(第1実施形態)
以下、本発明の実施形態を添付図面に基づいて説明する。
本実施形態に係る情報機器16のセキュリティシステム10(以下、セキュリティシステム10と省略する)は、プラント内での作業支援(例えば、機器のカメラ撮影や手順使用書の確認等)のために利用者が携帯する情報機器16について、許可された利用者による使用であるかの機器認証を外部機器15で実行して、認証結果が整合したときに情報機器16が有するカメラ等の装置(ハードウェアデバイス、以下単に「デバイス」と適宜省略)の機能制限を解除するシステムである。
図1に示すように、第1実施形態に係るセキュリティシステム10は、利用者識別情報等に対応させて起動用の認証キーを生成する認証情報サーバ11と、起動用の認証キーを外部機器15に予め登録する管理装置12と、利用者により入力された入力情報に基づいて起動用の認証キーを認証情報サーバ11から取得して外部機器15に送信する認証機器13と、送信された認証キーと予め登録された認証キーとを照合して機器認証を行う外部機器15と、機器認証の結果に応じて各装置の機能を制御する情報機器16と、を備えている。
このようにセキュリティシステム10は、情報機器16自体で認証動作を行うのでは無く、情報機器16に接続された外部機器15で機器認証を行う。そして、外部機器15での機器認証の結果に応じて情報機器16が有する各装置の機能を制御する。これにより、情報機器16においてOS等のソフトウェアの改修が生じた場合であっても、機器認証の構成に影響を与えることは無いため、情報機器16のメンテナンスや交換が容易となり、情報機器16の可用性を向上できる。
セキュリティシステム10の構成を具体的に説明する。
認証情報サーバ11、管理装置12、及び認証機器13は、有線LAN等のネットワーク17を介して相互に接続されており、各装置が有するデータを共有可能に構成されている。
認証情報サーバ11は、管理装置12から入力された利用者識別情報に対応させて起動用の認証キーを生成して、利用者識別情報に対応させて起動用の認証キーを保存、管理するサーバである。利用者識別情報とは、利用者を相互に識別するための識別子(利用者ID)である。また、認証情報サーバ11は、各利用者に支給される情報機器16を識別する機器のS/N(シリアルナンバー)に対応させて起動用の認証キーを生成させても良い。
図2は、本実施形態における認証情報サーバ11のハードウェア構成の一例を示す構成図である。
認証情報サーバ11は、プロセッサ18及び制御用プロセッサ19から構成される制御装置20、RAM21、外部インターフェース装置22、電源装置23、表示装置24、蓄積装置25、ネットワーク装置26、を備えている。プロセッサ18は、蓄積装置25等に保存された制御用のプログラムをRAM21に読み込み、プログラムに従って認証情報サーバ11の処理動作を制御する。
管理装置12は、外部機器15及び情報機器16に保存されるデータやプログラムを管理するための装置である。管理装置12は、各情報機器16に接続される外部機器15のそれぞれに対して起動用の認証キーを予め登録する。また、管理装置12は、外部機器15での認証結果に応じて情報機器16が有する各装置の機能を制御するための認証アプリケーションを情報機器16に設定する。
図3は、本実施形態における管理装置12のハードウェア構成の一例を示す構成図である。
管理装置12は、プロセッサ27及び制御用プロセッサ28から構成される制御装置29、RAM30、外部インターフェース装置31、入力装置32、電源装置33、表示装置34、蓄積装置35、ネットワーク装置36、を備えている。プロセッサ27は、蓄積装置35に保存された制御用のプログラムをRAM30に読み込み、プログラムに従って管理装置12の処理動作を制御する。
認証機器13は、情報機器16が使用されるプラント内に配置されて、機器認証を行うための起動用の認証キーを外部機器15に送信する装置である。なお、認証機器13は、プラント内に複数配置されても良い。
認証機器13は、利用者から入力情報(例えば、利用者ID)が入力されたときに、認証情報サーバ11にアクセスして、入力情報に対応する起動用の認証キーを取得する。そして、認証機器13は、取得した認証キーを外部機器15に送信する。
図4は、本実施形態における認証機器13のハードウェア構成の一例を示す構成図である。
認証機器13は、認証装置14、制御装置37、を備えている。認証装置14は、近距離無線通信(NFC)を用いてデータ通信を行う装置であり、利用者のIDカード等を用いた入力情報の読み込みや起動用の認証キーの外部機器15への送信を行う。
制御装置37は、プロセッサ38、制御用プロセッサ39、RAM40、外部インターフェース装置41、入力装置42、電源装置43、表示装置44、蓄積装置45、ネットワーク装置46を備えている。プロセッサ38は、蓄積装置45に保存された制御用のプログラムをRAM40に読み込み、プログラムに従って認証機器13の処理動作を制御する。
なお、認証情報サーバ11、管理装置12、及び認証機器13は、汎用的なコンピュータを用いることができ、本実施形態の構成に限定されるものでは無い。
外部機器15は、USB等の外部インターフェースを介して情報機器16に接続されて、許可された利用者の使用であるかの機器認証を実行する装置である。
外部機器15は、認証情報サーバ11で利用者識別情報等に対応させて生成された起動用の認証キーを、管理装置12を介して入力して予め保持している。
外部機器15は、認証機器13において利用者の入力情報が読み込まれて認証キーが送信されたとき、この送信された認証キーと保持している起動用の認証キーとを照合して機器認証を行う。そして、外部機器15は、認証結果が整合したときに、データの送受信可能な状態で情報機器16と接続する。
図5は、本実施形態における外部機器15のハードウェア構成の一例を示す構成図である。
外部機器15は、データ保持装置47、認証装置48、制御装置49、バススイッチ50、データ蓄積装置51、外部インターフェース装置52、外部端子53、を備えている。
認証装置48、データ保持装置47、及び外部端子53のそれぞれは、制御装置49に接続されており、データ蓄積装置51及び外部インターフェース装置52のそれぞれは、バススイッチ50に接続されている。
データ保持装置47は、管理装置12を介して入力した起動用の認証キーが保存している。また、データ保持装置47は、制御用のプログラム等のデータを保存している。
認証装置48は、近距離無線通信(NFC)を用いてデータ通信を行う装置であり、認証機器13から起動用の認証キーを受信する。また、利用者のIDカード等を用いた入力情報の読み込みを行う。
制御装置49は、外部機器15の処理動作を制御する装置であり、データ保持装置47で保持している認証キーと認証装置48で受け付けた認証キーとを照合して機器認証を行う。そして、制御装置49は、認証結果が整合したとき、バススイッチ50に対してスイッチ切り替えの制御信号を出力する。
制御線54は、認証装置48とバススイッチ50とを接続しており、認証装置48から出力された制御信号をバススイッチ50に送るための信号線である。
バススイッチ50は、制御装置49からスイッチ切り替えの制御信号を受けていないときは、外部インターフェース装置52とデータ蓄積装置51とのデータバスを切断する一方、制御装置49からスイッチ切り替えの制御信号を受けたときに、外部インターフェース装置52とデータ蓄積装置51とのデータバスを接続させるスイッチである。バススイッチ50により、外部インターフェース装置52は、データ蓄積装置51に選択的に接続可能となる。
具体的には、バススイッチ50は、制御装置49のGPIO(General Purpose I/O)信号により制御される。GPIO信号のHigh/Low信号でバススイッチ50のバス接続を選択する。認証結果が整合するときは、スイッチの接続先をデータ蓄積装置51側に切り替える。
データ蓄積装置51及び外部インターフェース装置52は、バススイッチ50を介して制御装置49に接続されているため、データ蓄積装置51及び外部インターフェース装置52のそれぞれと制御装置49との間にデータを伝送するデータバスは存在しない。つまり、制御装置49に接続された外部端子53側からデータ蓄積装置51にアクセスすることはできない。
データ蓄積装置51は、外部インターフェース装置58の識別情報を保存しており、バススイッチ50により外部インターフェース装置58と接続される。情報機器16に接続されたデータ蓄積装置51は、外部インターフェース装置58の識別情報を情報機器16に送信する。
なお、外部インターフェース装置58の識別情報とは、各外部インターフェース装置58を識別するため固有に設定される値であり、例えば外部インターフェースとしてUSB端子を用いた場合にはPID(Product ID)やVID(Vender ID)情報を意味する。
データ蓄積装置51は、バススイッチ50を介して情報機器16と接続されたときに、情報機器16で取得されたデータを保存するためのメモリとなる。データ蓄積装置51としては、例えばNANDフラッシュメモリを用いることができる。
外部インターフェース装置52は、情報機器16とデータ送受可能な状態で接続するための接続装置である。情報機器16と接続する外部インターフェース装置52として、例えばUSBを用いたインターフェースが好適であり、有線LAN等により情報機器16と接続しても良い。
外部端子53は、情報機器16を充電するための充電用機器等を接続するための端子である。外部端子53を利用する構成については、第2実施形態で詳述する。
情報機器16は、タブレットやスマートフォン等の汎用的な携帯端末である。情報機器16は、外部機器15の外部インターフェース装置58を介して外部機器15に接続されて、外部機器15での機器認証の結果に応じて情報機器16内の各装置の機能を制御する。なお、情報機器16内の各装置は、機器認証の結果が整合するまで、機能が制限された状態(無効化された状態)で維持される。
具体的には、情報機器16は、外部機器15での認証結果が整合したとき、外部機器15から外部インターフェース装置58の識別情報を取得する。そして、この識別情報が予め登録された正規の値であるかを確認して、情報機器16内の装置の機能制限を解除して、装置を有効化する。なお、情報機器16内における装置の機能制限の解除は、装置の全機能を有効化しても良いし、一部の機能を有効化する等、有効化する機能を細かく設定しても良い。
一方、外部機器15での機器認証が不整合となった場合は、外部機器15から外部インターフェース装置58の識別情報を取得できないため、情報機器16内の各装置の機能は無効化した状態で維持される。
図6は、本実施形態における情報機器16ハードウェア構成の一例を示す構成図である。
情報機器16は、制御装置55、RAM56、内部蓄積装置57、外部インターフェース装置58、電源装置61、表示装置62、操作装置63、オーディオ装置64、カメラ65、無線通信装置66を備えている。外部機器15に接続される外部インターフェース装置58として、図6に示すようなMicro USB コネクタ59、USB OTG インターフェース60を備える構成が例示される。
制御装置55は、外部機器15での機器認証の結果に応じてカメラ65や表示装置62等の機能を制御する装置であり、内部蓄積装置57等に保存された制御用のプログラムに従って処理動作が制御されている。内部蓄積装置57には、カメラ65等の各デバイスで取得されたデータが保存される。
次に、セキュリティシステム10における機器認証の流れを説明する。
図7は、第1実施形態に係るセキュリティシステム10において、情報機器16の機能制限が解除されるまでの認証過程を示す状態遷移図を示している。
まず、管理者は、認証情報サーバ11とネットワーク上で接続された管理装置12を用いて利用者識別情報(利用者ID)を認証情報サーバ11に登録する(手順(1))。
認証情報サーバ11は、利用者識別情報に対応させて起動用の認証キーを生成して管理装置12に配信する(手順(2))。
管理者は、管理装置12と外部機器15を接続して、認証情報サーバ11から配信された認証キーを外部機器15のデータ保持装置47に書き込み保存する(手順(3))。
管理者は、起動用の認証キーが保持された外部機器15を利用者に渡し、利用者が外部機器15と情報機器16とを接続する(手順(4))。そして、利用者は、外部機器15が接続された情報機器16を持って、プラント内の作業現場に移動する。
利用者は、作業現場に設置されている認証機器13に、IDカード等を用いて利用者IDを入力する(手順(5))。
認証機器13は、認証情報サーバ11にアクセスして、利用者IDに基づき正規な利用者であるかの利用者認証を行う(手順(6))。
認証情報サーバ11は、利用者認証が完了した場合、起動用の認証キーを認証機器13に送信する(手順(7))。
認証機器13は、取得した認証キーを外部機器15に送信して、外部機器15は、予め保存されている認証キーと照合して機器認証を行う(手順(8))。外部機器15は、認証結果が整合したとき、バススイッチ50を切り替えて、データ蓄積装置51と情報機器16とを接続させる。
情報機器16は、データ蓄積装置51に保存されている外部インターフェース装置58の識別情報を取得して、この識別情報が予め登録された正規の値であるかを確認して、情報機器16内の装置の機能制限を解除して、装置を有効化する(手順(9))。
このように、外部機器15が接続されていない状態では情報機器16の機能が制限されるため(無効化状態が維持されるため)、情報機器16に接続される外部機器15がセキュリティキーのような位置づけとなる。
情報機器16は、認証キーを用いた機器認証の機能を有しないため、情報機器16のOS等の更新や修正があった場合でも、機器認証に係る構成を変更する必要がないため、情報機器16のメンテナンスや交換が容易となる。
続いて、図8を用いて機器認証に関する各機器のソフトウェアの構成を説明する。図8は、認証機器13、外部機器15、及び情報機器16のそれぞれのソフトウェア、ハードウェア構成を示すスタック図である。なお、図8では、システムの動作説明に必要なソフトウェア、ハードウェア構成のみを記載している。
認証機器13の制御装置37上では、OS70、API(Application Program interface)71、認証アプリケーション72が動作する。認証機器13の認証装置14は、利用者から利用者識別情報等を受け付けて、認証アプリケーション72は、起動用の認証キーを認証情報サーバ11から取得する。取得した起動用の認証キーは、認証装置14を介して外部機器15の認証装置48に送信される。
外部機器15の制御装置49上では、FW73(ファームウェア)が動作する。FW73は、認証機能74と、バス制御機能75を有している。
認証機能74は、データ保持装置47に保持されている認証キーと認証機器13から送信された認証キーとを照合する。バス制御機能75は、認証キーが一致した場合、データ蓄積装置51と外部インターフェース装置52とを接続させるため、スイッチを切り替える制御信号をバススイッチ50に出力する。
外部機器15は、認証結果が整合したとき、情報機器16ではデータを保存するためのストレージとして認識されるため、取得したデータを強制的に外部機器15のデータ蓄積装置51に転送することもできる。
一方、認証キーが一致しない場合、制御信号はバススイッチ50に出力されず、データ蓄積装置51と外部インターフェース装置52とは切断された状態のままとなる。このため、データ蓄積装置51と情報機器16とは接続しないため、外部インターフェース装置58の識別情報は情報機器16に送信されない。
情報機器16の制御装置55上では、OS76、API77、機能制限アプリ78が動作する。外部機器15での認証結果が整合した場合、データ蓄積装置51がバススイッチ50を介して情報機器16と接続されて、両機器の外部インターフェース間での通信(ネゴシエーション)が自動的に開始される。そして、外部インターフェース装置58の識別情報が情報機器16に送信される。
機能制限アプリ78は、認証機能79、機能制限機能80、を有している。認証機能79は、外部インターフェース間でのネゴシエーション後に、APIを介して外部インターフェース装置58の識別情報が通知される。
認証機能79は、通知された外部インターフェース装置58の識別情報が予め登録された正規の値であるかを確認する。そして、認証機能79は、正規の値と一致するとき、機能制限を解除して機能をON(有効化)する命令を機能制限機能80に行う。なお、ハードウェアデバイスの機能が有効な場合は、その状態を維持させる。
一方、外部インターフェース装置58の識別情報を取得できない場合やその値が正規のものでない場合は、デバイスの状態をOFF(無効化)する命令を機能制限機能80に行う。つまり、認証機能79において、外部インターフェース装置58の識別情報が認証できない場合は、機能制限は解除されずハードウェアデバイスを使用することはできない。
また、外部インターフェース装置58の識別情報を認証できなくなれば、実際のハードウェアデバイスをOFFすれば機能を使用することはできなくなる。また、外部機器15を取り外しても同様となる。
機能制限機能80は、認証機能79から機能制限の解除命令を受けた場合に、カメラ、表示装置等のハードウェアデバイスの機能制限を解除して有効化する。ハードウェアデバイスの制御は、APIの汎用インターフェースを用いる。
機能制限アプリ78は、定期的に外部インターフェース装置58の識別情報の取得、認証の動作を繰り返すことでハードウェアデバイスのON/OFFの管理を行う。
このため、本実施形態の動作によらず利用者がデバイスの機能をONにしても、デバイスの状態が定期的に取得され、不正にONされた場合には自動的にOFFに変更される。一方で、利用者が不正に操作しない場合、言い換えると本実施形態の動作によりデバイス状態が有効化されている場合は、デバイスはON状態に維持される。
図9は、第1実施形態に係る情報機器16のセキュリティシステム10の認証方法を示すフローチャートである(適宜、図1参照)。なお、以下では、外部インターフェースとしてUSBを用いた場合について説明する。
利用者は、作業現場に設置されている認証機器13に、IDカード等を用いて利用者IDを入力する(S10)。認証機器13は、利用者IDに基づいて起動用の認証キーを認証情報サーバ11から取得する(S11)。
外部機器15は、認証機器13から送信された認証キーと保持している起動用の認証キーとを照合して機器認証を行う。認証結果が整合したとき、バススイッチ50を切り替えて、外部機器15のデータ蓄積装置51を情報機器16に接続する(S12:YES、S13)。不整合の場合は、バススイッチ50は切り替わらず、データ蓄積装置51と情報機器16は接続しない(S12:NO)。
情報機器16は、外部機器15での認証結果が整合したとき、外部機器15から外部インターフェース装置58のPID/VID情報を取得する(S14)。PID/VID情報を取得できない場合は、デバイスを無効化する(S15:NO、S22)。
情報機器16は、取得したPID/VID情報が予め登録された正規の値であるかを確認する(S16)。そして、正規の値と一致する場合に、ハードウェアデバイスの状態を取得する(S17:YES、S18)。なお、正規の値と一致しない場合は、デバイスを無効化する(S17:NO、S22)。
デバイスが機能制限されている場合には、デバイスの機能制限を解除して有効化する(S19:NO、S21)。一方、デバイスが機能制限されていない場合、すなわち有効な場合はデバイス状態を維持する(S19:YES、S20)。
一定時間経過ごとに、S14~S22を繰り返すことで、正規の利用者によるデバイスのON/OFF管理を行うことができる。
図10は、情報機器16で取得されたデータを外部機器15に転送する構成の一例を説明する説明図である。
情報機器16では、外部機器15のデータ蓄積装置51は、USBマスストレージクラスのUSBデバイスとして認識される。
USBプロトコルにより、PID/VID情報が情報機器16におけるOS76のUSBドライバに通知される。PID/VID情報はAPI77を介して認証機能79に通知される。
認証機能79は、通知された外部インターフェース装置58の識別情報が予め登録された正規の値であるかを確認する。そして、正規の値と一致するとき、ハードウェアデバイスの機能制限を解除して機能をONする解除命令を機能制限機能80に行う。
機能制限機能80は、認証機能79から機能制限の解除命令を受けた場合に、APIを介してハードウェアデバイスの機能制限を解除して有効化する。その結果、OS76のドライバ等から実際のハードウェアデバイスのON/OFFが可能となる。利用者は、機能がONとなったデバイスを操作する。カメラなどの各デバイスで取得されるデータは、情報機器16の内部蓄積装置57に保存される。
データ蓄積監視機能81は、内部蓄積装置57に新たなファイルが作成された場合、そのファイル名を取得して、データを外部機器15のデータ蓄積装置51へと転送する。なお、転送された後のデータは、内部蓄積装置57から削除する構成としても良い。
具体的には、データ蓄積監視機能81は、プロセス起動時にユーザ領域の全ファイル名を取得して、リスト化する。その後、データ蓄積監視機能81は、一定時間毎にファイル名の取得と差分情報の有無を確認する。
データ蓄積監視機能81は、差分情報が存在する場合、差分情報に該当するファイルをデータ蓄積装置51に転送して、該当のファイルを削除する。なお、初回のファイル名の取得ができない場合は、監視機能を終了して、デバイスの機能制限を実施しても良い。
図11は、情報機器16に保存されるデータを監視して、差分情報を外部機器15に保存する方法を示すフローチャートである(適宜、図10参照)。
情報機器16のデータ蓄積監視機能81は、内部蓄積装置57におけるユーザ領域のファイル名を取得する(S30)。そして、データ蓄積監視機能81は、内部蓄積装置57内に保存された全ファイル名を取得して、ファイル名をリスト化する(S31:YES、S32)。ファイル名を取得できない場合は、エラーを通知して、デバイスの機能制限を実施する(S31:NO、S37)。
そして、一定時間待機した後に、データ蓄積監視機能81は、内部蓄積装置57におけるユーザ領域のファイル名を再度取得して、リスト化する(S33、S34)。そして、先に作成したリストと比較して、差分情報が有る場合は、新規作成ファイルとして外部機器15のデータ蓄積装置51に転送する(S34:YES、S35)。転送後に内部蓄積装置57に残っているデータを削除する(S36)。
S32~S36を繰り返して、内部蓄積装置57に保存される新規情報をデータ蓄積装置51に転送する。
このように、内部蓄積装置57に保存される新規情報をデータ蓄積装置51に随時転送することで、汎用の情報機器16における取得情報が適切に管理される。転送先の外部機器15のデータ蓄積装置51内のデータは、情報機器16に接続しなければアクセスできず、外部機器15が有する外部端子53(図5)からはアクセスすることができないため、内部の情報を安全に保存することができる。
図12は、外部機器15で機器認証を実施した場合において、認証結果が整合時のシーケンス図である。
まず、利用者が利用者IDを認証機器13に入力する(Sq1)。認証機器13は、認証情報サーバ11に対して利用者IDを問い合わせる(Sq2)。
認証情報サーバ11は、利用者IDに対応する起動用の認証キーを認証機器13に送信する(Sq3)。そして、認証機器13は、外部機器15に認証キーを送信する(Sq4)。
外部機器15は、送信された認証キーと予め保持されている認証キーとを照合して機器認証を行い、認証キーが整合した場合は、認証機器13に通知する(Sq5)。このとき、認証機器13は、機器認証が完了した旨を表示する(Sq6)。その後、認証機器13は、再度プロセスを立ち上げ、次の認証処理を待つ。
外部機器15は、バススイッチ50を切り替えて、外部機器15のデータ蓄積装置51を情報機器16に接続する(Sq7)。情報機器16は、外部機器15からPID/VIDを取得して、正規の値であるかを確認する(Sq8)。情報機器16は、PID/VIDが正規の値と一致する場合、デバイスの機能制限を解除する(Sq9)。
一方、図13は認証結果が不整合時のシーケンス図である。なお、Sq1~Sq4は、図12に示す整合時の処理と一致するため説明を省略する。
外部機器15において認証キーが不整合の場合、認証結果NGを認証機器13に警告する(Sq10)。認証機器13は、認証情報サーバ11に対して、使用された利用者ID、認証場所、時刻を送付する(Sq11)。
認証情報サーバ11は、予め設定した利用者と異なる人間が情報機器16を使用している可能性があるとして、利用者IDに対応する認証キーを書き換える(Sq12)。これにより、該当の利用者IDに対応する認証キーは使用不可となり、情報機器16の使用に制限をかけることができる。
そして、認証情報サーバ11は、認証機器13に対してNG処理を要求する(Sq13)。認証機器13は、機器認証NGを表示して、管理装置12に通知する(Sq14)。
以上、第1実施形態に係るセキュリティシステム10では、機器認証の機能を情報機器16とは独立した外部機器15に具備させて、情報機器16内のデバイスの機能制限をアプリケーションプログラムで構成する。
これにより、情報機器16においてOS等のソフトウェアの改修が生じた場合であっても、機器認証の構成に影響を与えることは無いため、情報機器16のメンテナンスや交換が容易となり、可用性を向上させることができる。
また、外部機器15と情報機器16との認証を、USBのような汎用的なインターフェースの仕組みを利用することで、長期運用が求められる場合であっても、安定的なセキュリティシステムを実現できる。
(第2実施形態)
図14は、第2実施形態に係るセキュリティシステム10における外部機器15の構成の一例を示す回路図である。外部機器15に接続される情報機器16等その他の構成は、第1実施形態(図1)と同様となるため記載を省略する。
ここで、図14に示す外部機器15のコントローラIC82は、図5に示す制御装置49に対応している。そして、EEPROM83、NFCリーダIC84、及びUSBコネクタ85のそれぞれは、図5に示すデータ保持装置47、認証装置48、外部端子53に対応する。
同様に、図14に示す外部機器15のUSBバススイッチ86は、図5に示すバススイッチ50に対応している。そして、NANDフラッシュメモリ87及びUSB micro コネクタ88のそれぞれは、図5に示すデータ蓄積装置51、外部インターフェース装置52に対応する。
第2実施形態に係るセキュリティシステム10では、電力供給用の機器が外部機器15のUSBコネクタ85に接続されたときに、外部機器15を介して情報機器16を充電可能に構成する。
以下、具体的な構成を説明する。なお、図14に示す外部機器15の回路図は、回路の一部を簡略化して記載しており、外部機器15には、情報機器16のUSB電源を5V(VBUS_B)から各ICの動作電圧に変換するDC/DCコンバータ回路が必要となる。
EEPROM83及びNFCリーダIC84のそれぞれは、I2Cバスを介してコントローラIC82に接続されており、機器認証に必要な情報がコントローラIC82に送信される。
USBバススイッチ86は、コントローラIC82での機器認証の結果に応じて制御されるスイッチである。USBバススイッチ86は、SPDTスイッチ等で構成される。
図14に示すように、情報機器16に接続されるUSB micro コネクタ88と、外部の機器と接続されるUSBコネクタ85との間にバスラインの接続は無い。さらに、NANDフラッシュメモリ87とUSBコネクタ85との間にもバスラインの接続は無い。USBコネクタ85を通じて情報機器16及びNANDフラッシュメモリ87にアクセスすることが物理的にできないため、USBコネクタ85を介した情報機器16及びNANDフラッシュメモリ87内のデータへのスキミングが防止される。
コントローラIC82は、GPIO信号でUSBバススイッチ86を制御する。機器認証前の状態では、コントローラIC82のGPIO2をHigh、または、Openに固定される。これにより、USBバススイッチ86のEnableピンがHighとなり、USBバススイッチ86は切断状態となる。
一方、認証結果が整合したときは、コントローラIC82のGPIO2がLowに変更されて、USBバススイッチ86のEnableピンがLowとなる。そして、USBバススイッチ86は、GPIO3により接続先を切り替え可能な状態となる。
USBバススイッチ86は、USBコネクタ85に外部の機器が接続されていないときは、USB micro コネクタ88を介して情報機器16とNANDフラッシュメモリ87とを接続させる。一方、USBコネクタ85に外部の機器が接続されているときは、情報機器16のUSB端子がショートになるように切り替えられて、情報機器16を充電させる。
図15は、バススイッチ50の制御動作を示す真理値表である。
USBバススイッチ86のEnableピンがHighのときは、USBバススイッチ86は切断された状態となる。このとき、NANDフラッシュメモリ87と情報機器16とは接続できず、情報機器16は機能制限がされた状態で維持される。
機器認証の結果が整合となった場合、コントローラIC82のGPIO2がLowに変更されて、USBバススイッチ86のEnableピンがLowに変更される。このとき、Selectピンの状態によってバススイッチ50の接続先が変更される。
ここで、USBコネクタ85が、外部のUSB充電器に接続されるとVBUS_AがHighに変化して、VBUS_ONがHighからLowに変化する。コントローラIC82は、この電圧状態の変化をGPIO0で検出し、GPIO3を用いてUSBバススイッチ86の接続先を変更する。
USBコネクタ85にUSB充電器が接続されて、VBUS_Aの電圧値がHigh(所定の基準電圧以上)となる場合、コントローラIC82はGPIO3をLowとして、SelectピンをLowにする。このとき、USBバススイッチ86のD+ポートは、1D+ポートに接続されて、D-ポートは1D-ポートに接続する。
USBバススイッチ86の切り替えにより、外部機器15に接続されている情報機器16のUSB D+/D-端子はショートとなる。同時に、情報機器16のID端子はGNDとの接続が切断された状態となる。情報機器16は、USB充電器に接続されたと認識して、外部機器15に電力を供給するホストモードから、外部機器15を介して電力の供給を受けるデバイスモードに移行する。その結果、VBUS_AからVBUS_Bを通じて情報機器16に充電することができる。
一方、VBUS_Aの電圧値がLowである場合、コントローラIC82はGPIO3をHighとして、SelectピンをHighにする。このとき、USBバススイッチ86のD+ポートは2D+ポートに接続されて、D-ポートは2D-ポートに接続される。これにより、NANDフラッシュメモリ87と情報機器16とが接続される。
図16は、第2実施形態に係る外部機器15の機器認証方法を示すフローチャートである(適宜、図1、図14参照)。なお、外部機器15における機器認証が完了した後のフローについては、第1実施形態と同様となるため記載を省略している。
利用者は、作業現場に設置されている認証機器13に、IDカード等を用いて利用者IDを入力する(S40)。認証機器13は、起動用の認証キーを認証情報サーバ11から取得する(S41)。
外部機器15は、認証機器13から送信された認証キーとEEPROM83で保持している起動用の認証キーとを照合して機器認証を行う(S42)。認証結果が整合したとき、コントローラIC82のGPIO2がLowに変更されて、USBバススイッチ86は接続先を切り替え可能な状態となる(S42:YES、S43)。
一方、認証結果が不整合の場合は、コントローラIC82のGPIO2はHighに維持されて、USBバススイッチ86は切り替えられない(S42:NO)。
コントローラIC82は、USBコネクタ85の電圧状態(例えばVBUS_Aの電圧値)を検出する(S44)。そして、VBUS_Aの電圧値がHighの場合、コントローラIC82は、USBコネクタ85にUSB充電器が接続されていると認識して、USBバススイッチ86を切り替えて情報機器16のUSB D+/D-端子をショートさせる(S45:YES)。これにより、情報機器16は、外部機器15を介して電力の供給を受けることができる。
一方、VBUS_Aの電圧値がLowの場合は、USBコネクタ85に外部の機器が接続されてないと認識して、USBバススイッチ86を切り替えてNANDフラッシュメモリ87と情報機器16とを接続させる(S45:NO、S46)。
このように第2実施形態に係るセキュリティシステム10は、外部機器15及び情報機器16内のデータを保全しつつ、情報機器16に外部機器15を接続した状態で、情報機器16を簡易に充電することができる。
(第3実施形態)
図17は、第3実施形態に係るセキュリティシステム10の認証方法を説明するための状態遷移図である。第1実施形態と共通の構成又は機能を有する部分は、同一符号で示し、重複する説明を省略する。なお、図17に示す手順(1)~手順(8)は第1実施形態の手順(図7参照)と同一となる。
第3実施形態に係るセキュリティシステム10では、外部機器15に予め保持される起動用の認証キーを利用者識別情報(利用者ID)に書き換えて、書き換えられた利用者識別情報と入力された利用者識別情報とを照合することで機器認証を実行する。
第3実施形態に係るセキュリティシステム10の認証手順について第1実施形態と異なる点を中心に説明する(適宜、図5参照)。
認証機器13は、認証情報サーバ11から取得した起動用の認証キーを外部機器15に送信して、外部機器15は、予め保存されている認証キーと照合して機器認証を行う(手順(8))。
外部機器15は、起動用の認証キーによる機器認証の結果が整合したとき、認証機器13に対して認証確認の通知を行う(手順(9))。認証確認の通知は、認証情報サーバ11に送られる。
認証確認の通知を受けた認証機器13は、利用者IDを外部機器15に書き込む(手順(10))。利用者IDの書き込み先は、外部機器15のデータ保持装置47である。
なお、利用者IDを書き込む方法として具体的には、図14に示すEEPROM83(データ保持装置47)のWPピンをLowに変更することで、書き込み可能な状態となる。この状態でコントローラIC82を介して利用者IDの書き込みを行う。書き込み後はEEPROM83のWPピンをHighにすることで、外部からの書き込みが不可能となる。
予め保存されていた起動用の認証キーは、一度認証された後は一定期間使用不可に設定される。または、起動用の認証キーは一度認証された後は削除して、以降は利用者IDで機器認証するように設定しても良い。
利用者は、IDカード等を用いて利用者IDを外部機器15に入力して、外部機器15は、保存されている利用者IDと照合して機器認証を行う(手順(11))。外部機器15は、認証結果が整合したとき、バススイッチ50を切り替えて、データ蓄積装置51と情報機器16とを接続させる。
そして、情報機器16は、データ蓄積装置51に保存されている外部インターフェース装置58の識別情報を取得して、この識別情報が予め登録された正規の値であるかを確認して、情報機器16内の装置の機能制限を解除して有効化する(手順(12))。
以降、利用者は、情報機器16の操作時に利用者IDによる機器認証を要求されて、利用者IDを用いて機器認証を行う。
情報機器16の操作時に利用者IDを要求する方法として、例えば、情報機器16が休止状態に入るときに、USBポートからの給電が行われないよう設定しておき、外部機器15の電源をOFFにする。その後、復帰したときにその都度、外部機器15を用いた利用者IDを用いた機器認証を要求する。
また、利用者IDによる機器認証は、予め設定された情報機器16の起動可能回数までに制限する構成としても良い。情報機器16は、利用者IDによる機器認証を行うごとに認証回数をカウントして、予め設定された認証回数に到達した場合に認証を中止して、デバイスの機能制限をかける(情報機器16のデバイスの機能を無効化する)。
図18は、第3実施形態に係るセキュリティシステム10の機器認証方法を示すフローチャートである(適宜、図14、図17参照)。なお、外部機器15において機器認証が完了した後のフローについては、第1実施形態と同様となるため記載を省略している。
利用者は、作業現場に設置されている認証機器13に、IDカード等を用いて利用者IDを入力する(S50)。認証機器13は、起動用の認証キーを認証情報サーバ11から取得する(S51)。
外部機器15は、認証機器13から送信された認証キーと予め保持している起動用の認証キーとを照合して機器認証を行う(S52)。認証結果が整合したとき、起動用の認証キーを利用者IDに書き換える(S52:YES、S53)。
そして、コントローラIC82のGPIO2がLowに変更されて、USBバススイッチ86は接続先を切り替え可能な状態となる(S54)。
コントローラIC82は、USBコネクタ85の電圧状態(例えばVBUS_Aの電圧値)を検出する(S55)。そして、VBUS_Aの電圧値がHighの場合、コントローラIC82は、USBバススイッチ86を切り替えて情報機器16のUSB D+/D-端子をショートさせる(S56:YES)。これにより、情報機器16は、外部機器15を介して電力の供給を受けることができる。
一方、VBUS_Aの電圧値がLowの場合は、コントローラIC82は、USBコネクタ85に外部の機器が接続されてないと認識し、USBバススイッチ86を切り替えてNANDフラッシュメモリ87と情報機器16とを接続させる(S56:NO、S57)。
コントローラIC82は、利用者IDを用いた認証による接続回数をカウントする(S58)。利用者IDを用いた接続の回数が起動可能回数を超える場合は、NANDフラッシュメモリ87と情報機器16との接続を切断する(S59:NO、S60)。制限回数以内の機器認証であれば、NANDフラッシュメモリ87と情報機器16との接続を継続する(S59:YES)。
このように第3実施形態に係るセキュリティシステム10は、利用者識別情報により機器認証可能な構成にすることで、正規な利用者により厳密な認証管理を行うことができる。
なお、認証機器13を、利用者の入出力制限エリアへの入出を管理するためのゲート装置として設置して、侵入防止のためのゲート装置として用いることができる。
以上述べた各実施形態の情報機器のセキュリティシステムは、情報機器に接続される外部機器において機器認証を行い、情報機器に実装されたアプリケーション上でカメラ等の各装置の機能制限を解除することにより、情報機器のメンテナンスや交換を容易にし、情報機器の可用性を向上できる。
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。