(第1の実施形態)
以下、本発明による第1の実施形態を図面に基づいて説明する。図1は、第1の実施形態による位置情報を用いた認証システムの全体構成例を示す図である。本実施形態の認証システムは、施錠可能な輸送容器に物品を収納して輸送する際に、輸送元で認証を行うことによって輸送容器を施錠し、輸送先で認証を行うことによって輸送容器を解錠するものである。
図1に示すように、本実施形態の認証システムは、輸送元として許可された固定の場所に設置された情報発信装置100-1と、輸送先として許可された固定の場所に設置された情報発信装置100-2と、認証装置を内蔵した輸送容器200と、遠隔の管理センタ等に設置された認証管理サーバ300と、認証機能を備えた可搬型認証デバイス400とを備え、情報発信装置100-1,100-2から発信される情報に基づいて認証を行うように成されている。
輸送容器200の認証装置と認証管理サーバ300との間に通信障害が発生していない通常の状態では、認証装置と認証管理サーバ300とが協働して認証処理を行う。これに対し、輸送容器200の認証装置と認証管理サーバ300との間に通信障害が発生している状態では、ユーザが可搬型認証デバイス400を持って認証管理サーバ300と通信可能な場所まで移動し、可搬型認証デバイス400と認証管理サーバ300とが協働して認証処理を行う。認証装置との間に通信障害が発生しているか否かは認証管理サーバ300が判定し、その判定の結果に応じて、認証装置を用いて認証処理を行う通常モードと、可搬型認証デバイス400を用いて認証処理を行う臨時モードとの何れかにモードを切り替えて設定する。本実施形態では、輸送先において可搬型認証デバイス400を用いた認証処理を行う。
情報発信装置100-1,100-2は、荷送を行う輸送元および荷受を行う輸送先として許可された固定の場所を表す位置情報(例えば、経緯度情報や位置を特定するID情報)と、所定の第1識別情報(例えば、自装置に固有のデバイスID)とを発信する。情報発信装置100-1,100-2は、この位置情報および第1識別情報を一定の時間間隔で常時発信している。ここで、位置情報は、例えば、屋内測位技術「IMES(Indoor MEssaging System)」を利用して取得されるものである。
なお、以下では、情報発信装置を位置情報発信デバイスと呼び、第1識別情報をデバイスID-1と呼ぶことにする。また、輸送元および輸送先の位置情報発信デバイス100-1,100-2を単に位置情報発信デバイス100と総称する。
輸送容器200は、安全性および信頼性の高いセキュアな認証を必要とする物品や情報(例えば、貴重品等の物品)を保管するためのものであり、認証装置を内蔵している。認証装置は、位置情報発信デバイス100との間で無線通信を行うとともに、認証管理サーバ300との間でインターネット等の通信ネットワークを介して通信する機能を有している。また、認証装置は、可搬型認証デバイス400との間で無線通信を行う機能も有している。
また、認証装置は、認証管理サーバ300において通常モードが設定されているときに、認証管理サーバ300と協働して、輸送容器200の施錠/解錠を許可するか否かの認証を行う。具体的には、認証装置は、位置情報発信デバイス100から受信した位置情報およびデバイスID-1と、後述する輸送容器IDとを含む認証情報(以下、第1認証情報という)を認証管理サーバ300に送信する。また、認証装置は、認証管理サーバ300から送られてくる第2識別情報(後述する)に基づいて、後述する第2認証処理を行う。
また、認証装置は、認証管理サーバ300において臨時モードが設定されているときに、輸送容器IDを可搬型認証デバイス400に送信する。また、認証装置は、認証管理サーバ300から可搬型認証デバイス400を介して送られてくる第2識別情報に基づいて、後述する第3認証処理を行う。
認証管理サーバ300は、通常モードの設定時に、輸送容器200に内蔵された認証装置と協働して、輸送容器200の施錠/解錠を許可するか否かの認証を行う。具体的には、認証管理サーバ300は、輸送元と輸送先の位置情報発信デバイス100-1,100-2および輸送容器200に関する情報(位置情報、デバイスID-1および輸送容器ID)を第2認証情報として管理している。認証管理サーバ300は、この第2認証情報と、認証装置から送られてくる第1認証情報とに基づいて、後述する第1認証処理を行う。
すなわち、認証管理サーバ300では、輸送容器200から第1認証情報として送信されてくる位置情報、デバイスID-1および輸送容器IDが、認証管理サーバ300があらかじめ第2認証情報として記憶している位置情報、デバイスID-1および輸送容器IDと一致するか否かを照合することによって第1認証処理を行う。
認証管理サーバ300は、通常モードの設定時に第1認証に成功すると、第2識別情報(以下、デバイスID-2という)を輸送容器200の認証装置に送信する。ここで送信するデバイスID-2は、認証管理サーバ300が輸送容器200の認証装置から第1認証情報の一部として受信したデバイスID-1であり、認証管理サーバ300はこのデバイスID-1を第2認証のためにデバイスID-2として輸送容器200の認証装置に送信する。認証装置は、認証管理サーバ300から送られてくるデバイスID-2と、位置情報発信デバイス100から再び受信されるデバイスID-1とが一致するか否かを照合することによって第2認証処理を行う。
本実施形態では、認証管理サーバ300での第1認証に続いて、輸送容器200の認証装置での第2認証に成功した場合に、輸送容器200の施錠または解錠が可能な状態となる。例えば、輸送元の場合、認証管理サーバ300はデバイスID-2と共に施錠コマンドを輸送容器200に送信し、輸送容器200での第2認証に成功した場合に、施錠コマンドを使える状態にする。輸送先の場合も同様に、認証管理サーバ300はデバイスID-2と共に解錠コマンドを輸送容器200に送信し、輸送容器200での第2認証に成功した場合に、解錠コマンドを使える状態にする。施錠コマンドおよび解錠コマンドは、第2認証に成功した場合に許可する処理を実行させるための実行コマンドの一例である。
可搬型認証デバイス400は、認証管理サーバ300において臨時モードが設定されているときに、認証管理サーバ300と協働して、輸送容器200の解錠を許可するか否かの認証を行う。具体的には、可搬型認証デバイス400は、位置情報発信デバイス100から受信した位置情報およびデバイスID-1と、輸送容器200の認証装置から受信した輸送容器IDと、さらに可搬型デバイスIDとを含む第1認証情報を認証管理サーバ300に送信する。また、可搬型認証デバイス400は、認証管理サーバ300から送られてくるデバイスID-2に基づいて、第2認証処理を行う。
認証管理サーバ300は、臨時モードの設定時に、可搬型認証デバイス400と協働して、輸送容器200の解錠を許可するか否かの認証を行う。具体的には、認証管理サーバ300は、輸送元と輸送先の位置情報発信デバイス100-1,100-2および輸送容器200に関する情報(位置情報、デバイスID-1および輸送容器ID)に加え、可搬型認証デバイス400に関する情報(可搬型デバイスID)を第2認証情報として管理している。認証管理サーバ300は、この第2認証情報と、認証装置から送られてくる第1認証情報とに基づいて、第1認証処理を行う。
すなわち、認証管理サーバ300では、可搬型認証デバイス400から第1認証情報として送信されてくる位置情報、デバイスID-1、輸送容器IDおよび可搬型デバイスIDが、認証管理サーバ300があらかじめ第2認証情報として記憶している位置情報、デバイスID-1、輸送容器IDおよび可搬型デバイスIDと一致するか否かを照合することによって第1認証処理を行う。
認証管理サーバ300は、臨時モードの設定時に第1認証に成功すると、デバイスID-2と共に解錠コマンドを可搬型認証デバイス400に送信する。可搬型認証デバイス400は、認証管理サーバ300から送られてくるデバイスID-2と、位置情報発信デバイス100から再び受信されるデバイスID-1とが一致するか否かを照合することによって第2認証処理を行う。この第2認証の成功後に、可搬型認証デバイス400は輸送容器200の認証装置に解錠コマンドを送信する。
本実施形態では、可搬型認証デバイス400から輸送容器200の認証装置に解錠コマンドを送信する際に、デバイスID-2も送信し、認証装置において更に第3認証処理を行うようにしている。すなわち、認証装置は、可搬型認証デバイス400から送られてくるデバイスID-2と、位置情報発信デバイス100から再び受信されるデバイスID-1とが一致するか否かを照合することによって第3認証処理を行う。そして、この第3認証に成功した場合に、解錠コマンドを使える状態にする。なお、この第3認証処理を行うために、輸送容器200は位置情報発信デバイス100の無線通信圏内にあることが必要である。そのため、可搬型認証デバイス400は、位置情報発信デバイス100の無線通信圏内で輸送容器200の認証装置に解錠コマンドおよびデバイスID-2を送信する。
また、本実施形態では、認証管理サーバ300がデバイスID-2および解錠コマンドを可搬型認証デバイス400に送信する際に、可搬型認証デバイス400の利用が開始する時点(可搬型認証デバイス400が位置情報発信デバイス100からデバイスID-1を受信した時点)から一定時間後に当該デバイスID-2および解錠コマンドを可搬型認証デバイス400から削除する処理を実行させるための削除コマンドを可搬型認証デバイス400に送信する。可搬型認証デバイス400では、認証管理サーバ300から送信される削除コマンドに従って、デバイスID-2および解錠コマンドを、可搬型認証デバイス400が位置情報発信デバイス100からデバイスID-1を受信してから一定時間後に削除するようにしている。
このように、本実施形態では、可搬型認証デバイス400での第2認証処理に必要なデバイスID-2と、輸送容器200の解錠に必要な解錠コマンドとに対し、利用可能な有効期限を設定することにより、第三者の成り代わりによって不正な認証が行われるのを抑制できるようにしている。
図2は、第1の実施形態による位置情報発信デバイス100、輸送容器200、認証管理サーバ300および可搬型認証デバイス400がそれぞれ備える機能構成例を示すブロック図である。なお、位置情報発信デバイス100、輸送容器200、認証管理サーバ300および可搬型認証デバイス400がそれぞれ備える各機能ブロックは、ハードウェア、DSP(Digital Signal Processor)、ソフトウェアの何れによっても構成することが可能である。例えばソフトウェアによって構成する場合、各機能ブロックは、実際にはコンピュータのCPU、RAM、ROMなどを備えて構成され、RAMやROM、ハードディスクまたは半導体メモリ等の記録媒体に記憶されたプログラムが動作することによって実現される。
図2に示すように、位置情報発信デバイス100は、その機能構成として、第1認証情報発信部11を備えている。
輸送容器200は、認証装置201および電子鍵装置202を備えている。認証装置201は、その機能構成として、第1認証情報送受信部21、第1の第2識別情報受信部22、第2認証処理部23、輸送容器ID発行部24および第2の第2識別情報受信部25を備えている。また、電子鍵装置202は、その機能構成として、施錠/解錠指示部26および鍵処理部27を備えている。
認証管理サーバ300は、その機能構成として、第1認証情報受信部31、第1認証処理部32、経過時間判定部33、第2識別情報送信部34およびモード設定部35を備えている。また、認証管理サーバ300は、第2認証情報記憶部30を備えている。
可搬型認証デバイス400は、その機能構成として、第1認証情報送受信部41、第2識別情報受信部42、第2認証処理部43、記憶部44、第2識別情報削除部45、第2識別情報送信部46および可搬型デバイスID発行部47を備えている。
位置情報発信デバイス100の第1認証情報発信部11は、第1認証情報の一部を構成する情報として、固定の場所を表す位置情報およびデバイスID-1を発信する。第1認証情報発信部11は、位置情報およびデバイスID-1を一定の時間間隔で常時発信している。
ここで、輸送元として許可された場所に設置された位置情報発信デバイス100-1の場合、第1認証情報発信部11は、輸送元の場所を表す位置情報(例えば、IMESを利用した経緯度情報)と、自装置に固有のデバイスID-1とを発信する。また、輸送先として許可された場所に設置された位置情報発信デバイス100-2の場合、第1認証情報発信部11は、輸送先の場所を表す位置情報と、自装置に固有のデバイスID-1とを発信する。デバイスID-1は、発信のたびに値が変わらない固定IDである。
輸送容器200が備える認証装置201の輸送容器ID発行部24は、輸送容器200に固有の輸送容器IDを発行する。輸送容器ID発行部24は、発行した輸送容器IDを第1認証情報送受信部21に供給する。また、輸送容器ID発行部24は、発行した輸送容器IDを、無線通信により可搬型認証デバイス400に送信する。認証装置201と可搬型認証デバイス400との間は、例えばBluetooth(登録商標)またはNFC等の無線通信により接続される。なお、輸送容器200の輸送容器IDは、図示しないメモリにあらかじめ記憶しておく。
第1認証情報送受信部21(特許請求の範囲の通常モード第1認証情報送受信部に相当)は、位置情報発信デバイス100の第1認証情報発信部11から発信された位置情報およびデバイスID-1を無線通信により受信する。また、第1認証情報送受信部21は、当該受信した位置情報およびデバイスID-1に対して、輸送容器ID発行部24により発行された輸送容器IDを加えて第1認証情報を構成し、当該第1認証情報を、インターネットを介して認証管理サーバ300に送信する。また、第1認証情報送受信部21は、位置情報発信デバイス100から受信したデバイスID-1を第2認証処理部23に供給する。
可搬型認証デバイス400の可搬型デバイスID発行部47は、可搬型認証デバイス400に固有の可搬型デバイスIDを発行する。可搬型デバイスID発行部47は、発行した可搬型デバイスIDを第1認証情報送受信部41に供給する。なお、可搬型認証デバイス400の可搬型デバイスIDは、図示しないメモリにあらかじめ記憶しておく。
第1認証情報送受信部41(特許請求の範囲の臨時モード第1認証情報送受信部に相当)は、位置情報発信デバイス100の第1認証情報発信部11から発信された位置情報およびデバイスID-1を無線通信により受信する。また、第1認証情報送受信部41は、当該受信した位置情報およびデバイスID-1に対して、認証装置201の輸送容器ID発行部24から送信された輸送容器IDおよび可搬型デバイスID発行部47により発行された可搬型デバイスIDを加えて第1認証情報を構成し、当該第1認証情報を、インターネットを介して認証管理サーバ300に送信する。また、第1認証情報送受信部41は、位置情報発信デバイス100から受信したデバイスID-1を第2認証処理部43に供給する。
なお、可搬型認証デバイス400を用いて認証処理を行うのは、輸送先の正しい場所(位置情報発信デバイス100の無線通信圏内)において認証装置201が認証管理サーバ300と通信できない場合である。この場合、ユーザが可搬型認証デバイス400を持って認証管理サーバ300と通信可能な別の場所まで移動し、その場所で可搬型認証デバイス400から認証管理サーバ300に第1認証情報を送信する。よって、第1認証情報送受信部41は、位置情報発信デバイス100から受信した位置情報およびデバイスID-1と、認証装置201から受信した輸送容器IDとを記憶し、これらの記憶した情報を用いて第1認証情報を構成して認証管理サーバ300に送信する。
認証管理サーバ300の第1認証情報受信部31は、認証装置201の第1認証情報送受信部21または可搬型認証デバイス400の第1認証情報送受信部41から送信された第1認証情報(位置情報発信デバイス100の位置情報とデバイスID-1および輸送容器200の輸送容器IDを含む。可搬型認証デバイス400から送信された第1認証情報の場合はさらに可搬型デバイスIDを含む)を受信する。
第2認証情報記憶部30は、認証を許可する輸送元および輸送先の場所を表す位置情報、位置情報発信デバイス100のデバイスID-1、輸送容器200の輸送容器IDおよび可搬型認証デバイス400の可搬型デバイスIDを含む第2認証情報をあらかじめ記憶する。すなわち、第2認証情報記憶部30は、通常モードの設定時に使用する第2認証情報として、どの輸送容器200を用いてどの場所から荷送を行い、それをどの場所で荷受するかを定めた輸送計画に従って、輸送元での認証に使用する位置情報、デバイスID-1および輸送容器IDを含む第2認証情報を記憶するとともに、輸送先での認証に使用する位置情報、デバイスID-1および輸送容器IDを含む第2認証情報を記憶する。また、第2認証情報記憶部30は、臨時モードの設定時に使用する第2認証情報として、認証装置201の代替デバイスとして許可する可搬型認証デバイス400の可搬型デバイスIDをさらに記憶する。
また、第2認証情報記憶部30は、輸送先に関して、輸送容器200が到着する時間帯(一定の時間幅を有する)と、認証管理サーバ300が認証装置201に対してデバイスID-2を送信する時間帯(一定の時間幅を有する)とを更に記憶している。到着時間帯は、認証管理サーバ300が輸送容器200の認証装置201からデバイスID-1を含む第1認証情報を受信する時間帯の計画値である。一方、送信時間帯は、到着時間帯よりもある時間だけ遅いタイミングに設定された、デバイスID-2を送信する時間帯の計画値である。ここで、到着時間帯は、特許請求の範囲の認証予定時間帯に相当する。
本実施形態では、到着時間帯(認証予定時間帯)から所定時間を過ぎる前までは通常モードで動作する。一方、到着時間帯を所定時間過ぎても認証管理サーバ300の第1認証情報受信部31が認証装置201から第1認証情報を受信しない場合に、認証装置201と認証管理サーバ300との間に通信障害が発生していると推定し、通常モードから臨時モードに切り替える。
通常モードの設定時は、輸送容器200が到着時間帯内に輸送先に到着すると、その時点で認証装置201から認証管理サーバ300に第1認証情報が送信されて、認証管理サーバ300にて第1認証処理が行われる。そして、この第1認証に成功すると、その後の送信時間帯において認証管理サーバ300から認証装置201にデバイスID-2が送信されて、認証装置201にて第2認証処理が行われる。
すなわち、本実施形態では、輸送先には、到着した輸送容器200を置くべき正しい設置場所が設けられている。この正しい設置場所は、位置情報発信デバイス100から発信される位置情報およびデバイスID-1を受信可能な無線通信圏内に設定されている。輸送容器200が輸送先に到着して位置情報発信デバイス100の無線通信圏内に入ると、その時点で認証装置201から認証管理サーバ300に第1認証情報が送信され、第1認証処理が行われる。その後、輸送容器200が正しい設置場所に運ばれ、第1認証の成功から所定の時間が経過した時点で、認証管理サーバ300から認証装置201にデバイスID-2が送信され、第2認証処理が行われる。
なお、輸送先によっては、輸送容器200が到着して第1認証情報が認証管理サーバ300に送信されてから、認証管理サーバ300がデバイスID-2を輸送容器200に送信するまでの時間がゼロでもよい場合がある。その場合には、到着時間帯と送信時間帯とに時間差を持たせずに、第1認証処理を行った後すぐにデバイスID-2を送信するようにしてもよい。
認証装置201と認証管理サーバ300との間に通信障害が生じている場合、到着時間帯から所定時間が経過した時点で通常モードから臨時モードに切り替えられる。この臨時モードの設定時は、可搬型認証デバイス400から認証管理サーバ300に送信される第1認証情報に基づいて、認証管理サーバ300にて第1認証処理が行われる。そして、この第1認証に成功すると、それから所定時間後に認証管理サーバ300から可搬型認証デバイス400にデバイスID-2が送信されて、可搬型認証デバイス400にて第2認証処理が行われる。
認証管理サーバ300のモード設定部35は、認証装置201を用いて認証処理を行う通常モードおよび可搬型認証デバイス400を用いて認証処理を行う臨時モードの何れかにモードを設定する。上述のように、モード設定部35は、第2認証情報記憶部30に記憶されている到着時間帯を所定時間過ぎても第1認証情報受信部31が認証装置201から第1認証情報を受信しない場合に、通常モードから臨時モードにモードの設定を切り替える。
第1認証処理部32は、第1認証情報受信部31により受信された第1認証情報と、第2認証情報記憶部30に記憶されている第2認証情報とを照合して第1認証処理を行う。すなわち、第1認証処理部32は、通常モードの設定時は、認証装置201から送信された第1認証情報に含まれている位置情報、デバイスID-1および輸送容器IDと、第2認証情報に含まれている位置情報、デバイスID-1および輸送容器IDとがそれぞれ一致するか否かを判定し、全て一致する場合は認証成功、1つでも相違があれば認証失敗とする。この第1認証処理を行うことにより、計画通りの輸送容器200を使って、計画通りの輸送元から輸送先へ輸送が正しく行われているか否かを確認することができる。
また、第1認証処理部32は、臨時モード設定時は、可搬型認証デバイス400から送信された第1認証情報に含まれている位置情報、デバイスID-1、輸送容器IDおよび可搬型デバイスIDと、第2認証情報に含まれている位置情報、デバイスID-1、輸送容器IDおよび可搬型デバイスIDとがそれぞれ一致するか否かを判定し、全て一致する場合は認証成功、1つでも相違があれば認証失敗とする。この第1認証処理を行うことにより、計画通りの輸送容器200を使って、計画通りの輸送元から輸送先へ輸送が正しく行われているか否かに加えて、事前に許可した可搬型認証デバイス400を認証装置201の代替デバイスとして用いて認証が行われている否かを確認することができる。
なお、輸送容器200および可搬型認証デバイス400の双方が位置情報発信デバイス100の無線通信圏内にある場合、通信障害を生じていなければ、第1認証情報受信部31では、認証装置201から送信された第1認証情報と、可搬型認証デバイス400から送信された第1認証情報とを両方とも受信する。この場合、例えば可搬型デバイスIDが含まれているか否かを確認することにより、第1の認証情報がどちらから送られてきたものであるかを判別することが可能である。
第1認証処理部32は、通常モードの設定時は、認証装置201から送信された第1認証情報のみを受け付けて、可搬型認証デバイス400から送信された第1認証情報は受け付けない。逆に、臨時モードの設定時は、認証装置201からは第1認証情報が送信されてこないので、第1認証処理部32は、通信可能な場所において可搬型認証デバイス400から送信された第1認証情報のみを受け付ける。
経過時間判定部33は、第1認証処理部32による第1認証が成功した場合、当該第1認証処理を行ってから所定の時間が経過したか否かを判定する。第2識別情報送信部34は、第1認証処理部32による第1認証が成功した場合、インターネットを介してデバイスID-2を認証装置201または可搬型認証デバイス400に送信する。本実施形態では、第2識別情報送信部34は、第1認証処理部32による第1認証処理において使用したデバイスID-1を、デバイスID-2として認証装置201または可搬型認証デバイス400に送信する。
ここで、認証装置201から送信された第1認証情報に基づいて第1認証処理部32が第1認証処理を行った場合、つまり、モード設定部35により通常モードが設定されている場合、第2識別情報送信部34は、認証装置201にデバイスID-2を送信する。一方、可搬型認証デバイス400から送信された第1認証情報に基づいて第1認証処理部32が第1認証処理を行った場合、つまり、モード設定部35により臨時モードが設定されている場合、第2識別情報送信部34は、可搬型認証デバイス400にデバイスID-2を送信する。このときの送信先は、例えば、第1認証情報受信部31が第1認証情報を受信したときに送信元のアドレス情報を取得し、そのアドレス情報を用いて指定することが可能である。
本実施形態において、第2識別情報送信部34は、第1認証処理部32による第1認証が成功した場合に、デバイスID-2を直ちに認証装置201または可搬型認証デバイス400に送信するのではなくて、経過時間判定部33により所定の時間が経過したと判定されたときに送信する。通常は、認証処理はわずかな時間で済んでしまうが、第1認証処理が終わったときに所定の時間の経過を待つことにより、認証管理サーバ300での第1認証処理と認証装置201での第2認証処理とを意図的に時間差をもって実行させるようにしている。
このように第1認証処理の実行から第2認証処理の実行まで時間差を持たせているのは、上述のように、輸送容器200が位置情報発信デバイス100の無線通信圏内に入ってから正しい設置場所に運ばれるまでに要する時間を考慮したものである。時間差を持たせることにより、輸送容器200が位置情報発信デバイス100の無線通信圏内に到着してすぐに、第2認証処理まで実行されて解錠されてしまうことを防ぐことができる。つまり、輸送容器200が位置情報発信デバイス100の無線通信圏内に入っても、所定の時間が経過しないと解錠することができないように時間制限をかけることができる。
第2識別情報送信部34は、認証装置201または可搬型認証デバイス400にデバイスID-2を送信する際に、施錠コマンドまたは解錠コマンドも送信する。ここで、輸送元で行われた第1認証処理において認証が成功した場合、第2識別情報送信部34は、デバイスID-2と施錠コマンドとを認証装置201に送信する。一方、輸送先で行われた第1認証処理において認証が成功した場合、第2識別情報送信部34は、デバイスID-2と解錠コマンドとを認証装置201または可搬型認証デバイス400に送信する。
臨時モードの設定時には、第2識別情報送信部34は、削除コマンドをさらに可搬型認証デバイス400に送信する。削除コマンドは、デバイスID-2および解錠コマンドを可搬型認証デバイス400に送信した後で、可搬型認証デバイス400が位置情報発信デバイス100からデバイスID-1を受信した時点から一定時間後に、当該デバイスID-2および解錠コマンドを可搬型認証デバイス400から削除する処理を実行させるためのコマンドである。
認証装置201の第1の第2識別情報受信部22(特許請求の範囲の通常モード第2識別情報受信部に相当)は、認証管理サーバ300において通常モードが設定されているときに、認証管理サーバ300の第2識別情報送信部34からインターネットを介して送信されたデバイスID-2および施錠/解錠コマンドを受信する。
第2認証処理部23(特許請求の範囲の通常モード第2認証処理部に相当)は、第1認証情報送受信部21により受信されたデバイスID-1と、第1の第2識別情報受信部22により受信されたデバイスID-2とを照合して第2認証処理を行う。ここで、デバイスID-1は、第1の第2識別情報受信部22が認証管理サーバ300からデバイスID-2を受信したタイミングで第1認証情報送受信部21により新たに受信されるものである。
第2認証処理部23は、第1認証情報送受信部21で受信したデバイスID-1と、第1の第2識別情報受信部22で受信したデバイスID-2とが一致するか否かを判定し、一致する場合は認証成功、一致しない場合は認証失敗とする。この第2認証処理部23による第2認証処理を行うことにより、輸送元または輸送先の正しい場所で第1認証を受けた後、所定の時間を経過した後も引き続きその正しい場所に輸送容器200が存在するか否かを確認することができる。
第2認証処理部23は、第1の第2識別情報受信部22により受信されたデバイスID-2に基づいて行われた第2認証に成功した場合、当該第1の第2識別情報受信部22が認証管理サーバ300から受信していた施錠コマンドまたは解錠コマンドを電子鍵装置202の施錠/解錠指示部26に送信する。電子鍵装置202の施錠/解錠指示部26は、この施錠コマンドまたは解錠コマンドを受けると、鍵処理部27に実行命令を与えることにより、電子鍵装置202の施錠または解錠を行う。
可搬型認証デバイス400の第2識別情報受信部42(特許請求の範囲の臨時モード第2識別情報受信部に相当)は、認証管理サーバ300において臨時モードが設定されているときに、認証管理サーバ300の第2識別情報送信部34からインターネットを介して送信されたデバイスID-2、解錠コマンドおよび削除コマンドを受信する。そして、第2識別情報受信部42は、受信したデバイスID-2、解錠コマンドおよび削除コマンドを記憶部44に記憶させる。
第2認証処理部43(特許請求の範囲の臨時モード第2認証処理部に相当)は、第1認証情報送受信部41により受信されたデバイスID-1と、第2識別情報受信部42により受信され記憶部44に記憶されたデバイスID-2とを照合して第2認証処理を行う。ここで、デバイスID-1は、第2識別情報受信部42が認証管理サーバ300からデバイスID-2を受信した後、荷送人が輸送容器200のある場所まで戻ってきたタイミングで第1認証情報送受信部41により新たに受信されるものである。
第2認証処理部43は、第1認証情報送受信部41で受信したデバイスID-1と、第2識別情報受信部42で受信したデバイスID-2とが一致するか否かを判定し、一致する場合は認証成功、一致しない場合は認証失敗とする。この第2認証処理部43による第2認証処理を行うことにより、認証管理サーバ300との通信が可能な場所で第1認証を受けた後、輸送先の正しい場所に可搬型認証デバイス400が存在するか否かを確認することができる。
第2識別情報削除部45は、第2識別情報受信部42により認証管理サーバ300から受信され記憶部44にデバイスID-2および解錠コマンドが記憶された後、同じく記憶部44に記憶された削除コマンドに従って、可搬型認証デバイス400が位置情報発信デバイス100からデバイスID-1を受信した時点してから一定時間後に、当該デバイスID-2および解錠コマンドを記憶部44から削除する。
第2識別情報送信部46(特許請求の範囲の臨時モード第2識別情報送信部に相当)は、第2認証処理部43による第2認証が成功した場合、記憶部44に記憶されているデバイスID-2および解錠コマンドを、無線通信により認証装置201に送信する。認証装置201における第2の第2識別情報受信部25(特許請求の範囲の臨時モード第2識別情報受信部に相当)は、可搬型認証デバイス400の第2識別情報送信部46から送信されたデバイスID-2および解錠コマンド受信する。
第2認証処理部23は、特許請求の範囲の第3認証処理部の機能も兼用するものであり、第1認証情報送受信部21により受信されたデバイスID-1と、第2の第2識別情報受信部25により受信されたデバイスID-2とを照合して第3認証処理を行う。ここで、デバイスID-1は、第2の第2識別情報受信部25が可搬型認証デバイス400からデバイスID-2を受信するときに、可搬型認証デバイス400の第1認証情報送受信部41がデバイスID-1を受信した同じタイミングで、第1認証情報送受信部21により新たに受信されるものである。
第2認証処理部23は、第2の第2識別情報受信部25により受信されたデバイスID-2に基づいて行われた第3認証に成功した場合、当該第2の第2識別情報受信部25が可搬型認証デバイス400から受信していた解錠コマンドを電子鍵装置202の施錠/解錠指示部26に送信する。電子鍵装置202の施錠/解錠指示部26は、この解錠コマンドを受けると、鍵処理部27に実行命令を与えることにより、電子鍵装置202の解錠を行う。
図3は、上記のように構成した第1の実施形態による認証装置201の動作例を示すフローチャートである。この図3に示すフローチャートは、認証装置201が位置情報発信デバイス100の無線通信圏内に入り、位置情報発信デバイス100から信号を受信できるようになった状態のときに開始する。
まず、第1認証情報送受信部21は、位置情報発信デバイス100から発信された第1認証情報の一部である位置情報およびデバイスID-1を受信したか否かを判定する(ステップS1)。第1認証情報送受信部21が位置情報発信デバイス100から位置情報およびデバイスID-1を受信した場合、輸送容器ID発行部24は、輸送容器IDを発行し、第1認証情報送受信部21に供給するとともに、可搬型認証デバイス400に送信する(ステップS2)。
次いで、第1認証情報送受信部21は、受信した位置情報およびデバイスID-1に輸送容器IDを加えて第1認証情報を構成し、当該第1認証情報を認証管理サーバ300に送信する(ステップS3)。なお、図3のフローチャートでは図示を省略しているが、認証装置201が位置情報発信デバイス100の無線通信圏内に入った後は、第1認証情報送受信部21は位置情報発信デバイス100から発信された位置情報およびデバイスID-1を一定の時間間隔で常時受信する。
次に、第1の第2識別情報受信部22は、認証管理サーバ300からデバイスID-2および施錠/解錠コマンドを受信したか否かを判定する(ステップS4)。認証管理サーバ300からデバイスID-2および施錠/解錠コマンドを受信していない場合、第2の第2識別情報受信部25は、可搬型認証デバイス400からデバイスID-2および解錠コマンドを受信したか否かを判定する(ステップS5)。可搬型認証デバイス400からデバイスID-2および解錠コマンドを受信していない場合、処理はステップS4に戻る。
なお、第1認証情報送受信部21が位置情報発信デバイス100から受信した位置情報およびデバイスID-1を一度認証管理サーバ300に送信した後は、認証管理サーバ300または可搬型認証デバイス400から応答がある前に位置情報発信デバイス100から再び位置情報およびデバイスID-1を受信しても、輸送容器IDを加えた第1認証情報を認証管理サーバ300に送信しないようにするのが好ましい。
図3のフローチャートには図示していないが、認証管理サーバ300または可搬型認証デバイス400からデバイスID-2および施錠/解錠コマンドを所定のタイムアウト時間内に受信しない場合、認証管理サーバ300で行われた第1認証または可搬型認証デバイス400で行われた第2認証に失敗したことを意味する。よって、この場合は、図3に示すフローチャートの処理を終了する。すなわち、輸送容器200の施錠または解錠は行わない。なお、ここではタイムアウト時間を設定する例を説明したが、第1認証に失敗した場合はそのことを認証管理サーバ300から輸送容器200に通知し、可搬型認証デバイス400で行われた第2認証に失敗した場合はそのことを可搬型認証デバイス400から輸送容器200に通知するようにしてもよい。
一方、ステップS4で第1の第2識別情報受信部22が認証管理サーバ300からデバイスID-2および施錠/解錠コマンドを受信した場合、第2認証処理部23は、第1認証情報送受信部21により受信された最新のデバイスID-1と、第1の第2識別情報受信部22により受信されたデバイスID-2とを照合して第2認証処理を行う(ステップS6)。
そして、第2認証処理部23は、第2認証に成功したか否か、すなわち、位置情報発信デバイス100から受信したデバイスID-1と、認証管理サーバ300から受信したデバイスID-2とが一致したか否かを判定する(ステップS7)。ここで、第2認証に失敗したと判定した場合、第2認証処理部23は、認証管理サーバ300から受信した施錠/解錠コマンドを破棄し(ステップS8)、図3に示すフローチャートの処理を終了する。
一方、第2認証に成功したと判定した場合、第2認証処理部23は、認証管理サーバ300から受信した施錠/解錠コマンドを電子鍵装置202の施錠/解錠指示部26に送信する(ステップS9)。これにより、電子鍵装置202の施錠/解錠指示部26から鍵処理部27に実行命令が与えられることにより、電子鍵装置202の施錠または解錠が行われる。そして、図3に示すフローチャートの処理を終了する。
また、ステップS5で第2の第2識別情報受信部25が可搬型認証デバイス400からデバイスID-2および解錠コマンドを受信した場合、第2認証処理部23は、第1認証情報送受信部21により受信された最新のデバイスID-1と、第2の第2識別情報受信部25により受信されたデバイスID-2とを照合して第3認証処理を行う(ステップS10)。
そして、第2認証処理部23は、第3認証に成功したか否か、すなわち、位置情報発信デバイス100から受信したデバイスID-1と、可搬型認証デバイス400から受信したデバイスID-2とが一致したか否かを判定する(ステップS7)。ここで、第3認証に失敗したと判定した場合、第2認証処理部23は、可搬型認証デバイス400から受信した解錠コマンドを破棄し(ステップS8)、図3に示すフローチャートの処理を終了する。
一方、第3認証に成功したと判定した場合、第2認証処理部23は、可搬型認証デバイス400から受信した解錠コマンドを電子鍵装置202の施錠/解錠指示部26に送信する(ステップS9)。これにより、電子鍵装置202の施錠/解錠指示部26から鍵処理部27に実行命令が与えられることにより、電子鍵装置202の解錠が行われる。そして、図3に示すフローチャートの処理を終了する。
図4は、上記のように構成した第1の実施形態による可搬型認証デバイス400の動作例を示すフローチャートである。この図4に示すフローチャートは、可搬型認証デバイス400が位置情報発信デバイス100の無線通信圏内に入り、位置情報発信デバイス100から信号を受信できるようになった状態のときに開始する。
まず、第1認証情報送受信部41は、位置情報発信デバイス100から発信された第1認証情報の一部である位置情報およびデバイスID-1を受信したか否かを判定する(ステップS11)。また、第1認証情報送受信部41は、図3のステップS2で認証装置201の輸送容器ID発行部24から送信された輸送容器IDを受信する(ステップS12)。
次いで、第1認証情報送受信部41は、位置情報発信デバイス100から受信した位置情報およびデバイスID-1に対し、認証装置201から受信した輸送容器IDおよび可搬型デバイスID発行部47により発行された可搬型デバイスIDを加えて第1認証情報を構成し、当該第1認証情報を認証管理サーバ300に送信する(ステップS13)。なお、図4のフローチャートでは図示を省略しているが、可搬型認証デバイス400が位置情報発信デバイス100の無線通信圏内に入った後は、第1認証情報送受信部41は位置情報発信デバイス100から発信された位置情報およびデバイスID-1を一定の時間間隔で常時受信する。
次に、第2識別情報受信部42は、認証管理サーバ300からデバイスID-2、解錠コマンドおよび削除コマンドを受信したか否かを判定する(ステップS14)。認証管理サーバ300からデバイスID-2、解錠コマンドおよび削除コマンドを受信していない場合は、ステップS14の判定を繰り返す。
なお、第1認証情報送受信部41が位置情報発信デバイス100から受信した位置情報およびデバイスID-1を一度認証管理サーバ300に送信した後は、認証管理サーバ300から応答がある前に位置情報発信デバイス100から再び位置情報およびデバイスID-1を受信しても、輸送容器IDおよび可搬型デバイスIDを加えた第1認証情報を認証管理サーバ300に送信しないようにするのが好ましい。
図4のフローチャートには図示していないが、認証管理サーバ300からデバイスID-2、解錠コマンドおよび削除コマンドを所定のタイムアウト時間内に受信しない場合、認証管理サーバ300で行われた第1認証に失敗したことを意味する。よって、この場合は、図4に示すフローチャートの処理を終了する。なお、ここではタイムアウト時間を設定する例を説明したが、第1認証に失敗したことを認証管理サーバ300から可搬型認証デバイス400に通知するようにしてもよい。
一方、ステップS14で第2識別情報受信部42が認証管理サーバ300からデバイスID-2、解錠コマンドおよび削除コマンドを受信した場合、第2識別情報受信部42はそれらを記憶部44に記憶させる(ステップS15)。次いで、第2識別情報削除部45は、第2識別情報受信部42がデバイスID-2および解錠コマンドを受信した後で、第1認証情報送受信部41がデバイスID-1を受信してから一定時間が経過したか否かを判定する(ステップS16)。
ここで、一定時間が経過したと判定された場合、第2識別情報削除部45は、記憶部44に記憶された削除コマンドに従って、デバイスID-2および解錠コマンドを記憶部44から削除する(ステップS20)。これにより、図4に示すフローチャートの処理を終了する。
一方、ステップS16において、まだ一定時間が経過していないと判定された場合、第2認証処理部43は、第1認証情報送受信部21により受信された最新のデバイスID-1と、記憶部44に記憶されたデバイスID-2とを照合して第2認証処理を行う(ステップS17)。そして、第2認証処理部43は、第2認証に成功したか否か、すなわち、位置情報発信デバイス100から受信したデバイスID-1と、認証管理サーバ300から受信したデバイスID-2とが一致したか否かを判定する(ステップS18)。
ここで、第2認証に失敗したと判定した場合、処理はステップS20に進む。一方、第2認証に成功したと判定した場合、第2識別情報送信部46は、記憶部44に記憶されているデバイスID-2および解錠コマンドを認証装置201に送信する(ステップS19)。そして、デバイスID-2および解錠コマンドを記憶部44から削除して(ステップS20)、図4に示すフローチャートの処理を終了する。
図5は、第1の実施形態による認証管理サーバ300の動作例を示すフローチャートである。この図5に示すフローチャートの処理は、認証管理サーバ300の電源がオンとされている間は常に実行されている。
まず、モード設定部35は、初期設定として、認証装置201を用いて認証処理を行う通常モードを設定する(ステップS31)。次いで、第1認証情報受信部31は、輸送容器200の認証装置201または可搬型認証デバイス400から第1認証情報を受信したか否かを判定する(ステップS32)。認証装置201および可搬型認証デバイス400のどちらからも第1認証情報を受信していない場合、モード設定部35は、第2認証情報記憶部30に記憶されている到着時間帯から所定時間が経過したか否かを判定する(ステップS33)。
ここで、まだ到着時間帯から所定時間が経過していない場合、処理はステップS32に戻る。一方、到着時間帯から所定時間が経過した場合、モード設定部35は、通常モードから臨時モードにモードの設定を切り替える(ステップS34)。そして、処理はステップS32に戻る。
その後、認証装置201または可搬型認証デバイス400から第1認証情報受信部31が第1認証情報を受信すると、第1認証処理部32は、当該第1認証情報受信部31により受信された第1認証情報と、第2認証情報記憶部30にあらかじめ記憶されている第2認証情報とを照合して第1認証処理を行う(ステップS35)。ここで、通常モードの設定時は、認証装置201から受信した第1認証情報を用いて第1認証処理を行う。一方、臨時モードの設定時は、可搬型認証デバイス400から受信した第1認証情報を用いて第1認証処理を行う。
そして、第1認証処理部32は、第1認証に成功したか否かを判定する(ステップS36)。すなわち、通常モードの設定時は、認証装置201から受信した第1認証情報に含まれている位置情報、デバイスID-1および輸送容器IDと、第2認証情報記憶部30に記憶されている第2認証情報に含まれている位置情報、デバイスID-1および輸送容器IDとがそれぞれ一致するか否かを判定する。一方、臨時モードの設定時は、上記の情報に加えて、可搬型認証デバイス400から受信した第1認証情報に含まれている可搬型デバイスIDと、第2認証情報記憶部30に記憶されている第2認証情報に含まれている可搬型デバイスIDとが一致するか否かも判定する。
ここで、第1認証に失敗したと判定した場合、特に何もせずに、図5に示すフローチャートの処理を終了する。一方、第1認証に成功したと判定した場合、経過時間判定部33は、第1認証処理部32が第1認証処理を行ってから所定の時間が経過したか否かを判定する(ステップS37)。所定の時間が経過していない場合は、ステップS37の判定処理を繰り返す。
第1認証処理部32が第1認証処理を行ってから所定の時間が経過すると、第2識別情報送信部34は、第1認証処理部32による第1認証処理において使用したデバイスID-1をデバイスID-2として認証装置201または可搬型認証デバイス400に送信するとともに、施錠/解錠コマンドを認証装置201または可搬型認証デバイス400に送信する(ステップS38)。臨時モードの設定時は、第2識別情報送信部34は、削除コマンドも可搬型認証デバイス400に送信する。これにより、図5に示すフローチャートの処理を終了する。
図6〜図8は、上述した第1の実施形態による認証システムの実施例を示す図である。ここでは、輸送容器200の輸送先で認証を行う場合の例を示している。図6は、認証装置201と認証管理サーバ300との間に通信障害が発生していない通常モード時の動作を示している。一方、図7および図8は、認証装置201と認証管理サーバ300との間に通信障害が発生している臨時モード時の動作を示している。
通常モードの設定時は、図6に示すように、正当な荷送人が輸送容器200を正しい輸送先(認証管理サーバ300の第2認証情報記憶部30に輸送計画に従って第2認証情報として記憶された位置情報により示される場所)に輸送した場合、その正しい輸送先に設置されている位置情報発信デバイス100-2から輸送容器200の認証装置201に正しい位置情報およびデバイスID-1が送信され(P1)、輸送容器IDを加えて構成した正しい第1認証情報が認証管理サーバ300に送信される(P2)。
これにより、正しい第1認証情報に基づいて認証管理サーバ300にて第1認証処理が行われ、第1認証は成功となる(P3)。その後、第1認証の成功から所定の時間が経過した後に(この間に、輸送容器200は到着場所から正しい設置場所に移動される)、認証管理サーバ300から輸送容器200の認証装置201にデバイスID-2および解錠コマンドが送信され(P4)、その時点で位置情報発信デバイス100-2から再び受信される正しいデバイスID-1と(P5)、上記デバイスID-2とに基づいて認証装置201にて第2認証処理が行われる。そして、この第2認証も成功となり(P6)、解錠コマンドによって輸送容器200の解錠が正常に行われる。
一方、まずは正当な荷送人が輸送容器200を正しい輸送先に輸送して、正しい位置情報発信デバイス100-2から取得した第1認証情報により第1認証処理を行った後(つまり、認証管理サーバ300から認証装置201にデバイスID-2と解錠コマンドとが送信された後)、不正の第三者が輸送容器200を盗んで不正な場所に移動した場合、そこには正しい位置情報発信デバイス100-2がないので、輸送容器200の認証装置201はデバイスID-1を受けることができず(P5’)、第2認証情報は失敗となる(P6’)。したがって、認証装置201に解錠コマンドが記憶されていても、輸送容器200を解錠することはできない。
臨時モードの設定時は、図7に示すように、正当な荷送人が輸送容器200を正しい輸送先に輸送した場合、その正しい輸送先に設置されている位置情報発信デバイス100-2から可搬型認証デバイス400に正しい位置情報およびデバイスID-1が送信されるとともに(P1)、輸送容器200から可搬型認証デバイス400に輸送容器IDが送信され(P1)る。その後、可搬型認証デバイス400を持った荷送人が、認証管理サーバ300と通信可能な場所に移動すると、デバイスID-1および輸送容器IDにより構成した正しい第1認証情報が可搬型認証デバイス400から認証管理サーバ300に送信される(P2)。
これにより、正しい第1認証情報に基づいて認証管理サーバ300にて第1認証処理が行われ、第1認証は成功となる(P3)。その後、第1認証の成功から所定の時間が経過した後に(この間に、輸送容器200は到着場所から正しい設置場所に移動される)、認証管理サーバ300から可搬型認証デバイス400にデバイスID-2および解錠コマンドが送信され(P4)、可搬型認証デバイス400を持った荷送人が輸送容器200の場所まで戻ってきた時点で位置情報発信デバイス100-2から可搬型認証デバイス400に再び受信される正しいデバイスID-1と(P5)、上記デバイスID-2とに基づいて可搬型認証デバイス400にて第2認証処理が行われる。そして、この第2認証も成功となる(P6)。
その後、可搬型認証デバイス400から輸送容器200の認証装置201にデバイスID-2および解錠コマンドが送信され(P7)、その時点で位置情報発信デバイス100-2から輸送容器200の認証装置201に受信される正しいデバイスID-1と(P8)、上記デバイスID-2とに基づいて認証装置201にて第3認証処理が行われる。そして、この第3認証も成功となり(P9)、解錠コマンドによって輸送容器200の解錠が正常に行われる。
一方、まずは正当な荷送人が輸送容器200を正しい輸送先に輸送した後、不正の第三者が輸送容器200および可搬型認証デバイス400を盗んで不正な場所に移動した場合について説明する。例えば、図7に示すように、可搬型認証デバイス400が正しい位置情報発信デバイス100-2から正しい位置情報とデバイスID-1とを取得するとともに、輸送容器200から輸送容器IDを取得した後に、不正の第三者が輸送容器200および可搬型認証デバイス400を盗んで不正な場所に移動するケースが考えられる。
この場合、正しい輸送先で既に受信済みの情報により構成した正しい第1認証情報が可搬型認証デバイス400から認証管理サーバ300に送信される(P2’)。これにより、正しい第1認証情報に基づいて認証管理サーバ300にて第1認証処理が行われ、第1認証は成功となってしまう(P3’)。その結果、第1認証の成功から所定の時間が経過した後に、認証管理サーバ300から可搬型認証デバイス400にデバイスID-2および解錠コマンドが送信される(P4’)。
しかしながら、不正な場所には正しい位置情報発信デバイス100-2がないので、認証管理サーバ300からデバイスID-2を受信した時点で可搬型認証デバイス400はデバイスID-1を受けることができず、第2認証情報は失敗となる。したがって、可搬型認証デバイス400が認証管理サーバ300からデバイスID-2と共に解錠コマンドを受信しても、輸送容器200を解錠することはできない。
なお、不正の第三者が位置情報発信デバイス100’を偽造して、偽造したデバイスID-1を可搬型認証デバイス400に送信すると(P5’)、その偽造されたデバイスID-1と認証管理サーバ300から受信したデバイスID-2とにより可搬型認証デバイス400にて第2認証処理が行われ、第2認証が成功となるおそれがある。
しかし、本実施形態では、不正な輸送先で行われた第1認証処理の成功によってデバイスID-2が認証管理サーバ300から可搬型認証デバイス400に送信されても、可搬型認証デバイス400の利用開始時点から一定時間を経過すると、デバイスID-2と解錠コマンドとが可搬型認証デバイス400から削除される。ここで、正しい輸送先から不正な場所に輸送容器200を移動させる間に一定時間が経過するため、不正な場所に移動した後に第1認証情報を認証管理サーバ300に送信して(P2’)第1認証に成功し(P3’)、デバイスID-2と解錠コマンドとを受信したとしても(P4’)、それらはすぐに削除される。よって、偽造したデバイスID-1を発信させて可搬型認証デバイス400に受信させても(P5’)、デバイスID-2が削除されていて第2認証は失敗となり(P6’)、輸送容器200を解錠することはできない。
また、図8に示すように、正しい輸送先において第1認証処理まで行った後(つまり、認証管理サーバ300から可搬型認証デバイス400にデバイスID-2と解錠コマンドとが送信された後)、不正の第三者が輸送容器200および可搬型認証デバイス400を盗んで不正な場所に移動するケースも考えられる。
この場合、不正な場所には正しい位置情報発信デバイス100-2がないので、可搬型認証デバイス400はデバイスID-1を受けることができず、第2認証情報は失敗となる。したがって、可搬型認証デバイス400に解錠コマンドが記憶されていても、輸送容器200を解錠することはできない。
なお、不正の第三者が位置情報発信デバイス100’を偽造して、偽造したデバイスID-1を可搬型認証デバイス400に送信すると(P5’)、その偽造されたデバイスID-1と、正しい輸送先で既に認証管理サーバ300から受信済みのデバイスID-2とにより可搬型認証デバイス400にて第2認証処理が行われ、第2認証が成功となるおそれがある。
しかし、本実施形態では、可搬型認証デバイス400が位置情報発信デバイス100からデバイスID-1を受信した時点から一定時間を経過すると、デバイスID-2と解錠コマンドとが可搬型認証デバイス400から削除される。ここで、正しい輸送先から不正な場所に輸送容器200を移動させる間に一定時間が経過するため、不正な場所に移動した後に偽造したデバイスID-1を発信させて可搬型認証デバイス400に受信させても、デバイスID-2が削除されていて第2認証は失敗となり(P6’)、輸送容器200を解錠することはできない。
万が一、デバイスID-1を受信した時点から一定時間を経過する前に正しい輸送先から不正な場所に輸送容器200を移動させ、偽造したデバイスID-1を可搬型認証デバイス400に送信すると(P5’)、第2認証は成功となってしまう。この場合、可搬型認証デバイス400から輸送容器200の認証装置201にデバイスID-2と解錠コマンドとが送信される。しかし、第2認証処理に続いて認証装置201で第3認証処理が行われることを知らない不正の第三者は、偽装したデバイスID-1を輸送容器200に送信することをしない。よって、この場合は第3認証が失敗となり、輸送容器200を解錠することはできない。
以上詳しく説明したように、第1の実施形態によれば、認証を受ける正当者の可搬型認証デバイス400が第三者に盗まれたり、正当者が可搬型認証デバイス400を紛失してそれが第三者の手に渡ったりしてしまった場合に、第三者がその可搬型認証デバイス400を用いて不正に認証を受けようとしても、第2認証に成功することはできず、輸送容器200の不正な解錠を防ぐことができる。
第1認証の成功によって認証管理サーバ300から可搬型認証デバイス400にデバイスID-2と解錠コマンドが送信されたとしても、可搬型認証デバイス400の第1認証情報送受信部41がデバイスID-1を受信した時点(可搬型認証デバイス400の利用開始時点)から一定時間を経過した時点でデバイスID-2と解錠コマンドとが可搬型認証デバイス400から削除されるため、第2認証処理を受けることができなくなるからである。これにより、位置情報に基づいて認証を行う認証システムにおいて、可搬型認証デバイスを用いた第三者の成り代わりによる不正な認証を防止して、セキュリティを強化することができる。
(第2の実施形態)
次に、本発明による第2の実施形態を図面に基づいて説明する。第2の実施形態による認証システムの全体構成は、図1と同様である。図9は、第2の実施形態による認証システムの機能構成例を示すブロック図である。なお、この図9において、図2に示した符号と同一の符号を付したものは同一の機能を有するものであるので、ここでは重複する説明を省略する。
図9に示すように、位置情報発信デバイス100’は、ワンタイムID発行部12およびID送信部13をさらに備えている。また、位置情報発信デバイス100’は、第1認証情報発信部11に代えて第1認証情報発信部11’を備えている。また、認証管理サーバ300’は、ID受信部36をさらに備えている。また、認証管理サーバ300’は、第2認証情報記憶部30および第2識別情報送信部34に代えて第2認証情報記憶部30’および第2識別情報送信部34’を備えている。また、可搬型認証デバイス400’は、第2識別情報送信部46に代えて第2識別情報送信部46’を備えている。
位置情報発信デバイス100’のワンタイムID発行部12は、発行のたびに値が変動するワンタイムIDを発行する。このワンタイムID発行部12は、一定の時間間隔でワンタイムIDを繰り返し発行する。第1認証情報発信部11’は、ワンタイムID発行部12により発行されたワンタイムIDを第1識別情報として、これと位置情報とを、無線通信技術を利用して一定の時間間隔で常時発信する。
ID送信部13は、ワンタイムID発行部12により発行されたワンタイムIDを、その都度インターネットを介して認証管理サーバ300’に送信する。なお、送信されたワンタイムIDがネットワーク上で盗まれるかもしれないというリスクを考慮して、ワンタイムIDを暗号化して送信するのが好ましい。
認証管理サーバ300’のID受信部36は、位置情報発信デバイス100’から送信されたワンタイムIDを受信する。そして、受信したワンタイムIDを、第2認証情報の中の第1識別情報として第2認証情報記憶部30’に記憶させる。ワンタイムIDが暗号化されている場合は、これを復号化して第2認証情報記憶部30’に記憶させる。
これにより、第2認証情報記憶部30’には、認証を許可する輸送元および輸送先の場所を表す位置情報、位置情報発信デバイス100’が発信するワンタイムIDと同じワンタイムID(第1識別情報)および輸送容器200の輸送容器IDを含む第2認証情報が随時更新して記憶される。
第1認証処理部32は、ある時刻tにおいて第1認証情報受信部31により受信された第1認証情報(ワンタイムID(t)を含む)と、同じ時刻tに第2認証情報記憶部30’に記憶された第2認証情報(ワンタイムID(t)を含む)とを照合して第1認証処理を行う。すなわち、第1認証処理部32は、第1認証情報に含まれている位置情報、ワンタイムID(t)および輸送容器IDと、第2認証情報に含まれている位置情報、ワンタイムID(t)および輸送容器IDとがそれぞれ一致するか否かを判定し、全て一致する場合は認証成功、1つでも相違があれば認証失敗とする。
第2識別情報送信部34’は、通常モードの設定時に第1認証処理部32による第1認証が成功した場合、第2識別情報として、第2認証情報記憶部30’からワンタイムID(t+Δ)を読み出して認証装置201に送信する。また、第2識別情報送信部34’は、臨時モードの設定時に第1認証処理部32による第1認証が成功した場合、第2識別情報として、第2認証情報記憶部30’からワンタイムID(t+Δ)を読み出して可搬型認証デバイス400に送信する。
ここで送信するワンタイムID(t+Δ)は、第1認証処理が終了した時点から所定の時間Δが経過したと経過時間判定部33により判定されたときに第2認証情報記憶部30’に記憶されたワンタイムIDである。また、このワンタイムID(t+Δ)は、第1認証情報発信部11’により、第1認証処理が終了した時点から所定の時間Δが経過した時点で発信されるワンタイムIDと同じ値のワンタイムIDである。
認証装置201の第1の第2識別情報受信部22は、認証管理サーバ300’の第2識別情報送信部34’から送信された第2識別情報(ワンタイムID(t+Δ))および施錠/解錠コマンドを受信する。第1認証情報送受信部21は、第1の第2識別情報受信部22が認証管理サーバ300’からワンタイムID(t+Δ)を受信したのと同期したタイミングで、同じワンタイムID(t+Δ)を位置情報発信デバイス100’から無線通信により受信している。
なお、同期したタイミングとは、完全に同じ時刻を意味するものではない。すなわち、時刻t+Δの時点でワンタイムID発行部12により発行されたワンタイムID(t+Δ)は、第1認証情報発信部11’により認証装置201に送信される一方、ID送信部13により認証管理サーバ300’に送信されて第2認証情報記憶部30’に記憶された後、第2識別情報送信部34’によって認証管理サーバ300’から認証装置201に送信される。したがって、第1認証情報送受信部21が位置情報発信デバイス100’からワンタイムID(t+Δ)を受信する時刻と、第1の第2識別情報受信部22が認証管理サーバ300’からワンタイムID(t+Δ)を受信する時刻とは、通信の遅延に伴う僅かな時間差を有する。しかし、この時間差は、ワンタイムID発行部12によりワンタイムIDが繰り返し発行される時間間隔に比べて十分に小さく、ワンタイムIDの同期という点において無視することができる。
第2認証処理部23は、第1認証情報送受信部21により受信された第1識別情報(ワンタイムID(t+Δ))と、第1の第2識別情報受信部22により受信された第2識別情報(ワンタイムID(t+Δ))とを照合して第2認証処理を行う。すなわち、第2認証処理部23は、位置情報発信デバイス100’から受信したワンタイムID(t+Δ)と、認証管理サーバ300’から受信したワンタイムID(t+Δ)とが一致するか否かを判定し、一致する場合は認証成功、一致しない場合は認証失敗とする。
また、第2認証処理部23は、第1認証情報送受信部21により受信された第1識別情報(ワンタイムID(t+Δ’))と、第2の第2識別情報受信部25により受信された第2識別情報(ワンタイムID(t+Δ’))とを照合して第3認証処理を行う。ここで、第1識別情報(ワンタイムID(t+Δ’))は、第2の第2識別情報受信部25が可搬型認証デバイス400から第2識別情報(ワンタイムID(t+Δ’))を受信するときに、可搬型認証デバイス400の第1認証情報送受信部41が第1識別情報(ワンタイムID(t+Δ’))を受信した同じタイミングで、第1認証情報送受信部21により新たに受信されるものである。また、第2識別情報(ワンタイムID(t+Δ’))は、第2認証処理が終了した時点で第2識別情報送信部46’により記憶部44から読み出されて送信されるワンタイムIDである。
可搬型認証デバイス400’の第2識別情報送信部46’は、臨時モードの設定時に第2認証処理部43による第2認証が成功した場合、第2識別情報として、記憶部44からワンタイムID(t+Δ’)を読み出して認証装置201に送信する。ここで送信するワンタイムID(t+Δ’)は、第2認証処理が終了したときに記憶部44に記憶されたワンタイムIDである。
可搬型認証デバイス400の第2識別情報受信部42は、認証管理サーバ300’の第2識別情報送信部34’から送信された第2識別情報(ワンタイムID(t+Δ))、解錠コマンドおよび削除コマンドを受信する。そして、第2識別情報受信部42は、受信した第2識別情報、解錠コマンドおよび削除コマンドを記憶部44に記憶させる。第1認証情報送受信部41は、第2識別情報受信部42が認証管理サーバ300’から受信したのと同じワンタイムID(t+Δ)を位置情報発信デバイス100’から無線通信により受信している。
第2認証処理部43は、第1認証情報送受信部41により受信された第1識別情報(ワンタイムID(t+Δ))と、第2識別情報受信部42により受信され記憶部44に記憶された第2識別情報(ワンタイムID(t+Δ))とを照合して第2認証処理を行う。すなわち、第2認証処理部43は、位置情報発信デバイス100’から受信したワンタイムID(t+Δ)と、認証管理サーバ300’から受信したワンタイムID(t+Δ)とが一致するか否かを判定し、一致する場合は認証成功、一致しない場合は認証失敗とする。
このように、第2の実施形態によれば、認証管理サーバ300’における第1認証処理、認証装置201または可搬型認証デバイス400’における第2認証処理および認証装置201における第3認証処理に使用する識別情報としてワンタイムIDを用いている。これにより、第1の実施形態と比べて、不正な認証をより確実に防止して、より強いセキュリティを構築することができる。すなわち、第2の実施形態によれば、不正の第三者が2回または3回の認証に成功しなければならないことを知っていたとしても、識別情報はワンタイムIDとして常に変動していて特定が極めて困難であるため、認証に成功するような識別情報を偽造することが難しく、位置情報と識別情報の偽装による不正な認証をより確実に防止することができる。
なお、上記第2の実施形態では、位置情報発信デバイス100’と認証管理サーバ300’との間でワンタイムIDの同期をとる方法として、位置情報発信デバイス100’で発行されたワンタイムIDを認証管理サーバ300’に送信する方法について説明したが、本発明はこれに限定されない。例えば、認証管理サーバ300’においてワンタイムIDを発行し、発行したワンタイムID(暗号化するのが好ましい)を位置情報発信デバイス100’に送信することによって同期をとるようにしてもよい。
また、位置情報発信デバイス100’と認証管理サーバ300’との間でワンタイムIDの同期をとる別の方法として、ワンタイムID発行部12がワンタイムIDを発行する際に用いたインプット値を位置情報発信デバイス100’から認証管理サーバ300’に送信し、認証管理サーバ300’においても同じインプット値を用いてワンタイムIDを発行するようにしてもよい。逆に、認証管理サーバ300’から位置情報発信デバイス100’にインプット値を送信し、位置情報発信デバイス100’および認証管理サーバ300’において同じインプット値からそれぞれワンタイムIDを発行するようにしてもよい。このようにワンタイムIDを発行するためのインプット値を送信して同期をとる形態も、ワンタイムIDを送信して同期をとる形態と本質的には等価であり、本発明の範囲に含まれる。
あるいは、位置情報発信デバイス100’と認証管理サーバ300’との間で通信を行わず、オフラインでワンタイムIDの同期をとるようにしてもよい。例えば、時刻同期方式で位置情報発信デバイス100’および認証管理サーバ300’がそれぞれ同じワンタイムIDを発行することによって同期をとることが可能である。
すなわち、位置情報発信デバイス100’では、トークンと呼ばれるパスワード発行器を用いて、時刻の経過に伴って値が変わるワンタイムIDを発行する。そして、位置情報発信デバイス100’は、ワンタイムIDとデバイスIDと位置情報とを発信する。認証装置201は、第1認証情報(ワンタイムID、位置情報および輸送容器ID)とデバイスIDとを認証管理サーバ300’に送信する。
一方、認証管理サーバ300’では、どの位置情報発信デバイス100’がどのトークンを使っているか、そして各トークンがどの時刻にどんなワンタイムIDを発行するかを把握している。そして、認証装置201から第1認証情報が送られてきた時刻と位置情報発信デバイス100’のデバイスIDとを検証することにより、認証装置201から送られてくる第1認証情報に含まれているワンタイムIDと、認証管理サーバ300’が把握している同じ時刻のワンタイムIDとの照合を行うことができる。
また、上記第1および第2の実施形態では、輸送先での輸送容器200の解錠の際に実施する認証に可搬型認証デバイス400,400’を用いる例について説明したが、本発明はこれに限定されない。輸送元での輸送容器200の施錠の際に実施する認証に可搬型認証デバイス400,400’を用いるようにしてもよい。この場合、第2認証情報記憶部30は、輸送元に関して、輸送容器200に物品を収納する時間帯(一定の時間幅を有する)を記憶する。収納時間帯は、認証管理サーバ300,300’が輸送容器200の認証装置201からデバイスID-1またはワンタイムIDを含む第1認証情報を受信する時間帯の計画値である。
モード設定部35は、第2認証情報記憶部30に記憶されている収納時間帯を所定時間過ぎても第1認証情報受信部31が認証装置201から第1認証情報を受信しない場合に、通常モードから臨時モードにモードの設定を切り替える。この臨時モードの設定時に、認証管理サーバ300,300’は、第1認証に成功すると、デバイスID-2またはワンタイムIDと共に施錠コマンドを可搬型認証デバイス400,400’に送信する。また、可搬型認証デバイス400,400’は、第2認証に成功すると、デバイスID-2またはワンタイムIDと共に施錠コマンドを認証装置201に送信する。また、認証装置201は、第3認証に成功すると、電子鍵装置202において施錠コマンドを使える状態にする。
また、上記第1および第2の実施形態では、輸送元での輸送容器200の施錠および輸送先での輸送容器200の解錠の際に実施する認証に認証装置201を適用する例について説明したが、本発明はこれに限定されない。例えば、輸送物の施錠/解錠ではなく、図10に示すように建物のオートロック自動ドア、セキュリティフロア扉、金庫扉、入門ゲートといった固定物の施錠/解錠や動作実行に認証装置201を適用することも可能である。この場合も、認証装置201と認証管理サーバ300,300’との間に通信障害が発生した場合は、認証装置201の代わりに可搬型認証デバイス400,400’を用いて認証を行う。
また、上記第1および第2の実施形態では、情報発信装置として位置情報発信デバイス100,100’を用い、IMESによる位置情報を発信する例について説明したが、本発明はこれに限定されない。例えば、GPS(Global Positioning System)、Bluetooth(登録商標)、BLE(Bluetooth Low Energy)、音波、超音波または無線LANで位置情報を発信するようにしてもよい。なお、IMES、Bluetooth(登録商標)、BLE、音波、超音波、無線LANは、屋内でも利用可能な点においてGPSよりも好ましい。
また、上記第1および第2の実施形態では、可搬型認証デバイス400,400’が位置情報発信デバイス100,100’からデバイスID-1またはワンタイムIDを受信した時点から一定時間後に、第2識別情報(デバイスID-2またはワンタイムID)と施錠コマンドまたは解錠コマンドとを可搬型認証デバイス400,400’の記憶部44から削除する例について説明したが、本発明はこれに限定されない。
例えば、第2識別情報のみを削除するようにしてもよい。第2識別情報が削除されていれば、第2認証に成功することはないので、施錠コマンドまたは解錠コマンドが認証装置201に送信されることはないからである。ただし、施錠コマンドまたは解錠コマンドが可搬型認証デバイス400,400’に残ったままだと、可搬型認証デバイス400,400’が盗まれて解読される可能性もあるので、上記実施形態のように第2識別情報と施錠コマンドまたは解錠コマンドとを全て削除するのが望ましい。
または、セキュリティゲート等で使用する入館証やICカード、モバイルスマートフォン、タブレット端末、ウェアラブル端末といった可搬型認証デバイスにおいて、認証、画面表示、アプリケーションの起動、アプリケーションが有する機能の一時的な実行などに、可搬型認証デバイス400,400’の認証と利用可能な有効条件を適用し、認証に成功した場合に所定の実行コマンドを発行して一定時間後に第2識別情報と実行コマンドとを削除するようにしてもよい。
その他、上記第1および第2の実施形態は、何れも本発明を実施するにあたっての具体化の一例を示したものに過ぎず、これらによって本発明の技術的範囲が限定的に解釈されてはならないものである。すなわち、本発明はその要旨、またはその主要な特徴から逸脱することなく、様々な形で実施することができる。