JP6118128B2 - Authentication system - Google Patents

Authentication system Download PDF

Info

Publication number
JP6118128B2
JP6118128B2 JP2013032652A JP2013032652A JP6118128B2 JP 6118128 B2 JP6118128 B2 JP 6118128B2 JP 2013032652 A JP2013032652 A JP 2013032652A JP 2013032652 A JP2013032652 A JP 2013032652A JP 6118128 B2 JP6118128 B2 JP 6118128B2
Authority
JP
Japan
Prior art keywords
authentication
terminal
personal
user
communication network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013032652A
Other languages
Japanese (ja)
Other versions
JP2014164359A (en
Inventor
惣 菊池
惣 菊池
安朗 常深
安朗 常深
裕介 水口
裕介 水口
佐藤 義明
義明 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Network and System Integration Corp
Original Assignee
NEC Network and System Integration Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Network and System Integration Corp filed Critical NEC Network and System Integration Corp
Priority to JP2013032652A priority Critical patent/JP6118128B2/en
Publication of JP2014164359A publication Critical patent/JP2014164359A/en
Application granted granted Critical
Publication of JP6118128B2 publication Critical patent/JP6118128B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Telephonic Communication Services (AREA)

Description

本発明は、端末機が通信ネットワークにアクセスする際の認証処理において、端末機の認証と、端末機の使用者の個人認証による二重認証によって、端末機の通信ネットワークに対するアクセス許可を発行する、通信ネットワークへの複数認証システムに関する。   In the authentication process when the terminal accesses the communication network, the terminal issues an access permission to the communication network of the terminal by double authentication based on authentication of the terminal and personal authentication of the user of the terminal. The present invention relates to a multiple authentication system for a communication network.

近年、個人認証の方法として、使用者の生体情報を鍵とした、生体情報認証の技術が使用されている。例えば、携帯電話機や、金融機関のATM(Automated Teller Machine)の機器に、指紋、静脈等を使用した個人認証が用いられている。   In recent years, as a method for personal authentication, a biometric information authentication technique using biometric information of a user as a key has been used. For example, personal authentication using fingerprints, veins, and the like is used for cellular phones and ATM (Automated Teller Machine) devices of financial institutions.

特許文献1は、顔による本人かどうかの認証を用いることによって、暗証番号の入力を行う必要をなくして操作性を向上させた携帯電話機に関する発明が開示されている。また、本人が使用している場合でも、条件を満たした場合には、ユーザ認証が働いて、自動的にユーザ認証の処理が起動し、使用している携帯電話機の顔認証によってこの携帯電話機の所有者本人か否かの判定が行われることにより、ユーザが、特別な操作を行わなくとも、通信の安全性が確保されることで、携帯電話機のセキュリティが向上する。   Patent Document 1 discloses an invention related to a mobile phone that improves the operability by eliminating the need to input a personal identification number by using authentication of whether or not the person is the person by face. In addition, even if the user is using it, if the conditions are met, user authentication is activated and user authentication processing is automatically started. By determining whether or not the user is the owner, the security of the mobile phone is improved by ensuring the safety of communication even if the user does not perform a special operation.

特許公開2005−244589Patent Publication 2005-244589

しかしながら、特許文献1は、端末機に対して、使用者を特定するための認証がほとんどであり、端末機が使用された結果、通信可能になる処理を行っていた。また、生体認証のための個人情報を端末機に保存しているため、端末機ごとに生体情報を登録する必要があり、その端末機ごとに準備時間と作業が必要であり、複数の端末機を用意する場合には、システム管理者には負担になっていた。また、端末機を紛失した場合には個人情報が流出する危険性があった。   However, in Patent Document 1, authentication for specifying a user is mostly performed on a terminal, and processing for enabling communication as a result of the use of the terminal is performed. Moreover, since personal information for biometric authentication is stored in the terminal, it is necessary to register biometric information for each terminal, and preparation time and work are required for each terminal. It was a burden on the system administrator. Also, if the terminal is lost, personal information may be leaked.

そこで、本発明は、端末機が通信ネットワークにアクセス許可されている端末か否かを判定する第一判定処理と、使用者が通信ネットワークにアクセス許可されている者か否かを生体情報を用いて判定する第二判定処理とを有することで、通信ネットワークへのアクセスのセキュリティを高めた、認証システムを提供する。   Therefore, the present invention uses biometric information to determine whether the terminal is a terminal that is permitted to access the communication network and whether the user is permitted to access the communication network. Providing an authentication system with improved security of access to the communication network.

本発明に係る認証システムは、端末機認証用情報を記録する端末機認証用データベースを有する端末機認証サーバと、個人認証用情報を記録する個人認証用データベースを有する個人認証サーバと、端末機の認証処理時及び前記端末機の使用者である個人の認証処理時に前記端末機認証サーバ及び前記個人認証サーバへのアクセスを可能にする認証用ネットワークと、前記端末機の認証後及び前記個人の認証後に、アクセスを可能にする通信ネットワークと、前記端末機の認証処理時及び前記個人の認証処理時に前記端末機の前記認証用ネットワークへのアクセスを許可し、前記端末機の認証後及び前記個人の認証後に前記端末機を前記認証用ネットワークから前記通信ネットワークへ切替える通信ネットワーク接続手段とを有することを特徴とする。
An authentication system according to the present invention includes a terminal authentication server having a terminal authentication database for recording terminal authentication information, a personal authentication server having a personal authentication database for recording personal authentication information, and a terminal An authentication network that enables access to the terminal authentication server and the personal authentication server during authentication processing and during authentication of an individual who is a user of the terminal, and authentication of the individual after authentication of the terminal A communication network that allows access to the access terminal, and permits the terminal to access the authentication network during the authentication process of the terminal and the authentication process of the individual, and after the authentication of the terminal and the personal Japanese in that the terminal from the authentication network after authentication and a communication network connecting means for switching to the communication network To.

本発明に係る認証システムの前記個人認証用情報は、生体情報であり、前記端末機内には保存されていないことを特徴とする。   The personal authentication information of the authentication system according to the present invention is biometric information, and is not stored in the terminal.

本発明に係る認証システムの前記個人認証用情報は、前記端末機から認証要求が前記個人認証サーバに到達する以前に、個人認証用データベース内に保存されていることを特徴とする。
The personal authentication information of the authentication system according to the present invention, before the authentication request from the terminal to reach the personal authentication server, characterized in that stored in the personal identification database.

本発明に係る認証システムの前記端末機は、前記個人認証用情報を認証要求毎に都度使用者から取得することにより、複数の使用者で前記認証を得ることが可能なことを特徴とする。
The terminal of the authentication system according to the present invention is characterized in that the authentication can be obtained by a plurality of users by acquiring the personal authentication information from the user for each authentication request.

本発明に係る認証システムは、前記端末機の認証後及び前記端末機の使用者である個人の認証後に、前記個人の認証に紐付いた複数の前記端末機が、前記端末機の認証及び前記個人の認証を行ったものとして前記通信ネットワークに接続許可をする通信ネットワーク接続手段を有することを特徴とする。
In the authentication system according to the present invention, after authentication of the terminal and after authentication of an individual who is a user of the terminal, a plurality of the terminals associated with the authentication of the individual include the authentication of the terminal and the individual Communication network connection means for permitting connection to the communication network as having been authenticated .

本発明に係る認証システムの前記端末機は、携帯端末機であることを特徴とする。   The terminal of the authentication system according to the present invention is a portable terminal.

本発明よれば、携帯端末機に対して端末機認証を行うこと及び使用者に対して個人情報認証を行うことにより、通信ネットワークへのアクセスが許可されることで、二重の認証を経る事により、セキュリティの高い認証システムを提供することができる。特に、複数の携帯端末機に対して、使用者を一個人に固定することなく、端末機認証及び個人認証を行い、通信ネットワークに接続することができるので、端末機を複数人で共有し使用することが可能となる。
また、本発明によれば、通信ネットワークの認証処理時のみ用いるネットワークとして認証用ネットワークを有しており、端末機の認証処理時及び個人の認証処理時に端末機を前記認証用ネットワークへのアクセスを許可し、前記端末機の認証後及び前記個人の認証後に端末機を前記認証用ネットワークから前記通信ネットワークへ切替えるという構成を構築し、端末機の認証処理時及び個人の認証処理時に端末機が通信ネットワークへアクセスするのを阻止することができる。
According to the present invention , double authentication is performed by permitting access to a communication network by performing terminal authentication on a portable terminal and performing personal information authentication on a user. As a result, an authentication system with high security can be provided. In particular, it is possible to perform terminal authentication and personal authentication and connect to a communication network without fixing the user to one individual for a plurality of mobile terminals, so that the terminal can be shared and used by multiple people It becomes possible.
In addition, according to the present invention, the network for authentication is used as a network used only during the authentication process of the communication network, and the terminal is allowed to access the authentication network during the authentication process of the terminal and during the personal authentication process. A configuration is established in which the terminal is switched from the authentication network to the communication network after the terminal authentication and the individual authentication, and the terminal communicates during the terminal authentication process and the personal authentication process. Access to the network can be prevented.

また、携帯端末機は、個人認証サーバに認証要求する際に、認証要求毎に使用者の個人認証用情報を取得して、個人認証用情報を認証要求として前記個人認証サーバに送信する。このため、携帯端末機に個人認証用情報を保有する必要が無く、携帯端末機を複数人で共有しても、個人認証を行うことができる。   In addition, when the mobile terminal requests authentication from the personal authentication server, the mobile terminal acquires user authentication information for each authentication request and transmits the personal authentication information to the personal authentication server as an authentication request. For this reason, it is not necessary to store personal authentication information in the mobile terminal, and personal authentication can be performed even if the mobile terminal is shared by a plurality of people.

また、端末機認証で端末機個体のセキュリティを保ったまま、個人情報認証を行うことにより、携帯端末機の使用者を、本システムは明確に把握することが出来る。   In addition, this system can clearly grasp the user of the portable terminal by performing the personal information authentication while maintaining the security of the individual terminal by the terminal authentication.

また、個人情報認証の認証用情報が顔認証(顔写真)であるので、使用者に心理的圧迫を与えることなく、個人判別用の生体データを収集し、データベースに保管することが出来る。   Further, since the authentication information for personal information authentication is face authentication (face photograph), biometric data for personal identification can be collected and stored in a database without causing psychological pressure on the user.

また、認証用情報(顔写真)データの取得として、携帯端末機に装備されているカメラを使用することが出来る。   Moreover, the camera equipped in the portable terminal can be used for acquiring the authentication information (face photo) data.

また、個人情報認証の認証用情報(顔写真)を、個人認証用データベースに保管するため、一元的に認証用情報(顔写真)を管理することが出来る。   Further, since the authentication information (face photo) for personal information authentication is stored in the personal authentication database, the authentication information (face photo) can be managed centrally.

また、個人情報認証の認証用情報(顔写真)を、個人認証用データベースに保管するため、各携帯端末機に認証用情報(顔写真)を登録/保管することが必要なく、各携帯端末機のメンテナンスや管理を大幅に削減することが出来る。   Also, since the authentication information (face photo) for personal information authentication is stored in the personal authentication database, it is not necessary to register / store the authentication information (face photo) in each mobile terminal. Maintenance and management can be greatly reduced.

本発明よれば、代表者一名が携帯端末機一台に対して端末機認証及び個人情報認証を行うことにより、代表者一名に紐づいた複数の携帯端末機が個人情報認証を行った状態とすることが可能であり、不特定多数の使用者が端末機認証及び個人情報認証を行ったものとみなして、二重認証のセキュリティを保ったまま、通信ネットワークへのアクセスを許可することが出来る。   According to the present invention, when a representative performs terminal authentication and personal information authentication for one mobile terminal, a plurality of mobile terminals associated with the representative perform personal information authentication. It can be considered as a state, and it is considered that a large number of unspecified users have performed terminal authentication and personal information authentication, and permit access to the communication network while maintaining the security of double authentication. I can do it.

本発明に係る認証システムの概念を示す図である。It is a figure which shows the concept of the authentication system which concerns on this invention. 本発明に係る認証システムの全体のフローチャートである。It is a flowchart of the whole authentication system concerning the present invention. 本発明に係る認証システムの端末機認証処理に係るフローチャートである。4 is a flowchart according to a terminal authentication process of the authentication system according to the present invention. 本発明に係る認証システムの個人認証処理に係るフローチャートである。It is a flowchart which concerns on the personal authentication process of the authentication system which concerns on this invention. 本発明に係る認証システムの通信ネットワーク接続処理に係るフローチャートである。It is a flowchart which concerns on the communication network connection process of the authentication system which concerns on this invention. 本発明に係る認証システムのシーケンス図である。It is a sequence diagram of the authentication system which concerns on this invention. 本発明に係る認証システムの携帯端末機における、顔認証中の画面表示例を示す図である。It is a figure which shows the example of a screen display during face authentication in the portable terminal device of the authentication system which concerns on this invention. 本発明に係る認証システムにおける第2の実施例の、複数の携帯端末機を接続した状態の概念を示す図である。It is a figure which shows the concept of the state which connected the several portable terminal of 2nd Example in the authentication system which concerns on this invention.

以下、図面を用いて本認証システムの説明をする。
[システム概要]
図1は、本発明のシステム全体の概要を示す図である。認証システム1は、端末機認証サーバ3、端末機認証用データベース4、個人認証サーバ(顔認証サーバ)5、個人認証用データベース(顔認証用データベース)6、携帯端末機8、及び無線ルータ9が通信ネットワーク2に接続されて構成されている。 Hereinafter, the authentication system will be described with reference to the drawings.
[System Overview]
FIG. 1 is a diagram showing an overview of the entire system of the present invention. The authentication system 1 includes a terminal authentication server 3, a terminal authentication database 4, a personal authentication server (face authentication server) 5, a personal authentication database (face authentication database) 6, a mobile terminal 8, and a wireless router 9. It is configured to be connected to the communication network 2.

通信ネットワーク2はインターネットを用いても良いが、社内LAN(Local Area Network)や外部と独立したスタンドアロン式のネットワークでも利用可能である。独立したネットワークは機密性が高く、外部からの侵入、又は情報の漏洩や破壊等を防止することができるからである。   The communication network 2 may use the Internet, but can also be used as an in-house LAN (Local Area Network) or a stand-alone network independent of the outside. This is because an independent network has high confidentiality and can prevent intrusion from outside or leakage or destruction of information.

暫定ネットワーク2aは、通信ネットワーク2上の仮想ネットワークである。端末機認証サーバ3、端末機認証用データベース4、個人認証サーバ(顔認証サーバ)5、個人認証用データベース(顔認証用データベース)6へのアクセスを目的としたものである。使用者7が、端末機認証処理及び個人認証処理を行う以前に通信ネットワーク2に接続したのでは、セキュリティ上の問題が生ずるため、後述する無線ルータ9でアクセス可能なルートを、認証時には暫定ネットワーク2aに、認証後は通信ネットワーク2にアクセス可能なルートを切り替えるようにする。暫定ネットワーク2aは、ネットワーク構成上の仮想の概念であるので、通信ネットワーク2と物理的に同一のネットワークでよい。又は、物理的に別構成のネットワークを構築しても良い。   The temporary network 2a is a virtual network on the communication network 2. The purpose is to access the terminal authentication server 3, the terminal authentication database 4, the personal authentication server (face authentication server) 5, and the personal authentication database (face authentication database) 6. If the user 7 is connected to the communication network 2 before performing the terminal authentication process and the personal authentication process, a security problem arises. Therefore, a route that can be accessed by the wireless router 9 to be described later is changed to a temporary network at the time of authentication. In 2a, after authentication, the route that can access the communication network 2 is switched. The provisional network 2a is a virtual concept on the network configuration, and may be the same network as the communication network 2. Or you may construct | assemble a network of another structure physically.

携帯端末機8は、使用者が使用する端末機である。通信ネットワーク2にアクセスして、画面11に表示された資料の閲覧、入力等を行う。また、携帯端末機8には、カメラ12が搭載されており、カメラ12が映す映像及び撮影した静止画、動画を画面11に表示したり、個人認証サーバ5に送信する機能を有する。   The portable terminal 8 is a terminal used by a user. The communication network 2 is accessed, and the material displayed on the screen 11 is browsed and input. In addition, the mobile terminal 8 is equipped with a camera 12 and has a function of displaying a video projected by the camera 12, a captured still image, and a moving image on the screen 11 or transmitting them to the personal authentication server 5.

無線ルータ9は通信ネットワーク2と、携帯端末機8、端末機認証サーバ3、及び個人認証サーバ5とを通信接続する機能を有する。通信方式はBluetooth(登録商標)、Wi−Fi(wireless fidelity:登録商標)等の無線式によるもの、又は、イーサネット(登録商標)による同軸、光ケーブル等による有線式の接続でも良く、通信ネットワーク2と携帯端末機8、端末機認証サーバ3、及び個人認証サーバ5の相互間でデータの送受信が行える構成で有れば良い。   The wireless router 9 has a function of communicatively connecting the communication network 2 to the mobile terminal 8, the terminal authentication server 3, and the personal authentication server 5. The communication method may be a wireless connection such as Bluetooth (registered trademark) or Wi-Fi (wireless fidelity: registered trademark), or a coaxial connection using Ethernet (registered trademark), a wired connection using an optical cable, etc. The mobile terminal 8, the terminal authentication server 3, and the personal authentication server 5 may be configured so that data can be transmitted and received among them.

[端末機認証サーバ及び端末機認証用データベース]
端末機認証サーバ3は、携帯端末機8から通信ネットワーク2へのアクセス要求送信された場合に、送られてくる電子証明書(図示せず)やIDとパスワードを、端末機認証用データベース4に登録された情報と照合して、認証の可否を決定する機能を有する。携帯端末機8ごとに通信ネットワーク上の他のサーバ(図示せず)や資料、データ等へのアクセス権限を与えたり、課金情報を収集する等の管理用サーバの機能を提供する。本発明では、例えば、RADIUS (Remote Authentication Dial−In User Service)サーバ等を使用する。なお、RADIUSサーバの一般的な機能については説明を省略する。 [Terminal Authentication Server and Terminal Authentication Database]
When a request for access to the communication network 2 is transmitted from the mobile terminal 8, the terminal authentication server 3 stores the electronic certificate (not shown), ID and password that are sent to the terminal authentication database 4. It has the function of collating with registered information and determining whether authentication is possible. Each mobile terminal 8 provides a management server function such as granting access authority to other servers (not shown) on the communication network, data, data, etc., and collecting accounting information. In the present invention, for example, a RADIUS (Remote Authentication Dial-In User Service) server or the like is used. Note that description of general functions of the RADIUS server is omitted.

[個人認証サーバ及び個人認証用データベース]
個人認証サーバ5は、携帯端末機8から通信ネットワーク2へのアクセス要求送信された場合に、送られてくる使用者の生体情報を、個人認証用データベース6に登録された生体情報と照合して、使用者がアクセスを許可された者であるかの認証の可否を決定する機能を有する。 [Personal authentication server and personal authentication database]
When the personal authentication server 5 transmits an access request to the communication network 2 from the mobile terminal 8, the personal authentication server 5 collates the biometric information of the user sent with the biometric information registered in the personal authentication database 6. , It has a function of determining whether to authenticate whether the user is permitted to access.

生体情報を用いた認証方法は、指紋、瞳の虹彩、掌の静脈認証等の何れでも良いが、本発明では、使用者本人の顔写真を用いた認証方法による顔認証システムについて記載する。   The authentication method using the biometric information may be any of fingerprint, iris of the pupil, vein authentication of the palm, etc. In the present invention, a face authentication system based on the authentication method using the user's own face photograph will be described.

生体情報として、指紋、瞳の虹彩、掌の静脈等の生体情報を用いた認証は、顔認証と比較しては一般的ではなく、特に、指紋等の採取、登録は、使用者の心理的抵抗が生じる場合がある。   Authentication using biometric information such as fingerprints, irises of the eyes, veins of palms, etc. as biometric information is not common compared to face authentication. In particular, fingerprints are collected and registered psychologically by the user. Resistance may occur.

一方、顔認証は、運転免許証、パスポート、各種身分証明書、社員証等に顔写真が貼り付けて使用されていることから、一般的な個人認証方法であり、使用者の心理的抵抗が少ない。そこで本発明では、顔写真を使用した、顔認証による個人認証を採用したシステムについて説明する。   Face authentication, on the other hand, is a general personal authentication method because it is used with a driver's license, passport, various identification cards, employee ID cards, etc. Few. Therefore, in the present invention, a system employing personal authentication based on face authentication using a face photograph will be described.

従来の顔認証方式では、各携帯端末機内に使用者の顔写真を保管し、携帯端末機自体の使用制限を認証で使用許可を行なっており、各端末機に顔写真等の個人情報データを保管していた。本発明では、サーバ内に個人情報データを保管しているため、各端末機毎に設定等のメンテナンスをする必要が無く、また、端末機を紛失した際の個人情報データの流出等の危険を回避することができる。また、従来は携帯端末機が通信ネットワークへアクセスすることを許可するための認証であったが、本発明では、使用者個人が、通信ネットワークへアクセスすることを許可するための認証である。   In the conventional face authentication method, the user's face photo is stored in each mobile terminal, and the use restriction of the mobile terminal itself is permitted by authentication, and personal information data such as face photo is stored in each terminal. I kept it. In the present invention, since personal information data is stored in the server, it is not necessary to perform maintenance such as setting for each terminal, and there is a risk of leakage of personal information data when the terminal is lost. It can be avoided. Conventionally, the authentication is for allowing the mobile terminal to access the communication network. However, in the present invention, the authentication is for allowing the individual user to access the communication network.

また、個人認証サーバ5は、図1に示すように、個人認証用データベース6を有している。個人認証用データベース6は、使用者7の生体情報を含む個人情報を保存するデータベースである。使用者7の個人情報は、生体情報(顔写真)、氏名、年齢、性別、部署名、役職、アクセス権限等である。個人認証用データベース6への入出力及びアクセスは、個人認証サーバ5に実装されたアプリケーションが実行する。使用者7ごとに通信ネットワーク上の他のサーバ(図示せず)や資料、データ等へのアクセス権限を与えたり、課金情報を収集する等の管理用サーバの機能を提供する。
また、個人情報は、使用者7が個人認証を要求する前に予め、個人認証用データベース6に登録しておく。 The personal authentication server 5 has a personal authentication database 6 as shown in FIG. The personal authentication database 6 is a database for storing personal information including biometric information of the user 7. The personal information of the user 7 includes biometric information (face photo), name, age, gender, department name, job title, access authority, and the like. Input / output and access to the personal authentication database 6 are executed by an application installed in the personal authentication server 5. A management server function is provided for each user 7 such as granting access authority to other servers (not shown) on the communication network, data, data, etc., and collecting accounting information.
The personal information is registered in the personal authentication database 6 in advance before the user 7 requests personal authentication.

[携帯端末機]
携帯端末機8は、使用者7が使用する端末機である。携帯端末機8は、表示用の画面11と、使用者の顔を映像化するためのカメラ12と、顔認証ソフトウェア21がインストールされている。なお、携帯端末機8は、通信ネットワーク2にアクセスするための通信用端子(有線LAN、無線LAN等。図示せず)及び、通信ネットワーク2で配信される資料の閲覧が可能なアプリケーションソフトウェアとして、例えば、マークアップ言語(HTML5等)及びスクリプト言語等で作成された命令が実行可能なアプリケーション環境(WWWブラウザ等)、PDF等の文章を閲覧可能なアプリケーションソフトウェア、等を有していれば、デスクトップパソコン、ノートパソコン、タブレット等の機器を問わず、OS(Operation system)についても、MS−Windows(登録商標)、Mac OS(登録商標)等のパソコン用や、携帯端末機用のiOS(登録商標)、Android(登録商標)等のOSでも良い。また、入力装置もマウス、タッチパネル、キーボード等の使用者が操作し端末機に入力できるもので有ればよい。本実施例では、小型で可搬型のタッチパネル入力形式を有する携帯端末機を例として説明する。 [Mobile terminal]
The portable terminal 8 is a terminal used by the user 7. The mobile terminal 8 is installed with a display screen 11, a camera 12 for visualizing the user's face, and face authentication software 21. The mobile terminal 8 includes communication terminals (wired LAN, wireless LAN, etc., not shown) for accessing the communication network 2 and application software that allows browsing of materials distributed on the communication network 2. For example, if you have an application environment (such as a WWW browser) that can execute instructions created in a markup language (HTML5, etc.) and a script language, etc., application software that can read texts such as PDF, etc. Regardless of devices such as personal computers, notebook computers, tablets, etc., OS (Operation System) is also used for personal computers such as MS-Windows (registered trademark) and Mac OS (registered trademark), and for mobile terminals (iOS) ), OS such as Android (registered trademark) There. Further, the input device may be any device such as a mouse, a touch panel, or a keyboard that can be operated by a user and input to the terminal. In the present embodiment, a portable terminal having a small and portable touch panel input format will be described as an example.

カメラ12は、携帯端末機8の前面に設置され、携帯端末機8を操作中の使用者7の顔を映像化するための入力装置である。設置位置は、携帯端末機8を操作中の使用者7の顔を撮影可能な位置であれば、限定しない。また、カメラ12は、携帯端末機8に内蔵される形態のみならず、接続ケーブル等を介して携帯端末機8に外部接続する形態の構成としても良い。   The camera 12 is an input device that is installed in front of the portable terminal 8 and visualizes the face of the user 7 who is operating the portable terminal 8. The installation position is not limited as long as the position of the user 7 who is operating the mobile terminal 8 can be photographed. In addition, the camera 12 may be configured to be externally connected to the mobile terminal 8 via a connection cable or the like, as well as a form incorporated in the mobile terminal 8.

顔認証ソフトウェア21は、携帯端末機8にインストールされ、起動されると、図7に示すように、カメラ12によって撮像されている使用者7自身の顔の映像を画面11に表示する。そして、使用者7の顔写真を撮影すると、個人認証サーバ(顔認証サーバ)に対して撮影した使用者7の顔写真を送信する機能を有している。   When the face authentication software 21 is installed in the mobile terminal 8 and activated, the face authentication software 21 displays an image of the face of the user 7 captured by the camera 12 on the screen 11 as shown in FIG. And when the user's 7 face photograph is image | photographed, it has the function to transmit the user 7 face photograph image | photographed with respect to the personal authentication server (face authentication server).

また、携帯端末機8は、使用者7の生体情報(顔写真)を携帯端末機8の内部には記録保存せずに、通信ネットワーク2に個人認証接続要求(図6参照)を送信する際に、都度使用者7から取得する。このため、携帯端末機8の所有者は使用者7の一名に限定されることなく、複数の使用者で共有して使用することができる。   Further, when the mobile terminal 8 transmits a personal authentication connection request (see FIG. 6) to the communication network 2 without recording and storing the biometric information (face photograph) of the user 7 in the mobile terminal 8. In addition, it is obtained from the user 7 each time. Therefore, the owner of the portable terminal 8 is not limited to one user 7 and can be shared by a plurality of users.

[第1の実施形態]
[認証処理]
次に、本認証システムの第1の実施形態における、処理動作を、図2乃至図7を用いて説明する。図2は本発明に係る認証システムの全体のフローチャート、図3は本発明に係る認証システムの端末機認証処理に係るフローチャート、図4は本発明に係る認証システムの個人認証処理に係るフローチャート、図5は本発明に係る認証システムの通信ネットワーク接続処理に係るフローチャート、図6は本発明に係る認証システムのシーケンス図である。 [First Embodiment]
[Authentication process]
Next, the processing operation in the first embodiment of the authentication system will be described with reference to FIGS. 2 is a flowchart of the entire authentication system according to the present invention, FIG. 3 is a flowchart according to terminal authentication processing of the authentication system according to the present invention, FIG. 4 is a flowchart according to personal authentication processing of the authentication system according to the present invention, FIG. 5 is a flowchart relating to communication network connection processing of the authentication system according to the present invention, and FIG. 6 is a sequence diagram of the authentication system according to the present invention.

本発明では、通信ネットワーク2にアクセスを許可する際に、端末機認証及び、個人認証の2つの認証システムを備え、両方の認証結果を組み合わせることで、より強固なセキュリティもつシステムを提供することができる。   In the present invention, when permitting access to the communication network 2, there are provided two authentication systems of terminal authentication and personal authentication, and a system with stronger security can be provided by combining both authentication results. it can.

まず、図2に示すように、使用者7は携帯端末機8の電源をオンする(ステップS1)。
[端末機認証処理]
以下に、端末機認証処理について説明する。まず、図3に示すように、携帯端末機8は暫定ネットワーク2a(通信ネットワーク2)に接続するための、接続要求として、電子証明書を、端末機認証サーバ3に送信する。端末機認証サーバ3のアクセス許可の後、個人認証サーバ5にアクセス可能となるからである。 First, as shown in FIG. 2, the user 7 turns on the power of the portable terminal 8 (step S1).
[Terminal authentication processing]
The terminal authentication process will be described below. First, as shown in FIG. 3, the portable terminal 8 transmits an electronic certificate to the terminal authentication server 3 as a connection request for connecting to the temporary network 2 a (communication network 2). This is because after the access authorization of the terminal authentication server 3 is permitted, the personal authentication server 5 can be accessed.

携帯端末機8は自動的に、又は使用者7の任意で、通信接続要求を端末機認証サーバ3に接続要求(電子証明書)を送信する(ステップS10)。通信接続要求には、電子証明書を付加する。電子証明書はRADIUSサーバ等で使用する電子証明書でよいため、詳細な説明は省略する。電子証明書は、予め各携帯端末機8に登録しておく。   The portable terminal 8 sends a connection request (electronic certificate) to the terminal authentication server 3 automatically or arbitrarily by the user 7 (step S10). An electronic certificate is added to the communication connection request. Since the electronic certificate may be an electronic certificate used in a RADIUS server or the like, detailed description thereof is omitted. The electronic certificate is registered in advance in each portable terminal 8.

端末機認証サーバ3は、携帯端末機8から受信した電子証明書の内容が正しいか否かの判定を行う(ステップS11)。
判定の結果、携帯端末機8の電子証明書が正しい場合は(ステップS11でYes)、次の処理(ステップS13)へ遷移する。 The terminal authentication server 3 determines whether or not the content of the electronic certificate received from the mobile terminal 8 is correct (step S11).
If the electronic certificate of the portable terminal 8 is correct as a result of the determination (Yes in step S11), the process proceeds to the next process (step S13).

携帯端末機8の電子証明書が不正や、期限切れの場合は(ステップS11でNo)、携帯端末機8にアクセス拒否である旨の接続要求結果を送信し(ステップS12)、携帯端末機8は携帯端末機8が未登録である旨のエラーメッセージを表示し、ステップS10に戻って、再度の接続要求待ち状態となる。   If the electronic certificate of the portable terminal 8 is invalid or has expired (No in step S11), a connection request result indicating that access is denied is transmitted to the portable terminal 8 (step S12), and the portable terminal 8 An error message indicating that the mobile terminal 8 has not been registered is displayed, and the process returns to step S10 to wait for a connection request again.

携帯端末機8が暫定ネットワーク2a(通信ネットワーク2)へのアクセス許可された場合は(ステップS11でYes)、端末機認証サーバ3はアクセス許可である旨の端末機認証結果通知を送信する(ステップS13)。携帯端末機8は、端末機認証サーバ3からアクセス許可である旨の端末機認証結果通知を受信した場合、暫定ネットワーク2aに接続され、通信ネットワーク2(暫定ネットワーク2a)上の、アクセス許可された範囲内での、接続が可能となる。   When the mobile terminal 8 is permitted to access the provisional network 2a (communication network 2) (Yes in step S11), the terminal authentication server 3 transmits a terminal authentication result notification indicating that access is permitted (step S11). S13). When the mobile terminal 8 receives a terminal authentication result notification indicating that access is permitted from the terminal authentication server 3, the mobile terminal 8 is connected to the temporary network 2a and is permitted access on the communication network 2 (provisional network 2a). Connection within the range becomes possible.

[個人認証処理]
次に個人認証処理を実行する。図4に示すように、暫定ネットワーク2aへのアクセス可能な場所で、「開始ボタン」(図示せず)を押下し、携帯端末機8にインストールされた顔認証ソフトウェア21を起動する(ステップS20)。 [Personal authentication processing]
Next, personal authentication processing is executed. As shown in FIG. 4, a “start button” (not shown) is pressed at a location where the provisional network 2a is accessible, and the face authentication software 21 installed in the portable terminal 8 is activated (step S20). .

次に、図7に示すように、使用者7は、カメラ12で、自己の顔を撮影する準備を行う。顔認証の判定に必要な、写真に写る、顔長さの専有率hは、個人認証用データベースに登録されている使用者7の顔写真のサイズに依存するが、概ね画面11の縦方向の長さLに対して、h≧1/3L以上であれば、好適である。   Next, as shown in FIG. 7, the user 7 prepares to photograph his / her face with the camera 12. The occupation rate h of the face length necessary for the face authentication determination depends on the size of the face photograph of the user 7 registered in the personal authentication database, but generally in the vertical direction of the screen 11. It is preferable that h ≧ 1/3 L or more with respect to the length L.

使用者7は画面11上で顔の位置と大きさを決定した後、撮影ボタン22を押下し、顔認証ソフトウェア21は顔情報として、使用者7の顔写真を撮影する(ステップS21)。   After the user 7 determines the position and size of the face on the screen 11, the user presses the shooting button 22, and the face authentication software 21 takes a face photograph of the user 7 as face information (step S21).

次に使用者7は、携帯端末機8の「認証ボタン」(図示せず)を押下することで(ステップS22)、撮影した顔写真を添付した、個人認証要求を携帯端末機8から個人認証サーバ5に送信する(ステップS23)。なお、「認証ボタン」の押下を要さずに、自動的に、顔認証ソフトウェア21は撮影した使用者7の顔写真を、個人認証サーバ5に送信する(ステップS23)ようにしても良い。また、顔写真に加えて、使用者7を特定する個人情報(氏名、生年月日、所属、登録番号等)を個人認証サーバ5に送付するようにしてもよい。   Next, the user 7 depresses an “authentication button” (not shown) of the mobile terminal 8 (step S22), and sends a personal authentication request with the photographed face photograph attached thereto from the mobile terminal 8. It transmits to the server 5 (step S23). Note that the face authentication software 21 may automatically transmit the photographed face photograph of the user 7 to the personal authentication server 5 without pressing the “authentication button” (step S23). In addition to the face photograph, personal information (name, date of birth, affiliation, registration number, etc.) specifying the user 7 may be sent to the personal authentication server 5.

次に、顔写真の画像を検索キーとして、個人認証用データベース6の検索/照合を実行する(ステップS24)。携帯端末機8から送信されてきた使用者7の顔写真が、個人認証用データベース6の検索結果から、個人認証用データベース6に登録済みの顔写真と受信した顔写真とを照合し、本人と同一人物と判定した場合は(ステップS25でYes)、次の処理(ステップS27)へ遷移する。   Next, the personal authentication database 6 is searched / verified using the face photograph image as a search key (step S24). The face photo of the user 7 transmitted from the portable terminal 8 is collated with the face photo registered in the personal authentication database 6 and the received face photo from the search result of the personal authentication database 6. If it is determined that they are the same person (Yes in step S25), the process proceeds to the next process (step S27).

また、登録済みの顔写真と受信した顔写真とを照合させ、顔写真が個人認証用データベース6に登録されていない又は不一致で同一人物でない、と判定した場合は(ステップS25でNo)、個人認証サーバ5は、携帯端末機8に顔認証結果エラーである旨の認証結果通知を送信し(ステップS26)、携帯端末機8は使用者7と登録済みの顔写真が一致しない(本人でない)旨のエラーメッセージを表示し、ステップS20に戻って、再度の顔写真の撮影待ち状態となる。なお、顔写真による、本人か否かの判定処理は、市販品の顔認証ソフトウェア21を使用しても良いため、詳細な処理内容については本発明では割愛する。   If the registered face photo and the received face photo are collated and it is determined that the face photo is not registered in the personal authentication database 6 or does not match and is not the same person (No in step S25), the individual The authentication server 5 transmits an authentication result notification indicating that the face authentication result error has occurred to the mobile terminal 8 (step S26), and the mobile terminal 8 does not match the user 7 and the registered face photo (not the person). An error message to that effect is displayed, and the process returns to step S20 to wait for another face photo. It should be noted that since the face authentication software 21 that is a commercially available product may be used for the process of determining whether or not the person is a person using a face photograph, detailed processing contents are omitted in the present invention.

ここで、ステップS24の個人認証用データベース6の検索/照合において、個人認証サーバ5は、顔写真に加えて、携帯端末機8から送信された個人情報の何れか1つ又は複数を検索キーとして、個人認証用データベース6に使用者7が登録されているか否かを検索するようにしてもよい。   Here, in the search / collation of the personal authentication database 6 in step S24, the personal authentication server 5 uses any one or more of the personal information transmitted from the mobile terminal 8 in addition to the face photograph as a search key. Alternatively, whether or not the user 7 is registered in the personal authentication database 6 may be searched.

次に、個人認証用データベース6の検索結果から、個人情報に登録された内容を照合して、使用者7の通信ネットワーク2へのアクセス権限を照合する(ステップS27)。一般的に通信ネットワークは、役職や、所属部署によって、アクセス可能範囲を制限されるものであるため、使用者7のアクセス権限を取得する。

Next, the contents registered in the personal information are collated from the search result of the personal authentication database 6 to collate the access authority of the user 7 to the communication network 2 (step S27). In general, a communication network is limited in the accessible range depending on the job title or department, and thus obtains the access authority of the user 7.

使用者7が通信ネットワーク2へのアクセス許可がされている場合(ステップS27でYes)は、個人認証サーバ5は携帯端末機8に、通信ネットワーク2へ接続を許可するためのID、PASS情報等を含めた認証結果通知を送信する(ステップS29)。なお、通信ネットワーク2の内部にて、使用者のアクセス可能なネットワーク(複数のドメイン名や、ユーザグループなどに属して場合など)が複数存在する場合において、ID、PASS情報が複数存在する場合は、端末機認証サーバ3が適切なアクセス許可を選出して、通信ネットワーク2に対する前記ID、PASS情報等を携帯端末機8に送信する。   If the user 7 is permitted to access the communication network 2 (Yes in step S27), the personal authentication server 5 allows the mobile terminal 8 to connect to the communication network 2 with an ID, PASS information, etc. An authentication result notification including “” is transmitted (step S29). When there are multiple IDs and PASS information in the communication network 2 when there are multiple networks that can be accessed by the user (such as belonging to multiple domain names or user groups). The terminal authentication server 3 selects an appropriate access permission and transmits the ID, PASS information, etc. for the communication network 2 to the portable terminal 8.

使用者7が通信ネットワークへの許可がされていない場合は(ステップS27でNo)、個人認証サーバ5は、携帯端末機8に検索結果エラーである旨の認証結果通知を送信し(ステップS28)、携帯端末機8は使用者7がアクセス不許可者である旨のエラーメッセージを表示し、ステップS20に戻って、再度の顔写真の撮影待ち状態となる。   If the user 7 is not permitted to communicate with the communication network (No in step S27), the personal authentication server 5 transmits an authentication result notification indicating a search result error to the portable terminal 8 (step S28). The portable terminal 8 displays an error message indicating that the user 7 is an access-permitted person, returns to step S20, and waits for another face photo.

以上により、個人情報(顔写真)を使用した、使用者の個人認証を終了する。   As described above, personal authentication of the user using personal information (face photo) is completed.

[通信ネットワーク接続処理]
続いて、通信ネットワーク接続処理に遷移する。上述の端末機認証処理及び個人認証処理では、暫定ネットワーク2aに接続され、個人認証に必要な端末機認証サーバ3及び、個人認証サーバ5との通信のみが行えるように、通信ネットワーク2の使用制限が課されているからである。
図5に示すように、携帯端末機8の使用者の個人認証を正常に終了すると携帯端末機8は自動的に、又は使用者7の任意で、通信接続要求を端末機認証サーバ3に認証要求を送信する(ステップS30)。通信接続要求には、認証結果通知によって受信したID、PASS情報等を付加する。また、ID、PASS情報等に代わる、その他の認証情報を用いても良い。 [Communication network connection processing]
Subsequently, the process proceeds to communication network connection processing. In the above-described terminal authentication process and personal authentication process, the use of the communication network 2 is restricted so that only the terminal authentication server 3 and the personal authentication server 5 that are connected to the temporary network 2a and are required for personal authentication can be communicated. Because it is imposed.
As shown in FIG. 5, when the personal authentication of the user of the mobile terminal 8 ends normally, the mobile terminal 8 authenticates the communication connection request to the terminal authentication server 3 automatically or arbitrarily by the user 7. A request is transmitted (step S30). The ID, PASS information, etc. received by the authentication result notification are added to the communication connection request. Also, other authentication information in place of ID, PASS information, etc. may be used.

端末機認証サーバ3は、端末認証用データベース4の検索/照合を開始する。通信接続要求のID及びパスワードを検索キーとして、端末機認証用データベース4にID、PASS情報等が登録されているか否かを検索し、判定する(ステップS31)。
検索の結果、ID、PASS情報等が正しいと判定した場合は、端末機認証用サーバは、認証要求結果として、アクセス許可の旨の通知を、携帯端末機8に送信する(ステップS31でYes)。 The terminal authentication server 3 starts searching / collating the terminal authentication database 4. Using the ID and password of the communication connection request as search keys, it is determined whether or not ID, PASS information, etc. are registered in the terminal authentication database 4 (step S31).
As a result of the search, if it is determined that the ID, PASS information, etc. are correct, the terminal authentication server transmits an access permission notification to the portable terminal 8 as an authentication request result (Yes in step S31). .

ID、PASS情報等が端末機認証用データベース4に登録されていない、又は不正と判断した場合は(ステップS31でNo)、端末機認証用サーバは、認証要求結果として、携帯端末機8にアクセス拒否の旨の通知を送信する(ステップS32)。携帯端末機8はエラーメッセージを表示し、ステップS30に戻って、再度の認証要求待ち状態となる。   If the ID, PASS information, etc. are not registered in the terminal authentication database 4 or are determined to be illegal (No in step S31), the terminal authentication server accesses the mobile terminal 8 as an authentication request result. A notification of rejection is transmitted (step S32). The portable terminal 8 displays an error message, returns to step S30, and waits for an authentication request again.

認証要求結果がアクセス許可である旨の認証要求結果通知を携帯端末機8が受信すると、携帯端末機8は、通信ネットワーク2に接続され(ステップS33)、通信ネットワーク2上の、アクセス許可された範囲内での、資料等の資産の使用が可能となる。   When the mobile terminal 8 receives the authentication request result notification that the authentication request result indicates that access is permitted, the mobile terminal 8 is connected to the communication network 2 (step S33) and access is permitted on the communication network 2. Assets such as materials can be used within the scope.

以上のように、端末機認証による端末機の通信ネットワーク接続の制限と、個人認証による使用者の制限との、二重の認証が許可となることで、暫定ネットワーク2aのみの接続状態から、初めて通信ネットワーク2へのアクセス許可がされ、通信ネットワーク2上の資産の使用が可能となることにより、よりセキュリティ効果の高い、認証システムとなる。   As described above, the double authentication of the restriction of the communication network connection of the terminal by the terminal authentication and the restriction of the user by the personal authentication is permitted, so that for the first time from the connection state of only the temporary network 2a. By permitting access to the communication network 2 and using the assets on the communication network 2, an authentication system with a higher security effect can be obtained.

また、第1の実施形態では、第1に端末機認証による通信ネットワーク接続処理(ステップS10〜ステップS13)を実行し、第2に個人認証処理(ステップS20〜ステップS29)を実行したが、この処理の実行順序に限らず、実行順序を組み替えて実行するような構成にしても良い。   In the first embodiment, first, communication network connection processing (step S10 to step S13) by terminal authentication is executed, and secondly personal authentication processing (step S20 to step S29) is executed. The configuration is not limited to the process execution order, and the execution order may be changed and executed.

[第2の実施形態]
[認証方法について]
次に、本認証システムの第2の実施形態における、処理動作を、図8を用いて説明する。なお、第1の実施形態と共通する内容については、説明を省略する。 [Second Embodiment]
[Authentication method]
Next, processing operations in the second embodiment of the authentication system will be described with reference to FIG. Note that the description common to the first embodiment is omitted.

セミナー等のイベントを開催する場合、個人認証サーバ(顔認証サーバ)に登録していない使用者7が存在する場合、個人認証サーバ(顔認証サーバ)に新規使用者を登録する必要がある。特に、数名以上や、数百名規模のセミナー等では、その登録には莫大な時間と労力が必要となり、直前に申請が集中した場合は、期限までに登録が間に合わない恐れがある。また、登録した場合でも、そのセミナーの認証のためだけに使用し、後日1回も使用しなくなる場生じる。   When an event such as a seminar is held, if there is a user 7 who is not registered in the personal authentication server (face authentication server), it is necessary to register a new user in the personal authentication server (face authentication server). In particular, for seminars of several or more people or hundreds of people, enrollment requires enormous time and effort, and if applications are concentrated immediately before, registration may not be in time by the deadline. Even if you register, it may be used only for the authentication of the seminar and will not be used at a later date.

そこで、本実施形態では、一の携帯端末機が端末機認証及び、個人認証を承認されると、当該個人認証に紐づけられた複数の携帯端末機が端末機認証及び、個人認証を承認されたとし、個人認証サーバ(顔認証サーバ)に顔写真を登録していない使用者7も、通信ネットワークに接続することが可能な構成とする。   Therefore, in this embodiment, when one mobile terminal is approved for terminal authentication and personal authentication, a plurality of mobile terminals associated with the personal authentication are approved for terminal authentication and personal authentication. It is assumed that the user 7 who has not registered the face photograph in the personal authentication server (face authentication server) can also connect to the communication network.

図8の携帯端末機8a乃至8dは、端末機認証用データベース4に各携帯端末機の端末機情報が登録されている。また、使用者7aの生体情報(顔写真)が、個人認証用データベース6に登録されている。しかし、使用者7b乃至7dの個人情報(顔写真)が、個人認証用データベース6に登録されていない状態である。当然ながら、使用者7b乃至7dは各々個人認証サーバに個人認証要求をしても、個人認証の承認失敗の結果となり、使用者7b乃至7dは通信ネットワーク2にアクセスすることができない。   In the mobile terminals 8a to 8d in FIG. 8, the terminal information of each mobile terminal is registered in the terminal authentication database 4. Further, the biometric information (face photograph) of the user 7 a is registered in the personal authentication database 6. However, the personal information (face photos) of the users 7 b to 7 d is not registered in the personal authentication database 6. Naturally, even if the users 7b to 7d make a personal authentication request to the personal authentication server, the result of the personal authentication approval failure is that the users 7b to 7d cannot access the communication network 2.

このような場合、個人認証用データベース6の使用者7aの登録情報に、使用者7aのグループとして、携帯端末機8a乃至8dを登録しておく構成とする。使用者7aがグループ内の携帯端末機8a乃至8dの内の何れか1台で暫定ネットワーク2aで個人認証(図4に示す、ステップS20〜ステップS29)が承認されることで、当該携帯端末機が通信ネットワーク2に接続することが可能となると、他の3台の携帯端末機総てが、使用者7aのグループとして、使用者7aの個人認証で承認されたこととなり、他の3台の携帯端末機はそれぞれ通信ネットワーク2に接続することが可能となる。なお、電子証明書のない携帯端末機、又はID、PASS情報等が登録されていない他の携帯端末機8は当然ながら通信ネットワーク2に接続することが出来ない。   In such a case, the mobile terminals 8a to 8d are registered in the registration information of the user 7a in the personal authentication database 6 as a group of the users 7a. When the user 7a approves personal authentication (step S20 to step S29 shown in FIG. 4) in the temporary network 2a in any one of the mobile terminals 8a to 8d in the group, the mobile terminal When it becomes possible to connect to the communication network 2, all the other three portable terminals are approved as a group of the user 7a by the personal authentication of the user 7a. Each portable terminal can be connected to the communication network 2. Note that a portable terminal without an electronic certificate or another portable terminal 8 with no ID, PASS information, etc. registered cannot be connected to the communication network 2 as a matter of course.

つまり、使用者7b乃至7dは、使用者7b乃至7dの個人情報(顔写真)が、個人認証用データベース6に登録されていなくても、使用者7aが個人認証を行った携帯端末機8a乃至8d使用することで、使用者7aのグループとして、通信ネットワーク2に接続することが可能となる。   In other words, the users 7b to 7d can use the mobile terminals 8a to 8d that have been personally authenticated by the user 7a even if the personal information (face photos) of the users 7b to 7d is not registered in the personal authentication database 6. By using 8d, it becomes possible to connect to the communication network 2 as a group of users 7a.

このように、本発明の第2の実施形態では、端末機認証のセキュリティを保ちつつ、個人認証によって、複数の携帯端末機を通信ネットワーク2へのアクセスを可能とする。   As described above, in the second embodiment of the present invention, a plurality of portable terminals can access the communication network 2 by personal authentication while maintaining security of terminal authentication.

この機能は、例えば、セミナー等で外部の参加者を募る場合に有効である。例えば、セミナーの主催者を使用者7aとし、参加者を使用者7b乃至7dとした場合、容易に、全ての携帯端末機8a乃至8dに対して、端末機認証及び個人認証による二重認証することができるので、通信ネットワーク2に対するアクセスのセキュリティを強化することが出来る。   This function is effective, for example, when recruiting external participants at a seminar or the like. For example, when the seminar organizer is the user 7a and the participants are the users 7b to 7d, the double authentication by the terminal authentication and the personal authentication is easily performed for all the mobile terminals 8a to 8d. Therefore, the access security for the communication network 2 can be strengthened.

以上に説明したように、本発明よれば、携帯端末機に対して端末機認証を行うこと及び使用者に対して個人情報認証を行うことにより、通信ネットワークへのアクセスが許可されることで、二重の認証を経る事により、セキュリティの高い認証システムを提供することができる。特に、複数の携帯端末機に対して、使用者を一個人に固定することなく、端末機認証及び個人認証を行い、通信ネットワークに接続することができるので、端末機を複数人で共有し使用することが可能となる。   As described above, according to the present invention, access to a communication network is permitted by performing terminal authentication for a mobile terminal and performing personal information authentication for a user. By undergoing double authentication, an authentication system with high security can be provided. In particular, it is possible to perform terminal authentication and personal authentication and connect to a communication network without fixing the user to one individual for a plurality of mobile terminals, so that the terminal can be shared and used by multiple people It becomes possible.

また、携帯端末機は、個人認証サーバに認証要求する際に、認証要求毎に使用者の個人認証用情報を取得して、個人認証用情報を認証要求として前記個人認証サーバに送信する。このため、携帯端末機に個人認証用情報を保有する必要が無く、携帯端末機を複数人で共有しても、個人認証を行うことができる。   In addition, when the mobile terminal requests authentication from the personal authentication server, the mobile terminal acquires user authentication information for each authentication request and transmits the personal authentication information to the personal authentication server as an authentication request. For this reason, it is not necessary to store personal authentication information in the mobile terminal, and personal authentication can be performed even if the mobile terminal is shared by a plurality of people.

また、端末機認証で端末機個体のセキュリティを保ったまま、個人情報認証を行うことにより、携帯端末機の使用者を、本システムは明確に把握することが出来る。   In addition, this system can clearly grasp the user of the portable terminal by performing the personal information authentication while maintaining the security of the individual terminal by the terminal authentication.

また、個人情報認証の認証用情報が顔認証(顔写真)であるので、使用者に心理的圧迫を与えることなく、個人判別用の生体データを収集し、データベースに保管することが出来る。   Further, since the authentication information for personal information authentication is face authentication (face photograph), biometric data for personal identification can be collected and stored in a database without causing psychological pressure on the user.

また、顔認証(顔写真)データの取得として、携帯端末機に装備されているカメラを使用することが出来る。   In addition, a camera equipped in a portable terminal can be used to acquire face authentication (face photo) data.

また、個人情報認証の認証用情報(顔写真)を、個人認証用データベースに保管するため、一元的に認証用情報(顔写真)を管理することが出来る。   Further, since the authentication information (face photo) for personal information authentication is stored in the personal authentication database, the authentication information (face photo) can be managed centrally.

前記複数の端末機は、前記個人認証用情報を認証要求毎に都度使用者から取得することにより、一台の端末機を複数の使用者で共有しても前記個人認証が可能である。   The plurality of terminals can acquire the personal authentication information from the user for each authentication request, thereby enabling the personal authentication even if one terminal is shared by a plurality of users.

また、個人情報認証の認証用情報(顔写真)を、個人認証用データベースに保管するため、各携帯端末機に認証用情報(顔写真)を登録/保管することが必要なく、各携帯端末機のメンテナンスや管理を大幅に削減することが出来る。   Also, since the authentication information (face photo) for personal information authentication is stored in the personal authentication database, it is not necessary to register / store the authentication information (face photo) in each mobile terminal. Maintenance and management can be greatly reduced.

本発明よれば、代表者一名が携帯端末機一台に対して端末機認証及び個人情報認証を行うことにより、代表者一名に紐づいた複数の携帯端末機が個人情報認証を行った状態とすることが可能であり、不特定多数の使用者が端末機認証及び個人情報認証を行ったものとみなして、二重認証のセキュリティを保ったまま、通信ネットワークへのアクセスを許可することが出来る。   According to the present invention, when a representative performs terminal authentication and personal information authentication for one mobile terminal, a plurality of mobile terminals associated with the representative perform personal information authentication. It can be considered as a state, and it is considered that a large number of unspecified users have performed terminal authentication and personal information authentication, and permit access to the communication network while maintaining the security of double authentication. I can do it.

この発明は、その本質的特性から逸脱することなく数多くの形式のものとして具体化することができる。よって、上述した実施形態は専ら説明上のものであり、本発明を制限するものではないことは言うまでもない。   The present invention can be embodied in many forms without departing from its essential characteristics. Therefore, it is needless to say that the above-described embodiment is exclusively for description and does not limit the present invention.

1 認証システム
2 通信ネットワーク
2a 暫定ネットワーク
3 端末機認証サーバ
4 端末機認証用データベース
5 個人認証サーバ(顔認証サーバ)
6 個人認証用データベース
7 使用者
8 携帯端末機
9 無線ルータ
11 表示画面
12 カメラ
21 顔認証ソフトウェア
22 撮影ボタン 1 Authentication System 2 Communication Network 2a Temporary Network 3 Terminal Authentication Server 4 Terminal Authentication Database 5 Personal Authentication Server (Face Authentication Server)
6 Personal Authentication Database 7 User 8 Mobile Terminal 9 Wireless Router 11 Display Screen 12 Camera 21 Face Authentication Software 22 Shooting Button

Claims (6)

端末機認証用情報を記録する端末機認証用データベースを有する端末機認証サーバと、
個人認証用情報を記録する個人認証用データベースを有する個人認証サーバと、
端末機の認証処理時及び前記端末機の使用者である個人の認証処理時に前記端末機認証サーバ及び前記個人認証サーバへのアクセスを可能にする認証用ネットワークと、
前記端末機の認証後及び前記個人の認証後に、アクセスを可能にする通信ネットワークと、
前記端末機の認証処理時及び前記個人の認証処理時に前記端末機の前記認証用ネットワークへのアクセスを許可し、前記端末機の認証後及び前記個人の認証後に前記端末機を前記認証用ネットワークから前記通信ネットワークへ切替える通信ネットワーク接続手段とを有することを特徴とする認証システム。 A terminal authentication server having a terminal authentication database for recording terminal authentication information;
A personal authentication server having a personal authentication database for recording personal authentication information;
An authentication network that enables access to the terminal authentication server and the personal authentication server at the time of authentication processing of the terminal and at the time of authentication processing of an individual who is a user of the terminal;
A communication network that allows access after authentication of the terminal and after authentication of the individual;
The terminal is allowed to access the authentication network during the terminal authentication process and the personal authentication process, and the terminal is removed from the authentication network after the terminal authentication and after the individual authentication. A communication network connection means for switching to the communication network . 前記個人認証用情報は、生体情報であり、前記端末機内には保存されていないことを特徴とする請求項1に記載の認証システム。   The authentication system according to claim 1, wherein the personal authentication information is biometric information and is not stored in the terminal. 前記個人認証用情報は、前記端末機から認証要求が前記個人認証サーバに到達する以前に、個人認証用データベース内に保存されていることを特徴とする請求項1に記載の認証システム。 The personal authentication information, the authentication system according to claim 1, the authentication request from the terminal is prior to reaching the personal authentication server, characterized in that stored in the personal identification database. 前記端末機は、前記個人認証用情報を認証要求毎に都度使用者から取得することにより、複数の使用者で共有しても前記認証を得ることが可能なこと
を特徴とする請求項1に記載の認証システム。 The terminal, by obtaining from each time the user of the personal authentication information for each authentication request, to claim 1, be shared by multiple users, characterized in that capable of obtaining the authentication The described authentication system. 前記端末機の認証後及び前記端末機の使用者である個人の認証後に、前記個人の認証に紐付いた複数の前記端末機が、前記端末機の認証及び前記個人の認証を行ったものとして前記通信ネットワークに接続許可をする通信ネットワーク接続手段を有すること
を特徴とする、請求項1乃至請求項4の何れか1に記載の認証システム。 After authentication of the terminal and after authentication of an individual who is a user of the terminal, a plurality of the terminals associated with the authentication of the individual perform authentication of the terminal and authentication of the individual The authentication system according to any one of claims 1 to 4 , further comprising communication network connection means for permitting connection to the communication network . 前記端末機は、携帯端末機であることを特徴とする、請求項1乃至請求項5の何れか1に記載の認証システム。 The authentication system according to claim 1, wherein the terminal is a mobile terminal.
JP2013032652A 2013-02-21 2013-02-21 Authentication system Active JP6118128B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013032652A JP6118128B2 (en) 2013-02-21 2013-02-21 Authentication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013032652A JP6118128B2 (en) 2013-02-21 2013-02-21 Authentication system

Publications (2)

Publication Number Publication Date
JP2014164359A JP2014164359A (en) 2014-09-08
JP6118128B2 true JP6118128B2 (en) 2017-04-19

Family

ID=51614943

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013032652A Active JP6118128B2 (en) 2013-02-21 2013-02-21 Authentication system

Country Status (1)

Country Link
JP (1) JP6118128B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016117061A1 (en) * 2015-01-22 2016-07-28 株式会社野村総合研究所 Wearable terminal and information processing system using same
JP6441544B2 (en) * 2016-05-17 2018-12-19 株式会社オプティム Information device operation system, information device operation method, and program
JP6981116B2 (en) * 2017-09-08 2021-12-15 富士フイルムビジネスイノベーション株式会社 Access control system
JP7235055B2 (en) * 2018-12-12 2023-03-08 日本電気株式会社 Authenticator, client and server

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005346183A (en) * 2004-05-31 2005-12-15 Quality Kk Network connection control system and network connection control program
JP2007188321A (en) * 2006-01-13 2007-07-26 Sony Corp Communication device, communication method, program, and recording medium
JP2009009427A (en) * 2007-06-28 2009-01-15 Psd:Kk Authentication processing method, system therefor and terminal apparatus
JP2010066974A (en) * 2008-09-10 2010-03-25 Mitsubishi Electric Corp Security integrated control system, security integrated control method, server access control server for service, and communication control information creation program

Also Published As

Publication number Publication date
JP2014164359A (en) 2014-09-08

Similar Documents

Publication Publication Date Title
US9698992B2 (en) Method for signing electronic documents with an analog-digital signature with additional verification
US20160371438A1 (en) System and method for biometric-based authentication of a user for a secure event carried out via a portable electronic device
CN105339949B (en) System for managing the access to medical data
JP2009020650A (en) Personal authentication method and personal authentication system
JP6961555B2 (en) Entry / exit management system
JP6118128B2 (en) Authentication system
CN108369614A (en) User authen method and system for carrying out the process
KR101469046B1 (en) System and method for recognizing and verifying iris for web site login and protection of private information
JP5723338B2 (en) Data sharing system
JP6171988B2 (en) Authentication information management system, authentication information management device, and program
JP5073866B1 (en) Portable information terminal that can communicate with IC chip
JP6919280B2 (en) Function management system and function management method
KR101433079B1 (en) Method for Registering Fingerprint on Security-Terminal
JP6065623B2 (en) Information management device, portable terminal device, and program
JP2011100268A (en) Service providing system, authentication device, service providing device, control method, and program
JP5901824B1 (en) Face authentication system and face authentication program
JP3966233B2 (en) Terminal usage authentication system
JP2014071494A (en) Information management server, information upload system, information upload method, and information upload program
JP6071109B2 (en) Portable terminal device and program
JP2017102758A (en) Authentication device, authentication method, and program
JP2010257326A (en) Biometrics system, biometrics method, and information processing apparatus
JP5072322B2 (en) Identification system and identification method
JP2018185622A (en) Server device, authentication system and authentication method
KR101047140B1 (en) Unmanned Medical Reception and Information Service System Using Fingerprint Recognition and Its Methods
JP2006163715A (en) User authentication system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160219

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20160629

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20161215

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170106

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170307

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170317

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170324

R150 Certificate of patent or registration of utility model

Ref document number: 6118128

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250