JP6118128B2 - Authentication system - Google Patents
Authentication system Download PDFInfo
- Publication number
- JP6118128B2 JP6118128B2 JP2013032652A JP2013032652A JP6118128B2 JP 6118128 B2 JP6118128 B2 JP 6118128B2 JP 2013032652 A JP2013032652 A JP 2013032652A JP 2013032652 A JP2013032652 A JP 2013032652A JP 6118128 B2 JP6118128 B2 JP 6118128B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- terminal
- personal
- user
- communication network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 claims description 80
- 238000000034 method Methods 0.000 claims description 36
- 238000012545 processing Methods 0.000 claims description 18
- 230000006870 function Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 210000003462 vein Anatomy 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 210000000554 iris Anatomy 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000008571 general function Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 210000001747 pupil Anatomy 0.000 description 1
Images
Landscapes
- Telephonic Communication Services (AREA)
Description
本発明は、端末機が通信ネットワークにアクセスする際の認証処理において、端末機の認証と、端末機の使用者の個人認証による二重認証によって、端末機の通信ネットワークに対するアクセス許可を発行する、通信ネットワークへの複数認証システムに関する。 In the authentication process when the terminal accesses the communication network, the terminal issues an access permission to the communication network of the terminal by double authentication based on authentication of the terminal and personal authentication of the user of the terminal. The present invention relates to a multiple authentication system for a communication network.
近年、個人認証の方法として、使用者の生体情報を鍵とした、生体情報認証の技術が使用されている。例えば、携帯電話機や、金融機関のATM(Automated Teller Machine)の機器に、指紋、静脈等を使用した個人認証が用いられている。 In recent years, as a method for personal authentication, a biometric information authentication technique using biometric information of a user as a key has been used. For example, personal authentication using fingerprints, veins, and the like is used for cellular phones and ATM (Automated Teller Machine) devices of financial institutions.
特許文献1は、顔による本人かどうかの認証を用いることによって、暗証番号の入力を行う必要をなくして操作性を向上させた携帯電話機に関する発明が開示されている。また、本人が使用している場合でも、条件を満たした場合には、ユーザ認証が働いて、自動的にユーザ認証の処理が起動し、使用している携帯電話機の顔認証によってこの携帯電話機の所有者本人か否かの判定が行われることにより、ユーザが、特別な操作を行わなくとも、通信の安全性が確保されることで、携帯電話機のセキュリティが向上する。
しかしながら、特許文献1は、端末機に対して、使用者を特定するための認証がほとんどであり、端末機が使用された結果、通信可能になる処理を行っていた。また、生体認証のための個人情報を端末機に保存しているため、端末機ごとに生体情報を登録する必要があり、その端末機ごとに準備時間と作業が必要であり、複数の端末機を用意する場合には、システム管理者には負担になっていた。また、端末機を紛失した場合には個人情報が流出する危険性があった。
However, in
そこで、本発明は、端末機が通信ネットワークにアクセス許可されている端末か否かを判定する第一判定処理と、使用者が通信ネットワークにアクセス許可されている者か否かを生体情報を用いて判定する第二判定処理とを有することで、通信ネットワークへのアクセスのセキュリティを高めた、認証システムを提供する。 Therefore, the present invention uses biometric information to determine whether the terminal is a terminal that is permitted to access the communication network and whether the user is permitted to access the communication network. Providing an authentication system with improved security of access to the communication network.
本発明に係る認証システムは、端末機認証用情報を記録する端末機認証用データベースを有する端末機認証サーバと、個人認証用情報を記録する個人認証用データベースを有する個人認証サーバと、端末機の認証処理時及び前記端末機の使用者である個人の認証処理時に前記端末機認証サーバ及び前記個人認証サーバへのアクセスを可能にする認証用ネットワークと、前記端末機の認証後及び前記個人の認証後に、アクセスを可能にする通信ネットワークと、前記端末機の認証処理時及び前記個人の認証処理時に前記端末機の前記認証用ネットワークへのアクセスを許可し、前記端末機の認証後及び前記個人の認証後に前記端末機を前記認証用ネットワークから前記通信ネットワークへ切替える通信ネットワーク接続手段とを有することを特徴とする。
An authentication system according to the present invention includes a terminal authentication server having a terminal authentication database for recording terminal authentication information, a personal authentication server having a personal authentication database for recording personal authentication information, and a terminal An authentication network that enables access to the terminal authentication server and the personal authentication server during authentication processing and during authentication of an individual who is a user of the terminal, and authentication of the individual after authentication of the terminal A communication network that allows access to the access terminal, and permits the terminal to access the authentication network during the authentication process of the terminal and the authentication process of the individual, and after the authentication of the terminal and the personal Japanese in that the terminal from the authentication network after authentication and a communication network connecting means for switching to the communication network To.
本発明に係る認証システムの前記個人認証用情報は、生体情報であり、前記端末機内には保存されていないことを特徴とする。 The personal authentication information of the authentication system according to the present invention is biometric information, and is not stored in the terminal.
本発明に係る認証システムの前記個人認証用情報は、前記端末機から認証要求が前記個人認証サーバに到達する以前に、個人認証用データベース内に保存されていることを特徴とする。
The personal authentication information of the authentication system according to the present invention, before the authentication request from the terminal to reach the personal authentication server, characterized in that stored in the personal identification database.
本発明に係る認証システムの前記端末機は、前記個人認証用情報を認証要求毎に都度使用者から取得することにより、複数の使用者で前記認証を得ることが可能なことを特徴とする。
The terminal of the authentication system according to the present invention is characterized in that the authentication can be obtained by a plurality of users by acquiring the personal authentication information from the user for each authentication request.
本発明に係る認証システムは、前記端末機の認証後及び前記端末機の使用者である個人の認証後に、前記個人の認証に紐付いた複数の前記端末機が、前記端末機の認証及び前記個人の認証を行ったものとして前記通信ネットワークに接続許可をする通信ネットワーク接続手段を有することを特徴とする。
In the authentication system according to the present invention, after authentication of the terminal and after authentication of an individual who is a user of the terminal, a plurality of the terminals associated with the authentication of the individual include the authentication of the terminal and the individual Communication network connection means for permitting connection to the communication network as having been authenticated .
本発明に係る認証システムの前記端末機は、携帯端末機であることを特徴とする。 The terminal of the authentication system according to the present invention is a portable terminal.
本発明によれば、携帯端末機に対して端末機認証を行うこと及び使用者に対して個人情報認証を行うことにより、通信ネットワークへのアクセスが許可されることで、二重の認証を経る事により、セキュリティの高い認証システムを提供することができる。特に、複数の携帯端末機に対して、使用者を一個人に固定することなく、端末機認証及び個人認証を行い、通信ネットワークに接続することができるので、端末機を複数人で共有し使用することが可能となる。
また、本発明によれば、通信ネットワークの認証処理時のみ用いるネットワークとして認証用ネットワークを有しており、端末機の認証処理時及び個人の認証処理時に端末機を前記認証用ネットワークへのアクセスを許可し、前記端末機の認証後及び前記個人の認証後に端末機を前記認証用ネットワークから前記通信ネットワークへ切替えるという構成を構築し、端末機の認証処理時及び個人の認証処理時に端末機が通信ネットワークへアクセスするのを阻止することができる。
According to the present invention , double authentication is performed by permitting access to a communication network by performing terminal authentication on a portable terminal and performing personal information authentication on a user. As a result, an authentication system with high security can be provided. In particular, it is possible to perform terminal authentication and personal authentication and connect to a communication network without fixing the user to one individual for a plurality of mobile terminals, so that the terminal can be shared and used by multiple people It becomes possible.
In addition, according to the present invention, the network for authentication is used as a network used only during the authentication process of the communication network, and the terminal is allowed to access the authentication network during the authentication process of the terminal and during the personal authentication process. A configuration is established in which the terminal is switched from the authentication network to the communication network after the terminal authentication and the individual authentication, and the terminal communicates during the terminal authentication process and the personal authentication process. Access to the network can be prevented.
また、携帯端末機は、個人認証サーバに認証要求する際に、認証要求毎に使用者の個人認証用情報を取得して、個人認証用情報を認証要求として前記個人認証サーバに送信する。このため、携帯端末機に個人認証用情報を保有する必要が無く、携帯端末機を複数人で共有しても、個人認証を行うことができる。 In addition, when the mobile terminal requests authentication from the personal authentication server, the mobile terminal acquires user authentication information for each authentication request and transmits the personal authentication information to the personal authentication server as an authentication request. For this reason, it is not necessary to store personal authentication information in the mobile terminal, and personal authentication can be performed even if the mobile terminal is shared by a plurality of people.
また、端末機認証で端末機個体のセキュリティを保ったまま、個人情報認証を行うことにより、携帯端末機の使用者を、本システムは明確に把握することが出来る。 In addition, this system can clearly grasp the user of the portable terminal by performing the personal information authentication while maintaining the security of the individual terminal by the terminal authentication.
また、個人情報認証の認証用情報が顔認証(顔写真)であるので、使用者に心理的圧迫を与えることなく、個人判別用の生体データを収集し、データベースに保管することが出来る。 Further, since the authentication information for personal information authentication is face authentication (face photograph), biometric data for personal identification can be collected and stored in a database without causing psychological pressure on the user.
また、認証用情報(顔写真)データの取得として、携帯端末機に装備されているカメラを使用することが出来る。 Moreover, the camera equipped in the portable terminal can be used for acquiring the authentication information (face photo) data.
また、個人情報認証の認証用情報(顔写真)を、個人認証用データベースに保管するため、一元的に認証用情報(顔写真)を管理することが出来る。 Further, since the authentication information (face photo) for personal information authentication is stored in the personal authentication database, the authentication information (face photo) can be managed centrally.
また、個人情報認証の認証用情報(顔写真)を、個人認証用データベースに保管するため、各携帯端末機に認証用情報(顔写真)を登録/保管することが必要なく、各携帯端末機のメンテナンスや管理を大幅に削減することが出来る。 Also, since the authentication information (face photo) for personal information authentication is stored in the personal authentication database, it is not necessary to register / store the authentication information (face photo) in each mobile terminal. Maintenance and management can be greatly reduced.
本発明よれば、代表者一名が携帯端末機一台に対して端末機認証及び個人情報認証を行うことにより、代表者一名に紐づいた複数の携帯端末機が個人情報認証を行った状態とすることが可能であり、不特定多数の使用者が端末機認証及び個人情報認証を行ったものとみなして、二重認証のセキュリティを保ったまま、通信ネットワークへのアクセスを許可することが出来る。 According to the present invention, when a representative performs terminal authentication and personal information authentication for one mobile terminal, a plurality of mobile terminals associated with the representative perform personal information authentication. It can be considered as a state, and it is considered that a large number of unspecified users have performed terminal authentication and personal information authentication, and permit access to the communication network while maintaining the security of double authentication. I can do it.
以下、図面を用いて本認証システムの説明をする。
[システム概要]
図1は、本発明のシステム全体の概要を示す図である。認証システム1は、端末機認証サーバ3、端末機認証用データベース4、個人認証サーバ(顔認証サーバ)5、個人認証用データベース(顔認証用データベース)6、携帯端末機8、及び無線ルータ9が通信ネットワーク2に接続されて構成されている。
Hereinafter, the authentication system will be described with reference to the drawings.
[System Overview]
FIG. 1 is a diagram showing an overview of the entire system of the present invention. The
通信ネットワーク2はインターネットを用いても良いが、社内LAN(Local Area Network)や外部と独立したスタンドアロン式のネットワークでも利用可能である。独立したネットワークは機密性が高く、外部からの侵入、又は情報の漏洩や破壊等を防止することができるからである。
The
暫定ネットワーク2aは、通信ネットワーク2上の仮想ネットワークである。端末機認証サーバ3、端末機認証用データベース4、個人認証サーバ(顔認証サーバ)5、個人認証用データベース(顔認証用データベース)6へのアクセスを目的としたものである。使用者7が、端末機認証処理及び個人認証処理を行う以前に通信ネットワーク2に接続したのでは、セキュリティ上の問題が生ずるため、後述する無線ルータ9でアクセス可能なルートを、認証時には暫定ネットワーク2aに、認証後は通信ネットワーク2にアクセス可能なルートを切り替えるようにする。暫定ネットワーク2aは、ネットワーク構成上の仮想の概念であるので、通信ネットワーク2と物理的に同一のネットワークでよい。又は、物理的に別構成のネットワークを構築しても良い。
The
携帯端末機8は、使用者が使用する端末機である。通信ネットワーク2にアクセスして、画面11に表示された資料の閲覧、入力等を行う。また、携帯端末機8には、カメラ12が搭載されており、カメラ12が映す映像及び撮影した静止画、動画を画面11に表示したり、個人認証サーバ5に送信する機能を有する。
The
無線ルータ9は通信ネットワーク2と、携帯端末機8、端末機認証サーバ3、及び個人認証サーバ5とを通信接続する機能を有する。通信方式はBluetooth(登録商標)、Wi−Fi(wireless fidelity:登録商標)等の無線式によるもの、又は、イーサネット(登録商標)による同軸、光ケーブル等による有線式の接続でも良く、通信ネットワーク2と携帯端末機8、端末機認証サーバ3、及び個人認証サーバ5の相互間でデータの送受信が行える構成で有れば良い。
The wireless router 9 has a function of communicatively connecting the
[端末機認証サーバ及び端末機認証用データベース]
端末機認証サーバ3は、携帯端末機8から通信ネットワーク2へのアクセス要求送信された場合に、送られてくる電子証明書(図示せず)やIDとパスワードを、端末機認証用データベース4に登録された情報と照合して、認証の可否を決定する機能を有する。携帯端末機8ごとに通信ネットワーク上の他のサーバ(図示せず)や資料、データ等へのアクセス権限を与えたり、課金情報を収集する等の管理用サーバの機能を提供する。本発明では、例えば、RADIUS (Remote Authentication Dial−In User Service)サーバ等を使用する。なお、RADIUSサーバの一般的な機能については説明を省略する。
[Terminal Authentication Server and Terminal Authentication Database]
When a request for access to the
[個人認証サーバ及び個人認証用データベース]
個人認証サーバ5は、携帯端末機8から通信ネットワーク2へのアクセス要求送信された場合に、送られてくる使用者の生体情報を、個人認証用データベース6に登録された生体情報と照合して、使用者がアクセスを許可された者であるかの認証の可否を決定する機能を有する。
[Personal authentication server and personal authentication database]
When the
生体情報を用いた認証方法は、指紋、瞳の虹彩、掌の静脈認証等の何れでも良いが、本発明では、使用者本人の顔写真を用いた認証方法による顔認証システムについて記載する。 The authentication method using the biometric information may be any of fingerprint, iris of the pupil, vein authentication of the palm, etc. In the present invention, a face authentication system based on the authentication method using the user's own face photograph will be described.
生体情報として、指紋、瞳の虹彩、掌の静脈等の生体情報を用いた認証は、顔認証と比較しては一般的ではなく、特に、指紋等の採取、登録は、使用者の心理的抵抗が生じる場合がある。 Authentication using biometric information such as fingerprints, irises of the eyes, veins of palms, etc. as biometric information is not common compared to face authentication. In particular, fingerprints are collected and registered psychologically by the user. Resistance may occur.
一方、顔認証は、運転免許証、パスポート、各種身分証明書、社員証等に顔写真が貼り付けて使用されていることから、一般的な個人認証方法であり、使用者の心理的抵抗が少ない。そこで本発明では、顔写真を使用した、顔認証による個人認証を採用したシステムについて説明する。 Face authentication, on the other hand, is a general personal authentication method because it is used with a driver's license, passport, various identification cards, employee ID cards, etc. Few. Therefore, in the present invention, a system employing personal authentication based on face authentication using a face photograph will be described.
従来の顔認証方式では、各携帯端末機内に使用者の顔写真を保管し、携帯端末機自体の使用制限を認証で使用許可を行なっており、各端末機に顔写真等の個人情報データを保管していた。本発明では、サーバ内に個人情報データを保管しているため、各端末機毎に設定等のメンテナンスをする必要が無く、また、端末機を紛失した際の個人情報データの流出等の危険を回避することができる。また、従来は携帯端末機が通信ネットワークへアクセスすることを許可するための認証であったが、本発明では、使用者個人が、通信ネットワークへアクセスすることを許可するための認証である。 In the conventional face authentication method, the user's face photo is stored in each mobile terminal, and the use restriction of the mobile terminal itself is permitted by authentication, and personal information data such as face photo is stored in each terminal. I kept it. In the present invention, since personal information data is stored in the server, it is not necessary to perform maintenance such as setting for each terminal, and there is a risk of leakage of personal information data when the terminal is lost. It can be avoided. Conventionally, the authentication is for allowing the mobile terminal to access the communication network. However, in the present invention, the authentication is for allowing the individual user to access the communication network.
また、個人認証サーバ5は、図1に示すように、個人認証用データベース6を有している。個人認証用データベース6は、使用者7の生体情報を含む個人情報を保存するデータベースである。使用者7の個人情報は、生体情報(顔写真)、氏名、年齢、性別、部署名、役職、アクセス権限等である。個人認証用データベース6への入出力及びアクセスは、個人認証サーバ5に実装されたアプリケーションが実行する。使用者7ごとに通信ネットワーク上の他のサーバ(図示せず)や資料、データ等へのアクセス権限を与えたり、課金情報を収集する等の管理用サーバの機能を提供する。
また、個人情報は、使用者7が個人認証を要求する前に予め、個人認証用データベース6に登録しておく。
The
The personal information is registered in the
[携帯端末機]
携帯端末機8は、使用者7が使用する端末機である。携帯端末機8は、表示用の画面11と、使用者の顔を映像化するためのカメラ12と、顔認証ソフトウェア21がインストールされている。なお、携帯端末機8は、通信ネットワーク2にアクセスするための通信用端子(有線LAN、無線LAN等。図示せず)及び、通信ネットワーク2で配信される資料の閲覧が可能なアプリケーションソフトウェアとして、例えば、マークアップ言語(HTML5等)及びスクリプト言語等で作成された命令が実行可能なアプリケーション環境(WWWブラウザ等)、PDF等の文章を閲覧可能なアプリケーションソフトウェア、等を有していれば、デスクトップパソコン、ノートパソコン、タブレット等の機器を問わず、OS(Operation system)についても、MS−Windows(登録商標)、Mac OS(登録商標)等のパソコン用や、携帯端末機用のiOS(登録商標)、Android(登録商標)等のOSでも良い。また、入力装置もマウス、タッチパネル、キーボード等の使用者が操作し端末機に入力できるもので有ればよい。本実施例では、小型で可搬型のタッチパネル入力形式を有する携帯端末機を例として説明する。
[Mobile terminal]
The
カメラ12は、携帯端末機8の前面に設置され、携帯端末機8を操作中の使用者7の顔を映像化するための入力装置である。設置位置は、携帯端末機8を操作中の使用者7の顔を撮影可能な位置であれば、限定しない。また、カメラ12は、携帯端末機8に内蔵される形態のみならず、接続ケーブル等を介して携帯端末機8に外部接続する形態の構成としても良い。
The
顔認証ソフトウェア21は、携帯端末機8にインストールされ、起動されると、図7に示すように、カメラ12によって撮像されている使用者7自身の顔の映像を画面11に表示する。そして、使用者7の顔写真を撮影すると、個人認証サーバ(顔認証サーバ)に対して撮影した使用者7の顔写真を送信する機能を有している。
When the
また、携帯端末機8は、使用者7の生体情報(顔写真)を携帯端末機8の内部には記録保存せずに、通信ネットワーク2に個人認証接続要求(図6参照)を送信する際に、都度使用者7から取得する。このため、携帯端末機8の所有者は使用者7の一名に限定されることなく、複数の使用者で共有して使用することができる。
Further, when the
[第1の実施形態]
[認証処理]
次に、本認証システムの第1の実施形態における、処理動作を、図2乃至図7を用いて説明する。図2は本発明に係る認証システムの全体のフローチャート、図3は本発明に係る認証システムの端末機認証処理に係るフローチャート、図4は本発明に係る認証システムの個人認証処理に係るフローチャート、図5は本発明に係る認証システムの通信ネットワーク接続処理に係るフローチャート、図6は本発明に係る認証システムのシーケンス図である。
[First Embodiment]
[Authentication process]
Next, the processing operation in the first embodiment of the authentication system will be described with reference to FIGS. 2 is a flowchart of the entire authentication system according to the present invention, FIG. 3 is a flowchart according to terminal authentication processing of the authentication system according to the present invention, FIG. 4 is a flowchart according to personal authentication processing of the authentication system according to the present invention, FIG. 5 is a flowchart relating to communication network connection processing of the authentication system according to the present invention, and FIG. 6 is a sequence diagram of the authentication system according to the present invention.
本発明では、通信ネットワーク2にアクセスを許可する際に、端末機認証及び、個人認証の2つの認証システムを備え、両方の認証結果を組み合わせることで、より強固なセキュリティもつシステムを提供することができる。
In the present invention, when permitting access to the
まず、図2に示すように、使用者7は携帯端末機8の電源をオンする(ステップS1)。
[端末機認証処理]
以下に、端末機認証処理について説明する。まず、図3に示すように、携帯端末機8は暫定ネットワーク2a(通信ネットワーク2)に接続するための、接続要求として、電子証明書を、端末機認証サーバ3に送信する。端末機認証サーバ3のアクセス許可の後、個人認証サーバ5にアクセス可能となるからである。
First, as shown in FIG. 2, the
[Terminal authentication processing]
The terminal authentication process will be described below. First, as shown in FIG. 3, the
携帯端末機8は自動的に、又は使用者7の任意で、通信接続要求を端末機認証サーバ3に接続要求(電子証明書)を送信する(ステップS10)。通信接続要求には、電子証明書を付加する。電子証明書はRADIUSサーバ等で使用する電子証明書でよいため、詳細な説明は省略する。電子証明書は、予め各携帯端末機8に登録しておく。
The
端末機認証サーバ3は、携帯端末機8から受信した電子証明書の内容が正しいか否かの判定を行う(ステップS11)。
判定の結果、携帯端末機8の電子証明書が正しい場合は(ステップS11でYes)、次の処理(ステップS13)へ遷移する。
The
If the electronic certificate of the
携帯端末機8の電子証明書が不正や、期限切れの場合は(ステップS11でNo)、携帯端末機8にアクセス拒否である旨の接続要求結果を送信し(ステップS12)、携帯端末機8は携帯端末機8が未登録である旨のエラーメッセージを表示し、ステップS10に戻って、再度の接続要求待ち状態となる。
If the electronic certificate of the
携帯端末機8が暫定ネットワーク2a(通信ネットワーク2)へのアクセス許可された場合は(ステップS11でYes)、端末機認証サーバ3はアクセス許可である旨の端末機認証結果通知を送信する(ステップS13)。携帯端末機8は、端末機認証サーバ3からアクセス許可である旨の端末機認証結果通知を受信した場合、暫定ネットワーク2aに接続され、通信ネットワーク2(暫定ネットワーク2a)上の、アクセス許可された範囲内での、接続が可能となる。
When the
[個人認証処理]
次に個人認証処理を実行する。図4に示すように、暫定ネットワーク2aへのアクセス可能な場所で、「開始ボタン」(図示せず)を押下し、携帯端末機8にインストールされた顔認証ソフトウェア21を起動する(ステップS20)。
[Personal authentication processing]
Next, personal authentication processing is executed. As shown in FIG. 4, a “start button” (not shown) is pressed at a location where the
次に、図7に示すように、使用者7は、カメラ12で、自己の顔を撮影する準備を行う。顔認証の判定に必要な、写真に写る、顔長さの専有率hは、個人認証用データベースに登録されている使用者7の顔写真のサイズに依存するが、概ね画面11の縦方向の長さLに対して、h≧1/3L以上であれば、好適である。
Next, as shown in FIG. 7, the
使用者7は画面11上で顔の位置と大きさを決定した後、撮影ボタン22を押下し、顔認証ソフトウェア21は顔情報として、使用者7の顔写真を撮影する(ステップS21)。
After the
次に使用者7は、携帯端末機8の「認証ボタン」(図示せず)を押下することで(ステップS22)、撮影した顔写真を添付した、個人認証要求を携帯端末機8から個人認証サーバ5に送信する(ステップS23)。なお、「認証ボタン」の押下を要さずに、自動的に、顔認証ソフトウェア21は撮影した使用者7の顔写真を、個人認証サーバ5に送信する(ステップS23)ようにしても良い。また、顔写真に加えて、使用者7を特定する個人情報(氏名、生年月日、所属、登録番号等)を個人認証サーバ5に送付するようにしてもよい。
Next, the
次に、顔写真の画像を検索キーとして、個人認証用データベース6の検索/照合を実行する(ステップS24)。携帯端末機8から送信されてきた使用者7の顔写真が、個人認証用データベース6の検索結果から、個人認証用データベース6に登録済みの顔写真と受信した顔写真とを照合し、本人と同一人物と判定した場合は(ステップS25でYes)、次の処理(ステップS27)へ遷移する。
Next, the
また、登録済みの顔写真と受信した顔写真とを照合させ、顔写真が個人認証用データベース6に登録されていない又は不一致で同一人物でない、と判定した場合は(ステップS25でNo)、個人認証サーバ5は、携帯端末機8に顔認証結果エラーである旨の認証結果通知を送信し(ステップS26)、携帯端末機8は使用者7と登録済みの顔写真が一致しない(本人でない)旨のエラーメッセージを表示し、ステップS20に戻って、再度の顔写真の撮影待ち状態となる。なお、顔写真による、本人か否かの判定処理は、市販品の顔認証ソフトウェア21を使用しても良いため、詳細な処理内容については本発明では割愛する。
If the registered face photo and the received face photo are collated and it is determined that the face photo is not registered in the
ここで、ステップS24の個人認証用データベース6の検索/照合において、個人認証サーバ5は、顔写真に加えて、携帯端末機8から送信された個人情報の何れか1つ又は複数を検索キーとして、個人認証用データベース6に使用者7が登録されているか否かを検索するようにしてもよい。
Here, in the search / collation of the
次に、個人認証用データベース6の検索結果から、個人情報に登録された内容を照合して、使用者7の通信ネットワーク2へのアクセス権限を照合する(ステップS27)。一般的に通信ネットワークは、役職や、所属部署によって、アクセス可能範囲を制限されるものであるため、使用者7のアクセス権限を取得する。
Next, the contents registered in the personal information are collated from the search result of the
使用者7が通信ネットワーク2へのアクセス許可がされている場合(ステップS27でYes)は、個人認証サーバ5は携帯端末機8に、通信ネットワーク2へ接続を許可するためのID、PASS情報等を含めた認証結果通知を送信する(ステップS29)。なお、通信ネットワーク2の内部にて、使用者のアクセス可能なネットワーク(複数のドメイン名や、ユーザグループなどに属して場合など)が複数存在する場合において、ID、PASS情報が複数存在する場合は、端末機認証サーバ3が適切なアクセス許可を選出して、通信ネットワーク2に対する前記ID、PASS情報等を携帯端末機8に送信する。
If the
使用者7が通信ネットワークへの許可がされていない場合は(ステップS27でNo)、個人認証サーバ5は、携帯端末機8に検索結果エラーである旨の認証結果通知を送信し(ステップS28)、携帯端末機8は使用者7がアクセス不許可者である旨のエラーメッセージを表示し、ステップS20に戻って、再度の顔写真の撮影待ち状態となる。
If the
以上により、個人情報(顔写真)を使用した、使用者の個人認証を終了する。 As described above, personal authentication of the user using personal information (face photo) is completed.
[通信ネットワーク接続処理]
続いて、通信ネットワーク接続処理に遷移する。上述の端末機認証処理及び個人認証処理では、暫定ネットワーク2aに接続され、個人認証に必要な端末機認証サーバ3及び、個人認証サーバ5との通信のみが行えるように、通信ネットワーク2の使用制限が課されているからである。
図5に示すように、携帯端末機8の使用者の個人認証を正常に終了すると携帯端末機8は自動的に、又は使用者7の任意で、通信接続要求を端末機認証サーバ3に認証要求を送信する(ステップS30)。通信接続要求には、認証結果通知によって受信したID、PASS情報等を付加する。また、ID、PASS情報等に代わる、その他の認証情報を用いても良い。
[Communication network connection processing]
Subsequently, the process proceeds to communication network connection processing. In the above-described terminal authentication process and personal authentication process, the use of the
As shown in FIG. 5, when the personal authentication of the user of the
端末機認証サーバ3は、端末認証用データベース4の検索/照合を開始する。通信接続要求のID及びパスワードを検索キーとして、端末機認証用データベース4にID、PASS情報等が登録されているか否かを検索し、判定する(ステップS31)。
検索の結果、ID、PASS情報等が正しいと判定した場合は、端末機認証用サーバは、認証要求結果として、アクセス許可の旨の通知を、携帯端末機8に送信する(ステップS31でYes)。
The
As a result of the search, if it is determined that the ID, PASS information, etc. are correct, the terminal authentication server transmits an access permission notification to the
ID、PASS情報等が端末機認証用データベース4に登録されていない、又は不正と判断した場合は(ステップS31でNo)、端末機認証用サーバは、認証要求結果として、携帯端末機8にアクセス拒否の旨の通知を送信する(ステップS32)。携帯端末機8はエラーメッセージを表示し、ステップS30に戻って、再度の認証要求待ち状態となる。
If the ID, PASS information, etc. are not registered in the terminal authentication database 4 or are determined to be illegal (No in step S31), the terminal authentication server accesses the
認証要求結果がアクセス許可である旨の認証要求結果通知を携帯端末機8が受信すると、携帯端末機8は、通信ネットワーク2に接続され(ステップS33)、通信ネットワーク2上の、アクセス許可された範囲内での、資料等の資産の使用が可能となる。
When the
以上のように、端末機認証による端末機の通信ネットワーク接続の制限と、個人認証による使用者の制限との、二重の認証が許可となることで、暫定ネットワーク2aのみの接続状態から、初めて通信ネットワーク2へのアクセス許可がされ、通信ネットワーク2上の資産の使用が可能となることにより、よりセキュリティ効果の高い、認証システムとなる。
As described above, the double authentication of the restriction of the communication network connection of the terminal by the terminal authentication and the restriction of the user by the personal authentication is permitted, so that for the first time from the connection state of only the
また、第1の実施形態では、第1に端末機認証による通信ネットワーク接続処理(ステップS10〜ステップS13)を実行し、第2に個人認証処理(ステップS20〜ステップS29)を実行したが、この処理の実行順序に限らず、実行順序を組み替えて実行するような構成にしても良い。 In the first embodiment, first, communication network connection processing (step S10 to step S13) by terminal authentication is executed, and secondly personal authentication processing (step S20 to step S29) is executed. The configuration is not limited to the process execution order, and the execution order may be changed and executed.
[第2の実施形態]
[認証方法について]
次に、本認証システムの第2の実施形態における、処理動作を、図8を用いて説明する。なお、第1の実施形態と共通する内容については、説明を省略する。
[Second Embodiment]
[Authentication method]
Next, processing operations in the second embodiment of the authentication system will be described with reference to FIG. Note that the description common to the first embodiment is omitted.
セミナー等のイベントを開催する場合、個人認証サーバ(顔認証サーバ)に登録していない使用者7が存在する場合、個人認証サーバ(顔認証サーバ)に新規使用者を登録する必要がある。特に、数名以上や、数百名規模のセミナー等では、その登録には莫大な時間と労力が必要となり、直前に申請が集中した場合は、期限までに登録が間に合わない恐れがある。また、登録した場合でも、そのセミナーの認証のためだけに使用し、後日1回も使用しなくなる場生じる。
When an event such as a seminar is held, if there is a
そこで、本実施形態では、一の携帯端末機が端末機認証及び、個人認証を承認されると、当該個人認証に紐づけられた複数の携帯端末機が端末機認証及び、個人認証を承認されたとし、個人認証サーバ(顔認証サーバ)に顔写真を登録していない使用者7も、通信ネットワークに接続することが可能な構成とする。
Therefore, in this embodiment, when one mobile terminal is approved for terminal authentication and personal authentication, a plurality of mobile terminals associated with the personal authentication are approved for terminal authentication and personal authentication. It is assumed that the
図8の携帯端末機8a乃至8dは、端末機認証用データベース4に各携帯端末機の端末機情報が登録されている。また、使用者7aの生体情報(顔写真)が、個人認証用データベース6に登録されている。しかし、使用者7b乃至7dの個人情報(顔写真)が、個人認証用データベース6に登録されていない状態である。当然ながら、使用者7b乃至7dは各々個人認証サーバに個人認証要求をしても、個人認証の承認失敗の結果となり、使用者7b乃至7dは通信ネットワーク2にアクセスすることができない。
In the
このような場合、個人認証用データベース6の使用者7aの登録情報に、使用者7aのグループとして、携帯端末機8a乃至8dを登録しておく構成とする。使用者7aがグループ内の携帯端末機8a乃至8dの内の何れか1台で暫定ネットワーク2aで個人認証(図4に示す、ステップS20〜ステップS29)が承認されることで、当該携帯端末機が通信ネットワーク2に接続することが可能となると、他の3台の携帯端末機総てが、使用者7aのグループとして、使用者7aの個人認証で承認されたこととなり、他の3台の携帯端末機はそれぞれ通信ネットワーク2に接続することが可能となる。なお、電子証明書のない携帯端末機、又はID、PASS情報等が登録されていない他の携帯端末機8は当然ながら通信ネットワーク2に接続することが出来ない。
In such a case, the
つまり、使用者7b乃至7dは、使用者7b乃至7dの個人情報(顔写真)が、個人認証用データベース6に登録されていなくても、使用者7aが個人認証を行った携帯端末機8a乃至8d使用することで、使用者7aのグループとして、通信ネットワーク2に接続することが可能となる。
In other words, the
このように、本発明の第2の実施形態では、端末機認証のセキュリティを保ちつつ、個人認証によって、複数の携帯端末機を通信ネットワーク2へのアクセスを可能とする。
As described above, in the second embodiment of the present invention, a plurality of portable terminals can access the
この機能は、例えば、セミナー等で外部の参加者を募る場合に有効である。例えば、セミナーの主催者を使用者7aとし、参加者を使用者7b乃至7dとした場合、容易に、全ての携帯端末機8a乃至8dに対して、端末機認証及び個人認証による二重認証することができるので、通信ネットワーク2に対するアクセスのセキュリティを強化することが出来る。
This function is effective, for example, when recruiting external participants at a seminar or the like. For example, when the seminar organizer is the
以上に説明したように、本発明よれば、携帯端末機に対して端末機認証を行うこと及び使用者に対して個人情報認証を行うことにより、通信ネットワークへのアクセスが許可されることで、二重の認証を経る事により、セキュリティの高い認証システムを提供することができる。特に、複数の携帯端末機に対して、使用者を一個人に固定することなく、端末機認証及び個人認証を行い、通信ネットワークに接続することができるので、端末機を複数人で共有し使用することが可能となる。 As described above, according to the present invention, access to a communication network is permitted by performing terminal authentication for a mobile terminal and performing personal information authentication for a user. By undergoing double authentication, an authentication system with high security can be provided. In particular, it is possible to perform terminal authentication and personal authentication and connect to a communication network without fixing the user to one individual for a plurality of mobile terminals, so that the terminal can be shared and used by multiple people It becomes possible.
また、携帯端末機は、個人認証サーバに認証要求する際に、認証要求毎に使用者の個人認証用情報を取得して、個人認証用情報を認証要求として前記個人認証サーバに送信する。このため、携帯端末機に個人認証用情報を保有する必要が無く、携帯端末機を複数人で共有しても、個人認証を行うことができる。 In addition, when the mobile terminal requests authentication from the personal authentication server, the mobile terminal acquires user authentication information for each authentication request and transmits the personal authentication information to the personal authentication server as an authentication request. For this reason, it is not necessary to store personal authentication information in the mobile terminal, and personal authentication can be performed even if the mobile terminal is shared by a plurality of people.
また、端末機認証で端末機個体のセキュリティを保ったまま、個人情報認証を行うことにより、携帯端末機の使用者を、本システムは明確に把握することが出来る。 In addition, this system can clearly grasp the user of the portable terminal by performing the personal information authentication while maintaining the security of the individual terminal by the terminal authentication.
また、個人情報認証の認証用情報が顔認証(顔写真)であるので、使用者に心理的圧迫を与えることなく、個人判別用の生体データを収集し、データベースに保管することが出来る。 Further, since the authentication information for personal information authentication is face authentication (face photograph), biometric data for personal identification can be collected and stored in a database without causing psychological pressure on the user.
また、顔認証(顔写真)データの取得として、携帯端末機に装備されているカメラを使用することが出来る。 In addition, a camera equipped in a portable terminal can be used to acquire face authentication (face photo) data.
また、個人情報認証の認証用情報(顔写真)を、個人認証用データベースに保管するため、一元的に認証用情報(顔写真)を管理することが出来る。 Further, since the authentication information (face photo) for personal information authentication is stored in the personal authentication database, the authentication information (face photo) can be managed centrally.
前記複数の端末機は、前記個人認証用情報を認証要求毎に都度使用者から取得することにより、一台の端末機を複数の使用者で共有しても前記個人認証が可能である。 The plurality of terminals can acquire the personal authentication information from the user for each authentication request, thereby enabling the personal authentication even if one terminal is shared by a plurality of users.
また、個人情報認証の認証用情報(顔写真)を、個人認証用データベースに保管するため、各携帯端末機に認証用情報(顔写真)を登録/保管することが必要なく、各携帯端末機のメンテナンスや管理を大幅に削減することが出来る。 Also, since the authentication information (face photo) for personal information authentication is stored in the personal authentication database, it is not necessary to register / store the authentication information (face photo) in each mobile terminal. Maintenance and management can be greatly reduced.
本発明よれば、代表者一名が携帯端末機一台に対して端末機認証及び個人情報認証を行うことにより、代表者一名に紐づいた複数の携帯端末機が個人情報認証を行った状態とすることが可能であり、不特定多数の使用者が端末機認証及び個人情報認証を行ったものとみなして、二重認証のセキュリティを保ったまま、通信ネットワークへのアクセスを許可することが出来る。 According to the present invention, when a representative performs terminal authentication and personal information authentication for one mobile terminal, a plurality of mobile terminals associated with the representative perform personal information authentication. It can be considered as a state, and it is considered that a large number of unspecified users have performed terminal authentication and personal information authentication, and permit access to the communication network while maintaining the security of double authentication. I can do it.
この発明は、その本質的特性から逸脱することなく数多くの形式のものとして具体化することができる。よって、上述した実施形態は専ら説明上のものであり、本発明を制限するものではないことは言うまでもない。 The present invention can be embodied in many forms without departing from its essential characteristics. Therefore, it is needless to say that the above-described embodiment is exclusively for description and does not limit the present invention.
1 認証システム
2 通信ネットワーク
2a 暫定ネットワーク
3 端末機認証サーバ
4 端末機認証用データベース
5 個人認証サーバ(顔認証サーバ)
6 個人認証用データベース
7 使用者
8 携帯端末機
9 無線ルータ
11 表示画面
12 カメラ
21 顔認証ソフトウェア
22 撮影ボタン
1
6
Claims (6)
個人認証用情報を記録する個人認証用データベースを有する個人認証サーバと、
端末機の認証処理時及び前記端末機の使用者である個人の認証処理時に前記端末機認証サーバ及び前記個人認証サーバへのアクセスを可能にする認証用ネットワークと、
前記端末機の認証後及び前記個人の認証後に、アクセスを可能にする通信ネットワークと、
前記端末機の認証処理時及び前記個人の認証処理時に前記端末機の前記認証用ネットワークへのアクセスを許可し、前記端末機の認証後及び前記個人の認証後に前記端末機を前記認証用ネットワークから前記通信ネットワークへ切替える通信ネットワーク接続手段とを有することを特徴とする認証システム。 A terminal authentication server having a terminal authentication database for recording terminal authentication information;
A personal authentication server having a personal authentication database for recording personal authentication information;
An authentication network that enables access to the terminal authentication server and the personal authentication server at the time of authentication processing of the terminal and at the time of authentication processing of an individual who is a user of the terminal;
A communication network that allows access after authentication of the terminal and after authentication of the individual;
The terminal is allowed to access the authentication network during the terminal authentication process and the personal authentication process, and the terminal is removed from the authentication network after the terminal authentication and after the individual authentication. A communication network connection means for switching to the communication network .
を特徴とする請求項1に記載の認証システム。 The terminal, by obtaining from each time the user of the personal authentication information for each authentication request, to claim 1, be shared by multiple users, characterized in that capable of obtaining the authentication The described authentication system.
を特徴とする、請求項1乃至請求項4の何れか1に記載の認証システム。 After authentication of the terminal and after authentication of an individual who is a user of the terminal, a plurality of the terminals associated with the authentication of the individual perform authentication of the terminal and authentication of the individual The authentication system according to any one of claims 1 to 4 , further comprising communication network connection means for permitting connection to the communication network .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013032652A JP6118128B2 (en) | 2013-02-21 | 2013-02-21 | Authentication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013032652A JP6118128B2 (en) | 2013-02-21 | 2013-02-21 | Authentication system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014164359A JP2014164359A (en) | 2014-09-08 |
JP6118128B2 true JP6118128B2 (en) | 2017-04-19 |
Family
ID=51614943
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013032652A Active JP6118128B2 (en) | 2013-02-21 | 2013-02-21 | Authentication system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6118128B2 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016117061A1 (en) * | 2015-01-22 | 2016-07-28 | 株式会社野村総合研究所 | Wearable terminal and information processing system using same |
JP6441544B2 (en) * | 2016-05-17 | 2018-12-19 | 株式会社オプティム | Information device operation system, information device operation method, and program |
JP6981116B2 (en) * | 2017-09-08 | 2021-12-15 | 富士フイルムビジネスイノベーション株式会社 | Access control system |
JP7235055B2 (en) * | 2018-12-12 | 2023-03-08 | 日本電気株式会社 | Authenticator, client and server |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005346183A (en) * | 2004-05-31 | 2005-12-15 | Quality Kk | Network connection control system and network connection control program |
JP2007188321A (en) * | 2006-01-13 | 2007-07-26 | Sony Corp | Communication device, communication method, program, and recording medium |
JP2009009427A (en) * | 2007-06-28 | 2009-01-15 | Psd:Kk | Authentication processing method, system therefor and terminal apparatus |
JP2010066974A (en) * | 2008-09-10 | 2010-03-25 | Mitsubishi Electric Corp | Security integrated control system, security integrated control method, server access control server for service, and communication control information creation program |
-
2013
- 2013-02-21 JP JP2013032652A patent/JP6118128B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2014164359A (en) | 2014-09-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9698992B2 (en) | Method for signing electronic documents with an analog-digital signature with additional verification | |
US20160371438A1 (en) | System and method for biometric-based authentication of a user for a secure event carried out via a portable electronic device | |
CN105339949B (en) | System for managing the access to medical data | |
JP2009020650A (en) | Personal authentication method and personal authentication system | |
JP6961555B2 (en) | Entry / exit management system | |
JP6118128B2 (en) | Authentication system | |
CN108369614A (en) | User authen method and system for carrying out the process | |
KR101469046B1 (en) | System and method for recognizing and verifying iris for web site login and protection of private information | |
JP5723338B2 (en) | Data sharing system | |
JP6171988B2 (en) | Authentication information management system, authentication information management device, and program | |
JP5073866B1 (en) | Portable information terminal that can communicate with IC chip | |
JP6919280B2 (en) | Function management system and function management method | |
KR101433079B1 (en) | Method for Registering Fingerprint on Security-Terminal | |
JP6065623B2 (en) | Information management device, portable terminal device, and program | |
JP2011100268A (en) | Service providing system, authentication device, service providing device, control method, and program | |
JP5901824B1 (en) | Face authentication system and face authentication program | |
JP3966233B2 (en) | Terminal usage authentication system | |
JP2014071494A (en) | Information management server, information upload system, information upload method, and information upload program | |
JP6071109B2 (en) | Portable terminal device and program | |
JP2017102758A (en) | Authentication device, authentication method, and program | |
JP2010257326A (en) | Biometrics system, biometrics method, and information processing apparatus | |
JP5072322B2 (en) | Identification system and identification method | |
JP2018185622A (en) | Server device, authentication system and authentication method | |
KR101047140B1 (en) | Unmanned Medical Reception and Information Service System Using Fingerprint Recognition and Its Methods | |
JP2006163715A (en) | User authentication system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160219 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20160629 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20161215 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170106 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170307 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170317 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170324 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6118128 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |