以下、本発明の通信システムの一つの実施形態である警備システムについて図を参照しつつ説明する。
本発明が適用された警備システムにおいて、通信端末の入力データの暗号化に使用される暗号鍵は、通信端末の使用者が代わるごとに変更されるように、使用者が通信端末の使用を開始するタイミングで生成される。そして、通信端末に入力されたデータのうち、使用者が通信端末で利用する入力データは、通信端末上で復号可能な暗号方式で暗号化する。一方、使用者が通信端末で利用しない(あるいはその必要性が低い)入力データは、通信端末上で復号できない暗号方式で暗号化する。
また、本発明の発明者は、通信端末における画像などの大きな入力データの暗号化処理は、共通鍵暗号方式などの処理負荷の小さい暗号方式で行えば十分速いが、公開鍵暗号方式などの処理負荷の大きい暗号方式で行うと時間がかかるという知見を得た。この知見に基づいて、本発明に係るセンタ装置は、公開鍵暗号方式の公開鍵および秘密鍵の鍵ペアを生成し、鍵ペアのうちの公開鍵を通信端末に送り、秘密鍵を自装置に記憶する。そして、本発明に係る通信端末は、使用者が通信端末で利用する入力データを第1の共通鍵を用いて共通鍵暗号方式で暗号化して記憶し、この第1の共通鍵を記憶し、元の入力データを消去する。一方、通信端末は、使用者が通信端末で利用しない入力データを第2の共通鍵を用いて共通鍵暗号方式で暗号化して記憶し、この第2の共通鍵をセンタ装置から送られた公開鍵を用いて公開鍵暗号方式で暗号化して記憶し、元の入力データおよび第2の共通鍵を消去する。したがって、通信端末は、秘密鍵を有しないので公開鍵で暗号化された第2の共通鍵を復号できず、第2の共通鍵で暗号化された使用者が通信端末で利用しない入力データを復号することができないので、通信端末で利用しない入力データの漏洩を確実に防止することができる。
図1は、本発明の一実施形態に係る警備システム1の一例を示す構成図である。図1に示すように、かかる警備システム1は、警備業務に使用される通信端末2と、警備システム1を監視および管理するセンタ装置3と、警備対象施設における不審者の侵入や火災の発生などの異常を検出する各種センサ(図示せず)に接続された警備装置4と、これらを接続する通信ネットワーク5と、を有する。
通信端末2は、警備などの業務に使用されるスマートフォン、タブレットPCまたはノートPCなどの携帯可能な情報処理装置である。例えば、通信端末2は、警備員の勤務の開始および終了を示す勤務開始信号および勤務終了信号を通信ネットワーク5を介してセンタ装置3に送信する。また、通信端末2は、勤務開始信号を受信したセンタ装置3から通信ネットワーク5を介して、警備対象施設の地図や見取り図、警備スケジュール、点検箇所および点検項目などの警備関連情報と共に、入力データを暗号化する共通鍵の暗号化に用いる公開鍵を受信することができる。さらに、通信端末2は、通信端末2で撮影した証拠画像や入力された点検記録などの入力データを共通鍵で暗号化して、公開鍵で暗号化した共通鍵と共に、通信ネットワーク5を介してセンタ装置3に送信することができる。
センタ装置3は、警備対象施設に設置された警備装置4を監視する監視センタ、警備員を派遣する警備本部、警備員に遠隔から指示を出すための指令本部、大型ビル内の防災センタに設けられた防災本部など、警備の管理を行う施設に設置される。センタ装置3は、警備装置4から通信ネットワーク5を介して異常検出信号を受信すると、その異常検出信号を送信した警備装置4が設置された警備対象施設および検出された異常の内容を、報知部および表示装置を通じて監視員に通知する。異常を通知されたセンタ装置3の監視員は、警備員が携帯している通信端末2に連絡し、その警備員に、異常が発生している警備装置4が設置された物件に行って点検などの異常対処を行うよう指示する。また、センタ装置3は、通信端末2を使用する警備員の勤務管理、警備関連情報および公開鍵の通信端末2への提供、並びに、警備中に各通信端末2に入力された点検記録や証拠画像などの入力データの収集および集中管理を行う。
警備装置4は、家屋、マンションの住戸や事業所など、安全状況を監視する監視対象としての各警備対象施設に設置され、各施設の異常を検出するための1つまたは複数のセンサ(図示せず)が接続される。センサは、例えば、火災を検知するための熱感知センサもしくは煙感知センサ、窓、ドアなどの開閉部に取り付けられ、その開閉を検知するマグネットセンサ、または受光した赤外線の光量変化に基づいて探知範囲内への侵入者などの有無を検知する赤外線センサなどである。あるいは、センサは、撮像画像と予め記憶された正常時の画像との差分信号に基づいて撮像範囲内への侵入者などの有無を検知する画像センサでもよい。警備装置4は、センサにより異常が検出されると、異常が検出されたことを示す異常検出信号および警備装置4の識別番号を表す信号を通信ネットワーク5を介してセンタ装置3に送信する。
通信ネットワーク5は、通信端末2とセンタ装置3との間およびセンタ装置3と警備装置4との間を通信可能に接続する。通信ネットワーク5は、これらの間で通信可能であれば如何なる形態でもよく、単一の通信方式のネットワークでもよいし、ゲートウェイサーバ(図示せず)を介して接続された複数の通信方式のネットワークで構成されてもよい。また、通信端末2とセンタ装置3との間およびセンタ装置3と警備装置4との間は、同時に複数の形態の通信ネットワークで接続されてもよい。
図1に示した例では、通信ネットワーク5は、インターネットなどのIPネットワーク51と、このIPネットワーク51にゲートウェイサーバ(図示せず)を介して接続されたW−CDMA、CDMA2000、LTE(Long Term Evolution)、WiMAXまたはPHSなどの通信方式に従った携帯電話ネットワーク54とを有する。IPネットワーク51および携帯電話ネットワーク54は、アクセスポイント(AP)53および基地局(BS)55〜57を有し、これらのアクセスポイント53および基地局55〜57の少なくとも1つを介して、通信端末2と無線通信で接続される。以下では、通信端末2が、基地局55を介して携帯電話ネットワーク54に接続され、携帯電話ネットワーク54からゲートウェイサーバに(図示せず)よって接続されたIPネットワーク51を介して、センタ装置3と通信を行う場合について述べる。
図2は、本発明の一実施形態に係る通信端末2の構成図である。図2に示すように、通信端末2は、端末操作部21と、撮影部22と、端末表示部23と、端末通信部24と、端末記憶部25と、端末制御部26と、を有する。
端末操作部21は、通信端末2の使用者が、通信端末2に情報を入力するための操作インターフェースであり、ボタン、テンキーおよび/またはタッチパネルなどの入力装置で構成される。また、端末操作部21は、音声入力を行うマイクなどを有してもよい。端末操作部21は、使用者から入力操作が有れば、この入力操作に対応する信号を端末制御部26へ出力する。使用者は、端末操作部21への入力操作によって、通信端末2に行わせる処理の指示、勤務の開始および終了、点検記録などの情報を入力することができる。
撮影部22は、CCD素子またはC−MOS素子などの撮像素子、光学系部品、A/D変換器、エンコーダなどを含んで構成される公知の内蔵カメラまたは外部カメラを用いることができる。撮影部22で取得する画像データは、静止画あるいは動画の何れでもよく、このため、撮影部22は、例えば、JPEGまたはMPEGなどの通信端末2およびセンタ装置3の両方で処理可能な形式で画像データを取得できることが好ましい。
本実施形態では、端末のデータ入力部は、端末操作部21および撮影部22を有する。また、入力データは、端末操作部21から入力された各点検箇所の各点検項目について点検結果を記録した点検記録情報などの入力データと撮影部22から入力された証拠画像などの画像データとを有する。以下では、端末操作部21から入力される点検記録情報を使用者が通信端末2で利用する入力データの一例とし、撮影部22から入力される画像データを使用者が通信端末2で利用しない(あるいはその必要性が低い)入力データの一例として説明する。
端末表示部23は、液晶ディスプレイ、タッチパネルディスプレイなどの表示デバイスで構成される。端末表示部23には、警備スケジュールや警備対象施設の地図、見取り図などの警備関連情報や、点検すべき点検箇所および点検項目を確認しながら入力できる点検記録の入力フォームなどが表示される。なお、端末表示部23は、タッチパネルディスプレイで構成することで端末操作部21の一部と統合されてもよい。
端末通信部24は、通信端末2がアンテナを通じて基地局55と、W−CDMA、CDMA2000またはLTEなどの通信方式に従った携帯電話の無線通信を行うための通信インターフェース回路を有する。端末通信部24は、基地局55を介してセンタ装置3から受信した情報を端末制御部26に送る。また、端末通信部24は、端末制御部26から受け取った情報を、基地局55を介してセンタ装置3に送信する。なお、端末通信部24は、無線LAN、WiMAX、PHSなどの他の通信方式に従った通信インターフェース回路を有してもよいし、複数の通信方式に対応するよう複数の通信インターフェース回路を有してもよい。
端末通信部24は、使用者の勤務の開始および終了を示す勤務開始信号および勤務終了信号を、通信ネットワーク5を介してセンタ装置3に送る。また、端末通信部24は、勤務開始信号に応答してセンタ装置3から送られた警備関連情報および公開鍵を受け取る。このとき、端末通信部24は、センタ装置3から、点検記録情報を共通鍵暗号方式で暗号化するための記録用共通鍵を受信してもよい。また、端末通信部24は、端末記憶部25に記憶されている点検記録情報および画像データなどの入力データを暗号化した暗号化データと、これらの暗号化に用いた記録用共通鍵および画像用共通鍵を暗号化した暗号化鍵とを対応付けて、通信ネットワーク5を介してセンタ装置3に送る。
端末記憶部25は、ROM(Read Only Memory)、RAM(Random Access Memory)および/またはEPROM(Erasable Programmable Read Only Memory)などの半導体メモリを有する。端末記憶部25は、通信端末2を制御するためのコンピュータプログラムおよび各種データを記憶し、端末制御部26との間でこれらの情報をやりとりする。端末記憶部25は、必要に応じて、マイクロSDカードなどの補助メモリを有してもよい。コンピュータプログラムおよび/またはデータは、端末通信部24を介して通信ネットワーク5などから提供されて端末記憶部25に記憶されてもよく、ファームウェアとしてROMまたはEPROMなどの半導体メモリに記憶されて提供されてもよい。
図2に示すように、端末記憶部25は、警備関連情報と、公開鍵と、記録用共通鍵と、画像用共通鍵と、暗号化データおよび暗号化鍵と、を記憶する。
警備関連情報は、例えば、通信端末2の使用者が実施する警備業務の種別、時間帯、場所などを示す警備スケジュール、警備対象施設の場所を示す地図、金庫などの監視対象物の配置などを記した見取り図、点検すべき点検箇所や点検項目を有する点検結果を記録するための点検記録の入力フォームなどの警備を支援する情報を有する。端末記憶部25に記憶されている警備関連情報は、使用者の勤務開始を示す勤務開始信号が端末通信部24からセンタ装置3に送られたとき、これに応答してセンタ装置3から送られる、勤務開始信号が有する使用者の個人識別情報に対応する警備関連情報である。センタ装置3から送られた警備関連情報は、端末通信部24によって受け取られて端末記憶部25に記憶される。
公開鍵は、画像暗号化部263が、端末記憶部25に記憶されている画像用共通鍵を、公開鍵暗号方式で暗号化するのに用いる暗号鍵である。また、この公開鍵は、記録暗号化部262が、記録用共通鍵を公開鍵暗号方式で暗号化するのに用いてもよい。この公開鍵は、通信端末2から使用者の勤務開始を示す勤務開始信号を受け取ったセンタ装置3によって生成され、通信端末2に送られる。こうしてセンタ装置3から送られた公開鍵は、端末通信部24によって受け取られ端末記憶部25に記憶される。なお、通信端末2に送られる公開鍵は、センタ装置3で生成されたものであること、すなわち悪意の第三者によって送りつけられたものではないことを証明する必要がある。従って、公開鍵の送信は、セキュリティが守られている社内LANなどの安全なネットワーク経由で行ったり、認証局による公開鍵証明書などを用いて安全を確保して行うことが好ましい。
記録用共通鍵は、記録暗号化部262が、使用者が通信端末2で利用する入力データの一例である端末操作部21から入力された点検記録情報を、共通鍵暗号方式で暗号化するのに用いる第1の共通鍵である。この記録用共通鍵は、公開鍵と同様に、通信端末2から勤務開始信号を受け取ったセンタ装置3によって生成され、通信端末2に送られてもよい。この場合、センタ装置3から送られた記録用共通鍵は、端末通信部24によって受け取られて端末記憶部25に記憶される。また、記録用共通鍵は、センタ装置3が生成して通信端末2に送るのではなく、通信端末2が端末鍵生成部261によって生成して端末記憶部25に記憶させてもよい。
画像用共通鍵は、画像暗号化部263が、撮影部22から入力された画像データを、共通鍵暗号方式で暗号化するのに用いる第2の共通鍵である。画像用共通鍵は、撮影部22から入力される画像データごとに、端末鍵生成部261によって生成され端末記憶部25に記憶される。
暗号化データは、記録暗号化部262が、端末操作部21から入力された点検記録情報を端末記憶部25に記憶された記録用共通鍵を用いて共通鍵暗号方式で暗号化したデータと、画像暗号化部263が、撮影部22から入力された画像データを端末記憶部25に記憶された画像用共通鍵を用いて共通鍵暗号方式で暗号化したデータとを有する。
暗号化鍵は、画像暗号化部263が、端末記憶部25に記憶された画像用共通鍵を、端末記憶部25に記憶された公開鍵を用いて公開鍵暗号方式で暗号化したものである。それぞれの暗号化データと該暗号化データの暗号化に用いられた画像用共通鍵の暗号化鍵とは、互いに対応付けられて端末記憶部25に記憶される。また、記録暗号化部262により点検記録情報の暗号化に用いた記録用共通鍵を公開鍵を用いて公開鍵暗号方式で暗号化して、暗号化鍵として記憶してもよい。
端末制御部26は、1つまたは複数のプロセッサおよびその周辺回路を含んで構成され、プロセッサが端末記憶部25の半導体メモリに記憶されたプログラムを実行することによって、通信端末2の動作を制御する。プロセッサおよび半導体メモリは、独立した集積回路、マイクロプロセッサもしくはASICなどを含んで構成されてもよい。
図2に示すように、端末制御部26は、端末鍵生成部261と、記録暗号化部262と、画像暗号化部263と、端末復号部264とを有する。これらの端末制御部26の各部は、プロセッサが端末記憶部25に記憶された各部の処理手順を記述したプログラムを読み出して実行することにより実現される機能モジュールである。
端末鍵生成部261は、撮影部22から画像データが入力されたとき、画像データを共通鍵暗号方式で暗号化するための画像用共通鍵を生成して端末記憶部25に記憶させる。また、端末鍵生成部261は、端末操作部21から入力された点検記録情報を共通鍵暗号方式で暗号化するための記録用共通鍵を生成して端末記憶部25に記憶させてもよい。なお、端末鍵生成部261は、最初に、例えば30本などの複数の画像用共通鍵を生成し、画像暗号化部263により使用されていない未使用の画像用共通鍵の数が、例えば15本などの所定数を下回ると、新たに複数の画像用共通鍵を生成して、最初に生成した画像用共通鍵と同数になるようにしてもよい。端末鍵生成部261は、複数の暗号鍵を同時に生成することによって効率よく暗号鍵を生成することができ、暗号鍵の生成による処理負荷を低減することができる。
記録暗号化部262は、端末操作部21から入力された点検記録情報を、端末記憶部25に記憶された記録用共通鍵を用いて共通鍵暗号方式で暗号化して端末記憶部25に記憶させる第1の暗号化部である。記録暗号化部262は、点検記録情報を暗号化した後、記録用共通鍵を端末記憶部25に記憶させておくので、点検記録情報は、通信端末2上で復号可能である。また、記録暗号化部262は、端末通信部24によって暗号化された点検記録情報をセンタ装置3に転送する際に、この点検記録情報を暗号化するのに用いた記録用共通鍵を、端末記憶部25に記憶された公開鍵を用いて公開鍵暗号方式で暗号化して転送してもよい。センタ装置3に転送することで、点検記録情報は、通信端末2で復号して利用する必要がなくなるため、記録用共通鍵も暗号化できる。この場合、記録暗号化部262は、暗号化した記録用共通鍵を暗号化鍵として端末記憶部25に記憶されている点検記録情報の暗号化データと対応付けて端末記憶部25に記憶させる。記録暗号化部262は、点検記録情報または記録用共通鍵を暗号化して端末記憶部25に記憶させると、元の点検記録情報または記録用共通鍵を消去する。なお、記録用共通鍵がセンタ装置3で生成されたときにセンタ記憶部34においても記憶、保管されている場合には、暗号化された点検記録情報だけをセンタ装置3に転送すればよく、記録用共通鍵は転送しなくてもよいので暗号化もしないようにしてもよい。
画像暗号化部263は、撮影部22から入力された画像データを、端末記憶部25に記憶された画像用共通鍵を用いて共通鍵暗号方式で暗号化して暗号化データとする第2の暗号化部である。また、画像暗号化部263は、この画像データを暗号化するのに用いた画像用共通鍵を、端末記憶部25に記憶された公開鍵を用いて公開鍵暗号方式で暗号化して暗号化鍵とする。そして、画像暗号化部263は、画像データを暗号化した暗号化データと、この暗号化データの暗号化に用いた画像用共通鍵の暗号化鍵とを対応付けて端末記憶部25に記憶させる。画像暗号化部263は、画像データおよび画像用共通鍵を暗号化して端末記憶部25に記憶させると、暗号化する前の元の画像データおよび画像用共通鍵を消去する。したがって、公開鍵暗号方式で暗号化された画像用共通鍵は、秘密鍵を有しない通信端末2上で復号できないので、この画像用共通鍵を用いて暗号化された画像データも通信端末2上で復号できない。
本実施形態において、記録暗号化部262および画像暗号化部263は、点検記録情報や画像データなどの相対的に大きなデータを有する入力データは、例えばAESなどの置換や転置などの簡単な処理によって行われ処理負荷の小さい共通鍵暗号方式で暗号化する。一方、相対的に小さなデータである記録用共通鍵および画像用共通鍵は、複雑な計算を伴うので処理負荷が大きいが、秘密鍵を持たない通信端末2上では復号できないので安全性が高い、例えばRSA(登録商標)などの公開鍵暗号方式によって暗号化する。
端末復号部264は、端末記憶部25に記憶されている暗号化済みの点検記録情報を読み出す際に、端末記憶部25に記憶されている記録用共通鍵を用いて共通鍵暗号方式で復号する。復号された点検記録情報は、端末表示部23に表示したり更新したりできる。
図3は、本発明の一実施形態に係るセンタ装置3の構成図である。図3に示すように、センタ装置3は、センタ操作部31と、センタ表示部32と、センタ通信部33と、センタ記憶部34と、センタ制御部35とを有する。
センタ操作部31は、ボタン、キーボードやマウスなどの操作デバイスで構成され、監視員がセンタ装置3に情報を入力するための入力装置として機能する。
センタ表示部32は、液晶ディスプレイ、タッチパネルディスプレイなどの表示デバイスで構成され、異常検出信号を送信した警備装置4が設置された物件や検出された異常の内容などを監視員に報知する報知部として機能する。また、センタ表示部32は、通信端末2からセンタ通信部33を介して受信された点検記録および画像データなどの通信端末2への入力データを表示する。なお、センタ表示部32は、タッチパネルディスプレイで構成することで、センタ操作部31の一部と統合されてもよい。
センタ通信部33は、センタ装置3をIPネットワーク51に接続するための通信インターフェース回路、および/または、通信端末2の端末通信部24と同様の携帯電話ネットワーク54の基地局57と無線通信を行うための通信インターフェース回路を有する。センタ通信部33は、IPネットワーク51および/または携帯電話ネットワーク54を介して通信端末2から受信した情報を、センタ制御部35に送る。また、センタ通信部33は、センタ制御部35から受け取った情報を、IPネットワーク51および/または携帯電話ネットワーク54を介して通信端末2に送信する。本実施形態では、センタ装置3が、IPネットワーク51から携帯電話ネットワーク54を介して通信端末2と通信する例について説明する。
センタ記憶部34は、ROM、RAMなどの半導体メモリを有する。また、センタ記憶部34は、ハードディスクなどの磁気記憶媒体、ならびに/あるいは、CD−ROMおよび/もしくはDVDなどの光記憶媒体と、そのアクセス装置とを含んでもよい。また、センタ記憶部34は、センタ通信部33から通信ネットワーク5を介して接続された記憶装置を有してもよい。センタ記憶部34は、センタ装置3を制御するためのコンピュータプログラムおよび各種データを記憶し、センタ制御部35との間でこれらの情報をやりとりする。プログラムは、通信ネットワーク5からセンタ通信部33を介して提供されてセンタ記憶部34に記憶されてもよく、CD−ROMおよび/もしくはDVDなどのコンピュータ読み取り可能な記憶媒体またはファームウェアなどによって提供されてもよい。
図3に示すように、センタ記憶部34は、使用者情報、警備関連情報、勤務管理情報および秘密鍵を記憶する。
使用者情報は、通信端末2を使用することができる正規の使用者の社員番号などの個人識別情報を有する。この個人識別情報は、通信端末2の使用者の認証を行うための使用者認証情報として使用されてもよい。また、使用者情報は、使用者認証情報として、各正規の使用者の個人識別情報に対応して、パスワードや使用者の指紋、顔もしくは声紋などの情報を有してもよい。
警備関連情報は、通信端末2の端末記憶部25に記憶されるものと同様の情報であり、正規の使用者のそれぞれの個人識別情報に対応付けられてセンタ記憶部34に記憶される。
勤務管理情報は、各使用者の出勤および退勤などの勤務を管理する情報である。
図4は、本実施形態における勤務管理情報の構成の一例を示す図である。勤務管理情報は、使用者の勤務ごとに、勤務する使用者の個人識別情報(ID)および勤務に使用する通信端末2の端末識別情報(ID)と、これに対応して出勤/退勤したか否かを示す出勤フラグ/退勤フラグなどの勤務に関する情報とを有する。また、勤務管理情報は、勤務地、出勤時刻、退勤時刻などの他の勤務に関する情報を有してもよく、出勤フラグ/退勤フラグの代わりに、有効な出勤時刻/退勤時刻が設定されたか否かによって出勤/退勤したか否かを示してもよい。図4に示すように、勤務管理情報は、勤務ごとに生成される秘密鍵を有してもよい。
秘密鍵は、センタ復号部352が、通信端末2から送られた暗号化鍵を公開鍵暗号方式で復号するのに用いる復号鍵である。本実施形態では、秘密鍵は、通信端末の使用が開始されるタイミングとして、センタ装置3が通信端末2から使用者の勤務開始を示す勤務開始信号をセンタ通信部33によって受け取ったとき、センタ鍵生成部351によって生成される。秘密鍵は、通信端末2の使用者の個人識別情報および端末識別情報の少なくとも1つに対応付けて、使用者の勤務ごとに記憶される。例えば、秘密鍵は、図4に示すように、勤務管理情報として記憶されてもよい。また、センタ鍵生成部351によって記録用共通鍵を生成した場合には、この記録用共通鍵をセンタ記憶部34に記憶しておいてもよい。この記録用共通鍵も勤務管理情報として記憶されてもよい。
センタ制御部35は、1つまたは複数のプロセッサおよびその周辺回路を含んで構成され、プロセッサがセンタ記憶部34の半導体メモリに記憶されたプログラムを実行することによって、センタ装置3の動作を制御する。
図3に示すように、センタ制御部35は、センタ鍵生成部351と、センタ復号部352と、を有する。これらの各部は、プロセッサがセンタ記憶部34に記憶された各部の処理手順を記述したプログラムを読み出して実行することにより実現される機能モジュールである。
センタ鍵生成部351は、センタ通信部33が通信端末2から使用者の勤務開始を示す勤務開始信号を受け取ったとき、公開鍵暗号方式による暗号処理で用いる公開鍵および秘密鍵の鍵ペアを生成する。センタ鍵生成部351によって生成された鍵ペアのうち、秘密鍵はセンタ記憶部34に記憶され、公開鍵はセンタ通信部33によって通信端末2に送られる。また、センタ鍵生成部351は、公開鍵方式の鍵ペアと共に、通信端末2の記録暗号化部262が端末操作部21から入力された点検記録情報を暗号化するのに用いる記録用共通鍵を生成してもよい。この場合、記録用共通鍵は、公開鍵と共にセンタ通信部33によって通信端末2に送られる。このとき、記録用共通鍵の複製をセンタ記憶部34に記憶してもよい。
センタ復号部352は、センタ通信部33が通信端末2から受け取った暗号化鍵を、センタ記憶部34に記憶されている秘密鍵を用いて公開鍵暗号方式で復号して元の記録用共通鍵および画像用共通鍵にする。また、センタ復号部352は、この復号した記録用共通鍵および画像用共通鍵を用いて、センタ通信部33が通信端末2から受け取ったそれぞれの暗号化鍵に対応付けられた暗号化データを復号し、点検記録情報および画像データを復元する。なお、記録用共通鍵をセンタ記憶部34に記憶している場合には、センタ復号部352は、これを用いて点検記録情報を復元してもよく、復元した後、記録用共通鍵をセンタ記憶部34から消去してもよい。
図5〜図7は、本発明の一実施形態に係る通信端末2およびセンタ装置3の動作シーケンス図である。図5〜図7を参照しながら、本実施形態における通信端末2およびセンタ装置3の動作の一例について、警備員の勤務の流れに沿って説明する。
警備員は、通信端末2を用いて勤務を開始するとき、通信端末2を使用開始するために端末操作部21から自身を特定する社員番号などの個人IDを入力して勤務開始の入力を行う。個人IDは、通信端末2を使用する正規の使用者としての使用者認証情報となりうる。
図5を参照すると、通信端末2の端末制御部26は、端末操作部21から受け取った信号に基づいて、端末操作部21に勤務開始の入力が行われたか否かを判定し(ステップA101)、勤務開始の入力がなければ(ステップA101のNo)、勤務開始の入力が行われるまで待機する。そして、端末制御部26は、端末操作部21から勤務開始の入力が行われると(ステップA101のYes)、勤務開始の入力によって端末操作部21から入力された個人IDと、端末記憶部25の特定の領域から読み取った自体の識別情報である端末IDとを有する勤務開始信号を生成し、生成した勤務開始信号を端末通信部24によってセンタ装置3に送信する(ステップA102)。なお、端末IDは、使用者によって端末操作部21から入力されてもよい。
センタ装置3のセンタ制御部35は、センタ通信部33が通信端末2から使用者の勤務の開始を示す勤務開始信号を受信したか否かを判定して、使用者が通信端末2の使用を開始したか否かを判定する(ステップB101)。センタ通信部33が通信端末2から勤務開始信号を受信すると(ステップB101のYes)、センタ制御部35は、センタ通信部33が受信した勤務開始信号が有する個人IDを使用者認証情報として、センタ記憶部に記憶されている使用者情報の個人IDと照合して使用者認証を行う(ステップB102)。使用者情報にこの個人IDが存在すれば、センタ制御部35は、通信端末2で勤務開始の入力を行った使用者を通信端末2の正規の使用者であると認証し、センタ記憶部34に記憶されている勤務管理情報に、勤務開始信号が有する個人IDおよび端末IDを登録し、対応する出勤フラグをONに設定することによって使用者の出勤を登録する(ステップB103)。このとき、センタ制御部35は、勤務地、出勤時刻などの情報を勤務管理情報に登録してもよい。なお、通信端末2の端末操作部21による勤務開始の入力で個人IDと共にパスワードなどの使用者認証情報が入力される場合、ステップB101において、センタ通信部33は、個人IDと共に使用者認証情報を有する勤務開始信号を受け取り、ステップB102において、センタ制御部35は、センタ通信部33が受け取った使用者認証情報を、センタ記憶部34に記憶されている使用者情報の使用者認証情報と照合して使用者の認証を行うことができる。
センタ制御部35が使用者の出勤を勤務管理情報に登録すると、センタ鍵生成部351は、公開鍵暗号方式による暗号化処理に用いる公開鍵および秘密鍵の鍵ペアと共通鍵暗号方式で点検記録情報を暗号化するための記録用共通鍵とを生成する(ステップB104)。そして、センタ制御部35は、センタ鍵生成部351が生成した鍵ペアのうちの公開鍵と記録用共通鍵とを、センタ記憶部34から読み取った個人IDに対応する警備関連情報と共に、センタ通信部33によって通信端末2に送信する(ステップB105)。また、センタ制御部35は、センタ鍵生成部351が生成した鍵ペアのうちの秘密鍵を、個人IDおよび端末IDの少なくとも1つに対応付けてセンタ記憶部34に記憶させる(ステップB106)。このとき、センタ制御部35は、秘密鍵をセンタ記憶部34の勤務管理情報に登録してもよい。あるいはこれに限らず、センタ制御部35は、記録用共通鍵もセンタ記憶部34に記憶させてよい。
通信端末2の端末制御部26は、端末通信部24がセンタ装置3から警備関連情報、公開鍵および記録用共通鍵を受信したか否かを判定し(ステップA103)、端末通信部24が警備関連情報、公開鍵および記録用共通鍵を受信していなければ(ステップA103のNo)、端末通信部24が警備関連情報、公開鍵および記録用共通鍵を受信するまで待機する。端末通信部24が警備関連情報、公開鍵および記録用共通鍵を受信すると(ステップA103のYes)、端末制御部26は、端末通信部24がセンタ装置3から受信した警備関連情報、公開鍵および記録用共通鍵を端末記憶部25に記憶させる(ステップA104)。このように、通信端末2では、公開鍵を受信するまでは秘匿性が求められる警備業務の入力データを入力することができない。これにより、入力データの秘匿性を担保してデータ漏洩を防止している。
警備員は、勤務開始を入力すると、センタ装置3から通信端末2に送られた警備関連情報を必要に応じて端末表示部23に表示させながら、警備業務を遂行する。警備員は、警備業務の遂行に際し、端末操作部21および撮影部22などの端末入力部を用いて各種データを入力する。例えば、警備員は、通信端末2の端末表示部23に端末記憶部25に記憶されている警備関連情報の点検記録の入力フォームを表示して、端末操作部21によって各点検箇所の各点検項目について点検結果や備忘録を入力する。
図5を参照すると、通信端末2の端末制御部26は、端末操作部21から受け取った信号に基づいて、端末操作部21に点検記録の入力が行われたか否かを判定する(ステップA105)。端末操作部21から点検記録の入力が行われたと判定すると(ステップA105のYes)、端末制御部26は、端末操作部21から受け取った信号に基づいて点検記録情報を生成する(ステップA106)。この生成された点検記録情報を、記録暗号化部262は、端末記憶部25に記憶されている記録用共通鍵によって共通鍵暗号方式で暗号化し、端末記憶部25に記憶する(ステップA107)。なお、点検記録情報の暗号化で用いる記録用共通鍵は、ステップB104においてセンタ鍵生成部351が生成した記録用共通鍵を、ステップA103で端末通信部24がセンタ装置3から受信して、ステップA104で端末制御部26が端末記憶部25に記憶させるのに限定されず、ステップA107において記録暗号化部262が点検記録情報を暗号化する前に、端末鍵生成部261が記録用共通鍵を生成して端末記憶部25に記憶させてもよい。
警備員は、点検する場所を移動しながら、端末操作部21を操作することによって、通信端末2に入力された点検記録情報を読み出して端末表示部23に表示したり、点検記録の追加/修正を行い点検記録情報を更新することができる。
図6を参照すると、通信端末2の端末制御部26は、端末操作部21から受け取った信号に基づいて、端末操作部21に点検記録の読み出しの入力が行われたか否かを判定する(ステップA108)。端末制御部26が、端末操作部21に点検記録の読み出しの入力が行われたと判定すると(ステップA108のYes)、端末復号部264は、端末記憶部25に記憶されている記録用共通鍵を用いて共通鍵暗号方式で端末記憶部25に記憶されている暗号化された点検記録情報を復号する(ステップA109)。そして、端末制御部26は、復号した点検記録情報を端末表示部23に表示し、使用者が端末操作部21によって点検記録情報を更新できるようにする(ステップA110)。端末制御部26は、端末操作部21から受け取った信号に基づいて点検記録情報を更新する。端末制御部26は、更新した点検記録情報を端末記憶部25に記憶されている記録用共通鍵を用いて共通鍵暗号方式で暗号化して端末記憶部25に記憶し、元の更新済み点検記録情報を消去する(ステップA111)。なお、ステップA108における点検記録の読み出しの入力のとき、端末制御部26は、使用者による端末操作部21への点検記録情報の復号のための鍵暗号などの認証情報の入力によって、使用者の認証を行ってもよい。
警備員は、警備中に、通信端末2の端末操作部21を操作して、撮影部22から証拠画像などの画像データを入力する。
図6を参照すると、端末制御部26は、端末操作部21から画像の撮影の指示が入力されたか否かを判定する(ステップA112)。端末操作部21から画像の撮影の指示が入力されると(ステップA112のYes)、端末制御部26は、撮影部22によって画像を撮影して画像データを取得する(ステップA113)。端末鍵生成部261は、画像データを共通鍵暗号方式で暗号化するための画像用共通鍵を生成して端末記憶部25に記憶させる(ステップA114)。画像暗号化部263は、端末記憶部25に記憶されている画像用共通鍵を用いて共通鍵暗号方式で画像データを暗号化して暗号化データとし、元の画像データを消去する(ステップA115)。そして、画像暗号化部263は、画像データの暗号化に用いた画像用共通鍵を、端末記憶部25に記憶されている公開鍵を用いて公開鍵暗号方式で暗号化して暗号化鍵とし、元の画像用共通鍵を消去する(ステップA116)。画像暗号化部263は、画像データを暗号化した暗号化データと、該暗号化データの暗号化に用いた画像用共通鍵を暗号化した暗号化鍵とを対応付けて端末記憶部25に記憶させる(ステップA117)。撮影部22が複数の画像データを取得する場合、端末制御部26は、ステップA112〜ステップA117を繰り返し実行することができ、画像用共通鍵は取得した画像データごとに生成される。なお、ステップA112において、端末制御部26は、公開鍵が端末記憶部25に記憶されているか否かを判定し、端末記憶部25に公開鍵が記憶されていなければ、撮影の指示が入力されていないと判定し(ステップA112のNo)、画像の撮影を禁止することができる。
警備員は、端末操作部21による点検記録の入力および追加/修正を行ったり、撮影部22によって証拠画像を撮影して入力データの入力を終えると、通信端末2の端末操作部21に入力データの転送の指示を入力することによって、端末操作部21より入力した点検記録情報や撮影部22によって撮影した画像データなどの入力データをセンタ装置3に転送することができる。
図7を参照すると、通信端末2の端末制御部26は、端末操作部21から点検記録情報および/または画像データの転送指示が入力されたか否かを判定する(ステップA118)。端末操作部21から点検記録情報および/または画像データの転送指示が入力されると(ステップA118のYes)、点検記録情報を転送する場合(ステップA119のYes)、記録暗号化部262は、端末記憶部25に記憶されている記録用共通鍵を、端末記憶部25に記憶されている公開鍵を用いて公開鍵暗号方式で暗号化する。そして、記録暗号化部262は、記録用共通鍵を暗号化した暗号化鍵を、暗号化済みの点検記録情報の暗号化データと対応付けて端末記憶部25に記憶させ、元の記録用共通鍵を消去する(ステップA120)。端末通信部24は、端末記憶部25に対応付けて記憶されている暗号化データ(点検記録情報と画像データ)および暗号化鍵を、通信端末2の使用者の個人IDおよび端末IDの少なくとも1つと共に、センタ装置3に送信する(ステップA121)。なお、ステップA121において、記録用共通鍵がセンタ鍵生成部351によって生成されてセンタ記憶部34に記憶されている場合、端末通信部24は、記録用共通鍵をセンタ装置3に転送しなくてもよい。したがって、ステップA120において、記録暗号化部262は、記録用共通鍵を暗号化しなくてもよく、端末記憶部25から消去するだけでもよい。点検記録情報を転送しない場合(ステップA119のNo)、対応付けて記憶されている画像データの暗号化データおよび暗号化鍵がセンタ装置3に送信される。
センタ装置3のセンタ制御部35は、センタ通信部33が通信端末2からの暗号化データおよび暗号化鍵の受信を完了したか否かを判定し(ステップB107)、センタ通信部33が通信端末2からの暗号化データおよび暗号化鍵の受信を完了すると(ステップB107のYes)、センタ制御部35は、受信完了信号をセンタ通信部33によって通信端末2に送信する(ステップB108)。そして、センタ復号部352は、暗号化データおよび暗号化鍵と共に受信した通信端末2の端末IDまたは使用者の個人IDに対応する秘密鍵をセンタ記憶部34から読み取る。センタ復号部352は、センタ通信部33が受信した暗号化鍵を、センタ記憶部34から読み取った秘密鍵を用いて、公開鍵暗号方式で元の記録用共通鍵および画像用共通鍵に復号する(ステップB109)。また、センタ復号部352は、復号した記録用共通鍵および画像用共通鍵を用いて共通鍵暗号方式で暗号化データを元の点検記録情報および画像データに復号する(ステップB110)。センタ制御部35は、復号された点検記録情報および画像データをセンタ記憶部34に記憶させる(ステップB111)。以降、センタ記憶部34に記憶された点検記録情報および画像データは、必要に応じてセンタ表示部32に表示されたり、警備記録としてデータベースに保存されてもよい。
通信端末2の端末制御部26は、端末通信部24がセンタ装置3から受信完了信号を受信したか否かによって、センタ装置3への暗号化データおよび暗号化鍵の送信が完了したか否かを判定する(ステップA122)。暗号化データおよび暗号化鍵の送信が完了しなければ(ステップA122のNo)、端末制御部26は、送信が完了するまで待機する。暗号化データおよび暗号化鍵の送信が完了すると(ステップA122のYes)、端末制御部26は、端末記憶部25に記憶されている送信済みの暗号化データおよび暗号化鍵を消去することができる(ステップA123)。
警備員は、警備中、必要に応じて、通信端末2の端末操作部21による点検記録の入力および追加/修正や撮影部22による証拠画像の撮影など入力データの入力と、入力し終わった入力データのセンタ装置3への転送とを繰り返すことができる。警備スケジュールに示されたすべての警備業務が終わって勤務を終了するとき、警備員は、通信端末2の端末操作部21に勤務終了の入力を行う。
図7を参照すると、通信端末2の端末制御部26は、端末操作部21に勤務終了の入力が行われたか否かを判定する(ステップA124)。端末操作部21に勤務終了が入力されると(ステップA124のYes)、端末制御部26は、端末通信部24によって、通信端末2の使用者の個人IDおよび端末IDのうち少なくとも1つを有する勤務終了信号をセンタ装置3に送信する(ステップA125)。このとき、端末記憶部25にセンタ装置3に転送していない暗号化データおよび暗号化鍵が無いことを条件に勤務終了の入力を受け付けるようにしてもよい。また、端末制御部26は、端末記憶部25に記憶されている公開鍵を消去する(ステップA126)。
センタ装置3のセンタ制御部35は、センタ通信部33が通信端末2から使用者の勤務の終了を示す勤務終了信号を受信したか否かを判定して、使用者が通信端末2の使用を終了したか否かを判定する(ステップB112)。センタ通信部33が勤務終了信号を受信すると(ステップB112のYes)、センタ制御部35は、センタ記憶部34に記憶されている、勤務終了信号が有する個人IDまたは端末IDに対応する勤務管理情報の退勤フラグをONに設定して、通信端末2の使用者の退勤を登録する(ステップB113)。このとき、センタ制御部35は、退勤時刻などの情報を勤務管理情報に登録してもよい。また、センタ制御部35は、受信した個人IDまたは端末IDに対応する秘密鍵をセンタ記憶部34から消去する(ステップB114)。ここで、センタ記憶部34が記録用共通鍵を記憶している場合、センタ制御部35は、受信した個人IDまたは端末IDに対応付けてセンタ記憶部34に記憶されている記録用共通鍵を消去してもよい。
以上説明してきたように、本発明に係る通信端末は、通信端末に入力されたデータのうち、使用者が通信端末で利用するデータは、通信端末上で復号可能な暗号方式で暗号化する。一方、使用者が通信端末で利用しないデータは、通信端末上で復号できない暗号方式で暗号化する。特に、本発明に係るセンタ装置は、生成した公開鍵および秘密鍵の鍵ペアのうち公開鍵を通信端末に送り、秘密鍵をセンタ装置に記憶する。また、本発明に係る通信端末は、使用者が通信端末上で利用しない画像データおよびその暗号化に用いた画像用共通鍵を暗号化し終わると、元の画像データおよび画像用共通鍵を消去する。これにより、公開鍵暗号方式で公開鍵を用いて暗号化した、画像データの暗号化に用いた画像用共通鍵は、使用者自身でさえ秘密鍵を有しない通信端末上で復号することはできないので、画像データの復号もできない。したがって、通信端末に入力された画像データなどの使用者が通信端末上で利用しない入力データが、使用者の手によって漏洩することを確実に防止することができる。
また、本発明に係るセンタ装置は、使用者によって通信端末の使用が開始されるタイミングで、公開鍵暗号方式の暗号処理で用いられる一対の公開鍵および秘密鍵を新たに生成する。また、センタ装置は、使用者によって通信端末の使用が終了するタイミングで、センタ記憶部から秘密鍵を消去するよう構成されている。したがって、仮に、悪意の第三者が秘密鍵を手に入れてしまった場合でも、通信端末の使用者が代わるごとに異なる公開鍵および秘密鍵が、通信端末の入力データを暗号化した記録用共通鍵および画像用共通鍵の暗号化および復号に用いられるので、通信端末に入力された入力データの漏洩を一人の使用者が入力した入力データの範囲に留めることができる。また、万一、通信端末の使用者が悪意の第三者になった場合でも、他の使用者が通信端末に入力した入力データの流出を確実に防止することができるので、入力データの流出を最小限にすることができる。
さらに、本発明に係る通信端末は、例えば端末操作部から入力された点検記録情報および撮影部から入力された画像データなどの相対的に大きな入力データを、処理負荷の小さい共通鍵暗号方式で共通鍵を用いて暗号化し、これらの入力データの暗号化に用いた相対的に小さなデータである共通鍵を、処理負荷は大きいがより安全な公開鍵暗号方式で、公開鍵を用いて暗号化する。したがって、通信端末の負荷を抑えつつ、入力データの高い秘匿性を確保することができる。
さらに、本発明によれば、撮影部による画像データなどの入力データの入力は、端末記憶部に公開鍵が記憶されていない場合は禁止することができる。したがって、撮影部から入力される画像データなどの秘匿性の高い入力データが、暗号化されずに端末記憶部に記憶されることを防止することができ、画像データなどの入力データの高い秘匿性を確保できる。
また、本発明に係る通信端末は、端末記憶部に記憶された暗号化データおよび暗号化鍵をセンタ装置に転送し終わると、送信済みの暗号化データおよび暗号化鍵を端末記憶部から消去する。したがって、暗号化データが端末記憶部に記憶されている期間が限られるため、悪意の第三者が極めて短い時間で秘密鍵を手に入れない限り、画像データなどの入力データが漏洩することがなく、入力データの秘匿性をさらに向上することができる。
以上、本発明の好適な実施形態について説明してきたが、本発明はこれらの実施形態に限定されるものではない。例えば、通信端末は、電源が投入されると電源が投入されたことを示す電源投入通知信号をセンタ装置に送信するように構成されてもよい。この場合、センタ装置は、通信端末からの電源投入通知信号の受信を通信端末の使用が開始されるタイミングとして、公開鍵および秘密鍵の鍵ペアを生成するよう構成されてもよい。また、通信端末は、電源切断時に端末記憶部に記憶された公開鍵を消去してもよい。そして、通信端末は、電源切断時に電源が切断されたことを示す電源切断通知信号をセンタ装置に送信するよう構成されてもよい。この場合、センタ装置は、電源切断通知信号の受信を通信端末の使用が終了したタイミングとして、センタ記憶部に記憶された秘密鍵を消去してもよい。
また、上述した実施形態において、使用者の勤務ごとに入力データの暗号処理に用いる暗号鍵を変更したが、例えば、センタ装置は、使用者が勤務中に行う業務ごとに新たに暗号鍵を生成してもよい。この場合、例えば、通信端末は、警備員が端末操作部により実施する警備業務を選択すると、業務の開始を示す業務開始信号をセンタ装置に送信するよう構成されてもよい。また、通信端末は、現在時刻が、警備スケジュールで示される各警備業務の開始時刻になったとき、業務開始信号をセンタ装置に送信してもよい。センタ装置は、この警備業務開始信号の受信を、通信端末の使用が開始されるタイミングとして、公開鍵および秘密鍵の鍵ペアを生成することができる。
また、上述した実施形態では、警備員が通信端末に勤務開始の入力を行い、通信端末からセンタ装置に勤務開始信号を送信する例について説明したが、センタ装置への勤務開始の通知はこの手順に限定されない。例えば、警備員が、勤務する事業所に設置されているパソコンなどの通信端末とは異なる通信装置に対して勤務開始の入力を行い、この勤務開始の入力において個人IDと共に当該勤務で使用する通信端末の端末IDを入力して、この通信装置からセンタ装置に勤務開始信号を送信するようにしてもよい。
さらに、上記の実施形態では、警備システムにおいて警備員が警備業務に使用する通信端末について述べたが、本発明に係る通信端末は、ビルの清掃およびメンテナンス、各種機器の点検、保守および修理など他の業務で使用されてもよい。この場合、通信端末には、業務の実施記録や作業の進捗状況などに関する情報が、端末操作部から入力データとして入力されてもよい。