JP4408487B2 - 入退出管理システム - Google Patents
入退出管理システム Download PDFInfo
- Publication number
- JP4408487B2 JP4408487B2 JP21799399A JP21799399A JP4408487B2 JP 4408487 B2 JP4408487 B2 JP 4408487B2 JP 21799399 A JP21799399 A JP 21799399A JP 21799399 A JP21799399 A JP 21799399A JP 4408487 B2 JP4408487 B2 JP 4408487B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- entry
- exit
- carrier
- management system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Lock And Its Accessories (AREA)
- Alarm Systems (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、データキャリアに記録されたデータによって管理区域への入退場を制限する入退出管理システムに係り、特に不正なデータキャリアの使用を防止した入退出管理システムに関する。
【0002】
【従来の技術】
近年、プリペイドカードなどのデータキャリアをチケットとして用いたサービス提供形態が数多く見られる。その1つとして入退出管理システムがある。
図7はこの種の入退出管理システムの従来例を示すブロック図である。この入退出管理システム700は、管理区域と非管理区域との境界に位置する入退出ゲート装置701と、データキャリア(チケット)750に記録された情報を読み込み入力するデータ入出力装置702と、データ入出力装置702より入力された情報に基づいてゲート装置701を制御する制御演算部703とを有する。データキャリア750には、入退出を許可するか否かの情報を含む第1のデータ751と、第1のデータ751の誤りを検出するための第2のデータ752とが記録されている。第2のデータ752にはパリティチェックコードが用いられる。
この入退出管理システム700は以下のようにして管理区域内への入退出管理を行う。
データ入出力装置702は、データキャリア750がチケット挿入口に挿入されると、データキャリア750から第1のデータ751と第2のデータ752とを読み込み、それらを制御演算部703に送信する。制御演算部703は、受信した第2のデータ752を用いて第1のデータ751に誤りがないかどうかを調べる。第1のデータ751に誤りがないことを確認できたら、第1のデータ751を解読し、入退出の許可がされているかどうかを調べ、許可がされていればゲート装置701にゲート開放要求を出す。また、入退出が行われる度毎に第1のデータ751および第2のデータ752を更新し、更新データをデータ入出力装置702に送信する。データ入出力装置702は、制御演算部703から受信した更新データをデータキャリア750に書き込む。
【0003】
【発明が解決しようとする課題】
しかし、上述した従来の入退出管理システム700は、データキャリア750を用いた利便性の高いサービスを提供できる反面、第2のデータ752に使用するパリティチェックコードの生成方法を知っている不正者にとっては、データキャリア750上のデータを改変することが容易であるという欠点を有している。パリティチェックコードの生成方法が分かれば、第1のデータ751を自由に書き換えることができ、それに対応させて第2のデータ752を生成することも容易にできるからである。
そのため近年、データキャリア750に記録されたデータを改変した偽造カードが作成され不正に使用されることによる損害が多発している。偽造カードが使用されることにより、入退出管理を行っている施設運営者やデータキャリア750の販売者は、本来支払われるべき入場料などが得られなくなるため、多大な損失を被ることになる。
本発明は、上記事情に鑑みなされたものであり、データを改変した不正なデータキャリアを使用することが困難な入退出管理システムを提供することを課題とする。
【0004】
【問題を解決するための手段】
上記課題を解決するために、請求項1記載の発明は、データキャリアに記録されたデータによって管理区域への入場を規制する入退出管理システムであって、管理区域と管理区域外との境界に位置する入退出ゲート装置と、前記データキャリアに記録されたデータを読み込むデータ入出力装置と、データ入力装置より入力されたデータに基づいて入退出ゲート装置を制御する制御演算部とを有し、前記データキャリアに記録されるデータは、入退出情報を含む第1のデータと、第1のデータの誤りを検出するための第2のデータとからなり、かつ第2のデータは第1のデータとシステム固有の秘密情報との非線形演算によって生成されるデータであり、前記制御演算部は、前記データ入出力装置より前記データキャリアに記録された第1および第2のデータが入力される度毎に、第1のデータと前記秘密情報との非線形演算を実施するとともに、その演算結果と第2のデータとを比較し、両者が一致した場合のみ、利用者の通過を許諾すべく入退出ゲート装置の開閉を制御することを特徴としている。
上記のように、データキャリア上の第2のデータを、当該データキャリア上の第1のデータとシステム固有の秘密情報との非線形演算によって生成するようにしたことにより、システム固有の秘密情報を有しないシステム管埋者以外の者がデータキャリア上のデータを改変しようとしても、第2のデータを作成することはできないので、データキャリア上のデータを改変し、不正使用することは困難となる。また、データキャリア上の第1、第2のデータから非線形演算の構造およびシステム固有の秘密情報を推定することは極めて困難であるから、システム管理者以外の者が非線形演算の構造およびシステム固有の秘密情報を推定し、その秘密情報などを元に、第1のデータから第2のデータを算出することもできない。したがって、請求項1記載のシステムによれば、データを改変した不正なデータキャリアの使用を防止できる。
【0005】
また、請求項2記載の発明は、データキャリアに記録されたデータによって管理区域への入場を規制する入退出管理システムであって、管理区域と管理区域外との境界に位置する入退出ゲート装置と、前記データキャリアに記録されたデータを読み込むデータ入出力装置と、データ入力装置より入力されたデータに基づいて入退出ゲート装置を制御する制御演算部と、複数のID番号と、それぞれのID番号に対する入退出情報と、不正ID番号とを登録し管理するデータ管理部とを有し、前記データキャリアに記録されるデータは、ID番号と当該ID番号に対する入退出情報とを含む第1のデータと、第1のデータの誤りを検出するための第2のデータとからなり、かつ第2のデータは第1のデータとシステム固有の秘密情報との非線形演算によって生成されるデータであり、前記制御演算部は、前記データ入出力装置より前記データキャリアに記録された第1および第2のデータが入力される度毎に、第1のデータと前記秘密情報との非線形演算を実施するとともに、その演算結果と第2のデータとを比較し、両者が一致した場合、さらに第1のデータに含まれるID番号と前記データ管理部に登録されている不正ID番号とを比較し、両者が不一致の場合のみ、利用者の通過を許諾すべく入退出ゲート装置を制御することを特徴としている。
上記のように、第1のデータとシステム固有の秘密情報との非線形演算を実施して得られた演算結果と第2のデータとが一致し、且つ第1のデータに含まれるID番号とデータ管理部に登録されている不正ID番号とが不一致の場合のみ、利用者の通過を許すように入退出ゲート装置を制御することにより、データを改変した偽造のデータキャリアを使用することがより困難となる。しかも、第1のデータに含まれるID番号とデータ管理部に登録されている不正ID番号との一致により、データを複製した不正なデータキャリアを検出できる。したがって、請求項2記載のシステムによれば、データを改変した不正なデータキャリアの使用を請求項1の場合よりも更に確実に防止できる。
【0006】
また、請求項3記載の発明は、請求項2記載の入退出管理システムにおいて、前記制御演算部は、前記データ管理部は、ID番号ごとに入退出を監視し、入退出情報と矛盾する入退出のあったID番号を不正ID番号として登録することを特徴としている。上記のように、ID番号ごとに入退出を監視し、入退出情報と矛盾する入退出のあったID番号を不正ID番号として登録することにより、常に最新の不正ID番号が登録されるので、データを複製した不正なデータキャリアをより確実に検出でき,不正なデータキャリアの使用をより確実に防止できる。
また、請求項4記載の発明は、請求項1乃至3記載の入退出管理システムにおいて、前記制御演算部は、前記データキャリアに記録されたデータに基づいて入退出ゲート装置を制御するとともに、第1のデータと第2のデータとを更新して前記データ入出力装置へ送信し、前記データ入出力装置は前記制御演算部からの更新データを前記データキャリアに書き込むことを特徴とする。上記のように、データキャリアに記録されたデータに基づいて入退出ゲート装置を制御するとともに、第1のデータと第2のデータとを更新して当該データキャリアに書き込むことにより、入退出の度にそのデータキャリアに関する最新のデータを取得できるので、不正なデータキャリアの使用をより確実に防止できる。
【0007】
【発明の実施の形態】
以下本発明を図面に示した実施の形態に基づいて詳細に説明する。
図1は本発明に係る入退出管理システムの実施の形態の一例を示すブロック図である。図示するように、この実施の形態の入退出管理システム100は、管理区域と管理区域外との境界に位置する入退出ゲート装置102と、データキャリア102に記録された情報を読み込み入力するデータ入出力装置104と、データ入力装置104より入力された情報に基づいて入退出ゲート装置102を制御する制御演算部103と、システム全体のデータを管理するデータ管理部105とを有する。図中の鎖線による囲み部分は、データキャリア102、入退出ゲート装置102、制御演算部103およびデータ入出力装置104からなる同一構成のユニットを示している。
入退出ゲート装置102は、管理区域と非管理区域との境界に複数台並べて設置されており、各入退出ゲート装置102ごとに制御演算部103とデータ入出力装置104とが設けられている。すなわち、各入退出ゲート装置102には制御演算部103が1対1に接続されており、それぞれの制御演算部103にデータ入出力装置104が1対1に接続されている。そして、全ての制御演算部103が1つのデータ管理部105に接続されている。
データキャリア101には、入退出を許可するか否かの情報を含む第1のデータ(DATA)106と、第1のデータ106の誤りを検出するための第2のデータ(MAC)107とが記録されている。第2のデータ107は、第1のデータ106とシステム固有の秘密情報との非線形演算によって生成されるデータである。
制御演算部103は、データ入出力装置104を介して、データキャリア102に記録されている第1のデータ106と第2のデータ107とを取得し、当該データを用いて所定の演算を行い、その演算結果に応じて入退出ゲート102の開閉を制御する。そして、入退出が行われる度毎に、第1のデータ106および第2のデータ107を更新する。その際、第1のデータ106とシステム固有の秘密情報との非線形演算によって第2のデータ107を生成し書き換える。システム固有の秘密情報は、データキャリア101に記録されたデータの更新が行われる際、データ管理部105から各制御演算部103に対し前もって配信される。
上記のように、データキャリア101上の第2のデータ107を、当該データキャリア101上の第1のデータ106とシステム固有の秘密情報との非線形演算によって生成するようにしたことにより、システム管埋者以外の者によるデータキャリア101の偽造を防止できる。第1のデータ106を書き換えた場合、それに対応させて、第1のデータ106の誤りを検出するための第2のデータ107も書き換える必要があるが、システム固有の秘密情報を有しないシステム管埋者以外の者は、第1のデータ106を書き換えたとしても、対応する第2のデータ107を作成することはできないからである。また、データキャリア101上の第1、第2のデータ106、107から非線形演算の構造およびシステム固有の秘密情報を推定することは困難であるから、システム管理者以外の者が上記非線形演算の構造およびシステム固有の秘密情報を推定し、その秘密情報などを元に、第1のデータ106から第2のデータ107を算出することもできない。したがって、この入退出管理システム100においては、データキャリア101上のデータを改変し、不正使用することは困難である。
【0008】
上記非線形演算は暗号化手続きを用いて実現することができる。図2に上記非線形演算を実施するための非線形演算回路の構成例を示す。この非線形演算回路200は、各制御演算部103内に設けられる。201(1)〜201(n)は暗号化手続き回路(E)、202(1)〜202(n-1)は排他的論理和回路である。暗号化手続き回路201(1)〜201(n)は、特定サイズのブロック毎に暗号化を実現するものであり、所定ビット数のKEY(鍵)を入力し、Mビットの平文を人力すると、Mビットの暗号文を出力する。KEYのビット数は必ずしもMビットであるとは限らない。
この非線形演算回路200を用いて、データキャリア101上の第1のデータ106およびシステム固有の秘密情報からデータキャリア上の第2のデータ107を算出する方法を説明する。
暗号化手続き回路201(1)〜201(n)はMビット毎に平文を暗号化するため、まず、入力する平文データのビットサイズをMの倍数にしなければならない。そこで、まず、第1のデータ106のビットサイズをMの倍数となるように特定のデータ(例えばすべて0のビット列)203を付加する。Mの倍数のビットサイズとなったデータをMビット毎に分割したものをそれぞれ、χ1,…,χnとする。
χ1は暗号化手続き回路201(1)によって暗号化され、暗号文y1となる。χ2はy1と排他的論理和回路202(1)によってビット毎に排他的論理和演算された後、暗号化手続き回路201(i)によって暗号化され、暗号文y2となる。以下同様に、χi(i=1、2、3、…、n)は前段の暗号文yi-1と排他的論理和演算された後に、暗号化手続き回路201(i)によって暗号化され、暗号文yiとなる。最終的に暗号化手続き回路201(n)207によって暗号化された暗号文yn=MACがデータキャリア101に記録される第2のデータ107となる。
【0009】
以下、データキャリア101を複製使用した場合に、この実施の形態の入退出管理システム100がどのようにして不正を検出するかを図3〜図6を用いて説明する。
図3はデータキャリア101、制御演算部103およびデータ管理部105のデータ構造を示したものである。データキャリア101上の第1のデータ106はID番号(ID1)301およびID番号に対する入退出情報(A1)302を含んでいる。ここでは、入退出情報(A1)は入退出回数すなわち、データ入出力装置104とデータを交換した回数を記録するものとする。
制御演算部103は、データキャリア101と入出力したデータ中のID番号(ID1)とその入退出情報(A1)を一時的に記録する記憶領域303を備えている。
データ管理部105は、各データキャリア101上に記録されたID番号(ID1〜IDn)と入退出情報(B1〜Bn)とを対応させて格納する記憶領域304を備える。データ管理部105は、後述するように、各制御演算部103の記憶領域303に記録されたデータを集計し、複製使用されたデータキャリア101上のID番号を検出し、不正ID番号として登録する。
ID番号は、データ管理部105の管理下にある図示しないキャリア発行機(発券機など)によりデータキャリア101に記録される各キャリア固有のデータである。
図4はID番号発行時における処理手順を示したものである。i番目に発行するID番号をIDiとして示す。キャリア発行機は、データキャリア101を発行する度毎にIDiを生成し(S401)、Ai=0、Bi=0として(S402)、IDiおよびAiをデータキャリア101上に記録する(S403)。IDiおよびBiはデータ管理部105に送られ管理データとして記録される(S404)。データキャリア発行時(ID番号発行時)には必ずAi=Biの関係が成立している。
図5は入退出管理システム100における管理区域への入退出時の処理手順を示したものである。ここでは、制御演算部103の判定によって入退出が許可される場合を仮定する。まず、制御演算部103は、データキャリア101からIDiとAiとを読み込み(S501)、Aiをインクリメントし(S502)、IDiとBiとを制御演算部103内の記憶領域303およびデータキャリア101に記録する(S503、S504)。
【0010】
図6は入退出管理システム100における不正ID登録処理手順を示したものである。まず、i番目に発行したID番号IDiについて、各制御演算部103に記録されているIDiの総数Niを算出し(S601)、更に、IDiと共に記録されている入退出情報Aiの最大値Miを算出する(S602)。次に、データ管理部105に記録されているi番目に発行されたID番号IDiに対する入退出情報BiにNiを加えたものを新たなBiとし(S603)、その値BiとMiとを比較する(S604)。その結果、BiとMiとが等しくなければ(S604でNo)、データ管理部105はi番目に発行されたID番号IDiを不正IDとして登録する(S605)。最後に、制御演算部103において、i番目に発行したID番号IDiに関する全データ(IDi、Ai)を削除し(S606)、IDi対する不正IDの判定を終了する。
上記のように、ID番号IDiごとに、データ管理部105に管理されている入退出情報Biとデータキャリア101に記録されている入退出情報Ai(最大値Mi)とを比較し(S604)、両者が矛盾する場合(S604でNo)は、そのID番号を不正ID番号としてデータ管理部105に登録することにより、常に最新の不正ID番号が登録されるので、不正なデータキャリア101の使用を確実に検出できる。
なお、本発明において、入退出ゲート装置は開閉可能な扉を有するものだけでなく、扉に代えて不正入退出を知らせるための警報ブザーや警報ランプなどの他の手段を備えたものであってもよい。
【0011】
【発明の効果】
以上説明したように、本発明は以下のような優れた効果を奏する。請求項1記載の入退出管理システムにおいては、データキャリア上の第2のデータを、当該データキャリア上の第1のデータとシステム固有の秘密情報との非線形演算によって生成するようにしたため、システム固有の秘密情報を有しないシステム管埋者以外の者がデータを改変しようとしても、第2のデータを作成することはできないので、データキャリア上のデータを改変した偽造のデータキャリアが使用されるのを防止できる。
請求項2記載の入退出管理システムにおいては、第1のデータとシステム固有の秘密情報との非線形演算を実施して得られた演算結果と第2のデータとが一致し、且つ第1のデータに含まれるID番号とデータ管理部に登録されている不正ID番号とが不一致の場合のみ、利用者の通過を許すように入退出ゲート装置を制御するので、データを改変した偽造のデータキャリアを使用することがより困難となる。しかも、第1のデータに含まれるID番号とデータ管理部に登録されている不正ID番号との一致により、不正なデータキャリアの使用を検出できる。
また、請求項3記載の入退出管理システムにおいては、ID番号ごとに入退出を監視し、入退出情報と矛盾する入退出のあったID番号を不正ID番号として登録することにより、常に最新の不正ID番号が登録されるので、データを複製した不正なデータキャリアをより確実に検出でき、不正なデータキャリアの使用をより確実に防止できる。
また、請求項4記載の入退出管理システムにおいては、データキャリアに記録されたデータに基づいて入退出ゲート装置を制御するとともに、第1のデータと第2のデータとを更新して当該データキャリアに書き込むようにしたことにより、入退出の度にそのデータキャリアに関する最新のデータをシステムが取得できるので、データを改変した偽造のデータキャリアが使用されるのをより確実に防止できる。
【図面の簡単な説明】
【図1】本発明に係る入退出管理システムの実施の形態の一例を示すブロック図である。
【図2】図1中の制御演算部に含まれる非線形演算回路の構成例を示すブロック図である。
【図3】図1中のデータキャリア、制御演算部およびデータ管理部のデータ構造を示した説明図である。
【図4】本発明の実施の形態におけるID番号発行時の処理手順を示したフローチャートである。
【図5】本発明の実施の形態における管理区域への入退出時の処理手順を示したフローチャートである。
【図6】本発明の実施の形態における不正ID登録処理手順を示したフローチャートである。
【図7】従来の入退出管理システムの一例を示すブロック図である。
【符号の説明】
100:入退出管理システム
101:データキャリア
103:制御演算部
102:入退出ゲート装置
104:データ入出力装置
105:データ管理部
106:第1のデータ
107:第2のデータ
201(1)〜201(n):暗号化手続き回路
202(1)〜202(n-1):排他的論理和回路
A1〜An:入退出情報
B1〜Bn:入退出情報
ID1〜IDn:ID番号
【発明の属する技術分野】
本発明は、データキャリアに記録されたデータによって管理区域への入退場を制限する入退出管理システムに係り、特に不正なデータキャリアの使用を防止した入退出管理システムに関する。
【0002】
【従来の技術】
近年、プリペイドカードなどのデータキャリアをチケットとして用いたサービス提供形態が数多く見られる。その1つとして入退出管理システムがある。
図7はこの種の入退出管理システムの従来例を示すブロック図である。この入退出管理システム700は、管理区域と非管理区域との境界に位置する入退出ゲート装置701と、データキャリア(チケット)750に記録された情報を読み込み入力するデータ入出力装置702と、データ入出力装置702より入力された情報に基づいてゲート装置701を制御する制御演算部703とを有する。データキャリア750には、入退出を許可するか否かの情報を含む第1のデータ751と、第1のデータ751の誤りを検出するための第2のデータ752とが記録されている。第2のデータ752にはパリティチェックコードが用いられる。
この入退出管理システム700は以下のようにして管理区域内への入退出管理を行う。
データ入出力装置702は、データキャリア750がチケット挿入口に挿入されると、データキャリア750から第1のデータ751と第2のデータ752とを読み込み、それらを制御演算部703に送信する。制御演算部703は、受信した第2のデータ752を用いて第1のデータ751に誤りがないかどうかを調べる。第1のデータ751に誤りがないことを確認できたら、第1のデータ751を解読し、入退出の許可がされているかどうかを調べ、許可がされていればゲート装置701にゲート開放要求を出す。また、入退出が行われる度毎に第1のデータ751および第2のデータ752を更新し、更新データをデータ入出力装置702に送信する。データ入出力装置702は、制御演算部703から受信した更新データをデータキャリア750に書き込む。
【0003】
【発明が解決しようとする課題】
しかし、上述した従来の入退出管理システム700は、データキャリア750を用いた利便性の高いサービスを提供できる反面、第2のデータ752に使用するパリティチェックコードの生成方法を知っている不正者にとっては、データキャリア750上のデータを改変することが容易であるという欠点を有している。パリティチェックコードの生成方法が分かれば、第1のデータ751を自由に書き換えることができ、それに対応させて第2のデータ752を生成することも容易にできるからである。
そのため近年、データキャリア750に記録されたデータを改変した偽造カードが作成され不正に使用されることによる損害が多発している。偽造カードが使用されることにより、入退出管理を行っている施設運営者やデータキャリア750の販売者は、本来支払われるべき入場料などが得られなくなるため、多大な損失を被ることになる。
本発明は、上記事情に鑑みなされたものであり、データを改変した不正なデータキャリアを使用することが困難な入退出管理システムを提供することを課題とする。
【0004】
【問題を解決するための手段】
上記課題を解決するために、請求項1記載の発明は、データキャリアに記録されたデータによって管理区域への入場を規制する入退出管理システムであって、管理区域と管理区域外との境界に位置する入退出ゲート装置と、前記データキャリアに記録されたデータを読み込むデータ入出力装置と、データ入力装置より入力されたデータに基づいて入退出ゲート装置を制御する制御演算部とを有し、前記データキャリアに記録されるデータは、入退出情報を含む第1のデータと、第1のデータの誤りを検出するための第2のデータとからなり、かつ第2のデータは第1のデータとシステム固有の秘密情報との非線形演算によって生成されるデータであり、前記制御演算部は、前記データ入出力装置より前記データキャリアに記録された第1および第2のデータが入力される度毎に、第1のデータと前記秘密情報との非線形演算を実施するとともに、その演算結果と第2のデータとを比較し、両者が一致した場合のみ、利用者の通過を許諾すべく入退出ゲート装置の開閉を制御することを特徴としている。
上記のように、データキャリア上の第2のデータを、当該データキャリア上の第1のデータとシステム固有の秘密情報との非線形演算によって生成するようにしたことにより、システム固有の秘密情報を有しないシステム管埋者以外の者がデータキャリア上のデータを改変しようとしても、第2のデータを作成することはできないので、データキャリア上のデータを改変し、不正使用することは困難となる。また、データキャリア上の第1、第2のデータから非線形演算の構造およびシステム固有の秘密情報を推定することは極めて困難であるから、システム管理者以外の者が非線形演算の構造およびシステム固有の秘密情報を推定し、その秘密情報などを元に、第1のデータから第2のデータを算出することもできない。したがって、請求項1記載のシステムによれば、データを改変した不正なデータキャリアの使用を防止できる。
【0005】
また、請求項2記載の発明は、データキャリアに記録されたデータによって管理区域への入場を規制する入退出管理システムであって、管理区域と管理区域外との境界に位置する入退出ゲート装置と、前記データキャリアに記録されたデータを読み込むデータ入出力装置と、データ入力装置より入力されたデータに基づいて入退出ゲート装置を制御する制御演算部と、複数のID番号と、それぞれのID番号に対する入退出情報と、不正ID番号とを登録し管理するデータ管理部とを有し、前記データキャリアに記録されるデータは、ID番号と当該ID番号に対する入退出情報とを含む第1のデータと、第1のデータの誤りを検出するための第2のデータとからなり、かつ第2のデータは第1のデータとシステム固有の秘密情報との非線形演算によって生成されるデータであり、前記制御演算部は、前記データ入出力装置より前記データキャリアに記録された第1および第2のデータが入力される度毎に、第1のデータと前記秘密情報との非線形演算を実施するとともに、その演算結果と第2のデータとを比較し、両者が一致した場合、さらに第1のデータに含まれるID番号と前記データ管理部に登録されている不正ID番号とを比較し、両者が不一致の場合のみ、利用者の通過を許諾すべく入退出ゲート装置を制御することを特徴としている。
上記のように、第1のデータとシステム固有の秘密情報との非線形演算を実施して得られた演算結果と第2のデータとが一致し、且つ第1のデータに含まれるID番号とデータ管理部に登録されている不正ID番号とが不一致の場合のみ、利用者の通過を許すように入退出ゲート装置を制御することにより、データを改変した偽造のデータキャリアを使用することがより困難となる。しかも、第1のデータに含まれるID番号とデータ管理部に登録されている不正ID番号との一致により、データを複製した不正なデータキャリアを検出できる。したがって、請求項2記載のシステムによれば、データを改変した不正なデータキャリアの使用を請求項1の場合よりも更に確実に防止できる。
【0006】
また、請求項3記載の発明は、請求項2記載の入退出管理システムにおいて、前記制御演算部は、前記データ管理部は、ID番号ごとに入退出を監視し、入退出情報と矛盾する入退出のあったID番号を不正ID番号として登録することを特徴としている。上記のように、ID番号ごとに入退出を監視し、入退出情報と矛盾する入退出のあったID番号を不正ID番号として登録することにより、常に最新の不正ID番号が登録されるので、データを複製した不正なデータキャリアをより確実に検出でき,不正なデータキャリアの使用をより確実に防止できる。
また、請求項4記載の発明は、請求項1乃至3記載の入退出管理システムにおいて、前記制御演算部は、前記データキャリアに記録されたデータに基づいて入退出ゲート装置を制御するとともに、第1のデータと第2のデータとを更新して前記データ入出力装置へ送信し、前記データ入出力装置は前記制御演算部からの更新データを前記データキャリアに書き込むことを特徴とする。上記のように、データキャリアに記録されたデータに基づいて入退出ゲート装置を制御するとともに、第1のデータと第2のデータとを更新して当該データキャリアに書き込むことにより、入退出の度にそのデータキャリアに関する最新のデータを取得できるので、不正なデータキャリアの使用をより確実に防止できる。
【0007】
【発明の実施の形態】
以下本発明を図面に示した実施の形態に基づいて詳細に説明する。
図1は本発明に係る入退出管理システムの実施の形態の一例を示すブロック図である。図示するように、この実施の形態の入退出管理システム100は、管理区域と管理区域外との境界に位置する入退出ゲート装置102と、データキャリア102に記録された情報を読み込み入力するデータ入出力装置104と、データ入力装置104より入力された情報に基づいて入退出ゲート装置102を制御する制御演算部103と、システム全体のデータを管理するデータ管理部105とを有する。図中の鎖線による囲み部分は、データキャリア102、入退出ゲート装置102、制御演算部103およびデータ入出力装置104からなる同一構成のユニットを示している。
入退出ゲート装置102は、管理区域と非管理区域との境界に複数台並べて設置されており、各入退出ゲート装置102ごとに制御演算部103とデータ入出力装置104とが設けられている。すなわち、各入退出ゲート装置102には制御演算部103が1対1に接続されており、それぞれの制御演算部103にデータ入出力装置104が1対1に接続されている。そして、全ての制御演算部103が1つのデータ管理部105に接続されている。
データキャリア101には、入退出を許可するか否かの情報を含む第1のデータ(DATA)106と、第1のデータ106の誤りを検出するための第2のデータ(MAC)107とが記録されている。第2のデータ107は、第1のデータ106とシステム固有の秘密情報との非線形演算によって生成されるデータである。
制御演算部103は、データ入出力装置104を介して、データキャリア102に記録されている第1のデータ106と第2のデータ107とを取得し、当該データを用いて所定の演算を行い、その演算結果に応じて入退出ゲート102の開閉を制御する。そして、入退出が行われる度毎に、第1のデータ106および第2のデータ107を更新する。その際、第1のデータ106とシステム固有の秘密情報との非線形演算によって第2のデータ107を生成し書き換える。システム固有の秘密情報は、データキャリア101に記録されたデータの更新が行われる際、データ管理部105から各制御演算部103に対し前もって配信される。
上記のように、データキャリア101上の第2のデータ107を、当該データキャリア101上の第1のデータ106とシステム固有の秘密情報との非線形演算によって生成するようにしたことにより、システム管埋者以外の者によるデータキャリア101の偽造を防止できる。第1のデータ106を書き換えた場合、それに対応させて、第1のデータ106の誤りを検出するための第2のデータ107も書き換える必要があるが、システム固有の秘密情報を有しないシステム管埋者以外の者は、第1のデータ106を書き換えたとしても、対応する第2のデータ107を作成することはできないからである。また、データキャリア101上の第1、第2のデータ106、107から非線形演算の構造およびシステム固有の秘密情報を推定することは困難であるから、システム管理者以外の者が上記非線形演算の構造およびシステム固有の秘密情報を推定し、その秘密情報などを元に、第1のデータ106から第2のデータ107を算出することもできない。したがって、この入退出管理システム100においては、データキャリア101上のデータを改変し、不正使用することは困難である。
【0008】
上記非線形演算は暗号化手続きを用いて実現することができる。図2に上記非線形演算を実施するための非線形演算回路の構成例を示す。この非線形演算回路200は、各制御演算部103内に設けられる。201(1)〜201(n)は暗号化手続き回路(E)、202(1)〜202(n-1)は排他的論理和回路である。暗号化手続き回路201(1)〜201(n)は、特定サイズのブロック毎に暗号化を実現するものであり、所定ビット数のKEY(鍵)を入力し、Mビットの平文を人力すると、Mビットの暗号文を出力する。KEYのビット数は必ずしもMビットであるとは限らない。
この非線形演算回路200を用いて、データキャリア101上の第1のデータ106およびシステム固有の秘密情報からデータキャリア上の第2のデータ107を算出する方法を説明する。
暗号化手続き回路201(1)〜201(n)はMビット毎に平文を暗号化するため、まず、入力する平文データのビットサイズをMの倍数にしなければならない。そこで、まず、第1のデータ106のビットサイズをMの倍数となるように特定のデータ(例えばすべて0のビット列)203を付加する。Mの倍数のビットサイズとなったデータをMビット毎に分割したものをそれぞれ、χ1,…,χnとする。
χ1は暗号化手続き回路201(1)によって暗号化され、暗号文y1となる。χ2はy1と排他的論理和回路202(1)によってビット毎に排他的論理和演算された後、暗号化手続き回路201(i)によって暗号化され、暗号文y2となる。以下同様に、χi(i=1、2、3、…、n)は前段の暗号文yi-1と排他的論理和演算された後に、暗号化手続き回路201(i)によって暗号化され、暗号文yiとなる。最終的に暗号化手続き回路201(n)207によって暗号化された暗号文yn=MACがデータキャリア101に記録される第2のデータ107となる。
【0009】
以下、データキャリア101を複製使用した場合に、この実施の形態の入退出管理システム100がどのようにして不正を検出するかを図3〜図6を用いて説明する。
図3はデータキャリア101、制御演算部103およびデータ管理部105のデータ構造を示したものである。データキャリア101上の第1のデータ106はID番号(ID1)301およびID番号に対する入退出情報(A1)302を含んでいる。ここでは、入退出情報(A1)は入退出回数すなわち、データ入出力装置104とデータを交換した回数を記録するものとする。
制御演算部103は、データキャリア101と入出力したデータ中のID番号(ID1)とその入退出情報(A1)を一時的に記録する記憶領域303を備えている。
データ管理部105は、各データキャリア101上に記録されたID番号(ID1〜IDn)と入退出情報(B1〜Bn)とを対応させて格納する記憶領域304を備える。データ管理部105は、後述するように、各制御演算部103の記憶領域303に記録されたデータを集計し、複製使用されたデータキャリア101上のID番号を検出し、不正ID番号として登録する。
ID番号は、データ管理部105の管理下にある図示しないキャリア発行機(発券機など)によりデータキャリア101に記録される各キャリア固有のデータである。
図4はID番号発行時における処理手順を示したものである。i番目に発行するID番号をIDiとして示す。キャリア発行機は、データキャリア101を発行する度毎にIDiを生成し(S401)、Ai=0、Bi=0として(S402)、IDiおよびAiをデータキャリア101上に記録する(S403)。IDiおよびBiはデータ管理部105に送られ管理データとして記録される(S404)。データキャリア発行時(ID番号発行時)には必ずAi=Biの関係が成立している。
図5は入退出管理システム100における管理区域への入退出時の処理手順を示したものである。ここでは、制御演算部103の判定によって入退出が許可される場合を仮定する。まず、制御演算部103は、データキャリア101からIDiとAiとを読み込み(S501)、Aiをインクリメントし(S502)、IDiとBiとを制御演算部103内の記憶領域303およびデータキャリア101に記録する(S503、S504)。
【0010】
図6は入退出管理システム100における不正ID登録処理手順を示したものである。まず、i番目に発行したID番号IDiについて、各制御演算部103に記録されているIDiの総数Niを算出し(S601)、更に、IDiと共に記録されている入退出情報Aiの最大値Miを算出する(S602)。次に、データ管理部105に記録されているi番目に発行されたID番号IDiに対する入退出情報BiにNiを加えたものを新たなBiとし(S603)、その値BiとMiとを比較する(S604)。その結果、BiとMiとが等しくなければ(S604でNo)、データ管理部105はi番目に発行されたID番号IDiを不正IDとして登録する(S605)。最後に、制御演算部103において、i番目に発行したID番号IDiに関する全データ(IDi、Ai)を削除し(S606)、IDi対する不正IDの判定を終了する。
上記のように、ID番号IDiごとに、データ管理部105に管理されている入退出情報Biとデータキャリア101に記録されている入退出情報Ai(最大値Mi)とを比較し(S604)、両者が矛盾する場合(S604でNo)は、そのID番号を不正ID番号としてデータ管理部105に登録することにより、常に最新の不正ID番号が登録されるので、不正なデータキャリア101の使用を確実に検出できる。
なお、本発明において、入退出ゲート装置は開閉可能な扉を有するものだけでなく、扉に代えて不正入退出を知らせるための警報ブザーや警報ランプなどの他の手段を備えたものであってもよい。
【0011】
【発明の効果】
以上説明したように、本発明は以下のような優れた効果を奏する。請求項1記載の入退出管理システムにおいては、データキャリア上の第2のデータを、当該データキャリア上の第1のデータとシステム固有の秘密情報との非線形演算によって生成するようにしたため、システム固有の秘密情報を有しないシステム管埋者以外の者がデータを改変しようとしても、第2のデータを作成することはできないので、データキャリア上のデータを改変した偽造のデータキャリアが使用されるのを防止できる。
請求項2記載の入退出管理システムにおいては、第1のデータとシステム固有の秘密情報との非線形演算を実施して得られた演算結果と第2のデータとが一致し、且つ第1のデータに含まれるID番号とデータ管理部に登録されている不正ID番号とが不一致の場合のみ、利用者の通過を許すように入退出ゲート装置を制御するので、データを改変した偽造のデータキャリアを使用することがより困難となる。しかも、第1のデータに含まれるID番号とデータ管理部に登録されている不正ID番号との一致により、不正なデータキャリアの使用を検出できる。
また、請求項3記載の入退出管理システムにおいては、ID番号ごとに入退出を監視し、入退出情報と矛盾する入退出のあったID番号を不正ID番号として登録することにより、常に最新の不正ID番号が登録されるので、データを複製した不正なデータキャリアをより確実に検出でき、不正なデータキャリアの使用をより確実に防止できる。
また、請求項4記載の入退出管理システムにおいては、データキャリアに記録されたデータに基づいて入退出ゲート装置を制御するとともに、第1のデータと第2のデータとを更新して当該データキャリアに書き込むようにしたことにより、入退出の度にそのデータキャリアに関する最新のデータをシステムが取得できるので、データを改変した偽造のデータキャリアが使用されるのをより確実に防止できる。
【図面の簡単な説明】
【図1】本発明に係る入退出管理システムの実施の形態の一例を示すブロック図である。
【図2】図1中の制御演算部に含まれる非線形演算回路の構成例を示すブロック図である。
【図3】図1中のデータキャリア、制御演算部およびデータ管理部のデータ構造を示した説明図である。
【図4】本発明の実施の形態におけるID番号発行時の処理手順を示したフローチャートである。
【図5】本発明の実施の形態における管理区域への入退出時の処理手順を示したフローチャートである。
【図6】本発明の実施の形態における不正ID登録処理手順を示したフローチャートである。
【図7】従来の入退出管理システムの一例を示すブロック図である。
【符号の説明】
100:入退出管理システム
101:データキャリア
103:制御演算部
102:入退出ゲート装置
104:データ入出力装置
105:データ管理部
106:第1のデータ
107:第2のデータ
201(1)〜201(n):暗号化手続き回路
202(1)〜202(n-1):排他的論理和回路
A1〜An:入退出情報
B1〜Bn:入退出情報
ID1〜IDn:ID番号
Claims (4)
- データキャリアに記録されたデータによって管理区域への入場を規制する入退出管理システムであって、
管理区域と非管理区域との境界に位置する入退出ゲート装置と、前記データキャリアに記録されたデータを読み込むデータ入出力装置と、データ入力装置より入力されたデータに基づいて入退出ゲート装置を制御する制御演算部とを有し、
前記データキャリアに記録されるデータは、入退出情報を含む第1のデータと、第1のデータの誤りを検出するための第2のデータとからなり、かつ第2のデータは第1のデータとシステム固有の秘密情報との非線形演算によって生成されるデータであり、
前記制御演算部は、前記データ入出力装置より前記データキャリアに記録された第1および第2のデータが入力される度毎に、第1のデータと前記秘密情報との非線形演算を実施するとともに、その演算結果と第2のデータとを比較し、両者が一致した場合のみ、利用者の通過を許諾するよう入退出ゲート装置を制御することを特徴とする入退出管理システム。 - 複数のID番号と、それぞれのID番号に対する入退出情報と、不正ID番号とを登録し管理するデータ管理部を有し、
前記第1のデータは、ID番号と当該ID番号に対する入退出情報とを含み、
前記制御演算部は、前記演算結果と第2のデータとが一致した場合、第1のデータに含まれるID番号と前記データ管理部に登録されている不正ID番号とを比較し、両者が不一致の場合のみ、利用者の通過を許諾するよう入退出ゲート装置を制御することを特徴とする請求項1記載の入退出管理システム。 - 前記データ管理部は、ID番号ごとに入退出を監視し、入退出情報と矛盾する入退出のあったID番号を不正ID番号として登録することを特徴とする請求項2記載の入退出管理システム。
- 前記制御演算部は、前記データキャリアに記録されたデータに基づいて入退出ゲート装置を制御するとともに、第1のデータと第2のデータとを更新して前記データ入出力装置へ送信し、前記データ入出力装置は前記制御演算部からの更新データを前記データキャリアに書き込むことを特徴とする請求項1乃至3記載の入退出管理システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP21799399A JP4408487B2 (ja) | 1999-07-30 | 1999-07-30 | 入退出管理システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP21799399A JP4408487B2 (ja) | 1999-07-30 | 1999-07-30 | 入退出管理システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2001043467A JP2001043467A (ja) | 2001-02-16 |
| JP4408487B2 true JP4408487B2 (ja) | 2010-02-03 |
Family
ID=16712951
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP21799399A Expired - Fee Related JP4408487B2 (ja) | 1999-07-30 | 1999-07-30 | 入退出管理システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4408487B2 (ja) |
-
1999
- 1999-07-30 JP JP21799399A patent/JP4408487B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2001043467A (ja) | 2001-02-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101052970B (zh) | 访问控制系统 | |
| US5978475A (en) | Event auditing system | |
| CN100533368C (zh) | 控制对区域的访问 | |
| DE69635143T2 (de) | Verfahren und Vorrichtung zur Erzeugung und Verwaltung eines privaten Schlüssels in einem kryptografischen System mit öffentlichem Schlüssel | |
| US20050262321A1 (en) | Information processing apparatus and method, and storage medium | |
| KR20000076682A (ko) | 원본 데이터 유통 방법, 시스템, 장치 및 컴퓨터 판독가능매체 | |
| SE502424C2 (sv) | Metod och anordning vid certifikathanteringssystem | |
| US20020152392A1 (en) | Method for securely providing encryption keys | |
| JP2010518499A (ja) | 工業設備の少なくとも1つの自動化コンポーネントへのアクセスを認証するための方法 | |
| Mavrovouniotis et al. | Hardware security modules | |
| CN106548059A (zh) | 老师、家长移动终端及家长身份验证的方法 | |
| US20230259899A1 (en) | Method, participant unit, transaction register and payment system for managing transaction data sets | |
| JPH10187826A (ja) | 偽造カード使用防止方法およびカード読取書込装置ならびに偽造カード使用防止システム | |
| CN101036339B (zh) | 传播用于控制访问的附加数据 | |
| JP2003307061A (ja) | 鍵管理システム | |
| JP4408487B2 (ja) | 入退出管理システム | |
| JP4044393B2 (ja) | 入退室管理システムおよび入退室管理方法 | |
| CN116720839A (zh) | 基于区块链技术的金融信息管理方法及其监管系统 | |
| US20230084651A1 (en) | Method, terminal, monitoring entity, and payment system for managing electronic coin datasets | |
| JP4843919B2 (ja) | Icカード積増機および電子マネーシステム | |
| JP4216016B2 (ja) | 遊技媒体計数処理システム | |
| JP4132418B2 (ja) | 出入管理システム、カード管理装置および鍵管理装置 | |
| JP4265901B2 (ja) | 遊技システム | |
| JP3724914B2 (ja) | 共同溝管理システム | |
| US20230267426A1 (en) | Payment system, coin register, participant unit, transaction register, monitoring register and method for payment with electronic coin data sets |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060301 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20070905 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090421 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090616 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20090616 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20091104 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20091110 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121120 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121120 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121120 Year of fee payment: 3 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121120 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121120 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131120 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |