JP6779416B2 - 電子錠システム、電子錠管理方法、および電子錠管理プログラム - Google Patents
電子錠システム、電子錠管理方法、および電子錠管理プログラム Download PDFInfo
- Publication number
- JP6779416B2 JP6779416B2 JP2020525158A JP2020525158A JP6779416B2 JP 6779416 B2 JP6779416 B2 JP 6779416B2 JP 2020525158 A JP2020525158 A JP 2020525158A JP 2020525158 A JP2020525158 A JP 2020525158A JP 6779416 B2 JP6779416 B2 JP 6779416B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- unlocking
- unit
- user
- unlocking authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- E—FIXED CONSTRUCTIONS
- E05—LOCKS; KEYS; WINDOW OR DOOR FITTINGS; SAFES
- E05B—LOCKS; ACCESSORIES THEREFOR; HANDCUFFS
- E05B49/00—Electric permutation locks; Circuits therefor ; Mechanical aspects of electronic locks; Mechanical keys therefor
Description
電子錠を備えた設備を有する開閉システムと、前記開閉システムと近距離無線により通信する端末装置と、前記開閉システムと前記端末装置との各々と通信ネットワークを介して通信するサーバ装置とを有する電子錠システムにおいて、
前記サーバ装置は、
秘密鍵と前記秘密鍵に対応する公開鍵の証明書とを秘密情報として記憶する秘密情報記憶部と、
前記設備を利用するユーザを識別するユーザ識別子と、前記ユーザによる開錠が許可されている設備を識別する設備識別子とが対応付けられたユーザ権限情報を取得し、前記ユーザ権限情報と前記秘密鍵とを用いて、前記ユーザの開錠権限の正当性を認証するための認証済情報を生成する生成部と、
前記証明書を検証情報として前記開閉システムに送信するとともに、前記認証済情報を前記端末装置に送信するサーバ通信部と
を備え、
前記開閉システムは、
前記端末装置から近距離無線により前記認証済情報を受信すると、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証する検証部と、
前記検証部により前記開錠権限の正当性が検証されると、前記電子錠を開錠する開錠部とを備えた。
***構成の説明***
図1から図5を用いて、本実施の形態に係る電子錠システム500の構成について説明する。図1は、本実施の形態に係る電子錠システム500の機能構成図である。図2は、本実施の形態に係るサーバ装置100のハードウェア構成図である。図3は、本実施の形態に係る端末装置200のハードウェア構成図である。図4は、本実施の形態に係る管理装置300のハードウェア構成図である。図5は、本実施の形態に係る鍵開閉装置400のハードウェア構成図である。
開閉システム600は、電子錠402を備えた設備401を有する。設備401は、具体的には、扉である。すなわち、電子錠システム500は、ビルといった建物内の扉に備えられた電子錠の開閉制御を行う。端末装置200は、開閉システム600と近距離無線により通信する。サーバ装置100は、開閉システム600と端末装置200との各々と通信ネットワーク610を介して通信する。
鍵開閉装置400は、管理装置300と通信するとともに、電子錠402の開閉を制御する。鍵開閉装置400は、建物内の扉といった設備401に設置され、扉の電子錠402の開閉制御を行う。
サーバ装置100は、プロセッサ910を備えるとともに、メモリ921、ストレージ922、および通信インタフェース950といった他のハードウェアを備える。
端末装置200は、プロセッサ910を備えるとともに、メモリ921、ストレージ922、入力インタフェース930、出力インタフェース940、通信インタフェース950、および近距離無線インタフェース951といった他のハードウェアを備える。
管理装置300は、プロセッサ910を備えるとともに、メモリ921、ストレージ922、および通信インタフェース950といった他のハードウェアを備える。
鍵開閉装置400は、プロセッサ910を備えるとともに、メモリ921、ストレージ922、通信インタフェース950、近距離無線インタフェース951、および扉開閉信号インタフェース952といった他のハードウェアを備える。
なお、説明を簡単にするために、電子錠システム500の各装置に共通のハードウェアには同一の符号を付しているが、実際には各装置が個別にハードウェアを備えている。
電子錠システム500の各装置において、プロセッサ910は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
端末装置200は、機能要素として、端末通信部210、認証済情報記憶部220、および近距離通信部230を備える。
管理装置300は、機能要素として、管理通信部310を備える。
鍵開閉装置400は、機能要素として、装置通信部410、検証情報記憶部420、近距離通信部430、検証部440、および開錠部450を備える。
以下において、サーバプログラム、端末プログラム、管理プログラム、および鍵開閉プログラムを、電子錠管理プログラムあるいは各装置のプログラムという場合がある。また、電子錠システム500の各装置において、ソフトウェアで実現される機能要素を、電子錠システム500の各装置の各部という場合がある。
プロセッサ910は、演算処理を行うIC(Integrated Circuit)である。プロセッサ910の具体例は、CPU()、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。
ストレージ922は、データを保管する記憶装置である。ストレージ922の具体例は、HDDである。また、ストレージ922は、SD(登録商標)メモリカード、CF、NANDフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVDといった可搬記憶媒体であってもよい。なお、HDDは、Hard Disk Driveの略語である。SD(登録商標)は、Secure Digitalの略語である。CFは、CompactFlash(登録商標)の略語である。DVDは、Digital Versatile Diskの略語である。
出力インタフェース940は、ディスプレイといった出力機器のケーブルが接続されるポートである。出力インタフェース940は、具体的には、USB端子またはHDMI(登録商標)(High Definition Multimedia Interface)端子である。ディスプレイは、具体的には、LCD(Liquid Crystal Display)である。
各装置のプログラムは、上記の各装置の各部の「部」を「処理」、「手順」あるいは「工程」に読み替えた各処理、各手順あるいは各工程を、コンピュータに実行させる。また、電子錠管理方法は、電子錠システム500が電子錠管理プログラムを実行することにより行われる方法である。
電子錠管理プログラムは、コンピュータ読取可能な記録媒体に格納されて提供されてもよい。また、電子錠管理プログラムは、プログラムプロダクトとして提供されてもよい。
次に、図6から図13を用いて、本実施の形態に係る電子錠システム500の動作について説明する。
図6を用いて、本実施の形態に係る秘密情報記憶処理S100の動作について説明する。秘密情報記憶処理S100は、サーバ装置100により実行される。秘密情報記憶処理S100では、秘密情報記憶部140は、秘密鍵と秘密鍵に対応する公開鍵の証明書とを秘密情報31としてメモリ921に記憶する。
ステップS102において、サーバ装置100の秘密情報記憶部140は、秘密鍵と証明書の組を秘密情報31として記憶する。デジタル署名は、例えば、RSA(登録商標)署名、DSA、あるいはECDSAを用いた署名である。
図7を用いて、本実施の形態に係る秘密情報31の例について説明する。秘密情報31は、ビルID(IDentifier)311と、秘密鍵312と、証明書313から構成される。ビルID311は、管理装置300が管理するビルを識別する識別子である。すなわち、秘密鍵312と証明書313の組は、ビルごとに取得される。
ステップS111において、サーバ装置100のサーバ通信部110は、証明書313を検証情報41として開閉システム600に送信する。サーバ通信部110は、証明書313を検証情報41として開閉システム600の管理装置300に送信する。
ステップS112において、管理装置300の管理通信部310は、サーバ装置100から通信ネットワーク610を介して検証情報41を受信する。管理通信部310は、検証情報41を鍵開閉装置400に設備ネットワーク620を介して送信する。すなわち、管理装置300は、管理対象の全ての鍵開閉装置400に検証情報41を配布する。
ステップS113において、鍵開閉装置400の検証情報記憶部420は、管理通信部310から受信した検証情報41をメモリ921に記憶する。
次に、本実施の形態に係る生成処理S20について説明する。生成処理S20は、後述する認証情報生成処理S120と認証済情報配送処理S130を有する。
生成処理S20において、生成部160は、ユーザ権限情報32を取得し、ユーザ権限情報32と秘密鍵312とを用いて、ユーザの開錠権限の正当性を認証するための認証済情報を生成する。ユーザ権限情報32は、設備401を利用するユーザを識別するユーザ識別子と、ユーザによる開錠が許可されている設備401を識別する設備識別子とが対応付けられた情報である。
ユーザ権限情報32は、ビルID321と、ユーザID322と、扉ID323を備え。ビルID321は、管理装置300が管理するビルを識別する識別子である。ユーザID322は、ユーザを識別するユーザ識別子である。扉ID323は、設備401である扉を識別する設備識別子である。
ステップS121において、入力部150は、ユーザ権限情報32を取得する。ユーザ権限情報32は、ビルを識別するビルIDと、ユーザを識別するユーザIDと、そのユーザが通過可能な扉を識別する扉IDの組み合わせである。入力部150は、例えば、csv(comma−separated values)形式のファイルあるいはその他の形式でユーザ権限情報32の入力を受け付ける。
ステップS122において、サーバ装置100の開錠権限生成部120は、ユーザIDと扉IDとを用いて開錠権限を表す開錠権限データ33を生成する。具体的には、開錠権限生成部120は、ユーザIDと、そのユーザが通過可能な扉IDを連結した文字列を開錠権限データ33として生成する。なお、開錠権限生成部120は、開錠権限データ33の生成後、入力部150により受け付けたデータを記憶していなくてもよい。
図11に示すように、開錠権限データ33は、ユーザIDと扉IDが明確に識別可能な文字列あるいはバイナリ列として表現されたデータ列である。図11は、XML形式の例を示している。その他、csv形式、json形式、あるいは適当な区切り文字で区切った文字列といった形式でもよい。
図11に示すように、認証情報生成部130は、開錠権限データ33と秘密鍵312とを用いて、開錠権限データ33を認証するデジタル署名を生成し、認証情報34とする。そして、認証情報生成部130は、開錠権限データ33と認証情報34との組を認証済情報35として、サーバ通信部110に出力する。
ステップS131において、サーバ装置100のサーバ通信部110は、認証済情報35を端末装置200に送信する。
ステップS132において、端末装置200の端末通信部210は、認証済情報35を受信する。
ステップS133において、端末装置200の認証済情報記憶部220は、端末通信部210により受信された認証済情報35をメモリ921に記憶する。
ステップS141において、鍵開閉装置400の近距離通信部430は、端末装置200から近距離無線により認証済情報35を受信する。具体的には、設備401である扉を利用したいユーザの端末装置200が、扉近傍に設置された鍵開閉装置400にかざされる。そして、近距離通信部430は、端末装置200の近距離通信部230から、近距離無線ネットワーク630を介して認証済情報35を受信する。
ステップS143において、検証部440は、認証済情報35に含まれる開錠権限データ33が正当であるかを検証する。検証部440は、検証用の公開鍵を含むデジタル証明書である検証情報41を用いて、認証済情報35に含まれるデジタル署名である認証情報34を検証し、開錠権限データ33が正当であるかを検証する。具体的には、検証部440は、開錠権限データ33とデジタル署名の組と、検証用の公開鍵を含むデジタル証明書とから、デジタル署名の署名検証アルゴリズムを用いて開錠権限データ33が改ざんされていないことを確認する。開錠権限データ33が正当である場合、ステップS144に進む。開錠権限データ33が正当でない場合、処理を終了する。
ステップS144において、検証部440は、開錠権限データ33に含まれる設備識別子である扉IDが正当であるかを検証する。具体的には、検証部440は、開錠権限データ33に鍵開閉装置400に対応する設備401の設備識別子が扉IDとして含まれているかを検証する。扉IDが正当である場合、ステップS145に進む。扉IDが正当でない場合、処理を終了する。
本実施の形態では、電子錠システム500の各装置の各部の機能がソフトウェアで実現される。変形例として、電子錠システム500の各装置の各部の機能がハードウェアで実現されてもよい。この場合、電子錠システム500の各装置は、プロセッサ910に替えて電子回路を備える。
電子回路は、具体的には、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA、ASIC、または、FPGAである。GAは、Gate Arrayの略語である。ASICは、Application Specific Integrated Circuitの略語である。FPGAは、Field−Programmable Gate Arrayの略語である。
電子錠システム500の各装置の各部の機能は、1つの電子回路で実現されてもよいし、複数の電子回路に分散して実現されてもよい。
別の変形例として、電子錠システム500の各装置の各部の一部の機能が電子回路で実現され、残りの機能がソフトウェアで実現されてもよい。
本実施の形態に係る電子錠システム500では、開錠権限の正当性、すなわち、開錠権限データが改ざんされておらず、かつ内容が正しいことをデジタル署名によって保護する。また、鍵開閉装置が、署名の検証に必要な公開鍵証明書を保持する。よって、本実施の形態に係る電子錠システム500によれば、鍵開閉装置は、サーバ装置との通信なしに開錠を判定することができる。
本実施の形態では、主に、実施の形態1と異なる点について説明する。なお、実施の形態1と同様の構成には同一の符号を付し、その説明を省略する場合がある。
図14を用いて、本実施の形態に係る電子錠システム500aの構成について説明する。本実施の形態に係る電子錠システム500aにおいて、実施の形態1と異なる点は、鍵開閉装置400aが検証情報記憶部420および検証部440を備えていない点である。また、管理装置300aが、検証情報記憶部420および検証部440と同様の機能を有する検証情報記憶部320および検証部340を備える。
図15を用いて、本実施の形態に係る検証情報配送処理S110aの動作について説明する。
ステップS111において、サーバ通信部110は、証明書313を検証情報41として管理装置300aに送信する。ステップS111の処理は、実施の形態1で説明した図8のステップS111と同様である。
ステップS114aにおいて、管理装置300aの検証情報記憶部320は、サーバ装置100から受信した検証情報41をメモリ921に記憶する。
ステップS141において、鍵開閉装置400aの近距離通信部430は、端末装置200から近距離無線により認証済情報35を受信する。ステップS141の処理は、実施の形態1で説明した図13のステップS141と同様である。
ステップS144aにおいて、検証部340は、開錠権限データ33に含まれる設備識別子である扉IDが正当であるかを検証する。扉IDが正当である場合、ステップS147aに進む。扉IDが正当でない場合、処理を終了する。
ステップS143aとステップS144aの検証部340の処理は、実施の形態1で説明した図13のステップS143とステップS144の処理と同様である。ただし、本実施の形態では、検証部340の処理は管理装置300aで行われる。
ステップS145aにおいて、鍵開閉装置400aの開錠部450は、検証部340から開錠指令を受信すると、電子錠402を開錠する。
本実施の形態に係る電子錠システム500aでは、開錠権限の正当性の検証に必要な記憶容量および計算能力を管理装置に集約する。よって、本実施の形態に係る電子錠システム500aによれば、鍵開閉装置の構成を簡素化することができる。さらに、ビル内に複数存在する鍵開閉装置の構成を簡素化することで、より本実施の形態に係る電子錠管理処理の実施が容易になる。
本実施の形態では、主に、実施の形態2と異なる点について説明する。なお、実施の形態1,2と同様の構成には同一の符号を付し、その説明を省略する場合がある。
図17を用いて、本実施の形態に係る電子錠システム500bの構成について説明する。
本実施の形態のサーバ装置100bは、実施の形態1,2のサーバ装置100に加え、サーバ暗号化部161を備える。また、本実施の形態の端末装置200bは、実施の形態2の端末装置200に加え、端末暗号化部240と端末復号部250を備える。また、本実施の形態の鍵開閉装置400bは、実施の形態2の鍵開閉装置400aに加え、装置復号部460を備える。
端末装置200bの端末通信部210は、サーバ通信部110から暗号化された認証済情報を受信する。端末復号部250は、端末通信部210により受信された、暗号化された認証済情報を復号する。認証済情報記憶部220は、暗号化された認証済情報を復号することにより得られた認証済情報を記憶する。端末暗号化部240は、認証済情報記憶部220に記憶された認証済情報を暗号化する。端末装置200bの近距離通信部230は、端末暗号化部240により暗号化された認証済情報を鍵開閉装置400bに送信する。
鍵開閉装置400bの装置復号部460は、端末暗号化部240により暗号化された認証済情報を復号する。
図18を用いて、本実施の形態に係る認証済情報配送処理S130bの動作について説明する。
ステップS134bにおいて、サーバ暗号化部161は、開錠権限データ33と認証情報34の組である認証済情報35を暗号化する。具体的には、サーバ暗号化部161は、SSL(Secure Sockets Layer)/TLS(Transport Layer Security)を利用して暗号化する。このように、通信時に認証済情報を暗号化することにより、認証済情報は盗聴から保護される。
ステップS131bにおいて、サーバ通信部110は、暗号化された認証済情報を端末装置200bに送信する。
ステップS132bにおいて、端末通信部210は、暗号化された認証済情報を受信する。
ステップS135bにおいて、端末復号部250は、暗号化された認証済情報を復号し、認証済情報35を得る。
ステップS133bにおいて、認証済情報記憶部220は、復号により得られた認証済情報35をメモリ921に記憶する。
ステップS148bにおいて、端末装置200bの端末暗号化部240は、認証済情報記憶部220に記憶された認証済情報35を暗号化する。具体的には、端末暗号化部240は、Bluetooth(登録商標)のペアリング時の暗号化を利用して暗号化してもよい。あるいは、端末暗号化部240は、その他の暗号化方式によって独自に暗号化してもよい。このように、通信時に認証済情報を暗号化することにより、認証済情報は盗聴から保護される。
ステップS141bにおいて、近距離通信部430は、端末装置200bから近距離無線により、端末暗号化部240により暗号化された認証済情報を受信する。
ステップS149bにおいて、鍵開閉装置400bの装置復号部460は、端末装置200bから受信した、端末暗号化部240により暗号化された認証済情報を復号し、認証済情報35を得る。
ステップS146abにおいて、装置通信部410は、復号により得られた認証済情報35を、管理装置300aに送信する。
本実施の形態に係る電子錠システム500bでは、通信路上で開錠権限データと認証情報を暗号化することで外部から秘匿する。本実施の形態に係る電子錠システム500bによれば、開錠権限を持たない部外者が正当なユーザの開錠権限と認証情報を詐取し、それらを再送することで不正に開錠すること、すなわちリプレイ攻撃を防ぎ、セキュリティを向上させる。
本実施の形態では、主に、実施の形態2と異なる点について説明する。なお、実施の形態1から3と同様の構成には同一の符号を付し、その説明を省略する場合がある。
図20を用いて、本実施の形態に係る電子錠システム500cの構成について説明する。本実施の形態の管理装置300cは、実施の形態2の管理装置300aに加え、ログ収集部350を備える。
図21を用いて、本実施の形態に係る開錠処理S140cの動作について説明する。
本実施の形態に係る開錠処理S140cにおいて、実施の形態2に係る開錠処理S140aと異なる点は、処理が終了する前にログ収集部350により開錠ログ351が収集される点である。
開錠処理S140cでは、扉を開錠する処理(ステップS145a)の後に、ログ収集部350が開錠ログを記録する。また、ステップS143aあるいはステップS144aにおいて、開錠権限データ33が正当でない、あるいは、扉IDが正当でない場合に、ログ収集部350が開錠ログを記録する。その他のステップS141からステップS145aまでの処理は、実施の形態2の図16と同様である。
また、ログ収集部350は、検証部340による開錠権限の正当性の検証が失敗すると、開錠権限の正当性の検証が失敗した時刻と、ユーザIDと、扉IDと、検証の結果とを含むログを、開錠ログ351として収集する。
図22の開錠ログ351では、ユーザIDと、扉IDと、開錠権限データと、認証情報と、結果と、時刻が設定されている。
このように、使われた開錠権限データと認証情報を含めることによって、不正な開錠権限が使われたことを記録することができる。なお、正常な通過のみを確認したい場合は、ユーザID、扉ID、結果、時刻のみを記録すればよい。開錠権限データと認証情報は、省略してもよい。
<変形例1>
鍵開閉装置が、現在時刻を取得する時刻取得部を備えていてもよい。装置通信部は、開錠部により電子錠が開錠された時刻を時刻取得部により取得し、電子錠が開錠されたことを報告する開錠報告に、この時刻を含めて管理装置に送信する。鍵開閉装置が時刻取得部を備えることにより、電子錠が開錠された時刻をより正確に開錠ログに設定することができる。
鍵開閉装置は、開錠指示を管理装置から受信した際の時刻を時刻取得部により取得し、開錠報告に含めて管理装置に送信してもよい。また、開錠した場合だけ記録する場合は、ステップS143aおよびステップS144aにおいてNOの場合は、ログの記録をせずに処理を終了してもよい。また、その場合は、開錠ログに残るのは全て開錠に成功した場合のみのため、開錠の結果の保存を省いてもよい。
本実施の形態に係る電子錠システム500cでは、開錠を試みたユーザと開錠時刻を改ざん困難なログとして記録する。よって、本実施の形態に係る電子錠システム500cによれば、開錠したユーザが事後に開錠した事実を否認することを阻止することができる。また、本実施の形態に係る電子錠システム500cによれば、本来ユーザがビル内に存在しない時刻に、ユーザの開錠権限が使われたことを確認することによって、ユーザの開錠権限が不正利用されたことを検知できる。また、偽造された開錠権限によって開錠が試みられたことを検知できる。
本実施の形態では、主に、実施の形態2と異なる点について説明する。なお、実施の形態1から4と同様の構成には同一の符号を付し、その説明を省略する場合がある。
図23を用いて、本実施の形態に係る電子錠システム500dの構成について説明する。本実施の形態のサーバ装置100dは、実施の形態1,2のサーバ装置100に加え、開錠権限記憶部170と失効情報生成部180を備える。また、本実施の形態の管理装置300dは、実施の形態2の管理装置300aに加え、失効情報記憶部360を備える。
図24を用いて、本実施の形態に係る認証情報生成処理S120dの動作について説明する。
ステップS121からステップS123の処理は、実施の形態1で説明した図10のステップS121からステップS123の処理と同様である。
ステップS125dにおいて、開錠権限生成部120は、開錠権限生成部120により計算されたハッシュ値が開錠権限記憶部170に記憶されているか否かを判定する。ハッシュ値が記憶されている場合、ステップS126dに進む。ハッシュ値が記憶されていない場合、ステップS127dに進む。
開錠権限記憶部170は、開錠権限データ33のハッシュ値とユーザ識別子とを記憶する。具体的には、ビルIDと、ユーザ識別子であるユーザIDと、開錠権限データ33のハッシュ値である開錠権限IDとが対応付けられて記憶される。ハッシュ値は高速に計算可能なハッシュ関数に開錠権限データ33を入力して得られる文字列ないしバイナリ列である。高速に計算可能なハッシュ関数の具体例は、CRC(Cyclic Redundancy Check)あるいはmd5(Message Digest Algorithm 5)といった関数である。
ステップS127dにおいて、開錠権限記憶部170は、開錠権限生成部120により生成された開錠権限データ33のハッシュ値をメモリ921に記憶する。具体的には、開錠権限記憶部170は、ビルIDと、ユーザ識別子であるユーザIDと、開錠権限データ33のハッシュ値である開錠権限IDとを対応付けて記憶する。
失効情報181は、ユーザIDと開錠権限データ33のハッシュ値を示す文字列ないしバイナリ列からなるデータ列として構成できる。必要な場合、管理装置300dは失効情報181に対してデジタル署名を生成し、失効情報181の正当性が確認できた場合にのみ失効情報181を受理する構成にしてもよい。
ステップS101とステップS102の処理は、実施の形態1で説明した図6と同様である。
ステップS104dにおいて、入力部150は、開錠権限記憶部170に記憶されている開錠権限データ33のハッシュ値とユーザ識別子とを初期化する。そして、秘密情報記憶部140が、秘密情報31を記憶する(ステップS102)。
ステップS105dにおいて、管理装置300dは、サーバ装置100dから送信された失効情報181を受信する。
ステップS106dにおいて、失効情報記憶部360は、サーバ装置100dから送信された失効情報181を記憶する。
失効情報記憶部360は、ユーザ識別子であるユーザIDと、開錠権限データ33のハッシュ値である失効情報IDとが対応付けられて記憶されている。なお、失効情報IDは、サーバ装置100dの開錠権限記憶部170における開錠権限IDと同じ、すなわち開錠権限データ33のハッシュ値である。
ステップS141とステップS146aの処理は、実施の形態2で説明した図16と同様である。
管理装置300dは、鍵開閉装置400aから認証済情報35を受信する(ステップS146a)。
ステップS452dにおいて、検証部340は、認証済情報35に含まれる開錠権限データ33のハッシュ値を計算する。
そして、ステップS453dにおいて、検証部340は、計算した開錠権限データ33のハッシュ値が前記失効情報記憶部に記憶されているか否かを判定する。計算されたハッシュ値が記憶されている場合、計算されたハッシュ値は失効情報であることを意味するので、開錠権限の正当性を検証する処理を終了する。秘密情報31が記憶されていない場合、ステップS143aに進む。
その後、ステップS143aからステップS145aにおいて、開錠権限の正当性を検証する処理が行われる。なお、ステップS143aからステップS145aの処理は、実施の形態2で説明した図16と同様である。
本実施の形態に係る電子錠システム500dでは、ユーザの開錠権限を更新する際、サーバ装置が特定のユーザの認証情報を無効化する失効情報を管理装置に配送する。ユーザの開錠権限を変更する場合、サーバ装置から新たな開錠権限が端末装置に付与される。ところが一度発行された認証情報は検証情報が変更されない限り有効であるため、過去の開錠権限を用いてその時点では通行が許可されていない扉を開錠するリスクがある。本実施の形態に係る電子錠システム500dでは、開錠権限を更新する際に過去の開錠権限を失効情報により無効化することでセキュリティ低下を抑制する。本実施の形態に係る電子錠システム500dよれば、多くのユーザの開錠権限が変更となる場合、サーバ装置のデジタル署名の秘密鍵および公開鍵を更新することでシステム全体を再セットアップすることもできる。本実施の形態は、逐次的な開錠権限の更新の際に有効である。
本実施の形態では、主に、実施の形態5と異なる点について説明する。なお、実施の形態1から5と同様の構成には同一の符号を付し、その説明を省略する場合がある。
図31を用いて、本実施の形態に係る電子錠システム500eの構成について説明する。
本実施の形態に係る電子錠システム500eでは、開閉システム600の管理装置300dは、通信ネットワーク610と異なるネットワークであるビル内ネットワーク640を介して、端末装置200eと通信する。すなわち、本実施の形態のサーバ装置100eは、管理装置300dと通信ネットワーク610を介して通信できない。
また、本実施の形態のサーバ装置100eは、実施の形態5の図23のサーバ装置100dに加え、時刻取得部190を備える。また、本実施の形態の端末装置200eは、実施の形態5の図23の端末装置200に加え、失効情報記憶部260を備える。
図32を用いて、本実施の形態に係る認証情報生成処理S120eの動作について説明する。
ステップS121からステップS125d、およびステップS127dの処理は、実施の形態5の図24と同様である。
ステップS128eにおいて、時刻取得部190は、現在時刻を時刻として取得する。
ステップS126eにおいて、失効情報生成部180は、開錠権限記憶部170に記憶されているハッシュ値から失効情報181を生成する。失効情報生成部180は、失効情報181と時刻の組を対象ビルの全ての端末装置200eに送信する。
以上のように、サーバ装置100eは、ステップS125dの後、失効情報181を送信する際に時刻取得部190で時刻を取得し、失効情報181と時刻を対応付けて全ての端末装置200eにブロードキャストする。
本実施の形態では、端末装置200eは、ユーザIDおよび失効情報IDを、失効情報181が生成された時刻と対応付けて記憶する失効情報記憶部260に記憶する。
ステップS11eにおいて、端末装置200eは、サーバ装置100eから送信された失効情報181と時刻の組を受信する。
ステップS12eにおいて、失効情報記憶部260は、サーバ装置100eから送信された失効情報181と時刻の組を記憶する。
このように、失効情報181を送信された全ての端末装置200eは自身の失効情報記憶部260に失効情報181を一時保管する。
ステップS13eにおいて、端末装置200eと管理装置300d間の通信路が確立されたとき、管理装置300dは、失効情報記憶部360に保持する失効情報181と対応付けられた時刻のうちの最新時刻を端末装置200eに送信する。
端末装置200eは、管理装置300dから送信された時刻よりも新しい時刻に生成された失効情報181のみを管理装置300dに送信する(ステップS14e,ステップS15e)。その後、ステップS16eにおいて、端末装置200eは、失効情報記憶部260に記憶していた全ての失効情報181を削除する。
なお、ユーザが開錠する際、端末装置200eは鍵開閉装置400aに失効情報181を送信し、鍵開閉装置400aを介して失効情報181を管理装置300dに送信してもよい。
ステップS17eにおいて、管理装置300dは、端末装置200eから送信された失効情報181と時刻の組を受信する。
ステップS18eにおいて、失効情報記憶部360は、端末装置200eから送信された失効情報181と時刻の組を記憶するとともに、失効情報181の最新時刻を更新する。
このように、管理装置300dは、端末装置200eから受信した失効情報181を失効情報記憶部360で記憶する。その後、受信した失効情報181に対応付けられた時刻のうちで最新のものを、次回に端末装置200eに送信する最新時刻として記憶する。
本実施の形態に係る電子錠システム500eでは、失効情報の配送を端末装置が中継する。実施の形態5と同様に、過去の開錠権限を用いた不正を試みる不正なユーザがいる場合でも、その他正規のユーザが失効情報を管理装置に配送するため、不正が可能なタイミングを限定できる。また、本実施の形態に係る電子錠システム500eでは、サーバ装置と管理装置間にネットワークが存在しない場合も、セキュリティの低下を抑制しつつ失効情報を用いたユーザの開錠権限の変更が可能になる。
また、開錠権限の失効と、失効情報の登録との間にタイムラグがある場合がある。本実施の形態に係る電子錠システム500eでは、失効情報を生成した際の時刻を失効情報と対応付けて記憶しているので、タイムラグの間に不正に通過した者がいるかを判定することができる。また、本実施の形態に係る電子錠システム500eは、人事異動で開錠権限が変化した際にも利用できる。
本実施の形態では、主に、実施の形態2と異なる点について説明する。なお、実施の形態1から6と同様の構成には同一の符号を付し、その説明を省略する場合がある。
本実施の形態に係るユーザ権限情報32は、複数のユーザIDと、複数のユーザIDにより識別される複数のユーザが属するユーザグループを識別するユーザグループIDと、扉IDとが対応付けられている。実施の形態2では、ユーザ権限情報32は、ビルID、ユーザID、および扉IDの組であった。本実施の形態では、ユーザ権限情報32にユーザグループIDを追加する。そして、扉IDにはユーザグループIDが対応付けられる。これにより、同じユーザグループIDに属するユーザは、同じ扉を開錠できる。
図39の開錠権限データ33は、ユーザグループIDとユーザIDと扉IDが明確に識別可能な文字列あるいはバイナリ列として表現されたデータ列である。実施の形態4で説明した開錠ログを収集する場合、図40に示すように、先頭行に自身のユーザIDを追加してもよい。このとき、正当性の検証の際は先頭行を読み飛ばして開錠権限とみなす。
ステップS21gにおいて、入力部150は、図37に示すように、ユーザIDとユーザグループIDの組から成るユーザ権限情報32を取得する。
ステップS22gにおいて、入力部150は、図38に示すように、ユーザグループIDと扉IDの組から成るユーザ権限情報32を取得する。
ステップS122gにおいて、開錠権限生成部120は、複数のユーザIDとユーザグループIDと扉IDとを用いて、ユーザグループの開錠権限を表す開錠権限データ33を生成する。
ステップS123gにおいて、認証情報生成部130は、開錠権限データ33と秘密鍵とを用いて、開錠権限データ33を認証する認証情報34を生成する。
以上のように、サーバ装置100は、ユーザグループ毎に生成された開錠権限データ33に対して1つの認証情報34を生成する。そして、認証情報生成部130は、開錠権限データ33に認証情報34を付加した認証済情報35を出力する。
ステップS131gにおいて、サーバ通信部110は、認証済情報35を対象のユーザグループに属する全てのユーザの端末装置200に送信する。
ステップS132からステップS133の処理は、実施の形態1の図12と同様である。
このように、本実施の形態では、同じユーザグループに属するユーザは同一の認証済情報35を保持する。
本実施の形態に係る電子錠システムでは、複数の開錠権限に対して一つの認証情報を生成する。企業では同じ所属のユーザが同一の通行権限を付与される場合があるため、そうしたユーザグループに対して開錠権限を付与した方が開錠権限および認証情報の生成回数を削減でき、サーバ装置の計算量を低減できる。
本実施の形態では、主に、実施の形態5と異なる点について説明する。なお、実施の形態1から5と同様の構成には同一の符号を付し、その説明を省略する場合がある。
図43を用いて、本実施の形態に係る電子錠システム500fの構成について説明する。
本実施の形態に係る電子錠システム500fでは、開閉システム600fは、管理装置300fと通信する端末装置を管理端末200fとして備える。
管理端末200fは、実施の形態2の構成に加え、管理端末記憶部370と検証情報記憶部280を備える。検証情報記憶部280は、サーバ装置100から検証情報41を受信すると、検証情報41を一時的に記憶する。管理装置記憶部270は、管理装置300fを識別する管理装置識別子と、管理端末200fと管理装置300fとの間で生成された秘密データ432とを対応付けて記憶する。
また、管理装置300fは、実施の形態2の構成に加え、近距離通信部380と管理端末記憶部370を備える。管理端末記憶部370は、秘密データ432と管理端末200fを識別する管理端末識別子とを対応付けて記憶する。検証情報記憶部320は、管理端末200fから検証情報41の更新を要求する更新要求を受信すると、更新要求の要求元の管理端末が管理端末記憶部370に記憶されている場合に、検証情報41を更新する。
管理端末記憶部370は、管理端末200fを識別するため管理端末ID431と、管理端末200fと共有した秘密データ432を記憶する。秘密データ432の具体例は、管理端末200fと管理装置300fがBluetooth(登録商標)のペアリングによって共有したリンクキーである。秘密データ432がライフタイムに沿って更新された場合は管理端末記憶部370の情報も都度更新される。
管理装置記憶部270の構成は、管理端末記憶部370と同一の構成である。異なる点は管理端末ID431でなく管理装置300fを識別する管理装置ID433を記憶する点である。
近距離通信部230と近距離通信部380とにより管理端末200fと管理装置300fが通信し、秘密データ432を共有する(ステップS211,ステップS212)。管理装置300fは、検証情報41の更新要求を、秘密データ432を共有した端末装置、すなわち管理端末200fからのみ受け付ける。具体的にはBluetooth(登録商標)のペアリングを実行し、リンクキーを共有する。別の認証方法、具体的には、クライアント認証あるいはパスワード認証で管理端末、あるいは管理端末を持つ管理者を認証し、近距離通信部を省いてもよい。
サーバ装置100は検証情報41を管理装置300fに送る代わりに管理端末200fに送る(ステップS221)。管理者の端末装置、すなわち管理端末200fは、検証情報41を記憶する(ステップS222)。このように、管理端末200fが検証情報41を記憶しておけばよいので、管理端末200fから検証情報41の取得をリクエストするプル型通信が好適である。
管理端末200fが管理装置300fに検証情報41の更新を要求する更新要求を送信すると(ステップS231)、管理装置300fは、管理端末記憶部370に記憶されている管理端末200fかを判定する(ステップS232)。管理装置300fは、通信相手が正当な管理端末200fであることを検証し、正当な場合のみ検証情報41の更新を受け付け、メモリに記憶する(ステップS233,ステップS234)。
管理端末200fの認証のためのみに近距離通信部による通信を用い、検証情報41の送信は別の通信方式、例えばWi−Fi(登録商標)を用いてもよい。
本実施の形態に係る電子錠システム500fでは、サーバ装置と管理装置間のネットワークが存在しない場合、管理装置は管理用の特別な端末装置、すなわち管理端末からのみ検証情報の更新を受理する。よって、本実施の形態に係る電子錠システム500fでは、サーバ装置と管理装置間にネットワークが存在しない場合でも電子錠システムを実施可能にする。同時に検証情報を更新可能な端末装置を制限することで、不正者が偽造された検証情報でシステムを更新し、この偽造された検証情報によって正当と判断される不正な開錠権限によって不正に開錠されないようセキュリティを保つことができる。
また、実施の形態1から8のうち、複数の部分を組み合わせて実施しても構わない。あるいは、これらの実施の形態のうち、1つの部分を実施しても構わない。その他、これら実施の形態を、全体としてあるいは部分的に、どのように組み合わせて実施しても構わない。
すなわち、実施の形態1から8では、各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。
Claims (18)
- 電子錠を備えた設備を有する開閉システムと、前記開閉システムと近距離無線により通信する端末装置と、前記開閉システムと前記端末装置との各々と通信ネットワークを介して通信するサーバ装置とを有する電子錠システムにおいて、
前記サーバ装置は、
秘密鍵と前記秘密鍵に対応する公開鍵の証明書とを秘密情報として記憶する秘密情報記憶部と、
前記設備を利用するユーザを識別するユーザ識別子と、前記ユーザによる開錠が許可されている設備を識別する設備識別子とが対応付けられたユーザ権限情報を取得し、前記ユーザ権限情報と前記秘密鍵とを用いて、前記ユーザの開錠権限の正当性を認証するための認証済情報を生成する生成部であって、前記ユーザ識別子と前記設備識別子とを用いて前記開錠権限を表す開錠権限データを生成する開錠権限生成部と、前記開錠権限データと前記秘密鍵とを用いて、前記開錠権限データを認証する署名を認証情報として生成し、前記認証情報が付加された前記開錠権限データを前記認証済情報として出力する認証情報生成部とを備えた生成部と、
前記証明書を検証情報として前記開閉システムに送信するとともに、前記認証済情報を前記端末装置に送信するサーバ通信部と
を備え、
前記開閉システムは、
前記サーバ装置と前記通信ネットワークを介して通信する管理装置と、
前記管理装置と通信するとともに、前記電子錠の開閉を制御する鍵開閉装置と
を備え、
前記管理装置は、
前記端末装置から近距離無線により前記認証済情報を受信すると、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証する検証部を備え、
前記鍵開閉装置は、
前記検証部により前記開錠権限の正当性が検証されると、前記電子錠を開錠する開錠部を備え、
前記サーバ装置は、
前記開錠権限データを識別する識別情報であって前記開錠権限データを用いて算出される識別情報と、前記ユーザ識別子とを記憶する開錠権限記憶部を備え、
前記開錠権限生成部は、
前記ユーザ権限情報を取得すると、取得した前記ユーザ権限情報から生成された前記開錠権限データの識別情報を計算し、計算された識別情報が前記開錠権限記憶部に記憶されていない場合、前記計算された識別情報を前記開錠権限記憶部に記憶し、
前記サーバ装置は、
前記計算された識別情報が前記開錠権限記憶部に記憶されている場合に、前記開錠権限記憶部に記憶されている識別情報から失効情報を生成し、前記失効情報を前記管理装置に送信する失効情報生成部を備え、
前記管理装置は、
前記サーバ装置から送信された前記失効情報を記憶する失効情報記憶部を備えた電子錠システム。 - 前記サーバ装置は、
前記秘密情報を取得する入力部であって、前記秘密情報が前記秘密情報記憶部に記憶されていると、前記開錠権限記憶部に記憶されている前記開錠権限データの識別情報と前記ユーザ識別子とを初期化する入力部を備えた請求項1に記載の電子錠システム。 - 前記検証部は、
前記認証済情報に含まれる前記開錠権限データの識別情報を計算し、前記開錠権限データの識別情報が前記失効情報記憶部に記憶されている場合に、前記開錠権限の正当性を検証する処理を終了する請求項2に記載の電子錠システム。 - 前記ユーザ権限情報は、複数のユーザ識別子と、前記複数のユーザ識別子により識別される複数のユーザが属するユーザグループを識別するユーザグループ識別子と、前記設備識別子とが対応付けられており、
前記開錠権限生成部は、
前記複数のユーザ識別子と前記ユーザグループ識別子と前記設備識別子とを用いて前記ユーザグループの開錠権限を表す前記開錠権限データを生成し、
前記認証情報生成部は、
前記開錠権限データと前記秘密鍵とを用いて、前記開錠権限データを認証する前記認証情報を生成する請求項1から請求項3のいずれか1項に記載の電子錠システム。 - 電子錠を備えた設備を有する開閉システムと、前記開閉システムと近距離無線により通信する端末装置と、前記開閉システムと前記端末装置との各々と通信ネットワークを介して通信するサーバ装置とを有する電子錠システムにおいて、
前記サーバ装置は、
秘密鍵と前記秘密鍵に対応する公開鍵の証明書とを秘密情報として記憶する秘密情報記憶部と、
前記設備を利用するユーザを識別するユーザ識別子と、前記ユーザによる開錠が許可されている設備を識別する設備識別子とが対応付けられたユーザ権限情報を取得し、前記ユーザ権限情報と前記秘密鍵とを用いて、前記ユーザの開錠権限の正当性を認証するための認証済情報を生成する生成部であって、前記ユーザ識別子と前記設備識別子とを用いて前記開錠権限を表す開錠権限データを生成する開錠権限生成部と、前記開錠権限データと前記秘密鍵とを用いて、前記開錠権限データを認証する署名を認証情報として生成し、前記認証情報が付加された前記開錠権限データを前記認証済情報として出力する認証情報生成部とを備えた生成部と、
前記証明書を検証情報として前記開閉システムに送信するとともに、前記認証済情報を前記端末装置に送信するサーバ通信部と
を備え、
前記開閉システムは、
前記サーバ装置と前記通信ネットワークを介して通信する管理装置と、
前記管理装置と通信するとともに、前記電子錠の開閉を制御する鍵開閉装置と
を備え、
前記管理装置は、
前記端末装置から近距離無線により前記認証済情報を受信すると、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証する検証部を備え、
前記鍵開閉装置は、
前記検証部により前記開錠権限の正当性が検証されると、前記電子錠を開錠する開錠部を備え、
前記開閉システムは、
前記管理装置と通信する端末装置を管理端末として備え、
前記管理端末は、
前記サーバ装置から前記検証情報を受信し、前記検証情報を記憶する第1の検証情報記憶部と、
前記管理装置を識別する管理装置識別子と、前記管理端末と前記管理装置との間で生成された秘密データとを対応付けて記憶する管理装置記憶部と
を備え、
前記管理装置は、
前記秘密データと前記管理端末を識別する管理端末識別子とを対応付けて記憶する管理端末記憶部と、
前記管理端末から前記検証情報の更新を要求する更新要求を受信すると、前記更新要求の要求元の前記管理端末が前記管理端末記憶部に記憶されている場合に、前記検証情報を更新する第2の検証情報記憶部と
を備えた電子錠システム。 - 電子錠を備えた設備を有する開閉システムと、前記開閉システムと近距離無線により通信する端末装置と、前記開閉システムと前記端末装置との各々と通信ネットワークを介して通信するサーバ装置とを有する電子錠システムにおいて、
前記サーバ装置は、
秘密鍵と前記秘密鍵に対応する公開鍵の証明書とを秘密情報として記憶する秘密情報記憶部と、
前記設備を利用するユーザを識別するユーザ識別子と、前記ユーザによる開錠が許可されている設備を識別する設備識別子とが対応付けられたユーザ権限情報を取得し、前記ユーザ権限情報と前記秘密鍵とを用いて、前記ユーザの開錠権限の正当性を認証するための認証済情報を生成する生成部であって、前記ユーザ識別子と前記設備識別子とを用いて前記開錠権限を表す開錠権限データを生成する開錠権限生成部と、前記開錠権限データと前記秘密鍵とを用いて、前記開錠権限データを認証する署名を認証情報として生成し、前記認証情報が付加された前記開錠権限データを前記認証済情報として出力する認証情報生成部とを備えた生成部と、
前記証明書を検証情報として前記開閉システムに送信するとともに、前記認証済情報を前記端末装置に送信するサーバ通信部と
を備え、
前記開閉システムは、
前記端末装置から近距離無線により前記認証済情報を受信すると、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証する検証部と、
前記検証部により前記開錠権限の正当性が検証されると、前記電子錠を開錠する開錠部と、
前記通信ネットワークと異なるネットワークを介して、前記端末装置と通信する管理装置と、
前記管理装置と通信するとともに、前記電子錠の開閉を制御する鍵開閉装置と
を備え、
前記サーバ装置は、前記開錠権限データが失効したことを表す失効情報を前記端末装置に送信し、
前記端末装置は、
前記通信ネットワークと異なるネットワークを介して、前記管理装置に前記失効情報を送信し、
前記鍵開閉装置は、
前記端末装置から近距離無線により前記認証済情報を受信する近距離通信部と、前記開錠部とを備え、
前記管理装置は、前記検証部を備え、
前記検証部は、
前記近距離通信部により受信された前記認証済情報を取得し、前記認証済情報に含まれる前記開錠権限データが前記失効情報に含まれていない場合に、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証する電子錠システム。 - 前記鍵開閉装置は、
前記端末装置から近距離無線により前記認証済情報を受信する近距離通信部を備え、
前記検証部は、
前記近距離通信部により受信された前記認証済情報を取得し、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証する請求項1から請求項6のいずれか1項に記載の電子錠システム。 - 前記検証部は、
前記認証済情報に含まれる前記開錠権限データが正当であるとともに、前記開錠権限データに含まれる前記設備識別子が正当である場合に、前記開錠権限が正当であると検証する請求項1から請求項7のいずれか1項に記載の電子錠システム。 - 前記サーバ装置は、
前記認証済情報を暗号化するサーバ暗号化部を備え、
前記サーバ通信部は、
暗号化された認証済情報を前記端末装置に送信し、
前記端末装置は、
前記サーバ通信部から前記暗号化された認証済情報を受信する端末通信部と、
前記端末通信部により受信された前記暗号化された認証済情報を復号する端末復号部と、
前記暗号化された認証済情報を復号することにより得られた前記認証済情報を記憶する認証済情報記憶部と、
前記認証済情報記憶部に記憶された前記認証済情報を暗号化する端末暗号化部と
を備え、
前記端末装置は、
前記端末暗号化部により暗号化された認証済情報を前記鍵開閉装置に送信し、
前記鍵開閉装置は、
前記端末暗号化部により暗号化された認証済情報を復号する装置復号部を備えた請求項1から請求項8のいずれか1項に記載の電子錠システム。 - 前記管理装置は、
前記開錠部により前記電子錠が開錠されると、前記電子錠が開錠された時刻と前記ユーザ識別子と前記設備識別子と前記開錠の結果とを含むログを開錠ログとして収集するログ収集部を備えた請求項1から請求項9のいずれか1項に記載の電子錠システム。 - 前記ログ収集部は、
前記検証部による前記開錠権限の正当性の検証が失敗すると、前記開錠権限の正当性の検証が失敗した時刻と前記ユーザ識別子と前記設備識別子と前記検証の結果とを含むログを前記開錠ログとして収集する請求項10に記載の電子錠システム。 - 前記鍵開閉装置は、
現在時刻を取得する時刻取得部を備え、
前記装置通信部は、
前記開錠部により前記電子錠が開錠された時刻を前記時刻取得部により取得し、前記電子錠が開錠されたことを報告する開錠報告に、前記時刻を含めて前記管理装置に送信する請求項10または請求項11に記載の電子錠システム。 - 電子錠を備えた設備を有する開閉システムと、前記開閉システムと近距離無線により通信する端末装置と、前記開閉システムと前記端末装置との各々と通信ネットワークを介して通信するサーバ装置とを有する電子錠システムであって、前記開閉システムは、前記サーバ装置と前記通信ネットワークを介して通信する管理装置と、前記管理装置と通信するとともに、前記電子錠の開閉を制御する鍵開閉装置とを備える電子錠システムの電子錠管理方法において、
前記サーバ装置は、
秘密鍵と前記秘密鍵に対応する公開鍵の証明書とを秘密情報として記憶する秘密情報記憶部を備え、
前記サーバ装置の生成部が、前記設備を利用するユーザを識別するユーザ識別子と、前記ユーザによる開錠が許可されている設備を識別する設備識別子とが対応付けられたユーザ権限情報を取得し、前記ユーザ権限情報と前記秘密鍵とを用いて、前記ユーザの開錠権限の正当性を認証するための認証済情報を生成し、
前記生成部の開錠権限生成部が、前記ユーザ識別子と前記設備識別子とを用いて前記開錠権限を表す開錠権限データを生成し、
前記生成部の認証情報生成部が、前記開錠権限データと前記秘密鍵とを用いて、前記開錠権限データを認証する署名を認証情報として生成し、前記認証情報が付加された前記開錠権限データを前記認証済情報として出力し、
前記サーバ装置のサーバ通信部が、前記証明書を検証情報として前記開閉システムに送信するとともに、前記認証済情報を前記端末装置に送信し、
前記管理装置の検証部が、前記端末装置から近距離無線により前記認証済情報を受信すると、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証し、
前記鍵開閉装置の開錠部が、前記開錠権限の正当性が検証されると、前記電子錠を開錠し、
前記サーバ装置は、
前記開錠権限データを識別する識別情報であって前記開錠権限データを用いて算出される識別情報と、前記ユーザ識別子とを記憶する開錠権限記憶部を備え、
前記開錠権限生成部が、前記ユーザ権限情報を取得すると、取得した前記ユーザ権限情報から生成された前記開錠権限データの識別情報を計算し、計算された識別情報が前記開錠権限記憶部に記憶されていない場合、前記計算された識別情報を前記開錠権限記憶部に記憶し、
前記サーバ装置の失効情報生成部が、前記計算された識別情報が前記開錠権限記憶部に記憶されている場合に、前記開錠権限記憶部に記憶されている識別情報から失効情報を生成し、前記失効情報を前記管理装置に送信し、
前記管理装置の失効情報記憶部が、前記サーバ装置から送信された前記失効情報を記憶する電子錠管理方法。 - 電子錠を備えた設備を有する開閉システムと、前記開閉システムと近距離無線により通信する端末装置と、前記開閉システムと前記端末装置との各々と通信ネットワークを介して通信するサーバ装置とを有する電子錠システムであって、前記開閉システムは、前記サーバ装置と前記通信ネットワークを介して通信する管理装置と、前記管理装置と通信するとともに、前記電子錠の開閉を制御する鍵開閉装置とを備える電子錠システムの電子錠管理方法において、
前記サーバ装置は、
秘密鍵と前記秘密鍵に対応する公開鍵の証明書とを秘密情報として記憶する秘密情報記憶部を備え、
前記サーバ装置の生成部が、前記設備を利用するユーザを識別するユーザ識別子と、前記ユーザによる開錠が許可されている設備を識別する設備識別子とが対応付けられたユーザ権限情報を取得し、前記ユーザ権限情報と前記秘密鍵とを用いて、前記ユーザの開錠権限の正当性を認証するための認証済情報を生成し、
前記生成部の開錠権限生成部が、前記ユーザ識別子と前記設備識別子とを用いて前記開錠権限を表す開錠権限データを生成し、
前記生成部の認証情報生成部が、前記開錠権限データと前記秘密鍵とを用いて、前記開錠権限データを認証する署名を認証情報として生成し、前記認証情報が付加された前記開錠権限データを前記認証済情報として出力し、
前記サーバ装置のサーバ通信部が、前記証明書を検証情報として前記開閉システムに送信するとともに、前記認証済情報を前記端末装置に送信し、
前記管理装置の検証部が、前記端末装置から近距離無線により前記認証済情報を受信すると、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証し、
前記鍵開閉装置の開錠部が、前記開錠権限の正当性が検証されると、前記電子錠を開錠し、
前記開閉システムは、
前記管理装置と通信する端末装置を管理端末として備え、
前記管理端末の第1の検証情報記憶部が、前記サーバ装置から前記検証情報を受信し、前記検証情報を記憶し、
前記管理端末の管理装置記憶部が、前記管理装置を識別する管理装置識別子と、前記管理端末と前記管理装置との間で生成された秘密データとを対応付けて記憶し、
前記管理装置の管理端末記憶部が、前記秘密データと前記管理端末を識別する管理端末識別子とを対応付けて記憶し、
前記管理装置の第2の検証情報記憶部が、前記管理端末から前記検証情報の更新を要求する更新要求を受信すると、前記更新要求の要求元の前記管理端末が前記管理端末記憶部に記憶されている場合に、前記検証情報を更新する電子錠管理方法。 - 電子錠を備えた設備を有する開閉システムと、前記開閉システムと近距離無線により通信する端末装置と、前記開閉システムと前記端末装置との各々と通信ネットワークを介して通信するサーバ装置とを有する電子錠システムであって、前記開閉システムは、前記通信ネットワークと異なるネットワークを介して、前記端末装置と通信する管理装置と、前記管理装置と通信するとともに、前記電子錠の開閉を制御する鍵開閉装置とを備える電子錠システムの電子錠管理方法において、
前記サーバ装置は、
秘密鍵と前記秘密鍵に対応する公開鍵の証明書とを秘密情報として記憶する秘密情報記憶部を備え、
前記サーバ装置の生成部が、前記設備を利用するユーザを識別するユーザ識別子と、前記ユーザによる開錠が許可されている設備を識別する設備識別子とが対応付けられたユーザ権限情報を取得し、前記ユーザ権限情報と前記秘密鍵とを用いて、前記ユーザの開錠権限の正当性を認証するための認証済情報を生成し、
前記生成部の開錠権限生成部が、前記ユーザ識別子と前記設備識別子とを用いて前記開錠権限を表す開錠権限データを生成し、
前記生成部の認証情報生成部が、前記開錠権限データと前記秘密鍵とを用いて、前記開錠権限データを認証する署名を認証情報として生成し、前記認証情報が付加された前記開錠権限データを前記認証済情報として出力し、
前記サーバ装置のサーバ通信部が、前記証明書を検証情報として前記開閉システムに送信するとともに、前記認証済情報を前記端末装置に送信し、
前記管理装置の検証部が、前記端末装置から近距離無線により前記認証済情報を受信すると、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証し、
前記鍵開閉装置の開錠部が、前記開錠権限の正当性が検証されると、前記電子錠を開錠し、
前記サーバ装置は、前記開錠権限データが失効したことを表す失効情報を前記端末装置に送信し、
前記端末装置は、前記通信ネットワークと異なるネットワークを介して、前記管理装置に前記失効情報を送信し、
前記鍵開閉装置の近距離通信部は、前記端末装置から近距離無線により前記認証済情報を受信し、
前記検証部は、前記認証済情報に含まれる前記開錠権限データが前記失効情報に含まれていない場合に、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証する電子錠管理方法。 - 電子錠を備えた設備を有する開閉システムと、前記開閉システムと近距離無線により通信する端末装置と、前記開閉システムと前記端末装置との各々と通信ネットワークを介して通信するサーバ装置とを有する電子錠システムであって、前記開閉システムは、前記サーバ装置と前記通信ネットワークを介して通信する管理装置と、前記管理装置と通信するとともに、前記電子錠の開閉を制御する鍵開閉装置とを備える電子錠システムの電子錠管理プログラムにおいて、
秘密鍵と前記秘密鍵に対応する公開鍵の証明書とを秘密情報として前記サーバ装置に記憶する秘密情報記憶処理と、
前記設備を利用するユーザを識別するユーザ識別子と、前記ユーザによる開錠が許可されている設備を識別する設備識別子とが対応付けられたユーザ権限情報を取得し、前記ユーザ権限情報と前記秘密鍵とを用いて、前記ユーザの開錠権限の正当性を認証するための認証済情報を生成する前記サーバ装置における生成処理であって、前記ユーザ識別子と前記設備識別子とを用いて前記開錠権限を表す開錠権限データを生成する開錠権限生成処理と、前記開錠権限データと前記秘密鍵とを用いて、前記開錠権限データを認証する署名を認証情報として生成し、前記認証情報が付加された前記開錠権限データを前記認証済情報として出力する認証情報生成処理とを備えた生成処理と、
前記証明書を検証情報として前記開閉システムに送信するとともに、前記認証済情報を前記サーバ装置から前記端末装置に送信するサーバ通信処理と、
前記管理装置における検証処理であって前記端末装置から近距離無線により前記認証済情報を受信すると、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証する検証処理と、
前記鍵開閉装置における開錠処理であって前記検証処理により前記開錠権限の正当性が検証されると、前記電子錠を開錠する開錠処理と
をコンピュータに実行させ、
前記サーバ装置は、
前記開錠権限データを識別する識別情報であって前記開錠権限データを用いて算出される識別情報と、前記ユーザ識別子とを記憶する開錠権限記憶部を備え、
前記電子錠管理プログラムは、さらに、
前記ユーザ権限情報を取得すると、取得した前記ユーザ権限情報から生成された前記開錠権限データの識別情報を計算し、計算された識別情報が前記開錠権限記憶部に記憶されていない場合、前記計算された識別情報を前記開錠権限記憶部に記憶する処理と、
前記計算された識別情報が前記開錠権限記憶部に記憶されている場合に、前記開錠権限記憶部に記憶されている識別情報から失効情報を生成し、前記失効情報を前記管理装置に送信する失効情報生成処理と、
前記サーバ装置から前記管理装置に送信された前記失効情報を記憶する失効情報記憶処理とをコンピュータに実行させる電子錠管理プログラム。 - 電子錠を備えた設備を有する開閉システムと、前記開閉システムと近距離無線により通信する端末装置と、前記開閉システムと前記端末装置との各々と通信ネットワークを介して通信するサーバ装置とを有する電子錠システムであって、前記開閉システムは、前記サーバ装置と前記通信ネットワークを介して通信する管理装置と、前記管理装置と通信するとともに、前記電子錠の開閉を制御する鍵開閉装置と、前記管理装置と通信する端末装置を管理端末として備える電子錠システムの電子錠管理プログラムにおいて、
秘密鍵と前記秘密鍵に対応する公開鍵の証明書とを秘密情報として前記サーバ装置に記憶する秘密情報記憶処理と、
前記設備を利用するユーザを識別するユーザ識別子と、前記ユーザによる開錠が許可されている設備を識別する設備識別子とが対応付けられたユーザ権限情報を取得し、前記ユーザ権限情報と前記秘密鍵とを用いて、前記ユーザの開錠権限の正当性を認証するための認証済情報を生成する前記サーバ装置による生成処理であって、前記ユーザ識別子と前記設備識別子とを用いて前記開錠権限を表す開錠権限データを生成する開錠権限生成処理と、前記開錠権限データと前記秘密鍵とを用いて、前記開錠権限データを認証する署名を認証情報として生成し、前記認証情報が付加された前記開錠権限データを前記認証済情報として出力する認証情報生成処理とを備えた生成処理と、
前記証明書を検証情報として前記開閉システムに送信するとともに、前記認証済情報を前記サーバ装置から前記端末装置に送信するサーバ通信処理と、
前記管理装置における検証処理であって前記端末装置から近距離無線により前記認証済情報を受信すると、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証する検証処理と、
前記鍵開閉装置における開錠処理であって前記検証処理により前記開錠権限の正当性が検証されると、前記電子錠を開錠する開錠処理と
をコンピュータに実行させ、
前記電子錠管理プログラムは、さらに、
前記サーバ装置から前記検証情報を受信し、前記検証情報を前記管理端末に記憶する第1の検証情報記憶処理と、
前記管理装置を識別する管理装置識別子と、前記管理端末と前記管理装置との間で生成された秘密データとを対応付けて前記管理端末に記憶する管理装置記憶処理と、
前記秘密データと前記管理端末を識別する管理端末識別子とを対応付けて前記管理装置に記憶する管理端末記憶処理と、
前記管理端末から前記検証情報の更新を要求する更新要求を受信すると、前記更新要求の要求元の前記管理端末が前記管理装置に記憶されている場合に、前記検証情報を更新する第2の検証情報記憶処理と
をコンピュータに実行させる電子錠管理プログラム。 - 電子錠を備えた設備を有する開閉システムと、前記開閉システムと近距離無線により通信する端末装置と、前記開閉システムと前記端末装置との各々と通信ネットワークを介して通信するサーバ装置とを有する電子錠システムであって、前記開閉システムは、前記通信ネットワークと異なるネットワークを介して、前記端末装置と通信する管理装置と、前記管理装置と通信するとともに、前記電子錠の開閉を制御する鍵開閉装置とを備える電子錠システムの電子錠管理プログラムにおいて、
秘密鍵と前記秘密鍵に対応する公開鍵の証明書とを秘密情報として前記サーバ装置に記憶する秘密情報記憶処理と、
前記設備を利用するユーザを識別するユーザ識別子と、前記ユーザによる開錠が許可されている設備を識別する設備識別子とが対応付けられたユーザ権限情報を取得し、前記ユーザ権限情報と前記秘密鍵とを用いて、前記ユーザの開錠権限の正当性を認証するための認証済情報を生成する前記サーバ装置における生成処理であって、前記ユーザ識別子と前記設備識別子とを用いて前記開錠権限を表す開錠権限データを生成する開錠権限生成処理と、前記開錠権限データと前記秘密鍵とを用いて、前記開錠権限データを認証する署名を認証情報として生成し、前記認証情報が付加された前記開錠権限データを前記認証済情報として出力する認証情報生成処理とを備えた生成処理と、
前記証明書を検証情報として前記開閉システムに送信するとともに、前記認証済情報を前記サーバ装置から前記端末装置に送信するサーバ通信処理と、
前記管理装置における検証処理であって、前記端末装置から近距離無線により前記認証済情報を受信すると、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証する検証処理と、
前記鍵開閉装置における開錠処理であって、前記検証処理により前記開錠権限の正当性が検証されると、前記電子錠を開錠する開錠処理と
をコンピュータに実行させ、
前記電子錠管理プログラムは、さらに、
前記開錠権限データが失効したことを表す失効情報を前記サーバ装置から前記端末装置に送信する処理と、
前記通信ネットワークと異なるネットワークを介して、前記端末装置から前記管理装置に前記失効情報を送信する処理と
をコンピュータに実行させ、
前記検証処理は、前記端末装置から近距離無線により受信した前記認証済情報を取得し、前記認証済情報に含まれる前記開錠権限データが前記失効情報に含まれていない場合に、前記認証済情報と前記検証情報とを用いて前記開錠権限の正当性を検証する電子錠管理プログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2018/023529 WO2019244289A1 (ja) | 2018-06-20 | 2018-06-20 | 電子錠システム、電子錠管理方法、および電子錠管理プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6779416B2 true JP6779416B2 (ja) | 2020-11-04 |
JPWO2019244289A1 JPWO2019244289A1 (ja) | 2020-12-17 |
Family
ID=68982805
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020525158A Active JP6779416B2 (ja) | 2018-06-20 | 2018-06-20 | 電子錠システム、電子錠管理方法、および電子錠管理プログラム |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6779416B2 (ja) |
WO (1) | WO2019244289A1 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114221772A (zh) * | 2021-12-14 | 2022-03-22 | 南方电网科学研究院有限责任公司 | 一种用于电力智能锁具的安全芯片及方法 |
CN115273284A (zh) * | 2022-07-27 | 2022-11-01 | 中国电信股份有限公司 | 权限适配方法及装置、存储介质、电子设备 |
WO2024042928A1 (ja) * | 2022-08-26 | 2024-02-29 | パナソニックIpマネジメント株式会社 | 情報処理システム、制御装置、及び、情報処理方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4606606B2 (ja) * | 2001-01-23 | 2011-01-05 | 株式会社高見沢サイバネティックス | 入退場管理端末、および入退場管理システム |
JP4523449B2 (ja) * | 2005-02-23 | 2010-08-11 | 日本電信電話株式会社 | 鍵サービス方法、システムおよびそのプログラム |
JP2009116600A (ja) * | 2007-11-06 | 2009-05-28 | Mitsubishi Electric Corp | 入退室管理システム |
JP2016223212A (ja) * | 2015-06-02 | 2016-12-28 | ソニー株式会社 | 錠前デバイス、情報処理方法、プログラム、および通信端末 |
-
2018
- 2018-06-20 JP JP2020525158A patent/JP6779416B2/ja active Active
- 2018-06-20 WO PCT/JP2018/023529 patent/WO2019244289A1/ja active Application Filing
Also Published As
Publication number | Publication date |
---|---|
JPWO2019244289A1 (ja) | 2020-12-17 |
WO2019244289A1 (ja) | 2019-12-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11128477B2 (en) | Electronic certification system | |
US11849029B2 (en) | Method of data transfer, a method of controlling use of data and cryptographic device | |
US8479001B2 (en) | Self-authentication communication device and device authentication system | |
EP2659373B1 (en) | System and method for secure software update | |
TWI491236B (zh) | Information processing device, controller, key issuer, invalidation list validity determination method and key issue method | |
CN110990827A (zh) | 一种身份信息验证方法、服务器及存储介质 | |
TW201735578A (zh) | 受控的安全碼認證 | |
JP6779416B2 (ja) | 電子錠システム、電子錠管理方法、および電子錠管理プログラム | |
US20220247576A1 (en) | Establishing provenance of applications in an offline environment | |
TWI390937B (zh) | 供當請求第三人屬性憑證時用以消除密碼現露之方法、系統及儲存媒體 | |
JP2017152880A (ja) | 認証システム、鍵処理連携方法、および、鍵処理連携プログラム | |
CN115277168A (zh) | 一种访问服务器的方法以及装置、系统 | |
CN111740995B (zh) | 一种授权认证方法及相关装置 | |
WO2019163040A1 (ja) | アクセス管理システム、及びそのプログラム | |
JP6533542B2 (ja) | 秘密鍵複製システム、端末および秘密鍵複製方法 | |
JP4541740B2 (ja) | 認証用鍵の更新システム、および認証用鍵の更新方法 | |
EP4324159A1 (en) | Secure root-of-trust enrolment and identity management of embedded devices | |
KR20200060193A (ko) | 상호인증 기반 안전한 패치파일 배포를 위한 통합관리 서버 및 그 동작 방법 | |
CN115580495B (zh) | 数据审计方法、装置、电子设备和存储介质 | |
WO2022085154A1 (ja) | 制御方法、情報処理装置、および制御プログラム | |
CN117256121A (zh) | 临时信任根注册以及设备绑定的公共密钥登记 | |
CN117728976A (zh) | 数据传输方法、装置、设备及存储介质 | |
CN111062005A (zh) | 版权认证密码的生成方法、认证方法、装置及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200714 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200714 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20200714 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20200910 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200915 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20201013 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6779416 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |