JP2007220075A - 個人認証装置、位置情報送信装置、個人認証システム、個人認証方法、及び個人認証プログラム - Google Patents
個人認証装置、位置情報送信装置、個人認証システム、個人認証方法、及び個人認証プログラム Download PDFInfo
- Publication number
- JP2007220075A JP2007220075A JP2006193780A JP2006193780A JP2007220075A JP 2007220075 A JP2007220075 A JP 2007220075A JP 2006193780 A JP2006193780 A JP 2006193780A JP 2006193780 A JP2006193780 A JP 2006193780A JP 2007220075 A JP2007220075 A JP 2007220075A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- information
- determination information
- user
- determination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】 安全性を確保しつつ認証処理の負担を軽減する個人認証装置を提供する。
【解決手段】 利用者の認証が必要な操作の操作対象と、前記操作対象に対して必要な認証の程度を表す判定情報とを対応づけて格納する判定指数テーブル121と、操作を行う場所を一意に識別する位置情報と、場所に応じた認証の程度を表す位置判定情報とを対応づけて格納するエリア指数テーブル122と、利用者が行う操作の操作対象に対応する判定情報を判定指数テーブル121から取得し、操作が行われる場所の位置情報を記憶する外部機器から位置情報を取得し、取得した位置情報に対応する位置判定情報をエリア指数テーブル122から取得し、判定情報と位置判定情報とを比較した比較結果に基づき、利用者の認証方法を選択する認証方法選択部103と、を備えた。
【選択図】 図2
【解決手段】 利用者の認証が必要な操作の操作対象と、前記操作対象に対して必要な認証の程度を表す判定情報とを対応づけて格納する判定指数テーブル121と、操作を行う場所を一意に識別する位置情報と、場所に応じた認証の程度を表す位置判定情報とを対応づけて格納するエリア指数テーブル122と、利用者が行う操作の操作対象に対応する判定情報を判定指数テーブル121から取得し、操作が行われる場所の位置情報を記憶する外部機器から位置情報を取得し、取得した位置情報に対応する位置判定情報をエリア指数テーブル122から取得し、判定情報と位置判定情報とを比較した比較結果に基づき、利用者の認証方法を選択する認証方法選択部103と、を備えた。
【選択図】 図2
Description
この発明は、パソコンや携帯電話などの機器が設置されているエリアによって認証方法を変更する個人認証装置、そのエリアを示す位置情報を提供する位置情報送信装置、個人認証システム、個人認証方法、及び個人認証プログラムに関するものである。
近年、ノートパソコンなどのモバイル機器の盗難、置き忘れ、または不正利用による事件・事故が多発している。特に、企業で利用されるノートパソコンには、個人情報や社外秘情報といった重要なファイルや、企業内システムにアクセスするためのアプリケーションが保持されているため被害が大きく、社会的な問題となっている。
そこで、このような事件・事故を未然に防ぐために、物理セキュリティ技術、情報セキュリティ技術などのセキュリティ技術を利用することが一般的となっている。
物理セキュリティ技術とは、装置や環境などの物理的情報に基づくセキュリティ技術をいい、部屋や建物の内部への不正者の侵入を防止するための入退室管理や、装置から一定距離内に利用者が存在することを確認する在籍管理などが該当する。
具体的には、例えば、前者に関しては、ICカードやバイオメトリクスを用いた施錠システムが提案・実装されている。また、後者に関しては、利用者が携帯する機器と操作対象装置とが通信を行い、利用者の位置を特定する技術(例えば、特定文献1)や、利用者の位置を特定し、所定の条件を満たさない場合には操作対象装置の利用を制限する技術(例えば、特許文献2)が提案されている。
特許文献1の方法では、利用者が携帯している機器との通信により利用者が存在する場所を特定する。また、特許文献2の方法では、利用者が携帯する機器から送信される信号を受信できた場合に操作対象装置を利用可能とすることにより利用制限を行う。このように、物理セキュリティ技術は、機器を利用する人をパスワードで認証するのではなく、物理的な媒体を保持しているか否かによって認証する技術である。
特許文献1や特許文献2の方法では、利用者が携帯する機器を用いて利用制限を行うため、携帯する機器を自宅や会社に忘れてきた場合には機器の利用ができない。また、モバイル機器を他の利用者と共有する場合や、単に計算機能といったセキュリティ上問題とならないアプリケーションを他の人に利用させる場合であっても、携帯する機器も同時に貸し出さなければならないという課題も存在する。
情報セキュリティ技術とは、物理セキュリティ技術以外の情報を保護するための一般的なセキュリティ技術をいい、機器に保持されているデータを保護する認証技術などが該当する。
例えば、モバイル機器の起動時や終了時、ファイルの起動時、またはアプリケーションの起動時に、利用者が記憶しているパスワードを用いて認証を実施するパスワード認証技術が広く用いられている。
モバイル機器の盗難・置き忘れまたは不正利用による事件事故を未然に防ぐためにパスワード認証技術を適用することには、パスワードの設定や認証の手続きが簡便となること、システム運用が容易になることなどの利点がある。また、認証用の特別な機器を携帯する必要がないため、物理セキュリティ技術で生じる上述の課題も発生しない。
一方、パスワード認証の耐性はパスワードの種類や文字数の選び方に依存するため、パスワード認証では推測や総当りによる攻撃が可能である。したがって、今後計算機の処理能力が向上した場合などには、その安全性の確保が困難になる可能性がある。
これに対し、パスワードだけでなくメールアドレスや住所などの利用者に関連する情報を用いた認証方法を複数用意し、認証の手続きごとにランダムに、かつ、複数の認証方法を適用することによって高精度の認証を実現する技術が提案されている(例えば、特許文献3)。
特開2005−198135公報
特許第2931276号公報
特開2005−4569公報
しかしながら、特許文献3の方法では、複数の情報を用いて認証を行う必要があるため、利用者の情報の管理負担や、認証手続きの処理負担が増大するという問題があった。すなわち、一般に認証技術では、安全性を確保しようとすると認証処理の負担が大きくなり、認証処理の負担を軽減しようとすると安全性が損なわれるというトレードオフの問題があった。
本発明は、上記に鑑みてなされたものであって、機器の位置情報を取得し、その結果によって利用者の認証方法を変更することにより、安全性を確保しつつ認証処理の負担を軽減することができる個人認証装置、位置情報送信装置、個人認証システム、個人認証方法、及び個人認証プログラムを提供することを目的とする。
上記目的を達成するために、本発明の個人認証装置は、利用者の認証が必要な操作の対象と、前記操作の対象に対して必要な認証の程度を表す操作判定情報とを対応づけて格納する操作判定情報記憶手段と、利用者が操作を行う場所を一意に識別する位置情報と、前記場所に応じた認証の程度を表す位置判定情報とを対応づけて格納する位置情報記憶手段と、前記操作判定情報記憶手段から利用者が行う前記操作の対象に対応する前記操作判定情報を取得する操作判定情報取得手段と、利用者が前記操作を行う場所の前記位置情報を取得する位置情報取得手段と、前記位置情報取得手段が取得した前記位置情報に対応する前記位置判定情報を前記位置情報記憶手段から取得する位置判定情報取得手段と、前記操作判定情報取得手段が取得した前記操作判定情報と、前記位置判定情報取得手段が取得した前記位置判定情報とを比較し、当該比較結果に基づき、利用者の認証方法を選択する認証方法選択手段と、を備えたことを特徴とする。
また、本発明の位置情報送信装置は、利用者が行う操作の対象に対して必要な認証の程度と、前記操作を行う場所を一意に識別する位置情報に応じた認証の程度とを比較し、当該比較結果に基づいて利用者の認証方法を選択する個人認証装置とネットワークを介して接続され、前記個人認証装置からの要求に応じて前記位置情報を送信する位置情報送信装置であって、利用者が前記操作を行う場所を特定するための特定情報と前記位置情報とを対応づけて格納する位置情報記憶手段と、前記個人認証装置から送信された前記位置情報の取得要求から前記特定情報を抽出する抽出手段と、抽出した前記特定情報に対応する前記位置情報を前記位置情報記憶手段から取得する位置情報取得手段と、前記位置情報から取得した前記位置情報を前記個人認証装置に送信する送信手段と、を備えることを特徴とする。
また、本発明の個人認証システムは、位置情報送信装置が有する情報を基に個人認証装置が認証を行う個人認証システムであって、前記個人認証装置は、利用者の認証が必要な操作の対象と、前記操作の対象に対して必要な認証の程度を表す操作判定情報とを対応づけて格納する操作判定情報記憶手段と、利用者が操作を行う場所を一意に識別する位置情報と、前記場所に応じた認証の程度を表す位置判定情報とを対応づけて格納する第1の位置情報記憶手段と、前記操作判定情報記憶手段から利用者が行う前記操作の対象に対応する前記操作判定情報を取得する操作判定情報取得手段と、前記位置情報送信装置から利用者が行う前記操作が行われる場所の前記位置情報を取得する位置情報取得手段と、前記位置情報取得手段が取得した前記位置情報に対応する前記位置判定情報を前記位置情報記憶手段から取得する位置判定情報取得手段と、前記操作判定情報取得手段が取得した前記操作判定情報と、前記位置判定情報取得手段が取得した前記位置判定情報とを比較し、前記比較結果に基づき、利用者の認証方法を選択する認証方法選択手段と、を備え前記位置情報送信装置は、利用者が前記操作を行う場所を一意に識別する前記位置情報を格納する第2の位置情報記憶手段と、前記位置情報を、前記個人認証装置に送信する送信手段と、を備えることを特徴とする。
また、本発明の個人認証方法は、利用者の認証が必要な操作の操作対象と、前記操作対象に対して必要な認証の程度を表す情報とを対応づけて格納する操作判定情報記憶手段から、利用者が行う前記操作の前記操作対象に対応する前記操作判定情報を取得する操作判定情報取得ステップと、利用者が行う前記操作が行われる場所の前記位置情報を記憶する外部機器から、前記位置情報を取得する位置情報取得ステップと、前記操作を行う場所を一意に識別する位置情報と、前記場所に応じた認証の程度を表す位置判定情報とを対応づけて格納する位置情報記憶手段から、前記位置情報取得ステップが取得した前記位置情報に対応する前記位置判定情報を取得する位置判定情報取得ステップと、前記操作判定情報取得ステップが取得した前記操作判定情報と、前記位置判定情報取得ステップが取得した前記位置判定情報とを比較し、比較結果に基づき、利用者の認証方法を選択する認証方法選択ステップと、を備えたことを特徴とする。
また、本発明の個人認証プログラムは、利用者の認証が必要な操作の操作対象と、前記操作対象に対して必要な認証の程度を表す操作判定情報とを対応づけて格納する操作判定情報記憶手段から、利用者が行う前記操作の前記操作対象に対応する前記操作判定情報を取得する操作判定情報取得手順と、利用者が行う前記操作が行われる場所の前記位置情報を記憶する外部機器から、前記位置情報を取得する位置情報取得手順と、前記操作を行う場所を一意に識別する位置情報と、前記場所に応じた認証の程度を表す位置判定情報とを対応づけて格納する位置情報記憶手段から、前記位置判定情報取得手順が取得した前記位置判定情報とを比較し、比較結果に基づき、利用者の認証方法を選択する認証方法選択手順と、をコンピュータに実行させる。
本発明によれば、位置情報による機器の利用場所の認証の結果に応じて、利用者を認証する方法を変更することができため、安全性を確保しつつ認証処理の負担を軽減することができるという効果を奏する。
以下に添付図面を参照して、この発明にかかる個人認証システムの最良な実施の形態を詳細に説明する。
(第1の実施の形態)
第1の実施の形態にかかる個人認証システムは、位置情報送信装置と、この位置情報送信装置が送信する位置情報に応じて利用者の認証方法を変更する個人認証装置を有している。
第1の実施の形態にかかる個人認証システムは、位置情報送信装置と、この位置情報送信装置が送信する位置情報に応じて利用者の認証方法を変更する個人認証装置を有している。
図1は、第1の実施の形態にかかる個人認証システムの全体構成の一例を示す説明図である。同図では、ノートパソコンや携帯電話などの携帯型の個人認証装置100が、個人認証装置100を利用する室内等に固定された位置情報送信装置200との間で無線通信を行う構成の例が示されている。
位置情報送信装置200は、予め設定されたエリアを識別するためのエリア識別情報(位置情報)を、個人認証装置100からの要求により送信するものである。なお、同図の左側に示すように、位置情報送信装置200をICカードや携帯電話といった利用者が携帯する機器により構成してもよい。この場合、当該機器に付された非接触ICタグ(RFID(Radio Frequency Identification)タグ)やバーコードからエリア識別情報を取得するように構成してもよい。
個人認証装置100は、利用者が予め設定された認証を必要とする操作を実施した際、位置情報送信装置200を介して在圏するエリアの識別を行い、その後、必要に応じて利用者の認証を実施するものである。
図2は、第1の実施の形態にかかる個人認証装置100および位置情報送信装置200の構成を示すブロック図である。同図に示すように、個人認証装置100は、記憶部120と、送受信部111と、操作部112と、表示部113と、操作判定部101と、エリア情報取得部102と、認証方法選択部103と、利用者認証部104と、判定部105と、設定部106とを備えている。
記憶部120は、利用者が保持するファイルおよびアプリケーション、認証処理で利用する各種プログラムおよび各種情報を記憶する記憶媒体である。記憶部120は、HDD(Hard Disk Drive)、光ディスク、メモリカード、RAM(Random Access Memory)などの一般的に利用されているあらゆる記憶媒体により構成することができる。
また、記憶部120は、判定指数テーブル121と、エリア指数テーブル122と、利用者指数テーブル123と、認証テーブル124とを備えている。
判定指数テーブル121は、利用者が個人認証装置100上で行う操作に対して、認証を必要とする操作の対象と操作の種別ごとに、必要な認証の程度を表す指数を格納するものである。この指数を参照して、利用者が実行する操作に必要な認証方法を決定することができる。
図3は、第1の実施の形態における判定指数テーブル121のデータ構造の一例を示す説明図である。同図に示すように、判定指数テーブル121は判定対象情報と、操作情報と、判定指数とを対応づけて格納している。
判定対象情報とは、認証が必要となる操作の操作対象を表す情報をいい、アプリケーション、ファイル、装置本体などが該当する。各情報を一意に識別可能とするため、アプリケーションおよびファイルの場合はパスが記述され、装置本体の場合は予め決められた識別名が与えられる。
操作情報とは、判定対象情報に対して利用者が行う操作の種別を特定するための情報である。第1の実施の形態では、0のときは読み込み専用、1のときは書込み、2のときは起動、3のときは終了を示す。
判定指数とは、判定対象情報が示す対象が操作情報に基づいた操作を行う際に必要な認証の程度を表す指数、言い換えると、確保しなければならない安全性を表す指数を意味する情報である。
同図では、例えば、社外秘ファイルを表す判定対象情報“ドライブ(D)\secret.file”を読み込み専用で開く場合、操作情報が0となるため、判定指数が70であることが示されている。この場合、後述するエリア情報取得部102が取得するエリア識別コードを参照してエリア指数テーブル122から取得されるエリア指数と、後述する利用者認証部104が実施する認証方法を参照して利用者指数テーブル123から取得される利用者指数とから算出される認証指数が、判定指数(70)以上にならなければ利用することができない。
エリア指数テーブル122は、個人認証装置100を利用する場所を表す情報であるエリアごとに、当該エリアの安全性を示す情報であるエリア指数を格納するものである。エリア指数テーブル122は、送受信部111で受信したエリア識別コードをエリア指数に変換する際に参照される。
図4は、エリア指数テーブル122のデータ構造の一例を示す説明図である。同図に示すように、エリア指数テーブル122は、エリア名と、エリアを一意に識別するための識別子であるエリア識別コードと、エリア指数とを対応づけて格納している。
同図に示す例では、例えば、エリア名“3F−W”は、エリア識別コードが“603FWSPR”、エリア指数が80であり、エリア名“2F−E”は、エリア識別コードが“702FENPR”、エリア指数が50であることが示されている。これは、エリア名“3F−W”で示される場所の方が、エリア名“2F−E”で示される場所より安全性が高いことを示している。
利用者指数テーブル123は、利用者を認証した方法である認証方法ごとに、当該認証方法の安全性を示す情報である利用者指数を格納するものである。
図5は、利用者指数テーブル123のデータ構造の一例を示す説明図である。同図に示すように、利用者指数テーブル123は、利用者認証方法と、利用者指数とを対応づけて格納している。
利用者認証方法とは、利用者を認証する際に用いる認証の種類を示す情報であり、同図では、パスワード、公開鍵、指紋を指定した例が示されている。認証方法はこれに限られるものではなく、例えば虹彩を用いたバイオメトリクス認証などの一般的に利用されているあらゆる認証方法を指定することができる。
利用者指数とは、認証方法の安全性を示す情報である。言い換えると、利用者指数は、認証に用いた情報が個人を特定する程度を表す情報である。個人に特有の情報を用いた認証であるほど高い数値が割り当てられる。
同図に示す例では、例えば、パスワードを用いた認証を実施した場合には、利用者指数は20、指紋を用いた認証を実施した場合には、利用者指数は60となる。このように、パスワード認証よりも、個人に特有の情報である指紋を用いた指紋認証の方が高い利用者指数を割り当てる。
認証テーブル124は、利用者が入力した認証情報が正しいか否かを判定するための情報を格納するものである。
図6は、認証テーブル124のデータ構造の一例を示す説明図である。同図に示すように、認証テーブル124は、個人識別情報と利用者認証方法と認証情報とを対応づけて格納している。
個人識別情報は、利用者を一意に識別するための識別情報である。利用者認証方法は、利用者指数テーブル123で指定した利用者認証方法と同じ情報を表す。
認証情報とは、利用者を特定するために用いる情報をいい、個人識別情報および利用者認証方法ごとに指定される。同図では、例えば、個人識別情報が“001”の利用者がパスワード認証を実行するときには、認証情報として“A#88F4&cnB”を用いて、利用者が入力したパスワードとの照合が行われることが示されている。
なお、認証テーブル124内の認証情報を秘匿するため、暗号化アルゴリズムを用いて暗号化した認証情報を認証テーブル124に格納するように構成してもよい。
送受信部111は、位置情報送信装置200と通信を行い、個人認証装置100が在圏するエリアを特定するためのエリア識別コードを取得するものである。第1の実施の形態では、無線により通信を行うが、エリア識別コードが取得できる形態であれば、有線通信、Bluetooth、赤外線通信などの一般的に利用されているあらゆる通信形態を適用することができる。
操作部112は、利用者の操作入力や利用者認証に必要な情報の入力を行う入力デバイスであり、具体的には、キーボードやマウスなどのユーザインターフェースデバイスおよび指紋や虹彩などのバイオメトリクスによる認証を実現するデバイスを示す。
表示部113は、認証処理に必要な各種画面(後述)を表示するための表示デバイスであり、ディスプレイなどの一般的な表示デバイスにより構成される。
操作判定部101は、利用者が行った操作を検出するものである。具体的には、操作判定部101は、個人認証装置100の電源の投入・終了、ファイルやアプリケーションの実行および終了を検出する。操作判定部101が操作を検出する方法としては、OS(Operating System)の機能を利用した方法などの従来から用いられているあらゆる方法を適用することができる。
エリア情報取得部102は、判定部105が認証処理を実行する際に、位置情報送信装置200に対してエリア識別コードの要求を行い、位置情報送信装置200からエリア識別コードを取得すると、エリア指数テーブル122から当該エリア識別コードに対応するエリア指数を取得するものである。
また、エリア情報取得部102は、予め定められた期間経過時に、定期的にエリア識別コードの要求を位置情報送信装置200に対して実行し、対応するエリア指数を定期的に取得するように構成してもよい。
なお、位置情報送信装置200をICカードなどの利用者が携帯する機器により構成する場合は、エリア情報取得部102は、例えば、RFIDリーダーなどにより当該装置に付されたRFIDから位置情報を取得するように構成することができる。
また、エリア情報取得部102は、RFIDタグから情報を読み取るものに限られず、利用者が携帯する機器から現在位置の位置情報を取得するものであればあらゆる方法を適用することができる。例えば、機器に付された2次元バーコードなどのバーコードから固有情報を読み取るように構成してもよい。
認証方法選択部103は、操作判定部101が検出した操作の操作対象に対応する判定指数と、エリア情報取得部102が取得したエリア指数とから、利用者の認証方法を選択するものである。
具体的には、例えば、認証方法選択部103は、エリア指数が判定指数より大きい場合には、利用者の認証を実行しないと判定する。当該エリア指数に対応するエリアは安全性が高いため、利用者は認証なしでも該当する操作を実行可能とするためである。
また、例えば、認証方法選択部103は、エリア指数が判定指数より小さい場合は、判定指数とエリア指数との差分より大きい利用者指数に対応づけられた認証方法を選択する。これにより、操作を実行するエリアに応じた適切な認証方法を適用することができる。
また、認証方法選択部103は、予め定められた認証方法を選択するように構成してもよいし、複数の認証方法の中から無作為に認証方法を選択するように構成してもよい。この場合、選択した認証方法に対応する利用者指数をエリア指数に加算した認証指数が、判定指数より小さいときには、認証方法選択部103はさらに別の認証方法を選択し、当該別の認証方法に対応する利用者指数を加算した認証指数が判定指数を超えるまでこれを繰り返す。これにより、複数の認証方法を適用していずれも正常に認証された場合でなければ、対応する操作を実行できないようにすることができる。
利用者認証部104は、認証方法選択部103が選択した認証方法により利用者の認証を行うものである。利用者認証部104は、認証テーブル124に格納された認証情報を参照して認証処理を行う。
判定部105は、エリア情報取得部102が取得したエリア指数と利用者認証部104が取得した利用者指数とから生成される認証指数が、判定指数以上であるか否かの判断を行うことにより、認証の可否を判定するものである。
また、判定部105は、操作判定部101が検出した操作の種別などの、認証可否の判定の前提として必要な各種情報の取得を行う。例えば、判定部105は、ファイルを開いたときに、当該ファイルを読み取り専用で開くか、書き込むために開くかなどを示す操作の種別を取得する。
判定部105が操作の種別を検出する方法としては、OS(Operating System)の機能を利用した方法などの従来から用いられているあらゆる方法を適用することができる。
設定部106は、記憶部120に記憶されている判定指数テーブル121、エリア指数テーブル122、利用者指数テーブル123、認証テーブル124への情報の登録を行うものである。
次に、位置情報送信装置200の構成について説明する。図2に示すように、位置情報送信装置200は、送受信部211と、制御部201と、エリア情報記憶部221とを備えている。
エリア情報記憶部221は、位置情報送信装置200が設置されているエリアに対応するエリア識別コードや、エリア識別コード送信処理で利用する各種制御プログラム等を記憶する記憶媒体であり、HDD、光ディスク、メモリカード、RAMなどの一般的に利用されているあらゆる記憶媒体により構成することができる。
送受信部211は、個人認証装置100から送信されたエリア識別コードの取得要求を受信するとともに、当該取得要求に応じてエリア情報記憶部221から取得されたエリア識別コードを、個人認証装置100に送信するものである。
制御部201は、送受信部211が受信したエリア識別コードの取得要求に応じて、エリア情報記憶部221からエリア識別コードを取得し、個人認証装置100に送信する処理を制御するものである。
次に、このように構成された第1の実施の形態にかかる個人認証装置100による認証処理について説明する。図7は、第1の実施の形態における認証処理の全体の流れを示すフローチャートである。
まず、操作判定部101が、利用者が行ったアプリケーションの起動などの操作を検出する(ステップS701)。次に、判定部105が、操作されたアプリケーション等に対応するパスまたは装置本体の識別名と、操作の種別とを取得する(ステップS702)。例えば、利用者がメーラー(ドライブ(C)\mail\mail.exe)を起動したときには、判定部105は、操作対象のパスとして“ドライブ(C)\mail\mail.exe”、操作の種別として“起動”を取得する。なお、判定指数テーブル121の操作情報と同様に、利用者が行った操作の種別は、0のときは読み込み専用、1のときは書込み可能、2のときは起動、3のときは終了を示す。
また、例えば、利用者がモバイル端末である装置本体を起動したときは、予め定められた識別名(例えば、“Mobile”)と、操作の種別として“起動(2)”を取得する。
次に、判定部105は、判定指数テーブル121から、1つの判定対象情報を取得する(ステップS703)。例えば、最初のステップS703の処理では、図3に示すような判定指数テーブル121から、判定対象情報として、“ドライブ(C)\personal\personalinfoaccess.exe”が取得される。
次に、判定部105は、ステップS702で取得した操作対象のパスまたは識別名と、ステップS703で取得した判定対象情報とが一致するか否かを判断する(ステップS704)。
例えば、上述のようにメーラー(ドライブ(C)\mail\mail.exe)を起動する場合、判定部105は、パス“ドライブ(C)\mail\mail.exe”と、判定対象情報“ドライブ(C)\personal\personalinfoaccess.exe”とが一致しないと判断する。
一致する場合は(ステップS704:YES)、判定部105は、判定指数テーブル121から、判定対象情報に対応する操作情報を取得する(ステップS705)。
次に、判定部105は、ステップS702で取得した操作の種別が、ステップS705で取得した操作情報と一致するか否かを判断する(ステップS706)。
例えば、メーラー(ドライブ(C)\mail\mail.exe)を起動し、一致する判定対象情報として図3の3つ目の判定対象情報が取得された場合、対応する操作情報“2”は“起動”を意味するため、操作の種別である起動(2)と一致すると判断される。
一致する場合は(ステップS706:YES)、判定対象情報に対応する判定指数を用いて利用者の認証と認証結果に基づく操作実行可否を判定する判定処理を実行する(ステップS707)。判定処理の詳細については後述する。
ステップS704でパスまたは識別名と判定対象情報とが一致しないと判断された場合(ステップS704:NO)、または、ステップS706で操作の種別が操作情報と一致しないと判断された場合(ステップS706:NO)、判定部105は、すべての判定対象情報を処理したか否かを判断する(ステップS708)。
すべての判定対象情報を処理していない場合は(ステップS708:NO)、判定部105は、次に判定対象情報を判定指数テーブル121から取得し、処理を繰り返す(ステップS703)。
すべての判定対象情報を処理した場合は(ステップS708:YES)、判定部105は、認証OK、すなわち、利用者が行おうとした操作は認証不要な操作であると判定し(ステップS709)、認証処理を終了する。なお、該当する判定対象情報が存在しない場合には、認証NG、すなわち、操作不可と判断するように構成してもよい。
次に、ステップS707の判定処理の詳細について説明する。図8は、第1の実施の形態における判定処理の全体の流れを示すフローチャートである。
まず、判定部105が、判定指数テーブル121から、ステップS703で取得した判定対象情報およびステップS705で取得した操作情報に対応する判定指数を取得する(ステップS801)。
例えば、図7のフローチャートで示した例と同様に、メーラー(ドライブ(C)\mail\mail.exe)を起動した場合を例にすると、図3に示すような判定指数テーブル121から判定指数として“40”が取得される。
次に、エリア情報取得部102は、個人認証装置100が現在設置されているエリアを特定するために、送受信部111を介してエリア識別コードの送信を要求する(ステップS802)。次に、エリア情報取得部102は予め定められた時間内にエリア識別コードを受信したか否かを判断する(ステップS803)。
予め定められた時間内にエリア識別コードを受信しなかった場合(ステップS803:NO)、エリア情報取得部102は、エリア指数を0に設定する(ステップS804)。位置情報送信装置200を設置することにより管理対象とされたエリアに、個人認証装置100が存在しないと判断することができるためである。
なお、エリア識別コードの送信要求を複数回繰り返し、予め定められた回数繰り返しても受信できない場合にエリア指数を0とするように構成してもよい。
予め定められた時間内にエリア識別コードを受信した場合(ステップS803:YES)、エリア情報取得部102は、受信したエリア識別コードに対応するエリア指数をエリア指数テーブル122から取得する(ステップS805)。
例えば、エリア識別コードとして“CARD058839”を受信した場合、図4に示すようなエリア指数テーブル122から、エリア指数として“20”が取得される。
次に、エリア情報取得部102は、ステップS804で設定したエリア指数(=0)またはステップS805で取得したエリア指数を、認証指数に設定する(ステップS806)。認証指数とは、エリア指数および後述する利用者指数から算出される指数であり、ステップS801で取得した判定指数と比較することにより、認証の可否を判断するために利用する。
次に、判定部105は、認証指数がステップS801で取得した判定指数以上であるか否かを判断する(ステップS807)。判定指数以上である場合は(ステップS807:YES)、判定部105は、認証OKと判定して判定処理を終了する(ステップS808)。
安全性の高いエリアに対応するエリア指数は、アプリケーションの起動等に必要な判定指数より大きい場合がある。このような場合は、利用者の認証なしでも操作可能とすることにより、安全性を確保しながら利用者の操作負担を軽減することが可能となる。
ステップS807で、認証指数が判定指数以上でないと判断された場合は(ステップS807:NO)、認証方法選択部103は、利用者の認証方法を選択する(ステップS809)。
例えば、エリア指数が“20”のエリア(図4の“1F”など)で、社外秘ファイル“ドライブ(D)\secret.file”を読み取り専用で開く場合、認証方法選択部103は必要な判定指数である“70”とエリア指数“20”との差“50”を算出し、算出した値(50)より大きい利用者指数(60)を有する認証方法である指紋認証を認証方法として選択する。なお、認証方法選択部103は、利用者指数の小さい順に認証方法を選択するように構成してもよいし、無作為に認証方法を選択するように構成してもよい。
利用者認証部104は、認証方法選択部103が選択した認証方法を用いて利用者の認証を実行する(ステップS810)。この際、表示部113に認証画面を表示し、パスワード認証の場合は操作部112のキーボード等を利用し、指紋認証の場合は操作部112の指紋認証用のデバイス等を利用して利用者の認証を実行する。認証画面の詳細については後述する。
次に、判定部105は、利用者認証が成功したか否かを判断し(ステップS811)、成功しないと判断した場合は(ステップS811:NO)、認証NGと判定して判定処理を終了する(ステップS812)。なお、利用者認証が失敗した場合に、再度利用者認証を実行し、その結果により利用者認証の可否を判断するように構成してもよい。
利用者認証が成功したと判断した場合は(ステップS811:YES)、判定部105は、利用者認証に用いた認証方法に対応する利用者指数を利用者指数テーブル123から取得する(ステップS813)。例えば、利用者認証としてパスワードを用いた認証を行い、認証が成功した場合、図5に示すような利用者指数テーブル123から利用者指数として20が取得される。
次に、判定部105は、取得した利用者指数を認証指数に加算することにより新たな認証指数を算出し(ステップS814)、再度、認証指数と判定指数との比較処理を実行する(ステップS807)。なお、新たな認証指数の算出方法は上記に限られるものではなく、乗算により算出してもよいし、エリア指数と利用者指数とにそれぞれ重みを付けた後、加算する方法を適用してもよい。
例えば、エリア名“1F”のエリアで、パスワード認証を行った場合、エリア指数が20、利用者指数が20であるため、認証指数は40となる。したがって、メーラー(ドライブ(C)\mail\mail.exe)を起動する場合は、この時点で認証指数が判定指数(40)以上となるため、判定部105は認証OKと判定する(ステップS807:YES、ステップS808)。
一方、例えば、エリア名“2F−E”(エリア識別コード=702FENPR)のエリアで社外秘ファイル“ドライブ(D)\secret.file”を書き込むために開く場合、エリア指数が50、利用者指数が20になるため認証指数が70となり、判定指数(90)と比較した結果、認証指数は判定指数より小さいと判定される(ステップS807:NO)。
この場合、認証方法選択部103は、さらに別の認証方法を選択して利用者の認証を繰り返す(ステップS809)。これにより、安全性が低いエリアで操作が行われた場合のセキュリティの強化が可能となる。
別の認証方法による利用者認証が成功した場合、認証指数はそれまでに行った認証指数に新たに行った認証方法に対応する利用者認証指数を加えた値に更新する(ステップS813)。
なお、判定部105は、新たに行った認証方法に対応する利用者認証指数とエリア認証指数とから認証指数を算出しなおすように構成してもよい。
以上のような処理により、エリアのみでは確保できない安全性を利用者認証によって補うという仕組みを実現することができる。すなわち、安全ではないエリアでは、より個人特定能力の高い認証方法を実施することにより安全性を確保することができる。
次に、利用者の認証時に表示部113に表示される認証画面の詳細について説明する。図9は、認証画面の構成の一例を示す説明図である。
同図に示すように、認証画面901は、パスワード認証時にパスワードを入力するパスワード入力フィールド911と、公開鍵認証時に利用する秘密鍵の場所を指定するための秘密鍵入力フィールド912と、パスワード認証実行ボタン921と、公開鍵認証実行ボタン922と、指紋認証実行ボタン923とを含んでいる。
パスワード認証実行ボタン921を押下すると、パスワード入力フィールド911に入力されたパスワードに基づいてパスワード認証が実行される。また、公開鍵認証実行ボタン922を押下すると、秘密鍵入力フィールド912で指定された秘密鍵を用いた公開鍵認証が実行される。また、指紋認証実行ボタン923を押下すると、指紋認証実行画面が表示され、指紋認証が開始される。
図10は、指紋認証実行画面の構成の一例を示す説明図である。同図に示すように、指紋認証実行画面1001では、指紋認証実行時の注意事項を表すメッセージ1002が表示される。
なお、上述の画面例では、複数の認証方法のいずれも実行できるように構成されているが、認証方法選択部103が選択した認証方法のみが実行できるように構成してもよい。また、その際には認証方法ごとに別の認証画面(図示せず)を表示するように構成してもよい。
また、エリア指数が判定指数以上であるため、利用者認証が不要と判断された場合は(ステップS807:YES)、認証画面901は表示されず、指定された操作が直ちに実行される。
次に、判定指数テーブル121、エリア指数テーブル122、利用者指数テーブル123、認証テーブル124を作成するための、判定指数テーブル作成画面、エリア指数テーブル作成画面、利用者指数テーブル作成画面、認証テーブル作成画面について説明する。
図11は、判定指数テーブル作成画面の一例を示す説明図である。同図に示すように、判定指数テーブル作成画面1101は、記憶されているアプリケーションやファイルを階層構造により表示する表示エリア1102と、選択したアプリケーションやファイルを表示する選択表示エリア1103と、認証を必要とする操作を選択する操作情報フィールド1104と、操作を許可するエリアを選択するエリア情報フィールド1105と、操作を行う際に要求する認証情報を選択する利用者認証フィールド1106と、判定指数を記述する判定指数フィールド1107と、決定ボタン1108と、キャンセルボタン1109とを含んでいる。
表示エリア1102内で所望のアプリケーションやファイル、および、操作情報フィールド1104を選択し、エリア情報フィールド1105と利用者認証フィールド1106とから該当する値を選択した後、または、判定指数フィールド1107に判定指数を記述した後、決定ボタン1108を押す。
なお、操作情報フィールド1104、エリア情報フィールド1105、利用者認証フィールド1106では、複数の値を指定できるように構成する。
決定ボタン1108押下時、判定指数フィールド1107に判定指数が記述されている場合は、記述されている値を判定指数として判定指数テーブル121に設定する。
決定ボタン1108押下時、判定指数フィールド1107に判定指数が記述されていない場合は、エリア情報フィールド1105で選択されたエリア情報に対応するエリア指数の中で最小の値をエリア指数テーブル122より取得する。さらに、利用者認証フィールド1106で選択された利用者認証方法に対応する利用者指数の中で最小の値を利用者指数テーブル123より取得する。そして、取得したエリア指数および利用者指数の最小値を加算した値を判定指数として判定指数テーブル121に設定する。
キャンセルボタン1109を押下すると判定指数テーブル作成処理を中断し、判定指数テーブル作成画面1101を消去する。
図12は、エリア指数テーブル作成画面の一例を示す説明図である。同図に示すように、エリア指数テーブル作成画面1201は、エリア名を記述するエリア名フィールド1202と、エリア識別コードを記述するエリア識別コードフィールド1203と、エリア指数を記述するエリア指数フィールド1204と、決定ボタン1205とを含んでいる。
エリア名フィールド1202にエリア名を記述し、エリア識別コードフィールド1203にエリア識別コードを記述し、エリア指数フィールド1204にエリア指数を記述した上で、決定ボタン1205を押下することにより、エリア指数テーブル122に記述した情報が登録される。
図13は、利用者指数テーブル作成画面の一例を示す説明図である。同図に示すように、利用者指数テーブル作成画面1301は、利用者を認証する方法を記述する認証方法フィールド1302と、認証指数を記述する認証指数フィールド1303と、決定ボタン1304とを含んでいる。
認証方法フィールド1302に利用者の認証方法を記述し、認証指数フィールド1303に認証指数を記述した上で、決定ボタン1304を押下することにより、利用者指数テーブル123に記述した情報が登録される。
図14は、認証テーブル作成画面の一例を示す説明図である。認証テーブル作成画面1401は、利用者がパスワード、公開鍵、指紋などのバイオメトリクス情報の登録を行った場合、利用者を一意に識別する情報であるID、新たなパスワード、公開鍵、またはバイオメトリクス認証で用いる情報を対応付けて認証テーブル124に登録するための画面である。
同図に示すように、認証テーブル作成画面1401は、IDを記述するIDフィールド1402と、パスワードを変更する場合に現在のパスワードを記述する現在パスワードフィールド1403と、新たなパスワードを記述する新規パスワードフィールド1404と、公開鍵認証を行う場合に公開鍵を登録する公開鍵登録フィールド1405と、バイオメトリクス認証を行う場合にバイオメトリクス情報を登録するバイオメトリクス登録ボタン1406と、決定ボタン1407とを含んでいる。
パスワードを登録・更新する場合には、IDと登録するパスワードをIDフィールド1402、新規パスワードフィールド1404に記述し、パスワードの更新の場合には、さらに、現在パスワードフィールド1403に現在のパスワードを入力した上で決定ボタン1407を押下する。これにより、入力したパスワードの情報が認証テーブル124の認証情報に登録される。
公開鍵を登録するためには、IDを入力し、さらに、公開鍵が記載されたファイルを公開鍵登録フィールド1405に指定した上で決定ボタン1407を押下することにより、入力した公開鍵の情報が認証テーブル124の認証情報に登録される。
バイオメトリクス情報を登録する場合には、IDを入力し、バイオメトリクス登録ボタン1406を押すことにより、操作部112のバイオメトリクス用のデバイスで取得された情報が、認証テーブル124の認証情報に登録される。
このように、第1の実施の形態にかかる個人認証装置では、位置情報を送信する装置から当該位置情報を受信し、位置情報に応じて利用者の認証方法を変更することができる。このため、第三者が安全なエリア以外でモバイル機器を不正利用しようとした場合であっても、回避や迂回をしにくい利用者認証を行わせることができる。また、安全なエリアでは利用者の認証を不要とすることが可能であるため、モバイル機器の安全性を確保しながら、利用者の操作負担を軽減し、モバイル機器の利便性を向上させることができる。
また、エリア認証の結果に応じて、モバイル機器の電源オン・オフの制限や、利用できるアプリケーション・ファイルなどの制限を行うことが可能となるため、実効性のあるモバイル機器の管理が可能となる。
(第2の実施の形態)
第2の実施の形態にかかる個人認証システムは、第1の実施の形態にかかる個人認証システムとほぼ同じであるが、個人認証装置が、装置起動の際、または定期的にエリアの識別を行い、その結果に応じて所定の条件を満たさないアプリケーションやファイルを画面上に表示しないように制御する点、また、エリア指数を満たしたとしても、利用者指数を満たさない場合は、アプリケーションやファイルの操作を実現できないように制限を行う点が異なっている。
第2の実施の形態にかかる個人認証システムは、第1の実施の形態にかかる個人認証システムとほぼ同じであるが、個人認証装置が、装置起動の際、または定期的にエリアの識別を行い、その結果に応じて所定の条件を満たさないアプリケーションやファイルを画面上に表示しないように制御する点、また、エリア指数を満たしたとしても、利用者指数を満たさない場合は、アプリケーションやファイルの操作を実現できないように制限を行う点が異なっている。
図15は、第2の実施の形態にかかる個人認証装置1500および位置情報送信装置200の構成を示すブロック図である。同図に示すように、個人認証装置1500は、記憶部1520と、送受信部111と、操作部112と、表示部113と、操作判定部101と、エリア情報取得部102と、認証方法選択部103と、利用者認証部104と、判定部1505と、設定部1506と、表示制御部1507とを備えている。
第2の実施の形態では、表示制御部1507を追加したこと、判定指数テーブル1521のデータ構造、判定部1505の機能、および設定部1506の機能が第1の実施の形態と異なっている。その他の構成および機能は、第1の実施の形態にかかる個人認証装置100の構成を表すブロック図である図2と同様であるので、同一符号を付し、ここでの説明は省略する。
表示制御部1507は、判定部1505で行われるエリアの識別の結果に応じてアプリケーションやファイルを非表示に制御するものである。非表示にする方法としては、OSに搭載されているファイルシステムのテーブルを書き換えるなどの、従来から用いられているあらゆる表示制御方法を適用することができる。
判定指数テーブル1521は、第1の実施の形態にかかる判定指数テーブル121のデータ項目に加えて、最低限必要なエリア指数および利用者指数の情報を格納する点が、第1の実施の形態と異なっている。
図16は、第2の実施の形態における判定指数テーブル1521のデータ構造の一例を示す説明図である。同図に示すように、判定指数テーブル1521は判定対象情報と、操作情報と、判定指数と、最小エリア指数と、最小利用者指数とを対応づけて格納している。
最小エリア指数および最小利用者指数は、最低限必要なエリア指数および利用者指数を表す情報である。すなわち、例えば、社外秘ファイル“ドライブ(D)\secret.file”を書き込むために開く場合(操作情報=1)、エリア指数として50、利用者指数として40が必要となる。
認証装置1500が在圏しており、公開鍵を用いた認証または指紋を用いた認証をしないと操作を実行できない。なお、エリア指数テーブル122は図4、利用者指数テーブル123は図5のような情報が登録されていることを前提とする。
判定部1505は、エリア情報取得部102が取得したエリア指数および利用者認証部104が実行した認証方法に対応する利用者指数が、それぞれ最小エリア指数および最小利用者指数以上である場合に、利用者が行おうとしている操作を許可すると判定するものである。
また、判定部1505は、個人認証装置1500の在圏するエリアのエリア指数が、判定指数テーブル1521に設定された最小エリア指数を満たしていないアプリケーションやファイルを表示部113に表示しないように表示制御部1507に通知する。
設定部1506は、判定指数テーブル1521へ登録する際の情報として、最小エリア指数および最小利用者指数を追加する点が、第1の実施の形態における設定部106と異なっている。
次に、このように構成された第2の実施の形態にかかる個人認証装置1500による認証処理について説明する。なお、第2の実施の形態における認証処理の全体の流れは、図7に示した第1の実施の形態にかかる認証処理と同様であるのでその説明を省略する。
第2の実施の形態では、ステップS707に示した判定処理の詳細が、第1の実施の形態と異なっている。図17は、第2の実施の形態における判定処理の全体の流れを示すフローチャートである。
まず、判定部1505が、判定指数テーブル1521から、ステップS703で取得した判定対象情報およびステップS705で取得した操作情報に対応する判定指数、最小エリア指数、最小利用者指数を取得する(ステップS1701)。
ステップS1702からステップS1705までの、エリア情報取得処理は、第1の実施の形態にかかる個人認証装置100におけるステップS802からステップS805までと同様の処理なので、その説明を省略する。
ステップS1704でエリア指数(=0)を設定した後、またはステップS1705でエリア指数を取得した後、判定部1505は、設定または取得したエリア指数が、ステップS1701で取得した最小エリア指数以上であるか否かを判断する(ステップS1706)。
最小エリア指数以上でない場合は(ステップS1706:NO)、判定部1505は、認証NGと判定して判定処理を終了する(ステップS1713)。
最小エリア指数以上である場合は(ステップS1706:YES)、認証方法選択部103は、利用者の認証方法を選択する(ステップS1707)。次に、利用者認証部104は、認証方法選択部103が選択した認証方法を用いて利用者の認証を実行する(ステップS1708)。
次に、判定部1505は、利用者認証が成功したか否かを判断し(ステップS1709)、成功しないと判断した場合は(ステップS1709:NO)、認証NGと判定して判定処理を終了する(ステップS1713)。
利用者認証が成功したと判断した場合は(ステップS1709:YES)、判定部1505は、利用者認証に用いた認証方法に対応する利用者指数を利用者指数テーブル123から取得する(ステップS1710)。
次に、判定部1505は、取得した利用者指数が、ステップS1701で取得した最小利用者指数以上であるか否かを判断する(ステップS1711)。
最小利用者指数以上でない場合は(ステップS1711:NO)、判定部1505は、認証NGと判定して判定処理を終了する(ステップS1713)。
最小利用者指数以上である場合は(ステップS1711:YES)、判定部1505は、認証OKと判定して判定処理を終了する(ステップS1712)。
上述のように、第1の実施の形態では、エリア指数と利用者指数とを加算して判定指数と比較し、認証可否を判定していた。これに対し、第2の実施の形態では、最小エリア指数および最小利用者指数を導入し、それぞれエリア指数および利用者指数と独立に比較することにより認証可否を判定している。
これにより、利用者認証の方法や結果に関わらず、エリアの情報のみにより操作の可否を決定することが可能となる。例えば、社外で起動を禁止するアプリケーションについては、いずれの認証方法を用いた場合であっても起動を実行できないように制御することができる。
次に、エリアの識別結果に応じて所定の条件を満たさないアプリケーションやファイルを画面上に表示しないように制御する表示制御処理について説明する。
図18は、第2の実施の形態における表示制御処理の全体の流れを示すフローチャートである。なお、表示制御処理は、個人認証装置1500の起動時、エリア情報取得部102による定期的なエリア識別コードの取得要求時、または利用者からのエリア識別コードの取得要求時に実行される処理である。
まず、エリア情報取得部102が、送受信部111を介してエリア識別コードの送信を要求する(ステップS1801)。次に、エリア情報取得部102は受信したエリア識別コードが変更されているか否かを判断する(ステップS1802)。なお、この判断のために、現在のエリア識別コードをRAM等の記憶媒体(図示せず)に記憶しておく。
エリア識別コードが変更されていると判断した場合は(ステップS1802:YES)、エリア情報取得部102は、受信したエリア識別コードに対応するエリア指数を、エリア指数テーブル122から取得する(ステップS1803)。
次に、判定部1505は、判定指数テーブル1521から、1つの判定対象情報を取得する(ステップS1804)。次に、判定部1505は、取得した判定対象情報に対応する最小エリア指数を取得する(ステップS1805)。
次に、判定部1505は、取得した最小エリア指数が、ステップS1803で取得したエリア指数より大きいか否かを判断する(ステップS1806)。取得したエリア指数より大きい場合は(ステップS1806:YES)、表示制御部1507は、該当する判定対象情報で示される判定対象を非表示とするように表示部113に対する表示を変更する(ステップS1807)。
例えば、図4および図16に示すようなエリア指数テーブル122および判定指数テーブル1521が設定されており、現在のエリアが“1F”であったとすると、ステップS1803ではエリア指数として“20”が取得される。この場合、例えば、判定指数テーブル1521のアプリケーション“ドライブ(C)\notes\notes.exe”は、最小エリア指数が50であるため、画面上で非表示にされる。
このような処理により、安全性の低いエリアでは、所定のアプリケーションの起動や所定のファイルの編集ができないように、予めアプリケーションまたはファイルを非表示にすることができる。
ステップS1806で、取得した最小エリア指数が、ステップS1803で取得したエリア指数より大きくないと判断した場合(ステップS1806:NO)、またはステップS1807で判定対象を非表示とした後、判定部1505は、すべての判定対象情報を処理したか否かを判断する(ステップS1808)。
すべての判定対象情報を処理していない場合は(ステップS1808:NO)、次の判定対象情報を取得して処理を繰り返す(ステップS1804)。
すべての判定対象情報を処理した場合は(ステップS1808:YES)、表示制御処理を終了する。
また、ステップS1802で、判定部1505が、エリア識別コードが変更されていないと判断した場合は(ステップS1802:NO)、表示を変更する必要がないため、表示制御処理を終了する。
このように、第2の実施の形態にかかる個人認証装置1500では、所定のタイミングでエリアの識別を行い、その結果に応じてアプリケーションやファイルを画面上に表示しないように制御することができる。
このため、第三者が安全なエリア以外でモバイル機器を不正利用しようとした場合であっても、アプリケーション自体を利用不可にすることができる。このため、より実効性のあるモバイル機器の管理が可能となる。
(第3の実施の形態)
第3の実施の形態にかかる個人認証システムは、ネットワークを介して接続された個人認証装置と位置情報送信装置を有しており、位置情報送信装置が個人認証装置からの特定情報を含んだ要求に基づき当該特定情報に対応するエリア識別コードを送信するものである。ここで、特定情報とは、個人認証装置が設置されているエリアを特定するための情報のことであり、例えばIPアドレスなどの情報にあたる。
第3の実施の形態にかかる個人認証システムは、ネットワークを介して接続された個人認証装置と位置情報送信装置を有しており、位置情報送信装置が個人認証装置からの特定情報を含んだ要求に基づき当該特定情報に対応するエリア識別コードを送信するものである。ここで、特定情報とは、個人認証装置が設置されているエリアを特定するための情報のことであり、例えばIPアドレスなどの情報にあたる。
第1の実施の形態では、位置情報送信装置200と個人装置100が無線通信を行っている例を示したが、有線通信など一般的に利用されているあらゆる通信形態を適用することができる。そこで、本実施の形態では、個人認証装置と位置情報送信装置が有線通信を行っている例を示す。
図20は、第3の実施の形態にかかる個人認証システムの全体構造の一例を示す説明図である。同図では、ネットワークA300,ネットワークB301が私設ネットワーク網400を介して接続されている。ネットワークA300にはノートパソコンや携帯電話などの携帯型の個人認証装置100a,100bが、ネットワークB301には個人認証装置100c,100dがそれぞれ接続されている。なお、個人認証装置100a〜dは、送受信部111が有線通信を行う点をのぞき第1および第2の実施の形態と同様であるため、ここでの説明は省略する。
また、位置情報送信装置2000は、私設ネットワーク網400に接続されており、個人認証装置100a〜dからの要求に基づいて各個人認証装置が在圏するエリアの識別コードを送信する。なお、ここでは各ネットワークに接続される個人認証装置の個数をそれぞれ2個としたが、それ以上であっても単数であってもよい。
本実施例では、ネットワークA300,B301、私設ネットワーク網400は、複数のセグメントに分けられており、セグメントごとに1つのネットワーク・アドレスが割り当てられているものとする。さらに、個人認証装置100a〜dには、各装置が存在するセグメントに応じて一意にIPアドレスが割り当てられており、各装置は、割り当てられたIPアドレスを用いて通信を行うものとする。
図21は、第3の実施の形態にかかる位置情報送信装置2000の構成を示すブロック図である。同図に示すように、位置情報送信装置2000は、制御部2001と送受信部2011とエリア情報記憶部2021を備えている。
送受信部2011は、第1の実施の形態にかかる送受信部211とほぼ同じ機能を有しているが、無線通信を行うのではなく私設ネットワーク網400を介して有線通信を行う点が異なっている。
エリア情報記憶部2021は、エリア識別コードテーブル2100や、エリア識別コード送信処理で利用する各種制御プログラム等を記憶する記憶媒体であり、HDD(Hard Disk Drive)、光ディスク、メモリカード、RAM(Random Access Memory)などの一般的に利用されているあらゆる記憶媒体により構成することができる。
エリア識別コードテーブル2100は、各個人認証装置100a〜dが設置されているエリアを特定するための情報である特定情報ごとに、当該特定情報に対応したエリア識別コードを格納している。このエリア識別コードテーブル2100は、送受信部2011で取得した個人認証装置100a〜dのエリア識別コード送信要求に基づいて、制御部2001が特定情報をエリア識別コードに変換する際に参照される。
図22は、エリア識別コードテーブル2100のデータ構造の一例を示す説明図である。同図では、特定情報としてIPアドレスを用いた例を示している。上述したように、各個人認証装置100a〜dには、各装置が存在するセグメントに応じて一意にIPアドレスが割り振られている。このため、装置のIPアドレスが特定されれば、装置が存在するセグメントをエリアとして特定することができる。そこで、このIPアドレスを特定情報として用いることとし、例えばIPアドレス”192.168.0.4”を保持する個人認証装置のエリア識別コードを”603FWSPR”とする。
制御部2001は、送受信部2011で取得したエリア識別コードの送信要求から、送信要求を行った個人認証装置が在圏するエリアを特定させる特定情報を抽出し、エリア識別コードテーブル2100を参照して当該特定情報に対応したエリア識別コードを取得するものである。
次に、第3の実施の形態にかかる位置情報送信装置2000によるエリア識別コード送信処理を説明する。図23は、第3の実施の形態におけるエリア識別コード送信処理の全体の流れを示すフローチャートである。ここでは、個人認証装置100aがエリア識別コードの送信要求を送信する場合の例を示す。
まず、送受信部2011が個人認証装置100aから送信されたエリア識別コードの送信要求を受信する(ステップS2301)。
次に、制御部2001は、送受信部2011が受信した送信要求からIPアドレスを抽出する(ステップS2302)。
IPアドレスを抽出した制御部2001は、当該IPアドレスに対応するエリア識別コードがエリア識別コードテーブル2100に格納されているか否かを調べる(ステップS2303)。
調べた結果、エリア識別コードテーブル2100内にエリア識別コードが存在しなかった場合(ステップS2303:NO)、送受信部2011は、エリア識別コードの送信を行わず処理を終了する。
一方、エリア識別コードが存在する場合(ステップS2303:YES)、制御部2001は、エリア識別コードテーブル2100からエリア識別コードを取得する(ステップS2304)。
制御部2001がエリア識別コードを取得した後、送受信部2011は、取得したエリア識別コードを個人認証装置100aに送信し(ステップS2305)、処理を終了する。
次にエリア識別コードテーブル2100を作成するための、エリア識別コードテーブル作成画面2200について説明する。図24は、エリア識別コードテーブル作成画面2200の一例を示す説明図である。同図に示すように、エリア識別コードテーブル作成画面2200は、IPアドレスを入力するアドレスフィールド2201と、エリア識別コードを入力するエリア識別コードフィールド2202と、IPアドレスおよびエリア識別コードを対応づけてエリア識別コードテーブルに登録するエリア識別コードテーブル登録ボタン2203と、IPアドレスフィールド2201およびエリア識別コードフィールド2202に入力されたデータをクリアするエリア識別コードキャンセルボタン2204を含んでいる。
IPアドレスと、これに対応するエリア識別コードをエリア識別コードテーブル2100に登録する場合には、各フィールドにIPアドレスおよびエリア識別コードを入力した上で、エリア識別コード登録ボタン2203を押下する。
このように、第3の実施の形態にかかる位置情報送信装置では、エリア識別コードテーブルに個人認証装置が設置されているエリアを特定する情報(特定情報)とエリア識別コードを複数格納し、個人認証装置が送信する送信要求から当該装置の特定情報を抽出し、対応するエリア識別コードを送信することで、複数のエリア識別コードを1つの位置情報送信装置で管理することができる。このため、個人認証装置が設置されているエリアごとに位置情報送信装置を設置する必要がなく、エリアの拡大や位置情報送信装置の設置、管理が容易となる。
(第4の実施の形態)
第4の実施の形態にかかる個人認証システムは、第3の実施の形態と同様、ネットワークを介して接続された個人認証装置と位置情報送信装置を有しており、位置情報送信装置が個人認証装置からの特定情報を含んだ要求に基づき、当該特定情報に対応するエリア識別コードを送信するものであるが、特定情報としてGPSなどのように外部機器と通信を行い取得する情報を用いる点が異なる。
第4の実施の形態にかかる個人認証システムは、第3の実施の形態と同様、ネットワークを介して接続された個人認証装置と位置情報送信装置を有しており、位置情報送信装置が個人認証装置からの特定情報を含んだ要求に基づき、当該特定情報に対応するエリア識別コードを送信するものであるが、特定情報としてGPSなどのように外部機器と通信を行い取得する情報を用いる点が異なる。
図31は、第4の実施の形態にかかる個人認証装置3010の構成を示すブロック図である。
第4の実施の形態にかかる個人認証装置3010は、特定情報生成部3011を追加した点、およびエリア情報取得部3012の機構の2点が図2に示す個人認証装置100と異なっている。その他の構成および機能は、個人認証装置100の構成と同様であるため、同一符号を付しここでの説明は省略する。
特定情報生成部3011は、個人認証装置3010が設置されているエリアを特定する情報である特定情報を生成する。ここでは、特定情報生成部3011は、衛星と通信を行い、GPS情報を取得し、特定情報を生成する。
エリア情報取得部3012は、図2に示すエリア情報取得部102の機能に加え、位置情報送信装置2000に対してエリア識別コードの要求を行う際、特定情報生成部3011から特定情報を取得し、特定情報とともにエリア識別コードの取得要求を行う。
なお、ここでは、図2に示す個人認証装置100の変形例を示したが、図15に示す個人認証装置1500を変形してもよい。
本変形例にかかる個人認証装置3010による認証処理は、図7及び図8に示す第1の実施の形態にかかる個人認証装置100の認証処理とほぼ同様であるが、図8の判定処理におけるステップS802で行うエリア識別コードの要求処理が異なる。
図32は、第4の実施の形態におけるエリア識別コードの要求処理の流れを示すフローチャートである。個人認証装置3010は、図8のステップS802の処理に変えて図32に示すエリア識別コードの要求処理を行う。
まず、エリア情報取得部3012は、特定情報生成部3011に対して,特定情報の生成を要求する(ステップS3201)。次に、特定情報生成部3011は、個人認証装置3010が存在するエリアを特定する情報である特定情報を生成する(ステップS3202)。
エリア情報取得部3012は、特定情報生成部3011から特定情報を取得し、送受信部111を介してエリア識別コードの送信を要求する(ステップS3203)。
例えば米国海事電子機器協会(NMEA:National Marine Electronics Association)の定めた規格によると、衛星から取得できるGPS情報は、「GPS取得日時」、「緯度」「北緯,南緯を示す値」、「経度」、「東経,西経を示す値」「その他」となる。ここで、2006年7月1日8時15分00秒に北緯3530.20東経13933.53の位置で、衛星からGPS情報を取得した場合、取得したGPS情報は、「01,07,2006,081500,3530.20,N,13933.53,E」となる。なお、「N」は北緯、「E」は東経を示す値である。
そこで、個人認証装置3010は、「01,07,2006,081500,3530.20,N,13933.53,E」を特定情報として位置情報送信装置2000へエリア識別コードの要求を行い、これに対して、位置情報送信装置2000は、エリア識別コードテーブルから該当するエリア識別コードを送信することになる。
次に、特定情報としてGPS情報を用いた場合の位置情報送信装置2000は、エリア識別コードテーブルに、IPアドレスではなくGPS情報を保持している点をのぞき、図21に示す位置情報送信装置2000と同じ構成・機能のため、同一符号を付し説明を省略する。
エリア識別コードテーブル2100は、例えば図22に示すエリア識別コードテーブル2100のIPアドレスが記載されている部分にエリアのGPS情報が記載されることになる。ただし、GPS情報は、個人認証装置3010が存在する地点を示しているので、個人認証装置3010が存在するエリアを特定するために、エリアの中心地点に加え、個人認証装置3010が存在するエリアの範囲の情報も保持している。
具体的に、エリア識別コードテーブル2100は、エリア識別コードに加え、IPアドレスに変わる特定情報として、「エリア中心位置情報」とエリアの範囲を示す「許容範囲」を保持している。例えば、エリア識別コードが”603FWSPR”であるエリアが、北緯3529.00度〜3532.00度(3530.50度±1.5度)、東経13929.93度〜13936.93度(13933.43度±3.5度)に存在していた場合、中心位置情報が”3530.50,N,13933.43,E”、許容範囲が”1.5,N,3.5,E”エリア識別コードが”603FWSPR”となる。このとき、個人認証装置3010が、上述したエリアの範囲内のGPS情報を特定情報として、エリア識別コードの要求を行った場合、位置情報送信装置は、”603FWSPR”を送信することになる。
このように、第4の実施の形態にかかる個人認証装置では、衛星から得られるGPS情報などのように、各個人認証装置に割り当てられている特定情報ではなく、外部と通信を行って取得した特定情報を基に、エリア識別コードの取得することができる。
(第5の実施の形態)
第5の実施の形態にかかる個人認証システムは、第3の実施の形態にかかる個人認証システムとほぼ同じであるが、位置情報送信装置が一定時間ごとに個人認証装置に対してエリア識別コードを送信する点が異なっている。
第5の実施の形態にかかる個人認証システムは、第3の実施の形態にかかる個人認証システムとほぼ同じであるが、位置情報送信装置が一定時間ごとに個人認証装置に対してエリア識別コードを送信する点が異なっている。
第3の実施の形態にかかる位置情報送信装置は、個人認証装置から要求があった場合にエリア識別コードを送信するのに対して、本実施の形態にかかる位置情報送信装置は、一定時間ごとにエリア識別コードを送信する点が異なっている。
図25は、第5の実施の形態における個人認証システムの全体構成の一例を示す図である。同図では、位置情報送信装置3000とノートパソコンなど携帯型の個人認証装置3100がネットワーク500を介して接続されている。
図26は、第5の実施の形態にかかる位置情報送信装置3000の構成を示すブロック図である。同図に示す位置情報送信装置3000は、送受信部2011、制御部3001、タイマ部3002、エリア情報記憶部3003を備えている。このうち、送受信部2011は、第3の実施の形態に示す送受信部と同じであるため説明を省略する。
制御部3001は、タイマ部3002からの要求によりエリア情報記憶部3003を参照してエリア識別コードと、当該エリア識別コードの送信先である個人認証装置の送信先アドレスを取得する。
タイマ部3002は、一定時間経過ごとに制御部3001に対してエリア識別コードを送信するよう要求を行う。
エリア情報記憶部3003は、エリア識別コード送信テーブル3200や、エリア識別コード送信処理で利用する各種制御プログラム等を記憶する記憶媒体であり、HDD(Hard Disk Drive)、光ディスク、メモリカード、RAM(Random Access Memory)などの一般的に利用されているあらゆる記憶媒体により構成することができる。
エリア識別コード送信テーブル3200は、個人認証装置3100が設置されているエリアを特定するエリア識別コードを、送信先アドレスごとに格納している。エリア識別コード送信テーブルは、タイマ部3002からの要求により、制御部3001がエリア識別コードを送信先アドレスに送信する際に参照される。
図27は、エリア識別コード送信テーブル3200のデータ構造の一例を示す説明図である。同図に示す例では送信先アドレスとしてIPアドレスを格納している。
制御部3001は、送信元アドレスとしてブロードキャストアドレスを用いて、同一セグメントに存在する個人認証装置に対してエリア識別コードを送信する。そのため、例えばタイマ部3002がエリア識別コード送信要求を行った場合、制御部3001は、送信先アドレスが”192.168.0.255”である個人認証装置に対してエリア識別コード”603FWSPR”を送信する。
次に図28は、第5の実施の形態にかかる個人認証装置3100の構成を示すブロック図である。同図に示す個人認証装置3100は、送受信部3101がネットワーク500を介して有線通信を行う点、およびエリア情報取得部3102がエリア識別コードの送信要求を行わず、位置情報送信装置3000が送信するエリア識別コードを送受信部3101を介して取得し、エリア指数テーブル122から当該エリア識別コードに対応するエリア指数を取得する点が異なるが、それ以外の構成及び動作は、第1乃至第3の実施の形態と同様であるため、同一符号を付し説明を省略する。
次に、第5の実施の形態にかかる位置情報送信装置によるエリア識別コード送信処理について説明する。図29は、エリア識別コード送信処理の全体の流れを示すフローチャートである。
まず、タイマ部3002が、前回エリア識別コードが送信されてから一定時間経過したか否かを確認する(ステップS2901)。
一定時間経過していない場合(ステップS2901:NO)、タイマ部3002は、一定時間のカウントを行い(ステップS2902)、ステップS2901に戻る。
一方、一定時間経過した場合(ステップS2901:YES)、タイマ部3002は、制御部3001にエリア識別コードの送信要求を行う(ステップS2903)。
次に、送信請求を受け取った制御部3001は、エリア識別コード送信テーブル3200からエリア識別コードと送信先アドレスを取得する(ステップS2904)。
制御部3001がエリア識別コードおよび送信先アドレスを取得後、送受信部2011は、取得した送信先アドレスに対して、対応するエリア識別コードをネットワーク500に流し(ステップS2905)、処理を終了する。
送信先アドレスに対応するエリアに設置された個人認証装置3100は、ネットワーク500を介してエリア識別コードを受信する。
図30は、第5の実施の形態におけるエリア識別コード送信テーブル作成画面3300の一例を示す説明図である。同図に示すように、エリア識別コード送信テーブル作成画面3300は、エリア識別コードの送信先を示すIPアドレスを入力するアドレスフィールド3301と、エリア識別コードを入力するエリア識別コードフィールド3302と、IPアドレスおよびエリア識別コードを対応づけてエリア識別コード送信テーブル3200に登録するエリア識別コード登録ボタン3303と、アドレスフィールド3301およびエリア識別コードフィールド3302に入力されたデータをクリアするエリア識別コードキャンセルボタン3304を含んでいる。
IPアドレスに対応したエリア識別コードをエリア識別コードテーブル3200に登録する場合には、各フィールドにIPアドレスおよびエリア識別コードを入力した上でエリア識別コード登録ボタン3303を押下する。
このように、第5の実施の形態にかかる位置情報送信装置3000では、タイマ部3002の送信要求に基づいて、送信先アドレスに対してエリア識別コードを送信する。このため、複数の送信先アドレスに対してエリア識別コードを送信することでき、効率よくエリア識別コードを送信することができる。
図19は、第1乃至第5の実施の形態にかかる個人認証装置および位置情報送信装置のハードウェア構成を示す説明図である。
第1乃至第5の実施の形態にかかる個人認証装置および位置情報送信装置は、CPU(Central Processing Unit)51などの制御装置と、ROM(Read Only Memory)52やRAM53などの記憶装置と、ネットワークに接続して通信を行う通信I/F54と、HDD、CD(Compact Disc)ドライブ装置などの外部記憶装置と、ディスプレイ装置などの表示装置と、キーボードやマウスなどの入力装置と、各部を接続するバス61を備えており、通常のコンピュータを利用したハードウェア構成となっている。
第1乃至第5の実施の形態にかかる個人認証装置で実行される個人認証プログラムおよび位置情報送信装置で実行される位置情報送信プログラムは、インストール可能な形式または実行可能な形式のファイルでCD−ROM(Compact Disk Read Only Memory)、フレキシブルディスク(FD)、CD−R(Compact Disk Recordable)、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録されて提供される。
また、第1乃至第5の実施の形態にかかる個人認証装置で実行される個人認証プログラムおよび位置情報送信装置で実行される位置情報送信プログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成しても良い。また、第1乃至第5の実施の形態にかかる個人認証装置で実行される個人認証プログラムおよび位置情報送信装置で実行される位置情報送信プログラムをインターネット等のネットワーク経由で提供または配布するように構成しても良い。
また、第1乃至第5の実施の形態の個人認証プログラムおよび位置情報送信プログラムを、ROM等に予め組み込んで提供するように構成してもよい。
第1乃至第5の実施の形態にかかる個人認証装置で実行される個人認証プログラムおよび位置情報送信装置で実行される位置情報送信プログラムは、上述した各部(送受信部、制御部、エリア情報記憶部)を含むモジュール構成となっており、実際のハードウェアとしてはCPU51(プロセッサ)が上記記憶媒体から位置情報送信プログラムを読み出して実行することにより上記各部が主記憶装置上にロードされ、上述した各部が主記憶装置上に生成されるようになっている。
なお、本発明は上記実施例そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施例に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施例に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施例にわたる構成要素を適宜組み合わせてもよい。
51 CPU
52 ROM
53 RAM
54 通信I/F
61 バス
100 個人認証装置
101 操作判定部
102 エリア情報取得部
103 認証方法選択部
104 利用者認証部
105 判定部
106 設定部
111 送受信部
112 操作部
113 表示部
120 記憶部
121 判定指数テーブル
122 エリア指数テーブル
123 利用者指数テーブル
124 認証テーブル
200 位置情報送信装置
201 制御部
211 送受信部
221 エリア情報記憶部
300 ネットワークA
301 ネットワークB
400 私設ネットワーク網
500 ネットワーク
901 認証画面
911 パスワード入力フィールド
912 秘密鍵入力フィールド
921 パスワード認証実行ボタン
922 公開鍵認証実行ボタン
923 指紋認証実行ボタン
1001 指紋認証実行画面
1002 メッセージ
1101 判定指数テーブル作成画面
1102 表示エリア
1103 選択表示エリア
1104 操作情報フィールド
1105 エリア情報フィールド
1106 利用者認証フィールド
1107 判定指数フィールド
1108 決定ボタン
1109 キャンセルボタン
1201 エリア指数テーブル作成画面
1202 エリア名フィールド
1203 エリア識別コードフィールド
1204 エリア指数フィールド
1205 決定ボタン
1301 利用者指数テーブル作成画面
1302 認証方法フィールド
1303 認証指数フィールド
1304 決定ボタン
1401 認証テーブル作成画面
1402 IDフィールド
1403 現在パスワードフィールド
1404 新規パスワードフィールド
1405 公開鍵登録フィールド
1406 バイオメトリクス登録ボタン
1407 決定ボタン
1500 個人認証装置
1505 判定部
1506 設定部
1507 表示制御部
1520 記憶部
1521 判定指数テーブル
2000 位置情報送信装置
2001 制御部
2011 送受信部
2021 エリア情報記憶部
2100 エリア識別コードテーブル
2200 エリア識別コードテーブル作成画面
2201 アドレスフィールド
2202 エリア識別コードフィールド
2203 エリア識別コードテーブル登録ボタン
2204 エリア識別コードキャンセルボタン
3000 位置情報送信装置
3001 制御部
3003 エリア情報記憶部
3002 タイマ部
3010 個人認証装置
3011 特定情報生成部
3012 エリア情報取得部
3100 個人認証装置
3101 送受信部
3102 エリア情報取得部
3200 エリア識別コード送信テーブル
3300 エリア識別コード送信テーブル作成画面
3301 アドレスフィールド
3302 エリア識別コードフィールド
3303 エリア識別コード登録ボタン
3304 エリア識別コードキャンセルボタン
52 ROM
53 RAM
54 通信I/F
61 バス
100 個人認証装置
101 操作判定部
102 エリア情報取得部
103 認証方法選択部
104 利用者認証部
105 判定部
106 設定部
111 送受信部
112 操作部
113 表示部
120 記憶部
121 判定指数テーブル
122 エリア指数テーブル
123 利用者指数テーブル
124 認証テーブル
200 位置情報送信装置
201 制御部
211 送受信部
221 エリア情報記憶部
300 ネットワークA
301 ネットワークB
400 私設ネットワーク網
500 ネットワーク
901 認証画面
911 パスワード入力フィールド
912 秘密鍵入力フィールド
921 パスワード認証実行ボタン
922 公開鍵認証実行ボタン
923 指紋認証実行ボタン
1001 指紋認証実行画面
1002 メッセージ
1101 判定指数テーブル作成画面
1102 表示エリア
1103 選択表示エリア
1104 操作情報フィールド
1105 エリア情報フィールド
1106 利用者認証フィールド
1107 判定指数フィールド
1108 決定ボタン
1109 キャンセルボタン
1201 エリア指数テーブル作成画面
1202 エリア名フィールド
1203 エリア識別コードフィールド
1204 エリア指数フィールド
1205 決定ボタン
1301 利用者指数テーブル作成画面
1302 認証方法フィールド
1303 認証指数フィールド
1304 決定ボタン
1401 認証テーブル作成画面
1402 IDフィールド
1403 現在パスワードフィールド
1404 新規パスワードフィールド
1405 公開鍵登録フィールド
1406 バイオメトリクス登録ボタン
1407 決定ボタン
1500 個人認証装置
1505 判定部
1506 設定部
1507 表示制御部
1520 記憶部
1521 判定指数テーブル
2000 位置情報送信装置
2001 制御部
2011 送受信部
2021 エリア情報記憶部
2100 エリア識別コードテーブル
2200 エリア識別コードテーブル作成画面
2201 アドレスフィールド
2202 エリア識別コードフィールド
2203 エリア識別コードテーブル登録ボタン
2204 エリア識別コードキャンセルボタン
3000 位置情報送信装置
3001 制御部
3003 エリア情報記憶部
3002 タイマ部
3010 個人認証装置
3011 特定情報生成部
3012 エリア情報取得部
3100 個人認証装置
3101 送受信部
3102 エリア情報取得部
3200 エリア識別コード送信テーブル
3300 エリア識別コード送信テーブル作成画面
3301 アドレスフィールド
3302 エリア識別コードフィールド
3303 エリア識別コード登録ボタン
3304 エリア識別コードキャンセルボタン
Claims (19)
- 利用者の認証が必要な操作の対象と、前記操作の対象に対して必要な認証の程度を表す操作判定情報とを対応づけて格納する操作判定情報記憶手段と、
利用者が操作を行う場所を一意に識別する位置情報と、前記場所に応じた認証の程度を表す位置判定情報とを対応づけて格納する位置情報記憶手段と、
前記操作判定情報記憶手段から利用者が行う前記操作の対象に対応する前記操作判定情報を取得する操作判定情報取得手段と、
利用者が前記操作を行う場所の前記位置情報を取得する位置情報取得手段と、
前記位置情報取得手段が取得した前記位置情報に対応する前記位置判定情報を前記位置情報記憶手段から取得する位置判定情報取得手段と、
前記操作判定情報取得手段が取得した前記操作判定情報と、前記位置判定情報取得手段が取得した前記位置判定情報とを比較し、当該比較結果に基づき、利用者の認証方法を選択する認証方法選択手段と、
を備えたことを特徴とする個人認証装置。 - 前記認証方法選択手段は、前記比較の結果、前記位置判定情報が前記操作判定情報より認証の程度が高い場合に、利用者の認証を行わない前記認定方法を選択することを特徴とする請求項1に記載の個人認証装置。
- 前記認証方法と、前記認証方法に応じた認証の程度を表す認証判定情報とを対応づけて格納する認定情報記憶手段をさらに備え、
前記認証方法選択手段は、前記比較の結果、前記位置判定情報が前記操作判定情報より認証の程度が低い場合に、前記操作判定情報と前記位置判定情報との差より認証の程度が高い前記認証判定情報に対応する前記認証方法を、前記認定情報記憶手段から選択することを特徴とする請求項1に記載の個人認証装置。 - 前記操作判定情報記憶手段は、前記操作の対象と、前記操作の種類を表す操作種別と、前記操作判定情報とを対応づけて格納し、
前記操作判定情報取得手段は、利用者が行う前記操作の対象と前記操作種別に対応する前記操作判定情報を前記操作判定情報記憶手段から取得することを特徴とする請求項1に記載の個人認証装置。 - 前記認証方法と、前記認証方法に応じた認証の程度を表す認証判定情報とを対応づけて格納する認証情報記憶手段と、
前記認証方法選択手段が選択した前記認証方法により利用者の認証を行う認証手段と、
前記認証方法選択手段が選択した前記認証方法に対応する前記認証判定情報を取得する認証判定情報取得手段と、
前記位置判定情報取得手段が取得した前記位置判定情報と前記認証判定情報取得手段が取得した前記認証判定情報とを総合した認証の程度を算出する算出手段と、
前記認証手段により利用者が認証された場合であって、前記算出手段が算出した認証の程度が、前記操作判定情報取得手段が取得した前記操作判定情報より認証の程度より低い場合に、利用者が行う前記操作は実行不可であると判定する判定手段と、
をさらに備えたことを特徴とする請求項1に記載の個人認証装置。 - 前記認証方法選択手段は、前記判定手段が、利用者が行う前記操作が実行不可であると判定した場合に、前記判定手段が実行不可と判定したときに選択した前記認証方法と異なる前記認証方法を選択することを特徴とする請求項5に記載の個人認証装置。
- 前記操作判定情報記憶手段は、前記操作の対象と、前記操作判定情報と、前記操作の対象の認証に最小限必要な前記位置判定情報である最小位置判定情報と、前記操作の対象の認証に最小限必要な前記認証判定情報である最小認証判定情報とを対応づけて格納し、
前記操作判定情報取得手段は、利用者が行う前記操作の対象に対応する前記最小位置判定情報と前記最小認証判定情報とを前記操作判定情報記憶手段から取得し、
前記認証方法選択手段は、前記操作判定情報取得手段が取得した前記最小位置判定情報と、前記位置判定情報取得手段が取得した前記位置判定情報とを比較し、前記比較結果に基づき、前記認証方法を選択し、
前記判定手段は、前記認証手段により利用者が認証された場合であって、前記操作判定情報取得手段が取得した前記最小認証判定情報により前記認証判定情報取得手段が取得した前記認証判定情報の認証の程度が低い場合に、利用者が行う前記操作は実行不可であると判定することを特徴とする請求項5に記載の個人認証装置。 - 前記操作判定情報記憶手段は、前記操作の対象と、前記操作判定情報と、前記操作の対象の認証に最小限必要な前記位置判定情報である最小位置判定情報とを対応づけて格納し、
操作可能な前記操作対象を表示する表示手段と、
前記位置判定情報取得手段が取得した位置判定情報が前記操作対象に対応する前記最小位置判定情報より認証の程度が低い操作の対象を、前記表示手段に表示しない表示制御手段と、
をさらに備えたことを特徴とする請求項1に記載の個人認証装置。 - 前記位置情報の送信要求を送信し、前記送信要求に対応する前記位置情報を受信する送受信手段をさらに備え、
前記位置情報取得手段は、前記送受信手段を介して、前記位置情報を取得することを特徴とする請求項1に記載の個人認証装置。 - 利用者が前記操作を行う場所を特定する特定情報を生成する特定情報生成手段をさらに備え、
前記位置情報取得手段は、前記特定情報生成手段が生成する前記特定情報を含む前記取得要求を、前記送受信手段を介して送信することを特徴とする請求項9に記載の個人認証装置。 - 利用者が行う操作の対象に対して必要な認証の程度と、前記操作を行う場所を一意に識別する位置情報に応じた認証の程度とを比較し、当該比較結果に基づいて利用者の認証方法を選択する個人認証装置とネットワークを介して接続され、前記個人認証装置からの要求に応じて前記位置情報を送信する位置情報送信装置であって、
利用者が前記操作を行う場所を特定するための特定情報と前記位置情報とを対応づけて格納する位置情報記憶手段と、
前記個人認証装置から送信された前記位置情報の取得要求から前記特定情報を抽出する抽出手段と、
抽出した前記特定情報に対応する前記位置情報を前記位置情報記憶手段から取得する位置情報取得手段と、
前記位置情報から取得した前記位置情報を前記個人認証装置に送信する送信手段と、
を備えることを特徴とする位置情報送信装置。 - 前記特定情報は、前記個人認証装置が保持するIPアドレスであることを特徴とする請求項11に記載の位置情報送信装置。
- 前記特定情報は、前記個人認証装置が取得するGPS情報であることを特徴とする請求項11に記載の位置情報送信装置。
- 利用者が行う操作の対象に対して必要な認証の程度と、前記操作を行う場所を一意に識別する位置情報に応じた認証の程度とを比較し、当該比較結果に基づいて利用者の認証方法を選択する個人認証装置とネットワークを介して接続され、前記個人認証装置に前記位置情報を送信する位置情報送信装置であって、
個人認証装置が設置されている場所を表すアドレス情報と当該場所を一意に識別する位置情報を対応づけて格納する位置情報記憶手段と、
一定期間の経過ごとに、前記アドレス情報を用いて前記位置情報を前記個人認証装置に送信する送信手段と、
を備えることを特徴とする位置情報送信装置。 - 前記アドレス情報は、前記個人認証装置が保持するIPアドレスであることを特徴とする請求項12に記載の位置情報送信装置。
- 前記位置情報送信装置は、複数の前記個人認証装置とネットワーク網を介して接続されていることを特徴とする請求項11または請求項14のいずれか1項に記載の位置情報送信装置。
- 位置情報送信装置が有する情報を基に個人認証装置が認証を行う個人認証システムであって、
前記個人認証装置は、
利用者の認証が必要な操作の対象と、前記操作の対象に対して必要な認証の程度を表す操作判定情報とを対応づけて格納する操作判定情報記憶手段と、
利用者が操作を行う場所を一意に識別する位置情報と、前記場所に応じた認証の程度を表す位置判定情報とを対応づけて格納する第1の位置情報記憶手段と、
前記操作判定情報記憶手段から利用者が行う前記操作の対象に対応する前記操作判定情報を取得する操作判定情報取得手段と、
前記位置情報送信装置から利用者が行う前記操作が行われる場所の前記位置情報を取得する位置情報取得手段と、
前記位置情報取得手段が取得した前記位置情報に対応する前記位置判定情報を前記位置情報記憶手段から取得する位置判定情報取得手段と、
前記操作判定情報取得手段が取得した前記操作判定情報と、前記位置判定情報取得手段が取得した前記位置判定情報とを比較し、前記比較結果に基づき、利用者の認証方法を選択する認証方法選択手段と、
を備え
前記位置情報送信装置は、
利用者が前記操作を行う場所を一意に識別する前記位置情報を格納する第2の位置情報記憶手段と、
前記位置情報を、前記個人認証装置に送信する送信手段と、
を備えることを特徴とする個人認証システム。 - 利用者の認証が必要な操作の操作対象と、前記操作対象に対して必要な認証の程度を表す情報とを対応づけて格納する操作判定情報記憶手段から、利用者が行う前記操作の前記操作対象に対応する前記操作判定情報を取得する操作判定情報取得ステップと、
利用者が行う前記操作が行われる場所の前記位置情報を記憶する外部機器から、前記位置情報を取得する位置情報取得ステップと、
前記操作を行う場所を一意に識別する位置情報と、前記場所に応じた認証の程度を表す位置判定情報とを対応づけて格納する位置情報記憶手段から、前記位置情報取得ステップが取得した前記位置情報に対応する前記位置判定情報を取得する位置判定情報取得ステップと、
前記操作判定情報取得ステップが取得した前記操作判定情報と、前記位置判定情報取得ステップが取得した前記位置判定情報とを比較し、比較結果に基づき、利用者の認証方法を選択する認証方法選択ステップと、
を備えたことを特徴とする個人認証方法。 - 利用者の認証が必要な操作の操作対象と、前記操作対象に対して必要な認証の程度を表す操作判定情報とを対応づけて格納する操作判定情報記憶手段から、利用者が行う前記操作の前記操作対象に対応する前記操作判定情報を取得する操作判定情報取得手順と、
利用者が行う前記操作が行われる場所の前記位置情報を記憶する外部機器から、前記位置情報を取得する位置情報取得手順と、
前記操作を行う場所を一意に識別する位置情報と、前記場所に応じた認証の程度を表す位置判定情報とを対応づけて格納する位置情報記憶手段から、前記位置判定情報取得手順が取得した前記位置判定情報とを比較し、比較結果に基づき、利用者の認証方法を選択する認証方法選択手順と、
をコンピュータに実行させる個人認証プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006193780A JP2007220075A (ja) | 2006-01-19 | 2006-07-14 | 個人認証装置、位置情報送信装置、個人認証システム、個人認証方法、及び個人認証プログラム |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006011367 | 2006-01-19 | ||
| JP2006193780A JP2007220075A (ja) | 2006-01-19 | 2006-07-14 | 個人認証装置、位置情報送信装置、個人認証システム、個人認証方法、及び個人認証プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007220075A true JP2007220075A (ja) | 2007-08-30 |
Family
ID=38497263
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006193780A Pending JP2007220075A (ja) | 2006-01-19 | 2006-07-14 | 個人認証装置、位置情報送信装置、個人認証システム、個人認証方法、及び個人認証プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2007220075A (ja) |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009109940A (ja) * | 2007-11-01 | 2009-05-21 | Seiko Epson Corp | プロジェクタ及びその制御方法 |
| JP2009130622A (ja) * | 2007-11-22 | 2009-06-11 | Panasonic Corp | 情報処理装置、無線装置、設定変更方法およびプログラム |
| JP2009175984A (ja) * | 2008-01-23 | 2009-08-06 | Nippon Telegr & Teleph Corp <Ntt> | 本人認証装置、本人認証方法および本人認証プログラム |
| WO2009108512A1 (en) * | 2008-02-19 | 2009-09-03 | Motorola, Inc. | Method and apparatus for adapting a challenge for system access |
| JP2009237905A (ja) * | 2008-03-27 | 2009-10-15 | Nec Corp | Rfidを利用した情報処理端末のセキュリティ管理システム及びその方法 |
| JP2009294906A (ja) * | 2008-06-05 | 2009-12-17 | Encourage Technologies Co Ltd | 認証装置、認証方法、及びプログラム |
| JP2011002960A (ja) * | 2009-06-17 | 2011-01-06 | Asahikawa Medical College | 端末装置、情報システム、情報処理方法、およびプログラム |
| US8621588B2 (en) | 2009-06-15 | 2013-12-31 | National University Corporation Asahikawa Medical University | Information processing system, terminal device, and server |
| JP2014090372A (ja) * | 2012-10-31 | 2014-05-15 | Sony Corp | 情報処理装置、情報処理システム、情報処理方法及びコンピュータプログラム |
| JP2015038667A (ja) * | 2011-10-18 | 2015-02-26 | 株式会社ベーシック | アプリケーションマネージャ及びネットワークアクセス制御システム |
| JP2016521403A (ja) * | 2013-03-22 | 2016-07-21 | ノック ノック ラブズ, インコーポレイテッドNok Nok Labs, Inc. | 高度な認証技術及びその応用 |
| JP2017531951A (ja) * | 2014-10-10 | 2017-10-26 | アリババ グループ ホウルディング リミテッド | セキュリティチェックのための方法、デバイス、端末およびサーバ |
| US10091195B2 (en) | 2016-12-31 | 2018-10-02 | Nok Nok Labs, Inc. | System and method for bootstrapping a user binding |
| US10148630B2 (en) | 2014-07-31 | 2018-12-04 | Nok Nok Labs, Inc. | System and method for implementing a hosted authentication service |
| US10176310B2 (en) | 2013-03-22 | 2019-01-08 | Nok Nok Labs, Inc. | System and method for privacy-enhanced data synchronization |
| US10237070B2 (en) | 2016-12-31 | 2019-03-19 | Nok Nok Labs, Inc. | System and method for sharing keys across authenticators |
| US10326761B2 (en) | 2014-05-02 | 2019-06-18 | Nok Nok Labs, Inc. | Web-based user authentication techniques and applications |
| US10637853B2 (en) | 2016-08-05 | 2020-04-28 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
| US10769635B2 (en) | 2016-08-05 | 2020-09-08 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
| US10798087B2 (en) | 2013-10-29 | 2020-10-06 | Nok Nok Labs, Inc. | Apparatus and method for implementing composite authenticators |
| US11792024B2 (en) | 2019-03-29 | 2023-10-17 | Nok Nok Labs, Inc. | System and method for efficient challenge-response authentication |
| US11831409B2 (en) | 2018-01-12 | 2023-11-28 | Nok Nok Labs, Inc. | System and method for binding verifiable claims |
| US11868995B2 (en) | 2017-11-27 | 2024-01-09 | Nok Nok Labs, Inc. | Extending a secure key storage for transaction confirmation and cryptocurrency |
-
2006
- 2006-07-14 JP JP2006193780A patent/JP2007220075A/ja active Pending
Cited By (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009109940A (ja) * | 2007-11-01 | 2009-05-21 | Seiko Epson Corp | プロジェクタ及びその制御方法 |
| JP2009130622A (ja) * | 2007-11-22 | 2009-06-11 | Panasonic Corp | 情報処理装置、無線装置、設定変更方法およびプログラム |
| JP2009175984A (ja) * | 2008-01-23 | 2009-08-06 | Nippon Telegr & Teleph Corp <Ntt> | 本人認証装置、本人認証方法および本人認証プログラム |
| WO2009108512A1 (en) * | 2008-02-19 | 2009-09-03 | Motorola, Inc. | Method and apparatus for adapting a challenge for system access |
| JP2009237905A (ja) * | 2008-03-27 | 2009-10-15 | Nec Corp | Rfidを利用した情報処理端末のセキュリティ管理システム及びその方法 |
| JP2009294906A (ja) * | 2008-06-05 | 2009-12-17 | Encourage Technologies Co Ltd | 認証装置、認証方法、及びプログラム |
| US8621588B2 (en) | 2009-06-15 | 2013-12-31 | National University Corporation Asahikawa Medical University | Information processing system, terminal device, and server |
| JP2011002960A (ja) * | 2009-06-17 | 2011-01-06 | Asahikawa Medical College | 端末装置、情報システム、情報処理方法、およびプログラム |
| JP2015038667A (ja) * | 2011-10-18 | 2015-02-26 | 株式会社ベーシック | アプリケーションマネージャ及びネットワークアクセス制御システム |
| JP2014090372A (ja) * | 2012-10-31 | 2014-05-15 | Sony Corp | 情報処理装置、情報処理システム、情報処理方法及びコンピュータプログラム |
| US10268811B2 (en) | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | System and method for delegating trust to a new authenticator |
| US10776464B2 (en) | 2013-03-22 | 2020-09-15 | Nok Nok Labs, Inc. | System and method for adaptive application of authentication policies |
| US11929997B2 (en) | 2013-03-22 | 2024-03-12 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
| US10762181B2 (en) | 2013-03-22 | 2020-09-01 | Nok Nok Labs, Inc. | System and method for user confirmation of online transactions |
| US10176310B2 (en) | 2013-03-22 | 2019-01-08 | Nok Nok Labs, Inc. | System and method for privacy-enhanced data synchronization |
| US10706132B2 (en) | 2013-03-22 | 2020-07-07 | Nok Nok Labs, Inc. | System and method for adaptive user authentication |
| JP2016521403A (ja) * | 2013-03-22 | 2016-07-21 | ノック ノック ラブズ, インコーポレイテッドNok Nok Labs, Inc. | 高度な認証技術及びその応用 |
| US10270748B2 (en) | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
| US10282533B2 (en) | 2013-03-22 | 2019-05-07 | Nok Nok Labs, Inc. | System and method for eye tracking during authentication |
| US10366218B2 (en) | 2013-03-22 | 2019-07-30 | Nok Nok Labs, Inc. | System and method for collecting and utilizing client data for risk assessment during authentication |
| US10798087B2 (en) | 2013-10-29 | 2020-10-06 | Nok Nok Labs, Inc. | Apparatus and method for implementing composite authenticators |
| US10326761B2 (en) | 2014-05-02 | 2019-06-18 | Nok Nok Labs, Inc. | Web-based user authentication techniques and applications |
| US10148630B2 (en) | 2014-07-31 | 2018-12-04 | Nok Nok Labs, Inc. | System and method for implementing a hosted authentication service |
| US10721076B2 (en) | 2014-10-10 | 2020-07-21 | Alibaba Group Holding Limited | Method, device, terminal, and server for a security check |
| JP2017531951A (ja) * | 2014-10-10 | 2017-10-26 | アリババ グループ ホウルディング リミテッド | セキュリティチェックのための方法、デバイス、端末およびサーバ |
| US10637853B2 (en) | 2016-08-05 | 2020-04-28 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
| US10769635B2 (en) | 2016-08-05 | 2020-09-08 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
| US10237070B2 (en) | 2016-12-31 | 2019-03-19 | Nok Nok Labs, Inc. | System and method for sharing keys across authenticators |
| US10091195B2 (en) | 2016-12-31 | 2018-10-02 | Nok Nok Labs, Inc. | System and method for bootstrapping a user binding |
| US11868995B2 (en) | 2017-11-27 | 2024-01-09 | Nok Nok Labs, Inc. | Extending a secure key storage for transaction confirmation and cryptocurrency |
| US11831409B2 (en) | 2018-01-12 | 2023-11-28 | Nok Nok Labs, Inc. | System and method for binding verifiable claims |
| US11792024B2 (en) | 2019-03-29 | 2023-10-17 | Nok Nok Labs, Inc. | System and method for efficient challenge-response authentication |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2007220075A (ja) | 個人認証装置、位置情報送信装置、個人認証システム、個人認証方法、及び個人認証プログラム | |
| RU2718226C2 (ru) | Системы и способы безопасного обращения с биометрическими данными | |
| EP3312750B1 (en) | Information processing device, information processing system, and information processing method | |
| JP5154436B2 (ja) | 無線認証 | |
| JP5259400B2 (ja) | ニアフィールドコミュニケーションを伴うマスストレージデバイス | |
| US20070168677A1 (en) | Changing user authentication method by timer and the user context | |
| CN105279449A (zh) | 基于上下文的数据访问控制 | |
| US9246887B1 (en) | Method and apparatus for securing confidential data for a user in a computer | |
| US20100011212A1 (en) | Radio frequency identification (rfid) based authentication methodology using standard and private frequency rfid tags | |
| US20080140967A1 (en) | Method and system for programmable memory device security | |
| US20080010453A1 (en) | Method and apparatus for one time password access to portable credential entry and memory storage devices | |
| US20020049881A1 (en) | Information processing apparatus, information processing apparatus control method and storage medium | |
| WO2014005004A1 (en) | Proximity aware security system for portable electronics with multi-factor user authentication and secure device identity verification | |
| CN113168480A (zh) | 基于环境因子的可信执行 | |
| KR20140127987A (ko) | 공용 단말 장치 보안을 위한 시스템 및 방법 | |
| KR102479661B1 (ko) | 분할형 키 인증 시스템 | |
| JP4931543B2 (ja) | 情報機器、及びコンピュータプログラム | |
| JP2005157429A (ja) | 情報処理装置、情報処理システム及びプログラム | |
| KR20170051459A (ko) | 인증 스틱 | |
| JP2004070828A (ja) | 電子機器及びその不正使用防止方法並びにその不正使用防止プログラム | |
| JP2009152825A (ja) | ロケーションスタンプシステム | |
| KR20190061606A (ko) | 인증프로세스의 단계분할과 생체인증을 접목한 개인정보침해 방어 방법 및 시스템 | |
| KR102295480B1 (ko) | 산업 제어 시스템으로의 접근 허용을 인증하기 위한 사용자 인증 시스템 및 방법 | |
| JP4792874B2 (ja) | 認証システム及び認証方法並びにプログラム | |
| JP2008234560A (ja) | 認証装置および認証方法 |