WO2005106620A1 - 情報管理装置および情報管理方法 - Google Patents

Abstract

　セキュリティチップ（２１５）は、バスを介して、通信Ｉ／Ｆ（２０９）、生体センサ（２１１）、ＣＰＵ（２０１）、メモリ／ストレージ（３００）に接続されている。また、情報処理装置（１０１）内には、各種ソフトウェア（３０１）がインストールされており、これらのソフトウェア（３０１）に関する情報も取得可能である。さらに、情報処理装置（１０１）に接続されている周辺機器（３０２）に関する情報も取得可能である。また、セキュリティチップ（２１５）は、通信認証ハードウェア（３１１）と、生体認証ハードウェア（３１２）と、装置内情報認証ハードウェア（３１３）と、監視ハードウェア（３１４）と、検証ハードウェア（３１５）と、から構成されている。

Description

情報管理装置および情報管理方法

技術分野

本発明は、 情報処理装置におレ、て情報を管理する情報管理装置および情報管理 方法に関する。 ，

明 田 1

背景技術

近年、 I Pv 6 (I n t e r n e t P r o t o c o l V e r s i o n D ) の導入により、 インターネットなどの通信網に接続される情報処理装置は、 パー ソナルコンピュータ、 サーバコンピュータ、 および携帯電話機のほ力 \ 令蔵庫、 電子レンジ、 エアコン、 TV、 DVD等の家電機器、 コピー機、 さらにはロボッ トなども通信網に接続され、 情報の送受信をおこなうことができる。 このように 通信網に接続される情報処理装置が増加するにしたがって、 安全性 （セキユリテ ィ） が低下することになる。

特に家電機器は安全性が低く、 外部から機器の正常な動作に支障をきたすプロ グラムを送り込まれるケースや、 DDo S (D i s t r i b u t e d De n i a 1 o f S e r v i c e) の踏み台にされるおそれがある。 そこで、 このよ うな情報処理装置の安全性を高めるために、 指紋などを用いたバイオメトリック 認証機能を情報処理装置に搭載する試みがなされている （例えば、 下記特許文献

1を参照。 ） 。

また、 これらの情報処理装置を用いた電子商取引を行う際には、 情報処理装置 1 正当な所有者が使用している力 \ 所有者自らの情報処理装置を用いた取引で ある力、 情報処理装置に安全性を損なう機器が接続、 または OS (Op e r a t i n g Sy s t em) , ブラウザ、 プラグインソフト等のソフトウエアがイン ストールされていないかなどの安全性をまず確保した上で、 商取引を行うことが 好ましい。

さらに、 生体情報を用いた生体認証、 認証機関を利用した電子証明書による本 人認証 (P K I (Pub l i c Ke y I n f r a s t r u c t u r e) 認証 ) 、 および情報処理装置に関する情報を機密管理する環境認証もおこなわれてい る。 また、 製造コストの上昇を招くことなく、 様々なセキュリティを実行するこ とが可能な記憶媒体駆動装置が提案されている （例えば、 下記特許文献 2を参照

₀ ) o

特許文献 1

特開平 3— 58174号公報

特許文献 2

特開平 10— 2831 90号公報

しかしながら、 上記従来の技術では、 認証用の指紋情報が流出する場合もあり 、 バイオメトリック認証のみでは、 高度な安全性を確保することが難しいという 問題があった。

また、 これらの情報処理装置にパッチ用のソフトウェア、 ファームウェア等を 提供する場合、 第三者に送信中のソフトウエアを改竄されるおそれがあることか ら、 情報送信側の装置と情報処理装置との間での安全性を十分に確保する必要が ありた。 その一方、 安全性のレベルを高めすぎると、 情報の送受信を円滑におこ なうことが困難になるという問題があった。

また、 生体認証、 本人認証、 環境認証などの複数種類の認証処理を、 一の情報 処理装置において独立しておこなう場合、 各認証処理の相互間での情報の授受の 際に、 相互の認証が必要となる。 したがって、 それぞれの認証機能の他に、 他の 認証機能との情報授受のための認証機能を備えることになり、 製品コストおよび 認証処理時間が増大するという問題が生じるおそれがある。

一方、 上述した生体認証、 本人認証、 環境認証は、 元々異なる目的で用いられ る認証機能であるため、 それぞれの認証処理を実行するためのファームウェアな どのプログラムやデータについての更新頻度、 更新量、 更新方法が異なっている したがって、 上述した生体認証、 本人認証、 環境認証の認証機能を単一のチッ プに組み込む場合、 それぞれの認証機能についてのプロダラムゃデータが更新さ れる都度、 チップ全体を更新、 多くの場合、 作り替えをすることになり、 コスト 面から事実上不可能である。 また、 更新の都度、 作り替え作業が生じる場合、 ュ 一ザにとってはその間利用することができないため不便である。

したがって、 これら個々の認証機能の更新は、 元々の認証の使命上、 可及的速 やかに行われるべきものであるため、 他の更新を待って、 同時に更新するという ことでは認証をおこなう意味がないこととなる。

本発明は、 上記問題点に鑑みてなされたものであって、 生体認証、 本人認証 ( P K I認証） 、 および環境認証におけるプログラムおよびデータの更新を、 柔軟 かつ厳密に実行可能とすることにより、 安全性の向上を図ることができる情報管 理装置および情報管理方法を提供することを目的とする。 発明の開示

上述した課題を解決し、 目的を達成するため、 本発明の情報管理装置は、 情報 処理装置内に実装され、 前記情報処理装置外との通信の安全性を認証する通信認 証ハードウェアと、 当該通信認証ハードウエアとは異なる所定の処理をおこなう 処理ハードウエアとを内蔵した単一チップからなる情報管理装置であって、 前記 単一チップ内にインストールされている任意の実行プログラムの提供元と前記情 報処理装置との間の通信の安全性が前記通信認証ハードウエアによつて認証され た場合、 前記提供元から前記情報処理装置に送信された、 前記実行プログラムを 修正する修正プログラムと、 当該修正プログラムおよび前記提供元の秘密鍵によ つて生成された電子署名と、 の入力を受け付ける入力手段と、 前記入力手段によ つて入力された修正プログラムに修正される実行プログラム力 前記通信認証ハ 一ドウエアまたは前記処理ハードウエアのうちレ、ずれのハードウエアにインスト ールされている実行プログラムかを判定するプログラム判定手段と、 前記修正プ ログラムのメッセージダイジェストと、 前記入力手段によって入力された電子署 名と、 前記提供元の公開鍵とに基づいて、 前記プログラム判定手段によって判定 された実行プログラムを、 前記修正プログラムによつて更新することが正当であ るかどうかを検証する正当性検証手段と、 前記正当性検証手段によつて検証され た検証結果に基づいて、 前記プログラム判定手段によって判定された実行プログ ラムを、 前記修正プログラムによって更新する更新手段と、 を備えることを特徴 とする。

この発明によれば、 修正プログラムを受信する暗号路の安全性の認証と、 受信 した修正プログラムによる更新の正当性の認証とを、 単一チップによっておこな うことができる。 図面の簡単な説明

第 1図は、 本発明の実施の形態にかかる情報管理システムの概略構成を示す説 明図であり、 第 2図は、 情報処理装置のハードウエア構成を示すプロック図であ り、 第 3図は、 セキュリティチップのハードウェア構成を示すブロック図であり 、 第 4図は、 第 3図に示した各ハードウェアの具体的構成を示すブロック図であ り、 第 5図は、 メモリ/ストレージに記憶された電子証明書を示す説明図であり 、 第 6図は、 メモリ/ストレージに記憶された登録情報を示す説明図であり、 第 7図は、 メモリ/ストレージに記憶された装置内情報を示す説明図であり、 第 8 図は、 この発明の実施の形態にかかる情報管理装置の通信認証処理手順を示すフ ローチャートであり、 第 9図は、 更新情報の一例を示す説明図であり、 第 1 0図 は、 識別情報が A〜Cのいずれかの情報である場合の更新情報を示す説明図であ り、 第 1 1図は、 識別情報が Dの情報である場合の更新情報を示す説明図であり 、 第 1 2図は、 通信認証ハードウエアによつて通信の安全性が認証された場合の セキュリティチップの更新処理手順を示すフローチャートであり、 第 1 3図は、 通信認証プログラム ほたは装置内情報認証プログラム） の更新処理手順を示す フローチャートであり、 第 1 4図は、 生体認証プログラムの更新処理手順を示す フ口一チヤ一トであり、 第 1 5図は、 ユーザの電子証明書の更新処理手順を示す フローチャートであり、 第 1 6図は、 登録情報を書き込む場合の通信認証処理手 順を示すフローチャートであり、 第 1 7図は、 入力情報を示す説明図であり、 第 1 8図は、 登録情報の書き込み処理手順を示すフローチヤ一トであり、 第 1 9図 は、 登録指示情報を示す説明図であり、 第 2 0図は、 セキュリティチップによる 通常の動作処理手順を示すフローチヤ一トである。 発明を実施するための最良の形態

以下に、 本発明の実施の形態について図面を参照しつつ詳細に説明する。 (実施の形態）

(情報管理システムの概略構成）

第 1図は、 本発明の実施の形態にかかる情報管理システムの概略構成を示す説 明図である。 第 1図において、 情報管理システム 1 0 0は、 ユーザの情報処理装 置 1 0 1と、 情報処理装置 1 0 1内の実行プログラムまたはデータを提供する情 報提供装置 1 0 2と、 認証局の認証装置 1 0 3と、 1 インターネットなどのネ ットワーク 1 0 4を介して接続されている。

ユーザの情報処理装置 1 0 1には、 たとえば、 携帯電話機、 パーソナルコンビ ユータ、 その他冷蔵庫、 電子レンジ、 エアコン、 T V、 D V D等の家電機器、 コ ピー機、 ロボットなどが含まれる。 この情報処理装置 1 0 1には、 セキュリティ チップが実装されている。

情報提供装置 1 0 2は、 実行プログラムや各種データを開発または販売するす るベンダーやメーカー、 情報処理装置 1 0 1を製造または販売する業者などが管 理する。 この情報提供装置 1 0 2は、 実行プログラムのパッチなどの修正プログ ラムや各種データを格納したり、 ネットワーク 1 0 4上にアップロードする。 ま た、 実行プログラムや各種データの電子署名を生成する。 認証装置 1 0 3は、 ュ 一ザ、 メーカー、 ベンダー、 販売業者などの電子証明書の発行および管理をおこ なう。 また、 発行した電子証明書の電子署名を生成する。 (情報処理装置 101のハードウエア構成）

つぎに、 情報処理装置 101のハードウェア構成について説明する。 第 2図は 、 情報処理装置 101のハ一ドゥエァ構成を示すプロック図である。 第 2図にお いて、 情報処理装置 101は、 CPU 201と、 ROM202と、 RAM203 と、 HDD (ハードディスクドライブ) 204と、 H.D (ハードディスク) 20 5と、 FDD (フレキシブルディスクドライブ） 206と、 着脱可能な記録媒体 の一例としての FD (フレキシブルディスク) 207と、 ディスプレイ 208と 、 通信 I/F (インターフェース） 209と、 入力キー（キーボード、 マウス含 む） 210と、 生体センサ 211と、 セキュリティチップ 215と、 から構成さ れている。 また、 各構成部はバス 2◦ 0によってそれぞれ接続されている。 ここで、 C P U 201は、 情報処理装置 101の全体の制御を司る。 R OM 2 02は、 ブートプログラムなどのプログラムを記憶している。 RAM203は、 CPU201のワークエリアとして使用される。 HDD 204は、 CPU201 の制御にしたがって HD 205に対するデータのリード Zライトを制御する。 H D 205は、 HDD 204の制御で書き込まれたデータを記憶する。

FDD 206は、 C PU 201の制御にしたがって FD 207に対するデータ のリード/ライトを制御する。 FD207は、 FDD 206の制御で書き込まれ たデータを記憶したり、 F D 207に記憶されたデータを情報処理装置 101に 読み取らせたりする。

また、 着脱可能な記録媒体として、 FD 207のほ力、 CD-ROM (CD— R、 CD-RW) 、 MO、 DVD (D i g i t a l Ve r s a t i l e D i s k) 、 メモリーカードなどであってもよい。 ディスプレイ 208は、 カーソル 、 アイコンあるいはツールボックスをはじめ、 文書、 画像、 機能情報などのデー タを表示する。 このディスプレイ 208は、 たとえば、 CRT、 TFT液晶ディ スプレイ、 プラズマディスプレイなどを採用することができる。

通信 I ZF 209は、 通信回線を通じてィンターネットなどのネットワーク 1 04に接続され、 このネットワーク 104を介して他の装置に接続される。 そし て、 通信 I ZF 209は、 ネットワーク 104と内部のインターフェースを司り 、 外部装置からのデータの入出力を制御する。 通信 IZF 209には、 たとえば モデムや LANアダプタなどを採用することができる。

入力キー 210は、 文字、 数字、 各種指示などの入力のためのキーを備え、 デ ータの入力をおこなう。 また、 タツチパネル式の入力パッドやテンキーなどであ つてもよい。

生体センサ 211は、 一例として、 指紋センサ 212、 カメラ 213、 および マイク 214が挙げられる。 指紋センサ 212は、 およそ 50 μιη間隔で指の指 紋の凹凸を検出して電気信号に変換するデバイスであり、 指紋の読取方式として は、 たとえば、 半導体式、 光学式、 感圧式、 感熱式などが挙げられる。 カメラ 2 13は、 眼球の虹彩や網膜を撮像する生体センサ 211である。 また、 マイク 2 14は、 声の特徴をあらわす声紋を検出する生体センサ 21 1である。

セキュリティチップ 215は、 TPM (T r u s t e d P I a t f o rm Mo du l e) と呼ばれ、 情報処理装置 101のメインポードに実装される。 セ キユリティチップ 215は、 セキュリティやプライバシーを実現するための基本 機能のみを提供するチップである。 また、 このセキュリティチップ 215は、 T CG (T r u s t e d Comp u t i n g Gr o up) の仕様書によって定 義されている。 一の情報処理装置 101に実装された TP Mは、 他の情報処理装 置 101に実装できないようになっており、 情報処理装置 101から TPMを取 り外すと、 当該情報処理装置 101は起動することができなくなる。 このセキュ リティチップ 215は、 この発明の実施の形態にかかる情報管理装置である。 (セキュリティチップ 215のハードウェア構成）

つぎに、 上述したセキュリティチップ 215のハードウェア構成について説明 する。 第 3図は、 セキュリティチップ 215のハードウェア構成を示すブロック 図である。 第 3図において、 セキュリティチップ 215は、 バスを介して、 通信 I /F 209、 生体センサ 21 1、 CPU201、 メモリ ストレージ 300に 接続されている。 また、 情報処理装置 101内には、 各種ソフトウェア 301が インストールされており、 これらのソフトウェア 301に関する情報も取得可能 である。 さらに、 情報処理装置 101に接続されている周辺機器 302に関する 情報も取得可能である。

また、 メモリ Zストレージ 300は、 情報処理装置 101内であれば、 セキュ リティチップ 215内またはセキュリティチップ 215外のいずれの領域に設け られていてもよい。 セキュリティチップ 215内に設けられる場合は、 メモリ Z ストレージ 300の取り外しゃ改ざんを防止することができる。

また、 セキュリティチップ 215は、 通信認証ハードウェア 311と、 生体認 証ノ、一ドウエア 312と、 装置内情報認証ハードウエア 313と、 監視ハードウ エア 314と、 検証ノヽードウエア 315と、 力、ら構成されている。

通信認証ノヽードウエア 311は、 情報処理装置 101外、 たとえば、 第 1図に 示した提供サーバや認証サーバとの通信の安全性を認証する。 通信認証ハードウ エア 31 1は、 具体的には、 認証局を利用した電子証明書による本人認証 （PK I (Pub l i c Ke y I n f r a s t r u c t u r e) 忍 ) をおこなつ ことにより、 外部と通信をおこなう者が、 認証局によって正規に登録された者で あるかどうかを判別することができる。 また、 この通信認証ハードウェア 31 1 には、 通信認証処理を実行する通信認証プログラム 321がィンストールされて いる。

生体認証ハードウエア 312は、 生体センサ 21 1によって検出された生体情 報と情報処理装置 101内に登録されたユーザの登録生体情報とが一致するかど うかを認証する。 生体認証ハードウェア 312では、 情報処理装置 101を操作 する者が、 正規のユーザであるかどうかを判別することができる。 この生体認証 ハードウエア 3 12には、 生体認証処理を実行する生体認証プログラム 322が インストールされている。

装置内情報認証ハードウエア 313は、 前記情報処理装置 101または前記単 一チップ内の情報 （装置内情報） を認証する。 この装置内情報は、 環境情報と呼 ばれ、 情報処理装置 101に接続された周辺機器 302から取得した当該周辺機 器 3 0 2に関する情報 （たとえば、 機器名、 バージョン情報） や、 情報処理装置 1 0 1内にインストールされているソフトウエア 3 0 1に関する情報 （たとえば 、 ソフトウェア名、 バージョン情報） 、 メモリ Zス トレージ 3◦ 0に記憶されて いる各種情報 （たとえば、 電子証明書） などを含む。 このため、 装置内情報認証 ハードウエア 3 1 3は、 環境認証ハードウエアとも呼ばれる。

また、 装置内情報認、証ハードウエア 3 1 3は、 メモリ/ス トレージ 3 0 0に記 憶されている情報を機密管理する。 具体的には、 装置内情報認証ハードウェア 3 1 3が取得した情報を、 固有の暗号鍵で暗号化して、 メモリ/ストレージ 3 0 0 に記憶する。 一方、 他のハードウェアからの呼び出しがあった場合、 暗号鍵と対 になる固有の復号鍵で、 暗号化されて記憶されている情報を復号する。 この暗号 化および復号処理により、 情報処理装置 1 0 1内において改ざんされていないこ とを認証することができる。 この装置内情報認証ハードウエア 3 1 3には、 上述 した処理を実行する装置内情報認証プログラム 3 2 3がインストールされている また、 監視ハードウェア 3 1 4には、 常駐プログラム 3 2 4がインス トーノレさ れており、 情報管理装置内の情報の授受を監視する。 具体的な監視処理について は後述する。

また、 検証ハードウェア 3 1 5には、 検証プログラム 3 2 5がインストールさ れており、 通信認証ハードウエア 3 1 1によつて外部との通信の安全性が認証さ れた場合に、 当該外部からセキュリティチップ 2 1 5に入力されてくる情報の正 当性の検証や一致検証などをおこなう。 具体的な検証処理については後述する。 (各ハードウエアの具体的構成）

つぎに、 第 3図に示した各ハードウェア 3 1 1〜3 1 5の具体的構成について 説明する。 第 4図は、 第 3図に示した各ハードウェア 3 1 1〜3 1 5の具体的構 成を示すブロック図である。 第 4図において、 各ハードウェア 3 1 1〜3 1 5は 、 プロセッサ 4 0 1と、 R OM4 0 2と、 RAM 4 0 3と、 E E P R OM4 0 4 と、 入力 I ZF (インターフェース） 4 0 5と、 暗号処理器 4 0 6と、 から構成 されている。 また、 各構成部 4 0 1〜4 0 6はバス 4 0 0によってそれぞれ接続 されている。

ここで、 プロセッサ 4 0 1は、 各ハードウェア 3 1 1〜3 1 5の全体の制御を 司る。 R OM 4 0 2は、 ブートプログラムなどのプログラムを記憶している。 R AM 4 0 3は、 プロセッサ 4 0 1のワークエリアとして使用される。 E E P R O M 4 0 4は、 各ハードウェア 3 1 1〜3 1 5によって実行されるプログラムを記 憶する。 暗号処理器 4 0 6は、 非対称の暗号鍵の生成、 暗号処理、 復号処理、 メ ッセージダイジェストの生成 （ハッシュ値の生成） 、 電子署名の生成などをおこ なう。

(メモリ Zストレージ 3 0 0の記憶内容）

つぎに、 第 3図に示したメモリ Zストレージ 3 0 0の記憶内容について説明す る。 第 5図は、 メモリ ストレージ 3 0 0に記憶された電子証明書を示す説明図 であり、 第 6図は、 メモリ Zストレージ 3 0 0に記憶された登録情報を示す説明 図であり、 第 7図は、 メモリ Zストレージ 3 0 0に記憶された装置内情報を示す 説明図である。

第 5図において、 電子証明書 C a〜C zは、 被証明者ごとに記憶されている。 「被証明者名」 とは、 電子証明書 C a〜C zによって証明された者、 たとえば、 ユーザ、 メーカー、 ベンダー、 認証局などが挙げられる。 また、 電子証明書 C a 〜C zには、 バージョン情報、 署名アルゴリズム、 発行者名、 有効期限、 公開鍵 、 その他の関連情報が含まれている。 この電子証明書 C a〜C _Zは、 第 3図に示 した装置内情報認、証ハードウェア 3 1 3によって暗号ィ匕されて記憶されている。 また、 第 6図において、 登録情報 6 0 0は、 登録者名 6 0 1、 センサ種情報 6 0 2、 および生体情報 6 0 3によって構成される。 第 6図では、 その一例として 、 ユーザである登録者 「X」 「指紋センサ」 によって検出された登録者 「X 」 の指紋の画像データ 「X a」 を、 生体情報 6 0 3として登録している。 登録情 報 6 0 0は、 第 3図に示した装置内情報認証ノヽードウエア 3 1 3によつて暗号化 されて記憶されている。 また、 第 7図において、 装置内情報として、 第 3図に示した周辺機器 3 0 2、 ソフトウェア 3 0 1、 および各ハードウェアにインストーノレされた、 通信認証プ ログラム 3 2 1などの実行プログラムの名称およびバージョンが記憶されている (通信認証処理手順）

つぎに、 この発明の実施の形態にかかる情報管理装置 （セキュリティチップ 2 1 5 ) の通信認証処理の内容について説明する。 第 8図は、 この発明の実施の形 態にかかる情報管理装置 （セキュリティチップ 2 1 5 ) の通信認証処理手順を示 すフローチャートである。

第 8図において、 まず、 通信 I /F 2 0 9において、 更新情報が受信されたか どうかを判定する （ステップ S 8 0 1 ) 。 ここで、 更新情報について説明する。 第 9図は、 更新情報の一例を示す説明図である。

第 9図において、 更新情報 9 0 0は、 識別情報 9 0 1と、 更新データ 9 0 2と 、 提供元の電子署名 9 0 3と、 提供元の電子証明書 （提供元が認証局である場合 は、 認証局の電子証明書） 9 0 4と、 認証局の電子署名 9 0 5と、 から構成され ている。 識別情報 9 0 1は、 更新データ 9 0 2の内容を特定する情報である。 たとえば、 識別情報 9 0 1が 『A』 の場合、 更新データ 9 0 2は『通信認証プ ログラム 3 2 1のパッチ』 である。 また、 識別情報 9 0 1が 『B』 の場合、 更新 データ 9 0 2は『装置内情報認証プログラム 3 2 3のパッチ』 である。 さらに、 識別情報 9 0 1力 S 『C』 の場合、 更新データ 9 0 2は『生体認証プログラム 3 2 2のパッチ』である。 また、 識別情報 9 0 1が『D』 の場合、 更新データ 9 0 2 は『ユーザのあらたな電子証明書』 である。

更新データ 9 0 2は、 識別情報 9 0 1によって特定されるパッチまたは電子証 明書である。 また、 更新データ 9 0 2には、 提供元の電子署名 9 0 3が添付され ている。 この提供元の電子署名 9 0 3は、 提供元において、 更新データ 9 0 2の ハッシュ値 9 1 1を、 提供元の秘密鍵で暗号化したデータである。

また、 提供元の電子証明書 9 0 4は、 任意の認証局が発行した電子証明書であ る。 この電子証明書 9 0 4には、 認証局の電子署名 9 0 5が添付されている。 認 証局の電子署名 9 0 5は、 提供元において、 電子証明書 9 0 4のハッシュ値 9 1 2を、 認証局の秘密鍵で暗号化したデータである。

ここで、 識別情報 9 0 1が A〜Cのいずれかの情報である場合の更新情報につ いて説明する。 第 1 0図は、 識別情報が A〜Cのいずれかの情報である場合の更 新情報を示す説明図である。

第 1 0図に示した更新情報 1 0 0 0において、 更新前プログラム 1 0 0 1およ びパツチ 1 0 0 2は、 メーカ一やべンダーなどの提供元で作成されたデ一タであ る。 また、 更新後プログラム 1 0 0 3も、 メーカーやベンダーなどの提供元で作 成されたプログラムであり、 更新前プログラム 1 0 0 1をパッチ 1 0 0 2で修正 したプログラムである。

提供元の電子署名 1 0 0 4は、 パッチ 1 0 0 2のハッシュィ直 1 0 1 1を提供元 の秘密鍵で暗号ィヒした電子署名である。 また、 提供元の電子署名 1 0 0 5も添付 してもよい。 この電子署名 1 0 0 5は、 更新後プログラム 1 0 0 3のハッシュ値 1 0 1 2を提供元の秘密鍵で暗号化した電子署名である。

また、 識別情報 9 0 1が Dの情報である場合の更新情報について説明する。 第 1 1図は、 識別情報 9 0 1が Dの情報である場合の更新情報を示す説明図である 。 この更新情報 1 1 0 0は、 認証局で発行されたユーザのあらたな電子証明書 1 1 0 1を有している。 この電子証明書 1 1 0 1は、 たとえば、 現在のユーザの有 効期限が経過した場合に認証局の認証装置 1 0 3において速やかに発行される更 新データである。 また、 ユーザに対して新規に発行される電子証明書でもよい。 認証局の電子署名 1 1 0 2は、 ユーザのあらたな電子証明書 1 1 0 1のハツシ ュ値 1 1 1 1を、 認証局の秘密鍵で暗号化した電子署名である。 また、 認証局の 電子証明書 1 1 0 4は、 認証局自身または他の認証局が発行した電子証明書であ る。 認証局の電子署名 1 1 0 5は、 電子証明書 1 1 0 4のハッシュ値 1 1 1 2を 、 この電子証明書 1 1 0 4を発行した認証局の秘密鍵によつて暗号化した電子証 明書である。 また、 第 8図において、 更新情報 9 0 0 (または 1 0 0 0、 1 1 0 0 ) が受信 された場合 （ステップ S 8 0 1 ： Y e s ) 、 通信 I /F 2 0 9を介して、 通信認 証ハードウエア 3 1 1に、 提供元の電子証明書 9 0 4 (または認証局の電子証明 書 1 1 0 4 ) および認証局の電子署名 9 0 5 (または 1 1 0 5 ) を入力する (ス テツプ S 8 0 2 ) 。 なお、 ここで、 電子証明書 9 0 4 (または電子証明書 1 1 0 4 ) に含まれている発行元の認証局と通信して、 電子証明書 9 0 4 (または電子 証明書 1 1 0 4 ) が現時点で有効である力、否かを検証することとしてもよい。 こ れにより、 通信の安全性の向上を図ることができる。

そして、 通信認証ハードウエア 3 1 1は、 入力された提供元の電子証明書 9 0 4 (または認証局の電子証明書 1 1 0 4 ) に含まれている認証局名を抽出し、 こ の電子証明書 9 0 4 (または 1 1 0 4 ) を発行した認証局を特定する （ステップ S 8 0 3 ) 。

通信認証ハードウェア 3 1 1は、 特定された認証局を装置内情報忍証ハードウ エア 3 1 3に出力する。 装置内情報認証ハードウェア 3 1 3では、 メモリ/スト レージ 3 0 0に喑号ィ匕されて記憶されている電子証明書の中から、 通信認証ハー ドウエア 3 1 1で特定された認証局の電子証明書を抽出する。 そして、 この抽出 された電子証明書を、 装置内情報認証ハードウェア 3 1 3の復号鍵で復号して、 特定された認証局の公開鍵を取得する （ステップ S 8 0 4 ) 。 この公開鍵が取得 できたということは、 メモリ/ストレージ 3 0 0内の情報が改ざんされていない ということであり、 安全であることが認証されたこととなる。

取得した認証局の公開鏈は、 通信認証ハードウェア 3 1 1に出力される。 通信 認証ハードウエア 3 1 1では、 取得した認証局の公開鍵で、 認証局の電子署名 9 0 5 (または 1 1 0 5 ) を復号して、 ハッシュ値を生成する （ステップ S 8 0 5 ) 。 つぎに、 通信認、証ハードウェア 3 1 1は、 入力された提供元の電子証明書 9 0 4 (または認、証局の電子証明書 1 1 0 4 ) のメッセージダイジェスト （ハツシ ュ値） を生成する （ステップ S 8 0 6 ) 。

そして、 通信認証ハードウェア 3 1 1は、 ステップ S 8 0 5で生成されたハツ シュ値とステップ S 806で生成されたハッシュ値とがー致するかどうかを判定 する （ステップ S 807) 。 一致する場合 （ステップ S 807 ： Y e s ) は、 提 供元 （または認証局） との通信の安全性が認証されたこととなり （ステップ S 8 08) 、 安全性の高い通信路が生成されたことになる。 一方、 一致しなかった場 合 （ステップ S 807 : No) 、 提供元 （または認証局） との通信の安全性が認 証されず、 通信をおこなうことができない。

(セキュリティチップ 215の更新処理手順）

つぎに、 通信認証ハードウェア 31 1によって通信の安全性が認証された場合 のセキュリティチップ 215の更新処理手順について説明する。 第 12図は、 通 信認証ハードウエア 31 1によって通信の安全性が認証された場合のセキュリテ ィチップ 215の更新処理手順を示すフローチャートである。

第 12図において、 まず、 通信の安全性が認証された場合 （ステップ S 120 1 ： Ye s) 、 監視ハードウェア 314は、 通信 IZF 209まで受信された識 別情報 901、 更新データ 902、 および更新データ 902の電子署名 903を 入力する (ステップ S 1202) 。

そして、 監視ハードウエア 314は、 入力された識別情報 901を参照する。 識別情報 901が 『A』 の場合 （ステップ S 1203 ： A) 、 更新データ 901 は、 通信認証プログラム 321のパッチ 1002であると判断され、 通信認証プ ログラム 321の更新処理をおこなう （ステップ S 1204) 。

また、 識別情報 901が 『B』 の場合 （ステップ S 1203 ： B) 、 更新デー タ 901は、 装置内情報認証プログラム 323のパッチ 1002であると判断さ れ、 装置内情報認証プログラム 323の更新処理をおこなう (ステップ S 120 5) 。

さらに、 識別情報 901力 S 『C』 の場合 （ステップ S 1203 : 0 , 更新デ —タ 901は、 生体認証プログラム 322のパッチ 1002であると判断され、 生体認証プログラム 322の更新処理をおこなう （ステップ S 1206) 。 また、 識別情報 901力 S 『D』 の場合 （ステップ S 1203 ： D) 、 更新デー タ 9 0 1は、 ユーザのあらたな電子証明書 1 1 0 1であると判断され、 ユーザの 電子証明書の更新処理をおこなう (ステップ S 1 2 0 7 ) 。

(通信認証プログラム 3 2 1の更新処理手順）

つぎに、 通信認証プログラム 3 2 1 (または装置内情報認証プログラム 3 2 3 ) の更新処理手順について説明する。 第 1 3図は、 通信認証プログラム 3 2 1 ( または装置内情報認証プログラム 3 2 3 ) の更新処理手順を示すフローチヤ一ト である。

第 1 3図において、 監視ハードウエア 3 1 4は、 パッチの提供元の公開鍵を取 得する （ステップ S 1 3 0 1 ) 。 具体的には、 監視ハードウェア 3 1 4は装置内 情報認証ノヽードウエア 3 1 3に対して、 パッチの提供元の公開鍵を取得要求する 。 装置内情報認証ハードウエア 3 1 3は、 メモリ Zストレージ 3 0 0に暗号化さ れて記憶されている電子証明書の中から、 パッチの提供元の電子証明書を抽出す る。

そして、 装置内情報^ Eハードウェア 3 1 3の復号鍵で、 抽出された電子証明 書を復号し、 復号された電子証明書の中から公開鍵を抽出する。 この抽出された 公開鍵を監視ハードウェア 3 1 4に供給することで、 監視ハードウェア 3 1 4は 、 パッチの提供元の公開鍵を取得することができる。

つぎに、 監視ハードウェア 3 1 4は、 取得した提供元の公開鍵で、 提供元の電 子署名を復号してハッシュ値を生成する （ステップ S 1 3 0 2 ) 。 また、 監視ハ 一ドウエア 3 1 4は、 パッチのメッセージダイジェスト （ハッシュ値） を生成す る （ステップ S 1 3 0 3 ) 。 そして、 監視ハードウェア 3 1 4は、 ステップ S 1 3 0 2で生成されたハッシュ値とステップ S 1 3 0 3で生成されたハッシュ値を 、 検証ハードウェア 3 1 5に出力する。

検証ハードウェア 3 1 5は、 ステップ S 1 3 0 2で生成されたハッシュ値とス テツプ S 1 3 0 3で生成されたハッシュ値とがー致するかどうかを判定する (ス テツプ S 1 3 0 4 ) 。 一致しない場合 （ステップ S 1 3 0 4 ： N o ) 、 パッチが 改ざんされているおそれがあるため、 更新処理をおこなわず、 一連の処理を終了 する。

一方、 一致する場合 （ステップ S 1 304 ： Ye s) は、 パッチが改ざんされ ておらず、 正当であることを認証する （ステップ S 1305) 。 そして、 正当で あると認証されたパツチにより、 通信認証プログラム 321 (装置内情報認証プ ログラム 323の更新処理手順の場合は、 装置内情報認証プログラム 323 ) の 更新処理をおこなう （ステップ S 1306) 。

また、 監視ハードウェア 314は、 入力された更新情報の中に、 更新後プログ ラム 1003の電子署名 1005があるかどうかを検出する （ステップ S 130 7) 。 更新後プログラム 1003の電子署名 1005がない場合 （ステップ S 1 307 ： No) 、 一連の処理を終了する。

一方、 更新後プログラム 1003の電子署名 1005がある場合 （ステップ S 1 307 ： Y e s) 、 監視ハードウエア 314は、 ステップ S 1301で取得し た公開鍵で電子署名 1005を復号してハッシュ値を生成する （ステップ S 13 08) 。

また、 監視ハードウェア 314は、 ステップ S 1307の更新処理によって更 新された通信認証プログラム 321 (装置内情報認証プログラム 323の更新処 理手順の場合は、 装置内情報認証プログラム 323) のメッセージダイジエスト (ハッシュ値） を生成する （ステップ S 1309) 。 そして、 監視ハードウェア 314は、 ステップ S 1308で生成されたハッシュ値とステップ S 1309で 生成されたハッシュ値を、 検証ハードウェア 31 5に出力する。

検証ハードウェア 315は、 ステップ S 1308で生成されたハッシュ値とス テツプ S 1309で生成されたハッシュ値とがー致するかどうかを判定する (ス テツプ S 1310) 。 一致しない場合 （ステップ S 1310 ： No) 、 正常な更 新がされていないこととなり、 一連の処理を終了する。 一方、 一致する場合 （ス テツプ S 1310 ： Ye s) は、 更新された通信認証プログラム 321 (装置内 情報認証プログラム 323の更新処理手順の場合は、 装置内情報認証プログラム 323) は、 提供元の更新後プログラム 1003と同一プログラムとなり、 正常 な更新がおこなわれたことを確認することができる （ステップ S 1 3 1 1 ) 。 これにより、 提供元からデータ量の大きい更新後プログラム 1 0 0 3全体をダ ゥンロードしなくても、 ノ ツチと電子署名だけで更新されたプログラム全体の更 新処理が正常におこなわれたことを確認することができる。 したがって、 安全か つ速やかな認証処理を実現することができる。

(生体認証プログラム 3 2 2の更新処理手順）

つぎに、 生体認証プログラム 3 2 2の更新処理手順について説明する。 第 1 4 図は、 生体認証プログラム 3 2 2の更新処理手順を示すフ口一チヤ一トである。 第 1 4図において、 まず、 装置内情報認証ノ、一ドウエア 3 1 3が、 ユーザが指定 した生体センサ 2 1 1のセンサ種情報を取得する （ステップ S 1 4 0 1 ) 。 装置 内情報認証ノヽードウエア 3 1 3は、 取得したセンサ種情報を監視ハードウェア 3 1 4に通知する。

そして、 入力されてきた更新情報内のパッチによって修正をおこなう生体認証 プログラム 3 2 2のセンサ種情報と、 装置内情報認、証ノヽードウエア 3 1 3によつ て通知されたセンサ種情報とがー致するかどうかを判定する （ステップ S 1 4 0 2 ) 。

一致しない場合 （ステップ S 1 4 0 2 ： N o ) 、 ユーザが指定した生体認証で はないため、 一連の処理を終了する。 一方、 センサ種情報が一致した場合 （ステ ップ S 1 4 0 2 ： Y e s ) 、 監視ハードウエア 3 1 4は、 パッチの提供元の公開 鍵を取得する （ステップ S 1 4 0 3 ) 。 具体的には、 監視ハードウエア 3 1 4は 装置内情報認証ハードウェア 3 1 3に対して、 パッチの提供元の公開鍵を取得要 求する。 装置内情報認証ハードウエア 3 1 3は、 メモリ Zストレージ 3 0 0に暗 号ィ匕されて記憶されている電子証明書の中から、 パッチの提供元の電子証明書を 抽出する。

そして、 装置内情報認証ハードウエア 3 1 3の復号鍵で、 抽出された電子証明 書を復号し、 復号された電子証明書の中から公開鍵を抽出する。 この抽出された 公開鍵を監視ハードウエア 3 1 4に供給することで、 監視ハードウエア 3 1 4は 、 パッチの提供元の公開鍵を取得することができる。

つぎに、 監視ハードウェア 314は、 取得した提供元の公開鍵で、 提供元の電 子署名を復号してハッシュ値を生成する （ステップ S 1404) 。 また、 監視ハ 一ドウエア 314は、 パッチのメッセージダイジェスト (ハッシュ値) を生成す る （ステップ S 1405) 。 そして、 監視ハードウェア 314は、 ステップ S 1 404で生成されたハッシュ値とステップ S 1405で生成されたハッシュ値を 、 検証ハードウェア 315に出力する。

検証ハードウェア 315は、 ステップ S 1404で生成されたハッシュ値とス テツプ S 1405で生成されたハッシュ値とがー致するかどうかを判定する （ス テツプ S 1406) 。 一致しない場合 （ステップ S 1406 ： No) 、 パッチが 改ざんされているおそれがあるため、 更新処理をおこなわず、 一連の処理を終了 する。

一方、 一致する場合 （ステップ S 1406 ： Y e s) は、 パッチが改ざんされ ておらず、 正当であることを認証する (ステップ S 1407) 。 そして、 正当で あると認証されたパッチにより、 生体認証プログラム 322の更新処理をおこな う （ステップ S 1408) 。

また、 監視ハードウェア 314は、 入力された更新情報の中に、 更新後プログ ラム 1003の電子署名 1005があるかどうかを検出する （ステップ S 140

9) 。 更新後プログラム 1003の電子署名 1005がない場合 （ステップ S 1 409 ： No) 、 一連の処理を終了する。

—方、 更新後プログラム 1003の電子署名 1005がある場合 （ステップ S 1409 ： Ye s) 、 監視ハードウェア 314は、 ステップ S 1403で取得し た公開鍵で電子署名 1005を復号してハッシュ値を生成する （ステップ S 14

10) 。

また、 監視ハードウェア 314は、 ステップ S 1409の更新処理によって更 新された生体認証プログラム 321のメッセージダイジエスト (ハッシュ値) を 生成する （ステップ S 141 1) 。 そして、 監視ハードウェア 314は、 ステツ プ S 1410で生成されたハッシュ値とステップ S 1411で生成されたハツシ ュ値を、 検証ハードウェア 315に出力する。

検証ハードウェア 315は、 ステップ S 1410で生成されたハッシュ値とス テツプ S 141 1で生成されたハッシュ値とがー致するかどうかを判定する （ス テツプ S 1412) 。 一致する場合 （ステップ S 1412 ： Ye s) は、 更新さ れた生体認証プログラム 322は、 提供元の更新後プログラム 1003と同一プ ログラムとなり、 正常な更新がおこなわれたことを確認することができる （ステ ップ S 1413) 。 一方、 一致しない場合 （ステップ S 1412 ： No) 、 正常 な更新がされていないこととなり、 一連の処理を終了する。

(ユーザの電子証明書の更新処理手順）

つぎに、 ユーザの電子証明書の更新処理手順について説明する。 第 15図は、 ユーザの電子証明書の更新処理手順を示すフローチャートである。 第 1 5図にお いて、 監視ハードウェア 314は、 ユーザのあらたな電子証明書 1101を提供 した認証局の公開鍵を取得する (ステップ S 1501) 。 具体的には、 監視ハー ドウエア 314は、 電子証明書 1101の中から、 当該電子証明書 1101を発 行した認証局名を抽出し、 発行元の認証局を.特定する。 監視ハードウェア 314 は、 装置内情報認証ハードウェア 31 3に対して、 特定された認証局の公開鍵を 取得要求する。 装置内情報認証ノ、一ドウエア 313は、 メモリ Zストレージ 30 0に暗号ィヒされて記憶されている電子証明書の中から、 特定された認証局の電子 証明書を抽出する。

そして、 装置内情報認証ハードウェア 313の復号鏈で、 抽出された電子証明 書を復号し、 復号された電子証明書の中から公開鍵を抽出する。 この抽出された 公開鍵を監視ハードウェア 314に供給することで、 監視ハードウェア 314は 、 特定された認証局の公開鍵を取得することができる。

つぎに、 監視ハードウェア 314は、 取得した認証局の公開鍵で、 認証局の電 子署名 1102を復号してハッシュ値を生成する （ステップ S 1502) 。 また 、 監視ハードウェア 314は、 電子証明書 1101のメッセージダイジエスト （ ハッシュ値） を生成する （ステップ S 1 5 0 3 ) 。 そして、 監視ハードウェア 3 1 4は、 ステップ S 1 5 0 2で生成されたハッシュ値とステップ S 1 5 0 3で生 成されたハッシュ値を、 検証ハードウェア 3 1 5に出力する。

検証ハードウェア 3 1 5は、 ステップ S 1 5 0 2で生成されたハッシュ値とス テツプ S 1 5 0 3で生成されたハッシュ値とがー致するかどうかを判定する （ス テツプ S 1 5 0 4 ) 。 一致しない場合 （ステップ S 1 5 0 4 ： N o ) 、 電子証明 書 1 1 0 1が改ざんされているおそれがあるため、 更新処理をおこなわず、 一連 の処理を終了する。

一方、 一致する場合 (ステップ S 1 5 0 4 ： Y e s ) は、 電子証明書 1 1 0 1 が改ざんされておらず、 正当であることを認証する （ステップ S 1 5 0 5 ) 。 そ して、 ユーザの現在の電子証明書から、 正当であると認証された電子証明書 1 1 0 1への更新処理をおこなう （ステップ S 1 5 0 6 ) 。

これにより、 有効期限が経過したユーザの電子証明書を、 安全^つ速やかに更 新することができる。

(登録情報を書き込む場合の通信認証処理手順）

つぎに、 登録情報を書き込む場合の通信認証処理手順について説明する。 第 1 6図は、 登録情報を書き込む場合の通信認証処理手順を示すフローチャートであ る。

第 1 6図において、 まず、 通信認証ハードウエア 3 1 1は、 通信 I / F 2 0 9 を介して、 電子登録指示書を提供する提供元の電子証明書、 および当該電子証明 書の認証局による電子署名を入力する （ステップ S 1 6 0 1 ) 。 第 1 7図は、 ス テツプ S 1 6 0 1によって入力される入力情報を示す説明図である。 第 1 7図に おいて、 入力情報 1 7 0 0は、 電子登録指示書を提供する提供元の電子証明書 1 7 0 1と、 当該電子証明書 1 7 0 1の認、証局による電子署名 1 7 0 2とを含んで いる。 電子署名 1 7 0 2は、 電子証明書 1 7 0 1のハッシュ値 1 7 0 3を、 電子 登録指示書を提供する提供元の秘密鍵で暗号化した電子署名である。

第 1 6図において、 通信認証ハードウエア 3 1 1は、 電子証明書 1 7 0 1の中 力 ら、 当該電子証明書 1701を発行した認証局名を抽出し、 発行元の認証局を 特定する （ステップ S 1602) 。

通信認証ハードウヱァ 311は、 特定された認証局を装置内情報認証ハードウ エア 313に出力する。 装置内情報認証ノ、一ドウエア 313では、 メモリ Zスト レージ 300に暗号ィ匕されて記憶されている電子証明書の中から、 通信認証ハー ドウエア 31 1で特定された認証局の電子証明書を抽出する。 そして、 この抽出 された電子証明書を、 装置内情報認証ハードウェア 313の復号鍵で復号して、 特定された認証局の公開鍵を取得する （ステップ S 1603) 。 この公開鍵が取 得できたということは、 メモリ Zストレージ 300内の情報が改ざんされていな いということであり、 安全であることが認証されたこととなる。

取得した認証局の公開鍵は、 通信認証ハードウェア 311に出力される。 通信 認証ハードウェア 31 1では、 取得した認証局の公開鍵で、 認証局の電子署名 1 702を復号して、 ハッシュ値を生成する （ステップ S 1604) 。 つぎに、 通 信認証ハードウエア 311は、 入力された提供元の電子証明書 1701のメッセ ージダイジェスト レヽッシュ値） を生成する （ステップ S 1605) 。

そして、 通信認証ハードウェア 31 1は、 ステップ S 1604で生成されたハ ッシュ値とステップ S 1605で生成されたハッシュ値とがー致するかどうかを 判定する （ステップ S 1606) 。 一致する場合 （ステップ S 1606 ： Ye s ) は、 認証局との通信の安全性が認証されたこととなり （ステップ S 1607 ) 、 安全性の高い通信路が生成されたことになる。 一方、 一致しなかった場合 （ス テツプ S 16 Q 6 ： No) 、 認証局との通信の安全性が認証されず、 通信をおこ なうことができない。

(登録情報の書き込み処理手順）

つぎに、 登録情報の書き込み処理手順について説明する。 第 18図は、 登録情 報の書き込み処理手順を示すフローチャートである。 第 18図において、 まずュ 一ザが指定した生体センサ 211のセンサ種情報を取得する （ステップ S 180 1) 。 そして、 第 16図に示した通信認証処理手順において、 通信の安全性が認 証されている場合 （ステップ S 1802 ： Ye s) 、 提供元から、 通信 I /F 2 09を介して登録指示情報を入力する （ステップ S 1803) 。

ここで、 登録指示情報について説明する。 第 19図は、 登録指示情報を示す説 明図である。 第 19図において、 登録指示情報 1900は、 電子登録指示書 19 01と、 提供元 （電子証明書 1701の提供元） の電子署名 1902とを含んで いる。

電子登録指示書 1901は、 ユーザが指定した生体センサ 211によって検出 される生体情報を登録する旨の指示に関するデータであり、 提供者名と、 ユーザ の情報処理装置 101で利用可能な生体センサ 21 1のセンサ種情報とが記述さ れている。 また、 提供元の電子署名 1 9◦ 2は、 電子登録指示書 1901のハツ シュ値 1903を、 提供元の秘密鍵によって暗号化した電子署名である。

また、 第 18図において、 監視ハードウェア 314は、 電子登録指示書 190 1の中に、 ステップ S 1801にて取得したセンサ種情報が含まれている力否か を判定する （ステップ S 1804) 。 取得したセンサ種情報が含まれていない場 合 （ステップ S 1804 : No) 、 ユーザが使用したい生体センサ 21 1が利用 できないため、 一連の処理を終了する。

一方、 取得したセンサ種情報が含まれている場合 （ステップ S 1804 ： Ye s ) 、 監視ハードウエア 314は、 電子登録指示書 1901の提供元の公開鍵を 取得する （ステップ S 1805) 。 具体的には、 監視ハードウェア 314は、 装 置内情報認証ハードウェア 313に対して、 電子登録指示書 1901の提供元の 公開鍵を取得要求する。 装置内情報認証ハードウエア 313は、 メモリ/ストレ ージ 300に暗号ィ匕されて記憶されている電子証明書の中から、 電子登録指示書 1901の提供元の電子証明書を抽出する。

そして、 装置内情報認証ハードウェア 313の復号鍵で、 抽出された電子証明 書を復号し、 復号された電子証明書の中から公開鍵を抽出する。 この抽出された 公開鍵を監視ハードウェア 314に供給することで、 監視ハードウェア 314は 、 電子登録指示書 1901の提供元の公開鍵を取得することができる。 つぎに、 監視ハードウェア 314は、 取得した提供元の公開鍵で、 提供元の電 子署名を復号してハッシュ値を生成する （ステップ S 1806) 。 また、 監視ハ 一ドウエア 314は、 電子登録指示書 1901のメッセージダイジエスト （ハツ シュ値） を生成する （ステップ S 1807) 。 そして、 監視ハードウェア 314 は、 ステップ S 1806で生成されたハッシュ値とステップ S 1807で生成さ れたハッシュ値を、 検証ノヽードウエア 315に出力する。

検証ハードウェア 315は、 ステップ S 1806で生成されたハッシュ値とス テツプ S 1807で生成されたハッシュ値とが一致するかどうかを判定する （ス テツプ S 1808) 。 一致しない場合 （ステップ S 1808 ： No) 、 電子登録 指示書 1901が改ざんされているおそれがあるため、 登録処理をおこなわず、 一連の処理を終了する。

一方、 一致する場合 （ステップ S 1808 ： Ye s) 、 検証ハードウェア 31 5は、 生体認証ハードウェア 312に、 生体情報の登録処理を指示する （ステツ プ S 1809) 。 このとき、 情報処理装置 101は、 生体情報の入力を待ち受け ている。

そして、 ユーザが指定した生体センサ 21 1から生体情報が入力された場合 ( ステップ S 1810 ： Ye s) 、 ユーザ名 （登録者名） 、 センサ種情報 （たとえ ば、 指紋センサなど） 、 生体情報 （たとえば、 ユーザの指紋画像データ） からな る登録情報を、 メモリノストレージ 300に書き込む （ステップ S 18 1 1) 。 この書き込み処理は、 生体認証ハードウエア 312を介して、 装置内情報認証ハ 一ドウエア 313力 S、 登録情報を暗号化して、 メモリ/ストレージ 300に記憶 する。 これにより、 ユーザの登録情報を、 安全かつ速やかにおこなうことができ る。

(セキュリティチップ 21 5による通常の動作処理手 W頁）

つぎに、 セキュリティチップ 215による通常の動作処理手順について説明す る。 第 20図は、 セキュリティチップ 215による通常の動作処理手順を示すフ ローチャートである。 第 20図において、 生体センサ 21 1によって検出された 生体情報が入力された場合 （ステップ S 2001 ： Ye s) 、 装置内情報認証ハ 一ドウエア 313は、 メモリ Zストレージ 300から暗号化された登録情報を抽 出し、 復号鍵で復号する （ステップ S 2002) 。

そして、 生体認証ノ、一ドウエア 312では、 入力された生体情報と、 復号され た生体情報とを照合する。 生体情報が一致しない場合 （ステップ S 2003 ： N o) 、 アクセス拒否となり、 一連の処理を終了する。 一方、 生体情報が一致した 場合 （ステップ S 2003 ： Ye s) 、 通信認証ハードウエア 311は、 環境認 証をおこなう送信先との通信認証をおこなう （ステップ S 2004) 。

通信の安全性が認証されない場合 （ステップ S 2005 ： No) 、 改ざんの危 険性があるため、 一連の処理を終了する。 一方、 通信の安全性が認証された場合 (ステップ S 2005 ： Y e s ) 、 装置内情報認証ハードウエア 313は、 周辺 機器 302、 ソフトウェア 301、 各ハードウェアの実行プログラムの装置内情 報を収集し （ステップ S 2006) 、 環境レポートを生成する （ステップ S 20 07) 。

そして、 装置内情報認証ハードウエア 313は、 環境レポ一トを暗号化し （ス テツプ S 2008) 、 この暗号化された環境レポ一トに電子署名を添付して送信 先に送信する （ステップ S 2009) 。 送信先では、 この環境レポートを受信、 復号して、 環境認証に用いることができる。

このように、 通信認証ハードウェア 311、 生体認証ハードウェア 312およ ぴ装置内情報認証ハードウエア 313は、 元々異なる目的で用いられる認証機能 であるため、 それぞれの処理を実行するプロダラムゃデ一タについての更新頻度 、 更新量、 更新方法が異なる。

しかしながら、 この実施の形態によれば、 通信認証ハードウエア 31 1、 生体 認証ハードウェア 312および装置内情報認証ハードウェア 313を単一のセキ ュリティチップ 215に内蔵し、 更新情報や登録指示情報の入力を通信認証ハー ドウエア 311によって形成される安全な喑号路に一本ィヒし、 監視ハードウェア 314 (常駐プログラム 324) によって、 更新対象となるハードウェアを分別 している。

したがって、 各ハードウェア間における相互認証が不要となり、 安全かつ速や かな更新処理を実現することができる。 通信認証ハードウェア 3 1 1、 生体認証 ハードウェア 3 1 2および装置内情報認証ハードウェア 3 1 3を単一のセキユリ ティチップ 2 1 5に内蔵していても、 プログラムを更新する場合、 セキュリティ チップ 2 1 5を作り替える必要がないため、 ユーザの利便性の向上を図ることが できる。

また、 監視ハードウエア 3 1 4や検証ハードウエア 3 1 5であつかうデータで あるパッチ、 電子証明書、 電子登録指示書、 電子署名は、 比較的データ量の小さ いデータであり、 処理内容も電子署名の復号処理や、 ハッシュ値の一致検証など 比較的簡単な処理であるため、 低コストで実現することができる。

以上説明したように、 この発明によれば、 生体認、証、 通信認証 （本人 （P K I

) 認証） 、 および装置内情報認証 （環境認証） におけるプログラムおよびデータ の更新を、 柔軟力 厳密に実行可能とすることにより、 安全性の向上を図ること ができるという効果を奏する。 産業上の利用可能性

以上のように本発明は、 パーソナ コンピュータ、 サーバコンピュータ、 およ ぴ携帯電話機のほか、 冷蔵庫、 電子レンジ、 エアコン、 T V、 D VD等の家電機 器、 コピー機、 さらにはロボットに実装することに適している。

Claims

請 求 の 範 囲

1 . 情報処理装置内に実装され、 前記情報処理装置外との通信の安全性を認証す る通信認証ハードウエアと、 当該通信認証ハードウエアとは異なる所定の処理を おこなう処理ハードウエアとを内蔵した単一チップからなる情報管理装置であつ て、

前記単一チップ内にインストールされている任意の実行プログラムの提供元と 前記情報処理装置との間の通信の安全性が前記通信認証ハードウエアによつて認 証された場合、 前記提供元から前記情報処理装置に送信された、 前記実行プログ ラムを修正する修正プログラムと、 当該修正プログラムおよぴ前記提供元の秘密 鍵によつて生成された電子署名と、 の入力を受け付ける入力手段と、

前記入力手段によって入力された修正プログラムに修正される実行プログラム

IS 前記通信認証ハードウエアまたは前記処理ハードウエアのうちレヽずれのハー ドウエアにインストールされている実行プログラムかを判定するプログラム判定 手段と、

前記修正プログラムのメッセージダイジエストと、 前記入力手段によって入力 された電子署名と、 前記提供元の公開鍵とに基づいて、 前記プログラム判定手段 によつて判定された実行プログラムを、 前記修正プログラムによつて更新するこ とが正当であるかどうかを検証する正当性検証手段と、

前記正当性検証手段によって検証された検証結果に基づいて、 前記プログラム 判定手段によつて判定された実行プロダラムを、 前記修正プログラムによつて更 新する更新手段と、 '

を備えることを特徴とする情報管理装置。

2 . 前記処理ハードウェアは、 前記情報処理装置または前記単一チップ内の情報 を認証する装置内情報認証ハードウエアを含むことを特徴とする請求の範囲第 1 項に記載の情報管理装置。

3 . 前記処理ハードウェアは、 生体センサによって検出された生体情報と、 前記 情報処理装置のユーザの登録生体情報とがー致するかどうかを認証する生体認証 ハードウエアを含むことを特徴とする請求の範囲第 2項に記載の情報管理装置。

4. 前記生体センサの種類に関するセンサ種情報の入力を受け付けるセンサ種情 報入力手段と、

前記生体認証ハードウエアの認証に用レ、られている生体センサの種類に関する センサ種情報と、 前記センサ種情報入力手段によつて入力されたセンサ種情報と 、 がー致するかどうかを判定するセンサ種情報判定手段と、 を備え、

前記正当性検証手段は、

さらに、 前記センサ種情報判定手段によって判定された判定結果に基づいて、 前記プログラム判定手段によって判定された実行プログラムを、 前記修正プログ ラムによって更新することが正当であるかどうかを検証することを特徴とする請 求の範囲第 3項に記載の情報管理装置。

5 . 前記入力手段は、

さらに、 前記情報処理装置によって受信された、 前記実行プログラムの提供元 に関する電子証明書と、 当該電子証明書および認証局の秘密鍵によって生成され た第 2の電子署名と、 の入力を受け付け、

前記装置内情報認証ハードウエアは、

前記入力手段によって前記提供元に関する電子証明書が入力された場合、 前記 情報処理装置内に暗号化されて記憶されている前記認証局の公開鍵を復号し、 前記通信認証ハードウエアは、

前記入力手段によって入力された提供元に関する電子証明書のメッセージダイ ジェストと、 前記入力手段によって入力された第 2の電子署名と、 前記装置内情 報認証ハードウエアによって復号された前記認証局の公開鍵とに基づいて、 前記 提供元と前記情報処理装置との間の通信の安全性を認証することを特徴とする請 求の範囲第 2項〜第 4項のいずれか一つに記載の情報管理装置。

6 . 前記装置内情報認証ハードウェアは、

前記プロダラム判定手段によって判定された判定結果に基づいて、 前記情報処 理装置内に暗号化されて記憶されている前記提供元の公開鍵を復号し、

前記正当性検証手段は、

前記修正プログラムのメッセージダイジェストと、 前記入力手段によって入力 された電子署名と、 前記装置内情報認証ハードウエアによって復号された前記提 供元の公開鍵とに基づいて、 前記プログラム判定手段によって判定された実行プ ログラムを、 前記修正プログラムによつて更新することが正当であるかどうかを 検証することを特徴とする請求の範囲第 5項に記載の情報管理装置。

7 . 前記入力手段は、 さらに、 前記実行プログラムを前記修正プログラムによつ て更新された更新後プログラムと、 前記提供元の秘密鍵と、 によって生成された 第 3の電子署名の入力を受け付け、

前記入力手段によつて入力された第 3の電子署名と、 前記更新手段によつて得 られたプロダラムのメッセージダイジエストと、 前記提供元の公開鍵とに基づい て、 前記更新手段によって得られたプログラムが、 前記更新後プログラムと一致 するかどうかを検証する一致検証手段を備えることを特徴とする請求の範囲第 1 項〜第 4項のいずれか一つに記載の情報管理装置。

8 . 前記装置内情報認証ノヽードウエアは、

前記正当性検証手段によって検証された検証結果に基づいて、 前記情報処理装 置内に暗号化されて記憶されている前記提供元の公開鍵を復号し、

前記一致検証手段は、

前記入力手段によつて入力された第 3の電子署名と、 前記更新手段によつて得 られたプログラムのメッセージダイジェストと、 前記装置内情報認証ハードゥエ ァによつて復号された前記提供元の公開鍵とに基づいて、 前記更新手段によって 得られたプログラムが、 前記更新後プログラムと一致するかどうかを検証するこ とを特徴とする請求の範囲第 7項に記載の情報管理装置。

9 . 情報処理装置内に実装され、 前記情報処理装置外との通信の安全性を認証す る通信認証ハードウエアと、 前記情報処理装置または前記単一チップ内の情報を 認証する装置内情報認証ノヽ一ドウエアと、 生体センサによって検出された生体情 報と前記情報処理装置に登録されたユーザの生体情報とがー致するかどうかを認 証する生体認証ハードウエアとを内蔵した単一チップからなる情報管理装置であ つて、

前記生体センサの種類に関するセンサ種情報の入力を受け付けるセンサ種情報 入力手段と、

前記生体情報の登録指示に関する電子登録指示書の提供元と前記情報処理装置 との間の通信の安全性が前記通信認証ハードウエアによって認証された場合、 前 記提供元から前記情報処理装置に送信された、 前記電子登録指示書と、 当該電子 登録指示書および前記提供元の秘密鍵によつて生成された電子署名と、 の入力を 受け付ける入力手段と、

前記センサ種情報入力手段によって入力されたセンサ種情報が、 前記入力手段 によつて入力された電子登録指示書に含まれているセンサ種情報と一致するかど うかを判定するセンサ種情報判定手段と、

前記センサ種情報判定手段によって一致すると判定された場合、 当該電子登録 指示書のメッセージダイジェストと、 前記入力手段によって入力された電子署名 と、 前記提供元の公開鍵とに基づいて、 前記電子登録指示書が正当であるかどう かを検証する正当性検証手段と、 を備え、

前記生体認証ハードウエアは、

前記正当性検証手段によって正当であると判定された場合、 前記センサ種情報 にかかる生体センサによって検出される生体情報の入力を受け付け、

前記装置内情報認証ハードウエアは、

前記生体認証ハードウヱァによって入力された生体情報を登録することを特徴 とする情報管理装置。

1 0 . 前記装置内情報認証ハードウェアは、

前記センサ種情報判定手段によって一致すると判定された場合、 前記情報処理 装置内に暗号化されて記憶されている前記提供元の公開鍵を復号し、

前記正当性検証手段は、

前記センサ種情報判定手段によって一致すると判定された場合、 当該電子登録 指示書のメッセージダイジエストと、 前記入力手段によって入力された電子署名 と、 前記装置内情報認証ハードウエアによつて復号された前記提供元の公開鍵と に基づいて、 前記電子登録指示書が正当であるかどうかを検証することを特徴と する請求の範囲第 9項に記載の情報管理装置。

1 1 . 前記装置内情報認証ハードウエアは、

前記センサ種情報判定手段によって一致すると判定された場合、 前記情報処理 装置内に暗号化されて記憶されている前記提供元の公開鍵を復号し、

復号された前記提供元の公開鍵を用いて、 前記生体認証ハードウエアによって 入力された生体情報を暗号ィヒして、 前記登録生体情報として登録することを特徴 とする請求の範囲第 9項または第 1 0項に記載の情報管理装置。

1 2 . 情報処理装置内に実装された単一チップからなる情報管理装置であって、 前記情報処理装置のユーザに関する現在の電子証明書を発行した認証局と前記 情報処理装置との間の通信の安全性を認証する通信認証ハードウエアと、 前記通信認証ハードウエアによつて安全であると認証された場合、 前記認証局 から前記情報処理装置に送信された、 前記認証局が発行したユーザに関するあら たな電子証明書と、 当該電子証明書および前記認証局の秘密鍵によつて生成され た電子署名と、 の入力を受け付ける入力手段と、

前記入力手段によつて入力されたあらたな電子証明書のメッセージダイジエス トと、 前記入力手段によって入力された電子署名と、 前記認証局の公開鍵とに基 づいて、 前記現在の電子証明書から前記入力手段によって入力されたあらたな電 子証明書への更新が、 正当であるかどうかを検証する正当性検証手段と、 前記正当性検証手段によつて検証された検証結果に基づいて、 前記現在の電子 証明書から、 前記あらたな電子証明書へ更新する更新手段と、

を備えることを特徴とする情報管理装置。

1 3 . さらに、 前記単一チップ内に内蔵され、 前記情報処理装置または前記単一 チップ内の情報を認証する装置内情報認証ノ、一ドウエアを備え、

前記装置内情報認証ハードウエアは、

前記入力手段による入力があつた場合、 前記情報処理装置内に暗号化されて記 憶されている前記認証局の公開鍵を復号し、

前記正当性検証手段は、

前記入力手段によって入力されたあらたな電子証明書のメッセージダイジエス トと、 前記入力手段によつて入力された電子署名と、 前記装置内情報認証ハード ウェアによつて復号された前記認証局の公開鍵とに基づいて、 前記現在の電子証 明書から前記入力手段によって入力されたあらたな電子証明書への更新が、 正当 であるかどうかを検証することを特徴とする請求の範囲第 1 2項に記載の情報管 理装置。

1 4 . さらに、 前記単一チップ内に内蔵され、 前記情報処理装置または前記単一 チップ内の情報を認証する装置内情報認証ハードウエアを備え、

前記装置内情報認証ハードウエアは、

前記更新手段によってあらたな電子証明書に更新された場合、 前記情報処理装 置内に暗号化されて記憶されている前記認証局の公開鍵を復号し、

復号された前記認証局の公開鍵を用いて、 前記更新手段によって更新されたあ らたな電子証明書を暗号化して記憶することを特徴とする請求の範囲第 1 2項に 記載の情報管理装置。

1 5 . 通信認証と環境認証により、 情報の安全性を認証する単一チップからなる 情報管理装置であって、

前記通信認証をおこなう通信認証ハードウエアおよび通信認証プログラムと、 前記環境認証をおこなう環境認証ハードウエアおよび環境認証プログラムと、 前記通信認証プログラムまたは環境認証プログラムが更新を要する場合、 前記 通信認証ハードウエアによって修正プログラムの入手先の正当性を確認の上、 前 記修正プログラムを受信するとともに、 前記環境認証ハードウエアに鍵情報を入 手させ、 前記修正プログラムによる改版処理の正当性を確認の上、 更新処理をお こなう更新手段と、

を備えることを特徴とする情報管理装置。

1 6 . 情報処理装置内に実装される単一チップに内蔵された、 前記情報処理装置 外との通信の安全性を認証する通信認証ハードウエアと、 当該通信認証ハードウ エアとは異なる所定の処理をおこなう処理ハードウエアとを用いた情報管理方法 であって、

前記単一チップ内にインストールされている任意の実行プログラムの提供元と 前記情報処理装置との間の通信の安全性を認証する通信認証工程と、

前記通信認証工程によつて安全性が認証された場合、 前記提供元から前記情報 処理装置に送信された、 前記実行プログラムを修正する修正プログラムと、 当該 修正プログラムおよび前記提供元の秘密鍵によって生成された電子署名と、 を入 力する入力工程と、

前記入力工程によつて入力された修正プログラムに修正される実行プログラム IS 前記通信認証ハードウエアまたは前記処理ハードウエアのうちいずれのハー ドウエアにインストールされている実行プログラムかを判定するプログラム判定 工程と、

前記修正プログラムのメッセージダイジェストと、 前記入力工程によって入力 された電子署名と、 前記提供元の公開鍵とに基づいて、 前記プロダラム判定工程 によつて判定された実行プログラムを、 前記修正プロダラムによつて更新するこ とが正当であるかどうかを検証する正当性検証工程と、

前記正当性検証工程によつて検証された検証結果に基づいて、 前記プログラム 判定工程によつて判定された実行プログラムを、 前記修正プログラムによつて更 新する更新工程と、

を含んだことを特徴とする情報管理方法。

1 7 . 情報処理装置内に実装される単一チップに内蔵された、 前記情報処理装置 外との通信の安全性を認証する通信認証ハードウエアと、 前記情報処理装置また は前記単一チップ内の情報を認証する装置内情報認証ノ、一ドウエアと、 生体セン サによって検出された生体情報と前記情報処理装置に登録されたユーザの生体情 報とがー致するかどうかを認証する生体認証ノヽードウエアとを用いた情報管理方 法であって、

前記生体センサの種類に関するセンサ種情報を入力するセンサ種情報入力工程 と、

前記生体情報の登録指示に関する電子登録指示書の提供元と前記情報処理装置 との間の通信の安全性を認証する通信認証工程と、

前記通信認証工程によつて安全性が認証された場合、 前記提供元から前記情報 処理装置に送信された、 前記電子登録指示書と、 当該電子登録指示書および前記 提供元の秘密鍵によって生成された電子署名と、 を入力する入力工程と、 前記センサ種情報入力工程によつて入力されたセンサ種情報が、 前記入力工程 によつて入力された電子登録指示書に含まれているセンサ種情報と一致するかど うかを判定するセンサ種情報判定工程と、

前記センサ種情報判定工程によって一致すると判定された場合、 当該電子登録 指示書のメッセージダイジエストと、 前記入力工程によって入力された電子署名 と、 前記提供元の公開鍵とに基づいて、 前記電子登録指示書が正当であるかどう かを検証する正当性検証工程と、

前記正当性検証工程によって正当であると判定された場合、 前記センサ種情報 にかかる生体センサによって検出される生体情報を入力する生体情報入力工程と 前記生体情報入力工程によって入力された生体情報を登録する登録工程と、 を含んだことを特徴とする情報管理方法。

1 8 . 情報処理装置内に実装された単一チップに内蔵された通信認証ハードゥエ ァを用いた情報管理方法であって、

前記情報処理装置のユーザに関する現在の電子証明書を発行した認証局と前記 情報処理装置との間の通信の安全性を認証する通信認証工程と、

前記通信認証工程によつて安全性が認証された場合、 前記認証局から前記情報 処理装置に送信された、 前記認証局が発行したユーザに関するあらたな電子証明 書と、 当該電子証明書および前記認証局の秘密鍵によって生成された電子署名と 、 を入力する入力工程と、

前記入力工程によって入力されたあらたな電子証明書のメッセージダイジエス トと、 前記入力工程によって入力された電子署名と、 前記認証局の公開鍵とに基 づいて、 前記現在の電子証明書から前記入力手段によって入力されたあらたな電 子証明書への更新が、 正当であるかどうかを検証する正当性検証工程と、 前記正当性検証工程によって検証された検証結果に基づいて、 前記現在の電子 証明書から、 前記あらたな電子証明書へ更新する更新工程と、

を含んだことを特徴とする情報管理方法。