情報処理装置及び暗号鍵管理方法及びプログラム
【課題】携帯端末装置が認証サーバと通信することなく暗号鍵を利用可能とし、かつ端末の紛失・盗難発生時における暗号鍵の漏洩を防止する。
【解決手段】携帯端末装置101の電源投入前に暗号鍵102を不揮発性メモリ404に格納させておき、携帯端末装置101の電源投入時に、暗号鍵保護部401が暗号鍵102を不揮発性メモリ404から揮発性メモリ405に移動させ、ユーザ認証部403がユーザ認証を実施し、ユーザ認証が失敗した場合に、暗号鍵保護部401が揮発性メモリ405から暗号鍵102を消去する。
【解決手段】携帯端末装置101の電源投入前に暗号鍵102を不揮発性メモリ404に格納させておき、携帯端末装置101の電源投入時に、暗号鍵保護部401が暗号鍵102を不揮発性メモリ404から揮発性メモリ405に移動させ、ユーザ認証部403がユーザ認証を実施し、ユーザ認証が失敗した場合に、暗号鍵保護部401が揮発性メモリ405から暗号鍵102を消去する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、暗号通信に用いられる鍵を管理する技術に関する。
特に、携帯端末装置において、暗号通信に用いられる鍵を管理する技術に関する。
【背景技術】
【0002】
複数の通信機器において、暗号アルゴリズムの鍵を共有し、通信機器間の通信内容の電子署名や暗号化を行うことによって、通信内容の盗聴防止や改ざん検出を実現することができる。
この時、暗号アルゴリズムとして共通鍵暗号アルゴリズムを用いる場合は、全ての通信機器が同一の共通鍵を共有する必要がある。
また、暗号アルゴリズムとして公開鍵暗号アルゴリズムを用いる場合は、全ての通信機器が機器自身の秘密鍵と他の機器の公開鍵を持っている必要がある。
即ち、通信機器間で、秘密鍵または秘密鍵に対応付けされた公開鍵を共有する必要がある。
この時、通信機器の紛失・盗難が発生し、通信機器から暗号鍵が取り出された場合、暗号化通信が復号されて内容が解読される可能性がある。
従って、暗号鍵という通信機器にとっての機密情報の漏洩を防止する必要がある。
【0003】
従来の通信機器における暗号鍵等の機密情報の漏洩防止技術としては、以下のような技術がある。
特許文献1には、携帯電話機等の通信可能な端末から内部の個人情報や機密情報等の漏洩を防止するシステムについての記載がある。
この情報漏洩防止システムでは、端末内の機密情報を二つに分割して一方とPIN(Personal Identification Number)情報を認証サーバに登録しておき、認証サーバにおけるPIN情報を用いた認証が成功した時のみ、機密情報の半分を認証サーバから端末に転送する。
端末内の機密情報は、PIN情報を用いた利用者認証が規定回数以上失敗した場合に削除される。
認証サーバから取得した機密情報の半分は揮発性メモリに保持されて、電源断およびリセット時に消去される。
分割された他方の機密情報は、端末内に保持しており、両情報が揃った時に機密情報全体が復元できる。
これによって、電源投入前の端末には機密情報の半分しか存在しないため、この状態の端末の紛失・盗難による機密情報の漏洩を防止していた。
また、動作中の端末においては、PIN情報が判らない限り、機密情報にアクセスすることができなかった。
【0004】
特許文献2には、携帯端末装置内の個人データの不正利用を防止するシステムについての記述がある。
この個人データ不正利用防止システムでは、電源投入毎に端末内のROMに格納された端末認証情報をネットワーク経由で認証サーバに送信して認証を行い、認証に成功すると端末内のRAM(揮発性メモリ)に個人データ利用可否情報を書き込み、ユーザの個人データへのアクセスが発生すると、個人データ利用可否情報に基づいてアクセスを許可する。
端末紛失時は、認証サーバの登録情報を一時的に抹消または変更することによって、認証失敗が発生するようにして個人データへのアクセスを防止する。
また、端末の電源投入後、所定時間を経過すると個人データ利用可否情報を消去し、再度認証サーバを用いた端末認証を要求する。
これによって、端末紛失時に認証サーバの管理者に連絡することで個人データの不正利用を防止していた。
また、電源投入中に端末を紛失した場合でも、所定時間経過後であれば、個人データの不正利用を防止していた。
【0005】
特許文献3には、移動体通信における暗号鍵更新システムについての記述がある。
この暗号鍵更新システムでは、移動体と各無線基地局装置の間で、無線通信区間の暗号化に用いる暗号鍵を生成・更新する。
移動体の識別情報を通信する可能性のある無線基地局装置に事前配布しておき、走行中の移動体から送信される乱数を受信した基地局装置及び移動体にて、識別情報と乱数から暗号鍵を生成する。
移動体は、現時点で最後に検出された無線基地局装置と最後に通信してからの経過時間を計測し、一定時間を経過していた場合、無線基地局装置との通信可能エリアから離脱したとみなして、無線基地局装置との通信用暗号鍵を全て削除する。
これによって、移動体において使用されなくなった暗号鍵の管理が不要となる。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2007−249507号公報
【特許文献2】特開2008−5042号公報
【特許文献3】特開2006−129432号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
従来の通信機器における機密情報の漏洩防止技術には、以下のような課題がある。
まず、特許文献1の機密情報漏洩防止システムでは、機密情報の半分を認証サーバに置いておくため、電源投入後、認証サーバと認証のための通信を行って機密情報をダウンロードする必要があり、認証サーバが動作していない状態や認証サーバとの通信ができない状態では、機密情報が利用できないという課題がある。
また、PIN情報が破られた場合、動作中の端末から機密情報が漏洩するという課題がある。
【0008】
また、特許文献2の個人データ不正利用防止システムでは、端末と認証サーバが通信することによる認証によって、個人データ利用可否情報を制御しているため、認証サーバが動作していない状態や認証サーバとの通信ができない状態では、機密情報である個人データが利用できないという課題がある。
電源投入後、所定時間経過後に個人データ利用可否情報を消去する場合、所定時間内であれば個人データを不正利用される可能性があり、かつ所定時間毎に認証サーバと通信しなければならないという課題がある。
【0009】
また、特許文献3の暗号鍵更新システムでは、暗号鍵の使用終了後、所定の時間が経過すると暗号鍵を削除しており、移動体と無線基地局装置の間の暗号鍵であれば、無線基地局装置の圏外に移動することで暗号鍵の使用終了と見なすことができる。
しかしながら、携帯端末装置同士の通信に用いる暗号鍵の場合、無線基地局装置の圏外に移動することは暗号鍵の使用終了と見なすことはできないため暗号鍵は消去できず、この間に携帯端末装置の紛失・盗難が発生した場合に携帯端末装置に残っている暗号鍵が漏洩する可能性があるという課題がある。
あるいは、無線基地局装置の圏外に移動する度に暗号鍵を消去した場合、無線基地局装置をまたがる度に、携帯端末装置間で暗号鍵を共有し直さなければならないという課題がある。
【0010】
この発明は上記のような課題を解決することを主な目的としており、携帯端末装置等の情報処理装置が認証サーバと通信することなく機密情報である暗号鍵を利用可能とし、かつ端末の紛失・盗難発生時における情報処理装置内の暗号鍵の漏洩を防止することを目的とする。
【課題を解決するための手段】
【0011】
本発明に係る情報処理装置は、
暗号鍵を用いる情報処理装置であって、
前記情報処理装置の電源投入前に前記暗号鍵を保管しておく不揮発性メモリと、
揮発性メモリと、
前記情報処理装置の電源投入時にユーザ認証を行うユーザ認証部と、
前記情報処理装置の電源投入時に前記ユーザ認証部によるユーザ認証に先立ち前記暗号鍵を前記不揮発性メモリから前記揮発性メモリに移動し、前記ユーザ認証部によるユーザ認証が失敗した場合に前記揮発性メモリから前記暗号鍵を消去する暗号鍵保護部とを有することを特徴とする。
【発明の効果】
【0012】
本発明によれば、電源未投入の状態では不揮発性メモリで暗号鍵を保管しているので、電源投入後にサーバと通信することなく暗号鍵を利用でき、サーバが停止しているために情報処理装置の機能を利用できないといった事態を回避することができる。
また、電源投入時にユーザ認証を行い、認証に失敗した場合に暗号鍵を消去するようにしているので、情報処理装置の紛失・盗難発生時に、不正に情報処理装置を起動して暗号鍵を利用しようとする試みを阻止することができる。
また、電源投入中の間は揮発性メモリ上に暗号鍵を保管しているので、電源投入中の情報処理装置の紛失・盗難発生時に、電源を投入したままの状態で情報処理装置を分解して暗号鍵を取り出そうとする試みを阻止することができる。
【図面の簡単な説明】
【0013】
【図1】実施の形態1に係るシステム構成例を示す図。
【図2】実施の形態1に係る携帯端末装置の構成例を示す図。
【図3】実施の形態1に係る携帯端末装置の電源投入時の処理例を示すフローチャート図。
【図4】実施の形態1に係る携帯端末装置の電源断時の処理例を示すフローチャート図。
【図5】実施の形態2〜4に係るシステム構成例を示す図。
【図6】実施の形態2に係る暗号鍵の内部形式を示す図。
【図7】実施の形態2に係る携帯端末装置の構成例を示す図。
【図8】実施の形態2に係る携帯端末装置の処理例を示すフローチャート図。
【図9】実施の形態3に係る携帯端末装置の構成例を示す図。
【図10】実施の形態3に係る携帯端末装置の処理例を示すフローチャート図。
【図11】実施の形態4に係る携帯端末装置の構成例を示す図。
【図12】実施の形態4に係る携帯端末装置の処理例を示すフローチャート図。
【図13】実施の形態5に係るシステム構成例を示す図。
【図14】実施の形態5に係る携帯端末装置の構成例を示す図。
【図15】実施の形態5に係る携帯端末装置の処理例を示すフローチャート図。
【図16】実施の形態6に係る携帯端末装置の構成例を示す図。
【図17】実施の形態6に係る携帯端末装置の処理例を示すフローチャート図。
【図18】実施の形態1に係る携帯端末装置の電源投入時の処理例を示すフローチャート図。
【図19】実施の形態1〜6に係る携帯端末装置のハードウェア構成例を示す図。
【発明を実施するための形態】
【0014】
実施の形態1.
図1は実施の形態1におけるシステム構成図である。
図1において、携帯端末装置101はネットワーク103を介して他の携帯端末装置101と通信する端末装置である。
携帯端末装置101は、情報処理装置の例である。
暗号鍵102は携帯端末装置101間の通信内容を暗号化するための鍵である。
ネットワーク103は携帯端末装置101間の通信路として用いられるネットワークである。
【0015】
次に、図2に基づき、実施の形態1における携帯端末装置101の機能について説明する。
図2は実施の形態1における携帯端末装置101の内部ブロック図である。
図2において、暗号鍵保護部401は不揮発性メモリ404および揮発性メモリ405を用いて暗号鍵102を保管し、ユーザ認証部403を用いてユーザ認証を行い、携帯端末装置101の紛失・盗難があったと見なした場合は暗号鍵102を消去する。
電源スイッチ402は携帯端末装置101の起動・終了時に押されるスイッチである。
ユーザ認証部403はパスワード・指紋・光彩等を用いてユーザの認証を行う。
不揮発性メモリ404は携帯端末装置101が電源投入中であるか否かにかかわらずデータを保持可能なメモリである。
揮発性メモリ405は携帯端末装置101の電源投入中のみデータを保持可能なメモリである。
【0016】
次に動作について説明する。
まず、携帯端末装置101の電源を入れた場合の動作について説明する。
図3は、実施の形態1における携帯端末装置101の電源投入時の動作を示すフローチャートである。
【0017】
電源投入前、暗号鍵102は携帯端末装置101の不揮発性メモリ404上に保管されている。
ユーザが電源スイッチ402を押して携帯端末装置101の電源を入れると、暗号鍵保護部401は暗号鍵102を不揮発性メモリ404から揮発性メモリ405へ移動する(S101)(暗号鍵保護ステップ)。
次に、暗号鍵保護部401はユーザ認証部403を用いてユーザの認証を行う(S102)(ユーザ認証ステップ)。
ユーザによるパスワード、指紋、光彩等の認証情報が入力されると、ユーザ認証結果の判定が行われ(S103)、成功の場合は、そのまま携帯端末装置101が起動する。
失敗の場合は、暗号鍵保護部401は暗号鍵102を揮発性メモリ405から消去する(S104)(暗号鍵保護ステップ)。
なお、認証情報の入力は所定の回数の再入力を許可し、その回数を超えてエラーが発生した場合は認証失敗と判定してよい。
【0018】
次に、携帯端末装置101の電源を切る場合の動作について説明する。
図4は、実施の形態1における携帯端末装置101の電源断時の動作を示すフローチャートである。
【0019】
電源投入中、暗号鍵102は携帯端末装置101の揮発性メモリ405上に保管されている。
ユーザが電源スイッチ402を押して携帯端末装置101の電源を切ろうとすると、暗号鍵保護部401はユーザ認証部403を用いてユーザの認証を行う(S201)。
ユーザによるパスワード、指紋、光彩等の認証情報が入力されると、ユーザ認証結果の判定が行われ(S202)、成功の場合は暗号鍵102を揮発性メモリ405から不揮発性メモリ404へ移動して、携帯端末装置101の電源を切る(S203)。
失敗の場合は、暗号鍵102を揮発性メモリ405から消去して、携帯端末装置101の電源を切る(S204)。
【0020】
以上のように、携帯端末装置101は電源未投入の状態では不揮発性メモリ404上に暗号鍵102を保管しているので、電源投入後にサーバと通信することなく機密情報である暗号鍵102を利用できる。
また、携帯端末装置101の電源投入時にユーザ認証を行い、認証に失敗した場合に携帯端末装置101が紛失・盗難にあったと見なして暗号鍵102を消去するようにしているので、携帯端末装置101の紛失・盗難発生時、不正に携帯端末装置101を起動して暗号鍵102を利用しようとする試みを防止することができる。
また、携帯端末装置101は電源投入中の間は揮発性メモリ405上に暗号鍵102を保管しているので、電源投入中の携帯端末装置101の紛失・盗難発生時、電源を投入したままの状態で携帯端末装置101を分解して暗号鍵102を取り出そうとする試みを防止することができる。
また、携帯端末装置101の電源断時にユーザ認証を行い、認証に失敗した場合に携帯端末装置101が紛失・盗難にあったと見なして暗号鍵102を消去するようにしているので、携帯端末装置101の紛失・盗難発生時、一旦電源を落としてから携帯端末装置101を分解して暗号鍵102を取り出そうとする試みを防止することができる。
これらの携帯端末装置101の電源投入から電源断までの一連の手順において、携帯端末装置101はサーバと通信する必要がないため、サーバが停止しているために携帯端末装置101の機能を利用できないといった障害を生じることがなく、システム全体の可用性を高めることができる。
【0021】
なお、図3に示す方式に代えて、図18に示す方式にすることも可能である。
図18の方式では、まず、ユーザ認証を行い(S801)、ユーザ認証に成功した場合(S802でYES)に、暗号鍵保護部401は暗号鍵102を不揮発性メモリ404から揮発性メモリ405に移動させる(S803)。
一方、ユーザ認証に成功した場合(S802でYES)は、暗号鍵保護部401は暗号鍵102を不揮発性メモリ404から消去する(S804)。
【0022】
上記のように、図3の方式はユーザ認証に先立って暗号鍵102を揮発性メモリ405に移動させるので、ユーザ認証の間に携帯端末装置101を分解して暗号鍵102を取り出そうとする試みを阻止することができる。
この点で、図18の方式は図3の方式に比べるとセキュリティ強度は低い。
しかし、図18のS801からS803の間の時間は1、2秒程度であるため、極端にセキュリティ強度が落ちるわけではなく、用途によっては図18に示す方式を採用することも可能である。
【0023】
以上、本実施の形態では、
ネットワークを介して他の端末と通信可能な携帯端末装置において、電源投入前には不揮発性メモリに暗号鍵を保管し、電源投入時には暗号鍵を不揮発性メモリから揮発性メモリへ移動した後、ユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去し、電源断時にはユーザ認証部を用いてユーザ認証を行い、認証に成功した場合は暗号鍵を揮発性メモリから不揮発性メモリへ移動し、認証に失敗した場合は暗号鍵を揮発性メモリから消去する暗号鍵保護部を備える携帯端末装置を説明した。
【0024】
また、本実施の形態では、
複数の携帯端末装置を備える通信システムにおいて、上記携帯端末装置は、電源投入時には暗号鍵を不揮発性メモリから揮発性メモリへ移動した後、ユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去し、電源断時にはユーザ認証部を用いてユーザ認証を行い、認証に成功した場合は暗号鍵を揮発性メモリから不揮発性メモリへ移動し、認証に失敗した場合は暗号鍵を揮発性メモリから消去する暗号鍵保護部を備える通信システムを説明した。
【0025】
また、本実施の形態では、
携帯端末装置が、不揮発性メモリ上に暗号鍵を保管する暗号鍵保護部であって、電源投入時には暗号鍵を不揮発性メモリから揮発性メモリへ移動する鍵移動ステップと、端末が紛失・盗難にあった可能性が低い脅威レベルを検出すると暗号鍵更新部を用いて揮発性メモリ上の暗号鍵を更新して更新前の暗号鍵を消去する鍵更新ステップと、端末が紛失・盗難にあった可能性が高いレベルの脅威を検出した時にはユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去するユーザ認証・鍵消去ステップと、電源断時にはユーザ認証部を用いてユーザ認証を行い、認証に成功した場合は暗号鍵を揮発性メモリから不揮発性メモリへ移動し、認証に失敗した場合は暗号鍵を揮発性メモリから消去する鍵保存・消去ステップとを備える暗号鍵保護方法を説明した。
【0026】
また、本実施の形態では、
不揮発性メモリ上に暗号鍵を保管する暗号鍵保護部であって、電源投入時には暗号鍵を不揮発性メモリから揮発性メモリへ移動する鍵移動処理と、端末が紛失・盗難にあった可能性が低い脅威レベルを検出すると暗号鍵更新部を用いて揮発性メモリ上の暗号鍵を更新して更新前の暗号鍵を消去する鍵更新処理と、端末が紛失・盗難にあった可能性が高いレベルの脅威を検出した時にはユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去するユーザ認証・鍵消去処理と、電源断時にはユーザ認証部を用いてユーザ認証を行い、認証に成功した場合は暗号鍵を揮発性メモリから不揮発性メモリへ移動し、認証に失敗した場合は暗号鍵を揮発性メモリから消去する鍵保存・消去処理とを通信端末に実行させる暗号鍵保護プログラムを説明した。
【0027】
実施の形態2.
実施の形態2では、携帯端末装置201において基地局装置203からの圏外滞在時間を計測し、一定時間を超えた場合、携帯端末装置201が紛失・盗難にあった可能性があると見なして暗号鍵202の更新または消去を行うことによる暗号鍵202の漏洩防止について説明する。
【0028】
図5は、実施の形態2のシステム構成図である。
図5において、携帯端末装置201は基地局装置203およびコアネットワーク204を介して他の携帯端末装置201と通信する端末である。
暗号鍵202は携帯端末装置201間の通信内容を暗号化するための鍵である。
基地局装置203は携帯端末装置201と無線通信を行ってコアネットワーク204へ接続するアクセスポイントである。
コアネットワーク204は基地局装置203を介して携帯端末装置201間の通信路として用いられるバックボーンネットワークである。
【0029】
次に、図6に基づき、実施の形態2における暗号鍵202について説明する。
図6は、暗号鍵202の内部形式を示した図である。
図6において、鍵データ221は携帯端末装置201間の暗号化通信に用いられる鍵そのものであり、暗号アルゴリズムの種類、パラメータ、鍵の値等から構成される。
鍵世代番号222は鍵データ221の現在の世代を表す数字であり、更新を行う度に1ずつ値が加算される。
属性223は鍵データ221に付属する値(鍵の有効期限、携帯端末装置201の紛失・盗難と見なして鍵更新や鍵消去を行う判定基準等)が存在する場合に、それらの値を格納する。
【0030】
次に、図7に基づき、実施の形態2における携帯端末装置201の機能について説明する。
図7は実施の形態2における携帯端末装置201の内部ブロック図である。
【0031】
図7において、暗号鍵保護部501は不揮発性メモリ504および揮発性メモリ505を用いて暗号鍵202を保管し、基地局電波受信部507と時計508から携帯端末装置201の紛失・盗難の可能性を検出すると、暗号鍵更新部506を用いて暗号鍵202を更新し、携帯端末装置201の紛失・盗難の可能性が高い場合、ユーザ認証部503を用いてユーザ認証を行い、携帯端末装置201の紛失・盗難があったと見なした場合は暗号鍵202を消去する。
電源スイッチ502は携帯端末装置201の起動・終了時に押されるスイッチである。
ユーザ認証部503はパスワード・指紋・光彩等を用いてユーザの認証を行う。
不揮発性メモリ504は携帯端末装置201が電源投入中であるか否かにかかわらずデータを保持可能なメモリである。
揮発性メモリ505は携帯端末装置201の電源投入中のみデータを保持可能なメモリである。
暗号鍵更新部506は暗号鍵202を入力とし、ハッシュ関数等の一方向性演算を行うことによって次世代の暗号鍵202を生成する。
基地局電波受信部507はいずれかの基地局装置203からの電波を受信し、現在圏内にいるエリアの情報等を取得する。
時計508は現在日時を保持し、基地局装置203からの電波に時刻情報が含まれていた場合は値の補正を行う。
【0032】
次に動作について説明する。
携帯端末装置201の電源を入れた場合の動作については、実施の形態1における携帯端末装置101の動作と同一である。
【0033】
次に、携帯端末装置201の電源投入中の動作について説明する。
図8は、実施の形態2における携帯端末装置201の電源投入中の動作を示すフローチャートである。
【0034】
電源投入中、暗号鍵202は携帯端末装置201の揮発性メモリ505上に保管されている。
基地局電波受信部507により携帯端末装置201が基地局装置圏外へ移動したこと(いずれの基地局装置からも電波を受信していないこと)を検出した場合、暗号鍵保護部501は時計508を用いて基地局装置圏外滞在時間tの計測を開始する(S301)。
基地局装置圏外滞在時間tが所定の値t1(第1の閾値)を超えるまでの間、即ちt≦t1の間は何もしない(S302)。
この間に携帯端末装置201が基地局装置圏内に戻った場合(再び基地局装置からの電波を受信した場合)は、フローチャートの先頭に戻る。
基地局装置圏外滞在時間tが所定の値t1を超えた場合、即ちt>t1となった場合は、暗号鍵保護部501は暗号鍵更新部506を用いて揮発性メモリ505上の暗号鍵202を更新(新たな暗号鍵202を生成)し、更新前の暗号鍵202を揮発性メモリ505から消去する(S303)。
基地局装置圏外での滞在が続く場合は、基地局装置圏外滞在時間tの計測を継続し、基地局装置圏外滞在時間tが所定の値t2(但し、t1<t2)(第2の閾値)を超えるまでの間、即ちt≦t2の間は何もしない(S304)。
この間に携帯端末装置201が基地局装置圏内に戻った場合は、フローチャートの先頭に戻る。
基地局装置圏外滞在時間tが所定の値t2を超えた場合、即ちt>t2となった場合、暗号鍵保護部501はユーザ認証部503を用いてユーザの認証を行う(S305)。
ユーザによるパスワード、指紋、光彩等の認証情報が入力されると、ユーザ認証結果の判定が行われ(S306)、失敗の場合は、暗号鍵202を揮発性メモリ505から消去する(S307)。
なお、所定の値t1、t2は、暗号鍵202の属性223に設定されていた場合はその値を使用し、そうでない場合は暗号鍵保護部501で規定された値を使用する。
【0035】
また、携帯端末装置201の電源を切る場合の動作については、実施の形態1における携帯端末装置101の動作と同一である。
【0036】
以上のように、基地局装置203からの電波が届かない圏外滞在時間tがt1を超えた時点で携帯端末装置201が紛失・盗難にあった可能性があると見なして、携帯端末装置201の暗号鍵202を更新して以前の鍵を消去するようにしているので、携帯端末装置201の紛失・盗難発生時、携帯端末装置201を基地局装置圏外に持ち出すことで遠隔操作による暗号鍵202の消去を回避しつつ電源を投入したままの状態で携帯端末装置201を分解して暗号鍵202を取り出そうとする試みを防止することができる。
また、基地局装置203からの電波が届かない圏外滞在時間tがt2を超えた時点でユーザ認証を行い、認証に失敗した場合に携帯端末装置201が紛失・盗難にあったと見なして暗号鍵202を消去するようにしているので、携帯端末装置201の紛失・盗難発生時、不正に携帯端末装置201およびその暗号鍵202を利用しようとする試みを防止することができる。
また、これらの効果に加えて、実施の形態1で示した効果が得られることは言うまでもない。
【0037】
なお、図8では、t>t2となった場合に(S304でYES)、暗号鍵保護部501がユーザ認証部503を用いてユーザの認証を行い(S305)、ユーザ認証に失敗したら、暗号鍵202を消去するようにしている(S307)が、用途によってはt>t2となった時点でユーザ認証を行わずに即座に暗号鍵202を消去するようにしてもよい。
【0038】
以上、本実施の形態では、
コアネットワークおよびコアネットワークに接続された各基地局装置を介して他の端末と通信可能な携帯端末装置において、基地局装置からの電波を未受信の状態になると基地局装置圏外滞在時間tの計測を開始し、滞在時間tが所定の時間t1を超えた時には暗号鍵更新部を用いて揮発性メモリ上の暗号鍵を更新して更新前の暗号鍵を消去し、滞在時間tが所定の時間t2(但し、t1<t2)を超えた時にはユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去する暗号鍵保護部を備える携帯端末装置を説明した。
【0039】
また、本実施の形態では、
複数の基地局装置と複数の携帯端末装置とを備える通信システムにおいて、上記携帯端末装置は、電源投入時には暗号鍵を不揮発性メモリから揮発性メモリへ移動した後、ユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去し、基地局装置からの電波を未受信の状態になると基地局装置圏外滞在時間tの計測を開始し、滞在時間tが所定の時間t1を超えた時には暗号鍵更新部を用いて揮発性メモリ上の暗号鍵を更新して更新前の暗号鍵を消去し、滞在時間tが所定の時間t2(但し、t1<t2)を超えた時にはユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去し、電源断時にはユーザ認証部を用いてユーザ認証を行い、認証に成功した場合は暗号鍵を揮発性メモリから不揮発性メモリへ移動し、認証に失敗した場合は暗号鍵を揮発性メモリから消去する暗号鍵保護部を備える通信システムを説明した。
【0040】
実施の形態3.
実施の形態3では、携帯端末装置201において基地局装置203からの電波を用いて現在のエリアを測定し、一定のエリアの移動を検出した場合、携帯端末装置201が紛失・盗難にあった可能性があると見なして暗号鍵202の更新または消去を行うことによる暗号鍵202の漏洩防止について説明する。
【0041】
実施の形態3のシステム構成図は、実施の形態2のシステム構成図(図5)と同一である。
【0042】
暗号鍵202は、実施の形態2における暗号鍵202(図6)と同一である。
【0043】
次に、図9に基づき、実施の形態3における携帯端末装置201の機能について説明する。
図9は実施の形態3における携帯端末装置201の内部ブロック図である。
【0044】
図9において、暗号鍵保護部501は不揮発性メモリ504および揮発性メモリ505を用いて暗号鍵202を保管し、基地局電波受信部507と移動距離算出部509から携帯端末装置201の紛失・盗難の可能性を検出すると、暗号鍵更新部506を用いて暗号鍵202を更新し、携帯端末装置201の紛失・盗難の可能性が高い場合、ユーザ認証部503を用いてユーザ認証を行い、携帯端末装置201の紛失・盗難があったと見なした場合は暗号鍵202を消去する。
電源スイッチ502は携帯端末装置201の起動・終了時に押されるスイッチである。
ユーザ認証部503はパスワード・指紋・光彩等を用いてユーザの認証を行う。
不揮発性メモリ504は携帯端末装置201が電源投入中であるか否かにかかわらずデータを保持可能なメモリである。
揮発性メモリ505は携帯端末装置201の電源投入中のみデータを保持可能なメモリである。
暗号鍵更新部506は暗号鍵202を入力とし、ハッシュ関数等の一方向性演算を行うことによって次世代の暗号鍵202を生成する。
基地局電波受信部507は基地局装置203からの電波を受信し、現在圏内にいるエリアの情報等を取得する。
移動距離算出部509は基地局電波受信部507で受信したエリア情報から携帯端末装置201の大まかな移動距離を記録する。
【0045】
次に動作について説明する。
携帯端末装置201の電源を入れた場合の動作については、実施の形態1における携帯端末装置101の動作と同一である。
【0046】
次に、携帯端末装置201の電源投入中の動作について説明する。
図10は、実施の形態3における携帯端末装置201の電源投入中の動作を示すフローチャートである。
【0047】
電源投入中、暗号鍵202は携帯端末装置201の揮発性メモリ505上に保管されている。
基地局電波受信部507により携帯端末装置201と基地局装置203との通信確立を検出後、異なる基地局装置203の基地局装置圏へ移動したことを検出した場合(基地局電波受信部507が電波を受信している基地局装置が変化した場合)、暗号鍵保護部501は暗号鍵更新部506を用いて揮発性メモリ505上の暗号鍵202を更新(新たな暗号鍵202を生成)し、更新前の暗号鍵202を揮発性メモリ505から消去する(S401)。
そして、暗号鍵保護部501は移動距離算出部509を用いて基地局装置情報から、異なる基地局装置203の基地局装置圏へ移動してからの概算移動距離dを計算する(S402)。
移動距離算出部509は、基地局電波受信部507が受信した電波に基づき、基地局電波受信部507が受信した電波の送信元の基地局装置203の所在位置を判断して、携帯端末装置201の概算移動距離dを算出する。
【0048】
概算移動距離dが所定の閾値d0を超えていない場合、即ちd≦d0の場合は、フローチャートの先頭に戻る(S403)。
概算移動距離dが所定の値d0を超えた場合、即ちd>d0の場合は、暗号鍵保護部501はユーザ認証部503を用いてユーザの認証を行う(S404)。
ユーザによるパスワード、指紋、光彩等の認証情報が入力されると、ユーザ認証結果の判定が行われ(S405)、成功の場合は、フローチャートの先頭に戻る。
失敗の場合は、暗号鍵202を揮発性メモリ505から消去する(S406)。
なお、所定の値d0は、暗号鍵202の属性223に設定されていた場合はその値を使用し、そうでない場合は暗号鍵保護部501で規定された値を使用する。
【0049】
また、携帯端末装置201の電源を切る場合の動作については、実施の形態1における携帯端末装置101の動作と同一である。
【0050】
以上のように、基地局装置203の圏内から異なる基地局装置203の圏内へ移動した時点で携帯端末装置201が紛失・盗難にあった可能性があると見なして、携帯端末装置201の暗号鍵202を更新して以前の鍵を消去するようにしているので、携帯端末装置201の紛失・盗難発生時、電源を投入したままの状態で携帯端末装置201を分解して暗号鍵202を取り出そうとする試みを防止することができる。
また、基地局装置203の位置情報から計算した概算移動距離dがd0を超えた時点でユーザ認証を行い、認証に失敗した場合に携帯端末装置201が紛失・盗難にあったと見なして暗号鍵202を消去するようにしているので、携帯端末装置201の紛失・盗難発生時、不正に携帯端末装置201およびその暗号鍵202を利用しようとする試みを防止することができる。
また、これらの効果に加えて、実施の形態1で示した効果が得られることは言うまでもない。
【0051】
なお、図10のフローにおいて、暗号鍵202を用いた暗号通信中に、携帯端末装置201が異なる基地局装置203の基地局装置圏へ移動したことを検出することも考えられる。
この場合には、携帯端末装置201が暗号鍵202を消去しても暗号通信を継続できるような構成であれば、暗号鍵保護部501は、S401において更新前の暗号鍵を消去する。
一方、暗号鍵202を消去すると暗号通信を継続できないような構成であれば、暗号鍵保護部501は暗号通信が完了した後に更新前の暗号鍵を消去する。
【0052】
また、図10では、d>d0となった場合に(S403でYES)、暗号鍵保護部501がユーザ認証部503を用いてユーザの認証を行い(S404)、ユーザ認証に失敗したら、暗号鍵202を消去するようにしている(S406)が、用途によってはd>d0となった時点でユーザ認証を行わずに即座に暗号鍵202を消去するようにしてもよい。
【0053】
以上、本実施の形態では、
コアネットワークおよびコアネットワークに接続された各基地局装置を介して他の端末と通信可能な携帯端末装置において、異なる基地局装置圏への移動を検出した時には暗号鍵更新部を用いて揮発性メモリ上の暗号鍵を更新して更新前の暗号鍵を消去した後、現在および以前の基地局装置情報から概算移動距離dを計算し、dが所定の上限値d0を超えた時にはユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去する暗号鍵保護部を備える携帯端末装置を説明した。
【0054】
また、本実施の形態では、
複数の基地局装置と複数の携帯端末装置とを備える通信システムにおいて、上記携帯端末装置は、電源投入時には暗号鍵を不揮発性メモリから揮発性メモリへ移動した後、ユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去し、異なる基地局装置圏への移動を検出した時には暗号鍵更新部を用いて揮発性メモリ上の暗号鍵を更新して更新前の暗号鍵を消去した後、現在および以前の基地局装置情報から概算移動距離dを計算し、dが所定の上限値d0を超えた時にはユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去し、電源断時にはユーザ認証部を用いてユーザ認証を行い、認証に成功した場合は暗号鍵を揮発性メモリから不揮発性メモリへ移動し、認証に失敗した場合は暗号鍵を揮発性メモリから消去する暗号鍵保護部を備える通信システムを説明した。
【0055】
実施の形態4.
実施の形態4では、携帯端末装置201において基地局装置203からの電波を用いて現在のエリアを測定して移動速度を計算し、一定の速度以上の移動を検出した場合、携帯端末装置201が紛失・盗難にあった可能性があると見なして暗号鍵202の更新または消去を行うことによる暗号鍵202の漏洩防止について説明する。
【0056】
実施の形態4のシステム構成図は、実施の形態2のシステム構成図(図5)と同一である。
【0057】
暗号鍵202は、実施の形態2における暗号鍵202(図6)と同一である。
【0058】
次に、図11に基づき、実施の形態4における携帯端末装置201の機能について説明する。
図11は実施の形態3における携帯端末装置201の内部ブロック図である。
【0059】
図11において、暗号鍵保護部501は不揮発性メモリ504および揮発性メモリ505を用いて暗号鍵202を保管し、基地局電波受信部507と時計508と移動距離算出部509から携帯端末装置201の紛失・盗難の可能性を検出すると、暗号鍵更新部506を用いて暗号鍵202を更新し、携帯端末装置201の紛失・盗難の可能性が高い場合、ユーザ認証部503を用いてユーザ認証を行い、携帯端末装置201の紛失・盗難があったと見なした場合は暗号鍵202を消去する。
電源スイッチ502は携帯端末装置201の起動・終了時に押されるスイッチである。
ユーザ認証部503はパスワード・指紋・光彩等を用いてユーザの認証を行う。
不揮発性メモリ504は携帯端末装置201が電源投入中であるか否かにかかわらずデータを保持可能なメモリである。
揮発性メモリ505は携帯端末装置201の電源投入中のみデータを保持可能なメモリである。
暗号鍵更新部506は暗号鍵202を入力とし、ハッシュ関数等の一方向性演算を行うことによって次世代の暗号鍵202を生成する。
基地局電波受信部507は基地局装置203からの電波を受信し、現在圏内にいるエリアの情報等を取得する。
時計508は現在日時を保持し、基地局装置203からの電波に時刻情報が含まれていた場合は値の補正を行う。
移動距離算出部509は基地局電波受信部507で受信したエリア情報から携帯端末装置201の大まかな移動距離を記録する。
なお、本実施の形態では、移動距離算出部509は移動速度算出部の例でもある。
【0060】
次に動作について説明する。
携帯端末装置201の電源を入れた場合の動作については、実施の形態1における携帯端末装置101の動作と同一である。
【0061】
次に、携帯端末装置201の電源投入中の動作について説明する。
図12は、実施の形態4における携帯端末装置201の電源投入中の動作を示すフローチャートである。
【0062】
電源投入中、暗号鍵202は携帯端末装置201の揮発性メモリ505上に保管されている。
基地局電波受信部507により携帯端末装置201と基地局装置203との通信確立を検出した場合、暗号鍵保護部501は時計508を用いて基地局装置圏内滞在時間tの計測を開始する(S501)。
基地局電波受信部507により異なる基地局装置203の基地局装置圏へ移動したことを検出した場合、暗号鍵保護部501は暗号鍵更新部506を用いて揮発性メモリ505上の暗号鍵202を更新(新たな暗号鍵202を生成)し、更新前の暗号鍵202を揮発性メモリ505から消去する(S502)。
そして、暗号鍵保護部501は移動距離算出部509を用いて基地局装置情報から、異なる基地局装置203の基地局装置圏へ移動してからの概算移動距離dを計算する(S503)。
単位時間毎の移動距離(移動速度)S=d/tが所定の閾値S0を超えていない場合、即ちS≦S0の場合は、フローチャートの先頭に戻る(S504)。
単位時間毎の移動距離Sが所定の値S0を超えた場合、即ちS>S0の場合は、暗号鍵保護部501はユーザ認証部503を用いてユーザの認証を行う(S505)。
ユーザによるパスワード、指紋、光彩等の認証情報が入力されると、ユーザ認証結果の判定が行われ(S506)、成功の場合は、フローチャートの先頭に戻る。
失敗の場合は、暗号鍵202を揮発性メモリ505から消去する(S507)。
なお、所定の値S0は、暗号鍵202の属性223に設定されていた場合はその値を使用し、そうでない場合は暗号鍵保護部501で規定された値を使用する。
【0063】
また、携帯端末装置201の電源を切る場合の動作については、実施の形態1における携帯端末装置101の動作と同一である。
【0064】
以上のように、基地局装置203の圏内から異なる基地局装置203の圏内へ移動した時点で携帯端末装置201が紛失・盗難にあった可能性があると見なして、携帯端末装置201の暗号鍵202を更新して以前の鍵を消去するようにしているので、携帯端末装置201の紛失・盗難発生時、電源を投入したままの状態で携帯端末装置201を分解して暗号鍵202を取り出そうとする試みを防止することができる。
また、基地局装置203の位置情報および携帯端末装置201内部の時計508から計算した移動速度SがS0を超えた時点でユーザ認証を行い、認証に失敗した場合に携帯端末装置201が紛失・盗難にあったと見なして暗号鍵202を消去するようにしているので、携帯端末装置201の紛失・盗難発生時、不正に携帯端末装置201およびその暗号鍵202を利用しようとする試みを防止することができる。
また、これらの効果に加えて、実施の形態1で示した効果が得られることは言うまでもない。
【0065】
なお、実施の形態3と同様に、図12のフローにおいて、暗号鍵202を用いた暗号通信中に、携帯端末装置201が異なる基地局装置203の基地局装置圏へ移動したことを検出することも考えられる。
この場合には、携帯端末装置201が暗号鍵202を消去しても暗号通信を継続できるような構成であれば、暗号鍵保護部501は、S502において更新前の暗号鍵を消去する。
一方、暗号鍵202を消去すると暗号通信を継続できないような構成であれば、暗号鍵保護部501は暗号通信が完了した後に更新前の暗号鍵を消去する。
【0066】
また、図12では、S>S0となった場合に(S504でYES)、暗号鍵保護部501がユーザ認証部503を用いてユーザの認証を行い(S505)、ユーザ認証に失敗したら、暗号鍵202を消去するようにしている(S507)が、用途によってはS>S0となった時点でユーザ認証を行わずに即座に暗号鍵202を消去するようにしてもよい。
【0067】
以上、本実施の形態では、
コアネットワークおよびコアネットワークに接続された各基地局装置を介して他の端末と通信可能な携帯端末装置において、ある基地局装置からの電波を受信した状態になると当該基地局装置圏内滞在時間tの計測を開始し、異なる基地局装置圏への移動を検出した時には暗号鍵更新部を用いて揮発性メモリ上の暗号鍵を更新して更新前の暗号鍵を消去した後、現在および以前の基地局装置情報から概算移動距離dを計算し、移動速度(単位時間毎の移動距離)S=d/tが所定の上限値S0を超えた時にはユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去する暗号鍵保護部を備える携帯端末装置を説明した。
【0068】
以上、本実施の形態では、
複数の基地局装置と複数の携帯端末装置とを備える通信システムにおいて、上記携帯端末装置は、電源投入時には暗号鍵を不揮発性メモリから揮発性メモリへ移動した後、ユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去し、ある基地局装置からの電波を受信した状態になると当該基地局装置圏内滞在時間tの計測を開始し、異なる基地局装置圏への移動を検出した時には暗号鍵更新部を用いて揮発性メモリ上の暗号鍵を更新して更新前の暗号鍵を消去した後、現在および以前の基地局装置情報から概算移動距離dを計算し、移動速度(単位時間毎の移動距離)S=d/tが所定の上限値S0を超えた時にはユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去し、電源断時にはユーザ認証部を用いてユーザ認証を行い、認証に成功した場合は暗号鍵を揮発性メモリから不揮発性メモリへ移動し、認証に失敗した場合は暗号鍵を揮発性メモリから消去する暗号鍵保護部を備える通信システムを説明した。
【0069】
実施の形態5.
実施の形態5では、携帯端末装置301においてGPS(Global Positioning System)衛星305からのGPS信号306を用いて現在位置を測定し、一定の距離の移動を検出した場合、携帯端末装置302が紛失・盗難にあった可能性があると見なして暗号鍵202の更新または消去を行うことによる暗号鍵202の漏洩防止について説明する。
【0070】
図13は、実施の形態5のシステム構成図である。
【0071】
図13において、携帯端末装置301は基地局装置303およびコアネットワーク304を介して他の携帯端末装置301と通信すると共に、GPS衛星305から発信されるGPS信号306を受信する端末である。
暗号鍵202は携帯端末装置301間の通信内容を暗号化するための鍵である。
基地局装置303は携帯端末装置301と無線通信を行ってコアネットワーク304へ接続するアクセスポイントである。
コアネットワーク304は基地局装置303を介して携帯端末装置301間の通信路として用いられるバックボーンネットワークである。
GPS衛星305はGPS信号306を送信するGPSシステムの人工衛星である。
GPS信号306はGPS衛星305によって送信される時刻情報と軌道情報を含む信号である。
GPS衛星305は測位衛星の例であり、また、GPS信号306は位置情報の例である。
【0072】
暗号鍵202は、実施の形態2における暗号鍵202(図6)と同一である。
【0073】
次に、図14に基づき、実施の形態5における携帯端末装置301の機能について説明する。
図14は実施の形態5における携帯端末装置301の内部ブロック図である。
【0074】
図14において、暗号鍵保護部601は不揮発性メモリ604および揮発性メモリ605を用いて暗号鍵202を保管し、移動距離算出部609とGPS信号受信部610から携帯端末装置301の紛失・盗難の可能性を検出すると、暗号鍵更新部606を用いて暗号鍵202を更新し、携帯端末装置301の紛失・盗難の可能性が高い場合、ユーザ認証部603を用いてユーザ認証を行い、携帯端末装置301の紛失・盗難があったと見なした場合は暗号鍵202を消去する。
電源スイッチ602は携帯端末装置301の起動・終了時に押されるスイッチである。
ユーザ認証部603はパスワード・指紋・光彩等を用いてユーザの認証を行う。
不揮発性メモリ604は携帯端末装置301が電源投入中であるか否かにかかわらずデータを保持可能なメモリである。
揮発性メモリ605は携帯端末装置301の電源投入中のみデータを保持可能なメモリである。
暗号鍵更新部606は暗号鍵202を入力とし、ハッシュ関数等の一方向性演算を行うことによって次世代の暗号鍵202を生成する。
基地局電波受信部607は基地局装置303からの電波を受信し、現在圏内にいるエリアの情報等を取得する。
移動距離算出部609はGPS信号受信部610で計算した現在位置を用いて携帯端末装置301の移動距離を記録する。
GPS信号受信部610はGPS衛星305から送信されたGPS信号306を受信して受信地点の正確な三次元位置を計算する。
GPS信号受信部610は位置情報受信部の例である。
【0075】
次に動作について説明する。
携帯端末装置301の電源を入れた場合の動作については、実施の形態1における携帯端末装置101の動作と同一である。
【0076】
次に、携帯端末装置301の電源投入中の動作について説明する。
図15は、実施の形態5における携帯端末装置301の電源投入中の動作を示すフローチャートである。
【0077】
電源投入中、暗号鍵202は携帯端末装置301の揮発性メモリ605上に保管されている。
暗号鍵保護部501はGPS信号受信部610により携帯端末装置301の現在位置情報を取得し、移動距離算出部609を用いて電源投入後の移動距離d(電源を投入した位置を起点位置とする移動距離d)を計測する(S601)。
移動距離dが所定の値d1(第1の閾値)を超えるまでの間、即ちd≦d1の間は移動距離dの計測を続ける(S602)。
移動距離dが所定の値d1を超えた場合、即ちd>d1となった場合は、暗号鍵保護部601は暗号鍵更新部606を用いて揮発性メモリ605上の暗号鍵202を更新(新たな暗号鍵202を生成)し、更新前の暗号鍵202を揮発性メモリ605から消去する(S603)。
その後、暗号鍵保護部501はGPS信号受信部610により携帯端末装置301の現在位置情報を取得し、移動距離算出部609を用いて電源投入後の移動距離dの計測を継続する(S604)。
移動距離dが所定の値d2(但し、d1<d2)(第2の閾値)を超えるまでの間、即ちd≦d2の間は移動距離dの計測を続ける(S605)。
移動距離dが所定の値d2を超えた場合、即ちd>d2となった場合、暗号鍵保護部601はユーザ認証部603を用いてユーザの認証を行う(S606)。
ユーザによるパスワード、指紋、光彩等の認証情報が入力されると、ユーザ認証結果の判定が行われ(S607)、成功の場合は、電源投入後の移動距離dをリセット(d=0)し、フローチャートの先頭に戻る(S608)。
失敗の場合は、暗号鍵202を揮発性メモリ605から消去する(S609)。
なお、所定の値d1、d2は、暗号鍵202の属性223に設定されていた場合はその値を使用し、そうでない場合は暗号鍵保護部601で規定された値を使用する。
【0078】
また、携帯端末装置301の電源を切る場合の動作については、実施の形態1における携帯端末装置101の動作と同一である。
【0079】
以上のように、電源投入後の移動距離dがd1を超えた時点で携帯端末装置301が紛失・盗難にあった可能性があると見なして、携帯端末装置301の暗号鍵202を更新して以前の鍵を消去するようにしているので、携帯端末装置301の紛失・盗難発生時、電源を投入したままの状態で携帯端末装置301を分解して暗号鍵202を取り出そうとする試みを防止することができる。
さらに、電源投入後の移動距離dがd2を超える度にユーザ認証を行い、認証に失敗した場合に携帯端末装置301が紛失・盗難にあったと見なして暗号鍵202を消去するようにしているので、携帯端末装置301の紛失・盗難発生時、不正に携帯端末装置301およびその暗号鍵202を利用しようとする試みを防止することができる。
また、これらの効果に加えて、実施の形態1で示した効果が得られることは言うまでもない。
【0080】
なお、図15のフローにおいて、暗号鍵202を用いた暗号通信中に、携帯端末装置301の移動距離dがd1を超える(S602でYES)ことも考えられる。
この場合には、携帯端末装置301が暗号鍵202を消去しても暗号通信を継続できるような構成であれば、暗号鍵保護部601は、S603において更新前の暗号鍵を消去する。
一方、暗号鍵202を消去すると暗号通信を継続できないような構成であれば、暗号鍵保護部601は暗号通信が完了した後に更新前の暗号鍵を消去する。
【0081】
また、図15では、d>d2となった場合に(S605でYES)、暗号鍵保護部501がユーザ認証部503を用いてユーザの認証を行い(S606)、ユーザ認証に失敗したら、暗号鍵202を消去するようにしている(S609)が、用途によってはd>d2となった時点でユーザ認証を行わずに即座に暗号鍵202を消去するようにしてもよい。
【0082】
以上、本実施の形態では、
コアネットワークおよびコアネットワークに接続された各基地局装置を介して他の端末と通信可能であり、またGPS衛星からのGPS信号を受信可能な携帯端末装置において、受信したGPS信号から移動距離算出部を用いて電源投入後の移動距離dを計算し、dが所定の上限値d1を超えた時には暗号鍵更新部を用いて揮発性メモリ上の暗号鍵を更新して更新前の暗号鍵を消去し、dが所定の距離d2(但しd1<d2)を超えた時にはユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去する暗号鍵保護部を備える携帯端末装置を説明した。
【0083】
また、本実施の形態では、
複数の基地局装置と複数の携帯端末装置と複数のGPS衛星とを備える通信システムにおいて、上記携帯端末装置は、電源投入時には暗号鍵を不揮発性メモリから揮発性メモリへ移動した後、ユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去し、受信したGPS信号から移動距離算出部を用いて電源投入後の移動距離dを計算し、dが所定の上限値d1を超えた時には暗号鍵更新部を用いて揮発性メモリ上の暗号鍵を更新して更新前の暗号鍵を消去し、dが所定の距離d2(但しd1<d2)を超えた時にはユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去し、電源断時にはユーザ認証部を用いてユーザ認証を行い、認証に成功した場合は暗号鍵を揮発性メモリから不揮発性メモリへ移動し、認証に失敗した場合は暗号鍵を揮発性メモリから消去する暗号鍵保護部を備える通信システムを説明した。
【0084】
実施の形態6.
実施の形態6では、携帯端末装置301においてGPS衛星305からのGPS信号306を用いて現在位置を測定して移動速度を計算し、一定の速度以上の移動を検出した場合、携帯端末装置301が紛失・盗難にあった可能性があると見なして暗号鍵202の更新または消去を行うことによる暗号鍵202の漏洩防止について説明する。
【0085】
実施の形態6のシステム構成図は、実施の形態5のシステム構成図(図13)と同一である。
【0086】
暗号鍵202は、実施の形態2における暗号鍵202(図6)と同一である。
【0087】
次に、図16に基づき、実施の形態6における携帯端末装置301の機能について説明する。
図16は実施の形態6における携帯端末装置301の内部ブロック図である。
【0088】
図16において、暗号鍵保護部601は不揮発性メモリ604および揮発性メモリ605を用いて暗号鍵202を保管し、時計608と移動距離算出部609とGPS信号受信部610から携帯端末装置301の紛失・盗難の可能性を検出すると、暗号鍵更新部606を用いて暗号鍵202を更新し、携帯端末装置301の紛失・盗難の可能性が高い場合、ユーザ認証部603を用いてユーザ認証を行い、携帯端末装置301の紛失・盗難があったと見なした場合は暗号鍵202を消去する。
電源スイッチ602は携帯端末装置301の起動・終了時に押されるスイッチである。
ユーザ認証部603はパスワード・指紋・光彩等を用いてユーザの認証を行う。
不揮発性メモリ604は携帯端末装置301が電源投入中であるか否かにかかわらずデータを保持可能なメモリである。
揮発性メモリ605は携帯端末装置301の電源投入中のみデータを保持可能なメモリである。
暗号鍵更新部606は暗号鍵202を入力とし、ハッシュ関数等の一方向性演算を行うことによって次世代の暗号鍵202を生成する。
基地局電波受信部607は基地局装置303からの電波を受信し、現在圏内にいるエリアの情報等を取得する。
時計608は現在日時を保持し、GPS信号受信部610で受信したGPS信号306に含まれる時刻情報を用いて値の補正を行う。
移動距離算出部609はGPS信号受信部610で計算した現在位置を用いて携帯端末装置301の移動距離を記録する。
移動距離算出部609は、移動速度算出部の例でもある。
GPS信号受信部610はGPS衛星305から送信されたGPS信号306を受信して受信地点の正確な三次元位置を計算する。
GPS信号受信部610は、位置情報受信部の例である。
【0089】
次に動作について説明する。
携帯端末装置301の電源を入れた場合の動作については、実施の形態1における携帯端末装置101の動作と同一である。
【0090】
次に、携帯端末装置301の電源投入中の動作について説明する。
図17は、実施の形態6における携帯端末装置301の電源投入中の動作を示すフローチャートである。
【0091】
電源投入中、暗号鍵202は携帯端末装置301の揮発性メモリ605上に保管されている。
暗号鍵保護部501はGPS信号受信部610により携帯端末装置301の現在位置情報を取得し、時計608と移動距離算出部609を用いて移動速度(単位時間毎の移動距離)sを計測する(S701)。
移動速度sが所定の値s1(第1の閾値)を超えていない場合、即ちs≦s1の場合はフローチャートの先頭に戻る(S702)。
移動速度sが所定の値s1を超えていた場合、即ちs>s1の場合は、暗号鍵保護部601は暗号鍵更新部606を用いて揮発性メモリ605上の暗号鍵202を更新(新たな暗号鍵202を生成)し、更新前の暗号鍵202を揮発性メモリ605から消去する(S703)。
移動速度sが所定の値s2(但し、s1<s2)(第2の閾値)を超えていない場合、即ちs≦s2の場合はフローチャートの先頭に戻る(S704)。
移動速度sが所定の値s2を超えていた場合、即ちs>s2の場合、暗号鍵保護部601はユーザ認証部603を用いてユーザの認証を行う(S705)。
ユーザによるパスワード、指紋、光彩等の認証情報が入力されると、ユーザ認証結果の判定が行われ(S706)、成功の場合は、フローチャートの先頭に戻る。
失敗の場合は、暗号鍵202を揮発性メモリ605から消去する(S707)。
なお、所定の値s1、s2は、暗号鍵202の属性223に設定されていた場合はその値を使用し、そうでない場合は暗号鍵保護部601で規定された値を使用する。
【0092】
また、携帯端末装置301の電源を切る場合の動作については、実施の形態1における携帯端末装置101の動作と同一である。
【0093】
以上のように、移動速度sがs1を超えた時点で携帯端末装置301が紛失・盗難にあった可能性があると見なして、携帯端末装置301の暗号鍵202を更新して以前の鍵を消去するようにしているので、携帯端末装置301の紛失・盗難発生時、電源を投入したままの状態で携帯端末装置301を分解して暗号鍵202を取り出そうとする試みを防止することができる。
また、移動速度sがs2を超えていた場合は、暗号鍵202の更新に加えてユーザ認証を行い、認証に失敗した場合に携帯端末装置301が紛失・盗難にあったと見なして暗号鍵202を消去するようにしているので、携帯端末装置301の紛失・盗難発生時、不正に携帯端末装置301および更新された暗号鍵202を利用しようとする試みを防止することができる。
また、これらの効果に加えて、実施の形態1で示した効果が得られることは言うまでもない。
【0094】
なお、図17のフローにおいて、暗号鍵202を用いた暗号通信中に、携帯端末装置301の移動速度sがs1を超える(S702でYES)ことも考えられる。
この場合には、携帯端末装置301が暗号鍵202を消去しても暗号通信を継続できるような構成であれば、暗号鍵保護部601は、S703において更新前の暗号鍵を消去する。
一方、暗号鍵202を消去すると暗号通信を継続できないような構成であれば、暗号鍵保護部601は暗号通信が完了した後に更新前の暗号鍵を消去する。
【0095】
また、図17では、s>s2となった場合に(S704でYES)、暗号鍵保護部501がユーザ認証部503を用いてユーザの認証を行い(S705)、ユーザ認証に失敗したら、暗号鍵202を消去するようにしている(S707)が、s>s2となった時点でユーザ認証を行わずに即座に暗号鍵202を消去するようにしてもよい。
【0096】
以上、本実施の形態では、
コアネットワークおよびコアネットワークに接続された各基地局装置を介して他の端末と通信可能であり、またGPS衛星からのGPS信号を受信可能な携帯端末装置において、受信したGPS信号から時計と移動距離算出部を用いて移動速度(単位時間毎の移動距離)sを計算し、sが所定の上限値s1を超えた時には暗号鍵更新部を用いて揮発性メモリ上の暗号鍵を更新して更新前の暗号鍵を消去し、sが所定の距離s2(但しs1<s2)を超えた時にはユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去する暗号鍵保護部を備える携帯端末装置を説明した。
【0097】
また、本実施の形態では、
複数の基地局装置と複数の携帯端末装置と複数のGPS衛星とを備える通信システムにおいて、上記携帯端末装置は、電源投入時には暗号鍵を不揮発性メモリから揮発性メモリへ移動した後、ユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去し、受信したGPS信号から時計と移動距離算出部を用いて移動速度(単位時間毎の移動距離)sを計算し、sが所定の上限値s1を超えた時には暗号鍵更新部を用いて揮発性メモリ上の暗号鍵を更新して更新前の暗号鍵を消去し、sが所定の距離s2(但しs1<s2)を超えた時にはユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去し、電源断時にはユーザ認証部を用いてユーザ認証を行い、認証に成功した場合は暗号鍵を揮発性メモリから不揮発性メモリへ移動し、認証に失敗した場合は暗号鍵を揮発性メモリから消去する暗号鍵保護部を備える通信システムを説明した。
【0098】
なお、実施の形態1〜6では、携帯端末装置を情報処理装置の例として説明しているが、情報処理装置の例としては、警察官が所持する小型無線機(トランシーバ)や鉄道車両に設置された非常用無線機などの「無線通信機器」も含まれ、これら「無線通信機器」にも本願発明は適用可能である。
【0099】
最後に、実施の形態1〜6に示した携帯端末装置101、201、301のハードウェア構成例について説明する。
図19は、実施の形態1〜6に示す携帯端末装置101、201、301のハードウェア資源の一例を示す図である。
なお、図19の構成は、あくまでも携帯端末装置101、201、301のハードウェア構成の一例を示すものであり、携帯端末装置101、201、301のハードウェア構成は図19に記載の構成に限らず、他の構成であってもよい。
【0100】
図19において、携帯端末装置101、201、301は、プログラムを実行するCPU911(Central Processing Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。
CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、表示装置901、キーボード902、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。
更に、CPU911は、マウス903、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)と接続していてもよい。
また、磁気ディスク装置920の代わりに、SSD(Solid State Drive)、光ディスク装置、メモリカード(登録商標)読み書き装置などの記憶装置でもよい。
実施の形態1〜6で説明した「不揮発性メモリ404」は磁気ディスク装置920、SSD等により、「揮発性メモリ405」はRAM914により実現される。
通信ボード915、キーボード902、マウス903、FDD904などは、入力装置の一例である。
また、通信ボード915、表示装置901などは、出力装置の一例である。
【0101】
通信ボード915は、図1に示すように、ネットワークに接続されている。
例えば、通信ボード915は、無線通信網を介して、LAN(ローカルエリアネットワーク)、インターネット、WAN(ワイドエリアネットワーク)、SAN(ストレージエリアネットワーク)などに接続されていてもよい。
【0102】
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。
プログラム群923のプログラムは、CPU911がオペレーティングシステム921、ウィンドウシステム922を利用しながら実行する。
【0103】
また、RAM914には、CPU911に実行させるオペレーティングシステム921のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。
また、RAM914には、CPU911による処理に必要な各種データが格納される。
【0104】
また、ROM913には、BIOS(Basic Input Output System)プログラムが格納され、磁気ディスク装置920にはブートプログラムが格納されている。
携帯端末装置101、201、301の起動時には、ROM913のBIOSプログラム及び磁気ディスク装置920のブートプログラムが実行され、BIOSプログラム及びブートプログラムによりオペレーティングシステム921が起動される。
【0105】
上記プログラム群923には、実施の形態1〜6の説明において「〜部」として説明している機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
【0106】
ファイル群924には、実施の形態1〜6の説明において、「〜の判断」、「〜の計算」、「〜の認証」、「〜の比較」、「〜の生成」、「〜の更新」、「〜の設定」、「〜の登録」、「〜の選択」等として説明している処理の結果を示す情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。
「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。
ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出される。
そして、読み出された情報やデータや信号値や変数値やパラメータは、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。
抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、実施の形態1〜6で説明しているフローチャートの矢印の部分は主としてデータや信号の入出力を示す。
データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。
また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
【0107】
また、実施の形態1〜6の説明において「〜部」として説明しているものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。
すなわち、実施の形態1〜6で説明したフローチャートに示すステップ、手順、処理により、本発明に係る暗号鍵管理方法を実現することができる。
また、「〜部」として説明しているものは、ROM913に記憶されたファームウェアで実現されていても構わない。
或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。
ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。
プログラムはCPU911により読み出され、CPU911により実行される。
すなわち、プログラムは、実施の形態1〜6の「〜部」としてコンピュータを機能させるものである。あるいは、実施の形態1〜6の「〜部」の手順や方法をコンピュータに実行させるものである。
【0108】
このように、実施の形態1〜6に示す携帯端末装置101、201、301は、処理装置たるCPU、記憶装置たるメモリ、磁気ディスク等、入力装置たるキーボード、マウス、通信ボード等、出力装置たる表示装置、通信ボード等を備えるコンピュータである。
そして、上記したように「〜部」として示された機能をこれら処理装置、記憶装置、入力装置、出力装置を用いて実現するものである。
【符号の説明】
【0109】
101 携帯端末装置、102 暗号鍵、103 ネットワーク、201 携帯端末装置、202 暗号鍵、203 基地局装置、204 ネットワーク、301 携帯端末装置、303 基地局装置、304 ネットワーク、305 GPS衛星、306 GPS信号、401 暗号鍵保護部、402 電源スイッチ、403 ユーザ認証部、404 不揮発性メモリ、405 揮発性メモリ、501 暗号鍵保護部、502 電源スイッチ、503 ユーザ認証部、504 不揮発性メモリ、505 揮発性メモリ、506 暗号鍵更新部、507 基地局電波受信部、508 時計、509 移動距離算出部、601 暗号鍵保護部、602 電源スイッチ、603 ユーザ認証部、604 不揮発性メモリ、605 揮発性メモリ、606 暗号鍵更新部、607 基地局電波受信部、608 時計、609 移動距離算出部、610 GPS信号受信部。
【技術分野】
【0001】
本発明は、暗号通信に用いられる鍵を管理する技術に関する。
特に、携帯端末装置において、暗号通信に用いられる鍵を管理する技術に関する。
【背景技術】
【0002】
複数の通信機器において、暗号アルゴリズムの鍵を共有し、通信機器間の通信内容の電子署名や暗号化を行うことによって、通信内容の盗聴防止や改ざん検出を実現することができる。
この時、暗号アルゴリズムとして共通鍵暗号アルゴリズムを用いる場合は、全ての通信機器が同一の共通鍵を共有する必要がある。
また、暗号アルゴリズムとして公開鍵暗号アルゴリズムを用いる場合は、全ての通信機器が機器自身の秘密鍵と他の機器の公開鍵を持っている必要がある。
即ち、通信機器間で、秘密鍵または秘密鍵に対応付けされた公開鍵を共有する必要がある。
この時、通信機器の紛失・盗難が発生し、通信機器から暗号鍵が取り出された場合、暗号化通信が復号されて内容が解読される可能性がある。
従って、暗号鍵という通信機器にとっての機密情報の漏洩を防止する必要がある。
【0003】
従来の通信機器における暗号鍵等の機密情報の漏洩防止技術としては、以下のような技術がある。
特許文献1には、携帯電話機等の通信可能な端末から内部の個人情報や機密情報等の漏洩を防止するシステムについての記載がある。
この情報漏洩防止システムでは、端末内の機密情報を二つに分割して一方とPIN(Personal Identification Number)情報を認証サーバに登録しておき、認証サーバにおけるPIN情報を用いた認証が成功した時のみ、機密情報の半分を認証サーバから端末に転送する。
端末内の機密情報は、PIN情報を用いた利用者認証が規定回数以上失敗した場合に削除される。
認証サーバから取得した機密情報の半分は揮発性メモリに保持されて、電源断およびリセット時に消去される。
分割された他方の機密情報は、端末内に保持しており、両情報が揃った時に機密情報全体が復元できる。
これによって、電源投入前の端末には機密情報の半分しか存在しないため、この状態の端末の紛失・盗難による機密情報の漏洩を防止していた。
また、動作中の端末においては、PIN情報が判らない限り、機密情報にアクセスすることができなかった。
【0004】
特許文献2には、携帯端末装置内の個人データの不正利用を防止するシステムについての記述がある。
この個人データ不正利用防止システムでは、電源投入毎に端末内のROMに格納された端末認証情報をネットワーク経由で認証サーバに送信して認証を行い、認証に成功すると端末内のRAM(揮発性メモリ)に個人データ利用可否情報を書き込み、ユーザの個人データへのアクセスが発生すると、個人データ利用可否情報に基づいてアクセスを許可する。
端末紛失時は、認証サーバの登録情報を一時的に抹消または変更することによって、認証失敗が発生するようにして個人データへのアクセスを防止する。
また、端末の電源投入後、所定時間を経過すると個人データ利用可否情報を消去し、再度認証サーバを用いた端末認証を要求する。
これによって、端末紛失時に認証サーバの管理者に連絡することで個人データの不正利用を防止していた。
また、電源投入中に端末を紛失した場合でも、所定時間経過後であれば、個人データの不正利用を防止していた。
【0005】
特許文献3には、移動体通信における暗号鍵更新システムについての記述がある。
この暗号鍵更新システムでは、移動体と各無線基地局装置の間で、無線通信区間の暗号化に用いる暗号鍵を生成・更新する。
移動体の識別情報を通信する可能性のある無線基地局装置に事前配布しておき、走行中の移動体から送信される乱数を受信した基地局装置及び移動体にて、識別情報と乱数から暗号鍵を生成する。
移動体は、現時点で最後に検出された無線基地局装置と最後に通信してからの経過時間を計測し、一定時間を経過していた場合、無線基地局装置との通信可能エリアから離脱したとみなして、無線基地局装置との通信用暗号鍵を全て削除する。
これによって、移動体において使用されなくなった暗号鍵の管理が不要となる。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2007−249507号公報
【特許文献2】特開2008−5042号公報
【特許文献3】特開2006−129432号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
従来の通信機器における機密情報の漏洩防止技術には、以下のような課題がある。
まず、特許文献1の機密情報漏洩防止システムでは、機密情報の半分を認証サーバに置いておくため、電源投入後、認証サーバと認証のための通信を行って機密情報をダウンロードする必要があり、認証サーバが動作していない状態や認証サーバとの通信ができない状態では、機密情報が利用できないという課題がある。
また、PIN情報が破られた場合、動作中の端末から機密情報が漏洩するという課題がある。
【0008】
また、特許文献2の個人データ不正利用防止システムでは、端末と認証サーバが通信することによる認証によって、個人データ利用可否情報を制御しているため、認証サーバが動作していない状態や認証サーバとの通信ができない状態では、機密情報である個人データが利用できないという課題がある。
電源投入後、所定時間経過後に個人データ利用可否情報を消去する場合、所定時間内であれば個人データを不正利用される可能性があり、かつ所定時間毎に認証サーバと通信しなければならないという課題がある。
【0009】
また、特許文献3の暗号鍵更新システムでは、暗号鍵の使用終了後、所定の時間が経過すると暗号鍵を削除しており、移動体と無線基地局装置の間の暗号鍵であれば、無線基地局装置の圏外に移動することで暗号鍵の使用終了と見なすことができる。
しかしながら、携帯端末装置同士の通信に用いる暗号鍵の場合、無線基地局装置の圏外に移動することは暗号鍵の使用終了と見なすことはできないため暗号鍵は消去できず、この間に携帯端末装置の紛失・盗難が発生した場合に携帯端末装置に残っている暗号鍵が漏洩する可能性があるという課題がある。
あるいは、無線基地局装置の圏外に移動する度に暗号鍵を消去した場合、無線基地局装置をまたがる度に、携帯端末装置間で暗号鍵を共有し直さなければならないという課題がある。
【0010】
この発明は上記のような課題を解決することを主な目的としており、携帯端末装置等の情報処理装置が認証サーバと通信することなく機密情報である暗号鍵を利用可能とし、かつ端末の紛失・盗難発生時における情報処理装置内の暗号鍵の漏洩を防止することを目的とする。
【課題を解決するための手段】
【0011】
本発明に係る情報処理装置は、
暗号鍵を用いる情報処理装置であって、
前記情報処理装置の電源投入前に前記暗号鍵を保管しておく不揮発性メモリと、
揮発性メモリと、
前記情報処理装置の電源投入時にユーザ認証を行うユーザ認証部と、
前記情報処理装置の電源投入時に前記ユーザ認証部によるユーザ認証に先立ち前記暗号鍵を前記不揮発性メモリから前記揮発性メモリに移動し、前記ユーザ認証部によるユーザ認証が失敗した場合に前記揮発性メモリから前記暗号鍵を消去する暗号鍵保護部とを有することを特徴とする。
【発明の効果】
【0012】
本発明によれば、電源未投入の状態では不揮発性メモリで暗号鍵を保管しているので、電源投入後にサーバと通信することなく暗号鍵を利用でき、サーバが停止しているために情報処理装置の機能を利用できないといった事態を回避することができる。
また、電源投入時にユーザ認証を行い、認証に失敗した場合に暗号鍵を消去するようにしているので、情報処理装置の紛失・盗難発生時に、不正に情報処理装置を起動して暗号鍵を利用しようとする試みを阻止することができる。
また、電源投入中の間は揮発性メモリ上に暗号鍵を保管しているので、電源投入中の情報処理装置の紛失・盗難発生時に、電源を投入したままの状態で情報処理装置を分解して暗号鍵を取り出そうとする試みを阻止することができる。
【図面の簡単な説明】
【0013】
【図1】実施の形態1に係るシステム構成例を示す図。
【図2】実施の形態1に係る携帯端末装置の構成例を示す図。
【図3】実施の形態1に係る携帯端末装置の電源投入時の処理例を示すフローチャート図。
【図4】実施の形態1に係る携帯端末装置の電源断時の処理例を示すフローチャート図。
【図5】実施の形態2〜4に係るシステム構成例を示す図。
【図6】実施の形態2に係る暗号鍵の内部形式を示す図。
【図7】実施の形態2に係る携帯端末装置の構成例を示す図。
【図8】実施の形態2に係る携帯端末装置の処理例を示すフローチャート図。
【図9】実施の形態3に係る携帯端末装置の構成例を示す図。
【図10】実施の形態3に係る携帯端末装置の処理例を示すフローチャート図。
【図11】実施の形態4に係る携帯端末装置の構成例を示す図。
【図12】実施の形態4に係る携帯端末装置の処理例を示すフローチャート図。
【図13】実施の形態5に係るシステム構成例を示す図。
【図14】実施の形態5に係る携帯端末装置の構成例を示す図。
【図15】実施の形態5に係る携帯端末装置の処理例を示すフローチャート図。
【図16】実施の形態6に係る携帯端末装置の構成例を示す図。
【図17】実施の形態6に係る携帯端末装置の処理例を示すフローチャート図。
【図18】実施の形態1に係る携帯端末装置の電源投入時の処理例を示すフローチャート図。
【図19】実施の形態1〜6に係る携帯端末装置のハードウェア構成例を示す図。
【発明を実施するための形態】
【0014】
実施の形態1.
図1は実施の形態1におけるシステム構成図である。
図1において、携帯端末装置101はネットワーク103を介して他の携帯端末装置101と通信する端末装置である。
携帯端末装置101は、情報処理装置の例である。
暗号鍵102は携帯端末装置101間の通信内容を暗号化するための鍵である。
ネットワーク103は携帯端末装置101間の通信路として用いられるネットワークである。
【0015】
次に、図2に基づき、実施の形態1における携帯端末装置101の機能について説明する。
図2は実施の形態1における携帯端末装置101の内部ブロック図である。
図2において、暗号鍵保護部401は不揮発性メモリ404および揮発性メモリ405を用いて暗号鍵102を保管し、ユーザ認証部403を用いてユーザ認証を行い、携帯端末装置101の紛失・盗難があったと見なした場合は暗号鍵102を消去する。
電源スイッチ402は携帯端末装置101の起動・終了時に押されるスイッチである。
ユーザ認証部403はパスワード・指紋・光彩等を用いてユーザの認証を行う。
不揮発性メモリ404は携帯端末装置101が電源投入中であるか否かにかかわらずデータを保持可能なメモリである。
揮発性メモリ405は携帯端末装置101の電源投入中のみデータを保持可能なメモリである。
【0016】
次に動作について説明する。
まず、携帯端末装置101の電源を入れた場合の動作について説明する。
図3は、実施の形態1における携帯端末装置101の電源投入時の動作を示すフローチャートである。
【0017】
電源投入前、暗号鍵102は携帯端末装置101の不揮発性メモリ404上に保管されている。
ユーザが電源スイッチ402を押して携帯端末装置101の電源を入れると、暗号鍵保護部401は暗号鍵102を不揮発性メモリ404から揮発性メモリ405へ移動する(S101)(暗号鍵保護ステップ)。
次に、暗号鍵保護部401はユーザ認証部403を用いてユーザの認証を行う(S102)(ユーザ認証ステップ)。
ユーザによるパスワード、指紋、光彩等の認証情報が入力されると、ユーザ認証結果の判定が行われ(S103)、成功の場合は、そのまま携帯端末装置101が起動する。
失敗の場合は、暗号鍵保護部401は暗号鍵102を揮発性メモリ405から消去する(S104)(暗号鍵保護ステップ)。
なお、認証情報の入力は所定の回数の再入力を許可し、その回数を超えてエラーが発生した場合は認証失敗と判定してよい。
【0018】
次に、携帯端末装置101の電源を切る場合の動作について説明する。
図4は、実施の形態1における携帯端末装置101の電源断時の動作を示すフローチャートである。
【0019】
電源投入中、暗号鍵102は携帯端末装置101の揮発性メモリ405上に保管されている。
ユーザが電源スイッチ402を押して携帯端末装置101の電源を切ろうとすると、暗号鍵保護部401はユーザ認証部403を用いてユーザの認証を行う(S201)。
ユーザによるパスワード、指紋、光彩等の認証情報が入力されると、ユーザ認証結果の判定が行われ(S202)、成功の場合は暗号鍵102を揮発性メモリ405から不揮発性メモリ404へ移動して、携帯端末装置101の電源を切る(S203)。
失敗の場合は、暗号鍵102を揮発性メモリ405から消去して、携帯端末装置101の電源を切る(S204)。
【0020】
以上のように、携帯端末装置101は電源未投入の状態では不揮発性メモリ404上に暗号鍵102を保管しているので、電源投入後にサーバと通信することなく機密情報である暗号鍵102を利用できる。
また、携帯端末装置101の電源投入時にユーザ認証を行い、認証に失敗した場合に携帯端末装置101が紛失・盗難にあったと見なして暗号鍵102を消去するようにしているので、携帯端末装置101の紛失・盗難発生時、不正に携帯端末装置101を起動して暗号鍵102を利用しようとする試みを防止することができる。
また、携帯端末装置101は電源投入中の間は揮発性メモリ405上に暗号鍵102を保管しているので、電源投入中の携帯端末装置101の紛失・盗難発生時、電源を投入したままの状態で携帯端末装置101を分解して暗号鍵102を取り出そうとする試みを防止することができる。
また、携帯端末装置101の電源断時にユーザ認証を行い、認証に失敗した場合に携帯端末装置101が紛失・盗難にあったと見なして暗号鍵102を消去するようにしているので、携帯端末装置101の紛失・盗難発生時、一旦電源を落としてから携帯端末装置101を分解して暗号鍵102を取り出そうとする試みを防止することができる。
これらの携帯端末装置101の電源投入から電源断までの一連の手順において、携帯端末装置101はサーバと通信する必要がないため、サーバが停止しているために携帯端末装置101の機能を利用できないといった障害を生じることがなく、システム全体の可用性を高めることができる。
【0021】
なお、図3に示す方式に代えて、図18に示す方式にすることも可能である。
図18の方式では、まず、ユーザ認証を行い(S801)、ユーザ認証に成功した場合(S802でYES)に、暗号鍵保護部401は暗号鍵102を不揮発性メモリ404から揮発性メモリ405に移動させる(S803)。
一方、ユーザ認証に成功した場合(S802でYES)は、暗号鍵保護部401は暗号鍵102を不揮発性メモリ404から消去する(S804)。
【0022】
上記のように、図3の方式はユーザ認証に先立って暗号鍵102を揮発性メモリ405に移動させるので、ユーザ認証の間に携帯端末装置101を分解して暗号鍵102を取り出そうとする試みを阻止することができる。
この点で、図18の方式は図3の方式に比べるとセキュリティ強度は低い。
しかし、図18のS801からS803の間の時間は1、2秒程度であるため、極端にセキュリティ強度が落ちるわけではなく、用途によっては図18に示す方式を採用することも可能である。
【0023】
以上、本実施の形態では、
ネットワークを介して他の端末と通信可能な携帯端末装置において、電源投入前には不揮発性メモリに暗号鍵を保管し、電源投入時には暗号鍵を不揮発性メモリから揮発性メモリへ移動した後、ユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去し、電源断時にはユーザ認証部を用いてユーザ認証を行い、認証に成功した場合は暗号鍵を揮発性メモリから不揮発性メモリへ移動し、認証に失敗した場合は暗号鍵を揮発性メモリから消去する暗号鍵保護部を備える携帯端末装置を説明した。
【0024】
また、本実施の形態では、
複数の携帯端末装置を備える通信システムにおいて、上記携帯端末装置は、電源投入時には暗号鍵を不揮発性メモリから揮発性メモリへ移動した後、ユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去し、電源断時にはユーザ認証部を用いてユーザ認証を行い、認証に成功した場合は暗号鍵を揮発性メモリから不揮発性メモリへ移動し、認証に失敗した場合は暗号鍵を揮発性メモリから消去する暗号鍵保護部を備える通信システムを説明した。
【0025】
また、本実施の形態では、
携帯端末装置が、不揮発性メモリ上に暗号鍵を保管する暗号鍵保護部であって、電源投入時には暗号鍵を不揮発性メモリから揮発性メモリへ移動する鍵移動ステップと、端末が紛失・盗難にあった可能性が低い脅威レベルを検出すると暗号鍵更新部を用いて揮発性メモリ上の暗号鍵を更新して更新前の暗号鍵を消去する鍵更新ステップと、端末が紛失・盗難にあった可能性が高いレベルの脅威を検出した時にはユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去するユーザ認証・鍵消去ステップと、電源断時にはユーザ認証部を用いてユーザ認証を行い、認証に成功した場合は暗号鍵を揮発性メモリから不揮発性メモリへ移動し、認証に失敗した場合は暗号鍵を揮発性メモリから消去する鍵保存・消去ステップとを備える暗号鍵保護方法を説明した。
【0026】
また、本実施の形態では、
不揮発性メモリ上に暗号鍵を保管する暗号鍵保護部であって、電源投入時には暗号鍵を不揮発性メモリから揮発性メモリへ移動する鍵移動処理と、端末が紛失・盗難にあった可能性が低い脅威レベルを検出すると暗号鍵更新部を用いて揮発性メモリ上の暗号鍵を更新して更新前の暗号鍵を消去する鍵更新処理と、端末が紛失・盗難にあった可能性が高いレベルの脅威を検出した時にはユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去するユーザ認証・鍵消去処理と、電源断時にはユーザ認証部を用いてユーザ認証を行い、認証に成功した場合は暗号鍵を揮発性メモリから不揮発性メモリへ移動し、認証に失敗した場合は暗号鍵を揮発性メモリから消去する鍵保存・消去処理とを通信端末に実行させる暗号鍵保護プログラムを説明した。
【0027】
実施の形態2.
実施の形態2では、携帯端末装置201において基地局装置203からの圏外滞在時間を計測し、一定時間を超えた場合、携帯端末装置201が紛失・盗難にあった可能性があると見なして暗号鍵202の更新または消去を行うことによる暗号鍵202の漏洩防止について説明する。
【0028】
図5は、実施の形態2のシステム構成図である。
図5において、携帯端末装置201は基地局装置203およびコアネットワーク204を介して他の携帯端末装置201と通信する端末である。
暗号鍵202は携帯端末装置201間の通信内容を暗号化するための鍵である。
基地局装置203は携帯端末装置201と無線通信を行ってコアネットワーク204へ接続するアクセスポイントである。
コアネットワーク204は基地局装置203を介して携帯端末装置201間の通信路として用いられるバックボーンネットワークである。
【0029】
次に、図6に基づき、実施の形態2における暗号鍵202について説明する。
図6は、暗号鍵202の内部形式を示した図である。
図6において、鍵データ221は携帯端末装置201間の暗号化通信に用いられる鍵そのものであり、暗号アルゴリズムの種類、パラメータ、鍵の値等から構成される。
鍵世代番号222は鍵データ221の現在の世代を表す数字であり、更新を行う度に1ずつ値が加算される。
属性223は鍵データ221に付属する値(鍵の有効期限、携帯端末装置201の紛失・盗難と見なして鍵更新や鍵消去を行う判定基準等)が存在する場合に、それらの値を格納する。
【0030】
次に、図7に基づき、実施の形態2における携帯端末装置201の機能について説明する。
図7は実施の形態2における携帯端末装置201の内部ブロック図である。
【0031】
図7において、暗号鍵保護部501は不揮発性メモリ504および揮発性メモリ505を用いて暗号鍵202を保管し、基地局電波受信部507と時計508から携帯端末装置201の紛失・盗難の可能性を検出すると、暗号鍵更新部506を用いて暗号鍵202を更新し、携帯端末装置201の紛失・盗難の可能性が高い場合、ユーザ認証部503を用いてユーザ認証を行い、携帯端末装置201の紛失・盗難があったと見なした場合は暗号鍵202を消去する。
電源スイッチ502は携帯端末装置201の起動・終了時に押されるスイッチである。
ユーザ認証部503はパスワード・指紋・光彩等を用いてユーザの認証を行う。
不揮発性メモリ504は携帯端末装置201が電源投入中であるか否かにかかわらずデータを保持可能なメモリである。
揮発性メモリ505は携帯端末装置201の電源投入中のみデータを保持可能なメモリである。
暗号鍵更新部506は暗号鍵202を入力とし、ハッシュ関数等の一方向性演算を行うことによって次世代の暗号鍵202を生成する。
基地局電波受信部507はいずれかの基地局装置203からの電波を受信し、現在圏内にいるエリアの情報等を取得する。
時計508は現在日時を保持し、基地局装置203からの電波に時刻情報が含まれていた場合は値の補正を行う。
【0032】
次に動作について説明する。
携帯端末装置201の電源を入れた場合の動作については、実施の形態1における携帯端末装置101の動作と同一である。
【0033】
次に、携帯端末装置201の電源投入中の動作について説明する。
図8は、実施の形態2における携帯端末装置201の電源投入中の動作を示すフローチャートである。
【0034】
電源投入中、暗号鍵202は携帯端末装置201の揮発性メモリ505上に保管されている。
基地局電波受信部507により携帯端末装置201が基地局装置圏外へ移動したこと(いずれの基地局装置からも電波を受信していないこと)を検出した場合、暗号鍵保護部501は時計508を用いて基地局装置圏外滞在時間tの計測を開始する(S301)。
基地局装置圏外滞在時間tが所定の値t1(第1の閾値)を超えるまでの間、即ちt≦t1の間は何もしない(S302)。
この間に携帯端末装置201が基地局装置圏内に戻った場合(再び基地局装置からの電波を受信した場合)は、フローチャートの先頭に戻る。
基地局装置圏外滞在時間tが所定の値t1を超えた場合、即ちt>t1となった場合は、暗号鍵保護部501は暗号鍵更新部506を用いて揮発性メモリ505上の暗号鍵202を更新(新たな暗号鍵202を生成)し、更新前の暗号鍵202を揮発性メモリ505から消去する(S303)。
基地局装置圏外での滞在が続く場合は、基地局装置圏外滞在時間tの計測を継続し、基地局装置圏外滞在時間tが所定の値t2(但し、t1<t2)(第2の閾値)を超えるまでの間、即ちt≦t2の間は何もしない(S304)。
この間に携帯端末装置201が基地局装置圏内に戻った場合は、フローチャートの先頭に戻る。
基地局装置圏外滞在時間tが所定の値t2を超えた場合、即ちt>t2となった場合、暗号鍵保護部501はユーザ認証部503を用いてユーザの認証を行う(S305)。
ユーザによるパスワード、指紋、光彩等の認証情報が入力されると、ユーザ認証結果の判定が行われ(S306)、失敗の場合は、暗号鍵202を揮発性メモリ505から消去する(S307)。
なお、所定の値t1、t2は、暗号鍵202の属性223に設定されていた場合はその値を使用し、そうでない場合は暗号鍵保護部501で規定された値を使用する。
【0035】
また、携帯端末装置201の電源を切る場合の動作については、実施の形態1における携帯端末装置101の動作と同一である。
【0036】
以上のように、基地局装置203からの電波が届かない圏外滞在時間tがt1を超えた時点で携帯端末装置201が紛失・盗難にあった可能性があると見なして、携帯端末装置201の暗号鍵202を更新して以前の鍵を消去するようにしているので、携帯端末装置201の紛失・盗難発生時、携帯端末装置201を基地局装置圏外に持ち出すことで遠隔操作による暗号鍵202の消去を回避しつつ電源を投入したままの状態で携帯端末装置201を分解して暗号鍵202を取り出そうとする試みを防止することができる。
また、基地局装置203からの電波が届かない圏外滞在時間tがt2を超えた時点でユーザ認証を行い、認証に失敗した場合に携帯端末装置201が紛失・盗難にあったと見なして暗号鍵202を消去するようにしているので、携帯端末装置201の紛失・盗難発生時、不正に携帯端末装置201およびその暗号鍵202を利用しようとする試みを防止することができる。
また、これらの効果に加えて、実施の形態1で示した効果が得られることは言うまでもない。
【0037】
なお、図8では、t>t2となった場合に(S304でYES)、暗号鍵保護部501がユーザ認証部503を用いてユーザの認証を行い(S305)、ユーザ認証に失敗したら、暗号鍵202を消去するようにしている(S307)が、用途によってはt>t2となった時点でユーザ認証を行わずに即座に暗号鍵202を消去するようにしてもよい。
【0038】
以上、本実施の形態では、
コアネットワークおよびコアネットワークに接続された各基地局装置を介して他の端末と通信可能な携帯端末装置において、基地局装置からの電波を未受信の状態になると基地局装置圏外滞在時間tの計測を開始し、滞在時間tが所定の時間t1を超えた時には暗号鍵更新部を用いて揮発性メモリ上の暗号鍵を更新して更新前の暗号鍵を消去し、滞在時間tが所定の時間t2(但し、t1<t2)を超えた時にはユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去する暗号鍵保護部を備える携帯端末装置を説明した。
【0039】
また、本実施の形態では、
複数の基地局装置と複数の携帯端末装置とを備える通信システムにおいて、上記携帯端末装置は、電源投入時には暗号鍵を不揮発性メモリから揮発性メモリへ移動した後、ユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去し、基地局装置からの電波を未受信の状態になると基地局装置圏外滞在時間tの計測を開始し、滞在時間tが所定の時間t1を超えた時には暗号鍵更新部を用いて揮発性メモリ上の暗号鍵を更新して更新前の暗号鍵を消去し、滞在時間tが所定の時間t2(但し、t1<t2)を超えた時にはユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去し、電源断時にはユーザ認証部を用いてユーザ認証を行い、認証に成功した場合は暗号鍵を揮発性メモリから不揮発性メモリへ移動し、認証に失敗した場合は暗号鍵を揮発性メモリから消去する暗号鍵保護部を備える通信システムを説明した。
【0040】
実施の形態3.
実施の形態3では、携帯端末装置201において基地局装置203からの電波を用いて現在のエリアを測定し、一定のエリアの移動を検出した場合、携帯端末装置201が紛失・盗難にあった可能性があると見なして暗号鍵202の更新または消去を行うことによる暗号鍵202の漏洩防止について説明する。
【0041】
実施の形態3のシステム構成図は、実施の形態2のシステム構成図(図5)と同一である。
【0042】
暗号鍵202は、実施の形態2における暗号鍵202(図6)と同一である。
【0043】
次に、図9に基づき、実施の形態3における携帯端末装置201の機能について説明する。
図9は実施の形態3における携帯端末装置201の内部ブロック図である。
【0044】
図9において、暗号鍵保護部501は不揮発性メモリ504および揮発性メモリ505を用いて暗号鍵202を保管し、基地局電波受信部507と移動距離算出部509から携帯端末装置201の紛失・盗難の可能性を検出すると、暗号鍵更新部506を用いて暗号鍵202を更新し、携帯端末装置201の紛失・盗難の可能性が高い場合、ユーザ認証部503を用いてユーザ認証を行い、携帯端末装置201の紛失・盗難があったと見なした場合は暗号鍵202を消去する。
電源スイッチ502は携帯端末装置201の起動・終了時に押されるスイッチである。
ユーザ認証部503はパスワード・指紋・光彩等を用いてユーザの認証を行う。
不揮発性メモリ504は携帯端末装置201が電源投入中であるか否かにかかわらずデータを保持可能なメモリである。
揮発性メモリ505は携帯端末装置201の電源投入中のみデータを保持可能なメモリである。
暗号鍵更新部506は暗号鍵202を入力とし、ハッシュ関数等の一方向性演算を行うことによって次世代の暗号鍵202を生成する。
基地局電波受信部507は基地局装置203からの電波を受信し、現在圏内にいるエリアの情報等を取得する。
移動距離算出部509は基地局電波受信部507で受信したエリア情報から携帯端末装置201の大まかな移動距離を記録する。
【0045】
次に動作について説明する。
携帯端末装置201の電源を入れた場合の動作については、実施の形態1における携帯端末装置101の動作と同一である。
【0046】
次に、携帯端末装置201の電源投入中の動作について説明する。
図10は、実施の形態3における携帯端末装置201の電源投入中の動作を示すフローチャートである。
【0047】
電源投入中、暗号鍵202は携帯端末装置201の揮発性メモリ505上に保管されている。
基地局電波受信部507により携帯端末装置201と基地局装置203との通信確立を検出後、異なる基地局装置203の基地局装置圏へ移動したことを検出した場合(基地局電波受信部507が電波を受信している基地局装置が変化した場合)、暗号鍵保護部501は暗号鍵更新部506を用いて揮発性メモリ505上の暗号鍵202を更新(新たな暗号鍵202を生成)し、更新前の暗号鍵202を揮発性メモリ505から消去する(S401)。
そして、暗号鍵保護部501は移動距離算出部509を用いて基地局装置情報から、異なる基地局装置203の基地局装置圏へ移動してからの概算移動距離dを計算する(S402)。
移動距離算出部509は、基地局電波受信部507が受信した電波に基づき、基地局電波受信部507が受信した電波の送信元の基地局装置203の所在位置を判断して、携帯端末装置201の概算移動距離dを算出する。
【0048】
概算移動距離dが所定の閾値d0を超えていない場合、即ちd≦d0の場合は、フローチャートの先頭に戻る(S403)。
概算移動距離dが所定の値d0を超えた場合、即ちd>d0の場合は、暗号鍵保護部501はユーザ認証部503を用いてユーザの認証を行う(S404)。
ユーザによるパスワード、指紋、光彩等の認証情報が入力されると、ユーザ認証結果の判定が行われ(S405)、成功の場合は、フローチャートの先頭に戻る。
失敗の場合は、暗号鍵202を揮発性メモリ505から消去する(S406)。
なお、所定の値d0は、暗号鍵202の属性223に設定されていた場合はその値を使用し、そうでない場合は暗号鍵保護部501で規定された値を使用する。
【0049】
また、携帯端末装置201の電源を切る場合の動作については、実施の形態1における携帯端末装置101の動作と同一である。
【0050】
以上のように、基地局装置203の圏内から異なる基地局装置203の圏内へ移動した時点で携帯端末装置201が紛失・盗難にあった可能性があると見なして、携帯端末装置201の暗号鍵202を更新して以前の鍵を消去するようにしているので、携帯端末装置201の紛失・盗難発生時、電源を投入したままの状態で携帯端末装置201を分解して暗号鍵202を取り出そうとする試みを防止することができる。
また、基地局装置203の位置情報から計算した概算移動距離dがd0を超えた時点でユーザ認証を行い、認証に失敗した場合に携帯端末装置201が紛失・盗難にあったと見なして暗号鍵202を消去するようにしているので、携帯端末装置201の紛失・盗難発生時、不正に携帯端末装置201およびその暗号鍵202を利用しようとする試みを防止することができる。
また、これらの効果に加えて、実施の形態1で示した効果が得られることは言うまでもない。
【0051】
なお、図10のフローにおいて、暗号鍵202を用いた暗号通信中に、携帯端末装置201が異なる基地局装置203の基地局装置圏へ移動したことを検出することも考えられる。
この場合には、携帯端末装置201が暗号鍵202を消去しても暗号通信を継続できるような構成であれば、暗号鍵保護部501は、S401において更新前の暗号鍵を消去する。
一方、暗号鍵202を消去すると暗号通信を継続できないような構成であれば、暗号鍵保護部501は暗号通信が完了した後に更新前の暗号鍵を消去する。
【0052】
また、図10では、d>d0となった場合に(S403でYES)、暗号鍵保護部501がユーザ認証部503を用いてユーザの認証を行い(S404)、ユーザ認証に失敗したら、暗号鍵202を消去するようにしている(S406)が、用途によってはd>d0となった時点でユーザ認証を行わずに即座に暗号鍵202を消去するようにしてもよい。
【0053】
以上、本実施の形態では、
コアネットワークおよびコアネットワークに接続された各基地局装置を介して他の端末と通信可能な携帯端末装置において、異なる基地局装置圏への移動を検出した時には暗号鍵更新部を用いて揮発性メモリ上の暗号鍵を更新して更新前の暗号鍵を消去した後、現在および以前の基地局装置情報から概算移動距離dを計算し、dが所定の上限値d0を超えた時にはユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去する暗号鍵保護部を備える携帯端末装置を説明した。
【0054】
また、本実施の形態では、
複数の基地局装置と複数の携帯端末装置とを備える通信システムにおいて、上記携帯端末装置は、電源投入時には暗号鍵を不揮発性メモリから揮発性メモリへ移動した後、ユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去し、異なる基地局装置圏への移動を検出した時には暗号鍵更新部を用いて揮発性メモリ上の暗号鍵を更新して更新前の暗号鍵を消去した後、現在および以前の基地局装置情報から概算移動距離dを計算し、dが所定の上限値d0を超えた時にはユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去し、電源断時にはユーザ認証部を用いてユーザ認証を行い、認証に成功した場合は暗号鍵を揮発性メモリから不揮発性メモリへ移動し、認証に失敗した場合は暗号鍵を揮発性メモリから消去する暗号鍵保護部を備える通信システムを説明した。
【0055】
実施の形態4.
実施の形態4では、携帯端末装置201において基地局装置203からの電波を用いて現在のエリアを測定して移動速度を計算し、一定の速度以上の移動を検出した場合、携帯端末装置201が紛失・盗難にあった可能性があると見なして暗号鍵202の更新または消去を行うことによる暗号鍵202の漏洩防止について説明する。
【0056】
実施の形態4のシステム構成図は、実施の形態2のシステム構成図(図5)と同一である。
【0057】
暗号鍵202は、実施の形態2における暗号鍵202(図6)と同一である。
【0058】
次に、図11に基づき、実施の形態4における携帯端末装置201の機能について説明する。
図11は実施の形態3における携帯端末装置201の内部ブロック図である。
【0059】
図11において、暗号鍵保護部501は不揮発性メモリ504および揮発性メモリ505を用いて暗号鍵202を保管し、基地局電波受信部507と時計508と移動距離算出部509から携帯端末装置201の紛失・盗難の可能性を検出すると、暗号鍵更新部506を用いて暗号鍵202を更新し、携帯端末装置201の紛失・盗難の可能性が高い場合、ユーザ認証部503を用いてユーザ認証を行い、携帯端末装置201の紛失・盗難があったと見なした場合は暗号鍵202を消去する。
電源スイッチ502は携帯端末装置201の起動・終了時に押されるスイッチである。
ユーザ認証部503はパスワード・指紋・光彩等を用いてユーザの認証を行う。
不揮発性メモリ504は携帯端末装置201が電源投入中であるか否かにかかわらずデータを保持可能なメモリである。
揮発性メモリ505は携帯端末装置201の電源投入中のみデータを保持可能なメモリである。
暗号鍵更新部506は暗号鍵202を入力とし、ハッシュ関数等の一方向性演算を行うことによって次世代の暗号鍵202を生成する。
基地局電波受信部507は基地局装置203からの電波を受信し、現在圏内にいるエリアの情報等を取得する。
時計508は現在日時を保持し、基地局装置203からの電波に時刻情報が含まれていた場合は値の補正を行う。
移動距離算出部509は基地局電波受信部507で受信したエリア情報から携帯端末装置201の大まかな移動距離を記録する。
なお、本実施の形態では、移動距離算出部509は移動速度算出部の例でもある。
【0060】
次に動作について説明する。
携帯端末装置201の電源を入れた場合の動作については、実施の形態1における携帯端末装置101の動作と同一である。
【0061】
次に、携帯端末装置201の電源投入中の動作について説明する。
図12は、実施の形態4における携帯端末装置201の電源投入中の動作を示すフローチャートである。
【0062】
電源投入中、暗号鍵202は携帯端末装置201の揮発性メモリ505上に保管されている。
基地局電波受信部507により携帯端末装置201と基地局装置203との通信確立を検出した場合、暗号鍵保護部501は時計508を用いて基地局装置圏内滞在時間tの計測を開始する(S501)。
基地局電波受信部507により異なる基地局装置203の基地局装置圏へ移動したことを検出した場合、暗号鍵保護部501は暗号鍵更新部506を用いて揮発性メモリ505上の暗号鍵202を更新(新たな暗号鍵202を生成)し、更新前の暗号鍵202を揮発性メモリ505から消去する(S502)。
そして、暗号鍵保護部501は移動距離算出部509を用いて基地局装置情報から、異なる基地局装置203の基地局装置圏へ移動してからの概算移動距離dを計算する(S503)。
単位時間毎の移動距離(移動速度)S=d/tが所定の閾値S0を超えていない場合、即ちS≦S0の場合は、フローチャートの先頭に戻る(S504)。
単位時間毎の移動距離Sが所定の値S0を超えた場合、即ちS>S0の場合は、暗号鍵保護部501はユーザ認証部503を用いてユーザの認証を行う(S505)。
ユーザによるパスワード、指紋、光彩等の認証情報が入力されると、ユーザ認証結果の判定が行われ(S506)、成功の場合は、フローチャートの先頭に戻る。
失敗の場合は、暗号鍵202を揮発性メモリ505から消去する(S507)。
なお、所定の値S0は、暗号鍵202の属性223に設定されていた場合はその値を使用し、そうでない場合は暗号鍵保護部501で規定された値を使用する。
【0063】
また、携帯端末装置201の電源を切る場合の動作については、実施の形態1における携帯端末装置101の動作と同一である。
【0064】
以上のように、基地局装置203の圏内から異なる基地局装置203の圏内へ移動した時点で携帯端末装置201が紛失・盗難にあった可能性があると見なして、携帯端末装置201の暗号鍵202を更新して以前の鍵を消去するようにしているので、携帯端末装置201の紛失・盗難発生時、電源を投入したままの状態で携帯端末装置201を分解して暗号鍵202を取り出そうとする試みを防止することができる。
また、基地局装置203の位置情報および携帯端末装置201内部の時計508から計算した移動速度SがS0を超えた時点でユーザ認証を行い、認証に失敗した場合に携帯端末装置201が紛失・盗難にあったと見なして暗号鍵202を消去するようにしているので、携帯端末装置201の紛失・盗難発生時、不正に携帯端末装置201およびその暗号鍵202を利用しようとする試みを防止することができる。
また、これらの効果に加えて、実施の形態1で示した効果が得られることは言うまでもない。
【0065】
なお、実施の形態3と同様に、図12のフローにおいて、暗号鍵202を用いた暗号通信中に、携帯端末装置201が異なる基地局装置203の基地局装置圏へ移動したことを検出することも考えられる。
この場合には、携帯端末装置201が暗号鍵202を消去しても暗号通信を継続できるような構成であれば、暗号鍵保護部501は、S502において更新前の暗号鍵を消去する。
一方、暗号鍵202を消去すると暗号通信を継続できないような構成であれば、暗号鍵保護部501は暗号通信が完了した後に更新前の暗号鍵を消去する。
【0066】
また、図12では、S>S0となった場合に(S504でYES)、暗号鍵保護部501がユーザ認証部503を用いてユーザの認証を行い(S505)、ユーザ認証に失敗したら、暗号鍵202を消去するようにしている(S507)が、用途によってはS>S0となった時点でユーザ認証を行わずに即座に暗号鍵202を消去するようにしてもよい。
【0067】
以上、本実施の形態では、
コアネットワークおよびコアネットワークに接続された各基地局装置を介して他の端末と通信可能な携帯端末装置において、ある基地局装置からの電波を受信した状態になると当該基地局装置圏内滞在時間tの計測を開始し、異なる基地局装置圏への移動を検出した時には暗号鍵更新部を用いて揮発性メモリ上の暗号鍵を更新して更新前の暗号鍵を消去した後、現在および以前の基地局装置情報から概算移動距離dを計算し、移動速度(単位時間毎の移動距離)S=d/tが所定の上限値S0を超えた時にはユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去する暗号鍵保護部を備える携帯端末装置を説明した。
【0068】
以上、本実施の形態では、
複数の基地局装置と複数の携帯端末装置とを備える通信システムにおいて、上記携帯端末装置は、電源投入時には暗号鍵を不揮発性メモリから揮発性メモリへ移動した後、ユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去し、ある基地局装置からの電波を受信した状態になると当該基地局装置圏内滞在時間tの計測を開始し、異なる基地局装置圏への移動を検出した時には暗号鍵更新部を用いて揮発性メモリ上の暗号鍵を更新して更新前の暗号鍵を消去した後、現在および以前の基地局装置情報から概算移動距離dを計算し、移動速度(単位時間毎の移動距離)S=d/tが所定の上限値S0を超えた時にはユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去し、電源断時にはユーザ認証部を用いてユーザ認証を行い、認証に成功した場合は暗号鍵を揮発性メモリから不揮発性メモリへ移動し、認証に失敗した場合は暗号鍵を揮発性メモリから消去する暗号鍵保護部を備える通信システムを説明した。
【0069】
実施の形態5.
実施の形態5では、携帯端末装置301においてGPS(Global Positioning System)衛星305からのGPS信号306を用いて現在位置を測定し、一定の距離の移動を検出した場合、携帯端末装置302が紛失・盗難にあった可能性があると見なして暗号鍵202の更新または消去を行うことによる暗号鍵202の漏洩防止について説明する。
【0070】
図13は、実施の形態5のシステム構成図である。
【0071】
図13において、携帯端末装置301は基地局装置303およびコアネットワーク304を介して他の携帯端末装置301と通信すると共に、GPS衛星305から発信されるGPS信号306を受信する端末である。
暗号鍵202は携帯端末装置301間の通信内容を暗号化するための鍵である。
基地局装置303は携帯端末装置301と無線通信を行ってコアネットワーク304へ接続するアクセスポイントである。
コアネットワーク304は基地局装置303を介して携帯端末装置301間の通信路として用いられるバックボーンネットワークである。
GPS衛星305はGPS信号306を送信するGPSシステムの人工衛星である。
GPS信号306はGPS衛星305によって送信される時刻情報と軌道情報を含む信号である。
GPS衛星305は測位衛星の例であり、また、GPS信号306は位置情報の例である。
【0072】
暗号鍵202は、実施の形態2における暗号鍵202(図6)と同一である。
【0073】
次に、図14に基づき、実施の形態5における携帯端末装置301の機能について説明する。
図14は実施の形態5における携帯端末装置301の内部ブロック図である。
【0074】
図14において、暗号鍵保護部601は不揮発性メモリ604および揮発性メモリ605を用いて暗号鍵202を保管し、移動距離算出部609とGPS信号受信部610から携帯端末装置301の紛失・盗難の可能性を検出すると、暗号鍵更新部606を用いて暗号鍵202を更新し、携帯端末装置301の紛失・盗難の可能性が高い場合、ユーザ認証部603を用いてユーザ認証を行い、携帯端末装置301の紛失・盗難があったと見なした場合は暗号鍵202を消去する。
電源スイッチ602は携帯端末装置301の起動・終了時に押されるスイッチである。
ユーザ認証部603はパスワード・指紋・光彩等を用いてユーザの認証を行う。
不揮発性メモリ604は携帯端末装置301が電源投入中であるか否かにかかわらずデータを保持可能なメモリである。
揮発性メモリ605は携帯端末装置301の電源投入中のみデータを保持可能なメモリである。
暗号鍵更新部606は暗号鍵202を入力とし、ハッシュ関数等の一方向性演算を行うことによって次世代の暗号鍵202を生成する。
基地局電波受信部607は基地局装置303からの電波を受信し、現在圏内にいるエリアの情報等を取得する。
移動距離算出部609はGPS信号受信部610で計算した現在位置を用いて携帯端末装置301の移動距離を記録する。
GPS信号受信部610はGPS衛星305から送信されたGPS信号306を受信して受信地点の正確な三次元位置を計算する。
GPS信号受信部610は位置情報受信部の例である。
【0075】
次に動作について説明する。
携帯端末装置301の電源を入れた場合の動作については、実施の形態1における携帯端末装置101の動作と同一である。
【0076】
次に、携帯端末装置301の電源投入中の動作について説明する。
図15は、実施の形態5における携帯端末装置301の電源投入中の動作を示すフローチャートである。
【0077】
電源投入中、暗号鍵202は携帯端末装置301の揮発性メモリ605上に保管されている。
暗号鍵保護部501はGPS信号受信部610により携帯端末装置301の現在位置情報を取得し、移動距離算出部609を用いて電源投入後の移動距離d(電源を投入した位置を起点位置とする移動距離d)を計測する(S601)。
移動距離dが所定の値d1(第1の閾値)を超えるまでの間、即ちd≦d1の間は移動距離dの計測を続ける(S602)。
移動距離dが所定の値d1を超えた場合、即ちd>d1となった場合は、暗号鍵保護部601は暗号鍵更新部606を用いて揮発性メモリ605上の暗号鍵202を更新(新たな暗号鍵202を生成)し、更新前の暗号鍵202を揮発性メモリ605から消去する(S603)。
その後、暗号鍵保護部501はGPS信号受信部610により携帯端末装置301の現在位置情報を取得し、移動距離算出部609を用いて電源投入後の移動距離dの計測を継続する(S604)。
移動距離dが所定の値d2(但し、d1<d2)(第2の閾値)を超えるまでの間、即ちd≦d2の間は移動距離dの計測を続ける(S605)。
移動距離dが所定の値d2を超えた場合、即ちd>d2となった場合、暗号鍵保護部601はユーザ認証部603を用いてユーザの認証を行う(S606)。
ユーザによるパスワード、指紋、光彩等の認証情報が入力されると、ユーザ認証結果の判定が行われ(S607)、成功の場合は、電源投入後の移動距離dをリセット(d=0)し、フローチャートの先頭に戻る(S608)。
失敗の場合は、暗号鍵202を揮発性メモリ605から消去する(S609)。
なお、所定の値d1、d2は、暗号鍵202の属性223に設定されていた場合はその値を使用し、そうでない場合は暗号鍵保護部601で規定された値を使用する。
【0078】
また、携帯端末装置301の電源を切る場合の動作については、実施の形態1における携帯端末装置101の動作と同一である。
【0079】
以上のように、電源投入後の移動距離dがd1を超えた時点で携帯端末装置301が紛失・盗難にあった可能性があると見なして、携帯端末装置301の暗号鍵202を更新して以前の鍵を消去するようにしているので、携帯端末装置301の紛失・盗難発生時、電源を投入したままの状態で携帯端末装置301を分解して暗号鍵202を取り出そうとする試みを防止することができる。
さらに、電源投入後の移動距離dがd2を超える度にユーザ認証を行い、認証に失敗した場合に携帯端末装置301が紛失・盗難にあったと見なして暗号鍵202を消去するようにしているので、携帯端末装置301の紛失・盗難発生時、不正に携帯端末装置301およびその暗号鍵202を利用しようとする試みを防止することができる。
また、これらの効果に加えて、実施の形態1で示した効果が得られることは言うまでもない。
【0080】
なお、図15のフローにおいて、暗号鍵202を用いた暗号通信中に、携帯端末装置301の移動距離dがd1を超える(S602でYES)ことも考えられる。
この場合には、携帯端末装置301が暗号鍵202を消去しても暗号通信を継続できるような構成であれば、暗号鍵保護部601は、S603において更新前の暗号鍵を消去する。
一方、暗号鍵202を消去すると暗号通信を継続できないような構成であれば、暗号鍵保護部601は暗号通信が完了した後に更新前の暗号鍵を消去する。
【0081】
また、図15では、d>d2となった場合に(S605でYES)、暗号鍵保護部501がユーザ認証部503を用いてユーザの認証を行い(S606)、ユーザ認証に失敗したら、暗号鍵202を消去するようにしている(S609)が、用途によってはd>d2となった時点でユーザ認証を行わずに即座に暗号鍵202を消去するようにしてもよい。
【0082】
以上、本実施の形態では、
コアネットワークおよびコアネットワークに接続された各基地局装置を介して他の端末と通信可能であり、またGPS衛星からのGPS信号を受信可能な携帯端末装置において、受信したGPS信号から移動距離算出部を用いて電源投入後の移動距離dを計算し、dが所定の上限値d1を超えた時には暗号鍵更新部を用いて揮発性メモリ上の暗号鍵を更新して更新前の暗号鍵を消去し、dが所定の距離d2(但しd1<d2)を超えた時にはユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去する暗号鍵保護部を備える携帯端末装置を説明した。
【0083】
また、本実施の形態では、
複数の基地局装置と複数の携帯端末装置と複数のGPS衛星とを備える通信システムにおいて、上記携帯端末装置は、電源投入時には暗号鍵を不揮発性メモリから揮発性メモリへ移動した後、ユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去し、受信したGPS信号から移動距離算出部を用いて電源投入後の移動距離dを計算し、dが所定の上限値d1を超えた時には暗号鍵更新部を用いて揮発性メモリ上の暗号鍵を更新して更新前の暗号鍵を消去し、dが所定の距離d2(但しd1<d2)を超えた時にはユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去し、電源断時にはユーザ認証部を用いてユーザ認証を行い、認証に成功した場合は暗号鍵を揮発性メモリから不揮発性メモリへ移動し、認証に失敗した場合は暗号鍵を揮発性メモリから消去する暗号鍵保護部を備える通信システムを説明した。
【0084】
実施の形態6.
実施の形態6では、携帯端末装置301においてGPS衛星305からのGPS信号306を用いて現在位置を測定して移動速度を計算し、一定の速度以上の移動を検出した場合、携帯端末装置301が紛失・盗難にあった可能性があると見なして暗号鍵202の更新または消去を行うことによる暗号鍵202の漏洩防止について説明する。
【0085】
実施の形態6のシステム構成図は、実施の形態5のシステム構成図(図13)と同一である。
【0086】
暗号鍵202は、実施の形態2における暗号鍵202(図6)と同一である。
【0087】
次に、図16に基づき、実施の形態6における携帯端末装置301の機能について説明する。
図16は実施の形態6における携帯端末装置301の内部ブロック図である。
【0088】
図16において、暗号鍵保護部601は不揮発性メモリ604および揮発性メモリ605を用いて暗号鍵202を保管し、時計608と移動距離算出部609とGPS信号受信部610から携帯端末装置301の紛失・盗難の可能性を検出すると、暗号鍵更新部606を用いて暗号鍵202を更新し、携帯端末装置301の紛失・盗難の可能性が高い場合、ユーザ認証部603を用いてユーザ認証を行い、携帯端末装置301の紛失・盗難があったと見なした場合は暗号鍵202を消去する。
電源スイッチ602は携帯端末装置301の起動・終了時に押されるスイッチである。
ユーザ認証部603はパスワード・指紋・光彩等を用いてユーザの認証を行う。
不揮発性メモリ604は携帯端末装置301が電源投入中であるか否かにかかわらずデータを保持可能なメモリである。
揮発性メモリ605は携帯端末装置301の電源投入中のみデータを保持可能なメモリである。
暗号鍵更新部606は暗号鍵202を入力とし、ハッシュ関数等の一方向性演算を行うことによって次世代の暗号鍵202を生成する。
基地局電波受信部607は基地局装置303からの電波を受信し、現在圏内にいるエリアの情報等を取得する。
時計608は現在日時を保持し、GPS信号受信部610で受信したGPS信号306に含まれる時刻情報を用いて値の補正を行う。
移動距離算出部609はGPS信号受信部610で計算した現在位置を用いて携帯端末装置301の移動距離を記録する。
移動距離算出部609は、移動速度算出部の例でもある。
GPS信号受信部610はGPS衛星305から送信されたGPS信号306を受信して受信地点の正確な三次元位置を計算する。
GPS信号受信部610は、位置情報受信部の例である。
【0089】
次に動作について説明する。
携帯端末装置301の電源を入れた場合の動作については、実施の形態1における携帯端末装置101の動作と同一である。
【0090】
次に、携帯端末装置301の電源投入中の動作について説明する。
図17は、実施の形態6における携帯端末装置301の電源投入中の動作を示すフローチャートである。
【0091】
電源投入中、暗号鍵202は携帯端末装置301の揮発性メモリ605上に保管されている。
暗号鍵保護部501はGPS信号受信部610により携帯端末装置301の現在位置情報を取得し、時計608と移動距離算出部609を用いて移動速度(単位時間毎の移動距離)sを計測する(S701)。
移動速度sが所定の値s1(第1の閾値)を超えていない場合、即ちs≦s1の場合はフローチャートの先頭に戻る(S702)。
移動速度sが所定の値s1を超えていた場合、即ちs>s1の場合は、暗号鍵保護部601は暗号鍵更新部606を用いて揮発性メモリ605上の暗号鍵202を更新(新たな暗号鍵202を生成)し、更新前の暗号鍵202を揮発性メモリ605から消去する(S703)。
移動速度sが所定の値s2(但し、s1<s2)(第2の閾値)を超えていない場合、即ちs≦s2の場合はフローチャートの先頭に戻る(S704)。
移動速度sが所定の値s2を超えていた場合、即ちs>s2の場合、暗号鍵保護部601はユーザ認証部603を用いてユーザの認証を行う(S705)。
ユーザによるパスワード、指紋、光彩等の認証情報が入力されると、ユーザ認証結果の判定が行われ(S706)、成功の場合は、フローチャートの先頭に戻る。
失敗の場合は、暗号鍵202を揮発性メモリ605から消去する(S707)。
なお、所定の値s1、s2は、暗号鍵202の属性223に設定されていた場合はその値を使用し、そうでない場合は暗号鍵保護部601で規定された値を使用する。
【0092】
また、携帯端末装置301の電源を切る場合の動作については、実施の形態1における携帯端末装置101の動作と同一である。
【0093】
以上のように、移動速度sがs1を超えた時点で携帯端末装置301が紛失・盗難にあった可能性があると見なして、携帯端末装置301の暗号鍵202を更新して以前の鍵を消去するようにしているので、携帯端末装置301の紛失・盗難発生時、電源を投入したままの状態で携帯端末装置301を分解して暗号鍵202を取り出そうとする試みを防止することができる。
また、移動速度sがs2を超えていた場合は、暗号鍵202の更新に加えてユーザ認証を行い、認証に失敗した場合に携帯端末装置301が紛失・盗難にあったと見なして暗号鍵202を消去するようにしているので、携帯端末装置301の紛失・盗難発生時、不正に携帯端末装置301および更新された暗号鍵202を利用しようとする試みを防止することができる。
また、これらの効果に加えて、実施の形態1で示した効果が得られることは言うまでもない。
【0094】
なお、図17のフローにおいて、暗号鍵202を用いた暗号通信中に、携帯端末装置301の移動速度sがs1を超える(S702でYES)ことも考えられる。
この場合には、携帯端末装置301が暗号鍵202を消去しても暗号通信を継続できるような構成であれば、暗号鍵保護部601は、S703において更新前の暗号鍵を消去する。
一方、暗号鍵202を消去すると暗号通信を継続できないような構成であれば、暗号鍵保護部601は暗号通信が完了した後に更新前の暗号鍵を消去する。
【0095】
また、図17では、s>s2となった場合に(S704でYES)、暗号鍵保護部501がユーザ認証部503を用いてユーザの認証を行い(S705)、ユーザ認証に失敗したら、暗号鍵202を消去するようにしている(S707)が、s>s2となった時点でユーザ認証を行わずに即座に暗号鍵202を消去するようにしてもよい。
【0096】
以上、本実施の形態では、
コアネットワークおよびコアネットワークに接続された各基地局装置を介して他の端末と通信可能であり、またGPS衛星からのGPS信号を受信可能な携帯端末装置において、受信したGPS信号から時計と移動距離算出部を用いて移動速度(単位時間毎の移動距離)sを計算し、sが所定の上限値s1を超えた時には暗号鍵更新部を用いて揮発性メモリ上の暗号鍵を更新して更新前の暗号鍵を消去し、sが所定の距離s2(但しs1<s2)を超えた時にはユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去する暗号鍵保護部を備える携帯端末装置を説明した。
【0097】
また、本実施の形態では、
複数の基地局装置と複数の携帯端末装置と複数のGPS衛星とを備える通信システムにおいて、上記携帯端末装置は、電源投入時には暗号鍵を不揮発性メモリから揮発性メモリへ移動した後、ユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去し、受信したGPS信号から時計と移動距離算出部を用いて移動速度(単位時間毎の移動距離)sを計算し、sが所定の上限値s1を超えた時には暗号鍵更新部を用いて揮発性メモリ上の暗号鍵を更新して更新前の暗号鍵を消去し、sが所定の距離s2(但しs1<s2)を超えた時にはユーザ認証部を用いてユーザ認証を行い、認証に失敗した場合は暗号鍵を揮発性メモリから消去し、電源断時にはユーザ認証部を用いてユーザ認証を行い、認証に成功した場合は暗号鍵を揮発性メモリから不揮発性メモリへ移動し、認証に失敗した場合は暗号鍵を揮発性メモリから消去する暗号鍵保護部を備える通信システムを説明した。
【0098】
なお、実施の形態1〜6では、携帯端末装置を情報処理装置の例として説明しているが、情報処理装置の例としては、警察官が所持する小型無線機(トランシーバ)や鉄道車両に設置された非常用無線機などの「無線通信機器」も含まれ、これら「無線通信機器」にも本願発明は適用可能である。
【0099】
最後に、実施の形態1〜6に示した携帯端末装置101、201、301のハードウェア構成例について説明する。
図19は、実施の形態1〜6に示す携帯端末装置101、201、301のハードウェア資源の一例を示す図である。
なお、図19の構成は、あくまでも携帯端末装置101、201、301のハードウェア構成の一例を示すものであり、携帯端末装置101、201、301のハードウェア構成は図19に記載の構成に限らず、他の構成であってもよい。
【0100】
図19において、携帯端末装置101、201、301は、プログラムを実行するCPU911(Central Processing Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。
CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、表示装置901、キーボード902、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。
更に、CPU911は、マウス903、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)と接続していてもよい。
また、磁気ディスク装置920の代わりに、SSD(Solid State Drive)、光ディスク装置、メモリカード(登録商標)読み書き装置などの記憶装置でもよい。
実施の形態1〜6で説明した「不揮発性メモリ404」は磁気ディスク装置920、SSD等により、「揮発性メモリ405」はRAM914により実現される。
通信ボード915、キーボード902、マウス903、FDD904などは、入力装置の一例である。
また、通信ボード915、表示装置901などは、出力装置の一例である。
【0101】
通信ボード915は、図1に示すように、ネットワークに接続されている。
例えば、通信ボード915は、無線通信網を介して、LAN(ローカルエリアネットワーク)、インターネット、WAN(ワイドエリアネットワーク)、SAN(ストレージエリアネットワーク)などに接続されていてもよい。
【0102】
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。
プログラム群923のプログラムは、CPU911がオペレーティングシステム921、ウィンドウシステム922を利用しながら実行する。
【0103】
また、RAM914には、CPU911に実行させるオペレーティングシステム921のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。
また、RAM914には、CPU911による処理に必要な各種データが格納される。
【0104】
また、ROM913には、BIOS(Basic Input Output System)プログラムが格納され、磁気ディスク装置920にはブートプログラムが格納されている。
携帯端末装置101、201、301の起動時には、ROM913のBIOSプログラム及び磁気ディスク装置920のブートプログラムが実行され、BIOSプログラム及びブートプログラムによりオペレーティングシステム921が起動される。
【0105】
上記プログラム群923には、実施の形態1〜6の説明において「〜部」として説明している機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
【0106】
ファイル群924には、実施の形態1〜6の説明において、「〜の判断」、「〜の計算」、「〜の認証」、「〜の比較」、「〜の生成」、「〜の更新」、「〜の設定」、「〜の登録」、「〜の選択」等として説明している処理の結果を示す情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。
「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。
ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出される。
そして、読み出された情報やデータや信号値や変数値やパラメータは、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。
抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、実施の形態1〜6で説明しているフローチャートの矢印の部分は主としてデータや信号の入出力を示す。
データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。
また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
【0107】
また、実施の形態1〜6の説明において「〜部」として説明しているものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。
すなわち、実施の形態1〜6で説明したフローチャートに示すステップ、手順、処理により、本発明に係る暗号鍵管理方法を実現することができる。
また、「〜部」として説明しているものは、ROM913に記憶されたファームウェアで実現されていても構わない。
或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。
ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。
プログラムはCPU911により読み出され、CPU911により実行される。
すなわち、プログラムは、実施の形態1〜6の「〜部」としてコンピュータを機能させるものである。あるいは、実施の形態1〜6の「〜部」の手順や方法をコンピュータに実行させるものである。
【0108】
このように、実施の形態1〜6に示す携帯端末装置101、201、301は、処理装置たるCPU、記憶装置たるメモリ、磁気ディスク等、入力装置たるキーボード、マウス、通信ボード等、出力装置たる表示装置、通信ボード等を備えるコンピュータである。
そして、上記したように「〜部」として示された機能をこれら処理装置、記憶装置、入力装置、出力装置を用いて実現するものである。
【符号の説明】
【0109】
101 携帯端末装置、102 暗号鍵、103 ネットワーク、201 携帯端末装置、202 暗号鍵、203 基地局装置、204 ネットワーク、301 携帯端末装置、303 基地局装置、304 ネットワーク、305 GPS衛星、306 GPS信号、401 暗号鍵保護部、402 電源スイッチ、403 ユーザ認証部、404 不揮発性メモリ、405 揮発性メモリ、501 暗号鍵保護部、502 電源スイッチ、503 ユーザ認証部、504 不揮発性メモリ、505 揮発性メモリ、506 暗号鍵更新部、507 基地局電波受信部、508 時計、509 移動距離算出部、601 暗号鍵保護部、602 電源スイッチ、603 ユーザ認証部、604 不揮発性メモリ、605 揮発性メモリ、606 暗号鍵更新部、607 基地局電波受信部、608 時計、609 移動距離算出部、610 GPS信号受信部。
【特許請求の範囲】
【請求項1】
暗号鍵を用いる情報処理装置であって、
前記情報処理装置の電源投入前に前記暗号鍵を保管しておく不揮発性メモリと、
揮発性メモリと、
前記情報処理装置の電源投入時にユーザ認証を行うユーザ認証部と、
前記情報処理装置の電源投入時に前記ユーザ認証部によるユーザ認証に先立ち前記暗号鍵を前記不揮発性メモリから前記揮発性メモリに移動し、前記ユーザ認証部によるユーザ認証が失敗した場合に前記揮発性メモリから前記暗号鍵を消去する暗号鍵保護部とを有することを特徴とする情報処理装置。
【請求項2】
暗号鍵を用いる情報処理装置であって、
前記情報処理装置の電源投入前に前記暗号鍵を保管しておく不揮発性メモリと、
揮発性メモリと、
前記情報処理装置の電源投入時にユーザ認証を行うユーザ認証部と、
前記ユーザ認証部によるユーザ認証が成功した場合に前記暗号鍵を前記不揮発性メモリから前記揮発性メモリに移動し、前記ユーザ認証部によるユーザ認証が失敗した場合に前記不揮発性メモリから前記暗号鍵を消去する暗号鍵保護部とを有することを特徴とする情報処理装置。
【請求項3】
前記ユーザ認証部は、
前記情報処理装置の電源断時にユーザ認証を行い、
前記暗号鍵保護部は、
前記ユーザ認証部によるユーザ認証が成功した場合に前記暗号鍵を前記揮発性メモリから前記不揮発性メモリに移動し、前記ユーザ認証部によるユーザ認証が失敗した場合に前記揮発性メモリから前記暗号鍵を消去することを特徴とする請求項1又は2に記載の情報処理装置。
【請求項4】
前記情報処理装置は、更に、
無線通信に用いられる複数の基地局装置のうちのいずれかからの電波を受信する基地局電波受信部と、
前記暗号鍵以外の新たな暗号鍵を生成する暗号鍵更新部とを有し、
前記暗号鍵保護部は、
前記基地局電波受信部がいずれの基地局装置からの電波も受信していない時間が所定の第1の閾値を超えた場合に、前記暗号鍵更新部に新たな暗号鍵を生成させるとともに、前記暗号鍵を前記揮発性メモリから消去し、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリに保管させることを特徴とする請求項1〜3のいずれかに記載の情報処理装置。
【請求項5】
前記暗号鍵保護部は、
前記基地局電波受信部がいずれの基地局装置からの電波も受信していない時間が所定の第2の閾値(第1の閾値<第2の閾値)を超えた場合に、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリから消去することを特徴とする請求項4に記載の情報処理装置。
【請求項6】
前記暗号鍵保護部は、
前記基地局電波受信部がいずれの基地局装置からの電波も受信していない時間が前記第2の閾値を超えた場合に、前記ユーザ認証部にユーザ認証を行わせ、前記ユーザ認証部によるユーザ認証が失敗した場合に、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリから消去することを特徴とする請求項5に記載の情報処理装置。
【請求項7】
前記情報処理装置は、更に、
無線通信に用いられる複数の基地局装置のうちのいずれかからの電波を受信する基地局電波受信部と、
前記暗号鍵以外の新たな暗号鍵を生成する暗号鍵更新部とを有し、
前記暗号鍵保護部は、
前記情報処理装置の移動により前記基地局電波受信部が電波を受信している基地局装置が変化した場合に、前記暗号鍵更新部に新たな暗号鍵を生成させるとともに、前記暗号鍵を前記揮発性メモリから消去し、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリに保管させることを特徴とする請求項1〜6のいずれかに記載の情報処理装置。
【請求項8】
前記情報処理装置は、更に、
前記情報処理装置の移動距離を算出する移動距離算出部を有し、
前記暗号鍵保護部は、
前記情報処理装置の移動により前記基地局電波受信部が電波を受信している基地局装置が変化した場合に、前記基地局電波受信部が電波を受信している基地局装置が変化してからの移動距離を前記移動距離算出部に算出させ、算出された移動距離が所定の閾値を超えている場合に、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリから消去することを特徴とする請求項7に記載の情報処理装置。
【請求項9】
前記暗号鍵保護部は、
前記移動距離算出部により算出された移動距離が前記閾値を超えている場合に、前記ユーザ認証部にユーザ認証を行わせ、前記ユーザ認証部によるユーザ認証が失敗した場合に、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリから消去することを特徴とする請求項8に記載の情報処理装置。
【請求項10】
前記移動距離算出部は、
前記基地局電波受信部が受信した電波に基づき、前記基地局電波受信部が受信した電波の送信元の基地局装置の所在位置を判断して、前記情報処理装置の移動距離を算出することを特徴とする請求項8又は9に記載の情報処理装置。
【請求項11】
前記情報処理装置は、更に、
前記情報処理装置の移動速度を算出する移動速度算出部を有し、
前記暗号鍵保護部は、
前記情報処理装置の移動により前記基地局電波受信部が電波を受信している基地局装置が変化した場合に、前記基地局電波受信部が電波を受信している基地局装置が変化してからの前記情報処理装置の移動速度を前記移動速度算出部に算出させ、算出された移動速度が所定の閾値を超えている場合に、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリから消去することを特徴とする請求項7〜10のいずれかに記載の情報処理装置。
【請求項12】
前記暗号鍵保護部は、
前記移動速度算出部により算出された移動速度が前記閾値を超えている場合に、前記ユーザ認証部にユーザ認証を行わせ、前記ユーザ認証部によるユーザ認証が失敗した場合に、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリから消去することを特徴とする請求項11に記載の情報処理装置。
【請求項13】
前記移動距離算出部は、
前記基地局電波受信部が受信した電波に基づき、前記基地局電波受信部が受信した電波の送信元の基地局装置の所在位置を判断して、前記基地局電波受信部が電波を受信している基地局装置が変化してからの前記情報処理装置の移動距離を算出し、算出した移動距離と、前記基地局電波受信部が電波を受信している基地局装置が変化してからの時間とを用いて、前記情報処理装置の移動速度を算出することを特徴とする請求項11又は12に記載の情報処理装置。
【請求項14】
前記情報処理装置は、更に、
所定の測位衛星から、前記情報処理装置の所在位置を導出可能な位置情報を受信し、受信した位置情報に基づき、前記情報処理装置の所在位置を導出する位置情報受信部と、
前記位置情報受信部により導出された所在位置に基づき、所定の起点位置からの前記情報処理装置の移動距離を算出する前記移動距離算出部と、
前記暗号鍵以外の新たな暗号鍵を生成する暗号鍵更新部とを有し、
前記暗号鍵保護部は、
前記移動距離算出部により算出された移動距離が所定の第1の閾値を超えた場合に、前記暗号鍵更新部に新たな暗号鍵を生成させるとともに、前記暗号鍵を前記揮発性メモリから消去し、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリに保管させることを特徴とする請求項1〜13のいずれかに記載の情報処理装置。
【請求項15】
前記暗号鍵保護部は、
前記移動距離算出部により算出された移動距離が所定の第2の閾値(第1の閾値<第2の閾値)を超えた場合に、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリから消去することを特徴とする請求項14に記載の情報処理装置。
【請求項16】
前記暗号鍵保護部は、
前記移動距離算出部により算出された移動距離が前記第2の閾値を超えた場合に、前記ユーザ認証部にユーザ認証を行わせ、前記ユーザ認証部によるユーザ認証が失敗した場合に、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリから消去することを特徴とする請求項15に記載の情報処理装置。
【請求項17】
前記情報処理装置は、更に、
所定の測位衛星から、前記情報処理装置の所在位置を導出可能な位置情報を受信し、受信した位置情報に基づき、前記情報処理装置の所在位置を導出する位置情報受信部と、
前記位置情報受信部により導出された所在位置に基づき、前記情報処理装置の移動速度を算出する前記移動速度算出部と、
前記暗号鍵以外の新たな暗号鍵を生成する暗号鍵更新部とを有し、
前記暗号鍵保護部は、
前記移動速度算出部により算出された移動速度が所定の第1の閾値を超えた場合に、前記暗号鍵更新部に新たな暗号鍵を生成させるとともに、前記暗号鍵を前記揮発性メモリから消去し、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリに保管させることを特徴とする請求項1〜16のいずれかに記載の情報処理装置。
【請求項18】
前記暗号鍵保護部は、
前記移動速度算出部により算出された移動速度が所定の第2の閾値(第1の閾値<第2の閾値)を超えた場合に、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリから消去することを特徴とする請求項17に記載の情報処理装置。
【請求項19】
前記暗号鍵保護部は、
前記移動速度算出部により算出された移動速度が前記第2の閾値を超えた場合に、前記ユーザ認証部にユーザ認証を行わせ、前記ユーザ認証部によるユーザ認証が失敗した場合に、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリから消去することを特徴とする請求項18に記載の情報処理装置。
【請求項20】
電源投入前に暗号鍵を保管しておく不揮発性メモリと、
揮発性メモリとを有するコンピュータが行う暗号鍵管理方法であって、
前記コンピュータが、前記コンピュータの電源投入時にユーザ認証を行うユーザ認証ステップと、
前記コンピュータが、前記コンピュータの電源投入時にユーザ認証に先立ち前記暗号鍵を前記不揮発性メモリから前記揮発性メモリに移動し、ユーザ認証が失敗した場合に前記揮発性メモリから前記暗号鍵を消去する暗号鍵保護ステップとを有することを特徴とする暗号鍵管理方法。
【請求項21】
電源投入前に暗号鍵を保管しておく不揮発性メモリと、
揮発性メモリとを有するコンピュータに、
前記コンピュータの電源投入時にユーザ認証を行うユーザ認証処理と、
前記コンピュータの電源投入時にユーザ認証に先立ち前記暗号鍵を前記不揮発性メモリから前記揮発性メモリに移動し、ユーザ認証が失敗した場合に前記揮発性メモリから前記暗号鍵を消去する暗号鍵保護処理とを実行させることを特徴とするプログラム。
【請求項1】
暗号鍵を用いる情報処理装置であって、
前記情報処理装置の電源投入前に前記暗号鍵を保管しておく不揮発性メモリと、
揮発性メモリと、
前記情報処理装置の電源投入時にユーザ認証を行うユーザ認証部と、
前記情報処理装置の電源投入時に前記ユーザ認証部によるユーザ認証に先立ち前記暗号鍵を前記不揮発性メモリから前記揮発性メモリに移動し、前記ユーザ認証部によるユーザ認証が失敗した場合に前記揮発性メモリから前記暗号鍵を消去する暗号鍵保護部とを有することを特徴とする情報処理装置。
【請求項2】
暗号鍵を用いる情報処理装置であって、
前記情報処理装置の電源投入前に前記暗号鍵を保管しておく不揮発性メモリと、
揮発性メモリと、
前記情報処理装置の電源投入時にユーザ認証を行うユーザ認証部と、
前記ユーザ認証部によるユーザ認証が成功した場合に前記暗号鍵を前記不揮発性メモリから前記揮発性メモリに移動し、前記ユーザ認証部によるユーザ認証が失敗した場合に前記不揮発性メモリから前記暗号鍵を消去する暗号鍵保護部とを有することを特徴とする情報処理装置。
【請求項3】
前記ユーザ認証部は、
前記情報処理装置の電源断時にユーザ認証を行い、
前記暗号鍵保護部は、
前記ユーザ認証部によるユーザ認証が成功した場合に前記暗号鍵を前記揮発性メモリから前記不揮発性メモリに移動し、前記ユーザ認証部によるユーザ認証が失敗した場合に前記揮発性メモリから前記暗号鍵を消去することを特徴とする請求項1又は2に記載の情報処理装置。
【請求項4】
前記情報処理装置は、更に、
無線通信に用いられる複数の基地局装置のうちのいずれかからの電波を受信する基地局電波受信部と、
前記暗号鍵以外の新たな暗号鍵を生成する暗号鍵更新部とを有し、
前記暗号鍵保護部は、
前記基地局電波受信部がいずれの基地局装置からの電波も受信していない時間が所定の第1の閾値を超えた場合に、前記暗号鍵更新部に新たな暗号鍵を生成させるとともに、前記暗号鍵を前記揮発性メモリから消去し、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリに保管させることを特徴とする請求項1〜3のいずれかに記載の情報処理装置。
【請求項5】
前記暗号鍵保護部は、
前記基地局電波受信部がいずれの基地局装置からの電波も受信していない時間が所定の第2の閾値(第1の閾値<第2の閾値)を超えた場合に、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリから消去することを特徴とする請求項4に記載の情報処理装置。
【請求項6】
前記暗号鍵保護部は、
前記基地局電波受信部がいずれの基地局装置からの電波も受信していない時間が前記第2の閾値を超えた場合に、前記ユーザ認証部にユーザ認証を行わせ、前記ユーザ認証部によるユーザ認証が失敗した場合に、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリから消去することを特徴とする請求項5に記載の情報処理装置。
【請求項7】
前記情報処理装置は、更に、
無線通信に用いられる複数の基地局装置のうちのいずれかからの電波を受信する基地局電波受信部と、
前記暗号鍵以外の新たな暗号鍵を生成する暗号鍵更新部とを有し、
前記暗号鍵保護部は、
前記情報処理装置の移動により前記基地局電波受信部が電波を受信している基地局装置が変化した場合に、前記暗号鍵更新部に新たな暗号鍵を生成させるとともに、前記暗号鍵を前記揮発性メモリから消去し、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリに保管させることを特徴とする請求項1〜6のいずれかに記載の情報処理装置。
【請求項8】
前記情報処理装置は、更に、
前記情報処理装置の移動距離を算出する移動距離算出部を有し、
前記暗号鍵保護部は、
前記情報処理装置の移動により前記基地局電波受信部が電波を受信している基地局装置が変化した場合に、前記基地局電波受信部が電波を受信している基地局装置が変化してからの移動距離を前記移動距離算出部に算出させ、算出された移動距離が所定の閾値を超えている場合に、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリから消去することを特徴とする請求項7に記載の情報処理装置。
【請求項9】
前記暗号鍵保護部は、
前記移動距離算出部により算出された移動距離が前記閾値を超えている場合に、前記ユーザ認証部にユーザ認証を行わせ、前記ユーザ認証部によるユーザ認証が失敗した場合に、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリから消去することを特徴とする請求項8に記載の情報処理装置。
【請求項10】
前記移動距離算出部は、
前記基地局電波受信部が受信した電波に基づき、前記基地局電波受信部が受信した電波の送信元の基地局装置の所在位置を判断して、前記情報処理装置の移動距離を算出することを特徴とする請求項8又は9に記載の情報処理装置。
【請求項11】
前記情報処理装置は、更に、
前記情報処理装置の移動速度を算出する移動速度算出部を有し、
前記暗号鍵保護部は、
前記情報処理装置の移動により前記基地局電波受信部が電波を受信している基地局装置が変化した場合に、前記基地局電波受信部が電波を受信している基地局装置が変化してからの前記情報処理装置の移動速度を前記移動速度算出部に算出させ、算出された移動速度が所定の閾値を超えている場合に、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリから消去することを特徴とする請求項7〜10のいずれかに記載の情報処理装置。
【請求項12】
前記暗号鍵保護部は、
前記移動速度算出部により算出された移動速度が前記閾値を超えている場合に、前記ユーザ認証部にユーザ認証を行わせ、前記ユーザ認証部によるユーザ認証が失敗した場合に、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリから消去することを特徴とする請求項11に記載の情報処理装置。
【請求項13】
前記移動距離算出部は、
前記基地局電波受信部が受信した電波に基づき、前記基地局電波受信部が受信した電波の送信元の基地局装置の所在位置を判断して、前記基地局電波受信部が電波を受信している基地局装置が変化してからの前記情報処理装置の移動距離を算出し、算出した移動距離と、前記基地局電波受信部が電波を受信している基地局装置が変化してからの時間とを用いて、前記情報処理装置の移動速度を算出することを特徴とする請求項11又は12に記載の情報処理装置。
【請求項14】
前記情報処理装置は、更に、
所定の測位衛星から、前記情報処理装置の所在位置を導出可能な位置情報を受信し、受信した位置情報に基づき、前記情報処理装置の所在位置を導出する位置情報受信部と、
前記位置情報受信部により導出された所在位置に基づき、所定の起点位置からの前記情報処理装置の移動距離を算出する前記移動距離算出部と、
前記暗号鍵以外の新たな暗号鍵を生成する暗号鍵更新部とを有し、
前記暗号鍵保護部は、
前記移動距離算出部により算出された移動距離が所定の第1の閾値を超えた場合に、前記暗号鍵更新部に新たな暗号鍵を生成させるとともに、前記暗号鍵を前記揮発性メモリから消去し、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリに保管させることを特徴とする請求項1〜13のいずれかに記載の情報処理装置。
【請求項15】
前記暗号鍵保護部は、
前記移動距離算出部により算出された移動距離が所定の第2の閾値(第1の閾値<第2の閾値)を超えた場合に、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリから消去することを特徴とする請求項14に記載の情報処理装置。
【請求項16】
前記暗号鍵保護部は、
前記移動距離算出部により算出された移動距離が前記第2の閾値を超えた場合に、前記ユーザ認証部にユーザ認証を行わせ、前記ユーザ認証部によるユーザ認証が失敗した場合に、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリから消去することを特徴とする請求項15に記載の情報処理装置。
【請求項17】
前記情報処理装置は、更に、
所定の測位衛星から、前記情報処理装置の所在位置を導出可能な位置情報を受信し、受信した位置情報に基づき、前記情報処理装置の所在位置を導出する位置情報受信部と、
前記位置情報受信部により導出された所在位置に基づき、前記情報処理装置の移動速度を算出する前記移動速度算出部と、
前記暗号鍵以外の新たな暗号鍵を生成する暗号鍵更新部とを有し、
前記暗号鍵保護部は、
前記移動速度算出部により算出された移動速度が所定の第1の閾値を超えた場合に、前記暗号鍵更新部に新たな暗号鍵を生成させるとともに、前記暗号鍵を前記揮発性メモリから消去し、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリに保管させることを特徴とする請求項1〜16のいずれかに記載の情報処理装置。
【請求項18】
前記暗号鍵保護部は、
前記移動速度算出部により算出された移動速度が所定の第2の閾値(第1の閾値<第2の閾値)を超えた場合に、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリから消去することを特徴とする請求項17に記載の情報処理装置。
【請求項19】
前記暗号鍵保護部は、
前記移動速度算出部により算出された移動速度が前記第2の閾値を超えた場合に、前記ユーザ認証部にユーザ認証を行わせ、前記ユーザ認証部によるユーザ認証が失敗した場合に、前記暗号鍵更新部により生成された新たな暗号鍵を前記揮発性メモリから消去することを特徴とする請求項18に記載の情報処理装置。
【請求項20】
電源投入前に暗号鍵を保管しておく不揮発性メモリと、
揮発性メモリとを有するコンピュータが行う暗号鍵管理方法であって、
前記コンピュータが、前記コンピュータの電源投入時にユーザ認証を行うユーザ認証ステップと、
前記コンピュータが、前記コンピュータの電源投入時にユーザ認証に先立ち前記暗号鍵を前記不揮発性メモリから前記揮発性メモリに移動し、ユーザ認証が失敗した場合に前記揮発性メモリから前記暗号鍵を消去する暗号鍵保護ステップとを有することを特徴とする暗号鍵管理方法。
【請求項21】
電源投入前に暗号鍵を保管しておく不揮発性メモリと、
揮発性メモリとを有するコンピュータに、
前記コンピュータの電源投入時にユーザ認証を行うユーザ認証処理と、
前記コンピュータの電源投入時にユーザ認証に先立ち前記暗号鍵を前記不揮発性メモリから前記揮発性メモリに移動し、ユーザ認証が失敗した場合に前記揮発性メモリから前記暗号鍵を消去する暗号鍵保護処理とを実行させることを特徴とするプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【公開番号】特開2011−239123(P2011−239123A)
【公開日】平成23年11月24日(2011.11.24)
【国際特許分類】
【出願番号】特願2010−107878(P2010−107878)
【出願日】平成22年5月10日(2010.5.10)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
【公開日】平成23年11月24日(2011.11.24)
【国際特許分類】
【出願日】平成22年5月10日(2010.5.10)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
[ Back to top ]