JPWO2016038729A1 - 認証システム、利用者端末、制御装置、サービス提供装置、プログラム、および認証方法 - Google Patents
認証システム、利用者端末、制御装置、サービス提供装置、プログラム、および認証方法 Download PDFInfo
- Publication number
- JPWO2016038729A1 JPWO2016038729A1 JP2016547328A JP2016547328A JPWO2016038729A1 JP WO2016038729 A1 JPWO2016038729 A1 JP WO2016038729A1 JP 2016547328 A JP2016547328 A JP 2016547328A JP 2016547328 A JP2016547328 A JP 2016547328A JP WO2016038729 A1 JPWO2016038729 A1 JP WO2016038729A1
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- authentication factor
- verification
- control device
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2137—Time limited access, e.g. to a computer or data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Lock And Its Accessories (AREA)
Abstract
実施形態の認証システムは、制御装置と利用者端末とサービス提供装置とを持つ。制御装置は、格納部と、情報取得部と、認証処理部と、制御管理部とを持つ。情報取得部は、認証のための認証要素を取得する。認証処理部は、情報取得部が取得した認証要素を照合するため認証要素を含んだ照合要求メッセージを利用者端末に対して送信するとともに、利用者端末から照合要求メッセージに対応する照合応答メッセージを受信し、照合応答メッセージが照合成功を示す場合には取得した認証要素を前記格納部に登録するとともに認証要素のステータスを「無効」とし、認証要素登録応答メッセージをサービス提供装置に対して送信し、認証要素登録応答メッセージに対応して前記サービス提供装置から認証要素有効化指示を受けると、格納部に登録した認証要素のステータスを「有効」とする。
Description
本発明の実施形態は、認証システム、利用者端末、制御装置、サービス提供装置、プログラム、および認証方法に関する。
近年、共用の物品をレンタルないしはシェアする形態で利用できるサービスが普及しつつある。一例としては、共用車両サービス(カーシェアリング、レンタカーなどと称される)の利用が増加し、普及が進んでいる。このようなサービスにおいて、利用者の利便性を図るために、貸出時に、対面で鍵を受け渡しする形態ではなく、会員カードなどの個人識別トークンを用いてドア解錠ができるような技術が開発されている。
しかしながら、個人識別トークンだけでは、利用者の識別をすることはできても、利用範囲等の権限を管理したり、可否判断したりすることはできない。そのような問題を解決するためには、利用権限を示す情報を用いて、利用権限を有する利用者を認証する方法がとられている。
また、個人識別トークンを用いた認証方法では、そのトークンを所有した人がサービス利用者の本人かどうかを確認することができないため、確実な本人認証が困難である。そのような問題を解決するためには、個人ごとに特有の生体情報を用いた認証により、確実な本人確認を行うとともに、利用者に操作等の負担をかけない認証技術が開発されている。
また、認証の際に、サーバー装置との間の通信が必要となる認証方法では、サーバーとの通信が接続できない環境において、サービスの利用が出来なくなってしまう。そのため、物品(車両等)とサーバーとの間で通信が成立しない状況下でも、車両についての必要最低限の機能を提供できるようにする認証技術も開発されている。
したがって、生体認証等を用いて認証処理を行う場合に、認証要素をサーバー装置側で管理することの負担を減らすことが求められる。また、利用者側とサーバー装置との間で認証要素を通信する場合に起こり得る情報漏えいを防止することが求められる。
さらに、利用者側とサーバー装置との通信が切れてしまっても、言い換えれば利用者側とサーバー装置側とが常時接続されていなくても、認証処理の程度が低下しないようにすることが求められる。
さらに、利用者が物理的な鍵(例えば、金属製の鍵や、鍵の役割を果たすICカードなど)を紛失してしまった場合にサービスを受けられなくなるような事態を避けることが求められる。
さらに、利用者側とサーバー装置との通信が切れてしまっても、言い換えれば利用者側とサーバー装置側とが常時接続されていなくても、認証処理の程度が低下しないようにすることが求められる。
さらに、利用者が物理的な鍵(例えば、金属製の鍵や、鍵の役割を果たすICカードなど)を紛失してしまった場合にサービスを受けられなくなるような事態を避けることが求められる。
本発明が解決しようとする課題は、利用者側とサーバー装置側との間の通信路で認証要素の情報を伝送する必要がなく、また、利用者側とサーバー装置側との間の通信が常時接続されていなくても、充分な認証処理を行うことのできる、認証システム、利用者端末、制御装置、サービス提供装置、プログラム、および認証方法を提供することである。
実施形態の認証システムは、制御装置と利用者端末とサービス提供装置とを持つ。
上記の制御装置は、格納部と、情報取得部と、認証処理部と、制御管理部とを持つ。格納部は、認証要素を格納する。情報取得部は、認証のための認証要素を取得する。認証処理部は、前記情報取得部が取得した前記認証要素を照合するため前記認証要素を含んだ照合要求メッセージを利用者端末に対して送信するとともに、前記利用者端末から前記照合要求メッセージに対応する照合応答メッセージを受信し、前記照合応答メッセージが照合成功を示す場合には取得した前記認証要素を前記格納部に登録するとともに前記認証要素のステータスを「無効」とし、認証要素登録応答メッセージをサービス提供装置に対して送信し、前記認証要素登録応答メッセージに対応して前記サービス提供装置から認証要素有効化指示を受けると、前記格納部に登録した前記認証要素のステータスを「有効」とする。制御管理部は、前記認証処理部による処理の結果として前記認証要素のステータスが「有効」となったことに基づいて対象物を制御する。
上記の利用者端末は、格納部と、認証処理部とを持つ。格納部は、予め利用者の認証要素である利用者認証要素を格納する。認証処理部は、前記制御装置から認証要素を含んだ照合要求メッセージを受信すると、前記照合要求メッセージに含まれている前記認証要素と、前記格納部に格納されている前記利用者認証要素とを照合し、この照合処理が成功か失敗かを表す情報を含んだ照合応答メッセージを前記制御装置に送信する。
上記のサービス提供装置は、検証部と、サービス提供部とを持つ。検証部は、前記制御装置から認証要素登録応答メッセージを受信すると、前記認証要素登録応答メッセージに含まれる、認証処理に関するアサーション情報を検証するとともに、検証が成功すると、前記制御装置内の前記格納部に格納されている前記認証要素のステータスを有効化するための認証要素有効化指示を前記制御装置に対して送信する。サービス提供部は、前記検証部による検証が成功すると、前記制御装置が制御対象とする対象物を用いたサービスを利用者に提供するための状態を管理する。
上記の制御装置は、格納部と、情報取得部と、認証処理部と、制御管理部とを持つ。格納部は、認証要素を格納する。情報取得部は、認証のための認証要素を取得する。認証処理部は、前記情報取得部が取得した前記認証要素を照合するため前記認証要素を含んだ照合要求メッセージを利用者端末に対して送信するとともに、前記利用者端末から前記照合要求メッセージに対応する照合応答メッセージを受信し、前記照合応答メッセージが照合成功を示す場合には取得した前記認証要素を前記格納部に登録するとともに前記認証要素のステータスを「無効」とし、認証要素登録応答メッセージをサービス提供装置に対して送信し、前記認証要素登録応答メッセージに対応して前記サービス提供装置から認証要素有効化指示を受けると、前記格納部に登録した前記認証要素のステータスを「有効」とする。制御管理部は、前記認証処理部による処理の結果として前記認証要素のステータスが「有効」となったことに基づいて対象物を制御する。
上記の利用者端末は、格納部と、認証処理部とを持つ。格納部は、予め利用者の認証要素である利用者認証要素を格納する。認証処理部は、前記制御装置から認証要素を含んだ照合要求メッセージを受信すると、前記照合要求メッセージに含まれている前記認証要素と、前記格納部に格納されている前記利用者認証要素とを照合し、この照合処理が成功か失敗かを表す情報を含んだ照合応答メッセージを前記制御装置に送信する。
上記のサービス提供装置は、検証部と、サービス提供部とを持つ。検証部は、前記制御装置から認証要素登録応答メッセージを受信すると、前記認証要素登録応答メッセージに含まれる、認証処理に関するアサーション情報を検証するとともに、検証が成功すると、前記制御装置内の前記格納部に格納されている前記認証要素のステータスを有効化するための認証要素有効化指示を前記制御装置に対して送信する。サービス提供部は、前記検証部による検証が成功すると、前記制御装置が制御対象とする対象物を用いたサービスを利用者に提供するための状態を管理する。
以下、実施形態の認証システム、利用者端末、制御装置、サービス提供装置、プログラム、および認証方法について、図面を参照して説明する。
まず、本実施形態による各装置と、その機能構成について説明する。
図1は本実施形態が実現する認証システムの概略機能構成を示すブロック図である。同図に示すように、本実施形態によるシステムは、利用者端末100と、サービス提供装置200と、移動体制御装置300とを含む。移動体制御装置は、単に「制御装置」とも呼ぶ。
まず、本実施形態による各装置と、その機能構成について説明する。
図1は本実施形態が実現する認証システムの概略機能構成を示すブロック図である。同図に示すように、本実施形態によるシステムは、利用者端末100と、サービス提供装置200と、移動体制御装置300とを含む。移動体制御装置は、単に「制御装置」とも呼ぶ。
利用者端末100は、例えば、スマートフォンや、パーソナルコンピューターや、ウェアラブルコンピューターや、その他の携帯型情報通信機器などである。複数の利用者がいる場合、原則として、各利用者が1台の利用者端末100を保有し、利用する。サービス提供装置200は、サーバーコンピューター等を用いて実現される装置である。なお、複数の装置を用いて、いわゆるクラウドとしてサービス提供装置200を実現しても良い。サービス提供装置200は、例えば、移動体(車両など)の予約管理を行う機能や、利用者の認証処理に関する検証を行う機能などを備えている。移動体制御装置300は、移動体の機能を制御する能力を備えている。移動体が車両であるとき、移動体制御装置300は、その車両のドアロックを解錠/施錠したり、その車両のエンジンロックを解錠/施錠したりする。エンジンロックの制御は、車両のイモビライザーの機能と連動する。原則として、1台の移動体に対して1台の移動体制御装置300が設けられている。
利用者端末100とサービス提供装置200と移動体制御装置300とは、ネットワークにより相互に通信可能なように接続されている。このネットワーク上では、例えばIP(インターネットプロトコル)を用いた、双方向のデータ通信が行われる。利用者端末100と移動体制御装置300との間は、無線LANやブルートゥース(bluetooth)やNFC(Near Field Communication)などの近距離通信を用いることが好適であるが、特に通信距離に関する限定はない。利用者端末100とサービス提供装置200との間や、移動体制御装置300とサービス提供装置200との間は、WAN(ワイドエリアネットワーク)を用いることが好適であるが、特に通信距離に関する限定はない。
利用者端末100は、通信部110と、サービス管理部120と、認証装置130とを含む。通信部110は、サービス管理部120や認証装置130が、ネットワークを介して外部の装置との間で通信するための機能を提供する。ここで外部の装置とは、サービス提供装置200や移動体制御装置300である。サービス管理部120は、移動体を利用することに関連する諸サービスをサービス提供装置200に対して要求する機能を有する。
認証装置130は、認証機能を提供するものであり、格納部131と、情報取得部132と、認証処理部133とを含む。認証装置130は、利用者を認証する。認証装置130は、ヒトの個体ごとの特徴を利用した生体認証の技術を利用することが好適であるが、その他の認証のための技術を利用しても良い。
格納部131は、利用者の本人認証に必要な情報を格納する機能と、格納した情報を認証処理部133に渡す機能とを有する。なお、格納部131は、利用者の認証要素である利用者認証要素を予め格納しておくようにする。格納部131は、例えば半導体メモリなどの記憶装置を用いて実現される。情報取得部132は、利用者の本人確認のために必要な情報を外部から取得する機能と、取得した情報を認証処理部133に渡す機能とを有する。認証処理部133は、格納部131と情報取得部132とから情報を受け取る機能を有する。また、認証処理部133は、格納部131と情報取得部132とから受け取った情報を用いて利用者の本人認証を行う機能を有する。また、認証処理部133は、認証装置130の処理が正しく行われることを表明するアサーション情報を生成する機能を有する。また、認証処理部133は、通信部110に情報を渡す機能を有する。言い換えれば、認証処理部133は、移動体制御装置300から認証要素を含んだ照合要求メッセージを受信すると、照合要求メッセージに含まれている認証要素と、格納部131に格納されている利用者認証要素とを照合し、この照合処理が成功か失敗かを表す情報を含んだ照合応答メッセージを移動体制御装置300に送信する。
なお、認証処理部133が生成するアサーション情報としては、ISO/IEC24761「生体認証のための認証コンテキスト」で定義されたACBioInstanceが好適である。但し、認証装置130が実行した処理や利用した情報の正当性を表明できるものであれば、認証処理部133は、このACBioInstance以外のアサーション情報を用いても良い。なお、以後に記載する各種のアサーション情報としても、同様に、ISO/IEC24761で定義されたACBioInstanceが好適である。
サービス提供装置200は、通信部210と、サービス提供部221と、格納部222と、検証部231と、格納部232とを含む。格納部222および232は、半導体メモリやハードディスク装置などの記憶装置を用いて実現される。
通信部210は、サービス提供部221と検証部231がサービス提供装置200の内部で通信する機能を提供する。また、通信部210は、サービス提供部221と検証部231が、ネットワークを介して、利用者端末100や移動体制御装置300などと通信する機能を提供する。サービス提供部221は、外部から到着するサービス要求を処理する機能と、格納部222に格納された情報を管理する機能と、通信部210に情報を受け渡す機能とを有する。言い換えれば、サービス提供部221は、検証部231による検証が成功すると、移動体制御装置300が制御対象とする対象物を用いたサービスを利用者に提供するための状態を管理する。格納部222は、移動体の利用予約等に関する予約情報を格納する機能と、格納している情報をサービス提供部221に渡す機能とを有する。なお、予約情報の詳細については、後で別の図面を参照しながら説明する。
検証部231は、アサーション情報の正当性を検証する機能と、アサーション情報の検証結果を生成する機能と、アサーション情報の検証結果を出力する機能と、格納部232に格納された情報を受け取る機能と、通信部210に情報を受け渡す機能とを有する。言い換えれば、検証部231は、移動体制御装置300から認証要素登録応答メッセージを受信すると、認証要素登録応答メッセージに含まれる、認証処理に関するアサーション情報を検証するとともに、検証が成功すると、移動体制御装置300内の格納部323に格納されている認証要素のステータスを有効化するための認証要素有効化指示を移動体制御装置300に対して送信する。格納部232は、アサーション情報を検証するために必要な情報を格納する機能と、検証部231にこの情報を渡す機能とを有する。なお、アサーション情報を検証するために必要な情報の詳細については、後で別の図面を参照しながら説明する。
移動体制御装置300は、通信部310と、認証装置320と、制御管理部330とを含む。
通信部310は、認証装置320や制御管理部330が、ネットワークを介して、利用者端末100やサービス提供装置200との間で通信を行う機能を提供する。認証装置320は、情報取得部321と、認証処理部322と、格納部323とを含む。情報取得部321は、利用者から本人確認のため必要な情報を取得する機能と、取得したその情報を認証処理部322および格納部323に渡す機能とを有する。言い換えれば、情報取得部321は、利用者の認証のための認証要素を取得する。認証処理部322は、情報取得部321および格納部323から情報を受け取る機能と、受け取った情報を用いて利用者の本人確認を行う機能と、認証装置320の処理が正しく行われることを表明するアサーション情報を生成する機能と、アサーション情報の正当性を検証する機能と、認証要素を管理する機能と、認証要素証明書の有効性を確認する機能と、通信部310との間で情報を受け渡す機能とを有する。言い換えれば、認証処理部322は、情報取得部321が取得した認証要素を照合するため認証要素を含んだ照合要求メッセージを利用者端末100に対して送信するとともに、利用者端末100から照合要求メッセージに対応する照合応答メッセージを受信し、照合応答メッセージが照合成功を示す場合には取得した認証要素を格納部323に登録するとともに認証要素のステータスを「無効」とし、認証要素登録応答メッセージをサービス提供装置200に対して送信し、認証要素登録応答メッセージに対応してサービス提供装置200から認証要素有効化指示を受けると、格納部323に登録した認証要素のステータスを「有効」とする。格納部323は、認証要素や認証要素証明書を格納するための記憶機能を有する。
制御管理部330は、移動体に設けられている各部を制御する機能を有する。言い換えれば、認証処理部322による処理の結果として認証要素のステータスが「有効」となったことに基づいて対象物を制御する。本実施形態において、移動体とはタイムシェアされる自動車であり、制御管理部330は、例えば、移動体のドアロックの開閉を制御したり、移動体のエンジンのロックの開閉を制御したりする機能を有する。また、制御管理部330は、通信部310との間で情報を受け渡す機能を有する。なお、制御管理部330が、移動体のドアロックやエンジン以外の各部の制御を行うようにしても良い。
次に、本実施形態を用いた場合の、全体の処理の流れについて説明する。
図2は、図1に示したシステム全体の一連の処理の流れを示すフローチャートである。同図において、利用者は、予め移動体の利用を予約しており、そして、ドアの解錠、エンジンの解錠、移動体の利用、移動体の返却という一連の流れでの利用を行う。このうち、ドアの解錠(ステップST1からST9まで)については、図3でより詳細に説明する。また、エンジンの解錠(ステップST10からST21まで)については、図4でより詳細に説明する。また、移動体の返却(ステップST23からST32まで)については、図8でより詳細に説明する。
図2は、図1に示したシステム全体の一連の処理の流れを示すフローチャートである。同図において、利用者は、予め移動体の利用を予約しており、そして、ドアの解錠、エンジンの解錠、移動体の利用、移動体の返却という一連の流れでの利用を行う。このうち、ドアの解錠(ステップST1からST9まで)については、図3でより詳細に説明する。また、エンジンの解錠(ステップST10からST21まで)については、図4でより詳細に説明する。また、移動体の返却(ステップST23からST32まで)については、図8でより詳細に説明する。
図3は、本実施形態によるシステムにおける、移動体のドアの解錠に関する処理の流れを示すシーケンスチャートである。以下、このチャートに沿って説明する。
ステップST1において、利用者による操作に基づき、利用者端末100は、サービス提供装置200に、移動体のドアの解錠を要求するメッセージを送る。ドアの騎乗要求のメッセージは、利用対象の移動体を識別するための移動体識別情報を含んでいる。具体的には、サービス管理部120がこの要求を送り、サービス提供部221がこの要求を受け取る。なお、ステップST1の実行の前に、利用者は、移動体の利用に関する予約を既に完了している。
ステップST2において、サービス提供装置200側のサービス提供部221は、受け取ったドア解錠要求に含まれている移動体識別情報をキーとして用いて、合致する移動体識別情報を持つレコードが格納部222に存在するかどうかを確認する。そのレコードが存在する場合、サービス提供部221は、移動体が貸出可能な状態であることを確認する。移動体が貸出可能な状態であるとは、例えば、予約者が登録されており、移動体のドアとエンジンがロックされている状態である。そのような状態においては、その移動体は予約さているが、まだ貸出されていないので、貸出可能な状態であると、サービス提供部221は判断できる。そして、移動体が貸出可能な状態であれば、サービス提供部221は、認証処理部133に認証要求のメッセージを送信する。
ステップST3からST5までは、利用者端末100側での認証処理が行われる。なお、ステップST3からST5までの認証処理については、例えばユーザ名とパスワードによる認証を行っても良いが、より高セキュリティな認証を行うためには、ISO/IEC24761「生体認証のための認証コンテキスト」に準拠した認証方法が好適である。
ステップST3において、利用者端末100側の認証処理部133は、送られてきた認証要求のメッセージを受け取る。そして、認証処理部133は、利用者に対して認証要素を要求する。
ここで、認証要素とは、利用者の生体認証のための情報であり、利用者個人の生体の特徴を表す情報である。具体的には、認証要素とは、例えば、指紋や、掌紋や、声紋や、顔のパーツの配置関係や、瞳の中の虹彩パターンやなどであるが、これらに限定されない。なお、認証要素は、取得した画像等の生の情報の形態であっても良いし、取得した画像等から抽出された特徴量であっても良いし、さらにそれらをデジタル署名した結果等であっても良い。
ここで、認証要素とは、利用者の生体認証のための情報であり、利用者個人の生体の特徴を表す情報である。具体的には、認証要素とは、例えば、指紋や、掌紋や、声紋や、顔のパーツの配置関係や、瞳の中の虹彩パターンやなどであるが、これらに限定されない。なお、認証要素は、取得した画像等の生の情報の形態であっても良いし、取得した画像等から抽出された特徴量であっても良いし、さらにそれらをデジタル署名した結果等であっても良い。
ステップST4において、利用者は、利用者端末100内の情報取得部132は、利用者から認証要素を取得する。そして、情報取得部132は、取得した認証要素を、認証処理部133に供給する。
ステップST5において、認証処理部133は、ステップST4で取得した利用者の認証要素と、格納部131に事前に登録された情報とを用いて利用者の本人確認を行う。この本人確認の処理は、標準化された認証方法によるものである。利用者が本人であると確認された場合、認証処理部133は、認証結果と認証処理のアサーション情報とを、認証応答として生成する。ここで、認証処理のアサーション情報は、生成された認証結果が上のステップST2で送信された認証要求に対応して実行した認証処理の結果であることを表明するものである。また、この認証処理のアサーション情報は、認証処理が正しく実行されて、本人確認が行えたことを表明するものである。なお、認証処理のアサーション情報としては、上記のISO/IEC24761「生体認証のための認証コンテキスト」で定義されたACBioInstanceが好適である。
ステップST6において、認証処理部133は、ステップST5において生成した認証応答のメッセージを、サービス提供装置200側の検証部231に送信する。
ステップST7において、検証部231は、認証処理部133から受信した認証応答の正当性を検証する。なお、格納部232には認証結果を検証するための情報が事前に登録されており、検証部231は受信した認証結果の正当性を検証する際には格納部232の情報を用いる。
ステップST7において、検証部231は、認証処理部133から受信した認証応答の正当性を検証する。なお、格納部232には認証結果を検証するための情報が事前に登録されており、検証部231は受信した認証結果の正当性を検証する際には格納部232の情報を用いる。
ステップST8において、検証部231は、ステップST7において行った検証が成功した場合には、ドア解除応答のメッセージを移動体制御装置300側の制御管理部330に送信する。ドア解除応答のメッセージは、移動体制御装置300が移動体のドアロックを解除するためのものである。また、検証部231は、登録された予約情報を更新するよう格納部222に要求する。これにより、格納部222は、その移動体のドアロック状態を解錠に更新する。
ステップST9において、制御管理部330は、受信したドア解錠応答のメッセージに従って、ドアのロックを解錠する。
ステップST9において、制御管理部330は、受信したドア解錠応答のメッセージに従って、ドアのロックを解錠する。
図4は、本実施形態によるシステムにおける、移動体のエンジンロックの解錠に関する処理の流れを示すシーケンスチャートである。なお、同図に示す一連のシーケンスは、認証要素に基づく認証処理と、認証処理に関する検証処理と、認証処理に関する証明書の生成及び記憶と、認証要素の移動体制御装置内での記憶と、その認証要素の有効化の手順とを含む。
また、同図に示すデータのうち、破線で囲って示すデータは、エンジンの解錠前には格納されておらず、エンジンの解錠を行う時に生成され格納されるデータである。その破線で囲って示すデータとは、格納部232においては、車載認証要素証明書である。また、同じく破線で囲って示すデータとは、格納部323においては、車載認証要素(制御装置側認証要素)と、車載認証要素証明書である。
以下、このチャートに沿って説明する。
また、同図に示すデータのうち、破線で囲って示すデータは、エンジンの解錠前には格納されておらず、エンジンの解錠を行う時に生成され格納されるデータである。その破線で囲って示すデータとは、格納部232においては、車載認証要素証明書である。また、同じく破線で囲って示すデータとは、格納部323においては、車載認証要素(制御装置側認証要素)と、車載認証要素証明書である。
以下、このチャートに沿って説明する。
まず、ステップST10において、利用者が移動体に乗車し、移動体制御装置300を操作することにより、エンジン起動を要求する。すると、移動体制御装置300内の制御管理部330は、サービス提供装置200側のサービス提供部221にエンジン解錠要求のメッセージを送信する。このエンジン解錠要求のメッセージには、移動体識別情報が含まれている。
ステップST11において、サービス提供部221は、受信したエンジン解錠要求に含まれている移動体識別情報をキーとして用いて、格納部222に登録されている情報を検索する。そして、格納部222に当該移動体識別情報に合致するレコードが存在する存在する場合、サービス提供部221は移動体が利用開始できる状態であることを確認する。例えば、予約者が登録されており、かつドアロックが解錠されているが、エンジンがロックされている場合には、サービス提供部221は、その移動車が貸出され利用開始できる状態であると判断する。そして、この場合、サービス提供部221は、移動体制御装置300側の認証処理部322に対して認証要素登録要求のメッセージを送信する。
ステップST12において、上記の認証要素登録要求のメッセージを受信した認証処理部322は、利用者に認証要素を要求する。例えば、生体情報を用いた認証を利用する場合、情報取得部321は、ここで利用者の認証要素として生体情報の生データを取得する。
ステップST13において、認証処理部322は、ステップST12で取得した認証要素を含む照合要求のメッセージを、利用者端末100側の認証処理部133に送信する。なお、ここで、移動体制御装置300と利用者端末100との間の通信接続は、ブルートゥースやNFCなどの近接通信を利用することが好ましい。
ステップST13において、認証処理部322は、ステップST12で取得した認証要素を含む照合要求のメッセージを、利用者端末100側の認証処理部133に送信する。なお、ここで、移動体制御装置300と利用者端末100との間の通信接続は、ブルートゥースやNFCなどの近接通信を利用することが好ましい。
ステップST14において、認証処理部133は、受け取った照合要求のメッセージに含まれていた認証要素と、格納部131に登録されていた認証要素との照合を行う。図示するように、格納部131は、利用者端末認証要素と、利用者端末認証要素証明書を記憶している。格納部131に格納されている認証要素は、事前に利用者が登録されていたものである。そして、認証処理部133は、照合アサーション情報を生成する。この照合アサーション情報は、この認証結果がステップST13で送信された照合要求に対して実行されたものであることと、照合処理が正しく実行されたことと、この照合処理に用いた認証要素が信頼性できるものであることとを表明する(照合ステートメント)。そして、認証処理部133は、上記の照合結果と、上記の照合アサーション情報とを含む照合応答のメッセージを生成する。なお、照合応答のメッセージについては、後で、図5を参照しながら説明する。
ステップST15において、認証処理部133は、上のステップST14で生成した照合応答のメッセージを、移動体制御装置300側の認証処理部322に送信する。なお、ここでも、移動体制御装置300と利用者端末100との間の通信接続は、ブルートゥースやNFCなどの近接通信を利用することが好ましい。
ステップST16において、認証処理部322は、ステップST14における照合が成功したことを条件として、ステップST12で獲得した認証要素を格納部323に登録する。移動体制御装置300内の格納部323に格納されているこの認証要素を、車載認証要素と呼ぶ。なお、この段階では、認証処理部322は、格納部323に登録した認証要素のステータスを「無効」とする。認証要素のステータスが「無効」であることを表すためには、いくつかの方法が考えられる。第1の方法として、明示的に「無効」というステータスを示す情報を格納部323に記憶させても良い。また第2の方法として、格納されている認証要素に対応する認証要素証明書が登録されていない場合には「無効」とみなすことにしても良い。
そして、認証処理部322は、認証要素登録応答のメッセージを生成する。認証要素登録応答のメッセージについては、後で図6を参照しながら詳細に説明する。
ステップST17において、認証処理部322は、ステップST16で生成した認証要素登録応答のメッセージを、前記の認証要素登録要求への応答として、送信する。サービス提供装置200側では、検証部231が、この認証要素登録応答のメッセージを受信する。
ステップST18において、検証部231は、ステップST17における認証要素登録応答のメッセージとして受信したアサーション情報を用いた検証処理を行う。つまり、検証部231は、ステップST11で送信した認証要素登録要求に対して認証処理と登録処理が正しく行われたかどうかを検証する。この検証が成功した場合、検証部231は、車載認証要素証明書を生成して、格納部232に登録する。
この車載認証要素証明書は、移動体制御装置300側の格納部323に登録されている車載認証要素を識別するための車載認証要素識別情報と、認証アサーションと、認証要素登録アサーションとを含んでいる。この車載認証要素証明書としては、ISO/IEC24761「生体認証のための認証コンテキスト」で定義されたBiometric Reference Template Certificationを用いることが好適である。この車載認証要素証明書には認証アサーションが含まれているため、移動体制御装置300に登録した認証要素が、利用者端末100に格納された認証要素を準拠したものであることがわかる。これにより、利用者が移動体を利用している間、移動体制御装置300とサービス提供装置200との間で認証を行う場合、利用者端末100を使うことなく、確実な本人確認を行うことが可能となる。
また、ステップST18において、検証部231はさらに、格納部222に対して、登録された予約情報を更新するように要求する。即ち、検証部231は、格納部222における当該移動体のエンジンロック状態を「解錠」に更新し、また認証要素を「登録済」に更新する。
ステップST19において、検証部231は、ステップST18における検証処理が成功した場合には、エンジン解錠応答のメッセージ(認証要素有効化指示)を、移動体制御装置300側に送信する。このエンジン解錠応答のメッセージは、エンジン解錠許可と、ステップST18で生成された車載認証要素証明書とを含む。移動体制御装置300側では、認証処理部322が、エンジン解錠応答のメッセージを受信する。
ステップST20において、制御管理部330は、エンジン解錠応答の中に含まれていたエンジン解錠許可に従って、移動体のエンジンロックを解錠する。
ステップST20において、制御管理部330は、エンジン解錠応答の中に含まれていたエンジン解錠許可に従って、移動体のエンジンロックを解錠する。
ステップST21において、認証処理部322は、受信したエンジン解錠応答のメッセージに含まれていた車載認証要素証明書を、格納部323に保存する。この車載認証要素証明書は車載認証要素識別情報を含んでいる。したがって、認証処理部322は、受信した車載認証要素識別情報と、格納部323に登録されていた認証要素識別情報とを比較することによって、認証要素証明書の正当性を確認することができる。これに加えて、認証処理部322は、有効期間などの情報を用いて認証要素証明書の有効性を確認する。認証要素証明書が有効であれば、認証処理部322は、ステップST16で登録されていた認証要素のステータスを「有効」に更新する。これにより認証処理部322は、登録されていた認証要素を用いて認証処理を行うことができ、また、検証部231が行ったように認証処理の正当性を検証することも可能となる。
以上で、図4に示した処理の手順は完結する。
次に、ステップST22(不図示)において、利用者が移動体を利用している間に本人確認を行う必要が生じる場合には、移動体制御装置300内の情報取得部321が、利用者に認証要素を要求する。そして、情報取得部321は、利用者から提供される認証要素の情報を取得し、認証処理部322に送る。また、認証処理部322は、情報取得部321が取得した情報と格納部323に登録されている情報とを用いて認証処理を行う。認証要素の有効性については、認証要素証明書の有効性を継承しても良い。例えば、移動体の貸出期限を認証要素証明書の有効期間として設定し、認証要素証明書が無効になった時点で、認証要素のステータスを「無効」に書き換えるなどといった処理を行うことができる。
次に、ステップST22(不図示)において、利用者が移動体を利用している間に本人確認を行う必要が生じる場合には、移動体制御装置300内の情報取得部321が、利用者に認証要素を要求する。そして、情報取得部321は、利用者から提供される認証要素の情報を取得し、認証処理部322に送る。また、認証処理部322は、情報取得部321が取得した情報と格納部323に登録されている情報とを用いて認証処理を行う。認証要素の有効性については、認証要素証明書の有効性を継承しても良い。例えば、移動体の貸出期限を認証要素証明書の有効期間として設定し、認証要素証明書が無効になった時点で、認証要素のステータスを「無効」に書き換えるなどといった処理を行うことができる。
ここで、上記の処理における主要なデータの構成について説明する。
図5は、照合応答のメッセージの構成を示す概略図である。この照合応答のメッセージは、前記のステップST14(図4)において生成され、ステップST15において利用者端末100から移動体制御装置300に送信される。図示するように、この照合応答のメッセージは、照合結果と、照合アサーションとを含んで構成される。
照合結果は、利用者端末100側におけるステップST14での照合の結果を表す。
照合アサーションは、照合ステートメントと、利用者端末の認証要素証明書とを含む。このうち、照合ステートメントは、この認証結果がステップST13で送信された照合要求に対して実行されたものであることと、照合処理が正しく実行されたことと、この照合処理に用いた認証要素が信頼性できるものであることとを表明する。また、利用者端末の認証要素証明書は、格納部131に格納されている利用者端末認証要素証明書の情報である。
そして、上記の利用者端末の認証要素証明書は、認証要素識別情報を含む。
図5は、照合応答のメッセージの構成を示す概略図である。この照合応答のメッセージは、前記のステップST14(図4)において生成され、ステップST15において利用者端末100から移動体制御装置300に送信される。図示するように、この照合応答のメッセージは、照合結果と、照合アサーションとを含んで構成される。
照合結果は、利用者端末100側におけるステップST14での照合の結果を表す。
照合アサーションは、照合ステートメントと、利用者端末の認証要素証明書とを含む。このうち、照合ステートメントは、この認証結果がステップST13で送信された照合要求に対して実行されたものであることと、照合処理が正しく実行されたことと、この照合処理に用いた認証要素が信頼性できるものであることとを表明する。また、利用者端末の認証要素証明書は、格納部131に格納されている利用者端末認証要素証明書の情報である。
そして、上記の利用者端末の認証要素証明書は、認証要素識別情報を含む。
図6は、前記のステップST16(図4)において認証処理部322が生成した、認証要素登録応答のメッセージの構成を示す概略図である。この認証要素登録応答のメッセージは、認証結果と、認証処理が正しく行われたことを表明する認証アサーションと、ステップST16で登録した車載認証要素を識別するための識別情報(車載認証要素識別情報)と、認証要素の登録処理が正しく行われたことを表明する認証要素登録アサーションと、を含んで構成される。
上記の認証結果は、ステップST12から開始された認証の結果を示す。
また、上記の認証アサーションは、ステップST12における認証要素取得処理が正しく行われたこと表明する認証要素取得ステートメントと、ステップST15で利用者端末100側から送られてきた照合アサーションとを含んで構成される。
上記の、車載認証要素を識別するための識別情報は、格納部323に登録した認証要素を識別することができれば十分である。車載認証要素を識別するための識別情報として、例えば、認証要素に所定のハッシュ関数を適用して計算されたハッシュ値が好適である。
また、上記の認証要素登録アサーションは、ステップST12の認証要素取得処理が正しく行われたことを表明する認証要素取得ステートメントと、車載認証要素の格納処理が正しく行われたことを表明する認証要素格納ステートメントとを含んで構成される。
上記の認証結果は、ステップST12から開始された認証の結果を示す。
また、上記の認証アサーションは、ステップST12における認証要素取得処理が正しく行われたこと表明する認証要素取得ステートメントと、ステップST15で利用者端末100側から送られてきた照合アサーションとを含んで構成される。
上記の、車載認証要素を識別するための識別情報は、格納部323に登録した認証要素を識別することができれば十分である。車載認証要素を識別するための識別情報として、例えば、認証要素に所定のハッシュ関数を適用して計算されたハッシュ値が好適である。
また、上記の認証要素登録アサーションは、ステップST12の認証要素取得処理が正しく行われたことを表明する認証要素取得ステートメントと、車載認証要素の格納処理が正しく行われたことを表明する認証要素格納ステートメントとを含んで構成される。
図7は、エンジン解錠応答のメッセージの構成を示す概略図である。このエンジン解錠応答のメッセージは、上記のステップST19(図4)においてサービス提供装置200から移動体制御装置300に送信されたものである。エンジン解錠応答のメッセージは、エンジン解錠許可を表すデータと、ステップST18で生成された車載認証要素証明書とを含む。
そして、上記の車載認証要素証明書は車載認証要素識別情報を含む。
そして、上記の車載認証要素証明書は車載認証要素識別情報を含む。
処理の流れについての説明に戻る。
図8は、本実施形態によるシステムにおける、移動体の利用終了時の処理の流れを示すシーケンスチャートである。以下、このチャートに沿って説明する。
ステップST23において、利用者は移動体から下車し、利用者端末100を操作することによってサービス終了を要求する。これに応じて、利用者端末100内のサービス管理部120は、サービス提供装置200側のサービス提供部221に対して利用終了要求のメッセージを送信する。この利用終了要求のメッセージは、移動体識別情報を含む。
図8は、本実施形態によるシステムにおける、移動体の利用終了時の処理の流れを示すシーケンスチャートである。以下、このチャートに沿って説明する。
ステップST23において、利用者は移動体から下車し、利用者端末100を操作することによってサービス終了を要求する。これに応じて、利用者端末100内のサービス管理部120は、サービス提供装置200側のサービス提供部221に対して利用終了要求のメッセージを送信する。この利用終了要求のメッセージは、移動体識別情報を含む。
ステップST24において、サービス提供部221は、送信された利用終了要求のメッセージに含まれる移動体識別情報をキーとして用いて、格納部222を検索する。そして、サービス提供部221は、格納部222に、合致する移動体識別情報を持つレコードが存在するかを確認する。そして、そのレコードが存在する場合には、サービス提供部221は、その移動体が貸出中状態であることを確認する。移動体が貸出中状態であることを確認する方法の一例は次の通りである。即ち、例えば、予約者が登録されており、且つドアロックとエンジンロックが解錠状態になっている場合に、サービス提供部221は、その移動体が貸出中であると判断することができる。そして、この場合、サービス提供部221は、認証処理部133に対して、認証要求のメッセージを送信する。
ステップST25において、認証処理部133は、認証要求のメッセージを受け取ると、利用者に対して認証要素を要求する。
ステップST26において、情報取得部132は、利用者から提供される認証要素を取得する。そして、情報取得部132は、取得した認証要素のデータを、認証処理部133に供給する。
ステップST27において、認証処理部133は、ステップST26で取得した利用者の認証要素と、格納部131に事前に登録された情報とを用いて、利用者の認証を行う。利用者が本人であって認証が成功した場合には、認証処理部133は、認証応答のメッセージを生成する。この認証応答のメッセージは、利用者を識別するための利用者識別情報と、認証処理のアサーション情報とを含む。
ステップST26において、情報取得部132は、利用者から提供される認証要素を取得する。そして、情報取得部132は、取得した認証要素のデータを、認証処理部133に供給する。
ステップST27において、認証処理部133は、ステップST26で取得した利用者の認証要素と、格納部131に事前に登録された情報とを用いて、利用者の認証を行う。利用者が本人であって認証が成功した場合には、認証処理部133は、認証応答のメッセージを生成する。この認証応答のメッセージは、利用者を識別するための利用者識別情報と、認証処理のアサーション情報とを含む。
ステップST28において、認証処理部133はステップST27で生成した認証応答のメッセージを、検証部231に送信する。
ステップST29において、検証部231は、認証処理部133から受け取った認証応答の正当性を検証する。このとき、検証部231は、格納部232に事前に登録されている情報を用いて、認証応答の検証を行う。
ステップST29において、検証部231は、認証処理部133から受け取った認証応答の正当性を検証する。このとき、検証部231は、格納部232に事前に登録されている情報を用いて、認証応答の検証を行う。
ステップST30において、検証部231は、ステップST29での検証結果が成功したことを前提として、移動体のドアロックとエンジンロックを施錠する要求を、移動体制御装置300内の制御管理部330に送信する。また、検証部231は、格納部323に登録されている認証要素を削除する要求を認証処理部322に送信する。それに、検証部231は、サービス提供部221に対して、格納部222に登録されていた予約情報を削除するように要求する。また、検証部231は、ステップST18において登録した認証要素証明書を、格納部232から削除する。
ステップST31において、制御管理部330は、受信したドアロック施錠要求およびエンジンロック施錠要求に基づいて、それぞれ、ドアのロックおよびエンジンのロックを施錠する。
ステップST32において、認証処理部322は、格納部323に登録された認証要素と認証要素証明書を無効とする。また、認証処理部322は、これらの情報を適切に削除する。つまり、認証処理部322は、これらの無効にした情報を、いかなる手段によっても読み出すことができないように完全に削除する。
以上で、このシーケンスチャート全体の処理を終了する。
ステップST32において、認証処理部322は、格納部323に登録された認証要素と認証要素証明書を無効とする。また、認証処理部322は、これらの情報を適切に削除する。つまり、認証処理部322は、これらの無効にした情報を、いかなる手段によっても読み出すことができないように完全に削除する。
以上で、このシーケンスチャート全体の処理を終了する。
次に、各装置に設けられた格納部が記憶するデータの構成について説明する。
図9は、利用者端末100に設けられている格納部131が記憶するデータの構成を示す概略図である。図示するように、格納部131は、利用者アカウントの情報のデータを保持する。利用者端末100は、典型的にはスマートフォンなどといった個人が携帯するタイプの端末装置であり、格納部131は、一人分の利用者アカウントを記憶する。しかしながら、格納部131が、複数の利用者のそれぞれについて、利用者アカウントの情報を保持するようにしても良い。利用者アカウントの情報は、認証要素と、認証要素証明書とを含む。
このうち、認証要素は、例えば生体認証などの認証処理に用いるためにあらかじめ登録しておく情報であり、当該利用者に固有の情報である。
図9は、利用者端末100に設けられている格納部131が記憶するデータの構成を示す概略図である。図示するように、格納部131は、利用者アカウントの情報のデータを保持する。利用者端末100は、典型的にはスマートフォンなどといった個人が携帯するタイプの端末装置であり、格納部131は、一人分の利用者アカウントを記憶する。しかしながら、格納部131が、複数の利用者のそれぞれについて、利用者アカウントの情報を保持するようにしても良い。利用者アカウントの情報は、認証要素と、認証要素証明書とを含む。
このうち、認証要素は、例えば生体認証などの認証処理に用いるためにあらかじめ登録しておく情報であり、当該利用者に固有の情報である。
図10は、サービス提供装置200に設けられている格納部222が記憶するデータの構成の概略を示す概略図である。図示するように、格納部222は、表形式の構造のデータを記憶している。格納部222が記憶する表は、移動体識別情報と、利用者識別情報と、ドアロック状態と、エンジンロック状態と、認証要素の各データ項目を有する。この表における1行のデータが、ある利用者による移動体の予約に対応している。
格納部222が保持する表における各データ項目の意味は次の通りである。
移動体識別情報は、移動体制御装置が搭載される移動体を識別するための情報である。
予約者識別情報は、その移動体を予約して利用する利用者を識別するための情報である。
ドアロック状態とエンジンロック状態は、該当移動体に対して、ドアとエンジンが施錠か解錠であるかを示す情報である。ドアロック状態およびエンジンロック状態の各項目は、「解錠状態」または「施錠状態」のいずれか、その時点での状態を表す値を記憶する。ドアロック状態が「施錠状態」であるとき、移動体のドアがロックされており、利用者等はその移動体のドアを開けて入ることができない。ドアロック状態が「解錠状態」であるとき、移動体のドアロックは解錠されており、利用者はその移動体のドアを開けて出入りすることができる。エンジンロック状態が「施錠状態」であるとき、利用者等はエンジンを市度させることができない。エンジンロック状態が「解錠状態」であるとき、利用者は、エンジンを始動させることができる。
認証要素の項目は、「登録済み」または「なし」のいずれかに相当するデータを記憶する。この認証要素の項目の値が「登録済み」であるとき、予約されている当該移動体に関して、移動体制御装置300側の格納部323には利用者の認証要素が登録されていることを表す。この認証要素の刻目の値が「なし」であるとき、予約されている当該移動体に関して、移動体制御装置300側の格納部323には利用者の認証要素が登録されていないことを表す。
移動体識別情報は、移動体制御装置が搭載される移動体を識別するための情報である。
予約者識別情報は、その移動体を予約して利用する利用者を識別するための情報である。
ドアロック状態とエンジンロック状態は、該当移動体に対して、ドアとエンジンが施錠か解錠であるかを示す情報である。ドアロック状態およびエンジンロック状態の各項目は、「解錠状態」または「施錠状態」のいずれか、その時点での状態を表す値を記憶する。ドアロック状態が「施錠状態」であるとき、移動体のドアがロックされており、利用者等はその移動体のドアを開けて入ることができない。ドアロック状態が「解錠状態」であるとき、移動体のドアロックは解錠されており、利用者はその移動体のドアを開けて出入りすることができる。エンジンロック状態が「施錠状態」であるとき、利用者等はエンジンを市度させることができない。エンジンロック状態が「解錠状態」であるとき、利用者は、エンジンを始動させることができる。
認証要素の項目は、「登録済み」または「なし」のいずれかに相当するデータを記憶する。この認証要素の項目の値が「登録済み」であるとき、予約されている当該移動体に関して、移動体制御装置300側の格納部323には利用者の認証要素が登録されていることを表す。この認証要素の刻目の値が「なし」であるとき、予約されている当該移動体に関して、移動体制御装置300側の格納部323には利用者の認証要素が登録されていないことを表す。
図11は、サービス提供装置200に設けられている格納部232が記憶するデータの構成を示す概略図である。
図示するように、格納部232は、複数のアカウントのそれぞれに関して、利用者アカウントのデータを保持している。そして、各々の利用者アカウントのデータは、利用者識別情報と、認証要素証明書とを含んで構成される。
利用者識別情報は、利用者を一意に識別するための情報であり、格納部222に格納されている利用者識別情報と関連付けられる。
認証要素証明書は、前述のステップST18において検証部231によって生成された車載認証要素証明書である。前述のとおり、この車載認証要素証明書は、移動体制御装置300側の格納部323に登録されている車載認証要素を識別するための車載認証要素識別情報と、認証アサーションと、認証要素登録アサーションとを含んでいる。
図示するように、格納部232は、複数のアカウントのそれぞれに関して、利用者アカウントのデータを保持している。そして、各々の利用者アカウントのデータは、利用者識別情報と、認証要素証明書とを含んで構成される。
利用者識別情報は、利用者を一意に識別するための情報であり、格納部222に格納されている利用者識別情報と関連付けられる。
認証要素証明書は、前述のステップST18において検証部231によって生成された車載認証要素証明書である。前述のとおり、この車載認証要素証明書は、移動体制御装置300側の格納部323に登録されている車載認証要素を識別するための車載認証要素識別情報と、認証アサーションと、認証要素登録アサーションとを含んでいる。
図12は、移動体制御装置300に設けられている格納部323が記憶するデータの構成を示す概略図である。図示するように、格納部323は、利用者アカウントの情報のデータを保持する。移動体制御装置300が制御対象とする移動体の一時点での利用者が一人であることを前提として、格納部323は、一時点で一件の利用者アカウントのデータを保持する。この利用者アカウントの情報は、認証要素と、認証要素証明書とを含む。
認証要素は、前述のとおり、ステップST12で取得され、ステップST16で格納部323に登録されるものである。また、前述のとおり、この認証要素に関連付けて、当該認証要素のステータスが管理されている。このステータスのデータは、格納部323に格納されている認証要素が有効であるか無効であるかを示すものである。ステータスが有効の場合にはこの認証要素を利用可能であり、ステータスが向こうの場合にはこの認証要素は利用不可である。
認証要素証明書は、この認証要素を取得してから保存されるまでの一連の処理が正しく行われたことを証明する情報である。この認証要素証明書は、サービス提供部221によって生成される情報である。この認証要素証明書は、前記処理の正当性を表明できるものであればいかなる形態の証明書であっても良い。しかしながら、この認証要素証明書としては、例えば、ISO/IEC24761「生体認証のための認証コンテキスト」で定義されたBRT証明書が好適である。
ここで、本実施形態の認証処理における主要なデータの流れの鍵となるポイントについて、改めて説明する。
図4に示した一連の処理の中で、まずサービス提供装置200は、移動体制御装置300に対して認証要素登録要求を送信する(ステップST11)。移動体制御装置300内の情報取得部321は、認証要素を取得する(ステップST12)。認証処理部322は、情報取得部321によって取得された認証要素を含む照合要求を、利用者端末100側に送る(ステップST13)。利用者端末100側の認証処理部133は、認証処理部322から送られた認証要素と、事前に利用者端末100内の格納部131に格納していた認証要素(利用者端末認証要素)とを照合する(ステップST14)。この照合が正しく為された場合には、移動体制御装置300内の認証処理部322は、上で情報取得部321が取得した認証要素(車載認証要素)を格納部323に格納する(ステップST16)。ただし、この段階では、格納部323に格納されている認証要素のステータスはまだ「無効」である。そして、認証処理部322は、サービス提供装置200側に、認証要素登録応答を送信する(ステップST17)。そして、サービス提供装置200内の検証部231が、送られてきた認証要素登録応答を検証する。そして、検証が正しく行われた場合には、検証部231は、検証が正しく完了したことを表す車載認証要素証明書を移動体制御装置300側に送信する(ステップST19)。なお、本実施形態では、このステップST19における送信は、エンジン解錠応答のメッセージをもって行われ、エンジン解錠許可の意味を含んでいる。そして、移動体制御装置300側の認証処理部322は、受信した車載認証要素証明書に基づいて、格納部323に格納されている車載認証要素のステータスを「有効」に変更する。
上記のように、移動体制御装置300で取得された認証要素自体は、照合のために利用者端末100には送られるが、サービス提供装置200側には送られない。よって、移動体制御装置300とサービス提供装置200との間の通信回線上では、認証要素は伝送されない。また、上記のステップST11からST19までの一連の処理については、適宜アサーション情報を用いて、処理の正当性が表明され、検証される。また、ステップST19において格納部323に格納された認証要素が「有効」とされた後は、仮に、移動体制御装置300とサービス提供装置200との間の通信が切断されたとしても、移動体制御装置300の中だけで認証要素にアクセスできるとともに、その正当性は証明されている。
なお、利用者による移動体の利用が終了した際には、格納部323内の認証要素は削除される。
なお、利用者による移動体の利用が終了した際には、格納部323内の認証要素は削除される。
本実施形態による利用者端末、移動体制御装置、サービス提供装置は、電子回路を主な要素として実現される。電子回路は、論理的な値を入力し、入力値に基づく処理を行い、処理結果を論理的な値として出力する。また、その過程において、適宜、記憶手段が用いられる。コンピューターの技術を用いて、本実施形態による利用者端末、移動体制御装置、サービス提供装置を実現するようにしても良い。その場合、各装置の機能を実現するためのプログラムをコンピューター読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピューターシステムに読み込ませ、実行することによって実現する。
上述した移動体制御装置300が制御する対象(移動体)は、カーシェアリングやレンタカーのサービスに使用される車両(自動車)であった。移動体としては、自動車に限らず、自転車、自動二輪車、航空機、ヘリコプター、船、電車、建設機械、建設用具、カメラ、音響機器、楽器など、あるいはその他のものであっても良い。また、上述した移動体制御装置300は、移動する対象を制御する装置として記載したが、制御対象は、移動しないものであっても良い。例えば、制御装置によって制御される対象が、建物、部屋等であっても良い。
上で説明した実施形態によれば、移動体(対象物)を貸し出す際には利用者端末側100で認証を行い、移動体を利用している間は、移動体制御装置300に登録された認証要素を用いて本人確認を行える。よって、利用者は会員IDカードのようなトークンを持つ必要がない。また、認証要素は利用者端末100と移動体制御装置300にしか登録されない。WAN(広域ネットワーク)を経由してサービス提供装置200側に認証要素を送信する必要がないため、WANでの伝送の際に認証要素の情報が漏洩するリスクがない。よって、認証要素を安全に利用することができる。また、認証要素として利用者の生体情報を用いる場合には、確実な本人確認を実現することが可能になるとともに、生体情報がWAN伝送時に漏えいするリスクをなくすことができる。
また、上で説明した実施形態によれば、利用者端末100側で認証処理をしてサービス提供装置側で認証処理が検証された後、移動体制御装置300に利用者の認証情報を登録するため、利用者が移動体を利用している間、サービス提供装置200(サーバー)との接続ができない環境でも、この認証要素を認証処理に利用することにより移動体の貸出後の本人確認ができる。つまり、移動体制御装置300側とサービス提供装置200との間、あるいは、利用者端末100側とサービス提供装置200との間で、通信の常時接続を維持する必要がない。
また、上で説明した実施形態によれば、移動体制御装置300において認証した結果により、移動体の機能部を制御することができる。従来、物理鍵でロックを施錠/解錠を行っていたような機能部に関しても、前記の認証結果により施錠/解錠の制御が可能となる。よって、利用者が物理鍵を利用する必要がなくなる。
本発明の実施形態を説明したが、この実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。この実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
Claims (9)
- 制御装置と利用者端末とサービス提供装置とを含んで構成される認証システムであって、
前記制御装置は、
認証要素を格納するための格納部と、
認証のための認証要素を取得する情報取得部と、
前記情報取得部が取得した前記認証要素を照合するため前記認証要素を含んだ照合要求メッセージを利用者端末に対して送信するとともに、前記利用者端末から前記照合要求メッセージに対応する照合応答メッセージを受信し、前記照合応答メッセージが照合成功を示す場合には取得した前記認証要素を前記格納部に登録するとともに前記認証要素のステータスを「無効」とし、認証要素登録応答メッセージをサービス提供装置に対して送信し、前記認証要素登録応答メッセージに対応して前記サービス提供装置から認証要素有効化指示を受けると、前記格納部に登録した前記認証要素のステータスを「有効」とする認証処理部と、
前記認証処理部による処理の結果として前記認証要素のステータスが「有効」となったことに基づいて対象物を制御する制御管理部と、
を有し、
前記利用者端末は、
予め利用者の認証要素である利用者認証要素を格納する格納部と、
前記制御装置から認証要素を含んだ照合要求メッセージを受信すると、前記照合要求メッセージに含まれている前記認証要素と、前記格納部に格納されている前記利用者認証要素とを照合し、この照合処理が成功か失敗かを表す情報を含んだ照合応答メッセージを前記制御装置に送信する認証処理部と、
を有し、
前記サービス提供装置は、
前記制御装置から認証要素登録応答メッセージを受信すると、前記認証要素登録応答メッセージに含まれる、認証処理に関するアサーション情報を検証するとともに、検証が成功すると、前記制御装置内の前記格納部に格納されている前記認証要素のステータスを有効化するための認証要素有効化指示を前記制御装置に対して送信する検証部と、
前記検証部による検証が成功すると、前記制御装置が制御対象とする対象物を用いたサービスを利用者に提供するための状態を管理するサービス提供部と、
を有する、ところの認証システム。 - 前記認証要素は、生体認証に用いるための認証要素の情報である、請求項1に記載の認証システム。
- 認証要素を格納するための格納部と、
認証のための認証要素を取得する情報取得部と、
前記情報取得部が取得した前記認証要素を照合するため前記認証要素を含んだ照合要求メッセージを利用者端末に対して送信するとともに、前記利用者端末から前記照合要求メッセージに対応する照合応答メッセージを受信し、前記照合応答メッセージが照合成功を示す場合には取得した前記認証要素を前記格納部に登録するとともに前記認証要素のステータスを「無効」とし、認証要素登録応答メッセージをサービス提供装置に対して送信し、前記認証要素登録応答メッセージに対応して前記サービス提供装置から認証要素有効化指示を受けると、前記格納部に登録した前記認証要素のステータスを「有効」とする認証処理部と、
前記認証処理部による処理の結果として前記認証要素のステータスが「有効」となったことに基づいて対象物を制御する制御管理部と、
を有する制御装置。 - 予め利用者の認証要素である利用者認証要素を格納する格納部と、
制御装置から認証要素を含んだ照合要求メッセージを受信すると、前記照合要求メッセージに含まれている前記認証要素と、前記格納部に格納されている前記利用者認証要素とを照合し、この照合処理が成功か失敗かを表す情報を含んだ照合応答メッセージを前記制御装置に送信する認証処理部と、
を有する利用者端末。 - 制御装置から認証要素登録応答メッセージを受信すると、前記認証要素登録応答メッセージに含まれる、認証処理に関するアサーション情報を検証するとともに、検証が成功すると、前記制御装置内の前記格納部に格納されている前記認証要素のステータスを有効化するための認証要素有効化指示を前記制御装置に対して送信する検証部と、
前記検証部による検証が成功すると、前記制御装置が制御対象とする対象物を用いたサービスを利用者に提供するための状態を管理するサービス提供部と、
を有するサービス提供装置。 - コンピューターを、
認証要素を格納するための格納部と、
認証のための認証要素を取得する情報取得部と、
前記情報取得部が取得した前記認証要素を照合するため前記認証要素を含んだ照合要求メッセージを利用者端末に対して送信するとともに、前記利用者端末から前記照合要求メッセージに対応する照合応答メッセージを受信し、前記照合応答メッセージが照合成功を示す場合には取得した前記認証要素を前記格納部に登録するとともに前記認証要素のステータスを「無効」とし、認証要素登録応答メッセージをサービス提供装置に対して送信し、前記認証要素登録応答メッセージに対応して前記サービス提供装置から認証要素有効化指示を受けると、前記格納部に登録した前記認証要素のステータスを「有効」とする認証処理部と、
前記認証処理部による処理の結果として前記認証要素のステータスが「有効」となったことに基づいて対象物を制御する制御管理部と、
を有する制御装置として機能させるためのプログラム。 - コンピューターを、
予め利用者の認証要素である利用者認証要素を格納する格納部と、
制御装置から認証要素を含んだ照合要求メッセージを受信すると、前記照合要求メッセージに含まれている前記認証要素と、前記格納部に格納されている前記利用者認証要素とを照合し、この照合処理が成功か失敗かを表す情報を含んだ照合応答メッセージを前記制御装置に送信する認証処理部と、
を有する利用者端末として機能させるためのプログラム。 - コンピューターを、
制御装置から認証要素登録応答メッセージを受信すると、前記認証要素登録応答メッセージに含まれる、認証処理に関するアサーション情報を検証するとともに、検証が成功すると、前記制御装置内の前記格納部に格納されている前記認証要素のステータスを有効化するための認証要素有効化指示を前記制御装置に対して送信する検証部と、
前記検証部による検証が成功すると、前記制御装置が制御対象とする対象物を用いたサービスを利用者に提供するための状態を管理するサービス提供部と、
を有するサービス提供装置として機能させるためのプログラム。 - 対象物を制御するための制御装置と、利用者端末と、サービス提供装置とを含んで構成される認証システムを用いた認証方法であって、
前記制御装置が利用者から認証要素を取得する第1過程、
前記制御装置から前記利用者端末に前記認証要素の照合を要求する第2過程、
前記利用者端末が、前記制御装置から送信された前記認証要素と、事前に格納している利用者の認証要素との照合を行い、照合の結果を照合応答として前記制御装置に送信する第3過程。
前記利用者端末における前記照合が成功した場合には、前記制御装置が有する格納部に前記認証要素を登録するとともに、前記認証要素のステータスを「無効」とする第4過程、
前記第1過程から前記第4過程までの認証の処理を前記サービス提供装置が検証する第5過程、
前記サービス提供装置における前記検証が成功した場合には、前記制御装置が有する格納部に登録されている前記認証要素のステータスを「有効」とする第6過程、
前記サービス提供装置における前記検証が成功した場合には、前記制御装置が、前記対象物を利用者が利用できるように制御する第7過程、
を有する認証方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2014/074182 WO2016038729A1 (ja) | 2014-09-12 | 2014-09-12 | 認証システム、利用者端末、制御装置、サービス提供装置、プログラム、および認証方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP6113932B2 JP6113932B2 (ja) | 2017-04-12 |
| JPWO2016038729A1 true JPWO2016038729A1 (ja) | 2017-04-27 |
Family
ID=55458516
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016547328A Expired - Fee Related JP6113932B2 (ja) | 2014-09-12 | 2014-09-12 | 認証システム、利用者端末、制御装置、サービス提供装置、プログラム、および認証方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10073961B2 (ja) |
| JP (1) | JP6113932B2 (ja) |
| WO (1) | WO2016038729A1 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106487511B (zh) * | 2015-08-27 | 2020-02-04 | 阿里巴巴集团控股有限公司 | 身份认证方法及装置 |
| JP6891606B2 (ja) * | 2017-04-04 | 2021-06-18 | トヨタ自動車株式会社 | サービス提供装置及びサービス提供システム |
| JP6910894B2 (ja) * | 2017-09-01 | 2021-07-28 | キヤノン株式会社 | 情報処理装置、制御方法、およびプログラム |
| KR102598946B1 (ko) * | 2017-11-08 | 2023-11-07 | 현대자동차주식회사 | 차량 공유 서비스 제공 장치, 그를 포함한 시스템 및 그 방법 |
| JP7152853B2 (ja) * | 2017-12-04 | 2022-10-13 | 株式会社東海理化電機製作所 | 車載装置及び個人情報管理システム |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004136784A (ja) * | 2002-10-17 | 2004-05-13 | Kenwood Corp | 盗難監視システム |
| US20120253607A1 (en) * | 2009-10-08 | 2012-10-04 | Unho Choi | Method for controlling a vehicle using driver authentication, vehicle terminal, biometric identity card, biometric identification system, and method for providing a vehicle occupant protection and tracking function using the biometric identification card and the terminal |
| JP2013126197A (ja) * | 2011-12-15 | 2013-06-24 | Mitsubishi Motors Corp | 盗難防止システム |
| JP2013258491A (ja) * | 2012-06-11 | 2013-12-26 | Toyota Infotechnology Center Co Ltd | カーシェアリングシステム、カーシェアリング提供方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8185747B2 (en) * | 2003-05-22 | 2012-05-22 | Access Security Protection, Llc | Methods of registration for programs using verification processes with biometrics for fraud management and enhanced security protection |
| JP2010146095A (ja) | 2008-12-16 | 2010-07-01 | Toyota Motor Corp | 生体認証システム |
| JP5703667B2 (ja) | 2010-10-01 | 2015-04-22 | トヨタ自動車株式会社 | 認証システム及び認証方法 |
| JP2012203428A (ja) | 2011-03-23 | 2012-10-22 | Toyota Motor Corp | 認証システム及び認証方法 |
-
2014
- 2014-09-12 US US15/126,809 patent/US10073961B2/en not_active Expired - Fee Related
- 2014-09-12 JP JP2016547328A patent/JP6113932B2/ja not_active Expired - Fee Related
- 2014-09-12 WO PCT/JP2014/074182 patent/WO2016038729A1/ja active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004136784A (ja) * | 2002-10-17 | 2004-05-13 | Kenwood Corp | 盗難監視システム |
| US20120253607A1 (en) * | 2009-10-08 | 2012-10-04 | Unho Choi | Method for controlling a vehicle using driver authentication, vehicle terminal, biometric identity card, biometric identification system, and method for providing a vehicle occupant protection and tracking function using the biometric identification card and the terminal |
| JP2013126197A (ja) * | 2011-12-15 | 2013-06-24 | Mitsubishi Motors Corp | 盗難防止システム |
| JP2013258491A (ja) * | 2012-06-11 | 2013-12-26 | Toyota Infotechnology Center Co Ltd | カーシェアリングシステム、カーシェアリング提供方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10073961B2 (en) | 2018-09-11 |
| WO2016038729A1 (ja) | 2016-03-17 |
| JP6113932B2 (ja) | 2017-04-12 |
| US20170277878A1 (en) | 2017-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6113932B2 (ja) | 認証システム、利用者端末、制御装置、サービス提供装置、プログラム、および認証方法 | |
| US8589696B2 (en) | Biometric identification method | |
| JP3943897B2 (ja) | 本人確認システム及び装置 | |
| JP7066366B2 (ja) | システム、及びその方法 | |
| US20190281047A1 (en) | Trusted status transfer between associated devices | |
| US11206544B2 (en) | Checkpoint identity verification on validation using mobile identification credential | |
| KR101033337B1 (ko) | 단말기 사용자의 본인확인을 강화한 보안 인증방법 | |
| US10618497B2 (en) | Unlocking control system and unlocking control method | |
| US20160210454A1 (en) | System, apparatus, and method for access control | |
| JP4551380B2 (ja) | 認証システムおよびその方法 | |
| CN108900536A (zh) | 认证方法、装置、计算机设备和存储介质 | |
| US11082236B2 (en) | Method for providing secure digital signatures | |
| KR20220028836A (ko) | 블록체인 네트워크 기반의 분산 아이디를 이용한 운전 면허증 인증 서비스 방법 및 운전 면허증 인증 서비스를 수행하는 사용자 단말 | |
| CN113763602A (zh) | 信息处理装置、信息处理方法以及非临时性存储介质 | |
| JP6841781B2 (ja) | 認証サーバ装置、認証システム及び認証方法 | |
| CN111063070B (zh) | 数字钥匙的共享方法、验证方法、及设备 | |
| JP2006152584A (ja) | 入退出管理システム及び入退出管理方法 | |
| EP3563327A1 (en) | Safety process/method for sending and exchanging a temporary enabled random code among at least three electronic devices for recharges, payments, accesses and/or ids of owners of a mobile device, such as a smartphone | |
| JP6799223B1 (ja) | 顔認証方法、顔認証システム、プログラムおよび記録媒体 | |
| JP2021170296A (ja) | 認証システム及び認証方法 | |
| KR20200009661A (ko) | 보안성을 갖춘 nfc 통신 및 생체정보 기반의 운전자 인증 및 차량 제어 시스템 | |
| US7644277B2 (en) | Electronic key information system | |
| JP7427533B2 (ja) | システム、及び認証装置 | |
| AU2014274594A1 (en) | Biometric identification method | |
| JP7478596B2 (ja) | 救援システム、救援方法、及び救援プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161213 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170203 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170214 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170315 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6113932 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |