説明

無線通信装置及び暗号鍵漏洩防止方法

【課題】秘密にすべき鍵の漏洩を防止してセキュリティを高めることができる無線通信装置及び暗号鍵漏洩防止方法を提供する。
【解決手段】無線通信装置としての無線フィールド機器1aは、通信内容の暗号化及び復号のための無線通信用共有鍵K1が格納される無線通信モジュール10と、公開鍵暗号方式により暗号化された無線通信用共有鍵K1を復号するための秘密鍵K22が格納される公開鍵暗号処理モジュール20と、無線通信モジュール10及び公開鍵暗号処理モジュール20を接続する接続バスBとを備えており、公開鍵暗号処理モジュール20は、接続バスBを介して入力される無線通信モジュール10に設定された動作モードを示す情報がセキュアモード以外の動作モードを示すものである場合に、自身に格納された鍵の削除を行う。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線通信装置及び暗号鍵漏洩防止方法に関する。
【背景技術】
【0002】
無線通信システムは、無線通信装置同士を接続する接続線の配線が不要であり、配線が困難な場所や配線工事が不経済な場所への無線通信装置の設置を容易に行うことができる等の利点を有するため、近年では様々な分野で多用されている。例えば、プラントや工場等においては、無線フィールド機器と呼ばれる無線通信が可能な現場機器(測定器、操作器)を設置し、無線フィールド機器を制御するための制御信号や無線フィールド機器で得られた測定信号等を、無線通信ネットワークを介して通信する無線通信システムが実現されている。
【0003】
このような無線通信システムでは、セキュリティを確保する必要があることから、無線通信ネットワークを介して通信される各種情報が、共有鍵暗号方式等の暗号技術を用いて暗号化されることが多い。ここで、上記の共有鍵暗号方式は、暗号化と復号に同じ鍵(共有鍵)を用いる方式であることから、無線通信装置で無線通信が開始される前に予め無線通信装置に共有鍵を設定する必要がある。
【0004】
無線通信装置に対する共有鍵の設定は、例えば無線通信装置の製造時に製造者によって行われ、或いは無線通信装置の使用開始時に使用者によって手作業で行われることが多い。また、このような設定方法以外に、公開鍵暗号方式を用いて共有鍵を設定する方法も用いられている。この方法は、公開鍵を用いて暗号化された共有鍵を無線通信装置に送信し、その暗号化された共有鍵を受信した無線通信装置が予め設定された秘密鍵を用いて復号することによって共有鍵の設定を行う方法である。
【0005】
上記の公開鍵暗号方式を用いて共有鍵を設定する方法は、例えばISA100.11aなる無線通信規格で規定されているOTA(Over The Air) PKI(Public Key Infrastructure) プロビジョニングで用いられる。尚、上記のISA100.11aは、国際計測制御学会(ISA:International Society of Automation)で策定されたインダストリアル・オートメーション用無線通信規格である。また、以下の非特許文献1においても、上記の公開鍵暗号方式を用いた共有鍵の設定が行われている。
【先行技術文献】
【非特許文献】
【0006】
【非特許文献1】Ki Woong Park et al.,“An Interoperable Authentication System using ZigBee-enabled Tiny Portable Device and PKI”,Computer Engineering Research Lab.,Department of Electrical Engineering and Computer Science,Korea Advanced Institute of Science and Technology
【発明の概要】
【発明が解決しようとする課題】
【0007】
ところで、上述した公開鍵暗号方式を用いて共有鍵の設定が行われる無線通信装置は、暗号化された共有鍵を秘密鍵により復号する機能(以下、「公開鍵暗号処理機能」という)と、通信すべき情報の暗号化及び復号を共有鍵により行う機能(以下、「共有鍵暗号処理機能」という)とを1つのチップに実装することがセキュリティを確保する観点からは望ましい。つまり、秘密鍵と共有鍵とを1つのチップ内に収容し、これらの情報に対するアクセスがあった場合には、これらの情報を共に破棄する等のタンパプルーフ(tamper proof)の仕組みを設ければ第三者への漏洩を防止することができるため、セキュリティを高めることができると考えられる。
【0008】
しかしながら、コスト等の制約から公開鍵暗号処理機能と共有鍵暗号処理機能とを1つのチップに実装することができない場合がある。かかる場合には、例えば公開鍵暗号処理機能が実装されたモジュール(以下、「公開鍵暗号処理モジュール」という)と、共有鍵暗号処理機能が実装されて無線通信を行うモジュール(以下、「無線通信モジュール」という)とに分けて、各々のモジュールにUART(Universal Asynchronous Receiver Transmitter)等の送受信器を設け、それらモジュール間を接続バスで接続した構成にされる。
【0009】
しかしながら、以上の構成の場合には、以下の(1)〜(3)に示す操作を行うことが可能になる。
(1)公開鍵暗号処理モジュール及び無線通信モジュールの付け替え
(2)公開鍵暗号処理モジュール及び無線通信モジュールの動作モードの変更
(3)接続バス等を介して送信される通信内容の参照
【0010】
上記(1)に示す通り、例えば無線通信モジュールの付け替えが行われると、公開鍵暗号処理モジュールで復号された共有鍵が付け替えられた無線通信モジュールに渡されてしまうため、共有鍵の参照が可能になる。また、上記(2)に示す通り、各モジュールの動作モードを例えば「デバッグモード」に変更してしまえば、無線通信モジュールで用いられる共有鍵及び公開鍵暗号処理モジュールで用いられる秘密鍵の何れもが参照が可能になる。
【0011】
また、上記(3)に示す通り、接続バス等を介した通信内容を参照すれば、公開鍵暗号処理モジュールと無線通信モジュールとの間で受け渡しが行われる共有鍵や秘密鍵の参照が可能になる。このように、以上の(1)〜(3)に示す操作の何れかが悪意のある第三者によって行われると、秘密にすべき共有鍵や秘密鍵が漏洩する虞が考えられるという問題がある。
【0012】
本発明は上記事情に鑑みてなされたものであり、秘密にすべき鍵の漏洩を防止してセキュリティを高めることができる無線通信装置及び暗号鍵漏洩防止方法を提供することを目的とする。
【課題を解決するための手段】
【0013】
上記課題を解決するために、本発明の無線通信装置は、通信内容の暗号化及び復号のための第1鍵(K1)が格納される第1モジュール(10、40)と、公開鍵暗号方式により暗号化された前記第1鍵を復号するための第2鍵(K22)が格納される第2モジュール(20、50)と、前記第1,第2モジュールを接続する接続バス(B)とを備える無線通信装置(1a〜1c)において、前記第1,第2モジュールは、前記第1,第2鍵とは異なる第3鍵(K3)を用いて、前記接続バスを介して授受される情報の暗号化及び復号を行う暗号処理部(13、23)を備えており、前記第1,第2モジュールの少なくとも一方は、前記接続バスを介して入力される前記第2,第1モジュールに設定された動作モードを示す情報が通常動作時に設定される第1動作モード以外の動作モードを示すものである場合に、自身に格納された鍵の削除を行うことを特徴としている。
この発明によると、第2,第1モジュールに設定された動作モードを示す情報であって第3鍵を用いて暗号化されて接続バスを介して送信される情報が、通常動作時に設定される第1動作モード以外の動作モードを示すものである場合に、第1,第2モジュールの少なくとも一方によって自身に設定された鍵を削除する処理が行われる。
また、本発明の無線通信装置は、前記第1,第2モジュールが、自身に設定された動作モードが前記第1動作モード以外の動作モードである場合に、自身に格納された鍵の削除をそれぞれ行うことを特徴としている。
また、本発明の無線通信装置は、前記第1モジュールが、前記第1鍵を用いて無線通信により送信すべき情報の暗号化を行うとともに、前記第1鍵を用いて無線通信により受信した情報の復号を行う無線通信部(11)を備えることを特徴としている。
また、本発明の無線通信装置は、前記第2モジュールが、前記第2鍵を用いて公開鍵暗号方式により暗号化された前記第1鍵を復号する公開鍵暗号処理部(21)を備えており、前記公開鍵暗号処理部で復号された前記第1鍵を、前記暗号処理部で暗号化して前記接続バスを介して前記前記第1モジュールに送信することを特徴としている。
或いは、本発明の無線通信装置は、前記第1モジュールが、前記第2モジュールから前記接続バスを介して送信される前記第2鍵を用いて公開鍵暗号方式により暗号化された前記第1鍵を復号する公開鍵暗号処理部(21)を備えることを特徴としている。
本発明の暗号鍵漏洩防止方法は、通信内容の暗号化及び復号のための第1鍵(K1)が格納される第1モジュール(10、40)と、公開鍵暗号方式により暗号化された前記第1鍵を復号するための第2鍵(K22)が格納される第2モジュール(20、50)と、前記第1,第2モジュールを接続する接続バス(B)とを備える無線通信装置(1a〜1c)における暗号鍵漏洩防止方法であって、前記第1,第2モジュールに設定された動作モードを示す情報を前記第1,第2鍵とは異なる第3鍵(K3)を用いて暗号化して前記第1,第2モジュールの少なくとも一方から前記接続バスに送信する第1ステップ(S16)と、前記接続バスを介して送信されてきた情報を、前記第2,第1モジュールの少なくとも一方で前記第3鍵を用いて復号する第2ステップ(S26)と、前記第2ステップで復号された情報が、通常動作時に設定される第1動作モード以外の動作モードである場合に、自身に格納された鍵の削除を行う第3ステップ(S23)とを有することを特徴としている。
【発明の効果】
【0014】
本発明によれば、第2,第1モジュールに設定された動作モードを示す情報であって第3鍵を用いて暗号化されて接続バスを介して送信される情報が、通常動作時に設定される第1動作モード以外の動作モードを示すものである場合に、第1,第2モジュールの少なくとも一方が自身に設定された鍵を削除しているため、仮に第1,第2モジュールの付け替えが行われ、第1,第2モジュールの動作モードの変更が行われ、或いは接続バスを介して送信される通信内容が参照されたとしても、秘密にすべき鍵の漏洩を防止してセキュリティを高めることができるという効果がある。
【図面の簡単な説明】
【0015】
【図1】本発明の第1実施形態による無線通信装置が用いられる無線通信システムの全体構成を示すブロック図である。
【図2】本発明の第1実施形態による無線通信機器としての無線フィールド機器の要部構成を示すブロック図である。
【図3】本発明の第1実施形態において、電源投入時に無線フィールド機器の無線通信モジュールで行われる処理を示すフローチャートである。
【図4】本発明の第1実施形態において、電源投入時に無線フィールド機器の公開鍵暗号処理モジュールで行われる処理を示すフローチャートである。
【図5】本発明の第1実施形態において行われる無線フィールド機器に対する無線通信用共有鍵の設定処理を示すフローチャートである。
【図6】本発明の第2実施形態による無線通信機器としての無線フィールド機器の要部構成を示すブロック図である。
【発明を実施するための形態】
【0016】
以下、図面を参照して本発明の実施形態による無線通信装置及び暗号鍵漏洩防止方法について詳細に説明する。
【0017】
〔第1実施形態〕
図1は、本発明の第1実施形態による無線通信装置が用いられる無線通信システムの全体構成を示すブロック図である。図1に示す通り、無線通信システムCSは、無線フィールド機器1a〜1c(無線通信装置)、バックボーンルータ2、システムマネージャ3、セキュリティマネージャ4、及び上位管理装置5を備えており、無線フィールド機器1a〜1cとシステムマネージャ3との間で、バックボーンルータ2を介した各種情報の通信が可能である。尚、図1では3つの無線フィールド機器1a〜1cを示しているが、無線フィールド機器の数は任意である。
【0018】
無線フィールド機器1a〜1cは、例えば流量計や温度センサ等のセンサ機器、流量制御弁や開閉弁等のバルブ機器、ファンやモータ等のアクチュエータ機器等のプラントや工場に設置される機器であり、インダストリアル・オートメーション用無線通信規格であるISA100.11aに準拠した無線通信を行う。尚、これら無線フィールド機器1a〜1cの詳細については後述する。
【0019】
バックボーンルータ2は、無線フィールド機器1a〜1cが接続される無線通信ネットワークN1と、システムマネージャ3が接続される有線ネットワークであるバックボーンネットワークN2とを接続し、無線フィールド機器1a〜1cとシステムマネージャ3との間で送受信される各種データの中継を行う装置である。尚、バックボーンルータ2も上記の無線通信規格ISA100.11aに準拠した無線通信を行う。
【0020】
システムマネージャ3は、バックボーンルータ2によって形成される無線通信ネットワークN1を介して無線フィールド機器1a〜1cとの間で通信を行いながら無線通信ネットワークN1に接続される無線フィールド機器1a〜1cの管理等を行う。具体的には、無線通信ネットワークN1に参入している無線フィールド機器1a〜1cの通信の制御を行う。
【0021】
また、システムマネージャ3は、新たな無線フィールド機器を無線通信ネットワークN1に参入させるか否かの管理制御も行う。かかる管理制御を行う際に、システムマネージャ3は、無線通信ネットワークN1を介する無線通信の通信内容を暗号化するために用いる共有鍵K1(正確には、公開鍵K21を用いて暗号化された共有鍵K1)を無線フィールド機器に向けて送信する処理を行う。尚、共有鍵K1及び公開鍵K21は、セキュリティマネージャ4で管理される。
【0022】
セキュリティマネージャ4は、システムマネージャ3の下で無線通信システムCSのセキュリティ管理を行う。具体的には、無線通信ネットワークN1への参入が許可されている無線フィールド機器1a〜1cを示す情報や、無線通信ネットワークN1へ参入させるべきではない無線フィールド機器を示す情報の登録管理を行う。また、無線フィールド機器1a〜1cとバックボーンルータ2との間で行われる無線通信に用いられる暗号鍵である共有鍵K1と、この共有鍵K1を暗号化するための暗号鍵である公開鍵K21との管理も行う。尚、共有鍵K1及び公開鍵K21は、無線フィールド機器1a〜1c毎に用意される。
【0023】
上位管理装置5は、システムマネージャ3に接続されており、無線通信システムCSの管理者によって操作されて無線通信システムCSの管理のために用いられる装置である。この上位管理装置5は、管理者の指示に応じて無線通信システムCSの管理に必要な各種情報をシステムマネージャ3から収集し、その収集した情報を所定の形式(例えば、管理者の把握を容易とするグラフ形式)で表示する。
【0024】
次に、以上説明した無線通信システムCSで用いられる無線フィールド機器1a〜1cについて詳細に説明する。図2は、本発明の第1実施形態による無線通信機器としての無線フィールド機器の要部構成を示すブロック図である。尚、無線フィールド機器1a〜1cは同様の構成であるため、以下では無線フィールド機器1aについて詳細に説明し、無線フィールド機器1b,1cについての説明は省略する。
【0025】
図2に示す通り、無線フィールド機器1aは、アンテナA、無線通信モジュール10(第1モジュール)、公開鍵暗号処理モジュール20(第2モジュール)、及び接続バスBを備える。アンテナAは、無線通信モジュール10から出力される信号に応じた電波をバックボーンルータ2に向けて送信するとともに、バックボーンルータ2から送信された電波を受信して得られる信号を無線通信モジュール10に出力する。
【0026】
無線通信モジュール10は、無線通信サブモジュール11(無線通信部)、バス通信サブモジュール12、共有鍵暗号処理サブモジュール13(暗号処理部)、無線通信用共有鍵格納領域14、バス通信用共有鍵格納領域15、及びメモリ16を備えており、アンテナAを介して行われる無線通信の通信制御に加えて、接続バスBを介して行われるバス通信の通信制御を行う。また、無線通信モジュール10は、アンテナAを介して行われる無線通信の通信内容、及び接続バスBを介して行われるバス通信の通信内容の暗号化及び復号をそれぞれ行う。
【0027】
無線通信サブモジュール11は、アンテナAを介して行われる無線通信の通信制御を行うサブモジュールであり、前述した無線通信規格ISA100.11aに準拠した無線信号の送信及び受信を行う。バス通信サブモジュール12は、接続バスBを介して行われる通信(バス通信)の通信制御を行うサブモジュールであり、例えば調歩同期方式によるシリアル通信制御を行う。
【0028】
共有鍵暗号処理サブモジュール13は、無線通信用共有鍵格納領域14に格納された共有鍵(無線通信用共有鍵K1)を用いて、アンテナAを介して行われる無線通信の通信内容の暗号化及び復号を行う。また、共有鍵暗号処理サブモジュール13は、バス通信用共有鍵格納領域15に格納された共有鍵(バス通信用共有鍵K3)を用いて、接続バスBを介して行われるバス通信の通信内容の暗号化及び復号を行う。
【0029】
無線通信用共有鍵格納領域14は、アンテナAを介して行われる無線通信の通信内容の暗号化及び復号のために用いる無線通信用共有鍵K1が格納される領域である。尚、無線通信用共有鍵K1は、セキュリティマネージャ4によって管理される共有鍵K1と同じ鍵であり、無線フィールド機器1aが無線通信ネットワークN1に参入する時点で無線通信用共有鍵格納領域14に格納される。
【0030】
バス通信用共有鍵格納領域15は、接続バスBを介して行われるバス通信の通信内容の暗号化及び復号のために用いるバス通信用共有鍵K3が格納される領域である。尚、バス通信用共有鍵K3は、例えば無線フィールド機器1aの製造時点でバス通信用共有鍵格納領域15に格納される。上記の無線通信用共有鍵格納領域14及びバス通信用共有鍵格納領域15は、例えばフラッシュメモリ等の不揮発性メモリにより実現される。
【0031】
メモリ16は、例えばフラッシュメモリ等の不揮発性メモリであり、無線通信モジュール10の動作モードを示す情報(モード情報MI)を格納する。無線通信モジュール10の動作モードには、セキュアモード(第1モード)やデバッグモード等がある。ここで、セキュアモードとは、工場出荷後における無線フィールド機器1aの通常動作時に設定される動作モードである。また、デバッグモードとは、例えば無線フィールド機器1aのメンテナンス時に、無線通信モジュール10の動作状況の調査や解析を行うために設定される動作モードである。
【0032】
公開鍵暗号処理モジュール20は、公開鍵暗号処理サブモジュール21(公開鍵暗号処理部)、バス通信サブモジュール22、共有鍵暗号処理サブモジュール23(暗号処理部)、秘密鍵格納領域24、バス通信用共有鍵格納領域25、及びメモリ26を備えており、公開鍵で暗号化された共有鍵K1の復号に加えて、接続バスBを介して行われるバス通信の通信制御を行う。また、公開鍵暗号処理モジュール20は、接続バスBを介して行われるバス通信の通信内容の暗号化及び復号をそれぞれ行う。
【0033】
公開鍵暗号処理サブモジュール21は、バス通信サブモジュール22で受信された共有鍵K1を、秘密鍵格納領域24に格納された秘密鍵K22を用いて復号して無線通信用共有鍵K1を得る処理を行う。バス通信サブモジュール22は、無線通信モジュール10に設けられるバス通信サブモジュール12と同様に、接続バスBを介して行われる通信の通信制御を行うサブモジュールであり、例えば調歩同期方式によるシリアル通信制御を行う。
【0034】
共有鍵暗号処理サブモジュール23は、バス通信用共有鍵格納領域25に格納された共有鍵(バス通信用共有鍵K3)を用いて、接続バスBを介して行われるバス通信の通信内容の暗号化及び復号を行う。尚、公開鍵暗号処理モジュール20のバス通信用共有鍵格納領域25に格納されるバス通信用共有鍵K3は、無線通信モジュール10のバス通信用共有鍵格納領域15に格納されるバス通信用共有鍵K3と同じものである。
【0035】
秘密鍵格納領域24は、公開鍵K21を用いて暗号化された共有鍵K1を復号するために用いる秘密鍵K22が格納される領域である。バス通信用共有鍵格納領域25は、接続バスBを介して行われるバス通信の通信内容の暗号化及び復号のために用いるバス通信用共有鍵K3が格納される領域である。尚、秘密鍵K22及びバス通信用共有鍵K3は、例えば、例えば無線フィールド機器1aの製造時点で秘密鍵格納領域24及びバス通信用共有鍵格納領域25にそれぞれ格納される。上記の秘密鍵格納領域24及びバス通信用共有鍵格納領域25は、例えばフラッシュメモリ等の不揮発性メモリにより実現される。
【0036】
メモリ26は、例えばフラッシュメモリ等の不揮発性メモリであり、公開鍵暗号処理モジュール20の動作モードを示す情報(モード情報MI)を格納する。尚、公開鍵暗号処理モジュール20の動作モードには、無線通信モジュール10の動作モードと同様に、セキュアモード(第1モード)やデバッグモード等がある。
【0037】
無線通信モジュール10は、メモリ16に格納されたモード情報MIを参照することによって自身に設定された動作モードを取得する。同様に、公開暗号処理モジュール20は、メモリ26に格納されたモード情報MIを参照することによって自身に設定された動作モードを取得する。但し、無線通信モジュール10及び公開暗号処理モジュール20の動作モードは、例えば作業者が無線通信モジュール10及び公開暗号処理モジュール20の各々に対して特殊な指示を行うことによって個別に変更可能である。
【0038】
無線通信モジュール10及び公開暗号処理モジュール20は、電源投入時に、自身に設定されている動作モード、或いは、接続バスBを介して接続されている相手方のモジュールに設定されている動作モードに応じて、秘密鍵K22やバス通信用共有鍵K3を削除する処理を行う。これは、秘密にすべき鍵の漏洩を防止してセキュリティを高めるためである。
【0039】
具体的に、無線通信モジュール10は、メモリ16に格納されたモード情報MIで示される動作モードがセキュアモード以外の動作モードである場合には、バス通信用共有鍵格納領域15に格納されているバス通信用共有鍵K3を削除する処理を行う。また、公開暗号処理モジュール20は、メモリ26に格納されたモード情報MIで示される動作モードがセキュアモード以外の動作モードである場合、或いは接続バスBを介して得られる無線通信モジュール10の動作モードがセキュアモード以外の動作モードである場合に、秘密鍵格納領域24に格納されている秘密鍵K22及びバス通信用共有鍵格納領域25に格納されているバス通信用共有鍵K3を削除する処理を行う。
【0040】
接続バスBは、無線通信モジュール10に設けられたバス通信サブモジュール12と公開鍵暗号処理モジュール20に設けられたバス通信サブモジュール22とを接続するシリアルバス等のバスである。尚、接続バスBは、シリアルバスに限られることはなく、パラレルバスであっても良い。
【0041】
次に、上記構成における無線通信システムの動作について説明する。以下では無線通信システムCSの無線通信ネットワークN1に対し、新たに無線フィールド機器1aを参入させる場合の動作について説明する。尚、無線フィールド機器1aを参入させるに当り、無線フィールド機器1aによって行われる無線通信の通信内容を暗号化するために用いる共有鍵K1と、この共有鍵K1を暗号化するために用いる公開鍵K21が予めセキュリティマネージャ4に登録されているとする。
【0042】
また、無線フィールド機器1aが備える公開鍵暗号処理モジュール20の秘密鍵格納領域24には、セキュリティマネージャ4に登録されている公開鍵K21に対応する秘密鍵K22が格納されており、無線通信モジュール10のバス通信用共有鍵格納領域15及び公開鍵暗号処理モジュール20のバス通信用共有鍵格納領域25にはバス通信用共有鍵K3がそれぞれ格納されているとする。尚、無線フィールド機器1aが無線通信ネットワークN1に参入する前において、無線通信モジュール10の無線通信用共有鍵格納領域14には無線通信用共有鍵K1が格納されていない点に注意されたい。
【0043】
図3は、本発明の第1実施形態において、電源投入時に無線フィールド機器の無線通信モジュールで行われる処理を示すフローチャートである。また、図4は、本発明の第1実施形態において、電源投入時に無線フィールド機器の公開鍵暗号処理モジュールで行われる処理を示すフローチャートである。図3,図4に示すフローチャートの処理は、例えば作業者が無線フィールド機器1aを現場に設置する作業を行い、設置作業完了後に無線フィールド機器1aの電源を投入することにより開始される。
【0044】
無線フィールド機器1aの電源が投入されると、図3に示す通り、無線通信モジュール10では、まず自身に設定された動作モードを取得する処理が行われる(ステップS11)。具体的には、メモリ16に格納されたモード情報MIを読み出す処理が行われる。次に、メモリ16から読み出されたモード情報MIで示される動作モードがセキュアモードであるか否かが無線通信モジュール10によって判断される(ステップS12)。
【0045】
モード情報MIで示される動作モードがセキュアモードではないと判断した場合(ステップS12の判断結果が「NO」の場合)には、バス通信用共有鍵格納領域15に格納されたバス通信用共有鍵K3を削除する処理が無線通信モジュール10によって行われる(ステップS13)。尚、かかる処理が行われた場合には、図3に示す一連の処理が終了し、無線フィールド機器1aは正常に動作しなくなる。
【0046】
これに対し、モード情報MIで示される動作モードがセキュアモードであると判断した場合(ステップS12の判断結果が「YES」の場合)には、バス通信用共有鍵格納領域15に格納されたバス通信用共有鍵K3を取り出し(ステップS14)、取り出したバス通信用共有鍵K3を用いてステップS11で取得されたモード情報MIを暗号化する処理が共有鍵暗号処理サブモジュール13で行われる(ステップS15)。
【0047】
以上の処理が終了すると、暗号化されたモード情報MIがバス通信サブモジュール12によって、接続バスBを介して公開鍵暗号処理モジュール20に送信され(ステップS16:第1ステップ)、図3に示す一連の処理が終了する。尚、ステップS16の処理が行われた場合には、バス通信用共有鍵格納領域15に格納されたバス通信用共有鍵K3の削除は行われないため、無線通信ネットワークN1に参入するための処理が継続される。
【0048】
また、無線フィールド機器1aの電源が投入されると、図4に示す通り、公開鍵暗号処理モジュール20においても、無線通信モジュール10と同様に、自身に設定された動作モードを取得する処理が行われる(ステップS21)。具体的には、メモリ26に格納されたモード情報MIを読み出す処理が行われる。そして、取得した動作モードがセキュアモードであるか否かが判断される(ステップS22)。
【0049】
取得した動作モードがセキュアモードではないと判断した場合(ステップS22の判断結果が「NO」の場合)には、秘密鍵格納領域24に格納された秘密鍵K22を削除するとともに、バス通信用共有鍵格納領域25に格納されたバス通信用共有鍵K3をそれぞれ削除する処理が公開鍵暗号処理モジュール20によって行われる(ステップS23)。尚、かかる処理が行われた場合には、図4に示す一連の処理が終了し、無線フィールド機器1aは正常に動作しなくなる。
【0050】
これに対し、取得した動作モードがセキュアモードであると判断した場合(ステップS22の判断結果が「YES」の場合)には、無線通信モジュール10から接続バスBを介して送信されてくる暗号化されたモード情報MIを、バス通信サブモジュール22で受信する(ステップS24)。尚、無線フィールド機器1aの電源が投入されてから予め設定された時間が経過しても、無線通信モジュール10からの暗号化されたモード情報MIを受信できない場合には、図4に示す一連の動作が終了する。
【0051】
暗号化されたモード情報MIがバス通信サブモジュール22で受信されると、バス通信用共有鍵格納領域25に格納されたバス通信用共有鍵K3を取り出し(ステップS25)、取り出したバス通信用共有鍵K3を用いて暗号化されたモード情報MIを復号する処理が共有鍵暗号処理サブモジュール23で行われる(ステップS26:第2ステップ)。次いで、復号されたモード情報MIで示される動作モードがセキュアモードであるか否かが公開鍵暗号処理モジュール20で判断される(ステップS27)。
【0052】
復号されたモード情報MIで示される動作モードがセキュアモードではないと判断した場合(ステップS27の判断結果が「NO」の場合)には、秘密鍵格納領域24に格納された秘密鍵K22を削除するとともに、バス通信用共有鍵格納領域25に格納されたバス通信用共有鍵K3をそれぞれ削除する処理が公開鍵暗号処理モジュール20によって行われる(ステップS23:第3ステップ)。これにより、図4に示す一連の処理が終了し、無線フィールド機器1aは正常に動作しなくなる。
【0053】
これに対し、復号されたモード情報MIで示される動作モードがセキュアモードであると判断した場合(ステップS27の判断結果が「YES」の場合)には、図4に示す一連の処理が終了する。尚、ステップS27の判断結果が「YES」となった場合には、秘密鍵格納領域24に格納された秘密鍵K22及びバス通信用共有鍵格納領域25に格納されたバス通信用共有鍵K3の削除は行われないため、無線通信ネットワークN1に参入するための処理が継続される。
【0054】
このように、無線通信モジュール10は、自身に設定された動作モードがセキュアモード以外の動作モードである場合に、バス通信用共有鍵格納領域15に格納されたバス通信用共有鍵K3を削除している。また、公開鍵暗号処理モジュール20は、自身或いは無線通信モジュール10に設定された動作モードがセキュアモード以外の動作モードである場合に、秘密鍵格納領域24に格納された秘密鍵K22とバス通信用共有鍵格納領域25に格納されたバス通信用共有鍵K3との双方を削除している。
【0055】
このため、仮に、無線通信モジュール10や公開鍵暗号処理モジュール20の付け替え、或いは、無線通信モジュール10や公開鍵暗号処理モジュール20の動作モードの変更が行われたとしても、秘密鍵K22及びバス通信用共有鍵K3の漏洩を防止することができる。また、接続バスBを介して送信される通信内容が暗号化されているため、接続バスBを介して送信される通信内容が参照されても、秘密鍵K22及びバス通信用共有鍵K3が漏洩することはない。
【0056】
以上の処理が終了すると、無線フィールド機器1aとバックボーンルータ2との間の無線通信が開始され、無線フィールド機器1aからシステムマネージャ3に向けてジョイン要求(無線通信ネットワークN1に対する参入要求)が送信される。無線フィールド機器1aからのジョイン要求を受信したシステムマネージャ3は、セキュリティマネージャ4に登録されている情報を参照し、無線フィールド機器1aに対してジョインを許可する情報又はジョインを拒否する情報を送信する。
【0057】
ここで、システムマネージャ3から無線フィールド機器1aに対してジョインを許可する情報が送信された場合には、無線フィールド機器1aで送受信される情報を暗号化するために、無線フィールド機器1aに対して無線通信用共有鍵K1を設定する処理が行われる。図5は、本発明の第1実施形態において行われる無線フィールド機器に対する無線通信用共有鍵の設定処理を示すフローチャートである。
【0058】
まず、システムマネージャ3からの要求により、セキュリティマネージャ4自身に登録されてい共有鍵K1と公開鍵K21とを取り出し、公開鍵K21を用いて共有鍵K1を暗号化する処理がセキュリティマネージャ4によって行われ、結果がシステムマネージャ3に返される。尚、以下では、公開鍵K21を用いて暗号化された共有鍵K1を「一次暗号化鍵」という。この一次暗号化鍵は、バックボーンネットワークN2、バックボーンルータ2、及び無線通信ネットワークN1を順に介して無線フィールド機器1aに設けられた無線通信モジュール10の無線通信サブモジュール11で受信される(ステップS31)。
【0059】
無線通信サブモジュール11で受信された一次暗号化鍵は、共有鍵暗号処理サブモジュール13によってバス通信用共有鍵K3を用いて更に暗号化される(ステップS32)。尚、以下では、バス通信用共有鍵K3を用いて暗号化された一次暗号化鍵を「二次暗号化鍵」という。この二次暗号化鍵は、バス通信サブモジュール12によって接続バスBを介して公開鍵暗号処理モジュール20に送信される(ステップS33)。
【0060】
接続バスBを介して送信されてきた二次暗号化鍵は、公開鍵暗号処理モジュール20に設けられたバス通信サブモジュール22で受信され、共有鍵暗号処理サブモジュール23によってバス通信用共有鍵K3を用いて一次暗号化鍵に復号される(ステップS35)。次いで、復号された一次暗号化鍵は、公開鍵暗号処理サブモジュール21によって秘密鍵K22を用いて更に共有鍵K1に復号される(ステップS35)。
【0061】
次に、復号された共有鍵K1は、共有鍵暗号処理サブモジュール23によってバス通信用共有鍵K3を用いて暗号化される(ステップS36)。この暗号化された共有鍵K1は、バス通信サブモジュール22によって接続バスBを介して無線通信モジュール10に送信される(ステップS37)。
【0062】
接続バスBを介した暗号化された共有鍵K1は、無線通信モジュール10に設けられたバス通信サブモジュール12で受信され、共有鍵暗号処理サブモジュール13によってバス通信用共有鍵K3を用いて共有K1に復号される(ステップS38)。そして、復号された共有鍵は、無線通信用共有鍵K1として無線通信用共有鍵格納領域14に格納される(ステップS39)。
【0063】
以上の処理が完了すると、無線通信用共有鍵K1又は無線通信用共有鍵K1を基に特定のアルゴリズムで生成される共有鍵を用いて無線フィールド機器1aから送信される情報を暗号化する処理、及び、無線通信用共有鍵K1を用いて無線フィールド機器1aで受信された情報を復号する処理が、共有鍵暗号処理サブモジュール13で行われる。これにより、無線フィールド機器1aで行われる無線通信のセキュリティを確保することができる。
【0064】
このように、接続バスBを介した無線通信モジュール10と公開鍵暗号処理モジュール20との間の通信は、通信内容がバス通信用共有鍵K3を用いて暗号化された状態で行われる。このため、接続バスBを介して送信される通信内容が参照されても、無線通信モジュール10と公開鍵暗号処理モジュール20との間で送受信される共有鍵K1が漏洩することはない。
【0065】
〔第2実施形態〕
図6は、本発明の第2実施形態による無線通信機器としての無線フィールド機器の要部構成を示すブロック図である。この図6においては、図2に示すブロックと同じブロックについては同一の符号を付してある。尚、実施形態における無線通信システムCSの全体構成は、図1に示すものと同じである。また、以下では、無線フィールド機器1aについて詳細に説明し、無線フィールド機器1b,1cについての説明は省略する。
【0066】
図6に示す無線フィールド機器1aは、図2に示す無線通信モジュール10を無線通信モジュール40に代えるとともに、公開鍵暗号処理モジュール20を秘密鍵格納モジュール50に代えた構成であり、秘密鍵K22を用いて暗号化された共有鍵K1を復号する処理を、無線通信モジュール40で行うものである。つまり、図2に示す無線フィールド機器1aが備える公開鍵暗号処理モジュール20の機能の一部を無線通信モジュール10に設けた構成である。
【0067】
具体的に、無線通信モジュール40は、図2に示す無線通信モジュール10に対して、図2に示す公開鍵暗号処理モジュール20に設けられた公開鍵暗号処理サブモジュール21を追加した構成である。これに対し、秘密鍵格納モジュール50は、図2に示す公開鍵暗号処理モジュール20に設けられた公開鍵暗号処理サブモジュール21を省略した構成である。尚、無線通信モジュール40は、電源投入時に図3に示す無線通信モジュール10と同様の処理を行い、秘密鍵格納モジュール50は、電源投入時に図4に示す公開鍵暗号処理モジュール20と同様の処理を行う。
【0068】
以上の構成の無線フィールド機器1aでは、秘密鍵格納モジュール50の秘密鍵格納領域24に格納された秘密鍵K22が、バス通信用共有鍵K3を用いて暗号化された上で接続バスBを介して無線通信モジュール40に送信される。そして、無線通信モジュール40において、秘密鍵格納モジュール50からの秘密鍵K22がバス通信用共有鍵K3を用いて復号されて公開鍵暗号処理サブモジュール21に渡され、無線通信サブモジュール11で受信された一次暗号化鍵の復号が行われる。
【0069】
このように、本実施形態においても、図3,図4に示す処理が無線通信モジュール40及び秘密鍵格納モジュール50でそれぞれ行われるため、無線通信モジュール40や秘密鍵格納モジュール50の付け替え、或いは、無線通信モジュール40や秘密鍵格納モジュール50の動作モードの変更が行われたとしても、秘密鍵K22及びバス通信用共有鍵K3の漏洩を防止することができる。また、接続バスBを介して送信される通信内容が暗号化されているため、接続バスBを介して送信される通信内容が参照されても、秘密鍵K22及びバス通信用共有鍵K3が漏洩することはない。
【0070】
以上、本発明の実施形態による無線通信装置及び暗号鍵漏洩防止方法について説明したが、本発明は上述した実施形態に制限されることなく、本発明の範囲内で自由に変更が可能である。例えば、上記実施形態では、公開鍵暗号処理モジュール20が、無線通信モジュール10の動作モードに応じて秘密鍵K22及びバス通信用共有鍵K3の削除を行う例について説明した。しかしながら、無線通信モジュール10が、公開鍵暗号処理モジュール20の動作モードに応じてバス通信用共有鍵K3の削除を行ってもよい。また、無線通信モジュール10と公開鍵暗号処理モジュール20との双方が、相手に設定された動作モードに応じて暗号鍵を削除する処理を行っても良い。
【0071】
また、上記実施形態では、無線フィールド機器1aの製造時点で無線通信モジュール10及び公開鍵暗号処理モジュール20の各々に格納されるバス通信用共有鍵K3を用いる例について説明した。しかしながら、無線フィールド機器1aの電源投入時等の時刻等を用いて動的に生成したバス通信用共有鍵K3を用いても良い。このような生成アルゴリズムは、バス通信用共有鍵K3同様に不正が検出された際には、削除されることが望ましい。
【0072】
また、無線通信モジュール10及び公開鍵暗号処理モジュール20は、外部からの物理的な攻撃(例えば、覗き見)に対してタンパプルーフの仕組みを備えていることが望ましい。例えば、公開鍵暗号処理モジュール20が、公開鍵K21の復号を行うときに大きな消費電力の変化を生ずるものである場合には、消費電力の均一化を行う機能を設け、消費電力の変化を生じさせない仕組みを設けるのが望ましい。尚、消費電力を低減する観点から、公開鍵暗号処理モジュール20に供給される電源の制御を可能とし、必要なときのみ公開鍵暗号処理モジュール20に電源を供給するのが好ましい。
【0073】
また、上記実施形態では、公開鍵K21がセキュリティマネージャ4に予め登録されている場合を例に挙げて説明した。しかしながら、秘密鍵K22とともに公開鍵K21を無線フィールド機器1aに格納しておき、無線フィールド機器1aに対して共有鍵K1を設定する際に、セキュリティマネージャ4がシステムマネージャ3を介して無線フィールド機器1aから公開鍵K21を取得するようにしても良い。更に、上記実施形態では、無線通信装置が無線フィールド機器である場合を例に挙げて説明したが、本発明は、無線フィールド機器以外の無線通信装置にも適用可能である
【符号の説明】
【0074】
1a〜1c 無線フィールド機器
10 無線通信モジュール
11 無線通信サブモジュール
13 共有鍵暗号処理サブモジュール
20 公開鍵暗号処理モジュール
21 公開鍵暗号処理サブモジュール
23 共有鍵暗号処理サブモジュール
40 無線通信モジュール
50 秘密鍵格納モジュール
B 接続バス
K1 共有鍵(無線通信用共有鍵)
K3 バス通信用共有鍵
K22 秘密鍵

【特許請求の範囲】
【請求項1】
通信内容の暗号化及び復号のための第1鍵が格納される第1モジュールと、公開鍵暗号方式により暗号化された前記第1鍵を復号するための第2鍵が格納される第2モジュールと、前記第1,第2モジュールを接続する接続バスとを備える無線通信装置において、
前記第1,第2モジュールは、前記第1,第2鍵とは異なる第3鍵を用いて、前記接続バスを介して授受される情報の暗号化及び復号を行う暗号処理部を備えており、
前記第1,第2モジュールの少なくとも一方は、前記接続バスを介して入力される前記第2,第1モジュールに設定された動作モードを示す情報が通常動作時に設定される第1動作モード以外の動作モードを示すものである場合に、自身に格納された鍵の削除を行う
ことを特徴とする無線通信装置。
【請求項2】
前記第1,第2モジュールは、自身に設定された動作モードが前記第1動作モード以外の動作モードである場合に、自身に格納された鍵の削除をそれぞれ行う
ことを特徴とする請求項1記載の無線通信装置。
【請求項3】
前記第1モジュールは、前記第1鍵を用いて無線通信により送信すべき情報の暗号化を行うとともに、前記第1鍵を用いて無線通信により受信した情報の復号を行う無線通信部を備えることを特徴とする請求項1又は請求項2記載の無線通信装置。
【請求項4】
前記第2モジュールは、前記第2鍵を用いて公開鍵暗号方式により暗号化された前記第1鍵を復号する公開鍵暗号処理部を備えており、
前記公開鍵暗号処理部で復号された前記第1鍵を、前記暗号処理部で暗号化して前記接続バスを介して前記前記第1モジュールに送信する
ことを特徴とする請求項1から請求項3の何れか一項に記載の無線通信装置。
【請求項5】
前記第1モジュールは、前記第2モジュールから前記接続バスを介して送信される前記第2鍵を用いて公開鍵暗号方式により暗号化された前記第1鍵を復号する公開鍵暗号処理部を備えることを特徴とする請求項1から請求項3の何れか一項に記載の無線通信装置。
【請求項6】
通信内容の暗号化及び復号のための第1鍵が格納される第1モジュールと、公開鍵暗号方式により暗号化された前記第1鍵を復号するための第2鍵が格納される第2モジュールと、前記第1,第2モジュールを接続する接続バスとを備える無線通信装置における暗号鍵漏洩防止方法であって、
前記第1,第2モジュールに設定された動作モードを示す情報を前記第1,第2鍵とは異なる第3鍵を用いて暗号化して前記第1,第2モジュールの少なくとも一方から前記接続バスに送信する第1ステップと、
前記接続バスを介して送信されてきた情報を、前記第2,第1モジュールの少なくとも一方で前記第3鍵を用いて復号する第2ステップと、
前記第2ステップで復号された情報が、通常動作時に設定される第1動作モード以外の動作モードである場合に、自身に格納された鍵の削除を行う第3ステップと
を有することを特徴とする暗号鍵漏洩防止方法。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate