【課題】少なくとも位置検出機能に対する偽装を確実に検証できるようにして、これによりライフログデータの信頼性を高める。
【解決手段】携帯端末ＭＳにおいてライフログデータブロックが生成されるごとに、このライフログデータブロックを蓄積すると共に、当該ライフログデータブロックのハッシュ値を計算してこのハッシュ値を基地局ＢＳ２に送信し、基地局ＢＳ２が上記送られたハッシュ値に基地局ＩＤを付与し、これを署名元データとして署名サーバＳＳＶに送る。そして、署名サーバＳＳＶにより上記署名元データに現在時刻情報を付加したのち秘密鍵を用いて署名を行い、この署名された署名データを基地局ＢＳ２を介して要求元の携帯端末ＭＳへ返送し、携帯端末ＭＳで蓄積する。

【発明の詳細な説明】
【技術分野】
【０００１】
この発明は、ユーザが所持する携帯端末から、ユーザの位置情報やバイタル情報、コンテンツへのアクセス履歴情報等のライフログデータを収集し管理するライフログデータの管理システム、管理方法及びプログラムに関する。
【背景技術】
【０００２】
従来、ユーザの位置情報に基づいて、当該ユーザ向けにサービス情報を配信するシステムが提案されている。この種のシステムは、例えば無線ＬＡＮ基地局をユーザ位置検出装置として利用して基地局設置スポット近傍での位置検出を行い、無線ＬＡＮシステムの認証情報からユーザ識別情報を取得する。そして、この取得したユーザ識別情報に対応付けて記憶されている当該ユーザの個人属性や履歴情報を参照して、ユーザ端末へ特定ユーザのための情報を配信するものとなっている（例えば、特許文献１を参照。）。
【０００３】
また、ユーザの位置情報に止まらず、ユーザのバイタル情報や、コンテンツへのアクセス履歴情報等を取得し、これらの情報をユーザのライフログデータとして管理することにより、さらにきめ細やかなサービスを提供できるようにすることも提案されている。この種のシステムを利用すれば、例えばユーザが何らかの犯罪やトラブルに巻き込まれた場合に、ユーザの所在を証明したり容疑者を特定することが可能となり、犯罪やトラブルを解決する上で効果が期待できる。
【先行技術文献】
【特許文献】
【０００４】
【特許文献１】特開２００４−２４０７０８号公報
【発明の概要】
【発明が解決しようとする課題】
【０００５】
ところが、収集されたライフログデータはディジタルデータであるため容易に改ざんすることができ、立証能力が低いという欠点がある。例えば、ユーザが犯罪行為を行った後に自身のライフログデータを改ざんして自身の無実を偽証したり、他人のライフログデータを改ざんすることで犯人を偽証する可能性がある。また、ユーザ端末が例えばＧＰＳ（Global Positioning System）を利用した位置検出機能を内蔵している場合に、当該位置検出機能を改造することで位置検出情報の偽装が可能となる。
【０００６】
この発明は上記事情に着目してなされたもので、その目的とするところは、少なくとも位置検出機能に対する偽装を確実に検証できるようにし、これによりライフログデータの信頼性を高めたライフログデータの管理システム、管理方法及びプログラムを提供することにある。
【課題を解決するための手段】
【０００７】
上記目的を達成するためにこの発明の一観点は、各々が予め定められた地域に無線通信可能エリアを形成する複数の無線基地局と、これらの無線基地局が形成する無線通信可能エリア内で当該無線基地局との間で無線通信を行うことが可能な携帯端末と、上記各無線基地局を介して上記携帯端末との間で通信を行うことが可能な署名サーバとを具備するライフログデータ管理システムにあって、上記携帯端末、無線基地局及び署名サーバに以下のような機能を持たせるようにしたものである。
すなわち、先ず携帯端末が、自端末の位置情報を位置検出手段により検出して、この検出された自端末の位置情報を含むライフログデータを生成し、この生成されたライフログデータを当該ライフログデータの生成時刻を表す情報に対応付けて第１のデータ蓄積手段に記憶させると共に、上記ライフログデータのハッシュ値を生成して上記無線基地局へ送信する。次に上記各無線基地局が、上記携帯端末から送信されたハッシュ値を受信すると、この受信されたハッシュ値と上記記憶された自局の基地局識別情報とを合成して署名元データを生成し、この署名元データを上記署名サーバへ送信する。続いて上記署名サーバが、上記無線基地局から送信された署名元データを受信すると、この受信された署名元データに現在時刻情報を合成したデータに対し上記記憶された秘密鍵を用いて署名を行って署名データを生成し、この生成された署名データを上記署名元データの送信元となる無線基地局へ返送する。上記無線基地局は、上記署名サーバから返送された署名データを上記ハッシュ値の送信元となる携帯端末へ転送する。最後に携帯端末が、上記転送された署名データを受信して第２のデータ蓄積手段に記憶させ、上記第１のデータ蓄積手段に記憶されたライフログデータに含まれる自局の位置情報と、上記第２のデータ蓄積手段に記憶された署名データに含まれる基地局識別情報に対応する無線基地局の位置情報とを比較し、その比較結果に基づいて上記位置検出手段に対する偽装の有無を判定する。
【０００８】
すなわち、携帯端末でライフログデータが生成されるごとに、このライフログデータのハッシュ値が無線基地局に送られてここで基地局識別情報が付与され、このハッシュ値と基地局識別情報が署名元データとして署名サーバに送られてここで秘密鍵を用いて署名が行われ、この署名後のデータが無線基地局で中継されて携帯端末に返送され蓄積される。そして、携帯端末に内蔵されている位置検出手段の偽装を検出する際には、蓄積された上記ライフログデータに含まれる自局の位置情報と、上記蓄積された署名データに含まれる基地局識別情報に対応する無線基地局の位置情報とが比較され、その比較結果に基づいて上記位置検出手段に対する偽装の有無が判定される。
【０００９】
したがって、携帯端末に内蔵されている位置検出手段が、ライフログデータの生成前又は生成後に偽装されたとすると、当該ライフログデータに含まれる位置情報、つまり上記位置検出手段により検出された自端末の位置情報は、同時刻に生成された署名データに含まれる基地局識別情報に対応する基地局の位置情報とは異なるものとなり、これにより上記位置検出機能の偽装を検出することが可能となる。
【００１０】
またこの発明の一観点は、次のような実施態様を備えることも特徴とする。
第１の実施態様は、位置検出手段の偽装を検出する際に、先ず偽装検出対象となる期間に生成された複数のライフログデータを上記第１のデータ蓄積手段から読み出すと共に、上記複数のライフログデータと時刻が対応する複数の署名データを上記第２のデータ蓄積手段から読み出す。次に、上記読み出された複数のライフログデータに含まれる自局の位置情報と、上記読み出された複数の署名データに含まれる基地局識別情報に対応する無線基地局の位置情報とを時刻が対応するもの同士で比較し、この比較の結果自局の位置情報と無線基地局の位置情報との距離差が当該無線基地局の無線通信可能エリアの大きさに応じて予め設定された許容範囲内となる回数を求める。そして、全比較回数に対する当該許容範囲内と判定された回数の割合を算出し、この算出された割合を予め設定されたしきい値と比較してその結果を位置検出手段に対する偽装の有無を表す情報として出力するようにしたものである。
したがって、位置検出手段により検出された位置情報に誤差が含まれ、この誤差が検出タイミングごとに変化するような場合でも、この誤差を考慮して位置検出手段の偽装の有無をより正確に判定することが可能となる。
【００１１】
第２の実施態様は、携帯端末に改ざん検証機能をさらに備える。そして、この改ざん検出手段により、第１のデータ蓄積手段に記憶されたライフログデータに基づいて当該ライフログデータのハッシュ値を計算し直し、この計算し直されたハッシュ値を、第２のデータ蓄積手段から読み出された同一時刻の署名データに含まれるハッシュ値と比較し、この比較結果をデータログデータの改ざんの有無を表す情報として出力する。またそれと共に、上記第２のデータ蓄積手段から読み出した署名データの署名が正しいか否かを、署名時に使用した秘密鍵に対応する公開鍵を用いて検証し、その検証結果を出力するようにしたものである。
このようにすると、第１のデータ蓄積手段に蓄積されたライフログデータが改ざんされた場合には、ハッシュ値の不一致によりこの改ざんを検出することが可能となる。また、第２のデータ蓄積手段に記憶された署名データが改ざんされた場合にも、秘密鍵と公開鍵を用いた署名の検証により署名データの改ざんを検出することが可能となる。
【発明の効果】
【００１２】
すなわちこの発明の一観点によれば、少なくとも位置検出機能に対する偽装を確実に検証することが可能となり、これによりライフログデータの信頼性を高めたライフログデータの管理システム、管理方法及びプログラムを提供することができる。
【図面の簡単な説明】
【００１３】
【図１】この発明に係わるライフログデータ管理システムの一実施形態を示す概略構成図である。
【図２】図１に示したライフログデータ管理システムの具体例を示す図である。
【図３】図１に示したライフログデータ管理システムに用いられる携帯端末、基地局及び署名サーバの機能構成を示すブロック図である。
【図４】図３に示した携帯端末に設けられる改ざん検証部の機能構成を示すブロック図である。
【図５】図３に示した携帯端末に設けられる位置偽装検出部の機能構成を示すブロック図である。
【図６】図３に示した携帯端末によるライフログデータ管理に係わる制御手順と制御内容を示すフローチャートである。
【図７】図３に示した基地局によるライフログデータ管理に係わる制御手順と制御内容を示すフローチャートである。
【図８】図３に示した署名サーバによるライフログデータ管理に係わる制御手順と制御内容を示すフローチャートである。
【図９】図４に示した改ざん検証部によるライフログデータの検証処理手順と処理内容を示すフローチャートである。
【図１０】図４に示した改ざん検証部による署名の検証処理手順と処理内容を示すフローチャートである。
【図１１】図５に示した位置偽装検出部の処理手順と処理内容を示すフローチャートである。
【図１２】図３に示したシステムで生成される署名データの一例を示す図である。
【発明を実施するための形態】
【００１４】
以下、図面を参照してこの発明に係わる実施形態を説明する。
図１は、この発明に係わるライフログデータ管理システムの一実施形態を示す概略構成図である。このライフログデータ管理システムは、無線ＬＡＮ（Local Area Network）を利用するもので、携帯端末ＭＳをその存在位置に応じて上記無線ＬＡＮを構成する複数の基地局ＢＳ１〜ＢＳ４のいずれかに無線チャネルを介して接続し、この基地局ＢＳ１〜ＢＳ４からさらに通信ネットワークＮＷを介して署名サーバＳＳＶに接続可能としたものである。通信ネットワークＮＷは、インターネットに代表されるＩＰ（Internet Protocol）網からなる。
【００１５】
図２は、このライフログデータ管理システムの具体例を示すものである。同図において、携帯端末ＭＳは携帯電話機又はＰＤＡ（Personal Digital Assistant）からなり、図示しない携帯電話網との間で通信を行うための主たる無線インタフェースに加え、無線ＬＡＮとの間で通信を行うための第２の無線インタフェースを備えている。
【００１６】
基地局ＢＳ１〜ＢＳ４は、アクセスポイントＡＰと、プロキシサーバＰＳＶを備える。アクセスポイントＡＰはそれぞれ、図１に示すように無線通信エリアＥ１〜Ｅ４を形成し、この無線通信エリアＥ１〜Ｅ４内に位置する携帯端末ＭＳとの間で無線チャネルＲＣＨを介して無線通信を行う。
【００１７】
プロキシサーバＰＳＶは、ローカルエリアネットワーク用の第１のネットワークインタフェースＩＦ１と、ワイドエリアネットワーク用の第２のネットワークインタフェースＩＦ２を有する。第１のネットワークインタフェースＩＦ１はアクセスポイントＡＰに接続され、第２のネットワークインタフェースＩＦ２は通信ネットワークＮＷの通信チャネルＬＣＨを介して署名サーバＳＳＶに接続される。プロキシサーバＰＳＶは、ハイパーテキスト転送プロトコル（Hyper Text Transport Protocol；HTTP）を使用して、アクセスポイントＡＰと署名サーバＳＳＶとの間でデータ転送を行う。
【００１８】
図３は、上記ライフログデータ管理システムに用いられる携帯端末ＭＳ、基地局ＢＳ１〜ＢＳ４及び署名サーバＳＳＶの機能構成を示すブロック図である。なお、同図では簡単のため基地局ＢＳ１〜ＢＳ４のうち基地局ＢＳ２のみを図示している。
【００１９】
（１）携帯端末ＭＳ
携帯端末ＭＳは、ハードウエアとしては、中央処理ユニット（central Processing Unit；ＣＰＵ）と、プログラムメモリと、データメモリと、入力操作部及び表示部を有する入出力インタフェースを備えている。そして、この発明を実施するために必要な機能として、位置情報検出部１１と、ライフログ収集部１２と、ライフログ一時蓄積部１３と、ライフログ蓄積部１４と、ハッシュ生成部１５と、無線送信部１６と、無線受信部１７と、署名データ蓄積部１８と、改ざん検証部１９と、位置偽装検出部２０を備えている。これらの機能はいずれもプログラムメモリに格納されたプログラムをＣＰＵに実行させることにより実現される。
【００２０】
位置情報検出部１１はＧＰＳ受信機を有し、このＧＰＳ受信機により受信されたＧＰＳ信号をもとに緯度経度からなる自端末の位置情報を算出し、この算出された位置情報をライフログ収集部１２へ出力する。
ライフログ収集部１２は、上記位置情報検出部１１から定期的に位置情報を取り込み、この取り込んだ位置情報に時刻情報を付加してこれをライフログデータとする。ライフログ一時蓄積部１３はバッファメモリからなり、一定時間分のライフログデータが蓄積されると、この一定時間分のライフログデータをライフログデータブロックとしてライフログ蓄積部１４へ出力する。ライフログ蓄積部１４は記憶媒体としてハードディスクやフラッシュメモリ等の不揮発性メモリを使用したもので、上記ライフログ一時蓄積部１３から読み出されたライフログデータブロックを１個のライフログファイルとして蓄積する。
【００２１】
ハッシュ生成部１５は、上記ライフロログ蓄積部１４に１個のライフログデータブロックが蓄積されるごとに、このライフログデータブロックを上記ライフログ一時蓄積部１３から取り込んでそのハッシュ値を生成する。
無線送信部１６は、上記ハッシュ生成部１５により生成されたハッシュ値をHTTPリクエストとして基地局ＢＳ２へ無線送信する。
無線受信部１７は、基地局ＢＳ２から送信された署名データを受信し、この受信された署名データを署名データ蓄積部１８に蓄積させる。
【００２２】
改ざん検証部１９は、例えば図４に示すように公開鍵記憶部１９１と、ハッシュ生成部１９２と、改ざん検出処理部１９３を備える。
公開鍵記憶部１９１は、後述する署名サーバＳＳＶが使用する署名用秘密鍵と対をなす公開鍵を図示しない公開鍵サーバから取得して記憶する。ハッシュ生成部１９２は、上記ライフログ蓄積部１４からライフログデータを読み出してそのハッシュ値を計算する。
改ざん検出処理部１９３は、ライフログ蓄積部１４に蓄積されたライフログデータに対する改ざんを検証する機能と、署名データ蓄積部１８に蓄積された署名データに対する改ざんを検証する機能とを有する。
ライフログデータの改ざん検証機能は、上記ハッシュ生成部１９２により計算されたライフログデータのハッシュ値と、署名データ蓄積部１８から読み出される、上記ライフログデータと時刻が対応する署名データに含まれるハッシュ値とを比較し、両値が一致するか否かを判定する。そして、このハッシュ値の比較結果を上記ライフログデータの改ざん検証結果を表す情報として例えば表示部に表示させる。
【００２３】
署名データの改ざん検証機能は、署名データ蓄積部１８から読み出された署名データを、上記公開鍵記憶部１９２に記憶された公開鍵を用いて検証することにより、署名が一致するか否かを判定する。そして、その判定結果を上記署名データの改ざん検証結果を表す情報として表示部に表示させる。
【００２４】
位置偽装検出部２０は、例えば図５に示すように基地局位置取得部２０１と、内部位置取得部２０２と、位置比較部２０３を備えている。
内部位置取得部２０２は、偽装検出対象となる期間に生成された複数のライフログデータをライフログ蓄積部１４から読み出し、この読み出された各ライフログデータから自端末の位置情報を抽出する。
基地局位置取得部２０１は、上記各ライフログデータと時刻が対応する複数の署名データを署名データ蓄積部１８から読み出し、この読み出された各署名データに含まれる基地局ＩＤをもとに当該基地局ＢＳ２の位置情報を取得する。
【００２５】
位置比較部２０３は、先ず上記内部位置取得部２０２より抽出された自端末の位置情報、つまり携帯端末ＭＳに内蔵された位置情報検出部１１により検出された位置情報と、上記基地局位置取得部２０１により取得された基地局ＢＳ２の位置情報とを、時刻が対応するもの同士で比較する。そして、自端末ＭＳの位置情報と基地局ＢＳ２の位置情報との距離差が、当該基地局ＢＳ２の無線通信可能エリアＥ２の大きさに応じて予め設定された許容範囲内であるか否かを判定する。続いて、上記判定の結果、距離差が許容範囲内と判定された位置情報の数を求め、比較を行ったすべての位置情報の数に対する上記許容範囲内と判定された位置情報の数の割合を算出する。そして、この算出された割合を予め設定されたしきい値と比較し、その比較結果を位置情報検出部１１に対する偽装の有無を表す情報として表示部に表示させる。
【００２６】
（２）基地局ＢＳ２
基地局ＢＳ２は、図２に示したようにアクセスポイントＡＰと、プロキシサーバＰＳＶと、その通信インタフェースＩＦ１，ＩＦ２とから構成されるが、ここではこれらの構成要素を分けずに１つの装置として説明する。
基地局ＢＳ２は、ハードウエアとして、ＣＰＵと、プログラムメモリと、データメモリを備えている。そして、この発明を実施するために必要な機能として、無線受信部２１と、合成部２２と、基地局ＩＤ記憶部２３と、ネットワーク送信部２４と、中継部２５を有している。これらの機能はいずれもプログラムメモリに格納されたプログラムをＣＰＵに実行させることにより実現される。
【００２７】
無線受信部２１は、上記携帯端末ＭＳからHTTPリクエストとして送信されたハッシュ値を受信する。
合成部２２は、上記受信されたハッシュ値と、上記基地局ＩＤ記憶部２３に記憶された基地局ＩＤとを合成して署名元データを生成する。基地局ＩＤとしては、当該基地局の緯度経度で表される位置情報を用いる。
ネットワーク送信部２４は、上記合成部２２により生成された署名元データを通信ネットワークＮＷを介して署名サーバＳＳＶへ送信する。
中継部２５は、後述する署名サーバＳＳＶからHTTPレスポンスとして返送された署名データを通信ネットワークＮＷを介して受信し、この受信した署名データを上記HTTPリクエストの送信元となる携帯端末ＭＳへ送信する。
【００２８】
（３）署名サーバＳＳＶ
署名サーバＳＳＶも、ハードウエアとしては、ＣＰＵと、プログラムメモリと、データメモリと、入力操作部及び表示部を有する入出力インタフェースを備えている。そして、この発明を実施するために必要な機能として、ネットワーク受信部３１と、署名処理部３２と、秘密鍵記憶部３３と、ネットワーク送信部３４を備えている。これらの機能はいずれもプログラムメモリに格納されたプログラムをＣＰＵに実行させることにより実現される。
【００２９】
ネットワーク受信部３１は、上記基地局ＢＳ２のネットワーク送信部２４から送信された署名元データを通信ネットワークＮＷを介して受信する。
署名処理部３２は、先ず上記ネットワーク受信部３１により受信された署名元データに現在時刻情報を付加する。そして、この現在時刻情報が付加された署名元データに対し、秘密鍵記憶部３３に記憶された署名用秘密鍵を用いて署名を行い、署名データを生成する。署名の方式としては、例えばＲＳＡ（Revest Shamir Adleman）等の公開鍵暗号アルゴリズムが使用される。
ネットワーク送信部３４は、上記署名処理部３２により生成された署名データを、HTTPレスポンスとして、上記署名元データの送信元となる基地局ＢＳ２へ送信する。
【００３０】
次に、以上のように構成されたライフログデータ管理システムの動作を説明する。
図６は携帯端末ＭＳの処理手順と処理内容を表すフローチャート、図７は基地局ＢＳ２の処理手順と処理内容を表すフローチャート、図８は署名サーバＳＳＶの処理手順と処理内容を表すフローチャートである。
なお、ここでは図２に示したように携帯端末ＭＳは基地局ＢＳ２の無線通信可能エリアＥ２内に位置しているものとして説明を行う。
【００３１】
（１）ライフログデータの生成
携帯端末ＭＳは、ステップＳ６１において、ライフログ収集部１２により位置情報検出部１１から自端末の位置情報を定期的に取り込む。そして、この取り込んだ位置情報にこのときの時刻情報を付加してライフログデータを生成し、このライフログデータをステップＳ６２によりライフログ一時蓄積部１３に記憶させる。なお、ユーザに万歩計（登録商標）や心拍計等のバイタルセンサを装着させ、このバイタルセンサからバイタル情報を定期的に取り込んで、このバイタル情報を上記ライフログデータに含めるようにしてもよいし、コンテンツサーバへのアクセス履歴を表す情報を携帯端末ＭＳ内のデータメモリで管理している場合には、このデータメモリからアクセス履歴情報を定期的に読み出して上記ライフログデータに含めるようにしてもよい。
【００３２】
上記ライフログデータの収集処理を行いながら携帯端末ＭＳは、ステップＳ６３により一定時間が経過したか否かを監視している。そして、一定時間、例えば１０分が経過するごとに、ステップＳ６４において上記ライフログ一時蓄積部１３から一定時間分のライフログデータを読み出し、この読み出されたライフログデータのブロックをライフログ蓄積部１４に記憶させる。このとき、ライフログデータのブロックには、その先頭のライフログデータの時刻情報を当該ライフログデータブロックのファイル名として付加する。
【００３３】
（２）署名データの生成とその蓄積
携帯端末ＭＳは、ライフログ蓄積部１４にライフログデータブロックが１つ記憶されるごとに、ステップＳ６５により当該ライフログデータブロックをライフログ一時蓄積部１３から読み出してハッシュ生成部１５に与える。そして、ハッシュ生成部１５においてＳＨＡ−１（Secure Hash Algorithm-1）等のハッシュ生成アルゴリズムを使用して上記ライフログデータブロックのハッシュ値を計算する。この計算されたハッシュ値は、ステップＳ１６により、HTTPプロトコルに従い無線送信部１６からHTTPリクエストとして基地局ＢＳ２へ送信される。
【００３４】
これに対し基地局ＢＳ２は、ステップＳ７１において、上記携帯端末ＭＳからHTTPリクエストとして送信されたハッシュ値を、HTTPプロトコルに従い無線受信部２１により受信する。ハッシュ値を受信すると基地局ＢＳ２は、合成部２２において先ず基地局ＩＤ記憶部２３から自局の基地局ＩＤを読み出す（ステップＳ７２）。そしてステップＳ７３により、上記受信されたハッシュ値と上記読み出された基地局ＩＤとを合成して署名元データを生成する。例えば、上記受信されたハッシュ値の後ろに単純に基地局ＩＤを追加したものを署名元データとする。基地局ＩＤとしては、既に述べたように当該基地局の緯度経度で表される位置情報を用いる。次に基地局ＢＳ２は、ステップＳ７４により、上記生成された署名元データをHTTPプロトコルに従いネットワーク送信部２４からHTTPリクエストとして署名サーバＳＳＶへ送信する。
【００３５】
署名サーバＳＳＶは、ステップＳ８１において、上記基地局ＢＳ２からHTTPリクエストとして送信された署名元データを、HTTPプロトコルに従いネットワーク受信部３１により受信する。署名元データを受信すると署名サーバＳＳＶは、署名処理部３２において先ずステップＳ８２により図示しない内蔵時計から現在時刻情報を取得し、ステップＳ８３によりこの現在時刻情報を上記署名元データに付加する。続いてステップＳ８４により秘密鍵記憶部３３から署名用秘密鍵を読み出し、ステップＳ８５においてこの署名用秘密鍵を用いて上記現在時刻情報が付加された署名元データに対し署名を行う。かくして署名データが生成される。図１２はこの署名データの構造を示す図である。そして署名サーバＳＳＶは、ステップＳ８６により、上記署名データをHTTPプロトコルに従いネットワーク送信部３４からHTTPレスポンスとしてリクエスト元の基地局ＢＳ２へ返送する。
【００３６】
基地局ＢＳ２は、上記署名サーバＳＳＶから署名データが返送されると、この署名データを中継部２５でHTTPプロトコルに従い受信したのちリクエスト元の携帯端末ＭＳへ送信する（ステップＳ７５）。すなわち、署名データを送信元の署名サーバＳＳＶからリクエスト元の携帯端末ＭＳへ中継転送する。
【００３７】
携帯端末ＭＳは、ステップＳ６７において、上記基地局ＢＳ２からHTTPレスポンスとして返送された署名データを、HTTPプロトコルに従い無線受信部１７で受信する。署名データを受信すると携帯端末ＭＳは、ステップＳ６８により上記署名データを署名データ蓄積部１８に記憶させる。
【００３８】
すなわち、携帯端末ＭＳにおいてライフログデータブロックが生成されると、そのハッシュ値の生成からその送信、基地局ＢＳ２における署名元データの生成、当該署名元データに基づく署名サーバＳＳＶ２による署名データの生成とその返送、携帯端末ＭＳにおける当該署名データの蓄積までの一連の処理が、HTTPプロトコルに従い自動的に行われる。
【００３９】
（３）ライフログデータ及び署名データの検証
ライフログ蓄積部１４に蓄積されたライフログデータブロック及び署名データ蓄積部１８に蓄積された署名データの検証は以下のように行われる。図９は改ざん検証部１９によるライフログデータブロックの検証処理手順とその処理内容を、また図１０は改ざん検証部１９による署名データの検証処理手順とその処理内容をそれぞれ示すフローチャートである。
【００４０】
携帯端末ＭＳにおいて、検証対象となるライフログデータブロックの開始時刻情報が図示しない入力部により指定入力されると、改ざん検証部１９は先ずステップＳ９１により上記指定された開始時刻情報をキーとしてライフログ蓄積部１４から該当するライフログデータブロックを読み出す。そして、ステップＳ９２において、上記読み出されたライフログデータブロックのハッシュ値を計算する。
【００４１】
改ざん検証部１９は次に、ステップＳ９３により、上記指定されたライフログデータブロックと時刻が対応する署名データを署名データ蓄積部１８から読み出す。そして、この読み出された署名データからハッシュ値を取り出し、この署名データから取り出したハッシュ値と、上記ライフログデータブロックから計算したハッシュ値とを比較する。そして、ステップＳ９５により両ハッシュ値が一致するか否かを判定する。
【００４２】
この判定の結果、両ハッシュ値が一致すれば、上記ライフログデータブロックは改変されていないと判断し、その旨のメッセージを生成して表示部に表示させる。これに対し、両ハッシュ値が一致しなければ、上記ライフログデータブロックは改変されたおそれがあると判断し、その旨のメッセージを生成して表示部に表示させる。
【００４３】
以上のライフログデータブロックの検証処理により、ライフログデータブロックが改ざんされていないことが確認されれば、ライフログデータブロックに含まれる携帯端末ＭＳの位置情報等は改ざんされていない信頼性の高いデータと見なすことができる。
【００４４】
また、上記ライフログデータブロックの検証処理が終了すると改ざん検証部１９は、続いて署名データの検証処理を以下のように実行する。すなわち、改ざん検証部１９は図１０に示すように、先ずステップＳ１０１により上記指定されたライフログデータブロックと時刻が対応する署名データを署名データ蓄積部１８から読み出す。次に、ステップＳ１０２により、例えば公開鍵を管理するサーバから署名サーバＳＳＶが使用した署名用秘密鍵とペアをなす公開鍵を取得し、この公開鍵を用いて上記読み出された署名データに含まれる署名を復号する。そして、この復号された署名が一致するか否かをステップＳ１０４で判定する。
【００４５】
この判定の結果、署名が一致すれば上記署名データは改変されていないと判断し、その旨のメッセージを生成して表示部に表示させる。これに対し、署名が一致しなければ、上記署名データは改変されたおそれがあると判断し、その旨のメッセージを生成して表示部に表示させる。
【００４６】
以上の署名データ検証処理により、署名データに改ざんがないことが確認されれば、署名データに含まれる基地局ＩＤと時刻情報はともに改ざんされていない信頼性の高いデータと見なすことができる。
【００４７】
（４）位置偽装の検出
上記ライフログデータブロックの検証処理によりライフログデータブロック自体に改ざんがないことが確認されても、位置情報検出部１１が偽装されれば、上記ライフログデータブロックに含まれる位置情報は信頼のおけないものとなる。
そこで、この実施形態のシステムでは、携帯端末ＭＳの位置偽装検出部２０により以下のように位置情報検出部１１の偽装を検出するようにしている。図１１はその検出処理手順と処理内容を示すフローチャートである。
【００４８】
すなわち、位置情報検出部１１の偽装を確認するにあたっては、その開始時刻と終了時刻を入力部により指定入力する。例えば、偽装が疑われる日の０時から翌日の０時までの２４時間を指定する。そうすると位置偽装検出部２０は、先ずステップＳ１１１において、上記指定された時間帯に含まれる時刻情報が付与された署名データを署名データ蓄積部１８から順に読み出し、この読み出された各署名データからそれぞれ基地局ＩＤを取り出す（ステップＳ１１２）。なお、この署名データについては、事前に先に述べた改ざん検証処理により改ざんがないことを確認しておく。
【００４９】
位置偽装検出部２０は、続いてステップＳ１１３により、上記読み出された署名データと時刻が対応する各ライフログデータブロックをライフログ蓄積部１４から順に読み出し、この読み出された各ライフログデータブロックの例えば最後の時刻のログデータからそれぞれ位置情報を取り出す（ステップＳ１１４）。なお、この位置情報を取り出すログデータは最後でなくてもよい。
【００５０】
位置偽装検出部２０は、次に上記ライフログデータから取り出した位置情報、つまり位置情報検出部１１により実際に検出した自端末の位置情報と、対応する時刻に生成された署名データから取り出された基地局ＩＤ、つまり同じ時間帯に携帯端末ＭＳが無線通信可能エリア内に存在した基地局ＢＳ２の位置情報とを、ステップＳ１１５により比較する。そして、ライフログデータから取り出した位置情報が、署名データから取り出された基地局ＩＤの位置情報を中心とする無線通信可能エリア内に含まれているか否かを判定する。この判定は、例えばライフログデータから取り出した位置情報と、署名データから取り出された基地局ＩＤの位置情報との距離差を算出し、この距離差が基地局ＢＳ２の無線通信可能エリアの半径に相当する距離（許容範囲）以内であるか否かを判定することによりなされる。
【００５１】
位置偽装検出部２０は、以上の判定処理を上記すべてのライフログデータブロックについて行い、ライフログデータから取り出した位置情報が許容範囲内にあると判定されたライフログデータブロックの数をカウントする。そして、上記偽装監視対象期間（２４時間）に時刻情報が含まれるすべてのライフログデータブロックの数に対する、上記許容範囲内にあると判定されたライフログデータブロックの数の割合を計算し、この計算された割合が予め設定したしきい値以上であるか否かを判定する。この判定の結果、上記割合がしきい値以上であれば、位置情報検出部１１は偽装されていないと判断し、その旨のメッセージを生成して表示部に表示させる。これに対し、上記割合がしきい値未満であれば、位置情報検出部１１は偽装されているおそれがあると判断し、その旨のメッセージを生成して表示部に表示させる。
【００５２】
以上詳述したようにこの実施形態では、携帯端末ＭＳにおいてライフログデータブロックが生成されるごとに、このライフログデータブロックを蓄積すると共に、当該ライフログデータブロックのハッシュ値を計算してこのハッシュ値をHTTPプロトコルに従い基地局ＢＳ２に送信する。基地局ＢＳ２では、上記送られたハッシュ値に基地局ＩＤを付与し、これを署名元データとして署名サーバＳＳＶに送る。署名サーバＳＳＶでは、上記送られた署名元データに現在時刻情報を付加したのち秘密鍵を用いて署名を行い、この署名が付与された署名データを基地局ＢＳ２を介して要求元の携帯端末ＭＳへ返送し、携帯端末ＭＳで蓄積するようにしている。
【００５３】
また、携帯端末ＭＳでは、上記蓄積されたライフログデータブロックに含まれる自局の位置情報と、当該ライフログデータブロックと時刻が対応する署名データから基地局ＩＤとして取り出された位置情報とを比較し、その比較結果に基づいて上記位置情報検出部１１の偽装の有無を判定するようにしている。
【００５４】
したがって、携帯端末ＭＳに内蔵されている位置情報検出部１１が、ライフログデータブロックの生成前又は生成後に偽装されたとしても、当該ライフログデータブロックに含まれる位置情報と、同時刻に生成された署名データに基地局ＩＤとして挿入された基地局の位置情報との相違により、上記位置情報検出部１１の偽装を検出することが可能となる。
【００５５】
しかも、位置情報検出部１１の偽装の有無を判定する際に、ライフログデータから取り出した位置情報と、署名データから取り出された基地局ＩＤの位置情報との距離差を算出し、この距離差が基地局ＢＳ２の無線通信可能エリアの半径に相当する距離（許容範囲）以内であるか否かを判定する。そして、偽装監視対象期間に時刻情報が含まれるすべてのライフログデータブロックの数に対する、上記許容範囲内にあると判定されたライフログデータブロックの数の割合を計算し、この計算された割合が予め設定したしきい値以上である場合に、位置情報検出部１１は偽装されていないと判定するようにしている。
したがって、位置情報検出部１１により検出された位置情報に誤差が含まれ、この誤差が検出時刻により変化するような場合でも、この誤差を吸収して位置情報検出部１１の偽装の有無をより一層正確に判定することが可能となる。
【００５６】
また、上記蓄積されたライフログデータブロックから計算されるハッシュ値と、上記蓄積された署名データに含まれるハッシュ値とを比較することによりライフログデータブロックの改善の有無を検証すると共に、上記蓄積された署名データに含まれる署名を公開鍵を用いて復号することで署名データの改ざんの有無を検証している。このため、ライフログデータの改ざん及び署名データの改ざんをそれぞれ確実に検証することができる。
【００５７】
なお、この発明は上記実施形態に限定されるものではない。例えば、前記実施形態では改ざん検証部１９及び位置偽装検出部２０を携帯端末ＭＳに設けたが、これらの改ざん検証部１９及び位置偽装検出部２０の機能を署名サーバＳＳＶに設けるようにしてもよい。この場合、署名サーバＳＳＶは改ざんの検証及び位置偽装の検証に際し、携帯端末ＭＳからライフログ蓄積部１４に蓄積されたライフログデータ及び署名データ蓄積部１８に蓄積された署名データを基地局を介して取り込むことにより、実現できる。このようにすると、改ざん検証部１９及び位置偽装検出部２０自体が偽装される心配をなくすことができる。
【００５８】
また、署名データを署名サーバＳＳＶ２蓄積し、ライフログデータブロックの改ざん検証及び位置偽装の検証を行う際に、署名サーバＳＳＶがライフログデータブロックを携帯端末ＭＳから取得し、この取得したライフログデータブロックと上記蓄積された署名データとをもとに検証処理を行うようにしてもよい。
【００５９】
その他、携帯端末の種類とその構成、基地局の構成とその機能、署名サーバの構成とその機能、ライフログデータの収集処理手順とその内容、署名データの生成処理手順とその内容、改ざん検証処理手順とその内容、位置偽装検証手順とその内容等についても、この発明の要旨を逸脱しない範囲で種々変形して実施できる。
【００６０】
要するにこの発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
【符号の説明】
【００６１】
ＭＳ…携帯端末、ＢＳ１〜ＢＳ４…基地局、Ｅ１〜Ｅ４…無線通信エリア、ＳＳＶ…署名サーバ、ＮＷ…通信ネットワーク、ＡＰ…アクセスポイント、ＰＳＶ…プロキシサーバ、ＩＦ１，ＩＦ２…通信インタフェース、１１…位置情報検出部、１２…ライフログ収集部、１３…ライフログ一時蓄積部、１４…ライフログ蓄積部、１５…ハッシュ生成部、１６…無線送信部、１７…無線受信部、１８…署名データ蓄積部、１９…改ざん検証部、２０…位置偽装検出部、２１…無線受信部、２２…合成部、２３…基地局ＩＤ記憶部、２４…ネットワーク送信部、３１…ネットワーク受信部、３２…署名処理部、３３…秘密鍵記憶部、３４…ネットワーク送信部、１９１…公開鍵記憶部、１９２…ハッシュ生成部、１９３…改ざん検出処理部、２０１…基地局位置取得部、２０２…内部位置取得部、２０３…位置比較部。

【特許請求の範囲】
【請求項１】
各々が予め定められた地域に無線通信可能エリアを形成する複数の無線基地局と、これらの無線基地局が形成する無線通信可能エリア内で当該無線基地局との間で無線通信を行うことが可能な携帯端末と、前記各無線基地局を介して前記携帯端末との間で通信を行うことが可能な署名サーバとを具備し、
前記携帯端末は、
自端末の位置情報を検出する位置検出手段と、
前記検出された自端末の位置情報を含むライフログデータを生成し、この生成されたライフログデータを当該ライフログデータの生成時刻を表す情報に対応付けて第１のデータ蓄積手段に記憶させる手段と、
前記生成されたライフログデータのハッシュ値を生成し、この生成されたハッシュ値を前記無線基地局へ送信する手段と
を備え、
前記各無線基地局は、
自局の基地局識別情報を記憶する手段と、
前記携帯端末から送信されたハッシュ値を受信すると、この受信されたハッシュ値と前記記憶された自局の基地局識別情報とを合成して署名元データを生成し、この署名元データを前記署名サーバへ送信する手段と
を備え、
前記署名サーバは、
秘密鍵を記憶する手段と、
前記無線基地局から送信された署名元データを受信すると、この受信された署名元データに現在時刻情報を合成したデータに対し前記記憶された秘密鍵を用いて署名を行って署名データを生成する手段と、
前記生成された署名データを前記署名元データの送信元となる無線基地局へ返送する手段と
を備え、
前記無線基地局は、
前記署名サーバから返送された署名データを前記ハッシュ値の送信元となる携帯端末へ転送する手段を備え、
前記携帯端末は、
前記転送された署名データを受信して第２のデータ蓄積手段に記憶させる手段と、
前記第１のデータ蓄積手段に記憶されたライフログデータに含まれる自局の位置情報と、前記第２のデータ蓄積手段に記憶された署名データに含まれる基地局識別情報に対応する無線基地局の位置情報とを比較し、その比較結果に基づいて前記位置検出手段の偽装に対する有無を判定する位置偽装検出手段と
を備えることを特徴とするライフログデータ管理システム。
【請求項２】
前記位置偽装検出手段は、
偽装検出対象となる期間に生成された複数のライフログデータを前記第１のデータ蓄積手段から読み出す手段と、
前記複数のライフログデータと時刻が対応する複数の署名データを前記第２のデータ蓄積手段から読み出す手段と、
前記読み出された複数のライフログデータに含まれる自局の位置情報と、前記読み出された複数の署名データに含まれる基地局識別情報に対応する無線基地局の位置情報とを、時刻が対応するもの同士で比較する手段と、
前記比較の結果、前記自局の位置情報と前記無線基地局の位置情報との距離差が、当該無線基地局の無線通信可能エリアの大きさに応じて予め設定された許容範囲内となる回数を求め、全比較回数に対する当該許容範囲内となる回数の割合を算出する手段と、
前記算出された割合を予め設定されたしきい値と比較し、その結果を位置偽装の有無を表す情報として出力する手段と
を備えることを特徴とする請求項１記載のライフログデータ管理システム。
【請求項３】
前記携帯端末は、改ざん検証手段をさらに備え、
前記改ざん検出手段は、
前記第１のデータ蓄積手段に記憶されたライフログデータに基づいて当該ライフログデータのハッシュ値を再計算する手段と、
前記第２のデータ蓄積手段から前記ライフログデータと時刻が対応する署名データを読み出し、この署名データに含まれるハッシュ値と前記再計算されたハッシュ値とを比較する手段と、
前記ハッシュ値の比較結果を前記データログデータの改ざんの有無を表す情報として出力する手段と、
前記第２のデータ蓄積手段から署名データを読み出し、この署名データを前記秘密鍵に対応する公開鍵を用いて検証する手段と、
前記検証結果を署名の一致の有無を表す情報として出力する手段と
を有することを特徴とする請求項１又は２記載のライフログデータ管理システム。
【請求項４】
各々が予め定められた地域に無線通信可能エリアを形成する複数の無線基地局と、これらの無線基地局が形成する無線通信可能エリア内で当該無線基地局との間で無線通信を行うことが可能な携帯端末と、前記各無線基地局を介して前記携帯端末との間で通信を行うことが可能な署名サーバとを具備するシステムで使用されるライフログデータ管理方法であって、
前記携帯端末が、自端末の位置情報を検出する過程と、
前記携帯端末が、前記検出された自端末の位置情報を含むライフログデータを生成し、この生成されたライフログデータを当該ライフログデータの生成時刻を表す情報に対応付けて第１のデータ蓄積手段に記憶させる過程と、
前記携帯端末が、前記生成されたライフログデータのハッシュ値を生成し、この生成されたハッシュ値を前記無線基地局へ送信する過程と
前記無線基地局が、前記携帯端末から送信されたハッシュ値を受信すると、この受信されたハッシュ値と予め記憶された自局の基地局識別情報とを合成して署名元データを生成し、この署名元データを前記署名サーバへ送信する過程と、
前記署名サーバが、前記無線基地局から送信された署名元データを受信すると、この受信された署名元データに現在時刻情報を合成したデータに対し、予め記憶された秘密鍵を用いて署名を行って署名データを生成する過程と、
前記署名サーバが、前記生成された署名データを前記署名元データの送信元となる無線基地局へ返送する過程と、
前記無線基地局が、前記署名サーバから返送された署名データを前記ハッシュ値の送信元となる携帯端末へ転送する過程と、
前記携帯端末が、前記転送された署名データを受信して第２のデータ蓄積手段に記憶させる過程と、
前記携帯端末が、前記第１のデータ蓄積手段に記憶されたライフログデータに含まれる自局の位置情報と、前記第２のデータ蓄積手段に記憶された署名データに含まれる基地局識別情報に対応する無線基地局の位置情報とを比較し、その比較結果に基づいて前記位置検出手段の偽装の有無を判定する位置偽装検出過程と
を具備することを特徴とするライフログデータ管理方法。
【請求項５】
前記位置偽装検出過程は、
偽装検出対象となる期間に生成された複数のライフログデータを前記第１のデータ蓄積手段から読み出す過程と、
前記複数のライフログデータと時刻が対応する複数の署名データを前記第２のデータ蓄積手段から読み出す過程と、
前記読み出された複数のライフログデータに含まれる自局の位置情報と、前記読み出された複数の署名データに含まれる基地局識別情報に対応する無線基地局の位置情報とを、時刻が対応するもの同士で比較する過程と、
前記比較の結果、前記自局の位置情報と前記無線基地局の位置情報との距離差が、当該無線基地局の無線通信可能エリアの大きさに応じて予め設定された許容範囲内となる回数を求め、全比較回数に対する当該許容範囲内となる回数の割合を算出する過程と、
前記算出された割合を予め設定されたしきい値と比較し、その結果を位置偽装の有無を表す情報として出力する過程と
を備えることを特徴とする請求項４記載のライフログデータ管理方法。
【請求項６】
前記携帯端末が、改ざん検証過程をさらに具備し、
前記改ざん検出過程は、
前記第１のデータ蓄積手段に記憶されたライフログデータのハッシュ値を再計算する過程と、
前記第２のデータ蓄積手段から前記ライフログデータと時刻が対応する署名データを読み出し、この署名データに含まれるハッシュ値と前記再計算されたハッシュ値とを比較する過程と、
前記ハッシュ値の比較結果を前記データログデータの改ざんの有無を表す情報として出力する過程と、
前記第２のデータ蓄積手段から署名データを読み出し、この署名データを前記秘密鍵に対応する公開鍵を用いて検証する過程と、
前記検証結果を署名の一致の有無を表す情報として出力する過程と
を有することを特徴とする請求項４又は５記載のライフログデータ管理方法。
【請求項７】
請求項１乃至請求項３のいずれかに記載のライフログデータ管理システムにおいて、各手段に相当する処理を、前記携帯端末、前記無線基地局及び前記署名サーバの各プロセッサに実行させるプログラム。

【図１】

【図２】

【図３】

【図４】

【図５】

【図６】

【図７】

【図８】

【図９】

【図１０】

【図１１】

【図１２】

【公開番号】特開２０１０−２０６７０２（Ｐ２０１０−２０６７０２Ａ）
【公開日】平成２２年９月１６日（２０１０．９．１６）
【国際特許分類】
【出願番号】特願２００９−５２２７８（Ｐ２００９−５２２７８）
【出願日】平成２１年３月５日（２００９．３．５）
【出願人】（０００００４２２６）日本電信電話株式会社 (13,992)
【Ｆターム（参考）】