WO2020170976A1 - 認可システム、管理サーバおよび認可方法 - Google Patents

認可システム、管理サーバおよび認可方法 Download PDF

Info

Publication number
WO2020170976A1
WO2020170976A1 PCT/JP2020/005837 JP2020005837W WO2020170976A1 WO 2020170976 A1 WO2020170976 A1 WO 2020170976A1 JP 2020005837 W JP2020005837 W JP 2020005837W WO 2020170976 A1 WO2020170976 A1 WO 2020170976A1
Authority
WO
WIPO (PCT)
Prior art keywords
terminal
guest terminal
representative
child
signature
Prior art date
Application number
PCT/JP2020/005837
Other languages
English (en)
French (fr)
Inventor
芳彦 大森
山下 高生
Original Assignee
日本電信電話株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電信電話株式会社 filed Critical 日本電信電話株式会社
Priority to US17/431,894 priority Critical patent/US11721148B2/en
Publication of WO2020170976A1 publication Critical patent/WO2020170976A1/ja

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • EFIXED CONSTRUCTIONS
    • E05LOCKS; KEYS; WINDOW OR DOOR FITTINGS; SAFES
    • E05BLOCKS; ACCESSORIES THEREFOR; HANDCUFFS
    • E05B49/00Electric permutation locks; Circuits therefor ; Mechanical aspects of electronic locks; Mechanical keys therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00571Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M11/00Telephonic communication systems specially adapted for combination with other electrical systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q9/00Arrangements in telecontrol or telemetry systems for selectively calling a substation from a main station, in which substation desired apparatus is selected for applying a control signal thereto or for obtaining measured values therefrom
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/108Source integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • G07C2009/00412Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks the transmitted data signal being encrypted
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00896Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys specially adapted for particular uses

Definitions

  • the present invention relates to an authorization system, a management server, and an authorization method for authorizing a guest terminal to unlock a smart lock.
  • Non-Patent Document 1 As one of IoT (Internet of Things) devices, there is a smart lock (see Non-Patent Document 1).
  • the owner installs the smart lock on the front door of the home, for example.
  • the owner issues an invitation URL (Universal Resource Locator) to the family and guest to obtain the key, and the family and guest unlock the smart lock using the smartphone that remembers the key, or the owner remotely. You can unlock it with. It is possible to set a usage time limit on the guest key.
  • URL Universal Resource Locator
  • Guests are not limited to friends and acquaintances, but may be employees dispatched by a business operator (hereinafter, also referred to as a service business operator) who provides services such as housework and babysitter.
  • a business operator hereinafter, also referred to as a service business operator
  • the owner When inviting a guest, the owner acquires an invitation URL for each guest and sends the invitation URL to the guest terminal. If the guest is a friend, the acquired invitation URL may be sent by e-mail or SNS (Social Networking Service).
  • SNS Social Networking Service
  • the guest is an employee of the service provider, the number of destinations is large, and the time and effort for acquiring and transmitting the invitation URL increases, which becomes a burden on the owner.
  • the employee of the service provider is often an unfamiliar person, which increases the time and effort for confirming the other party and further increases the burden on the owner.
  • the invitation URL is snooped on by the third party from the guest terminal or shared with the third party, and a third party not intended by the owner may obtain the duplicate key.
  • the present invention was created in view of the above background, and reduces the burden of invitation by the owner even if the number of guests to be invited increases or the frequency of invitations increases, and impersonation is performed. It is an object to provide an authorization system, a management server, and an authorization method that can prevent unintended invitation of a third party.
  • the invention according to claim 1 is a smart lock, an owner terminal used by an administrator of the smart lock, a child guest terminal used by a child guest and requesting unlocking of the smart lock,
  • An authorization system including a representative guest terminal used by a representative guest to request unlocking of the smart lock, and a management server, wherein the representative guest terminal is an authentication that is referred to when requesting unlocking of the smart lock.
  • Information is generated and signed, and the authentication information and the signature are transmitted to the owner terminal as a request for unlocking permission registration by the representative guest terminal, and the owner terminal receives the information received from the representative guest terminal.
  • a smart lock an owner terminal used by an administrator of the smart lock, a child guest terminal used by a child guest to request unlocking of the smart lock, a representative guest uses the A representative guest terminal for requesting unlocking of a smart lock, and an authorization method of an authorization system including a management server, wherein the representative guest terminal generates authentication information to be referred to when requesting unlocking of the smart lock. Then, a step of transmitting the authentication information and the signature to the owner terminal as a request for permission registration of unlocking by the representative guest terminal is executed, and the owner terminal receives from the representative guest terminal.
  • the management server executes a step of transmitting to the management server the information included in the unlock registration request received from the terminal and the signature of the owner terminal for the authentication information of the representative guest terminal.
  • After successfully verifying the signature included in the information received from the owner terminal stores the owner terminal and the representative guest terminal in association with each other, and associates the authentication information of the representative guest terminal with the representative guest terminal.
  • the unlock request is referred to by referring to the authentication information associated with the representative guest terminal.
  • the unlocking step Determining whether or not the representative guest terminal has transmitted the unlock request, and transmitting the result of the determination to the smart lock, wherein the smart lock is the management server, and the unlock request is When it is judged that the request is the unlock request transmitted from the representative guest terminal, the unlocking step is executed.
  • the authorization system permits registration of the representative guest terminal approved by the owner (invitation of representative guest, registration of representative guest terminal). Therefore, the representative guest can unlock the smart lock and enter the room by using his/her own terminal. Further, there is no smart lock duplication key such as the invitation URL of the existing technology, the duplication key is not stolen or passed to a third party, and it is possible to prevent the unintended terminal from unlocking.
  • the child guest terminal generates and signs authentication information that is referred to when the smart lock is requested to be unlocked, and the authentication information and the signature are combined with the representative guest terminal.
  • the representative guest terminal after successfully verifying the signature included in the information received from the child guest terminal, signs the authentication information of the child guest terminal and registers the unlock permission by the representative guest terminal.
  • the authentication information of the child guest terminal, the signature of the child guest terminal for the authentication information, and the signature of the representative guest terminal for the authentication information are registered for unlock permission by the child guest terminal.
  • the owner terminal After accepting the information that approves the unlocking permission registration to the guest terminal, the authentication information of the child guest terminal is signed and included in the unlocking permission registration request by the child guest terminal received from the representative guest terminal.
  • the information and the signature of the owner terminal for the authentication information of the child guest terminal together with the information included in the unlock registration permission request by the representative guest terminal and the signature of the owner terminal for the authentication information of the representative guest terminal , And the management server stores the representative guest terminal and the child guest terminal in association with each other after successfully verifying the signature included in the information received from the owner terminal, and the child server
  • the authentication request of the guest terminal and the child guest terminal are stored in association with each other and the unlock request transmitted from the child guest terminal requesting the unlock is transmitted from the smart lock
  • the authentication associated with the child guest terminal is received.
  • it is determined whether the unlock request is an unlock request transmitted by the child guest terminal, and the result of the determination is transmitted to the smart lock.
  • the authorization system according to claim 1, wherein the unlock request is unlocked when it is determined that the unlock request is transmitted by the child guest terminal.
  • the authorization system permits and registers the child guest terminals requested by the representative guest terminal and approved by the owner (invitation of child guests, registration of child guest terminals). Therefore, the owner can permit the invitation of the child guest through the representative guest without allowing the child guest terminal. The owner can reduce the burden of confirming each child guest and registering the permission through the trusted representative guest.
  • the owner terminal generates a permission token indicating that the request to the management server for permission registration of the unlocking is authorized to the representative guest terminal, adds a signature, and the signature is added.
  • the management server verifies the signature given to the permission token received from the owner terminal, stores the permission token and the representative guest terminal in association with each other,
  • the child guest terminal generates and signs the authentication information that is referred to when unlocking the smart lock, sends the authentication information and the signature to the representative guest terminal, and the representative guest terminal is , After successfully verifying the signature included in the information received from the child guest terminal, the authentication information of the child guest terminal is signed, and the authentication information of the child guest terminal and the signature of the child guest terminal for the authentication information And a signature of the representative guest terminal for the authentication information as a request for registration registration of unlocking by the child guest terminal, and the management server includes the information received from the representative guest terminal.
  • the representative guest terminal and the child guest terminal included in the unlocking permission registration request are confirmed.
  • the authorization token is registered in the management server, and the representative guest terminal can directly request the registration registration of unlocking the child guest terminal to the management server without going through the owner terminal. Therefore, the burden of approving the child guest invitation by the owner can be reduced. Further, the management server can manage which representative guest terminal the authorization token is issued to.
  • the owner terminal generates an authorization token indicating that the request for the management server of the permission registration of the unlocking is authorized to the representative guest terminal, adds the signature, and the signature is added.
  • the representative guest terminal verifies and stores the signature given to the permission token received from the owner terminal, the child guest terminal, the smart lock of Generates and signs the authentication information that is referenced when unlocking is requested, sends the authentication information and the signature to the representative guest terminal, and the representative guest terminal adds information to the information received from the child guest terminal.
  • the authentication information of the child guest terminal is signed, the authentication information of the child guest terminal, the signature of the child guest terminal for the authentication information, and the representative guest terminal for the authentication information.
  • a permission token to which the signature is added are transmitted to the management server as a request for permission registration of unlocking by the child guest terminal, and the management server includes the information received from the representative guest terminal.
  • the representative guest terminal authorized by the permission token is verified to be the representative guest terminal requested to register the permission for unlocking, and the success is confirmed.
  • the representative guest terminal can request the management server to directly register the unlocking permission of the child guest terminal by sending the permission token to the management server, without going through the owner terminal. Therefore, the burden of approving the child guest invitation by the owner can be reduced.
  • the permission token includes cancellation of permission registration for unlocking the child guest terminal
  • the representative guest terminal requests cancellation of permission registration for the child guest terminal
  • the management server verifies that the permission token corresponding to the representative guest terminal is stored and succeeds, or the request for canceling the permission registration includes the permission token corresponding to the representative guest terminal.
  • the representative guest terminal can cancel the permission registration of the child guest terminal for which it has requested permission registration.
  • the permission token includes any one of an upper limit number of child guest terminals that can be registered for permission of unlocking and a registrable period, and the management server is configured such that the permission token has the upper limit. If the number includes a number, the request for permission registration for unlocking is received from the representative guest terminal up to the upper limit number, and if the permission token includes the registrable period, the representative is included in the registrable period.
  • the authorization system according to claim 3 or 4 wherein if there is a request for permission registration for unlocking from a guest terminal, the request is accepted.
  • the administrator can limit the number of child guest terminals that can be registered by the representative guest terminal and the registration period.
  • the permission token includes a date and time when the unlocking is permitted, and the management server, authentication information of a child guest terminal requesting permission registration of the unlocking, and the child guest terminal.
  • the date and time when the unlocking is permitted are stored in association with each other, and when it is determined whether or not the unlocking request is the unlocking request transmitted by the child guest terminal, the unlocking is performed.
  • the administrator can limit the unlockable date and time by the child guest terminal registered by the representative guest terminal.
  • the management server When the management server receives a request for unlocking permission registration of the child guest terminal from the representative guest terminal, the management server associates the authentication information of the child guest terminal with the child guest terminal. Before storing the information, the owner terminal inquires of the approval/disapproval of the unlocking permission registration, and the owner terminal accepts information indicating whether or not the unlocking permission registration is approved by the administrator, and approval is possible. Alternatively, when the approval/denial is transmitted to the management server, and the approval/rejection is received, the management server stores the authentication information and the child guest terminal in association with each other. It was an authorization system.
  • the management server requests the invitation of the child guest from the representative guest terminal, and after obtaining the owner's approval, permits and registers the unlocking of the smart lock in the child guest terminal. Therefore, it is possible to prevent the invitation of a child guest who is not approved by the owner even if the child guest is recognized by the representative guest.
  • the management server When the management server receives a request for unlocking permission registration of the child guest terminal from the representative guest terminal, the management server stores the representative guest terminal and the child guest terminal in association with each other. At the same time, after storing the authentication information of the child guest terminal and the child guest terminal in association with each other, the owner terminal is notified of the permission registration for unlocking, and the owner terminal allows the unlocking permission by the administrator. Upon receiving the information indicating whether or not the registration can be canceled and transmitting the cancellation permission or cancellation to the management server, the management server, when receiving the cancellation permission, deletes the authentication information stored in association with the child guest terminal.
  • the authorization system according to claim 3 or 4, characterized in that.
  • the management server receives a request for inviting a child guest from the representative guest terminal and registers the unlocking of the smart lock with the child guest terminal with permission registration, if the owner instructs cancellation of the permission registration, Delete authorization registration. Therefore, even a child guest who is recognized by the representative guest can cancel the invitation of the child guest who is not approved by the owner.
  • the invention according to claim 10 is a smart lock, an owner terminal used by an administrator of the smart lock, a child guest terminal used by a child guest to request unlocking of the smart lock, and a smart lock used by a representative guest. And a management server of an authorization system including a representative guest terminal for requesting unlocking of the smart server, the authentication information referred to when the representative guest terminal requests unlocking of the smart lock, and the authentication information.
  • the management server is characterized by.
  • the management server permits registration of the representative guest terminal approved by the owner. Therefore, the representative guest can unlock the smart lock and enter the room by using his/her own terminal. Further, there is no smart lock duplication key such as the invitation URL of the existing technology, the duplication key is not stolen or passed to a third party, and it is possible to prevent the unintended terminal from unlocking.
  • FIG. 1 is a diagram showing the overall configuration of an authorization system 10 according to the present embodiment.
  • the authorization system 10 includes a smart lock 400 connected by a network 500, an owner terminal 101 that is a terminal of the owner (administrator) of the smart lock 400, a representative guest terminal 102 that is a representative guest terminal, and a child that is a child guest terminal.
  • the guest terminal 103 and the management server 200 are included.
  • the authorization system 10 uses the certificate authority 300 to manage the encryption key.
  • the owner terminal 101, the representative guest terminal 102, and the child guest terminal 103 are collectively referred to as a terminal (terminal 100 shown in FIG. 2 described later).
  • the owner terminal 101, the representative guest terminal 102, the child guest terminal 103, and the smart lock 400 can communicate with each other by short-range wireless communication.
  • Typical short-distance wireless communication includes Bluetooth (registered trademark), NFC (Near Field Communication), infrared communication, and the like.
  • Communication between the terminal/smart lock 400 and the management server 200 is protected, so that eavesdropping, falsification, and spoofing of communication data do not occur.
  • short-distance wireless communication is protected, and wiretapping, tampering, and spoofing of communication data do not occur.
  • the smart lock 400 is a key installed on the entrance or door of a room.
  • the owner of the smart lock 400 permits the representative guest and the child guest to enter the room, the information related to the terminals of the representative guest and the child guest is registered in the management server 200. Once registered, representative guests and child guests can enter the room. Registering the representative guest and the child guest by the owner is also referred to as inviting the representative guest and the child guest.
  • the smart lock 400 When a representative guest or a child guest enters the room, he/she instructs his/her terminal to request authentication so as to unlock the smart lock 400. If the information related to the terminal is registered in the management server 200, the smart lock 400 successfully authenticates the representative guest terminal 102 and the child guest terminal 103 and unlocks the lock, and the representative guest and the child guest can enter the room.
  • the owner permits the representative guest to enter the room, the owner and the representative guest face each other, the owner terminal 101 and the representative guest terminal 102 communicate with each other via short-distance wireless communication, and information related to the representative guest terminal 102 is transmitted to the management server 200. be registered.
  • Child guests are permitted to enter the room via the representative guest.
  • the representative guest faces the child guest, the representative guest terminal 102 and the child guest terminal 103 communicate with each other via short-distance wireless communication, and information related to the child guest terminal 103 is stored in the representative guest terminal 102.
  • the representative guest faces the owner, the owner terminal 101 and the representative guest terminal 102 communicate with each other via short-distance wireless communication, and the owner terminal 101 registers information regarding the child guest terminal 103 in the management server 200.
  • the representative guest terminal 102 registers the information related to the child guest terminal 103 in the management server 200 without the representative guest facing the owner.
  • the representative guest instead of each child guest obtaining the entry permission from the owner, the representative guest represents the child guest and obtains the child guest entry permission. By doing so, the owner can give permission to enter the room without facing each child guest, and the burden on the owner is reduced.
  • the representative guest can also collectively obtain the entry permission of a plurality of child guests, which reduces the burden on both the owner and the representative guest. Further, by using the permission token, the representative guest can register the child guest terminal 103 without facing the owner, and the burden on both the owner and the representative guest can be reduced.
  • FIG. 2 is an overall configuration diagram of the terminal 100 according to the present embodiment.
  • the terminal 100 is a portable computer such as a smartphone or a tablet terminal, and includes a control unit 110, a storage unit 120, a touch panel display 181, and a communication unit 182.
  • the control unit 110 is composed of a CPU (Central Processing Unit), executes various processes such as communication with the management server 200 and other terminals 100, encryption and decryption of data, signature, and signature verification, and the terminal 100.
  • the touch panel display 181 is a display unit provided in the terminal, and receives operations of the owner who is the user, the representative guest, and the child guest.
  • the communication unit 182 performs data transmission/reception of mobile phone communication and short-range wireless communication.
  • the storage unit 120 includes a RAM (Random Access Memory), a ROM (Read Only Memory), a flash memory, and the like.
  • the storage unit 120 has a program executed by the control unit 110, temporary data required for program execution, an electronic certificate 131, a certificate authority public key 132, a lock private key 141, a lock public key 142, and a management.
  • the private key 151 for management and the public key 152 for management are stored.
  • the electronic certificate 131 is an electronic certificate issued by the certificate authority 300 to the terminal 100, and proves that the public key included in the electronic certificate 131 is the public key of the terminal 100.
  • the electronic certificate 131 is referred to when the control unit 110 verifies the signature (digital signature) signed using the private key.
  • the electronic certificate 131 is transmitted to the other terminal 100, the management server 200, and the smart lock 400 together with the signature generated by the control unit 110.
  • the terminal 100 or the management server 200 verifies the signature of the certificate authority 300 attached to the electronic certificate 131 using the certificate authority public key 132, and obtains the public key of the terminal 100. Obtain and verify the signature using this public key.
  • verifying the signature of the certificate authority 300 given to the electronic certificate 131 is also referred to as simply verifying the electronic certificate 131. Further, verifying the electronic certificate 131 and verifying the signature using the public key of the electronic certificate 131 is also referred to as omitting the verification of the electronic certificate 131 and simply verifying the signature.
  • the certificate authority public key 132 is a public key of the certificate authority 300 used for verification of the electronic certificate 131. The electronic certificate 131 is not issued to the owner terminal 101, and the owner terminal 101 does not have the electronic certificate 131.
  • the lock private key 141 and the lock public key 142 are keys that form a pair of public key encryptions, and are used for authentication of the terminal 100 by the smart lock 400 when the smart lock 400 is unlocked.
  • the management private key 151 and the management public key 152 are keys that form a pair of public key cryptography, and are used for signature of the lock public key 142, signature of data to be transmitted to the management server 200, and signature verification. ..
  • the lock secret key 141 and the management secret key 151 are encryption keys used for signature generation, and are required to have high confidentiality. Therefore, the lock secret key 141 and the management secret key 151 may be stored in a tamper-resistant device.
  • the public key included in the electronic certificate 131 is the management public key 152.
  • the control unit 110 When acquiring the electronic certificate 131, the control unit 110 generates the management private key 151 and the management public key 152, transmits the management public key 152 to the certificate authority 300, and requests the electronic certificate 131. ..
  • the certificate authority 300 After authenticating the terminal 100 or the user of the terminal 100, the certificate authority 300 issues an electronic certificate 131 to which the signature of the certificate authority 300 is added, and transmits it to the terminal 100.
  • FIG. 3 is an overall configuration diagram of the management server 200 according to this embodiment.
  • the management server 200 is a computer, and includes a control unit 210 including a CPU, a RAM or SSD (Solid State Drive), a storage unit 220 including a hard disk drive, and a communication unit 280.
  • the communication unit 280 transmits/receives communication data to/from the terminal 100 or the smart lock 400 via the network 500.
  • the storage unit 220 includes a program executed by the control unit 210, temporary data necessary for executing the program, a certificate authority public key 232, and an authority information database 240 (described as authority information DB (Database) in FIG. 3) described later. , which will be described later).
  • the certificate authority public key 232 is a public key of the certificate authority 300, and is used for verification of the electronic certificate received by the management server 200.
  • FIG. 4 is a data configuration diagram of the authority information database 240 according to the present embodiment.
  • the authority information database 240 stores the owner identification information 241 (described as an owner ID (Identifier) in FIG. 4), the management public key 242, the entry information 243, the representative guest information 250, and the child guest information 260 in association with each other.
  • the authority information database 240 stores index information for high-speed search for smart lock identification information in the electronic certificates 254, 265, lock public keys 251, 261 and entry information 243, which is shown in FIG. I haven't.
  • the owner identification information 241 is information for identifying the owner of the smart lock 400.
  • the authority information database 240 stores one or more owner identification information 241.
  • the management public key 242 is the management public key 152 associated with the owner identification information 241, and stored in the owner terminal 101 of the owner identified by the owner identification information 241. There may be a case where one owner owns a plurality of owner terminals 101 and a plurality of management public keys 242 are associated with the owner identification information 241. In the description below, there is one management public key 242.
  • the entry information 243 is information stored in association with the management public key 242, and is identification information regarding the smart lock 400 (smart lock identification information) and a condition for unlocking the smart lock 400 (also referred to as an unlocking condition). ) And other information.
  • the unlocking condition is information such as a period, a day of the week, and a time period during which the parent guest and the child guest are permitted to enter the room.
  • the owner has a plurality of smart locks 400 and a plurality of entry information 243 is associated with the management public key 242. In the following description, there is one entry information 243.
  • the representative guest information 250 is information stored in association with the entry information 243.
  • One or more representative guest information 250 is associated with one entry information 243.
  • the representative guest information 250 includes a lock public key 251, a digital certificate 254, a usage authority 255, and a permission token 256.
  • the lock public key 251 is the lock public key 142 stored in the representative guest terminal 102, and has a signature 252 of the representative guest and a signature 253 of the owner.
  • the signature 252 of the representative guest is a signature for the lock public key 251, and is a signature generated using the management private key 151 stored in the representative guest terminal 102.
  • the signature 252 of the representative guest is verified using the public key included in the electronic certificate 254 described later.
  • the owner's signature 253 is a signature for the lock public key 251 and the representative guest's signature 252, and is a signature generated using the management private key 151 stored in the owner terminal 101.
  • the owner signature 253 is verified using the management public key 242.
  • the electronic certificate 254 is the electronic certificate 131 stored in the representative guest terminal 102 and is used to verify the signature 252 of the representative guest. In addition, it is also used for authentication of the representative guest terminal 102 when unlocking the smart lock 400.
  • the usage authority 255 is an authority for the smart lock 400 that is granted to the representative guest, and includes, for example, identification information of a room to enter and a possible entry time.
  • the permission token 256 is the authority of the representative guest authorized by the owner, and is given the signature 257 of the owner.
  • the authority of the representative guest includes registration and deletion of registration of child guests.
  • the owner signature 257 is a signature for the authorization token 256, and is a signature generated using the management private key 151 stored in the owner terminal 101.
  • the owner's signature 257 is verified using the management public key 242.
  • the child guest information 260 is information stored in association with the representative guest information 250. One or more child guest information 260 is associated with one representative guest information 250.
  • the child guest information 260 includes the lock public key 261, the electronic certificate 265, and the usage authority 266.
  • the lock public key 261 is the lock public key 142 stored in the child guest terminal 103, and has a signature 262 of the child guest, a signature 263 of the representative guest, and a signature 264 of the owner.
  • the child guest signature 262 is a signature for the lock public key 261 and is generated using the management private key 151 stored in the child guest terminal 103.
  • the signature 262 of the child guest is verified using the public key included in the electronic certificate 265 described later.
  • the signature 263 of the representative guest is a signature for the lock public key 261 and the signature 262 of the child guest, and is a signature generated by using the management private key 151 stored in the representative guest terminal 102.
  • the signature 263 of the representative guest is verified using the public key included in the electronic certificate 254 included in the representative guest information 250.
  • the owner's signature 264 is a signature for the lock public key 261, the child guest's signature 262, and the representative guest's signature 263, and is generated using the management private key 151 stored in the owner terminal 101. Owner signature 264 is verified using administrative public key 242.
  • the electronic certificate 265 is the electronic certificate 131 stored in the child guest terminal 103, and is used to verify the signature 262 of the child guest. In addition, it is also used for authentication of the child guest terminal 103 when unlocking the smart lock 400.
  • the usage right 266 is a right granted to the child lock to the smart lock 400, and includes, for example, identification information of a room to be entered and a possible entry time.
  • the representative guest information 250 and the child guest information 260 include the lock public keys 251, 261 and the electronic certificates 254, 265. When verifying the signatures generated by the representative guest terminal 102 and the child guest terminal 103. Referenced.
  • the lock public keys 251, 261 and the electronic certificates 254, 265 are referred to as authentication information when the management server 200 authenticates the representative guest terminal 102 and the child guest terminal 103 when unlocking the smart lock 400. To be done.
  • Smart lock registration process The smart lock registration processing, child guest terminal registration preparation processing, representative guest terminal registration preparation processing, guest terminal registration processing, smart lock unlock processing, and child guest additional registration processing will be described below.
  • signature verification is performed during the process, in the following description, it is assumed that the signature verification is successful and the authenticity of the signature target can be confirmed. If the signature verification fails, the terminal that sent the signature is notified of the error and the processing is stopped.
  • FIG. 5 is a sequence diagram for explaining the registration process of the smart lock 400 in the management server 200 according to this embodiment.
  • the smart lock registration process is a process in which the owner registers the smart lock 400 and the owner in the management server 200.
  • step S101 the owner terminal 101 generates a pair of the management private key 151 and the management public key 152.
  • step S102 the owner terminal 101 sends the owner identification information, the smart lock identification information, and the management public key 152 generated in step S101 to the management server 200 to apply for registration of the smart lock 400.
  • the communication between the owner terminal 101 and the management server 200 is protected, and tampering or spoofing of communication data does not occur.
  • step S103 the management server 200 registers the received owner identification information and management public key 152 as owner identification information 241 and management public key 242 of the authority information database 240, respectively.
  • the smart lock identification information is registered in the entry information 243.
  • the owner terminal 101 may transmit the information of the door or room in which the smart lock 400 is installed in step S102.
  • the management server 200 registers these pieces of information in the entry information 243 in step S103.
  • the management server 200 stores the owner identification information 241, the owner management public key 242, and the smart lock information in association with each other.
  • FIG. 6 is a sequence diagram for explaining a registration preparation process of the child guest terminal 103 in the management server 200 according to the present embodiment.
  • the child guest terminal 103 is registered in the management server 200 via the representative guest terminal 102 and the owner terminal 101.
  • the registration preparation process of the child guest terminal 103 (child guest invitation preparation process)
  • the information of the child guest terminal 103 is transmitted to the representative guest terminal 102, and further preparation before being transmitted to the owner terminal 101 is executed.
  • step S111 the representative guest terminal 102 acquires the electronic certificate 131 (see FIG. 2) from the certificate authority 300.
  • the acquisition procedure has been described with reference to the management private key 151 and the management public key 152 shown in FIG.
  • step S112 the child guest terminal 103 acquires the electronic certificate 131 from the certificate authority 300.
  • step S113 the child guest terminal 103 generates a pair of the lock private key 141 and the lock public key 142.
  • the child guest terminal 103 signs the lock public key 142 using the management private key 151.
  • the child guest terminal 103 and the representative guest terminal 102 can communicate with each other via short-range wireless communication.
  • the child guest terminal 103 transmits the information of the child guest, the electronic certificate 131 of the child guest terminal 103, and the signed lock public key generated in step S114 to the representative guest terminal 102 by short-range wireless communication. And request registration.
  • the information of the child guest includes the name of the child guest, identification information of the child guest terminal 103, and the like.
  • the lock public key 142 and the electronic certificate 131 are used as authentication information for authenticating the child guest terminal 103 when unlocking the smart lock 400.
  • step S116 the representative guest terminal 102 verifies the signature of the received signed lock public key. Specifically, the representative guest terminal 102 verifies the received signature of the electronic certificate 131 of the child guest terminal 103 using the certificate authority public key 132, and acquires the management public key 152 of the child guest terminal 103. Next, the representative guest terminal 102 verifies the signature of the received signed lock public key by using the acquired management public key 152 of the child guest terminal 103. As a result, the representative guest terminal 102 has acquired the authentic lock public key 142 of the child guest terminal 103.
  • FIG. 7 is a sequence diagram for explaining a registration preparation process for the representative guest terminal 102 in the management server 200 according to the present embodiment.
  • the child guest terminal 103 and the representative guest terminal 102 are registered in the management server 200 via the owner terminal 101.
  • the registration preparation process of the representative guest terminal 102 (representative guest invitation preparation process)
  • information on the child guest terminal 103 and the representative guest terminal 102 is transmitted to the owner terminal 101.
  • step S121 the representative guest terminal 102 generates a pair of the lock private key 141 and the lock public key 142.
  • the representative guest terminal 102 signs the lock public key 142 using the management private key 151.
  • step S123 the representative guest terminal 102 signs the signed public key for locking received from the child guest terminal 103 using the management private key 151.
  • the lock public key 142 of the child guest terminal 103 is doubly signed by being signed by the child guest terminal 103, further by the representative guest terminal 102.
  • the signed lock public key of the representative guest terminal 102 generated in step S122 and the double-signed lock public key generated in step S123 are collectively referred to as a signed lock public key group. ..
  • the representative guest terminal 102 closes the child guest information, the representative guest information, the electronic certificate 131 of the child guest terminal 103, the electronic certificate 131 of the representative guest terminal 102, and the signed lock public key group. It transmits to the owner terminal 101 by wireless communication and requests registration (permission registration).
  • the information of the representative guest includes the name of the representative guest, identification information of the representative guest terminal 102, and the like.
  • the electronic certificate 131 and the lock public key 142 of the child guest terminal 103 and the representative guest terminal 102 included in the signed lock public key group are used to authenticate the child guest terminal 103 when the smart lock 400 is unlocked. Used as authentication information.
  • step S125 the owner terminal 101 verifies the received signature of the signed lock public key group. Specifically, the owner terminal 101 verifies the received signatures of the electronic certificate 131 of the child guest terminal 103 and the electronic certificate 131 of the representative guest terminal 102 by using the CA public key 132, and the owner terminal 101 of the child guest terminal 103 The management public key 152 and the management public key 152 of the representative guest terminal 102 are acquired. Next, the owner terminal 101 verifies the signature of the received lock public key group with signature using the acquired management public key 152 of the child guest terminal 103 and the acquired management public key 152 of the representative guest terminal 102. As a result, the owner terminal 101 has acquired the authentic lock public key 142 of the child guest terminal 103 and the representative guest terminal 102.
  • FIG. 8 is a sequence diagram for explaining a registration process of the child guest terminal 103 and the representative guest terminal 102 (also referred to as a guest terminal) in the management server 200 according to the present embodiment.
  • the owner terminal 101 Due to the registration preparation process of the child guest terminal 103 (see FIG. 6) and the registration preparation process of the representative guest terminal 102 (see FIG. 7), the owner terminal 101 makes the authentic public key for locking of the child guest terminal 103 and the representative guest terminal 102. 142 has been acquired.
  • the owner terminal 101 sends the lock public key 142 to the management server 200 together with the child guest information and the parent guest information, and requests registration.
  • the owner terminal 101 displays the information of the child guest or the representative guest, requests the owner to confirm the registration request of the guest terminal, and the owner confirms and instructs the registration.
  • step S131 the owner terminal 101 generates a permission token indicating the authorization authority to authorize the representative guest.
  • the authorization token includes the identification information of the owner terminal 101 that gives the authorization authority, the identification information of the representative guest terminal 102 that acquires the authorization authority, the authorization authority, and the valid period of the authorization authority.
  • the authorization authority is to add a child guest and delete a child guest.
  • step S132 the owner terminal 101 signs the authorization token using the management private key 151.
  • step S133 the owner terminal 101 uses the management private key 151 to sign the signed lock public key group received from the representative guest terminal 102.
  • the lock public key 142 of the child guest terminal 103 is provided with the signature of the child guest terminal 103, the signature of the representative guest terminal 102, and the signature of the owner terminal 101, and is triple-signed.
  • the lock public key 142 of the representative guest terminal 102 is provided with the signature of the representative guest terminal 102 and the signature of the owner terminal 101, and is double-signed.
  • step S134 the owner terminal 101 enters the room information, the child guest information, the representative guest information, the lock public key group with the signature of the owner, the owner's signed permission token, and the electronic certificate of the child guest terminal 103.
  • the electronic certificate 131 of 131 and the representative guest terminal 102 is transmitted to the management server 200 to request registration.
  • the entry information includes identification information of the smart lock 400 and information such as a period, a day of the week, a time zone in which the parent guest and the child guest permitted by the owner can enter the room.
  • step S135 the management server 200 verifies the signature of the owner's signed authorization token.
  • the management public key 242 (see FIG. 4) is used.
  • step S136 the management server 200 verifies the signature of the signed lock public key group with the signature of the owner.
  • the signature-locked public key group with the signature of the owner includes a signature by the owner terminal 101, a signature by the representative guest terminal 102, and a signature by the child guest terminal 103. 242, the management public key 152 of the representative guest terminal 102, and the management public key 152 of the child guest terminal 103 are used for verification.
  • the management server 200 verifies the received signatures of the electronic certificates 131 of the representative guest terminal 102 and the child guest terminal 103 using the certification authority public key 232, and discloses the management guest of the representative guest terminal 102 and the child guest terminal 103.
  • the key 152 is acquired.
  • the management server 200 can acquire the management public key 152 of the authentic representative guest terminal 102 and the child guest terminal 103.
  • the management server 200 stores the acquired information in the authority information database 240 (see FIG. 4). Specifically, the representative guest information 250 is created in association with the entry information 243 of the authority information database 240 including the smart lock identification information included in the received entry information, and the information regarding the representative guest is stored in the representative guest information 250. Specifically, the management server 200 stores the received signed authorization token of the owner in the authorization token 256 and the signature 257 of the owner. Further, the management server 200 sets the lock public key 142 and the signature of the representative guest terminal 102 included in the received lock public key group with the signature of the owner to the lock public key 251, the signature 252 of the representative guest, and It is stored in the signature 253 of the owner.
  • the management server 200 stores the received electronic certificate 131 of the representative guest terminal 102 in the electronic certificate 254. Further, the management server 200 stores, in the usage authority 255, information such as the period during which the representative guest can enter the room, which is included in the received information about the representative guest and the room entry information.
  • the management server 200 creates the child guest information 260 in association with the representative guest information 250. Subsequently, the management server 200 sets the lock public key of the child guest terminal 103 and the assigned triple signature to the lock public key 261, the child guest signature 262, the representative guest signature 263, and the owner signature 264.
  • the electronic certificate and the information about the child guest and the room entry information are stored in the electronic certificate 265 and the usage authority 266, respectively.
  • the lock public keys 251 and 261 and the electronic certificates 254 and 265 registered in the representative guest information 250 and the child guest information 260 are used when the management server 200 verifies the signature generated by the representative guest terminal 102 and the smart lock.
  • it is referred to as authentication information when authenticating the representative guest terminal 102 and the child guest terminal 103.
  • the locking public keys 142 of the child guest terminals 103 and the representative guest terminals 102, 251,261, electronic certificates 131,254,265, and usage rights 255,266 are registered in the management server 200.
  • the management server 200 authenticates the child guest terminal 103 and the representative guest terminal 102 using these pieces of information, the smart lock 400 is unlocked.
  • FIG. 9 is a sequence diagram for explaining the unlocking process of the smart lock 400 by the child guest terminal 103 according to the present embodiment.
  • the child guest approaches the door in which the smart lock 400 is installed and explains the processing after instructing the child guest terminal 103 to unlock.
  • the child guest terminal 103 transmits an authentication request to the smart lock 400.
  • step S202 the smart lock 400 generates a random number and sends it to the child guest terminal 103 as a challenge.
  • the child guest terminal 103 signs the received challenge using the lock private key 141.
  • step S204 the child guest terminal 103 transmits the challenge with signature and the electronic certificate 131 to the smart lock 400.
  • step S205 the smart lock 400 transmits the smart lock identification information of itself, the received electronic certificate, and the received challenge with a signature to the management server 200.
  • step S206 the management server 200 verifies the signature of the signed challenge. Specifically, the management server 200 searches the entry information 243 in the authority information database 240 for the entry information 243 including the smart lock identification information. Next, the management server 200 searches the representative guest information 250 and the child guest information 260 associated with the entry information of the search result for the electronic certificates 254 and 265 that match the received electronic certificate. Next, the management server 200 verifies the signature of the signed challenge using the lock public keys 251 and 261 included in the representative guest information 250 or the child guest information 260 of the search result. The management server 200 determines that the authentication has failed when any of the search for the entry information 243, the search for the electronic certificates 254, 265, and the verification of the signature fails.
  • step S207 the management server 200 collates the usage authority. Specifically, the management server 200 collates with the usage rights 255 and 266 included in the representative guest information 250 or the child guest information 260 retrieved in step S206.
  • the usage authorities 255 and 266 include conditions such as a period and a time period during which entry is permitted, and the management server 200 determines that the authentication has failed if the conditions are not met.
  • step S208 the management server 200 transmits the authentication result to the smart lock 400. Specifically, if the authentication fails in any of steps S206 and S207, the authentication failure is transmitted, and if not, the authentication success is transmitted.
  • step S209 the smart lock 400 unlocks according to the received authentication result. Specifically, the smart lock 400 unlocks if the authentication is successful, and does not unlock if the authentication fails.
  • FIG. 10 is a sequence diagram for explaining the additional registration process of the child guest according to this embodiment.
  • the representative guest terminal 102 uses the management private key 151 to sign the lock public key with signature received from the child guest terminal 103.
  • the representative guest terminal 102 sends the owner identification information, entry information, child guest information, the signature lock public key with the signature of the representative guest, and the electronic certificate 131 of the child guest terminal 103 to the management server 200. Submit and request registration.
  • step S303 the management server 200 confirms that the representative guest has the right to add child guests. Specifically, the management server 200 confirms by referring to the permission token 256 included in the representative guest information 250 of the authority information database 240 (see FIG. 4).
  • step S304 the management server 200 verifies the signature included in the received signature-added lock public key of the representative guest. To verify the signature of the representative guest terminal 102, the electronic certificate 254 included in the representative guest information 250 corresponding to the representative guest terminal 102 is used. Further, the received electronic certificate of the child guest terminal 103 is used for verifying the signature of the child guest terminal 103.
  • step S ⁇ b>305 the management server 200 transmits entry information, child guest information, and representative guest information to the owner terminal 101.
  • the information on the representative guest is acquired from the authority information database 240.
  • step S306 the owner terminal 101 displays the received entry information, child guest information, and representative guest information, inquires of the owner whether to approve the additional registration of the child guest, and obtains the approval result.
  • step S ⁇ b>307 the owner terminal 101 transmits the obtained approval result (approval allowed or approval not approved) to the management server 200.
  • step S308 the management server 200 registers the child guest terminal 103 in the authority information database 240 if the received approval result is approval.
  • the registration process is the same as step S137 (see FIG. 8).
  • the information of the representative guest terminal 102 has already been registered and does not need to be registered. If the approval is denied, the management server 200 does not register.
  • step S309 the management server 200 transmits the approval result to the representative guest terminal 102.
  • the child guest is registered (invited) via the representative guest. More specifically, the owner registers the child guest, which the representative guest has confirmed face to face, with the owner face to face with the representative guest. For this reason, the owner does not need to register the child guests individually after confirming them, and the burden of registration is reduced.
  • the representative guest When the representative guest is registered, the representative guest is not only allowed to enter the room, but also given the permission to add child guests (see permission token 256 shown in FIG. 4 and step S131 shown in FIG. 8). After the authority is given, the representative guest can apply for the addition of the child guest (request for permission registration) without facing the owner (see step S302 in FIG. 10), and the owner approves the application. Can be performed (see step S306). Therefore, the burden on the representative guest and the owner is reduced.
  • the representative guest faces the child guest, which makes it easy to confirm the identity of the child guest and prevents impersonation. Further, in the registration preparation process (see FIG. 7) of the representative guest terminal 102, the owner faces the representative guest, which makes it easy to identify the representative guest and prevents impersonation.
  • the guest terminal is authenticated by adopting a digital signature technology based on public key encryption, instead of passing a duplicate key (invitation URL) to the guest terminal. Therefore, the duplicate key does not pass to an unintended third party, and only the guest invited or approved by the owner can enter the room, which prevents the third party from entering the room.
  • ⁇ Variation 1 Multiple child guest terminals>>
  • one child guest terminal 103 is registered (invited) in the management server 200. You may make it register several child guest terminals 103 collectively.
  • the representative guest terminal 102 receives the signed lock public keys from the plurality of child guest terminals 103, and in step S123 (see FIG. 7 ), the plurality of signed lock public keys are collected by the owner terminal 101. Send.
  • the owner terminal 101 collectively transmits a plurality of public keys for locking with a signature to the management server 200 and registers them.
  • step S302 the representative guest terminal 102 may collectively send a plurality of signed lock public keys to the management server 200. ..
  • ⁇ Modification 2 Entry information at the time of additional registration ⁇
  • the representative guest determines the entry information (refer to step S302 in FIG. 10 for the entry possible period, etc.) when the child guest is added.
  • the owner may decide, or the owner may correct the room entry information transmitted by the representative guest and approve it.
  • the entry information in this case is transmitted from the owner terminal 101 to the management server 200 in step S307, and registered in the authority information database 240 in step S308.
  • FIG. 11 is a sequence diagram for explaining the additional registration process of the child guest according to the modified example 3 of the present embodiment.
  • FIG. 11 is a process which is an alternative to that of FIG.
  • Steps S311 to S314 are the same processes as steps S301 to S304.
  • the management server 200 registers the child guest terminal 103 in the authority information database 240.
  • the registration process is the same as step S137 (see FIG. 8).
  • step S316 the management server 200 transmits entry information, child guest information, and representative guest information to the owner terminal 101.
  • the information on the representative guest is acquired from the authority information database 240.
  • step S317 the owner terminal 101 displays the received entry information, child guest information, and representative guest information, and asks the owner whether to cancel the additional registration of the child guest.
  • the owner terminal 101 sends a message to that effect (whether or not cancellation) to the management server 200. If the cancellation is not necessary, the process in the management server 200 is not necessary, and the additional registration process for the child guest ends. Below, the explanation will be continued assuming that the owner has instructed to cancel.
  • step S318 the owner terminal 101 instructs the management server 200 to cancel the additional registration of the child guest (sends cancellation possible).
  • step S319 the management server 200 deletes the child guest information 260 registered in step S315.
  • step S320 the management server 200 notifies the owner terminal 101 that the cancellation has been completed.
  • step S321 the management server 200 notifies the representative guest terminal 102 that the child guest additional registration has been canceled.
  • the representative guest can additionally register the child guest without waiting for the approval of the owner, and the child guest can be additionally registered earlier than the above-described embodiment. Further, the owner can cancel the additional registration.
  • ⁇ Variation 4 Child guest registration deletion ⁇
  • the representative guest terminal 102 requests the management server 200 to delete the registration of the child guest.
  • the management server 200 refers to the permission token 256 to determine whether or not the representative guest has the right to delete the child guest, and if the right is given, deletes the child guest information 260.
  • the management server 200 may confirm with the owner before deleting.
  • ⁇ Variation 5 Permission token via representative guest terminal>>
  • the owner terminal 101 that generated the permission token transmits the permission token to the management server 200.
  • the permission token may be transmitted to the management server 200 via the representative guest terminal 102.
  • FIG. 12 is a sequence diagram for explaining a registration process of the child guest terminal 103 in the management server 200 according to the modified example 5 of the present embodiment.
  • FIG. 12 shows a registration preparation process for the child guest terminal 103, which is an alternative to that shown in FIG.
  • Steps S401 to S402 are the same as steps S131 to S132 described in FIG.
  • step S403 the owner terminal 101 transmits the signed authorization token to the representative guest terminal 102.
  • Steps S404, S405, S406 and S407 are the same as steps S133, S134, S136 and S137, respectively.
  • the owner terminal 101 does not transmit the signed authorization token.
  • the management server 200 does not register the permission token in the authority information database 240.
  • FIG. 13 is a sequence diagram for explaining the additional registration process of the child guest terminal 103 according to the modified example 5 of the present embodiment.
  • FIG. 13 shows an additional registration process of the child guest terminal 103 which replaces that of FIG.
  • Steps S411 to S412 are the same as steps S301 to S302 shown in FIG.
  • the representative guest terminal 102 sends the management server 200 including the signed authorization token received from the owner terminal 101 in step S403.
  • Step S413 is the same process as step S135 described in FIG.
  • the permission token is registered in the authority information database 240.
  • Steps S414 to S420 are the same processes as S303 to S309 described in FIG.
  • Modification 6 Authentication when sending to the management server»
  • the owner terminal 101 or the representative guest terminal 102 requests the management server 200 to register (invite) a child guest, such as step S134 (see FIG. 8) or step S302 (see FIG. 10)
  • the owner terminal is biometrically authenticated.
  • the user of 101 or the representative guest terminal 102 may be authenticated. By doing so, it is possible to improve the reliability of the child guest registration that permits the entry.
  • step S136 the management server 200 gives the signature by the owner terminal 101, the signature by the representative guest terminal 102, which is given to the lock public key group with signature of the owner.
  • the signature by the child guest terminal 103 is verified.
  • the signature by the representative guest terminal 102 and the signature by the child guest terminal 103 may be verified by the owner terminal 101, and only the signature by the owner terminal 101 may be verified.
  • the management server 200 can reduce the processing cost of the registration request.
  • ⁇ Variation 9 Owner approval at the time of additional registration of child guest terminals>>
  • the child guest terminal is registered after the owner's approval.
  • the additional registration process of the child guest terminal shown in FIG. 11 it is possible to register the child guest terminal before obtaining the approval of the owner and later cancel the registration by the owner.
  • the additional registration of the child guest terminal of the authentication token may be divided into additional registration that requires prior approval and additional registration that does not require prior approval. By doing so, the representative guest highly trusted by the owner can be given the additional registration authority that does not require prior approval, and the representative guest who is not so trusted can be given the additional registration authority that requires prior approval.
  • ⁇ Variation 10 Registration of representative guest terminal>>
  • the representative guest terminal 102 is registered (invited) with the child guest terminal 103.
  • the representative guest terminal 102 does not send the authentication information of the child guest terminal 103 to the owner terminal 101, but only the authentication information of the representative guest terminal 102 and the signature to the owner terminal 101, and the representative guest terminal 102 alone. You may register at. As a result, the representative guest terminal 102 can be registered without registering the child guest terminal 103.
  • the management server 200 confirms that the representative guest terminal 102 has the authority to add the child guest terminal 103 by referring to the permission token.
  • the management server 200 may limit the period during which the permission token can be registered and the maximum number of child guest terminals 103, and the management server 200 may limit the period during which the representative guest terminal 102 can register and the number of child guest terminals 103.
  • the permission token may include the date and time when the child guest terminal 103 can unlock, so that the date and time when the child guest terminal 103 registered by the representative guest terminal 102 can unlock can be restricted.
  • the unlockable date and time is stored in the usage authority 266 of the child guest information 260 (see FIG. 4).
  • ⁇ Variation 12 Communication between terminals>>
  • the child guest terminal 103 transmits its own authentication information to the representative guest terminal 102 using short-range wireless communication.
  • another secure communication path may be used as long as the identity can be sufficiently confirmed. The same applies when the representative guest terminal 102 sends its own authentication information to the owner terminal 101.
  • ⁇ Variation 13 Data structure of authority information database>>
  • the owner identification information 241, the management public key 242, the management public key 242 and the entry information 243, the entry information 243, and the representative guest information 250 are associated with each other.
  • the owner identification information 241, the management public key 242, and the room entry information 243 may be collectively regarded as the owner terminal 101 and associated with the representative guest information 250, and other data configurations may be used.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Lock And Its Accessories (AREA)
  • Selective Calling Equipment (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

【課題】スマートロックのゲスト招待において、オーナーによる招待の負担を軽減し、なりすましや意図しない第三者の招待を防止する。 【解決手段】スマートロック400の解錠を要求する代表ゲスト端末102は、解錠の要求時に参照される認証情報を生成して署名し、オーナー端末101に送信する。オーナー端末101は、代表ゲスト端末102の署名を検証し、認証情報に署名して、管理サーバ200に送信する。管理サーバ200は、代表ゲスト端末102やオーナー端末101の署名を検証して、オーナー端末101と代表ゲスト端末102とを関連付けて記憶するとともに、認証情報と代表ゲスト端末102とを関連付けて記憶する。管理サーバ200が、スマートロック400から解錠要求を受信して、記憶した認証情報を参照しての解錠要求の認証に成功すれば、スマートロック400が解錠する。

Description

認可システム、管理サーバおよび認可方法
 本発明は、ゲストの端末に対してスマートロックの解錠を認可するための認可システム、管理サーバおよび認可方法に関する。
 IoT(Internet of Things)デバイスの1つとして、スマートロックがある(非特許文献1参照)。スマートロックは、オーナーが、例えば自宅の玄関の扉に設置する。続いて、オーナーは、合鍵を入手するための招待URL(Universal Resource Locator)を家族やゲストに発行し、家族やゲストは合鍵を記憶したスマートフォンを用いてスマートロックを解錠したり、オーナーが遠隔で解錠したりできる。ゲスト用の合鍵には、利用時間の制限を設けることができる。
 ゲストとしては、友人や知人に限らず、家事や子守りなどのサービスを提供する事業者(以下、サービス事業者とも記す)が派遣する従業員も考えられる。
Qrio Lock, [online],[平成31年2月13日検索],インターネット<URL:https://qrio.me/smartlock>
 ゲストを招待する場合には、オーナーは、ゲストごとに招待URLを取得して、ゲストの端末に送信する。ゲストが友人ならば、取得した招待URLをメールやSNS(Social Networking Service)などで送信すればよい。
 しかしながら、ゲストが、サービス事業者の従業員の場合には、送信先が多く、招待URLを取得したり送信したりする手間が増え、オーナーの負担となる。また、サービス事業者の従業員は、面識のない人であることが多く、相手を確認する手間が増えて、さらにオーナーの負担が大きくなる。また、ゲストが本人であることの十分な確認が困難で、なりすましのリスクがある。
 他にも、招待URLがゲストの端末から第三者に覗き見されたり、共有されたりして、オーナーが意図しない第三者が合鍵を取得する可能性がある。
 本発明は、前記した背景を鑑みて創案されたものであり、招待するゲストの数が増えたり、招待の頻度が増加したりした場合であっても、オーナーによる招待の負担を軽減し、なりすましや意図しない第三者の招待を防止することが可能な認可システム、管理サーバ及び認可方法を提供することを課題とする。
 前記した課題を解決するため、請求項1に記載の発明は、スマートロック、前記スマートロックの管理者が利用するオーナー端末、子ゲストが利用し前記スマートロックの解錠を要求する子ゲスト端末、代表ゲストが利用し前記スマートロックの解錠を要求する代表ゲスト端末、および管理サーバを含む認可システムであって、前記代表ゲスト端末は、前記スマートロックの解錠を要求したときに参照される認証情報を生成して署名し、前記認証情報と前記署名とを、前記代表ゲスト端末による解錠の許可登録の要求として前記オーナー端末に送信し、前記オーナー端末は、前記代表ゲスト端末から受信した情報に含まれる署名の検証に成功し、前記管理者による前記代表ゲスト端末に対する解錠の許可登録を承認する情報を受け付けた後に、前記代表ゲスト端末の認証情報に署名し、受信した前記解錠の許可登録の要求に含まれる情報と、前記代表ゲスト端末の認証情報に対する前記オーナー端末の署名とを、前記管理サーバに送信し、前記管理サーバは、前記オーナー端末から受信した情報に含まれる署名の検証に成功した後に、前記オーナー端末と前記代表ゲスト端末とを関連付けて記憶するとともに、前記代表ゲスト端末の認証情報と前記代表ゲスト端末とを関連付けて記憶し、前記スマートロックから、解錠を要求する前記代表ゲスト端末が送信した解錠要求を受信すると、当該代表ゲスト端末に関連付けられた認証情報を参照して、前記解錠要求は当該代表ゲスト端末が送信した解錠要求であるか否かを判断し、判断の結果を前記スマートロックに送信し、前記スマートロックは、前記管理サーバが、前記解錠要求は前記代表ゲスト端末が送信した解錠要求であると判断した場合には解錠することを特徴とする認可システムとした。
 また、請求項11に記載の発明は、スマートロック、前記スマートロックの管理者が利用するオーナー端末、子ゲストが利用し前記スマートロックの解錠を要求する子ゲスト端末、代表ゲストが利用し前記スマートロックの解錠を要求する代表ゲスト端末、および管理サーバを含む認可システムの認可方法であって、前記代表ゲスト端末は、前記スマートロックの解錠を要求したときに参照される認証情報を生成して署名し、前記認証情報と前記署名とを、前記代表ゲスト端末による解錠の許可登録の要求として前記オーナー端末に送信するステップを実行し、前記オーナー端末は、前記代表ゲスト端末から受信した情報に含まれる署名の検証に成功し、前記管理者による前記代表ゲスト端末に対する解錠の許可登録を承認する情報を受け付けた後に、前記代表ゲスト端末の認証情報に署名するステップと、前記代表ゲスト端末から受信した前記解錠の許可登録の要求に含まれる情報と、前記代表ゲスト端末の認証情報に対する前記オーナー端末の署名とを、前記管理サーバに送信するステップとを実行し、前記管理サーバは、前記オーナー端末から受信した情報に含まれる署名の検証に成功した後に、前記オーナー端末と前記代表ゲスト端末とを関連付けて記憶するとともに、前記代表ゲスト端末の認証情報と前記代表ゲスト端末とを関連付けて記憶するステップと、前記スマートロックから、解錠を要求する前記代表ゲスト端末が送信した解錠要求を受信すると、当該代表ゲスト端末に関連付けられた認証情報を参照して、前記解錠要求は当該代表ゲスト端末が送信した解錠要求であるか否かを判断し、判断の結果を前記スマートロックに送信するステップとを実行し、前記スマートロックは、前記管理サーバが、前記解錠要求は前記代表ゲスト端末が送信した解錠要求であると判断した場合には解錠するステップを実行することを特徴とする認可方法とした。
 このような構成にすることで、認可システムは、オーナーが承認した代表ゲスト端末を許可登録(代表ゲストの招待、代表ゲスト端末の登録)する。このため、代表ゲストは、自身の端末を用いて、スマートロックを解錠して入室ができるようになる。
 また、既存技術の招待URLのようなスマートロックの合鍵は存在せず、合鍵が盗まれたり、第三者に渡ったりすることがなく、意図しない端末に解錠を許可することを防止できる。
 請求項2に記載の発明は、前記子ゲスト端末が、前記スマートロックの解錠を要求したときに参照される認証情報を生成して署名し、前記認証情報と前記署名とを前記代表ゲスト端末に送信し、前記代表ゲスト端末は、前記子ゲスト端末から受信した情報に含まれる署名の検証に成功した後に、前記子ゲスト端末の認証情報に署名し、前記代表ゲスト端末による解錠の許可登録の要求に加えて、前記子ゲスト端末の認証情報と、当該認証情報に対する前記子ゲスト端末の署名と、当該認証情報に対する前記代表ゲスト端末の署名とを、前記子ゲスト端末による解錠の許可登録の要求として前記オーナー端末に送信し、前記オーナー端末は、前記代表ゲスト端末から受信した前記子ゲスト端末による解錠の許可登録の要求に含まれる署名の検証に成功し、前記管理者による前記子ゲスト端末に対する解錠の許可登録を承認する情報を受け付けた後に、前記子ゲスト端末の認証情報に署名し、前記代表ゲスト端末から受信した前記子ゲスト端末による解錠の許可登録の要求に含まれる情報と、前記子ゲスト端末の認証情報に対する前記オーナー端末の署名とを、前記代表ゲスト端末による解錠の許可登録の要求に含まれる情報および前記代表ゲスト端末の認証情報に対する前記オーナー端末の署名とともに、前記管理サーバに送信し、前記管理サーバは、前記オーナー端末から受信した情報に含まれる署名の検証に成功した後に、前記代表ゲスト端末と前記子ゲスト端末とを関連付けて記憶するとともに、前記子ゲスト端末の認証情報と前記子ゲスト端末とを関連付けて記憶し、前記スマートロックから、解錠を要求する前記子ゲスト端末が送信した解錠要求を受信すると、当該子ゲスト端末に関連付けられた認証情報を参照して、前記解錠要求は当該子ゲスト端末が送信した解錠要求であるか否かを判断し、判断の結果を前記スマートロックに送信し、前記スマートロックは、前記管理サーバが、前記解錠要求は前記子ゲスト端末が送信した解錠要求であると判断した場合には解錠することを特徴とする請求項1に記載の認可システムとした。
 このような構成にすることで、認可システムは、代表ゲスト端末が要求し、オーナーが承認した子ゲスト端末を許可登録(子ゲストの招待、子ゲスト端末の登録)する。このため、オーナーは、子ゲストの招待に関して、個々の子ゲスト端末に許可することなく、代表ゲストを介して許可することができる。オーナーは、信頼できる代表ゲストを介することで、個々の子ゲストを確認して許可登録するという負担が削減される。
 請求項3に記載の発明は、前記オーナー端末が、前記解錠の許可登録の管理サーバへの要求を前記代表ゲスト端末に認可することを示す許可トークンを生成して署名を付与し、前記署名を付与した許可トークンを前記管理サーバに送信し、前記管理サーバは、前記オーナー端末から受信した許可トークンに付与された署名を検証し、当該許可トークンと前記代表ゲスト端末とを関連付けて記憶し、前記子ゲスト端末は、前記スマートロックの解錠を要求したときに参照される認証情報を生成して署名し、前記認証情報と前記署名とを前記代表ゲスト端末に送信し、前記代表ゲスト端末は、前記子ゲスト端末から受信した情報に含まれる署名の検証に成功した後に、前記子ゲスト端末の認証情報に署名し、前記子ゲスト端末の認証情報と、当該認証情報に対する前記子ゲスト端末の署名と、当該認証情報に対する前記代表ゲスト端末の署名とを、前記子ゲスト端末による解錠の許可登録の要求として前記管理サーバに送信し、前記管理サーバは、前記代表ゲスト端末から受信した情報に含まれる署名の検証に成功し、当該代表ゲスト端末に関連付けられた許可トークンを記憶していることを確認した後に、前記代表ゲスト端末と前記解錠の許可登録の要求に含まれる子ゲスト端末とを関連付けて記憶するとともに、当該子ゲスト端末の認証情報と当該子ゲスト端末とを関連付けて記憶することを特徴とする請求項1に記載の認可システムとした。
 これにより、管理サーバに認可トークンが登録され、代表ゲスト端末は、オーナー端末を経由することなく、管理サーバに直接に子ゲスト端末の解錠の許可登録を要求することができる。このため、オーナーによる子ゲスト招待を承認するという負担を削減することができる。また、管理サーバにおいて、どの代表ゲスト端末に対して認可トークンを発行したか管理することができる。
 請求項4に記載の発明は、前記オーナー端末が、前記解錠の許可登録の管理サーバへの要求を前記代表ゲスト端末に認可することを示す許可トークンを生成して署名を付与し、前記署名を付与した許可トークンを前記代表ゲスト端末に送信し、前記代表ゲスト端末は、前記オーナー端末から受信した許可トークンに付与された署名を検証して記憶し、前記子ゲスト端末は、前記スマートロックの解錠を要求したときに参照される認証情報を生成して署名し、前記認証情報と前記署名とを前記代表ゲスト端末に送信し、前記代表ゲスト端末は、前記子ゲスト端末から受信した情報に含まれる署名の検証に成功した後に、前記子ゲスト端末の認証情報に署名し、前記子ゲスト端末の認証情報と、当該認証情報に対する前記子ゲスト端末の署名と、当該認証情報に対する前記代表ゲスト端末の署名と、前記署名が付与された許可トークンとを、前記子ゲスト端末による解錠の許可登録の要求として前記管理サーバに送信し、前記管理サーバは、前記代表ゲスト端末から受信した情報に含まれる署名の検証に成功し、前記許可トークンで認可された代表ゲスト端末が、前記解錠の許可登録の要求した代表ゲスト端末であることを検証して成功した後に、前記代表ゲスト端末と前記解錠の許可登録の要求に含まれる子ゲスト端末とを関連付けて記憶するとともに、当該子ゲスト端末の認証情報と当該子ゲスト端末とを関連付けて記憶することを特徴とする請求項1に記載の認可システムとした。
 これにより、代表ゲスト端末は、許可トークンを管理サーバに送信することで、オーナー端末を経由することなく、管理サーバに直接に子ゲスト端末の解錠の許可登録を要求することができる。このため、オーナーによる子ゲスト招待を承認するという負担を削減することができる。
 請求項5に記載の発明は、前記許可トークンが、前記子ゲスト端末の前記解錠の許可登録の取り消しを含み、前記代表ゲスト端末は、前記子ゲスト端末の許可登録の取り消しを要求し、前記管理サーバは、当該代表ゲスト端末に対応する許可トークンを記憶していることを検証して成功した後、または、前記許可登録の取り消しの要求に当該代表ゲスト端末に対応する許可トークンが含まれていて当該許可トークンに付与された署名を検証して成功した後に、当該代表ゲストに関連付けられた当該子ゲスト端末の認証情報を削除することを特徴とする請求項3または4に記載の認可システムとした。
 これにより、代表ゲスト端末は、自身が許可登録を要求した子ゲスト端末の許可登録を取り消すすることができる。
 請求項6に記載の発明は、前記許可トークンが、前記解錠の許可登録可能な子ゲスト端末の上限数および登録可能な期間の何れかを含み、前記管理サーバは、前記許可トークンが前記上限数を含む場合には、前記代表ゲスト端末から前記解錠の許可登録の要求を前記上限数まで受け付け、前記許可トークンが前記登録可能な期間を含む場合には、当該登録可能な期間に前記代表ゲスト端末から前記解錠の許可登録の要求があれば当該要求を受け付ける、ことを特徴とする請求項3または4に記載の認可システムとした。
 これにより、管理者は、代表ゲスト端末が登録可能な子ゲスト端末の数や登録可能な期間を制限できる。
 請求項7に記載の発明は、前記許可トークンが、前記解錠を許可する日時を含み、前記管理サーバは、前記解錠の許可登録を要求する子ゲスト端末の認証情報と当該子ゲスト端末とを関連付けて記憶する際に、前記解錠を許可する日時を関連付けて記憶し、前記解錠要求は当該子ゲスト端末が送信した解錠要求であるか否かを判断するときに、前記解錠要求の送信時刻が、当該子ゲスト端末と関連付けて記憶された解錠を許可する日時に含まれているかも判断することを特徴とする請求項3または4に記載の認可システムとした。
 これにより、管理者は、代表ゲスト端末が登録した子ゲスト端末による解錠可能な日時を制限することができる。
 請求項8に記載の発明は、前記管理サーバが、前記代表ゲスト端末から前記子ゲスト端末の解錠の許可登録の要求を受信すると、前記子ゲスト端末の認証情報と前記子ゲスト端末とを関連付けて記憶する前に、前記オーナー端末に前記解錠の許可登録の承認の可否を問い合わせ、前記オーナー端末は、前記管理者による前記解錠の許可登録の承認の可否を示す情報を受け付け、承認可または承認否を前記管理サーバに送信し、前記管理サーバは、前記承認可を受信すると、前記認証情報と前記子ゲスト端末とを関連付けて記憶することを特徴とする請求項3または4に記載の認可システムとした。
 これにより、管理サーバは、代表ゲスト端末から子ゲストの招待の要求があり、オーナーの承認を得た後に、子ゲスト端末にスマートロックの解錠を許可登録する。このため、代表ゲストが認めた子ゲストであっても、オーナーが承認しない子ゲストの招待を防止することができる。
 請求項9に記載の発明は、前記管理サーバが、前記代表ゲスト端末から前記子ゲスト端末の解錠の許可登録の要求を受信すると、前記代表ゲスト端末と前記子ゲスト端末とを関連付けて記憶するとともに、前記子ゲスト端末の認証情報と前記子ゲスト端末とを関連付けて記憶した後に、前記オーナー端末に前記解錠の許可登録を通知し、前記オーナー端末は、前記管理者による前記解錠の許可登録のキャンセルの可否を示す情報を受け付け、キャンセル可またはキャンセル否を前記管理サーバに送信し、前記管理サーバは、前記キャンセル可を受信すると、前記子ゲスト端末と関連付けて記憶した前記認証情報を削除することを特徴とする請求項3または4に記載の認可システムとした。
 これにより、管理サーバは、代表ゲスト端末から子ゲストの招待の要求があり、子ゲスト端末にスマートロックの解錠を許可登録した後であっても、オーナーが許可登録のキャンセルを指示すれば、許可登録を削除する。このため、代表ゲストが認めた子ゲストであっても、オーナーが承認しない子ゲストの招待をキャンセルすることができる。
 請求項10に記載の発明は、スマートロック、前記スマートロックの管理者が利用するオーナー端末、子ゲストが利用し前記スマートロックの解錠を要求する子ゲスト端末、代表ゲストが利用し前記スマートロックの解錠を要求する代表ゲスト端末、および管理サーバを含む認可システムの管理サーバであって、前記代表ゲスト端末が前記スマートロックの解錠を要求したときに参照される認証情報と、前記認証情報に対する前記代表ゲスト端末の署名および前記オーナー端末の署名とを、前記オーナー端末から受信し、前記オーナー端末から受信した情報に含まれる署名の検証に成功した後に、前記オーナー端末と前記代表ゲスト端末とを関連付けて記憶するとともに、前記代表ゲスト端末の認証情報と前記代表ゲスト端末とを関連付けて記憶し、前記スマートロックから、解錠を要求する前記代表ゲスト端末が送信した解錠要求を受信すると、当該代表ゲスト端末に関連付けられた認証情報を参照して、前記解錠要求は当該代表ゲスト端末が送信した解錠要求であるか否かを判断し、判断の結果を前記スマートロックに送信することを特徴とする管理サーバとした。
 このような構成にすることで、管理サーバは、オーナーが承認した代表ゲスト端末を許可登録する。このため、代表ゲストは、自身の端末を用いて、スマートロックを解錠して入室ができるようになる。
 また、既存技術の招待URLのようなスマートロックの合鍵は存在せず、合鍵が盗まれたり、第三者に渡ったりすることがなく、意図しない端末に解錠を許可することを防止できる。
 本発明によれば、招待するゲストの数が増えたり、招待の頻度が増加したりした場合であっても、オーナーによる招待の負担を軽減し、なりすましや意図しない第三者の招待を防止することが可能な認可システム、管理サーバ及び認可方法を提供することができる。
本実施形態に係る認可システムの全体構成を示す図である。 本実施形態に係る端末の全体構成図である。 本実施形態に係る管理サーバの全体構成図である。 本実施形態に係る権限情報データベースのデータ構成図である。 本実施形態に係るスマートロックの管理サーバへの登録処理を説明するためのシーケンス図である。 本実施形態に係る子ゲスト端末の管理サーバへの登録準備処理を説明するためのシーケンス図である。 本実施形態に係る代表ゲスト端末の管理サーバへの登録準備処理を説明するためのシーケンス図である。 本実施形態に係る子ゲスト端末および代表ゲスト端末の管理サーバへの登録処理を説明するためのシーケンス図である。 本実施形態に係る子ゲスト端末によるスマートロックの解錠処理を説明するためのシーケンス図である。 本実施形態に係る子ゲストの追加登録処理を説明するためのシーケンス図である。 本実施形態の変型例3に係る子ゲストの追加登録処理を説明するためのシーケンス図である。 本実施形態の変型例5に係る子ゲスト端末の管理サーバへの登録処理を説明するためのシーケンス図である。 本実施形態の変型例5に係る子ゲスト端末の追加登録処理を説明するためのシーケンス図である。
≪認可システムの全体構成≫
 以下に本発明を実施するための形態(実施形態)における認可システムを説明する。図1は、本実施形態に係る認可システム10の全体構成を示す図である。認可システム10は、ネットワーク500で接続されるスマートロック400、スマートロック400のオーナー(管理者)の端末であるオーナー端末101、代表ゲストの端末である代表ゲスト端末102、子ゲストの端末である子ゲスト端末103、および管理サーバ200を含んで構成される。認可システム10は、暗号鍵を管理するために、認証局300を利用する。
 なお、オーナー端末101、代表ゲスト端末102および子ゲスト端末103を総称して端末(後記する図2に示す端末100)とも記す。また、オーナー端末101、代表ゲスト端末102、子ゲスト端末103、およびスマートロック400は、相互に近距離無線で通信可能である。代表的な近距離無線通信としてBluetooth(登録商標)やNFC(Near Field Communication)、赤外線通信などがある。
 端末およびスマートロック400と管理サーバ200との通信は保護されており、通信データの盗聴や改竄、なりすましは発生しない。同様に、近距離無線通信は保護されており、通信データの盗聴や改竄、なりすましは発生しない。
≪認可システムの概要≫
 以下では、認可システム10の概要を説明する。スマートロック400は、玄関や部屋のドアに設置された鍵である。スマートロック400のオーナーが、代表ゲストや子ゲストの部屋への入室を許可すると、代表ゲストや子ゲストの端末に係る情報が管理サーバ200に登録される。登録されると、代表ゲストや子ゲストが、入室可能になる。なお、オーナーが代表ゲストや子ゲストを登録することを、代表ゲストや子ゲストを招待するとも言う。
 代表ゲストや子ゲストが入室するときには、自身の端末に指示してスマートロック400を解錠するように認証を要求する。端末に係る情報が管理サーバ200に登録されていれば、スマートロック400が代表ゲスト端末102や子ゲスト端末103の認証に成功して解錠し、代表ゲストや子ゲストが入室できるようになる。
 オーナーが代表ゲストの入室を許可するときには、オーナーと代表ゲストとが対面し、オーナー端末101と代表ゲスト端末102とが近距離無線で通信して、代表ゲスト端末102に係る情報が管理サーバ200に登録される。
 子ゲストは、代表ゲストを介して、入室を許可される。詳しくは、代表ゲストは、子ゲストと対面し、代表ゲスト端末102と子ゲスト端末103とが近距離無線で通信して、子ゲスト端末103に係る情報が、代表ゲスト端末102に記憶される。続いて、代表ゲストは、オーナーと対面し、オーナー端末101と代表ゲスト端末102とが近距離無線で通信して、オーナー端末101により子ゲスト端末103に係る情報が管理サーバ200に登録される。
 また、許可トークンを利用することで、代表ゲストがオーナーに対面することなく、代表ゲスト端末102により子ゲスト端末103に係る情報が管理サーバ200に登録される。
 上記に説明したように、子ゲストそれぞれがオーナーから入室許可を得るのではなく、代表ゲストが子ゲストを代表して、子ゲストの入室許可を得る。このようにすることで、オーナーは個々の子ゲストに対面しなくても入室許可を与えることができ、オーナーの負担が削減される。代表ゲストは、複数の子ゲストの入室許可をまとめて得ることもでき、オーナーおよび代表ゲストの双方の負担が削減される。また、許可トークンを利用すれば、代表ゲストは、オーナーに対面不要で子ゲスト端末103を登録でき、オーナーおよび代表ゲストの双方の負担が削減される。
 以下では、端末の構成や管理サーバ200の構成、端末や管理サーバ200、スマートロック400間のデータ通信を説明することで、入室許可(解錠の許可登録、子ゲストや代表ゲストの招待)や解錠がいかにして行われるかを説明する。
≪端末の構成≫
 図2は、本実施形態に係る端末100の全体構成図である。端末100は、例えばスマートフォンやタブレット端末などの携帯型コンピュータであって、制御部110、記憶部120、タッチパネルディスプレイ181、および通信部182を含んで構成される。
 制御部110は、CPU(Central Processing Unit)から構成され、管理サーバ200や他の端末100との通信、データに対する暗号化や復号、署名、署名検証など、さまざまな処理を実行して、端末100を認可システム10の端末として機能させる。タッチパネルディスプレイ181は、端末に備わる表示部であり、かつ、利用者であるオーナー、代表ゲスト、子ゲストの操作を受け付ける。通信部182は、携帯電話通信や近距離無線通信のデータ送受信を行う。
 記憶部120は、RAM(Random Access Memory)やROM(Read Only Memory)、フラッシュメモリなどから構成される。記憶部120は、制御部110が実行するプログラム、プログラム実行に必要な一時的なデータの他に、電子証明書131、認証局公開鍵132、ロック用秘密鍵141、ロック用公開鍵142、管理用秘密鍵151、管理用公開鍵152を記憶する。
 電子証明書131は、認証局300が端末100に対して発行した電子証明書であって、電子証明書131に含まれる公開鍵が端末100の公開鍵であることを証明する。電子証明書131は、制御部110が、秘密鍵を用いて署名した署名(デジタル署名)を検証するときに参照される。電子証明書131は、制御部110が生成した署名とともに、他の端末100や管理サーバ200、スマートロック400に送信される。署名と電子証明書131を受信した端末100や管理サーバ200は、電子証明書131に付与された認証局300の署名を、認証局公開鍵132を用いて検証して、端末100の公開鍵を取得し、この公開鍵を用いて署名を検証する。
 なお、電子証明書131に付与されている認証局300の署名を検証することを、単に電子証明書131を検証するとも記す。また、電子証明書131を検証して、電子証明書131の公開鍵を用いて署名を検証することを、電子証明書131の検証を省略して、単に署名を検証するとも記す。
 認証局公開鍵132は、電子証明書131の検証に用いられる認証局300の公開鍵である。なお、オーナー端末101に対しては電子証明書131が発行されず、オーナー端末101には、電子証明書131が存在しない。
 ロック用秘密鍵141とロック用公開鍵142とは、公開鍵暗号のペアとなる鍵であって、スマートロック400が解錠される際の、スマートロック400による端末100の認証に用いられる。
 管理用秘密鍵151と管理用公開鍵152とは、公開鍵暗号のペアとなる鍵であって、ロック用公開鍵142への署名や管理サーバ200へ送信するデータの署名や署名検証に用いられる。
 なお、ロック用秘密鍵141および管理用秘密鍵151は、署名生成に用いられる暗号鍵であり、高い機密性が求められる。このため、ロック用秘密鍵141および管理用秘密鍵151を耐タンパ性のあるデバイスに記憶するようにしてもよい。
 電子証明書131に含まれる公開鍵は、管理用公開鍵152である。電子証明書131を取得するときには、制御部110は、管理用秘密鍵151と管理用公開鍵152とを生成し、管理用公開鍵152を認証局300に送信して電子証明書131を要求する。認証局300は、端末100または端末100の利用者を認証したのちに、認証局300の署名を付与した電子証明書131を発行して、端末100に送信する。
≪管理サーバの構成≫
 図3は、本実施形態に係る管理サーバ200の全体構成図である。管理サーバ200はコンピュータであって、CPUから構成される制御部210、RAMやSSD(Solid State Drive)、ハードディスクドライブから構成される記憶部220、および通信部280から構成される。通信部280は、ネットワーク500を介して端末100やスマートロック400と通信データを送受信する。
 記憶部220は、制御部210が実行するプログラム、プログラム実行に必要な一時的なデータの他に、認証局公開鍵232、後記する権限情報データベース240(図3では権限情報DB(Database)と記載、後記する図4参照)を記憶する。認証局公開鍵232は、認証局300の公開鍵であって、管理サーバ200が受信した電子証明書の検証に用いられる。
≪権限情報データベース≫
 図4は、本実施形態に係る権限情報データベース240のデータ構成図である。権限情報データベース240は、オーナー識別情報241(図4ではオーナーID(Identifier)と記載)や管理用公開鍵242、入室情報243、代表ゲスト情報250、子ゲスト情報260を関連付けて記憶する。権限情報データベース240は、電子証明書254,265やロック用公開鍵251,261、入室情報243のなかのスマートロック識別情報を高速に検索するためのインデックス情報を記憶するが、図4には記載していない。
 オーナー識別情報241は、スマートロック400のオーナーを識別するための情報である。権限情報データベース240には、1つ以上のオーナー識別情報241が記憶される。
 管理用公開鍵242は、オーナー識別情報241に関連付けられ、オーナー識別情報241で識別されるオーナーのオーナー端末101に記憶される管理用公開鍵152である。1人のオーナーが複数のオーナー端末101を所持し、オーナー識別情報241に複数の管理用公開鍵242が関連付けられる場合も存在する。以下では、管理用公開鍵242は1つとして説明する。
 入室情報243は、管理用公開鍵242に関連付けられて記憶される情報であって、スマートロック400に係る識別情報(スマートロック識別情報)やスマートロック400を解錠する条件(解錠条件とも記す)などの情報を含む。解錠条件とは、親ゲストや子ゲストの入室が許可された期間や曜日、時間帯などの情報である。
 オーナーが複数のスマートロック400を保有し、管理用公開鍵242に複数の入室情報243が関連付けられる場合も存在する。以下では、入室情報243は1つとして説明する。
 代表ゲスト情報250は、入室情報243に関連付けられて記憶される情報である。1つの入室情報243に対して、1つ以上の代表ゲスト情報250が関連付けられる。代表ゲスト情報250には、ロック用公開鍵251、電子証明書254、利用権限255、および許可トークン256が含まれる。
 ロック用公開鍵251は、代表ゲスト端末102に記憶されるロック用公開鍵142であって、代表ゲストの署名252、オーナーの署名253が付与されている。代表ゲストの署名252は、ロック用公開鍵251に対する署名であって、代表ゲスト端末102が記憶する管理用秘密鍵151を用いて生成された署名である。代表ゲストの署名252は、後記する電子証明書254に含まれる公開鍵を用いて検証される。
 オーナーの署名253は、ロック用公開鍵251および代表ゲストの署名252に対する署名であって、オーナー端末101が記憶する管理用秘密鍵151を用いて生成された署名である。オーナーの署名253は、管理用公開鍵242を用いて検証される。
 電子証明書254は、代表ゲスト端末102が記憶する電子証明書131であって、代表ゲストの署名252の検証に用いられる。他に、スマートロック400の解錠時における代表ゲスト端末102の認証にも用いられる。
 利用権限255は、代表ゲストに許可されたスマートロック400に対する権限であって、例えば、入室する部屋の識別情報や入室可能時間などを含む。
 許可トークン256は、オーナーが認可した代表ゲストの権限であって、オーナーの署名257が付与される。代表ゲストの権限としては、子ゲストの登録や登録削除がある。
 オーナーの署名257は、許可トークン256に対する署名であって、オーナー端末101が記憶する管理用秘密鍵151を用いて生成された署名である。オーナーの署名257は、管理用公開鍵242を用いて検証される。
 子ゲスト情報260は、代表ゲスト情報250に関連付けられて記憶される情報である。1つの代表ゲスト情報250に対して、1つ以上の子ゲスト情報260が関連付けられる。子ゲスト情報260には、ロック用公開鍵261、電子証明書265および利用権限266が含まれる。
 ロック用公開鍵261は、子ゲスト端末103に記憶されるロック用公開鍵142であって、子ゲストの署名262、代表ゲストの署名263、オーナーの署名264が付与されている。
 子ゲストの署名262は、ロック用公開鍵261に対する署名であって、子ゲスト端末103が記憶する管理用秘密鍵151を用いて生成された署名である。子ゲストの署名262は、後記する電子証明書265に含まれる公開鍵を用いて検証される。
 代表ゲストの署名263は、ロック用公開鍵261および子ゲストの署名262に対する署名であって、代表ゲスト端末102が記憶する管理用秘密鍵151を用いて生成された署名である。代表ゲストの署名263は、代表ゲスト情報250にある電子証明書254に含まれる公開鍵を用いて検証される。
 オーナーの署名264は、ロック用公開鍵261、子ゲストの署名262および代表ゲストの署名263に対する署名であって、オーナー端末101が記憶する管理用秘密鍵151を用いて生成された署名である。オーナーの署名264は、管理用公開鍵242を用いて検証される。
 電子証明書265は、子ゲスト端末103が記憶する電子証明書131であって、子ゲストの署名262の検証に用いられる。他に、スマートロック400の解錠時における子ゲスト端末103の認証にも用いられる。
 利用権限266は、子ゲストに許可されたスマートロック400に対する権限であって、例えば、入室する部屋の識別情報や入室可能時間などを含む。
 代表ゲスト情報250および子ゲスト情報260には、ロック用公開鍵251,261、電子証明書254,265が含まれており、代表ゲスト端末102および子ゲスト端末103が生成した署名を検証するときに参照される。また、ロック用公開鍵251,261、電子証明書254,265は、スマートロック400の解錠の際、管理サーバ200が代表ゲスト端末102および子ゲスト端末103を認証するときに、認証情報として参照される。
≪スマートロック登録処理≫
 以下では、スマートロック登録処理、子ゲスト端末の登録準備処理、代表ゲスト端末の登録準備処理、ゲスト端末の登録処理、スマートロックの解錠処理、子ゲストの追加登録処理を説明する。処理中には署名検証があるが、以下の説明では、署名検証が成功し、署名対象の真正性が確認できたとして説明する。署名検証に失敗した場合には、署名を送信した端末にエラーを通知し、処理を中止する。
 図5は、本実施形態に係るスマートロック400の管理サーバ200への登録処理を説明するためのシーケンス図である。スマートロック登録処理は、オーナーがスマートロック400とオーナーとを管理サーバ200に登録する処理である。
 ステップS101において、オーナー端末101は、管理用秘密鍵151および管理用公開鍵152のペアを生成する。
 ステップS102において、オーナー端末101は、オーナー識別情報、スマートロック識別情報、およびステップS101で生成した管理用公開鍵152を管理サーバ200へ送信して、スマートロック400の登録を申請する。ここで、オーナー端末101と管理サーバ200との通信は、保護されており、通信データの改竄やなりすましなどは発生しない。
 ステップS103において、管理サーバ200は、受信したオーナー識別情報および管理用公開鍵152を、それぞれ権限情報データベース240のオーナー識別情報241および管理用公開鍵242として登録する。スマートロック識別情報については、入室情報243に登録する。
 オーナー端末101は、ステップS102において、スマートロック400を設置したドアや部屋の情報を送信してもよい。管理サーバ200は、ステップS103において、これらの情報を入室情報243に登録する。
 スマートロック登録処理が実行されることで、管理サーバ200には、オーナー識別情報241と、オーナーの管理用公開鍵242と、スマートロックの情報とが関連付けられて記憶される。
≪子ゲスト端末の登録準備処理≫
 図6は、本実施形態に係る子ゲスト端末103の管理サーバ200への登録準備処理を説明するためのシーケンス図である。子ゲスト端末103は、代表ゲスト端末102およびオーナー端末101を介して、管理サーバ200に登録される。子ゲスト端末103の登録準備処理(子ゲストの招待準備処理)では、子ゲスト端末103の情報が代表ゲスト端末102に送信され、さらにオーナー端末101に送信される前の準備が実行される。
 ステップS111において、代表ゲスト端末102は、認証局300から電子証明書131(図2参照)を取得する。取得の手順は、図2に記載の管理用秘密鍵151と管理用公開鍵152の記載で説明した。
 ステップS112において、子ゲスト端末103は、認証局300から電子証明書131を取得する。
 ステップS113において、子ゲスト端末103は、ロック用秘密鍵141およびロック用公開鍵142のペアを生成する。
 ステップS114において、子ゲスト端末103は、ロック用公開鍵142に管理用秘密鍵151を用いて署名する。
 以下では、子ゲストは代表ゲストと対面していて、子ゲスト端末103と代表ゲスト端末102とが近距離無線で通信可能として説明を続ける。
 ステップS115において、子ゲスト端末103は、子ゲストの情報、子ゲスト端末103の電子証明書131、およびステップS114で生成した署名付ロック用公開鍵を近距離無線通信で代表ゲスト端末102に送信して、登録を要求する。子ゲストの情報は、子ゲストの名前、子ゲスト端末103の識別情報などを含む。ロック用公開鍵142や電子証明書131は、スマートロック400の解錠時の子ゲスト端末103を認証するための認証情報として用いられる。
 ステップS116において、代表ゲスト端末102は、受信した署名付ロック用公開鍵の署名を検証する。詳しくは、代表ゲスト端末102は、受信した子ゲスト端末103の電子証明書131の署名を、認証局公開鍵132を用いて検証して、子ゲスト端末103の管理用公開鍵152を取得する。続いて、代表ゲスト端末102は、取得した子ゲスト端末103の管理用公開鍵152を用いて、受信した署名付ロック用公開鍵の署名を検証する。これにより、代表ゲスト端末102は、子ゲスト端末103の真正なロック用公開鍵142を取得したことになる。
≪代表ゲスト端末の登録準備処理≫
 図7は、本実施形態に係る代表ゲスト端末102の管理サーバ200への登録準備処理を説明するためのシーケンス図である。子ゲスト端末103と代表ゲスト端末102とは、オーナー端末101を介して、管理サーバ200に登録される。代表ゲスト端末102の登録準備処理(代表ゲストの招待準備処理)では、子ゲスト端末103および代表ゲスト端末102の情報がオーナー端末101に送信される。
 ステップS121において、代表ゲスト端末102は、ロック用秘密鍵141およびロック用公開鍵142のペアを生成する。
 ステップS122において、代表ゲスト端末102は、ロック用公開鍵142に管理用秘密鍵151を用いて署名する。
 ステップS123において、代表ゲスト端末102は、子ゲスト端末103から受信した署名付ロック用公開鍵に管理用秘密鍵151を用いて署名する。子ゲスト端末103のロック用公開鍵142は、子ゲスト端末103に署名され、さらに代表ゲスト端末102に署名されて、2重に署名されている。以下では、ステップS122で生成された代表ゲスト端末102の署名付ロック用公開鍵と、ステップS123で生成された2重署名付ロック用公開鍵とを合わせて、署名付ロック用公開鍵群と記す。
 以下では、代表ゲストはオーナーと対面していて、代表ゲスト端末102とオーナー端末101とが近距離無線で通信可能として説明を続ける。
 ステップS124において、代表ゲスト端末102は、子ゲストの情報、代表ゲストの情報、子ゲスト端末103の電子証明書131、代表ゲスト端末102の電子証明書131および署名付ロック用公開鍵群を近距離無線通信でオーナー端末101に送信して、登録(許可登録)を要求する。代表ゲストの情報は、代表ゲストの名前、代表ゲスト端末102の識別情報などを含む。電子証明書131や、署名付ロック用公開鍵群に含まれる子ゲスト端末103および代表ゲスト端末102のロック用公開鍵142は、スマートロック400の解錠時の子ゲスト端末103を認証するための認証情報として用いられる。
 ステップS125において、オーナー端末101は、受信した署名付ロック用公開鍵群の署名を検証する。詳しくは、オーナー端末101は、受信した子ゲスト端末103の電子証明書131および代表ゲスト端末102の電子証明書131の署名を、認証局公開鍵132を用いて検証して、子ゲスト端末103の管理用公開鍵152および代表ゲスト端末102の管理用公開鍵152を取得する。続いて、オーナー端末101は、取得した子ゲスト端末103の管理用公開鍵152および代表ゲスト端末102の管理用公開鍵152を用いて、受信した署名付ロック用公開鍵群の署名を検証する。これにより、オーナー端末101は、子ゲスト端末103および代表ゲスト端末102の真正なロック用公開鍵142を取得したことになる。
≪ゲスト端末の登録処理≫
 図8は、本実施形態に係る子ゲスト端末103および代表ゲスト端末102(ゲスト端末とも記す)の管理サーバ200への登録処理を説明するためのシーケンス図である。子ゲスト端末103の登録準備処理(図6参照)および代表ゲスト端末102の登録準備処理(図7参照)により、オーナー端末101は、子ゲスト端末103および代表ゲスト端末102の真正なロック用公開鍵142を取得している。ゲスト端末の登録処理(ゲストの招待処理)では、オーナー端末101は、子ゲストの情報や親ゲストの情報とともに、このロック用公開鍵142を管理サーバ200に送信して登録を要求する。
 以下では、オーナー端末101が、子ゲストや代表ゲストの情報を表示してゲスト端末の登録要求の確認をオーナーに求め、オーナーが確認して登録を指示したとして説明を続ける。
 ステップS131において、オーナー端末101は、代表ゲストに認可する認可権限を示す許可トークンを生成する。許可トークンには、認可権限を与えるオーナー端末101の識別情報、認可権限を取得する代表ゲスト端末102の識別情報、認可権限、認可権限の有効期間などを含む。認可権限としては、子ゲストの追加や子ゲストの削除がある。
 ステップS132において、オーナー端末101は、管理用秘密鍵151を用いて許可トークンに署名する。
 ステップS133において、オーナー端末101は、管理用秘密鍵151を用いて、代表ゲスト端末102から受信した署名付ロック用公開鍵群に署名する。子ゲスト端末103のロック用公開鍵142には、子ゲスト端末103の署名と、代表ゲスト端末102の署名と、オーナー端末101の署名とが付与されており、3重に署名されている。代表ゲスト端末102のロック用公開鍵142には、代表ゲスト端末102の署名と、オーナー端末101の署名とが付与されており、2重に署名されている。
 ステップS134において、オーナー端末101は、入室情報、子ゲストの情報、代表ゲストの情報、オーナーの署名付の署名付ロック用公開鍵群、オーナーの署名付許可トークン、子ゲスト端末103の電子証明書131および代表ゲスト端末102の電子証明書131を管理サーバ200に送信して、登録を要求する。入室情報は、スマートロック400の識別情報や、オーナーが許可した親ゲストや子ゲストが入室可能な期間、曜日、時間帯などの情報を含む。
 ステップS135において、管理サーバ200は、オーナーの署名付許可トークンの署名を検証する。検証には、管理用公開鍵242(図4参照)を用いる。
 ステップS136において、管理サーバ200は、オーナーの署名付の署名付ロック用公開鍵群の署名を検証する。オーナーの署名付の署名付ロック用公開鍵群には、オーナー端末101による署名、代表ゲスト端末102による署名、子ゲスト端末103による署名が含まれており、管理サーバ200は、それぞれ管理用公開鍵242、代表ゲスト端末102の管理用公開鍵152、子ゲスト端末103の管理用公開鍵152を用いて検証する。管理サーバ200は、受信した代表ゲスト端末102および子ゲスト端末103の電子証明書131の署名を、認証局公開鍵232を用いて検証して、代表ゲスト端末102および子ゲスト端末103の管理用公開鍵152を取得する。電子証明書131の署名を検証することで、管理サーバ200は、真正な代表ゲスト端末102および子ゲスト端末103の管理用公開鍵152を取得できる。
 ステップS137において、管理サーバ200は、取得した情報を権限情報データベース240(図4参照)に格納する。詳しくは、受信した入室情報に含まれるスマートロック識別情報を含む権限情報データベース240の入室情報243に関連付けて代表ゲスト情報250を作成し、代表ゲストに係る情報を代表ゲスト情報250に格納する。詳しくは、管理サーバ200は、受信したオーナーの署名付許可トークンを、許可トークン256およびオーナーの署名257に格納する。また、管理サーバ200は、受信したオーナーの署名付の署名付ロック用公開鍵群に含まれる代表ゲスト端末102のロック用公開鍵142および署名を、ロック用公開鍵251、代表ゲストの署名252およびオーナーの署名253に格納する。管理サーバ200は、受信した代表ゲスト端末102の電子証明書131を電子証明書254に格納する。また、管理サーバ200は、受信した代表ゲストの情報や入室情報に含まれる、代表ゲストの入室可能な期間などの情報を利用権限255に格納する。
 子ゲスト情報260についても同様である。詳しくは、管理サーバ200は、代表ゲスト情報250に関連付けて子ゲスト情報260を作成する。続いて、管理サーバ200は、子ゲスト端末103のロック用公開鍵と付与された3重の署名をロック用公開鍵261と子ゲストの署名262と代表ゲストの署名263とオーナーの署名264とに格納し、電子証明書と、子ゲストの情報および入室情報とを、それぞれ電子証明書265と、利用権限266とに格納する。
 代表ゲスト情報250および子ゲスト情報260に登録されたロック用公開鍵251,261や電子証明書254,265は、管理サーバ200が、代表ゲスト端末102が生成した署名を検証するときや、スマートロック400の解錠の際、代表ゲスト端末102および子ゲスト端末103を認証するときの認証情報として参照される。
 図6から図8で説明した、子ゲスト端末の登録準備処理、代表ゲスト端末の登録準備処理、ゲスト端末の登録処理をとおして、子ゲスト端末103および代表ゲスト端末102のロック用公開鍵142,251,261や電子証明書131,254,265、利用権限255,266が管理サーバ200に登録された。これらの情報を用いて、管理サーバ200が、子ゲスト端末103や代表ゲスト端末102を認証した後に、スマートロック400が解錠される。
≪スマートロックの解錠処理≫
 図9は、本実施形態に係る子ゲスト端末103によるスマートロック400の解錠処理を説明するためのシーケンス図である。子ゲストは、スマートロック400が設置されたドアに近づき、子ゲスト端末103に解錠するように指示した後の処理を説明する。
 ステップS201において、子ゲスト端末103は、スマートロック400に認証要求を送信する。
 ステップS202において、スマートロック400は、乱数を生成し、チャレンジとして子ゲスト端末103に送信する。
 ステップS203において、子ゲスト端末103は、受信したチャレンジにロック用秘密鍵141を用いて署名する。
 ステップS204において、子ゲスト端末103は、署名付チャレンジと電子証明書131をスマートロック400に送信する。
 ステップS205において、スマートロック400は、自身のスマートロック識別情報、受信した電子証明書、受信した署名付チャレンジを管理サーバ200に送信する。
 ステップS206において、管理サーバ200は、署名付チャレンジの署名を検証する。詳しくは、管理サーバ200は、権限情報データベース240のなかの入室情報243であって、スマートロック識別情報を含む入室情報243を検索する。続いて、管理サーバ200は、検索結果の入室情報に関連付けられた代表ゲスト情報250および子ゲスト情報260のなかで、受信した電子証明書に一致する電子証明書254,265を検索する。次に、管理サーバ200は、検索結果の代表ゲスト情報250または子ゲスト情報260に含まれるロック用公開鍵251,261を用いて署名付チャレンジの署名を検証する。管理サーバ200は、入室情報243の検索、電子証明書254,265の検索、署名の検証の何れかに失敗したときは、認証は失敗と判断する。
 ステップS207において、管理サーバ200は、利用権限を照合する。詳しくは、管理サーバ200は、ステップS206で検索した代表ゲスト情報250または子ゲスト情報260に含まれる利用権限255,266と照合する。利用権限255,266には、入室が許可される期間や時間帯などの条件が含まれており、管理サーバ200は、条件に合致しない場合は、認証は失敗と判断する。
 ステップS208において、管理サーバ200は、認証結果をスマートロック400に送信する。詳しくは、ステップS206,S207の何れかで認証失敗ならば、認証失敗を送信し、そうでなければ認証成功を送信する。
 ステップS209において、スマートロック400は、受信した認証結果に応じて解錠する。詳しくは、スマートロック400は、認証成功ならば解錠し、認証失敗ならば解錠しない。
≪子ゲストの追加登録処理≫
 図6~図8の処理において、代表ゲストとオーナーとが対面して、代表ゲストと子ゲストとが登録(招待)されている。代表ゲストが登録され後は、代表ゲストは、オーナーに対面することなく、子ゲストを登録することができるようになる。
 図10は、本実施形態に係る子ゲストの追加登録処理を説明するためのシーケンス図である。以下では、追加される子ゲスト端末103の登録準備処理(図6参照)は終えているとして、その後の処理を説明する。
 ステップS301において、代表ゲスト端末102は、子ゲスト端末103から受信した署名付ロック用公開鍵に管理用秘密鍵151を用いて署名する。
 ステップS302において、代表ゲスト端末102は、オーナー識別情報、入室情報、子ゲストの情報、代表ゲストの署名付の署名付ロック用公開鍵、子ゲスト端末103の電子証明書131を、管理サーバ200に送信して、登録を要求する。
 ステップS303において、管理サーバ200は、代表ゲストに子ゲストの追加権限があることを確認する。詳しくは、管理サーバ200は、権限情報データベース240(図4参照)の代表ゲスト情報250に含まれる許可トークン256を参照して確認する。
 ステップS304において、管理サーバ200は、受信した代表ゲストの署名付の署名付ロック用公開鍵に含まれる署名を検証する。代表ゲスト端末102の署名の検証には、代表ゲスト端末102に対応する代表ゲスト情報250に含まれる電子証明書254を用いる。また、子ゲスト端末103の署名の検証には、受信した子ゲスト端末103の電子証明書を用いる。
 ステップS305において、管理サーバ200は、入室情報、子ゲストの情報、代表ゲストの情報をオーナー端末101に送信する。代表ゲストの情報は、権限情報データベース240から取得する。
 ステップS306において、オーナー端末101は、受信した入室情報、子ゲストの情報、代表ゲストの情報を表示して、オーナーに子ゲストの追加登録を承認するか問い合わせて、承認結果を取得する。
 ステップS307において、オーナー端末101は、取得した承認結果(承認可または承認否)を管理サーバ200に送信する。
 ステップS308において、管理サーバ200は、受信した承認結果が承認可ならば、子ゲスト端末103を権限情報データベース240に登録する。登録する処理は、ステップS137(図8参照)と同様である。代表ゲスト端末102の情報は登録済みであり、登録不要である。承認否ならば、管理サーバ200は、登録しない。
 ステップS309において、管理サーバ200は、承認結果を代表ゲスト端末102に送信する。
≪認可システムの特徴≫
 上記した実施形態では、子ゲストは、代表ゲストを介して、登録(招待)される。詳しくは、代表ゲストが対面して確認した子ゲストを、オーナーが代表ゲストと対面して確認してから登録している。このため、オーナーは、子ゲストを個々に対面して、確認してから登録する必要はなくなり、登録の負担が削減される。
 代表ゲストが登録されると、代表ゲストは入室可能になるだけではなく、子ゲストの追加権限が与えられる(図4記載の許可トークン256、図8記載のステップS131参照)。権限が与えられたのちは、代表ゲストは、オーナーに対面することなく、子ゲストの追加を申請(許可登録の要求)すること(図10記載のステップS302参照)ができ、オーナーは申請を承認することができる(ステップS306参照)。このため、代表ゲストおよびオーナーの負担が削減される。
 子ゲスト端末103の登録準備処理(図6参照)では、代表ゲストは子ゲストに対面しており、子ゲストの本人確認が容易になり、なりすましを防止している。また、代表ゲスト端末102の登録準備処理(図7参照)では、オーナーは代表ゲストに対面しており、代表ゲストの本人確認が容易になり、なりすましを防止している。
 認可システム10におけるスマートロック400の解錠には、ゲスト端末に合鍵(招待URL)を渡すのではなく、公開鍵暗号をベースとしたデジタル署名技術を採用して、ゲスト端末を認証している。このため、合鍵が意図しない第三者に渡ることがなく、オーナーが招待または承認したゲストだけが入室可能であり、第三者の入室を防止できる。
≪変型例1:複数の子ゲスト端末≫
 上記の実施形態では、1つの子ゲスト端末103を管理サーバ200に登録(招待)している。複数の子ゲスト端末103をまとめて登録するようにしてもよい。詳しくは、代表ゲスト端末102が、複数の子ゲスト端末103から署名付ロック用公開鍵を受信し、ステップS123(図7参照)において、複数の署名付ロック用公開鍵をまとめてオーナー端末101に送信する。オーナー端末101は、複数の署名付ロック用公開鍵をまとめて管理サーバ200に送信して登録する。
 このようにすることで、個々の子ゲストと対面するというオーナーの負担が削減される。
 子ゲスト端末103の追加登録においても同様であり、ステップS302(図10参照)において、代表ゲスト端末102が、複数の署名付ロック用公開鍵をまとめて管理サーバ200に送信するようにしてもよい。
≪変型例2:追加登録時の入室情報≫
 子ゲスト追加時の入室情報(入室可能期間など、図10のステップS302参照)は、代表ゲストが決定している。これに替えて、オーナーが承認する際に、オーナーが決定するようにしてもよいし、代表ゲストが送信した入室情報をオーナーが修正して承認するようにしてもよい。この場合の入室情報は、ステップS307においてオーナー端末101から管理サーバ200に送信され、ステップS308において権限情報データベース240に登録される。
≪変型例3:オーナー承認なしの子ゲスト追加登録≫
 上記した実施形態では、オーナーの承認後に子ゲストが追加登録される。オーナーの承認なしに追加登録され、その後にオーナーが追加登録をキャンセルするようにしてもよい。
 図11は、本実施形態の変型例3に係る子ゲストの追加登録処理を説明するためのシーケンス図である。図11は、図10に替わる処理である。
 ステップS311~S314は、ステップS301~S304と同様の処理である。
 ステップS315において、管理サーバ200は、子ゲスト端末103を権限情報データベース240に登録する。登録する処理は、ステップS137(図8参照)と同様である。
 ステップS316において、管理サーバ200は、入室情報、子ゲストの情報、代表ゲストの情報をオーナー端末101に送信する。代表ゲストの情報は、権限情報データベース240から取得する。
 ステップS317において、オーナー端末101は、受信した入室情報、子ゲストの情報、代表ゲストの情報を表示して、オーナーに子ゲストの追加登録をキャンセルするか否かを問い合わせる。オーナーがキャンセル不要とした場合は、オーナー端末101は、その旨(キャンセル否)を管理サーバ200に送信する。キャンセル不要ならば、管理サーバ200での処理は不要であり、子ゲストの追加登録処理が終わる。以下では、オーナーがキャンセルを指示したとして説明を続ける。
 ステップS318において、オーナー端末101は、管理サーバ200に子ゲストの追加登録のキャンセルを指示する(キャンセル可を送信する)。
 ステップS319において、管理サーバ200は、ステップS315において登録した子ゲスト情報260を削除する。
 ステップS320において、管理サーバ200は、キャンセルが完了したことをオーナー端末101に通知する。
 ステップS321において、管理サーバ200は、子ゲスト追加登録がキャンセルされたことを代表ゲスト端末102に通知する。
≪変型例3の特徴≫
 変型例3では、オーナーの承認を待つことなく、代表ゲストは子ゲストを追加登録することができ、上記した実施形態より早く子ゲストを追加登録することができる。また、オーナーは、追加登録をキャンセルすることができる。
≪変型例4:子ゲストの登録削除≫
 図10や図11では、代表ゲストによる、オーナーとの対面なしの子ゲストの追加登録を説明した。これと同様に、代表ゲストによる、オーナーとの対面なしの登録済み子ゲストの削除も可能である。詳しくは、代表ゲスト端末102が管理サーバ200に子ゲストの登録削除を申請する。次に、管理サーバ200は、代表ゲストに子ゲスト削除の権限があるか許可トークン256を参照して判断し、権限があれば子ゲスト情報260を削除する。管理サーバ200は、削除の前に、オーナーに確認するようにしてもよい。
≪変型例5:代表ゲスト端末経由の許可トークン≫
 上記した実施形態では、許可トークンを生成したオーナー端末101が、許可トークンを管理サーバ200に送信している。これに替えて、代表ゲスト端末102を経由して許可トークンが管理サーバ200に送信されるようにしてもよい。
 図12は、本実施形態の変型例5に係る子ゲスト端末103の管理サーバ200への登録処理を説明するためのシーケンス図である。図12は、図8に替わる子ゲスト端末103の登録準備処理である。
 ステップS401~S402は、図8に記載のステップS131~S132と同様の処理である。
 ステップS403において、オーナー端末101は、署名付許可トークンを代表ゲスト端末102に送信する。
 ステップS404,S405,S406,S407は、それぞれステップS133,S134,S136,S137と同様の処理である。但し、ステップS405において、オーナー端末101は、署名付許可トークンを送信しない。また、ステップS407において、管理サーバ200は、許可トークンを権限情報データベース240に登録しない。
 図13は、本実施形態の変型例5に係る子ゲスト端末103の追加登録処理を説明するためのシーケンス図である。図13は、図10に替わる子ゲスト端末103の追加登録処理である。
 ステップS411~S412は、図10に記載のS301~S302と同様の処理である。但し、ステップS412において、代表ゲスト端末102は、ステップS403でオーナー端末101から受信した署名付許可トークンを含めて管理サーバ200に送信する。
 ステップS413は、図8に記載のステップS135と同様の処理である。許可トークンは、権限情報データベース240に登録される。
 ステップS414~S420は、図10に記載のS303~S309と同様の処理である。
≪変型例6:管理サーバに送信時の認証≫
 ステップS134(図8参照)やステップS302(図10参照)など、オーナー端末101や代表ゲスト端末102から管理サーバ200に子ゲストの登録(招待)を要求するときには、生体認証技術を用いてオーナー端末101や代表ゲスト端末102の利用者を認証するようにしてもよい。このようにすることで、入室を許可することになる子ゲスト登録における信頼性を向上させることができる。
≪変型例7:近距離無線通信≫
 オーナーと代表ゲスト端末が対面して、オーナー端末101と代表ゲスト端末102とが通信するときには、近距離無線通信を利用していた。オーナー端末101と代表ゲスト端末102とがケーブルで直結して通信してもよい。
≪変型例8:署名検証の省略≫
 上記した実施形態のステップS136(図8参照)において、管理サーバ200は、オーナーの署名付の署名付ロック用公開鍵群に付与されている、オーナー端末101による署名、代表ゲスト端末102による署名、子ゲスト端末103による署名を検証している。これに対して、代表ゲスト端末102による署名、子ゲスト端末103による署名はオーナー端末101が検証済みとして、オーナー端末101による署名のみを検証するようにしてもよい。こうすることで、管理サーバ200は、登録要求の処理コストを下げることができる。
≪変型例9:子ゲスト端末の追加登録時のオーナー承認≫
 図10に記載の子ゲスト端末の追加登録処理においては、オーナーの承認を得た後に子ゲスト端末を登録している。一方、図11に記載の子ゲスト端末の追加登録処理においては、オーナーの承認を得る前に子ゲスト端末を登録し、後にオーナーが登録をキャンセルすることが可能となっている。認証トークンの子ゲスト端末の追加登録を、事前承認要の追加登録と事前承認不要の追加登録とに区別するようにしてもよい。こうすることで、オーナーが高く信頼する代表ゲストには、事前承認不要の追加登録権限を与え、そうではない代表ゲストには、事前承認要の追加登録権限を与えるようにできる。
≪変型例10:代表ゲスト端末の登録≫
 上記した実施形態では、代表ゲスト端末102は子ゲスト端末103と一緒に、登録(招待)される。これに対して、代表ゲスト端末102が子ゲスト端末103の認証情報をオーナー端末101に送信せず、代表ゲスト端末102の認証情報と署名のみをオーナー端末101に送信して、代表ゲスト端末102単独で登録するようにしてもよい。これにより、子ゲスト端末103の登録なしに、代表ゲスト端末102が登録可能となる。
≪変型例11:子ゲスト端末の登録制限≫
 上記した実施形態では、許可トークンを参照して、管理サーバ200は、代表ゲスト端末102に子ゲスト端末103を追加する権限があることを確認していた。許可トークンが登録可能な期間や子ゲスト端末103の上限数を含むようにして、管理サーバ200が、代表ゲスト端末102による登録可能な期間や子ゲスト端末103の数を制限するようにしてもよい。
 また、許可トークンに子ゲスト端末103が解錠可能な日時を含め、代表ゲスト端末102が登録した子ゲスト端末103の解錠可能な日時を制限できるようにしてもよい。解錠可能な日時は、子ゲスト情報260の利用権限266に記憶される(図4参照)。
≪変型例12:端末間の通信≫
 上記した実施形態では、子ゲスト端末103は、近距離無線通信を利用して自身の認証情報を代表ゲスト端末102に送信していた。この他に、十分に本人確認ができるのであれば、他の安全な通信路を用いてもよい。代表ゲスト端末102が、自身の認証情報をオーナー端末101に送る場合も同様である。
≪変型例13:権限情報データベースのデータ構造≫
 上記した実施形態における権限情報データベース240では、オーナー識別情報241および管理用公開鍵242、管理用公開鍵242および入室情報243、入室情報243および代表ゲスト情報250のそれぞれが関連付けられる。これに替えて、オーナー識別情報241と管理用公開鍵242と入室情報243とをまとめてオーナー端末101と見なして、代表ゲスト情報250と関連付けるなど、他のデータ構成にしてもよい。
≪その他の変型例≫
 以上、本発明の実施形態といくつかの変型例について説明したが、これらの実施形態や変型例は、例示に過ぎず、本発明の技術的範囲を限定するものではない。本発明はその他の様々な実施形態を取ることが可能であり、さらに、本発明の要旨を逸脱しない範囲で、省略や置換等種々の変更を行うことができる。これら実施形態やその変形は、本明細書等に記載された発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
10  認可システム
100 端末
101 オーナー端末
102 代表ゲスト端末
103 子ゲスト端末
142,261 ロック用公開鍵
200 管理サーバ
256 許可トークン
300 認証局
400 スマートロック

Claims (11)

  1.  スマートロック、前記スマートロックの管理者が利用するオーナー端末、子ゲストが利用し前記スマートロックの解錠を要求する子ゲスト端末、代表ゲストが利用し前記スマートロックの解錠を要求する代表ゲスト端末、および管理サーバを含む認可システムであって、
     前記代表ゲスト端末は、
     前記スマートロックの解錠を要求したときに参照される認証情報を生成して署名し、前記認証情報と前記署名とを、前記代表ゲスト端末による解錠の許可登録の要求として前記オーナー端末に送信し、
     前記オーナー端末は、
     前記代表ゲスト端末から受信した情報に含まれる署名の検証に成功し、前記管理者による前記代表ゲスト端末に対する解錠の許可登録を承認する情報を受け付けた後に、前記代表ゲスト端末の認証情報に署名し、
     受信した前記解錠の許可登録の要求に含まれる情報と、前記代表ゲスト端末の認証情報に対する前記オーナー端末の署名とを、前記管理サーバに送信し、
     前記管理サーバは、
     前記オーナー端末から受信した情報に含まれる署名の検証に成功した後に、前記オーナー端末と前記代表ゲスト端末とを関連付けて記憶するとともに、前記代表ゲスト端末の認証情報と前記代表ゲスト端末とを関連付けて記憶し、
     前記スマートロックから、解錠を要求する前記代表ゲスト端末が送信した解錠要求を受信すると、当該代表ゲスト端末に関連付けられた認証情報を参照して、前記解錠要求は当該代表ゲスト端末が送信した解錠要求であるか否かを判断し、判断の結果を前記スマートロックに送信し、
     前記スマートロックは、
     前記管理サーバが、前記解錠要求は前記代表ゲスト端末が送信した解錠要求であると判断した場合には解錠する
     ことを特徴とする認可システム。
  2.  前記子ゲスト端末は、
     前記スマートロックの解錠を要求したときに参照される認証情報を生成して署名し、前記認証情報と前記署名とを前記代表ゲスト端末に送信し、
     前記代表ゲスト端末は、
     前記子ゲスト端末から受信した情報に含まれる署名の検証に成功した後に、前記子ゲスト端末の認証情報に署名し、
     前記代表ゲスト端末による解錠の許可登録の要求に加えて、前記子ゲスト端末の認証情報と、当該認証情報に対する前記子ゲスト端末の署名と、当該認証情報に対する前記代表ゲスト端末の署名とを、前記子ゲスト端末による解錠の許可登録の要求として前記オーナー端末に送信し、
     前記オーナー端末は、
     前記代表ゲスト端末から受信した前記子ゲスト端末による解錠の許可登録の要求に含まれる署名の検証に成功し、前記管理者による前記子ゲスト端末に対する解錠の許可登録を承認する情報を受け付けた後に、前記子ゲスト端末の認証情報に署名し、
     前記代表ゲスト端末から受信した前記子ゲスト端末による解錠の許可登録の要求に含まれる情報と、前記子ゲスト端末の認証情報に対する前記オーナー端末の署名とを、前記代表ゲスト端末による解錠の許可登録の要求に含まれる情報および前記代表ゲスト端末の認証情報に対する前記オーナー端末の署名とともに、前記管理サーバに送信し、
     前記管理サーバは、
     前記オーナー端末から受信した情報に含まれる署名の検証に成功した後に、前記代表ゲスト端末と前記子ゲスト端末とを関連付けて記憶するとともに、前記子ゲスト端末の認証情報と前記子ゲスト端末とを関連付けて記憶し、
     前記スマートロックから、解錠を要求する前記子ゲスト端末が送信した解錠要求を受信すると、当該子ゲスト端末に関連付けられた認証情報を参照して、前記解錠要求は当該子ゲスト端末が送信した解錠要求であるか否かを判断し、判断の結果を前記スマートロックに送信し、
     前記スマートロックは、
     前記管理サーバが、前記解錠要求は前記子ゲスト端末が送信した解錠要求であると判断した場合には解錠する
     ことを特徴とする請求項1に記載の認可システム。
  3.  前記オーナー端末は、
     前記解錠の許可登録の管理サーバへの要求を前記代表ゲスト端末に認可することを示す許可トークンを生成して署名を付与し、
     前記署名を付与した許可トークンを前記管理サーバに送信し、
     前記管理サーバは、
     前記オーナー端末から受信した許可トークンに付与された署名を検証し、当該許可トークンと前記代表ゲスト端末とを関連付けて記憶し、
     前記子ゲスト端末は、
     前記スマートロックの解錠を要求したときに参照される認証情報を生成して署名し、
     前記認証情報と前記署名とを前記代表ゲスト端末に送信し、
     前記代表ゲスト端末は、
     前記子ゲスト端末から受信した情報に含まれる署名の検証に成功した後に、前記子ゲスト端末の認証情報に署名し、
     前記子ゲスト端末の認証情報と、当該認証情報に対する前記子ゲスト端末の署名と、当該認証情報に対する前記代表ゲスト端末の署名とを、前記子ゲスト端末による解錠の許可登録の要求として前記管理サーバに送信し、
     前記管理サーバは、
     前記代表ゲスト端末から受信した情報に含まれる署名の検証に成功し、
     当該代表ゲスト端末に関連付けられた許可トークンを記憶していることを確認した後に、
     前記代表ゲスト端末と前記解錠の許可登録の要求に含まれる子ゲスト端末とを関連付けて記憶するとともに、当該子ゲスト端末の認証情報と当該子ゲスト端末とを関連付けて記憶する
     ことを特徴とする請求項1に記載の認可システム。
  4.  前記オーナー端末は、
     前記解錠の許可登録の管理サーバへの要求を前記代表ゲスト端末に認可することを示す許可トークンを生成して署名を付与し、
     前記署名を付与した許可トークンを前記代表ゲスト端末に送信し、
     前記代表ゲスト端末は、
     前記オーナー端末から受信した許可トークンに付与された署名を検証して記憶し、
     前記子ゲスト端末は、
     前記スマートロックの解錠を要求したときに参照される認証情報を生成して署名し、
     前記認証情報と前記署名とを前記代表ゲスト端末に送信し、
     前記代表ゲスト端末は、
     前記子ゲスト端末から受信した情報に含まれる署名の検証に成功した後に、前記子ゲスト端末の認証情報に署名し、
     前記子ゲスト端末の認証情報と、当該認証情報に対する前記子ゲスト端末の署名と、当該認証情報に対する前記代表ゲスト端末の署名と、前記署名が付与された許可トークンとを、前記子ゲスト端末による解錠の許可登録の要求として前記管理サーバに送信し、
     前記管理サーバは、
     前記代表ゲスト端末から受信した情報に含まれる署名の検証に成功し、
     前記許可トークンで認可された代表ゲスト端末が、前記解錠の許可登録の要求した代表ゲスト端末であることを検証して成功した後に、
     前記代表ゲスト端末と前記解錠の許可登録の要求に含まれる子ゲスト端末とを関連付けて記憶するとともに、当該子ゲスト端末の認証情報と当該子ゲスト端末とを関連付けて記憶する
     ことを特徴とする請求項1に記載の認可システム。
  5.  前記許可トークンは、前記子ゲスト端末の前記解錠の許可登録の取り消しを含み、
     前記代表ゲスト端末は、前記子ゲスト端末の許可登録の取り消しを要求し、
     前記管理サーバは、
     当該代表ゲスト端末に対応する許可トークンを記憶していることを検証して成功した後、または、前記許可登録の取り消しの要求に当該代表ゲスト端末に対応する許可トークンが含まれていて当該許可トークンに付与された署名を検証して成功した後に、
     当該代表ゲストに関連付けられた当該子ゲスト端末の認証情報を削除する
     ことを特徴とする請求項3または4に記載の認可システム。
  6.  前記許可トークンは、前記解錠の許可登録可能な子ゲスト端末の上限数および登録可能な期間の何れかを含み、
     前記管理サーバは、
     前記許可トークンが前記上限数を含む場合には、前記代表ゲスト端末から前記解錠の許可登録の要求を前記上限数まで受け付け、
     前記許可トークンが前記登録可能な期間を含む場合には、当該登録可能な期間に前記代表ゲスト端末から前記解錠の許可登録の要求があれば当該要求を受け付ける、
     ことを特徴とする請求項3または4に記載の認可システム。
  7.  前記許可トークンは、前記解錠を許可する日時を含み、
     前記管理サーバは、
     前記解錠の許可登録を要求する子ゲスト端末の認証情報と当該子ゲスト端末とを関連付けて記憶する際に、前記解錠を許可する日時を関連付けて記憶し、
     前記解錠要求は当該子ゲスト端末が送信した解錠要求であるか否かを判断するときに、前記解錠要求の送信時刻が、当該子ゲスト端末と関連付けて記憶された解錠を許可する日時に含まれているかも判断する
     ことを特徴とする請求項3または4に記載の認可システム。
  8.  前記管理サーバは、前記代表ゲスト端末から前記子ゲスト端末の解錠の許可登録の要求を受信すると、前記子ゲスト端末の認証情報と前記子ゲスト端末とを関連付けて記憶する前に、前記オーナー端末に前記解錠の許可登録の承認の可否を問い合わせ、
     前記オーナー端末は、前記管理者による前記解錠の許可登録の承認の可否を示す情報を受け付け、承認可または承認否を前記管理サーバに送信し、
     前記管理サーバは、前記承認可を受信すると、前記認証情報と前記子ゲスト端末とを関連付けて記憶する
     ことを特徴とする請求項3または4に記載の認可システム。
  9.  前記管理サーバは、前記代表ゲスト端末から前記子ゲスト端末の解錠の許可登録の要求を受信すると、前記代表ゲスト端末と前記子ゲスト端末とを関連付けて記憶するとともに、前記子ゲスト端末の認証情報と前記子ゲスト端末とを関連付けて記憶した後に、前記オーナー端末に前記解錠の許可登録を通知し、
     前記オーナー端末は、前記管理者による前記解錠の許可登録のキャンセルの可否を示す情報を受け付け、キャンセル可またはキャンセル否を前記管理サーバに送信し、
     前記管理サーバは、前記キャンセル可を受信すると、前記子ゲスト端末と関連付けて記憶した前記認証情報を削除する
     ことを特徴とする請求項3または4に記載の認可システム。
  10.  スマートロック、前記スマートロックの管理者が利用するオーナー端末、子ゲストが利用し前記スマートロックの解錠を要求する子ゲスト端末、代表ゲストが利用し前記スマートロックの解錠を要求する代表ゲスト端末、および管理サーバを含む認可システムの管理サーバであって、
     前記代表ゲスト端末が前記スマートロックの解錠を要求したときに参照される認証情報と、前記認証情報に対する前記代表ゲスト端末の署名および前記オーナー端末の署名とを、前記オーナー端末から受信し、
     前記オーナー端末から受信した情報に含まれる署名の検証に成功した後に、前記オーナー端末と前記代表ゲスト端末とを関連付けて記憶するとともに、前記代表ゲスト端末の認証情報と前記代表ゲスト端末とを関連付けて記憶し、
     前記スマートロックから、解錠を要求する前記代表ゲスト端末が送信した解錠要求を受信すると、当該代表ゲスト端末に関連付けられた認証情報を参照して、前記解錠要求は当該代表ゲスト端末が送信した解錠要求であるか否かを判断し、判断の結果を前記スマートロックに送信する
     ことを特徴とする管理サーバ。
  11.  スマートロック、前記スマートロックの管理者が利用するオーナー端末、子ゲストが利用し前記スマートロックの解錠を要求する子ゲスト端末、代表ゲストが利用し前記スマートロックの解錠を要求する代表ゲスト端末、および管理サーバを含む認可システムの認可方法であって、
     前記代表ゲスト端末は、
     前記スマートロックの解錠を要求したときに参照される認証情報を生成して署名し、前記認証情報と前記署名とを、前記代表ゲスト端末による解錠の許可登録の要求として前記オーナー端末に送信するステップを実行し、
     前記オーナー端末は、
     前記代表ゲスト端末から受信した情報に含まれる署名の検証に成功し、前記管理者による前記代表ゲスト端末に対する解錠の許可登録を承認する情報を受け付けた後に、前記代表ゲスト端末の認証情報に署名するステップと、
     前記代表ゲスト端末から受信した前記解錠の許可登録の要求に含まれる情報と、前記代表ゲスト端末の認証情報に対する前記オーナー端末の署名とを、前記管理サーバに送信するステップとを実行し、
     前記管理サーバは、
     前記オーナー端末から受信した情報に含まれる署名の検証に成功した後に、前記オーナー端末と前記代表ゲスト端末とを関連付けて記憶するとともに、前記代表ゲスト端末の認証情報と前記代表ゲスト端末とを関連付けて記憶するステップと、
     前記スマートロックから、解錠を要求する前記代表ゲスト端末が送信した解錠要求を受信すると、当該代表ゲスト端末に関連付けられた認証情報を参照して、前記解錠要求は当該代表ゲスト端末が送信した解錠要求であるか否かを判断し、判断の結果を前記スマートロックに送信するステップとを実行し、
     前記スマートロックは、
     前記管理サーバが、前記解錠要求は前記代表ゲスト端末が送信した解錠要求であると判断した場合には解錠するステップを実行する
     ことを特徴とする認可方法。
PCT/JP2020/005837 2019-02-22 2020-02-14 認可システム、管理サーバおよび認可方法 WO2020170976A1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US17/431,894 US11721148B2 (en) 2019-02-22 2020-02-14 Authorization system, management server and authorization method

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2019030849A JP7172716B2 (ja) 2019-02-22 2019-02-22 認可システム、管理サーバおよび認可方法
JP2019-030849 2019-02-22

Publications (1)

Publication Number Publication Date
WO2020170976A1 true WO2020170976A1 (ja) 2020-08-27

Family

ID=72143655

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2020/005837 WO2020170976A1 (ja) 2019-02-22 2020-02-14 認可システム、管理サーバおよび認可方法

Country Status (3)

Country Link
US (1) US11721148B2 (ja)
JP (1) JP7172716B2 (ja)
WO (1) WO2020170976A1 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230088787A1 (en) * 2020-03-02 2023-03-23 Nippon Telegraph And Telephone Corporation User information management system, user information management method, user agent and program
WO2021183374A1 (en) * 2020-03-09 2021-09-16 Spectrum Brands, Inc. Electronic lock pairing via passcode
US20220014388A1 (en) * 2020-07-09 2022-01-13 Sera4 Ltd. Virtual security guard
WO2023021968A1 (ja) * 2021-08-20 2023-02-23 パナソニックIpマネジメント株式会社 情報処理システム、第一管理装置、第二管理装置、及び、情報処理方法
JP2023103511A (ja) * 2022-01-14 2023-07-27 株式会社共栄通信 自動解錠システム
WO2024042928A1 (ja) * 2022-08-26 2024-02-29 パナソニックIpマネジメント株式会社 情報処理システム、制御装置、及び、情報処理方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009257046A (ja) * 2008-04-21 2009-11-05 Hitachi Software Eng Co Ltd 携帯電話を利用した解錠・施錠システム
JP2018098553A (ja) * 2016-12-09 2018-06-21 Qrio株式会社 情報処理システム、通信装置およびプログラム

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10745943B1 (en) * 2017-08-02 2020-08-18 United Services Automobile Associates (USAA) Smart lock box

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009257046A (ja) * 2008-04-21 2009-11-05 Hitachi Software Eng Co Ltd 携帯電話を利用した解錠・施錠システム
JP2018098553A (ja) * 2016-12-09 2018-06-21 Qrio株式会社 情報処理システム、通信装置およびプログラム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
YOSHIHIKO OMORI; TAKAO YAMASHITA: "A study on the authorization os service usage among many user terminals ", INSTITUTE OF ELECTRONICS INFORMATION AND COMMUNICATION ENGINEERS, 28 August 2018 (2018-08-28), JP, pages 1 - 3, XP009523275, ISSN: 1349-1415 *
YOSHIHIKO OMORI; TAKAO YAMASHITA: "A Study on Transferring Authorization Privilege for Granting Permission to Use Services to Multiple Users", IEICE TECHNICAL REPORT, vol. 118, no. 466, 25 February 2019 (2019-02-25), pages 253 - 258, XP009523265, ISSN: 0913-5685 *

Also Published As

Publication number Publication date
US11721148B2 (en) 2023-08-08
US20220172533A1 (en) 2022-06-02
JP7172716B2 (ja) 2022-11-16
JP2020135651A (ja) 2020-08-31

Similar Documents

Publication Publication Date Title
US11658961B2 (en) Method and system for authenticated login using static or dynamic codes
WO2020170976A1 (ja) 認可システム、管理サーバおよび認可方法
US10829088B2 (en) Identity management for implementing vehicle access and operation management
US10685526B2 (en) Architecture for access management
US11030297B2 (en) Systems and methods for device and user authorization
US20190319944A1 (en) System and method for electronic credentials
EA012094B1 (ru) Средство защиты и способ аутентификации пользователя с помощью этого средства
US20230412400A1 (en) Method for suspending protection of an object achieved by a protection device
WO2018207174A1 (en) Method and system for sharing a network enabled entity
JP2018022941A (ja) 管理システム、管理サーバ及び管理プログラム
US11956238B2 (en) Authorization system and authorization method
US11860992B1 (en) Authentication and authorization for access to soft and hard assets

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 20759674

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 20759674

Country of ref document: EP

Kind code of ref document: A1