JP2015225370A - Authentication system, authentication method, and program - Google Patents
Authentication system, authentication method, and program Download PDFInfo
- Publication number
- JP2015225370A JP2015225370A JP2014108011A JP2014108011A JP2015225370A JP 2015225370 A JP2015225370 A JP 2015225370A JP 2014108011 A JP2014108011 A JP 2014108011A JP 2014108011 A JP2014108011 A JP 2014108011A JP 2015225370 A JP2015225370 A JP 2015225370A
- Authority
- JP
- Japan
- Prior art keywords
- data
- authentication
- communication device
- communication
- encrypted data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、認証システム、認証方法、プログラムに関する。 The present invention relates to an authentication system, an authentication method, and a program.
近年、ユーザを例えば実店舗等に誘引するために、ユーザが所持している通信端末の位置を利用したサービスが提案されている。 In recent years, in order to attract a user to, for example, a real store, a service using the position of a communication terminal possessed by the user has been proposed.
例えば、特許文献1には、ユーザの端末装置が無線通信装置の通信エリア内に存在する場合に、ポイント、クーポン又はチケット等の特典に関する情報を、近距離無線通信を介して無線通信装置から端末装置に送信する技術が開示されている。
For example, in
しかしながら、特許文献1に記載された技術では、平文データを用いた近距離無線通信を行っているので、例えば、無線通信装置から送信された平文データを通信エリア内で収集した後に、通信エリア外において当該無線通信装置以外の装置を用いて当該平文データを端末装置に送信することによって、特典に関する情報を端末装置に送信することが可能になる。つまり、ユーザが一度通信エリア内に移動した後には、当該ユーザは、再度通信エリア内に移動しなくても特典に関する情報を取得することができるので、無線通信された平文データを用いるサービスを適切に提供することが困難になる虞があった。
However, since the technique described in
本発明は上記課題に鑑みてなされたものであり、無線通信された平文データを用いるサービスを適切に提供することの可能な認証システム、認証方法、プログラムを提供することを目的とする。 The present invention has been made in view of the above problems, and an object of the present invention is to provide an authentication system, an authentication method, and a program capable of appropriately providing a service using plaintext data wirelessly communicated.
上記課題を解決するために、第一に本発明は、所定の空間内で平文データを無線送信する第1通信装置との無線通信を介して、前記平文データを取得する第1取得手段と、前記所定の空間内で暗号化データを無線送信する第2通信装置との無線通信を介して、前記暗号化データを取得する第2取得手段と、前記暗号化データを取得したときに、前記第2通信装置に対応する認証用データを取得する第3取得手段と、前記暗号化データ及び前記認証用データを取得したときに、前記暗号化データと前記認証用データとを用いて認証を行う認証手段と、前記認証が成功した場合に、取得した前記平文データの使用を許可する許可手段と、を備える、認証システムを提供する(発明1)。 In order to solve the above problems, first, the present invention includes a first acquisition unit that acquires the plaintext data via wireless communication with a first communication device that wirelessly transmits the plaintext data within a predetermined space; Second acquisition means for acquiring the encrypted data via wireless communication with a second communication device that wirelessly transmits the encrypted data in the predetermined space; and when the encrypted data is acquired, Authentication means for performing authentication using the encrypted data and the authentication data when the encrypted data and the authentication data are acquired; and third acquisition means for acquiring authentication data corresponding to the two communication devices An authentication system is provided, comprising: means; and permission means for permitting use of the acquired plaintext data when the authentication is successful (invention 1).
ここで、認証用データとは、例えば、認証に用いる鍵データであってもよいし、暗号化されたデータであってもよいし、暗号化される前の平文データであってもよい。 Here, the authentication data may be, for example, key data used for authentication, encrypted data, or plain text data before encryption.
また、平文データの使用を許可するとは、例えば、所定のソフトウェアによる平文データへのアクセスを許可することをであってもよいし、当該ソフトウェアに対して平文データを送信することであってもよいし、当該ソフトウェアがアクセス可能な記憶装置に平文データを記憶することであってもよい。 Further, permitting use of plaintext data may be, for example, permitting access to plaintext data by predetermined software, or transmitting plaintext data to the software. The plain text data may be stored in a storage device accessible by the software.
かかる発明(発明1)によれば、平文データが使用されるためには、暗号化データと認証用データとを用いた認証を成功させる必要があり、さらに、認証が行われるためには、平文データ、暗号化データ及び認証用データを取得する必要がある。このため、ユーザにとっては、平文データを収集しただけでは当該平文データを使用することができないので、例えば、一度通信エリア内に移動した後に再度通信エリア内に移動しなくても特典に関する情報を取得するという行為を抑制することができる。これにより、無線通信された平文データを用いるサービスを適切に提供することができる。 According to this invention (Invention 1), in order to use plaintext data, it is necessary to succeed in authentication using encrypted data and authentication data. Data, encrypted data, and authentication data need to be acquired. For this reason, since the plaintext data cannot be used for the user simply by collecting the plaintext data, for example, information on the privilege is acquired without moving to the communication area after moving to the communication area once. The act of doing can be suppressed. Accordingly, it is possible to appropriately provide a service using plaintext data wirelessly communicated.
上記発明(発明1)において、前記第1通信装置は前記所定の空間内に複数存在し、前記第1取得手段は、複数の前記第1通信装置のうち無線通信可能な前記第1通信装置を検出するごとに、検出された前記第1通信装置から前記平文データを取得し、前記許可手段は、前記認証が成功した場合に、所定期間内に取得した前記平文データの使用を許可するのが好ましい(発明2)。 In the above invention (Invention 1), there are a plurality of the first communication devices in the predetermined space, and the first acquisition means is the first communication device capable of wireless communication among the plurality of first communication devices. Each time it is detected, the plaintext data is acquired from the detected first communication device, and when the authentication is successful, the permission means permits the use of the plaintext data acquired within a predetermined period. Preferred (Invention 2).
ここで、所定期間とは、認証後の期間であってもよいし、認証前の期間であってもよいし、認証時の前後を含む期間であってもよい。 Here, the predetermined period may be a period after authentication, may be a period before authentication, or may be a period including before and after authentication.
かかる発明(発明2)によれば、認証が一度成功した場合には、所定期間内に取得した全ての平文データを使用することが可能になる。この場合、平文データの使用許可に関する認証を、所定期間内に取得した全ての平文データごとに行う場合と比べて、認証処理の実行回数を低減することができる。したがって、複数の平文データをより早く使用することが可能になる。 According to this invention (invention 2), once authentication is successful, it becomes possible to use all plaintext data acquired within a predetermined period. In this case, the number of times authentication processing is executed can be reduced as compared with the case where authentication relating to permission to use plaintext data is performed for every plaintext data acquired within a predetermined period. Therefore, a plurality of plaintext data can be used more quickly.
上記発明(発明1,2)において、前記第2通信装置は、前記暗号化データの元となる平文データである元データを受信すると、前記元データに基づいて前記暗号化データを生成するように構成されており、前記元データを前記第2通信装置に送信する送信手段をさらに備えることが好ましい(発明3)。
In the above inventions (
かかる発明(発明3)によれば、第2通信装置に元データを暗号化させることができるので、例えば、元データを所定のタイミングごとに変更することによって、暗号化データの内容を変更することができる。このため、例えば、一定の暗号化データを用いて認証を行う場合と比べて、認証のセキュリティを向上させることができる。 According to this invention (invention 3), since the original data can be encrypted by the second communication device, for example, the content of the encrypted data is changed by changing the original data at every predetermined timing. Can do. For this reason, for example, the security of authentication can be improved as compared with the case where authentication is performed using certain encrypted data.
上記発明(発明1〜3)において、前記第2通信装置は前記所定の空間内に複数存在し、前記第2取得手段は、複数の前記第2通信装置のうち無線通信可能な前記第2通信装置を検出するごとに、検出された前記第2通信装置から前記暗号化データを取得し、前記認証手段は、複数の前記第2通信装置の各々に対応する前記暗号化データ及び前記認証用データを取得したときに、前記認証を複数の前記第2通信装置ごとに行い、前記許可手段は、前記認証の結果が所定の条件を満たす場合に、前記平文データの使用を許可することが好ましい(発明4)。
In the above inventions (
ここで、所定の条件とは、例えば、複数の第2の通信装置の全ての認証結果が成功であることであってもよいし、複数の第2の通信装置のうち認証に成功した第2の通信装置の割合又は数が所定の閾値以上であることであってもよい。 Here, the predetermined condition may be, for example, that all the authentication results of the plurality of second communication devices are successful, or the second that has been successfully authenticated among the plurality of second communication devices. The ratio or the number of communication devices may be a predetermined threshold value or more.
かかる発明(発明4)によれば、平文データが使用されるためには、複数の第2の通信装置ごとの認証結果が所定の条件を満たす必要がある。これにより、平文データの使用に対するセキュリティをより向上させることができる。 According to this invention (invention 4), in order for plaintext data to be used, the authentication result for each of the plurality of second communication devices needs to satisfy a predetermined condition. Thereby, the security with respect to use of plaintext data can be improved more.
第二に本発明は、コンピュータが、平文データを所定の空間内で無線送信する第1通信装置との無線通信を介して、前記平文データを取得するステップと、暗号化データを生成し、且つ、前記暗号化データを前記所定の空間内で無線送信する第2通信装置との無線通信を介して、前記暗号化データを取得するステップと、前記暗号化データを取得したときに、前記第2通信装置に対応する認証用データを取得するステップと、前記暗号化データ及び前記認証用データを取得したときに、前記暗号化データと前記認証用データとを用いて認証を行うステップと、前記認証が成功した場合に、取得した前記平文データの使用を許可するステップと、の各ステップを実行する、認証方法を提供する(発明5)。 Secondly, the present invention provides a step in which a computer acquires the plaintext data via wireless communication with a first communication device that wirelessly transmits the plaintext data within a predetermined space, and generates encrypted data; and Obtaining the encrypted data via wireless communication with a second communication device that wirelessly transmits the encrypted data within the predetermined space; and when obtaining the encrypted data, the second Obtaining authentication data corresponding to a communication device; performing authentication using the encrypted data and the authentication data when the encrypted data and the authentication data are obtained; and the authentication If the authentication is successful, an authentication method is provided that executes the steps of permitting use of the acquired plaintext data (Invention 5).
かかる発明(発明5)によれば、平文データが使用されるためには、暗号化データと認証用データとを用いた認証を成功させる必要があり、さらに、認証が行われるためには、平文データ、暗号化データ及び認証用データを取得する必要がある。このため、ユーザにとっては、平文データを収集しただけでは当該平文データを使用することができないので、例えば、一度通信エリア内に移動した後に再度通信エリア内に移動しなくても特典に関する情報を取得するという行為を抑制することができる。これにより、無線通信された平文データを用いるサービスを適切に提供することができる。 According to this invention (invention 5), in order to use plaintext data, it is necessary to succeed in authentication using encrypted data and authentication data, and in order to perform authentication, plaintext data is required. Data, encrypted data, and authentication data need to be acquired. For this reason, since the plaintext data cannot be used for the user simply by collecting the plaintext data, for example, information on the privilege is acquired without moving to the communication area after moving to the communication area once. The act of doing can be suppressed. Accordingly, it is possible to appropriately provide a service using plaintext data wirelessly communicated.
第三に本発明は、コンピュータに、平文データを所定の空間内で無線送信する第1通信装置との無線通信を介して、前記平文データを取得する機能、暗号化データを生成し、且つ、前記暗号化データを前記所定の空間内で無線送信する第2通信装置との無線通信を介して、前記暗号化データを取得する機能、前記暗号化データを取得したときに、前記第2通信装置に対応する認証用データを取得する機能、前記暗号化データ及び前記認証用データを取得したときに、前記暗号化データと前記認証用データとを用いて認証を行う機能、及び前記認証が成功した場合に、取得した前記平文データの使用を許可する機能、を実現させるためのプログラムを提供する(発明6)。 Third, the present invention generates, in a computer, a function for acquiring the plaintext data via wireless communication with a first communication device that wirelessly transmits the plaintext data within a predetermined space, and generates encrypted data; and A function of acquiring the encrypted data via wireless communication with a second communication device that wirelessly transmits the encrypted data within the predetermined space; and when the encrypted data is acquired, the second communication device. A function to acquire authentication data corresponding to the function, a function to perform authentication using the encrypted data and the authentication data when the encrypted data and the authentication data are acquired, and the authentication was successful In this case, a program for realizing the function of permitting use of the acquired plaintext data is provided (invention 6).
かかる発明(発明6)によれば、平文データが使用されるためには、暗号化データと認証用データとを用いた認証を成功させる必要があり、さらに、認証が行われるためには、平文データ、暗号化データ及び認証用データを取得する必要がある。このため、ユーザにとっては、平文データを収集しただけでは当該平文データを使用することができないので、例えば、一度通信エリア内に移動した後に再度通信エリア内に移動しなくても特典に関する情報を取得するという行為を抑制することができる。これにより、無線通信された平文データを用いるサービスを適切に提供することができる。 According to this invention (Invention 6), in order to use plaintext data, it is necessary to succeed in authentication using encrypted data and authentication data, and in order to perform authentication, plaintext data is required. Data, encrypted data, and authentication data need to be acquired. For this reason, since the plaintext data cannot be used for the user simply by collecting the plaintext data, for example, information on the privilege is acquired without moving to the communication area after moving to the communication area once. The act of doing can be suppressed. Accordingly, it is possible to appropriately provide a service using plaintext data wirelessly communicated.
本発明の認証システム、認証方法、プログラムによれば、無線通信された平文データを用いるサービスを適切に提供することができる。 According to the authentication system, authentication method, and program of the present invention, it is possible to appropriately provide a service that uses plaintext data that is wirelessly communicated.
(第1実施形態)
以下、本発明の第1実施形態について添付図面を参照して詳細に説明する。ただし、この実施形態は例示であり、本発明はこれに限定されるものではない。
(First embodiment)
Hereinafter, a first embodiment of the present invention will be described in detail with reference to the accompanying drawings. However, this embodiment is an exemplification, and the present invention is not limited to this.
(1)認証システムの基本構成
図1は、本発明の第1実施形態に係る認証システムの基本構成を概略的に示す図である。図1に示すように、例えば店舗内等の屋内の所定の空間Sには、平文データ(暗号化されていないデータ)を無線送信する第1通信装置10と、暗号化データを無線送信する第2通信装置20とが設けられている。この認証システムでは、ユーザの通信端末30が、空間S内で無線通信を介して平文データ及び暗号化データを受信(取得)し、認証サーバ40から認証用データを受信(取得)し、暗号化データと認証用データを用いて認証を行い、認証が成功した場合に平文データの使用を許可するようになっている。通信端末30と、認証サーバ40とは、例えばインターネットやLAN(Local Area Network)などの通信網NW(ネットワーク)に接続されている。なお、空間Sは、屋外の空間であってもよい。
(1) Basic Configuration of Authentication System FIG. 1 is a diagram schematically showing a basic configuration of an authentication system according to the first embodiment of the present invention. As shown in FIG. 1, for example, in a predetermined indoor space S such as in a store, a
なお、本実施形態では、実店舗に訪れたユーザに対して、ポイント、割引クーポン又はチケット等の特典に関する情報をユーザの通信端末30に送信するサービスを、無線通信された平文データを用いるサービスの一例として説明する。すなわち、本実施形態における平文データには、特典に関する情報が含まれている。 In the present embodiment, for a user who visits an actual store, a service that transmits information related to benefits such as points, discount coupons or tickets to the user's communication terminal 30 is a service that uses plaintext data wirelessly communicated. This will be described as an example. That is, the plaintext data in the present embodiment includes information related to benefits.
第1通信装置10は、例えばボタン型電池を内蔵したビーコン等であってよく、空間Sにおいて、Bluetooth(登録商標)を用いて通信端末30と近距離無線通信を行うことが可能な位置に設けられている。また、第1通信装置10は、平文データを、常時又は所定間隔ごと(例えば数十〜数百ミリ秒ごと)に送信するように構成されている。さらに、第1通信装置10は、固有の装置IDを平文データとともに無線送信してもよい。また、平文データは、テキストデータ、画像データ、音声データ又はこれらを組み合わせたデータで構成されてもよい。なお、ここでは、Bluetooth(登録商標)を用いて近距離無線通信を行う場合を一例として説明しているが、この場合に限られない。例えば、無線LAN(例えばWi−Fi(登録商標))、ZigBee(登録商標)、UWB、光無線通信(例えば赤外線)などの無線通信方式が用いられてもよい。さらに、第1通信装置10は、通信端末30から送信されたデータを、無線通信を介して受信するように構成されてもよい。
The
第2通信装置20は、第1通信装置20とほぼ同様の構成を有しており、空間Sにおいて、Bluetooth(登録商標)を用いて通信端末30と近距離無線通信を行うことが可能な位置に設けられている。また、第2通信装置20は、暗号化データを、常時又は所定間隔ごと(例えば数十〜数百ミリ秒ごと)に送信するように構成されている。さらに、第2通信装置20は、固有の装置IDを暗号化データとともに無線送信してもよい。ここで、第2通信装置20には、暗号鍵が記憶されていてもよく、暗号鍵を用いて暗号化データを生成してもよい。暗号方式は、周知のものを採用してもよく、例えばAES(Advanced Encryption Standard)、DES(Data Encryption Standard)若しくはTDES(Triple DES)等の共通鍵暗号方式であってもよいし、例えばRSA(R.Rivest, A.Shamir, L.Adelman)若しくは楕円曲線暗号等の公開鍵暗号方式であってもよい。なお、本実施形態では、暗号方式として共通鍵暗号方式(例えばAES)を用いた場合を一例として説明する。また、第2通信装置20は、暗号化データの元となる平文データである元データを、所定時間(例えば1時間)が経過するごとに、例えば所定の数学的アルゴリズム又は所定の規則等に基づいて変更してもよい。この場合、所定時間が経過するごとに、暗号化データを変更することが可能になる。さらに、第2通信装置10は、通信端末30から送信されたデータを、無線通信を介して受信するように構成されてもよい。
The second communication device 20 has substantially the same configuration as the first communication device 20 and is capable of performing short-range wireless communication with the communication terminal 30 using Bluetooth (registered trademark) in the space S. Is provided. The second communication device 20 is configured to transmit the encrypted data constantly or at predetermined intervals (for example, every several tens to several hundreds of milliseconds). Further, the second communication device 20 may wirelessly transmit a unique device ID together with the encrypted data. Here, the second communication device 20 may store an encryption key, and may generate encrypted data using the encryption key. As the encryption method, a well-known one may be adopted. For example, a common key encryption method such as AES (Advanced Encryption Standard), DES (Data Encryption Standard), or TDES (Triple DES) may be used. R. Rivest, A. Shamir, L. Adelman) or a public key cryptosystem such as elliptic curve cryptography. In the present embodiment, a case where a common key encryption method (for example, AES) is used as an encryption method will be described as an example. Further, the second communication device 20 converts the original data, which is plaintext data that is the source of the encrypted data, based on, for example, a predetermined mathematical algorithm or a predetermined rule every time a predetermined time (for example, 1 hour) elapses. May be changed. In this case, it is possible to change the encrypted data every time a predetermined time elapses. Further, the
通信端末30は、第1通信装置10の通信可能領域内に存在する場合に第1通信装置10との間で無線通信を行い、第2通信装置20の通信可能領域内に存在する場合に第2通信装置20との間で無線通信を行うように構成されている。通信端末30は、例えば、携帯端末、スマートフォン、PDA(Personal Digital Assistant)、パーソナルコンピュータ、双方向の通信機能を備えたテレビジョン受像機(いわゆる多機能型のスマートテレビも含む。)等のように、個々のユーザによって操作される通信端末であってよい。
The communication terminal 30 performs wireless communication with the
本実施形態では、認証サーバ40は、通信網NWを介して通信端末30と通信可能に構成されており、後述するように、通信端末30から受信した第2通信装置20の装置IDを用いて当該第2通信装置20の暗号鍵を抽出し、抽出した暗号鍵を用いて認証用データを生成する。そして、認証サーバ40は、生成した認証用データを通信端末30に送信する。 In the present embodiment, the authentication server 40 is configured to be able to communicate with the communication terminal 30 via the communication network NW, and uses the device ID of the second communication device 20 received from the communication terminal 30 as described later. The encryption key of the second communication device 20 is extracted, and authentication data is generated using the extracted encryption key. Then, the authentication server 40 transmits the generated authentication data to the communication terminal 30.
(2)通信端末の構成
図2を参照して通信端末30について説明する。図2は、通信端末30の内部構成を示すブロック図である。図2に示すように、通信端末30は、CPU(Central Processing Unit)31と、ROM(Read Only Memory)32と、RAM(Random Access Memory)33と、不揮発性メモリ34と、表示処理部35と、表示部36と、入力部37と、通信インタフェース部38とを備えており、各部間の制御信号又はデータ信号を伝送するためのバス39が設けられている。
(2) Configuration of Communication Terminal The communication terminal 30 will be described with reference to FIG. FIG. 2 is a block diagram showing an internal configuration of the communication terminal 30. As illustrated in FIG. 2, the communication terminal 30 includes a CPU (Central Processing Unit) 31, a ROM (Read Only Memory) 32, a RAM (Random Access Memory) 33, a
CPU31は、電源が通信端末30に投入されると、ROM32又は不揮発性メモリ34に記憶された各種のプログラムをRAM33にロードして実行する。CPU31は、各通信装置10,20から送信されたデータを、通信インタフェース部38を介して受信し、そのデータを解釈する。また、CPU31は、ROM32、RAM33又は不揮発性メモリ34に記憶されているデータを、通信インタフェース部38を介して認証サーバ40に送信する。なお、CPU31は、ROM32、RAM33又は不揮発性メモリ34に記憶されているデータを、通信インタフェース部38を介して各通信装置10,20に送信してもよい。
When the power is turned on to the communication terminal 30, the
本実施形態では、CPU31は、ROM32又は不揮発性メモリ34に記憶されたプログラムを読み出して実行することにより、後述する第1取得手段51、第2取得手段52、第3取得手段53、認証手段54及び許可手段55(図6に示す)の機能を実現する。
In the present embodiment, the
不揮発性メモリ34は、例えばフラッシュメモリなどであって、CPU31が実行するプログラムやCPU31が参照するデータを格納する。なお、不揮発性メモリ34には、第1通信装置10から送信された平文データを使用するアプリケーションソフトウェアが記憶されていてもよい。このアプリケーションソフトウェアは、例えば、平文データに含まれている特典に関する情報を表示部36に表示させるように動作することによって、平文データを使用するように構成されてもよい。また、このアプリケーションソフトウェアは、CPU31が第1通信装置10又は第2通信装置20からデータを受信したときに、自動的に起動するように構成されてもよい。
The
表示処理部35は、CPU31から与えられる表示用データを、表示部36に表示する。表示部36は、例えば、マトリクス状に画素単位で配置された薄膜トランジスタを含むLCD(Liquid Cristal Display)モニタであり、表示用データに基づいて薄膜トランジスタを駆動することで、表示されるデータを表示画面に表示する。
The
通信端末30が釦入力方式の通信端末である場合には、入力部37は、ユーザの操作入力を受け入れるための方向指示釦及び決定釦などの複数の指示入力釦を含む釦群と、テンキーなどの複数の指示入力釦を含む釦群とを備え、各釦の押下(操作)入力を認識してCPU31へ出力するためのインタフェース回路を含む。
When the communication terminal 30 is a button input type communication terminal, the
通信端末30がタッチパネル入力方式の通信端末である場合には、入力部37は、主として表示画面に指先又はペンで触れることによるタッチパネル方式の入力を受け付ける。タッチパネル入力方式は、静電容量方式などの公知の方式でよい。
When the communication terminal 30 is a touch panel input type communication terminal, the
通信インタフェース部38は、上述した無線通信方式を用いて通信を行うためのインタフェース回路と、通信網NWを介して通信を行うためのインタフェース回路とを含む。
The
(3)認証サーバの構成
図3を参照して認証サーバ40の構成について説明する。図3は、認証サーバ40の内部構成を示すブロック図である。図3に示すように、認証サーバ40は、CPU41と、ROM42と、RAM43と、HDD(Hard Disk Drive)44と、通信インタフェース部45とを備えており、各部間の制御信号又はデータ信号を伝送するためのバス46が設けられている。認証サーバ40は、例えば、汎用のパーソナルコンピュータであってもよい。
(3) Configuration of Authentication Server The configuration of the authentication server 40 will be described with reference to FIG. FIG. 3 is a block diagram showing the internal configuration of the authentication server 40. As shown in FIG. 3, the authentication server 40 includes a
CPU41は、電源が認証サーバ40に投入されると、ROM42又はHDD44に記憶された各種のプログラムをRAM43にロードして実行する。
When the power is turned on to the authentication server 40, the
HDD44は不揮発性記憶装置であり、オペレーティングシステム(OS)やOS上で実行されるプログラムを記憶する。また、HDD44には、同一の空間内に設けられた第1通信装置10及び第2通信装置20の対応関係を表すグループデータが記憶されていてもよい。グループデータのデータ構成例を図4に示す。図4に示すグループデータは、空間(空間ID)ごとに、当該空間に存在する第1通信装置10及び第2通信装置20の装置IDが含まれる。なお、図4に示すように、第1通信装置10及び第2通信装置20の各々は同一空間内に一つずつ設けられてもよいし(図の例では、空間IDが「S−01」の空間に対応している)、第1通信装置10及び第2通信装置20のうち何れか一方が同一空間内に複数設けられてもよい(図の例では、空間IDが「S−02」又は「S−03」の空間に対応している)。また、複数の第1通信装置10と、複数の第2通信装置20とが同一空間内に設けられてもよい(図の例では、空間IDが「S−04」の空間に対応している)。
The
さらに、HDD44には、第2通信装置20の暗号鍵に対応する鍵データが記憶されていてもよい。鍵データのデータ構成例を図5に示す。図5に示す鍵データは、複数の第2通信装置20(第2通信装置の装置ID)ごとに、当該第2通信装置20に対応する鍵データの内容が含まれる。なお、暗号方式として共通鍵暗号方式を採用した場合には、第2通信装置20に記憶されている暗号鍵の内容と、当該第2通信装置20に対応する鍵データの内容とは同一である。また、暗号方式として公開鍵暗号方式を採用した場合には、第2通信装置20及び鍵データの一方に公開鍵データが記憶され、他方に秘密鍵データが記憶されてもよい。
Further, the
また、CPU41は、複数の第2通信装置20ごとに、鍵データを用いて暗号化データを生成してもよい。ここで、認証サーバ40にて生成される暗号化データの元となる平文データ(以降、暗号化前データという)は、当該暗号化データを生成するための鍵データに対応する暗号鍵を有する第2通信装置20における元データと同一になるように構成されてもよい。すなわち、暗号方式として共通鍵暗号方式を採用する場合には、第2通信装置20において生成される暗号化データと、認証サーバ40にて生成される暗号化データとは、常に同一となる。
Further, the
通信インタフェース部45は、通信網NWを介して通信を行うためのインタフェース回路を含む。
The
(4)認証システムにおける各機能の概要
本実施形態の認証システムで実現される機能について、図6を参照して説明する。図6は、本実施形態の認証システムで主要な役割を果たす機能を説明するための機能ブロック図である。図6の機能ブロック図では、第1取得手段51、第2取得手段52、第3取得手段53、認証手段54及び許可手段55が本発明の主要な構成に対応している。
(4) Overview of Functions in Authentication System Functions realized by the authentication system of this embodiment will be described with reference to FIG. FIG. 6 is a functional block diagram for explaining functions that play a main role in the authentication system of the present embodiment. In the functional block diagram of FIG. 6, the
第1取得手段51は、所定の空間S内で平文データを無線送信する第1通信装置10との無線通信を介して、平文データを取得する機能を備える。第1取得手段51の機能は、例えば以下のように実現される。
The first acquisition means 51 has a function of acquiring plaintext data via wireless communication with the
通信端末30のCPU31は、例えば、通信端末30が第1通信装置10の通信可能領域内に存在する場合に、第1通信装置10から送信された第1通信装置10の装置ID及び平文データを、通信インタフェース部38を介して受信(取得)する。また、CPU31は、受信した第1通信装置10の装置ID及び平文データを、例えばRAM33に記憶する。
For example, when the communication terminal 30 exists in the communicable area of the
なお、CPU31は、第1通信装置10の装置ID及び平文データをRAM33に記憶したときに、第1通信装置10の平文データを使用するアプリケーションソフトウェアを、不揮発性メモリ34から読み出してRAM33にロードした後に、当該アプリケーションソフトウェアを起動してもよい。
When the
また、通信端末30のCPU31は、第1通信装置10の装置ID及び平文データを受信すると、同一空間(空間S)内に存在する第2通信装置10を検索するために、第1通信装置10の装置IDを、通信インタフェース部38及び通信網NWを介して認証サーバ40に送信してもよい。
Further, when the
この場合、認証サーバ40のCPU41は、第1通信装置10の装置IDを、通信インタフェース部45を介して受信すると、HDD44内のグループデータにアクセスして、受信した第1通信装置10の装置ID(例えば「10−001」)と同じ空間ID(例えば「S−01」)に対応付けられている第2通信装置20の装置ID(例えば「20−001」)を抽出してもよい。そして、認証サーバ40のCPU41は、抽出した第2通信装置20の装置IDを、通信インタフェース部45及び通信網NWを介して通信端末30に送信してもよい。
In this case, when the
そして、通信端末30のCPU31は、第2通信装置20の装置IDを認証サーバ40から受信すると、受信した第2通信装置20の装置IDを、RAM33に記憶してもよい。
Then, when the
第2取得手段52は、所定の空間S内で暗号化データを無線送信する第2通信装置20との無線通信を介して、暗号化データを取得する機能を備える。第2取得手段52の機能は、例えば以下のように実現される。
The
通信端末30のCPU31は、例えば、通信端末30が第2通信装置20の通信可能領域に存在する場合に、第2通信装置20から送信された第2通信装置20の装置ID及び暗号化データを、通信インタフェース部38を介して受信(取得)する。また、CPU31は、受信した第2通信装置20の装置ID及び暗号化データを、例えばRAM33に記憶する。
For example, when the communication terminal 30 exists in the communicable area of the second communication device 20, the
また、通信端末30のCPU31は、第1取得手段51の機能に基づいて、第2通信装置20の装置IDを認証サーバ40から受信した場合には、RAM33に記憶された装置IDを検索対象として、第2通信装置20の装置IDの検索を行ってもよい。ここで、第2通信装置20の装置IDが検索された場合には、通信端末30のCPU31は、後述する第3取得手段53の機能を実現するための処理を行ってもよい。一方、第2通信装置20の装置IDがRAM33に記憶されていない場合には、通信端末30のCPU31は、第2通信装置20から装置ID及び暗号化データを受信するまで他の処理(例えば、第1通信装置10が複数存在する場合には、第1取得手段51の機能に基づいて、他の第1通信装置10の装置ID及び平文データを取得する等)を行っていてもよい。
Further, when the
第3取得手段53は、暗号化データを取得したときに、第2通信装置20に対応する認証用データを取得する機能を備える。ここで、認証用データとは、例えば、認証に用いる鍵データであってもよいし、暗号化されたデータであってもよいし、暗号化される前の平文データであってもよい。
The
第3取得手段53の機能は、例えば以下のように実現される。なお、ここでは、認証用データが、暗号化されたデータである場合を一例として説明する。通信端末30のCPU31は、第2通信装置20から装置ID及び暗号化データを受信すると、第2通信装置20の装置IDを認証サーバ40に送信して、認証サーバ40に対して認証用データの送信を要求する。
The function of the 3rd acquisition means 53 is implement | achieved as follows, for example. Here, a case where the authentication data is encrypted data will be described as an example. When receiving the device ID and the encrypted data from the second communication device 20, the
一方、認証サーバ40のCPU41は、通信端末30からの要求を受信すると、HDD44内の鍵データにアクセスして、通信端末30から送信された第2通信装置20の装置IDに対応する鍵データを抽出する。そして、CPU41は、暗号化前データ(本実施形態では、暗号化前データの内容は、第2通信装置20における元データの内容と同一である)を、抽出した鍵データを用いて暗号化することによって、認証用データを生成する。次いで、CPU41は、生成した認証用データを、通信端末30に送信する。
On the other hand, when receiving the request from the communication terminal 30, the
通信端末30のCPU31は、認証サーバ40から認証用データを受信(取得)すると、認証用データを例えばRAM33に記憶する。
When the
認証手段54は、暗号化データ及び認証用データを取得したときに、暗号化データと認証用データとを用いて認証を行う機能を備える。
The
認証手段54の機能は、例えば以下のように実現される。通信端末30のCPU31は、暗号化データ及び認証用データを取得すると、暗号化データ及び認証用データを用いた認証を行う。ここで、本実施形態では、暗号化データと認証用データとが同一であるか否かを判別することによって認証を行っており、暗号化データと認証用データとが同一である場合には認証結果は成功となり、同一でない場合には認証結果は失敗となる。なお、認証方法はこの場合に限られず、周知の認証方法を適宜採用してもよい。
The function of the authentication means 54 is implement | achieved as follows, for example. When acquiring the encrypted data and the authentication data, the
許可手段55は、認証が成功した場合に、平文データの使用を許可する機能を備える。ここで、平文データの使用を許可するとは、例えば、所定のソフトウェアによる平文データへのアクセスを許可することであってもよいし、当該ソフトウェアに対して平文データを送信することをであってもよいし、当該ソフトウェアがアクセス可能な記憶装置に平文データを記憶することであってもよい。
The
許可手段55の機能は、例えば以下のように実現される。なお、ここでは、平文データの使用を許可することは、所定のアプリケーションソフトウェアがアクセス可能な記憶装置に平文データを記憶することである場合を一例として説明する。通信端末30のCPU31は、認証が成功した場合には、第1通信装置10から取得した平文データを、当該平文データを使用するアプリケーションソフトウェアがアクセス可能なRAM33内の領域に記憶する。その後、このアプリケーションソフトウェアは、第1通信装置10から取得した平文データを使用することが可能となる。
The function of the permission means 55 is implement | achieved as follows, for example. Here, a case will be described as an example where permission to use plaintext data is to store plaintext data in a storage device accessible by predetermined application software. When the authentication is successful, the
なお、CPU31は、平文データを使用するソフトウェアが他の装置(例えば、アプリケーションサーバ等)で実行される場合には、第1通信装置10から取得した平文データを、通信インタフェース部38及び通信網NWを介して、当該他の装置に送信してもよい。
When the software that uses the plaintext data is executed by another device (for example, an application server), the
(5)本実施形態の認証システムの主要な処理のシーケンス
次に、本実施形態の認証システムにより行われる主要な処理のシーケンスの一例について、図7のシーケンス図を参照して説明する。
(5) Sequence of Main Processes of Authentication System of Present Embodiment Next, an example of a sequence of main processes performed by the authentication system of the present embodiment will be described with reference to the sequence diagram of FIG.
まず、空間S内では、第1通信装置10が、装置ID及び平文データを無線送信しており(ステップS100)、第2通信装置20が、装置ID及び暗号化データを無線送信している(ステップS102)。通信端末30のCPU31は、空間S内において、通信端末30が第1通信装置10の通信可能領域に存在する場合に、第1通信装置10から送信された装置ID及び平文データを、通信インタフェース部38を介して受信(取得)する(ステップS104)。ここで、通信端末30のCPU31は、平文データを使用するアプリケーションソフトウェアを不揮発性メモリ34から読み出してRAM33にロードし、当該アプリケーションソフトウェアを起動してもよい。
First, in the space S, the
次に、通信端末30のCPU31は、第1通信装置10の装置IDを、通信インタフェース部38及び通信網NWを介して認証サーバ40に送信する(ステップS106)。一方、認証サーバ40のCPU41は、第1通信装置10の装置IDを、通信インタフェース部45を介して受信すると、HDD44内のグループデータにアクセスして、受信した第1通信装置10の装置ID(例えば「10−001」)と同じ空間ID(例えば「S−01」)に対応付けられている第2通信装置20の装置ID(例えば「20−001」)を抽出する(ステップS108)。そして、認証サーバ40のCPU41は、抽出した第2通信装置20の装置IDを、通信インタフェース部45及び通信網NWを介して通信端末30に送信する(ステップS110)。
Next, the
次いで、通信端末30のCPU31は、RAM33に記憶された装置IDを検索対象として、第2通信装置20の装置IDの検索を行う(ステップS112)。ここで、第2通信装置20の装置IDが検索された場合には、通信端末30のCPU31は、後述するステップS116の処理を行う。一方、第2通信装置20の装置IDがRAM33に記憶されていない場合には、通信端末30のCPU31は、第2通信装置20から装置ID及び暗号化データを受信する(ステップS114)まで他の処理を行っていてもよい。
Next, the
次に、通信端末30のCPU31は、第2通信装置20から装置ID及び暗号化データを受信すると、第2通信装置20の装置IDを認証サーバ40に送信して、認証サーバ40に対して認証用データの送信を要求する(ステップS116)。一方、認証サーバ40のCPU41は、通信端末30からの要求を受信すると、HDD44内の鍵データにアクセスして、通信端末30から送信された第2通信装置20の装置IDに対応する鍵データを抽出する。そして、CPU41は、暗号化前データを、抽出した鍵データを用いて暗号化することによって、認証用データを生成する(ステップS118)。次いで、CPU41は、生成した認証用データを、通信端末30に送信する(ステップS120)。
Next, when receiving the device ID and the encrypted data from the second communication device 20, the
通信端末30のCPU31は、第1通信装置10の平文データと、第2通信装置20の暗号化データと、認証用データとを取得すると、暗号化データ及び認証用データを用いた認証を行う(ステップS122)。ここで、本実施形態では、暗号化データと認証用データとが同一であるか否かを判別することによって認証を行っており、暗号化データと認証用データとが同一である場合には認証結果は成功となり、同一でない場合には認証結果は失敗となる。
When the
そして、通信端末30のCPU31は、認証が成功した場合には、第1通信装置10から取得した平文データの使用を許可する(ステップS124)。例えば、通信端末30のCPU31は、平文データを、当該平文データを使用するアプリケーションソフトウェアがアクセス可能なRAM33内の領域に記憶してもよい。その後、このアプリケーションソフトウェアは、平文データを使用することが可能となる。
Then, when the authentication is successful, the
上述したように、本実施形態の認証システム、認証方法、プログラムによれば、平文データが使用されるためには、暗号化データと認証用データとを用いた認証を成功させる必要があり、さらに、認証が行われるためには、平文データ、暗号化データ及び認証用データを取得する必要がある。このため、ユーザにとっては、平文データを収集しただけでは当該平文データを使用することができないので、例えば、一度通信エリア内に移動した後に再度通信エリア内に移動しなくても特典に関する情報を取得するという行為を抑制することができる。これにより、無線通信された平文データを用いるサービスを適切に提供することができる。 As described above, according to the authentication system, authentication method, and program of the present embodiment, in order to use plaintext data, it is necessary to successfully perform authentication using encrypted data and authentication data. In order to perform authentication, it is necessary to acquire plaintext data, encrypted data, and authentication data. For this reason, since the plaintext data cannot be used for the user simply by collecting the plaintext data, for example, information on the privilege is acquired without moving to the communication area after moving to the communication area once. The act of doing can be suppressed. Accordingly, it is possible to appropriately provide a service using plaintext data wirelessly communicated.
(第2実施形態)
以下、本発明の第2実施形態について説明する。本実施形態の認証システムは、認証サーバ40が認証を行う点において、第1実施形態と異なっている。以下、第1実施形態と異なる構成について説明する。
(Second Embodiment)
Hereinafter, a second embodiment of the present invention will be described. The authentication system according to the present embodiment is different from the first embodiment in that the authentication server 40 performs authentication. Hereinafter, a configuration different from the first embodiment will be described.
本実施形態の認証システムの機能ブロック図を図8に示す。図8に示すように、この機能ブロック図は、図6に示したものとは、第3取得手段53及び認証手段54が認証サーバ40に設けられている点で異なる。
A functional block diagram of the authentication system of this embodiment is shown in FIG. As shown in FIG. 8, this functional block diagram is different from that shown in FIG. 6 in that the
本実施形態における第3取得手段53の機能は、例えば以下のように実現される。なお、ここでは、認証用データが、認証に用いる鍵データである場合を一例として説明する。先ず、通信端末30のCPU31は、第2通信装置20から装置ID及び暗号化データを受信すると、第2通信装置20の装置ID及び暗号化データを認証サーバ40に送信する。一方、認証サーバ40のCPU41は、第2通信装置20の装置ID及び暗号化データを通信端末30から受信すると、HDD44内の鍵データにアクセスして、通信端末30から送信された第2通信装置20の装置IDに対応する鍵データ(認証用データ)を抽出(取得)する。
The function of the 3rd acquisition means 53 in this embodiment is implement | achieved as follows, for example. Here, a case where the authentication data is key data used for authentication will be described as an example. First, when receiving the device ID and encrypted data from the second communication device 20, the
また、本実施形態における認証手段54の機能は、例えば以下のように実現される。認証サーバ40のCPU41は、鍵データ(認証用データ)を取得すると、暗号化前データを、鍵データを用いて暗号化する。なお、ここでは、この暗号化されたデータを生成データと称することとする。次に、CPU41は、第2通信装置20の暗号化データと生成データとが同一であるか否かを判別することによって認証を行い、第2通信装置20の暗号化データと生成データとが同一である場合には認証が成功したと判別し、同一でない場合には認証が失敗したと判別する。
Moreover, the function of the authentication means 54 in this embodiment is implement | achieved as follows, for example. When acquiring the key data (authentication data), the
なお、CPU41は、第2通信装置20の暗号化データを、当該第2通信装置20に対応する鍵データを用いて復号化し、復号されたデータと、暗号化前データとが同一であるか否かを判別することによって、認証を行ってもよい。この場合、復号されたデータと暗号化前データとが同一である場合には認証が成功したと判別され、同一でない場合には認証が失敗したと判別されてもよい。そして、認証サーバ40のCPU41は、認証結果を、通信端末30に送信する。
Note that the
本実施形態の認証システムにより行われる主要な処理のシーケンスの一例について、図9のシーケンス図を参照して説明する。なお、図9に示すステップS200〜S214の処理内容は、図7に示したステップS100〜S114の処理内容と同様であるため、説明を省略する。 An example of a sequence of main processes performed by the authentication system of this embodiment will be described with reference to the sequence diagram of FIG. The processing contents of steps S200 to S214 shown in FIG. 9 are the same as the processing contents of steps S100 to S114 shown in FIG.
先ず、通信端末30のCPU31は、第2通信装置20から装置ID及び暗号化データを受信すると、第2通信装置20の装置ID及び暗号化データを認証サーバ40に送信する(ステップS216)。一方、認証サーバ40のCPU41は、第2通信装置20の装置ID及び暗号化データを通信端末30から受信すると、HDD44内の鍵データにアクセスして、通信端末30から送信された第2通信装置20の装置IDに対応する鍵データ(認証用データ)を抽出(取得)する(ステップS218)。
First, when receiving the device ID and the encrypted data from the second communication device 20, the
次に、認証サーバ40のCPU41は、鍵データ(認証用データ)を取得すると、暗号化前データを、鍵データを用いて暗号化する。なお、ここでは、この暗号化されたデータを生成データと称することとする。CPU41は、第2通信装置20の暗号化データと生成データとが同一であるか否かを判別することによって認証を行い(ステップS220)、第2通信装置20の暗号化データと生成データとが同一である場合には認証が成功したと判別し、同一でない場合には認証が失敗したと判別する。そして、認証サーバ40のCPU41は、認証結果を、通信端末30に送信する(ステップS222)。
Next, when acquiring the key data (authentication data), the
通信端末30のCPU31は、認証結果が成功であった場合には、第1通信装置10から取得した平文データの使用を許可する(ステップS224)。例えば、通信端末30のCPU31は、平文データを、当該平文データを使用するアプリケーションソフトウェアがアクセス可能なRAM33内の領域に記憶してもよい。その後、このアプリケーションソフトウェアは、平文データを使用することが可能となる。
If the authentication result is successful, the
上述したように、本実施形態の認証システム、認証方法、プログラムによれば、第1実施形態と同様に、無線通信された平文データを用いるサービスを適切に提供することができる。 As described above, according to the authentication system, authentication method, and program of this embodiment, a service that uses plaintext data that is wirelessly communicated can be appropriately provided, as in the first embodiment.
以下、上述した各実施形態の変形例について説明する。 Hereinafter, modified examples of the above-described embodiments will be described.
(変形例1)
上述した各実施形態では、空間S内に一つの第1通信装置10が設けられている場合を一例として説明したが、この場合に限られない。例えば、複数の第1通信装置10が空間S内に設けられてもよい。この場合、第1取得手段51は、複数の第1通信装置10のうち無線通信可能な第1通信装置10を検出するごとに、検出された第1通信装置10から平文データを取得してもよい。また、許可手段55は、認証が成功した場合に、所定期間内に取得した平文データの使用を許可してもよい。ここで、所定期間とは、認証後の期間であってもよいし、認証前の期間であってもよいし、認証の前後を含む期間であってもよい。
(Modification 1)
In each embodiment mentioned above, although the case where one
本変形例における第1取得手段51の機能は、例えば以下のように実現される。通信端末30のCPU31は、空間S内において、通信端末30が複数の第1通信装置10の各々の通信可能領域内に存在するごとに、各第1通信装置10から送信された装置ID及び平文データを受信することによって、各第1通信装置10を検出し、且つ、各第1通信装置10の装置ID及び平文データを取得する。また、CPU31は、受信した第1通信装置10の装置ID及び平文データを、第1通信装置10の検出順に従って、例えばRAM33に記憶してもよい。
The function of the 1st acquisition means 51 in this modification is implement | achieved as follows, for example. The
本変形例における許可手段55の機能は、例えば以下のように実現される。通信端末30のCPU31は、認証が成功した場合には、例えばRAM33を参照して、RAM33に記憶された複数の第1通信装置10の装置IDのうち所定期間内に取得した装置IDに対応する平文データの使用を許可する。
The function of the permission means 55 in this modification is implement | achieved as follows, for example. When the authentication is successful, the
ここで、使用が許可される平文データの例について、図10を参照して説明する。図10は、第1通信装置及び第2通信装置の検出順と所定期間との関係の一例を示す図である。図10に示すように、例えばRAM33には、第1通信装置10の装置IDと第2通信装置20の装置IDとが、各通信装置の検出順に記憶されている。ここで、第2通信装置20の装置ID(図の例では「20−001」)が検出された時点で認証が行われる場合を想定する。この場合、CPU31は、所定期間が認証後の期間T1である場合には、図10において7番目〜11番目に検出された第1通信装置10の平文データの使用を許可してもよい。また、CPU31は、所定期間が認証前の期間T2である場合には、図10において1番目〜5番目に検出された第1通信装置10の平文データの使用を許可してもよい。さらに、CPU31は、所定期間が認証の前後を含む期間T3である場合には、図10において4番目〜9番目に検出された第1通信装置10の平文データの使用を許可してもよい。これにより、認証が一度成功した場合には、所定期間(期間T1、T2又はT3)内に取得した全ての平文データを使用することが可能になる。
Here, an example of plaintext data permitted to be used will be described with reference to FIG. FIG. 10 is a diagram illustrating an example of the relationship between the detection order of the first communication device and the second communication device and a predetermined period. As illustrated in FIG. 10, for example, the
本変形例の認証システム、認証方法、プログラムによれば、平文データの使用許可に関する認証を、所定期間内に取得した全ての平文データごとに行う場合と比べて、認証処理の実行回数を低減することができる。したがって、複数の平文データをより早く使用することが可能になる。 According to the authentication system, authentication method, and program of this modification, the number of times authentication processing is executed is reduced as compared with the case where authentication relating to the use of plaintext data is performed for every plaintext data acquired within a predetermined period. be able to. Therefore, a plurality of plaintext data can be used more quickly.
(変形例2)
上記各実施形態の認証システム、認証方法、プログラムの変形例2の機能ブロック図を図11に示す。図11に示すように、この機能ブロック図は、図6及び図11に示したものとは、送信手段56が追加されている点で異なる。
(Modification 2)
FIG. 11 shows a functional block diagram of
また、本変形例において、第2通信装置20は、暗号化データの元となる平文データである元データを受信すると、元データに基づいて暗号化データを生成するように構成されている。具体的に説明すると、第2通信装置20は、元データを受信すると、当該元データを、暗号鍵を用いて暗号化することによって、暗号化データを生成する。 In the present modification, the second communication device 20 is configured to generate encrypted data based on the original data when receiving the original data that is plaintext data that is the source of the encrypted data. More specifically, when receiving the original data, the second communication device 20 generates encrypted data by encrypting the original data using an encryption key.
本変形例において、送信手段56は、元データを第2通信装置20に送信する機能を備える。送信手段56の機能は、例えば以下のように実現される。通信端末30のCPU31は、例えば第1取得手段51の機能に基づいて第1通信装置10の装置ID及び平文データを受信すると、第1通信装置10の装置IDを認証サーバ40に送信する。
In the present modification, the
一方、認証サーバ40のCPU41は、第1通信装置10の装置IDを受信すると、HDD44内のグループデータにアクセスして、受信した第1通信装置10の装置ID(例えば「10−001」)と同じ空間ID(例えば「S−01」)に対応付けられている第2通信装置20の装置ID(例えば「20−001」)を抽出する。また、認証サーバ40のCPU41は、HDD44内の鍵データにアクセスして、抽出した第2通信装置20の装置IDに対応する鍵データを取得する。そして、CPU41は、元データ(暗号化前データ)を、取得した鍵データを用いて暗号化することによって、認証用データを生成する。次いで、CPU41は、第2通信装置20の装置ID、元データ及び認証用データを、通信端末30に送信する。なお、CPU41は、所定時間(例えば1時間)が経過するごとに、元データの内容を、例えば所定の数学的アルゴリズム又は所定の規則等に基づいて変更してもよい。
On the other hand, when receiving the device ID of the
通信端末30のCPU31は、第2通信装置20の装置ID、元データ及び認証用データを受信すると、元データを、通信インタフェース部38を介して第2通信装置20に送信する。このようにして、送信手段56の機能が実現される。
When the
また、第2通信装置20は、元データを受信すると、元データ及び暗号鍵を用いて暗号化データを生成し、当該暗号化データを無線送信する。 Further, when receiving the original data, the second communication device 20 generates encrypted data using the original data and the encryption key, and wirelessly transmits the encrypted data.
本変形例の認証システムにより行われる主要な処理のシーケンスの一例について、図12のシーケンス図を参照して説明する。なお、図12に示すステップS300〜S308の処理内容は、図7に示したステップS100〜S108の処理内容と同様であるため、説明を省略する。 An example of a sequence of main processes performed by the authentication system of this modification will be described with reference to the sequence diagram of FIG. The processing contents of steps S300 to S308 shown in FIG. 12 are the same as the processing contents of steps S100 to S108 shown in FIG.
認証サーバ40のCPU41は、ステップS308の処理において第2通信装置20の装置IDを抽出すると、HDD44内の鍵データにアクセスして、抽出した第2通信装置20の装置IDに対応する鍵データを取得する。そして、CPU41は、元データ(暗号化前データ)を、取得した鍵データを用いて暗号化することによって、認証用データを生成する(ステップS310)。次いで、CPU41は、第2通信装置20の装置ID、元データ及び認証用データを、通信端末30に送信する(ステップS312)。
When the
通信端末30のCPU31は、第2通信装置20の装置ID、元データ及び認証用データを受信すると、元データを、通信インタフェース部38を介して第2通信装置20に送信する(ステップS314)。一方、第2通信装置20は、元データを受信すると、元データ及び暗号鍵を用いて暗号化データを生成し(ステップS316)、当該暗号化データを無線送信する(ステップS318)。
When receiving the device ID, original data, and authentication data of the second communication device 20, the
通信端末30のCPU31は暗号化データを取得すると、暗号化データ及び認証用データを用いた認証を行い(ステップS320)、認証が成功した場合には、第1通信装置10から取得した平文データの使用を許可する(ステップS320)。
When acquiring the encrypted data, the
本変形例の認証システム、認証方法、プログラムによれば、第2通信装置20に元データを暗号化させることができるので、例えば、元データを所定のタイミングごとに変更することによって、暗号化データの内容を変更することができる。このため、例えば、一定の暗号化データを用いて認証を行う場合と比べて、認証のセキュリティを向上させることができる。 According to the authentication system, authentication method, and program of this modification, the second communication device 20 can encrypt the original data. For example, the encrypted data can be changed by changing the original data at predetermined timings. The contents of can be changed. For this reason, for example, the security of authentication can be improved as compared with the case where authentication is performed using certain encrypted data.
(変形例3)
上述した各実施形態では、空間S内に一つの第2通信装置20が設けられている場合を一例として説明したが、この場合に限られない。例えば、複数の第2通信装置10が空間S内に設けられてもよい。この場合、第2取得手段52は、複数の第2通信装置20のうち無線通信可能な第2通信装置20を検出するごとに、検出された第2通信装置10から暗号化データを取得してもよい。また、認証手段54は、複数の第2通信装置20の各々に対応する暗号化データ及び認証用データを取得したときに、認証を複数の第2通信装置20ごとに行ってもよい。さらに、許可手段55は、認証の結果が所定の条件を満たす場合に、平文データの使用を許可してもよい。ここで、所定の条件とは、例えば、複数の第2の通信装置の全ての認証結果が成功であることであってもよいし、複数の第2の通信装置のうち認証に成功した第2の通信装置の割合又は数が所定の閾値以上(例えば50%以上又は10個以上)であることであってもよい。
(Modification 3)
In each of the above-described embodiments, the case where one second communication device 20 is provided in the space S has been described as an example. However, the present invention is not limited to this case. For example, a plurality of
本変形例における第2取得手段52の機能は、例えば以下のように実現される。通信端末30のCPU31は、空間S内において、通信端末30が複数の第2通信装置20の各々の通信可能領域内に存在するごとに、各第2通信装置20から送信された装置ID及び暗号化データを受信することによって、各第2通信装置20を検出し、且つ、各第2通信装置20の装置ID及び暗号化データを取得する。また、CPU31は、受信した第2通信装置20の装置ID及び暗号化データを、例えばRAM33に記憶してもよい。
The function of the 2nd acquisition means 52 in this modification is implement | achieved as follows, for example. The
本変形例における認証手段54の機能は、例えば以下のように実現される。通信端末30のCPU31は、空間S内の複数の第2通信装置20の暗号化データと、第3取得手段53の機能に基づいて取得された各第2通信装置20の認証用データとを用いて、複数の第2通信装置20ごとに認証を行う。なお、CPU31は、空間S内の全ての第2通信装置20ごとに認証を行ってもよいし、空間S内の一部の第2通信装置20ごとに認証を行ってもよい。
The function of the authentication means 54 in this modification is implement | achieved as follows, for example. The
本変形例における許可手段55の機能は、例えば以下のように実現される。なお、ここでは、所定の条件が、複数の第2の通信装置の全ての認証結果が成功であることとする場合を一例として説明する。通信端末30のCPU31は、複数の第2の通信装置の全ての認証結果が成功である場合には、第1通信装置10から取得した平文データの使用を許可する。
The function of the permission means 55 in this modification is implement | achieved as follows, for example. Here, a case where the predetermined condition is that all the authentication results of the plurality of second communication devices are successful will be described as an example. The
本変形例の認証システム、認証方法、プログラムによれば、平文データが使用されるためには、複数の第2の通信装置20ごとの認証結果が所定の条件を満たす必要がある。これにより、平文データの使用に対するセキュリティをより向上させることができる。 According to the authentication system, authentication method, and program of this modification, in order for plaintext data to be used, the authentication result for each of the plurality of second communication devices 20 needs to satisfy a predetermined condition. Thereby, the security with respect to use of plaintext data can be improved more.
なお、本発明のプログラムは、コンピュータで読み取り可能な記憶媒体に記憶されていてもよい。このプログラムを記録した記憶媒体は、図2に示された通信端末30のROM32又は不揮発性メモリ34であってもよいし、図3に示された認証サーバ40のROM42又はHDD44であってもよい。また、例えばCD−ROMドライブ等のプログラム読取装置に挿入されることで読み取り可能なCD−ROM等であってもよい。さらに、記憶媒体は、磁気テープ、カセットテープ、フレキシブルディスク、MO/MD/DVD等であってもよいし、半導体メモリであってもよい。
The program of the present invention may be stored in a computer-readable storage medium. The storage medium storing this program may be the
以上説明した実施形態は、本発明の理解を容易にするために記載されたものであって、本発明を限定するために記載されたものではない。したがって、上記実施形態に開示された各要素は、本発明の技術的範囲に属する全ての設計変更や均等物をも含む趣旨である。 The embodiment described above is described for facilitating understanding of the present invention, and is not described for limiting the present invention. Therefore, each element disclosed in the above embodiment is intended to include all design changes and equivalents belonging to the technical scope of the present invention.
例えば、上述した各実施形態では、第1通信装置10から平文データを取得した後に、第2通信装置20から暗号化データを取得する場合を一例として説明したが、第2通信装置20から暗号化データを取得した後に、第1通信装置10から平文データを取得してもよい。この場合においても、平文データが使用されるためには、暗号化データと認証用データとを用いた認証を成功させる必要があり、さらに、認証が行われるためには、平文データ、暗号化データ及び認証用データを取得する必要があることから、無線通信された平文データを用いるサービスを適切に提供することができる。
For example, in each of the embodiments described above, the case where the encrypted data is acquired from the second communication device 20 after the plain text data is acquired from the
上述した第1実施形態では、通信端末30によって、第1取得手段51、第2取得手段52、第3取得手段53、認証手段54及び許可手段54の各機能を実現する構成としたが、この構成に限られない。例えば、第2実施形態のように、少なくとも一部の手段を認証サーバ40によって実現する構成としてもよい。
In the first embodiment described above, each function of the
上述したような本発明の認証システム、認証方法、プログラムは、無線通信された平文データを用いるサービスを適切に提供することができ、産業上の利用可能性は極めて大きい。 The authentication system, the authentication method, and the program of the present invention as described above can appropriately provide a service using plaintext data communicated wirelessly, and the industrial applicability is extremely large.
10…第1通信装置
20…第2通信装置
30…通信端末
40…認証サーバ
51…第1取得手段
52…第2取得手段
53…第3取得手段
54…認証手段
55…許可手段
56…送信手段
S…空間
DESCRIPTION OF
Claims (6)
前記所定の空間内で暗号化データを無線送信する第2通信装置との無線通信を介して、前記暗号化データを取得する第2取得手段と、
前記暗号化データを取得したときに、前記第2通信装置に対応する認証用データを取得する第3取得手段と、
前記暗号化データ及び前記認証用データを取得したときに、前記暗号化データと前記認証用データとを用いて認証を行う認証手段と、
前記認証が成功した場合に、取得した前記平文データの使用を許可する許可手段と、
を備える、認証システム。 First acquisition means for acquiring the plaintext data via wireless communication with a first communication device that wirelessly transmits the plaintext data within a predetermined space;
Second acquisition means for acquiring the encrypted data via wireless communication with a second communication device that wirelessly transmits the encrypted data in the predetermined space;
Third acquisition means for acquiring authentication data corresponding to the second communication device when the encrypted data is acquired;
Authentication means for performing authentication using the encrypted data and the authentication data when the encrypted data and the authentication data are acquired;
Permission means for permitting use of the acquired plaintext data when the authentication is successful;
An authentication system comprising:
前記第1取得手段は、複数の前記第1通信装置のうち無線通信可能な前記第1通信装置を検出するごとに、検出された前記第1通信装置から前記平文データを取得し、
前記許可手段は、前記認証が成功した場合に、所定期間内に取得した前記平文データの使用を許可する、請求項1に記載の認証システム。 A plurality of the first communication devices exist in the predetermined space,
The first acquisition means acquires the plaintext data from the detected first communication device each time the first communication device capable of wireless communication among the plurality of first communication devices is detected.
The authentication system according to claim 1, wherein when the authentication is successful, the permission unit permits use of the plaintext data acquired within a predetermined period.
前記元データを前記第2通信装置に送信する送信手段をさらに備える、請求項1又は2に記載の認証システム。 The second communication device is configured to generate the encrypted data based on the original data when receiving the original data that is plaintext data that is the source of the encrypted data;
The authentication system according to claim 1, further comprising transmission means for transmitting the original data to the second communication device.
前記第2取得手段は、複数の前記第2通信装置のうち無線通信可能な前記第2通信装置を検出するごとに、検出された前記第2通信装置から前記暗号化データを取得し、
前記認証手段は、複数の前記第2通信装置の各々に対応する前記暗号化データ及び前記認証用データを取得したときに、前記認証を複数の前記第2通信装置ごとに行い、
前記許可手段は、前記認証の結果が所定の条件を満たす場合に、前記平文データの使用を許可する、請求項1〜3の何れかに記載の認証システム。 A plurality of the second communication devices exist in the predetermined space,
The second acquisition means acquires the encrypted data from the detected second communication device each time the second communication device capable of wireless communication among the plurality of second communication devices is detected,
The authentication unit performs the authentication for each of the plurality of second communication devices when acquiring the encrypted data and the authentication data corresponding to each of the plurality of second communication devices,
The authentication system according to any one of claims 1 to 3, wherein the permission unit permits the use of the plaintext data when the result of the authentication satisfies a predetermined condition.
所定の空間内で平文データを無線送信する第1通信装置との無線通信を介して、前記平文データを取得するステップと、
前記所定の空間内で暗号化データを無線送信する第2通信装置との無線通信を介して、前記暗号化データを取得するステップと、
前記暗号化データを取得したときに、前記第2通信装置に対応する認証用データを取得するステップと、
前記暗号化データ及び前記認証用データを取得したときに、前記暗号化データと前記認証用データとを用いて認証を行うステップと、
前記認証が成功した場合に、取得した前記平文データの使用を許可するステップと、
の各ステップを実行する、認証方法。 Computer
Obtaining the plaintext data via wireless communication with a first communication device that wirelessly transmits plaintext data within a predetermined space;
Obtaining the encrypted data via wireless communication with a second communication device that wirelessly transmits the encrypted data in the predetermined space;
Obtaining authentication data corresponding to the second communication device when the encrypted data is obtained;
Performing authentication using the encrypted data and the authentication data when the encrypted data and the authentication data are acquired;
Permitting use of the acquired plaintext data if the authentication is successful;
An authentication method that executes each of the steps.
所定の空間内で平文データを無線送信する第1通信装置との無線通信を介して、前記平文データを取得する機能、
前記所定の空間内で暗号化データを無線送信する第2通信装置との無線通信を介して、前記暗号化データを取得する機能、
前記暗号化データを取得したときに、前記第2通信装置に対応する認証用データを取得する機能、
前記暗号化データ及び前記認証用データを取得したときに、前記暗号化データと前記認証用データとを用いて認証を行う機能、及び
前記認証が成功した場合に、取得した前記平文データの使用を許可する機能、
を実現させるためのプログラム。 On the computer,
A function of acquiring the plaintext data through wireless communication with a first communication device that wirelessly transmits the plaintext data within a predetermined space;
A function of acquiring the encrypted data via wireless communication with a second communication device that wirelessly transmits the encrypted data in the predetermined space;
A function of acquiring authentication data corresponding to the second communication device when the encrypted data is acquired;
A function of performing authentication using the encrypted data and the authentication data when the encrypted data and the authentication data are acquired, and use of the acquired plaintext data when the authentication is successful. Allowed functions,
A program to realize
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014108011A JP6309823B2 (en) | 2014-05-26 | 2014-05-26 | Authentication system, authentication method, program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014108011A JP6309823B2 (en) | 2014-05-26 | 2014-05-26 | Authentication system, authentication method, program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015225370A true JP2015225370A (en) | 2015-12-14 |
JP6309823B2 JP6309823B2 (en) | 2018-04-11 |
Family
ID=54842096
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014108011A Active JP6309823B2 (en) | 2014-05-26 | 2014-05-26 | Authentication system, authentication method, program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6309823B2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018212262A1 (en) * | 2017-05-17 | 2018-11-22 | 株式会社エヌティーアイ | Data structure, transmission device, receiving device, settlement device, method, and computer program |
JP2019032667A (en) * | 2017-08-07 | 2019-02-28 | 株式会社 エヌティーアイ | Virtual currency data issuing system, user terminal, management device, method, and computer program |
JP2019036139A (en) * | 2017-08-16 | 2019-03-07 | 株式会社 エヌティーアイ | Data structure, transmitter, receiver, settlement device, method, and computer program |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006180277A (en) * | 2004-12-22 | 2006-07-06 | Nec Corp | Information distribution system, information distribution method, and device to be used for these |
JP2012123552A (en) * | 2010-12-07 | 2012-06-28 | Picolab Co Ltd | Authentication method, management device, and authentication system |
JP2014006764A (en) * | 2012-06-26 | 2014-01-16 | Nomura Research Institute Ltd | Data management system |
-
2014
- 2014-05-26 JP JP2014108011A patent/JP6309823B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006180277A (en) * | 2004-12-22 | 2006-07-06 | Nec Corp | Information distribution system, information distribution method, and device to be used for these |
JP2012123552A (en) * | 2010-12-07 | 2012-06-28 | Picolab Co Ltd | Authentication method, management device, and authentication system |
JP2014006764A (en) * | 2012-06-26 | 2014-01-16 | Nomura Research Institute Ltd | Data management system |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018212262A1 (en) * | 2017-05-17 | 2018-11-22 | 株式会社エヌティーアイ | Data structure, transmission device, receiving device, settlement device, method, and computer program |
JP2018195059A (en) * | 2017-05-17 | 2018-12-06 | 株式会社 エヌティーアイ | Data structure, transmission device, reception device, settlement device, method, computer program |
JP7174977B2 (en) | 2017-05-17 | 2022-11-18 | 株式会社 エヌティーアイ | Payment device, method, computer program |
JP2019032667A (en) * | 2017-08-07 | 2019-02-28 | 株式会社 エヌティーアイ | Virtual currency data issuing system, user terminal, management device, method, and computer program |
WO2019031487A3 (en) * | 2017-08-07 | 2019-04-04 | 株式会社エヌティーアイ | Virtual currency data issuing system, user terminal, management device, method, and computer program |
JP7005000B2 (en) | 2017-08-07 | 2022-01-21 | 株式会社 エヌティーアイ | Virtual currency data issuing system, user terminal, management device, method, and computer program |
JP2019036139A (en) * | 2017-08-16 | 2019-03-07 | 株式会社 エヌティーアイ | Data structure, transmitter, receiver, settlement device, method, and computer program |
WO2019035470A3 (en) * | 2017-08-16 | 2019-04-11 | 株式会社エヌティーアイ | Data structure, transmission device, reception device, settlement device, method, and computer program |
JP7017224B2 (en) | 2017-08-16 | 2022-02-08 | 株式会社 エヌティーアイ | Payment device, payment method, computer program, virtual currency data generator, method |
Also Published As
Publication number | Publication date |
---|---|
JP6309823B2 (en) | 2018-04-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9419961B2 (en) | Apparatus and method for managing use of secure tokens | |
US8406735B2 (en) | Method for pairing electronic equipment in a wireless network system | |
US20150304851A1 (en) | Portable authorization device | |
KR102265658B1 (en) | Electronic device and method for discovering network in electronic device | |
JP6814147B2 (en) | Terminals, methods, non-volatile storage media | |
US11115393B2 (en) | Message server, method for operating message server and computer-readable recording medium | |
US10230697B2 (en) | User terminals, and methods and computer-readable recording mediums storing computer programs for transmitting and receiving messages | |
KR20180030642A (en) | METHOD, APPARATUS AND SYSTEM FOR PROCESSING ORDER INFORMATION | |
US10097666B2 (en) | Accessing a service using an encrypted token | |
JP5132807B1 (en) | Video receiving apparatus and video receiving method | |
US10579826B2 (en) | Method of transmitting anonymous message and message transmission system using the same | |
CN104335214A (en) | Secure user presence detection and authentication | |
JP2015194947A (en) | Information processing device and computer program | |
KR20140128665A (en) | Apparatus and Method for improving authentication service of a digital contents | |
JP6309823B2 (en) | Authentication system, authentication method, program | |
US20130251149A1 (en) | Method and system for wireless transmission of content | |
CN109246110A (en) | data sharing method and device | |
US9325670B2 (en) | Communication information transmitting process and system | |
JP2016019233A (en) | Communication system, communication device, key managing device and communication method | |
JP6192495B2 (en) | Semiconductor device, information terminal, semiconductor element control method, and information terminal control method | |
JP2007053612A (en) | Communication device and communication method | |
CN106385684B (en) | Method and device for sharing wireless network and method and device for accessing wireless network | |
JP2017147507A (en) | Identification information transfer system and identification information decryption method | |
US20150326394A1 (en) | Method for certifying a displayed picture | |
WO2017113791A1 (en) | Bluetooth automatic connection method, master device, slave device, and system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170303 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171221 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180109 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180207 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180306 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180315 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6309823 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |