携帯電話型暗号認証デバイスシステムおよびその方法
【課題】PC端末と無線接続された携帯端末をPC端末の認証デバイスとして用いる場合に,使い勝手向上のためには,処理時間の短縮が望まれる。
【解決手段】PC端末と無線接続された携帯端末をPC端末の認証用デバイスとして使用する無線通信システムにおいて,動作環境(PC端末装置の処理性能,携帯電話端末装置の処理性能,PC端末装置と携帯電話端末装置間の通信速度)によって,コマンドの転送の方式を切り替え,処理速度を速くする。
【解決手段】PC端末と無線接続された携帯端末をPC端末の認証用デバイスとして使用する無線通信システムにおいて,動作環境(PC端末装置の処理性能,携帯電話端末装置の処理性能,PC端末装置と携帯電話端末装置間の通信速度)によって,コマンドの転送の方式を切り替え,処理速度を速くする。
【発明の詳細な説明】
【技術分野】
【0001】
本明細書で開示される主題は,携帯電話型暗号認証デバイスシステムに関する。
【背景技術】
【0002】
近年,企業における情報漏洩事故が多発しており,情報管理の徹底が求められている。情報漏洩事故の事例としては,自宅に空き巣が入り,個人情報が保存された個人所有のPC端末装置が盗難されたり,ノートPCやUSBメモリの入った鞄を帰宅中の電車内で盗難されたりする事故が報告されている。これらに共通していることは,情報を社外へ持ち出しているということである。このような情報漏洩対策として,企業においてはシンクライアントソリューションのニーズが高まっている。記憶領域を持たないPC端末装置を用いて,社内システムに接続し,情報そのものは社外に出さないという運用方法である。このようなシンクライアントシステムにおいては,社外から社内に接続する際の認証機能が重要となる。
【0003】
PC端末装置などにICカードリーダをつなぎ,個人用のICカード(社員証等)やフラッシュメモリ型の認証デバイスを用いて個人認証を行い社内へのリモート接続を許可することが行われている。このようなリモート接続を行う場合,認証デバイスやそのリーダを鞄の中から探し出し,PC端末装置に接続し準備をするのに手間がかかっていた。その手間を省くために,認証デバイスをPC端末装置のスロットに常時接続しておくことも考えられるが,上述のように,盗難や紛失の際にPC端末装置とともに認証デバイスも同時に無くなることになり,安全性の観点で推奨されない。
【0004】
一方,携帯端末を暗号化のためのデバイスとして用いるシステムが提案されている(例えば特許文献1請求項1)。また,携帯端末を電子署名のためのデバイスとして用いるシステムが提案されている(例えば特許文献2請求項1と2)。
【0005】
また,認証時の使い勝手を改善するため,スマートフォンと呼ばれる携帯端末を上記認証デバイスとして用い,PC端末装置間で近距離無線通信によるコマンド送受信を行い,サービスを受けるシステムが提案されている(例えば非特許文献1の3.1節および3.2節)。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2003-309553号公報(請求項1)
【特許文献2】特開2003-244129号公報(請求項1,請求項2)
【非特許文献】
【0007】
【非特許文献1】梅澤ら, “スマートフォンを用いたリモート接続システムの開発と評価,”第8回情報科学技術フォーラム(FIT2009)予稿集, 第4分冊, pp.67-73, Sep. 2009(3.1章,3.2章,5章)
【発明の概要】
【発明が解決しようとする課題】
【0008】
特許文献1および特許文献2では,携帯端末を認証デバイス,あるいは暗号デバイスとして用いることによってユーザの利便性を向上させようとしているが,具体的にどのようなコマンドを送受信して暗号および認証を実現しているのかが記述されていない。
【0009】
また,非特許文献1では,どんなコマンドをPC端末装置からスマートフォンに転送するかという方式の違いによって,暗号処理や認証処理時間が変わってくることが示されている。それらは,PC端末装置や,スマートフォンの処理性能,PC端末装置とスマートフォンの間の通信速度等の,システムを取り巻く環境に依存することが示されている。
【0010】
認証時の使い勝手向上のためには,処理時間の短縮が望まれるが,非特許文献1には,実際の運用時に具体的にどの方式を選択すべきなのかということは示されていない。
【課題を解決するための手段】
【0011】
本明細書で開示されるのは,携帯端末やスマートフォン(以下,携帯端末という)を,PC端末装置の認証用デバイスとして使用するシステムにおいて,システムを稼働させる環境(PC端末装置の処理性能,携帯端末の処理性能,PC端末装置と携帯端末間の通信速度)によって,コマンドの転送の方式を切り替えることで,処理速度を速くする携帯端末型暗号認証デバイスシステムおよびその方法である。
【0012】
具体的には,携帯端末を認証および暗号デバイスとして用いる際に,動作環境によって異なる実行速度をも考慮して,適切なコマンド転送の方式を選択する。
【0013】
上記態様によれば,PC端末装置で暗号処理あるいは認証処理を行う際に,携帯端末を認証デバイスとして用いる際に,より早い処理速度で,暗号処理あるいは認証処理を行うことが可能になる。
【発明の効果】
【0014】
開示によれば,認証デバイスより早い処理速度で,暗号処理あるいは認証処理を行うことが可能になる。
【図面の簡単な説明】
【0015】
【図1】実施例1の携帯端末型暗号認証デバイスシステムの構成を例示する図である。
【図2】端末装置,携帯端末のハードウェア構成を例示する図である。
【図3】ICカードのハードウェア構成を例示する図である。
【図4】実施例1の端末装置内のアプリケーションが,暗号処理を行い際の処理フローを例示する図である。
【図5】実施例1の端末装置内の選択ルールを新規設定,あるいは更新する際の処理フローを例示する図である。
【図6】端末装置と携帯端末の組合せにおける各暗号処理関数の処理時間を例示する図である。
【発明を実施するための形態】
【0016】
本発明の実施形態について説明する。なお,これにより本発明が限定されるものではない。
【実施例1】
【0017】
図1は,本実施例の携帯端末型暗号認証デバイスシステムの構成図である。本実施例の携帯端末型暗号認証デバイスシステムは,図1に示すように,1つまたは複数の端末装置10nと認証用デバイスとして用いる携帯端末20とが近距離無線通信を介して接続される。また,前記携帯端末20には,ICカード30が接続されている。
【0018】
端末装置10は,暗号処理や認証処理を要求するアプリケーション109と,該アプリケーション109から呼び出されるための暗号用のインタフェースを提供し,アプリケーション109が発行する暗号処理要求を暗号処理関数に変換する暗号処理インタフェース108と,暗号処理関数を自分自身で処理するための暗号処理部104と,暗号処理関数の処理を前記携帯端末20へ要求する暗号処理通信部102と,1つの暗号処理関数を複数のICカードコマンドに分解して,それぞれのICカードコマンドについて,該コマンドの実行を前記携帯端末20へ要求するICカード通信部103と,前記暗号処理通信部102と,ICカード通信部103とからの要求に応じて,前記携帯端末20と,近距離無線通信を行う近距離通信部101と,個々の暗号処理関数に関して,暗号処理関数の単位で前記携帯端末20に処理を要求した方が早いのか,あるいは,個々の暗号処理関数を複数のICカードコマンドに分割して前記携帯端末20に処理を要求した方が早いのか,を判定し,処理方式の選択を行う選択部105と,過去の実績値やカタログ仕様上の公表値などの環境情報を基にした,端末装置10と携帯端末20の組合せ毎に個々の暗号処理関数の実行時間情報を保管する実行時間情報保管部106と,を含む。
【0019】
携帯端末20は,前記端末装置10の近距離通信部101とデータの送受信を行う近距離通信部201と,端末装置10の暗号処理通信部102から送信された暗号処理関数の処理要求を受信し,処理結果を前記近距離通信部201を介して端末装置10に返信する暗号処理通信部202と,前記端末装置10のICカード通信部103から送信されたICカードコマンド実行要求を受信し,受信したコマンドをICカードへ転送するようICカードアクセス部に要求し,転送されたICカードコマンド実行結果をICカードアクセス部から受信し,前記近距離通信部201を介して端末装置10に返信するICカード通信部203と,暗号関連処理のうちでICカードを使わない処理を実行し,ICカードを使う処理をICカードアクセス部に要求し,処理結果を受信する暗号処理部204と,前記ICカード通信部203または前記暗号処理部204からの要求に基づいてICカードコマンドをICカード30に転送し,前記ICカード30からレスポンスを受信して,要求元に送信するICカードアクセス部205と,過去の実績値やカタログ仕様上の公表値などの環境情報を基にした,端末装置10と携帯端末20の組合せ毎に個々の暗号処理関数の実行時間情報を保管する実行時間情報保管部206と,を含む。
【0020】
ICカード30は,前記携帯端末20と,データを送受信するデータ送受信部301と,前記データ送受信部301を介して受信したICカードコマンドを解釈して処理を実行するコマンド実行部302と,鍵などの暗号処理を行うために使う情報を保管する暗号情報保管部303と,を含む。
【0021】
図2は,端末装置10と携帯端末20のハードウェア構成図である。端末装置10と携帯端末20とでは,規模や性能の違いは有るが,ハードウェア構成は同様であり,CPU11,主記憶装置12,補助記憶装置14,通信装置15,入出力装置16,記憶媒体18の読取装置17などがバスなどの内部通信線19で接続された構成である。
【0022】
本実施例の認証処理について説明する。各装置の補助記憶装置14に格納された処理プログラムが主記憶装置12にロードされ,CPUにより実行されることにより,各処理部の処理が実行される。また,各プログラムは予め補助記憶装置14に格納されても良いし,他の記憶媒体または通信媒体(ネットワーク,またはネットワークを伝搬する搬送波またはディジタル信号)を介して,必要なときにロードされても良い。
【0023】
図3はICカード30のハードウェア構成図である。ICカード30は,入出力部31と,CPU32と,耐タンパ記憶装置33と,耐タンパメモリ34と,がバスなどの内部通信線35で接続されて構成されている。
【0024】
図4は,端末装置10のアプリケーション109が,暗号処置を要求してから,暗号処理結果が返信されるまでの処理フローを示す図である。
【0025】
まず,端末装置10のアプリケーション109は,暗号処理を要求するために暗号処理要求A101を発行する。暗号処理インタフェース108は,暗号処理要求A101を暗号処理関数に変換して選択部105に送信する(S101)。端末装置10の選択部105は,実行時間情報保管部106に保管されている過去の実績値やカタログ仕様上の公表値などの環境情報を基にした,端末装置10と携帯端末20の組合せによって異なる個々の暗号処理関数の種類と実行時間を基に,要求された暗号処理要求A101は,そのまま携帯端末20に転送した方が早い処理なのか,あるいは,要求された暗号処理要求A101は複数のICカードコマンドに分解し個別に転送した方が早い処理なのか,あるいは,機密性が要求されない処理のために,端末装置10の暗号処理部104で実行できる処理なのか,を判定する(S102)。
【0026】
この判定(S102)の結果,機密性が要求されない処理であるならば(S103でNO),端末装置10内の暗号処理部104で暗号処理を実施し,暗号処理結果をアプリケーション109に返信して処理を終える。
【0027】
前記判定(S102)の結果,機密性が要求される処理であり(S103でYES),暗号処理要求をそのまま転送した方が早い処理の場合(S105でYES),暗号処理通信部102を経由して,暗号処理要求A102を,携帯端末20に送信する。
【0028】
携帯端末20の暗号処理通信部202は,端末装置10から送信された暗号処理要求A102を解析し,暗号処理部204の暗号処理機能を実行する(S201)。このときICカードで実行する必要のある処理に関しては,ICカードに処理を要求する必要があるため,ICカードコマンドA201としてICカード30に転送する(S202)。
【0029】
ICカード30のコマンド実行部302は,転送されたICカードコマンドA201を解釈し,該ICカードコマンドを実行し(S301),レスポンスA301を携帯端末20に返送する。1つの暗号処理が複数のICカードコマンドの実行で実現される場合は,ICカードコマンド転送処理(S202)における,ICカードコマンドA201の送信とレスポンスA301の受信は,必要回数だけ繰り返される。
【0030】
ICカードコマンドが必要回数実行された後で,携帯端末20の暗号処理部204は,暗号処理結果A203を,暗号処理通信部202を介して,端末装置10に返信する。端末装置10の暗号処理通信部102は,暗号処理結果A104をアプリケーション109に返信して処理を終える。
【0031】
前記判定(S102)の結果,機密性が要求される処理であり(S103でYES),暗号処理機能を複数のICカードコマンドに分割して転送した方が早い処理の場合(S105でNO),ICカード通信部103を経由して,ICカードコマンド転送要求A103を,携帯端末20に送信する。
【0032】
携帯端末20のICカード通信部203は,端末装置10から送信されたICカードコマンド転送要求A103を解析し,ICカードアクセス部205を経由して,ICカードコマンドA201をICカードに転送する(S203)。ICカード30のコマンド実行部302は,転送されたICカードコマンドA201を解釈し,該ICカードコマンドを実行し(S301),レスポンスA301を携帯端末20に返送する。
【0033】
携帯端末20のICカード通信部203は,前記レスポンスA301を,近距離通信部201を経由して,端末装置10に返信する。1つの暗号処理が複数のICカードコマンドの実行で実現される場合は,ICカードコマンド転送処理(S108)における,ICカードコマンド転送要求A103の送信とICカードコマンド転送結果A202の受信は,必要回数だけ繰り返される。ICカードコマンドが必要回数実行された後で,端末装置10のICカード通信部103は,暗号処理結果A104をアプリケーション109に返信して処理を終える。
【0034】
図5は,図4に示す処理の前に行われる処理,すなわち,実行時間情報を生成する処理フローを示す図である。
【0035】
まず,端末装置10の近距離通信部101と,携帯端末20の近距離通信部201は,ペアリング情報A001を送受信しあい端末同士の組み合わせを決定する。その後,携帯端末20の近距離通信部201は,実行時間情報保管部206に保管されている携帯端末20の実行速度などの性能情報A251を,端末装置10に送信する。端末装置10の近距離通信部101は,該性能情報A251を受信したときの通信処理時間を計測する(S151)。端末装置10の選択部105は,前記携帯端末20から受信した携帯端末20の性能情報A251と,自身の実行時間情報保管部106に保管している自身の性能情報と,前記ステップS151で計測した,端末装置10と携帯端末20との間の通信時間と,から実行時間情報を生成し保管する(S152)。その後,図4に示す暗号処理を実行する(S153)。ステップS151,S152の処理は,事前の準備段階に行っても良いし,実行時の直前に行っても良い。
【0036】
なお,図5の処理において,携帯端末20と端末装置10とが,一度以上,組み合わせを確定した実績がある場合には,選択部105は端末装置10の実行時間情報保管部106に,その時の端末装置10と携帯端末20の組合せにおける実行時間情報を保管し,2度目以降のペアリングの後では,携帯端末20の近距離通信部201は,当該携帯端末を識別できる情報を送っても良い。
【0037】
さらに,携帯端末20を,一つ以上の端末装置10を関連づけて利用する場合には,近距離通信部201は,携帯端末20の実行時間情報保管部206に,その時の端末装置10と携帯端末20の組合せの場合における実行時間情報を保管し,ペアリングの際に,実行時間情報保管部206に保管されている実行時間情報を,端末装置10に送っても良い。
【0038】
図6は,端末装置10と携帯端末20の組合せにおける各暗号処理関数の処理時間の一例を表している。端末装置10−1と携帯端末20−1の組合せの場合には,#11の暗号処理関数をそのまま転送し,それ以外の関数に関してはICカードコマンドを個別に転送する方が良いことを示している。それに対して,端末装置10−2と携帯端末20−2の組合せの場合には,#1と#2と#5と#10〜#13の暗号処理関数はそのまま転送し,それ以外の関数に関してはICカードコマンドを個別に転送する方が良いことを示している。
【0039】
本実施例では,ICカードコマンドと,複数のICカードコマンドで実現される暗号処理関数,という2種類の包含関係のある処理を,端末装置10と携帯端末20の間で相互に送受信しあう場合について示した。しかし,端末装置10内のアプリケーションが要求する目的が達成出来さえすれば,それを実現する個別の処理の間に包含関係がなくても良い。また,2種類である必要もなく,複数種類の処理の中から最速の処理を選択しても良い。
【0040】
また,本実施例では,暗号処理関数とICカードコマンドを送受信する方法を選択する例を示したが,暗号処理に限らなくても良い。例えば生体認証デバイスを用いるような場合に,生体認証デバイスへの命令をまとめて送受信するか,あるいは個別に送受信するかという方法を選択する場合にも適用できる。そのほか,端末装置10と携帯端末装置20で処理を分担して行うような任意の処理に適用できる。
【0041】
また,本実施例では,端末装置10と携帯端末20の間のデータの送受信に近距離通信を用いたが,近距離無線通信を用いても良い。また,非接触IC通信を用いても良い。さらに,非接触IC通信と近距離無線通信を組み合わせて使っても良い。さらに有線でつないでも良い。
【0042】
また,本実施例では,図5のシーケンスに置いて,速度を実測することとしているが,カタログ仕様の性能値を使っても良い。また,過去の履歴情報を保管し,実行時には,性能を測らず,過去の実績値を用いても良い。
【0043】
なお,本発明は,上記の本実施形態に限定されるものではなく,その要旨の範囲内で様々な変形が可能である。
【符号の説明】
【0044】
10:端末装置,11:CPU,12:主記憶装置,14:補助記憶装置,15:通信装置,16:入出力装置,17:読取装置,18:記憶媒体,19:内部信号線,30:ICカード,31:入出力装置,32:CPU,33:耐タンパ記憶装置,34:耐タンパメモリ,35:内部信号線,101:近距離通信部,102:暗号処理通信部,103:ICカード通信部,104:暗号処理部,105:選択部,106:実行時間情報保管部,108:暗号処理インタフェース,109:アプリケーション,201:近距離通信部,202:暗号処理通信部,203:ICカード通信部,204:暗号処理部,205:ICカードアクセス部,206:実行時間情報保管部,301:データ送受信部,302コマンド実行部,303:暗号情報保管部,A101:暗号処理要求,A102:暗号処理要求,A103:ICカードコマンド転送要求,A104:暗号処理結果,A201:ICカードコマンド,A202:ICカードコマンド転送結果,A203:暗号処理結果,A301:レスポンス,A001:ペアリング情報,A251:性能情報
【技術分野】
【0001】
本明細書で開示される主題は,携帯電話型暗号認証デバイスシステムに関する。
【背景技術】
【0002】
近年,企業における情報漏洩事故が多発しており,情報管理の徹底が求められている。情報漏洩事故の事例としては,自宅に空き巣が入り,個人情報が保存された個人所有のPC端末装置が盗難されたり,ノートPCやUSBメモリの入った鞄を帰宅中の電車内で盗難されたりする事故が報告されている。これらに共通していることは,情報を社外へ持ち出しているということである。このような情報漏洩対策として,企業においてはシンクライアントソリューションのニーズが高まっている。記憶領域を持たないPC端末装置を用いて,社内システムに接続し,情報そのものは社外に出さないという運用方法である。このようなシンクライアントシステムにおいては,社外から社内に接続する際の認証機能が重要となる。
【0003】
PC端末装置などにICカードリーダをつなぎ,個人用のICカード(社員証等)やフラッシュメモリ型の認証デバイスを用いて個人認証を行い社内へのリモート接続を許可することが行われている。このようなリモート接続を行う場合,認証デバイスやそのリーダを鞄の中から探し出し,PC端末装置に接続し準備をするのに手間がかかっていた。その手間を省くために,認証デバイスをPC端末装置のスロットに常時接続しておくことも考えられるが,上述のように,盗難や紛失の際にPC端末装置とともに認証デバイスも同時に無くなることになり,安全性の観点で推奨されない。
【0004】
一方,携帯端末を暗号化のためのデバイスとして用いるシステムが提案されている(例えば特許文献1請求項1)。また,携帯端末を電子署名のためのデバイスとして用いるシステムが提案されている(例えば特許文献2請求項1と2)。
【0005】
また,認証時の使い勝手を改善するため,スマートフォンと呼ばれる携帯端末を上記認証デバイスとして用い,PC端末装置間で近距離無線通信によるコマンド送受信を行い,サービスを受けるシステムが提案されている(例えば非特許文献1の3.1節および3.2節)。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2003-309553号公報(請求項1)
【特許文献2】特開2003-244129号公報(請求項1,請求項2)
【非特許文献】
【0007】
【非特許文献1】梅澤ら, “スマートフォンを用いたリモート接続システムの開発と評価,”第8回情報科学技術フォーラム(FIT2009)予稿集, 第4分冊, pp.67-73, Sep. 2009(3.1章,3.2章,5章)
【発明の概要】
【発明が解決しようとする課題】
【0008】
特許文献1および特許文献2では,携帯端末を認証デバイス,あるいは暗号デバイスとして用いることによってユーザの利便性を向上させようとしているが,具体的にどのようなコマンドを送受信して暗号および認証を実現しているのかが記述されていない。
【0009】
また,非特許文献1では,どんなコマンドをPC端末装置からスマートフォンに転送するかという方式の違いによって,暗号処理や認証処理時間が変わってくることが示されている。それらは,PC端末装置や,スマートフォンの処理性能,PC端末装置とスマートフォンの間の通信速度等の,システムを取り巻く環境に依存することが示されている。
【0010】
認証時の使い勝手向上のためには,処理時間の短縮が望まれるが,非特許文献1には,実際の運用時に具体的にどの方式を選択すべきなのかということは示されていない。
【課題を解決するための手段】
【0011】
本明細書で開示されるのは,携帯端末やスマートフォン(以下,携帯端末という)を,PC端末装置の認証用デバイスとして使用するシステムにおいて,システムを稼働させる環境(PC端末装置の処理性能,携帯端末の処理性能,PC端末装置と携帯端末間の通信速度)によって,コマンドの転送の方式を切り替えることで,処理速度を速くする携帯端末型暗号認証デバイスシステムおよびその方法である。
【0012】
具体的には,携帯端末を認証および暗号デバイスとして用いる際に,動作環境によって異なる実行速度をも考慮して,適切なコマンド転送の方式を選択する。
【0013】
上記態様によれば,PC端末装置で暗号処理あるいは認証処理を行う際に,携帯端末を認証デバイスとして用いる際に,より早い処理速度で,暗号処理あるいは認証処理を行うことが可能になる。
【発明の効果】
【0014】
開示によれば,認証デバイスより早い処理速度で,暗号処理あるいは認証処理を行うことが可能になる。
【図面の簡単な説明】
【0015】
【図1】実施例1の携帯端末型暗号認証デバイスシステムの構成を例示する図である。
【図2】端末装置,携帯端末のハードウェア構成を例示する図である。
【図3】ICカードのハードウェア構成を例示する図である。
【図4】実施例1の端末装置内のアプリケーションが,暗号処理を行い際の処理フローを例示する図である。
【図5】実施例1の端末装置内の選択ルールを新規設定,あるいは更新する際の処理フローを例示する図である。
【図6】端末装置と携帯端末の組合せにおける各暗号処理関数の処理時間を例示する図である。
【発明を実施するための形態】
【0016】
本発明の実施形態について説明する。なお,これにより本発明が限定されるものではない。
【実施例1】
【0017】
図1は,本実施例の携帯端末型暗号認証デバイスシステムの構成図である。本実施例の携帯端末型暗号認証デバイスシステムは,図1に示すように,1つまたは複数の端末装置10nと認証用デバイスとして用いる携帯端末20とが近距離無線通信を介して接続される。また,前記携帯端末20には,ICカード30が接続されている。
【0018】
端末装置10は,暗号処理や認証処理を要求するアプリケーション109と,該アプリケーション109から呼び出されるための暗号用のインタフェースを提供し,アプリケーション109が発行する暗号処理要求を暗号処理関数に変換する暗号処理インタフェース108と,暗号処理関数を自分自身で処理するための暗号処理部104と,暗号処理関数の処理を前記携帯端末20へ要求する暗号処理通信部102と,1つの暗号処理関数を複数のICカードコマンドに分解して,それぞれのICカードコマンドについて,該コマンドの実行を前記携帯端末20へ要求するICカード通信部103と,前記暗号処理通信部102と,ICカード通信部103とからの要求に応じて,前記携帯端末20と,近距離無線通信を行う近距離通信部101と,個々の暗号処理関数に関して,暗号処理関数の単位で前記携帯端末20に処理を要求した方が早いのか,あるいは,個々の暗号処理関数を複数のICカードコマンドに分割して前記携帯端末20に処理を要求した方が早いのか,を判定し,処理方式の選択を行う選択部105と,過去の実績値やカタログ仕様上の公表値などの環境情報を基にした,端末装置10と携帯端末20の組合せ毎に個々の暗号処理関数の実行時間情報を保管する実行時間情報保管部106と,を含む。
【0019】
携帯端末20は,前記端末装置10の近距離通信部101とデータの送受信を行う近距離通信部201と,端末装置10の暗号処理通信部102から送信された暗号処理関数の処理要求を受信し,処理結果を前記近距離通信部201を介して端末装置10に返信する暗号処理通信部202と,前記端末装置10のICカード通信部103から送信されたICカードコマンド実行要求を受信し,受信したコマンドをICカードへ転送するようICカードアクセス部に要求し,転送されたICカードコマンド実行結果をICカードアクセス部から受信し,前記近距離通信部201を介して端末装置10に返信するICカード通信部203と,暗号関連処理のうちでICカードを使わない処理を実行し,ICカードを使う処理をICカードアクセス部に要求し,処理結果を受信する暗号処理部204と,前記ICカード通信部203または前記暗号処理部204からの要求に基づいてICカードコマンドをICカード30に転送し,前記ICカード30からレスポンスを受信して,要求元に送信するICカードアクセス部205と,過去の実績値やカタログ仕様上の公表値などの環境情報を基にした,端末装置10と携帯端末20の組合せ毎に個々の暗号処理関数の実行時間情報を保管する実行時間情報保管部206と,を含む。
【0020】
ICカード30は,前記携帯端末20と,データを送受信するデータ送受信部301と,前記データ送受信部301を介して受信したICカードコマンドを解釈して処理を実行するコマンド実行部302と,鍵などの暗号処理を行うために使う情報を保管する暗号情報保管部303と,を含む。
【0021】
図2は,端末装置10と携帯端末20のハードウェア構成図である。端末装置10と携帯端末20とでは,規模や性能の違いは有るが,ハードウェア構成は同様であり,CPU11,主記憶装置12,補助記憶装置14,通信装置15,入出力装置16,記憶媒体18の読取装置17などがバスなどの内部通信線19で接続された構成である。
【0022】
本実施例の認証処理について説明する。各装置の補助記憶装置14に格納された処理プログラムが主記憶装置12にロードされ,CPUにより実行されることにより,各処理部の処理が実行される。また,各プログラムは予め補助記憶装置14に格納されても良いし,他の記憶媒体または通信媒体(ネットワーク,またはネットワークを伝搬する搬送波またはディジタル信号)を介して,必要なときにロードされても良い。
【0023】
図3はICカード30のハードウェア構成図である。ICカード30は,入出力部31と,CPU32と,耐タンパ記憶装置33と,耐タンパメモリ34と,がバスなどの内部通信線35で接続されて構成されている。
【0024】
図4は,端末装置10のアプリケーション109が,暗号処置を要求してから,暗号処理結果が返信されるまでの処理フローを示す図である。
【0025】
まず,端末装置10のアプリケーション109は,暗号処理を要求するために暗号処理要求A101を発行する。暗号処理インタフェース108は,暗号処理要求A101を暗号処理関数に変換して選択部105に送信する(S101)。端末装置10の選択部105は,実行時間情報保管部106に保管されている過去の実績値やカタログ仕様上の公表値などの環境情報を基にした,端末装置10と携帯端末20の組合せによって異なる個々の暗号処理関数の種類と実行時間を基に,要求された暗号処理要求A101は,そのまま携帯端末20に転送した方が早い処理なのか,あるいは,要求された暗号処理要求A101は複数のICカードコマンドに分解し個別に転送した方が早い処理なのか,あるいは,機密性が要求されない処理のために,端末装置10の暗号処理部104で実行できる処理なのか,を判定する(S102)。
【0026】
この判定(S102)の結果,機密性が要求されない処理であるならば(S103でNO),端末装置10内の暗号処理部104で暗号処理を実施し,暗号処理結果をアプリケーション109に返信して処理を終える。
【0027】
前記判定(S102)の結果,機密性が要求される処理であり(S103でYES),暗号処理要求をそのまま転送した方が早い処理の場合(S105でYES),暗号処理通信部102を経由して,暗号処理要求A102を,携帯端末20に送信する。
【0028】
携帯端末20の暗号処理通信部202は,端末装置10から送信された暗号処理要求A102を解析し,暗号処理部204の暗号処理機能を実行する(S201)。このときICカードで実行する必要のある処理に関しては,ICカードに処理を要求する必要があるため,ICカードコマンドA201としてICカード30に転送する(S202)。
【0029】
ICカード30のコマンド実行部302は,転送されたICカードコマンドA201を解釈し,該ICカードコマンドを実行し(S301),レスポンスA301を携帯端末20に返送する。1つの暗号処理が複数のICカードコマンドの実行で実現される場合は,ICカードコマンド転送処理(S202)における,ICカードコマンドA201の送信とレスポンスA301の受信は,必要回数だけ繰り返される。
【0030】
ICカードコマンドが必要回数実行された後で,携帯端末20の暗号処理部204は,暗号処理結果A203を,暗号処理通信部202を介して,端末装置10に返信する。端末装置10の暗号処理通信部102は,暗号処理結果A104をアプリケーション109に返信して処理を終える。
【0031】
前記判定(S102)の結果,機密性が要求される処理であり(S103でYES),暗号処理機能を複数のICカードコマンドに分割して転送した方が早い処理の場合(S105でNO),ICカード通信部103を経由して,ICカードコマンド転送要求A103を,携帯端末20に送信する。
【0032】
携帯端末20のICカード通信部203は,端末装置10から送信されたICカードコマンド転送要求A103を解析し,ICカードアクセス部205を経由して,ICカードコマンドA201をICカードに転送する(S203)。ICカード30のコマンド実行部302は,転送されたICカードコマンドA201を解釈し,該ICカードコマンドを実行し(S301),レスポンスA301を携帯端末20に返送する。
【0033】
携帯端末20のICカード通信部203は,前記レスポンスA301を,近距離通信部201を経由して,端末装置10に返信する。1つの暗号処理が複数のICカードコマンドの実行で実現される場合は,ICカードコマンド転送処理(S108)における,ICカードコマンド転送要求A103の送信とICカードコマンド転送結果A202の受信は,必要回数だけ繰り返される。ICカードコマンドが必要回数実行された後で,端末装置10のICカード通信部103は,暗号処理結果A104をアプリケーション109に返信して処理を終える。
【0034】
図5は,図4に示す処理の前に行われる処理,すなわち,実行時間情報を生成する処理フローを示す図である。
【0035】
まず,端末装置10の近距離通信部101と,携帯端末20の近距離通信部201は,ペアリング情報A001を送受信しあい端末同士の組み合わせを決定する。その後,携帯端末20の近距離通信部201は,実行時間情報保管部206に保管されている携帯端末20の実行速度などの性能情報A251を,端末装置10に送信する。端末装置10の近距離通信部101は,該性能情報A251を受信したときの通信処理時間を計測する(S151)。端末装置10の選択部105は,前記携帯端末20から受信した携帯端末20の性能情報A251と,自身の実行時間情報保管部106に保管している自身の性能情報と,前記ステップS151で計測した,端末装置10と携帯端末20との間の通信時間と,から実行時間情報を生成し保管する(S152)。その後,図4に示す暗号処理を実行する(S153)。ステップS151,S152の処理は,事前の準備段階に行っても良いし,実行時の直前に行っても良い。
【0036】
なお,図5の処理において,携帯端末20と端末装置10とが,一度以上,組み合わせを確定した実績がある場合には,選択部105は端末装置10の実行時間情報保管部106に,その時の端末装置10と携帯端末20の組合せにおける実行時間情報を保管し,2度目以降のペアリングの後では,携帯端末20の近距離通信部201は,当該携帯端末を識別できる情報を送っても良い。
【0037】
さらに,携帯端末20を,一つ以上の端末装置10を関連づけて利用する場合には,近距離通信部201は,携帯端末20の実行時間情報保管部206に,その時の端末装置10と携帯端末20の組合せの場合における実行時間情報を保管し,ペアリングの際に,実行時間情報保管部206に保管されている実行時間情報を,端末装置10に送っても良い。
【0038】
図6は,端末装置10と携帯端末20の組合せにおける各暗号処理関数の処理時間の一例を表している。端末装置10−1と携帯端末20−1の組合せの場合には,#11の暗号処理関数をそのまま転送し,それ以外の関数に関してはICカードコマンドを個別に転送する方が良いことを示している。それに対して,端末装置10−2と携帯端末20−2の組合せの場合には,#1と#2と#5と#10〜#13の暗号処理関数はそのまま転送し,それ以外の関数に関してはICカードコマンドを個別に転送する方が良いことを示している。
【0039】
本実施例では,ICカードコマンドと,複数のICカードコマンドで実現される暗号処理関数,という2種類の包含関係のある処理を,端末装置10と携帯端末20の間で相互に送受信しあう場合について示した。しかし,端末装置10内のアプリケーションが要求する目的が達成出来さえすれば,それを実現する個別の処理の間に包含関係がなくても良い。また,2種類である必要もなく,複数種類の処理の中から最速の処理を選択しても良い。
【0040】
また,本実施例では,暗号処理関数とICカードコマンドを送受信する方法を選択する例を示したが,暗号処理に限らなくても良い。例えば生体認証デバイスを用いるような場合に,生体認証デバイスへの命令をまとめて送受信するか,あるいは個別に送受信するかという方法を選択する場合にも適用できる。そのほか,端末装置10と携帯端末装置20で処理を分担して行うような任意の処理に適用できる。
【0041】
また,本実施例では,端末装置10と携帯端末20の間のデータの送受信に近距離通信を用いたが,近距離無線通信を用いても良い。また,非接触IC通信を用いても良い。さらに,非接触IC通信と近距離無線通信を組み合わせて使っても良い。さらに有線でつないでも良い。
【0042】
また,本実施例では,図5のシーケンスに置いて,速度を実測することとしているが,カタログ仕様の性能値を使っても良い。また,過去の履歴情報を保管し,実行時には,性能を測らず,過去の実績値を用いても良い。
【0043】
なお,本発明は,上記の本実施形態に限定されるものではなく,その要旨の範囲内で様々な変形が可能である。
【符号の説明】
【0044】
10:端末装置,11:CPU,12:主記憶装置,14:補助記憶装置,15:通信装置,16:入出力装置,17:読取装置,18:記憶媒体,19:内部信号線,30:ICカード,31:入出力装置,32:CPU,33:耐タンパ記憶装置,34:耐タンパメモリ,35:内部信号線,101:近距離通信部,102:暗号処理通信部,103:ICカード通信部,104:暗号処理部,105:選択部,106:実行時間情報保管部,108:暗号処理インタフェース,109:アプリケーション,201:近距離通信部,202:暗号処理通信部,203:ICカード通信部,204:暗号処理部,205:ICカードアクセス部,206:実行時間情報保管部,301:データ送受信部,302コマンド実行部,303:暗号情報保管部,A101:暗号処理要求,A102:暗号処理要求,A103:ICカードコマンド転送要求,A104:暗号処理結果,A201:ICカードコマンド,A202:ICカードコマンド転送結果,A203:暗号処理結果,A301:レスポンス,A001:ペアリング情報,A251:性能情報
【特許請求の範囲】
【請求項1】
第一の端末と第二の端末とが近距離無線通信を介して互いに接続される無線通信システムであって,
第一の端末は,
前記第二の端末の下位モジュールに処理を要求するアプリケーション部と,
該アプリケーション部から要求された処理を前記下位モジュールでの処理用に変換する要求変換部と,
要求変換部が変換した処理要求に基づく,第一の下位モジュールによる第一処理を前記第二の端末へ要求する第一処理通信部と,
要求変換部が変換した処理要求に基づく,第一の下位モジュールによる処理と処理結果は同じになるが処理内容の異なる第二の下位モジュールによる第二処理を前記第二の端末へ要求する第二処理通信部と,
前記第一処理通信部または,第二処理通信部からの要求に応じて,前記第二の端末と,近距離無線通信を行う近距離通信部と,
第一の下位モジュールに第一処理を要求した方が早いのか,あるいは,第二の下位モジュールに第二処理を要求した方が早いのか,を判定し,処理方式の選択を行う処理選択部と,
自端末と第二の端末の組合せ毎にどちらの下位モジュールに処理を要求すべきかの実行時間情報を保管する実行時間情報保管部と,を有し,
前記第二の端末は,
前記第一の端末の近距離通信部とデータの送受信を行う近距離通信部と,
第一の端末の第一処理通信部から送信された第一処理要求を受信し,第一処理結果を前記近距離通信部を介して第一の端末に返信する第一処理通信部と,
前記第一の端末の第二処理通信部から送信された第二処理要求を受信し,第二処理結果を前記近距離通信部を介して第一の端末に返信する第二処理通信部と,
第一処理を実行する第一処理部と,
第二処理を実行する第二処理部と,を有する
ことを特徴とする無線通信システム。
【請求項2】
請求項1に記載の無線通信システムであって,
前記第一の下位モジュールによる第一処理は,複数の関数による処理を含み,
前記第二の下位モジュールによる第二処理は,複数の関数による処理を含み,
前記第一の端末の処理選択部は,関数ごとに,前記第一処理と前記第二処理のどちらの処理が早いのか,を判定し,処理方式の選択を行う処理選択部と,
第一の端末と第二の端末の組合せ毎に,前記関数ごとに,前記第一処理,前記第二処理のどちらに処理要求すべきかの実行時間情報を保管する実行時間情報保管部と,を有する
ことを特徴とする無線通信システム。
【請求項3】
請求項1または2に記載の無線通信システムであって,
前記第二の端末には,前記第二処理の一部を実行するデバイスが接続され,
デバイスは,
前記第二の端末と,データを送受信するデータ送受信部と,
前記データ送受信部を介して受信したコマンドを解釈して処理を実行するコマンド実行部と,
鍵を含む秘密情報を保管する暗号情報保管部と,を有する
ことを特徴とする無線通信システム。
【請求項4】
請求項1から3のいずれか一に記載の無線通信システムであって,
第一の端末内には,n種類の第n処理通信部を有し,
第二の端末は,n種類(nは2以上)の第n処理通信部と,n種類の第n処理部と,を有する
ことを特徴とする無線通信システム。
【請求項5】
請求項3に記載の無線通信システムであって,
前記アプリケーション部が要求する処理は暗号処理であって,
前記デバイスはICカードであって,
前記要求変換部による変換結果は,暗号処理関数であって,
前記第一処理通信部が要求する前記第一処理は,前記暗号処理関数の実行であって,
前記第二処理通信部が要求する前記第二処理は,前記暗号処理関数を実現する複数のICカードコマンドであって,
前記第二の端末の前記第一処理部は,前記暗号処理関数の処理のうち,前記ICカードを使わない処理を実行する暗号処理部と,前記ICカードに要求する処理に係わるICカードコマンドを発行し,処理結果を受信する
ことを特徴とする無線通信システム。
【請求項6】
請求項1から5のいずれか一に記載の無線通信システムであって,
第一の端末の近距離通信部と,第二の端末の近距離通信部は,ペアリング情報を互いに送受信して,第一の端末と第二の端末との組み合わせを決定し,
第二の端末の近距離通信部は,実行時間情報保管部に保管されている第二の端末の実行速度を含む性能情報を,第一の端末に送信し,
第一の端末の近距離通信部は,該性能情報を受信したときの通信処理時間を計測し,
第一の端末の選択部は,
前記第二の端末から受信した第二の端末の性能情報と,自身の実行時間情報保管部に保管している自身の性能情報と,前記計測した,第一の端末と第二の端末との間の通信処理時間と,から実行時間情報を生成し,
生成した実行時間情報を前記実行時間情報保管部に保管する
ことを特徴とする無線通信システム。
【請求項7】
請求項6に記載の無線通信システムであって,
前記第一の端末の選択部は,一度以上,組み合わせを確定した実績がある場合には,第二の端末の実行時間情報保管部に,その時の第一の端末と第二の端末の組合せにおける実行時間情報を保管し,
前記第二の端末の前記近距離通信部は,2度目以降のペアリングの後では,第二の端末を識別できる情報を送信する
ことを特徴とする無線通信システム。
【請求項8】
請求項1から7のいずれか一に記載の無線通信システムであって,
第二の端末を,一つ以上の第一の端末を関連づけて利用する場合に,第二の端末の近距離通信部は,
実行時間情報保管部に,第一の端末と第二の端末の組合せにおける実行時間情報を保管し,
ペアリングの際に,実行時間情報保管部に保管されている実行時間情報を,第一の端末に送信する
ことを特徴とする無線通信システム。
【請求項9】
請求項6から8のいずれか一に記載の無線通信システムであって,
第一の端末の選択部は,第二の端末とペアリングを行った後で,公開されている公表値に基づき前記実行時間情報を生成する
ことを特徴とする無線通信システム。
【請求項10】
請求項5に記載の無線通信システムであって,
前記第一の端末は,暗号処理部を備え,
選択部は,
アプリケーション部から要求された暗号処理が機密性が要求されない場合に,前記暗号処理部での暗号処理を選択し,
前記暗号処理部による暗号処理結果を前記アプリケーション部に返信する
ことを特徴とする無線通信システム。
【請求項1】
第一の端末と第二の端末とが近距離無線通信を介して互いに接続される無線通信システムであって,
第一の端末は,
前記第二の端末の下位モジュールに処理を要求するアプリケーション部と,
該アプリケーション部から要求された処理を前記下位モジュールでの処理用に変換する要求変換部と,
要求変換部が変換した処理要求に基づく,第一の下位モジュールによる第一処理を前記第二の端末へ要求する第一処理通信部と,
要求変換部が変換した処理要求に基づく,第一の下位モジュールによる処理と処理結果は同じになるが処理内容の異なる第二の下位モジュールによる第二処理を前記第二の端末へ要求する第二処理通信部と,
前記第一処理通信部または,第二処理通信部からの要求に応じて,前記第二の端末と,近距離無線通信を行う近距離通信部と,
第一の下位モジュールに第一処理を要求した方が早いのか,あるいは,第二の下位モジュールに第二処理を要求した方が早いのか,を判定し,処理方式の選択を行う処理選択部と,
自端末と第二の端末の組合せ毎にどちらの下位モジュールに処理を要求すべきかの実行時間情報を保管する実行時間情報保管部と,を有し,
前記第二の端末は,
前記第一の端末の近距離通信部とデータの送受信を行う近距離通信部と,
第一の端末の第一処理通信部から送信された第一処理要求を受信し,第一処理結果を前記近距離通信部を介して第一の端末に返信する第一処理通信部と,
前記第一の端末の第二処理通信部から送信された第二処理要求を受信し,第二処理結果を前記近距離通信部を介して第一の端末に返信する第二処理通信部と,
第一処理を実行する第一処理部と,
第二処理を実行する第二処理部と,を有する
ことを特徴とする無線通信システム。
【請求項2】
請求項1に記載の無線通信システムであって,
前記第一の下位モジュールによる第一処理は,複数の関数による処理を含み,
前記第二の下位モジュールによる第二処理は,複数の関数による処理を含み,
前記第一の端末の処理選択部は,関数ごとに,前記第一処理と前記第二処理のどちらの処理が早いのか,を判定し,処理方式の選択を行う処理選択部と,
第一の端末と第二の端末の組合せ毎に,前記関数ごとに,前記第一処理,前記第二処理のどちらに処理要求すべきかの実行時間情報を保管する実行時間情報保管部と,を有する
ことを特徴とする無線通信システム。
【請求項3】
請求項1または2に記載の無線通信システムであって,
前記第二の端末には,前記第二処理の一部を実行するデバイスが接続され,
デバイスは,
前記第二の端末と,データを送受信するデータ送受信部と,
前記データ送受信部を介して受信したコマンドを解釈して処理を実行するコマンド実行部と,
鍵を含む秘密情報を保管する暗号情報保管部と,を有する
ことを特徴とする無線通信システム。
【請求項4】
請求項1から3のいずれか一に記載の無線通信システムであって,
第一の端末内には,n種類の第n処理通信部を有し,
第二の端末は,n種類(nは2以上)の第n処理通信部と,n種類の第n処理部と,を有する
ことを特徴とする無線通信システム。
【請求項5】
請求項3に記載の無線通信システムであって,
前記アプリケーション部が要求する処理は暗号処理であって,
前記デバイスはICカードであって,
前記要求変換部による変換結果は,暗号処理関数であって,
前記第一処理通信部が要求する前記第一処理は,前記暗号処理関数の実行であって,
前記第二処理通信部が要求する前記第二処理は,前記暗号処理関数を実現する複数のICカードコマンドであって,
前記第二の端末の前記第一処理部は,前記暗号処理関数の処理のうち,前記ICカードを使わない処理を実行する暗号処理部と,前記ICカードに要求する処理に係わるICカードコマンドを発行し,処理結果を受信する
ことを特徴とする無線通信システム。
【請求項6】
請求項1から5のいずれか一に記載の無線通信システムであって,
第一の端末の近距離通信部と,第二の端末の近距離通信部は,ペアリング情報を互いに送受信して,第一の端末と第二の端末との組み合わせを決定し,
第二の端末の近距離通信部は,実行時間情報保管部に保管されている第二の端末の実行速度を含む性能情報を,第一の端末に送信し,
第一の端末の近距離通信部は,該性能情報を受信したときの通信処理時間を計測し,
第一の端末の選択部は,
前記第二の端末から受信した第二の端末の性能情報と,自身の実行時間情報保管部に保管している自身の性能情報と,前記計測した,第一の端末と第二の端末との間の通信処理時間と,から実行時間情報を生成し,
生成した実行時間情報を前記実行時間情報保管部に保管する
ことを特徴とする無線通信システム。
【請求項7】
請求項6に記載の無線通信システムであって,
前記第一の端末の選択部は,一度以上,組み合わせを確定した実績がある場合には,第二の端末の実行時間情報保管部に,その時の第一の端末と第二の端末の組合せにおける実行時間情報を保管し,
前記第二の端末の前記近距離通信部は,2度目以降のペアリングの後では,第二の端末を識別できる情報を送信する
ことを特徴とする無線通信システム。
【請求項8】
請求項1から7のいずれか一に記載の無線通信システムであって,
第二の端末を,一つ以上の第一の端末を関連づけて利用する場合に,第二の端末の近距離通信部は,
実行時間情報保管部に,第一の端末と第二の端末の組合せにおける実行時間情報を保管し,
ペアリングの際に,実行時間情報保管部に保管されている実行時間情報を,第一の端末に送信する
ことを特徴とする無線通信システム。
【請求項9】
請求項6から8のいずれか一に記載の無線通信システムであって,
第一の端末の選択部は,第二の端末とペアリングを行った後で,公開されている公表値に基づき前記実行時間情報を生成する
ことを特徴とする無線通信システム。
【請求項10】
請求項5に記載の無線通信システムであって,
前記第一の端末は,暗号処理部を備え,
選択部は,
アプリケーション部から要求された暗号処理が機密性が要求されない場合に,前記暗号処理部での暗号処理を選択し,
前記暗号処理部による暗号処理結果を前記アプリケーション部に返信する
ことを特徴とする無線通信システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2012−233937(P2012−233937A)
【公開日】平成24年11月29日(2012.11.29)
【国際特許分類】
【出願番号】特願2011−100392(P2011−100392)
【出願日】平成23年4月28日(2011.4.28)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成24年11月29日(2012.11.29)
【国際特許分類】
【出願日】平成23年4月28日(2011.4.28)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]