特許第6826904号(P6826904)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 東芝テック株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 東芝テック株式会社の特許一覧

<>
  • 特許6826904-情報処理装置 図000002
  • 特許6826904-情報処理装置 図000003
  • 特許6826904-情報処理装置 図000004
  • 特許6826904-情報処理装置 図000005
  • 特許6826904-情報処理装置 図000006
  • 特許6826904-情報処理装置 図000007
  • 特許6826904-情報処理装置 図000008
  • 特許6826904-情報処理装置 図000009
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6826904
(24)【登録日】2021年1月20日
(45)【発行日】2021年2月10日
(54)【発明の名称】情報処理装置
(51)【国際特許分類】
   H04L 9/08 20060101AFI20210128BHJP
   G06F 21/73 20130101ALI20210128BHJP
【FI】
   H04L9/00 601A
   H04L9/00 601E
   G06F21/73
【請求項の数】5
【全頁数】20
(21)【出願番号】特願2017-20503(P2017-20503)
(22)【出願日】2017年2月7日
(65)【公開番号】特開2018-129616(P2018-129616A)
(43)【公開日】2018年8月16日
【審査請求日】2020年1月22日
(73)【特許権者】
【識別番号】000003562
【氏名又は名称】東芝テック株式会社
(74)【代理人】
【識別番号】100108855
【弁理士】
【氏名又は名称】蔵田 昌俊
(74)【代理人】
【識別番号】100103034
【弁理士】
【氏名又は名称】野河 信久
(74)【代理人】
【識別番号】100075672
【弁理士】
【氏名又は名称】峰 隆司
(74)【代理人】
【識別番号】100153051
【弁理士】
【氏名又は名称】河野 直樹
(74)【代理人】
【識別番号】100179062
【弁理士】
【氏名又は名称】井上 正
(74)【代理人】
【識別番号】100189913
【弁理士】
【氏名又は名称】鵜飼 健
(72)【発明者】
【氏名】池上 史彦
【審査官】 行田 悦資
(56)【参考文献】
【文献】 国際公開第2009/028052(WO,A1)
【文献】 米国特許出願公開第2013/0151858(US,A1)
【文献】 特開2003−280970(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/08
G06F 21/73
(57)【特許請求の範囲】
【請求項1】
外部から与えられたファイルを暗号化したファイルを記憶手段で記憶し、予め定められたアクセスキーが入力されたことに応じて前記記憶手段をアンロック状態又はロック状態とし、当該アンロック状態においては前記記憶手段に記憶されたファイルを復号して出力する記憶装置を利用し、前記復号されたファイルを用いた情報処理を行う情報処理装置において、
他の機器が送信する識別子を取得する識別子取得手段と、
前記識別子取得手段により取得された識別子に基づいてアクセスキーを取得するキー取得手段と、
前記キー取得手段により取得されたアクセスキーを前記記憶装置へと入力する入力手段と、
を具備した情報処理装置。
【請求項2】
前記キー取得手段は、
前記識別子に関連付けて前記アクセスキーを記述したテーブルと、
前記識別子取得手段により取得された識別子に関連付けられているアクセスキーを前記テーブルから読み出す読出手段と、
をさらに具備する請求項1に記載の情報処理装置。
【請求項3】
前記キー取得手段は、
前記機器の1つに関して、当該機器の識別子から求まるハッシュ値の一部をマスクしてなるマスク済みハッシュ値と、当該機器の識別子及び当該機器に割り当てられた電子割符のセットを前記ハッシュ値で暗号化した暗号化済み電子割符とを関連付けたエントリを、前記機器のそれぞれに関して複数含んだテーブルと、
前記識別子取得手段により取得された識別子のハッシュ値を計算する計算手段と、
マスクされていない部分が前記計算手段により計算されたハッシュ値と一致するマスク済みハッシュ値を含んだエントリを前記テーブル中から検索する検索手段と、
前記検索手段により検索されたエントリに含まれた暗号化済み電子割符を前記計算手段により計算されたハッシュ値で復号する復号手段と、
前記復号手段により前記暗号化済み電子割符を復号して得られる識別子と電子割符とのセットに含まれる識別子が前記識別子取得手段により取得された識別子と一致する場合に、当該セットに含まれる電子割符を有効なものとして選出する選出手段と、
前記選出手段により選出された複数の電子割符から前記アクセスキーを復元する復元手段と、
をさらに具備する請求項1に記載の情報処理装置。
【請求項4】
前記復元手段により前記アクセスキーを復元できた場合に、前記計算手段により計算されたハッシュ値のうちから、前記テーブルに含まれたマスク済みハッシュ値のいずれともマスクされていない部分において一致しないハッシュ値を抽出し、当該抽出したハッシュ値の一部をマスクして新たなマスク済みハッシュ値を生成し、前記抽出したハッシュ値を計算するために前記計算手段が用いた識別子と、構成し直した電子割符の1つとをセットしたものを、前記抽出したハッシュ値で暗号化して新たな暗号化済み電子割符を生成し、当該暗号化済み電子割符と上記の生成したマスク済みハッシュ値とを含んだ新たなエントリを前記テーブルに追加する追加手段、
をさらに備える請求項3に記載の情報処理装置。
【請求項5】
前記キー取得手段は、
操作者による操作に応じて情報を入力する入力デバイス、
をさらに備え、
前記入力デバイスによりアクセスキーが入力された場合には、当該アクセスキーを取得する、
請求項1乃至請求項4のいずれか一項に記載の情報処理装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、情報処理装置に関する。
【背景技術】
【0002】
データファイル及びプログラムファイルなどのファイルを自動的に暗号化しながら格納する機能を持ち、正当な権限を持つユーザ以外がファイルを読み書きできないように保護する記憶装置が知られている。このような記憶装置は、Trusted Computing Group(TCG)によってtrusted computing group opal security subsystem class(TCG Opal SSC)として規格化されており、self-encrypting drive(SED)と呼ばれている。
【0003】
このSEDを用いると、ファイルが暗号化されて不正なアクセスから保護されるというメリットがある。その反面、情報処理装置においてSEDに対してファイルを読み書きするためには、正当な権限を証明するためのアクセスキーを情報処理装置に対してユーザが入力しなければならず、ユーザにとっての利便性が損なわれる。
【0004】
ところで、一般に暗号鍵や認証情報といった秘密情報を、ユーザに明示的な操作を要求することなく得る方法として、特許文献1及び特許文献2に示されるような秘密分散法を用いたいくつかの技術が提案されている。そしてこのような周知の技術を、SEDを利用する情報処理装置に適用すれば、アクセスキーの入力のためのユーザによる操作を不要にできる。
【0005】
しかしながら、秘密分散法を用いる従来の技術では、SEDを利用する情報処理装置でアクセスキーを得るための割符を送信する機能を、当該情報処理装置と通信可能な他の複数の機器がそれぞれ備えなければならなかった。
【0006】
一例として、SEDを利用する決済端末をPOSシステムに備えようとすると、例えば決済端末へと割符を送信する機能を複数のPOS端末に備えなければならない。つまり、割符を送信する機能を備えないPOS端末により構成された既存のPOSシステムに上記の決済端末を導入しようとする場合は、上記のPOS端末のうちの少なくとも一部を割符を送信する機能を備えたものに交換する必要がある。
【0007】
このような事情から、ユーザの操作を必要とすることなく、しかも他の機器に特別な機能を備えることなく、SEDを利用するためのアクセスキーを情報処理装置において取得できることが望まれていた。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2010−219603号公報
【特許文献2】特開2014−6764号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
本発明が解決しようとする課題は、ユーザの操作を必要とすることなく、しかも他の機器に特別な機能を備えることなく、SEDを利用するためのアクセスキーを取得できる情報処理装置を提供することである。
【課題を解決するための手段】
【0010】
実施形態の情報処理装置は、外部から与えられたファイルを暗号化したファイルを記憶手段で記憶し、予め定められたアクセスキーが入力されたことに応じて記憶手段をアンロック状態又はロック状態とし、当該アンロック状態においては記憶手段に記憶されたファイルを復号して出力する記憶装置を利用し、復号されたファイルを用いた情報処理を行うものであり、かつ通信ネットワークに接続可能であり、識別子取得手段、キー取得手段及び入力手段を備える。識別子取得手段は、通信ネットワークを介して自機と接続された他の装置の識別子を、当該装置から通信ネットワークを介して取得する。キー取得手段は、識別子取得手段により取得された識別子に基づいてアクセスキーを取得する。入力手段は、キー取得手段により取得されたアクセスキーを記憶装置へと入力する。
【図面の簡単な説明】
【0011】
図1】第1の実施形態に係るパーソナルコンピュータの要部回路構成を示すブロック図。
図2図1に示されるキーテーブルの構成を模式的に示す図。
図3図1に示されるロック設定部における処理の手順を示すフローチャート。
図4図1に示されるロック設定部における処理の手順を示すフローチャート。
図5】第2の実施形態に係るパーソナルコンピュータの要部回路構成を示すブロック図。
図6】図に示される割符テーブルの構成を模式的に示す図。
図7図5に示されるロック設定部における処理の手順を示すフローチャート。
図8】第3の実施形態に係る決済端末の要部回路構成を示すブロック図。
【発明を実施するための形態】
【0012】
以下、実施の形態について図面を用いて説明する。
(第1の実施形態)
本実施の形態では、情報処理装置として、パーソナルコンピュータを例に説明する。
図1は第1の実施形態に係るパーソナルコンピュータ100の要部回路構成を示すブロック図である。
【0013】
パーソナルコンピュータ100は、制御ユニット1、無線通信ユニット2、ユーザインタフェース(UI)ユニット3及び記憶ユニット4を含む。無線通信ユニット2、ユーザインタフェースユニット3及び記憶ユニット4は、制御ユニット1にそれぞれ接続されている。
【0014】
制御ユニット1は、プロセッサ及びメモリなどを含む。制御ユニット1は、記憶ユニット4に記憶されたアプリケーションプログラムを読み出して上記のプロセッサが実行することにより、様々なアプリケーションを実行する。また制御ユニット1は、上記のメモリにキーテーブル1cを記憶する。なお制御ユニット1は、接続された各部とデータを授受するためのインタフェース部を含む。
情報処理部1aは、アプリケーションプログラムに従った情報処理を実行する。
ロック設定部1bは、後述するロック状態設定処理により、キーテーブル1cを参照しつつアクセスキーを記憶ユニット4へと出力する。キーテーブル1cについては後述する。
【0015】
無線通信ユニット2は、LAN300に接続されたアクセスポイントと無線通信する。これにより無線通信ユニット2は、制御ユニット1がLAN300を介して、LAN300に接続された他の通信機器200と通信することを可能とする。通信機器200は、LAN300を介した通信を行う機能を備えた機器であり、パーソナルコンピュータ、プリンタ或いは複合機などの様々な種類の機器を含み得る。無線通信ユニット2は、ロック設定部1bが後述するロック状態設定処理を実行しているときには、LAN300からパケットを受信すると、そのパケットを、パーソナルコンピュータ100に宛てられたものであるか否かに拘わらずに制御ユニット1へと与える。無線通信ユニット2としては、無線LANに適応した周知のデバイスが利用できる。LAN300は、有線LAN及び無線LANのいずれかとして、あるいは有線LAN及び無線LANの組み合わせとして構成されてよい。なおLAN300は、光通信ネットワーク又はBluetooth(登録商標)などの別の種類の通信ネットワークに置き換えられるか、あるいは組み合わせられてもよい。つまりLAN300は、伝送されるデータに送信元の機器の識別子が含まれるものであれば、任意の通信ネットワークに置き換えることができる。
【0016】
ユーザインタフェースユニット3は、制御ユニット1に対するユーザによる指示を入力する。かくしてユーザインタフェースユニット3は、入力デバイスの一例である。ユーザインタフェースユニット3は、制御ユニット1の動作に関してユーザに対して通知すべき情報を出力する。ユーザインタフェースユニット3としては、例えばタッチパネル等の周知の入力デバイスが任意に利用できる。
【0017】
記憶ユニット4は、記憶部41、アクセス制御部42、暗号鍵出力部43、暗号化処理部44及びインタフェース部45を含む。
記憶部41は、ファイルを記憶するデバイスであり、例えばEEPROM(electric erasable programmable read-only memory)、HDD(hard disc drive)、SSD(solid state drive)などが適用できる。記憶部41は、論理的に1つ又は複数の記憶領域を設定することができる。図1では、n個の記憶領域41−1〜41−nが設定された状態を一例として示している。記憶領域41−1〜41−nは、いずれも暗号化されたファイルを記憶するための領域である。かくして記憶部41は、外部から与えられたファイルを暗号化したファイルを記憶する記憶手段の一例である。記憶部41は、記憶領域41−1〜41−n以外の領域も含む。そのような領域の1つは、プリブート認証処理のためのプログラムファイルを記憶するプリブート認証領域である。
【0018】
アクセス制御部42は、記憶領域41−1〜41−nのそれぞれについて、ロック状態及びアンロック状態のいずれとするかを管理する。アクセス制御部42は、記憶領域41−1〜41−nのそれぞれに対して定められたアクセスキーが、ロックもしくはアンロックの指示とともにインタフェース部45から与えられた場合に、指示に応じて当該領域をロック状態もしくはアンロック状態にする。アクセス制御部42は、ある記憶領域をアンロック状態とする場合は、当該記憶領域に対して予め定められた暗号鍵を暗号鍵出力部43から取得し、この暗号鍵を暗号化処理部44にセットする。アクセス制御部42は、ある記憶領域をロック状態とする場合は、上記のように暗号化処理部44にセットしてある暗号鍵を破棄する。
【0019】
暗号鍵出力部43は、記憶領域41−1〜41−nのそれぞれに関して、上記のアクセスキーと、その記憶領域に対して予め定められた暗号鍵とを関連付けて示した暗号鍵テーブルを有する。暗号鍵出力部43は、アクセス制御部42から与えられたアクセスキーに関連付けられている暗号鍵を暗号鍵テーブルから取り出し、アクセス制御部42に与える。なお暗号鍵出力部43は、暗号鍵テーブルを用いる代わりに、アクセス制御部42から与えられた情報を元に、例えばハッシュ関数などの特定の計算式により暗号鍵を計算してもよい。
【0020】
暗号化処理部44は、対応する暗号鍵がセットされている記憶領域を指定してのファイルの書き込みが要求された場合には、当該ファイルを上記のセットされている暗号鍵を用いて暗号化する。そして暗号化処理部44は、暗号化済みのファイルを指定された記憶領域に書き込む。暗号化処理部44は、対応する暗号鍵がセットされている記憶領域を指定してのファイルの読み出しが要求された場合には、当該ファイルを上記のセットされている暗号鍵を用いて復号する。そして暗号化処理部44は、復号済みのファイルをインタフェース部45へと出力する。暗号化処理部44は、指定された記憶領域に対応する暗号鍵がセットされていなければ、書き込み及び読み出しの要求を拒否する。
【0021】
インタフェース部45は、制御ユニット1から送られたアクセスキーをアクセス制御部42に与える。インタフェース部45は、制御ユニット1からのファイルの読み出し又は書き込みの要求を暗号化処理部44に与える。インタフェース部45は、暗号化処理部44から与えられる復号済みのファイルを制御ユニット1へと与える。インタフェース部45としては、例えばSATA(serial advanced technology attachment)などの汎用のインタフェース規格に準拠したデバイスを用いることができる。
かくして記憶ユニット4は、SEDとしての機能を有し、記憶装置の一例である。
【0022】
図2はキーテーブル1cの構成を模式的に示す図である。
キーテーブル1cは、記憶部41に設定された記憶領域41−1〜41−nのそれぞれに対して、アクセスキーと必要識別子とを関連付けて記憶している。必要識別子は、通信機器200の識別子を少なくとも1つ含む。本実施形態においては、識別子としては、ネットワーク機器のハードウェアに一意に割り当てられる物理アドレスであるMAC IDを用いる。ただし識別子としては、機器を一意に識別可能な、IPアドレス、コンピュータ名、あるいはシリアル番号といった別の様々なデータ、あるいはそれらを組み合わせたデータを用いることもできる。アクセスキーは、図2の例では「xxx」のような文字列としている。つまりキーテーブル1cには、アクセスキーの情報として実際には、アクセスキーとして用いる文字列を表す文字コード列が記述される。ただしアクセスキーは、文字列コード列とは別の任意のバイナリデータとしてもよい。
かくしてキーテーブル1cは、識別子に関連付けてアクセスキーを記述したテーブルの一例である。
【0023】
次に以上のように構成されたパーソナルコンピュータ100の動作について説明する。なお、以下に説明する処理の内容は一例であって、同様な結果を得ることが可能な様々な処理を適宜に利用できる。
【0024】
記憶部41に設定された記憶領域41−1〜41−nのうちの複数には、それぞれ制御ユニット1にて情報処理部1aとしての機能を実現するための互いに異なる複数のアプリケーションのプログラムファイルがそれぞれ記憶される。制御ユニット1がこれら複数のプログラムファイルのうちの1つを選択的に実行することによって、情報処理部1aが実行するアプリケーションを変更することが可能である。例えば、パーソナルコンピュータ100のユーザの通常における執務場所においては、機密情報を扱うアプリケーションを実行可能とするが、上記の執務場所以外の場所においては、機密情報を扱うアプリケーションとは別のアプリケーションを実行可能とする。
【0025】
一方で、制御ユニット1がロック設定部1bとしての機能を実現するためのプログラムファイルは、記憶部41に設定された領域のうち、パーソナルコンピュータ100の起動時に最初に読み込まれる領域に保存される。当該領域は、一般にオペレーティングシステムが格納される領域である。この領域は、起動時において、少なくとも読み込みが可能であるように設定されている。
【0026】
そして制御ユニット1は、上記のプログラムファイルに基づくロック設定部1bとしての動作を、予め定められたタイミングで開始する。当該タイミングは、例えばパーソナルコンピュータ100の起動時である。あるいは上記タイミングは、一定時間毎などとしてもよい。
【0027】
図3はロック設定部1bにおける処理の手順を示すフローチャートである。
Act1としてロック設定部1bは、変数mの値を0にクリアする。変数mは、後述する確認ループの実行回数をカウントするために用いられる。
【0028】
Act2としてロック設定部1bは、収集期間が終了したか否かを確認する。そしてロック設定部1bは、収集期間が終了していないならばNoと判定し、Act3へと進む。
Act3としてロック設定部1bは、無線通信ユニット2でパケットが受信されたか否かを確認する。そしてパケットが受信されないならばNoと判定し、Act2へと戻る。
かくしてAct2及びAct3としてロック設定部1bは、収集期間が終了していない状況でパケットが受信されるのを待ち受ける。そして通信機器200が任意の宛先に宛てて送信したパケットがLAN300を介してパーソナルコンピュータ100へと伝送されると、当該パケットを無線通信ユニット2が受信する。この場合に無線通信ユニット2は、受信したパケットを制御ユニット1に与える。これに応じてロック設定部1bは、Act3にてYesと判定し、Act4へと進む。
【0029】
Act4としてロック設定部1bは、上記の受信されたパケットから送信元の機器の識別子を抽出し、制御ユニット1の内部のメモリに保存する。なお、ここで識別子を保存するためのメモリの領域は、図3に示す処理の開始時にクリアされる。かくしてロック設定部1bは、通信機器200の識別子を取得する識別子取得手段として機能する。なお、アクセスポイント400も、LAN300に接続された通信機器の1つである。従ってロック設定部1bは、アクセスポイント400の識別子も取得する。
【0030】
そしてこののちにロック設定部1bは、Act2及びAct3の待ち受け状態に戻る。かくして、ロック設定部1bは、収集期間において受信されるパケットに示された送信元の識別子を蓄積する。なお、ロック設定部1bは、新たに抽出した識別子を、それが保存済みの識別子と同一であるか否かを確認すること無しに保存してもよいし、同一であるか否かを確認し、異なる場合にのみ保存してもよい。
【0031】
ロック設定部1bは、図3に示す処理を開始した時点、又はAct2を最初に実行した時点などとして定められた基準時点から予め定められた時間が経過したことをもって、Act2にてYesと判定する。そしてこの場合にロック設定部1bは、Act5から始まる確認ループへと進む。なお、上記の時間は、例えば図3に示す処理を表したプログラムファイルの作成者や、パーソナルコンピュータ100の管理者などにより任意に定められてよい。ただし上記の時間は、キーテーブル1cに必要識別子として設定された識別子の機器のそれぞれから送信されたパケットを少なくとも1つずつ受信できるような収集期間が設定される時間とすることが好ましい。
【0032】
Act5としてロック設定部1bは、変数mの値を1つ増加する。
Act6としてロック設定部1bは、m番目の記憶領域41−mに関してキーテーブル1cに必要識別子として表された識別子の全てが揃っているか否かを確認する。そしてロック設定部1bは、必要識別子の全てがAct4にて保存した識別子に含まれているならばYesと判定し、Act7へと進む。
【0033】
Act7としてロック設定部1bは、記憶領域41−mがロック状態にあるか否かを確認する。そしてロック設定部1bは、ロック状態であるならばYesと判定し、Act9へと進む。
【0034】
一方でロック設定部1bは、必要識別子の全てがAct4にて保存した識別子に含まれていないならばAct6にてNoと判定し、Act8へと進む。
Act8としてロック設定部1bは、記憶領域41−mがアンロック状態にあるか否かを確認する。そしてロック設定部1bは、アンロック状態であるならばYesと判定し、Act9へと進む。
つまりロック設定部1bは、記憶領域41−mがロック状態であるときに必要識別子の全てが受信された場合と、記憶領域41−mがアンロック状態であるときに必要識別子の一部でも受信されない場合とにおいて、Act9へと進む。
【0035】
Act9としてロック設定部1bは、記憶領域41−mに関してキーテーブル1cに示されたアクセスキーを記憶ユニット4のインタフェース部45に対して出力する。つまり、ロック設定部1bは、取得した識別子に関連付けてキーテーブル1cに記憶されたアクセスキーを読み出すのであり、読出手段として機能する。そしてロック設定部1bのこの読出手段としての機能と、キーテーブル1cとの協働により、キー取得手段としての機能が実現される。またロック設定部1bは、取得したアクセスキーを記憶ユニット4へと入力する入力手段として機能する。なお制御ユニット1は、記憶領域41−1〜41−nのそれぞれに関連付けて、ロック状態及びアンロック状態のいずれであるかを表す情報をメモリに記憶しておく。そしてロック設定部1bは、当該情報を、ここでアクセスキーを出力した場合に反転させることで、Act7又はAct8の判定を可能とする。ただし、ロック設定部1bは、アクセス制御部42への問い合わせを行って記憶領域41−mがロック状態及びアンロック状態のいずれであるかを判断してもよい。
【0036】
上記のアクセスキーは、インタフェース部45を介してアクセス制御部42に与えられる。アクセス制御部42は、アクセスキーが与えられたことに応じて、記憶領域41−mがロック状態にあるならば、記憶領域41−mに対して予め定められた暗号鍵を暗号鍵出力部43から取得し、この暗号鍵を暗号化処理部44にセットする。またアクセス制御部42は、アクセスキーが与えられたことに応じて、記憶領域41−mがロック状態にあるならば、暗号化処理部44にセットしてある暗号鍵を破棄する。
【0037】
ロック設定部1bは、Act9を終えると、Act10へと進む。なお、必要識別子が揃っていたものの、記憶領域41−mが既にアンロック状態であるためにAct7にてNoと判定した場合には、Act9をパスしてAct10へと進む。またロック設定部1bは、必要識別子が揃っていないものの、記憶領域41−mが既にロック状態であるためにAct8にてNoと判定した場合は、Act9をパスしてAct10へと進む。
【0038】
Act10としてロック設定部1bは、変数mの値がn以上であるか否かを確認する。そしてロック設定部1bは、変数mの値がn未満であるためにNoと判定したならば、Act5以降の処理を繰り返す。つまりロック設定部1bは、対象とする記憶領域を変更して、Act6〜Act9を処理する。このようにして繰り返されるAct5〜Act10のループが、確認ループである。そして記憶領域41−1〜41−nの全てを対象としてAct6〜Act9を処理し終えたならば、変数mの値はnとなっている。そこでロック設定部1bは、変数mの値がn以上であるためにAct10にてYesと判定し、図3に示す処理を終了する。
【0039】
以上のようにパーソナルコンピュータ100によれば、通信機器200及びアクセスポイント400のうちの予め定められた少なくとも1つの識別子を取得できる環境にある場合には、記憶領域41−1〜41−nが自動的にアンロック状態とされる。従ってこの場合には、操作者はアクセスキーを入力するための操作を行わなくてよい。しかも、パーソナルコンピュータ100では、他の機器から通常の通信のために送出される識別子を用いるので、それら他の機器は、秘密分散法における割符を送信できる機能を備える必要がない。
【0040】
さて、このパーソナルコンピュータ100に対する不正行為として、正規のユーザの通常における執務場所とは別の場所に持ち出した上で、機密情報を扱うアプリケーションによりアクセス可能なデータに不正にアクセスする行為が知られている。
しかしながら、パーソナルコンピュータ100は、上記の執務場所とは別の場所においては、上記の執務場所で取得できる識別子の少なくとも一部を取得できない可能性が高い。このため、記憶領域41−1〜41−nのうちで、そのように取得できない識別子を必要識別子とするものについてはロック状態とされる。これにより、不正者は、ロック状態とされた記憶領域に記憶されたプログラムファイルに基づくアプリケーションを利用することができず、上記のような不正が防止できる。また、ロック状態とされた記憶領域に記憶されたプログラムファイル及びデータ自体が不正者により読まれることも無く、それらの解析が行われることによる不正も防止できる。
【0041】
なお、パーソナルコンピュータ100が上記の執務場所に置かれたままで、当該執務場所の人が不在である時に当該執務場所に侵入した不正者が、パーソナルコンピュータ100を不正に使用することも考えられる。しかしながら、通信機器200は動作を停止しているから、上記の執務場所で取得できる識別子の少なくとも一部を取得できない可能性が高く、やはり上記と同様に記憶領域がロック状態となることで不正使用を防止できる。
【0042】
ところで、上記の処理によりロック/アンロックを切り換える場合は、例えば通信機器200の一部がメンテナンスなどのために非送信状態となると、その通信機器200の識別子を必要識別子に含む記憶領域についてはロック状態に固定されてしまう。しかしながら、このような状況は、不正が行われる状況ではない。
そこで、このような事態に対応するためにロック設定部1bは、図3に示す処理とは別に、図4に示す処理を実行する。
【0043】
Act21としてロック設定部1bは、ユーザインタフェースユニット3での操作者による操作によりアクセスキーが入力されたか否かを確認する。そしてロック設定部1bは、アクセスキーが入力されていないためにNoと判定したならば、Act22へと進む。
Act22としてロック設定部1bは、後述する不一致があるか否かを確認する。そしてロック設定部1bは、不一致がないためにNoと判定したならば、Act21へと戻る。
かくしてロック設定部1bは、Act21及びAct22として、アクセスキーが入力されるか、あるいは不一致が生じるのを待ち受ける。
【0044】
操作者は、記憶領域41−1〜41−nのうちの1つについて、図3の処理により設定されているロック/アンロックを変更したい場合には、その記憶領域に対応するアクセスキーを入力するようにユーザインタフェースユニット3を操作する。そうすると、ロック設定部1bはAct21にてYesと判定し、Act23へと進む。
【0045】
Act23としてロック設定部1bは、ユーザインタフェースユニット3での操作により入力されたアクセスキーをインタフェース部45へと出力する。これにより、当該アクセスキーに対応した記憶領域についてのロック/アンロックが、アクセス制御部42により反転される。こののちにロック設定部1bは、Act21及びAct22の待ち受け状態に戻る。
【0046】
これにより、上記のようなケースにおいて、パーソナルコンピュータ100の管理者などが、ロック状態に固定されてしまっていた記憶領域をアンロック状態に変更させることができる。
ただし、このように操作者による指示に応じてロック/アンロックが変更された状態は、上記のようなケース等における一時的なものであるべきである。そこで、ロック設定部1bは、記憶ユニット4で設定されている状態と、図3に示す処理で管理している状態とが不一致である場合には、Act22にてYesと判定し、Act24へと進む。
【0047】
Act24としてロック設定部1bは、ユーザインタフェースユニット3に、ガイダンス画面を表示させる。当該ガイダンス画面の具体的な内容は任意であってよいが、例えば上記の不一致が生じている記憶領域についてのロック/アンロックを手動設定中であることをパーソナルコンピュータ100の管理者に通知するものとする。こののちにロック設定部1bは、Act21及びAct22の待ち受け状態に戻る。
【0048】
なお、図3に示す処理を一定時間毎に実行する場合などにおいては、図4に示す処理により上記のように操作者の指示に応じたロック/アンロックの変更が、その後における図3に示す処理によってキャンセルされてしまうことが生じる。このため、ロック設定部1bは、上記の不一致が生じている記憶領域については、図3に示す処理の対象外としてもよい。
【0049】
ところで、パーソナルコンピュータ100と同様な構成の別のパーソナルコンピュータが存在する場合、当該別のパーソナルコンピュータとパーソナルコンピュータ100とが、おのおのの識別子を互いに必要識別子として使用する場合が想定される。パーソナルコンピュータ100が、情報処理部1aの動作が開始されなければ識別子を送信しないのであれば、パーソナルコンピュータ100は、互いに識別子の受信を待ち受けるデッドロック状態に陥るおそれがある。このためパーソナルコンピュータ100は、ロックの対象となっている記憶領域がいずれもアンロック状態であっても、識別子を送信するように構成しておくことが好ましい。例えば、いかなる条件でもロックされない領域にOSを保存しておき、そこからOSを起動したならば、識別子をLAN300へと送信するようにする。ただし、パーソナルコンピュータ100の識別子は、他のパーソナルコンピュータの必要識別子として設定しないことをルールとしておくことによっても、上記のデッドロック状態に陥ることを回避できる。
【0050】
(第2の実施形態)
図5は第2の実施形態に係るパーソナルコンピュータ101の要部回路構成を示すブロック図である。なお、図5において図1に示されるのと同一の要素については同一の符号を付し、その詳細な説明は省略する。
【0051】
パーソナルコンピュータ101は、無線通信ユニット2、ユーザインタフェースユニット3、記憶ユニット4及び制御ユニット5を含む。つまりパーソナルコンピュータ101は、パーソナルコンピュータ100における制御ユニット1に代えて制御ユニット5を備えて構成される。
【0052】
制御ユニット5に、プロセッサ及びメモリなどを含む。制御ユニット5は、記憶ユニット4に記憶されたプログラムを読み出して上記のプロセッサが実行することにより、情報処理部1a及びロック設定部5aとして動作する。また制御ユニット5は、上記のメモリに割符テーブル5bを記憶する。なお、図示は省略するが、制御ユニット5は、接続された各部とデータを授受するためのインタフェース部を含む。
ロック設定部5aは、後述するロック状態設定処理により、割符テーブル5bを参照しつつアクセスキーを記憶ユニット4へと出力する。
【0053】
図6は割符テーブル5bの構成を模式的に示す図である。
割符テーブル5bは、マスク済みハッシュ値と暗号化済み電子割符とを関連付けたエントリを、記憶領域41−1〜41−nのそれぞれに対して少なくとも複数ずつ記憶している。
【0054】
マスク済みハッシュ値は、通信機器200又はアクセスポイント400の識別子を予め定められたハッシュ関数に代入して求まるハッシュ値を、一部を残してマスクしたものである。例えば図6に示される「xxxx12abxxxx」は、「12ab」が残されたハッシュ値の一部であり、「x」がマスクされた部分を示す。
【0055】
暗号化済み電子割符は、関連付けられたマスク済みハッシュ値の決定のために用いられた識別子と電子割符とをセットしたものを、マスクしていないハッシュ値で暗号化したものである。電子割符は、対応する記憶領域に対して定められたアクセスキーを秘密分散法により分割したものである。1つの記憶領域に対する複数のエントリに含まれる暗号化済み電子割符のうちのj個は、当該領域に対応付けられたアクセスキーを復元するために必要なj個の電子割符をそれぞれ用いて決定される。つまり割符テーブル5bは、1つの記憶領域に対してj個のエントリを少なくとも含む。
【0056】
以下、マスク済みハッシュ値及び暗号化済み電子割符について、より具体的に説明する。
必要識別子のうち一つが16進表記で「0x11 0x11 0x11 0x11 0x11 0x11」であったとし、この識別子から算出されたハッシュ値が16進表記で「0x123412ab5678」であったとする。なお、このハッシュ値は説明のための仮の値であり、実際のものとはサイズも値も必ずしも同じではない。割符テーブルにおいては、このハッシュ値のうち、前後を「*」でマスクし「****12ab****」がマスク済ハッシュ値となる。仮に、アクセスキー「xxx」を秘密分散法により分割して得られた電子割符のうちひとつが16進表記で「0xabcd1234...」であった場合、その前に識別子である「0x11 0x11 0x11 0x11 0x11 0x11」を連結した値である「0x111111111111acbd1234...」を、ハッシュ値である「0x123412ab5678」を暗号鍵として暗号化する。この暗号化には、予め定められた暗号アルゴリズムを用いる。当該暗号アルゴリズムとしては、例えばAES(advanced encryption standard)が利用できる。そのようにして得られた値が暗号化済み電子割符であり、仮に「0xf271d7df...」であるとする。そしてこの場合、割符テーブル5bには、マスク済ハッシュ値としての「****12ab****」と、暗号化済電子割符としての「0xf271d7df...」との対からなるエントリを含める。なお、このようなエントリの作成の処理は、例えばロック設定部5aにより行われる。
【0057】
かくして割符テーブル5bは、マスク済みハッシュ値と暗号化済み電子割符とを関連付けたエントリを、通信機器200及びアクセスポイント400等の機器に関して複数含んだテーブルの一例である。
【0058】
次に以上のように構成されたパーソナルコンピュータ101の動作について説明する。なお、以下に説明する処理の内容は一例であって、同様な結果を得ることが可能な様々な処理を適宜に利用できる。
【0059】
パーソナルコンピュータ101の動作において、パーソナルコンピュータ100の動作と異なるのは、ロック設定部5aにおけるロック/アンロックの切り換えのための処理である。そこで以下においては、当該処理について説明する。
【0060】
図7はロック設定部5aにおける処理の手順を示すフローチャートである。なお、図3に示されるのと同一内容の動作については、一部の図示を省略するとともに、図示されるものについては同一の符号を付し、その詳細な説明は省略する。
【0061】
ロック設定部5aは、Act1〜Act4としての識別子の収集については、ロック設定部1bと同様に行う。そしてロック設定部5aは、収集期間が終了したためにAct2にてYesと判定したならば、Act31へと進む。
Act31としてロック設定部5aは、収集期間において収集された全ての識別子のハッシュ値をそれぞれ計算する。かくしてロック設定部5aは、ハッシュ値を計算する計算手段として機能する。
【0062】
Act32としてロック設定部5aは、変数mの値を1つ増加する。
Act33としてロック設定部5aは、割符テーブル5bにおけるm番目の記憶領域に対する複数のエントリのうちの未選択の1つを着目エントリとして選択する。
【0063】
Act34としてロック設定部5aは、着目エントリが以後の処理の対象となるエントリであるか否かを確認する。具体的にはロック設定部5aは、着目エントリに含まれたマスク済みハッシュ値に対して、マスクされていない部分において一致するハッシュ値(以下、候補ハッシュ値と称する)が、Act31で計算したハッシュ値のなかに存在するか否かを確認する。互いに異なる複数のハッシュ値の間であっても、マスクされていない部分では互いに一致する場合が有り得る。従って、候補ハッシュ値が複数存在する場合もある。そしてロック設定部5aは、候補ハッシュ値が存在するならばYesと判定し、Act35へと進む。かくしてロック設定部5aは、検索手段として機能する。
【0064】
Act35としてロック設定部5aは、着目エントリに含まれた暗号化済み電子割符を候補ハッシュ値で復号する。ロック設定部5aは、候補ハッシュ値が複数存在する場合には、これら複数の候補ハッシュ値でそれぞれ暗号化済み電子割符を復号する。かくしてロック設定部5aは、復号手段として機能する。
【0065】
Act36としてロック設定部5aは、Act35での復号により得られたデータに含まれる識別子が、候補ハッシュ値を計算するためにAct31で使用した識別子と一致するか否かを確認する。そしてロック設定部5aは、一致するためにYesと判定したならば、Act37へと進む。
【0066】
Act37としてロック設定部5aは、Act35での復号により得られたデータに上記の一致した識別子とともに含まれていた電子割符をメモリに保存する。かくしてロック設定部5aは、選出手段として機能する。こののちにロック設定部5aは、Act38へと進む。なおロック設定部5aは、候補ハッシュ値がAct31で計算したハッシュ値のなかに存在しないならばAct34にてNoと判定し、Act35〜Act37をパスしてAct38へと進む。またロック設定部5aは、Act35での復号により得られたデータに含まれる識別子が、候補ハッシュ値を計算するためにAct31で使用した識別子と一致しないならばAct36にてNoと判定し、Act37をパスしてAct38へと進む。
【0067】
以下、Act34〜Act37について、より具体的に説明する。なおここでは、マスク済みハッシュ値及び暗号化済み電子割符についての具体的説明と条件を合わせて説明する。
例えば、通信機器200の1つから識別子として「0x11 0x11 0x11 0x11 0x11 0x11」を取得できたとする。この場合にロック設定部5aは、その識別子のハッシュ値を計算し、「0x123412ab5678」を得る。ロック設定部5aは、そのハッシュ値の前後をマスクした結果である「****12ab****」をキーとして割符テーブル5bを検索する。ロック設定部5aは、割符テーブル5bが図6に示す内容であるならば、上記の検索により、第1及び第nの記憶領域の、それぞれ一番上のエントリを発見することになる。ロック設定部5aは、発見した第1の記憶領域のエントリから、暗号化済電子割符の値として「0xf271d7df...」を取得する。さらにロック設定部5aは、通信機器200の識別子のハッシュ値である「0x123412ab5678」を暗号鍵として、暗号化済電子割符である「0xf271d7df...」を復号することで、「0x111111111111acbd1234...」を得る。当該復号結果の前半部分が上記の取得できた識別子である「0x11 0x11 0x11 0x11 0x11 0x11」と一致することから、ロック設定部5aは、第1の記憶領域の一番上のエントリを、上記の取得できた識別情報で識別される通信機器200に対応する正しいエントリであると判断する。そしてロック設定部5aは、上記の復号結果の後半部分である「0xabcd1234」を電子割符のひとつとして保存する。一方、ロック設定部5aは、発見した第nの記憶領域のエントリから、暗号化済電子割符の値として「0xe287bbae...」を取得する。さらにロック設定部5aは、通信機器200の識別子のハッシュ値である「0x123412ab5678」を暗号鍵として、暗号化済電子割符である「0xe287bbae...」を復号するが、その復号結果は「0x111111111111acbd1234...」とはならない。当該復号結果の前半部分が上記の取得できた識別子である「0x11 0x11 0x11 0x11 0x11 0x11」とは一致しないことから、ロック設定部5aは、第nの記憶領域の一番上のエントリを、上記の取得できた識別情報で識別される通信機器200に対応する正しいエントリではないと判断する。そしてロック設定部5aは、上記の復号結果の後半部分である「0xabcd1234」については、電子割符のひとつとして保存しない。
【0068】
Act38としてロック設定部5aは、割符テーブル5bにおけるm番目の記憶領域に対する複数のエントリのうちに、未選択のエントリがもう無いかどうかを確認する。そしてロック設定部5aは、未選択のエントリがあるためにNoと判定したならば、Act33へと戻り、それ以降の処理を繰り返す。これによりロック設定部5aは、割符テーブル5bにおけるm番目の記憶領域に対する複数のエントリのそれぞれを着目エントリとした状態でAct33〜Act37を実行する。このときにロック設定部5aは、Act37を複数回実行する場合には、既に保存した電子割符を削除すること無く、新たな電子割符を追加して保存する。そしてロック設定部5aは、割符テーブル5bにおけるm番目の記憶領域に対する複数のエントリの全てを着目エントリとしてAct33〜Act37を実行し終えたならば、Act38にてYesと判定し、Act39へと進む。
【0069】
Act39としてロック設定部5aは、メモリに保存済みの電子割符を用いてのアクセスキーの復元を試みる。1つのアクセスキーから秘密分割法により分割した電子割符の全てがメモリに保存されているならば、それらの電子割符から周知の処理によりアクセスキーを復元できる。かくしてロック設定部5aは、復元手段として機能する。
【0070】
Act40としてロック設定部5aは、アクセスキーの復元に成功したか否かを確認する。そしてロック設定部5aは、復元に成功したためにYesと判定したならば、Act7へと進む。またロック設定部5aは、復元に失敗したためにNoと判定したならば、Act8へと進む。ロック設定部5aは、この後、Act7〜Act10をロック設定部1bと同様に実行する。ただしロック設定部5aは、Act10にてNoと判定したならば、Act32へと戻る。
【0071】
かくしてパーソナルコンピュータ101によっても、パーソナルコンピュータ100と同様に、通常の執務場所とは別の場所に持ち出された場合には、記憶領域41−1〜41−nがロック状態とされる。これにより、第1の実施形態と同様な効果が達成される。
【0072】
さて、第1の実施形態のパーソナルコンピュータ100では、キーテーブル1cの内容が不正者により解析されると、アクセスキーが知られてしまう恐れがある。仮にアクセスキーを暗号化など何らかの手段で不正者にその値が知られないように保護できたとしても、パーソナルコンピュータ100が正常に動作する環境を擬似的に形成すれば、記憶領域41−1〜41−nにアクセスできてしまう。ただし、部外者が、通信機器200及びアクセスポイント400の識別子を調べることは容易ではないから、第1の実施形態のパーソナルコンピュータ100でも、ある程度のセキュリティは確保できる。
【0073】
これに対してパーソナルコンピュータ101によれば、割符テーブル5bにはアクセスキーを記憶しない。このため、不正者により割符テーブル5bが解析されたとしても、アクセスキーが不正者に知られる危険性は低く、パーソナルコンピュータ100よりも高いセキュリティを確保できる。
しかもパーソナルコンピュータ101は、自らが電子割符を保持しており、この電子割符の送信を他の機器には求めない。
【0074】
なおパーソナルコンピュータ101においては、割符テーブル5bを動的に更新することも可能である。ロック設定部5aは、Act39にてアクセスキーを復元できたときには、パーソナルコンピュータ101が安全な環境に、すなわち本来動作すべき環境にあると判断できる。そのような場合、ロック設定部5aは以下の手順により割符テーブル5bを更新してもよい。
【0075】
ロック設定部5aは、Act31で計算したハッシュ値のなかに、割符テーブル5bに含まれたどのマスク済みハッシュ値とも、マスクされていない部分において一致しない場合に、当該ハッシュ値の一部をマスクして新たなマスク済みハッシュ値を生成する。またロック設定部5aは、構成し直した電子割符の1つと、上記のハッシュ値を計算するために用いた識別子とをセットしたものを、上記のハッシュ値で暗号化して新たな暗号化済み電子割符を生成する。そしてロック設定部5aは、上記の生成したマスク済みハッシュ値と暗号化済み電子割符とを含んだ新たなエントリを割符テーブル5bに追加する。
これにより、通信機器200又はアクセスポイント400が故障などの理由により入れ替えられたときも、自動的に割符テーブルが更新されるので、管理者やサービスマンなどが割符テーブルを設定し直す手間がなくなり、メンテナンス性が向上する。
【0076】
また、このときには、マスク済みハッシュ値及び暗号化済み電子割符に加えて、最後に通信機器200又はアクセスポイント400の識別子を取得できた日時のデータを割符テーブル5bのエントリに含めておいてもよい。このようにすれば、割符テーブル5bのデータサイズが閾値以上となった場合に、上記日時が最も古いものから順にエントリを削除することにより、割符テーブル5bのデータサイズが大きくなりすぎないようにすることができる。
【0077】
(第3の実施形態)
第3の実施形態では、情報処理装置としてクレジットカードによる決済を処理する決済端末を例に説明する。
【0078】
図8は第3の実施形態に係る決済端末500の要部回路構成を示すブロック図である。なお、図5において図1に示されるのと同一の要素については同一の符号を付し、その詳細な説明は省略する。
【0079】
決済端末500は、記憶ユニット4及び決済処理ユニット6を含む。
決済処理ユニット6は、読取部61、制御ユニット62、印刷部63、送受信部64及びユーザインタフェース部65を含む。読取部61、印刷部63、送受信部64及びユーザインタフェース部65は、制御ユニット62にそれぞれ接続されている。
【0080】
読取部61は、クレジットカードなどの決済用カードに記録されたカードデータを読み取る。読取部61は、読み取ったカードデータを暗号化した上で制御ユニット62へと送る。読取部61としては、例えば磁気カードリーダなどを含んで構成された周知のデバイスを利用できる。
【0081】
制御ユニット62には、LAN300を介することなしにPOS端末600が接続されている。この制御ユニット62とPOS端末600との接続には、例えば汎用のシリアルインタフェースを用いることができる。制御ユニット62は、プロセッサ及びメモリなどを含む。制御ユニット62は、記憶ユニット4に記憶されたプログラムを読み出して上記のプロセッサが実行することにより、決済処理部62a及びロック設定部1bとして動作する。また制御ユニット62は、上記のメモリにキーテーブル1cを記憶する。なお、図示は省略するが、制御ユニット62は、接続された各部とデータを授受するためのインタフェース部を含む。
【0082】
決済処理部62aは、POS端末600から決済の対象となる取引に関する決済金額などを表した取引データを取得する。決済処理部62aは、読取部61が送った暗号化されたカードデータを受信し、復号する。決済処理部62aは、取引データ及びカードデータを含んだ決済データを、決済サーバ700により提供される決済サービスで定められた方式で暗号化する。決済処理部62aは、暗号化済みの決済データを決済サーバ700に宛てて送信するように送受信部64を制御する。決済処理部62aは、決済データに基づく決済の結果を表し、決済サーバ700から送信された応答データに基づいて、決済結果を表した伝票を印刷するように印刷部63を制御する。
【0083】
印刷部63は、決済処理部62aからの指示の下に伝票用紙に対して伝票画像を印刷することで、決済伝票を発行する。印刷部63としては、例えばサーマルプリンタなどを含んで構成された周知のデバイスを利用できる。
【0084】
送受信部64は、LAN300を介したデータ通信を行う。送受信部64が通信する相手は、主として決済サーバ700であるが、LAN300に接続された複数のPOS端末600及びPOSサーバ800などとの通信も可能である。送受信部64は、制御ユニット62による制御の下に、決済データを決済サーバ700に宛ててLAN300へと送出する。送受信部64は、決済サーバ700から送信され、決済ネットワーク900及びLAN300を介して到来した応答データを受信し、決済処理部62aに与える。送受信部64は、ロック設定部1bが後述するロック状態設定処理を実行しているときには、LAN300を介して伝送されるパケットを受信すると、そのパケットが決済端末500に宛てられたものであるか否かに拘わらずに制御ユニット62へと与える。送受信部64としては、LAN300に適応した周知のデバイスが利用できる。LAN300は、有線LAN及び無線LANのいずれかとして、あるいは有線LAN及び無線LANの組み合わせとして構成されてよい。なおLAN300は、光通信ネットワーク又はBluetooth(登録商標)などの別の種類の通信ネットワークに置き換えられるか、あるいは組み合わせられてもよい。つまりLAN300は、伝送されるデータに送信元の機器の識別子が含まれるものであれば、任意の通信ネットワークに置き換えることができる。つまりLANは、通信ネットワークの一例である。
【0085】
なお、複数のPOS端末600は、1つのPOSシステムに属し、主として同じPOSシステムに属するPOSサーバ800と通信するためにLAN300に接続されている。図示の決済端末500が接続されていないPOS端末600は、カード決済を許容する場合には、LAN300を介さずに、図示されているのとは別の決済端末500が接続される。つまり、図8では決済端末500を1つのみ示しているが、それぞれ他のPOS端末600に接続された状態で複数の決済端末500を含んでPOSシステムが構成されてもよい。
【0086】
ユーザインタフェース部65は、制御ユニット62に対するユーザによる指示を入力する。かくしてユーザインタフェース部65は、入力デバイスの一例である。ユーザインタフェース部65は、制御ユニット62の動作に関してユーザに対して通知すべき情報を出力する。ユーザインタフェース部65としては、例えばタッチパネルが利用できる。
【0087】
記憶ユニット4は、第1の実施形態と同様である。ただし記憶ユニット4は、第1の実施形態における制御ユニット1に代えて制御ユニット31に接続されている。
【0088】
次に以上のように構成された決済端末500の動作について説明する。なお、以下に説明する処理の内容は一例であって、同様な結果を得ることが可能な様々な処理を適宜に利用できる。
【0089】
記憶部21に設定された記憶領域21−1〜21−nのうちの複数には、それぞれ制御ユニット62にて決済処理部62aとしての機能を実現するための互いに異なる複数のプログラムファイルがそれぞれ記憶される。制御ユニット62がこれら複数のプログラムファイルのうちの1つを選択的に実行することによって、決済処理部62aによる決済処理の内容を変更することが可能である。例えば、あるプログラムファイルに基づく決済処理の内容が解析されるなどのセキュリティ上の危機が疑われる場合には、別のプログラムファイルに基づく決済処理に切り換えることにより、上記の危機を回避することができる。
【0090】
一方で、制御ユニット62がロック設定部1bとしての機能を実現するためのプログラムファイルは、記憶部21に設定された領域のうち、決済端末500の起動時に最初に読み込まれる領域に保存される。当該領域は、一般にオペレーティングシステムが格納される領域である。この領域は、起動時において、少なくとも読み込みが可能であるように設定されている。
【0091】
そして制御ユニット62は、上記のプログラムファイルに基づくロック設定部1bとしての第1の実施形態と同様な動作を、予め定められたタイミングで開始する。当該タイミングは、例えば決済端末500の起動時である。あるいは上記タイミングは、一定時間毎などとしてもよい。
【0092】
かくして決済端末500によれば、予め定められた少なくとも1つの機器の識別子を受信できる環境にある場合には、記憶領域21−1〜21−nが自動的にアンロック状態とされる。従ってこの場合には、操作者はアクセスキーを入力するための操作を行わなくてよい。しかも、決済端末500では、他の機器から送出されてLAN300を介して取得できる識別子を用いるので、それら他の機器は、秘密分散法における割符を送信できる機能を備える必要がない。
【0093】
さて、この決済端末500のような機器に対する不正行為として、機器が本来設置されている店舗から、その営業時間外などに不正者によって不正に持ち出され、プログラムファイルが解析又は改変された上で上記の店舗に戻される、といった行為が知られている。
【0094】
しかしながら、決済端末500は、本来設置されている店舗から不正者によって持ち出される場合には、LAN300から切断されるので、LAN300に接続された機器からのパケットを受信することができない。このため、記憶領域21−1〜21−nの全てがロック状態とされる。これにより、不正者は、復号されたプログラムファイルを記憶部21から取り出すことができず、決済処理部62aによる決済処理の内容が不正者により解析されることを防止できる。
【0095】
なお、決済端末500が店舗から持ち出されずに、店舗の営業時間外に店舗に侵入した不正者が、LAN300に接続された状態のままでプログラムファイルが解析又は改変が試みられることも考えられる。しかしながら、POS端末600などの他の機器は動作を停止しているから、それらの機器からのパケットを受信することができない。これにより、上記と同様に不正を防止できる。
【0096】
なおロック設定部1bは、図4に示す処理についても第1の実施形態と同様に実行する。これにより第1の実施形態と同様に、決済端末500の管理者などが、ロック状態に固定されてしまっていた記憶領域をアンロック状態に変更させることができる。
【0097】
この実施形態は、次のような種々の変形実施が可能である。
決済処理以外の特定の情報処理を行う他の種類の情報処理装置としても実現が可能である。
【0098】
ロック設定部1b,5aは、ハードウェアとして実現されていてもよいし、ロジック回路などのハードウェアにソフトウェア制御を組み合わせて実現することも可能である。
【0099】
記憶ユニット4は、パーソナルコンピュータ100,101又は決済端末500に対して外付けされてもよい。
【0100】
他の機器の識別子の取得は、通信ネットワークを介すること無しに行われてもよい。例えば、照明光の明暗として照明器具から送信される識別子を、フォトダイオードなどの光検出デバイスを介して取得してもよい。あるいは、パーソナルコンピュータ100を使用する権限を持つユーザが携帯する機器からBluetooth(登録商標)などを用いて無線送信される識別子を、受信デバイスを介して取得してもよい。あるいは、パーソナルコンピュータ100に対してUSB(universal serial bus)等を介して有線接続された機器から当該USB等を介して伝送される識別子を取得してもよい。
【0101】
キーテーブル1cには、必要識別子のそれぞれに関連付けて、その必要識別子を最も新しく取得できたタイミングを表す情報を記憶するようにしてもよい。そしてロック設定部1bは、関連付けられた必要識別子の全てについて、それを取得できたタイミングからの経過時間が規定時間以内である記憶領域についてアンロック状態としてもよい。つまり、ロック設定部1bは、ある記憶領域について、関連付けられた必要識別子の全てを規定時間以内に取得できた場合にアンロック状態とし、いずれかの必要識別子が規定時間以上に渡って取得できなくなった場合にロック状態とする。
【0102】
割符テーブル5bには、エントリのそれぞれに関連付けて、そのエントリから抽出された電子割符を取得した識別情報に関するものとして保存したタイミングを表す情報を記憶するようにしてもよい。そしてロック設定部5aは、アクセスキーを復元するための電子割符の全てについて、それを取得できたタイミングからの経過時間が規定時間以内である場合に、当該アクセスキーが関連付けられた記憶領域についてアンロック状態としてもよい。つまり、ロック設定部5aは、ある記憶領域について、関連付けられたアクセスキーを復元するための電子割符の全てを規定時間以内に得られた場合にアンロック状態とし、いずれかの電子割符が規定時間以上に渡って得られなくなった場合にロック状態とする。
【0103】
必要識別子により識別される機器は、パーソナルコンピュータ100,101及び決済端末500が本来使用される場所の近隣に設置されたものである必要はなく、例えば遠隔地に設置されたサーバなどであってもよい。
【0104】
第1の実施形態と第2の実施形態との関係と同様に、第3の実施形態における制御ユニット31に代えて、ロック設定部1b及びキーテーブル1cをロック設定部5a及び割符テーブル5bに置き換えた制御部を備えたものとすることもできる。これにより、第3の実施形態のような決済端末においても、第4の実施形態と同様な効果を得ることが可能となる。
【0105】
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【符号の説明】
【0106】
1…制御ユニット、1a…情報処理部、1b…ロック設定部、1c…キーテーブル、2…無線通信ユニット、3…ユーザインタフェースユニット、4…記憶ユニット、5…制御ユニット、5a…ロック設定部、5b…割符テーブル、6…決済処理ユニット、21…記憶部、21−1〜21−n…記憶領域、31…制御ユニット、41…記憶部、41−1〜41−n…記憶領域、42…アクセス制御部、43…暗号鍵出力部、44…暗号化処理部、45…インタフェース部、61…読取部、62…制御ユニット、62a…決済処理部、63…印刷部、64…送受信部、65…ユーザインタフェース部、100,101…パーソナルコンピュータ、200…通信機器、300…LAN、400…アクセスポイント、500…決済端末、600…POS端末、700…決済サーバ、800…POSサーバ、900…決済ネットワーク。
図1
図2
図3
図4
図5
図6
図7
図8
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.