以下、図面を参照して本発明の実施形態について詳細に説明する。以下に説明する実施形態は、制御対象に対する動作許否判定を実行するライセンス確認装置に対して本発明を適用した場合の実施の形態である。制御対象の例として、乗り物(車両、船舶、航空機、列車等や起重機等の駆動機構(例えば、エンジン)、扉の施開錠の駆動機構、警報出力回路等が挙げられる。
[1.ライセンス確認装置1の構成及び機能]
先ず、図1等を参照して、本実施形態に係るライセンス確認装置1の構成及び機能について説明する。ライセンス確認装置1は、本発明の認証処理装置の一例である。ライセンス確認装置1は、ユーザに所有されるICカードであってもよい。なお、ICカードは、免許証、社員カード、個人証明書等として使用される。図1は、本実施形態に係るライセンス確認装置1の機能ブロックの一例を示す図である。本実施形態に係るライセンス確認装置1は、図1に示すように、バイオメトリックセンサー11、アルコールセンサー12、及びセキュアエレメント13等を備え、制御対象3の動作を制御する制御部2(制御装置の一例)との間で有線または無線を介して通信可能になっている。例えば、ライセンス確認装置1が車両に搭載される場合、ライセンス確認装置1は、エンジンの動作を制御するエンジン制御部、ステアリングの動作を制御するステアリング制御部、及びシフトレバーの動作を制御するシフトレバー制御部と通信する。なお、エンジン制御部、ステアリング制御部、及びシフトレバー制御部は、ライセンス確認装置1との間のインターフェイスを担うゲートウェイ装置に接続されてもよい。
バイオメトリックセンサー11は、ライセンス確認装置1を使用するユーザの認証(以下、「ユーザ認証」という)に用いるための生体情報を取得する生体情報取得センサーの一例である。本実施形態では、ユーザの身体の一部として、ユーザの指の腹を例にとり、生体情報として、ユーザの指紋(指の腹における紋)を例にとる。バイオメトリックセンサー11は、例えば数万個の電極、及びユーザの指の腹が接触する接触面等を有する。この接触面にユーザの指の腹が接触することで、上記電極にはユーザの指の腹における凹凸(つまり、指紋を構成する凹凸)による当該接触面までの近さに応じた量の電荷がたまる。そして、バイオメトリックセンサー11は、それぞれの電極にたまった電荷の量を検出して数値(つまり、電荷の量に応じた数値)に変換することで指紋を示す生体情報(画像に対応する行列)を取得し、取得した生体情報を、図示しない配線を介してセキュアエレメント13へ送信する。
アルコールセンサー12は、上記ユーザの身体の状態を示す状態情報を取得する状態情報取得センサーの一例である。本実施形態では、状態情報として、アルコールの濃度を例にとる。アルコールセンサー12は、ユーザの指の腹が接触する接触面等を有する。この接触面にユーザの指の腹が接触することにより、アルコールセンサー12は、当該ユーザの汗に含まれるアルコール成分の濃度に応じた蛍光を検出して数値(蛍光の強度に応じた数値)に変換することで当該蛍光の強度を示す状態情報を取得し、取得した状態情報を、図示しない配線を介してセキュアエレメント13へ送信する。
図2(A)は、ライセンス確認装置1がICカードである場合の内部構造の一例を示す平面図であり、図2(B)は、図2(A)に示すICカードの内部構造の一例を示す断面図(X−X部の断面図)である。ICカードは、図2(B)に示すように、基材となる印刷シート2x(図2(B)の例では、下側(裏側)の印刷シート)上に絶縁シート1xが積層され、絶縁シート1x上に印刷シート3x(図1(B)の例では、上側(表側)の印刷シート)が積層されてなる。つまり、絶縁シート1xは、2つの印刷シート2x,3x間に挟持されている。このような積層構造は、例えばスピンコートや塗布などの方法により形成される。絶縁シート1xは、例えば、厚み50μm〜400μm程度のポリイミド等からなる。印刷シート2x,3xは、それぞれ、例えば、厚み100μm程度のポリエチレンテレフタレート(PET)やPET−G等からなる。なお、印刷シート2xには裏面印刷4xがなされ、印刷シート3xには表面印刷5xがなされる。
絶縁シート1xには、バイオメトリックセンサー11、アルコールセンサー12、セキュアエレメント13、及びアンテナ14が装着される。特に、バイオメトリックセンサー11とアルコールセンサー12とは印刷シート2xの厚み方向Yにおいて互いに重ならないように印刷シート2x上に並べて配置されている。このように、印刷シート2x上に、バイオメトリックセンサー11とアルコールセンサー12とを並べて配置することにより、ユーザが指を動かすことなく本人認証(ユーザ認証)とアルコール検知(アルコール成分の検出)を実施できるため、それぞれの処理を連続して実施すれば被験者たるユーザに与える煩わしさを軽減できる。なお、バイオメトリックセンサー11の接触面11X、及びアルコールセンサー12の接触面12Xには、それぞれ、ユーザの指の腹が、印刷シート3xに設けられた貫通孔101を通じて接触することができる。
図3(A),(B)は、バイオメトリックセンサー11の接触面11X、及びアルコールセンサー12の接触面12Xに、ユーザの指の腹が接触している状態を示す図である。バイオメトリックセンサー11、及びアルコールセンサー12は、図2(B)に示すように、ライセンス確認装置1としてのICカードとしての印刷シート2x(基材)上に並べて配置されている。このように、バイオメトリックセンサー11とアルコールセンサー12とを並べて配置することにより、ユーザが指を動かすことなく本人認証(ユーザ認証)とアルコール検知(アルコール成分の検出)を実施できるため、それぞれの処理を連続して実施すれば被験者たるユーザに与える煩わしさを軽減できる。
また、図2(B)の例では、バイオメトリックセンサー11、アルコールセンサー12、及びセキュアエレメント13を印刷シート2x上に固定的に配置するため、絶縁シート1xには、その表面から裏面にかけて貫通孔102が設けられている。この貫通孔102には、バイオメトリックセンサー11、アルコールセンサー12、及びセキュアエレメント13が組み込まれ(嵌め込まれ)、例えば接着される。バイオメトリックセンサー11、アルコールセンサー12、及びセキュアエレメント13は、それぞれ、絶縁シート1xの厚み以下の厚みを有する。なお、セキュアエレメント13の厚さは、通常50μmから200μm程度の範囲となっている。バイオメトリックセンサー11及びアルコールセンサー12は、例えば、絶縁シート1xに形成された配線パターンを介してセキュアエレメント13に電気的に接続される。
なお、バイオメトリックセンサー11、アルコールセンサー12、及びセキュアエレメント13の配置方法の別の例として、絶縁シート1xの面(上側の面、または下側の面)上にバイオメトリックセンサー11、アルコールセンサー12、及びセキュアエレメント13が配置(例えば接着により配置)されるように構成してもよい。この場合、バイオメトリックセンサー11、アルコールセンサー12、及びセキュアエレメント13が突出する側にはスペーサシート等が積層され(つまり、絶縁シート1xと、印刷シート2xまたは3xとの間にスペーサシート等が設けられ)、且つ、スペーサシート等において、バイオメトリックセンサー11、アルコールセンサー12、及びセキュアエレメント13が当接する部分には、これらの構成要素の高さを吸収できる貫通孔が設けられる。
アンテナ14は、例えば、絶縁シート1xにラミネートしたアルミ箔等にレジストを形成し、フォトエッチング技術でコイル形状のみを残したものである。アンテナ14は、絶縁シート1x面において数ターン程度の巻きとなるように形成される。また、アンテナ14を形成するコイルの両端は、例えば、絶縁シート1xに形成された配線パターンを介してセキュアエレメント13に電気的に接続される。ICカードCがリーダライタRWに翳されると、リーダライタRWからの電磁波によりアンテナ14のコイルで電力が発生し、当該電力がセキュアエレメント13へ供給される。さらに、セキュアエレメント13から配線パターンを介してアルコールセンサー12及びバイオメトリックセンサー11へ電力が供給される。なお、ICカードCは、バイオメトリックセンサー11、アルコールセンサー12、セキュアエレメント13、及びアンテナ14が装着された絶縁シート1xと、印刷シート2x,3xとが積層された状態で、例えばプレスラミネートされることで生成される。
次に、図4を参照して、アルコールセンサー12の構成及び機能の詳細について説明する。図4(A)は、アルコールセンサー12の内部構造の一例を示す平面図であり、図4(B),(C)は、アルコールセンサー12の内部構造の一例を示す断面図(X−X部の断面図)である。アルコールセンサー12は、図4(A),(B)に示すように、絶縁樹脂材121、光透過性樹脂材122、脱水素酵素膜材123、紫外線発光ダイオード124、及びフォトセンサー125等を備える。また、アルコールセンサー12は、絶縁樹脂材121上に光透過性樹脂材122及び脱水素酵素膜材123が積層されてなる。絶縁樹脂材121は、例えば、厚み40μm〜200μmのポリイミド等からなる。光透過性樹脂材122及び脱水素酵素膜材123は、それぞれ、厚み10μm〜200μm程度であり、光透過性樹脂材122及び脱水素酵素膜材123の上面は、ユーザの指の腹が上記貫通孔101を通じて接触される接触面に相当する。なお、光透過性樹脂材122は、紫外線発光ダイオード124からの紫外線を透過する材料からなるが、必ずしもアルコールセンサー12の構成要素として備えられなくてもよい。
絶縁樹脂材121には、紫外線発光ダイオード124、及びフォトセンサー125が装着される。図4(B)の例では、紫外線発光ダイオード124、及びフォトセンサー125は、印刷シート2x上に設けられた同一の絶縁樹脂材121に組み込まれており、当該印刷シート2xの厚み方向Yにおいて、紫外線発光ダイオード124上に光透過性樹脂材122が配置され、フォトセンサー125上に脱水素酵素膜材123が配置されている。ただし、図4(B)の例では、紫外線発光ダイオード124の発光面124X、及びフォトセンサー125の検出面125Xは絶縁樹脂材121により覆われておらず、発光面124Xは光透過性樹脂材122に接し、検出面125Xは脱水素酵素膜材123に接している。一方、図4(C)の例では、紫外線発光ダイオード124は、絶縁樹脂材121上に例えば接着により配置され、フォトセンサー125は、その検出面125Xが絶縁樹脂材121により覆われないように絶縁樹脂材121に組み込まれており、基材の厚み方向Yにおいて、フォトセンサー125上に脱水素酵素膜材123が配置されている。図4(B)と図4(C)の何れの場合も、紫外線発光ダイオード124とフォトセンサー125とは印刷シート2xの厚み方向において互いに重ならないように印刷シート2x上に並べて配置される。
紫外線発光ダイオード124は、セキュアエレメント13からの電力供給を受けて、340nm付近の波長(例えば300〜370nm)の波長の紫外線を発光面124Xから発する。脱水素酵素膜材123には、紫外線発光ダイオード124からの紫外線が照射される。脱水素酵素膜材123は、例えば、脱水素酵素を担体に固定化することで生成される。担体には、脱水素酵素を固定する土台となり、化学的に安定した材料が用いられる。なお、担体を用いることなく、脱水素酵素自体を固化して脱水素酵素膜材を生成してもよい。
脱水素酵素は、補酵素の存在下においてアルコール(CH3CH2OH:エタノール)を酸化してアセトアルデヒド(CH3CHO)にする反応を触媒する酵素である。脱水素酵素には、例えば、アルコールデヒドロゲナーゼ(EC.1.1.1.1, EC.1.1.1.2, EC.1.1.1.71)が用いられる。補酵素には、NAD+(ニコチンアミドアデニンジヌクレオチドの酸化型)、またはNADP+(ニコチンアミドアデニンジヌクレオチドリン酸の酸化型)が用いられる。この補酵素は、例えば、脱水素酵素膜材の表面に設けられる。アルコールと、補酵素と、脱水素酵素との酵素反応により、下記(1)または(2)の化学式に示すように、アセトアルデヒドと、NADH(ニコチンアミドアデニンジヌクレオチドの還元型)またはNADPH(ニコチンアミドアデニンジヌクレオチドリン酸の還元型)が生成される。
CH3CH2OH + NAD+ → CH3CHO + NADH + H+
・・・(1)
CH3CH2OH + NADP+ → CH3CHO + NADPH + H+
・・・(2)
ここで、NADHまたはNADPHは、ユーザの汗(例えば、ユーザの指の腹から発汗された汗)に含まれるアルコール成分により脱水素酵素膜材123において生成される物質であり、アルコールの濃度に依存する。NADHまたはNADPHは、紫外線発光ダイオード124から発せられた紫外線を吸収することで、励起された蛍光を発する。つまり、NADHまたはNADPHは、340nm付近の紫外線を吸収することで基底状態から励起状態になり蛍光を発する。
フォトセンサー125は、フォトダイオードを備えて構成され、ユーザの汗に含まれるアルコール成分により脱水素酵素膜材123において生成されたNADHまたはNADPHが340nm付近の紫外線を吸収することで発した蛍光を検出面125Xを介して検出する。こうして検出された蛍光は、上述したように数値に変換され、状態情報として配線を介してセキュアエレメント13へ送信される。なお、上述したように発せられた蛍光の波長は、450〜510nmであるため、フォトセンサー125には、450〜510nmの波長の蛍光を検出するものが採用される。
次に、セキュアエレメント13の構成及び機能の詳細について説明する。セキュアエレメント13は、プログラム記憶部131、データ記憶部132、送受信部133〜135、及び制御部136等を備え、有線または無線を介して制御部2との間で通信を行うと共に、バイオメトリックセンサー11及びアルコールセンサー12の動作を制御する。プログラム記憶部131及びデータ記憶部132は、例えばROM(Read Only Memory)とNVM(Non Volatile Memory:不揮発性メモリ)の少なくとも何れか一方から構成される。プログラム記憶部131には、例えばOS(オペレーティングシステム)及びアプリケーション等のプログラムが記憶される。データ記憶部132には、ユーザ認証に用いられる照合用の照合データ、及びユーザの身体の状態を判定するための判定基準(例えば閾値)を示す判定基準データ等が記憶される。ここで、照合データには、バイオメトリックセンサー11により予め取得された生体情報が用いられる。このため、照合データは、ユーザの指の腹における指紋を示す。
送受信部133は、制御部2との間で通信を行うためのインターフェイスを担う。送受信部134は、バイオメトリックセンサー11からの配線に接続される接続端子を備え、バイオメトリックセンサー11との間で通信を行うためのインターフェイスを担う。送受信部135は、アルコールセンサー12からの配線に接続される接続端子を備え、アルコールセンサー12との間で通信を行うためのインターフェイスを担う。
制御部136(コンピュータの一例)は、CPU(Central Processing Unit)、RAM(Random Access Memory)、及び乱数生成器等から構成され、制御部136は、制御部2からの要求に応じて、プログラム記憶部131に記憶されたプログラムにしたがって、ライセンス確認処理を実行する。ライセンス確認処理は、制御対象3に対して動作許可を与えるか(言い換えれば、ライセンス付与するか)どうかを確認する(つまり、動作許否判定を行う)処理である。ライセンス確認処理において、制御部136は、センサー制御部1361(センサー制御手段の一例)、情報取得部1362、ユーザ認証部1363(ユーザ認証手段の一例)、状態判定部1364(判定手段の一例)、及び情報送信部1365(送信手段の一例)等として機能する。
センサー制御部1361は、制御部2から送信されたセンサー起動要求に応じて、送受信部134を介してバイオメトリックセンサー11へ起動信号を送信する。なお、センサー起動要求は、バイオメトリックセンサー起動要求と、アルコールセンサー起動要求とに分かれていてもよい。バイオメトリックセンサー11は、センサー制御部1361からの起動信号に応じて起動することで電極から電荷の量を検出可能状態になる。そして、バイオメトリックセンサー11は、起動後に、応答信号をセンサー制御部1361へ返信する。センサー制御部1361は、バイオメトリックセンサー11からの応答信号を受信すると、バイオメトリックセンサー11が起動したことを示す起動情報を送受信部133を介して制御部2へ送信する。その後、バイオメトリックセンサー11は、ユーザの指の腹がバイオメトリックセンサー11の接触面に置かれると、電極にたまった電荷の量を検出して指紋を示す生体情報を取得し、取得した生体情報を配線を介してセキュアエレメント13へ送信する。これにより、情報取得部1362は、バイオメトリックセンサー11により取得された生体情報を送受信部134を介して受信(取得)することになる。
また、センサー制御部1361は、制御部2から送信されたセンサー起動要求に応じて、送受信部135を介してアルコールセンサー12へ起動信号を送信する。アルコールセンサー12は、センサー制御部1361からの起動信号に応じて起動することで紫外線発光ダイオード124から紫外線を発光させ、フォトセンサー125により蛍光の強度を検出可能状態になる。そして、アルコールセンサー12は、起動後に、応答信号をセンサー制御部1361へ返信する。センサー制御部1361は、アルコールセンサー12からの応答信号を受信すると、アルコールセンサー12が起動したことを示す起動情報を送受信部133を介して制御部2へ送信する。その後、ユーザの指の腹がアルコールセンサー12の接触面に置かれると、アルコールセンサー12は、フォトセンサー125により検出された蛍光の強度を示す状態情報を取得し、取得した状態情報を配線を介してセキュアエレメント13へ送信する。これにより、情報取得部1362は、アルコールセンサー12により取得された状態情報を送受信部135を介して受信(取得)することになる。
ユーザ認証部1363は、起動情報を受信した制御部2から送信された実行要求であって制御対象3に対するライセンス確認(動作許否判定)の実行要求に応じて、バイオメトリックセンサー11により取得された生体情報を用いてユーザ認証を行う。例えば、ユーザ認証部1363は、バイオメトリックセンサー11により取得された生体情報が示す指紋と、データ記憶部132に記憶された照合データが示す指紋とを照合して双方の指紋における複数の特徴点(例えば、端点と分岐点)が所定数以上一致している場合、ユーザ認証成功と判定する。
状態判定部1364は、起動情報を受信した制御部2から送信された上記ライセンス確認の実行要求に応じて、アルコールセンサー12により取得された状態情報を用いてユーザ状態判定を行う。例えば、状態判定部1364は、状態情報が示す蛍光の強度(ユーザの身体の状態の一例)が判定基準未満であるか(言い換えれば、ユーザの身体の状態が予め設定された基準を満たすか)否かを判定(これを、ユーザ状態判定と称する)する。ここで、判定基準は、例えば、データ記憶部132に記憶された判定基準データが示す閾値であり、蛍光の強度が閾値以上であれば、アルコールの濃度が基準を超えるものと見做される。
情報送信部1365は、ユーザ認証部1363によるユーザ認証が成功し、且つ、状態判定部1364により上記状態情報が示す蛍光の強度が判定基準未満である(つまり、ユーザの身体の状態が予め設定された基準を満たす)と判定された場合に、制御対象3に対するライセンス有効を示す情報(つまり、制御対象3に対する動作許可を示す情報)を送受信部133を介して制御部2へ送信(応答)する。
[2.ライセンス確認装置1の動作]
次に、図5及び図6を参照して、ライセンス確認装置1の動作について説明する。図5は、ライセンス確認処理が行われるときのライセンス確認装置1と制御部2との間のデータのやり取りを示すシーケンス図である。図6は、制御部136により実行されるライセンス確認処理の一例を示すフローチャートである。
図5において、例えば電源ONにより制御部2へ電力供給が開始されると、制御部2はリセット(信号)をライセンス確認装置1へ送信する(ステップS1)。ライセンス確認装置1の制御部136は、制御部2からのリセットを受信すると、リセット応答を送受信部133を介して制御部2へ送信する(ステップS2)。
次に、制御部2は、ライセンス確認装置1からのリセット応答を受信すると、バイオメトリックセンサー起動要求をライセンス確認装置1へ送信する(ステップS3)。ライセンス確認装置1の制御部136(センサー制御部1361)は、制御部2からのバイオメトリックセンサー起動要求を受信すると、当該バイオメトリックセンサー起動要求に応じて、送受信部134を介してバイオメトリックセンサー11へ起動信号を送信する。そして、制御部136(センサー制御部1361)は、バイオメトリックセンサー11からの応答信号を受信すると、バイオメトリックセンサー11が起動したことを示す起動情報を送受信部133を介して制御部2へ送信する(ステップS4)。
次に、制御部2は、ライセンス確認装置1からの起動情報(バイオメトリックセンサー11が起動したことを示す起動情報)を受信すると、アルコールセンサー起動要求をライセンス確認装置1へ送信する(ステップS5)。ライセンス確認装置1の制御部136(センサー制御部1361)は、制御部2からのアルコールセンサー起動要求を受信すると、当該アルコールセンサー起動要求に応じて、送受信部135を介してアルコールセンサー12へ起動信号を送信する。そして、ライセンス確認装置1の制御部136(センサー制御部1361)は、アルコールセンサー12からの応答信号を受信すると、アルコールセンサー12が起動したことを示す起動情報を送受信部133を介して制御部2へ送信する(ステップS6)。
なお、ステップS3及びステップS4の処理と、ステップS5及びステップS6の処理とは順序が逆であってもよい。或いは、制御部136(センサー制御部1361)は、バイオメトリックセンサー起動要求とアルコールセンサー起動要求とが統合されたセンサー起動要求に応じて、ステップS4及びステップS6の処理を行ってもよい。
次に、制御部2は、ライセンス確認装置1からの起動情報(アルコールセンサー12が起動したことを示す起動情報)を受信すると、ライセンス確認要求をライセンス確認装置1へ送信する(ステップS7)。ライセンス確認装置1の制御部136は、制御部2からのライセンス確認要求を受信すると、図6に示すライセンス確認処理(ステップS8)が開始される。
図6に示すライセンス確認処理が開始されると、制御部136は、ユーザ認証処理を実行する(ステップS81)。ユーザ認証処理において、制御部136(情報取得部1362)は、起動中のバイオメトリックセンサー11により取得された生体情報を送受信部134を介して取得する。次いで、制御部136(ユーザ認証部1363)は、取得した生体情報を用いてユーザ認証を行う。例えば、制御部136(ユーザ認証部1363)は、取得した生体情報が示す指紋と、データ記憶部132に記憶された照合データが示す指紋とを照合して双方の指紋における複数の特徴点が所定数以上一致しているか否かを判定する。そして、双方の指紋における複数の特徴点が所定数以上一致している場合、制御部136(ユーザ認証部1363)は、ユーザ認証成功と判定し、ユーザ認証成功を示す情報を記憶(例えば、ユーザ認証成功を示すフラグをオン(1)に設定)する。一方、双方の指紋における複数の特徴点が所定数以上一致していない場合、制御部136(ユーザ認証部1363)は、ユーザ認証失敗と判定し、ユーザ認証失敗を示す情報を記憶(例えば、ユーザ認証成功を示すフラグをオフ(0)に設定)する。
次いで、制御部136は、ユーザ状態判定処理を実行する(ステップS82)。ユーザ状態判定処理において、制御部136(情報取得部1361)は、起動中のアルコールセンサー12により検出された蛍光の強度を示す状態情報を送受信部135を介して取得する。次いで、制御部136(状態判定部1364)は、アルコールセンサー12の接触面12Xへの接触が検知された指から得られた状態情報であって、アルコールセンサー12により取得された状態情報を用いてユーザ状態判定を行う。例えば、制御部136(状態判定部1364)は、取得した状態情報が示す蛍光の強度が判定基準未満であるか否かを判定する。そして、制御部136(状態判定部1364)は、蛍光の強度が判定基準未満であると判定(つまり、ユーザ状態良好と判定)した場合、ユーザ状態良好を示す情報を記憶(例えば、ユーザ状態良好を示すフラグをオン(1)に設定)する。一方、制御部136(状態判定部1364)は、蛍光の強度が判定基準未満でないと判定した場合、ユーザ状態不良を示す情報を記憶(例えば、ユーザ状態良好を示すフラグをオフ(0)に設定)する。なお、上記ユーザ状態判定処理は、ユーザ認証処理の直前に実行されてもよい。
次いで、制御部136は、ユーザ認証成功であり、且つ、ユーザ状態良好であるか否かを判定する(ステップS83)。ステップS81でユーザ認証成功と判定され(つまり、ユーザ認証成功を示す情報を記憶された)、且つ、ステップS82でユーザ状態良好であると判定された(つまり、ユーザ状態良好を示す情報を記憶された)か否かが判定される。制御部136は、ユーザ認証成功で、且つ、ユーザ状態良好であると判定した場合(ステップS83:YES)、ライセンス有効を示す情報を記憶(ライセンス有効記録)し(ステップS84)、ライセンス確認処理を終了し、図5の処理に戻る。一方、制御部136は、ユーザ認証失敗、またはユーザ状態良好でないと判定した場合(ステップS83:NO)、ライセンス無効を示す情報を記憶(ライセンス無効記録)し(ステップS85)、ライセンス確認処理を終了し、図5の処理に戻る。
図5の処理に戻ると、制御部136(情報送信部1365)は、ライセンス確認要求に対するライセンス確認結果(動作許否判定結果)として、ライセンス有効またはライセンス無効を示す情報を送受信部133を介して制御部2へ送信(応答)する(ステップS9)。
制御部2は、ライセンス確認装置1からのライセンス確認結果を受信すると、バイオメトリックセンサー停止要求をライセンス確認装置1へ送信する(ステップS10)。ライセンス確認装置1の制御部136(センサー制御部1361)は、制御部2からのバイオメトリックセンサー停止要求を受信すると、当該バイオメトリックセンサー停止要求に応じて、送受信部134を介してバイオメトリックセンサー11へ停止信号を送信する。バイオメトリックセンサー11は、制御部136(センサー制御部1361)からの停止信号に応じて、応答信号を制御部136(センサー制御部1361)へ返信し、動作を停止する。そして、制御部136(センサー制御部1361)は、バイオメトリックセンサー11からの応答信号を受信すると、バイオメトリックセンサー11が停止したことを示す停止情報を送受信部133を介して制御部2へ送信する(ステップS11)。
次に、制御部2は、ライセンス確認装置1からの停止情報(バイオメトリックセンサー11が停止したことを示す停止情報)を受信すると、アルコールセンサー停止要求をライセンス確認装置1へ送信する(ステップS12)。ライセンス確認装置1の制御部136(センサー制御部1361)は、制御部2からのアルコールセンサー停止要求を受信すると、当該アルコールセンサー停止要求に応じて、送受信部135を介してアルコールセンサー12へ停止信号を送信する。アルコールセンサー12は、制御部136(センサー制御部1361)からの停止信号に応じて、応答信号を制御部136(センサー制御部1361)へ返信し、動作を停止する。そして、制御部136(センサー制御部1361)は、アルコールセンサー12からの応答信号を受信すると、アルコールセンサー12が停止したことを示す停止情報を送受信部133を介して制御部2へ送信する(ステップS13)。
そして、制御部2は、ライセンス確認装置1からのライセンス確認結果がライセンス有効を示す場合、制御対象3に対して駆動信号(つまり、動作許可信号)を送信することで制御対象3の動作を開始させる。例えば制御部2がエンジン制御部である場合、制御対象3に対してエンジン始動を示す始動信号を送信することでエンジンを始動させる。一方、例えば制御部2がステアリング制御部またはシフトレバー制御部である場合、制御対象3に対してロック解除信号を送信することでステアリングまたはシフトレバーのロックを解除させる。一方、例えば制御部2がゲートウェイ装置である場合、エンジン制御部には駆動信号を送信し、ステアリング制御部及びシフトレバー制御部にはロック解除信号を送信する。一方、制御部2が扉の施開錠を制御する施開錠制御部である場合、制御対象3に対して開錠信号を送信することで扉を開錠させる。
一方、制御部2は、ライセンス確認装置1からのライセンス確認結果がライセンス無効を示す場合、制御対象3に対してロック信号(つまり、動作不許可信号)またはエラー信号を送信することで制御対象3の動作をロックさせる。例えば制御部2がエンジン制御部である場合、制御対象3に対して駆動信号を送信しない。一方、例えば制御部2がステアリング制御部またはシフトレバー制御部である場合、制御対象3に対してロック信号を送信することでステアリングまたはシフトレバーをロックさせる。一方、例えば制御部2がゲートウェイ装置である場合、ステアリング制御部及びシフトレバー制御部にはロック信号を送信する。一方、制御部2が扉の施開錠を制御する施開錠制御部である場合、制御対象3に対して開錠信号を送信しない。なお、制御部2が警報出力回路を制御する制御部である場合、制御対象3に対してエラー信号を送信することで警報出力させる。
以上説明したように、上記実施形態によれば、ライセンス確認装置1は、制御部2から送信されたセンサー起動要求に応じて、バイオメトリックセンサー11及びアルコールセンサー12を起動させ、バイオメトリックセンサー11及びアルコールセンサー12が起動したことを示す起動情報を制御部2へ送信し、当該制御部2から送信された実行要求に応じて、バイオメトリックセンサー11により取得された生体情報を用いてユーザ認証と、アルコールセンサー12により取得された状態情報を用いてユーザ状態判定を行い、当該ユーザ認証が成功し、且つ、ユーザ状態良好と判定された場合に、制御対象3に対するライセンス有効を示す情報を制御部2へ送信するように構成したので、ユーザ認証とユーザ状態判定とを確実に同一人物に対して実施することが可能となり、より確実に検出漏れを防ぐことができる。
[3.ライセンス確認処理の応用例]
次に、図7を参照して、上述したライセンス確認処理の応用例について説明する。図7(A)は、制御部136により実行されるライセンス確認処理の応用例を示すフローチャートである。図7(A)に示すライセンス確認処理は、図6に示すライセンス確認処理よりも確実に検出漏れを防ぐことができる処理であり、この応用例では、図5に示すステップS8において、図6に示すライセンス確認処理に代えて、図7(A)に示すライセンス確認処理が実行される。図7(A)に示すライセンス確認処理では、バイオメトリックセンサー11は、生体情報を異なるタイミングで複数回取得し、ユーザ認証部1363は、バイオメトリックセンサー11により取得された各生体情報を用いてユーザの認証を、上記異なるタイミングで複数回行い、状態判定部1364は、複数回のユーザ認証の間に、アルコールセンサー12により取得された状態情報を用いてユーザ状態判定を行うように構成される。なお、図7(A)に示すステップS91、S93、及びS95に示すユーザ認証処理1〜3の内容は、ステップS81に示すユーザ認証処理と同様であり、ユーザ認証処理1〜3は、互いに異なるタイミングで実行される。また、図7(A)に示すステップS92、S94、及びS96に示すユーザ状態判定処理1〜3の内容は、ステップS82に示すユーザ状態判定処理と同様であり、ユーザ状態判定処理1〜3は、互いに異なるタイミングで実行される。
そして、制御部136は、ステップS91、S93、及びS95の全てにおいてユーザ認証成功であると判定され、且つ、ステップS92、S94、及びS96の全てにおいてユーザ状態良好であると判定されたか否かを判定する(ステップS97)。ステップS91、S93、及びS95の全てにおいてユーザ認証成功であると判定され、且つ、ステップS92、S94、及びS96の全てにおいてユーザ状態良好であると判定された場合(ステップS97:YES)、制御部136は、ライセンス有効を示す情報を記憶(ライセンス有効記録)し(ステップS98)、ライセンス確認処理を終了する。一方、制御部136は、上記ユーザ認証処理1〜3の何れかでユーザ認証失敗、または上記ユーザ状態判定処理1〜3の何れかでユーザ状態良好でないと判定した場合(ステップS97:NO)、ライセンス無効を示す情報を記憶(ライセンス無効記録)し(ステップS99)、ライセンス確認処理を終了する。つまり、それぞれのユーザ認証処理の間にユーザ状態判定処理を挟み、何れかのユーザ状態判定処理でユーザ状態良好でないと判定した場合、ライセンス無効とされる。このように、ユーザ認証処理を分割すれば、ユーザがユーザ認証後に指を離すと、その次のユーザ認証処理が失敗する可能性が高くなるので、ユーザ状態判定処理を回避することは困難になる。例えば、運転者であるユーザがアルコールを検知させまいとして指をアルコールセンサー12から遠ざけると、指紋における複数の特徴点の一致度合いが劇的に低下し、ユーザ認証処理に失敗する可能性が飛躍的に高くなるので、このような場合に、車両のエンジンが始動することを防止することができる。
なお、図7(A)において、ステップS94〜S96の処理は省略してもよい。この場合、ステップS91及びS93においてユーザ認証成功であると判定され、且つ、ステップS92においてユーザ状態良好であると判定された場合、制御部136は、ライセンス有効を示す情報を記憶する。また、複数回のユーザ認証において認証アルゴリズム(認証方法)を異ならせるように構成してもよい。この場合、例えば、ステップS91のユーザ認証処理1では、ユーザ認証部1363は、取得された生体情報が示す指紋と、照合データが示す指紋とを照合して双方の指紋における複数の特徴点(例えば、端点と分岐点)が所定数以上一致しているか否か(つまり、特徴点の一致度)を判定する。一方、ステップS93のユーザ認証処理2では、ユーザ認証部1363は、上記特徴点の一致度に加えて、取得された生体情報が示す指紋と、照合データが示す指紋とを照合して双方の指紋における複数の隆線(特徴点間を横切る線)が所定数以上一致しているか否かを判定する。これにより、各ユーザ認証に要する時間を異ならせることが可能となるので、ユーザ状態判定処理を回避することを困難にさせることができる。
また、複数回のユーザ認証において異なる部位の指紋を異ならせるように構成してもよく、これによっても、ユーザ状態判定処理を回避することを困難にさせることができる。図7(B)は、指紋の領域を2つの部位に2分割した例を示す図であり、図7(C)は、指紋の領域を3つの部位に3分割した例を示す図である。なお、図7(B)及び図7(C)の例では、指紋の領域が縦方向に分割されているが、横方向に分割されてもよい。図7(B)の例は、ステップS94〜S96の処理が省略される場合の例であり、この場合、ユーザ認証部1363は、ステップS91のユーザ認証処理において、取得した生体情報が示す部位Xの指紋と、照合データが示す部位Xの指紋とを照合して双方の指紋における複数の特徴点が所定数以上一致しているか否かを判定し、双方の指紋における複数の特徴点が所定数以上一致している場合、ユーザ認証成功と判定する。また、ユーザ認証部1363は、ステップS93のユーザ認証処理において、取得した生体情報が示す部位Yの指紋と、照合データが示す部位Yの指紋とを照合して双方の指紋における複数の特徴点が所定数以上一致しているか否かを判定し、双方の指紋における複数の特徴点が所定数以上一致している場合、ユーザ認証成功と判定する。
図7(C)の例は、ステップS94〜S96の処理が省略しない場合の例であり、この場合、ユーザ認証部1363は、ステップS91のユーザ認証処理1において、取得した生体情報が示す部位Xの指紋と、照合データが示す部位Xの指紋とを照合して双方の指紋における複数の特徴点が所定数以上一致しているか否かを判定し、双方の指紋における複数の特徴点が所定数以上一致している場合、ユーザ認証成功と判定する。また、ユーザ認証部1363は、ステップS93のユーザ認証処理2において、取得した生体情報が示す部位Yの指紋と、照合データが示す部位Yの指紋とを照合して双方の指紋における複数の特徴点が所定数以上一致しているか否かを判定し、双方の指紋における複数の特徴点が所定数以上一致している場合、ユーザ認証成功と判定する。さらに、ユーザ認証部1363は、ステップS95のユーザ認証処理3において、取得した生体情報が示す部位Zの指紋と、照合データが示す部位Zの指紋とを照合して双方の指紋における複数の特徴点が所定数以上一致しているか否かを判定し、双方の指紋における複数の特徴点が所定数以上一致している場合、ユーザ認証成功と判定する。
さらに、複数回のユーザ認証において指の部位の面積をランダムで異ならせるように構成してもよく、これによっても、ユーザ状態判定処理を回避することを困難にさせることができる。この場合、例えば、ユーザ認証部1363は、乱数を用いて、指の腹全体(100%)における部位の割合(例えば、40%)を決定し、決定した割合分の部位の指紋と、照合データが示す指紋において上記割合分の部位の指紋とを照合して双方の指紋における複数の特徴点が所定数以上一致しているか否かを判定し、双方の指紋における複数の特徴点が所定数以上一致している場合、ユーザ認証成功と判定する。
なお、上記実施形態においては、バイオメトリックセンサー11は、ユーザの指紋を生体情報として取得するように構成したが、当該ユーザの掌における紋(掌紋)を生体情報として取得するように構成してもよい。この場合、ユーザ認証部1363は、バイオメトリックセンサー11により取得された生体情報が示す掌紋と、データ記憶部132に記憶された照合データが示す掌紋とを照合して双方の掌紋における複数の特徴点が所定数以上一致している場合、ユーザ認証成功と判定する。この場合にも、上記応用例を適用することで、ユーザ認証部1363は、バイオメトリックセンサー11により取得された生体情報が示す掌紋を用いてユーザ認証を複数回行ってもよい。さらに、ユーザ認証部1363は、複数回のユーザ認証において異なる部位の掌紋を用いてもよい。
或いは、バイオメトリックセンサー11は、ユーザの掌または指における血管(静脈)パターン(画像)を生体情報として取得するように構成してもよい。この場合、バイオメトリックセンサー11は、赤外線発光部及び血管撮像部を備え、赤外線発光部により赤外線が掌または指に照射された状態で当該指を撮像部により撮像することで血管パターン(画像)を生体情報として取得する。そして、ユーザ認証部1363は、バイオメトリックセンサー11により取得された生体情報が示す血管パターンと、データ記憶部132に記憶された照合データが示す血管パターンとを照合して双方の血管パターンにおける複数の特徴点が所定数以上一致している場合、ユーザ認証成功と判定する。この場合にも、上記応用例を適用することで、ユーザ認証部1363は、バイオメトリックセンサー11により取得された生体情報が示す血管パターンを用いてユーザ認証を複数回行ってもよい。さらに、ユーザ認証部1363は、複数回のユーザ認証において異なる部位の血管パターンを用いてもよい。或いは、バイオメトリックセンサー11は、ユーザの顔を撮影して生体情報として取得するように構成してもよい。そして、ユーザ認証部1363は、バイオメトリックセンサー11により取得された生体情報が示す顔画像と、データ記憶部132に記憶された照合データが示す顔画像とを照合して双方の顔画像における複数の特徴点が所定数以上一致している場合、ユーザ認証成功と判定する。
また、上記実施形態においては、アルコールセンサー12は、アルコールの濃度に応じた蛍光を示す状態情報を取得するように構成したが、例えば特開2008−308037号公報に開示されるように酸化すずによる半導体式のガスセンサを用いることで、アルコールの濃度に応じた「酸化すずの抵抗値」を状態情報として取得するように構成してもよい。この場合、状態判定部1364は、アルコールセンサー12の接触面12Xへの接触が検知された指から得られた状態情報であって、アルコールセンサー12により取得された状態情報が示す抵抗値が、データ記憶部132に予め記憶された判定基準データが示す閾値未満であれば、ユーザの身体の状態が予め設定された基準を満たすと判定(つまり、ユーザ状態良好と判定)する。
また、上記実施形態においては、ユーザの身体の状態を示す状態情報として、アルコール成分の濃度を例にとって説明したが、例えば特開2009−168671号公報に開示される基質(脱水素酵素の基質)成分の濃度としてもよい。この場合、状態情報取得センサーは、当該状態情報取得センサーの接触面への接触された指または掌から得られた状態情報であって上記成分の濃度を示す状態情報を取得し、当該状態情報をセキュアエレメント13へ送信する。そして、状態判定部1364は、上記成分の濃度が、データ記憶部132に予め記憶された判定基準データが示す閾値未満であれば、ユーザの身体の状態が予め設定された基準を満たすと判定(つまり、ユーザ状態良好と判定)する。或いは、ユーザの身体の状態を示す状態情報の他の例としてユーザの脈拍数としてもよい。この場合、状態情報取得センサーは、当該状態情報取得センサーの接触面への接触された指または掌から得られた状態情報であってユーザの脈拍数を示す状態情報を取得し、当該状態情報をセキュアエレメント13へ送信する。そして、状態判定部1364は、ユーザの脈拍数が、データ記憶部132に予め記憶された判定基準データが示す閾値未満であれば、ユーザの身体の状態が予め設定された基準を満たすと判定(つまり、ユーザ状態良好と判定)する。ユーザの身体の状態を示す状態情報は、ユーザの体温としてもよい。この場合、状態情報取得センサーは、当該状態情報取得センサーの接触面への接触された指または掌から得られた状態情報であってユーザの体温を示す状態情報を取得し、当該状態情報をセキュアエレメント13へ送信する。そして、状態判定部1364は、上記体温が、データ記憶部132に予め記憶された判定基準データが示す閾値未満であれば、ユーザの身体の状態が予め設定された基準を満たすと判定(つまり、ユーザ状態良好と判定)する。