JP4190023B1 - Authentication apparatus, method, and computer program - Google Patents

Authentication apparatus, method, and computer program Download PDF

Info

Publication number
JP4190023B1
JP4190023B1 JP2008192678A JP2008192678A JP4190023B1 JP 4190023 B1 JP4190023 B1 JP 4190023B1 JP 2008192678 A JP2008192678 A JP 2008192678A JP 2008192678 A JP2008192678 A JP 2008192678A JP 4190023 B1 JP4190023 B1 JP 4190023B1
Authority
JP
Japan
Prior art keywords
user
chip
manufacturing number
stored
network terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008192678A
Other languages
Japanese (ja)
Other versions
JP2010033191A (en
Inventor
敏郎 川勝
正義 山崎
克仁 青木
Original Assignee
株式会社蝶理コム
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社蝶理コム filed Critical 株式会社蝶理コム
Priority to JP2008192678A priority Critical patent/JP4190023B1/en
Application granted granted Critical
Publication of JP4190023B1 publication Critical patent/JP4190023B1/en
Publication of JP2010033191A publication Critical patent/JP2010033191A/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】 ネットワーク認証をActive
Directoryと各種デバイスで読み取ったICチップ内の情報との認証とそれらの自動整合処理モジュールと仕組みを提供する。
【解決手段】 リーダーライター経由でICチップ内の情報を読み込んだネットワーク端末は、ネットワーク経由でActive Directoryサーバを見て同一情報が存在していれば認証し、存在していなければ否認する。また、キーのみ一致する場合はICチップ内の情報をActive Directoryサーバに更新して自動的に整合性を保つ仕組みにより、ネットワーク内認証の認証テーブルの一元化、及び、ICチップ搭載デバイスの紛失等による認証テーブル修正工数の軽減を図る。
【選択図】 図1[PROBLEMS] Active network authentication
It provides authentication of Directory and information in IC chip read by various devices, and their automatic matching processing module and mechanism.
A network terminal that reads information in an IC chip via a reader / writer looks at an Active Directory server via the network and authenticates if the same information exists, and denies it if it does not exist. Also, if only the keys match, the information in the IC chip is updated to the Active Directory server to automatically maintain consistency, so that the authentication table in the network authentication is unified and the IC chip mounted device is lost, etc. Reduce the number of authentication table correction man-hours.
[Selection] Figure 1

Description

本発明は、ネットワーク内での個体認証を行う仕組みに関するものであり、特に、Windows(登録商標)ネットワーク内での個体認証を行う際に、ICカードや携帯電話といったICチップ搭載機器の製造番号とユーザーの識別番号とをActive Directoryに自動的に登録、更新等する仕組みに好適な技術に関する。   The present invention relates to a mechanism for performing individual authentication in a network, and in particular, when performing individual authentication in a Windows (registered trademark) network, a serial number of an IC chip mounted device such as an IC card or a mobile phone, The present invention relates to a technique suitable for a mechanism for automatically registering and updating a user identification number in Active Directory.

最近、様々なシステムの認証やデバイス認証を統合する統合認証システムを導入する企業が増えている。これは、複数のシステム開発によって乱立したユーザー認証データベースを統合することにより、その管理を一元化することを目的としている。   Recently, an increasing number of companies have introduced integrated authentication systems that integrate various system authentication and device authentication. The purpose of this is to unify the management by integrating user authentication databases that have been erected by the development of multiple systems.

また、様々なシステムの認証やデバイス認証を行う上でシングルサインオン認証という仕組みも存在する。これは、一つのユーザーアカウントで様々なシステムやデバイスの認証を行うのでユーザー認証テーブルは一つになり、その乱立を防ぐことを目的としている。   There is also a mechanism called single sign-on authentication for performing various system authentications and device authentications. This is because the user authentication table is unified because various systems and devices are authenticated with a single user account, and the purpose is to prevent the randomness.

このように、統合認証システムやシングルサインオン認証という仕組みで様々なシステムやデバイスの認証を行うことにより、ユーザー認証テーブルの複雑な管理を簡素化するということを目的とした製品が世の中に広がっている。   In this way, products that aim to simplify the complex management of user authentication tables by authenticating various systems and devices with a mechanism called integrated authentication system and single sign-on authentication have spread to the world. Yes.

ユーザー管理の仕組みとしては、サーバが、発生させた乱数と共通鍵をクライアントに送信し、クライアントから受信した機器識別子を共通鍵で復号し、機器識別子に対応する公開鍵で受信した乱数を復号し、復号された乱数と発生させた乱数とを比較照合して機器認証を行い、クライアントが、サーバからの乱数と共通鍵をIC
カードに出力し、IC カードからの乱数と暗号化された機器識別子をサーバに送信し、IC カードが、クライアントからの乱数を秘密鍵で暗号化し、機器識別子を共通鍵で暗号化し、暗号化された乱数及び機器識別子をクライアントに出力し、クライアントからの更新データを秘密鍵で復号して、更新データでIC
カード内の書き替えを行うデータ更新システムがある(特許文献1)。 As a user management mechanism, the server sends the generated random number and common key to the client, decrypts the device identifier received from the client with the common key, and decrypts the random number received with the public key corresponding to the device identifier. The device authentication is performed by comparing and comparing the decrypted random number and the generated random number, and the client uses the random number from the server and the common key as the IC.
Output to the card, send the random number from the IC card and the encrypted device identifier to the server, and the IC card encrypts the random number from the client with the secret key, encrypts the device identifier with the common key, encrypted Output the random number and device identifier to the client, decrypts the update data from the client with the secret key,
There is a data update system for rewriting a card (Patent Document 1).

特開2006−024237JP 2006-024237 A

しかし、Windows(登録商標)ネットワークを組んでいる多くの企業ではActive Directoryによってネットワーク認証を行っており、統合認証やシングルサインオン認証の仕組みを構築する場合にはActive Directoryの他にもユーザーアカウント管理をする必要があった。   However, many companies that have a Windows (registered trademark) network perform network authentication using Active Directory, and when building a system for integrated authentication or single sign-on authentication, user account management is available in addition to Active Directory. It was necessary to do.

さらに、ICカードによる入退室管理システムや複合機能プリンタの出力制御なども各製品毎にそのアカウント管理を行う仕組みの構築が必要になり、Windows(登録商標)ネットワーク管理者の作業負荷を高めてしまうという問題があった。   In addition, it is necessary to construct a system for account management for each product such as an entrance / exit management system using an IC card and output control of a multifunction printer, which increases the workload of the Windows (registered trademark) network administrator. There was a problem.

ICカードによる認証の場合、ICカードの紛失や破損の度に、管理者がユーザー(ユーザIDなど)とICカード(ICカードの製造番号など)を紐付ける情報を修正しなければならず、大変手間がかかり効率的ではないという問題があった。 In the case of authentication using an IC card, every time the IC card is lost or damaged, the administrator must correct the information that links the user (user ID, etc.) and the IC card (IC card serial number, etc.). There was a problem that it took time and was not efficient.

また、複数のユーザーアカウントデータベースを管理するということは、ユーザーアカウント登録等の作業を担当者が行う必要があるため、情報漏洩の可能性が高まってしまい、企業の情報漏洩防止の観点からも好ましくないという問題もあった。   In addition, managing multiple user account databases requires the person in charge to perform operations such as user account registration, which increases the possibility of information leakage, and is also preferable from the viewpoint of preventing corporate information leakage. There was also a problem of not.

本発明は、上述の問題及び課題を解決するためになされた発明であって、ネットワーク上のデバイス認証データベースを集約することで管理の煩雑さを軽減するとともに、ユーザーとICカード等のICチップの関連付け情報を自動的に登録・修正するための仕組みを提供することを目的とする。   The present invention has been made to solve the above-mentioned problems and problems, and reduces the complexity of management by aggregating device authentication databases on the network, and the user and the IC chip such as an IC card. The object is to provide a mechanism for automatically registering and correcting association information.

本発明の一の観点にかかる認証装置は、ICチップを識別する製造番号と、ユーザーを識別するユーザーIDとを記憶するICチップと、上記ICチップに記憶されているデータを読み取る読取手段と、上記読み取ったICチップのデータをサーバに対して送信することで認証要求を行い、認証が正しい場合に所定の動作を行うネットワーク端末とを有し、上記ネットワーク端末に通信を介して接続可能に構成されたサーバであって、ユーザーIDに関連付けて、少なくとも、最新のICチップの製造番号及び上記ICチップが再発行された際に過去に関連付けられていた上記ICチップの製造番号と、ユーザーIDと、当該ユーザーアカウントの有効又は無効を表すアカウント属性情報を関連付けて記憶する記憶手段と、上記ネットワーク端末が、上記ICチップから読み取り、送信したICチップの製造番号及びユーザーIDを含む認証要求を受信する受信手段と、上記記憶手段を参照して、上記受信したユーザーIDと一致するユーザーIDが記憶されているか否か判別する第1処理手段と、判別の結果、一致するユーザーIDが存在する場合に、上記記憶手段を参照して当該ユーザーIDに関連付けて記憶されている上記最新の製造番号が上記受信した製造番号と一致するか否か判別する第2処理手段と、上記判別の結果、製造番号が一致しない場合に、上記ユーザーIDに関連付けてられた製造番号が未登録か否かを判別する第3処理手段と、上記判別の結果、製造番号が未登録であると判別された場合に、上記受信した製造番号を上記ユーザーIDと関連付けて上記記憶手段に記憶することで新規登録処理を行い、また上記判別の結果、製造番号が未登録ではないと判別され、かつ、上記記憶手段に記憶されている過去の製造番号と一致しない場合には、上記ネットワーク端末から受信した製造番号を上記ユーザーIDと関連付けて上記記憶手段に記憶するとともにアカウント属性情報を有効に変更する更新処理を行う第4の処理手段を有することを特徴とする認証装置。   An authentication apparatus according to one aspect of the present invention includes an IC chip that stores a manufacturing number that identifies an IC chip and a user ID that identifies a user, and a reading unit that reads data stored in the IC chip; An authentication request is made by transmitting the read IC chip data to the server, and a network terminal that performs a predetermined operation when the authentication is correct is configured to be connectable to the network terminal via communication In association with the user ID, at least the latest IC chip manufacturing number, the IC chip manufacturing number that was previously associated when the IC chip was reissued, and the user ID Storage means for associating and storing account attribute information indicating validity or invalidity of the user account, and the network A receiving means for receiving an authentication request including the manufacturing number and user ID of the IC chip read and transmitted from the IC chip, and a user ID that matches the received user ID is stored with reference to the storage means The first processing means for determining whether or not the user ID is matched, and if there is a matching user ID as a result of the determination, the latest manufacturing number stored in association with the user ID with reference to the storage means is The second processing means for determining whether or not the received manufacturing number matches, and if the manufacturing number does not match as a result of the determination, determines whether or not the manufacturing number associated with the user ID is unregistered And the third processing means, and as a result of the determination, if it is determined that the manufacturing number is not registered, the received manufacturing number is associated with the user ID and the When new registration processing is performed by storing in the means, and as a result of the determination, it is determined that the manufacturing number is not unregistered, and when the manufacturing number does not match the past manufacturing number stored in the storage means, An authentication apparatus comprising: fourth processing means for performing an update process for effectively changing account attribute information while storing the manufacturing number received from the network terminal in the storage means in association with the user ID.

上記ネットワーク端末は、所定の動作を行うための組織単位情報を記憶しており、上記サーバから通知された組織単位情報が上記予め記憶されている組織単位情報に一致する場合に所定の動作を行うようになっており、上記記憶手段には、組織単位情報がさらに記憶されており、上記第2の処理手段により製造番号が一致すると判別された場合、又は上記第4の手段により新規登録処理又は更新処理が行われた場合に、上記記憶手段に記憶されている当該ICチップのアカウント属性情報を上記ネットワーク端末に送信して上記ネットワーク端末に対して所定の処理を実行させる第5処理手段とを有してもよい。   The network terminal stores organizational unit information for performing a predetermined operation, and performs a predetermined operation when the organizational unit information notified from the server matches the organizational unit information stored in advance. In the storage unit, the organizational unit information is further stored, and when the second processing unit determines that the production numbers match, or the fourth unit performs a new registration process or Fifth processing means for transmitting account attribute information of the IC chip stored in the storage means to the network terminal and causing the network terminal to execute predetermined processing when update processing is performed; You may have.

上記ICチップには、暗号化キーを使用するか否かを表すシステムコードがさらに記憶されており、上記ネットワーク端末は、上記暗号化キーを読み取り、暗号化キーを使用するか否かを判別する手段と、判別した結果、暗号化キーを使用しない場合には、上記第2処理手段が、上記記憶手段に記憶されている最新の製造番号が、上記受信した製造番号と一致するか否か判別することで認証処理を行うようにしてもよい。   The IC chip further stores a system code indicating whether or not to use an encryption key, and the network terminal reads the encryption key and determines whether or not to use the encryption key. If the encryption key is not used as a result of the determination, the second processing means determines whether or not the latest manufacturing number stored in the storage means matches the received manufacturing number. Thus, the authentication process may be performed.

本発明の一の観点にかかる認証方法は、ICチップを識別する製造番号と、ユーザーを識別するユーザーIDとを記憶するICチップと、上記ICチップに記憶されているデータを読み取る読取手段と、上記読み取ったICチップのデータをサーバに対して送信することで認証要求を行い、認証が正しい場合に所定の動作を行うネットワーク端末とを有し、上記ネットワーク端末に通信を介して接続可能に構成され、ユーザIDに関連付けて、少なくとも、最新のICチップの製造番号及び上記ICチップが再発行された際に過去に関連付けられていた上記ICチップの製造番号と、ユーザーIDと、当該ユーザーアカウントの有効又は無効を表すアカウント属性情報を関連付けて記憶する記憶手段を有するコンピュータにより実行される方法であって、上記ネットワーク端末が上記ICチップから読み取り送信したICチップの製造番号及びユーザーIDを含む認証要求を受信する処理と、上記記憶手段を参照して、上記受信したユーザーIDと一致するユーザーIDが記憶されているか否か判別する処理と、判別の結果、一致するユーザーIDが存在する場合に、上記記憶手段を参照して当該ユーザーIDに関連付けて記憶されている上記最新の製造番号が上記受信した製造番号と一致するか否か判別する処理と、上記判別の結果、製造番号が一致しない場合に、上記ユーザーIDに関連付けてられた製造番号が未登録か否かを判別する処理と、上記判別の結果、製造番号が未登録であると判別され、かつ、上記記憶手段に記憶されている過去の製造番号と一致しない場合に、上記受信した製造番号を上記ユーザーIDと関連付けて上記記憶手段に記憶することで新規登録処理を行い、また上記判別の結果、製造番号が未登録ではないと判別された場合には、上記ネットワーク端末から受信した製造番号を上記ユーザーIDと関連付けて上記記憶手段に記憶するとともにアカウント属性情報を有効に変更する更新処理を行う処理とを行うことを特徴とする。   An authentication method according to one aspect of the present invention includes an IC chip that stores a manufacturing number that identifies an IC chip and a user ID that identifies a user, and a reading unit that reads data stored in the IC chip; An authentication request is made by transmitting the read IC chip data to the server, and a network terminal that performs a predetermined operation when the authentication is correct is configured to be connectable to the network terminal via communication In association with the user ID, at least the latest IC chip manufacturing number, the IC chip manufacturing number previously associated when the IC chip was reissued, the user ID, and the user account One executed by a computer having storage means for storing account attribute information indicating validity or invalidity in association with each other A process of receiving an authentication request including a manufacturing number and a user ID of an IC chip read and transmitted from the IC chip by the network terminal, and a user who matches the received user ID with reference to the storage means The process of determining whether or not an ID is stored, and if there is a matching user ID as a result of the determination, the latest serial number stored in association with the user ID is stored with reference to the storage means. A process for determining whether or not the received manufacturing number matches, and a process for determining whether or not the manufacturing number associated with the user ID is unregistered when the manufacturing number does not match as a result of the determination; As a result of the determination, if it is determined that the manufacturing number is unregistered and does not match the past manufacturing number stored in the storage means, The newly registered process is performed by associating the received manufacturing number with the user ID and storing it in the storage means, and if it is determined that the manufacturing number is not unregistered as a result of the determination, the network terminal And a process of performing an update process for effectively changing the account attribute information while storing the manufacturing number received from the user ID in association with the user ID.

ICチップを識別する製造番号と、ユーザーを識別するユーザーIDとを記憶するICチップと、上記ICチップに記憶されているデータを読み取る読取手段と、上記読み取ったICチップのデータをサーバに対して送信することで認証要求を行い、認証が正しい場合に所定の動作を行うネットワーク端末とを有し、上記ネットワーク端末に通信を介して接続可能に構成され、 ユーザーIDに関連付けて、少なくとも、最新の上記ICチップの製造番号及び上記ICチップが再発行された際に過去に関連付けられていた上記ICチップの製造番号と、当該ユーザーIDがアカウントとして有効又は無効を表すアカウント属性情報を関連付けて記憶する記憶手段を有するコンピュータを、認証装置として機能させるためのコンピュータプログラムであって、上記コンピュータに対して、上記ネットワーク端末が、上記ICチップから読み取り、送信したICチップの製造番号及びユーザーIDを含む認証要求を受信する処理と、上記記憶手段を参照して、上記受信したユーザーIDと一致するユーザーIDが記憶されているか否か判別する処理と、判別の結果、一致するユーザーIDが存在する場合に、上記記憶手段を参照して当該ユーザーIDに関連付けて記憶されている上記最新の製造番号が上記受信した製造番号と一致するか否か判別する処理と、上記判別の結果、製造番号が一致しない場合に、上記ユーザーIDに関連付けられた製造番号が未登録か否かを判別する処理と、上記判別の結果、製造番号が未登録であると判別された場合に、上記受信した製造番号を上記ユーザーIDと関連付けて上記記憶手段に記憶することで新規登録処理を行い、また上記判別の結果、製造番号が未登録ではないと判別された場合には、上記ネットワーク端末から受信した製造番号を上記ユーザーIDと関連付けて上記記憶手段に記憶するとともにアカウント属性情報を有効に変更する更新処理を行う処理とを行わせるコンピュータプログラム。   An IC chip for storing a manufacturing number for identifying the IC chip and a user ID for identifying a user, reading means for reading data stored in the IC chip, and data of the read IC chip to the server A network terminal that performs a predetermined operation when the authentication is correct, and is configured to be connectable to the network terminal via communication, and is associated with the user ID, at least the latest The IC chip manufacturing number and the IC chip manufacturing number associated in the past when the IC chip is reissued and the account attribute information indicating whether the user ID is valid or invalid as an account are stored in association with each other. Computer program for causing a computer having storage means to function as an authentication device A process of receiving an authentication request including the manufacturing number and user ID of the IC chip read and transmitted from the IC chip to the computer by the network terminal, and referring to the storage means, A process for determining whether or not a user ID that matches the received user ID is stored, and if there is a matching user ID as a result of the determination, the storage means is referred to and stored in association with the user ID. The process of determining whether or not the latest manufacturing number that has been matched with the received manufacturing number, and if the manufacturing number does not match as a result of the determination, the manufacturing number associated with the user ID is not registered And when the manufacturing number is determined to be unregistered as a result of the determination, the received manufacturing number is assigned to the user. -A new registration process is performed by storing it in the storage means in association with the ID, and if it is determined that the manufacturing number is not unregistered as a result of the determination, the manufacturing number received from the network terminal is A computer program for performing an update process for effectively changing account attribute information while being stored in the storage means in association with a user ID.

本発明によれば、ネットワーク上でのICカードや携帯電話などのICチップ搭載デバイスのネットワーク認証を一元管理することができる。
また、ICカードや携帯電話などのICチップ搭載デバイスを紛失・破損した場合なども、ネットワーク管理者がその紐付け情報を修正することなく、新しいICチップ搭載デバイスをリーダーにかざすだけでユーザー情報とICチップ情報の関連付けを自動的に行うことが可能となる。 According to the present invention, it is possible to centrally manage network authentication of IC chip mounted devices such as IC cards and mobile phones on the network.
In addition, even if an IC chip mounted device such as an IC card or a mobile phone is lost or damaged, the network administrator does not modify the associated information, and the user information and the It is possible to automatically associate the IC chip information.

以下、本発明の実施形態に係る実施形態について図面を参照して説明する。
図1は本発明に係る一の実施形態の全体概要を示した模式図である。
図1において、本発明では、Active Directoryサーバ1と、Active Directoryサーバ1と通信を介して接続可能に構成されたネットワーク端末2、ネットワーク端末2に接続されたICチップリーダーライター3、ICチップ搭載デバイス4、入退室の履歴を更新管理するデータベースサーバ5を有している。 Hereinafter, embodiments according to embodiments of the present invention will be described with reference to the drawings.
FIG. 1 is a schematic view showing an overall outline of one embodiment according to the present invention.
1, in the present invention, an Active Directory server 1, a network terminal 2 configured to be connectable to the Active Directory server 1 via communication, an IC chip reader / writer 3 connected to the network terminal 2, and an IC chip mounted device 4. It has a database server 5 that updates and manages the entry / exit history.

Active Directoryサーバ1は、Windows(登録商標)ネットワーク内のネットワーク認証を行うサーバである。このActive Directoryサーバ1は、そのActive Directoryデータベースに図2に示すように、ユーザーを識別するためのユーザーIDに関連付けて、少なくとも、パスワード、ICチップ製造番号が関連付けて記憶できるようになっており、さらにこれらに加えてこの例ではユーザーが属する組織単位情報(OU: Organizational Unit)、アカウント属性の有効又は無効が記憶できるようになっている。また、開錠条件として、ネットワーク端末2の識別情報に対応付けて、当該ネットワーク端末2が設置されている電子錠を開錠できる組織単位情報が記憶されている。
ICチップの製造番号は、現在ユーザーにより使用されている最新のICチップの製造番号(本例では3333333333)と、過去にこのユーザーIDに対して、ICチップが再発行されていた場合には、当該過去のICチップの製造番号(本例では、00000000000と1111111111)が関連付けて記憶できるようになっている。
このActive Directoryサーバ1のユーザーIDとICチップ製造番号が、Windows(登録商標)ネットワークへの認証を許可されたユーザーとICチップ搭載デバイスを紐付けることとなる。 The Active Directory server 1 is a server that performs network authentication in a Windows (registered trademark) network. As shown in FIG. 2, the Active Directory server 1 can store at least a password and an IC chip manufacturing number in association with a user ID for identifying a user, as shown in FIG. In addition to these, in this example, organizational unit information (OU: Organizational Unit) to which the user belongs and account attribute validity / invalidity can be stored. In addition, as unlocking conditions, organizational unit information that can unlock the electronic lock in which the network terminal 2 is installed is stored in association with the identification information of the network terminal 2.
The IC chip manufacturing number is the latest IC chip manufacturing number currently used by the user (3333333333 in this example), and if the IC chip has been reissued for this user ID in the past, The past IC chip manufacturing numbers (in this example, 00000000000000 and 1111111111) can be stored in association with each other.
The user ID of the Active Directory server 1 and the IC chip manufacturing number associate the user authorized to authenticate to the Windows (registered trademark) network with the IC chip mounted device.

ネットワーク端末2は、Windows(登録商標)ネットワーク回線を介してActive Directoryサーバ1に接続可能に構成されている。
このネットワーク端末2としては、例えば、いわゆるパーソナルコンピュータ、PDA(Personal Data Assistance)などで構成することができる。このICチップ搭載デバイス4としては、例えば、いわゆるICカード、携帯電話、RFID(Radio Frequency
IDentification)などで構成することができる。
このネットワーク端末2は、ICチップリーダーライター3を制御して、ICチップ搭載デバイス4のメモリに記憶されているデータを読み取り、認証する処理を行う。 The network terminal 2 is configured to be connectable to the Active Directory server 1 via a Windows (registered trademark) network line.
The network terminal 2 can be configured by, for example, a so-called personal computer, PDA (Personal Data Assistance), or the like. Examples of the IC chip-mounted device 4 include so-called IC cards, mobile phones, and RFID (Radio Frequency).
IDentification).
The network terminal 2 controls the IC chip reader / writer 3 to read and authenticate data stored in the memory of the IC chip mounted device 4.

また、ネットワーク端末2は、LANやWANなどを介して通信処理を行う通信制御部を有しており、この通信制御部により、Active Directoryサーバ1やデータベースサーバ5との間で所定のデータの送受信処理を行うことができる。
ネットワーク端末2は、ICチップリーダーライター3により読み取ったデータをActive Directoryサーバ1に対して送信して照合を要求することで、ICチップ搭載デバイス4の認証をする認証処理部を有している。
本例では、ネットワーク端末2は、そのメモリやハードディスクドライブなどの記憶部に、予め開錠条件として、開錠することができる組織単位情報(OU)が記憶されている。これにより、Active Directoryサーバ1による認証が完了し、送信されたユーザーの組織単位情報が、予め記憶部に記憶されている組織単位情報に一致するか否か判別し、判別の結果、一致する場合には開錠を行うように構成されている。
また、ネットワーク端末2は、認証結果のログをデータベースサーバ5へ送信して、履歴情報を更新する履歴更新処理部も有している。
また、取得したデータとActive Directoryを照合して見つかった不整合箇所を修正する修正処理部を有している。
なお、このネットワーク端末2は、本例では、ICカードリーダーライター3と接続可能なネットワーク高機能端末により構成することができる。 Further, the network terminal 2 has a communication control unit that performs communication processing via a LAN, a WAN, or the like, and the communication control unit transmits / receives predetermined data to / from the Active Directory server 1 or the database server 5. Processing can be performed.
The network terminal 2 has an authentication processing unit that authenticates the IC chip mounted device 4 by transmitting data read by the IC chip reader / writer 3 to the Active Directory server 1 and requesting verification.
In this example, the network terminal 2 stores in advance organizational unit information (OU) that can be unlocked as an unlocking condition in a storage unit such as a memory or a hard disk drive. Thereby, authentication by the Active Directory server 1 is completed, and it is determined whether or not the transmitted organizational unit information of the user matches the organizational unit information stored in the storage unit in advance. Is configured to perform unlocking.
The network terminal 2 also includes a history update processing unit that transmits a log of the authentication result to the database server 5 and updates the history information.
In addition, it has a correction processing unit that corrects inconsistencies found by comparing the acquired data with Active Directory.
In this example, the network terminal 2 can be constituted by a high-function network terminal that can be connected to the IC card reader / writer 3.

ICチップリーダーライター3は、ネットワーク端末2と接続して、ネットワーク端末2からの要求により、ICチップ搭載デバイス4のICチップ内のデータを読み書きする装置である。
なお、本例では、ICチップリーダーライター3とネットワーク端末2とは別装置として構成した例について説明したが、ICチップリーダーライター3とネットワーク端末2が一体化された装置としてもよい。 The IC chip reader / writer 3 is a device that is connected to the network terminal 2 and reads / writes data in the IC chip of the IC chip mounting device 4 according to a request from the network terminal 2.
In this example, the IC chip reader / writer 3 and the network terminal 2 are described as separate devices. However, the IC chip reader / writer 3 and the network terminal 2 may be integrated.

ICチップ搭載デバイス4は、入退室者が保持するデバイスである。具体的には、ICチップ搭載デバイス4は、例えば、ICカード、携帯電話、RFIDチップなどにより構成することができる。
このICチップ搭載デバイス4はメモリを有しており、このメモリに入退室者を識別するためのユーザーIDと、ICチップ搭載デバイス4に割り当てられた固有のデバイス製造番号が記憶できるようになっている。
また、その他、ICチップ搭載デバイス4には、入退室者の氏名などの個人情報や、パスワードを記憶してもよい。 The IC chip mounting device 4 is a device held by a person entering or leaving the room. Specifically, the IC chip mounted device 4 can be configured by, for example, an IC card, a mobile phone, an RFID chip, or the like.
This IC chip mounted device 4 has a memory, and a user ID for identifying a person entering and leaving the room and a unique device manufacturing number assigned to the IC chip mounted device 4 can be stored in this memory. Yes.
In addition, the IC chip-mounted device 4 may store personal information such as names of persons entering and leaving the room, and passwords.

データベースサーバ5は、ネットワーク内でのネットワーク認証の履歴ログデータを保存・管理する装置である。
このデータベースサーバ5は、ネットワークに接続されており、該ネットワーク回線を通じて認証履歴ログ情報を受信することで、履歴データベースを更新する。 The database server 5 is a device that stores and manages network authentication history log data in the network.
The database server 5 is connected to a network, and updates the history database by receiving authentication history log information through the network line.

次に、上述の実施形態による処理の方法について説明する。
まず全体の概略について図1を参照して説明する。
図1に示した例は、入退室者が保持するICチップ搭載デバイス4を使って、ネットワーク端末2が制御している電子錠を開錠して入退室を行う場合の例である。
まず、入退室者が保持しているICチップ搭載デバイス4をICチップリーダーライター3の端子に接続又はかざすことで、ICチップリーダーライター3がICチップ内のデータを読み取る(S1)。
この際読み取る情報としては、少なくともICチップ搭載デバイス4のICチップ内に記憶されているユーザーIDとICチップの製造番号が含まれており、さらに入退室者の氏名などの個人情報やパスワードなどのデータが含まれてもよい。 Next, a processing method according to the above-described embodiment will be described.
First, an overall outline will be described with reference to FIG.
The example shown in FIG. 1 is an example of entering and leaving the room by unlocking the electronic lock controlled by the network terminal 2 using the IC chip mounted device 4 held by the person entering and leaving the room.
First, the IC chip reader / writer 3 reads data in the IC chip by connecting or holding the IC chip mounted device 4 held by the person entering or leaving the terminal to the terminal of the IC chip reader / writer 3 (S1).
The information read at this time includes at least the user ID stored in the IC chip of the IC chip mounting device 4 and the IC chip manufacturing number, and personal information such as the names of persons entering and leaving the room and passwords. Data may be included.

ICチップ内のデータが読み取られると、ネットワーク端末2が、Active Directoryサーバ1に対して読み取ったデータを送信して、ICチップ内のデータの認証要求を行う(S2)。   When the data in the IC chip is read, the network terminal 2 transmits the read data to the Active Directory server 1 and makes an authentication request for the data in the IC chip (S2).

Active Directoryサーバ1は、受信したデータに基づいて認証処理を行い、承認又は否認の結果をネットワーク端末2に送信する(S3)。
また、この際、Active Directoryサーバ1は、必要に応じて、Active Directoryデータベースを参照して、後述するICチップ搭載デバイス4のデータの登録、更新処理を行う。 The Active Directory server 1 performs an authentication process based on the received data, and transmits an approval or denial result to the network terminal 2 (S3).
At this time, the Active Directory server 1 refers to the Active Directory database as necessary, and performs registration and update processing of data of the IC chip mounted device 4 described later.

Active Directoryサーバ1から承認又は否認の通知があると、ネットワーク端末2は承認の際は開錠するなどの所定の処理を行うとともに、当該ログデータをデータベースサーバ5に送信する(S4)。なお、否認の場合は、ネットワーク端末2は、エラーメッセージを表示するなどして、当該ログデータをデータベースサーバ5に送信する。
これにより、データベースサーバ5は、送信されたログデータを履歴データベースに記憶して、一連の処理を終了する。 When there is a notification of approval or denial from the Active Directory server 1, the network terminal 2 performs predetermined processing such as unlocking at the time of approval and transmits the log data to the database server 5 (S4). In the case of denial, the network terminal 2 transmits the log data to the database server 5 by displaying an error message or the like.
Thereby, the database server 5 stores the transmitted log data in the history database, and ends the series of processes.

次に、上述の認証又は否認処理(S3)におけるActive Directoryサーバ1の詳細な処理について、図3を参照して説明する。
図3において、ネットワーク端末2は、ICチップのSystem Codeを読取り(S101)、システムコードが暗号化キーを使用する設定となっているかどうかを判別する(S102)。
判別の結果、暗号化キーを使用する場合には、後述するモード2の処理が開始される。 Next, detailed processing of the Active Directory server 1 in the above-described authentication or denial processing (S3) will be described with reference to FIG.
In FIG. 3, the network terminal 2 reads the system code of the IC chip (S101) and determines whether the system code is set to use the encryption key (S102).
As a result of the determination, when an encryption key is used, mode 2 processing described later is started.

判別の結果使用しない場合には、モード1の処理として、ネットワーク端末2は、ICチップの製造番号を読み取り、これをActive Directoryサーバ1に送信する(S103)。   If not used as a result of the discrimination, as a mode 1 process, the network terminal 2 reads the IC chip manufacturing number and transmits it to the Active Directory server 1 (S103).

Active Directoryサーバ1は、Active Directoryデータベースを検索して、最新の製造番号を照合し(S104)、該当する製造番号が存在するか否か判別する(S105)。
この判別の結果、存在しない場合には、後述するエラー処理が行われる。 The Active Directory server 1 searches the Active Directory database, collates the latest manufacturing number (S104), and determines whether or not the corresponding manufacturing number exists (S105).
If the result of this determination is that there is no such error, error processing described later is performed.

また、判別の結果、製造番号がActive Directoryデータベースに存在する場合には、Active Directoryサーバ1は、Active Directoryデータベースに記憶されている当該製造番号のアカウント属性及び、組織単位情報(OU:Organizational Unit)を取得する(S106)。   If the manufacturing number exists in the Active Directory database as a result of the determination, the Active Directory server 1 stores the account attribute of the manufacturing number stored in the Active Directory database and organizational unit information (OU: Organizational Unit). Is acquired (S106).

Active Directoryサーバ1は、アカウント属性情報が有効か無効かの照合を行い(S107、S108)、無効の場合には、後述するエラー処理を行う。
また、判別の結果、アカウント属性情報が有効な場合には、Active Directoryサーバ1は、組織単位情報(OU)の照合を行い開錠条件に合致する組織単位情報か否かを判別する(S109、S110)。
判別の結果、開錠条件に合致しない場合には、後述するエラー処理を行う。 The Active Directory server 1 collates whether the account attribute information is valid or invalid (S107, S108), and if invalid, performs error processing to be described later.
If the account attribute information is valid as a result of the determination, the Active Directory server 1 compares the organizational unit information (OU) to determine whether the organizational unit information matches the unlocking condition (S109, S110).
If the result of determination is that the unlocking conditions are not met, error processing described later is performed.

また、判別の結果、開錠条件に合致する場合には、Active Directoryサーバ1は、電子錠開錠指示データと組織単位情報をネットワーク端末2に送信し、ネットワーク端末2は受信した組織単位情報が予め記憶部に記憶されている開錠できる組織単位情報に一致するか判別して、該当する場合には電子錠を開錠する処理を行う(S111)。   If the unlocking condition is met as a result of the determination, the Active Directory server 1 transmits the electronic unlocking instruction data and the organizational unit information to the network terminal 2, and the network terminal 2 receives the received organizational unit information. It is determined whether the information matches the organizational unit information that can be unlocked and stored in advance in the storage unit, and if applicable, a process of unlocking the electronic lock is performed (S111).

また、ネットワーク端末2は、開錠を行ったログデータをデータベースサーバ5に送信することで、データベースサーバ5はログ情報をデータベースに記憶して(S112)、処理を終了する。   Further, the network terminal 2 transmits the unlocked log data to the database server 5, whereby the database server 5 stores the log information in the database (S112), and ends the process.

また、上述のS102の処理で暗号化キーを使用すると判別された場合(モード2)の処理について、図4を参照して説明する。
図4において、ネットワーク端末2は、ICチップの製造番号と、ICチップに記憶されているユーザーIDを読み取り、Active Directoryサーバ1に送信する(S201)。 Further, the processing when it is determined that the encryption key is used in the processing of S102 described above (mode 2) will be described with reference to FIG.
In FIG. 4, the network terminal 2 reads the IC chip manufacturing number and the user ID stored in the IC chip, and transmits them to the Active Directory server 1 (S201).

Active Directoryサーバ1は、Active Directoryデータベースを参照してユーザーIDの照合を行い、受信したユーザーIDに一致するユーザーIDが存在するか否かを判別する(S202、S203)。
判別の結果、一致するユーザーIDが存在しない場合は、不正なユーザーIDとして後述するエラー処理を行う。 The Active Directory server 1 compares the user ID with reference to the Active Directory database, and determines whether there is a user ID that matches the received user ID (S202, S203).
If there is no matching user ID as a result of the determination, error processing described later is performed as an invalid user ID.

また、判別の結果、一致するユーザーIDが存在する場合には、Active Directoryサーバ1は、Active Directoryデータベースを参照して、ICチップの製造番号が、S203の処理で特定されたユーザーIDに関連付けられて記憶されている最新の製造番号と一致するか否かを判別する(S204、S205)。
判別の結果、一致しない場合には、後述するモード3の新規登録又は再発行処理に移る。 If there is a matching user ID as a result of the determination, the Active Directory server 1 refers to the Active Directory database and associates the IC chip manufacturing number with the user ID specified in S203. It is determined whether or not it matches the latest manufacturing number stored (S204, S205).
As a result of determination, if they do not match, the process proceeds to a new registration or reissue process in mode 3 to be described later.

また判別の結果、製造番号が一致する場合には、Active Directoryサーバ1は、Active Directoryデータベースを参照して属性情報及びActive Directoryデータベースに記憶されているユーザーIDのアカウント属性情報及び、組織単位情報(OU:Organizational Unit)を取得する(S206)。   If the serial numbers match, the Active Directory server 1 refers to the Active Directory database, refers to the attribute information, the account attribute information of the user ID stored in the Active Directory database, and the organizational unit information ( OU: Organizational Unit is acquired (S206).

Active Directoryサーバ1は、アカウント属性情報が有効か無効かの照合を行い(S207、S208)、無効の場合には、後述するエラー処理を行う。
また、判別の結果、属性情報が有効な場合には、Active Directoryサーバ1は、Active Directoryデータベースを参照して、組織単位情報の照合を行い開錠条件に合致する組織単位情報か否かを判別する(S209、S210)。
判別の結果、開錠条件に合致しない場合には、後述するエラー処理を行う。 The Active Directory server 1 collates whether the account attribute information is valid or invalid (S207, S208), and if invalid, performs error processing to be described later.
If the attribute information is valid as a result of the determination, the Active Directory server 1 refers to the Active Directory database and compares the organizational unit information to determine whether the organizational unit information matches the unlocking condition. (S209, S210).
If the result of determination is that the unlocking conditions are not met, error processing described later is performed.

また、判別の結果、開錠条件に合致する場合には、Active Directoryサーバ1は、電子錠開錠指示データと組織単位情報をネットワーク端末2に送信し、ネットワーク端末2は受信した組織単位情報が予め記憶部に記憶されている開錠できる組織単位情報に一致するか判別して、該当する場合には電子錠を開錠する処理を行う(S211)。   If the unlocking condition is met as a result of the determination, the Active Directory server 1 transmits the electronic unlocking instruction data and the organizational unit information to the network terminal 2, and the network terminal 2 receives the received organizational unit information. It is determined whether the information matches the organizational unit information that can be unlocked and stored in advance in the storage unit, and if applicable, a process of unlocking the electronic lock is performed (S211).

また、ネットワーク端末2は、開錠を行ったログデータをデータベースサーバ5に送信することで、データベースサーバ5はログ情報を履歴データベースに記憶して(S212)、処理を終了する。   Further, the network terminal 2 transmits the unlocked log data to the database server 5, whereby the database server 5 stores the log information in the history database (S212), and ends the process.

次に、S205の処理で、製造番号が登録されておらず無効と判別された場合の場合(新規登録又は再発行処理)の処理について図5を参照して説明する。
図5において、前述のS205の処理で、製造番号が一致しないと判別された場合、Active Directoryサーバ1は、製造番号更新処理を開始し、Active Directoryサーバ1は、Active Directoryデータベースを参照して、製造番号が登録されていない状態か否か判別する(S301)。 Next, the processing in the case where it is determined in step S205 that the manufacturing number is not registered and is invalid (new registration or reissue processing) will be described with reference to FIG.
In FIG. 5, when it is determined in the above-described processing of S205 that the serial numbers do not match, the Active Directory server 1 starts the serial number update processing, and the Active Directory server 1 refers to the Active Directory database, It is determined whether or not the serial number is not registered (S301).

判別の結果、製造番号が登録されていない場合、即ち、ユーザーIDは登録されているがICチップの製造番号が登録されていない場合には、新規登録としてネットワーク端末2から送信された製造番号を、既に登録されているユーザーIDと関連付けて登録し(S302)、番号更新処理を終了して、前述のS206以下の処理を行う。   As a result of the determination, if the manufacturing number is not registered, that is, if the user ID is registered but the IC chip manufacturing number is not registered, the manufacturing number transmitted from the network terminal 2 is newly registered. Then, the user ID is registered in association with the already registered user ID (S302), the number update process is terminated, and the process from S206 described above is performed.

また、S301の処理で製造番号が一致しないと判別された場合には、Active Directoryサーバ1は、取得したICチップの製造番号が、Active Directoryデータベースに記憶されている過去のICチップの製造番号に一致しないか否か判別する(S303)。
判別の結果、過去のICチップの製造番号と一致する場合には、紛失したカードを誰かが使用している場合であるとして、後述するエラー処理を行う。
また、判別の結果、過去のICチップの製造番号とは一致しないと判別された場合には、Active Directoryサーバ1は、Active Directoryデータベースを参照して、アカウント属性情報及び、組織単位情報(OU:Organizational Unit)を取得する(S304)。 If it is determined in the process of S301 that the manufacturing numbers do not match, the Active Directory server 1 sets the acquired IC chip manufacturing number to the past IC chip manufacturing number stored in the Active Directory database. It is determined whether or not they match (S303).
As a result of the determination, if it matches the past IC chip manufacturing number, it is assumed that someone is using the lost card, and error processing described later is performed.
Further, when it is determined that the manufacturing number of the past IC chip does not match as a result of the determination, the Active Directory server 1 refers to the Active Directory database and accounts attribute information and organizational unit information (OU: Organizational Unit) is acquired (S304).

Active Directoryサーバ1は、アカウント属性情報が無効となっているか否か照合を行う(S305、S306)。
すなわち、ICチップ搭載デバイス4を紛失した場合には、ユーザーが紛失を届け出ており、システム管理者によってアカウント属性情報が無効となっているため、システム属性が無効となっているか否か判別することで、紛失したICチップ搭載デバイス4が再発行されたか否か判別する。 The Active Directory server 1 collates whether the account attribute information is invalid (S305, S306).
That is, when the IC chip mounted device 4 is lost, it is determined whether or not the system attribute is invalid because the user has reported the loss and the account attribute information is invalidated by the system administrator. Then, it is determined whether or not the lost IC chip mounting device 4 has been reissued.

判別の結果、アカウント属性が無効でなく、有効となっている場合には、不正なICチップ搭載デバイスとして、後述するエラー処理を行う。   As a result of the determination, if the account attribute is not invalid but valid, error processing described later is performed as an unauthorized IC chip-mounted device.

また、判別の結果、アカウント属性情報が無効となっている場合には、Active Directoryサーバ1は、当該ユーザーIDに関連付けられているActive Directoryデータベースの製造番号を、ICチップ搭載デバイス4から読み取った製造番号に更新し(S307)、当該製造番号のステータスを有効に変更して再発行処理を行い(S308)、前述のS206以下の処理を行う。   If the account attribute information is invalid as a result of determination, the Active Directory server 1 reads the manufacturing number of the Active Directory database associated with the user ID from the IC chip mounted device 4. The number is updated (S307), the status of the manufacturing number is changed to valid and reissue processing is performed (S308), and the processing from S206 described above is performed.

次に、図6を参照してエラー処理の流れについて説明する。
図6において、エラー処理通知されると、Active Directoryサーバ1はエラー処理を開始し、不正侵入警告を発する(S401)。これにより、システム管理者などに対してアラーを通知するなどの処理を行う。
そして、Active Directoryサーバ1は、エラー処理をデータベースサーバ5に通知することで、データベースサーバ5はエラー処理のログを記憶して(S402)、エラー処理を終了する。 Next, the flow of error processing will be described with reference to FIG.
In FIG. 6, when notified of error processing, the Active Directory server 1 starts error processing and issues an unauthorized intrusion warning (S401). Thus, processing such as notifying the system administrator or the like of an alert is performed.
Then, the Active Directory server 1 notifies the error processing to the database server 5, whereby the database server 5 stores the error processing log (S402) and ends the error processing.

このように、上述の実施形態によれば、Windows(登録商標)ネットワーク上でのICカードや携帯電話などのICチップ搭載デバイス4のネットワーク認証を、Active Directoryサーバ1で一元管理できる。
また、ICカードや携帯電話などのICチップ搭載デバイス4を紛失・破損した場合なども、ネットワーク管理者がその紐付け情報を修正することなく、上述の更新処理で新しいICチップ搭載デバイス4をICチップリーダーライター3にかざすだけでユーザー情報とICチップ情報の関連付けを自動的に行うことができ、人手による登録の場合のミスがなくなり、効率的にかつ正確に登録・更新処理を行うことができる。 Thus, according to the above-described embodiment, the network authentication of the IC chip mounted device 4 such as an IC card or a mobile phone on the Windows (registered trademark) network can be centrally managed by the Active Directory server 1.
In addition, even if the IC chip mounted device 4 such as an IC card or a mobile phone is lost or damaged, the network administrator can replace the new IC chip mounted device 4 with the above-described update process without correcting the association information. The user information and the IC chip information can be automatically associated by simply holding the chip reader / writer 3 over the chip reader / writer 3, eliminating errors in manual registration, and enabling efficient and accurate registration / update processing. .

符号の説明Explanation of symbols

1 Active Directoryサーバ
2 ネットワーク端末
3 ICチップリーダーライター
4 ICチップ搭載デバイス
5 データベースサーバ 1 Active Directory Server 2 Network Terminal 3 IC Chip Reader / Writer 4 IC Chip Device 5 Database Server

本発明の実施形態にかかるシステムの全体構成を表す概略図。Schematic showing the whole structure of the system concerning embodiment of this invention. 本実施形態のActive Directoryデータベースのデータ項目を示した図。The figure which showed the data item of the Active Directory database of this embodiment. 本実施形態にかかる処理フローを示した図。The figure which showed the processing flow concerning this embodiment. 本実施形態にかかるモード2の処理フローを示した図。The figure which showed the processing flow of the mode 2 concerning this embodiment. 本実施形態にかかるモード3の処理フローを示した図。The figure which showed the processing flow of the mode 3 concerning this embodiment. 本実施形態にかかるモード4の処理フローを示した図。The figure which showed the processing flow of the mode 4 concerning this embodiment.

Claims (5)

ICチップを識別する製造番号と、ユーザーを識別するユーザーIDとを記憶するICチップと、
上記ICチップに記憶されているデータを読み取る読取手段と、
上記読み取ったICチップのデータをサーバに対して送信することで認証要求を行い、認証が正しい場合に所定の動作を行うネットワーク端末とを有し、上記ネットワーク端末に通信を介して接続可能に構成されたサーバであって、
ユーザーIDに関連付けて、少なくとも最新のICチップの製造番号及び上記ICチップが再発行された際に過去に関連付けられていた上記ICチップの製造番号と、当該ユーザーIDがアカウントとして有効又は無効を表すアカウント属性情報を関連付けて記憶する記憶手段と、
上記ネットワーク端末が、上記ICチップから読み取り、送信したICチップの製造番号及びユーザーIDを含む認証要求を受信する受信手段と、
上記記憶手段を参照して、上記受信したユーザーIDと一致するユーザーIDが記憶されているか否か判別する第1処理手段と、
判別の結果、一致するユーザーIDが存在する場合に、上記記憶手段を参照して当該ユーザーIDに関連付けて記憶されている上記最新の製造番号が上記受信した製造番号と一致するか否か判別する第2処理手段と、
上記判別の結果、製造番号が一致しない場合に、上記ユーザーIDに関連付けられた製造番号が未登録か否かを判別する第3処理手段と、
上記判別の結果、製造番号が未登録であると判別された場合に、上記受信した製造番号を上記ユーザーIDと関連付けて上記記憶手段に記憶することで新規登録処理を行い、また上記判別の結果、製造番号が未登録ではないと判別され、かつ、上記記憶手段に記憶されている過去の製造番号と一致しない場合には、上記ネットワーク端末から受信した製造番号を上記ユーザーIDと関連付けて上記記憶手段に記憶するとともにアカウント属性情報を有効に変更する更新処理を行う第4の処理手段、
を有することを特徴とする認証装置。 An IC chip for storing a manufacturing number for identifying the IC chip and a user ID for identifying the user;
Reading means for reading data stored in the IC chip;
An authentication request is made by transmitting the read IC chip data to the server, and a network terminal that performs a predetermined operation when the authentication is correct is configured to be connectable to the network terminal via communication Server,
In association with the user ID, at least the latest IC chip manufacturing number, the IC chip manufacturing number associated in the past when the IC chip was reissued, and the user ID represents whether the user ID is valid or invalid Storage means for storing account attribute information in association with each other;
Receiving means for receiving an authentication request including the manufacturing number and user ID of the IC chip read and transmitted from the IC chip by the network terminal;
Referring to the storage means, a first processing means for determining whether a user ID matching the received user ID is stored;
If there is a matching user ID as a result of the determination, the storage unit is referred to determine whether or not the latest manufacturing number stored in association with the user ID matches the received manufacturing number. A second processing means;
A third processing means for determining whether or not the manufacturing number associated with the user ID is unregistered when the manufacturing number does not match as a result of the determination;
As a result of the determination, if it is determined that the manufacturing number is unregistered, a new registration process is performed by storing the received manufacturing number in the storage unit in association with the user ID, and the determination result. If it is determined that the manufacturing number is not unregistered and does not match the past manufacturing number stored in the storage means, the manufacturing number received from the network terminal is associated with the user ID and stored in the memory. A fourth processing means for performing an update process for effectively changing the account attribute information while being stored in the means;
An authentication apparatus comprising: 上記ネットワーク端末は、所定の動作を行うための組織単位情報を記憶しており、上記サーバから通知された組織単位情報が上記予め記憶されている組織単位情報に一致する場合に所定の動作を行うようになっており、
上記記憶手段には、組織単位情報がさらに記憶されており、
上記第2の処理手段により製造番号が一致すると判別された場合、又は上記第4の手段により新規登録処理又は更新処理が行われた場合に、上記記憶手段に記憶されている当該ICチップのアカウント属性情報を上記ネットワーク端末に送信して上記ネットワーク端末に対して所定の処理を実行させる第5処理手段と、を有する、
請求項1記載の認証装置。 The network terminal stores organizational unit information for performing a predetermined operation, and performs a predetermined operation when the organizational unit information notified from the server matches the organizational unit information stored in advance. And
The storage means further stores organizational unit information,
The IC chip account stored in the storage means when the second processing means determines that the production numbers match, or when the new registration processing or update processing is performed by the fourth means And fifth processing means for transmitting attribute information to the network terminal and causing the network terminal to execute a predetermined process.
The authentication device according to claim 1. 上記ICチップには、暗号化キーを使用するか否かを表すシステムコードがさらに記憶されており、
上記ネットワーク端末は、上記暗号化キーを読み取り、暗号化キーを使用するか否かを判別する手段と、
判別した結果、暗号化キーを使用しない場合には、上記第2処理手段が、上記記憶手段に記憶されている最新の製造番号が、上記受信した製造番号と一致するか否か判別することで認証処理を行う、
請求項1又は2記載の認証装置。 The IC chip further stores a system code indicating whether or not to use an encryption key,
The network terminal reads the encryption key and determines whether or not to use the encryption key;
As a result of the determination, when the encryption key is not used, the second processing means determines whether or not the latest manufacturing number stored in the storage means matches the received manufacturing number. Perform authentication process,
The authentication device according to claim 1 or 2. ICチップを識別する製造番号と、ユーザーを識別するユーザーIDとを記憶するICチップと、
上記ICチップに記憶されているデータを読み取る読取手段と、
上記読み取ったICチップのデータをサーバに対して送信することで認証要求を行い、認証が正しい場合に所定の動作を行うネットワーク端末とを有し、上記ネットワーク端末に通信を介して接続可能に構成され、 ユーザーIDに関連付けて、少なくとも最新のICチップの製造番号及び上記ICチップが再発行された際に過去に関連付けられていた上記ICチップの製造番号と、ユーザーIDと、当該ユーザーアカウントの有効又は無効を表すアカウント属性情報を関連付けて記憶する記憶手段を有するコンピュータにより実行される方法であって、
上記ネットワーク端末が上記ICチップから読み取り送信したICチップの製造番号及びユーザーIDを含む認証要求を受信する処理と、
上記記憶手段を参照して、上記受信したユーザーIDと一致するユーザーIDが記憶されているか否か判別する処理と、
判別の結果、一致するユーザーIDが存在する場合に、上記記憶手段を参照して当該ユーザーIDに関連付けて記憶されている上記最新の製造番号が上記受信した製造番号と一致するか否か判別する処理と、
上記判別の結果、製造番号が一致しない場合に、上記ユーザーIDに関連付けてられた製造番号が未登録か否かを判別する処理と、
上記判別の結果、製造番号が未登録であると判別された場合に、上記受信した製造番号を上記ユーザーIDと関連付けて上記記憶手段に記憶することで新規登録処理を行い、また上記判別の結果、製造番号が未登録ではないと判別され、かつ、上記記憶手段に記憶されている過去の製造番号と一致しない場合には、上記ネットワーク端末から受信した製造番号を上記ユーザーIDと関連付けて上記記憶手段に記憶するとともにアカウント属性情報を有効に変更する更新処理を行う処理と、
を行うことを特徴とする認証方法。 An IC chip for storing a manufacturing number for identifying the IC chip and a user ID for identifying the user;
Reading means for reading data stored in the IC chip;
An authentication request is made by transmitting the read IC chip data to the server, and a network terminal that performs a predetermined operation when the authentication is correct is configured to be connectable to the network terminal via communication In association with the user ID, at least the latest IC chip manufacturing number, the IC chip manufacturing number previously associated when the IC chip was reissued, the user ID, and the validity of the user account Or a method executed by a computer having storage means for associating and storing account attribute information representing invalidity,
A process of receiving an authentication request including a manufacturing number and a user ID of an IC chip read and transmitted from the IC chip by the network terminal;
A process of referring to the storage means to determine whether or not a user ID that matches the received user ID is stored;
If there is a matching user ID as a result of the determination, the storage unit is referred to determine whether or not the latest manufacturing number stored in association with the user ID matches the received manufacturing number. Processing,
As a result of the determination, if the manufacturing numbers do not match, a process of determining whether the manufacturing number associated with the user ID is unregistered,
As a result of the determination, if it is determined that the manufacturing number is unregistered, a new registration process is performed by storing the received manufacturing number in the storage unit in association with the user ID, and the determination result. If it is determined that the manufacturing number is not unregistered and does not match the past manufacturing number stored in the storage means, the manufacturing number received from the network terminal is associated with the user ID and stored in the memory. A process of performing an update process for effectively changing the account attribute information while being stored in the means,
An authentication method characterized by performing. ICチップを識別する製造番号と、ユーザーを識別するユーザーIDとを記憶するICチップと、
上記ICチップに記憶されているデータを読み取る読取手段と、
上記読み取ったICチップのデータをサーバに対して送信することで認証要求を行い、認証が正しい場合に所定の動作を行うネットワーク端末とを有し、上記ネットワーク端末に通信を介して接続可能に構成され、ユーザーIDに関連付けて、少なくとも、最新の上記ICチップの製造番号及び上記ICチップが再発行された際に過去に関連付けられていた上記ICチップの製造番号と、当該ユーザーIDがアカウントとして有効又は無効を表すアカウント属性情報を関連付けて記憶する記憶手段を有するコンピュータを、認証装置として機能させるためのコンピュータプログラムであって、
上記コンピュータに対して、
上記ネットワーク端末が、上記ICチップから読み取り、送信したICチップの製造番号及びユーザーIDを含む認証要求を受信する処理と、
上記記憶手段を参照して、上記受信したユーザーIDと一致するユーザーIDが記憶されているか否か判別する処理と、
判別の結果、一致するユーザーIDが存在する場合に、上記記憶手段を参照して当該ユーザーIDに関連付けて記憶されている上記最新の製造番号が上記受信した製造番号と一致するか否か判別する処理と、
上記判別の結果、製造番号が一致しない場合に、上記ユーザーIDに関連付けられた製造番号が未登録か否かを判別する処理と、
上記判別の結果、製造番号が未登録であると判別された場合に、上記受信した製造番号を上記ユーザーIDと関連付けて上記記憶手段に記憶することで新規登録処理を行い、また上記判別の結果、製造番号が未登録ではないと判別され、かつ、上記記憶手段に記憶されている過去の製造番号と一致しない場合には、上記ネットワーク端末から受信した製造番号を上記ユーザーIDと関連付けて上記記憶手段に記憶するとともにアカウント属性情報を有効に変更する更新処理を行う処理と、
を行わせるコンピュータプログラム。

An IC chip for storing a manufacturing number for identifying the IC chip and a user ID for identifying the user;
Reading means for reading data stored in the IC chip;
An authentication request is made by transmitting the read IC chip data to the server, and a network terminal that performs a predetermined operation when the authentication is correct is configured to be connectable to the network terminal via communication In association with the user ID, at least the latest IC chip manufacturing number and the IC chip manufacturing number previously associated when the IC chip was reissued, and the user ID are valid as an account. Or a computer program for causing a computer having storage means for storing the account attribute information representing invalidity to function as an authentication device,
For the above computer
A process in which the network terminal receives an authentication request including the serial number and user ID of the IC chip read and transmitted from the IC chip;
A process of referring to the storage means to determine whether or not a user ID that matches the received user ID is stored;
If there is a matching user ID as a result of determination, the storage unit is referred to determine whether the latest manufacturing number stored in association with the user ID matches the received manufacturing number. Processing,
As a result of the determination, if the manufacturing number does not match, a process of determining whether or not the manufacturing number associated with the user ID is unregistered,
As a result of the determination, if it is determined that the manufacturing number is unregistered, a new registration process is performed by storing the received manufacturing number in the storage unit in association with the user ID, and the determination result. If it is determined that the manufacturing number is not unregistered and does not match the past manufacturing number stored in the storage means, the manufacturing number received from the network terminal is associated with the user ID and stored in the memory. A process of performing an update process for effectively changing the account attribute information while being stored in the means,
A computer program that allows

JP2008192678A 2008-07-25 2008-07-25 Authentication apparatus, method, and computer program Expired - Fee Related JP4190023B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008192678A JP4190023B1 (en) 2008-07-25 2008-07-25 Authentication apparatus, method, and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008192678A JP4190023B1 (en) 2008-07-25 2008-07-25 Authentication apparatus, method, and computer program

Publications (2)

Publication Number Publication Date
JP4190023B1 true JP4190023B1 (en) 2008-12-03
JP2010033191A JP2010033191A (en) 2010-02-12

Family

ID=40174680

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008192678A Expired - Fee Related JP4190023B1 (en) 2008-07-25 2008-07-25 Authentication apparatus, method, and computer program

Country Status (1)

Country Link
JP (1) JP4190023B1 (en)

Also Published As

Publication number Publication date
JP2010033191A (en) 2010-02-12

Similar Documents

Publication Publication Date Title
US11468721B2 (en) Guest access for locking device
US11275820B2 (en) Locking device biometric access
CA2954758C (en) Electronic credential management system
US10089804B2 (en) Method and apparatus for increasing reliability in monitoring systems
US8689013B2 (en) Dual-interface key management
KR101259546B1 (en) Method for smart-key service
US20060085847A1 (en) Locking system and locking method
CN101291228B (en) Generating, authenticating method for super code, system and device thereof
US20130127593A1 (en) Method of distributing stand-alone locks
US20180359635A1 (en) Securitization of Temporal Digital Communications Via Authentication and Validation for Wireless User and Access Devices
US10964141B2 (en) Internet-of-things (IoT) enabled lock with management platform processing
CN108605034B (en) Wireless firmware update
US10748366B2 (en) Mobile-based access control system with wireless access controller
KR102301478B1 (en) Smart lock device, lock management system including the device, and lock management method using the system
JP4812371B2 (en) Image display control system, authentication system, and application management apparatus
JP2011059880A (en) Password matching device and method
JP3834056B1 (en) Authentication system, reader / writer device and storage
CN112734989A (en) Bluetooth key distribution method of intelligent door lock
US20220103374A1 (en) Utilization management system, management device, utilization control device, utilization management method, and computer-readable program
JP2007308873A (en) System for managing entry into room
CN112446982A (en) Method, device, computer readable medium and equipment for controlling intelligent lock
JP4190023B1 (en) Authentication apparatus, method, and computer program
US20220278840A1 (en) Utilization management system, management device, utilization control device, user terminal, utilization management method, and program
US20220167154A1 (en) Utilization control system and utilization control method
US10645070B2 (en) Securitization of temporal digital communications via authentication and validation for wireless user and access devices

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080912

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080912

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110926

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110926

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110926

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110926

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110926

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120926

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130926

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees