WO2015064431A1

WO2015064431A1 - 認証デバイスを利用した制御装置及び制御方法

Info

Publication number: WO2015064431A1
Application number: PCT/JP2014/078016
Authority: WO
Inventors: 晃堀松; 福島　真一郎; 宏行檜垣
Original assignee: 株式会社日立製作所
Priority date: 2013-10-29
Filing date: 2014-10-22
Publication date: 2015-05-07
Also published as: JP2015088804A

Abstract

　認証デバイスの距離に応じて、制御対象装置の操作可否を制御する。　本発明においては、認証デバイスにより制御対象装置の操作可否を制御する制御において、第1の通信により認証デバイスと制御対象装置とが第1の範囲内で第１の通信を行い、制御対象装置への操作を証明書により有効にするとともに、第1の通信よりも距離が長い無線通信である第2の通信を用いて認証デバイスと通信して認証デバイスが第1の通信よりも広い第２の範囲内にあることを検知して前記制御対象装置への操作を有効の状態に保ち、第２の通信により前記認証デバイスが第２の範囲内に無いことを検知したときに、証明書を無効にし制御対象装置への操作を無効化する。

Description

認証デバイスを利用した制御装置及び制御方法

　本発明は、デバイス内の電子証明書を制御する技術に関する。

　ＳＳＬ－ＶＰＮ（ＳｅｃｕｒｅＳｏｃｋｅｔｓＬａｙｅｒ－ＶｉｒｔｕａｌＰｒｉｖａｔｅＮｅｔｗｏｒｋ）など電子証明書を利用してインターネットサービスを安全に利用する技術がある。利用者は電子証明書により、電子署名や通信の暗号化を実施する。

　この電子証明書を専用のデバイスに格納した状態で利用者が携帯し、証明書を利用する際に端末が証明書を格納したデバイスから証明書を取得し利用するシステムがある。

　例えば、特許文献１では証明書を格納したＵＳＢ機器による無線通信認証を可能としている。

特開２００９－２６７４５８号公報

　特許文献１では、ＵＳＢ機器子機の他に無線通信を行うための無線USB親機を携帯する必要があるため、接続の仕方が繁雑になってしまう。

　上記課題を解決するために、本発明においては、制御対象装置に対してその認証デバイスが近距離有効領域内に存在すると判定した場合に証明書を有効化し、制御対象装置に対してその認証デバイスが遠距離有効領域外に存在すると判定した場合に証明書を無効化する。

　本発明によれば、認証デバイスの距離に応じた制御を実現することが可能である。

本発明の実施例に係る全体構成を示す説明図である。本発明の実施例に係る操作デバイスの内部構成を示す構成図である。本発明の実施例に係る認証デバイスの内部構成を示す構成図である。本発明の実施例にかかる証明書の管理情報を示す図である。本発明の実施例に係る通信範囲の説明図である。本発明の実施例に係る証明書を無効にする際の処理を示すフローチャートである。本発明の実施例に係る証明書を有効にする際の処理を示すシーケンス図である。本発明の実施例に係る証明書を有効にする際の処理を示すシーケンス図である。本発明の実施例に係る証明書を無効にする際の処理を示すフローチャートである。本発明の実施例に係る証明書を無効にする際の処理を示すシーケンス図である。本発明の実施例にかかる通信の信号強度の情報を示す図である。本発明の実施例に係る通信範囲の説明図である。本発明の実施例に係る証明書の管理情報を示す図である。

　以下、図面を用いて本発明の実施例を説明する。

　本実施例では、証明書を利用するデバイスが内部に証明書を保持し、認証デバイスが一定距離内に存在すると判定した場合に証明書を有効化し、認証デバイスが一定距離内に存在しないと判定した場合に証明書を無効化する例を説明する。図１は、全体構成を示す説明図である。図２は、証明書を利用するデバイスの内部構成を示す構成図である。図３は、利用者が携帯する認証デバイスの内部構成を示す構成図である。図４は、証明書を利用するデバイスのデバイス認識部が保持する情報を示す図である。図５は、証明書を有効にする際の処理を示すシーケンス図である。図６は、証明書を無効にする際の処理を示すシーケンス図である。図７は、証明書を有効にする際の処理を示すフローチャートである。図８は、証明書を無効にする際の処理を示すフローチャートである。

　図１は、証明書を利用する操作デバイスと、利用者が携帯する認証デバイスと、操作デバイスと通信を行う対象であるサーバからなる構成を示した図である。操作デバイス１００は、証明書を利用するデバイスを示した図である。認証デバイス２００は、利用者が携帯するデバイスを示した図である。サーバ３００は、操作デバイスＡ１００が証明書を利用して通信を行うサーバを示した図である。事前に認証対象の認証デバイス２００を操作デバイス１００に登録しておき、認証デバイス２００と証明書を紐付けた情報を保持しておく。操作デバイス１００は、認証対象として登録されている認証デバイス２００が有効領域にあると判定した場合に、操作デバイス１００内の認証デバイス２００に紐付いた証明書を有効化する。操作デバイス１００は、有効化した証明書を利用してサーバ３００と通信を行う。

　図２は、操作デバイス１００の内部構成を示した図である。操作デバイス１００は、電源を各部に供給する電源部１０１と、デバイスの各種制御を行う制御部１０２と、認証対象のデバイスと証明書を紐付けた情報を記録する記憶部１０３と、デバイスの画面表示を行う表示部１０４と、デバイスに対する入力およびデバイスからの出力を行う入出力部１０５と、他の装置やサーバとの通信を行う通信部１０６と、認証対象のデバイスを認識するデバイス認識部１０７と、操作デバイス内の証明書の有効化および無効化を制御する証明書制御部１０８と、証明書を格納する証明書格納部１０９から構成される。操作デバイス１００としては、専用機器を用いたり、一般的な端末（ＰＣ、タブレット、スマートフォン、携帯電話など）に、ソフトウェアをインストールしてプロセッサや記憶装置をデバイス認識部１０７、証明書制御部１０８、証明書格納部１０９として機能させたり、これらを外部デバイスとして追加したりして実現することができる。また、本実施例においては、サーバと通信を行う操作デバイスとして実施例を説明するが、認証デバイス２００と通信を行いロック設定・解除（操作可否変更）を行う制御対象としては、自動車（ドア開鍵・施錠、エンジン・モータやアクセサリの始動可能）や建物（扉の開鍵・施錠や入退場管理）、多様な端末や装置（始動、操作可能）など、様々な装置に適用できる。

　図３は、認証デバイス２００の内部構成を示した図である。認証デバイス２００は、電源を各部に供給する電源部２０１と、デバイスの各種制御を行う制御部２０２と、情報を記録する記憶部２０３と、デバイスの画面表示を行う表示部２０４と、デバイスに対する入力およびデバイスからの出力を行う入出力部２０５と、他の装置やサーバとの通信を行う通信部２０６から構成される。認証デバイス２００としては、携帯可能な一般的な端末にソフトウェアや外部機器を追加したり、専用機器としてインテリジェントキー、ＩＣカード、ＲＦＩＤタグを用いることもできる。この場合、表示部２０４をランプとしたり、表示部２０４や入出力部２０５を省略することも可能である。

　図４は、操作デバイス１００が認証の対象とする認証デバイスとその認証デバイスに対応する証明書とを紐付けた情報を示した図である。証明書管理情報４００は、記憶部１０３に格納されており、デバイスＩＤ４０１、証明書ＩＤ４０２で構成されている。デバイスＩＤ４０１は、デバイスＡが認証対象とするデバイスのデバイスＩＤが格納される。証明書ＩＤ４０２は、デバイスＩＤに対応した証明書固有のＩＤが格納される。例えば、利用者の証明書を示す証明書ＩＤを１００００とした場合、利用者が携帯する認証デバイスのデバイスＩＤ１１１１１と証明書ＩＤ１００００を紐付けた情報が格納される。ＰＩＮ４０３は、証明書を有効にする際のＰＩＮ（Personal Identification Number）が格納される。

　図５に、操作デバイス１００と認証デバイス２００との間で用いる通信の距離の関係を示す。操作デバイス１００に対して二つの通信範囲が設定されている。第１の通信範囲６０１は、操作デバイス１００と認証デバイス２００とが認証を行うための通信距離である。第２の通信範囲６０２は第１の通信範囲６０１よりも広く、この範囲に認証デバイス２００がある場合に、操作デバイス１００はロックを解除して操作可能な状態となる。認証デバイス２００が第２の通信範囲の外になったことを操作デバイス１００が検知した場合、操作デバイス１００はロックされて操作を受付けない状態となる。第１の通信範囲６０１で行う第１の通信と第２の通信範囲６０２で行う第２の通信とは、異なる通信方式でもよいし、同じ通信方式で距離判定を変えてもよい。また、通信強度を変えるのみでもよい。また、第２の通信は無線通信であるが、第１の通信は無線通信でも有線通信（接触通信）でもよい。通信方式の一例としては、Ｗｉ－Ｆｉ（ＷｉｒｅｌｅｓｓＦｉｄｅｌｉｔｙ、登録商標）を利用する方法が一態様である。別の方法として、Ｂｌｕｅｔｏｏｔｈ（登録商標）を利用する方法も一態様である。また、Ｚｉｇｂｅｅ（登録商標）を利用する方法も一態様である。さらに、ＮＦＣを第1の通信として用い、第2の通信として前記通信方法を組み合わせる方法も一態様である。　図６は、操作デバイスにて、証明書を有効にして操作可能にする処理をフローチャートで示している。図６の処理において、ステップＳ３０００で処理が開始する。このとき、必要に応じて、操作デバイス１００や認証デバイス２００の電源や通信をONにする作業や、認証及び制御のためのアプリケーションを始動させる作業を行うようにしてもよい。そして、ステップＳ３００１へ進む。

　ステップＳ３００１では、操作デバイスがその周囲へデバイスＩＤの問い合わせを発信し、ステップＳ３００２へ進む。

　ステップＳ３００２にて、認証デバイスが操作デバイスの問い合わせを受けて応答を行い当該応答の信号を操作デバイスが受信した場合、ステップＳ３００３へ進む。操作デバイス１００が認証デバイス２００からの応答の信号を受信できない場合、ステップＳ３００１へ進む。

　ステップＳ３００３では、操作デバイス１００が、取得した応答信号に含まれる認証デバイスのデバイスＩＤが記憶部１０３に格納された証明書管理情報４００に登録されているかどうかを判定する。デバイスＩＤが登録済みであれば、ステップＳ３００４へ進む。デバイスＩＤが未登録であれば、ステップＳ３００１へ進む。ステップＳ３００４では、証明書管理情報４００を参照し、デバイスＩＤに対応した証明書を有効化し、ステップＳ３００５へ進み終了する。ここまでは、通信距離の短い第1の通信にて通信を行う。通信距離が短いため、傍受される可能性が低く、機密性の高い情報も扱いやすい。この後は通信距離が長い第２の通信になるため、その前に第1の通信において第２の通信の通信ルール(暗号化など)の設定を連絡しておいてもよい。この通信ルールは、認証の都度、変更してもよい。

　図７（ａ）は、同じくデバイスＡで証明書を有効にする処理をシーケンス図で示している。デバイスＡはデバイスＢに対しデバイスＩＤの問い合わせ１０００を繰り返し行う。デバイスＢがデバイスＩＤの問い合わせ１０００を受信した場合、デバイスＢはデバイスＡに対しデバイスＩＤ応答１００１を行う。受信したデバイスＩＤが証明書管理情報４００に登録されている場合は、対応する証明書ＩＤの証明書の有効化１００２を行う。

　図７（ｂ）は、デバイスＢが証明書を記憶している場合のシーケンス図である。図（ａ）に対して、デバイスＩＤ受信後にデバイスＡからデバイスＢへの証明書依頼送信1003と、それに対するデバイスＢからデバイスＡへの証明書送信1004が付け加えられている。

　図８は、操作デバイスにて証明書を無効にする処理をフローチャートで示している。図８の処理において、ステップＳ４０００で処理が開始し、ステップＳ４００１へ進む。ステップＳ４００１では、操作デバイスがデバイスＩＤの問い合わせを行い、ステップＳ４００２へ進む。ステップＳ４００２では、認証デバイスが操作デバイスの問い合わせを受けて応答を行った場合、ステップＳ４００１へ進む。操作デバイスが認証デバイスからの応答を受けない場合、ステップＳ４００３へ進む。ステップＳ４００３では、有効化されていた認証デバイスに対応する証明書を無効化して操作デバイス１００の操作をできないようにロックし、ステップＳ４００４へ進む。

　図９は、操作デバイスで証明書を無効にする処理をシーケンス図で示している。操作デバイスは認証デバイスに対しデバイスＩＤの問い合わせ２０００を繰り返し行う。認証デバイスがデバイスＩＤの問い合わせ２０００を受信する場合、認証デバイスは操作デバイスに対しデバイスＩＤ応答２００１を行う。認証デバイスがデバイスＩＤの問い合わせ２０００を受信しない場合、操作デバイスは認証デバイスが有効領域（第2の通信範囲）の外に移動したと判定し、証明書の無効化２００２を行う。

　操作デバイス１００が、認証デバイス２００が近傍にあることの検知は、認証デバイスからの応答の有無のほかに、認証デバイスからの信号強度によって判断してもよい。図１０は、操作デバイス１００の記憶部１０３に記憶される信号強度の閾値情報５００を示した図である。信号強度情報５００は、認証デバイスの記憶部２０３に格納されており、信号強度５０１で構成されている。信号強度５０１は、認証デバイスに対して証明書を利用するデバイスが一定距離に存在するかどうかを判定する際に利用する信号強度の閾値が格納される。例えば、デバイスＩＤの問い合わせを行うデバイスが一定距離内に存在すると判定する信号強度を１２０以上とする場合、信号強度に１２０の値が格納される。この場合、操作デバイスからの信号を受信していても、その信号強度が１２０未満の場合には操作デバイスが近くにいないと判断される。また、操作デバイス１００が信号強度情報５００を記憶し、デバイスID応答に対して、信号強度の閾値を適用してもよい。

　また、デバイスＡとデバイスＢとの距離判定としては、受信する電波の有無、受信した電波の強度以外でも、電波の発信強度の変更や、送受信する通信方式の種類の変更などを組み合わせてもよい。

　本実施例の作用効果について説明する。本実施例では、デバイス証明書を有効にするための通信の第１の通信距離を、デバイス証明書を無効にしないための通信の第２の通信距離よりも短くしてある。そのため、デバイス認証時には、操作デバイス１００と認証デバイス２００との間で行う通信に、機密性の高い情報が含ませることができ、他者に傍受されることを抑制することができる。機密性の高い情報とは、本実施例では証明書を有効にするためのデバイスIDや証明書である。また、近傍にデバイスが複数ある場合に、通信範囲が狭いことで、認証を行うデバイスを特定しやすくなる。デバイス認証時には、使用者が認証デバイスを手に持って操作デバイスに近づけることを想定している。また、使用者が不用意に操作デバイスを操作可能にしてしまうことを防ぐという効果もある。

　一方、デバイス証明書を無効にしないための通信の第２の通信距離は、デバイス証明書を有効にするための通信の第１の通信距離よりも長い。そのため、認証時に比べて使用時には通信の機密性が低いう通信をもちいることができる。例えば、再認証ごとに通信ルールを設定すれば、第2の通信による信号を傍受されたときの損害が小さい。デバイスIDや証明書などの代替性の低い情報を含まず、通信ルールに代替性があるからである。また、使用者が操作デバイスを使用中は、例えば認証デバイスをストラップ、クリップや衣服のポケット等で携帯することを想定しており、利便性のために操作デバイスと認証デバイスとの距離を確保しなければならない。そのため、使用者が操作デバイスから離れる場合には、操作デバイスと認証デバイスとの距離が離れて、操作デバイスをロックすることができる。

　本発明の実施例２を説明する。実施例１では、デバイス認証を行って操作デバイス１００を操作可能にし、認証デバイス２００が離れて操作デバイス１００がロックされるまでを説明した。本実施例は、ロックされてから使用者が携帯する認証デバイスが再び操作デバイスに近づき、操作デバイスのロックが解除されるまでを説明する。

　図１１に、本実施例で用いる通信範囲の模式図を示す。実施例１で用いた第1の通信範囲６０１、第2の通信範囲６０２に加えて、第3の通信範囲６０３を用いる。第3の通信範囲は、第1の通信範囲より大きい。また、第２の通信範囲範囲と同じまたはより小さくてもよい。

　本実施例では、実施例１のようにデバイス認証を行い認証デバイスが操作デバイスから離れてロックされた後に、再びデバイスAに近づいてロックが解除される例である。本実施例で用いる証明書管理情報４００を示す。実施例１と同じくデバイスID401、証明書ID402を有し、省略しているがPIN403を有していてもよい。本実施例では、さらに認証フラグ404を有している。認証フラグ404は、認証デバイス200が操作デバイス100に認証されて操作可能になった場合に付され（１になる）、認証デバイス200が操作デバイスの第2の通信範囲602外になったのみでは、削除（0になる）されない。認証デバイス200が、第2の通信範囲602外に移動し所定時間経過したり、操作デバイス100の電源がOFFになったりすると、認証フラグは削除される（0になる）。認証フラグがある場合には、認証デバイス200は、第2の通信範囲602外から第3の通信範囲603内に移動することで、操作デバイス100のロックを解き、操作可能にすることができる。すなわち、認証フラグが無い場合に比して、操作ロック解除が容易になる。

　本実施例のフローチャートは図６と同じであり、シーケンスは図７（ａ）と同じであり、詳細説明は省略する。異なる点は、実施例１では第1の通信範囲内のときに操作デバイス１００は認証デバイス２００が近くにあると認識し、本実施例では、第3の通信範囲内のときに近くにあると認識する点である。

　第3の通信範囲は、第2の通信範囲と同じか狭くてよい。また、第3の通信範囲が第１の通信範囲より広いのは、利便性のためである。例えば、最初の認証時には、使用者がデバイスＢを手に持って第1の通信範囲内に近づけなくてはならない場合でも、操作デバイス１００から離れて操作デバイスをロックし戻ってきたときには、使用者は認証デバイス２００を身に着けたまま第2の通信範囲内に近づき、操作デバイスのロックを解除することができる。そのため、認証デバイス２００の利便性が向上する。

１００　操作デバイス
１０１　電源部
１０２　制御部
１０３　記憶部
１０４　表示部
１０５　入出力部
１０６　通信部
１０７　デバイス認識部
１０８　証明書制御部
１０９　証明書格納部
２００　認証デバイス
２０１　電源部
２０２　制御部
２０３　記憶部
２０４　表示部
２０５　入出力部
２０６　通信部
２０７　信号強度検出部
３００　サーバ

Claims

　認証デバイスにより制御対象装置の操作可否を制御する制御方法において、
　第1の通信により、前記認証デバイスと前記制御対象装置とが第1の範囲内で第１の通信を行う第１の通信工程と、
　前記制御対象装置が、前記第１の通信に基いて当該制御対象装置への操作を証明書により有効にするとともに、前記第1の通信よりも距離が長い無線通信である第2の通信を用いて前記認証デバイスと通信して当該認証デバイスが前記第1の通信よりも広い第２の範囲内にあることを検知して前記制御対象装置への操作を有効の状態に保つ操作工程と、
　前記制御対象装置が、前記第２の通信により前記認証デバイスが第２の範囲内に無いことを検知したときに、前記証明書を無効にし、当該制御対象装置への操作を無効化するロック工程と、
　を含む制御方法。
　請求項１において、
　前記制御対象装置は、前記第1の通信により前記認証デバイスの情報を取得し、当該認証デバイスの情報に基いて操作可否を判断し、操作可能と判断した場合に、前記前記操作を有効にするための証明書を有効にすることを特徴とする制御方法。
　請求項２において、
　前記第１の通信に基いて、前記操作対象装置は、その内部に保存している証明書を有効にすることにより、前記操作を有効にすることを特徴とする制御方法。
　請求項２において、
　前記第１の通信工程では、前記認証デバイスから前記制御対象装置へ前記操作を有効にするための証明書を送信することを特徴とする制御方法。
　請求項１において、
　前記第1の通信と第2の通信とは、異なる通信方式であることを特徴とする制御方法。
　請求項1において、
　前記操作を無効化にした後、前記第1の範囲よりも大きい第３の範囲にあることを検知したときに、前記無効にし操作装置内に保存された証明書を有効化して操作可能にすることを特徴とする制御方法。
　請求項６において、
　前記第３の範囲は、前記第２の範囲よりも小さいことを特徴とする制御方法。
　請求項１において、
　前記証明書は、前記制御対象装置が、ネットワークにより接続されたサーバと通信するために用いる証明書であることを特徴とする制御方法。
　認証デバイスと、制御対象装置とを備え、当該制御対象装置の操作可否を制御する制御システムにおいて、
　前記制御対象システムは、
　第1の通信により、前記認証デバイスと第1の範囲内で第１の通信を行う第１の通信工程と、
　前記第１の通信に基いて当該制御対象装置への操作を有効にするとともに、前記第1の通信よりも距離が長い無線通信である第2の通信を用いて前記認証デバイスと通信して当該認証デバイスが前記第1の通信よりも広い第２の範囲内にあることを検知して前記制御対象装置への操作を有効の状態に保つ操作工程と、
　前記第２の通信により前記認証デバイスが第２の範囲内に無いことを検知したときに、当該制御対象装置への操作を無効化するロック工程と、
　を行う制御システム。