<実施の形態1>
<概要>
以下、本発明に係る機器制御方法の一実施形態として、宅内に配置されている機器を、宅外に持ち出した操作端末を用いて制御することができる機器制御システムについて説明する。
この機器制御システムにおいて、操作端末は、自モジュールの識別子を記憶するセキュリティモジュールを着脱自在に装着する。
この機器制御システムでは、操作端末が、システムに登録されている識別子を記憶するセキュリティモジュールを装着している状態である場合には、セキュアレベル1(後述)に対応付けられた機器の制御と、セキュアレベル2(後述)に対応付けられた機器の制御との双方が実行可能となる。そして、操作端末が、予めシステムに登録された識別子を記憶するセキュリティモジュールを装着していない状態である場合には、セキュアレベル2に対応付けられた機器の制御に限って実行可能となる。
ここで、このセキュリティモジュールは、操作端末を利用する正当なユーザに対してのみ提供される。
以下、この機器制御システムの構成について図面を参照しながら説明する。
<構成>
図1は、機器制御システム100の構成を示すシステム構成図である。
同図に示されるように、機器制御システム100は、操作端末130と、第1セキュリティモジュール110と、機器140A〜機器140Cと、第2セキュリティモジュール120A〜第2セキュリティモジュール120Cと、ホームゲートウェイ150と、サーバ装置160と、ネットワーク170と、基地局180とから構成される。
以下、機器制御システム100を構成するこれら構成要素について順に説明する。
操作端末130は、いわゆるスマートフォン型携帯通信端末であって、第1セキュリティモジュール110を着脱可能に装着する。
図2は、操作端末130の回路図である。
同図に示されるように、操作端末130は、CPU(Central Processing Unit)200と、通信用LSI(Large Scale Integration)210と、アンテナ220と、タッチパネルコントローラ230と、タッチパネル240と、メモリ250と、コネクタ260と、レシーバ270と、マイク280と、バッテリ290とから構成される。
アンテナ220は、通信用LSI210に接続され、通信用LSI210が行う通信に利用される、例えば、金属製のモノポールアンテナである。
通信用LSI210は、アンテナ220とCPU200とに接続され、CPU200によって制御され、CPU200から送られて来た送信用信号を変調する変調機能と、変調した信号を、アンテナ220を利用して基地局180に送信する送信機能と、基地局180から送信された信号を、アンテナ220を利用して受信する受信機能と、受信した信号を復調してCPU200へ送る復調機能とを有する。
ここで、通信用LSI210と基地局180との間でなされる通信は、例えば、LTE(Long Term Evolution)といった通信規格に準拠する商用携帯電話用無線通信回線を利用してなされる。
タッチパネル240は、タッチパネルコントローラ230に接続され、タッチパネルコントローラ230によって制御され、画像を表示する機能と、操作端末130を利用するユーザからの接触操作を電気信号に変換して出力する機能とを有する。
タッチパネルコントローラ230は、CPU200とタッチパネル240とに接続され、CPU200によって制御され、CPU200から送られてくる画像信号に基づく画像をタッチパネル240に表示させる機能と、操作端末130を利用するユーザによる、タッチパネル240を用いて行う接触操作を受け付けて、受け付けた接触操作を示す信号をCPU200に送る機能とを有する。
コネクタ260は、CPU200に接続され、以下の3つの機能を有する。
機能1:第1セキュリティモジュール110のコネクタ560(後述)と接続することで、操作端末130に、第1セキュリティモジュール110を着脱可能に装着させる機能。
機能2:操作端末130に、第1セキュリティモジュール110が装着されている場合において、操作端末130と第1セキュリティモジュール110とを、有線にて通信可能に接続する機能。
機能3:操作端末130に、第1セキュリティモジュール110が装着されている場合において、バッテリ290から供給される電力を、第1セキュリティモジュール120に伝達する機能。
レシーバ270は、CPU200に接続され、CPU200によって制御され、CPU200から送られる電気信号を音声に変換して出力する機能を有する。
マイク280は、CPU200に接続され、音声を電気信号に変換して、変換した電気信号をCPU200へ送る機能を有する。
メモリ250は、CPU200に接続され、RAM(Random Access Memory)とROM(Read Only Memory)とフラッシュメモリとから構成され、CPU200の動作を規定するプログラムと、CPU200が利用するデータとを記憶する。
CPU200は、通信用LSI210とタッチパネルコントローラ230とメモリ250とコネクタ260とレシーバ270とマイク280とに接続され、メモリ250に記憶されているプログラムを実行することで、通信用LSI210とタッチパネルコントローラ230とレシーバ270とを制御して、操作端末130に、以下の5つの機能を実現させる機能を有する。
スマートフォン制御機能:操作端末130を制御して、操作端末130に、従来のスマートフォンが有する、スマートフォンとしての一般的な機能と同等な機能、例えば、通話機能、インターネットサイト閲覧機能、メール送受信機能、待ち受け機能等を実現させる機能。
初期登録機能A:操作端末130を制御して、機器制御システム100を構成する他の構成要素と共同で、機器制御システム100の行う初期登録処理を実現する機能。この初期登録処理については、後程<初期登録処理>の項目において、フローチャートを用いて詳細に説明する。
第2セキュリティモジュール発行依頼機能A:操作端末130を制御して、機器制御システム100を構成する他の構成要素と共同で、機器制御システム100の行う第2セキュリティモジュール発行依頼処理を実現する機能。この第2セキュリティモジュール発行依頼処理については、後程<第2セキュリティモジュール発行依頼処理>の項目において、フローチャートを用いて詳細に説明する。
機器操作機能A:操作端末130を制御して、機器制御システム100を構成する他の構成要素と共同で、機器制御システム100の行う機器操作処理を実現する機能。この機器操作処理については、後程<機器操作処理>の項目において、フローチャートを用いて詳細に説明する。
情報確認機能A:操作端末130を制御して、機器制御システム100を構成する他の構成要素と共同で、機器制御システム100の行う情報確認処理を実現する機能。この情報確認処理については、後程<情報確認処理>の項目において、フローチャートを用いて詳細に説明する。
バッテリ290は、繰り返し充電され得る二次電池であって、操作端末130を構成する電子部品に電力を供給する機能を有する。
上記回路構成を備える操作端末130について、以下、機能面から見た構成について説明する。
図3は、操作端末130の機能構成を示すブロック図である。
同図に示されるように、操作端末130は、制御手段300と、表示手段310と、操作受付手段320と、セキュリティモジュール通信手段330と、音声処理手段340と、通信手段350と、暗号処理手段360と、操作端末情報格納手段370とから構成される。
表示手段310は、プログラムを実行するCPU200と、タッチパネルコントローラ230と、タッチパネル240とによって実現され、制御手段300によって制御され、操作端末130を利用するユーザに提示する画像を生成してタッチパネル240に表示する機能を有する。
操作受付手段320は、プログラムを実行するCPU200と、タッチパネルコントローラ230と、タッチパネル240とによって実現され、制御手段300によって制御され、操作端末130を利用するユーザからの、タッチパネル240への接触操作を受け付ける機能を有する。
セキュリティモジュール通信手段330は、プログラムを実行するCPU200と、コネクタ260とによって実現され、制御手段300によって制御され、操作端末130に第1セキュリティモジュール110が装着されている場合において、第1セキュリティモジュール110と有線にて通信する機能を有する。
音声処理手段340は、プログラムを実行するCPU200と、レシーバ270と、マイク280とによって実現され、制御手段300によって制御され、操作端末130の行う通話における音声の入出力処理を行う機能を有する。
通信手段350は、プログラムを実行するCPU200と、通信用LSI210と、アンテナ220とによって実現され、制御手段300によって制御され、商用携帯電話用無線通信回線を利用して基地局180と通信する機能と、基地局180とネットワーク170とを介して、サーバ装置160と通信する機能を有する。
暗号処理手段360は、プログラムを実行するCPU200によって実現され、制御手段300によって制御され、データの秘匿性、完全性を保つための暗号化処理を実行する暗号処理機能、暗号技術を用いた認証処理を実行する認証処理機能、暗号技術を用いた鍵共有処理を実行する鍵共有処理機能を有する。ここで、暗号処理手段360は、これら、暗号処理機能、認証処理機能、鍵共有処理機能を実現するために、AES(Advanced Encrypting Standard)暗号技術、ECDSA(Elliptic Curve Digital Signature Standard)技術、ECDH(Elliptic Curve Diffie-Hellman)技術、SSL(Secure Socket Layer)/TSL(Transport Layer Security)技術等を利用する。
操作端末情報格納手段370は、プログラムを実行するCPU200と、メモリ250に含まれる記憶領域の一部とによって実現され、操作端末情報400を記憶する機能を有する。
図4は、操作端末情報格納手段370によって記憶される操作端末情報400の一例についてのデータ構成図である。
同図に示されるように、操作端末情報400は、端末種別410と型番420とが対応付けられて構成される。
端末種別410は、操作端末130の種別を示す情報である。
型番420は、操作端末130の型番を示す情報である。
この例では、操作端末130の端末種別はスマートフォンであり、型番はP−06Dである場合の例となっている。
再び、図3に戻って、操作端末130の機能構成の説明を続ける。
制御手段300は、プログラムを実行するCPU200によって実現され、表示手段310と操作受付手段320とセキュリティモジュール通信手段330と音声処理手段340と通信手段350と暗号処理手段360と操作端末情報格納手段370とを制御して、操作端末130に、前述の、スマートフォン制御機能と初期登録機能Aと第2セキュリティモジュール発行依頼機能Aと機器操作機能Aと情報確認機能Aとを実現させる機能を有する。
図5は、第1セキュリティモジュール110の回路図である。
同図に示されるように、第1セキュリティモジュール110は、CPU500と、メモリ550と、コネクタ560とから構成される。
コネクタ560は、CPU500に接続され、以下の3つの機能を有する。
機能1:操作端末130のコネクタ260と接続することで、第1セキュリティモジュール110を、操作端末130に着脱可能に装着させる機能。
機能2:操作端末130に、第1セキュリティモジュール110が装着されている場合において、操作端末130と第1セキュリティモジュール110とを、有線にて通信可能に接続する機能。
機能3:操作端末130に、第1セキュリティモジュール110が装着されている場合において、コネクタ260から伝達される電力を、第1セキュリティモジュール110を構成する電子部品に伝達する機能。
メモリ550は、CPU500に接続され、RAMとROMとフラッシュメモリとから構成され、CPU500の動作を規定するプログラムと、CPU500が利用するデータとを記憶する。
CPU500は、メモリ550とコネクタ560とに接続され、メモリ550に記憶されているプログラムを実行することで、第1セキュリティモジュール110に、以下の4つの機能を実現させる機能を有する。
初期登録機能B:第1セキュリティモジュール110を制御して、機器制御システム100を構成する他の構成要素と共同で、機器制御システム100の行う初期登録処理を実現する機能。
第2セキュリティモジュール発行依頼機能B:第1セキュリティモジュール110を制御して、機器制御システム100を構成する他の構成要素と共同で、機器制御システム100の行う第2セキュリティモジュール発行依頼処理を実現する機能。
機器操作機能B:第1セキュリティモジュール110を制御して、機器制御システム100を構成する他の構成要素と共同で、機器制御システム100の行う機器操作処理を実現する機能。
情報確認機能B:第1セキュリティモジュール110を制御して、機器制御システム100を構成する他の構成要素と共同で、機器制御システム100の行う情報確認処理を実現する機能。
上記回路構成を備える第1セキュリティモジュール110について、以下、機能面から見た構成について説明する。
図6は、第1セキュリティモジュール110の機能構成を示すブロック図である。
同図に示されるように、第1セキュリティモジュール110は、制御手段600と、操作端末通信手段610と、ID情報格納手段620とから構成される。
ID情報格納手段620は、プログラムを実行するCPU500と、メモリ550に含まれる記憶領域の一部とによって実現され、自モジュールを一意に識別するセキュリティモジュールIDを記憶する機能を有する。
ここで、このセキュリティモジュールIDは、第1セキュリティモジュール110の製造時において、メモリ550を構成するROMにおける所定の記憶領域に書き込まれる。このことによって、セキュリティモジュールIDが改竄されてしまうことを防止している。
また、ID情報格納手段620は、ソフトウエア又はハードウエアを利用する暗号化技術を利用して、記憶するセキュリティモジュールIDに対して耐タンパ性を有している。
操作端末通信手段610は、プログラムを実行するCPU500と、コネクタ560とによって実現され、制御手段600によって制御され、操作端末130に第1セキュリティモジュール110が装着されている場合において、操作端末130と有線にて通信する機能を有する。
制御手段600は、プログラムを実行するCPU500によって実現され、操作端末通信手段610とID情報格納手段620とを制御して、第1セキュリティモジュール110に、前述の、初期登録機能Bと第2セキュリティモジュール発行依頼機能Bと機器操作機能Bと情報確認機能Bとを実現させる機能を有する。
図7は、操作端末130と第1セキュリティモジュール110との外観を示す斜視図である。
同図に示されるように、操作端末130は、いわゆるスマートフォン型携帯通信端末であって、その筐体の主表面に、レシーバ270から出力される音声を筐体外部に伝えるためのレシーバ孔710と、筐体外部の音声をマイク280に伝えるためのマイク孔720とが形成され、さらに、タッチパネル240の主表面が配置されている。また、その筐体の側面に、セキュリティモジュール挿入孔730が形成されている。そして、セキュリティモジュール挿入孔730の奥には、コネクタ260が配置されている。
第1セキュリティモジュール110は、その筐体自体が、コネクタ560を兼用している。そして、第1セキュリティモジュール110の筐体、すなわち、コネクタ560が、セキュリティモジュール挿入孔730に挿入されることで、コネクタ260とコネクタ560とが接続され、操作端末130に第1セキュリティモジュール110が装着されることとなる。
コネクタ260は、複数の金属製電極によって構成される電極群740を有し、第1セキュリティモジュール110の筐体、すなわち、コネクタ560は、複数の金属製電極によって構成される電極群750を有する。そして、操作端末130に第1セキュリティモジュール110が装着される状態において、電極群740を構成する電極のそれぞれと、電極群750を構成する電極のそれぞれとが、互いに電気的に接続される。このことによって、操作端末130と第1セキュリティモジュール110とは、有線にて通信することが可能となる。
図1に示される、機器140A〜機器140Cは、それぞれ、宅内に配置される電子機器であって、例えば、家庭用交流電源で動作する、エアコン、冷蔵庫、レコーダ、テレビ等である。
以下、機器140A〜機器140Cについて、これら機器を個別に説明するのではなく、これら機器を代表して、機器140を用いて説明する。
図8は、機器140の回路図である。
同図に示されるように、機器140は、制御部810と機器本体部820とから構成される。
制御部810は、さらに、CPU800と、コネクタ860と、メモリ850と、入力装置870と、出力装置880とから構成される。また、機器本体部820は、機器本体ハードウエア890によって構成される。
機器本体ハードウエア890は、CPU800に接続され、CPU800によって制御され、CPU800によって制御されることで、電子機器である機器140が、その電子機器としての機能を実現するためのハードウエア群である。例えば、機器140がエアコンであるとすれば、機器本体ハードウエア890は、エアコンとしての機能を実現するための、コンプレッサ、熱交換器、送風ファン等からなるハードウエア群が該当することとなる。
コネクタ860は、CPU800に接続され、以下の3つの機能を有する。
機能1:第2セキュリティモジュール120(後述)のコネクタ1160(後述)と接続することで、機器140に、第2セキュリティモジュール120を着脱可能に装着させる機能。
機能2:機器140に、第2セキュリティモジュール120が装着されている場合において、機器140と第2セキュリティモジュール120とを、有線にて通信可能に接続する機能。
機能3:機器140に、第2セキュリティモジュール120が装着されている場合において、第2セキュリティモジュール120に電力を供給する機能。
入力装置870は、CPU800に接続され、機器140を利用するユーザによってなされる操作を電気信号に変換して、CPU800に送る機能を有する。例えば、操作パネルにより実現される。
出力装置880は、CPU800に接続され、CPU800から送られてくる画像信号に基づく画像、音声等を表示する機能を有する。例えば、液晶ディスプレイ、スピーカにより実現される。
メモリ850は、CPU800に接続され、RAMとROMとフラッシュメモリとから構成され、CPU800の動作を規定するプログラムと、CPU800が利用するデータとを記憶する。
CPU800は、メモリ850とコネクタ860と入力装置870と出力装置880と機器本体ハードウエア890とに接続され、メモリ850に記憶されているプログラムを実行することで、機器本体ハードウエア890と入力装置870と出力装置880とを制御して、機器140に、以下の4つの機能を実現させる機能を有する。
機器制御機能:機器140を制御して、機器140に、従来の機器が有する、機器としての一般的な機能と同等な機能、例えば、機器がテレビであれば、番組再生機能、チャンネル切替機能等であり、例えば、機器が洗濯機であれば、すすぎ機能、脱水機能等を実現させる機能である。
機器登録機能C:機器140を制御して、機器制御システム100を構成する他の構成要素と共同で、機器制御システム100の行う機器登録処理を実現する機能。この機器登録処理については、後程<機器登録処理>の項目において、フローチャートを用いて詳細に説明する。
機器操作機能C:機器140を制御して、機器制御システム100を構成する他の構成要素と共同で、機器制御システム100の行う機器操作処理を実現する機能。
情報確認機能C:機器140を制御して、機器制御システム100を構成する他の構成要素と共同で、機器制御システム100の行う情報確認処理を実現する機能。
上記回路構成を備える機器140について、以下、機能面から見た構成について説明する。
図9は、機器140の機能構成を示すブロック図である。
同図に示されるように、機器140は、制御手段900と、実行手段920と、セキュリティモジュール通信手段930と、入力手段940と、出力手段950と、機器情報格納手段970とから構成される。
実行手段920は、プログラムを実行するCPU800と、機器本体ハードウエア890とによって実現され、制御手段900によって制御され、制御手段900から、機器本体ハードウエア890に所定の動作をさせる旨を示すコマンドが送られて来た場合に、機器本体ハードウエア890を用いて、そのコマンドの示す所定の動作を実行する機能を有する。
セキュリティモジュール通信手段930は、プログラムを実行するCPU800と、コネクタ860とによって実現され、制御手段900によって制御され、機器140に第2セキュリティモジュール120が装着されている場合において、第2セキュリティモジュール120と有線にて通信する機能を有する。
入力手段940は、プログラムを実行するCPU800と、入力装置870とによって実現され、制御手段900によって制御され、機器140を利用するユーザによる、入力装置870を用いてなされる操作を受け付ける機能と、ユーザによる操作を受け付けた場合において、その操作が、機器本体ハードウエア890に所定の動作をさせる旨を示す操作であるときに、機器本体ハードウエア890にその所定の動作をさせる旨を示すコマンドを生成して、制御手段900に送る機能を有する。
出力手段950は、プログラムを実行するCPU800と、出力装置880とによって実現され、制御手段900によって制御され、機器140を利用するユーザに提示する画像を生成して出力装置880に表示する機能を有する。
機器情報格納手段970は、プログラムを実行するCPU800と、メモリ850に含まれる記憶領域の一部とによって実現され、機器情報1000を記憶する機能を有する。
図10は、機器情報格納手段970によって記憶される機器情報1000の一例についてのデータ構成図である。
同図に示されるように、機器情報1000は、機種1010と型番1020と機能1030とセキュアレベル1040とが対応付けられて構成される。
機種1010は、機器140の機種を示す情報である。
型番1020は、機器140の型番を示す情報である。
機能1030は、機器140の有する電子機器としての機能のうち、操作端末130によって制御可能となる機能を示す情報である。
セキュアレベル1040は、対応付けられている機能1030を、操作端末130を利用して制御する際に必要となる、操作端末130のセキュアレベルを示す情報である。
ここで、操作端末130のセキュアレベルとは、操作端末130の状態のことを言い、操作端末130に第1セキュリティモジュール110が装着されている状態を、操作端末130のセキュアレベルが1であると言い、操作端末130に第1セキュリティモジュール110が装着されていない状態を、操作端末130のセキュアレベルが2であると言う。
セキュアレベル1は、セキュアレベル2よりも優位なレベルであって、セキュアレベルが1の操作端末130は、セキュアレベル1に対応付けられている、操作端末130によって制御可能となる機能と、セキュアレベル2に対応付けられている、操作端末130によって制御可能となる機能との双方が制御可能となるが、セキュアレベルが2の操作端末130は、セキュアレベル2に対応付けられている、操作端末130によって制御可能となる機能のみが制御可能となる。
コマンド1050は、対応付けられている機能1030を、機器140に実現させるためのコマンドである。
この例では、機器140の機種はエアコンであり、型番はCS―X252Cであり、操作端末130によって制御可能となる機能は、電源ONと電源OFFと運転切替とタイマセットとであり、セキュアレベルが1の操作端末130によって制御可能となる機能は、電源ONと電源OFFと運転切替とタイマセットとであり、セキュアレベルが2の操作端末130によって制御可能となる機能は、電源OFFである場合の例となっている。
再び図9に戻って、機器140の機能構成の説明を続ける。
制御手段900は、プログラムを実行するCPU800によって実現され、実行手段920とセキュリティモジュール通信手段930と入力手段940と出力手段950と機器情報格納手段970とを制御して、機器140に、前述の、機器制御機能と機器登録機能Cと機器操作機能Cと情報確認機能Cとを実現させる機能を有する。
図1に示される、第2セキュリティモジュール120A〜第2セキュリティモジュール120Cは、それぞれ、互いに同様の構成を有し、互いに同様の機能を有している。
従って、以下では、第2セキュリティモジュール120A〜第2セキュリティモジュール120Cについて、第2セキュリティモジュール120を用いて説明する。
図11は、第2セキュリティモジュール120の回路図である。
同図に示されるように、第2セキュリティモジュール120は、CPU1100と、通信用LSI1110と、アンテナ1120と、メモリ1150と、コネクタ1160とから構成される。
アンテナ1120は、通信用LSI1110に接続され、通信用LSI1110が行う通信に利用される、例えば、金属製のモノポールアンテナである。
通信用LSI1110は、アンテナ1120とCPU1100とに接続され、CPU1100によって制御され、CPU1100から送られて来た送信用信号を変調する変調機能と、変調した信号を、アンテナ1120を利用してホームゲートウェイ150に送信する送信機能と、ホームゲートウェイ150から送信された信号を、アンテナ1120を利用して受信する受信機能と、受信した信号を復調してCPU1100へ送る復調機能とを有する。
なお、通信用LSI1110とホームゲートウェイ150との間でなされる通信は、Bluetooth(登録商標)規格に準拠して行われる。
コネクタ1160は、CPU1100に接続され、以下の3つの機能を有する。
機能1:機器140のコネクタ860と接続することで、第2セキュリティモジュール120を、機器140に着脱可能に装着させる機能。
機能2:機器140に、第2セキュリティモジュール120が装着されている場合において、機器140と第2セキュリティモジュール120とを、有線にて通信可能に接続する機能。
機能3:機器140に、第2セキュリティモジュール120が装着されている場合において、コネクタ560から伝達される電力を、第2セキュリティモジュール120を構成する電子部品に伝達する機能。
メモリ1150は、CPU1100に接続され、RAMとROMとフラッシュメモリとから構成され、CPU1100の動作を規定するプログラムと、CPU1100が利用するデータとを記憶する。
CPU1100は、通信用LSI1110とメモリ1150とコネクタ1160とに接続され、メモリ1150に記憶されているプログラムを実行することで、通信用LSI1110を制御して、第2セキュリティモジュール120に、以下の3つの機能を実現させる機能を有する。
機器登録機能D:第2セキュリティモジュール120を制御して、機器制御システム100を構成する他の構成要素と共同で、機器制御システム100の行う機器登録処理を実現する機能。
機器操作機能D:第2セキュリティモジュール120を制御して、機器制御システム100を構成する他の構成要素と共同で、機器制御システム100の行う機器操作処理を実現する機能。
情報確認機能D:第2セキュリティモジュール120を制御して、機器制御システム100を構成する他の構成要素と共同で、機器制御システム100の行う情報確認処理を実現する機能。
上記回路構成を備える第2セキュリティモジュール120について、以下、機能面から見た構成について説明する。
図12は、第2セキュリティモジュール120の機能構成を示すブロック図である。
同図に示されるように、第2セキュリティモジュール120は、制御手段1200と、コマンド確認手段1210と、機器通信手段1230と、ID情報格納手段1240と、通信手段1250と、暗号処理手段1260とから構成される。
通信手段1250は、プログラムを実行するCPU1100と、通信用LSI1110と、アンテナ1120とによって実現され、制御手段1200によって制御され、Bluetooth規格に準拠してホームゲートウェイ150と通信する機能と、ホームゲートウェイ150とネットワーク170とを介して、サーバ装置160と通信する機能とを有する。
暗号処理手段1260は、プログラムを実行するCPU1100によって実現され、制御手段1200によって制御され、データの秘匿性、完全性を保つための暗号化処理を実行する暗号処理機能、暗号技術を用いた認証処理を実行する認証処理機能、暗号技術を用いた鍵共有処理を実行する鍵共有処理機能を有する。ここで、暗号処理手段1260は、これら、暗号処理機能、認証処理機能、鍵共有処理機能を実現するために、AES暗号技術、ECDSA技術、ECDH技術、SSL/TSL技術等を利用する。
コマンド確認手段1210は、プログラムを実行するCPU1100によって実現され、制御手段1200によって制御され、以下の2つの機能を有する。
コマンド確認機能:通信手段1250が、サーバ装置160から、署名付きコマンドを受信した場合に、暗号処理手段1260を用いて、その署名付きコマンドの署名が正当なものであることを検証する署名検証処理を行う機能。
署名検証結果通知機能:署名検証処理を行った場合において、署名が正当なものであることを検証できたときに、署名検証処理の対象となった署名付きコマンドに含まれるコマンドを生成し、生成したコマンドと、署名が正当なものである旨を示す信号とを、制御手段1200へ送り、署名が正当なものであることを検証できなかったときに、署名が正当なものでない旨を示す信号を制御手段1200に送る機能。
機器通信手段1230は、プログラムを実行するCPU1100と、コネクタ1160とによって実現され、制御手段1200によって制御され、機器140に第2セキュリティモジュール120が装着されている場合において、機器140と有線にて通信する機能を有する。
ID情報格納手段1240は、プログラムを実行するCPU1100と、メモリ1150に含まれる記憶領域の一部とによって実現され、自モジュールを一意に識別するセキュリティモジュールIDを記憶する機能を有する。
ここで、このセキュリティモジュールIDは、第2セキュリティモジュール120の製造時において、メモリ1150を構成するROMにおける所定の記憶領域に書き込まれる。このことによって、セキュリティモジュールIDが改竄されてしまうことを防止している。
また、ID情報格納手段1240は、ソフトウエア又はハードウエアを利用する暗号化技術を利用して、記憶するセキュリティモジュールIDに対して耐タンパ性を有している。
制御手段1200は、プログラムを実行するCPU1100によって実現され、コマンド確認手段1210と機器通信手段1230とID情報格納手段1240と通信手段1250と暗号処理手段1260とを制御して、第2セキュリティモジュール120に、前述の、機器登録機能Dと機器操作機能Dと情報確認機能Dとを実現させる機能を有する。
図13は、機器140と第2セキュリティモジュール120との外観を示す斜視図である。
図13では、機器140が、テレビであるとしている。
同図に示されるように、機器140は、その筐体の側面に、セキュリティモジュール挿入孔1330が形成されている。そして、セキュリティモジュール挿入孔1330の奥には、コネクタ860が配置されている。
第2セキュリティモジュール120は、その筐体自体が、コネクタ1160を兼用している。そして、第2セキュリティモジュール120の筐体、すなわち、コネクタ1160が、セキュリティモジュール挿入孔1330されることで、コネクタ860とコネクタ1160とが接続され、機器140に第2セキュリティモジュール120が装着されることとなる。
コネクタ860は、複数の金属製電極によって構成される電極群1340を有し、第2セキュリティモジュール120の筐体、すなわち、コネクタ1160は、複数の金属製電極によって構成される電極群1350を有する。そして、機器140に第2セキュリティモジュール120が装着される状態において、電極群1340を構成する電極のそれぞれと、電極群1350を構成する電極のそれぞれとが、互いに電気的に接続される。このことによって、機器140と第2セキュリティモジュール120とは、有線にて通信することが可能となる。
図14は、ホームゲートウェイ150の回路図である。
同図に示されるように、ホームゲートウェイ150は、CPU1400と、通信用LSI1410と、アンテナ1420と、メモリ1450と、ネットワーク接続回路1460とから構成される。
アンテナ1420は、通信用LSI1410に接続され、通信用LSI1410が行う通信に利用される、例えば、金属製のモノポールアンテナである。
通信用LSI1410は、アンテナ1420とCPU1400とに接続され、CPU1400によって制御され、CPU1400から送られて来た送信用信号を変調する変調機能と、変調した信号を、アンテナ1420を利用して第2セキュリティモジュール120に送信する送信機能と、第2セキュリティモジュール120から送信された信号を、アンテナ1420を利用して受信する受信機能と、受信した信号を復調してCPU1400へ送る復調機能とを有する。
なお、通信用LSI1410と第2セキュリティモジュール120との間でなされる通信は、Bluetooth規格に準拠して行われる。
メモリ1450は、CPU1400に接続され、RAMとROMとフラッシュメモリとから構成され、CPU1400の動作を規定するプログラムと、CPU1400が利用するデータとを記憶する。
ネットワーク接続回路1460は、CPU1400とネットワーク170とに接続され、CPU1400によって制御され、ネットワーク170を介して外部装置から送られて来た信号を受信してCPU1400へ送る機能と、CPU1400から送られて来た信号を、ネットワーク170を介して外部装置へ送信する機能とを有する。
CPU1400は、通信用LSI1410とメモリ1450とネットワーク接続回路1460とに接続され、メモリ1450に記憶されているプログラムを実行することで、通信用LSI1410とネットワーク接続回路1460とを制御して、ホームゲートウェイ150に、サーバ装置160と第2セキュリティモジュール120とが行う通信を中継する通信中継機能を実現させる機能を有する。
上記回路構成を備えるホームゲートウェイ150について、以下、機能面から見た構成について説明する。
図15は、ホームゲートウェイ150の機能構成を示すブロック図である。
同図に示されるように、ホームゲートウェイ150は、制御手段1500と、セキュリティモジュール通信手段1510と、サーバ通信手段1520とから構成される。
セキュリティモジュール通信手段1510は、プログラムを実行するCPU1400と、通信用LSI1410と、アンテナ1420とによって実現され、制御手段1500によって制御され、Bluetooth規格に準拠して第2セキュリティモジュール120と通信する機能を有する。
サーバ通信手段1520は、プログラムを実行するCPU1400と、ネットワーク接続回路1460とによって実現され、制御手段1500によって制御され、ネットワーク170を介してサーバ装置160と通信する機能を有する。
制御手段1500は、プログラムを実行するCPU1400によって実現され、セキュリティモジュール通信手段1510とサーバ通信手段1520とを制御して、ホームゲートウェイ150に、前述の通信中継機能を実現させる機能を有する。
図1において、ネットワーク170は、ホームゲートウェイ150とサーバ装置160と基地局180とに接続されるネットワーク網であり、接続される装置間の信号を伝達する機能を有する。
図1において、基地局180は、ネットワーク170に接続され、商用携帯電話用無線通信回線を利用して、操作端末130と通信する、いわゆる、電気通信業務用の無線基地局であり、操作端末130とサーバ装置160とが行う通信を中継する機能を有する。
図16は、サーバ装置160の回路図である。
サーバ装置160は、ネットワーク170に接続される、いわゆる、コンピュータ装置であって、ユーザモードとして、第1ユーザモードと、第1ユーザモードより特権レベルの低い第2ユーザモードとを有している。
サーバ装置160は、図16に示されるように、CPU1600と、ネットワーク接続回路1660と、メモリ1650と、ハードディスクドライブ1610とから構成される。
ネットワーク接続回路1660は、CPU1600とネットワーク170とに接続され、CPU1600によって制御され、ネットワーク170を介して外部装置から送られて来た信号を受信してCPU1600へ送る機能と、CPU1600から送られて来た信号を、ネットワーク170を介して外部装置へ送信する機能とを有する。
メモリ1650は、CPU1600に接続され、RAMとROMとフラッシュメモリとから構成され、CPU1600の動作を規定するプログラムと、CPU1600が利用するデータとを記憶する。
ハードディスクドライブ1610は、CPU1600に接続され、ハードディスクを内蔵し、CPU1600が利用するデータを記憶する。
CPU1600は、ネットワーク接続回路1660とメモリ1650とハードディスクドライブ1610とに接続され、メモリ1650に記憶されているプログラムを実行することで、ネットワーク接続回路1660とハードディスクドライブ1610とを制御して、サーバ装置160に、以下の5つの機能を実現させる機能を有する。
初期登録機能E:サーバ装置160を制御して、機器制御システム100を構成する他の構成要素と共同で、機器制御システム100の行う初期登録処理を実現する機能。
第2セキュリティモジュール発行依頼機能E:サーバ装置160を制御して、機器制御システム100を構成する他の構成要素と共同で、機器制御システム100の行う第2セキュリティモジュール発行依頼処理を実現する機能。
機器登録機能E:サーバ装置160を制御して、機器制御システム100を構成する他の構成要素と共同で、機器制御システム100の行う機器登録処理を実現する機能。
機器操作機能E:サーバ装置160を制御して、機器制御システム100を構成する他の構成要素と共同で、機器制御システム100の行う機器操作処理を実現する機能。
情報確認機能E:サーバ装置160を制御して、機器制御システム100を構成する他の構成要素と共同で、機器制御システム100の行う情報確認処理を実現する機能。
上記回路構成を備えるサーバ装置160について、以下、機能面から見た構成について説明する。
図17は、サーバ装置160の機能構成を示すブロック図である。
同図に示されるように、サーバ装置160は、制御手段1700と、暗号処理手段1710と、ユーザ情報管理手段1730と、機能情報管理手段1740と、通信手段1750と、コマンド発行手段1760とから構成される。
通信手段1750は、プログラムを実行するCPU1600と、ネットワーク接続回路1660とによって実現され、制御手段1700によって制御され、ネットワーク170とホームゲートウェイ150とを介して第2セキュリティモジュール120と通信する機能と、ネットワーク170と基地局180とを介して操作端末130と通信する機能とを有する。
暗号処理手段1710は、プログラムを実行するCPU1600によって実現され、制御手段1700によって制御され、データの秘匿性、完全性を保つための暗号化処理を実行する暗号処理機能、暗号技術を用いた認証処理を実行する認証処理機能、暗号技術を用いた鍵共有処理を実行する鍵共有処理機能を有する。ここで、暗号処理手段1710は、これら、暗号処理機能、認証処理機能、鍵共有処理機能を実現するために、AES暗号技術、ECDSA技術、ECDH技術、SSL/TSL技術等を利用する。
ユーザ情報管理手段1730は、プログラムを実行するCPU1600と、ハードディスクドライブ1610に含まれる記憶領域の一部とによって実現され、ユーザ情報1800を記憶する機能と、記憶するユーザ情報1800を更新する機能とを有する。
図18は、ユーザ情報管理手段1730によって記憶されるユーザ情報1800の一例についてのデータ構成図である。
同図に示されるように、ユーザ情報1800は、ユーザ名1810とユーザアカウント1820とパスワード1830と登録情報1840と機種1850と型番1860とセキュリティモジュールID1870とが対応付けられて構成される。
ユーザ名1810は、機器制御システム100を利用するユーザの氏名を示す情報である。
ユーザアカウント1820は、対応付けられているユーザ名1810によって示されるユーザが、サーバ装置160にログインする際に利用するアカウントを示す情報である。
パスワード1830は、対応付けられているユーザ名1810によって示されるユーザが、サーバ装置160にログインする際に利用するパスワードのハッシュ値を示す情報である。
登録情報1840は、対応付けられているユーザ名1810によって示されるユーザの登録情報(例えば、住所、電話番号、生年月日等)を示す情報である。
機種1850は、機器制御システム100に含まれる機器140及び操作端末130のうち、対応付けられているユーザ名1810によって示されるユーザによって利用される機器140又は操作端末130の機種を示す情報である。
型番1860は、対応付けられている機種1850によって示される機種の機器140又は操作端末130についての型番を示す情報である。
セキュリティモジュールID1870は、対応付けられている型番1860によって示される型番の機器140又は操作端末130に挿入される、第1セキュリティモジュール110又は第2セキュリティモジュール120の記憶するセキュリティモジュールIDを示す情報である。
機能情報管理手段1740は、プログラムを実行するCPU1600と、ハードディスクドライブ1610に含まれる記憶領域の一部とによって実現され、機能情報1900を記憶する機能と、記憶する機能情報1900を更新する機能とを有する。
図19は、機能情報管理手段1740によって記憶される機能情報1900の一例についてのデータ構成図である。
同図に示されるように、機能情報1900は、機種1910と型番1920と機能1930とセキュアレベル1940とコマンド1950とが対応付けられて構成される。
機種1910は、機器制御システム100に含まれる機器140の機種を示す情報である。
型番1920は、機器制御システム100に含まれる機器140の型番を示す情報である。
機能1930は、対応付けられている型番1920によって示される型番の機器140の有する電子機器としての機能のうち、操作端末130によって制御可能となる機能を示す情報である。
セキュアレベル1940は、対応付けられている機能1930を、操作端末130を利用して制御する際に必要となる、操作端末130のセキュアレベルを示す情報であって、セキュアレベル1040(図10参照)と同様のものである。
コマンド1950は、対応付けられている機能1930を、対応付けられている型番1860の機器140に実現させるためのコマンドである。
再び図17に戻って、サーバ装置160の機能構成についての説明を続ける。
コマンド発行手段1760は、プログラムを実行するCPU1600によって実現され、制御手段1700によって制御され、以下の2つの機能を有する。
コマンド生成機能:機能情報管理手段1740によって記憶されている機能情報1900を参照して、制御対象とする機器140に制御対象とする機能を実現させるためのコマンドを生成する機能。
署名付与機能:コマンドを生成した場合に、暗号処理手段1260を用いて、そのコマンドが正当なものである旨を示す電子署名を行って、署名付きコマンドを生成する機能。
制御手段1700は、プログラムを実行するCPU1600によって実現され、暗号処理手段1710とユーザ情報管理手段1730と機能情報管理手段1740と通信手段1750とコマンド発行手段1760とを制御して、サーバ装置160に、前述の、初期登録機能Eと第2セキュリティモジュール発行依頼機能Eと機器登録機能Eと機器操作機能Eと情報確認機能Eとを実現させる機能を有する。
以上のように構成される機器制御システム100の行う動作について、以下図面を参照しながら説明する。
<動作>
機器制御システム100は、その特徴的な動作として、初期登録処理と、第2セキュリティモジュール発行依頼処理と、機器登録処理と、機器操作処理と、情報確認処理とを行う。
以下、これらの処理について、順に説明する。
<初期登録処理>
初期登録処理は、機器制御システム100が行う処理であって、新たに機器制御システム100を利用しようとするユーザの情報を、サーバ装置160に登録する処理である。
ここでは、このユーザが、既に正当な方法で第1セキュリティモジュール110を入手済みであるとして説明する。ユーザが、正当に第1セキュリティモジュール110を入手する方法の一例として、例えば、ユーザが、機器制御システム100を管理する管理者に、第1セキュリティモジュールを入手したい旨の申請をした場合において、その管理者が、その申請を受理したときに、その管理者がそのユーザに対して、第1セキュリティモジュール110を提供する例等が考えられる。
図20は、初期登録処理のフローチャートである。
初期登録処理は、ユーザから操作端末130に対してなされた、初期登録処理を開始する旨の所定の操作が、操作受付手段320によって受け付けられたことによって開始される。
初期登録処理が開始されると、制御手段300は、セキュリティモジュール通信手段330を制御して、第1セキュリティモジュール110と有線による通信を試みることで、操作端末130に第1セキュリティモジュール110が装着されている状態であるか否かを判定する(ステップS2000)。
ステップS2000の処理において、第1セキュリティモジュール110と有線による通信が成功することで、操作端末130に第1セキュリティモジュール110が装着されている状態であると判定される場合に(ステップS2000:Yes)、制御手段300は、表示手段310を制御して、タッチパネル240に、サーバ装置160に登録する、ユーザ名とユーザアカウントとパスワードと登録情報との入力要求を表示させる(ステップS2010)。
入力要求を表示させた後、操作受付手段320が、ユーザ名とユーザアカウントとパスワードと登録情報との入力を受け付けると(ステップS2020:Noを繰り返した後、ステップS2020:Yes)、制御手段300は、セキュリティモジュール通信手段330を制御して、ID情報格納手段620に記憶されている第1セキュリティモジュール110のセキュリティモジュールIDを読み出す旨の依頼を示す読出依頼信号を、第1セキュリティモジュール110に送信する。
第1セキュリティモジュール110の操作端末通信手段610が、セキュリティモジュール通信手段330から送信された読出依頼信号を受信すると、制御手段600は、ID情報格納手段620に記憶されているセキュリティモジュールIDを読み出して(ステップS2030)、操作端末通信手段610を制御して、読み出したセキュリティモジュールIDを、操作端末130に送信する。
操作端末130のセキュリティモジュール通信手段330が、操作端末通信手段610から送信されたセキュリティモジュールIDを受信すると、制御手段300は、暗号処理手段360を制御して、(1)初期登録処理の継続を要求する旨を示す初期登録要求信号と、(2)入力を受け付けた、ユーザ名とユーザアカウントとパスワードと登録情報と、(3)操作端末情報格納手段370に格納される操作端末情報400と、(4)受信したセキュリティモジュールIDとを暗号化する。そして、通信手段350を制御して、暗号化した、初期登録要求信号とユーザ名とユーザアカウントとパスワードと操作端末情報と登録情報とセキュリティモジュールIDとを、サーバ装置160に送信する(ステップS2040)。
サーバ装置160の通信手段1750が、通信手段350から送信された、暗号化された、初期登録要求信号とユーザ名とユーザアカウントとパスワードと登録情報と操作端末情報とセキュリティモジュールIDとを受信すると、制御手段1700は、暗号処理手段1710を制御して、受信した、暗号化された、初期登録要求信号とユーザ名とユーザアカウントとパスワードと登録情報と操作端末情報とセキュリティモジュールIDとを復号する(ステップS2050)。
初期登録要求信号とユーザ名とユーザアカウントとパスワードと登録情報と操作端末情報とセキュリティモジュールIDとを復号すると、制御手段1700は、ユーザ情報管理手段1730を制御して、ユーザ情報管理手段1730に記憶されているユーザ情報1800に、復号したユーザ名が存在するか否かを調べる(ステップS2060)。
ステップS2060の処理において、ユーザ情報1800に、復号したユーザ名が存在しない場合に(ステップS2060:No)、制御手段1700は、ユーザ情報管理手段1730を制御して、復号した、ユーザ名とユーザアカウントとパスワードと登録情報と操作端末情報(すなわち、端末種別410と型番420:図4参照)とセキュリティモジュールIDとが互いに対応付けられるように、ユーザ情報管理手段1730に記憶されるユーザ情報1800を更新する(ステップS2070)。
図21は、ステップS2070の処理において、ユーザ名1810がユーザAとなるユーザについての情報が更新された、ユーザ情報1800の一例についてのデータ構成図である。
同図に示されるように、ステップS2070の処理において、ユーザ情報管理手段1730は、復号した、ユーザ名(ここでは、ユーザ名Aであるとしている)とユーザアカウントとパスワードと登録情報と端末種別と型番とセキュリティモジュールIDとを対応付けて、ユーザ情報1800を更新する。
再び、図20に戻って、初期登録処理の説明を続ける。
ステップS2000の処理において、第1セキュリティモジュール110と有線による通信が成功しないことで、操作端末130に第1セキュリティモジュール110が装着されていない状態であると判定される場合に(ステップS2000:No)、制御手段300は、表示手段310を制御して、タッチパネル240に、第1セキュリティモジュール110が装着されていない旨の表示をさせる(ステップS2080)。
ステップS2060の処理において、ユーザ情報1800に、復号したユーザ名が存在する場合と(ステップS2060:Yes)、ステップS2070の処理が終了した場合と、ステップS2080の処理が終了した場合とに、機器制御システム100は、その初期登録処理を終了する。
<第2セキュリティモジュール発行依頼処理>
第2セキュリティモジュール発行依頼処理は、機器制御システム100が行う処理であって、機器制御システム100を利用するユーザから、新たな第2セキュリティモジュールの発行依頼を受け付ける処理である。
図22は、第2セキュリティモジュール発行依頼処理のフローチャートである。
第2セキュリティモジュール発行依頼処理は、ユーザから操作端末130に対してなされた、第2セキュリティモジュール発行依頼処理を開始する旨の所定の操作が、操作受付手段320によって受け付けられたことによって開始される。
第2セキュリティモジュール発行依頼処理が開始されると、制御手段300は、セキュリティモジュール通信手段330を制御して、第1セキュリティモジュール110と有線による通信を試みることで、操作端末130に第1セキュリティモジュール110が装着されている状態であるか否かを判定する(ステップS2200)。
ステップS2200の処理において、第1セキュリティモジュール110と有線による通信が成功することで、操作端末130に第1セキュリティモジュール110が装着されている状態であると判定される場合に(ステップS2200:Yes)、制御手段300は、セキュリティモジュール通信手段330を制御して、ID情報格納手段620に記憶されている第1セキュリティモジュール110のセキュリティモジュールIDを読み出す旨の依頼を示す読出依頼信号を、第1セキュリティモジュール110に送信する。
第1セキュリティモジュール110の操作端末通信手段610が、セキュリティモジュール通信手段330から送信された読出依頼信号を受信すると、制御手段600は、ID情報格納手段620に記憶されているセキュリティモジュールIDを読み出して(ステップS2210)、操作端末通信手段610を制御して、読み出したセキュリティモジュールIDを、操作端末130に送信する。
操作端末130のセキュリティモジュール通信手段330が、操作端末通信手段610から送信されたセキュリティモジュールIDを受信すると、制御手段300は、暗号処理手段360を制御して、(1)第2セキュリティモジュール発行依頼処理の継続を要求する旨を示す第2セキュリティモジュール発行要求信号と、(2)受信したセキュリティモジュールIDとを暗号化する。そして、通信手段350を制御して、暗号化した、第2セキュリティモジュール発行要求信号とセキュリティモジュールIDとを、サーバ装置160に送信する(ステップS2230)。
サーバ装置160の通信手段1750が、通信手段350から送信された、暗号化された、第2セキュリティモジュール発行要求信号とセキュリティモジュールIDとを受信すると、制御手段1700は、暗号処理手段1710を制御して、受信した、暗号化された、第2セキュリティモジュール発行要求信号とセキュリティモジュールIDとを復号する(ステップS2240)。
第2セキュリティモジュール発行要求信号とセキュリティモジュールIDとを復号すると、制御手段1700は、ユーザ情報管理手段1730に記憶されているユーザ情報1800に、復号したセキュリティモジュールIDが存在するか否かを調べる(ステップS2250)。
ステップS2250の処理において、復号したセキュリティモジュールIDが存在する場合に(ステップS2250:Yes)、制御手段1700は、新規セキュリティモジュールIDを生成する。そして、ユーザ情報管理手段1730を制御して、ユーザ情報1800において、復号したセキュリティモジュールIDに対応付けられているユーザ名1810と、生成した新規セキュリティモジュールIDとが互いに対応付けられるように、ユーザ情報管理手段1730に記憶されるユーザ情報1800を更新する(ステップS2260)。
図23は、ステップS2260の処理において、セキュリティモジュールID1870が0x481DA188となるセキュリティモジュールIDに対応付けられているユーザ名1810(ここでは、ユーザAであるとしている)についての情報が更新された、ユーザ情報1800の一例についてのデータ構成図である。
同図に示されるように、ステップS2260の処理において、ユーザ情報管理手段1730は、生成した新規のセキュリティモジュールID1870(ここでは、その値が0xC63694ADであるとしている。)を、復号したセキュリティモジュールID(ここでは、その値が0x481DA188であるとしている。)に対応付けられているユーザ名1810(ここでは、ユーザAであるとしている)に対応付けて追加して、ユーザ情報1800を更新する。
再び、図22に戻って、第2セキュリティモジュール発行依頼処理の説明を続ける。
ステップS2260の処理において、ユーザ情報1800が更新されると、機器制御システム100を管理する管理者は、生成された新規のセキュリティモジュールID1870を記憶する第2セキュリティモジュール120を、更新されたユーザ情報1800において、生成された新規のセキュリティモジュールID1870に対応付けられた登録情報1840に基づいて、生成された新規のセキュリティモジュールID1870に対応付けられたユーザ名1810で示されるユーザに送付(例えば、郵送)する(ステップS2270)。
ステップS2200の処理において、第1セキュリティモジュール110と有線による通信が成功しないことで、操作端末130に第1セキュリティモジュール110が装着されていない状態であると判定される場合に(ステップS2200:No)、制御手段300は、表示手段310を制御して、タッチパネル240に、第1セキュリティモジュール110が装着されていない旨の表示をさせる(ステップS2280)。
ステップS2280の処理が終了した場合と、ステップS2250の処理において、復号したセキュリティモジュールIDが存在しない場合(ステップS2250:No)と、ステップS2270の処理が終了した場合とに、機器制御システム100は、その第2セキュリティモジュール発行依頼処理を終了する。
<機器登録処理>
機器登録処理は、機器制御システム100が行う処理であって、第2セキュリティモジュール発行依頼処理におけるステップS2270の処理によって送付された新規第2セキュリティモジュール120を新たに装着する機器140の情報を、サーバ装置160に登録する処理である。
図24は、機器登録処理のフローチャートである。
機器登録処理は、第2セキュリティモジュール120を装着する機器140に電源が投入されることで、その第2セキュリティモジュール120が起動されることによって開始される。
機器登録処理が開始されると、第2セキュリティモジュール120の制御手段1200は、機器通信手段1230を制御して、機器情報格納手段970に記憶されている機器情報1000を読み出す旨の依頼を示す読出依頼信号を、機器140に送信する。
機器140のセキュリティモジュール通信手段930が、機器通信手段1230から送信された読出依頼信号を受信すると、制御手段900は、機器情報格納手段970に記憶されている機器情報1000を読み出して(ステップS2400)、セキュリティモジュール通信手段930を制御して、読み出した機器情報1000を、第2セキュリティモジュール120に送信する。
第2セキュリティモジュール120の機器通信手段1230が、セキュリティモジュール通信手段930から送信された機器情報1000を受信すると、制御手段1200は、暗号処理手段1260を制御して、(1)機器登録処理の継続を要求する旨を示す機器登録要求信号と、(2)受信した機器情報と、(3)ID情報格納手段1240に記憶されているセキュリティモジュールIDとを暗号化する。そして、通信手段1250を制御して、暗号化した、機器登録要求信号と機器情報とセキュリティモジュールIDとを、サーバ装置160に送信する(ステップS2410)。
サーバ装置160の通信手段1750が、通信手段1250から送信された、暗号化された、機器登録要求信号と機器情報とセキュリティモジュールIDとを受信すると、制御手段1700は、暗号処理手段1710を制御して、受信した、暗号化された、機器登録要求信号と機器情報とセキュリティモジュールIDとを復号する(ステップS2420)。
機器登録要求信号と機器情報とセキュリティモジュールIDとを復号すると、制御手段1700は、ユーザ情報管理手段1730を制御して、ユーザ情報管理手段1730が記憶しているユーザ情報1800に、復号したセキュリティモジュールIDと、復号した機器情報に含まれる型番とが対応付けられて存在しているか否かを調べる(ステップS2430)。
ステップS2430の処理において、復号したセキュリティモジュールIDと、復号した機器情報に含まれる型番とが対応付けられて存在していない場合に(ステップS2430:No)、制御手段1700は、ユーザ情報管理手段1730を制御して、ユーザ情報管理手段1730が記憶しているユーザ情報1800に、復号したセキュリティモジュールIDが、ユーザ名1810に対応付けられて存在しているか否かを調べる(ステップS2440)。
ステップS2440の処理において、復号したセキュリティモジュールIDが、ユーザ名1810に対応付けられて存在している場合に(ステップS2440:Yes)、制御手段1700は、ユーザ情報管理手段1730を制御して、そのセキュリティモジュールIDと、復号した機器情報に含まれる機種と、復号した機器情報に含まれる型番とが互いに対応付けられるように、ユーザ情報1800を更新する(ステップS2450)。
ユーザ情報1800を更新すると、制御手段1700は、機能情報管理手段1740を制御して、機能情報管理手段1740が記憶している機能情報1900に、復号した機器情報に含まれる型番が存在するか否かを調べる(ステップS2460)。
ステップS2460の処理において、機能情報1900に、復号した機器情報に含まれる型番が存在しない場合に(ステップS2460:No)、制御手段1700は、機能情報管理手段1740を制御して、復号した機器情報に含まれる、機種と型番と機能とセキュアレベルとコマンドとが互いに対応付けられるように、機能情報管理手段1740に記憶される機能情報1900を更新する(ステップS2470)。
ステップS2430の処理において、復号したセキュリティモジュールIDと、復号した機器情報に含まれる型番とが対応付けられて存在している場合と(ステップS2430:No)、ステップS2470の処理が終了した場合と、ステップS2460の処理において、機能情報1900に、復号した機器情報に含まれる型番が存在する場合と(ステップS2460:Yes)、ステップS2440の処理において、復号したセキュリティモジュールIDが、ユーザ名1810に対応付けられて存在していない場合と(ステップS2440:No)に、機器制御システム100は、その機器登録処理を終了する。
<機器操作処理>
機器操作処理は、機器制御システム100が行う処理であって、機器制御システム100を利用するユーザによってなされた操作端末130への操作に基づいて、機器140を制御する処理である。
図25、図26、図27は、機器操作処理のフローチャートである。
機器操作処理は、ユーザから操作端末130に対してなされた、機器操作処理を開始する旨の所定の操作が、操作受付手段320によって受け付けられたことによって開始される。
機器操作処理が開始されると、制御手段300は、表示手段310を制御して、タッチパネル240に、ユーザアカウントとパスワードとの入力要求を表示させる(ステップS2500)。
図28は、機器操作処理において、タッチパネル240に表示される画像の一例を示す模式図その1である。
同図において、画像2800は、ステップS2500の処理において、タッチパネル240に表示されるユーザアカウントとパスワードとの入力要求を示す画像である。この画像を表示するタッチパネル240は、ユーザからの、ユーザアカウントとパスワードとの入力操作を受け付ける。
再び図25に戻って、機器操作処理の説明を続ける。
入力要求を表示させた後、操作受付手段320が、ユーザからの、ユーザアカウントとパスワードとの入力を受け付けると(ステップS2505:Noを繰り返した後、ステップS2505:Yes)、制御手段300は、セキュリティモジュール通信手段330を制御して、第1セキュリティモジュール110と有線による通信を試みることで、操作端末130に第1セキュリティモジュール110が装着されている状態であるか否かを判定する(ステップS2510)。
ステップS2510の処理において、第1セキュリティモジュール110と有線による通信が成功することで、操作端末130に第1セキュリティモジュール110が装着されている状態であると判定される場合に(ステップS2510:Yes)、制御手段300は、セキュリティモジュール通信手段330を制御して、ID情報格納手段620に記憶されている第1セキュリティモジュール110のセキュリティモジュールIDを読み出す旨の依頼を示す読出依頼信号を、第1セキュリティモジュール110に送信する。
第1セキュリティモジュール110の操作端末通信手段610が、セキュリティモジュール通信手段330から送信された読出依頼信号を受信すると、制御手段600は、ID情報格納手段620に記憶されているセキュリティモジュールIDを読み出して(ステップS2515)、操作端末通信手段610を制御して、読み出したセキュリティモジュールIDを、操作端末130に送信する。
操作端末130のセキュリティモジュール通信手段330が、操作端末通信手段610から送信されたセキュリティモジュールIDを受信すると、制御手段300は、暗号処理手段360を制御して、(1)機器操作処理の継続を要求する旨を示す機器操作信号と、(2)入力を受け付けた、ユーザアカウントとパスワードと、(3)受信したセキュリティモジュールIDとを暗号化する。そして、通信手段350を制御して、暗号化した、機器操作信号とユーザアカウントとパスワードとセキュリティモジュールIDとを、サーバ装置160に送信する(ステップS2520)。
サーバ装置160の通信手段1750が、通信手段350から送信された、暗号化された、機器操作信号とユーザアカウントとパスワードとセキュリティモジュールIDとを受信すると、制御手段1700は、暗号処理手段1710を制御して、受信した、暗号化された、機器操作信号とユーザアカウントとパスワードとセキュリティモジュールIDとを復号する(ステップS2525)。
機器操作信号とユーザアカウントとパスワードとセキュリティモジュールIDとを復号すると、制御手段1700は、ユーザ情報管理手段1730を制御して、ユーザ情報管理手段1730に記憶されているユーザ情報1800において、復号したユーザアカウントとパスワードとセキュリティモジュールIDとが互いに対応付けられて存在しているか否かを調べることで、復号したユーザアカウントとパスワードとセキュリティモジュールIDとの組が正しいものであるか否かを調べる(ステップS2530)。
ステップS2530の処理において、復号したユーザアカウントとパスワードとセキュリティモジュールIDとの組が正しいものである場合に(ステップS2530:Yes)、制御手段1700は、サーバ装置160を、そのユーザアカウントについて、第1ユーザモードでのログイン状態とする(ステップS2535)。
そして、制御手段1700は、ユーザ情報管理手段1730に記憶されているユーザ情報1800と、機能情報管理手段1740に記憶されている機能情報1900とを参照して、復号したユーザアカウントに対応付けられている型番1860のそれぞれについて(図18参照)、セキュアレベル1940が1又は2に対応付けられている機能1930を(図19参照)、制御可能機能と判定する。そして、通信手段1750を制御して、判定した制御可能機能を示す制御可能機能信号を、操作端末130に送信する(ステップS2540)。
操作端末130の通信手段350が、通信手段1750から送信された制御可能機能信号を受信すると、制御手段300は、受信した制御可能機能信号によって示される制御可能機能をユーザに提示するための画像であって、制御可能機能のうちの1つについての設定をユーザに指定させるための画像(以下、「提示機能画像」と呼ぶ。)を生成する。そして、表示手段310を制御して、タッチパネル240に、生成した提示機能画像を表示させる(ステップS2545)。
図28における画像2810と画像2820と画像2830とは、それぞれ、ステップS2545の処理において、タッチパネル240に表示される提示機能画像の一例である。この例では、提示機能画像が複数である場合の例となっている。
画像2810は、制御可能機能に対応する機種の一覧を示す機器一覧画像である。この機器一覧画像を表示するタッチパネル240は、この機器一覧画像に表示される機種のうちの1つについて、ユーザからの指定操作を受け付ける。
画像2820は、画像2810を表示するタッチパネル240によって指定操作が受け付けられた機器についての制御可能機能の一覧を示す機能一覧画像である。ここでは、画像2810を表示するタッチパネル240によって指定操作が受け付けられた機器がエアコンである場合の例となっている。この機器一覧画像を表示するタッチパネル240は、この機能一覧画像に表示される制御可能機能のうちの1つについて、ユーザからの指定操作を受け付ける。
画像2830は、画像2820を表示するタッチパネル240によって指定操作が受け付けられた機能についての設定内容の一覧を示す設定画像である。ここでは、画像2820を表示するタッチパネル240によって指定操作が受け付けられた機能が運転切替である場合の例となっている。この設定画像を表示するタッチパネル240は、この設定画像に表示される設定のうちの1つについて、ユーザからの指定操作を受け付ける。この例では、運転切替機能には、冷房に切り替えるという設定と、暖房に切り替えるという設定との二者択一な設定が存在している。
再び図26に戻って、機器操作処理の説明を続ける。
提示機能画像を表示させた後、操作受付手段320が、制御可能機能についての設定を示す、ユーザからの指定操作を受け付けると(ステップS2600:Noを繰り返した後、ステップS2600:Yes)、制御手段300は、暗号処理手段360を制御して、(1)ユーザアカウントと、(2)ステップS2515の処理によって読み出された第1セキュリティモジュール110のセキュリティモジュールIDと、(3)受け付けた制御可能機能についての設定を示す制御可能機能信号とを暗号化する。そして、通信手段350を制御して、暗号化した、ユーザアカウントとセキュリティモジュールIDと制御可能機能信号とを、サーバ装置160に送信する(ステップS2610)。
サーバ装置160の通信手段1750が、通信手段350から送信された、暗号化された、ユーザアカウントとセキュリティモジュールIDと制御可能機能信号とを受信すると、制御手段1700は、暗号処理手段1710を制御して、受信した、暗号化された、ユーザアカウントとセキュリティモジュールIDと制御可能機能信号とを復号する(ステップS2620)。
ユーザアカウントとセキュリティモジュールIDと制御可能機能信号とを復号すると、制御手段1700は、ユーザ情報管理手段1730を制御して、ユーザ情報管理手段1730に記憶されているユーザ情報1800において、復号したユーザアカウントとセキュリティモジュールIDとが互いに対応付けられて存在しているか否かを調べることで、復号したユーザアカウントとセキュリティモジュールIDとの組が正しいものであるか否かを調べる(ステップS2630)。
ステップS2510(図25参照)の処理において、第1セキュリティモジュール110と有線による通信が成功しないことで、操作端末130に第1セキュリティモジュール110が装着されていない状態であると判定される場合に(ステップS2510:No)、制御手段300は、暗号処理手段360を制御して、(1)機器操作処理の継続を要求する旨を示す機器操作信号と、(2)入力を受け付けた、ユーザアカウントとパスワードとを暗号化する。そして、通信手段350を制御して、暗号化した、機器操作信号とユーザアカウントとパスワードとを、サーバ装置160に送信する(ステップS2550)。
サーバ装置160の通信手段1750が、通信手段350から送信された、暗号化された、機器操作信号とユーザアカウントとパスワードとを受信すると、制御手段1700は、暗号処理手段1710を制御して、受信した、暗号化された、機器操作信号とユーザアカウントとパスワードとを復号する(ステップS2555)。
機器操作信号とユーザアカウントとパスワードとを復号すると、制御手段1700は、ユーザ情報管理手段1730を制御して、ユーザ情報管理手段1730に記憶されているユーザ情報1800において、復号したユーザアカウントとパスワードとが互いに対応付けられて存在しているか否かを調べることで、復号したユーザアカウントとパスワードとの組が正しいものであるか否かを調べる(ステップS2560)。
ステップS2560の処理において、復号したユーザアカウントとパスワードとの組が正しいものである場合に(ステップS2560:Yes)、制御手段1700は、サーバ装置160を、そのユーザアカウントについて、第2ユーザモードでのログイン状態とする(ステップS2565)。
そして、制御手段1700は、ユーザ情報管理手段1730に記憶されているユーザ情報1800と、機能情報管理手段1740に記憶されている機能情報1900とを参照して、復号したユーザアカウントに対応付けられている型番1860のそれぞれについて(図18参照)、セキュアレベル1940が2に対応付けられている機能1930を(図19参照)、制御可能機能と判定する。そして、通信手段1750を制御して、判定した制御可能機能を示す制御可能機能信号を、操作端末130に送信する(ステップS2570)。
操作端末130の通信手段350が、通信手段1750から送信された制御可能機能信号を受信すると、制御手段300は、受信した制御可能機能信号によって示される制御可能機能をユーザに提示するための画像であって、制御可能機能のうちの1つについての設定をユーザに指定させるための提示機能画像を生成する。そして、表示手段310を制御して、タッチパネル240に、生成した提示機能画像を表示させる(ステップS2575)。
図29は、機器操作処理において、タッチパネル240に表示される画像の一例を示す模式図その2である。
同図における画像2910と画像2920と画像2930とは、それぞれ、ステップS2575の処理において、タッチパネル240に表示される提示機能画像の一例である。この例では、提示機能画像が複数である場合の例となっている。
画像2910は、制御可能機能に対応する機種の一覧を示す機器一覧画像である。この機器一覧画像を表示するタッチパネル240は、この機器一覧画像に表示される機種のうちの1つについて、ユーザからの指定操作を受け付ける。
画像2920は、画像2910を表示するタッチパネル240によって指定操作が受け付けられた機器についての制御可能機能の一覧を示す機能一覧画像である。ここでは、画像2910を表示するタッチパネル240によって指定操作が受け付けられた機器がエアコンである場合の例となっている。この機器一覧画像を表示するタッチパネル240は、この機能一覧画像に表示される制御可能機能のうちの1つについて、ユーザからの指定操作を受け付ける。
画像2930は、画像2920を表示するタッチパネル240によって指定操作が受け付けられた機能についての設定内容の一覧を示す設定画像である。ここでは、画像2920を表示するタッチパネル240によって指定が受け付けられた機能が電源OFFである場合の例となっている。この設定画像を表示するタッチパネル240は、この設定画像に表示される設定のうちの1つについて、ユーザからの指定操作を受け付ける。この例では、電源OFF機能には、電源をOFFにするという1つの設定のみが存在している。
再び図26に戻って、機器操作処理の説明を続ける。
提示機能画像を表示させた後、操作受付手段320が、制御可能機能についての設定を示す、ユーザからの指定操作を受け付けると(ステップS2640:Noを繰り返した後、ステップS2640:Yes)、制御手段300は、暗号処理手段360を制御して、(1)ユーザアカウントと、(2)受け付けた制御可能機能についての設定を示す制御可能機能信号とを暗号化する。そして、通信手段350を制御して、暗号化した、ユーザアカウントと制御可能機能信号とを、サーバ装置160に送信する(ステップS2650)。
サーバ装置160の通信手段1750が、通信手段350から送信された、暗号化された、ユーザアカウントと制御可能機能信号とを受信すると、制御手段1700は、暗号処理手段1710を制御して、受信した、暗号化された、ユーザアカウントと制御可能機能信号とを復号する(ステップS2660)。
ユーザアカウントと制御可能機能信号とを復号すると、制御手段1700は、ユーザ情報管理手段1730を制御して、ユーザ情報管理手段1730に記憶されているユーザ情報1800において、復号したユーザアカウントが存在しているか否かを調べることで、復号したユーザアカウントが正しいものであるか否かを調べる(ステップS2670)。
ステップS2630の処理において、復号したユーザアカウントとセキュリティモジュールIDとの組が正しいものである場合と(ステップS2630:Yes)、ステップS2670の処理において、復号したユーザアカウントが正しいものである場合と(ステップS2670:Yes)に、制御手段1700は、コマンド発行手段1760を制御して、機能情報管理手段1740に記憶されている機能情報1900を参照して、復号した制御可能機能信号の示す制御可能機能についての設定を実現させるためのコマンドを生成する(ステップS2680)。そして、生成したコマンドについて、コマンド発行手段1760を制御して、生成したコマンドが正当なものである旨を示す電子署名を行って、署名付きコマンドを生成する(ステップS2690)。
署名付きコマンドを生成すると、制御手段1700は、ユーザ情報管理手段1730に記憶されているユーザ情報1800と、機能情報管理手段1740に記憶されている機能情報1900とを参照して、通信手段1750を制御して、生成した署名付きコマンドの実行対象となる機器140に装着されている第2セキュリティモジュール120に、生成した署名付きコマンドを送信する(ステップS2700:図27参照)。
第2セキュリティモジュール120の通信手段1250が、通信手段1750から送信された署名付きコマンドを受信すると、制御手段1200は、コマンド確認手段1210を制御して、受信した署名付きコマンドを検証する(ステップS2710)。
署名付きコマンドを検証することによって、署名が正当なものであることが検証できた場合に(ステップS2720:Yes)、制御手段1200は、さらに、コマンド確認手段1210を制御して、その署名付きコマンドに含まれるコマンドを生成する。そして、制御手段1200は、機器通信手段1230を制御して、生成したコマンドを、第2セキュリティモジュール120を装着する機器140に送信する。
機器140のセキュリティモジュール通信手段930が、機器通信手段1230から送信されたコマンドを受信すると、制御手段900は、受信したコマンドを、実行手段920に送り(ステップS2730)、機器本体ハードウエア890を用いて、そのコマンドの示す所定の動作を実行させる(ステップS2740)。
ステップS2530の処理において、復号したユーザアカウントとパスワードとセキュリティモジュールIDとの組が正しいものでない場合と(ステップS2530:No)、ステップS2560の処理において、復号したユーザアカウントとパスワードとの組が正しいものでない場合と(ステップS2560:No)、ステップS2630の処理において、復号したユーザアカウントとセキュリティモジュールIDとの組が正しいものでない場合と(ステップS2630:No)、ステップS2670の処理において、復号したユーザアカウントが正しいものでない場合と(ステップS2670:No)、ステップS2720の処理において、署名が正当なものであることが検証でできなかった場合と(ステップS2720:No)、ステップS2740の処理が終了した場合とに、機器制御システム100は、その機器操作処理を終了する。
<情報確認処理>
情報確認処理は、機器制御システム100が行う処理であって、サーバ装置160に登録されているユーザ情報を、機器制御システム100を利用するユーザに提示して、必要に応じて、そのユーザからの、そのユーザ情報を更新する旨の操作を受け付けて、そのユーザ情報を更新する処理である。
図30、図31は、情報確認処理のフローチャートである。
情報確認処理は、ユーザから操作端末130に対してなされた、情報確認処理を開始する旨の所定の操作が、操作受付手段320によって受け付けられたことによって開始される。
情報確認処理が開始されると、制御手段300は、セキュリティモジュール通信手段330を制御して、第1セキュリティモジュール110と有線による通信を試みることで、操作端末130に第1セキュリティモジュール110が装着されている状態であるか否かを判定する(ステップS3000)。
ステップS3000の処理において、第1セキュリティモジュール110と有線による通信が成功することで、操作端末130に第1セキュリティモジュール110が装着されている状態であると判定される場合に(ステップS3000:Yes)、制御手段300は、表示手段310を制御して、タッチパネル240に、ユーザアカウントとパスワードとの入力要求を表示させる(ステップS3010)。
入力要求を表示させた後、操作受付手段320が、ユーザアカウントとパスワードとの入力を受け付けると(ステップS3020:Noを繰り返した後、ステップS3020:Yes)、制御手段300は、セキュリティモジュール通信手段330を制御して、ID情報格納手段620に記憶されている第1セキュリティモジュール110のセキュリティモジュールIDを読み出す旨の依頼を示す読出依頼信号を、第1セキュリティモジュール110に送信する。
第1セキュリティモジュール110の操作端末通信手段610が、セキュリティモジュール通信手段330から送信された読出依頼信号を受信すると、制御手段600は、ID情報格納手段620に記憶されているセキュリティモジュールIDを読み出して(ステップS3030)、操作端末通信手段610を制御して、読み出したセキュリティモジュールIDを、操作端末130に送信する。
操作端末130のセキュリティモジュール通信手段330が、操作端末通信手段610から送信されたセキュリティモジュールIDを受信すると、制御手段300は、暗号処理手段360を制御して、(1)情報確認処理の継続を要求する旨を示す情報確認信号と、(2)入力を受け付けた、ユーザアカウントとパスワードと、(3)受信したセキュリティモジュールIDとを暗号化する。そして、通信手段350を制御して、暗号化した、情報確認信号とユーザアカウントとパスワードとセキュリティモジュールIDとを、サーバ装置160に送信する(ステップS3040)。
サーバ装置160の通信手段1750が、通信手段350から送信された、暗号化された、情報確認信号とユーザアカウントとパスワードとセキュリティモジュールIDとを受信すると、制御手段1700は、暗号処理手段1710を制御して、受信した、暗号化された、情報確認信号とユーザアカウントとパスワードとセキュリティモジュールIDとを復号する(ステップS3050)。
情報確認信号とユーザアカウントとパスワードとセキュリティモジュールIDとを復号すると、制御手段1700は、ユーザ情報管理手段1730を制御して、ユーザ情報管理手段1730に記憶されているユーザ情報1800において、復号したユーザアカウントとパスワードとセキュリティモジュールIDとが互いに対応付けられて存在しているか否かを調べることで、復号したユーザアカウントとパスワードとセキュリティモジュールIDとの組が正しいものであるか否かを調べる(ステップS3060)。
ステップS3060の処理において、復号したユーザアカウントとパスワードとセキュリティモジュールIDとの組が正しいものである場合に(ステップS3060:Yes)、制御手段1700は、サーバ装置160を、そのユーザアカウントについて、第1ユーザモードでのログイン状態とする(ステップS3070)。
そして、制御手段1700は、通信手段1750を制御して、ユーザ情報管理手段1730に記憶されているユーザ情報1800を、操作端末130に送信する(ステップS3080)。
操作端末130の通信手段350が、通信手段1750から送信されたユーザ情報を受信すると、制御手段300は、受信したユーザ情報をユーザに提示するための画像であって、ユーザ情報に含まれる情報の一部についてユーザに更新させるための画像(以下、「情報確認画像」と呼ぶ。)を生成する。そして、表示手段310を制御して、タッチパネル240に、生成した情報確認画像を表示させる(ステップS3100(図31))。
図32は、情報確認処理において、タッチパネル240に表示される情報確認画像の一例を示す模式図である。
同図における画像3200と画像3210と画像3220とは、それぞれ、ステップS3100の処理において、タッチパネル240に表示される情報確認画像の一例である。この例では、情報確認画像が複数である場合の例となっている。
画像3200は、ユーザに対して、(1)そのユーザについての、ユーザ名とユーザアカウントと登録情報とを表示して、その内容の更新を受け付ける(登録情報閲覧/更新受付)か、(2)そのユーザについての、機種と型番とセキュリティモジュールIDとを表示して、その内容の更新を受け付ける(機器情報閲覧/更新受付)か、(3)情報確認処理を終了させる(終了受付)かのいずれかを選択させるための画像である。この画像を表示するタッチパネル240は、これら3つの処理のうちの1つを指定する、ユーザからの指定操作を受け付ける。
画像3210は、画像3200を表示するタッチパネル240によって、(1)登録情報閲覧/更新受付を指定する指定操作が受け付けられた場合に表示される画像の例である。ここでは、ユーザ情報1800(図18参照)において互いに対応付けられている、ユーザ名1810とユーザアカウント1820と登録情報1840(ここでは、住所、電話番号、生年月日)とを表示する画像となっている。画像3210を表示するタッチパネル240は、表示している、ユーザ名とユーザアカウントと住所と電話番号と生年月日とについて、これらのうちの少なくとも1つについての内容を更新する情報更新操作を、ユーザから受け付ける。
画像3220は、画像3200を表示するタッチパネル240によって、(2)機器情報閲覧/更新受付を指定する指定操作が受け付けられた場合に表示される画像の例である。ここでは、ユーザ情報1800(図18参照)において互いに対応付けられている、機種1850と型番1860とセキュリティモジュールID1870とを表示する画像となっている。画像3220を表示するタッチパネル240は、表示している、機種と型番とセキュリティモジュールIDとについて、これらのうちの少なくとも1つについての内容を更新する情報更新操作を、ユーザから受け付ける。
再び図31に戻って、情報確認処理の説明を続ける。
情報確認画像を表示させた後、操作受付手段320が、情報確認処理を終了させる終了操作を受け付ける前において、情報更新操作を受け付けた場合に(ステップS3110:NoとステップS3160:Noとを繰り返した後、ステップS3110:Yes)、制御手段300は、暗号処理手段360を制御して、(1)受け付けた情報更新操作の内容を示す更新情報と、(2)ユーザアカウントと、(3)セキュリティモジュールIDとを暗号化する。そして、通信手段350を制御して、暗号化した、更新情報とユーザアカウントとセキュリティモジュールIDとを、サーバ装置160に送信する(ステップS3120)。
サーバ装置160の通信手段1750が、通信手段350から送信された、暗号化された、更新信号とユーザアカウントとセキュリティモジュールIDとを受信すると、制御手段1700は、暗号処理手段1710を制御して、受信した、暗号化された、更新情報とユーザアカウントとセキュリティモジュールIDとを復号する(ステップS3130)。
更新情報とユーザアカウントとセキュリティモジュールIDとを復号すると、制御手段1700は、ユーザ情報管理手段1730を制御して、ユーザ情報管理手段1730に記憶されているユーザ情報1800において、復号したユーザアカウントとセキュリティモジュールIDとが互いに対応付けられて存在しているか否かを調べることで、復号したユーザアカウントとセキュリティモジュールIDとの組が正しいものであるか否かを調べる(ステップS3140)。
ステップS3140の処理において、復号したユーザアカウントとセキュリティモジュールIDとの組が正しいものである場合に(ステップS3140:Yes)、制御手段1700は、ユーザ情報管理手段1730を制御して、ユーザ情報管理手段1730に記憶されているユーザ情報1800に対して、復号した更新情報によって示される情報更新操作の内容に基づく更新を行う(ステップS3150)。
ステップS3000(図30参照)の処理において、第1セキュリティモジュール110と有線による通信が成功しないことで、操作端末130に第1セキュリティモジュール110が装着されていない状態であると判定される場合に(ステップS3000:No)、制御手段300は、表示手段310を制御して、タッチパネル240に、第1セキュリティモジュール110が装着されていない旨の表示をさせる(ステップS3090)。
ステップS3090の処理が終了した場合と、ステップS3060の処理において、復号したユーザアカウントとパスワードとセキュリティモジュールIDとの組が正しいものでない場合と(ステップS3060:No)、ステップS3160の処理において、終了操作を受け付けた場合と(ステップS3160:Yes)、ステップS3110の処理が終了した場合とに、機器制御システム100は、その機器操作処理を終了する。
<実施の形態2>
<概要>
以下、本発明に係る機器制御方法の一実施形態として、実施の形態1における機器制御システム100の一部を変形した、第1変形機器制御システムについて説明する。
第1変形機器制御システムは、そのハードウエア構成が、実施の形態1における機器制御システム100から、実施の形態1における操作端末130が操作端末3330に変更されるように変形されている。そして、操作端末3330において実行されるソフトウエアの一部、及び、記憶されるデータの一部が、実施の形態1における操作端末130から変更されるように変形されている。また、実施の形態1におけるサーバ装置160が、ハードウエア構成はそのままであるが、実行されるソフトウエアの一部、及び、記憶されるデータの一部が変更されることで、サーバ装置3560に変形されている。
実施の形態1における機器制御システム100は、実施の形態1における操作端末130が、コネクタ260を備え、第1セキュリティモジュール110を着脱自在に装着する構成であった。そして、操作端末130が第1セキュリティモジュール110を装着している状態である場合には、セキュアレベル1に対応付けられた機器の制御と、セキュアレベル2に対応付けられた機器の制御との双方が実行可能となり、操作端末130が第1セキュリティモジュール110を装着していない状態である場合には、セキュアレベル2に対応付けられた機器の制御に限って実行可能となる構成であった。
これに対して、実施の形態2における第1変形機器制御システムは、操作端末3330が、第1セキュリティモジュール110を装着するためのコネクタを備える替わりに、予め登録された人物の指紋を認証するための指紋認証装置を備えるように変形されている。そして、この第1変形機器制御システムは、指紋認証装置を備える操作端末3330が予め定められた人物の指紋認証に成功している状態である場合には、セキュアレベル1に対応付けられた機器の制御と、セキュアレベル2に対応付けられた機器の制御との双方が実行可能となり、指紋認証装置を備える操作端末が予め定められた人物の指紋認証に成功していない状態である場合には、には、セキュアレベル2に対応付けられた機器の制御に限って実行可能となる構成となっている。
以下、この第1変形機器制御システムの構成について、実施の形態1における機器制御システム100との相違点を中心に、図面を参照しながら説明する。
<構成>
図33は、操作端末3330の回路図である。
同図に示されるように、操作端末3330は、実施の形態1における操作端末130から、コネクタ260が削除され、指紋認証装置3360が追加されるように変形されている。
指紋認証装置3360は、CPU200に接続され、CPU200によって制御され、予め定められた、操作端末3330を利用するユーザについての指紋認証処理を行う機能を有する。
ここで、指紋認証装置3360の行う指紋認証処理とは、指紋認証装置3360を利用するユーザの右手人差し指から、その指紋の形状に係る情報を読み取って、読み取った情報と、予め記憶しているユーザ(以下、「正当ユーザ」と呼ぶ。)の右手人差し指の指紋の形状に係る指紋認証用情報とを比較して、そのユーザが正当ユーザであるか否かを判定する処理である。
CPU200は、ハードウエアとしては、実施の形態1におけるCPU200と同じものであるが、実施の形態1から、実行するプログラムの一部が変更されている。
このため、CPU200は、メモリ250に記憶されているプログラムを実行することで、通信用LSI210とタッチパネルコントローラ230とレシーバ270とを制御して、操作端末3330に、実施の形態1におけるスマートフォン制御機能に加えて、以下の3つの機能を実現させる機能を有する。
変形初期登録機能A:操作端末3330を制御して、第1変形機器制御システムを構成する他の構成要素と共同で、第1変形機器制御システムの行う変形初期登録処理を実現する機能。この変形初期登録処理については、後程<変形初期登録処理>の項目において、フローチャートを用いて詳細に説明する。
変形第2セキュリティモジュール発行依頼機能A:操作端末3330を制御して、第1変形機器制御システムを構成する他の構成要素と共同で、第1変形機器制御システムの行う変形第2セキュリティモジュール発行依頼処理を実現する機能。この変形第2セキュリティモジュール発行依頼処理については、後程<変形第2セキュリティモジュール発行依頼処理>の項目において、フローチャートを用いて詳細に説明する。
変形機器操作機能A:操作端末3330を制御して、第1変形機器制御システムを構成する他の構成要素と共同で、第1変形機器制御システムの行う変形機器操作処理を実現する機能。この変形機器操作処理については、後程<変形機器操作処理>の項目において、フローチャートを用いて詳細に説明する。
上記回路構成を備える操作端末3330について、以下、機能面から見た構成について説明する。
図34は、操作端末3330の機能構成を示すブロック図である。
同図に示されるように、操作端末3330は、実施の形態1における操作端末130から、セキュリティモジュール通信手段330が削除され、指紋認証手段3430が追加され、制御手段300が制御手段3400に変更されるように変形されている。
指紋認証手段3430は、プログラムを実行するCPU200と、指紋認証装置3360とによって構成され、制御手段3400によって制御され、記憶する指紋認証用情報を利用して指紋認証処理を行う指紋認証機能を有する。
制御手段3400は、プログラムを実行するCPU200によって実現され、表示手段310と操作受付手段320と指紋認証手段3430と音声処理手段340と通信手段350と暗号処理手段360と操作端末情報格納手段370とを制御して、操作端末3330に、前述の、スマートフォン制御機能と変形初期登録機能Aと変形第2セキュリティモジュール発行依頼機能Aと変形機器操作機能Aとを実現させる機能を有する。
サーバ装置3560のCPU1600は、ハードウエアとしては、実施の形態1におけるCPU1600と同じものであるが、実施の形態1から、実行するプログラムの一部が変更されている。
そして、CPU1600は、メモリ1650に記憶されているプログラムを実行することで、ネットワーク接続回路1660とハードディスクドライブ1610とを制御して、サーバ装置3560に、以下の3つの機能を実現させる機能を有する。
変形初期登録機能E:サーバ装置3560を制御して、第1変形機器制御システムを構成する他の構成要素と共同で、第1変形機器制御システムの行う変形初期登録処理を実現する機能。
変形第2セキュリティモジュール発行依頼機能E:サーバ装置3560を制御して、第1変形機器制御システムを構成する他の構成要素と共同で、第1変形機器制御システムの行う変形第2セキュリティモジュール発行依頼処理を実現する機能。
変形機器操作機能E:サーバ装置3560を制御して、第1変形機器制御システムを構成する他の構成要素と共同で、第1変形機器制御システム1の行う変形機器操作処理を実現する機能。
図35は、サーバ装置3560の機能構成を示すブロック図である。
同図に示されるように、サーバ装置3560は、実施の形態1におけるサーバ装置160から、制御手段1700が制御手段3500に変更され、ユーザ情報管理手段1730がユーザ情報管理手段3530に変更されるように変形されている。
ユーザ情報管理手段3530は、プログラムを実行するCPU1600と、ハードディスクドライブ1610に含まれる記憶領域の一部とによって実現され、制御手段3500によって制御され、ユーザ情報3600を記憶する機能と、記憶するユーザ情報3600を更新する機能とを有する。
図36は、ユーザ情報管理手段3530によって記憶されるユーザ情報3600の一例についてのデータ構成図である。
同図に示されるように、ユーザ情報3600は、実施の形態1におけるユーザ情報1800(図18参照)における、ユーザ名1810とユーザアカウント1820とパスワード1830と登録情報1840と機種1850と型番1860とが対応付けられて構成されるものであり、実施の形態1におけるユーザ情報1800から、セキュリティモジュールID1870が削除されるように変形されたものである。
制御手段3500は、プログラムを実行するCPU1600によって実現され、暗号処理手段1710とユーザ情報管理手段3530と機能情報管理手段1740と通信手段1750とコマンド発行手段1760とを制御して、サーバ装置3560に、前述の、変形初期登録機能Eと変形第2セキュリティモジュール発行依頼機能Eと変形機器操作機能Eとを実現させる機能を有する。
以上のように構成される第1変形機器制御システムの行う動作について、実施の形態1における機器制御システム100との相違点を中心に、以下図面を参照しながら説明する。
<動作>
第1変形機器制御システムは、その特徴的な動作として、変形初期登録処理と、変形第2セキュリティモジュール発行依頼処理と、変形機器操作処理とを行う。
以下、これらの処理について、順に説明する。
<変形初期登録処理>
変形初期登録処理は、実施の形態1における初期登録処理が変形された処理であって、第1変形機器制御システムが行う処理であって、新たに第1変形機器制御システムを利用しようとするユーザの情報を、サーバ装置3560に登録する処理である。
図37は、変形初期登録処理のフローチャートである。
変形初期登録処理は、ユーザから操作端末3330に対してなされた、変形初期登録処理を開始する旨の所定の操作が、操作受付手段320によって受け付けられたことによって開始される。
初期登録処理が開始されると、制御手段3400は、表示手段310を制御して、タッチパネル240に、指紋認証を行うよう要求する旨のメッセージを表示させる(ステップS3700)。
メッセージを表示させた後、制御手段3400は、指紋認証手段3430を制御して、操作端末3330を利用するユーザに対して、指紋認証処理を行う(ステップS3705)。
ステップS3705の処理において、指紋認証手段3430が、そのユーザが正当ユーザであると判定することで、指紋認証に成功した場合に(ステップS3705:Yes)、第1変形機器制御システムは、ステップS3710の処理以降の処理を行う。
ここで、ステップS3710の処理〜ステップS3720の処理は、実施の形態1における初期登録処理(図20参照)の、ステップS2010の処理〜ステップS2020の処理と同様の処理である。よって、既に説明した通りである。
ステップS3720の処理において、操作受付手段320が、ユーザ名とユーザアカウントとパスワードと登録情報との入力を受け付けた場合に(ステップS3720:Noを繰り返した後、ステップS3720:Yes)、制御手段3400は、暗号処理手段360を制御して、(1)変形初期登録処理の継続を要求する旨を示す変形初期登録要求信号と、(2)入力を受け付けた、ユーザ名とユーザアカウントとパスワードと登録情報と、(3)操作端末情報格納手段370に格納される操作端末情報400とを暗号化する。そして、通信手段350を制御して、暗号化した、変形初期登録要求信号とユーザ名とユーザアカウントとパスワードと操作端末情報と登録情報とを、サーバ装置3560に送信する(ステップS3740)。
サーバ装置3560の通信手段1750が、通信手段350から送信された、暗号化された、変形初期登録要求信号とユーザ名とユーザアカウントとパスワードと登録情報と操作端末情報とを受信すると、制御手段3500は、暗号処理手段1710を制御して、受信した、暗号化された、変形初期登録要求信号とユーザ名とユーザアカウントとパスワードと登録情報と操作端末情報とを復号する(ステップS3750)。
変形初期登録要求信号とユーザ名とユーザアカウントとパスワードと登録情報と操作端末情報とを復号すると、制御手段3500は、ユーザ情報管理手段3530を制御して、ユーザ情報管理手段3530に記憶されているユーザ情報3600に、復号したユーザ名が存在するか否かを調べる(ステップS3760)。
ステップS3760の処理において、ユーザ情報3600に、復号したユーザ名が存在しない場合に(ステップS3760:No)、制御手段3500は、ユーザ情報管理手段3530を制御して、復号した、ユーザ名とユーザアカウントとパスワードと登録情報と操作端末情報(すなわち、端末種別410と型番420:図4参照)とが互いに対応付けられるように、ユーザ情報管理手段3530に記憶されるユーザ情報3600を更新する(ステップS3770)。
ステップS3705の処理において、指紋認証手段3430が、そのユーザが正当ユーザであると判定しないことで、指紋認証に成功しなかった場合に(ステップS3705:No)、制御手段3400は、表示手段310を制御して、タッチパネル240に、指紋認証に失敗した旨のメッセージを表示させる(ステップS3780)。
ステップS3760の処理において、ユーザ情報3600に、復号したユーザ名が存在する場合と(ステップS3760:Yes)、ステップS3770の処理が終了した場合と、ステップS3780の処理が終了した場合とに、第1変形機器制御システムは、その変形初期登録処理を終了する。
<変形第2セキュリティモジュール発行依頼処理>
変形第2セキュリティモジュール発行依頼処理は、実施の形態1における第2セキュリティモジュール発行依頼処理が変形された処理であって、第1変形機器制御システムが行う処理であって、第1変形機器システムを利用するユーザから、新たな第2セキュリティモジュールの発行依頼を受け付ける処理である。
図38は、変形第2セキュリティモジュール発行依頼処理のフローチャートである。
変形第2セキュリティモジュール発行依頼処理は、ユーザから操作端末3330に対してなされた、変形第2セキュリティモジュール発行依頼処理を開始する旨の所定の操作が、操作受付手段320によって受け付けられたことによって開始される。
変形第2セキュリティモジュール発行依頼処理が開始されると、制御手段3400は、表示手段310を制御して、タッチパネル240に、指紋認証を行うよう要求する旨のメッセージを表示させる(ステップS3800)。
メッセージを表示させた後、制御手段3400は、指紋認証手段3430を制御して、操作端末3330を利用するユーザに対して、指紋認証処理を行う(ステップS3805)。
ステップS3805の処理において、指紋認証手段3430が、そのユーザが正当ユーザであると判定することで、指紋認証に成功した場合に(ステップS3805:Yes)、制御手段3400は、表示手段310を制御して、タッチパネル240に、ユーザアカウントとパスワードとの入力要求を表示させる(ステップS3810)。
入力要求を表示させた後、操作受付手段320が、ユーザアカウントとパスワードとの入力を受け付けると(ステップS3820:Noを繰り返した後、ステップS3820:Yes)、制御手段3400は、暗号処理手段360を制御して、(1)変形第2セキュリティモジュール発行依頼処理の継続を要求する旨を示す変形第2セキュリティモジュール発行要求信号と、(2)入力を受け付けた、ユーザアカウントとパスワードとを暗号化する。そして、通信手段350を制御して、暗号化した、変形第2セキュリティモジュール発行要求信号とユーザアカウントとパスワードとを、サーバ装置3560に送信する(ステップS3830)。
サーバ装置3560の通信手段1750が、通信手段350から送信された、暗号化された、変形第2セキュリティモジュール発行要求信号とユーザアカウントとパスワードとを受信すると、制御手段3500は、暗号処理手段1710を制御して、受信した、暗号化された、変形第2セキュリティモジュール発行要求信号とユーザアカウントとパスワードとを復号する(ステップS3840)。
変形第2セキュリティモジュール発行要求信号とユーザアカウントとパスワードとを復号すると、制御手段3500は、ユーザ情報管理手段3530を制御して、ユーザ情報管理手段3530に記憶されているユーザ情報3600において、復号したユーザアカウントとパスワードとが互いに対応付けられて存在しているか否かを調べることで、復号したユーザアカウントとパスワードとの組が正しいものであるか否かを調べる(ステップS3850)。
ステップS3850の処理において、復号したユーザアカウントとパスワードとの組が正しいものである場合に(ステップS3850:Yes)、制御手段3500は、新規セキュリティモジュールIDを生成する。そして、ユーザ情報管理手段3530を制御して、ユーザ情報3600において、復号したセキュリティモジュールIDに対応付けられているユーザ名1810と、生成した新規セキュリティモジュールIDとが互いに対応付けられるように、ユーザ情報管理手段3530に記憶されるユーザ情報3600を更新する(ステップS3860)。
ユーザ情報3600が更新されると、第1変形機器制御システムを管理する管理者は、生成された新規セキュリティモジュールIDを記憶する第2セキュリティモジュール120を、更新されたユーザ情報3600において、生成された新規のセキュリティモジュールID1870に対応付けられた登録情報1840に基づいて、生成された新規のセキュリティモジュールID1870に対応付けられたユーザ名1810で示されるユーザに送付(例えば、郵送)する(ステップS3870)。
ステップS3805の処理において、指紋認証手段3430が、そのユーザが正当ユーザであると判定しないことで、指紋認証に成功しなかった場合に(ステップS3805:No)、制御手段3400は、表示手段310を制御して、タッチパネル240に、指紋認証に失敗した旨のメッセージを表示させる(ステップS3880)。
ステップS3880の処理が終了した場合と、ステップS3850の処理において、復号したユーザアカウントとパスワードとの組が正しいものでない場合と(ステップS3850:No)、ステップS3870の処理が終了した場合とに、第1変形機器制御システムは、その変形第2セキュリティモジュール発行依頼処理を終了する。
<変形機器操作処理>
変形機器操作処理は、実施の形態1における機器操作処理が変形された処理であって、第1変形機器制御システムが行う処理であって、第1変形機器制御システムを利用するユーザによってなされた操作端末3330への操作に基づいて、機器140を制御する処理である。
図39、図40、図41は、変形機器操作処理のフローチャートである。
変形機器操作処理は、ユーザから操作端末3330に対してなされた、変形機器操作処理を開始する旨の所定の操作が、操作受付手段320によって受け付けられたことによって開始される。
変形機器操作処理が開始されると、制御手段3400は、表示手段310を制御して、タッチパネル240に、指紋認証の要否を確認する旨の指紋認証要否確認画像を表示させる(ステップS3900)。
指紋認証要否確認画像を表示させた後、操作受付手段320が、ユーザからの、指紋認証を必要とする旨の入力を受け付けると(ステップS3902:Yes)、制御手段3400は、表示手段310を制御して、タッチパネル240に、指紋認証を行うよう要求する旨のメッセージを表示させる(ステップS3905)。
メッセージを表示させた後、制御手段3400は、指紋認証手段3430を制御して、操作端末3330を利用するユーザに対して、指紋認証処理を行う(ステップS3907)。
ステップS3907の処理において、指紋認証手段3430が、そのユーザが正当ユーザであると判定することで、指紋認証に成功した場合に(ステップS3907:Yes)、制御手段3400は、表示手段310を制御して、タッチパネル240に、ユーザアカウントとパスワードとの入力要求を表示させる(ステップS3910)。
入力要求を表示させた後、操作受付手段320が、ユーザアカウントとパスワードとの入力を受け付けると(ステップS3915:Noを繰り返した後、ステップS3915:Yes)、制御手段3400は、暗号処理手段360を制御して、(1)変形機器操作処理の継続を要求する旨を示す第1変形機器操作信号と、(2)入力を受け付けた、ユーザアカウントとパスワードとを暗号化する。そして、通信手段350を制御して、暗号化した、第1変形機器操作信号とユーザアカウントとパスワードとを、サーバ装置3560に送信する(ステップS3920)。
サーバ装置3560の通信手段1750が、通信手段350から送信された、暗号化された、第1変形機器操作信号とユーザアカウントとパスワードとを受信すると、制御手段3500は、暗号処理手段1710を制御して、受信した、暗号化された、第1変形機器操作信号とユーザアカウントとパスワードとを復号する(ステップS3925)。
第1変形機器操作信号とユーザアカウントとパスワードとを復号すると、制御手段3500は、ユーザ情報管理手段3530を制御して、ユーザ情報管理手段3530に記憶されているユーザ情報3600において、復号したユーザアカウントとパスワードとが互いに対応付けられて存在しているか否かを調べることで、復号したユーザアカウントとパスワードとの組が正しいものであるか否かを調べる(ステップS3930)。
ステップS3930の処理において、復号したユーザアカウントとパスワードとの組が正しいものである場合に(ステップS3930:Yes)、第1変形機器制御システムは、ステップS3935以降の処理を行う。
ここで、ステップS3935の処理〜ステップS4000(図40参照)の処理は、実施の形態1における機器操作処理(図25〜図27参照)のステップS2535の処理〜ステップS2600の処理と同様の処理である。よって、既に説明した通りである。
ステップS4000の処理において、操作受付手段320が、制御可能機能についての設定を示す、ユーザからの指定操作を受け付けると(ステップS4000:Noを繰り返した後、ステップS4000:Yes)、制御手段3400は、暗号処理手段360を制御して、(1)ユーザアカウントと、(2)受け付けた制御可能機能についての設定を示す制御可能機能信号とを暗号化する。そして、通信手段350を制御して、暗号化した、ユーザアカウントと制御可能機能信号とを、サーバ装置3560に送信する(ステップS4010)。
サーバ装置3560の通信手段1750が、通信手段350から送信された、暗号化された、ユーザアカウントと制御可能機能信号とを受信すると、制御手段1700は、暗号処理手段1710を制御して、受信した、暗号化された、ユーザアカウントと制御可能機能信号とを復号する(ステップS4020)。
ユーザアカウントと制御可能機能信号とを復号すると、制御手段3500は、ユーザ情報管理手段3530を制御して、ユーザ情報管理手段3530に記憶されているユーザ情報3600において、復号したユーザアカウントが存在しているか否かを調べることで、復号したユーザアカウントが正しいものであるか否かを調べる(ステップS4030)。
ステップS3902(図39参照)の処理において、操作受付手段320が、ユーザからの、指紋認証を必要としない旨の入力を受け付けると(ステップS3902:No)、制御手段3400は、表示手段310を制御して、タッチパネル240に、ユーザアカウントとパスワードとの入力要求を表示させる(ステップS3942)。
入力要求を表示させた後、操作受付手段320が、ユーザアカウントとパスワードとの入力を受け付けると(ステップS3944:Noを繰り返した後、ステップS3944:Yes)、制御手段3400は、暗号処理手段360を制御して、(1)変形機器操作処理の継続を要求する旨を示す第2変形機器操作信号と、(2)入力を受け付けた、ユーザアカウントとパスワードとを暗号化する。そして、通信手段350を制御して、暗号化した、第1変形機器操作信号とユーザアカウントとパスワードとを、サーバ装置3560に送信する(ステップS3950)。
サーバ装置3560の通信手段1750が、通信手段350から送信された、暗号化された、第2変形機器操作信号とユーザアカウントとパスワードとを受信すると、制御手段3500は、暗号処理手段1710を制御して、受信した、暗号化された、第2変形機器操作信号とユーザアカウントとパスワードとを復号する(ステップS3955)。
第2変形機器操作信号とユーザアカウントとパスワードとを復号すると、制御手段3500は、ユーザ情報管理手段3530を制御して、ユーザ情報管理手段3530に記憶されているユーザ情報3600において、復号したユーザアカウントとパスワードとが互いに対応付けられて存在しているか否かを調べることで、復号したユーザアカウントとパスワードとの組が正しいものであるか否かを調べる(ステップS3960)。
ステップS3960の処理において、復号したユーザアカウントとパスワードとの組が正しいものである場合に(ステップS3960:Yes)、第1変形機器制御システムは、ステップS3965以降の処理を行う。
ここで、ステップS3965の処理〜ステップS4040(図40参照)の処理は、実施の形態1における機器操作処理(図25〜図27参照)のステップS2565の処理〜ステップS2640の処理と同様の処理である。よって、既に説明した通りである。
ステップS4040の処理において、操作受付手段320が、制御可能機能についての設定を示す、ユーザからの指定操作を受け付けると(ステップS4040:Noを繰り返した後、ステップS4040:Yes)、制御手段3400は、暗号処理手段360を制御して、(1)ユーザアカウントと、(2)受け付けた制御可能機能についての設定を示す制御可能機能信号とを暗号化する。そして、通信手段350を制御して、暗号化した、ユーザアカウントと制御可能機能信号とを、サーバ装置3560に送信する(ステップS4050)。
サーバ装置3560の通信手段1750が、通信手段350から送信された、暗号化された、ユーザアカウントと制御可能機能信号とを受信すると、制御手段1700は、暗号処理手段1710を制御して、受信した、暗号化された、ユーザアカウントと制御可能機能信号とを復号する(ステップS4060)。
ユーザアカウントと制御可能機能信号とを復号すると、制御手段3500は、ユーザ情報管理手段3530を制御して、ユーザ情報管理手段3530に記憶されているユーザ情報3600において、復号したユーザアカウントが存在しているか否かを調べることで、復号したユーザアカウントが正しいものであるか否かを調べる(ステップS4070)。
ステップS4030の処理において、復号したユーザアカウントが正しいものである場合と(ステップS4030:Yes)、ステップS4070の処理において、復号したユーザアカウントが正しいものである場合と(ステップS4070:Yes)に、第1変形機器制御システムは、ステップS4080以降の処理を行う。
ここで、ステップS4080の処理〜ステップS4140(図41参照)の処理は、実施の形態1における機器操作処理(図25〜図27参照)のステップS2680の処理〜ステップS2740の処理と同様の処理である。よって、既に説明した通りである。
ステップS3907の処理において、指紋認証手段3430が、そのユーザが正当ユーザであると判定しないことで、指紋認証に成功しなかった場合と(ステップS3907:No)、ステップS3930の処理において、復号したユーザアカウントとパスワードとセキュリティモジュールIDとの組が正しいものでない場合と(ステップS3930:No)、ステップS3960の処理において、復号したユーザアカウントとパスワードとの組が正しいものでない場合と(ステップS3960:No)、ステップS4030の処理において、復号したユーザアカウントが正しいものでない場合と(ステップS4030:No)、ステップS4070の処理において、復号したユーザアカウントが正しいものでない場合と(ステップS4070:No)、ステップS4120の処理において、署名が正当なものであることが検証でできなかった場合と(ステップS4120:No)、ステップS4140の処理が終了した場合とに、第1変形機器制御システムは、その変形機器操作処理を終了する。
<変形例>
<概要>
以下、本発明に係る機器制御方法の一実施形態として、実施の形態1における機器制御システム100の一部を変形した、第2変形機器制御システムについて説明する。
第2変形機器制御システムは、そのハードウエア構成が、実施の形態1における機器制御システム100から変更されていない。しかし、実施の形態1における操作端末130が、実行されるソフトウエアの一部が変更されることで、操作端末4230に変形され、実施の形態1におけるサーバ装置160が、実行されるソフトウエアの一部、及び、記憶されるデータの一部が変更されることで、サーバ装置4306に変形されている。
この第2変形機器制御システムは、実施の形態1における機器制御システム100が有していない機能、すなわち、第1セキュリティモジュール110を装着する操作端末4230を利用するユーザが、そのユーザによって実行可能となる機器の制御を、他のユーザに対しても実行可能とするユーザ追加登録機能を有している。
以下、この第2変形機器制御システムの構成について、実施の形態1における機器制御システム100との相違点を中心に、図面を参照しながら説明する。
<構成>
図42は、操作端末4230の機能構成を示すブロック図である。
同図に示されるように、操作端末4230は、実施の形態1における操作端末130から、制御手段300が制御手段4200に変更されるように変形されている。
制御手段4200は、プログラムを実行するCPU200によって実現され、実施の形態1における制御手段300の有する機能に加えて、表示手段310と操作受付手段320とセキュリティモジュール通信手段330と音声処理手段340と通信手段350と暗号処理手段360と操作端末情報格納手段370とを制御して、操作端末4230に、以下のユーザ追加登録機能Aを実現させる機能を有する。
ユーザ追加登録機能A:操作端末4230を制御して、第2変形機器制御システムを構成する他の構成要素と共同で、第2変形機器制御システムの行うユーザ追加登録処理を実現する機能。このユーザ追加登録処理については、後程<ユーザ追加登録処理>の項目において、フローチャートを用いて詳細に説明する。
図43は、サーバ装置4360の機能構成を示すブロック図である。
同図に示されるように、サーバ装置4360は、実施の形態1におけるサーバ装置160から、制御手段1700が制御手段4300に変更され、ユーザ情報管理手段1730がユーザ情報管理手段4330に変更されるように変形されている。
制御手段4300は、プログラムを実行するCPU1600によって実現され、実施の形態1における制御手段1700の有する機能に加えて、暗号処理手段1710とユーザ情報管理手段4330と機能情報管理手段1740と通信手段1750とコマンド発行手段1760とを制御して、サーバ装置4360に、以下のユーザ追加登録機能Bを実現させる機能を有する。
ユーザ追加登録機能B:サーバ装置4360を制御して、第2変形機器制御システムを構成する他の構成要素と共同で、第2変形機器制御システムの行うユーザ追加登録処理を実現する機能。
ユーザ情報管理手段4330は、プログラムを実行するCPU1600と、ハードディスクドライブ1610に含まれる記憶領域の一部とによって実現され、制御手段4300によって制御され、ユーザ情報4400を記憶する機能と、記憶するユーザ情報4400を更新する機能とを有する。
図44は、ユーザ情報管理手段4330によって記憶されるユーザ情報4400の一例についてのデータ構成図である。
同図に示されるように、ユーザ情報4400は、グループ名4405と種別4480と、実施の形態1におけるユーザ情報1800(図18参照)における、ユーザ名1810とユーザアカウント1820とパスワード1830と登録情報1840と機種1850と型番1860とが対応付けられて構成されるものである。
同図において、グループ名4405は、対応付けられた、ユーザ名1810が属するグループを示す情報である。
種別4480は、対応付けられた型番1860によって示される、操作端末130又は機器140が、操作端末130と機器140とのいずれであるかを示す情報である。
ここで、このユーザ情報4400は、グループ名4405によって示される一のグループについて、(1)1組以上(図44の例では2組)の、ユーザ名1810とユーザアカウント1820とパスワード1830と登録情報1840との組と、(2)1組以上(図44の例では5組)の、機種1850と型番1860とセキュリティモジュールID1870と種別4480との組とが互いに対応付けられて構成される。すなわち、一のグループに属する、ユーザ名1810によって示されるユーザのそれぞれは、そのグループに属する、操作端末130のそれぞれと機器140のそれぞれとに対応付けられている。
図44の例では、型番P−06Dのスマートフォンと型番P−02Dのスマートフォンとが、ユーザAとユーザBとによって利用される操作端末130であり、型番CS−X252Cのエアコンと型番NR−F456Tの冷蔵庫と型番DMR−BZT820のレコーダとが、ユーザAとユーザBとによって利用される機器140であることを示している。
以上のように構成される第2変形機器制御システムの行う動作について、実施の形態1における機器制御システム100との相違点を中心に、以下図面を参照しながら説明する。
<動作>
第2変形機器制御システムは、その特徴的な動作として、ユーザ追加登録処理を行う。
以下、このユーザ追加登録処理について、順に説明する。
<ユーザ追加登録処理>
ユーザ追加登録処理は、第2変形機器制御システムが行う処理であって、第1セキュリティモジュール110を装着する操作端末4230を利用するユーザが、そのユーザによって実行可能となる機器の制御を、他のユーザに対しても実行可能とする処理である。
図45、図46は、ユーザ追加登録処理のフローチャートである。
ユーザ追加登録処理は、ユーザから操作端末4230に対してなされた、ユーザ追加登録処理を解する旨の所定の操作が、操作受付手段320によって受け付けられたことによって開始される。
ユーザ登録処理が開始されると、制御手段4200は、セキュリティモジュール通信手段330を制御して、第1セキュリティモジュール110と有線による通信を試みることで、操作端末4230に第1セキュリティモジュール110が装着されている状態であるか否かを判定する(ステップS4500)。
ステップS4500の処理において、第1セキュリティモジュール110と有線による通信が成功することで、操作端末4230に第1セキュリティモジュール110が装着されている状態であると判定される場合に(ステップS4500:Yes)、制御手段4200は、表示手段310を制御して、タッチパネル240に、ユーザアカウントとパスワードとの入力要求を表示させる(ステップS4505)。
入力要求を表示させた後、操作受付手段320が、ユーザからの、ユーザアカウントとパスワードとの入力を受け付けると(ステップS4510:Noを繰り返した後、ステップS4510:Yes)、第2変形機器制御システムは、ステップS4515以降の処理を行う。
ここで、ステップS4515の処理〜ステップS4535の処理は、実施の形態1における機器操作処理(図25参照)の、ステップS2515の処理〜ステップS2535の処理と同様の処理である。よって、既に説明した通りである。
ステップS4535の処理が終了すると、制御手段4300は、通信手段1750を制御して、第1ユーザモードでログインした旨を示すログイン信号を、操作端末4230に送信する(ステップS4540)。
操作端末4230の通信手段350が、通信手段1750から送信されたログイン信号を受信すると、制御手段4200は、表示手段310を制御して、タッチパネル240に、ステップS4535の処理においてログインしたアカウントのユーザ(以下、「親ユーザ」と呼ぶ。)によって実行可能となる機器の制御についての実行権限を付与しようとする他のユーザ(以下、「子ユーザ」と呼ぶ。)についての、ユーザ名とユーザアカウントとパスワードと登録情報と操作端末情報とセキュリティモジュールIDとの入力要求を表示させる(ステップS4600)。
入力要求を表示させた後、操作受付手段320が、ユーザからの、子ユーザについての、ユーザ名とユーザアカウントとパスワードと登録情報と操作端末情報とセキュリティモジュールIDとの入力を受け付けると(ステップS4610:Noを繰り返した後、ステップS4610:Yes)、制御手段4200は、通信手段350を制御して、入力を受け付けた、子ユーザについての、ユーザ名とユーザアカウントとパスワードと登録情報と操作端末情報とセキュリティモジュールIDとを、サーバ装置4360に送信する(ステップS4620)。
サーバ装置4360の通信手段1750が、通信手段350から送信された、子ユーザについての、ユーザ名とユーザアカウントとパスワードと登録情報と操作端末情報とセキュリティモジュールIDとを受信すると、制御手段4300は、ユーザ情報管理手段4330を制御して、受信した、子ユーザについての、ユーザ名とユーザアカウントとパスワードと登録情報と操作端末情報とセキュリティモジュールIDとのそれぞれが、親ユーザに対応付けられているグループ名4405に対応付けられるように、ユーザ情報管理手段4330に記憶されるユーザ情報4400を更新する(ステップS4630)。
ステップS4500の処理において、第1セキュリティモジュール110と有線による通信が成功しないことで、操作端末4230に第1セキュリティモジュール110が装着されていない状態であると判定される場合に(ステップS4500:No)、制御手段4200は、表示手段310を制御して、タッチパネル240に、第1セキュリティモジュール110が装着されていない旨の表示をさせる(ステップS4550)。
ステップS4550の処理が終了した場合と、ステップS4530の処理において、復号したユーザアカウントとパスワードとセキュリティモジュールIDとの組が正しいものでない場合と(ステップS4530:No)、ステップS4630の処理が終了した場合とに、第2変形機器制御システムは、そのユーザ追加登録処理を終了する。
<補足>
以上、本発明に係る機器制御方法の一実施形態として、実施の形態1、実施の形態2、変形例において、3つの機器制御システムの例を用いて説明したが、以下のように変形することも可能であり、本発明は上述した、実施の形態1、実施の形態2、変形例で例示した通りの機器制御システムで用いられる機器制御方法に限られないことはもちろんである。
(1)実施の形態1において、機器制御システム100は、第2セキュリティモジュール120とサーバ装置160とが行う通信を中継する通信中継機能を有するホームゲートウェイ150を備えるとして説明した。
しかしながら、第2セキュリティモジュール120とサーバ装置160とが通信できれば、必ずしも、ホームゲートウェイ150を備える必要はない。一例として、第2セキュリティモジュール120が、有線にてネットワーク170と接続するネットワーク接続回路を備え、第2セキュリティモジュール120とサーバ装置160とが、ネットワーク170を介して通信する例等が考えられる。
(2)実施の形態1において、ホームゲートウェイ150は、第2セキュリティモジュール120とサーバ装置160とが行う通信を中継する通信中継機能を有するとして説明した。
しかしながら、機器制御システム100として実現する機能に支障をきたさなければ、ホームゲートウェイ150が、この通信中継機能に加えて、サーバ装置160の有する機能の一部を有し、サーバ装置160が、ホームゲートウェイ150が有することとなる機能を有さないとしても構わない。一例として、ホームゲートウェイ150が、機能情報1900を記憶する機能と、記憶する機能情報1900を参照して、制御対象とする機器140に制御対象とする機能を実現させるためのコマンドを生成する機能とを有し、サーバ装置160が、これら機能を有さない例等が考えられる。
(3)実施の形態1において、操作端末130は、いわゆるスマートフォン型携帯通信端末であるとして説明した。
しかしながら、操作端末130は、初期登録機能Aと第2セキュリティモジュール発行依頼機能Aと機器操作機能Aと情報確認機能Aと同等の機能を実現することができれば、必ずしも、いわゆるスマートフォン型携帯通信端末である必要はない。一例として、初期登録機能Aと第2セキュリティモジュール発行依頼機能Aと機器操作機能Aと情報確認機能Aと同等の機能を実現することができる、タブレット型パソコン、携帯ゲーム機、折り畳み式携帯電話機等の例が考えられる。
(4)実施の形態1において、機器制御システム100は、操作端末130とサーバ装置160との通信を中継する機能を有する基地局180を備えるとして説明した。
しかしながら、操作端末130とサーバ装置160とが通信できる構成であれば、必ずしも、基地局180を備える必要はない。一例として、操作端末130とサーバ装置160とが、人工衛星を利用する衛星通信回線を利用して直接通信する例等が考えられる。
(5)実施の形態1において、第2セキュリティモジュール120とホームゲートウェイ150との間でなされる通信は、Bluetooth規格に準拠する通信であるとして説明した。
しかしながら、第2セキュリティモジュール120とホームゲートウェイ150とが通信することができれば、必ずしも、Bluetooth規格に準拠する通信である必要はない。一例として、赤外線通信規格に準拠する通信、Wi-Fi規格に準拠する通信等の例が考えられる。さらには、無線による通信ではなく、有線による通信である例等も考えられる。
(6)実施の形態1において、第1セキュリティモジュール110と第2セキュリティモジュール120とは、それぞれ、自モジュールのセキュリティモジュールIDが、製造時においてROMにおける所定の記憶領域に格納されることによって、セキュリティモジュールIDの改竄を防止しているとして説明した。
しかしながら、セキュリティモジュールIDの改竄を防止することができれば、必ずしも、セキュリティモジュールIDが、製造時においてROMにおける所定の記憶領域に格納される必要はない。一例として、暗号化して、或いは、署名を付与してフラッシュメモリの所定の記憶領域に格納する例等が考えられる。
(7)実施の形態1において、機器制御システム100は、その機器操作処理において、(a)操作端末130に第1セキュリティモジュール110が装着されている場合に、サーバ装置160が、操作端末130に、セキュアレベル1又は2に対応付けられた機能を示す制御可能機器信号を送信して、その制御可能信号を受信した操作端末130が、セキュアレベル1又は2に対応付けられた機能の一覧を表示し、(b)操作端末130に第1セキュリティモジュール110が装着されていない場合に、サーバ装置160が、操作端末130に、セキュアレベル2に対応付けられた機能を示す制御可能機器信号を送信して、その制御可能信号を受信した操作端末130が、セキュアレベル2に対応付けられた機能の一覧を表示するとして説明した。
しかしながら、(a)操作端末130に第1セキュリティモジュール110が装着されている場合に、操作端末130が、セキュアレベル1又は2に対応付けられた機能の一覧を表示し、(b)操作端末130に第1セキュリティモジュール110が装着されていない場合に、操作端末130が、セキュアレベル2に対応付けられた機能の一覧を表示することができればよい。必ずしも、(a)操作端末130に第1セキュリティモジュール110が装着されている場合に、サーバ装置160が、操作端末130に、セキュアレベル1又は2に対応付けられた機能を示す制御可能機器信号を送信し、(b)操作端末130に第1セキュリティモジュール110が装着されていない場合に、サーバ装置160が、操作端末130に、セキュアレベル2に対応付けられた機能を示す制御可能機器信号を送信する必要はない。一例として、操作端末130に第1セキュリティモジュール110が装着されているか否かに関わらず、サーバ装置160が、操作端末130に、セキュアレベル1又は2に対応付けられた機能を示す制御可能機器信号を送信して、その制御可能信号を受信した操作端末130が、(a)操作端末130に第1セキュリティモジュール110が装着されている場合に、セキュアレベル1又は2に対応付けられた機能の一覧を表示し、(b)操作端末130に第1セキュリティモジュール110が装着されていない場合に、セキュアレベル2に対応付けられた機能に限っての一覧を表示する例等が考えられる。
(8)実施の形態1において、機器制御システム100は、操作端末130に第1セキュリティモジュール110が装着されている場合に、操作端末130の操作受付手段320によって、セキュアレベル1又は2に対応付けられた機能の設定が受け付け可能となり、操作端末130に第1セキュリティモジュール110が装着されていない場合に、操作端末130の操作受付手段320によって、セキュアレベル2に対応付けられた機能の設定が受け付け可能となるとして説明した。
しかしながら、操作端末130に第1セキュリティモジュール110が装着されている場合に、セキュアレベル1又は2に対応付けられた機能の制御が可能となり、操作端末130に第1セキュリティモジュール110が装着されていない場合に、セキュアレベル2に対応付けられた機能の制御が可能となれは、必ずしも、操作端末130に第1セキュリティモジュール110が装着されている場合に、操作端末130の操作受付手段320によって、セキュアレベル1又は2に対応付けられた機能の設定が受け付け可能となり、操作端末130に第1セキュリティモジュール110が装着されていない場合に、操作端末130の操作受付手段320によって、セキュアレベル2に対応付けられた機能の設定が受け付け可能となるとする必要はない。一例として、操作端末130に第1セキュリティモジュール110が装着されているか否かに関わらず、操作端末130の操作受付手段320によって、セキュアレベル1又は2に対応付けられた機能の設定が受け付け可能となり、(a)操作端末130に第1セキュリティモジュール110が装着されている場合に、コマンド発行手段1760が、操作端末130によって受け付けられた機能の設定を実現するためのコマンドを生成し、(b)操作端末130に第1セキュリティモジュール110が装着されていない場合に、コマンド発行手段1760が、操作端末130によって受け付けられた機能の設定のうち、セキュアレベル2に対応付けられた機能の設定に限って、その機能の設定を実現するためのコマンドを生成する等の例が考えられる。
(9)実施の形態1において、機器制御システム100は、操作端末130に第1セキュリティモジュール110が装着されている場合には、その操作端末130によって、セキュアレベル1又は2に対応付けられた機能が制御可能となり、操作端末130に第1セキュリティモジュール110が装着されていない場合には、その操作端末130によって、セキュアレベル2に対応付けられた機能が制御可能となるとして説明した。
これに対して、別の一例として、操作端末130に第1セキュリティモジュール110が装着されている場合には、その操作端末130によって、セキュアレベル1又は2に対応付けられた機能が制御可能となり、操作端末130に第1セキュリティモジュール110が装着されていない場合には、機器の制御が不可能となるとしても構わない。これは、例えば、機器操作処理(図25参照)のステップS2510の処理において、操作端末130に第1セキュリティモジュール110が装着されていない状態であると判定される場合に(ステップS2510:No)、機器制御システム100が、その機器操作処理を終了するとすること等で実現される。
(10)実施の形態1において、第2セキュリティモジュール120とホームゲートウェイ150とが無線によって直接に通信し、第2セキュリティモジュール120と機器140とが有線によって直接に通信するとして説明した。
しかしながら、第2セキュリティモジュール120とホームゲートウェイ150と機器140とが、直接に、又は間接に通信することができれば、必ずしも、第2セキュリティモジュール120とホームゲートウェイ150とが無線によって直接に通信し、第2セキュリティモジュール120と機器140とが有線によって直接に通信する必要はない。一例として、機器140とホームゲートウェイ150とが無線によって直接に通信し、第2セキュリティモジュール120と機器140とが有線によって直接に通信する例等が考えられる。
(11)実施の形態1において、機器制御システム100は、宅内に配置されている機器140を、宅外に持ち出した操作端末130を用いて制御することができるとして説明した。
しかしながら、操作対象となる機器140は、必ずしも、宅内に配置されている場合に限定されないし、操作端末130は、必ずしも、宅外に持ち出されることで利用される場合に限定されない。
一例として、機器140が、車、電車、飛行、オフィス等といった非居住空間に設置されている例等が考えられる。また、別の一例として、宅内に配置された機器140を、宅内の別の部屋に存在する操作端末130を利用して操作する例等が考えられる。
(12)実施の形態2において、操作端末3330は、自端末を利用するユーザが予め定められた人物であるか否かを調べるための指紋認証装置3360を備えるとして説明した。
しかしながら、自端末を利用するユーザが予め定められた人物であるか否かを調べることができれば、必ずしも、指紋認証装置3360を備える必要はない。一例として、虹彩の形状を利用して人物の認証を行う虹彩認証装置を備える構成例等が考えられる。また、他の一例として、予め定められた人物のみが知り得る情報(例えば、セキュリティコード)がユーザから入力されることで、そのユーザが、予め定められた人物であるか否かを調べる手段を有する例等が考えられる。
(13)変形例において、第2変形機器制御システムは、そのユーザ登録処理を実行することで、操作端末4230を利用するユーザ(以下、「ユーザX」と呼ぶ。)が、そのユーザXによって実行可能となる機器の制御の全てを、他のユーザ(以下、「ユーザY」と呼ぶ。)に対しても実行可能とすることができるとして説明した。
これに対して、別の一例として、ユーザXによって実行可能となる機器の制御のうち、一部の機器の制御のみを、ユーザYに対しても実行可能とすることができるとしてもよい。これは、例えば、ユーザ情報4400において、型番1860のそれぞれに、論理値“0”と論理値“1”とのいずれかの値を取るフラグを対応付けておき、論理値“1”となるフラグに対応付けられた型番1860で示される型番の機器の制御に限って、ユーザYに対して実行可能であるとすること等で実現される。
(14)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。
(15)以下、さらに、本発明の一実施形態に係る機器制御方法及びその変形例と各効果について、また、本発明の一実施形態に係る機器制御システムの構成と効果について説明する。
(a)本発明の一実施形態に係る機器制御方法は、操作端末を用いて機器を制御する機器制御システムにおける機器制御方法であって、前記操作端末を用いてなされる、前記機器を制御するための機器制御操作を受け付ける操作受付ステップと、前記操作端末の状態が、制御権限に係る第1状態であるか、前記第1状態における制御権限よりも低い制御権限に係る第2状態であるかを判定する判定ステップと、前記判定ステップによって前記操作端末が前記第2状態であると判定される場合に、許容する機器の制御内容を、前記第1状態であると判定される場合に許容する機器の制御内容の一部に限定する限定ステップと、前記操作受付ステップによって受け付けられた機器制御操作に応じて、前記機器を制御する機器制御ステップとを有し、前記判定ステップによって前記操作端末が前記第2状態であると判定された場合に、前記限定ステップによって限定された制御内容に限って、前記機器を制御することを特徴とする。
上述の、本変形例に係る機器制御方法によると、実行可能となる機器の制御を、操作端末の状態に応じて制限することができるようになる。そして、このことによって、一定のセキュリティレベルが担保されていない状態の操作端末が操作されることによって生じてしまう不都合の頻度を、従来よりも低減することができる。
(b)また、前記判定ステップは、前記操作端末に、自モジュールを識別する端末識別子を記憶する端末モジュールが装着されている場合に、前記第1状態であると判定し、前記端末モジュールが装着されていない場合に、前記第2状態であると判定するとしてもよい。
このようにすることで、自モジュールを識別する端末識別子を記憶する端末モジュールを操作端末に装着することで、その操作端末を第1状態とすることができるようになる。
(c)また、前記機器制御システムは、前記第1状態に対応付けられた端末識別子を記憶している識別子記憶手段を備え、前記機器制御方法は、前記操作端末に、自モジュールを識別する端末識別子を記憶する端末モジュールが装着されている場合に、当該端末モジュールから当該端末識別子を取得する端末識別子取得ステップを有し、前記判定ステップは、前記端末識別子取得ステップによって端末識別子が取得された場合において、当該端末識別子が、前記識別子記憶手段に記憶されているときに、前記第1状態であるとの判定を行うとしてもよい。
このようにすることで、第1状態に対応付けられた端末識別子を記憶する端末モジュールを操作端末に装着することで、その操作端末を第1状態とすることができるようになる。
(d)また、前記機器制御システムは、機器制御操作を示す表示を行う表示手段を備え、前記機器制御方法は、前記操作端末が前記第1状態である場合に許容する機器の制御内容に対応付けられた機器制御操作情報を取得する操作情報取得ステップと、前記判定ステップによって前記操作端末が前記第1状態であると判定される場合に、前記操作情報取得ステップによって取得された機器制御操作情報によって特定される機器制御操作を示す表示を前記表示手段に行わせる表示ステップとを有し、前記限定ステップは、前記判定ステップによって前記操作端末が前記第1状態であると判定される場合に、前記操作受付ステップにおける機器制御操作の受け付け対象を、前記操作情報取得ステップによって取得された機器制御操作情報によって特定される機器制御操作に限定し、前記機器制御ステップは、前記限定ステップによって限定された制御内容に限って、前記機器を制御するとしてもよい。
このようにすることで、第1状態である操作端末を利用するユーザは、表示手段に表示される、その操作端末を用いて実行可能となる機器の制御に対応付けられた機器制御操作を視認しながら、機器の制御を行うことができるようになる。
(e)また、前記機器制御方法は、前記操作端末が前記第2状態である場合に許容する機器の制御内容に対応付けられた機器制御操作情報を取得する特定操作情報取得ステップと、前記判定ステップによって前記操作端末が前記第2状態であると判定される場合に、前記特定操作情報取得ステップによって取得された機器制御操作情報によって特定される機器制御操作を示す表示を前記表示手段に行わせる特定表示ステップとを有し、前記限定ステップは、前記判定ステップによって前記操作端末が前記第2状態であると判定される場合に、前記操作受付ステップにおける機器制御操作の受け付け対象を、前記特定操作情報取得ステップによって取得された機器制御操作情報によって特定される機器制御操作に限定するとしてもよい。
このようにすることで、第2状態である操作端末を利用するユーザは、表示手段に表示される、その操作端末を用いて実行可能となる機器の制御に対応付けられた機器制御操作を視認しながら、機器の制御を行うことができるようになる。
(f)また、前記機器制御ステップは、前記操作受付ステップによって受け付けられた機器制御操作を、前記機器を制御する機器制御コマンドに変換する変換ステップと、前記変換ステップによって変換された機器制御コマンドを用いて前記機器を制御する制御ステップとを有するとしてもよい。
このようにすることで、機器の制御を、その機器を制御するコマンドを用いて行うことができるようになる。
(g)また、前記機器制御ステップは、前記操作端末に挿入された前記端末モジュールが記憶する前記端末識別子と対応付けられた機器識別子を記憶する機器モジュールが装着されている機器に限って、前記機器の制御を行うとしてもよい。
このようにすることで、制御対象となる機器を、操作端末に挿入された端末モジュールが記憶する端末識別子と対応付けられた機器識別子を記憶する機器モジュールに限定することができるようになる。
(h)また、前記判定ステップによって前記操作端末が前記第1状態であると判定される場合において、前記操作端末に、端末識別子を特定するための、所定の端末識別子特定操作がなされたときに、当該端末識別子特定操作によって特定される端末識別子を、前記識別子記憶手段に、前記第1状態に対応付けられた端末識別子として追加で記憶させる端末識別子追加ステップを有するとしてもよい。
このようにすることで、第1状態である操作端末を用いて、第1状態に対応付けられた新たな端末識別子を、識別子記憶手段に追加で記憶させることができるようになる。
(i)また、前記識別子記憶手段は、さらに、前記判定ステップによって前記第1状態であると判定された操作端末によって制御可能な機器に装着される機器モジュールを識別する機器識別子を、記憶している端末識別子に対応付けて記憶しており、前記機器制御ステップは、前記識別子記憶手段に記憶されている機器識別子を記憶する機器モジュールが装着されている機器に限って、前記機器の制御を行うとしてもよい。
このようにすることで、第1状態である操作端末を用いて制御可能となる機器を、所定の機器識別子を記憶する機器モジュールが装着されている機器に限定することができるようになる。
(j)また、前記機器制御システムは、所定の人物を特定するための人物特定情報を記憶する人物特定情報記憶手段を備え、前記機器制御方法は、前記操作端末を利用するユーザから、当該ユーザを特定するためのユーザ特定情報の入力を受け付けるユーザ特定情報受付ステップを有し、前記判定ステップは、前記ユーザ特定情報受付ステップによって受け付けられたユーザ特定情報によって特定されるユーザが、前記人物特定情報記憶手段によって記憶される人物特定情報によって特定される所定の人物であるときに、前記第1状態であるとの判定を行うとしてもよい。
このようにすることで、操作端末を利用するユーザが所定の人物であるときに、その操作端末を第1状態とすることができるようになる。
(k)本発明の一実施形態に係る機器制御システムは、操作端末を用いて機器を制御する機器制御システムであって、前記操作端末を用いてなされる、前記機器を制御するための機器制御操作を受け付ける操作受付手段と、前記操作端末の状態が、制御権限に係る第1状態であるか、前記第1状態における制御権限よりも低い制御権限に係る第2状態であるかを判定する判定手段と、前記判定手段によって前記操作端末が前記第2状態であると判定される場合に、許容する機器の制御内容を、前記第1状態であると判定される場合に許容する機器の制御内容の一部に限定する限定手段と、前記操作受付ステップによって受け付けられた機器制御操作に応じて、前記機器を制御する機器制御手段とを有し、前記機器制御手段は、前記判定手段によって前記操作端末が前記第2状態であると判定された場合に、前記限定手段によって限定された制御内容に限って、前記機器の制御を行うことを特徴とする。
上述の、本変形例に係る機器制御システムによると、実行可能となる機器の制御を、操作端末の状態に応じて制限することができるようになる。そして、このことによって、一定のセキュリティレベルが担保されていない状態の操作端末が操作されることによって生じてしまう不都合の頻度を、従来よりも低減することができる。