WO2018123761A1

WO2018123761A1 - 認証システム、認証方法、および、所在地コード生成装置

Info

Publication number: WO2018123761A1
Application number: PCT/JP2017/045687
Authority: WO
Inventors: 民樹澤; 雄一鍋谷; 圭吾仲辻; 松原　高司; 隆之介國信; 健司野本
Original assignee: 東京電力ホールディングス株式会社
Priority date: 2016-12-28
Filing date: 2017-12-20
Publication date: 2018-07-05
Also published as: JP2018106645A; JP6751513B2

Abstract

ユーザ認証において電子端末が盗難にあった場合であっても、所謂なりすましを効果的に防止できるようにする。　デジタル式の電力量計（２０）と、電力量計（２０）に割り当てられた固有の電力量計識別情報（ＳＭ識別情報）を基に固有の所在地コードを生成する所在地コード生成部（４２ａ）、および、所在地コードを送信する通信処理部（４３）を有する所在地コード生成装置（４０）と、通信処理部（４３）により電力量計（２０）から第１の通信経路（Ａルート）を介して送信される所在地コードを受信し、所在地コード生成装置（４０）と接続される電子端末（６０）から第２の通信経路（Ｂルート）を介して送信される所在地コードを受信し、第１の通信経路（Ａルート）経由の所在地コードと、第２の通信経路（Ｂルート）経由の所在地コードとに基づいて電子端末を認証する所在地コード認証サーバ（１００）とを備える。

Description

認証システム、認証方法、および、所在地コード生成装置

　本発明は、電子端末を用いた認証システムに関するものである。

　従来、携帯端末を用いたユーザ認証（本人認証）には、二段階認証方式やワンタイムパスワード認証方式（例えば、特許文献１を参照。）が一般に良く知られている。例えば、ワンタイムパスワード認証方式では、ユーザＩＤおよびパスワードのようにユーザだけが知っている要素だけではなく、第二の要素、すなわち、誰にも予測がつかず、ログイン毎に一度に限って有効なワンタイムパスワードを用い、これらを組み合わせてユーザ認証が行われている。

特開２００２－２７８９２９号公報

　しかしながら、上述したワンタイムパスワード認証方式等によるユーザ認証方法では、認証サーバからユーザの所有する携帯型の電子端末を介してワンタイムパスワードが送信されるため、ユーザＩＤおよびパスワードが盗難されたことに加えて携帯端末までもが悪意のある第三者に盗難されてしまうと、ユーザ認証において所謂なりすましが行われてしまうというおそれがあった。

　そこで、本発明は、かかる課題に鑑み、ユーザ認証において所謂なりすましを効果的に防止し得る認証システム、認証方法、および、所在地コード生成装置を提供することを目的とする。

　上記目的を達成するために、本発明の認証システムにおいては、デジタル式の電力量計と、前記電力量計に割り当てられた固有の電力量計識別情報を基に所定の関数式により固有の所在地コードを生成する所在地コード生成部、および、前記所在地コードを所定の通信方式により送信する通信処理部を有する所在地コード生成装置と、前記通信処理部により前記電力量計から第１の通信経路を介して送信される前記所在地コードを受信し、前記所在地コード生成装置と接続される電子端末から第２の通信経路を介して送信される前記所在地コードを受信し、前記第１の通信経路を介して受信した前記所在地コードと、前記第２の通信経路を介して受信した前記所在地コードとに基づいて前記電子端末を認証する所在地コード認証サーバとを備えることを特徴とする。

　本発明において、前記所在地コード生成部は、前記電力量計識別情報に加えて、当該所在地コード生成部に割り当てられた固有の所在地コード生成装置識別情報、および、前記認証サーバから供給されたソルト情報を基に前記関数式により前記所在地コードを生成することを特徴とする。

　本発明において、前記通信処理部は、超音波通信により前記所在地コードを前記電子端末へ送信することを特徴とする。

　本発明において、前記電力量計と、前記所在地コード生成装置と、前記電子端末との間がアクティベイトされた状態において、前記所在地コード生成装置により生成されたアライブ信号が前記電力量計、前記所在地コード生成装置、および、前記電子端末の３者間で送受信されている場合、前記認証サーバは前記アライブ信号の存在を確認できた場合、ソルト情報を前記所在地コード生成装置へ送信することを特徴とする。

　本発明において、前記認証サーバは、前記アライブ信号、前記ユーザＩＤおよびパスワード、前記所在地コード、前記電子端末の固有のデバイス識別情報に基づいて前記電子端末を認証することを特徴とする。

　本発明の認証方法においては、デジタル式の電力量計に割り当てられた固有の電力量計識別情報を基に所定の関数式により固有の所在地コードを所在地コード生成部により生成する所在地コード生成ステップと、前記所在地コードを通信処理部により前記電力量計から第１の通信経路を介して送信し、前記所在地コード生成装置と接続される電子端末から第２の通信経路を介して送信する送信ステップと、前記第１の通信経路を介して送信される前記所在地コードを受信し、第２の通信経路を介して送信される前記所在地コードを受信し、前記第１の通信経路を介して受信した前記所在地コードと、前記第２の通信経路を介して受信した前記所在地コードとに基づいて所在地コード認証サーバにより前記電子端末を認証する認証ステップとを有することを特徴とする。

　本発明によれば、ユーザ認証において所謂なりすましを効果的に防止することができる。

本発明の実施の形態に係る認証システムの全体構成を示す構成図である。本発明の実施の形態に係る認証システムの全体構成に対するその他の例（１）を示す構成図である。本発明の実施の形態に係る認証システムの全体構成に対するその他の例（２）を示す構成図である。本発明の実施の形態に係るスマートメータの構成を示すブロック図である。本発明の実施の形態に係るスマートメータ、所在地コード生成装置がそれぞれ持つ固有の情報を示す略線図である。本発明の実施の形態に係る所在地コード生成装置の構成を示すブロック図である。本発明の実施の形態に係る所在地コード生成装置により生成されるソルトアンサー情報の説明に供する略線図である。本発明の実施の形態に係るスマートメータ、所在地コード生成装置、電子端末の間で送受信されるアライブ信号の説明に供する略線図である。本発明の実施の形態に係るＩＤパスワード認証サーバの構成を示すブロック図である。本発明の実施の形態に係る所在地コード生成装置により生成される所在地コードと、ＩＤパスワード認証サーバが所在地コード生成装置により生成されることを期待する所在地コードとの関係の説明に供する略線図である。本発明の実施の形態に係るスマートメータ管理サーバ、スマートメータ、所在地コード生成装置、電子端末、ＩＤパスワード認証サーバとの間に構築されるネットワークトポロジーを示す略線図である。本発明の実施の形態において、ＩＤパスワード認証サーバが認識している、ユーザＩＤおよびパスワードと紐付けられるスマートメータと所在地コード生成装置との対応関係の説明に供する略線図である。本発明の実施の形態において、所在地コード生成装置と電子端末とのアクティベイト処理の説明に供する略線図である。本発明の実施の形態において、所在地コード生成装置とスマートメータとのアクティベイト処理の説明に供する略線図である。本発明の実施の形態において、所在地コード生成装置と２台目の電子端末とのアクティベイト処理の説明に供する略線図である。本発明の実施の形態において、所在地コード生成装置と１台目および２台目の電子端末とのアクティベイト処理の手順を示すフローチャートである。本発明の実施の形態において、所在地コード生成装置とスマートメータとのアクティベイト処理の手順を示すフローチャートである。本発明の実施の形態に係る認証システムにおける認証処理シーケンスを示すシーケンスチャートである。本発明の実施の形態において、アライブ信号の生成からソルトアンサー情報の生成までの一連の流れの説明に供する略線図である。本発明の実施の形態において、認証処理の４つの要素の説明に供する略線図である。本発明の実施の形態において、ＩＤパスワード認証サーバにより認証処理手順を示すフローチャートである。本発明の実施の形態において、最新のアライブ信号を取得できなかった場合にはログイン認証を認めない例の説明に供する略線図である。本発明の実施の形態において、最新のアライブ信号を取得できず、ソルトアンサー情報が一致しない場合にはログイン認証を認めない例の説明に供する略線図である。本発明の実施の形態において、最新のアライブ信号を取得できず、ソルトアンサー情報が一致せず、電子端末のデバイス識別情報も一致しない場合にはログイン認証を認めない例の説明に供する略線図である。本発明の実施の形態において、最新のアライブ信号を取得できず、ソルトアンサー情報が一致せず、電子端末のデバイス識別情報も一致せず、ユーザＩＤ、パスワードも一致しない場合、および、スマートメータが盗難にあった場合、ログイン認証を認めない例の説明に供する略線図である。本発明の実施の形態において、ＡルートおよびＢルートの双方を用いた認証システムの全体構成（１）を示す構成図である。本発明の実施の形態において、ＡルートおよびＢルートの双方を用いた認証システムの全体構成（２）を示す構成図である。本発明の実施の形態において、ＡルートおよびＢルートの双方を用いた認証システムの全体構成（３）を示す構成図である。本発明の実施の形態において、ＡルートおよびＢルートの双方を用いた認証システムによる認証処理の説明に供する略線図である。

＜本発明の実施の形態＞
　以下、本発明の実施の形態について図面を参照しながら説明する。

＜認証システムの全体構成＞
　図１に示すように、本発明の実施の形態における認証システム１は、スマートメータ２０、スマートメータ管理サーバ３０、所在地コード生成装置４０、電子端末６０、および、ＩＤパスワード認証サーバ８０を備えている。

　スマートメータ２０は、所謂Ａルートと呼ばれる第１の通信経路を介してスマートメータ管理サーバ３０と無線接続されるとともに、所謂Ｂルートと呼ばれる第２の通信経路を介して所在地コード生成装置４０と無線接続されている。

　ここで、Ａルートとは、電力会社が用意しているスマートメータ管理サーバ３０に対してスマートメータ２０により計測された電力使用量に相当するデータ（以下、これを「電力使用量データ」ともいう。）を直接送信するアクセス系ネットワークの通信経路である。

　なお、スマートメータ２０とスマートメータ管理サーバ３０とのＡルートを介した接続においては、複数のスマートメータ２０が所謂バケツリレーをしながら図示しないコンセントレータ（集約装置）まで無線マルチホップ通信によりデータを送信し、当該コンセントレータからＷＡＮ(Wide Area Network)回線およびルータを介してスマートメータ管理サーバ３０と接続されてもよい。

　また、Ｂルートとは、建物内のＨＥＭＳ(Home Energy Management System)端末とスマートメータ２０とが物理層として９２０ＭＨｚ帯（Wi-SUN）を用いた無線方式により接続され、当該スマートメータ２０の電力使用量データを当該ＨＥＭＳ端末へ送信する宅内通信ネットワークの通信経路である。したがって、スマートメータ２０は、建物内のＨＥＭＳ端末と接続されるＢルートを介して所在地コード生成装置４０と通信することが可能である。

　なお、図２に示すように、スマートメータ２０Ａ、２０Ｂは、屋内のエアコン等の家電製品と接続される分電盤９０に接続されていてもよく、また、分電盤９０からスマートメータ２０Ｂ、スマートメータ２０Ａが直列に接続されていてもよい。また、スマートメータ２０Ａ、２０Ｂは、所在地コード生成装置４０と別体である必要は必ずしもなく、当該所在地コード生成装置４０を内蔵した一体構成であってもよい。

　さらに、図３に示すように、スマートメータ２０は、当該スマートメータ２０から所在地コード生成装置４０Ｍ（親機）までの距離が長い場合、第１のＰＬＣ(Power Line Communication)装置Ｄ１および第２のＰＬＣ装置Ｄ２を介して所在地コード生成装置４０Ｍ（親機）と接続することが可能である。

　この場合、スマートメータ２０が所在地コード生成装置４０Ｓ（子機）と無線接続されたうえ、当該所在地コード生成装置４０Ｓ（子機）と第１のＰＬＣ装置Ｄ１とが接続されている。所在地コード生成装置４０Ｍ（親機）は、第２のＰＬＣ装置Ｄ２と接続されている。

　第１のＰＬＣ装置Ｄ１と第２のＰＬＣ装置Ｄ２とは、コンセントＣ１、Ｃ２を介して電力線と繋がっており、第１のＰＬＣ装置Ｄ１と、第２のＰＬＣ装置Ｄ２とは、電力線通信（例えばG3-PLC）により双方が接続されている。ただし、これに限るものではなく、第１のＰＬＣ装置Ｄ１と第２のＰＬＣ装置Ｄ２とは、分電盤９０（図２）を介して互いに接続されていてもよい。なお、スマートメータ２０は、第１のＰＬＣ装置Ｄ１と一体構造であってもよく、所在地コード生成装置４０が第２のＰＬＣ装置Ｄ２と一体構造であってもよい。

　この場合、スマートメータ２０の設置場所の近隣にコンセントＣ１等の電源供給部が配置されており、そのコンセントＣ１からスマートメータ２０へ電力が供給される。

＜スマートメータ＞
　スマートメータ２０は、一般的には、各家庭、各店舗等の電気料金を支払う需要家の最少単位毎に個別に取り付けられるデジタル式の電力量計である。スマートメータ２０は、その内部に演算処理機能および外部との通信を行う通信機能を有している。ただし、例えば、ビル等のように、フロア毎、店舗毎にスマートメータ２０が設けられており、当該ビルのオーナーが電気料金を支払う最少単位である場合、そのオーナーが複数のスマートメータ２０を所有することもある。

　ただし、図２に示したように、スマートメータ２０Ａ、２０Ｂのように、スマートメータ２０Ａについては電気料金を支払う需要家が所有するものの、スマートメータ２０Ｂについては電気料金の支払いとは無関係であり、この認証システム１を構築するために新たに個人的に設けることも可能である。つまり、スマートメータ２０は、電気料金の支払いとは無関係に、この認証システム１を構築するために電力会社とは別に私物として購入し設置することが可能である。

　スマートメータ２０は、１個ずつ全て異なる固有の電力量計である。したがって、複数のスマートメータ２０は、それぞれが異なる固有（ユニーク）のスマートメータ識別情報（以下、これを「ＳＭ識別情報」ともいう。）を有している。なお、スマートメータ２０に割り当てられたＳＭ識別情報は書き換え不能な一意の情報である。

　図４に示すように、スマートメータ２０は、電力使用量計量部２１、スマートメータ記憶部２２、および、通信処理部２５を有している。電力使用量計量部２１は、電力を使用したときの電力使用量を計量して保持する機能部であり、電流を計測する電流センサ、電圧を計測する電圧センサ等により計測された計測値に基づいて電力使用量データを算出する演算処理を行う。

　電力使用量計量部２１は、例えば、ＣＰＵ(Central Processing Unit)、メモリ、インタフェースを含むＭＣＵ(Micro Control Unit)等によって構成される。なお、電力使用量計量部２１は、所在地コード生成装置４０とスマートメータ２０とがアクティベイトするためのアクティベイトＩＤおよび初期パスワードをスマートメータ記憶部２２に記憶している。ここで、アクティベイトとは、互いに接続する機器同士を有効化することを意味する。

　スマートメータ記憶部２２は、スマートメータ２０に割り当てられている固有（ユニーク）のＳＭ識別情報を書き換え不能な状態で記憶している機能部である。スマートメータ記憶部２２は、例えばＲＯＭ(Read Only Memory)等からなる。すなわち、図５（Ａ）に示すように、スマートメータ２０は、ユニークで書き換え不能な固有のＳＭ識別情報を有している。

　通信処理部２５は、電力使用量計量部２１から供給される電力使用量データを外部に送信する機能部であり、例えば、９２０ＭＨｚに対応した無線ＬＳＩ(Large-Scale Integration)等によって構成される。通信処理部２５は、Ａルートを介して電力使用量データを例えば３０分間隔ごとにスマートメータ管理サーバ３０へ無線送信する。ただし、通信処理部２５は、電力使用量データをＡルート経由で有線送信するようにしてもよい。また、通信処理部２５は、例えば、スマートメータ記憶部２２に記憶しておいたスマートメータ２０のＳＭ識別情報に基づいて９２０ＭＨｚの搬送波を変調し、その結果得られる変調信号を電波として所在地コード生成装置４０へＢルート経由で無線送信する。

＜スマートメータ管理サーバ＞
　スマートメータ管理サーバ３０（図１）は、ＣＰＵ、大容量ストレージ、ネットワークインタフェース等を有し、多数のスマートメータ２０を管理するサーバである。

　スマートメータ管理サーバ３０は、スマートメータ２０が設置されている所在地（住所等）、当該スマートメータ２０のＳＭ識別情報、および、スマートメータ２０の契約者の個人情報等を一元管理している。このスマートメータ管理サーバ３０は、後述するＩＤパスワード認証サーバ８０とインターネット等のネットワークＮＴを介して接続されている。

　スマートメータ管理サーバ３０は、スマートメータ２０との通信接続状態を常時維持しており、仮にスマートメータ２０が故障した場合や、盗難にあって取り外された場合には、当該スマートメータ２０との通信接続状態が維持されなくなったことを検出し得、異常状態にあると判定することが可能である。この場合、スマートメータ管理サーバ３０は、スマートメータ２０が異常状態にあることをＩＤパスワード認証サーバ８０に対しインターネット等のネットワーク経由で通知することが可能である。

＜所在地コード生成装置＞
　所在地コード生成装置４０は、スマートメータ２０および電子端末６０と無線接続され、特に電子端末６０に対しては超音波通信方式により通信接続される。ただし、これに限るものではなく、電子端末６０に対して赤外線通信、可視光通信等の指向性（直進性）の高い光通信方式や、Bluetooth（登録商標）、ＷＬＡＮ(Wireless Local Area Network)等の近距離無線通信方式により接続されてもよい。

　図６に示すように、所在地コード生成装置４０は、所在地コード生成装置記憶部４１、制御部４２、および、通信処理部４３を有している。

　記憶部４１は、所在地コード生成装置４０に予め割り当てられた固有（ユニーク）の識別情報（以下、これを「ＬＣ識別情報」ともいう。）を記憶する機能部であり、書き換え可能なＲＯＭ(Read Only Memory)である例えばフラッシュメモリからなる。ただし、記憶部４１は、所在地コード生成装置４０とスマートメータ２０との接続関係が一意であるため、ＬＣ識別情報に加えてスマートメータ２０のＳＭ識別情報を予め記憶しておくことも可能であり、その場合には書き換え不能なＲＯＭ等からなることもある。

　すなわち、図５（Ｂ）に示すように、所在地コード生成装置４０は、固有のＬＣ識別情報を予め有している。また、記憶部４１は、ＳＭ識別情報を予め記憶しておくのではなく、通信処理部４３を介してスマートメータ２０からＳＭ識別情報を受信し、そのＳＭ識別情報をＬＣ識別情報とともに記憶することも可能である。

　なお、記憶部４１には、通信処理部４３と電子端末６０との間で超音波通信を行うためのアプリケーションプログラムの他、所在地コードを生成等するための専用のアプリケーションプログラムが予めインストールされており、通信処理部４３は、このアプリケーションプログラムに基づいて電子端末６０との間で超音波通信を行う。

　制御部４２は、ＣＰＵ、メモリ、インタフェースを含むＭＣＵからなり、当該ＭＣＵとアプリケーションプログラムとが協働することにより、所在地コード生成部４２ａ、アクティベイト処理部４２ｂ、および、アライブ信号生成部４２ｃ等の各機能部を構築している。

　所在地コード生成部４２ａは、スマートメータ２０および所在地コード生成装置４０が取り付けられた所在地に関連したコード（以下、これを「所在地コード」ともいう。）を生成する機能部である。具体的には、所在地コード生成部４２ａは、ＩＤパスワード認証サーバ８０から予め提供されている所定のソルトアンサー関数式を記憶部４１に記憶している。

　すなわち、所在地コード生成部４２ａは、ＩＤパスワード認証サーバ８０から与えられたソルト情報（何らかの任意のデータ）、記憶部４１に記憶したＬＣ識別情報、ＳＭ識別情報を用いてソルトアンサー関数式によりソルトアンサー情報となる所在地コードを生成する。

　ここで、ソルトアンサー関数式とは、ＩＤパスワード認証サーバ８０からソルト情報が与えられた場合に、例えば非可逆処理が行われるハッシュ関数等によりソルトアンサー情報（ハッシュ値等の暗号化データ）を生成するような関数式である。ソルト情報とは、ソルトアンサー関数式に基づいてソルトアンサー情報を算出するための入力となるデータであるが、例えば、電力使用量データをソルト情報として用いることが可能である。ただし、電力使用量データに限るものではなく、素数の集合の値であったり、乱数値であったり、その他、種々の任意のデータを使用することが可能である。

　このソルトアンサー関数式は、所在地コード生成装置４０毎に異なる固有（ユニーク）の関数式としてＩＤパスワード認証サーバ８０から予め提供されている。つまり、図５（Ｃ）に示すように、所在地コード生成装置４０は、固有（ユニーク）のソルトアンサー関数式を保持している。ＩＤパスワード認証サーバ８０は、所在地コード生成装置４０とソルトアンサー関数式との対応関係を記憶している。

　このように所在地コード生成部４２ａは、固有（ユニーク）のソルトアンサー関数式を記憶しており、ソルト情報、ＬＣ識別情報、および、ＳＭ識別情報を用いてソルトアンサー関数式によりシリアルデータからなる所在地コードをソルトアンサー情報として生成する。

　ただし、所在地コード生成部４２ａは、ソルト情報、ＬＣ識別情報、および、ＳＭ識別情報を全て用いてソルトアンサー関数式により所在地コードを生成しなければならない訳ではなく、少なくともＳＭ識別情報を用いてソルトアンサー関数式により所在地コードを生成してもよく、また、ソルト情報、ＬＣ識別情報、ＳＭ識別情報を任意に組み合わせて所在地コードを生成してもよい。

　図７に示すように、例えば、２台の所在地コード生成装置４０ａ、４０ｂがあり、ＩＤパスワード認証サーバ８０から同一のソルト情報（例えば[XKH48269PIM]）が提供された場合でも、所在地コード生成装置４０ａ、４０ｂは、ソルトアンサー関数式が双方共に異なり、かつ、ＬＣ識別情報(AA-BB-CC)、ＬＣ識別情報(ZZ-YY-XX)が異なり、かつ、ＳＭ識別情報も双方共に異なっている。

　したがって、ソルト情報が同一であっても、所在地コード生成装置４０ａの所在地コード生成部４２ａは、固有の所在地コード（例えば[POPPNNJRFFSS]）をソルトアンサー情報として生成し、所在地コード生成装置４０ｂの所在地コード生成部４２ａは、固有の所在地コード（例えば[TPGVELNWPS])をソルトアンサー情報として生成する。

　アクティベイト処理部４２ｂは、所在地コード生成装置４０と電子端末６０およびスマートメータ２０とのアクティベイト処理を行う機能部である。アクティベイト処理部４２ｂは、アクティベイトＩＤおよび初期パスワード等を内部に記憶しており、アクティベイトＩＤおよび初期パスワードを用いて所在地コード生成装置４０と電子端末６０とをアクティベイトさせ、所在地コード生成装置４０とスマートメータ２０とをアクティベイトさせる。

　アライブ信号生成部４２ｃは、スマートメータ２０の通信処理部２５を介して３０分間隔毎に無線送信される電力使用料データを後述する通信処理部４３により受信すると、当該電力使用料データに基づいてアライブ信号を所定時間毎（例えば１秒間毎）に生成し、通信処理部４３を介して再度スマートメータ２０へ送信する機能部である。

　ここで、図８に示すように、アライブ信号ＡＬとは、所在地コード生成装置４０、スマートメータ２０、および、電子端末６０の３者が有効に接続されたアクティベイト状態において、当該所在地コード生成装置４０→スマートメータ２０→所在地コード生成装置４０→電子端末６０→所在地コード生成装置４０→スマートメータ２０→……のように、３者間を巡回しながら途切れることなく送信されるものである。このアライブ信号ＡＬの存在は、正規の３者によるネットワークトポロジーが成立していることを意味する。

　通信処理部４３は、記憶部４１のアプリケーションプログラムに従い、Ｂルートを介してスマートメータ２０との間で無線通信を確立（アクティベイト）し、当該スマートメータ２０から所在地コード生成装置４０のＳＭ識別情報を受信することが可能である。なお、通信処理部４３は、アライブ信号ＡＬをスマートメータ２０および電子端末６０との間でやりとりする。

　また、通信処理部４３は、ＩＤパスワード認証サーバ８０からのソルト情報およびアライブ信号ＡＬを電子端末６０からの超音波としてマイクロフォン４６によって受信することが可能であり、所在地コード生成部４２ａにより生成された所在地コードを超音波としてスピーカ４５から電子端末６０へ発振することが可能である。

　図６に示すように、通信処理部４３は、無線信号変換部４３ａ、超音波変換部４３ｂ、および、音響処理部４３ｃを備えている。無線信号変換部４３ａは、スマートメータ２０の通信処理部２５と同様の構成を有している。したがって、無線信号変換部４３ａは、スマートメータ２０から受信した電波を復調してＳＭ識別情報やアライブ信号ＡＬを復元し、スマートメータ２０へ無線送信すべきアライブ信号ＡＬを変調する等の変換処理を行うことが可能である。無線信号変換部４３ａは、スマートメータ２０から得られたＳＭ識別情報を記憶部４１に格納する。

　なお、無線信号変換部４３ａは、所在地コード生成部４２ａによって生成された所在地コードをスマートメータ２０からスマートメータ管理サーバ３０へ所謂Ａルートで送信することも可能であり、その場合、例えば、所在地コードに基づいて搬送波を変調し、電波としてスマートメータ２０へ無線送信する。

　超音波変換部４３ｂは、所在地コード生成部４２ａによって生成されたシリアルデータからなる所在地コードやアライブ信号ＡＬを無線信号変換部４３ａ経由で受け取ると、その所在地コードをスピーカ４５から超音波として出力するための超音波信号に変換する機能部である。

　音響処理部４３ｃは、超音波変換部４３ｂから供給される超音波信号に応じた超音波音源を生成してスピーカ４５から出力させ、電子端末６０のスピーカから出力された超音波をマイクロフォン４６で受信し、超音波信号として超音波変換部４３ｂへ出力する機能部である。例えば、音響処理部４３ｃは、ＩＤパスワード認証サーバ８０から電子端末６０を介してソルト情報を超音波として受信したり、電子端末６０からアライブ信号ＡＬを超音波として受信すると、その超音波信号を、超音波変換部４３ｂおよび無線信号変換部４３ａを介して所在地コード生成部４２ａへ出力する。

　ここで、所在地コード生成装置４０と電子端末６０との間で超音波通信を行う理由は、電波通信に比べて通信リンクの確立までに煩雑な処理を要することなく、所在地コード生成装置４０と電子端末６０との間の通信リンクの確立が容易であり、データ送信時の秘匿性が高いからである。超音波は、相手機器へ送る信号を超音波に変換してスピーカから発振し、それを相手機器のマイクロフォンで受信させるだけでよく、特別なハードウェア構成を必要とすることなく、ソフトウェアだけで容易に実現可能な通信方式である。

　また、超音波は、電気や光に比べて伝達速度が１００万分の１と遅く、届く範囲も限られていて指向性も強いため、所在地コード生成装置４０と電子端末６０との設置間隔を短くすることになるので、設置間隔が長い場合に比べて漏洩のリスクが低減される。

＜電子端末＞
　電子端末６０は、ＩＤパスワード認証サーバ８０とルータｒｔ１、ｒｔ２を介して有線接続（または無線接続）されている。ただし、電子端末６０とＩＤパスワード認証サーバ８０とは、ルータｒｔ１、ｒｔ２を介すことなく接続されていてもよいし、無線接続されていてもよい。ここで、電子端末６０は、例えば、スマートフォン、ノートパソコン、携帯電話機等の少なくとも超音波の送受信が可能なスピーカおよびマイクロフォンを備えた電子機器であることが好ましい。

　電子端末６０は、ＣＰＵ、ＲＯＭ、ＲＡＭ、メモリ、スピーカ、マイクロフォン、カメラ等を有するコンピュータ機器である。この認証システム１において用いられる電子端末６０は、所在地コード生成装置４０との間で超音波通信や各種専用の処理等を行うための専用のアプリケーションプログラムが予めインストールされており、それ以外は通常のスマートフォンと同様である。

　電子端末６０は、所在地コード生成装置４０との間で超音波通信を行う場合、アプリケーションプログラムに従い、自身のスピーカおよびマイクロフォンを介して超音波通信を行うことが可能である。具体的には、電子端末６０は、ＩＤパスワード認証サーバ８０からのソルト情報を所在地コード生成装置４０へ送信したり、所在地コード生成装置４０により生成されたソルトアンサー情報である所在地コードを超音波として受信し、ＩＤパスワード認証サーバ８０へ送信することが可能である。

　なお、電子端末６０は、自身に割り当てられた固有のデバイス識別情報を予めメモリに記憶しており、ＩＤパスワード認証サーバ８０に対するログイン認証要求時には、このデバイス識別情報についても、ＩＤパスワード認証サーバ８０へ無線送信する。なお、ＩＤパスワード認証サーバ８０は、予め電子端末６０のデバイス識別情報についても記憶しているものとする。

＜ＩＤパスワード認証サーバ＞
　ＩＤパスワード認証サーバ８０は、ＣＰＵ、大容量ストレージ、ネットワークインタフェース等を有するサーバであり、電子端末６０が例えばコンテンツサーバ等にアクセスする前に当該電子端末６０が正当なユーザであることを認証するものである。

　図９に示すように、ＩＤパスワード認証サーバ８０は、ネットワークインタフェースからなる通信処理部８０ａ、大容量ストレージからなる記憶部８０ｂ、および、ＣＰＵからなる認証処理部８０ｃを備えている。ＩＤパスワード認証サーバ８０の通信処理部８０ａ、記憶部８０ｂ、および認証処理部８０ｃの各機能は、これらのハードウェア資源と記憶部８０ｂに格納されている所定の認証プログラムとが協働することによって実現される。

　通信処理部８０ａは、ＩＤパスワード認証サーバ８０と電子端末６０との間でデータを無線により送受信する機能部である。記憶部８０ｂは、ソルト情報、ソルトアンサー関数式、スマートメータ２０のＳＭ識別情報、所在地コード生成装置４０のＬＣ識別情報、電子端末６０のデバイス識別情報等を記憶する機能部である。

　認証処理部８０ｃは、所在地コード生成装置４０から受け取るソルトアンサー情報（所在地コード）や、電子端末６０から受け取るアライブ信号ＡＬ、スマートメータ２０のＳＭ識別情報、電子端末６０からのユーザＩＤ、パスワード、および、デバイス識別情報等に基づいてログイン認証を行う機能部であり、詳細については後述する。

　ＩＤパスワード認証サーバ８０は、通信処理部８０ａによりソルト情報を電子端末６０へ送信し、当該電子端末６０を介して当該ソルト情報を所在地コード生成装置４０へ超音波として送信可能である。また、ＩＤパスワード認証サーバ８０は、所在地コード生成装置４０からのソルトアンサー情報(所在地コード)、および、電子端末６０からのユーザＩＤ、パスワード、およびデバイス識別情報を通信処理部８０ａにより受信可能である。

　図１０に示すように、ＩＤパスワード認証サーバ８０は、所在地コード生成装置４０へ送信したソルト情報([XKH48269PIM])、および、所在地コード生成装置４０が保持しているのと同じソルトアンサー関数式を記憶部８０ｂに記憶している。このため、ＩＤパスワード認証サーバ８０は、電子端末６０から受け取るソルトアンサー情報([POPPNNJRFFSS])すなわち所在地コードの正当性を認証処理部８０ｃにより判定することが可能である。なお、認証処理部８０ｃは、ソルトアンサー情報（所在地コード）だけではなく、アライブ信号ＡＬ、電子端末６０からのユーザＩＤ、パスワード、および、デバイス識別情報等を用いてログイン認証処理を行う。

＜スマートメータ、所在地コード生成装置、電子端末の相互の関係＞
　図１１に示すように、認証システム１において、スマートメータ２０、所在地コード生成装置４０、電子端末６０は、それぞれ装置として物理的に固有のものであり、３者間をそれぞれ接続するネットワーク単体のトポロジーについても固有のものである。このため、認証システム１では、これら３者に加えて、スマートメータ管理サーバ３０、および、ＩＤパスワード認証サーバ８０を含めた全体のネットワークトポロジーも固有のものとなり、スマートメータ管理サーバ３０からＩＤパスワード認証サーバ８０までのネットワークにおいて信号の送受信が可能となる。すなわち、ネットワーク全体にパスが通じる。

　したがって、認証システム１のスマートメータ管理サーバ３０と、ＩＤパスワード認証サーバ８０との間を構築するスマートメータ２０、所在地コード生成装置４０、および、電子端末６０の３者の固体の組み合わせに１台でも変化が生じた場合、ネットワークトポロジーについても変化が生じることになる。例えば、ＩＤパスワード認証サーバ８０は、このネットワークトポロジーがアクティベイトされていて、トポロジー全体に対してルールに基づいたデータが送受信されない場合、電子端末６０からのユーザＩＤおよびパスワードによる認証を拒絶することが可能となる。

　図１２に示すように、ＩＤパスワード認証サーバ８０は、電子端末６０が当該ＩＤパスワード認証サーバ８０に対してログインする際に用いられるユーザＩＤおよびパスワードと紐付けられる所在地コード生成装置４０とスマートメータ２０との対応関係を予め認識している。したがって、他のスマートメータ２０、他の所在地コード生成装置４０、他のユーザＩＤおよびパスワードの組み合わせでは上述した対応関係を構築し得ないため、ＩＤパスワード認証サーバ８０は３者を紐付けることができないようになっている。

　所在地コード生成装置４０は、スマートメータ２０および電子端末６０とアクティベイトすることが可能であり、アクティベイトされると、スマートメータ２０および電子端末６０から送信されるデータを継続して受信することが可能となり、自身で生成した所在地コードやアライブ信号ＡＬをアクティベイト中のスマートメータ２０や電子端末６０へ送信可能となる。

　また、所在地コード生成装置４０は、スマートメータ２０とのアクティベイトが解除されると、電子端末６０へ送信されるデータ（所在地コード）が制限され、再度アクティベイトされるまでその制限が続く。

　アクティベイトされた所在地コード生成装置４０とスマートメータ２０との組み合わせは固有（ユニーク）なものであり、所在地コード生成装置４０は、一度スマートメータ２０とアクティベイトされた場合、そのスマートメータ２０に限って再アクティベイト可能となる。したがって、所在地コード生成装置４０は、最初にアクティベイトしたスマートメータ２０以外のスマートメータ２０とはアクティベイトすることができず、当該所在地コード生成装置４０は他のスマートメータ２０との接続に転用不可能となる。

　所在地コード生成装置４０は、電子端末６０とのアクティベイトを複数台可能であるが、２台目以降の電子端末６０とのアクティベイトを行うには一定の条件が必要であり、その点については後述する。

＜所在地コード生成装置とスマートメータおよび電子端末とのアクティベイト＞
　まず、所在地コード生成装置４０とスマートメータ２０とをアクティベイトする前に、所在地コード生成装置４０と電子端末６０とのアクティベイトを行う必要がある。その理由は、スマートメータ２０および所在地コード生成装置４０には、入力部（マウス、キーボード等）およびその入力結果を表示する表示部（液晶画面等）が存在していない場合もあり、両者間のアクティベイトを実行する術がないからである。

　図１３に示すように、所在地コード生成装置４０と１台目の電子端末６０とをアクティベイトするに際し、電子端末６０は、所在地コード生成装置４０へアクティベイトするためのアクティベイトＩＤと初期パスワードを予めＩＤパスワード認証サーバ８０から受信して記憶しておく。

　具体的には、所在地コード生成装置４０の正規ユーザは、認証システム１の正当な利用者であるとしてＩＤパスワード認証サーバ８０からアクティベイトＩＤおよび初期パスワードが電子端末６０に通知されるため、当該電子端末６０にアクティベイトＩＤおよび初期パスワードを記憶しておくことができる。

　電子端末６０は、ユーザの操作に応じてアクティベイトＩＤおよび初期パスワードを読み出し、これらを超音波通信により所在地コード生成装置４０へ送信する。所在地コード生成装置４０のアクティベイト処理部４２ｂは、電子端末６０からのアクティベイトＩＤおよび初期パスワードが正しいか否かを判定し、正しいと判定した場合に１台目の電子端末６０とのアクティベイト処理を実行する。なお、アクティベイト完了後においては、ユーザにより初期パスワードを任意の値に変更可能であるが、アクティベイトＩＤについては所在地コード生成装置４０と紐付いた固有のＩＤであるため変更はできない。

　続いて、図１４に示すように、所在地コード生成装置４０とスマートメータ２０とをアクティベイトさせるに際し、電子端末６０は、所在地コード生成装置４０とアクティベイトする際に用いたアクティベイトＩＤおよび初期パスワードを当該所在地コード生成装置４０を介してスマートメータ２０へ無線送信する。スマートメータ２０の電力使用量計量部２１は、アクティベイトＩＤおよび初期パスワードが正しいか否かを判定し、正しいと判定した場合に所在地コード生成装置４０とのアクティベイト処理を実行する。

　次に、図１５に示すように、所在地コード生成装置４０と２台目の電子端末６０ｓとをアクティベイトさせる場合について説明する。所在地コード生成装置４０は、２台目の電子端末６０ｓとアクティベイトするには、スマートメータ２０および１台目の電子端末６０との間のアクティベイト処理が完了している必要がある。

　この場合、所在地コード生成装置４０と１台目の電子端末６０との間でアクティベイト処理が完了していれば、たとえ１台目の電子端末６０が現在非アクティブ状態であっても、２台目の電子端末６０ｓと所在地コード生成装置４０との間でアクティベイト処理を行うことが可能である。

　続いて、所在地コード生成装置４０が電子端末６０およびスマートメータ２０との間で上述したようなアクティベイト処理を行う際の手順について説明する。

　図１６のメインルーチンＭＲＴ１に示すように、所在地コード生成装置４０の制御部４２は、ステップＳＰ１において、通信処理部４３を介して電子端末６０から受信したものがアクティベイト要求であるか否かをアクティベイト処理部４２ｂにより判定し、否定結果が得られると（ステップＳＰ１：ＮＯ）、次のステップＳＰ２へ移り、肯定結果が得られると（ステップＳＰ１：ＹＥＳ）、ステップＳＰ５へ移る。

　ステップＳＰ２において制御部４２のアクティベイト処理部４２ｂは、通信処理部４３を介して受信したものがスマートメータ２０からのアクティベイト要求であるか否かをアクティベイト処理部４２ｂにより判定する。ここで、スマートメータ２０は入力部および表示部を有していないため、電子端末６０を介して当該スマートメータ２０から所在地コード生成装置４０へアクティベイト要求が行われる。

　ステップＳＰ２において否定結果が得られると（ステップＳＰ２：ＮＯ）、このことは、アクティベイト要求が所在地コード生成装置４０に紐付けられている正規の電子端末６０およびスマートメータ２０からのものではないことを意味しており、この場合、アクティベイト処理部４２ｂは次のステップＳＰ３へ移る。一方、ステップＳＰ２において肯定結果が得られると（ステップＳＰ２：ＹＥＳ）、次のステップＳＰ４へ移り、後述するようなスマートメータ２０とのアクティベイト処理へ移行する。

　ステップＳＰ３においてアクティベイト処理部４２ｂは、正規な電子端末６０および正規なスマートメータ２０からのアクティベイト要求ではないので、電子端末６０に対してエラー通知を行い、当該電子端末６０の表示画面にアクティベイトエラーを表示させ、アクティベイト処理を終了する。

　ステップＳＰ５においてアクティベイト処理部４２ｂは、アクティベイト要求を受け付けた電子端末６０が１台目であるか否かを判定し、所在地コード生成装置４０が非アクティベイト状態であれば、当該電子端末６０が１台目であるため、肯定結果が得られ（ステップＳＰ５：ＹＥＳ）、次のステップＳＰ６へ移る。

　ステップＳＰ６においてアクティベイト処理部４２ｂは、電子端末６０からアクティベイト用のアクティベイトＩＤ、および、アクティベイト用初期パスワードを受信し、次のステップＳＰ７へ移る。

　ステップＳＰ７においてアクティベイト処理部４２ｂは、電子端末６０から受信したアクティベイトＩＤ、および、アクティベイト用初期パスワードの双方共に正しいか否かを判定する。ここで、正規の電子端末６０であれば、ＩＤパスワード認証サーバ８０から予めアクティベイトＩＤ、および、アクティベイト用初期パスワードを貰い受けており、また、所在地コード生成装置４０のアクティベイト処理部４２ｂにおいても、電子端末６０に割り当てられたアクティベイトＩＤ、および、アクティベイト用初期パスワードを記憶している。　

　ステップＳＰ７において肯定結果が得られると（ステップＳＰ７：ＹＥＳ）、アクティベイト処理部４２ｂは、自身で記憶していたアクティベイトＩＤ、および、アクティベイト用初期パスワードと、電子端末６０から受信したアクティベイトＩＤ、および、アクティベイト用初期パスワードとが一致するので、正当な接続関係を有する正規の電子端末６０であると認識することができる。したがってアクティベイト処理部４２ｂは、次のステップＳＰ８へ移って、電子端末６０とのアクティベイト処理を行った後、再度ステップＳＰ１へ戻る。

　これに対して、ステップＳＰ７において否定結果が得られると（ステップＳＰ７：ＮＯ）、アクティベイト処理部４２ｂは、アクティベイトＩＤ、および、アクティベイト用初期パスワードが一致せず、正当な接続関係を有する正規の電子端末６０ではないと認識し、次のステップＳＰ９へ移って、当該電子端末６０にアクティベイトエラーを表示させた後、再度ステップＳＰ１へ戻る。

　ところで、ステップＳＰ５において否定結果が得られると（ステップＳＰ５：ＮＯ）、このことは、アクティベイト要求を受け付けた電子端末６０が１台目ではなく、２台目であることを意味しており、この場合、アクティベイト処理部４２ｂは、次のステップＳＰ１０へ移り、２台目の電子端末６０ｓに対するアクティベイト処理を行う。

　ステップＳＰ１０においてアクティベイト処理部４２ｂは、１台目の電子端末６０と既にアクティベイト済みである場合に限り、２台目の電子端末６０ｓに対する仮パスワードを生成し、これを１台目の電子端末６０へ通信処理部４３による超音波通信によって送信し、次のステップＳＰ１１へ移る。

　ステップＳＰ１１において、１台目の電子端末６０は、受信した仮パスワードを表示する。ステップＳＰ１２において、２台目の電子端末６０ｓから、仮パスワードおよび１台目の電子端末６０の場合と同じアクティベイトＩＤを入力する。ステップＳＰ１３において、アクティベイト処理部４２ｂは、アクティベイトＩＤおよび仮パスワードを受信し、次のステップＳＰ７～ステップＳＰ９の処理に移り、アクティベイトＩＤおよび仮パスワードに基づいて２台目の電子端末６０ｓのアクティベイト処理を実行する。因みに、２台目の電子端末６０ｓから１台目の電子端末６０の場合と同じアクティベイトＩＤを受信できるのは、１台目の電子端末６０および２台目の電子端末６０ｓの所有者が正規ユーザである以上は同一であり、正規の１台目の電子端末６０に続く正規の２台目の電子端末６０ｓといえるからである。

　続いて、ステップＳＰ４における所在地コード生成装置４０とスマートメータ２０とのアクティベイト処理について詳細に説明する。図１７に示すように、ステップＳＰ４１において、所在地コード生成装置４０のアクティベイト処理部４２ｂは、当該所在地コード生成装置４０と１台目の電子端末６０とが既にアクティベイト済みであるか否かを判定し、否定結果が得られると（ステップＳＰ４１：ＮＯ）、ステップＳＰ１（図１５）に戻り、肯定結果が得られると（ステップＳＰ４１：ＹＥＳ）、次のステップＳＰ４２へ移る。

　ステップＳＰ４２においてアクティベイト処理部４２ｂは、既にアクティベイト済みの電子端末６０からの要求に応じて、通信処理部４３によりスマートメータ２０と無線接続し、次のステップＳＰ４３へ移る。

　ステップＳＰ４３においてアクティベイト処理部４２ｂは、ＩＤパスワード認証サーバ８０からスマートメータ２０に予め割り当てられていたアクティベイトＩＤ、および、アクティベイト用初期パスワードをアクティベイト済みの電子端末６０からスマートメータ２０に代わって受信したか否かを判定する。ここで、否定結果が得られると（ステップＳＰ４３：ＮＯ）、再度ステップＳＰ４３に戻り、アクティベイト処理部４２ｂは、電子端末６０からスマートメータ２０のアクティベイトＩＤ、および、アクティベイト用初期パスワードを受信するまで待ち受ける。

　これに対して、ステップＳＰ４３において肯定結果が得られると（ステップＳＰ４３：ＹＥＳ）、アクティベイト処理部４２ｂは、次のステップＳＰ４４乃至ステップＳ４６へ移り、ステップＳＰ７乃至ステップＳＰ９と同様にスマートメータ２０に対するアクティベイト処理を実行する。

　すなわち、アクティベイト処理部４２ｂは、アクティベイトＩＤ、および、アクティベイト用初期パスワードに基づいて所在地コード生成装置４０と正当な接続関係を有する正規のスマートメータ２０であると認識した場合（ステップＳＰ４４：ＹＥＳ）、ステップＳＰ４５において当該スマートメータ２０とのアクティベイト処理を行う。

　一方、アクティベイト処理部４２ｂは、アクティベイトＩＤ、および、アクティベイト用初期パスワードに基づいて正当な接続関係を有することのない正規の電子端末６０ではないと認識した場合（ステップＳＰ４４：ＮＯ）、ステップＳＰ４６において、スマートメータ２０と所在地コード生成装置４０との間にアクティベイトエラーが生じたことをその電子端末６０に通知して表示させた後、スマートメータ２０とのアクティベイト処理を終了する。

＜認証処理シーケンス＞
　次に、このような認証システム１において、スマートメータ２０、所在地コード生成装置４０、電子端末６０を用いたＩＤパスワード認証サーバ８０によるログイン処理時の認証処理シーケンスについて、図１８のシーケンスチャートを用いて説明する。

　最初に、電子端末６０は、処理手順ＳＫ１において、アクティベイトＩＤおよびアクティベイト用初期パスワードを所在地コード生成装置４０とアクティベイトするための当該電子端末６０からの認証情報として当該所在地コード生成装置４０へ送信する。

　所在地コード生成装置４０は、処理手順ＳＫ２において、電子端末６０の認証が成功すると当該電子端末６０とのアクティベイト処理を行い、アクティベイト済みである旨の通知を電子端末６０に行う。すなわち、所在地コード生成装置４０は、電子端末６０とのアクティベイト処理を最初に完了する。

　その後、所在地コード生成装置４０は、処理手順ＳＫ３、ＳＫ４において、電子端末６０のアクティベイト処理（処理手順ＳＫ１、ＳＫ２）と同様に、スマートメータ２０とのアクティベイト処理を完了する。

　所在地コード生成装置４０の制御部４２は、電子端末６０およびスマートメータ２０の双方とのアクティベイト処理が完了し、正規の３者によるトポロジーが成立したので、処理手順ＳＫ５において、アライブ信号生成部４２ｃによりアライブ信号ＡＬを生成し、これをスマートメータ２０へ送信する。

　スマートメータ２０の通信処理部２５は、処理手順ＳＫ６において、所在地コード生成装置４０から送信されてくるアライブ信号ＡＬを受信すると、これを所在地コード生成装置４０へ返信する。

　所在地コード生成装置４０は、処理手順ＳＫ７において、通信処理部４３によりスマートメータ２０からアライブ信号ＡＬを受信すると、当該通信処理部４３を介してこのアライブ信号ＡＬを超音波通信により電子端末６０へ送信する。

　電子端末６０は、処理手順ＳＫ８において、アライブ信号ＡＬを受信すると、このアライブ信号ＡＬを超音波通信により直ちに所在地コード生成装置４０へ返信する。このように所在地コード生成装置４０は、図１９に示すように、これ以降、３者間でアライブ信号ＡＬを循環し続けさせる。ただし、アライブ信号ＡＬの循環の方向は、これとは逆向き、すなわち、所在地コード生成装置４０→電子端末６０→所在地コード生成装置４０→スマートメータ２０→所在地コード生成装置４０→……であってもよい。

　電子端末６０は、処理手順ＳＫ９において、所在地コード生成装置４０およびスマートメータ２０との３者間で正規なトポロジーが成立し、アライブ信号ＡＬが循環できているので、アライブ信号ＡＬ、所望のサーバにログインするためのユーザＩＤおよびパスワード、当該電子端末６０に割り当てられている固有のデバイス識別情報からなる認証要求情報をＩＤパスワード認証サーバ８０に対して送信する。

　ＩＤパスワード認証サーバ８０は、処理手順ＳＫ１０、ＳＫ１１において、ソルト情報を生成し、これを電子端末６０を介して所在地コード生成装置４０へ超音波通信により送信する。

　所在地コード生成装置４０は、処理手順ＳＫ１２、ＳＫ１３において、ソルト情報を受信すると、スマートメータ２０のＳＭ識別情報、当該所在地コード生成装置４０のＬＣ識別情報、および、ソルト情報を用いて所定のソルトアンサー関数式により固有のソルトアンサー情報（所在地コード）を生成し、これを電子端末６０からＩＤパスワード認証サーバ８０へ送信する。

　ＩＤパスワード認証サーバ８０は、処理手順ＳＫ１４において電子端末６０からのログイン要求に対する真贋判定を行う。具体的には、図２０に示すように、ＩＤパスワード認証サーバ８０は、スマートメータ２０、所在地コード生成装置４０および電子端末６０の３者がＩＤパスワード認証サーバ８０の認める正規かつ固有のネットワークトポロジーを構築しており、３者を循環する最新のアライブ信号ＡＬ、電子端末６０からのユーザＩＤ、パスワード、所在地コード生成装置４０により生成されるソルトアンサー情報（所在地コード）、および、電子端末６０の固有のデバイス識別情報の何れも全てが正しく揃っている場合に限り、電子端末６０からのログイン要求が真であると判定し、ログイン認証を認める。このＩＤパスワード認証サーバ８０によるログイン認証処理手順を、図２１のフローチャートにより具体的に説明する。

　図２１に示すように、ＩＤパスワード認証サーバ８０の認証処理部８０ｃは、処理手順ＳＫ１４のステップＳＰ５１において、電子端末６０からアライブ信号ＡＬ、ユーザＩＤ、パスワード、電子端末６０のデバイス識別情報からなる認証要求情報を通信処理部８０ａにより受信したか否かを判定し、否定結果が得られると（ステップＳＰ５１：ＮＯ）、認証要求情報を受信するまで待ち受け、肯定結果が得られると（ステップＳＰ５１：ＹＥＳ）、次のステップＳＰ５２へ移る。

　ステップＳＰ５２において認証処理部８０ｃは、電子端末６０から受信した認証要求情報に含まれるアライブ信号ＡＬの生成時刻に基づいて、最新のアライブ信号ＡＬであるか否かを判定する。上述したように、アライブ信号ＡＬは１秒毎に生成されているため、認証処理部８０ｃは、現在時刻と比較することにより最新のアライブ信号ＡＬであるか否かを判定可能である。例えば、アライブ信号ＡＬが生成された時刻と現在時刻との差が例えば２秒以内であれば、当該アライブ信号ＡＬが最新のアライブ信号であると判定してもよい。

　ステップＳＰ５２において認証処理部８０ｃは、最新のアライブ信号ＡＬを正常に受信したか否かを判定する。ここで、否定結果が得られると（ステップＳＰ５２：ＮＯ）、このことは、スマートメータ２０、所在地コード生成装置４０および電子端末６０の３者がＩＤパスワード認証サーバ８０の認める正規かつ固有のネットワークトポロジーを構築しておらず、最新のアライブ信号ＡＬを受信できないことを表している。このとき認証処理部８０ｃは、ステップＳＰ５８へ移り、電子端末６０に「ＮＯＴ　ＴＲＵＥ」を表す非認証結果情報を送信して、当該電子端末６０に「ＮＯＴ　ＴＲＵＥ」を表示させた後、ログイン認証処理手順を終了する。

　これに対して、ステップＳＰ５２において肯定結果が得られると（ステップＳＰ５２：ＹＥＳ）、認証処理部８０ｃは、スマートメータ２０、所在地コード生成装置４０および電子端末６０の３者がＩＤパスワード認証サーバ８０の認める正規かつ固有のネットワークトポロジーを構築していると認識し、次のステップＳＰ５３に移って、ソルト情報を通信処理部８０ａにより電子端末６０へ送信する。

　これにより電子端末６０は、ソルト情報を所在地コード生成装置４０へ送信する。所在地コード生成装置４０は、ソルト情報、ＳＭ識別情報、ＬＣ識別情報を用いてソルトアンサー関数式によりソルトアンサー情報（所在地コード）を生成し、これを電子端末６０からＩＤパスワード認証サーバ８０へ送信する。

　ステップＳＰ５４において認証処理部８０ｃは、所在地コード生成装置４０からのソルトアンサー情報（所在地コード）を受信し、次のステップＳＰ５５へ移る。ステップＳＰ５５において認証処理部８０ｃは、最新のアライブ信号ＡＬ、電子端末６０からのユーザＩＤおよびパスワード、所在地コード生成装置４０により生成されるソルトアンサー情報（所在地コード）、および、電子端末６０のデバイス識別情報の４つの要素が全て正しく揃っている場合に限り、肯定結果を得て（ステップＳＰ５５：ＹＥＳ）、次のステップＳＰ５６へ移る。

　ステップＳＰ５６において認証処理部８０ｃは、電子端末６０に対するログイン処理を実行し、次のステップＳＰ５７において「ＴＲＵＥ」を表す認証結果情報を送信することにより、当該電子端末６０に「ＴＲＵＥ」を表示させた後、ログイン認証処理手順を終了する。

　これに対してステップＳＰ５５において、否定結果が得られると（ステップＳＰ５５：ＮＯ）、このことは、４つの要素が全て揃っていないため認証処理部８０ｃはログインを認めることができないことを意味し、ステップＳＰ５８へ移り、上述したように、非認証結果情報を電子端末６０へ送信した後、ログイン認証処理手順を終了する。

　ここでステップＳＰ５５において否定結果が得られる場合とは、例えば、図２２に示すように、最新のアライブ信号ＡＬだけが取得できない場合、図２３に示すように、最新のアライブ信号ＡＬおよびソルトアンサー情報（所在地コード）が取得できない場合、図２４に示すように、最新のアライブ信号ＡＬ、ソルトアンサー情報（所在地コード）およびデバイス識別情報が取得できない場合、および、図２５に示すように、４つの要素全てが取得できない場合等がある。

　ただし、図２５に示したように、悪意の第三者がユーザＩＤ、パスワードを不正に入手し、電子端末６０を不正に入手し、所在地コード生成装置４０を不正に入手し、かつ、スマートメータ２０を不正に入手した場合、悪意の第三者によるなりすましができてしまう可能性があるとも考えられる。

　しかしながら、スマートメータ２０が正規の所在地から撤去されて、他の場所に取り付けられる場合、スマートメータ管理サーバ３０とスマートメータ２０の両者間の通信が切断される。したがってスマートメータ管理サーバ３０は、本来の所在地にスマートメータ２０が設置されていないか、あるいは故障が生じた異常な状態であると判定し、異常である旨の異常情報をインターネット経由でＩＤパスワード認証サーバ８０へ送信することが可能である。

　これによりＩＤパスワード認証サーバ８０は、たとえ、悪意の第三者がユーザＩＤ、パスワード、電子端末６０、所在地コード生成装置４０、および、スマートメータ２０を全て不正に取得した場合でも、不正なログイン認証を未然に防止し、悪意の第三者による不正なログイン認証を事実上無効化することができる。

　このように認証システム１では、スマートメータ２０、所在地コード生成装置４０および電子端末６０の３者がＩＤパスワード認証サーバ８０の認める正規かつ固有のネットワークトポロジーを構築している場合に限り、ログイン認証処理を実行することができるので、悪意の第三者によるなりすましを従来に比して格段に防止し得、ネットワーク上のセキュリティの安全性を従来に比して一段と保証することができる。

＜ＡルートおよびＢルートの双方を用いた認証システム＞
　次に、ＡルートおよびＢルートの双方を用いた複数の認証システムについて説明する。図１との対応部分に同一符号を付した図２６に示すように、認証システム１ａは、スマートメータ２０、所在地コード認証およびスマートメータ管理サーバ３０ｓ、所在地コード生成装置４０、電子端末６０、および、ＩＤパスワード認証サーバ８０を備えている。この認証システム１ａでは、特に、所在地コード認証及びスマートメータ管理サーバ３０ｓが設けられている点が異なる。

　所在地コード認証及びスマートメータ管理サーバ３０ｓは、所在地コード生成装置４０により生成された所在地コードを所謂Ａルートによりスマートメータ２０から受信することが可能となっている。

　所在地コード生成装置４０は、これまで通り、所謂Ｂルートにより電子端末６０を介してＩＤパスワード認証サーバ８０へ所在地コードを送信しており、ＩＤパスワード認証サーバ８０はＢルート経由で受信した所在地コードをルータｒｔ３、インターネット、および、ルータｒｔ４を介して所在地コード認証及びスマートメータ管理サーバ３０ｓへ送信する。

　所在地コード認証及びスマートメータ管理サーバ３０ｓは、ＩＤパスワード認証サーバ８０の構成（図９）と基本的には同一の構成を有し、図示しない認証処理部において、Ａルート経由で受信した所在地コードと、Ｂルート経由で受信した所在地コードとのマッチングを行う。

　所在地コード認証及びスマートメータ管理サーバ３０ｓは、双方の所在地コードが一致した場合には正常なログイン認証として認め、「ＴＲＵＥ」を表す認証結果情報をＡルート経由でスマートメータ２０に送信し、さらにＢルート経由で所在地コード生成装置４０から電子端末６０へ送信するとともに、当該認証結果情報をインターネット経由でＩＤパスワード認証サーバ８０へ送信する。

　これによりＩＤパスワード認証サーバ８０は、所在地コード認証及びスマートメータ管理サーバ３０ｓから受信した認証結果情報に基づいて電子端末６０によるユーザＩＤおよびパスワードを用いたログイン処理を実行することができる。

　また、図２６との対応部分に同一符号を付した図２７に示すように、認証システム１ｂは、スマートメータ２０、スマートメータ管理サーバ３０、所在地コード生成装置４０、電子端末６０、および、所在地コード認証及びＩＤパスワード認証サーバ８０ｓを備えている。この認証システム１ｂでは、特に、所在地コード認証及びＩＤパスワード認証サーバ８０ｓが設けられている点が異なる。

　この場合、スマートメータ管理サーバ３０は、所在地コード生成装置４０により生成された所在地コードを所謂Ａルートによりスマートメータ２０から受信している。スマートメータ管理サーバ３０は、ルータｒｔ４、インターネット、ルータｒｔ３を介して所在地コードを所在地コード認証及びＩＤパスワード認証サーバ８０ｓへ送信する。所在地コード生成装置４０は、これまで通り、所謂Ｂルートにより電子端末６０を介して所在地コード認証及びＩＤパスワード認証サーバ８０ｓへ所在地コードを送信している。

　したがって、所在地コード認証及びＩＤパスワード認証サーバ８０ｓは、認証処理部８０ｃにおいて、Ａルート経由で受信した所在地コードと、Ｂルート経由で受信した所在地コードとのマッチングを行う。所在地コード認証及びＩＤパスワード認証サーバ８０ｓは、双方の所在地コードが一致した場合には正常なログイン認証として認め、「ＴＲＵＥ」を表す認証結果情報を電子端末６０へ送信するとともに、電子端末６０によるログイン処理を実行する。ただし、これに限るものではなく、所在地コード認証及びＩＤパスワード認証サーバ８０ｓは、Ａルート経由でスマートメータ２０から所在地コード生成装置４０を介して電子端末６０へ認証結果情報を送信することも可能である。

　さらに、図１との対応部分に同一符号を付した図２８に示すように、認証システム１ｃは、スマートメータ２０、スマートメータ管理サーバ３０、所在地コード生成装置４０、電子端末６０、ＩＤパスワード認証サーバ８０に加えて、所在地コード認証サーバ１００を備えている。この認証システム１ｃでは、特に、所在地コード認証サーバ１００が新たに設けられている点が異なる。所在地コード認証サーバ１００は、ＩＤパスワード認証サーバ８０の構成（図９）と基本的には同一の構成を有する。

　この場合、所在地コード認証サーバ１００が、所謂Ａルートによりスマートメータ管理サーバ３０からルータｒｔ４を介して受信した所在地コードと、所謂ＢルートによりＩＤパスワード認証サーバ８０からルータｒｔ３を介して受信した所在地コードとのマッチングを行う。所在地コード認証サーバ１００は、双方の所在地コードが一致した場合には正常なログイン認証として認め、「ＴＲＵＥ」を表す認証結果情報をＡルートまたはＢルートを介して電子端末６０へ送信する。

　すなわち、図２９に示すように、認証システム１ａ～１ｃでは、所在地コード認証及びスマートメータ管理サーバ３０ｓ、所在地コード認証及びＩＤパスワード認証サーバ８０ｓ、または、所在地コード認証サーバ１００の何れかにおいて、ＡルートおよびＢルートの双方から受信した所在地コードをマッチングし、両方の所在地コードが一致した場合には正常なログイン認証として認める。なお、この場合も、所在地コードだけではなく、最新のアライブ信号ＡＬ、電子端末６０からのユーザＩＤ、パスワード、および、電子端末６０のデバイス識別情報を用いて認証を行っている。

　これにより、所在地コード生成装置４０により生成された所在地コードがスマートメータ２０経由のＡルート、および電子端末６０経由のＢルートの何れかにおいて、正規なネットワークトポロジーが構築されていない場合には、所在地コードが一致しないので認証システム１ａ～１ｃでは、不正なログイン認証を事実上無効化し、ネットワーク上のセキュリティの安全性を保証することができる。

＜他の実施の形態＞
　以上、本発明の好適な実施の形態について説明したが、本発明は上記の実施の形態に係る認証システム１に限定されるものではなく、本発明の概念および請求の範囲に含まれるあらゆる態様を含む。また、上述した課題および効果の少なくとも一部を奏するように、各構成を適宜選択的に組み合わせてもよい。例えば、上記実施の形態における各構成要素の配置、組み合わせ等は、本発明の具体的使用態様によって適宜変更され得る。

　１、１ａ、１ｂ、１ｃ……認証システム、２０……スマートメータ（電力量計）、２１……電力使用量計量部、２２……スマートメータ記憶部、２５……通信処理部、３０……スマートメータ管理サーバ、３０ｓ……所在地コード認証及びスマートメータ管理サーバ４０……所在地コード生成装置、４０Ｍ……所在地コード生成装置（親機）、４０Ｓ……所在地コード生成装置（子機）、４１……記憶部、４２……制御部、４２ａ……所在地コード生成部、４２ｂ……アクティベイト処理部、４２ｃ……アライブ信号生成部、４３……通信処理部、４３ａ……無線信号変換部、４３ｂ……超音波変換部、４３ｃ……音響処理部、４５……スピーカ、４６……マイクロフォン、６０……電子端末（電子端末）、８０……ＩＤパスワード認証サーバ（認証サーバ）、８０ａ……通信処理部、８０ｂ……記憶部、８０ｃ……認証処理部、８０ｓ……所在地コード認証及びＩＤパスワード認証サーバ、９０……分電盤、Ｄ１，Ｄ２……ＬＰＣ装置、ｒｔ１～ｒｔ４……ルータ。

Claims

　デジタル式の電力量計と、
　前記電力量計に割り当てられた固有の電力量計識別情報を基に所定の関数式により固有の所在地コードを生成する所在地コード生成部、および、前記所在地コードを所定の通信方式により送信する通信処理部を有する所在地コード生成装置と、
　前記通信処理部により前記電力量計から第１の通信経路を介して送信される前記所在地コードを受信し、前記所在地コード生成装置と接続される電子端末から第２の通信経路を介して送信される前記所在地コードを受信し、前記第１の通信経路を介して受信した前記所在地コードと、前記第２の通信経路を介して受信した前記所在地コードとに基づいて前記電子端末を認証する所在地コード認証サーバと
　を備えることを特徴とする認証システム。
　前記所在地コード生成部は、前記電力量計識別情報に加えて、当該所在地コード生成部に割り当てられた固有の所在地コード生成装置識別情報、および、前記認証サーバから供給されたソルト情報を基に前記関数式により前記所在地コードを生成する
　ことを特徴とする請求項１に記載の認証システム。
　前記通信処理部は、超音波通信により前記所在地コードを前記電子端末へ送信する
　ことを特徴とする請求項１または２に記載の認証システム。
　前記電力量計と、前記所在地コード生成装置と、前記電子端末との間がアクティベイトされた状態において、前記所在地コード生成装置により生成されたアライブ信号が前記電力量計、前記所在地コード生成装置、および、前記電子端末の３者間で送受信されている場合、前記認証サーバは前記アライブ信号の存在を確認できた場合、ソルト情報を前記所在地コード生成装置へ送信する
　ことを特徴とする請求項２に記載の認証システム。
　前記認証サーバは、前記アライブ信号、前記ユーザＩＤおよびパスワード、前記所在地コード、前記電子端末の固有のデバイス識別情報に基づいて前記電子端末を認証する
　ことを特徴とする請求項２に記載の認証システム。
　デジタル式の電力量計に割り当てられた固有の電力量計識別情報を基に所定の関数式により固有の所在地コードを所在地コード生成部により生成する所在地コード生成ステップと、
　前記所在地コードを通信処理部により前記電力量計から第１の通信経路を介して送信し、前記所在地コード生成装置と接続される電子端末から第２の通信経路を介して送信する送信ステップと、
　前記第１の通信経路を介して送信される前記所在地コードを受信し、第２の通信経路を介して送信される前記所在地コードを受信し、前記第１の通信経路を介して受信した前記所在地コードと、前記第２の通信経路を介して受信した前記所在地コードとに基づいて所在地コード認証サーバにより前記電子端末を認証する認証ステップと
　を有することを特徴とする認証方法。