電波放送検証装置及びプログラム
【課題】双方向通信を用いずに偽造攻撃及び再送攻撃を防止でき、位置情報の正当性を検証できるようにする。
【解決手段】移動端末10は、単方向通信を用いており、認証子検証部17が受信情報に含まれる認証子を検証して偽造攻撃を防止し、位置情報検証部19が、各放送局の放送局位置情報のうち、3つの放送局位置情報からなる三角形の内側領域に、放送時刻情報、放送局位置情報、自装置内の耐タンパー保護領域にある内部時計の時刻情報、および予め実測結果等を踏まえて定められた測位誤差の上限値、を用いて算出された自装置の最適位置情報が含まれ、かつ最適位置情報の含み誤差があらかじめ設定された誤差許容範囲内と見積もられる場合、電波放送を再送無しと判定して再送攻撃を防止する。従って、上記課題を解決できる。
【解決手段】移動端末10は、単方向通信を用いており、認証子検証部17が受信情報に含まれる認証子を検証して偽造攻撃を防止し、位置情報検証部19が、各放送局の放送局位置情報のうち、3つの放送局位置情報からなる三角形の内側領域に、放送時刻情報、放送局位置情報、自装置内の耐タンパー保護領域にある内部時計の時刻情報、および予め実測結果等を踏まえて定められた測位誤差の上限値、を用いて算出された自装置の最適位置情報が含まれ、かつ最適位置情報の含み誤差があらかじめ設定された誤差許容範囲内と見積もられる場合、電波放送を再送無しと判定して再送攻撃を防止する。従って、上記課題を解決できる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、移動端末やRFIDタグの如き、位置の不定なデバイスに搭載される電波放送検証装置及びプログラムに係り、例えば、双方向通信を用いずに偽造攻撃及び再送攻撃を防止でき、電波放送の正当性を検証し得る電波放送検証装置及びプログラムに関する。
【背景技術】
【0002】
電磁波を用いた位置情報システムの代表として、GPS(Global Positioning System)が挙げられる。GPSは、4個以上のGPS衛星が放送する衛星自身の位置と送信時刻を受信し、受信端末の位置と受信時刻を算出する、というものである。
【0003】
しかしながら、GPSにより得られる位置情報は、受信端末使用者や悪意を持った第三者により容易に偽造や改ざん、不正流用が可能なため、安全性を保証できない。このため、得られた位置情報のままでは位置情報の正当性を示す証拠とすることができない問題がある。また、GPS以外の既存の位置情報配信サービスについても、同様の問題を抱えており、安全性を保証するために信頼できる人あるいは組織の手によって端末機器を直接監視し、対処しているのが現状である。
【0004】
一方、近年、対面で位置情報を直接確認せずに、移動端末の位置情報の正当性を検証可能な二つの方式が提案されている(例えば、非特許文献1,2参照。)。両方式は、送信信号に認証子を付加して偽造攻撃を防止することに加え、さらに(i)情報伝達速度が光速を超えないとする物理学の公理、及び(ii)電磁波の空間伝搬時間により距離測定を行う基地局と移動端末とが成す空間配置の幾何学的性質、の2つの基本的な事実(i),(ii)に基づいて再送攻撃を防止するものである。
【0005】
しかしながら、本発明者の検討によれば、両方式は、電磁波の双方向通信を用いて距離測位を行うため、端末使用者が後日検証可能な位置情報を取得する際に必ず基地局も端末の位置情報を得ることとなり、端末使用者の位置情報に関するプライバシーを保護することが難しい。
【0006】
また、両方式では、端末が基地局から得られた信号に対して瞬時に適切な値を計算し応答する処理が必要であるが、このような瞬時の処理は実装上非常に困難である。
【0007】
さらに、両方式では、端末が高速移動する場合、双方向通信特有の位置精度の劣化が必ず生じる。また、端末のバッテリー出力が低い場合、基地局毎にカバー可能なエリア面積が狭くなるため、野外などで広い面積をカバーするには多数の基地局が必要となる。なお、関連する記載としては、例えば非特許文献1中の1.1第2段落には利用シーンが述べられており、1.1第4段落には基地局のカバーエリアが小さいものと想定されていることが述べられている。
【非特許文献1】B.R. Waters and E.W. Felten, “Secure, private proofs of location,” Princeton Univ., Tech. Rep., [Online]. Available: http://www.cs.princeton.edu/research/techreps/TR-667-03, Jan. 2003.
【非特許文献2】S. Capkun and J.-P. Hubaux, “Secure positioning in wireless networks,” IEEE J. Sel. Areas Commun., vol. 24, no. 2, Feb. 2006, pp. 221-232.
【発明の開示】
【発明が解決しようとする課題】
【0008】
以上説明したように、非特許文献1,2記載の方式は、本発明者の検討によれば、双方向通信中の応答によりプライバシーの保護が困難となる問題や、瞬時の計算と応答を行う処理が実装上困難である問題、双方向通信中の高速移動による位置精度の劣化、応答時のバッテリー出力が低い場合に多数の基地局が必要となる問題、などがある。そして、これらの問題は、結局、位置情報の正当性の検証に双方向通信を用いることから生じていると考えられる。
【0009】
本発明は上記実情を考慮してなされたもので、双方向通信を用いずに偽造攻撃及び再送攻撃を防止でき、電波放送の正当性を検証し得る電波放送検証装置及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
第1の発明は、単方向通信を行う3つの放送局から予定放送時刻情報、放送局位置情報、及び放送局固有の認証子を含む電波放送を受信する受信手段と、前記認証子に基づいて、前記電波放送の偽造の有無を検証する偽造検証手段と、内部時刻情報を提供する内部時計装置と、前記電波放送を受信した時刻を示す内部時刻情報を前記内部時計装置から取得する受信時刻取得手段と、前記3つの放送局の電波放送から得られた3つの予定放送時刻情報と前記取得した内部時刻情報と予め適切に定められた測位誤差の上限値とに基づいて、当該3つの放送局の各々と自装置との間の3つの距離上限値を算出する距離上限値算出手段と、前記3つの距離上限値及び当該各距離上限値に対応する3つの放送局位置情報に基づいて、適切な数値最適化処理により、自装置の最適位置情報及びこの最適位置情報に関する含み誤差を算出する最適位置算出手段と、前記3つの放送局位置情報の値を頂点とした三角形の領域内に、前記最適位置情報が含まれるか否かを検証する位置検証手段と、前記最適位置情報に関する含み誤差情報が、予め設定された誤差許容範囲内にあるか否かを検証する含み誤差検証手段と、前記偽造検証手段により偽造無しが検証され、且つ前記最適位置検証手段により最適位置情報が含まれる旨が検証され、且つ前記含み誤差検証手段により誤差許容範囲内にある旨が検証された場合、前記最適位置情報を受諾する最適位置受諾手段とを備えた電波放送検証装置である。
【0011】
第2の発明は、単方向通信を行う4つの放送局から予定放送時刻情報、放送局位置情報、及び放送局固有の認証子を含む電波放送を受信する受信手段と、前記認証子に基づいて、前記電波放送の偽造の有無を検証する偽造検証手段と、内部時刻情報を提供する内部時計装置と、前記電波放送を受信した時刻を示す内部時刻情報を前記内部時計装置から取得する受信時刻取得手段と、前記4つの放送局の電波放送から得られた4つの予定放送時刻情報と前記取得した内部時刻情報と予め適切に定められた測位誤差の上限値とに基づいて、当該4つの放送局の各々と自装置との間の4つの距離上限値を算出する距離上限値算出手段と、前記4つの距離上限値及び当該各距離上限値に対応する4つの放送局位置情報に基づいて、適切な数値最適化処理により、自装置の最適位置情報及びこの最適位置情報に関する含み誤差情報を算出する最適位置算出手段と、前記4つの放送局位置情報の値を頂点とした四面体の領域内に、前記最適位置情報が含まれるか否かを検証する最適位置検証手段と、前記最適位置情報に関する含み誤差情報が、予め設定された誤差許容範囲内にあるか否かを検証する含み誤差検証手段と、前記偽造検証手段により偽造無しが検証され、前記最適位置検証手段により最適位置情報が含まれる旨が検証され、且つ前記含み誤差検証手段により誤差許容範囲内にある旨が検証された場合、前記最適位置情報を受諾する最適位置受諾手段とを備えた電波放送検証装置である。
【0012】
なお、第1及び第2の発明は、「装置」として表現したが、これに限らず、「プログラム」、「プログラムを記憶したコンピュータ読み取り可能な記憶媒体」又は「方法」としても表現することができる。
【0013】
(作用)
第1及び第2の発明は、単方向通信を用いた電波放送検証装置において、偽造検証手段が認証子の検証により偽造攻撃を阻止し、最適位置情報検証手段が各放送局を頂点とした三角形又は四面体の領域内に算出された位置情報が含まれることを検証し、算出された最適位置情報の含み誤差が誤差許容範囲内にあることを検証することによって再送攻撃を阻止するので、双方向通信を用いずに偽造攻撃及び再送攻撃を防止でき、電波放送の正当性を検証することができる。
【発明の効果】
【0014】
以上説明したように本発明によれば、双方向通信を用いずに偽造攻撃及び再送攻撃を防止でき、位置情報の正当性を検証できる。
【発明を実施するための最良の形態】
【0015】
以下、本発明の各実施形態について図面を用いて説明するが、その前に、本発明の概要について述べる。
【0016】
(本発明の概要)
図7は本発明の概要を説明するための電磁波の単方向通信による位置情報の配信を示す模式図である。信頼される放送局Siは、自らの正確な位置座標と予定放送時刻に偽造防止用認証子を付加したものを放送内容として用意し、放送内容に示された予定放送時刻の時点でこれらを放送する。認証子は放送局Si固有の秘密鍵に基づき生成されるものであればよく、例えばデジタル署名又はメッセージ認証子(Message Authentication Code:MAC)のいずれでも構わない。
【0017】
移動端末(移動端末)内の検証モジュールMは、放送局Siの放送を受信すると同時に、内部時計により受信時刻を取得する。なお、検証モジュールM及び内部時計は、いずれも移動端末の中の不正操作が禁じられた耐タンパー保護領域に組み込まれている。
【0018】
ここで、放送局Siの正確な位置を(xi,yi,zi)、放送時刻をti、検証モジュールMの受信時刻をtm、真空中の光速をcとする。このとき、たとえ移動端末の使用者を含む任意の攻撃者が偽造攻撃又は再送攻撃を試みたとしても、移動端末の検証モジュールMの位置と放送局Siの位置(xi,yi,zi)との間の距離の上限値がc(tm−ti)となることが分かる。以下にこの理由を述べる。
【0019】
偽造攻撃とは、攻撃者が過去の放送内容から推定して恣意的な位置情報を含む放送内容を「新たに」生成するか、又は、過去の放送内容の一部あるいは全部を改ざんして恣意的な位置情報を含む放送内容を生成することにより、正当な放送が遮断された環境下の移動端末に対し、移動端末の位置情報について検証モジュールMを欺こうとする攻撃と定義する。このような偽造攻撃は、放送局Siが生成する認証子の計算量的安全性が保たれている限り、認証子を検証して防止できる。具体的には、検証モジュールMは、放送内容の(xi,yi,zi,ti)と認証子signki(xi,yi,zi,ti)との整合性を検証すれば、(xi,yi,zi,ti)が不正に偽造された情報でないことを確認できる。例えば認証子がデジタル署名の場合、検証モジュールMは、放送局Siの正当な検証用公開鍵を用いて検証アルゴリズムを実行し、デジタル署名を検証すればよい。また、認証子がメッセージ認証子の場合、検証モジュールMが予め保有する放送局Siとの共通秘密鍵を用いて検証アルゴリズムを実行し、メッセージ認証子を検証すればよい。
【0020】
次に、再送攻撃とは、攻撃者が過去の放送内容を変更することなくそのまま再送することにより、正当な放送が遮断された環境下の移動端末に対し、移動端末の位置情報について検証モジュールMを欺こうとする攻撃と定義する。再送攻撃に対しては、前述した偽造攻撃が防止される前提のもと、検証モジュールMが放送時刻tiと受信時刻tmを取得するとき、攻撃者がどのような位置から再送攻撃を実行したとしても、移動端末の検証モジュールMは放送局Siから半径c(tm−ti)の球の境界および内部に含まれることが言える(二次元平面上に限定する場合は、半径c(tm−ti)の円の境界およびその境界から内部に含まれる)。なぜなら、偽造無しに再送された過去の放送内容は「情報伝達速度は決して真空中の光速を超えることができない。」とする物理学の公理に制約され、真空中においては正当な電波放送の伝達速度(真空中の光速)を超えて検証モジュールMに到達することができないため、攻撃者は検証モジュールMに対して、検証モジュールMから放送局Siまでの距離を実際より「より遠くに」偽装することしかできないからである。
【0021】
以上が、移動端末の検証モジュールMと放送局Siとの間の距離の上限値がc(tm−ti)となることが分かる理由である。
【0022】
しかしながら、現実には、放送局Siや検証モジュールMは大気中にあるため、放送局Siによる正当な放送の伝達速度は真空中の光速よりわずかに小さい値(平均的な大気中の光の位相速度は真空中の光速の約99.7%)となる。また、大気の組成密度の揺らぎによる電磁波の伝達速度への影響も場合によっては無視できない。さらに、放送局Si及び移動端末の内部時計の時刻誤差も位置誤差を生じる重要な要因である。
【0023】
そこで、再送攻撃の防止策は、これら現実の使用環境下で生じる不可避な位置誤差も考慮する必要がある。というのも、現在の技術水準では困難ではあるものの、攻撃者はこれら自発的な位置誤差の許す範囲で、正当な放送を遮断・保存した後、適切な時刻に再送する再送攻撃により、検証モジュールMから放送局Siまでの距離を実際より「より近くに」偽装することが原理上可能となるからである。
【0024】
これに伴い、攻撃者が再送攻撃により検証モジュールMから放送局Siまでの距離を「より遠くに」しか偽装できないよう、誤差をも考慮に入れて、検証モジュールMと放送局Siとの間の距離の上限値を再定義することを考える。現実の使用環境下において、電磁波の大気中の伝達速度をcair、放送局Si及び移動端末の内部時計の最大時刻誤差などにより生じる位置誤差の総和の絶対値の最大値をεとおくと、いかなる伝達速度cairに対しても必ずc≧cairが成り立つから、距離の上限値はc(tm−ti)+εとして定義すればよい(なお、時計の最大時刻誤差により生じる位置誤差は、測定時刻ti,tmに依存しない)。これらの関係を図8に示す。
【0025】
移動端末−放送局Si間の距離の上限値d=c(tm−ti)+εの誤差が最大となるのは、移動端末−放送局Siを結ぶ直線上にSiからの正当な放送を遮断する攻撃者が存在しない場合である。従って、距離上限値の誤差の最大値Δdは次式で示される。
【0026】
Δd≡(c−cair)(tm−ti)+ε
続いて、このような電磁波の単方向通信による放送局Siからの距離の上限値の測定を用いて、偽造攻撃及び再送攻撃に対して安全な、移動端末の位置算出法を述べる。簡単のため、まず初めに図9に示すように二次元平面上の位置認証に限定して考える。
【0027】
3つの放送局S1〜S3と1台の移動端末は、それぞれ高精度に同期した時計を保有し、高精度の時刻情報を取得する。各放送局Siは自らの正確な位置座標と予定放送時刻に偽造防止用認証子を付加して放送内容を作成し、この放送内容を予定放送時刻に放送する。移動端末内の検証モジュールMは、放送内容を受信すると同時に内部時計から受信時刻を取得する。以下、前述した測定法に従い、検証モジュールMは、移動端末と各放送局S1,S2,S3間の距離の上限値d=c(tm−ti)+εを得ることができる。
【0028】
ここで、3つの放送局S1〜S3を各頂点とする三角形の領域内に移動端末が位置するならば、前述した測定法が自発誤差εを含まず、さらに放送の伝達速度を真空中の光速cと見なせる理想的な場合、放送局Siからの上限値3つの全てを同時に満たす座標がただ1点に定まる。
【0029】
そこで、各放送局Siからの距離の上限値dによる移動端末の算出位置が放送局S1〜S3を各頂点とする三角形の領域内に含まれる場合のみ、算出位置を移動端末の正当な位置情報として受け入れ、算出位置が領域外である場合を全て拒絶することとすれば、受け入れられた位置情報は常に偽造攻撃及び再送攻撃に対して安全性が保証される。
【0030】
この安全性が保証される原理を、さらに別の表現で直感的に説明する。認証子により偽造が防止されている場合、前述したように、いかなる情報伝達速度も光速を超えないため(物理学の公理)、攻撃者はいかなる再送攻撃によっても、移動端末から見た放送局Siまでの距離を真の距離と比べて「より大きく」見せることしかできない。ここで背理法の考え方を用い、放送局S1〜S3を頂点とする三角形内部に含まれている移動端末の算出位置が再送攻撃による偽の位置情報であると仮定する。このとき、移動端末の真の位置が三角形の内部・外部を問わず平面上のどの点にあろうと、真の位置から偽の算出位置へ移動する際に放送局S1〜S3のうちの少なくとも一つには近づかなくてはならない。
【0031】
しかしながら、前述した通り、攻撃者はいかなる再送攻撃によっても移動端末から放送局Siへの真の距離を「より小さく」見せることは決してできない。ゆえに仮定は誤りであり、認証子により偽造攻撃が防止されているならば、移動端末の算出位置が放送局S1〜S3を頂点とする三角形の辺又は内部に含まれている場合、その算出位置はいかなる再送攻撃によっても得ることができないという意味において移動端末の真の位置であることが保証される。
【0032】
以上の三角形の領域判定については、誤差の生じない理想的な場合を想定していた。しかしながら、図8でも述べた通り、現実には電磁波の伝達速度の揺らぎ、放送局Siと移動端末の保有する時計の時刻誤差、などの主要因により、電磁波の伝達時間測定による距離評価には通常ある程度の誤差εが伴う。このような回避困難な自発誤差εは、検証モジュールMから見て、攻撃者が再送攻撃により意図的に起こす位置のズレとは原理的に区別できない。従って、これら自発的に発生する位置情報の誤差の評価と再送攻撃により作られる位置情報のズレの評価とは本質的に独立して行うことはできないため、検証モジュールMによる評価アルゴリズムにおいては同一の手段によって自発誤差及び攻撃による位置のズレの双方を同時に評価する方が現実的かつ効率的である。
【0033】
そこで、前述の、誤差を考慮した放送局Siから移動端末までの距離上限値c(tm−ti)+εを用いて、誤差評価と再送攻撃の防止を同時に行う。距離上限値内の誤差εの値は、放送局Si毎に電磁波の伝達状況や時刻同期精度等の諸条件が様々であることから、放送局Si毎に誤差εiとして考慮することが好ましい。このため、以下においては、より一般的に、放送局Siからの受信情報について実測結果等を踏まえ予め定められた測位誤差の上限値を、それぞれ定数εiとして与える。ここでは、適用する数値最適化法の指標に従い、誤差評価の観点から最適となる位置座標を算出してこれを真の位置情報とし、同時に得られた位置座標の潜在的な最大誤差を算出する。数値最適化法の一例としては、回帰分析等でしばしば用いられる最小二乗法が挙げられる。最小二乗法によれば、移動端末から各放送局Siまでの距離上限値diの分散をσi2と記したとき、その総和
【数1】
【0034】
補足すると、最適位置(xm0,ym0)は、分散の総和σ2の式をxmで偏微分した式Aがゼロであり、且つ同σ2の式をymで偏微分した式Bがゼロである条件で、式A,Bの連立方程式を解いた結果xm,ym(=xm0,ym0)として求められている。
【0035】
また、含み誤差σi(xm0,ym0)は、得られた最適位置(xm0,ym0)を分散σi2の式に代入することにより、求められている。
【0036】
しかしながら、最小二乗法は、誤差特性が正規分布に従う場合には適切な方法であるものの、要因によっては誤差特性が正規分布に従わない場合もあるため、事前に誤差特性を実測調査し、使用環境に適した数値最適化法を選択することがより望ましい。
【0037】
ここで、誤差をも含んだ適切な距離上限値c(tm−ti)+εiは、c、tm、ti,およびεiそれぞれの定義より移動端末の真の位置と放送局Siの間の距離より必ず大きい。従って、図10の斜線部で示されるように、移動端末の真の位置座標は、放送局S1〜S3を中心とし半径c(tm−ti)+εiである3つの円C1〜C3の全てが重なる領域に含まれることとなる。
【0038】
このことを前提とし、検証モジュールMは、後述する図2に示される一連の処理手続きを実行し、移動端末の位置座標の正当性について検証する。初めに前述の通り、受信放送が位置認証に必要な3局以上を含むことを確認し、次にこれが偽造されたものでないことを検証する。次に、採用した数値最適化に基づいて領域内の最適位置を算出し、最適位置の含み誤差を算出して、含み誤差が予め設定した適正誤差範囲内(誤差許容範囲内)にあるか否かを判定する。含み誤差が適正誤差の範囲内であれば、検証モジュールMは、数値最適化に基づいて求められた領域内の最適位置を移動端末の真の位置座標として受諾する。含み誤差が適正誤差の範囲外であれば、検証モジュールMは、最適位置を攻撃者により操作された可能性が高い不正な位置座標とみなし、これを拒絶する。
【0039】
移動端末の真の位置座標として受諾された場合、検証モジュールMはこの位置座標を耐タンパー保護領域にある記憶装置で安全に保存し、後に検証者がこの位置座標を物理的接触により直接読み出すこととしても良い。あるいは別の方法として、受諾された後、移動端末中の耐タンパー保護領域で保護された秘密鍵に基づいて、真の位置座標に対応した認証子を生成・付加し、この認証子を真の位置座標と共に移動端末中の保護されていない通常記憶装置に保存することとしても良い。認証子がデジタル署名の場合、検証者は移動端末の秘密鍵に対応した公開検証鍵でデジタル署名を検証する。認証子がメッセージ認証子の場合、検証者は移動端末との共通秘密鍵でメッセージ認証子を検証する。いずれにしても認証子を用いる場合、検証者は物理的に移動端末から離れていても、移動端末中の耐タンパー保護領域が有効な限り、提出された位置座標と認証子により、安全に検証を実行できる。
【0040】
以上、簡単のため二次元平面上の位置認証に限って説明したが、二次元平面上の位置認証に限らず、三次元空間における位置認証においても同様の考え方を適用することができる。このことは、自発誤差のない理想的な場合と、自発誤差のある現実の場合とのいずれでも同様である。
【0041】
但し、三次元空間の場合、座標の自由度が1増えるため、具体的な領域判定においては図11に示されるように、算出された移動端末の最適位置が、3つの放送局S1〜S3を各頂点とする三角形の代わりに4つの放送局S1〜S4を各頂点とする四面体の境界及び内部に含まれることを検証することとなる。このとき算出される最適位置は、4つの放送局S1〜S4を中心に持ち、誤差も考慮した距離上限値di=c(tm−ti)+εiを半径とする4つの球により囲まれた空間領域に含まれることとなる。
【0042】
なお、前述同様に、最小二乗法によれば、移動端末から各放送局Siまでの距離上限値diの分散をσi2と記したとき、その総和
【数2】
【0043】
具体的な処理のフローチャートも、図2の三角形の領域判定に代えて、図3に示すように四面体の領域判定を用いることとなる。
【0044】
以上が本発明の概要である。続いて、本発明の具体的な実施形態の説明に移る。
【0045】
(第1の実施形態)
図1は本発明の第1の実施形態に係る電波放送検証装置を内蔵した移動端末の構成を示す模式図である。この移動端末10は、カメラ付き携帯電話であり、内部時計11、内部時計更新時刻情報格納部12、耐タンパー性保証パラメータ格納部13、受信部14、受信情報格納部15、復調部16、時刻/認証子検証部17、位置情報算出部18、位置情報検証部19、時刻情報格納部20、スイッチ21、タイミング制御部22、シャッター23、撮像素子24、電子ファイル生成部25、ハッシュ値生成部26、デジタル署名生成部27、署名付き電子ファイル格納部28及び耐タンパー保護領域29を備えている。なお、スイッチ21、電子ファイル生成部25及び署名付き電子ファイル格納部28は、主にカメラに対応し、他の要素11〜20が主に電波放送検証装置に対応し、22〜24,26〜28が主に電波放送検証装置を用いた時刻位置認証装置に対応する。なお、時刻位置認証装置は、移動端末10の時刻情報と位置情報及び移動端末10が生成する電子ファイルに付加された時刻情報と位置情報の正当性を認証する装置である。また、時刻/認証子検証部17、位置情報算出部18及び位置情報検証部19は、前述した検証モジュールMに相当する。
【0046】
また、移動端末10は、各機能を実現するためのハードウェア構成、又はハードウェアとソフトウェアとの組み合わせ構成として実現されている。ソフトウェアは、予め記憶媒体又はネットワークからインストールされ、その機能を実現させるためのプログラムからなる。ソフトウェアで実現可能な要素としては、例えば、復調部16、時刻/認証子検証部17、位置情報算出部18、位置情報検証部19、電子ファイル生成部25、ハッシュ値生成部26及びデジタル署名生成部27が挙げられる。
【0047】
ここで、内部時計11は、耐タンパー保護領域29内で動作し、各放送局Siの持つ時計と同期する高精度な時計であり、内部時刻情報を時刻情報格納部20に提供する機能と、不正操作を検知すると直ちに正常動作を停止する機能をもっている。なお、利用者による内部時計11の操作は禁止されている。また、放送局Siとしては、地上の基地局でもよく、船上の移動局でもよい。すなわち、放送局Siは、信頼できる放送局であり、且つ予定放送時刻における放送局位置情報が正確な放送局であれば、船や車などの乗物の速度で移動する放送局であってもよい。放送局Siが移動してもよいことは、本実施形態が単方向通信を前提とすることによる。また、放送局Siとしては、予定放送時刻情報及び放送局位置情報と、MAC(Message Authentication Code)あるいはデジタル署名方式が用いられる認証子と、を電波放送で発信するものであればよい。MACによる認証子は、放送局Si及び移動端末10間の共通秘密鍵とハッシュ関数に基づいて生成される。デジタル署名方式による認証子は、放送局Siの署名鍵と公開検証鍵とに基づいて生成される。
【0048】
内部時計更新時刻情報格納部12は、図示しない管理センタにより定期的又は不定期に更新記憶されるメモリであり、内部時計11を管理センタが同期させた時刻を示す同期時刻情報及び有効期限を保持し、撮影毎に、同期時刻情報及び有効期限をそれぞれデジタル署名生成部27及び署名付き電子ファイル格納部28に送出する機能をもっている。
【0049】
耐タンパー性保証パラメータ格納部13は、耐タンパー保護領域29に設けられ、耐タンパー性保証パラメータを格納するものであり、耐タンパー保護領域29に外部から不正操作が行われた場合、この不正操作を検知してただちに耐タンパー性保証パラメータをゼロ値にする機能をもっている。
【0050】
受信部14は、単方向通信を行う3つの放送局Si(但し、i=1,2,3)から無線で送信される予定放送時刻情報、放送局位置情報、及び放送局固有の認証子を含む電波放送を受信して受信情報を生成する機能を有し、具体的には無線による標準放送と補正放送のための高感度受信回路から成る。
【0051】
ここで、標準放送とは、例えばGPS測位衛星の送信情報のように、高精度な「放送局の位置情報」と「予定した放送時刻情報」の2つが含まれた電波放送を指す。さらに、送信情報の放送局を識別しその正当性を保証するため、例えば放送内容を反映したデジタル署名など、放送局に固有な認証子が付加されている。
【0052】
受信情報格納部15は、タイミング制御部22から要求を受けると、直ちに受信部14から受信情報を取得・記憶する機能をもっている。
【0053】
復調部16は、受信情報格納部15内の受信情報を読出可能なデータ形式へ復調し、受信情報を時刻/認証子検証部17に送出する機能をもっている。
【0054】
時刻/認証子検証部17は、復調部16から受けた受信情報に関し、時刻情報に基づく検証と、認証子に基づく検証とを実行するものである。時刻/認証子検証部17は、時刻情報に基づく検証に関しては、受信情報に含まれる放送予定時刻情報と時刻情報格納部20が取得した内部時刻情報(受信時刻情報)とを比較し、受信時刻情報が全ての放送予定時刻情報よりも後か否かを検証する機能をもっている。
【0055】
この検証で後の場合、時刻/認証子検証部17は、受信情報に含まれる認証子に基づいて電波放送の偽造の有無を判定する機能を有し、具体的には、復調部16から受けた受信情報に対し、標準放送局Siからのものであるか、伝搬経路において改ざんされていないか、の2点に関して認証子を用いて検証する。ここでは具体例として初めに、認証子が公開鍵暗号方式に基づくデジタル署名である場合を考える。各放送局Siは、それぞれが固有に持つ秘密鍵を用いて、送信情報のハッシュ値を復号してデジタル署名を生成し、このデジタル署名を認証子として送信情報のメッセージ部に付加する。時刻/認証子検証部17は、予め保持した各放送局Siの正当な公開鍵を用いて、受信情報に含まれる認証子を暗号化し、得られた暗号化認証子と、受信情報のメッセージ部のハッシュ値とを比較し、両者が等しい場合、受信情報を正当と認める。
【0056】
位置情報算出部18は、時刻/認証子検証部17により正当と認められた3つの放送局Siの標準放送の受信情報に含まれる3つの予定放送時刻情報及び放送局位置情報と、時計情報格納部20が取得した内部時刻情報と予め適切に定められた含み測位誤差の上限値とに基づいて、当該3つの放送局の各々と自装置との間の3つの距離上限値を算出する機能と、3つの距離上限値及び当該各距離上限値に対応する3つの放送局位置情報に基づいて、受信情報の誤差特性に応じた適切な数値最適化処理のもと、移動端末10の最適位置情報および各放送局からの受信情報に対して最適位置情報が有する含み誤差を算出するものであり、最適位置情報を位置情報検証部19に送出する機能と、位置情報検証部19からの制御により、位置情報をデジタル署名生成部27及び署名付き電子ファイル格納部28に送出する機能をもっている。なお、「適切に定められた」とは、例えば、実測結果等を踏まえて定められたことを意味している。
【0057】
ここで、位置情報算出部18における算出過程について補足説明する。本実施形態は、二次元平面の場合であるので、地上の3つの放送局をSiとすると、標準放送には放送局Siの正確な位置情報(xi,yi)と予定放送時刻情報tiが含まれている。仮にここで数値最適化に最小二乗法を採用するものとすると、電磁波の速度をc、移動端末10の位置情報を(xm,ym)、受信時刻情報をtm、放送局Siからの受信情報が含む測位誤差の上限値をεiとして、前記の[数1]に従い、移動端末10の最適位置情報(xm0,ym0)と、各放送局Siからの受信情報に対して(xm0,ym0)が有する含み誤差σi(xm0,ym0)を算出する。
【0058】
位置情報検証部19は、3つの放送局Siの電波放送から得られた3つの放送局位置情報の値を頂点とした三角形の領域内に、位置情報算出部18が算出した移動端末10の最適位置情報が含まれ、且つその含み誤差があらかじめ設定された誤差許容範囲内にあるか否かを検証する機能と、時刻/認証子検証部17により偽造無しが検証され、三角形の領域内に最適位置情報が含まれる旨が検証され、且つその含み誤差があらかじめ設定された誤差許容範囲内にある旨が検証された場合、移動端末10の最適位置情報を受諾する機能と、最適位置情報を受諾した後に、位置情報算出部18に最適位置情報をデジタル署名生成部27へ送るように要求し、時刻情報格納部20に内部時刻情報をデジタル署名生成部27へ送るように要求する機能をもっている。
【0059】
なお、位置情報検証部19が位置情報の検証の正当性を保証するには、内部時計11の精度の高さが本質的である。高精度な内部時計の現実的な候補として、現在複数のメーカーにより製造・販売されている恒温槽付き小型水晶発振器が上げられる。各社の発行する性能評価カタログによると、これらは典型的な水準として1日の誤差5×10-10[s/day]程度の安定性がすでに達成されており、占有体積は携帯端末に組み込める程度に小さく、また消費電力も小さいことから、提案方式の内部時計として十分使用可能と考えられる。また、非常に近い将来の候補として、2005年アメリカのNIST(米国標準技術局)によって発表されたチップ規模原子時計が挙げられる(S. Knappe, V. Gerginov, P.D.D. Schwindt, V. Shah, H.G. Robinson, L. Hollberg and J. Kitching, “Atomic vapor cells for chip-shale atomic clocks with improved long-term frequency stability”, Optics Letters, vol. 30, no. 18, Sep. 2005, pp. 2351-2353.を参照)。
【0060】
NISTの発表によれば、このチップ規模原子時計は、1日の誤差5×10-11[s/day]という安定性を達成している。このようなチップ規模原子時計は、占有体積や消費電力が小さいので、腕時計、移動端末及びRFIDタグなどの小型デバイスへの組み込みにも適している。また、このチップ規模原子時計は、MEMS(micro-electro-mechanical systems)向け生産技術を用い、ウエハー内で集積して製造可能なため、製造コストを低減可能となっている。
【0061】
時刻情報格納部20は、タイミング制御部22から要求を受けると直ちに内部時計11から時刻情報を取得・記憶するものであり、位置情報検証部19から許可を得た後、取得した時刻情報をデジタル署名生成部27に与える機能をもっている。
【0062】
スイッチ21は、オン状態においてシャッター23を作動させ、同時にタイミング制御部22へオン状態であることを知らせる。
【0063】
タイミング制御部22は、スイッチ21がオン状態になると直ちに、受信情報格納部15が受信情報を、時刻情報格納部20が内部時計11の内部時刻情報を、それぞれ同時に取得・記憶するよう制御を行う。
【0064】
シャッター23は、スイッチ21により作動する開閉機構である。
撮像素子24は、シャッター23が開状態のとき、前方の被写体を撮像し、撮像結果を含む出力信号を電子ファイル生成部25に送出するものである。
【0065】
電子ファイル生成部25は、シャッター23作動後、撮像素子24から受けた出力信号に基づいて、画像を表す電子ファイルを生成する機能と、電子ファイルをハッシュ値生成部26及び署名付き電子ファイル格納部28に送出する機能とをもっている。
【0066】
なお、スイッチ21、シャッター23、撮像素子24、電子ファイル生成部25及び署名付き電子ファイル格納部28は、カメラ付き携帯電話のカメラに対応する要素である。
【0067】
ハッシュ値生成部26は、電子ファイル生成部25から受けた電子ファイルから一方向性関数と見なせる演算を用いてハッシュ値を生成し、得られたハッシュ値をデジタル署名生成部27へ送出する機能をもっている。
【0068】
デジタル署名生成部27は、時刻/認証子検証部17による判定の結果が偽造無しを示し、且つ位置情報検証部19による判定結果が再送無しを示す場合、内部時刻情報及び自装置の位置情報に基づいて、電子ファイルのデジタル署名を生成するものである。
【0069】
具体的にはデジタル署名生成部27は、ハッシュ値生成部26から受けたハッシュ値に対し、位置情報算出部18から受けた位置情報と、時刻情報格納部20から受けた内部時刻情報(受信時刻情報)と、内部時計更新時刻情報格納部12から受けた同期時刻情報及び有効期限とを付加して署名対象データを作成し、この署名対象データに対し、移動端末10固有の秘密鍵に基づいて復号処理を実行してデジタル署名を生成し、得られたデジタル署名を署名付き電子ファイル格納部28に送出する機能をもっている。
【0070】
署名付き電子ファイル格納部28は、電子ファイル生成部25から受けた電子ファイルに対し、位置情報算出部18から受けた位置情報と、時刻情報格納部20から受けた内部時刻情報(受信時刻情報)と、内部時計更新時刻情報格納部12から受けた同期時刻情報及び有効期限と、デジタル署名生成部27から受けたデジタル署名とを付加し、これら電子ファイル、位置情報、内部時刻情報、同期時刻情報、有効期限及びデジタル署名を1組として記憶する機能をもっている。
【0071】
耐タンパー保護領域29は、内部時計11、内部時計更新時刻情報格納部12、耐タンパー性保証パラメータ格納部13、受信部14、受信情報格納部15、復調部16、時刻/認証子検証部17、位置情報算出部18、位置情報検証部19、時刻情報格納部20、タイミング制御部22、電子ファイル生成部25、ハッシュ値生成部26、デジタル署名生成部27に耐タンパー性を持たせて保護するものであり、具体的には、耐タンパー保護領域29に外部から不正操作が行われた場合、この不正操作を検知してただちに前述した各要素11〜20,22,25〜27を無効にする機能をもっている。ここで、無効にする機能は、各要素のデータ又はプログラムを消去すればよい。
【0072】
次に、以上のように構成された移動端末の動作を図2のフローチャートを用いて説明する。
【0073】
スイッチ21は、利用者の操作により、オン状態においてシャッター23を開状態に作動させ、同時にタイミング制御部22へオン状態であることを知らせる。
【0074】
撮像素子24は、シャッター23が開状態のとき、前方の被写体を撮像し、撮像結果を含む出力信号を電子ファイル生成部25に送出する。
【0075】
電子ファイル生成部25は、この出力信号に基づいて、画像を表す電子ファイルを生成し、この電子ファイルをハッシュ値生成部26及び署名付き電子ファイル格納部28に送出する。
【0076】
一方、タイミング制御部22は、スイッチ21がオン状態になると直ちに、受信情報格納部15が受信情報を、時刻情報格納部20が内部時計11の内部時刻情報を、それぞれ同時に取得・記憶するよう制御を行う(ST1)。
【0077】
復調部16は、受信情報格納部15内の受信情報を読出可能なデータ形式へ復調し、受信情報を時刻/認証子検証部17に送出する。
【0078】
時刻/認証子検証部17は、各放送局からの各受信情報が3局分以上あるか否かを判定し(ST2)、否の場合にはステップST5に移行して、移動端末10が得た受信情報を攻撃による不正として拒絶する。
【0079】
次に、時刻/認証子検証部17は、時刻情報格納部20から取得した内部時刻情報(受信時刻情報)と、受信情報内の予定放送時刻情報とを比較し、受信時刻情報が全ての予定放送時刻情報よりも後であるか否かを検証し(ST3)、否の場合にはステップST5に移行して、受信情報を拒絶する。
【0080】
次に、時刻/認証子検証部17は、受信情報の認証子に基づいて電波放送の偽造の有無、すなわち、認証子が正当か否かを判定する(ST4)。なお、ステップST2〜ST4の判定は、いずれの順序で行ってもよく、また、後述するステップST6〜ST8の間で行ってもよい。また、ステップST2〜ST4のいずれかの判定結果が正当を示さなければ処理を中止するが(ST5)、ここでは受信情報を正当と認めた場合を述べる。
【0081】
位置情報算出部18は、3つの放送局S1〜S3の電波放送から得られた3つの予定放送時刻情報t1〜t3と取得した内部時刻情報(受信時刻情報)tmと予め適切に定められた測位誤差の上限値ε1〜ε3とに基づいて、当該3つの放送局S1〜S3の各々と移動端末10との間の3つの距離上限値d1〜d3を算出する。
【0082】
しかる後、位置情報算出部18は、3つの距離上限値d1〜d3及び当該各距離上限値d1〜d3に対応する3つの放送局位置情報(x1,y1), (x2,y2), (x3,y3)に基づいて、最小二乗法により、当該移動端末10の最適位置情報(xm0,ym0)及びこの最適位置情報を基に各放送局Siからの受信情報が有する含み誤差情報σi(xm0,ym0)を算出し(ST6)、これら算出結果(xm0,ym0),σi(xm0,ym0)を位置情報検証部19に送出する。
【0083】
位置情報検証部19は、算出された移動端末10の最適位置情報(xm0,ym0)が、3つの放送局S1〜S3を頂点とした三角形の領域内に含まれるか否かを検証し(ST7)、否の場合にはステップST9に移行して、最適位置情報(xm0,ym0)を攻撃による不正として拒絶する。
【0084】
続いて、位置情報検証部19は、最適位置の含み誤差σi(xm0,ym0)が、予め設定された誤差許容範囲内にあるか否かを判定し(ST8)、否の場合にはステップST9に移行して、最適位置情報(xm0,ym0)を不正として拒絶する。
【0085】
ステップST8の結果、誤差許容範囲内の場合には、位置情報検証部19は、最適位置情報(xm0,ym0)を移動端末10の真の位置として受諾し(ST10)、位置情報の検証を終了する。
【0086】
以下、移動端末10は、電子ファイルのハッシュ値に(最適)位置情報、内部時刻情報、同期時刻情報及び有効期限を付加して署名対象データを作成し、署名対象データからデジタル署名を生成し、このデジタル署名を電子ファイルに付加して記憶する。
【0087】
上述したように本実施形態によれば、無線で送信される予定放送時刻情報及び放送局位置情報に、放送局固有の認証子を付与し、この認証子に基づいて偽造の有無を判定することにより、偽造攻撃を阻止できる。これに加え、各放送局の放送局位置情報のうち、3つの放送局位置情報を頂点とした三角形の領域内に、放送時刻情報、放送局位置情報、自装置内の耐タンパー保護領域にある内部時計の時刻情報、および実測結果等を踏まえ予め定められた測位誤差の上限値、を用いて算出された自装置の最適位置情報が含まれ、かつ最適位置情報の有する各放送局に対する含み誤差があらかじめ設定された許容範囲内と見積もられる場合、電波放送を再送無しと判定する。
【0088】
また、上述したように本実施形態によれば、含み誤差を考慮した最適位置情報(xm0,ym0)について三角形の領域検証を行うため、より現実的且つ効率的に電波放送の正当性を検証することができる。
【0089】
補足すると、本実施形態は、受信情報に含まれる現実的には不可避な位置誤差の評価と不正防止とを同時に一つの判定アルゴリズムで行うことにより、構成を簡素化すると共に、処理を効率化し、さらに、誤動作を抑制することができる。
【0090】
従って、双方向通信を用いずに単方向通信のみで偽造攻撃及び再送攻撃を現実的に防止でき、位置情報の正当性を明確な技術的根拠をもって検証することができる。
【0091】
補足すると、本実施形態は、単方向通信により実現されるので、移動端末10の位置情報が放送局Siに知られることがなく、プライバシーを保護することができる。すなわち、例えば、単方向通信により実現されるため、検証者が移動端末10を常時監視することなく、移動端末10が過去に存在した位置を後日証明することが可能となり、位置情報に関する移動端末使用者のプライバシー保護を実現できる。
【0092】
また、本実施形態は、双方向通信とは異なり、放送局Siに応答する必要が無いため、比較的容易に実装することができる。さらに、双方向通信とは異なり、高速移動による位置精度の劣化の問題が無い。また、双方向通信とは異なり、放送局Siに応答する必要が無いため、応答時のバッテリー出力が低いことによる問題が無い。
【0093】
また、本実施形態は、移動端末10の位置情報が放送局S1〜S3を頂点とした三角形の領域内に含まれるか否かという簡易な検証アルゴリズムで実現できることから、構成を簡素化できると共に、処理を効率化でき、さらに、誤動作を抑制することができる。
【0094】
さらに、本実施形態は、偽造攻撃と再送攻撃を防止して位置情報の正当性を検証できることから、移動端末10の時刻情報と位置情報及び移動端末10が生成する電子ファイルに付加された時刻情報と位置情報の正当性を技術的に保証することができる。また、GPS等の放送型通信を利用して、電子ファイル生成を端末側で行い、端末を定位置に固定する必要がなくネットワーク接続の必要もない、偽りの位置情報を許さない安全な位置認証を実現することができる。
【0095】
また、本実施形態によれば、電波放送の正当性を保証できるので、電波放送検証装置を搭載するデバイスに応じて、例えば、デジタルデータの生成時刻・位置の保証(例、移動端末に搭載した場合)、物流における時刻情報及び位置情報の記録証明(例、RFIDタグに搭載した場合)、自動車の走行記録証明(例、タクシー料金メータに搭載した場合)など、提供される時刻情報及び位置情報の正当性が要求される種々のサービスを実現できる。例えば、定位置に固定されない携帯受信端末等を用いた種々のサービスを実現できる。
【0096】
(第2の実施形態)
図3は本発明の第2の実施形態に係る電波放送検証装置を内蔵した移動端末の動作を示すフローチャートである。
【0097】
すなわち、本実施形態は、第1の実施形態の変形例であり、図1に示した移動端末10が、3つの放送局S1〜S3を頂点とした三角形の領域検証に代えて、4つの放送局S1〜S4を頂点とした四面体の領域検証を実行する構成となっている。これに伴い、位置情報算出部18及び位置情報検証部19の機能が若干変更されている。
【0098】
具体的には、位置情報算出部18は、4つの放送局Siの電波放送から得られた4つの予定放送時刻情報及び放送局位置情報と取得した内部時刻情報と予め適切に定められた測位誤差の上限値とに基づいて、当該4つの放送局の各々と自装置との間の4つの距離上限値を算出する機能と、3つの距離上限値、当該各距離上限値に対応する4つの放送局位置情報、及び移動端末10の位置情報に基づいて、受信情報の誤差特性に応じた適切な数値最適化処理のもと、移動端末10の最適位置情報及びこの最適位置情報に関する含み誤差情報を算出する機能と、これら算出結果を位置情報検証部19に送出する機能とをもっている。「適切に定められた」の意味は、前述した通りである。
【0099】
ここで、位置情報算出部18における算出過程について補足説明する。本実施形態は、三次元空間の場合であるので、地上の3つの放送局及び人工衛星の1つの放送局をSi(但し、1≦i≦4)とすると、標準放送には放送局Siの正確な位置情報(xi,yi,zi)と予定放送時刻情報tiが含まれている。仮にここで数値最適化処理に最小二乗法を採用するものとすると、電磁波の速度をc、移動端末10の位置情報を(xm,ym,zm)、受信時刻情報をtm、放送局Siからの受信情報が含む測位誤差の上限値をεiとすると、前記の[数2]に従い、移動端末10の最適位置情報(xm0,ym0,zm0)とその各放送局Siに対する含み誤差σi(xm0,ym0,zm0)を算出する。
【0100】
位置情報検証部19は、4つの放送局位置情報の値を頂点とした四面体の領域内に、位置情報算出部18が算出した最適位置情報が含まれ、且つその含み誤差があらかじめ設定された誤差許容範囲内にあるか否かを検証する機能と、時刻/認証子検証部17により偽造無しが検証され、四面体の領域内に位置情報が含まれる旨が検証され、且つその含み誤差があらかじめ設定された誤差許容範囲内にある旨が検証された場合、位置情報算出部18が算出した最適位置情報を受諾する機能と、最適位置情報を受諾した後に、位置情報算出部18に最適位置情報をデジタル署名生成部27へ送るように要求し、時刻情報格納部20に内部時刻情報をデジタル署名生成部27へ送るように要求する機能をもっている。
【0101】
次に、以上のように構成された移動端末の動作を図3のフローチャートを用いて説明する。
【0102】
いま、スイッチ21のオン状態への操作から、受信情報及び内部時刻情報の取得・記憶動作が、前述したステップST1の通りに実行されたとする(ST11)。
【0103】
続いて、復調部16は、受信情報格納部15内の受信情報を読出可能なデータ形式へ復調し、受信情報を時刻/認証子検証部17に送出する。
【0104】
時刻/認証子検証部17は、各放送局からの各受信情報が4局分以上あるか否かを判定し(ST12)、否の場合にはステップST15に移行して、移動端末10が得た受信情報を攻撃による不正として拒絶する。
【0105】
次に、時刻/認証子検証部17は、時刻情報格納部20から取得した内部時刻情報(受信時刻情報)と、受信情報内の予定放送時刻情報とを比較し、受信時刻情報が全ての予定放送時刻情報よりも後であるか否かを検証し(ST13)、否の場合にはステップST15に移行して、受信情報を拒絶する。
【0106】
次に、時刻/認証子検証部17は、4局以上の受信情報の認証子に基づいて電波放送の偽造の有無、すなわち、認証子が正当か否かを判定する(ST14)。なお、ステップST12〜ST14の判定順序が任意であること等は前述したステップST2〜ST4と同様である。
【0107】
位置情報算出部18は、4つの放送局S1〜S4の電波放送から得られた4つの予定放送時刻情報t1〜t4と取得した内部時刻情報(受信時刻情報)tmと予め適切に定められた測位誤差の上限値ε1〜ε4とに基づいて、当該4つの放送局S1〜S4の各々と移動端末10との間の4つの距離上限値d1〜d4を算出する。
【0108】
しかる後、位置情報算出部18は、4つの距離上限値d1〜d4、及び当該各距離上限値d1〜d4に対応する4つの放送局位置情報(x1,y1,z1),(x2,y2,z2),(x3,y3,z3),(x4,y4,z4)に基づいて、最小二乗法により、当該移動端末10の最適位置情報(xm0,ym0,zm0)及びこの最適位置情報に関する含み誤差情報σi(xm0,ym0,zm0)を算出し(ST16)、これら算出結果(xm0,ym0,zm0),σi(xm0,ym0,zm0)を位置情報検証部19に送出する。
【0109】
位置情報検証部19は、算出された移動端末10の最適位置情報(xm0,ym0,zm0)が、4つの放送局S1〜S4を頂点とした四面体の領域内に含まれるか否かを検証し(ST17)、否の場合にはステップST19に移行して、最適位置情報(xm0,ym0,zm0)を攻撃による不正として拒絶する。
【0110】
続いて、位置情報検証部19は、最適位置の含み誤差σi(xm0,ym0,zm0)が、予め設定された誤差許容範囲内か否かを判定し(ST18)、否の場合にはステップST19に移行して、最適位置情報(xm0,ym0,zm0)を不正として拒絶する。
【0111】
ステップST18の結果、誤差許容範囲内の場合には、位置情報検証部19は、最適位置情報(xm0,ym0,zm0)を移動端末10の真の位置として受諾し(ST20)、位置情報の検証を終了する。
【0112】
以下、移動端末10は、電子ファイルのハッシュ値に(最適)位置情報、内部時刻情報、同期時刻情報及び有効期限を付加して署名対象データを作成し、署名対象データからデジタル署名を生成し、このデジタル署名を電子ファイルに付加して記憶する。
【0113】
上述したように本実施形態によれば、4つの放送局位置情報を頂点とした四面体の領域検証を行う構成としても、第1の実施形態と同様の作用効果を得ることができる。また、位置情報の検証を三次元空間でも実現するので、第1の実施形態に比べ、検証処理の適用範囲を広げることができる。
【0114】
また同様に、本実施形態は、移動端末10の位置情報が放送局S1〜S4を頂点とした四面体の領域内に含まれるか否かという簡易な検証アルゴリズムで実現できることから、構成を簡素化できると共に、処理を効率化でき、さらに、誤動作を抑制することができる。
【0115】
さらに本実施形態によれば、含み誤差を考慮した最適位置情報(xm0,ym0,zm0)について四面体の領域検証を行うため、より現実的且つ効率的に電波放送の正当性を検証することができる。
【0116】
(第3の実施形態)
図4は本発明の第3の実施形態に係る電波放送検証装置を内蔵した移動端末の構成を示す模式図である。本実施形態は、第1又は第2の実施形態の変形例であり、移動端末10aとして、タクシー料金メータを用いた構成となっている。これに伴い、図1のスイッチ21、シャッター23及び撮像素子24に代えて、料金確定スイッチ21a及び料金カウント部30を備え、電子ファイル生成部25aがタクシー料金に関する電子ファイルを生成するものとなっている。
【0117】
ここで、料金確定スイッチ21aは、既に作動中である料金カウント部30をオン状態において停止させて料金を確定し、タイミング制御部22へオン状態であることを知らせるものである。
【0118】
料金カウント部30は、運転手の操作により、客の乗車時に料金メータ開始スイッチ(図示せず)がオン状態にされると、タクシー料金をカウントし、降車時に料金確定スイッチ21aがオン状態にされると、確定した料金を示す確定データを電子ファイル生成部25aに送出するものである。
【0119】
電子ファイル生成部25aは、料金カウント部30内の確定データを表す電子ファイルを生成する機能と、電子ファイルをハッシュ値生成部26及び署名付き電子ファイル格納部28に送出する機能とをもっている。
【0120】
なお、料金確定スイッチ21a、料金カウント部30、電子ファイル生成部25a及び署名付き電子ファイル格納部28は、主にタクシー料金メータに対応し、他の要素11〜20が主に電波放送検証装置に対応し、22〜24,26〜28が主に電波放送検証装置を用いた時刻位置認証装置に対応する。
【0121】
次に、以上のように構成された移動端末の動作を説明する。
タクシー会社(管理センタ40)は、業務開始前に移動端末(タクシー料金メータ)10aの内部時計11を時刻同期させる。運転手は、客の乗車時に料金メータ開始スイッチ(図示せず)をオン状態にし、降車時に料金メータの料金確定スイッチ21aをオン状態にし、料金を確定させると同時に客の乗車・降車の位置情報と時刻情報、乗車料金、内部時計11の更新時刻、有効期限、に対して料金メータ固有のデジタル署名を生成し、これらデータに付加した上で1組とし、記憶する。
【0122】
タクシーが業務終了後に入庫してから、タクシー会社は耐タンパー性保証パラメータを検証後、記憶データを出力し、次回業務開始までに再び移動端末(タクシー料金メータ)10aの内部時計11の時刻同期を行う。
【0123】
上述したように本実施形態によれば、移動端末をタクシー料金メータに適用した構成としても、第1又は第2の実施形態と同様の効果を得ることができる。
【0124】
(第4の実施形態)
図5は本発明の第4の実施形態に係る電波放送検証装置を内蔵した移動端末の構成を示す模式図である。
【0125】
本実施形態は、第1又は第2の実施形態の変形例であり、移動端末10bとして、配送用精算機を用いた構成となっている。これに伴い、図1のスイッチ21、シャッター23及び撮像素子24に代えて、受領書発行スイッチ21b及び精算データ入力端末31を備え、電子ファイル生成部25bが精算データに関する電子ファイルを生成するものとなっている。
【0126】
ここで、受領証発行スイッチ21bは、オン状態において精算データ入力端末31の入力データを電子ファイル生成部25へ送り、タイミング制御部22へオン状態であることを知らせるものである。
【0127】
精算データ入力端末31は、クレジットカードもしくは手入力により精算データを入力するものであり、受領書発行スイッチ21bがオン状態にされると、確定した精算データを電子ファイル生成部25bに送出するものである。
【0128】
電子ファイル生成部25は、精算データ入力端末31から確定された精算データを受けると、精算データに対応する受領証を表す電子ファイルを生成する機能と、電子ファイルをハッシュ値生成部26及び署名付き電子ファイル格納部28に送出する機能とをもっている。
【0129】
なお、受領書発行スイッチ21b、精算データ入力端末31、電子ファイル生成部25b及び署名付き電子ファイル格納部28は、主に配送用精算機に対応し、他の要素11〜20が主に電波放送検証装置に対応し、22〜24,26〜28が主に電波放送検証装置を用いた時刻位置認証装置に対応する。
【0130】
次に、以上のように構成された移動端末の動作を説明する。
配送会社(管理センタ40)は、業務開始前に移動端末(配送用精算機)10bの内部時計11の時刻同期を行い、移動端末10bを配送者に渡す。
【0131】
配送者は荷物を届けた段階で決済処理を行い、受領証発行スイッチ21bをオン状態にすると、クレジットカード番号等の決済処理情報、決済を行う際の位置情報と時刻情報、内部時計11の更新時刻情報と有効期限、に対して移動端末10b固有のデジタル署名を生成し、これらデータに付加した上で1組とし、記憶する。
【0132】
配送者は業務終了時に移動端末(配送用精算機)10bを配送会社に渡す。配送会社は耐タンパー性保証パラメータを検証し、記憶データを出力し、次回業務開始前までに再び移動端末10bの内部時計11の時刻同期を行う。
【0133】
上述したように本実施形態によれば、移動端末を配送用精算機に適用した構成としても、第1又は第2の実施形態と同様の効果を得ることができる。
【0134】
(第5の実施形態)
図6は本発明の第5の実施形態に係る電波放送検証装置を内蔵したRFIDタグの構成を示す模式図である。
【0135】
本実施形態は、第1又は第2の実施形態の変形例であり、電波放送検証装置をRFIDタグ10cに搭載した構成となっている。これに伴い、図1のスイッチ21、シャッター23及び撮像素子24に代えて、通信装置32を備え、電子ファイル生成部25cが配送記録等の記録データに関する電子ファイルを生成するものとなっている。
【0136】
ここで、通信装置32は、受信内容が書込要求及び記録データのときに当該記録データを電子ファイル生成部25cへ送り、タイミング制御部22へオン状態であることを知らせる機能と、受信内容が読出要求のときに署名付き電子ファイル格納部28の記憶内容を読み出してアンテナから送信する機能とをもっている。
【0137】
電子ファイル生成部25は、通信装置から受けた記録データを表す電子ファイルを生成する機能と、電子ファイルをハッシュ値生成部26及び署名付き電子ファイル格納部28に送出する機能とをもっている。
【0138】
なお、通信装置32、電子ファイル生成部25c及び署名付き電子ファイル格納部28は、主にRFIDタグに対応し、他の要素11〜20が主に電波放送検証装置に対応し、22〜24,26〜28が主に電波放送検証装置を用いた時刻位置認証装置に対応する。
【0139】
次に、以上のように構成された移動端末の動作を説明する。
配送会社(管理センタ40)は、業務開始前にRFIDタグ10cの内部時計11の時刻同期を行い、RFIDタグ10cを配送物(商品等)に付ける。
【0140】
配送者が、配送物に付されたRFIDタグ10cに適宜、記録データを書き込むと、RFIDタグ10は、記録データ書込時の位置情報と時刻情報、内部時計11の更新時刻情報と有効期限、に対してRFIDタグ10c固有のデジタル署名を生成し、これらデータに付加した上で1組とし、記憶する。
【0141】
配送会社は、配送物の配送後、配送物から外したRFIDタグ10cの耐タンパー性保証パラメータを検証し、記録データを出力し、次回配送開始前までに再びRFIDタグ10cの内部時計11の時刻同期を行う。但し、RFIDタグ10cは、繰り返し使う場合に限らず、使い捨てでもよい。
【0142】
上述したように本実施形態によれば、電波放送検証装置をRFIDタグ10cに搭載した構成としても、第1又は第2の実施形態と同様の効果を得ることができる。また、RFIDタグ10cの場合、移動端末10と比べて機能が単純なため、移動端末10よりも低いバッテリー容量で実現を図ることができる。
【0143】
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0144】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0145】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
【0146】
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶又は一時記憶した記憶媒体も含まれる。
【0147】
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0148】
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0149】
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0150】
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
【図面の簡単な説明】
【0151】
【図1】本発明の第1の実施形態に係る電波放送検証装置を内蔵した移動端末の構成を示す模式図である。
【図2】同実施形態における移動端末の動作を説明するためのフローチャートである。
【図3】本発明の第2の実施形態に係る電波放送検証装置を内蔵した移動端末の動作を説明するためのフローチャートである。
【図4】本発明の第3の実施形態に係る電波放送検証装置を内蔵した移動端末の構成を示す模式図である。
【図5】本発明の第4の実施形態に係る電波放送検証装置を内蔵した移動端末の構成を示す模式図である。
【図6】本発明の第5の実施形態に係る電波放送検証装置を内蔵したRFIDタグの構成を示す模式図である。
【図7】本発明の概要を説明するための位置情報の配信を示す模式図である。
【図8】本発明の概要を説明するための距離上限値の測定を示す模式図である。
【図9】本発明の概要を説明するための二次元平面上の位置決めを示す模式図である。
【図10】本発明の概要を説明するための二次元平面上の位置決めを示す模式図である。
【図11】本発明の概要を説明するための三次元空間での位置決めを示す模式図である。
【符号の説明】
【0152】
10,10a,10b…移動端末、11…内部時計、12…内部時計更新時刻情報格納部、13…耐タンパー性保証パラメータ格納部、14…受信部、15…受信情報格納部、16…復調部、17…認証子検証部、18…位置情報算出部、19…位置情報検証部、20…時刻情報格納部、21,21a,21b…スイッチ、22…タイミング制御部、23…シャッター、24…撮像素子、25…電子ファイル生成部、26…ハッシュ値生成部、27…デジタル署名生成部、28…署名付き電子ファイル格納部、29…耐タンパー保護領域。
【技術分野】
【0001】
本発明は、移動端末やRFIDタグの如き、位置の不定なデバイスに搭載される電波放送検証装置及びプログラムに係り、例えば、双方向通信を用いずに偽造攻撃及び再送攻撃を防止でき、電波放送の正当性を検証し得る電波放送検証装置及びプログラムに関する。
【背景技術】
【0002】
電磁波を用いた位置情報システムの代表として、GPS(Global Positioning System)が挙げられる。GPSは、4個以上のGPS衛星が放送する衛星自身の位置と送信時刻を受信し、受信端末の位置と受信時刻を算出する、というものである。
【0003】
しかしながら、GPSにより得られる位置情報は、受信端末使用者や悪意を持った第三者により容易に偽造や改ざん、不正流用が可能なため、安全性を保証できない。このため、得られた位置情報のままでは位置情報の正当性を示す証拠とすることができない問題がある。また、GPS以外の既存の位置情報配信サービスについても、同様の問題を抱えており、安全性を保証するために信頼できる人あるいは組織の手によって端末機器を直接監視し、対処しているのが現状である。
【0004】
一方、近年、対面で位置情報を直接確認せずに、移動端末の位置情報の正当性を検証可能な二つの方式が提案されている(例えば、非特許文献1,2参照。)。両方式は、送信信号に認証子を付加して偽造攻撃を防止することに加え、さらに(i)情報伝達速度が光速を超えないとする物理学の公理、及び(ii)電磁波の空間伝搬時間により距離測定を行う基地局と移動端末とが成す空間配置の幾何学的性質、の2つの基本的な事実(i),(ii)に基づいて再送攻撃を防止するものである。
【0005】
しかしながら、本発明者の検討によれば、両方式は、電磁波の双方向通信を用いて距離測位を行うため、端末使用者が後日検証可能な位置情報を取得する際に必ず基地局も端末の位置情報を得ることとなり、端末使用者の位置情報に関するプライバシーを保護することが難しい。
【0006】
また、両方式では、端末が基地局から得られた信号に対して瞬時に適切な値を計算し応答する処理が必要であるが、このような瞬時の処理は実装上非常に困難である。
【0007】
さらに、両方式では、端末が高速移動する場合、双方向通信特有の位置精度の劣化が必ず生じる。また、端末のバッテリー出力が低い場合、基地局毎にカバー可能なエリア面積が狭くなるため、野外などで広い面積をカバーするには多数の基地局が必要となる。なお、関連する記載としては、例えば非特許文献1中の1.1第2段落には利用シーンが述べられており、1.1第4段落には基地局のカバーエリアが小さいものと想定されていることが述べられている。
【非特許文献1】B.R. Waters and E.W. Felten, “Secure, private proofs of location,” Princeton Univ., Tech. Rep., [Online]. Available: http://www.cs.princeton.edu/research/techreps/TR-667-03, Jan. 2003.
【非特許文献2】S. Capkun and J.-P. Hubaux, “Secure positioning in wireless networks,” IEEE J. Sel. Areas Commun., vol. 24, no. 2, Feb. 2006, pp. 221-232.
【発明の開示】
【発明が解決しようとする課題】
【0008】
以上説明したように、非特許文献1,2記載の方式は、本発明者の検討によれば、双方向通信中の応答によりプライバシーの保護が困難となる問題や、瞬時の計算と応答を行う処理が実装上困難である問題、双方向通信中の高速移動による位置精度の劣化、応答時のバッテリー出力が低い場合に多数の基地局が必要となる問題、などがある。そして、これらの問題は、結局、位置情報の正当性の検証に双方向通信を用いることから生じていると考えられる。
【0009】
本発明は上記実情を考慮してなされたもので、双方向通信を用いずに偽造攻撃及び再送攻撃を防止でき、電波放送の正当性を検証し得る電波放送検証装置及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
第1の発明は、単方向通信を行う3つの放送局から予定放送時刻情報、放送局位置情報、及び放送局固有の認証子を含む電波放送を受信する受信手段と、前記認証子に基づいて、前記電波放送の偽造の有無を検証する偽造検証手段と、内部時刻情報を提供する内部時計装置と、前記電波放送を受信した時刻を示す内部時刻情報を前記内部時計装置から取得する受信時刻取得手段と、前記3つの放送局の電波放送から得られた3つの予定放送時刻情報と前記取得した内部時刻情報と予め適切に定められた測位誤差の上限値とに基づいて、当該3つの放送局の各々と自装置との間の3つの距離上限値を算出する距離上限値算出手段と、前記3つの距離上限値及び当該各距離上限値に対応する3つの放送局位置情報に基づいて、適切な数値最適化処理により、自装置の最適位置情報及びこの最適位置情報に関する含み誤差を算出する最適位置算出手段と、前記3つの放送局位置情報の値を頂点とした三角形の領域内に、前記最適位置情報が含まれるか否かを検証する位置検証手段と、前記最適位置情報に関する含み誤差情報が、予め設定された誤差許容範囲内にあるか否かを検証する含み誤差検証手段と、前記偽造検証手段により偽造無しが検証され、且つ前記最適位置検証手段により最適位置情報が含まれる旨が検証され、且つ前記含み誤差検証手段により誤差許容範囲内にある旨が検証された場合、前記最適位置情報を受諾する最適位置受諾手段とを備えた電波放送検証装置である。
【0011】
第2の発明は、単方向通信を行う4つの放送局から予定放送時刻情報、放送局位置情報、及び放送局固有の認証子を含む電波放送を受信する受信手段と、前記認証子に基づいて、前記電波放送の偽造の有無を検証する偽造検証手段と、内部時刻情報を提供する内部時計装置と、前記電波放送を受信した時刻を示す内部時刻情報を前記内部時計装置から取得する受信時刻取得手段と、前記4つの放送局の電波放送から得られた4つの予定放送時刻情報と前記取得した内部時刻情報と予め適切に定められた測位誤差の上限値とに基づいて、当該4つの放送局の各々と自装置との間の4つの距離上限値を算出する距離上限値算出手段と、前記4つの距離上限値及び当該各距離上限値に対応する4つの放送局位置情報に基づいて、適切な数値最適化処理により、自装置の最適位置情報及びこの最適位置情報に関する含み誤差情報を算出する最適位置算出手段と、前記4つの放送局位置情報の値を頂点とした四面体の領域内に、前記最適位置情報が含まれるか否かを検証する最適位置検証手段と、前記最適位置情報に関する含み誤差情報が、予め設定された誤差許容範囲内にあるか否かを検証する含み誤差検証手段と、前記偽造検証手段により偽造無しが検証され、前記最適位置検証手段により最適位置情報が含まれる旨が検証され、且つ前記含み誤差検証手段により誤差許容範囲内にある旨が検証された場合、前記最適位置情報を受諾する最適位置受諾手段とを備えた電波放送検証装置である。
【0012】
なお、第1及び第2の発明は、「装置」として表現したが、これに限らず、「プログラム」、「プログラムを記憶したコンピュータ読み取り可能な記憶媒体」又は「方法」としても表現することができる。
【0013】
(作用)
第1及び第2の発明は、単方向通信を用いた電波放送検証装置において、偽造検証手段が認証子の検証により偽造攻撃を阻止し、最適位置情報検証手段が各放送局を頂点とした三角形又は四面体の領域内に算出された位置情報が含まれることを検証し、算出された最適位置情報の含み誤差が誤差許容範囲内にあることを検証することによって再送攻撃を阻止するので、双方向通信を用いずに偽造攻撃及び再送攻撃を防止でき、電波放送の正当性を検証することができる。
【発明の効果】
【0014】
以上説明したように本発明によれば、双方向通信を用いずに偽造攻撃及び再送攻撃を防止でき、位置情報の正当性を検証できる。
【発明を実施するための最良の形態】
【0015】
以下、本発明の各実施形態について図面を用いて説明するが、その前に、本発明の概要について述べる。
【0016】
(本発明の概要)
図7は本発明の概要を説明するための電磁波の単方向通信による位置情報の配信を示す模式図である。信頼される放送局Siは、自らの正確な位置座標と予定放送時刻に偽造防止用認証子を付加したものを放送内容として用意し、放送内容に示された予定放送時刻の時点でこれらを放送する。認証子は放送局Si固有の秘密鍵に基づき生成されるものであればよく、例えばデジタル署名又はメッセージ認証子(Message Authentication Code:MAC)のいずれでも構わない。
【0017】
移動端末(移動端末)内の検証モジュールMは、放送局Siの放送を受信すると同時に、内部時計により受信時刻を取得する。なお、検証モジュールM及び内部時計は、いずれも移動端末の中の不正操作が禁じられた耐タンパー保護領域に組み込まれている。
【0018】
ここで、放送局Siの正確な位置を(xi,yi,zi)、放送時刻をti、検証モジュールMの受信時刻をtm、真空中の光速をcとする。このとき、たとえ移動端末の使用者を含む任意の攻撃者が偽造攻撃又は再送攻撃を試みたとしても、移動端末の検証モジュールMの位置と放送局Siの位置(xi,yi,zi)との間の距離の上限値がc(tm−ti)となることが分かる。以下にこの理由を述べる。
【0019】
偽造攻撃とは、攻撃者が過去の放送内容から推定して恣意的な位置情報を含む放送内容を「新たに」生成するか、又は、過去の放送内容の一部あるいは全部を改ざんして恣意的な位置情報を含む放送内容を生成することにより、正当な放送が遮断された環境下の移動端末に対し、移動端末の位置情報について検証モジュールMを欺こうとする攻撃と定義する。このような偽造攻撃は、放送局Siが生成する認証子の計算量的安全性が保たれている限り、認証子を検証して防止できる。具体的には、検証モジュールMは、放送内容の(xi,yi,zi,ti)と認証子signki(xi,yi,zi,ti)との整合性を検証すれば、(xi,yi,zi,ti)が不正に偽造された情報でないことを確認できる。例えば認証子がデジタル署名の場合、検証モジュールMは、放送局Siの正当な検証用公開鍵を用いて検証アルゴリズムを実行し、デジタル署名を検証すればよい。また、認証子がメッセージ認証子の場合、検証モジュールMが予め保有する放送局Siとの共通秘密鍵を用いて検証アルゴリズムを実行し、メッセージ認証子を検証すればよい。
【0020】
次に、再送攻撃とは、攻撃者が過去の放送内容を変更することなくそのまま再送することにより、正当な放送が遮断された環境下の移動端末に対し、移動端末の位置情報について検証モジュールMを欺こうとする攻撃と定義する。再送攻撃に対しては、前述した偽造攻撃が防止される前提のもと、検証モジュールMが放送時刻tiと受信時刻tmを取得するとき、攻撃者がどのような位置から再送攻撃を実行したとしても、移動端末の検証モジュールMは放送局Siから半径c(tm−ti)の球の境界および内部に含まれることが言える(二次元平面上に限定する場合は、半径c(tm−ti)の円の境界およびその境界から内部に含まれる)。なぜなら、偽造無しに再送された過去の放送内容は「情報伝達速度は決して真空中の光速を超えることができない。」とする物理学の公理に制約され、真空中においては正当な電波放送の伝達速度(真空中の光速)を超えて検証モジュールMに到達することができないため、攻撃者は検証モジュールMに対して、検証モジュールMから放送局Siまでの距離を実際より「より遠くに」偽装することしかできないからである。
【0021】
以上が、移動端末の検証モジュールMと放送局Siとの間の距離の上限値がc(tm−ti)となることが分かる理由である。
【0022】
しかしながら、現実には、放送局Siや検証モジュールMは大気中にあるため、放送局Siによる正当な放送の伝達速度は真空中の光速よりわずかに小さい値(平均的な大気中の光の位相速度は真空中の光速の約99.7%)となる。また、大気の組成密度の揺らぎによる電磁波の伝達速度への影響も場合によっては無視できない。さらに、放送局Si及び移動端末の内部時計の時刻誤差も位置誤差を生じる重要な要因である。
【0023】
そこで、再送攻撃の防止策は、これら現実の使用環境下で生じる不可避な位置誤差も考慮する必要がある。というのも、現在の技術水準では困難ではあるものの、攻撃者はこれら自発的な位置誤差の許す範囲で、正当な放送を遮断・保存した後、適切な時刻に再送する再送攻撃により、検証モジュールMから放送局Siまでの距離を実際より「より近くに」偽装することが原理上可能となるからである。
【0024】
これに伴い、攻撃者が再送攻撃により検証モジュールMから放送局Siまでの距離を「より遠くに」しか偽装できないよう、誤差をも考慮に入れて、検証モジュールMと放送局Siとの間の距離の上限値を再定義することを考える。現実の使用環境下において、電磁波の大気中の伝達速度をcair、放送局Si及び移動端末の内部時計の最大時刻誤差などにより生じる位置誤差の総和の絶対値の最大値をεとおくと、いかなる伝達速度cairに対しても必ずc≧cairが成り立つから、距離の上限値はc(tm−ti)+εとして定義すればよい(なお、時計の最大時刻誤差により生じる位置誤差は、測定時刻ti,tmに依存しない)。これらの関係を図8に示す。
【0025】
移動端末−放送局Si間の距離の上限値d=c(tm−ti)+εの誤差が最大となるのは、移動端末−放送局Siを結ぶ直線上にSiからの正当な放送を遮断する攻撃者が存在しない場合である。従って、距離上限値の誤差の最大値Δdは次式で示される。
【0026】
Δd≡(c−cair)(tm−ti)+ε
続いて、このような電磁波の単方向通信による放送局Siからの距離の上限値の測定を用いて、偽造攻撃及び再送攻撃に対して安全な、移動端末の位置算出法を述べる。簡単のため、まず初めに図9に示すように二次元平面上の位置認証に限定して考える。
【0027】
3つの放送局S1〜S3と1台の移動端末は、それぞれ高精度に同期した時計を保有し、高精度の時刻情報を取得する。各放送局Siは自らの正確な位置座標と予定放送時刻に偽造防止用認証子を付加して放送内容を作成し、この放送内容を予定放送時刻に放送する。移動端末内の検証モジュールMは、放送内容を受信すると同時に内部時計から受信時刻を取得する。以下、前述した測定法に従い、検証モジュールMは、移動端末と各放送局S1,S2,S3間の距離の上限値d=c(tm−ti)+εを得ることができる。
【0028】
ここで、3つの放送局S1〜S3を各頂点とする三角形の領域内に移動端末が位置するならば、前述した測定法が自発誤差εを含まず、さらに放送の伝達速度を真空中の光速cと見なせる理想的な場合、放送局Siからの上限値3つの全てを同時に満たす座標がただ1点に定まる。
【0029】
そこで、各放送局Siからの距離の上限値dによる移動端末の算出位置が放送局S1〜S3を各頂点とする三角形の領域内に含まれる場合のみ、算出位置を移動端末の正当な位置情報として受け入れ、算出位置が領域外である場合を全て拒絶することとすれば、受け入れられた位置情報は常に偽造攻撃及び再送攻撃に対して安全性が保証される。
【0030】
この安全性が保証される原理を、さらに別の表現で直感的に説明する。認証子により偽造が防止されている場合、前述したように、いかなる情報伝達速度も光速を超えないため(物理学の公理)、攻撃者はいかなる再送攻撃によっても、移動端末から見た放送局Siまでの距離を真の距離と比べて「より大きく」見せることしかできない。ここで背理法の考え方を用い、放送局S1〜S3を頂点とする三角形内部に含まれている移動端末の算出位置が再送攻撃による偽の位置情報であると仮定する。このとき、移動端末の真の位置が三角形の内部・外部を問わず平面上のどの点にあろうと、真の位置から偽の算出位置へ移動する際に放送局S1〜S3のうちの少なくとも一つには近づかなくてはならない。
【0031】
しかしながら、前述した通り、攻撃者はいかなる再送攻撃によっても移動端末から放送局Siへの真の距離を「より小さく」見せることは決してできない。ゆえに仮定は誤りであり、認証子により偽造攻撃が防止されているならば、移動端末の算出位置が放送局S1〜S3を頂点とする三角形の辺又は内部に含まれている場合、その算出位置はいかなる再送攻撃によっても得ることができないという意味において移動端末の真の位置であることが保証される。
【0032】
以上の三角形の領域判定については、誤差の生じない理想的な場合を想定していた。しかしながら、図8でも述べた通り、現実には電磁波の伝達速度の揺らぎ、放送局Siと移動端末の保有する時計の時刻誤差、などの主要因により、電磁波の伝達時間測定による距離評価には通常ある程度の誤差εが伴う。このような回避困難な自発誤差εは、検証モジュールMから見て、攻撃者が再送攻撃により意図的に起こす位置のズレとは原理的に区別できない。従って、これら自発的に発生する位置情報の誤差の評価と再送攻撃により作られる位置情報のズレの評価とは本質的に独立して行うことはできないため、検証モジュールMによる評価アルゴリズムにおいては同一の手段によって自発誤差及び攻撃による位置のズレの双方を同時に評価する方が現実的かつ効率的である。
【0033】
そこで、前述の、誤差を考慮した放送局Siから移動端末までの距離上限値c(tm−ti)+εを用いて、誤差評価と再送攻撃の防止を同時に行う。距離上限値内の誤差εの値は、放送局Si毎に電磁波の伝達状況や時刻同期精度等の諸条件が様々であることから、放送局Si毎に誤差εiとして考慮することが好ましい。このため、以下においては、より一般的に、放送局Siからの受信情報について実測結果等を踏まえ予め定められた測位誤差の上限値を、それぞれ定数εiとして与える。ここでは、適用する数値最適化法の指標に従い、誤差評価の観点から最適となる位置座標を算出してこれを真の位置情報とし、同時に得られた位置座標の潜在的な最大誤差を算出する。数値最適化法の一例としては、回帰分析等でしばしば用いられる最小二乗法が挙げられる。最小二乗法によれば、移動端末から各放送局Siまでの距離上限値diの分散をσi2と記したとき、その総和
【数1】
【0034】
補足すると、最適位置(xm0,ym0)は、分散の総和σ2の式をxmで偏微分した式Aがゼロであり、且つ同σ2の式をymで偏微分した式Bがゼロである条件で、式A,Bの連立方程式を解いた結果xm,ym(=xm0,ym0)として求められている。
【0035】
また、含み誤差σi(xm0,ym0)は、得られた最適位置(xm0,ym0)を分散σi2の式に代入することにより、求められている。
【0036】
しかしながら、最小二乗法は、誤差特性が正規分布に従う場合には適切な方法であるものの、要因によっては誤差特性が正規分布に従わない場合もあるため、事前に誤差特性を実測調査し、使用環境に適した数値最適化法を選択することがより望ましい。
【0037】
ここで、誤差をも含んだ適切な距離上限値c(tm−ti)+εiは、c、tm、ti,およびεiそれぞれの定義より移動端末の真の位置と放送局Siの間の距離より必ず大きい。従って、図10の斜線部で示されるように、移動端末の真の位置座標は、放送局S1〜S3を中心とし半径c(tm−ti)+εiである3つの円C1〜C3の全てが重なる領域に含まれることとなる。
【0038】
このことを前提とし、検証モジュールMは、後述する図2に示される一連の処理手続きを実行し、移動端末の位置座標の正当性について検証する。初めに前述の通り、受信放送が位置認証に必要な3局以上を含むことを確認し、次にこれが偽造されたものでないことを検証する。次に、採用した数値最適化に基づいて領域内の最適位置を算出し、最適位置の含み誤差を算出して、含み誤差が予め設定した適正誤差範囲内(誤差許容範囲内)にあるか否かを判定する。含み誤差が適正誤差の範囲内であれば、検証モジュールMは、数値最適化に基づいて求められた領域内の最適位置を移動端末の真の位置座標として受諾する。含み誤差が適正誤差の範囲外であれば、検証モジュールMは、最適位置を攻撃者により操作された可能性が高い不正な位置座標とみなし、これを拒絶する。
【0039】
移動端末の真の位置座標として受諾された場合、検証モジュールMはこの位置座標を耐タンパー保護領域にある記憶装置で安全に保存し、後に検証者がこの位置座標を物理的接触により直接読み出すこととしても良い。あるいは別の方法として、受諾された後、移動端末中の耐タンパー保護領域で保護された秘密鍵に基づいて、真の位置座標に対応した認証子を生成・付加し、この認証子を真の位置座標と共に移動端末中の保護されていない通常記憶装置に保存することとしても良い。認証子がデジタル署名の場合、検証者は移動端末の秘密鍵に対応した公開検証鍵でデジタル署名を検証する。認証子がメッセージ認証子の場合、検証者は移動端末との共通秘密鍵でメッセージ認証子を検証する。いずれにしても認証子を用いる場合、検証者は物理的に移動端末から離れていても、移動端末中の耐タンパー保護領域が有効な限り、提出された位置座標と認証子により、安全に検証を実行できる。
【0040】
以上、簡単のため二次元平面上の位置認証に限って説明したが、二次元平面上の位置認証に限らず、三次元空間における位置認証においても同様の考え方を適用することができる。このことは、自発誤差のない理想的な場合と、自発誤差のある現実の場合とのいずれでも同様である。
【0041】
但し、三次元空間の場合、座標の自由度が1増えるため、具体的な領域判定においては図11に示されるように、算出された移動端末の最適位置が、3つの放送局S1〜S3を各頂点とする三角形の代わりに4つの放送局S1〜S4を各頂点とする四面体の境界及び内部に含まれることを検証することとなる。このとき算出される最適位置は、4つの放送局S1〜S4を中心に持ち、誤差も考慮した距離上限値di=c(tm−ti)+εiを半径とする4つの球により囲まれた空間領域に含まれることとなる。
【0042】
なお、前述同様に、最小二乗法によれば、移動端末から各放送局Siまでの距離上限値diの分散をσi2と記したとき、その総和
【数2】
【0043】
具体的な処理のフローチャートも、図2の三角形の領域判定に代えて、図3に示すように四面体の領域判定を用いることとなる。
【0044】
以上が本発明の概要である。続いて、本発明の具体的な実施形態の説明に移る。
【0045】
(第1の実施形態)
図1は本発明の第1の実施形態に係る電波放送検証装置を内蔵した移動端末の構成を示す模式図である。この移動端末10は、カメラ付き携帯電話であり、内部時計11、内部時計更新時刻情報格納部12、耐タンパー性保証パラメータ格納部13、受信部14、受信情報格納部15、復調部16、時刻/認証子検証部17、位置情報算出部18、位置情報検証部19、時刻情報格納部20、スイッチ21、タイミング制御部22、シャッター23、撮像素子24、電子ファイル生成部25、ハッシュ値生成部26、デジタル署名生成部27、署名付き電子ファイル格納部28及び耐タンパー保護領域29を備えている。なお、スイッチ21、電子ファイル生成部25及び署名付き電子ファイル格納部28は、主にカメラに対応し、他の要素11〜20が主に電波放送検証装置に対応し、22〜24,26〜28が主に電波放送検証装置を用いた時刻位置認証装置に対応する。なお、時刻位置認証装置は、移動端末10の時刻情報と位置情報及び移動端末10が生成する電子ファイルに付加された時刻情報と位置情報の正当性を認証する装置である。また、時刻/認証子検証部17、位置情報算出部18及び位置情報検証部19は、前述した検証モジュールMに相当する。
【0046】
また、移動端末10は、各機能を実現するためのハードウェア構成、又はハードウェアとソフトウェアとの組み合わせ構成として実現されている。ソフトウェアは、予め記憶媒体又はネットワークからインストールされ、その機能を実現させるためのプログラムからなる。ソフトウェアで実現可能な要素としては、例えば、復調部16、時刻/認証子検証部17、位置情報算出部18、位置情報検証部19、電子ファイル生成部25、ハッシュ値生成部26及びデジタル署名生成部27が挙げられる。
【0047】
ここで、内部時計11は、耐タンパー保護領域29内で動作し、各放送局Siの持つ時計と同期する高精度な時計であり、内部時刻情報を時刻情報格納部20に提供する機能と、不正操作を検知すると直ちに正常動作を停止する機能をもっている。なお、利用者による内部時計11の操作は禁止されている。また、放送局Siとしては、地上の基地局でもよく、船上の移動局でもよい。すなわち、放送局Siは、信頼できる放送局であり、且つ予定放送時刻における放送局位置情報が正確な放送局であれば、船や車などの乗物の速度で移動する放送局であってもよい。放送局Siが移動してもよいことは、本実施形態が単方向通信を前提とすることによる。また、放送局Siとしては、予定放送時刻情報及び放送局位置情報と、MAC(Message Authentication Code)あるいはデジタル署名方式が用いられる認証子と、を電波放送で発信するものであればよい。MACによる認証子は、放送局Si及び移動端末10間の共通秘密鍵とハッシュ関数に基づいて生成される。デジタル署名方式による認証子は、放送局Siの署名鍵と公開検証鍵とに基づいて生成される。
【0048】
内部時計更新時刻情報格納部12は、図示しない管理センタにより定期的又は不定期に更新記憶されるメモリであり、内部時計11を管理センタが同期させた時刻を示す同期時刻情報及び有効期限を保持し、撮影毎に、同期時刻情報及び有効期限をそれぞれデジタル署名生成部27及び署名付き電子ファイル格納部28に送出する機能をもっている。
【0049】
耐タンパー性保証パラメータ格納部13は、耐タンパー保護領域29に設けられ、耐タンパー性保証パラメータを格納するものであり、耐タンパー保護領域29に外部から不正操作が行われた場合、この不正操作を検知してただちに耐タンパー性保証パラメータをゼロ値にする機能をもっている。
【0050】
受信部14は、単方向通信を行う3つの放送局Si(但し、i=1,2,3)から無線で送信される予定放送時刻情報、放送局位置情報、及び放送局固有の認証子を含む電波放送を受信して受信情報を生成する機能を有し、具体的には無線による標準放送と補正放送のための高感度受信回路から成る。
【0051】
ここで、標準放送とは、例えばGPS測位衛星の送信情報のように、高精度な「放送局の位置情報」と「予定した放送時刻情報」の2つが含まれた電波放送を指す。さらに、送信情報の放送局を識別しその正当性を保証するため、例えば放送内容を反映したデジタル署名など、放送局に固有な認証子が付加されている。
【0052】
受信情報格納部15は、タイミング制御部22から要求を受けると、直ちに受信部14から受信情報を取得・記憶する機能をもっている。
【0053】
復調部16は、受信情報格納部15内の受信情報を読出可能なデータ形式へ復調し、受信情報を時刻/認証子検証部17に送出する機能をもっている。
【0054】
時刻/認証子検証部17は、復調部16から受けた受信情報に関し、時刻情報に基づく検証と、認証子に基づく検証とを実行するものである。時刻/認証子検証部17は、時刻情報に基づく検証に関しては、受信情報に含まれる放送予定時刻情報と時刻情報格納部20が取得した内部時刻情報(受信時刻情報)とを比較し、受信時刻情報が全ての放送予定時刻情報よりも後か否かを検証する機能をもっている。
【0055】
この検証で後の場合、時刻/認証子検証部17は、受信情報に含まれる認証子に基づいて電波放送の偽造の有無を判定する機能を有し、具体的には、復調部16から受けた受信情報に対し、標準放送局Siからのものであるか、伝搬経路において改ざんされていないか、の2点に関して認証子を用いて検証する。ここでは具体例として初めに、認証子が公開鍵暗号方式に基づくデジタル署名である場合を考える。各放送局Siは、それぞれが固有に持つ秘密鍵を用いて、送信情報のハッシュ値を復号してデジタル署名を生成し、このデジタル署名を認証子として送信情報のメッセージ部に付加する。時刻/認証子検証部17は、予め保持した各放送局Siの正当な公開鍵を用いて、受信情報に含まれる認証子を暗号化し、得られた暗号化認証子と、受信情報のメッセージ部のハッシュ値とを比較し、両者が等しい場合、受信情報を正当と認める。
【0056】
位置情報算出部18は、時刻/認証子検証部17により正当と認められた3つの放送局Siの標準放送の受信情報に含まれる3つの予定放送時刻情報及び放送局位置情報と、時計情報格納部20が取得した内部時刻情報と予め適切に定められた含み測位誤差の上限値とに基づいて、当該3つの放送局の各々と自装置との間の3つの距離上限値を算出する機能と、3つの距離上限値及び当該各距離上限値に対応する3つの放送局位置情報に基づいて、受信情報の誤差特性に応じた適切な数値最適化処理のもと、移動端末10の最適位置情報および各放送局からの受信情報に対して最適位置情報が有する含み誤差を算出するものであり、最適位置情報を位置情報検証部19に送出する機能と、位置情報検証部19からの制御により、位置情報をデジタル署名生成部27及び署名付き電子ファイル格納部28に送出する機能をもっている。なお、「適切に定められた」とは、例えば、実測結果等を踏まえて定められたことを意味している。
【0057】
ここで、位置情報算出部18における算出過程について補足説明する。本実施形態は、二次元平面の場合であるので、地上の3つの放送局をSiとすると、標準放送には放送局Siの正確な位置情報(xi,yi)と予定放送時刻情報tiが含まれている。仮にここで数値最適化に最小二乗法を採用するものとすると、電磁波の速度をc、移動端末10の位置情報を(xm,ym)、受信時刻情報をtm、放送局Siからの受信情報が含む測位誤差の上限値をεiとして、前記の[数1]に従い、移動端末10の最適位置情報(xm0,ym0)と、各放送局Siからの受信情報に対して(xm0,ym0)が有する含み誤差σi(xm0,ym0)を算出する。
【0058】
位置情報検証部19は、3つの放送局Siの電波放送から得られた3つの放送局位置情報の値を頂点とした三角形の領域内に、位置情報算出部18が算出した移動端末10の最適位置情報が含まれ、且つその含み誤差があらかじめ設定された誤差許容範囲内にあるか否かを検証する機能と、時刻/認証子検証部17により偽造無しが検証され、三角形の領域内に最適位置情報が含まれる旨が検証され、且つその含み誤差があらかじめ設定された誤差許容範囲内にある旨が検証された場合、移動端末10の最適位置情報を受諾する機能と、最適位置情報を受諾した後に、位置情報算出部18に最適位置情報をデジタル署名生成部27へ送るように要求し、時刻情報格納部20に内部時刻情報をデジタル署名生成部27へ送るように要求する機能をもっている。
【0059】
なお、位置情報検証部19が位置情報の検証の正当性を保証するには、内部時計11の精度の高さが本質的である。高精度な内部時計の現実的な候補として、現在複数のメーカーにより製造・販売されている恒温槽付き小型水晶発振器が上げられる。各社の発行する性能評価カタログによると、これらは典型的な水準として1日の誤差5×10-10[s/day]程度の安定性がすでに達成されており、占有体積は携帯端末に組み込める程度に小さく、また消費電力も小さいことから、提案方式の内部時計として十分使用可能と考えられる。また、非常に近い将来の候補として、2005年アメリカのNIST(米国標準技術局)によって発表されたチップ規模原子時計が挙げられる(S. Knappe, V. Gerginov, P.D.D. Schwindt, V. Shah, H.G. Robinson, L. Hollberg and J. Kitching, “Atomic vapor cells for chip-shale atomic clocks with improved long-term frequency stability”, Optics Letters, vol. 30, no. 18, Sep. 2005, pp. 2351-2353.を参照)。
【0060】
NISTの発表によれば、このチップ規模原子時計は、1日の誤差5×10-11[s/day]という安定性を達成している。このようなチップ規模原子時計は、占有体積や消費電力が小さいので、腕時計、移動端末及びRFIDタグなどの小型デバイスへの組み込みにも適している。また、このチップ規模原子時計は、MEMS(micro-electro-mechanical systems)向け生産技術を用い、ウエハー内で集積して製造可能なため、製造コストを低減可能となっている。
【0061】
時刻情報格納部20は、タイミング制御部22から要求を受けると直ちに内部時計11から時刻情報を取得・記憶するものであり、位置情報検証部19から許可を得た後、取得した時刻情報をデジタル署名生成部27に与える機能をもっている。
【0062】
スイッチ21は、オン状態においてシャッター23を作動させ、同時にタイミング制御部22へオン状態であることを知らせる。
【0063】
タイミング制御部22は、スイッチ21がオン状態になると直ちに、受信情報格納部15が受信情報を、時刻情報格納部20が内部時計11の内部時刻情報を、それぞれ同時に取得・記憶するよう制御を行う。
【0064】
シャッター23は、スイッチ21により作動する開閉機構である。
撮像素子24は、シャッター23が開状態のとき、前方の被写体を撮像し、撮像結果を含む出力信号を電子ファイル生成部25に送出するものである。
【0065】
電子ファイル生成部25は、シャッター23作動後、撮像素子24から受けた出力信号に基づいて、画像を表す電子ファイルを生成する機能と、電子ファイルをハッシュ値生成部26及び署名付き電子ファイル格納部28に送出する機能とをもっている。
【0066】
なお、スイッチ21、シャッター23、撮像素子24、電子ファイル生成部25及び署名付き電子ファイル格納部28は、カメラ付き携帯電話のカメラに対応する要素である。
【0067】
ハッシュ値生成部26は、電子ファイル生成部25から受けた電子ファイルから一方向性関数と見なせる演算を用いてハッシュ値を生成し、得られたハッシュ値をデジタル署名生成部27へ送出する機能をもっている。
【0068】
デジタル署名生成部27は、時刻/認証子検証部17による判定の結果が偽造無しを示し、且つ位置情報検証部19による判定結果が再送無しを示す場合、内部時刻情報及び自装置の位置情報に基づいて、電子ファイルのデジタル署名を生成するものである。
【0069】
具体的にはデジタル署名生成部27は、ハッシュ値生成部26から受けたハッシュ値に対し、位置情報算出部18から受けた位置情報と、時刻情報格納部20から受けた内部時刻情報(受信時刻情報)と、内部時計更新時刻情報格納部12から受けた同期時刻情報及び有効期限とを付加して署名対象データを作成し、この署名対象データに対し、移動端末10固有の秘密鍵に基づいて復号処理を実行してデジタル署名を生成し、得られたデジタル署名を署名付き電子ファイル格納部28に送出する機能をもっている。
【0070】
署名付き電子ファイル格納部28は、電子ファイル生成部25から受けた電子ファイルに対し、位置情報算出部18から受けた位置情報と、時刻情報格納部20から受けた内部時刻情報(受信時刻情報)と、内部時計更新時刻情報格納部12から受けた同期時刻情報及び有効期限と、デジタル署名生成部27から受けたデジタル署名とを付加し、これら電子ファイル、位置情報、内部時刻情報、同期時刻情報、有効期限及びデジタル署名を1組として記憶する機能をもっている。
【0071】
耐タンパー保護領域29は、内部時計11、内部時計更新時刻情報格納部12、耐タンパー性保証パラメータ格納部13、受信部14、受信情報格納部15、復調部16、時刻/認証子検証部17、位置情報算出部18、位置情報検証部19、時刻情報格納部20、タイミング制御部22、電子ファイル生成部25、ハッシュ値生成部26、デジタル署名生成部27に耐タンパー性を持たせて保護するものであり、具体的には、耐タンパー保護領域29に外部から不正操作が行われた場合、この不正操作を検知してただちに前述した各要素11〜20,22,25〜27を無効にする機能をもっている。ここで、無効にする機能は、各要素のデータ又はプログラムを消去すればよい。
【0072】
次に、以上のように構成された移動端末の動作を図2のフローチャートを用いて説明する。
【0073】
スイッチ21は、利用者の操作により、オン状態においてシャッター23を開状態に作動させ、同時にタイミング制御部22へオン状態であることを知らせる。
【0074】
撮像素子24は、シャッター23が開状態のとき、前方の被写体を撮像し、撮像結果を含む出力信号を電子ファイル生成部25に送出する。
【0075】
電子ファイル生成部25は、この出力信号に基づいて、画像を表す電子ファイルを生成し、この電子ファイルをハッシュ値生成部26及び署名付き電子ファイル格納部28に送出する。
【0076】
一方、タイミング制御部22は、スイッチ21がオン状態になると直ちに、受信情報格納部15が受信情報を、時刻情報格納部20が内部時計11の内部時刻情報を、それぞれ同時に取得・記憶するよう制御を行う(ST1)。
【0077】
復調部16は、受信情報格納部15内の受信情報を読出可能なデータ形式へ復調し、受信情報を時刻/認証子検証部17に送出する。
【0078】
時刻/認証子検証部17は、各放送局からの各受信情報が3局分以上あるか否かを判定し(ST2)、否の場合にはステップST5に移行して、移動端末10が得た受信情報を攻撃による不正として拒絶する。
【0079】
次に、時刻/認証子検証部17は、時刻情報格納部20から取得した内部時刻情報(受信時刻情報)と、受信情報内の予定放送時刻情報とを比較し、受信時刻情報が全ての予定放送時刻情報よりも後であるか否かを検証し(ST3)、否の場合にはステップST5に移行して、受信情報を拒絶する。
【0080】
次に、時刻/認証子検証部17は、受信情報の認証子に基づいて電波放送の偽造の有無、すなわち、認証子が正当か否かを判定する(ST4)。なお、ステップST2〜ST4の判定は、いずれの順序で行ってもよく、また、後述するステップST6〜ST8の間で行ってもよい。また、ステップST2〜ST4のいずれかの判定結果が正当を示さなければ処理を中止するが(ST5)、ここでは受信情報を正当と認めた場合を述べる。
【0081】
位置情報算出部18は、3つの放送局S1〜S3の電波放送から得られた3つの予定放送時刻情報t1〜t3と取得した内部時刻情報(受信時刻情報)tmと予め適切に定められた測位誤差の上限値ε1〜ε3とに基づいて、当該3つの放送局S1〜S3の各々と移動端末10との間の3つの距離上限値d1〜d3を算出する。
【0082】
しかる後、位置情報算出部18は、3つの距離上限値d1〜d3及び当該各距離上限値d1〜d3に対応する3つの放送局位置情報(x1,y1), (x2,y2), (x3,y3)に基づいて、最小二乗法により、当該移動端末10の最適位置情報(xm0,ym0)及びこの最適位置情報を基に各放送局Siからの受信情報が有する含み誤差情報σi(xm0,ym0)を算出し(ST6)、これら算出結果(xm0,ym0),σi(xm0,ym0)を位置情報検証部19に送出する。
【0083】
位置情報検証部19は、算出された移動端末10の最適位置情報(xm0,ym0)が、3つの放送局S1〜S3を頂点とした三角形の領域内に含まれるか否かを検証し(ST7)、否の場合にはステップST9に移行して、最適位置情報(xm0,ym0)を攻撃による不正として拒絶する。
【0084】
続いて、位置情報検証部19は、最適位置の含み誤差σi(xm0,ym0)が、予め設定された誤差許容範囲内にあるか否かを判定し(ST8)、否の場合にはステップST9に移行して、最適位置情報(xm0,ym0)を不正として拒絶する。
【0085】
ステップST8の結果、誤差許容範囲内の場合には、位置情報検証部19は、最適位置情報(xm0,ym0)を移動端末10の真の位置として受諾し(ST10)、位置情報の検証を終了する。
【0086】
以下、移動端末10は、電子ファイルのハッシュ値に(最適)位置情報、内部時刻情報、同期時刻情報及び有効期限を付加して署名対象データを作成し、署名対象データからデジタル署名を生成し、このデジタル署名を電子ファイルに付加して記憶する。
【0087】
上述したように本実施形態によれば、無線で送信される予定放送時刻情報及び放送局位置情報に、放送局固有の認証子を付与し、この認証子に基づいて偽造の有無を判定することにより、偽造攻撃を阻止できる。これに加え、各放送局の放送局位置情報のうち、3つの放送局位置情報を頂点とした三角形の領域内に、放送時刻情報、放送局位置情報、自装置内の耐タンパー保護領域にある内部時計の時刻情報、および実測結果等を踏まえ予め定められた測位誤差の上限値、を用いて算出された自装置の最適位置情報が含まれ、かつ最適位置情報の有する各放送局に対する含み誤差があらかじめ設定された許容範囲内と見積もられる場合、電波放送を再送無しと判定する。
【0088】
また、上述したように本実施形態によれば、含み誤差を考慮した最適位置情報(xm0,ym0)について三角形の領域検証を行うため、より現実的且つ効率的に電波放送の正当性を検証することができる。
【0089】
補足すると、本実施形態は、受信情報に含まれる現実的には不可避な位置誤差の評価と不正防止とを同時に一つの判定アルゴリズムで行うことにより、構成を簡素化すると共に、処理を効率化し、さらに、誤動作を抑制することができる。
【0090】
従って、双方向通信を用いずに単方向通信のみで偽造攻撃及び再送攻撃を現実的に防止でき、位置情報の正当性を明確な技術的根拠をもって検証することができる。
【0091】
補足すると、本実施形態は、単方向通信により実現されるので、移動端末10の位置情報が放送局Siに知られることがなく、プライバシーを保護することができる。すなわち、例えば、単方向通信により実現されるため、検証者が移動端末10を常時監視することなく、移動端末10が過去に存在した位置を後日証明することが可能となり、位置情報に関する移動端末使用者のプライバシー保護を実現できる。
【0092】
また、本実施形態は、双方向通信とは異なり、放送局Siに応答する必要が無いため、比較的容易に実装することができる。さらに、双方向通信とは異なり、高速移動による位置精度の劣化の問題が無い。また、双方向通信とは異なり、放送局Siに応答する必要が無いため、応答時のバッテリー出力が低いことによる問題が無い。
【0093】
また、本実施形態は、移動端末10の位置情報が放送局S1〜S3を頂点とした三角形の領域内に含まれるか否かという簡易な検証アルゴリズムで実現できることから、構成を簡素化できると共に、処理を効率化でき、さらに、誤動作を抑制することができる。
【0094】
さらに、本実施形態は、偽造攻撃と再送攻撃を防止して位置情報の正当性を検証できることから、移動端末10の時刻情報と位置情報及び移動端末10が生成する電子ファイルに付加された時刻情報と位置情報の正当性を技術的に保証することができる。また、GPS等の放送型通信を利用して、電子ファイル生成を端末側で行い、端末を定位置に固定する必要がなくネットワーク接続の必要もない、偽りの位置情報を許さない安全な位置認証を実現することができる。
【0095】
また、本実施形態によれば、電波放送の正当性を保証できるので、電波放送検証装置を搭載するデバイスに応じて、例えば、デジタルデータの生成時刻・位置の保証(例、移動端末に搭載した場合)、物流における時刻情報及び位置情報の記録証明(例、RFIDタグに搭載した場合)、自動車の走行記録証明(例、タクシー料金メータに搭載した場合)など、提供される時刻情報及び位置情報の正当性が要求される種々のサービスを実現できる。例えば、定位置に固定されない携帯受信端末等を用いた種々のサービスを実現できる。
【0096】
(第2の実施形態)
図3は本発明の第2の実施形態に係る電波放送検証装置を内蔵した移動端末の動作を示すフローチャートである。
【0097】
すなわち、本実施形態は、第1の実施形態の変形例であり、図1に示した移動端末10が、3つの放送局S1〜S3を頂点とした三角形の領域検証に代えて、4つの放送局S1〜S4を頂点とした四面体の領域検証を実行する構成となっている。これに伴い、位置情報算出部18及び位置情報検証部19の機能が若干変更されている。
【0098】
具体的には、位置情報算出部18は、4つの放送局Siの電波放送から得られた4つの予定放送時刻情報及び放送局位置情報と取得した内部時刻情報と予め適切に定められた測位誤差の上限値とに基づいて、当該4つの放送局の各々と自装置との間の4つの距離上限値を算出する機能と、3つの距離上限値、当該各距離上限値に対応する4つの放送局位置情報、及び移動端末10の位置情報に基づいて、受信情報の誤差特性に応じた適切な数値最適化処理のもと、移動端末10の最適位置情報及びこの最適位置情報に関する含み誤差情報を算出する機能と、これら算出結果を位置情報検証部19に送出する機能とをもっている。「適切に定められた」の意味は、前述した通りである。
【0099】
ここで、位置情報算出部18における算出過程について補足説明する。本実施形態は、三次元空間の場合であるので、地上の3つの放送局及び人工衛星の1つの放送局をSi(但し、1≦i≦4)とすると、標準放送には放送局Siの正確な位置情報(xi,yi,zi)と予定放送時刻情報tiが含まれている。仮にここで数値最適化処理に最小二乗法を採用するものとすると、電磁波の速度をc、移動端末10の位置情報を(xm,ym,zm)、受信時刻情報をtm、放送局Siからの受信情報が含む測位誤差の上限値をεiとすると、前記の[数2]に従い、移動端末10の最適位置情報(xm0,ym0,zm0)とその各放送局Siに対する含み誤差σi(xm0,ym0,zm0)を算出する。
【0100】
位置情報検証部19は、4つの放送局位置情報の値を頂点とした四面体の領域内に、位置情報算出部18が算出した最適位置情報が含まれ、且つその含み誤差があらかじめ設定された誤差許容範囲内にあるか否かを検証する機能と、時刻/認証子検証部17により偽造無しが検証され、四面体の領域内に位置情報が含まれる旨が検証され、且つその含み誤差があらかじめ設定された誤差許容範囲内にある旨が検証された場合、位置情報算出部18が算出した最適位置情報を受諾する機能と、最適位置情報を受諾した後に、位置情報算出部18に最適位置情報をデジタル署名生成部27へ送るように要求し、時刻情報格納部20に内部時刻情報をデジタル署名生成部27へ送るように要求する機能をもっている。
【0101】
次に、以上のように構成された移動端末の動作を図3のフローチャートを用いて説明する。
【0102】
いま、スイッチ21のオン状態への操作から、受信情報及び内部時刻情報の取得・記憶動作が、前述したステップST1の通りに実行されたとする(ST11)。
【0103】
続いて、復調部16は、受信情報格納部15内の受信情報を読出可能なデータ形式へ復調し、受信情報を時刻/認証子検証部17に送出する。
【0104】
時刻/認証子検証部17は、各放送局からの各受信情報が4局分以上あるか否かを判定し(ST12)、否の場合にはステップST15に移行して、移動端末10が得た受信情報を攻撃による不正として拒絶する。
【0105】
次に、時刻/認証子検証部17は、時刻情報格納部20から取得した内部時刻情報(受信時刻情報)と、受信情報内の予定放送時刻情報とを比較し、受信時刻情報が全ての予定放送時刻情報よりも後であるか否かを検証し(ST13)、否の場合にはステップST15に移行して、受信情報を拒絶する。
【0106】
次に、時刻/認証子検証部17は、4局以上の受信情報の認証子に基づいて電波放送の偽造の有無、すなわち、認証子が正当か否かを判定する(ST14)。なお、ステップST12〜ST14の判定順序が任意であること等は前述したステップST2〜ST4と同様である。
【0107】
位置情報算出部18は、4つの放送局S1〜S4の電波放送から得られた4つの予定放送時刻情報t1〜t4と取得した内部時刻情報(受信時刻情報)tmと予め適切に定められた測位誤差の上限値ε1〜ε4とに基づいて、当該4つの放送局S1〜S4の各々と移動端末10との間の4つの距離上限値d1〜d4を算出する。
【0108】
しかる後、位置情報算出部18は、4つの距離上限値d1〜d4、及び当該各距離上限値d1〜d4に対応する4つの放送局位置情報(x1,y1,z1),(x2,y2,z2),(x3,y3,z3),(x4,y4,z4)に基づいて、最小二乗法により、当該移動端末10の最適位置情報(xm0,ym0,zm0)及びこの最適位置情報に関する含み誤差情報σi(xm0,ym0,zm0)を算出し(ST16)、これら算出結果(xm0,ym0,zm0),σi(xm0,ym0,zm0)を位置情報検証部19に送出する。
【0109】
位置情報検証部19は、算出された移動端末10の最適位置情報(xm0,ym0,zm0)が、4つの放送局S1〜S4を頂点とした四面体の領域内に含まれるか否かを検証し(ST17)、否の場合にはステップST19に移行して、最適位置情報(xm0,ym0,zm0)を攻撃による不正として拒絶する。
【0110】
続いて、位置情報検証部19は、最適位置の含み誤差σi(xm0,ym0,zm0)が、予め設定された誤差許容範囲内か否かを判定し(ST18)、否の場合にはステップST19に移行して、最適位置情報(xm0,ym0,zm0)を不正として拒絶する。
【0111】
ステップST18の結果、誤差許容範囲内の場合には、位置情報検証部19は、最適位置情報(xm0,ym0,zm0)を移動端末10の真の位置として受諾し(ST20)、位置情報の検証を終了する。
【0112】
以下、移動端末10は、電子ファイルのハッシュ値に(最適)位置情報、内部時刻情報、同期時刻情報及び有効期限を付加して署名対象データを作成し、署名対象データからデジタル署名を生成し、このデジタル署名を電子ファイルに付加して記憶する。
【0113】
上述したように本実施形態によれば、4つの放送局位置情報を頂点とした四面体の領域検証を行う構成としても、第1の実施形態と同様の作用効果を得ることができる。また、位置情報の検証を三次元空間でも実現するので、第1の実施形態に比べ、検証処理の適用範囲を広げることができる。
【0114】
また同様に、本実施形態は、移動端末10の位置情報が放送局S1〜S4を頂点とした四面体の領域内に含まれるか否かという簡易な検証アルゴリズムで実現できることから、構成を簡素化できると共に、処理を効率化でき、さらに、誤動作を抑制することができる。
【0115】
さらに本実施形態によれば、含み誤差を考慮した最適位置情報(xm0,ym0,zm0)について四面体の領域検証を行うため、より現実的且つ効率的に電波放送の正当性を検証することができる。
【0116】
(第3の実施形態)
図4は本発明の第3の実施形態に係る電波放送検証装置を内蔵した移動端末の構成を示す模式図である。本実施形態は、第1又は第2の実施形態の変形例であり、移動端末10aとして、タクシー料金メータを用いた構成となっている。これに伴い、図1のスイッチ21、シャッター23及び撮像素子24に代えて、料金確定スイッチ21a及び料金カウント部30を備え、電子ファイル生成部25aがタクシー料金に関する電子ファイルを生成するものとなっている。
【0117】
ここで、料金確定スイッチ21aは、既に作動中である料金カウント部30をオン状態において停止させて料金を確定し、タイミング制御部22へオン状態であることを知らせるものである。
【0118】
料金カウント部30は、運転手の操作により、客の乗車時に料金メータ開始スイッチ(図示せず)がオン状態にされると、タクシー料金をカウントし、降車時に料金確定スイッチ21aがオン状態にされると、確定した料金を示す確定データを電子ファイル生成部25aに送出するものである。
【0119】
電子ファイル生成部25aは、料金カウント部30内の確定データを表す電子ファイルを生成する機能と、電子ファイルをハッシュ値生成部26及び署名付き電子ファイル格納部28に送出する機能とをもっている。
【0120】
なお、料金確定スイッチ21a、料金カウント部30、電子ファイル生成部25a及び署名付き電子ファイル格納部28は、主にタクシー料金メータに対応し、他の要素11〜20が主に電波放送検証装置に対応し、22〜24,26〜28が主に電波放送検証装置を用いた時刻位置認証装置に対応する。
【0121】
次に、以上のように構成された移動端末の動作を説明する。
タクシー会社(管理センタ40)は、業務開始前に移動端末(タクシー料金メータ)10aの内部時計11を時刻同期させる。運転手は、客の乗車時に料金メータ開始スイッチ(図示せず)をオン状態にし、降車時に料金メータの料金確定スイッチ21aをオン状態にし、料金を確定させると同時に客の乗車・降車の位置情報と時刻情報、乗車料金、内部時計11の更新時刻、有効期限、に対して料金メータ固有のデジタル署名を生成し、これらデータに付加した上で1組とし、記憶する。
【0122】
タクシーが業務終了後に入庫してから、タクシー会社は耐タンパー性保証パラメータを検証後、記憶データを出力し、次回業務開始までに再び移動端末(タクシー料金メータ)10aの内部時計11の時刻同期を行う。
【0123】
上述したように本実施形態によれば、移動端末をタクシー料金メータに適用した構成としても、第1又は第2の実施形態と同様の効果を得ることができる。
【0124】
(第4の実施形態)
図5は本発明の第4の実施形態に係る電波放送検証装置を内蔵した移動端末の構成を示す模式図である。
【0125】
本実施形態は、第1又は第2の実施形態の変形例であり、移動端末10bとして、配送用精算機を用いた構成となっている。これに伴い、図1のスイッチ21、シャッター23及び撮像素子24に代えて、受領書発行スイッチ21b及び精算データ入力端末31を備え、電子ファイル生成部25bが精算データに関する電子ファイルを生成するものとなっている。
【0126】
ここで、受領証発行スイッチ21bは、オン状態において精算データ入力端末31の入力データを電子ファイル生成部25へ送り、タイミング制御部22へオン状態であることを知らせるものである。
【0127】
精算データ入力端末31は、クレジットカードもしくは手入力により精算データを入力するものであり、受領書発行スイッチ21bがオン状態にされると、確定した精算データを電子ファイル生成部25bに送出するものである。
【0128】
電子ファイル生成部25は、精算データ入力端末31から確定された精算データを受けると、精算データに対応する受領証を表す電子ファイルを生成する機能と、電子ファイルをハッシュ値生成部26及び署名付き電子ファイル格納部28に送出する機能とをもっている。
【0129】
なお、受領書発行スイッチ21b、精算データ入力端末31、電子ファイル生成部25b及び署名付き電子ファイル格納部28は、主に配送用精算機に対応し、他の要素11〜20が主に電波放送検証装置に対応し、22〜24,26〜28が主に電波放送検証装置を用いた時刻位置認証装置に対応する。
【0130】
次に、以上のように構成された移動端末の動作を説明する。
配送会社(管理センタ40)は、業務開始前に移動端末(配送用精算機)10bの内部時計11の時刻同期を行い、移動端末10bを配送者に渡す。
【0131】
配送者は荷物を届けた段階で決済処理を行い、受領証発行スイッチ21bをオン状態にすると、クレジットカード番号等の決済処理情報、決済を行う際の位置情報と時刻情報、内部時計11の更新時刻情報と有効期限、に対して移動端末10b固有のデジタル署名を生成し、これらデータに付加した上で1組とし、記憶する。
【0132】
配送者は業務終了時に移動端末(配送用精算機)10bを配送会社に渡す。配送会社は耐タンパー性保証パラメータを検証し、記憶データを出力し、次回業務開始前までに再び移動端末10bの内部時計11の時刻同期を行う。
【0133】
上述したように本実施形態によれば、移動端末を配送用精算機に適用した構成としても、第1又は第2の実施形態と同様の効果を得ることができる。
【0134】
(第5の実施形態)
図6は本発明の第5の実施形態に係る電波放送検証装置を内蔵したRFIDタグの構成を示す模式図である。
【0135】
本実施形態は、第1又は第2の実施形態の変形例であり、電波放送検証装置をRFIDタグ10cに搭載した構成となっている。これに伴い、図1のスイッチ21、シャッター23及び撮像素子24に代えて、通信装置32を備え、電子ファイル生成部25cが配送記録等の記録データに関する電子ファイルを生成するものとなっている。
【0136】
ここで、通信装置32は、受信内容が書込要求及び記録データのときに当該記録データを電子ファイル生成部25cへ送り、タイミング制御部22へオン状態であることを知らせる機能と、受信内容が読出要求のときに署名付き電子ファイル格納部28の記憶内容を読み出してアンテナから送信する機能とをもっている。
【0137】
電子ファイル生成部25は、通信装置から受けた記録データを表す電子ファイルを生成する機能と、電子ファイルをハッシュ値生成部26及び署名付き電子ファイル格納部28に送出する機能とをもっている。
【0138】
なお、通信装置32、電子ファイル生成部25c及び署名付き電子ファイル格納部28は、主にRFIDタグに対応し、他の要素11〜20が主に電波放送検証装置に対応し、22〜24,26〜28が主に電波放送検証装置を用いた時刻位置認証装置に対応する。
【0139】
次に、以上のように構成された移動端末の動作を説明する。
配送会社(管理センタ40)は、業務開始前にRFIDタグ10cの内部時計11の時刻同期を行い、RFIDタグ10cを配送物(商品等)に付ける。
【0140】
配送者が、配送物に付されたRFIDタグ10cに適宜、記録データを書き込むと、RFIDタグ10は、記録データ書込時の位置情報と時刻情報、内部時計11の更新時刻情報と有効期限、に対してRFIDタグ10c固有のデジタル署名を生成し、これらデータに付加した上で1組とし、記憶する。
【0141】
配送会社は、配送物の配送後、配送物から外したRFIDタグ10cの耐タンパー性保証パラメータを検証し、記録データを出力し、次回配送開始前までに再びRFIDタグ10cの内部時計11の時刻同期を行う。但し、RFIDタグ10cは、繰り返し使う場合に限らず、使い捨てでもよい。
【0142】
上述したように本実施形態によれば、電波放送検証装置をRFIDタグ10cに搭載した構成としても、第1又は第2の実施形態と同様の効果を得ることができる。また、RFIDタグ10cの場合、移動端末10と比べて機能が単純なため、移動端末10よりも低いバッテリー容量で実現を図ることができる。
【0143】
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0144】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0145】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
【0146】
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶又は一時記憶した記憶媒体も含まれる。
【0147】
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0148】
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0149】
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0150】
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
【図面の簡単な説明】
【0151】
【図1】本発明の第1の実施形態に係る電波放送検証装置を内蔵した移動端末の構成を示す模式図である。
【図2】同実施形態における移動端末の動作を説明するためのフローチャートである。
【図3】本発明の第2の実施形態に係る電波放送検証装置を内蔵した移動端末の動作を説明するためのフローチャートである。
【図4】本発明の第3の実施形態に係る電波放送検証装置を内蔵した移動端末の構成を示す模式図である。
【図5】本発明の第4の実施形態に係る電波放送検証装置を内蔵した移動端末の構成を示す模式図である。
【図6】本発明の第5の実施形態に係る電波放送検証装置を内蔵したRFIDタグの構成を示す模式図である。
【図7】本発明の概要を説明するための位置情報の配信を示す模式図である。
【図8】本発明の概要を説明するための距離上限値の測定を示す模式図である。
【図9】本発明の概要を説明するための二次元平面上の位置決めを示す模式図である。
【図10】本発明の概要を説明するための二次元平面上の位置決めを示す模式図である。
【図11】本発明の概要を説明するための三次元空間での位置決めを示す模式図である。
【符号の説明】
【0152】
10,10a,10b…移動端末、11…内部時計、12…内部時計更新時刻情報格納部、13…耐タンパー性保証パラメータ格納部、14…受信部、15…受信情報格納部、16…復調部、17…認証子検証部、18…位置情報算出部、19…位置情報検証部、20…時刻情報格納部、21,21a,21b…スイッチ、22…タイミング制御部、23…シャッター、24…撮像素子、25…電子ファイル生成部、26…ハッシュ値生成部、27…デジタル署名生成部、28…署名付き電子ファイル格納部、29…耐タンパー保護領域。
【特許請求の範囲】
【請求項1】
単方向通信を行う3つの放送局から予定放送時刻情報、放送局位置情報、及び放送局固有の認証子を含む電波放送を受信する受信手段と、
前記認証子に基づいて、前記電波放送の偽造の有無を検証する偽造検証手段と、
内部時刻情報を提供する内部時計装置と、
前記電波放送を受信した時刻を示す内部時刻情報を前記内部時計装置から取得する受信時刻取得手段と、
前記3つの放送局の電波放送から得られた3つの予定放送時刻情報と前記取得した内部時刻情報と予め定められた測位誤差の上限値とに基づいて、当該3つの放送局の各々と自装置との間の3つの距離上限値を算出する距離上限値算出手段と、
前記3つの距離上限値及び当該各距離上限値に対応する3つの放送局位置情報に基づいて、最小二乗法により、自装置の最適位置情報及びこの最適位置情報に関する含み誤差情報を算出する最適位置算出手段と、
前記3つの放送局位置情報の値を頂点とした三角形の領域内に、前記最適位置情報が含まれるか否かを検証する最適位置検証手段と、
前記最適位置情報に関する含み誤差情報が、予め設定された誤差許容範囲内にあるか否かを検証する含み誤差検証手段と、
前記偽造検証手段により偽造無しが検証され、前記最適位置検証手段により最適位置情報が含まれる旨が検証され、且つ前記含み誤差検証手段により誤差許容範囲内にある旨が検証された場合、前記最適位置情報を受諾する最適位置受諾手段と
を備えたことを特徴とする電波放送検証装置。
【請求項2】
単方向通信を行う4つの放送局から予定放送時刻情報、放送局位置情報、及び放送局固有の認証子を含む電波放送を受信する受信手段と、
前記認証子に基づいて、前記電波放送の偽造の有無を検証する偽造検証手段と、
内部時刻情報を提供する内部時計装置と、
前記電波放送を受信した時刻を示す内部時刻情報を前記内部時計装置から取得する受信時刻取得手段と、
前記4つの放送局の電波放送から得られた4つの予定放送時刻情報と前記取得した内部時刻情報と予め定められた測位誤差の上限値とに基づいて、当該4つの放送局の各々と自装置との間の4つの距離上限値を算出する距離上限値算出手段と、
前記4つの距離上限値及び当該各距離上限値に対応する4つの放送局位置情報に基づいて、最小二乗法により、自装置の最適位置情報及びこの最適位置情報に関する含み誤差情報を算出する最適位置算出手段と、
前記4つの放送局位置情報の値を頂点とした四面体の領域内に、前記最適位置情報が含まれるか否かを検証する最適位置検証手段と、
前記最適位置情報に関する含み誤差情報が、予め設定された誤差許容範囲内にあるか否かを検証する含み誤差検証手段と、
前記偽造検証手段により偽造無しが検証され、前記最適位置検証手段により最適位置情報が含まれる旨が検証され、且つ前記含み誤差検証手段により誤差許容範囲内にある旨が検証された場合、前記最適位置情報を受諾する最適位置受諾手段と
を備えたことを特徴とする電波放送検証装置。
【請求項3】
単方向通信を行う3つの放送局から予定放送時刻情報、放送局位置情報、及び放送局固有の認証子を含む電波放送を受信する受信回路と、内部時刻情報を提供する内部時計装置とを備えた電波放送検証装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記認証子に基づいて、前記電波放送の偽造の有無を検証する偽造検証手段、
前記電波放送を受信した時刻を示す内部時刻情報を前記内部時計装置から取得する受信時刻取得手段、
前記3つの放送局の電波放送から得られた3つの予定放送時刻情報と前記取得した内部時刻情報と予め定められた測位誤差の上限値とに基づいて、当該3つの放送局の各々と自装置との間の3つの距離上限値を算出する距離上限値算出手段、
前記3つの距離上限値及び当該各距離上限値に対応する3つの放送局位置情報に基づいて、最小二乗法により、自装置の最適位置情報及びこの最適位置情報に関する含み誤差情報を算出する最適位置算出手段、
前記3つの放送局位置情報の値を頂点とした三角形の領域内に、前記最適位置情報が含まれるか否かを検証する最適位置検証手段、
前記最適位置情報に関する含み誤差情報が、予め設定された誤差許容範囲内にあるか否かを検証する含み誤差検証手段、
前記偽造検証手段により偽造無しが検証され、前記最適位置検証手段により最適位置情報が含まれる旨が検証され、且つ前記含み誤差検証手段により誤差許容範囲内にある旨が検証された場合、前記最適位置情報を受諾する最適位置受諾手段、
として機能させるためのプログラム。
【請求項4】
単方向通信を行う4つの放送局から予定放送時刻情報、放送局位置情報、及び放送局固有の認証子を含む電波放送を受信する受信回路と、内部時刻情報を提供する内部時計装置とを備えた電波放送検証装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記認証子に基づいて、前記電波放送の偽造の有無を検証する偽造検証手段、
前記電波放送を受信した時刻を示す内部時刻情報を前記内部時計装置から取得する受信時刻取得手段、
前記4つの放送局の電波放送から得られた4つの予定放送時刻情報と前記取得した内部時刻情報と予め定められた測位誤差の上限値とに基づいて、当該4つの放送局の各々と自装置との間の4つの距離上限値を算出する距離上限値算出手段、
前記4つの距離上限値及び当該各距離上限値に対応する4つの放送局位置情報に基づいて、最小二乗法により、自装置の最適位置情報及びこの最適位置情報に関する含み誤差情報を算出する最適位置算出手段、
前記4つの放送局位置情報の値を頂点とした四面体の領域内に、前記最適位置情報が含まれるか否かを検証する最適位置検証手段、
前記最適位置情報に関する含み誤差情報が、予め設定された誤差許容範囲内にあるか否かを検証する含み誤差検証手段、
前記偽造検証手段により偽造無しが検証され、前記最適位置検証手段により最適位置情報が含まれる旨が検証され、且つ前記含み誤差検証手段により誤差許容範囲内にある旨が検証された場合、前記最適位置情報を受諾する最適位置受諾手段、
として機能させるためのプログラム。
【請求項1】
単方向通信を行う3つの放送局から予定放送時刻情報、放送局位置情報、及び放送局固有の認証子を含む電波放送を受信する受信手段と、
前記認証子に基づいて、前記電波放送の偽造の有無を検証する偽造検証手段と、
内部時刻情報を提供する内部時計装置と、
前記電波放送を受信した時刻を示す内部時刻情報を前記内部時計装置から取得する受信時刻取得手段と、
前記3つの放送局の電波放送から得られた3つの予定放送時刻情報と前記取得した内部時刻情報と予め定められた測位誤差の上限値とに基づいて、当該3つの放送局の各々と自装置との間の3つの距離上限値を算出する距離上限値算出手段と、
前記3つの距離上限値及び当該各距離上限値に対応する3つの放送局位置情報に基づいて、最小二乗法により、自装置の最適位置情報及びこの最適位置情報に関する含み誤差情報を算出する最適位置算出手段と、
前記3つの放送局位置情報の値を頂点とした三角形の領域内に、前記最適位置情報が含まれるか否かを検証する最適位置検証手段と、
前記最適位置情報に関する含み誤差情報が、予め設定された誤差許容範囲内にあるか否かを検証する含み誤差検証手段と、
前記偽造検証手段により偽造無しが検証され、前記最適位置検証手段により最適位置情報が含まれる旨が検証され、且つ前記含み誤差検証手段により誤差許容範囲内にある旨が検証された場合、前記最適位置情報を受諾する最適位置受諾手段と
を備えたことを特徴とする電波放送検証装置。
【請求項2】
単方向通信を行う4つの放送局から予定放送時刻情報、放送局位置情報、及び放送局固有の認証子を含む電波放送を受信する受信手段と、
前記認証子に基づいて、前記電波放送の偽造の有無を検証する偽造検証手段と、
内部時刻情報を提供する内部時計装置と、
前記電波放送を受信した時刻を示す内部時刻情報を前記内部時計装置から取得する受信時刻取得手段と、
前記4つの放送局の電波放送から得られた4つの予定放送時刻情報と前記取得した内部時刻情報と予め定められた測位誤差の上限値とに基づいて、当該4つの放送局の各々と自装置との間の4つの距離上限値を算出する距離上限値算出手段と、
前記4つの距離上限値及び当該各距離上限値に対応する4つの放送局位置情報に基づいて、最小二乗法により、自装置の最適位置情報及びこの最適位置情報に関する含み誤差情報を算出する最適位置算出手段と、
前記4つの放送局位置情報の値を頂点とした四面体の領域内に、前記最適位置情報が含まれるか否かを検証する最適位置検証手段と、
前記最適位置情報に関する含み誤差情報が、予め設定された誤差許容範囲内にあるか否かを検証する含み誤差検証手段と、
前記偽造検証手段により偽造無しが検証され、前記最適位置検証手段により最適位置情報が含まれる旨が検証され、且つ前記含み誤差検証手段により誤差許容範囲内にある旨が検証された場合、前記最適位置情報を受諾する最適位置受諾手段と
を備えたことを特徴とする電波放送検証装置。
【請求項3】
単方向通信を行う3つの放送局から予定放送時刻情報、放送局位置情報、及び放送局固有の認証子を含む電波放送を受信する受信回路と、内部時刻情報を提供する内部時計装置とを備えた電波放送検証装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記認証子に基づいて、前記電波放送の偽造の有無を検証する偽造検証手段、
前記電波放送を受信した時刻を示す内部時刻情報を前記内部時計装置から取得する受信時刻取得手段、
前記3つの放送局の電波放送から得られた3つの予定放送時刻情報と前記取得した内部時刻情報と予め定められた測位誤差の上限値とに基づいて、当該3つの放送局の各々と自装置との間の3つの距離上限値を算出する距離上限値算出手段、
前記3つの距離上限値及び当該各距離上限値に対応する3つの放送局位置情報に基づいて、最小二乗法により、自装置の最適位置情報及びこの最適位置情報に関する含み誤差情報を算出する最適位置算出手段、
前記3つの放送局位置情報の値を頂点とした三角形の領域内に、前記最適位置情報が含まれるか否かを検証する最適位置検証手段、
前記最適位置情報に関する含み誤差情報が、予め設定された誤差許容範囲内にあるか否かを検証する含み誤差検証手段、
前記偽造検証手段により偽造無しが検証され、前記最適位置検証手段により最適位置情報が含まれる旨が検証され、且つ前記含み誤差検証手段により誤差許容範囲内にある旨が検証された場合、前記最適位置情報を受諾する最適位置受諾手段、
として機能させるためのプログラム。
【請求項4】
単方向通信を行う4つの放送局から予定放送時刻情報、放送局位置情報、及び放送局固有の認証子を含む電波放送を受信する受信回路と、内部時刻情報を提供する内部時計装置とを備えた電波放送検証装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記認証子に基づいて、前記電波放送の偽造の有無を検証する偽造検証手段、
前記電波放送を受信した時刻を示す内部時刻情報を前記内部時計装置から取得する受信時刻取得手段、
前記4つの放送局の電波放送から得られた4つの予定放送時刻情報と前記取得した内部時刻情報と予め定められた測位誤差の上限値とに基づいて、当該4つの放送局の各々と自装置との間の4つの距離上限値を算出する距離上限値算出手段、
前記4つの距離上限値及び当該各距離上限値に対応する4つの放送局位置情報に基づいて、最小二乗法により、自装置の最適位置情報及びこの最適位置情報に関する含み誤差情報を算出する最適位置算出手段、
前記4つの放送局位置情報の値を頂点とした四面体の領域内に、前記最適位置情報が含まれるか否かを検証する最適位置検証手段、
前記最適位置情報に関する含み誤差情報が、予め設定された誤差許容範囲内にあるか否かを検証する含み誤差検証手段、
前記偽造検証手段により偽造無しが検証され、前記最適位置検証手段により最適位置情報が含まれる旨が検証され、且つ前記含み誤差検証手段により誤差許容範囲内にある旨が検証された場合、前記最適位置情報を受諾する最適位置受諾手段、
として機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2008−199530(P2008−199530A)
【公開日】平成20年8月28日(2008.8.28)
【国際特許分類】
【出願番号】特願2007−35317(P2007−35317)
【出願日】平成19年2月15日(2007.2.15)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
【公開日】平成20年8月28日(2008.8.28)
【国際特許分類】
【出願日】平成19年2月15日(2007.2.15)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
[ Back to top ]