JP2022053955A - Method, program, information processing apparatus, authentication server, and information processing system - Google Patents
Method, program, information processing apparatus, authentication server, and information processing system Download PDFInfo
- Publication number
- JP2022053955A JP2022053955A JP2020160866A JP2020160866A JP2022053955A JP 2022053955 A JP2022053955 A JP 2022053955A JP 2020160866 A JP2020160866 A JP 2020160866A JP 2020160866 A JP2020160866 A JP 2020160866A JP 2022053955 A JP2022053955 A JP 2022053955A
- Authority
- JP
- Japan
- Prior art keywords
- user terminal
- authentication
- authentication server
- information processing
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 106
- 238000000034 method Methods 0.000 title claims abstract description 18
- 238000004891 communication Methods 0.000 description 43
- 230000006870 function Effects 0.000 description 29
- 238000012545 processing Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 12
- 230000001133 acceleration Effects 0.000 description 3
- 238000003384 imaging method Methods 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 238000007639 printing Methods 0.000 description 3
- 238000005401 electroluminescence Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 229910044991 metal oxide Inorganic materials 0.000 description 1
- 150000004706 metal oxides Chemical class 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003825 pressing Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000005236 sound signal Effects 0.000 description 1
Images
Landscapes
- Facsimiles In General (AREA)
Abstract
Description
本発明は、方法、プログラム、情報処理装置、認証サーバ、および情報処理システムに関する。 The present invention relates to methods, programs, information processing devices, authentication servers, and information processing systems.
従来、MFP(Multifunction Peripheral/Printer/Product)等の情報処理装置を使用したいユーザを認証し、認証が成功したユーザに対して情報処理装置を使用させるシステムが知られている。例えば、特許文献1には、ユーザの携帯端末上での認証の結果を用いて、画像処理装置での印刷等のサービスの可否を制御する手法が開示されている。
Conventionally, there is known a system that authenticates a user who wants to use an information processing device such as an MFP (Multifunction Peripheral / Printer / Product) and causes a user who has succeeded in authentication to use the information processing device. For example,
しかしながら、特許文献1では、ユーザが画像処理装置を利用するたびに認証が必要である。
However, in
そこで、本発明では、情報処理装置を使用するための認証を容易にすることを目的とする。 Therefore, it is an object of the present invention to facilitate authentication for using the information processing apparatus.
本発明の一実施形態に係る方法は、認証サーバと、ユーザ端末と、情報処理装置と、を含む情報処理システムが実行する方法であって、前記認証サーバが、前記ユーザ端末における認証が成功した旨を前記ユーザ端末から受信した場合、識別情報を前記ユーザ端末へ送信するステップと、前記ユーザ端末が、前記認証サーバから受信した前記識別情報を前記情報処理装置へ送信するステップと、前記情報処理装置が、前記ユーザ端末から受信した前記識別情報が、前記認証サーバが前記ユーザ端末へ送信した前記識別情報と同じであるか否かを前記認証サーバに照会して、同じである旨を受信した場合に前記情報処理装置の使用を許可するステップと、を含む。 A method according to an embodiment of the present invention is a method executed by an information processing system including an authentication server, a user terminal, and an information processing device, in which the authentication server has succeeded in authentication at the user terminal. When the fact is received from the user terminal, a step of transmitting the identification information to the user terminal, a step of the user terminal transmitting the identification information received from the authentication server to the information processing apparatus, and the information processing. The device inquires the authentication server whether or not the identification information received from the user terminal is the same as the identification information transmitted to the user terminal by the authentication server, and receives the same. In some cases, the step of permitting the use of the information processing apparatus is included.
本発明では、情報処理装置を使用するための認証を容易にすることができる。 In the present invention, authentication for using the information processing device can be facilitated.
以下、各実施形態について添付の図面を参照しながら説明する。なお、本明細書および図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複した説明を省略する。 Hereinafter, each embodiment will be described with reference to the attached drawings. In the present specification and the drawings, the components having substantially the same functional configuration are designated by the same reference numerals, and duplicate description thereof will be omitted.
本発明の一実施形態では、FIDO(Fast IDentity Online)を用いることができる。ここで、FIDOについて説明する。FIDOとは、認証技術のひとつである。具体的には、FIDOでは、公開鍵暗号方式が用いられる。クライアント(以下で説明するユーザ端末)が鍵のペアを生成し、秘密鍵がクライアント側に登録され、公開鍵がサーバ側(以下で説明する認証サーバ)に登録される。ユーザ端末での認証(例えば、生体認証等)が成功すると、秘密鍵が使用可能になる。つまり、ユーザ端末での認証が生体認証の場合、生体認証のための身体情報がサーバ側ではなくクライアント側に保存され、クライアント側で生体認証が完結する。そして、サーバ側では、クライアントとの間の公開鍵を用いた認証プロトコルでユーザ認証を実現する。 In one embodiment of the present invention, FIDO (Fast IDentity Online) can be used. Here, FIDO will be described. FIDO is one of the authentication technologies. Specifically, FIDO uses a public key cryptosystem. The client (user terminal described below) creates a key pair, the private key is registered on the client side, and the public key is registered on the server side (authentication server described below). If the authentication on the user terminal (for example, biometric authentication) is successful, the private key can be used. That is, when the authentication on the user terminal is biometric authentication, the physical information for biometric authentication is stored on the client side instead of the server side, and the biometric authentication is completed on the client side. Then, on the server side, user authentication is realized by an authentication protocol using a public key with the client.
なお、本明細書では、スマートフォン等のユーザ端末にて生体認証が行われる実施形態を説明するが、本発明は、生体認証以外の任意の認証(例えば、PIN、パスコードによる認証)を用いることができる。 In this specification, an embodiment in which biometric authentication is performed by a user terminal such as a smartphone will be described, but the present invention uses any authentication other than biometric authentication (for example, authentication by PIN or passcode). Can be done.
<システム構成>
図1は、本発明の一実施形態に係る情報処理システム1の全体構成図である。図1に示されているように、情報処理システム1は、認証サーバ10と、ユーザ端末20と、情報処理装置30と、を含む。認証サーバ10は、任意の通信ネットワークNを介して、ユーザ端末20および情報処理装置30とデータを送受信することができる。また、ユーザ端末20は、Bluetooth、NFC(Near field communication)等を介して、情報処理装置30とデータを送受信することができる。
<System configuration>
FIG. 1 is an overall configuration diagram of an
なお、情報処理装置30は、オフィスAのようにプロキシサーバ31を経由して通信ネットワークNに接続してもよいし、オフィスBのようにプロキシサーバ31を経由せずに通信ネットワークNに接続してもよい。
The
認証サーバ10は、ユーザ端末20にて行われた認証(例えば、生体認証を用いたFIDO)が成功すると、ユーザ端末20へ識別情報(例えば、トークン)を送信する。また、認証サーバ10は、情報処理装置30からの要求に応じて、情報処理装置30がユーザ端末20から受信した識別情報(例えば、トークン)が、認証サーバ10がユーザ端末20へ送信した識別情報(例えば、トークン)であるか否かを照合する。
When the authentication performed by the user terminal 20 (for example, FIDO using biometric authentication) is successful, the
なお、実施例に記載された装置群は、本明細書に開示された実施形態を実施するための複数のコンピューティング環境のうちの1つを示すものにすぎない。ある実施形態では、認証サーバ10は、サーバクラスタといった複数のコンピューティングデバイスを含む。複数のコンピューティングデバイスは、ネットワークや共有メモリなどを含む任意のタイプの通信リンクを介して互いに通信するように構成されており、本明細書に開示された処理を実施する。
It should be noted that the group of devices described in the examples is only one of a plurality of computing environments for implementing the embodiments disclosed in the present specification. In one embodiment, the
ユーザ端末20は、ユーザ端末20にて行われた認証(例えば、生体認証を用いたFIDO)が成功すると、認証サーバ10から識別情報(例えば、トークン)を受信する。また、ユーザ端末20は、ユーザ端末20が認証サーバ10から受信した識別情報(例えば、トークン)を、情報処理装置30へ送信する。例えば、ユーザ端末20は、スマートフォン等である。
When the authentication performed by the user terminal 20 (for example, FIDO using biometric authentication) is successful, the
情報処理装置30は、情報処理装置30がユーザ端末20から受信した識別情報(例えば、トークン)が、認証サーバ10がユーザ端末20へ送信した識別情報(例えば、トークン)であるか否かを、認証サーバ10に照会する。情報処理装置30がユーザ端末20から受信した識別情報(例えば、トークン)が、認証サーバ10がユーザ端末20へ送信した識別情報(例えば、トークン)である場合には、情報処理装置30は、ユーザに情報処理装置30の使用を許可する(例えば、情報処理装置30にログインさせる)。例えば、情報処理装置30は、MFP等である。
The
なお、情報処理装置30は、通信機能を備えた装置であれば、MFP等の画像形成装置に限られない。情報処理装置30は、例えば、PJ(Projector:プロジェクタ)、IWB(Interactive White Board:相互通信が可能な電子式の黒板機能を有する白板)、デジタルサイネージ等の出力装置、HUD(Head Up Display)装置、産業機械、撮像装置、集音装置、医療機器、ネットワーク家電、自動車(Connected Car)、ノートPC(Personal Computer)、携帯電話、スマートフォン、タブレット端末、ゲーム機、PDA(Personal Digital Assistant)、デジタルカメラ、ウェアラブルPCまたはデスクトップPC等であってもよい。
The
ここで、識別情報(例えば、トークン)について説明する。ユーザ端末20は、認証サーバ10から受信した識別情報(例えば、トークン)を、ユーザ端末20内に保持することができる。ユーザ端末20は、保持している識別情報(例えば、トークン)を情報処理装置30へ送信する。そのため、ユーザは、情報処理装置30を使用するたびに生体認証等のユーザ端末20における認証を行う必要がない。
Here, the identification information (for example, a token) will be described. The
認証サーバ10が識別情報(例えば、トークン)の有効期限を定めている場合、有効期限が徒過するまでは、情報処理装置30は、ユーザ端末20が保持している識別情報(例えば、トークン)で認証サーバ10から認証成功を受信することができる。認証サーバ10が定める識別情報(例えば、トークン)の有効期限を徒過した場合、情報処理装置30は、識別情報(例えば、トークン)を認証サーバ20へ送信しても認証失敗を受信する。この場合、ユーザは再度、生体認証等で認証サーバ10の認証を受け、認証が成功した場合、ユーザ端末20は、認証サーバ10から新たに受信したトークンで保持しているトークンを更新する。なお、ユーザ端末20が一定期間の経過で自動的にトークンを削除してもよい。
When the
このように、認証サーバ10は、識別情報(例えば、トークン)の有効期限を設けることができる。つまり、認証サーバ10は、認証(つまり、トークンの照合)と、トークンの有効期限と、を一元管理することができる。そのため、ユーザが生体認証等を行うことなく情報処理装置30を使用できるようにしつつ、無期限に生体認証等を行うことなく情報処理装置30を使用できることを防ぐことができる。
In this way, the
<認証サーバのハードウェア構成>
図2は、本発明の一実施形態に係る認証サーバ10のハードウェア構成を示す図である。
<Hardware configuration of authentication server>
FIG. 2 is a diagram showing a hardware configuration of the
図2に示されているように、認証サーバ10は、コンピュータによって構築されており、図2に示されているように、CPU(Central Processing Unit)101、ROM(Read Only Memory)102、RAM(Random Access Memory)103、HD104、HDD(Hard Disk Drive)コントローラ105、ディスプレイ106、外部機器接続I/F(Interface)107、ネットワークI/F(Interface)108、データバス109、キーボード110、ポインティングデバイス111、DVD-RW(Digital Versatile Disk Rewritable)ドライブ113、メディアI/F(Interface)115を備えている。
As shown in FIG. 2, the
これらのうち、CPU101は、認証サーバ10全体の動作を制御する。ROM102は、IPL等のCPU101の駆動に用いられるプログラムを記憶する。RAM103は、CPU101のワークエリアとして使用される。HD104は、プログラム等の各種データを記憶する。HDDコントローラ105は、CPU101の制御にしたがってHD104に対する各種データの読み出し又は書き込みを制御する。ディスプレイ106は、カーソル、メニュー、ウィンドウ、文字、又は画像などの各種情報を表示する。外部機器接続I/F107は、各種の外部機器を接続するためのインターフェースである。この場合の外部機器は、例えば、USB(Universal Serial Bus)メモリやプリンタ等である。ネットワークI/F108は、通信ネットワークを利用してデータ通信をするためのインターフェースである。バスライン109は、図2に示されているCPU101等の各構成要素を電気的に接続するためのアドレスバスやデータバス等である。
Of these, the
また、キーボード110は、文字、数値、各種指示などの入力のための複数のキーを備えた入力手段の一種である。ポインティングデバイス111は、各種指示の選択や実行、処理対象の選択、カーソルの移動などを行う入力手段の一種である。DVD-RWドライブ113は、着脱可能な記録媒体の一例としてのDVD-RW112に対する各種データの読み出し又は書き込みを制御する。なお、DVD-RWに限らず、DVD-R等であってもよい。メディアI/F115は、フラッシュメモリ等の記録メディア114に対するデータの読み出し又は書き込み(記憶)を制御する。
Further, the
<スマートフォンのハードウェア構成>
図3は、本発明の一実施形態に係るユーザ端末(スマートフォンの場合)20のハードウェア構成を示す図である。なお、ユーザ端末20は、認証のためのハードウェア(例えば、顔認証のためのカメラ(以下で説明するCMOS、撮像素子I/F)等)を備えるものとする。
<Smartphone hardware configuration>
FIG. 3 is a diagram showing a hardware configuration of a user terminal (in the case of a smartphone) 20 according to an embodiment of the present invention. The
図3に示されているように、ユーザ端末(スマートフォンの場合)20は、CPU201、ROM202、RAM203、EEPROM204、CMOSセンサ205、撮像素子I/F206、加速度・方位センサ207、メディアI/F209、GPS受信部211を備えている。
As shown in FIG. 3, the user terminal (in the case of a smartphone) 20 includes a
これらのうち、CPU201は、ユーザ端末(スマートフォンの場合)20全体の動作を制御する。ROM202は、CPU201やIPL等のCPU201の駆動に用いられるプログラムを記憶する。RAM203は、CPU201のワークエリアとして使用される。EEPROM204は、CPU201の制御にしたがって、スマートフォン用プログラム等の各種データの読み出し又は書き込みを行う。CMOS(Complementary Metal Oxide Semiconductor)センサ205は、CPU201の制御に従って被写体(主に自画像)を撮像して画像データを得る内蔵型の撮像手段の一種である。なお、CMOSセンサではなく、CCD(Charge Coupled Device)センサ等の撮像手段であってもよい。撮像素子I/F206は、CMOSセンサ205の駆動を制御する回路である。加速度・方位センサ207は、地磁気を検知する電子磁気コンパスやジャイロコンパス、加速度センサ等の各種センサである。メディアI/F209は、フラッシュメモリ等の記録メディア208に対するデータの読み出し又は書き込み(記憶)を制御する。GPS受信部211は、GPS衛星からGPS信号を受信する。
Of these, the
また、ユーザ端末(スマートフォンの場合)20は、遠距離通信回路212、CMOSセンサ213、撮像素子I/F214、マイク215、スピーカ216、音入出力I/F217、ディスプレイ218、外部機器接続I/F(Interface)219、近距離通信回路220、近距離通信回路220のアンテナ220a、及びタッチパネル221を備えている。
Further, the user terminal (in the case of a smartphone) 20 includes a long-
これらのうち、遠距離通信回路212は、通信ネットワークNを介して、他の機器と通信する回路である。CMOSセンサ213は、CPU201の制御に従って被写体を撮像して画像データを得る内蔵型の撮像手段の一種である。撮像素子I/F214は、CMOSセンサ213の駆動を制御する回路である。マイク215は、音を電気信号に変える内蔵型の回路である。スピーカ216は、電気信号を物理振動に変えて音楽や音声などの音を生み出す内蔵型の回路である。音入出力I/F217は、CPU201の制御に従ってマイク215及びスピーカ216との間で音信号の入出力を処理する回路である。ディスプレイ218は、被写体の画像や各種アイコン等を表示する液晶や有機EL(Electro Luminescence)などの表示手段の一種である。外部機器接続I/F219は、各種の外部機器を接続するためのインターフェースである。近距離通信回路220は、NFC(Near Field Communication)やBluetooth(登録商標)等の通信回路である。タッチパネル221は、利用者がディスプレイ218を押下することで、ユーザ端末(スマートフォンの場合)20を操作する入力手段の一種である。
Of these, the
また、ユーザ端末(スマートフォンの場合)20は、バスライン210を備えている。バスライン210は、図3に示されているCPU201等の各構成要素を電気的に接続するためのアドレスバスやデータバス等である。
Further, the user terminal (in the case of a smartphone) 20 includes a
<MFPのハードウェア構成>
図4は、本発明の一実施形態に係る情報処理装置(MFPの場合)30のハードウェア構成を示す図である。
<Hardware configuration of MFP>
FIG. 4 is a diagram showing a hardware configuration of an information processing device (in the case of an MFP) 30 according to an embodiment of the present invention.
図4に示されているように、情報処理装置(MFPの場合)30は、コントローラ310、近距離通信回路320、エンジン制御部330、操作パネル340、ネットワークI/F(Interface)350を備えている。
As shown in FIG. 4, the information processing apparatus (in the case of an MFP) 30 includes a
これらのうち、コントローラ310は、コンピュータの主要部であるCPU301、システムメモリ(MEM-P)302、ノースブリッジ(NB)303、サウスブリッジ(SB)304、ASIC(Application Specific Integrated Circuit)305、記憶部であるローカルメモリ(MEM-C)306、HDDコントローラ307、及び、記憶部であるHD308を有し、NB303とASIC305との間をAGP(Accelerated Graphics Port)バス321で接続した構成となっている。
Of these, the
これらのうち、CPU301は、情報処理装置(MFPの場合)30の全体制御を行う制御部である。NB303は、CPU301と、MEM-P302、SB304、及びAGPバス321とを接続するためのブリッジであり、MEM-P302に対する読み書きなどを制御するメモリコントローラと、PCI(Peripheral Component Interconnect)マスタ及びAGPターゲットとを有する。
Of these, the
MEM-P302は、コントローラ310の各機能を実現させるプログラムやデータの格納用メモリであるROM302a、プログラムやデータの展開、及びメモリ印刷時の描画用メモリなどとして用いるRAM302bとからなる。なお、RAM302bに記憶されているプログラムは、インストール可能な形式又は実行可能な形式のファイルでCD-ROM、CD-R、DVD等のコンピュータで読み取り可能な記録媒体に記録して提供するように構成してもよい。
The MEM-P302 includes a
SB304は、NB303とPCIデバイス、周辺デバイスとを接続するためのブリッジである。ASIC305は、画像処理用のハードウェア要素を有する画像処理用途向けのIC(Integrated Circuit)であり、AGPバス321、PCIバス322、HDD307およびMEM-C306をそれぞれ接続するブリッジの役割を有する。このASIC305は、PCIターゲットおよびAGPマスタ、ASIC305の中核をなすアービタ(ARB)、MEM-C306を制御するメモリコントローラ、ハードウェアロジックなどにより画像データの回転などを行う複数のDMAC(Direct Memory Access Controller)、並びに、スキャナ部331及びプリンタ部332との間でPCIバス322を介したデータ転送を行うPCIユニットとからなる。なお、ASIC305には、USB(Universal Serial Bus)のインターフェースや、IEEE1394(Institute of Electrical and Electronics Engineers 1394)のインターフェースを接続するようにしてもよい。
The
MEM-C306は、コピー用画像バッファ及び符号バッファとして用いるローカルメモリである。HD308は、画像データの蓄積、印刷時に用いるフォントデータの蓄積、フォームの蓄積を行うためのストレージである。HD308は、CPU301の制御にしたがってHD308に対するデータの読出又は書込を制御する。AGPバス321は、グラフィック処理を高速化するために提案されたグラフィックスアクセラレータカード用のバスインタフェースであり、MEM-P302に高スループットで直接アクセスすることにより、グラフィックスアクセラレータカードを高速にすることができる。
The MEM-C306 is a local memory used as a copy image buffer and a code buffer. The HD308 is a storage for accumulating image data, accumulating font data used at the time of printing, and accumulating forms. The
また、近距離通信回路320には、近距離通信回路320aが備わっている。近距離通信回路320は、NFC、Bluetooth等の通信回路である。
Further, the short-
更に、エンジン制御部330は、スキャナ部331及びプリンタ部332によって構成されている。また、操作パネル340は、現在の設定値や選択画面等を表示させ、操作者からの入力を受け付けるタッチパネル等のパネル表示部340a、並びに、濃度の設定条件などの画像形成に関する条件の設定値を受け付けるテンキー及びコピー開始指示を受け付けるスタートキー等からなる操作パネル340bを備えている。コントローラ310は、情報処理装置(MFPの場合)30全体の制御を行い、例えば、描画、通信、操作パネル340からの入力等を制御する。スキャナ部331又はプリンタ部332には、誤差拡散やガンマ変換などの画像処理部分が含まれている。
Further, the
なお、情報処理装置(MFPの場合)30は、操作パネル340のアプリケーション切り替えキーにより、ドキュメントボックス機能、コピー機能、プリンタ機能、およびファクシミリ機能を順次に切り替えて選択することが可能となる。ドキュメントボックス機能の選択時にはドキュメントボックスモードとなり、コピー機能の選択時にはコピーモードとなり、プリンタ機能の選択時にはプリンタモードとなり、ファクシミリモードの選択時にはファクシミリモードとなる。
The information processing apparatus (in the case of the MFP) 30 can sequentially switch and select the document box function, the copy function, the printer function, and the facsimile function by the application switching key of the
また、ネットワークI/F350は、通信ネットワークを利用してデータ通信をするためのインターフェースである。近距離通信回路320及びネットワークI/F350は、PCIバス322を介して、ASIC305に電気的に接続されている。
Further, the network I /
<情報処理システムの機能ブロック>
図5は、本発明の一実施形態に係る情報処理システム1の機能ブロックを示す図である。
<Functional block of information processing system>
FIG. 5 is a diagram showing a functional block of the
<認証サーバ>
情報処理システム1の認証サーバ10は、ユーザ管理部1001と、クラウド認証サーバ部1002と、生体認証サーバ部(ユーザ端末認証サーバ部ともいう)1003と、通信部1004と、を備える。また、認証サーバ10は、プログラムを実行することで、クラウド認証サーバ部1002、生体認証サーバ部1003、通信部1004、として機能する。
<Authentication server>
The
ユーザ管理部1001は、全ユーザに関する情報を記憶する。具体的には、ユーザ管理部1001は、各ユーザのユーザ名、ユーザID、パスワード、公開鍵、トークン等の情報を記憶する。後段で、図6、7、9を参照しながら、ユーザ管理部1001が記憶するデータについて詳細に説明する。
The
生体認証サーバ部1003は、ユーザ端末20における認証が成功するとトークンを生成する。例えば、生体認証サーバ部1003は、FIDOプロトコルを用いた認証が成功すると、トークンを生成する。また、生体認証サーバ部1003は、生成したトークンをユーザ管理部1001に記憶させる。また、生体認証サーバ部1003は、生成したトークンをユーザ端末20の生体認証クライアント部2004へ送信する。
The biometric
クラウド認証サーバ部1002は、情報処理装置30のクラウド認証クライアント部3002からの照会に応じて、トークンの正当性を判断する。具体的には、クラウド認証サーバ部1002は、照会された(つまり、情報処理装置30から受信した)トークンがユーザ管理部1001に記憶されているか否かを判断する。また、照会されたトークンがユーザ管理部1001に記憶されている場合には、クラウド認証サーバ部1002は、認証が成功したことをクラウド認証クライアント部3002に通知する。
The cloud
ここで、トークンについて説明する。トークンは、有効期限が設定されたトークンであってもよい。ユーザは、有効期限内であれば、ユーザ端末20に配布されたトークンを用いてオフィスAの情報処理装置30もオフィスBの情報処理装置30も使用することができる。
Here, the token will be described. The token may be a token with an expiration date. The user can use both the
通信部1004は、ユーザ端末20の通信部2001および情報処理装置30の通信部3001とデータを送受信する。
The
<ユーザ端末>
情報処理システム1のユーザ端末20は、通信部2001と、MFP認証クライアント部(情報処理装置認証クライアント部ともいう)2002と、認証記憶部2003と、生体認証クライアント部(ユーザ端末認証クライアント部ともいう)2004と、ユーザ操作部2005と、認証部2006と、を備える。また、ユーザ端末20は、プログラムを実行することで、通信部2001、MFP認証クライアント部2002、生体認証クライアント部2004、ユーザ操作部2005、認証部2006、として機能する。
<User terminal>
The
認証記憶部2003は、ユーザ端末20を使用するユーザに関する情報を記憶する。具体的には、認証記憶部2003は、認証サーバ10を示す情報(URL)、ユーザID、パスワード、秘密鍵、トークン等の情報を記憶する。後段で、図8、10を参照しながら、認証記憶部2003が記憶するデータについて詳細に説明する。
The
生体認証クライアント部2004は、認証サーバ10の生体認証サーバ部1003からトークンを受信する。また、生体認証クライアント部2004は、取得したトークンを認証記憶部2003に記憶させる。
The biometric
MFP認証クライアント部2002は、認証記憶部2003に記憶されているトークンを取得する。また、MFP認証クライアント部2002は、取得したトークンを、情報処理装置30のMFP認証サーバ部3003へ送信する。
The MFP
ユーザ操作部2005は、ユーザインタフェースを提供し、ユーザからの操作を受け付ける。
The
通信部2001は、認証サーバ10の通信部1004および情報処理装置30の通信部3001とデータを送受信する。
The
認証部2006は、ユーザの認証(例えば、生体認証)を行う。
The
<情報処理装置>
情報処理システム1の情報処理装置30は、通信部3001と、クラウド認証クライアント部3002と、MFP認証サーバ部(情報処理装置認証サーバ部ともいう)3003と、を備える。また、情報処理装置30は、プログラムを実行することで、通信部3001、クラウド認証クライアント部3002、MFP認証サーバ部3003、として機能する。
<Information processing equipment>
The
MFP認証サーバ部3003は、ユーザ端末20のMFP認証クライアント部2002からトークンを取得する。
The MFP
クラウド認証クライアント部3002は、認証サーバ10のクラウド認証サーバ部1002に対して、トークンの正当性を照会する。具体的には、情報処理装置30がユーザ端末20からトークンを取得すると、クラウド認証クライアント部3002は、情報処理装置30がユーザ端末20から取得したトークンが、認証サーバ10がユーザ端末20へ送信したトークンであるか否かを、クラウド認証サーバ部1002に照会する。照会されたトークンがユーザ管理部1001に記憶されている場合には、クラウド認証クライアント部3002は、クラウド認証サーバ部1002から認証が成功した旨の通知を受ける。
The cloud
通信部3001は、認証サーバ10の通信部1004およびユーザ端末20の通信部2001とデータを送受信する。
The
図6は、本発明の一実施形態に係る認証サーバ10のユーザ管理部1001に記憶されているデータ(ユーザIDおよびパスワードの登録済み)の一例である。図6に示されているように、認証サーバ10のユーザ管理部1001は、各ユーザの「ユーザ名」、「ユーザID」、「パスワード」のデータを記憶する。なお、認証サーバ10に公開鍵を登録する際に、認証サーバ10のユーザ管理部1001に記憶されている「ユーザID」および「パスワード」と、ユーザ端末20の認証記憶部2003に記憶されている「ユーザID」および「パスワード」と、が照合される。
FIG. 6 is an example of data (user ID and password registered) stored in the
図7は、本発明の一実施形態に係る認証サーバ10のユーザ管理部1001に記憶されているデータ(公開鍵の登録済み)の一例である。図7に示されているように、認証サーバ10のユーザ管理部1001は、図6の「ユーザ名」、「ユーザID」、「パスワード」に加えて、「公開鍵」のデータを記憶する。「公開鍵」は、FIDOの認証のための公開鍵(後述するユーザ端末20の認証記憶部2003に記憶されている秘密鍵とペア)である。
FIG. 7 is an example of data (public key registered) stored in the
図8は、本発明の一実施形態に係るユーザ端末20の認証記憶部2003に記憶されているデータの一例である。図8に示されているように、ユーザ端末20の認証記憶部2003は、「認証サーバ10を示す情報(URL(Uniform Resource Locator))」、「ユーザID」、「パスワード」、「秘密鍵」のデータを記憶する。「秘密鍵」は、FIDOの認証のための秘密鍵(前述した認証サーバ10のユーザ管理部1001に記憶されている公開鍵とペア)である。なお、ユーザ端末20の認証記憶部2003は、ユーザ端末20での生体認証が成功した場合にのみアクセスできる記憶領域である。
FIG. 8 is an example of data stored in the
図9は、発明の一実施形態に係る認証サーバ10のユーザ管理部1001に記憶されているデータ(トークンの登録済み)の一例である。図9に示されているように、認証サーバ10のユーザ管理部1001は、図7の「ユーザ名」、「ユーザID」、「パスワード」、「公開鍵」に加えて、「トークン」のデータを記憶する。「トークン」は、認証サーバ10の生体認証サーバ部1003が生成したトークンである。
FIG. 9 is an example of data (registered tokens) stored in the
図10は、本発明の一実施形態に係るユーザ端末20の認証記憶部2003に記憶されているデータの一例である。図10に示されているように、ユーザ端末20の認証記憶部2003は、「認証サーバ10を示す情報(URL)」、「ユーザID」、「パスワード」、「秘密鍵」に加え、「トークン」のデータを記憶する。「トークン」は、ユーザ端末20の生体認証クライアント部2004が受信したトークンである。
FIG. 10 is an example of data stored in the
<処理方法>
図11は、本発明の一実施形態に係るトークンの配布の処理の流れを示すシーケンス図である。
<Processing method>
FIG. 11 is a sequence diagram showing a flow of processing for distributing tokens according to an embodiment of the present invention.
ステップ11(S11)において、ユーザ操作部2005が受け付けた操作に応じて、ユーザ端末20にて認証が行われる。以下、ユーザ端末20が生体認証を行い、認証サーバ10が公開鍵暗号方式を用いてユーザを認証する実施形態を説明する。
In step 11 (S11), authentication is performed on the
まず、ユーザ端末20の認証部2006は、生体認証のための身体情報(例えば、ユーザ端末20が検知したユーザの顔の画像等)を取得する。次に、認証部2006は、取得した身体情報と、ユーザ端末20に記憶されている身体情報と、が一致するか否かを判断する。
First, the
ステップ12(S12)において、S11にて身体情報が一致する場合(つまり、生体認証が成功した場合)、認証部2006は、ユーザ端末20に記憶されている秘密鍵で、認証サーバ10から受信したチャレンジを用いて署名(ハッシュを暗号化)を作成して、認証サーバ10へ送信する。
In step 12 (S12), when the physical information matches in S11 (that is, when the biometric authentication is successful), the
ステップ13(S13)において、認証サーバ10は、署名を公開鍵で復号し、ユーザ端末20へ送信したチャレンジと同じか否かに基づいて、署名を検証する。
In step 13 (S13), the
ステップ14(S14)において、生体認証サーバ部1003は、トークンを生成する。具体的には、生体認証サーバ部1003は、S13にて署名を検証して認証が成功すると、トークンを生成する。
In step 14 (S14), the biometric
ステップ15(S15)において、生体認証サーバ部1003は、S14にて生成したトークンをユーザ管理部1001に記憶させる。
In step 15 (S15), the biometric
ステップ16(S16)において、生体認証サーバ部1003は、S14にて生成したトークンを生体認証クライアント部2004へ送信する。
In step 16 (S16), the biometric
ステップ17(S17)において、生体認証クライアント部2004は、S16にて受信したトークンを認証記憶部2003に記憶させる。
In step 17 (S17), the biometric
図12は、本発明の一実施形態に係るトークンの通知の処理の流れを示すシーケンス図である。 FIG. 12 is a sequence diagram showing a flow of processing for notification of tokens according to an embodiment of the present invention.
ステップ21(S21)において、MFP認証クライアント部2002は、認証記憶部2003に記憶されているトークン(つまり、図11のS17のトークン)を取得する。
In step 21 (S21), the MFP
ステップ22(S22)において、MFP認証クライアント部2002は、S21にて取得したトークンを、MFP認証サーバ部3003へ送信する。例えば、MFP認証クライアント部2002は、Bluetooth、NFC等を介して、トークンをMFP認証サーバ部3003へ送信することができる。
In step 22 (S22), the MFP
図13は、本発明の一実施形態に係るトークンの照会の処理の流れを示すシーケンス図である。 FIG. 13 is a sequence diagram showing a flow of processing for querying tokens according to an embodiment of the present invention.
ステップ31(S31)において、クラウド認証クライアント部3002は、クラウド認証サーバ部1002に対して、トークンの正当性を照会する。具体的には、情報処理装置30がユーザ端末20からトークンを受信すると(つまり、図12のS22)、クラウド認証クライアント部3002は、情報処理装置30がユーザ端末20から受信したトークンが、認証サーバ10がユーザ端末20へ送信したトークンであるか否かを、クラウド認証サーバ部1002に照会する。
In step 31 (S31), the cloud
ステップ32(S32)において、クラウド認証サーバ部1002は、S31にて照会されたトークンがユーザ管理部1001に記憶されているか否かを判断する。
In step 32 (S32), the cloud
ステップ33(S33)において、S31にて照会されたトークンがユーザ管理部1001に記憶されている場合には、クラウド認証サーバ部1002は、認証が成功したことをクラウド認証クライアント部3002に通知する。なお、クラウド認証サーバ部1002は、S31にて照会されたトークンに対応するユーザの情報(例えば、ユーザID、ユーザに提供することができる機能など)をクラウド認証クライアント部3002に通知することができる。例えば、情報処理装置30は、通知されたユーザの情報(例えば、ユーザID)に基づいて、情報処理装置30が提供する機能(例えば、コピー機能、スキャナ機能、FAX機能、プリンタ機能等)を決定することができる。また、例えば、情報処理装置30は、通知されたユーザの情報(例えば、ユーザに提供することができる機能)に応じた機能(例えば、コピー機能、スキャナ機能、FAX機能、プリンタ機能等)を提供することができる。
In step 33 (S33), when the token inquired in S31 is stored in the
<効果>
このように、本発明の一実施形態では、ユーザは、情報処理装置30を使用するたびに生体認証等のユーザ端末20における認証を行う必要がない。さらに、本発明の一実施形態では、ユーザが生体認証等を行うことなく情報処理装置30を使用できるようにしつつ、無期限に生体認証等を行うことなく情報処理装置30を使用できることを防ぐことができる。また、認証サーバ10は、生成した識別情報(例えば、トークン)をユーザ端末20へ送信し、識別情報(例えば、トークン)の照合を情報処理装置30から受け付ける。そのため、情報処理装置30は、ユーザ端末20の情報を管理することなく、ユーザ端末20を有するユーザに情報処理装置30の機能を提供することができる。
<Effect>
As described above, in one embodiment of the present invention, the user does not need to perform authentication on the
また、本発明の一実施形態では、情報処理装置30ごとに生体認証を行う装置を設置する必要がない。また、本発明の一実施形態では、生体認証に用いられるユーザの身体情報そのものがネットワーク上に流れないので、セキュリティを向上することができる。また、本発明の一実施形態では、ユーザの正当性は認証サーバ10で担保されるのでセキュリティを向上することができる。また、本発明の一実施形態では、情報処理装置30がユーザ端末20の情報を保持する必要がないので、セキュリティおよび利便性を向上することができる。
Further, in one embodiment of the present invention, it is not necessary to install a device for performing biometric authentication for each
上記で説明した実施形態の各機能は、一又は複数の処理回路によって実現することが可能である。ここで、本明細書における「処理回路」とは、電子回路により実装されるプロセッサのようにソフトウェアによって各機能を実行するようプログラミングされたプロセッサや、上記で説明した各機能を実行するよう設計されたASIC(Application Specific Integrated Circuit)、DSP(digital signal processor)、FPGA(field programmable gate array)や従来の回路モジュール等のデバイスを含むものとする。 Each function of the embodiment described above can be realized by one or more processing circuits. Here, the "processing circuit" as used herein is a processor programmed to perform each function by software, such as a processor implemented by an electronic circuit, or a processor designed to execute each function described above. It shall include devices such as ASIC (Application Specific Integrated Circuit), DSP (digital signal processor), FPGA (field programmable gate array) and conventional circuit modules.
以上、本発明の実施例について詳述したが、本発明は上述した特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。 Although the embodiments of the present invention have been described in detail above, the present invention is not limited to the above-mentioned specific embodiments, and various modifications are made within the scope of the gist of the present invention described in the claims.・ Can be changed.
1 情報処理システム
10 認証サーバ
20 ユーザ端末
30 情報処理装置
31 プロキシサーバ
1001 ユーザ管理部
1002 クラウド認証サーバ部
1003 生体認証サーバ部
1004 通信部
2001 通信部
2002 MFP認証クライアント部
2003 認証記憶部
2004 生体認証クライアント部
2005 ユーザ操作部
2006 認証部
3001 通信部
3002 クラウド認証クライアント部
3003 MFP認証サーバ部
1
Claims (9)
前記認証サーバが、前記ユーザ端末における認証が成功した旨を前記ユーザ端末から受信した場合、識別情報を前記ユーザ端末へ送信するステップと、
前記ユーザ端末が、前記認証サーバから受信した前記識別情報を前記情報処理装置へ送信するステップと、
前記情報処理装置が、前記ユーザ端末から受信した前記識別情報が、前記認証サーバが前記ユーザ端末へ送信した前記識別情報と同じであるか否かを前記認証サーバに照会して、同じである旨を受信した場合に前記情報処理装置の使用を許可するステップと
を含む方法。 It is a method executed by an information processing system including an authentication server, a user terminal, and an information processing device.
When the authentication server receives from the user terminal that the authentication at the user terminal is successful, the step of transmitting the identification information to the user terminal and the step.
A step in which the user terminal transmits the identification information received from the authentication server to the information processing apparatus.
The information processing apparatus inquires the authentication server whether or not the identification information received from the user terminal is the same as the identification information transmitted by the authentication server to the user terminal, and the same is true. A method including a step of permitting the use of the information processing apparatus when the information processing device is received.
ユーザの認証を行い、前記ユーザの認証が成功した旨を認証サーバへ送信する認証部、
識別情報を前記認証サーバから受信するユーザ端末認証クライアント部、
前記認証サーバから受信した前記識別情報を情報処理装置へ送信する情報処理装置認証クライアント部、として機能させるためのプログラム。 User terminal,
An authentication unit that authenticates a user and sends to the authentication server that the user's authentication was successful.
User terminal authentication client unit that receives identification information from the authentication server,
A program for functioning as an information processing device authentication client unit that transmits the identification information received from the authentication server to the information processing device.
前記受信した識別情報が、認証サーバが前記ユーザ端末へ送信した識別情報と同じであるか否かを前記認証サーバに照会して、同じである旨を受信した場合に情報処理装置の使用を許可するクラウド認証クライアント部と
を備えた情報処理装置。 Information processing device authentication server unit that receives identification information from the user terminal,
The authentication server is inquired whether or not the received identification information is the same as the identification information transmitted to the user terminal, and when the same is received, the use of the information processing device is permitted. An information processing device equipped with a cloud authentication client unit.
情報処理装置から受信した識別情報が、前記ユーザ端末へ送信した識別情報と同じであるか否かを判断するクラウド認証サーバ部と
を備えた認証サーバ。 When the user terminal receives the fact that the authentication on the user terminal is successful, the user terminal authentication server unit that transmits the identification information to the user terminal and the user terminal authentication server unit.
An authentication server provided with a cloud authentication server unit that determines whether or not the identification information received from the information processing device is the same as the identification information transmitted to the user terminal.
前記認証サーバは、
前記ユーザ端末における認証が成功した旨を前記ユーザ端末から受信した場合、識別情報を前記ユーザ端末へ送信するユーザ端末認証サーバ部と、
前記情報処理装置から受信した識別情報が、前記ユーザ端末へ送信した識別情報と同じであるか否かを判断するクラウド認証サーバ部と、を備え、
前記ユーザ端末は、
ユーザの認証を行い、前記ユーザの認証が成功した旨を前記認証サーバへ送信する認証部と、
前記識別情報を前記認証サーバから受信するユーザ端末認証クライアント部と、
前記認証サーバから受信した前記識別情報を前記情報処理装置へ送信する情報処理装置認証クライアント部と、を備え、
前記情報処理装置は、
前記識別情報を前記ユーザ端末から受信する情報処理装置認証サーバ部と、
前記受信した識別情報が、前記認証サーバが前記ユーザ端末へ送信した前記識別情報と同じであるか否かを前記認証サーバに照会して、同じである旨を受信した場合に前記情報処理装置の使用を許可するクラウド認証クライアント部と、を備えた情報処理システム。 An information processing system that includes an authentication server, a user terminal, and an information processing device.
The authentication server is
When the user terminal receives the fact that the authentication in the user terminal is successful, the user terminal authentication server unit that transmits the identification information to the user terminal and the user terminal authentication server unit.
A cloud authentication server unit for determining whether or not the identification information received from the information processing device is the same as the identification information transmitted to the user terminal is provided.
The user terminal is
An authentication unit that authenticates the user and sends the fact that the user's authentication was successful to the authentication server.
A user terminal authentication client unit that receives the identification information from the authentication server, and
It includes an information processing device authentication client unit that transmits the identification information received from the authentication server to the information processing device.
The information processing device is
An information processing device authentication server unit that receives the identification information from the user terminal, and
The authentication server is inquired whether or not the received identification information is the same as the identification information transmitted to the user terminal, and when the authentication server receives the same, the information processing apparatus. An information system equipped with a cloud authentication client section that permits its use.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020160866A JP2022053955A (en) | 2020-09-25 | 2020-09-25 | Method, program, information processing apparatus, authentication server, and information processing system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020160866A JP2022053955A (en) | 2020-09-25 | 2020-09-25 | Method, program, information processing apparatus, authentication server, and information processing system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2022053955A true JP2022053955A (en) | 2022-04-06 |
Family
ID=80994476
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020160866A Pending JP2022053955A (en) | 2020-09-25 | 2020-09-25 | Method, program, information processing apparatus, authentication server, and information processing system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2022053955A (en) |
-
2020
- 2020-09-25 JP JP2020160866A patent/JP2022053955A/en active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3800540A1 (en) | Program, information processing system, information processing method, and information processing apparatus | |
| US11206252B2 (en) | Information processing system, authentication platform, and authorization information verification method | |
| JP2024012626A (en) | Service providing system, log-in setting method, and information processing system | |
| CN109479054B (en) | Service providing system, service communication system, service providing method, and recording medium | |
| JP6528856B2 (en) | Control system, communication control method, and program | |
| JP2021060974A (en) | Program, information processing system, information processing method, and information processing apparatus | |
| US11704079B2 (en) | Output system, information processing system, including circuitry to generate a character string to perform authentication for a user, and authentication method | |
| US11128623B2 (en) | Service providing system, service delivery system, service providing method, and non-transitory recording medium | |
| US11762612B2 (en) | Information processing apparatus, information processing system, and information processing method for managing authentication information across multiple information processing devices, information processing apparatuses, and information processing systems | |
| EP3985497A1 (en) | Information processing system, output system, output method, and recording medium | |
| JP2017207909A (en) | Authentication system, communication system, authentication method, and program | |
| EP3438837A1 (en) | Service provision system, service delivery system, service provision method, and program | |
| JP2022053955A (en) | Method, program, information processing apparatus, authentication server, and information processing system | |
| EP3438860B1 (en) | Service provision system, service exchange system, service provision method, and program | |
| JP2021086341A (en) | User authentication system, user authentication method, and user authentication program | |
| US11656817B2 (en) | System and method for transmitting electronic data associated with a user identified based on source identification information | |
| US11924291B2 (en) | Information processing system, information processing apparatus, and information processing method | |
| JP2020086794A (en) | Information processing system, information processing method, information processing device, and program | |
| US20230342096A1 (en) | Output apparatus, information processing system, output method, and non-transitory recording medium | |
| JP7459659B2 (en) | Information processing device, communication system and information processing method | |
| JP2023162118A (en) | Output device, output method, program, and information processing system | |
| JP2021009575A (en) | Information processing system, information processing method and program | |
| JP2020154472A (en) | Information processing terminal, information processing system, method, and program | |
| JP2017211769A (en) | Management system, communication system, authentication method, and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230714 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240220 |