JP2023001687A - 認証システムおよび認証システムの制御方法 - Google Patents
認証システムおよび認証システムの制御方法 Download PDFInfo
- Publication number
- JP2023001687A JP2023001687A JP2021102559A JP2021102559A JP2023001687A JP 2023001687 A JP2023001687 A JP 2023001687A JP 2021102559 A JP2021102559 A JP 2021102559A JP 2021102559 A JP2021102559 A JP 2021102559A JP 2023001687 A JP2023001687 A JP 2023001687A
- Authority
- JP
- Japan
- Prior art keywords
- user
- authentication
- information
- registration information
- registration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 33
- 238000012545 processing Methods 0.000 claims abstract description 46
- 230000010365 information processing Effects 0.000 claims description 38
- 238000010586 diagram Methods 0.000 description 32
- 230000005540 biological transmission Effects 0.000 description 9
- 230000015654 memory Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 6
- 230000004048 modification Effects 0.000 description 6
- 101100462378 Danio rerio otpb gene Proteins 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 210000003462 vein Anatomy 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000003936 working memory Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Facsimiles In General (AREA)
Abstract
【課題】認証サーバーにおける認証処理としてセキュアな認証が可能な認証システムを提供する。【解決手段】認証システムは、MFPと、認証サーバーとを備える。MFPは、ユーザーを識別する識別情報と、暗号キーとを対応付けたユーザー登録情報を記憶するユーザー登録情報記憶部と、ユーザーの操作に基づきユーザー登録情報を取得するユーザー情報取得部と、取得したユーザー登録情報の暗号キーに基づいて暗号化されたデータと、識別情報とを含む認証要求を生成し、認証サーバーへ送信する認証要求部とを含む。認証サーバーは、識別情報と、暗号キーとを対応付けた認証登録情報を記憶する認証登録情報記憶部と、MFPから受信する認証要求に含まれる識別情報に対応して、認証登録情報の暗号キーを取得する暗号キー取得部と、取得した暗号キーに基づいて暗号化されたデータを復号し、認証結果をMFPに送信する認証処理部とを含む。【選択図】図1
Description
本開示は、認証システムに関し、特に情報処理装置を使用するユーザーを認証する技術に関する。
従来、情報処理装置を使用するユーザーのユーザー認証は、ユーザー自身が操作パネルに対して入力するユーザーIDとパスワードとに基づいて行われるのが一般的であった。しかし、操作パネルに対してユーザーIDとパスワードとを手動入力する操作は煩雑であることから、近年ではユーザーが所持するICカードからカード情報を読み取ってユーザー認証を行ったり、或いは、ユーザー自身の身体特徴を示す指紋パターンや静脈パターンなどの生体情報を読み取ってユーザー認証を行ったりすることもある。これらの認証方法は、ユーザーが操作パネルを手動操作して文字列などを入力する必要がないため、操作性に優れている。
その一方で、クラウド上に認証サーバーを設置してユーザー認証を行う場合は、ユーザー認証時に照合すべき基本情報、すなわち正規ユーザーに関するユーザーID、パスワード、カード情報、生体情報などを予め認証サーバーに登録しておく必要がある。しかし、パブリックなクラウド上に設置された認証サーバーにそれらの情報を保存しておくと、情報の漏洩といったセキュリティ上の問題が発生する。
文字列から成るパスワードはユーザー自身が適宜変更可能であるため、万一クラウド上の認証サーバーから漏洩してしまった場合でも、新規なパスワードに変更することで漏洩したパスワードが不正に用いられることを防止できる。しかし、ICカードに記録されたカード情報やユーザー自身の身体特徴を示す生体情報は、ユーザー自身が容易に変更できるものではない。特に、生体情報に関しては変更することができない情報である。そのため、クラウド上の認証サーバーからカード情報や生体情報が漏洩してしまうと、漏洩したカード情報や生体情報の不正使用を簡単には防ぐことができないという問題がある。
本開示は、上記の問題点を解決すべくなされたものであり、ネットワーク上に設けられる認証サーバーにおける認証処理としてセキュアな認証が可能な認証システムおよび認証システムの制御方法を提供することを目的とする。
本開示の認証システムは、情報処理装置と、情報処理装置とネットワークで接続された認証サーバーとを備える。情報処理装置は、ユーザーを識別するための識別情報と、ユーザー毎に設定された暗号キーとを対応付けたユーザー登録情報を記憶するユーザー登録情報記憶部と、ユーザーの指示操作に基づきユーザー登録情報記憶部に記憶されたユーザー登録情報を取得するユーザー情報取得部と、取得したユーザー登録情報に含まれる暗号キーに基づいて暗号化されたデータと、取得したユーザー登録情報に含まれる識別情報とを含む認証要求を生成し、当該認証要求を認証サーバーへ送信する認証要求部とを含む。認証サーバーは、情報処理装置に登録されているユーザーを識別するための識別情報と、ユーザー毎に設定された暗号キーとを対応付けた認証登録情報を記憶する認証登録情報記憶部と、情報処理装置から受信する認証要求に含まれる識別情報に対応して、認証登録情報に含まれる暗号キーを取得する暗号キー取得部と、取得した暗号キーに基づいて暗号化されたデータを復号し、認証結果を情報処理装置に送信する認証処理部とを含む。
好ましくは、情報処理装置は、ユーザーが所持するカードのカード情報を取得するカード情報取得部をさらに含み、ユーザー情報取得部は、ユーザーのカード情報取得部に対する指示操作に基づき取得したカード情報に基づいてユーザー登録情報記憶部に記憶されたユーザ登録情報を取得する。
好ましくは、情報処理装置は、ユーザーの生体情報を取得する生体情報取得部をさらに含み、ユーザー情報取得部は、ユーザの生体情報取得部に対する指示操作に基づき取得した生体情報に基づいてユーザー登録情報記憶部に記憶されたユーザ登録情報を取得する。
好ましくは、ユーザー情報取得部は、ユーザーのコードの入力指示操作に基づきユーザー登録情報記憶部に記憶されたユーザ登録情報を取得する。
好ましくは、情報処理装置は、認証結果を受信する受信部と、受信部で受信した認証結果に基づいて情報処理装置をログイン状態へ切り替えるログイン制御部とをさらに含む。
好ましくは、情報処理装置は、ユーザー毎にユーザ登録情報をユーザー登録情報記憶部に登録するユーザー登録管理部をさらに含み、認証サーバーは、ユーザー毎に認証登録情報を認証登録情報記憶部に登録する認証登録管理部とをさらに含む。
好ましくは、ユーザー登録管理部は、ユーザーの識別情報を含む登録要求を受け付けて、登録要求を認証サーバーに送信し、認証登録管理部は、登録要求を受け付けて、一時情報を生成して、情報処理装置に送信し、ユーザー登録管理部は、一時情報を受信して、ユーザー毎に暗号キーを生成し、暗号キーとともに暗号キーに基づいて一時情報を暗号化して認証サーバーに送信し、ユーザー登録管理部は、暗号キーに基づいて暗号化されたデータを復号し、復号結果に基づいて識別情報と、暗号キーとを対応付けた認証登録情報として認証登録情報記憶部に登録する。
好ましくは、ユーザー登録管理部は、暗号キーとして公開鍵と対を成す秘密鍵とを生成し、公開鍵とともに、秘密鍵に基づいて一時情報を暗号化して認証サーバーに送信し、認証登録管理部は、公開鍵に基づいて暗号化された一時情報を復号し、復号結果に基づいて識別情報と、公開鍵とを対応付けた認証登録情報として認証登録情報記憶部に登録する。
好ましくは、暗号キーは、有効期限が設定されている。
好ましくは、情報処理装置は、ユーザー毎にユーザ登録情報をユーザー登録情報記憶部に登録するユーザー登録管理部をさらに含み、ユーザー登録管理部は、ユーザー登録情報に含まれる暗号キーが有効期限内であるか否かを判断し、判断結果に基づいて、ユーザー毎にユーザ登録情報をユーザー登録情報記憶部に再登録する。
好ましくは、情報処理装置は、ユーザー毎にユーザ登録情報をユーザー登録情報記憶部に登録するユーザー登録管理部をさらに含み、ユーザー登録管理部は、ユーザー登録情報に含まれる暗号キーが有効期限内であるか否かを判断し、判断結果に基づいて、ユーザー毎にユーザ登録情報をユーザー登録情報記憶部に再登録する。
本開示の認証システムの制御方法は、情報処理装置と、情報処理装置とネットワークで接続された認証サーバーとを備える認証システムの制御方法であって、ユーザーを識別するための識別情報と、ユーザー毎に設定された暗号キーとを対応付けたユーザー登録情報を記憶するステップと、ユーザーの指示操作に基づき記憶されたユーザー登録情報を取得するステップと、取得したユーザー登録情報に含まれる暗号キーに基づいて暗号化されたデータと、取得したユーザー登録情報に含まれる識別情報とを含む認証要求を生成し、当該認証要求を認証サーバーへ送信するステップと、情報処理装置に登録されているユーザーを識別するための識別情報と、ユーザー毎に設定された暗号キーとを対応付けた認証登録情報を記憶するステップと、情報処理装置から受信する認証要求に含まれる識別情報に対応して、認証登録情報に含まれる暗号キーを取得するステップと、取得した暗号キーに基づいて暗号化されたデータを復号し、認証結果を情報処理装置に送信するステップとを備える。
以下、図面を参照しつつ、本開示に係る技術思想の実施の形態について説明する。以下の説明では、同一の部品には同一の符号を付してある。それらの名称および機能も同じである。したがって、それらについての詳細な説明は繰り返さない。
以下の実施形態では、情報処理装置の一種である画像形成装置として、たとえばMFP、プリンター、複写機、またはファクシミリなどが挙げられる。
図1は、実施形態に従う認証システムの構成について説明する図である。
図1を参照して、実施形態に従う認証システムは、認証サーバー100と、ネットワーク50と、情報処理装置であるMFP(Multi Functional Peripheral))1とを含む。MFP1は、ネットワーク50を介して認証サーバー100と通信可能に設けられており、認証サーバー100とデータの授受を実行することにより認証処理を実行する。
図1を参照して、実施形態に従う認証システムは、認証サーバー100と、ネットワーク50と、情報処理装置であるMFP(Multi Functional Peripheral))1とを含む。MFP1は、ネットワーク50を介して認証サーバー100と通信可能に設けられており、認証サーバー100とデータの授受を実行することにより認証処理を実行する。
図2は、実施形態に従う情報処理装置の一種である画像形成装置(MFP)1の構成について説明する図である。図2を参照して、画像形成装置(MFP)1は、コピー機能やスキャン機能等の複数の機能を備えるものであり、ネットワーク50を介して文書データや画像データの他、様々なデータを送受信することができる。
画像形成装置1は、CPU(制御部)10と、操作部12と、表示部14と、ネットワーク通信部16と、画像読取部18と、プリンタ部20と、ICカードリーダー22と、メモリ24と、RAM26と、生体情報取得部28とを含む。
操作部12は、タッチパネルおよび操作キーを含む。
表示部14は、情報を表示するディスプレイであり、タッチパネルが組み合わされて構成しても良い。
表示部14は、情報を表示するディスプレイであり、タッチパネルが組み合わされて構成しても良い。
ネットワーク通信部16には、アンテナ(図示しない)や無線モジュールなどが接続される。画像形成装置1は、アンテナや無線モジュールを介して、外部の通信機器との間でデータをやり取りする。外部の通信機器は、たとえば、スマートフォンなどの携帯通信端末、認証サーバー100などを含む。画像形成装置1は、アンテナを介して認証サーバー100から必要な情報をダウンロードできるように構成されていてもよい。
画像読取部18は、スキャナーであり、画像データを取得することが可能である。
プリンタ部20は、記録用紙に取得した画像データを印字することが可能である。
プリンタ部20は、記録用紙に取得した画像データを印字することが可能である。
画像形成装置1は、認証情報を取得する認証情報取得デバイスを備えている。本開示の画像形成装置1は、認証情報取得デバイスとして、ICカードリーダー22と、生体情報取得部28との2つのデバイスを備えている。ICカードリーダー22は、各ユーザーが所有するコンピュータ読み取り可能な記録媒体の内蔵された携帯型のICカード(携帯型記録媒体)から、その記録媒体に記録されている記録情報(カード情報)を読み取ることにより、ユーザー固有の認証情報を取得する。
また、生体情報取得部28は、例えばユーザーの身体特徴である指先の指紋パターン又は静脈パターンを生体情報として読み取り、その生体情報をユーザー固有の認証情報として取得する。ただし、生体情報取得部28が取得する生体情報は、必ずしも指紋パターンや静脈パターンに限られるものではなく、その他の生体情報であっても構わない。例えば、ユーザーの声紋や虹彩、顔画像などを生体情報として取得するものであっても良い。
画像形成装置1を使用するとき、操作部12に対する入力操作を行うことにより、所定文字数以上の文字列から成るユーザーIDとパスワードとを手動で入力して画像形成装置1にユーザー認証の開始を指示することができる。また操作部12に対する手動操作を行うことが煩わしい場合、ユーザーは、自身で携帯しているICカードをICカードリーダー22が読み取り可能な位置にセットしたり、或いは、ユーザーの指先を生体情報取得部28の読み取り位置にセットしたりすることにより、それら認証情報取得デバイスによって自動的に認証情報を取得させ、ユーザー認証の開始を指示することも可能である。また、ユーザー認証に成功して画像形成装置1がログイン状態になると、ユーザーは、操作部12に対してジョブの設定操作やジョブの実行指示などの各種入力操作を行うことができる。
CPU10は、画像形成装置1の各種プログラムを実行することで画像形成装置1の動作を制御する。CPU10は、プログラムの実行命令を受け付けたことに基づいて、メモリ24からRAM26にプログラムを読み出す。RAM26は、ワーキングメモリとして機能し、プログラムの実行に必要な各種データを一時的に格納する。
メモリ24は、たとえば、ハードディスク、SSD(Solid State Drive)その他の記憶装置である。メモリ24は、内蔵式、外付け式のいずれであってもよい。メモリ24は、本実施形態に従うプログラムなどを格納する。ただし、プログラムの格納場所はメモリ24に限定されず、ROM、RAM、外部機器(たとえば、サーバー)などに格納されていてもよい。プログラムは、単体のプログラムとしてではなく、任意のプログラムの一部に組み込まれて提供されてもよい。この場合、本実施形態に従う制御処理は、任意のプログラムと協働して実現される。このような一部のモジュールを含まないプログラムであっても、本実施形態に従うプログラムの趣旨を逸脱するものではない。さらに、プログラムによって提供される機能の一部または全部は、専用のハードウェアによって実現されてもよい。さらに、少なくとも1つのサーバーがプログラムの処理の一部を実行する所謂クラウドサービスのような形態で画像形成装置1が構成されてもよい。
図3は、実施形態に従う画像形成装置1の機能ブロックを説明する図である。図3を参照して、画像形成装置1は、CPU10がメモリ24に格納されたプログラムを実行することにより各種の機能ブロックを実現する。
画像形成装置1は、ユーザー情報取得部30と、認証要求部32と、ログイン制御部34と、ユーザー登録管理部36と、ユーザー登録情報記憶部38とを含む。
ユーザー登録情報記憶部38は、ユーザーを識別するための識別情報と、ユーザー毎に設定された暗号キーとを対応付けたユーザー登録情報を記憶する。
ユーザー情報取得部30は、ユーザーの指示操作に基づきユーザー登録情報記憶部38に記憶されたユーザー登録情報を取得する。ユーザー情報取得部30は、ユーザーのICカードリーダー22に対する指示操作に基づき取得したカード情報に基づいてユーザー登録情報記憶部38に記憶されたユーザ登録情報を取得する。ユーザー情報取得部30は、ユーザの生体情報取得部28に対する指示操作に基づき取得した生体情報に基づいてユーザー登録情報記憶部38に記憶されたユーザ登録情報を取得するようにしてもよい。ユーザー情報取得部30は、ユーザーのコードの入力指示操作に基づきユーザー登録情報記憶38部に記憶されたユーザ登録情報を取得するようにしてもよい。
認証要求部32は、取得したユーザー登録情報に含まれる暗号キーに基づいて暗号化されたデータを含む認証要求を生成し、当該認証要求を認証サーバー100へ送信する。
ログイン制御部34は、認証サーバー100からネットワーク通信部16を介して受信した認証結果に基づいて、画像形成装置1をログイン状態へ切り替える。
ユーザー登録管理部36は、ユーザー毎にユーザ登録情報をユーザー登録情報記憶部38に登録する。ユーザー登録管理部36は、ユーザーの識別情報を含む登録要求を受け付けて、登録要求を認証サーバー100に送信する。ユーザー登録管理部36は、認証サーバー100からネットワーク通信部16を介して一時情報を受信して、ユーザー毎に暗号キーを生成する。ユーザー登録管理部36は、生成した暗号キーとともに暗号キーに基づいて一時情報を暗号化して認証サーバー100に送信する。
ユーザー登録管理部36は、暗号キーとして公開鍵と対を成す秘密鍵とを生成してもよい。ユーザー登録管理部36は、公開鍵とともに、秘密鍵に基づいて一時情報を暗号化して認証サーバー100に送信してもよい。暗号キーは、有効期限が設定されるようにしてもよい。
ユーザー登録管理部36は、ユーザー登録情報に含まれる暗号キーが有効期限内であるか否かを判断し、判断結果に基づいて、ユーザー毎にユーザ登録情報をユーザー登録情報記憶部38に再登録するようにしてもよい。
図4は、実施形態に従う認証サーバー100の機能ブロックを説明する図である。図4を参照して、認証サーバー100は、認証処理部102と、暗号キー取得部104と、認証登録管理部106と、認証登録情報記憶部108とを含む。
認証登録情報記憶部108は、画像形成装置1に登録されているユーザーを識別するための識別情報と、ユーザー毎に設定された暗号キーとを対応付けた認証登録情報を記憶する。
暗号キー取得部104は、画像形成装置1から受信する認証要求に含まれる識別情報に対応して、認証登録情報に含まれる暗号キーを取得する。
認証処理部102は、取得した暗号キーに基づいて暗号化されたデータを復号し、認証結果を画像形成装置1に送信する。
認証登録管理部106は、ユーザー毎に認証登録情報を認証登録情報記憶部108に登録する。認証登録管理部106は、登録要求を受け付けて、一時情報を生成して、画像形成装置1に送信する。認証登録管理部106は、暗号キーに基づいて暗号化されたデータを復号し、復号結果に基づいて識別情報と、暗号キーとを対応付けた認証登録情報として認証登録情報記憶部108に登録する。認証登録管理部106は、公開鍵に基づいて暗号化された一時情報を復号し、復号結果に基づいて識別情報と、公開鍵とを対応付けた認証登録情報として認証登録情報記憶部108に登録してもよい。
図5は、実施形態に従う表示部14の表示画面の一例について説明する図である。図5を参照して、画面200が示されている。本例においては、「ICカードをタッチしてください。」が表示されている。ユーザーは、ログインを実行する際に、当該画面200にしたがってICカードリーダー22の読み取り可能な位置にICカードをセットすることが可能である。
図6は、実施形態に従う表示部14の表示画面の別の例について説明する図である。図6を参照して、ユーザーID登録画面210が示されている。本例においては、ユーザーIDを入力する入力欄212が設けられている。また、「OK」ボタン214が設けられている。
ユーザー登録情報がユーザー登録情報記憶部38に登録されていない場合には、ユーザーID登録画面210において、ユーザーIDの入力を求めてユーザー登録情報の登録処理を実行することが可能である。
図7は、実施形態に従うユーザー登録情報記憶部38が記憶するユーザー登録情報について説明する図である。図7を参照して、本例においては、カードIDに関連付けて、ユーザーID、暗号キー、一時キーとが関連付けられて登録されている。
一例として、カードID「0001」に対応してユーザーID「AAA」、暗号キー「Ekey0001」、一時キー「OTP1」とが関連付けられて登録されている。カードID「0007」に対応してユーザーID「BBB」、暗号キー「Ekey0007」、一時キー「OTP7」とが関連付けられて登録されている。カードID「0024」に対応してユーザーID「CCC」、暗号キー「Ekey0024」、一時キー「OTP24」とが関連付けられて登録されている。カードID「0581」に対応してユーザーID「DDD」、暗号キー「Ekey0581」、一時キー「OTP581」とが関連付けられて登録されている。カードID「0005」に対応してユーザーID「EEE」、暗号キー「Ekey0005」、一時キー「OTP5」とが関連付けられて登録されている。その他のユーザー登録情報についても同様である。
図8は、実施形態に従う認証登録情報記憶部108が記憶する認証登録情報について説明する図である。図8を参照して、本例においては、ユーザーID「AAA」に対応して暗号キー「Dkey0001」、一時キー「OTP1」が関連付けて登録されている。ユーザーID「BBB」に対応して暗号キー「Dkey0007」、一時キー「OTP7」が関連付けて登録されている。ユーザーID「CCC」に対応して暗号キー「Dkey0024」、一時キー「OTP24」が関連付けて登録されている。ユーザーID「DDD」に対応して暗号キー「Dkey0581」、一時キー「OTP581」が関連付けて登録されている。ユーザーID「EEE」に対応して暗号キー「Dkey0005」、一時キー「OTP5」が関連付けて登録されている。その他のユーザー登録情報についても同様である。
図9は、実施形態に従う画像形成装置1と認証サーバー100との間の登録処理の際のデータの授受の流れについて説明する図である。本例においては、ICカードを所持するユーザは、ユーザー登録していない場合について説明する。
図9を参照して、ICカードリーダー22は、カード情報を取得する(シーケンスSQ0)。ユーザー情報取得部30は、ICカードリーダー22を介して取得したカードIDに従ってユーザー登録情報記憶部38に記憶されたユーザ登録情報を取得できるか確認する(シーケンスSQ1)。本例においては、ユーザー情報取得部30は、取得したカード情報に従ってユーザー登録情報がユーザー登録情報記憶部38に登録されていない場合が示されている(シーケンスSQ2)。ユーザー情報取得部30は、ユーザー登録情報を取得できないと判断した場合には、ユーザー登録管理部36に指示する。ユーザー登録管理部36は、ユーザーID登録画面を表示する(シーケンスSQ4)。
ユーザー登録管理部36は、ユーザーID登録画面210において、ユーザーIDの入力に従って当該ユーザーIDの登録要求を認証サーバー100に送信する(シーケンスSQ6)。
次に、認証登録管理部106は、画像形成装置1からのユーザーIDの登録要求を受信して、一時キーを生成する(シーケンスSQ8)。
次に、認証登録管理部106は、生成した一時キーを画像形成装置1に送信する(シーケンスSQ10)。
ユーザー登録管理部36は、認証サーバー100からの一時キーを受信して、公開暗号鍵を生成する(シーケンスSQ11)。公開暗号鍵は、秘密鍵と公開鍵とを含む。
次に、ユーザー登録管理部36は、生成した公開暗号鍵の秘密鍵を用いて一時キーを暗号化する(シーケンスSQ12)。
ユーザー登録管理部36は、ユーザーIDと、暗号化データと、公開鍵を認証サーバー100に送信する。暗号化データは、一時キーを秘密鍵を用いて暗号化したものである。
認証登録管理部106は、ユーザーIDと、暗号化データと、公開鍵を認証サーバー100に受信し、公開鍵で暗号化データを復号する(シーケンスSQ16)。
認証登録管理部106は、復号した一時キーと、送信した一時キーが同じであるか否かを照合する(シーケンスSQ17)。
認証登録管理部106は、照合結果が一致していると判定した場合には、認証登録情報を認証登録情報記憶部108に登録する(シーケンスSQ18)。
認証登録管理部106は、登録完了通知を画像形成装置1に送信する(シーケンスSQ20)。
ユーザー登録管理部36は、認証サーバー100からの登録完了通知を受信した場合には、認証サーバー100における登録完了の結果を受けてユーザー登録情報をユーザー登録情報記憶部38に登録する(シーケンスSQ22)。
これにより登録処理が完了する。
図10は、実施形態に従う画像形成装置1と認証サーバー100との間の認証処理の際のデータの授受の流れについて説明する図である。本例においては、ICカードを所持するユーザは、ユーザー登録されている場合について説明する。
図10は、実施形態に従う画像形成装置1と認証サーバー100との間の認証処理の際のデータの授受の流れについて説明する図である。本例においては、ICカードを所持するユーザは、ユーザー登録されている場合について説明する。
図10を参照して、ICカードリーダー22は、カード情報を取得する(シーケンスSQ30)。ユーザー情報取得部30は、ICカードリーダー22を介して取得したカードIDに従ってユーザー登録情報記憶部38に記憶されたユーザー登録情報を取得できるか確認する(シーケンスSQ31)。本例においては、ユーザー情報取得部30は、取得したカード情報に従ってユーザー登録情報がユーザー登録情報記憶部38に登録されている場合が示されている(シーケンスSQ32)。次に、ユーザー情報取得部30は、認証要求部32に指示し、認証要求部32は、認証要求を生成する(シーケンスSQ34)。認証要求部32は、認証要求として、ユーザーIDと、暗号化データとを認証サーバー100に送信する。暗号化データは、一時キーを秘密鍵を用いて暗号化したものである。
次に、認証処理部102は、画像形成装置1からの認証要求を受信する(シーケンスSQ38)。
次に、認証処理部102は、認証要求に含まれるユーザーIDに従って暗号キーを取得する(シーケンスSQ40)。具体的には、認証処理部102は、認証登録情報記憶部108に記憶される認証登録情報からユーザーIDに対応する公開鍵を取得する。
次に、認証処理部102は、取得した公開鍵に基づいて暗号化データを復号する(シーケンスSQ42)。
認証処理部102は、復号した一時キーと、認証登録情報に含まれる一時キーが同じであるか否かを照合する(シーケンスSQ43)。
認証処理部102は、照合結果が一致していると判定した場合には、認証OKと判断する(シーケンスSQ44)。
認証処理部102は、認証OK通知を画像形成装置1に送信する(シーケンスSQ46)。
認証要求部32は、認証サーバー100からの認証OK通知を受信した場合には、ログイン制御部34に通知し、ログイン制御部34は、ログイン処理を実行する(シーケンスSQ48)。これにより認証処理が完了する。
実施形態に従う方式によれば、各ユーザー毎に暗号キーが生成されて、生成された暗号キーに基づいて認証処理が実行される。したがって、セキュアな認証を実行することが可能である。
また、本方式によれば、ユーザー毎に所持しているICカードを用いて、認証処理する際に、ICカードの情報を認証サーバー100に送信する必要がなく、ICカードの情報をセキュアな状態に保つことが可能である。
なお、本例においては、ICカードを用いたユーザーの認証方式について説明したが、ICカードに限られず、ICカードの代わりに生体情報を用いても同様に可能である。カードIDの代わりに生体情報を登録すれば良い。また、生体情報に限られず、例えば、PINコードを用いたユーザーの認証方式についても同様に適用可能である。
(変形例)
図11は、実施形態の変形例に従うユーザー登録情報記憶部38が記憶するユーザー登録情報について説明する図である。図11を参照して、本例においては、カードIDに関連付けて、ユーザーID、暗号キー、一時キー、作成日とが関連付けられて登録されている。
図11は、実施形態の変形例に従うユーザー登録情報記憶部38が記憶するユーザー登録情報について説明する図である。図11を参照して、本例においては、カードIDに関連付けて、ユーザーID、暗号キー、一時キー、作成日とが関連付けられて登録されている。
一例として、カードID「0001」に対応してユーザーID「AAA」、暗号キー「Ekey0001」、一時キー「OTP1」、作成日「XA」とが関連付けられて登録されている。カードID「0007」に対応してユーザーID「BBB」、暗号キー「Ekey0007」、一時キー「OTP7」、作成日「XB」とが関連付けられて登録されている。カードID「0024」に対応してユーザーID「CCC」、暗号キー「Ekey0024」、一時キー「OTP24」、作成日「XC」とが関連付けられて登録されている。カードID「0581」に対応してユーザーID「DDD」、暗号キー「Ekey0581」、一時キー「OTP581」、作成日「XD」とが関連付けられて登録されている。カードID「0005」に対応してユーザーID「EEE」、暗号キー「Ekey0005」、一時キー「OTP5」、作成日「XE」とが関連付けられて登録されている。その他のユーザー登録情報についても同様である。
実施形態の変形例においては、ユーザー登録情報に関して暗号キーの作成日が関連付けて登録されている。当該作成日を用いて暗号キーの有効期限が設定されている。例えば、有効期限として所定期間(一例として30日)が設定されているものとする。認証処理する日と暗号キーの作成日とを比較して、30日以内であれば当該暗号キーを利用可能であるものとする。一方で、30日を越えていれば当該暗号キーの利用を無効に設定する。
画像形成装置1は、暗号キーの利用が無効である場合には、ユーザー登録情報の再登録処理を実行する。
図12は、実施形態の変形例に従う画像形成装置1と認証サーバー100との間の再登録処理の際のデータの授受の流れについて説明する図である。本例においては、ICカードを所持するユーザは、ユーザー登録しているが暗号キーの有効期限が切れている場合について説明する。
図12を参照して、ICカードリーダー22は、カード情報を取得する(シーケンスSQ0)。ユーザー情報取得部30は、ICカードリーダー22を介して取得したカードIDに従ってユーザー登録情報記憶部38に記憶されたユーザ登録情報を取得できるか確認する(シーケンスSQ1)。本例においては、ユーザー情報取得部30は、取得したカード情報に従ってユーザー登録情報がユーザー登録情報記憶部38に登録されている場合が示されている(シーケンスSQ2)。次に、ユーザー情報取得部30は、ユーザー登録情報に含まれている暗号キーの有効期限を確認する(シーケンスSQ3A)。ユーザー情報取得部30は、取得したカード情報に従うユーザー登録情報に関して暗号キーの作成日と、認証処理する日とを比較して、30日以内か否かを判断する。
ユーザー情報取得部30は、暗号キーの有効期限が失効していると判断する(シーケンスSQ3B)。ユーザー情報取得部30は、取得したカード情報に従うユーザー登録情報に関して暗号キーの作成日と、認証処理する日とを比較して、30日以内でないと判断する。
次に、ユーザー情報取得部30は、暗号キーの有効期限が失効していると判断した場合には、ユーザー登録管理部36に指示する。ユーザー登録管理部36は、ユーザーID登録画面を表示する(シーケンスSQ4)。以降の処理は、図9で説明したのと同様である。
すなわち、ユーザー登録管理部36は、ユーザーID登録画面210において、ユーザーIDの入力に従って当該ユーザーIDの登録要求を認証サーバー100に送信する(シーケンスSQ6)。次に、認証登録管理部106は、画像形成装置1からのユーザーIDの登録要求を受信して、一時キーを生成する(シーケンスSQ8)。次に、認証登録管理部106は、生成した一時キーを画像形成装置1に送信する(シーケンスSQ10)。ユーザー登録管理部36は、認証サーバー100からの一時キーを受信して、公開暗号鍵を生成する(シーケンスSQ11)。公開暗号鍵は、秘密鍵と公開鍵とを含む。次に、ユーザー登録管理部36は、生成した公開暗号鍵の秘密鍵を用いて一時キーを暗号化する(シーケンスSQ12)。ユーザー登録管理部36は、ユーザーIDと、暗号化データと、公開鍵を認証サーバー100に送信する。暗号化データは、一時キーを秘密鍵を用いて暗号化したものである。認証登録管理部106は、ユーザーIDと、暗号化データと、公開鍵を認証サーバー100に受信し、公開鍵で暗号化データを復号する(シーケンスSQ16)。認証登録管理部106は、復号した一時キーと、送信した一時キーが同じであるか否かを照合する(シーケンスSQ17)。認証登録管理部106は、照合結果が一致していると判定した場合には、認証登録情報を認証登録情報記憶部108に登録する(シーケンスSQ18)。認証登録管理部106は、登録完了通知を画像形成装置1に送信する(シーケンスSQ20)。ユーザー登録管理部36は、認証サーバー100からの登録完了通知を受信した場合には、認証サーバー100における登録完了の結果を受けてユーザー登録情報をユーザー登録情報記憶部38に登録する(シーケンスSQ22)。
これにより再登録処理が完了する。
当該処理により、暗号キーの有効期限を設定して、当該有効期限が切れた場合には、新たに再登録処理を実行することにより暗号キーを再生成することが可能であり、セキュアな認証処理を維持することが可能である。
当該処理により、暗号キーの有効期限を設定して、当該有効期限が切れた場合には、新たに再登録処理を実行することにより暗号キーを再生成することが可能であり、セキュアな認証処理を維持することが可能である。
なお、本例においては、ICカードを用いたユーザーの認証方式について説明したが、ICカードに限られず、ICカードの代わりに生体情報を用いても同様に可能である。カードIDの代わりに生体情報を登録すれば良い。また、生体情報に限られず、例えば、PINコードを用いたユーザーの認証方式についても同様に適用可能である。
(他の実施形態)
上記の実施形態においては、ユーザIDを登録する場合について説明したが、ユーザIDとともにパスワード(PW)を登録する場合について説明する。
上記の実施形態においては、ユーザIDを登録する場合について説明したが、ユーザIDとともにパスワード(PW)を登録する場合について説明する。
図13は、他の実施形態に従う表示部14の表示画面の別の例について説明する図である。図13を参照して、ユーザーID登録画面210#が示されている。本例においては、ユーザーIDを入力する入力欄212およびパスワードを入力する入力欄213が設けられている。また、「OK」ボタン214が設けられている。
ユーザー登録情報がユーザー登録情報記憶部38に登録されていない場合には、ユーザーID登録画面210において、ユーザーIDおよびパスワードの入力を求めてユーザー登録情報の登録処理を実行することが可能である。
図14は、他の実施形態に従うユーザー登録情報記憶部38が記憶するユーザー登録情報について説明する図である。図14を参照して、本例においては、カードIDに関連付けて、ユーザーID、パスワード、暗号キーとが関連付けられて登録されている。
一例として、カードID「0001」に対応してユーザーID「AAA」、パスワード「PW1」、暗号キー「Ekey0001」とが関連付けられて登録されている。カードID「0007」に対応してユーザーID「BBB」、パスワード「PW7」、暗号キー「Ekey0007」とが関連付けられて登録されている。カードID「0024」に対応してユーザーID「CCC」、パスワード「PW24」、暗号キー「Ekey0024」とが関連付けられて登録されている。カードID「0581」に対応してユーザーID「DDD」、パスワード「PW581」、暗号キー「Ekey0581」とが関連付けられて登録されている。カードID「0005」に対応してユーザーID「EEE」、パスワード「PW5」、暗号キー「Ekey0005」とが関連付けられて登録されている。その他のユーザー登録情報についても同様である。
図15は、他の実施形態に従う認証登録情報記憶部108が記憶する認証登録情報について説明する図である。図15を参照して、本例においては、ユーザーID「AAA」に対応してパスワード「PW1」、暗号キー「Dkey0001」が関連付けて登録されている。ユーザーID「BBB」に対応してパスワード「PW7」、暗号キー「Dkey0007」が関連付けて登録されている。ユーザーID「CCC」に対応してパスワード「PW24」、暗号キー「Dkey0024」が関連付けて登録されている。ユーザーID「DDD」に対応してパスワード「PW581」、暗号キー「Dkey0581」が関連付けて登録されている。ユーザーID「EEE」に対応してパスワード「PW5」、暗号キー「Dkey0005」が関連付けて登録されている。その他のユーザー登録情報についても同様である。
図16は、他の実施形態に従う画像形成装置1と認証サーバー100との間の登録処理の際のデータの授受の流れについて説明する図である。本例においては、ICカードを所持するユーザは、ユーザー登録していない場合について説明する。図16を参照して、ICカードリーダー22は、カード情報を取得する(シーケンスSQ0)。ユーザー情報取得部30は、ICカードリーダー22を介して取得したカードIDに従ってユーザー登録情報記憶部38に記憶されたユーザ登録情報を取得できるか確認する(シーケンスSQ1)。本例においては、ユーザー情報取得部30は、取得したカード情報に従ってユーザー登録情報がユーザー登録情報記憶部38に登録されていない場合が示されている(シーケンスSQ2)。ユーザー情報取得部30は、ユーザー登録情報を取得できないと判断した場合には、ユーザー登録管理部36に指示する。ユーザー登録管理部36は、ユーザーID登録画面を表示する(シーケンスSQ4)。
ユーザー登録管理部36は、ユーザーID登録画面210において、ユーザーIDおよびパスワードの入力に従って当該ユーザーIDおよびパスワード(PW)の登録要求を認証サーバー100に送信する(シーケンスSQ6)。
次に、認証登録管理部106は、画像形成装置1からのユーザーIDおよびパスワード(PW)の登録要求を受信して、一時キーを生成する(シーケンスSQ8)。
次に、認証登録管理部106は、生成した一時キーを画像形成装置1に送信する(シーケンスSQ10)。
ユーザー登録管理部36は、認証サーバー100からの一時キーを受信して、公開暗号鍵を生成する(シーケンスSQ11)。公開暗号鍵は、秘密鍵と公開鍵とを含む。
次に、ユーザー登録管理部36は、生成した公開暗号鍵の秘密鍵を用いて一時キーを暗号化する(シーケンスSQ12)。
ユーザー登録管理部36は、ユーザーIDと、パスワード(PW)と、暗号化データと、公開鍵を認証サーバー100に送信する。暗号化データは、一時キーを秘密鍵を用いて暗号化したものである。
認証登録管理部106は、ユーザーIDと、パスワード(PW)と、暗号化データと、公開鍵を認証サーバー100に受信し、公開鍵で暗号化データを復号する(シーケンスSQ16)。
認証登録管理部106は、復号した一時キーと、送信した一時キーが同じであるか否かを照合する(シーケンスSQ17)。
認証登録管理部106は、照合結果が一致していると判定した場合には、認証登録情報を認証登録情報記憶部108に登録する(シーケンスSQ18)。認証登録情報記憶部108は、図15に示されるように画像形成装置1に登録されているユーザーを識別するための識別情報(ユーザーIDおよびパスワード)と、ユーザー毎に設定された暗号キー(公開鍵)とを対応付けた認証登録情報を記憶する。
認証登録管理部106は、登録完了通知を画像形成装置1に送信する(シーケンスSQ20)。
ユーザー登録管理部36は、認証サーバー100からの登録完了通知を受信した場合には、認証サーバー100における登録完了の結果を受けてユーザー登録情報をユーザー登録情報記憶部38に登録する(シーケンスSQ22)。ユーザ登録管理部36は、図14に示されるようにユーザー毎にユーザーIDおよびパスワードとユーザー毎に設定された暗号キー(秘密鍵)を対応付けたユーザー登録情報をユーザー登録情報記憶部38に登録する。
これにより登録処理が完了する。
図17は、他の実施形態に従う画像形成装置1と認証サーバー100との間の認証処理の際のデータの授受の流れについて説明する図である。本例においては、ICカードを所持するユーザは、ユーザー登録されている場合について説明する。
図17は、他の実施形態に従う画像形成装置1と認証サーバー100との間の認証処理の際のデータの授受の流れについて説明する図である。本例においては、ICカードを所持するユーザは、ユーザー登録されている場合について説明する。
図17を参照して、ICカードリーダー22は、カード情報を取得する(シーケンスSQ30)。ユーザー情報取得部30は、ICカードリーダー22を介して取得したカードIDに従ってユーザー登録情報記憶部38に記憶されたユーザー登録情報を取得できるか確認する(シーケンスSQ31)。本例においては、ユーザー情報取得部30は、取得したカード情報に従ってユーザー登録情報がユーザー登録情報記憶部38に登録されている場合が示されている(シーケンスSQ32)。次に、ユーザー情報取得部30は、認証要求部32に指示し、認証要求部32は、認証要求を生成する(シーケンスSQ34)。認証要求部32は、認証要求として、ユーザーIDと、暗号化データとを認証サーバー100に送信する。暗号化データは、パスワードを秘密鍵を用いて暗号化したものである。
次に、認証処理部102は、画像形成装置1からの認証要求を受信する(シーケンスSQ38)。
次に、認証処理部102は、認証要求に含まれるユーザーIDに従って暗号キーを取得する(シーケンスSQ40)。具体的には、認証処理部102は、認証登録情報記憶部108に記憶される認証登録情報からユーザーIDに対応する公開鍵を取得する。
次に、認証処理部102は、取得した公開鍵に基づいて暗号化データを復号する(シーケンスSQ42)。認証処理部102は、公開鍵を用いて暗号化されたパスワードを復号する。
認証処理部102は、復号したパスワードと、認証登録情報に含まれるパスワードが同じであるか否かを照合する(シーケンスSQ43)。
認証処理部102は、照合結果が一致していると判定した場合には、認証OKと判断する(シーケンスSQ44)。
認証処理部102は、認証OK通知を画像形成装置1に送信する(シーケンスSQ46)。
認証要求部32は、認証サーバー100からの認証OK通知を受信した場合には、ログイン制御部34に通知し、ログイン制御部34は、ログイン処理を実行する(シーケンスSQ48)。これにより認証処理が完了する。
他の実施形態に従う方式によれば、一時キーの代わりにパスワードを暗号化データとしてデータの授受が行われる。そして、各ユーザー毎に暗号キーが生成されて、生成された暗号キーに基づいて認証処理が実行される。したがって、セキュアな認証を実行することが可能である。
また、本方式によれば、ユーザー毎に所持しているICカードを用いて、認証処理する際に、ICカードの情報を認証サーバー100に送信する必要がなく、ICカードの情報をセキュアな状態に保つことが可能である。
なお、本例においては、ICカードを用いたユーザーの認証方式について説明したが、ICカードに限られず、ICカードの代わりに生体情報を用いても同様に可能である。カードIDの代わりに生体情報を登録すれば良い。また、生体情報に限られず、例えば、PINコードを用いたユーザーの認証方式についても同様に適用可能である。
今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
1 画像形成装置、12 操作部、14 表示部、16 ネットワーク通信部、18 画像読取部、20 プリンタ部、22 カードリーダー、24 メモリ、26 RAM、28 生体情報取得部、30 ユーザー情報取得部、32 認証要求部、34 ログイン制御部、36 ユーザー登録管理部、38 ユーザー登録情報記憶部、50 ネットワーク、100 認証サーバー、102 認証処理部、104 暗号キー取得部、106 認証登録管理部、108 認証登録情報記憶部。
Claims (11)
- 情報処理装置と、
前記情報処理装置とネットワークで接続された認証サーバーとを備え、
前記情報処理装置は、
ユーザーを識別するための識別情報と、前記ユーザー毎に設定された暗号キーとを対応付けたユーザー登録情報を記憶するユーザー登録情報記憶部と、
ユーザーの指示操作に基づき前記ユーザー登録情報記憶部に記憶された前記ユーザー登録情報を取得するユーザー情報取得部と、
取得したユーザー登録情報に含まれる暗号キーに基づいて暗号化されたデータと、取得したユーザー登録情報に含まれる識別情報とを含む認証要求を生成し、当該認証要求を前記認証サーバーへ送信する認証要求部とを含み、
前記認証サーバーは、
前記情報処理装置に登録されているユーザーを識別するための識別情報と、前記ユーザー毎に設定された暗号キーとを対応付けた認証登録情報を記憶する認証登録情報記憶部と、
前記情報処理装置から受信する認証要求に含まれる前記識別情報に対応して、前記認証登録情報に含まれる暗号キーを取得する暗号キー取得部と、
取得した暗号キーに基づいて前記暗号化されたデータを復号し、認証結果を前記情報処理装置に送信する認証処理部とを含む、認証システム。 - 前記情報処理装置は、ユーザーが所持するカードのカード情報を取得するカード情報取得部をさらに含み、
前記ユーザー情報取得部は、前記ユーザーの前記カード情報取得部に対する指示操作に基づき取得したカード情報に基づいて前記ユーザー登録情報記憶部に記憶された前記ユーザ登録情報を取得する、請求項1記載の認証システム。 - 前記情報処理装置は、ユーザーの生体情報を取得する生体情報取得部をさらに含み、
前記ユーザー情報取得部は、前記ユーザの前記生体情報取得部に対する指示操作に基づき取得した生体情報に基づいて前記ユーザー登録情報記憶部に記憶された前記ユーザ登録情報を取得する、請求項1記載の認証システム。 - 前記ユーザー情報取得部は、前記ユーザーのコードの入力指示操作に基づき前記ユーザー登録情報記憶部に記憶された前記ユーザ登録情報を取得する、請求項1記載の認証システム。
- 前記情報処理装置は、
前記認証結果を受信する受信部と、
前記受信部で受信した認証結果に基づいて前記情報処理装置をログイン状態へ切り替えるログイン制御部とをさらに含む、請求項1記載の認証システム。 - 前記情報処理装置は、ユーザー毎に前記ユーザ登録情報を前記ユーザー登録情報記憶部に登録するユーザー登録管理部をさらに含み、
前記認証サーバーは、ユーザー毎に前記認証登録情報を前記認証登録情報記憶部に登録する認証登録管理部とをさらに含む、請求項1記載の認証システム。 - 前記ユーザー登録管理部は、ユーザーの識別情報を含む登録要求を受け付けて、前記登録要求を前記認証サーバーに送信し、
前記認証登録管理部は、前記登録要求を受け付けて、一時情報を生成して、前記情報処理装置に送信し、
前記ユーザー登録管理部は、
前記一時情報を受信して、ユーザー毎に暗号キーを生成し、
前記暗号キーとともに前記暗号キーに基づいて前記一時情報を暗号化して前記認証サーバーに送信し、
前記ユーザー登録管理部は、前記暗号キーに基づいて前記暗号化されたデータを復号し、復号結果に基づいて前記識別情報と、前記暗号キーとを対応付けた前記認証登録情報として前記認証登録情報記憶部に登録する、請求項6記載の認証システム。 - 前記ユーザー登録管理部は、
前記暗号キーとして公開鍵と対を成す秘密鍵とを生成し、
前記公開鍵とともに、前記秘密鍵に基づいて前記一時情報を暗号化して前記認証サーバーに送信し、
前記認証登録管理部は、前記公開鍵に基づいて前記暗号化された一時情報を復号し、復号結果に基づいて前記識別情報と、前記公開鍵とを対応付けた前記認証登録情報として前記認証登録情報記憶部に登録する、請求項7記載の認証システム。 - 前記暗号キーは、有効期限が設定されている、請求項1記載の認証システム。
- 前記情報処理装置は、ユーザー毎に前記ユーザ登録情報を前記ユーザー登録情報記憶部に登録するユーザー登録管理部をさらに含み、
前記ユーザー登録管理部は、
前記ユーザー登録情報に含まれる前記暗号キーが有効期限内であるか否かを判断し、
判断結果に基づいて、ユーザー毎に前記ユーザ登録情報を前記ユーザー登録情報記憶部に再登録する、請求項1記載の認証システム。 - 情報処理装置と、前記情報処理装置とネットワークで接続された認証サーバーとを備える認証システムの制御方法であって、
ユーザーを識別するための識別情報と、前記ユーザー毎に設定された暗号キーとを対応付けたユーザー登録情報を記憶するステップと、
ユーザーの指示操作に基づき記憶された前記ユーザー登録情報を取得するステップと、
取得したユーザー登録情報に含まれる暗号キーに基づいて暗号化されたデータと、取得したユーザー登録情報に含まれる識別情報とを含む認証要求を生成し、当該認証要求を前記認証サーバーへ送信するステップと、
前記情報処理装置に登録されているユーザーを識別するための識別情報と、前記ユーザー毎に設定された暗号キーとを対応付けた認証登録情報を記憶するステップと、
前記情報処理装置から受信する認証要求に含まれる前記識別情報に対応して、前記認証登録情報に含まれる暗号キーを取得するステップと、
取得した暗号キーに基づいて前記暗号化されたデータを復号し、認証結果を前記情報処理装置に送信するステップとを備える、認証システムの制御方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021102559A JP2023001687A (ja) | 2021-06-21 | 2021-06-21 | 認証システムおよび認証システムの制御方法 |
US17/748,492 US20220407686A1 (en) | 2021-06-21 | 2022-05-19 | Authentication System and Method for Controlling Authentication System |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021102559A JP2023001687A (ja) | 2021-06-21 | 2021-06-21 | 認証システムおよび認証システムの制御方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2023001687A true JP2023001687A (ja) | 2023-01-06 |
Family
ID=84489504
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021102559A Pending JP2023001687A (ja) | 2021-06-21 | 2021-06-21 | 認証システムおよび認証システムの制御方法 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20220407686A1 (ja) |
JP (1) | JP2023001687A (ja) |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5289152B2 (ja) * | 2009-04-14 | 2013-09-11 | 三菱電機株式会社 | 生体認証装置および生体認証システム |
JP5761241B2 (ja) * | 2013-03-25 | 2015-08-12 | コニカミノルタ株式会社 | 認証システム、情報処理装置、認証方法及びプログラム |
JP7106965B2 (ja) * | 2018-04-25 | 2022-07-27 | 富士通株式会社 | 情報処理装置、認証制御システム、及び認証制御プログラム |
-
2021
- 2021-06-21 JP JP2021102559A patent/JP2023001687A/ja active Pending
-
2022
- 2022-05-19 US US17/748,492 patent/US20220407686A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
US20220407686A1 (en) | 2022-12-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10135812B2 (en) | Authenticating system, information processing device, authenticating method and non-transitory computer readable recording medium | |
JP5365512B2 (ja) | ソフトウェアicカードシステム、管理サーバ、端末、サービス提供サーバ、サービス提供方法及びプログラム | |
JP4867760B2 (ja) | 情報処理装置および方法、並びに情報処理システム | |
JP6882080B2 (ja) | 画像処理装置、方法、プログラム及びシステム | |
US20070107042A1 (en) | System and method for limiting access to a shared multi-functional peripheral device | |
KR102514429B1 (ko) | 생체인식 데이터 템플레이트의 업데이트 | |
JP2021185710A (ja) | 認証方法及び認証システム | |
JP6479723B2 (ja) | 秘密鍵管理システムおよび秘密鍵管理方法 | |
JP2007079857A (ja) | サーバー装置、クライアント装置及びそれらの制御方法、コンピュータプログラム、記憶媒体 | |
EP1846830A2 (en) | Access keys | |
WO2021111824A1 (ja) | 電子署名システム及び耐タンパ装置 | |
KR102012262B1 (ko) | 키 관리 방법 및 fido 소프트웨어 인증장치 | |
CN109218026B (zh) | 执行授权机制的方法和*** | |
CN113366461B (zh) | 使用非对称密码访问固件设置 | |
JP7200785B2 (ja) | 情報処理装置、情報処理システム、及びプログラム | |
CN103684777B (zh) | 信息处理***、信息处理方法、图像输入装置和信息处理装置 | |
CN114006700A (zh) | 客户端登录方法、装置、计算机设备和存储介质 | |
JP6841781B2 (ja) | 認証サーバ装置、認証システム及び認証方法 | |
JP2023001687A (ja) | 認証システムおよび認証システムの制御方法 | |
KR101537564B1 (ko) | 생체인식 중계 인증 시스템 및 그 방법 | |
KR101933090B1 (ko) | 전자 서명 제공 방법 및 그 서버 | |
JP2019168843A (ja) | 管理サーバ、認証方法、コンピュータプログラム、サービス連携システム、通信端末及び電子錠 | |
JP4372403B2 (ja) | 認証システム | |
JP7143164B2 (ja) | 入出管理システム、入出管理装置、およびプログラム | |
JP4768897B2 (ja) | 認証データ記憶装置及び認証システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240516 |