JP2005309890A - Authentication system - Google Patents

Authentication system Download PDF

Info

Publication number
JP2005309890A
JP2005309890A JP2004127598A JP2004127598A JP2005309890A JP 2005309890 A JP2005309890 A JP 2005309890A JP 2004127598 A JP2004127598 A JP 2004127598A JP 2004127598 A JP2004127598 A JP 2004127598A JP 2005309890 A JP2005309890 A JP 2005309890A
Authority
JP
Japan
Prior art keywords
information
client terminal
terminal
service providing
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004127598A
Other languages
Japanese (ja)
Inventor
Hideaki Munakata
英明 宗像
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd filed Critical Fuji Xerox Co Ltd
Priority to JP2004127598A priority Critical patent/JP2005309890A/en
Publication of JP2005309890A publication Critical patent/JP2005309890A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a simple system for operating user authentication by using the location information of a portable terminal. <P>SOLUTION: When a user performs access to a security document server 10 by using a client PC20, the client PC 20 acquires the location information from a portable terminal 30, and transfers the acquired location information to the security document server 10. The security document server 10 is preliminarily registered with an area(service use range) in which access to the security document should be permitted. Then, the security document server 10 confirms whether or not the location information of the portable terminal 30 transferred from the client PC 20 is within a preliminarily registered service use range, and when it is within the service use range, the client PC 20 is authorized to perform access to the security document. On the other hand, when the location information of the portable terminal 30 is beyond the service use, the client PC 20 is inhibited from performing access to the security document. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、認証システムに関し、特に位置情報を利用した認証システムに関する。   The present invention relates to an authentication system, and more particularly to an authentication system using position information.

企業内で機密文書を厳重に守りつつ、限られたユーザの間で情報共有することを目的としたシステムが知られている。こうしたシステムでは、ユーザ認証に基づいて、電子文書などのデジタルコンテンツの閲覧権限や使用権限(印刷、コピーなど)を制御するため、ユーザ認証を適切に行うことが必要となる。   There is known a system for sharing information among limited users while strictly protecting confidential documents in a company. In such a system, it is necessary to appropriately perform user authentication in order to control browsing authority and usage authority (printing, copying, etc.) of digital content such as an electronic document based on user authentication.

セキュリティの高いユーザ認証方法として、例えば特許文献1に記載のシステムが挙げられる。このシステムは、携帯電話の現在位置情報をサービスする基地局から提供されたユーザの現在位置情報と、オンライン情報サービスの要求を行うクライアントマシンの位置情報との比較により、両者の位置が一致すれば確かに本人であると判別してサービス提供サーバがユーザ認証を行うシステムである。そして、位置情報の検出には、全地球測位システム(グローバルポジショニングシステム:GPS)が利用される。つまり、携帯電話がGPS衛星から取得したデータを基地局にそのまま送信し、そのデータに基づいて基地局が携帯電話の位置確定を行う。ちなみに、GPSからの電波が届かない屋内では、基地局からの電波を利用して測位を行う。基地局からの電波を利用した場合でも、位置情報の精度は通常のGPSと同等の5m〜10mレベルとなる。   As a highly secure user authentication method, for example, a system described in Patent Document 1 can be cited. This system compares the current location information of the user provided from the base station serving the current location information of the mobile phone with the location information of the client machine that requests the online information service. It is a system in which the service providing server authenticates the user by identifying the person himself / herself. A global positioning system (global positioning system: GPS) is used for detecting position information. That is, the data acquired from the GPS satellite by the mobile phone is transmitted to the base station as it is, and the base station determines the location of the mobile phone based on the data. Incidentally, positioning is performed using radio waves from a base station indoors where radio waves from GPS do not reach. Even when radio waves from a base station are used, the accuracy of position information is on the order of 5 to 10 m, which is equivalent to that of normal GPS.

特開2002−101091JP 2002-101091 A

しかしながら、特許文献1に記載のユーザ認証方法では、ユーザが携帯電話を携帯していることを前提としており、携帯電話をどこかに置き忘れた、または意図的に別の場所へ置いた場合、位置の検出が本人の位置と異なってしまう。単に認証に失敗するだけであれば情報漏洩などの問題は起きないものの、悪用される危険性は否定できない。なお、特許文献1のシステムの発展型として、クライアントマシンにも、携帯電話のように動的に位置情報を検出できる機能を設ければ任意の位置からの認証は可能となる。しかし、位置情報を管理する管理センターで位置情報を検出して、検出した位置情報をサービス提供サーバへ提供する場合、サービス提供サーバを含むアプリケーションシステムと、位置検出システムが密に接続される必要がありシステムを複雑にする。また、あらゆるクライアントマシンに位置検出機能を搭載するのも冗長である。   However, in the user authentication method described in Patent Document 1, it is assumed that the user is carrying a mobile phone, and if the mobile phone is left somewhere or intentionally placed in another location, Detection is different from the person's position. If authentication simply fails, problems such as information leakage will not occur, but the risk of misuse cannot be denied. As an advanced version of the system of Patent Document 1, if a client machine is provided with a function capable of dynamically detecting position information like a mobile phone, authentication from an arbitrary position is possible. However, when the position information is detected by the management center that manages the position information and the detected position information is provided to the service providing server, the application system including the service providing server and the position detecting system need to be closely connected. Yes, complicating the system. It is also redundant to install a position detection function on every client machine.

本発明は、上記問題点に鑑みてなされたものであり、その目的は、携帯端末の位置情報を利用してユーザ認証を行う簡易なシステムを提供することにある。   The present invention has been made in view of the above problems, and an object of the present invention is to provide a simple system that performs user authentication using position information of a mobile terminal.

上記目的を達成するために、本発明の好適な態様である認証システムは、自身の位置情報を提供する携帯端末と、前記携帯端末が接続されるクライアント端末と、前記クライアント端末に機密文書サービスを提供するサービス提供装置と、を有し、前記クライアント端末は、前記携帯端末から取得した位置情報を前記サービス提供装置へ転送し、前記サービス提供装置は、前記転送された位置情報から前記クライアント端末の位置を確認して、そのクライアント端末を利用するユーザの認証を行うことを特徴とする。望ましくは、前記携帯端末は、全地球測位システム(グローバルポジショニングシステム:GPS)を利用して前記位置情報を取得することを特徴とする。   In order to achieve the above object, an authentication system according to a preferred aspect of the present invention includes a mobile terminal that provides its own location information, a client terminal to which the mobile terminal is connected, and a confidential document service provided to the client terminal. The client terminal transfers the location information acquired from the portable terminal to the service providing device, and the service providing device uses the location information transferred to the client terminal. It is characterized by confirming the position and authenticating a user who uses the client terminal. Preferably, the portable terminal acquires the position information using a global positioning system (global positioning system: GPS).

また、上記目的を達成するために、本発明の好適な態様であるクライアント端末は、自身の位置情報を提供する携帯端末に接続され、サービス提供装置から機密文書サービスの提供を受けるクライアント端末において、前記携帯端末から前記位置情報および位置を測位した時刻を含む時刻情報を取得することを特徴とする。望ましくは、前記携帯端末から、その携帯端末に対応するクライアント端末のユーザの個人情報を取得し、前記携帯端末から取得した前記位置情報、前記時刻情報および前記個人情報を前記サービス提供装置へ転送することを特徴とする。望ましくは、専用の近距離回線で前記携帯端末に接続されることを特徴とする。   In order to achieve the above object, a client terminal according to a preferred aspect of the present invention is connected to a mobile terminal that provides its own location information, and receives a confidential document service from a service providing apparatus. Time information including the position information and the time when the position is measured is acquired from the portable terminal. Preferably, the personal information of the user of the client terminal corresponding to the mobile terminal is acquired from the mobile terminal, and the position information, the time information, and the personal information acquired from the mobile terminal are transferred to the service providing apparatus. It is characterized by that. Preferably, the mobile terminal is connected by a dedicated short-distance line.

また、上記目的を達成するために、本発明の好適な態様であるサービス提供装置は、自身の位置情報を提供する携帯端末に接続されたクライアント端末へ機密文書サービスを提供するサービス提供装置において、前記位置情報を前記クライアント端末へ送信する際の前記携帯端末に対するユーザの直接操作、および、前記位置情報を前記サービス提供装置へ転送する際の前記クライアント端末に対するユーザの直接操作が所定期間内に実行されたか否かに基づいて、前記クライアント端末の位置を確認してそのクライアント端末を利用するユーザの認証を行うことを特徴とする。望ましくは、前記直接操作は、バイオメトリックスを利用した本人確認で行われることを特徴とする。望ましくは、前記位置情報には、前記携帯端末によって、その携帯端末に接続されたクライアント端末の端末識別子が添付され、サービス提供装置にログインしようとするクライアント端末の端末識別子と、前記位置情報に添付された端末識別子とを比較して、一致している場合のみ、そのクライアント端末によるアクセスを許可することを特徴とする。望ましくは、標準時間情報を管理し、前記位置情報に添付された有効期限情報に基づいて、その位置情報が有効期限内の情報か否かを判断し、クライアント端末によるアクセスを制限することを特徴とする。   In order to achieve the above object, a service providing apparatus according to a preferred aspect of the present invention provides a confidential document service to a client terminal connected to a mobile terminal that provides its own location information. The user's direct operation on the portable terminal when transmitting the location information to the client terminal and the user's direct operation on the client terminal when transferring the location information to the service providing apparatus are executed within a predetermined period. On the basis of whether or not it has been done, the location of the client terminal is confirmed, and the user who uses the client terminal is authenticated. Preferably, the direct operation is performed by identity verification using biometrics. Preferably, a terminal identifier of a client terminal connected to the portable terminal is attached to the position information by the portable terminal, and a terminal identifier of a client terminal that is to log in to a service providing apparatus and the position information are attached to the position information. It is characterized in that the access by the client terminal is permitted only when the terminal identifiers are compared and matched. Preferably, standard time information is managed, and based on the expiration date information attached to the location information, it is determined whether the location information is within the expiration date, and access by the client terminal is restricted. And

また、上記目的を達成するために、本発明の好適な態様である認証情報取得方法は、自身の位置情報を提供する携帯端末に接続され、サービス提供装置から機密文書サービスの提供を受けるクライアント端末が実行する認証情報取得方法において、認証情報として、前記携帯端末から前記位置情報および位置を測位した時刻を含む時刻情報を取得することを特徴とする。この認証情報取得方法は、例えば、この方法に即したプログラムでコンピュータを動作させることによって実現される。   In order to achieve the above object, an authentication information acquisition method according to a preferred aspect of the present invention is connected to a mobile terminal that provides its own location information and receives a confidential document service from a service providing apparatus. In the authentication information acquisition method executed by, time information including the position information and the time when the position is measured is acquired as the authentication information from the portable terminal. This authentication information acquisition method is realized, for example, by operating a computer with a program adapted to this method.

また、上記目的を達成するために、本発明の好適な態様である認証方法は、自身の位置情報を提供する携帯端末に接続されたクライアント端末へ機密文書サービスを提供するサービス提供装置が実行する認証方法において、前記携帯端末が提供する位置情報および位置を測位した時刻を含む時刻情報から、その携帯端末に接続されたクライアント端末を利用するユーザの認証を行うことを特徴とする。この認証方法は、例えば、この方法に即したプログラムでコンピュータを動作させることによって実現される。   In order to achieve the above object, an authentication method according to a preferred aspect of the present invention is executed by a service providing apparatus that provides a confidential document service to a client terminal connected to a mobile terminal that provides its own location information. In the authentication method, authentication of a user who uses a client terminal connected to the mobile terminal is performed from position information provided by the mobile terminal and time information including a time when the position is measured. This authentication method is realized, for example, by operating a computer with a program adapted to this method.

本発明により、携帯端末の位置情報を利用してユーザ認証を行う簡易なシステムが提供される。   According to the present invention, a simple system for performing user authentication using position information of a mobile terminal is provided.

以下、本発明の好適な実施形態を図面に基づいて説明する。   DESCRIPTION OF EXEMPLARY EMBODIMENTS Hereinafter, preferred embodiments of the invention will be described with reference to the drawings.

図1には、本発明に係る認証システムの好適な実施形態が示されており、図1はその全体構成図である。   FIG. 1 shows a preferred embodiment of an authentication system according to the present invention, and FIG. 1 is an overall configuration diagram thereof.

本システムは、ユーザがクライアントPC20を利用してインターネット50を介して機密文書サーバ10にアクセスし、機密文書サーバ10内の機密文書(電子文書などのデジタルコンテンツ)を利用するものである。   In this system, a user accesses a confidential document server 10 via the Internet 50 using a client PC 20 and uses a confidential document (digital content such as an electronic document) in the confidential document server 10.

機密文書とは、例えば企業内の限られたユーザの間での共有される文書である。このため、機密文書サーバ10はユーザ認証を行って機密文書の閲覧権限や使用権限(印刷、コピーなどの権限)を制御する。このユーザ認証のために携帯端末30が利用される。   A confidential document is a document shared among limited users in a company, for example. For this reason, the confidential document server 10 performs user authentication and controls the authority to browse and use the confidential document (authority for printing, copying, etc.). The portable terminal 30 is used for this user authentication.

携帯端末30は、全地球測位システム(グローバルポジショニングシステム:GPS)を利用して得られる自身の位置(位置情報)をクライアントPC20へ提供する。つまり、携帯端末30は、GPS衛星42から取得したデータを基地局44に送信し、基地局44あるいは基地局44からそのデータを取得した位置情報サーバ40が、そのデータに基づいて携帯端末30の位置を確定する。そして、確定された位置(位置情報)が携帯端末30に提供され、それがクライアントPC20へ送信される。   The portable terminal 30 provides the client PC 20 with its own position (position information) obtained by using the global positioning system (global positioning system: GPS). That is, the mobile terminal 30 transmits data acquired from the GPS satellite 42 to the base station 44, and the location information server 40 that acquired the data from the base station 44 or the base station 44 uses the data of the mobile terminal 30 based on the data. Confirm the position. Then, the determined position (position information) is provided to the mobile terminal 30 and transmitted to the client PC 20.

ちなみに、GPS衛星42からの電波が届かない屋内に携帯端末30が存在する場合、基地局44からの電波を利用して測位を行う。基地局44の電波を利用した場合でも、位置情報の精度は通常のGPS衛星42を利用した場合と同等の5m〜10mレベルとなる。また、GPS衛星42から取得したデータに基づいて携帯端末30自身が位置を確定して位置情報を生成してもよい。この場合、基地局44および位置情報サーバ40が不要になる。以下、図1の認証システムの動作を説明する。   Incidentally, when the mobile terminal 30 exists indoors where radio waves from the GPS satellites 42 do not reach, positioning is performed using radio waves from the base station 44. Even when the radio waves of the base station 44 are used, the accuracy of the position information is on the level of 5 m to 10 m, which is equivalent to the case where the normal GPS satellite 42 is used. Further, the mobile terminal 30 itself may determine the position based on the data acquired from the GPS satellite 42 and generate position information. In this case, the base station 44 and the location information server 40 become unnecessary. Hereinafter, the operation of the authentication system of FIG. 1 will be described.

ユーザがクライアントPC20を利用して機密文書サーバ10へアクセスする際、クライアントPC20は、携帯端末30からその位置情報を取得し、取得した位置情報を機密文書サーバ10へ転送する。機密文書サーバ10には、予め機密文書へのアクセスを許可すべきエリア(サービス利用範囲)が登録されている。例えば、ある企業のオフィス内にサービス利用範囲が設定される。そして、機密文書サーバ10は、クライアントPC20から転送された携帯端末30の位置情報が予め登録されたサービス利用範囲内であるか否かを確認し、サービス利用範囲内であればクライアントPC20による機密文書へのアクセスを許可する。一方、サービス利用範囲外であればクライアントPC20による機密文書へのアクセスを禁止する。このように、サービスの利用許可の判定に位置情報が利用される。   When the user accesses the confidential document server 10 using the client PC 20, the client PC 20 acquires the position information from the mobile terminal 30 and transfers the acquired position information to the confidential document server 10. In the confidential document server 10, an area (service usage range) where access to the confidential document should be permitted is registered in advance. For example, a service usage range is set in an office of a certain company. Then, the confidential document server 10 checks whether or not the location information of the mobile terminal 30 transferred from the client PC 20 is within the service usage range registered in advance. Allow access to On the other hand, if it is outside the service usage range, access to the confidential document by the client PC 20 is prohibited. As described above, the position information is used to determine the service use permission.

サービスの利用許可の判定の際、位置情報に加えて時刻情報を利用してもよい。この場合、携帯端末30は、NTP(Network Time Protocol)や電波時計機能などを利用して正確な標準時刻情報を管理し、位置情報をクライアントPC20へ送信する際、その位置情報を取得した時刻に関する時刻情報をクライアントPC20へ送信する。そして、位置情報と時刻情報が機密文書サーバ10へ転送され、機密文書サーバ10は、予め登録されたサービス利用範囲内、利用期間内であるか否かを確認し、サービス利用範囲内であり、且つ、利用期間内であればクライアントPC20による機密文書へのアクセスを許可する。利用期間としては、例えば、企業の就業時間などが設定される。   Time information may be used in addition to location information when determining the service use permission. In this case, when the mobile terminal 30 manages accurate standard time information using an NTP (Network Time Protocol), a radio clock function, or the like, and transmits the position information to the client PC 20, the portable terminal 30 relates to the time at which the position information was acquired. The time information is transmitted to the client PC 20. Then, the position information and the time information are transferred to the confidential document server 10, and the confidential document server 10 confirms whether or not the service usage range and the usage period are registered in advance, and is within the service usage range, If it is within the usage period, the client PC 20 permits access to the confidential document. As the usage period, for example, the working hours of a company are set.

携帯端末30には、クライアントPC20を利用するユーザの個人情報(個人IDを含む)が登録されてもよい。そして、携帯端末30は、位置情報および時刻情報をクライアントPC20へ送信する際、その個人情報をクライアントPC20へ送信する。以下の説明において、位置情報、時刻情報および個人情報をチケット情報と称する。チケット情報の送信の際には、偽造防止用のダイジェスト情報が付加されることが望ましい。個人IDとしては公開鍵基板に基づく秘密鍵や公開鍵を持つデジタル証明書が好適であり、ダイジェスト情報としてはデジタル証明書によるデジタル署名が好適である。機密文書サーバ10は、クライアントPC20から転送された個人情報からユーザを特定し、サービス利用許可の判定に利用することができる。例えば、予め登録許可されていないユーザにはサービス利用を禁止する。   Personal information (including a personal ID) of a user who uses the client PC 20 may be registered in the mobile terminal 30. And the portable terminal 30 transmits the personal information to the client PC 20 when transmitting the position information and the time information to the client PC 20. In the following description, position information, time information, and personal information are referred to as ticket information. When transmitting ticket information, it is desirable to add digest information for preventing forgery. A digital certificate having a private key or a public key based on a public key board is suitable as the personal ID, and a digital signature using a digital certificate is suitable as the digest information. The confidential document server 10 can identify the user from the personal information transferred from the client PC 20 and can use it for determining the service use permission. For example, service use is prohibited for users who are not permitted to register in advance.

本システムでは、携帯端末30の位置情報からクライアントPC20の位置を確認するため、携帯端末30とクライアントPC20が、なるべく近距離(例えば、数メートル以内)で接続されることが望ましい。このため、携帯端末30とクライアントPC20がコネクタで直接接続されるか、距離の短い専用ケーブルで接続されるか、近距離無線通信で接続されて、携帯端末30からクライアントPC20へチケット情報が送信される。コネクタとしては、例えばUSBが挙げられる。また、専用ケーブルは、例えば数十センチメートルの長さとする。近距離無線通信としては、赤外線通信(IrDA規格などを利用)や、非接触ICカード、無線タグなどの応用が考えられる。   In this system, in order to confirm the position of the client PC 20 from the position information of the mobile terminal 30, it is desirable that the mobile terminal 30 and the client PC 20 are connected as close as possible (for example, within a few meters). Therefore, the portable terminal 30 and the client PC 20 are directly connected by a connector, connected by a dedicated cable with a short distance, or connected by short-range wireless communication, and ticket information is transmitted from the portable terminal 30 to the client PC 20. The An example of the connector is USB. The dedicated cable has a length of several tens of centimeters, for example. As short-range wireless communication, applications such as infrared communication (using IrDA standards), non-contact IC cards, wireless tags, and the like are conceivable.

携帯端末30とクライアントPC20が近距離で接続されていることを保証するために、携帯端末30からクライアントPC20へのチケット情報の送信を、ユーザが携帯端末30のユーザインターフェースを直接操作した場合に限定してもよい。また、クライアントPC20から機密文書サーバ10へのアクセス開始(ログイン)を、ユーザがクライアントPC20のユーザインターフェースを直接操作した場合に限定してもよい。さらに、ユーザによる携帯端末30の直接操作とクライアントPC20の直接操作の二つの直接操作が、ほぼ同時とみなせる所定期間内に行われた場合に、機密文書サーバ10がサービスの利用許可を行うようにしてもよい。二つの直接操作がほぼ同時に行われることで、携帯端末30とクライアントPC20が近距離で接続されていることが確認できる。   In order to ensure that the mobile terminal 30 and the client PC 20 are connected at a short distance, the ticket information is transmitted from the mobile terminal 30 to the client PC 20 only when the user directly operates the user interface of the mobile terminal 30. May be. Further, the access start (login) from the client PC 20 to the confidential document server 10 may be limited to a case where the user directly operates the user interface of the client PC 20. Further, when the two direct operations of the mobile terminal 30 and the direct operation of the client PC 20 by the user are performed within a predetermined period that can be regarded as almost simultaneous, the confidential document server 10 permits the use of the service. May be. By performing two direct operations almost simultaneously, it can be confirmed that the mobile terminal 30 and the client PC 20 are connected at a short distance.

携帯端末30やクライアントPC20におけるユーザの直接操作の確認には、バイオメトリックスを活用した本人認証が好ましい。バイオメトリックスとは、個人に特有の身体情報を認証に利用するもので、例えば、指紋、掌紋、声紋、網膜パターンといった身体的な特徴や、筆跡やキータイプの際の癖といった情報を利用して認証を行なう。携帯端末30やクライアントPC20は、例えば、予め登録されたユーザの指紋情報と、ユーザインターフェース(例えばボタン)を操作した操作者の指紋とを比較検証して、登録されたユーザによる直接操作であることを確認する。   For confirmation of the user's direct operation on the portable terminal 30 or the client PC 20, personal authentication utilizing biometrics is preferable. Biometrics uses personal information that is unique to an individual for authentication. For example, it uses physical features such as fingerprints, palm prints, voice prints, and retina patterns, and information such as wrinkles in handwriting and key types. Authenticate. The mobile terminal 30 and the client PC 20 are, for example, a direct operation by a registered user by comparing and verifying the fingerprint information of a user registered in advance and the fingerprint of an operator who has operated a user interface (for example, a button). Confirm.

また、クライアントPC20が携帯端末30からチケット情報を取得する前に、クライアントPC20固有の端末ID情報を携帯端末30に入力して、チケット情報にその端末ID情報を付加するようにしてもよい。そして、機密文書サーバ10は、サービスにログインしようとするクライアントPC20の端末ID情報と、チケット情報内の端末ID情報とを比較して、一致している場合のみ、機密文書へのアクセスを許可する。このようにして、携帯端末30からチケット情報を受け取ったクライアントPC20を特定し、正規の方式で携帯端末30からチケット情報を受け取ったクライアントPC20以外の機器からのログインを防止することができる。仮に、正規のクライアントPC20からチケット情報が他の機器に違法に転送され、位置を偽造しようとしてもログインは失敗する。   Further, before the client PC 20 acquires the ticket information from the mobile terminal 30, the terminal ID information unique to the client PC 20 may be input to the mobile terminal 30 and the terminal ID information may be added to the ticket information. Then, the confidential document server 10 compares the terminal ID information of the client PC 20 attempting to log in to the service and the terminal ID information in the ticket information, and permits access to the confidential document only if they match. . In this way, it is possible to identify the client PC 20 that has received the ticket information from the portable terminal 30 and prevent login from a device other than the client PC 20 that has received the ticket information from the portable terminal 30 in a regular manner. If the ticket information is illegally transferred from the legitimate client PC 20 to another device, the login fails even if the location is forged.

以上説明したように、本実施形態では、クライアントPC20がログインの際にチケット情報を機密文書サーバ10へ転送し、機密文書サーバ10はチケット情報によりユーザ、時間、位置を検出して、サービスの利用を制限する。機密文書サーバ10は、デジタル署名を検証することで、ユーザを特定し、また、時間、位置、端末IDが確かなものと保証できる。そして、ユーザ毎に閲覧可能な場所(地域)を複数設定し、設定された場所からのログインであれば機密文書の閲覧を許可し、設定されていない場所であれば機密文書は閲覧できないようにすることなどが可能になる。また、機密文書サーバ10は、クライアントPC20からチケット情報を受け取り、ユーザの正確な位置情報を知ることができるので、位置によるサービスの利用許可を判定することができる。例えば、ユーザによって、機密文書を閲覧できる場所を制限できる。つまり、自宅と指定したオフィス、事業所でのみ閲覧できる機密文書などを定義できる。仮に機密文書の閲覧許可を持つ人が、指定された地域以外の場所、例えば電車や喫茶店の中などで機密文書を閲覧しようとしても閲覧できない。   As described above, in this embodiment, when the client PC 20 logs in, the ticket information is transferred to the confidential document server 10, and the confidential document server 10 detects the user, time, and position from the ticket information, and uses the service. Limit. By verifying the digital signature, the confidential document server 10 can identify the user and guarantee that the time, location, and terminal ID are certain. A plurality of places (regions) that can be browsed for each user are set, and if a login is made from the set place, browsing of the confidential document is permitted, and if the place is not set, the confidential document cannot be browsed. It becomes possible to do. Further, since the confidential document server 10 can receive ticket information from the client PC 20 and know the accurate location information of the user, it can determine permission to use the service by location. For example, the user can restrict the places where confidential documents can be viewed. In other words, it is possible to define a confidential document that can be viewed only at the office or office designated as home. Even if a person who has permission to view confidential documents tries to view the confidential documents in a place other than the designated area, for example, in a train or a coffee shop, they cannot browse.

また、機密文書サーバ10も正確な標準時間情報を管理し、チケット情報に有効期限が設定され、機密文書サーバ10へ到達したチケット情報に記載された位置情報の取得時間などが期限切れとなっていた場合、処理は無効となるか、再度新しいチケット情報を転送するようにクライアントPC20へ要求するようにしてもよい。例えば、有効期限を60秒と設定し、クライアントPC20と機密文書サーバ10とのセッションが60秒以上続いていれば、機密文書サーバ10は、クライアントPC20にチケット情報を再提出させる。ログイン時にチケット情報の有効期限が切れていたら、ログインは失敗する。このように、チケット情報の有効期限を確認して期限切れのチケット情報を取り扱わないことで、ユーザの現在位置をさらに正確に保証することができる。仮にチケット情報がキャッシュされ、再利用されたとしても、有効期限を適正に設定してあれば、偽造アクセスを防ぐことができる。   Further, the confidential document server 10 also manages accurate standard time information, the expiration date is set in the ticket information, and the acquisition time of the position information described in the ticket information reaching the confidential document server 10 has expired. In this case, the processing may be invalidated or the client PC 20 may be requested to transfer new ticket information again. For example, if the expiration date is set to 60 seconds and the session between the client PC 20 and the confidential document server 10 continues for 60 seconds or more, the confidential document server 10 causes the client PC 20 to resubmit ticket information. If the ticket information expires at login, login fails. In this way, by checking the expiration date of the ticket information and not handling the expired ticket information, the current position of the user can be more accurately guaranteed. Even if the ticket information is cached and reused, forged access can be prevented if the expiration date is set appropriately.

サービスを提供する機密文書サーバ10は、位置情報サーバ40やGPS衛星42や基地局44を含む位置情報管理システムとは基本的に独立しており、位置情報管理システムから直接データを受け取るなど、位置検出に関する機能と密に接続する必要がないため、認証システムが複雑にならず、コストも膨らまない。例えば、位置情報管理システムは既存のインフラストラクチャを利用可能で、用途により容易に位置情報管理システムを使い分けることなどもできる。   The confidential document server 10 providing the service is basically independent of the position information management system including the position information server 40, the GPS satellite 42, and the base station 44, and receives the data directly from the position information management system. Since it is not necessary to have a close connection with the detection function, the authentication system is not complicated and the cost is not increased. For example, the location information management system can use an existing infrastructure, and the location information management system can be easily used depending on the application.

以上、本発明の好適な実施形態を説明したが、上述した実施形態は、あらゆる点で単なる例示にすぎず、本発明の範囲を限定するものではない。   As mentioned above, although preferred embodiment of this invention was described, embodiment mentioned above is only a mere illustration in all the points, and does not limit the scope of the present invention.

本発明に係る認証システムの全体構成図である。1 is an overall configuration diagram of an authentication system according to the present invention.

符号の説明Explanation of symbols

10 機密文書サーバ、20 クライアントPC、30 携帯端末。   10 confidential document server, 20 client PC, 30 portable terminal.

Claims (11)

自身の位置情報を提供する携帯端末と、
前記携帯端末が接続されるクライアント端末と、
前記クライアント端末に機密文書サービスを提供するサービス提供装置と、
を有し、
前記クライアント端末は、前記携帯端末から取得した位置情報を前記サービス提供装置へ転送し、
前記サービス提供装置は、前記転送された位置情報から前記クライアント端末の位置を確認して、そのクライアント端末を利用するユーザの認証を行う、
ことを特徴とする認証システム。 A mobile device that provides its location,
A client terminal to which the portable terminal is connected;
A service providing apparatus for providing a confidential document service to the client terminal;
Have
The client terminal transfers the location information acquired from the mobile terminal to the service providing device,
The service providing apparatus confirms the position of the client terminal from the transferred position information and authenticates a user who uses the client terminal.
An authentication system characterized by that. 請求項1に記載の認証システムにおいて、
前記携帯端末は、全地球測位システム(グローバルポジショニングシステム:GPS)を利用して前記位置情報を取得する、
ことを特徴とする認証システム。 The authentication system according to claim 1,
The portable terminal acquires the position information using a global positioning system (global positioning system: GPS).
An authentication system characterized by that. 自身の位置情報を提供する携帯端末に接続され、サービス提供装置から機密文書サービスの提供を受けるクライアント端末において、
前記携帯端末から前記位置情報および位置を測位した時刻を含む時刻情報を取得する、
ことを特徴とするクライアント端末。 In a client terminal connected to a portable terminal that provides its own location information and receiving a confidential document service from a service providing device,
Obtaining time information including the position information and the time when the position is measured from the portable terminal;
A client terminal characterized by that. 請求項3に記載のクライアント端末において、
前記携帯端末から、その携帯端末に対応するクライアント端末のユーザの個人情報を取得し、前記携帯端末から取得した前記位置情報、前記時刻情報および前記個人情報を前記サービス提供装置へ転送する、
ことを特徴とするクライアント端末。 The client terminal according to claim 3, wherein
Acquiring personal information of a user of a client terminal corresponding to the mobile terminal from the mobile terminal, and transferring the location information, the time information, and the personal information acquired from the mobile terminal to the service providing device;
A client terminal characterized by that. 請求項4に記載のクライアント端末において、
専用の近距離回線で前記携帯端末に接続される、
ことを特徴とするクライアント端末。 The client terminal according to claim 4,
Connected to the mobile terminal by a dedicated short-distance line,
A client terminal characterized by that. 自身の位置情報を提供する携帯端末に接続されたクライアント端末へ機密文書サービスを提供するサービス提供装置において、
前記位置情報を前記クライアント端末へ送信する際の前記携帯端末に対するユーザの直接操作、および、前記位置情報を前記サービス提供装置へ転送する際の前記クライアント端末に対するユーザの直接操作が所定期間内に実行されたか否かに基づいて、前記クライアント端末の位置を確認してそのクライアント端末を利用するユーザの認証を行う、
ことを特徴とするサービス提供装置。 In a service providing apparatus that provides a confidential document service to a client terminal connected to a mobile terminal that provides its own location information,
The user's direct operation on the portable terminal when transmitting the location information to the client terminal and the user's direct operation on the client terminal when transferring the location information to the service providing apparatus are executed within a predetermined period. Based on whether or not the client terminal is confirmed by checking the position of the client terminal,
A service providing apparatus characterized by that. 請求項6に記載のサービス提供装置において、
前記直接操作は、バイオメトリックスを利用した本人確認で行われる、
ことを特徴とするサービス提供装置。 The service providing apparatus according to claim 6,
The direct operation is performed by identity verification using biometrics.
A service providing apparatus characterized by that. 請求項6に記載のサービス提供装置において、
前記位置情報には、前記携帯端末によって、その携帯端末に接続されたクライアント端末の端末識別子が添付され、
サービス提供装置にログインしようとするクライアント端末の端末識別子と、前記位置情報に添付された端末識別子とを比較して、一致している場合のみ、そのクライアント端末によるアクセスを許可する、
ことを特徴とするサービス提供装置。 The service providing apparatus according to claim 6,
The location information is attached by the mobile terminal with a terminal identifier of a client terminal connected to the mobile terminal,
Compare the terminal identifier of the client terminal to log in to the service providing device and the terminal identifier attached to the location information, and permit access by the client terminal only if they match.
A service providing apparatus characterized by that. 請求項6に記載のサービス提供装置において、
標準時間情報を管理し、前記位置情報に添付された有効期限情報に基づいて、その位置情報が有効期限内の情報か否かを判断し、クライアント端末によるアクセスを制限する、
ことを特徴とするサービス提供装置。 The service providing apparatus according to claim 6,
Managing standard time information, based on the expiration date information attached to the location information, determining whether the location information is within the expiration date, and restricting access by the client terminal;
A service providing apparatus characterized by that. 自身の位置情報を提供する携帯端末に接続され、サービス提供装置から機密文書サービスの提供を受けるクライアント端末が実行する認証情報取得方法において、
認証情報として、前記携帯端末から前記位置情報および位置を測位した時刻を含む時刻情報を取得する、
ことを特徴とする認証情報取得方法。 In an authentication information acquisition method executed by a client terminal connected to a portable terminal that provides its own location information and receiving a confidential document service from a service providing device
As the authentication information, the time information including the time when the position information and the position are measured is acquired from the portable terminal.
An authentication information acquisition method characterized by that. 自身の位置情報を提供する携帯端末に接続されたクライアント端末へ機密文書サービスを提供するサービス提供装置が実行する認証方法において、
前記携帯端末が提供する位置情報および位置を測位した時刻を含む時刻情報から、その携帯端末に接続されたクライアント端末を利用するユーザの認証を行う、
ことを特徴とする認証方法。 In an authentication method executed by a service providing apparatus that provides a confidential document service to a client terminal connected to a mobile terminal that provides its own location information,
From the position information provided by the mobile terminal and time information including the time when the position is measured, authentication of a user who uses the client terminal connected to the mobile terminal is performed.
An authentication method characterized by that.
JP2004127598A 2004-04-23 2004-04-23 Authentication system Pending JP2005309890A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004127598A JP2005309890A (en) 2004-04-23 2004-04-23 Authentication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004127598A JP2005309890A (en) 2004-04-23 2004-04-23 Authentication system

Publications (1)

Publication Number Publication Date
JP2005309890A true JP2005309890A (en) 2005-11-04

Family

ID=35438577

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004127598A Pending JP2005309890A (en) 2004-04-23 2004-04-23 Authentication system

Country Status (1)

Country Link
JP (1) JP2005309890A (en)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007150730A (en) * 2005-11-28 2007-06-14 Mitsubishi Electric Corp Place guarantee system
JP2007257051A (en) * 2006-03-20 2007-10-04 Ricoh Co Ltd Content display controller, content display control method and computer to be executed by computer
CN101290642B (en) * 2007-04-16 2010-09-29 瞬联软件科技(北京)有限公司 Electronic file transmission control method and its system based on area limit
JP2011512051A (en) * 2007-12-20 2011-04-14 ミツビシ・エレクトリック・アールアンドディー・センター・ヨーロッパ・ビーヴィ Method for controlling operation of a base station of a wireless cellular telecommunication network
JP2012080269A (en) * 2010-09-30 2012-04-19 Yahoo Japan Corp Authentication system, authentication data generating device, authentication device and authentication method
JP2013021731A (en) * 2012-10-29 2013-01-31 Nec Corp Controller, control system, small radio base station, and control method
JP2014154131A (en) * 2013-02-14 2014-08-25 Nec Commun Syst Ltd Authentication system and authentication method
JP2014167672A (en) * 2013-02-28 2014-09-11 Fujitsu Ltd Information processor, authentication system, and program
JP2016532356A (en) * 2013-07-19 2016-10-13 クアルコム,インコーポレイテッド Indoor location security and privacy
KR101732007B1 (en) * 2016-12-05 2017-05-08 (주)지란지교시큐리티 File access control method based on location of computing device
KR101881772B1 (en) * 2017-12-20 2018-07-25 (주)지란지교시큐리티 System and method for authorizing access to file through authentication of location information of recipient and transmitting location information-wrapped file
WO2020246016A1 (en) * 2019-06-07 2020-12-10 三菱電機ビルテクノサービス株式会社 Data management system, data processing system, and program
JP7497095B1 (en) 2023-11-17 2024-06-10 Vlightup株式会社 Authentication code issuing system, authentication code issuing method, terminal device, and program

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007150730A (en) * 2005-11-28 2007-06-14 Mitsubishi Electric Corp Place guarantee system
JP4689447B2 (en) * 2005-11-28 2011-05-25 三菱電機株式会社 Position assurance system
JP2007257051A (en) * 2006-03-20 2007-10-04 Ricoh Co Ltd Content display controller, content display control method and computer to be executed by computer
CN101290642B (en) * 2007-04-16 2010-09-29 瞬联软件科技(北京)有限公司 Electronic file transmission control method and its system based on area limit
JP2011512051A (en) * 2007-12-20 2011-04-14 ミツビシ・エレクトリック・アールアンドディー・センター・ヨーロッパ・ビーヴィ Method for controlling operation of a base station of a wireless cellular telecommunication network
JP2012080269A (en) * 2010-09-30 2012-04-19 Yahoo Japan Corp Authentication system, authentication data generating device, authentication device and authentication method
JP2013021731A (en) * 2012-10-29 2013-01-31 Nec Corp Controller, control system, small radio base station, and control method
JP2014154131A (en) * 2013-02-14 2014-08-25 Nec Commun Syst Ltd Authentication system and authentication method
JP2014167672A (en) * 2013-02-28 2014-09-11 Fujitsu Ltd Information processor, authentication system, and program
JP2016532356A (en) * 2013-07-19 2016-10-13 クアルコム,インコーポレイテッド Indoor location security and privacy
US9992631B2 (en) 2013-07-19 2018-06-05 Qualcomm Incorporated In-building location security and privacy
KR101732007B1 (en) * 2016-12-05 2017-05-08 (주)지란지교시큐리티 File access control method based on location of computing device
KR101881772B1 (en) * 2017-12-20 2018-07-25 (주)지란지교시큐리티 System and method for authorizing access to file through authentication of location information of recipient and transmitting location information-wrapped file
WO2020246016A1 (en) * 2019-06-07 2020-12-10 三菱電機ビルテクノサービス株式会社 Data management system, data processing system, and program
JPWO2020246016A1 (en) * 2019-06-07 2021-09-13 三菱電機ビルテクノサービス株式会社 Data management system, data processing system and program
JP7497095B1 (en) 2023-11-17 2024-06-10 Vlightup株式会社 Authentication code issuing system, authentication code issuing method, terminal device, and program

Similar Documents

Publication Publication Date Title
US9953151B2 (en) System and method identifying a user to an associated device
AU2018348549B2 (en) Authentication of a person using a virtual identity card
JPWO2007094165A1 (en) Identification system and program, and identification method
JP5167835B2 (en) User authentication system, method, program, and medium
WO2004008683A3 (en) Automated network security system and method
KR101033337B1 (en) The security authentication method to reinforce verification of the user using the terminal unit
JP2006331048A (en) Personal identification method and system by position information
JP2005309890A (en) Authentication system
JP2009187183A (en) Authentication check system, portable terminal, authentication check server, authentication check method, and program
JP2008181178A (en) Network output system, authentication information registration method, and authentication information registration program
US20120096530A1 (en) Information processing apparatus that performs authentication of login from external apparatus, information processing method, and storage medium
US9380042B2 (en) Method for operating a network device
JP2008299457A (en) Authentication system, authentication method, and authentication socket device
JP4135151B2 (en) Method and system for single sign-on using RFID
KR102199138B1 (en) Method, apparatus and program for user authentication
JP2008040912A (en) Facsimile transmission and reception system with authentication function, device, transmitting and receiving method and program for transmission and reception
KR20150034463A (en) Authentication system and authentication method for smartwork using mobile device
JP4671619B2 (en) Terminal validity guarantee system and terminal validity guarantee method
KR20050114293A (en) Method and system for authenticating user using usb storage device
KR20080048834A (en) Method for computer preservation using mobile and device thereof
RU2573235C2 (en) System and method for checking authenticity of identity of person accessing data over computer network
KR20180111395A (en) Terminal with local web server function for biometric authentication and user authentication system and method using the same
JP2003233595A (en) User authentifying system and method for cell phone terminal as well as user authentifying program
KR20060063590A (en) Method and system for integrated authentication using biometrics
WO2012115403A2 (en) Location information-based authentication system and method