあると判定されたライフログデータブロックの数の割合を計算し、この計算された割合が予め設定したしきい値以上であるか否かを判定する。この判定の結果、上記割合がしきい値以上であれば、位置情報検出部11は偽装されていないと判断し、その旨のメッセージを生成して表示部に表示させる。これに対し、上記割合がしきい値未満であれば、位置情報検出部11は偽装されているおそれがあると判断し、その旨のメッセージを生成して表示部に表示させる。
【0052】
以上詳述したようにこの実施形態では、携帯端末MSにおいてライフログデータブロックが生成されるごとに、このライフログデータブロックを蓄積すると共に、当該ライフログデータブロックのハッシュ値を計算してこのハッシュ値をHTTPプロトコルに従い基地局BS2に送信する。基地局BS2では、上記送られたハッシュ値に基地局IDを付与し、これを署名元データとして署名サーバSSVに送る。署名サーバSSVでは、上記送られた署名元データに現在時刻情報を付加したのち秘密鍵を用いて署名を行い、この署名が付与された署名データを基地局BS2を介して要求元の携帯端末MSへ返送し、携帯端末MSで蓄積するようにしている。
【0053】
また、携帯端末MSでは、上記蓄積されたライフログデータブロックに含まれる自局の位置情報と、当該ライフログデータブロックと時刻が対応する署名データから基地局IDとして取り出された位置情報とを比較し、その比較結果に基づいて上記位置情報検出部11の偽装の有無を判定するようにしている。
【0054】
したがって、携帯端末MSに内蔵されている位置情報検出部11が、ライフログデータブロックの生成前又は生成後に偽装されたとしても、当該ライフログデータブロックに含まれる位置情報と、同時刻に生成された署名データに基地局IDとして挿入された基地局の位置情報との相違により、上記位置情報検出部11の偽装を検出することが可能となる。
【0055】
しかも、位置情報検出部11の偽装の有無を判定する際に、ライフログデータから取り出した位置情報と、署名データから取り出された基地局IDの位置情報との距離差を算出し、この距離差が基地局BS2の無線通信可能エリアの半径に相当する距離(許容範囲)以内であるか否かを判定する。そして、偽装監視対象期間に時刻情報が含まれるすべてのライフログデータブロックの数に対する、上記許容範囲内にあると判定されたライフログデータブロックの数の割合を計算し、この計算された割合が予め設定したしきい値以上である場合に、位置情報検出部11は偽装されていないと判定するようにしている。
したがって、位置情報検出部11により検出された位置情報に誤差が含まれ、この誤差が検出時刻により変化するような場合でも、この誤差を吸収して位置情報検出部11の偽装の有無をより一層正確に判定することが可能となる。
【0056】
また、上記蓄積されたライフログデータブロックから計算されるハッシュ値と、上記蓄積された署名データに含まれるハッシュ値とを比較することによりライフログデータブロックの改善の有無を検証すると共に、上記蓄積された署名データに含まれる署名を公開鍵を用いて復号することで署名データの改ざんの有無を検証している。このため、ライフログデータの改ざん及び署名データの改ざんをそれぞれ確実に検証することができる。
【0057】
なお、この発明は上記実施形態に限定されるものではない。例えば、前記実施形態では改ざん検証部19及び位置偽装検出部20を携帯端末MSに設けたが、これらの改ざん検証部19及び位置偽装検出部20の機能を署名サーバSSVに設けるようにしてもよい。この場合、署名サーバSSVは改ざんの検証及び位置偽装の検証に際し、携帯端末MSからライフログ蓄積部14に蓄積されたライフログデータ及び署名データ蓄積部18に蓄積された署名データを基地局を介して取り込むことにより、実現できる。このようにすると、改ざん検証部19及び位置偽装検出部20自体が偽装される心配をなくすことができる。
【0058】
また、署名データを署名サーバSSV2蓄積し、ライフログデータブロックの改ざん検証及び位置偽装の検証を行う際に、署名サーバSSVがライフログデータブロックを携帯端末MSから取得し、この取得したライフログデータブロックと上記蓄積された署名データとをもとに検証処理を行うようにしてもよい。
【0059】
その他、携帯端末の種類とその構成、基地局の構成とその機能、署名サーバの構成とその機能、ライフログデータの収集処理手順とその内容、署名データの生成処理手順とその内容、改ざん検証処理手順とその内容、位置偽装検証手順とその内容等についても、この発明の要旨を逸脱しない範囲で種々変形して実施できる。
【0060】
要するにこの発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
【符号の説明】
【0061】
MS…携帯端末、BS1〜BS4…基地局、E1〜E4…無線通信エリア、SSV…署名サーバ、NW…通信ネットワーク、AP…アクセスポイント、PSV…プロキシサーバ、IF1,IF2…通信インタフェース、11…位置情報検出部、12…ライフログ収集部、13…ライフログ一時蓄積部、14…ライフログ蓄積部、15…ハッシュ生成部、16…無線送信部、17…無線受信部、18…署名データ蓄積部、19…改ざん検証部、20…位置偽装検出部、21…無線受信部、22…合成部、23…基地局ID記憶部、24…ネットワーク送信部、31…ネットワーク受信部、32…署名処理部、33…秘密鍵記憶部、34…ネットワーク送信部、191…公開鍵記憶部、192…ハッシュ生成部、193…改ざん検出処理部、201…基地局位置取得部、202…内部位置取得部、203…位置比較部。
【特許請求の範囲】
【請求項1】
各々が予め定められた地域に無線通信可能エリアを形成する複数の無線基地局と、これらの無線基地局が形成する無線通信可能エリア内で当該無線基地局との間で無線通信を行うことが可能な携帯端末と、前記各無線基地局を介して前記携帯端末との間で通信を行うことが可能な署名サーバとを具備し、
前記携帯端末は、
自端末の位置情報を検出する位置検出手段と、
前記検出された自端末の位置情報を含むライフログデータを生成し、この生成されたライフログデータを当該ライフログデータの生成時刻を表す情報に対応付けて第1のデータ蓄積手段に記憶させる手段と、
前記生成されたライフログデータのハッシュ値を生成し、この生成されたハッシュ値を前記無線基地局へ送信する手段と
を備え、
前記各無線基地局は、
自局の基地局識別情報を記憶する手段と、
前記携帯端末から送信されたハッシュ値を受信すると、この受信されたハッシュ値と前記記憶された自局の基地局識別情報とを合成して署名元データを生成し、この署名元データを前記署名サーバへ送信する手段と
を備え、
前記署名サーバは、
秘密鍵を記憶する手段と、
前記無線基地局から送信された署名元データを受信すると、この受信された署名元データに現在時刻情報を合成したデータに対し前記記憶された秘密鍵を用いて署名を行って署名データを生成する手段と、
前記生成された署名データを前記署名元データの送信元となる無線基地局へ返送する手段と
を備え、
前記無線基地局は、
前記署名サーバから返送された署名データを前記ハッシュ値の送信元となる携帯端末へ転送する手段を備え、
前記携帯端末は、
前記転送された署名データを受信して第2のデータ蓄積手段に記憶させる手段と、
前記第1のデータ蓄積手段に記憶されたライフログデータに含まれる自局の位置情報と、前記第2のデータ蓄積手段に記憶された署名データに含まれる基地局識別情報に対応する無線基地局の位置情報とを比較し、その比較結果に基づいて前記位置検出手段の偽装に対する有無を判定する位置偽装検出手段と
を備えることを特徴とするライフログデータ管理システム。
【請求項2】
前記位置偽装検出手段は、
偽装検出対象となる期間に生成された複数のライフログデータを前記第1のデータ蓄積手段から読み出す手段と、
前記複数のライフログデータと時刻が対応する複数の署名データを前記第2のデータ蓄積手段から読み出す手段と、
前記読み出された複数のライフログデータに含まれる自局の位置情報と、前記読み出された複数の署名データに含まれる基地局識別情報に対応する無線基地局の位置情報とを、時刻が対応するもの同士で比較する手段と、
前記比較の結果、前記自局の位置情報と前記無線基地局の位置情報との距離差が、当該無線基地局の無線通信可能エリアの大きさに応じて予め設定された許容範囲内となる回数を求め、全比較回数に対する当該許容範囲内となる回数の割合を算出する手段と、
前記算出された割合を予め設定されたしきい値と比較し、その結果を位置偽装の有無を表す情報として出力する手段と
を備えることを特徴とする請求項1記載のライフログデータ管理システム。
【請求項3】
前記携帯端末は、改ざん検証手段をさらに備え、
前記改ざん検出手段は、
前記第1のデータ蓄積手段に記憶されたライフログデータに基づいて当該ライフログデータのハッシュ値を再計算する手段と、
前記第2のデータ蓄積手段から前記ライフログデータと時刻が対応する署名データを読み出し、この署名データに含まれるハッシュ値と前記再計算されたハッシュ値とを比較する手段と、
前記ハッシュ値の比較結果を前記データログデータの改ざんの有無を表す情報として出力する手段と、
前記第2のデータ蓄積手段から署名データを読み出し、この署名データを前記秘密鍵に対応する公開鍵を用いて検証する手段と、
前記検証結果を署名の一致の有無を表す情報として出力する手段と
を有することを特徴とする請求項1又は2記載のライフログデータ管理システム。
【請求項4】
各々が予め定められた地域に無線通信可能エリアを形成する複数の無線基地局と、これらの無線基地局が形成する無線通信可能エリア内で当該無線基地局との間で無線通信を行うことが可能な携帯端末と、前記各無線基地局を介して前記携帯端末との間で通信を行うことが可能な署名サーバとを具備するシステムで使用されるライフログデータ管理方法であって、
前記携帯端末が、自端末の位置情報を検出する過程と、
前記携帯端末が、前記検出された自端末の位置情報を含むライフログデータを生成し、この生成されたライフログデータを当該ライフログデータの生成時刻を表す情報に対応付けて第1のデータ蓄積手段に記憶させる過程と、
前記携帯端末が、前記生成されたライフログデータのハッシュ値を生成し、この生成されたハッシュ値を前記無線基地局へ送信する過程と
前記無線基地局が、前記携帯端末から送信されたハッシュ値を受信すると、この受信されたハッシュ値と予め記憶された自局の基地局識別情報とを合成して署名元データを生成し、この署名元データを前記署名サーバへ送信する過程と、
前記署名サーバが、前記無線基地局から送信された署名元データを受信すると、この受信された署名元データに現在時刻情報を合成したデータに対し、予め記憶された秘密鍵を用いて署名を行って署名データを生成する過程と、
前記署名サーバが、前記生成された署名データを前記署名元データの送信元となる無線基地局へ返送する過程と、
前記無線基地局が、前記署名サーバから返送された署名データを前記ハッシュ値の送信元となる携帯端末へ転送する過程と、
前記携帯端末が、前記転送された署名データを受信して第2のデータ蓄積手段に記憶させる過程と、
前記携帯端末が、前記第1のデータ蓄積手段に記憶されたライフログデータに含まれる自局の位置情報と、前記第2のデータ蓄積手段に記憶された署名データに含まれる基地局識別情報に対応する無線基地局の位置情報とを比較し、その比較結果に基づいて前記位置検出手段の偽装の有無を判定する位置偽装検出過程と
を具備することを特徴とするライフログデータ管理方法。
【請求項5】
前記位置偽装検出過程は、
偽装検出対象となる期間に生成された複数のライフログデータを前記第1のデータ蓄積手段から読み出す過程と、
前記複数のライフログデータと時刻が対応する複数の署名データを前記第2のデータ蓄積手段から読み出す過程と、
前記読み出された複数のライフログデータに含まれる自局の位置情報と、前記読み出された複数の署名データに含まれる基地局識別情報に対応する無線基地局の位置情報とを、時刻が対応するもの同士で比較する過程と、
前記比較の結果、前記自局の位置情報と前記無線基地局の位置情報との距離差が、当該無線基地局の無線通信可能エリアの大きさに応じて予め設定された許容範囲内となる回数を求め、全比較回数に対する当該許容範囲内となる回数の割合を算出する過程と、
前記算出された割合を予め設定されたしきい値と比較し、その結果を位置偽装の有無を表す情報として出力する過程と
を備えることを特徴とする請求項4記載のライフログデータ管理方法。
【請求項6】
前記携帯端末が、改ざん検証過程をさらに具備し、
前記改ざん検出過程は、
前記第1のデータ蓄積手段に記憶されたライフログデータのハッシュ値を再計算する過程と、
前記第2のデータ蓄積手段から前記ライフログデータと時刻が対応する署名データを読み出し、この署名データに含まれるハッシュ値と前記再計算されたハッシュ値とを比較する過程と、
前記ハッシュ値の比較結果を前記データログデータの改ざんの有無を表す情報として出力する過程と、
前記第2のデータ蓄積手段から署名データを読み出し、この署名データを前記秘密鍵に対応する公開鍵を用いて検証する過程と、
前記検証結果を署名の一致の有無を表す情報として出力する過程と
を有することを特徴とする請求項4又は5記載のライフログデータ管理方法。
【請求項7】
請求項1乃至請求項3のいずれかに記載のライフログデータ管理システムにおいて、各手段に相当する処理を、前記携帯端末、前記無線基地局及び前記署名サーバの各プロセッサに実行させるプログラム。
【請求項1】
各々が予め定められた地域に無線通信可能エリアを形成する複数の無線基地局と、これらの無線基地局が形成する無線通信可能エリア内で当該無線基地局との間で無線通信を行うことが可能な携帯端末と、前記各無線基地局を介して前記携帯端末との間で通信を行うことが可能な署名サーバとを具備し、
前記携帯端末は、
自端末の位置情報を検出する位置検出手段と、
前記検出された自端末の位置情報を含むライフログデータを生成し、この生成されたライフログデータを当該ライフログデータの生成時刻を表す情報に対応付けて第1のデータ蓄積手段に記憶させる手段と、
前記生成されたライフログデータのハッシュ値を生成し、この生成されたハッシュ値を前記無線基地局へ送信する手段と
を備え、
前記各無線基地局は、
自局の基地局識別情報を記憶する手段と、
前記携帯端末から送信されたハッシュ値を受信すると、この受信されたハッシュ値と前記記憶された自局の基地局識別情報とを合成して署名元データを生成し、この署名元データを前記署名サーバへ送信する手段と
を備え、
前記署名サーバは、
秘密鍵を記憶する手段と、
前記無線基地局から送信された署名元データを受信すると、この受信された署名元データに現在時刻情報を合成したデータに対し前記記憶された秘密鍵を用いて署名を行って署名データを生成する手段と、
前記生成された署名データを前記署名元データの送信元となる無線基地局へ返送する手段と
を備え、
前記無線基地局は、
前記署名サーバから返送された署名データを前記ハッシュ値の送信元となる携帯端末へ転送する手段を備え、
前記携帯端末は、
前記転送された署名データを受信して第2のデータ蓄積手段に記憶させる手段と、
前記第1のデータ蓄積手段に記憶されたライフログデータに含まれる自局の位置情報と、前記第2のデータ蓄積手段に記憶された署名データに含まれる基地局識別情報に対応する無線基地局の位置情報とを比較し、その比較結果に基づいて前記位置検出手段の偽装に対する有無を判定する位置偽装検出手段と
を備えることを特徴とするライフログデータ管理システム。
【請求項2】
前記位置偽装検出手段は、
偽装検出対象となる期間に生成された複数のライフログデータを前記第1のデータ蓄積手段から読み出す手段と、
前記複数のライフログデータと時刻が対応する複数の署名データを前記第2のデータ蓄積手段から読み出す手段と、
前記読み出された複数のライフログデータに含まれる自局の位置情報と、前記読み出された複数の署名データに含まれる基地局識別情報に対応する無線基地局の位置情報とを、時刻が対応するもの同士で比較する手段と、
前記比較の結果、前記自局の位置情報と前記無線基地局の位置情報との距離差が、当該無線基地局の無線通信可能エリアの大きさに応じて予め設定された許容範囲内となる回数を求め、全比較回数に対する当該許容範囲内となる回数の割合を算出する手段と、
前記算出された割合を予め設定されたしきい値と比較し、その結果を位置偽装の有無を表す情報として出力する手段と
を備えることを特徴とする請求項1記載のライフログデータ管理システム。
【請求項3】
前記携帯端末は、改ざん検証手段をさらに備え、
前記改ざん検出手段は、
前記第1のデータ蓄積手段に記憶されたライフログデータに基づいて当該ライフログデータのハッシュ値を再計算する手段と、
前記第2のデータ蓄積手段から前記ライフログデータと時刻が対応する署名データを読み出し、この署名データに含まれるハッシュ値と前記再計算されたハッシュ値とを比較する手段と、
前記ハッシュ値の比較結果を前記データログデータの改ざんの有無を表す情報として出力する手段と、
前記第2のデータ蓄積手段から署名データを読み出し、この署名データを前記秘密鍵に対応する公開鍵を用いて検証する手段と、
前記検証結果を署名の一致の有無を表す情報として出力する手段と
を有することを特徴とする請求項1又は2記載のライフログデータ管理システム。
【請求項4】
各々が予め定められた地域に無線通信可能エリアを形成する複数の無線基地局と、これらの無線基地局が形成する無線通信可能エリア内で当該無線基地局との間で無線通信を行うことが可能な携帯端末と、前記各無線基地局を介して前記携帯端末との間で通信を行うことが可能な署名サーバとを具備するシステムで使用されるライフログデータ管理方法であって、
前記携帯端末が、自端末の位置情報を検出する過程と、
前記携帯端末が、前記検出された自端末の位置情報を含むライフログデータを生成し、この生成されたライフログデータを当該ライフログデータの生成時刻を表す情報に対応付けて第1のデータ蓄積手段に記憶させる過程と、
前記携帯端末が、前記生成されたライフログデータのハッシュ値を生成し、この生成されたハッシュ値を前記無線基地局へ送信する過程と
前記無線基地局が、前記携帯端末から送信されたハッシュ値を受信すると、この受信されたハッシュ値と予め記憶された自局の基地局識別情報とを合成して署名元データを生成し、この署名元データを前記署名サーバへ送信する過程と、
前記署名サーバが、前記無線基地局から送信された署名元データを受信すると、この受信された署名元データに現在時刻情報を合成したデータに対し、予め記憶された秘密鍵を用いて署名を行って署名データを生成する過程と、
前記署名サーバが、前記生成された署名データを前記署名元データの送信元となる無線基地局へ返送する過程と、
前記無線基地局が、前記署名サーバから返送された署名データを前記ハッシュ値の送信元となる携帯端末へ転送する過程と、
前記携帯端末が、前記転送された署名データを受信して第2のデータ蓄積手段に記憶させる過程と、
前記携帯端末が、前記第1のデータ蓄積手段に記憶されたライフログデータに含まれる自局の位置情報と、前記第2のデータ蓄積手段に記憶された署名データに含まれる基地局識別情報に対応する無線基地局の位置情報とを比較し、その比較結果に基づいて前記位置検出手段の偽装の有無を判定する位置偽装検出過程と
を具備することを特徴とするライフログデータ管理方法。
【請求項5】
前記位置偽装検出過程は、
偽装検出対象となる期間に生成された複数のライフログデータを前記第1のデータ蓄積手段から読み出す過程と、
前記複数のライフログデータと時刻が対応する複数の署名データを前記第2のデータ蓄積手段から読み出す過程と、
前記読み出された複数のライフログデータに含まれる自局の位置情報と、前記読み出された複数の署名データに含まれる基地局識別情報に対応する無線基地局の位置情報とを、時刻が対応するもの同士で比較する過程と、
前記比較の結果、前記自局の位置情報と前記無線基地局の位置情報との距離差が、当該無線基地局の無線通信可能エリアの大きさに応じて予め設定された許容範囲内となる回数を求め、全比較回数に対する当該許容範囲内となる回数の割合を算出する過程と、
前記算出された割合を予め設定されたしきい値と比較し、その結果を位置偽装の有無を表す情報として出力する過程と
を備えることを特徴とする請求項4記載のライフログデータ管理方法。
【請求項6】
前記携帯端末が、改ざん検証過程をさらに具備し、
前記改ざん検出過程は、
前記第1のデータ蓄積手段に記憶されたライフログデータのハッシュ値を再計算する過程と、
前記第2のデータ蓄積手段から前記ライフログデータと時刻が対応する署名データを読み出し、この署名データに含まれるハッシュ値と前記再計算されたハッシュ値とを比較する過程と、
前記ハッシュ値の比較結果を前記データログデータの改ざんの有無を表す情報として出力する過程と、
前記第2のデータ蓄積手段から署名データを読み出し、この署名データを前記秘密鍵に対応する公開鍵を用いて検証する過程と、
前記検証結果を署名の一致の有無を表す情報として出力する過程と
を有することを特徴とする請求項4又は5記載のライフログデータ管理方法。
【請求項7】
請求項1乃至請求項3のいずれかに記載のライフログデータ管理システムにおいて、各手段に相当する処理を、前記携帯端末、前記無線基地局及び前記署名サーバの各プロセッサに実行させるプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2010−206702(P2010−206702A)
【公開日】平成22年9月16日(2010.9.16)
【国際特許分類】
【出願番号】特願2009−52278(P2009−52278)
【出願日】平成21年3月5日(2009.3.5)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成22年9月16日(2010.9.16)
【国際特許分類】
【出願日】平成21年3月5日(2009.3.5)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]