JP6779416B2 - 電子錠システム、電子錠管理方法、および電子錠管理プログラム - Google Patents

電子錠システム、電子錠管理方法、および電子錠管理プログラム Download PDF

Info

Publication number
JP6779416B2
JP6779416B2 JP2020525158A JP2020525158A JP6779416B2 JP 6779416 B2 JP6779416 B2 JP 6779416B2 JP 2020525158 A JP2020525158 A JP 2020525158A JP 2020525158 A JP2020525158 A JP 2020525158A JP 6779416 B2 JP6779416 B2 JP 6779416B2
Authority
JP
Japan
Prior art keywords
information
unlocking
unit
user
unlocking authority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020525158A
Other languages
English (en)
Other versions
JPWO2019244289A1 (ja
Inventor
大樹 小林
大樹 小林
朋興 浮穴
朋興 浮穴
直也 福岡
直也 福岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Application granted granted Critical
Publication of JP6779416B2 publication Critical patent/JP6779416B2/ja
Publication of JPWO2019244289A1 publication Critical patent/JPWO2019244289A1/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • EFIXED CONSTRUCTIONS
    • E05LOCKS; KEYS; WINDOW OR DOOR FITTINGS; SAFES
    • E05BLOCKS; ACCESSORIES THEREFOR; HANDCUFFS
    • E05B49/00Electric permutation locks; Circuits therefor ; Mechanical aspects of electronic locks; Mechanical keys therefor

Description

本発明は、電子錠システム、電子錠管理方法、および電子錠管理プログラムに関する。
特許文献1には、電気錠を備えた複数の物品収受ボックスにおける電子錠の開閉制御について記載されている。特許文献1では、複数の物品収受ボックスが制御部に接続されており、制御部はネットワーク経由でセンタサーバに接続されている。そして、開錠のための処理はセンタサーバと制御部との間で行われる。
特開2015−048236号公報
特許文献1では、開錠の判定時にセンタサーバと制御部が通信する構成となっている。特許文献1の技術を大規模ビル内の複数の扉のセキュリティ管理に応用すると、扉の鍵開閉装置が個別にセンタサーバと通信することになる。このため、扉を通過するユーザ数が多いビルでは通信量が増大する。また、情報セキュリティの観点から管理すべき外部ネットワークとの接続点が扉の数に比例して増大する。
本発明は、通信量を増大させることなく、安全に電子錠の開錠判定を行う電子錠システムを提供することを目的とする。
本発明に係る電子錠システムは、
電子錠を備えた設備を有する開閉システムと、前記開閉システムと近距離無線により通信する端末装置と、前記開閉システムと前記端末装置との各々と通信ネットワークを介して通信するサーバ装置とを有する電子錠システムにおいて、
前記サーバ装置は、
秘密鍵と前記秘密鍵に対応する公開鍵の証明書とを秘密情報として記憶する秘密情報記憶部と、
前記設備を利用するユーザを識別するユーザ識別子と、前記ユーザによる開錠が許可されている設備を識別する設備識別子とが対応付けられたユーザ権限情報を取得し、前記ユーザ権限情報と前記秘密鍵とを用いて、前記ユーザの開錠権限の正当性を認証するための認証済情報を生成する生成部と、
前記証明書を検証情報として前記開閉システムに送信するとともに、前記認証済情報を前記端末装置に送信するサーバ通信部と
を備え、
前記開閉システムは、
前記端末装置から近距離無線により前記認証済情報を受信すると、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証する検証部と、
前記検証部により前記開錠権限の正当性が検証されると、前記電子錠を開錠する開錠部とを備えた。
本発明に係る電子錠システムでは、サーバ装置がユーザ権限情報と秘密鍵とを用いて、ユーザの開錠権限の正当性を認証するための認証済情報を生成する。また、サーバ装置は、秘密鍵に対応する公開鍵の証明書を検証情報として開閉システムに送信する。開閉システムでは、ユーザから近距離無線により認証済情報を取得すると、認証済情報と検証情報とを用いてユーザの開錠権限の正当性を検証する。よって、本発明に係る電子錠システムによれば、サーバ装置との通信量を増大させることなく、安全に電子錠の開錠判定を行うことができる。
実施の形態1に係る電子錠システムの機能構成図。 実施の形態1に係るサーバ装置のハードウェア構成図。 実施の形態1に係る端末装置のハードウェア構成図。 実施の形態1に係る管理装置のハードウェア構成図。 実施の形態1に係る鍵開閉装置のハードウェア構成図。 実施の形態1に係る秘密情報記憶処理の動作フロー図。 実施の形態1に係る秘密情報の例を示す図。 実施の形態1に係る検証情報配送処理の動作フロー図。 実施の形態1に係るユーザ権限情報の例を示す図。 実施の形態1に係る認証情報生成処理の動作フロー図。 実施の形態1に係る開錠権限データおよび認証済情報の例を示す図。 実施の形態1に係る認証済情報配送処理の動作フロー図。 実施の形態1に係る開錠処理の動作フロー図。 実施の形態2に係る電子錠システムの構成例。 実施の形態2に係る検証情報配送処理の動作フロー図。 実施の形態2に係る開錠処理の動作フロー図。 実施の形態3に係る電子錠システムの機能構成図。 実施の形態3に係る認証済情報配送処理の動作フロー図。 実施の形態3に係る開錠処理の動作フロー図。 実施の形態4に係る電子錠システムの機能構成図。 実施の形態4に係る開錠処理の動作フロー図。 実施の形態4に係る開錠ログの例を示す図。 実施の形態5に係る電子錠システムの機能構成図。 実施の形態5に係る認証情報生成処理の動作フロー図。 実施の形態5に係る開錠権限記憶部の構成例。 実施の形態5に係る失効情報の例を示す図。 実施の形態5に係る失効情報記憶部の構成例。 実施の形態5に係る秘密情報記憶処理の動作フロー図。 実施の形態5に係る失効情報記憶処理の動作フロー図。 実施の形態5に係る開錠処理の動作フロー図。 実施の形態6に係る電子錠システムの機能構成図。 実施の形態6に係る認証情報生成処理の動作フロー図。 実施の形態6に係る失効情報記憶部の構成を示す図。 実施の形態6に係る失効情報記憶処理の動作フロー図。 実施の形態6に係る失効情報転送処理の動作フロー図。 実施の形態6に係る失効情報記憶処理の動作フロー図。 実施の形態7に係るユーザ権限情報の構成例。 実施の形態7に係るユーザ権限情報の構成例。 実施の形態7に係る開錠権限データの構成例。 実施の形態7に係る開錠権限データの構成例。 実施の形態7に係る認証情報生成処理の動作フロー図。 実施の形態7に係る認証済情報配送処理の動作フロー図。 実施の形態8に係る電子錠システムの機能構成図。 実施の形態8に係る管理端末記憶部の構成を示す図。 実施の形態8に係る管理装置記憶部の構成を示す図。 実施の形態8に係る秘密情報記憶処理の動作フロー図。 実施の形態8に係る検証情報一時記憶処理の動作フロー図。 実施の形態8に係る検証情報転送処理の動作フロー図。
以下、本発明の実施の形態について、図を用いて説明する。なお、各図中、同一または相当する部分には、同一符号を付している。実施の形態の説明において、同一または相当する部分については、説明を適宜省略または簡略化する。
実施の形態1.
***構成の説明***
図1から図5を用いて、本実施の形態に係る電子錠システム500の構成について説明する。図1は、本実施の形態に係る電子錠システム500の機能構成図である。図2は、本実施の形態に係るサーバ装置100のハードウェア構成図である。図3は、本実施の形態に係る端末装置200のハードウェア構成図である。図4は、本実施の形態に係る管理装置300のハードウェア構成図である。図5は、本実施の形態に係る鍵開閉装置400のハードウェア構成図である。
電子錠システム500は、サーバ装置100、端末装置200、および開閉システム600を備える。開閉システム600は、管理装置300および鍵開閉装置400を備える。すなわち、電子錠システム500は、サーバ装置100、端末装置200、管理装置300、および鍵開閉装置400を備える。
開閉システム600は、電子錠402を備えた設備401を有する。設備401は、具体的には、扉である。すなわち、電子錠システム500は、ビルといった建物内の扉に備えられた電子錠の開閉制御を行う。端末装置200は、開閉システム600と近距離無線により通信する。サーバ装置100は、開閉システム600と端末装置200との各々と通信ネットワーク610を介して通信する。
サーバ装置100と端末装置200と管理装置300は、通信ネットワーク610を介して通信する。通信ネットワーク610は、インターネットといった公衆網であり、外部ネットワークともいう。管理装置300と鍵開閉装置400は、ビル内に設けられた設備ネットワーク620を介して通信する。設備ネットワーク620は、ビル内に設けられたLAN(Local Area Network)あるいはWi−fi(登録商標)といった内部ネットワークである。端末装置200と鍵開閉装置400は、近距離無線ネットワーク630により通信する。近距離無線ネットワーク630は、例えば、Bluetooth(登録商標)である。
サーバ装置100は、サーバ型のコンピュータである。端末装置200は、建物を利用するユーザにより携帯される携帯端末である。端末装置200は、例えば、スマートフォン、タブレット、あるいはその他の携帯端末である。管理装置300は、サーバ型のコンピュータである。管理装置300は、サーバ装置100と通信ネットワーク610を介して通信する。また、管理装置300は、ビルといった建物内の鍵開閉装置400を管理する。
鍵開閉装置400は、管理装置300と通信するとともに、電子錠402の開閉を制御する。鍵開閉装置400は、建物内の扉といった設備401に設置され、扉の電子錠402の開閉制御を行う。
サーバ装置100、端末装置200、管理装置300、および鍵開閉装置400の各装置は、コンピュータである。以下、サーバ装置100、端末装置200、管理装置300、および鍵開閉装置400の各装置を電子錠システム500の各装置という場合がある。
サーバ装置100は、プロセッサ910を備えるとともに、メモリ921、ストレージ922、および通信インタフェース950といった他のハードウェアを備える。
端末装置200は、プロセッサ910を備えるとともに、メモリ921、ストレージ922、入力インタフェース930、出力インタフェース940、通信インタフェース950、および近距離無線インタフェース951といった他のハードウェアを備える。
管理装置300は、プロセッサ910を備えるとともに、メモリ921、ストレージ922、および通信インタフェース950といった他のハードウェアを備える。
鍵開閉装置400は、プロセッサ910を備えるとともに、メモリ921、ストレージ922、通信インタフェース950、近距離無線インタフェース951、および扉開閉信号インタフェース952といった他のハードウェアを備える。
なお、説明を簡単にするために、電子錠システム500の各装置に共通のハードウェアには同一の符号を付しているが、実際には各装置が個別にハードウェアを備えている。
電子錠システム500の各装置において、プロセッサ910は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
サーバ装置100は、機能要素として、サーバ通信部110、開錠権限生成部120、認証情報生成部130、秘密情報記憶部140、および入力部150を備える。
端末装置200は、機能要素として、端末通信部210、認証済情報記憶部220、および近距離通信部230を備える。
管理装置300は、機能要素として、管理通信部310を備える。
鍵開閉装置400は、機能要素として、装置通信部410、検証情報記憶部420、近距離通信部430、検証部440、および開錠部450を備える。
サーバ装置100において、開錠権限生成部120および認証情報生成部130の機能は、ソフトウェアにより実現される。サーバ通信部110は、通信インタフェース950に備えられる。秘密情報記憶部140は、メモリ921あるいはストレージ922に備えられる。入力部150は、入力インタフェース930に備えられる。サーバ装置100の機能を実現するプログラムをサーバプログラムという。
端末装置200において、端末通信部210は、通信インタフェース950に備えられる。認証済情報記憶部220は、メモリ921あるいはストレージ922に備えられる。近距近距離通信部230は、近距離無線インタフェース951に備えられる。端末装置200の機能を実現するプログラムを端末プログラムという。
管理装置300において、管理通信部310は、通信インタフェース950に備えられる。管理装置300の機能を実現するプログラムを管理プログラムという。
鍵開閉装置400において、装置通信部410は、通信インタフェース950に備えられる。検証部440および開錠部450の機能は、ソフトウェアにより実現される。装置通信部410は、通信インタフェース950に備えられる。検証情報記憶部420は、メモリ921あるいはストレージ922に備えられる。近距離通信部430は、近距離無線インタフェース951に備えられる。鍵開閉装置400の機能を実現するプログラムを鍵開閉プログラムという。
以下において、サーバプログラム、端末プログラム、管理プログラム、および鍵開閉プログラムを、電子錠管理プログラムあるいは各装置のプログラムという場合がある。また、電子錠システム500の各装置において、ソフトウェアで実現される機能要素を、電子錠システム500の各装置の各部という場合がある。
プロセッサ910は、各装置のプログラムを実行する装置である。
プロセッサ910は、演算処理を行うIC(Integrated Circuit)である。プロセッサ910の具体例は、CPU()、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。
メモリ921は、データを一時的に記憶する記憶装置である。メモリ921の具体例は、SRAM(Static Random Access Memory)、あるいはDRAM(Dynamic Random Access Memory)である。
ストレージ922は、データを保管する記憶装置である。ストレージ922の具体例は、HDDである。また、ストレージ922は、SD(登録商標)メモリカード、CF、NANDフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVDといった可搬記憶媒体であってもよい。なお、HDDは、Hard Disk Driveの略語である。SD(登録商標)は、Secure Digitalの略語である。CFは、CompactFlash(登録商標)の略語である。DVDは、Digital Versatile Diskの略語である。
入力インタフェース930は、マウス、キーボード、あるいはタッチパネルといった入力装置と接続されるポートである。入力インタフェース930は、具体的には、USB(Universal Serial Bus)端子である。なお、入力インタフェース930は、LANと接続されるポートであってもよい。
出力インタフェース940は、ディスプレイといった出力機器のケーブルが接続されるポートである。出力インタフェース940は、具体的には、USB端子またはHDMI(登録商標)(High Definition Multimedia Interface)端子である。ディスプレイは、具体的には、LCD(Liquid Crystal Display)である。
通信インタフェース950は、レシーバとトランスミッタに接続される。通信インタフェース950は、無線で、LAN、インターネット、あるいは電話回線といった通信網に接続している。通信インタフェース950は、具体的には、通信チップまたはNIC(Network Interface Card)である
各装置のプログラムは、プロセッサ910に読み込まれ、プロセッサ910によって実行される。メモリ921には、各装置のプログラムだけでなく、OS(Operating System)も記憶されている。プロセッサ910は、OSを実行しながら、各装置のプログラムを実行する。各装置のプログラムおよびOSは、ストレージ922に記憶されていてもよい。ストレージ922に記憶されている各装置のプログラムおよびOSは、メモリ921にロードされ、プロセッサ910によって実行される。なお、各装置のプログラムの一部または全部がOSに組み込まれていてもよい。
各装置は、プロセッサ910を代替する複数のプロセッサを備えていてもよい。これら複数のプロセッサは、各装置のプログラムの実行を分担する。それぞれのプロセッサは、プロセッサ910と同じように、各装置のプログラムを実行する装置である。
各装置のプログラムにより利用、処理または出力されるデータ、情報、信号値および変数値は、メモリ921、ストレージ922、または、プロセッサ910内のレジスタあるいはキャッシュメモリに記憶される。
各装置の各部の「部」を「処理」、「手順」あるいは「工程」に読み替えてもよい。また各装置の各部の「部」を「処理」に読み替えた各処理の「処理」を「プログラム」、「プログラムプロダクト」または「プログラムを記録したコンピュータ読取可能な記憶媒体」に読み替えてもよい。
各装置のプログラムは、上記の各装置の各部の「部」を「処理」、「手順」あるいは「工程」に読み替えた各処理、各手順あるいは各工程を、コンピュータに実行させる。また、電子錠管理方法は、電子錠システム500が電子錠管理プログラムを実行することにより行われる方法である。
電子錠管理プログラムは、コンピュータ読取可能な記録媒体に格納されて提供されてもよい。また、電子錠管理プログラムは、プログラムプロダクトとして提供されてもよい。
***動作の説明***
次に、図6から図13を用いて、本実施の形態に係る電子錠システム500の動作について説明する。
<秘密情報記憶処理S100>
図6を用いて、本実施の形態に係る秘密情報記憶処理S100の動作について説明する。秘密情報記憶処理S100は、サーバ装置100により実行される。秘密情報記憶処理S100では、秘密情報記憶部140は、秘密鍵と秘密鍵に対応する公開鍵の証明書とを秘密情報31としてメモリ921に記憶する。
ステップS101において、サーバ装置100の入力部150は、秘密鍵と、秘密鍵に対応する公開鍵のデジタル証明書を取得する。具体的には、入力部150は、PKI(Public Key Infrastructure)を用いたデジタル署名の秘密鍵と公開鍵、すなわちデジタル証明書の組を取得する。
ステップS102において、サーバ装置100の秘密情報記憶部140は、秘密鍵と証明書の組を秘密情報31として記憶する。デジタル署名は、例えば、RSA(登録商標)署名、DSA、あるいはECDSAを用いた署名である。
<検証情報配送処理S110>
図7を用いて、本実施の形態に係る秘密情報31の例について説明する。秘密情報31は、ビルID(IDentifier)311と、秘密鍵312と、証明書313から構成される。ビルID311は、管理装置300が管理するビルを識別する識別子である。すなわち、秘密鍵312と証明書313の組は、ビルごとに取得される。
図8を用いて、本実施の形態に係る検証情報配送処理S110の動作について説明する。
ステップS111において、サーバ装置100のサーバ通信部110は、証明書313を検証情報41として開閉システム600に送信する。サーバ通信部110は、証明書313を検証情報41として開閉システム600の管理装置300に送信する。
ステップS112において、管理装置300の管理通信部310は、サーバ装置100から通信ネットワーク610を介して検証情報41を受信する。管理通信部310は、検証情報41を鍵開閉装置400に設備ネットワーク620を介して送信する。すなわち、管理装置300は、管理対象の全ての鍵開閉装置400に検証情報41を配布する。
ステップS113において、鍵開閉装置400の検証情報記憶部420は、管理通信部310から受信した検証情報41をメモリ921に記憶する。
なお、検証情報配送処理S110は、サーバ装置100に新しい秘密鍵と証明書の組が入力されたときに実施される。
<生成処理S20>
次に、本実施の形態に係る生成処理S20について説明する。生成処理S20は、後述する認証情報生成処理S120と認証済情報配送処理S130を有する。
生成処理S20において、生成部160は、ユーザ権限情報32を取得し、ユーザ権限情報32と秘密鍵312とを用いて、ユーザの開錠権限の正当性を認証するための認証済情報を生成する。ユーザ権限情報32は、設備401を利用するユーザを識別するユーザ識別子と、ユーザによる開錠が許可されている設備401を識別する設備識別子とが対応付けられた情報である。
図9は、本実施の形態に係るユーザ権限情報32の例を示す図である。
ユーザ権限情報32は、ビルID321と、ユーザID322と、扉ID323を備え。ビルID321は、管理装置300が管理するビルを識別する識別子である。ユーザID322は、ユーザを識別するユーザ識別子である。扉ID323は、設備401である扉を識別する設備識別子である。
図10を用いて、本実施の形態に係る認証情報生成処理S120の動作について説明する。
ステップS121において、入力部150は、ユーザ権限情報32を取得する。ユーザ権限情報32は、ビルを識別するビルIDと、ユーザを識別するユーザIDと、そのユーザが通過可能な扉を識別する扉IDの組み合わせである。入力部150は、例えば、csv(comma−separated values)形式のファイルあるいはその他の形式でユーザ権限情報32の入力を受け付ける。
ステップS122において、サーバ装置100の開錠権限生成部120は、ユーザIDと扉IDとを用いて開錠権限を表す開錠権限データ33を生成する。具体的には、開錠権限生成部120は、ユーザIDと、そのユーザが通過可能な扉IDを連結した文字列を開錠権限データ33として生成する。なお、開錠権限生成部120は、開錠権限データ33の生成後、入力部150により受け付けたデータを記憶していなくてもよい。
図11は、本実施の形態に係る開錠権限データ33および認証済情報35の例を示す図である。
図11に示すように、開錠権限データ33は、ユーザIDと扉IDが明確に識別可能な文字列あるいはバイナリ列として表現されたデータ列である。図11は、XML形式の例を示している。その他、csv形式、json形式、あるいは適当な区切り文字で区切った文字列といった形式でもよい。
ステップS123において、サーバ装置100の認証情報生成部130は、開錠権限データ33と秘密鍵312とを用いて、開錠権限データ33を認証する署名を認証情報34として生成する。そして、認証情報生成部130は、認証情報34が付加された開錠権限データ33を認証済情報35として出力する。このように、認証情報生成部130は、開錠権限データ33に対して秘密鍵312を用いてデジタル署名を生成し、生成された署名を認証情報34とする。
図11に示すように、認証情報生成部130は、開錠権限データ33と秘密鍵312とを用いて、開錠権限データ33を認証するデジタル署名を生成し、認証情報34とする。そして、認証情報生成部130は、開錠権限データ33と認証情報34との組を認証済情報35として、サーバ通信部110に出力する。
図12を用いて、本実施の形態に係る認証済情報配送処理S130の動作について説明する。
ステップS131において、サーバ装置100のサーバ通信部110は、認証済情報35を端末装置200に送信する。
ステップS132において、端末装置200の端末通信部210は、認証済情報35を受信する。
ステップS133において、端末装置200の認証済情報記憶部220は、端末通信部210により受信された認証済情報35をメモリ921に記憶する。
以上のように、サーバ装置100は、開錠権限データ33と認証情報34を端末装置200に送信し、記憶させる。通信の開始はサーバ装置100によるプッシュ通信でも端末装置200によるプル通信でもよい。なお、認証済情報配送処理S130は、サーバ装置100に新しい秘密鍵と証明書の組が入力されたときに実施される。
図13を用いて、本実施の形態に係る開錠処理S140の動作について説明する。
ステップS141において、鍵開閉装置400の近距離通信部430は、端末装置200から近距離無線により認証済情報35を受信する。具体的には、設備401である扉を利用したいユーザの端末装置200が、扉近傍に設置された鍵開閉装置400にかざされる。そして、近距離通信部430は、端末装置200の近距離通信部230から、近距離無線ネットワーク630を介して認証済情報35を受信する。
ステップS142において、鍵開閉装置400の検証部440は、端末装置200から近距離無線により認証済情報35を受信すると、認証済情報35と検証情報記憶部420に記憶された検証情報41とを用いて、開錠権限の正当性を検証する。
ステップS143において、検証部440は、認証済情報35に含まれる開錠権限データ33が正当であるかを検証する。検証部440は、検証用の公開鍵を含むデジタル証明書である検証情報41を用いて、認証済情報35に含まれるデジタル署名である認証情報34を検証し、開錠権限データ33が正当であるかを検証する。具体的には、検証部440は、開錠権限データ33とデジタル署名の組と、検証用の公開鍵を含むデジタル証明書とから、デジタル署名の署名検証アルゴリズムを用いて開錠権限データ33が改ざんされていないことを確認する。開錠権限データ33が正当である場合、ステップS144に進む。開錠権限データ33が正当でない場合、処理を終了する。
ステップS144において、検証部440は、開錠権限データ33に含まれる設備識別子である扉IDが正当であるかを検証する。具体的には、検証部440は、開錠権限データ33に鍵開閉装置400に対応する設備401の設備識別子が扉IDとして含まれているかを検証する。扉IDが正当である場合、ステップS145に進む。扉IDが正当でない場合、処理を終了する。
ステップS145において、鍵開閉装置400の開錠部450は、検証部440により開錠権限の正当性が検証されると、電子錠402を開錠する。開錠部450は、開錠権限データ33の正当性が確認され、かつ、開錠権限データ33に含まれる扉IDの正当性が確認された場合に、開錠権限が正当であると判定する。開錠部450は、開錠権限データ33の正当性、および、開錠権限データ33に含まれる扉IDの正当性のうち、いずれかあるいはいずれも確認できない場合は、開錠権限が正当でないと判定し、電子錠402を開錠せずに処理を終了する。
***他の構成***
本実施の形態では、電子錠システム500の各装置の各部の機能がソフトウェアで実現される。変形例として、電子錠システム500の各装置の各部の機能がハードウェアで実現されてもよい。この場合、電子錠システム500の各装置は、プロセッサ910に替えて電子回路を備える。
電子回路は、電子錠システム500の各装置の各部の機能を実現する専用の電子回路である。
電子回路は、具体的には、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA、ASIC、または、FPGAである。GAは、Gate Arrayの略語である。ASICは、Application Specific Integrated Circuitの略語である。FPGAは、Field−Programmable Gate Arrayの略語である。
電子錠システム500の各装置の各部の機能は、1つの電子回路で実現されてもよいし、複数の電子回路に分散して実現されてもよい。
別の変形例として、電子錠システム500の各装置の各部の一部の機能が電子回路で実現され、残りの機能がソフトウェアで実現されてもよい。
プロセッサと電子回路の各々は、プロセッシングサーキットリとも呼ばれる。つまり、電子錠システム500の各装置において、電子錠システム500の各装置の各部の機能は、プロセッシングサーキットリにより実現される。
***本実施の形態の効果の説明***
本実施の形態に係る電子錠システム500では、開錠権限の正当性、すなわち、開錠権限データが改ざんされておらず、かつ内容が正しいことをデジタル署名によって保護する。また、鍵開閉装置が、署名の検証に必要な公開鍵証明書を保持する。よって、本実施の形態に係る電子錠システム500によれば、鍵開閉装置は、サーバ装置との通信なしに開錠を判定することができる。
本実施の形態に係る電子錠システム500では、開錠権限の正当性を検証する際に鍵開閉装置が管理装置と通信せずに開錠権限の正当性を検証可能とすることで、開錠の判定に必要な通信量を削減できる。また、サーバ装置と、複数ある鍵開閉装置が個別に通信する必要がなくなるため、外部ネットワークとビル内ネットワークが接する接続口を制限することで、情報セキュリティ上の管理対象増加を抑制することができる。また、さらに、副次的な効果としてサーバ装置はユーザと開錠可能な扉の組み合わせを記憶しておく必要がない。
実施の形態2.
本実施の形態では、主に、実施の形態1と異なる点について説明する。なお、実施の形態1と同様の構成には同一の符号を付し、その説明を省略する場合がある。
***構成の説明***
図14を用いて、本実施の形態に係る電子錠システム500aの構成について説明する。本実施の形態に係る電子錠システム500aにおいて、実施の形態1と異なる点は、鍵開閉装置400aが検証情報記憶部420および検証部440を備えていない点である。また、管理装置300aが、検証情報記憶部420および検証部440と同様の機能を有する検証情報記憶部320および検証部340を備える。
***動作の説明***
図15を用いて、本実施の形態に係る検証情報配送処理S110aの動作について説明する。
ステップS111において、サーバ通信部110は、証明書313を検証情報41として管理装置300aに送信する。ステップS111の処理は、実施の形態1で説明した図8のステップS111と同様である。
ステップS114aにおいて、管理装置300aの検証情報記憶部320は、サーバ装置100から受信した検証情報41をメモリ921に記憶する。
図16を用いて、本実施の形態に係る開錠処理S140aの動作について説明する。
ステップS141において、鍵開閉装置400aの近距離通信部430は、端末装置200から近距離無線により認証済情報35を受信する。ステップS141の処理は、実施の形態1で説明した図13のステップS141と同様である。
ステップS146aにおいて、鍵開閉装置400aの装置通信部410は、近距離通信部430により受信された認証済情報35を、管理装置300aに送信する。装置通信部410は、設備ネットワーク620を介して、認証済情報35を管理装置300aに転送する。
次に、ステップS143aにおいて、管理装置300aの検証部340は、装置通信部410から送信された認証済情報35に含まれる開錠権限データ33が正当であるかを検証する。開錠権限データ33が正当である場合、ステップS144aに進む。開錠権限データ33が正当でない場合、処理を終了する。
ステップS144aにおいて、検証部340は、開錠権限データ33に含まれる設備識別子である扉IDが正当であるかを検証する。扉IDが正当である場合、ステップS147aに進む。扉IDが正当でない場合、処理を終了する。
ステップS143aとステップS144aの検証部340の処理は、実施の形態1で説明した図13のステップS143とステップS144の処理と同様である。ただし、本実施の形態では、検証部340の処理は管理装置300aで行われる。
ステップS147aにおいて、検証部340は、開錠権限データ33の正当性が確認され、かつ、開錠権限データ33に含まれる扉IDの正当性が確認された場合に、開錠権限が正当であると判定する。検証部340は、開錠権限の正当性が検証されると、管理通信部310を介して、電子錠402の開錠を指令する開錠指令を鍵開閉装置400aに送信する。
ステップS145aにおいて、鍵開閉装置400aの開錠部450は、検証部340から開錠指令を受信すると、電子錠402を開錠する。
なお、秘密情報記憶処理、認証情報生成処理、および認証済情報配送処理については、実施の形態1と同様である。
***本実施の形態の効果の説明***
本実施の形態に係る電子錠システム500aでは、開錠権限の正当性の検証に必要な記憶容量および計算能力を管理装置に集約する。よって、本実施の形態に係る電子錠システム500aによれば、鍵開閉装置の構成を簡素化することができる。さらに、ビル内に複数存在する鍵開閉装置の構成を簡素化することで、より本実施の形態に係る電子錠管理処理の実施が容易になる。
実施の形態3.
本実施の形態では、主に、実施の形態2と異なる点について説明する。なお、実施の形態1,2と同様の構成には同一の符号を付し、その説明を省略する場合がある。
***構成の説明***
図17を用いて、本実施の形態に係る電子錠システム500bの構成について説明する。
本実施の形態のサーバ装置100bは、実施の形態1,2のサーバ装置100に加え、サーバ暗号化部161を備える。また、本実施の形態の端末装置200bは、実施の形態2の端末装置200に加え、端末暗号化部240と端末復号部250を備える。また、本実施の形態の鍵開閉装置400bは、実施の形態2の鍵開閉装置400aに加え、装置復号部460を備える。
本実施の形態に係る電子錠システム500aでは、サーバ装置100bは、認証済情報を暗号化するサーバ暗号化部161を備える。また、サーバ通信部110は、暗号化された認証済情報を端末装置200bに送信する。
端末装置200bの端末通信部210は、サーバ通信部110から暗号化された認証済情報を受信する。端末復号部250は、端末通信部210により受信された、暗号化された認証済情報を復号する。認証済情報記憶部220は、暗号化された認証済情報を復号することにより得られた認証済情報を記憶する。端末暗号化部240は、認証済情報記憶部220に記憶された認証済情報を暗号化する。端末装置200bの近距離通信部230は、端末暗号化部240により暗号化された認証済情報を鍵開閉装置400bに送信する。
鍵開閉装置400bの装置復号部460は、端末暗号化部240により暗号化された認証済情報を復号する。
***動作の説明***
図18を用いて、本実施の形態に係る認証済情報配送処理S130bの動作について説明する。
ステップS134bにおいて、サーバ暗号化部161は、開錠権限データ33と認証情報34の組である認証済情報35を暗号化する。具体的には、サーバ暗号化部161は、SSL(Secure Sockets Layer)/TLS(Transport Layer Security)を利用して暗号化する。このように、通信時に認証済情報を暗号化することにより、認証済情報は盗聴から保護される。
ステップS131bにおいて、サーバ通信部110は、暗号化された認証済情報を端末装置200bに送信する。
ステップS132bにおいて、端末通信部210は、暗号化された認証済情報を受信する。
ステップS135bにおいて、端末復号部250は、暗号化された認証済情報を復号し、認証済情報35を得る。
ステップS133bにおいて、認証済情報記憶部220は、復号により得られた認証済情報35をメモリ921に記憶する。
図19を用いて、本実施の形態に係る開錠処理S140bの動作について説明する。
ステップS148bにおいて、端末装置200bの端末暗号化部240は、認証済情報記憶部220に記憶された認証済情報35を暗号化する。具体的には、端末暗号化部240は、Bluetooth(登録商標)のペアリング時の暗号化を利用して暗号化してもよい。あるいは、端末暗号化部240は、その他の暗号化方式によって独自に暗号化してもよい。このように、通信時に認証済情報を暗号化することにより、認証済情報は盗聴から保護される。
ステップS141bにおいて、近距離通信部430は、端末装置200bから近距離無線により、端末暗号化部240により暗号化された認証済情報を受信する。
ステップS149bにおいて、鍵開閉装置400bの装置復号部460は、端末装置200bから受信した、端末暗号化部240により暗号化された認証済情報を復号し、認証済情報35を得る。
ステップS146abにおいて、装置通信部410は、復号により得られた認証済情報35を、管理装置300aに送信する。
ステップS143a以降の処理は、実施の形態2で説明した図16のステップS143a以降の処理と同様である。
なお、秘密情報記憶処理、検証情報配送処理、および認証情報生成処理については、実施の形態2と同様である。
***本実施の形態の効果の説明***
本実施の形態に係る電子錠システム500bでは、通信路上で開錠権限データと認証情報を暗号化することで外部から秘匿する。本実施の形態に係る電子錠システム500bによれば、開錠権限を持たない部外者が正当なユーザの開錠権限と認証情報を詐取し、それらを再送することで不正に開錠すること、すなわちリプレイ攻撃を防ぎ、セキュリティを向上させる。
実施の形態4.
本実施の形態では、主に、実施の形態2と異なる点について説明する。なお、実施の形態1から3と同様の構成には同一の符号を付し、その説明を省略する場合がある。
***構成の説明***
図20を用いて、本実施の形態に係る電子錠システム500cの構成について説明する。本実施の形態の管理装置300cは、実施の形態2の管理装置300aに加え、ログ収集部350を備える。
***動作の説明***
図21を用いて、本実施の形態に係る開錠処理S140cの動作について説明する。
本実施の形態に係る開錠処理S140cにおいて、実施の形態2に係る開錠処理S140aと異なる点は、処理が終了する前にログ収集部350により開錠ログ351が収集される点である。
開錠処理S140cでは、扉を開錠する処理(ステップS145a)の後に、ログ収集部350が開錠ログを記録する。また、ステップS143aあるいはステップS144aにおいて、開錠権限データ33が正当でない、あるいは、扉IDが正当でない場合に、ログ収集部350が開錠ログを記録する。その他のステップS141からステップS145aまでの処理は、実施の形態2の図16と同様である。
ステップS451において、ログ収集部350は、開錠部450により電子錠402が開錠されると、電子錠402が開錠された時刻と、ユーザ識別子であるユーザIDと、設備識別子である扉IDと、開錠の結果とを含むログを、開錠ログ351として収集する。ログ収集部350は、電子錠402が開錠されたことを報告する開錠報告を鍵開閉装置400aから受け取る。ログ収集部350は、例えば、この開錠報告を受信した時刻を電子錠402が開錠された時刻として開錠ログ351に設定する。
また、ログ収集部350は、検証部340による開錠権限の正当性の検証が失敗すると、開錠権限の正当性の検証が失敗した時刻と、ユーザIDと、扉IDと、検証の結果とを含むログを、開錠ログ351として収集する。
図22は、本実施の形態に係る開錠ログ351の例を示す図である。
図22の開錠ログ351では、ユーザIDと、扉IDと、開錠権限データと、認証情報と、結果と、時刻が設定されている。
このように、使われた開錠権限データと認証情報を含めることによって、不正な開錠権限が使われたことを記録することができる。なお、正常な通過のみを確認したい場合は、ユーザID、扉ID、結果、時刻のみを記録すればよい。開錠権限データと認証情報は、省略してもよい。
なお、秘密情報記憶処理、検証情報配送処理、認証情報生成処理、および認証済情報配送処理については、実施の形態2と同様である。
***他の構成***
<変形例1>
鍵開閉装置が、現在時刻を取得する時刻取得部を備えていてもよい。装置通信部は、開錠部により電子錠が開錠された時刻を時刻取得部により取得し、電子錠が開錠されたことを報告する開錠報告に、この時刻を含めて管理装置に送信する。鍵開閉装置が時刻取得部を備えることにより、電子錠が開錠された時刻をより正確に開錠ログに設定することができる。
<変形例2>
鍵開閉装置は、開錠指示を管理装置から受信した際の時刻を時刻取得部により取得し、開錠報告に含めて管理装置に送信してもよい。また、開錠した場合だけ記録する場合は、ステップS143aおよびステップS144aにおいてNOの場合は、ログの記録をせずに処理を終了してもよい。また、その場合は、開錠ログに残るのは全て開錠に成功した場合のみのため、開錠の結果の保存を省いてもよい。
***本実施の形態の効果の説明***
本実施の形態に係る電子錠システム500cでは、開錠を試みたユーザと開錠時刻を改ざん困難なログとして記録する。よって、本実施の形態に係る電子錠システム500cによれば、開錠したユーザが事後に開錠した事実を否認することを阻止することができる。また、本実施の形態に係る電子錠システム500cによれば、本来ユーザがビル内に存在しない時刻に、ユーザの開錠権限が使われたことを確認することによって、ユーザの開錠権限が不正利用されたことを検知できる。また、偽造された開錠権限によって開錠が試みられたことを検知できる。
実施の形態5.
本実施の形態では、主に、実施の形態2と異なる点について説明する。なお、実施の形態1から4と同様の構成には同一の符号を付し、その説明を省略する場合がある。
***構成の説明***
図23を用いて、本実施の形態に係る電子錠システム500dの構成について説明する。本実施の形態のサーバ装置100dは、実施の形態1,2のサーバ装置100に加え、開錠権限記憶部170と失効情報生成部180を備える。また、本実施の形態の管理装置300dは、実施の形態2の管理装置300aに加え、失効情報記憶部360を備える。
***動作の説明***
図24を用いて、本実施の形態に係る認証情報生成処理S120dの動作について説明する。
ステップS121からステップS123の処理は、実施の形態1で説明した図10のステップS121からステップS123の処理と同様である。
ステップS124dにおいて、開錠権限生成部120は、ユーザ権限情報32を取得すると、取得したユーザ権限情報32から生成された開錠権限データ33のハッシュ値を計算する。
ステップS125dにおいて、開錠権限生成部120は、開錠権限生成部120により計算されたハッシュ値が開錠権限記憶部170に記憶されているか否かを判定する。ハッシュ値が記憶されている場合、ステップS126dに進む。ハッシュ値が記憶されていない場合、ステップS127dに進む。
図25は、本実施の形態に係る開錠権限記憶部170の構成を示す図である。
開錠権限記憶部170は、開錠権限データ33のハッシュ値とユーザ識別子とを記憶する。具体的には、ビルIDと、ユーザ識別子であるユーザIDと、開錠権限データ33のハッシュ値である開錠権限IDとが対応付けられて記憶される。ハッシュ値は高速に計算可能なハッシュ関数に開錠権限データ33を入力して得られる文字列ないしバイナリ列である。高速に計算可能なハッシュ関数の具体例は、CRC(Cyclic Redundancy Check)あるいはmd5(Message Digest Algorithm 5)といった関数である。
ステップS126dにおいて、失効情報生成部180は、開錠権限生成部120により計算されたハッシュ値が開錠権限記憶部170に記憶されている場合に、開錠権限記憶部170に記憶されているハッシュ値から失効情報181を生成する。そして、失効情報生成部180は、サーバ通信部110を介して、失効情報181を管理装置300dに送信する。
ステップS127dにおいて、開錠権限記憶部170は、開錠権限生成部120により生成された開錠権限データ33のハッシュ値をメモリ921に記憶する。具体的には、開錠権限記憶部170は、ビルIDと、ユーザ識別子であるユーザIDと、開錠権限データ33のハッシュ値である開錠権限IDとを対応付けて記憶する。
以上のように、サーバ装置100dは、開錠権限データ33および認証情報34を生成する際、開錠権限データ33のハッシュ値を計算しておく。そして、サーバ装置100dは、開錠権限記憶部170にビルID、ユーザID、および開錠権限データ33のハッシュ値を対応付けて記憶する。サーバ装置100dでは、対象ユーザが既に開錠権限を持っている、すなわち開錠権限記憶部170にレコードが存在する場合は、記憶されていた開錠権限を失効情報181として管理装置300dに送信する。
図26は、本実施の形態に係る失効情報181の例を示す図である。
失効情報181は、ユーザIDと開錠権限データ33のハッシュ値を示す文字列ないしバイナリ列からなるデータ列として構成できる。必要な場合、管理装置300dは失効情報181に対してデジタル署名を生成し、失効情報181の正当性が確認できた場合にのみ失効情報181を受理する構成にしてもよい。
図28を用いて、本実施の形態に係る秘密情報記憶処理S100dの動作について説明する。
ステップS101とステップS102の処理は、実施の形態1で説明した図6と同様である。
入力部150が秘密情報31を取得すると(ステップS101)、ステップS103dにおいて、入力部150は、秘密情報31が秘密情報記憶部140に記憶されているか否かを判定する。秘密情報31が記憶されている場合、ステップS104dに進む。秘密情報31が記憶されていない場合、ステップS102に進む。
ステップS104dにおいて、入力部150は、開錠権限記憶部170に記憶されている開錠権限データ33のハッシュ値とユーザ識別子とを初期化する。そして、秘密情報記憶部140が、秘密情報31を記憶する(ステップS102)。
以上のように、対象ビルの秘密鍵および公開鍵が既に秘密情報記憶部に記憶されている状態で、新たにシステムを再構築する、すなわち新たに秘密鍵および公開鍵を登録する場合がある。このとき、サーバ装置100dは、開錠権限記憶部170に記憶されているこれまでの開錠権限データ33のハッシュ値を全て消去することにより初期化する。
図29を用いて、本実施の形態に係る失効情報記憶処理S101dの動作について説明する。
ステップS105dにおいて、管理装置300dは、サーバ装置100dから送信された失効情報181を受信する。
ステップS106dにおいて、失効情報記憶部360は、サーバ装置100dから送信された失効情報181を記憶する。
図27は、本実施の形態に係る失効情報記憶部360の構成を示す図である。
失効情報記憶部360は、ユーザ識別子であるユーザIDと、開錠権限データ33のハッシュ値である失効情報IDとが対応付けられて記憶されている。なお、失効情報IDは、サーバ装置100dの開錠権限記憶部170における開錠権限IDと同じ、すなわち開錠権限データ33のハッシュ値である。
図30は、本実施の形態に係る開錠処理S140dの動作について説明する。
ステップS141とステップS146aの処理は、実施の形態2で説明した図16と同様である。
管理装置300dは、鍵開閉装置400aから認証済情報35を受信する(ステップS146a)。
ステップS452dにおいて、検証部340は、認証済情報35に含まれる開錠権限データ33のハッシュ値を計算する。
そして、ステップS453dにおいて、検証部340は、計算した開錠権限データ33のハッシュ値が前記失効情報記憶部に記憶されているか否かを判定する。計算されたハッシュ値が記憶されている場合、計算されたハッシュ値は失効情報であることを意味するので、開錠権限の正当性を検証する処理を終了する。秘密情報31が記憶されていない場合、ステップS143aに進む。
その後、ステップS143aからステップS145aにおいて、開錠権限の正当性を検証する処理が行われる。なお、ステップS143aからステップS145aの処理は、実施の形態2で説明した図16と同様である。
以上のように、開錠権限の正当性を検証する処理の前に開錠権限のハッシュ値を計算し、ユーザIDとハッシュ値の組が失効権限記憶部に記憶されているか確認する。記憶済みであった場合、無効化された開錠権限と見なして開錠しない。そうでない場合は実施の形態2の構成と同様に開錠権限の正当性を検証する。
なお、検証情報配送処理および認証済情報配送処理については、実施の形態2と同様である。
***本実施の形態の効果の説明***
本実施の形態に係る電子錠システム500dでは、ユーザの開錠権限を更新する際、サーバ装置が特定のユーザの認証情報を無効化する失効情報を管理装置に配送する。ユーザの開錠権限を変更する場合、サーバ装置から新たな開錠権限が端末装置に付与される。ところが一度発行された認証情報は検証情報が変更されない限り有効であるため、過去の開錠権限を用いてその時点では通行が許可されていない扉を開錠するリスクがある。本実施の形態に係る電子錠システム500dでは、開錠権限を更新する際に過去の開錠権限を失効情報により無効化することでセキュリティ低下を抑制する。本実施の形態に係る電子錠システム500dよれば、多くのユーザの開錠権限が変更となる場合、サーバ装置のデジタル署名の秘密鍵および公開鍵を更新することでシステム全体を再セットアップすることもできる。本実施の形態は、逐次的な開錠権限の更新の際に有効である。
実施の形態6.
本実施の形態では、主に、実施の形態5と異なる点について説明する。なお、実施の形態1から5と同様の構成には同一の符号を付し、その説明を省略する場合がある。
***構成の説明***
図31を用いて、本実施の形態に係る電子錠システム500eの構成について説明する。
本実施の形態に係る電子錠システム500eでは、開閉システム600の管理装置300dは、通信ネットワーク610と異なるネットワークであるビル内ネットワーク640を介して、端末装置200eと通信する。すなわち、本実施の形態のサーバ装置100eは、管理装置300dと通信ネットワーク610を介して通信できない。
また、本実施の形態のサーバ装置100eは、実施の形態5の図23のサーバ装置100dに加え、時刻取得部190を備える。また、本実施の形態の端末装置200eは、実施の形態5の図23の端末装置200に加え、失効情報記憶部260を備える。
***動作の説明***
図32を用いて、本実施の形態に係る認証情報生成処理S120eの動作について説明する。
ステップS121からステップS125d、およびステップS127dの処理は、実施の形態5の図24と同様である。
ステップS128eにおいて、時刻取得部190は、現在時刻を時刻として取得する。
ステップS126eにおいて、失効情報生成部180は、開錠権限記憶部170に記憶されているハッシュ値から失効情報181を生成する。失効情報生成部180は、失効情報181と時刻の組を対象ビルの全ての端末装置200eに送信する。
以上のように、サーバ装置100eは、ステップS125dの後、失効情報181を送信する際に時刻取得部190で時刻を取得し、失効情報181と時刻を対応付けて全ての端末装置200eにブロードキャストする。
図33は、本実施の形態に係る失効情報記憶部260の構成を示す図である。
本実施の形態では、端末装置200eは、ユーザIDおよび失効情報IDを、失効情報181が生成された時刻と対応付けて記憶する失効情報記憶部260に記憶する。
図34を用いて、本実施の形態に係る失効情報記憶処理S102eの動作について説明する。
ステップS11eにおいて、端末装置200eは、サーバ装置100eから送信された失効情報181と時刻の組を受信する。
ステップS12eにおいて、失効情報記憶部260は、サーバ装置100eから送信された失効情報181と時刻の組を記憶する。
このように、失効情報181を送信された全ての端末装置200eは自身の失効情報記憶部260に失効情報181を一時保管する。
図35を用いて、本実施の形態に係る失効情報転送処理S103eの動作について説明する。
ステップS13eにおいて、端末装置200eと管理装置300d間の通信路が確立されたとき、管理装置300dは、失効情報記憶部360に保持する失効情報181と対応付けられた時刻のうちの最新時刻を端末装置200eに送信する。
端末装置200eは、管理装置300dから送信された時刻よりも新しい時刻に生成された失効情報181のみを管理装置300dに送信する(ステップS14e,ステップS15e)。その後、ステップS16eにおいて、端末装置200eは、失効情報記憶部260に記憶していた全ての失効情報181を削除する。
なお、ユーザが開錠する際、端末装置200eは鍵開閉装置400aに失効情報181を送信し、鍵開閉装置400aを介して失効情報181を管理装置300dに送信してもよい。
図36を用いて、本実施の形態に係る失効情報記憶処理S101dの動作について説明する。
ステップS17eにおいて、管理装置300dは、端末装置200eから送信された失効情報181と時刻の組を受信する。
ステップS18eにおいて、失効情報記憶部360は、端末装置200eから送信された失効情報181と時刻の組を記憶するとともに、失効情報181の最新時刻を更新する。
このように、管理装置300dは、端末装置200eから受信した失効情報181を失効情報記憶部360で記憶する。その後、受信した失効情報181に対応付けられた時刻のうちで最新のものを、次回に端末装置200eに送信する最新時刻として記憶する。
なお、検証情報配送処理および認証済情報配送処理については、実施の形態2と同様である。
***本実施の形態の効果の説明***
本実施の形態に係る電子錠システム500eでは、失効情報の配送を端末装置が中継する。実施の形態5と同様に、過去の開錠権限を用いた不正を試みる不正なユーザがいる場合でも、その他正規のユーザが失効情報を管理装置に配送するため、不正が可能なタイミングを限定できる。また、本実施の形態に係る電子錠システム500eでは、サーバ装置と管理装置間にネットワークが存在しない場合も、セキュリティの低下を抑制しつつ失効情報を用いたユーザの開錠権限の変更が可能になる。
また、開錠権限の失効と、失効情報の登録との間にタイムラグがある場合がある。本実施の形態に係る電子錠システム500eでは、失効情報を生成した際の時刻を失効情報と対応付けて記憶しているので、タイムラグの間に不正に通過した者がいるかを判定することができる。また、本実施の形態に係る電子錠システム500eは、人事異動で開錠権限が変化した際にも利用できる。
実施の形態7.
本実施の形態では、主に、実施の形態2と異なる点について説明する。なお、実施の形態1から6と同様の構成には同一の符号を付し、その説明を省略する場合がある。
本実施の形態では、複数の開錠権限に対して1つの認証情報を生成する態様について説明する。企業では同じ所属、すなわち同じユーザグループのユーザが同一の開錠権限を付与される場合がある。本実施の形態では、このようなユーザグループに対して開錠権限を付与する。
ユーザ権限情報32は、複数のユーザIDと、複数のユーザIDにより識別される複数のユーザが属するユーザグループを識別するユーザグループ識別子と、設備識別子である扉IDとが対応付けられている。ユーザグループ識別子はユーザグループIDともいう。開錠権限生成部120は、複数のユーザIDとユーザグループIDと扉IDとを用いて、ユーザグループの開錠権限を表す開錠権限データ33を生成する。認証情報生成部130は、開錠権限データ33と秘密鍵とを用いて、開錠権限データを認証する認証情報34を生成し、複数のユーザに対応する端末装置200に送信する。
図37および図38を用いて、本実施の形態に係るユーザ権限情報32について説明する。
本実施の形態に係るユーザ権限情報32は、複数のユーザIDと、複数のユーザIDにより識別される複数のユーザが属するユーザグループを識別するユーザグループIDと、扉IDとが対応付けられている。実施の形態2では、ユーザ権限情報32は、ビルID、ユーザID、および扉IDの組であった。本実施の形態では、ユーザ権限情報32にユーザグループIDを追加する。そして、扉IDにはユーザグループIDが対応付けられる。これにより、同じユーザグループIDに属するユーザは、同じ扉を開錠できる。
図39および図40を用いて、本実施の形態に係る開錠権限データ33について説明する。
図39の開錠権限データ33は、ユーザグループIDとユーザIDと扉IDが明確に識別可能な文字列あるいはバイナリ列として表現されたデータ列である。実施の形態4で説明した開錠ログを収集する場合、図40に示すように、先頭行に自身のユーザIDを追加してもよい。このとき、正当性の検証の際は先頭行を読み飛ばして開錠権限とみなす。
図41を用いて、本実施の形態に係る認証情報生成処理S120gの動作について説明する。
ステップS21gにおいて、入力部150は、図37に示すように、ユーザIDとユーザグループIDの組から成るユーザ権限情報32を取得する。
ステップS22gにおいて、入力部150は、図38に示すように、ユーザグループIDと扉IDの組から成るユーザ権限情報32を取得する。
ステップS122gにおいて、開錠権限生成部120は、複数のユーザIDとユーザグループIDと扉IDとを用いて、ユーザグループの開錠権限を表す開錠権限データ33を生成する。
ステップS123gにおいて、認証情報生成部130は、開錠権限データ33と秘密鍵とを用いて、開錠権限データ33を認証する認証情報34を生成する。
以上のように、サーバ装置100は、ユーザグループ毎に生成された開錠権限データ33に対して1つの認証情報34を生成する。そして、認証情報生成部130は、開錠権限データ33に認証情報34を付加した認証済情報35を出力する。
図42を用いて、本実施の形態に係る認証済情報配送処理S130gの動作について説明する。
ステップS131gにおいて、サーバ通信部110は、認証済情報35を対象のユーザグループに属する全てのユーザの端末装置200に送信する。
ステップS132からステップS133の処理は、実施の形態1の図12と同様である。
このように、本実施の形態では、同じユーザグループに属するユーザは同一の認証済情報35を保持する。
***本実施の形態の効果の説明***
本実施の形態に係る電子錠システムでは、複数の開錠権限に対して一つの認証情報を生成する。企業では同じ所属のユーザが同一の通行権限を付与される場合があるため、そうしたユーザグループに対して開錠権限を付与した方が開錠権限および認証情報の生成回数を削減でき、サーバ装置の計算量を低減できる。
実施の形態8.
本実施の形態では、主に、実施の形態5と異なる点について説明する。なお、実施の形態1から5と同様の構成には同一の符号を付し、その説明を省略する場合がある。
***構成の説明***
図43を用いて、本実施の形態に係る電子錠システム500fの構成について説明する。
本実施の形態に係る電子錠システム500fでは、開閉システム600fは、管理装置300fと通信する端末装置を管理端末200fとして備える。
管理端末200fは、実施の形態2の構成に加え、管理端末記憶部370と検証情報記憶部280を備える。検証情報記憶部280は、サーバ装置100から検証情報41を受信すると、検証情報41を一時的に記憶する。管理装置記憶部270は、管理装置300fを識別する管理装置識別子と、管理端末200fと管理装置300fとの間で生成された秘密データ432とを対応付けて記憶する。
また、管理装置300fは、実施の形態2の構成に加え、近距離通信部380と管理端末記憶部370を備える。管理端末記憶部370は、秘密データ432と管理端末200fを識別する管理端末識別子とを対応付けて記憶する。検証情報記憶部320は、管理端末200fから検証情報41の更新を要求する更新要求を受信すると、更新要求の要求元の管理端末が管理端末記憶部370に記憶されている場合に、検証情報41を更新する。
図44は、本実施の形態に係る管理端末記憶部370の構成を示す図である。
管理端末記憶部370は、管理端末200fを識別するため管理端末ID431と、管理端末200fと共有した秘密データ432を記憶する。秘密データ432の具体例は、管理端末200fと管理装置300fがBluetooth(登録商標)のペアリングによって共有したリンクキーである。秘密データ432がライフタイムに沿って更新された場合は管理端末記憶部370の情報も都度更新される。
図45は、本実施の形態に係る管理装置記憶部270の構成を示す図である。
管理装置記憶部270の構成は、管理端末記憶部370と同一の構成である。異なる点は管理端末ID431でなく管理装置300fを識別する管理装置ID433を記憶する点である。
図46は、本実施の形態に係る秘密情報記憶処理S210の構成を示す図である。
近距離通信部230と近距離通信部380とにより管理端末200fと管理装置300fが通信し、秘密データ432を共有する(ステップS211,ステップS212)。管理装置300fは、検証情報41の更新要求を、秘密データ432を共有した端末装置、すなわち管理端末200fからのみ受け付ける。具体的にはBluetooth(登録商標)のペアリングを実行し、リンクキーを共有する。別の認証方法、具体的には、クライアント認証あるいはパスワード認証で管理端末、あるいは管理端末を持つ管理者を認証し、近距離通信部を省いてもよい。
図47は、本実施の形態に係る検証情報一時記憶処理S220の構成を示す図である。
サーバ装置100は検証情報41を管理装置300fに送る代わりに管理端末200fに送る(ステップS221)。管理者の端末装置、すなわち管理端末200fは、検証情報41を記憶する(ステップS222)。このように、管理端末200fが検証情報41を記憶しておけばよいので、管理端末200fから検証情報41の取得をリクエストするプル型通信が好適である。
図48は、本実施の形態に係る検証情報転送処理S230の構成を示す図である。
管理端末200fが管理装置300fに検証情報41の更新を要求する更新要求を送信すると(ステップS231)、管理装置300fは、管理端末記憶部370に記憶されている管理端末200fかを判定する(ステップS232)。管理装置300fは、通信相手が正当な管理端末200fであることを検証し、正当な場合のみ検証情報41の更新を受け付け、メモリに記憶する(ステップS233,ステップS234)。
管理端末200fの認証のためのみに近距離通信部による通信を用い、検証情報41の送信は別の通信方式、例えばWi−Fi(登録商標)を用いてもよい。
***本実施の形態の効果の説明***
本実施の形態に係る電子錠システム500fでは、サーバ装置と管理装置間のネットワークが存在しない場合、管理装置は管理用の特別な端末装置、すなわち管理端末からのみ検証情報の更新を受理する。よって、本実施の形態に係る電子錠システム500fでは、サーバ装置と管理装置間にネットワークが存在しない場合でも電子錠システムを実施可能にする。同時に検証情報を更新可能な端末装置を制限することで、不正者が偽造された検証情報でシステムを更新し、この偽造された検証情報によって正当と判断される不正な開錠権限によって不正に開錠されないようセキュリティを保つことができる。
以上の実施の形態1から8では、電子錠システムの各装置の各部を独立した機能ブロックとして説明した。しかし、電子錠システムの各装置の構成は、上述した実施の形態のような構成でなくてもよい。電子錠システムの各装置の機能ブロックは、上述した実施の形態で説明した機能を実現することができれば、どのような構成でもよい。また、電子錠システムの各装置は、1つの装置でなく、複数の装置から構成されたシステムでもよい。
また、実施の形態1から8のうち、複数の部分を組み合わせて実施しても構わない。あるいは、これらの実施の形態のうち、1つの部分を実施しても構わない。その他、これら実施の形態を、全体としてあるいは部分的に、どのように組み合わせて実施しても構わない。
すなわち、実施の形態1から8では、各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。
なお、上述した実施の形態は、本質的に好ましい例示であって、本発明の範囲、本発明の適用物の範囲、および本発明の用途の範囲を制限することを意図するものではない。上述した実施の形態は、必要に応じて種々の変更が可能である。
31 秘密情報、32 ユーザ権限情報、33 開錠権限データ、34 認証情報、35 認証済情報、41 検証情報、100,100b,100d,100e サーバ装置、110 サーバ通信部、120 開錠権限生成部、130 認証情報生成部、140 秘密情報記憶部、150 入力部、160 生成部、161 サーバ暗号化部、170 開錠権限記憶部、180 失効情報生成部、181 失効情報、190 時刻取得部、200,200b,200e 端末装置、200f 管理端末、210 端末通信部、220 認証済情報記憶部、230 近距離通信部、240 端末暗号化部、250 端末復号部、270 管理装置記憶部、300,300a,300c,300d,300f 管理装置、310 管理通信部、311,321 ビルID、312 秘密鍵、313 証明書、320,280 検証情報記憶部、340 検証部、322 ユーザID、323 扉ID、350 ログ収集部、351 開錠ログ、260,360 失効情報記憶部、370 管理端末記憶部、400,400a,400b 鍵開閉装置、401 設備、402 電子錠、410 装置通信部、420 検証情報記憶部、380,430 近距離通信部、431 管理端末ID、432 秘密データ、433 管理装置ID、440 検証部、450 開錠部、460 装置復号部、500,500a,500b,500c,500d,500e,500f 電子錠システム、600,600f 開閉システム、610 通信ネットワーク、620 設備ネットワーク、630 近距離無線ネットワーク、640 ビル内ネットワーク、910 プロセッサ、921 メモリ、922 ストレージ、930 入力インタフェース、940 出力インタフェース、950 通信インタフェース、951 近距離無線インタフェース、952 扉開閉信号インタフェース、S100,S100d 秘密情報記憶処理、S101d,S101e 失効情報記憶処理、S102e 端末失効情報記憶処理、S103e 失効情報転送処理、S110,S110a 検証情報配送処理、S120,S120d,S120e,S120g 認証情報生成処理、S130,S130b,S130g 認証済情報配送処理、S140,S140a,S140b,S140c,S140d 開錠処理、S210 秘密データ記憶処理、S220 検証情報一時記憶処理、S230 検証情報転送処理。

Claims (18)

  1. 電子錠を備えた設備を有する開閉システムと、前記開閉システムと近距離無線により通信する端末装置と、前記開閉システムと前記端末装置との各々と通信ネットワークを介して通信するサーバ装置とを有する電子錠システムにおいて、
    前記サーバ装置は、
    秘密鍵と前記秘密鍵に対応する公開鍵の証明書とを秘密情報として記憶する秘密情報記憶部と、
    前記設備を利用するユーザを識別するユーザ識別子と、前記ユーザによる開錠が許可されている設備を識別する設備識別子とが対応付けられたユーザ権限情報を取得し、前記ユーザ権限情報と前記秘密鍵とを用いて、前記ユーザの開錠権限の正当性を認証するための認証済情報を生成する生成部であって、前記ユーザ識別子と前記設備識別子とを用いて前記開錠権限を表す開錠権限データを生成する開錠権限生成部と、前記開錠権限データと前記秘密鍵とを用いて、前記開錠権限データを認証する署名を認証情報として生成し、前記認証情報が付加された前記開錠権限データを前記認証済情報として出力する認証情報生成部とを備えた生成部と、
    前記証明書を検証情報として前記開閉システムに送信するとともに、前記認証済情報を前記端末装置に送信するサーバ通信部と
    を備え、
    前記開閉システムは、
    前記サーバ装置と前記通信ネットワークを介して通信する管理装置と、
    前記管理装置と通信するとともに、前記電子錠の開閉を制御する鍵開閉装置と
    を備え、
    前記管理装置は、
    前記端末装置から近距離無線により前記認証済情報を受信すると、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証する検証部を備え、
    前記鍵開閉装置は、
    前記検証部により前記開錠権限の正当性が検証されると、前記電子錠を開錠する開錠部を備え
    前記サーバ装置は、
    前記開錠権限データを識別する識別情報であって前記開錠権限データを用いて算出される識別情報と、前記ユーザ識別子とを記憶する開錠権限記憶部を備え、
    前記開錠権限生成部は、
    前記ユーザ権限情報を取得すると、取得した前記ユーザ権限情報から生成された前記開錠権限データの識別情報を計算し、計算された識別情報が前記開錠権限記憶部に記憶されていない場合、前記計算された識別情報を前記開錠権限記憶部に記憶し、
    前記サーバ装置は、
    前記計算された識別情報が前記開錠権限記憶部に記憶されている場合に、前記開錠権限記憶部に記憶されている識別情報から失効情報を生成し、前記失効情報を前記管理装置に送信する失効情報生成部を備え、
    前記管理装置は、
    前記サーバ装置から送信された前記失効情報を記憶する失効情報記憶部を備えた電子錠システム。
  2. 前記サーバ装置は、
    前記秘密情報を取得する入力部であって、前記秘密情報が前記秘密情報記憶部に記憶されていると、前記開錠権限記憶部に記憶されている前記開錠権限データの識別情報と前記ユーザ識別子とを初期化する入力部を備えた請求項1に記載の電子錠システム。
  3. 前記検証部は、
    前記認証済情報に含まれる前記開錠権限データの識別情報を計算し、前記開錠権限データの識別情報が前記失効情報記憶部に記憶されている場合に、前記開錠権限の正当性を検証する処理を終了する請求項2に記載の電子錠システム。
  4. 前記ユーザ権限情報は、複数のユーザ識別子と、前記複数のユーザ識別子により識別される複数のユーザが属するユーザグループを識別するユーザグループ識別子と、前記設備識別子とが対応付けられており、
    前記開錠権限生成部は、
    前記複数のユーザ識別子と前記ユーザグループ識別子と前記設備識別子とを用いて前記ユーザグループの開錠権限を表す前記開錠権限データを生成し、
    前記認証情報生成部は、
    前記開錠権限データと前記秘密鍵とを用いて、前記開錠権限データを認証する前記認証情報を生成する請求項1から請求項3のいずれか1項に記載の電子錠システム。
  5. 電子錠を備えた設備を有する開閉システムと、前記開閉システムと近距離無線により通信する端末装置と、前記開閉システムと前記端末装置との各々と通信ネットワークを介して通信するサーバ装置とを有する電子錠システムにおいて、
    前記サーバ装置は、
    秘密鍵と前記秘密鍵に対応する公開鍵の証明書とを秘密情報として記憶する秘密情報記憶部と、
    前記設備を利用するユーザを識別するユーザ識別子と、前記ユーザによる開錠が許可されている設備を識別する設備識別子とが対応付けられたユーザ権限情報を取得し、前記ユーザ権限情報と前記秘密鍵とを用いて、前記ユーザの開錠権限の正当性を認証するための認証済情報を生成する生成部であって、前記ユーザ識別子と前記設備識別子とを用いて前記開錠権限を表す開錠権限データを生成する開錠権限生成部と、前記開錠権限データと前記秘密鍵とを用いて、前記開錠権限データを認証する署名を認証情報として生成し、前記認証情報が付加された前記開錠権限データを前記認証済情報として出力する認証情報生成部とを備えた生成部と、
    前記証明書を検証情報として前記開閉システムに送信するとともに、前記認証済情報を前記端末装置に送信するサーバ通信部と
    を備え、
    前記開閉システムは、
    前記サーバ装置と前記通信ネットワークを介して通信する管理装置と、
    前記管理装置と通信するとともに、前記電子錠の開閉を制御する鍵開閉装置と
    を備え、
    前記管理装置は、
    前記端末装置から近距離無線により前記認証済情報を受信すると、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証する検証部を備え、
    前記鍵開閉装置は、
    前記検証部により前記開錠権限の正当性が検証されると、前記電子錠を開錠する開錠部を備え、
    前記開閉システムは、
    前記管理装置と通信する端末装置を管理端末として備え、
    前記管理端末は、
    前記サーバ装置から前記検証情報を受信し、前記検証情報を記憶する第1の検証情報記憶部と、
    前記管理装置を識別する管理装置識別子と、前記管理端末と前記管理装置との間で生成された秘密データとを対応付けて記憶する管理装置記憶部と
    を備え、
    前記管理装置は、
    前記秘密データと前記管理端末を識別する管理端末識別子とを対応付けて記憶する管理端末記憶部と、
    前記管理端末から前記検証情報の更新を要求する更新要求を受信すると、前記更新要求の要求元の前記管理端末が前記管理端末記憶部に記憶されている場合に、前記検証情報を更新する第2の検証情報記憶部と
    を備えた電子錠システム。
  6. 電子錠を備えた設備を有する開閉システムと、前記開閉システムと近距離無線により通信する端末装置と、前記開閉システムと前記端末装置との各々と通信ネットワークを介して通信するサーバ装置とを有する電子錠システムにおいて、
    前記サーバ装置は、
    秘密鍵と前記秘密鍵に対応する公開鍵の証明書とを秘密情報として記憶する秘密情報記憶部と、
    前記設備を利用するユーザを識別するユーザ識別子と、前記ユーザによる開錠が許可されている設備を識別する設備識別子とが対応付けられたユーザ権限情報を取得し、前記ユーザ権限情報と前記秘密鍵とを用いて、前記ユーザの開錠権限の正当性を認証するための認証済情報を生成する生成部であって、前記ユーザ識別子と前記設備識別子とを用いて前記開錠権限を表す開錠権限データを生成する開錠権限生成部と、前記開錠権限データと前記秘密鍵とを用いて、前記開錠権限データを認証する署名を認証情報として生成し、前記認証情報が付加された前記開錠権限データを前記認証済情報として出力する認証情報生成部とを備えた生成部と、
    前記証明書を検証情報として前記開閉システムに送信するとともに、前記認証済情報を前記端末装置に送信するサーバ通信部と
    を備え、
    前記開閉システムは、
    前記端末装置から近距離無線により前記認証済情報を受信すると、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証する検証部と、
    前記検証部により前記開錠権限の正当性が検証されると、前記電子錠を開錠する開錠部と、
    前記通信ネットワークと異なるネットワークを介して、前記端末装置と通信する管理装置と、
    前記管理装置と通信するとともに、前記電子錠の開閉を制御する鍵開閉装置と
    を備え、
    前記サーバ装置は、前記開錠権限データが失効したことを表す失効情報を前記端末装置に送信し、
    前記端末装置は、
    前記通信ネットワークと異なるネットワークを介して、前記管理装置に前記失効情報を送信し、
    前記鍵開閉装置は、
    前記端末装置から近距離無線により前記認証済情報を受信する近距離通信部と、前記開錠部とを備え、
    前記管理装置は、前記検証部を備え、
    前記検証部は、
    前記近距離通信部により受信された前記認証済情報を取得し、前記認証済情報に含まれる前記開錠権限データが前記失効情報に含まれていない場合に、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証する電子錠システム。
  7. 前記鍵開閉装置は、
    前記端末装置から近距離無線により前記認証済情報を受信する近距離通信部を備え、
    前記検証部は、
    前記近距離通信部により受信された前記認証済情報を取得し、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証する請求項1から請求項6のいずれか1項に記載の電子錠システム。
  8. 前記検証部は、
    前記認証済情報に含まれる前記開錠権限データが正当であるとともに、前記開錠権限データに含まれる前記設備識別子が正当である場合に、前記開錠権限が正当であると検証する請求項1から請求項7のいずれか1項に記載の電子錠システム。
  9. 前記サーバ装置は、
    前記認証済情報を暗号化するサーバ暗号化部を備え、
    前記サーバ通信部は、
    暗号化された認証済情報を前記端末装置に送信し、
    前記端末装置は、
    前記サーバ通信部から前記暗号化された認証済情報を受信する端末通信部と、
    前記端末通信部により受信された前記暗号化された認証済情報を復号する端末復号部と、
    前記暗号化された認証済情報を復号することにより得られた前記認証済情報を記憶する認証済情報記憶部と、
    前記認証済情報記憶部に記憶された前記認証済情報を暗号化する端末暗号化部と
    を備え、
    前記端末装置は、
    前記端末暗号化部により暗号化された認証済情報を前記鍵開閉装置に送信し、
    前記鍵開閉装置は、
    前記端末暗号化部により暗号化された認証済情報を復号する装置復号部を備えた請求項1から請求項8のいずれか1項に記載の電子錠システム。
  10. 前記管理装置は、
    前記開錠部により前記電子錠が開錠されると、前記電子錠が開錠された時刻と前記ユーザ識別子と前記設備識別子と前記開錠の結果とを含むログを開錠ログとして収集するログ収集部を備えた請求項1から請求項9のいずれか1項に記載の電子錠システム。
  11. 前記ログ収集部は、
    前記検証部による前記開錠権限の正当性の検証が失敗すると、前記開錠権限の正当性の検証が失敗した時刻と前記ユーザ識別子と前記設備識別子と前記検証の結果とを含むログを前記開錠ログとして収集する請求項10に記載の電子錠システム。
  12. 前記鍵開閉装置は、
    現在時刻を取得する時刻取得部を備え、
    前記装置通信部は、
    前記開錠部により前記電子錠が開錠された時刻を前記時刻取得部により取得し、前記電子錠が開錠されたことを報告する開錠報告に、前記時刻を含めて前記管理装置に送信する請求項10または請求項11に記載の電子錠システム。
  13. 電子錠を備えた設備を有する開閉システムと、前記開閉システムと近距離無線により通信する端末装置と、前記開閉システムと前記端末装置との各々と通信ネットワークを介して通信するサーバ装置とを有する電子錠システムであって、前記開閉システムは、前記サーバ装置と前記通信ネットワークを介して通信する管理装置と、前記管理装置と通信するとともに、前記電子錠の開閉を制御する鍵開閉装置とを備える電子錠システムの電子錠管理方法において、
    前記サーバ装置は、
    秘密鍵と前記秘密鍵に対応する公開鍵の証明書とを秘密情報として記憶する秘密情報記憶部を備え、
    前記サーバ装置の生成部が、前記設備を利用するユーザを識別するユーザ識別子と、前記ユーザによる開錠が許可されている設備を識別する設備識別子とが対応付けられたユーザ権限情報を取得し、前記ユーザ権限情報と前記秘密鍵とを用いて、前記ユーザの開錠権限の正当性を認証するための認証済情報を生成し、
    前記生成部の開錠権限生成部が、前記ユーザ識別子と前記設備識別子とを用いて前記開錠権限を表す開錠権限データを生成し、
    前記生成部の認証情報生成部が、前記開錠権限データと前記秘密鍵とを用いて、前記開錠権限データを認証する署名を認証情報として生成し、前記認証情報が付加された前記開錠権限データを前記認証済情報として出力し、
    前記サーバ装置のサーバ通信部が、前記証明書を検証情報として前記開閉システムに送信するとともに、前記認証済情報を前記端末装置に送信し、
    前記管理装置の検証部が、前記端末装置から近距離無線により前記認証済情報を受信すると、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証し、
    前記鍵開閉装置の開錠部が、前記開錠権限の正当性が検証されると、前記電子錠を開錠し、
    前記サーバ装置は、
    前記開錠権限データを識別する識別情報であって前記開錠権限データを用いて算出される識別情報と、前記ユーザ識別子とを記憶する開錠権限記憶部を備え、
    前記開錠権限生成部が、前記ユーザ権限情報を取得すると、取得した前記ユーザ権限情報から生成された前記開錠権限データの識別情報を計算し、計算された識別情報が前記開錠権限記憶部に記憶されていない場合、前記計算された識別情報を前記開錠権限記憶部に記憶し、
    前記サーバ装置の失効情報生成部が、前記計算された識別情報が前記開錠権限記憶部に記憶されている場合に、前記開錠権限記憶部に記憶されている識別情報から失効情報を生成し、前記失効情報を前記管理装置に送信し、
    前記管理装置の失効情報記憶部が、前記サーバ装置から送信された前記失効情報を記憶する電子錠管理方法。
  14. 電子錠を備えた設備を有する開閉システムと、前記開閉システムと近距離無線により通信する端末装置と、前記開閉システムと前記端末装置との各々と通信ネットワークを介して通信するサーバ装置とを有する電子錠システムであって、前記開閉システムは、前記サーバ装置と前記通信ネットワークを介して通信する管理装置と、前記管理装置と通信するとともに、前記電子錠の開閉を制御する鍵開閉装置とを備える電子錠システムの電子錠管理方法において、
    前記サーバ装置は、
    秘密鍵と前記秘密鍵に対応する公開鍵の証明書とを秘密情報として記憶する秘密情報記憶部を備え、
    前記サーバ装置の生成部が、前記設備を利用するユーザを識別するユーザ識別子と、前記ユーザによる開錠が許可されている設備を識別する設備識別子とが対応付けられたユーザ権限情報を取得し、前記ユーザ権限情報と前記秘密鍵とを用いて、前記ユーザの開錠権限の正当性を認証するための認証済情報を生成し、
    前記生成部の開錠権限生成部が、前記ユーザ識別子と前記設備識別子とを用いて前記開錠権限を表す開錠権限データを生成し、
    前記生成部の認証情報生成部が、前記開錠権限データと前記秘密鍵とを用いて、前記開錠権限データを認証する署名を認証情報として生成し、前記認証情報が付加された前記開錠権限データを前記認証済情報として出力し、
    前記サーバ装置のサーバ通信部が、前記証明書を検証情報として前記開閉システムに送信するとともに、前記認証済情報を前記端末装置に送信し、
    前記管理装置の検証部が、前記端末装置から近距離無線により前記認証済情報を受信すると、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証し、
    前記鍵開閉装置の開錠部が、前記開錠権限の正当性が検証されると、前記電子錠を開錠し、
    前記開閉システムは、
    前記管理装置と通信する端末装置を管理端末として備え、
    前記管理端末の第1の検証情報記憶部が、前記サーバ装置から前記検証情報を受信し、前記検証情報を記憶し、
    前記管理端末の管理装置記憶部が、前記管理装置を識別する管理装置識別子と、前記管理端末と前記管理装置との間で生成された秘密データとを対応付けて記憶し、
    前記管理装置の管理端末記憶部が、前記秘密データと前記管理端末を識別する管理端末識別子とを対応付けて記憶し、
    前記管理装置の第2の検証情報記憶部が、前記管理端末から前記検証情報の更新を要求する更新要求を受信すると、前記更新要求の要求元の前記管理端末が前記管理端末記憶部に記憶されている場合に、前記検証情報を更新する電子錠管理方法。
  15. 電子錠を備えた設備を有する開閉システムと、前記開閉システムと近距離無線により通信する端末装置と、前記開閉システムと前記端末装置との各々と通信ネットワークを介して通信するサーバ装置とを有する電子錠システムであって、前記開閉システムは、前記通信ネットワークと異なるネットワークを介して、前記端末装置と通信する管理装置と、前記管理装置と通信するとともに、前記電子錠の開閉を制御する鍵開閉装置とを備える電子錠システムの電子錠管理方法において、
    前記サーバ装置は、
    秘密鍵と前記秘密鍵に対応する公開鍵の証明書とを秘密情報として記憶する秘密情報記憶部を備え、
    前記サーバ装置の生成部が、前記設備を利用するユーザを識別するユーザ識別子と、前記ユーザによる開錠が許可されている設備を識別する設備識別子とが対応付けられたユーザ権限情報を取得し、前記ユーザ権限情報と前記秘密鍵とを用いて、前記ユーザの開錠権限の正当性を認証するための認証済情報を生成し、
    前記生成部の開錠権限生成部が、前記ユーザ識別子と前記設備識別子とを用いて前記開錠権限を表す開錠権限データを生成し、
    前記生成部の認証情報生成部が、前記開錠権限データと前記秘密鍵とを用いて、前記開錠権限データを認証する署名を認証情報として生成し、前記認証情報が付加された前記開錠権限データを前記認証済情報として出力し、
    前記サーバ装置のサーバ通信部が、前記証明書を検証情報として前記開閉システムに送信するとともに、前記認証済情報を前記端末装置に送信し、
    前記管理装置の検証部が、前記端末装置から近距離無線により前記認証済情報を受信すると、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証し、
    前記鍵開閉装置の開錠部が、前記開錠権限の正当性が検証されると、前記電子錠を開錠し、
    前記サーバ装置は、前記開錠権限データが失効したことを表す失効情報を前記端末装置に送信し、
    前記端末装置は、前記通信ネットワークと異なるネットワークを介して、前記管理装置に前記失効情報を送信し、
    前記鍵開閉装置の近距離通信部は、前記端末装置から近距離無線により前記認証済情報を受信し、
    前記検証部は、前記認証済情報に含まれる前記開錠権限データが前記失効情報に含まれていない場合に、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証する電子錠管理方法。
  16. 電子錠を備えた設備を有する開閉システムと、前記開閉システムと近距離無線により通信する端末装置と、前記開閉システムと前記端末装置との各々と通信ネットワークを介して通信するサーバ装置とを有する電子錠システムであって、前記開閉システムは、前記サーバ装置と前記通信ネットワークを介して通信する管理装置と、前記管理装置と通信するとともに、前記電子錠の開閉を制御する鍵開閉装置とを備える電子錠システムの電子錠管理プログラムにおいて、
    秘密鍵と前記秘密鍵に対応する公開鍵の証明書とを秘密情報として前記サーバ装置に記憶する秘密情報記憶処理と、
    前記設備を利用するユーザを識別するユーザ識別子と、前記ユーザによる開錠が許可されている設備を識別する設備識別子とが対応付けられたユーザ権限情報を取得し、前記ユーザ権限情報と前記秘密鍵とを用いて、前記ユーザの開錠権限の正当性を認証するための認証済情報を生成する前記サーバ装置における生成処理であって、前記ユーザ識別子と前記設備識別子とを用いて前記開錠権限を表す開錠権限データを生成する開錠権限生成処理と、前記開錠権限データと前記秘密鍵とを用いて、前記開錠権限データを認証する署名を認証情報として生成し、前記認証情報が付加された前記開錠権限データを前記認証済情報として出力する認証情報生成処理とを備えた生成処理と、
    前記証明書を検証情報として前記開閉システムに送信するとともに、前記認証済情報を前記サーバ装置から前記端末装置に送信するサーバ通信処理と、
    前記管理装置における検証処理であって前記端末装置から近距離無線により前記認証済情報を受信すると、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証する検証処理と、
    前記鍵開閉装置における開錠処理であって前記検証処理により前記開錠権限の正当性が検証されると、前記電子錠を開錠する開錠処理と
    をコンピュータに実行させ、
    前記サーバ装置は、
    前記開錠権限データを識別する識別情報であって前記開錠権限データを用いて算出される識別情報と、前記ユーザ識別子とを記憶する開錠権限記憶部を備え、
    前記電子錠管理プログラムは、さらに、
    前記ユーザ権限情報を取得すると、取得した前記ユーザ権限情報から生成された前記開錠権限データの識別情報を計算し、計算された識別情報が前記開錠権限記憶部に記憶されていない場合、前記計算された識別情報を前記開錠権限記憶部に記憶する処理と、
    前記計算された識別情報が前記開錠権限記憶部に記憶されている場合に、前記開錠権限記憶部に記憶されている識別情報から失効情報を生成し、前記失効情報を前記管理装置に送信する失効情報生成処理と、
    前記サーバ装置から前記管理装置に送信された前記失効情報を記憶する失効情報記憶処理とをコンピュータに実行させる電子錠管理プログラム。
  17. 電子錠を備えた設備を有する開閉システムと、前記開閉システムと近距離無線により通信する端末装置と、前記開閉システムと前記端末装置との各々と通信ネットワークを介して通信するサーバ装置とを有する電子錠システムであって、前記開閉システムは、前記サーバ装置と前記通信ネットワークを介して通信する管理装置と、前記管理装置と通信するとともに、前記電子錠の開閉を制御する鍵開閉装置と、前記管理装置と通信する端末装置を管理端末として備える電子錠システムの電子錠管理プログラムにおいて、
    秘密鍵と前記秘密鍵に対応する公開鍵の証明書とを秘密情報として前記サーバ装置に記憶する秘密情報記憶処理と、
    前記設備を利用するユーザを識別するユーザ識別子と、前記ユーザによる開錠が許可されている設備を識別する設備識別子とが対応付けられたユーザ権限情報を取得し、前記ユーザ権限情報と前記秘密鍵とを用いて、前記ユーザの開錠権限の正当性を認証するための認証済情報を生成する前記サーバ装置による生成処理であって、前記ユーザ識別子と前記設備識別子とを用いて前記開錠権限を表す開錠権限データを生成する開錠権限生成処理と、前記開錠権限データと前記秘密鍵とを用いて、前記開錠権限データを認証する署名を認証情報として生成し、前記認証情報が付加された前記開錠権限データを前記認証済情報として出力する認証情報生成処理とを備えた生成処理と、
    前記証明書を検証情報として前記開閉システムに送信するとともに、前記認証済情報を前記サーバ装置から前記端末装置に送信するサーバ通信処理と、
    前記管理装置における検証処理であって前記端末装置から近距離無線により前記認証済情報を受信すると、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証する検証処理と、
    前記鍵開閉装置における開錠処理であって前記検証処理により前記開錠権限の正当性が検証されると、前記電子錠を開錠する開錠処理と
    をコンピュータに実行させ、
    前記電子錠管理プログラムは、さらに、
    前記サーバ装置から前記検証情報を受信し、前記検証情報を前記管理端末に記憶する第1の検証情報記憶処理と、
    前記管理装置を識別する管理装置識別子と、前記管理端末と前記管理装置との間で生成された秘密データとを対応付けて前記管理端末に記憶する管理装置記憶処理と、
    前記秘密データと前記管理端末を識別する管理端末識別子とを対応付けて前記管理装置に記憶する管理端末記憶処理と、
    前記管理端末から前記検証情報の更新を要求する更新要求を受信すると、前記更新要求の要求元の前記管理端末が前記管理装置に記憶されている場合に、前記検証情報を更新する第2の検証情報記憶処理と
    をコンピュータに実行させる電子錠管理プログラム。
  18. 電子錠を備えた設備を有する開閉システムと、前記開閉システムと近距離無線により通信する端末装置と、前記開閉システムと前記端末装置との各々と通信ネットワークを介して通信するサーバ装置とを有する電子錠システムであって、前記開閉システムは、前記通信ネットワークと異なるネットワークを介して、前記端末装置と通信する管理装置と、前記管理装置と通信するとともに、前記電子錠の開閉を制御する鍵開閉装置とを備える電子錠システムの電子錠管理プログラムにおいて、
    秘密鍵と前記秘密鍵に対応する公開鍵の証明書とを秘密情報として前記サーバ装置に記憶する秘密情報記憶処理と、
    前記設備を利用するユーザを識別するユーザ識別子と、前記ユーザによる開錠が許可されている設備を識別する設備識別子とが対応付けられたユーザ権限情報を取得し、前記ユーザ権限情報と前記秘密鍵とを用いて、前記ユーザの開錠権限の正当性を認証するための認証済情報を生成する前記サーバ装置における生成処理であって、前記ユーザ識別子と前記設備識別子とを用いて前記開錠権限を表す開錠権限データを生成する開錠権限生成処理と、前記開錠権限データと前記秘密鍵とを用いて、前記開錠権限データを認証する署名を認証情報として生成し、前記認証情報が付加された前記開錠権限データを前記認証済情報として出力する認証情報生成処理とを備えた生成処理と、
    前記証明書を検証情報として前記開閉システムに送信するとともに、前記認証済情報を前記サーバ装置から前記端末装置に送信するサーバ通信処理と、
    前記管理装置における検証処理であって、前記端末装置から近距離無線により前記認証済情報を受信すると、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証する検証処理と、
    前記鍵開閉装置における開錠処理であって、前記検証処理により前記開錠権限の正当性が検証されると、前記電子錠を開錠する開錠処理と
    をコンピュータに実行させ、
    前記電子錠管理プログラムは、さらに、
    前記開錠権限データが失効したことを表す失効情報を前記サーバ装置から前記端末装置に送信する処理と、
    前記通信ネットワークと異なるネットワークを介して、前記端末装置から前記管理装置に前記失効情報を送信する処理と
    をコンピュータに実行させ、
    前記検証処理は、前記端末装置から近距離無線により受信した前記認証済情報を取得し、前記認証済情報に含まれる前記開錠権限データが前記失効情報に含まれていない場合に、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証する電子錠管理プログラム。
JP2020525158A 2018-06-20 2018-06-20 電子錠システム、電子錠管理方法、および電子錠管理プログラム Active JP6779416B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/023529 WO2019244289A1 (ja) 2018-06-20 2018-06-20 電子錠システム、電子錠管理方法、および電子錠管理プログラム

Publications (2)

Publication Number Publication Date
JP6779416B2 true JP6779416B2 (ja) 2020-11-04
JPWO2019244289A1 JPWO2019244289A1 (ja) 2020-12-17

Family

ID=68982805

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020525158A Active JP6779416B2 (ja) 2018-06-20 2018-06-20 電子錠システム、電子錠管理方法、および電子錠管理プログラム

Country Status (2)

Country Link
JP (1) JP6779416B2 (ja)
WO (1) WO2019244289A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114221772A (zh) * 2021-12-14 2022-03-22 南方电网科学研究院有限责任公司 一种用于电力智能锁具的安全芯片及方法
CN115273284A (zh) * 2022-07-27 2022-11-01 中国电信股份有限公司 权限适配方法及装置、存储介质、电子设备
WO2024042928A1 (ja) * 2022-08-26 2024-02-29 パナソニックIpマネジメント株式会社 情報処理システム、制御装置、及び、情報処理方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4606606B2 (ja) * 2001-01-23 2011-01-05 株式会社高見沢サイバネティックス 入退場管理端末、および入退場管理システム
JP4523449B2 (ja) * 2005-02-23 2010-08-11 日本電信電話株式会社 鍵サービス方法、システムおよびそのプログラム
JP2009116600A (ja) * 2007-11-06 2009-05-28 Mitsubishi Electric Corp 入退室管理システム
JP2016223212A (ja) * 2015-06-02 2016-12-28 ソニー株式会社 錠前デバイス、情報処理方法、プログラム、および通信端末

Also Published As

Publication number Publication date
JPWO2019244289A1 (ja) 2020-12-17
WO2019244289A1 (ja) 2019-12-26

Similar Documents

Publication Publication Date Title
US11128477B2 (en) Electronic certification system
US11849029B2 (en) Method of data transfer, a method of controlling use of data and cryptographic device
US8479001B2 (en) Self-authentication communication device and device authentication system
EP2659373B1 (en) System and method for secure software update
TWI491236B (zh) Information processing device, controller, key issuer, invalidation list validity determination method and key issue method
CN110990827A (zh) 一种身份信息验证方法、服务器及存储介质
TW201735578A (zh) 受控的安全碼認證
JP6779416B2 (ja) 電子錠システム、電子錠管理方法、および電子錠管理プログラム
US20220247576A1 (en) Establishing provenance of applications in an offline environment
TWI390937B (zh) 供當請求第三人屬性憑證時用以消除密碼現露之方法、系統及儲存媒體
JP2017152880A (ja) 認証システム、鍵処理連携方法、および、鍵処理連携プログラム
CN115277168A (zh) 一种访问服务器的方法以及装置、系统
CN111740995B (zh) 一种授权认证方法及相关装置
WO2019163040A1 (ja) アクセス管理システム、及びそのプログラム
JP6533542B2 (ja) 秘密鍵複製システム、端末および秘密鍵複製方法
JP4541740B2 (ja) 認証用鍵の更新システム、および認証用鍵の更新方法
EP4324159A1 (en) Secure root-of-trust enrolment and identity management of embedded devices
KR20200060193A (ko) 상호인증 기반 안전한 패치파일 배포를 위한 통합관리 서버 및 그 동작 방법
CN115580495B (zh) 数据审计方法、装置、电子设备和存储介质
WO2022085154A1 (ja) 制御方法、情報処理装置、および制御プログラム
CN117256121A (zh) 临时信任根注册以及设备绑定的公共密钥登记
CN117728976A (zh) 数据传输方法、装置、设备及存储介质
CN111062005A (zh) 版权认证密码的生成方法、认证方法、装置及存储介质

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200714

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200714

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20200714

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20200910

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200915

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201013

R150 Certificate of patent or registration of utility model

Ref document number: 6779416

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250