WO2008038379A1

WO2008038379A1 - Portable telephone and access control method

Info

Publication number: WO2008038379A1
Application number: PCT/JP2006/319350
Authority: WO
Inventors: Jun Anzai
Original assignee: Panasonic Corp; Matsushita Electric Industrial Co Ltd
Current assignee: Panasonic Corp; Panasonic Holdings Corp
Priority date: 2006-09-28
Filing date: 2006-09-28
Publication date: 2008-04-03
Anticipated expiration: 2009-03-28
Also published as: JP4726950B2; EP2068535A1; JPWO2008038379A1; US20100022239A1; EP2068535A4

Description

明細書

携帯電話機及びアクセス制御方法

技術分野

[0001] 本発明は、パーソナルワイヤレスデバイスにより機器に対する持ち主認証を行う通信システムの携帯電話機及びアクセス制御方法に関する。

背景技術

[0002] 近年、自動車、ノート PC、携帯電話機、ポータブル HDDなどの機器の盗難、不正使用、置き忘れ対策として、機器に対するパーソナルワイヤレスデバイスによる持ち主認証 (持ち主チェック）が普及しつつある。

[0003] 現在、このようなパーソナルワイヤレスデバイスによる持ち主認証に関して、 SPC (S ecure Private Cosm)フォーラムによる標準化が進められている。

[0004] SPCは、例えば、鍵を有する個人から一定距離内にある制御対象機器が、動作可能な安心空間の概念で、具体的には、「対をなす物体間で双方向無線通信を用いて常時認証を行ヽ、対をなす物体間の距離による機能制御を可能にする技術」である

[0005] この SPCの技術は、車、家、金庫、 TV、 PC、 PDA,キャビネット、カードなどの盗難、不正使用、置き忘れなどの防止対策としての活用が期待できる。

[0006] SPCの技術では、例えば、図 8に示すように、持ち主のキー端末 KTと、制御対象機器であるサービス端末 ST (自動車)とを一対とする。そして、キー端末 KTとサービス端末 STとの一対の端末同士が所定の距離以内にある場合に限って、サービス端末 STを活性化させる。この場合、キー端末 KTにより人の周りの制御対象機器が活性化する空間が存在し、その人が動くとその空間も移動する。このような概念を SPC としている。

[0007] 図 8に示すように、キー端末 KT (所有者の鍵)と、サービス端末 ST (自動車)とが存在して、る通信システムでは、所有者の鍵と自動車とが相互に認証可能な無線通信範囲でのみ自動車の機能制限を解除することで、自動車の盗難、不正使用、置き忘れを防止することができる。 [0008] すなわち、キー端末 KTは、特定の ID (identifier)である ID—Kを、制御対象機器であるサービス端末 ST (自動車）に常時送信する。

[0009] サービス端末 STである自動車は、キー端末 ΚΤから送信される ID— Κを受け取つて、る間、つまりキー端末 KTから送信される ID—Kの受信可能エリア内にある間は

、ドアロックやエンジンロックなどの機能制限が解除されて使用可能な状態となる。

[0010] そして、サービス端末 STである自動車は、キー端末 KTから送信される ID— Kの受信エリアから外れると、ドアロックやエンジンロックなどの機能が働いて使用不可能な状態となる。

[0011] このように、パーソナルワイヤレスデバイスにより持ち主認証を行う通信システムのァクセス制御では、持ち主のキー端末 KTとサービス端末 STとの距離により、サービス端末 STである自動車のドアやエンジンを制御して、自動車の盗難、不正使用、置き忘れなどを防止するようにして、る。

[0012] 従来、このような SPCの概念に基づいた技術として、特許文献 1及び特許文献 2記載の「機器の使用制限装置」、特許文献 3記載の「通信システム」などが知られてヽる

[0013] 特許文献 1記載の「機器の使用制限装置」は、非所有者、管理者以外の者による機器の使用を防止するため、一定の条件により機器の使用制限を行うようにしている。

[0014] この「機器の使用制限装置」は、送信装置と受信装置を備え、送信装置は、固有のコードを一定の強度で送信している。受信装置は、機器に設置され、送信装置からの送信コードが受信できない場合、機器の動作を停止させるようにしている。このように、この「機器の使用制限装置」では、 2つの端末が相互に一定強度で IDを送り続け、受信強度が劣化したら機能を停止するようにして、る。

[0015] 特許文献 2記載の「機器の使用制限装置」は、特許文献 1の技術に加えて、機能停止をユーザに通知するようにしている。つまり、この「機器の使用制限装置」は、送信装置力もの送信コードが受信できない場合、機器の動作を停止させるとともに、警報信号を発するようにしている。

[0016] 特許文献 3記載の「通信システム」は、所定の領域内でのみアクセス可能な端末の位置を測位し、端末の位置に応じたアクセス制御（無線 LAN)を行うようにして!/ヽる。この「通信システム」では、アクセス認証を行うサーバの設置場所に依存することなぐ任意の範囲にアクセス領域を設定することができる。

[0017] このような通信システムは、自動車と鍵、鍵と玄関ドアなどの関係でも同様に持ち主チェックを行うことができる。

特許文献 1：特開平 9 - 233542号公報

特許文献 2：特許第 2931276号

特許文献 3：特開 2003 - 244884号公報

発明の開示

発明が解決しょうとする課題

[0018] ところで、例えば、図 9に示すように、携帯電話機が、本人認証機器 (パーソナル端末 PT)として、ウェアラブルキーユニット (キー端末 KT)と、制御対象機器である自動車 (サービス端末 ST)との中心にある場合の通信システムを想定する。

[0019] SPCの概念に基づくアクセス制御では、携帯電話機 (パーソナル端末 PT)とウェアラブルキーユニット (キー端末 KT)、携帯電話機 (パーソナル端末 PT)と自動車 (サ一ビス端末 ST)、がそれぞれ対をなしており、それぞれの対の間でのみ認証を行つている。

[0020] また、 SPCの概念に基づくアクセス制御では、各端末の IDをそれぞれ事前に登録しておかな!/、と、相互に認証することができな!/、。

[0021] 従って、上述のように、パーソナル端末 PTがキー端末 KTとサービス端末 STとの中心にある通信システムのアクセス制御の場合には、各端末それぞれの認証用の IDを管理するために、新たに認証インフラとしての ID管理センタ及びペアリング装置 900 の設置が必要となり、高価になってしまう。

[0022] このような認証インフラとしての ID管理センタ及びペアリング装置 900が無、状況では、例えば、個人所有の携帯電話機 (パーソナル端末 PT)や自動車 (サービス端末 ST)にキー端末 KTを登録して使用すると、つた限定的な利用のみしかできな!/、。

[0023] また、従来のアクセス制御方法では、キー端末 KTと携帯電話機 (パーソナル端末 P T)間、及び携帯電話機 (パーソナル端末 PT)と制御対象機器である自動車 (サービス端末 ST)間の、 2つの認証が独立しており、キー端末 KTと自動車 (サービス端末 S T)との相互の関係が検討されていない。

[0024] このため、従来のアクセス制御方法では、例えば、サービス端末 STが自動車の場合、子供が所持しているキー端末 ΚΤでは自動車のドアを開けられるがエンジンはかけられな、ようにすると、つた制御はできな!、。

[0025] また、従来のアクセス制御方法では、サービス端末 STが玄関ドアの場合、キー端末 ΚΤの持ち主のみが玄関ドアを開けられるようにするといつた制御はできない。

[0026] このように、従来のアクセス制御方法では、キー端末 ΚΤとサービス端末 STとを相互に関連付けて制御することができな、と、う不便さがある。

[0027] また、従来のアクセス制御方法では、各端末間の認証が独立して、るため、セキュリティホールを突かれて、認証が失敗したり、うまく動作していないのに制御対象機器が活性ィ匕してしまったりする可能性があり、安全性に問題がある。

[0028] また、従来のアクセス制御方法では、キー端末 ΚΤと制御対象機器であるサービス端末 STが関連する場合のルールが明確でない。例えば、キー端末 ΚΤとサービス端末 STとに対する管理責任能力は子供と大人とで異なるが、このような場合のルールが明確ィ匕されていない。

[0029] また、従来のアクセス制御方法では、複数のキー端末 ΚΤが携帯電話機 (パーソナル端末 ΡΤ)に同時にアクセスしてきた場合のルールが明確でな、。

[0030] また、従来のアクセス制御方法では、複数の携帯電話機 (パーソナル端末 ΡΤ)が制御対象機器 (サービス端末 ST)にアクセスする場合のルールが明確でな、。

[0031] さらに、従来のアクセス制御方法では、各端末の IDが様々な条件や属性を持つ場合、例えば、各端末の IDに有効期限や権限などの条件や属性がある場合のルールが明確でない。

[0032] このように、従来のアクセス制御方法では、アクセス制御のルールが不明確なため、フレキシブルなアクセス制御ができな、と、う問題がある。

[0033] 本発明の目的は、既存のインフラ及び端末装置を用いて安価かつ安全に携帯電話機により各端末同士を関連付けてフレキシブルにアクセス制御することができる携帯電話機及びアクセス制御方法を提供することである。

課題を解決するための手段 [0034] 本発明の携帯電話機は、所定のコード信号を受信することにより機能制限が解除される制御対象機器と、前記制御対象機器の機能制限を解除するための固有のコード信号を発信する制御端末との間で、前記制御端末と前記制御対象機器とのァクセス制御を行う携帯電話機であって、前記制御端末及び前記制御対象機器と無線通信する無線通信手段と、前記制御端末の IDと前記制御対象機器の IDとを関連付けたアクセステーブルを作成するアクセステーブル作成手段と、前記アクセステーブル作成手段により作成した前記アクセステーブルを格納するアクセステーブル記憶手段と、前記無線通信手段を介して前記制御端末の IDが入力された際に前記制御端末の IDと関連付けられた前記制御対象機器の IDが前記アクセステーブルにあるか否かを判定する判定手段と、前記制御端末の IDと関連付けられた前記制御対象機器の IDが前記アクセステーブルにあると前記判定手段により判定された場合に前記制御端末と関連付けられた前記制御対象機器に対して保有する IDを送信するように前記無線通信手段を制御する制御手段と、を具備する。

[0035] また、本発明のアクセス制御方法は、所定のコード信号を受信することにより機能制限が解除される制御対象機器と、前記制御対象機器の機能制限を解除するための固有のコード信号を発信する制御端末との間で、携帯電話機により前記制御端末と前記制御対象機器とのアクセス制御を行うアクセス制御方法であって、前記制御端末及び前記制御対象機器と無線通信する無線通信ステップと、前記制御端末の ID と前記制御対象機器の IDとを関連付けたアクセステーブルを作成するアクセステーブル作成ステップと、前記アクセステーブル作成ステップで作成した前記アクセステ一ブルを格納するアクセステーブル記憶ステップと、前記無線通信ステップで前記制御端末の IDが入力された際に前記制御端末の IDと関連付けられた前記制御対象機器の IDが前記アクセステーブルにあるカゝ否かを判定する判定ステップと、前記制御端末の IDと関連付けられた前記制御対象機器の IDが前記アクセステーブルにあると前記判定ステップで判定された場合に前記制御端末と関連付けられた前記制御対象機器に対して保有する IDを送信するように前記無線通信ステップの動作を制御する制御ステップと、を具備する。

発明の効果 [0036] 本発明によれば、既存のインフラ及び端末装置を用いて安価かつ安全に携帯電話機により各端末同士を関連付けてフレキシブルにアクセス制御することができる。図面の簡単な説明

[0037] [図 1]本発明の一実施の形態に係るアクセス制御方法を適用する通信システムの構成例を示す概略構成図

[図 2]本発明の一実施の形態に係るアクセス制御方法を適用する通信システムの構成を示すブロック図

[図 3]本発明の一実施の形態に係るアクセス制御方法で用いる携帯電話機の構成を示すブロック図

[図 4]本発明の一実施の形態に係るアクセス制御方法で用いる携帯電話機のァクセステープノレを示す図

[図 5]本発明の一実施の形態に係るアクセス制御方法で用いる携帯電話機の他のァクセステーブルを示す図

[図 6]本発明の一実施の形態に係るアクセス制御方法における端末のペアリング方法の説明図

[図 7]本発明の一実施の形態に係るアクセス制御方法を示すシーケンス図

[図 8]従来の機器に対するパーソナルワイヤレスデバイスによる持ち主認証の概念を説明するための説明図

[図 9]従来の通信システムのアクセス制御方法について説明するための概略図発明を実施するための最良の形態

[0038] 以下、本発明の実施の形態について、図面を参照して詳細に説明する。なお、各図において同一の構成または機能を有する構成要素及び相当部分には、同一の符号を付してその説明は繰り返さな、。

[0039] 図 1は、本発明の一実施の形態に係るアクセス制御方法を適用する通信システムの構成例を示す概略構成図である。

[0040] 図 1に示すように、本例のアクセス制御方法を適用する通信システム 100は、キー端末 KT、パーソナル端末 ΡΤ、パーソナル兼サービス端末 PST、サービス端末 STなどで構成される。 [0041] 図 1において、制御端末としてのキー端末 KTは、鍵、指輪、カード等からなり、その認証 IDである ID— Κ、及びキーポリシ ΚΡを保持して!/、る。

[0042] パーソナル端末 ΡΤは、携帯電話機であり、その認証 IDである ID— Ρ、及びパーソナルポリシ ΡΡを保持して!/、る。

[0043] パーソナル兼サービス端末 PSTは、ノート PC等力なり、その認証 IDである ID— P

S、及びパーソナル兼サービスポリシ PSPを保持して!/、る。

[0044] 制御対象機器としてのサービス端末 STは、アクセスポイント (サーバ）等からなり、その認証 IDである ID— S、及びサービスポリシ SPを保持している。

[0045] このように、キー端末 KT、パーソナル端末 ΡΤ、パーソナル兼サービス端末 PST、サービス端末 STには、それぞれにポリシが設定されて、る。

[0046] ところで、 SPCでは、上述のような通信システム 100の場合、キー端末 KTがパーソナル端末 PTに ID— Kを常時発信する。

[0047] パーソナル端末 PTは、 ID— Kを発信しているキー端末 KTが一定の距離内にあるか否か、受信している IDが予め登録されている特定のキー端末 KTの ID— Kと一致して、るか否か、その他の条件を満足して、る力否かなどをチェックする。

[0048] そして、パーソナル端末 PTは、上述のチェック条件が満たされていれば、自身の I

D - Pをサービス端末 STに送る。

[0049] これにより、サービス端末 STの機能が ON (例えば、自動車のドアロックが解除）になる。

[0050] ここで、 SPCでは、上述のチェック条件が満たされてヽれば、パーソナル端末 PTが自身の ID— Pをサービス端末 STに対して常時発信することになる。なお、 SPCには、このような IDを直接見せないような仕組みが入っている力関係の無い端末にも ID を送り続けることは、セキュリティ上、好ましいとはいえない。

[0051] そこで、本例のアクセス制御方法では、パーソナル端末 PT力特定の人のキー端末 KTから発信されている ID— Kを受信し、かつ機能が ONになっている場合にのみ、自身の ID - Pをサービス端末 STに送るようにして、る。

[0052] サービス端末 STには、サービスを提供する予定の人が事前に登録されている。

[0053] サービス端末 STは、パーソナル端末 PT力送られてきた ID— Pをチヱックして、サ一ビスを提供する。

[0054] なお、パーソナル兼サービス端末 PSTは、スルーするだけの必須のものではなぐまた、複数段あってもよい。

[0055] また、キー端末 KTは、プライベート用、オフィス用、親用、子供用、上司用、部下用など複数想定され、キーポリシ KPに従って最低限のサービスを提供する。最低限のサービスとは、情報表示 (警告等）、機能の ONZOFFなどをいう。

[0056] キーポリシ KPは、受信情報種別、接続するパーソナル端末 PTを設定することが可能であるが、前記キー端末 KTは低機能であることが多ヽので接続先を意識せずに常時 IDを送信しても構わない。また、前記キーポリシ KPは出荷時に設定されており変更できなくても構わない。

[0057] パーソナル端末 PTは、従サービスをパーソナルポリシ PPに従って提供する。従サ一ビスとは、主サービスの結果の通知や、主サービスの操作などを行う主サービスの補助サービスをいう。

[0058] パーソナルポリシ PPは、受信情報種別、送信情報種別、接続するキー端末 KT、パ一ソナル兼サービス端末 PST及びサービス端末 ST、解除機能種別、解除条件 (距離、料金、他コンテキスト等)を設定する。

[0059] また、パーソナル兼サービス端末 PSTは、パーソナル兼サービスポリシ PSPに従つて主サービス (サービス端末 STを参照）を仲介する。

[0060] パーソナル兼サービスポリシ PSPは、受信情報種別、送信情報種別、接続するキ一端末 KTZパーソナル端末 PTZパーソナル兼サービス端末 PSTZサービス端末 ST、仲介内容、仲介条件 (距離、他コンテキスト等)を設定する。

[0061] サービス端末 STは、主サービスをサービスポリシ SPに従って提供する。主サービスとは、最終的に提供されるサービスで、個人所有装置 (車、家等)、公衆向け装置（アクセスポイント等）である。

[0062] サービスポリシ SPは、接続するキー端末 KT及びサービス端末 ST、キー端末 KT 及びサービス端末 STの所属、提供内容 (機能種別、期間等)、提供対象 (範囲、個数、優先度等)、提供条件 (料金、支払方法、他コンテキスト等)を設定する。

[0063] 次に、本例のアクセス制御方法を適用する通信システム 100の構成について説明する。図 2は、本発明の一実施の形態に係るアクセス制御方法を適用する通信システムの構成を示すブロック図である。図 3は、本発明の一実施の形態に係るアクセス制御方法で用いる携帯電話機の構成を示すブロック図である。

[0064] 図 2に示すように、本例のアクセス制御方法を適用する通信システム 100は、キー端末 KT、パーソナル端末 ΡΤ、サービス端末 STで構成される。

[0065] 図 2にお、て、キー端末 KTは、 ID及び ID補足情報記憶部 110、 KP及びアクセステーブル記憶部 120、判定部 130、制御部 140、近距離無線部 150、最低限サービス提供部 160を備える。

[0066] パーソナル端末 PTは、近距離無線部 210、操作部 220、判定部 230、 PP及びァクセステーブル記憶部 240、 ID及び ID補足情報記憶部 250、認証部 260、従サービス提供部 270、制御部 280を備える。

[0067] サービス端末 STは、近距離無線部 310、サービス提供部 320、 ID及び ID補足情報記憶部 330、 SP及びアクセステーブル記憶部 340、判定部 350、制御部 360を備える。

[0068] また、パーソナル端末 PTの制御部 280は、図 3に示すように、従来の PSCとの差分として、 ID切り替え部 281、 ID関連付け部 282、 ID送信制限部 283を備える。

[0069] なお、本例のアクセス制御方法を適用する通信システム 100は、図 1に示すように、サービス兼パーソナル端末 PSTを備えて、てもよ、。このサービス兼パーソナル端末 PSTは、パーソナル端末 PTと同じぐ近距離無線部 210、操作部 220、判定部 23 0、 ID及び ID補足情報記憶部 250、認証部 260、制御部 280を備える。また、サービス兼パーソナル端末 PSTは、パーソナル端末 PTの従サービス提供部 270の代わりに「サービス仲介部」、 PP及びアクセステーブル記憶部 240の代わりに「PSP及びァクセステーブル記憶部」を備える。

[0070] 図 2において、キー端末 KT及びサービス端末 STは、 SPCの場合と変わらない。

[0071] 通信システム 100は、パーソナル端末 PTとしての携帯電話機に、 PP及びアクセステーブル記憶部 240と、 ID及び ID補足情報記憶部 250とを備え、制御部 280に ID 切り替え部 281、 ID関連付け部 282、 ID送信制限部 283を備える点が SPCの場合と異なる。 [0072] すなわち、従来の SPCでは、サービス端末 STに対してアクセス相手であるキー端末 KTから ID— Kが多数送られてくるが、キー端末 KTと、サービス端末 STとは分けられておらず相互の関係が明確ではない。

[0073] 従来の SPCでは、キー端末 KTが常に ID— Kを送っており、キー端末 KTから ID— Kを受信したサービス端末 STは、その機能が全て有効になるようになって!/、る。

[0074] これに対し、本例のアクセス制御方法では、パーソナル端末 PT (携帯電話機）と、キー端末 KT及びサービス端末 STとの関係が書、てあるアクセステーブル（図 4及び図 5参照） 1S パーソナル端末 PTの PP及びアクセステーブル記憶部 240に格納されている。

[0075] そして、本例のアクセス制御方法にぉ、ては、パーソナル端末 PT (携帯電話機）が、予め定められた条件を満足した場合に必要な ID— Pをサービス端末 STに渡すように制御している。

[0076] また、本例のアクセス制御方法においては、パーソナル端末 PT (携帯電話機）が、サービス端末 STに渡す ID— Pについても、有効期限のある IDや、属性情報だけの個人を特定しな、IDを必要なときにだけ渡すように制御して、る。

[0077] ここで、個人を特定する場合には、本来、個人を特定するための認証インフラが新たに必要になる力このような認証インフラを新たに設けることはシステムのコストを増大させること〖こなる。

[0078] そこで、本例のアクセス制御方法にお!、ては、パーソナル端末 PTとしての携帯電話機が予め内蔵している UIM (User Identity Module)内に保存されている IDや、 Fe liCa (登録商標）内に保存されている IDなどを、認証インフラとして割り当てるように制御している。

[0079] このように、本例のアクセス制御方法では、制御の仕方を変えてサービスのクオリティーを高めるようにしている。

[0080] すなわち、本例のアクセス制御方法にぉ、ては、パーソナル端末 PTの制御部 280 の ID切り替え部 281で、通信相手に渡す IDを切り替えるようにしている。具体的には、 PP及びアクセステーブル記憶部 240に格納されて、るアクセステーブルと受信した IDより送信する IDを選択して、通信相手に渡す IDを切り替えるようにしている。 [0081] また、本例のアクセス制御方法にぉ、ては、パーソナル端末 PTの制御部 280の ID 関連付け部 282で、受信した IDを送信相手と関連付ける（ペアリングする）ようにしている。具体的には、キー端末 KTの ID— Kとサービス端末 STの ID— Sとをリンクして PP及びアクセステーブル記憶部 240に格納されているアクセステーブルに記載するようにしている。

[0082] ところで、上述のようなアクセス制御方法では、同じ IDを利用しつづけると、第 3者に追跡されて IDを解読される危険性がある。

[0083] そこで、本例のアクセス制御方法においては、ワンタイムパスワード方式を利用して

IDが毎回変更されるようにする力ある、は確率暗号により IDを暗号ィ匕し毎回異なる暗号文として送信するなど、 IDが容易に第三者に取得されな、ような仕組みを導入するようにしてちょい。

[0084] また、本例のアクセス制御方法にぉ、ては、サービス端末 STの利用に対する利用者への課金について、 FeliCa (登録商標）のような非接触 ICによる電子マネーの利用を図るようにしてもよい。

[0085] また、本例のアクセス制御方法にぉ、ては、サービス端末 STの利用に対する利用者への課金について、サービス端末 STがバックボーン経由で ID— Pのアカウントに課金するようにしてもよヽ。

[0086] また、本例のアクセス制御方法にぉ、ては、サービス端末 STの利用に対する利用者への課金にっ、て、非接触 ICによる電子マネーのバックボーンインフラ提供者や

、携帯電話オペレータの課金システムを利用するようにしてもょ、。

[0087] また、本例のアクセス制御方法にぉ、ては、キー端末 KTとサービス端末 STとが直接電子マネーによる課金処理を行うようにしてもょ、。

[0088] また、本例のアクセス制御方法にぉ、ては、サービス端末 STが公衆無線 LANスポットサービスの場合、サービス端末 ST及びキー端末 KTで非接触 ICなどによる電子マネーの決済後に、所定のアクセスポイントの範囲内で無線 LANの利用が可能になるように制御してちょい。

[0089] 上述のように、本例のアクセス制御方法にお!、ては、パーソナル端末 PTである携帯電話機によりキー端末 KTと制御対象機器であるサービス端末 STとを関連付けるようにしている。

[0090] また、本例のアクセス制御方法にお!、ては、パーソナル端末 PTとしての携帯電話機にぉ、て、既存の認証インフラである UIMの IDや秘密情報をパーソナル端末 PT の ID— Pに関連付けるようにしている。

[0091] また、本例のアクセス制御方法におけるパーソナル端末 PT (携帯電話機）は、キー端末 KT及びサービス端末 ST (制御対象機器)と通信し、それぞれの関係を記載したアクセステーブルを PP及びアクセステーブル記憶部 240に格納し、アクセステーブルに記載されたキー端末 KTの ID— Kを受信した場合、自身の ID— Pをサービス端末 STに送るようにして、る。

[0092] また、本例のアクセス制御方法にぉ、ては、 PP及びアクセステーブル記憶部 240 に格納されたアクセステーブルに、図 5に示すように、接続可能な複数の装置、解除機能及び解除条件、 ID及びレコードの優先度を設定し、かつ IDに属性情報と有効期限を定義するようにしてもょ、。

[0093] ところで、 SPCの技術においては、通信する相互の端末同士の IDを関連付けるために、各端末の ID登録を行うペアリング装置を新たに設置する必要がある。

[0094] 本例のアクセス制御方法においては、新たにペアリング装置を設置することなぐパ一ソナル端末 PTである携帯電話機をペアリング装置として用いるようにして、る。

[0095] 具体的なペアリング方法としては、シリアルケーブルや USBケーブル等により端末同士を直に接続して ID登録することが考えられる力ペアリングのためにこのようなケ一ブルを持ち歩くのは非現実的である。

[0096] 従って、このペアリング方法としては、 NFC (Near Field Communication)や Blueto othなどの近距離無線を使うことが好ましい。しかし、 Bluetoothは、通信距離が長いためペアリング相手が分力り難い。これに対し、 NFCは、通信距離が短いので、ペアリング相手を特定しやす!/ヽと!ヽぅ点で有効な通信手段と!/ヽえる。

[0097] このペアリング（ID同士を関連付けて登録）には、 UIM (User Identity Module)などの ICカードや、メモリカードを使うことができる。現実的には、 UIMは抜差しが面倒であるので、メモリカードを用いることが有効である。

[0098] また、ペアリングに非接触 ICを用いる場合には、サービス端末 STの RW (リーダライタ）力パーソナル端末 PTの非接触 ICにサービスポリシ SPと ID— Sを書き込み、予め非接触 ICに記憶したパーソナルポリシ PPと ID— Pを読み込む。

[0099] また、ペアリングに NFCを用いる場合には、サービス端末 STの RWがパーソナル端末 PTにサービスポリシ SPと ID— Sを書き込み、パーソナル端末 PTの RWがサービス端末 STにパーソナルポリシ PPと ID— Pを書込む（どちらが先でも良い）。このように、ペアリングに NFCを用いる場合には、パーソナル端末 PTである携帯電話機側にも RW機能があるものとする。

[0100] そして、本例のアクセス制御方法にぉ、ては、非接触 IC経由で認証後のみ、各端末の ID及びポリシの登録を許可する。このようにペアリングに非接触 ICを用いる場合には、その電子マネーによる課金との併用が効果的である。

[0101] 次に、メモリカードによるペアリング方法の手順について説明する。ここでは、図 6に示すように、携帯電話機 (パーソナル端末 PT)を中心に、ウェアラブルキーユニット（キー端末 PT)と、制御対象機器である車 (サービス端末 ST)を関連付ける手順について説明する。

[0102] 図 6において、まず、ステップ ST601では、パーソナル端末 PTに、メモリカード 600 を挿入して、パーソナル端末 PTにメモリカード 600を登録する。例えば、ステップ ST 601では、メモリカード 600の IDである CIDをパーソナル端末 PTに設定（または、パ一ソナル端末 PTの ID— Pをメモリカードに記録)する。

[0103] 次!、で、ステップ ST602では、キー端末 KTにメモリカード 600を挿入して、キー端末 KTにメモリカード 600を登録する。

[0104] なお、キー端末 KTには、メモリカード 600のスロットが無い場合が想定される。この場合には、商品購入時に設定済みとする。又は、 SPCで用いる無線により設定してもよい。あるいは、パーソナル端末 PTからキー入力により直接入力するようにしてもよい。

[0105] また、ステップ ST602では、キー端末 KTの ID— Kをメモリカード 600に記録する。

ここで、キー端末 KT力メモリを持っている場合には、キー端末 KTのメモリに、メモリ力ード 600の ID (CID)又はパーソナル端末 PTの ID— Pをキー端末 KTに設定する。

[0106] 次!、で、ステップ ST603では、サービス端末 STにメモリカード 600を挿入して、サ一ビス端末 STにメモリカード 600を登録する。サービス端末 STは、メモリカード 600 力も CID (又は ID— P)を読み出して記憶する。なお、直接 ID— Kを登録する方法もありえる。また、ステップ ST603では、サービス端末 STの ID— Sをメモリカード 600に記録する。

[0107] 次いで、ステップ ST604では、キー端末 KTの ID— K及びサービス端末 STの ID— Sが記録されたメモリカード 600をパーソナル端末 PTに挿入して、メモリカード 600から IDを読み出す。そして、キー端末 KTの ID— Kと、サービス端末 STの ID— Sをパ一ソナル端末 PTに設定する。

[0108] 次いで、ステップ ST605では、パーソナル端末 PTは、キー端末 KTの ID—Kと、サ一ビス端末 STの ID— Sと、メモリカード 600の CID (又はパーソナル端末 PTの ID— P)を関連付けてアクセステーブルに記録する。

[0109] そして、パーソナル端末 PTは、各端末の IDを関連付けたアクセステーブルを利用してアクセス制御を行う。つまり、パーソナル端末 PTは、キー端末 KTの ID— Kを受けて、パーソナル端末 PTの ID— Pをサービス端末 STに送信する。また、パーソナル端末 PTは、サービス端末 STの ID— Sを受けて、パーソナル端末 PTの ID— Pをキー端末 KTに送信する。

[0110] ここで、パーソナル端末 PTは、パーソナルポリシ PPの許可する ID— K力パーソナルポリシ PPの許可する距離に存在し、パーソナルポリシ PPの要求する他条件をも満足し、パーソナルポリシ PPに指定されたパーソナル端末 PTの機能が ONして、て、サービス端末 STの ID— Sを受信できる場合に、パーソナルポリシ PPが許可するサ一ビス端末 STへのみ ID— Pを送信する。

[0111] なお、パーソナルポリシ PPの要求する他条件とは、例えば、距離以外のコンテキストのチェック、複数のキー端末 KTを検知時の競合調整等を、う。

[0112] また、サービス端末 STは、サービスポリシ SPの許可する ID— P力サービスポリシ SPの許可する距離に存在し、サービスポリシ SPの要求する他条件も満足し、サービスポリシ SPに指定されたサービス端末 STの機能が ONして、て、パーソナル端末 P Tがサービスを検出できるように可能ならばサービス端末 STの ID— Sを送信する。

[0113] なお、サービスポリシ SPの要求する他条件とは、複数のパーソナル端末 PTを検知時の競合調整や、課金処理等をいう。

[0114] 次に、本例のアクセス制御方法について説明する。図 7は、本発明の一実施の形態に係るアクセス制御方法を示すシーケンス図である。

[0115] 図 7において、上段では、図 4及び図 5に示すようなアクセステーブルを作る処理を行う。また、下段では、上段において作成したアクセステーブルを使ってアクセス制御を実行する。

[0116] すなわち、図 7の上段の動作としては、前述のペアリング方法でキー端末 KTとパーソナル端末 PTとのペアリング (ステップ ST701)、及びパーソナル端末 PTとサービス端末 STとのペアリングを行う（ステップ ST702)。

[0117] 本例のアクセス制御方法では、基本的に、パーソナル端末 PTである携帯電話機側でアクセステーブルを作るようにしている。ここで、キー端末 KT側のアクセステーブルは、信号を出すだけの低機能なものである。また、サービス端末 ST側のアクセステーブルは、誰に対してサービスを提供するかを設定する。

[0118] 携帯電話機 (パーソナル端末 PT)側のアクセステーブルは、キー端末 KTとサービス端末 STとの関係と制御を含めたテーブルである。

[0119] 次に、図 7の下段の動作として、アクセステーブルの作成後、キー端末 KTは、キーポリシ KPに従って ID— K及び ID補足情報をパーソナル端末 PTに送信する (ステツプ ST703)。

[0120] 一方、サービス端末 STは、サービスポリシ SPに従って、 ID— S及び ID補足情報をパーソナル端末 PTに送信する（ステップ ST704)。

[0121] パーソナル端末 PTは、受信したキー端末 KTの ID— Kとマッチングしているサービスがあれば、 ID— P及び ID補足情報をサービス端末 STに送る（ステップ ST705)。ここで、パーソナル端末 PTは、サービスが無ければ、通常の携帯電話機として機能する。

[0122] サービス端末 STは、パーソナル端末 PTから送られた ID— Pと ID補足情報を確認し、サービスポリシ SPに指定された機能制限を解除して、サービスの提供を開始する

[0123] これにより、サービス端末 STからパーソナル端末 PTにサービスが送られ (ステップ ST706)、パーソナル端末 PTからキー端末 KTにサービス結果が送られる（ステップ ST707)。そして、パーソナル端末 PTからサービス結果を受け取ったキー端末 KT は、キーポリシ KPに従ってサービス結果を表示する。

[0124] このように、本例のアクセス制御方法におけるパーソナル端末 PT (携帯電話機）は、キー端末 KTの ID— Kが来たときだけ、予め登録している必要なサービスがあれば、パーソナル端末 PTの ID - Pをサービス端末 STに送るようにして!/、る。

[0125] また、パーソナル端末 PT (携帯電話機）は、予め登録している必要なサービスがあつても、条件が合わずマッチングしていなければ、パーソナル端末 PTの ID— Pをサ一ビス端末 STに送らな、ようにして、る。

[0126] 上述のように、本例のアクセス制御方法においては、既存の認証インフラ、例えば、 UIM、 FeliCa (登録商標）、ワンタイムパッド（OTP)を、認証インフラとして利用し、携帯電話機 (パーソナル端末 PT)をペアリング装置として利用している。これにより、本例のアクセス制御方法にぉ、ては、新たに認証インフラ及びペアリング装置を設置する必要がなくなる。

[0127] また、本例のアクセス制御方法においては、キー端末 KTとパーソナル端末 PT (携帯電話機)、パーソナル端末 PT (携帯電話機)と制御対象機器である自動車 (サービス端末 ST)の、二つの認証を関連付けている。また、本例のアクセス制御方法においては、キー端末 KT、パーソナル端末 PT (携帯電話機)、制御対象機器である自動車 (サービス端末 ST)を、既存の認証インフラとも関連付けている。これにより、本例のアクセス制御方法にぉ、ては、従来の SPCのように各端末間の認証が独立してセキユリティホールが生じる可能性がなくなる。

[0128] また、本例のアクセス制御方法にぉ、ては、フレキシブルなアクセス制御項目を設定して、従来の SPCのアクセス制御方法が弱ヽと、う課題の解決を図って!/、る。

[0129] すなわち、これまでは、パーソナル端末 PTである携帯電話機を中心に、携帯電話機と話ができる人という IDが記録される形になっていた。また、携帯電話機のテープルには、ウェアラブルキーユニット、玄関ドア、自動車等が並列にチェックされていた

[0130] そこで、本例のアクセス制御方法では、携帯電話機をペアリング装置に見立てて、ウェアラブルキーユニットと、玄関ドアや車の IDとを、それぞれペアリングしてセットで記憶するようにしている。つまり、従来パラレルになっていたウェアラブルキーユニットと、玄関ドアや自動車との IDとの関係付けをするようにして、る。

[0131] また、本例のアクセス制御方法では、携帯電話機に、ウェアラブルキーユニットと玄関ドアや自動車との IDとをセットで記録したアクセステーブルを持たせる構成を採つている。

[0132] そして、本例のアクセス制御方法では、携帯電話機が、ウェアラブルキーユニット ( キー端末 KT)カゝらアクセステーブルに記載された ID— Kを受信したら、ウェアラブルキーユニットとペアになっている玄関ドア又は自動車の ID— Sがあるか否かチェックする。

[0133] そして、携帯電話機は、ウェアラブルキーユニットとペアになっている玄関ドア又は自動車の ID— Sがあれば、ペアになって \、る玄関ドア又は自動車に自身の ID— Pを送信する。

[0134] これにより、本例のアクセス制御方法では、従来、バラバラに行われていた制御対象機器の認証を、携帯電話機でつなげることができるようになる。

[0135] このように、本例のアクセス制御方法では、パーソナル端末 PTにお、て、キー端末 KT、パーソナル兼サービス端末 PST、サービス端末 STの関連付け (ペアリング)を行う。

[0136] また、パーソナル端末 PTは、キー端末 KT、パーソナル兼サービス端末 PST、サービス端末 STと通信し、それぞれの関係をアクセステーブルに記憶する。

[0137] そして、パーソナル端末 PTは、アクセステーブルに記載された ID— Kを受信した場合、自身の ID— Pを送信する。

[0138] ここで、送信先が限定されている場合は、送信先の ID— PS又は ID— Sが受信できた場合に限りパーソナル端末 PTが自身の ID— Pを送信する。

[0139] これにより、パーソナル端末 PTは、不要な ID— Pの送信を制限することができ、安全性向上及び低消費電力化を図ることができる。

[0140] ところで、携帯電話機には、既存認証インフラである UIM、 FeliCa (登録商標）が入っているものがある。 [0141] そこで、このような携帯電話機をパーソナル端末 PTとして用いる本例の通信システム 100では、キー端末 ΚΤから ID— Κが来たら、パーソナル端末 PTは ID— Pを送る力このときに送る IDとして、 UIMの IDとか秘密鍵、 FeliCa (登録商標）の IDmを利用する。なお、秘密鍵は、そのままでは送れないので、チャレンジレスポンスの仕様をサービス提供の仕様に STP (ID— S)化する。

[0142] また、パーソナル端末 PTが送る IDとしては、例えば、銀行のフィッシングサギ対策で使用されて、るワンタイムパッド (OTP)のワンタイムパッドトークンを用いるようにしてもよい。ワンタイムパッドトークンは、サーバが同期を取って数字などのパスワードを、時間や使用回数で自動的に変更するようにして、る。

[0143] また、本例のアクセス制御方法では、携帯電話機にトークンの働きをするソフトゥェァを入れておくようにしてもよい。これにより、別のトークンが不要になり、トークンが出す IDを携帯電話機で送ってパーソナル端末 PTの ID— Pとして使用することができる

[0144] このように、本例のアクセス制御方法では、パーソナル端末 PTにお、て、既存認証インフラの ID又は秘密情報を ID— Pに関連付けし、既存認証インフラの IDと秘密情報を、それぞれパーソナル端末 PTとパーソナル兼サービス端末 PST間、パーソナル端末 PTとサービス端末 ST間の、認証時の ID— Pと対応する秘密鍵として利用している。

[0145] ここで、単純な認証は、既存認証インフラの IDのみ送信、厳密な認証には、既存認証インフラの秘密鍵で暗号的に認証する。

[0146] 具体的には、既存認証インフラとして、 UIMの UIM— ID、電話番号、 UIM内の秘密鍵などを用いる。あるいは、 FeliCa (登録商標）の ID、 FeliCa内の秘密鍵などを既存認証インフラとして用いる。また、既存認証インフラとしては、ワンタイムパッド (OTP

)のユーザ ID、パスワードなどを用いてもよい。

[0147] なお、キー端末 KTがトークンを兼ねるようにしてもよい。例えば、キー端末 KTから得る時変の OTPiを秘密鍵としてもょ、。

[0148] また、サービス端末 ST及びキー端末 KT力ソフトトークンを備えるようにしてもょ、。

つまり、ソフトウェアからの OTPiを秘密鍵とするようにしてもよ!、。 [0149] また、本例のアクセス制御方法では、携帯電話機のテーブルに、接続を許可する端末を予め登録しておく。キー端末 KTは上位機器とし、サービス端末 STは下位機器として、何を許可するかを設定する。

[0150] また、本例のアクセス制御方法では、携帯電話機のテーブルに、どのような挙動を許すのかを設定する。例えば、 FeliCa (登録商標）の有料サービスでは、 500円を課金した後に、 IDが送れるように設定する。

[0151] なお、無線通信では、複数のキー端末 KTからのレコード信号が同時に送信されてくる。そこで、本例のアクセス制御方法では、携帯電話機のテーブルに、どのレコード信号を優先処理するかを設定しておく。例えば、家の玄関ドアの鍵、自動車の鍵などの複数の ID— Kを受けた場合、どちらの ID— Kを優先して受け付ける力、あるいは子供と大人が同時に ID— Kを送ってきた場合には、大人が送ってきた ID— Kを優先して受け付けるようにテーブルに設定する。

[0152] また、本例のアクセス制御方法におけるパーソナル兼サービス端末 PSTは、サービスの仲介条件を設定するようにしてもよい。例えば、仲介する内容、距離、相手を制限するようにしてちょい。

[0153] また、本例のアクセス制御方法では、パーソナル端末 PT及びサービス端末 STのァクセステーブルに、接続可能な複数装置を設定するようにしてもよい。 AND, OR、 N

OR等も設定可能とする。

[0154] また、本例のアクセス制御方法では、キー端末 KT、パーソナル端末 ΡΤ、サービス端末 STのアクセステーブルに解除機能及び解除条件を設定するようにしてもょ、。

AND, OR、 NOR等も設定可能とする。解除条件は、位置時刻 ·電池残量 ·動きセンサ ·課金済みフラグ等である。

[0155] また、本例のアクセス制御方法では、パーソナル端末 PT及びサービス端末 STのァクセステーブルに、 ID及びレコードの優先度を設定するようにしてもよい。この設定は

、同時及び割り込みアクセス時も設定可能とする。

[0156] また、本例のアクセス制御方法では、 IDに属性と有効期間との 2種類の特性をもたせるようにしてちょい。

[0157] SPCでは、 IDで個人識別するようにして、る。しかし、例えば、会社などでは個人まで特定しなくても、所属組織などの属性を知れば十分に持ち主認証が可能な場合が多い。また、サービスとしては、 1ヶ月の料金等の属性があればよい。

[0158] そこで、本例のアクセス制御方法では、 IDに属性と有効期間との 2種類の特性をもたせることで、属性の種類に応じて、使用時間を割り当てたり、利用機能を制限したりすることができるようになる。その他、本例の通信システム 100では、個人 IDに属性をプラスしてもよ、（ある、は属性のみでもよ!/、）。

[0159] 本例のアクセス制御方法では、 IDに属性及び有効期間（ID補足情報と呼ぶ）を定義する。このように、 IDに属性を定義することにより、個人識別せず会員、組織、役職等の属性に応じて機能提供することができる。

[0160] これにより、本例のアクセス制御方法では、属性に応じて、タイムシアリング (属性に合わせて利用時間を割り振り）、排他制御 (属性による優先度付け、強制割り込み) 、利用可能機能 (属性に合わせて利用可能な機能を決定)などの制御が可能なる。

[0161] また、本例のアクセス制御方法では、 IDに有効期限 (IDの有効期限を指定する）を定義することにより、有償サービスとして 1日だけ有効な IDを発行することもできる。ここで、 ID補足情報を定義するには、個人 IDに情報を追加するか、属性 IDを別途保有するようにする。なお、未認証 IDに対して挙動を指定可能とする。未認証 IDを検知した場合は警告を通知 (例：衝突防止)する。

[0162] このように、本例のアクセス制御方法は、既存インフラと既存装置を使用して、低コストに持ち主認証を実現できる。つまり、本例のアクセス制御方法では、切り替える ID として従来の既存のインフラの IDを使用でき、 SPC用のインフラのように整える必要がないので、通信システム 100を安価に構成することができる。

[0163] また、本例のアクセス制御方法は、携帯電話機により個々の認証を関連付けるので、サービスに応じて IDを切り替え、必要なとき以外には個人情報を渡さないで済み、安全性が高まる。

[0164] また、本例のアクセス制御方法は、アクセステーブルと IDを拡張したので、様々なアクセス制御条件を設定でき、多様なサービスが可能となる。

[0165] また、本例のアクセス制御方法は、パーソナル端末 PTによりキー端末 KTとサービス端末 STとを関連付けているので、 IDを常時送信する必要が無ぐ電力を節減することができ、安全性も向上する。つまり、 SPCでは常にコード信号を出し続けているが、本例のアクセス制御方法では、必要なときだけ、必要な IDを出すようにしている。また、本例のアクセス制御方法では、状況に応じて IDを出すかどうかを決め、出す IDも相手に応じて切り替えるようにして、る。

産業上の利用可能性

本発明に係るアクセス制御方法は、既存のインフラ及び端末装置を用いて安価かつ安全に携帯電話機により各端末同士を関連付けてフレキシブルにアクセス制御することができるので、パーソナルワイヤレスデバイスにより機器に対する持ち主認証を行う通信システムのアクセス制御方法及び携帯端末装置として有用である。

Claims

請求の範囲

[1] 所定のコード信号を受信することにより機能制限が解除される制御対象機器と、前記制御対象機器の機能制限を解除するための固有のコード信号を発信する制御端末との間で、前記制御端末と前記制御対象機器とのアクセス制御を行う携帯電話機であって、

前記制御端末及び前記制御対象機器と無線通信する無線通信手段と、前記制御端末の IDと前記制御対象機器の IDとを関連付けたアクセステーブルを作成するアクセステーブル作成手段と、

前記アクセステーブル作成手段により作成した前記アクセステーブルを格納するァクセステーブル記憶手段と、

前記無線通信手段を介して前記制御端末の IDが入力された際に前記制御端末の IDと関連付けられた前記制御対象機器の IDが前記アクセステーブルにある力否かを判定する判定手段と、

前記制御端末の IDと関連付けられた前記制御対象機器の IDが前記アクセステーブルにあると前記判定手段により判定された場合に前記制御端末と関連付けられた前記制御対象機器に対して保有する IDを送信するように前記無線通信手段を制御する制御手段と、

を具備する携帯電話機。

[2] 前記保有する IDが、携帯電話を識別する IDである、

請求項 1記載の携帯電話機。

[3] 制御機器の IDと関連付けてアクセステーブルに記憶された制御対象機器の IDを携帯電話機が受信した場合に限って自身の IDを送信する場合に、

前記保有する IDとして、携帯電話を識別する IDを送出する、

請求項 1記載の携帯電話機。

[4] 前記保有する IDが、携帯電話機が保有する ICカードを識別する ID又は ICチップ内に保存された IDである、

請求項 1記載の携帯電話機。

[5] 前記アクセステーブルに、接続可能な複数の制御対象機器、前記制御対象機器の解除機能、前記解除機能の解除条件、 ID及びレコードの優先度、を設定し、かつ前記 IDに属性情報及び有効期限を定義した、

請求項 1記載の携帯電話機。

所定のコード信号を受信することにより機能制限が解除される制御対象機器と、前記制御対象機器の機能制限を解除するための固有のコード信号を発信する制御端末との間で、携帯電話機により前記制御端末と前記制御対象機器とのアクセス制御を行うアクセス制御方法であって、

前記制御端末及び前記制御対象機器と無線通信する無線通信ステップと、前記制御端末の IDと前記制御対象機器の IDとを関連付けたアクセステーブルを作成するアクセステーブル作成ステップと、

前記アクセステーブル作成ステップで作成した前記アクセステーブルを格納するァクセステーブル記憶ステップと、

前記無線通信ステップで前記制御端末の IDが入力された際に前記制御端末の ID と関連付けられた前記制御対象機器の IDが前記アクセステーブルにあるカゝ否かを判定する判定ステップと、

前記制御端末の IDと関連付けられた前記制御対象機器の IDが前記アクセステーブルにあると前記判定ステップで判定された場合に前記制御端末と関連付けられた前記制御対象機器に対して保有する IDを送信するように前記無線通信ステップの動作を制御する制御ステップと、

を具備するアクセス制御方法。