通信システム、及び、通信制御方法
【課題】情報の秘匿性を保ちつつ、効率よく、情報の利用に関して承諾の権限を有する者に情報の利用の都度に承諾を得ることが可能な通信システム、及び、通信制御方法を提供する。
【解決手段】通信システム1のサーバー3は、利用側端末4からデータベース2に格納されたデータの読み出しが要求された場合に、破壊読み出し型の記憶部に記憶した認証データに基づいて利用側端末4の認証を行い、認証に成功した場合は記憶部から認証データを読み出して変更して記憶部に書き戻し、承認を行う承認用端末5に対して、承認要求と変更後の認証データの少なくとも一部とを送信し、承認用端末5から承認応答と認証データとを受信した場合に、記憶部から認証データを読み出して受信した認証データの認証を行い、認証に成功した場合にのみ、データベース2のデータを読み出し可能とする。
【解決手段】通信システム1のサーバー3は、利用側端末4からデータベース2に格納されたデータの読み出しが要求された場合に、破壊読み出し型の記憶部に記憶した認証データに基づいて利用側端末4の認証を行い、認証に成功した場合は記憶部から認証データを読み出して変更して記憶部に書き戻し、承認を行う承認用端末5に対して、承認要求と変更後の認証データの少なくとも一部とを送信し、承認用端末5から承認応答と認証データとを受信した場合に、記憶部から認証データを読み出して受信した認証データの認証を行い、認証に成功した場合にのみ、データベース2のデータを読み出し可能とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信システム、及び、通信制御方法に関する。
【背景技術】
【0002】
近年、個人情報等の不正な取得あるいは使用を防止するため、セキュリティの強化が求められており、例えば、生体情報を利用して認証を行い、認証に成功した場合にのみ情報を送受信可能とするシステムが知られている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2008−33805号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところで、個人情報をはじめとする保護すべき情報を利用する場合、その情報の本来の所有者の承諾を必要とする場合がある。このような場合、情報を収集及び入力する際に予め所有者の承諾を得ることが一般的であり、情報が集積された後で、その情報が利用される毎に承諾を得る仕組みは無かった。また、情報を利用する都度に承諾を得ようとすれば通信頻度が増すため、セキュリティを確保し、かつ、効率よく承諾を得ることは従来の手法では困難であった。
本発明は、上述した事情に鑑みてなされたものであり、情報の秘匿性を保ちつつ、効率よく、情報の利用に関して承諾の権限を有する者に情報の利用の都度に承諾を得ることが可能な通信システム、及び、通信制御方法を提供することを目的とする。
【課題を解決するための手段】
【0005】
上記目的を達成するために、本発明は、データベースに格納されたデータの読み出しを要求する第1の端末と、前記データベースからのデータ読み出しを制御するサーバー装置と、前記データベースに格納されたデータの利用の可否を決定する第2の端末と、を備え、前記サーバー装置は、読出時に読み出されたデータが物理的に破壊される特性を有する破壊読み出し型の記憶部を有し、この記憶部に認証データを記憶しており、前記第1の端末からデータ読み出しが要求された場合に、前記記憶部に記憶された前記認証データに基づいて前記第1の端末の認証を行うとともに、認証に成功した場合は前記記憶部から前記認証データを読み出して、読み出した前記認証データを変更して前記記憶部に書き戻す処理を行い、前記第2の端末に対して承認要求とともに変更後の前記認証データの少なくとも一部とを送信し、前記第2の端末から承認応答と前記認証データとを受信した場合に、前記記憶部から前記認証データを読み出して受信した前記認証データの認証を行い、認証に成功した場合にのみ、前記第1の端末が前記データベースのデータを読み出し可能な状態とすること、を特徴とする。
この構成によれば、データベースに格納されたデータの読み出しが要求された場合に、データの利用の可否を決定する第2の端末に対して承認を要求し、この要求に対して承認応答が送信された場合にのみ、データベースのデータを読み出し可能になるので、効率よく、データベースに格納されたデータの利用の都度に承認を得ることができる。ここで、データの読み出しが要求された場合に破壊読み出し型の記憶部から認証データが読み出され、読み出された認証データが変更されて書き戻され、この変更後の認証データを利用して第2の端末の認証が行われる。このため、破壊読み出し型の記憶部を利用することで変更前の認証データが確実に失われ、変更後の認証データを用いて認証を行うことによって、サーバー装置から承認要求を受けた第2の端末でなければ承認の応答を送信できなくなるので、正当な権限を有する第2の端末のみがデータの利用を承認することが可能になる。これにより、データの利用の承認に関して高いセキュリティレベルを確保できる。
【0006】
上記構成において、前記記憶部は複数の前記認証データの各々にデータ識別用の識別符号を付して記憶しており、前記第1の端末は、前記サーバー装置に対してデータ読み出しの要求とともに前記認証データの識別符号を送信し、前記サーバー装置は、前記第1の端末から送信された識別符号に従って前記記憶部の前記認証データを読み出し、該当する前記認証データがある場合に認証成功と判定する一方、読み出した前記認証データの識別符号を変更して前記記憶部に書き戻し、変更後の識別符号を前記第2の端末に送信し、前記第2の端末から承認応答と前記認証データの識別符号とを受信し、受信した識別符号に従って前記記憶部から前記認証データを読み出し、該当する前記認証データがある場合に認証成功と判定してもよい。
この場合、サーバー装置は、記憶部に記憶している認証データに付された識別符号に従って第1の端末及び第2の端末の認証を行うので、認証に失敗する場合は識別符号が誤っているため記憶部から認証データの読み出しが行われず、破壊読み出し型の記憶部から認証データが失われない。このため、正規の権限を有する第1及び第2の端末以外の装置から不適切なアクセスがされた場合は、認証データを失わずにアクセスを拒否できるので、正規のアクセスに対する処理への悪影響がない。その上、正規の第1及び第2の端末がアクセスした場合には認証データの識別符号を書き換えて書き戻しを行うことで、成りすましや認証データの漏洩による不正なアクセスを確実に防止でき、高いセキュリティレベルを確保できる。
【0007】
また、上記構成において、前記記憶部が記憶する前記認証データは、前記第1の端末に固有のIDと、前記第2の端末に固有のIDとを対応づける情報であり、前記第1の端末は、前記サーバー装置に対してデータ読み出しの要求とともに前記認証データと自己のIDとを送信し、前記サーバー装置は、前記第1の端末から送信された識別符号に従って前記記憶部の前記認証データを読み出し、読み出した前記認証データから前記第2の端末のIDを取得し、この取得したIDに基づいて前記第2の端末に承認要求を送信してもよい。
この場合、第1の端末がデータの読み出しを要求する場合に認証データの識別符号を指定し、この指定された識別符号に従ってサーバー装置の記憶部から読み出された認証データにより、承認要求を送信すべき相手となる第2の端末が特定されるので、正しい認証データの識別符号を知り得る第1の端末でなければデータの読み出しを要求できない。このため、成りすましによる不正なアクセスを確実に防止でき、高いセキュリティレベルを確保できる。
【0008】
また、上記構成において、前記サーバー装置は前記データベースに接続され、前記第2の端末からの承認の応答を受信した場合の認証に成功した後、前記データベースからデータを読み出して前記第1の端末に送信してもよい。
この場合、第1の端末がデータ読み出しを要求した場合に、第1及び第2の端末の認証を行うサーバー装置が、データベースから情報を読み出して第1の端末に送信するので、承認後のデータの読み出しを速やかに行うことができ、また、承認後のデータの授受に関与する装置が少ないためにセキュリティの確保が容易になる。
【0009】
さらに、上記構成において、前記サーバー装置は、前記認証に失敗した場合に、前記記憶部が記憶する前記認証データを初期状態に書き戻してもよい。
この場合、万が一認証に失敗して記憶部に記憶された認証データが損なわれた場合であっても、初期状態に戻すことでその後のデータの読み出しに支障がないよう回復できる。このため、破壊読み出し型の記憶部を利用してセキュリティを確保し、かつ、可用性を高めることができる。
【0010】
また、本発明は、データベースに格納されたデータの読み出しを制御するサーバー装置により、前記第1の端末から前記データベースに格納されたデータの読み出しが要求された場合に、破壊読み出し型の記憶部に記憶された認証データに基づいて前記第1の端末の認証を行うとともに、認証に成功した場合は前記記憶部から前記認証データを読み出して、読み出した前記認証データを変更して前記記憶部に書き戻す処理を行い、承認を行う第2の端末に対して、承認要求と、変更後の前記認証データの少なくとも一部とを送信し、前記第2の端末から承認応答と前記認証データとを受信した場合に、前記記憶部から前記認証データを読み出して受信した前記認証データの認証を行い、認証に成功した場合にのみ、前記第1の端末が前記データベースのデータを読み出し可能な状態とすること、を特徴とする。
この方法によれば、データベースに格納されたデータの読み出しが要求された場合に、データの利用の可否を決定する第2の端末に対して承認を要求し、この要求に対して承認応答が送信された場合にのみ、データベースのデータを読み出し可能になるので、効率よく、データベースに格納されたデータの利用の都度に承認を得ることができる。ここで、データの読み出しが要求された場合に破壊読み出し型の記憶部から認証データが読み出され、読み出された認証データが変更されて書き戻され、この変更後の認証データを利用して第2の端末の認証が行われる。このため、破壊読み出し型の記憶部を利用することで変更前の認証データが確実に失われ、変更後の認証データを用いて認証を行うことによって、サーバー装置から承認要求を受けた第2の端末でなければ承認の応答を送信できなくなるので、正当な権限を有する第2の端末のみがデータの利用を承認することが可能になる。これにより、データの利用の承認に関して高いセキュリティレベルを確保できる。
【0011】
さらに、本発明は、上記通信制御方法を実現するためのプログラムや、このプログラムをコンピューター読み取り可能に記録した記録媒体の形態で実現することも可能である。
【発明の効果】
【0012】
本発明によれば、破壊読み出し型の記憶部に記憶した認証データを利用して認証を行うことにより、セキュリティを確保しつつ、データベースに格納されたデータの利用の都度、データを読み出して利用する装置とは別の装置によって承認を得る構成を実現できる。
【図面の簡単な説明】
【0013】
【図1】本発明の実施形態に係る通信システムの概略構成を示す図である。
【図2】データを読み出す際の通信手順の概略を示す図である。
【図3】サーバーの機能的構成を示すブロック図である。
【図4】利用側端末の機能的構成を示すブロック図である。
【図5】承認用端末の機能的構成を示すブロック図である。
【図6】サーバーにより処理されるデータの構成例を模式的に示す図である。
【図7】認証データを用いた認証に係る動作の一例を示す説明図である。
【図8】認証データを用いた認証に係る動作の一例を示す説明図である。
【図9】通信システムの動作を示すフローチャートである。
【図10】通信システムの動作を示すフローチャートである。
【図11】通信システムの動作を示すフローチャートである。
【発明を実施するための形態】
【0014】
以下、図面を参照して本発明の実施形態について説明する。
図1は、本発明を適用した実施形態に係る通信システム1の概略構成を示す図である。
図1に示す通信システム1は、データベース2を有するサーバー3(サーバー装置)と、利用側端末4(第1の端末)とを通信回線6を介して相互に通信可能に接続して構成される。また、通信回線6には、アクセスポイント7を介して承認用端末5(第2の端末)が接続され、このアクセスポイント7及び通信回線6を介して、承認用端末5は、サーバー3と相互に通信可能に接続される。図1では一つの利用側端末4と一つの承認用端末5とがサーバー3に接続された構成を示したが、通信システム1が利用側端末4及び承認用端末5を複数備えた構成とすることは勿論可能である。
データベース2は、医療機関において作成および保存された電子カルテのデータや、クレジットカード決済サービスを提供する金融サービス企業が作成した与信情報など、個人に関係するデータを記憶したデータベースである。利用側端末4は、電子カルテを読み出して使用する医師用の端末装置、或いは、クレジットカード決済を行うにあたって与信情報を利用するクレジットカード読取端末等、データベース2に格納されたデータを利用する端末装置である。通信システム1では、利用側端末4からの要求に応じて、データベース2に格納されたデータをサーバー3が読み出し、通信システム1に送信する。ここで、データベース2に格納されたデータは個人に関するデータであるため、利用の都度、その個人が使用する承認用端末5によって承認が行われる。この承認用端末5による承認を得てから、サーバー3は、データベース2のデータを読み出して利用側端末4に送信する。
【0015】
通信回線6は、電気通信事業者により設置された専用線、公衆交換電話網、衛星通信回線、移動体通信回線等の各種通信回線を含んで構成され、各種データを送受信可能な通信網であり、具体的な例としてはインターネットが挙げられ、インターネット等のオープンな通信網においてVPN(Virtual Private Network)技術により実現される仮想的な専用線であってもよい。通信回線6には回線交換装置や各種サーバー装置を含んでいてもよく、具体的態様は特に限定されない。また、通信回線6とアクセスポイント7との間、及び、通信回線6とサーバー3及び利用側端末4との間には、通信事業者が提供するファイアーウォール、ゲートウェイ装置等の各種機器が介在する構成としても良いが、ここでは図示しない。
【0016】
図2は、通信システム1を構成する各部間の通信手順を示す図である。
この図2を参照して、通信システム1において利用側端末4がデータベース2からデータを読み出す場合の動作の概略を説明する。
利用側端末4を利用するユーザーがデータベース2内のデータの読み出しを望んで利用側端末4を操作すると、利用側端末4からサーバー3に対してデータ要求が送信される(ステップS1)。サーバー3は、データ要求を受けると、利用側端末4の認証を行い、認証に成功した場合に、要求されたデータに対応する承認用端末5を特定し、この承認用端末5に対して承認要求を送信する(ステップS2)。承認用端末5を使用するユーザーは、サーバー3からの承認要求を受けて、自身に関わるデータの利用を承認するか否かを判断し、承認する場合には承認用端末5を操作して、承認の応答をサーバー3に送信する(ステップS3)。
サーバー3は、承認用端末5から承認の応答を受けると、承認用端末5の認証を行い、認証に成功した場合にはデータベース2にアクセスして、ステップS1で利用側端末4から要求されたデータを読み出して(ステップS4)、読み出したデータを利用側端末4に送信する(ステップS5)。
サーバー3は、ステップS1のデータ要求を受けた場合に利用側端末4の認証を行い、ステップS3で承認の応答を受けた場合に承認用端末5の認証を行う。これらの認証は、予めサーバー3が記憶している認証データ11、各々の利用側端末4に付与されたID、及び、各々の承認用端末5に付与されたIDに基づいて行われる。
【0017】
図3は、サーバー3の機能的構成を示すブロック図である。
この図3に示すように、サーバー3は、各部を制御する制御部31と、制御部31により実行されるプログラムや処理対象のデータ等を記憶する記憶部30とを備えて構成される。
記憶部30は、制御部31が実行する基本制御プログラムやデータを不揮発的に記憶するROM33、制御部31が実行するプログラム等を展開するための一時記憶領域を形成するRAM34、及び、制御部31により処理されるデータ等を不揮発的に記憶するFeRAM35を備える。
ROM33は、PROM、EPROM、フラッシュメモリー等の不揮発性メモリーデバイスを用いて構成され、予め工場出荷時に記憶された基本制御プログラム、この基本制御プログラムに従ってサーバー3の各部を制御するためのデータを記憶する。RAM34は、SRAM、DRAM、SDRAM等の揮発性のメモリーデバイスを用いて構成される。また、記憶部としてのFeRAM(Ferroelectric Random Access Memory)35は、強誘電体のヒステリシスを利用した強誘電体メモリーとも呼ばれる不揮発性のメモリーデバイスを用いて構成される。FeRAM35を構成するメモリーデバイスは破壊読み出し型であり、記憶しているデータの読み出し時に、このデータを記憶していた領域からデータが物理的に失われるという特性を有する。本実施形態では、FeRAM35に記憶されているデータを読み出す場合、制御部31の制御により、読み出したデータはRAM34に一時的に格納され、その後、必要に応じてFeRAM35へ書き戻しが行われる。書き戻しの際に、読み出されたデータをそのまま書き戻すか、一部または全部を変更して書き戻すかは制御部31の制御により決定される。
【0018】
サーバー3は、通信回線6を介して各種データを送受信するための通信制御部36を備える。また、サーバー3は、メンテナンスや各種設定のために操作される入力部37及び設定状態やサーバー3の動作状態等を表示する表示部38を備え、さらに、データベース2に接続されるインターフェース39を備えている。制御部31は、インターフェース39を介してデータベース2へのデータの格納、データベース2からのデータの読み出し等を行う。なお、データベース2を、サーバー3が内蔵する記憶装置に形成することも勿論可能であり、この場合にはインターフェース39は不要である。
【0019】
図4は、利用側端末4の機能的構成を示すブロック図である。
この図4に示すように、利用側端末4は、各部を制御する制御部41と、制御部41により実行されるプログラムや処理対象のデータ等を記憶する記憶部40とを備えて構成される。
記憶部40は、制御部41が実行する基本制御プログラムやデータを不揮発的に記憶するROM43、制御部41が実行するプログラム等を展開するための一時記憶領域を形成するRAM44、及び、制御部41により処理されるデータ等を不揮発的に記憶するFeRAM45を備える。
ROM43は、ROM33(図3)と同様に不揮発性メモリーデバイスを用いて構成され、予め工場出荷時に記憶された基本制御プログラム、この基本制御プログラムに従って利用側端末4の各部を制御するためのデータ、及び、予め利用側端末4に付与されたID等を記憶する。RAM44は、RAM34(図3)と同様の揮発性のメモリーデバイスを用いて構成される。FeRAM45は、FeRAM35(図3)と同様の破壊読み出し型の不揮発性のメモリーデバイスを用いて構成され、必要に応じて、制御部41の制御によってFeRAM45へのデータの書き戻しが行われる。
また、利用側端末4は、通信回線6を介して各種データを送受信するための通信制御部46、データベース2のデータを利用するユーザーが操作するキーボードやマウス等の入力部47、実行中の処理や処理結果、取得したデータの内容等を表示する等を表示する表示部48を備えている。
【0020】
図5は、承認用端末5の機能的構成を示すブロック図である。
この図5に示すように、承認用端末5は、各部を制御する制御部51と、制御部51により実行されるプログラムや処理対象のデータ等を記憶する記憶部50とを備えて構成される。
記憶部50は、制御部51が実行する基本制御プログラムやデータを不揮発的に記憶するROM53、制御部51が実行するプログラム等を展開するための一時記憶領域を形成するRAM54、及び、制御部51により処理されるデータ等を不揮発的に記憶するFeRAM55を備える。
ROM53は、ROM33(図3)と同様に不揮発性メモリーデバイスを用いて構成され、予め工場出荷時に記憶された基本制御プログラム、この基本制御プログラムに従って承認用端末5の各部を制御するためのデータ、及び、予め承認用端末5に付与されたID等を記憶する。RAM54は、RAM34(図3)と同様の揮発性のメモリーデバイスを用いて構成される。FeRAM55は、FeRAM35(図3)と同様の破壊読み出し型の不揮発性のメモリーデバイスを用いて構成され、必要に応じて、制御部51の制御によってFeRAM55へのデータの書き戻しが行われる。
また、承認用端末5は、通信回線6を介して各種データを送受信するための通信制御部56、データベース2のデータ利用を承認するユーザーが操作するキーボードやマウス等の入力部57、実行中の処理や処理結果、取得したデータの内容等を表示する等を表示する表示部58、及び、アンテナ5Aを介してアクセスポイント7との間で無線通信を実行する無線通信部59を備えている。
【0021】
図6は、サーバー3により処理されるデータの構成例を模式的に示す図であり、図6Aは利用側端末4或いは承認用端末5からサーバー3が受信する入力情報15の構成例を示し、図6Bはサーバー3のFeRAM35に格納される認証データテーブル10の構成例を示し、図6Cはサーバー3が承認用端末5或いは利用側端末4に出力する出力情報16の構成例を示す。
図7及び図8は、認証データ11を用いた認証の一例を示す説明図である。
これら図6〜図8を参照して、サーバー3による認証データ11の取り扱いについて説明する。
【0022】
図6Aに示すように、利用側端末4及び承認用端末5からサーバー3に入力される入力情報15は、入力INDEX値(識別符号)と、この入力情報15を送信した端末のID(宛先ID)と、サーバー3に対するコマンドとしてのデータとを含んでいる。
利用側端末4がサーバー3にデータ読み出しを要求する場合、入力情報15には、データベース2からのデータ読み出しを要求するコマンドである第1データが含まれる。ここで、入力情報15には、利用側端末4が読み出しを要求するデータベース2内のデータ自体を指定する情報は含まれていない。
【0023】
サーバー3は、FeRAM35に複数の認証データ11が集積されたテーブルである認証データテーブル10を記憶している。個々のレコードに相当する認証データ11は、各々の認証データ11を識別するための格納INDEX値(識別符号)を含んでいる。そして、各々の認証データ11は、対応する入力情報15を送信した端末のID(送信ID)と、次にサーバー3が後述する出力情報16を送信する場合の宛先となる端末のID(宛先ID)と、データとを含んでいる。利用側端末4がサーバー3にデータ読み出しを要求した段階では、次に行われる動作は承認用端末5に対する承認要求であるから、図6Bに示す認証データ11には、承認用端末5に対して承認を要求するコマンドである第2データが含まれている。
サーバー3が利用側端末4または承認用端末5に送信する出力情報16は、出力INDEX値(識別符号)と、宛先の端末のID(宛先ID)と、データとを含んでいる。このデータは認証データ11と同じものであり、図6Cの例では承認要求のコマンドすなわち第2データである。
【0024】
まず、利用側端末4がサーバー3にデータ読み出しを要求した場合、サーバー3の制御部31は、利用側端末4からの入力情報15を受信し、この入力情報15に含まれる第1データ(コマンド)から、これがデータの読み出し要求であることを検出する。そして、図7に示すように、制御部31は、入力情報15の入力INDEX値をもとに、FeRAM35に記憶している認証データテーブル10から、認証データ11を検索する。ここで、入力情報15の入力INDEX値と同じ格納INDEX値を有する認証データ11があれば、この認証データ11をFeRAM35から読み出す。また、入力情報15の入力INDEX値と同じ格納INDEX値を有する認証データ11が無い場合、入力情報15に対してエラーを出力する。
【0025】
続いて、制御部31は、入力情報15に一致する認証データ11を読み出して、読み出した認証データ11の宛先IDを取得する。この宛先IDは、サーバー3から承認要求を送信する承認用端末5のIDである。また、認証データ11に含まれる第2データは承認要求のコマンドである。制御部31は、FeRAM35から読み出した認証データ11に基づいて承認用端末5へ承認要求を送信する。
従って、利用側端末4は、データベース2から取得したいデータがあれば、そのデータに対応する格納INDEX値を含む入力情報15を生成し、サーバー3に送信する必要がある。制御部31は、実在するINDEX値を入力INDEX値として含んでいる入力情報15しか受け付けないし、INDEX値によって承認要求先の承認用端末5が決定されてしまうので、利用側端末4では、認証データテーブル10における正しい格納INDEX値を保持しておく必要がある。この格納INDEX値は、例えば、FeRAM45に記憶しておき、入力情報15をサーバー3に送信する毎にFeRAM45からINDEX値を読み出し、必要に応じてFeRAM45に書き戻す構成とすれば、利用側端末4におけるデータ処理のセキュリティを高めることができる。
【0026】
そして、制御部31は、認証データ11をFeRAM35から読み出してRAM34に一時的に格納し、この認証データ11のINDEX値を変更する。これにより、この認証データ11に他の利用側端末4がアクセスしたり、既に入力情報15を送信した利用側端末4が再び同じINDEX値を指定したりできなくなる。つまり、FeRAM35から読み出され、承認用端末5への承認要求が行われた認証データ11については、その承認用端末5から承認の応答が返信されるまで、利用側端末4からの要求が行えなくなる。これにより、承認用端末5による承認が二重に行われることや、正規の承認用端末5への成りすまし等を確実に防止できる。
INDEX値の変更方法の例としては、認証データ11の宛先IDと送信IDとを演算して新たなINDEX値を求める方法が挙げられるが、予め、宛先IDや送信IDと、変更後のINDEX値とを対応づけたテーブルを、FeRAM35に記憶しておき、このテーブルに従ってINDEX値を変更してもよい。
【0027】
INDEX値が変更された認証データ11は、出力情報16として承認用端末5へ送信され、制御部31によってFeRAM35に再び書き込まれる(書き戻される)。ここで、認証データ11の第2データは、「承認要求」のコマンドから、データ読み出しを指示するコマンドに書き換えられる。これは、既に承認用端末5へ承認要求が送信されたので、次に当該認証データ11について行うべき処理が、利用側端末4に対するデータ取得の指示だからである。
一方、承認用端末5においては、出力情報16を受信し、出力情報16に含まれる出力INDEX値を取得してFeRAM55に記憶する。そして、入力部57の操作によって承認する旨が入力された場合、入力情報15を作成してサーバー3へ送信する。この入力情報15では、先に受信した出力INDEX値が入力INDEX値に設定され、送信IDとしては、この承認用端末5のIDが含まれる。また、この入力情報15のデータには、第1及び第2データとは異なり、データ取得を示すコマンドが含まれる。
【0028】
その後、承認用端末5が承認の応答をサーバー3へ送信すると、サーバー3は、承認用端末5が送信した情報を図6〜図8に示す入力情報15として処理する。
すなわち、サーバー3の制御部31は、承認用端末5から受信した入力情報15に含まれる入力INDEX値に基づいて、認証データテーブル10の認証データ11を検索し、この入力INDEX値と同じ格納INDEX値を有する認証データ11を読み出す。そして、承認用端末5が承認応答の目的で送信した入力情報15にはデータ読み出しを指示するコマンドが含まれているので、制御部31は、このコマンドに従って、データベース2からデータを取得し、このデータを、認証データ11に含まれている送信IDに対応する利用側端末4に対し、データ取得のコマンドを含む出力情報16とともに、送信する。
【0029】
この一連の処理では、利用側端末4が送信する場合も承認用端末5が送信する場合も、入力情報15には送信元の端末のIDと入力INDEX値とが含まれるが、次の情報の送信先である端末のIDは含まれていない。利用側端末4及び承認用端末5と、サーバー3との間では、INDEX値を用いて、認証と次のデータの送信先の特定が行われる。従って、利用側端末4及び承認用端末5に、他の利用側端末4や承認用端末5のID等の情報は伝わらないので、個々の利用側端末4及び承認用端末5に関する情報を末端のユーザーに対して隠蔽できる。
また、INDEX値は、出力情報16を生成する毎に変更されるので、一つの認証データ11に関しては、サーバー3から出力情報16を送信された端末でなければ入力情報15を送信できない。このため、仮に正規の利用側端末4であっても、データ読み出しを要求した後は、正当な応答があるまでは同じデータを要求することはできないし、無関係なデータを要求することもできない。従って、正当な処理手順に従って、正規の端末が送信した情報でなければ受け付けられないため、成りすまし等の不正なアクセスを確実に防止できる。また、承認用端末5は、出力情報16を受信した場合に、同じINDEXと、自己のIDとを含む入力情報15を送信すればよいので、速やかに返信を行える。このため、データをデータベース2から読み出す承認を迅速に得ることができるので、速やかに処理を行うことができる。
【0030】
図9、図10及び図11は、通信システム1の動作を示すフローチャートであり、利用側端末4がデータの読み出しを要求してからデータが読み出される一連の動作を示している。図9A及び図10Aは利用側端末4の動作を示し、図9B及び図10Bはサーバー3の動作を示し、図9Cは承認用端末5の動作を示す。
まず、図9Aに示すように、利用側端末4の操作によりデータベース2に格納されたデータの利用に関する要求が発生すると(ステップS101)、利用側端末4の制御部41は、要求を送信する処理を行い(ステップS102)、サーバー3に対して、図6〜図8を参照して説明したINDEX値と、利用側端末4のIDと、データ読み出しを要求するコマンドとを含む入力情報を送信する(ステップS103)。
【0031】
サーバー3の制御部31は、利用側端末4から送信された情報を受信して認証処理を実行する(ステップS111)。この認証処理について図11を参照して説明する。
この認証処理において、制御部31は、入力情報に含まれる入力INDEX値と一致する格納INDEX値を有する認証データ11(図6B)を、FeRAM35に記憶された認証データテーブル10(図6B)から検索する(ステップS141)。ここで、制御部31は該当するデータがあるか否かを判別し(ステップS142)、該当する認証データが無い場合は認証失敗と判定して(ステップS143)、元の処理に戻る。
【0032】
一方、該当する認証データ11があった場合(ステップS142;Yes)、制御部31は、該当する認証データ11の送信IDと、入力情報の送信IDとを照合し(ステップS144)、一致するか否かを判別する(ステップS145)。ここで、送信IDが一致しない場合(ステップS145;No)、制御部31はステップS143に移行して認証失敗と判定する。また、送信IDが一致した場合(ステップS145;Yes)、認証成功と判定し(ステップS146)、この認証データ11の宛先IDを取得して(ステップS147)、取得した宛先IDと送信IDとをもとに新しいINDEX値を求める(ステップS148)。そして、制御部31は、新しいINDEX値を認証データ11に設定して、認証データ11をFeRAM35に書き戻し(ステップS149)、もとの処理に戻る。
【0033】
図9Bに戻り、認証処理を終えた制御部31は、認証に失敗した場合(ステップS112;No)、エラーを出力して本処理を終了する(ステップS113)。ここでエラーを出力する方法としては、サーバー3の表示部38にエラーを表示してもよいが、ステップS103で入力情報を送信した利用側端末4に対してエラー発生を示す情報を送信してもよい。
また、認証に成功した場合(ステップS112;Yes)、制御部31は、認証処理で更新した認証データ11から取得した宛先IDと新たなINDEX値とを取得し(ステップS114)、この取得した情報をもとに出力情報を生成して、宛先IDに対応する承認用端末5に送信する(ステップS115)。
【0034】
図9Cに示すように、承認用端末5の制御部51は、サーバー3から送信された出力情報を受信すると、この受信した出力情報の宛先IDが自己に割り当てられたIDか否かを判別する(ステップS121)。ここで、宛先IDが正しいIDでない場合(ステップS121;No)、制御部51は、エラーを出力して本処理を終了する(ステップS122)。ここでエラーを出力する方法としては、承認用端末5の表示部58にエラーを表示してもよいが、ステップS115で出力情報を送信したサーバー3に対してエラー発生を示す情報を送信してもよい。
一方、出力情報の宛先IDが正しいIDであった場合(ステップS121;Yes)、制御部51は、受信した出力情報のINDEX値を取得してFeRAM55に記憶するとともに(ステップS123)、表示部58に承認の可否を入力するよう求めるメッセージを表示して、入力部57による入力に待機する。ここで、入力部57による入力が行われると(ステップS124)、制御部51は、入力部57により入力された内容に対応する入力情報を生成して、サーバー3へ送信する(ステップS125)。ここでサーバー3に送信される入力情報には、FeRAM55に記憶されたINDEX値が含まれ、承認用端末5のIDが送信IDとして含まれ、さらに、コマンドが含まれる。このコマンドは、入力部57により承認された場合はデータ読み出しを指示するコマンドであり、データベース2のデータ利用が拒否された場合は、データ利用拒否を示すコマンドとなる。
【0035】
図10Bに示すように、承認用端末5からの入力情報を受信したサーバー3の制御部31は、図11を参照して説明した認証処理を承認用端末5に対して行い(ステップS127)、認証処理に失敗した場合(ステップS128;Yes)、ステップS113と同様にエラーを出力する(ステップS129)。
一方、承認用端末5の認証に成功した場合(ステップS128;Yes)、制御部31は、受信した入力情報に含まれる送信IDとステップS127で更新したINDEX値とを取得し(ステップS130)、さらに、受信した入力情報に含まれるコマンドに基づいて、データベース2のデータの利用が承認されたか否かを判別する(ステップS131)。ここで、データの利用が拒否された場合にはステップS129に移行してエラーを出力し、本処理を終了する。この場合のエラーの出力は、承認用端末5ではなく、データの読み出しを要求した利用側端末4に送信することが好ましい。
【0036】
承認用端末5によってデータの利用が承認された場合(ステップS131;Yes)、制御部31は、データベース2から該当するデータを取得する処理を行う(ステップS132)。すなわち、データベース2に対してデータを要求するクエリを実行し(ステップS133)、このクエリに応答してデータベース2から送信されるデータを取得する(ステップS134)。
ここで、制御部31は、データベース2から取得したデータをいったんFeRAM35に記憶し(ステップS135)、全てのデータの取得を終えたところでFeRAM35からデータを読み出して(ステップS136)、このデータをサーバー3へ送信する処理を行う(ステップS137)。すなわち、制御部31は、宛先IDとしての利用側端末4のIDと、ステップS127の認証処理で更新されたINDEX値と、データ取得を指示するコマンドとを含む出力情報と、データベース2から読み出したデータとを、利用側端末4へ送信する(ステップS138)。
【0037】
利用側端末4の制御部41は、サーバー3から送信された出力情報とデータとを受信して、FeRAM45に記憶し(ステップS116)、次にサーバー3にアクセスするために、受信した出力情報のINDEX値をFeRAM35に記憶して(ステップS117)、本処理を終了する。
【0038】
以上説明したように、本発明を適用した実施形態に係る通信システム1は、データベース2に格納されたデータの読み出しを要求する利用側端末4と、データベース2からのデータ読み出しを制御するサーバー3と、データベース2に格納されたデータの利用の可否を決定する承認用端末5と、を備え、サーバー3は、読出時に読み出されたデータが物理的に破壊される特性を有する破壊読み出し型の記憶部であるFeRAM35を有し、このFeRAM35に複数の認証データ11を記憶しており、利用側端末4がデータベース2のデータ読み出しのコマンドを送信した場合に、FeRAM35に記憶された認証データ11に基づいて利用側端末4の認証を行うとともに、認証に成功した場合はFeRAM35から認証データ11を読み出して、読み出した認証データ11を変更してFeRAM35に書き戻す処理を行い、承認用端末5に対して承認要求とともに変更後の認証データ11の少なくとも一部とを送信し、承認用端末5から承認応答と認証データ11とを受信した場合に、FeRAM35から認証データ11を読み出して受信した認証データ11の認証を行い、認証に成功した場合にのみ、データベース2からデータを読み出して利用側端末4に送信する。これにより、データベース2のデータの秘匿性を保ちつつ、データベース2に格納されたデータの読み出しが要求された場合に、データの利用の可否を決定する権限を有するユーザーに対して、効率よく、データベース2に格納されたデータの利用の都度に承認を求めることができる。
【0039】
また、利用側端末4の認証に成功した後に、破壊読み出し型の記憶部であるFeRAM35から認証データ11が読み出され、変更されて書き戻され、この変更後の認証データ11を利用して承認用端末5の認証が行われる。FeRAM35から読み出された変更前の認証データ11は確実に破壊されるので、変更後の認証データ11を用いて認証を行うことにより、サーバー3から承認要求を受けた承認用端末5でなければ承認の応答を送信できない。従って、正当な権限を有する承認用端末5のみが承認を行うことが可能になり、成りすまし等の不正を確実に防止し、高いセキュリティレベルを確保できる。
【0040】
サーバー3のFeRAM35は複数の認証データ11の各々にデータ識別用のINDEX値を付して記憶しており、利用側端末4は、サーバー3に対してデータ読み出しのコマンドとともに認証データ11のINDEX値を送信し、サーバー3は、利用側端末4から送信されたINDEX値に従ってFeRAM35の認証データ11を読み出し、該当する認証データ11がある場合に認証成功と判定する一方、読み出した認証データ11のINDEX値を変更してFeRAM35に書き戻し、変更後のINDEX値を承認用端末5に送信し、承認用端末5から承認応答と認証データ11のINDEX値とを受信し、受信したINDEX値に従ってFeRAM35から認証データ11を読み出し、該当する認証データ11がある場合に認証成功と判定する。
つまり、サーバー3は、FeRAM35に記憶している認証データ11に付されたINDEX値に従って利用側端末4及び承認用端末5の認証を行うので、INDEX値の誤りにより認証に失敗した場合は該当する認証データ11がないため、FeRAM35から認証データ11の読み出しが行われず、FeRAM35から認証データ11が失われない。このため、正規の権限を有する利用側端末4及び承認用端末5以外の装置から不適切なアクセスがされた場合に、認証データ11を失わずにアクセスを拒否できるので、正規のアクセスに対する処理への悪影響がない。
加えて、正規の利用側端末4及び承認用端末5がアクセスした場合には認証データ11のINDEX値を書き換えて書き戻しを行うことで、成りすましや認証データ11の漏洩による不正なアクセスを確実に防止でき、高いセキュリティレベルを確保できる。
【0041】
また、FeRAM35が記憶する認証データテーブル10は、利用側端末4に固有のIDと、承認用端末5に固有のIDとを対応づける認証データ11を含み、利用側端末4は、サーバー3に対してデータ読み出しのコマンドとともに自己のIDとを送信し、サーバー3は、利用側端末4から送信されたINDEX値に従ってFeRAM35の認証データ11を読み出し、読み出した認証データ11から承認用端末5のIDを取得し、この取得したIDに基づいて承認用端末5に承認要求を送信する。
この場合、正しいINDEX値を持つ利用側端末4でなければデータの読み出しを要求できないので、成りすましによる不正なアクセスを確実に防止できる。また、利用側端末4が承認用端末5のIDそのものを持たないので、利用側端末4と承認用端末5との間で、互いの情報を隠蔽することができ、高いセキュリティレベルを確保できる。
【0042】
さらに、サーバー3はデータベース2に接続され、承認用端末5からの承認の応答を受信した場合にデータベース2からデータを読み出して利用側端末4に送信するので、承認後のデータの読み出しを速やかに行うことができ、また、承認後のデータの授受に関与する装置が少ないためにセキュリティの確保が容易になる。
【0043】
なお、上記構成において、サーバー3は、認証に失敗した場合(図9のステップS113、図10のステップS129、図11のステップS143等)に、FeRAM35が記憶する認証データ11を初期状態に書き戻してもよい。この構成は、例えば、ROM33において初期状態の認証データテーブル10と同一のデータを記憶しておき、必要に応じて、FeRAM35の認証データテーブル10の一部または全部を、ROM33に記憶されたデータに基づいて上書きすればよい。この場合、認証に失敗してFeRAM35に記憶された認証データ11が損なわれた場合であっても、初期状態に戻すことでその後のデータの読み出しに支障がないよう回復できる。このため、破壊読み出し型のFeRAM35を利用してセキュリティを確保し、かつ、可用性を高めることができる。
【0044】
また、上述した実施形態は本発明を適用した一態様を示すものであって、本発明は上記実施形態に限定されない。
例えば、上記実施形態では、データベース2からのデータの読み出しを制御するサーバー3がデータベース2を有する構成として説明したが、本発明はこれに限定されず、データベース2を管理するDBMSが通信回線6に接続され、サーバー3が利用側端末4に対してデータの読み出しを承認する出力情報16を送信する際に、この出力情報16にデータ読み出し用の鍵情報を含め、この鍵情報に基づいて利用側端末4がデータベース2からデータを読み出す構成としてもよい。また、上記実施形態では、利用側端末4と承認用端末5とを異なる端末装置として説明したが、本発明はこれに限定されるものではなく、利用側端末4と承認用端末5との両方の機能を備えた端末装置を用いることも可能である。さらに、サーバー3、利用側端末4及び承認用端末5の間の具体的な通信手順は、電子メールシステムを用いても良いし、ページングシステムを利用してもよく、具体的なデータフォーマットや通信プロトコルは任意である。その他、通信システム1を構成する各部の構成は本発明の趣旨を逸脱しない範囲で任意に変更可能である。
【0045】
(適用例1)
以上説明した通信システム1は、例えば、医療機関におけるデータ管理システムとして利用できる。
通信システム1を、医療機関(例えば、病院)における電子カルテ管理システムとして構成し、データベース2には患者毎の電子カルテを格納し、利用側端末4は、電子カルテの情報を利用する端末装置とする。利用側端末4は、具体的には、医師が診察時や患者の病態管理に使用する端末装置、薬剤師が処方時に使用する端末装置、医療費の計算及び決済を行うための会計用端末装置等である。また、承認用端末5は患者自身が所持する端末装置であり、承認用端末5を所持する患者は、自身に関する電子カルテのデータを利用側端末4が利用することに対して承認及び拒否を行うことができる。
この場合、個々の患者の電子カルテのデータが、患者の承認を得てから利用可能となるため、例えば電子カルテのデータの目的外の使用を防止でき、電子カルテシステムにおけるセキュリティをより一層高めることができる。
また、この構成は、既存の電子カルテ管理システムに対して容易に導入できる。データベース2は、既存の電子カルテデータベースをそのまま利用でき、このデータベース2を管理するサーバー装置として上述したサーバー3を設け、医師、薬剤師及び会計用の端末装置には図6〜図11に示した利用側端末4の機能を実現するアプリケーションソフトウェアを導入し、新たに各患者に承認用端末5を持たせることで実現できる。承認用端末5は、例えば病院内で患者が操作できればよいので、病院内に入る患者にその都度貸与すればよい。この場合の通信回線6は、病院内に敷設されたLANに相当し、アクセスポイント7は無線LAN(その他の近距離無線通信方式を含む)のアクセスポイントに相当する。このように、既存の電子カルテ管理システムに対して本発明を適用することで、患者の同意のない電子カルテのデータの流用を防止し、かつ、患者や医師への成りすましを確実に防止できる。
【0046】
(適用例2)
また、通信システム1は、クレジットカード決済を利用する場合の与信処理に適用できる。すなわち、通信システム1を、クレジットカード決済を行う場合の与信情報管理システムとして構成し、データベース2には、クレジットカードを使用する顧客であるカード会員毎の与信情報を格納し、利用側端末4は、店舗等に設置され、クレジットカードによる支払い処理を行うPOS端末装置あるいはCAT(Credit Authorization Terminal)と呼ばれる端末装置とする。また、承認用端末5は、信販会社等のクレジットカード決済サービスを提供する企業(以下、カード会社とする)の管理下で操作される端末装置とする。この場合の通信回線6は、公衆電話回線網やVPNで構成される。また、アクセスポイント7は、携帯電話やPHS等の無線電話回線等の基地局が相当する。
この構成では、カード会員がクレジットカードを使用して買い物の支払いやキャッシング等を行う場合に、POS端末装置やCATが利用側端末4として、サーバー3に対し、そのカード会員に対する与信情報の利用を要求し、この要求に対し、カード会社が承認をした場合にのみ、与信情報が利用側端末4に提供される。この場合、個々のカード会員の与信情報が、カード会社の承認を得てから利用可能となるため、例えば与信情報の目的外の使用を防止できる。また、カード会員への成りすましや、カード会社になりすました与信情報の流用を確実に防止できる。
また、この構成は、既存のクレジットカード決済システムに対して容易に導入できる。データベース2は、既存の与信情報データベースを利用でき、このデータベース2を管理するサーバー装置として上述したサーバー3を設け、POS端末装置やCATには図6〜図11に示した利用側端末4の機能を実現するアプリケーションソフトウェアを導入し、新たにカード会社の管理下に承認用端末5を設ければよい。このように、既存のクレジットカード決済システムに本発明を適用することで、安全確実に、顧客であるカード会員に対し、支払決済サービスを提供することができる。
【0047】
本発明は、上記の適用例に限らず、データの目的外の利用を制限することが効果的な様々なシステムに適用可能であり、例えば、自治体等の公的機関が保有する住民登録や戸籍等のデータ、国税局や自治体の税務事務所等が保有する課税に係るデータ、公的あるいは私的手続き時に利用される電子証明書のデータ、学校等が保有する児童・生徒・学生の個人情報等を利用するシステムに適用すれば、データの利用を承認及び拒否する権限を有する人が承認した場合にのみデータの利用が可能となり、効率よく承認を得ることができるという効果が得られる。
【符号の説明】
【0048】
1…通信システム、2…データベース、3…サーバー(サーバー装置)、4…利用側端末(第1の端末)、5…承認用端末(第2の端末)、6…通信回線、11…認証データ、35…FeRAM(記憶部)。
【技術分野】
【0001】
本発明は、通信システム、及び、通信制御方法に関する。
【背景技術】
【0002】
近年、個人情報等の不正な取得あるいは使用を防止するため、セキュリティの強化が求められており、例えば、生体情報を利用して認証を行い、認証に成功した場合にのみ情報を送受信可能とするシステムが知られている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2008−33805号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところで、個人情報をはじめとする保護すべき情報を利用する場合、その情報の本来の所有者の承諾を必要とする場合がある。このような場合、情報を収集及び入力する際に予め所有者の承諾を得ることが一般的であり、情報が集積された後で、その情報が利用される毎に承諾を得る仕組みは無かった。また、情報を利用する都度に承諾を得ようとすれば通信頻度が増すため、セキュリティを確保し、かつ、効率よく承諾を得ることは従来の手法では困難であった。
本発明は、上述した事情に鑑みてなされたものであり、情報の秘匿性を保ちつつ、効率よく、情報の利用に関して承諾の権限を有する者に情報の利用の都度に承諾を得ることが可能な通信システム、及び、通信制御方法を提供することを目的とする。
【課題を解決するための手段】
【0005】
上記目的を達成するために、本発明は、データベースに格納されたデータの読み出しを要求する第1の端末と、前記データベースからのデータ読み出しを制御するサーバー装置と、前記データベースに格納されたデータの利用の可否を決定する第2の端末と、を備え、前記サーバー装置は、読出時に読み出されたデータが物理的に破壊される特性を有する破壊読み出し型の記憶部を有し、この記憶部に認証データを記憶しており、前記第1の端末からデータ読み出しが要求された場合に、前記記憶部に記憶された前記認証データに基づいて前記第1の端末の認証を行うとともに、認証に成功した場合は前記記憶部から前記認証データを読み出して、読み出した前記認証データを変更して前記記憶部に書き戻す処理を行い、前記第2の端末に対して承認要求とともに変更後の前記認証データの少なくとも一部とを送信し、前記第2の端末から承認応答と前記認証データとを受信した場合に、前記記憶部から前記認証データを読み出して受信した前記認証データの認証を行い、認証に成功した場合にのみ、前記第1の端末が前記データベースのデータを読み出し可能な状態とすること、を特徴とする。
この構成によれば、データベースに格納されたデータの読み出しが要求された場合に、データの利用の可否を決定する第2の端末に対して承認を要求し、この要求に対して承認応答が送信された場合にのみ、データベースのデータを読み出し可能になるので、効率よく、データベースに格納されたデータの利用の都度に承認を得ることができる。ここで、データの読み出しが要求された場合に破壊読み出し型の記憶部から認証データが読み出され、読み出された認証データが変更されて書き戻され、この変更後の認証データを利用して第2の端末の認証が行われる。このため、破壊読み出し型の記憶部を利用することで変更前の認証データが確実に失われ、変更後の認証データを用いて認証を行うことによって、サーバー装置から承認要求を受けた第2の端末でなければ承認の応答を送信できなくなるので、正当な権限を有する第2の端末のみがデータの利用を承認することが可能になる。これにより、データの利用の承認に関して高いセキュリティレベルを確保できる。
【0006】
上記構成において、前記記憶部は複数の前記認証データの各々にデータ識別用の識別符号を付して記憶しており、前記第1の端末は、前記サーバー装置に対してデータ読み出しの要求とともに前記認証データの識別符号を送信し、前記サーバー装置は、前記第1の端末から送信された識別符号に従って前記記憶部の前記認証データを読み出し、該当する前記認証データがある場合に認証成功と判定する一方、読み出した前記認証データの識別符号を変更して前記記憶部に書き戻し、変更後の識別符号を前記第2の端末に送信し、前記第2の端末から承認応答と前記認証データの識別符号とを受信し、受信した識別符号に従って前記記憶部から前記認証データを読み出し、該当する前記認証データがある場合に認証成功と判定してもよい。
この場合、サーバー装置は、記憶部に記憶している認証データに付された識別符号に従って第1の端末及び第2の端末の認証を行うので、認証に失敗する場合は識別符号が誤っているため記憶部から認証データの読み出しが行われず、破壊読み出し型の記憶部から認証データが失われない。このため、正規の権限を有する第1及び第2の端末以外の装置から不適切なアクセスがされた場合は、認証データを失わずにアクセスを拒否できるので、正規のアクセスに対する処理への悪影響がない。その上、正規の第1及び第2の端末がアクセスした場合には認証データの識別符号を書き換えて書き戻しを行うことで、成りすましや認証データの漏洩による不正なアクセスを確実に防止でき、高いセキュリティレベルを確保できる。
【0007】
また、上記構成において、前記記憶部が記憶する前記認証データは、前記第1の端末に固有のIDと、前記第2の端末に固有のIDとを対応づける情報であり、前記第1の端末は、前記サーバー装置に対してデータ読み出しの要求とともに前記認証データと自己のIDとを送信し、前記サーバー装置は、前記第1の端末から送信された識別符号に従って前記記憶部の前記認証データを読み出し、読み出した前記認証データから前記第2の端末のIDを取得し、この取得したIDに基づいて前記第2の端末に承認要求を送信してもよい。
この場合、第1の端末がデータの読み出しを要求する場合に認証データの識別符号を指定し、この指定された識別符号に従ってサーバー装置の記憶部から読み出された認証データにより、承認要求を送信すべき相手となる第2の端末が特定されるので、正しい認証データの識別符号を知り得る第1の端末でなければデータの読み出しを要求できない。このため、成りすましによる不正なアクセスを確実に防止でき、高いセキュリティレベルを確保できる。
【0008】
また、上記構成において、前記サーバー装置は前記データベースに接続され、前記第2の端末からの承認の応答を受信した場合の認証に成功した後、前記データベースからデータを読み出して前記第1の端末に送信してもよい。
この場合、第1の端末がデータ読み出しを要求した場合に、第1及び第2の端末の認証を行うサーバー装置が、データベースから情報を読み出して第1の端末に送信するので、承認後のデータの読み出しを速やかに行うことができ、また、承認後のデータの授受に関与する装置が少ないためにセキュリティの確保が容易になる。
【0009】
さらに、上記構成において、前記サーバー装置は、前記認証に失敗した場合に、前記記憶部が記憶する前記認証データを初期状態に書き戻してもよい。
この場合、万が一認証に失敗して記憶部に記憶された認証データが損なわれた場合であっても、初期状態に戻すことでその後のデータの読み出しに支障がないよう回復できる。このため、破壊読み出し型の記憶部を利用してセキュリティを確保し、かつ、可用性を高めることができる。
【0010】
また、本発明は、データベースに格納されたデータの読み出しを制御するサーバー装置により、前記第1の端末から前記データベースに格納されたデータの読み出しが要求された場合に、破壊読み出し型の記憶部に記憶された認証データに基づいて前記第1の端末の認証を行うとともに、認証に成功した場合は前記記憶部から前記認証データを読み出して、読み出した前記認証データを変更して前記記憶部に書き戻す処理を行い、承認を行う第2の端末に対して、承認要求と、変更後の前記認証データの少なくとも一部とを送信し、前記第2の端末から承認応答と前記認証データとを受信した場合に、前記記憶部から前記認証データを読み出して受信した前記認証データの認証を行い、認証に成功した場合にのみ、前記第1の端末が前記データベースのデータを読み出し可能な状態とすること、を特徴とする。
この方法によれば、データベースに格納されたデータの読み出しが要求された場合に、データの利用の可否を決定する第2の端末に対して承認を要求し、この要求に対して承認応答が送信された場合にのみ、データベースのデータを読み出し可能になるので、効率よく、データベースに格納されたデータの利用の都度に承認を得ることができる。ここで、データの読み出しが要求された場合に破壊読み出し型の記憶部から認証データが読み出され、読み出された認証データが変更されて書き戻され、この変更後の認証データを利用して第2の端末の認証が行われる。このため、破壊読み出し型の記憶部を利用することで変更前の認証データが確実に失われ、変更後の認証データを用いて認証を行うことによって、サーバー装置から承認要求を受けた第2の端末でなければ承認の応答を送信できなくなるので、正当な権限を有する第2の端末のみがデータの利用を承認することが可能になる。これにより、データの利用の承認に関して高いセキュリティレベルを確保できる。
【0011】
さらに、本発明は、上記通信制御方法を実現するためのプログラムや、このプログラムをコンピューター読み取り可能に記録した記録媒体の形態で実現することも可能である。
【発明の効果】
【0012】
本発明によれば、破壊読み出し型の記憶部に記憶した認証データを利用して認証を行うことにより、セキュリティを確保しつつ、データベースに格納されたデータの利用の都度、データを読み出して利用する装置とは別の装置によって承認を得る構成を実現できる。
【図面の簡単な説明】
【0013】
【図1】本発明の実施形態に係る通信システムの概略構成を示す図である。
【図2】データを読み出す際の通信手順の概略を示す図である。
【図3】サーバーの機能的構成を示すブロック図である。
【図4】利用側端末の機能的構成を示すブロック図である。
【図5】承認用端末の機能的構成を示すブロック図である。
【図6】サーバーにより処理されるデータの構成例を模式的に示す図である。
【図7】認証データを用いた認証に係る動作の一例を示す説明図である。
【図8】認証データを用いた認証に係る動作の一例を示す説明図である。
【図9】通信システムの動作を示すフローチャートである。
【図10】通信システムの動作を示すフローチャートである。
【図11】通信システムの動作を示すフローチャートである。
【発明を実施するための形態】
【0014】
以下、図面を参照して本発明の実施形態について説明する。
図1は、本発明を適用した実施形態に係る通信システム1の概略構成を示す図である。
図1に示す通信システム1は、データベース2を有するサーバー3(サーバー装置)と、利用側端末4(第1の端末)とを通信回線6を介して相互に通信可能に接続して構成される。また、通信回線6には、アクセスポイント7を介して承認用端末5(第2の端末)が接続され、このアクセスポイント7及び通信回線6を介して、承認用端末5は、サーバー3と相互に通信可能に接続される。図1では一つの利用側端末4と一つの承認用端末5とがサーバー3に接続された構成を示したが、通信システム1が利用側端末4及び承認用端末5を複数備えた構成とすることは勿論可能である。
データベース2は、医療機関において作成および保存された電子カルテのデータや、クレジットカード決済サービスを提供する金融サービス企業が作成した与信情報など、個人に関係するデータを記憶したデータベースである。利用側端末4は、電子カルテを読み出して使用する医師用の端末装置、或いは、クレジットカード決済を行うにあたって与信情報を利用するクレジットカード読取端末等、データベース2に格納されたデータを利用する端末装置である。通信システム1では、利用側端末4からの要求に応じて、データベース2に格納されたデータをサーバー3が読み出し、通信システム1に送信する。ここで、データベース2に格納されたデータは個人に関するデータであるため、利用の都度、その個人が使用する承認用端末5によって承認が行われる。この承認用端末5による承認を得てから、サーバー3は、データベース2のデータを読み出して利用側端末4に送信する。
【0015】
通信回線6は、電気通信事業者により設置された専用線、公衆交換電話網、衛星通信回線、移動体通信回線等の各種通信回線を含んで構成され、各種データを送受信可能な通信網であり、具体的な例としてはインターネットが挙げられ、インターネット等のオープンな通信網においてVPN(Virtual Private Network)技術により実現される仮想的な専用線であってもよい。通信回線6には回線交換装置や各種サーバー装置を含んでいてもよく、具体的態様は特に限定されない。また、通信回線6とアクセスポイント7との間、及び、通信回線6とサーバー3及び利用側端末4との間には、通信事業者が提供するファイアーウォール、ゲートウェイ装置等の各種機器が介在する構成としても良いが、ここでは図示しない。
【0016】
図2は、通信システム1を構成する各部間の通信手順を示す図である。
この図2を参照して、通信システム1において利用側端末4がデータベース2からデータを読み出す場合の動作の概略を説明する。
利用側端末4を利用するユーザーがデータベース2内のデータの読み出しを望んで利用側端末4を操作すると、利用側端末4からサーバー3に対してデータ要求が送信される(ステップS1)。サーバー3は、データ要求を受けると、利用側端末4の認証を行い、認証に成功した場合に、要求されたデータに対応する承認用端末5を特定し、この承認用端末5に対して承認要求を送信する(ステップS2)。承認用端末5を使用するユーザーは、サーバー3からの承認要求を受けて、自身に関わるデータの利用を承認するか否かを判断し、承認する場合には承認用端末5を操作して、承認の応答をサーバー3に送信する(ステップS3)。
サーバー3は、承認用端末5から承認の応答を受けると、承認用端末5の認証を行い、認証に成功した場合にはデータベース2にアクセスして、ステップS1で利用側端末4から要求されたデータを読み出して(ステップS4)、読み出したデータを利用側端末4に送信する(ステップS5)。
サーバー3は、ステップS1のデータ要求を受けた場合に利用側端末4の認証を行い、ステップS3で承認の応答を受けた場合に承認用端末5の認証を行う。これらの認証は、予めサーバー3が記憶している認証データ11、各々の利用側端末4に付与されたID、及び、各々の承認用端末5に付与されたIDに基づいて行われる。
【0017】
図3は、サーバー3の機能的構成を示すブロック図である。
この図3に示すように、サーバー3は、各部を制御する制御部31と、制御部31により実行されるプログラムや処理対象のデータ等を記憶する記憶部30とを備えて構成される。
記憶部30は、制御部31が実行する基本制御プログラムやデータを不揮発的に記憶するROM33、制御部31が実行するプログラム等を展開するための一時記憶領域を形成するRAM34、及び、制御部31により処理されるデータ等を不揮発的に記憶するFeRAM35を備える。
ROM33は、PROM、EPROM、フラッシュメモリー等の不揮発性メモリーデバイスを用いて構成され、予め工場出荷時に記憶された基本制御プログラム、この基本制御プログラムに従ってサーバー3の各部を制御するためのデータを記憶する。RAM34は、SRAM、DRAM、SDRAM等の揮発性のメモリーデバイスを用いて構成される。また、記憶部としてのFeRAM(Ferroelectric Random Access Memory)35は、強誘電体のヒステリシスを利用した強誘電体メモリーとも呼ばれる不揮発性のメモリーデバイスを用いて構成される。FeRAM35を構成するメモリーデバイスは破壊読み出し型であり、記憶しているデータの読み出し時に、このデータを記憶していた領域からデータが物理的に失われるという特性を有する。本実施形態では、FeRAM35に記憶されているデータを読み出す場合、制御部31の制御により、読み出したデータはRAM34に一時的に格納され、その後、必要に応じてFeRAM35へ書き戻しが行われる。書き戻しの際に、読み出されたデータをそのまま書き戻すか、一部または全部を変更して書き戻すかは制御部31の制御により決定される。
【0018】
サーバー3は、通信回線6を介して各種データを送受信するための通信制御部36を備える。また、サーバー3は、メンテナンスや各種設定のために操作される入力部37及び設定状態やサーバー3の動作状態等を表示する表示部38を備え、さらに、データベース2に接続されるインターフェース39を備えている。制御部31は、インターフェース39を介してデータベース2へのデータの格納、データベース2からのデータの読み出し等を行う。なお、データベース2を、サーバー3が内蔵する記憶装置に形成することも勿論可能であり、この場合にはインターフェース39は不要である。
【0019】
図4は、利用側端末4の機能的構成を示すブロック図である。
この図4に示すように、利用側端末4は、各部を制御する制御部41と、制御部41により実行されるプログラムや処理対象のデータ等を記憶する記憶部40とを備えて構成される。
記憶部40は、制御部41が実行する基本制御プログラムやデータを不揮発的に記憶するROM43、制御部41が実行するプログラム等を展開するための一時記憶領域を形成するRAM44、及び、制御部41により処理されるデータ等を不揮発的に記憶するFeRAM45を備える。
ROM43は、ROM33(図3)と同様に不揮発性メモリーデバイスを用いて構成され、予め工場出荷時に記憶された基本制御プログラム、この基本制御プログラムに従って利用側端末4の各部を制御するためのデータ、及び、予め利用側端末4に付与されたID等を記憶する。RAM44は、RAM34(図3)と同様の揮発性のメモリーデバイスを用いて構成される。FeRAM45は、FeRAM35(図3)と同様の破壊読み出し型の不揮発性のメモリーデバイスを用いて構成され、必要に応じて、制御部41の制御によってFeRAM45へのデータの書き戻しが行われる。
また、利用側端末4は、通信回線6を介して各種データを送受信するための通信制御部46、データベース2のデータを利用するユーザーが操作するキーボードやマウス等の入力部47、実行中の処理や処理結果、取得したデータの内容等を表示する等を表示する表示部48を備えている。
【0020】
図5は、承認用端末5の機能的構成を示すブロック図である。
この図5に示すように、承認用端末5は、各部を制御する制御部51と、制御部51により実行されるプログラムや処理対象のデータ等を記憶する記憶部50とを備えて構成される。
記憶部50は、制御部51が実行する基本制御プログラムやデータを不揮発的に記憶するROM53、制御部51が実行するプログラム等を展開するための一時記憶領域を形成するRAM54、及び、制御部51により処理されるデータ等を不揮発的に記憶するFeRAM55を備える。
ROM53は、ROM33(図3)と同様に不揮発性メモリーデバイスを用いて構成され、予め工場出荷時に記憶された基本制御プログラム、この基本制御プログラムに従って承認用端末5の各部を制御するためのデータ、及び、予め承認用端末5に付与されたID等を記憶する。RAM54は、RAM34(図3)と同様の揮発性のメモリーデバイスを用いて構成される。FeRAM55は、FeRAM35(図3)と同様の破壊読み出し型の不揮発性のメモリーデバイスを用いて構成され、必要に応じて、制御部51の制御によってFeRAM55へのデータの書き戻しが行われる。
また、承認用端末5は、通信回線6を介して各種データを送受信するための通信制御部56、データベース2のデータ利用を承認するユーザーが操作するキーボードやマウス等の入力部57、実行中の処理や処理結果、取得したデータの内容等を表示する等を表示する表示部58、及び、アンテナ5Aを介してアクセスポイント7との間で無線通信を実行する無線通信部59を備えている。
【0021】
図6は、サーバー3により処理されるデータの構成例を模式的に示す図であり、図6Aは利用側端末4或いは承認用端末5からサーバー3が受信する入力情報15の構成例を示し、図6Bはサーバー3のFeRAM35に格納される認証データテーブル10の構成例を示し、図6Cはサーバー3が承認用端末5或いは利用側端末4に出力する出力情報16の構成例を示す。
図7及び図8は、認証データ11を用いた認証の一例を示す説明図である。
これら図6〜図8を参照して、サーバー3による認証データ11の取り扱いについて説明する。
【0022】
図6Aに示すように、利用側端末4及び承認用端末5からサーバー3に入力される入力情報15は、入力INDEX値(識別符号)と、この入力情報15を送信した端末のID(宛先ID)と、サーバー3に対するコマンドとしてのデータとを含んでいる。
利用側端末4がサーバー3にデータ読み出しを要求する場合、入力情報15には、データベース2からのデータ読み出しを要求するコマンドである第1データが含まれる。ここで、入力情報15には、利用側端末4が読み出しを要求するデータベース2内のデータ自体を指定する情報は含まれていない。
【0023】
サーバー3は、FeRAM35に複数の認証データ11が集積されたテーブルである認証データテーブル10を記憶している。個々のレコードに相当する認証データ11は、各々の認証データ11を識別するための格納INDEX値(識別符号)を含んでいる。そして、各々の認証データ11は、対応する入力情報15を送信した端末のID(送信ID)と、次にサーバー3が後述する出力情報16を送信する場合の宛先となる端末のID(宛先ID)と、データとを含んでいる。利用側端末4がサーバー3にデータ読み出しを要求した段階では、次に行われる動作は承認用端末5に対する承認要求であるから、図6Bに示す認証データ11には、承認用端末5に対して承認を要求するコマンドである第2データが含まれている。
サーバー3が利用側端末4または承認用端末5に送信する出力情報16は、出力INDEX値(識別符号)と、宛先の端末のID(宛先ID)と、データとを含んでいる。このデータは認証データ11と同じものであり、図6Cの例では承認要求のコマンドすなわち第2データである。
【0024】
まず、利用側端末4がサーバー3にデータ読み出しを要求した場合、サーバー3の制御部31は、利用側端末4からの入力情報15を受信し、この入力情報15に含まれる第1データ(コマンド)から、これがデータの読み出し要求であることを検出する。そして、図7に示すように、制御部31は、入力情報15の入力INDEX値をもとに、FeRAM35に記憶している認証データテーブル10から、認証データ11を検索する。ここで、入力情報15の入力INDEX値と同じ格納INDEX値を有する認証データ11があれば、この認証データ11をFeRAM35から読み出す。また、入力情報15の入力INDEX値と同じ格納INDEX値を有する認証データ11が無い場合、入力情報15に対してエラーを出力する。
【0025】
続いて、制御部31は、入力情報15に一致する認証データ11を読み出して、読み出した認証データ11の宛先IDを取得する。この宛先IDは、サーバー3から承認要求を送信する承認用端末5のIDである。また、認証データ11に含まれる第2データは承認要求のコマンドである。制御部31は、FeRAM35から読み出した認証データ11に基づいて承認用端末5へ承認要求を送信する。
従って、利用側端末4は、データベース2から取得したいデータがあれば、そのデータに対応する格納INDEX値を含む入力情報15を生成し、サーバー3に送信する必要がある。制御部31は、実在するINDEX値を入力INDEX値として含んでいる入力情報15しか受け付けないし、INDEX値によって承認要求先の承認用端末5が決定されてしまうので、利用側端末4では、認証データテーブル10における正しい格納INDEX値を保持しておく必要がある。この格納INDEX値は、例えば、FeRAM45に記憶しておき、入力情報15をサーバー3に送信する毎にFeRAM45からINDEX値を読み出し、必要に応じてFeRAM45に書き戻す構成とすれば、利用側端末4におけるデータ処理のセキュリティを高めることができる。
【0026】
そして、制御部31は、認証データ11をFeRAM35から読み出してRAM34に一時的に格納し、この認証データ11のINDEX値を変更する。これにより、この認証データ11に他の利用側端末4がアクセスしたり、既に入力情報15を送信した利用側端末4が再び同じINDEX値を指定したりできなくなる。つまり、FeRAM35から読み出され、承認用端末5への承認要求が行われた認証データ11については、その承認用端末5から承認の応答が返信されるまで、利用側端末4からの要求が行えなくなる。これにより、承認用端末5による承認が二重に行われることや、正規の承認用端末5への成りすまし等を確実に防止できる。
INDEX値の変更方法の例としては、認証データ11の宛先IDと送信IDとを演算して新たなINDEX値を求める方法が挙げられるが、予め、宛先IDや送信IDと、変更後のINDEX値とを対応づけたテーブルを、FeRAM35に記憶しておき、このテーブルに従ってINDEX値を変更してもよい。
【0027】
INDEX値が変更された認証データ11は、出力情報16として承認用端末5へ送信され、制御部31によってFeRAM35に再び書き込まれる(書き戻される)。ここで、認証データ11の第2データは、「承認要求」のコマンドから、データ読み出しを指示するコマンドに書き換えられる。これは、既に承認用端末5へ承認要求が送信されたので、次に当該認証データ11について行うべき処理が、利用側端末4に対するデータ取得の指示だからである。
一方、承認用端末5においては、出力情報16を受信し、出力情報16に含まれる出力INDEX値を取得してFeRAM55に記憶する。そして、入力部57の操作によって承認する旨が入力された場合、入力情報15を作成してサーバー3へ送信する。この入力情報15では、先に受信した出力INDEX値が入力INDEX値に設定され、送信IDとしては、この承認用端末5のIDが含まれる。また、この入力情報15のデータには、第1及び第2データとは異なり、データ取得を示すコマンドが含まれる。
【0028】
その後、承認用端末5が承認の応答をサーバー3へ送信すると、サーバー3は、承認用端末5が送信した情報を図6〜図8に示す入力情報15として処理する。
すなわち、サーバー3の制御部31は、承認用端末5から受信した入力情報15に含まれる入力INDEX値に基づいて、認証データテーブル10の認証データ11を検索し、この入力INDEX値と同じ格納INDEX値を有する認証データ11を読み出す。そして、承認用端末5が承認応答の目的で送信した入力情報15にはデータ読み出しを指示するコマンドが含まれているので、制御部31は、このコマンドに従って、データベース2からデータを取得し、このデータを、認証データ11に含まれている送信IDに対応する利用側端末4に対し、データ取得のコマンドを含む出力情報16とともに、送信する。
【0029】
この一連の処理では、利用側端末4が送信する場合も承認用端末5が送信する場合も、入力情報15には送信元の端末のIDと入力INDEX値とが含まれるが、次の情報の送信先である端末のIDは含まれていない。利用側端末4及び承認用端末5と、サーバー3との間では、INDEX値を用いて、認証と次のデータの送信先の特定が行われる。従って、利用側端末4及び承認用端末5に、他の利用側端末4や承認用端末5のID等の情報は伝わらないので、個々の利用側端末4及び承認用端末5に関する情報を末端のユーザーに対して隠蔽できる。
また、INDEX値は、出力情報16を生成する毎に変更されるので、一つの認証データ11に関しては、サーバー3から出力情報16を送信された端末でなければ入力情報15を送信できない。このため、仮に正規の利用側端末4であっても、データ読み出しを要求した後は、正当な応答があるまでは同じデータを要求することはできないし、無関係なデータを要求することもできない。従って、正当な処理手順に従って、正規の端末が送信した情報でなければ受け付けられないため、成りすまし等の不正なアクセスを確実に防止できる。また、承認用端末5は、出力情報16を受信した場合に、同じINDEXと、自己のIDとを含む入力情報15を送信すればよいので、速やかに返信を行える。このため、データをデータベース2から読み出す承認を迅速に得ることができるので、速やかに処理を行うことができる。
【0030】
図9、図10及び図11は、通信システム1の動作を示すフローチャートであり、利用側端末4がデータの読み出しを要求してからデータが読み出される一連の動作を示している。図9A及び図10Aは利用側端末4の動作を示し、図9B及び図10Bはサーバー3の動作を示し、図9Cは承認用端末5の動作を示す。
まず、図9Aに示すように、利用側端末4の操作によりデータベース2に格納されたデータの利用に関する要求が発生すると(ステップS101)、利用側端末4の制御部41は、要求を送信する処理を行い(ステップS102)、サーバー3に対して、図6〜図8を参照して説明したINDEX値と、利用側端末4のIDと、データ読み出しを要求するコマンドとを含む入力情報を送信する(ステップS103)。
【0031】
サーバー3の制御部31は、利用側端末4から送信された情報を受信して認証処理を実行する(ステップS111)。この認証処理について図11を参照して説明する。
この認証処理において、制御部31は、入力情報に含まれる入力INDEX値と一致する格納INDEX値を有する認証データ11(図6B)を、FeRAM35に記憶された認証データテーブル10(図6B)から検索する(ステップS141)。ここで、制御部31は該当するデータがあるか否かを判別し(ステップS142)、該当する認証データが無い場合は認証失敗と判定して(ステップS143)、元の処理に戻る。
【0032】
一方、該当する認証データ11があった場合(ステップS142;Yes)、制御部31は、該当する認証データ11の送信IDと、入力情報の送信IDとを照合し(ステップS144)、一致するか否かを判別する(ステップS145)。ここで、送信IDが一致しない場合(ステップS145;No)、制御部31はステップS143に移行して認証失敗と判定する。また、送信IDが一致した場合(ステップS145;Yes)、認証成功と判定し(ステップS146)、この認証データ11の宛先IDを取得して(ステップS147)、取得した宛先IDと送信IDとをもとに新しいINDEX値を求める(ステップS148)。そして、制御部31は、新しいINDEX値を認証データ11に設定して、認証データ11をFeRAM35に書き戻し(ステップS149)、もとの処理に戻る。
【0033】
図9Bに戻り、認証処理を終えた制御部31は、認証に失敗した場合(ステップS112;No)、エラーを出力して本処理を終了する(ステップS113)。ここでエラーを出力する方法としては、サーバー3の表示部38にエラーを表示してもよいが、ステップS103で入力情報を送信した利用側端末4に対してエラー発生を示す情報を送信してもよい。
また、認証に成功した場合(ステップS112;Yes)、制御部31は、認証処理で更新した認証データ11から取得した宛先IDと新たなINDEX値とを取得し(ステップS114)、この取得した情報をもとに出力情報を生成して、宛先IDに対応する承認用端末5に送信する(ステップS115)。
【0034】
図9Cに示すように、承認用端末5の制御部51は、サーバー3から送信された出力情報を受信すると、この受信した出力情報の宛先IDが自己に割り当てられたIDか否かを判別する(ステップS121)。ここで、宛先IDが正しいIDでない場合(ステップS121;No)、制御部51は、エラーを出力して本処理を終了する(ステップS122)。ここでエラーを出力する方法としては、承認用端末5の表示部58にエラーを表示してもよいが、ステップS115で出力情報を送信したサーバー3に対してエラー発生を示す情報を送信してもよい。
一方、出力情報の宛先IDが正しいIDであった場合(ステップS121;Yes)、制御部51は、受信した出力情報のINDEX値を取得してFeRAM55に記憶するとともに(ステップS123)、表示部58に承認の可否を入力するよう求めるメッセージを表示して、入力部57による入力に待機する。ここで、入力部57による入力が行われると(ステップS124)、制御部51は、入力部57により入力された内容に対応する入力情報を生成して、サーバー3へ送信する(ステップS125)。ここでサーバー3に送信される入力情報には、FeRAM55に記憶されたINDEX値が含まれ、承認用端末5のIDが送信IDとして含まれ、さらに、コマンドが含まれる。このコマンドは、入力部57により承認された場合はデータ読み出しを指示するコマンドであり、データベース2のデータ利用が拒否された場合は、データ利用拒否を示すコマンドとなる。
【0035】
図10Bに示すように、承認用端末5からの入力情報を受信したサーバー3の制御部31は、図11を参照して説明した認証処理を承認用端末5に対して行い(ステップS127)、認証処理に失敗した場合(ステップS128;Yes)、ステップS113と同様にエラーを出力する(ステップS129)。
一方、承認用端末5の認証に成功した場合(ステップS128;Yes)、制御部31は、受信した入力情報に含まれる送信IDとステップS127で更新したINDEX値とを取得し(ステップS130)、さらに、受信した入力情報に含まれるコマンドに基づいて、データベース2のデータの利用が承認されたか否かを判別する(ステップS131)。ここで、データの利用が拒否された場合にはステップS129に移行してエラーを出力し、本処理を終了する。この場合のエラーの出力は、承認用端末5ではなく、データの読み出しを要求した利用側端末4に送信することが好ましい。
【0036】
承認用端末5によってデータの利用が承認された場合(ステップS131;Yes)、制御部31は、データベース2から該当するデータを取得する処理を行う(ステップS132)。すなわち、データベース2に対してデータを要求するクエリを実行し(ステップS133)、このクエリに応答してデータベース2から送信されるデータを取得する(ステップS134)。
ここで、制御部31は、データベース2から取得したデータをいったんFeRAM35に記憶し(ステップS135)、全てのデータの取得を終えたところでFeRAM35からデータを読み出して(ステップS136)、このデータをサーバー3へ送信する処理を行う(ステップS137)。すなわち、制御部31は、宛先IDとしての利用側端末4のIDと、ステップS127の認証処理で更新されたINDEX値と、データ取得を指示するコマンドとを含む出力情報と、データベース2から読み出したデータとを、利用側端末4へ送信する(ステップS138)。
【0037】
利用側端末4の制御部41は、サーバー3から送信された出力情報とデータとを受信して、FeRAM45に記憶し(ステップS116)、次にサーバー3にアクセスするために、受信した出力情報のINDEX値をFeRAM35に記憶して(ステップS117)、本処理を終了する。
【0038】
以上説明したように、本発明を適用した実施形態に係る通信システム1は、データベース2に格納されたデータの読み出しを要求する利用側端末4と、データベース2からのデータ読み出しを制御するサーバー3と、データベース2に格納されたデータの利用の可否を決定する承認用端末5と、を備え、サーバー3は、読出時に読み出されたデータが物理的に破壊される特性を有する破壊読み出し型の記憶部であるFeRAM35を有し、このFeRAM35に複数の認証データ11を記憶しており、利用側端末4がデータベース2のデータ読み出しのコマンドを送信した場合に、FeRAM35に記憶された認証データ11に基づいて利用側端末4の認証を行うとともに、認証に成功した場合はFeRAM35から認証データ11を読み出して、読み出した認証データ11を変更してFeRAM35に書き戻す処理を行い、承認用端末5に対して承認要求とともに変更後の認証データ11の少なくとも一部とを送信し、承認用端末5から承認応答と認証データ11とを受信した場合に、FeRAM35から認証データ11を読み出して受信した認証データ11の認証を行い、認証に成功した場合にのみ、データベース2からデータを読み出して利用側端末4に送信する。これにより、データベース2のデータの秘匿性を保ちつつ、データベース2に格納されたデータの読み出しが要求された場合に、データの利用の可否を決定する権限を有するユーザーに対して、効率よく、データベース2に格納されたデータの利用の都度に承認を求めることができる。
【0039】
また、利用側端末4の認証に成功した後に、破壊読み出し型の記憶部であるFeRAM35から認証データ11が読み出され、変更されて書き戻され、この変更後の認証データ11を利用して承認用端末5の認証が行われる。FeRAM35から読み出された変更前の認証データ11は確実に破壊されるので、変更後の認証データ11を用いて認証を行うことにより、サーバー3から承認要求を受けた承認用端末5でなければ承認の応答を送信できない。従って、正当な権限を有する承認用端末5のみが承認を行うことが可能になり、成りすまし等の不正を確実に防止し、高いセキュリティレベルを確保できる。
【0040】
サーバー3のFeRAM35は複数の認証データ11の各々にデータ識別用のINDEX値を付して記憶しており、利用側端末4は、サーバー3に対してデータ読み出しのコマンドとともに認証データ11のINDEX値を送信し、サーバー3は、利用側端末4から送信されたINDEX値に従ってFeRAM35の認証データ11を読み出し、該当する認証データ11がある場合に認証成功と判定する一方、読み出した認証データ11のINDEX値を変更してFeRAM35に書き戻し、変更後のINDEX値を承認用端末5に送信し、承認用端末5から承認応答と認証データ11のINDEX値とを受信し、受信したINDEX値に従ってFeRAM35から認証データ11を読み出し、該当する認証データ11がある場合に認証成功と判定する。
つまり、サーバー3は、FeRAM35に記憶している認証データ11に付されたINDEX値に従って利用側端末4及び承認用端末5の認証を行うので、INDEX値の誤りにより認証に失敗した場合は該当する認証データ11がないため、FeRAM35から認証データ11の読み出しが行われず、FeRAM35から認証データ11が失われない。このため、正規の権限を有する利用側端末4及び承認用端末5以外の装置から不適切なアクセスがされた場合に、認証データ11を失わずにアクセスを拒否できるので、正規のアクセスに対する処理への悪影響がない。
加えて、正規の利用側端末4及び承認用端末5がアクセスした場合には認証データ11のINDEX値を書き換えて書き戻しを行うことで、成りすましや認証データ11の漏洩による不正なアクセスを確実に防止でき、高いセキュリティレベルを確保できる。
【0041】
また、FeRAM35が記憶する認証データテーブル10は、利用側端末4に固有のIDと、承認用端末5に固有のIDとを対応づける認証データ11を含み、利用側端末4は、サーバー3に対してデータ読み出しのコマンドとともに自己のIDとを送信し、サーバー3は、利用側端末4から送信されたINDEX値に従ってFeRAM35の認証データ11を読み出し、読み出した認証データ11から承認用端末5のIDを取得し、この取得したIDに基づいて承認用端末5に承認要求を送信する。
この場合、正しいINDEX値を持つ利用側端末4でなければデータの読み出しを要求できないので、成りすましによる不正なアクセスを確実に防止できる。また、利用側端末4が承認用端末5のIDそのものを持たないので、利用側端末4と承認用端末5との間で、互いの情報を隠蔽することができ、高いセキュリティレベルを確保できる。
【0042】
さらに、サーバー3はデータベース2に接続され、承認用端末5からの承認の応答を受信した場合にデータベース2からデータを読み出して利用側端末4に送信するので、承認後のデータの読み出しを速やかに行うことができ、また、承認後のデータの授受に関与する装置が少ないためにセキュリティの確保が容易になる。
【0043】
なお、上記構成において、サーバー3は、認証に失敗した場合(図9のステップS113、図10のステップS129、図11のステップS143等)に、FeRAM35が記憶する認証データ11を初期状態に書き戻してもよい。この構成は、例えば、ROM33において初期状態の認証データテーブル10と同一のデータを記憶しておき、必要に応じて、FeRAM35の認証データテーブル10の一部または全部を、ROM33に記憶されたデータに基づいて上書きすればよい。この場合、認証に失敗してFeRAM35に記憶された認証データ11が損なわれた場合であっても、初期状態に戻すことでその後のデータの読み出しに支障がないよう回復できる。このため、破壊読み出し型のFeRAM35を利用してセキュリティを確保し、かつ、可用性を高めることができる。
【0044】
また、上述した実施形態は本発明を適用した一態様を示すものであって、本発明は上記実施形態に限定されない。
例えば、上記実施形態では、データベース2からのデータの読み出しを制御するサーバー3がデータベース2を有する構成として説明したが、本発明はこれに限定されず、データベース2を管理するDBMSが通信回線6に接続され、サーバー3が利用側端末4に対してデータの読み出しを承認する出力情報16を送信する際に、この出力情報16にデータ読み出し用の鍵情報を含め、この鍵情報に基づいて利用側端末4がデータベース2からデータを読み出す構成としてもよい。また、上記実施形態では、利用側端末4と承認用端末5とを異なる端末装置として説明したが、本発明はこれに限定されるものではなく、利用側端末4と承認用端末5との両方の機能を備えた端末装置を用いることも可能である。さらに、サーバー3、利用側端末4及び承認用端末5の間の具体的な通信手順は、電子メールシステムを用いても良いし、ページングシステムを利用してもよく、具体的なデータフォーマットや通信プロトコルは任意である。その他、通信システム1を構成する各部の構成は本発明の趣旨を逸脱しない範囲で任意に変更可能である。
【0045】
(適用例1)
以上説明した通信システム1は、例えば、医療機関におけるデータ管理システムとして利用できる。
通信システム1を、医療機関(例えば、病院)における電子カルテ管理システムとして構成し、データベース2には患者毎の電子カルテを格納し、利用側端末4は、電子カルテの情報を利用する端末装置とする。利用側端末4は、具体的には、医師が診察時や患者の病態管理に使用する端末装置、薬剤師が処方時に使用する端末装置、医療費の計算及び決済を行うための会計用端末装置等である。また、承認用端末5は患者自身が所持する端末装置であり、承認用端末5を所持する患者は、自身に関する電子カルテのデータを利用側端末4が利用することに対して承認及び拒否を行うことができる。
この場合、個々の患者の電子カルテのデータが、患者の承認を得てから利用可能となるため、例えば電子カルテのデータの目的外の使用を防止でき、電子カルテシステムにおけるセキュリティをより一層高めることができる。
また、この構成は、既存の電子カルテ管理システムに対して容易に導入できる。データベース2は、既存の電子カルテデータベースをそのまま利用でき、このデータベース2を管理するサーバー装置として上述したサーバー3を設け、医師、薬剤師及び会計用の端末装置には図6〜図11に示した利用側端末4の機能を実現するアプリケーションソフトウェアを導入し、新たに各患者に承認用端末5を持たせることで実現できる。承認用端末5は、例えば病院内で患者が操作できればよいので、病院内に入る患者にその都度貸与すればよい。この場合の通信回線6は、病院内に敷設されたLANに相当し、アクセスポイント7は無線LAN(その他の近距離無線通信方式を含む)のアクセスポイントに相当する。このように、既存の電子カルテ管理システムに対して本発明を適用することで、患者の同意のない電子カルテのデータの流用を防止し、かつ、患者や医師への成りすましを確実に防止できる。
【0046】
(適用例2)
また、通信システム1は、クレジットカード決済を利用する場合の与信処理に適用できる。すなわち、通信システム1を、クレジットカード決済を行う場合の与信情報管理システムとして構成し、データベース2には、クレジットカードを使用する顧客であるカード会員毎の与信情報を格納し、利用側端末4は、店舗等に設置され、クレジットカードによる支払い処理を行うPOS端末装置あるいはCAT(Credit Authorization Terminal)と呼ばれる端末装置とする。また、承認用端末5は、信販会社等のクレジットカード決済サービスを提供する企業(以下、カード会社とする)の管理下で操作される端末装置とする。この場合の通信回線6は、公衆電話回線網やVPNで構成される。また、アクセスポイント7は、携帯電話やPHS等の無線電話回線等の基地局が相当する。
この構成では、カード会員がクレジットカードを使用して買い物の支払いやキャッシング等を行う場合に、POS端末装置やCATが利用側端末4として、サーバー3に対し、そのカード会員に対する与信情報の利用を要求し、この要求に対し、カード会社が承認をした場合にのみ、与信情報が利用側端末4に提供される。この場合、個々のカード会員の与信情報が、カード会社の承認を得てから利用可能となるため、例えば与信情報の目的外の使用を防止できる。また、カード会員への成りすましや、カード会社になりすました与信情報の流用を確実に防止できる。
また、この構成は、既存のクレジットカード決済システムに対して容易に導入できる。データベース2は、既存の与信情報データベースを利用でき、このデータベース2を管理するサーバー装置として上述したサーバー3を設け、POS端末装置やCATには図6〜図11に示した利用側端末4の機能を実現するアプリケーションソフトウェアを導入し、新たにカード会社の管理下に承認用端末5を設ければよい。このように、既存のクレジットカード決済システムに本発明を適用することで、安全確実に、顧客であるカード会員に対し、支払決済サービスを提供することができる。
【0047】
本発明は、上記の適用例に限らず、データの目的外の利用を制限することが効果的な様々なシステムに適用可能であり、例えば、自治体等の公的機関が保有する住民登録や戸籍等のデータ、国税局や自治体の税務事務所等が保有する課税に係るデータ、公的あるいは私的手続き時に利用される電子証明書のデータ、学校等が保有する児童・生徒・学生の個人情報等を利用するシステムに適用すれば、データの利用を承認及び拒否する権限を有する人が承認した場合にのみデータの利用が可能となり、効率よく承認を得ることができるという効果が得られる。
【符号の説明】
【0048】
1…通信システム、2…データベース、3…サーバー(サーバー装置)、4…利用側端末(第1の端末)、5…承認用端末(第2の端末)、6…通信回線、11…認証データ、35…FeRAM(記憶部)。
【特許請求の範囲】
【請求項1】
データベースに格納されたデータの読み出しを要求する第1の端末と、前記データベースからのデータ読み出しを制御するサーバー装置と、前記データベースに格納されたデータの利用の可否を決定する第2の端末と、を備え、
前記サーバー装置は、読出時に読み出されたデータが物理的に破壊される特性を有する破壊読み出し型の記憶部を有し、この記憶部に認証データを記憶しており、
前記第1の端末からデータ読み出しが要求された場合に、前記記憶部に記憶された前記認証データに基づいて前記第1の端末の認証を行うとともに、認証に成功した場合は前記記憶部から前記認証データを読み出して、読み出した前記認証データを変更して前記記憶部に書き戻す処理を行い、
前記第2の端末に対して承認要求とともに変更後の前記認証データの少なくとも一部とを送信し、前記第2の端末から承認応答と前記認証データとを受信した場合に、前記記憶部から前記認証データを読み出して受信した前記認証データの認証を行い、認証に成功した場合にのみ、前記第1の端末が前記データベースのデータを読み出し可能な状態とすること、
を特徴とする通信システム。
【請求項2】
前記記憶部は複数の前記認証データの各々にデータ識別用の識別符号を付して記憶しており、
前記第1の端末は、前記サーバー装置に対してデータ読み出しの要求とともに前記認証データの識別符号を送信し、
前記サーバー装置は、前記第1の端末から送信された識別符号に従って前記記憶部の前記認証データを読み出し、該当する前記認証データがある場合に認証成功と判定する一方、読み出した前記認証データの識別符号を変更して前記記憶部に書き戻し、変更後の識別符号を前記第2の端末に送信し、
前記第2の端末から承認応答と前記認証データの識別符号とを受信し、受信した識別符号に従って前記記憶部から前記認証データを読み出し、該当する前記認証データがある場合に認証成功と判定すること、
を特徴とする請求項1記載の通信システム。
【請求項3】
前記記憶部が記憶する前記認証データは、前記第1の端末に固有のIDと、前記第2の端末に固有のIDとを対応づける情報であり、
前記第1の端末は、前記サーバー装置に対してデータ読み出しの要求とともに前記認証データと自己のIDとを送信し、
前記サーバー装置は、前記第1の端末から送信された識別符号に従って前記記憶部の前記認証データを読み出し、読み出した前記認証データから前記第2の端末のIDを取得し、この取得したIDに基づいて前記第2の端末に承認要求を送信すること、
を特徴とする請求項2記載の通信システム。
【請求項4】
前記サーバー装置は前記データベースに接続され、前記第2の端末からの承認の応答を受信した場合の認証に成功した後、前記データベースからデータを読み出して前記第1の端末に送信すること、
を特徴とする請求項1から3のいずれかに記載の通信システム。
【請求項5】
前記サーバー装置は、前記認証に失敗した場合に、前記記憶部が記憶する前記認証データを初期状態に書き戻すこと、
を特徴とする請求項1から4のいずれかに記載の通信システム。
【請求項6】
データベースに格納されたデータの読み出しを制御するサーバー装置により、
前記第1の端末から前記データベースに格納されたデータの読み出しが要求された場合に、破壊読み出し型の記憶部に記憶された認証データに基づいて前記第1の端末の認証を行うとともに、認証に成功した場合は前記記憶部から前記認証データを読み出して、読み出した前記認証データを変更して前記記憶部に書き戻す処理を行い、
承認を行う第2の端末に対して、承認要求と、変更後の前記認証データの少なくとも一部とを送信し、前記第2の端末から承認応答と前記認証データとを受信した場合に、前記記憶部から前記認証データを読み出して受信した前記認証データの認証を行い、認証に成功した場合にのみ、前記第1の端末が前記データベースのデータを読み出し可能な状態とすること、
を特徴とする通信制御方法。
【請求項1】
データベースに格納されたデータの読み出しを要求する第1の端末と、前記データベースからのデータ読み出しを制御するサーバー装置と、前記データベースに格納されたデータの利用の可否を決定する第2の端末と、を備え、
前記サーバー装置は、読出時に読み出されたデータが物理的に破壊される特性を有する破壊読み出し型の記憶部を有し、この記憶部に認証データを記憶しており、
前記第1の端末からデータ読み出しが要求された場合に、前記記憶部に記憶された前記認証データに基づいて前記第1の端末の認証を行うとともに、認証に成功した場合は前記記憶部から前記認証データを読み出して、読み出した前記認証データを変更して前記記憶部に書き戻す処理を行い、
前記第2の端末に対して承認要求とともに変更後の前記認証データの少なくとも一部とを送信し、前記第2の端末から承認応答と前記認証データとを受信した場合に、前記記憶部から前記認証データを読み出して受信した前記認証データの認証を行い、認証に成功した場合にのみ、前記第1の端末が前記データベースのデータを読み出し可能な状態とすること、
を特徴とする通信システム。
【請求項2】
前記記憶部は複数の前記認証データの各々にデータ識別用の識別符号を付して記憶しており、
前記第1の端末は、前記サーバー装置に対してデータ読み出しの要求とともに前記認証データの識別符号を送信し、
前記サーバー装置は、前記第1の端末から送信された識別符号に従って前記記憶部の前記認証データを読み出し、該当する前記認証データがある場合に認証成功と判定する一方、読み出した前記認証データの識別符号を変更して前記記憶部に書き戻し、変更後の識別符号を前記第2の端末に送信し、
前記第2の端末から承認応答と前記認証データの識別符号とを受信し、受信した識別符号に従って前記記憶部から前記認証データを読み出し、該当する前記認証データがある場合に認証成功と判定すること、
を特徴とする請求項1記載の通信システム。
【請求項3】
前記記憶部が記憶する前記認証データは、前記第1の端末に固有のIDと、前記第2の端末に固有のIDとを対応づける情報であり、
前記第1の端末は、前記サーバー装置に対してデータ読み出しの要求とともに前記認証データと自己のIDとを送信し、
前記サーバー装置は、前記第1の端末から送信された識別符号に従って前記記憶部の前記認証データを読み出し、読み出した前記認証データから前記第2の端末のIDを取得し、この取得したIDに基づいて前記第2の端末に承認要求を送信すること、
を特徴とする請求項2記載の通信システム。
【請求項4】
前記サーバー装置は前記データベースに接続され、前記第2の端末からの承認の応答を受信した場合の認証に成功した後、前記データベースからデータを読み出して前記第1の端末に送信すること、
を特徴とする請求項1から3のいずれかに記載の通信システム。
【請求項5】
前記サーバー装置は、前記認証に失敗した場合に、前記記憶部が記憶する前記認証データを初期状態に書き戻すこと、
を特徴とする請求項1から4のいずれかに記載の通信システム。
【請求項6】
データベースに格納されたデータの読み出しを制御するサーバー装置により、
前記第1の端末から前記データベースに格納されたデータの読み出しが要求された場合に、破壊読み出し型の記憶部に記憶された認証データに基づいて前記第1の端末の認証を行うとともに、認証に成功した場合は前記記憶部から前記認証データを読み出して、読み出した前記認証データを変更して前記記憶部に書き戻す処理を行い、
承認を行う第2の端末に対して、承認要求と、変更後の前記認証データの少なくとも一部とを送信し、前記第2の端末から承認応答と前記認証データとを受信した場合に、前記記憶部から前記認証データを読み出して受信した前記認証データの認証を行い、認証に成功した場合にのみ、前記第1の端末が前記データベースのデータを読み出し可能な状態とすること、
を特徴とする通信制御方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2011−77973(P2011−77973A)
【公開日】平成23年4月14日(2011.4.14)
【国際特許分類】
【出願番号】特願2009−229309(P2009−229309)
【出願日】平成21年10月1日(2009.10.1)
【出願人】(000002369)セイコーエプソン株式会社 (51,324)
【Fターム(参考)】
【公開日】平成23年4月14日(2011.4.14)
【国際特許分類】
【出願日】平成21年10月1日(2009.10.1)
【出願人】(000002369)セイコーエプソン株式会社 (51,324)
【Fターム(参考)】
[ Back to top ]