JP2014164359A - 認証システム - Google Patents
認証システム Download PDFInfo
- Publication number
- JP2014164359A JP2014164359A JP2013032652A JP2013032652A JP2014164359A JP 2014164359 A JP2014164359 A JP 2014164359A JP 2013032652 A JP2013032652 A JP 2013032652A JP 2013032652 A JP2013032652 A JP 2013032652A JP 2014164359 A JP2014164359 A JP 2014164359A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- terminal
- personal
- information
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 claims abstract description 84
- 238000000034 method Methods 0.000 description 28
- 238000012545 processing Methods 0.000 description 13
- 230000006870 function Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 210000003462 vein Anatomy 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 210000000554 iris Anatomy 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000008571 general function Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 210000001747 pupil Anatomy 0.000 description 1
Images
Landscapes
- Telephonic Communication Services (AREA)
Abstract
【課題】
端末機の認証と、端末機の使用者の個人認証による二重認証によって、端末機の通信ネットワークに対するアクセス許可を発行する、通信ネットワークへの複数認証システムに関する。
【解決手段】
使用者が前記複数の端末機の一台を使用し、前記端末機は認証要求として前記端末機に保有する端末機認証用情報を前記端末機認証サーバに送信し、及び、認証要求毎に都度使用者から取得する個人認証用情報を認証要求として前記個人認証サーバに送信し、前記端末機認証サーバは認証結果を前記端末機に返信し、前記個人認証サーバは個人認証用情報を照合して認証結果を前記端末機に返信し、端末機認証サーバの認証結果及び個人認証サーバの認証結果の何れもが、認証を了承する場合に、前記端末機を前記通信ネットワークに接続許可をする。
【選択図】図1
端末機の認証と、端末機の使用者の個人認証による二重認証によって、端末機の通信ネットワークに対するアクセス許可を発行する、通信ネットワークへの複数認証システムに関する。
【解決手段】
使用者が前記複数の端末機の一台を使用し、前記端末機は認証要求として前記端末機に保有する端末機認証用情報を前記端末機認証サーバに送信し、及び、認証要求毎に都度使用者から取得する個人認証用情報を認証要求として前記個人認証サーバに送信し、前記端末機認証サーバは認証結果を前記端末機に返信し、前記個人認証サーバは個人認証用情報を照合して認証結果を前記端末機に返信し、端末機認証サーバの認証結果及び個人認証サーバの認証結果の何れもが、認証を了承する場合に、前記端末機を前記通信ネットワークに接続許可をする。
【選択図】図1
Description
本発明は、端末機が通信ネットワークにアクセスする際の認証処理において、端末機の認証と、端末機の使用者の個人認証による二重認証によって、端末機の通信ネットワークに対するアクセス許可を発行する、通信ネットワークへの複数認証システムに関する。
近年、個人認証の方法として、使用者の生体情報を鍵とした、生体情報認証の技術が使用されている。例えば、携帯電話機や、金融機関のATM(Automated Teller Machine)の機器に、指紋、静脈等を使用した個人認証が用いられている。
特許文献1は、顔による本人かどうかの認証を用いることによって、暗証番号の入力を行う必要をなくして操作性を向上させた携帯電話機に関する発明が開示されている。また、本人が使用している場合でも、条件を満たした場合には、ユーザ認証が働いて、自動的にユーザ認証の処理が起動し、使用している携帯電話機の顔認証によってこの携帯電話機の所有者本人か否かの判定が行われることにより、ユーザが、特別な操作を行わなくとも、通信の安全性が確保されることで、携帯電話機のセキュリティが向上する。
しかしながら、特許文献1は、端末機に対して、使用者を特定するための認証がほとんどであり、端末機が使用された結果、通信可能になる処理を行っていた。また、生体認証のための個人情報を端末機に保存しているため、端末機ごとに生体情報を登録する必要があり、その端末機ごとに準備時間と作業が必要であり、複数の端末機を用意する場合には、システム管理者には負担になっていた。また、端末機を紛失した場合には個人情報が流出する危険性があった。
そこで、本発明は、端末機が通信ネットワークにアクセス許可されている端末か否かを判定する第一判定処理と、使用者が通信ネットワークにアクセス許可されている者か否かを生体情報を用いて判定する第二判定処理とを有することで、通信ネットワークへのアクセスのセキュリティを高めた、認証システムを提供する。
本発明に係る認証システムは、通信ネットワークに接続された端末機認証用情報を記録する端末機認証用データベースを有する端末機認証サーバと、通信ネットワークに接続された個人認証用情報を記録する個人認証用データベースを有する個人認証サーバと、通信ネットワークに接続するための複数の端末機とからなる通信ネットワークの認証システムにおいて、使用者は前記複数の端末機の一台を使用し、前記端末機は認証要求として前記端末機に保有する端末機認証用情報を前記端末機認証サーバに送信し、及び、認証要求毎に都度使用者から取得する個人認証用情報を認証要求として前記個人認証サーバに送信し、前記端末機認証サーバは受信した前記端末機認証用情報と、端末機認証用データベース内に保存された端末機認証用情報とを照合して認証結果を前記端末機に返信し、前記個人認証サーバは受信した個人認証用情報と、個人認証用データベース内に保存された個人認証用情報とを照合して認証結果を前記端末機に返信し、端末機認証サーバの認証結果及び個人認証サーバの認証結果の何れもが、認証を了承する場合に、前記端末機を前記通信ネットワークに接続許可をすることを特徴とする。
本発明に係る認証システムの前記個人認証用情報は、生体情報であり、前記端末機内には保存されていないことを特徴とする。
本発明に係る認証システムの前記生体情報は、顔情報であることを特徴とする。
本発明に係る認証システムの前記個人認証用情報は、端末機から認証要求が個人認証サーバに到達する以前に、個人認証用データベース内に保存されていることを特徴とする。
本発明に係る認証システムの前記複数の端末機は、前記個人認証用情報を認証要求毎に都度使用者から取得することにより、複数の使用者で共有しても前記個人認証が可能なことを特徴とする。
本発明に係る認証システムの前記個人認証サーバは、前記使用者に対する端末機認証サーバの認証結果及び個人認証サーバの認証結果の何れもが、認証を了承する場合に、その認証結果を、前記使用者に関連づけられた複数の端末機に対する個人認証用情報を了承したものとして、複数の前記端末機を前記通信ネットワークに接続許可をすることを特徴とする。
本発明に係る認証システムの前記端末機は、携帯端末機であることを特徴とする。
本発明よれば、携帯端末機に対して端末機認証を行うこと及び使用者に対して個人情報認証を行うことにより、通信ネットワークへのアクセスが許可されることで、二重の認証を経る事により、セキュリティの高い認証システムを提供することができる。特に、複数の携帯端末機に対して、使用者を一個人に固定することなく、端末機認証及び個人認証を行い、通信ネットワークに接続することができるので、端末機を複数人で共有し使用することが可能となる。
また、携帯端末機は、個人認証サーバに認証要求する際に、認証要求毎に使用者の個人認証用情報を取得して、個人認証用情報を認証要求として前記個人認証サーバに送信する。このため、携帯端末機に個人認証用情報を保有する必要が無く、携帯端末機を複数人で共有しても、個人認証を行うことができる。
また、端末機認証で端末機個体のセキュリティを保ったまま、個人情報認証を行うことにより、携帯端末機の使用者を、本システムは明確に把握することが出来る。
また、個人情報認証の認証用情報が顔認証(顔写真)であるので、使用者に心理的圧迫を与えることなく、個人判別用の生体データを収集し、データベースに保管することが出来る。
また、認証用情報(顔写真)データの取得として、携帯端末機に装備されているカメラを使用することが出来る。
また、個人情報認証の認証用情報(顔写真)を、個人認証用データベースに保管するため、一元的に認証用情報(顔写真)を管理することが出来る。
また、個人情報認証の認証用情報(顔写真)を、個人認証用データベースに保管するため、各携帯端末機に認証用情報(顔写真)を登録/保管することが必要なく、各携帯端末機のメンテナンスや管理を大幅に削減することが出来る。
本発明よれば、代表者一名が携帯端末機一台に対して端末機認証及び個人情報認証を行うことにより、代表者一名に紐づいた複数の携帯端末機が個人情報認証を行った状態とすることが可能であり、不特定多数の使用者が端末機認証及び個人情報認証を行ったものとみなして、二重認証のセキュリティを保ったまま、通信ネットワークへのアクセスを許可することが出来る。
以下、図面を用いて本認証システムの説明をする。
[システム概要]
図1は、本発明のシステム全体の概要を示す図である。認証システム1は、端末機認証サーバ3、端末機認証用データベース4、個人認証サーバ(顔認証サーバ)5、個人認証用データベース(顔認証用データベース)6、携帯端末機8、及び無線ルータ9が通信ネットワーク2に接続されて構成されている。
[システム概要]
図1は、本発明のシステム全体の概要を示す図である。認証システム1は、端末機認証サーバ3、端末機認証用データベース4、個人認証サーバ(顔認証サーバ)5、個人認証用データベース(顔認証用データベース)6、携帯端末機8、及び無線ルータ9が通信ネットワーク2に接続されて構成されている。
通信ネットワーク2はインターネットを用いても良いが、社内LAN(Local Area Network)や外部と独立したスタンドアロン式のネットワークでも利用可能である。独立したネットワークは機密性が高く、外部からの侵入、又は情報の漏洩や破壊等を防止することができるからである。
暫定ネットワーク2aは、通信ネットワーク2上の仮想ネットワークである。端末機認証サーバ3、端末機認証用データベース4、個人認証サーバ(顔認証サーバ)5、個人認証用データベース(顔認証用データベース)6へのアクセスを目的としたものである。使用者7が、端末機認証処理及び個人認証処理を行う以前に通信ネットワーク2に接続したのでは、セキュリティ上の問題が生ずるため、後述する無線ルータ9でアクセス可能なルートを、認証時には暫定ネットワーク2aに、認証後は通信ネットワーク2にアクセス可能なルートを切り替えるようにする。暫定ネットワーク2aは、ネットワーク構成上の仮想の概念であるので、通信ネットワーク2と物理的に同一のネットワークでよい。又は、物理的に別構成のネットワークを構築しても良い。
携帯端末機8は、使用者が使用する端末機である。通信ネットワーク2にアクセスして、画面11に表示された資料の閲覧、入力等を行う。また、携帯端末機8には、カメラ12が搭載されており、カメラ12が映す映像及び撮影した静止画、動画を画面11に表示したり、個人認証サーバ5に送信する機能を有する。
無線ルータ9は通信ネットワーク2と、携帯端末機8、端末機認証サーバ3、及び個人認証サーバ5とを通信接続する機能を有する。通信方式はBluetooth(登録商標)、Wi−Fi(wireless fidelity:登録商標)等の無線式によるもの、又は、イーサネット(登録商標)による同軸、光ケーブル等による有線式の接続でも良く、通信ネットワーク2と携帯端末機8、端末機認証サーバ3、及び個人認証サーバ5の相互間でデータの送受信が行える構成で有れば良い。
[端末機認証サーバ及び端末機認証用データベース]
端末機認証サーバ3は、携帯端末機8から通信ネットワーク2へのアクセス要求送信された場合に、送られてくる電子証明書(図示せず)やIDとパスワードを、端末機認証用データベース4に登録された情報と照合して、認証の可否を決定する機能を有する。携帯端末機8ごとに通信ネットワーク上の他のサーバ(図示せず)や資料、データ等へのアクセス権限を与えたり、課金情報を収集する等の管理用サーバの機能を提供する。本発明では、例えば、RADIUS (Remote Authentication Dial−In User Service)サーバ等を使用する。なお、RADIUSサーバの一般的な機能については説明を省略する。
端末機認証サーバ3は、携帯端末機8から通信ネットワーク2へのアクセス要求送信された場合に、送られてくる電子証明書(図示せず)やIDとパスワードを、端末機認証用データベース4に登録された情報と照合して、認証の可否を決定する機能を有する。携帯端末機8ごとに通信ネットワーク上の他のサーバ(図示せず)や資料、データ等へのアクセス権限を与えたり、課金情報を収集する等の管理用サーバの機能を提供する。本発明では、例えば、RADIUS (Remote Authentication Dial−In User Service)サーバ等を使用する。なお、RADIUSサーバの一般的な機能については説明を省略する。
[個人認証サーバ及び個人認証用データベース]
個人認証サーバ5は、携帯端末機8から通信ネットワーク2へのアクセス要求送信された場合に、送られてくる使用者の生体情報を、個人認証用データベース6に登録された生体情報と照合して、使用者がアクセスを許可された者であるかの認証の可否を決定する機能を有する。
個人認証サーバ5は、携帯端末機8から通信ネットワーク2へのアクセス要求送信された場合に、送られてくる使用者の生体情報を、個人認証用データベース6に登録された生体情報と照合して、使用者がアクセスを許可された者であるかの認証の可否を決定する機能を有する。
生体情報を用いた認証方法は、指紋、瞳の虹彩、掌の静脈認証等の何れでも良いが、本発明では、使用者本人の顔写真を用いた認証方法による顔認証システムについて記載する。
生体情報として、指紋、瞳の虹彩、掌の静脈等の生体情報を用いた認証は、顔認証と比較しては一般的ではなく、特に、指紋等の採取、登録は、使用者の心理的抵抗が生じる場合がある。
一方、顔認証は、運転免許証、パスポート、各種身分証明書、社員証等に顔写真が貼り付けて使用されていることから、一般的な個人認証方法であり、使用者の心理的抵抗が少ない。そこで本発明では、顔写真を使用した、顔認証による個人認証を採用したシステムについて説明する。
従来の顔認証方式では、各携帯端末機内に使用者の顔写真を保管し、携帯端末機自体の使用制限を認証で使用許可を行なっており、各端末機に顔写真等の個人情報データを保管していた。本発明では、サーバ内に個人情報データを保管しているため、各端末機毎に設定等のメンテナンスをする必要が無く、また、端末機を紛失した際の個人情報データの流出等の危険を回避することができる。また、従来は携帯端末機が通信ネットワークへアクセスすることを許可するための認証であったが、本発明では、使用者個人が、通信ネットワークへアクセスすることを許可するための認証である。
また、個人認証サーバ5は、図1に示すように、個人認証用データベース6を有している。個人認証用データベース6は、使用者7の生体情報を含む個人情報を保存するデータベースである。使用者7の個人情報は、生体情報(顔写真)、氏名、年齢、性別、部署名、役職、アクセス権限等である。個人認証用データベース6への入出力及びアクセスは、個人認証サーバ5に実装されたアプリケーションが実行する。使用者7ごとに通信ネットワーク上の他のサーバ(図示せず)や資料、データ等へのアクセス権限を与えたり、課金情報を収集する等の管理用サーバの機能を提供する。
また、個人情報は、使用者7が個人認証を要求する前に予め、個人認証用データベース6に登録しておく。
また、個人情報は、使用者7が個人認証を要求する前に予め、個人認証用データベース6に登録しておく。
[携帯端末機]
携帯端末機8は、使用者7が使用する端末機である。携帯端末機8は、表示用の画面11と、使用者の顔を映像化するためのカメラ12と、顔認証ソフトウェア21がインストールされている。なお、携帯端末機8は、通信ネットワーク2にアクセスするための通信用端子(有線LAN、無線LAN等。図示せず)及び、通信ネットワーク2で配信される資料の閲覧が可能なアプリケーションソフトウェアとして、例えば、マークアップ言語(HTML5等)及びスクリプト言語等で作成された命令が実行可能なアプリケーション環境(WWWブラウザ等)、PDF等の文章を閲覧可能なアプリケーションソフトウェア、等を有していれば、デスクトップパソコン、ノートパソコン、タブレット等の機器を問わず、OS(Operation system)についても、MS−Windows(登録商標)、Mac OS(登録商標)等のパソコン用や、携帯端末機用のiOS(登録商標)、Android(登録商標)等のOSでも良い。また、入力装置もマウス、タッチパネル、キーボード等の使用者が操作し端末機に入力できるもので有ればよい。本実施例では、小型で可搬型のタッチパネル入力形式を有する携帯端末機を例として説明する。
携帯端末機8は、使用者7が使用する端末機である。携帯端末機8は、表示用の画面11と、使用者の顔を映像化するためのカメラ12と、顔認証ソフトウェア21がインストールされている。なお、携帯端末機8は、通信ネットワーク2にアクセスするための通信用端子(有線LAN、無線LAN等。図示せず)及び、通信ネットワーク2で配信される資料の閲覧が可能なアプリケーションソフトウェアとして、例えば、マークアップ言語(HTML5等)及びスクリプト言語等で作成された命令が実行可能なアプリケーション環境(WWWブラウザ等)、PDF等の文章を閲覧可能なアプリケーションソフトウェア、等を有していれば、デスクトップパソコン、ノートパソコン、タブレット等の機器を問わず、OS(Operation system)についても、MS−Windows(登録商標)、Mac OS(登録商標)等のパソコン用や、携帯端末機用のiOS(登録商標)、Android(登録商標)等のOSでも良い。また、入力装置もマウス、タッチパネル、キーボード等の使用者が操作し端末機に入力できるもので有ればよい。本実施例では、小型で可搬型のタッチパネル入力形式を有する携帯端末機を例として説明する。
カメラ12は、携帯端末機8の前面に設置され、携帯端末機8を操作中の使用者7の顔を映像化するための入力装置である。設置位置は、携帯端末機8を操作中の使用者7の顔を撮影可能な位置であれば、限定しない。また、カメラ12は、携帯端末機8に内蔵される形態のみならず、接続ケーブル等を介して携帯端末機8に外部接続する形態の構成としても良い。
顔認証ソフトウェア21は、携帯端末機8にインストールされ、起動されると、図7に示すように、カメラ12によって撮像されている使用者7自身の顔の映像を画面11に表示する。そして、使用者7の顔写真を撮影すると、個人認証サーバ(顔認証サーバ)に対して撮影した使用者7の顔写真を送信する機能を有している。
また、携帯端末機8は、使用者7の生体情報(顔写真)を携帯端末機8の内部には記録保存せずに、通信ネットワーク2に個人認証接続要求(図6参照)を送信する際に、都度使用者7から取得する。このため、携帯端末機8の所有者は使用者7の一名に限定されることなく、複数の使用者で共有して使用することができる。
[第1の実施形態]
[認証処理]
次に、本認証システムの第1の実施形態における、処理動作を、図2乃至図7を用いて説明する。図2は本発明に係る認証システムの全体のフローチャート、図3は本発明に係る認証システムの端末機認証処理に係るフローチャート、図4は本発明に係る認証システムの個人認証処理に係るフローチャート、図5は本発明に係る認証システムの通信ネットワーク接続処理に係るフローチャート、図6は本発明に係る認証システムのシーケンス図である。
[認証処理]
次に、本認証システムの第1の実施形態における、処理動作を、図2乃至図7を用いて説明する。図2は本発明に係る認証システムの全体のフローチャート、図3は本発明に係る認証システムの端末機認証処理に係るフローチャート、図4は本発明に係る認証システムの個人認証処理に係るフローチャート、図5は本発明に係る認証システムの通信ネットワーク接続処理に係るフローチャート、図6は本発明に係る認証システムのシーケンス図である。
本発明では、通信ネットワーク2にアクセスを許可する際に、端末機認証及び、個人認証の2つの認証システムを備え、両方の認証結果を組み合わせることで、より強固なセキュリティもつシステムを提供することができる。
まず、図2に示すように、使用者7は携帯端末機8の電源をオンする(ステップS1)。
[端末機認証処理]
以下に、端末機認証処理について説明する。まず、図3に示すように、携帯端末機8は暫定ネットワーク2a(通信ネットワーク2)に接続するための、接続要求として、電子証明書を、端末機認証サーバ3に送信する。端末機認証サーバ3のアクセス許可の後、個人認証サーバ5にアクセス可能となるからである。
[端末機認証処理]
以下に、端末機認証処理について説明する。まず、図3に示すように、携帯端末機8は暫定ネットワーク2a(通信ネットワーク2)に接続するための、接続要求として、電子証明書を、端末機認証サーバ3に送信する。端末機認証サーバ3のアクセス許可の後、個人認証サーバ5にアクセス可能となるからである。
携帯端末機8は自動的に、又は使用者7の任意で、通信接続要求を端末機認証サーバ3に接続要求(電子証明書)を送信する(ステップS10)。通信接続要求には、電子証明書を付加する。電子証明書はRADIUSサーバ等で使用する電子証明書でよいため、詳細な説明は省略する。電子証明書は、予め各携帯端末機8に登録しておく。
端末機認証サーバ3は、携帯端末機8から受信した電子証明書の内容が正しいか否かの判定を行う(ステップS11)。
判定の結果、携帯端末機8の電子証明書が正しい場合は(ステップS11でYes)、次の処理(ステップS13)へ遷移する。
判定の結果、携帯端末機8の電子証明書が正しい場合は(ステップS11でYes)、次の処理(ステップS13)へ遷移する。
携帯端末機8の電子証明書が不正や、期限切れの場合は(ステップS11でNo)、携帯端末機8にアクセス拒否である旨の接続要求結果を送信し(ステップS12)、携帯端末機8は携帯端末機8が未登録である旨のエラーメッセージを表示し、ステップS10に戻って、再度の接続要求待ち状態となる。
携帯端末機8が暫定ネットワーク2a(通信ネットワーク2)へのアクセス許可された場合は(ステップS11でYes)、端末機認証サーバ3はアクセス許可である旨の端末機認証結果通知を送信する(ステップS13)。携帯端末機8は、端末機認証サーバ3からアクセス許可である旨の端末機認証結果通知を受信した場合、暫定ネットワーク2aに接続され、通信ネットワーク2(暫定ネットワーク2a)上の、アクセス許可された範囲内での、接続が可能となる。
[個人認証処理]
次に個人認証処理を実行する。図4に示すように、暫定ネットワーク2aへのアクセス可能な場所で、「開始ボタン」(図示せず)を押下し、携帯端末機8にインストールされた顔認証ソフトウェア21を起動する(ステップS20)。
次に個人認証処理を実行する。図4に示すように、暫定ネットワーク2aへのアクセス可能な場所で、「開始ボタン」(図示せず)を押下し、携帯端末機8にインストールされた顔認証ソフトウェア21を起動する(ステップS20)。
次に、図7に示すように、使用者7は、カメラ12で、自己の顔を撮影する準備を行う。顔認証の判定に必要な、写真に写る、顔長さの専有率hは、個人認証用データベースに登録されている使用者7の顔写真のサイズに依存するが、概ね画面11の縦方向の長さLに対して、h≧1/3L以上であれば、好適である。
使用者7は画面11上で顔の位置と大きさを決定した後、撮影ボタン22を押下し、顔認証ソフトウェア21は顔情報として、使用者7の顔写真を撮影する(ステップS21)。
次に使用者7は、携帯端末機8の「認証ボタン」(図示せず)を押下することで(ステップS22)、撮影した顔写真を添付した、個人認証要求を携帯端末機8から個人認証サーバ5に送信する(ステップS23)。なお、「認証ボタン」の押下を要さずに、自動的に、顔認証ソフトウェア21は撮影した使用者7の顔写真を、個人認証サーバ5に送信する(ステップS23)ようにしても良い。また、顔写真に加えて、使用者7を特定する個人情報(氏名、生年月日、所属、登録番号等)を個人認証サーバ5に送付するようにしてもよい。
次に、顔写真の画像を検索キーとして、個人認証用データベース6の検索/照合を実行する(ステップS24)。携帯端末機8から送信されてきた使用者7の顔写真が、個人認証用データベース6の検索結果から、個人認証用データベース6に登録済みの顔写真と受信した顔写真とを照合し、本人と同一人物と判定した場合は(ステップS25でYes)、次の処理(ステップS27)へ遷移する。
また、登録済みの顔写真と受信した顔写真とを照合させ、顔写真が個人認証用データベース6に登録されていない又は不一致で同一人物でない、と判定した場合は(ステップS25でNo)、個人認証サーバ5は、携帯端末機8に顔認証結果エラーである旨の認証結果通知を送信し(ステップS26)、携帯端末機8は使用者7と登録済みの顔写真が一致しない(本人でない)旨のエラーメッセージを表示し、ステップS20に戻って、再度の顔写真の撮影待ち状態となる。なお、顔写真による、本人か否かの判定処理は、市販品の顔認証ソフトウェア21を使用しても良いため、詳細な処理内容については本発明では割愛する。
ここで、ステップS24の個人認証用データベース6の検索/照合において、個人認証サーバ5は、顔写真に加えて、携帯端末機8から送信された個人情報の何れか1つ又は複数を検索キーとして、個人認証用データベース6に使用者7が登録されているか否かを検索するようにしてもよい。
次に、個人認証用データベース6の検索結果から、個人情報に登録された内容を照合して、使用者7の通信ネットワーク2へのアクセス権限を照合する(ステップS27)。通信ネットワークは、役職や、所属部署によって、アクセス可能範囲を制限することは、一般的な事項である。
使用者7が通信ネットワーク2へのアクセス許可がされている場合(ステップS27でYes)は、個人認証サーバ5は携帯端末機8に、通信ネットワーク2へ接続を許可するためのID、PASS情報等を含めた認証結果通知を送信する(ステップS29)。なお、通信ネットワーク2の内部にて、使用者のアクセス可能なネットワーク(複数のドメイン名や、ユーザグループなどに属して場合など)が複数存在する場合において、ID、PASS情報が複数存在する場合は、端末機認証サーバ3が適切なアクセス許可を選出して、通信ネットワーク2に対する前記ID、PASS情報等を携帯端末機8に送信する。
使用者7が通信ネットワークへの許可がされていない場合は(ステップS27でNo)、個人認証サーバ5は、携帯端末機8に検索結果エラーである旨の認証結果通知を送信し(ステップS28)、携帯端末機8は使用者7がアクセス不許可者である旨のエラーメッセージを表示し、ステップS20に戻って、再度の顔写真の撮影待ち状態となる。
以上により、個人情報(顔写真)を使用した、使用者の個人認証を終了する。
[通信ネットワーク接続処理]
続いて、通信ネットワーク接続処理に遷移する。上述の端末機認証処理及び個人認証処理では、暫定ネットワーク2aに接続され、個人認証に必要な端末機認証サーバ3及び、個人認証サーバ5との通信のみが行えるように、通信ネットワーク2の使用制限が課されているからである。
図5に示すように、携帯端末機8の使用者の個人認証を正常に終了すると携帯端末機8は自動的に、又は使用者7の任意で、通信接続要求を端末機認証サーバ3に認証要求を送信する(ステップS30)。通信接続要求には、認証結果通知によって受信したID、PASS情報等を付加する。また、ID、PASS情報等に代わる、その他の認証情報を用いても良い。
続いて、通信ネットワーク接続処理に遷移する。上述の端末機認証処理及び個人認証処理では、暫定ネットワーク2aに接続され、個人認証に必要な端末機認証サーバ3及び、個人認証サーバ5との通信のみが行えるように、通信ネットワーク2の使用制限が課されているからである。
図5に示すように、携帯端末機8の使用者の個人認証を正常に終了すると携帯端末機8は自動的に、又は使用者7の任意で、通信接続要求を端末機認証サーバ3に認証要求を送信する(ステップS30)。通信接続要求には、認証結果通知によって受信したID、PASS情報等を付加する。また、ID、PASS情報等に代わる、その他の認証情報を用いても良い。
端末機認証サーバ3は、端末認証用データベース4の検索/照合を開始する。通信接続要求のID及びパスワードを検索キーとして、端末機認証用データベース4にID、PASS情報等が登録されているか否かを検索し、判定する(ステップS31)。
検索の結果、ID、PASS情報等が正しいと判定した場合は、端末機認証用サーバは、認証要求結果として、アクセス許可の旨の通知を、携帯端末機8に送信する(ステップS31でYes)。
検索の結果、ID、PASS情報等が正しいと判定した場合は、端末機認証用サーバは、認証要求結果として、アクセス許可の旨の通知を、携帯端末機8に送信する(ステップS31でYes)。
ID、PASS情報等が端末機認証用データベース4に登録されていない、又は不正と判断した場合は(ステップS31でNo)、端末機認証用サーバは、認証要求結果として、携帯端末機8にアクセス拒否の旨の通知を送信する(ステップS32)。携帯端末機8はエラーメッセージを表示し、ステップS30に戻って、再度の認証要求待ち状態となる。
認証要求結果がアクセス許可である旨の認証要求結果通知を携帯端末機8が受信すると、携帯端末機8は、通信ネットワーク2に接続され(ステップS33)、通信ネットワーク2上の、アクセス許可された範囲内での、資料等の資産の使用が可能となる。
以上のように、端末機認証による端末機の通信ネットワーク接続の制限と、個人認証による使用者の制限との、二重の認証が許可となることで、暫定ネットワーク2aのみの接続状態から、初めて通信ネットワーク2へのアクセス許可がされ、通信ネットワーク2上の資産の使用が可能となることにより、よりセキュリティ効果の高い、認証システムとなる。
また、第1の実施形態では、第1に端末機認証による通信ネットワーク接続処理(ステップS10〜ステップS13)を実行し、第2に個人認証処理(ステップS20〜ステップS29)を実行したが、この処理の実行順序に限らず、実行順序を組み替えて実行するような構成にしても良い。
[第2の実施形態]
[認証方法について]
次に、本認証システムの第2の実施形態における、処理動作を、図8を用いて説明する。なお、第1の実施形態と共通する内容については、説明を省略する。
[認証方法について]
次に、本認証システムの第2の実施形態における、処理動作を、図8を用いて説明する。なお、第1の実施形態と共通する内容については、説明を省略する。
セミナー等のイベントを開催する場合、個人認証サーバ(顔認証サーバ)に登録していない使用者7が存在する場合、個人認証サーバ(顔認証サーバ)に新規使用者を登録する必要がある。特に、数名以上や、数百名規模のセミナー等では、その登録には莫大な時間と労力が必要となり、直前に申請が集中した場合は、期限までに登録が間に合わない恐れがある。また、登録した場合でも、そのセミナーの認証のためだけに使用し、後日1回も使用しなくなる場生じる。
そこで、本実施形態では、一の携帯端末機が端末機認証及び、個人認証を承認されると、当該個人認証に紐づけられた複数の携帯端末機が端末機認証及び、個人認証を承認されたとし、個人認証サーバ(顔認証サーバ)に顔写真を登録していない使用者7も、通信ネットワークに接続することが可能な構成とする。
図8の携帯端末機8a乃至8dは、端末機認証用データベース4に各携帯端末機の端末機情報が登録されている。また、使用者7aの生体情報(顔写真)が、個人認証用データベース6に登録されている。しかし、使用者7b乃至7dの個人情報(顔写真)が、個人認証用データベース6に登録されていない状態である。当然ながら、使用者7b乃至7dは各々個人認証サーバに個人認証要求をしても、個人認証の承認失敗の結果となり、使用者7b乃至7dは通信ネットワーク2にアクセスすることができない。
このような場合、個人認証用データベース6の使用者7aの登録情報に、使用者7aのグループとして、携帯端末機8a乃至8dを登録しておく構成とする。使用者7aがグループ内の携帯端末機8a乃至8dの内の何れか1台で暫定ネットワーク2aで個人認証(図4に示す、ステップS20〜ステップS29)が承認されることで、当該携帯端末機が通信ネットワーク2に接続することが可能となると、他の3台の携帯端末機総てが、使用者7aのグループとして、使用者7aの個人認証で承認されたこととなり、他の3台の携帯端末機はそれぞれ通信ネットワーク2に接続することが可能となる。なお、電子証明書のない携帯端末機、又はID、PASS情報等が登録されていない他の携帯端末機8は当然ながら通信ネットワーク2に接続することが出来ない。
つまり、使用者7b乃至7dは、使用者7b乃至7dの個人情報(顔写真)が、個人認証用データベース6に登録されていなくても、使用者7aが個人認証を行った携帯端末機8a乃至8d使用することで、使用者7aのグループとして、通信ネットワーク2に接続することが可能となる。
このように、本発明の第2の実施形態では、端末機認証のセキュリティを保ちつつ、個人認証によって、複数の携帯端末機を通信ネットワーク2へのアクセスを可能とする。
この機能は、例えば、セミナー等で外部の参加者を募る場合に有効である。例えば、セミナーの主催者を使用者7aとし、参加者を使用者7b乃至7dとした場合、容易に、全ての携帯端末機8a乃至8dに対して、端末機認証及び個人認証による二重認証することができるので、通信ネットワーク2に対するアクセスのセキュリティを強化することが出来る。
以上に説明したように、本発明よれば、携帯端末機に対して端末機認証を行うこと及び使用者に対して個人情報認証を行うことにより、通信ネットワークへのアクセスが許可されることで、二重の認証を経る事により、セキュリティの高い認証システムを提供することができる。特に、複数の携帯端末機に対して、使用者を一個人に固定することなく、端末機認証及び個人認証を行い、通信ネットワークに接続することができるので、端末機を複数人で共有し使用することが可能となる。
また、携帯端末機は、個人認証サーバに認証要求する際に、認証要求毎に使用者の個人認証用情報を取得して、個人認証用情報を認証要求として前記個人認証サーバに送信する。このため、携帯端末機に個人認証用情報を保有する必要が無く、携帯端末機を複数人で共有しても、個人認証を行うことができる。
また、端末機認証で端末機個体のセキュリティを保ったまま、個人情報認証を行うことにより、携帯端末機の使用者を、本システムは明確に把握することが出来る。
また、個人情報認証の認証用情報が顔認証(顔写真)であるので、使用者に心理的圧迫を与えることなく、個人判別用の生体データを収集し、データベースに保管することが出来る。
また、顔認証(顔写真)データの取得として、携帯端末機に装備されているカメラを使用することが出来る。
また、個人情報認証の認証用情報(顔写真)を、個人認証用データベースに保管するため、一元的に認証用情報(顔写真)を管理することが出来る。
前記複数の端末機は、前記個人認証用情報を認証要求毎に都度使用者から取得することにより、一台の端末機を複数の使用者で共有しても前記個人認証が可能である。
また、個人情報認証の認証用情報(顔写真)を、個人認証用データベースに保管するため、各携帯端末機に認証用情報(顔写真)を登録/保管することが必要なく、各携帯端末機のメンテナンスや管理を大幅に削減することが出来る。
本発明よれば、代表者一名が携帯端末機一台に対して端末機認証及び個人情報認証を行うことにより、代表者一名に紐づいた複数の携帯端末機が個人情報認証を行った状態とすることが可能であり、不特定多数の使用者が端末機認証及び個人情報認証を行ったものとみなして、二重認証のセキュリティを保ったまま、通信ネットワークへのアクセスを許可することが出来る。
この発明は、その本質的特性から逸脱することなく数多くの形式のものとして具体化することができる。よって、上述した実施形態は専ら説明上のものであり、本発明を制限するものではないことは言うまでもない。
1 認証システム
2 通信ネットワーク
2a 暫定ネットワーク
3 端末機認証サーバ
4 端末機認証用データベース
5 個人認証サーバ(顔認証サーバ)
6 個人認証用データベース
7 使用者
8 携帯端末機
9 無線ルータ
11 表示画面
12 カメラ
21 顔認証ソフトウェア
22 撮影ボタン
2 通信ネットワーク
2a 暫定ネットワーク
3 端末機認証サーバ
4 端末機認証用データベース
5 個人認証サーバ(顔認証サーバ)
6 個人認証用データベース
7 使用者
8 携帯端末機
9 無線ルータ
11 表示画面
12 カメラ
21 顔認証ソフトウェア
22 撮影ボタン
Claims (7)
- 通信ネットワークに接続された端末機認証用情報を記録する端末機認証用データベースを有する端末機認証サーバと、
通信ネットワークに接続された個人認証用情報を記録する個人認証用データベースを有する個人認証サーバと、
通信ネットワークに接続するための複数の端末機と
からなる通信ネットワークの認証システムにおいて、
使用者は前記複数の端末機の一台を使用し、前記端末機は認証要求として前記端末機に保有する端末機認証用情報を前記端末機認証サーバに送信し、及び、認証要求毎に都度使用者から取得する個人認証用情報を認証要求として前記個人認証サーバに送信し、
前記端末機認証サーバは受信した前記端末機認証用情報と、端末機認証用データベース内に保存された端末機認証用情報とを照合して認証結果を前記端末機に返信し、
前記個人認証サーバは受信した個人認証用情報と、個人認証用データベース内に保存された個人認証用情報とを照合して認証結果を前記端末機に返信し、
端末機認証サーバの認証結果及び個人認証サーバの認証結果の何れもが、認証を了承する場合に、前記端末機を前記通信ネットワークに接続許可をすること
を特徴とする認証システム。 - 前記個人認証用情報は、生体情報であり、前記端末機内には保存されていないことを特徴とする請求項1に記載の認証システム。
- 前記生体情報は、顔情報であることを特徴とする請求項1又は請求項2に記載の認証システム。
- 前記個人認証用情報は、端末機から認証要求が個人認証サーバに到達する以前に、
個人認証用データベース内に保存されていることを特徴とする請求項1乃至請求項3の何れか1に記載の認証システム。 - 前記複数の端末機は、前記個人認証用情報を認証要求毎に都度使用者から取得することにより、複数の使用者で共有しても前記個人認証が可能なこと
を特徴とする請求項1乃至請求項4の何れか1に記載の認証システム。 - 前記使用者に対する端末機認証サーバの認証結果及び個人認証サーバの認証結果の何れもが、認証を了承する場合に、
その認証結果を、前記使用者に関連づけられた複数の端末機に対する個人認証用情報を了承したものとして、複数の前記端末機を前記通信ネットワークに接続許可をすること
を特徴とする、請求項1乃至請求項5の何れか1に記載の認証システム。 - 前記端末機は、携帯端末機であることを特徴とする、請求項1乃至請求項6の何れか1に記載の認証システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013032652A JP6118128B2 (ja) | 2013-02-21 | 2013-02-21 | 認証システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013032652A JP6118128B2 (ja) | 2013-02-21 | 2013-02-21 | 認証システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014164359A true JP2014164359A (ja) | 2014-09-08 |
| JP6118128B2 JP6118128B2 (ja) | 2017-04-19 |
Family
ID=51614943
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013032652A Active JP6118128B2 (ja) | 2013-02-21 | 2013-02-21 | 認証システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6118128B2 (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016117061A1 (ja) * | 2015-01-22 | 2016-07-28 | 株式会社野村総合研究所 | ウェアラブル端末およびそれを用いた情報処理システム |
| WO2017199353A1 (ja) * | 2016-05-17 | 2017-11-23 | 株式会社オプティム | 情報機器操作システム、情報機器操作方法及びプログラム |
| JP2019049790A (ja) * | 2017-09-08 | 2019-03-28 | 富士ゼロックス株式会社 | 情報処理装置、アクセス制御システム及びプログラム |
| WO2020121459A1 (ja) * | 2018-12-12 | 2020-06-18 | 日本電気株式会社 | 認証システム、クライアントおよびサーバ |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005346183A (ja) * | 2004-05-31 | 2005-12-15 | Quality Kk | ネットワーク接続制御システムおよびネットワーク接続制御プログラム |
| JP2007188321A (ja) * | 2006-01-13 | 2007-07-26 | Sony Corp | 通信装置および通信方法、プログラム、並びに記録媒体 |
| JP2009009427A (ja) * | 2007-06-28 | 2009-01-15 | Psd:Kk | 認証処理方法、そのシステムおよび端末装置 |
| JP2010066974A (ja) * | 2008-09-10 | 2010-03-25 | Mitsubishi Electric Corp | セキュリティ集中管理システム及びセキュリティ集中管理方法及びサービス用サーバアクセス管理サーバ及び通信制御情報生成プログラム |
-
2013
- 2013-02-21 JP JP2013032652A patent/JP6118128B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005346183A (ja) * | 2004-05-31 | 2005-12-15 | Quality Kk | ネットワーク接続制御システムおよびネットワーク接続制御プログラム |
| JP2007188321A (ja) * | 2006-01-13 | 2007-07-26 | Sony Corp | 通信装置および通信方法、プログラム、並びに記録媒体 |
| JP2009009427A (ja) * | 2007-06-28 | 2009-01-15 | Psd:Kk | 認証処理方法、そのシステムおよび端末装置 |
| JP2010066974A (ja) * | 2008-09-10 | 2010-03-25 | Mitsubishi Electric Corp | セキュリティ集中管理システム及びセキュリティ集中管理方法及びサービス用サーバアクセス管理サーバ及び通信制御情報生成プログラム |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016117061A1 (ja) * | 2015-01-22 | 2016-07-28 | 株式会社野村総合研究所 | ウェアラブル端末およびそれを用いた情報処理システム |
| WO2017199353A1 (ja) * | 2016-05-17 | 2017-11-23 | 株式会社オプティム | 情報機器操作システム、情報機器操作方法及びプログラム |
| JPWO2017199353A1 (ja) * | 2016-05-17 | 2018-12-06 | 株式会社オプティム | 情報機器操作システム、情報機器操作方法及びプログラム |
| US10509899B2 (en) | 2016-05-17 | 2019-12-17 | Optim Corporation | Information device operating system, information device operating method and program for operating information device based on authentication |
| JP2019049790A (ja) * | 2017-09-08 | 2019-03-28 | 富士ゼロックス株式会社 | 情報処理装置、アクセス制御システム及びプログラム |
| WO2020121459A1 (ja) * | 2018-12-12 | 2020-06-18 | 日本電気株式会社 | 認証システム、クライアントおよびサーバ |
| JPWO2020121459A1 (ja) * | 2018-12-12 | 2021-10-21 | 日本電気株式会社 | 認証システム、クライアントおよびサーバ |
| JP7235055B2 (ja) | 2018-12-12 | 2023-03-08 | 日本電気株式会社 | 認証システム、クライアントおよびサーバ |
| US11909892B2 (en) | 2018-12-12 | 2024-02-20 | Nec Corporation | Authentication system, client, and server |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6118128B2 (ja) | 2017-04-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9698992B2 (en) | Method for signing electronic documents with an analog-digital signature with additional verification | |
| US9967261B2 (en) | Method and system for secure authentication | |
| US20160371438A1 (en) | System and method for biometric-based authentication of a user for a secure event carried out via a portable electronic device | |
| CN105339949B (zh) | 用于管理对医学数据的访问的*** | |
| CN112005231A (zh) | 生物特征认证方法、***和计算机程序 | |
| CN106796708B (zh) | 电子投票***及方法 | |
| JP2009020650A (ja) | 個人認証方法および個人認証システム | |
| US20160197925A1 (en) | Information processing apparatus and method, and program | |
| JP5513234B2 (ja) | 入場者管理装置 | |
| JP6118128B2 (ja) | 認証システム | |
| CN108369614A (zh) | 用户认证方法及用于实现该方法的*** | |
| US20140157433A1 (en) | Management apparatus, membership managing method, service providing apparatus, and membership managing system | |
| JP5145179B2 (ja) | 光学式読取りコードを用いた本人確認システム | |
| JP5073866B1 (ja) | Icチップと通信可能な携帯情報端末 | |
| JP2024028612A (ja) | 管理サーバ、情報提供方法及びコンピュータプログラム | |
| JP7364057B2 (ja) | 情報処理装置、システム、顔画像の更新方法及びプログラム | |
| JP5901824B1 (ja) | 顔認証システム及び顔認証プログラム | |
| JP2009230649A (ja) | 他端末または相手システムの正当性を確認する方法、電子手続支援システムのためのサーバ、およびコンピュータプログラム | |
| JP2014071494A (ja) | 情報管理サーバ、情報アップロードシステム、情報アップロード方法、及び、情報アップロードプログラム | |
| JP3966233B2 (ja) | 端末利用認証システム | |
| KR101047140B1 (ko) | 지문 인식을 이용한 무인 의료 접수 및 정보 제공시스템과 그 방법 | |
| JP2006163715A (ja) | ユーザ認証システム | |
| JP2015203974A (ja) | 認証システム | |
| Khatoon et al. | Integrating OAuth and aadhaar with e-health care system | |
| JP4718131B2 (ja) | 個人情報管理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160219 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20160629 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20161215 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170106 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170307 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170317 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170324 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6118128 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |