【0001】[0001]
【発明の属する技術分野】この発明は、複数の機器によ
って構成されるシステムから、各機器の動作ログを安全
にかつ確実に回収するための動作ログ蓄積装置および動
作ログ蓄積管理方法に関するものである。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an operation log storage device and an operation log storage management method for safely and reliably collecting operation logs of respective devices from a system including a plurality of devices. .
【0002】[0002]
【従来の技術】複数の機器によって構成されるシステム
を管理運用する際、例えば、各機器の異常や不正利用の
検出、異常の原因分析、動作内容に応じた課金などのた
めに、各機器で動作ログが正しく記録され、システムの
運用者がその動作ログを安全かつ確実に収集できる必要
がある。従来は、機器の動作ログを蓄積管理する方法と
して、次のような方法がある。2. Description of the Related Art When managing and operating a system composed of a plurality of devices, for example, in order to detect abnormalities or unauthorized use of each device, analyze the cause of the abnormality, and charge according to the operation contents, each device has It is necessary that the operation log is recorded correctly and that the system operator can collect the operation log safely and reliably. Conventionally, there is the following method for storing and managing operation logs of devices.
【0003】第1の方法は、システムを構成する各機器
の動作ログを集中管理するログ管理サーバを設置し、各
機器とログ管理サーバの間の通信路を常時確立した上
で、各機器を、ログ管理サーバにその動作ログを蓄積し
ながら動作させる方法であり、最も簡易で有効な方法で
ある。ログ管理サーバは、機器からの動作ログの通知が
ない場合、機器が正常に動作していないとみなすことが
できる。第2の方法は、各機器とログ管理サーバ間に通
信路を確立するのではなく、人手によって各機器の動作
ログを回収する方法である。A first method is to install a log management server for centrally managing operation logs of each device constituting the system, establish a communication path between each device and the log management server at all times, and then connect each device to the log management server. This is a method of operating while accumulating the operation log in the log management server, and is the simplest and effective method. If there is no notification of the operation log from the device, the log management server can determine that the device is not operating normally. The second method is a method of manually collecting operation logs of each device, instead of establishing a communication path between each device and the log management server.
【0004】第3の方法は、各機器とログ管理サーバ間
の通信路を断続的に確立し、通信路が確立されていない
期間の動作ログを、通信路の確立時にまとめて収集する
方法である。この方法は、例えば、家庭用パソコン(パ
ーソナルコンピュータ)、ノートパソコン、携帯電話
機、ICカード、PDA(携帯情報端末)、家庭用ゲー
ム機、携帯ゲーム機などの機器のように、通信路の常時
確立を前提にできない場合に有効である。A third method is to intermittently establish a communication path between each device and a log management server, and collect operation logs during a period in which the communication path is not established at the time of establishing the communication path. is there. In this method, a communication path is always established, for example, in a device such as a home personal computer (personal computer), a notebook personal computer, a mobile phone, an IC card, a PDA (portable information terminal), a home game machine, and a mobile game machine. This is effective when it cannot be assumed.
【0005】[0005]
【発明が解決しようとする課題】管理する機器の動作ロ
グによって、機器の監視や、利用状況に応じた課金を行
うような場合、ログを安全にかつ確実に回収することが
必須である。すなわち、正しい内容のログを、正しい内
容のまま、確実に収集できる必要がある。上記の第1の
従来技術は実現が容易であるが、通信路の常時確立を前
提とする必要があるため適用可能なシステムに対する制
約が強いこと、通信路を確立するためのコストも大きく
なること、第三者がネットワークを通じて送信中のログ
に対する盗聴や改竄(かいざん)を行う可能性があるこ
となどの問題がある。In the case where the operation log of the device to be managed is used to monitor the device or to perform charging in accordance with the usage status, it is essential to collect the log safely and reliably. In other words, it is necessary to be able to reliably collect logs with correct contents while maintaining correct contents. Although the first prior art is easy to realize, it is necessary to presuppose that the communication path is always established, so that there are strong restrictions on applicable systems, and the cost for establishing the communication path increases. However, there is a problem that a third party may eavesdrop or alter the log being transmitted through the network.
【0006】第2の従来技術や第3の従来技術は、通信
路の確立のためのコストを低く抑えることができる。特
に、ログ管理サーバ、もしくはログ管理サーバの管理者
が機器からログを取得することによって収集の確実性も
高くなる。しかし、これらの方法には、収集対象の機器
の数が多くなるに連れて実現困難になること、ログの更
新の有無に関わらず収集を行うために無駄な通信が生じ
ることなどの問題がある。[0006] The second and third prior arts can reduce the cost for establishing a communication path. In particular, when the log management server or the administrator of the log management server obtains logs from the device, the reliability of collection is increased. However, these methods have problems such as becoming difficult to implement as the number of devices to be collected increases, and causing unnecessary communication to perform collection regardless of whether or not the log is updated. .
【0007】一方、逆に各機器の側から、ログが一定量
蓄積されるなどの必要時に、ログを自発的に提出する場
合、動作ログの無駄な取得を防止することができ、管理
対象の機器が多数になる場合にも向いている。しかし、
ログの提出が各機器に任されるため、機器における不正
の隠蔽や課金額の減額などを目的としたログの改竄やロ
グの提出拒否が発生する可能性がある上に、これらの早
期検出が困難になるため、ログ収集の確実性が低くな
る。[0007] On the other hand, when logs are voluntarily submitted from each device when a certain amount of logs are accumulated, useless acquisition of operation logs can be prevented, and the management target can be prevented. It is suitable for a case where the number of devices is large. But,
Since the submission of logs is left to each device, there is a possibility that log falsification or log refusal for the purpose of concealing fraud in devices or reducing the amount of billing may occur, and early detection of these This makes log collection less reliable.
【0008】この発明の目的は、通信路の常時確立を前
提とせずに、上記のようなログの改竄、ログの盗聴、ロ
グの提出拒否の問題を解決し、システムを構成する各機
器の動作ログを安全かつ確実に収集できる動作ログ蓄積
管理方法及びその装置を提供することにある。SUMMARY OF THE INVENTION An object of the present invention is to solve the above problems of log falsification, log eavesdropping, and log submission rejection without assuming that a communication path is always established, and to operate each device constituting the system. An object of the present invention is to provide an operation log accumulation management method and an apparatus thereof that can collect logs safely and reliably.
【0009】[0009]
【課題を解決するための手段】この発明の方法の1例に
よれば、管理対象機器側に、その管理対象機器の動作ロ
グを生成するログ発生部と、機器側ログ蓄積部と、ログ
管理部とを備える機器側装置を設け、ログ発生部からロ
グが生成されると、ログの追加可否を前記ログ管理部に
判断させ、その判断結果が追加許可であれば、前記生成
したログを前記機器側ログ蓄積部に蓄積し、前記判断結
果が追加不許可であれば、前記管理対象機器の動作を停
止させ、前記機器側ログ蓄積部に蓄積されているログを
ログ管理サーバへ送信し、前記ログ管理サーバは前記ロ
グを受信するとそのログをサーバ側ログ蓄積部に蓄積
し、かつ初期化命令を生成して前記機器側装置へ送信
し、前記機器側装置は前記初期化命令を受信すると、前
記ログ管理部内の、前記追加可否判断に用いる制限条件
を初期化し、かつ前記管理対象機器の動作停止を解除す
る。According to one example of the method of the present invention, a log generation unit for generating an operation log of the managed device, a device-side log storage unit, and a log management are provided on the managed device side. Unit is provided with a unit, and when a log is generated from a log generation unit, the log management unit is allowed to determine whether to add a log. Accumulate in the device-side log storage unit, if the determination result is addition not permitted, stop the operation of the managed device, transmit the log stored in the device-side log storage unit to the log management server, Upon receiving the log, the log management server accumulates the log in a server-side log storage unit, and generates an initialization command and transmits the generated initialization command to the device-side device.When the device-side device receives the initialization command, In the log management unit, Restriction used to add permission determination initialized, and cancels the stop of the operation of the device to be managed.
【0010】[0010]
【発明の実施の形態】以下、この発明の実施例を図面を
参照して詳細に説明する。図1にこの発明の一実施例を
適用したシステム構成を示す。このシステムは、管理対
象機器1に設けられる機器側装置10と、ログ管理サー
バ2とからなる。機器側装置10には、機器1の動作中
のログ発生元となるログ発生部11、ログ管理部12、
ログを格納するログ蓄積部13、ログ蓄積部13内のロ
グをログ管理サーバ2に対して送信するログ送信部1
4、管理対象機器1の動作を停止させたり、その停止を
解除する機器動作停止・解除部15、これらを制御する
制御部16によって構成される。Embodiments of the present invention will be described below in detail with reference to the drawings. FIG. 1 shows a system configuration to which an embodiment of the present invention is applied. This system includes a device-side device 10 provided in a managed device 1 and a log management server 2. The device-side device 10 includes a log generation unit 11, a log management unit 12, which is a log generation source during operation of the device 1,
A log storage unit 13 for storing logs, and a log transmission unit 1 for transmitting logs in the log storage unit 13 to the log management server 2
4. A device operation stop / cancel unit 15 for stopping or canceling the operation of the managed device 1 and a control unit 16 for controlling these devices.
【0011】ログ管理部12は、制御部16からのログ
の追加要求(発生したログをログ蓄積部13に追加蓄積
する要求)の受け付け、および追加要求に対する結果
(蓄積を許可するか否かを示す信号)の返却を行う制御
部121、ログの追加可能回数、追加可能量、追加期限
の管理、ログの追加可否を判断する追加可否判断部12
2、追加済みのログの内容を表わす情報を格納するログ
状態管理部124、新規に追加するログとログ状態管理
部124内の情報によってログ状態管理部124が格納
する情報を更新するログ状態更新部123、ログ管理サ
ーバ2からの初期化命令を受け付けて追加可否判断部1
22の初期化を行う機器側初期化処理部125を備え
る。なお、ログ管理部12は、耐タンパ性を持った装
置、つまり正規の入出力手段以外を用いて機能を変更し
たり秘密データを盗んだりしようとする攻撃に耐えられ
る装置、例えばICカードとして実現することにより、
内部のデータやプログラムを外部から参照できないもの
にすることが可能である。The log management unit 12 receives a log addition request from the control unit 16 (a request to additionally store a generated log in the log storage unit 13), and determines the result of the addition request (whether to permit storage or not). Control unit 121 that returns a signal indicating the number of times the log can be added, the number of logs that can be added, the amount of the log that can be added, and the time limit for adding the log.
2. A log status management unit 124 that stores information indicating the contents of the added log, and a log status update that updates the information stored in the log status management unit 124 according to the newly added log and the information in the log status management unit 124. Unit 123, accepts an initialization command from log management server 2, and determines whether addition is possible or not
A device-side initialization processing unit 125 that initializes the device 22 is provided. Note that the log management unit 12 is implemented as a tamper-resistant device, that is, a device that can withstand attacks that attempt to change functions or steal secret data using means other than authorized input / output means, such as an IC card. By doing
It is possible to make internal data and programs inaccessible from outside.
【0012】ログ管理サーバ2は、管理対象機器1から
ログを受信するログ受信部21、ログ管理部12を初期
化するための処理のうちサーバ側の処理を担当するサー
バ側初期化処理部22、受信したログを蓄積するログ蓄
積部23、これらを制御する制御部24によって構成さ
れる。図2は、追加可否判断部122の機能構成を示
す。追加可否判断部122は、追加可否の検証を行いカ
ウンタおよびメモリの更新を行う制御部122a、現在
時刻を取得する現在時刻取得器122b、ログの追加可
能回数の残存回数を管理する追加可能回数カウンタ12
2c、ログの追加期限を管理する追加期限メモリ122
dを有する。The log management server 2 includes a log receiving unit 21 for receiving a log from the device 1 to be managed, and a server-side initialization processing unit 22 responsible for server-side processing among processing for initializing the log management unit 12. , A log storage unit 23 for storing received logs, and a control unit 24 for controlling these. FIG. 2 shows a functional configuration of the addition possibility determination unit 122. The addition possibility determining unit 122 includes a control unit 122a that verifies whether addition is possible and updates a counter and a memory, a current time acquisition unit 122b that acquires the current time, and an addition possibility counter that manages the remaining number of times the log can be added. 12
2c, additional time limit memory 122 for managing log additional time limit
d.
【0013】制御部122aは、制御部121からの追
加要求を受け付けると、追加可能回数カウンタ122c
が0より大きく、追加期限メモリ122dが示す時刻
が、現在時刻取得器122bによって得られる現在時刻
に達していない場合に、追加可能回数カウンタ122c
を1減算した上で制御部121に追加許可を返却し、そ
の他の場合は不許可を返却する。なお、利用する追加条
件の種類によっては、すべての追加可否判断部122の
機能を実現する必要はなく、部分的に機能を縮退させて
も良い。例えば、追加回数の制限のみで良い場合は、追
加可能回数カウンタ122cと、追加可能回数カウンタ
122cが0より大きい場合にのみログの追加を可能と
判断する制御部122aを実装するだけで良い。When the control unit 122a receives the addition request from the control unit 121, the addable number counter 122c
Is larger than 0 and the time indicated by the additional time limit memory 122d has not reached the current time obtained by the current time acquisition unit 122b, the addable number counter 122c
Is subtracted by 1, and then the addition permission is returned to the control unit 121; otherwise, the non-permission is returned. Note that depending on the type of the additional condition to be used, it is not necessary to realize all the functions of the addition possibility determination unit 122, and the functions may be partially reduced. For example, when only the number of additions is limited, it is only necessary to mount the addable number counter 122c and the control unit 122a that determines that the log can be added only when the addable number counter 122c is larger than 0.
【0014】図3は、機器側初期化処理部125の機能
構成を示す。機器側初期化処理部125は、ログ管理サ
ーバ2からの初期化命令を受け付けて初期化命令が正当
であれば追加可否判断部122に初期化命令を伝達する
初期化制御部125a、初期化命令に含まれるダイジェ
スト値とログ状態管理部124内のダイジェスト値の比
較を行う比較器125b、初期化命令に付与された署名
を検証する署名検証器125c、署名検証器125cが
用いる情報であるログ管理サーバ公開鍵を格納するメモ
リ125d、によって構成される。FIG. 3 shows a functional configuration of the device-side initialization processing unit 125. The device-side initialization processing unit 125 receives an initialization command from the log management server 2, and if the initialization command is valid, transmits the initialization command to the addition possibility determination unit 122. , A comparator 125b that compares the digest value included in the log information with the digest value in the log state management unit 124, a signature verifier 125c that verifies the signature given to the initialization instruction, and log management that is information used by the signature verifier 125c. A memory 125d for storing a server public key.
【0015】図4は、サーバ側初期化処理部22の機能
構成を示す。サーバ側初期化処理部22は、ログ受信部
21からログを受け付け、初期化命令を生成し、機器側
初期化処理部125に対して初期化命令を送信する初期
化制御部221、初期化制御部221からログを受け取
ってダイジェスト値を計算するダイジェスト値演算器2
22、初期化制御部221が生成する初期化命令に署名
を付与する署名器223、署名器223が署名を生成す
るための情報であるログ管理サーバ秘密鍵を格納するメ
モリ224、によって構成される。FIG. 4 shows a functional configuration of the server-side initialization processing unit 22. The server-side initialization processing unit 22 receives a log from the log receiving unit 21, generates an initialization command, and transmits the initialization command to the device-side initialization processing unit 125. Digest value calculator 2 for receiving a log from the unit 221 and calculating a digest value
22, a signature unit 223 for giving a signature to the initialization command generated by the initialization control unit 221, and a memory 224 for storing a log management server private key, which is information for generating a signature. .
【0016】以下は、説明中で用いる記号の定義であ
る。・Skは秘密鍵であり、秘密鍵Skによる署名関数
をSSk、秘密鍵Skによるメッセージmに対する署名を
SSk(m)とする。PkはSkと対となる公開鍵であ
り、公開鍵Pkによる署名検証関数をVPkとする。VPk
の引数は検証対象となるメッセージと署名であり、検証
が成功である場合は返り値がtrue(真)、失敗の場
合は返り値がfalse(偽)となる。すなわち、Pk
とSkが1組の鍵である場合に、VPk(m,S
Sk(m))=true,VPk(m′,SSk(m))=f
alse,VPk(m,sign)=falseとなる
(m≠m′,sign≠SSk(m))。以上のようなV
Pk,SSkを実現する電子署名方式として、日本電信電話
株式会社が提案しているESIGNなどが知られてい
る。また、公開暗号方式による汎用的な認証および暗号
通信技術としてOpenSSLなどが知られている。The following are definitions of symbols used in the description. Sk is a secret key, and a signature function with the secret key Sk is SSk , and a signature for the message m with the secret key Sk is SSk (m). Pk is a public key paired with Sk, and a signature verification function using the public key Pk is set to VPk . VPk
Are the message to be verified and the signature. If the verification is successful, the return value is true (true), and if the verification fails, the return value is false (false). That is, Pk
And Sk are a set of keys, then VPk (m, S
Sk (m)) = true, VPk (m ′, SSk (m)) = f
alse, VPk (m, sign) = false (m ≠ m ′, sign ≠ SSk (m)). V as above
ESIGN proposed by Nippon Telegraph and Telephone Corporation or the like is known as an electronic signature scheme for realizingPk and SSk . Also, OpenSSL and the like are known as general-purpose authentication and encryption communication technologies using a public encryption method.
【0017】・fはy=f(x)であるような、xをy
からもとめることが極めて困難な一方向関数であり、y
1=f(x1),y2=f(x2)である時に、x1と
x2が異なる場合、y1とy2 が一致する確率が極めて
低いという性質を持つ関数である。このような関数とし
て、米RSA社のMD4やMD5などが知られている。
・Lnは管理対象機器内のログ発生部11が生成するn
回目のログ蓄積部13に追加蓄積されるログである。ま
た、n回目までのすべてのログは、L1,L2,…,L
nで表わされる。F is x = y such that y = f (x)
Is a one-way function that is extremely difficult to determine from
When 1 = f (x1 ) and y2 = f (x2 ), if x1 is different from x2, the function has a property that the probability that y1 and y2 match is extremely low. As such a function, MD4 and MD5 of RSA of the United States are known.
Ln is n generated by the log generator 11 in the managed device
This is a log additionally stored in the log storage unit 13 for the first time. All logs up to the n-th log are L1 , L2 ,.
It is represented byn .
【0018】・hnはログ発生部11が生成するn回目
の追加分のログLnの内容を一意に表わす情報(ダイジ
ェスト値)である。・Hnはログ発生部11が生成する
n回分の追加を行ったログ全体L1,L2,…,Lnを
一意に表わす情報(ダイジェスト値)である。・a‖b
は、aとbの連接である。なお、以下の実施例で、初期
状態においては、ログ状態管理部124内の情報は空と
し、追加可否判断部122が備える各カウンタおよびメ
モリは適切な値に設定されているものとする。また、公
開鍵Pkcと秘密鍵Skc、公開鍵Pksと秘密鍵Sks
はそれぞれ一組の鍵であるものとする。 第1の実施例 (1)ログの追加(ログ発生部11が追加分のログのダ
イジェスト値をログ管理部12に渡す場合) 以下に、図1、図2をもとに、管理対象機器1における
ログの発生からログの追加までの処理の流れを示す。な
お、図10、図11、図12が、以下の処理に対応する
フロー図である。Hn is information (digest value) uniquely representing the contents of the log Ln for the n-th addition generated by the log generation unit 11. · Hn is the entire log was additional n times L1, L2 generated by the log generation unit 11, ..., which is information uniquely represent Ln (digest value).・ A‖b
Is the concatenation of a and b. In the following example, in the initial state, the information in the log state management unit 124 is assumed to be empty, and each counter and memory included in the addition possibility determination unit 122 are set to appropriate values. Further, the public key Pkc and the secret key Skc , and the public key Pks and the secret key Sks
Are each a set of keys. First Embodiment (1) Addition of a log (when the log generation unit 11 passes a digest value of the added log to the log management unit 12) Hereinafter, the managed device 1 will be described based on FIGS. 2 shows a flow of processing from generation of a log to addition of a log. FIGS. 10, 11, and 12 are flowcharts corresponding to the following processing.
【0019】1.管理対象機器1のログ発生部11はロ
グを生成すると(S101)、制御部16は第n回目の
追加分ログLnに対するダイジェスト値hnをhn=f
(Ln)に従って計算し(S102)、この値を含むロ
グ追加要求をログ管理部12に通知する(S103)。
この時、ログ蓄積部13内のログはL1,L2,…,L
n-1である。 2.ログ管理部12では、制御部16からの追加要求を
制御部121が受け付ける(S201)。1. The log generation unit 11 of the management target device 1
When the control unit 16 generates the log (S101), the control unit 16
Additional log LnDigest value h fornHn= F
(Ln) (S102).
The log addition request is notified to the log management unit 12 (S103).
At this time, the log in the log storage unit 13 is L1, LTwo, ..., L
n-1It is. 2. The log management unit 12 receives an addition request from the control unit 16.
The control unit 121 receives (S201).
【0020】3.制御部121は、追加可否判断部12
2に追加要求を通知する(S202)。 4.追加可否判断部122は、制御部121からの追加
要求を制御部122aが受け付け、追加可能回数カウン
タ122cが0より大きく(S301〜302)、追加
期限メモリ122dが示す時刻が現在時刻取得器122
bによって得られる現在時刻に達していない場合に(S
303〜305)、制御部121に追加許可を返却し、
追加可能回数カウンタ122cを1減算して(S30
6)、追加許可を制御部121に返却する(S30
7)。一方、追加不許可の場合、不許可を制御部121
に返却する(S308)。3. The control unit 121 determines whether the addition is possible or not.
2 is notified of an addition request (S202). 4. The control unit 122a accepts an addition request from the control unit 121, the addable number counter 122c is larger than 0 (S301 to 302), and the time indicated by the additional time limit memory 122d is the current time acquisition unit 122.
If the current time obtained by b has not been reached (S
303-305), returning the addition permission to the control unit 121,
The possible addition counter 122c is decremented by 1 (S30).
6), returning the addition permission to the control unit 121 (S30)
7). On the other hand, in the case of addition rejection, the rejection is
(S308).
【0021】5.制御部121は、追加可否判断部12
2からの返却結果が追加許可である場合、ログ状態更新
部123にダイジェスト値hnを伝達する(S20
3)。一方、追加可否判断部122からの返却結果が不
許可である場合、制御部16に追加要求の処理結果とし
て不許可を返却する(S206)。 6.ログ状態更新部123は、制御部121から受理し
たダイジェスト値hnとログ状態管理部124内の値H
n-1の組に対するダイジェスト値Hnを計算(Hn=f
(Hn-1‖hn))し、Hnによってログ状態管理部1
24の値を上書きする。つまりログ状態管理部124内
に保持している値を更新する。ただし、ログ状態管理部
124内の値が空である場合(初期状態)、すなわち、
第1回目のログの追加では、H1=h1とする(S20
4)。5. The control unit 121 determines whether the addition is possible or not.
When return results from 2 are additional authorized, transmits the digest value hn to the log state update unit 123 (S20
3). On the other hand, if the return result from the addition possibility determination unit 122 is not permitted, the control unit 16 returns non-permission as the processing result of the addition request (S206). 6. Log state update unit 123, the digest value hn and the value H in the log state managing unit 124 having received from the control unit 121
Calculate the digest value Hn for the set ofn−1 (Hn = f
(Hn-1 ‖hn )), and the log state management unit 1 is designated by Hn .
Overwrite the value of 24. That is, the value held in the log state management unit 124 is updated. However, when the value in the log state management unit 124 is empty (initial state),
In the addition of the first round of the log, and H1 = h1 (S20
4).
【0022】7.制御部121は、制御部16に対して
ログの追加許可を返却する(S205)。 8.制御部16は、追加要求に対して追加の許可の返却
を受けると、追加分のログLnを、ログ蓄積部13内に
追加蓄積する(S105)。これによって、ログ蓄積部
13内のログはL1,L2,…,Lnとなる。また、制
御部16は、追加要求に対して追加の不許可の返却を受
けると、ログ蓄積部13にログを追加することはせず、
機器動作停止・解除部15により以後、管理対象機器1
にログの処理以外の通常の動作を行わせないようにする
(S106)。7. The control unit 121 returns the log addition permission to the control unit 16 (S205). 8. Control unit 16 receives the return of additional authorization for additional requests, the log Ln extra minutes, add accumulated in the log storage unit 13 (S105). Thus, the log in the log storage unit 13 L1, L2, ..., a Ln. Further, when the control unit 16 receives a return of additional non-permission in response to the addition request, the control unit 16 does not add a log to the log accumulation unit 13,
After that, the device operation stop / release unit 15 sets the device 1 to be managed.
To perform normal operations other than the log processing (S106).
【0023】なお、上記の5,7において、制御部12
1にログ管理部12の秘密鍵、制御部16にログ管理部
12の公開鍵を配置し、制御部121が、秘密鍵による
追加許可に対する署名を認証情報生成部126で生成し
て追加許可の返却結果に対して付与し、制御部16が、
公開鍵によるログ管理部12の署名を検証部17で検証
することによって、ログ管理部12のなりすましを防止
することができる。ログ管理部12は耐タンパ性を与え
る点から例えばICカードが用いられ、前記追加許可の
返却結果ごとにログ管理部12の正当性を制御部16が
検証する代りに、ログ管理部12を機器側装置10に装
着するごとにそのログ管理部12の正当性を検証しても
よい。 (2)ログの回収(管理対象機器1側でダイジェスト値
を比較する場合)機器側装置10は、ログの追加が不可
能となると、以後の動作ができなくなるため、再びログ
の追加を可能にするために、ログ管理サーバ2に対して
ログ蓄積部13内のログ全体を送信し、ログ管理部12
の初期化を行う必要がある。以下に、図1、図2、図
3、図4をもとに、合計n回のログの追加を行った後の
ログ回収処理の流れを示す。なお、図13、図14、図
15が、以下の処理に対応するフロー図、図16が機器
側装置10とログ管理サーバ2とのデータの送受を示
す。In the above-mentioned 5 and 7, the control unit 12
1 and the public key of the log management unit 12 are arranged in the control unit 16 and the control unit 121 generates a signature for the addition permission using the secret key in the authentication information generation unit 126, and Granted to the return result, the control unit 16
By verifying the signature of the log management unit 12 with the public key by the verification unit 17, spoofing of the log management unit 12 can be prevented. The log management unit 12 uses, for example, an IC card in order to provide tamper resistance. Instead of the control unit 16 verifying the validity of the log management unit 12 for each return result of the addition permission, the log management unit 12 Each time the log management unit 12 is attached to the side device 10, the validity of the log management unit 12 may be verified. (2) Log collection (when the digest value is compared on the management target device 1 side) If the log cannot be added, the device-side device 10 cannot perform the subsequent operations, so the log can be added again. In order to perform this, the entire log in the log storage unit 13 is transmitted to the log management server 2 and the log management unit 12
Needs to be initialized. Hereinafter, a flow of the log collection process after adding the log n times in total based on FIG. 1, FIG. 2, FIG. 3, and FIG. 13, 14, and 15 show flowcharts corresponding to the following processing, and FIG. 16 shows transmission and reception of data between the device-side device 10 and the log management server 2.
【0024】1.機器側装置10の制御部16はログ管
理部12から追加不許可の通知を受けると(S40
0)、ログ蓄積部13からすべてのログL1,L2,
…,Lnを取得(S401)し、ログ送信部14を通じ
てログ管理サーバ2に送信する(S401)。ただし、
この時、機器側装置10とログ管理サーバ2の間の通信
は、ログの第三者による盗聴、盗難を防止するために、
公開鍵暗号方式または共通鍵暗号方式による暗号化部1
8での暗号化、機器側装置10によるログ管理サーバ2
の認証を機器側認証部19とサーバ側認証部26で行な
う。なお、既存の公開鍵暗号方式の認証および暗号通信
技術としてOpenSSL、共通鍵暗号方式の既存技術
として日本電信電話株式会社のFEAL,Ascom
Systec社のIDEAなどが知られている。1. When the control unit 16 of the device-side device 10 receives the notification of the addition non-permission from the log management unit 12 (S40)
0), all the logs L1 , L2 ,
..., acquires the Ln (S401), and transmits through the log transmission unit 14 to the log management server 2 (S401). However,
At this time, communication between the device-side device 10 and the log management server 2 is performed in order to prevent eavesdropping and theft of logs by a third party.
Encrypting unit 1 using public key cryptosystem or common key cryptosystem
8, log management server 2 by device 10
Is performed by the device-side authentication unit 19 and the server-side authentication unit 26. In addition, OpenSSL is used as the authentication and encryption communication technology of the existing public key cryptosystem, and FEAL, Ascom of Nippon Telegraph and Telephone Corporation is used as the existing technology of the common key cryptosystem.
IDEA of System Inc. is known.
【0025】2.ログ管理サーバ2のログ受信部21は
ログL1,L2,…,Lnを受信し(S501)、制御
部24はその受信ログL1,…,Lnを、復号化部25
で復号化してログ蓄積部23に蓄積すると共にサーバ側
初期化処理部22の初期化制御部221に転送する(S
502)。 3.初期化制御部221は、ダイジェスト値演算器22
2によって、ログL1,L2,…,LnからH′nを算
出する(S503)。なお、ダイジェスト値演算器22
2は以下の式に従ってH′nを計算する。2. Log receiving unit 21 of the log management server 2 log L1, L2, ..., receives the Ln (S501), the control unit 24 that receives log L1, ..., a Ln, decoding unit 25
To be stored in the log storage unit 23 and transferred to the initialization control unit 221 of the server-side initialization processing unit 22 (S
502). 3. The initialization control unit 221 includes the digest value calculator 22
2, H ′n is calculated from the logs L1 , L2 ,..., Ln (S503). Note that the digest value calculator 22
2 calculates H ′n according to the following equation.
【0026】H′1=f(L1) H′i=f(H′i-1‖f(Li))(i>1) 4.初期化制御部221は、H′nと、ログ管理サーバ
2の管理者が別途定める追加回数上限値N、追加期限T
との組(H′n,N,T)に、署名器223が生成す
る、メモリ224内のログ管理サーバ秘密鍵Sksによる
署名を付与した、初期化命令((H′n,N,T),S
Sks(H′n,N,T))を生成し(S504)、機器側
装置10の機器側初期化処理部125に送信する(S5
05)。上限値N、期限Tは入力部229により初期化
制御部221に入力されている。3. H ′1 = f (L1 ) H ′i = f (H ′i−1 ‖f (Li )) (i> 1) The initialization control unit 221 includes H ′n , an upper limit N of the number of additions separately determined by an administrator of the log management server 2, and an additional time T
(H ′n , N, T) in which a signature with the log management server secret key Sks in the memory 224 generated by the signer 223 is added to the pair (H ′n , N, T). , S
Sks (H 'n, N, T)) generates (S504), and transmits to the device side initializing unit 125 of the device-side device 10 (S5
05). The upper limit N and the time limit T are input to the initialization control unit 221 by the input unit 229.
【0027】5.機器側初期化処理部125は、初期化
制御部125aがログ管理サーバ2から初期化命令を受
信し(S601)、署名検証器125cによって初期化
命令の署名を検証する(S602)。なお、署名検証器
125cは、メモリ125d内のログ管理サーバ公開鍵
Pksを用いて次の式によって署名を検証する。 VPks((H′n,N,T),SSks(H′n,N,T)) 結果がtrueとなる場合は、正当なログ管理サーバ2
による初期化命令であると判断し認証は成功とみなし
(S603)、結果がfalseとなる場合は認証失敗
とみなして処理を中断し、ログ管理サーバ2にエラーを
通知する(S603,S608)。5. In the device-side initialization processing unit 125, the initialization control unit 125a receives the initialization instruction from the log management server 2 (S601), and verifies the signature of the initialization instruction by the signature verifier 125c (S602). The signature verifier 125c verifies the signature using the log management server public key Pks in the memory 125d according to the following equation. VPks ((H ′n , N, T), SSks (H ′n , N, T)) If the result is true, the valid log management server 2
It is determined that the command is an initialization command, and the authentication is regarded as successful (S603). If the result is false, the authentication is regarded as failure and the processing is interrupted, and an error is notified to the log management server 2 (S603, S608).
【0028】6.初期化命令の認証に成功した場合(S
603)、初期化制御部125aは、初期化命令に含ま
れるH′nと、ログ状態管理部124内の値Hnを比較
器125bによって比較し(S604,S605)、両
者が一致する場合は追加可否判断部122に初期化命令
を転送する。H′nとHnが一致しない場合は処理を中
断し、ログ管理サーバ2にエラーを通知する(S60
8)。7.追加可否判断部122の制御部122aは、
初期化命令を受け付けると、追加可能回数カウンタ12
2cの値をN、追加期限メモリ122dの値をT、ログ
状態管理部124の内容を空に設定し(S606)、ロ
グ管理サーバ2に初期化完了を通知すると共に機器側装
置10の制御部16にも初期化完了を通知する。6. If the initialization command is successfully authenticated (S
603), the initialization control unit 125a compares the H 'n included in the initialization instruction with the value Hn in the log state management unit 124 by the comparator 125b (S604, S605). The initialization instruction is transferred to the addition possibility determination unit 122. If H ′n and Hn do not match, the process is interrupted and an error is notified to the log management server 2 (S60).
8). 7. The control unit 122a of the addition availability determination unit 122 includes:
When an initialization instruction is received, the addable number counter 12
The value of 2c is set to N, the value of the additional term memory 122d is set to T, the content of the log status management unit 124 is set to empty (S606), and the log management server 2 is notified of the completion of initialization, and the control unit of the device-side device 10 is set. 16 is also notified of the completion of initialization.
【0029】図13に示すように、制御部16はログを
ログ管理サーバへ送信後、ログ管理部12から初期化完
了通知の受信を待ち(S403)、この通知を受信する
と機器動作停止・解除部15に停止解除を指示して機器
動作停止・解除部15をして管理対象機器1の動作を再
開させる(S404)。あるいは図13中に破線で示す
ように、ログ送信後、所定時間の経過を待ち(S40
5)、所定時間経過するとログ管理部12へログ追加要
求(ログを伴わない)を行い(S406)、追加許可が
返却されると(S407)、機器動作停止・解除部15
に管理対象機器1の動作停止を解除させ(S404)、
追加許可が返却されなければステップS405に戻るよ
うにしてもよい。何れにしても初期化完了後に、管理対
象機器1の動作を再開させるようにすればよい。As shown in FIG. 13, after transmitting the log to the log management server, the control unit 16 waits for an initialization completion notification from the log management unit 12 (S403). The unit 15 is instructed to release the stop, and the device operation stop / release unit 15 is used to restart the operation of the managed device 1 (S404). Alternatively, as shown by the broken line in FIG. 13, after the log transmission, the elapse of a predetermined time is waited (S40).
5) After a lapse of a predetermined time, a log addition request (without a log) is made to the log management unit 12 (S406). When the addition permission is returned (S407), the device operation stop / release unit 15
Release the operation stop of the managed device 1 (S404),
If the additional permission is not returned, the process may return to step S405. In any case, the operation of the managed device 1 may be resumed after the initialization is completed.
【0030】以上の処理の流れでは、初期化命令の認証
のために、公開鍵暗号方式(非対象鍵)を用いている。
そのため、あらかじめ、ログ管理サーバ公開鍵Pksを機
器側初期化処理部125のメモリ125dに、ログ管理
サーバ秘密鍵Sksをサーバ側初期化処理部22のメモリ
224に配置しておく必要がある。なお、上記の認証処
理として公開鍵暗号方式ではなく、共通鍵方式を用いる
方法を採っても良い。共通鍵を用いる場合の機器側初期
化処理部125のブロック図は図5であり、サーバ側初
期化処理部22のブロック図は、図6である。In the above processing flow, a public key cryptosystem (non-target key) is used for authentication of an initialization command.
Therefore, it is necessary to arrange the log management server public key Pks in the memory 125 d of the device-side initialization processing unit 125 and the log management server secret key Sks in the memory 224 of the server-side initialization processing unit 22 in advance. Note that a method using a common key method instead of the public key encryption method may be used as the above authentication processing. FIG. 5 is a block diagram of the device-side initialization processing unit 125 when a common key is used, and FIG. 6 is a block diagram of the server-side initialization processing unit 22.
【0031】この場合、ログ管理サーバ2の管理者が共
通鍵をあらかじめ作成し、機器側初期化処理部125に
ついてはその認証用共通鍵をメモリ125gに、サーバ
側初期化処理部22については同一の認証用共通鍵をメ
モリ227にそれぞれ配置する。この状態で、上記ログ
の回収処理の流れにおいて、サーバ側初期化処理部22
の初期化制御部221が初期化命令に署名を付与する代
わりに、暗号器228において、メモリ227内の認証
用共通鍵による初期化命令の暗号化を行い、その暗号化
された初期化命令のみを機器側初期化処理部125へ送
る。また、機器側初期化処理部125で署名検証器12
5cによる初期化命令の署名を検証する代わりに、復号
器125hでメモリ125g内の認証用共通鍵による暗
号化初期化命令の復号化を行い、復号化できれば認証成
功、復号化できなければ認証失敗とみなすことができ
る。復号化できれば、その復号化された初期化命令中の
H′を比較器125bでHnと比較し、一致すれば、復
号化された初期化命令中のNとTを追加可否判断部12
2へ送る。 第2の実施例 (3)ログ発生部11が追加分のログ自体をログ管理部
12に渡す場合 第1の実施例で示したログの追加処理では、ログ管理部
12に対する制御部16からのログ追加要求が含む情報
は、追加分のログに対するダイジェスト値hnである
が、これを追加分のログLn自体にすることが可能であ
る。この場合、制御部16の側が、ダイジェスト値を計
算する機能を備える必要がないことと、追加可否判断部
内122で扱うことができる制約としてログの追加量の
上限を定めることができることが利点である。In this case, the administrator of the log management server 2 creates a common key in advance, the authentication common key is stored in the memory 125g for the device-side initialization processing unit 125, and the same for the server-side initialization processing unit 22. Are arranged in the memory 227. In this state, in the flow of the log collection process, the server-side initialization processing unit 22
Instead of the initialization control unit 221 adding a signature to the initialization instruction, the encryption unit 228 encrypts the initialization instruction using the authentication common key in the memory 227, and only the encrypted initialization instruction To the device-side initialization processing unit 125. In addition, the device-side initialization processing unit 125 uses the signature verifier 12
Instead of verifying the signature of the initialization command by 5c, the decryption device 125h decrypts the encryption initialization command using the common key for authentication in the memory 125g, and if the decryption is successful, the authentication is successful. If the decryption is not successful, the authentication fails. Can be considered. If decoding, compared by the comparator 125b and H 'of the decoded during initialization instruction and Hn, if they match, whether addition determines N and T during the initialization instruction has been decoded unit 12
Send to 2. Second embodiment (3) When the log generation unit 11 passes the added log itself to the log management unit 12 In the log addition processing described in the first embodiment, the control unit 16 sends the log management unit 12 to the log management unit 12. information log addition request includes is a digest value hn for additional portion of the log, it is possible to do this additional portion of the log Ln itself. In this case, there is an advantage that the control unit 16 does not need to have a function of calculating a digest value, and that the upper limit of the additional amount of the log can be determined as a constraint that can be handled by the addition availability determination unit 122. .
【0032】以下に、図1、図3、図4、図9をもと
に、ログの追加処理の流れについて第1の実施例との差
分を示す。 4.追加可否判断部122は、制御部121からの追加
要求を制御部122aで受け付け、追加可能回数カウン
タ122cおよび追加可能量カウンタ121eのいずれ
も0より大きく、追加期限メモリ122dが示す時刻
が、現在時刻取得器122bによって得られる現在時刻
に達していない場合に、制御部121に追加許可を返却
し、その他の場合は不許可を返却する。この時、追加許
可の場合は、追加可能回数カウンタを1減算し、追加可
能量カウンタを追加するログLnの量分減算する。The difference between the flow of the log adding process and the first embodiment will be described below with reference to FIGS. 1, 3, 4, and 9. 4. The addition possibility determination unit 122 receives the addition request from the control unit 121 by the control unit 122a, and both the addable number counter 122c and the addable amount counter 121e are larger than 0, and the time indicated by the addition time limit memory 122d is the current time. If the current time obtained by the acquisition unit 122b has not yet been reached, the control unit 121 returns an additional permission to the control unit 121, and otherwise returns a non-permission. At this time, in the case of adding authorization, the addable number counter subtracts 1 and the amount is subtracted log Ln to add additional possible amount counter.
【0033】5.制御部121は、追加可否判断部12
2からの返却結果が追加許可である場合、ログ状態更新
部123に、追加分のログLnを伝達する。一方、追加
可否判断部122からの返却結果が不許可である場合、
制御部16に対して追加要求の処理結果として不許可を
返却し、制御部16は、ログ蓄積部13にログを追加す
ることはせず、以後、ログの処理以外の通常の動作を行
わない。 6.ログ状態更新部123は、制御部121から受理し
た追加分のログLnとログ状態管理部124内の値(H
n-1)からダイジェスト値Hnを計算(Hn=f(H
n-1‖f(Ln)))し、Hnによってログ状態管理部
124の値を上書きする。ただし、ログ状態管理部12
4内の値が空である場合(初期状態)、すなわち、第1
回目のログの追加では、H1=f(h1)とする。5. The control unit 121 determines whether the addition is possible or not.
When return results from 2 is added permitted, the log state update unit 123 transmits the log Ln additional minute. On the other hand, if the return result from the addition possibility determination unit 122 is not permitted,
Non-permission is returned to the control unit 16 as a processing result of the addition request, and the control unit 16 does not add a log to the log accumulation unit 13 and does not perform a normal operation other than the log processing thereafter. . 6. Log state update unit 123, the value of the log Ln extra minutes of acceptance from the control unit 121 and the log status management section 124 (H
n-1) calculating a digest value Hn from (Hn = f (H
n− 1‖f (Ln ))), and overwrites the value of the log state management unit 124 with Hn . However, the log status management unit 12
4 is empty (initial state), ie, the first
In the first log addition, H1 = f (h1 ).
【0034】以下は、ログの回収処理の流れについて第
2の実施例との差分である。 4.初期化制御部221は、H′nと、ログ管理サーバ
2の管理者が別途定める追加回数上限値N、追加可能量
上限値M、追加期限Tとの組(H′n,N,M,T)
に、署名器223が生成するログ管理サーバ秘密鍵Sks
による署名を付与した、初期化命令((H′n,N,
M,T),SSks(H′n,N,M,T))を生成して、
機器側装置10の機器側初期化処理部125に送信す
る。The following is the difference between the flow of the log collection process and the second embodiment. 4. Initialization control unit 221, H'n and the log management server 2 additional count upper limit value N administrator specifies otherwise, can be added amount upper limit value M, the set of the additional deadline T (H'n, N, M, T)
The log management server private key Sks generated by the signer 223
An initialization instruction ((H ′n , N,
M, T), SSks (H ′n , N, M, T)),
The data is transmitted to the device-side initialization processing unit 125 of the device-side device 10.
【0035】5.機器側初期化処理部125は、署名検
証器125aがログ管理サーバ2から受信した初期化命
令の署名を、署名検証器125cによって検証する。な
お、署名検証器125cは、ログ管理サーバ公開鍵Pks
を用いて次の式によって署名を検証する。 VPks((H′n,N,M,T),SSks(H′n,N,
M,T)) 結果がtrueとなる場合は、正当なログ管理サーバ2
による初期化命令であると判断し認証は成功とみなし、
結果がfalseとなる場合は認証失敗とみなして処理
を中断し、ログ管理サーバ2にエラーを通知する。5. The device-side initialization processing unit 125 verifies the signature of the initialization command received by the signature verifier 125a from the log management server 2 with the signature verifier 125c. Note that the signature verifier 125c uses the log management server public key Pks
Is used to verify the signature by the following equation: VPks ((H ′n , N, M, T), SSks (H ′n , N,
M, T)) If the result is true, the valid log management server 2
Authentication is determined to be successful, and authentication is considered successful.
If the result is false, authentication is considered to have failed, the processing is interrupted, and an error is notified to the log management server 2.
【0036】6.初期化命令の認証に成功した場合、初
期化制御部125aは、初期化命令に含まれるH′
nと、ログ状態管理部124内の値Hnを比較器125
bによって比較し、両者が一致する場合は追加可否判断
部122に初期化命令を転送する。H′nとHnが一致
しない場合は処理を中断し、ログ管理サーバ2にエラー
を通知する。 7.追加可否判断部122の制御部122aは、初期化
命令を受け付けると、追加可能回数カウンタ122cの
値をN、追加期限メモリ122dの値をT、追加可能量
カウンタ122eの値をM、ログ状態管理部124の内
容を空に設定し、ログ管理サーバ2と制御部16に初期
化完了を通知する。 第3の実施例 (4)ログの回収(ログ管理サーバ2側でダイジェスト
値を比較する場合1)第1の実施例で示したログの回収
処理において、機器側装置10側で行っているH′nと
Hnの比較処理を、ログ管理サーバ2側で行うこともで
きる。この方法では、通信の起点が管理対象機器に統一
されるため、管理対象機器がファイアウォール内に存在
し、ファイアウォールの内部を起点とする通信のみが許
される場合などに向いている。6. When the authentication of the initialization command is successful, the initialization control unit 125a sets H ′ included in the initialization command.
n and the value Hn in the log state management unit 124
b. If both match, an initialization instruction is transferred to the addition possibility determination unit 122. If H ′n and Hn do not match, the process is interrupted and an error is notified to the log management server 2. 7. Upon receiving the initialization instruction, the control unit 122a of the addition possibility determination unit 122 sets the value of the addition possible number counter 122c to N, the value of the addition time limit memory 122d to T, the value of the addition possible amount counter 122e to M, and the log state management. The contents of the section 124 are set to be empty, and the log management server 2 and the control section 16 are notified of the completion of the initialization. Third embodiment (4) Log collection (when the digest value is compared on the log management server 2 side 1) In the log collection processing shown in the first embodiment, H performed on the device-side device 10 side 'the process of comparisonn and Hn, can also be performed in the log management server 2 side. In this method, since the starting point of the communication is unified with the managed device, it is suitable for a case where the managed device exists in the firewall and only communication starting from the inside of the firewall is permitted.
【0037】第2の実施例とは異なり、機器側初期化処
理部125のブロック図が図7、サーバ側初期化処理部
22のブロック図が図8となる。機器側装置10とログ
管理サーバ2とのデータの送受の様子を図17に示す。
以下に、図1、図2、図7、図8、図17をもとに、ロ
グの回収処理の流れを以下に説明する。 1.機器側装置10の制御部16はログ管理部12から
追加不許可の通知を受けると、ログ送信部14を通じ
て、ログ蓄積部13内のすべてのログL1,L2,…,
Lnをログ管理サーバ2に送信し、またログ管理部12
の機器側初期化処理部125に対してログ管理部初期化
依頼を通知する。ただし、送信中のログに対する第三者
による盗聴、盗難については、第1の実施例で示した方
法によって防止する。Unlike the second embodiment, FIG. 7 is a block diagram of the device-side initialization processing unit 125, and FIG. 8 is a block diagram of the server-side initialization processing unit 22. FIG. 17 shows how data is transmitted and received between the device-side device 10 and the log management server 2.
The flow of the log collection process will be described below with reference to FIGS. 1, 2, 7, 8, and 17. 1. When the control unit 16 of the device-side apparatus 10 receives the notification of the non-addition from the log management unit 12, all the logs L1 , L2 ,.
Ln to the log management server 2 and the log management unit 12
A log management unit initialization request is notified to the device-side initialization processing unit 125. However, eavesdropping and theft by a third party on the log being transmitted is prevented by the method described in the first embodiment.
【0038】2.ログ管理サーバ2のログ受信部21
は、ログL1,L2,…,Lnを受信し、制御部24は
そのログL1,L2,…,Lnをログ蓄積部23に蓄積
すると共にサーバ側初期化処理部22の初期化制御部2
21に転送する。 3.初期化制御部221は、ダイジェスト値演算器22
2によって、ログL1,L2,…,LnからH′nを算
出する。なお、ダイジェスト値演算器222は以下の式
に従ってH′nを計算する。2. Log receiving unit 21 of log management server 2
The log L1, L2, ..., receives the Ln, the control unit 24 is the log L1, L2, ..., a server-side initialization unit 22 while accumulating Ln to the log storage unit 23 Initialization control unit 2
Transfer to 21. 3. The initialization control unit 221 includes the digest value calculator 22
2, H ′n is calculated from the logs L1 , L2 ,..., Ln . Note that the digest value calculator 222 calculates H ′n according to the following equation.
【0039】H′1=f(L1) H′i=f(H′i-1‖f(Li))(i>1) 4.初期化制御部221は、機器側装置10からの初期
化伺い通知の到着を待つ。 5.1.で、ログ管理部初期化依頼を受け付けた機器側
初期化処理部125は、ログ状態管理部124から、ダ
イジェスト値Hnを取得し、この値を含み、署名器12
5eによってメモリ125f内の管理対象機器秘密鍵S
kcによる署名が付与された初期化伺い通知(Hn,S
Skc(Hn))を生成してログ管理サーバ2に送信す
る。H ′1 = f (L1 ) H ′i = f (H ′i−1 ‖f (Li )) (i> 1) The initialization control unit 221 waits for an initialization inquiry notification from the device-side device 10 to arrive. 5.1. In the equipment-side initialization processing unit 125 accepts the log management unit initialization request, from the log state management unit 124 obtains the digest value Hn, wherein the value, the signature 12
5e, the device secret key S to be managed in the memory 125f.
Initialization inquiry notice (Hn , S
It generatesSkc (Hn)) is transmitted to the log management server 2.
【0040】6.初期化制御部221では、受信した初
期化伺い通知の署名を署名検証器225が、メモリ22
6内の管理対象機器公開鍵Pkcを用いて、次の式によっ
て検証する。 VPkc(Hn,SSkc(Hn)) 結果がtrueとなる場合は、正当な機器側装置10が
作成した初期化伺い通知であると判断し認証は成功とみ
なし、結果がfalseとなる場合は認証失敗とみなし
て処理を中断し、機器側装置10にエラーを通知する。6. In the initialization control unit 221, the signature verifier 225 stores the signature of the received initialization inquiry notification in the memory 22.
Using the managed device public key Pkc in 6, the verification is performed by the following equation. VPkc (Hn , SSkc (Hn )) If the result is true, it is determined that the notification is an initialization inquiry notification created by a valid device-side device 10, the authentication is regarded as successful, and the result is false. In this case, the authentication is considered to have failed, the processing is interrupted, and an error is notified to the device-side device 10.
【0041】7.初期化伺い通知の認証に成功した場
合、初期化制御部221は、比較器230によってHn
とH′nを比較して一致する場合、ログ管理サーバ2の
管理者が別途定める追加回数上限値N、追加期限Tの組
に、署名器223で、メモリ224内のログ管理サーバ
秘密鍵Sksによる署名を付与した初期化命令((N,
T),SSks(N,T))を生成し、機器側装置10の機
器側初期化処理部125に送信する。一方、HnとH′
nが一致しない場合は処理を中断する。なおファイアウ
ォールの内部を起点とする往復通信では、往路がファイ
アウォールを起点としていれば復路、つまりサーバ2か
ら機器側装置10への通信は可能である。7. When the initialization inquiry notification is successfully authenticated, the initialization control unit 221 causes the comparator 230 to output Hn
And H ′n are compared, and if they match, the signer 223 adds the log management server secret key Sks in the memory 224 to the set of the upper limit N of the number of additions and the additional period T separately determined by the administrator of the log management server 2. An initialization instruction ((N,
T), SSks (N, T)) are generated and transmitted to the device-side initialization processing unit 125 of the device-side device 10. On the other hand, Hn and H '
If n does not match, the processing is interrupted. In the round-trip communication starting from the inside of the firewall, the return path, that is, the communication from the server 2 to the device-side device 10 is possible if the outward path starts from the firewall.
【0042】8.機器側初期化処理部125では、初期
化処理部125aがログ管理サーバ2から受信した初期
化命令の署名を署名検証器125cが、メモリ125d
内のログ管理サーバ公開鍵Pksを用いて、次の式によっ
て検証する。VPks((N,T),SSks(N,T))結果
がtrueとなる場合は、正当なログ管理サーバによる
初期化命令であると判断し認証は成功とみなして、追加
可否判断部122に初期化命令を転送する。一方、認証
結果がfalseとなる場合は処理を中断し、ログ管理
サーバ2にエラーを通知する。8. In the device-side initialization processing unit 125, the signature verification unit 125c checks the signature of the initialization instruction received by the initialization processing unit 125a from the log management server 2 by the memory 125d.
Using the log management server public key Pks in the above, verification is performed by the following equation. If the result of VPks ((N, T), SSks (N, T)) is true, it is determined that the command is an initialization command by a valid log management server, the authentication is regarded as successful, and the addition possibility determination unit is determined. The initialization instruction is transferred to 122. On the other hand, if the authentication result is false, the process is interrupted and an error is notified to the log management server 2.
【0043】9.追加可否判断部122の制御部122
aは、初期化命令を受け付けると、追加可能回数カウン
タ122cの値をN、追加期限メモリ122dの値を
T、ログ状態管理部124の内容を空に設定し、ログ管
理サーバ2に初期化完了を通知すると共に制御部16に
も通知し、制御部16は機器動作停止・解除部15によ
り管理対象機器1の通常動作を再開させる。なお、ログ
の追加時にログ発生部11がログLn自体をログ管理部
12への追加要求に含める場合は、追加可否判断部12
2のブロック図が図9となり、追加可否判断部122で
の処理は第2の実施例と同様に変更するが、全体の処理
の流れはこの第3の実施例とほぼ同様にすればよい。 第4の実施例 (5)ログの回収(ログ管理サーバ2側でダイジェスト
値を比較する場合2) 第3の実施例で示したログの回収処理と同様に、H′n
とHnの比較処理をログ管理サーバ2側で行い、制御部
16はログ管理サーバ2に対してログの送信を行うのみ
で良い場合、つまりログ管理部12の処理は決ってお
り、管理者は制御部16についてのみの処理を考慮すれ
ばよい場合の処理の流れの他の例を、図1、図2、図
7、図8、図18をもとにして以下に示す。9. Control unit 122 of addition availability determination unit 122
When receiving the initialization command, a sets the value of the number-of-additional-times counter 122c to N, the value of the additional time limit memory 122d to T, the content of the log status management unit 124 to empty, and completes the initialization to the log management server 2. Is also notified to the control unit 16, and the control unit 16 causes the device operation stop / release unit 15 to restart the normal operation of the managed device 1. When the log generation unit 11 includes the log Ln itself in the addition request to the log management unit 12 at the time of adding a log, the log generation unit 11
FIG. 9 is a block diagram of the second embodiment, and the processing in the addition possibility determination section 122 is changed in the same manner as in the second embodiment, but the flow of the entire processing may be substantially the same as that in the third embodiment. 4. Fourth embodiment (5) Log collection (when the digest value is compared on the log management server 2 side) As in the log collection processing shown in the third embodiment, H ′n
In the casewhere the log management server 2 side performs the comparison processing of the log management server 2 and the control unit 16 only needs to transmit the log to the log management server 2, that is, the processing of the log management unit 12 is determined. The following shows another example of the processing flow in the case where only the processing of the control unit 16 needs to be considered based on FIGS. 1, 2, 7, 8, and 18.
【0044】1.機器側装置10の制御部16は、追加
不許可通知を受けると、ログ送信部14を通じて、ログ
蓄積部13内のすべてのログL1,L2,…,Lnをロ
グ管理サーバ2に送信する。ただし、送信中のログに対
する第三者による盗聴、盗難については、第1の実施例
で示した方法によって防止する。 2.ログ管理サーバ2の制御部24はログ受信部21
で、受信したログL1,L2,…,Lnを、ログ蓄積部
23に蓄積すると共にサーバ側初期化処理部22の初期
化制御部221に転送する。1. When the control unit 16 of the device-side device 10 receives the addition non-permission notification, the control unit 16 transmits all the logs L1 , L2 ,..., Ln in the log accumulation unit 13 to the log management server 2 via the log transmission unit 14. I do. However, eavesdropping and theft by a third party on the log being transmitted is prevented by the method described in the first embodiment. 2. The control unit 24 of the log management server 2 includes a log receiving unit 21
Then, the received logs L1 , L2 ,..., Ln are stored in the log storage unit 23 and transferred to the initialization control unit 221 of the server-side initialization processing unit 22.
【0045】3.初期化制御部221は、ダイジェスト
値演算器222によって、ログL1,L2,…,Lnか
らH′nを算出する。なお、ダイジェスト値演算器22
2は以下の式に従ってH′nを計算する。 H′1=f(L1) H′i=f(H′i-1‖f(Li))(i>1) 4.初期化制御部221は、署名器223を利用して、
メモリ224内のログ管理サーバ秘密鍵Sksによる署名
を付与したダイジェスト値取得要求(req,SSks(r
eq))を生成して、機器側初期化処理部125に対し
て送信する。ただし、reqは管理対象機器1とログ管
理サーバ2間で事前に定めたダイジェスト値取得要求を
表わす適切なメッセージとする。3. The initialization control unit 221 uses the digest value calculator 222 to calculate H ′n from the logs L1 , L2 ,..., Ln . Note that the digest value calculator 22
2 calculates H ′n according to the following equation. H ′1 = f (L1 ) H ′i = f (H ′i−1 ‖f (Li )) (i> 1) The initialization control unit 221 uses the signature unit 223 to
A digest value acquisition request (req, SSks (r
eq)) is generated and transmitted to the device-side initialization processing unit 125. Here, req is an appropriate message representing a digest value acquisition request determined in advance between the managed device 1 and the log management server 2.
【0046】5.機器側初期化処理部125は、ダイジ
ェスト値取得要求の署名を、署名検証器125cを利用
し、メモリ12d内のログ管理サーバ公開鍵Pksを用い
て、次の式によって検証する。 VPks(req,SSks(req)) 結果がtrueとなる場合は、正当なログ管理サーバ2
からのダイジェスト値取得要求であるとみなし、ログ状
態管理部124内のHnを含み、署名器125eによっ
て機器側装置10の秘密鍵Skcにる署名が付与されたダ
イジェスト値送信通知(Hn,SSkc(Hn))を生成し
てログ管理サーバ2に送信する。5. The device-side initialization processing unit 125 verifies the signature of the digest value acquisition request by using the signature verifier 125c and the log management server public key Pks in the memory 12d according to the following equation. VPks (req, SSks (req)) If the result is true, the valid log management server 2
, The digest value transmission request (Hn , Hn ) including the Hn in the log state management unit 124 and the signature given by the signature key 125 e with the secret key Skc of the device-side apparatus 10. SSkc (Hn )) is generated and transmitted to the log management server 2.
【0047】ダイジェスト値取得要求の署名の検証結果
がfalseとなる場合は認証失敗とみなして処理を中
断し、ログ管理サーバ2にエラーを通知する。 6.初期化制御部221は、機器側装置10から受信す
るダイジェスト値送信通知の署名を、署名検証器225
を利用し、機器側装置10の公開鍵Pkcを用いて、次の
式によって検証する。 VPkc(Hn,SSkc(Hn)) 結果がtrueとなる場合は認証は成功とみなし、結果
がfalseとなる場合は認証失敗とみなして処理を中
断する。When the verification result of the signature of the digest value acquisition request is false, it is regarded as an authentication failure, the processing is interrupted, and an error is notified to the log management server 2. 6. The initialization control unit 221 converts the signature of the digest value transmission notification received from the device-side device 10 into a signature verifier 225
Is verified using the public key Pkc of the device-side device 10 according to the following equation. VPkc (Hn , SSkc (Hn )) If the result is true, the authentication is regarded as successful, and if the result is false, the authentication is regarded as failure and the processing is interrupted.
【0048】7.ダイジェスト値送信通知の署名の検証
に成功した場合、初期化制御部221は、HnとH′n
を比較し、一致する場合、ログ管理サーバ2の管理者が
別途定める追加回数上限値N、追加期限Tの組に、署名
器223によってログ管理サーバ秘密鍵224(Sks)
による署名を付与した初期化命令((N,T),S
Sks(N,T))を生成し、機器側装置10の機器側初期
化処理部125に送信する。一方、HnとH′nが一致
しない場合は処理を中断する。7. When the signature of the digest value transmission notification has been successfully verified, the initialization control unit 221 sets Hn and H ′n
Are compared, and if they match, the log management server private key 224 (Sks) is added by the signer 223 to the set of the maximum number of additions N and the additional time limit T separately determined by the administrator of the log management server 2.
(N, T), S
Sks (N, T)), and transmits to the device side initializing unit 125 of the apparatus-side device 10. On the other hand, when the Hn and H'n do not match the process is interrupted.
【0049】8.機器側初期化処理部125では、ログ
管理サーバ2から初期化処理部125aが受信した初期
化命令の署名を、署名検証器125cが、メモリ125
d内のログ管理サーバ公開鍵Pksを用いて、次の式によ
って検証する。 VPks((N,T),SSks(N,T)) 結果がtrueとなる場合は、正当なログ管理サーバに
よる初期化命令であると判断し認証は成功とみなして、
追加可否判断部122に初期化命令を転送する。一方、
認証結果がfalseとなる場合は処理を中断し、ログ
管理サーバ2にエラーを通知する。8. In the device-side initialization processing unit 125, the signature of the initialization command received by the initialization processing unit 125a from the log management server 2 is stored in the memory 125 by the signature verifier 125c.
The verification is performed by the following equation using the log management server public key Pks in d. VPks ((N, T), SSks (N, T)) If the result is true, it is determined that the command is an initialization command by a valid log management server, and authentication is regarded as successful.
The initialization instruction is transferred to the addition possibility determination unit 122. on the other hand,
If the authentication result is false, the process is interrupted and an error is notified to the log management server 2.
【0050】9.追加可否判断部122の制御部122
aは、初期化命令を受け付けると、追加可能回数カウン
タ122cの値をN、追加期限メモリ122dの値を
T、ログ状態管理部124の内容を空に設定し、制御部
16とログ管理サーバ2に初期化完了を通知する。制御
部16は初期化完了通知を受けて、機器動作停止・解除
部15により管理対象機器1の通常動作を再開させる。
なお、第2の実施例と同様、ログの追加時にログ発生部
11がログ自体をログ管理部12への追加要求に含める
場合は、追加可否判断部122のブロック図が図9とな
り、追加可否判断部122の処理を第2の実施例と同様
に行い、この他の処理はこの上記第4の実施例とほぼ同
様に行えばよい。 第5の実施例 (6)ログ管理部12がネットワーク上に存在する場合 ログ管理部12をネットワーク上の第三者機関が管理
し、汎用的なログの正当性保証サービスを提供すること
ができる。9. Control unit 122 of addition availability determination unit 122
a, upon receiving the initialization command, sets the value of the addable number counter 122c to N, the value of the additional time limit memory 122d to T, and the contents of the log status management unit 124 to be empty. To the initialization completion. Upon receiving the initialization completion notification, the control unit 16 causes the device operation stop / release unit 15 to resume normal operation of the managed device 1.
As in the second embodiment, when the log generation unit 11 includes the log itself in the addition request to the log management unit 12 at the time of adding a log, the block diagram of the addition availability determination unit 122 is shown in FIG. The processing of the determination unit 122 may be performed in the same manner as in the second embodiment, and the other processing may be performed in substantially the same manner as in the fourth embodiment. Fifth Embodiment (6) When the Log Management Unit 12 Exists on the Network The log management unit 12 can be managed by a third-party organization on the network, and a general log validity assurance service can be provided. .
【0051】まず、ログの追加処理については、前記
(1)および前記(3)で示した処理に対して、次のよ
うな変更が必要である。すなわち、インターネットなど
の信頼性の低いネットワークを利用する場合、制御部1
6とログ管理部12間は相互認証と通信内容の暗号化が
必要である。そのため、それぞれが公開鍵と秘密鍵の組
を作成し、公開鍵を事前に交換して配置、あるいは、共
通鍵を作成して双方に配置する必要がある。ただし、専
用ネットワークを利用する等のため、制御部16とログ
管理部12間の通信のセキュリティレベルが高い場合に
は、相互認証と通信の暗号化のいずれかを実現するだけ
でも良い。First, as for the log addition processing, the following changes are required from the processing shown in the above (1) and (3). That is, when using a low-reliability network such as the Internet, the control unit 1
6 and the log management unit 12 require mutual authentication and encryption of communication contents. Therefore, it is necessary to generate a pair of a public key and a secret key, and exchange and arrange the public keys in advance, or create a common key and arrange them on both sides. However, if the security level of the communication between the control unit 16 and the log management unit 12 is high because a dedicated network is used, it is only necessary to realize either the mutual authentication or the encryption of the communication.
【0052】また、ログの回収処理については、前記
(2)、前記(4)、前記(5)で示したいずれの処理
手順によっても実現可能である。 (7)その他 追加可否判断部122の実装パターンとして、追加回数
の制限、追加量の制限、追加期限のいずれか1つまたは
複数の制限の組み合わせとして7通りの構成が考えられ
る。図2、図9は、このうちの2つのパターンを示した
図であり、その他のパターンについては容易に構成でき
ることは明かであるので対応する図は省略する。The log collection processing can be realized by any of the processing procedures shown in the above (2), (4) and (5). (7) Others As the mounting pattern of the addition availability determination unit 122, seven configurations are conceivable as any one of the limitation on the number of additions, the limitation on the amount of addition, and the combination of a plurality of limitations. FIGS. 2 and 9 show two of these patterns, and it is clear that other patterns can be easily formed, so that the corresponding figures are omitted.
【0053】また、前記実施例では、ログ状態更新部1
23とログ状態管理部124の実現手段として、一方向
関数によるログのダイジェスト値を用いているが、前記
(3)に示したように、ログ管理部12が、ログ発生部
11から受け付ける追加要求がログ自体を含む場合は、
ログの状態管理の方法として、ログそのものをそのまま
蓄積する方法が考えられる。この場合、正常な場合はロ
グ状態管理部124に保持されているログとログ蓄積部
13に蓄積されているログとは同一となる。In the above embodiment, the log status updating unit 1
23 and a log digest value by a one-way function are used as a means for realizing the log state management unit 124. As shown in (3) above, the log management unit 12 accepts an additional request received from the log generation unit 11. Contains the log itself,
As a method of managing the log state, a method of storing the log itself as it is can be considered. In this case, if the log is normal, the log stored in the log status management unit 124 and the log stored in the log storage unit 13 are the same.
【0054】前述した機器側装置10はコンピュータを
主体として構成することができる。例えば図19に示す
ように、バス301にログ発生部11、ログ蓄積部1
3、ログ送信部14、機器動作停止・解除部15、例え
ばICカードのような耐タンパ性ログ管理部12、一方
向関数演算部302、プログラムメモリ303、CPU
304、動作用メモリ305が接続され、CPU304
はメモリ303内のコンピュータの基本動作プログラム
およびこのログ管理の機器側処理プログラムを実行して
ログ発生部11からのログ発生にもとづき、一方向関数
演算部302にログLnに対し、ダイジェスト値hnを
演算させ、hnをログ管理部12に入力させる。The device 10 described above can be constituted mainly by a computer. For example, as shown in FIG. 19, the log generation unit 11 and the log accumulation unit 1
3, a log transmission unit 14, a device operation stop / release unit 15, a tamper-resistant log management unit 12, such as an IC card, a one-way function calculation unit 302, a program memory 303, and a CPU.
304, an operation memory 305 is connected, and the CPU 304
Based on the log generation from the log generating unit 11 by executing the computer basic operation program and the device-side program of the log management of the memory 303, to the log Ln to the one-way function calculating unit 302, a digest value hn is calculated and hn is input to the log management unit 12.
【0055】ログ管理部12もそのCPU401がメモ
リ(通常ROM)402内のプログラムを実行して処理
を行うものであり、入出力インターフェース部403を
介してバス301と接続され、メモリ404内に追加可
能回数カウンタ122cを構成する領域404a、追加
期限が格納される領域404b、追加可能量カウンタ1
22eを構成する領域404c、更に現ログ状態Hn-1
が格納される領域404dなどが設けられ、メモリ(通
常ROM)405内の図12に示した処理を行う追加可
否判断プログラムをメモリ408の内容や時計406を
参照してCPU401が実行し、また一方向関数演算部
407にHn=f(Hn-1‖hn)の演算を行わせて、
メモリ404内のHn-1を更新させ、追加可否判断結果
をインタフェース403を介してCPU304へ通知す
る。The log management unit 12 is also one in which the CPU 401 executes processing by executing a program in a memory (normal ROM) 402. The log management unit 12 is connected to the bus 301 via the input / output interface unit 403 and added to the memory 404. An area 404a constituting the possible number counter 122c, an area 404b for storing an additional time limit, and an addable amount counter 1
22e, and the current log state Hn-1
Is provided, and the CPU 401 executes an addition possibility determination program for performing the processing shown in FIG. 12 in the memory (normal ROM) 405 with reference to the contents of the memory 408 and the clock 406. The direction function calculation unit 407 performs the calculation of Hn = f (Hn−1 ‖hn ),
Hn−1 in the memory 404 is updated, and the result of the addition determination is notified to the CPU 304 via the interface 403.
【0056】またCPU401はメモリ(ROM)40
8内の機器側初期化プログラムを実行し、送受信部40
9を介してログ管理サーバとデータを送受信し、メモリ
404内の各制御を初期化し、更にその際、署名検証処
理部125cにより署名検証を行わせたり、署名処理部
125eにより署名を生成させたりし、必要に応じて動
作用メモリ411を利用する。署名鍵、検証鍵はメモリ
412に格納されてある。一方向関数演算部302及び
407、署名検証処理部125c、署名処理部125e
はそれぞれモジュール化されたものが用いられる。The CPU 401 has a memory (ROM) 40
8 to execute the device-side initialization program.
9 for transmitting and receiving data to and from the log management server and initializing each control in the memory 404. At this time, the signature is verified by the signature verification processing unit 125c or generated by the signature processing unit 125e. Then, the operation memory 411 is used as needed. The signature key and the verification key are stored in the memory 412. One-way function calculation units 302 and 407, signature verification processing unit 125c, signature processing unit 125e
Are modularized.
【0057】CPU304はメモリ303内のプログラ
ムの実行により、ログ管理部12からの判断結果や、初
期化完了通知などを受信して、ログ蓄積部13に対する
ログの蓄積、機器動作停止・解除部15に指令を出し、
管理対象機器の動作の停止やその解除を行わせ、またロ
グ蓄積部13に蓄積されているログをログ送信部14に
よりログ管理サーバへ送信させたりする。ログのログ管
理サーバ2への送信時に安全性のために暗号化部306
によりログを暗号化して送信する。ログ管理サーバの正
当性の認証のための検証、機器側装置10の正当性を認
証させるための署名としては、先に述べたように共通鍵
方式によってもよい。The CPU 304 receives the judgment result from the log management unit 12 and the notification of the completion of the initialization by executing the program in the memory 303, accumulates the log in the log accumulation unit 13, and stops and releases the operation of the device 15. Issue a command to
The operation of the managed device is stopped or canceled, and the log stored in the log storage unit 13 is transmitted to the log management server by the log transmission unit 14. When transmitting the log to the log management server 2, the encryption unit 306 is used for security.
To encrypt and transmit the log. As a verification for authenticating the validity of the log management server and a signature for authenticating the validity of the device-side device 10, the common key method may be used as described above.
【0058】ログ管理サーバ2も同様にコンピュータに
より機能させることができる。例えば図20に示すよう
に、CPU501がメモリ502内のプログラムを実行
して機器側装置10から送信されたログが受信部21に
受信されると、その受信ログを復号化部503により復
号化してログ蓄積部23に格納し、また一方向関数演算
部504に演算させてダイジェスト値H′nを求め、入
力部505により入力され、メモリ506に保持されて
いる追加可能上限回数N、追加期限T、追加可能上限量
M、H′nにより初期化命令を作成し、署名処理部22
3により署名を生成して、送受信部507より機器側装
置10へ送信し、また機器側装置10から送受信部50
7に受信したデータを署名検証処理部225で検証して
処理する。署名鍵、検証鍵はメモリ508に格納されて
ある。署名処理部223、署名検証部225、復号化部
503、一方向関数演算部504はそれぞれモジュール
化されたものを用いてもよく、プログラムを実行させて
機能させてもよい。この場合の認証処理としては共通鍵
方式によってもよい。The log management server 2 can be similarly operated by a computer. For example, as shown in FIG. 20, when the CPU 501 executes a program in the memory 502 and the log transmitted from the device-side apparatus 10 is received by the receiving unit 21, the received log is decrypted by the decrypting unit 503. The digest value H ′n is stored in the log storage unit 23 and operated by the one-way function operation unit 504 to obtain the digest value H ′n, which is input by the input unit 505 and is stored in the memory 506. , addable limit amount M, the H'n create an initialization instruction, the signature processing unit 22
3, a signature is generated, transmitted from the transmission / reception unit 507 to the device-side device 10, and transmitted from the device-side device 10 to the transmission / reception unit 50.
7, the data received by the signature verification unit 225 is verified and processed. The signature key and the verification key are stored in the memory 508. Each of the signature processing unit 223, the signature verification unit 225, the decryption unit 503, and the one-way function operation unit 504 may use a module, or may execute a program to function. The authentication process in this case may be based on a common key method.
【0059】上述において、ログ蓄積部13には管理対
象機器1の使用開始からの全てのログを保存し、ログ状
態管理部124には追加機器判断部122を初期化して
からそれについて追加許可を返却できなくなるまでのロ
グ又はそのダイジェスト値を保存し、ログ管理サーバ2
へのログの送信は、そのログ状態管理部124内に保存
したログ状態情報と対応したログのみ、つまり追加した
ログのみを送信するようにしてもよい。In the above description, the log storage unit 13 stores all logs from the start of use of the management target device 1, and the log status management unit 124 initializes the additional device determination unit 122, and then permits addition of the additional device determination unit 122. Save the log until it cannot be returned or its digest value and save it in the log management server 2
May be transmitted only to the log corresponding to the log status information stored in the log status management unit 124, that is, only the added log.
【0060】上述では初期化の条件の1つとして、ログ
状態管理部124に保有しているログ状態情報と、ログ
管理サーバ2へ送信したログを表わすログ状態情報とが
一致することとしたが、この条件は必ずしも設けなくて
もよい。更にログ管理部12が不許可を返却した場合は
ログをログ管理サーバ2へ送り、追加可否判断部122
を初期化したが、最初に不許可が返却されたら、管理対
象機器1の動作を停止し、その後の動作を再開させなく
てもよい。この場合は例えば使い捨てカメラのようなも
のに適用できる。In the above description, one of the initialization conditions is that the log status information held in the log status management unit 124 matches the log status information indicating the log transmitted to the log management server 2. However, this condition need not always be provided. Further, when the log management unit 12 returns the non-permission, the log is sent to the log management server 2, and the addition possibility determination unit 122
Is initialized, but when the disapproval is returned first, the operation of the managed device 1 may be stopped and the subsequent operation may not be restarted. In this case, the present invention can be applied to, for example, a disposable camera.
【0061】上述において機器側初期化処理部125に
おけるログ管理サーバとの送受通信をログ送信部14を
用いて行ってもよい。同様にサーバ側初期化処理部22
の機器側装置10との送受信を、ログ受信部21で行っ
てもよい。In the above description, the transmission / reception communication with the log management server in the device-side initialization processing unit 125 may be performed using the log transmission unit 14. Similarly, the server-side initialization processing unit 22
The transmission / reception with the device-side device 10 may be performed by the log receiving unit 21.
【0062】[0062]
【発明の効果】以上述べたように、この発明によって、
管理対象機器が一定の制約を超えてログを蓄積する場合
にその機器の通常の動作を制限することによって、ログ
管理サーバへのログの送信を義務付けることができるた
め、ログの提出拒否の防止、すなわち確実なログの回収
が可能となる。しかも通信路を常時確立しておく必要が
ない。As described above, according to the present invention,
When the managed device accumulates logs exceeding a certain limit, by restricting the normal operation of the device, it is possible to obligate the transmission of logs to the log management server, thereby preventing the refusal of log submission, That is, it is possible to reliably collect logs. Moreover, there is no need to always establish a communication path.
【0063】また、この発明の実施例によって、ログ管
理サーバは、機器側装置からログを受信した際、ログの
内容を表わすダイジェスト値を比較する構成とする場合
は、機器側装置内および転送中のログの改竄を検出でき
るため、安全にログの蓄積および回収を行うことが可能
となる。さらに、管理対象機器の動作制限の解除および
ログの追加制約の再設定の処理では、ログの内容の改変
を検証するだけでなく、正当な機器側装置およびログ管
理サーバであることの認証を行なうため、安全に処理す
ることが可能である。また、ログの追加制約は、ログの
追加回数、ログの追加量、追加期限のいずれか1つまた
は複数の組み合わせによって、柔軟に設定することが可
能である。Further, according to the embodiment of the present invention, when the log management server is configured to compare a digest value representing the content of the log when receiving the log from the device side device, the log management server may be in the device side device and during the transfer. Since the alteration of the log can be detected, it is possible to safely accumulate and collect the log. Further, in the processing of releasing the operation restriction of the managed device and resetting the log addition restriction, not only the alteration of the log content is verified, but also the authentication of the device as a legitimate device and the log management server is performed. Therefore, it is possible to process safely. Further, the log addition constraint can be flexibly set by any one or a combination of the number of times of log addition, the amount of log addition, and the additional time limit.
【図1】この発明のシステムの機能構成例を示すブロッ
ク図。FIG. 1 is a block diagram showing a functional configuration example of a system according to the present invention.
【図2】図1中の追加可否判断部122(追加量の制限
なし)の機能構成例を示すブロック図。FIG. 2 is a block diagram showing an example of a functional configuration of an addition availability determination unit 122 (with no restriction on the amount of addition) in FIG. 1;
【図3】図1中の機器側初期化処理部125(比較器の
機器側設置)の機能構成例を示すブロック図。FIG. 3 is a block diagram showing a functional configuration example of a device-side initialization processing unit 125 (comparator-side installation of the comparator) in FIG. 1;
【図4】図1中のサーバ側初期化処理部22(比較器の
機器側設置)の機能構成例を示すブロック図。FIG. 4 is a block diagram showing a functional configuration example of a server-side initialization processing unit 22 (installation of a comparator on the device side) in FIG. 1;
【図5】図1中の機器側初期化処理部125(共通鍵利
用)の機能構成例を示すブロック図。FIG. 5 is a block diagram showing a functional configuration example of a device-side initialization processing unit 125 (using a common key) in FIG. 1;
【図6】図1中のサーバ側初期化処理部22(共通鍵利
用)の機能構成例を示すブロック図。FIG. 6 is a block diagram showing a functional configuration example of a server-side initialization processing unit 22 (using a common key) in FIG. 1;
【図7】図1中の機器側初期化処理部125(比較器の
サーバ側設置)の機能構成例を示すブロック図。7 is a block diagram showing an example of a functional configuration of a device-side initialization processing unit 125 (installation of a comparator on a server side) in FIG. 1;
【図8】図1中のサーバ側初期化処理部22(比較器の
サーバ側設置)の機能構成例を示すブロック図。FIG. 8 is a block diagram showing an example of a functional configuration of a server-side initialization processing unit 22 (comparator server-side installation) in FIG. 1;
【図9】図1中の追加可否判断部122(追加量の制限
あり)の機能構成例を示すブロック図。FIG. 9 is a block diagram showing an example of a functional configuration of an addition availability determination unit 122 (with an additional amount limited) in FIG. 1;
【図10】ログ追加における機器側装置の制御部16の
処理手順の例を示す流れ図。FIG. 10 is a flowchart illustrating an example of a processing procedure of the control unit 16 of the device-side device in log addition.
【図11】ログ追加におけるログ管理部12の処理手順
の例を示す流れ図。FIG. 11 is a flowchart showing an example of a processing procedure of a log management unit 12 in log addition.
【図12】ログ追加における追加可否判断部122の処
理手順の例を示す流れ図。FIG. 12 is a flowchart illustrating an example of a processing procedure of an addition availability determination unit 122 in log addition.
【図13】ログ回収における機器側装置の制御部16の
処理手順の例を示す流れ図。FIG. 13 is a flowchart showing an example of a processing procedure of the control unit 16 of the device-side device in log collection.
【図14】ログ回収におけるログ管理サーバ2の処理手
順の例を示す流れ図。FIG. 14 is a flowchart showing an example of a processing procedure of the log management server 2 in log collection.
【図15】ログ回収における機器側初期化処理部125
の処理手順の例を示す流れ図。FIG. 15 is a device-side initialization processing unit 125 in log collection.
4 is a flowchart showing an example of the processing procedure.
【図16】ログ回収(比較器機器側)における機器側装
置10とログ管理サーバ2間のデータの送、受信を示す
図。FIG. 16 is a diagram showing transmission and reception of data between the device-side device 10 and the log management server 2 during log collection (comparator device side).
【図17】ログ回収(比較器サーバ側)における機器側
装置10とログ管理サーバ2間のデータの送、受信を示
す図。FIG. 17 is a diagram showing transmission and reception of data between the device-side device 10 and the log management server 2 during log collection (comparator server side).
【図18】ログ回収(比較器サーバ側)における機器側
装置10とログ管理サーバ2間のデータの送、受信の他
の例を示す図。FIG. 18 is a diagram showing another example of data transmission and reception between the device-side device 10 and the log management server 2 in log collection (comparator server side).
【図19】機器側装置10をコンピュータにより構成し
た機能構成例を示すブロック図。FIG. 19 is a block diagram showing an example of a functional configuration in which the device-side device 10 is configured by a computer.
【図20】ログ管理サーバ2をコンピュータにより構成
した機能構成例を示すブロック図。FIG. 20 is a block diagram illustrating an example of a functional configuration in which the log management server 2 is configured by a computer.
フロントページの続き (72)発明者 寺田 雅之 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5B042 GA12 JJ03 MA08 MA09 MA20 5B089 GA12 GA21 GA25 GB02 JB16 KA12 KB04Continuation of the front page (72) Inventor Masayuki Terada 2-3-1 Otemachi, Chiyoda-ku, Tokyo F-term in Nippon Telegraph and Telephone Corporation (reference) 5B042 GA12 JJ03 MA08 MA09 MA20 5B089 GA12 GA21 GA25 GB02 JB16 KA12 KB04
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000173066AJP2001350652A (en) | 2000-06-09 | 2000-06-09 | Operation log storage device and operation log storage management method |
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000173066AJP2001350652A (en) | 2000-06-09 | 2000-06-09 | Operation log storage device and operation log storage management method |
| Publication Number | Publication Date |
|---|---|
| JP2001350652Atrue JP2001350652A (en) | 2001-12-21 |
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000173066APendingJP2001350652A (en) | 2000-06-09 | 2000-06-09 | Operation log storage device and operation log storage management method |
| Country | Link |
|---|---|
| JP (1) | JP2001350652A (en) |
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003058395A (en)* | 2001-06-04 | 2003-02-28 | Sony Computer Entertainment Inc | Log collecting/analyzing system, log collecting method, log collecting program for making computer perform, log analyzing method, log analyzing program for making computer perform, log collecting device, log analyzing device, log collecting terminal and log server |
| JP2008052390A (en)* | 2006-08-23 | 2008-03-06 | Hitachi Software Eng Co Ltd | Audit log recording control method and information leakage monitoring program |
| JP2009053740A (en)* | 2007-08-23 | 2009-03-12 | Internatl Business Mach Corp <Ibm> | System, method and computer program for recording operation log |
| US8271804B2 (en) | 2007-09-28 | 2012-09-18 | Brother Kogyo Kabushiki Kaisha | Information processing device, log management apparatus, and log management program product |
| JP2019029025A (en)* | 2012-04-05 | 2019-02-21 | アシュラント インコーポレイテッドAssurant,Inc. | System, method, apparatus, and non-transitory computer-readable storage medium for providing mobile device support services |
| US10873850B2 (en) | 2012-04-05 | 2020-12-22 | Assurant, Inc. | System, method, apparatus, and computer program product for providing mobile device support services |
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8090771B2 (en) | 2001-06-04 | 2012-01-03 | Sony Computer Entertainment Inc. | Log collecting/analyzing system with separated functions of collecting log information and analyzing the same |
| JP2003058395A (en)* | 2001-06-04 | 2003-02-28 | Sony Computer Entertainment Inc | Log collecting/analyzing system, log collecting method, log collecting program for making computer perform, log analyzing method, log analyzing program for making computer perform, log collecting device, log analyzing device, log collecting terminal and log server |
| US7558820B2 (en) | 2001-06-04 | 2009-07-07 | Sony Computer Entertainment Inc. | Log collecting/analyzing system with separated functions of collecting log information and analyzing the same |
| JP2008052390A (en)* | 2006-08-23 | 2008-03-06 | Hitachi Software Eng Co Ltd | Audit log recording control method and information leakage monitoring program |
| US8554740B2 (en) | 2007-08-23 | 2013-10-08 | International Business Machines Corporation | Recording a log of operations |
| JP2009053740A (en)* | 2007-08-23 | 2009-03-12 | Internatl Business Mach Corp <Ibm> | System, method and computer program for recording operation log |
| US8271804B2 (en) | 2007-09-28 | 2012-09-18 | Brother Kogyo Kabushiki Kaisha | Information processing device, log management apparatus, and log management program product |
| JP2019029025A (en)* | 2012-04-05 | 2019-02-21 | アシュラント インコーポレイテッドAssurant,Inc. | System, method, apparatus, and non-transitory computer-readable storage medium for providing mobile device support services |
| US10873850B2 (en) | 2012-04-05 | 2020-12-22 | Assurant, Inc. | System, method, apparatus, and computer program product for providing mobile device support services |
| US10939266B2 (en) | 2012-04-05 | 2021-03-02 | Assurant, Inc. | System, method, apparatus, and computer program product for providing mobile device support services |
| US11601801B2 (en) | 2012-04-05 | 2023-03-07 | Assurant, Inc. | System, method, apparatus, and computer program product for providing mobile device support services |
| US11683671B2 (en) | 2012-04-05 | 2023-06-20 | Assurant, Inc. | System, method, apparatus, and computer program product for providing mobile device support services |
| US12150025B2 (en) | 2012-04-05 | 2024-11-19 | Assurant, Inc. | System, method, apparatus, and computer program product for providing mobile device support services |
| Publication | Publication Date | Title |
|---|---|---|
| US11882442B2 (en) | Handset identifier verification | |
| US9071439B2 (en) | Method and apparatus for remote administration of cryptographic devices | |
| CN102413224B (en) | Methods, systems and equipment for binding and running security digital card | |
| CN101682628A (en) | Secure communications | |
| US20070209081A1 (en) | Methods, systems, and computer program products for providing a client device with temporary access to a service during authentication of the client device | |
| US20100255813A1 (en) | Security in a telecommunications network | |
| US8775812B2 (en) | Received message verification | |
| US7302252B2 (en) | Authentication systems, wireless communication terminals, and wireless base stations | |
| JPH10123950A (en) | Data verification method, verified data generation device, and data verification device | |
| US20100250949A1 (en) | Generation, requesting, and/or reception, at least in part, of token | |
| JP2003216237A (en) | Remote monitoring system | |
| JP2017011491A (en) | Authentication system | |
| CN117397202A (en) | Monitoring system for monitoring hash-based digital signatures | |
| JP2002529778A (en) | Incorporating shared randomness into distributed encryption | |
| CN112968779B (en) | A security authentication and authorization control method, control system, and program storage medium | |
| CN119168644A (en) | A blockchain transaction signature and verification method and device supporting quantum security | |
| JP2001350652A (en) | Operation log storage device and operation log storage management method | |
| KR20180052479A (en) | System for updating firm ware of wire and wireless access point using signature chain, wire and wireless access point and method thereof | |
| JP2008176741A (en) | Client terminal, service providing server, service providing system, control method, and service providing method | |
| CN114143777B (en) | Certificate key downloading method and system of internet of things terminal based on SIM card | |
| JP5768543B2 (en) | Electronic signature system, signature server, signer client, electronic signature method, and program | |
| JP5489913B2 (en) | Portable information device and encrypted communication program | |
| CN115859322A (en) | Hospital transaction data encryption management system | |
| CN119382888B (en) | User authentication method, intelligent service system, device, medium, and program | |
| JP4158758B2 (en) | Program ID communication processing control method, program ID communication range control method, and public key communication path providing method |