IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 株式会社プロスパークリエイティブ

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社プロスパークリエイティブの特許一覧

特許7152765通信システム、それに用いる通信装置、管理装置及び情報端末
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-10-04
(45)【発行日】2022-10-13
(54)【発明の名称】通信システム、それに用いる通信装置、管理装置及び情報端末
(51)【国際特許分類】
   H04L 9/10 20060101AFI20221005BHJP
   G06F 21/31 20130101ALI20221005BHJP
   G06F 21/44 20130101ALI20221005BHJP
   H04L 9/32 20060101ALI20221005BHJP
【FI】
H04L9/10 Z
G06F21/31
G06F21/44
H04L9/32 100B
【請求項の数】 23
(21)【出願番号】P 2018525260
(86)(22)【出願日】2017-06-29
(86)【国際出願番号】 JP2017023940
(87)【国際公開番号】W WO2018003919
(87)【国際公開日】2018-01-04
【審査請求日】2020-06-04
(31)【優先権主張番号】P 2016128381
(32)【優先日】2016-06-29
(33)【優先権主張国・地域又は機関】JP
【前置審査】
(73)【特許権者】
【識別番号】596115698
【氏名又は名称】株式会社プロスパークリエイティブ
(74)【代理人】
【識別番号】110001612
【氏名又は名称】弁理士法人きさらぎ国際特許事務所
(72)【発明者】
【氏名】川端 秀樹
【審査官】青木 重徳
(56)【参考文献】
【文献】特開2011-199847(JP,A)
【文献】特開2006-166028(JP,A)
【文献】特開2008-181427(JP,A)
【文献】特開2015-158610(JP,A)
【文献】特開2004-080743(JP,A)
【文献】国際公開第2016/093368(WO,A1)
【文献】特開2011-217268(JP,A)
【文献】特開2005-339312(JP,A)
【文献】梅澤 克之 ほか,携帯端末と公共端末の連携による認証システムの提案,FIT2011 第10回情報科学技術フォーラム 講演論文集 第4分冊,日本,一般社団法人情報処理学会 ほか,2011年08月22日,M-001,p.255-262
【文献】伊達 友裕 ほか,車載LANのセキュリティゲートウェイにおける機械学習を用いた動的ルール生成,SCIS2016,日本,SCIS2016実行委員会,2016年01月22日,3F2-1,p.1-6
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/10
H04L 9/32
G06F 21/31
G06F 21/44
(57)【特許請求の範囲】
【請求項1】
同一のグループに含まれる複数の情報端末がネットワークを介して相互にデータのやり取りを行う通信システムであって、
前記グループに含まれる複数の情報端末間で機密性の高い相互通信を行うために前記グループ内の各情報端末と前記ネットワークとの間それぞれ接続される複数の通信装置を備え、
前記各通信装置は、
接続される前記情報端末を介してユーザの認証を行うためのユーザ認証情報が記憶されると共に、各通信装置の認証に必要な機器認証情報を同一グループの全通信装置についてリスト化した機器認証リストが、その少なくとも一部について前記ユーザがアクセスできない状態で予め記憶された記憶部を有し、
前記複数の情報端末は、第1の情報端末及び第2の情報端末を有し、
前記複数の通信装置は、第1の通信装置及び第2の通信装置を有し、
前記第1の情報端末は、前記第1の通信装置を介して前記ネットワークと接続され、
前記第2の情報端末は、前記第2の通信装置を介して前記ネットワークと接続され、
前記第1の通信装置は、前記ネットワークを介して前記第2の通信装置と接続され、
前記ネットワークを介した前記第1の情報端末と前記第2の情報端末との間でのデータのやり取りを行う際、前記第1の情報端末と前記第1の通信装置との間、及び前記第2の情報端末と前記第2の通信装置との間は、それぞれ前記ユーザ認証情報によるユーザ認証処理を実行し、前記第1の通信装置と前記第2の通信装置との間は、前記機器認証リストを参照した相互の機器間認証処理を実行する
ことを特徴とする通信システム。
【請求項2】
前記ネットワークに接続されて前記複数の通信装置間での機器間認証処理の少なくとも一部を実行する管理装置を備え、
前記機器認証リストは、前記通信装置及び前記管理装置の認証に必要な機器認証情報を同一グループの全通信装置及び全管理装置についてリスト化したもので、
前記通信装置及び前記管理装置は、前記機器認証リストが、その少なくとも一部について前記ユーザがアクセスできない状態で予め記憶された記憶部を有する
請求項1記載の通信システム。
【請求項3】
前記機器認証リストは、前記グループ内の既登録の各通信装置の有効なユーザの機器ID及びパスワードを含む機器認証情報と、前記グループ内の未登録の通信装置のために予め確保しておく仮のユーザの機器ID及びパスワードを含む機器認証情報とを含み、
前記通信装置は、前記グループ内に新たなユーザを登録する際に、前記仮のユーザの機器ID及びパスワードを有効にし、前記有効となったユーザの機器IDを全ての前記通信装置に通知する
請求項1又は2記載の通信システム。
【請求項4】
前記機器認証リストは、前記グループ内の既登録の各通信装置の有効なユーザの機器ID及びパスワードを含む機器認証情報と、前記グループ内の未登録の通信装置のために予め確保しておく仮のユーザの機器ID及びパスワードを含む機器認証情報とを含み、
前記管理装置又は前記通信装置は、前記グループ内に新たなユーザを登録する際に、前記仮のユーザの機器ID及びパスワードを有効にし、前記有効となったユーザの機器IDを全ての前記通信装置に通知する
請求項2記載の通信システム。
【請求項5】
前記機器認証リストは、未登録のグループのために予め確保しておく仮のグループ名と、この仮のグループ名に含まれる仮のユーザの機器ID及びパスワードを含む機器認証情報とを含み、
前記通信装置は、新たなグループを登録する際に、前記仮のグループ名を真のグループ名に書き換えると共に、前記真のグループ名の少なくとも一部の仮のユーザの機器ID及びパスワードを有効にし、前記書き換えられた真のグループ名と前記有効となったユーザの機器IDを前記新たなグループの有効となったユーザの前記通信装置に通知する
請求項1~4のいずれか1項記載の通信システム。
【請求項6】
前記機器認証リストは、未登録のグループのために予め確保しておく仮のグループ名と、この仮のグループ名に含まれる仮のユーザの機器ID及びパスワードを含む機器認証情報とを含み、
前記管理装置又は前記通信装置は、新たなグループを登録する際に、前記仮のグループ名を真のグループ名に書き換えると共に、前記真のグループ名の少なくとも一部の仮のユーザの機器ID及びパスワードを有効にし、前記書き換えられた真のグループ名と前記有効となったユーザの機器IDを前記新たなグループの有効となったユーザの前記通信装置に通知する
請求項2又は4記載の通信システム。
【請求項7】
前記通信装置の記憶部には、前記通信装置間での暗号化通信を行うための暗号鍵又はこの暗号鍵を生成するためのトリガー情報のうちの少なくとも一部が、前記ユーザがアクセスできない状態で記憶されている
請求項1~6のいずれか1項記載の通信システム。
【請求項8】
前記管理装置の記憶部には、前記通信装置間及び前記通信装置と前記管理装置との間での暗号化通信を行うための暗号鍵又はこの暗号鍵を生成するためのトリガー情報のうちの少なくとも一部が、前記ユーザがアクセスできない状態で記憶されている
請求項2、4及び6のいずれか1項記載の通信システム。
【請求項9】
前記情報端末は、ユーザが操作するパソコン、スマートフォン及びタブレット端末、並びにIoT機器、M2M機器、カメラ、ロボット、遠隔操作機器、自動車、AI機器等の各種データを受発信する機器を含む
請求項1~8のいずれか1項記載の通信システム。
【請求項10】
前記通信装置は、
前記情報端末からのアクセス要求に対して、前記記憶部に記憶されているユーザ認証情報に基づいて、アクセスを許可するか否かの決定を行うユーザ認証部と、
前記記憶部に記憶されている機器認証リストに基づいて、他の前記通信装置との間で機器間認証処理を実行する機器間認証部と、
前記ユーザ認証部によってアクセスが許可された情報端末に対して情報の入出力を行う入出力部と、
前記機器間認証部によって認証された他の前記通信装置との間でデータの送受信を行うデータ送受信部と
を有する請求項1~9のいずれか1項記載の通信システム。
【請求項11】
前記通信装置は、
前記記憶部に随時記憶される通信履歴を解析する履歴解析部と、
該履歴解析部によって解析された該通信装置の日常の稼動状態に基づいて不正アクセス又は不正作業を判定する異常判定部と
を備えた請求項1~10のいずれか1項記載の通信システム。
【請求項12】
前記通信装置は、位置センサを有し、前記位置センサから取得される位置情報を参照して本来使用されるべき位置にあるか、位置にないことを判断する
請求項1~11のいずれか1項記載の通信システム。
【請求項13】
前記入出力部は、前記情報端末に対して、郵送物又は伝票を模したデータ入力画面をユーザインターフェースとして提供する
請求項10記載の通信システム。
【請求項14】
前記通信装置は、やり取りするデータ中にIoT機器又はM2M機器から取得された情報を含む
ことを特徴とする請求項1~13のいずれか1項に記載の通信システム。
【請求項15】
前記通信装置又は管理装置は、やり取りするデータ中にIoT機器又はM2M機器から取得された情報を含む
ことを特徴とする請求項2、4、6及び8のいずれか1項に記載の通信システム。
【請求項16】
前記通信装置は、他の通信装置から取得されたデータに基づいて機械学習をし、最適解を提供するAI機能を有する
請求項1~15のいずれか1項に記載の通信システム。
【請求項17】
前記通信装置又は管理装置は、他の通信装置又は管理装置から取得されたデータに基づいて機械学習をし、最適解を提供するAI機能を有する
請求項2、4、6、8及び15のいずれか1項に記載の通信システム。
【請求項18】
前記通信装置は、情報が予め記憶され且つ着脱可能な接続機器を備えた
請求項1~17のいずれか1項記載の通信システム。
【請求項19】
前記通信装置は、前記情報端末に装着されたICカード又はSIMである
請求項1~18のいずれか1項記載の通信システム。
【請求項20】
同一のグループに含まれる複数の情報端末がネットワークを介して相互にデータのやり取りを行う通信システムにおいて、
前記グループに含まれる複数の情報端末間で機密性の高い相互通信を行うために前記グループ内の各情報端末と前記ネットワークとの間それぞれ接続される通信装置であって、
接続される前記情報端末を介してユーザの認証を行うためのユーザ認証情報が記憶されると共に、各通信装置の認証に必要な機器認証情報を同一グループの全通信装置についてリスト化した機器認証リストが、その少なくとも一部について前記ユーザがアクセスできない状態で予め記憶された記憶部を有し、
前記ネットワークを介した前記情報端末間でのデータのやり取りを行う際、前記情報端末との間は、ユーザ認証情報によるユーザ認証処理を実行し、他の通信装置との間は、前記機器間認証情報を参照した相互の機器間認証処理を実行する
ことを特徴とする通信装置。
【請求項21】
同一のグループに含まれる複数の情報端末がネットワークを介して相互にデータのやり取りを行う通信システムにおいて、
前記グループに含まれる複数の情報端末間で機密性の高い相互通信を行うために前記グループ内の各情報端末に接続される通信装置間の機器間認証処理の少なくとも一部を実行する管理装置であって、
各通信装置の認証に必要な機器認証情報を同一グループの全通信装置についてリスト化した機器認証リストが予め記憶された記憶部を有し、
前記ネットワークを介した前記情報端末間でのデータのやり取りを行う際、前記通信装置間で、前記機器認証リストを参照した機器間認証処理を実行する
ことを特徴とする管理装置。
【請求項22】
請求項20記載の通信装置が内部に組み込まれた情報端末。
【請求項23】
第3の情報端末と、
第4の情報端末と、
前記第3の情報端末に接続される第3の通信装置と、
前記第4の情報端末に接続される第4の通信装置と、
を更に備え、
前記第1の情報端末及び前記第2の情報端末は、第1グループに属し、
前記第1の情報端末及び前記第3の情報端末は、前記第1グループとは異なる第2グルーブに属し、
前記第2の情報端末及び前記第4の情報端末は、前記第1グループ及び前記第2グループとは異なる第3グループに属し、
前記第1の情報端末は、前記第1の通信装置及び前記第2の通信装置を介して前記第1グループ内で前記第2の情報端末と通信し、
前記第1の情報端末は、前記第1の通信装置及び前記第3の通信装置を介して前記第2グループ内で前記第3の情報端末と通信し、
前記第2の情報端末は、前記第2の通信装置及び前記第1の通信装置を介して前記第1グループ内で前記第1の情報端末と通信し、
前記第2の情報端末は、前記第2の通信装置及び前記第4の通信装置を介して前記第3グループ内で前記第4の情報端末と通信する
請求項1記載の通信システム。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、一の情報端末と他の情報端末とがグローバルネットワークを介してデータのやり取りを行う通信システム、それに用いる通信装置、管理装置及び情報端末に関する。
【背景技術】
【0002】
一の情報端末と他の情報端末とがグローバルネットワークを介してデータのやり取りを行うことができれば、非常に便利であるが、この際には、どのようにセキュリティを確保するかが重要になる。
【0003】
その1つの手法として、ルータとして機能する2つの通信装置同士をVPN(Virtual Private Network)接続し、一方の通信装置が接続された一のプライベートネットワークに配置された情報端末と、他方の通信装置が接続された他のプライベートネットワークに配置された情報端末とを、疑似的にLAN接続させるものが公知になっている。
【0004】
このVPN接続は、トンネリング及び暗号化によって、高いセキュリティを確保できる一方で、初期設定や運用上の各種設定には非常に手間が掛かる。
【0005】
このような問題の改善を試みたものとして、情報を一元化するサーバを用いる手段や、構造化オーバレイを用いる手段を備えたものが開発され公知になっている(例えば、特許文献1を参照)。
【先行技術文献】
【特許文献】
【0006】
【文献】特開2011-45050号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
上記文献では、システム導入時における通信装置の設定の手間はある程度軽減されるが、設定作業自体が必要なことに変わりはなく、また、この通信システムを導入するために通常のルータをVPN接続可能な専用の通信装置に交換した場合、該通信装置の内側に存在する情報端末側のネットワーク構成を変更する必要がある場合が多く、導入の手間を軽減するという問題は依然として改善されていない。
【0008】
本発明は、一の情報端末と他の情報端末とがグローバルネットワークを介してデータのやり取りを行うにあたり、導入の手間が軽減され、端末やグループの拡張性に優れ、高いセキュリティを確保可能な通信システム、それに用いる通信装置、管理装置及び情報端末を提供することを課題とする。
【課題を解決するための手段】
【0009】
上記課題を解決するため、本発明の通信システムは、同一のグループに含まれる複数の情報端末がグローバルネットワークを介して相互にデータのやり取りを行う通信システムであって、前記グループに含まれる複数の情報端末間で機密性の高い相互通信を行うために前記グループ内の各情報端末に接続される通信装置を備え、前記通信装置は、接続される前記情報端末を介してユーザの認証を行うためのユーザ認証情報が記憶されると共に、各通信装置の認証に必要な機器認証情報を同一グループの全通信装置についてリスト化した機器認証リストが、前記ユーザがアクセスできない状態で予め記憶された記憶部を有し、前記グローバルネットワークを介した前記情報端末間でのデータのやり取りを行う際、前記情報端末との間は、前記ユーザ認証情報によるユーザ認証処理を実行し、他の通信装置との間は、前記機器認証リストを参照した機器間認証処理を実行することを特徴とすることを特徴とする。
【0010】
一実施形態に係る通信システムによれば、前記グローバルネットワークに接続されて前記複数の通信装置間での機器間認証処理の少なくとも一部を実行する管理装置を備え、前記機器認証リストは、前記通信装置及び前記管理装置の認証に必要な機器認証情報を同一グループの全通信装置及び全管理装置についてリスト化したもので、前記通信装置及び前記管理装置は、前記機器認証リストが、その少なくとも一部について前記ユーザがアクセスできない状態で予め記憶された記憶部を有する。
【0011】
前記機器認証リストは、例えば、前記グループ内の既登録の各通信装置の機器ID及びパスワードを含む機器認証情報と、前記グループ内の未登録の通信装置のために予め確保しておく仮のユーザの機器ID及びパスワードを含む機器認証情報とを含み、前記管理装置又は前記通信装置は、例えば、前記グループ内に新たなユーザを登録する際に、前記仮のユーザの機器ID及びパスワードを有効にし、前記有効となったユーザの機器IDを全ての前記通信装置に通知するようにしても良い。
【0012】
前記機器認証リストは、例えば、未登録のグループのために予め確保しておく仮のグループ名と、この仮のグループ名に含まれる仮のユーザの機器ID及びパスワードを含む機器認証情報とを含み、前記管理装置又は前記通信装置は、例えば、新たなグループを登録する際に、前記仮のグループ名を真のグループ名に書き換えると共に、前記真のグループ名の少なくとも一部の仮のユーザの機器ID及びパスワードを有効にし、前記書き換えられた真のグループ名と前記有効となったユーザの機器IDを前記新たなグループの有効となったユーザの前記通信装置に通知するものとしてもよい。
【0013】
前記通信装置の記憶部には、例えば、前記通信装置間での暗号化通信を行うための暗号鍵又はこの暗号鍵を生成するためのトリガー情報のうちの少なくとも一部が、前記ユーザがアクセスできない状態で記憶されるようにしても良い。また、前記管理装置の記憶部には、例えば、前記通信装置間及び前記通信装置と前記管理装置との間での暗号化通信を行うための暗号鍵又はこの暗号鍵を生成するためのトリガー情報のうちの少なくとも一部が、前記ユーザがアクセスできない状態で記憶されたものとしてもよい。
【0014】
なお、前記情報端末は、例えば、ユーザが操作するパソコン、スマートフォン及びタブレット端末、並びにIoT(Internet of Things)機器、M2M(Machine to Machine)機器、カメラ、ロボット、遠隔操作機器、自動車、AI(Artificial Intelligence)機器等の各種データを受発信する機器を含む。
【0015】
前記通信装置は、例えば、前記情報端末からのアクセス要求に対して、前記記憶部に記憶されているユーザ認証情報に基づいて、アクセスを許可するか否かの決定を行うユーザ認証部と、前記記憶部に記憶されている機器認証リストに基づいて、他の前記通信装置との間で機器間認証処理を実行する機器間認証部と、前記ユーザ認証部によってアクセスが許可された情報端末に対して情報の入出力を行う入出力部と、前記機器間認証部によって認証された他の前記通信装置との間でデータの送受信を行うデータ送受信部とを有するものとしてもよい。
【0016】
本発明に係る通信装置は、同一のグループに含まれる複数の情報端末がグローバルネットワークを介して相互にデータのやり取りを行う通信システムにおいて、前記グループに含まれる複数の情報端末間で機密性の高い相互通信を行うために前記グループ内の各情報端末に接続される通信装置であって、接続される前記情報端末を介してユーザの認証を行うためのユーザ認証情報が記憶されると共に、各通信装置の認証に必要な機器認証情報を同一グループの全通信装置についてリスト化した機器認証リストが、その少なくとも一部について前記ユーザがアクセスできない状態で予め記憶された記憶部を有し、前記グローバルネットワークを介した前記情報端末間でのデータのやり取りを行う際、前記情報端末との間は、前記ユーザ認証情報によるユーザ認証処理を実行し、他の通信装置との間は、前記機器認証リストを参照した機器間認証処理を実行することを特徴とする。
【0017】
また、本発明に係る管理装置は、同一のグループに含まれる複数の情報端末がグローバルネットワークを介して相互にデータのやり取りを行う通信システムにおいて、前記グループに含まれる複数の情報端末間で機密性の高い相互通信を行うために前記グループ内の各情報端末に接続される通信装置間の機器間認証処理の少なくとも一部を実行する管理装置であって、各通信装置の認証に必要な機器認証情報を同一グループの全通信装置についてリスト化した機器認証リストが予め記憶された記憶部を有し、前記グローバルネットワークを介した前記情報端末間でのデータのやり取りを行う際、前記通信装置間で、前記機器認証リストを参照した機器間認証処理を実行する。
【0018】
前記通信装置は、記憶部に随時記憶される通信履歴を解析する履歴解析部と、該履歴解析部によって解析された該通信装置の日常の稼動状態に基づいて不正アクセス又は不正作業を判定する異常判定部とを備えたものとしてもよい。
【0019】
前記通信装置は、位置センサを有し、前記位置センサから取得される位置情報を参照して本来使用されるべき位置にあるか、位置にないことを判断するようにしても良い。
【0020】
前記入出力部は、該情報端末に対して、郵送物又は伝票を模したデータ入力画面をユーザインターフェースとして提供するものとしてもよい。
【0021】
前記通信装置又は管理装置は、やり取りするデータ中にIoT機器又はM2M機器から取得された情報を含むようにしても良い。
【0022】
前記通信装置又は管理装置は、他の通信装置又は管理装置から取得されたデータに基づいて機械学習をし、最適解を提供するAI機能を有するものでも良い。
【0023】
前記通信装置は、情報が予め記憶され且つ着脱可能な接続機器を備えたものとしてもよい。また、前記通信装置は、前記情報端末に装着されたICカード又はSIMでも良いし、携帯端末の内部に組み込まれる通信回路及び通信ソフトでも良い。
【発明の効果】
【0024】
本発明によれば、グローバルネットワークを介した情報端末間でのデータのやり取りを行う際、通信装置と情報端末との間は、ユーザ認証情報によるユーザ認証処理を実行し、他の通信装置との間は、機器認証リストを参照した機器間認証処理を実行することができる。これにより、ユーザの設定は、自己のユーザ認証情報の登録のみであり、他は通信装置間で予め設定(記憶)された機器認証リストに基づいて認証処理が行われる。このため、ユーザは導入の手間が軽減される。また、機器認証リストは、少なくともその一部が各通信装置の記憶部にユーザがアクセスできない状態で予め設定(記憶)されているため、情報端末の間でのデータのやり取りを行うための通信セキュリティの確保も容易である。
【図面の簡単な説明】
【0025】
図1】本発明を適用した通信システムの概要を説明する説明図である。
図2】通信装置の構成を説明する説明図である。
図3】ユーザ認証情報格納部のデータ構造を示す図である。
図4】機器認証情報格納部のデータ構造を示す図である。
図5】機器認証情報格納部のデータ構造を示す図である。
図6】機器認証情報格納部のデータ構造を示す図である。
図7】機器認証情報格納部のデータ構造を示す図である。
図8】暗号鍵情報格納部のデータ構造を示す図である。
図9】対象データ格納部のデータ構造を示す図である。
図10】暗号化部及び復号部の構成を概念的に示す概念図である。
図11】暗号鍵提供部の構成を概念的に示す概念図である。
図12】パスワード提供部の構成を概念的に示す概念図である。
図13】管理装置の構成を説明する説明図である。
図14】本通信システムによって機器間認証をする際の処理手順を示すフロー図である。
図15】本通信システムによってデータをやり取りする際の処理手順を示すフロー図である。
図16】GUIの一種であるグループトップ画面の構成を説明する説明図である。
図17】GUIの一種である送信画面の構成を説明する説明図である。
図18】対象データ表示画面の構成を説明する説明図である。
図19】他の実施形態に係る通信システムでの対象データのやり取りの処理手順を示すフロー図である。
図20】本発明の他の実施形態に係る通信システムの概要を説明する説明図である。
図21】本発明の他の実施形態に係るグループ構成の概要を説明する説明図である。
図22】本発明の別実施形態に係る通信装置の構成を説明する説明図である。
図23】本発明の別実施形態に係る通信システムの概要を説明する説明図である。
【発明を実施するための形態】
【0026】
図1は、本発明を適用した通信システム(以下、「本通信システム」という。)の概要を説明する説明図である。図示する通信システムは、TCP/IP等の汎用通信プロトコルをサポートしたグローバルネットワークである外部ネットワーク1を介して接続された2以上(図示する例では2つ)の通信装置2,2と、各通信装置2と外部ネットワーク1を介して接続された管理装置3とを備えている。
【0027】
通信装置2は、ルータ4を介して、外部ネットワーク1側と通信を行うとともに、該ルータ4の内側に構築された、TCP/IP等の汎用通信プロトコルをサポートしたプライベートネットワークである内部ネットワーク6を介して、一又は複数の情報端末7と通信可能である。ここで外部ネットワーク1と内部ネットワーク6の間に接続された機器から見て「内側」とは、内部ネットワーク6側を指し、「外側」とは、外部ネットワーク1側を指す。通信装置2の詳細な構成については後述する。
【0028】
この実施形態の通信システムでは、通信装置2間で相互の認証を行うための機器認証リストが、通信装置2に少なくとも一部についてユーザが直接介入出来ない状態で設定され、この機器認証リストとユーザが個別に設定するユーザ認証情報とによる多要素認証での特定グループ通信を行うことにより、特定グループ間通信のセキュリティを向上させている。ここで、機器認証リスト及びユーザ認証情報には、認証を行うためのID、パスワード(ハッシュ化されたものも含む)を含む。また、通信装置2及び管理装置3には、各種データを秘匿化して送信するための暗号鍵(共通鍵、公開鍵、秘密鍵)、又はこれらを生成するためのトリガー情報が記憶されている。
【0029】
また、この実施形態の通信システムでは、通信における変更に柔軟に対応するため、通信装置2及び管理装置3には、出荷時に、将来のユーザの追加を想定して未登録のユーザや未登録のグループも予め含めた設定を行っている。変更時には、グループ管理責任者が、システム管理者に電子書面で申請を行うだけで、グループ管理責任者が変更のためのツールを使って変更する。また、機器認証情報は、機器認証に必要なパスワード等、高い秘匿性が要求される情報と全ユーザが閲覧可能なユーザの氏名、愛称など秘匿性があまり高くない情報とに分けて管理を行うことで、情報の安全を保っている。通信装置2を持つユーザは、誰でも独自のグループのグループ管理責任者として専用グループを構築することができる。また、あるグループのユーザは、別のグループのユーザとしてシステム管理者に電子書面でユーザ登録又はグループ登録を申請し登録することもできる。
【0030】
なお、ここで言う「通信」には無線通信と有線通信の両方が含まれる。
【0031】
また、ここで言う「通信システム」とは、ネットワーク(本例では、外部ネットワーク1及び内部ネットワーク6)と、該ネットワークを介して通信する全ての通信機器(本例では、通信装置2、管理装置3及び情報端末7)とを含む概念である。
【0032】
また、「秘匿領域」とは、秘匿すべきパスワード、暗号鍵又はそれらを生成するためのトリガー情報等の秘匿情報を、ユーザが外部からアクセスできない状態で記憶することができる記憶領域であり、例えばCPUのメモリ領域におけるトラストゾーン(商標)等に相当する。トラストゾーンでは、CPUの動作モードをノーマル領域とセキュア領域とに分けている。セキュア領域では、セキュアOSが動作し、この上でアプリケーションが動作し、秘匿情報は監視モード下にあるセキュア領域に配置される。
【0033】
即ち、「秘匿領域」では、CPU内に物理的にメモリ空間が分かれた領域を作り出し、汎用OSが動作する空間と隔離して、セキュア領域側では専用OSが動作し、システムのバックエンドでセキュアな情報管理を行う。セキュア領域側から通常の汎用OSの動作は見えるが、汎用OS側からはセキュア領域を認識できない仕組みにより、外部からの攻撃や、意図的にセキュアな仕組みを解除して別の仕掛けを施そうとする行為を防ぐことが可能になる。
【0034】
また、「情報端末」とは、ユーザが操作するパソコン、スマートフォン及びタブレット端末、並びにIoT機器、M2M機器、カメラ、ロボット、遠隔操作機器、自動車、AI機器等の各種データを受発信する機器を含み、例えばWindows(商標)、Mac OS(商標)、Linux(商標)などのOSによって可動されるPC、通信端末、携帯電話端末をいう。「ユーザ」には、本通信システムを利用している、或いは利用しようとしている全ての者が含まれる。情報端末のOSは、同時に複数使用しても良いし、切り替えて使用してもよい。
【0035】
また、「通信装置」とは、端末装置とネットワークとの間に配置され、端末装置同士を、ネットワークを介して接続する接続装置であって、一又は複数のユーザが、本通信システムのサービスを提供する事業者や該事業者から委託された者から購入するか、或いは借りて利用するものであり、例えば、通信機能を有するAT互換機、専用の通信機器、PC、スマートフォン、IoT機器及びタブレット端末の秘匿エリアに組み込まれるEPROMや、これらに装着されるICカード及びSIM(Subscriber Identity Module)、並びに前述の通信機能を有する機器を組み合わせた複合機を含む。
【0036】
また、「通信装置」は、スマートフォン等の携帯端末の内部に組み込まれた通信回路及び通信ソフト又はSIMに組み込まれた通信回路及び通信ソフトでも良い。この場合には、例えば管理装置の有無に拘わらず、携帯端末又はSIMのCPU内のメモリ領域における秘匿領域に、パスワードや暗号鍵等の秘匿情報を記憶させ、本発明による通信処理を実行する。これにより、携帯端末と専用のソフトウェアだけで機密性の高い機器間通信を実現することが出来る。
【0037】
また、「管理装置」とは、必要に応じてネットワークに接続されて、通信装置同士のデータの送受信データの少なくとも一部を仲介する。「管理装置」は、本通信システムのサービスを提供する者が提供するものであり、例えば、通信機能を有するAT互換機、専用の通信機器、PC、スマートフォン、及びタブレット端末の秘匿エリアに組み込まれるEPROMや、これらに装着されるICカード及びSIMを含む。「管理装置」は、本通信システムのサービスを提供する者が回線トラフィック量に応じて複数設置したり、特定のグループ用に設けたり、或いは国内と海外の国々に複数設置してもよい。
【0038】
情報端末7は、上記汎用通信プロトコルをサポートし且つプライベートIPが付与されるネットワークインターフェース(図示しない)を備えている。この情報端末7は、内部ネットワーク6を介して通信装置2と通信可能である他、内部ネットワーク6、通信装置2及びルータ4を介して、外部ネットワーク1側との通信を行うことが可能である。言い換えると、情報端末7は、外部ネットワーク1側との通信を行う場合には、必ず通信装置2を経由するか、又は参照される。
【0039】
ルータ4は、上記汎用通信プロトコルをサポートし且つ静的なプライベートIPが付与されて内部ネットワーク6側に接続される内向きネットワークインターフェース(図示しない)と、上記汎用通信プロトコルをサポートし且つ静的又は動的なグローバルIPが付与されて外部ネットワーク1に接続される内向き外向きネットワークインターフェース(図示しない)とを備えている。ルータ4に対して該内部ネットワーク6側に配置された通信装置2及び情報端末7は、このルータ4のIPマスカレートによって、外部ネットワーク1側との相互通信が可能になる。
【0040】
管理装置3も、通信装置2と同様、ルータ8を介して、外部ネットワーク1に接続される。ルータ8の構成は、ルータ4と同一又は略同一である。この管理装置3の詳細な構成も後述する。
【0041】
本通信システムでは、一の内部ネットワーク6に配置された情報端末7と、他の内部ネットワーク6に配置された情報端末7との間で、外部ネットワーク1を介して、データ(対象データ)のやり取りを行うためのものである。
【0042】
具体的には、一の情報端末7である送信側情報端末7A(図15参照)が、外部ネットワーク1を介して、他の情報端末7である受信側情報端末7B(図15参照)に対象データを送る。この際の通信システムの処理手順(工程)を簡単に説明すると、まず、送信側情報端末7Aが、該送信側情報端末7Aが配置された内部ネットワーク6を介して、該内部ネットワーク6側の通信装置2である送信側通信装置2A(図15参照)に、対象データを渡す。送信側通信装置2Aは、対象データを、外部ネットワーク1を介して、受信側情報端末7Bが配置された内部ネットワーク6側の通信装置2である受信側通信装置2B(図15参照)に送信する。受信側通信装置2Bは、受信した対象データを、該受信側通信装置2Bが直結された前記内部ネットワーク6に配置された上記受信側情報端末7Bに配信する。
【0043】
このような処理手順によれば、上記2つの通信装置2A,2Bの間のセキュリティを確保しておくことにより、対象データのやり取りの安全性を確保することが可能になり、情報端末7A,7Bと通信装置2A,2Bとのデータのやり取りを、スムーズに実行可能なものとすれば、全体の利便性も十分に確保できる。
【0044】
ちなみに、図1に示された各通信装置2は、送信側通信装置2Aとして機能させることも可能であるとともに、受信側通信装置2Bとして機能させることも可能である。このため、同図に示された各情報端末7は、送信側情報端末7Aにもなるし、受信側情報端末7Bにもなる。
【0045】
なお、2つの通信装置2,2が外部ネットワーク1を介して相互通信を行う場合、両者間の通信経路を複数設け、一の通信経路に障害が生じた場合でも、他の通信経路によって上記相互通信が可能になるようにしてもよい。例えば、図1に示す例では、仮想線で示すように、1つの通信装置2に対して、ルータ4を複数設けることにより、通信経路を複数形成させる。
【0046】
また、図1に示す例では、通信装置2とは別にルータ4を設けているが、このルータ4を省略し、通信装置2自体にルータの機能を持たせてもよい。これは管理装置3とルータ8との関係でも同様であり、ルータ8は省略可能である。
【0047】
次に、図2乃至図12に基づき、通信装置2の構成を詳述する。
図2は、通信装置2の構成を説明する説明図である。通信装置2は、CPU内のメモリ領域における秘匿領域、RAM(Random Access Memory)、ROM(Read-Only Memory)、HDD(Hard Disk Drive)又はSSD(Solid State Drive)等から構成されて各種情報を一時的又は恒久的に記憶する記憶部21と、CPU、RAM及びSSD等から構成されて各種プログラムを実行する制御部22と、内部ネットワーク6に接続される内向きネットワークインターフェース(通信手段)23と、外部ネットワーク1側(具体的にはルータ4)に接続される外向きネットワークインターフェース(通信手段)24と、該通信装置2の位置情報を取得する位置取得手段であるGPSセンサ(状態検出センサ,位置取得センサ)25と、該通信装置2への荷重を検出する荷重検出手段である加速度センサ(状態検出センサ)26と、該通信装置2の姿勢を検出する姿勢検出手段であるジャイロセンサ(状態検出センサ)27とを備えている。
【0048】
上記内向きネットワークインターフェース23は、内部ネットワーク6用のプライベートIPを付与される。
ルータ4が存在する場合、通信装置2の外向きネットワークインターフェース24には、該ルータ4に接続するためのグローバルIP又はプライベートIPが付与される。一方、上述したようにルータ4を省略する場合、通信装置2の外向きネットワークインターフェース24には、該通信装置2を外部ネットワーク1に直接接続させるためのグローバルIPが付与される。
【0049】
ちなみに、ルータ4を設けた場合、通信装置2は、通常、外部ネットワーク1側からは隔離された状態になるため、一の通信装置2がグローバルネットワーク1を介して他の通信装置2にアクセスすることができない。これを可能とするためには、本通信システムで用いる通信ポートが指定された通信パケットをルータ4が受信した場合に、このルータ4から、その内部に配置された通信装置2に向けて、該通信パケットが転送されるように、該ルータ4に対して予め転送設定(ポートフォワード設定)を行っておく。
【0050】
すなわち、一の通信装置2が、ルータ4を介して、他の通信装置2にアクセスする際、該他の通信装置2がルータ4の内側に配置されている場合、前記一の通信装置2は、ルータ4への接続情報(具体的には、該ルータ4のグローバルIP等)を、他の通信装置2の接続情報として保持(記憶)しておく必要がある。
【0051】
一方、ルータ4が存在しない場合、前記一の通信装置2は、前記他の通信装置2の外向きネットワークインターフェース24への接続情報を、該他の通信装置2の接続情報として保持しておく必要がある。ちなみに、通信ポートの番号は、通常、各通信装置2で共通化させるため、ルータ4の設定以外で特に意識する必要はない。
【0052】
上記記憶部21には、他の一又は複数の通信装置2への接続情報及び管理装置3への接続情報が格納される接続情報格納部21aと、情報端末7から通信装置2へのアクセスを許可するか、或いは許可する可能性のあるユーザのユーザID、パスワード又はそのハッシュデータ等のユーザ認証情報が格納されるユーザ認証情報格納部21bと、グローバルネットワーク1を介して機密性の高い相互通信を行う可能性のある他の通信装置2及び管理装置3の認証に必要な機器認証情報を同一のグループの全通信装置についてリスト化した機器認証リストが格納される機器認証情報格納部21cと、機器間認証や対象データのやり取りを行う際の暗号鍵又はこれらを生成するトリガー情報等が格納される暗号鍵情報格納部21dと、送信側通信装置2Aが送信する対象データ又は受信側通信装置2Bが受信する対象データにおける少なくとも一部が順次格納される対象データ格納部21fと、2つのネットワークインターフェース23,24による通信履歴の情報(通信履歴情報)が順次格納される通信履歴情報格納部21gと、前記各状態検出センサ25,26,27によるセンシング情報(センシング結果)が順次格納されるセンシング情報格納部21hと、これらの通信履歴情報及びセンシング情報等の解析結果が履歴解析情報として順次格納される履歴解析情報格納部21iとが設けられている。
【0053】
なお、このうち特に秘匿性の高いID、パスワード(ハッシュ化データも含む)及び暗号鍵又はそれを生成するトリガー情報は、予め複数セットが作成され、何れか一つを切替えヘッダによって切り替えるように設定しても良い。また、これらの情報が格納されたユーザ認証情報格納部21b、機器認証情報格納部21c及び暗号鍵情報格納部21d等は、例えばCPU内のメモリ領域における秘匿領域などの特に外部からアクセスが出来ないメモリ領域に設けられている。
【0054】
図3は、ユーザ認証情報格納部21bに格納されたユーザ認証情報のデータ構造を示す図である。ユーザ認証情報は、情報端末7を介して設定されたユーザID及びパスワードを含んで構成されている。なお、パスワードについては、ハッシュ化されたデータを記憶しておくようにしても良い。この例では、2台の情報端末7が内部ネットワーク6を介して1つの通信装置2に接続されているので、ユーザ認証情報も2組記憶されている。
【0055】
図4図7は、機器認証情報格納部21cに格納された機器認証リストのデータ構造を示す図である。この機器認証リストは、全ての通信装置2及び管理装置3で同一の情報が格納されている。同図に示す例では、機器認証情報格納部21cは、Oracle(商標)やMySQL(商標)等の汎用性の高いリレーショナブルなデータベースに適応したデータテーブルである。
【0056】
この機器認証情報格納部21cに記憶された機器認証リストは、各通信装置2及び管理装置3の認証に必要な機器認証情報を同一グループの全通信装置2及び管理装置3についてリスト化したものである。
図4に示す機器認証リスト21c1は、フィールドとして、イニシャルIDである「機器ID」と、そのユーザの氏を格納する「氏」と、そのユーザの名を格納する「名」と、そのユーザの電子メールアドレスを格納する「e-mail」と、そのユーザが一般ユーザであるか、管理者であるかの権限を格納する「権限」と、そのユーザの所属する会社の会社ID(組織ID)を格納する「所属」と、そのユーザの状態(本例では、有効又は無効の何れか一方の状態)を格納する「状態」と、そのユーザの情報の更新日時を格納する「更新日時」とを有している。
【0057】
ちなみに、上記電子メールアドレスは、そのユーザが機器間認証を受ける際のIDとして利用されても良い。また、機器認証情報格納部21cに記憶する「氏」及び「名」は原則として実名が入力されるが、個人を特定し難くするセキュリティ上の観点から、プロジェクトに由来する略称や、個人の愛称やハンドルネーム等であってもよい。この場合には、これに対応させたフィールドを用意する。
【0058】
図5は、機器認証リスト21c2のデータ構造を示す図である。この機器認証リスト21c2は、フィールドとして、イニシャルIDである「機器ID」と、パスワードを切り替える「切替えヘッダ」と、「パスワード」と、「パスワードのハッシュデータ」とを有している。この機器認証リスト21c2は、特に高い秘匿性が要求されるため、1つの機器IDに対して、数十から数百のパスワード及びそのハッシュデータの組が用意され、一つの組を、切替えヘッダによって所定のタイミングで切り替えて使用するようになっている。機器認証リスト21c2は、機器IDによって機器認証リスト21c1と多対一のリレーションシップが構築されている。
【0059】
図6は、機器認証リスト21c3である会社情報のデータ構造を示す図である。同図に示す例では、会社情報は、フィールドとして、イニシャルIDである「会社ID(組織ID)」と、その会社の会社名を格納する「会社名」(その組織の組織名を格納する「組織名」)とを有している。ちなみに、上述した機器認証リスト21c1は、この会社情報のイニシャルIDである会社IDをフィールドとして有しており、機器認証リスト21c1と機器認証リスト21c3とは、多対一のリレーションシップがなされている。なお、この機器認証リスト21c3の「会社名」も、機器認証リスト21c1の個人名(「氏」及び「名」)と同様、実際の会社を特定し難くする観点から、プロジェクトに由来する略称や、その会社の愛称やハンドルネーム等であってもよい。
【0060】
図7は、機器認証リスト21c4であるグループ情報のデータ構造を示す図である。グループ情報は、フィールドとしてイニシャルIDである「グループID」と、そのグループの名称である「グループ名」と、そのグループに所属するユーザの前記機器IDが格納される「メンバー1」、「メンバー2」、・・・「メンバーn」と、そのグループの情報の更新日時を格納する「更新日時」とを有している。
【0061】
各グループに登録可能なユーザの数(例えば、図7に示す例では、n人)は、データ構造を決定する際に確定するため、過不足のない適当な数を確保しておく必要がある。また、このグループ情報は、グループに登録する各ユーザの情報を機器認証リスト21c1から取得するため、機器認証リスト21c1のイニシャルIDである「機器ID」をフィールドとして有しており、これによって、機器認証リスト21c4と機器認証リスト21c1とは多対一のリレーションシップがなされている。
【0062】
図8は、暗号鍵情報格納部21dに格納された暗号鍵情報のデータ構造を示す図である。同図(a)は、共通鍵情報21d1を示している。共通鍵情報21d1には、数十~数百種類の共通鍵が予め用意されており、これらのうちの一つの共通鍵が切替えヘッダによって選択されて使用される。なお、この例では、共通鍵は、全ての通信装置2及び管理装置3で共通になっているが、共通鍵は、通信の相手方毎、又は同一グループ中の地域や部所などの管理単位毎に異なる共通鍵を用意しておくようにしても良い。この場合には、用意する共通鍵の種類は増加するが、万一、共通鍵が盗まれたときのリスクは軽減される。
【0063】
同図(b)は、秘密鍵/公開鍵情報21d2を示している。秘密鍵/公開鍵情報21d2にも、数十~数百種類の秘密鍵/公開鍵が予め用意されており、これらのうちの一対が切替えヘッダによって選択されて使用される。同図(c)は、各通信装置2及び管理装置3の公開鍵情報21d3を示している。公開鍵情報21d3には、各機器IDについて数十~数百種類の公開鍵が予め用意され、これらのうちの一つが切替えヘッダによって選択されて使用される。なお、共通鍵情報21d1と通信装置2及び管理装置3毎の公開鍵情報21d3については、全ての通信装置2及び管理装置3で共通の情報が記憶され、秘密鍵/公開鍵情報21d2については、その通信装置2又は管理装置3にのみ記憶される。但し、そのうちの公開鍵については、通信装置2及び管理装置3毎の公開鍵情報21d3の自己の機器IDと対応する場所に記憶される。
【0064】
図9は、対象データ格納部のデータ構造を示す一覧表である。対象データ格納部21fは、フィールドとして、イニシャルIDである「データID」と、その対象データの件名を格納する「件名」と、その対象データの機密レベルを複数段階で示す「機密レベル」と、その対象データの閲覧可能な期間を始期と終期とで示す「閲覧期間」と、その対象データを閲覧することが可能な回数を格納する「閲覧可能回数」と、その対象データを受取ったユーザがその時点で自己の情報端末7によって閲覧できる回数を残数で格納する「閲覧回数」と、その対象データを送信したユーザの機器IDを格納する「送信者」と、その対象データを受信するユーザの機器IDを格納する「受信者」と、その対象データ中に含まれる送信者からのコメントを格納する「コメント」と、その対象データの本体データ(例えば、画像ファイルや動画ファイル等)の記憶先の情報が格納される「データ記憶先」と、その対象データの送信日時が格納される「送信日時」とを有している。
【0065】
前記機密レベルは、図示する例では、機密レベルが低い「親展」(0)と、機密レベルが中程度である「重要」(1)と、機密レベルが高い「機密」(2)との3段階に設定されている。前記閲覧期間の始期は、必ず前記送信日時以降に設定される。勿論、この始期を送信日時よりも所定期間経過した後に定めることも可能である。前記閲覧可能回数は、1回~無制限の間で(図示する例では、1回又は無制限の2段階で)指定可能である。
また、対象データ格納部21fは、前記送信者となるユーザの情報及び前記受信者となるユーザの情報を機器認証情報格納部21cから取得するため、機器認証情報格納部21cのイニシャルIDである「機器ID」をフィールドとして有している。このため、対象データ格納部21fと機器認証情報格納部21cは多対一のリレーションシップがなされる。
ちなみに、あるグループに所属するユーザ(送信者)が、このグループに所属する複数のユーザ中から、単数或いは複数のユーザを受信者(送信先)としてそれぞれ指定した場合、その受信者毎に、対象データ格納部21fの各フィールドを有するデータが用意され、該対象データ格納部21fに記憶される。
【0066】
また、この対象データ格納部21fに関し、対象データの送受信の関係で、送信側通信装置2Aの記憶部21と、受信側通信装置2Bの記憶部21とに、同一のデータがそれぞれ個別に記憶される。また、閲覧期間の終期が経過した対象データについては、送信側通信装置2A又は受信側通信装置2Bの記憶部21,21の対象データ格納部21fから消去してもよい。
【0067】
図2に示す通り、上記制御部22は、OS上で実行させるプログラムによって各種機能を実現させる。このOSはWindows(登録商標)やLinux(登録商標)等の汎用OSであってもよいし、独自の専用OSでもあってもよいし、或いは複数のOS(例えば、一の汎用OSと一の専用OS)を併用してもよい。複数のOSを併用する場合、デュアルブートによる手段を用いてもよいし、或いは一のOS上で仮想的に他のOSを実行する手段を用いてもよい。本例では、単一のオープンソースの汎用OSであるLinux等を用いている。
【0068】
この制御部22は、データの暗号化を行って暗号文とする暗号化部22aと、他の通信装置2の暗号化部22aによって暗号化された暗号文を復号して平文とする復号部22bと、暗号化及び復号のための共通鍵、秘密鍵及び公開鍵等の暗号鍵を提供する暗号鍵提供部22cと、暗号化及び復号やユーザ認証等に利用するパスワードを提供するパスワード提供部22dと、通信装置2,2同士の間又は通信装置2と管理装置3の間で暗号通信を行う暗号通信部22eと、情報端末7によって通信装置2にアクセスしてくるユーザのユーザ認証を行うユーザ認証部22fと、通信装置2と他の通信装置2又は管理装置3との間で機器間認証を行う機器間認証部22vと、通信装置2が配置された側の内部ネットワーク6を介して接続された情報端末7に対してGUI(Graphic User Interface)等のユーザインターフェースを提供するウェブサーバ等の入出力部22gと、情報端末7からの対象データを受取るデータ受取部22hと、前記データ受取部22hによって受取られ且つ前記暗号化部22aによって暗号化された対象データを対象の受信側通信装置2Bに送信するデータ送信部22iと、送信側情報端末7Aと受信側情報端末7Bとの対象データのやり取りをキャンセルするキャンセル部22jと、送信側通信装置2Aからの対象データを受信する受信側情報端末7B側のデータ受信部22kと、前記データ受信部22kによって受信され且つ復号部22bによって復号された対象データを対象の受信側情報端末7Bに配信するデータ配信部22lと、該データ配信部22lによる対象データの配信を該対象データ(送信データ)に含まれる閲覧期間及び閲覧回数等の情報に基づいて規制する閲覧規制部22mと、2つのネットワークインターフェース23,24の少なくとも何れか一方を介した通信(パケット)を制御するパケット制御部22nと、2つの通信インターフェース23,24からの通信履歴情報を上述した通信履歴情報格納部21gに順次記憶して蓄積するとともに前記各状態検出センサ25,26,27からのセンシング情報(センシング結果)を上述したセンシング情報格納部21hに順次記憶して蓄積する履歴情報蓄積部22oと、記憶部21に記憶された通信履歴情報やセンシング情報等の履歴情報を解析し且つ該解析の結果を上述した履歴解析情報として記憶部21の履歴解析情報格納部21iに記憶する履歴解析部22pと、前記履歴情報や前記履歴解析情報に基づいて通信装置2の各種の異常を判定する異常判定部22qと、該異常判定部22qによって異常であると判定された場合に通信装置2を介した通信を規制(具体的には禁止したり、通信可能な地域を限定する等)する通信規制部22rと、を備えている。
【0069】
さらに、制御部22には、通信装置2,2間の通信経路や、通信装置2と管理装置3との間の通信経路が複数存在する場合に、その内から一の通信経路を選択する通信経路選択部22sを設けてもよい。
また、通信経路選択部22sは、グループ内のユーザでない別の通信相手と通信を行う場合には、その通信相手に対応したGUIを用いて通信を行うようにしても良い。送受信するデータの機密レベルに応じて、通信を行うグループ以外のユーザとの通信も可能にする場合には、送信先のIPアドレスに応じて、通信装置2及び管理装置3を介さない、通常の通信経路でのデータ送受信を選択するように機能させることもできる。
【0070】
上記暗号化部22aは、対象データ、或いはその他の通信装置2,2間でやり取りする各種情報を所定のアルゴリズムにより暗号化する。また、対象データの暗号化にあたっては、その対象データに設定された機密レベル(対象データ格納部21fの「機密レベル」)によって暗号強度を変更する。暗号化は異なるアルゴリズム又は暗号鍵で複数回実行してよい。また、データを複数の分割データに分割してその順番を入替え、各分割データを暗号化するスクランブル処理を適宜用いることも可能である。この際、各分割データに対する暗号化は一回で済ませてもよいし、或いは複数回行ってもよく、さらには分割データ毎に、アルゴリズムや暗号鍵や回数を異ならせてもよい。
上記復号部22bは、他の通信装置2の暗号化部22aで暗号化された暗号文を、該暗号化部22aの暗号化のアルゴリズムと対応した所定のアルゴリズムにより復号する。
【0071】
図10は、暗号化部及び復号部の構成を概念的に示す概念図である。暗号化部22aは、平文(例えば、対象データ等)の入力を受付ける入力手段22a1と、入力手段22a1によって入力された平文を暗号化する暗号化手段22a2と、暗号化手段22a2によって暗号化された暗号文(例えば、対象データ等)を出力する出力手段22a3とを有している。ちなみに、暗号化手段22a2による暗号化にあたっては、該暗号化手段22a2に対して、通信装置2の上述した暗号鍵情報格納部21dから、又は暗号鍵提供部22cにより、暗号化の情報が含まれた暗号鍵が提供される。
一方、復号部22bは、暗号文(例えば、対象データ等)の入力を受付ける入力手段22b1と、入力手段22b1によって入力された暗号文を復号する復号手段22b2と、復号手段22b2によって復号された平文(例えば、対象データ等)を出力する出力手段22b3とを有している。
【0072】
暗号化手段22a2に提供される暗号鍵と、復号手段22b2に提供される暗号鍵とは、同一又は対応した暗号鍵である必要があり、具体的には、同一の共通鍵の組合せや、対応する秘密鍵と公開鍵の組合せになる。
例えば、送信側通信装置2Aの暗号化部22aによって暗号化された暗号文が、該送信側通信装置2Aの外向きネットワークインターフェース24を介して受信側通信装置2Bに送信される。この受信側通信装置2Bは、この暗号文を、該受信側通信装置2Bの外向きネットワークインターフェース24によって受信し、該受信側通信装置2Bの復号部22bによって復号して解読可能な平文とする。
【0073】
この際、これらの2つの通信装置2A,2Bの一方で利用される暗号鍵と、他方で利用される暗号鍵とは、同一又は対応している必要があり、例えば、共通鍵同士の組合せか、或いは秘密鍵と該秘密鍵に対応した公開鍵との組合せ等が考えられる。本通信システムでは、同一又は対応する一対の暗号鍵を、複数組、この2つの通信装置2A,2Bの記憶部21,21にそれぞれ予め記憶させておくことにより、通信装置2A,2Bの設置後、直ちに、暗号化された環境下での通信が可能になる。なお、暗号鍵として共通鍵を使用する場合には、各通信装置2A,2Bの記憶部21,21には、共通鍵自体ではなく、該共通鍵を生成するために用いられるパスワードやその他のトリガー情報を予め記憶させてもよい。この場合には、各通信装置2A,2B及び管理装置3で、全て同一のアルゴリズム、同一のタイミングで共通鍵を生成すれば良い。
【0074】
また、この暗号化部22aでの暗号化は、同一のデータに対して、暗号鍵を毎回変化させて複数回行ってもよく、この場合には、出力手段22a3から出力された暗号文が再び入力手段22a1に戻される。一方、復号部22bも、これに対応して、出力手段22b3から出力されたデータを入力手段22b1に戻すことが可能である。そして、復号部22bは、複数回暗号化された同一のデータに対して、該暗号化の際に用いた暗号鍵と同一又は対応する暗号鍵を、該暗号化時とは逆の順番で用い、同数回復号することにより、元の平文を得ることが可能になる。更に、復号部22bは、「一時復号モード」を有し、データを復号後に閲覧や作業が終了すると自動的に再暗号化するように機能しても良い。
暗号化、復号に用いられる共通鍵、公開鍵及び秘密鍵は、上述したように暗号鍵情報格納部21dに記憶され、適宜読み出して使用される。しかし、暗号鍵提供部22cで別途生成して使用しても良い。上記暗号鍵提供部22cは、生成した暗号鍵を暗号化部22a又は復号部22bに提供するか、記憶部21に記憶させることも可能である。
【0075】
図11は、暗号鍵提供部22cの構成を概念的に示す概念図である。暗号鍵提供部22cは、暗号鍵を生成する暗号鍵生成手段22c1と、暗号鍵の生成に用いる真正乱数又は擬似乱数を生成する乱数生成手段22c2と、記憶部21との間で情報の入出力を行う情報入出力手段22c3と、暗号化部22aや復号部22bで利用する暗号鍵を出力する暗号鍵出力手段22c4とを有している。
【0076】
乱数生成手段22c2は、入出力部22g等を介して入力されてくる不確定情報(例えば、キーボードを押すタイミング等)を利用して真性乱数を生成するか、或いは、パスワード、或いはその他の確定したトリガー情報を用いて擬似乱数を生成する。ちなみに、真正乱数を生成する際には、ラドンパルス発生装置等を用いてもよい。パスワードはパスワード提供部22dから乱数生成手段22c2に提供される。その他の確定的なトリガー情報は、情報入出力手段22c3を介して、記憶部21の秘匿領域から乱数生成手段22c2へ出力される。ちなみに、擬似乱数を生成する際は、LFSR(linear feedback shift register)等の従来公知の手段を用いる。
暗号鍵生成手段22c1は、乱数生成手段22c2からの乱数、情報入出力手段22c3を介して記憶部21の秘匿領域から取得されたトリガー情報に基づいて、暗号鍵を生成する。
【0077】
暗号鍵出力手段22c4は、暗号鍵生成手段22c1によって生成された暗号鍵又は情報入出力手段22c3を介して記憶部21から取得した暗号鍵を出力する。一方、暗号鍵生成手段22c1で生成した暗号鍵は、情報入出力手段22c3を介して、記憶部21の秘匿領域に記憶することが可能である。
【0078】
上記パスワード提供部22dは、ユーザの認証や、暗号化通信のための通信装置2,2同士の認証や、通信装置2と管理装置3との認証や、上述した暗号鍵の生成等に用いられるパスワード(の情報)を提供する。
【0079】
図12は、パスワード提供部22dの構成を概念的に示す概念図である。パスワード提供部22dは、パスワードを生成するパスワード生成手段22d1と、パスワードの生成に用いる真正乱数又は擬似乱数を生成する乱数生成手段22d2と、記憶部21との間で情報の入出力を行う情報入出力手段22d3と、パスワードの情報を出力するパスワード出力手段22d4とを有している。
乱数生成手段22d2は、入出力部22g等を介して入力されてくる不確定情報(例えば、キーボードを押すタイミング等)を利用して真性乱数を生成するか、或いは、確定したトリガー情報を用いて擬似乱数を生成する。また、真正乱数生成でも、上述の場合と同様に、ラドンパルス発生装置等を用いてもよい。トリガー情報は、情報入出力手段22d3を介して、記憶部21の秘匿領域から取得される。
【0080】
ちなみに、擬似乱数はある程度の周期性を持って生成されるため、2つの通信装置2,2間で擬似乱数を生成するにあたり、ワンタイムパスワードの概念を導入することも可能であり、このワンタイムパスワードを、ユーザ認証や、通信の暗号化や、通信装置2,2間の認証や、通信装置2と管理装置3との認証等に用いることが可能になる。なお、一例としてユーザ認証にワンタイムパスワードを用いる場合には、ユーザにトークンを持たせ、該トークンによってパスワードを生成してもよい。ただし、この場合には、途中での同期の修正が可能なように、チェック用データ(訂正信号)も入れ込むことが望ましい。例えば、符号の誤り等を検出する目的で用いられるチェックディジット等を用いることにより、同期処理がずれた場合の修正を行ってもよい。
【0081】
パスワード生成手段22d1は、乱数生成手段22d2で生成した乱数、情報入出力手段22d3を介して記憶部21の秘匿領域から取得したトリガー情報等に基づいて、パスワードを生成する。生成したパスワードは、パスワード出力手段22d4に渡されるか、或いは、情報入出力手段22d3を介して記憶部21の秘匿領域に記憶される。
パスワード出力手段22d4は、パスワード生成手段22d1からパスワードを受取って出力する他、ユーザが情報端末7を介して入力したパスワードを入出力部22gから直接受取って出力してもよいし、或いは、情報入出力手段22d3を介して記憶部21の秘匿領域から取得したパスワードを出力してもよい。出力されたパスワードは、必要に応じて、入出力部22gや暗号鍵提供部22c等の各部に出力される。
【0082】
上記暗号通信部22eによって、図2に示す通り、通信装置2と他の通信装置2との間及び該通信装置2と管理装置3との間で、暗号化通信を行う。言換えると、通信装置2、2同士の間の通信(機器間通信)又は通信装置2と管理装置3との通信(機器間通信)は、暗号通信部22eによって暗号化される。本例では、この機器間通信の際、機器同士を、IPSec(IP Security Architecture)やPPTP(Point-to-Point Tunneling Protocol)によるプロトコルを用いて、VPN接続(機器間接続)させ、トンネリング及び暗号化による安全な通信経路を確立する。この際の暗号化及び復号には、暗号化部22a及び復号部22bを用いるが、暗号化通信部22eによって独自に暗号化や復号を行ってもよい。ちなみに、このVPN接続を行うための設定は予めなされており、導入時に行う必要はない。
【0083】
この暗号化通信に用いる認証(機器間認証)させるための情報である機器認証リストは、各通信装置2や、管理装置3の機器認証情報格納部21c、31cに格納されている。この機器認証リストは、通信装置2の出荷時に設定され、外部からはアクセスできないように記憶部21に記憶されているので、運用上、ユーザを介した漏洩が起こらない安全な仕組みになっている。トリガー情報を利用する場合には、設定時刻又は送信操作などのトリガーとなるタイミングを設定し、トリガー情報に基づいて機器認証データを生成するようにしても良い。
ちなみに、暗号化通信を行うもの同士の間では、これらの同一又は対応する機器認証リスト及び暗号鍵情報を、互いに保持する必要があるが、暗号化通信を行わないもの同士の間では、このような共通化された情報を互いに保持する必要はない。この他、データのやり取りを行う可能性のある他の通信装置2や管理装置3への接続情報は、記憶部21の接続情報格納部21aに予め記憶されており、通信装置2の導入時に改めて設定し直す必要はない。
【0084】
上記ユーザ認証部22fは、情報端末7によって通信装置2にアクセス(ログイン)を要求してくるユーザに対して、記憶部21のユーザ認証情報格納部21bに記憶された情報に基づいて、ユーザ認証を行い、アクセスを許可するか否かを決定する。ちなみに、このIDやパスワードの漏洩による「なりすまし」を防止するため、上述したように、ワンタイムパスワードを用いてユーザ認証を行っても良い。さらに、このIDやパスワードが漏洩すると、「なりすまし」が可能になるため、複数の認証手段を組合せた多段階認証や複数の要素の組み合わせによる多要素認証手段でユーザの個人認証及び通信装置の機器間認証を行うことが望ましく、さらにこの複数段階の認証が進行する毎にユーザの権限やユーザへの開示情報を付加又は変更してもよい。
【0085】
機器認証情報格納部21cには、十分な数又は最大限のユーザ情報が仮のユーザとして予め格納されており、新たなユーザを登録しようとする場合は、該機器認証情報格納部21cに登録されている一の仮のユーザの情報を、管理装置3側(さらに具体的には、後述する情報更新部32h)から、変更して更新する。ちなみに、機器間認証部22vによってアクセス(ログイン)を許可するユーザは、機器認証情報21c1の「状態」が有効(1)になっているユーザに限られる。さらに付加えると、この「状態」の情報も、仮のユーザの場合には無効(0)に設定されており、これを管理装置3側から有効(1)に切換えて有効化することにより、該ユーザが本通信システムを利用可能になる。ただし、この有効・無効の切換は、これらの方法には限定されない。
【0086】
また、この機器認証リスト21c1と同様に、会社情報をリスト化した機器認証リスト21c2にも、十分な数又は最大の数の仮の会社の情報が予め格納されている。また、グループ情報である機器認証リスト21c3にも、同様に、十分な数又は最大の数のグループ情報が、仮のグループの情報を含んで予め記憶されている。これらの情報は、管理装置3(さらに具体的には、後述する情報更新部32h)によって内容が更新されている。ちなみに、仮のグループには、最大限の仮のユーザが予め登録されている。最大限の仮のユーザ数は、導入時にグループ管理責任者が申請したり、或いは予め設定済みの仮のユーザ数を確認できる。
【0087】
上記入出力部22gは、アクセスが許可されたユーザの情報端末7に対してGUIを提供するとともに、情報端末7からの入力を受付ける。この入出力部22gは、Webサーバ等によって構成される。
【0088】
上記データ受取部22hは、入出力部22gを介して、ユーザの送信側情報端末7Aからの対象データを受取る。ちなみに、送信者となるユーザは、送信側情報端末7によって、まず、自己が所属する一又は複数のグループ中から一のグループを選択する。この際、通信の目的別に一のグループを選択してもよい。続いて、このグループ中から対象データを送りたいユーザ(受信者)を一又は複数選択し、受信者に閲覧させる回数や期間を決定し、これらの一連の情報を含めて、対象データを送信側通信装置2Aに渡す。
【0089】
このようにして、データ受取部22hによって受取られた対象データは、その必要情報が、送信側通信装置2Aの記憶部21の対象データ格納部21fに記憶されるとともに、暗号鍵により暗号化部22aで暗号化される。ちなみに、この対象データは、前記送りたいユーザ毎に個別に生成、或いは対象データとリンクされ、例えば、3人のユーザに送る場合には3つの対象データが生成、或いは対象データとリンクされる。この他、対象データの暗号化の際には、機密レベルに応じて、暗号化の有無や回数等によって定まるセキュリティ強度を変更する。なお、通信自体が暗号化されているため、機密レベルが最低の場合には、対象データ自体の暗号化を省略させることも可能である。
【0090】
上記データ送信部22iは、暗号化部22aによって暗号化された対象データを、送信先に指定されたユーザの受信側情報端末7B側の受信側通信装置2Bに送信する。ちなみに、該データ送信部22iによる対象データの送信処理は直ちに行ってもよいし、或いは閲覧期間の始期の経過を待って送信処理を実行してもよい。
【0091】
上記データ受信部22kは、送信側通信装置2Aからの対象データを受信する。
【0092】
このようにして、データ受信部22kより受取られた対象データは、上述した通り、暗号化された暗号文であるため、復号部22bによって、復号されて平文となる。この復号の際には、該暗号化時と同一又は対応した暗号鍵が利用され、復号される。ちなみに、その対象データの機密レベルを、受信側通信装置2Bのデータ受信部22kが送信側通信装置2Aのデータ送信部22iから受取っておくと、迅速且つ正確に復号を実行可能になるが、予め機密レベルに応じたルールを決めておけば、この機密レベルの情報を、2つの通信装置2A,2B間でやり取りすることは必須ではない。
【0093】
平文となった対象データ中で、必要情報は、受信側通信装置2Bの記憶部21の対象データ格納部21fに記憶される。
【0094】
上記データ配信部22lは、対象データの受信者となっているユーザの受信側情報端末7Bからの要求に応じて、該受信側情報端末7Bに前記対象データを配信する。なお、このデータ配信部22lは、対象データの受信側情報端末7Bへの配信を所定タイミングで自発的に実行してもよい。ただし、データ配信部22lによる配信は、閲覧規制部22mによって閲覧が規制(禁止)されていない状態の場合のみ許容される。
【0095】
上記閲覧規制部22mは、対象データの閲覧回数(残り)が0になっている場合、閲覧期間外になっている場合、送信者が閲覧を禁止した閲覧回数(残り)が×等の禁止記号になっている場合、管理装置3のシステム管理者がグループ管理責任者からの閲覧禁止の申請を受け取った場合、又はシステム管理者の管理上の観点から閲覧を禁止した場合、受信者となるユーザの受信側情報端末7Bへの該対象データの配信を規制(禁止)する。ちなみに、閲覧期間は始期と終期とが設定され、始期と終期との間が閲覧可能な期間になる。この始期は、送信側情報端末7Aが送信側通信装置2Aにデータを渡す時点、或いはその時点から所定期間経過した時点に設定可能であり、後者の場合には、送信者が対象データを送信してから、前記所定時間の経過後に、受信者が該対象データを閲覧可能になる。
【0096】
上記キャンセル部22jは、送信側情報端末7Aからの対象データの送信(配信)のキャンセルの要求があった場合に、そのキャンセル処理を送信側通信装置2A側で行う。具体的には、閲覧期間の始期よりも前において、まだデータ送信部22iによって対象データが送信されていない場合には、送信側通信装置2Aの記憶部21に記憶された前記対象データの削除又は送信処理のキャンセルを行うことにより、前記配信をキャンセルする一方で、データ送信部22iによって対象データが既に送信された場合には、受信側通信装置2Bの記憶部21に記憶された前記対象データをリモートで削除するか、或いは受信側通信装置2B側での対象データの配信処理自体をキャンセルすることにより、前記配信をキャンセルする。該対象データがコピーされている場合には、その複製された対象データも併せて消去する。
【0097】
なお、このキャンセル処理の際には、ハッシュデータ等を用いて、そのキャンセルの指示が正しいか否かを判断してもよい。具体的には、例えば送信側情報端末7Aと受信側情報端末7Bとで共通のハッシュプログラムと共通鍵とを秘密状態で保持しておく。送信側情報端末7Aは、キャンセル指示と共に、キャンセル指示コードと共通鍵とを連結し、ハッシュ化して受信側情報端末7Bに送る。受信側情報端末7Bでは、キャンセル指示を受領したら、キャンセル指示コードと共通鍵とを連結してハッシュ化したものと受信されたハッシュ値とを比較して、両者が合致すれば、キャンセル指示コードの改竄はなく、キャンセル指示が正規の送信側情報端末7Aが出されていると判断する。また、その際に、再度ユーザ認証を行い、正しい権限を有するユーザからのキャンセル指示であるかを確認してもよい。ちなみに、正しい権限を有するユーザ(以下、単に「ユーザ」ともいう。)としては、例えば、この対象データを実際に送信したユーザや、グループ管理責任者又はグループ登録責任者が想定される。グループ管理責任者又はグループ登録責任者を登録する場合は、システム管理者は、これらの責任者が登録された本人かどうかを本人証明書(写真入りの自動車運転免許証など)で確認する必要がある。
【0098】
この送信側通信装置2Aからのキャンセル処理によって、誤った対象データを配信したような場合にも対処可能になり、利便性が向上する。ちなみに、対象データの閲覧期間の始期よりも後であっても、各受信者の受信側情報端末7Bへの配信が実際に行われていない場合には、同様の処理によって該配信をキャンセルできる。ちなみに、このデータ消去を可能とするため、削除フラグのようなものを送信時にデータ中に含ませ、この削除フラグを通常はOFFにしておき、ON切換時にデータ消去が実行されるようにしてもよい。
【0099】
上記パケット制御部22nは、2つのネットワークインターフェース23,24を介した通信を制御する。
【0100】
例えば、通信装置2が属する内部ネットワーク6内に配置された情報端末7が、外部ネットワーク1を介した通信を行う場合、前述したネットワーク構成上、必ず通信装置2を介することになるので、該情報端末7からの通信(パケット)は、この通信装置2を通過する。情報端末7から内向きネットワークインターフェース23に届いた通信パケットは、外向きネットワークインターフェース24を介してルータ4に転送され、該ルータ4によって外部ネットワーク1側に送られる。
【0101】
言い換えると、通信装置2は、該通信装置2の通信履歴のみならず、内部ネットワーク6側での情報端末7の通信履歴も取得可能であり、また、そうなるようにパケット制御部22nによって通信パケットを制御する。
【0102】
また、このパケット制御部22nは、ルータとして通信装置2を機能させるように、通信パケットを制御することも可能である他、内向きネットワークインターフェース23側へのファイヤーウォールの構築や、外向きネットワークインターフェース24側へのファイヤーウォールの構築が実現されるように、通信パケットを制御することも可能である。
【0103】
さらに、このパケット制御部22nを利用すれば、VPN接続の際に用いるIKEへのDoS攻撃等に対しても、ある程度のリアルタイム対応が可能になり、また、このような情報は履歴解析部22pによっても解析可能である。
【0104】
上記履歴情報蓄積部22oは、上記した通信装置2の通信履歴や、該通信装置2の所属している内部ネットワーク6に属する情報端末7の外部ネットワーク1を介した通信又は該通信装置2へのアクセス通信の履歴を、通信履歴として、記憶部21の通信履歴情報格納部21gに順次記憶していく。また、この履歴情報蓄積部22oは、GPSセンサ25、加速度センサ26及びジャイロセンサ27等の各種センサのセンシング結果を、センシング情報(センシング履歴情報)として記憶部21のセンシング情報格納部21hに順次記憶していく。
【0105】
上記履歴解析部22pは前記通信履歴の解析を行う。具体的には、この履歴解析部22pが、その時の通信履歴や履歴情報蓄積部22oに記憶されている通信履歴から、内部ネットワーク6を構成している組織(例えば、会社自体や会社の所定の部署等)単位の出勤日や、ユーザ単位の出勤状況等からなる日常の稼動状況を解析し、この解析結果を、履歴解析情報格納部21iに順次記憶する。なお、上述したようなDoS攻撃や、その他の外部からの攻撃も、この解析によって、認識可能になる。
【0106】
また、履歴解析部22pは、上記稼動状況に基づいて通信装置2にアクセスをしてくるユーザの情報端末7を自動判別し、その結果も解析結果として履歴解析情報格納部21iに順次記憶してもよい。
【0107】
さらに、GPSセンサ25、加速度センサ26及びジャイロセンサ27から取得される状態検出の結果や、センシング情報格納部21hに記憶されたセンシング履歴の情報に基づいて、通信装置2の通常状態を解析し、その解析結果を記憶部21の履歴解析情報格納部21iに記憶してもよい。また、通信装置2は、ある一定の時刻帯にだけ通信可能にしたり、IoTで使用される特定のセンサ(温度センサ、人感センサ、IDカードなど各種センサ及び監視カメラ等)に接続されるようにしても良い。
【0108】
上記異常判定部22qは、センシング結果や、通信履歴の解析結果等に基づいて、通信装置2の異常状態を判定する。
【0109】
例えば、異常判定部22qは、PCに接続された通信装置2の位置が変化したことがGPSセンサ25によって検出された場合、盗難等の可能性があるため、異常であると判定する。具体的には、まず、通信装置2の導入時、初めに電源をONした際の位置情報を、その通信装置2の設置位置として認識する。続いて、GPSセンサ25によって取得された位置情報又はセンシング情報格納部21hに記憶された直近の位置情報が、前記設置位置と異なる場合には異常の判定を行う一方で、一致する場合には正常の判定を行う。ちなみに、GPSセンサ25のセンシング履歴又はその解析情報等を、センシング情報格納部21h又は履歴解析情報格納部21iから取得し、これらの情報と比較等することにより、GPSセンサ25のセンシングの誤差は、相当程度補正可能である。
【0110】
また、異常判定部22qは、PCに接続された通信装置2の姿勢が変化したことや、荷重が作用していることを、ジャイロセンサ27や、加速度センサ26によって検出した場合も、盗難等の可能性があるため、異常であると判定する。具体的には、ジャイロセンサ27又は加速度センサ26によって取得された姿勢情報又は荷重情報、或いはセンシング情報格納部21hに記憶された直近の姿勢情報又は荷重情報が、通常と異なる異常な値であれば、異常の判定を行う一方で、そうでなければ、正常の判定を行う。ちなみに、センシング情報格納部21hに記憶された姿勢情報又は荷重情報や、履歴解析情報格納部21iに記憶された該姿勢情報又は荷重情報の解析情報を利用することにより、正常・異常の判断の精度を向上させることが可能になる。さらに地震や火災などで通信装置2が移動した時にそのセンサ情報を管理装置3に知らせ、異常時の対応を行う。異常時の対応とは、グループに属する全ユーザへの伝達や対応通信装置2を介した通信の中断等などである。
【0111】
移動体端末の通信装置2の場合は、時刻認証のタイムコードや端末機に指示した認証チェックに合格した場合に作動し、異常があった場合に作動を停止する。認証チェックは、カメラによる画像認証や、指紋認証、音声認証を単独あるいは組み合わせで行う。
【0112】
さらに、異常判定部22qは、履歴解析情報格納部21iに記憶された通信履歴の解析情報を利用し、2つのネットワークインターフェース23,24や通信履歴情報格納部21gから取得される過去や現在の通信履歴から、異常・正常の判定を行う。具体的には、ユーザの情報端末7からのアクセス及び該アクセスに伴う作業状況や、休日であることが予想される会社、部署、ユーザ等の情報端末7からのアクセス及び該アクセスに伴う作業状況や、通常負荷の異常な上昇等の有無に基づいて、不正アクセス又は不正作業や、過負荷等に関する異常・正常の判定を行う。また、すべての通信装置2の通信履歴は、定期的に管理装置に送られる。
【0113】
上記通信規制部22rは、前記異常判定部22qによって異常が判定された場合には、異常が判定された通信装置2を介したデータのやり取りや通信を規制(禁止)する。このようにして通信が規制されると、上記した対象データのやり取りも勿論できなくなる。ちなみに、この際、異常が判定された通信装置2以外の通信装置2は、通信機能を非規制状態で保持しており、同一グループ内での対象データの送受信を継続させることは可能である。なお、このような不正アクセス又は不正作業等の異常が判定された場合には、パスワードや暗号鍵等の切り替えを、上記の通信規制に代えて、又は通信規制と共に実行するようにしても良い。
【0114】
以上のように構成される通信装置2は、送信側通信装置2Aとして機能させることも可能であるとともに、受信側通信装置2Bとして機能させることも可能である。ちなみに、制御部22に搭載しているものの内、データ受取部22h、データ送信部22i及びキャンセル部22jは送信側専用機能であり、データ受信部22k及びデータ配信部22lは受信側専用機能である。このため、通信装置2を送信側通信装置2A専用とする場合には、受信側専用機能を省略可能である一方で、通信装置2を受信側通信装置2B専用とする場合には、送信側専用機能を省略可能である。
【0115】
次に、図13に基づき、管理装置3の構成を詳述する。
【0116】
図13は、管理装置3の構成を説明する説明図である。同図に示す管理装置3は、CPUの秘匿領域を含むメモリ領域、RAM、ROM、HDD又はSSD等から構成されて各種情報を一時的又は恒久的に記憶する記憶部31と、CPU、RAM及びSSD等から構成されて各種プログラムを実行する制御部32と、外部ネットワーク1側(具体的にはルータ4)に接続されるネットワークインターフェース(通信手段)33とを備えている。
【0117】
上記記憶部31には、管理装置3が管理する対象となっている各通信装置2の全ての情報を、同様のデータ構造で記憶させてもよい。すなわち、記憶部31は、接続情報格納部21aと同一又は略同一構成の接続情報格納部31aと、ユーザ認証情報格納部21bと同一又は略同一構成のユーザ認証情報格納部31bと、機器認証情報格納部21cと同一又は略同一構成の機器認証情報格納部31cと、暗号鍵情報格納部21dと同一又は略同一構成の暗号鍵情報格納部31dと、対象データ格納部21fと同一又は略同一構成の対象データ格納部31fとを有する。ただし、必要に応じて不要な情報は省略してよく、例えば、通信履歴情報格納部(図示しない)、センシング情報格納部(図示しない)、履歴解析情報格納部(図示しない)が省略可能なデータテーブルに該当する。
【0118】
ちなみに、記憶部31のユーザ認証情報格納部31bに登録されているユーザは、管理装置3側の情報端末(図示しない)又は通信装置2側の情報端末7によって、管理装置3にアクセス可能なシステム管理者になる。このため、この管理装置3へのアクセスに成功したユーザが個人を特定できる情報も自由に取得できると、全てが漏洩するため、個人を特定可能な情報と、特定不可能な情報とは分けて管理し、万が一、特定のユーザが管理装置3へのアクセスに成功しても、個人を特定可能な情報にはアクセス不可能にしておく他、履歴をチェックし、情報が漏洩していないかは、機器認証リストや暗号鍵の書き換えのための記憶部21へのアクセスの有無等を参照して常に監視する。ちなみに、この管理装置3は、本通信システムのサービスを提供する事業者から提供される。このため、該管理装置3を管理するシステム管理者は、事業者であるか、或いは事業者から直接委託された者になる。また、該管理装置3をアクセス可能なシステム管理者から情報が漏洩することを避けるために、少なくともユーザ認証情報格納部へのアクセスは別のシステム管理者との少なくともダブルチェックを行うとともに、すべての管理履歴を残し、必要に応じてシステム管理者からの管理装置3の管理履歴を公表する仕組みを取り入れるとさらに良い。
【0119】
この記憶部31における接続情報格納部31a、機器認証情報格納部31c及び暗号鍵情報格納部31dには、管理対象になっている各通信装置2と暗号化通信を行うための接続情報や、ID情報や、同一又は対応する暗号鍵若しくはパスワード又はこれらを生成するトリガー情報等が記憶されている。
【0120】
上記制御部32は、OS上で実行させるプログラムによって各種機能を実現させる。このOSの利用手段は、上述した制御部22と同一又は略同一である。この制御部32は、前記暗号化部22aと同一又は略同一構成の暗号化部32aと、復号部22bと同一又は略同一構成の復号部32bと、暗号鍵提供部22cと同一又は略同一構成の暗号鍵提供部32cと、パスワード提供部22dと同一又は略同一構成のパスワード提供部32dと、暗号通信部22eと同一又は略同一構成の暗号通信部32eと、ユーザ認証部22fと同一又は略同一構成のユーザ認証部32fと、機器間認証部22vと同一又は略同一構成の機器間認証部32vと、入出力部22gと同一又は略同一構成の入出力部32gとを有している。
【0121】
また、制御部32は、これらのとは別に、管理対象になっている各通信装置2の記憶部21の所定情報を更新する情報更新部32hと、復旧処理部32iとを有している。ちなみに、情報を更新した場合、更新前の情報も消去せずに記憶させておく。この情報履歴は5年間など少なくとも一定期間は記憶しておく必要がある。
【0122】
上記情報更新部32hは、管理対象になっている通信装置2の情報を更新する。具体的には、通信装置2,2同士の間で暗号化通信を行う場合や、これらの通信装置2,2を経由して外部ネットワーク1を介した対象データのやり取りを行う場合には、これらの通信装置2,2がそれぞれ記憶部21,21に予め記憶している接続情報、ユーザ認証情報、機器認証情報及び暗号鍵情報の少なくとも一部を同一又は対応させて共有化させることが必要であり、このための情報の同期を、この情報更新部32hによって行う。また、この情報の同期は、通信装置2と管理装置3との間でも必要であるため、この同期処理も情報更新部32hによって実行する。
【0123】
ちなみに、この情報更新部32hは、新たなユーザやグループや会社情報も登録可能である。具体的には、情報更新部32hは、管理対象になっている各通信装置2又は互いが通信対象になっている通信装置2A,2Bのそれぞれ記憶部21におけるユーザ認証情報格納部21b、機器認証情報格納部21cの仮のユーザの情報、会社情報又はグループ情報を、確定後にグループ管理責任者より申請された実データに置換える。より具体的には、情報更新部32hは、実データを共通鍵又は公開鍵で暗号化し、通信回線を介して各通信装置2に一斉に送信する。また、各通信装置2の機器認証情報格納部21cへのユーザ情報の登録では、そのユーザの「状態」を有効(1)に切換える処理を併せて行う一方で、ユーザ情報の削除では、そのユーザの「状態」を一時無効(0)或いは永久無効(000)に切換える処理を行う。このようにして、無効に切換えられたユーザは上述した仮のユーザとなり、永久無効(000)に切換えられたユーザは不可逆の無効ユーザとなる。
【0124】
なお、この情報更新部32hを用いて、送信側通信装置2Aと、受信側通信装置2Bとの間の通信経路に、一又は複数の通信装置2をさらに介在させるようにしても良い。この場合には、通信経路上の受信すべき通信装置のIPアドレスのリストを送信データに含ませておき、各通信装置がデータを受信したら、IPアドレスを次の通信装置宛てに書き換えて、送信することを繰り返せば良い。この場合にも、互いに相互接続される通信装置2,2同士の間の通信を上述した形態と同様の手法によって暗号化させる。
【0125】
上記復旧処理部32iは、自己の通信規制部22rによって通信が規制された状態の通信装置2に対して、この通信規制を解除する処理を実行する。ちなみに、管理装置3による前記復旧処理は通信の規制を解除してもよい状態が確認されてから実行する。
【0126】
次に、図14及び図15に基づき、本通信システムによってデータをやり取りする際の処理手順を説明する。
【0127】
図14は、本通信システムによってデータをやり取りする際のユーザ認証及び機器間認証の処理手順を示すフロー図である。まず、本通信システムの導入時に、通信装置2の提供者は、通信装置2及び管理装置3のCPUの秘匿領域に設定された記憶部21,31に秘匿化された通信に必要な情報を予め記憶させておく。この情報には、将来追加されるユーザやグループについての仮の情報も含まれる。予め秘匿化されて記憶される情報は、機器認証リスト21c1~21c4及び暗号鍵情報21d1~21d3である。また、本通信システムの利用に先立ち、情報端末7A,7Bのユーザは、通信装置2A,2BにユーザIDとパスワードを設定しておく。このユーザIDとパスワードも、記憶部21のユーザ認証情報格納部21bに記憶される。また、通信装置2は、パスワードをSHA-224、SHA-256、SHA-384、SHA-512等でハッシュ化すると共に、ユーザIDとハッシュ化されたパスワードとの組を通信装置2の記憶部21に記憶する。以上から明らかなように、ユーザが行う操作は、ユーザIDの入力とパスワードの設定のみとなる。なお、機器認証情報格納部31cの登録情報は、グループに登録されたユーザ全員が、秘匿すべきパスワード、暗号鍵又はそれらを生成するためのトリガー情報等の秘匿情報を除いて閲覧できるようにしている。
【0128】
次に機器間認証処理の一例を説明する。通信開始に際し、ユーザは、まず情報端末7を起動しユーザIDとパスワード又はそのハッシュデータを入力する。又は、GUIを起動し、送信側情報端末7Aを介してユーザIDとパスワード又はそのハッシュデータを入力する。送信側通信装置2Aは、記憶されているユーザID及びパスワード又はそのハッシュデータと入力されたユーザID及びパスワード又はそのハッシュデータとを照合し、両者が一致したら、ユーザ認証が成功したとして情報端末7又はGUIをログイン状態とする。なお、封筒を模したGUIには登録ユーザの一部の宛先情報が表示される。
【0129】
ユーザ認証が終了したら、次に送信側通信装置2Aは、管理装置3経由で受信側通信装置2Bとの間の機器間認証を行うため、相手先のユーザの機器ID及びパスワード(SHA-224、SHA-256、SHA-384、SHA-512等でハッシュ化したパスワード)を共通鍵又は管理装置3の公開鍵で暗号化して暗号鍵の切替えヘッダと共に管理装置3に送信する。管理装置3では、受信された機器ID及びパスワードを切替えヘッダで特定された共通鍵又は管理装置3の秘密鍵で復号し、機器認証情報格納部31cの登録情報に基づいて送信者及び受信者の機器間認証を行い、受信側通信装置2Bに認証結果を送信する。
【0130】
受信側通信装置2Bでは、管理装置3からの認証結果を受けて、送信側通信装置2Aの認証を行う。この認証は、上述したように、VPN接続と同様の手続で行うことができる。例えば、送信側通信装置2Aと受信側通信装置2Bとの間で、認証に必要なメッセージと共通鍵とその切替えヘッダとを連結したデータをハッシュ化してメッセージ認証コード(HMAC)を生成し、メッセージとメッセージ認証コードとを送受信する。送信側通信装置2Aと受信側送信装置2Bとで、共通のハッシュプログラムを有しており、受信したメッセージから生成されたメッセージ認証コードと受信したメッセージ認証コードとを照合して、両者が一致したら機器間認証が成功したとする。なお、共通のハッシュプログラムを切り替えて使用する場合には、ハッシュプログラムの切替えヘッダも送信する。
【0131】
本通信システムでは、上述した手法によって、予め、2つの通信装置2A,2Bの間で暗号化通信を確立させておき、その通信状態を保持する。また、必要に応じて、各通信装置2と管理装置3との間でも、暗号化通信が可能なコネクション状態を確立させておく。ちなみに、やり取り(送受信)の対象となる対象データは、文書データ、静止画データ、動画データ、音声、音楽、メールデータ、FTPデータの他、センシングデータ、機械制御又はシーケンス制御のプログラムやコマンド、データ等、種々のものが想定される。
【0132】
また、ユーザは、機器認証情報格納部21c及び暗号鍵情報格納部21dに記憶された機器IDのパスワード及び暗号鍵を適宜のタイミングで変更することができ、その場合には、情報更新部32hによって、通信装置2,2間や、通信装置2Aと管理装置3との間で、切替えヘッダを送信することで、リアルタイムに共有化させることも可能である。すなわち、同一グループの通信装置2,2同士の機器間認証に関わるデータテーブルでの変更は可能である。また、データテーブルでの変更の他、暗号鍵提供部22c及びパスワード提供部22dを用いて、ワンタイムパスワードやワンタイム暗号鍵を生成し、これらを共通鍵などで送信することにより、同一グループ内で共有することもできる。更には、メモリカードに記憶させて更新されたパスワード及び暗号鍵を郵送・運送便にて配送することも可能である。
【0133】
次に、図15を参照して、認証後のデータの暗号化通信手順について説明する。
最初に、送信側情報端末7Aが、送信側通信装置2Aの入出力部22gを介して、対象データを、該送信側通信装置2Aに渡す(S101)。
送信側通信装置2Aは、この対象データをデータ受取部22hによって受取り(S102)、受取った対象データを、暗号化部22aによって暗号化する(S103)。具体的には、送信側通信装置2Aは、例えば対象データのデータ本文に付加される通信制御、認証及び暗号化のための情報等を含むヘッダ情報部分は、受信側通信装置2Bの公開鍵で暗号化し、データ本文は共通鍵で暗号化する。このとき、ヘッダ情報部分には、共通鍵及び受信側通信装置2Bの公開鍵の切替えヘッダも含めておく。
【0134】
この暗号化は機密レベルによって強度(重要度)が選択される。例えば、機密レベルが低い場合(例えば、「親展」の場合)には暗号化は実行せずに、再分割再配置処理のスクランブル処理のみを実行し、中程度の場合(例えば、「重要」の場合)には1回の暗号化を行い、高い場合(例えば、「機密」の場合)には、複数回暗号化を行う。複数回の暗号化の場合には、その内の1回は公開された公開鍵を用い、その他は秘匿化された秘密鍵を用いてもよいし、或いは暗号化アルゴリズムを異ならせてもよい。また、複数回の暗号化を行う場合には、暗号化したデータをさらに暗号化してもよいし、或いは、再分割再配列のスクランブル処理を用い、上述のように各分割データのそれぞれに対して、同一又は異なるアルゴリズム又は暗号鍵で暗号化を行ってもよい。なお、通信自体は暗号化されているため、S103において暗号化されない場合でも、平文をやり取りすることはない。
このようにして暗号化した対象データは、送信側通信装置2Aのデータ送信部22iによって、受信側通信装置2Bに送信される(S104)。
【0135】
受信側通信装置2Bは、この対象データをデータ受信部22kによって受信し(S105)、該受信した対象データを復号部22bによって復号する(S106)。具体的には、受信された対象データのヘッダ情報部分を秘密鍵で復号し、対象データの本体部分を共通鍵によって復号する。
ちなみに、この対象データの暗号化に用いる暗号鍵は、送信側通信装置2A及び受信側通信装置2Bの記憶部21の暗号鍵情報格納部21dに、共通データ又は対応データとして予め記憶されて共有化され、これらの情報を用いた設定も済ませているため、暗号化や復号に関わる導入時の各種設定も不要であるし、共通鍵や公開鍵の送受信も不要になる。
【0136】
また、必要に応じて、各通信装置2と管理装置3との間でも、対象データの暗号化・復号のために必要な秘匿情報を共有化してもよい。さらに、これらの情報を、上述した情報更新部32hによって、通信装置2,2間や、通信装置2Aと管理装置3との間で、リアルタイムで更新して共有化させることも可能である。
【0137】
なお、前述したように、機密レベルに応じて、複数回、暗号化・復号を行うが、機密レベルに応じてどのような暗号化を行うかに関する情報は復号を行う側でも把握しておくことが必要である。把握の方法としては、ヘッダ情報に暗号化した上で含ませるか、又は予め通信装置2に暗号化・復号の方法を定めておくことが考えられる。
【0138】
また、暗号化された対象データを復号する際は、その対象データの機密レベルに関する情報も必要になり、この情報は、送信側通信装置2Aと受信側通信装置2Bとの直接的又は間接的なやり取りの際にやり取りされる。具体的には、後述する図12及び図14のGUIを用いた操作時に、このやり取りが実行される。
このようにして復号された対象データは、受信側通信装置2Bのデータ配信部22lによって、該ユーザの受信側情報端末7Bに配信される(S107)。
【0139】
ただし、この配信は、対象データの閲覧期間内であって且つ閲覧回数の残りが0になっていない場合に限られ、それ以外の場合には、閲覧規制部22mによって配信が規制される。また、データ配信部22lは、対象データの閲覧可能回数が「無制限」になっている状態以外の場合(具体的には、有限の値が指定される場合)、配信の処理毎に、該対象データの閲覧回数を1減らす処理を行う。
【0140】
受信側情報端末7Bは、受信側通信装置2Bからの対象データを受取る(S108)。ちなみに、送信先が複数指定されている場合には、送信側通信装置2A側で対象データを送信先の数と同数生成し、この各対象データに対して暗号化(S103)以降の処理を実行する。
【0141】
なお、以上のような通信構造によれば、各通信装置2では、管理装置3は勿論、通信対象となる通信装置2も特定され、システム導入時から設定されているが、この接続構成を、前記情報更新部32hによって、リアルタイム更新可能としてもよい。この際には、各通信装置2及び管理装置3が接続リストのようなものを接続情報格納部21aに保持し、このリストを更新対象としてもよい。
【0142】
なお、上述した暗号化通信を、ワンタイムの暗号鍵で行う場合には、次のようにすれば良い。
送信側通信装置2Aがデータを受け取った後(S102)、パスワード提供部22dを起動して、ワンタイムパスワードを生成すると共に、受信側通信装置2Bに、暗号鍵提供部22cを起動するように要求する。ワンタイムパスワードは、ユーザのパスワードとは異なるもので、送信毎に新たなパスワードとして生成される。受信側通信装置2Bで生成される暗号鍵は、秘密鍵であり、この秘密鍵から公開鍵が生成される。続いて、生成された公開鍵が共通鍵により暗号化されて送信側通信装置2Aに送信される。送信側通信装置2Aでは、共通鍵によって受信側通信装置2Bの公開鍵を復号し、この復号した公開鍵で対象データを暗号化した後、暗号化された対象データをワンタイムパスワードによって開封制限する。そして、開封制限された対象データとワンタイムパスワードとを連結させたデータを共通鍵によって暗号化する。
【0143】
受信側通信装置2Bでは、受信された対象データを共通鍵によって復号し、復号されたデータからワンタイムパスワードを取り出して、対象データを開封する。更に開封された対象データのヘッダ情報部分を秘密鍵によって復号し、本文部分を共通鍵で復号する。
【0144】
また、暗号鍵提供部22cで、共通鍵を生成するようにしても良い。この場合には、共通鍵を公開鍵方式で暗号化して相手側に送信する。具体的には、次のような処理を行う。
(1)まず、各通信装置の公開鍵は、予めシステム管理者が全通信装置2に一斉に又は個別に送信又は設定しておく。なお、送信者は相手(受信者) の公開鍵を送信の度に取り寄せるようにしても良い。
(2)送信者は共通鍵を生成し、平文を共通鍵で暗号化する。共通鍵で暗号化しているので、暗号化に要する時間は短くて済む。
(3)送信者は生成した共通鍵を、相手(受信者)の通信装置2の公開鍵で暗号化する。共通鍵の長さは数十~数百ビット程度なので、遅い公開鍵方式で暗号化してもそれほど時間はかからない。
(4)送信者は暗号文と、公開鍵で暗号化した共通鍵を送信する。
(5)受信者は、受信した「公開鍵で暗号化した共通鍵」を秘密鍵で復号する。
(6)受信者は、受信した暗号文を、復号した共通鍵で復号する。これにより、平文を取り出すことができる。
【0145】
この場合、もしネットワークが盗聴されていたとして、盗聴者が手に入れられるものは、受信者の公開鍵、共通鍵で暗号化した平文、及び公開鍵で暗号化した共通鍵となる。公開鍵で暗号化されたデータは秘密鍵を使わないと復号できないので、盗聴者は共通鍵を手に入れることができない。共通鍵が手に入らなければ、平文を復号することはできない。
【0146】
次に、図16乃至図18に基づき、情報端末7に提供されるGUIの構成について説明する。
図16は、GUIの一種であるグループトップ画面の構成を説明する説明図である。ユーザは、情報端末7によって、通信装置2に対して、該ユーザのユーザID(又は該ユーザのe-mailアドレス)とパスワードを入力してログインすると、このユーザが所属しているグループが表示され、このグループ中から一のグループを選択すると、この図16に示すグループトップ画面71がGUIとして表示される。
【0147】
このグループトップ画面71には、そのグループに所属している一又は複数のユーザの名前(氏名)が機器認証情報格納部21cから取得されて一覧表示される共有メンバー表示部71aと、前記ログインしたユーザが該グループとして受信した対象データが対象データ格納部21fから取得されて一覧表示される操作(クリック操作)を行う受信データ表示操作部71b(表示は「受信BOX」)と、前記ログインしたユーザが該グループとして送信した対象データが対象データ格納部21fから取得されて一覧表示される操作(クリック操作)を行う送信データ表示操作部71c(表示は「送信BOX」)と、前記ログインしたユーザが該グループに所属している他の一又は複数のユーザに対して対象データを送信する送信画面72(図17参照)を表示させる操作(クリック操作)を行う送信画面表示操作部71d(表示は「新規封筒」)とが設けられている。ちなみに、ユーザの情報では、個人の特定を避けるため、略称や愛称やハンドルネームでの表示としてもよい。
【0148】
図17は、GUIの一種である送信画面の構成を説明する説明図である。送信画面72は、対象データ格納部21fの「件名」(表示は「封筒名」)を入力する件名入力部72aと、対象データ格納部21fの「閲覧期間」を入力する閲覧期間入力部72bと、対象データ格納部21fの「機密レベル」(表示は「送信レベル」)を入力(図示する例では、「親展」のラジオボックスと「重要」のラジオボックスと「機密」のラジオボックスの何れかを選択)する機密レベル入力部72cと、対象データ格納部21fの「閲覧可能回数」を入力(図示する例では、閲覧可能回数を1回にするチェックボックスがあり、そこへのチェックの有無によって1回か無制限かを選択)する閲覧可能回数入力部72dと、対象データ格納部21fの「受信者」(表示は「宛先」)を指定(図示する例では、グループに所属するユーザが一覧表示され、その各ユーザのチェックボックスによって、送信先となる受信者の選択)する宛先指定部72eと、対象データの本体データ(表示は「ファイル」)を一又は複数指定する送信ファイル指定部72fと、対象データ格納部21fの「コメント」を入力するコメント入力部72gとを有している。ちなみに、上記閲覧回数の指定は任意の回数を入力するようにしてもよい。
【0149】
図18は、対象データ表示画面の構成を説明する説明図である。この対象データ表示画面73は、対象データの内容が表示され、前記送信画面72と同一の画面に表示されてGUIの一部を構成する。
具体的には、この対象データ表示画面73は、郵送物である封筒を模したものであり、対象データ格納部21fの「件名」(図示する例では「封筒名」)が表示される件名表示部73aと、対象データ格納部21fの「送信者」の名前(氏名)が表示される送信者表示部73bと、対象データ格納部21fの「送信日時」が表示される送信日時表示部73cと、対象データ格納部21fの「機密レベル」(表示は「送信レベル」)が表示される機密レベル表示部73dと、対象データ格納部21fの「閲覧回数」が表示される閲覧回数表示部73eと、対象データ格納部21fの「受信者」(宛先となるユーザ)が氏名、略称又はハンドルネーム等で一覧表示される送信先表示部73fと、対象データの一又は複数の本体データのファイル名等が送信ファイルとして一覧表示される送信ファイル表示部73gと、対象データ格納部21fの「コメント」が表示されるコメント表示部73hと、対象データを送信するために切手を模した画像をこの位置にドラックしてペーストした場合に該対象データを送信(渡すことが)可能な状態になる送信可能状態切替部73iと、対象データのやり取りを行うユーザが所属するグループのコード(例えば、グループ情報格納部21dの「グループID」等)を表示するコード表示部73jとを有している。
【0150】
なお、この対象データ表示画面73では、郵送物の他、伝票を模した画面としてもよく、郵送物を模した画面と伝票を模した画面とを選択するようにしてもよい。この他、上述の例では、縦長の郵送物も模した画面としたが、これを横長の郵送物としてもよいし、縦長の郵送物を模した画面と、横長の郵送物を模した画面と、伝票を模した画面とから一の画面を選択するようにしてもよい。
ちなみに、未定の情報は、ブランクで表示される。例えば、送信日時は、送信画面72に入力している段階では未定であるため、“****”又はブランクの表示になる。
【0151】
また、送信可能状態切替部73iに切手を模した画像を前述のようにしてペーストした場合、上記した送信画面72において、送信ボタン72hが表示され、この送信ボタン72hをクリックすると、送信側情報端末7Aからの対象データの送信(渡し処理)が実際に実行される。
【0152】
さらに、このグループトップ画面71において受信した複数の対象データの一覧から一の対象データを選択した際、或いは送信した複数の対象データの一覧から一の対象データを選択した際にも、この対象データ表示画面73が表示され、この際には、送信日時にも実際の日時が表示される。
【0153】
受信した対象データの確認時には、上記対象データ表示画面73に、受信者の閲覧履歴が表示される閲覧履歴表示部73kも表示される。なお、送信した対象データの確認時にも、この閲覧履歴表示部73kを表示させることが可能であるが、このためには、送信側通信装置2Aと、受信側通信装置2Bとで、対象データ格納部21fに格納された情報の同期をとっておく必要があり、この同期処理は、上述した情報更新部32hによって実行してもよい。
なお、図17及び図18に示すGUIは、グループ毎に専用のインターフェースとして設けてもよい。この場合には、グループによって、GUIが変わるため、間違いが無く、利便性が高い。
【0154】
以上のように構成される通信システムによれば、直感的に理解しやすいGUIによって、ユーザ間では、複雑なアルゴリズムを意識することなく、高いセキュリティが確保された状態で、対象データのやり取りを行うことが可能になる。
【0155】
特に、ユーザ認証及び機器間認証という複数要素によって認証を行っているため、高いセキュリティを維持して、簡単にデータをやり取りすることが可能になる。さらに多数の要素の認証(多要素認証)を行ってもよい。例えば、GPSセンサ25によって取得される位置情報による認証要素をさらに加えてもよい。具体的には、通信装置2が本来設置されている場所にないことがGPSセンサ25によって検出された場合には、ユーザ認証によるアクセスを拒否するか、或いは機器間認証による機器間接続を拒否する。また、国内や外国への出張等、出張先の地域や国の位置情報を、ユーザ認証の一環として使用し、許諾された地域にない場合に対処するなどしても良い。
【0156】
また、対象データの暗号化及び復号の際にも、複数の暗号化処理を重複的に行う複数要素の暗号化を行っている。具体的には、ユーザが情報端末7AからGUIを利用して行う暗号化と、機器間通信の暗号化とを用いている。
【0157】
また、事前の情報共有やそれに伴う事前設定によって、導入時の手間も軽減されるため、種々の業界に本通信システムが導入可能になる。例えば、顧客とデザイン会社と印刷会社との間でのデータのやり取りや、顧客とデザイン会社と雑誌社又は新聞社と印刷会社又は新聞工場との間でのデータのやり取りに用いることも可能である。
【0158】
また、守秘義務があり機密情報を扱うことが多い特許業界やその他の法務又は財務において、そして図面データや翻訳データ又はその他の秘匿情報のやり取りを行う場合、又は海外とのデータのやり取りを行う場合にも利用可能である。
【0159】
さらに、デジタルカメラやスマートフォンの内蔵カメラに情報端末7をモジュールとして組込んで、複数のカメラ間で撮影したデータを互いに共有化させることや、PCを経由して撮影したデータを互いに共有化させることや、これを用いてネットワーク回線の帯域を確保した状態での電話、ネット会議又はテレビ会議システム、ネットショッピングシステム等のコミュニケーションに適用することも可能になる。ちなみに、このような場合、データ受取部22hにデータを渡す処理はアプリケーション等によって自動的に行う必要がある。
【0160】
また、前述の一例で、テレビ会議用のカメラやマイクで取得した静止画データ、動画データ又は音声データや、監視用のカメラで撮影した静止画データ又は動画データを、対象データとすることも可能である。このカメラやマイクに情報端末7A,7Bを組み込んでもよい。例えば、監視カメラの場合、次のように認証を行う。まず、監視カメラを通信装置2経由で、例えば5G(5th Generation)仕様の外部ネットワーク1(インターネット)に接続する。ユーザは、自分の情報端末7(パソコン)にユーザIDとパスワードを用いてアクセスして、監視カメラ用の伝票GUIから登録してある監視カメラのIDを選択することで、自分の情報端末7に接続された通信装置2が、管理装置3を介して、監視カメラの通信装置2に対して機器認証を行う。認証が正常に行われたら、自分の情報端末7で監視カメラの映像を見たり、録画することが出来る。
【0161】
また、印刷機毎に出力が異なる色情報を統一化させるために色変換を行うエンジンと共に、色管理部門と印刷工場などとのセキュリティ通信として用いることもできる。さらに、センシング情報の共有化やリモート制御等を念頭において、自動車メーカーの情報管理センターや、国の専門組織である(公安委員会が管轄する警察本部の)交通管制センターと自動車の制御装置とのデータ通信において暗号化通信に適用することも可能である。この場合にも前述の適用例と同様にデータ受取部22hにデータを渡す処理はアプリケーション等によって自動的に行う必要がある。また、信号機を制御・管理する交通管制センターと自動車との通信、本通信システムを用いてもよい。さらにまた、自動車の自動運転での操縦管理情報や異常運転情報及び道路や地域情報などをもとに、道路管理法人等の情報管理センター等が、運転者に注意を促したり、安全な運転のための情報を提供したり、又は自動車運転機器へデータ提供を安全に行ったりしても良い。
【0162】
また、本通信システムは、官公庁、自治体間でのデータの送受信や、企業の支店同士の間、支店と本店の間でのデータの送受信や、企業内のプロジェクトメンバー間でのデータの送受信や、医療施設内での電子カルテの送受信や、広域な範囲での電子カルテや機密情報や共同デザイン案等の重要情報の送受信や、オンラインの原稿入稿や、電子私書箱サービス等に用いることも可能である。
【0163】
この他、建築プロジェクトにおいて、基本設計から、建築部材の調達、仕入れ原価管理、現場施行の人員手配、施工進捗状況、クレーム共有情報、法的提出書類など、複数の企業の複数のグループでの情報管理の下で建設が遂行される。この建築プロジェクト内の情報を秘匿しながら、情報管理に不慣れな担当者であっても、セキュリティ管理を意識せずに、情報の伝達を安全に行うことができる。
【0164】
さらに、この通信装置2は金庫のような重量物に連結して、物理的な盗難を防止してもよい。
【0165】
なお、本通信システムにおいて、少なくとも一の通信装置2には、管理装置3の情報更新部32h及び復旧処理部32iと同一又は略同一構成の情報更新部(図示しない)及び復旧処理部(図示しない)を設けてもよい。これによって管理装置3を省略することが可能になる。
【0166】
ただし、この場合には、この通信装置2にアクセスするユーザが、該通信装置2に対して各種設定等の管理の権限を有する管理者であるか、或いは、該管理の権限を有さない一般ユーザであるかを区別する必要がある。このため、通信装置2の記憶部21における機器認証情報格納部21cに設定された「権限」のフィールドには「グループ管理責任者」と入力され、一般ユーザの権限のフィールドには「ユーザ」と入力される。
【0167】
この他、一時的又は継続的に送受信可能又は送信のみ可能な「ゲスト送信ユーザ」や、一時的又は時限継続的に受信の可能な「ゲスト受信ユーザ」を設けてもよい。ゲスト送信ユーザ及びゲスト受信ユーザは、一時的に通信装置2にアクセスする権限を付与されたユーザである。ゲスト送信ユーザの前記権限のフィールドには「時限送信者」と入力され、ゲスト受信ユーザの前記権限のフィールドには「時限受信者」と入力される。このとき「ゲスト送信ユーザ」又は「ゲスト受信ユーザ」の登録は、通信装置2のユーザが、「グループ管理責任者」を経由して、システム管理者に電子申請することにより行われる。システム管理者は、「グループ管理責任者」及び当該通信装置2のユーザに許諾を通知するとともに、同じグループ内の全員のGUIへの登録も行い、「ゲスト送信ユーザ」又は「ゲスト受信ユーザ」に時限のパスワードを付与する。また、「ゲスト送信ユーザ」又は「ゲスト受信ユーザ」は、機器認証リストにも公開される。
【0168】
一方、管理装置3を省略しない場合でも、前記機器認証情報格納部21cには、管理者、一般ユーザ、ゲスト送信ユーザ及びゲスト受信ユーザの「時限権限」のフィールドを設けてもよい。この管理者には、さらに社内で送信や受信や情報更新等の許可を他のユーザに与える機能(組織内管理機能)を持たせてもよいし、或いは、このような特別権限を、「特別権限」のフィールドに別途入力可能とし、そのような特別権限を有するユーザを「特別ユーザ」としてユーザの種類を増やしもよい。
【0169】
このグループ管理責任者や特別ユーザの権限を有するユーザは、対象データの送信の許可、受信の許可、新たなグループの作成の許可、既存のグループへの新ユーザの登録の許可、該既存グループに登録されているユーザの削除の許可等を行う。対象データの送信又は受信の許可は、グループに所属するユーザ毎に行ってもよいし、或いはグループ全体に対して行ってもよい。
【0170】
また、上記ゲスト送信ユーザ又はゲスト受信ユーザの設定の際にも、一般ユーザ又はグループ管理責任者の許可が必要なようにしてもよい。
【0171】
また、図2に仮想線で示すように、通信装置2の本体に着脱可能に接続される外部記憶媒体又はトークンその他のカメラやスマートフォンやタブレット等の通信機能を有する情報端末等の接続機器28を設けてもよい。この接続機器28には、上述した接続情報格納部21a、ユーザ認証情報格納部21b、機器認証情報格納部21c及び暗号鍵情報格納部21dと同一又は略同一構成の接続情報格納部28a、ユーザ認証情報格納部28b、機器認証情報格納部28c及び暗号鍵情報格納部28dが設けられている。
【0172】
そして、接続情報格納部28a、ユーザ認証情報格納部28b、機器認証情報格納部28c及び暗号鍵情報格納部28dには、記憶部21に対して、追加・変更・削除された各種情報が含まれており、制御部22は、これらの追加・変更・削除情報に基づいて、事前の告知期間又は事後の報告期間等を設け、新たなユーザや、既存のユーザの権限その他の情報の変更・削除や、新たなグループや、既存のグループの情報変更や、新たな接続先の通信装置2の追加や、又は既存の通信装置2の接続情報の変更・削除等が認識可能になる。このため、管理装置3の情報更新部32hや通信装置2の情報更新部によることなく、各種情報の更新を、接続機器28の接続によって行うことが可能になるが、その更新は、上述した全ての情報を対象とすることも可能であるし、或いは一部の情報のみを対象としてもよい。また、上述のテーブル変更によって、これに対応することも可能であり、この場合にも、更新の対象とする情報を、全情報中の一部としてもよいし、或いは全てとしてもよい。
【0173】
このような機能を搭載することにより、ユーザ側の通信装置2の設定の手間が軽減された状態で、ユーザにより、ネットワーク構成やユーザ情報やグループ情報等を変更して更新することも可能になる。例えば、あるグループ中の一般ユーザ、ゲスト送信ユーザ又はゲスト受信ユーザが、一又は複数の新たなグループを独自に何時でも作成することが可能であり、この新しいグループ中で、このユーザが一般ユーザになるようなことも可能になる。
【0174】
ちなみに、一のグループに所属するユーザであって且つ該グループへの新たなユーザの追加の申請を行う権限を有するユーザを「グループ登録責任者」として定めておく。このグループ登録責任者は、管理装置3のシステム管理者から送信された公開鍵と共通鍵を使用して、システム管理者に電子申請する。システム管理者は、送られてきた申請書を管理装置3の内部で復号し、管理装置3を介して申請のあったグループの全通信装置2に対して、新たなユーザの機器ID及び氏名、及び「有効」に切り替えた状態を含む新たなユーザの追加情報や所属ユーザの削除の情報が反映された機器認証リストを送信する。この際、管理装置3のシステム管理者は、機器認証リストのハッシュデータを併せてグループの通信装置2に送信し、管理装置3の運用時に、機器認証リストを確認することにより、データの改竄を防止してもよい。
【0175】
次に、新たなユーザの追加、削除の具体的な登録方法について説明する。
まず、新たなユーザを追加する場合、グループ登録責任者は、システム管理者に新たなユーザの追加を電子申請する。電子申請されたシステム管理者は、新たなユーザの追加情報を、フィルタリングやウィルスチェックを行って、問題がなければ、管理装置3の機器認証リストに暗号処理をして登録する。併せてグループ内の全ユーザが、秘匿情報を除いて、更新された機器認証リストの少なくとも一部を閲覧できるようにする。封筒GUIにも一部の宛先情報として表示する。新規登録されたユーザが、ユーザIDとパスワードを自分の情報端末7に入力すると、通信装置2は、パスワードをハッシュ化し、これをユーザIDと共に記憶部21に記憶する。
【0176】
ユーザを削除する場合には、グループ登録責任者は、システム管理者にユーザの削除を電子申請する。システム管理者は、機器認証リストにおける申請されたユーザの情報のヘッダ情報を通信不可にして、年月日時と共に機器認証リストに変更を登録する。グループ内の全ユーザが、秘匿情報を除いて、更新された機器認証リストを閲覧できるようにする。封筒GUIも一部の宛先情報が更新されて表示される。永久欠番とする場合にも、個別の名前及び関連する情報のヘッダ情報を永久通信不可にする。
【0177】
次に、新規グループを追加する具体的な登録方法について説明する。
グループ内のユーザから、システム管理者に新たなグループ登録の電子申請を行う。電子申請には、通信装置2をグループ内の全ユーザが導入している旨の証明書も添付する。システム管理者は、電子申請されたグループの全ユーザの情報に対し、フィルタリングやウィルスチェックを行い、問題がなければ、新たなグループの情報を管理装置3の機器認証リストに登録する。登録は、仮のグループ及び仮のユーザをグループID及び機器IDを特定し、無効状態から有効状態に切り替えることにより行われる。一方、新規登録されたグループの各ユーザが、ユーザIDとパスワードを自分の情報端末7に設定のため入力すると、通信装置2は、パスワードをハッシュ化し、これを記憶部21のユーザ認証情報格納部21bに記憶する。グループ内の全ユーザが、秘匿情報を除いて、更新された機器認証リストを閲覧できるようにする。封筒GUIにも一部の宛先情報として表示する。
【0178】
管理装置3のシステム管理者は、この機器認証リストの更新情報、具体的には有効になったグループID及び機器IDを、このグループに新たに登録されたユーザも含め、該グループに所属する全ユーザに対して、暗号化した上で通知する。
なお、グループ登録責任者とは別に、該グループに所属するユーザであって且つ該グループの管理を行うユーザを、「グループ管理責任者」として定めてもよい。そして、グループへのユーザの追加、削除の情報が反映された機器認証リストを、グループ登録責任者とグループ管理責任者とで、ダブルチェックしてもよい。
【0179】
また、新たなグループを作成するのと同じ要領で、通信装置2の追加を、管理装置3のシステム管理者に申請することも可能である。この申請中には、グループを構成する主なユーザの会社、部署名、住所、氏名、通称名、連絡先の情報が含まれる。
また、グループ管理責任者や、グループ登録責任者や、それ以外のユーザは、同種の通信装置2を所有するユーザに対して、新しいグループに所属することを呼びかけることも可能であり、この際には、ゲストIDやワンタイムパスワード等を利用して、互いの通信装置2へのアクセスを行う。
【0180】
この新しいグループの追加、グループ内のユーザの追加、或いはこれらの申請の作業をシステム管理者から追加情報を設定済みで提供される接続機器28の着脱のみによって行うこともできる。そして、このような変更を繰返すことにより、ネットワーク構造の拡張性や、ユーザ及びグループ構成に冗長性を持たせることが可能になる。
この接続機器28には、通信装置2の制御部22やネットワークインターフェース23,24や、各種情報検出センサ25,26,27を設けてもよく、この場合には、通信装置2が故障した際のバックアップとして用いることが可能になる。そして、この接続機器28の制御部は、GPSセンサによって自己の位置を取得し、この位置がある範囲内(ゾーン)に収まっていなければ、本来の場所に設置されていないものと判断し、異常判定部22qによって異常である旨を判定する。また、自己が保持するタイマーによって、本来の使用時間以外での使用を検出した場合に、異常判定部22qによって異常と判断してもよい。さらに、接続機器28を正当に使用する者であるか否かを判断するため、その者に対して、パスワード、指紋や静脈等の生体認証、顔認証、音声認証などを要求してもよい。
【0181】
さらに、通信装置2と管理装置3との間、或いは通信装置2,2同士の間での通信によってやり取りするデータ中には、本来のデータ(例えば対象データ等であり、以下、「真データ」)の他に、ダミーの情報(以下、「偽データ」)を適宜含ませてもよい。この偽データを真データと区別できない状態で、上記やり取りするデータ中に含めることは容易であり、これによってセキュリティを向上させる。
【0182】
そして、このような高いセキュリティを保持した通信システムを用いれば、上記やり取りするデータ中に、IoTデバイスを制御するためのセンシング情報又はシーケンス制御情報を含めることも可能である他、機器から収集した情報や、機器の制御のための情報であるM2Mの情報を含めることも可能になる。IoTの情報又はM2Mの情報を含められれば、外部ネットワーク1を介したセンシング情報の共有や、機械制御が容易に実現できる。そしてIoT機器或いはM2M機器のCPU内に秘匿エリアを設けて、本通信システムの秘匿情報を記憶させて運用するとさらなる安全性が確保できる。
【0183】
例えば、情報端末7を内蔵し且つ通信装置2に接続又は通信装置2を内蔵したIoTデバイスとの情報のやり取りによって、テレオペレーション等の遠隔操作等も実現できる。詳しく説明すると、ネットワーク1を介して、情報端末7を内蔵した操作機器(制御機器)と、情報端末7を内蔵した作動機器とが接続され、操作機器及び作動機器は通信装置2,2もそれぞれ内蔵又は接続され、それぞれIoTデバイス、M2Mデバイスとして機能し、相互通信によって、互いのセンシング情報やシーケンス情報を共有する。このため、操作機器及び作動機器は、夫々、通信装置2のデータ受取部22h及びデータ配信部22lとのデータのやり取を行うことが可能なように構成されている。
【0184】
ユーザは、自分のセンサやカメラ情報を連続的に取得するデータ取得用パソコン又は携帯端末を情報端末2に、ユーザIDとパスワードでアクセスする。例えばIoT用の伝票GUI又はIoT通信接続画面から、予め登録してある単数又は複数のIoT機器のIDを選択することで、自分のIoT用パソコン又は携帯端末に接続された或いは一体化した通信装置2或いは、管理装置3又は携帯端末内に一体化したSIMカードに組み込んだ管理装置機能を介して、IoT機器に接続された単数又は複数の通信装置2に対して機器認証を行う。具体的な認証手続については、上述した通りである。認証が正常に行われたら、自分のIoT用パソコン又は携帯端末で連続的にデータ取得を行い、必要な時はデータ保存する。
【0185】
また、通信装置2と管理装置3との間、或いは通信装置2,2同士の間での通信によってやり取りするデータに対して、送信する側又は受信する側の通信装置2又は管理装置3によってウィルスチェックを行い、ウィルスが検知された場合には、データ自体を破棄するか、或いは、データ中からのウィルスの削除を行う。さらにウィルスチェックを行った通信装置2又は管理装置3は、上記ウィルスを削除したデータを、送信元に返信するか、或いは送信元にウィルスの存在を報知してもよい。この他、このウィルスチェックやウィルスの削除は、専用の監視サーバを国内又は海外に設け、この専用のサーバでその処理を行うだけでなく、ウィルスチェック専用のサービス会社にその処理を担当させることも可能である。この他、国内又は海外の既存のウィルスチェック用のサーバに処理を渡し、処理を軽減させてもよい。また、このウィルス処理やその他の上述したような処理の負担軽減のため、管理装置3を複数設け、各種処理を分担させてもよい。
【0186】
また、異常判定部22qによって異常と判断された場合の復旧手順は、管理装置3から行われる例を説明したが、本通信システム全体によって、この復旧作業を行うことも可能である。具体的には、上記異常の判断がされた場合、同一グループを管理している全ての通信装置2に対して異常の発生を報知する。その後、異常状態を回復させる際には、異常が発生した通信装置2の認証されたユーザが、管理装置3のシステム管理者や該ユーザの上司等のグループ管理責任者に許諾を貰い、この許諾情報を接続機器28やシステム管理者又はグループ管理責任者の生体認証等の個人認証によって確認し、この確認が取れた後に、復旧作業を実行する。
【0187】
また、管理装置3を経由した通信を行っている際に上記異常判定がされ、これを復旧させる場合には、本通信システムのネットワーク管理者は、復旧を認める場合には、接続機器28や生体認証等の個人認証によって、その意思を示し、この意思が確認されると、前記異常が発生した通信装置2の認証されたユーザは、管理装置3の管理者権限を持つシステム管理者に対して、復旧を求める申請情報を送る。管理装置3のシステム管理者は、前記申請書を受取ると、その通信装置2の復旧作業を行い、その旨をその通信装置2に記憶されたグループと同一のグループの情報を有する全ての通信装置2に対して通知する。
【0188】
また、一般ユーザが情報端末7を用い、上述のGUIによって暗号化した対象データを、通信装置2の記憶部21に記憶させた場合、この対象データへのアクセス権限は、該暗号化を行った一般ユーザや、その対象データを受信する一般ユーザに限定され、管理者でも閲覧できないように制限を加えてもよい。
また、この機器間通信では、データの改竄を防止するため、ハッシュデータを利用してもよい。例えば、対象データとそのハッシュデータや、宛先の情報とそのハッシュデータなどを用いる。
【0189】
さらに、通信装置2には、汎用PC機器や、通信プログラムに記憶した記憶装置又は記憶カードを搭載した汎用通信端末を用いてもよい。
【0190】
また、本例では、一のグループ内、該グループに所属するユーザの間でデータ交換を行うことが可能であるが、このグループを利用するためのグループ認証を行わせてもよい。具体的には、一のグループの所属するユーザの特定の一部又は全部の情報を入力させ、正しい情報が入力された場合のみ、このグループを利用した通信が可能になるようにしてもよい。ちなみに、グループ内のユーザの数が多い場合には、そのグループ内で、国、地域、年代、男女、趣味などの属性で、ユーザを分類し、サブグループのようなものを作ってもよい。
【0191】
また、上述したで伝票を模したGUIは、ネットショッピング等における伝票入力の際にも利用可能である。具体的には、以前に入力した情報中から同一と思われる情報(例えば、購入者の情報)は記憶されたデータから自動的に出力され、購入年月日やサービス名や商品名や単価や合計金額等だけを新たに入力させるようにすると便利である。
【0192】
また、本通信システムは、音声データを対象データとして、秘匿通話にも適用可能となる。具体的には、電話アプリをインストールした2台の情報端末7,7の間に2台の通信装置2,2を介在させ、この2台の通信装置2,2の間での機器間通信ではストリーミング暗号をかけ、2台又は3台以上の情報端末7,7の間の送受信する音声データの暗号化を行う。
【0193】
また、本通信システムは秘匿メールにも活用可能である。具体的には、グループ毎に専用の封筒等のGUIを用い、メール本文や添付ファイルなどの対象データを暗号化するとともに、対象データの一部又は全部に対して可逆処理が可能なデータの細分割スクランブル処理や色変換処理のマスキング処理を行い、このデータを、機器間通信を介して送受信してもよい。
【0194】
さらに、本通信システムは、電子カルテにも適用可能である。具体的には、電子カルテの個人情報に相当する部分をマスキング処理し、外部ネットワーク1に接続されたクラウドサーバに保存し、閲覧が必要な場合には、通信装置2を介して閲覧や追記や変更や削除を行う。
【0195】
また、忘れ物防止対策として、この通信システムを活用することも可能である。例えば、GPSセンサ端末を、送信側情報端末7Aとし且つ携帯型の送信側通信装置2Aと無線通信可能とし、ユーザのバッグ等の所有物に保持させる。ユーザの所有するスマートフォンによって、該ユーザのGPS位置情報は常にクラウドサーバ等に送信されており、送信側情報端末7Aから送信側通信装置2Aを介して送信されてくるGPS位置情報と、ユーザのGPS位置情報とが不一致になった場合には、前記所有物がユーザのもとから離れたものとして、これを通知してもよい。
【0196】
送信側情報端末7A又は情報端末機能を持つIoT機器に、地震センサや、監視カメラや、バイタルチェックセンサや、測定機や、その他のセンサを組込み、撮影データやセンシング情報を、2つの通信装置2,2の間又は該IoT機器の間で暗号化及び復号させ、受信側情報端末7Bに送信してもよい。そして、撮影データやセンシングデータに異常が発生した場合には、異常の通知を行う。この異常の通知は、送信側情報端末7Aから発信してもよいし、或いは受信側情報端末7Bから発信させてもよい。さらに、必要に応じて、データのマスキング処理を行い、一部の情報を秘匿化してもよい。
【0197】
ユーザのパソコンやスマートフォンを通信端末7とし、この通信端末7に、モジュール化されたICメモリやUSBメモリなどの通信装置2を装着し、オンライン銀行や、通販会社や、エスクローのサービスを提供する会社又は個人との情報の送受信を暗号化してもよい。また、エスクローのサービスを提供する会社と、通販会社とで、顧客情報を分割管理し、情報の漏洩防止対策をしてもよい。
【0198】
次に、本発明を適用した通信システムの他の実施形態について、上述の形態と異なる部分を説明する。
【0199】
上述した形態では、送信側通信装置2Aと受信側通信装置2Bとがグローバルネットワークを介して対象データを直接やり取りする例につき説明したが、その間に一又は複数の通信装置2又は一又は複数の管理装置3を介在させ、間接的に対象データをやり取りしてもよい。
【0200】
具体的には、送信側通信装置2A→通信装置2(又は管理装置3)→・・・→通信装置2(又は管理装置3)→受信側通信装置2Bと順次接続されるが、この場合に、隣接するもの同士は、夫々、互いに暗号化通信可能なように、同一又は対応するID,パスワード等の機器認証情報、及び暗号鍵又はこれらを生成するトリガー情報が、通信装置2の記憶部21や管理装置3の記憶部31のうち、例えばCPU内に設定された秘匿領域のような外部からアクセスできない記憶領域に、予め出荷時などにシステム管理者によって設定・記憶され、提供される。なお、これらのユーザ情報及び秘匿情報は、予め複数の組を記憶しておき、一定のタイミング、又は所定のトリガー情報によって切り換えるようにしても良い。また、対象データのやり取りは、通信装置2のデータ送信部22i及びデータ受信部22k、或いは管理装置3に設けられた前記データ送信部22i及びデータ受信部22kと同一又は略同一構成のデータ送信部(図示しない)及びデータ受信部(図示しない)によって実行され、最終的に送信先、それまでの通信経路は、各通信装置2又は管理装置3が保持している。
【0201】
次に、本発明を適用した通信システムの他の実施形態について、上述の形態と異なる部分を説明する。
【0202】
図19は、他の実施形態に係る通信システムでの対象データのやり取りの処理手順を示すフロー図である。同図に示す実施形態では、管理装置3に、前記データ受取部22h、データ配信部22l及び閲覧規制部22mと同一又は略同一構成のデータ受取部(図示しない)、データ配信部(図示しない)及び閲覧規制部(図示しない)を設け、各通信装置2には、管理装置3への対象データの中継を行う中継データ受信部22t及び中継データ送信部22uを設けている。
【0203】
本通信システムでは、上述した手法によって、予め、送信側通信装置2Aと管理装置3との間、管理装置3と受信側通信装置2Bとの間で、それぞれ暗号化通信を確立させておき、その通信状態を保持する。この通信状態によって、送信側情報端末7A及び受信側情報端末7Bから通常はアクセスできない管理装置3にアクセス可能になる。そして、上述した図16乃至図18に示すようなGUIを、管理装置3の記憶部31から入出力部32gを介して提供することが可能になる。
【0204】
ちなみに、送信側通信装置2Aと管理装置3との間、管理装置3と受信側通信装置2Bとの間では、機器間認証を行うためのID又はパスワード、暗号化及び復号を行うための暗号鍵、或いは、これらを生成するトリガー情報が共有化されている。ところで、該構成では、管理装置3に情報が集中するため、情報漏洩の対策を十分に施す必要があり、個人特定情報等の管理はさらに厳格に行う。具体的には、管理装置3にアクセスする際に、指紋認証や音声認証や顔認証等の個人を特定可能な認証を行い、そのアクセスログも記憶しておく。また、この管理装置3から本通信システムを利用しているユーザの情報端末7に対してメンテナンス情報やグループ変更情報や利用料等のメッセージを送るようにしてもよい。さらに、管理装置3から広告情報又はアンケート情報等を送信しても良い。また、接続情報が管理装置3に集中することに鑑みて、管理装置3のデータをバックアップやミラーリングする一又は複数のファイルサーバ(図示しない)を別途設けてもよい。
【0205】
データの送受信の際には、最初に、送信側情報端末7Aが、管理装置3の入出力部32gを介して、対象データを、該管理装置3に渡す(S201)。
【0206】
送信側通信装置2Aは、この管理装置3に向って送られた対象データを、中継データ受信部22tによって強制的に受信し(S202)、該受信した対象データを暗号化部22aによって暗号化し(S203)、該暗号化した対象データを中継データ送信部22uによって管理装置3に送信する(S204)。
【0207】
管理装置3は、データ受取部によって、この暗号化されたデータを受取り(S205)、管理装置3の復号部32bによって復号する(S206)。この送信側通信装置2Aと管理装置3との間では、機器間認証を行うための機器認証リスト(機器ID及びパスワード等)、暗号化及び復号を行うための暗号鍵、或いは、これらを生成するためのトリガー情報が記憶部21,31に予め記憶されて共有化されている。なお、管理装置3によって復号する対象となるデータは全てではなく、転送に必要な最低限のもの(例えば機器認証のためのヘッダ情報のみ)に絞ってもよい他、対象データは、まったく復号せずに、転送に必要なヘッダ情報を送信側通信装置2Aから別途受取ってもよい。これによって管理装置3側で、対象データを確認することができなくなるため、管理装置3側からのデータの漏洩が防止され、セキュリティがさらに高まる。
【0208】
管理装置3は、復号された対象データに対して、受信者に指定されたユーザの受信側情報端末7Bからの受信要求があり且つ該管理装置3の閲覧規制部による規制を受けない状態になった場合、該管理装置3の暗号化部によって暗号化し(S207)、その暗号化した対象データを、該管理装置3のデータ配信部によって該受信側情報端末7B側に配置された受信側通信装置2Bに配信する(S208)。なお、前述した通り、対象データの全てを復号していない場合には、そのデータをそのまま受信側通信装置2Bに送る。
【0209】
受信側通信装置2Bは、配信されてきた対象データを、中継データ受信部22tによって受信し(S209)、この受信した対象データを、該受信側通信装置2Bの復号部22bによって復号する(S210)。この管理装置3と受信側通信装置2Bとの間では、この暗号化及び復号を行うためのID、パスワード、暗号鍵又はこれらを生成するためのトリガー情報が記憶部21,31に予め記憶されて共有化されている。
【0210】
この受信側通信装置2Bは、上記復号した対象データを、中継データ送信部22uによって、前記受信側情報端末7Bに送信する(S211)。該受信側情報端末7Bは、この送信されてきた対象データを受取る(S212)。
【0211】
以上のように構成される通信システムによれば、各通信装置2は、管理装置3への接続情報や、暗号化或いは認証のための秘匿情報の共有化を行えばよく、管理装置3側でこれらの情報を一元化して管理できる。また、ユーザ情報やグループ情報や会社情報も同様である。ちなみに、情報端末7は、管理装置3との間で情報のやり取りを行っているにもかかわらず、その間の情報は、通信装置2によって自動的に中継され、暗号化されるため、ユーザの煩わしさが殆どない。
【0212】
ちなみに、図14及び図15に示す例では、通信装置2と管理装置3とは機器間接続を常時させておくことは必須ではなく、両者の接続を初回の通信時に限定することも可能である。これに対し、図19に示す形態では、通信装置2と管理装置3とを常時接続させておくことが望ましい。
【0213】
なお、送信側通信装置2Aと管理装置3との間や、管理装置3と受信側通信装置2Bとの間に、一又は複数の別の通信装置2又は管理装置3を、上述した手法により介在させることも可能である。
【0214】
また、この管理装置3は、全てのデータを中継し、上述した形態の送信側通信装置2A及び受信側通信装置2Bの機能も一部で兼用された機能を有することから、クラウドサーバとして機能させることも可能である。
【0215】
さらに、ユーザが情報端末7によって通信装置2への接続を試みると、管理装置3側に接続されるように該通信装置2を構成してもよい。この場合、ユーザは、管理装置3を意識せずに、該管理装置3を介したデータのやり取りを行うことが可能になる。
【0216】
また、管理装置3での復号の処理(S206)及び暗号化の処理(S207)を省略して、処理を軽減させてもよい。この場合には、対象データを配信する受信側通信装置2B及び受信側情報端末7Bの情報を、送信側通信装置2A又は送信側情報端末7Aから直接的に取得しておく。
【0217】
また、送信側情報端末7Aから管理装置3へのアクセスに際しては、まず、この送信側情報端末7Aが送信側通信装置2Aにアクセスし、該送信側通信装置2Aが管理装置3へアクセスする。同様にして、受信側情報端末7Bから管理装置3へのアクセスに際しても、まず、この受信側情報端末7Bが受信側通信装置2Bにアクセスし、該受信側通信装置2Bが管理装置3へアクセスする。
【0218】
次に、本発明を適用した通信システムの他の実施形態について、上述の形態と異なる部分を説明する。
【0219】
図20は本発明の他の実施形態に係る通信システムの概要を説明する説明図である。同図に示す例では内部ネットワーク6内に、情報端末7の通信装置2との通信を中継する中継端末8を設け、この中継端末8には中継経路の情報が中継テーブル8aとして保持されている。
【0220】
そして、一の内部ネットワーク6内の中継端末8は、他の内部ネットワーク6内の中継端末8と接続回線9によって接続され、該一の内部ネットワーク6側の通信装置2が故障した際には、該一の内部ネットワーク側の情報端末7は、他の内部ネットワーク側の通信装置2を代替として利用できる。この中継経路の追加、変更又は削除等は、システム管理者の管理装置3や、各グループのグループ管理責任者の情報端末7等からの指示により、前記中継端末8の中継テーブル8aへの情報の追加、変更又は削除等によって行う。
【0221】
なお、一の内部ネットワーク6内の情報端末7と、他の内部ネットワーク6内の情報端末7とを接続回線9´によって接続させてもよい。
【0222】
さらに、この中継端末8は、情報端末7によって代替させることも可能である。
【0223】
次に、本発明を適用した通信システムの他の実施形態について、上述の形態と異なる部分を説明する。
【0224】
図21は本発明の他の実施形態に係るグループ構成の概要を説明する説明図である。本通信システムでは、外部の接続機器28や前述した更新の手法によって、新たなグループやユーザを追加可能であるが、これによって、冗長性に富んだ運用が可能になる。例えば、図21に示す例では、一のグループAをユーザaが作成し、グループA内に3人のユーザb、c、dを追加し、この3人のユーザb、c、dがそれぞれグループB,C,Dを作成し、さらにグループCに入れたユーザgがグループGを作成している。
【0225】
このように連鎖的にグループやユーザを追加していくことにより、冗長性が高い運用を行うことが可能になる。すなわち、このようなグループ内での機器間通信によれば、専用のグループを誰でも自由に何時でも作成することが可能であるため、通信装置2には限定されながらも、安全性の高い専用の通信網を自由に追加、変更できる。
【0226】
次に、本発明を適用した通信システムの他の実施形態について、上述の形態と異なる部分を説明する。
【0227】
図22は、本発明の別実施形態に係る通信装置の構成を説明する説明図である。制御部22は、さらに、ハッキング防止手段22wを備えている。このハッキング防止手段22wは、通信時に用いるポートを定期的に変更したり、定期的にパスワードの変更をユーザに促したり、OSやソフトウェアを自動的にアップデートとして最新の状態に保持することにより、ハッキングを防止する。なお、このハッキング防止手段22wは、管理装置3の制御部32に設け、該管理装置3へのハッキングを防止してもよい。
【0228】
次に、本発明を適用した通信システムの他の実施形態について、上述の形態と異なる部分を説明する。
【0229】
図23は、本発明の別実施形態に係る通信システムの概要を説明する説明図である。同図に示す例では、情報端末7は、ユーザが操作するパソコン、スマートフォン及びタブレット端末、並びにIoT機器、M2M機器、カメラ、ロボット、遠隔操作機器、自動車、AI機器等の各種データを受発信する機器を含み、例えば通信装置2と無線通信可能なIoT端末、或いは、通信装置2と無線通信可能であって且つセンサによるセンシングを行うとともに機械制御される機器によって構成されている。通信装置2は、IoT機器、M2M機器、カメラ、ロボット、遠隔操作機器、AI機器等をコントロールするためのコマンドを送信して、これらの機器を制御するようにしても良い。
【0230】
通信装置2は複数設けられ、ネットワーク9を介して互いに通信可能に接続されている。ネットワーク9は、グローバルネットワークであってもよいし、プライベートネットワークであってもよいし、或いは、これらを組合せたネットワークであってもよい。
【0231】
一の情報端末7は、一組の通信装置2,2を介して、他の情報端末7と暗号通信可能である。これによって、全ての情報端末7のセンシング情報を共有化して、ビックデータとして活用することや、一の情報端末2が他の情報端末7からのセンシング情報を監視することや、或いは、該情報端末7を機械制御することが可能になる。
【0232】
このような構成によれば、M2Mを用いたロボット制御が可能になる。さらに、IoTを活用し、歩行者の位置情報を取得可能にした自動車と、車椅子利用者との協調制御も可能になる他、歩行者、自動車、車椅子、バス停、電車、駅、空港、公共施設、民間施設、信号機等との通信も可能になる。そして、これらを活用して、障害者のバイタルチェックを行って、異常時に通知することや、車椅子が危険エリアに侵入した際に、注意喚起を行うことや、その車椅子を座っている者のバイタルチェックを行って安全を確認すること等が可能になる。
【符号の説明】
【0233】
1 グローバルネットワーク
2 通信装置
2A 送信側通信装置(通信装置)
2B 受信側通信装置(通信装置)
21 記憶部
22 制御部
23 内向きネットワークインターフェース
24 外向きネットワークインターフェース
25 GPSセンサ(状態検出センサ,位置情報取得センサ)
26 加速度センサ(状態検出センサ)
27 ジャイロセンサ(状態検出センサ)
28 接続機器
3 管理装置
7 情報端末
7A 送信側情報端末
7B 受信側情報端末
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
図15
図16
図17
図18
図19
図20
図21
図22
図23
Copyright © 2010-2024 Science Impact Inc. All Rights Reserved.