以下、図面を参照しながら、本発明の実施形態について説明する。なお、本発明は、以下に説明する実施形態に限定されない。
まず、図1を用いて、本実施形態の制御システム(システム)の構成例を説明する。システムは、例えば、図1に示すように、ウェアラブルデバイス10と、モバイルデバイス(サービス利用端末)20と、同一人物性判定サーバ30と、サービス提供サーバ40とを備える。各デバイスおよびサーバの台数は、図1に示す台数に限定されない。
(ウェアラブルデバイス)
ウェアラブルデバイス10は、装着者(ユーザ)に装着され、無線通信によりモバイルデバイス20等へ各種情報を送信するデバイスである。このウェアラブルデバイス10は、例えば、当該ウェアラブルデバイス10の装着を検知すると、周囲のデバイス(例えば、モバイルデバイス20)にビーコン信号を送信することによりウェアラブルデバイス10の装着を通知する。また、ウェアラブルデバイス10は、センサにより装着者の動きを示す情報や生体情報を取得し、モバイルデバイス20に送信する。
このウェアラブルデバイス10は、着脱検知部11と、第1のセンシング部12と、第1の近接通信部13とを備える。
着脱検知部11は、ウェアラブルデバイス10の装着および取り外し(着脱)を検知する。この着脱検知部11は、ハードウェアで実現してもよいし、ウェアラブルデバイス10に装備される各種センサ(例えば、静電センサ、生体センサ、加速度センサ等)から得られる情報を活用して実現してもよい。
第1のセンシング部12は、センサによりウェアラブルデバイス10の装着者の動き、生体情報等を示す情報(センシング情報)を取得する。このセンサは、例えば、加速度センサ、角速度センサ、回転ベクトルセンサ、タッチセンサ、近接センサ、生体センサのいずれか、またはこれらの組合せにより実現される。
第1の近接通信部13は、外部装置との間で無線による近接通信を行う。例えば、第1の近接通信部13は、着脱検知部11で当該ウェアラブルデバイス10の装着を検知すると、無線通信により、モバイルデバイス20へビーコン信号を送信する。また、第1の近接通信部13は、着脱検知部11で当該ウェアラブルデバイス10の取り外しを検知すると、無線通信により、モバイルデバイス20へ当該ウェアラブルデバイス10の取り外しを通知する。さらに、第1の近接通信部13は、着脱検知部11で検知されたウェアラブルデバイス10の装着および取り外しを示す情報(着脱情報)や、第1のセンシング部12により得られたセンシング情報を、無線通信によりモバイルデバイス20へ送信する。
(モバイルデバイス)
モバイルデバイス20は、利用者からの操作に基づき、各種処理を行うデバイスである。このモバイルデバイス20は、同一人物性判定サーバ30により自身のモバイルデバイス20の利用者が、近接するウェアラブルデバイス10の装着者と同一人物であると判定されると、ロックが解除され、利用者からの操作に基づく各種処理を実行することができる。このモバイルデバイス20は、例えば、無線通信機能を備えるスマートフォン、タブレット型端末、パーソナルコンピュータ等により実現される。
モバイルデバイス20は、第1の通信部21と、認証状態制御部22と、第2のセンシング部23と、第2の近接通信部24と、他者利用リスク通知部25とを備える。
第1の通信部21は、外部装置との間で通信を行う。例えば、第1の通信部21は、同一人物性判定サーバ30へ、ウェアラブルデバイス10および当該モバイルデバイス20のセンシング情報と、当該ウェアラブルデバイス10の着脱情報を送信したり、同一人物性判定サーバ30からモバイルデバイス20およびモバイルデバイス20の利用者の同一人物性判定結果を受信したりする。また、第1の通信部21は、サービス提供サーバ40へのログイン後、サービス提供サーバ40との間でサービスに関する各種データの送受信を行う。この第1の通信部21は、所定のプロトコルにより通信を行う通信インタフェースにより実現される。
認証状態制御部22は、自身のモバイルデバイス20の認証状態を制御する。例えば、認証状態制御部22は、自身のモバイルデバイス20をロック状態にしたり、ロック状態を解除したりする。
なお、以下の説明において、ロック状態とは、例えば、モバイルデバイス20への操作を受け付けない状態や、操作を受け付けたとしても所定のサービス提供サーバ40へのログインの禁止、アクセス制限(アクセス制御)等が行われる状態等であるものとする。
この認証状態制御部22は、デバイス情報送信部220と、ロック制御部(第1の制御部)221と、ロック解除部(第2の制御部)222と、認証制御部(第3の制御部)223とを備える。
デバイス情報送信部220は、自身のモバイルデバイス20に近接するウェアラブルデバイス10の着脱情報を同一人物性判定サーバ30へ送信する。また、デバイス情報送信部220は、当該ウェアラブルデバイス10から受信した当該ウェアラブルデバイス10のセンシング情報と、自身のモバイルデバイス20のセンシング情報とを同一人物性判定サーバ30へ送信する。
例えば、デバイス情報送信部220は、自身のモバイルデバイス20に近接するウェアラブルデバイス10のビーコン信号を受信すると、当該ウェアラブルデバイス10から当該ウェアラブルデバイス10のセンシング情報を取得する。そして、デバイス情報送信部220は、取得した当該ウェアラブルデバイス10のセンシング情報と当該ウェアラブルデバイス10の装着を示す着脱情報とを同一人物性判定サーバ30へ送信する。また、デバイス情報送信部220は、第2のセンシング部23から得た自身のモバイルデバイス20のセンシング情報を同一人物性判定サーバ30へ送信する。
また、デバイス情報送信部220は、近接するウェアラブルデバイス10の取り外しを検知した場合、当該ウェアラブルデバイス10の取り外しを示す着脱情報を同一人物性判定サーバ30へ送信する。
ロック制御部221は、同一人物性判定サーバ30からウェアラブルデバイス10の装着者と自身のモバイルデバイス20の利用者とが同一人物ではない旨の同一人物性判定結果を受信した場合や、自身のモバイルデバイス20が他の利用者に利用されている可能性(他者利用リスク)を検知した場合、自身のモバイルデバイス20をロック状態にする。例えば、ロック制御部221は、所定時間、ウェアラブルデバイス10のビーコン信号が到達していない場合や、自身のモバイルデバイス20が所定時間動かされていない場合、他者利用リスクを検知したと判断し、自身のモバイルデバイス20をロック状態にする。
ロック解除部222は、モバイルデバイス20のロック状態を解除する。例えば、ロック解除部222は、自身のモバイルデバイス20がロック状態になった場合、デバイス情報送信部220により、同一人物性判定サーバ30へ、自身のモバイルデバイス20および近接するウェアラブルデバイス10のセンシング情報を送信することにより、両デバイスの所持者の同一人物性判定処理を依頼する。そして、ロック解除部222は、同一人物性判定サーバ30から両デバイスの所持者が同一人物である旨の同一人物性判定結果を受信すると、モバイルデバイス20のロック状態を解除する。
認証制御部223は、同一人物性判定サーバ30により通知された情報に基づき、所定のサービス(例えば、サービス提供サーバ40)へのログインを実行する。
例えば、認証制御部223は、同一人物性判定サーバ30へ、自身のモバイルデバイス20および近接するウェアラブルデバイス10のセンシング情報を送信し、同一人物性判定サーバ30で両デバイスの所持者が同一人物であると判定されると、同一人物性判定サーバ30からサービス提供サーバ40との通信の確立に用いるセッションIDを受信する。その後、認証制御部223は、受信したセッションIDを用いてサービス提供サーバ40へのログインを実行する。
第2のセンシング部23は、センサによりウェアラブルデバイス10の装着者の動きや生体情報(センシング情報)を取得する。このセンサは、ウェアラブルデバイス10の第1のセンシング部12に装備されるセンサと同じ種類のセンサにより実現される。例えば、ウェアラブルデバイス10の第1のセンシング部12に装備されるセンサが加速度センサであれば、第2のセンシング部23のセンサも加速度センサを用いる。
第2の近接通信部24は、外部装置との間で無線による近接通信を行う。例えば、第2の近接通信部24は、無線通信によりウェアラブルデバイス10から送信されるビーコン信号を受信する。これにより、第2の近接通信部24は、当該ウェアラブルデバイス10が近接していることを検知する。
なお、第2の近接通信部24は、近接していることの検知の対象となるウェアラブルデバイス10の識別情報を、モバイルデバイス20の記憶部(図示省略)に記憶しておき、記憶部に記憶されるウェアラブルデバイス10のみについて近接していることの検知を行うようにしてもよい。
他者利用リスク通知部25は、ロック制御部221で他者利用リスクを検知した場合、第1の通信部21経由で、その旨を同一人物性判定サーバ30へ通知する。
(同一人物性判定サーバ)
同一人物性判定サーバ30は、モバイルデバイス20の利用者とウェアラブルデバイス10の装着者との同一人物性判定処理を行う。この同一人物性判定サーバ30は、第2の通信部31と、認証部32と、同一人物性判定部33と、デバイス管理テーブル(デバイス管理情報)34と、認証セッション管理(認証セッション管理情報)テーブル35とを備える。
第2の通信部31は、外部装置との間で通信を行う。例えば、第2の通信部31は、モバイルデバイス20から、当該モバイルデバイス20に近接するウェアラブルデバイス10の着脱情報や、当該ウェアラブルデバイス10および当該モバイルデバイス20のセンシング情報を受信する。
また、第2の通信部31は、モバイルデバイス20へ、同一人物性判定部33による同一人物性判定結果を送信したり、サービス提供サーバ40へ信頼スコア(同一人物性判定結果)を送信したりする。この第2の通信部31は、所定のプロトコルにより通信を行う通信インタフェースにより実現される。
認証部32は、モバイルデバイス20の認証処理を行う。そして、認証部32は、モバイルデバイス20の認証に成功すると、当該モバイルデバイス20の識別情報(モバイルデバイスID)と、認証セッションの識別情報(セッションID)とを対応付けた情報を作成する。
例えば、認証部32は、認証セッション管理テーブル35(図3参照)に、認証に成功したモバイルデバイス20のモバイルデバイスIDと、認証状態(認証成功=「1」)と、セッションIDとを対応付けて記録する。また、認証部32は、デバイス管理テーブル34(図2参照)に、認証に成功したモバイルデバイス20のモバイルデバイスIDと、セッションIDとを対応付けて記録する。また、認証部32は、デバイス管理テーブル34に、認証の成功に対応する信頼スコアも併せて記録してもよい。
同一人物性判定部33は、モバイルデバイス20の利用者とウェアラブルデバイス10の装着者とが同一人物である可能性の高さを判定する(同一人物性判定処理を行う)。
例えば、同一人物性判定部33は、第2の通信部31経由で、モバイルデバイス20から、当該モバイルデバイス20に近接するウェアラブルデバイス10の装着を示す着脱情報と、当該ウェアラブルデバイス10および当該モバイルデバイス20のセンシング情報を受信した場合を考える。この場合、同一人物性判定部33は、着脱情報に基づき、当該ウェアラブルデバイス10の装着していることを確認すると、当該ウェアラブルデバイス10およびモバイルデバイス20それぞれのセンシング情報の類似度の高さを算出する。そして、同一人物性判定部33は、算出した類似度の高さが高いほど、両デバイスの所持者が同一人物である可能性を示す値を高くする。一例を挙げると、両デバイスの所持者が同一人物である可能性を示す値が所定値以上の場合、同一人物性判定部33は、両デバイスの所持者を同一人物と判定する。
また、同一人物性判定部33は、当該モバイルデバイス20の同一人物性判定結果(例えば、センシング情報の類似度の値、または、両デバイスの所持者が同一人物である可能性を示す値)を、認証セッション管理テーブル35(図3参照)の信頼スコアの値として書き込む。さらに、同一人物性判定部33は、モバイルデバイス20のモバイルデバイスIDと、当該モバイルデバイス20と同一人物により装着(所持)されると判定したウェアラブルデバイス10のウェアラブルデバイスIDとを対応付けてデバイス管理テーブル34(図2参照)に記録する。なお、同一人物性判定部33は、デバイス管理テーブル34(図2参照)に、認証セッション管理テーブル35に記録される当該モバイルデバイス20のセッションIDも併せて記録してもよい。
また、同一人物性判定部33は、モバイルデバイス20から、当該モバイルデバイス20に近接するウェアラブルデバイス10の取り外しを示す着脱情報を受信した場合、デバイス管理テーブル34における当該モバイルデバイス20と当該ウェアラブルデバイス10との対応付けを解除する。
例えば、同一人物性判定部33は、デバイス管理テーブル34(図2参照)における当該モバイルデバイス20のペアとなるウェアラブルデバイス10のウェアラブルデバイスIDを削除する。つまり、同一人物性判定部33は、ウェアラブルデバイス10の取り外しを検知すると、デバイス管理テーブル34に、当該ウェアラブルデバイス10のペアとなるモバイルデバイス20との対応付けを解除する。なお、デバイス管理テーブル34において、ウェアラブルデバイス10のペアとなるモバイルデバイス20の認証以降、装着が継続しているウェアラブルデバイス10のウェアラブルデバイスIDは残ったままとなる。
また、同一人物性判定部33は、モバイルデバイス20において他者利用リスクを検知した旨の通知を受けた場合、認証セッション管理テーブル35(図3参照)における当該モバイルデバイス20の信頼スコアの値を更新する。
例えば、同一人物性判定部33は、モバイルデバイス20において他者利用リスクを検知した旨の通知を受けた場合、認証セッション管理テーブル35(図3参照)における当該モバイルデバイス20の信頼スコアの値を現在の値よりも低くする。また、モバイルデバイス20が他者利用リスクを検知した場合、当該モバイルデバイス20はロック状態になるので、同一人物性判定部33は、デバイス管理テーブル34(図2参照)における当該モバイルデバイス20の状態(モバイルデバイス状態)を「ロック」に変更する。
なお、同一人物性判定部33は、モバイルデバイス20およびウェアラブルデバイス10それぞれのセンシング情報から、両デバイスが同一人物により所持される可能性を示す種々のイベントと、同一人物により所持されない可能性を示す種々のイベントとを検知する。そして、同一人物性判定サーバ33は、検知したそれぞれのイベントを総合的に判断して、同一人物性判定処理を行ってもよい。
なお、両デバイスが同一人物により所持される可能性を示すイベントとは、例えば、両デバイスの加速度の示す動きが類似している、モバイルデバイス20で文字入力を受け付けているときに、ウェアラブルデバイス10でも文字入力特有の動きが発生している、両デバイスの傾きの変化が連動している、両デバイスが近距離に存在し続けている等のイベントである。
また、両デバイスが同一人物により所持されない可能性を示すイベントとは、例えば、モバイルデバイス20が放置されている状態が続く、両デバイスの距離が離れる、モバイルデバイス20が手渡しされたことを検知する、両デバイスを同一人物が所持されている可能性を示すイベントが所定時間以上観測されない等のイベントである。
このように同一人物性判定部33が、両デバイスのセンシング情報から、両デバイスが同一人物により所持される可能性を示す種々のイベントと、同一人物により所持されない可能性を示す種々のイベントと検知し、それぞれのイベントを総合的に判断して、同一人物性判定処理を行うことで、両デバイスが同一人物により所持されるか否かを精度よく判定することができる。
デバイス管理テーブル34は、モバイルデバイス20のモバイルデバイスIDと、当該モバイルデバイス20と同一人物により利用されるウェアラブルデバイス10のウェアラブルデバイスIDとを対応付けた情報である。
このデバイス管理テーブル34は、例えば、図2に示すように、ウェアラブルデバイス10のウェアラブルデバイスIDと、当該ウェアラブルデバイス10と同一人物により利用されるモバイルデバイス20のモバイルデバイスID(ペアモバイルデバイスID)と、当該モバイルデバイス20の状態(ログイン状態か、ロック状態か)と、当該モバイルデバイス20のセッションIDとを示した情報である。
例えば、図2のデバイス管理テーブル34は、ウェアラブルデバイスID「W001」のウェアラブルデバイス10と同一人物により利用されるモバイルデバイス20のモバイルデバイスID(ペアモバイルデバイスID)は「M001」であり、当該モバイルデバイス20の状態は「1(ログイン)」であり、当該モバイルデバイス20のセッションIDは「xxxxx」であることを示す(符号201参照)。
認証セッション管理テーブル35は、認証されたモバイルデバイス20のモバイルデバイスIDと、当該モバイルデバイス20のセッションIDと、当該モバイルデバイス20の信頼スコアとを対応付けた情報である。この認証セッション管理テーブル35は、例えば、図3に示すように、モバイルデバイス20の認証状態を示す情報を含んでもよい。
例えば、図3の認証セッション管理テーブル35は、モバイルデバイスID「M001」のモバイルデバイス20の認証状態は「1(認証成功)」であり、当該モバイルデバイス20のセッションID「xxxxx」であり、当該モバイルデバイス20の信頼スコアは「98」であることを示す(符号301参照)。
なお、上記のデバイス管理テーブル34および認証セッション管理テーブル35は、例えば、同一人物性判定サーバ30の記憶部(図示省略)に記憶される。また、デバイス管理テーブル34および認証セッション管理テーブル35は、それぞれ別個のテーブルにより実現される場合を例に説明したが、これに限定されない。
(サービス提供サーバ)
サービス提供サーバ40は、モバイルデバイス20に対し、各種サービスを提供する。このサービス提供サーバ40は、第3の通信部41と、アクセス制御部42と、信頼スコア情報43とを備える。
第3の通信部41は、外部装置との間で通信を行う。例えば、第3の通信部41は、同一人物性判定サーバ30から、モバイルデバイス20の信頼スコアを受信したり、モバイルデバイス20からのアクセスを受け付けたり、当該アクセスに対する応答を返したりする。この第3の通信部41は、所定のプロトコルにより通信を行う通信インタフェースにより実現される。
アクセス制御部42は、第3の通信部41経由で、モバイルデバイス20からのアクセスを受け付けると、当該モバイルデバイス20の認証処理を行ったり、信頼スコア情報43に示される当該モバイルデバイス20の信頼スコアの値に基づき、当該モバイルデバイス20のアクセス制御やサービスの提供を行ったりする。
信頼スコア情報43は、モバイルデバイス20の識別情報(あるいは当該モバイルデバイス20の利用者の識別情報)ごとに、当該モバイルデバイス20の信頼スコアの値を示した情報である。この信頼スコアは、同一人物性判定サーバ30から送信された情報を用いる。
以上説明したシステムによれば、同一人物性判定サーバ30において、ウェアラブルデバイス10およびモバイルデバイス20のセンシング情報の類似度であり、かつ、モバイルデバイス10の認証後、当該ウェアラブルデバイス20が継続して装着されている場合に、両デバイスの所持者を同一人物と判定する。そして、モバイルデバイス10は、同一人物性判定サーバ30において両デバイスの所持者が同一人物と判定された場合に、ロックを解除する。これにより、システムは、他者がモバイルデバイス20を用いて不正にサービス提供サーバ40等のサービスを利用することを防止することができる。
(処理手順)
次に、システムの処理手順の例を説明する。まず、図4を用いて、同一人物性判定サーバ30が、ウェアラブルデバイス10とペアになる(つまり、当該ウェアラブルデバイス10の装着者と同一人物により所持される)モバイルデバイス20をデバイス管理テーブル34に記録する手順の例を説明する。
まず、モバイルデバイス20の認証状態制御部22が、サービス提供サーバ40へ認証要求を送信すると(S1)、サービス提供サーバ40は、当該認証要求をモバイルデバイス20経由で同一人物性判定サーバ30へリダイレクトする(S2)。
S2の後、同一人物性判定サーバ30の認証部32は、モバイルデバイス20の利用者認証を行い(S3)、認証に成功すると認証セッション管理テーブル35に当該モバイルデバイス20のモバイルデバイスIDとセッションIDとを対応付けて記録する(S4:認証セッション管理テーブル更新)。
また、S4の後、同一人物性判定サーバ30の認証部32は、S3の当該モバイルデバイス20の認証結果を、当該モバイルデバイス20へ通知し、当該モバイルデバイス20は、当該認証結果をサービス提供サーバ40へ送信する(S5)。
例えば、同一人物性判定サーバ30の認証部32は、S3の当該モバイルデバイス20の認証結果に、当該モバイルデバイス20のセッションIDを含めて、当該モバイルデバイス20へ通知し、当該モバイルデバイス20は、当該セッションIDを含む認証結果をサービス提供サーバ40へ送信する。
S5で送信された認証結果が認証成功を示すものであれば、サービス提供サーバ40は、当該モバイルデバイス20のログイン(自動ログイン)を実行する(S6)。例えば、サービス提供サーバ40は、認証結果に含まれるセッションIDを用いて当該モバイルデバイス20のログイン(自動ログイン)を実行する。
S6の後、ウェアラブルデバイス10の着脱検知部11が当該ウェアラブルデバイス10の装着を検知すると(S11)、第1の近接通信部13はビーコン信号を発信する(S12)。
S12の後、モバイルデバイス20の第2の近接通信部24が、ウェアラブルデバイス10からのビーコン信号を受信すると、当該ウェアラブルデバイス10が近接していることを検知する(S13:近接性検知)。
S13の後、モバイルデバイス20のデバイス情報送信部220は、当該ウェアラブルデバイス10に対し、センシング情報の収集依頼を行い(S14)、これを受けて当該ウェアラブルデバイス10の第1のセンシング部12は、センシング情報の収集を開始する(S15)。
S15の後、ウェアラブルデバイス10は、自身のモバイルデバイス10のウェアラブルデバイスID、当該ウェアラブルデバイス10のセンシング情報、着脱情報をモバイルデバイス20へ送信し、モバイルデバイス20のデバイス情報送信部220は、受信したウェアラブルデバイスID、当該ウェアラブルデバイス10のセンシング情報、着脱情報を同一人物性判定サーバ30へ送信する(S21)。
また、S14の後、モバイルデバイス20の第2のセンシング部23は、自身のモバイルデバイス20のセンシング情報の収集を開始する(S22)。そして、デバイス情報送信部220は、自身のモバイルデバイス20のモバイルデバイスIDと、当該モバイルデバイス20のセンシング情報とを同一人物性判定サーバ30へ送信する(S23)。
S23の後、同一人物性判定サーバ30の同一人物性判定部33は、S21で送信されたウェアラブルデバイス10の着脱情報が当該ウェアラブルデバイス10の装着を示すものである場合、当該ウェアラブルデバイス10のセンシング情報と、S23で送信されたモバイルデバイス20のセンシング情報とを用いて、両デバイスの所持者の同一人物性の判定を行う(S24)。
S24の後、同一人物性判定部33は、同一人物性判定結果を用いて、デバイス管理テーブル34を更新する(S25)。
例えば、S24において、同一人物性判定部33により、ウェアラブルデバイスID「W001」のウェアラブルデバイス10の装着者と、モバイルデバイスID「M001」のモバイルデバイス20の利用者とが同一人物と判定された場合を考える。この場合、同一人物性判定部33は、デバイス管理テーブル34に両デバイスのIDを対応付けて記録する(図2の符号201参照)。また、このとき、同一人物性判定部33は、デバイス管理テーブル34におけるモバイルデバイスID「M001」のモバイルデバイス状態を「1(ログイン)」として記録する(図2の符号201参照)。
さらに、同一人物性判定部33は、認証セッション管理テーブル35(図3参照)における、モバイルデバイスID「M001」の信頼スコアを更新する。例えば、両デバイスのセンシング情報の類似度の高さを反映した値(例えば「98」)に更新する(図3の符号301参照)。また、同一人物性判定部33は、認証セッション管理テーブル35に記録されるモバイルデバイスID「M001」のセッションID(例えば「xxxxx」)をコピーし、デバイス管理テーブル34におけるモバイルデバイスID「M001」のセッションIDの欄に書き込んでもよい。
S25の後、同一人物性判定部33は、S24における同一人物性判定の結果(同一人物性判定結果)をモバイルデバイス20へ通知する(S26)。例えば、同一人物性判定部33は、モバイルデバイスID「M001」のモバイルデバイス20に対し、当該モバイルデバイス20の利用者と、ウェアラブルデバイスID「W001」のウェアラブルデバイス10の装着者とが同一人物である旨の同一人物性判定結果を通知する。このような通知を受けたモバイルデバイス20は、当該ウェアラブルデバイス10のウェアラブルデバイスIDを記憶部(図示省略)に記憶する(S27:同一人物所持ウェアラブルデバイス記憶)。これにより、モバイルデバイス20は、以降、記憶部に記憶されるウェアラブルデバイスIDのウェアラブルデバイス10をビーコン信号による近接性の検知対象とする。
なお、図4において図示を省略しているが、S26において、同一人物性判定部33が、両デバイスの所持者は同一人物ではない旨の同一人物性判定結果をモバイルデバイス20へ通知した場合、当該モバイルデバイス20のロック制御部221は、当該モバイルデバイス20をロック状態にする。
以上説明したシステムによれば、認証されたモバイルデバイス20と、当該モバイルデバイス20と同一人物により所持される(ペアとなる)ウェアラブルデバイス10とを対応付けた情報がデバイス管理テーブル34に記録される。
なお、図4に示した処理の後、ウェアラブルデバイス10の着脱検知部11が、当該ウェアラブルデバイス10の取り外しを検知すると(図5のS31)、第1の近接通信部13が当該ウェアラブルデバイス10の取り外しの検知をモバイルデバイス20へ通知する。そして、当該通知を受けたモバイルデバイス20は、当該ウェアラブルデバイス10の取り外しを同一人物性判定サーバ30へ通知する(S32)。
例えば、ウェアラブルデバイス10のデバイス情報送信部220は、取り外しを検知したウェアラブルデバイス10のウェアラブルデバイスIDと、取り外しを示す着脱情報とを同一人物性判定サーバ30へ送信する。
S32の後、同一人物性判定サーバ30の同一人物性判定部33は、S32で通知されたウェアラブルデバイス10に関する同一人物性判定結果を解除する(S33)。例えば、同一人物性判定部33は、デバイス管理テーブル34(図2参照)における、ウェアラブルデバイスID(例えば「W001」)を削除する等して、取り外されたウェアラブルデバイス10のウェアラブルデバイスID(例えば「W001」)とモバイルデバイス20のモバイルデバイスID(例えば「M001」)との対応付けを解除する。
なお、ウェアラブルデバイス10が取り外された後、再度、モバイルデバイス20がサービス提供サーバ40へアクセスする際には、再度、図4のS1以降の処理が実行されることになる。
次に、図6を用いて、モバイルデバイス20の他者利用リスクを検知した場合のシステムの処理手順の例を説明する。モバイルデバイス20のロック制御部221が、他者利用リスクを検知すると(S41)、自身のモバイルデバイス20をロック状態にする、または、自身のモバイルデバイス20への操作を受け付けたとしてもサービス提供サーバ40へのログインを禁止する(S42:モバイルデバイスorサービスロック)。
S42の後、モバイルデバイス20の他者利用リスク通知部25は、同一人物性判定サーバ30へ他者利用リスクを検知したことを通知する(S43:他者利用リスク検知通知)。その後、同一人物性判定サーバ30の同一人物性判定部33は、認証セッション管理テーブル35における当該モバイルデバイス20の信頼スコアを更新する(S44)。例えば、同一人物性判定部33は、当該モバイルデバイス20の信頼スコアを、他者利用リスクの検知に対応する値に更新する。また、同一人物性判定部33は、デバイス管理テーブル34(図2参照)における当該モバイルデバイス20のモバイルデバイス状態を「2(ロック)」に変更する。
S44の後、サービス提供サーバ40は、同一人物性判定サーバ30から各モバイルデバイス20の信頼スコアを取得し(S45)、取得した信頼スコアで信頼スコア情報43を更新する。
S43の後のS51〜S54の処理は、図4のS12〜S15と同様なので説明を省略し、S61から説明する。S54の後、ウェアラブルデバイス10の第1の近接通信部13は、当該ウェアラブルデバイス10のウェアラブルデバイスIDと、当該ウェアラブルデバイス10のセンシング情報をモバイルデバイス20へ送信し、モバイルデバイス20のデバイス情報送信部220は、当該ウェアラブルデバイス10のウェアラブルデバイスIDと、当該ウェアラブルデバイス10のセンシング情報とを同一人物性判定サーバ30へ送信する(S61)。
また、S61の後のS62、S63の処理は、図4のS22、S23と同様なので説明省略し、S64から説明する。
S63の後、同一人物性判定サーバ30の同一人物性判定部33は、当該ウェアラブルデバイス10のセンシング情報と当該モバイルデバイス20のセンシング情報とを用いて、両デバイスの所持者の同一人物性の判定を行う(S64)。ここで、同一人物性判定部33は、当該ウェアラブルデバイス10のセンシング情報と当該モバイルデバイス20のセンシング情報との類似度が所定値以上であり、かつ、デバイス管理テーブル34に基づき、当該ウェアラブルデバイス10が継続して装着された状態であると判定したとき、両デバイスの所持者を同一人物と判定する。
例えば、同一人物性判定部33は、当該ウェアラブルデバイス10と当該モバイルデバイス20のセンシング情報の類似度が所定値以上であり、かつ、デバイス管理テーブル34に当該モバイルデバイス20のペアとなるウェアラブルデバイスIDとして当該ウェアラブルデバイス10のウェアラブルデバイスIDが登録されていれば、当該ウェアラブルデバイス10は装着が継続された状態であると判定し、両デバイスの所持者を同一人物と判定する。
なお、同一人物性判定部33は、当該ウェアラブルデバイス10と当該モバイルデバイス20のセンシング情報の類似度が所定値以上であったとしても、デバイス管理テーブル34に基づき、当該ウェアラブルデバイス10が継続して装着されていないと判定したとき、両デバイスの所持者を同一人物と判定しない。例えば、デバイス管理テーブル34に当該モバイルデバイス20のペアとなるウェアラブルデバイスIDとして、当該ウェアラブルデバイス10のウェアラブルデバイスIDが登録されていなければ、当該ウェアラブルデバイス10は取り外されていると判定し、両デバイスの所持者を同一人物と判定しない。
また、同一人物性判定部33は、当該ウェアラブルデバイス10と当該モバイルデバイス20のセンシング情報の類似度が所定値未満ならば、デバイス管理テーブル34に基づき、当該ウェアラブルデバイス10が継続して装着されていると判定したとしても、両デバイスの所持者を同一人物と判定しない。
S64の後、同一人物性判定部33は、同一人物性判定結果を当該モバイルデバイス20へ送信し(S65)、当該同一人物性判定結果が両デバイスの所持者が同一人物であることを示すものであれば、当該モバイルデバイス20のロック解除部222は、モバイルデバイス20のロックを解除する、または、モバイルデバイス20によるサービス提供サーバ40へのログインの禁止を解除する(S66:モバイルデバイスorサービスロック解除)。
また、S64の後、同一人物性判定サーバ30の同一人物性判定部33は、認証セッション管理テーブル35(図3参照)における当該モバイルデバイス20の信頼スコアを更新する(S67)。例えば、同一人物性判定部33は、当該モバイルデバイス20の信頼スコアを、他者利用リスクの検知前のスコアに戻す。また、同一人物性判定部33は、デバイス管理テーブル34(図2参照)における当該モバイルデバイス20のモバイルデバイス状態を「1(ログイン)」に変更する。
S67の後、サービス提供サーバ40は、S45と同様に、同一人物性判定サーバ30から各モバイルデバイス20の信頼スコアを取得し(S68)、取得した信頼スコアで信頼スコア情報43を更新する。
このようにすることで、モバイルデバイス20が他者利用リスクを検知したためロック状態になったとしても、当該モバイルデバイス20とペアになるウェアラブルデバイス10が継続して装着され、かつ、両デバイスのセンシング情報の類似度が所定値以上であることが確認できれば、当該モバイルデバイス20のロックが解除される。
以上説明したシステムによれば、同一人物性判定サーバ30は、ウェアラブルデバイス10が取り外されたことを検知すると、デバイス管理テーブル34から当該ウェアラブルデバイス10の登録を解除する。
これにより、同一人物性判定サーバ30は、当該ウェアラブルデバイス10とモバイルデバイス20それぞれのセンシング情報が類似するものであっても、当該ウェアラブルデバイス10の装着者はモバイルデバイス20の利用者と同一人物ではないと判定する。そして、同一人物性判定サーバ30から上記の同一人物性判定結果を受け取ったモバイルデバイス20はロックされる。その結果、当該モバイルデバイス20とウェアラブルデバイス10の両方が盗難等により紛失してしまった場合でも、当該モバイルデバイス20が不正に他者に利用されてしまうリスクを低減することができる。
なお、ウェアラブルデバイス10を装着しているモバイルデバイス20(20A)の利用者が、別のモバイルデバイス20(20B)を利用する場合、システムは、例えば、図7に示す処理を実行する。
なお、図7において、ウェアラブルデバイス10の装着者は、モバイルデバイス20Aの認証後、モバイルデバイス20Aによりサービス提供サーバ40のサービスの提供を受けていたが、今回はモバイルデバイス20Bによりサービスの提供を受ける場合を例に説明する。
まず、図7のS51〜S64の処理は、図6のS51〜S64の処理と同様なので、説明を省略し、S65から説明する。
例えば、図7のS64の同一人物性判定処理において、同一人物性判定サーバ30の同一人物性判定部33が、モバイルデバイス20Bの装着者とウェアラブルデバイス10の利用者とが同一人物であると判定すると、同一人物性判定部33は、デバイス管理テーブル34を更新する(S65)。
例えば、同一人物性判定部33は、ウェアラブルデバイスID「W001」のウェアラブルデバイス10の装着者と、モバイルデバイスID「M003」の利用者とが同一人物と判定すると、図2に示すデバイス管理テーブル34に、両デバイスのIDを対応付けて記録する(図2の符号202参照)。このとき、同一人物性判定部33は、デバイス管理テーブル34におけるモバイルデバイス20Bのモバイルデバイス状態を「1(ログイン)」とし、セッションIDについては、ウェアラブルデバイス10に対応付けられた過去のセッションID「xxxxx」(図2の符号201参照)をコピーして書き込む。
また、図7において説明を省略しているが、S65の後、認証部32は、認証セッション管理テーブル35に、モバイルデバイス20BのモバイルデバイスID、セッションIDおよび信頼スコアを追加する。例えば、同一人物性判定部33は、図3の符号302に示すように、認証セッション管理テーブル35に、モバイルデバイス20BのモバイルデバイスID「M003」と、当該ウェアラブルデバイス10とペアになっているモバイルデバイス20AのセッションIDと同じセッションID「xxxxx」と、モバイルデバイス20Aの信頼スコアと同じ信頼スコア「98」とを追加する。
つまり、システムは、ウェアラブルデバイス10の装着者に利用されるモバイルデバイス20Bに対し、当該ウェアラブルデバイス10のペアとなるモバイルデバイス20Aと同じセッションIDと信頼スコアを付与する。
また、図7において説明を省略しているが、S65の後、同一人物性判定部33は、図4のS26と同様に、モバイルデバイス20Bへ同一人物性判定の結果(同一人物性判定結果)を通知し、モバイルデバイス20Bは、図4のS27と同様に、同一人物により所持されるウェアラブルデバイス10の識別情報を記憶部(図示省略)に記憶する。これにより、モバイルデバイス20Bは、以降、この記憶部に記憶されるウェアラブルデバイスIDのウェアラブルデバイス10を近接性の検知対象とする。
S65の後、認証部32は、モバイルデバイス20Bのログインセッション(例えば、セッションID「xxxxx」)を、モバイルデバイス20Bへ通知し(S66)、モバイルデバイス20Bは、当該ログインセッションをサービス提供サーバ40へ送信する。その後、サービス提供サーバ40は、モバイルデバイス20Bの自動ログインを実行する(S67)。
このようなシステムによれば、同一人物性判定サーバ30により、デバイス管理テーブル34に示されるウェアラブルデバイス10の装着者と、デバイス管理テーブル34において当該ウェアラブルデバイス10と対応付けられているモバイルデバイス20A以外のモバイルデバイス20(モバイルデバイス20B)の利用者とが同一人物と判定された場合、当該モバイルデバイス20Bを認証されたモバイルデバイス20としてサービス提供サーバ40へのログインを許可する。これにより、サービス提供サーバ40等が提供するサービスの利用において、認証済みのモバイルデバイス20Aと同じ利用者により利用されるモバイルデバイス20Bに対し認証を行わなくても、モバイルデバイス20Bによるサービスの利用が可能になる。つまり、利用者が複数のモバイルデバイス20でサービスを利用する際、モバイルデバイス20それぞれに対し個別に認証処理を行う必要がなくなるので、利便性が向上する。
(その他の実施形態)
なお、前記した実施形態において、同一人物性判定サーバ30側で、モバイルデバイス20の利用者とウェアラブルデバイス10の装着者との同一人物性を判定することとしたが、これに限定されない。例えば、モバイルデバイス20が、自身のモバイルデバイス20の利用者と近接するウェアラブルデバイス10の装着者との同一人物性を判定してもよい。また、モバイルデバイス20のロックおよびロックの解除は、モバイルデバイス20自身で行ってもよいし、同一人物性判定サーバ30側が行ってもよい。
さらに、前記した実施形態において、同一人物性判定サーバ30とサービス提供サーバ40とは別個のサーバであるものとして説明したが、同じサーバにより実現されてもよい。
また、同一人物性判定サーバ30は、ウェアラブルデバイス10の着脱情報やセンシング情報を、モバイルデバイス20経由で受信するものとして説明したが、ウェアラブルデバイス10から直接受信してもよい。
なお、ウェアラブルデバイス10の装着者とモバイルデバイス20の利用者の同一人物性判定結果(信頼スコア)は、複数の数値の組合せにより表されてもよい。この場合、同一人物性判定結果は、それぞれの数値の組合せ(例えば、ベクトルやスカラー)により表されてよい。
(プログラム)
また、各実施形態で述べたモバイルデバイス20または同一人物性判定サーバ30の機能を実現するプログラムを所望の情報処理装置(コンピュータ)にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のプログラムを情報処理装置に実行させることにより、情報処理装置をモバイルデバイス20または同一人物性判定サーバ30として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistants)等がその範疇に含まれる。また、モバイルデバイス20または同一人物性判定サーバ30を、クラウドサーバに実装してもよい。
以下に、上記のプログラムを実行するコンピュータの一例を説明する。図8は、上記のプログラムを実行するコンピュータを示す図である。図8に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
ここで、図8に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。前記した実施形態で説明した各種データや情報は、例えばハードディスクドライブ1090やメモリ1010に記憶される。
そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、上記のプログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、上記のプログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。