JP6708958B2 - 情報処理端末、情報処理システム、プログラム、および制御方法 - Google Patents

情報処理端末、情報処理システム、プログラム、および制御方法 Download PDF

Info

Publication number
JP6708958B2
JP6708958B2 JP2016118075A JP2016118075A JP6708958B2 JP 6708958 B2 JP6708958 B2 JP 6708958B2 JP 2016118075 A JP2016118075 A JP 2016118075A JP 2016118075 A JP2016118075 A JP 2016118075A JP 6708958 B2 JP6708958 B2 JP 6708958B2
Authority
JP
Japan
Prior art keywords
information
information processing
processing terminal
sensor
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016118075A
Other languages
English (en)
Other versions
JP2017224101A (ja
Inventor
高橋 一誠
一誠 高橋
山口 武久
武久 山口
博一 久保田
博一 久保田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Konica Minolta Inc
Original Assignee
Konica Minolta Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Konica Minolta Inc filed Critical Konica Minolta Inc
Priority to JP2016118075A priority Critical patent/JP6708958B2/ja
Priority to CN201710429628.7A priority patent/CN107509193A/zh
Priority to US15/622,233 priority patent/US20170357825A1/en
Publication of JP2017224101A publication Critical patent/JP2017224101A/ja
Application granted granted Critical
Publication of JP6708958B2 publication Critical patent/JP6708958B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/065Continuous authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Bioethics (AREA)
  • Biomedical Technology (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Measuring And Recording Apparatus For Diagnosis (AREA)
  • Telephone Function (AREA)

Description

この開示は、情報処理端末の制御に関し、より特定的には、無線通信を行なう情報処理端末の制御に関する。
近年のIoT(Internet of Things)化の影響を受け、無線通信機器の普及が促進されている。無線通信は、物理的なケーブルを用いずとも手軽にネットワークを構築することができる一方で、悪意の第三者から成りすまし行為を受ける可能性がある。
この成りすましを抑制する技術として、たとえば、特開2014−082716号公報(特許文献1)は、電池消耗を増加させるハード構成の変更を行なうことなく、成りすまし接続の危険性をより低減する構成を開示している。より具体的には、同技術は、第1のペアリング要求パケットに含まれる第1の識別機密情報(MAC(Media Access Control)アドレス)と、第2のペアリング要求パケットに含まれる第2の識別機密情報とが予め決められた条件を満たした場合に、第2のペアリング要求パケットを無線送信した端末を、機密情報リンク層より上位層の機密情報を無線通信する端末として登録するものである。
また、機密情報を安全に複製する技術に関し、たとえば、特開2011−071593号公報(特許文献2)は、マスタとなる携帯情報端末のプログラムを、複製治具装置などを用いずに、他の携帯情報端末に複製する携帯情報端末システムを開示している。より具体的には、携帯情報端末システムは、電子証明書を用いて公開鍵暗号方式で認証してペアが特定された他の携帯情報端末と無線LAN(Local Area Network)を介して互いに無線接続するとともに、公開鍵暗号方式で共通暗号鍵を配信して共通鍵暗号方式で通信を行なうものである。
さらに他のセキュリティ通信に関する技術として、互いに無線通信を行なう両端末に設けられたボタンを同時に押している間に認証を行い、認証を行ったペアとのみ通信を行なう方式も知られている。
特開2014−082716号公報 特開2011−071593号公報
しかしながら、特許文献1および2に開示される技術は、鍵情報/入力情報などの認証情報を盗まれた場合に、悪意の第三者による成りすまし行為を受ける危険性がある。また、認証情報は、通常、セキュリティ確保の観点から複雑に構成されるものであるため、ユーザーは当該情報を記憶することが困難である。そのため、ユーザーは認証情報をメモ等を用いて管理することになる。しかしながら、セキュリティの観点から、認証情報をメモ等に残すことは好ましくない。
また、互いに無線通信を行なう両端末に設けられたボタンを同時に押している間に認証を行なう方式についても、ボタンを押している間に機器から出力される無線電波に基づいて成りすまし行為を受ける可能性がある。
本開示は、上記のような問題を解決するためになされたものであって、ある局面における目的は、ユーザーの利便性を確保しつつ、成りすましを抑制することができる情報処理端末を提供することである。
一実施の形態に従うと、第1の種類の生体情報を測定する第1の生体センサーを含むセンサー端末と機密情報を通信するための情報処理端末が提供される。この情報処理端末は、センサー端末から第1の生体センサーの測定結果を受信するための受信部と、第1の種類の生体情報を測定するための第2の生体センサーと、第1の生体センサーの測定結果が、第2の生体センサーの測定結果に対して予め定められた条件を満たす場合に、センサー端末と機密情報を通信する第1のモードを有する制御部とを備える。制御部は、センサー端末と通信する機密情報のセキュリティレベルが予め定められたレベル以上である場合に、第1のモードでセンサー端末との当該機密情報の通信を実行する。
好ましくは、制御部は、第1のモードと、第1の生体センサーの測定結果と第2の生体センサーの測定結果との比較を行なわずにセンサー端末と機密情報を通信する第2のモードとを切り替え可能に構成される
さらに好ましくは、第2の生体センサーの測定結果を格納するための記憶装置をさらに備える。制御部は、センサー端末に送信する機密情報のセキュリティレベルが予め定められたレベル未満である場合に、当該機密情報を記憶装置に格納される所定の測定結果を用いて暗号化し、当該暗号化した機密情報を第2のモードでセンサー端末に送信する。
好ましくは、制御部は、センサー端末と通信する機密情報のセキュリティレベルが予め定められたレベル以上である場合に、近距離無線通信を用いてセンサー端末との当該機密情報の通信を実行する。
さらに好ましくは、制御部は、センサー端末と通信する機密情報のセキュリティレベルが予め定められたレベル未満である場合に、近距離無線通信よりもビットレートが高い無線通信を用いてセンサー端末との当該機密情報の通信を実行する。
さらに好ましくは、制御部は、センサー端末に送信する機密情報のセキュリティレベルが予め定められたレベル未満である場合に、センサー端末と通信可能に構成される外部装置に当該機密情報が存在するか否かを検証する。制御部は、機密情報が外部装置に存在することを検証した場合、外部装置からセンサー端末へ機密情報を転送させる制御信号を、外部装置およびセンサー端末のいずれか一方に送信する。
さらに好ましくは、外部装置と通信可能に構成される。制御部は、センサー端末から機密情報を受信するにあたって、センサー端末から当該機密情報についてのセキュリティレベルを受信するとともに、当該機密情報のセキュリティレベルが予め定められたレベル未満である場合に、センサー端末から受信した機密情報を外部装置に転送するように構成される。
さらに好ましくは、記憶装置をさらに備える。制御部は、センサー端末から受信した機密情報を外部装置に転送した場合に、所定の情報を記憶装置に格納するように構成される。所定の情報は、外部装置への接続情報、外部装置における機密情報の記憶領域情報、および外部装置へのログインに使用した情報のうち少なくともいずれか1つの情報を含む。
好ましくは、制御部は、センサー端末に送信する機密情報のセキュリティレベルに関する情報をセンサー端末に送信する構成、およびセンサー端末から受信する機密情報のセキュリティレベルに関する情報をセンサー端末に要求する構成のうち少なくとも一方の構成を含む。
好ましくは、情報の入力を受け付けるための操作受付部をさらに備える。制御部は、操作受付部に入力される情報に基づいてセンサー端末と通信する機密情報のセキュリティレベルを設定する。
好ましくは、情報の入力を受け付けるための操作受付部をさらに備える。制御部は、センサー端末と通信する機密情報のセキュリティレベルを、当該機密情報が格納される記憶領域情報、当該機密情報に付加される第1のセキュリティ情報、および当該機密情報をセンサー端末と通信する際に操作受付部に入力される第2のセキュリティ情報のいずれか1つの情報に基づいて判断する。
好ましくは、第2の生体センサーの測定結果を格納するための記憶装置をさらに備える。制御部は、センサー端末に送信する機密情報を記憶装置に格納される所定の測定結果を用いて暗号化する構成、およびセンサー端末から受信する機密情報を所定の測定結果に基づいて復号化する構成のうち少なくとも一方の構成を含む。
さらに好ましくは、所定の測定結果は、記憶装置に格納される第2の生体センサーによる測定結果のうち、最新の測定結果を含む。
好ましくは、制御部は、近距離無線通信を用いて所定の測定結果をセンサー端末に送信する。
好ましくは、制御部は、所定期間における第1および第2の生体センサーの測定結果が一致する割合が所定値以上である場合に、第1の生体センサーの測定結果が予め定められた条件を満たすと判定するように構成されている。
好ましくは、情報の入力を受け付けるための操作受付部をさらに備える。制御部は、操作受付部に予め定められた情報が入力されたことに応じて、センサー端末に、第1の生体センサーによる第1の種類の生体情報の測定および当該生体情報の測定結果の送信を要求する要求信号を送信するように構成されている。
さらに好ましくは、制御部は、要求信号の送信に応じて送信された第1の生体センサーの測定結果が予め定められた条件を満たさないと判定された場合に、所定回数を上限として、センサー端末に要求信号を再び送信するように構成されている。
さらに好ましくは、制御部は、要求信号の送信に応じて送信された第1の生体センサーによる複数の測定結果の平均値である第1の平均値を算出し、前記第1の生体センサーによる複数の測定結果のそれぞれに対応する前記第2の生体センサーによる複数の測定結果の平均値である第2の平均値を算出し、第1の平均値が第2の平均値に対して予め定められた条件を満たすか否かを判定することにより、第1の生体センサーの測定結果が予め定められた条件を満たすか否かを判定するように構成されている。
さらに好ましくは、制御部は、第1の平均値が第2の平均値に対して予め定められた条件を満たさないと判定した場合に、第1の平均値と第2の平均値との差分に基づく補正を次回の第1の生体センサーの測定結果に対して行い、次回の第1の生体センサーの測定結果が予め定められた条件を満たすか否かを判定するように構成されている。
好ましくは、制御部は、センサー端末に、第1の生体センサーによる測定を行なうタイミングを指定する同期信号をさらに送信するように構成されている。第2の生体センサーは、同期信号に従うタイミングで第1の種類の生体情報を測定するように構成されている。
好ましくは、制御部は、第1の生体センサーの測定結果が予め定められた条件を満たさないと判定された場合に、エラーを通知するように構成されている。
好ましくは、制御部は、センサー端末に送信した機密情報と、センサー端末から返信された当該機密情報の少なくとも一部とを比較することによって、センサー端末への機密情報の送信が成功したか否かを検証するように構成されている。
さらに好ましくは、センサー端末へ送信される機密情報を格納するための記憶装置をさらに備える。制御部は、センサー端末への機密情報の送信が成功したことを検証した場合に、記憶装置においてセンサー端末へ送信された機密情報を消去するように構成されている。
さらに他の局面に従うと、情報処理システムは、第1および第2の情報処理端末を備える。第1の情報処理端末は、第1の種類の生体情報を測定する第1の生体センサーと、第1の生体センサーの測定結果を第2の情報処理端末に送信するための送信部とを含む。第2の情報処理端末は、第1の情報処理端末から第1の生体センサーの測定結果を受信するための受信部と、第1の種類の生体情報を測定するための第2の生体センサーと、第1の生体センサーの測定結果が、第2の生体センサーの測定結果に対する予め定められた条件を満たす場合に、第1の情報処理端末と機密情報を通信する第1のモードを有する制御部とを備える。制御部は、第1の情報処理端末と通信する機密情報のセキュリティレベルが予め定められたレベル以上である場合に、第1のモードで第1の情報処理端末との当該機密情報の通信を実行する。
さらに他の局面に従うと、プログラムは、第1の種類の生体情報を測定するための生体センサーを備える情報処理端末のコンピューターによって実行され、第1の種類の生体情報を測定するセンサー端末と機密情報を通信する。プログラムは、コンピューターに、センサー端末から第1の種類の生体情報の測定結果を受信するステップと、第1の種類の生体情報を測定するステップとを実行させる。コンピューターは、センサー端末から受信した測定結果が、測定するステップにおける生体情報の測定結果に対して予め定められた条件を満たす場合に、センサー端末と機密情報を通信する第1のモードを有する。プログラムは、コンピューターに、センサー端末と通信する機密情報のセキュリティレベルが予め定められたレベル以上である場合に、第1のモードでセンサー端末との当該機密情報の通信を行なうステップをさらに実行させる。
さらに他の局面に従うと、制御方法は、第1の種類の生体情報を測定するための生体センサーを備える情報処理端末が、第1の種類の生体情報を測定するセンサー端末と機密情報を通信する。制御方法は、センサー端末から第1の種類の生体情報の測定結果を受信するステップと、第1の種類の生体情報を測定するステップとを含む。情報処理端末は、センサー端末から受信した測定結果が、測定するステップにおける生体情報の測定結果に対して予め定められた条件を満たす場合に、センサー端末と機密情報を通信する第1のモードを有する。制御方法は、センサー端末と通信する機密情報のセキュリティレベルが予め定められたレベル以上である場合に、第1のモードでセンサー端末との当該機密情報の通信を行なうステップをさらに含む
一実施形態に従う情報処理端末によれば、ユーザーの利便性を確保しつつ、成りすましを抑制することができる。
この発明の上記および他の目的、特徴、局面および利点は、添付の図面と関連して理解されるこの発明に関する次の詳細な説明から明らかとなるであろう。
実施形態に従う情報処理システムについての動作概要を説明する図である。 実施形態1に従う情報処理端末のハードウェア構成を説明するブロック図である。 実施形態1に従う情報処理端末の具体的態様の一例を表す図である。 実施形態1に従う情報処理端末が他の情報処理端末に機密情報を送信するための制御について説明するシーケンス図である。 実施形態1に従う情報処理端末における機密情報の通信制御について説明するフローチャートである。 実施形態1に従う機密情報の通信に関する情報を格納するためのテーブルについて説明する図である。 実施形態1に従う生体センサーの測定結果の比較について説明する図である。 上記一連の機密情報の通信処理を実行するための制御部の機能構成を説明する機能ブロック図である。 実施形態1に従う情報処理端末における機密情報の通信制御について説明するフローチャートである。 実施形態2に従う情報処理システムの構成例について説明する図である。 実施形態2に従う情報処理端末のハードウェア構成例を説明するブロック図である。 実施形態2に従う情報処理端末が他の情報処理端末に高機密情報を送信するための制御について説明するシーケンス図である。 実施形態2に従う情報処理端末が他の情報処理端末に低機密情報を送信するための制御について説明するシーケンス図である。 実施形態3に従う情報処理システムの構成例について説明する図である。 実施形態3に従う無人航空機に制御信号を送信するための制御について説明するシーケンス図である。
以下、この発明の実施形態について図面を参照しながら詳細に説明する。なお、図中同一または相当部分には同一符号を付し、その説明は繰り返さない。
[A.概要]
図1は、実施形態に従う情報処理システム1についての動作概要を説明する図である。図1を参照して、情報処理システム1は、情報処理端末100Aと、情報処理端末100Bとを備える。情報処理端末100Aおよび100Bはそれぞれ、生体情報を測定するための生体センサー120A、120Bを含む。
以下、情報処理端末100Aが、情報処理端末100Bと機密情報の通信を行なうための制御を説明する。
ステップS1において、ユーザーは、情報処理端末100Aに対して、機密情報を情報処理端末100Bに送信するための指示を入力する。
ステップS2において、情報処理端末100Aは、ユーザーからの指示の入力に応じて情報処理端末100Bに対して生体センサー120Bによる生体情報の測定を指示する信号を送信する。
ステップS3において、情報処理端末100Bは、情報処理端末100Aから入力された信号に基づいて、生体センサー120Bによって、ユーザーの生体情報を測定し、当該測定結果を情報処理端末100Aに送信する。
ステップS4において、情報処理端末100Aは、生体センサー120Aによって、ユーザーの生体情報を測定する。なお、生体センサー120Aにより測定される生体情報の種類と、生体センサー120Bにより測定される生体情報の種類とは同じである。また、ステップS3および4において、生体センサー120Aおよび120Bは、同一ユーザーの生体情報を測定する。
ステップS5において、情報処理端末100Aは、生体センサー120Bの測定結果が、生体センサー120Aの測定結果に対する予め定められた条件(たとえば、両方の測定結果が一致するか)を満たすか否かを判定する。ステップS6において、情報処理端末100Aは、ステップS5において生体センサー120Bの測定結果が条件を満たしたと判定した場合、機密情報を情報処理端末100Bに送信する。
上記によれば、ユーザーは、機密情報の通信を行なうにあたって、通信を行なう各々の情報処理端末に搭載された生体センサーを用いて自身の生体情報を測定するだけでよい。したがって、ユーザーは、複雑な認証情報(パスワード)を記憶する必要がなく、メモ等に当該認証情報を残す必要もない。その結果、実施形態に従う情報処理システムは、従来のシステムに比して高いセキュリティを有する。
また、実施形態に従う情報処理システムは、機密情報の通信を行なうにあたって、悪意の第三者にとって複製、取得が非常に困難な生体情報を用いて認証を行なう。その結果、実施形態に従う情報処理システムは、従来のシステムに比して、成りすましをより抑制することができる。以下、この情報処理システムについての詳細な構成および制御について説明を行なう。
[B.実施形態1]
(b1.情報処理端末100A,100Bのハードウェア構成)
図2は、実施形態1に従う情報処理端末100Aおよび100Bのハードウェア構成を説明するブロック図である。図2を参照して、情報処理端末100Aは、主な構成要素として、操作受付部110A、生体センサー120A、報知部130A、記憶装置140A、RTC(Real Time Clock)部150A、通信部160A、および制御部170Aを備える。
操作受付部110Aは、情報処理端末100Aに対するユーザーの操作を受け付ける。たとえば、操作受付部110Aは、マウス、キーボード、ハードウェアボタン、タッチパネル、その他の入力デバイスによって実現される。
生体センサー120Aは、ユーザーの生体情報を取得する。一例として、生体センサー120Aは、脈波を測定するものとする。なお、生体センサー120Aが測定する生体情報は、脈波に限られず、他の局面において、心拍数、血圧、体温、副交感神経活動、交感神経活動、活動量(加速度)、心電、体動、経皮的動脈血酸素飽和度(SpO2)、脈波伝播時間などを測定可能に構成されてもよい。好ましくは、生体センサー120Aが測定する生体情報は、経時変化を伴う情報であることが好ましい。悪意の第三者にとって、生体情報の取得がより困難になるためである。
報知部130Aは、ユーザーに情報を報知するための構成であって、一例として、ディスプレイによって実現される。なお、他の局面において、報知部130Aは、振動子による振動、またはスピーカーによる音声などによって、ユーザーに情報を報知する構成であってもよい。
記憶装置140Aは、情報処理端末100Aの設定、生体センサー120Aの測定結果などを記憶する。RTC部150Aは、時刻を計測するための構成であって、情報処理端末100Aへの電源供給を停止されたとしても、内蔵するバッテリーによって時刻を刻み続ける。
通信部160Aは、情報処理端末100Bと無線通信を用いて通信可能に構成される。一例として、通信部160Aは、NFC(Near Field Communication)の規格に従い情報処理端末100Bと通信する。なお、他の局面において、通信部160Aは、赤外線方式、Bluetooth(登録商標)規格、WiFi(Wireless Fidelity)規格、および非接触IC(Integrated Circuit)カードのような電磁誘導を利用した方式などの無線通信方式に従い、通信を行ってもよい。好ましくは、通信部160Aは、通信範囲が比較的小さい(たとえば、1メートル〜数センチ)近距離無線通信の規格に従い通信を行なうことが望ましい。これにより、悪意の第三者による成りすましを抑制することができる。
制御部170Aは、情報処理端末100Aの全体動作を司る。制御部170Aは、たとえば、少なくとも1つの集積回路によって構成される。集積回路は、たとえば、少なくとも1つのCPU(Central Processing Unit)、少なくとも1つのASIC(Application Specific Integrated Circuit)、少なくとも1つのFPGA(Field Programmable Gate Array)、またはそれらの組み合わせなどによって構成される。
情報処理端末100Aおよび100Bの基本構成は、同じであるため、情報処理端末100Bの説明については繰り返さない。なお、他の局面において、情報処理端末100Bは、情報処理端末100Aと異なる構成であっても良く、少なくとも生体センサー120Bおよび通信部160Bを有する構成であればよい。換言すれば、ある局面において、情報処理端末100Bは、生体センサー120Bによってユーザーの生体情報(脈波)を測定し、当該測定結果を情報処理端末100Aに送信するためのセンサー端末として機能する。以下、図3および4を用いて、情報処理端末100Aが情報処理端末100Bと機密情報を通信するための制御について説明する。
(b2.機密情報を通信するための制御)
図3は、実施形態1に従う情報処理端末100Aおよび100Bの具体的態様の一例を表す図である。図3に示されるように、情報処理端末100Aおよび100Bは、ユーザーに装着可能に構成されるリストバンド型のウェアラブル端末である。なお、他の局面において、情報処理端末100Aおよび100Bは、モバイルコンピュータ、タブレットコンピュータ、モバイル装置(例えば、スマートフォンやPDA)、デスクトップコンピュータ、または、適切な処理能力、通信能力およびメモリを有する任意のその他の装置であり得る。
図3において、操作受付部110Aおよび110Bは、少なくとも1つのハードウェアボタンから構成される。生体センサー120Aおよび120Bは、一例として、リストバンド型端末の内周面に配置される光反射型センサーによって脈波の測定を実現する。
図4は、実施形態1に従う情報処理端末100Aが100Bに機密情報を送信するための制御について説明するシーケンス図である。図4において、ユーザーは、情報処理端末100Aの記憶装置140Aに格納される機密情報を、情報処理端末100Bに送信する。状況としては、たとえば、情報処理端末100Aを駆動する電池(図示しない)が残り僅かであって、他の情報処理端末100Bを用いるにあたって、情報処理端末100Aの測定結果などを情報処理端末100Bに引き継ぎたい場合が考えられる。他の状況として、情報処理端末100Bが情報処理端末100Aの後継機種であって、情報処理端末100Aの測定結果などを移し替えたい場合などが考えられる。記憶装置140Aに格納される情報の他の例として、パスワードデータ、社会保障・税番号(マイナンバー)、従業員番号、アクセス権限のあるサーバー情報といった情報などが挙げられる。
シーケンスsq10において、ユーザーは、情報処理端末100Aの操作受付部110Aに対して、記憶装置140Aに格納される情報を情報処理端末100Bに送信するための予め規定された操作を入力する。
シーケンスsq12において、情報処理端末100Aは、ユーザーが指定した機密情報のセキュリティレベルが、予め定められたレベル以上であるか否かを判定する。この処理についての詳細は後述される。図4に示される例において、情報処理端末100Aは、ユーザーが指定した機密情報のセキュリティレベルが、予め定められたレベル以上であると判定する。
シーケンスsq14において、情報処理端末100Aは、情報処理端末100Bに対してバイタルデータ認証要求通知を送信する。
シーケンスsq16において、情報処理端末100Bは、バイタルデータ認証要求通知を受信した旨を知らせるACK(ACKnowledgement)信号を情報処理端末100Aに返信する。
シーケンスsq18において、情報処理端末100Bは、生体センサー120Bによる生体情報(脈波)を測定するための準備を開始する。
シーケンスsq20において、情報処理端末100Aは、情報処理端末100BからのACK信号の受信に応じて、同期信号を情報処理端末100Bに送信する。同期信号は、生体センサー120Aおよび120Bによる生体情報(脈波)の測定タイミングを同期させる。一例として、情報処理端末100Aは、RTC部150Aの時刻を参照して、測定開始時刻、および測定間隔、および測定回数を含む同期信号を生成する。なお、他の局面において、情報処理端末100Aは、RTC部150AとRTC部150Bの現在時刻の同期を行なうために、同期信号の中に、RTC部150Aの現在時刻を含めて送信する構成であってもよい。同期信号に含まれる測定間隔、測定回数は、後述するテーブルTa1に規定されているものとする。
シーケンスsq22において、情報処理端末100Bは、情報処理端末100Aから入力された同期信号に従い、ユーザーの脈波の測定を開始する。また、シーケンスsq24において、情報処理端末100Aも、情報処理端末100Bに送信した同期信号に従い、ユーザーの脈波の測定を開始する。
シーケンスsq26において、情報処理端末100Aは、脈波の測定を終了する。シーケンスsq28において、情報処理端末100Aは、情報処理端末100Bに対して、生体センサー120Bの測定結果の送信を要求する要求信号を送信する。シーケンスsq30において、情報処理端末100Aは、生体センサー120Aの測定結果を記憶装置140Aに格納(保存)する。
シーケンスsq32において、情報処理端末100Bは、情報処理端末100Aからの要求信号の入力に応じて、生体センサー120Bの測定結果を情報処理端末100Aに送信する。
シーケンスsq34において、情報処理端末100Aは、生体センサー120の測定結果が、生体センサー120の測定結果に対する予め定められた条件を満たすか否かを判定する。この判定方法についての詳細は、後述される。
シーケンスsq36において、情報処理端末100Aは、シーケンスsq34における予め定められた条件が満たされた旨の判定結果を情報処理端末100Bに送信する。
シーケンスsq38において、情報処理端末100Bは、判定結果を受信したことを知らせるACK信号を情報処理端末100Aに返信するとともに、情報処理端末100Aからのデータ受信準備を開始する。
シーケンスsq40において、情報処理端末100Aは、情報処理端末100BからのACK信号の受信に応じて、記憶装置140Aに格納される機密情報を通信部160Aを介して情報処理端末100Bに送信する。なお、他の局面において、情報処理端末100Aおよび100Bは、通信部160A,160Bとは別に、通信部160A,160Bよりもビットレートの高い他の通信インターフェイスを有する構成であってもよい。当該構成において、情報処理端末100Aは、シーケンスsq40における機密情報の送信を当該他の通信インターフェイスを用いる構成であってもよい。他の通信インターフェイスの一例として、Bluetooth(登録商標)規格が挙げられる。当該構成によれば、情報処理端末100Aおよび100Bは、相互に認証するまでは、成りすましを防ぐために、NFC規格などの通信範囲が小さい通信方式に従い、認証した後は、よりビットレートの高い通信方式を用いることで効率的に情報の送受信を行なうことができる。
シーケンスsq42において、情報処理端末100Bは、情報処理端末100Aから受信する機密情報を記憶装置140Bに保存する。シーケンスsq44において、情報処理端末100Bは、情報処理端末100Aから受信した情報の少なくとも一部を確認データとして情報処理端末100Aに返信する。なお、他の局面において、情報処理端末100Bは、情報処理端末100Aから受信した情報に関するCRC(Cyclic Redundancy Check)信号を情報処理端末100Aに返信する構成であってもよい。
シーケンスsq46において、情報処理端末100Aは、情報処理端末100Bから返信された確認データと情報処理端末100Bに送信した情報とが一致するか否かを検証(ベリファイ)する。シーケンスsq48において、情報処理端末100Aは、情報処理端末100Bから返信された確認データが情報処理端末100Bに送信した情報と一致すると検証した場合に、情報処理端末100Bにバックアップが成功したことを知らせる成功通知を送信する。
シーケンスsq50において、情報処理端末100Aは、検証の成功に応じて、情報処理端末100Bに送信した、記憶装置140Aに格納される機密情報を消去(フォーマット)する。これにより、情報処理システム1は、ユーザーが使用しなくなる可能性がある情報処理端末100Aに格納される情報を消去することができ、セキュリティを担保することができる。
シーケンスsq52において、情報処理端末100Aは、記憶装置140Aに格納される情報の消去を含む、一連のデータ移行処理が終了したことを、報知部130Aに表示する。
なお、上記一連のシーケンスは、必ずしも図4に示される順に実行される必要はない。たとえば、シーケンスsq16とシーケンスsq18とは、処理の順番を入れ替えてもよい。また、他の局面において、情報処理端末100Aに格納される機密情報を情報処理端末100Bにバックアップ(複製)したい場合も考えられる。かかる場合、情報処理端末100Aは、シーケンスsq50を省略するように構成されてもよい。次に、上記一連の認証処理における、情報処理端末100Aおよび100Bのそれぞれの端末での処理について説明する。
(b3.情報処理端末100Aにおける処理)
図5は、実施形態1に従う情報処理端末100Aにおける機密情報の通信制御について説明するフローチャートである。図5に示される処理は、制御部170Aが記憶装置140Aに格納される制御プログラムを実行することにより実現される。他の局面において、処理の一部または全部が、回路素子その他のハードウェアによって実行されてもよい。
ステップS100において、制御部170Aは、データ送信要求イベントが発生したか否かを判断する。より具体的には、制御部170Aは、操作受付部110Aに入力された内容に基づいて、上記の判断を行なう。
制御部170Aは、ユーザーからのデータ送信要求イベントが発生したと判断した場合(ステップS100においてYES)、処理をステップS102に進める。そうでない場合(ステップS100においてNO)、制御部170Aは、処理をステップS100に戻し、データ送信要求イベントの発生を待機する。
ステップS102において、制御部170Aは、データ送信要求イベントの対象データが生体情報(バイタルデータ)による比較判定が必要なデータ(以下、「高機密情報」とも称する)であるか否かを判断する。より具体的には、制御部170Aは、対象データのセキュリティレベルに基づいて、上記の判断を行なう。
高機密情報は、外部に漏れることによる影響が甚大な情報であって、一例として、パスワードデータ、社会保障・税番号(マイナンバー)、従業員番号、アクセス権限のあるサーバー情報、生体情報(生体センサー120Aの測定結果)などが挙げられる。
制御部170Aは、対象データのセキュリティレベルの判断を、対象データが格納される記憶領域(特定のフォルダに保存されているか否か、など)、対象データに付加されたセキュリティ情報、などに基づいて行なう。ユーザーは、操作受付部110Aを操作することによって、対象データを含む記憶装置140Aに格納される機密情報のセキュリティレベルを設定することができる。制御部170Aは、対象データのセキュリティレベルを判断した後、図6に示されるテーブルTa1を参照して、対象データが生体情報による比較判定が必要な高機密情報であるか否かの判断を行なう。
図6は、実施形態1に従う機密情報の通信に関する情報を格納するためのテーブルTa1について説明する図である。テーブルTa1は、機密情報の送信方法、機密情報の同時送信端末数、機密情報の送信対象である端末の識別情報、生体情報(バイタルデータ)の測定に関する設定情報、生体情報の比較判定方法に関する情報を含み、記憶装置140Aに格納されているものとする。
機密情報の送信方法は、セキュリティレベルの別に設定されている。図6に示される例において、制御部170Aは、セキュリティレベル「高」の機密情報については、生体情報による比較を行った上で送信し、セキュリティレベル「中」および「低」の機密情報については、生体情報による比較を行なわずに送信するように設定されている。以下、生体情報による比較判定が不必要な機密情報を「低機密情報」とも称する。
なお、他の局面において、図6に示される情報は、それぞれ独立したテーブルとして存在していてもよい。また、図6に示される例において、< >が設けられた値については、ユーザー/管理者が操作受付部110Aを操作することによって変更可能に構成される。ある局面において、情報処理端末100Aは、機密情報の送信方法として、生体情報の比較による判定方法以外に、従来のSSP(Secure Simple Pairing)に従う判定方法を有しており、ユーザーによっていずれかの判定方法を選択可能に構成されてもよい。
また、他の局面において、制御部170Aは、送信要求イベントの発生に応じて、対象データのセキュリティレベル、または生体情報による比較判定が必要か否か、を報知部130Aを介してユーザーに問い合わせる構成であってもよい。当該構成において、ユーザーは、報知部130Aに表示される問い合わせ内容に、操作受付部110Aを介して応答する。
制御部170Aは、対象データが高機密情報であると判断した場合(ステップS102においてYES)、処理をステップS104に進める。そうでない場合(ステップS102においてNO)、制御部170Aは、生体情報の比較による判定を行なわずに、情報処理端末100Bに対象データを送信する(ステップS130)。
ステップS104において、制御部170Aは、情報処理端末100Bに、バイタルデータ認証要求通知を送信する。このバイタルデータ認証要求通知は、実質的に、情報処理端末100Bに対して生体センサー120Bによるユーザーの生体情報(脈波)の測定を要求する信号として機能する。
なお、他の局面において、制御部170Aは、バイタルデータ認証要求通知に代えて、対象データのセキュリティレベルに関する情報を情報処理端末100Bに送信する構成であってもよい。かかる場合、情報処理端末100BもテーブルTa1のうち、少なくとも機密情報の送信方法に関する情報を有する。情報処理端末100Bは、受信したセキュリティレベルに関する情報に基づいて、生体センサー120Bによる生体情報の測定を行なう必要があるか否かを判断し、必要があると判断した場合に測定準備を実行する。
ステップS106において、制御部170Aは、情報処理端末100BからのACK信号の受信に応じて、テーブルTa1を参照して、同期信号を生成し、当該同期信号を情報処理端末100Bに送信する。図6に示される例において、制御部170Aは、測定開始時刻、および、測定を6秒間隔で計10回行なう旨を含む同期信号を情報処理端末100Bに送信する。
ステップS107において、制御部170Aは、情報処理端末100Bに送信した同期信号と同じ条件に従い、生体センサー120Aによる生体情報(脈波)を測定する。
ステップS108において、制御部170Aは、生体センサー120Aによる生体情報の測定を終了したか否かを判断する。図6に示される例において、制御部170Aは、生体センサー120Aによって、合計10点の測定結果を取得した時点で、生体情報の測定を終了したと判断する。
制御部170Aは、生体センサー120Aによる生体情報の測定を終了したと判断した場合(ステップS108においてYES)、処理をステップS110に進める。そうでない場合(ステップS108においてNO)、制御部170Aは、処理をステップS107に戻す。
ステップS110において、制御部170Aは、生体センサー120Bの測定結果を要求する要求信号を情報処理端末100Bに送信する。その後、情報処理端末100Aは、情報処理端末100Bから送信された生体センサー120Bの測定結果を受信する。
ステップS112において、制御部170Aは、情報処理端末100Bから生体センサー120Bの測定結果の受信が完了したか否かを判断する。制御部170Aは、当該受信が完了したと判断した場合(ステップS112においてYES)、処理をステップS114に進める。そうでない場合(ステップS112においてNO)、制御部170Aは、生体センサー120Bの測定結果の受信が完了するまで待機する。
なお、他の局面において、制御部170Aは、生体センサー120Bの測定結果を要求する要求信号を送信してから所定時間経過しても、情報処理端末100Bから当該測定結果を受信できない場合、再度、上記要求する旨の信号を送信する構成、または報知部130Aにエラーを通知する構成であってもよい。
ステップS114において、制御部170Aは、情報処理端末100Bから受信した生体センサー120Bの測定結果が、生体センサー120Aの測定結果に対する予め定められた条件を満たすか否かの判定を行なう。より具体的には、制御部170Aは、図6に示されるテーブルTa1に示される判定基準に従って、生体センサー120Aおよび120Bの対応する測定結果が、それぞれ一致するか否かを判定する。
図7は、実施形態1に従う生体センサー120Aおよび120Bの測定結果の比較について説明する図である。上記の例において、生体センサー120Aおよび120Bは、ユーザーの脈波を測定する。なお、図7の例において、生体センサー120Aおよび120Bの出力は、入射光に対する反射光の割合を示す電圧である。
生体センサー120Aおよび120Bは、同期信号に従い時刻T0から脈波の測定を開始し、6秒経過するごとに、時刻T1,T2,T3・・・T9の合計10点で脈波を測定する。
制御部170Aは、図6に示される判定例において、生体センサー120Aの各測定結果と、対応する生体センサー120Bの各測定結果とを比較する。制御部170Aは、生体センサー120Aの測定値と、対応する生体センサー120Bの測定値との差分が5%以内の場合、これらの測定結果が一致と判断する。たとえば、時刻T1における、生体センサー120Aの測定値と120Bの測定値との差分が、生体センサー120Aの測定値の3%であった場合、制御部170Aは、時刻T1において対応する測定結果が一致すると判定する。
図5を再び参照して、ステップS116において、制御部170Aは、生体センサー120Aおよび120Bの測定結果が一致しているか否かを判定する。図6に示される例において、生体センサー120Aおよび120Bの対応する測定結果10個のうち、一致する測定結果が7個以上ある場合に、制御部170Aは、生体センサー120Bの測定結果が、生体センサー120Aの測定結果に対する予め定められた条件を満たす、すなわち、生体センサー120Aおよび120Bの測定結果が一致する、と判定する。
制御部170Aは、生体センサー120Aおよび120Bの測定結果が一致すると判定した場合(ステップS116においてYES)、処理をステップS118に進める。そうでない場合(ステップS116においてNO)、制御部170Aは、処理をステップS120に進める。
ステップS118において、制御部170Aは、生体センサー120Aおよび120Bの測定結果が一致したことを示すバイタルデータ一致通知を情報処理端末100Bに送信する。その後、ステップS130において、制御部170Aは、機密情報を情報処理端末100Bに送信する。
ステップS120において、制御部170Aは、生体センサー120Aおよび120Bの測定結果が不一致であるか否かを判定する。図6に示される例において、制御部170Aは、生体センサー120Aおよび120Bの対応する測定結果10個のうち、一致する測定結果が3個未満の場合に、生体センサー120Aおよび120Bの測定結果が不一致であると判定する。
制御部170Aは、生体センサー120Aおよび120Bの測定結果が不一致である判定した場合(ステップS120においてYES)、処理をステップS122に進める。そうでない場合(ステップS120においてNO)、制御部170Aは、処理をステップS124に進める。
ステップS122において、制御部170Aは、報知部130Aに、生体センサー120Aおよび120Bの測定結果が不一致であることを示すエラーを通知する。
ステップS124において、生体情報を再測定するための処理を実行する。ステップS126において、制御部170Aは、情報処理端末100Bに対して生体センサー120Bによるユーザーの生体情報の測定を要求する信号を送信する。すなわち、図6に示される例において、制御部170Aは、生体センサー120Aおよび120Bの対応する測定結果10個のうち、一致する測定結果が3個以上7個未満である場合に、生体情報を新たに測定するとともに、当該新たな生体情報についての一致/不一致判定を再度実行する。
なお、上記の例において、制御部170Aは、ステップS120からステップS124に進めるように処理を実行するが、これに限られない。他の局面において、制御部170Aは、図6に示されるように、生体情報を再度測定する回数の上限を設けてもよい。この場合、制御部170Aは、ステップS120からステップS124に移る前に、再測定の回数をカウントするとともに、当該カウント数が所定回数(図6の例によれば、3回)を超えると判断したときに、ステップS122の処理を実行する構成であってもよい。
また、他の局面において、制御部170Aは、測定結果の一致/不一致を判定するにあって、上記のように所定期間における生体センサー120Aおよび120Bの測定結果が一致する割合が所定値以上であるか否かを判定する構成ではなく、他の構成を用いてもよい。他の構成は、たとえば、生体センサー120Aおよび120Bの測定結果における、振幅、周期、変曲点のタイミングなどから算出される類似度が、所定値以上であるかを判定する構成であってよい。
また、上記の例において、機密情報を送信する情報処理端末100Aにおいて、生体情報の一致/不一致を判定する構成であったが、これに限られない。他の局面において、機密情報を受信する情報処理端末100Bにおいて、生体情報の一致/不一致の判定を行い、判定結果を情報処理端末100Aに送信する構成であってもよい。当該構成において、情報処理端末100Aは、生体情報が一致した旨の判定結果の受信を受けて、情報処理端末100Bに機密情報を送信する構成であってもよい。
次に、生体センサー120Aおよび120Bの測定結果の一致/不一致を判定するためのデータ補正について説明する。
生体センサー120Aおよび120Bの測定結果は、センサーとユーザーとの密着度合などによってバラつきが生じ得る。そのため、ある局面において、制御部170Aは、測定結果が一致しない場合に(ステップS116においてNO)、生体センサー120Aの測定結果の平均値(以下、「第1の平均値」とも称する。)と、生体センサー120Bの測定結果の平均値(以下、「第2の平均値」とも称する。)とを比較して、一致/不一致を判定する。
たとえば、測定結果の一致/不一致の判定が2回目である場合、制御部170Aは、対応する1回目および2回目の生体センサー120Aの測定結果の平均値と、対応する1回目および2回目の生体センサー120Bの測定結果の平均値とが一致するか否かを判定する。当該判定基準は、1回目と同様である。
上記によれば、制御部170Aは、何らかの要因で測定結果にバラつきが生じる場合であっても、再測定の回数を重ねるごとに、バラつきを抑えた平均値どうしで一致/不一致を判定することができる。
他の局面において、制御部170Aは、測定結果が一致しない場合に(ステップS116においてNO)、第1の平均値と第2の平均値との差分に基づくオフセット補正を行なう構成であってもよい。たとえば、測定結果の一致/不一致の判定が3回目である場合、制御部170Aは、1〜3回目の測定結果に基づいて第1の平均値と第2の平均値を算出するとともに、第2の平均値から第1の平均値を差し引いた差分値を計算する。次に、制御部170Aは、3回目の生体センサー120Aの測定結果に、当該差分値を加える補正を行なう。制御部170Aは、当該補正後の生体センサー120Aの測定結果と、3回目の生体センサー120Bの測定結果とを比較し、一致/不一致の判定を行なう。
上記によれば、制御部170Aは、製造誤差、センサーとユーザーとの密着度合などに起因する測定誤差を抑制して、生体センサー120Aおよび120Bの測定結果の一致/不一致を判定することができる。
ところで、生体情報は、測定部位によって、測定結果が異なることがある。たとえば、血圧は、測定部位が心臓より低い位置の場合、本来の値よりも高く測定される。したがって、さらに他の局面において、制御部170Aは、測定結果が不一致である場合に(ステップS120においてYES)、情報処理端末100Aおよび100Bの装着位置を入れ替える指示を報知部130Aに表示する構成であってもよい。当該構成においても、制御部170Aは、測定結果の一致/不一致を再度判定するにあたって、測定位置を入れ替える前の測定結果と、入れ替えた後の測定結果の平均値を用いる。換言すれば、制御部170Aは、情報処理端末100Aおよび100Bの装着位置を入れ替える指示を報知部130Aに表示する前後における測定結果の平均値を用いて、上記判定を行なう。
上記によれば、制御部170Aは、測定部位による影響を抑えた測定結果の平均値に基づいて、一致/不一致を判定することができる。
(b4.制御部170Aの機能構成)
図8は、上記一連の機密情報の通信処理を実行するための制御部170Aの機能構成を説明する機能ブロック図である。図8を参照して、制御部170Aは、機密情報の通信処理に関する主な機能構成として、入力受付部210、セキュリティレベル判定部211、要求部212、同期信号生成部214、測定実行部216、生体情報受付部220、カウント部222、平均算出部224、判定部226、通知部230、データ送信部240、確認部242、および消去部244とを有する。
入力受付部210は、操作受付部110Aを介してユーザーからデータ送信要求を受け付ける。入力受付部210は、データ送信要求イベントが発生したことを知らせる旨の信号をセキュリティレベル判定部211に送信する。
セキュリティレベル判定部211は、記憶装置140Aにアクセスして対象データのセキュリティレベルを判定する。次に、セキュリティレベル判定部211は、判定したセキュリティレベルが生体情報の比較判定の対象であるか否かを、テーブルTa1を参照して検証する。
セキュリティレベル判定部211は、対象データが低機密情報であると判断した場合は、データ送信部240にその旨を知らせる信号を送信する。データ送信部240は、セキュリティレベル判定部211からの当該信号の受信に応じて、記憶装置140Aにアクセスして、対象データを情報処理端末100Bに送信する。
セキュリティレベル判定部211は、対象データが高機密情報であると判断した場合は、要求部212および同期信号生成部214にその旨を知らせる信号を送信する。
同期信号生成部214は、RTC部150Aが計時する時刻、および、テーブルTa1に格納される、測定回数と測定間隔とに基づいて同期信号を生成し、要求部212および測定実行部216に出力する。
要求部212は、同期信号生成部214から入力された同期信号312、および同期信号312に応じたタイミングでの生体センサー120Bの測定結果を要求する要求信号314を、適切なタイミングで情報処理端末100Bに送信する。
測定実行部216は、同期信号生成部214から入力された同期信号312に基づいて、生体センサー120Aによる生体情報を測定する。
生体情報受付部220は、生体センサー120Aの測定結果(以下、「第1の測定結果」とも称する。)および、生体センサー120Bの測定結果(以下、「第2の測定結果」とも称する。)の入力を受け付け、これらの情報を平均算出部224に出力する。生体情報受付部220は、一連のデータ送信処理において、第1の測定結果または第2の測定結果の入力を受け付ける度に、カウント部222に信号を送信する。
カウント部222は、一連のデータ送信処理において、生体情報受付部220から信号の入力を受ける度に、カウントアップ回路に記憶される値をカウントアップする。
平均算出部224は、第1の測定結果の平均値である第1の平均値と、第2の測定結果の平均値である第2の平均値とを算出する。より具体的には、平均算出部224は、カウント部222を参照して、一連のデータ送信処理において、各生体センサーが何回生体情報の測定を行ったのかを認識する。また、平均算出部224は、一連のデータ送信処理における、第1および第2の測定結果の各々の累積値を、上記回数で除することで、第1および第2の平均値をそれぞれ算出する。平均算出部224は、算出した第1および第2の平均値を、判定部226に出力する。
判定部226は、記憶装置140Aを参照して、テーブルTa1に格納される判定基準に基づいて、第1の平均値と第2の平均値とが一致しているか否かを判定する。判定部226は、第1の平均値と第2の平均値とが一致していると判定した場合、その旨をカウント部222、通知部230およびデータ送信部240に出力する。カウント部222は、判定部226からの入力に応じて、カウントアップ回路に記憶される値を初期化する。
データ送信部240は、判定部226からの入力に応じて、記憶装置140Aに格納される機密情報340を、情報処理端末100Bに送信する。確認部242は、情報処理端末100Bから確認データ342を入力される。確認部242は、当該確認データ342と、情報処理端末100Bに送信した機密情報340とに基づいて、情報処理端末100Bへの機密情報340の送信が成功したかを検証する。確認部242は、情報処理端末100Bへの機密情報340の送信が成功した旨を知らせる信号を消去部244に出力する。消去部244は、確認部242からの入力に応じて、記憶装置140Aに格納される機密情報340を消去する。
判定部226は、第1の平均値と第2の平均値とが不一致であると判定した場合、通知部230にその旨を出力する。通知部230は、判定部226から、第1の平均値と第2の平均値とが不一致であるとする信号の入力を受け、記憶装置140Aに格納されるエラー画像を読み出して、報知部130Aに表示する。これにより、ユーザーは、情報処理端末100Aが、機密情報の送信先の端末との認証に失敗したことを認識できる。
判定部226は、第1の平均値と第2の平均値とが一致も不一致もしていないと判定した場合、カウント部222を参照し、一連の認証処理において、生体センサーによる生体情報の測定が予め定められた回数(たとえば、3回)以下であるか否かを判定する。
判定部226は、生体センサーによる生体情報の測定が予め定められた回数以下であると判定すると、要求部212にその旨を出力する。要求部212は、判定部226からの入力に応じて、同期信号生成部214に同期信号の生成を要求する。要求部212は、同期信号生成部214から入力される同期信号312、および要求信号314を適切なタイミングで情報処理端末100Bに送信する。
判定部226は、生体センサーによる生体情報の測定が予め定められた回数を超えると判定すると、通知部230にその旨を出力する。通知部230は、判定部226からの入力に応じて、記憶装置140Aに格納されるエラー画像を読み出して、報知部130Aに表示する。次に、一連の認証処理における、情報処理端末100Bの処理について説明する。
(b5.情報処理端末100Bにおける処理)
図9は、実施形態1に従う情報処理端末100Bにおける機密情報の通信制御について説明するフローチャートである。図9に示される処理は、制御部170Bが記憶装置140Bに格納される制御プログラムを実行することにより実現される。他の局面において、処理の一部または全部が、回路素子その他のハードウェアによって実行されてもよい。
ステップS200において、制御部170Bは、情報処理端末100Aからバイタルデータ認証要求通知を受信したか否か判断する。制御部170Bは、情報処理端末100Aからバイタルデータ認証要求通知を受信したと判断した場合(ステップS200においてYES)、処理をステップS202に進める。そうでない場合(ステップS200においてNO)、制御部170Bは、バイタルデータ認証要求通知の受信を待機する。
ステップS202において、制御部170Bは、生体センサー120Bによる生体情報(バイタルデータ)を測定するための準備を開始する。
ステップS204において、制御部170Bは、情報処理端末100Aから同期信号を受信したか否かを判断する。制御部170Bは、情報処理端末100Aから同期信号を受信したと判断した場合(ステップS204においてYES)、処理をステップS206に進める。そうでない場合(ステップS204においてNO)、制御部170Bは、同期信号の受信を待機する。
ステップS206において、制御部170Bは、入力された同期信号に従い、生体センサー120Bによる生体情報(脈波)の測定を実行する。ステップS208において、制御部170Bは、生体センサー120Bによる測定を、同期信号に規定される所定回数実行したか否かを判断する。制御部170Bは、所定回数の測定を完了したと判断した場合(ステップS208においてYES)、処理をステップS210に進める。そうでない場合(ステップS208においてNO)、制御部170Bは、所定回数の測定を完了するまで待機する。
ステップS210において、制御部170Bは、情報処理端末100Aから要求信号を受信したか否かを判断する。制御部170Bは、情報処理端末100Aから要求信号を受信したと判断した場合(ステップS210においてYES)、処理をステップS212に進める。そうでない場合(ステップS210においてNO)、制御部170Bは、要求信号の受信を待機する。
ステップS212において、制御部170Bは、生体センサー120Bの測定結果を情報処理端末100Aに送信する。ステップS214において、制御部170Bは、情報処理端末100Aへの測定結果の送信が完了したか否かを判断する。制御部170Bは、測定結果の送信が完了したと判断した場合(ステップS214においてYES)、処理をステップS216に進める。そうでない場合(ステップS214においてNO)、制御部170Bは、測定結果の送信が完了するまで待機する。
ステップS216において、制御部170Bは、情報処理端末100Aから生体センサー120Aおよび120Bの測定結果が一致したことを示すバイタルデータ一致通知を受信したか否かを判断する。制御部170Bは、情報処理端末100Aからバイタルデータ一致通知を受信したと判断した場合(ステップS216においてYES)、情報処理端末100Aからの機密情報の受信する受信処理を実行する(ステップS218)。そうでない場合(ステップS216においてNO)、制御部170Bは、処理をステップS220に進める。
ステップS220において、制御部170Bは、情報処理端末100Aから、生体センサー120Bによる再度の測定を要求される要求信号(バイタルデータ再測定通知)を受信したか否かを判断する。制御部170Bは、バイタルデータ再測定通知を受信したと判断した場合(ステップS220においてYES)、処理をステップS222に進める。そうでない場合(ステップS220においてNO)、制御部170Bは、処理をステップS224に進める。
ステップS222において、制御部170Bは、生体センサー120Bによる再度の生体情報を測定するための準備を実行し、測定タイミングを知らせる同期信号の受信を待機する。
ステップS224において、制御部170Bは、情報処理端末100Aから生体センサー120Aおよび120Bの測定結果が不一致であることを知らせるエラー通知を受信したか否かを判断する。制御部170Bは、情報処理端末100Aからエラー通知を受信したと判断した場合(ステップS224においてYES)、処理をステップS226に進める。そうでない場合(ステップS224においてNO)、処理をステップS216に戻す。
ステップS226において、制御部170Bは、情報処理端末100Aとの認証に失敗した旨を知らせる画像を、報知部130Bに表示する。
(b6.まとめ)
上記によれば、ユーザーは、機密情報の通信を行なうにあたって、通信を行なう各々の情報処理端末に搭載された生体センサーを用いて自身の生体情報を測定するだけでよい。したがって、ユーザーは、複雑な認証情報(パスワード)を記憶する必要がなく、メモ等に当該認証情報を残す必要もない。その結果、実施形態に従う情報処理システム1は、従来のシステムに比して高いセキュリティを有する。
また、実施形態に従う情報処理システムは、機密情報の通信を行なうにあたって、悪意の第三者にとって複製、取得が非常に困難な生体情報を用いる。その結果、実施形態に従う情報処理システムは、従来のシステムに比して、成りすましをより抑制することができる。
[C.実施形態2]
(c1.システム構成)
図10は、実施形態2に従う情報処理システム2の構成例について説明する図である。実施形態1に従う情報処理端末100Aおよび100Bは、ともにウェアラブル端末であった。一方、図10に示される例において、実施形態2に従う情報処理システム2を構成する情報処理端末100B2は、据え置き型の情報処理端末である。
図10を参照して、情報処理システム2は、情報処理端末100Aと、情報処理端末100B2と、外部装置としてのサーバー300とを有する。情報処理端末100B2と、サーバー300とは、通信可能に構成される。
(c2.情報処理端末100B2の構成)
図11は、実施形態2に従う情報処理端末100B2のハードウェア構成例を説明するブロック図である。図11を参照して、情報処理端末100B2は、サーバー300と通信を行なうための通信インターフェイス(I/F)180Bを有する点において、図2で説明した情報処理端末100Bと異なる。一例として、通信インターフェイス180Bは、無線LAN(Local Area Network)インターフェイスであるとする。情報処理端末100B2は、通信インターフェイス180Bを介して、LANまたはWANに接続されたサーバー300と通信する。
実施形態2において、一例として、通信部160Aおよび160BにはNFCの規格に従うインターフェイスが搭載されているものとする。情報処理端末100B2およびサーバー300間の通信速度は、情報処理端末100Aおよび100B2間の通信速度よりも速いものとする。
(c3.生体情報の比較を伴う場合)
図12は、実施形態2に従う情報処理端末100Aが100B2に機密情報を送信するための制御(その1)について説明するシーケンス図である。図12に示される例において、ユーザーは、セキュリティレベルが「高」であるデータ、すなわち、高機密情報を情報処理端末100Aから情報処理端末100B2に転送する。なお、図4と同一符号を付している部分については同じであるため、その部分についての説明は繰り返さない。
シーケンスsq102において、図10に示されるように、情報処理端末100Aを装着したユーザーは、情報処理端末100Aの通信部160Aを情報処理端末100B2の通信部160Bにかざす。より具体的には、ユーザーは、NFCインターフェイスを搭載する通信部160Aおよび160Bの距離を所定距離(たとえば、10cm)以下に近づける。これにより、通信部160Aおよび160Bは互いに通信を行なうことができる状態となる。
シーケンスsq104において、情報処理端末100B2は、通信部160Bを介して、情報処理端末100Aの記憶装置140Aに格納される第1ログインデータを受信する。第1ログインデータは、たとえば、アカウント名と、パスワードとを含む。
シーケンスsq106において、受信した第1ログインデータと、記憶装置140Bに格納されるログインデータとが一致するか否かを判定する。
シーケンスsq108において、情報処理端末100B2は、認証結果を情報処理端末100Aに返信する。図12に示される例において、情報処理端末100B2は、第1ログインデータに基づく認証が成功した旨の通知を情報処理端末100Aに行なうものとする。
シーケンスsq110において、情報処理端末100Aは、認証成功通知の受信に応じて、情報処理端末100B2に、送信データの候補を送信する。
シーケンスsq112において、情報処理端末100B2は、情報処理端末100Aから受信した送信データの候補を報知部130Bに表示し、ユーザーからの選択を受け付ける。ユーザーは、報知部130Bに表示された内容に基づいて、情報処理端末100Aから情報処理端末100B2に転送するデータを選択する。図12に示される例において、ユーザーは、高機密情報を選択する。
シーケンスsq114において、情報処理端末100B2は、ユーザーによる選択結果を情報処理端末100Aに送信する。シーケンスsq12において、情報処理端末100Aは、ユーザーにより選択されたデータのセキュリティレベルを判定するとともに、当該データが高機密情報であると判断する。
上記によれば、ウェアラブル端末と据え置き型の情報処理端末(たとえば、パソコン)との間でも、第三者の成りすましを抑制しつつ、機密情報の通信を行なうことができる。
なお、他の局面において、シーケンスsq110〜114は省略されてもよい。すなわち、情報処理端末100Aは、情報処理端末100B2からの認証成功通知の受信に応じて、一連の生体情報による比較判定の後、記憶装置140Aに格納される予め定められた情報を、情報処理端末100B2に送信する構成であってもよい。
(c4.生体情報の比較を伴わない場合(その1))
図12に示される例において、ユーザーが高機密情報を選択した場合について説明した。以下では、ユーザーが低機密情報を選択した場合についての制御について説明する。
情報処理端末100Aは、シーケンスsq12において、ユーザーが選択したデータが低機密情報であると判断する。これにより、情報処理端末100Aは、一連の生体情報による比較判定(シーケンスsq14〜シーケンスsq36)を実行する代わりに、情報処理端末100B2に対して、ユーザーに選択された低機密情報を送信する旨の通知を送信する。
上記によれば、情報処理システム2は、低機密情報(外部に漏れても被害が大きくない機密情報)について、生体情報による比較判定を行なうことなく、迅速に通信することができる。また、ユーザーの負荷も低減することができる。
なお、上記の例において、情報処理端末100B2は、情報処理端末100Aから受信した低機密情報を記憶装置140Bに格納する構成であるが、これに限られない。他の局面において、情報処理端末100B2は、情報処理端末100Aから受信した低機密情報を、通信インターフェイス180Bを介してサーバー300に転送する構成であってもよい。このとき、情報処理端末100B2は、サーバー300における低機密情報の記憶領域情報、サーバー300への接続情報、サーバー300へのログインに使用した認証情報(第2ログインデータ)などを、送信した低機密情報のメタデータ(たとえば、ファイル名)と関連付けて記憶装置140Bに保存する。当該構成によれば、情報処理端末100B2は、外部に漏れても影響が大きくない低機密情報の管理を、情報処理端末100B2に比して記憶容量の大きいサーバー300で行なうことができる。
また、上記の例において、情報処理端末100Aは、情報処理端末100B2に対して低機密情報をそのまま送信する構成であるが、これに限られない。情報処理端末100Aは、低機密情報を暗号化して情報処理端末100B2に送信する構成であってもよい。一例として、情報処理端末100Aは、生体センサー120Aの所定の測定結果を用いて、低機密情報を暗号化する。当該所定の測定結果の一例として、低機密情報の送信イベントが発生する度に新たに測定される生体センサー120Aの測定結果が挙げられる。所定の測定結果の他の例として、記憶装置140Aに格納される生体センサー120Aの測定結果のうち最新の測定結果が挙げあれる。いずれの場合であっても、当該所定の測定結果は、情報処理端末100Aから情報処理端末100B2に送信される。当該所定の測定結果の通信は、通信部160Aおよび160B間での近距離無線通信によって実行される。これにより、第三者による成りすまし、および傍受を抑制することができる。
(c5.生体情報の比較を伴わない場合(その2))
上記(生体情報の比較を伴わない場合(その1))において、情報処理端末100Aおよび情報処理端末100B2は、NFC規格に従う通信方法によって、データの通信を行なう。しかしながら、NFCによるデータ転送速度は100k〜400kbit/s程度であって、対象となるデータのサイズが大きいと、データの転送に多くの時間を要する。また、データの転送を行っている間、情報処理端末100Aおよび情報処理端末100B2を所定距離以下に保つ必要があるため、ユーザーは情報処理端末100Aを持って情報処理端末100B2から離れることができない。
これらの問題を解決するために、他の局面において、情報処理端末100Aから情報処理端末100B2に低機密情報を送信するのではなく、サーバー300から情報処理端末100B2に低機密情報を送信することが考えられる。以下、この通信制御について説明を行なう。
図13は、実施形態2に従う情報処理端末100Aが100B2に低機密情報を送信するための制御について説明するシーケンス図である。なお、図12と同一符号を付している部分については同じであるため、その部分についての説明は繰り返さない。
シーケンスsq112において、ユーザーは、低機密情報を選択する。これを受け、シーケンスsq12において、情報処理端末100Aは、情報処理端末100B2に送信するデータが、低機密情報であると判断する。
シーケンスsq120において、情報処理端末100Aは、ユーザーに選択されたデータが、情報処理端末100B2と通信可能に構成されるサーバー300に格納されているか否かを確認する。一例として、情報処理端末100Aは、ユーザーに選択されたデータに付加されたタグ/フラグ情報(メタデータ)に基づいて、当該データをサーバー300に送信したか否かを判断する。情報処理端末100Aは、当該データを過去にサーバー300に送信したと判断した場合、当該データがサーバー300に格納されていると判断する。図13に示される例において、情報処理端末100Aは、ユーザーに選択されたデータが、サーバー300に格納されていると判断するものとする。
シーケンスsq122において、情報処理端末100Aは、サーバー300にアクセスするための第2ログインデータを暗号化する。第2ログインデータは、たとえば、アカウント名と、パスワードとを含む。一例として、情報処理端末100Aは、記憶装置140Aに格納される所定の生体センサー120Aの測定結果を用いて、第2ログインデータを暗号化する。具体例として、当該所定の測定結果は、記憶装置140Aに格納される生体センサー120Aの測定結果のうち、最新(測定日時が最も新しい)測定結果とする。さらに具体的には、情報処理端末100Aは、所定の測定結果(たとえば、図7に示される測定結果)からピークを算出するとともに、当該ピークのうち値が高い3点の値を用いて第2ログインデータを暗号化する。なお、サーバー300にも、同じ暗号化条件が予め格納されているものとする。
シーケンスsq124において、情報処理端末100Aは、ユーザーから選択されたデータを情報処理端末100B2に転送する旨の転送指示、および暗号化した第2ログインデータを情報処理端末100B2に送信する。シーケンスsq126において、情報処理端末100B2は、情報処理端末100Aから受信したこれらの情報を、通信インターフェイス180Bを介してサーバー300に転送する。
シーケンスsq128において、サーバー300は、暗号化された第2ログインデータを復号化するための復号鍵を特定する。一例として、ユーザーは、生体センサー120Aの測定結果を含む情報を、情報処理端末100Aから情報処理端末100B2を経由してサーバー300に定期的に送信するものとする。当該条件において、サーバー300は、自身に格納される生体センサー120Aの測定結果のうち、最新の測定結果からピークを算出するとともに、当該ピークのうち値が高い3点の値を、復号鍵として特定する。
他の局面において、情報処理端末100Aおよびサーバー300は、生体センサー120Aの測定結果のうち、予め定められた測定結果を暗号鍵/復号鍵として用いる構成であってもよい。
さらに他の局面において、情報処理端末100Aは、暗号化に用いた生体センサー120Aの測定結果のメタデータ(たとえば、測定日時)を暗号化された第2ログインデータとともに送信する構成であってもよい。かかる場合、サーバー300は、当該メタデータを用いて、第2ログインデータの復号化に用いる測定結果を特定する。
情報処理端末100Aは、これら暗号化/復号化に用いる生体センサー120Aの測定結果を情報処理端末100B2に送信するにあたって、通信範囲が比較的小さい(たとえば、1メートル〜数センチ)近距離無線通信の規格に従い送信することが望ましい。悪意の第三者に暗号鍵/復号鍵を傍受される可能性を抑制するためである。
シーケンスsq130において、サーバー300は、特定した復号鍵に基づいて、暗号化された第2ログインデータを復号する。
シーケンスsq132において、サーバー300は、復号した第2ログインデータと、自身に格納されるログインデータとが一致するか否かを判定する。図13に示される例において、サーバー300は、復号化した第2ログインデータと、自身に格納されるログインデータとが一致したと判定して、情報処理端末100B2を認証する。
シーケンスsq134において、サーバー300は、認証した情報処理端末100B2に対して、ユーザーから選択されたデータ(低機密情報)を送信する。
シーケンスsq136において、情報処理端末100B2は、サーバー300から受信したデータを記憶装置140Bに保存する。
当該構成に従う情報処理システム2は、低機密情報の通信を行なうにあたって、サーバー300から対象となる情報処理端末に低機密情報を転送することができる。その結果、情報処理システム2は、情報処理端末100Aおよび100B間の通信速度よりも速い通信速度で、サーバー300から対象となる情報処理端末に低機密情報を転送することができる。
また、情報処理システム2を使用するユーザーは、情報処理端末100B2とサーバー300とが低機密情報の通信を行っている間に、低機密情報の通信を行なわない情報処理端末100Aを装着して情報処理端末100B2(通信部160B)から離れることができる。
また、情報処理システム2に従う情報処理端末100Aは、サーバー300にアクセスするための第2ログインデータを、悪意の第三者にとって複製、取得が非常に困難な生体情報を用いて暗号化する。したがって、情報処理システム2は、低機密情報の通信を行なう場合であっても、悪意の第三者による成りすましを抑制することができる。
[D.実施形態3]
(d1.概要)
近年、ドローン、などの無人航空機の普及が急速に進んでいる。これら無人航空機は、一般的に、予め定められたプログラムに従って動作を行なうか、外部装置からの遠隔操作によって動作を行なう。
この外部装置が悪意の第三者によって成りすましを受けた場合、無人航空機の制御権は、当該第三者に奪われる。たとえば、無人航空機が貨物を運搬している場合や、無人航空機が軍事用である場合などは、周囲の人々が危険にさらされる。
そこで、無人航空機を制御する外部装置において、成りすましを防ぐための構成および制御について以下説明を行なう。
(d2.システム構成)
図14は、実施形態3に従う情報処理システム3の構成例について説明する図である。情報処理システム3は、情報処理端末100A3と、情報処理端末100Bと、無人航空機500とを有する。一例として、情報処理端末100A3は、タブレット型端末であるとする。情報処理端末100A3のハードウェア構成は、図11に示される情報処理端末100B2と同じであるため、その説明は繰り返さない。
無人航空機500は、外部からの制御指令に基づいて自律動作を行なう飛行体であって、一例として、マルチコプタ、ドローンなどが挙げられる。情報処理端末100A3は、無人航空機500を操作するための端末であって、無人航空機500の動作を制御するためのアプリケーション(以下、「制御アプリケーション」とも称する。)が記憶装置140Aに格納されているものとする。
(d3.無人航空機500の制御方法)
情報処理システム3に従うユーザーは、情報処理端末100Bを装着した状態で、情報処理端末100A3を操作することによって、無人航空機500の動作を制御する。
まず、ユーザーは、操作受付部110A(たとえば、タッチパネル)を操作して制御アプリケーションを起動する。制御アプリケーションは、ディスプレイとして機能する報知部130Aに、無人航空機500を操作するための操作画面を表示する。ユーザーは、報知部130Aの表示に従い、操作受付部110Aを操作する。
制御アプリケーションは、操作受付部110Aの入力内容に従う制御信号を無人航空機500に制御信号を送信する前に、当該制御信号が成りすましによる制御信号でないかの検証を行なう。
具体的には、制御アプリケーションは、生体センサー120Bの測定結果が、生体センサー120Aの測定結果に対する予め定められた条件(たとえば、両方の測定結果が一致するか)を満たすか否かを判定し、条件を満たすと判定した場合にのみ、制御信号を無人航空機500に送信する。無人航空機500は、情報処理端末100A3から入力される制御信号に基づいて動作する。以下、図15を用いて当該制御について説明する。
図15は、実施形態3に従う無人航空機500に制御信号を送信するための制御について説明するシーケンス図である。
シーケンスsq201において、ユーザーは、情報処理端末100A3の操作受付部110Aを操作して、制御アプリケーションを起動するとともに、無人航空機500への制御指令を入力する。
シーケンスsq202において、情報処理端末100A3は、ユーザーからの制御指令の入力を受け、情報処理端末100Bに対してバイタルデータ認証要求通知を送信する。
シーケンスsq203において、情報処理端末100Bは、バイタルデータ認証要求通知を受信した旨を知らせるACK信号を情報処理端末100A3に返信する。
シーケンスsq204において、情報処理端末100Bは、生体センサー120Bによる生体情報(脈波)を測定するための準備を開始する。シーケンスsq205において、情報処理端末100A3は、情報処理端末100BからのACK信号の受信に応じて、同期信号を情報処理端末100Bに送信する。
シーケンスsq206において、情報処理端末100Bは、情報処理端末100A3から入力された同期信号に従い、ユーザーの脈波の測定を開始する。また、シーケンスsq208において、情報処理端末100A3も、情報処理端末100Bに送信した同期信号に従い、ユーザーの脈波の測定を開始する。
シーケンスsq210において、情報処理端末100A3は、生体情報の測定を終了する。シーケンスsq212において、情報処理端末100A3は、情報処理端末100Bに対して、生体センサー120Bの測定結果の送信を要求する要求信号を送信する。シーケンスsq214において、情報処理端末100A3は、生体センサー120Aの測定結果を記憶装置140Aに格納(保存)する。
シーケンスsq216において、情報処理端末100Bは、情報処理端末100A3からの要求信号の入力に応じて、生体センサー120Bの測定結果を情報処理端末100A3に送信する。
シーケンスsq218において、情報処理端末100A3は、生体センサー120Aの測定結果が、生体センサー120Bの測定結果に対する予め定められた条件を満たすか否かを判定する。一例として、情報処理端末100A3は、生体センサー120Aおよび120Bの測定結果が一致するか否かを判定する。なお、当該判定方法は、テーブルTa1に示される条件を同じであるとする。図15に示される例において、情報処理端末100A3は、生体センサー120Aおよび120Bの測定結果が一致したと判定する。
シーケンスsq220において、情報処理端末100A3は、生体センサー120Aおよび120Bの測定結果が一致した旨を知らせる判定結果を情報処理端末100Bに送信する。また、シーケンスsq222において、情報処理端末100A3は、ユーザーの制御指令に基づく制御信号を、通信インターフェイス180Aを介して無人航空機500に送信する。通信インターフェイス180Aは、一例として、無線LANインターフェイスであるとする。
シーケンスsq224において、無人航空機500は、情報処理端末100A3からの制御信号を受信した旨を知らせるACK信号を情報処理端末100A3に返信する。シーケンスsq226において、無人航空機500は、入力された制御信号に基づいて動作を行なう。
上記によれば、実施形態3に従う情報処理端末100A3は、無人航空機500を操作する制御信号が、正当なユーザーによって入力された制御信号であるか否かの認証を、複製、取得が非常に困難な生体情報を用いて、判断することができる。したがって、実施形態3に従う情報処理端末100A3は、成りすましによる無人航空機500の操作を抑制することができる。
なお、上記の例において、情報処理端末100A3は、制御指令の入力に応じて、生体情報による比較判定を行なう構成であったが、これに限られない。他の局面において、情報処理端末100A3には、図示しない加速度センサー、振動センサー、およびユーザーによる情報処理端末100A3の把持を検知する把持センサーの少なくとも1つのセンサーを搭載する。情報処理端末100A3は、これらのセンサーによってユーザーによる所定の操作を検知した場合に、生体情報による比較判定を行なう構成であってもよい。
(d4.測定結果が一致しない場合の制御)
図15に示される例において、生体センサー120Aおよび120Bの測定結果が一致する場合について説明を行った。以下に、これら測定結果が一致しない場合の制御例について説明する。
シーケンスsq21において、生体センサー120Aおよび120Bの測定結果が不一致であると判定された場合、情報処理端末100A3は、制御指令が成りすました第三者によって入力されたものであると判断し、無人航空機500に対してエラーコマンドを送信する。
なお、他の局面において、情報処理端末100A3は、生体センサー120Aおよび120Bの測定結果が不一致であると判定された場合に、所定回数(たとえば、3回)を上限として、再度、生体センサー120Aおよび120Bによる生体情報の測定および当該測定結果の比較を行なう構成であってもよい。当該構成において、情報処理端末100A3は、生体センサー120Aおよび120Bの測定結果が不一致であると所定回数判定した場合に、無人航空機500に対してエラーコマンドを送信する。
無人航空機500は、エラーコマンドの受信に応じて、予め定められた動作を行なうように制御される。一例として、無人航空機500は、エラーコマンドの受信に応じて、音や光などを用いて周囲に警告を行いながら、ゆっくりと降下し、地面に不時着する。
他の局面において、無人航空機500は、エラーコマンドの受信に応じて、高度を上げ、所定のタイミング(たとえば、高度が100mに達したタイミング)で、自爆してもよい。
さらに他の局面において、無人航空機500は、エラーコマンドの受信に応じて、海などの周囲に建築物が存在しない広い場所を認識して、不時着してもよい。この場合、無人航空機500は、カメラ、GPS(Global Positioning System)などによって周囲に建築物が存在しない広い場所を認識する。
無人航空機500は、エラーコマンドの受信に応じてこれら予め定められた動作を実行することによって、周囲の人および物への影響を最小限に抑えることができる。
なお、上記では、無人航空機を例にして説明を行ったが、これに限られない。上記の成りすましを抑制する制御は、無人車両、無人船舶、探査衛星など、外部からの制御指令に基づいて自律動作を行なう機械に適用することができる。
今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
[付記1]
第1の種類の生体情報を測定する第1の生体センサーを含むセンサー端末と機密情報を通信するための情報処理端末であって、
前記センサー端末から前記第1の生体センサーの測定結果を受信するための受信部と、
前記第1の種類の生体情報を測定するための第2の生体センサーと、
前記第1の生体センサーの測定結果が、前記第2の生体センサーの測定結果に対して予め定められた条件を満たす場合に、前記センサー端末との機密情報の通信を実行するように構成される制御部とを備える、情報処理端末。
[付記2]
前記制御部は、所定期間における前記第1および第2の生体センサーの測定結果が一致する割合が所定値以上である場合に、前記第1の生体センサーの測定結果が前記予め定められた条件を満たすと判定するように構成されている、付記1に記載の情報処理端末。
[付記3]
情報の入力を受け付けるための操作受付部をさらに備え、
前記制御部は、前記操作受付部に予め定められた情報が入力されたことに応じて、前記センサー端末に、前記第1の生体センサーによる前記第1の種類の生体情報の測定および当該生体情報の測定結果の送信を要求する要求信号を送信するように構成されている、付記1または2に記載の情報処理端末。
[付記4]
前記制御部は、前記要求信号の送信に応じて送信された前記第1の生体センサーの測定結果が前記予め定められた条件を満たさないと判定された場合に、所定回数を上限として、前記センサー端末に前記要求信号を再び送信するように構成されている、付記3に記載の情報処理端末。
[付記5]
前記制御部は、
前記要求信号の送信に応じて送信された前記第1の生体センサーによる複数の測定結果の平均値である第1の平均値を算出し、
前記第1の生体センサーによる複数の測定結果のそれぞれに対応する前記第2の生体センサーによる複数の測定結果の平均値である第2の平均値を算出し、
前記第1の平均値が前記第2の平均値に対して前記予め定められた条件を満たすか否かを判定することにより、前記第1の生体センサーの測定結果が前記予め定められた条件を満たすか否かを判定するように構成されている、付記4に記載の情報処理端末。
[付記6]
前記制御部は、
前記第1の平均値が前記第2の平均値に対して前記予め定められた条件を満たさないと判定した場合に、前記第1の平均値と前記第2の平均値との差分に基づく補正を次回の前記第1の生体センサーの測定結果に対して行い、次回の前記第1の生体センサーの測定結果が前記予め定められた条件を満たすか否かを判定するように構成されている、付記5に記載の情報処理端末。
[付記7]
前記制御部は、前記センサー端末に、前記第1の生体センサーによる測定を行なうタイミングを指定する同期信号をさらに送信するように構成されており、
前記第2の生体センサーは、前記同期信号に従うタイミングで前記第1の種類の生体情報を測定するように構成されている、付記1〜6のいずれかに記載の情報処理端末。
[付記8]
前記制御部は、前記第1の生体センサーの測定結果が前記予め定められた条件を満たさないと判定された場合に、エラーを通知するように構成されている、付記1〜7のいずれかに記載の情報処理端末。
[付記9]
前記制御部は、
前記センサー端末に送信した機密情報と、前記センサー端末から返信された当該機密情報の少なくとも一部とを比較することによって、前記センサー端末への機密情報の送信が成功したか否かを検証するように構成されている、付記1〜8のいずれかに記載の情報処理端末。
[付記10]
前記センサー端末へ送信される機密情報を格納するための記憶装置をさらに備え、
前記制御部は、前記センサー端末への機密情報の送信が成功したことを検証した場合に、前記記憶装置において前記センサー端末へ送信された機密情報を消去するように構成されている、付記9に記載の情報処理端末。
1,2,3 情報処理システム、100A,100A3,100B,100B2 情報処理端末、110A,110B 操作受付部、120A,120B 生体センサー、130A,130B 報知部、140A,140B 記憶装置、150A,150B RTC部、160A,160B 通信部、170A,170B 制御部、180A,180B 通信インターフェイス、300 サーバー、500 無人航空機、Ta1 テーブル。

Claims (17)

  1. 第1の種類の生体情報を測定する第1の生体センサーを含むセンサー端末と機密情報を通信するための情報処理端末であって、
    前記センサー端末から前記第1の生体センサーの測定結果を受信するための受信部と、
    前記第1の種類の生体情報を測定するための第2の生体センサーと、
    前記第1の生体センサーの測定結果が、前記第2の生体センサーの測定結果に対して予め定められた条件を満たす場合に、前記センサー端末と機密情報を通信する第1のモードを有する制御部とを備え、
    前記制御部は、前記センサー端末と通信する機密情報のセキュリティレベルが予め定められたレベル以上である場合に、前記第1のモードで前記センサー端末との当該機密情報の通信を実行する、情報処理端末。
  2. 前記制御部は、前記第1のモードと、前記第1の生体センサーの測定結果と前記第2の生体センサーの測定結果との比較を行なわずに前記センサー端末と機密情報を通信する第2のモードとを切り替え可能に構成される、請求項1に記載の情報処理端末。
  3. 前記第2の生体センサーの測定結果を格納するための記憶装置をさらに備え、
    前記制御部は、前記センサー端末に送信する機密情報のセキュリティレベルが前記予め定められたレベル未満である場合に、当該機密情報を前記記憶装置に格納される所定の測定結果を用いて暗号化し、当該暗号化した機密情報を前記第2のモードで前記センサー端末に送信する、請求項2に記載の情報処理端末。
  4. 前記制御部は、前記センサー端末と通信する機密情報のセキュリティレベルが前記予め定められたレベル以上である場合に、近距離無線通信を用いて前記センサー端末との当該機密情報の通信を実行する、請求項2または3に記載の情報処理端末。
  5. 前記制御部は、前記センサー端末と通信する機密情報のセキュリティレベルが前記予め定められたレベル未満である場合に、前記近距離無線通信よりもビットレートが高い無線通信を用いて前記センサー端末との当該機密情報の通信を実行する、請求項4に記載の情報処理端末。
  6. 前記制御部は、
    前記センサー端末に送信する機密情報のセキュリティレベルが前記予め定められたレベル未満である場合に、前記センサー端末と通信可能に構成される外部装置に当該機密情報が存在するか否かを検証し、
    前記機密情報が前記外部装置に存在することを検証した場合、前記外部装置から前記センサー端末へ前記機密情報を転送させる制御信号を、前記外部装置および前記センサー端末のいずれか一方に送信する、請求項4に記載の情報処理端末。
  7. 外部装置と通信可能に構成され、
    前記制御部は、
    前記センサー端末から機密情報を受信するにあたって、前記センサー端末から当該機密情報についてのセキュリティレベルを受信するとともに、
    当該機密情報のセキュリティレベルが前記予め定められたレベル未満である場合に、前記センサー端末から受信した機密情報を前記外部装置に転送するように構成される、請求項2に記載の情報処理端末。
  8. 記憶装置をさらに備え、
    前記制御部は、前記センサー端末から受信した機密情報を前記外部装置に転送した場合に、所定の情報を前記記憶装置に格納するように構成され、
    前記所定の情報は、前記外部装置への接続情報、前記外部装置における前記機密情報の記憶領域情報、および前記外部装置へのログインに使用した情報のうち少なくともいずれか1つの情報を含む、請求項7に記載の情報処理端末。
  9. 前記制御部は、前記センサー端末に送信する機密情報のセキュリティレベルに関する情報を前記センサー端末に送信する構成、および前記センサー端末から受信する機密情報のセキュリティレベルに関する情報を前記センサー端末に要求する構成のうち少なくとも一方の構成を含む、請求項2〜8のいずれか1項に記載の情報処理端末。
  10. 情報の入力を受け付けるための操作受付部をさらに備え、
    前記制御部は、前記操作受付部に入力される情報に基づいて前記センサー端末と通信する機密情報のセキュリティレベルを設定する、請求項2〜9のいずれか1項に記載の情報処理端末。
  11. 情報の入力を受け付けるための操作受付部をさらに備え、
    前記制御部は、前記センサー端末と通信する機密情報のセキュリティレベルを、当該機密情報が格納される記憶領域情報、当該機密情報に付加される第1のセキュリティ情報、および当該機密情報を前記センサー端末と通信する際に前記操作受付部に入力される第2のセキュリティ情報のいずれか1つの情報に基づいて判断する、請求項2〜10のいずれか1項に記載の情報処理端末。
  12. 前記制御部は、前記センサー端末に送信する機密情報を前記第2の生体センサーの所定の測定結果を用いて暗号化する構成、および前記センサー端末から受信する機密情報を前記所定の測定結果に基づいて復号化する構成のうち少なくとも一方の構成を含む、請求項1〜11のいずれか1項に記載の情報処理端末。
  13. 前記第2の生体センサーの測定結果を格納するための記憶装置をさらに備え、
    前記所定の測定結果は、前記センサー端末との機密情報の通信を実行する度に測定する前記第2の生体センサーの測定結果、および前記記憶装置に格納される前記第2の生体センサーの測定結果のうちの最新の測定結果のいずれか一方を含む、請求項12に記載の情報処理端末。
  14. 前記制御部は、近距離無線通信を用いて前記所定の測定結果を前記センサー端末に送信する、請求項12または13に記載の情報処理端末。
  15. 第1および第2の情報処理端末を備える情報処理システムであって、
    前記第1の情報処理端末は、
    第1の種類の生体情報を測定する第1の生体センサーと、
    前記第1の生体センサーの測定結果を前記第2の情報処理端末に送信するための送信部とを含み、
    前記第2の情報処理端末は、
    前記第1の情報処理端末から前記第1の生体センサーの測定結果を受信するための受信部と、
    前記第1の種類の生体情報を測定するための第2の生体センサーと、
    前記第1の生体センサーの測定結果が、前記第2の生体センサーの測定結果に対する予め定められた条件を満たす場合に、前記第1の情報処理端末と機密情報を通信する第1のモードを有する制御部とを備え、
    前記制御部は、前記第1の情報処理端末と通信する機密情報のセキュリティレベルが予め定められたレベル以上である場合に、前記第1のモードで前記第1の情報処理端末との当該機密情報の通信を実行する、情報処理システム。
  16. 第1の種類の生体情報を測定するための生体センサーを備える情報処理端末のコンピューターによって実行される、前記第1の種類の生体情報を測定するセンサー端末と機密情報を通信するためのプログラムであって、
    前記プログラムは、前記コンピューターに、
    前記センサー端末から前記第1の種類の生体情報の測定結果を受信するステップと、
    前記第1の種類の生体情報を測定するステップとを実行させ
    前記コンピューターは、前記センサー端末から受信した測定結果が、前記測定するステップにおける生体情報の測定結果に対して予め定められた条件を満たす場合に、前記センサー端末と機密情報を通信する第1のモードを有し、
    前記プログラムは、前記コンピューターに、
    前記センサー端末と通信する機密情報のセキュリティレベルが予め定められたレベル以上である場合に、前記第1のモードで前記センサー端末との当該機密情報の通信を行なうステップをさらに実行させる、プログラム。
  17. 第1の種類の生体情報を測定するための生体センサーを備える情報処理端末が、前記第1の種類の生体情報を測定するセンサー端末と機密情報を通信するための制御方法であって、
    前記センサー端末から前記第1の種類の生体情報の測定結果を受信するステップと、
    前記第1の種類の生体情報を測定するステップとを含み
    前記情報処理端末は、前記センサー端末から受信した測定結果が、前記測定するステップにおける生体情報の測定結果に対して予め定められた条件を満たす場合に、前記センサー端末と機密情報を通信する第1のモードを有し、
    前記制御方法は、前記センサー端末と通信する機密情報のセキュリティレベルが予め定められたレベル以上である場合に、前記第1のモードで前記センサー端末との当該機密情報の通信を行なうステップをさらに含む、制御方法。
JP2016118075A 2016-06-14 2016-06-14 情報処理端末、情報処理システム、プログラム、および制御方法 Active JP6708958B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2016118075A JP6708958B2 (ja) 2016-06-14 2016-06-14 情報処理端末、情報処理システム、プログラム、および制御方法
CN201710429628.7A CN107509193A (zh) 2016-06-14 2017-06-09 信息处理终端、信息处理系统、计算机可读取的记录介质及控制方法
US15/622,233 US20170357825A1 (en) 2016-06-14 2017-06-14 Information processing terminal which communicates confidential information, information processing system, computer readable recording medium having program stored thereon, and control method, as well as information processing terminal which transmits control signal to external device and computer readable recoding medium having program stored thereon

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016118075A JP6708958B2 (ja) 2016-06-14 2016-06-14 情報処理端末、情報処理システム、プログラム、および制御方法

Publications (2)

Publication Number Publication Date
JP2017224101A JP2017224101A (ja) 2017-12-21
JP6708958B2 true JP6708958B2 (ja) 2020-06-10

Family

ID=60572882

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016118075A Active JP6708958B2 (ja) 2016-06-14 2016-06-14 情報処理端末、情報処理システム、プログラム、および制御方法

Country Status (3)

Country Link
US (1) US20170357825A1 (ja)
JP (1) JP6708958B2 (ja)
CN (1) CN107509193A (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6900272B2 (ja) * 2017-08-09 2021-07-07 オムロンヘルスケア株式会社 データ送信装置
WO2019187833A1 (ja) * 2018-03-29 2019-10-03 ソニー株式会社 情報処理システム、情報処理装置、及び情報処理方法
CN110584637A (zh) * 2018-06-12 2019-12-20 李嘉富 一种可算出血压变异数的方法
JP7433827B2 (ja) * 2018-10-18 2024-02-20 日東電工株式会社 データ取得方法および信号計測システム
WO2020170332A1 (ja) 2019-02-19 2020-08-27 賢一 金子 無人飛行装置、管理装置、及び飛行管理方法
CN113632032A (zh) * 2019-03-29 2021-11-09 三菱电机株式会社 物流系统及无人飞行体
CN111781336B (zh) * 2019-04-04 2022-10-21 江苏赛灵医疗科技有限公司 血栓弹力图仪的测试系统及其方法
CN112954704A (zh) * 2020-07-17 2021-06-11 吕妍萍 一种基于无线通信的信息交换回传系统

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7720221B2 (en) * 2005-05-20 2010-05-18 Certicom Corp. Privacy-enhanced e-passport authentication protocol
JP2011110181A (ja) * 2009-11-26 2011-06-09 Panasonic Corp 生体情報の通信装置、生体情報の通信方法、生体情報の通信プログラムおよび集積回路
US20130023234A1 (en) * 2011-07-19 2013-01-24 Tai Cheung Poon Systems and methods for providing mislead information to intruders when intrusion occur
EP2736230A1 (en) * 2012-11-22 2014-05-28 NEC Corporation Direct wireless connection between two terminals
CN103391191A (zh) * 2013-07-30 2013-11-13 东莞宇龙通信科技有限公司 终端和数据处理方法
WO2016037050A1 (en) * 2014-09-04 2016-03-10 Hoyos Labs Ip Ltd. Systems and methods for performing user recognition based on biometric information captured with wearable electronic devices
KR20160066728A (ko) * 2014-12-03 2016-06-13 삼성전자주식회사 생체 정보를 저장하는 nfc 패키지 및 전자 기기
US10152838B2 (en) * 2014-12-04 2018-12-11 Assa Abloy Ab Using sensor data to authenticate a user

Also Published As

Publication number Publication date
JP2017224101A (ja) 2017-12-21
CN107509193A (zh) 2017-12-22
US20170357825A1 (en) 2017-12-14

Similar Documents

Publication Publication Date Title
JP6708958B2 (ja) 情報処理端末、情報処理システム、プログラム、および制御方法
US11934509B2 (en) Methods for maintaining user access to computing devices based on determining user control
US10360364B2 (en) Method for changing mobile communication device functionality based upon receipt of a second code
US11842803B2 (en) Strong authentication via distributed stations
US11909765B2 (en) Personal device network for user identification and authentication
US9763097B2 (en) Method for performing device security corrective actions based on loss of proximity to another device
US9432361B2 (en) System and method for changing security behavior of a device based on proximity to another device
US10045214B2 (en) Authentication and authorization in a wearable ensemble
US20160306955A1 (en) Performing user seamless authentications
KR20180041532A (ko) 전자 장치들 간 연결 방법 및 장치
US11632252B2 (en) Two-factor authentication system
KR102544488B1 (ko) 인증을 수행하기 위한 전자 장치 및 방법
US11463449B2 (en) Authentication for key access
US11044611B2 (en) Authentication for device access
US9185100B1 (en) Device pairing using a cryptographic commitment process involving measured motion values
CN105325021B (zh) 用于远程便携式无线设备认证的方法和装置
US20160088474A1 (en) Performing Pairing And Authentication Using Motion Information
US20180314858A1 (en) Biometric authentication with body communication network
US10575176B2 (en) Information processing terminal, information processing system, program, and control method
US20230041559A1 (en) Apparatus and methods for multifactor authentication

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190314

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200303

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200401

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200422

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200505

R150 Certificate of patent or registration of utility model

Ref document number: 6708958

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150