JP2008015914A - 認証方法、認証システム、認証装置、及び、認証プログラム - Google Patents

認証方法、認証システム、認証装置、及び、認証プログラム Download PDF

Info

Publication number
JP2008015914A
JP2008015914A JP2006188261A JP2006188261A JP2008015914A JP 2008015914 A JP2008015914 A JP 2008015914A JP 2006188261 A JP2006188261 A JP 2006188261A JP 2006188261 A JP2006188261 A JP 2006188261A JP 2008015914 A JP2008015914 A JP 2008015914A
Authority
JP
Japan
Prior art keywords
information
authentication
display
group
person
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2006188261A
Other languages
English (en)
Inventor
Akihiro Morohashi
昭浩 諸橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sony Corp
Original Assignee
Sony Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sony Corp filed Critical Sony Corp
Priority to JP2006188261A priority Critical patent/JP2008015914A/ja
Publication of JP2008015914A publication Critical patent/JP2008015914A/ja
Withdrawn legal-status Critical Current

Links

Images

Abstract

【課題】認証処理の安全性を維持しつつ、認証対象者にとっての利便性の高い認証方法を提供する。
【解決手段】ユーザに表示する複数の表示情報701と、表示情報701に応じてグループの構成員が共通して連想しうる共有情報とが登録された登録情報を用いて、グループの構成員を認証する認証方法であって、登録された複数の登録情報から所定数の登録情報を選択し、選択された登録情報に含まれる表示情報701を認証用画面700に表示し、表示された表示情報からユーザが連想して所定の入力手段により入力されるユーザ入力情報と、選択された登録情報に含まれる共有情報とが同一であるか否かを判断し、同一であると判断された場合に、ユーザがグループの構成員であると判定する。
【選択図】 図8

Description

本発明は、グループの構成員を認証する認証方法、認証システム、認証装置、及び、認証プログラムに関する。
従来、パスワードを用いた本人認証や指紋認証などの生体認証は、サーバコンピュータで構築されているデータベースへの使用許諾処理やグループウエアへのアクセス許諾処理や建物内への入退出許諾処理などに使用されてきた。
しかしながら、パスワードを用いた本人認証では、パスワードの漏洩を防止するために覚えにくいパスワードを要求され、かつ、パスワードを定期的に更新することが要求され、また、ユーザがパスワードを忘れてしまうという問題があった。特に、一つのグループ内で同じシステムを使用する場合には、グループ内で同一のパスワードを用いるとこのような漏洩の可能性が高いのでグループ内の各構成員が個別にパスワードを設定する必要があり、この結果としてユーザとパスワードの管理が余計に必要になる煩わしさがあった。
また、生体認証には、ユーザがパスワードを予め覚えるという記憶の負担がないが、生体情報取得のための比較的高価なセンサが必要となり、また、これ以外の認証方法と比べて処理量が大きいため認証処理により長い時間が必要となっていた。
パスワードを記憶する負担を軽減することを目的として、特許文献1には、抽象的な提示情報を利用者に提示して、この提示情報に応じて利用者に連想する情報を設定させ、その後の認証処理の際に、提示情報と連想情報との組み合わせの正誤に基づいて本人であるか確認する認証方法が記載されている。よって、特許文献1に係る認証方法は、提示情報に対して利用者が連想する情報を用いるので利用者がパスワードを記憶する負担を低減することができる。
しかしながら、特許文献1に係る認証方法において、認証に必要な情報の漏洩を防止するなどといったように安全性を高くするには、認証処理の際に正誤判定における提示情報と連想情報との組み合わせの数をより多くする必要があり、上述した記憶の負担を軽減しつつ、高い安全性を維持することができなかった。
また、特許文献2には、子供や老人等パソコンをあまり使い慣れていない初心者でも、入力という意識を持たせないでパスワード入力を実現するため、種々の絵柄を表したビットマップアイコンを使用者に表示して、表示されているビットマップアイコンを使用者が順次指定し、指定されたビットマップアイコンの指定順序をパスワードとして設定するパスワード入力システムが記載されている。
さらに、特許文献3には、暗証図形を特定するための複数個の点が含まれる図形パターンを表示し、表示された図形パターンを用いて扱者が暗証画面を入力することにより認証を行う扱者認証システムが記載されている。
しかしながら、特許文献2及び3に係る発明において安全性を高くするためには、使用者や扱者が、より多くの画像情報を記憶しなければならないので、記憶の負担を軽減しつつ高い安全性を維持することができなかった。
特開2004−13865号公報 特開平10−289210号公報 特公平7−78783号公報
本発明は、このような実情に鑑みて提案されたものであり、認証処理の安全性を損なうことなく、認証対象者にとっての利便性の高い認証方法、認証システム、認証装置、及び、認証プログラムを提供することを目的とする。
上述の課題を解決するために、本発明に係る認証方法は、認証対象者に表示する複数の表示情報と、上記表示情報毎にグループの構成員が共通して連想しうる共有情報とが登録された登録情報を用いて、上記グループの構成員を認証する認証方法であって、上記登録された複数の登録情報から所定数の登録情報を選択し、上記選択された登録情報に含まれる表示情報を認証対象者に表示し、上記表示された表示情報から認証対象者が連想する連想情報と、上記選択された登録情報に含まれる共有情報とが同一であるか否かを判断して、同一であると判断した場合に認証対象者が上記グループの構成員であると判定する。
また、本発明に係る認証システムは、グループの構成員を認証する認証システムであって、認証対象者に表示する複数の表示情報と上記表示情報毎に上記グループの構成員が共通して連想しうる共有情報とが登録された登録情報が記憶されている記憶手段と、上記記憶手段に記憶されている複数の登録情報から所定数の登録情報を選択する選択手段と、認証対象者が上記グループの構成員であることを判定する判定手段と、上記選択手段により選択された登録情報に含まれる表示情報を認証対象者に表示する表示手段と、上記表示手段により表示された表示情報から認証対象者が連想する連想情報を入力する入力手段とが所定の通信回線に接続され、上記判定手段は、上記選択手段により選択された登録情報に含まれる共有情報と、上記入力手段により入力された連想情報とが同一であるか否かを判断して、同一であると判断した場合に認証対象者が上記グループの構成員であると判定する。
また、本発明に係る認証装置は、グループの構成員を認証する認証装置であって、認証対象者に表示する複数の表示情報と、上記表示情報毎に上記グループの構成員が共通して連想しうる共有情報とが登録された登録情報が記憶されている記憶手段と、上記記憶手段に記憶されている複数の登録情報から、所定数の登録情報を選択する選択手段と、上記選択手段により選択された登録情報に含まれる表示情報を認証対象者に表示する表示手段と、上記表示手段により表示された表示情報から認証対象者が連想する連想情報を入力する入力手段と、上記選択手段により選択された登録情報に含まれる共有情報と、上記入力手段に入力された連想情報とが同一であるか否かを判断して、同一であると判断した場合に認証対象者が上記グループの構成員であると判定する判定手段とを備える。
また、本発明に係る認証プログラムは、認証対象者に表示する複数の表示情報と、上記表示情報毎にグループの構成員が共有して連想しうる共有情報とが登録された登録情報を用いて、上記グループの構成員を認証する認証装置に搭載されるコンピュータにより実行される認証プログラムであって、複数の上記登録情報が記憶されている所定の記憶手段から所定数の登録情報を選択する選択工程と、上記選択工程により選択された登録情報に含まれる表示情報を所定の表示手段により認証対象者に表示させる表示工程と、上記表示工程により表示された表示情報から認証対象者が連想して所定の入力手段により入力される連想情報と、上記選択工程により選択された登録情報に含まれる共有情報とが同一であるか否かを判断して、同一であると判断された場合に、認証対象者が上記グループの構成員であると判定する判定工程とからなる。
本発明は、認証処理を行う際に、登録された複数の登録情報から所定数の登録情報を選択するので、認証対象者に表示される表示情報が認証処理毎に変わる。また、本発明では、認証対象者が、表示情報から連想する連想情報を入力することによってグループの構成員であるか否かを判定するので、構成員が予めパスワードを設定する必要が無く、また、パスワードに用いられる認証用データが一回の登録で済む。
したがって、本発明は、安全性を損なうことなく、グループの構成員にとって利便性の高い認証処理を行うことができ、認証に必要な選択内容を任意に設定することによりセキュリティレベルを柔軟に変えることができる。
以下、本発明を実施するための最良の形態について、図面を参照しながら詳細に説明する。
本実施形態に係る認証システム1は、例えば、グループの構成員のみに使用が制限されているデータベースを使用するため、グループの構成員を認証する認証処理を行うものである。すなわち、ここでの認証の目的は、データベース内の情報がグループ毎に割り当てられたグループウエアの使用許可を得るものである。
認証システム1は、例えば、図1に示すように、データベースが構築されているサーバコンピュータ100と、ユーザが操作を行うクライアントコンピュータ200a,200b(以下、個別に説明する場合を除いてクライアントコンピュータ200と総称する。)と、サーバコンピュータ100とクライアントコンピュータ200との間を電気的に接続して通信を行うHUB300とからなる。
ユーザは、クライアントコンピュータ200を操作してサーバコンピュータ100にグループウエアの使用要求をし、使用要求を受けたサーバコンピュータ100がデータベースの情報を用いて認証処理を行う。そして、認証処理が完了すると、クライアントコンピュータ200がサーバコンピュータ100から使用許可を得て、ユーザがグループウエアの使用を開始する。
なお、認証用データベースとしては、グループウエア内のデータベースでも良いし、認証専用のデータベースを設けてもよい。また、クライアントコンピュータ200の数は、図1に図示した2つに限定するものではなく、サーバコンピュータ100の処理能力に応じて変更するようにしても良い。
また、サーバコンピュータ100とクライアントコンピュータ200とは、HUB300を介して電気的に接続して通信を行う以外に、無線通信手段を用いて行うようにしてもよい。
さらに、本実施形態の認証システム1は、上述したグループウエアに限らず、グループの構成員のみ使用が制限されているものに対する使用許諾、例えば、グループの構成員のみ入室が許されている部屋への入室許諾に用いるようにしてもよい。
次に、サーバコンピュータ100の構成に関して図2を参照して説明する。
サーバコンピュータ100は、コンピュータの動作全体を制御するCPU(Central Processing Unit)101と、所定の表示情報を表示する表示部102と、表示部102へ表示情報を出力するDisplay I/F(Interface)103と、キーボードやマウス等のユーザインターフェースが接続されている入力I/F104と、コンピュータを起動するプログラム等が格納されているROM(Read Only Memory)105と、RAM(Random Access Memory)106と、HDD(Hard Disk Drive)107と、Network I/F108とからなる。また、サーバコンピュータ100の各構成部は、互いにバス109を介して電気的に接続されている。
サーバコンピュータ100のHDD107には、データベース400が構築されており、また、クライアントコンピュータ200との間でHTTPSプロトコルにより認証処理に必要なデータを通信するためのWebサーバプログラムと、認証の成否を判定する判定プログラムと、データベース400の管理を行うデータベース管理プログラムとが記憶されている。
サーバコンピュータ100のCPU101は、Webサーバプログラムと判定プログラムとをそれぞれHDD107からRAM106に読み出してプログラムを実行する。なお、Webサーバプログラム及び判定プログラムは、HDD107に限らず、ROM105の記憶領域に予め書き込まれているようにしてもよい。
サーバコンピュータ100のNetwork I/F108は、所定の通信ケーブルを介してHUB300と接続され、クライアントコンピュータ200との間で通信を行う。ここで、サーバコンピュータ100は、Webサーバプログラムに従って、クライアントコンピュータ200へ送信するデータに暗号化処理を施し、暗号化処理が施されたデータをNetwork I/F108からクライアントコンピュータ200へ送信する。
一方、クライアントコンピュータ200の構成は、図3に示すように、コンピュータの動作全体を制御するCPU(Central Processing Unit)201と、所定の表示情報を表示する表示部202と、表示部202へ表示情報を出力するDisplay I/F(Interface)203と、キーボードやマウス等のユーザインターフェースが接続されている入力I/F204と、コンピュータの起動プログラム等が格納されているROM(Read Only Memory)205と、RAM(Random Access Memory)206と、HDD(Hard Disk Drive)207と、Network I/F208とからなる。また、クライアントコンピュータ200の各構成部は、バス209を介して互いに電気的に接続されている。
クライアントコンピュータ200のHDD207には、サーバコンピュータ100との間でHTTPSプロトコルにより認証処理に必要なデータの送受信をするためのWebクライアントプログラムが記憶されている。クライアントコンピュータ200のCPU201は、Webクライアントプログラムを、HDD207からRAM206に読み出して実行する。
クライアントコンピュータ200の表示部202は、Webクライアントプログラムに従って、ユーザに認証処理に必要な情報を表示する。
クライアントコンピュータ200の入力I/F204は、キーボードやマウス等のユーザインターフェースを介して入力された入力情報をCPU201に供給する。なお、表示部202及び入力I/F204の機能を統合したタッチパネルを用いるようにしてもよい。
クライアントコンピュータ200のNetwork I/F208は、所定の通信ケーブルを介してHUB300と接続され、サーバコンピュータ100との間で通信を行う。
ここで、クライアントコンピュータ200は、Webクライアントプログラムに従って、サーバコンピュータ100へ送信するデータに暗号化処理を施し、暗号化処理が施されたデータをNetwork I/F208からサーバコンピュータ100へ送信する。
また、サーバコンピュータ100及びクライアントコンピュータ200は、上述したように、互いに基本的な構成に差異はないが、各コンピュータのHDDに記憶されているデータやプログラムがそれぞれ異なっている。具体的に、サーバコンピュータ100は、複数のクライアントコンピュータ200との間でデータ通信を行うため、クライアントコンピュータ200に比べて、処理速度の速いCPUが用いられる。
このように、サーバコンピュータ100とクライアントコンピュータ200との間では、Webサーバプログラム及びWebクライアントプログラムに従って、暗号化処理が施されたデータ通信を行うので、認証処理に必要な情報の漏洩を防止することができる。
なお、これらのコンピュータとの間での通信は、HTTPSプロトコルによらず、HTTPプロトコルや専用プロトコルを用いて行うようにしてもよい。
また、データベース400は、サーバコンピュータ100のHDD107内に記憶されている場合に限らず、サーバコンピュータ100との間のみ専用通信回線で接続される専用コンピュータが備えるHDD内に記憶されるようにしてもよい。
また、本実施形態の認証システム1は、サーバコンピュータ100とクライアントコンピュータ200との両方を用いて認証処理を行うが、サーバコンピュータ100及びクライアントコンピュータ200に分けられた機能を一つのコンピュータに統合して、他のコンピュータと通信接続せずに1つのコンピュータ単独で認証処理を行ってもよい。
次に、データベース400の構造について図4を参照して説明する。データベース400は、例えば、グループテーブル410と、構成員情報テーブル420と、周知情報テーブル430とから構成されている。
グループテーブル410は、主キーをグループ番号411として、各グループに所属する構成員に付される構成員番号412と、各グループの管理者によって承認された承認情報が順に付される承認番号413とから構成される。
構成員情報テーブル420は、主キーを構成員番号421として、各構成員番号421に対応するアルファベットで記述された姓名422・写真ファイル名423・特定情報424などから構成される。ここで、写真ファイル名423をファイル名とした画像データ500aがHDD107内に記憶されている。また、各構成員番号421に対応する特定情報424は、グループ内で共有する個々の構成員の情報であって、例えば、趣味、変名、構成員個人の予定表などである。以下具体例として、構成員情報テーブル420では、構成員の人名と、その顔写真と、その人の趣味が、それぞれ、姓名422と写真ファイル名423と特定情報424として登録されているものとする。
周知情報テーブル430は、主キーを承認番号431として、各承認番号431に対応する姓名432・写真ファイル名433・特定情報434などから構成される。
ここで、構成員情報がグループ間を超えて他のグループの構成員にも知り得る情報であるのに対して、周知情報は、個々のグループ内の構成員のみが知り得る情報である。例えば、データベース400を会社内の部課毎をグループ単位として使用している場合、周知情報として登録されるものは、会社内の異なる部課の構成員に知り得ない顧客の情報が登録されることとなる。以下具体例として、周知情報テーブル430では、特定のグループ内においてのみ取引を行っている顧客の人名、顔写真及び趣味が、それぞれ姓名432と写真ファイル名433と特定情報434として登録されているものとする。
このように、これらのデータベース400には、後述する認証処理において、認証対象のユーザがグループの構成員であれば、共通して連想しうる情報が登録されている。
なお、上述した写真ファイル名423,433を用いる代わりに、各テーブルのデータ領域に直接画像データを備えるようにしてもよい。また、これらの写真ファイルは、構成員の顔写真に限らず、構成員を連想する写真、絵などの画像データを用いるようにしてもよい。
続いて、上述したデータベース400内の情報を登録する処理について説明する。この登録処理は、図5に示すデータベース情報登録画面600により行われる。データベース情報登録画面600は、各グループの管理者が、クライアントコンピュータ200を介してサーバコンピュータ100に接続して、データベース管理プログラムを実行することにより表示される。
具体的に、データベース情報登録画面600は、グループ名を選択するグループ名選択領域601と、構成員情報又は周知情報のどちらを登録するかを選択する登録情報選択領域602と、姓名をそれぞれアルファベットで入力する入力領域603,604と、上述した写真ファイル名423,433に対応する画像データ500の保存先を選択する写真ファイル名選択領域605,606と、データベース400内の特定情報424,434に当たる情報を入力する特定情報入力領域607と、登録を確定する確定ボタン608とから構成されている。なお、入力情報を確認する画面領域や削除する画面領域を設けるようにしてもよい。
サーバコンピュータ100又はクライアントコンピュータ200は、データベース情報登録画面600において確定ボタン608により入力情報が確定すると、データベース管理プログラムに従って、各選択情報及び入力情報の正当性を判定して、不正であると判定するとデータベース情報登録画面600に戻り、正当であると判定するとデータベース400の所定の記憶領域に記憶される。
ここで、データベース情報登録画面600を用いて、構成員情報の登録を行う権限は、一般的にデータベースの情報が漏洩するのを防ぐため、グループの管理者のみに与えられる。これに対して、周知情報は、データベース情報登録画面600を用いて、管理者以外の構成員により登録を行うことができる。この場合には、上述した登録処理に加えて、次に示す工程が必要となる。具体的には、図6に示すように、まず、グループ内の任意の構成員が構成員情報の仮登録を行う。その後、仮登録を行った構成員がグループ内の管理者に承認依頼をする。そして、承認依頼を受けた管理者が、データベース管理プログラムに従って、周知情報の本登録を行う。周知情報は、本登録に応じて、データベース400内の周知情報テーブル430の承認番号が付されて登録されることとなる。なお、管理者の判断のみによって承認される場合に限らず、例えば、構成員全体の8割の賛成を得れば承認されるようにしてもよい。
次に、ユーザがグループウエアを使用する際に、認証システム1によって行われる認証処理の流れを図7を参照して、以下に説明する。ここで、認証システム1は、サーバコンピュータ100とクライアントコンピュータ200とが連携して処理を行うものである。以下では、ステップS101からステップS107をサーバコンピュータ100で行う処理工程とし、ステップS201からステップS207をクライアントコンピュータ200で行う処理工程として説明する。
ステップS101及びステップS201において、認証システム1を構成するサーバコンピュータ100及びクライアントコンピュータ200のそれぞれは、互いに通信可能な状態、すなわち互いにコンピュータの存在をネットワーク上にて認識しているものとする。続いて、クライアントコンピュータ200は、ステップS202の処理工程を行う。一方、サーバコンピュータ100は、クライアントコンピュータ200から送信されるデータに待機する。
ステップS202において、クライアントコンピュータ200のCPU201は、グループウエア使用要求が入力I/F204に入力されたか否かを判断する。ここで、グループウエア使用要求は、ユーザがキーボードやマウス等を操作して、Webクライアントプログラムの実行を要求する処理にあたる。CPU201は、グループウエア使用要求があるまで当該判断処理を繰り返し、グループウエア使用要求があったと判断すると、WebクライアントプログラムをHDD207からRAM206に読み出して、当該プログラムを実行し、ステップS203へ進む。
ステップS203において、クライアントコンピュータ200のCPU201は、Webクライアントプログラムに従って、認証処理開始要求をNetwork I/F208からサーバコンピュータ100へ送信する。ここで、認証処理開始要求には、使用を要求するグループウエアのグループ番号411が含まれているものとする。このグループ番号411は、ユーザがWebクライアントプログラムの実行を要求する際に選択される。若しくは、予め個々のクライアントコンピュータ200が特定のグループ番号411のグループウエアのみ使用するものとしてもよい。
また、クライアントコンピュータ200は、認証処理開始要求をサーバコンピュータ100へ送信した後、サーバコンピュータ100からの応答に待機する。一方、サーバコンピュータ100のCPU101は、認証処理開始要求を受信すると、WebサーバプログラムをHDD107からRAM106に読み出して、当該プログラムの実行を開始し、ステップS102へ進む。
ステップS102において、サーバコンピュータ100のCPU101は、Webサーバプログラムに従って、データベース400から、認証処理開始要求に含まれるグループ番号411に対応するグループテーブル410を読み出し、読み出したグループテーブル410から、例えば、乱数発生プログラムを実行して乱数に応じた構成員番号と承認番号を1つずつ無作為に選択して、ステップS103へ進む。
なお、この処理工程では、上述した乱数発生プログラムを用いて無作為に選択する場合に限らず、例えば、構成員番号と承認番号とをそれぞれ番号順に選択するようにしても良い。
ステップS103において、サーバコンピュータ100のCPU101は、Webサーバプログラムに従って、ステップS102でそれぞれ選択した構成員番号及び承認番号に対応する写真ファイル名423,433をデータベース400の各テーブルから検索し、各写真ファイル名423,433に対応する画像データ500a,500bをHDD107から読み出す。
ステップS104において、サーバコンピュータ100は、Webサーバプログラムに従って、複数のクライアントコンピュータ200の中から、認証処理開始要求を送信してきたクライアントコンピュータ200を識別するためのセッションIDを作成する。
ステップS105において、サーバコンピュータ100のCPU101は、Webサーバプログラムに従って、認証用画面データをNetwork I/F108からクライアントコンピュータ200へ送信する。ここで、認証用画面データには、ステップS102でそれぞれ選択した構成員番号及び承認番号と、ステップS103で読み出された画像データ500a,500bと、ステップS104で作成したセッションIDとが含まれている。
ステップS106において、サーバコンピュータ100は、認証用画面データにそれぞれ含まれる、構成員番号、承認番号、セッションIDをRAM106に記憶し、クライアントコンピュータ200からの応答に待機する。一方、クライアントコンピュータ200は、認証画面データを受信すると、当該認証画面データにそれぞれ含まれる、構成員番号、周知情報、セッションIDをRAM206に記憶してステップS204へ進む。
ステップS204において、クライアントコンピュータ200は、Webクライアントプログラムに従って、認証用画面データに応じて表示部202に認証用画面700を表示する。
ここで、認証用画面700は、図8に示すように、写真ファイル表示部701a,701b(以下、個別に説明する場合を除いて写真ファイル表示部701と総称する。)と、選択入力部702a,702b(以下、個別に説明する場合を除いて選択入力部702と総称する。)と、確定ボタン703とから構成される。写真ファイル表示部701a,701bには、認証用画像データに含まれる画像データ500a,500bがそれぞれ表示される。具体的は、写真ファイル表示部701aにはグループの構成員の顔写真が表示されているものとし、写真ファイル表示部701bには顧客の顔写真が表示されているものとする。選択入力部702a,702bは、ユーザが、写真ファイル表示部701a,701bに表示される画像から連想する文字情報、具体的には顔写真に対応するイニシャルを、プルダウンメニューでアルファベットを選択入力する部分である。ここで、ユーザがグループの構成員であれば、選択入力部702a,702bには、ユーザによりそれぞれ連想される構成員と顧客のイニシャルが入力されることとなる。なお、選択入力部702a,702bは、プルダウンメニューに係わらず、ラジオボタンを用いるようにしてもよい。
また、クライアントコンピュータ200のCPU201は、表示部202に認証用画面700を表示した状態でステップS205へ進む。
ステップS205において、クライアントコンピュータ200のCPU201は、Webクライアントプログラムに従って、表示部202に表示されている認証用画面700の確定ボタン703が選択されたか否かを判断する。当該判断処理は、ユーザによって選択入力部702a,702bにアルファベットが入力され確定ボタン703を選択するまで繰り返される。CPU201は、選択入力部702a,702bで選択された各アルファベットをユーザ入力情報としてRAM206に記憶する。
ステップS206において、クライアントコンピュータ200のCPU201は、Webクライアントプログラムに従って、RAM206にそれぞれ記憶されているユーザ入力情報とセッションIDとを、Network I/F208からサーバコンピュータ100へ送信する。その後、クライアントコンピュータ200は、サーバコンピュータ100からの応答に待機する。一方、サーバコンピュータ100は、ユーザ入力情報及びセッションIDをそれぞれ受信すると、Webサーバプログラムに従って、ステップS107へ進む。
ステップS107において、サーバコンピュータ100は、図9に示す判定プログラムに従って、後述する判定処理を行う。なお、判定プログラムは、サーバコンピュータ100が行う場合に限らず、判定処理に必要なデータを他のコンピュータへ送信して、当該他のコンピュータが判定処理を行うようにしてもよい。
続いて、サーバコンピュータ100は、Webサーバプログラムに従って、判定結果をNetwork I/F108によりクライアントコンピュータ200へ送信する。また、認証が成功すると、サーバコンピュータ100は、クライアントコンピュータ200にグループウエアの使用を許諾して、クライアントコンピュータ200から送信されるグループウエアの使用要求に待機する。一方、クライアントコンピュータ200は、サーバコンピュータ100から認証結果を受信すると、ステップS207へ進む。
ステップS207において、クライアントコンピュータ200は、Webクライアントプログラムに従って、受信した認証結果を表示部202へ表示する。その後、認証が成功した旨が表示部202に表示されると、クライアントコンピュータ200は、グループウエアを使用可能な状態となる。ここで、認証に失敗するとその旨が表示部202に表示され、グループウエアを使用できない。
なお、所定の通信回線で接続された2つの異なるコンピュータを使用して、一方のコンピュータで認証用画面を表示し、他方のコンピュータの入力I/Fでユーザ入力情報が入力されるようなシステム構成としてもよい。
次に、図9を参照して、上述したステップS107の判定処理を詳述する。
ステップS111において、サーバコンピュータ100のCPU101は、Webサーバプログラムに従って、HDD107に記憶されている判定プログラムをRAM106に読み出して、判定プログラムの実行を開始する。
ステップS112において、サーバコンピュータ100のCPU101は、判定プログラムに従って、セッションIDをすでに受信されてRAM106に格納されたデータから取得する。
その後、判定プログラムは、処理工程をステップS113、及び、ステップS114に進む。なお、ステップS113及びステップS114〜S116の処理は、どちらが先に行ってもよく、また互いに同時並行で行うようにしてもよい。
ステップS113において、サーバコンピュータ100のCPU101は、判定プログラムに従って、ステップS112において取得したセッションIDに対応するユーザ入力情報を、すでに受信されてRAM106に格納されたデータから取得してステップS117へ進む。ここで、ユーザ入力情報は、構成員情報及び周知情報にそれぞれ対応する文字情報から構成されている。なお、本実施形態における認証プログラムでは、まず、構成員情報に対応する文字情報が取得されるものとする。
ステップS114において、サーバコンピュータ100のCPU101は、判定プログラムに従って、ステップS112において取得したセッションIDと同じ番号であって、ステップS106でRAM106に記憶されたセッションIDをRAM106から検索する。
ここで、認証用画面700がクライアントコンピュータ200の表示部202に長時間表示されていると悪意の第三者に盗視されるおそれがあるが、このような盗視に対してステップS114で検索されたセッションIDを用いてセキュリティの強化を図ることができる。具体的には、検索されたセッションIDからステップS105による送信処理時刻を取得し、当該送信処理時刻及びステップS107の処理開始時刻を比較して、その差が所定時間を超えていると判断した場合に、当該セッションIDに応じた画像データ500a,500bの組み合わせを、次回の認証処理から所定期間まで認証用画面700に表示させないようにしたり、強制的に認証が失敗するようにしてセキュリティの低下を防止することができる。
ステップS115において、サーバコンピュータ100のCPU101は、判定プログラムに従って、RAM106で検索したセッションIDに対応する、構成員番号又は承認番号を、RAM106から読み出す。なお、本実施形態に係る判定プログラムでは、まず、構成員番号が読み出される。
ステップS116において、サーバコンピュータ100のCPU101は、判定プログラムに従って、ステップS115で読み出した構成員番号又は承認番号に、それぞれ対応する姓名をデータベース400から検索する。本実施形態に係る判定プログラムでは、まず、構成員番号に対応する姓名が読み出されるものとする。そして、CPU101は、判定プログラムに従って検索した姓名に対応するイニシャルを取得して、ステップS117へ進む。
ステップS117において、サーバコンピュータ100のCPU101は、判定プログラムに従って、ステップS113で取得した文字情報とステップS116で読み出したイニシャルとが一致するか否かを判断し、一致していると判断するとステップS118へ進み、一致していないと判断するとステップS119へ進む。
ステップS118において、サーバコンピュータ100のCPU101は、判定プログラムに従って、ステップ114でRAM106から取得したセッションIDにそれぞれ対応するユーザ入力情報であってステップS117の判断処理を行っていない文字情報があるか否かを判断し、存在すると判断するとそれぞれステップS113及びステップS114へ戻り、又は、存在しないと判断するとステップS120へ進む。
具体的に、本実施形態に係る認証プログラムでは、まず、構成員情報に対してステップS113〜S117の処理を行った後、ステップS118を介して、ステップS113及びS114へ戻り、周知情報に対してステップS113〜S117の処理が再度行われることとなる。
ステップS119において、サーバコンピュータ100のCPU101は、認証プログラムに従って認証が失敗したと判定し、認証失敗画面データをNetwork I/F108からクライアントコンピュータ200へ送信する。
ステップS120において、サーバコンピュータ100のCPU101は、認証プログラムに従って認証が成功したと判定し、認証成功画面データをNetwork I/F108からクライアントコンピュータ200へ送信する。
判定プログラムは、ステップS119又はステップS120の処理が行われると終了する。このように、判定プログラムは、ユーザ入力情報がデータベース400上の情報と全て一致している場合に、認証が成功したと判定することとなる。
以上のように、本実施形態に係る認証システム1では、グループ構成員が共通して連想しうる情報とユーザ入力情報とに基づいて認証を行う。よって、認証システム1では、予め設定されるパスワードを用いて認証処理を行う場合に比べて、ユーザがパスワードを記憶するという負担を軽減することができる。
また、パスワードを用いた認証処理では、安全性を維持するためにユーザが定期的に更新を行う必要がある。これに対して、本実施形態に係る認証処理では、グループの管理者がグループ内で共有する情報を管理するので、上述したような更新処理を行う必要がなく、また、選択入力部702a,702bにアルファベットをユーザがマウス操作により1文字ずつ選択すればよいので、キーボード操作によりパスワードを入力する場合に比べて、短時間に認証処理を完了することができるので、グループウエアを使用するユーザにとって利便性が高い。
また、認証用画面700内の写真ファイル表示部701a,701bに表示される画像データ500a,500bは、それぞれ複数の画像データの中からランダムに選択されるので認証処理毎に異なるものとなる。このように、認証システム1では、認証処理に用いられる情報が毎回変化するので、悪意の第三者がユーザ認知情報を取得しても、グループの構成員になりすまして不正侵入し難いものとなっている。
さらに、認証システム1では、2つの画像データ500a,500bに対応する人のイニシャルがユーザ入力情報として選択入力部702に入力されることにより認証の成否が判定されるが、これに限定されるものではない。具体的には、認証用画面700の写真ファイル表示部701に表示する画像データの数を増やすことや、データベース400内の姓名422,432のフルネームや特定情報424,434の文字情報がユーザ入力情報として入力されることにより認証の成否が判定されるといった変更を行ってもよい。このような変更を行っても、ユーザがグループの構成員であれば、容易にこれらの情報を認証用画面700に従って入力することができる。よって、認証システム1は、所望とするセキュリティレベル及びユーザ入力の手間に応じて、柔軟に変更することができる。さらに、認証対象として構成員情報と周知情報の両方を用いたが、いずれか一方の情報のみとすることによってもセキュリティレベルを変更することができる。
なお、本発明は、上述した実施の形態のみに限定されるものではなく、本発明の要旨を逸脱しない範囲において種々の変更が可能であることは勿論である。
本実施形態に係る認証システムの構成に示す構成図である。 サーバコンピュータの構成を示す構成図である。 クライアントコンピュータの構成を示す構成図である。 データベースの構成を示す模式図である。 データベース上の情報を登録するデータベース情報登録画面を模式的に示す図である。 周知情報をデータベース上に登録する流れを模式的示す図である。 認証システムにおける認証処理工程を示すフローチャートである。 認証用画面を模式的に示す図である。 判定プログラムに応じた判定処理工程を示すフローチャートである。
符号の説明
1 認証システム、100 サーバコンピュータ、200 クライアントコンピュータ、101、201 CPU、102、202 表示部、103、203 Display I/F、104、204 入力I/F、105、205 ROM、106、206 RAM、107、207 HDD、108、208 Network I/F、109、209 バス、300 HUB、400 データベース、410 グループテーブル、411 グループ番号、412、421 構成員番号、413、431 承認番号、420 構成員情報テーブル、430 周知情報テーブル、422、432 姓名、423、433 写真ファイル名、424、434 特定情報、500 画像データ、600 データベース情報登録画面、601 グループ名選択領域、602 登録情報選択領域、603、604 入力領域、605、606 写真ファイル名選択領域、607 特定情報入力領域、608、703 確定ボタン、700 認証用画面、701 写真ファイル表示部、702 選択入力部

Claims (8)

  1. 認証対象者に表示する複数の表示情報と、上記表示情報毎にグループの構成員が共通して連想しうる共有情報とが登録された登録情報を用いて、上記グループの構成員を認証する認証方法であって、
    上記登録された複数の登録情報から所定数の登録情報を選択し、
    上記選択された登録情報に含まれる表示情報を認証対象者に表示し、
    上記表示された表示情報から認証対象者が連想する連想情報と、上記選択された登録情報に含まれる共有情報とが同一であるか否かを判断して、同一であると判断した場合に認証対象者が上記グループの構成員であると判定することを特徴とする認証方法。
  2. 所定の乱数発生手段により発生される乱数を用いて上記複数の登録情報から所定数の登録情報を無作為に選択することを特徴とする請求項1記載の認証方法。
  3. 上記共有情報は、上記グループ内の各構成員に応じた構成員情報と、上記構成員情報以外であって上記グループ内で周知な周知情報とのうち、少なくとも一方の情報から構成されることを特徴とする請求項1記載の認証方法。
  4. グループの構成員を認証する認証システムであって、
    認証対象者に表示する複数の表示情報と上記表示情報毎に上記グループの構成員が共通して連想しうる共有情報とが登録された登録情報が記憶されている記憶手段と、
    上記記憶手段に記憶されている複数の登録情報から所定数の登録情報を選択する選択手段と、
    認証対象者が上記グループの構成員であることを判定する判定手段と、
    上記選択手段により選択された登録情報に含まれる表示情報を認証対象者に表示する表示手段と、
    上記表示手段により表示された表示情報から認証対象者が連想する連想情報を入力する入力手段とが所定の通信回線に接続され、
    上記判定手段は、上記選択手段により選択された登録情報に含まれる共有情報と、上記入力手段により入力された連想情報とが同一であるか否かを判断して、同一であると判断した場合に認証対象者が上記グループの構成員であると判定することを特徴とする認証システム。
  5. 上記記憶手段と上記選択手段と上記判定手段とは第1の通信装置に備えられ、
    上記表示手段と上記入力手段とは第2の通信装置に備えられ、
    上記第1の通信装置と上記第2の通信装置との間が上記通信回線で接続されていることを特徴とする請求項4記載の認証システム。
  6. 上記第1の通信装置及び上記第2の通信装置は、上記通信回線で通信する情報に暗号化処理を施す暗号化処理手段を備えることを特徴とする請求項5記載の認証システム。
  7. グループの構成員を認証する認証装置であって、
    認証対象者に表示する複数の表示情報と、上記表示情報毎に上記グループの構成員が共通して連想しうる共有情報とが登録された登録情報が記憶されている記憶手段と、
    上記記憶手段に記憶されている複数の登録情報から、所定数の登録情報を選択する選択手段と、
    上記選択手段により選択された登録情報に含まれる表示情報を認証対象者に表示する表示手段と、
    上記表示手段により表示された表示情報から認証対象者が連想する連想情報を入力する入力手段と、
    上記選択手段により選択された登録情報に含まれる共有情報と、上記入力手段に入力された連想情報とが同一であるか否かを判断して、同一であると判断した場合に認証対象者が上記グループの構成員であると判定する判定手段とを備えることを特徴とする認証装置。
  8. 認証対象者に表示する複数の表示情報と、上記表示情報毎にグループの構成員が共有して連想しうる共有情報とが登録された登録情報を用いて、上記グループの構成員を認証する認証装置に搭載されるコンピュータにより実行される認証プログラムであって、
    複数の上記登録情報が記憶されている所定の記憶手段から所定数の登録情報を選択する選択工程と、
    上記選択工程により選択された登録情報に含まれる表示情報を所定の表示手段により認証対象者に表示させる表示工程と、
    上記表示工程により表示された表示情報から認証対象者が連想して所定の入力手段により入力される連想情報と、上記選択工程により選択された登録情報に含まれる共有情報とが同一であるか否かを判断して、同一であると判断された場合に、認証対象者が上記グループの構成員であると判定する判定工程とからなることを特徴とする認証プログラム。
JP2006188261A 2006-07-07 2006-07-07 認証方法、認証システム、認証装置、及び、認証プログラム Withdrawn JP2008015914A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006188261A JP2008015914A (ja) 2006-07-07 2006-07-07 認証方法、認証システム、認証装置、及び、認証プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006188261A JP2008015914A (ja) 2006-07-07 2006-07-07 認証方法、認証システム、認証装置、及び、認証プログラム

Publications (1)

Publication Number Publication Date
JP2008015914A true JP2008015914A (ja) 2008-01-24

Family

ID=39072844

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006188261A Withdrawn JP2008015914A (ja) 2006-07-07 2006-07-07 認証方法、認証システム、認証装置、及び、認証プログラム

Country Status (1)

Country Link
JP (1) JP2008015914A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012138775A (ja) * 2010-12-27 2012-07-19 Nec Corp 暗証情報入力システムおよび暗証情報入力方法
JP2015115079A (ja) * 2013-12-13 2015-06-22 バイドゥ オンライン ネットワーク テクノロジー(ペキン) カンパニー リミテッド 認証入力方法および装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012138775A (ja) * 2010-12-27 2012-07-19 Nec Corp 暗証情報入力システムおよび暗証情報入力方法
JP2015115079A (ja) * 2013-12-13 2015-06-22 バイドゥ オンライン ネットワーク テクノロジー(ペキン) カンパニー リミテッド 認証入力方法および装置

Similar Documents

Publication Publication Date Title
US9418217B2 (en) Information processing system and information processing method
CN108369614B (zh) 用户认证方法及用于实现该方法的系统
JP2009042991A (ja) 画像処理装置、及び画像処理装置の管理システム
KR20120019021A (ko) 사용자 인증을 수행하는 화상형성장치 및 화상형성장치의 사용자 인증 수행 방법
JP2009303141A (ja) 画像形成装置、画像処理システム、カスタマイズ方法及びコンピュータプログラム
JP6171988B2 (ja) 認証情報管理システム、認証情報管理装置、及びプログラム
JP4292342B2 (ja) 電子承認システムにおける承認ルート決定方法及びプログラム
JP2007310515A (ja) パスワード認証システム、パスワード認証サーバ、パスワード認証方法及びプログラム
JP4844980B2 (ja) 情報管理システム、携帯端末、サーバ装置、情報処理方法およびプログラム
JP2009140232A (ja) 印刷管理方法及びシステム
JP2008015914A (ja) 認証方法、認証システム、認証装置、及び、認証プログラム
JP6499736B2 (ja) ユーザ認証方法及びかかる方法を実現するためのシステム
JP2007249344A (ja) ユーザ認証システムおよび方法
JP2005004466A (ja) 端末利用認証システムおよび端末利用認証プログラム
JP2007172176A (ja) 認証装置
CN113196263A (zh) 用户认证系统、用户认证服务器及用户认证方法
JP2004013865A (ja) 連想記憶による本人認証方法
JP4213440B2 (ja) パスワード管理プログラム
JP2010186380A (ja) 情報管理システム
KR101862766B1 (ko) 사용자 인증을 수행하는 화상형성장치 및 화상형성장치의 사용자 인증 수행 방법
KR102309919B1 (ko) 사용자 명함 관리 방법 및 시스템
JP4943186B2 (ja) 指静脈認証システム
DK180628B1 (en) Method of establishing ad-hoc device-based trust
JP2010152483A (ja) 印刷制御プログラム、印刷制御装置、及び印刷システム
JP2011060006A (ja) 情報処理システム、処理装置及びプログラム

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20091006