時刻及び位置認証装置、方法及びプログラム
【課題】 無線を用いた位置認証に対する一般化された再送攻撃を阻止し、信頼性を向上させる。
【解決手段】 移動端末10においては、算出受信時刻情報/算出位置情報検証部19が、各放送源の放送源位置情報のうち、3つの放送源位置情報と地球の中心位置とからなる三角錐の境界又は内側領域に、自装置の位置情報が含まれる場合、無線放送を再送無しと判定するので、一般化された再送攻撃を防止できる。
【解決手段】 移動端末10においては、算出受信時刻情報/算出位置情報検証部19が、各放送源の放送源位置情報のうち、3つの放送源位置情報と地球の中心位置とからなる三角錐の境界又は内側領域に、自装置の位置情報が含まれる場合、無線放送を再送無しと判定するので、一般化された再送攻撃を防止できる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線放送を用いて放送源の時刻情報と位置情報が配信される移動端末の時刻及び位置認証装置、方法及びプログラムに関する。
【背景技術】
【0002】
現在、GPS(Global Positioning System)と呼ばれるシステムにより、電波放送による位置情報の提供が行われている(例えば、非特許文献1参照)。このシステムは、上空約2万kmを周回する約30個のGPS衛星、GPS衛星の追跡と管制を行う管制局、測位を行うための利用者の受信機で構成される。受信機は、原則として4個以上のGPS衛星からの距離を同時に知ることにより、受信位置及び受信時刻を高精度で決定可能となっている。GPS衛星からの距離は、GPS衛星から発信された情報(以下、発信情報ともいう)が受信機に到達するまでに要した時間に基づいて、算出される。この発信情報には、電波放送の正確な発信時刻と発信位置が含まれている。受信機の位置座標(x,y,z)と受信時刻(t)との4個の未知変数を求めるには、独立な4つの方程式が必要となるため、前述したように4個以上のGPS衛星の発信情報が必要となる。
【0003】
係るGPSを利用したシステムとして、カーナビゲーションシステム、携帯端末による位置情報提供サービスシステム、地質調査システム、精密測位システム、時刻合わせシステム、などが挙げられる。GPSの長所として、電波放送を受信可能であれば、時と場所を選ばずに情報を取得可能であることが挙げられる。この長所は、任意の場所に持ち運び可能な携帯端末に対し、時刻情報や位置情報を提供する手段として好適である。
【0004】
しかしながら、現在のGPSは、放送通信に対する典型的な攻撃である偽造攻撃及び再送攻撃に対する防御対策がなされていない。なお、偽造攻撃とは、正当な位置情報と区別できない不正な位置情報を偽造して受信機に提供する攻撃を意味する。再送攻撃とは、過去に放送された正当な情報を後にそのままの形で不正流用する攻撃を意味する。
【0005】
現在のGPSは、偽造攻撃及び再送攻撃に対する防御対策が無いことから、受信者に提供された時刻情報及び位置情報の正当性を技術的に保証できない不都合がある。
【0006】
しかしながら、この不都合を解消する観点から、先行技術文献情報ではないが、本発明者により出願された特許文献1がある。特許文献1に記載の技術は、(i)ディジタル署名などに基づく認証子を放送情報に持たせて受信者がこの認証子を検証し各々の放送源の正当性を判別することにより偽造攻撃を防止する提案、及び(ii)放送情報により算出される受信時刻と、耐タンパー技術により保護された受信機の内部時計が提供する時刻情報とを比較することにより、再送攻撃を防止する提案によって構成されている。
【0007】
このような特許文献1に記載の技術は、偽造攻撃を根本的に防止でき、且つ多くの場合の再送攻撃を防止できる内容となっている。「多くの場合の再送攻撃」とは、4つの放送源の発信情報を1つに合わせた情報に対し遅延時間を発生させる場合、すなわち4つの放送源の各発信情報に対し完全に等しい遅延時間を発生させる場合の再送攻撃を意味している。
【非特許文献1】「特集 さまざまな次世代GPS測位技術」、情報処理、 社団法人 情報処理学会、2002年8月、第43巻、第8号
【特許文献1】特願2005−126675号明細書
【発明の開示】
【発明が解決しようとする課題】
【0008】
しかしながら、以上のような特許文献1に記載の技術は、多くの場合の再送攻撃を防止するものの、本発明者の検討によれば、さらに巧妙で強力な場合の再送攻撃に対し、新たな対策が必要と考えられる。「さらに巧妙で強力な場合の再送攻撃」とは、4つの放送源の発信情報それぞれに対し異なる遅延時間を発生させるような、より一般化された場合の再送攻撃を想定している。
【0009】
本発明は上記実情を考慮してなされたもので、無線を用いた位置認証に対する一般化された再送攻撃を阻止し、信頼性を向上し得る時刻及び位置認証装置、方法及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
第1の発明は、電子ファイルを認証時点の時刻及び位置で認証する時刻及び位置認証装置であって、外部の複数の放送源から無線で送信される送信時刻情報、放送源位置情報、及び放送源固有の認証子を含む無線放送を受信する受信手段と、前記認証子に基づいて、前記無線放送の偽造の有無を判定する偽造判定手段と、内部時刻情報を提供する内部時計装置と、前記無線放送の受信時刻を示す受信時刻情報を取得する受信時刻取得手段と、前記受信時刻情報と前記内部時刻情報とを比較し、両者の差に基づいて、前記無線放送の再送の有無を判定する第1の再送判定手段と、前記無線放送に基づいて、自装置の位置情報を算出する位置算出手段と、前記各放送源の放送源位置情報のうち、3つの放送源位置情報と地球の中心位置とからなる三角錐の境界又は内側領域に、前記算出した自装置の位置情報が含まれる場合、前記無線放送を再送無しと判定する第2の再送判定手段と、前記偽造判定手段による判定の結果が偽造無しを示し、且つ前記第1及び第2の再送判定手段による判定結果がいずれも再送無しを示す場合、前記内部時刻情報及び前記自装置の位置情報に基づいて、前記電子ファイルのデジタル署名を生成する署名生成手段と、前記デジタル署名を前記電子ファイルに付加する署名付加手段とを備えた時刻及び位置認証装置である。
【0011】
(作用)
第1の発明は、偽造判定手段により偽造攻撃を阻止し、第1の再送判定手段により、多くの場合の再送攻撃を阻止した上で、第2の再送判定手段により、一般化された場合の再送攻撃を阻止している。
【0012】
ここで図27に、一般化された再送攻撃を示す。このような攻撃を用いるとき、攻撃者は個々の標準放送源に対してそれぞれ異なる遅延時間を適当に選ぶことにより、受信情報から算出される受信時刻と真の受信時刻とを一致させ、かつ算出される受信位置を真の受信位置とは異なる座標に改ざんすることが可能となる。図27においては、攻撃者は真の受信位置座標p→(実際はpの真上に→の表記)で放送源1〜4の放送源情報を横取りし、各放送源に対して異なる適切な遅延時間δiを発生させた上でこれらを改めて組み合わせ、真の受信位置p→において受信機に同時に受信させることにより、算出される受信時刻と真の受信時刻を一致させ、かつ算出位置座標を偽の位置q→(≠p→)に不正に変更することができる(なお、q→,p→は実際にはq,pの真上に→の表記)。ただしこのとき、光速をcとし、放送源iと偽の受信位置q→との間の距離をeiとし、放送源iと真の受信位置p→との間の距離diとすると、図27においてei−di=cδi(≧0)の関係が成り立たなければならない。攻撃者がこのような巧妙な再送攻撃を行うとき、特許文献1に記載の技術を用いた偽造判定手段と第1の再送判定手段では、不正を検出することができない。
【0013】
ここで本発明者の研究によれば、攻撃者により算出される受信時刻と真の受信時刻とが一致させられるとき、再送攻撃の定義から、再送攻撃による偽の受信位置q→と個々の標準放送源iとの距離eiは、真の受信位置p→と個々の標準放送源iとの距離diより必ず大きくなければならない。この事実に基づき、算出される受信時刻が真の受信時刻と一致し、かつ3つの放送源位置座標と地球の中心位置とからなる三角錐の境界又は内側領域に、前記領域を定義する3つを含む4つの放送源位置座標から算出された位置座標が存在するならば、偽造攻撃が防止される前提のもと、算出された位置座標は再送攻撃によらない真の受信位置であることが必ず言える。
【0014】
これに基づき、第1の発明では、特許文献1に記載の技術を用いて、偽造攻撃を防止し、かつ算出される受信時刻が真の受信時刻と一致することを検証したうえで、新たに第2の再送判定手段により、各放送源の放送源位置情報のうち、3つの放送源位置情報と地球の中心位置とからなる三角錐の境界又は内側領域に、自装置の位置情報が含まれる場合、無線放送を再送無しと判定するので、一般化された再送攻撃をも防止することができる。
【0015】
従って、第1の発明は、無線を用いた位置認証に対する一般化された再送攻撃を阻止し、算出位置情報と算出時刻情報の信頼性を向上させることができる。
【発明の効果】
【0016】
以上説明したように本発明によれば、無線を用いた位置認証に対する一般化された再送攻撃を阻止し、信頼性を向上できる。
【発明を実施するための最良の形態】
【0017】
以下、本発明の各実施形態について図面を用いて説明する。
【0018】
(第1の実施形態)
図1は本発明の第1の実施形態に係る時刻及び位置認証装置を内蔵した移動端末の構成を示す模式図である。この移動端末10は、カメラ付き携帯電話であり、内部時計11、内部時計更新時刻情報格納部12、耐タンパー性保証パラメータ格納部13、受信部14、受信情報格納部15、復調部16、認証子検証部17、時刻/位置情報算出部18、算出受信時刻情報/算出位置情報検証部19、時刻情報格納部20、スイッチ21、タイミング制御部22、シャッター23、撮像素子24、電子ファイル生成部25、ハッシュ値生成部26、ディジタル署名生成部27、署名付き電子ファイル格納部28及び耐タンパー保護領域29を備えている。なお、移動端末10は、各機能を実現するためのハードウェア構成、又はハードウェアとソフトウェアとの組み合わせ構成として実現されている。ソフトウェアは、予め記憶媒体又はネットワークからインストールされ、その機能を実現させるためのプログラムからなる。ソフトウェアで実現可能な要素としては、例えば、復調部16、認証子検証部17、時刻/位置情報算出部18、算出受信時刻情報/算出位置情報検証部19、電子ファイル生成部25、ハッシュ値生成部26及びディジタル署名生成部27が挙げられる。
【0019】
ここで、内部時計11は、耐タンパー保護領域29内で動作し、各放送源iの持つ時計と同期する高精度な時計であり、内部時刻情報を時刻情報格納部20に提供する機能と、不正操作を検知すると直ちに正常動作を停止する機能をもっている。なお、利用者による内部時計11の操作は禁止されている。また、放送源iとしては、GPS衛星等の人工衛星に限らず、地上の基地局でもよく、船上の移動局でもよい。詳しくは、放送源iとしては、送信時刻情報及び放送源位置情報と、MAC(Message Authentication Code)あるいはディジタル署名方式が用いられる認証子と、を無線放送で発信するものであればよい。MACによる認証子は、放送源i及び移動端末10間の共通秘密鍵とハッシュ関数に基づいて生成される。ディジタル署名方式による認証子は、放送源iの署名鍵と公開検証鍵とに基づいて生成される。
【0020】
内部時計更新時刻情報格納部12は、管理センタにより更新記憶されるメモリであり、管理センタが内部時計11を同期させた時刻を示す同期時刻情報及び有効期限を保持し、撮影毎に、同期時刻情報及び有効期限をそれぞれディジタル署名生成部27及び署名付き電子ファイル格納部28に送出する機能をもっている。
【0021】
耐タンパー性保証パラメータ格納部13は、耐タンパー保護領域29に設けられ、耐タンパー性保証パラメータを格納するものであり、耐タンパー保護領域29に外部から不正操作が行われた場合、この不正操作を検知してただちに耐タンパー性保証パラメータをゼロ値にする機能をもっている。
【0022】
受信部14は、外部の放送源から無線で送信される送信時刻情報、放送源位置情報、及び放送源固有の認証子を含む無線放送を受信して受信情報を生成する機能を有し、具体的には無線による標準放送と補正放送のための高感度受信回路から成る。
【0023】
ここで、標準放送とは、例えばGPS測位衛星の送信情報のように、高精度な「放送源の位置情報」と「放送の発信時刻情報」の2つが含まれた無線放送を指す。さらに、送信情報の放送源を識別しその正当性を保証するため、例えば発信情報の内容を反映したディジタル署名など、放送源に固有な認証子が付加されている。相対測位システムを用いる場合、これに加え、予め正確な位置情報を知る基地局jが補正座標値を放送する。本実施形態では、この補正座標値を補正放送と呼ぶ。ここで、補正放送には、基地局jが補正放送を送信した正確な時刻と、補正座標値・送信時刻を反映したディジタル署名などの基地局j固有の認証子が付加されている。
【0024】
受信情報格納部15は、タイミング制御部22から要求を受けると、直ちに受信部14から受信情報を取得・記憶する機能をもっている。
【0025】
復調部16は、受信情報格納部15内の受信情報を読出可能なデータ形式へ復調し、受信情報を認証子検証部17に送出する機能をもっている。
【0026】
認証子検証部17は、復調部16から受けた受信情報の認証子に基づいて無線放送の偽造の有無を判定する機能を有するものであり、具体的には、復調部16から受けた受信情報に対し、標準放送源iからのものであるか、伝搬経路において改ざんされていないか、の2点に関して認証子を用いて検証する。ここでは具体例として初めに、認証子が公開鍵暗号方式に基づくディジタル署名である場合を考える。各放送源iと各基地局jは、それぞれが固有に持つ秘密鍵を用いて、送信情報のハッシュ値を復号してディジタル署名を生成し、このディジタル署名を認証子として送信情報のメッセージ部に付加する。認証子検証部17は、予め保持した各放送源iと各基地局jの正当な公開鍵を用いて、受信情報に含まれる認証子を暗号化し、得られた暗号化認証子と、受信情報のメッセージ部のハッシュ値とを比較し、両者が等しい場合、受信情報を正当と認める。
【0027】
次に、現在GPS衛星が発信する放送にはディジタル署名が付加されていないため、ディジタル署名を用いないGPSシステムで使用可能な代替方法を考える。移動端末10はGPS受信情報を一時的に記憶し、過去の正当なGPS衛星データを格納しているデータベース等を参照し、受信情報に含まれるGPS衛星の時計修正情報・軌道情報が一致しているか否かを確認し、放送源iの正当性と改ざんの有無を検証する。但し、正しいGPS衛星データは一般に公開されているため、この方法ではディジタル署名を用いる場合に比べて安全性ははるかに劣る。
【0028】
時刻/位置情報算出部18は、認証子検証部17により正当と認められた標準放送の受信情報から、受信時刻を示す受信時刻情報と移動端末10の位置情報を算出するものであり、受信時刻情報を算出受信時刻情報/算出位置情報検証部19に送出する機能と、算出受信時刻情報/算出位置情報検証部19からの制御により、位置情報をディジタル署名生成部27及び署名付き電子ファイル格納部28に送出する機能をもっている。
【0029】
ここで、時刻/位置情報算出部18における算出過程について補足説明する。ある放送源をiとすると、標準放送には放送源iの位置情報(xi,yi,zi)と放送の送信時刻情報tiが含まれている。電磁波の速度をc、移動端末10の位置を(x,y,z)、受信時刻をtとすると、放送源iと移動端末10の間には次式の関係が成り立つ。
【数4】
【0030】
上式において、xi,yi,zi,tiは放送源iから標準放送によって与えられる既知数、cは既知の物理定数、x,y,z,tは未知数である。未知数は全部で4つあるので独立な式が4つ以上あればこの連立方程式は解ける。従って、4つ以上の放送源から受信情報を得て連立方程式を解き、移動端末10の位置情報と受信時刻情報を取得する。
【0031】
ここで、標準放送による位置情報と時刻情報をリアルタイムで得る方法には、図2に示す如き単独測位システムと、図3に示す如き相対測位システムがある。
【0032】
単独測位システムとは、標準放送源iと移動端末10のみを用いて行う方法である。位置情報・時刻情報の測定に、理想的には十分であるが、現実には電離層における光速の変動など様々な外的要因によって情報にゆらぎが加わるため、単独測位システムでは測定精度に限界がある。
【0033】
相対測位システムとは、単独測位システムに加え、予め正確に位置情報を把握している基地局jを媒介として、加わる情報のゆらぎをリアルタイムに観測し、その座標補正値を放送によって移動端末10へ送るものである。相対測位システムはかなり高い測定精度を期待できるが、移動端末10が基地局jから離れるほど精度が下がるので、移動端末10の移動範囲の側に基地局jが存在しなければならない。
【0034】
算出受信時刻情報/算出位置情報検証部19は、時刻情報に基づく検証と、位置情報に基づく検証とを実行可能なものである。算出受信時刻情報/算出位置情報検証部19は、時刻情報に基づく検証に関しては、時刻/位置情報算出部18で標準放送から算出された受信時刻情報と時刻情報格納部20が取得した内部時刻情報とを比較し、両者の差に基づいて、無線放送の再送の有無を判定するものであり、具体的には、2つの時刻の差分が予め設定した しきい値Δtth以下であるか否かを検証する機能をもっている。なお、しきい値Δtth以下の場合、無線放送の再送無しを意味し、しきい値Δtthを超える場合、無線放送の再送有りを意味する。また、認証により保証される位置情報の距離精度をΔL、攻撃者の再送までにかかる処理時間をαとすると、しきい値Δtthは次式のように定義される。
【数5】
【0035】
この検証で差分がΔtth以下の場合、算出受信時刻情報/算出位置情報検証部19は、後述する領域検証でも再送無しの結果を得た後に、時刻/位置情報算出部18に位置情報をディジタル署名生成部27へ送るように要求し、時刻情報格納部20に内部時刻情報をディジタル署名生成部27へ送るように要求する機能をもっている。なお、差分の検証によって再送攻撃を防ぐためには、内部時計11の更新間隔をTとすると、使用する内部時計11の単位時間毎誤差Δτは次式の関係を満たさなくてはならない。
【数6】
【0036】
逆に内部時計11の誤差Δτが与えられたとき、保証される距離精度ΔLは、ΔL=c(TΔτ−α)と求められる。具体例としては、攻撃者が必要最小限な信号処理のみを行い伝送に高速専用ケーブル2を用いると仮定し、標準的な処理時間はα=1×10-7[s]程度であり、c=3×108[m/s],Δτ=1×10-11[s],T=86400[s]=(1[day])と仮定する。このとき、保証される距離精度ΔLは次のようになる。
【数7】
【0037】
但し、移動端末10は、短時間内に移動しながら使用されるため固定された高速専用ケーブル2を用いることが難しく、無線やインターネットを用いたデータ伝送を想定するのが一般的であり、生じる余分な遅延時間αが大幅に増加する。
【0038】
このように、算出受信時刻情報/算出位置情報検証部19が位置情報の正当性を保証するには、内部時計11の精度の高さが本質的である。高精度な内部時計の現実的な候補として、2004年アメリカのNIST(米国標準技術局)によって開発された超小型原子時計が挙げられる。NISTの発表によれば、この超小型原子時計は、製造工程において従来のMEMS(micro-electro-mechanical systems)向け生産技術がそのまま適用可能であるため、量産化に適している。また、超小型原子時計は、占有体積も非常に小さく、腕時計や携帯電話などの小型移動端末の組み込みにも適している。さらに、超小型原子時計は、単位時間毎誤差が2004年8月の発表ではΔτ=1×10-10[s]程度とされ、現在はΔτ=1×10-11[s]程度での安定動作を目標に開発中としている。
【0039】
ここで、日本のAIST(産業技術総合研究所)により開発され2003年6月に発表されたレーザー冷却を用いる原子時計が既にΔτ=1.4×10-15[s]以下の時刻精度を実現していることを念頭に、携帯端末10に組み込み可能な小型原子時計が近い将来Δτ=1×10-14[s]程度の時刻精度を実現した場合を考える。この場合、位置認証の距離精度を先の見積もりと同程度とすると、内部時計11の必要更新間隔は2年半以上にもおよぶので、管理者による内部時計11の更新操作を省略可能となる。また、想定する攻撃者の処理能力が低く、処理時間がα=1×10-3[s]より大きいと分かっている場合も、Δτ=1×10-11[s]であれば、内部時計の必要更新間隔が2年半以上となり、同様に管理者の更新操作を省略可能である。
【0040】
また一方、スイスのオシロクォーツ社では、単位月毎誤差がΔτ=1×10-8[s]であり、且つ、0.2秒−10秒間の短時間安定性がσ(τ)<5×10-11[s]である超高精度な水晶発振器(OCXO 8711/8712シリーズ)を2003年3月編集の技術仕様書に掲載している(インターネット:www.oscilloquartz.com)。このような水晶発振器に基づく水晶時計は、高精度な内部時計11にも十分に適用可能となっている。
【0041】
算出受信時刻情報/算出位置情報検証部19は、相対測位システムの場合、標準放送に加えて補正放送に対しても、内部時計11から取得された受信時刻情報と、補正放送が含む発信(送信)時刻情報とを比較し、差分が規定値以下であるか否かを検証する機能をもっている。この規定値は標準放送に対するしきい値とは異なる設定値で、基地局jの補正放送の更新頻度を適切に考慮していればよく、具体的には1[min]程度といったものが想定される。
【0042】
一方、算出受信時刻情報/算出位置情報検証部19は、位置情報に基づく検証(領域検証)に関しては、各放送源の放送源位置情報のうち、3つの放送源位置情報と地球の中心位置とからなる三角錐の境界又は内側領域に、算出した自装置の位置情報が含まれる場合、無線放送の再送の無しを判定結果とする機能をもっている。
【0043】
時刻情報格納部20は、タイミング制御部22から要求を受けると直ちに内部時計11から時刻情報を取得・記憶するものであり、算出受信時刻情報/算出位置情報検証部19から許可を得た後、取得した時刻情報をディジタル署名生成部27に与える機能をもっている。
【0044】
スイッチ21は、オン状態においてシャッター23を作動させ、同時にタイミング制御部22へオン状態であることを知らせる。
【0045】
タイミング制御部22は、スイッチ21がオン状態になると直ちに、受信情報格納部15が受信情報を、時刻情報格納部20が内部時計11の内部時刻情報を、それぞれ同時に取得・記憶するよう制御を行う。
【0046】
シャッター23は、スイッチ21により作動する開閉機構である。
撮像素子24は、シャッター23が開状態のとき、前方の被写体を撮像し、撮像結果を含む出力信号を電子ファイル生成部25に送出するものである。
【0047】
電子ファイル生成部25は、シャッター23作動後、撮像素子24から受けた出力信号に基づいて、画像を表す電子ファイルを生成する機能と、電子ファイルをハッシュ値生成部26及び署名付き電子ファイル格納部28に送出する機能とをもっている。
【0048】
なお、スイッチ21、シャッター23、撮像素子24、電子ファイル生成部25及び署名付き電子ファイル格納部28は、カメラ付き携帯電話のカメラに対応する要素である。
【0049】
ハッシュ値生成部26は、電子ファイル生成部25から受けた電子ファイルから一方向性関数と見なせる演算を用いてハッシュ値を生成し、得られたハッシュ値をディジタル署名生成部27へ送出する機能をもっている。
【0050】
ディジタル署名生成部27は、認証子検証部17による判定の結果が偽造無しを示し、且つ算出受信時刻情報/算出位置情報検証部19による判定結果が再送無しを示す場合、内部時刻情報及び自装置の位置情報に基づいて、電子ファイルのデジタル署名を生成するものである。
【0051】
具体的にはディジタル署名生成部27は、ハッシュ値生成部26から受けたハッシュ値に対し、時刻/位置情報算出部18から受けた位置情報と、時刻情報格納部20から受けた内部時刻情報と、内部時計更新時刻情報格納部12から受けた同期時刻情報及び有効期限とを付加して署名対象データを作成し、この署名対象データに対し、移動端末10固有の秘密鍵に基づいて復号処理を実行してディジタル署名を生成し、得られたディジタル署名を署名付き電子ファイル格納部28に送出する機能をもっている。
【0052】
署名付き電子ファイル格納部28は、電子ファイル生成部25から受けた電子ファイルに対し、時刻/位置情報算出部18から受けた位置情報と、時刻情報格納部20から受けた内部時刻情報と、内部時計更新時刻情報格納部12から受けた同期時刻情報及び有効期限と、ディジタル署名生成部27から受けたディジタル署名とを付加し、これら電子ファイル、位置情報、内部時刻情報、同期時刻情報、有効期限及びディジタル署名を1組として記憶する機能をもっている。
【0053】
耐タンパー保護領域29は、内部時計11、内部時計更新時刻情報格納部12、耐タンパー性保証パラメータ格納部13、受信部14、受信情報格納部15、復調部16、認証子検証部17、時刻/位置情報算出部18、算出受信時刻情報/算出位置情報検証部19、時刻情報格納部20、タイミング制御部22、電子ファイル生成部25、ハッシュ値生成部26、ディジタル署名生成部27に耐タンパー性を持たせて保護するものであり、具体的には、耐タンパー保護領域29に外部から不正操作が行われた場合、この不正操作を検知してただちに前述した各要素11〜20,22,25〜27を無効にする機能をもっている。ここで、無効にする機能は、各要素のデータ又はプログラムを消去すればよい。
【0054】
次に、以上のように構成された移動端末の動作を説明する。ここでは、単独測位システムの場合について図4に示す。相対測位システムについても本質的に同様である。但し内部時計11の更新期間が端末使用期間に比べて長いとき、内部時計11の時刻更新操作及び管理センタ40は必ずしも必要でない。
【0055】
[1] 管理センタ40による移動端末10の内部時計11の時刻更新
管理センタ40は、移動端末10の内部時計11を標準放送源iに同期させる。同期のための時刻情報を得る方法は、管理センタ40が標準放送に同期した標準時計を保有してその標準時計から得てもよく、又は標準放送を受信して受信時刻を算出することから得てもよい。管理センタ40は、いずれにしても移動端末10の内部時計11を標準放送源iの時刻に同期させた後、移動端末10を利用者へ貸し出す。
【0056】
[2] 利用者による移動端末10の使用
移動端末10は、管理センタ40から利用者に貸し出され、利用者の操作により、管理センタ40が定めた有効期限の間、任意の時刻と場所で撮影を行い、電子ファイルを作成する。移動端末10は、標準放送及び補正放送によって、移動端末10自身の位置情報と時刻情報を得る。
【0057】
移動端末10は、利用者の操作により、電子ファイルのハッシュ値に位置情報、内部時刻情報、同期時刻情報及び有効期限を付加して署名対象データを作成し、この署名対象データからディジタル署名を生成し、このディジタル署名を電子ファイルに付加して記憶する。
【0058】
[3] 管理センタ40による携帯端末の検証
移動端末10は、有効期間内に利用者により管理センタ40へ返却される。管理センタ40は、移動端末10の耐タンパー性保証パラメータを検証し、不正操作の無いことを確認し、移動端末10から電子ファイルとディジタル署名とを出力させる。
【0059】
また、利用者は、有効期限が過ぎると、再び管理センタ40へ有効期限の更新を依頼する。以下同様に、上記[1]〜[3]の動作が繰り返し実行される。
【0060】
続いて、上記[2]における検証動作を詳細に説明する。
[位置情報の検証手順]
図5及び図6に示す手順で検証を行い、標準放送と補正放送に対する「偽造攻撃」及び「再送攻撃」を防止することを以下のように説明する。
【0061】
スイッチ21は、利用者の操作により、オン状態においてシャッター23を開状態に作動させ、同時にタイミング制御部22へオン状態であることを知らせる。
【0062】
撮像素子24は、シャッター23が開状態のとき、前方の被写体を撮像し、撮像結果を含む出力信号を電子ファイル生成部25に送出する。
【0063】
電子ファイル生成部25は、この出力信号に基づいて、画像を表す電子ファイルを生成し(ST1)電子ファイルをハッシュ値生成部26及び署名付き電子ファイル格納部28に送出する。
【0064】
一方、タイミング制御部22は、スイッチ21がオン状態になると直ちに、受信情報格納部15が受信情報を、時刻情報格納部20が内部時計11の内部時刻情報を、それぞれ同時に取得・記憶するよう制御を行う(ST2,ST3)。
【0065】
復調部16は、受信情報格納部15内の受信情報を読出可能なデータ形式へ復調し(ST4)、受信情報を認証子検証部17に送出する。
【0066】
認証子検証部17は、この受信情報の認証子に基づいて無線放送の偽造の有無、すなわち、認証子が正当か否かを判定する(ST5)。なお、ステップST5の判定は、ステップST4とST31との間であれば、いつ行ってもよく、例えばステップST20の後に行ってもよい。また、ステップST5の判定結果が正当を示さなければ処理を中止するが(ST6)、ここでは受信情報を正当と認めた場合を述べる。
【0067】
時刻/位置情報算出部18は、標準放送・補正放送の各放送源からの各受信情報について、各受信情報に含まれる送信時刻情報と、耐タンパー保護領域29にある内部時計11の提供する受信時刻情報とを個別に比較し、送信時刻と受信時刻との差分が最大許容範囲内か否かを検証し(ST7)、不合格の受信情報を廃棄する(ST8)。
【0068】
次に、時刻/位置情報算出部18は、ステップST7の検証に合格した受信情報が4個以上あるか否かを判定し(ST9)、否の場合には、移動端末10が得た受信情報を全て不正とみなし、ステップST6に移行して全処理を終了する。
【0069】
ステップST9の判定の結果、合格した受信情報が4個以上ある場合、時刻/位置情報算出部18は、合格した複数の受信情報の中から4個1組として未検証の組を任意に選択する(ST10)。
【0070】
しかる後、時刻/位置情報算出部18は、受信時刻を示す標準放送受信時刻情報を算出し(ST11)、補正放送から補正放送受信時刻を算出し(ST12)、移動端末10の位置情報を算出し(ST13)、これら算出結果を算出受信時刻情報/算出位置情報検証部19に送出する。
【0071】
算出受信時刻情報/算出位置情報検証部19は、算出された標準放送受信時刻情報と時刻情報格納部20が取得した内部時刻情報とを比較し、両者の差に基づいて、無線放送の再送の有無を判定、すなわち、2つの時刻の差分が予め設定した しきい値Δtth以下であるか否かを検証し(ST14)、しきい値Δtthを超えていれば無線放送の再送有りとして処理を中止する。続いて、算出受信時刻情報/算出位置情報検証部19は、合格した受信情報から選択可能な組のうち、全ての組を検証したか否かを判定し(ST15)、検証した場合には処理を中止して終了し(ST16)、否の場合にはステップST10に戻って別の組を選択する。
【0072】
一方、ステップST14の検証の結果、しきい値Δtth以下の場合、標準放送に加えて補正放送に対しても、内部時計11から取得された時刻情報と、算出された補正放送受信時刻情報とを比較し、差分が規定値以下であるか否かを検証し(ST17)、規定値を超えていれば処理を中止してステップST15に戻る。
【0073】
一方、規定値以下の場合、算出受信時刻情報/算出位置情報検証部19は、算出された移動端末10の位置座標が地球表面上あるいはその近傍にあることを検証する(ST18)。
【0074】
ステップST18の検証に合格した場合、選択された4個の受信情報から未試行の3個の受信情報を選択し(ST19)、図7に示すように、選択した各座標P1,P2,P3と地球の中心位置Oとで囲まれる三角錐の境界又は内側領域に受信機の位置座標xが含まれるか否かを検証する(ST20)。
【0075】
ステップST20の領域検証により、4つの放送源からの受信情報それぞれに対し異なる遅延時間を発生させる一般化された再送攻撃を原理的に防止できる。ここで、領域検証の原理を図7及び図8を用いて説明する。いま、攻撃者の受信機Xが4個の放送源P1〜P4のうち、3個の放送源のP1,P2,P3の地球表面上への射影点に囲まれた領域にあるとする。但し、説明の便宜上、図8においては、P4の記載を省略し、放送源P1,P2,P3をそれぞれP,Q,Rと呼ぶ。
【0076】
偽造攻撃が認証子の検証により必ず防止され、さらに受信情報から算出される移動端末の受信時刻が真の受信時刻と一致する場合、再送攻撃が可能であるためには、次の条件[#](以下、再送攻撃可能な条件ともいう)が受信機と、全ての各放送源との間で成り立たなければならない。
[♯](偽の受信機の位置と、ある放送源との間の距離)≧(真の受信機の位置と、ある放送源との間の距離)。
【0077】
この条件[#]は、再送攻撃の定義が、受信情報を保持した直後に再送信してこの受信情報を微小時間だけ遅延させる攻撃であることに起因する。電磁波の伝搬時間を用いた2点間の距離の測定において、光速は一定であるから、再送攻撃による電磁波の遅延を伴う場合、得られる距離の測定値は距離の真値より必ず大きくなる。ここで、攻撃者が算出受信時刻を真の受信時刻に一致させる場合、攻撃者が発生させなければならない遅延時間は各放送源の位置変化が無視できる程度に微小であることが言える。このため、放送の偽造が防止されるとき、受信情報に含まれる放送源の位置は常に正確に与えられると見なせる。したがって、与えられたこれら放送源の位置を起点として見るとき、再送攻撃によって得られる偽の受信位置は真の受信位置より必ず遠くになくてはならないという関係がある。この関係を正確に表したのが条件[#]である。なお、条件[#]は、図27を参照して述べた関係ei−di=cδi(≧0)に基づいて、ei=di+cδi及びcδi≧0から得られる関係ei≧diを表すとも言える。
【0078】
ここで仮に、図8に示すように、算出して得られた受信機の位置Xが領域P-Q-Rに含まれる場合、Xを再送攻撃による偽の受信機の位置と仮定すると、真の位置X’がどこにあろうと、再送攻撃可能な条件[#]を満たさない放送源が必ず1つ以上存在することになり、これは明らかに矛盾する。ゆえに、Xを再送攻撃による偽の受信機の位置であるとした前記の仮定は成り立たないことがわかる。
【0079】
したがって、偽造攻撃が防止されている前提のもと、算出された位置Xが領域に含まれるならば、X は再送情報に基づかない受信機の位置情報であることが言える。以上が領域検証の原理である。
【0080】
ステップST20の領域検証の結果、3個の受信情報に基づく領域に位置座標が含まれない場合(ST20;NO)、一つ前のステップST19で選択された4個の受信情報の全ての組み合わせを試行したか否かを判定し(ST30)、まだ未試行の組み合わせがあれば(ST30;NO)、ステップST19に戻って3個の組み合わせを選択し直し、ステップST20の領域検証を再試行する。未試行の3個の組み合わせがこれ以上無い場合(ST30;NO)、ステップST15に移行して未検証の組があれば(ST15;NO)、未検証の組を対象にしてステップST10〜ST30の処理を再実行する。ステップST15に移行して未検証の組が無ければ(ST15;YES)、移動端末10が得た受信情報を全て不正と見なし、処理を中止して終了する(ST16)。
【0081】
一方、ステップST20の領域検証の結果、3個の受信情報に基づく領域に位置座標が含まれる場合(ST20;YES)、合格した3個の受信情報を含むステップST10で選択された4個の受信情報、及びそこから算出された時刻情報・位置情報を、正当と認める。
【0082】
すなわち、標準放送・補正放送から算出された位置情報の正当性を確定し(ST31)、位置情報の検証を終了する。
【0083】
以下、前述同様に、移動端末10は、電子ファイルのハッシュ値に位置情報、内部時刻情報、同期時刻情報及び有効期限を付加して署名対象データを作成し、署名対象データからディジタル署名を生成し、このディジタル署名を電子ファイルに付加して記憶する。
【0084】
上述したように本実施形態によれば、無線で送信される送信時刻情報及び放送源位置情報に、放送源固有の認証子を付与し、この認証子に基づいて偽造の有無を判定することにより、偽造攻撃を阻止できる。さらに、無線放送の受信時刻を示す受信時刻情報と、内部時計11の内部時刻情報とを比較し、両者の差に基づいて再送の有無を判定することにより、多くの場合の再送攻撃を阻止できる。従って、無線を用いた位置認証に対する偽造攻撃及び再送攻撃を阻止し、信頼性を向上させることができる。
【0085】
これに加え、各放送源の放送源位置情報のうち、3つの放送源位置情報と地球の中心位置とからなる三角錐の境界又は内側領域に、自装置の位置情報が含まれる場合、無線放送を再送無しと判定するので、前述した偽造攻撃の防止および受信時刻の比較による再送攻撃の防止では防御不能な、算出された受信時刻情報と内部時計11の内部時刻情報とが一致する一般化された再送攻撃をも防止することができる。従って、無線を用いた位置認証に対する一般化された再送攻撃をも阻止し、信頼性を向上させることができる。
【0086】
詳しくは、移動体通信に用いる移動端末10に関して、放送等の一方向通信に含まれた時刻情報や位置情報を位置を固定することなく移動端末10で取得する。偽造攻撃に対しては、送信情報に付加された放送源i固有の認証子が正当か否か、あるいは放送源i自身の位置情報と時刻情報が公開された正しい情報と一致するか否か、を検証して防止する。多くの場合の再送攻撃に対しては、移動端末10の内部時計11と送信情報に含まれた時刻情報との差分が設定されたしきい値以下であるか否かを検証して防止する。また、一般化された再送攻撃に対しては、各放送源の放送源位置情報のうち、3つの放送源位置情報と地球の中心位置とからなる三角錐の境界又は内側領域に、自装置の位置情報が含まれるか否かを検証して防止する。
【0087】
従って、移動端末10の時刻情報と位置情報及び移動端末10が生成する電子ファイルに付加された時刻情報と位置情報の正当性を技術的に保証することができる。また、GPS等の放送型通信を利用して、電子ファイル生成を端末側で行い、端末を定位置に固定する必要がなくネットワーク接続の必要もない、偽りの位置情報を許さない安全な位置認証を実現することができる。
【0088】
また、本実施形態によれば、時刻情報及び位置情報の正当性を保証できるので、デジタルデータの生成時刻・位置の保証、物流における時刻情報及び位置情報の記録証明、自動車の走行記録証明など、提供される時刻情報及び位置情報の正当性が要求される種々のサービスを実現できる。例えば、定位置に固定されない携帯受信端末等を用いた種々のサービスを実現できる。
【0089】
(第2の実施形態)
次に、本発明の第2の実施形態について前述した図面を参照しながら説明する。
本実施形態は、第1の実施形態の具体例であり、図1に示す算出受信時刻情報/算出位置情報検証部19が、図6に述べたステップST20を、図9に示すステップST21〜ST27のように実行する構成となっている。
【0090】
次に、以上のように構成された算出受信時刻情報/算出位置情報検証部19を備えた移動端末の動作を説明する。
移動端末10においては、前述した通り、ステップST1〜ST19までの処理を実行する。続いて、算出受信時刻情報/算出位置情報検証部19は、「三角錐の境界又は内側領域に、算出された位置情報を含むか否かを検証する」旨のステップST20を開始する。
【0091】
算出受信時刻情報/算出位置情報検証部19は、地球の中心を原点Oとし、選択した3個の放送源についてP1,P2,P3と割り当てる。
【数8】
【0092】
ここで、判定値Vの絶対値は、3つの辺OPi,OPj,OXが張る平行6面体の体積を表す。判定値Vの符号は、図10に示すように、点O,Pi,Pjを含む平面PL1を基準としたとき、算出された位置Xが平面PL1の法線ベクトルn→(実際はnの真上に→の表記)と同じ向きの側にある場合に正、逆の向きの側にある場合に負、同じ平面上に含まれる場合に0となる。この性質を利用して、前述したステップST20の領域検証を実行することができる。領域検証の状況としては、次の(ア)〜(ウ)のいずれかの場合がある。
【0093】
(ア)算出された位置Xが三角錐O-P1-P2-P3に含まれるとき、全てのiについて、判定値Vの符号は常に同じとなる(図11〜図13参照)。符号は全て正でもよく、全て負でもよい。
【0094】
(イ)算出された位置Xが三角錐O-P1-P2-P3に含まれないとき、あるiの値のときの判定値Vの符号は、残り二通りのiの値のときのVの符号とは異なる(図14〜図16参照)。
【0095】
(ウ)算出された位置Xが三角錐O-P1-P2-P3の境界面上に含まれるとき、あるiの値の判定値Vの符号は0となり、残り二通りのiの値のVの符号は互いに同じとなる(図17〜図19参照)。
【0096】
したがって(ア)〜(ウ)をまとめると、i=1,2,3について、判定値Vの全ての値が0以上あるいは全ての値が0以下であれば、算出された位置Xが領域に含まれる旨を判定できる。 これにより、算出受信時刻情報/算出位置情報検証部19は、判定値Vの全ての値が0以上あるいは0以下か否かを判定し(ST23)、判定値Vの全ての値が0以上あるいは0以下の場合、算出された位置Xが領域に含まれる旨を判定し(ST24)、判定結果“YES”を出力する。
【0097】
一方、算出受信時刻情報/算出位置情報検証部19は、ステップST23の判定結果が否の場合、算出された位置Xが領域に含まれない旨を判定し(ST26)、判定結果“NO”を出力する。
以下、前述同様に、移動端末10は、ステップST30又はST31以降の処理を実行する。
上述したように本実施形態によれば、第1の実施形態の効果に加え、1回のベクトル外積及びベクトル内積の演算により算出される判定値Vを3個算出し、この3個の判定値Vの符号に基づいて領域検証を実行する構成により、簡易且つ高速な領域検証を実現することができる。
【0098】
(第3の実施形態)
次に、本発明の第3の実施形態について前述した図面を参照しながら説明する。
本実施形態は、第1の実施形態の他の具体例であり、図1に示す算出受信時刻情報/算出位置情報検証部19が、図6に述べたステップST20を、図20に示すステップST21〜ST27のように実行する構成となっている。
【0099】
すなわち、本実施形態は、三次元コンピュータグラフィックス(3D−CG)の分野で効率的な計算法として知られる交差判定アルゴリズム(T. Moeller and B. Trumbore: Fast, minimum storage ray-triangle intersection, Journal of Graphics Tools, Vol.2, No.1, pp21-28, 1997.を参照)を用いて、前述したステップST20の領域検証を行う構成となっている。 次に、以上のように構成された算出受信時刻情報/算出位置情報検証部19を備えた移動端末の動作を説明する。
移動端末10においては、前述した通り、ステップST1〜ST19までの処理を実行する。続いて、算出受信時刻情報/算出位置情報検証部19は、「三角錐の境界又は内側領域に、算出された位置情報を含むか否かを検証する」旨のステップST20を開始する。
【0100】
始めに、算出受信時刻情報/算出位置情報検証部19は、前述同様に、地球の中心を原点Oとし、選択した3個の放送源についてP1,P2,P3と割り当てる。各放送源P1,P2,P3の位置座標をP1→,P2→,P3→(のベクトル情報)と置き、受信機の位置Xの座標をx→(のベクトル情報)と置く(ST21)。
【0101】
次に、算出受信時刻情報/算出位置情報検証部19は、下記式のように、位置座標x→とその絶対値|x→|との比d→(実際はdの真上に→の表記)を計算し(ST22A−1)、この計算結果d→と位置座標P1→,P2→,P3→とに基づいて、判定値u,vを計算する(ST22A−2)。
【数9】
【0102】
ここで、図21に示すように、直線OXを地球外側に延長した点をEとし、三角形P1−P2−P3を含む平面PL2と直線OEとの交点をYとするならば、sが線分OYの長さを表し、点Yが三角形P1-P2-P3の内部に含まれるか境界線上にあるとき、u,vは、u≧0,v≧0,u+v≦1を満たす。
【0103】
また、点Yの定義と各点O,X,P1,P2,P3との位置関係により、「点Xが三角錐O-P1-P2-P3に含まれるか境界面上にあること」と、「点Yが三角形P1-P2-P3の内部に含まれるか境界線上にあること」は同値である。従って、u,vを計算し、得られた値がu≧0,v≧0,u+v≦1を満たせば、点Xは領域に含まれるものと判定できる。
【0104】
これにより、算出受信時刻情報/算出位置情報検証部19は、判定値Vの全ての値が0以上あるいは0以下か否かを判定し(ST23)、判定値Vの全ての値が0以上あるいは0以下の場合、算出された位置Xが領域に含まれる旨を判定し(ST24)、判定結果“YES”を出力する。
【0105】
一方、算出受信時刻情報/算出位置情報検証部19は、ステップST23の判定結果が否の場合、算出された位置Xが領域に含まれない旨を判定し(ST26)、判定結果“NO”を出力する。
以下、前述同様に、移動端末10は、ステップST30又はST31以降の処理を実行する。
上述したように本実施形態によれば、第1の実施形態の効果に加え、効率的な計算法である交差判定アルゴリズムに基づいて領域検証を実行する構成により、効率的な領域検証を実現することができる。
【0106】
(第4の実施形態)
次に、本発明の第4の実施形態について前述した図面を参照しながら説明する。
本実施形態は、第2の実施形態の変形例であり、図1に示す算出受信時刻情報/算出位置情報検証部19が、図9に述べたステップST22,ST23を、図22に示すステップST22B,ST23Bのように実行する構成となっている。
【0107】
次に、以上のように構成された算出受信時刻情報/算出位置情報検証部19を備えた移動端末の動作を説明する。
移動端末においては、前述した通り、ステップST1〜ST19までの処理を実行する。続いて、算出受信時刻情報/算出位置情報検証部19は、ステップST20を開始し、前述した通り、ステップST21を実行する。
【0108】
続いて、算出受信時刻情報/算出位置情報検証部19は、下記式のように、位置座標P1→,P2→,P3→,x→に基づいて、判定値Dを計算する(ST22B)。
【数10】
【0109】
ここで、図23に示すように、三角錐O-P1-P2-P3を、点Xを含みx→を法線ベクトルとする平面で切って得られる断面の三角形をQ1-Q2-Q3とする。点Xが三角形Q1-Q2-Q3の内部あるいはその周上にあるとき、図24に示すベクトルXQ1→,XQ2→,XQ3→,XOに基づいて、下記式のように計算した値D’は、全て同符号あるいは0となることが言える。
【数11】
【0110】
ここで、「点Xが三角錐O-P1-P2-P3に含まれること」は「点Xが三角形Q1-Q2-Q3の内部あるいはその周上にあること」と同値である。
【0111】
従って、上述した判定値Dが全て同符号あるいは0であれば、算出された位置Xは領域に含まれるものと判定できる。
【0112】
これにより、算出受信時刻情報/算出位置情報検証部19は、全ての判定値Dが同符号あるいは0であるか否かを判定し(ST23B)、全ての判定値Dが同符号あるいは0の場合、算出された位置Xが領域に含まれる旨を判定し(ST24)、判定結果“YES”を出力する。
【0113】
一方、算出受信時刻情報/算出位置情報検証部19は、ステップST23の判定結果が否の場合、算出された位置Xが領域に含まれない旨を判定し(ST26)、判定結果“NO”を出力する。
以下、前述同様に、移動端末10は、ステップST30又はST31以降の処理を実行する。
上述したように本実施形態によれば、2回のベクトル外積及び1回のベクトル内積の演算により算出される判定値Dを3個算出し、この3個の判定値Dの符号に基づいて領域検証を実行する構成としても、第2の実施形態と同様に、簡易且つ高速な領域検証を実現することができる。
【0114】
(第5の実施形態)
図25は本発明の第5の実施形態に係る時刻及び位置認証装置を内蔵した移動端末の構成を示す模式図であり、図1と同一部分には同一符号を付してその詳しい説明を省略し、ここでは異なる部分について主に述べる。なお、以下の各実施形態も同様にして重複した説明を省略する。
【0115】
本実施形態は、第1〜第4の各実施形態の変形例であり、移動端末10aとして、タクシー料金メータを用いた構成となっている。これに伴い、図1のスイッチ21、シャッター23及び撮像素子24に代えて、料金確定スイッチ21a及び料金カウント部30を備え、電子ファイル生成部25aがタクシー料金に関する電子ファイルを生成するものとなっている。
【0116】
ここで、料金確定スイッチ21aは、既に作動中である料金カウント部30をオン状態において停止させて料金を確定し、タイミング制御部22へオン状態であることを知らせるものである。
【0117】
料金カウント部30は、運転手の操作により、客の乗車時に料金メータ開始スイッチ(図示せず)がオン状態にされると、タクシー料金をカウントし、降車時に料金確定スイッチ21aがオン状態にされると、確定した料金を示す確定データを電子ファイル生成部25aに送出するものである。
【0118】
電子ファイル生成部25aは、料金カウント部30内の確定データを表す電子ファイルを生成する機能と、電子ファイルをハッシュ値生成部26及び署名付き電子ファイル格納部28に送出する機能とをもっている。
【0119】
なお、料金確定スイッチ21a、料金カウント部30、電子ファイル生成部25a及び署名付き電子ファイル格納部28は、主にタクシー料金メータに対応し、他の要素11〜20,22〜24,26〜28が主に時刻及び位置認証装置に対応する。
【0120】
次に、以上のように構成された移動端末の動作を説明する。
タクシー会社(管理センタ40)は、業務開始前に移動端末(タクシー料金メータ)10aの内部時計11を時刻同期させる。運転手は、客の乗車時に料金メータ開始スイッチ(図示せず)をオン状態にし、降車時に料金メーターの料金確定スイッチ21aをオン状態にし、料金を確定させると同時に客の乗車・降車の位置情報と時刻情報、乗車料金、内部時計11の更新時刻、有効期限、に対して料金メータ固有のディジタル署名を生成し、これらデータに付加した上で1組とし、記憶する。
【0121】
タクシーが業務終了後に入庫してから、タクシー会社は耐タンパー性保証パラメータを検証後、記憶データを出力し、次回業務開始までに再び移動端末(タクシー料金メータ)10aの内部時計11の時刻同期を行う。
【0122】
上述したように本実施形態によれば、移動端末をタクシー料金メータに適用した構成としても、第1〜第4の各実施形態と同様の効果を得ることができる。
【0123】
(第6の実施形態)
図26は本発明の第6の実施形態に係る時刻及び位置認証装置を内蔵した移動端末の構成を示す模式図である。
【0124】
本実施形態は、第1〜第4の各実施形態の変形例であり、移動端末10bとして、配送用精算機を用いた構成となっている。これに伴い、図1のスイッチ21、シャッター23及び撮像素子24に代えて、受領書発行スイッチ21b及び精算データ入力端末31を備え、電子ファイル生成部25bが精算データに関する電子ファイルを生成するものとなっている。
【0125】
ここで、受領証発行スイッチ21bは、オン状態において精算データ入力端末31の入力データを電子ファイル生成部25へ送り、タイミング制御部22へオン状態であることを知らせるものである。
【0126】
精算データ入力端末31は、クレジットカードもしくは手入力により精算データを入力するものであり、受領書発行スイッチ21bがオン状態にされると、確定した精算データを電子ファイル生成部25bに送出するものである。
【0127】
電子ファイル生成部25は、精算データ入力端末31から確定された精算データを受けると、精算データに対応する受領証を表す電子ファイルを生成する機能と、電子ファイルをハッシュ値生成部26及び署名付き電子ファイル格納部28に送出する機能とをもっている。
【0128】
なお、受領書発行スイッチ21b、精算データ入力端末31、電子ファイル生成部25b及び署名付き電子ファイル格納部28は、主に配送用精算機に対応し、他の要素11〜20,22〜24,26〜28が主に時刻及び位置認証装置に対応する。
【0129】
次に、以上のように構成された移動端末の動作を説明する。
配送会社(管理センタ40)は、業務開始前に移動端末(配送用精算機)10bの内部時計11の時刻同期を行い、移動端末10bを配送者に渡す。
【0130】
配送者は荷物を届けた段階で決済処理を行い、受領証発行スイッチ21bをオン状態にすると、クレジットカード番号等の決済処理情報、決済を行う際の位置情報と時刻情報、内部時計11の更新時刻情報と有効期限、に対して移動端末10b固有のディジタル署名を生成し、これらデータに付加した上で1組とし、記憶する。
【0131】
配送者は業務終了時に移動端末(配送用精算機)10bを配送会社に渡す。配送会社は耐タンパー性保証パラメータを検証し、記憶データを出力し、次回業務開始前までに再び移動端末10bの内部時計11の時刻同期を行う。
【0132】
上述したように本実施形態によれば、移動端末を配送用精算機に適用した構成としても、第1〜第4の各実施形態と同様の効果を得ることができる。
【0133】
なお、上記各実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0134】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0135】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が本実施形態を実現するための各処理の一部を実行しても良い。
【0136】
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
【0137】
また、記憶媒体は1つに限らず、複数の媒体から本実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0138】
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、本実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0139】
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0140】
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
【図面の簡単な説明】
【0141】
【図1】本発明の第1の実施形態に係る時刻及び位置認証装置を内蔵した移動端末の構成を示す模式図である。
【図2】同実施形態における単独測位システムを説明するための模式図である。
【図3】同実施形態における相対測位システムを説明するための模式図である。
【図4】同実施形態における移動端末の動作を説明するための模式図である。
【図5】同実施形態における位置情報の検証手順を説明するためのフローチャートである。
【図6】同実施形態における位置情報の検証手順を説明するためのフローチャートである。
【図7】同実施形態における4個の放送源、受信機及び地球中心の位置関係を示す模式図である。
【図8】同実施形態における領域検証の原理を説明するための模式図である。
【図9】本発明の第2の実施形態に係る領域検証の手順を説明するためのフローチャートである。
【図10】同実施形態における判定値の符号の性質を説明するための模式図である。
【図11】同実施形態の領域検証における3個の放送源、受信機及び地球中心の位置関係を示す模式図である。
【図12】同実施形態における判定値の符号に関連した受信機の位置を説明するための模式図である。
【図13】同実施形態における受信機の位置、判定値の符号及び判定結果を示す模式図である。
【図14】同実施形態の領域検証における3個の放送源、受信機及び地球中心の位置関係を示す模式図である。
【図15】同実施形態における判定値の符号に関連した受信機の位置を説明するための模式図である。
【図16】同実施形態における受信機の位置、判定値の符号及び判定結果を示す模式図である。
【図17】同実施形態の領域検証における3個の放送源、受信機及び地球中心の位置関係を示す模式図である。
【図18】同実施形態における判定値の符号に関連した受信機の位置を説明するための模式図である。
【図19】同実施形態における受信機の位置、判定値の符号及び判定結果を示す模式図である。
【図20】本発明の第3の実施形態に係る領域検証の手順を説明するためのフローチャートである。
【図21】同実施形態における3個の放送源、受信機及び地球中心の位置関係と領域判定に関連する三角形、平面及びその交点とを示す模式図である。
【図22】本発明の第4の実施形態に係る領域検証の手順を説明するためのフローチャートである。
【図23】同実施形態における3個の放送源、受信機及び地球中心の位置関係と領域判定に関連する三角形とを示す模式図である。
【図24】同実施形態における三角形に関連するベクトルを示す模式図である。
【図25】本発明の第5の実施形態に係る時刻及び位置認証装置を内蔵した移動端末の構成を示す模式図である。
【図26】本発明の第6の実施形態に係る時刻及び位置認証装置を内蔵した移動端末の構成を示す模式図である。
【図27】従来の一般化された再送攻撃を示す模式図である。
【符号の説明】
【0142】
10,10a,10b…移動端末、11…内部時計、12…内部時計更新時刻情報格納部、13…耐タンパー性保証パラメータ格納部、14…受信部、15…受信情報格納部、16…復調部、17…認証子検証部、18…時刻/位置情報算出部、19…算出受信時刻情報/算出位置情報検証部、20…時刻情報格納部、21,21a,21b…スイッチ、22…タイミング制御部、23…シャッター、24…撮像素子、25…電子ファイル生成部、26…ハッシュ値生成部、27…ディジタル署名生成部、28…署名付き電子ファイル格納部、29…耐タンパー保護領域。
【技術分野】
【0001】
本発明は、無線放送を用いて放送源の時刻情報と位置情報が配信される移動端末の時刻及び位置認証装置、方法及びプログラムに関する。
【背景技術】
【0002】
現在、GPS(Global Positioning System)と呼ばれるシステムにより、電波放送による位置情報の提供が行われている(例えば、非特許文献1参照)。このシステムは、上空約2万kmを周回する約30個のGPS衛星、GPS衛星の追跡と管制を行う管制局、測位を行うための利用者の受信機で構成される。受信機は、原則として4個以上のGPS衛星からの距離を同時に知ることにより、受信位置及び受信時刻を高精度で決定可能となっている。GPS衛星からの距離は、GPS衛星から発信された情報(以下、発信情報ともいう)が受信機に到達するまでに要した時間に基づいて、算出される。この発信情報には、電波放送の正確な発信時刻と発信位置が含まれている。受信機の位置座標(x,y,z)と受信時刻(t)との4個の未知変数を求めるには、独立な4つの方程式が必要となるため、前述したように4個以上のGPS衛星の発信情報が必要となる。
【0003】
係るGPSを利用したシステムとして、カーナビゲーションシステム、携帯端末による位置情報提供サービスシステム、地質調査システム、精密測位システム、時刻合わせシステム、などが挙げられる。GPSの長所として、電波放送を受信可能であれば、時と場所を選ばずに情報を取得可能であることが挙げられる。この長所は、任意の場所に持ち運び可能な携帯端末に対し、時刻情報や位置情報を提供する手段として好適である。
【0004】
しかしながら、現在のGPSは、放送通信に対する典型的な攻撃である偽造攻撃及び再送攻撃に対する防御対策がなされていない。なお、偽造攻撃とは、正当な位置情報と区別できない不正な位置情報を偽造して受信機に提供する攻撃を意味する。再送攻撃とは、過去に放送された正当な情報を後にそのままの形で不正流用する攻撃を意味する。
【0005】
現在のGPSは、偽造攻撃及び再送攻撃に対する防御対策が無いことから、受信者に提供された時刻情報及び位置情報の正当性を技術的に保証できない不都合がある。
【0006】
しかしながら、この不都合を解消する観点から、先行技術文献情報ではないが、本発明者により出願された特許文献1がある。特許文献1に記載の技術は、(i)ディジタル署名などに基づく認証子を放送情報に持たせて受信者がこの認証子を検証し各々の放送源の正当性を判別することにより偽造攻撃を防止する提案、及び(ii)放送情報により算出される受信時刻と、耐タンパー技術により保護された受信機の内部時計が提供する時刻情報とを比較することにより、再送攻撃を防止する提案によって構成されている。
【0007】
このような特許文献1に記載の技術は、偽造攻撃を根本的に防止でき、且つ多くの場合の再送攻撃を防止できる内容となっている。「多くの場合の再送攻撃」とは、4つの放送源の発信情報を1つに合わせた情報に対し遅延時間を発生させる場合、すなわち4つの放送源の各発信情報に対し完全に等しい遅延時間を発生させる場合の再送攻撃を意味している。
【非特許文献1】「特集 さまざまな次世代GPS測位技術」、情報処理、 社団法人 情報処理学会、2002年8月、第43巻、第8号
【特許文献1】特願2005−126675号明細書
【発明の開示】
【発明が解決しようとする課題】
【0008】
しかしながら、以上のような特許文献1に記載の技術は、多くの場合の再送攻撃を防止するものの、本発明者の検討によれば、さらに巧妙で強力な場合の再送攻撃に対し、新たな対策が必要と考えられる。「さらに巧妙で強力な場合の再送攻撃」とは、4つの放送源の発信情報それぞれに対し異なる遅延時間を発生させるような、より一般化された場合の再送攻撃を想定している。
【0009】
本発明は上記実情を考慮してなされたもので、無線を用いた位置認証に対する一般化された再送攻撃を阻止し、信頼性を向上し得る時刻及び位置認証装置、方法及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
第1の発明は、電子ファイルを認証時点の時刻及び位置で認証する時刻及び位置認証装置であって、外部の複数の放送源から無線で送信される送信時刻情報、放送源位置情報、及び放送源固有の認証子を含む無線放送を受信する受信手段と、前記認証子に基づいて、前記無線放送の偽造の有無を判定する偽造判定手段と、内部時刻情報を提供する内部時計装置と、前記無線放送の受信時刻を示す受信時刻情報を取得する受信時刻取得手段と、前記受信時刻情報と前記内部時刻情報とを比較し、両者の差に基づいて、前記無線放送の再送の有無を判定する第1の再送判定手段と、前記無線放送に基づいて、自装置の位置情報を算出する位置算出手段と、前記各放送源の放送源位置情報のうち、3つの放送源位置情報と地球の中心位置とからなる三角錐の境界又は内側領域に、前記算出した自装置の位置情報が含まれる場合、前記無線放送を再送無しと判定する第2の再送判定手段と、前記偽造判定手段による判定の結果が偽造無しを示し、且つ前記第1及び第2の再送判定手段による判定結果がいずれも再送無しを示す場合、前記内部時刻情報及び前記自装置の位置情報に基づいて、前記電子ファイルのデジタル署名を生成する署名生成手段と、前記デジタル署名を前記電子ファイルに付加する署名付加手段とを備えた時刻及び位置認証装置である。
【0011】
(作用)
第1の発明は、偽造判定手段により偽造攻撃を阻止し、第1の再送判定手段により、多くの場合の再送攻撃を阻止した上で、第2の再送判定手段により、一般化された場合の再送攻撃を阻止している。
【0012】
ここで図27に、一般化された再送攻撃を示す。このような攻撃を用いるとき、攻撃者は個々の標準放送源に対してそれぞれ異なる遅延時間を適当に選ぶことにより、受信情報から算出される受信時刻と真の受信時刻とを一致させ、かつ算出される受信位置を真の受信位置とは異なる座標に改ざんすることが可能となる。図27においては、攻撃者は真の受信位置座標p→(実際はpの真上に→の表記)で放送源1〜4の放送源情報を横取りし、各放送源に対して異なる適切な遅延時間δiを発生させた上でこれらを改めて組み合わせ、真の受信位置p→において受信機に同時に受信させることにより、算出される受信時刻と真の受信時刻を一致させ、かつ算出位置座標を偽の位置q→(≠p→)に不正に変更することができる(なお、q→,p→は実際にはq,pの真上に→の表記)。ただしこのとき、光速をcとし、放送源iと偽の受信位置q→との間の距離をeiとし、放送源iと真の受信位置p→との間の距離diとすると、図27においてei−di=cδi(≧0)の関係が成り立たなければならない。攻撃者がこのような巧妙な再送攻撃を行うとき、特許文献1に記載の技術を用いた偽造判定手段と第1の再送判定手段では、不正を検出することができない。
【0013】
ここで本発明者の研究によれば、攻撃者により算出される受信時刻と真の受信時刻とが一致させられるとき、再送攻撃の定義から、再送攻撃による偽の受信位置q→と個々の標準放送源iとの距離eiは、真の受信位置p→と個々の標準放送源iとの距離diより必ず大きくなければならない。この事実に基づき、算出される受信時刻が真の受信時刻と一致し、かつ3つの放送源位置座標と地球の中心位置とからなる三角錐の境界又は内側領域に、前記領域を定義する3つを含む4つの放送源位置座標から算出された位置座標が存在するならば、偽造攻撃が防止される前提のもと、算出された位置座標は再送攻撃によらない真の受信位置であることが必ず言える。
【0014】
これに基づき、第1の発明では、特許文献1に記載の技術を用いて、偽造攻撃を防止し、かつ算出される受信時刻が真の受信時刻と一致することを検証したうえで、新たに第2の再送判定手段により、各放送源の放送源位置情報のうち、3つの放送源位置情報と地球の中心位置とからなる三角錐の境界又は内側領域に、自装置の位置情報が含まれる場合、無線放送を再送無しと判定するので、一般化された再送攻撃をも防止することができる。
【0015】
従って、第1の発明は、無線を用いた位置認証に対する一般化された再送攻撃を阻止し、算出位置情報と算出時刻情報の信頼性を向上させることができる。
【発明の効果】
【0016】
以上説明したように本発明によれば、無線を用いた位置認証に対する一般化された再送攻撃を阻止し、信頼性を向上できる。
【発明を実施するための最良の形態】
【0017】
以下、本発明の各実施形態について図面を用いて説明する。
【0018】
(第1の実施形態)
図1は本発明の第1の実施形態に係る時刻及び位置認証装置を内蔵した移動端末の構成を示す模式図である。この移動端末10は、カメラ付き携帯電話であり、内部時計11、内部時計更新時刻情報格納部12、耐タンパー性保証パラメータ格納部13、受信部14、受信情報格納部15、復調部16、認証子検証部17、時刻/位置情報算出部18、算出受信時刻情報/算出位置情報検証部19、時刻情報格納部20、スイッチ21、タイミング制御部22、シャッター23、撮像素子24、電子ファイル生成部25、ハッシュ値生成部26、ディジタル署名生成部27、署名付き電子ファイル格納部28及び耐タンパー保護領域29を備えている。なお、移動端末10は、各機能を実現するためのハードウェア構成、又はハードウェアとソフトウェアとの組み合わせ構成として実現されている。ソフトウェアは、予め記憶媒体又はネットワークからインストールされ、その機能を実現させるためのプログラムからなる。ソフトウェアで実現可能な要素としては、例えば、復調部16、認証子検証部17、時刻/位置情報算出部18、算出受信時刻情報/算出位置情報検証部19、電子ファイル生成部25、ハッシュ値生成部26及びディジタル署名生成部27が挙げられる。
【0019】
ここで、内部時計11は、耐タンパー保護領域29内で動作し、各放送源iの持つ時計と同期する高精度な時計であり、内部時刻情報を時刻情報格納部20に提供する機能と、不正操作を検知すると直ちに正常動作を停止する機能をもっている。なお、利用者による内部時計11の操作は禁止されている。また、放送源iとしては、GPS衛星等の人工衛星に限らず、地上の基地局でもよく、船上の移動局でもよい。詳しくは、放送源iとしては、送信時刻情報及び放送源位置情報と、MAC(Message Authentication Code)あるいはディジタル署名方式が用いられる認証子と、を無線放送で発信するものであればよい。MACによる認証子は、放送源i及び移動端末10間の共通秘密鍵とハッシュ関数に基づいて生成される。ディジタル署名方式による認証子は、放送源iの署名鍵と公開検証鍵とに基づいて生成される。
【0020】
内部時計更新時刻情報格納部12は、管理センタにより更新記憶されるメモリであり、管理センタが内部時計11を同期させた時刻を示す同期時刻情報及び有効期限を保持し、撮影毎に、同期時刻情報及び有効期限をそれぞれディジタル署名生成部27及び署名付き電子ファイル格納部28に送出する機能をもっている。
【0021】
耐タンパー性保証パラメータ格納部13は、耐タンパー保護領域29に設けられ、耐タンパー性保証パラメータを格納するものであり、耐タンパー保護領域29に外部から不正操作が行われた場合、この不正操作を検知してただちに耐タンパー性保証パラメータをゼロ値にする機能をもっている。
【0022】
受信部14は、外部の放送源から無線で送信される送信時刻情報、放送源位置情報、及び放送源固有の認証子を含む無線放送を受信して受信情報を生成する機能を有し、具体的には無線による標準放送と補正放送のための高感度受信回路から成る。
【0023】
ここで、標準放送とは、例えばGPS測位衛星の送信情報のように、高精度な「放送源の位置情報」と「放送の発信時刻情報」の2つが含まれた無線放送を指す。さらに、送信情報の放送源を識別しその正当性を保証するため、例えば発信情報の内容を反映したディジタル署名など、放送源に固有な認証子が付加されている。相対測位システムを用いる場合、これに加え、予め正確な位置情報を知る基地局jが補正座標値を放送する。本実施形態では、この補正座標値を補正放送と呼ぶ。ここで、補正放送には、基地局jが補正放送を送信した正確な時刻と、補正座標値・送信時刻を反映したディジタル署名などの基地局j固有の認証子が付加されている。
【0024】
受信情報格納部15は、タイミング制御部22から要求を受けると、直ちに受信部14から受信情報を取得・記憶する機能をもっている。
【0025】
復調部16は、受信情報格納部15内の受信情報を読出可能なデータ形式へ復調し、受信情報を認証子検証部17に送出する機能をもっている。
【0026】
認証子検証部17は、復調部16から受けた受信情報の認証子に基づいて無線放送の偽造の有無を判定する機能を有するものであり、具体的には、復調部16から受けた受信情報に対し、標準放送源iからのものであるか、伝搬経路において改ざんされていないか、の2点に関して認証子を用いて検証する。ここでは具体例として初めに、認証子が公開鍵暗号方式に基づくディジタル署名である場合を考える。各放送源iと各基地局jは、それぞれが固有に持つ秘密鍵を用いて、送信情報のハッシュ値を復号してディジタル署名を生成し、このディジタル署名を認証子として送信情報のメッセージ部に付加する。認証子検証部17は、予め保持した各放送源iと各基地局jの正当な公開鍵を用いて、受信情報に含まれる認証子を暗号化し、得られた暗号化認証子と、受信情報のメッセージ部のハッシュ値とを比較し、両者が等しい場合、受信情報を正当と認める。
【0027】
次に、現在GPS衛星が発信する放送にはディジタル署名が付加されていないため、ディジタル署名を用いないGPSシステムで使用可能な代替方法を考える。移動端末10はGPS受信情報を一時的に記憶し、過去の正当なGPS衛星データを格納しているデータベース等を参照し、受信情報に含まれるGPS衛星の時計修正情報・軌道情報が一致しているか否かを確認し、放送源iの正当性と改ざんの有無を検証する。但し、正しいGPS衛星データは一般に公開されているため、この方法ではディジタル署名を用いる場合に比べて安全性ははるかに劣る。
【0028】
時刻/位置情報算出部18は、認証子検証部17により正当と認められた標準放送の受信情報から、受信時刻を示す受信時刻情報と移動端末10の位置情報を算出するものであり、受信時刻情報を算出受信時刻情報/算出位置情報検証部19に送出する機能と、算出受信時刻情報/算出位置情報検証部19からの制御により、位置情報をディジタル署名生成部27及び署名付き電子ファイル格納部28に送出する機能をもっている。
【0029】
ここで、時刻/位置情報算出部18における算出過程について補足説明する。ある放送源をiとすると、標準放送には放送源iの位置情報(xi,yi,zi)と放送の送信時刻情報tiが含まれている。電磁波の速度をc、移動端末10の位置を(x,y,z)、受信時刻をtとすると、放送源iと移動端末10の間には次式の関係が成り立つ。
【数4】
【0030】
上式において、xi,yi,zi,tiは放送源iから標準放送によって与えられる既知数、cは既知の物理定数、x,y,z,tは未知数である。未知数は全部で4つあるので独立な式が4つ以上あればこの連立方程式は解ける。従って、4つ以上の放送源から受信情報を得て連立方程式を解き、移動端末10の位置情報と受信時刻情報を取得する。
【0031】
ここで、標準放送による位置情報と時刻情報をリアルタイムで得る方法には、図2に示す如き単独測位システムと、図3に示す如き相対測位システムがある。
【0032】
単独測位システムとは、標準放送源iと移動端末10のみを用いて行う方法である。位置情報・時刻情報の測定に、理想的には十分であるが、現実には電離層における光速の変動など様々な外的要因によって情報にゆらぎが加わるため、単独測位システムでは測定精度に限界がある。
【0033】
相対測位システムとは、単独測位システムに加え、予め正確に位置情報を把握している基地局jを媒介として、加わる情報のゆらぎをリアルタイムに観測し、その座標補正値を放送によって移動端末10へ送るものである。相対測位システムはかなり高い測定精度を期待できるが、移動端末10が基地局jから離れるほど精度が下がるので、移動端末10の移動範囲の側に基地局jが存在しなければならない。
【0034】
算出受信時刻情報/算出位置情報検証部19は、時刻情報に基づく検証と、位置情報に基づく検証とを実行可能なものである。算出受信時刻情報/算出位置情報検証部19は、時刻情報に基づく検証に関しては、時刻/位置情報算出部18で標準放送から算出された受信時刻情報と時刻情報格納部20が取得した内部時刻情報とを比較し、両者の差に基づいて、無線放送の再送の有無を判定するものであり、具体的には、2つの時刻の差分が予め設定した しきい値Δtth以下であるか否かを検証する機能をもっている。なお、しきい値Δtth以下の場合、無線放送の再送無しを意味し、しきい値Δtthを超える場合、無線放送の再送有りを意味する。また、認証により保証される位置情報の距離精度をΔL、攻撃者の再送までにかかる処理時間をαとすると、しきい値Δtthは次式のように定義される。
【数5】
【0035】
この検証で差分がΔtth以下の場合、算出受信時刻情報/算出位置情報検証部19は、後述する領域検証でも再送無しの結果を得た後に、時刻/位置情報算出部18に位置情報をディジタル署名生成部27へ送るように要求し、時刻情報格納部20に内部時刻情報をディジタル署名生成部27へ送るように要求する機能をもっている。なお、差分の検証によって再送攻撃を防ぐためには、内部時計11の更新間隔をTとすると、使用する内部時計11の単位時間毎誤差Δτは次式の関係を満たさなくてはならない。
【数6】
【0036】
逆に内部時計11の誤差Δτが与えられたとき、保証される距離精度ΔLは、ΔL=c(TΔτ−α)と求められる。具体例としては、攻撃者が必要最小限な信号処理のみを行い伝送に高速専用ケーブル2を用いると仮定し、標準的な処理時間はα=1×10-7[s]程度であり、c=3×108[m/s],Δτ=1×10-11[s],T=86400[s]=(1[day])と仮定する。このとき、保証される距離精度ΔLは次のようになる。
【数7】
【0037】
但し、移動端末10は、短時間内に移動しながら使用されるため固定された高速専用ケーブル2を用いることが難しく、無線やインターネットを用いたデータ伝送を想定するのが一般的であり、生じる余分な遅延時間αが大幅に増加する。
【0038】
このように、算出受信時刻情報/算出位置情報検証部19が位置情報の正当性を保証するには、内部時計11の精度の高さが本質的である。高精度な内部時計の現実的な候補として、2004年アメリカのNIST(米国標準技術局)によって開発された超小型原子時計が挙げられる。NISTの発表によれば、この超小型原子時計は、製造工程において従来のMEMS(micro-electro-mechanical systems)向け生産技術がそのまま適用可能であるため、量産化に適している。また、超小型原子時計は、占有体積も非常に小さく、腕時計や携帯電話などの小型移動端末の組み込みにも適している。さらに、超小型原子時計は、単位時間毎誤差が2004年8月の発表ではΔτ=1×10-10[s]程度とされ、現在はΔτ=1×10-11[s]程度での安定動作を目標に開発中としている。
【0039】
ここで、日本のAIST(産業技術総合研究所)により開発され2003年6月に発表されたレーザー冷却を用いる原子時計が既にΔτ=1.4×10-15[s]以下の時刻精度を実現していることを念頭に、携帯端末10に組み込み可能な小型原子時計が近い将来Δτ=1×10-14[s]程度の時刻精度を実現した場合を考える。この場合、位置認証の距離精度を先の見積もりと同程度とすると、内部時計11の必要更新間隔は2年半以上にもおよぶので、管理者による内部時計11の更新操作を省略可能となる。また、想定する攻撃者の処理能力が低く、処理時間がα=1×10-3[s]より大きいと分かっている場合も、Δτ=1×10-11[s]であれば、内部時計の必要更新間隔が2年半以上となり、同様に管理者の更新操作を省略可能である。
【0040】
また一方、スイスのオシロクォーツ社では、単位月毎誤差がΔτ=1×10-8[s]であり、且つ、0.2秒−10秒間の短時間安定性がσ(τ)<5×10-11[s]である超高精度な水晶発振器(OCXO 8711/8712シリーズ)を2003年3月編集の技術仕様書に掲載している(インターネット:www.oscilloquartz.com)。このような水晶発振器に基づく水晶時計は、高精度な内部時計11にも十分に適用可能となっている。
【0041】
算出受信時刻情報/算出位置情報検証部19は、相対測位システムの場合、標準放送に加えて補正放送に対しても、内部時計11から取得された受信時刻情報と、補正放送が含む発信(送信)時刻情報とを比較し、差分が規定値以下であるか否かを検証する機能をもっている。この規定値は標準放送に対するしきい値とは異なる設定値で、基地局jの補正放送の更新頻度を適切に考慮していればよく、具体的には1[min]程度といったものが想定される。
【0042】
一方、算出受信時刻情報/算出位置情報検証部19は、位置情報に基づく検証(領域検証)に関しては、各放送源の放送源位置情報のうち、3つの放送源位置情報と地球の中心位置とからなる三角錐の境界又は内側領域に、算出した自装置の位置情報が含まれる場合、無線放送の再送の無しを判定結果とする機能をもっている。
【0043】
時刻情報格納部20は、タイミング制御部22から要求を受けると直ちに内部時計11から時刻情報を取得・記憶するものであり、算出受信時刻情報/算出位置情報検証部19から許可を得た後、取得した時刻情報をディジタル署名生成部27に与える機能をもっている。
【0044】
スイッチ21は、オン状態においてシャッター23を作動させ、同時にタイミング制御部22へオン状態であることを知らせる。
【0045】
タイミング制御部22は、スイッチ21がオン状態になると直ちに、受信情報格納部15が受信情報を、時刻情報格納部20が内部時計11の内部時刻情報を、それぞれ同時に取得・記憶するよう制御を行う。
【0046】
シャッター23は、スイッチ21により作動する開閉機構である。
撮像素子24は、シャッター23が開状態のとき、前方の被写体を撮像し、撮像結果を含む出力信号を電子ファイル生成部25に送出するものである。
【0047】
電子ファイル生成部25は、シャッター23作動後、撮像素子24から受けた出力信号に基づいて、画像を表す電子ファイルを生成する機能と、電子ファイルをハッシュ値生成部26及び署名付き電子ファイル格納部28に送出する機能とをもっている。
【0048】
なお、スイッチ21、シャッター23、撮像素子24、電子ファイル生成部25及び署名付き電子ファイル格納部28は、カメラ付き携帯電話のカメラに対応する要素である。
【0049】
ハッシュ値生成部26は、電子ファイル生成部25から受けた電子ファイルから一方向性関数と見なせる演算を用いてハッシュ値を生成し、得られたハッシュ値をディジタル署名生成部27へ送出する機能をもっている。
【0050】
ディジタル署名生成部27は、認証子検証部17による判定の結果が偽造無しを示し、且つ算出受信時刻情報/算出位置情報検証部19による判定結果が再送無しを示す場合、内部時刻情報及び自装置の位置情報に基づいて、電子ファイルのデジタル署名を生成するものである。
【0051】
具体的にはディジタル署名生成部27は、ハッシュ値生成部26から受けたハッシュ値に対し、時刻/位置情報算出部18から受けた位置情報と、時刻情報格納部20から受けた内部時刻情報と、内部時計更新時刻情報格納部12から受けた同期時刻情報及び有効期限とを付加して署名対象データを作成し、この署名対象データに対し、移動端末10固有の秘密鍵に基づいて復号処理を実行してディジタル署名を生成し、得られたディジタル署名を署名付き電子ファイル格納部28に送出する機能をもっている。
【0052】
署名付き電子ファイル格納部28は、電子ファイル生成部25から受けた電子ファイルに対し、時刻/位置情報算出部18から受けた位置情報と、時刻情報格納部20から受けた内部時刻情報と、内部時計更新時刻情報格納部12から受けた同期時刻情報及び有効期限と、ディジタル署名生成部27から受けたディジタル署名とを付加し、これら電子ファイル、位置情報、内部時刻情報、同期時刻情報、有効期限及びディジタル署名を1組として記憶する機能をもっている。
【0053】
耐タンパー保護領域29は、内部時計11、内部時計更新時刻情報格納部12、耐タンパー性保証パラメータ格納部13、受信部14、受信情報格納部15、復調部16、認証子検証部17、時刻/位置情報算出部18、算出受信時刻情報/算出位置情報検証部19、時刻情報格納部20、タイミング制御部22、電子ファイル生成部25、ハッシュ値生成部26、ディジタル署名生成部27に耐タンパー性を持たせて保護するものであり、具体的には、耐タンパー保護領域29に外部から不正操作が行われた場合、この不正操作を検知してただちに前述した各要素11〜20,22,25〜27を無効にする機能をもっている。ここで、無効にする機能は、各要素のデータ又はプログラムを消去すればよい。
【0054】
次に、以上のように構成された移動端末の動作を説明する。ここでは、単独測位システムの場合について図4に示す。相対測位システムについても本質的に同様である。但し内部時計11の更新期間が端末使用期間に比べて長いとき、内部時計11の時刻更新操作及び管理センタ40は必ずしも必要でない。
【0055】
[1] 管理センタ40による移動端末10の内部時計11の時刻更新
管理センタ40は、移動端末10の内部時計11を標準放送源iに同期させる。同期のための時刻情報を得る方法は、管理センタ40が標準放送に同期した標準時計を保有してその標準時計から得てもよく、又は標準放送を受信して受信時刻を算出することから得てもよい。管理センタ40は、いずれにしても移動端末10の内部時計11を標準放送源iの時刻に同期させた後、移動端末10を利用者へ貸し出す。
【0056】
[2] 利用者による移動端末10の使用
移動端末10は、管理センタ40から利用者に貸し出され、利用者の操作により、管理センタ40が定めた有効期限の間、任意の時刻と場所で撮影を行い、電子ファイルを作成する。移動端末10は、標準放送及び補正放送によって、移動端末10自身の位置情報と時刻情報を得る。
【0057】
移動端末10は、利用者の操作により、電子ファイルのハッシュ値に位置情報、内部時刻情報、同期時刻情報及び有効期限を付加して署名対象データを作成し、この署名対象データからディジタル署名を生成し、このディジタル署名を電子ファイルに付加して記憶する。
【0058】
[3] 管理センタ40による携帯端末の検証
移動端末10は、有効期間内に利用者により管理センタ40へ返却される。管理センタ40は、移動端末10の耐タンパー性保証パラメータを検証し、不正操作の無いことを確認し、移動端末10から電子ファイルとディジタル署名とを出力させる。
【0059】
また、利用者は、有効期限が過ぎると、再び管理センタ40へ有効期限の更新を依頼する。以下同様に、上記[1]〜[3]の動作が繰り返し実行される。
【0060】
続いて、上記[2]における検証動作を詳細に説明する。
[位置情報の検証手順]
図5及び図6に示す手順で検証を行い、標準放送と補正放送に対する「偽造攻撃」及び「再送攻撃」を防止することを以下のように説明する。
【0061】
スイッチ21は、利用者の操作により、オン状態においてシャッター23を開状態に作動させ、同時にタイミング制御部22へオン状態であることを知らせる。
【0062】
撮像素子24は、シャッター23が開状態のとき、前方の被写体を撮像し、撮像結果を含む出力信号を電子ファイル生成部25に送出する。
【0063】
電子ファイル生成部25は、この出力信号に基づいて、画像を表す電子ファイルを生成し(ST1)電子ファイルをハッシュ値生成部26及び署名付き電子ファイル格納部28に送出する。
【0064】
一方、タイミング制御部22は、スイッチ21がオン状態になると直ちに、受信情報格納部15が受信情報を、時刻情報格納部20が内部時計11の内部時刻情報を、それぞれ同時に取得・記憶するよう制御を行う(ST2,ST3)。
【0065】
復調部16は、受信情報格納部15内の受信情報を読出可能なデータ形式へ復調し(ST4)、受信情報を認証子検証部17に送出する。
【0066】
認証子検証部17は、この受信情報の認証子に基づいて無線放送の偽造の有無、すなわち、認証子が正当か否かを判定する(ST5)。なお、ステップST5の判定は、ステップST4とST31との間であれば、いつ行ってもよく、例えばステップST20の後に行ってもよい。また、ステップST5の判定結果が正当を示さなければ処理を中止するが(ST6)、ここでは受信情報を正当と認めた場合を述べる。
【0067】
時刻/位置情報算出部18は、標準放送・補正放送の各放送源からの各受信情報について、各受信情報に含まれる送信時刻情報と、耐タンパー保護領域29にある内部時計11の提供する受信時刻情報とを個別に比較し、送信時刻と受信時刻との差分が最大許容範囲内か否かを検証し(ST7)、不合格の受信情報を廃棄する(ST8)。
【0068】
次に、時刻/位置情報算出部18は、ステップST7の検証に合格した受信情報が4個以上あるか否かを判定し(ST9)、否の場合には、移動端末10が得た受信情報を全て不正とみなし、ステップST6に移行して全処理を終了する。
【0069】
ステップST9の判定の結果、合格した受信情報が4個以上ある場合、時刻/位置情報算出部18は、合格した複数の受信情報の中から4個1組として未検証の組を任意に選択する(ST10)。
【0070】
しかる後、時刻/位置情報算出部18は、受信時刻を示す標準放送受信時刻情報を算出し(ST11)、補正放送から補正放送受信時刻を算出し(ST12)、移動端末10の位置情報を算出し(ST13)、これら算出結果を算出受信時刻情報/算出位置情報検証部19に送出する。
【0071】
算出受信時刻情報/算出位置情報検証部19は、算出された標準放送受信時刻情報と時刻情報格納部20が取得した内部時刻情報とを比較し、両者の差に基づいて、無線放送の再送の有無を判定、すなわち、2つの時刻の差分が予め設定した しきい値Δtth以下であるか否かを検証し(ST14)、しきい値Δtthを超えていれば無線放送の再送有りとして処理を中止する。続いて、算出受信時刻情報/算出位置情報検証部19は、合格した受信情報から選択可能な組のうち、全ての組を検証したか否かを判定し(ST15)、検証した場合には処理を中止して終了し(ST16)、否の場合にはステップST10に戻って別の組を選択する。
【0072】
一方、ステップST14の検証の結果、しきい値Δtth以下の場合、標準放送に加えて補正放送に対しても、内部時計11から取得された時刻情報と、算出された補正放送受信時刻情報とを比較し、差分が規定値以下であるか否かを検証し(ST17)、規定値を超えていれば処理を中止してステップST15に戻る。
【0073】
一方、規定値以下の場合、算出受信時刻情報/算出位置情報検証部19は、算出された移動端末10の位置座標が地球表面上あるいはその近傍にあることを検証する(ST18)。
【0074】
ステップST18の検証に合格した場合、選択された4個の受信情報から未試行の3個の受信情報を選択し(ST19)、図7に示すように、選択した各座標P1,P2,P3と地球の中心位置Oとで囲まれる三角錐の境界又は内側領域に受信機の位置座標xが含まれるか否かを検証する(ST20)。
【0075】
ステップST20の領域検証により、4つの放送源からの受信情報それぞれに対し異なる遅延時間を発生させる一般化された再送攻撃を原理的に防止できる。ここで、領域検証の原理を図7及び図8を用いて説明する。いま、攻撃者の受信機Xが4個の放送源P1〜P4のうち、3個の放送源のP1,P2,P3の地球表面上への射影点に囲まれた領域にあるとする。但し、説明の便宜上、図8においては、P4の記載を省略し、放送源P1,P2,P3をそれぞれP,Q,Rと呼ぶ。
【0076】
偽造攻撃が認証子の検証により必ず防止され、さらに受信情報から算出される移動端末の受信時刻が真の受信時刻と一致する場合、再送攻撃が可能であるためには、次の条件[#](以下、再送攻撃可能な条件ともいう)が受信機と、全ての各放送源との間で成り立たなければならない。
[♯](偽の受信機の位置と、ある放送源との間の距離)≧(真の受信機の位置と、ある放送源との間の距離)。
【0077】
この条件[#]は、再送攻撃の定義が、受信情報を保持した直後に再送信してこの受信情報を微小時間だけ遅延させる攻撃であることに起因する。電磁波の伝搬時間を用いた2点間の距離の測定において、光速は一定であるから、再送攻撃による電磁波の遅延を伴う場合、得られる距離の測定値は距離の真値より必ず大きくなる。ここで、攻撃者が算出受信時刻を真の受信時刻に一致させる場合、攻撃者が発生させなければならない遅延時間は各放送源の位置変化が無視できる程度に微小であることが言える。このため、放送の偽造が防止されるとき、受信情報に含まれる放送源の位置は常に正確に与えられると見なせる。したがって、与えられたこれら放送源の位置を起点として見るとき、再送攻撃によって得られる偽の受信位置は真の受信位置より必ず遠くになくてはならないという関係がある。この関係を正確に表したのが条件[#]である。なお、条件[#]は、図27を参照して述べた関係ei−di=cδi(≧0)に基づいて、ei=di+cδi及びcδi≧0から得られる関係ei≧diを表すとも言える。
【0078】
ここで仮に、図8に示すように、算出して得られた受信機の位置Xが領域P-Q-Rに含まれる場合、Xを再送攻撃による偽の受信機の位置と仮定すると、真の位置X’がどこにあろうと、再送攻撃可能な条件[#]を満たさない放送源が必ず1つ以上存在することになり、これは明らかに矛盾する。ゆえに、Xを再送攻撃による偽の受信機の位置であるとした前記の仮定は成り立たないことがわかる。
【0079】
したがって、偽造攻撃が防止されている前提のもと、算出された位置Xが領域に含まれるならば、X は再送情報に基づかない受信機の位置情報であることが言える。以上が領域検証の原理である。
【0080】
ステップST20の領域検証の結果、3個の受信情報に基づく領域に位置座標が含まれない場合(ST20;NO)、一つ前のステップST19で選択された4個の受信情報の全ての組み合わせを試行したか否かを判定し(ST30)、まだ未試行の組み合わせがあれば(ST30;NO)、ステップST19に戻って3個の組み合わせを選択し直し、ステップST20の領域検証を再試行する。未試行の3個の組み合わせがこれ以上無い場合(ST30;NO)、ステップST15に移行して未検証の組があれば(ST15;NO)、未検証の組を対象にしてステップST10〜ST30の処理を再実行する。ステップST15に移行して未検証の組が無ければ(ST15;YES)、移動端末10が得た受信情報を全て不正と見なし、処理を中止して終了する(ST16)。
【0081】
一方、ステップST20の領域検証の結果、3個の受信情報に基づく領域に位置座標が含まれる場合(ST20;YES)、合格した3個の受信情報を含むステップST10で選択された4個の受信情報、及びそこから算出された時刻情報・位置情報を、正当と認める。
【0082】
すなわち、標準放送・補正放送から算出された位置情報の正当性を確定し(ST31)、位置情報の検証を終了する。
【0083】
以下、前述同様に、移動端末10は、電子ファイルのハッシュ値に位置情報、内部時刻情報、同期時刻情報及び有効期限を付加して署名対象データを作成し、署名対象データからディジタル署名を生成し、このディジタル署名を電子ファイルに付加して記憶する。
【0084】
上述したように本実施形態によれば、無線で送信される送信時刻情報及び放送源位置情報に、放送源固有の認証子を付与し、この認証子に基づいて偽造の有無を判定することにより、偽造攻撃を阻止できる。さらに、無線放送の受信時刻を示す受信時刻情報と、内部時計11の内部時刻情報とを比較し、両者の差に基づいて再送の有無を判定することにより、多くの場合の再送攻撃を阻止できる。従って、無線を用いた位置認証に対する偽造攻撃及び再送攻撃を阻止し、信頼性を向上させることができる。
【0085】
これに加え、各放送源の放送源位置情報のうち、3つの放送源位置情報と地球の中心位置とからなる三角錐の境界又は内側領域に、自装置の位置情報が含まれる場合、無線放送を再送無しと判定するので、前述した偽造攻撃の防止および受信時刻の比較による再送攻撃の防止では防御不能な、算出された受信時刻情報と内部時計11の内部時刻情報とが一致する一般化された再送攻撃をも防止することができる。従って、無線を用いた位置認証に対する一般化された再送攻撃をも阻止し、信頼性を向上させることができる。
【0086】
詳しくは、移動体通信に用いる移動端末10に関して、放送等の一方向通信に含まれた時刻情報や位置情報を位置を固定することなく移動端末10で取得する。偽造攻撃に対しては、送信情報に付加された放送源i固有の認証子が正当か否か、あるいは放送源i自身の位置情報と時刻情報が公開された正しい情報と一致するか否か、を検証して防止する。多くの場合の再送攻撃に対しては、移動端末10の内部時計11と送信情報に含まれた時刻情報との差分が設定されたしきい値以下であるか否かを検証して防止する。また、一般化された再送攻撃に対しては、各放送源の放送源位置情報のうち、3つの放送源位置情報と地球の中心位置とからなる三角錐の境界又は内側領域に、自装置の位置情報が含まれるか否かを検証して防止する。
【0087】
従って、移動端末10の時刻情報と位置情報及び移動端末10が生成する電子ファイルに付加された時刻情報と位置情報の正当性を技術的に保証することができる。また、GPS等の放送型通信を利用して、電子ファイル生成を端末側で行い、端末を定位置に固定する必要がなくネットワーク接続の必要もない、偽りの位置情報を許さない安全な位置認証を実現することができる。
【0088】
また、本実施形態によれば、時刻情報及び位置情報の正当性を保証できるので、デジタルデータの生成時刻・位置の保証、物流における時刻情報及び位置情報の記録証明、自動車の走行記録証明など、提供される時刻情報及び位置情報の正当性が要求される種々のサービスを実現できる。例えば、定位置に固定されない携帯受信端末等を用いた種々のサービスを実現できる。
【0089】
(第2の実施形態)
次に、本発明の第2の実施形態について前述した図面を参照しながら説明する。
本実施形態は、第1の実施形態の具体例であり、図1に示す算出受信時刻情報/算出位置情報検証部19が、図6に述べたステップST20を、図9に示すステップST21〜ST27のように実行する構成となっている。
【0090】
次に、以上のように構成された算出受信時刻情報/算出位置情報検証部19を備えた移動端末の動作を説明する。
移動端末10においては、前述した通り、ステップST1〜ST19までの処理を実行する。続いて、算出受信時刻情報/算出位置情報検証部19は、「三角錐の境界又は内側領域に、算出された位置情報を含むか否かを検証する」旨のステップST20を開始する。
【0091】
算出受信時刻情報/算出位置情報検証部19は、地球の中心を原点Oとし、選択した3個の放送源についてP1,P2,P3と割り当てる。
【数8】
【0092】
ここで、判定値Vの絶対値は、3つの辺OPi,OPj,OXが張る平行6面体の体積を表す。判定値Vの符号は、図10に示すように、点O,Pi,Pjを含む平面PL1を基準としたとき、算出された位置Xが平面PL1の法線ベクトルn→(実際はnの真上に→の表記)と同じ向きの側にある場合に正、逆の向きの側にある場合に負、同じ平面上に含まれる場合に0となる。この性質を利用して、前述したステップST20の領域検証を実行することができる。領域検証の状況としては、次の(ア)〜(ウ)のいずれかの場合がある。
【0093】
(ア)算出された位置Xが三角錐O-P1-P2-P3に含まれるとき、全てのiについて、判定値Vの符号は常に同じとなる(図11〜図13参照)。符号は全て正でもよく、全て負でもよい。
【0094】
(イ)算出された位置Xが三角錐O-P1-P2-P3に含まれないとき、あるiの値のときの判定値Vの符号は、残り二通りのiの値のときのVの符号とは異なる(図14〜図16参照)。
【0095】
(ウ)算出された位置Xが三角錐O-P1-P2-P3の境界面上に含まれるとき、あるiの値の判定値Vの符号は0となり、残り二通りのiの値のVの符号は互いに同じとなる(図17〜図19参照)。
【0096】
したがって(ア)〜(ウ)をまとめると、i=1,2,3について、判定値Vの全ての値が0以上あるいは全ての値が0以下であれば、算出された位置Xが領域に含まれる旨を判定できる。 これにより、算出受信時刻情報/算出位置情報検証部19は、判定値Vの全ての値が0以上あるいは0以下か否かを判定し(ST23)、判定値Vの全ての値が0以上あるいは0以下の場合、算出された位置Xが領域に含まれる旨を判定し(ST24)、判定結果“YES”を出力する。
【0097】
一方、算出受信時刻情報/算出位置情報検証部19は、ステップST23の判定結果が否の場合、算出された位置Xが領域に含まれない旨を判定し(ST26)、判定結果“NO”を出力する。
以下、前述同様に、移動端末10は、ステップST30又はST31以降の処理を実行する。
上述したように本実施形態によれば、第1の実施形態の効果に加え、1回のベクトル外積及びベクトル内積の演算により算出される判定値Vを3個算出し、この3個の判定値Vの符号に基づいて領域検証を実行する構成により、簡易且つ高速な領域検証を実現することができる。
【0098】
(第3の実施形態)
次に、本発明の第3の実施形態について前述した図面を参照しながら説明する。
本実施形態は、第1の実施形態の他の具体例であり、図1に示す算出受信時刻情報/算出位置情報検証部19が、図6に述べたステップST20を、図20に示すステップST21〜ST27のように実行する構成となっている。
【0099】
すなわち、本実施形態は、三次元コンピュータグラフィックス(3D−CG)の分野で効率的な計算法として知られる交差判定アルゴリズム(T. Moeller and B. Trumbore: Fast, minimum storage ray-triangle intersection, Journal of Graphics Tools, Vol.2, No.1, pp21-28, 1997.を参照)を用いて、前述したステップST20の領域検証を行う構成となっている。 次に、以上のように構成された算出受信時刻情報/算出位置情報検証部19を備えた移動端末の動作を説明する。
移動端末10においては、前述した通り、ステップST1〜ST19までの処理を実行する。続いて、算出受信時刻情報/算出位置情報検証部19は、「三角錐の境界又は内側領域に、算出された位置情報を含むか否かを検証する」旨のステップST20を開始する。
【0100】
始めに、算出受信時刻情報/算出位置情報検証部19は、前述同様に、地球の中心を原点Oとし、選択した3個の放送源についてP1,P2,P3と割り当てる。各放送源P1,P2,P3の位置座標をP1→,P2→,P3→(のベクトル情報)と置き、受信機の位置Xの座標をx→(のベクトル情報)と置く(ST21)。
【0101】
次に、算出受信時刻情報/算出位置情報検証部19は、下記式のように、位置座標x→とその絶対値|x→|との比d→(実際はdの真上に→の表記)を計算し(ST22A−1)、この計算結果d→と位置座標P1→,P2→,P3→とに基づいて、判定値u,vを計算する(ST22A−2)。
【数9】
【0102】
ここで、図21に示すように、直線OXを地球外側に延長した点をEとし、三角形P1−P2−P3を含む平面PL2と直線OEとの交点をYとするならば、sが線分OYの長さを表し、点Yが三角形P1-P2-P3の内部に含まれるか境界線上にあるとき、u,vは、u≧0,v≧0,u+v≦1を満たす。
【0103】
また、点Yの定義と各点O,X,P1,P2,P3との位置関係により、「点Xが三角錐O-P1-P2-P3に含まれるか境界面上にあること」と、「点Yが三角形P1-P2-P3の内部に含まれるか境界線上にあること」は同値である。従って、u,vを計算し、得られた値がu≧0,v≧0,u+v≦1を満たせば、点Xは領域に含まれるものと判定できる。
【0104】
これにより、算出受信時刻情報/算出位置情報検証部19は、判定値Vの全ての値が0以上あるいは0以下か否かを判定し(ST23)、判定値Vの全ての値が0以上あるいは0以下の場合、算出された位置Xが領域に含まれる旨を判定し(ST24)、判定結果“YES”を出力する。
【0105】
一方、算出受信時刻情報/算出位置情報検証部19は、ステップST23の判定結果が否の場合、算出された位置Xが領域に含まれない旨を判定し(ST26)、判定結果“NO”を出力する。
以下、前述同様に、移動端末10は、ステップST30又はST31以降の処理を実行する。
上述したように本実施形態によれば、第1の実施形態の効果に加え、効率的な計算法である交差判定アルゴリズムに基づいて領域検証を実行する構成により、効率的な領域検証を実現することができる。
【0106】
(第4の実施形態)
次に、本発明の第4の実施形態について前述した図面を参照しながら説明する。
本実施形態は、第2の実施形態の変形例であり、図1に示す算出受信時刻情報/算出位置情報検証部19が、図9に述べたステップST22,ST23を、図22に示すステップST22B,ST23Bのように実行する構成となっている。
【0107】
次に、以上のように構成された算出受信時刻情報/算出位置情報検証部19を備えた移動端末の動作を説明する。
移動端末においては、前述した通り、ステップST1〜ST19までの処理を実行する。続いて、算出受信時刻情報/算出位置情報検証部19は、ステップST20を開始し、前述した通り、ステップST21を実行する。
【0108】
続いて、算出受信時刻情報/算出位置情報検証部19は、下記式のように、位置座標P1→,P2→,P3→,x→に基づいて、判定値Dを計算する(ST22B)。
【数10】
【0109】
ここで、図23に示すように、三角錐O-P1-P2-P3を、点Xを含みx→を法線ベクトルとする平面で切って得られる断面の三角形をQ1-Q2-Q3とする。点Xが三角形Q1-Q2-Q3の内部あるいはその周上にあるとき、図24に示すベクトルXQ1→,XQ2→,XQ3→,XOに基づいて、下記式のように計算した値D’は、全て同符号あるいは0となることが言える。
【数11】
【0110】
ここで、「点Xが三角錐O-P1-P2-P3に含まれること」は「点Xが三角形Q1-Q2-Q3の内部あるいはその周上にあること」と同値である。
【0111】
従って、上述した判定値Dが全て同符号あるいは0であれば、算出された位置Xは領域に含まれるものと判定できる。
【0112】
これにより、算出受信時刻情報/算出位置情報検証部19は、全ての判定値Dが同符号あるいは0であるか否かを判定し(ST23B)、全ての判定値Dが同符号あるいは0の場合、算出された位置Xが領域に含まれる旨を判定し(ST24)、判定結果“YES”を出力する。
【0113】
一方、算出受信時刻情報/算出位置情報検証部19は、ステップST23の判定結果が否の場合、算出された位置Xが領域に含まれない旨を判定し(ST26)、判定結果“NO”を出力する。
以下、前述同様に、移動端末10は、ステップST30又はST31以降の処理を実行する。
上述したように本実施形態によれば、2回のベクトル外積及び1回のベクトル内積の演算により算出される判定値Dを3個算出し、この3個の判定値Dの符号に基づいて領域検証を実行する構成としても、第2の実施形態と同様に、簡易且つ高速な領域検証を実現することができる。
【0114】
(第5の実施形態)
図25は本発明の第5の実施形態に係る時刻及び位置認証装置を内蔵した移動端末の構成を示す模式図であり、図1と同一部分には同一符号を付してその詳しい説明を省略し、ここでは異なる部分について主に述べる。なお、以下の各実施形態も同様にして重複した説明を省略する。
【0115】
本実施形態は、第1〜第4の各実施形態の変形例であり、移動端末10aとして、タクシー料金メータを用いた構成となっている。これに伴い、図1のスイッチ21、シャッター23及び撮像素子24に代えて、料金確定スイッチ21a及び料金カウント部30を備え、電子ファイル生成部25aがタクシー料金に関する電子ファイルを生成するものとなっている。
【0116】
ここで、料金確定スイッチ21aは、既に作動中である料金カウント部30をオン状態において停止させて料金を確定し、タイミング制御部22へオン状態であることを知らせるものである。
【0117】
料金カウント部30は、運転手の操作により、客の乗車時に料金メータ開始スイッチ(図示せず)がオン状態にされると、タクシー料金をカウントし、降車時に料金確定スイッチ21aがオン状態にされると、確定した料金を示す確定データを電子ファイル生成部25aに送出するものである。
【0118】
電子ファイル生成部25aは、料金カウント部30内の確定データを表す電子ファイルを生成する機能と、電子ファイルをハッシュ値生成部26及び署名付き電子ファイル格納部28に送出する機能とをもっている。
【0119】
なお、料金確定スイッチ21a、料金カウント部30、電子ファイル生成部25a及び署名付き電子ファイル格納部28は、主にタクシー料金メータに対応し、他の要素11〜20,22〜24,26〜28が主に時刻及び位置認証装置に対応する。
【0120】
次に、以上のように構成された移動端末の動作を説明する。
タクシー会社(管理センタ40)は、業務開始前に移動端末(タクシー料金メータ)10aの内部時計11を時刻同期させる。運転手は、客の乗車時に料金メータ開始スイッチ(図示せず)をオン状態にし、降車時に料金メーターの料金確定スイッチ21aをオン状態にし、料金を確定させると同時に客の乗車・降車の位置情報と時刻情報、乗車料金、内部時計11の更新時刻、有効期限、に対して料金メータ固有のディジタル署名を生成し、これらデータに付加した上で1組とし、記憶する。
【0121】
タクシーが業務終了後に入庫してから、タクシー会社は耐タンパー性保証パラメータを検証後、記憶データを出力し、次回業務開始までに再び移動端末(タクシー料金メータ)10aの内部時計11の時刻同期を行う。
【0122】
上述したように本実施形態によれば、移動端末をタクシー料金メータに適用した構成としても、第1〜第4の各実施形態と同様の効果を得ることができる。
【0123】
(第6の実施形態)
図26は本発明の第6の実施形態に係る時刻及び位置認証装置を内蔵した移動端末の構成を示す模式図である。
【0124】
本実施形態は、第1〜第4の各実施形態の変形例であり、移動端末10bとして、配送用精算機を用いた構成となっている。これに伴い、図1のスイッチ21、シャッター23及び撮像素子24に代えて、受領書発行スイッチ21b及び精算データ入力端末31を備え、電子ファイル生成部25bが精算データに関する電子ファイルを生成するものとなっている。
【0125】
ここで、受領証発行スイッチ21bは、オン状態において精算データ入力端末31の入力データを電子ファイル生成部25へ送り、タイミング制御部22へオン状態であることを知らせるものである。
【0126】
精算データ入力端末31は、クレジットカードもしくは手入力により精算データを入力するものであり、受領書発行スイッチ21bがオン状態にされると、確定した精算データを電子ファイル生成部25bに送出するものである。
【0127】
電子ファイル生成部25は、精算データ入力端末31から確定された精算データを受けると、精算データに対応する受領証を表す電子ファイルを生成する機能と、電子ファイルをハッシュ値生成部26及び署名付き電子ファイル格納部28に送出する機能とをもっている。
【0128】
なお、受領書発行スイッチ21b、精算データ入力端末31、電子ファイル生成部25b及び署名付き電子ファイル格納部28は、主に配送用精算機に対応し、他の要素11〜20,22〜24,26〜28が主に時刻及び位置認証装置に対応する。
【0129】
次に、以上のように構成された移動端末の動作を説明する。
配送会社(管理センタ40)は、業務開始前に移動端末(配送用精算機)10bの内部時計11の時刻同期を行い、移動端末10bを配送者に渡す。
【0130】
配送者は荷物を届けた段階で決済処理を行い、受領証発行スイッチ21bをオン状態にすると、クレジットカード番号等の決済処理情報、決済を行う際の位置情報と時刻情報、内部時計11の更新時刻情報と有効期限、に対して移動端末10b固有のディジタル署名を生成し、これらデータに付加した上で1組とし、記憶する。
【0131】
配送者は業務終了時に移動端末(配送用精算機)10bを配送会社に渡す。配送会社は耐タンパー性保証パラメータを検証し、記憶データを出力し、次回業務開始前までに再び移動端末10bの内部時計11の時刻同期を行う。
【0132】
上述したように本実施形態によれば、移動端末を配送用精算機に適用した構成としても、第1〜第4の各実施形態と同様の効果を得ることができる。
【0133】
なお、上記各実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0134】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0135】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が本実施形態を実現するための各処理の一部を実行しても良い。
【0136】
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
【0137】
また、記憶媒体は1つに限らず、複数の媒体から本実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0138】
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、本実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0139】
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0140】
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
【図面の簡単な説明】
【0141】
【図1】本発明の第1の実施形態に係る時刻及び位置認証装置を内蔵した移動端末の構成を示す模式図である。
【図2】同実施形態における単独測位システムを説明するための模式図である。
【図3】同実施形態における相対測位システムを説明するための模式図である。
【図4】同実施形態における移動端末の動作を説明するための模式図である。
【図5】同実施形態における位置情報の検証手順を説明するためのフローチャートである。
【図6】同実施形態における位置情報の検証手順を説明するためのフローチャートである。
【図7】同実施形態における4個の放送源、受信機及び地球中心の位置関係を示す模式図である。
【図8】同実施形態における領域検証の原理を説明するための模式図である。
【図9】本発明の第2の実施形態に係る領域検証の手順を説明するためのフローチャートである。
【図10】同実施形態における判定値の符号の性質を説明するための模式図である。
【図11】同実施形態の領域検証における3個の放送源、受信機及び地球中心の位置関係を示す模式図である。
【図12】同実施形態における判定値の符号に関連した受信機の位置を説明するための模式図である。
【図13】同実施形態における受信機の位置、判定値の符号及び判定結果を示す模式図である。
【図14】同実施形態の領域検証における3個の放送源、受信機及び地球中心の位置関係を示す模式図である。
【図15】同実施形態における判定値の符号に関連した受信機の位置を説明するための模式図である。
【図16】同実施形態における受信機の位置、判定値の符号及び判定結果を示す模式図である。
【図17】同実施形態の領域検証における3個の放送源、受信機及び地球中心の位置関係を示す模式図である。
【図18】同実施形態における判定値の符号に関連した受信機の位置を説明するための模式図である。
【図19】同実施形態における受信機の位置、判定値の符号及び判定結果を示す模式図である。
【図20】本発明の第3の実施形態に係る領域検証の手順を説明するためのフローチャートである。
【図21】同実施形態における3個の放送源、受信機及び地球中心の位置関係と領域判定に関連する三角形、平面及びその交点とを示す模式図である。
【図22】本発明の第4の実施形態に係る領域検証の手順を説明するためのフローチャートである。
【図23】同実施形態における3個の放送源、受信機及び地球中心の位置関係と領域判定に関連する三角形とを示す模式図である。
【図24】同実施形態における三角形に関連するベクトルを示す模式図である。
【図25】本発明の第5の実施形態に係る時刻及び位置認証装置を内蔵した移動端末の構成を示す模式図である。
【図26】本発明の第6の実施形態に係る時刻及び位置認証装置を内蔵した移動端末の構成を示す模式図である。
【図27】従来の一般化された再送攻撃を示す模式図である。
【符号の説明】
【0142】
10,10a,10b…移動端末、11…内部時計、12…内部時計更新時刻情報格納部、13…耐タンパー性保証パラメータ格納部、14…受信部、15…受信情報格納部、16…復調部、17…認証子検証部、18…時刻/位置情報算出部、19…算出受信時刻情報/算出位置情報検証部、20…時刻情報格納部、21,21a,21b…スイッチ、22…タイミング制御部、23…シャッター、24…撮像素子、25…電子ファイル生成部、26…ハッシュ値生成部、27…ディジタル署名生成部、28…署名付き電子ファイル格納部、29…耐タンパー保護領域。
【特許請求の範囲】
【請求項1】
電子ファイルを認証時点の時刻及び位置で認証する時刻及び位置認証装置であって、
外部の複数の放送源から無線で送信される送信時刻情報、放送源位置情報、及び放送源固有の認証子を含む無線放送を受信する受信手段と、
前記認証子に基づいて、前記無線放送の偽造の有無を判定する偽造判定手段と、
内部時刻情報を提供する内部時計装置と、
前記無線放送の受信時刻を示す受信時刻情報を取得する受信時刻取得手段と、
前記受信時刻情報と前記内部時刻情報とを比較し、両者の差に基づいて、前記無線放送の再送の有無を判定する第1の再送判定手段と、
前記無線放送に基づいて、自装置の位置情報を算出する位置算出手段と、
前記各放送源の放送源位置情報のうち、3つの放送源位置情報と地球の中心位置とからなる三角錐の境界又は内側領域に、前記算出した自装置の位置情報が含まれる場合、前記無線放送を再送無しと判定する第2の再送判定手段と、
前記偽造判定手段による判定の結果が偽造無しを示し、且つ前記第1及び第2の再送判定手段による判定結果がいずれも再送無しを示す場合、前記内部時刻情報及び前記自装置の位置情報に基づいて、前記電子ファイルのデジタル署名を生成する署名生成手段と、
前記デジタル署名を前記電子ファイルに付加する署名付加手段と
を備えたことを特徴とする時刻及び位置認証装置。
【請求項2】
内部時刻情報を提供する内部時計装置を備えた時刻及び位置認証装置により、電子ファイルを認証時点の時刻及び位置で認証する時刻及び位置認証方法であって、
外部の複数の放送源から無線で送信される送信時刻情報、放送源位置情報、及び放送源固有の認証子を含む無線放送を受信する受信工程と、
前記認証子に基づいて、前記無線放送の偽造の有無を判定する偽造判定工程と、
前記無線放送の受信時刻を示す受信時刻情報を取得する受信時刻取得工程と、
前記受信時刻情報と前記内部時刻情報とを比較し、両者の差に基づいて、前記無線放送の再送の有無を判定する第1の再送判定工程と、
前記無線放送に基づいて、自装置の位置情報を算出する位置算出工程と、
前記各放送源の放送源位置情報のうち、3つの放送源位置情報と地球の中心位置とからなる三角錐の境界又は内側領域に、前記算出した自装置の位置情報が含まれる場合、前記無線放送を再送無しと判定する第2の再送判定工程と、
前記偽造判定工程による判定の結果が偽造無しを示し、且つ前記第1及び第2の再送判定工程による判定結果がいずれも再送無しを示す場合、前記内部時刻情報及び前記自装置の位置情報に基づいて、前記電子ファイルのデジタル署名を生成する署名生成工程と、
前記デジタル署名を前記電子ファイルに付加する署名付加工程と
を備えたことを特徴とする時刻及び位置認証方法。
【請求項3】
外部の複数の放送源から無線で送信される送信時刻情報、放送源位置情報、及び放送源固有の認証子を含む無線放送を受信する受信回路と、内部時刻情報を提供する内部時計装置とを備え、電子ファイルを認証時点の時刻及び位置で認証する時刻及び位置認証装置に関し、前記時刻及び位置認証装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記受信回路により受信された認証子に基づいて、前記無線放送の偽造の有無を判定する偽造判定手段、
前記無線放送の受信時刻を示す受信時刻情報を取得する受信時刻取得手段、
前記受信時刻情報と前記内部時刻情報とを比較し、両者の差に基づいて、前記無線放送の再送の有無を判定する第1の再送判定手段、
前記無線放送に基づいて、自装置の位置情報を算出する位置算出手段、
前記各放送源の放送源位置情報のうち、3つの放送源位置情報と地球の中心位置とからなる三角錐の境界又は内側領域に、前記算出した自装置の位置情報が含まれる場合、前記無線放送を再送無しと判定する第2の再送判定手段、
前記偽造判定手段による判定の結果が偽造無しを示し、且つ前記第1及び第2の再送判定手段による判定結果がいずれも再送無しを示す場合、前記内部時刻情報及び前記自装置の位置情報に基づいて、前記電子ファイルのデジタル署名を生成する署名生成手段、
前記デジタル署名を前記電子ファイルに付加する署名付加手段、
として機能させるためのプログラム。
【請求項4】
請求項3に記載のプログラムにおいて、
前記第2の再送判定手段は、
前記地球の中心位置を原点として、前記3つの放送源位置情報をそれぞれ第1乃至第3放送源位置ベクトル情報とすると共に、前記自装置の位置情報を自装置位置ベクトル情報とし、前記第1乃至第3放送源位置ベクトル情報及び前記自装置位置ベクトル情報に基づいて、下記式により、3つの判定値Vを算出する手段、
前記3つの判定値Vがいずれも0以上又は0以下であるとき、前記無線放送の再送無しの判定結果を得る手段、
を含んでいることを特徴とするプログラム。
【数1】
【請求項5】
請求項3に記載のプログラムにおいて、
前記第2の再送判定手段は、
前記地球の中心位置を原点として、前記3個の放送源位置情報をそれぞれ第1乃至第3放送源位置ベクトル情報とすると共に、前記自装置の位置情報を自装置位置ベクトル情報とし、前記第1乃至第3放送源位置ベクトル情報及び前記自装置位置ベクトル情報に基づいて、下記式により、判定値u,vを算出する手段、
前記判定値u,vがいずれも0以上(u≧0,v≧0)で且つ前記判定値u,v同士の和が1以下(u+v≦1)であるとき、前記無線放送の再送無しの判定結果を得る手段、
を含んでいることを特徴とするプログラム。
【数2】
【請求項6】
請求項3に記載のプログラムにおいて、
前記第2の再送判定手段は、
前記地球の中心位置を原点として、前記3個の放送源位置情報をそれぞれ第1乃至第3放送源位置ベクトル情報とすると共に、前記自装置の位置情報を自装置位置ベクトル情報とし、前記第1乃至第3放送源位置ベクトル情報及び前記自装置位置ベクトル情報に基づいて、下記式により、3つの判定値Dを算出する手段、
前記3つの判定値Dがいずれも同符号又は0であるとき、前記無線放送の再送無しの判定結果を得る手段、
を含んでいることを特徴とするプログラム。
【数3】
【請求項1】
電子ファイルを認証時点の時刻及び位置で認証する時刻及び位置認証装置であって、
外部の複数の放送源から無線で送信される送信時刻情報、放送源位置情報、及び放送源固有の認証子を含む無線放送を受信する受信手段と、
前記認証子に基づいて、前記無線放送の偽造の有無を判定する偽造判定手段と、
内部時刻情報を提供する内部時計装置と、
前記無線放送の受信時刻を示す受信時刻情報を取得する受信時刻取得手段と、
前記受信時刻情報と前記内部時刻情報とを比較し、両者の差に基づいて、前記無線放送の再送の有無を判定する第1の再送判定手段と、
前記無線放送に基づいて、自装置の位置情報を算出する位置算出手段と、
前記各放送源の放送源位置情報のうち、3つの放送源位置情報と地球の中心位置とからなる三角錐の境界又は内側領域に、前記算出した自装置の位置情報が含まれる場合、前記無線放送を再送無しと判定する第2の再送判定手段と、
前記偽造判定手段による判定の結果が偽造無しを示し、且つ前記第1及び第2の再送判定手段による判定結果がいずれも再送無しを示す場合、前記内部時刻情報及び前記自装置の位置情報に基づいて、前記電子ファイルのデジタル署名を生成する署名生成手段と、
前記デジタル署名を前記電子ファイルに付加する署名付加手段と
を備えたことを特徴とする時刻及び位置認証装置。
【請求項2】
内部時刻情報を提供する内部時計装置を備えた時刻及び位置認証装置により、電子ファイルを認証時点の時刻及び位置で認証する時刻及び位置認証方法であって、
外部の複数の放送源から無線で送信される送信時刻情報、放送源位置情報、及び放送源固有の認証子を含む無線放送を受信する受信工程と、
前記認証子に基づいて、前記無線放送の偽造の有無を判定する偽造判定工程と、
前記無線放送の受信時刻を示す受信時刻情報を取得する受信時刻取得工程と、
前記受信時刻情報と前記内部時刻情報とを比較し、両者の差に基づいて、前記無線放送の再送の有無を判定する第1の再送判定工程と、
前記無線放送に基づいて、自装置の位置情報を算出する位置算出工程と、
前記各放送源の放送源位置情報のうち、3つの放送源位置情報と地球の中心位置とからなる三角錐の境界又は内側領域に、前記算出した自装置の位置情報が含まれる場合、前記無線放送を再送無しと判定する第2の再送判定工程と、
前記偽造判定工程による判定の結果が偽造無しを示し、且つ前記第1及び第2の再送判定工程による判定結果がいずれも再送無しを示す場合、前記内部時刻情報及び前記自装置の位置情報に基づいて、前記電子ファイルのデジタル署名を生成する署名生成工程と、
前記デジタル署名を前記電子ファイルに付加する署名付加工程と
を備えたことを特徴とする時刻及び位置認証方法。
【請求項3】
外部の複数の放送源から無線で送信される送信時刻情報、放送源位置情報、及び放送源固有の認証子を含む無線放送を受信する受信回路と、内部時刻情報を提供する内部時計装置とを備え、電子ファイルを認証時点の時刻及び位置で認証する時刻及び位置認証装置に関し、前記時刻及び位置認証装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記受信回路により受信された認証子に基づいて、前記無線放送の偽造の有無を判定する偽造判定手段、
前記無線放送の受信時刻を示す受信時刻情報を取得する受信時刻取得手段、
前記受信時刻情報と前記内部時刻情報とを比較し、両者の差に基づいて、前記無線放送の再送の有無を判定する第1の再送判定手段、
前記無線放送に基づいて、自装置の位置情報を算出する位置算出手段、
前記各放送源の放送源位置情報のうち、3つの放送源位置情報と地球の中心位置とからなる三角錐の境界又は内側領域に、前記算出した自装置の位置情報が含まれる場合、前記無線放送を再送無しと判定する第2の再送判定手段、
前記偽造判定手段による判定の結果が偽造無しを示し、且つ前記第1及び第2の再送判定手段による判定結果がいずれも再送無しを示す場合、前記内部時刻情報及び前記自装置の位置情報に基づいて、前記電子ファイルのデジタル署名を生成する署名生成手段、
前記デジタル署名を前記電子ファイルに付加する署名付加手段、
として機能させるためのプログラム。
【請求項4】
請求項3に記載のプログラムにおいて、
前記第2の再送判定手段は、
前記地球の中心位置を原点として、前記3つの放送源位置情報をそれぞれ第1乃至第3放送源位置ベクトル情報とすると共に、前記自装置の位置情報を自装置位置ベクトル情報とし、前記第1乃至第3放送源位置ベクトル情報及び前記自装置位置ベクトル情報に基づいて、下記式により、3つの判定値Vを算出する手段、
前記3つの判定値Vがいずれも0以上又は0以下であるとき、前記無線放送の再送無しの判定結果を得る手段、
を含んでいることを特徴とするプログラム。
【数1】
【請求項5】
請求項3に記載のプログラムにおいて、
前記第2の再送判定手段は、
前記地球の中心位置を原点として、前記3個の放送源位置情報をそれぞれ第1乃至第3放送源位置ベクトル情報とすると共に、前記自装置の位置情報を自装置位置ベクトル情報とし、前記第1乃至第3放送源位置ベクトル情報及び前記自装置位置ベクトル情報に基づいて、下記式により、判定値u,vを算出する手段、
前記判定値u,vがいずれも0以上(u≧0,v≧0)で且つ前記判定値u,v同士の和が1以下(u+v≦1)であるとき、前記無線放送の再送無しの判定結果を得る手段、
を含んでいることを特徴とするプログラム。
【数2】
【請求項6】
請求項3に記載のプログラムにおいて、
前記第2の再送判定手段は、
前記地球の中心位置を原点として、前記3個の放送源位置情報をそれぞれ第1乃至第3放送源位置ベクトル情報とすると共に、前記自装置の位置情報を自装置位置ベクトル情報とし、前記第1乃至第3放送源位置ベクトル情報及び前記自装置位置ベクトル情報に基づいて、下記式により、3つの判定値Dを算出する手段、
前記3つの判定値Dがいずれも同符号又は0であるとき、前記無線放送の再送無しの判定結果を得る手段、
を含んでいることを特徴とするプログラム。
【数3】
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【公開番号】特開2007−124031(P2007−124031A)
【公開日】平成19年5月17日(2007.5.17)
【国際特許分類】
【出願番号】特願2005−310054(P2005−310054)
【出願日】平成17年10月25日(2005.10.25)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
【公開日】平成19年5月17日(2007.5.17)
【国際特許分類】
【出願日】平成17年10月25日(2005.10.25)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
[ Back to top ]