制限解除方法、セキュリティシステム、操作対象機器及びプログラム
【課題】監視機器と情報端末とは連係してないため、監視機器の故障中も情報端末を操作できる。
【解決手段】利用者が操作する第1の機器3と、第1の機器を監視する第2の機器5とを有するセキュリティシステム1において、以下の(a)〜(c)の処理を実行する。(a)利用者が携帯する無線端末7を、第1の機器3と第2の機器5がそれぞれ個別に認証する処理。(b)無線端末7を携帯する利用者による第1の機器の操作時、第1の機器3と第2の機器5の両方で無線端末7の認証が完了しているか否か確認する処理。(c)第1の機器3と第2の機器5の両方で無線端末7の認証完了が確認された場合、第1の機器3の利用制限を解除する処理。
【解決手段】利用者が操作する第1の機器3と、第1の機器を監視する第2の機器5とを有するセキュリティシステム1において、以下の(a)〜(c)の処理を実行する。(a)利用者が携帯する無線端末7を、第1の機器3と第2の機器5がそれぞれ個別に認証する処理。(b)無線端末7を携帯する利用者による第1の機器の操作時、第1の機器3と第2の機器5の両方で無線端末7の認証が完了しているか否か確認する処理。(c)第1の機器3と第2の機器5の両方で無線端末7の認証完了が確認された場合、第1の機器3の利用制限を解除する処理。
【発明の詳細な説明】
【技術分野】
【0001】
この明細書で説明する発明は、操作対象機器の操作制限を解除する技術に関する。なお、発明は、同技術を採用するセキュリティシステム及び制限解除方法、操作対象機器及びコンピュータで実行されるプログラムとしての側面を有する。
【背景技術】
【0002】
昨今、個人情報その他の重要情報を扱うオフィスには、情報漏洩を防止する観点からセキュリティカメラ等の監視機器が設置されており、情報端末の利用状況を監視又は記録できるようになっている。
【特許文献1】特開2000−341731号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかし、監視機器と情報端末とは基本的に連係していない。このため、何らかの原因で監視機器による監視が停止した場合にも、支障なく情報端末にログインして操作することができる。従って、監視機器の停止中には、情報端末を不正に操作して重要情報を取り出せる可能性がある。
【課題を解決するための手段】
【0004】
そこで、発明者は、利用者が操作する第1の機器と、この第1の機器を監視する第2の機器とを有するセキュリティシステムにおける制限解除方法として、以下の処理を実行するものを提案する。
(a1)利用者が携帯する無線端末を、第1の機器と第2の機器がそれぞれ個別に認証する処理
(b1)無線端末を携帯する利用者による第1の機器の操作時、第1の機器と第2の機器の両方で無線端末の認証が完了しているか否か確認する処理
(c1)第1の機器と第2の機器の両方で無線端末の認証完了が確認された場合、第1の機器の利用制限を解除する処理
【0005】
また、発明者は、以下の処理を実行する制限解除方法を提案する。
(a2)無線端末を携帯する利用者による第1の機器の操作時、第1の機器が第2の機器との通信を試行する処理
(b2)第1の機器と第2の機器との通信が成立した場合、第1の機器の利用制限を解除する処理
【発明の効果】
【0006】
この発明を適用した場合、利用者が操作する第1の機器を監視する第2の機器でも、無線端末が認証されていることを条件として、操作対象機器の利用制限が解除される。なお、この認証を確認する過程では、第2の機器の稼働状態も同時に確認される。従って、第1の機器を操作する際の第2の機器の監視を保証できる。
また、この発明の場合には、第2の機器との通信が成立することを条件として、第1の機器の利用制限が解除される。この場合も、通信を試行する過程で、第2の機器の稼働状態が同時に確認される。従って、第1の機器を操作する際の第2の機器の監視を保証できる。
【発明を実施するための最良の形態】
【0007】
以下、発明に係る技術を適用した形態例を説明する。
なお、本明細書で特に図示又は記載されない部分には、当該技術分野の周知又は公知技術を適用する。
また以下に説明する形態例は、発明の一つの形態例であって、これらに限定されるものではない。
【0008】
(A)セキュリティシステム例
(A−1)構成例
図1に、セキュリティシステムの形態例を示す。このセキュリティシステム1は、操作対象機器3と監視機器5とで構成される。
この形態例の場合、操作対象機器3は、個人情報その他の重要な情報を扱うオフィス内のパーソナルコンピュータとする。
【0009】
操作対象機器3の主要なハードウェアは、汎用コンピュータと同じである。すなわち、操作対象機器3は、中央演算処理装置(CPU)、入出力装置、主記憶装置、副記憶装置で構成される。また、操作対象機器3には、利用者が携帯する無線端末7と通信する無線ユニットと無線端末7を認証する認証ユニットその他も搭載される。
図1は、これらのハードウェア部品で構成される操作対象機器3を機能的な観点で表している。
【0010】
機能面での操作対象機器3は、情報処理部31、認証ユニット33、無線ユニット35、操作入力部37で構成される。
このうち、情報処理部31は、操作内容に応じた処理機能を提供する信号処理部である。この例の場合、重要情報の入力、編集、削除、表示その他の処理機能を実行する。
認証ユニット33は、信号到達範囲内にある無線端末7を認証する機能を提供する信号処理部である。この例の場合、認証ユニット33は、UIM(User Identification
Module)認証部331、認証確認部333、制限解除部335で構成する。
【0011】
UIM認証部331は、信号到達範囲内にある無線端末7との認証処理を提供する信号処理部である。
認証確認部333は、自機に対する利用者の操作を監視する監視機器5が、現在認証した無線端末7を認証しているかを、無線端末7を経由した通信を通じて確認する信号処理部である。
【0012】
ここでの確認には、監視機器5の稼働状況を確認する意味もある。なお、認証確認部333には、監視機器5との通信に必要な監視機器5の公開鍵が格納されている。この例の場合、操作対象機器3と監視機器5は直接通信できない。このため、公開鍵は、事前に設定される。
【0013】
制限解除部335は、自機を監視する監視機器5側での無線端末7の認証が確認された場合(すなわち、監視機器5が稼働中の場合)に、自機の利用制限を解除する信号処理部である。
この例の場合、制限解除部335は、自機と監視機器5の両方による認証後にログインを許可する。
【0014】
無線ユニット35は、無線通信部(RF部)351とアンテナ353で構成される。このうち、無線通信部351は、無線端末7に対する書き込み機及び読み取り機として機能する。無線端末7との通信には、例えばマイクロ波を使用する。
操作入力部37は、操作対象機器3に対する利用者の操作を受け付ける入力デバイスである。例えば、ログイン操作の入力に使用される。
【0015】
一方、監視機器5の主要なハードウェアは、撮像カメラと同じである。この監視機器5は、無線端末7との認証機能を搭載する。
図1は、監視機器5を機能的な観点で表している。機能面での監視機器5は、撮像ユニット51、認証ユニット53、無線ユニット55で構成される。
撮像ユニット51は、操作対象機器3に対する利用者の操作を監視する撮像デバイスで構成される。この例では、撮像範囲内に操作対象機器3が1台しか存在しないが複数台でも構わない。
【0016】
認証ユニット53は、信号到達範囲内にある無線端末7を認証する機能を提供する信号処理部である。認証ユニット53は、UIM(User
Identification Module)認証部531と確認応答部533で構成する。
UIM認証部531は、信号到達範囲内にある無線端末7との認証処理を提供する信号処理部である。
【0017】
確認応答部533は、無線端末7が監視機器5において既に認証されているかの問いかけに応答する信号処理部である。なお、確認応答部533には、操作対象機器3との通信用に操作対象機器3の公開鍵が格納されている。この例の場合、操作対象機機3と監視機器5は直接通信できない。このため、公開鍵は、事前に設定される。
【0018】
無線ユニット55は、無線通信部(RF部)551とアンテナ553で構成される。このうち、無線通信部551は、無線端末7に対する書き込み機及び読み取り機として機能する。このように、無線端末7は、操作対象機器3と監視機器5の双方において別々に認証される。
【0019】
次に、無線端末7について説明する。この形態例における無線端末7は、電池を搭載しない受動型のデータキャリアとする。
無線端末7の主要なハードウェアは、コンピュータ(CPU、RAM、ROM、EEPROM等)、アンテナコイル、カード基材である。すなわち、無線端末7は、CPU搭載型のデータキャリアである。
図1は、これらのハードウェア部品で構成される無線端末7を機能的な観点で表している。
【0020】
機能面での無線端末7は、認証ユニット73、無線ユニット75で構成される。
認証ユニット73は、認証データ記憶部731で構成される。認証データ記憶部731には、利用者個人を証明する証明書、公開鍵暗号アルゴリズムに基づいた鍵情報その他の個人を特定する情報が格納される。
無線ユニット75は、無線通信部(RF部)751とアンテナ753で構成される。
【0021】
(A−2)利用制限の解除までの動作
続いて、操作対象機器3の利用制限が解除されるまでに実行される処理動作を説明する。
図2に、セキュリティシステムのネットワーク構成を示す。図2に示すように、操作対象機器3と監視機器5は、いずれも他方の信号到達範囲外であり、直接的には通信できない状態にある。図中、点線で囲んだ範囲は、操作対象機器3と監視機器5のそれぞれに対応する信号到達範囲である。
【0022】
操作対象機器3と監視機器5との間で通信が成立するのは、双方で認証された無線端末7が信号到達範囲の重複部分に存在する場合のみである。この場合、無線端末7が中継機として機能することで、操作対象機器3と監視機器5との通信が実現される。
図3に、利用制限が解除されるまでの通信手順を示す。
利用者が操作対象機器3の操作のために操作対象機器3側の信号到達範囲に入ると、操作対象機器3と無線端末7との間で認証処理が実行される。この認証処理は、既知のダイジェスト認証又はSSLクライアント認証を通じて実行される。
【0023】
この際、利用者は監視機器5側の信号到達範囲にも入る。この結果、監視機器5と無線端末7との間でも認証処理が実行される。この認証処理も、既知のダイジェスト認証又はSSLクライアント認証を通じて実行される。
この時点で、無線端末7は、操作対象機器3と監視機器5の双方と通信できる状態になる。ただし、操作対象機器3は、無線端末7が監視機器5に認証されていることを知ることはできない。同様に、監視機器5は、無線端末7が操作対象機器3に認証されていることを知ることはできない。
【0024】
次に、利用者が操作対象機器3に対してログイン操作を実行する。操作対象機器3にログインされると、重要情報に自由にアクセスできる。このため、このセキュリティシステムでは、監視機器5が操作対象機器3に対する利用者の操作を監視している。
しかし、何らかの原因で監視機器による監視が停止している可能性がある。そこで、ログイン操作を受け付ける前に、以下の処理が操作対象機器3内で実行される。
【0025】
まず、操作対象機器3内の認証確認部333が乱数R0を生成する。次に、認証確認部333は、監視機器5の公開鍵を用いて暗号化した乱数R0(暗号化済み乱数R0’)を監視機器5宛に送信する。
信号到達範囲内の無線端末7は、暗号文(暗号化済み乱数R0’)を受信すると、その宛先に従い監視機器5に転送する。無線端末7は、監視機器5の信号到達範囲内にあるため、暗号文は監視機器5に到達する。
【0026】
暗号文を受信した監視機器5の確認応答部533は、自機の秘密鍵を用いて暗号を解除し、暗号化前の乱数R0を復元する。この後、確認応答部533は、受信に対する応答として、復元した乱数R1を操作対象機器3の公開鍵を用いて暗号化する。この後、監視機器5は、暗号化済み乱数R1’を操作対象機器3宛に送信する。
【0027】
信号到達範囲内の無線端末7は、暗号文(暗号化済み乱数R1’)を受信すると、その宛先に従い操作対象機器3に転送する。無線端末7は、操作対象機器3の信号到達範囲内にあるため、暗号文は操作対象機器3に到達する。
暗号文を受信した操作対象機器3の認証確認部333は、自機の秘密鍵を用いて暗号を解除し、暗号化前の乱数R1を復元する。
【0028】
この後、制限解除部335は、この通信で自機が生成した乱数R0と受信した乱数R1とを比較し、両者が一致するとき(R0=R1のとき)、無線端末7経由で監視機器5との間で通信が成立したと判定する。
この通信の成立は、2つの意味がある。1つの意味は、無線端末7が監視機器5に認証されていることである。他の1つの意味は、監視機器5が現在稼働していることである。すなわち、操作対象機器3に対する利用者の操作を監視可能な状態にあることを意味する。
【0029】
この通信の成立を確認すると、制限解除部335が自機に対する利用制限を解除する。
この結果、利用者は操作対象機器3にログインすることが許され、必要な作業を実行することが可能になる。
一方、通信の成立を確認できなかった場合、制限解除部335は、ログインエラーとして利用制限を維持する。この場合、制限解除部335は、不正の可能性がある操作の発生をシステム管理者に通知する。
【0030】
なお、この利用制限の解除は、利用者の使用中も適宜又は定期的に実行することが望ましい。
そして、監視機器5による監視が保証できなくなった場合には、操作対象機器3に対する操作を受け付けない状態に制御することができれば、重要情報の持ち出し、改変等を効果的に防止することができる。
【0031】
(A−3)セキュリティシステム例における効果
このシステム例の場合、認証する無線端末7経由による通信によって、監視機器5による無線端末7の認証と監視機器5の稼働状態を確認できる。
操作対象機器3の操作を監視機器5の監視下でのみ許可することが可能になる。これにより、システムの安全性を一段と高めることができる。
【0032】
(B)他の形態例
(a)前述の形態例では、操作対象機器3と監視機器5が直接通信できない場合について説明した。
しかし、操作対象機器3と監視機器5が直接通信可能な場合には、以下の通信手順を通じて利用制限を解除することもできる。
【0033】
図4に、操作対象機器3と監視機器5が直接通信可能なセキュリティシステムのネットワーク構成例を示す。図4は、操作対象機器3と監視機器5が有線路で接続されているものとして表している。
この場合、図5に示すように、ログイン操作を受け付けた操作対象機器3が利用者の携帯する無線端末7の識別コードを監視機器5に直接送信し、認証の有無を問い合わせる。
監視機器5は、この問い合わせに応じて認証の有無を確認し、その確認結果を操作対象機器3に送信する。
【0034】
一方、操作対象機器3では、この確認結果の通知により、利用者の携帯する無線端末7が監視機器5側で認証されていること、及び監視機器5が稼働していることを確認すると、自機の利用制限を解除する。
なお、通信が成立しない場合には、何らかの異常のために監視機器5が正しく動作していない可能性が認められる。そこで、この場合には、利用制限を維持した状態のまま、異常の発生をシステム管理者に通知することが望ましい。
【0035】
(b)前述の形態例では、無線端末7が電力を外部から給電される受動型のデータキャリアの場合について説明した。
しかし、無線端末7は、電池を搭載する能動型のデータキャリアでも良い。
【0036】
(c)前述の形態例では、利用制限の解除対象とする操作がログイン操作である場合について説明した。
しかし、ログイン以外の特定の操作(例えば、外部記録媒体へのデータ保存、外部記録媒体からのデータ入力、ネットワークへのアクセス制御等)や特定の情報(ディレクトリ、ファイル等)へのアクセスを利用制限の解除対象としても良い。これらの場合も、前述した監視機器5の監視を条件に制限を解除する手法を適用できる。
【0037】
(d)前述の形態例では、操作対象機器3がパーソナルコンピュータの場合について説明した。
しかし、操作対象機器3は、パーソナルコンピュータ以外の機器にも適用できる。例えばレジスター、キャッシュディスペンサーその他の金融関連機器、金庫、書庫その他の保管庫、プリンタ、入出管理装置等にも適用できる。
【0038】
(e)前述した形態例では、監視機器5が撮像カメラの場合について説明した。
しかし、監視機器5は、撮像カメラ以外の機器にも適用できる。例えば、監視モニタや監視結果を記録又は出力する機器でも良い。
【0039】
(f)前述した形態例では、無線端末7がマイクロ波で通信する場合について説明した。
しかし、無線端末7で使用する通信方式(通信距離)は、その応用分野に応じて密着方式、近接方式、近傍方式、遠隔方式のいずれでも良い。
また、無線端末7に2種類以上の通信距離で通信できるアンテナを内蔵させても良い。例えば、操作対象機器3との無線通信は近接方式で実行し、監視機器5との無線通信は遠隔方式で実行する方式を採用しても良い。
【0040】
(g)操作対象機器3で実行される処理機能は、ハードウェアとしてではなく、ソフトウェアとしても実現することができる。対応するプログラムは、ネットワーク経由で配布しても良く、記憶媒体に格納して配布しても良い。配布用の記憶媒体は、磁気記憶媒体、光学式記憶媒体、半導体記憶媒体その他を含む。
(h)前述の形態例には、発明の趣旨の範囲内で様々な変形例が考えられる。また、本明細書の記載に基づいて創作される又は組み合わせられる各種の変形例及び応用例も考えられる。
【図面の簡単な説明】
【0041】
【図1】セキュリティシステムを構成する機器の内部構成例を示す図である。
【図2】セキュリティシステムのネットワーク構成例を示す図である。
【図3】利用制限が解除されるまでの通信手順例を示す図である。
【図4】セキュリティシステムの他のネットワーク構成例を示す図である。
【図5】利用制限が解除されるまでの他の通信手順例を示す図である。
【符号の説明】
【0042】
1 セキュリティシステム
3 操作対象機器
33 認証ユニット
331 UIM認証部
333 認証確認部
335 制限解除部
5 監視機器
53 認証ユニット
531 UIM認証部
533 確認応答部
【技術分野】
【0001】
この明細書で説明する発明は、操作対象機器の操作制限を解除する技術に関する。なお、発明は、同技術を採用するセキュリティシステム及び制限解除方法、操作対象機器及びコンピュータで実行されるプログラムとしての側面を有する。
【背景技術】
【0002】
昨今、個人情報その他の重要情報を扱うオフィスには、情報漏洩を防止する観点からセキュリティカメラ等の監視機器が設置されており、情報端末の利用状況を監視又は記録できるようになっている。
【特許文献1】特開2000−341731号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかし、監視機器と情報端末とは基本的に連係していない。このため、何らかの原因で監視機器による監視が停止した場合にも、支障なく情報端末にログインして操作することができる。従って、監視機器の停止中には、情報端末を不正に操作して重要情報を取り出せる可能性がある。
【課題を解決するための手段】
【0004】
そこで、発明者は、利用者が操作する第1の機器と、この第1の機器を監視する第2の機器とを有するセキュリティシステムにおける制限解除方法として、以下の処理を実行するものを提案する。
(a1)利用者が携帯する無線端末を、第1の機器と第2の機器がそれぞれ個別に認証する処理
(b1)無線端末を携帯する利用者による第1の機器の操作時、第1の機器と第2の機器の両方で無線端末の認証が完了しているか否か確認する処理
(c1)第1の機器と第2の機器の両方で無線端末の認証完了が確認された場合、第1の機器の利用制限を解除する処理
【0005】
また、発明者は、以下の処理を実行する制限解除方法を提案する。
(a2)無線端末を携帯する利用者による第1の機器の操作時、第1の機器が第2の機器との通信を試行する処理
(b2)第1の機器と第2の機器との通信が成立した場合、第1の機器の利用制限を解除する処理
【発明の効果】
【0006】
この発明を適用した場合、利用者が操作する第1の機器を監視する第2の機器でも、無線端末が認証されていることを条件として、操作対象機器の利用制限が解除される。なお、この認証を確認する過程では、第2の機器の稼働状態も同時に確認される。従って、第1の機器を操作する際の第2の機器の監視を保証できる。
また、この発明の場合には、第2の機器との通信が成立することを条件として、第1の機器の利用制限が解除される。この場合も、通信を試行する過程で、第2の機器の稼働状態が同時に確認される。従って、第1の機器を操作する際の第2の機器の監視を保証できる。
【発明を実施するための最良の形態】
【0007】
以下、発明に係る技術を適用した形態例を説明する。
なお、本明細書で特に図示又は記載されない部分には、当該技術分野の周知又は公知技術を適用する。
また以下に説明する形態例は、発明の一つの形態例であって、これらに限定されるものではない。
【0008】
(A)セキュリティシステム例
(A−1)構成例
図1に、セキュリティシステムの形態例を示す。このセキュリティシステム1は、操作対象機器3と監視機器5とで構成される。
この形態例の場合、操作対象機器3は、個人情報その他の重要な情報を扱うオフィス内のパーソナルコンピュータとする。
【0009】
操作対象機器3の主要なハードウェアは、汎用コンピュータと同じである。すなわち、操作対象機器3は、中央演算処理装置(CPU)、入出力装置、主記憶装置、副記憶装置で構成される。また、操作対象機器3には、利用者が携帯する無線端末7と通信する無線ユニットと無線端末7を認証する認証ユニットその他も搭載される。
図1は、これらのハードウェア部品で構成される操作対象機器3を機能的な観点で表している。
【0010】
機能面での操作対象機器3は、情報処理部31、認証ユニット33、無線ユニット35、操作入力部37で構成される。
このうち、情報処理部31は、操作内容に応じた処理機能を提供する信号処理部である。この例の場合、重要情報の入力、編集、削除、表示その他の処理機能を実行する。
認証ユニット33は、信号到達範囲内にある無線端末7を認証する機能を提供する信号処理部である。この例の場合、認証ユニット33は、UIM(User Identification
Module)認証部331、認証確認部333、制限解除部335で構成する。
【0011】
UIM認証部331は、信号到達範囲内にある無線端末7との認証処理を提供する信号処理部である。
認証確認部333は、自機に対する利用者の操作を監視する監視機器5が、現在認証した無線端末7を認証しているかを、無線端末7を経由した通信を通じて確認する信号処理部である。
【0012】
ここでの確認には、監視機器5の稼働状況を確認する意味もある。なお、認証確認部333には、監視機器5との通信に必要な監視機器5の公開鍵が格納されている。この例の場合、操作対象機器3と監視機器5は直接通信できない。このため、公開鍵は、事前に設定される。
【0013】
制限解除部335は、自機を監視する監視機器5側での無線端末7の認証が確認された場合(すなわち、監視機器5が稼働中の場合)に、自機の利用制限を解除する信号処理部である。
この例の場合、制限解除部335は、自機と監視機器5の両方による認証後にログインを許可する。
【0014】
無線ユニット35は、無線通信部(RF部)351とアンテナ353で構成される。このうち、無線通信部351は、無線端末7に対する書き込み機及び読み取り機として機能する。無線端末7との通信には、例えばマイクロ波を使用する。
操作入力部37は、操作対象機器3に対する利用者の操作を受け付ける入力デバイスである。例えば、ログイン操作の入力に使用される。
【0015】
一方、監視機器5の主要なハードウェアは、撮像カメラと同じである。この監視機器5は、無線端末7との認証機能を搭載する。
図1は、監視機器5を機能的な観点で表している。機能面での監視機器5は、撮像ユニット51、認証ユニット53、無線ユニット55で構成される。
撮像ユニット51は、操作対象機器3に対する利用者の操作を監視する撮像デバイスで構成される。この例では、撮像範囲内に操作対象機器3が1台しか存在しないが複数台でも構わない。
【0016】
認証ユニット53は、信号到達範囲内にある無線端末7を認証する機能を提供する信号処理部である。認証ユニット53は、UIM(User
Identification Module)認証部531と確認応答部533で構成する。
UIM認証部531は、信号到達範囲内にある無線端末7との認証処理を提供する信号処理部である。
【0017】
確認応答部533は、無線端末7が監視機器5において既に認証されているかの問いかけに応答する信号処理部である。なお、確認応答部533には、操作対象機器3との通信用に操作対象機器3の公開鍵が格納されている。この例の場合、操作対象機機3と監視機器5は直接通信できない。このため、公開鍵は、事前に設定される。
【0018】
無線ユニット55は、無線通信部(RF部)551とアンテナ553で構成される。このうち、無線通信部551は、無線端末7に対する書き込み機及び読み取り機として機能する。このように、無線端末7は、操作対象機器3と監視機器5の双方において別々に認証される。
【0019】
次に、無線端末7について説明する。この形態例における無線端末7は、電池を搭載しない受動型のデータキャリアとする。
無線端末7の主要なハードウェアは、コンピュータ(CPU、RAM、ROM、EEPROM等)、アンテナコイル、カード基材である。すなわち、無線端末7は、CPU搭載型のデータキャリアである。
図1は、これらのハードウェア部品で構成される無線端末7を機能的な観点で表している。
【0020】
機能面での無線端末7は、認証ユニット73、無線ユニット75で構成される。
認証ユニット73は、認証データ記憶部731で構成される。認証データ記憶部731には、利用者個人を証明する証明書、公開鍵暗号アルゴリズムに基づいた鍵情報その他の個人を特定する情報が格納される。
無線ユニット75は、無線通信部(RF部)751とアンテナ753で構成される。
【0021】
(A−2)利用制限の解除までの動作
続いて、操作対象機器3の利用制限が解除されるまでに実行される処理動作を説明する。
図2に、セキュリティシステムのネットワーク構成を示す。図2に示すように、操作対象機器3と監視機器5は、いずれも他方の信号到達範囲外であり、直接的には通信できない状態にある。図中、点線で囲んだ範囲は、操作対象機器3と監視機器5のそれぞれに対応する信号到達範囲である。
【0022】
操作対象機器3と監視機器5との間で通信が成立するのは、双方で認証された無線端末7が信号到達範囲の重複部分に存在する場合のみである。この場合、無線端末7が中継機として機能することで、操作対象機器3と監視機器5との通信が実現される。
図3に、利用制限が解除されるまでの通信手順を示す。
利用者が操作対象機器3の操作のために操作対象機器3側の信号到達範囲に入ると、操作対象機器3と無線端末7との間で認証処理が実行される。この認証処理は、既知のダイジェスト認証又はSSLクライアント認証を通じて実行される。
【0023】
この際、利用者は監視機器5側の信号到達範囲にも入る。この結果、監視機器5と無線端末7との間でも認証処理が実行される。この認証処理も、既知のダイジェスト認証又はSSLクライアント認証を通じて実行される。
この時点で、無線端末7は、操作対象機器3と監視機器5の双方と通信できる状態になる。ただし、操作対象機器3は、無線端末7が監視機器5に認証されていることを知ることはできない。同様に、監視機器5は、無線端末7が操作対象機器3に認証されていることを知ることはできない。
【0024】
次に、利用者が操作対象機器3に対してログイン操作を実行する。操作対象機器3にログインされると、重要情報に自由にアクセスできる。このため、このセキュリティシステムでは、監視機器5が操作対象機器3に対する利用者の操作を監視している。
しかし、何らかの原因で監視機器による監視が停止している可能性がある。そこで、ログイン操作を受け付ける前に、以下の処理が操作対象機器3内で実行される。
【0025】
まず、操作対象機器3内の認証確認部333が乱数R0を生成する。次に、認証確認部333は、監視機器5の公開鍵を用いて暗号化した乱数R0(暗号化済み乱数R0’)を監視機器5宛に送信する。
信号到達範囲内の無線端末7は、暗号文(暗号化済み乱数R0’)を受信すると、その宛先に従い監視機器5に転送する。無線端末7は、監視機器5の信号到達範囲内にあるため、暗号文は監視機器5に到達する。
【0026】
暗号文を受信した監視機器5の確認応答部533は、自機の秘密鍵を用いて暗号を解除し、暗号化前の乱数R0を復元する。この後、確認応答部533は、受信に対する応答として、復元した乱数R1を操作対象機器3の公開鍵を用いて暗号化する。この後、監視機器5は、暗号化済み乱数R1’を操作対象機器3宛に送信する。
【0027】
信号到達範囲内の無線端末7は、暗号文(暗号化済み乱数R1’)を受信すると、その宛先に従い操作対象機器3に転送する。無線端末7は、操作対象機器3の信号到達範囲内にあるため、暗号文は操作対象機器3に到達する。
暗号文を受信した操作対象機器3の認証確認部333は、自機の秘密鍵を用いて暗号を解除し、暗号化前の乱数R1を復元する。
【0028】
この後、制限解除部335は、この通信で自機が生成した乱数R0と受信した乱数R1とを比較し、両者が一致するとき(R0=R1のとき)、無線端末7経由で監視機器5との間で通信が成立したと判定する。
この通信の成立は、2つの意味がある。1つの意味は、無線端末7が監視機器5に認証されていることである。他の1つの意味は、監視機器5が現在稼働していることである。すなわち、操作対象機器3に対する利用者の操作を監視可能な状態にあることを意味する。
【0029】
この通信の成立を確認すると、制限解除部335が自機に対する利用制限を解除する。
この結果、利用者は操作対象機器3にログインすることが許され、必要な作業を実行することが可能になる。
一方、通信の成立を確認できなかった場合、制限解除部335は、ログインエラーとして利用制限を維持する。この場合、制限解除部335は、不正の可能性がある操作の発生をシステム管理者に通知する。
【0030】
なお、この利用制限の解除は、利用者の使用中も適宜又は定期的に実行することが望ましい。
そして、監視機器5による監視が保証できなくなった場合には、操作対象機器3に対する操作を受け付けない状態に制御することができれば、重要情報の持ち出し、改変等を効果的に防止することができる。
【0031】
(A−3)セキュリティシステム例における効果
このシステム例の場合、認証する無線端末7経由による通信によって、監視機器5による無線端末7の認証と監視機器5の稼働状態を確認できる。
操作対象機器3の操作を監視機器5の監視下でのみ許可することが可能になる。これにより、システムの安全性を一段と高めることができる。
【0032】
(B)他の形態例
(a)前述の形態例では、操作対象機器3と監視機器5が直接通信できない場合について説明した。
しかし、操作対象機器3と監視機器5が直接通信可能な場合には、以下の通信手順を通じて利用制限を解除することもできる。
【0033】
図4に、操作対象機器3と監視機器5が直接通信可能なセキュリティシステムのネットワーク構成例を示す。図4は、操作対象機器3と監視機器5が有線路で接続されているものとして表している。
この場合、図5に示すように、ログイン操作を受け付けた操作対象機器3が利用者の携帯する無線端末7の識別コードを監視機器5に直接送信し、認証の有無を問い合わせる。
監視機器5は、この問い合わせに応じて認証の有無を確認し、その確認結果を操作対象機器3に送信する。
【0034】
一方、操作対象機器3では、この確認結果の通知により、利用者の携帯する無線端末7が監視機器5側で認証されていること、及び監視機器5が稼働していることを確認すると、自機の利用制限を解除する。
なお、通信が成立しない場合には、何らかの異常のために監視機器5が正しく動作していない可能性が認められる。そこで、この場合には、利用制限を維持した状態のまま、異常の発生をシステム管理者に通知することが望ましい。
【0035】
(b)前述の形態例では、無線端末7が電力を外部から給電される受動型のデータキャリアの場合について説明した。
しかし、無線端末7は、電池を搭載する能動型のデータキャリアでも良い。
【0036】
(c)前述の形態例では、利用制限の解除対象とする操作がログイン操作である場合について説明した。
しかし、ログイン以外の特定の操作(例えば、外部記録媒体へのデータ保存、外部記録媒体からのデータ入力、ネットワークへのアクセス制御等)や特定の情報(ディレクトリ、ファイル等)へのアクセスを利用制限の解除対象としても良い。これらの場合も、前述した監視機器5の監視を条件に制限を解除する手法を適用できる。
【0037】
(d)前述の形態例では、操作対象機器3がパーソナルコンピュータの場合について説明した。
しかし、操作対象機器3は、パーソナルコンピュータ以外の機器にも適用できる。例えばレジスター、キャッシュディスペンサーその他の金融関連機器、金庫、書庫その他の保管庫、プリンタ、入出管理装置等にも適用できる。
【0038】
(e)前述した形態例では、監視機器5が撮像カメラの場合について説明した。
しかし、監視機器5は、撮像カメラ以外の機器にも適用できる。例えば、監視モニタや監視結果を記録又は出力する機器でも良い。
【0039】
(f)前述した形態例では、無線端末7がマイクロ波で通信する場合について説明した。
しかし、無線端末7で使用する通信方式(通信距離)は、その応用分野に応じて密着方式、近接方式、近傍方式、遠隔方式のいずれでも良い。
また、無線端末7に2種類以上の通信距離で通信できるアンテナを内蔵させても良い。例えば、操作対象機器3との無線通信は近接方式で実行し、監視機器5との無線通信は遠隔方式で実行する方式を採用しても良い。
【0040】
(g)操作対象機器3で実行される処理機能は、ハードウェアとしてではなく、ソフトウェアとしても実現することができる。対応するプログラムは、ネットワーク経由で配布しても良く、記憶媒体に格納して配布しても良い。配布用の記憶媒体は、磁気記憶媒体、光学式記憶媒体、半導体記憶媒体その他を含む。
(h)前述の形態例には、発明の趣旨の範囲内で様々な変形例が考えられる。また、本明細書の記載に基づいて創作される又は組み合わせられる各種の変形例及び応用例も考えられる。
【図面の簡単な説明】
【0041】
【図1】セキュリティシステムを構成する機器の内部構成例を示す図である。
【図2】セキュリティシステムのネットワーク構成例を示す図である。
【図3】利用制限が解除されるまでの通信手順例を示す図である。
【図4】セキュリティシステムの他のネットワーク構成例を示す図である。
【図5】利用制限が解除されるまでの他の通信手順例を示す図である。
【符号の説明】
【0042】
1 セキュリティシステム
3 操作対象機器
33 認証ユニット
331 UIM認証部
333 認証確認部
335 制限解除部
5 監視機器
53 認証ユニット
531 UIM認証部
533 確認応答部
【特許請求の範囲】
【請求項1】
利用者が操作する第1の機器と、前記第1の機器を監視する第2の機器とを有するセキュリティシステムにおける制限解除方法であって、
利用者が携帯する無線端末を、前記第1の機器と前記第2の機器がそれぞれ個別に認証する処理と、
前記無線端末を携帯する利用者による前記第1の機器の操作時、前記第1の機器と前記第2の機器の両方で前記無線端末の認証が完了しているか否か確認する処理と、
前記第1の機器と前記第2の機器の両方で前記無線端末の認証完了が確認された場合、前記第1の機器の利用制限を解除する処理と
を有することを特徴とする制限解除方法。
【請求項2】
利用者が操作する第1の機器と、前記第1の機器を監視する第2の機器とを有するセキュリティシステムにおける制限解除方法であって、
前記無線端末を携帯する利用者による前記第1の機器の操作時、前記第1の機器が前記第2の機器との通信を試行する処理と、
前記第1の機器と前記第2の機器との通信が成立した場合、前記第1の機器の利用制限を解除する処理と
を有することを特徴とする制限解除方法。
【請求項3】
利用者が操作する第1の機器と、前記第1の機器を監視する第2の機器とを有するセキュリティシステムであって、
前記第1の機器に、
利用者が携帯する無線端末を認証する認証部と、
前記第2の機器において、前記無線端末の認証が完了しているかを確認する認証確認部と、
自機と前記第2の機器との両方で前記無線端末の認証完了が確認された場合、自機の利用制限を解除する制限解除部と
を搭載することを特徴とするセキュリティシステム。
【請求項4】
請求項3に記載のセキュリティシステムにおいて、
前記認証確認部は、
認証した無線端末経由で当該無線端末を認証した第2の機器との通信を試行し、応答を確認できた場合に前記第2の機器による前記無線端末の認証完了を確認する
ことを特徴とするセキュリティシステム。
【請求項5】
請求項3に記載のセキュリティシステムにおいて、
前記認証確認部は、
ネットワーク経由で接続された第2の機器との直接通信により、第2の機器による無線端末の認証完了を確認する
ことを特徴とするセキュリティシステム。
【請求項6】
請求項3に記載のセキュリティシステムにおいて、
前記第2の機器は撮像装置である
ことを特徴とするセキュリティシステム。
【請求項7】
請求項3に記載のセキュリティシステムにおいて、
前記無線端末は、非接触型のデータキャリアである
ことを特徴とするセキュリティシステム。
【請求項8】
利用者が操作する第1の機器と、前記第1の機器を監視する第2の機器とを有するセキュリティシステムであって、
前記第1の機器に、
利用者が携帯する無線端末を認証する認証部と、
前記第2の機器との通信を試行する認証確認部と、
前記第2の機器との通信が確認された場合、自機の利用制限を解除する制限解除部と
を搭載することを特徴とするセキュリティシステム。
【請求項9】
利用者の操作対象機器であって、
利用者が携帯する無線端末を認証する認証部と、
自機を監視する監視機器において、前記無線端末の認証が完了しているかを確認する認証確認部と、
自機と前記監視機器との両方で前記無線端末の認証完了が確認された場合、自機の利用制限を解除する制限解除部と
を有することを特徴とする利用者の操作対象機器。
【請求項10】
利用者の操作対象機器であって、
利用者が携帯する無線端末を認証する認証部と、
自機を監視する監視機器との通信を試行する認証確認部と、
前記第2の機器との通信が確認された場合、自機の利用制限を解除する制限解除部と
を有することを特徴とする利用者の操作対象機器。
【請求項11】
利用者の操作対象機器に搭載されるコンピュータに、
利用者が携帯する無線端末を認証する処理と、
自機を監視する監視機器において、前記無線端末の認証が完了しているかを確認する処理と、
自機と前記監視機器との両方で前記無線端末の認証完了が確認された場合、自機の利用制限を解除する処理と
を実行させることを特徴とするプログラム。
【請求項12】
利用者の操作対象機器に搭載されるコンピュータに、
利用者が携帯する無線端末を認証する処理と、
自機を監視する監視機器との通信を試行する処理と、
前記監視機器との通信が確認された場合、自機の利用制限を解除する処理と
を実行させることを特徴とするプログラム。
【請求項1】
利用者が操作する第1の機器と、前記第1の機器を監視する第2の機器とを有するセキュリティシステムにおける制限解除方法であって、
利用者が携帯する無線端末を、前記第1の機器と前記第2の機器がそれぞれ個別に認証する処理と、
前記無線端末を携帯する利用者による前記第1の機器の操作時、前記第1の機器と前記第2の機器の両方で前記無線端末の認証が完了しているか否か確認する処理と、
前記第1の機器と前記第2の機器の両方で前記無線端末の認証完了が確認された場合、前記第1の機器の利用制限を解除する処理と
を有することを特徴とする制限解除方法。
【請求項2】
利用者が操作する第1の機器と、前記第1の機器を監視する第2の機器とを有するセキュリティシステムにおける制限解除方法であって、
前記無線端末を携帯する利用者による前記第1の機器の操作時、前記第1の機器が前記第2の機器との通信を試行する処理と、
前記第1の機器と前記第2の機器との通信が成立した場合、前記第1の機器の利用制限を解除する処理と
を有することを特徴とする制限解除方法。
【請求項3】
利用者が操作する第1の機器と、前記第1の機器を監視する第2の機器とを有するセキュリティシステムであって、
前記第1の機器に、
利用者が携帯する無線端末を認証する認証部と、
前記第2の機器において、前記無線端末の認証が完了しているかを確認する認証確認部と、
自機と前記第2の機器との両方で前記無線端末の認証完了が確認された場合、自機の利用制限を解除する制限解除部と
を搭載することを特徴とするセキュリティシステム。
【請求項4】
請求項3に記載のセキュリティシステムにおいて、
前記認証確認部は、
認証した無線端末経由で当該無線端末を認証した第2の機器との通信を試行し、応答を確認できた場合に前記第2の機器による前記無線端末の認証完了を確認する
ことを特徴とするセキュリティシステム。
【請求項5】
請求項3に記載のセキュリティシステムにおいて、
前記認証確認部は、
ネットワーク経由で接続された第2の機器との直接通信により、第2の機器による無線端末の認証完了を確認する
ことを特徴とするセキュリティシステム。
【請求項6】
請求項3に記載のセキュリティシステムにおいて、
前記第2の機器は撮像装置である
ことを特徴とするセキュリティシステム。
【請求項7】
請求項3に記載のセキュリティシステムにおいて、
前記無線端末は、非接触型のデータキャリアである
ことを特徴とするセキュリティシステム。
【請求項8】
利用者が操作する第1の機器と、前記第1の機器を監視する第2の機器とを有するセキュリティシステムであって、
前記第1の機器に、
利用者が携帯する無線端末を認証する認証部と、
前記第2の機器との通信を試行する認証確認部と、
前記第2の機器との通信が確認された場合、自機の利用制限を解除する制限解除部と
を搭載することを特徴とするセキュリティシステム。
【請求項9】
利用者の操作対象機器であって、
利用者が携帯する無線端末を認証する認証部と、
自機を監視する監視機器において、前記無線端末の認証が完了しているかを確認する認証確認部と、
自機と前記監視機器との両方で前記無線端末の認証完了が確認された場合、自機の利用制限を解除する制限解除部と
を有することを特徴とする利用者の操作対象機器。
【請求項10】
利用者の操作対象機器であって、
利用者が携帯する無線端末を認証する認証部と、
自機を監視する監視機器との通信を試行する認証確認部と、
前記第2の機器との通信が確認された場合、自機の利用制限を解除する制限解除部と
を有することを特徴とする利用者の操作対象機器。
【請求項11】
利用者の操作対象機器に搭載されるコンピュータに、
利用者が携帯する無線端末を認証する処理と、
自機を監視する監視機器において、前記無線端末の認証が完了しているかを確認する処理と、
自機と前記監視機器との両方で前記無線端末の認証完了が確認された場合、自機の利用制限を解除する処理と
を実行させることを特徴とするプログラム。
【請求項12】
利用者の操作対象機器に搭載されるコンピュータに、
利用者が携帯する無線端末を認証する処理と、
自機を監視する監視機器との通信を試行する処理と、
前記監視機器との通信が確認された場合、自機の利用制限を解除する処理と
を実行させることを特徴とするプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2007−48120(P2007−48120A)
【公開日】平成19年2月22日(2007.2.22)
【国際特許分類】
【出願番号】特願2005−233074(P2005−233074)
【出願日】平成17年8月11日(2005.8.11)
【出願人】(000002185)ソニー株式会社 (34,172)
【Fターム(参考)】
【公開日】平成19年2月22日(2007.2.22)
【国際特許分類】
【出願日】平成17年8月11日(2005.8.11)
【出願人】(000002185)ソニー株式会社 (34,172)
【Fターム(参考)】
[ Back to top ]