位置管理と鍵管理の統合方法
【課題】移動体端末に位置依存サービスを提供する位置鍵管理システムにおいて、複数の位置管理機能と複数の鍵管理機能を、柔軟かつ安全に組み合わせて、安全な暗号化位置依存サービス(CLBS)を実現する。
【解決手段】位置鍵サーバは位置鍵関数を備える。位置鍵関数は、鍵依存位置処理関数(KLF)と位置依存鍵処理関数(LKF)を備え、それぞれの関数は、位置管理関数と鍵管理関数とポリシ判定関数からなる。位置鍵クライアントの要求に応じて、位置鍵サーバは位置鍵の生成を行う。その際、位置管理処理と鍵管理処理における位置鍵クライアントの同一性を確認することにより、2つの関数の結合性を強化する。位置鍵ポリシに従って、位置管理処理と鍵管理処理の一方を他方に依存させて位置鍵を生成し、位置鍵クライアントに提供する。
【解決手段】位置鍵サーバは位置鍵関数を備える。位置鍵関数は、鍵依存位置処理関数(KLF)と位置依存鍵処理関数(LKF)を備え、それぞれの関数は、位置管理関数と鍵管理関数とポリシ判定関数からなる。位置鍵クライアントの要求に応じて、位置鍵サーバは位置鍵の生成を行う。その際、位置管理処理と鍵管理処理における位置鍵クライアントの同一性を確認することにより、2つの関数の結合性を強化する。位置鍵ポリシに従って、位置管理処理と鍵管理処理の一方を他方に依存させて位置鍵を生成し、位置鍵クライアントに提供する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、位置管理と鍵管理の統合方法に関し、特に、移動体端末に位置依存サービスを提供する位置鍵管理システムにおいて、位置鍵サーバの複数の位置管理関数と複数の鍵管理関数を柔軟かつ安全に組み合わせる位置管理と鍵管理の統合方法に関する。
【背景技術】
【0002】
近年、ユビキタスコンピューティングの分野において、移動体端末の実環境に依存した情報を利用するサービス(Context Awareness Service)の提供が検討されている。このようなサービスが提供できることは、ユビキタスコンピューティングの特徴の一つである。実環境の情報として位置情報を利用したものを、位置依存サービス(LBS: Location Based Service)と呼び、今後の普及が期待されている。位置依存サービス(LBS)としては、特定位置への情報配信や、歩行者案内や、移動体のトラッキング(非特許文献9、非特許文献16)や、アクセスコントロールや、位置証明書の発行(非特許文献15)等がある。
【0003】
多くの高価値な位置依存サービス(LBS)は安全性を要求するので、暗号技術を利用する。暗号化位置依存サービス(CLBS: Cryptographic Location Based Service)とは、安全性向上のために暗号技術を利用した位置依存サービス(LBS)である。鍵管理技術と位置管理技術を要素として構成される。暗号化位置依存サービス(CLBS)の例としては、次のようなものが考えられる。1つは、社内ではノートパソコンに保存された社外秘文書を閲覧できるが、社外に移動した場合は文書が暗号化されて閲覧できなくなるシステムである。他の1つは、社長印や社印代わりのディジタル署名鍵は、社長室などの特定の場所でしか署名に使用できないシステムである。
【0004】
暗号化位置依存サービス(CLBS)の技術要素としては、鍵管理と位置管理がある。鍵管理には、サービス提供者によるクライアントの認証や、通信路の暗号化に利用するセッション鍵の共有等がある。位置管理には、クライアントの位置を検証することがある。暗号化位置依存サービス(CLBS)の実現のためには、クライアントの認証や鍵共有などを行う鍵管理機能と、クライアントの位置を把握する位置管理機能が連携する必要がある。鍵管理については、従来、暗号分野において数多くの研究が行われてきた。
【0005】
位置管理については、GPS (Global Positioning System)やレーダーによる測位方式が既に実用化されている。主にアウトドアをターゲットとした測位方式としては、GPSを利用した方式(非特許文献7)や、携帯電話やPHSの基地局を利用した方式や、レーダーを利用した方式がある。主にインドアをターゲットとした測位方式としては、無線LANを利用した方式(非特許文献10)や、RFID (Radio Frequency Identification)を利用した方式(非特許文献12)や、センサネットワークを利用した方式(非特許文献14)がある。最近では、前者から後者に研究の主軸が移って来ていて、無線LANやRFIDを利用した方式の実用化が進んでいる。
【0006】
また、移動体端末の位置を安全に検証する技術についても、研究が始まっている。通信遅延を利用した方式(非特許文献1、非特許文献2、非特許文献3、非特許文献5、非特許文献13、非特許文献15)のように、安全性を重視した方式の研究も行われている。これらの方式には、利用範囲やコストなど、様々な種類が存在する。コストの面では、GPSのように衛星という非常に高コストのものから、RFIDのように低コストのものまである。安全性の面では、RFIDのように安全性の低いものから、通信遅延を利用する方式のように、ある程度安全性が保証されたものまである。
【0007】
これまでは、位置管理機能と鍵管理機能は、個別に研究されてきた。今後、位置依存サービス(LBS)が普及するに従い、より安全性を要求する位置依存サービス(LBS)が出現してくると考えられる。そのため、鍵管理と位置管理のそれぞれの安全性を高めるとともに、それらを連携させたトータルシステムとして安全な暗号化位置依存サービス(CLBS)を実現する必要がある。特定機能に限定した形ではあるが、従来も鍵管理と位置管理を統合した方式が提案されている。例えば、パーソナル無線デバイスをPCに近づけたときだけ認証が行われて、暗号化されたファイルが復号されるシステムや、信頼できるアクセスポイントからのビーコンの電波強度を利用して、信頼できない端末の位置を確認して鍵を生成するシステムや、移動体端末の位置検証後に、その位置に存在したことを示す証明書を発行するシステムなどが提案されている。これらは、位置検証後に鍵共有や鍵配送を行うものであり、位置管理と鍵管理を単純に統合したものである。以下に、これに関連する従来の例をいくつかあげる。
【0008】
特許文献1に開示された「情報保護装置」は、可搬性を有するコンピュータ等の内部に記憶された情報の安全性を確保する情報保護装置である。機能制御部は、位置検出部によって検出された情報処理装置の現在位置が、範囲決定部の決定した情報処理装置の移動可能範囲外であったとき、情報処理装置の記憶媒体を固定的に停止させたり、情報処理装置の電源回路を停止させたりする。
【0009】
特許文献2に開示された「位置証明方法」は、指紋認証機能搭載携帯電話において、基地局による位置確認を利用した人がある時刻にある場所に存在したことを客観的に証明する位置証明法であり、人がある時刻にある場所に存在したことを客観的に証明し得る方法である。位置証明を受けたいユーザが、携帯電話に自分の指紋を読み取らせると、指紋データがサーバに送信される。サーバは、携帯電話から送信された指紋データを受信すると、予めデータベースに登録してある照合用指紋データと照合して、携帯電話のユーザを確認する。続いてサーバは、その認証時刻を取得すると共に、位置証明要求のあった携帯電話の基地局番号をサービス局から取得して、当該ユーザに対応付けてデータベースの位置登録ファイルに記憶する。また、サーバは、PDAからの位置証明書発行要求に基づいて、データベースの位置登録ファイルに記憶してある被証明者の位置、時間に係わる位置証明書(電子データ)を、電子署名付きで発行する。また、位置登録動作時や位置証明書発行時に課金を行う。
【0010】
非特許文献4に開示されたものは、信頼できるアクセスポイントからのビーコンの電波強度を利用して、信頼できない端末の位置を確認し、鍵を生成するシステムである。非特許文献6に開示されたものは、パーソナル無線デバイスをPCに近づけたときだけ認証が行われて暗号化されたファイルが復号されるシステムである。
【0011】
【特許文献1】特開平9-185554号公報
【特許文献2】特開2003-284113号公報
【非特許文献1】J. Anzai, T. Matsumoto, "Location Verification (1): Location Verification Schemes Resistant Against Relay Attack," Proc. of SCIS2005, 2B4-3, 2005.
【非特許文献2】J. Anzai, T. Matsumoto, "Location Verification (2): Plural Provers Verifiable Location Verification Schemes," Proc. of SCIS2005, 2B4-4, 2005.
【非特許文献3】S. Brands, D. Chaum, "Distance-Bounding Protocols, "Proc. of Eurocrypto'93, Springer-Verlag, pp. 344-359, 1993.
【0012】
【非特許文献4】S. Banerjee, A. Mishra, "Secure Spaces: Location-based Secure Wireless Group Communication," Mobile Computing and Communications Review, Volume 1, Number 2, 2002.
【非特許文献5】S. Capkun, J. P. Hubaux, "Securing position and distance verification in wireless networks," Technical report EPFL/IC/200443, submitted to ACM MobiCom04, 2004.
【非特許文献6】M. D. Corner, B. D. Noble, "Zero-Interaction Authentication," In Proc. of MOBICOM'02, 2002.
【非特許文献7】E. Gabber and A. Wool, "How to prove where you are: Tracking the location of customer equipment," In Proc. 5th ACM Conf. Computer and Communications Security (CCS), pp. 142-149, 1998.
【非特許文献8】S. Haber, W. S. Stornetta, "How to Time-Stamp a Digital Document," Journal of Cryptology: the Journal of the International Association for Cryptologic Research 3, 2 (1991), 99-111, 1991.
【非特許文献9】M. Izumi, S. Takeuchi, Y. Watanabe, K. Uehara, H. Sunahara, J. Murai, "A Proposal on a Privacy Control Method for Geographical Location Information Systems," Proc. of INET'00, 2000.
【0013】
【非特許文献10】T. Kitasuka, T. Nakanishi, and A. Fukuda, "Indoor Location Sensing Techinique using Wireless Network," In Proc. of Computer System Symposium'02, pp. 83-90, 2002.
【非特許文献11】JSR 118 Expert Group, Java(登録商標) Community Process, "Mobile Information Device Profile for Java(登録商標) 2 Micro Edition Version 2.0," 2002.
【非特許文献12】K. Nakanishi, J. Nakazawa, and H. Tokuda, "LEXP: Preserving User Privacy and Certifying the Location Information," 2nd Work- shop on Security in Ubiquitous Computing Ubicomp'03, 2003.
【非特許文献13】N. Sastry, U. Shankar, and D. Wagner, "Secure Verification of Location Claims, " Report No. UCB//CDS-03-1245, University of California, Berkekey.
【非特許文献14】A. Vora, M. Nesterenko, "Secure Location Verification Using Radio Broadcast," In Proc. of OPODIS 2004: 8th International Conference on Principles of Distributed Systems, 2004.
【非特許文献15】B. R. Waters, E. W. Felten, "Secure, Private Proofs of Location," Princeton University Computer Science Technical Reports, TR-667-03, 2003.
【非特許文献16】Y. Watanabe, S. Takeuchi, F. Teraoka, K. Uehara and J. Murai, "The Geographical Location Information System with Privacy Protection," IPSJ Journal, Vol. 37, No. 6, 1996.
【非特許文献17】J. Anzai, T. Matsumoto, "Interaction Key Generation Schemes," IEICE Trans. Fundamentals, Special Issue on Cryptography and Information Security, Vol. E87-A, No. 1, pp. 152-159, 2004.
【発明の開示】
【発明が解決しようとする課題】
【0014】
しかし、従来の位置管理機能と鍵管理機能の統合方法では、次のような問題がある。従来の方法は、特定の位置管理と鍵管理の組合せの実現方法であり、位置管理と鍵管理の統合機能や統合方法が明らかでないため、結合部分に対する安全性が不明である。位置管理と鍵管理の統合機能の安全性を中心とした全体像は明らかになっていない。単に両技術を組み合わせても安全とはかぎらない。位置管理と鍵管理の不完全な統合では、暗号化位置依存サービス(CLBS)に対する攻撃を受ける可能性がある。例えば、サーバが特定位置の端末と鍵共有を行う際に、クライアントの位置を検証後に単に鍵共有をするだけでは、攻撃者が割り込んでサーバと鍵共有するという攻撃を検出できない可能性がある。
【0015】
本発明の目的は、上記従来の問題を解決して、移動体端末に位置依存サービスを提供する位置鍵管理システムにおいて、柔軟かつ安全に複数の位置管理と複数の鍵管理を組み合わせて、安全な暗号化位置依存サービス(CLBS)を実現することである。
【課題を解決するための手段】
【0016】
上記の課題を解決するために、本発明では、移動体端末である位置鍵クライアントと、位置管理手段および鍵管理手段を有し位置管理と鍵管理を統合した位置鍵管理手段を備えて位置鍵を用いたサービスを位置鍵クライアントに提供する位置鍵サーバとからなる位置鍵管理システムにおける位置及び鍵管理方法を、位置鍵クライアントが、位置鍵サービス要求情報を位置鍵サーバに送信して位置鍵サービスの提供を要求し、位置鍵サーバが、位置鍵クライアントから位置鍵サービス要求情報を受信し、位置鍵管理手段により、位置鍵クライアントの同一性を確認しながら位置管理処理と鍵管理処理の一方を他方に依存させて位置鍵を生成する方法とした。また、位置鍵サーバに、ポリシ判定手段とポリシ記憶手段とを備え、位置鍵サービス要求情報中の要求種別とポリシ記憶手段に保持してある位置鍵ポリシとに従って、ポリシ判定手段によりポリシ制御を行う方法とした。
【発明の効果】
【0017】
上記のような方法としたことにより、移動体端末に位置依存サービスを提供する位置鍵管理システムにおいて、複数の位置管理機能と複数の鍵管理機能を柔軟かつ安全に組み合わせて、安全な暗号化位置依存サービス(CLBS)を実現できる。すなわち、位置管理手段と鍵管理手段の一方の出力を他方の入力とし、両手段でクライアントの一致を確認して、位置管理機能と鍵管理機能の結合性を強化する。また、位置鍵ポリシに基づいて実行制御を行うことにより、条件に適合した場合のみ位置鍵が発行されるので、安全性が高まる。
【発明を実施するための最良の形態】
【0018】
以下、本発明を実施するための最良の形態について、図1〜図7を参照しながら詳細に説明する。
【実施例】
【0019】
本発明の実施例は、位置鍵クライアントからの位置鍵サービス要求に応じて、位置管理手段と鍵管理手段とポリシ制御手段とを備えた位置鍵サーバで、位置管理処理と鍵管理処理における位置鍵クライアントの同一性を確認しながら、位置鍵ポリシに基づいて、鍵管理手段の出力を位置管理手段の入力とするか、位置管理手段の出力を鍵管理手段の入力として、位置管理処理と鍵管理処理の一方を他方に依存させて位置鍵を生成し、位置鍵クライアントに位置鍵サービスを提供する位置鍵管理システムである。
【0020】
図1は、本発明の実施例における位置鍵管理システムの構成を示す概念図である。図1において、位置鍵サーバ(S)は、位置管理と鍵管理を統合して処理する位置鍵関数を備え、位置鍵ポリシに従い、位置鍵クライアントに位置鍵サービスを提供する装置である。位置鍵サーバは、位置管理手段の出力を鍵管理手段の入力とする位置依存鍵処理関数(第1の位置鍵管理手段)と、鍵管理手段の出力を位置管理手段の入力とする鍵依存位置処理関数(第2の位置鍵管理手段)一方または両方を備える。位置鍵サーバは、ポリシ判定手段とポリシ記憶手段とを備え、位置鍵サービス要求情報中の要求種別とポリシ記憶手段に保持してある位置鍵ポリシとに従って、ポリシ判定手段によりポリシ制御を行う。位置鍵関数を実行する手段を位置鍵手段という。他の関数についても同様である。位置鍵クライアント(C)は、位置鍵サーバに位置鍵サービスの提供を要求する装置である。位置鍵サービスとは、位置鍵を用いた何らかの位置情報サービスのことである。
【0021】
位置依存鍵処理関数(LKF: Location operating then Key operating Function)は、位置管理関数の出力に依存して鍵管理処理を実行する関数である。鍵依存位置処理関数(KLF: Key operating then Location operating Function)は、鍵管理関数の出力に依存して位置管理処理を実行する関数である。位置管理関数(位置管理手段)は、位置証明機能と位置検証機能のいずれかまたは両方の機能を果たす。位置管理手段は、クライアント依存データを入力して位置鍵クライアントの同一性を確認し位置トークンを出力する。位置管理手段への入力は、クライアント識別情報と一時的識別情報と管理鍵と位置トークンのうちのいずれか1つまたは複数である。鍵管理関数(鍵管理手段)は、鍵生成機能と鍵発行機能と鍵共有機能と鍵無効化機能と鍵配送機能と鍵アクセス制御機能のいずれか1つまたは複数の機能を果たす。鍵管理手段は、クライアント依存データを入力して位置鍵クライアントの同一性を確認し管理鍵を出力する。クライアント依存データは、クライアント識別情報と位置と時刻のいずれか1つまたは複数に依存する。
【0022】
位置鍵ポリシは、位置依存鍵処理関数(LKF)と鍵依存位置処理関数(KLF)を実行する条件を記載したデータである。位置鍵ポリシは、ポリシ記憶手段に格納されている。位置鍵ポリシは、位置鍵クライアントの属性と位置鍵処理の種別と位置鍵発行条件のうちのいずれか1つまたは複数の項目を持つ。位置トークン(LT: Location Token)は、位置鍵サーバの測位手段により得られた位置情報をディジタル化したデータである。位置鍵は、ある時刻における位置鍵クライアントとの相対的な位置関係とクライアント鍵により定まる鍵である。位置鍵サーバ情報(InfoS)は、位置鍵サーバに関する情報(乱数、位置、時刻、内部状態等)である。乱数(R)は、一時的な識別情報として用いる乱数である。サーバ秘密鍵(SK)は、位置鍵サーバが秘密に保持する鍵である。
【0023】
要求種別は、発行を要求する位置鍵の生成条件などの種別である。要求種別には、位置管理種別と、鍵管理種別と、位置トークン種別と、プライバシ種別がある。クライアント秘密鍵(CK)は、移動体端末固有の秘密鍵又は秘密鍵と公開鍵のペアである。位置鍵補助関数は、位置鍵の要求などに必要な補助的な処理を行う関数である。位置鍵クライアント情報(InfoC)は、位置鍵クライアントに関する情報(乱数、位置、時刻等)である。
【0024】
図2は、位置鍵管理システムの位置鍵ポリシ(LKP)の例を示す表である。図3は、位置トークンと位置鍵サーバと測位方式の関係を示す表である。図4は、位置鍵サーバ内の位置鍵関数の内の鍵依存位置処理関数(KLF)の構成を示す概念図である。図5は、位置鍵サーバ内の位置鍵関数の内の位置依存鍵処理関数(LKF)の構成を示す概念図である。図4と図5において、鍵管理関数(KMF)は、クライアント依存データ(DataCK)と、鍵管理種別(KMT)と、クライアント識別情報(CID)と、サーバ識別情報(SID)と、位置鍵クライアント情報(InfoC)と、位置鍵サーバ情報(InfoS)を入力して、処理鍵(PK)を出力する関数である。位置管理関数(LMF)は、クライアント依存データ(DataCK)と、位置管理種別(LMT)と、クライアント識別情報(CID)と、サーバ識別情報(SID)と、サーバ秘密鍵(SK)と、位置鍵クライアント情報(InfoC)と、位置鍵サーバ情報(InfoS)と、位置トークン種別(LTT)を入力して、位置トークン(LT)を出力する関数である。
【0025】
ポリシ判定関数(PJF: Policy Judgment Function)は、クライアントプライバシ種別(CPT)と、位置鍵ポリシ(LKP)と、位置鍵サーバの内部状態(LKS)と、位置鍵管理種別(LKT)と、クライアント識別情報(CID)と、位置鍵クライアント情報(InfoC)を入力して、位置鍵生成の処理条件を判定し、鍵管理種別(KMT)と、{クライアントプライバシ種別(CPT)、位置管理種別(LMT)、位置トークン種別(LTT)}の組、又は「拒否(Reject)」を出力する関数である。連続性確認値(CCV: Context Connection Value)は、前後関係の辻褄を合わせるための値(クライアント識別情報(CID)、乱数(R)、処理鍵(PK)、位置トークン(LT))である。処理鍵(PK)は、クライアント秘密鍵を入力とした鍵管理関数の出力である秘密鍵又は秘密鍵と公開鍵のペアである。位置鍵管理種別(LKT)は、位置鍵管理の種別((KMT||LMT)又は(LMT||KMT))を示すデータである。クライアントプライバシ種別(CPT)は、位置鍵クライアントのプライバシの種別(匿名(AM)、匿位置(LH)、匿時間(TH)、「なし(None)」又はそれらの組合せ)を示すデータである。
【0026】
図6は、位置鍵管理システムの動作手順を示す流れ図である。図7は、鍵管理と位置管理の組合せを示す表である。
【0027】
上記のように構成された本発明の実施例における位置鍵管理システムの動作を説明する。最初に、図1を参照しながら、位置鍵管理システムのエンティティを説明する。位置鍵管理システムのエンティティは、位置鍵サービスを要求する位置鍵クライアントと、位置鍵関数によるサービスを提供する位置鍵サーバである。それぞれは、1つでも複数でもよい。
【0028】
位置鍵クライアント(Location Key Client)は、位置鍵サービスを要求する移動体端末である。位置鍵クライアントは、クライアント識別情報を含む位置鍵発行要求情報を位置鍵サーバに送信して、位置鍵の発行を要求する。クライアント識別情報(CID)は、位置鍵クライアントの固有の識別情報である。この例では、“i”とする。識別情報(ID)が“i”である位置鍵クライアント(Ci)は、ユニークなクライアント秘密鍵(CKi)を保持する。識別情報を問題にしない場合は、単に位置鍵クライアント(C)と記す。位置鍵クライアント自身の位置情報や時刻情報や乱数を取得できる場合がある。クライアント情報(InfoC)は、位置鍵クライアントに関する情報(乱数、位置、時刻等)である。クライアント依存データ(DataCK)は、クライアント秘密鍵(CK)(及びクライアント情報)に依存したデータである。位置鍵クライアントは、携帯電話やノートPCなどである。
【0029】
位置鍵サーバ(Location Key Server)は、位置鍵クライアントに対して位置鍵サービスを提供するサーバである。位置鍵サーバは、位置鍵クライアントから位置鍵サービス要求情報を受信し、位置鍵管理手段により、位置鍵クライアントの同一性を確認しながら、位置管理処理と鍵管理処理の一方を他方に依存させて位置鍵を生成する。位置鍵管理機能を果たす手段として、鍵依存位置処理関数(KLF)と位置依存鍵処理関数(LKF)を有する。これらの関数を、位置鍵ポリシに従って制御する。位置鍵サーバは、位置鍵要求情報に応じて、位置依存鍵処理関数(第1の位置鍵管理手段)と鍵依存位置処理関数(第2の位置鍵管理手段)のいずれか1つに切り換える。位置管理手段と鍵管理手段が複数の機能を持つ場合は、そのうちのいずれか1つの機能に切り換えて、位置管理に依存させて鍵管理を行うか、鍵管理に依存させて位置管理を行うかにより、位置鍵を生成する。サーバ識別情報(SID)は、位置鍵サーバの固有の識別情報である。この例では、“j”とする。識別情報(ID)が“j”である位置鍵サーバ(Sj)は、サーバ秘密鍵(SKj)と、自身の位置情報と、乱数と、時刻情報を有する場合がある。サーバ情報(InfoS)は、位置鍵サーバに関する情報(乱数、位置、時刻、内部状態等)である。識別情報を問題にしない場合は、単に位置鍵サーバ(S)と記す。
【0030】
位置鍵サーバの種類を説明する。
(1)ステーション(Station)は、携帯電話やPHSの基地局、又は公衆無線LANのアクセスポイント(それと接続されたPCも含む)のような、特定位置に固定され、比較的高い計算能力を有する装置である。単体で信頼できるものとする。
(2)モバイル(Mobile)は、ノートPCやPDAや携帯電話のような移動体であり、中程度の計算能力を有する装置である。単体では必ずしも信頼できないものとする。
(3)センサ(Sensor)は、センサネットワークにおけるセンサノードやRFIDにおけるアクティブ型ICタグのような、特定の位置に配置され、低い計算能力を有し、能動的動作が可能な装置である。単体では信頼できないものとする。
(4)タグ(Tag)は、RFIDのパッシブ型ICタグのような、特定位置に配置され、計算能力はほとんど無く、受動的動作を行う装置である。単体では信頼できないものとする。身に付ける場合は、センサと同様である。
【0031】
位置鍵クライアントの位置を計測する方式、又は位置に関する情報を取得する方式を、測位方式と呼び、以下のものを想定する。
(1)申告型(Report type)は、位置鍵クライアントが位置鍵サーバに自身の位置を自己申告する方式であり、位置鍵クライアントの測位を補佐するシステム(GPS等)が存在する場合が多い。
(2)推測型(Inference type)は、検証者が位置鍵クライアントの位置を証拠から推測する方式である。検証時に位置鍵サーバと位置鍵クライアントが対話することもある。主にRFIDを利用した方式であり、証拠(RFIDの識別情報)から位置を推測する。
(3)直接型(Direct type)は、位置鍵クライアントの位置を位置鍵サーバが直接検証する方式である。通信遅延を利用した方式のように、位置鍵クライアントと位置鍵サーバの対話により検証する対話式と、レーダーを利用した方式のように、位置鍵サーバが一方的に位置鍵クライアントを検証する一方向式に分類できる。位置鍵サーバは、単数の場合と複数の場合がある。
【0032】
第2に、位置管理について説明する。位置管理(Location management)は、位置検証と位置証明の総称である。位置検証(Location verification)とは、検証者が、移動体の位置を直接検証することである。位置検証結果は位置情報である。ただし、他のエンティティに位置検証結果を提供する場合は、位置検証結果を位置トークンに変換する。位置証明(Location certification)とは、移動体の位置情報を、第三者に証明することと、第三者が位置情報を検証することである。移動体の位置情報は、位置トークンとして第三者に提供される。位置管理に関する個々の機能の実行を位置演算(Location operating)と呼ぶ。位置管理種別(LMT)は、位置管理の種別(検証、証明、「なし(None)」)を示すデータである。
【0033】
位置管理において扱う位置(Location)は、次の4種類である。
(1)距離(Distance)は、移動体と他のエンティティとの相対距離である。
(2)範囲(Region)は、移動体が存在する範囲である。
(3)場所(Position)は、移動体が存在する点である。
(4)経路(Route)は、移動体が移動した経路である。
【0034】
第3に、鍵管理について説明する。鍵管理は、次の鍵(Key)を対象とする。
(1)クライアント秘密鍵(CK)は、移動体端末固有の秘密鍵又は秘密鍵と公開鍵のペアであり、秘密鍵は移動体端末内に安全に保管される。クライアント秘密鍵(CK)は、位置鍵クライアントが秘密に保持する鍵である。
(2)処理鍵(PK)は、クライアント秘密鍵(CK)を入力として、鍵管理関数が出力する秘密鍵又は秘密鍵と公開鍵のペアである。
【0035】
サーバ秘密鍵(SK)は、位置鍵サーバが秘密に保持する鍵である。位置鍵(LK)は、位置サーバが発行する位置を証明する鍵である。鍵管理種別(KMT)は、鍵管理の種別(発行、生成、共有、配送、無効化、制御、「なし(None)」)を示すデータである。
【0036】
鍵管理(Key management)は、次の各機能の総称であり、機能の実行を鍵演算(Key operating)と呼ぶ。入力はクライアント鍵であり、出力は管理鍵である。
(1)鍵発行(Key issuing)は、公開鍵証明書を含む鍵の発行機能である。
(2)鍵共有(Key sharing)は、複数のエンティティによる鍵の共有機能である。鍵交換(Key exchange)も含む。
(3)鍵配送(Key distribution)は、特定のエンティティへの鍵の配送機能である。
(4)鍵生成(Key generation)は、単一又は複数のエンティティによる鍵の生成機能である。
(5)鍵無効化(Key revocation)は、鍵の無効化機能である。特定の鍵を利用できなくする全ての処理である。結果として特定の鍵が利用できなくなる鍵共有(Key sharing)と鍵生成(Key generation)を含む。
(6)鍵制御(Key access control)は、鍵のアクセス制限機能である。
【0037】
位置鍵とは、位置鍵関数の出力であり、ある時刻における位置鍵クライアントとの相対的な位置関係とクライアント鍵により定まる次の鍵の総称である。位置依存鍵処理関数(LKF)の出力である管理鍵と、鍵依存位置処理関数(KLF)の出力である位置トークンが、対象とする鍵である。位置鍵サーバは、位置依存鍵処理関数(LKF)及び鍵依存位置処理関数(KLF)を備え、位置鍵ポリシに従い、位置鍵クライアントにそれらの位置鍵管理機能を用いたサービスを提供する。
【0038】
位置鍵ポリシとは、位置依存鍵処理関数(LKF)と鍵依存位置処理関数(KLF)を実施する条件を記載したデータである。内部状態(LKS)は、位置鍵ポリシ(LKP)の判定に必要な位置鍵サーバの内部状態(例えば、現在位置、残金、特定の鍵の有無など)である。図2に、位置鍵ポリシ(LKP)の例を示す。位置鍵ポリシ(LKP)は、複数のレコード(Record)からなり、レコードは三つの項目(Item)を含む。項目(Item)は、属性(Attribute)が、クライアント又はその属性を意味し、動作(Action)は、クライアントに許可された処理を意味し、条件(Condition)は、許可に必要な条件を意味する。
【0039】
第4に、位置トークンについて説明する。位置トークン(LT)は、位置鍵サーバの測位機能により得られた位置鍵クライアントの位置情報を様々な形式でディジタル化したデータである。位置鍵トークンは、少なくとも位置鍵クライアントの識別情報と、位置鍵クライアントの位置に関する情報(位置鍵サーバが特定位置に固定されている場合、サーバ識別情報(SID)も位置鍵クライアントの位置を特定する材料となるため、対象に含める)と、位置鍵関数が実行された時刻情報の少なくとも一つを含む。位置トークン種別(LTT)は、位置トークンの種別(位置証明書(LC)、位置証拠(LE)、位置リファレンス(LR)、「なし(None)」)を示すデータである。位置トークン(LT)は、位置鍵を含んで発行されるか、特定の位置鍵とペアで発行される。異なる測位機能を備えた複数の位置トークン提供者と、提供された位置トークンを用いて自身の位置を証明する証明者と、位置トークンにより証明者の位置を検証する検証者とからなる位置トークンモデルを想定する。これに類似した従来の例として、単一の測位機能を前提とした狭義の位置トークンモデルが、非特許文献15に開示されている。
【0040】
現時点で存在する位置鍵サーバと測位技術に合わせて、以下の種類の位置トークンを定義する。
(1)位置鍵証明書(LC: Location Key Certificate)は、位置鍵クライアント(Ci)の位置情報(Li)と、処理時刻(Ti)と、発行先である位置鍵クライアント(Ci)の識別情報である“i”と、発行元である位置鍵サーバ(Sj)の識別情報である“j”に対して、信頼できる位置鍵サーバ(Sj)がディジタル署名したメッセージである。公開鍵証明書に位置情報を追加し、公開鍵の代わりに位置鍵としたものといえる。また、鍵に対するタイムスタンプ(非特許文献8)に位置情報を追加したものと捉えることもできる。位置鍵サーバ(Sj)としては、ステーション又はモバイルを想定し、測位方式としては直接型を想定する。
【0041】
(2)位置鍵証拠(LE: Location Key Evidence)は、位置鍵クライアント(Ci)が位置鍵サーバ(Sj)から取得した位置に関する情報であり、メッセージ認証符号(MAC: Message Authentication Code、以降MACと記載した場合は、安全なMAC関数を使用するとする)が付加される。位置鍵サーバ(Sj)としてセンサを想定し、測位方式として推測型を想定しており、位置証拠はセンサの識別情報又は位置鍵クライアント(Ci)の位置情報(Li)である。処理時刻(Ti)と、発行先である位置鍵クライアント(Ci)の識別情報である“i”と、発行元である位置鍵サーバ(Sj)の識別情報である“j”と、位置鍵を含む場合もある。
【0042】
(3)仮位置鍵証拠(PLE: Provisional Location Key Evidence)は、位置鍵クライアント(Ci)が位置鍵サーバ(Sj)から取得した位置に関する情報である。位置鍵サーバ(Sj)としてタグを想定し、測位方式として推測型を想定しており、仮位置証拠はタグの識別情報となる。
【0043】
(4)位置リファレンス(LR: Location Reference)は、位置鍵クライアント(Ci)が位置鍵サーバ(Sj)以外の補助エンティティを利用して自身で計算した位置情報である。補助エンティティとしてGPS衛星を想定する。測位機能として、申告型に対応する。なお、位置リファレンス(LR)を位置鍵サーバ(Sj)が発行することはないが、位置鍵クライアント(Ci)から受け取った場合に、他の形式の位置トークンとして発行する場合がある。
【0044】
位置トークンと位置鍵サーバと測位方式の関係を、図3に示す。表中のハイフン(−)は、現時点で存在しないシステムである。そのようなシステムが出現した場合は、対応する位置トークンを新たに定義することで、利用することができる。また、ステーション(Station)とモバイル(Mobile)とセンサ(Sensor)は、位置リファレンス(LR)を受け取って、位置鍵証明書(LC)又は位置鍵証拠(LE)に変換できるものとする。
【0045】
位置鍵サーバは、位置鍵関数の出力として、位置鍵クライアントに位置トークンを与える場合がある。位置トークンは、種類に応じて検証方法が異なるため、位置鍵クライアントは、自身又は位置トークンを提供する予定の第三者が検証可能な位置トークンの種別を、予め位置鍵サーバにリクエストすることができる。また、位置トークンの信頼性は、その種別及び発行した位置鍵サーバのドメインにより異なる。ドメインは、証明書の発行者が属するカテゴリである。非特許文献11記載のものでは、信頼できるドメイン(trusted domain{operator, manufacture, trusted third party})と、信頼できないドメイン(untrusted domain)が存在し、それぞれ異なる権限を与える。ドメインは、タグ(Tag)、センサ(Sensor)、モバイル(Mobile)、ステーション(Station)の順に高い権限を与える。なお、MACにもドメインの概念を適用する。
【0046】
タグ(Tag)やセンサ(Sensor)が発行した位置トークンは、単体では信頼できないため、複数の位置トークンを総合的に判断してもよい。ただし、位置トークンが位置鍵クライアントから提供された位置リファレンスを元に発行されている場合は、位置鍵サーバはその旨を位置トークンに含めなくてはならない。これは、ドメインが信頼できるものであっても、その位置情報は信頼できない可能性が高いためである。位置鍵クライアントは位置鍵サーバから提供された位置トークンを第三者又は他の位置鍵サーバに提供することにより、位置依存サービス(LBS)を受けることが可能となる。
【0047】
第5に、位置鍵サーバに使用する関数について説明する。位置鍵サーバは、位置鍵関数として、位置依存鍵処理関数(LKF)と、鍵依存位置処理関数(KLF)を備えている。位置依存鍵処理関数(LKF)は、位置管理関数の出力を鍵管理関数に入力する統合された位置鍵関数である。位置依存鍵処理関数(LKF)の出力は、位置鍵である。鍵依存位置処理関数(KLF)は、鍵管理関数の出力を位置管理関数に入力する統合された位置鍵関数である。鍵依存位置処理関数(KLF)の出力は、位置鍵と位置トークンのペアである。位置鍵関数は、クライアント識別情報(CID)と、一時的識別情報(乱数)と、連続性確認値(CCV)を入力とするとともに、位置管理関数と鍵管理関数の一方の出力を他方の入力とすることにより、位置管理関数と鍵管理関数が安全に結合されている。また、位置鍵クライアントのリクエストと位置鍵ポリシに基づいて実行が制御されるため、安全な暗号化位置依存サービス(CLBS)が実現される。
【0048】
鍵依存位置処理関数(KLF)は、鍵管理関数(KMF)と位置管理関数(LMF)とポリシ判定関数(PJF)から構成され、位置鍵ポリシに従って位置鍵を管理する関数である。クライアント依存データ(DataCK)と、位置鍵ポリシ(LKP)と、位置鍵サーバの内部状態(LKS)と、位置鍵管理種別(LKT)と、位置トークン種別(LTT)と、サーバ識別情報(SID)と、サーバ秘密鍵(SK)と、クライアント情報(InfoC)と、サーバ情報(InfoS)を入力して、{位置鍵(LK)、位置トークン(LT)}の組を出力するか、「拒否(Reject)」を出力する。
【0049】
位置トークン種別(LTT)=位置証明書(LC)の場合は、位置トークン(LT)が位置鍵(LK)を含むものとする。位置鍵サーバの内部状態(LKS)と、位置鍵管理種別(LKT)と、位置トークン種別(LTT)と、サーバ識別情報(SID)と、サーバ秘密鍵(SK)と、クライアント情報(InfoC)と、サーバ情報(InfoS)は、位置鍵管理種別(LKT)又は位置鍵ポリシ(LKP)によって、利用する場合と利用しない場合がある。
【0050】
位置依存鍵処理関数(LKF)は、位置管理関数(LMF)と鍵管理関数(KMF)とポリシ判定関数(PJF)から構成され、位置鍵ポリシに従って位置鍵を管理する関数である。クライアント依存データ(DataCK)と、位置鍵ポリシ(LKP)と、位置鍵サーバの内部状態(LKS)と、位置鍵管理種別(LKT)と、サーバ識別情報(SID)と、サーバ秘密鍵(SK)と、クライアント情報(InfoC)と、サーバ情報(InfoS)を入力して、位置鍵(LK)を出力するか、「拒否(Reject)」を出力する。位置鍵サーバの内部状態(LKS)と、位置鍵管理種別(LKT)と、サーバ識別情報(SID)と、サーバ秘密鍵(SK)と、クライアント情報(InfoC)と、サーバ情報(InfoS)は、位置鍵管理種別(LKT)又は位置鍵ポリシ(LKP)によって、利用する場合と利用しない場合がある。
【0051】
位置管理関数(LMF)は、クライアント依存データ(DataCK)と、位置管理種別(LMT)と、クライアント識別情報(CID)と、サーバ識別情報(SID)と、サーバ秘密鍵(SK)と、クライアント情報(InfoC)と、サーバ情報(InfoS)と、位置トークン種別(LTT)を入力して、位置トークン(LT)を出力する関数である。クライアント識別情報(CID)と、サーバ識別情報(SID)と、サーバ秘密鍵(SK)と、クライアント情報(InfoC)と、サーバ情報(InfoS)は、位置管理種別(LMT)によって、利用する場合と利用しない場合がある。位置トークン種別(LTT)が「なし(None)」なら、デフォルトの位置トークン(LT)を出力する。なお、クライアント認証を行う鍵管理方式を使用する場合は、位置トークン(LT)以外にクライアント識別情報(CID)を出力する。クライアント情報(InfoC)とサーバ情報(InfoS)が乱数を含む場合は、乱数(R)を出力する。
【0052】
鍵管理関数(KMF)は、クライアント依存データ(DataCK)と、鍵管理種別(KMT)と、クライアント識別情報(CID)と、サーバ識別情報(SID)と、サーバ秘密鍵(SK)と、クライアント情報(InfoC)と、サーバ情報(InfoS)を入力して、処理鍵(PK)を出力する関数である。クライアント識別情報(CID)と、サーバ識別情報(SID)と、サーバ秘密鍵(SK)と、クライアント情報(InfoC)と、サーバ情報(InfoS)は、鍵管理種別(KMT)によって、利用する場合と利用しない場合がある。なお、クライアント認証を行う鍵管理方式を使用する場合は、処理鍵(PK)以外にクライアント識別情報を出力する。クライアント情報(InfoC)とサーバ情報(InfoS)が乱数を含む場合は、乱数(R)を出力する。
【0053】
ポリシ判定関数(PJF)は、クライアントプライバシ種別(CPT)と、位置鍵ポリシ(LKP)と、位置鍵サーバの内部状態(LKS)と、位置鍵管理種別(LKT)と、クライアント識別情報(CID)と、位置鍵クライアント情報(InfoC)を入力して、位置鍵生成の処理条件を判定し、鍵管理種別(KMT)と、{クライアントプライバシ種別(CPT)、位置管理種別(LMT)、位置トークン種別(LTT)}の組を出力するか、「拒否(Reject)」を出力する関数である。すなわち、ポリシ判定手段(ポリシ判定関数)は、位置鍵発行要求情報中の要求種別とポリシ記憶手段に保持してある位置鍵ポリシとに従って、ポリシ制御を行う。位置鍵サーバの内部状態(LKS)と、位置鍵管理種別(LKT)と、クライアント識別情報(CID)と、クライアント情報(InfoC)は、位置鍵ポリシ(LKP)によって、利用する場合と利用しない場合がある。
【0054】
図4を参照しながら、鍵依存位置処理関数(KLF)の動作を説明する。鍵依存位置処理関数(KLF)は、鍵管理関数(KMF)の出力を位置管理関数(LMF)の入力とする管理パスとポリシ判定関数(PJF)の出力を鍵管理関数(KMF)と位置管理関数(LMF)のそれぞれに入力する制御パスから構成される。管理パスでは、鍵管理種別(KMT)により要求された鍵管理関数(KMF)が、クライアント識別情報(CID)、サーバ秘密鍵(SK)、サーバ情報(InfoS)、サーバ識別情報、クライアント情報(InfoC)を入力として、位置鍵クライアントとの間で、質問(Challenge)‐応答(Response)型の鍵管理処理を実行し、処理鍵(PK)を出力する。さらに、鍵管理関数(KMF)がクライアント識別情報による認証又は一時的識別情報によるクライアント識別を実行した場合は、それぞれ連続性確認値(CCV)としてクライアント識別情報、乱数(R)が出力される。クライアント識別情報又は乱数(R)が出力されない場合は、処理鍵(PK)が連続性確認値(CCV)となる。
【0055】
次に、位置管理種別(LMT)で要求された位置管理関数(LMF)が、鍵管理関数(KMF)の出力を入力として、位置鍵クライアントとの間で、連続性確認値(CCV)に依存した質問(Challenge)‐応答(Response)型の位置管理処理を実行し、クライアントプライバシ種別(CPT)、位置トークン種別(LTT)により要求された{位置鍵(LK)、位置トークン(LT)}の組を出力する。ここで、連続性確認値(CCV)に依存したとは、クライアントが連続性確認値(CCV)又は連続性確認値(CCV)に対応する秘密情報を有していることを確認することを意味する。制御パスでは、ポリシ判定関数(PJF)が位置鍵ポリシ(LKP)と位置鍵サーバの内部状態(LKS)と位置鍵クライアントの要求(Request)から鍵管理関数(KMF)の実行制御を行い、次に、鍵管理関数(KMF)の出力と位置鍵ポリシ(LKP)と位置鍵サーバの内部状態(LKS)と位置鍵クライアントの要求(Request)とから位置管理関数(LMF)の実行制御を行う。もし、ポリシ判定関数(PJF)が「拒否」(Reject)を出力した場合は、その時点で処理を停止し、鍵依存位置処理関数(KLF)の出力が「拒否(Reject)」となる。
【0056】
図5を参照しながら、位置依存鍵処理関数(LKF)の動作を説明する。位置依存鍵処理関数(LKF)は、位置管理関数(LMF)の出力を鍵管理関数(KMF)の入力とする管理パスと、ポリシ判定関数(PJF)の出力を鍵管理関数(KMF)と位置管理関数(LMF)のそれぞれに入力する制御パスから構成される。管理パスでは、位置管理種別(LMT)により要求された位置管理関数(LMF)が、サーバ秘密鍵(SK)、サーバ情報(InfoS)、サーバ識別情報、クライアント情報(InfoC)を入力として、位置鍵クライアントと質問(Challenge)‐応答(Response)型の位置管理処理を実行する。さらに、位置管理関数(LMF)がクライアント識別情報による認証又は一時的識別情報によるクライアント識別を実行した場合は、それぞれ連続性確認値(CCV)として、クライアント識別情報と乱数(R)が出力される。クライアント識別情報又は乱数(R)が出力されない場合は、位置トークン(LT)が連続性確認値(CCV)となる。次に、鍵管理種別(KMT)で要求された鍵管理関数(KMF)が、位置管理関数(LMF)の出力を入力として、連続性確認値(CCV)に依存した質問(Challenge)‐応答(Response)型の鍵管理処理を、位置鍵クライアントとの間で実行し、位置鍵(LK)又は「拒否(Reject)」を出力する。制御パスは、鍵依存位置処理関数(KLF)と鍵管理関数(KMF)と位置管理関数(LMF)の順番が異なるだけである。
【0057】
第6に、図6を参照しながら、位置鍵発行処理の流れについて説明する。
(1)位置鍵クライアント(Ci)は、(CID||KMT||LMT||InfoC||CPT||LTT)あるいは(CID||LMT||KMT||InfoC)から成る要求メッセージ(Request message)を生成し、位置鍵サーバ(Sj)へ送信する。
【0058】
(2)位置鍵サーバ(Sj)は、位置鍵管理種別(LKT)に応じた位置鍵関数(鍵依存位置処理関数(KLF)又は位置依存鍵処理関数(LKF))を選択し、位置鍵関数に要求メッセージ(Request message)及び位置鍵ポリシ(LKP)、位置鍵サーバの内部状態(LKS)、サーバ情報(InfoS)を入力する。その結果、位置鍵関数が実行され、所定のプロトコルが、位置鍵サーバ(Sj)−位置鍵クライアント(Ci)間において実施される。すなわち、位置鍵関数は、連続性確認値(CCV)に依存した質問(Challenge)‐応答(Response)型の鍵管理処理を、位置鍵クライアントとの間で実行する。
【0059】
(3)位置鍵サーバ(Sj)は、位置鍵管理種別が(LKT=KMT||LMT)なら{位置鍵(LK)、位置トークン(LT)}の組または「拒否(Reject)」を、位置鍵関数により得る。位置鍵管理種別が(LKT=LMT||KMT)なら、位置鍵(LK)又は「拒否(Reject)」を位置鍵関数により得る。位置鍵ポリシ(LKP)及び位置鍵サーバの内部状態(LKS)に応じて選択された内容を、位置鍵メッセージ(LK message)として、位置鍵クライアント(Ci)へ送信する。鍵管理種別(KMT)として、鍵共有等が選択された場合、結果として、位置鍵クライアント(Ci)は、処理鍵(PK)を得る場合がある。
【0060】
(4)位置鍵クライアント(Ci)は、位置鍵管理種別が(LKT=KMT||LMT)なら、{位置鍵(LK)、位置トークン(LT)}の組または「拒否(Reject)」を、位置鍵メッセージ(LK message)として受信する。鍵管理種別が(KT=LMT||KMT)なら、位置鍵(LK)又は「拒否(Reject)」を、位置鍵メッセージ(LK message)として受信する。
【0061】
第7に、図7を参照しながら、位置依存鍵処理関数(LKF)と鍵依存位置処理関数(KLF)のそれぞれに対する鍵管理と位置管理の組合せについて説明する。位置鍵管理種別(LKT)のいくつかの組合せの例を、以下に挙げる。
(1)LKF型#2は、特定位置であることを検証し、正しければノードと秘密情報を共有する方法である(非特許文献4)。
(2)KLF型#3は、グループ鍵生成方法である。この方法により、グループ構成員は、グループ鍵を共有する第3者と場所と時間に関する証明書を発行できる(非特許文献17)。
(3)LKF型#4は、位置を検証し、一定距離以内であれば復号鍵を配送する方法である(非特許文献6)。
(4)LKF型#5は、位置を検証し、一定の距離を超えると鍵を無効化して復号できなくなるコンテンツサービス方法である。
(5)LKF型#7は、位置を検証し、その位置に存在したことを証明する方法である(非特許文献15)。
(6)LKF型#6は、社長室でしか使えないディジタル署名鍵を実現する方法である。
(7)KLF型#9は、ミーティング参加者全員で鍵生成を行い、その鍵に対して位置証明書を発行する方法である。
(8)KLF型#12は、鍵の無効化を実施した位置を検証後、ドアが開くようにする方法である。以上、いくつかの例を示したが、他の組合せにも様々な位置依存サービス(LBS)に利用可能なものがある。
【0062】
第8に、位置鍵システムが満たすべき要件について説明する。
(1)可用性(Availability)は、許可された位置鍵クライアントが位置鍵サーバの位置鍵機能を利用できることである。
(2)汎用性(Universality)は、既存の複数のシステムに適応することが容易な設計であることである。現実には様々な種類のサーバ、測位方式、鍵管理方式、位置管理方式が存在するため、一つの形態に特化しない汎用的な設計とする必要がある。
(3)結合性(Associativity)は、鍵管理機能と位置管理機能が安全に結合されており、攻撃者が位置鍵サーバの位置鍵機能の出力を制御及び改変することが困難なことである。
(4)プライバシ(Privacy)保護は、位置鍵クライアントが秘匿することを要求した情報(クライアント識別情報、クライアントの位置に関する情報、位置鍵関数が実行された時刻、またはそれらの組合せ)が、位置鍵サーバの発行する位置トークンから漏洩しないことである。ただし、クライアントが要求する位置鍵機能の種別と秘匿する情報の組合せが矛盾する場合は除く。また、位置鍵クライアントの識別情報を秘匿することを匿名性(AM: Anonymity)、位置鍵クライアントの位置に関する情報を秘匿することを匿位置性(LH: Location hiding)、位置鍵関数の実行時刻を秘匿することを匿時間性(TH: Time hiding)と呼ぶ。
【0063】
位置鍵システムが上記の4つの要件を満たすことを説明する。
(1)可用性がある。位置鍵サーバが位置鍵機能を備え、かつ位置鍵機能を位置鍵ポリシにより制御するため、許可された位置鍵クライアントのみが位置鍵機能を利用することができる。ただし、位置鍵クライアントを認証する機能は、鍵管理関数(KMF)又は位置管理関数(LMF)が含むものとする。
(2)汎用性がある。図3に示すように、4種類の位置サーバと3種類の測位方式の組合せに対応した4種類の位置トークンを用意すること、及び位置鍵クライアントが位置トークン種別を位置鍵サーバに要求することにより、実際の様々なシステムに対応することが可能である。また、鍵管理機能と位置管理機能を、それぞれモジュールとして扱うため、既存の方式をそのまま利用することができる。
【0064】
(3)結合性がある。図1に示したように、鍵管理関数(KMF)と位置管理関数(LMF)の結合性を強化するため、位置依存鍵処理関数(LKF)は鍵管理関数(KMF)(または位置管理関数(LMF))の出力を位置管理関数(LMF)(または鍵管理関数(KMF))の入力にできる。鍵管理関数(KMF)と位置管理関数(LMF)は、一方の管理関数が認証したクライアントと、他方の管理関数が認証したクライアントが異なることを防ぐため、連続性確認値(CCV)を使い、同じ位置鍵クライアントを認証することができる。
【0065】
連続性確認値(CCV)(クライアント識別情報(CID)、乱数(R)、処理鍵(PK)、位置トークン(LT))は、次のように、各管理関数が対象とする位置鍵クライアントに依存する。クライアント識別情報(CID)は、一意に決まる識別情報なので、位置鍵サーバは、位置鍵クライアントを特定できる。乱数(R)は、位置依存サービス(LBS)のために、位置鍵サーバが位置鍵クライアントに与える一時的識別情報であるため、位置鍵サーバは、乱数(R)を持つ位置鍵クライアントと他の位置鍵クライアントを区別できるが、識別することはできない。位置鍵サーバは、鍵管理のために位置鍵クライアントを特定すると限らないので、位置鍵サーバは、処理鍵(PK)を持つ位置鍵クライアントと他の位置鍵クライアントとを区別できるが、識別できるとは限らない。位置鍵サーバは、位置管理のために位置鍵クライアントを特定するとは限らないので、位置鍵サーバは、位置トークン(LT)を持つ位置鍵クライアントと他の位置鍵クライアントとを区別できるが、識別できるとは限らない。
【0066】
ゆえに、位置鍵クライアントが匿名性を要求するときも、各管理関数がサポートする方式が一時的識別情報を利用できない場合も、位置鍵サーバは同じ位置鍵クライアントを、連続性確認値(CCV)を用いて認証(区別)できる。なぜならば、連続性確認値(CCV)は、乱数(R)と処理鍵(PK)と位置トークン(LT)をサポートするためである。連続性確認値(CCV)の安全性は、各管理関数の安全性に依存するものである。加えて、位置鍵関数の入力は、要求(Request)と応答(Response)のみに制限されている。ポリシ判定関数(PJF)は要求(Request)を直接検証できる。一方、鍵管理関数(KMF)と位置管理関数(LMF)は、応答(Response)を検証し、ポリシ判定関数(PJF)は、そのフィードバック結果を検証する。つまり、ポリシ判定関数(PJF)は、間接的に応答(Response)を検証できる。ポリシ判定関数(PJF)はまた、各管理関数のフィードバックが同じクライアントを認証できていないことを示す場合は、位置鍵関数の実行を停止できる。ゆえに、ポリシ判定関数(PJF)は、管理関数間の管理パスを検証できる。結果として、位置鍵関数は、連続性確認値(CCV)と、一方の管理関数の出力が他の管理関数の入力となる構造と、ポリシベースアクセス制御により、安全に結合性を満たすことができる。
【0067】
(4)プライバシを保護できる。位置鍵クライアントは、要求(Request)中のクライアントプライバシ種別(CPT)により、匿名・匿位置・匿時間又はそれらの組合せを、位置鍵サーバに要求することができる。位置鍵サーバは、クライアントプライバシ種別(CPT)に応じた部位を除いた位置トークンを生成するため、プライバシ保護条件を満足する。
【0068】
第9に、位置鍵システムの安全性について説明する。位置鍵システムの安全性の前提条件は次の通りである。
(1)位置鍵サーバは、タグ(Tag)、センサ(Sensor)、モバイル(Mobile)、ステーション(Station)の順に安全なものとし、ステーション(Station)のみが単体で信頼できるものとする。
(2)位置鍵クライアントは、クライアント秘密鍵(CK)を安全に保管するものとする。
(3)位置鍵サーバは、サーバ秘密鍵(SK)を安全に保管するものとする。
(4)鍵管理方式及び位置管理方式は、既存の方式を想定するため、その安全性は個々の方式に依存する。個々の方式は安全であるとして扱う。
【0069】
攻撃者と攻撃は、次のようなものである。
(1)攻撃者は位置鍵クライアント又は第三者である。
(2)攻撃のために第三者と位置鍵クライアントは結託する可能性がある。
(3)測位時に位置鍵クライアント又は位置鍵サーバが複数想定される場合は、少なくとも1個のクライアント及び1個のサーバは不正を働かない。
(4)位置鍵クライアントと位置鍵サーバ間の通信路は安全ではない。
(5)攻撃の目的は、位置鍵サーバの位置鍵機能を不正に利用すること、および位置鍵機能の出力を改変することである。
(6)攻撃者は、位置鍵サーバに対する直接及び間接解析による秘密情報の取得、メッセージ盗聴/改ざん/偽造を行う。
【0070】
上記のような前提条件で、上記の攻撃に対して安全な暗号化位置依存サービス(Secure CLBS)を構築するために、鍵管理と位置管理の対象とするエンティティが一致することを確認し、鍵管理と位置管理に依存関係を持たせ、鍵管理と位置管理の実行制御条件を指定できるようにした。これらの三つのポイントを実現する具体的手段としては、連続性確認値(CCV)によるエンティティの一致確認と、管理関数の出力をもう一方の管理関数の入力とする構造と、位置鍵ポリシとポリシ判定関数による両管理関数の実行制御方式を採用した。この結果として、位置鍵関数は、外部からの攻撃に対して安全である。位置鍵サーバがステーションの場合には、位置鍵関数は信頼できるので、位置鍵サーバがステーションの場合には、上記の攻撃を防ぐことができる。位置鍵サーバがモバイルかセンサかタグの場合の安全性は、その位置鍵サーバの信頼性に基づく安全性に等しくなる。
【0071】
上記のように、本発明の実施例では、位置鍵管理システムを、位置鍵クライアントからの位置鍵サービス要求に応じて、位置管理手段と鍵管理手段とポリシ制御手段とを備えた位置鍵サーバで、位置管理処理と鍵管理処理における位置鍵クライアントの同一性を確認しながら、位置鍵ポリシに基づいて、鍵管理手段の出力を位置管理手段の入力とするか、位置管理手段の出力を鍵管理手段の入力として、位置管理処理と鍵管理処理の一方を他方に依存させて位置鍵を生成し、位置鍵クライアントに位置鍵を提供する構成としたので、安全な暗号化位置依存サービスを実現できる。
【産業上の利用可能性】
【0072】
本発明の位置鍵管理システムは、特定位置への情報配信や、歩行者のナビゲーションや、モバイルノードのトラッキングや、チケットゲートシステム等の位置依存サービス(LBS)用のシステムとして、また、社内でのみ閲覧(復号)可能な社外秘ドキュメントや、社長室のみで使用可能な社長印(ディジタル署名鍵)等を実現する暗号化位置依存サービス(CLBS)用のシステムとして最適である。
【図面の簡単な説明】
【0073】
【図1】本発明の実施例における位置鍵管理システムの構成を示す概念図である。
【図2】本発明の実施例における位置鍵管理システムの位置鍵ポリシの例を示す表である。
【図3】本発明の実施例における位置鍵管理システムの位置トークンと位置鍵サーバと測位方式の関係を示す表である。
【図4】本発明の実施例における位置鍵管理システムの位置鍵サーバ内の位置鍵関数内の鍵依存位置処理関数の構成を示す概念図である。
【図5】本発明の実施例における位置鍵管理システムの位置鍵サーバ内の位置鍵関数内の位置依存鍵処理関数の構成を示す概念図である。
【図6】本発明の実施例における位置鍵管理システムの動作手順を示す流れ図である。
【図7】本発明の実施例における位置鍵管理システムの鍵管理と位置管理の組合せを示す表である。
【符号の説明】
【0074】
S 位置鍵サーバ
InfoS サーバ情報
SK サーバ秘密鍵
LKS 位置鍵サーバの内部状態
C 位置鍵クライアント
InfoC クライアント情報
CK クライアント秘密鍵
KLF 鍵依存位置処理関数
LKF 位置依存鍵処理関数
LMF 位置管理関数
LKT 位置鍵管理種別
LMT 位置管理種別
KMF 鍵管理関数
KMT 鍵管理種別
PK 処理鍵
LK 位置鍵
CCV 連続性確認値
LC 位置証明書
LE 位置証拠
LR 位置リファレンス
LT 位置トークン
LTT 位置トークン種別
LKP 位置鍵ポリシ
PJF ポリシ判定関数
【技術分野】
【0001】
本発明は、位置管理と鍵管理の統合方法に関し、特に、移動体端末に位置依存サービスを提供する位置鍵管理システムにおいて、位置鍵サーバの複数の位置管理関数と複数の鍵管理関数を柔軟かつ安全に組み合わせる位置管理と鍵管理の統合方法に関する。
【背景技術】
【0002】
近年、ユビキタスコンピューティングの分野において、移動体端末の実環境に依存した情報を利用するサービス(Context Awareness Service)の提供が検討されている。このようなサービスが提供できることは、ユビキタスコンピューティングの特徴の一つである。実環境の情報として位置情報を利用したものを、位置依存サービス(LBS: Location Based Service)と呼び、今後の普及が期待されている。位置依存サービス(LBS)としては、特定位置への情報配信や、歩行者案内や、移動体のトラッキング(非特許文献9、非特許文献16)や、アクセスコントロールや、位置証明書の発行(非特許文献15)等がある。
【0003】
多くの高価値な位置依存サービス(LBS)は安全性を要求するので、暗号技術を利用する。暗号化位置依存サービス(CLBS: Cryptographic Location Based Service)とは、安全性向上のために暗号技術を利用した位置依存サービス(LBS)である。鍵管理技術と位置管理技術を要素として構成される。暗号化位置依存サービス(CLBS)の例としては、次のようなものが考えられる。1つは、社内ではノートパソコンに保存された社外秘文書を閲覧できるが、社外に移動した場合は文書が暗号化されて閲覧できなくなるシステムである。他の1つは、社長印や社印代わりのディジタル署名鍵は、社長室などの特定の場所でしか署名に使用できないシステムである。
【0004】
暗号化位置依存サービス(CLBS)の技術要素としては、鍵管理と位置管理がある。鍵管理には、サービス提供者によるクライアントの認証や、通信路の暗号化に利用するセッション鍵の共有等がある。位置管理には、クライアントの位置を検証することがある。暗号化位置依存サービス(CLBS)の実現のためには、クライアントの認証や鍵共有などを行う鍵管理機能と、クライアントの位置を把握する位置管理機能が連携する必要がある。鍵管理については、従来、暗号分野において数多くの研究が行われてきた。
【0005】
位置管理については、GPS (Global Positioning System)やレーダーによる測位方式が既に実用化されている。主にアウトドアをターゲットとした測位方式としては、GPSを利用した方式(非特許文献7)や、携帯電話やPHSの基地局を利用した方式や、レーダーを利用した方式がある。主にインドアをターゲットとした測位方式としては、無線LANを利用した方式(非特許文献10)や、RFID (Radio Frequency Identification)を利用した方式(非特許文献12)や、センサネットワークを利用した方式(非特許文献14)がある。最近では、前者から後者に研究の主軸が移って来ていて、無線LANやRFIDを利用した方式の実用化が進んでいる。
【0006】
また、移動体端末の位置を安全に検証する技術についても、研究が始まっている。通信遅延を利用した方式(非特許文献1、非特許文献2、非特許文献3、非特許文献5、非特許文献13、非特許文献15)のように、安全性を重視した方式の研究も行われている。これらの方式には、利用範囲やコストなど、様々な種類が存在する。コストの面では、GPSのように衛星という非常に高コストのものから、RFIDのように低コストのものまである。安全性の面では、RFIDのように安全性の低いものから、通信遅延を利用する方式のように、ある程度安全性が保証されたものまである。
【0007】
これまでは、位置管理機能と鍵管理機能は、個別に研究されてきた。今後、位置依存サービス(LBS)が普及するに従い、より安全性を要求する位置依存サービス(LBS)が出現してくると考えられる。そのため、鍵管理と位置管理のそれぞれの安全性を高めるとともに、それらを連携させたトータルシステムとして安全な暗号化位置依存サービス(CLBS)を実現する必要がある。特定機能に限定した形ではあるが、従来も鍵管理と位置管理を統合した方式が提案されている。例えば、パーソナル無線デバイスをPCに近づけたときだけ認証が行われて、暗号化されたファイルが復号されるシステムや、信頼できるアクセスポイントからのビーコンの電波強度を利用して、信頼できない端末の位置を確認して鍵を生成するシステムや、移動体端末の位置検証後に、その位置に存在したことを示す証明書を発行するシステムなどが提案されている。これらは、位置検証後に鍵共有や鍵配送を行うものであり、位置管理と鍵管理を単純に統合したものである。以下に、これに関連する従来の例をいくつかあげる。
【0008】
特許文献1に開示された「情報保護装置」は、可搬性を有するコンピュータ等の内部に記憶された情報の安全性を確保する情報保護装置である。機能制御部は、位置検出部によって検出された情報処理装置の現在位置が、範囲決定部の決定した情報処理装置の移動可能範囲外であったとき、情報処理装置の記憶媒体を固定的に停止させたり、情報処理装置の電源回路を停止させたりする。
【0009】
特許文献2に開示された「位置証明方法」は、指紋認証機能搭載携帯電話において、基地局による位置確認を利用した人がある時刻にある場所に存在したことを客観的に証明する位置証明法であり、人がある時刻にある場所に存在したことを客観的に証明し得る方法である。位置証明を受けたいユーザが、携帯電話に自分の指紋を読み取らせると、指紋データがサーバに送信される。サーバは、携帯電話から送信された指紋データを受信すると、予めデータベースに登録してある照合用指紋データと照合して、携帯電話のユーザを確認する。続いてサーバは、その認証時刻を取得すると共に、位置証明要求のあった携帯電話の基地局番号をサービス局から取得して、当該ユーザに対応付けてデータベースの位置登録ファイルに記憶する。また、サーバは、PDAからの位置証明書発行要求に基づいて、データベースの位置登録ファイルに記憶してある被証明者の位置、時間に係わる位置証明書(電子データ)を、電子署名付きで発行する。また、位置登録動作時や位置証明書発行時に課金を行う。
【0010】
非特許文献4に開示されたものは、信頼できるアクセスポイントからのビーコンの電波強度を利用して、信頼できない端末の位置を確認し、鍵を生成するシステムである。非特許文献6に開示されたものは、パーソナル無線デバイスをPCに近づけたときだけ認証が行われて暗号化されたファイルが復号されるシステムである。
【0011】
【特許文献1】特開平9-185554号公報
【特許文献2】特開2003-284113号公報
【非特許文献1】J. Anzai, T. Matsumoto, "Location Verification (1): Location Verification Schemes Resistant Against Relay Attack," Proc. of SCIS2005, 2B4-3, 2005.
【非特許文献2】J. Anzai, T. Matsumoto, "Location Verification (2): Plural Provers Verifiable Location Verification Schemes," Proc. of SCIS2005, 2B4-4, 2005.
【非特許文献3】S. Brands, D. Chaum, "Distance-Bounding Protocols, "Proc. of Eurocrypto'93, Springer-Verlag, pp. 344-359, 1993.
【0012】
【非特許文献4】S. Banerjee, A. Mishra, "Secure Spaces: Location-based Secure Wireless Group Communication," Mobile Computing and Communications Review, Volume 1, Number 2, 2002.
【非特許文献5】S. Capkun, J. P. Hubaux, "Securing position and distance verification in wireless networks," Technical report EPFL/IC/200443, submitted to ACM MobiCom04, 2004.
【非特許文献6】M. D. Corner, B. D. Noble, "Zero-Interaction Authentication," In Proc. of MOBICOM'02, 2002.
【非特許文献7】E. Gabber and A. Wool, "How to prove where you are: Tracking the location of customer equipment," In Proc. 5th ACM Conf. Computer and Communications Security (CCS), pp. 142-149, 1998.
【非特許文献8】S. Haber, W. S. Stornetta, "How to Time-Stamp a Digital Document," Journal of Cryptology: the Journal of the International Association for Cryptologic Research 3, 2 (1991), 99-111, 1991.
【非特許文献9】M. Izumi, S. Takeuchi, Y. Watanabe, K. Uehara, H. Sunahara, J. Murai, "A Proposal on a Privacy Control Method for Geographical Location Information Systems," Proc. of INET'00, 2000.
【0013】
【非特許文献10】T. Kitasuka, T. Nakanishi, and A. Fukuda, "Indoor Location Sensing Techinique using Wireless Network," In Proc. of Computer System Symposium'02, pp. 83-90, 2002.
【非特許文献11】JSR 118 Expert Group, Java(登録商標) Community Process, "Mobile Information Device Profile for Java(登録商標) 2 Micro Edition Version 2.0," 2002.
【非特許文献12】K. Nakanishi, J. Nakazawa, and H. Tokuda, "LEXP: Preserving User Privacy and Certifying the Location Information," 2nd Work- shop on Security in Ubiquitous Computing Ubicomp'03, 2003.
【非特許文献13】N. Sastry, U. Shankar, and D. Wagner, "Secure Verification of Location Claims, " Report No. UCB//CDS-03-1245, University of California, Berkekey.
【非特許文献14】A. Vora, M. Nesterenko, "Secure Location Verification Using Radio Broadcast," In Proc. of OPODIS 2004: 8th International Conference on Principles of Distributed Systems, 2004.
【非特許文献15】B. R. Waters, E. W. Felten, "Secure, Private Proofs of Location," Princeton University Computer Science Technical Reports, TR-667-03, 2003.
【非特許文献16】Y. Watanabe, S. Takeuchi, F. Teraoka, K. Uehara and J. Murai, "The Geographical Location Information System with Privacy Protection," IPSJ Journal, Vol. 37, No. 6, 1996.
【非特許文献17】J. Anzai, T. Matsumoto, "Interaction Key Generation Schemes," IEICE Trans. Fundamentals, Special Issue on Cryptography and Information Security, Vol. E87-A, No. 1, pp. 152-159, 2004.
【発明の開示】
【発明が解決しようとする課題】
【0014】
しかし、従来の位置管理機能と鍵管理機能の統合方法では、次のような問題がある。従来の方法は、特定の位置管理と鍵管理の組合せの実現方法であり、位置管理と鍵管理の統合機能や統合方法が明らかでないため、結合部分に対する安全性が不明である。位置管理と鍵管理の統合機能の安全性を中心とした全体像は明らかになっていない。単に両技術を組み合わせても安全とはかぎらない。位置管理と鍵管理の不完全な統合では、暗号化位置依存サービス(CLBS)に対する攻撃を受ける可能性がある。例えば、サーバが特定位置の端末と鍵共有を行う際に、クライアントの位置を検証後に単に鍵共有をするだけでは、攻撃者が割り込んでサーバと鍵共有するという攻撃を検出できない可能性がある。
【0015】
本発明の目的は、上記従来の問題を解決して、移動体端末に位置依存サービスを提供する位置鍵管理システムにおいて、柔軟かつ安全に複数の位置管理と複数の鍵管理を組み合わせて、安全な暗号化位置依存サービス(CLBS)を実現することである。
【課題を解決するための手段】
【0016】
上記の課題を解決するために、本発明では、移動体端末である位置鍵クライアントと、位置管理手段および鍵管理手段を有し位置管理と鍵管理を統合した位置鍵管理手段を備えて位置鍵を用いたサービスを位置鍵クライアントに提供する位置鍵サーバとからなる位置鍵管理システムにおける位置及び鍵管理方法を、位置鍵クライアントが、位置鍵サービス要求情報を位置鍵サーバに送信して位置鍵サービスの提供を要求し、位置鍵サーバが、位置鍵クライアントから位置鍵サービス要求情報を受信し、位置鍵管理手段により、位置鍵クライアントの同一性を確認しながら位置管理処理と鍵管理処理の一方を他方に依存させて位置鍵を生成する方法とした。また、位置鍵サーバに、ポリシ判定手段とポリシ記憶手段とを備え、位置鍵サービス要求情報中の要求種別とポリシ記憶手段に保持してある位置鍵ポリシとに従って、ポリシ判定手段によりポリシ制御を行う方法とした。
【発明の効果】
【0017】
上記のような方法としたことにより、移動体端末に位置依存サービスを提供する位置鍵管理システムにおいて、複数の位置管理機能と複数の鍵管理機能を柔軟かつ安全に組み合わせて、安全な暗号化位置依存サービス(CLBS)を実現できる。すなわち、位置管理手段と鍵管理手段の一方の出力を他方の入力とし、両手段でクライアントの一致を確認して、位置管理機能と鍵管理機能の結合性を強化する。また、位置鍵ポリシに基づいて実行制御を行うことにより、条件に適合した場合のみ位置鍵が発行されるので、安全性が高まる。
【発明を実施するための最良の形態】
【0018】
以下、本発明を実施するための最良の形態について、図1〜図7を参照しながら詳細に説明する。
【実施例】
【0019】
本発明の実施例は、位置鍵クライアントからの位置鍵サービス要求に応じて、位置管理手段と鍵管理手段とポリシ制御手段とを備えた位置鍵サーバで、位置管理処理と鍵管理処理における位置鍵クライアントの同一性を確認しながら、位置鍵ポリシに基づいて、鍵管理手段の出力を位置管理手段の入力とするか、位置管理手段の出力を鍵管理手段の入力として、位置管理処理と鍵管理処理の一方を他方に依存させて位置鍵を生成し、位置鍵クライアントに位置鍵サービスを提供する位置鍵管理システムである。
【0020】
図1は、本発明の実施例における位置鍵管理システムの構成を示す概念図である。図1において、位置鍵サーバ(S)は、位置管理と鍵管理を統合して処理する位置鍵関数を備え、位置鍵ポリシに従い、位置鍵クライアントに位置鍵サービスを提供する装置である。位置鍵サーバは、位置管理手段の出力を鍵管理手段の入力とする位置依存鍵処理関数(第1の位置鍵管理手段)と、鍵管理手段の出力を位置管理手段の入力とする鍵依存位置処理関数(第2の位置鍵管理手段)一方または両方を備える。位置鍵サーバは、ポリシ判定手段とポリシ記憶手段とを備え、位置鍵サービス要求情報中の要求種別とポリシ記憶手段に保持してある位置鍵ポリシとに従って、ポリシ判定手段によりポリシ制御を行う。位置鍵関数を実行する手段を位置鍵手段という。他の関数についても同様である。位置鍵クライアント(C)は、位置鍵サーバに位置鍵サービスの提供を要求する装置である。位置鍵サービスとは、位置鍵を用いた何らかの位置情報サービスのことである。
【0021】
位置依存鍵処理関数(LKF: Location operating then Key operating Function)は、位置管理関数の出力に依存して鍵管理処理を実行する関数である。鍵依存位置処理関数(KLF: Key operating then Location operating Function)は、鍵管理関数の出力に依存して位置管理処理を実行する関数である。位置管理関数(位置管理手段)は、位置証明機能と位置検証機能のいずれかまたは両方の機能を果たす。位置管理手段は、クライアント依存データを入力して位置鍵クライアントの同一性を確認し位置トークンを出力する。位置管理手段への入力は、クライアント識別情報と一時的識別情報と管理鍵と位置トークンのうちのいずれか1つまたは複数である。鍵管理関数(鍵管理手段)は、鍵生成機能と鍵発行機能と鍵共有機能と鍵無効化機能と鍵配送機能と鍵アクセス制御機能のいずれか1つまたは複数の機能を果たす。鍵管理手段は、クライアント依存データを入力して位置鍵クライアントの同一性を確認し管理鍵を出力する。クライアント依存データは、クライアント識別情報と位置と時刻のいずれか1つまたは複数に依存する。
【0022】
位置鍵ポリシは、位置依存鍵処理関数(LKF)と鍵依存位置処理関数(KLF)を実行する条件を記載したデータである。位置鍵ポリシは、ポリシ記憶手段に格納されている。位置鍵ポリシは、位置鍵クライアントの属性と位置鍵処理の種別と位置鍵発行条件のうちのいずれか1つまたは複数の項目を持つ。位置トークン(LT: Location Token)は、位置鍵サーバの測位手段により得られた位置情報をディジタル化したデータである。位置鍵は、ある時刻における位置鍵クライアントとの相対的な位置関係とクライアント鍵により定まる鍵である。位置鍵サーバ情報(InfoS)は、位置鍵サーバに関する情報(乱数、位置、時刻、内部状態等)である。乱数(R)は、一時的な識別情報として用いる乱数である。サーバ秘密鍵(SK)は、位置鍵サーバが秘密に保持する鍵である。
【0023】
要求種別は、発行を要求する位置鍵の生成条件などの種別である。要求種別には、位置管理種別と、鍵管理種別と、位置トークン種別と、プライバシ種別がある。クライアント秘密鍵(CK)は、移動体端末固有の秘密鍵又は秘密鍵と公開鍵のペアである。位置鍵補助関数は、位置鍵の要求などに必要な補助的な処理を行う関数である。位置鍵クライアント情報(InfoC)は、位置鍵クライアントに関する情報(乱数、位置、時刻等)である。
【0024】
図2は、位置鍵管理システムの位置鍵ポリシ(LKP)の例を示す表である。図3は、位置トークンと位置鍵サーバと測位方式の関係を示す表である。図4は、位置鍵サーバ内の位置鍵関数の内の鍵依存位置処理関数(KLF)の構成を示す概念図である。図5は、位置鍵サーバ内の位置鍵関数の内の位置依存鍵処理関数(LKF)の構成を示す概念図である。図4と図5において、鍵管理関数(KMF)は、クライアント依存データ(DataCK)と、鍵管理種別(KMT)と、クライアント識別情報(CID)と、サーバ識別情報(SID)と、位置鍵クライアント情報(InfoC)と、位置鍵サーバ情報(InfoS)を入力して、処理鍵(PK)を出力する関数である。位置管理関数(LMF)は、クライアント依存データ(DataCK)と、位置管理種別(LMT)と、クライアント識別情報(CID)と、サーバ識別情報(SID)と、サーバ秘密鍵(SK)と、位置鍵クライアント情報(InfoC)と、位置鍵サーバ情報(InfoS)と、位置トークン種別(LTT)を入力して、位置トークン(LT)を出力する関数である。
【0025】
ポリシ判定関数(PJF: Policy Judgment Function)は、クライアントプライバシ種別(CPT)と、位置鍵ポリシ(LKP)と、位置鍵サーバの内部状態(LKS)と、位置鍵管理種別(LKT)と、クライアント識別情報(CID)と、位置鍵クライアント情報(InfoC)を入力して、位置鍵生成の処理条件を判定し、鍵管理種別(KMT)と、{クライアントプライバシ種別(CPT)、位置管理種別(LMT)、位置トークン種別(LTT)}の組、又は「拒否(Reject)」を出力する関数である。連続性確認値(CCV: Context Connection Value)は、前後関係の辻褄を合わせるための値(クライアント識別情報(CID)、乱数(R)、処理鍵(PK)、位置トークン(LT))である。処理鍵(PK)は、クライアント秘密鍵を入力とした鍵管理関数の出力である秘密鍵又は秘密鍵と公開鍵のペアである。位置鍵管理種別(LKT)は、位置鍵管理の種別((KMT||LMT)又は(LMT||KMT))を示すデータである。クライアントプライバシ種別(CPT)は、位置鍵クライアントのプライバシの種別(匿名(AM)、匿位置(LH)、匿時間(TH)、「なし(None)」又はそれらの組合せ)を示すデータである。
【0026】
図6は、位置鍵管理システムの動作手順を示す流れ図である。図7は、鍵管理と位置管理の組合せを示す表である。
【0027】
上記のように構成された本発明の実施例における位置鍵管理システムの動作を説明する。最初に、図1を参照しながら、位置鍵管理システムのエンティティを説明する。位置鍵管理システムのエンティティは、位置鍵サービスを要求する位置鍵クライアントと、位置鍵関数によるサービスを提供する位置鍵サーバである。それぞれは、1つでも複数でもよい。
【0028】
位置鍵クライアント(Location Key Client)は、位置鍵サービスを要求する移動体端末である。位置鍵クライアントは、クライアント識別情報を含む位置鍵発行要求情報を位置鍵サーバに送信して、位置鍵の発行を要求する。クライアント識別情報(CID)は、位置鍵クライアントの固有の識別情報である。この例では、“i”とする。識別情報(ID)が“i”である位置鍵クライアント(Ci)は、ユニークなクライアント秘密鍵(CKi)を保持する。識別情報を問題にしない場合は、単に位置鍵クライアント(C)と記す。位置鍵クライアント自身の位置情報や時刻情報や乱数を取得できる場合がある。クライアント情報(InfoC)は、位置鍵クライアントに関する情報(乱数、位置、時刻等)である。クライアント依存データ(DataCK)は、クライアント秘密鍵(CK)(及びクライアント情報)に依存したデータである。位置鍵クライアントは、携帯電話やノートPCなどである。
【0029】
位置鍵サーバ(Location Key Server)は、位置鍵クライアントに対して位置鍵サービスを提供するサーバである。位置鍵サーバは、位置鍵クライアントから位置鍵サービス要求情報を受信し、位置鍵管理手段により、位置鍵クライアントの同一性を確認しながら、位置管理処理と鍵管理処理の一方を他方に依存させて位置鍵を生成する。位置鍵管理機能を果たす手段として、鍵依存位置処理関数(KLF)と位置依存鍵処理関数(LKF)を有する。これらの関数を、位置鍵ポリシに従って制御する。位置鍵サーバは、位置鍵要求情報に応じて、位置依存鍵処理関数(第1の位置鍵管理手段)と鍵依存位置処理関数(第2の位置鍵管理手段)のいずれか1つに切り換える。位置管理手段と鍵管理手段が複数の機能を持つ場合は、そのうちのいずれか1つの機能に切り換えて、位置管理に依存させて鍵管理を行うか、鍵管理に依存させて位置管理を行うかにより、位置鍵を生成する。サーバ識別情報(SID)は、位置鍵サーバの固有の識別情報である。この例では、“j”とする。識別情報(ID)が“j”である位置鍵サーバ(Sj)は、サーバ秘密鍵(SKj)と、自身の位置情報と、乱数と、時刻情報を有する場合がある。サーバ情報(InfoS)は、位置鍵サーバに関する情報(乱数、位置、時刻、内部状態等)である。識別情報を問題にしない場合は、単に位置鍵サーバ(S)と記す。
【0030】
位置鍵サーバの種類を説明する。
(1)ステーション(Station)は、携帯電話やPHSの基地局、又は公衆無線LANのアクセスポイント(それと接続されたPCも含む)のような、特定位置に固定され、比較的高い計算能力を有する装置である。単体で信頼できるものとする。
(2)モバイル(Mobile)は、ノートPCやPDAや携帯電話のような移動体であり、中程度の計算能力を有する装置である。単体では必ずしも信頼できないものとする。
(3)センサ(Sensor)は、センサネットワークにおけるセンサノードやRFIDにおけるアクティブ型ICタグのような、特定の位置に配置され、低い計算能力を有し、能動的動作が可能な装置である。単体では信頼できないものとする。
(4)タグ(Tag)は、RFIDのパッシブ型ICタグのような、特定位置に配置され、計算能力はほとんど無く、受動的動作を行う装置である。単体では信頼できないものとする。身に付ける場合は、センサと同様である。
【0031】
位置鍵クライアントの位置を計測する方式、又は位置に関する情報を取得する方式を、測位方式と呼び、以下のものを想定する。
(1)申告型(Report type)は、位置鍵クライアントが位置鍵サーバに自身の位置を自己申告する方式であり、位置鍵クライアントの測位を補佐するシステム(GPS等)が存在する場合が多い。
(2)推測型(Inference type)は、検証者が位置鍵クライアントの位置を証拠から推測する方式である。検証時に位置鍵サーバと位置鍵クライアントが対話することもある。主にRFIDを利用した方式であり、証拠(RFIDの識別情報)から位置を推測する。
(3)直接型(Direct type)は、位置鍵クライアントの位置を位置鍵サーバが直接検証する方式である。通信遅延を利用した方式のように、位置鍵クライアントと位置鍵サーバの対話により検証する対話式と、レーダーを利用した方式のように、位置鍵サーバが一方的に位置鍵クライアントを検証する一方向式に分類できる。位置鍵サーバは、単数の場合と複数の場合がある。
【0032】
第2に、位置管理について説明する。位置管理(Location management)は、位置検証と位置証明の総称である。位置検証(Location verification)とは、検証者が、移動体の位置を直接検証することである。位置検証結果は位置情報である。ただし、他のエンティティに位置検証結果を提供する場合は、位置検証結果を位置トークンに変換する。位置証明(Location certification)とは、移動体の位置情報を、第三者に証明することと、第三者が位置情報を検証することである。移動体の位置情報は、位置トークンとして第三者に提供される。位置管理に関する個々の機能の実行を位置演算(Location operating)と呼ぶ。位置管理種別(LMT)は、位置管理の種別(検証、証明、「なし(None)」)を示すデータである。
【0033】
位置管理において扱う位置(Location)は、次の4種類である。
(1)距離(Distance)は、移動体と他のエンティティとの相対距離である。
(2)範囲(Region)は、移動体が存在する範囲である。
(3)場所(Position)は、移動体が存在する点である。
(4)経路(Route)は、移動体が移動した経路である。
【0034】
第3に、鍵管理について説明する。鍵管理は、次の鍵(Key)を対象とする。
(1)クライアント秘密鍵(CK)は、移動体端末固有の秘密鍵又は秘密鍵と公開鍵のペアであり、秘密鍵は移動体端末内に安全に保管される。クライアント秘密鍵(CK)は、位置鍵クライアントが秘密に保持する鍵である。
(2)処理鍵(PK)は、クライアント秘密鍵(CK)を入力として、鍵管理関数が出力する秘密鍵又は秘密鍵と公開鍵のペアである。
【0035】
サーバ秘密鍵(SK)は、位置鍵サーバが秘密に保持する鍵である。位置鍵(LK)は、位置サーバが発行する位置を証明する鍵である。鍵管理種別(KMT)は、鍵管理の種別(発行、生成、共有、配送、無効化、制御、「なし(None)」)を示すデータである。
【0036】
鍵管理(Key management)は、次の各機能の総称であり、機能の実行を鍵演算(Key operating)と呼ぶ。入力はクライアント鍵であり、出力は管理鍵である。
(1)鍵発行(Key issuing)は、公開鍵証明書を含む鍵の発行機能である。
(2)鍵共有(Key sharing)は、複数のエンティティによる鍵の共有機能である。鍵交換(Key exchange)も含む。
(3)鍵配送(Key distribution)は、特定のエンティティへの鍵の配送機能である。
(4)鍵生成(Key generation)は、単一又は複数のエンティティによる鍵の生成機能である。
(5)鍵無効化(Key revocation)は、鍵の無効化機能である。特定の鍵を利用できなくする全ての処理である。結果として特定の鍵が利用できなくなる鍵共有(Key sharing)と鍵生成(Key generation)を含む。
(6)鍵制御(Key access control)は、鍵のアクセス制限機能である。
【0037】
位置鍵とは、位置鍵関数の出力であり、ある時刻における位置鍵クライアントとの相対的な位置関係とクライアント鍵により定まる次の鍵の総称である。位置依存鍵処理関数(LKF)の出力である管理鍵と、鍵依存位置処理関数(KLF)の出力である位置トークンが、対象とする鍵である。位置鍵サーバは、位置依存鍵処理関数(LKF)及び鍵依存位置処理関数(KLF)を備え、位置鍵ポリシに従い、位置鍵クライアントにそれらの位置鍵管理機能を用いたサービスを提供する。
【0038】
位置鍵ポリシとは、位置依存鍵処理関数(LKF)と鍵依存位置処理関数(KLF)を実施する条件を記載したデータである。内部状態(LKS)は、位置鍵ポリシ(LKP)の判定に必要な位置鍵サーバの内部状態(例えば、現在位置、残金、特定の鍵の有無など)である。図2に、位置鍵ポリシ(LKP)の例を示す。位置鍵ポリシ(LKP)は、複数のレコード(Record)からなり、レコードは三つの項目(Item)を含む。項目(Item)は、属性(Attribute)が、クライアント又はその属性を意味し、動作(Action)は、クライアントに許可された処理を意味し、条件(Condition)は、許可に必要な条件を意味する。
【0039】
第4に、位置トークンについて説明する。位置トークン(LT)は、位置鍵サーバの測位機能により得られた位置鍵クライアントの位置情報を様々な形式でディジタル化したデータである。位置鍵トークンは、少なくとも位置鍵クライアントの識別情報と、位置鍵クライアントの位置に関する情報(位置鍵サーバが特定位置に固定されている場合、サーバ識別情報(SID)も位置鍵クライアントの位置を特定する材料となるため、対象に含める)と、位置鍵関数が実行された時刻情報の少なくとも一つを含む。位置トークン種別(LTT)は、位置トークンの種別(位置証明書(LC)、位置証拠(LE)、位置リファレンス(LR)、「なし(None)」)を示すデータである。位置トークン(LT)は、位置鍵を含んで発行されるか、特定の位置鍵とペアで発行される。異なる測位機能を備えた複数の位置トークン提供者と、提供された位置トークンを用いて自身の位置を証明する証明者と、位置トークンにより証明者の位置を検証する検証者とからなる位置トークンモデルを想定する。これに類似した従来の例として、単一の測位機能を前提とした狭義の位置トークンモデルが、非特許文献15に開示されている。
【0040】
現時点で存在する位置鍵サーバと測位技術に合わせて、以下の種類の位置トークンを定義する。
(1)位置鍵証明書(LC: Location Key Certificate)は、位置鍵クライアント(Ci)の位置情報(Li)と、処理時刻(Ti)と、発行先である位置鍵クライアント(Ci)の識別情報である“i”と、発行元である位置鍵サーバ(Sj)の識別情報である“j”に対して、信頼できる位置鍵サーバ(Sj)がディジタル署名したメッセージである。公開鍵証明書に位置情報を追加し、公開鍵の代わりに位置鍵としたものといえる。また、鍵に対するタイムスタンプ(非特許文献8)に位置情報を追加したものと捉えることもできる。位置鍵サーバ(Sj)としては、ステーション又はモバイルを想定し、測位方式としては直接型を想定する。
【0041】
(2)位置鍵証拠(LE: Location Key Evidence)は、位置鍵クライアント(Ci)が位置鍵サーバ(Sj)から取得した位置に関する情報であり、メッセージ認証符号(MAC: Message Authentication Code、以降MACと記載した場合は、安全なMAC関数を使用するとする)が付加される。位置鍵サーバ(Sj)としてセンサを想定し、測位方式として推測型を想定しており、位置証拠はセンサの識別情報又は位置鍵クライアント(Ci)の位置情報(Li)である。処理時刻(Ti)と、発行先である位置鍵クライアント(Ci)の識別情報である“i”と、発行元である位置鍵サーバ(Sj)の識別情報である“j”と、位置鍵を含む場合もある。
【0042】
(3)仮位置鍵証拠(PLE: Provisional Location Key Evidence)は、位置鍵クライアント(Ci)が位置鍵サーバ(Sj)から取得した位置に関する情報である。位置鍵サーバ(Sj)としてタグを想定し、測位方式として推測型を想定しており、仮位置証拠はタグの識別情報となる。
【0043】
(4)位置リファレンス(LR: Location Reference)は、位置鍵クライアント(Ci)が位置鍵サーバ(Sj)以外の補助エンティティを利用して自身で計算した位置情報である。補助エンティティとしてGPS衛星を想定する。測位機能として、申告型に対応する。なお、位置リファレンス(LR)を位置鍵サーバ(Sj)が発行することはないが、位置鍵クライアント(Ci)から受け取った場合に、他の形式の位置トークンとして発行する場合がある。
【0044】
位置トークンと位置鍵サーバと測位方式の関係を、図3に示す。表中のハイフン(−)は、現時点で存在しないシステムである。そのようなシステムが出現した場合は、対応する位置トークンを新たに定義することで、利用することができる。また、ステーション(Station)とモバイル(Mobile)とセンサ(Sensor)は、位置リファレンス(LR)を受け取って、位置鍵証明書(LC)又は位置鍵証拠(LE)に変換できるものとする。
【0045】
位置鍵サーバは、位置鍵関数の出力として、位置鍵クライアントに位置トークンを与える場合がある。位置トークンは、種類に応じて検証方法が異なるため、位置鍵クライアントは、自身又は位置トークンを提供する予定の第三者が検証可能な位置トークンの種別を、予め位置鍵サーバにリクエストすることができる。また、位置トークンの信頼性は、その種別及び発行した位置鍵サーバのドメインにより異なる。ドメインは、証明書の発行者が属するカテゴリである。非特許文献11記載のものでは、信頼できるドメイン(trusted domain{operator, manufacture, trusted third party})と、信頼できないドメイン(untrusted domain)が存在し、それぞれ異なる権限を与える。ドメインは、タグ(Tag)、センサ(Sensor)、モバイル(Mobile)、ステーション(Station)の順に高い権限を与える。なお、MACにもドメインの概念を適用する。
【0046】
タグ(Tag)やセンサ(Sensor)が発行した位置トークンは、単体では信頼できないため、複数の位置トークンを総合的に判断してもよい。ただし、位置トークンが位置鍵クライアントから提供された位置リファレンスを元に発行されている場合は、位置鍵サーバはその旨を位置トークンに含めなくてはならない。これは、ドメインが信頼できるものであっても、その位置情報は信頼できない可能性が高いためである。位置鍵クライアントは位置鍵サーバから提供された位置トークンを第三者又は他の位置鍵サーバに提供することにより、位置依存サービス(LBS)を受けることが可能となる。
【0047】
第5に、位置鍵サーバに使用する関数について説明する。位置鍵サーバは、位置鍵関数として、位置依存鍵処理関数(LKF)と、鍵依存位置処理関数(KLF)を備えている。位置依存鍵処理関数(LKF)は、位置管理関数の出力を鍵管理関数に入力する統合された位置鍵関数である。位置依存鍵処理関数(LKF)の出力は、位置鍵である。鍵依存位置処理関数(KLF)は、鍵管理関数の出力を位置管理関数に入力する統合された位置鍵関数である。鍵依存位置処理関数(KLF)の出力は、位置鍵と位置トークンのペアである。位置鍵関数は、クライアント識別情報(CID)と、一時的識別情報(乱数)と、連続性確認値(CCV)を入力とするとともに、位置管理関数と鍵管理関数の一方の出力を他方の入力とすることにより、位置管理関数と鍵管理関数が安全に結合されている。また、位置鍵クライアントのリクエストと位置鍵ポリシに基づいて実行が制御されるため、安全な暗号化位置依存サービス(CLBS)が実現される。
【0048】
鍵依存位置処理関数(KLF)は、鍵管理関数(KMF)と位置管理関数(LMF)とポリシ判定関数(PJF)から構成され、位置鍵ポリシに従って位置鍵を管理する関数である。クライアント依存データ(DataCK)と、位置鍵ポリシ(LKP)と、位置鍵サーバの内部状態(LKS)と、位置鍵管理種別(LKT)と、位置トークン種別(LTT)と、サーバ識別情報(SID)と、サーバ秘密鍵(SK)と、クライアント情報(InfoC)と、サーバ情報(InfoS)を入力して、{位置鍵(LK)、位置トークン(LT)}の組を出力するか、「拒否(Reject)」を出力する。
【0049】
位置トークン種別(LTT)=位置証明書(LC)の場合は、位置トークン(LT)が位置鍵(LK)を含むものとする。位置鍵サーバの内部状態(LKS)と、位置鍵管理種別(LKT)と、位置トークン種別(LTT)と、サーバ識別情報(SID)と、サーバ秘密鍵(SK)と、クライアント情報(InfoC)と、サーバ情報(InfoS)は、位置鍵管理種別(LKT)又は位置鍵ポリシ(LKP)によって、利用する場合と利用しない場合がある。
【0050】
位置依存鍵処理関数(LKF)は、位置管理関数(LMF)と鍵管理関数(KMF)とポリシ判定関数(PJF)から構成され、位置鍵ポリシに従って位置鍵を管理する関数である。クライアント依存データ(DataCK)と、位置鍵ポリシ(LKP)と、位置鍵サーバの内部状態(LKS)と、位置鍵管理種別(LKT)と、サーバ識別情報(SID)と、サーバ秘密鍵(SK)と、クライアント情報(InfoC)と、サーバ情報(InfoS)を入力して、位置鍵(LK)を出力するか、「拒否(Reject)」を出力する。位置鍵サーバの内部状態(LKS)と、位置鍵管理種別(LKT)と、サーバ識別情報(SID)と、サーバ秘密鍵(SK)と、クライアント情報(InfoC)と、サーバ情報(InfoS)は、位置鍵管理種別(LKT)又は位置鍵ポリシ(LKP)によって、利用する場合と利用しない場合がある。
【0051】
位置管理関数(LMF)は、クライアント依存データ(DataCK)と、位置管理種別(LMT)と、クライアント識別情報(CID)と、サーバ識別情報(SID)と、サーバ秘密鍵(SK)と、クライアント情報(InfoC)と、サーバ情報(InfoS)と、位置トークン種別(LTT)を入力して、位置トークン(LT)を出力する関数である。クライアント識別情報(CID)と、サーバ識別情報(SID)と、サーバ秘密鍵(SK)と、クライアント情報(InfoC)と、サーバ情報(InfoS)は、位置管理種別(LMT)によって、利用する場合と利用しない場合がある。位置トークン種別(LTT)が「なし(None)」なら、デフォルトの位置トークン(LT)を出力する。なお、クライアント認証を行う鍵管理方式を使用する場合は、位置トークン(LT)以外にクライアント識別情報(CID)を出力する。クライアント情報(InfoC)とサーバ情報(InfoS)が乱数を含む場合は、乱数(R)を出力する。
【0052】
鍵管理関数(KMF)は、クライアント依存データ(DataCK)と、鍵管理種別(KMT)と、クライアント識別情報(CID)と、サーバ識別情報(SID)と、サーバ秘密鍵(SK)と、クライアント情報(InfoC)と、サーバ情報(InfoS)を入力して、処理鍵(PK)を出力する関数である。クライアント識別情報(CID)と、サーバ識別情報(SID)と、サーバ秘密鍵(SK)と、クライアント情報(InfoC)と、サーバ情報(InfoS)は、鍵管理種別(KMT)によって、利用する場合と利用しない場合がある。なお、クライアント認証を行う鍵管理方式を使用する場合は、処理鍵(PK)以外にクライアント識別情報を出力する。クライアント情報(InfoC)とサーバ情報(InfoS)が乱数を含む場合は、乱数(R)を出力する。
【0053】
ポリシ判定関数(PJF)は、クライアントプライバシ種別(CPT)と、位置鍵ポリシ(LKP)と、位置鍵サーバの内部状態(LKS)と、位置鍵管理種別(LKT)と、クライアント識別情報(CID)と、位置鍵クライアント情報(InfoC)を入力して、位置鍵生成の処理条件を判定し、鍵管理種別(KMT)と、{クライアントプライバシ種別(CPT)、位置管理種別(LMT)、位置トークン種別(LTT)}の組を出力するか、「拒否(Reject)」を出力する関数である。すなわち、ポリシ判定手段(ポリシ判定関数)は、位置鍵発行要求情報中の要求種別とポリシ記憶手段に保持してある位置鍵ポリシとに従って、ポリシ制御を行う。位置鍵サーバの内部状態(LKS)と、位置鍵管理種別(LKT)と、クライアント識別情報(CID)と、クライアント情報(InfoC)は、位置鍵ポリシ(LKP)によって、利用する場合と利用しない場合がある。
【0054】
図4を参照しながら、鍵依存位置処理関数(KLF)の動作を説明する。鍵依存位置処理関数(KLF)は、鍵管理関数(KMF)の出力を位置管理関数(LMF)の入力とする管理パスとポリシ判定関数(PJF)の出力を鍵管理関数(KMF)と位置管理関数(LMF)のそれぞれに入力する制御パスから構成される。管理パスでは、鍵管理種別(KMT)により要求された鍵管理関数(KMF)が、クライアント識別情報(CID)、サーバ秘密鍵(SK)、サーバ情報(InfoS)、サーバ識別情報、クライアント情報(InfoC)を入力として、位置鍵クライアントとの間で、質問(Challenge)‐応答(Response)型の鍵管理処理を実行し、処理鍵(PK)を出力する。さらに、鍵管理関数(KMF)がクライアント識別情報による認証又は一時的識別情報によるクライアント識別を実行した場合は、それぞれ連続性確認値(CCV)としてクライアント識別情報、乱数(R)が出力される。クライアント識別情報又は乱数(R)が出力されない場合は、処理鍵(PK)が連続性確認値(CCV)となる。
【0055】
次に、位置管理種別(LMT)で要求された位置管理関数(LMF)が、鍵管理関数(KMF)の出力を入力として、位置鍵クライアントとの間で、連続性確認値(CCV)に依存した質問(Challenge)‐応答(Response)型の位置管理処理を実行し、クライアントプライバシ種別(CPT)、位置トークン種別(LTT)により要求された{位置鍵(LK)、位置トークン(LT)}の組を出力する。ここで、連続性確認値(CCV)に依存したとは、クライアントが連続性確認値(CCV)又は連続性確認値(CCV)に対応する秘密情報を有していることを確認することを意味する。制御パスでは、ポリシ判定関数(PJF)が位置鍵ポリシ(LKP)と位置鍵サーバの内部状態(LKS)と位置鍵クライアントの要求(Request)から鍵管理関数(KMF)の実行制御を行い、次に、鍵管理関数(KMF)の出力と位置鍵ポリシ(LKP)と位置鍵サーバの内部状態(LKS)と位置鍵クライアントの要求(Request)とから位置管理関数(LMF)の実行制御を行う。もし、ポリシ判定関数(PJF)が「拒否」(Reject)を出力した場合は、その時点で処理を停止し、鍵依存位置処理関数(KLF)の出力が「拒否(Reject)」となる。
【0056】
図5を参照しながら、位置依存鍵処理関数(LKF)の動作を説明する。位置依存鍵処理関数(LKF)は、位置管理関数(LMF)の出力を鍵管理関数(KMF)の入力とする管理パスと、ポリシ判定関数(PJF)の出力を鍵管理関数(KMF)と位置管理関数(LMF)のそれぞれに入力する制御パスから構成される。管理パスでは、位置管理種別(LMT)により要求された位置管理関数(LMF)が、サーバ秘密鍵(SK)、サーバ情報(InfoS)、サーバ識別情報、クライアント情報(InfoC)を入力として、位置鍵クライアントと質問(Challenge)‐応答(Response)型の位置管理処理を実行する。さらに、位置管理関数(LMF)がクライアント識別情報による認証又は一時的識別情報によるクライアント識別を実行した場合は、それぞれ連続性確認値(CCV)として、クライアント識別情報と乱数(R)が出力される。クライアント識別情報又は乱数(R)が出力されない場合は、位置トークン(LT)が連続性確認値(CCV)となる。次に、鍵管理種別(KMT)で要求された鍵管理関数(KMF)が、位置管理関数(LMF)の出力を入力として、連続性確認値(CCV)に依存した質問(Challenge)‐応答(Response)型の鍵管理処理を、位置鍵クライアントとの間で実行し、位置鍵(LK)又は「拒否(Reject)」を出力する。制御パスは、鍵依存位置処理関数(KLF)と鍵管理関数(KMF)と位置管理関数(LMF)の順番が異なるだけである。
【0057】
第6に、図6を参照しながら、位置鍵発行処理の流れについて説明する。
(1)位置鍵クライアント(Ci)は、(CID||KMT||LMT||InfoC||CPT||LTT)あるいは(CID||LMT||KMT||InfoC)から成る要求メッセージ(Request message)を生成し、位置鍵サーバ(Sj)へ送信する。
【0058】
(2)位置鍵サーバ(Sj)は、位置鍵管理種別(LKT)に応じた位置鍵関数(鍵依存位置処理関数(KLF)又は位置依存鍵処理関数(LKF))を選択し、位置鍵関数に要求メッセージ(Request message)及び位置鍵ポリシ(LKP)、位置鍵サーバの内部状態(LKS)、サーバ情報(InfoS)を入力する。その結果、位置鍵関数が実行され、所定のプロトコルが、位置鍵サーバ(Sj)−位置鍵クライアント(Ci)間において実施される。すなわち、位置鍵関数は、連続性確認値(CCV)に依存した質問(Challenge)‐応答(Response)型の鍵管理処理を、位置鍵クライアントとの間で実行する。
【0059】
(3)位置鍵サーバ(Sj)は、位置鍵管理種別が(LKT=KMT||LMT)なら{位置鍵(LK)、位置トークン(LT)}の組または「拒否(Reject)」を、位置鍵関数により得る。位置鍵管理種別が(LKT=LMT||KMT)なら、位置鍵(LK)又は「拒否(Reject)」を位置鍵関数により得る。位置鍵ポリシ(LKP)及び位置鍵サーバの内部状態(LKS)に応じて選択された内容を、位置鍵メッセージ(LK message)として、位置鍵クライアント(Ci)へ送信する。鍵管理種別(KMT)として、鍵共有等が選択された場合、結果として、位置鍵クライアント(Ci)は、処理鍵(PK)を得る場合がある。
【0060】
(4)位置鍵クライアント(Ci)は、位置鍵管理種別が(LKT=KMT||LMT)なら、{位置鍵(LK)、位置トークン(LT)}の組または「拒否(Reject)」を、位置鍵メッセージ(LK message)として受信する。鍵管理種別が(KT=LMT||KMT)なら、位置鍵(LK)又は「拒否(Reject)」を、位置鍵メッセージ(LK message)として受信する。
【0061】
第7に、図7を参照しながら、位置依存鍵処理関数(LKF)と鍵依存位置処理関数(KLF)のそれぞれに対する鍵管理と位置管理の組合せについて説明する。位置鍵管理種別(LKT)のいくつかの組合せの例を、以下に挙げる。
(1)LKF型#2は、特定位置であることを検証し、正しければノードと秘密情報を共有する方法である(非特許文献4)。
(2)KLF型#3は、グループ鍵生成方法である。この方法により、グループ構成員は、グループ鍵を共有する第3者と場所と時間に関する証明書を発行できる(非特許文献17)。
(3)LKF型#4は、位置を検証し、一定距離以内であれば復号鍵を配送する方法である(非特許文献6)。
(4)LKF型#5は、位置を検証し、一定の距離を超えると鍵を無効化して復号できなくなるコンテンツサービス方法である。
(5)LKF型#7は、位置を検証し、その位置に存在したことを証明する方法である(非特許文献15)。
(6)LKF型#6は、社長室でしか使えないディジタル署名鍵を実現する方法である。
(7)KLF型#9は、ミーティング参加者全員で鍵生成を行い、その鍵に対して位置証明書を発行する方法である。
(8)KLF型#12は、鍵の無効化を実施した位置を検証後、ドアが開くようにする方法である。以上、いくつかの例を示したが、他の組合せにも様々な位置依存サービス(LBS)に利用可能なものがある。
【0062】
第8に、位置鍵システムが満たすべき要件について説明する。
(1)可用性(Availability)は、許可された位置鍵クライアントが位置鍵サーバの位置鍵機能を利用できることである。
(2)汎用性(Universality)は、既存の複数のシステムに適応することが容易な設計であることである。現実には様々な種類のサーバ、測位方式、鍵管理方式、位置管理方式が存在するため、一つの形態に特化しない汎用的な設計とする必要がある。
(3)結合性(Associativity)は、鍵管理機能と位置管理機能が安全に結合されており、攻撃者が位置鍵サーバの位置鍵機能の出力を制御及び改変することが困難なことである。
(4)プライバシ(Privacy)保護は、位置鍵クライアントが秘匿することを要求した情報(クライアント識別情報、クライアントの位置に関する情報、位置鍵関数が実行された時刻、またはそれらの組合せ)が、位置鍵サーバの発行する位置トークンから漏洩しないことである。ただし、クライアントが要求する位置鍵機能の種別と秘匿する情報の組合せが矛盾する場合は除く。また、位置鍵クライアントの識別情報を秘匿することを匿名性(AM: Anonymity)、位置鍵クライアントの位置に関する情報を秘匿することを匿位置性(LH: Location hiding)、位置鍵関数の実行時刻を秘匿することを匿時間性(TH: Time hiding)と呼ぶ。
【0063】
位置鍵システムが上記の4つの要件を満たすことを説明する。
(1)可用性がある。位置鍵サーバが位置鍵機能を備え、かつ位置鍵機能を位置鍵ポリシにより制御するため、許可された位置鍵クライアントのみが位置鍵機能を利用することができる。ただし、位置鍵クライアントを認証する機能は、鍵管理関数(KMF)又は位置管理関数(LMF)が含むものとする。
(2)汎用性がある。図3に示すように、4種類の位置サーバと3種類の測位方式の組合せに対応した4種類の位置トークンを用意すること、及び位置鍵クライアントが位置トークン種別を位置鍵サーバに要求することにより、実際の様々なシステムに対応することが可能である。また、鍵管理機能と位置管理機能を、それぞれモジュールとして扱うため、既存の方式をそのまま利用することができる。
【0064】
(3)結合性がある。図1に示したように、鍵管理関数(KMF)と位置管理関数(LMF)の結合性を強化するため、位置依存鍵処理関数(LKF)は鍵管理関数(KMF)(または位置管理関数(LMF))の出力を位置管理関数(LMF)(または鍵管理関数(KMF))の入力にできる。鍵管理関数(KMF)と位置管理関数(LMF)は、一方の管理関数が認証したクライアントと、他方の管理関数が認証したクライアントが異なることを防ぐため、連続性確認値(CCV)を使い、同じ位置鍵クライアントを認証することができる。
【0065】
連続性確認値(CCV)(クライアント識別情報(CID)、乱数(R)、処理鍵(PK)、位置トークン(LT))は、次のように、各管理関数が対象とする位置鍵クライアントに依存する。クライアント識別情報(CID)は、一意に決まる識別情報なので、位置鍵サーバは、位置鍵クライアントを特定できる。乱数(R)は、位置依存サービス(LBS)のために、位置鍵サーバが位置鍵クライアントに与える一時的識別情報であるため、位置鍵サーバは、乱数(R)を持つ位置鍵クライアントと他の位置鍵クライアントを区別できるが、識別することはできない。位置鍵サーバは、鍵管理のために位置鍵クライアントを特定すると限らないので、位置鍵サーバは、処理鍵(PK)を持つ位置鍵クライアントと他の位置鍵クライアントとを区別できるが、識別できるとは限らない。位置鍵サーバは、位置管理のために位置鍵クライアントを特定するとは限らないので、位置鍵サーバは、位置トークン(LT)を持つ位置鍵クライアントと他の位置鍵クライアントとを区別できるが、識別できるとは限らない。
【0066】
ゆえに、位置鍵クライアントが匿名性を要求するときも、各管理関数がサポートする方式が一時的識別情報を利用できない場合も、位置鍵サーバは同じ位置鍵クライアントを、連続性確認値(CCV)を用いて認証(区別)できる。なぜならば、連続性確認値(CCV)は、乱数(R)と処理鍵(PK)と位置トークン(LT)をサポートするためである。連続性確認値(CCV)の安全性は、各管理関数の安全性に依存するものである。加えて、位置鍵関数の入力は、要求(Request)と応答(Response)のみに制限されている。ポリシ判定関数(PJF)は要求(Request)を直接検証できる。一方、鍵管理関数(KMF)と位置管理関数(LMF)は、応答(Response)を検証し、ポリシ判定関数(PJF)は、そのフィードバック結果を検証する。つまり、ポリシ判定関数(PJF)は、間接的に応答(Response)を検証できる。ポリシ判定関数(PJF)はまた、各管理関数のフィードバックが同じクライアントを認証できていないことを示す場合は、位置鍵関数の実行を停止できる。ゆえに、ポリシ判定関数(PJF)は、管理関数間の管理パスを検証できる。結果として、位置鍵関数は、連続性確認値(CCV)と、一方の管理関数の出力が他の管理関数の入力となる構造と、ポリシベースアクセス制御により、安全に結合性を満たすことができる。
【0067】
(4)プライバシを保護できる。位置鍵クライアントは、要求(Request)中のクライアントプライバシ種別(CPT)により、匿名・匿位置・匿時間又はそれらの組合せを、位置鍵サーバに要求することができる。位置鍵サーバは、クライアントプライバシ種別(CPT)に応じた部位を除いた位置トークンを生成するため、プライバシ保護条件を満足する。
【0068】
第9に、位置鍵システムの安全性について説明する。位置鍵システムの安全性の前提条件は次の通りである。
(1)位置鍵サーバは、タグ(Tag)、センサ(Sensor)、モバイル(Mobile)、ステーション(Station)の順に安全なものとし、ステーション(Station)のみが単体で信頼できるものとする。
(2)位置鍵クライアントは、クライアント秘密鍵(CK)を安全に保管するものとする。
(3)位置鍵サーバは、サーバ秘密鍵(SK)を安全に保管するものとする。
(4)鍵管理方式及び位置管理方式は、既存の方式を想定するため、その安全性は個々の方式に依存する。個々の方式は安全であるとして扱う。
【0069】
攻撃者と攻撃は、次のようなものである。
(1)攻撃者は位置鍵クライアント又は第三者である。
(2)攻撃のために第三者と位置鍵クライアントは結託する可能性がある。
(3)測位時に位置鍵クライアント又は位置鍵サーバが複数想定される場合は、少なくとも1個のクライアント及び1個のサーバは不正を働かない。
(4)位置鍵クライアントと位置鍵サーバ間の通信路は安全ではない。
(5)攻撃の目的は、位置鍵サーバの位置鍵機能を不正に利用すること、および位置鍵機能の出力を改変することである。
(6)攻撃者は、位置鍵サーバに対する直接及び間接解析による秘密情報の取得、メッセージ盗聴/改ざん/偽造を行う。
【0070】
上記のような前提条件で、上記の攻撃に対して安全な暗号化位置依存サービス(Secure CLBS)を構築するために、鍵管理と位置管理の対象とするエンティティが一致することを確認し、鍵管理と位置管理に依存関係を持たせ、鍵管理と位置管理の実行制御条件を指定できるようにした。これらの三つのポイントを実現する具体的手段としては、連続性確認値(CCV)によるエンティティの一致確認と、管理関数の出力をもう一方の管理関数の入力とする構造と、位置鍵ポリシとポリシ判定関数による両管理関数の実行制御方式を採用した。この結果として、位置鍵関数は、外部からの攻撃に対して安全である。位置鍵サーバがステーションの場合には、位置鍵関数は信頼できるので、位置鍵サーバがステーションの場合には、上記の攻撃を防ぐことができる。位置鍵サーバがモバイルかセンサかタグの場合の安全性は、その位置鍵サーバの信頼性に基づく安全性に等しくなる。
【0071】
上記のように、本発明の実施例では、位置鍵管理システムを、位置鍵クライアントからの位置鍵サービス要求に応じて、位置管理手段と鍵管理手段とポリシ制御手段とを備えた位置鍵サーバで、位置管理処理と鍵管理処理における位置鍵クライアントの同一性を確認しながら、位置鍵ポリシに基づいて、鍵管理手段の出力を位置管理手段の入力とするか、位置管理手段の出力を鍵管理手段の入力として、位置管理処理と鍵管理処理の一方を他方に依存させて位置鍵を生成し、位置鍵クライアントに位置鍵を提供する構成としたので、安全な暗号化位置依存サービスを実現できる。
【産業上の利用可能性】
【0072】
本発明の位置鍵管理システムは、特定位置への情報配信や、歩行者のナビゲーションや、モバイルノードのトラッキングや、チケットゲートシステム等の位置依存サービス(LBS)用のシステムとして、また、社内でのみ閲覧(復号)可能な社外秘ドキュメントや、社長室のみで使用可能な社長印(ディジタル署名鍵)等を実現する暗号化位置依存サービス(CLBS)用のシステムとして最適である。
【図面の簡単な説明】
【0073】
【図1】本発明の実施例における位置鍵管理システムの構成を示す概念図である。
【図2】本発明の実施例における位置鍵管理システムの位置鍵ポリシの例を示す表である。
【図3】本発明の実施例における位置鍵管理システムの位置トークンと位置鍵サーバと測位方式の関係を示す表である。
【図4】本発明の実施例における位置鍵管理システムの位置鍵サーバ内の位置鍵関数内の鍵依存位置処理関数の構成を示す概念図である。
【図5】本発明の実施例における位置鍵管理システムの位置鍵サーバ内の位置鍵関数内の位置依存鍵処理関数の構成を示す概念図である。
【図6】本発明の実施例における位置鍵管理システムの動作手順を示す流れ図である。
【図7】本発明の実施例における位置鍵管理システムの鍵管理と位置管理の組合せを示す表である。
【符号の説明】
【0074】
S 位置鍵サーバ
InfoS サーバ情報
SK サーバ秘密鍵
LKS 位置鍵サーバの内部状態
C 位置鍵クライアント
InfoC クライアント情報
CK クライアント秘密鍵
KLF 鍵依存位置処理関数
LKF 位置依存鍵処理関数
LMF 位置管理関数
LKT 位置鍵管理種別
LMT 位置管理種別
KMF 鍵管理関数
KMT 鍵管理種別
PK 処理鍵
LK 位置鍵
CCV 連続性確認値
LC 位置証明書
LE 位置証拠
LR 位置リファレンス
LT 位置トークン
LTT 位置トークン種別
LKP 位置鍵ポリシ
PJF ポリシ判定関数
【特許請求の範囲】
【請求項1】
移動体端末である位置鍵クライアントと、位置管理手段および鍵管理手段を有し位置管理と鍵管理を統合した位置鍵管理手段を備えて位置鍵を用いたサービスを前記位置鍵クライアントに提供する位置鍵サーバとからなる位置鍵管理システムにおける位置及び鍵管理方法であって、前記位置鍵クライアントは、位置鍵サービス要求情報を前記位置鍵サーバに送信して位置鍵サービスの提供を要求し、前記位置鍵サーバは、前記位置鍵クライアントから前記位置鍵サービス要求情報を受信し、前記位置鍵管理手段により、前記位置鍵クライアントの同一性を確認しながら位置管理処理と鍵管理処理の一方を他方に依存させて位置鍵を生成することを特徴とする位置及び鍵管理方法。
【請求項2】
前記位置管理手段は、位置証明機能と位置検証機能のいずれかまたは両方の機能を果たすことを特徴とする請求項1記載の位置及び鍵管理方法。
【請求項3】
前記鍵管理手段は、鍵生成機能と鍵発行機能と鍵共有機能と鍵無効化機能と鍵配送機能と鍵アクセス制御機能のいずれか1つまたは複数の機能を果たすことを特徴とする請求項1記載の位置及び鍵管理方法。
【請求項4】
前記位置管理手段は、クライアント依存データを入力して前記位置鍵クライアントの同一性を確認し位置トークンを出力することを特徴とする請求項1記載の位置及び鍵管理方法。
【請求項5】
前記鍵管理手段は、クライアント依存データを入力して前記位置鍵クライアントの同一性を確認し管理鍵を出力することを特徴とする請求項1記載の位置及び鍵管理方法。
【請求項6】
前記位置管理手段への入力は、クライアント識別情報と一時的識別情報と管理鍵と位置トークンのうちのいずれか1つまたは複数であることを特徴とする請求項5記載の位置及び鍵管理方法。
【請求項7】
前記クライアント依存データは、クライアント識別情報と位置と時刻のいずれか1つまたは複数に依存することを特徴とする請求項4または5に記載の位置及び鍵管理方法。
【請求項8】
前記位置鍵サーバが、ポリシ判定手段とポリシ記憶手段とを備え、前記位置鍵サービス要求情報中の要求種別と前記ポリシ記憶手段に保持してある位置鍵ポリシとに従って、前記ポリシ判定手段によりポリシ制御を行うことを特徴とする請求項1記載の位置及び鍵管理方法。
【請求項9】
前記位置鍵ポリシは、位置鍵クライアントの属性と位置鍵処理の種別と位置鍵発行条件のうちのいずれか1つまたは複数の項目を持つことを特徴とする請求項8記載の位置及び鍵管理方法。
【請求項10】
前記位置鍵サーバは、前記位置管理手段の出力を前記鍵管理手段の入力とする第1の位置鍵管理手段と、前記鍵管理手段の出力を前記位置管理手段の入力とする第2の位置鍵管理手段との少なくとも一方を備え、位置管理に依存させて鍵管理を行うか、鍵管理に依存させて位置管理を行って、位置鍵を生成することを特徴とする請求項1記載の位置及び鍵管理方法。
【請求項11】
前記第1の位置鍵管理手段は、クライアント依存データを入力して前記位置鍵クライアントの同一性を確認し位置鍵を出力することを特徴とする請求項10記載の位置及び鍵管理方法。
【請求項12】
前記第2の位置鍵管理手段は、クライアント依存データを入力して前記位置鍵クライアントの同一性を確認し位置トークンと位置鍵を出力することを特徴とする請求項10記載の位置及び鍵管理方法。
【請求項13】
乱数とサーバ鍵とサーバ識別情報とサーバ位置と時刻のいずれか1つまたは複数を、前記第1の位置鍵管理手段と前記第2の位置鍵管理手段と前記位置管理手段と前記鍵管理手段のいずれか1つまたは複数への入力とすることを特徴とする請求項10〜12のいずれかに記載の位置及び鍵管理方法。
【請求項14】
前記位置鍵サーバは、前記位置管理手段の出力を前記鍵管理手段の入力とする第1の位置鍵管理手段と、前記鍵管理手段の出力を前記位置管理手段の入力とする第2の位置鍵管理手段とを備え、前記位置鍵サーバは、前記位置鍵要求情報に応じて、前記第1の位置鍵管理手段と前記第2の位置鍵管理手段のいずれか1つに切り換え、前記位置管理手段と前記鍵管理手段が複数の機能を持つ場合は、そのうちのいずれか1つの機能に切り換えて、位置管理に依存させて鍵管理を行うか、鍵管理に依存させて位置管理を行うかにより、位置鍵を生成することを特徴とする請求項1記載の位置及び鍵管理方法。
【請求項15】
前記位置鍵サーバは、前記位置管理手段の出力を前記鍵管理手段の入力とする第1の位置鍵管理手段と、前記鍵管理手段の出力を前記位置管理手段の入力とする第2の位置鍵管理手段と、ポリシ制御手段と、ポリシ記憶手段とを備え、前記位置鍵要求情報中の要求種別と前記ポリシ記憶手段に保持してある位置鍵ポリシに従って、前記ポリシ判定手段によりポリシ制御を行い、位置管理に依存させて鍵管理を行うか、鍵管理に依存させて位置管理を行うかにより、位置鍵を生成し、前記ポリシ判定手段が「拒否」を出力した場合は、前記位置管理手段と前記鍵管理手段と前記第1の位置鍵管理手段と前記第2の位置鍵管理手段のいずれか1つまたは複数を停止することを特徴とする請求項1記載の位置及び鍵管理方法。
【請求項16】
前記ポリシ制御手段は、前記位置管理手段または前記鍵管理手段からフィードバックされた情報に基づいて認証結果を判断し、認証不成功の場合に「拒否」を出力することを特徴とする請求項15記載の位置及び鍵管理方法。
【請求項1】
移動体端末である位置鍵クライアントと、位置管理手段および鍵管理手段を有し位置管理と鍵管理を統合した位置鍵管理手段を備えて位置鍵を用いたサービスを前記位置鍵クライアントに提供する位置鍵サーバとからなる位置鍵管理システムにおける位置及び鍵管理方法であって、前記位置鍵クライアントは、位置鍵サービス要求情報を前記位置鍵サーバに送信して位置鍵サービスの提供を要求し、前記位置鍵サーバは、前記位置鍵クライアントから前記位置鍵サービス要求情報を受信し、前記位置鍵管理手段により、前記位置鍵クライアントの同一性を確認しながら位置管理処理と鍵管理処理の一方を他方に依存させて位置鍵を生成することを特徴とする位置及び鍵管理方法。
【請求項2】
前記位置管理手段は、位置証明機能と位置検証機能のいずれかまたは両方の機能を果たすことを特徴とする請求項1記載の位置及び鍵管理方法。
【請求項3】
前記鍵管理手段は、鍵生成機能と鍵発行機能と鍵共有機能と鍵無効化機能と鍵配送機能と鍵アクセス制御機能のいずれか1つまたは複数の機能を果たすことを特徴とする請求項1記載の位置及び鍵管理方法。
【請求項4】
前記位置管理手段は、クライアント依存データを入力して前記位置鍵クライアントの同一性を確認し位置トークンを出力することを特徴とする請求項1記載の位置及び鍵管理方法。
【請求項5】
前記鍵管理手段は、クライアント依存データを入力して前記位置鍵クライアントの同一性を確認し管理鍵を出力することを特徴とする請求項1記載の位置及び鍵管理方法。
【請求項6】
前記位置管理手段への入力は、クライアント識別情報と一時的識別情報と管理鍵と位置トークンのうちのいずれか1つまたは複数であることを特徴とする請求項5記載の位置及び鍵管理方法。
【請求項7】
前記クライアント依存データは、クライアント識別情報と位置と時刻のいずれか1つまたは複数に依存することを特徴とする請求項4または5に記載の位置及び鍵管理方法。
【請求項8】
前記位置鍵サーバが、ポリシ判定手段とポリシ記憶手段とを備え、前記位置鍵サービス要求情報中の要求種別と前記ポリシ記憶手段に保持してある位置鍵ポリシとに従って、前記ポリシ判定手段によりポリシ制御を行うことを特徴とする請求項1記載の位置及び鍵管理方法。
【請求項9】
前記位置鍵ポリシは、位置鍵クライアントの属性と位置鍵処理の種別と位置鍵発行条件のうちのいずれか1つまたは複数の項目を持つことを特徴とする請求項8記載の位置及び鍵管理方法。
【請求項10】
前記位置鍵サーバは、前記位置管理手段の出力を前記鍵管理手段の入力とする第1の位置鍵管理手段と、前記鍵管理手段の出力を前記位置管理手段の入力とする第2の位置鍵管理手段との少なくとも一方を備え、位置管理に依存させて鍵管理を行うか、鍵管理に依存させて位置管理を行って、位置鍵を生成することを特徴とする請求項1記載の位置及び鍵管理方法。
【請求項11】
前記第1の位置鍵管理手段は、クライアント依存データを入力して前記位置鍵クライアントの同一性を確認し位置鍵を出力することを特徴とする請求項10記載の位置及び鍵管理方法。
【請求項12】
前記第2の位置鍵管理手段は、クライアント依存データを入力して前記位置鍵クライアントの同一性を確認し位置トークンと位置鍵を出力することを特徴とする請求項10記載の位置及び鍵管理方法。
【請求項13】
乱数とサーバ鍵とサーバ識別情報とサーバ位置と時刻のいずれか1つまたは複数を、前記第1の位置鍵管理手段と前記第2の位置鍵管理手段と前記位置管理手段と前記鍵管理手段のいずれか1つまたは複数への入力とすることを特徴とする請求項10〜12のいずれかに記載の位置及び鍵管理方法。
【請求項14】
前記位置鍵サーバは、前記位置管理手段の出力を前記鍵管理手段の入力とする第1の位置鍵管理手段と、前記鍵管理手段の出力を前記位置管理手段の入力とする第2の位置鍵管理手段とを備え、前記位置鍵サーバは、前記位置鍵要求情報に応じて、前記第1の位置鍵管理手段と前記第2の位置鍵管理手段のいずれか1つに切り換え、前記位置管理手段と前記鍵管理手段が複数の機能を持つ場合は、そのうちのいずれか1つの機能に切り換えて、位置管理に依存させて鍵管理を行うか、鍵管理に依存させて位置管理を行うかにより、位置鍵を生成することを特徴とする請求項1記載の位置及び鍵管理方法。
【請求項15】
前記位置鍵サーバは、前記位置管理手段の出力を前記鍵管理手段の入力とする第1の位置鍵管理手段と、前記鍵管理手段の出力を前記位置管理手段の入力とする第2の位置鍵管理手段と、ポリシ制御手段と、ポリシ記憶手段とを備え、前記位置鍵要求情報中の要求種別と前記ポリシ記憶手段に保持してある位置鍵ポリシに従って、前記ポリシ判定手段によりポリシ制御を行い、位置管理に依存させて鍵管理を行うか、鍵管理に依存させて位置管理を行うかにより、位置鍵を生成し、前記ポリシ判定手段が「拒否」を出力した場合は、前記位置管理手段と前記鍵管理手段と前記第1の位置鍵管理手段と前記第2の位置鍵管理手段のいずれか1つまたは複数を停止することを特徴とする請求項1記載の位置及び鍵管理方法。
【請求項16】
前記ポリシ制御手段は、前記位置管理手段または前記鍵管理手段からフィードバックされた情報に基づいて認証結果を判断し、認証不成功の場合に「拒否」を出力することを特徴とする請求項15記載の位置及び鍵管理方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2007−20031(P2007−20031A)
【公開日】平成19年1月25日(2007.1.25)
【国際特許分類】
【出願番号】特願2005−201234(P2005−201234)
【出願日】平成17年7月11日(2005.7.11)
【出願人】(000005821)松下電器産業株式会社 (73,050)
【Fターム(参考)】
【公開日】平成19年1月25日(2007.1.25)
【国際特許分類】
【出願日】平成17年7月11日(2005.7.11)
【出願人】(000005821)松下電器産業株式会社 (73,050)
【Fターム(参考)】
[ Back to top ]