JP2004326580A - 認証方法および認証システム - Google Patents
認証方法および認証システム Download PDFInfo
- Publication number
- JP2004326580A JP2004326580A JP2003122310A JP2003122310A JP2004326580A JP 2004326580 A JP2004326580 A JP 2004326580A JP 2003122310 A JP2003122310 A JP 2003122310A JP 2003122310 A JP2003122310 A JP 2003122310A JP 2004326580 A JP2004326580 A JP 2004326580A
- Authority
- JP
- Japan
- Prior art keywords
- user
- certificate
- area
- authentication system
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Position Fixing By Use Of Radio Waves (AREA)
Abstract
【課題】特定エリアへの入門時に、利用者がエリア内に入ったことを証明する証明書を発行し、証明書とユーザIDおよびパスワードの検証を行うことで、利用者のエリアごとのアクセスを制御する認証システムを得る。
【解決手段】認証システムは在場証明システム1と、アプリケーションサーバ6と、統合認証システム8と、ICカード5a、5bと、端末11と、接続機12で構成され、在場証明システム1には入門管理装置2、GPS3を備え、アプリケーションサーバ6にはアプリケーション7を備え、統合認証システム8には統合認証サーバ9、ディレクトリサーバ10を備えて構成される。これらの構成で1つのエリア13をカバーする。
【選択図】 図1
【解決手段】認証システムは在場証明システム1と、アプリケーションサーバ6と、統合認証システム8と、ICカード5a、5bと、端末11と、接続機12で構成され、在場証明システム1には入門管理装置2、GPS3を備え、アプリケーションサーバ6にはアプリケーション7を備え、統合認証システム8には統合認証サーバ9、ディレクトリサーバ10を備えて構成される。これらの構成で1つのエリア13をカバーする。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
この発明は、利用者の所在場所によってアプリケーションへのアクセスを制御するために、利用者を認証する認証方法および認証システムに関するものである。
【0002】
【従来の技術】
従来の認証に関する技術はユーザIDとパスワードによって本人を確認し、その人が持つ権限によってシステムの利用の可否を判断していた。しかし、本人であってもシステムを利用する物理的な場所が異なれば、使用権限レベルを変えたい場合がある。例えば、同じ敷地内でも入退出が管理された場所では、その利用者に許されたすべてのアプリケーションが使えるが、その他の場所では制限する等である。
【0003】
従来から、IPアドレスを用いることによって利用者からのアクセス場所を特定し、アクセス可能なデータを制限する方法等が提案されている(特許文献1参照)。ところが、これらの方法では認証サーバの管理者がネットワーク構成を把握していなければアクセス権の設定ができないという問題や、そのためにネットワークの構成を変更すると、コストが高くなってしまうという問題があった。
【0004】
また、GPS(Global Positioning System)の位置情報を用いてアクセス可能なデータを制限する方法も提案されている(特許文献2参照)。GPSによる位置情報はIPアドレスとは異なり、システムの構成に依存しない。しかしながら、GPS機器はシステムに固定されていて、移動体端末にGPS機器を搭載して利用することは困難であった。
【0005】
【特許文献1】
特開平10−161978号公報
【特許文献2】
特開2000−163379号公報
【0006】
【発明が解決しようとする課題】
この発明は上記のような問題点を解決するためになされたもので、利用者がある特定のエリアに入ったときに、GPSを有する機器から利用者がエリア内に入ったことを証明する証明書を発行し、システムを使用するときにユーザIDとパスワードに加えて、エリア内に入ったことを証明する証明書を提出できたかどうかで、利用者の所在エリアによるアプリケーションのアクセス制御を行う認証方法および認証システムを得ることを目的とする。
【0007】
また、システムの管理者はネットワークの構成を意識せず、統合認証システムの利用者や、エリアごとのアプリケーションに対する認可情報を設定することでアクセス制御を行う認証方法および認証システムを得ることを目的とする。
【0008】
このとき、証明書が異なっている場合や証明書が提出できない場合にはアプリケーションへのアクセス権を付与しないか、もしくはセキュリティポリシーに従ったアクセス権を付与することができる認証方法および認証システムを得ることを目的とする。
【0009】
【課題を解決するための手段】
この発明に係る認証方法は、利用者の所在エリアによってアプリケーションのアクセスを制御する認証方法において、特定エリアへの入門時に、利用者がエリア内に入ったことを証明する証明書を発行し、証明書とユーザIDおよびパスワードの検証を行うことで、利用者のエリアごとのアクセスを制御するものである。
【0010】
この発明に係る認証システムは、利用者の所在エリアによってアプリケーションのアクセスを制御する認証システムにおいて、特定エリアへの入門時に、利用者がエリア内に入ったことを証明する証明書を発行する証明書発行手段と、証明書発行手段により発行された証明書とユーザIDおよびパスワードの検証を行う検証手段と、検証手段の検証結果に基づいて、利用者のエリアごとのアクセスを制御するアクセス制御手段とを備えるものである。
【0011】
【発明の実施の形態】
以下、この発明の実施の一形態を説明する。
実施の形態1.
この発明に係る実施の形態1の認証システムについて図1〜図8を参照して説明する。なお、図1は実施の形態1に係る認証システムの構成を示す図であり、図2は認証システムのネットワーク構成を示す図である。また、図3および図4は夫々、認証システムを構成する統合認証システム内の、利用者Aおよび利用者Bに関するアプリケーション認可情報を示す図である。また、図5は認証システムを構成する統合認証システム内におけるエリアと証明書内位置情報のマッピングを示す図である。さらに、図6は認証システムの在場証明システムが証明書を発行する過程を示したフローチャートであり、図7は認証システムの処理の過程を示したフローチャートであり、図8は認証システムの在場証明システムが証明書を削除する過程を示したフローチャートである。
【0012】
まず、認証システムの構成について説明する。図1に示すように認証システムは在場証明システム1と、アプリケーションサーバ6と、統合認証システム8と、ICカード5a、5bと、端末11と、接続機12で構成され、在場証明システム1には入門管理装置2、GPS3を備え、アプリケーションサーバ6にはアプリケーション7を備え、統合認証システム8には統合認証サーバ9、ディレクトリサーバ10を備えて構成される。これらの構成で1つのエリア13をカバーする。
【0013】
在場証明システム1は、入門管理装置2において利用者のエリア内に入ったことを証明する証明書を生成し発行する。GPS3は証明書を生成するための位置情報や時間情報を取得するものである。GPS3は、図2に示し、後段で詳しく説明するネットワーク20を介して基準局サーバ4にアクセスし、位置情報の補正を行うことで位置情報の精度向上と取得時間の短縮を図る。
【0014】
ネットワークを通してGPSの補正情報を得るインターネットGPS(例えば、羽田久一、川喜田佑介:「インターネットGPS」、情報処理学会誌、Vol.43、No.8)を用いることで、GPS補正に特別な無線機器やアンテナをつける必要が無く、本発明の認証システムと同一のネットワークを使用して構築が可能となり、コストを抑えることが可能である。なお、在場証明システム1のGPS3は補正情報を無線機器やアンテナで取得する従来のシステムを使用しても良い。
【0015】
アプリケーションサーバ6は、利用者が使用するアプリケーション7を管理するサーバであって、ひとつのアプリケーションサーバ6に複数のアプリケーション7があっても良いし、図2に示すネットワーク20上に複数のアプリケーションサーバ6を設置しても良い。
【0016】
統合認証システム8は、利用者の認証およびアプリケーション7を使用する認可を制御するシステムで、実際に認証・認可処理を行う統合認証サーバ9と、認証および認可のための情報が含まれているディレクトリサーバ10から構成される。
【0017】
ICカード5a、5bは、証明書を記録する媒体である。例えば利用者がエリア13内に入ったことを証明する、在場証明システム1によって作成された証明書をICカード5aに記録し、一方、認証システムを利用する場合は統合認証システム8に対し、証明書を記録したICカード5bを端末11からログインして認証を受ける。
【0018】
端末11は、利用者が使用する計算機端末であり、ノートパソコンやPDA(Personal Digital Assistants)、携帯電話などの移動可能な計算機が適用可能である。
【0019】
接続機12は、端末11を図2に示すネットワーク20に接続するための装置である。端末11を接続する手段としては、LAN(Local Area Network)、無線LAN、Bluetooth、赤外線などが挙げられる。
【0020】
図2は上述した認証システムを、ネットワーク20を介して接続してシステムを構成した図であって、エリアとして例えばエリアA13aとエリアB13bが示されている。エリアA13aでは在場証明システム1aと、アプリケーションサーバ6aと、統合認証システム8aと、ICカード5aa、5abと、端末11aと、接続機12aがあり、エリアB13bでは端末11bと接続機12bがある。
【0021】
例えばエリアA13aにいる利用者は端末11aを接続機12aに接続し、ユーザIDおよびパスワードによって統合認証システム8aで認証され、アプリケーションサーバ6a上のアプリケーション7aを利用する。
【0022】
ここで、利用者がエリアA13a内に入門したときに、在場証明システム1aで作成された証明書がICカード5aaに記録される。利用者は接続機12aに端末11aを接続し、ユーザIDおよびパスワードとともに、エリアA13aに入門時に書き込んだICカード5abに記載されている証明書を統合認証システム8aへ送信する。エリアB13bの認証システムでは在場証明システムがないため、ICカードへの証明書の記入ができず、利用者はユーザIDおよびパスワードのみを送信することになる。
【0023】
次に認証システムの動作について説明する。
まず、統合認証システム8で設定されている利用者Aに関するアプリケーション許可情報(図3)、利用者Bに関するアプリケーション許可情報(図4)、およびエリアと証明書内位置情報のマッピング(図5)について述べる。なお、証明書を本発明の認証システムの統合認証システム8で検証するためには、統合認証システム8側でアプリケーションとその使用可能なエリアを図3〜図5に示すようにマッピングしておく必要があるものである。
【0024】
利用者Aのアプリケーション許可情報は図3に示すように、例えば利用者Aに対してアプリケーションサーバ6のアプリケーションAは認証を必要とするが、どのエリアからでもアクセスできる。また、アプリケーションBは認証を必要とし、エリアAだけでアクセスできる。また、アプリケーションCは認証の必要はないがエリアAだけでアクセスできることを表している。他のアプリケーションに対しても同様に記述されているものである。
【0025】
利用者Bのアプリケーション許可情報は図4に示すように、例えば利用者Bに対してアプリケーションAは認証を必要とせず、どのエリアからでもアクセスできる。また、アプリケーションBは認証の必要はないがエリアAだけでアクセスできることを表している。他のアプリケーションに対しても同様に記述されているものである。
【0026】
エリアと証明書内位置情報のマッピングは図5に示すように、エリアA、エリアB・・・に対して位置情報1、2・・・、許容範囲1、2・・・が記述されている。これにより、在場証明システムの位置は変わるがアプリケーションへのアクセス制御に関する設定が変わらない場合であれば、統合認証システム8内のアプリケーションとその使用可能なエリアのマッピングを変更する必要がなく、システム管理者の負担が低減する。
【0027】
エリアA13aのシステムに正規のアカウントを持つ利用者(以下適宜、「利用者A」と記す)がエリアA13a内で統合認証システム8aにログインする場合について説明する。利用者AはエリアA13aに入り、ICカード5aaを在場証明システム1aに通して、ICカード5aaにエリアA13aに入門したことを証明する証明書を書き込む。
【0028】
図6に示すように、入門管理装置2はGPS3に接続し(ステップST101)、位置情報と時間情報を取得する(ステップST102)。このとき、GPS3は補正基準となる情報を基準局サーバ4から取得できるものとする。位置情報と時間情報を取得できたら、入門管理装置2はGPS3から取得した位置情報、時間情報に有効時間を加え(ステップST103)、証明書を生成する(ステップST104)。生成された証明書はICカード5aに記録して利用者に発行される(ステップST105)。最後に、入門管理装置2は入門記録としてICカード5aのID、入門時間、証明書の有効時間をログとして残しておく(ステップST106)。
【0029】
また、認証システムの管理者は在場証明システム1を設置するときに、位置情報とその許容範囲をエリア情報として、図5に示すように統合認証システム8内にマッピングしておく。これにより例えば、在場証明システム1の位置が変わってもアプリケーション7へのアクセス制御に関する設定が変わらないような場合には、統合認証システム8内のアプリケーション7とその使用可能なエリアのマッピングを変更する必要が無い。
【0030】
次に、図7に示すように、利用者AはエリアA13a内の接続機12aに端末11aを接続する(ステップST201)。次に、端末11aにICカード5abを読み取る装置を取り付け、ICカード5abに記入されている証明書を読み込む(ステップST202)。利用者Aは端末11aからユーザIDおよびパスワードを入力し統合認証システム8aへログインする(ステップST203)。このときICカード5abから読み取った証明書をユーザIDおよびパスワードと共に送信する(ステップST204)。ICカード5ab内の証明書を送信する際に、安全性を高めるために証明書を暗号化しても良い。
【0031】
統合認証サーバ9aは送信されてきたユーザIDおよびパスワードをチェックし(ステップST205)、このとき、ユーザIDおよびパスワードの組み合わせが正しければ、利用者Aが利用できるアプリケーション認可情報をディレクトリサーバ10aから読み出し(ステップST206)、ステップ210に進む。この場合は、この時点で利用者AはアプリケーションA、B、Cへのアクセス権付与の可能性がある。
【0032】
一方、ステップST205において、ユーザIDおよびパスワードの組み合わせが正しくない場合、或いはユーザIDおよびパスワードが入力されなかった場合は、標準のアプリケーション認可情報があるか否かをディレクトリサーバ10aに問い合わせる(ステップST207)。標準のアプリケーション認可情報は、例えば、エリアA13aに入ったことを証明する証明書があればアクセス可能なアプリケーション7aや、だれでも使用可能なアプリケーション7a等がある。標準のアプリケーション認可情報が無ければ、どのアプリケーション7aへのアクセス権も付与されないため、利用者側にアプリケーション利用不可の通知(エラー表示)を送信する(ステップST208)。この場合では、利用者AのユーザIDおよびパスワードが不正な場合、アプリケーションCのみへのアクセス権付与の可能性がある。
【0033】
一方、ステップST207において標準のアプリケーション認可情報がある場合は、標準のアプリケーション認可情報をディレクトリサーバ10aから読み出し(ステップST209)、ステップST210に進む。
【0034】
次に統合認証システム8aは利用者AがエリアA13aに入ったことを証明する証明書が正しいか否かを判別する(ステップST210)。このとき、証明書が正しものであれば、証明書の有効時間が時間内のものであるか否かを判別する(ステップST211)。ステップST210およびステップST211において証明書が正しくなければ、先のディレクトリサーバ10aから読み出したアプリケーション認可情報から証明書を必要とするすべてのアプリケーション7aを除外する(ステップST212)。この場合では、アプリケーションB、Cへのアクセス権は付与されない。すなわち、利用者AはアプリケーションAのみ利用可能となる。
【0035】
一方、ステップST211において証明書が正しければ、先のディレクトリサーバ10aから読み出した、利用者Aが利用できるアプリケーション認可情報の中から、その証明書の範囲で利用可能なアプリケーション7aを選び出す(ステップST213)。例の場合では、アプリケーションA、B、Cのうち、証明書が必要なアプリケーションB、Cと、証明書が不要なアプリケーションAへのアクセス権が付与され、結果、アプリケーションA、B、Cのアクセス権が付与されることになる。
【0036】
このとき、ユーザIDおよびパスワードの組み合わせが不正であるが、標準のアプリケーション認可情報がある場合(ステップST209において)、証明書が正しいものであり、かつ、証明書の有効時間が時間内のものであれば、先のディレクトリサーバ10aから読み出した標準のアプリケーション認可情報の中から、その証明書の範囲で利用可能なアプリケーション7aを選び出す(ステップST213)。この場合では、アプリケーションCのみのアクセス権が付与されることになる。
【0037】
次に利用者Aが在場証明システム1の無いエリアB13bから統合認証システム8aへログインする場合について同じフローチャートを用いて説明する。利用者AがエリアB13b内の接続機12bに端末11bを接続し、統合認証システム8aへログインする(ステップST201)。このとき、エリアB13b内には在場証明システム1がないので、エリアA13a内に入ったことを証明する証明書を発行することはできない。利用者AはユーザIDおよびパスワードと空の証明書を統合認証システム8aに送信する(ステップST204)。
【0038】
統合認証システム8aは送信されてきたユーザIDおよびパスワードをチェックする(ステップST205)。統合認証システム8でのユーザID・パスワードのチェックは先の例と同じである、この場合では、ユーザIDおよびパスワードが正しければ、利用者AはアプリケーションA、B、Cへのアクセス権付与の可能性がある。またユーザID・パスワードが不正であっても、標準のアプリケーション認可情報があるため、利用者AはアプリケーションCのアクセス権付与の可能性がある。
【0039】
次に統合認証システム8aは証明書のチェックを行うが、エリアB13b内ではエリアA13a内に入ったことを証明する証明書が発行できないため、送信された空の証明書ではチェックのときに不正とみなされる。そのため、先のディレクトリサーバ10aから読み出した標準のアプリケーション認可情報がある場合、その中から証明書を必要とするすべてのアプリケーションを除外する(ステップST212)ため、結果的に、利用者AはアプリケーションCのみ利用可能となる。
【0040】
次に統合認証システム8aに正規のアカウントを持たない利用者(以降適宜、「利用者B」と記す)がエリアA13aから統合認証システム8aを利用する場合について説明する。利用者BはエリアA13aに訪れたお客などを想定する。利用者BがエリアA13a内に入るとき、ゲスト用のICカード5aaが配布され、また、ゲスト用のアプリケーション認可情報としては、統合認証システム8aに、図4に示すように設定されているものとする。
【0041】
利用者BはエリアA13aに入り、ゲスト用のICカード5aaを在場証明システム1aに通してICカード5aaにエリアA13aに入門したことを証明する証明書を書き込む。利用者BはエリアA13a内において、接続機12aに端末11aを接続する(ステップST201)。次に、端末11aにICカード5ab(この場合は、先に証明書が記録されたICカード5aa)を読み取る装置を取り付け、ICカード5abに記入されている証明書を読み込む(ステップST202)。
【0042】
次に利用者Bは端末11aからユーザIDおよびパスワードを入力し、統合認証システム8aへログインするが、利用者Bは統合認証システム8aに正規のユーザIDおよびパスワードを持っていないので、ログインするときには事前に配布されたゲスト用アカウントを使用するか、ユーザIDおよびパスワードが入力されない場合は統合認証システム8a側でゲスト用アカウントを標準で使用するように設定しておく。統合認証システム8aはユーザIDおよびパスワードのチェックを行い(ステップST205)、利用者Bが利用できるアプリケーション認可情報をディレクトリサーバ10aから読み出す。この場合では、この時点で利用者BはアプリケーションA、Bへのアクセス権付与の可能性があるが、まだ確定はしない。
【0043】
次に統合認証システム8aは利用者BがエリアA13aに入ったことを証明する証明書が正しいか否かを判別する(ステップST210)。このとき、証明書が正しいものであれば、証明書の有効時間が時間内のものであるか否かを判別する(ステップST211)。ステップST210およびステップST211において証明書が正しくなければ、先のディレクトリサーバ10aから読み出したアプリケーション認可情報から証明書を必要とするすべてのアプリケーション7aを除外する(ステップST212)。この場合では、アプリケーションBへのアクセス権は付与されない。すなわち、利用者AはアプリケーションAのみ利用可能となる。
【0044】
一方、ステップST211において証明書が正しければ、先のディレクトリサーバ10aから読み出した利用者Bが利用できるアプリケーション認可情報の中から、その証明書の範囲で利用可能なアプリケーション7aを選び出す(ステップST213)。例の場合では、アプリケーションA、Bのうち、証明書が必要なアプリケーションBと、証明書が不要なアプリケーションAへのアクセス権が付与され、結果、アプリケーションA、Bのアクセス権が付与されることになる。
【0045】
このとき、ユーザIDおよびパスワードの組み合わせが不正であるが、標準のアプリケーション認可情報がある場合(ステップST209において)、証明書が正しいものであり、かつ、証明書の有効時間が時間内のものであれば、先のディレクトリサーバ10aから読み出した標準のアプリケーション認可情報の中から、その証明書の範囲で利用可能なアプリケーション7aを選び出す(ステップST213)。この場合では、アプリケーションCのみのアクセス権が付与されることになる。
【0046】
このとき、例えば、アプリケーションAはだれでも閲覧可能なデモアプリケーションなどを、アプリケーションBはある特定のお客向けのデモアプリケーションやある一定の時間の範囲のみ利用可能なアプリケーションなどを想定するものである。
【0047】
最後に、図8に示すように、このシステムでは利用者A、BのエリアA13aへの入門時に在場証明システム1aとICカード5aaによって入門した人を管理しているため、利用者がエリアA13a外に出るときには在場証明システム1aにICカード5aaを挿入し、入門管理システムはICカード5aa内の証明書を削除し(ステップST301)、出門記録としてICカード5aaのIDと出門時間をログとして残しておく(ステップST302)。
【0048】
この認証システムは、利用者がエリア内に入ったことを証明する証明書によって、利用者の存在エリアによるアプリケーションへのアクセスを制御することが可能となる。また、証明書を発行の際には位置情報、時間情報を取得するためにGPSを用いるため、例えば入門を管理する場所が頻繁に変わるような状況でも対応することが可能となる。
【0049】
実施の形態2.
実施の形態2について図9および図10を参照して説明する。なお、図9は実施の形態2に係る認証システムのネットワーク構成を示す図であり、図10は認証システムを構成する統合認証システム内において、利用者に対する複数のエリアに対応したアプリケーション認可情報を示す図である。また、上述した図1および図2とその説明を適宜参照する。
【0050】
実施の形態2は、上述した実施の形態1に基づき統合認証システムの利用者のアプリケーション認可情報に、複数のエリアで利用可能なアプリケーションが設定されている場合においても利用が可能な形態である。
【0051】
実施の形態2に係る認証システムの構成は、エリアA13aには在場証明システム1aと、端末11aと、接続機12aと、ICカード5aaとを備え、エリアB13bには在場証明システム1bと、端末11bと、接続機12bと、ICカード5baとを備え、エリアC13cには端末11cと、接続機12cとを備え、別途アプリケーションサーバ6と、統合認証システム8がネットワーク20を介して各エリアに接続されている。基準局サーバ4も同様にネットワーク20に接続されている。これら構成要素の働きは実施の形態1で説明したことと同様であり、その説明は省略する。
【0052】
また、図10に示すような利用者のアプリケーション許可情報が統合認証システム8内のディレクトリサーバに設定されているものとする。これは図3に関して説明したものと同様のものである。
【0053】
上述した構成の認証システムでは、アプリケーションAはユーザ認証が正しく行えれば、場所によらず利用可能である。アプリケーションBはユーザ認証が正しく行われ、かつ、エリアA13a内に入ったことを証明する証明書が提出できれば利用可能である。アプリケーションCはユーザ認証が正しく行えなくてもエリアA13aの証明書、または、エリアB13bの証明書があれば利用可能である。しかし、アプリケーションDではユーザ認証は正しく行えなくても良いが、エリアB13bの証明書のみに対して利用可能となり、エリアA13aの証明書では利用不可能である。
【0054】
この発明ではアプリケーション認可情報において1つのアプリケーションに複数のエリアを設定することができるため、例えば、ある社内の部署どうしで連携して作業を行うために同じアプリケーションを使用するが、他の部署や場所からでは使用できないようにするなど、柔軟な運用が可能となる。
【0055】
実施の形態3.
実施の形態3に係る認証システムの構成は図11に示すように、エリアA13aには在場証明システム1aと、端末11aと、接続機12aと、ICカード5aaとを備え、別途、アプリケーション7を有するアプリケーションサーバ6と、ファイル16を有するファイルサーバ15と、統合認証システム8と、ネットワームプリンタ17がネットワーク20を介して接続されている。なお、エリアはエリアA13aに限ることはない。これら構成要素の働きは実施の形態1で説明したことと同様である。
【0056】
上述した実施の形態1または実施の形態2でネットワークに接続されているアプリケーションへのアクセス制御について説明したが、例えば図11のように、ネットワーク上に存在する個々のファイルやプリンターなどの、統合認証システムで管理できる資源に対してアクセスすることが可能となるものである。
【0057】
アクセス制御の対象を、ネットワークを通した認証システムのアプリケーションサーバのアプリケーションだけでなく、ネットワークに接続されている機器内のファイルやネットワークプリンタ等も含めて運用することが可能となる。
【0058】
【発明の効果】
以上のように、この発明によれば、利用者がエリア内に入ったことを証明する証明書によって、利用者の存在エリアによるアプリケーションへのアクセスを制御することが可能となる。また、証明書を発行の際には位置情報、時間情報を取得するためにGPSを用いることにより、例えば入門を管理する場所が頻繁に変わるような状況でも対応することが可能となる効果がある。
【0059】
この発明によれば、アプリケーションの認可情報において1つのアプリケーションに複数のエリアを設定することができるため、例えば、ある社内の部署間で連携して作業を行うために同じアプリケーションを使用することが可能となるが、他の部署や場所からでは使用できないようにするなど、柔軟な運用が可能となる効果がある。
【0060】
この発明によれば、アクセス制御の対象を、ネットワークを通した認証システムのアプリケーションだけでなく、ネットワークに接続されている機器内のファイルや装置、例えばネットワークプリンタ等をも含めて運用することが可能となる効果がある。
【図面の簡単な説明】
【図1】実施の形態1に係る認証システムの構成を示す図である。
【図2】実施の形態1に係る認証システムのネットワーク構成を示す図である。
【図3】実施の形態1に係る認証システムを構成する統合認証システム内の、利用者に関するアプリケーション認可情報を示す図である。
【図4】実施の形態1に係る認証システムを構成する統合認証システム内の、利用者に関するアプリケーション認可情報を示す図である。
【図5】実施の形態1に係る認証システムを構成する統合認証システム内におけるエリアと証明書内位置情報のマッピングを示す図である。
【図6】実施の形態1に係る認証システムの在場証明システムが証明書を発行する過程を示したフローチャートである。
【図7】実施の形態1に係る認証システムの処理の過程を示したフローチャートである。
【図8】実施の形態1に係る認証システムの在場証明システムが証明書を削除する過程を示したフローチャートである。
【図9】実施の形態2に係る認証システムのネットワーク構成を示す図である。
【図10】実施の形態2に係る認証システムを構成する統合認証システム内において、利用者に対する複数のエリアに対応したアプリケーション認可情報を示す図である。
【図11】実施の形態3に係る認証システムのネットワーク構成を示す図である。
【符号の説明】
1,1a,1b 在場証明システム、2,2a 入門管理装置、3,3a GPS、4 基準局サーバ、5,5aa,5ab,5ba ICカード、6,6aアプリケーションサーバ、7,7a アプリケーション、8,8a 統合認証システム、9,9a 統合認証サーバ、10,10a ディレクトリサーバ、11,11a,11b,11c 端末、12,12a,12b,12c 接続機、13 エリア、13a エリアA、13b エリアB、13c エリアC、15ファイルサーバ、16 ファイル、17 ネットワークプリンタ、20 ネットワーク。
【発明の属する技術分野】
この発明は、利用者の所在場所によってアプリケーションへのアクセスを制御するために、利用者を認証する認証方法および認証システムに関するものである。
【0002】
【従来の技術】
従来の認証に関する技術はユーザIDとパスワードによって本人を確認し、その人が持つ権限によってシステムの利用の可否を判断していた。しかし、本人であってもシステムを利用する物理的な場所が異なれば、使用権限レベルを変えたい場合がある。例えば、同じ敷地内でも入退出が管理された場所では、その利用者に許されたすべてのアプリケーションが使えるが、その他の場所では制限する等である。
【0003】
従来から、IPアドレスを用いることによって利用者からのアクセス場所を特定し、アクセス可能なデータを制限する方法等が提案されている(特許文献1参照)。ところが、これらの方法では認証サーバの管理者がネットワーク構成を把握していなければアクセス権の設定ができないという問題や、そのためにネットワークの構成を変更すると、コストが高くなってしまうという問題があった。
【0004】
また、GPS(Global Positioning System)の位置情報を用いてアクセス可能なデータを制限する方法も提案されている(特許文献2参照)。GPSによる位置情報はIPアドレスとは異なり、システムの構成に依存しない。しかしながら、GPS機器はシステムに固定されていて、移動体端末にGPS機器を搭載して利用することは困難であった。
【0005】
【特許文献1】
特開平10−161978号公報
【特許文献2】
特開2000−163379号公報
【0006】
【発明が解決しようとする課題】
この発明は上記のような問題点を解決するためになされたもので、利用者がある特定のエリアに入ったときに、GPSを有する機器から利用者がエリア内に入ったことを証明する証明書を発行し、システムを使用するときにユーザIDとパスワードに加えて、エリア内に入ったことを証明する証明書を提出できたかどうかで、利用者の所在エリアによるアプリケーションのアクセス制御を行う認証方法および認証システムを得ることを目的とする。
【0007】
また、システムの管理者はネットワークの構成を意識せず、統合認証システムの利用者や、エリアごとのアプリケーションに対する認可情報を設定することでアクセス制御を行う認証方法および認証システムを得ることを目的とする。
【0008】
このとき、証明書が異なっている場合や証明書が提出できない場合にはアプリケーションへのアクセス権を付与しないか、もしくはセキュリティポリシーに従ったアクセス権を付与することができる認証方法および認証システムを得ることを目的とする。
【0009】
【課題を解決するための手段】
この発明に係る認証方法は、利用者の所在エリアによってアプリケーションのアクセスを制御する認証方法において、特定エリアへの入門時に、利用者がエリア内に入ったことを証明する証明書を発行し、証明書とユーザIDおよびパスワードの検証を行うことで、利用者のエリアごとのアクセスを制御するものである。
【0010】
この発明に係る認証システムは、利用者の所在エリアによってアプリケーションのアクセスを制御する認証システムにおいて、特定エリアへの入門時に、利用者がエリア内に入ったことを証明する証明書を発行する証明書発行手段と、証明書発行手段により発行された証明書とユーザIDおよびパスワードの検証を行う検証手段と、検証手段の検証結果に基づいて、利用者のエリアごとのアクセスを制御するアクセス制御手段とを備えるものである。
【0011】
【発明の実施の形態】
以下、この発明の実施の一形態を説明する。
実施の形態1.
この発明に係る実施の形態1の認証システムについて図1〜図8を参照して説明する。なお、図1は実施の形態1に係る認証システムの構成を示す図であり、図2は認証システムのネットワーク構成を示す図である。また、図3および図4は夫々、認証システムを構成する統合認証システム内の、利用者Aおよび利用者Bに関するアプリケーション認可情報を示す図である。また、図5は認証システムを構成する統合認証システム内におけるエリアと証明書内位置情報のマッピングを示す図である。さらに、図6は認証システムの在場証明システムが証明書を発行する過程を示したフローチャートであり、図7は認証システムの処理の過程を示したフローチャートであり、図8は認証システムの在場証明システムが証明書を削除する過程を示したフローチャートである。
【0012】
まず、認証システムの構成について説明する。図1に示すように認証システムは在場証明システム1と、アプリケーションサーバ6と、統合認証システム8と、ICカード5a、5bと、端末11と、接続機12で構成され、在場証明システム1には入門管理装置2、GPS3を備え、アプリケーションサーバ6にはアプリケーション7を備え、統合認証システム8には統合認証サーバ9、ディレクトリサーバ10を備えて構成される。これらの構成で1つのエリア13をカバーする。
【0013】
在場証明システム1は、入門管理装置2において利用者のエリア内に入ったことを証明する証明書を生成し発行する。GPS3は証明書を生成するための位置情報や時間情報を取得するものである。GPS3は、図2に示し、後段で詳しく説明するネットワーク20を介して基準局サーバ4にアクセスし、位置情報の補正を行うことで位置情報の精度向上と取得時間の短縮を図る。
【0014】
ネットワークを通してGPSの補正情報を得るインターネットGPS(例えば、羽田久一、川喜田佑介:「インターネットGPS」、情報処理学会誌、Vol.43、No.8)を用いることで、GPS補正に特別な無線機器やアンテナをつける必要が無く、本発明の認証システムと同一のネットワークを使用して構築が可能となり、コストを抑えることが可能である。なお、在場証明システム1のGPS3は補正情報を無線機器やアンテナで取得する従来のシステムを使用しても良い。
【0015】
アプリケーションサーバ6は、利用者が使用するアプリケーション7を管理するサーバであって、ひとつのアプリケーションサーバ6に複数のアプリケーション7があっても良いし、図2に示すネットワーク20上に複数のアプリケーションサーバ6を設置しても良い。
【0016】
統合認証システム8は、利用者の認証およびアプリケーション7を使用する認可を制御するシステムで、実際に認証・認可処理を行う統合認証サーバ9と、認証および認可のための情報が含まれているディレクトリサーバ10から構成される。
【0017】
ICカード5a、5bは、証明書を記録する媒体である。例えば利用者がエリア13内に入ったことを証明する、在場証明システム1によって作成された証明書をICカード5aに記録し、一方、認証システムを利用する場合は統合認証システム8に対し、証明書を記録したICカード5bを端末11からログインして認証を受ける。
【0018】
端末11は、利用者が使用する計算機端末であり、ノートパソコンやPDA(Personal Digital Assistants)、携帯電話などの移動可能な計算機が適用可能である。
【0019】
接続機12は、端末11を図2に示すネットワーク20に接続するための装置である。端末11を接続する手段としては、LAN(Local Area Network)、無線LAN、Bluetooth、赤外線などが挙げられる。
【0020】
図2は上述した認証システムを、ネットワーク20を介して接続してシステムを構成した図であって、エリアとして例えばエリアA13aとエリアB13bが示されている。エリアA13aでは在場証明システム1aと、アプリケーションサーバ6aと、統合認証システム8aと、ICカード5aa、5abと、端末11aと、接続機12aがあり、エリアB13bでは端末11bと接続機12bがある。
【0021】
例えばエリアA13aにいる利用者は端末11aを接続機12aに接続し、ユーザIDおよびパスワードによって統合認証システム8aで認証され、アプリケーションサーバ6a上のアプリケーション7aを利用する。
【0022】
ここで、利用者がエリアA13a内に入門したときに、在場証明システム1aで作成された証明書がICカード5aaに記録される。利用者は接続機12aに端末11aを接続し、ユーザIDおよびパスワードとともに、エリアA13aに入門時に書き込んだICカード5abに記載されている証明書を統合認証システム8aへ送信する。エリアB13bの認証システムでは在場証明システムがないため、ICカードへの証明書の記入ができず、利用者はユーザIDおよびパスワードのみを送信することになる。
【0023】
次に認証システムの動作について説明する。
まず、統合認証システム8で設定されている利用者Aに関するアプリケーション許可情報(図3)、利用者Bに関するアプリケーション許可情報(図4)、およびエリアと証明書内位置情報のマッピング(図5)について述べる。なお、証明書を本発明の認証システムの統合認証システム8で検証するためには、統合認証システム8側でアプリケーションとその使用可能なエリアを図3〜図5に示すようにマッピングしておく必要があるものである。
【0024】
利用者Aのアプリケーション許可情報は図3に示すように、例えば利用者Aに対してアプリケーションサーバ6のアプリケーションAは認証を必要とするが、どのエリアからでもアクセスできる。また、アプリケーションBは認証を必要とし、エリアAだけでアクセスできる。また、アプリケーションCは認証の必要はないがエリアAだけでアクセスできることを表している。他のアプリケーションに対しても同様に記述されているものである。
【0025】
利用者Bのアプリケーション許可情報は図4に示すように、例えば利用者Bに対してアプリケーションAは認証を必要とせず、どのエリアからでもアクセスできる。また、アプリケーションBは認証の必要はないがエリアAだけでアクセスできることを表している。他のアプリケーションに対しても同様に記述されているものである。
【0026】
エリアと証明書内位置情報のマッピングは図5に示すように、エリアA、エリアB・・・に対して位置情報1、2・・・、許容範囲1、2・・・が記述されている。これにより、在場証明システムの位置は変わるがアプリケーションへのアクセス制御に関する設定が変わらない場合であれば、統合認証システム8内のアプリケーションとその使用可能なエリアのマッピングを変更する必要がなく、システム管理者の負担が低減する。
【0027】
エリアA13aのシステムに正規のアカウントを持つ利用者(以下適宜、「利用者A」と記す)がエリアA13a内で統合認証システム8aにログインする場合について説明する。利用者AはエリアA13aに入り、ICカード5aaを在場証明システム1aに通して、ICカード5aaにエリアA13aに入門したことを証明する証明書を書き込む。
【0028】
図6に示すように、入門管理装置2はGPS3に接続し(ステップST101)、位置情報と時間情報を取得する(ステップST102)。このとき、GPS3は補正基準となる情報を基準局サーバ4から取得できるものとする。位置情報と時間情報を取得できたら、入門管理装置2はGPS3から取得した位置情報、時間情報に有効時間を加え(ステップST103)、証明書を生成する(ステップST104)。生成された証明書はICカード5aに記録して利用者に発行される(ステップST105)。最後に、入門管理装置2は入門記録としてICカード5aのID、入門時間、証明書の有効時間をログとして残しておく(ステップST106)。
【0029】
また、認証システムの管理者は在場証明システム1を設置するときに、位置情報とその許容範囲をエリア情報として、図5に示すように統合認証システム8内にマッピングしておく。これにより例えば、在場証明システム1の位置が変わってもアプリケーション7へのアクセス制御に関する設定が変わらないような場合には、統合認証システム8内のアプリケーション7とその使用可能なエリアのマッピングを変更する必要が無い。
【0030】
次に、図7に示すように、利用者AはエリアA13a内の接続機12aに端末11aを接続する(ステップST201)。次に、端末11aにICカード5abを読み取る装置を取り付け、ICカード5abに記入されている証明書を読み込む(ステップST202)。利用者Aは端末11aからユーザIDおよびパスワードを入力し統合認証システム8aへログインする(ステップST203)。このときICカード5abから読み取った証明書をユーザIDおよびパスワードと共に送信する(ステップST204)。ICカード5ab内の証明書を送信する際に、安全性を高めるために証明書を暗号化しても良い。
【0031】
統合認証サーバ9aは送信されてきたユーザIDおよびパスワードをチェックし(ステップST205)、このとき、ユーザIDおよびパスワードの組み合わせが正しければ、利用者Aが利用できるアプリケーション認可情報をディレクトリサーバ10aから読み出し(ステップST206)、ステップ210に進む。この場合は、この時点で利用者AはアプリケーションA、B、Cへのアクセス権付与の可能性がある。
【0032】
一方、ステップST205において、ユーザIDおよびパスワードの組み合わせが正しくない場合、或いはユーザIDおよびパスワードが入力されなかった場合は、標準のアプリケーション認可情報があるか否かをディレクトリサーバ10aに問い合わせる(ステップST207)。標準のアプリケーション認可情報は、例えば、エリアA13aに入ったことを証明する証明書があればアクセス可能なアプリケーション7aや、だれでも使用可能なアプリケーション7a等がある。標準のアプリケーション認可情報が無ければ、どのアプリケーション7aへのアクセス権も付与されないため、利用者側にアプリケーション利用不可の通知(エラー表示)を送信する(ステップST208)。この場合では、利用者AのユーザIDおよびパスワードが不正な場合、アプリケーションCのみへのアクセス権付与の可能性がある。
【0033】
一方、ステップST207において標準のアプリケーション認可情報がある場合は、標準のアプリケーション認可情報をディレクトリサーバ10aから読み出し(ステップST209)、ステップST210に進む。
【0034】
次に統合認証システム8aは利用者AがエリアA13aに入ったことを証明する証明書が正しいか否かを判別する(ステップST210)。このとき、証明書が正しものであれば、証明書の有効時間が時間内のものであるか否かを判別する(ステップST211)。ステップST210およびステップST211において証明書が正しくなければ、先のディレクトリサーバ10aから読み出したアプリケーション認可情報から証明書を必要とするすべてのアプリケーション7aを除外する(ステップST212)。この場合では、アプリケーションB、Cへのアクセス権は付与されない。すなわち、利用者AはアプリケーションAのみ利用可能となる。
【0035】
一方、ステップST211において証明書が正しければ、先のディレクトリサーバ10aから読み出した、利用者Aが利用できるアプリケーション認可情報の中から、その証明書の範囲で利用可能なアプリケーション7aを選び出す(ステップST213)。例の場合では、アプリケーションA、B、Cのうち、証明書が必要なアプリケーションB、Cと、証明書が不要なアプリケーションAへのアクセス権が付与され、結果、アプリケーションA、B、Cのアクセス権が付与されることになる。
【0036】
このとき、ユーザIDおよびパスワードの組み合わせが不正であるが、標準のアプリケーション認可情報がある場合(ステップST209において)、証明書が正しいものであり、かつ、証明書の有効時間が時間内のものであれば、先のディレクトリサーバ10aから読み出した標準のアプリケーション認可情報の中から、その証明書の範囲で利用可能なアプリケーション7aを選び出す(ステップST213)。この場合では、アプリケーションCのみのアクセス権が付与されることになる。
【0037】
次に利用者Aが在場証明システム1の無いエリアB13bから統合認証システム8aへログインする場合について同じフローチャートを用いて説明する。利用者AがエリアB13b内の接続機12bに端末11bを接続し、統合認証システム8aへログインする(ステップST201)。このとき、エリアB13b内には在場証明システム1がないので、エリアA13a内に入ったことを証明する証明書を発行することはできない。利用者AはユーザIDおよびパスワードと空の証明書を統合認証システム8aに送信する(ステップST204)。
【0038】
統合認証システム8aは送信されてきたユーザIDおよびパスワードをチェックする(ステップST205)。統合認証システム8でのユーザID・パスワードのチェックは先の例と同じである、この場合では、ユーザIDおよびパスワードが正しければ、利用者AはアプリケーションA、B、Cへのアクセス権付与の可能性がある。またユーザID・パスワードが不正であっても、標準のアプリケーション認可情報があるため、利用者AはアプリケーションCのアクセス権付与の可能性がある。
【0039】
次に統合認証システム8aは証明書のチェックを行うが、エリアB13b内ではエリアA13a内に入ったことを証明する証明書が発行できないため、送信された空の証明書ではチェックのときに不正とみなされる。そのため、先のディレクトリサーバ10aから読み出した標準のアプリケーション認可情報がある場合、その中から証明書を必要とするすべてのアプリケーションを除外する(ステップST212)ため、結果的に、利用者AはアプリケーションCのみ利用可能となる。
【0040】
次に統合認証システム8aに正規のアカウントを持たない利用者(以降適宜、「利用者B」と記す)がエリアA13aから統合認証システム8aを利用する場合について説明する。利用者BはエリアA13aに訪れたお客などを想定する。利用者BがエリアA13a内に入るとき、ゲスト用のICカード5aaが配布され、また、ゲスト用のアプリケーション認可情報としては、統合認証システム8aに、図4に示すように設定されているものとする。
【0041】
利用者BはエリアA13aに入り、ゲスト用のICカード5aaを在場証明システム1aに通してICカード5aaにエリアA13aに入門したことを証明する証明書を書き込む。利用者BはエリアA13a内において、接続機12aに端末11aを接続する(ステップST201)。次に、端末11aにICカード5ab(この場合は、先に証明書が記録されたICカード5aa)を読み取る装置を取り付け、ICカード5abに記入されている証明書を読み込む(ステップST202)。
【0042】
次に利用者Bは端末11aからユーザIDおよびパスワードを入力し、統合認証システム8aへログインするが、利用者Bは統合認証システム8aに正規のユーザIDおよびパスワードを持っていないので、ログインするときには事前に配布されたゲスト用アカウントを使用するか、ユーザIDおよびパスワードが入力されない場合は統合認証システム8a側でゲスト用アカウントを標準で使用するように設定しておく。統合認証システム8aはユーザIDおよびパスワードのチェックを行い(ステップST205)、利用者Bが利用できるアプリケーション認可情報をディレクトリサーバ10aから読み出す。この場合では、この時点で利用者BはアプリケーションA、Bへのアクセス権付与の可能性があるが、まだ確定はしない。
【0043】
次に統合認証システム8aは利用者BがエリアA13aに入ったことを証明する証明書が正しいか否かを判別する(ステップST210)。このとき、証明書が正しいものであれば、証明書の有効時間が時間内のものであるか否かを判別する(ステップST211)。ステップST210およびステップST211において証明書が正しくなければ、先のディレクトリサーバ10aから読み出したアプリケーション認可情報から証明書を必要とするすべてのアプリケーション7aを除外する(ステップST212)。この場合では、アプリケーションBへのアクセス権は付与されない。すなわち、利用者AはアプリケーションAのみ利用可能となる。
【0044】
一方、ステップST211において証明書が正しければ、先のディレクトリサーバ10aから読み出した利用者Bが利用できるアプリケーション認可情報の中から、その証明書の範囲で利用可能なアプリケーション7aを選び出す(ステップST213)。例の場合では、アプリケーションA、Bのうち、証明書が必要なアプリケーションBと、証明書が不要なアプリケーションAへのアクセス権が付与され、結果、アプリケーションA、Bのアクセス権が付与されることになる。
【0045】
このとき、ユーザIDおよびパスワードの組み合わせが不正であるが、標準のアプリケーション認可情報がある場合(ステップST209において)、証明書が正しいものであり、かつ、証明書の有効時間が時間内のものであれば、先のディレクトリサーバ10aから読み出した標準のアプリケーション認可情報の中から、その証明書の範囲で利用可能なアプリケーション7aを選び出す(ステップST213)。この場合では、アプリケーションCのみのアクセス権が付与されることになる。
【0046】
このとき、例えば、アプリケーションAはだれでも閲覧可能なデモアプリケーションなどを、アプリケーションBはある特定のお客向けのデモアプリケーションやある一定の時間の範囲のみ利用可能なアプリケーションなどを想定するものである。
【0047】
最後に、図8に示すように、このシステムでは利用者A、BのエリアA13aへの入門時に在場証明システム1aとICカード5aaによって入門した人を管理しているため、利用者がエリアA13a外に出るときには在場証明システム1aにICカード5aaを挿入し、入門管理システムはICカード5aa内の証明書を削除し(ステップST301)、出門記録としてICカード5aaのIDと出門時間をログとして残しておく(ステップST302)。
【0048】
この認証システムは、利用者がエリア内に入ったことを証明する証明書によって、利用者の存在エリアによるアプリケーションへのアクセスを制御することが可能となる。また、証明書を発行の際には位置情報、時間情報を取得するためにGPSを用いるため、例えば入門を管理する場所が頻繁に変わるような状況でも対応することが可能となる。
【0049】
実施の形態2.
実施の形態2について図9および図10を参照して説明する。なお、図9は実施の形態2に係る認証システムのネットワーク構成を示す図であり、図10は認証システムを構成する統合認証システム内において、利用者に対する複数のエリアに対応したアプリケーション認可情報を示す図である。また、上述した図1および図2とその説明を適宜参照する。
【0050】
実施の形態2は、上述した実施の形態1に基づき統合認証システムの利用者のアプリケーション認可情報に、複数のエリアで利用可能なアプリケーションが設定されている場合においても利用が可能な形態である。
【0051】
実施の形態2に係る認証システムの構成は、エリアA13aには在場証明システム1aと、端末11aと、接続機12aと、ICカード5aaとを備え、エリアB13bには在場証明システム1bと、端末11bと、接続機12bと、ICカード5baとを備え、エリアC13cには端末11cと、接続機12cとを備え、別途アプリケーションサーバ6と、統合認証システム8がネットワーク20を介して各エリアに接続されている。基準局サーバ4も同様にネットワーク20に接続されている。これら構成要素の働きは実施の形態1で説明したことと同様であり、その説明は省略する。
【0052】
また、図10に示すような利用者のアプリケーション許可情報が統合認証システム8内のディレクトリサーバに設定されているものとする。これは図3に関して説明したものと同様のものである。
【0053】
上述した構成の認証システムでは、アプリケーションAはユーザ認証が正しく行えれば、場所によらず利用可能である。アプリケーションBはユーザ認証が正しく行われ、かつ、エリアA13a内に入ったことを証明する証明書が提出できれば利用可能である。アプリケーションCはユーザ認証が正しく行えなくてもエリアA13aの証明書、または、エリアB13bの証明書があれば利用可能である。しかし、アプリケーションDではユーザ認証は正しく行えなくても良いが、エリアB13bの証明書のみに対して利用可能となり、エリアA13aの証明書では利用不可能である。
【0054】
この発明ではアプリケーション認可情報において1つのアプリケーションに複数のエリアを設定することができるため、例えば、ある社内の部署どうしで連携して作業を行うために同じアプリケーションを使用するが、他の部署や場所からでは使用できないようにするなど、柔軟な運用が可能となる。
【0055】
実施の形態3.
実施の形態3に係る認証システムの構成は図11に示すように、エリアA13aには在場証明システム1aと、端末11aと、接続機12aと、ICカード5aaとを備え、別途、アプリケーション7を有するアプリケーションサーバ6と、ファイル16を有するファイルサーバ15と、統合認証システム8と、ネットワームプリンタ17がネットワーク20を介して接続されている。なお、エリアはエリアA13aに限ることはない。これら構成要素の働きは実施の形態1で説明したことと同様である。
【0056】
上述した実施の形態1または実施の形態2でネットワークに接続されているアプリケーションへのアクセス制御について説明したが、例えば図11のように、ネットワーク上に存在する個々のファイルやプリンターなどの、統合認証システムで管理できる資源に対してアクセスすることが可能となるものである。
【0057】
アクセス制御の対象を、ネットワークを通した認証システムのアプリケーションサーバのアプリケーションだけでなく、ネットワークに接続されている機器内のファイルやネットワークプリンタ等も含めて運用することが可能となる。
【0058】
【発明の効果】
以上のように、この発明によれば、利用者がエリア内に入ったことを証明する証明書によって、利用者の存在エリアによるアプリケーションへのアクセスを制御することが可能となる。また、証明書を発行の際には位置情報、時間情報を取得するためにGPSを用いることにより、例えば入門を管理する場所が頻繁に変わるような状況でも対応することが可能となる効果がある。
【0059】
この発明によれば、アプリケーションの認可情報において1つのアプリケーションに複数のエリアを設定することができるため、例えば、ある社内の部署間で連携して作業を行うために同じアプリケーションを使用することが可能となるが、他の部署や場所からでは使用できないようにするなど、柔軟な運用が可能となる効果がある。
【0060】
この発明によれば、アクセス制御の対象を、ネットワークを通した認証システムのアプリケーションだけでなく、ネットワークに接続されている機器内のファイルや装置、例えばネットワークプリンタ等をも含めて運用することが可能となる効果がある。
【図面の簡単な説明】
【図1】実施の形態1に係る認証システムの構成を示す図である。
【図2】実施の形態1に係る認証システムのネットワーク構成を示す図である。
【図3】実施の形態1に係る認証システムを構成する統合認証システム内の、利用者に関するアプリケーション認可情報を示す図である。
【図4】実施の形態1に係る認証システムを構成する統合認証システム内の、利用者に関するアプリケーション認可情報を示す図である。
【図5】実施の形態1に係る認証システムを構成する統合認証システム内におけるエリアと証明書内位置情報のマッピングを示す図である。
【図6】実施の形態1に係る認証システムの在場証明システムが証明書を発行する過程を示したフローチャートである。
【図7】実施の形態1に係る認証システムの処理の過程を示したフローチャートである。
【図8】実施の形態1に係る認証システムの在場証明システムが証明書を削除する過程を示したフローチャートである。
【図9】実施の形態2に係る認証システムのネットワーク構成を示す図である。
【図10】実施の形態2に係る認証システムを構成する統合認証システム内において、利用者に対する複数のエリアに対応したアプリケーション認可情報を示す図である。
【図11】実施の形態3に係る認証システムのネットワーク構成を示す図である。
【符号の説明】
1,1a,1b 在場証明システム、2,2a 入門管理装置、3,3a GPS、4 基準局サーバ、5,5aa,5ab,5ba ICカード、6,6aアプリケーションサーバ、7,7a アプリケーション、8,8a 統合認証システム、9,9a 統合認証サーバ、10,10a ディレクトリサーバ、11,11a,11b,11c 端末、12,12a,12b,12c 接続機、13 エリア、13a エリアA、13b エリアB、13c エリアC、15ファイルサーバ、16 ファイル、17 ネットワークプリンタ、20 ネットワーク。
Claims (12)
- 利用者の所在エリアによってアプリケーションのアクセスを制御する認証方法において、
特定エリアへの入門時に、利用者がエリア内に入ったことを証明する証明書を発行し、前記証明書とユーザIDおよびパスワードの検証を行うことで利用者のエリアごとのアクセスを制御すること
を特徴とする認証方法。 - 利用者がエリア内に入ったことを証明する証明書をICカードに記憶し、認証装置間の証明書の交換は前記ICカードを媒体として行うことを特徴とする請求項1記載の認証方法。
- 証明書を生成するために、GPSから取得した位置情報および時間情報を用いることを特徴とする請求項1記載の認証方法。
- 証明書が、認証を制御する部位に提出できたか否かを判別し、当該判別結果に基づき、アプリケーションへのアクセスを制御することを特徴とする請求項1記載の認証方法。
- 利用者の所在エリアによってアプリケーションへのアクセスを制御する認証システムにおいて、
特定エリアへの入門時に、利用者がエリア内に入ったことを証明する証明書を発行する証明書発行手段と、
前記証明書発行手段により発行された証明書とユーザIDおよびパスワードの検証を行う検証手段と、
前記検証手段の検証結果に基づいて、利用者のエリアごとに前記アプリケーションへのアクセスを制御するアクセス制御手段と
を備えたことを特徴とする認証システム。 - 利用者がエリア内に入ったことを証明する証明書を記憶するICカードを備えたことを特徴とする請求項5記載の認証システム。
- 証明書発行手段に、位置情報を取得するGPS装置を備えたことを特徴とする請求項5記載の認証システム。
- 証明書発行手段に、時間情報を取得するGPS装置を備えたことを特徴とする請求項5記載の認証システム。
- 利用者の認証およびアプリケーションの使用認可を制御する統合認証システムを備えたことを特徴とする請求項5から請求項8のうちのいずれか1項記載の認証システム。
- 証明書発行手段による証明書が統合認証システムに提出できたか否かを判別する判別手段を備え、当該判別手段の判別結果に基づき、アプリケーションへのアクセスを制御するアクセス制御手段を備えたことを特徴とする請求項9記載の認証システム。
- アプリケーションの使用を可能とするエリアを設定するエリア設定手段を備えたことを特徴とする請求項5から請求項10のうちのいずれか1項記載の認証システム。
- 認証システムが管理するネットワーク上に存在する装置に対して、アクセスすることを可能とするアクセス手段を備えたことを特徴とする請求項5から請求項11のうちのいずれか1項記載の認証システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003122310A JP2004326580A (ja) | 2003-04-25 | 2003-04-25 | 認証方法および認証システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003122310A JP2004326580A (ja) | 2003-04-25 | 2003-04-25 | 認証方法および認証システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004326580A true JP2004326580A (ja) | 2004-11-18 |
Family
ID=33500582
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003122310A Pending JP2004326580A (ja) | 2003-04-25 | 2003-04-25 | 認証方法および認証システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004326580A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006115002A1 (ja) * | 2005-04-22 | 2006-11-02 | Matsushita Electric Industrial Co., Ltd. | 位置証明システム |
| JP2008217761A (ja) * | 2007-02-28 | 2008-09-18 | Korea Univ Industrial & Academic Collaboration Foundation | 無線識別システムを利用した陳列された品物の情報確認方法、無線識別システムを利用した購買された品物の情報確認方法、その記録媒体及びそのシステム |
| JP2009514100A (ja) * | 2005-10-26 | 2009-04-02 | シスコ テクノロジー インコーポレイテッド | アクセス制御システム及びアクセス管理方法 |
| CN101056179B (zh) * | 2007-06-13 | 2010-06-09 | 中兴通讯股份有限公司 | 控制用户只能在特定区域上网的方法及系统 |
| US8169647B2 (en) | 2007-08-24 | 2012-05-01 | Sharp Kabushiki Kaisha | Authentication technique that can simplify works necessary when the printer position is changed, personnel allocation is changed, or a new printer is installed |
| US8352647B2 (en) | 2009-06-10 | 2013-01-08 | Fuji Xerox Co., Ltd. | Method and system for controlling information accessibility based on user location |
-
2003
- 2003-04-25 JP JP2003122310A patent/JP2004326580A/ja active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006115002A1 (ja) * | 2005-04-22 | 2006-11-02 | Matsushita Electric Industrial Co., Ltd. | 位置証明システム |
| JP2009514100A (ja) * | 2005-10-26 | 2009-04-02 | シスコ テクノロジー インコーポレイテッド | アクセス制御システム及びアクセス管理方法 |
| KR101314445B1 (ko) * | 2005-10-26 | 2013-11-21 | 시스코 테크놀러지, 인크. | 통합된 네트워크 및 물리적 구내 접근 제어 서버 |
| JP2008217761A (ja) * | 2007-02-28 | 2008-09-18 | Korea Univ Industrial & Academic Collaboration Foundation | 無線識別システムを利用した陳列された品物の情報確認方法、無線識別システムを利用した購買された品物の情報確認方法、その記録媒体及びそのシステム |
| CN101056179B (zh) * | 2007-06-13 | 2010-06-09 | 中兴通讯股份有限公司 | 控制用户只能在特定区域上网的方法及系统 |
| US8169647B2 (en) | 2007-08-24 | 2012-05-01 | Sharp Kabushiki Kaisha | Authentication technique that can simplify works necessary when the printer position is changed, personnel allocation is changed, or a new printer is installed |
| US8352647B2 (en) | 2009-06-10 | 2013-01-08 | Fuji Xerox Co., Ltd. | Method and system for controlling information accessibility based on user location |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101877333B1 (ko) | 블록체인 기반의 모바일 아이디를 이용하여 사용자를 비대면 인증하는 방법, 단말 및 이를 이용한 서버 | |
| US7694330B2 (en) | Personal authentication device and system and method thereof | |
| KR100464755B1 (ko) | 이메일 주소와 하드웨어 정보를 이용한 사용자 인증방법 | |
| US8752203B2 (en) | System for managing computer data security through portable data access security tokens | |
| US6988196B2 (en) | Computer system and method for generating a digital certificate | |
| KR101829730B1 (ko) | 블록체인 데이터베이스를 통해 모바일 아이디를 이용하여 사용자를 인증하는 방법, 단말 및 이를 이용한 서버 | |
| US20170366525A1 (en) | Apparatus and method for controlling profile data delivery | |
| KR101033337B1 (ko) | 단말기 사용자의 본인확인을 강화한 보안 인증방법 | |
| US20050021954A1 (en) | Personal authentication device and system and method thereof | |
| KR101858653B1 (ko) | 블록체인 데이터베이스 및 이와 연동하는 머클 트리 구조를 통해 모바일 아이디를 이용하여 사용자를 인증하는 방법, 단말 및 이를 이용한 서버 | |
| US20040172369A1 (en) | Method and arrangement in a database | |
| JP2022144003A (ja) | 情報処理装置及び情報処理プログラム | |
| CN110602023A (zh) | 个人信息安全管控方法、装置和计算机可读存储介质 | |
| KR101066693B1 (ko) | 전자 인증서의 보안 및 확인 방법 | |
| JP2005149341A (ja) | 認証方法および装置、サービス提供方法および装置、情報入力装置、管理装置、認証保証装置、並びにプログラム | |
| JP2004326580A (ja) | 認証方法および認証システム | |
| JP3993132B2 (ja) | オンライン認証装置、オンライン認証システム、及びオンライン認証方法 | |
| JP2009152825A (ja) | ロケーションスタンプシステム | |
| JP7521540B2 (ja) | アクセス制御装置、制御方法、及びプログラム | |
| JP2008217300A (ja) | 生体情報付きファイル暗号化システム及び復号化システム、並びにその方法 | |
| JP2004140715A (ja) | 電子文書管理方法及びシステム | |
| JP4181572B2 (ja) | 身分証明システム及び身分証明方法及び身分証明装置及び身分証明プログラム | |
| KR20160025534A (ko) | 공인 인증서를 발급 및 이용하는 방법 | |
| WO2007108114A1 (ja) | ドメイン参加方法、属性証明書選択方法、通信端末、icカード、ce機器、属性証明書発行局およびコンテンツサーバ | |
| KR100646091B1 (ko) | 이동통신 기반의 민원서류 발급 방법 및 시스템과 이를위한 이동단말기 |