JP2018107777A - 認証システム及び認証方法 - Google Patents

認証システム及び認証方法 Download PDF

Info

Publication number
JP2018107777A
JP2018107777A JP2016255993A JP2016255993A JP2018107777A JP 2018107777 A JP2018107777 A JP 2018107777A JP 2016255993 A JP2016255993 A JP 2016255993A JP 2016255993 A JP2016255993 A JP 2016255993A JP 2018107777 A JP2018107777 A JP 2018107777A
Authority
JP
Japan
Prior art keywords
location code
personal information
management terminal
information management
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016255993A
Other languages
English (en)
Inventor
民樹 澤
Tamiki SAWA
民樹 澤
雄一 鍋谷
Yuichi Nabeya
雄一 鍋谷
圭吾 仲辻
Keigo Nakatsuji
圭吾 仲辻
松原 高司
Takashi Matsubara
高司 松原
隆之介 國信
Ryunosuke KUNINOBU
隆之介 國信
健司 野本
Kenji Nomoto
健司 野本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tokyo Electric Power Co Holdings Inc
Original Assignee
Tokyo Electric Power Co Holdings Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tokyo Electric Power Co Holdings Inc filed Critical Tokyo Electric Power Co Holdings Inc
Priority to JP2016255993A priority Critical patent/JP2018107777A/ja
Publication of JP2018107777A publication Critical patent/JP2018107777A/ja
Pending legal-status Critical Current

Links

Abstract

【課題】ユーザ認証において所謂なりすましを効果的に防止できるようにする。【解決手段】認証システム1は、デジタル式の電力量計20と、電力量計20に割り当てられた固有の電力量計識別情報を基に、所定の関数式により固有の所在地コードを生成する所在地コード生成部および所在地コードを所定の通信方式により送信する通信処理部を有する所在地コード生成装置40と、通信処理部により送信される所在地コードを受信した個人情報管理端末60から所在地コードを受け取り、所在地コードに基づいて個人情報管理端末60を認証する認証サーバ80と、を備える。【選択図】図1

Description

本発明は、個人情報を管理する個人情報管理端末を用いた認証システム及び認証方法に関するものである。
従業員のマイナンバー等の個人情報は会社の電子端末等で厳重に管理されており、特定の者だけがその個人情報を取り扱うことができるようになっている。そのため、個人情報を取り扱う際には、電子端末からユーザIDとパスワードを入力してユーザを認証する必要がある(例えば、特許文献1参照)。
特開2016−200869号公報
しかしながら、ユーザを認証するユーザIDとパスワードを不正に入手され、電子端末までもが悪意のある第三者に盗難されてしまうと、第三者が電子端末からユーザIDとパスワードを入力しても正当なユーザと認証されてしまい、ユーザ認証において所謂なりすましが行われてしまうおそれがあった。
そこで、本発明は、かかる課題に鑑み、ユーザ認証において所謂なりすましを効果的に防止し得る認証システム及び認証方法を提供することを目的とする。
上記目的を達成するために、本発明の認証システムにおいては、デジタル式の電力量計と、前記電力量計に割り当てられた固有の電力量計識別情報を基に所定の関数式により固有の所在地コードを生成する所在地コード生成部、および、前記所在地コードを所定の通信方式により送信する通信処理部を有する所在地コード生成装置と、前記通信処理部により送信される前記所在地コードを受信した個人情報管理端末から前記所在地コードを受け取り、前記所在地コードに基づいて前記個人情報管理端末を認証する認証サーバと、を備えることを特徴とする。
本発明において、前記個人情報管理端末は、個人情報に前記所在地コード生成部によって生成された所在地コードを付加して送信用データを作成するデータ作成部と、個人情報を利用する利用者端末に前記データ作成部によって作成された送信用データを送信する情報送信部と、を有することを特徴とする。
本発明において、前記個人情報管理端末は、送信する前記送信用データにおける所在地コード又は個人情報の少なくとも一方にマスキングするマスキング処理部を有することを特徴とする。
本発明において、前記認証サーバは、前記利用者端末から受信した前記送信用データのマスキングを解除するマスキング解除部を有することを特徴とする。
本発明において、前記認証サーバは、前記個人情報管理端末から個人情報を受信する情報受信部と、前記個人情報管理端末から受信した所在地コード及び個人情報とマスキングを解除した所在地コード及び個人情報とが一致するか否かを判定する判定部と、を有することを特徴とする。
本発明において、前記所在地コード生成部は、前記電力量計識別情報に加えて、当該所在地コード生成部に割り当てられた固有の所在地コード生成装置識別情報、および、前記認証サーバから供給されたソルト情報を基に前記関数式により前記所在地コードを生成することを特徴とする。
本発明において、前記通信処理部は、超音波通信により前記所在地コードを前記個人情報管理端末へ送信することを特徴とする。
本発明において、前記電力量計と、前記所在地コード生成装置と、前記個人情報管理端末との間がアクティベイトされた状態において、前記所在地コード生成装置により生成されたアライブ信号が前記電力量計、前記所在地コード生成装置、および、前記個人情報管理端末の3者間で送受信されている場合、前記認証サーバは前記アライブ信号の存在を確認できた場合、ソルト情報を前記所在地コード生成装置へ送信することを特徴とする。
本発明において、前記認証サーバは、前記アライブ信号、前記ユーザIDおよびパスワード、前記所在地コード、前記個人情報管理端末の固有のデバイス識別情報に基づいて前記個人情報管理端末を認証することを特徴とする。
本発明において、前記個人情報は、マイナンバーであることを特徴とする。
本発明の認証方法においては、デジタル式の電力量計に割り当てられた固有の電力量計識別情報を基に所定の関数式により固有の所在地コードを所在地コード生成部により生成する所在地コード生成ステップと、前記所在地コードを通信処理部により所定の通信方式により送信する送信ステップと、前記通信処理部により送信される前記所在地コードを受信した個人情報管理端末から前記所在地コードを受け取り、前記所在地コードに基づいて前記個人情報管理端末を認証サーバにより認証する認証ステップと、を有することを特徴とする。
本発明において、個人情報管理端末に記憶された個人情報に前記所在地コードを付加して利用者端末に送信する送信用データを作成する送信用データ作成ステップと、利用者端末からの要請に応じて前記個人情報管理端末から前記利用者端末に前記送信用データを送信するデータ送信ステップと、利用者端末からの要請に応じて前記利用者端末から受信した前記送信用データに基づく所在地コード及び個人情報と前記個人情報管理端末から受信した所在地コード及び個人情報とが一致するか否かを判定する判定ステップと、を有することを特徴とする。
本発明において、前記利用者端末に前記送信用データを送信する前に、当該送信用データの少なくとも一部にマスキング処理を行うマスキング処理ステップ、を有することを特徴とする。
本発明によれば、ユーザ認証において所謂なりすましを効果的に防止することができる。
本発明の実施の形態に係る認証システムの全体構成を示す構成図である。 本発明の実施の形態に係る認証システムの全体構成に対するその他の例(1)を示す構成図である。 本発明の実施の形態に係る認証システムの全体構成に対するその他の例(2)を示す構成図である。 本発明の実施の形態に係るスマートメータの構成を示すブロック図である。 本発明の実施の形態に係るスマートメータ、所在地コード生成装置がそれぞれ持つ固有の情報を示す略線図である。 本発明の実施の形態に係る所在地コード生成装置の構成を示すブロック図である。 本発明の実施の形態に係る所在地コード生成装置により生成されるソルトアンサー情報の説明に供する略線図である。 本発明の実施の形態に係るスマートメータ、所在地コード生成装置、個人情報管理端末の間で送受信されるアライブ信号の説明に供する略線図である。 本発明の実施の形態に係る個人情報管理端末、所在地コード認証及びIDパスワード認証サーバ、および、利用者端末の構成を示すブロック図である。 本発明の実施の形態に係る所在地コード生成装置により生成される所在地コードと、所在地コード認証及びIDパスワード認証サーバが所在地コード生成装置により生成されることを期待する所在地コードとの関係の説明に供する略線図である。 本発明の実施の形態に係るスマートメータ管理サーバ、スマートメータ、所在地コード生成装置、個人情報管理端末、所在地コード認証及びIDパスワード認証サーバとの間に構築されるネットワークトポロジーを示す略線図である。 本発明の実施の形態において、所在地コード認証及びIDパスワード認証サーバが認識している、ユーザIDおよびパスワードと紐付けられるスマートメータと所在地コード生成装置との対応関係の説明に供する略線図である。 本発明の実施の形態において、所在地コード生成装置と個人情報管理端末とのアクティベイト処理の説明に供する略線図である。 本発明の実施の形態において、所在地コード生成装置とスマートメータとのアクティベイト処理の説明に供する略線図である。 本発明の実施の形態において、所在地コード生成装置と2台目の個人情報管理端末とのアクティベイト処理の説明に供する略線図である。 本発明の実施の形態において、所在地コード生成装置と1台目および2台目の個人情報管理端末とのアクティベイト処理の手順を示すフローチャートである。 本発明の実施の形態において、所在地コード生成装置とスマートメータとのアクティベイト処理の手順を示すフローチャートである。 本発明の実施の形態に係る認証システムにおける認証処理シーケンスを示すシーケンスチャートである。 本発明の実施の形態において、アライブ信号の生成からソルトアンサー情報の生成までの一連の流れの説明に供する略線図である。 本発明の実施の形態において、認証処理の4つの要素の説明に供する略線図である。 本発明の実施の形態において、所在地コード認証及びIDパスワード認証サーバにより認証処理手順を示すフローチャートである。 本発明の実施の形態において、最新のアライブ信号を取得できなかった場合にはログイン認証を認めない例の説明に供する略線図である。 本発明の実施の形態において、最新のアライブ信号を取得できず、ソルトアンサー情報が一致しない場合にはログイン認証を認めない例の説明に供する略線図である。 本発明の実施の形態において、最新のアライブ信号を取得できず、ソルトアンサー情報が一致せず、個人情報管理端末のデバイス識別情報も一致しない場合にはログイン認証を認めない例の説明に供する略線図である。 本発明の実施の形態において、最新のアライブ信号を取得できず、ソルトアンサー情報が一致せず、個人情報管理端末のデバイス識別情報も一致せず、ユーザID、パスワードも一致しない場合、および、スマートメータが盗難にあった場合、ログイン認証を認めない例の説明に供する略線図である。 本発明の実施の形態において、AルートおよびBルートの双方を用いた認証システムの全体構成(1)を示す構成図である。 本発明の実施の形態において、AルートおよびBルートの双方を用いた認証システムの全体構成(2)を示す構成図である。 本発明の実施の形態において、AルートおよびBルートの双方を用いた認証システムの全体構成(3)を示す構成図である。 本発明の実施の形態において、AルートおよびBルートの双方を用いた認証システムによる認証処理の説明に供する略線図である。 本発明の実施の形態において、認証システムにおける個人情報管理端末の真贋判定シーケンスを示すシーケンスチャートである。 本発明の実施の形態において、マスキングデータの作成手順を示すフローチャートである。 本発明の実施の形態において、マスキングデータの構造の一例を示す図である。 本発明の実施の形態において、利用者端末によるマスキングデータの構造を検証する手順を示すフローチャートである。 本発明の実施の形態において、所在地コード認証及びIDパスワード認証サーバによるマスキングデータのマスキング解除の手順を示すフローチャートである。 本発明の実施の形態において、所在地コード認証及びIDパスワード認証サーバによる個人情報管理端末の真贋判定の手順を示すフローチャートである。
以下、本発明の実施の形態について図面を参照しながら説明する。
<認証システムの全体構成>
図1に示すように、認証システム1は、スマートメータ20、スマートメータ管理サーバ30、所在地コード生成装置40、個人情報管理端末60、および、所在地コード認証及びIDパスワード認証サーバ80(以下、認証サーバ80という)を備えている。
スマートメータ20は、所謂Aルートと呼ばれる通信ルートを介してスマートメータ管理サーバ30と無線接続されるとともに、所謂Bルートと呼ばれる通信ルートを介して所在地コード生成装置40と無線接続されている。
ここで、Aルートとは、電力会社が用意しているスマートメータ管理サーバ30に対してスマートメータ20により計測された電力使用量に相当するデータ(以下、これを「電力使用量データ」ともいう。)を直接送信するアクセス系ネットワークの通信経路である。
なお、スマートメータ20とスマートメータ管理サーバ30とのAルートを介した接続においては、複数のスマートメータ20が所謂バケツリレーをしながら図示しないコンセントレータ(集約装置)まで無線マルチホップ通信によりデータを送信し、当該コンセントレータからWAN(Wide Area Network)回線およびルータを介してスマートメータ管理サーバ30と接続されてもよい。
また、Bルートとは、建物内のHEMS(Home Energy Management System)端末とスマートメータ20とが物理層として920MHz帯(Wi-SUN)を用いた無線方式により接続され、当該スマートメータ20の電力使用量データを当該HEMS端末へ送信する宅内通信ネットワークの通信経路である。したがって、スマートメータ20は、建物内のHEMS端末と接続されるBルートを介して所在地コード生成装置40と通信することが可能である。
なお、図2に示すように、スマートメータ20A、20Bは、屋内のエアコン等の家電製品と接続される分電盤90に接続されていてもよく、また、分電盤90からスマートメータ20B、スマートメータ20Aが直列に接続されていてもよい。また、スマートメータ20A、20Bは、所在地コード生成装置40と別体である必要は必ずしもなく、当該所在地コード生成装置40を内蔵した一体構成であってもよい。
さらに、図3に示すように、スマートメータ20は、当該スマートメータ20から所在地コード生成装置40M(親機)までの距離が長い場合、第1のPLC(Power Line Communication)装置D1および第2のPLC装置D2を介して所在地コード生成装置40M(親機)と接続することが可能である。
この場合、スマートメータ20が所在地コード生成装置40s(子機)と無線接続されたうえ、当該所在地コード生成装置40s(子機)と第1のPLC装置D1とが接続されている。所在地コード生成装置40M(親機)は、第2のPLC装置D2と接続されている。
第1のPLC装置D1と第2のPLC装置D2とは、コンセントC1、C2を介して電力線と繋がっており、第1のPLC装置D1と、第2のPLC装置D2とは、電力線通信(例えばG3-PLC)により双方が接続されている。ただし、これに限るものではなく、第1のPLC装置D1と第2のPLC装置D2とは、分電盤90(図2)を介して互いに接続されていてもよい。なお、スマートメータ20は、第1のPLC装置D1と一体構造であってもよく、所在地コード生成装置40が第2のPLC装置D2と一体構造であってもよい。
この場合、スマートメータ20の設置場所の近隣にコンセントC1等の電源供給部が配置されており、そのコンセントC1からスマートメータ20へ電力が供給される。
<スマートメータ>
スマートメータ20は、一般的には、各家庭、各店舗等の電気料金を支払う需要家の最少単位毎に個別に取り付けられるデジタル式の電力量計である。スマートメータ20は、その内部に演算処理機能および外部との通信を行う通信機能を有している。ただし、例えば、ビル等のように、フロア毎、店舗毎にスマートメータ20が設けられており、当該ビルのオーナーが電気料金を支払う最少単位である場合、そのオーナーが複数のスマートメータ20を所有することもある。
ただし、図2に示したように、スマートメータ20A、20Bのように、スマートメータ20Aについては電気料金を支払う需要家が所有するものの、スマートメータ20Bについては電気料金の支払いとは無関係であり、この認証システム1を構築するために新たに個人的に設けることも可能である。つまり、スマートメータ20は、電気料金の支払いとは無関係に、この認証システム1を構築するために電力会社とは別に私物として購入し設置することが可能である。
スマートメータ20は、1個ずつ全て異なる固有の電力量計である。したがって、複数のスマートメータ20は、それぞれが異なる固有(ユニーク)のスマートメータ識別情報(以下、これを「SM識別情報」ともいう。)を有している。なお、スマートメータ20に割り当てられたSM識別情報は書き換え不能な一意の情報である。
図4に示すように、スマートメータ20は、電力使用量計量部21、記憶部22、および、通信処理部25を有している。電力使用量計量部21は、電力を使用したときの電力使用量を計量して保持する機能部であり、電流を計測する電流センサ、電圧を計測する電圧センサ等により計測された計測値に基づいて電力使用量データを算出する演算処理を行う。
電力使用量計量部21は、例えば、CPU(Central Processing Unit)、メモリ、インタフェースを含むMCU(Micro Control Unit)等によって構成される。なお、電力使用量計量部21は、所在地コード生成装置40とスマートメータ20とがアクティベイトするためのアクティベイトIDおよび初期パスワードを記憶部22に記憶している。ここで、アクティベイトとは、互いに接続する機器同士を有効化することを意味する。
記憶部22は、スマートメータ20に割り当てられている固有(ユニーク)のSM識別情報を書き換え不能な状態で記憶している機能部である。記憶部22は、例えばROM(Read Only Memory)等からなる。すなわち、図5(A)に示すように、スマートメータ20は、ユニークで書き換え不能な固有のSM識別情報を有している。
通信処理部25は、電力使用量計量部21から供給される電力使用量データを外部に送信する機能部であり、例えば、920MHzに対応した無線LSI(Large-Scale Integration)等によって構成される。通信処理部25は、Aルートを介して電力使用量データを例えば30分間隔ごとにスマートメータ管理サーバ30へ無線送信する。ただし、通信処理部25は、電力使用量データをAルート経由で有線送信するようにしてもよい。また、通信処理部25は、例えば、記憶部22に記憶しておいたスマートメータ20のSM識別情報に基づいて920MHzの搬送波を変調し、その結果得られる変調信号を電波として所在地コード生成装置40へBルート経由で無線送信する。
<スマートメータ管理サーバ>
スマートメータ管理サーバ30(図1)は、CPU、大容量ストレージ、ネットワークインタフェース等を有し、多数のスマートメータ20を管理するサーバである。
スマートメータ管理サーバ30は、スマートメータ20が設置されている所在地(住所等)、当該スマートメータ20のSM識別情報、および、スマートメータ20の契約者の個人情報等を一元管理している。このスマートメータ管理サーバ30は、後述する認証サーバ80とインターネット等のネットワークNTを介して接続されている。
スマートメータ管理サーバ30は、スマートメータ20との通信接続状態を常時維持しており、仮にスマートメータ20が故障した場合や、盗難にあって取り外された場合には、当該スマートメータ20との通信接続状態が維持されなくなったことを検出し得、異常状態にあると判定することが可能である。この場合、スマートメータ管理サーバ30は、スマートメータ20が異常状態にあることを認証サーバ80に対しインターネット等のネットワーク経由で通知することが可能である。
<所在地コード生成装置>
所在地コード生成装置40は、スマートメータ20および個人情報管理端末60と無線接続され、特に個人情報管理端末60に対しては超音波通信方式により通信接続される。ただし、これに限るものではなく、個人情報管理端末60に対して赤外線通信、可視光通信等の指向性(直進性)の高い光通信方式や、Bluetooth(登録商標)、WLAN(Wireless Local Area Network)等の近距離無線通信方式により接続されてもよい。
図6に示すように、所在地コード生成装置40は、記憶部41、制御部42、および、通信処理部43を有している。
記憶部41は、所在地コード生成装置40に予め割り当てられた固有(ユニーク)の識別情報(以下、これを「LC識別情報」ともいう。)を記憶する機能部であり、書き換え可能なROM(Read Only Memory)である例えばフラッシュメモリからなる。ただし、記憶部41は、所在地コード生成装置40とスマートメータ20との接続関係が一意であるため、LC識別情報に加えてスマートメータ20のSM識別情報を予め記憶しておくことも可能であり、その場合には書き換え不能なROM等からなることもある。
すなわち、図5(B)に示すように、所在地コード生成装置40は、固有のLC識別情報を予め有している。また、記憶部41は、SM識別情報を予め記憶しておくのではなく、通信処理部43を介してスマートメータ20からSM識別情報を受信し、そのSM識別情報をLC識別情報とともに記憶することも可能である。
なお、記憶部41には、通信処理部43と個人情報管理端末60との間で超音波通信を行うためのアプリケーションプログラムの他、所在地コードを生成等するための専用のアプリケーションプログラムが予めインストールされており、通信処理部43は、このアプリケーションプログラムに基づいて個人情報管理端末60との間で超音波通信を行う。
制御部42は、CPU、メモリ、インタフェースを含むMCUからなり、当該MCUとアプリケーションプログラムとが協働することにより、所在地コード生成部42a、アクティベイト処理部42b、および、アライブ信号生成部42c等の各機能部を構築している。
所在地コード生成部42aは、スマートメータ20および所在地コード生成装置40が取り付けられた所在地に関連したコード(以下、これを「所在地コード」ともいう。)を生成する機能部である。具体的には、所在地コード生成部42aは、認証サーバ80から予め提供されている所定のソルトアンサー関数式を記憶部41に記憶している。
すなわち、所在地コード生成部42aは、認証サーバ80から与えられたソルト情報(何らかの任意のデータ)、記憶部41に記憶したLC識別情報、SM識別情報を用いてソルトアンサー関数式によりソルトアンサー情報となる所在地コードを生成する。
ここで、ソルトアンサー関数式とは、認証サーバ80からソルト情報が与えられた場合に、例えば非可逆処理が行われるハッシュ関数等によりソルトアンサー情報(ハッシュ値等の暗号化データ)を生成するような関数式である。ソルト情報とは、ソルトアンサー関数式に基づいてソルトアンサー情報を算出するための入力となるデータであるが、例えば、時刻データ、電力使用量データをソルト情報として用いることが可能である。ただし、電力使用量データに限るものではなく、素数の集合の値であったり、乱数値であったり、その他、種々の任意のデータを使用することが可能である。
このソルトアンサー関数式は、所在地コード生成装置40毎に異なる固有(ユニーク)の関数式として認証サーバ80から予め提供されている。つまり、図5(C)に示すように、所在地コード生成装置40は、固有(ユニーク)のソルトアンサー関数式を保持している。認証サーバ80は、所在地コード生成装置40とソルトアンサー関数式との対応関係を記憶している。
このように所在地コード生成部42aは、固有(ユニーク)のソルトアンサー関数式を記憶しており、ソルト情報、LC識別情報、および、SM識別情報を用いてソルトアンサー関数式によりシリアルデータからなる所在地コードをソルトアンサー情報として生成する。
ただし、所在地コード生成部42aは、ソルト情報、LC識別情報、および、SM識別情報を全て用いてソルトアンサー関数式により所在地コードを生成しなければならない訳ではなく、少なくともSM識別情報を用いてソルトアンサー関数式により所在地コードを生成してもよく、また、ソルト情報、LC識別情報、SM識別情報を任意に組み合わせて所在地コードを生成してもよい。
図7に示すように、例えば、2台の所在地コード生成装置40a、40bがあり、認証サーバ80から同一のソルト情報(例えば[XKH48269PIM])が提供された場合でも、所在地コード生成装置40a、40bは、ソルトアンサー関数式が双方共に異なり、かつ、LC識別情報(AA-BB-CC)、LC識別情報(ZZ-YY-XX)が異なり、かつ、SM識別情報も双方共に異なっている。
したがって、ソルト情報が同一であっても、所在地コード生成装置40aの所在地コード生成部42aは、固有の所在地コード(例えば[POPPNNJRFFSS])をソルトアンサー情報として生成し、所在地コード生成装置40bの所在地コード生成部42aは、固有の所在地コード(例えば[TPGVELNWPS])をソルトアンサー情報として生成する。
アクティベイト処理部42bは、所在地コード生成装置40と個人情報管理端末60およびスマートメータ20とのアクティベイト処理を行う機能部である。アクティベイト処理部42bは、アクティベイトIDおよび初期パスワード等を内部に記憶しており、アクティベイトIDおよび初期パスワードを用いて所在地コード生成装置40と個人情報管理端末60とをアクティベイトさせ、所在地コード生成装置40とスマートメータ20とをアクティベイトさせる。
アライブ信号生成部42cは、スマートメータ20の通信処理部25を介して30分間隔毎に無線送信される電力使用料データを後述する通信処理部43により受信すると、当該電力使用料データに基づいてアライブ信号を所定時間毎(例えば1秒間毎)に生成し、通信処理部43を介して再度スマートメータ20へ送信する機能部である。
ここで、図8に示すように、アライブ信号ALとは、所在地コード生成装置40、スマートメータ20、および、個人情報管理端末60の3者が有効に接続されたアクティベイト状態において、当該所在地コード生成装置40→スマートメータ20→所在地コード生成装置40→個人情報管理端末60→所在地コード生成装置40→スマートメータ20→……のように、3者間を巡回しながら途切れることなく送信されるものである。このアライブ信号ALの存在は、正規の3者によるネットワークトポロジーが成立していることを意味する。
通信処理部43は、記憶部41のアプリケーションプログラムに従い、Bルートを介してスマートメータ20との間で無線通信を確立(アクティベイト)し、当該スマートメータ20から所在地コード生成装置40のSM識別情報を受信することが可能である。なお、通信処理部43は、アライブ信号ALをスマートメータ20および個人情報管理端末60との間でやりとりする。
また、通信処理部43は、認証サーバ80からのソルト情報およびアライブ信号ALを個人情報管理端末60からの超音波としてマイクロフォン46によって受信することが可能であり、所在地コード生成部42aにより生成された所在地コードを超音波としてスピーカ45から個人情報管理端末60へ発振することが可能である。
図6に示すように、通信処理部43は、無線信号変換部43a、超音波変換部43b、および、音響処理部43cを備えている。無線信号変換部43aは、スマートメータ20の通信処理部25と同様の構成を有している。したがって、無線信号変換部43aは、スマートメータ20から受信した電波を復調してSM識別情報やアライブ信号ALを復元し、スマートメータ20へ無線送信すべきアライブ信号ALを変調する等の変換処理を行うことが可能である。無線信号変換部43aは、スマートメータ20から得られたSM識別情報を記憶部41に格納する。
なお、無線信号変換部43aは、所在地コード生成部42aによって生成された所在地コードをスマートメータ20からスマートメータ管理サーバ30へ所謂Aルートで送信することも可能であり、その場合、例えば、所在地コードに基づいて搬送波を変調し、電波としてスマートメータ20へ無線送信する。
超音波変換部43bは、所在地コード生成部42aによって生成されたシリアルデータからなる所在地コードやアライブ信号ALを無線信号変換部43a経由で受け取ると、その所在地コードをスピーカ45から超音波として出力するための超音波信号に変換する機能部である。
音響処理部43cは、超音波変換部43bから供給される超音波信号に応じた超音波音源を生成してスピーカ45から出力させ、個人情報管理端末60のスピーカから出力された超音波をマイクロフォン46で受信し、超音波信号として超音波変換部43bへ出力する機能部である。例えば、音響処理部43cは、認証サーバ80から個人情報管理端末60を介してソルト情報を超音波として受信したり、個人情報管理端末60からアライブ信号ALを超音波として受信すると、その超音波信号を、超音波変換部43bおよび無線信号変換部43aを介して所在地コード生成部42aへ出力する。
ここで、所在地コード生成装置40と個人情報管理端末60との間で超音波通信を行う理由は、電波通信に比べて通信リンクの確立までに煩雑な処理を要することなく、所在地コード生成装置40と個人情報管理端末60との間の通信リンクの確立が容易であり、データ送信時の秘匿性が高いからである。超音波は、相手機器へ送る信号を超音波に変換してスピーカから発振し、それを相手機器のマイクロフォンで受信させるだけでよく、特別なハードウェア構成を必要とすることなく、ソフトウェアだけで容易に実現可能な通信方式である。
また、超音波は、電気や光に比べて伝達速度が100万分の1と遅く、届く範囲も限られていて指向性も強いため、所在地コード生成装置40と個人情報管理端末60との設置間隔を短くすることになるので、設置間隔が長い場合に比べて漏洩のリスクが低減される。
<個人情報管理端末>
個人情報管理端末60は、例えば、会社等に設置された電子端末であり、従業員の個人情報(マイナンバー、保険証番号、住所、氏名、電話番号、メールアドレス、生年月日等)が記憶されている。個人情報管理端末60は、従業員の個人情報が記憶されているため、特定の者だけにアクセスが許可された端末である。以下の説明においては、個人情報としてマイナンバーを扱う場合を例に挙げて説明する。
個人情報管理端末60は、認証サーバ80とルータrt1、rt2を介して有線接続(または無線接続)されている。ただし、個人情報管理端末60と認証サーバ80とは、ルータrt1、rt2を介すことなく接続されていてもよいし、無線接続されていてもよい。ここで、個人情報管理端末60は、例えば、パソコン等の少なくとも超音波の送受信が可能なスピーカおよびマイクロフォンを備えた電子機器であることが好ましい。
個人情報管理端末60は、CPU、ROM、RAM、メモリ、スピーカ、マイクロフォン、カメラ等を有するコンピュータ機器である。この認証システム1において用いられる個人情報管理端末60は、所在地コード生成装置40との間で超音波通信や各種専用の処理等を行うための専用のアプリケーションプログラムが予めインストールされており、それ以外は通常のパソコンと同様である。
個人情報管理端末60は、所在地コード生成装置40との間で超音波通信を行う場合、アプリケーションプログラムに従い、自身のスピーカおよびマイクロフォンを介して超音波通信を行うことが可能である。具体的には、個人情報管理端末60は、認証サーバ80からのソルト情報を所在地コード生成装置40へ送信したり、所在地コード生成装置40により生成されたソルトアンサー情報である所在地コードを超音波として受信し、認証サーバ80へ送信することが可能である。
なお、個人情報管理端末60は、自身に割り当てられた固有のデバイス識別情報を予め記憶部60bに記憶しており、認証サーバ80に対するログイン認証要求時には、このデバイス識別情報についても、認証サーバ80へ無線送信する。なお、認証サーバ80は、予め個人情報管理端末60のデバイス識別情報についても記憶しているものとする。
図9に示すように、個人情報管理端末60は、ネットワークインタフェースからなる通信処理部60a、大容量ストレージからなる記憶部60b、CPUからなるデータ作成部60c、および、CPUからなるマスキング処理部60dと、を備えている。個人情報管理端末60の通信処理部60a、記憶部60b、データ作成部60c、およびマスキング処理部60dの各機能は、これらのハードウェア資源と記憶部60bに格納されている所定のプログラムとが協働することによって実現される。
通信処理部60aは、個人情報を利用する利用者端末200及び認証サーバ80との間で、主に個人情報に関するデータを無線通信により授受する機能部である。特に、通信処理部60aは、送信用データを利用者端末200に送信する情報送信部として機能する。
記憶部60bは、ソルト情報、ソルトアンサー関数式、スマートメータ20のSM識別情報、所在地コード生成装置40のLC識別情報、個人情報管理端末60のデバイス識別情報等を記憶する機能部である。
データ作成部60cは、記憶部60bに記憶されている12桁のマイナンバーと所在地コード生成装置40によって生成された所在地コードとを組み合わせて、マイナンバーを用いて種々の処理を行う利用者(会計事務所、税務署等)の利用者端末200にマイナンバーを送信するための送信用データを作成する。送信用データの作成においては、CPUが記憶部60bに記憶されている所定のプログラムを実行することによって行われる。
マスキング処理部60dは、データ作成部60cによって作成された送信用データにマスキングをする。具体的に、マスキング処理部60dは、送信用データにおける所在地コードにマスキングして、マスキングデータを作成する。これにより、送信過程でマスキングデータが盗まれた場合であっても、データの送信元、所在地の特定を防止する。なお、マスキング処理部60dは、所在地コードにマスキング処理をする場合に限らず、マイナンバーにマスキング処理をしてもよいし、マイナンバーと所在地コードの双方にマスキング処理をしてもよい。すなわち、所在地コードとマイナンバーのうち、少なくとも一方にマスキング処理がなされていればよい。
<IDパスワード及び所在地コード認証サーバ>
認証サーバ80は、CPU、大容量ストレージ、ネットワークインタフェース等を有するサーバであり、個人情報管理端末60が例えばコンテンツサーバ等にアクセスする前に当該個人情報管理端末60が正当なユーザであることを認証するものである。
図9に示すように、認証サーバ80は、ネットワークインタフェースからなる通信処理部80a、大容量ストレージからなる記憶部80b、CPUからなる認証処理部80c、および、CPUからなるマスキング解除部80dと、CPUからなる判定部80eと、を備えている。認証サーバ80の通信処理部80a、記憶部80b、認証処理部80c、マスキング解除部80d、および、判定部80eの各機能は、これらのハードウェア資源と記憶部80bに格納されている所定のプログラムとが協働することによって実現される。
通信処理部80aは、認証サーバ80と個人情報管理端末60との間でデータを無線により送受信する機能部である。特に、通信処理部80aは、個人情報管理端末60からマスキングデータを受信する情報受信部として機能する。
記憶部80bは、ソルト情報、ソルトアンサー関数式、スマートメータ20のSM識別情報、所在地コード生成装置40のLC識別情報、個人情報管理端末60のデバイス識別情報等を記憶する機能部である。
認証処理部80cは、所在地コード生成装置40から受け取るソルトアンサー情報(所在地コード)や、個人情報管理端末60から受け取るアライブ信号AL、スマートメータ20のSM識別情報、個人情報管理端末60からのユーザID、パスワード、および、デバイス識別情報等に基づいてログイン認証を行う機能部であり、詳細については後述する。
マスキング解除部80dは、利用者端末200から認証のために送られてきたマスキングデータのマスキングを解除して送信用データに戻す。マスキングの解除は、CPUが記憶部80bに記憶された所定のプログラムを実行することにより行われる。したがって、記憶部80bには、各個人情報管理端末60ごとにマスキングのルールが記憶されている。
判定部80eは、個人情報管理端末60からのユーザID、パスワード、所在地コード、これらに対応するマイナンバー、および、デバイス識別情報等と、マスキングを解除した所在地コード及びマイナンバーとが一致するか否かを判定する。
認証サーバ80は、通信処理部80aによりソルト情報を個人情報管理端末60へ送信し、当該個人情報管理端末60を介して当該ソルト情報を所在地コード生成装置40へ超音波として送信可能である。また、認証サーバ80は、所在地コード生成装置40からのソルトアンサー情報(所在地コード)、および、個人情報管理端末60からのユーザID、パスワード、およびデバイス識別情報を通信処理部80aにより受信可能である。
図10に示すように、認証サーバ80は、所在地コード生成装置40へ送信したソルト情報([XKH48269PIM])、および、所在地コード生成装置40が保持しているのと同じソルトアンサー関数式を記憶部80bに記憶している。このため、認証サーバ80は、個人情報管理端末60から受け取るソルトアンサー情報([POPPNNJRFFSS])すなわち所在地コードの正当性を認証処理部80cにより判定することが可能である。なお、認証処理部80cは、ソルトアンサー情報(所在地コード)だけではなく、アライブ信号AL、個人情報管理端末60からのユーザID、パスワード、および、デバイス識別情報等を用いてログイン認証処理を行う。
ログイン認証処理後、認証サーバ80は、個人情報管理端末60から受信した所在地コード及びマイナンバーと、利用者端末200から受信してマスキングを解除した送信用データに含まれる所在地コード及びマイナンバーとを比較し、利用者端末200に送信された送信用データが正しい場所に設置されている個人情報管理端末60から発信されたものであるか否かを真贋判定する。真贋判定の結果、データが一致した場合には、認証サーバ80は、信頼できる正しいデータか否かの判定結果を利用者端末200に送信する。
<利用者端末>
ここで、マイナンバーを利用する利用者端末200について説明する。
利用者端末200は、個人情報管理端末60からのマイナンバーの提供を受けてマイナンバーを利用するものが用いる端末であり、個人情報管理端末60及び認証サーバ80に対して通信可能に構成されている。
利用者端末200は、CPU、大容量ストレージ、ネットワークインタフェース等を有するサーバであり、個人情報管理端末60からマイナンバーに関するデータを受信すると共に、認証サーバ80に対して受信したマイナンバーに関するデータが正当なものであるかどうかについて真贋判定を依頼する。
図9に示すように、利用者端末200は、ネットワークインタフェースからなる通信処理部200a、大容量ストレージからなる記憶部200b、および、CPUからなるデータ検証部200cを備えている。利用者端末200の通信処理部200a、記憶部200b、および、データ検証部200cの各機能は、これらのハードウェア資源と記憶部200bに格納されている所定のプログラムとが協働することによって実現される。
通信処理部200aは、認証サーバ80及び個人情報管理端末60との間でデータを無線により送受信する機能部である。
記憶部200bは、個人情報管理端末60から受信したマスキングデータ等を記憶する機能部である。
データ検証部200cは、個人情報管理端末60から受信したマスキングデータが予め定められたデータ構造になっているか否かを検証する機能部であり、詳細については後述する。
<スマートメータ、所在地コード生成装置、個人情報管理端末の相互の関係>
図11に示すように、認証システム1において、スマートメータ20、所在地コード生成装置40、個人情報管理端末60は、それぞれ装置として物理的に固有のものであり、3者間をそれぞれ接続するネットワーク単体のトポロジーについても固有のものである。このため、認証システム1では、これら3者に加えて、スマートメータ管理サーバ30、および、認証サーバ80を含めた全体のネットワークトポロジーも固有のものとなり、スマートメータ管理サーバ30から認証サーバ80までのネットワークにおいて信号の送受信が可能となる。すなわち、ネットワーク全体にパスが通じる。
したがって、認証システム1のスマートメータ管理サーバ30と、認証サーバ80との間を構築するスマートメータ20、所在地コード生成装置40、および、個人情報管理端末60の3者の固体の組み合わせに1台でも変化が生じた場合、ネットワークトポロジーについても変化が生じることになる。例えば、認証サーバ80は、このネットワークトポロジーがアクティベイトされていて、トポロジー全体に対してルールに基づいたデータが送受信されない場合、個人情報管理端末60からのユーザIDおよびパスワードによる認証を拒絶することが可能となる。
図12に示すように、認証サーバ80は、個人情報管理端末60が当該認証サーバ80に対してログインする際に用いられるユーザIDおよびパスワードと紐付けられる所在地コード生成装置40とスマートメータ20との対応関係を予め認識している。したがって、他のスマートメータ20、他の所在地コード生成装置40、他のユーザIDおよびパスワードの組み合わせでは上述した対応関係を構築し得ないため、認証サーバ80は3者を紐付けることができないようになっている。
所在地コード生成装置40は、スマートメータ20および個人情報管理端末60とアクティベイトすることが可能であり、アクティベイトされると、スマートメータ20および個人情報管理端末60から送信されるデータを継続して受信することが可能となり、自身で生成した所在地コードやアライブ信号ALをアクティベイト中のスマートメータ20や個人情報管理端末60へ送信可能となる。
また、所在地コード生成装置40は、スマートメータ20とのアクティベイトが解除されると、個人情報管理端末60へ送信されるデータ(所在地コード)が制限され、再度アクティベイトされるまでその制限が続く。
アクティベイトされた所在地コード生成装置40とスマートメータ20との組み合わせは固有(ユニーク)なものであり、所在地コード生成装置40は、一度スマートメータ20とアクティベイトされた場合、そのスマートメータ20に限って再アクティベイト可能となる。したがって、所在地コード生成装置40は、最初にアクティベイトしたスマートメータ20以外のスマートメータ20とはアクティベイトすることができず、当該所在地コード生成装置40は他のスマートメータ20との接続に転用不可能となる。
所在地コード生成装置40は、個人情報管理端末60とのアクティベイトを複数台可能であるが、2台目以降の個人情報管理端末60とのアクティベイトを行うには一定の条件が必要であり、その点については後述する。
<所在地コード生成装置とスマートメータおよび個人情報管理端末とのアクティベイト>
まず、所在地コード生成装置40とスマートメータ20とをアクティベイトする前に、所在地コード生成装置40と個人情報管理端末60とのアクティベイトを行う必要がある。その理由は、スマートメータ20および所在地コード生成装置40には、入力部(マウス、キーボード等)およびその入力結果を表示する表示部(液晶画面等)が存在していない場合もあり、両者間のアクティベイトを実行する術がないからである。
図13に示すように、所在地コード生成装置40と1台目の個人情報管理端末60とをアクティベイトするに際し、個人情報管理端末60は、所在地コード生成装置40へアクティベイトするためのアクティベイトIDと初期パスワードを予め認証サーバ80から受信して記憶しておく。
具体的には、所在地コード生成装置40の正規ユーザは、認証システム1の正当な利用者であるとして認証サーバ80からアクティベイトIDおよび初期パスワードが個人情報管理端末60に通知されるため、当該個人情報管理端末60にアクティベイトIDおよび初期パスワードを記憶しておくことができる。
個人情報管理端末60は、ユーザの操作に応じてアクティベイトIDおよび初期パスワードを読み出し、これらを超音波通信により所在地コード生成装置40へ送信する。所在地コード生成装置40のアクティベイト処理部42bは、個人情報管理端末60からのアクティベイトIDおよび初期パスワードが正しいか否かを判定し、正しいと判定した場合に1台目の個人情報管理端末60とのアクティベイト処理を実行する。なお、アクティベイト完了後においては、ユーザにより初期パスワードを任意の値に変更可能であるが、アクティベイトIDについては所在地コード生成装置40と紐付いた固有のIDであるため変更はできない。
続いて、図14に示すように、所在地コード生成装置40とスマートメータ20とをアクティベイトさせるに際し、個人情報管理端末60は、所在地コード生成装置40とアクティベイトする際に用いたアクティベイトIDおよび初期パスワードを、当該所在地コード生成装置40を介してスマートメータ20へ無線送信する。スマートメータ20の電力使用量計量部21は、アクティベイトIDおよび初期パスワードが正しいか否かを判定し、正しいと判定した場合に所在地コード生成装置40とのアクティベイト処理を実行する。
次に、図15に示すように、所在地コード生成装置40と2台目の個人情報管理端末60sとをアクティベイトさせる場合について説明する。所在地コード生成装置40は、2台目の個人情報管理端末60sとアクティベイトするには、スマートメータ20および1台目の個人情報管理端末60との間のアクティベイト処理が完了している必要がある。
この場合、所在地コード生成装置40と1台目の個人情報管理端末60との間でアクティベイト処理が完了していれば、たとえ1台目の個人情報管理端末60が現在非アクティブ状態であっても、2台目の個人情報管理端末60sと所在地コード生成装置40との間でアクティベイト処理を行うことが可能である。
続いて、所在地コード生成装置40が個人情報管理端末60およびスマートメータ20との間で上述したようなアクティベイト処理を行う際の手順について説明する。
図16のメインルーチンMRT1に示すように、所在地コード生成装置40の制御部42は、ステップSP1において、通信処理部43を介して個人情報管理端末60から受信したものがアクティベイト要求であるか否かをアクティベイト処理部42bにより判定し、否定結果が得られると(ステップSP1:NO)、次のステップSP2へ移り、肯定結果が得られると(ステップSP1:YES)、ステップSP5へ移る。
ステップSP2において制御部42のアクティベイト処理部42bは、通信処理部43を介して受信したものがスマートメータ20からのアクティベイト要求であるか否かをアクティベイト処理部42bにより判定する。ここで、スマートメータ20は入力部および表示部を有していないため、個人情報管理端末60を介して当該スマートメータ20から所在地コード生成装置40へアクティベイト要求が行われる。
ステップSP2において否定結果が得られると(ステップSP2:NO)、このことは、アクティベイト要求が所在地コード生成装置40に紐付けられている正規の個人情報管理端末60およびスマートメータ20からのものではないことを意味しており、この場合、アクティベイト処理部42bは次のステップSP3へ移る。一方、ステップSP2において肯定結果が得られると(ステップSP2:YES)、次のステップSP4へ移り、後述するようなスマートメータ20とのアクティベイト処理へ移行する。
ステップSP3においてアクティベイト処理部42bは、正規な個人情報管理端末60および正規なスマートメータ20からのアクティベイト要求ではないので、個人情報管理端末60に対してエラー通知を行い、当該個人情報管理端末60の表示画面にアクティベイトエラーを表示させ、アクティベイト処理を終了する。
ステップSP5においてアクティベイト処理部42bは、アクティベイト要求を受け付けた個人情報管理端末60が1台目であるか否かを判定し、所在地コード生成装置40が非アクティベイト状態であれば、当該個人情報管理端末60が1台目であるため、肯定結果が得られ(ステップSP5:YES)、次のステップSP6へ移る。
ステップSP6においてアクティベイト処理部42bは、個人情報管理端末60からアクティベイト用のアクティベイトID、および、アクティベイト用初期パスワードを受信し、次のステップSP7へ移る。
ステップSP7においてアクティベイト処理部42bは、個人情報管理端末60から受信したアクティベイトID、および、アクティベイト用初期パスワードの双方共に正しいか否かを判定する。ここで、正規の個人情報管理端末60であれば、認証サーバ80から予めアクティベイトID、および、アクティベイト用初期パスワードを貰い受けており、また、所在地コード生成装置40のアクティベイト処理部42bにおいても、個人情報管理端末60に割り当てられたアクティベイトID、および、アクティベイト用初期パスワードを記憶している。
ステップSP7において肯定結果が得られると(ステップSP7:YES)、アクティベイト処理部42bは、自身で記憶していたアクティベイトID、および、アクティベイト用初期パスワードと、個人情報管理端末60から受信したアクティベイトID、および、アクティベイト用初期パスワードとが一致するので、正当な接続関係を有する正規の個人情報管理端末60であると認識することができる。したがってアクティベイト処理部42bは、次のステップSP8へ移って、個人情報管理端末60とのアクティベイト処理を行った後、再度ステップSP1へ戻る。
これに対して、ステップSP7において否定結果が得られると(ステップSP7:NO)、アクティベイト処理部42bは、アクティベイトID、および、アクティベイト用初期パスワードが一致せず、正当な接続関係を有する正規の個人情報管理端末60ではないと認識し、次のステップSP9へ移って、当該個人情報管理端末60にアクティベイトエラーを表示させた後、再度ステップSP1へ戻る。
ところで、ステップSP5において否定結果が得られると(ステップSP5:NO)、このことは、アクティベイト要求を受け付けた個人情報管理端末60が1台目ではなく、2台目であることを意味しており、この場合、アクティベイト処理部42bは、次のステップSP10へ移り、2台目の個人情報管理端末60sに対するアクティベイト処理を行う。
ステップSP10においてアクティベイト処理部42bは、1台目の個人情報管理端末60と既にアクティベイト済みである場合に限り、2台目の個人情報管理端末60sに対する仮パスワードを生成し、これを1台目の個人情報管理端末60へ通信処理部43による超音波通信によって送信し、次のステップSP11へ移る。
ステップSP11において、1台目の個人情報管理端末60は、受信した仮パスワードを表示する。ステップSP12において、2台目の個人情報管理端末60sから、仮パスワードおよび1台目の個人情報管理端末60の場合と同じアクティベイトIDを入力する。ステップSP13において、アクティベイト処理部42bは、アクティベイトIDおよび仮パスワードを受信し、次のステップSP7〜ステップSP9の処理に移り、アクティベイトIDおよび仮パスワードに基づいて2台目の個人情報管理端末60sのアクティベイト処理を実行する。因みに、2台目の個人情報管理端末60sから1台目の個人情報管理端末60の場合と同じアクティベイトIDを受信できるのは、1台目の個人情報管理端末60および2台目の個人情報管理端末60sの所有者が正規ユーザである以上は同一であり、正規の1台目の個人情報管理端末60に続く正規の2台目の個人情報管理端末60sといえるからである。
続いて、ステップSP4における所在地コード生成装置40とスマートメータ20とのアクティベイト処理について詳細に説明する。図17に示すように、ステップSP41において、所在地コード生成装置40のアクティベイト処理部42bは、当該所在地コード生成装置40と1台目の個人情報管理端末60とが既にアクティベイト済みであるか否かを判定し、否定結果が得られると(ステップSP41:NO)、ステップSP1(図16)に戻り、肯定結果が得られると(ステップSP41:YES)、次のステップSP42へ移る。
ステップSP42においてアクティベイト処理部42bは、既にアクティベイト済みの個人情報管理端末60からの要求に応じて、通信処理部43によりスマートメータ20と無線接続し、次のステップSP43へ移る。
ステップSP43においてアクティベイト処理部42bは、認証サーバ80からスマートメータ20に予め割り当てられていたアクティベイトID、および、アクティベイト用初期パスワードをアクティベイト済みの個人情報管理端末60からスマートメータ20に代わって受信したか否かを判定する。ここで、否定結果が得られると(ステップSP43:NO)、再度ステップSP43に戻り、アクティベイト処理部42bは、個人情報管理端末60からスマートメータ20のアクティベイトID、および、アクティベイト用初期パスワードを受信するまで待ち受ける。
これに対して、ステップSP43において肯定結果が得られると(ステップSP43:YES)、アクティベイト処理部42bは、次のステップSP44乃至ステップS46へ移り、ステップSP7乃至ステップSP9と同様にスマートメータ20に対するアクティベイト処理を実行する。
すなわち、アクティベイト処理部42bは、アクティベイトID、および、アクティベイト用初期パスワードに基づいて所在地コード生成装置40と正当な接続関係を有する正規のスマートメータ20であると認識した場合(ステップSP44:YES)、ステップSP45において当該スマートメータ20とのアクティベイト処理を行う。
一方、アクティベイト処理部42bは、アクティベイトID、および、アクティベイト用初期パスワードに基づいて正当な接続関係を有することのない正規の個人情報管理端末60ではないと認識した場合(ステップSP44:NO)、ステップSP46において、スマートメータ20と所在地コード生成装置40との間にアクティベイトエラーが生じたことをその個人情報管理端末60に通知して表示させた後、スマートメータ20とのアクティベイト処理を終了する。
<認証処理シーケンス>
次に、認証システム1において、スマートメータ20、所在地コード生成装置40、個人情報管理端末60を用いた認証サーバ80によるログイン処理時の認証処理シーケンスについて、図18のシーケンスチャートを用いて説明する。
最初に、個人情報管理端末60は、処理手順SK1において、アクティベイトIDおよびアクティベイト用初期パスワードを所在地コード生成装置40とアクティベイトするための当該個人情報管理端末60からの認証情報として当該所在地コード生成装置40へ送信する。
所在地コード生成装置40は、処理手順SK2において、個人情報管理端末60の認証が成功すると当該個人情報管理端末60とのアクティベイト処理を行い、アクティベイト済みである旨の通知を個人情報管理端末60に行う。すなわち、所在地コード生成装置40は、個人情報管理端末60とのアクティベイト処理を最初に完了する。
その後、所在地コード生成装置40は、処理手順SK3、SK4において、個人情報管理端末60のアクティベイト処理(処理手順SK1、SK2)と同様に、スマートメータ20とのアクティベイト処理を完了する。
所在地コード生成装置40の制御部42は、個人情報管理端末60およびスマートメータ20の双方とのアクティベイト処理が完了し、正規の3者によるトポロジーが成立したので、処理手順SK5において、アライブ信号生成部42cによりアライブ信号ALを生成し、これをスマートメータ20へ送信する。
スマートメータ20の通信処理部25は、処理手順SK6において、所在地コード生成装置40から送信されてくるアライブ信号ALを受信すると、これを所在地コード生成装置40へ返信する。
所在地コード生成装置40は、処理手順SK7において、通信処理部43によりスマートメータ20からアライブ信号ALを受信すると、当該通信処理部43を介してこのアライブ信号ALを超音波通信により個人情報管理端末60へ送信する。
個人情報管理端末60は、処理手順SK8において、アライブ信号ALを受信すると、このアライブ信号ALを超音波通信により直ちに所在地コード生成装置40へ返信する。このように所在地コード生成装置40は、図19に示すように、これ以降、3者間でアライブ信号ALを循環し続けさせる。ただし、アライブ信号ALの循環の方向は、これとは逆向き、すなわち、所在地コード生成装置40→個人情報管理端末60→所在地コード生成装置40→スマートメータ20→所在地コード生成装置40→……であってもよい。
個人情報管理端末60は、処理手順SK9において、所在地コード生成装置40およびスマートメータ20との3者間で正規なトポロジーが成立し、アライブ信号ALが循環できているので、アライブ信号AL、所望のサーバにログインするためのユーザIDおよびパスワード、当該個人情報管理端末60に割り当てられている固有のデバイス識別情報からなる認証要求情報を認証サーバ80に対して送信する。
認証サーバ80は、処理手順SK10、SK11において、ソルト情報を生成し、これを個人情報管理端末60を介して所在地コード生成装置40へ超音波通信により送信する。
所在地コード生成装置40は、処理手順SK12、SK13において、ソルト情報を受信すると、スマートメータ20のSM識別情報、当該所在地コード生成装置40のLC識別情報、および、ソルト情報を用いて所定のソルトアンサー関数式により固有のソルトアンサー情報(所在地コード)を生成し、これを個人情報管理端末60から認証サーバ80へ送信する。
認証サーバ80は、処理手順SK14において個人情報管理端末60からのログイン要求に対する真贋判定を行う。具体的には、図20に示すように、認証サーバ80は、スマートメータ20、所在地コード生成装置40および個人情報管理端末60の3者が認証サーバ80の認める正規かつ固有のネットワークトポロジーを構築しており、3者を循環する最新のアライブ信号AL、個人情報管理端末60からのユーザID、パスワード、所在地コード生成装置40により生成されるソルトアンサー情報(所在地コード)、および、個人情報管理端末60の固有のデバイス識別情報の何れも全てが正しく揃っている場合に限り、個人情報管理端末60からのログイン要求が真であると判定し、ログイン認証を認める。この認証サーバ80によるログイン認証処理手順を、図21のフローチャートにより具体的に説明する。
図21に示すように、認証サーバ80の認証処理部80cは、処理手順SK14のステップSP51において、個人情報管理端末60からアライブ信号AL、ユーザID、パスワード、個人情報管理端末60のデバイス識別情報からなる認証要求情報を通信処理部80aにより受信したか否かを判定し、否定結果が得られると(ステップSP51:NO)、認証要求情報を受信するまで待ち受け、肯定結果が得られると(ステップSP51:YES)、次のステップSP52へ移る。
ステップSP52において認証処理部80cは、個人情報管理端末60から受信した認証要求情報に含まれるアライブ信号ALの生成時刻に基づいて、最新のアライブ信号ALであるか否かを判定する。上述したように、アライブ信号ALは1秒毎に生成されているため、認証処理部80cは、現在時刻と比較することにより最新のアライブ信号ALであるか否かを判定可能である。例えば、アライブ信号ALが生成された時刻と現在時刻との差が例えば2秒以内であれば、当該アライブ信号ALが最新のアライブ信号であると判定してもよい。
ステップSP52において認証処理部80cは、最新のアライブ信号ALを正常に受信したか否かを判定する。ここで、否定結果が得られると(ステップSP52:NO)、このことは、スマートメータ20、所在地コード生成装置40および個人情報管理端末60の3者が認証サーバ80の認める正規かつ固有のネットワークトポロジーを構築しておらず、最新のアライブ信号ALを受信できないことを表している。このとき認証処理部80cは、ステップSP58へ移り、個人情報管理端末60に「NOT TRUE」を表す非認証結果情報を送信して、当該個人情報管理端末60に「NOT TRUE」を表示させた後、ログイン認証処理手順を終了する。
これに対して、ステップSP52において肯定結果が得られると(ステップSP52:YES)、認証処理部80cは、スマートメータ20、所在地コード生成装置40および個人情報管理端末60の3者が認証サーバ80の認める正規かつ固有のネットワークトポロジーを構築していると認識し、次のステップSP53に移って、ソルト情報を通信処理部80aにより個人情報管理端末60へ送信する。
これにより個人情報管理端末60は、ソルト情報を所在地コード生成装置40へ送信する。所在地コード生成装置40は、ソルト情報、SM識別情報、LC識別情報を用いてソルトアンサー関数式によりソルトアンサー情報(所在地コード)を生成し、これを個人情報管理端末60から認証サーバ80へ送信する。
ステップSP54において認証処理部80cは、所在地コード生成装置40からのソルトアンサー情報(所在地コード)を受信し、次のステップSP55へ移る。ステップSP55において認証処理部80cは、最新のアライブ信号AL、個人情報管理端末60からのユーザIDおよびパスワード、所在地コード生成装置40により生成されるソルトアンサー情報(所在地コード)、および、個人情報管理端末60のデバイス識別情報の4つの要素が全て正しく揃っている場合に限り、肯定結果を得て(ステップSP55:YES)、次のステップSP56へ移る。
ステップSP56において認証処理部80cは、個人情報管理端末60に対するログイン処理を実行し、次のステップSP57において「TRUE」を表す認証結果情報を送信することにより、当該個人情報管理端末60に「TRUE」を表示させた後、ログイン認証処理手順を終了する。
これに対してステップSP55において、否定結果が得られると(ステップSP55:NO)、このことは、4つの要素が全て揃っていないため認証処理部80cはログインを認めることができないことを意味し、ステップSP58へ移り、上述したように、非認証結果情報を個人情報管理端末60へ送信した後、ログイン認証処理手順を終了する。
ここでステップSP55において否定結果が得られる場合とは、例えば、図22に示すように、最新のアライブ信号ALだけが取得できない場合、図23に示すように、最新のアライブ信号ALおよびソルトアンサー情報(所在地コード)が取得できない場合、図24に示すように、最新のアライブ信号AL、ソルトアンサー情報(所在地コード)およびデバイス識別情報が取得できない場合、および、図25に示すように、4つの要素全てが取得できない場合等がある。
ただし、図25に示したように、悪意の第三者がユーザID、パスワードを不正に入手し、個人情報管理端末60を不正に入手し、所在地コード生成装置40を不正に入手し、かつ、スマートメータ20を不正に入手した場合、悪意の第三者によるなりすましができてしまう可能性があるとも考えられる。
しかしながら、スマートメータ20が正規の所在地から撤去されて、他の場所に取り付けられた場合、スマートメータ管理サーバ30とスマートメータ20の両者間の通信が切断される。したがってスマートメータ管理サーバ30は、本来の所在地にスマートメータ20が設置されていないか、あるいは故障が生じた異常な状態であると判定し、異常である旨の異常情報をインターネット経由で認証サーバ80へ送信することが可能である。
これにより認証サーバ80は、たとえ、悪意の第三者がユーザID、パスワード、個人情報管理端末60、所在地コード生成装置40、および、スマートメータ20を全て不正に取得した場合でも、不正なログイン認証を未然に防止し、悪意の第三者による不正なログイン認証を事実上無効化することができる。
このように認証システム1では、スマートメータ20、所在地コード生成装置40および個人情報管理端末60の3者が認証サーバ80の認める正規かつ固有のネットワークトポロジーを構築している場合に限り、ログイン認証処理を実行することができるので、悪意の第三者によるなりすましを従来に比して格段に防止し得、ネットワーク上のセキュリティの安全性を従来に比して一段と保証することができる。
<AルートおよびBルートの双方を用いた認証システム>
次に、AルートおよびBルートの双方を用いた複数の認証システムについて説明する。図1との対応部分に同一符号を付した図26に示すように、認証システム1aは、スマートメータ20、所在地コード認証およびスマートメータ管理サーバ30s、所在地コード生成装置40、個人情報管理端末60、および、認証サーバ80を備えている。この認証システム1aでは、特に、所在地コード認証及びスマートメータ管理サーバ30sが設けられている点が異なる。
所在地コード認証及びスマートメータ管理サーバ30sは、所在地コード生成装置40により生成された所在地コードを所謂Aルートによりスマートメータ20から受信することが可能となっている。
所在地コード生成装置40は、これまで通り、所謂Bルートにより個人情報管理端末60を介して認証サーバ80へ所在地コードを送信しており、認証サーバ80はBルート経由で受信した所在地コードをルータrt3、インターネット、および、ルータrt4を介して所在地コード認証及びスマートメータ管理サーバ30sへ送信する。
所在地コード認証及びスマートメータ管理サーバ30sは、認証サーバ80の構成(図9)と基本的には同一の構成を有し、図示しない認証処理部において、Aルート経由で受信した所在地コードと、Bルート経由で受信した所在地コードとのマッチングを行う。
所在地コード認証及びスマートメータ管理サーバ30sは、双方の所在地コードが一致した場合には正常なログイン認証として認め、「TRUE」を表す認証結果情報をAルート経由でスマートメータ20に送信し、さらにBルート経由で所在地コード生成装置40から個人情報管理端末60へ送信するとともに、当該認証結果情報をインターネット経由で認証サーバ80へ送信する。
これにより認証サーバ80は、所在地コード認証及びスマートメータ管理サーバ30sから受信した認証結果情報に基づいて個人情報管理端末60によるユーザIDおよびパスワードを用いたログイン処理を実行することができる。
また、図26との対応部分に同一符号を付した図27に示すように、認証システム1bは、スマートメータ20、スマートメータ管理サーバ30、所在地コード生成装置40、個人情報管理端末60、および、所在地コード認証及びIDパスワード認証サーバ80sを備えている。この認証システム1bでは、特に、所在地コード認証及びIDパスワード認証サーバ80sが設けられている点が異なる。
この場合、スマートメータ管理サーバ30は、所在地コード生成装置40により生成された所在地コードを所謂Aルートによりスマートメータ20から受信している。スマートメータ管理サーバ30は、ルータrt4、インターネット、ルータrt3を介して所在地コードを所在地コード認証及びIDパスワード認証サーバ80sへ送信する。所在地コード生成装置40は、これまで通り、所謂Bルートにより個人情報管理端末60を介して所在地コード認証及びIDパスワード認証サーバ80sへ所在地コードを送信している。
したがって、所在地コード認証及びIDパスワード認証サーバ80sは、認証処理部80cにおいて、Aルート経由で受信した所在地コードと、Bルート経由で受信した所在地コードとのマッチングを行う。所在地コード認証及びIDパスワード認証サーバ80sは、双方の所在地コードが一致した場合には正常なログイン認証として認め、「TRUE」を表す認証結果情報を個人情報管理端末60へ送信するとともに、個人情報管理端末60によるログイン処理を実行する。ただし、これに限るものではなく、所在地コード認証及びIDパスワード認証サーバ80sは、Aルート経由でスマートメータ20から所在地コード生成装置40を介して個人情報管理端末60へ認証結果情報を送信することも可能である。
さらに、図1との対応部分に同一符号を付した図28に示すように、認証システム1cは、スマートメータ20、スマートメータ管理サーバ30、所在地コード生成装置40、個人情報管理端末60、IDパスワード認証サーバ80に加えて、所在地コード認証サーバ100を備えている。この認証システム1cでは、特に、所在地コード認証サーバ100が新たに設けられている点が異なる。所在地コード認証サーバ100は、IDパスワード認証サーバ80の構成(図9)と基本的には同一の構成を有する。
この場合、所在地コード認証サーバ100が、所謂Aルートによりスマートメータ管理サーバ30からルータrt4を介して受信した所在地コードと、所謂BルートによりIDパスワード認証サーバ80からルータrt3を介して受信した所在地コードとのマッチングを行う。所在地コード認証サーバ100は、双方の所在地コードが一致した場合には正常なログイン認証として認め、「TRUE」を表す認証結果情報をAルートまたはBルートを介して個人情報管理端末60へ送信する。
すなわち、図29に示すように、認証システム1a〜1cでは、所在地コード認証及びスマートメータ管理サーバ30s、所在地コード認証及びIDパスワード認証サーバ80s、または、所在地コード認証サーバ100の何れかにおいて、AルートおよびBルートの双方から受信した所在地コードをマッチングし、両方の所在地コードが一致した場合には正常なログイン認証として認める。なお、この場合も、所在地コードだけではなく、最新のアライブ信号AL、個人情報管理端末60からのユーザID、パスワード、および、個人情報管理端末60のデバイス識別情報を用いて認証を行っている。
これにより、所在地コード生成装置40により生成された所在地コードがスマートメータ20経由のAルート、および個人情報管理端末60経由のBルートの何れかにおいて、正規なネットワークトポロジーが構築されていない場合には、所在地コードが一致しないので認証システム1a〜1cでは、不正なログイン認証を事実上無効化し、ネットワーク上のセキュリティの安全性を保証することができる。
<個人情報管理端末の真贋判定シーケンス>
次に、認証システム1において、個人情報管理端末60を用いた認証サーバ80によるログイン後の個人情報管理端末60の真贋判定シーケンスについて、図30のシーケンスチャートを用いて説明する。
最初に、マイナンバーを利用しようとしている会計事務所等の利用者は、処理手順SK21において、利用者端末200から個人情報管理装置60の所有者にマイナンバー情報の提供を依頼する。
マイナンバー情報の提供の依頼を受けた個人情報管理装置60の所有者又は取り扱いの権限を付与された者は、処理手順SK22において、利用者端末200に送信するためのマスキングデータを作成する。ここで、マスキングデータは、送信用データの少なくとも一部にマスキング処理を施したデータである。図32(a)に示すように、送信用データは、例えば、マイナンバーを示す12桁の数字[123456789012]に所在地コードを付加し、マイナンバー情報とは判別できない形式のデータとして作成される。この送信用データは、個人情報管理端末60のマスキング処理部60dによって所在地コードにマスキング処理が施される。
個人情報管理装置60は、処理手順SK22のステップSP101において、マイナンバー情報の提供依頼を受けたか否かを判定する。ここで、マイナンバー情報の提供依頼を受けた場合(ステップSP101:YES)、個人情報管理装置60は、処理手順SK22のステップSP102において、所在地コード生成装置40によって生成された所在地コードと送信する12桁のマイナンバーとを組み合わせて送信用データを作成する。
その後、個人情報管理装置60は、処理手順SK22のステップSP103において、送信用データの所在地コードにマスキング処理を行い、マスキングデータ[AABBCCCDDD123456789012]を作成する。所在地コードにはマスキング処理が施され、[AABBCCCDDD]のデータに変換されている。ここで、マスキング処理は、所在地コードが判定できないようなものであれば、どのようなものでもよい。また、図32(b)に示すように、マスキングデータの配列は、マイナンバーが先に並んでいてもよい。また、マスキングデータは、上述のように、所在地コードだけをマスキングする場合に限らず、マイナンバーだけをマスキングしてもよい。また、図32(c)に示すように、マイナンバーと所在地コードの双方をマスキングしてもよい。
送信用データのマスキング処理によるマスキングデータの作成後、個人情報管理端末60は、処理手順SK23において、マスキングデータを利用者端末200に送信する。
利用者端末200は、 処理手順SK24において、受信したマスキングデータが予め定められた形式のデータ構造となっているか否かについて検証する。具体的には、図33に示すように、利用者端末200は、処理手順SK24のステップSP121において、個人情報管理端末60からマスキングデータを受信したか否かを判定する。利用者端末200は、マスキングデータを受信したと判定した場合(ステップSP121:YES)、ステップSP122において、マスキングデータの桁数が定められた桁数になっているか等についてデータをチェックし、ステップSP123において、定められたデータ構造になっているか否かを判定する。利用者端末200は、受信したマスキングデータの構造が定められた構造になっていると判定した場合(ステップSP123:YES)、ステップSP124において、受信したマスキングデータを記憶部200bに保存する。一方、利用者端末200は、受信したマスキングデータの構造が定められた構造になっていないと判定した場合(ステップSP123:NO)、ステップSP125において、エラー等の表示を利用者端末200の画面に表示して注意を喚起する。
受信したマイナンバーを利用する際において、利用者は、受信したマスキングデータが正当な個人情報管理端末60から送信されてきたものかどうかを判別できないため、利用者は、処理手順SK25において、利用者端末200から認証サーバ80に向けてマスキングデータを送信し、判定の依頼を行う。
判定の依頼を受けた認証サーバ80は、処理手順SK26において、受信したマスキングデータのマスキングを解除する。具体的には、図34に示すように、認証サーバ80は、処理手順SK26のステップSP141において、マスキングデータの正当性の判定依頼があったか否かを判定する。認証サーバ80は、マスキングデータの判定依頼があったと判定した場合(ステップSP141:YES)、ステップSP142において、利用者端末200からマスキングデータを受信する。次いで、認証サーバ80は、ステップSP143において、受信したマスキングデータのマスキングを解除し、送信用データに戻す。
次いで、認証サーバ80は、処理手順SK27において、利用者端末200に送信したマスキングデータに含まれる所在地コード、マイナンバー及びユーザID等の情報を送信するよう個人情報管理装置60に依頼する。
依頼を受けた個人情報管理装置60は、処理手順SK28において、依頼を受けたマスキングデータに関する情報を認証サーバ80に送信する。
次いで、認証サーバ80は、処理手順SK29において、利用者端末200から判定の依頼を受けたマスキングデータに含まれるマイナンバーや所在地コードの真贋判定を行う。具体的には、図35に示すように、認証サーバ80は、処理手順SK29のステップSP161において、個人情報管理端末60からマイナンバーや所在地コードのデータを受信したか否かを判定する。認証サーバ80は、マイナンバーや所在地コードのデータを受信したと判定した場合(ステップSP161:YES)、認証サーバ80は、ステップSP162において、利用者端末200から判定の依頼を受けたマスキングデータに含まれるマイナンバーや所在地コードと、個人情報管理端末60から受信したマイナンバーや所在地コードとのマッチングを行う。
なお、認証サーバ80が個人情報管理端末60から所在地コード、マイナンバー、識別情報等を受信するタイミングは、マッチング前であればいつでもよい。例えば、個人情報管理端末60が利用者端末200にマスキングデータを送信すると同時に、そのマスキングデータに含まれる情報を認証サーバ80に送信してもよいし、各個人情報管理端末60の識別情報および各個人情報管理端末60に記憶されている情報を予め認証サーバ80に記憶させていてもよい。
次いで、認証サーバ80は、ステップSP163において、マッチングの結果、互いのマイナンバーや所在地コードが一致したか否かを判定する。ここで、認証サーバ80は、互いのマイナンバーや所在地コードが一致したと判定した場合(ステップSP163:YES)、ステップSP164において、利用者端末200に受信したマスキングデータの情報は正当なものである旨の回答「TRUE」を表す判定結果を個人情報管理端末60へ送信する。一方、認証サーバ80は、互いのマイナンバーや所在地コードが一致していないと判定した場合(ステップSP163:NO)、ステップSP165において、利用者端末200に受信したマスキングデータの情報は正当なものではない旨「NOT TRUE」を表す判定結果を送信する。
以上のように、マイナンバーが含まれたマスキングデータを受け取ったマイナンバーの利用者は、そのマイナンバーが正しいものなのか、及び正当な個人情報管理端末60から送られてきたものかについて把握することができない。
しかし、利用者は、自身の利用者端末200を介して認証サーバ80に真贋判定を依頼することで、送信元の個人情報管理端末60が正当なものであるか、および、利用しようとするマイナンバーが正当なものであるかについて、確認することができる。
これにより、会社等から個人情報管理端末60が盗まれ、この個人情報管理端末60にログインするためのユーザID、パスワードが盗まれた場合であっても、スマートメータ20と所在地コード生成装置40と個人情報管理端末60とがアクティベイトできなくなるので、個人情報管理端末60の不正利用を防止することができる。
また、マイナンバーをネットワーク上で送信する際には、個人情報管理端末60は、利用者端末200にマイナンバーのデータを送信する前に、マイナンバーに所在地コードを組み合わせ、所在地コードをマスキングしているので、マイナンバー及びマイナンバーの送信元を特定することができなくなる。これにより、重要な個人情報であるマイナンバーを高いセキュリティレベルで保護することができる。
また、利用者端末200は、受信したマスキングデータのデータ構造を検証して、正当なデータであるか否かを判定することができるので、不正なデータ利用を防止することができる。
このように、本実施の形態によれば、ユーザID、パスワードに加え、所在地コードを加味して個人情報管理端末60へのログイン認証を行うことで、ユーザの正当性及び個人情報管理端末60の正当性を判定することができると共に、通信の際に送信用データの所在地コードにマスキングすることで、マイナンバーの不正使用を未然に防止することができる。
<他の実施の形態>
以上、本発明の好適な実施の形態について説明したが、本発明は上記の実施の形態に係る認証システム1に限定されるものではなく、本発明の概念および特許請求の範囲に含まれるあらゆる態様を含む。また、上述した課題および効果の少なくとも一部を奏するように、各構成を適宜選択的に組み合わせてもよい。例えば、上記実施の形態における各構成要素の配置、組み合わせ等は、本発明の具体的使用態様によって適宜変更され得る。
例えば、所在地コード及びマイナンバー等の情報のマッチングは、Bルートを用いた認証サーバ80に限らず、図26に示すように、Aルートを用いてスマートメータ管理サーバ30で行ってもよいし、図28に示すように、共有のサーバで行ってもよい。
1、1a、1b、1c……認証システム、20……スマートメータ(電力量計)、21……電力使用量計量部、22……記憶部、25……通信処理部、30……スマートメータ管理サーバ、30s……所在地コード認証及びスマートメータ管理サーバ40……所在地コード生成装置、40M……所在地コード生成装置(親機)、40S……所在地コード生成装置(子機)、41……記憶部、42……制御部、42a……所在地コード生成部、42b……アクティベイト処理部、42c……アライブ信号生成部、43……通信処理部、43a……無線信号変換部、43b……超音波変換部、43c……音響処理部、45……スピーカ、46……マイクロフォン、60……個人情報管理端末、60a……通信処理部(情報送信部)、60c……データ作成部、60d……マスキング処理部、80……所在地コード認証及びIDパスワード認証サーバ(認証サーバ)、80a……通信処理部(情報受信部)、80b……記憶部、80c……認証処理部、80d……マスキング解除部、80e……判定部、80s……所在地コード認証及びIDパスワード認証サーバ、90……分電盤、200……利用者端末、200a……通信処理部、200b……記憶部、200c……データ検証部、D1,D2……LPC装置、rt1〜rt4……ルータ。

Claims (13)

  1. デジタル式の電力量計と、
    前記電力量計に割り当てられた固有の電力量計識別情報を基に所定の関数式により固有の所在地コードを生成する所在地コード生成部、および、前記所在地コードを所定の通信方式により送信する通信処理部を有する所在地コード生成装置と、
    前記通信処理部により送信される前記所在地コードを受信した個人情報管理端末から前記所在地コードを受け取り、前記所在地コードに基づいて前記個人情報管理端末を認証する認証サーバと、
    を備えることを特徴とする認証システム。
  2. 前記個人情報管理端末は、
    個人情報に前記所在地コード生成部によって生成された所在地コードを付加して送信用データを作成するデータ作成部と、
    個人情報を利用する利用者端末に前記データ作成部によって作成された送信用データを送信する情報送信部と、
    を有することを特徴とする請求項1に記載の認証システム。
  3. 前記個人情報管理端末は、送信する前記送信用データにおける所在地コード又は個人情報の少なくとも一方にマスキングするマスキング処理部を有することを特徴とする請求項2に記載の認証システム。
  4. 前記認証サーバは、前記利用者端末から受信した前記送信用データのマスキングを解除するマスキング解除部を有することを特徴とする請求項3に記載の認証システム。
  5. 前記認証サーバは、
    前記個人情報管理端末から個人情報を受信する情報受信部と、
    前記個人情報管理端末から受信した所在地コード及び個人情報とマスキングを解除した所在地コード及び個人情報とが一致するか否かを判定する判定部と、
    を有することを特徴とする請求項4に記載の認証システム。
  6. 前記所在地コード生成部は、前記電力量計識別情報に加えて、当該所在地コード生成部に割り当てられた固有の所在地コード生成装置識別情報、および、前記認証サーバから供給されたソルト情報を基に前記関数式により前記所在地コードを生成することを特徴とする請求項1から5までのいずれか一項に記載の認証システム。
  7. 前記通信処理部は、超音波通信により前記所在地コードを前記個人情報管理端末へ送信することを特徴とする請求項1から6までのいずれか一項に記載の認証システム。
  8. 前記電力量計と、前記所在地コード生成装置と、前記個人情報管理端末との間がアクティベイトされた状態において、前記所在地コード生成装置により生成されたアライブ信号が前記電力量計、前記所在地コード生成装置、および、前記個人情報管理端末の3者間で送受信されている場合、前記認証サーバは前記アライブ信号の存在を確認できた場合、ソルト情報を前記所在地コード生成装置へ送信することを特徴とする請求項6に記載の認証システム。
  9. 前記認証サーバは、前記アライブ信号、前記ユーザIDおよびパスワード、前記所在地コード、前記個人情報管理端末の固有のデバイス識別情報に基づいて前記個人情報管理端末を認証することを特徴とする請求項8に記載の認証システム。
  10. 前記個人情報は、マイナンバーであることを特徴とする請求項1から9までのいずれか一項に記載の認証システム。
  11. デジタル式の電力量計に割り当てられた固有の電力量計識別情報を基に所定の関数式により固有の所在地コードを所在地コード生成部により生成する所在地コード生成ステップと、
    前記所在地コードを通信処理部により所定の通信方式により送信する送信ステップと、
    前記通信処理部により送信される前記所在地コードを受信した個人情報管理端末から前記所在地コードを受け取り、前記所在地コードに基づいて前記個人情報管理端末を認証サーバにより認証する認証ステップと、
    を有することを特徴とする認証方法。
  12. 個人情報管理端末に記憶された個人情報に前記所在地コードを付加して利用者端末に送信する送信用データを作成する送信用データ作成ステップと、
    利用者端末からの要請に応じて前記個人情報管理端末から前記利用者端末に前記送信用データを送信するデータ送信ステップと、
    利用者端末からの要請に応じて前記利用者端末から受信した前記送信用データに基づく所在地コード及び個人情報と前記個人情報管理端末から受信した所在地コード及び個人情報とが一致するか否かを判定する判定ステップと、
    を有することを特徴とする請求項11に記載の認証方法。
  13. 前記利用者端末に前記送信用データを送信する前に、当該送信用データの少なくとも一部にマスキング処理を行うマスキング処理ステップ、を有することを特徴とする請求項12に記載の認証方法。
JP2016255993A 2016-12-28 2016-12-28 認証システム及び認証方法 Pending JP2018107777A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016255993A JP2018107777A (ja) 2016-12-28 2016-12-28 認証システム及び認証方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016255993A JP2018107777A (ja) 2016-12-28 2016-12-28 認証システム及び認証方法

Publications (1)

Publication Number Publication Date
JP2018107777A true JP2018107777A (ja) 2018-07-05

Family

ID=62788071

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016255993A Pending JP2018107777A (ja) 2016-12-28 2016-12-28 認証システム及び認証方法

Country Status (1)

Country Link
JP (1) JP2018107777A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018107776A (ja) * 2016-12-28 2018-07-05 東京電力ホールディングス株式会社 認証システム、認証方法、および、所在地コード生成装置
JP2022190773A (ja) * 2021-06-15 2022-12-27 東芝エレベータ株式会社 制御システム、制御装置および制御方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011040040A (ja) * 2009-07-16 2011-02-24 Hitachi Ltd 情報処理方法および情報処理システム
JP2014096101A (ja) * 2012-11-12 2014-05-22 Bank Of Tokyo-Mitsubishi Ufj Ltd ユーザ認証装置及びユーザ認証プログラム
JP2016031600A (ja) * 2014-07-28 2016-03-07 富士通株式会社 電子機器、認証装置、および情報処理システム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011040040A (ja) * 2009-07-16 2011-02-24 Hitachi Ltd 情報処理方法および情報処理システム
JP2014096101A (ja) * 2012-11-12 2014-05-22 Bank Of Tokyo-Mitsubishi Ufj Ltd ユーザ認証装置及びユーザ認証プログラム
JP2016031600A (ja) * 2014-07-28 2016-03-07 富士通株式会社 電子機器、認証装置、および情報処理システム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018107776A (ja) * 2016-12-28 2018-07-05 東京電力ホールディングス株式会社 認証システム、認証方法、および、所在地コード生成装置
JP2022190773A (ja) * 2021-06-15 2022-12-27 東芝エレベータ株式会社 制御システム、制御装置および制御方法
JP7207816B2 (ja) 2021-06-15 2023-01-18 東芝エレベータ株式会社 制御システム、制御装置および制御方法

Similar Documents

Publication Publication Date Title
EP3460691B1 (en) Methods and apparatus for management of intrusion detection systems using verified identity
CN107925668B (zh) 资源驱动的动态授权框架
RU2537795C2 (ru) Доверенный дистанционный удостоверяющий агент (traa)
WO2018123761A1 (ja) 認証システム、認証方法、および、所在地コード生成装置
CN109417574A (zh) 管理电子设备上的多个用户的凭据
WO2019033116A1 (en) SYSTEMS AND METHODS FOR RIGHTS CONTROL OF NETWORK CONNECTED DEVICES OR IOT DEVICES USING INFORMATION STORED IN A DISTRIBUTED REGISTER
KR20230038810A (ko) 접속된 디바이스를 위한 서브토큰 관리 시스템
JP7090161B2 (ja) セキュアな取引のための装置の自己認証
CN105991287A (zh) 一种签名数据的生成及指纹认证请求方法及装置
CN111047327A (zh) 一种智能合约的执行方法、装置及设备
KR20140023052A (ko) 결제 중개 시스템 및 방법
JP2018107777A (ja) 認証システム及び認証方法
CN112948789B (zh) 身份认证方法及装置、存储介质及电子设备
WO2018123760A1 (ja) 認証システム、認証方法、および、所在地コード生成装置
JP2018106646A (ja) 認証システムおよび認証方法
KR20100006811A (ko) 계약자 인증을 이용하는 계약 인증 시스템 및 그 계약 인증방법
JP6824512B2 (ja) 認証システムおよび認証方法
JP2008061200A (ja) 携帯通信端末装置の不正使用防止方法及び不正使用防止方式
JP6890768B2 (ja) 認証システムおよび認証方法
JP7004953B2 (ja) 認証システムおよび認証方法
JP6877686B2 (ja) 認証システム及び認証方法
JP6843369B2 (ja) 認証システム及び認証方法
JP7379400B2 (ja) 情報処理システム、サーバ装置、情報処理方法及びプログラム
CN106327194A (zh) 一种密码生成方法及电子设备
CN114462099A (zh) 终端设备的数据上链方法、系统、装置、设备及介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191216

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201111

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210106

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210226

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20210803