JP4523449B2 - 鍵サービス方法、システムおよびそのプログラム - Google Patents
鍵サービス方法、システムおよびそのプログラム Download PDFInfo
- Publication number
- JP4523449B2 JP4523449B2 JP2005046843A JP2005046843A JP4523449B2 JP 4523449 B2 JP4523449 B2 JP 4523449B2 JP 2005046843 A JP2005046843 A JP 2005046843A JP 2005046843 A JP2005046843 A JP 2005046843A JP 4523449 B2 JP4523449 B2 JP 4523449B2
- Authority
- JP
- Japan
- Prior art keywords
- unlocking
- user
- key
- license
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
公開鍵暗号を用いた認証情報(解錠ライセンス)により、利用者が携帯する装置、例えばICチップ搭載携帯電話を用いてドアの解錠または施錠を行い、解錠または施錠を契機として情報配信を行う鍵サービス方法、システムおよびそのプログラムに関する。
従来の共通鍵暗号を用いた鍵サービスシステムのフローを図1に示す(非特許文献1)。図1において、1は利用者が携帯する装置、例えば携帯電話であり、2はゲート(ドアがわ装置)であり、3はサーバであり、4は鍵管理者である。第1の段階は初期設定の段階である。S10で携帯電話1からサーバ3に対して利用者登録を行う。この時、携帯電話1は利用者IDを送付する。S11でサーバ3は鍵管理者4に対して設定画面の表示し、S12で鍵管理者4はサーバ3に対して利用者毎にゲート2の解錠許可(サクセス権)の設定を行う。第2の段階は予約・解錠ライセンスのダウンロードの段階である。S13で携帯電話1はサーバ3に対して予約を行う。この時、携帯電話1は利用者IDを送付する。S14でサーバ3は利用者を検証し、解錠許可をチェックする。許可の場合は、S15で解錠ライセンスを発行する。解錠ライセンスにはゲートID、利用者IDが含まれている。S16でサーバ3から解錠ライセンスをゲート2にダウンロードし、S17で携帯電話1が解錠ライセンスをダウンロードする。第3の段階は入室時の段階である。携帯電話1はゲート2に対して認証データを送信する。認証データには解錠ライセンスと利用者IDが含まれている。S19でゲート2は解錠ライセンスと利用者IDを検証し、許可すべき時はS20でドアを解錠する。S21でゲート2は解錠情報(解錠ライセンス情報)をサーバ3に送信し、S22でサーバ3はi−mode(登録商標)メールで情報を配信する。
この方式においては、利用者ID(これはICチップに固有である)およびゲートIDの組が、解錠のための認証情報(解錠ライセンス)となる。セキュリティを担保するため、この認証情報(解錠ライセンス)は共通鍵により暗号化され、各装置間で受け渡される。このため、認証情報(解錠ライセンス)を扱う各装置、すなわち、サーバ、ゲートおよび携帯(ICチップ)は、共通の秘密鍵(共通鍵)を知っている必要があり、またこれら装置に対しては耐タンパ性が要求される(これらの装置では、認証情報(解錠ライセンス)を秘密の情報として保護しなければならない)。
この従来方式は共通鍵を用いるため、以下の問題点がある。
(1)共通鍵が知られてしまうとシステム全体が破られたことになり、セキュリティ上の弱点となる。
(2)共通の秘密鍵、および認証情報(解錠ライセンス)といった秘密の情報を、原則として各ドアが持たなければならず、秘密情報を保護しなければならない装置の数が多くなる。
(3)解錠鍵(解錠ライセンス)(解錠のための認証情報)を発行するたび、認証情報(解錠ライセンス)を、原則として各ドアに適宜配送しなければならず、従って各ドアは常時オンラインである必要がある。
(1)共通鍵が知られてしまうとシステム全体が破られたことになり、セキュリティ上の弱点となる。
(2)共通の秘密鍵、および認証情報(解錠ライセンス)といった秘密の情報を、原則として各ドアが持たなければならず、秘密情報を保護しなければならない装置の数が多くなる。
(3)解錠鍵(解錠ライセンス)(解錠のための認証情報)を発行するたび、認証情報(解錠ライセンス)を、原則として各ドアに適宜配送しなければならず、従って各ドアは常時オンラインである必要がある。
各ドアで直接処理を行うのではなく、複数のドア群と接続されそれらをコントロールするドアサーバを用いることにより、上記問題点のうち(2)、(3)は軽減することができる。しかしながら、この場合においても、ドアサーバは秘密情報を保護しなければならずかつ解錠鍵の配送を受けるため常時オンラインでなければならない。また、各ドアは任意の時点で解錠処理を行うためドアサーバとは常時接続されていなければならない。従って、ドアサーバを用いた場合でも、上記問題点は本質的には解消されない。
図1のフローにおいて、ICカードを用いた場合には、ICカードリーダライタ装置を接続したPC等の装置を用いることが必要であり、システム上要求される装置数が増える。また、ICカードを用いた場合には、鍵発行というプロセスを経ずに運用するシステムも多い。この場合、解錠に用いる認証情報は利用者ID(ICチップに固有)のみであり、ICカードに対する鍵ダウンロードの処理は省略できる。一方、各ドアに対しては、鍵ダウンロードという形式ではなく解錠許可の設定を行うことになるが、このため各ドアの設定はより煩雑となり、かつまた認証情報と利用者IDとが同一になるためセキュリティ的にもより脆弱となる。
図1のフローにおいて情報配信の契機は解錠の成功であるが、その方式は(iモード)メールである。この場合、解錠からメール着信までにはタイムラグが存在し、かつまたネットワークの状態によっては情報配信が失敗する可能性があり、問題となる。鍵サービスとは異なるサービスで、非接触通信で直接ICチップ搭載携帯電話に情報配信を行うシステムも存在する。しかしながらこの場合、従来システムでは配信できる情報量に制限があり、大抵の場合はURLなど実際に配信したい情報へのポインタを配信するのみである。
株式会社KESAKAシステム、株式会社コネクトテクノロジーズ、伊藤忠テクノサイエンス株式会社、株式会社NTTドコモ九州、"「おサイフケータイTM」をカギとして利用のマンション完成! 「kesakaサービス」提供開始。"、[online]、[平成17年1月28日検索]、インターネット<http://www.kesaka.net/tm05.htm><http://www.kesaka.net/pf0404.htm><http://www.kesaka.net/pf04041.htm><http://www.kesaka.net/pf04042.htm><http://www.kesaka.net/pf04043.htm><http://www.kesaka.net/pfsample1.htm>
本発明は、公開鍵暗号を用いることにより、鍵サービスにおける従来の方式の問題点を解決するものである。すなわち、公開鍵暗号を用いた方式により、下記を実現する。
・公開鍵暗号を用いることにより、共通の秘密鍵の漏洩にかかわるシステムのセキュリティ上の弱点を解消する。
・さらに、公開鍵暗号を用いた解錠鍵の方式を工夫することで、各ドア等の施錠・解錠装置が秘密情報を持つ必要を無くし、秘密情報を保護しなければならない装置の数を低減する。
・認証情報の各ドア等の施錠・解錠装置への事前の配送を不要とするような解錠鍵の方式を実現し、これにより各ドア等の施錠・解錠装置が常時オンラインである必要性を解消する。
・公開鍵暗号を用いることにより、共通の秘密鍵の漏洩にかかわるシステムのセキュリティ上の弱点を解消する。
・さらに、公開鍵暗号を用いた解錠鍵の方式を工夫することで、各ドア等の施錠・解錠装置が秘密情報を持つ必要を無くし、秘密情報を保護しなければならない装置の数を低減する。
・認証情報の各ドア等の施錠・解錠装置への事前の配送を不要とするような解錠鍵の方式を実現し、これにより各ドア等の施錠・解錠装置が常時オンラインである必要性を解消する。
更に、ICチップ搭載携帯電話を用いることにより、解錠鍵の書き換えおよび閲覧・行使を、特別な装置なしに行えるようにする。すなわち、例えば、iモード等によりネットワークアクセスが可能な携帯電話を用いることにより、ICカード内の認証情報の書き換えおよび閲覧を携帯電話のみで行うことができる。これはICカードを用いた場合を比べてシステム上要求される装置の種類が少なく済み利便性が高く、かつまた従来方式よりもセキュリティ的にも優れている。
また、解錠の成功等を契機とし、ドア等の施錠・解錠装置の例えばICカードリーダライタ装置から直接ICチップ搭載携帯電話に非接触通信で情報配信を行うことにより、従来方式と比べてよりタイムラグが小さくかつ確実に、情報そのものの配信を行うことができる。
第1の発明は、錠の施錠・解錠を行う施錠・解錠装置が、利用者が携帯する装置から鍵管理者の秘密鍵による署名を含む電子的な鍵である解錠ライセンスを受信するステップと、前記施錠・解錠装置が、前記鍵管理者の公開鍵を用いた前記解錠ライセンスの署名の検証および前記解錠ライセンスの検証を行うステップと、前記施錠・解錠装置が前記利用者が携帯する装置に対してチャレンジを送信し、前記利用者が携帯する装置が前記チャレンジに対して前記利用者の秘密鍵により署名演算を行い前記施錠・解錠装置にレスポンスを送信し、前記施錠・解錠装置が前記利用者の公開鍵を用いてレスポンスを検証するステップと、前記施錠・解錠装置が、前記解錠ライセンスの署名の検証および前記解錠ライセンスの検証および前記レスポンスの検証に成功した場合に、錠の解錠または施錠を行うステップと、前記解錠または施錠を契機として、前記施錠・解錠装置が前記利用者が携帯する装置にハイパーリンクを含む情報およびアプリケーションの起動指示を非接触通信により配信し、前記利用者が携帯する装置がアプリケーションを起動し配信された前記ハイパーリンクを含む情報を画面に表示させるステップと、を有する鍵サービス方法である。第2の発明は、第1の発明において、サーバが、利用者が携帯する装置から前記利用者の秘密鍵による署名を含む情報を受信するステップと、前記サーバが、前記利用者の公開鍵を用いた前記利用者の検証および解錠許可の検証に成功した場合に、前記解錠ライセンスを前記利用者が携帯する装置に送信するステップと、を有する鍵サービス方法である。第3の発明は、第1または2の発明において、前記利用者によるPIN入力が成功した後、前記施錠・解錠装置が、前記利用者が携帯する装置から前記解錠ライセンスを受信する鍵サービス方法である。第4の発明は、第3の発明において、前記PIN入力が必須の動作と、それを必須としない動作を切り替えるステップを有する鍵サービス方法である。第5の発明は、第1〜第4の発明において、前記利用者が携帯する装置はTypeB ICチップ搭載携帯電話である鍵サービス方法である。第6の発明は、第1〜第5の発明において、前記施錠・解錠装置と前記利用者が携帯する装置との間の通信を非接触通信で行う鍵サービス方法である。第7の発明は、第1〜第6の発明の鍵サービス方法を行う前記サーバ、前記施錠・解錠装置、および前記利用者が携帯する装置を有する鍵サービスシステムである。第8の発明は、第1〜第7の発明の鍵サービス方法のステップをコンピュータに実行させるためのプログラムである。
本発明により、公開鍵暗号を用いることで、鍵サービスにおける従来の方式の問題点を解決することができる。すなわち、下記が実現される。
・公開鍵暗号を用いることにより、共通の秘密鍵の漏洩にかかわるシステムのセキュリティ上の弱点を解消する。
・さらに、公開鍵暗号を用いた解錠鍵の方式を工夫することで、各ドア等の施錠・解錠装置が秘密情報を持つ必要を無くし、秘密情報を保護しなければならない装置の数を低減する。
・認証情報の各ドア等の施錠・解錠装置への事前の配送を不要とするような解錠鍵の方式を実現し、これにより各ドア等の施錠・解錠装置が常時オンラインである必要性を解消する。
・公開鍵暗号を用いることにより、共通の秘密鍵の漏洩にかかわるシステムのセキュリティ上の弱点を解消する。
・さらに、公開鍵暗号を用いた解錠鍵の方式を工夫することで、各ドア等の施錠・解錠装置が秘密情報を持つ必要を無くし、秘密情報を保護しなければならない装置の数を低減する。
・認証情報の各ドア等の施錠・解錠装置への事前の配送を不要とするような解錠鍵の方式を実現し、これにより各ドア等の施錠・解錠装置が常時オンラインである必要性を解消する。
更に、例えば、iモード等によりネットワークアクセスが可能な携帯電話を用いることにより、ICカード内の認証情報の書き換えおよび閲覧を特別な装置なしに携帯電話のみで行うことができる。
また、解錠の成功等を契機とし、ドア等の施錠・解錠装置の例えばICカードリーダライタ装置から直接ICチップ搭載携帯電話に非接触通信で情報配信を行うことにより、従来方式と比べてよりタイムラグが小さくかつ確実に、情報そのものの配信を行うことができる。
以下、本発明の実施形態について説明する。
本発明の鍵サービスシステムの実施形態のフローを図2に示す。図2において、31は利用者が携帯する装置、例えばTypeB ICチップ搭載携帯電話であり(以下、「ICチップ搭載携帯電話31」という。)、32はドアの解錠、施錠を行うゲート(ドアがわ装置)であり、33はサーバであり、34は鍵管理者である。図2の携帯31は本実施形態では「ICチップ搭載携帯電話31」として説明するが、これに限定されるわけではなく、利用者が携帯する装置であれば、携帯型のテレビ、ラジオ、音楽再生装置、鞄、ハンドバッグ、サイフ、免許証、証明書、カード等の利用者が携帯するものであってもよく、また、衣服に取り付けたり、電子鍵として専用のものであってもよい。本実施形態においてはゲート32をドアがわ装置すなわちドアの錠の施錠、解錠を行う装置として説明するが、これに限定されるわけではなく、ゲート32は金庫、鞄、ハンドバック、机、キャビネット、ロッカー、自動車、建物、その他の錠を用いる物において、錠の施錠・解錠を行う施錠・解錠装置である。
本発明の鍵サービスシステムの実施形態のフローを図2に示す。図2において、31は利用者が携帯する装置、例えばTypeB ICチップ搭載携帯電話であり(以下、「ICチップ搭載携帯電話31」という。)、32はドアの解錠、施錠を行うゲート(ドアがわ装置)であり、33はサーバであり、34は鍵管理者である。図2の携帯31は本実施形態では「ICチップ搭載携帯電話31」として説明するが、これに限定されるわけではなく、利用者が携帯する装置であれば、携帯型のテレビ、ラジオ、音楽再生装置、鞄、ハンドバッグ、サイフ、免許証、証明書、カード等の利用者が携帯するものであってもよく、また、衣服に取り付けたり、電子鍵として専用のものであってもよい。本実施形態においてはゲート32をドアがわ装置すなわちドアの錠の施錠、解錠を行う装置として説明するが、これに限定されるわけではなく、ゲート32は金庫、鞄、ハンドバック、机、キャビネット、ロッカー、自動車、建物、その他の錠を用いる物において、錠の施錠・解錠を行う施錠・解錠装置である。
第1段階は初期設定の段階である。S40でサーバ33は鍵管理者IDとゲートIDをゲート(ドアがわ装置)32に設定する。S41でICチップ搭載携帯電話31が利用者登録を行う。利用者登録には利用者の公開鍵が含まれている。S42でサーバ33は鍵管理者34に対して設定画面を表示し、S43で鍵管理者34はサーバ33に利用者毎のゲート(部屋)の解錠許可(アクセス権)を設定する。
第2段階は予約・解錠ラインセンスのダウンロードの段階である。S44でICチップ搭載携帯電話31はサーバ33に対して予約を送信する。予約には利用者の秘密鍵による署名が含まれている。なお、予約の代わりに、変更や削除の情報を送信することもできる。S45でサーバ33は利用者を検証し、解錠許可をチェックする。許可の場合はS46で電子的な鍵である解錠ライセンスを生成する。解錠ライセンスは有効期限、ゲートID、利用者公開鍵付きである(サーバ33はS41で利用者公開鍵を取得している)。S47でサーバ33は解錠ライセンスをICチップ搭載携帯電話31に送信する。解錠ライセンスには鍵管理者の秘密鍵による署名が含まれている。
第3の段階は利用者の入出時である。S48でICチップ搭載携帯電話31は解錠ライセンスを送信する。解錠ライセンスは鍵管理者秘密鍵による署名を含む。S49で、ゲート(ドアがわ装置)32は、解錠ライセンスの署名検証と解錠ライセンスの検証を行う。すなわち、ゲート(ドアがわ装置)32は、取得した解錠ライセンスに施されている鍵管理者秘密鍵による署名を鍵管理者公開鍵によって検証する。次に、ゲート(ドアがわ装置)32は、解錠ライセンスをパーズし、必要な情報を取り出す。取り出された情報のうち、対象のゲートIDおよび有効期限をチェックし、自己のゲートIDおよび現在時刻が条件に合致するかを確認する。解錠ライセンスの署名検証と解錠ライセンスの検証が成功すれば、ゲート(ドアがわ装置)32はS50でチャレンジを携帯電話31に送信する。携帯電話31は利用者の秘密鍵を用いて署名演算し、S52でレスポンスをゲート(ドアがわ装置)32に送信する。S53でゲート(ドアがわ装置)32は利用者公開鍵を用いてレスポンスを検証し、成功すればS54で解錠する。S55でゲート(ドアがわ装置)32は非接触、連携起動によりICチップ搭載携帯電話31に情報を配信する。
本実施形態における解錠鍵(解錠ライセンス)は、対象のゲートID、有効期限、利用者の公開鍵およびその他付帯データを一組とし、その一組に対して鍵管理者秘密鍵による署名を行ったものである。解錠鍵(解錠ライセンス)は、利用者からの依頼(部屋の利用予約等)に基づき、鍵管理者が生成する。解錠鍵生成に先立ち、利用者の公開鍵は鍵管理者に知らされているものとする(図2のフローにおいては、利用者登録時(S41)にサーバに登録される)。生成された解錠鍵(解錠ライセンス)は、利用者に送られる(S47)。利用者は、入室時に解錠鍵(解錠ライセンス)をドアがわ装置に送り(S48)、認証等必要な処理を行ってすべて成功すれば解錠がなされる(S54)。入室時の認証プロセスは以下の手順となる。
1.解錠鍵(解錠ライセンス)の署名検証:ゲート(ドアがわ装置)32は、取得した解錠鍵(解錠ライセンス)に施されている、鍵管理者秘密鍵による署名を検証する。署名検証には鍵管理者公開鍵が必要であるが、これは予め鍵管理者によってドアがわ装置32に設定されているものとする。
2.解錠鍵(解錠ライセンス)の検証:ゲート(ドアがわ装置)32は、解錠鍵(解錠ライセンス)をパーズし、必要な情報を取り出す。取り出された情報のうち、対象のゲートIDおよび有効期限をチェックし、自己のゲートIDおよび現在時刻が条件に合致するかを確認する。
3.利用者の認証:ゲート(ドアがわ装置)32は、利用者に対してチャレンジを送る。利用者のICチップ(ICチップ搭載携帯電話31内)は、チャレンジに対して利用者秘密鍵により署名演算を行い、結果をドアがわ装置32に返す。ドアがわ装置32は、解錠鍵(解錠ライセンス)から取得した利用者公開鍵を用いてレスポンスを検証する。
なお、上記1、2は図2のS49で行われ、上記3は図2のS50〜S53で行われる。
1.解錠鍵(解錠ライセンス)の署名検証:ゲート(ドアがわ装置)32は、取得した解錠鍵(解錠ライセンス)に施されている、鍵管理者秘密鍵による署名を検証する。署名検証には鍵管理者公開鍵が必要であるが、これは予め鍵管理者によってドアがわ装置32に設定されているものとする。
2.解錠鍵(解錠ライセンス)の検証:ゲート(ドアがわ装置)32は、解錠鍵(解錠ライセンス)をパーズし、必要な情報を取り出す。取り出された情報のうち、対象のゲートIDおよび有効期限をチェックし、自己のゲートIDおよび現在時刻が条件に合致するかを確認する。
3.利用者の認証:ゲート(ドアがわ装置)32は、利用者に対してチャレンジを送る。利用者のICチップ(ICチップ搭載携帯電話31内)は、チャレンジに対して利用者秘密鍵により署名演算を行い、結果をドアがわ装置32に返す。ドアがわ装置32は、解錠鍵(解錠ライセンス)から取得した利用者公開鍵を用いてレスポンスを検証する。
なお、上記1、2は図2のS49で行われ、上記3は図2のS50〜S53で行われる。
上記の方式において、秘密に保持しなければならない情報は、通常の公開鍵暗号と同じく、鍵管理者秘密鍵および利用者秘密鍵のみである。従って、秘密情報を保持する機器はサーバおよび利用者が持つICチップのみであり、従来方式のようにドアがわ機器に秘密情報を保持する必要はない。
本実施形態において、解錠時には鍵管理者の鍵ペアによる解錠鍵(解錠ライセンス)の検証が行われるため(図2のS49参照)、第三者が解錠鍵(解錠ライセンス)を改竄したとしても改竄された解錠鍵は無効となる。また、万一鍵管理者の秘密鍵が漏洩したとしても、それにより影響を被るのは当該鍵管理者に係わるドアのみであり、従来方式のように共通の秘密鍵が漏洩した時点でシステムに対する任意の攻撃が可能となる訳ではなく、よりセキュリティが高い。また、解錠時には利用者の鍵ペアによる利用者認証が行われるため(図2のS50〜S53参照)、解錠鍵(解錠ライセンス)が第三者に渡ったとしても第三者による解錠鍵の使用は阻止される。従来方式では共通の秘密鍵を知っている(システムに参加している)第三者がIDを偽装できれば不正に入手した解錠鍵の使用が可能となるため、本方式はよりセキュリティが高い。さらに、万一利用者の秘密鍵が漏洩したとしても、それにより影響を蒙るのは当該利用者のみであり、従来方式のように共通の秘密鍵が漏洩した時点でシステムに対する任意の攻撃が可能となる訳ではない。
本実施形態において、解錠時の認証プロセスにおいてゲート(ドアがわ装置)32で必要となる情報は、事前に設定された鍵管理者の公開鍵および解錠前に利用者から送られる解錠鍵(解錠ライセンス)に含まれる情報のみである。すなわち、従来方式のように、発行された解錠鍵と利用者が持つ解錠鍵(解錠ライセンス)とをドアがわ装置で照合する必要はなく、したがって解錠鍵(解錠ライセンス)を発行する度にドアがわ装置を設定したり、あるいは解錠処理を行う度にサーバ等に認証情報を確認したりする必要がない。つまり、ドアがわ装置は常時オンラインである必要はない。
本実施形態においてはICチップ搭載携帯電話を用いるため、ICカード内の認証情報の書き換えおよび閲覧を、特別な装置を用いることなく携帯電話のみで行うことができる。
本実施形態においては、解錠を契機として、ドアがわ装置のICカードリーダライタ装置から直接ICチップ搭載携帯電話に非接触通信で情報配信が行われる。従来方式は解錠通知を一旦サーバに送り、サーバから情報配信を行うため、ドアがわ装置は常時オンラインでなければならず、かつ情報配信にはタイムラグが存在した。一般に、配信されるべき情報の更新頻度は一日毎あるいは数時間毎などさほど頻繁ではないため、本方式ではドアがわ装置は常時オンラインである必要はない。また、情報配信は直接行われるため、従来方式と比べてよりタイムラグが小さくかつ確実に、情報そのものの配信を行うことができる。更に、本方式においてはICチップ搭載携帯電話を用いるため、配信された情報はその場で携帯電話のディスプレイを用いて閲覧することが可能である。
図3−1に、本実施形態のシステム構成概要図を示す。301はTypeB ICチップ搭載携帯電話(以下、「ICチップ搭載形態電話301」というが、利用者が携帯する装置であればどのようなものでもよい。)であり、図2の携帯31に対応する。302はドアの解錠、施錠を行うドアがわ端末であり、図2のゲート(ドアがわ装置)32に対応する。303は解錠ライセンス管理/情報配信サーバであり、図2のサーバ33に対応する。
解錠ライセンス管理/情報配信サーバ303は、解錠ライセンス(解錠鍵)の発行および管理を行う解錠ライセンス管理サーバ310、配信情報の設定・管理およびドアがわ端末302への配送を行う配信情報配信サーバ320、利用者の登録・管理を行いかつ利用者に対するWeb U/Iを提供する利用者管理・Web U/I330からなる。これら三つの部分は本実施形態では単純のため一個のサーバ装置内に置かれるものとして扱うが、それぞれ別個のサーバ装置に置かれたとしても機能的に全く問題はない。
ICチップ搭載携帯電話301とドアがわ端末302はISO/IEC14443(非接触型ICカードやRFIDの通信規格の一つ)で非接触通信を行い、ICチップ搭載携帯電話301と解錠ライセンス管理/情報配信サーバ303はi−mode網を介してsmtp、httpsのプロトコルで通信を行い、ドアがわ端末302と解錠ライセンス管理/情報配信サーバ303はネットワーク接続により通信を行う。なお、本実施形態においてはICチップ搭載携帯電話301とドアがわ端末302間の非接触通信としてISO/IEC14443を用いているが、これに限定するものではなく、非接触通信は、電気的に非接触で、近距離の通信であればどのようなものでもよい。また、本実施形態においてはICチップ搭載携帯電話301と解錠ライセンス管理/情報配信サーバ303間の通信網としてi−mode網を用いているが、それ以外の通信網であってもよい。
図3−2に解錠ライセンス管理/情報配信サーバ303の詳細を示す。解錠ライセンス管理/情報配信サーバ303は、解錠ライセンス管理サーバ310と配信情報配信サーバ320と利用者管理・Web U/I330を有する。
利用者管理・Web U/I330は、利用者の登録・管理を行いかつ利用者に対するWeb U/Iを提供する。利用者管理・Web U/I330は、利用者登録機能331、利用者認証機能332、利用者管理機能333、Web U/I334を有する。利用者登録機能331はシステムを利用できるようにするため、住所・氏名・メールアドレス・役職・クレジット情報など、必要な情報をもって利用者を登録する。利用者認証機能332は利用者がサーバにアクセスする際に必要となる認証のための機能を提供する。利用者管理機能333は、登録された利用者の情報の管理を行う。Web U/Iは、利用者および管理者に対して、Webまたはそれに準じるユーザインタフェースを提供する。
解錠ライセンス管理サーバ310は、解錠ライセンス(解錠鍵)の発行および管理を行う。解錠ライセンスサーバ310は、部屋情報登録・管理機能311、部屋・予約情報検索機能312、予約処理機能313、ネガリスト設定・配布機能315、iアプリ・カードAPダウンロード機能316を有する。部屋情報登録・管理機能311は、提供する各部屋(ドア)に関する情報を登録・管理する。部屋・予約情報検索機能312は、提供する各部屋およびそれらに対する予約情報を検索する。予約処理機能313は、予約・変更・削除を行う。解錠ライセンスの発行は、主として利用者からのリクエストに基づく。発行に先立つ利用者からのリクエストは、(部屋の)予約として処理される(たとえば会議室の予約・管理システムに適用した場合や、ウィークリーマンション・ホテル等の予約・部屋提供システムに適用した場合などを想定すれば理解し易い)。そういった予約を受け付けたり、変更・削除をおこなったりする機能である。解錠ライセンス生成・ダウンロード機能314は、予約に基づき、解錠ライセンスを生成・発行し、それを利用者がダウンロードできるようにする。ネガリスト設定・配布機能315は、ネガリストを設定し、配布する。利用者が携帯電話を紛失したなどの場合、拾われた携帯電話による不正使用の防止策として、申請に基づき、当該利用者の権限を停止する必要がある。このとき、既に発行・ダウンロードされた解錠ライセンスを無効化するため、ネガリストを生成して配布する必要がある。iアプリ・カードAPダウンロード機能316は、電子キーiアプリ361および電子キーカードAP351をダウンロード配布する機能である。
配信情報配信サーバ320は、配信情報の設定・管理およびドアがわ端末302への配送を行う。配信情報配信サーバ320は、配信情報設定・登録機能321、配信情報配布機能322、メール情報配信機能323、iアプリ・カードAPダウンロード機能324を有する。配信情報設定・登録機能321は、情報配信のための配信情報の設定および登録を行う。なお、配信情報は、配信されるべき情報の本体と、それに対する配信条件との組からなる。配信情報配布機能322は、設定・登録された配信情報を各ドアがわ端末に配布する。メール情報配信機能323は、情報配信をメール経由で行う場合に、ドアがわ端末302から解錠通知を受け取り、それに基づき配信されるべき情報および配信先を検索・決定し、メールで情報配信を行う。なお本実施形態では情報配信はドアがわ端末302から直接、非接触経由で行うことが基本であるが、既存システムとの整合性その他の理由でメール経由で情報配信を行いたい場合に用いられる機能である。iアプリ・カードAPダウンロード機能324は、情報配信iアプリ367および情報配信カードAP354をダウンロード配布する機能である。
図3−1のICチップ搭載携帯電話301は、miniSD形状のICチップを搭載可能であり、かつそれへのiアプリからのアクセス手段、および非接触経由でのICチップへのアクセスに必要となるアンテナ・給電等の機能を備えた携帯電話である。350がICチップであり(ICチップはminiSD形状のものが望ましいが、他の形状のICチップでもよい)、360がiアプリである。
図3−3にICチップ搭載携帯電話301の詳細を示す。ICチップ搭載携帯電話はiアプリ360とICチップ350を有する。iアプリ360は電子キーiアプリ361と情報配信iアプリ367を有する。ICチップ350は電子キーカードAP351と情報配信AP354を有する。
電子キーiアプリ361は、ICチップ内の解錠ライセンスの更新・表示を行うiアプリである。解錠ライセンスダウンロード・管理機能362は、解錠ライセンス管理サーバ310にアクセスし、解錠ライセンスをダウンロードし電子キーカードAP351内に保存する。また、保存された解錠ライセンスの管理を行う。解錠ライセンス表示機能363は、電子キーカードAP351内に保存された解錠ライセンスの情報を携帯電話のディスプレイに表示する機能である。動作モード変更機能364は、解錠時に利用者によるPIN入力を必要とするか否かの、動作モードを変更する機能である(動作モードに関しては後述)。PIN(暗証番号)入力・設定機能365は、利用者によるPIN入力を必要とするモードの際に、PINを入力し、また設定する機能である。電子キーカードAPパーソナライズ機能366は、ダウンロードされた電子キーカードAP351を使用可能な状態にし、利用者個々の情報を保存してパーソナライズする機能である。
情報配信iアプリ367は、配信された情報の管理・表示を行うiアプリである。情報配信iアプリ367は配信情報管理・表示機能368を有する。配信情報管理・表示機能368は、配信された情報の管理および携帯電話のディスプレイへの表示を行う。
電子キーカードAP351は、ICチップ350内で、解錠ライセンスその他必要となる情報を保持し、かつ認証に必要な署名演算等を行う。電子キーカードAP351は解錠ライセンス等保持機能352と認証機能353を有する。解錠ライセンス等保持機能352は、ダウンロードされた解錠ライセンス、その他必要となる情報を保持する機能である。認証機能353は、ドアがわ端末302との間で認証を行うため、署名演算等を行う機能である。なお、同様の認証機能をサーバとの認証に対して利用することも可能である。
情報配信カードAP354は、ICチップ350内で、配信される情報を取得・保持する機能である。情報配信カードAP354は、配信情報取得・保持機能355を有する。配信情報取得・保持機能355は、配信される情報を取得・保持する機能である。
図3−1のドアがわ端末302は、制御端末370およびドアゲート380からなり、部屋のドアに対応する。
ドアゲート380は、電気錠381と電気錠コントローラ382、非接触ICカードリーダライタ383を組み込んだドアである。電気錠コントローラ382は制御端末370からの指示に応じて電気錠381の解錠・施錠等のコントロールを行う。非接触ICカードリーダライタ383は、制御端末370による制御に従い、非接触でICチップ搭載携帯電話301のICチップ350と通信を行う。なお、後述するPIN入力のため、ドアゲート380に10キー入力装置を組み込む場合がある(10キー入力装置は、制御端末370から制御を行う)。また、用途に応じて、表示機能や音源出力機能も組み込むこともあり得る。
制御端末370は、解錠ライセンス管理/情報配信サーバ303から配信された、あるいは予め設定された情報に基づき、ドアゲート380に組み込まれた各種装置を制御する。制御端末370はゲート端末AP371と情報配信AP376を有する。
図3−4にドアがわ端末302の制御端末370の詳細を示す。制御端末370は、ゲート端末AP371と情報配信AP376を有する。
ゲート端末AP371はドアゲート380を制御するアプリである。ゲート端末AP371は、解錠ライセンス取得・検証機能372、解錠機能373、ネガリスト取得設定機能374、動作モード設定・PIN入力取得・検証機能375を有する。解錠ライセンス取得・検証機能372は、ドアゲート380のICカードリーダライタ装置383を用いて、利用者がかざすICチップ搭載携帯電話301内の電子キーカードAP351から解錠ライセンスの取得を行い、取得した解錠ライセンスの署名検証・解錠ライセンス内の情報の検証および利用者の認証を行う。解錠機能373は、認証プロセスが正常に終了した場合に、ドアゲート380の電気錠コントローラ382を用いて電気錠381の解錠を行う機能である。なお、本実施形態では単純のため一貫して解錠に関してのみ述べるが、実際の動作としては解錠のみならず、施錠も同様に可能である。ネガリスト取得・設定機能374は、解錠ライセンス管理/情報配信サーバ303から配布されるネガリストを取得・保存し、解錠ライセンス内の情報の検証時に、合致するものがあった場合は認証プロセスを不成功とする機能である。動作モード設定・PIN入力取得・検証機能375は、解錠時に利用者によるPIN入力を必要とするか否かの、動作モードを変更する機能である(動作モードに関しては後述)。PIN入力を必要とする動作モードの場合、PIN入力の取得は、ドアゲート380に組み込まれた10キーから行う場合と、予め利用者がICチップ搭載携帯電話301に入力しておいたものを、ドアゲートに組み込まれたICカードリーダライタ装置383を用いて取得する場合がある。取得したPINは、ICカードリーダライタ装置383を経由し、ICチップ搭載携帯電話301内の電子キーカードAP351により、検証を行う。
情報配信AP376は、情報配信を行うアプリである。情報配信AP376は情報配信・情報配信依頼機能377と配信情報取得・保存機能378を有する。情報配信・情報配信依頼機能377は、解錠を契機とし、予め設定された情報に基づき、配信されるべき情報を検索・決定し、ドアゲート380のICカードリーダライタ装置383を用いて非接触通信により情報配信を行い、ICチップ搭載携帯電話301内の情報配信カードAP354に対して配信する情報を書き込む機能である。なお、情報配信をメール経由で行う場合は、解錠通知を解錠ライセンス管理/情報配信サーバ303に送る。配信情報取得・保存機能378は、配信されるべき情報を配信情報配信サーバ320から取得し、保存する機能である。
以下、実施例について説明する。
(実施例1)
実施例1は解錠ライセンスフォーマットの実施例である。
(実施例1.1)
図4に解錠ライセンスフォーマット例1を示す。
(実施例1)
実施例1は解錠ライセンスフォーマットの実施例である。
(実施例1.1)
図4に解錠ライセンスフォーマット例1を示す。
これは、解錠ライセンス管理/情報配信サーバ303(以下、単に「サーバ303」という。)にて生成し、ICチップ350内に格納する解錠ライセンスのフォーマット例である。サーバ303では、新規予約や既存予約の変更・削除など、利用者に係わる予約に何らかの変更がある度、当該利用者の解錠ライセンスを生成し直す。その際、当該利用者に係わる予約のうち、有効期限が切れていないものをすべてリストアップし、それらのライセンス情報(図中では、ライセンス1情報、ライセンス2情報、等々)を並べ、利用者ID、利用者公開鍵等の利用者の情報を付け、その全体にサーバ署名を行い当該利用者向けの更新された解錠ライセンスとする。
ここで、利用者クラスは利用者の属するグルーピングのことであり、解錠許可あるいは情報配信の条件設定の際に利用される。また、時間帯は解錠を許可する時間を開始−終了時間の組で指定するのではなく、一日をいくつかのゾーンに切った時間帯の指定で行う際に用いる。なお、図中のByteの行は、ある実装を仮定した際に各フィールドで用いられるバイト数の見積もりであり、参考情報である。
また、ライセンス付帯情報は、解錠処理そのものには用いられないが、ICチップ350内の解錠ライセンスの情報を。Iアプリが人間に可読な状態で表示する際に用いられるものであり、解錠ライセンスとセットで生成・更新される。
本実施例においては、利用者ひとりに対して解錠ライセンスは常にひとつであり、利用者に係わる予約に変更があった場合は解錠ライセンス全体が更新される。このため、予約に変更があった時の更新量が大きくなる反面、iアプリ・カードAPにおいて、解錠ライセンスの管理を特別に行う必要はない。
(実施例1.2)
図5に解錠ライセンスフォーマット例2を示す。
これは、サーバ303にて生成し、ICチップ350内に格納する解錠ライセンスのフォーマット例である。実施例1.1と異なり、解錠ライセンスは個々の予約に対応する、個々の解錠ライセンス(図中では解錠ライセンス1、解錠ライセンス2等)のリストからなる。また、ライセンス付帯情報に関しても同様である。個々の解錠ライセンスのフォーマットは実施例1.1から容易に類推できるものであるので、説明は省略する。
図5に解錠ライセンスフォーマット例2を示す。
これは、サーバ303にて生成し、ICチップ350内に格納する解錠ライセンスのフォーマット例である。実施例1.1と異なり、解錠ライセンスは個々の予約に対応する、個々の解錠ライセンス(図中では解錠ライセンス1、解錠ライセンス2等)のリストからなる。また、ライセンス付帯情報に関しても同様である。個々の解錠ライセンスのフォーマットは実施例1.1から容易に類推できるものであるので、説明は省略する。
本実施例においては、個々の予約に対応して独立な解錠ライセンスが存在するため、利用者に係わる予約に変更があった場合でも対応する解錠ライセンスのみを更新・削除すれば良い。このため、予約に変更があった時の更新量が小さく済む反面、iアプリ・カードAPにおいて、解錠ライセンスの管理を行う必要がある。
(実施例2)
実施例2は予約画面等の実施例である。
(実施例2.1)
実施例2.1はウィークリーマンションサービスへ適用した例である。
図6に本実施例をウィークリーマンションサービスに適用した場合の、利用者から見た画面遷移を示す。図6に示されているのは、ログイン・利用者認証から、部屋予約・申込を経て電子キー(解錠ライセンス)ダウンロードに至る一連の流れの部分である。
実施例2は予約画面等の実施例である。
(実施例2.1)
実施例2.1はウィークリーマンションサービスへ適用した例である。
図6に本実施例をウィークリーマンションサービスに適用した場合の、利用者から見た画面遷移を示す。図6に示されているのは、ログイン・利用者認証から、部屋予約・申込を経て電子キー(解錠ライセンス)ダウンロードに至る一連の流れの部分である。
本実施例の携帯利用電子キーサービスは様々な分野に利用可能であるが、多くの場合、解錠ライセンスの生成・発行・解錠の部分のみではサービスとしての意味をなさず、部屋を貸す、予約するといった行為があってはじめて意味が出てくる。その一例として、ウィークリーマンションのサービスに適用した場合を記述したのが本実施例である。
これら画面はサーバ303にて生成され、利用者はICチップ搭載携帯電話301のiモードブラウザを用いてこれにアクセスする。電子キー(解錠ライセンス)ダウンロードは、ブラウザでリンクをクリックすることにより、ICチップへのアクセス手段を持つ電子キーiアプリが起動し、それによりなされる。
以下、図6を用いて説明する。利用者はICチップ搭載携帯電話301のiアプリまたはブックマークからサーバ303に接続する。画面101は、個人用トップページ画面である。「ログイン」を押下すると、ログイン確認画面102が表示される。ここで、「OK」を押下すると、サーバ303はICチップ搭載携帯電話301の認証処理を行い(図2のS44、S45に対応する)、認証が正常に行われると、予約メニュー画面103が表示される。「部屋検索・申込」を押下すると、部屋検索画面104が表示され、予約期間を指定した後、「検索」を押下すると、部屋検索結果表示画面105が表示される。部屋を選択すると、部屋情報画面106が表示され、「OK」を押下すると、部屋申込画面107が表示され、「申込む」を押下すると、部屋申し込み完了画面108が表示され、解錠ライセンスが生成される(図2のS46に対応する)。「電子キーダウンロードへ」を押下すると、予約確認・変更メニュー画面109が表示され、「電子キーダウンロード」を押下すると、iアプリ起動確認画面008が表示される。「Yes」を押下すると、iアプリ起動中画面009、ICカードデータ書き込み中画面010が表示され、電子キー(解錠ライセンス)が保存されると、ICカードデータ書き込み終了画面110が表示される(図2のS47に対応する)。
(実施例2.2)
実施例2.2は会議室予約サービスへ適用した例である。図7に会議室予約サービスに適用した場合の、利用者から見た画面遷移を示す。図7に示されているのは、部屋予約・申込の部分(上の図)と、行った予約に対して参加者を登録・削除する部分(下の図)である。部屋予約・申込の部分(上の図)は実施例2.1と基本的には同じであるが、予約単位が実施例2.1の場合は日付であったのに対し、ここでは時間帯になっている。
実施例2.2は会議室予約サービスへ適用した例である。図7に会議室予約サービスに適用した場合の、利用者から見た画面遷移を示す。図7に示されているのは、部屋予約・申込の部分(上の図)と、行った予約に対して参加者を登録・削除する部分(下の図)である。部屋予約・申込の部分(上の図)は実施例2.1と基本的には同じであるが、予約単位が実施例2.1の場合は日付であったのに対し、ここでは時間帯になっている。
図7の上の図は、会議室の予約を行う場合の携帯電話のブラウザの表示画面を示したものである。601は予約メニュー画面であり、「予約する」を押下すると、予約日付指定画面602が表示され、日付を指定して「OK」を押下すると、予約状況表示画面603が表示され、時間を選択すると、予約確認画面604が表示され、「OK」を押下すると予約完了画面605が表示される。ここで、「電子キーダウンロードへ」を押下すると、図6の画面109〜110と同様に電子キー(解錠ライセンス)を携帯電話にダウンロードできる。
図7の下の図は、会議室の予約確認、変更を行う場合の携帯電話のブラウザの表示画面を示したものである。601は予約メニュー画面であり、「予約確認・変更」を押下すると、予約確認画面607が表示され、会議室を選択すると、参加者登録予定変更・削除メニュー画面606が表示され、「参加者登録・削除」を押下すると、参加者登録・削除メニュー画面612が表示される。ここで、「追加」を押下すると、参加者が追加され、参加者登録完了画面613が表示される。参加者登録・削除メニュー画面612で、「削除」を押下すると、参加者が削除され、参加者削除完了画面614表示される。参加者として追加・削除された人の携帯電話に対して、その旨メール通知(電子キーダウンロード用URLを含む)が行われる。追加された参加者は、通知されたメールの「電子キーダウンロード」(電子キーダウンロード用URLへのリンク)を押下することにより、電子キー(解錠ライセンス)を自分の携帯電話にダウンロードすることができる。
図7の下の図に示す、行った予約に対して参加者を登録・削除する部分は実施例2.1にはない部分であり、予約した会議室(すなわち会議)に参加する人を予約者が指定し、参加者に対して合鍵を提供できるようにするものである。ここで、会議室予約サービスという性格上、利用者は基本的には予めすべて登録されており、かつその素性(役職、部署等)は利用者間で既知と想定して良いため、参加者登録にあたって予約者により特別に参加者の認証を行う必要はない。また、合鍵は実際には、登録された参加者が当該予約を行ったのと同様であるとみなすことで、新たに当該参加者に対して解錠ライセンスを発行することにより実現される。すなわち、合鍵という特別な仕組みを用意する必要はない。
(実施例3)
実施例3はPIN(暗証番号)認証に関するものである。
セキュリティ上の観点からは、解錠ライセンスの行使に先立ち、行使する人物がICチップを保持する人物と同一であることの認証を行った方が望ましい場合がある。この目的で、解錠ライセンスを行使する前に、PIN認証を行い、それによりICチップ350を保持する人物と行使する人物とが同一である(すなわち本人しか知らないPINを知っている)ことを確認するプロセスを付加することができる。
実施例3はPIN(暗証番号)認証に関するものである。
セキュリティ上の観点からは、解錠ライセンスの行使に先立ち、行使する人物がICチップを保持する人物と同一であることの認証を行った方が望ましい場合がある。この目的で、解錠ライセンスを行使する前に、PIN認証を行い、それによりICチップ350を保持する人物と行使する人物とが同一である(すなわち本人しか知らないPINを知っている)ことを確認するプロセスを付加することができる。
また、PIN入力を必須とするか不要とするかは、利用者により電子キーiアプリ361からモード切り替えにより切り替えることも可能である。サービスの形態によっては、利用者にモード切り替えを許さず、サービス提供者が予めいづれかのモードに固定してサービスを提供することも可能である。
(実施例3.1)
図8にPIN(暗証番号)認証方式の実現例1を示す。図8(A)にPIN必要モードの解錠時のフローを示し、図8(B)にPIN不要モードの解錠時のフローを示し、図8(C)にPIN必要モードに設定するフローを示し、図8(D)にPIN不要モードに設定するフローを示し、図8(E)にPIN必要モードでPINを入力するフローを示す。
図8にPIN(暗証番号)認証方式の実現例1を示す。図8(A)にPIN必要モードの解錠時のフローを示し、図8(B)にPIN不要モードの解錠時のフローを示し、図8(C)にPIN必要モードに設定するフローを示し、図8(D)にPIN不要モードに設定するフローを示し、図8(E)にPIN必要モードでPINを入力するフローを示す。
図8(F)に、ICチップ搭載携帯電話301(図3−1参照)のICチップ350の電子キーカードAP351内の関連ファイルの模式図を示す。電子キーカードAP351はそれ自体がファイルであり、図8(A)〜(E)の最初のステップの「Select File」は電子キーカードAP351を選択するステップである。電子キーカードAP351の内部に「電子キー」、「PIN(IEF)」、「PIN(EF)」の3つのファイルがある。「PIN(IEF)」は、PINを保持しておくファイルである。このファイルへのPINの保存は、利用者によりPINの初期設定がなされた時点で行なわれ、その後は(利用者によりPINが変更されない限り)変更されない。また、セキュリティ上の要件から、外部からのこのファイルの読み出しはできないようになっている。このファイルは、PIN認証のために用いられるものである。すなわち、ICカードに対してPINが入力されたとき、入力されたPINが、PIN(IEF)に保持されているPINと合致するかをカード内で検証し、OK/NGを返すために用いられる。「電子キー」は、電子キー(解錠ライセンス)を格納するファイルである。このファイルには、PIN(IEF)によるPINの照合が成功しない限り、読み出しはできないとする属性が付けられている(PIN(IEF)が電子キーに重なるように図示したのは、そのような関連があるとの意味である)。PIN認証を行なうためには、上記のようにICカードに対して利用者がPINを入力する必要があるが、このとき、利用者が入力したPINをそのまま、PIN(IEF)による認証に用いるのではなく、一旦「PIN(EF)」に格納する。PIN(EF)は外部からの読み出しが可能であり、認証においては、ドアがわ端末302がPIN(EF)に保持されたPINを読み出し、それをもって、ICカードに対してPIN認証を要求する。
図8(A)はPIN必要モードの解錠時のフローであり、ICチップ搭載携帯電話301(図3−1参照)のICチップ350の電子キーカードAP351内では、電子キー(解錠ライセンス)を保持するファイルに対し、PIN(IEF)によるPINの照合が成功しない限り、読み出しはできないとする属性が付けられている。PIN入力を必要とするモードに設定する際には、図8(C)に示すように、解錠ライセンスを保持するファイルの属性を、PIN照合がなければ読み出し不可と設定しておけば良い(Manage Attribute(電子キー))。念のためこの時用いたPIN(EF)は消去する(Update Record)。
図8(A)はPIN必要モードの解錠時のフローであり、ICチップ搭載携帯電話301(図3−1参照)のICチップ350の電子キーカードAP351内では、電子キー(解錠ライセンス)を保持するファイルに対し、PIN(IEF)によるPINの照合が成功しない限り、読み出しはできないとする属性が付けられている。PIN入力を必要とするモードに設定する際には、図8(C)に示すように、解錠ライセンスを保持するファイルの属性を、PIN照合がなければ読み出し不可と設定しておけば良い(Manage Attribute(電子キー))。念のためこの時用いたPIN(EF)は消去する(Update Record)。
図8(E)に示すように、利用者(ユーザ)は、解錠ライセンスの行使前に電子キーiアプリ361からPIN入力を行い(Verify(PIN))、入力されたPINはICチップ350の電子キーカードAP351内のPIN(EF)ファイル(図8(F)参照)に保持される。
利用者がICチップ搭載携帯電話301をドアがわ端末302にかざした時、ドアがわ端末302では、図8(A)に示すように、まずPIN(EF)ファイルを読み取り(Read Record)、読み取られたPINを用いて、ICチップ350に対し認証を行う(Verify(PIN))。PIN認証が成功すれば、解錠ライセンスが読み取り可能になるため、以降の解錠のための認証プロセス(解錠処理)に進むことができる。ただしこのとき、PINの再利用を防ぐため、PIN(EF)の内容はPIN認証の成否に関わらず、消去しておかなければならない(Update Record)。なお、上記において、PIN(EF)を用いる理由は、一般に、認証・ファイル属性指定用のPIN(IEF)は、セキュリティ上読み取り不可でなければならないためである。
この方式において、PIN入力を不要とするモードに設定する際には、図8(D)に示すように、利用者は電子キーiアプリ361からPIN入力を行い(Verify(PIN))、解錠ライセンスを保持するファイルに対する属性を、PIN照合がなくても読み出し可能と設定しておけば良い(Manage Attribute(電子キー))。これにより、ドアがわ端末302はPIN認証に関する処理をすることなく、解錠のための認証プロセスを行うことができる(図8(B)参照)。また、ドアがわ端末302は現在のモードを知らずとも、PIN入力が必須か不要かのモードを自動判別することも可能である。すなわち、まず解錠のための認証プロセスの冒頭で行う解錠ライセンスの読み出しを行うことにより、それが成功した場合はPINが不要なモードであり、失敗した場合は読み出しに制限がかかっているためPIN入力が必要なモードであると判断できる。
上記においては、PIN入力はICチップ搭載携帯電話301の電子キーiアプリ361から行われるものとしていたが、ドアがわ端末302に組み込んだ10キーを用いてPIN入力を行うことも可能である。この場合のフローはiアプリから行う場合とほぼ同様であり、PINを電子キーカードAPから読み出す代わりに、10キーから取得すれば良い。
このとき、ドアがわ端末302はPIN入力がiアプリからなされるか10キーからなされるかを、予め知らずとも自動的に判別することができる。すなわち、10キー入力およびICカードリーダライタをセンスしておき、10キー入力があった後一定の時間内にICカードリーダライタにICチップ搭載携帯電話がかざされたことを感知した場合は、10キーからのPIN入力であり、そうではなく先にICカードリーダライタでICチップ搭載携帯電話を感知した場合は、iアプリからのPIN入力がなされていると判定すれば良い。
(実施例3.2)
図9にPIN認証方式の実現例2を示す。図9(A)にPIN必要モードの解錠時のフローを示し、図9(B)にPIN必要モードに設定するフローを示し、図9(C)にPIN不要モードに設定するフローを示し、図9(D)にPIN必要モードでPINを入力するフローを示す。
図9にPIN認証方式の実現例2を示す。図9(A)にPIN必要モードの解錠時のフローを示し、図9(B)にPIN必要モードに設定するフローを示し、図9(C)にPIN不要モードに設定するフローを示し、図9(D)にPIN必要モードでPINを入力するフローを示す。
図9(E)に、電子キーカードAP351内の関連ファイルの模式図を示す。図9(E)は図8(F)とほぼ同様である。異なる点は、図8(F)ではPIN(EF)が利用者から入力されたPINのみを保持するのに対して、図9(E)では「PIN+ModeBit(EF)」となっており、利用者から入力されたPINに加えて、現在のモードを表すビット(すなわちPIN必要モードを示すフラグ)もあわせて保持される点である。このモードビットは、PIN必要モードではPINの再利用を防ぐため「PIN+ModeBit(EF)」に保持されているPINを毎回消去する必要があるのに対し、PIN不要モードでは消去しないため、現在のモードがいづれであるかをドアがわ端末302が知るために用いられる。
実施例3.1同様、電子キーカードAP351内では、電子キー(解錠ライセンス)を保持するファイルに対し、PIN(IEF)によるPINの照合が成功しない限り、読み出しはできないとする属性が付けられている(図9(B)にPIN必要モードに設定するフローが示されている)。図9(D)に示すように、解錠ライセンスの行使前に利用者が電子キーiアプリ361からPIN入力を行い、入力されたPINが電子キーカードAP351内のPIN(EF)ファイルに保持されるのも実施例3.1と同様であるが、このとき、PIN(EF)には現在のモードを表すビット(すなわちPIN必要モードを示すフラグ)もあわせて保持される(図9(E)参照)。
利用者がICチップ搭載携帯電話301をドアがわ端末302にかざした時、図9(A)に示すように、実施例3.1同様、ドアがわ端末302ではまずPIN(EF)ファイルを読み取り(Read Record)、読み取られたPINを用いて、ICチップに対し認証を行う(Verify(PIN))。PIN認証が成功すれば、解錠ライセンスが読み取り可能になるため、以降の解錠のための認証プロセス(解錠処理)に進むことができる。このとき、PINの再利用を防ぐため、PIN(EF)の内容はPIN認証の成否に関わらず、消去しておかなければならないが、この処理は実施例3.1とはことなり、現在のモードがPIN必要モードである時のみである(現在のモードはPIN(EF)に保持されているビットから知ることが出来る)。
この方式において、PIN入力を不要とするモードに設定する際には、図8(C)に示すように、利用者にPINを入力させ、それが正しいものであることを確認した後、正しいPINと、PIN不要モードを表すフラグとをPIN(EF)に保持しておく。これにより、ドアがわ端末302は常に正しいPINを取得することができ、従って実効上は利用者が改めてPIN入力を行うことなく、解錠のための認証プロセスを行うことができる。このとき、ドアがわ端末302は予め現在のモードを知る必要がなく処理を行うことができるが、PIN(EF)のPINを消去するか否かを判断するためには、PINを読み取ると同時に現在のモードも読み取り、動作を変える必要がある。
上記においては、PIN入力はICチップ搭載携帯電話301の電子キーiアプリ361から行われるものとしていたが、ドアがわ端末302に組み込んだ10キーを用いてPIN入力を行うことも、実施例3.1同様、可能である。
(実施例4)
図10に配信情報の形式を、会議室予約の場合の例で示す。図において、一行がひとつの配信情報の単位を表し、ひとつの配信情報単位は、複数の配信条件とひとつの配信情報から構成される。
図10に配信情報の形式を、会議室予約の場合の例で示す。図において、一行がひとつの配信情報の単位を表し、ひとつの配信情報単位は、複数の配信条件とひとつの配信情報から構成される。
配信条件は、利用者(クラス)、ゲート(クラス)、時間、解錠回数、配信回数からなり、これらに対する条件がアンド条件で判定される。ここで表中の「*」はドントケア条件(すなわち任意の場合にマッチする)を示す。利用者(クラス)の欄には、特定の利用者(図中では「▲さん」)あるいは利用者クラス(グループ化された利用者。図中では「一般職」)を記述することができる。ゲート(クラス)に関しても同様である。時間の欄では、ここでは時間帯を複数書くことができる(オア条件。なお、ウィークリーマンションの場合などは時間帯ではなく、開始−終了日時の組を複数書くことになる)。解錠回数、配信回数は、当該ドアまたは当該情報に対する解錠または情報配信の回数をカウントしておき、それが特定の値または範囲になった時情報を配信することを示す。このような条件指定を評価し、合致する行(複数合致することがあるが、その場合すべて)の配信情報内容を、対象の情報配信内容とする。
ドアがわ端末302には予めこの表形式が配布されており、解錠が行われる度に条件判定を行い、配信されるべき情報内容を決定する(メール経由での情報配信を行う場合は、解錠通知をもとにサーバにて条件判定を行う)。
配信情報内容には、利用者名や部屋名、予約時間帯などを含めることができる。配信情報内容の記載にあたっては、その部分を特定の文字列で示しておき、配信を行う際に実際の値に置換を行う。置換されるべき実際の値は、利用者名等予約に関わる情報であれば解錠ライセンスから取得することができる。また、部屋名などであれば、ドアがわ端末の固有情報として、個々のドアがわ端末において処理することが可能である。
(実施例5)
図11に情報配信の画面例を示す。
図11はウィークリーマンションの場合を例とし、配信された情報をiアプリ画面で表示する際の例である。情報配信iアプリ367(図3−1参照)では、情報配信カードAP354(図3−1参照)に書き込まれた情報を読み出し最新の配信情報を表示するが、このとき過去数回の配信情報も保持されており、必要に応じて読み出し・表示することができる。なお、iアプリを用いるため、テキスト情報のみならず、ハイパーリンクも配信情報に含めることが可能である。
図11に情報配信の画面例を示す。
図11はウィークリーマンションの場合を例とし、配信された情報をiアプリ画面で表示する際の例である。情報配信iアプリ367(図3−1参照)では、情報配信カードAP354(図3−1参照)に書き込まれた情報を読み出し最新の配信情報を表示するが、このとき過去数回の配信情報も保持されており、必要に応じて読み出し・表示することができる。なお、iアプリを用いるため、テキスト情報のみならず、ハイパーリンクも配信情報に含めることが可能である。
図11においては、初回の解錠時と二回目以降とでは、実施例4に記載された配信条件の設定を用いて、異なる情報が配信される場合を想定している。また、図11の「二回目以降」の部分では、一度に配信される情報量を加減できるようにすることを想定している。これは、情報配信の時間が配信される情報量に比例し、またICチップの記憶容量には限りがあるため、実用時において最適なトレードオフをみつけられるようにとの配慮からである。図11の例においては、フル〜短縮の情報量の想定は、およそ384〜128バイトである。情報配信量のコントロール方法としては、実施例4において複数行の情報配信単位を選択することができることを利用して、それぞれの行にプライオリティを付けておく方法(すなわち、必ず配信する、短縮では省略する、フルでのみ配信する、等)、あるいは、ひとつの情報配信単位での配信情報欄を更に細分しておく方法(すなわち必ず配信する部分、短縮では省略される部分、フルでのみ配信する部分、等)、などが考えられる。
以上説明した実施形態および実施例の各装置はその機能または動作を実現する手段を有しており、その手段はハードウェアで構成しても、その一部または全部を記憶装置に記憶されたプログラムとそのプログラムを処理するCPUで構成してもよい。
以上、本発明者によってなされた発明を、前記実施形態、実施例に基づき具体的に説明したが、本発明は、前記実施形態、実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
1…利用者が携帯する装置(携帯電話)、2…ゲート(ドアがわ装置)、3…サーバ、4…鍵管理者、31…利用者が携帯する装置(ICチップ搭載携帯電話)、32…ゲート(ドアがわ装置)、33…サーバ、34…鍵管理者、301…ICチップ搭載携帯電話、302…ドアがわ端末、303…解錠ライセンス管理/情報配信サーバ、310…解錠ライセンス管理サーバ、320…配信情報配信サーバ、330…利用者管理・Web U/I、350…ICチップ、351…電子キーカードAP、354…情報配信AP、360…iアプリ、361…電子キーiアプリ、367…情報配信iアプリ、370…制御端末、371…ゲート端末AP、376…情報配信AP、380…ドアゲート、381…電気錠、382…電気錠コントローラ、383…非接触ICカードリーダライタ
Claims (8)
- 錠の施錠・解錠を行う施錠・解錠装置が、利用者が携帯する装置から鍵管理者の秘密鍵による署名を含む電子的な鍵である解錠ライセンスを受信するステップと、
前記施錠・解錠装置が、前記鍵管理者の公開鍵を用いた前記解錠ライセンスの署名の検証および前記解錠ライセンスの検証を行うステップと、
前記施錠・解錠装置が前記利用者が携帯する装置に対してチャレンジを送信し、前記利用者が携帯する装置が前記チャレンジに対して前記利用者の秘密鍵により署名演算を行い前記施錠・解錠装置にレスポンスを送信し、前記施錠・解錠装置が前記利用者の公開鍵を用いてレスポンスを検証するステップと、
前記施錠・解錠装置が、前記解錠ライセンスの署名の検証および前記解錠ライセンスの検証および前記レスポンスの検証に成功した場合に、錠の解錠または施錠を行うステップと、
前記解錠または施錠を契機として、前記施錠・解錠装置が前記利用者が携帯する装置にハイパーリンクを含む情報およびアプリケーションの起動指示を非接触通信により配信し、前記利用者が携帯する装置がアプリケーションを起動し配信された前記ハイパーリンクを含む情報を画面に表示させるステップと、
を有する鍵サービス方法。 - 請求項1に記載の鍵サービス方法であって、
サーバが、利用者が携帯する装置から前記利用者の秘密鍵による署名を含む情報を受信するステップと、
前記サーバが、前記利用者の公開鍵を用いた前記利用者の検証および解錠許可の検証に成功した場合に、前記解錠ライセンスを前記利用者が携帯する装置に送信するステップと、
を有する鍵サービス方法。 - 請求項1または2に記載の鍵サービス方法であって、
前記利用者によるPIN入力が成功した後、前記施錠・解錠装置が、前記利用者が携帯する装置から前記解錠ライセンスを受信する鍵サービス方法。 - 請求項3に記載の鍵サービス方法であって、
前記PIN入力が必須の動作と、それを必須としない動作を切り替えるステップを有する鍵サービス方法。 - 請求項1ないし4のうちいずれか1項に記載の鍵サービス方法であって、
前記利用者が携帯する装置はTypeB ICチップ搭載携帯電話である鍵サービス方法。 - 請求項1ないし5のうちいずれか1項に記載の鍵サービスで方法あって、
前記施錠・解錠装置と前記利用者が携帯する装置との間の通信を非接触通信で行う鍵サービス方法。 - 請求項1ないし6のうちいずれか1項に記載の鍵サービス方法を行う前記サーバ、前記施錠・解錠装置、および前記利用者が携帯する装置を有する鍵サービスシステム。
- 請求項1ないし7のうちいずれか1項に記載の鍵サービス方法のステップをコンピュータに実行させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005046843A JP4523449B2 (ja) | 2005-02-23 | 2005-02-23 | 鍵サービス方法、システムおよびそのプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005046843A JP4523449B2 (ja) | 2005-02-23 | 2005-02-23 | 鍵サービス方法、システムおよびそのプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006233475A JP2006233475A (ja) | 2006-09-07 |
| JP4523449B2 true JP4523449B2 (ja) | 2010-08-11 |
Family
ID=37041440
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005046843A Active JP4523449B2 (ja) | 2005-02-23 | 2005-02-23 | 鍵サービス方法、システムおよびそのプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4523449B2 (ja) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5332152B2 (ja) * | 2006-08-24 | 2013-11-06 | 大日本印刷株式会社 | 部屋予約管理システム、部屋管理装置及び装置プログラム |
| JP5194642B2 (ja) * | 2006-08-24 | 2013-05-08 | 大日本印刷株式会社 | 部屋予約管理システム、サーバ、部屋管理装置、サーバプログラム、及び装置プログラム |
| JP4931544B2 (ja) * | 2006-10-20 | 2012-05-16 | 株式会社三共 | 生体情報照合システム |
| JP4402135B2 (ja) * | 2007-06-08 | 2010-01-20 | 株式会社エヌ・ティ・ティ・ドコモ | 機器制御システム、携帯端末及び制御装置 |
| AT506344B1 (de) * | 2008-01-30 | 2015-06-15 | Evva Sicherheitstechnologie | Verfahren und vorrichtung zur steuerung der zutrittskontrolle |
| US8731583B2 (en) * | 2010-01-04 | 2014-05-20 | Alcatel Lucent | Interactive ID system using mobile devices |
| JP5421202B2 (ja) * | 2010-07-20 | 2014-02-19 | 株式会社東海理化電機製作所 | 携帯機 |
| CN102831687A (zh) * | 2012-09-11 | 2012-12-19 | 李凯 | 自动感应门禁系统及其实现方法 |
| JP6627777B2 (ja) | 2014-12-09 | 2020-01-08 | ソニー株式会社 | 情報処理システム |
| US10115250B2 (en) * | 2016-05-23 | 2018-10-30 | Fuji Xerox Co., Ltd. | Systems and methods for location enabled electronic lock controls |
| JP6450360B2 (ja) * | 2016-12-09 | 2019-01-09 | Qrio株式会社 | 情報処理システム、通信装置およびプログラム |
| JP7221589B2 (ja) | 2017-10-24 | 2023-02-14 | トヨタ自動車株式会社 | 鍵情報管理装置、鍵情報管理方法、鍵情報管理プログラム |
| JP6635103B2 (ja) * | 2017-10-24 | 2020-01-22 | トヨタ自動車株式会社 | 情報処理装置、情報処理方法、プログラム |
| JP6999474B2 (ja) * | 2018-03-29 | 2022-01-18 | セコム株式会社 | 電気錠システムおよび錠制御端末 |
| WO2019244289A1 (ja) * | 2018-06-20 | 2019-12-26 | 三菱電機株式会社 | 電子錠システム、電子錠管理方法、および電子錠管理プログラム |
| JP6742008B1 (ja) * | 2019-06-25 | 2020-08-19 | 株式会社ビットキー | 利用制御システム、利用許可証発行装置、利用制御方法、およびコンピュータで読み取り可能なプログラム |
| JP6792229B1 (ja) * | 2019-08-28 | 2020-11-25 | 株式会社ビットキー | 利用管理システム、管理装置、利用制御装置、利用管理方法、およびプログラム |
| JP2021005870A (ja) * | 2020-07-21 | 2021-01-14 | 株式会社ビットキー | 利用制御システム、利用許可証発行装置、利用制御方法、およびコンピュータで読み取り可能なプログラム |
| JP2021036687A (ja) * | 2020-10-26 | 2021-03-04 | 株式会社ビットキー | 利用管理システム、管理装置、利用制御装置、利用者端末、利用管理方法、およびプログラム |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002288614A (ja) * | 2001-03-28 | 2002-10-04 | Dainippon Printing Co Ltd | Icモジュールとその製造方法 |
| JP2003223618A (ja) * | 2002-01-31 | 2003-08-08 | Dainippon Printing Co Ltd | 非接触/接触両用icカード通信制御装置及び携帯電話装置 |
| JP2003343133A (ja) * | 2002-03-20 | 2003-12-03 | Matsushita Electric Ind Co Ltd | デジタル鍵システムと装置 |
| JP2004102940A (ja) * | 2002-09-12 | 2004-04-02 | Denso Corp | 認証システム |
| JP2004112506A (ja) * | 2002-09-19 | 2004-04-08 | Sanwa Shutter Corp | ホームネットワークシステム |
-
2005
- 2005-02-23 JP JP2005046843A patent/JP4523449B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002288614A (ja) * | 2001-03-28 | 2002-10-04 | Dainippon Printing Co Ltd | Icモジュールとその製造方法 |
| JP2003223618A (ja) * | 2002-01-31 | 2003-08-08 | Dainippon Printing Co Ltd | 非接触/接触両用icカード通信制御装置及び携帯電話装置 |
| JP2003343133A (ja) * | 2002-03-20 | 2003-12-03 | Matsushita Electric Ind Co Ltd | デジタル鍵システムと装置 |
| JP2004102940A (ja) * | 2002-09-12 | 2004-04-02 | Denso Corp | 認証システム |
| JP2004112506A (ja) * | 2002-09-19 | 2004-04-08 | Sanwa Shutter Corp | ホームネットワークシステム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006233475A (ja) | 2006-09-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4523449B2 (ja) | 鍵サービス方法、システムおよびそのプログラム | |
| CN204948095U (zh) | 认证装置和确保应用程序和用户之间的交互的系统 | |
| JP5802137B2 (ja) | 安全なプライベート・データ記憶装置を有する集中型の認証システム、および方法 | |
| US9240009B2 (en) | Mobile devices for commerce over unsecured networks | |
| TWI445380B (zh) | 具自動憑證負載之大量儲存裝置 | |
| US20080059797A1 (en) | Data Communication System, Agent System Server, Computer Program, and Data Communication Method | |
| US20120129452A1 (en) | Method and apparatus for provisioning applications in mobile devices | |
| US20110126010A1 (en) | Server, system and method for managing identity | |
| US20120130838A1 (en) | Method and apparatus for personalizing secure elements in mobile devices | |
| US8856507B2 (en) | Secure identity and personal information storage and transfer | |
| KR100698563B1 (ko) | Ic 카드, 단말 장치, 및 데이터 통신 방법 | |
| WO2009101549A2 (en) | Method and mobile device for registering and authenticating a user at a service provider | |
| US10210516B2 (en) | Mobile devices for commerce over unsecured networks | |
| JP7259971B2 (ja) | ユーザクレデンシャル制御システムおよびユーザクレデンシャル制御方法 | |
| KR20030074483A (ko) | 서비스 제공자 장치로부터 네트워크를 통하여 서비스이용자 장치에 서비스를 제공하는 서비스 제공 시스템 | |
| CN101093562A (zh) | 电子验证方法和电子验证系统 | |
| US20100024025A1 (en) | Authentication system and authentication server device | |
| JP2001257668A (ja) | 認証システム、携帯端末、認証方法及び記録媒体 | |
| JP4135151B2 (ja) | Rfidを用いたシングルサインオン方法及びシステム | |
| JP6748667B2 (ja) | Api提供システム、認証サーバ、api提供方法、及びプログラム | |
| JP2005202497A (ja) | アプリケーションパーソナライズシステム、サーバ装置、icカード及び携帯端末 | |
| JP2002216081A (ja) | Icカードデータ閲覧制御方法、情報端末装置、コンピュータプログラムおよびサーバ | |
| JP2005065035A (ja) | Icカードを利用した代理者認証システム | |
| JP2007140988A (ja) | 身分証明システム | |
| JP2003187194A (ja) | 端末装置、個人情報処理装置および失効情報ファイル作成装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061011 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090804 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090818 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091019 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100525 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100527 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4523449 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130604 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140604 Year of fee payment: 4 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |