JP2008158746A - Authentication processor - Google Patents
Authentication processor Download PDFInfo
- Publication number
- JP2008158746A JP2008158746A JP2006345975A JP2006345975A JP2008158746A JP 2008158746 A JP2008158746 A JP 2008158746A JP 2006345975 A JP2006345975 A JP 2006345975A JP 2006345975 A JP2006345975 A JP 2006345975A JP 2008158746 A JP2008158746 A JP 2008158746A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- information
- authority
- card
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Lock And Its Accessories (AREA)
- Time Recorders, Dirve Recorders, Access Control (AREA)
Abstract
Description
本発明は、被認証情報に基づき認証処理をする認証処理装置に関し、詳しくは、被認証情報の認証権限の管理を容易にする認証処理装置に関する。 The present invention relates to an authentication processing device that performs authentication processing based on authentication target information, and more particularly to an authentication processing device that facilitates management of authentication authority of authentication target information.
機密情報を扱うことの多い企業や、企業内の特定の部署などでは、機密情報を扱う従事者の入退室を管理する入退室管理システムを適用することで、機密情報の漏洩を事前に防止するようにしている。 In companies that frequently handle confidential information or specific departments within the company, leakage of confidential information can be prevented in advance by applying an entry / exit management system that manages entry / exit of workers who handle confidential information. I am doing so.
一般に入退室管理システムは、ユーザに与えられたIC(Integrated Circuit)カードに組み込まれたユーザID(IDentification)や、生体情報(指紋、虹彩、声紋など)といった、ユーザを一意に特定する被認証情報を用いて入退室管理用のホストコンピュータにより個人認証を行い、登録された正当なユーザであることが認証された場合に、施錠された入退室用のドアを解錠することで、機密情報を扱う高度セキュリティレベル領域内への入室を許可する、というような管理を行っている。 In general, the entrance / exit management system is a user ID (IDentification) incorporated in an IC (Integrated Circuit) card given to the user and biometric information (fingerprint, iris, voiceprint, etc.) to be authenticated information that uniquely identifies the user. The personal computer is used to authenticate personal information by the host computer for entrance / exit management, and when it is verified that the user is a registered valid user, the locked door is unlocked to release confidential information. Management such as permitting entry into the high security level area handled.
このような入退室管理システムでは、ユーザ毎にそれぞれの入退室許可領域を設定する必要があるため、システムの大規模化に伴うユーザ数の増加、管理領域数の増加によりシステム管理者に対し膨大な設定作業量を要求してしまうといった問題があった。そこで、ユーザの通行条件(入退室権限)を容易に設定することができるような手法が考案されている(例えば、特許文献1参照。)。
しかしながら、特許文献1で開示された手法によれば、予め定義された階層構造を持つ範疇を用いてユーザの通行条件を設定するため、設定数を低減することはできるものの、いったん設定した通行条件をチェックする機能がないため、例えば、通行条件の設定に誤りがあった場合や、既に不必要となった通行条件の設定が存在する場合など試行錯誤的に修正を試みる必要があり、非常に煩雑な管理作業を強いられてしまうといった問題がある。
However, according to the technique disclosed in
そこで、本発明は、上述したような課題を解決するために提案されたものであり、煩雑な作業をすることなく、被認証情報に対する認証権限の付与、変更又は削除といった管理を容易に実行することができる認証処理装置を提供することを目的とする。 Accordingly, the present invention has been proposed to solve the above-described problems, and easily performs management such as granting, changing, or deleting authentication authority for authenticated information without performing complicated operations. It is an object of the present invention to provide an authentication processing apparatus that can perform the above processing.
本発明の認証処理装置は、ユーザを一意に特定する被認証情報に基づいて認証処理を実行する認証処理装置において、前記被認証情報に対し、当該認証処理装置で認証許可するための認証権限を所定のルールに基づき付与する認証権限付与手段と、前記被認証情報が前記所定のルールに基づき認証権限を付与されたかどうかを判定する判定手段と、前記判定手段によって前記所定のルールに基づき認証権限を付与されていないと判定された被認証情報を抽出する抽出手段とを備えることで、上述の課題を解決する。 An authentication processing device according to the present invention is an authentication processing device that executes an authentication process based on authentication target information that uniquely identifies a user, and has authentication authority for permitting the authentication processing device to authenticate the authentication target information. An authentication authority granting means for granting based on a predetermined rule, a determination means for determining whether or not the information to be authenticated has been given an authentication authority based on the predetermined rule, and an authentication authority based on the predetermined rule by the determination means The above-mentioned problem is solved by providing an extraction unit that extracts authentication information that is determined not to be given.
また、本発明の認証処置装置は、前記抽出手段によって抽出された被認証情報を、前記被認証情報に付与されている認証権限に基づきグループ化するグループ化手段を備えることで、上述の課題を解決する。 Further, the authentication processing apparatus of the present invention comprises the grouping means for grouping the authenticated information extracted by the extracting means based on the authentication authority given to the authenticated information, thereby Resolve.
また、本発明の認証処理装置は、前記グループ化手段によってグループ化された被認証情報に付与されている認証権限を一括して変更、又は、削除する認証権限変更/削除手段を備えることで、上述の課題を解決する。 Further, the authentication processing apparatus of the present invention comprises an authentication authority changing / deleting unit that collectively changes or deletes the authentication authority assigned to the authentication target information grouped by the grouping unit, Solve the above problems.
また、本発明の認証処理装置は、前記グループ化手段によって同一グループにグループ化された被認証情報が複数である場合に、前記被認証情報に付与された認証権限に基づく新たなルールを前記所定のルールに追加するよう前記所定のルールを変更するルール変更手段を備えることで、上述の課題を解決する。 In addition, the authentication processing device of the present invention, when there are a plurality of pieces of authentication information grouped in the same group by the grouping means, adds a new rule based on the authentication authority given to the authentication information. The above-mentioned problem is solved by providing rule changing means for changing the predetermined rule so as to be added to the rule.
また、本発明の認証処理装置は、前記認証権限を付与された被認証情報の認証がなされる度に認証履歴情報を記憶する認証履歴情報記憶手段を備えることで、上述の課題を解決する。 The authentication processing apparatus of the present invention solves the above-described problem by including an authentication history information storage unit that stores authentication history information every time authentication information to which the authentication authority is granted is authenticated.
また、本発明の認証処理装置は、前記認証権限変更/削除手段が、前記認証履歴情報記憶手段によって記憶された認証履歴情報に応じて、当該認証履歴情報に対応する被認証情報に付与された認証権限を削除することで、上述の課題を解決する。 Further, in the authentication processing device of the present invention, the authentication authority changing / deleting unit is attached to the authentication information corresponding to the authentication history information according to the authentication history information stored by the authentication history information storing unit. The above-mentioned problem is solved by deleting the authentication authority.
また、本発明の認証処理装置は、前記認証権限変更/削除手段が、同一の認証権限を付与された被認証情報が存在しない場合、当該被認証情報の認証権限を削除することで、上述の課題を解決する。 In the authentication processing apparatus of the present invention, the authentication authority changing / deleting unit deletes the authentication authority of the authentication target information when the authentication information to which the same authentication authority is granted does not exist. Solve the problem.
本発明によれば、認証権限を付与された全ての被認証情報のうち、所定のルールに基づくことなく認証権限を付与された被認証情報のみを的確に抽出することができる。したがって、例えば、錯誤により設定されてしまった認証権限や既に不必要となった認証権限の削除や変更が煩雑な作業をすることなく容易に実行でき、認証権限を付与された被認証情報を容易に管理することを可能とする。 ADVANTAGE OF THE INVENTION According to this invention, only the to-be-authenticated information to which the authentication authority was provided can be exactly extracted among all the to-be-authenticated information to which the authentication authority was granted, without being based on a predetermined rule. Therefore, for example, authentication authority that has been set due to mistakes or authentication authority that is no longer necessary can be easily deleted or changed without complicated operations, and information to be authenticated can be easily obtained. It is possible to manage.
また、本発明によれば、グループ化により、認証権限を個別に設定され抽出された被認証情報をグループ単位で扱うことができるため、認証権限を付与された被認証情報を容易に管理することを可能とする。 In addition, according to the present invention, authentication information can be handled in groups by grouping authentication information individually set and extracted by grouping, so that authentication information given authentication authority can be easily managed. Is possible.
また、本発明によれば、グループ化された個別に設定された認証権限の変更、又は削除処理を非常に簡便な手法により実行することができる。したがって、所定のルールに基づくことなく個別に設定された認証権限を容易に管理することを可能とする。 Further, according to the present invention, it is possible to execute a grouped and individually set authentication authority change or deletion process by a very simple method. Therefore, it is possible to easily manage the authentication authority set individually without being based on a predetermined rule.
また、本発明によれば、同一グループにグループ化された被認証情報が複数である場合に、被認証情報に付与された認証権限に基づく新たなルールを所定のルールに追加することで、現在の認証権限の付与状況を容易に所定のルールに反映させることができるため、時間経過に伴うシステム利用者の変化に応じたより現実的な認証権限の付与を簡便な手法で実現することを可能とする。 Further, according to the present invention, when there are a plurality of pieces of authentication information grouped in the same group, a new rule based on the authentication authority assigned to the authentication information is added to the predetermined rule, The status of granting authentication authority can be easily reflected in a given rule, making it possible to implement more realistic authentication authority according to changes in system users over time with a simple method. To do.
また、本発明によれば、認証履歴情報を参照することで被認証情報に付与された認証権限の削除可能性を容易に把握することを可能とする。 Further, according to the present invention, it is possible to easily grasp the possibility of deleting the authentication authority given to the authentication target information by referring to the authentication history information.
また、本発明によれば、認証履歴情報を参照することで被認証情報に付与された認証権限の削除可能性に基づき認証権限を削除することで、グループ化された個別に設定された認証権限の削除を非常に簡便な手法により実行することができる。したがって、所定のルールに基づくことなく個別に設定された認証権限を容易に管理することを可能とする。 In addition, according to the present invention, grouped individually set authentication authorities can be deleted by deleting the authentication authority based on the possibility of deleting the authentication authority given to the authenticated information by referring to the authentication history information. Can be deleted by a very simple method. Therefore, it is possible to easily manage the authentication authority set individually without being based on a predetermined rule.
また、本発明によれば、同一設定を検出できない場合には、錯誤により被認証情報に対して認証権限が付与されている可能性が高いと判断し削除処理を実行する。したがって、所定のルールに基づくことなく個別に設定された認証権限を容易に管理することを可能とする。 Further, according to the present invention, when the same setting cannot be detected, it is determined that there is a high possibility that the authentication authority is given to the authentication target information by mistake, and the deletion process is executed. Therefore, it is possible to easily manage the authentication authority set individually without being based on a predetermined rule.
以下、本発明の実施の形態について図面を参照して説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
まず、図1を用いて、本発明の実施の形態として入退室管理システム1について説明をする。図1に示すように、入退室管理システム1は、設備系システム10と、認証処理装置20とを備えている。
First, the entrance /
入退室管理システム1の設備系システム10と、認証処理装置20とは、セキュリティレベルの低い領域(低度セキュリティレベル領域)から機密情報の高い領域(高度セキュリティレベル領域)へのユーザの出入を管理する。
The
入退室管理システム1は、上述した低度セキュリティレベル領域から高度セキュリティレベル領域への出入を管理する形態であればどのようなものであってもよいが、例えば、高度セキュリティレベル領域と低度セキュリティレベル領域とを扉などで隔てて、認証処理に応じて各領域への移動を認めるようにする。
The entrance /
入退室管理システム1は、高度セキュリティレベル領域への入室を希望するユーザ全てに対して認証処理を行い、あらかじめ登録され、認証権限を付与された正当なユーザのみを認証して高度セキュリティレベル領域への入室を許可する。また、入退室管理システム1は、必要に応じて高度セキュリティレベル領域から退室を希望するユーザに対して認証処理を行い、高度セキュリティレベル領域からの退室を許可する。低度セキュリティレベル領域と、高度セキュリティレベル領域とは、電気的な作用により施錠、解錠することができる電気錠を備える扉12によって隔てられている。
The entrance /
具体的には、設備系システム10は、高度セキュリティレベル領域である部屋R1外に設けられたカードリーダ11により、ユーザが所有する、例えば、非接触のICカード(Integrated Circuit)5の図示しない半導体メモリ内に格納された情報を読み取る。認証処理装置20は、カードリーダ11で読み取られた情報のうちの被認証情報であるカードIDに基づき正当なユーザであると認証された場合に図示しない入退室コントロールユニットにより施錠されていた電気錠を解錠することで高度セキュリティレベル領域への入室を許可する。
Specifically, the
入退室管理システム1は、このような認証処理により、施錠された電気錠を解錠する場合には、ユーザが所有するICカード5に格納された情報のうち、ICカード5を一意に特定するカードIDと、施錠した扉12に固有の扉番号と、入室か退室かを示す情報とを認証処理装置20に送信する。入室か退室かを示す情報は、例えば、カードリーダ11を一意に特定する機器IDで示すようにしてもよい。
The entrance /
認証処理装置20は、認証部21と、権限設定部22と、入力部23と、記憶部24と、検索部25と、グループ化処理部26と、権限情報変更部27と、ルール変更部28とを備えている。
The
認証部21は、カードリーダ11にてICカード5から読み取られた情報に基づき認証処理をし、入退室判定許可を行う。このとき、認証部21は、認証処理を実行する度に記憶部24に対して認証の履歴を記した認証履歴情報を記憶させる。
The
権限設定部22は、入退室管理システム1の利用登録したユーザに対して、認証部21による認証処理によって認証許可するための認証権限を設定する。権限設定部22は、所定のルール(例えば、ユーザの所属、役職、その他各種情報などに応じて定められたルール)に基づき、ユーザが所有するICカードのカードIDといったユーザを一意に特定する被認証情報に対して認証権限を付与し記憶部24に設定をする。
The
入力部23は、システム管理者の指示により、上述した所定のルールに基づくことなく、個別にカードIDに認証権限を付与して記憶部24に設定したり、一旦設定された認証権限の変更、削除などの要求を入力することができる。この入力部23を介した個別な認証権限の設定は、所定のルールに基づく認証権限が設定された後に、システム管理者によって実行される。つまり、最新の(現在の)認証権限情報は、所定のルールに基づき設定されたカードIDと認証権限との関係と、個別に設定されたカードIDと認証権限との関係が混在したものとなる。
The
記憶部24は、認証処理装置20における認証処理に用いられる各種情報やアプリケーションなどを記憶する。記憶部24は、例えば、入退室管理システム1の利用を目的として登録されたユーザに関するユーザ情報、登録されたユーザに付与する認証権限の対象となる物理的な扉12の集合として定義されるグループに関するグループ情報、上述した権限設定部22で認証権限を付与する際に用いる所定のルールを定義したルール情報などを記憶している。
The
具体的には、ユーザ情報は、図2に示すように、ユーザが所有するICカード5を一意に特定する被認証情報であるカードIDとユーザ名とを対応付けたテーブルとして記憶されている。また、グループ情報は、図3に示すように、グループを一意に特定するグループIDとグループ名とを対応付けたテーブル(図3(a))、扉番号と扉の名称とを対応付けたテーブル(図3(b))、グループIDと扉番号とを対応付けたテーブル(図3(c))などとして記憶されている。図3(c)に示すように、各グループは、扉番号の集合として定義される。また、ルール情報は、図4に示すように、ルールを一意に特定するルールIDとルール名とを対応付けたテーブル(図4(a))、ルールIDとグループIDとを対応付けたテーブル(図4(b))などとして記憶されている。図4(b)に示すように、各ルールは、扉番号の集合であるグループによって定義される。
Specifically, as shown in FIG. 2, the user information is stored as a table in which a card ID that is authentication information for uniquely specifying the
このユーザ情報、グループ情報、ルール情報は、入退室管理システムを稼働する前に、記憶部24に事前に登録される情報である。
The user information, group information, and rule information are information registered in advance in the
記憶部24は、権限設定部22によって、例えば、図4(b)に示すような所定のルールに基づき、被認証情報に認証権限を付与することで設定される認証権限情報(入退室権限情報)を記憶する。記憶部24に記憶される認証権限情報は、基本的にはカードIDと、ルールIDとを対応付けた情報であり、図4(b)に示すようなルールIDとグループIDとの関係より、図5に示すようにカードIDと、ルールIDと、グループIDとを対応付けたテーブルとして設定される。
The
検索部25は、入力部23を介し所定のルールに基づくことなく個別に認証権限を付与されたカードIDや、付与された認証権限を同じく入力部23を介し所定のルールに基づくことなく個別に変更又は削除されたカードIDを検索して抽出する。
The
グループ化処理部26は、検索部25によって検索され抽出された所定のルールに基づくことなく個別に認証権限を付与、変更、又は削除されたカードIDを、当該カードIDに付与されている認証権限に基づきグループ化する処理を実行する。
The
権限情報変更部27は、記憶部24に記憶された認証権限情報を変更することで、グループ化処理部26によってグループ化されたカードIDに付与されている認証権限を一括して変更、又は削除する。
The authority
例えば、権限情報変更部27は、認証部21による認証処理が実行される度に記憶される認証履歴情報に応じて、認証権限情報を変更して認証履歴情報に対応するカードIDの認証権限を削除する。また、権限情報変更部27は、グループ化されたカードIDに付与されている認証権限と同一の認証権限を付与された、異なるカードIDが同一グループ内に存在しない場合、記憶部24に記憶された認証権限情報を変更して、カードIDに付与された認証権限を削除する。
For example, the authority
ルール変更部28は、グループ化処理部26によって同一グループにグループ化されたカードIDが複数である場合に、当該カードIDに付与された認証権限に基づく新たなルールを記憶部24にテーブルとして記憶されている所定のルールに追加するように変更する。
When there are a plurality of card IDs grouped in the same group by the
[検索部25の処理]
続いて、図6に示すフローチャートを用いて、検索部25によって実行される所定のルールに基づくことなく個別に認証権限を付与、又は削除されたカードIDのみを検索して抽出する処理について説明をする。
[Processing of search unit 25]
Next, a process for searching for and extracting only the card IDs that have been given or deleted individually without being based on the predetermined rules executed by the
ステップS1において、検索部25は、記憶部24に記憶された所定のルールに基づき認証権限をカードIDに付与(ルールベース)することで設定される認証権限情報と、グループ情報とから、あるカードIDに認証許可されている扉12の扉番号を求める。具体的には、検索部25は、記憶部24に記憶されている図5に示す認証権限情報と、図3(c)に示すルール情報とを用いることになる。この作業を繰り返すことで、図5の認証権限情報に基づく図7に示すようなカードIDと扉番号との対応関係が形成されることになる。
In step S1, the
例えば、検索部25は、あるカードIDとして、図5に示す認証権限情報の1行目にあるカードID“0001”を選択し、このグループIDが“GG001”であることから、図3(c)に示すルール情報を用いて扉番号“1”を求める。また、図3(c)に示すようにグループID“GG001”は、扉番号“2”とも対応しているため、図7の2行目に示すカードID“0001”と扉番号“2”との対応関係も求められる。以下同様にして、図7に示すようにカードID“0001”と扉番号“3”、“4”との対応関係も求められる。
For example, the
ステップS2において、検索部25は、ステップS1で求められたカードIDと扉番号との関係を、図8に示すような記憶部24に記憶されている所定のルールに加え、さらに個別に認証権限を付与されたカードIDと扉番号との関係を示す最新(現在)の認証権限情報と比較し、該当する認証権限情報が存在するかどうか判断をする。検索部25は、該当する認証権限情報が存在する場合には、ステップS3へと処理を進める一方、該当する認証権限情報が存在しない場合にはステップS4へと処理を進める。
In step S2, the
なお、所定のルールに加え、個別に認証権限を削除された場合には、カードIDと扉番号との関係を示す最新の認証権限情報は、図11に示すようになる。図11に示す×印は、視覚的に理解しやすいように便宜的に記したものであり、実際には記載されることはない。また、個別な認証権限の設定は、システム管理者によって自由に行われるため、認証権限の付与と削除とを混在して行うようにしてもよい。 In addition to the predetermined rule, when the authentication authority is deleted individually, the latest authentication authority information indicating the relationship between the card ID and the door number is as shown in FIG. The crosses shown in FIG. 11 are described for convenience so as to be easily understood visually, and are not actually described. In addition, since setting of individual authentication authority is freely performed by the system administrator, granting and deletion of authentication authority may be performed in a mixed manner.
ステップS3において、検索部25は、該当する認証権限情報が存在する場合、ワークテーブルとして、記憶部24に用意された図8に示すような最新の認証権限情報を複製した図9に示すようなテーブルのルール設定フラグの欄にフラグを立てる。これにより、所定のルールに基づき認証権限を設定されたカードIDを識別することができる。
In step S3, the
ステップS4において、検索部25は、該当する認証権限情報が存在しない場合、ワークテーブルにフラグを立てることなく、ステップS1で求められたカードIDと扉番号との関係を抽出し、個別設定分一覧として別途用意された図10に示すようなテーブルに追加する。これにより、個別の設定に基づき認証権限を設定されたカードIDを識別することができる。
In step S4, when the corresponding authentication authority information does not exist, the
なお、最新の認証権限情報が図11に示すようなテーブルであった場合には、個別設定分一覧として図12に示すようなテーブルが別途用意され、カードIDと扉番号との関係が追加されていく。これにより、個別の設定に基づき認証権限を設定されたカードIDを識別することができる。 In addition, when the latest authentication authority information is a table as shown in FIG. 11, a table as shown in FIG. 12 is separately prepared as an individual setting list, and the relationship between the card ID and the door number is added. To go. Thereby, the card ID for which the authentication authority is set can be identified based on the individual setting.
ステップS5において、検索部25は、同一のカードIDに対応する全ての扉番号について、ステップS2〜ステップS4までの処理が終了したかどうかを判断する。検索部25は、全ての扉番号についての処理が完了した場合にはステップS7へと処理を進める一方、完了していない場合にはステップS6へと進め次の扉番号へと移行する。
In step S5, the
ステップS7において、検索部25は、所定のルールに基づき認証権限を設定された全てのカードIDに対して、つまり、図7に示す全てのカードIDに対してステップS2からステップS7までの検索処理が実行されたかどうかを判断する。検索部25は、検索処理が実行されていないカードIDが存在する場合には、ステップS8へと処理を進め次のカードIDへと移行する一方、全てのカードIDに対して検索処理が実行された場合には、処理を終了する。
In step S7, the
このように、検索部25は、認証権限を付与された全てのカードIDのうち、所定のルールに基づくことなく認証権限を付与されたカードIDのみを的確に抽出することができる。したがって、例えば、錯誤により設定されてしまった認証権限や既に不必要となった認証権限の削除や変更が煩雑な作業をすることなく容易に実行でき、認証権限を付与されたカードIDを容易に管理することができる。
In this way, the
[グループ化処理部26の処理]
続いて、図13に示すフローチャートを用いて、グループ化処理部26によって実行されるグループ化処理について説明をする。
[Processing of Grouping Processing Unit 26]
Next, the grouping process executed by the
ステップS11において、グループ化処理部26は、検索部25によって抽出された個別に認証権限を設定されたカードIDの個別設定分一覧を、カードID、扉番号でソートする。例えば、図10に示すような個別設定分一覧は、図14(a)に示すようにソートされる。
In step S <b> 11, the
ステップS12において、グループ化処理部26は、個別設定分一覧においてグループ番号が未設定のカードIDが存在するかどうかを判断する。グループ化処理部26は、グループ番号が未設定のカードIDが存在する場合にはステップS13へと処理を進める一方、グループ番号が未設定のカードIDが存在しない場合には処理を終了する。
In step S12, the
ステップS13において、グループ化処理部26は、ステップS11でソートした個別設定分一覧において、グループ番号未設定の先頭のカードIDの扉番号にグループ番号を設定する。このときのグループ番号は、仮の番号である。
In step S13, the
例えば、図14(a)に示すようにソートされた場合、グループ化処理部26は、先頭のカードID“0001”に対して、図14(b)に示すように、仮のグループ番号として“1”を設定する。
For example, when sorting is performed as shown in FIG. 14A, the
ステップS14において、グループ化処理部26は、個別設定分一覧において、続くグループ番号未設定のカードIDの扉番号を参照し、ステップS13でグループ番号を設定した扉番号と同じ扉番号であるかどうかを判断する。グループ化処理部26は、同じ扉番号である場合にはステップS15へと処理を進める一方、扉番号が違う場合にはステップS16へと処理を進める。
In step S14, the
ステップS15において、グループ化処理部26は、扉番号が同じであることに応じて、続くグループ番号未設定のカードIDに対してステップS13で設定したグループ番号と同じグループ番号を設定する。
In step S15, the
例えば、図14(b)に示すように、カードID“0001”に対して、仮のグループ番号“1”を設定された場合、続くカードID“0002”は、カードID“0001”と同じ扉番号“6”に対応付けられているため、仮のグループ番号“1”を設定する。 For example, as shown in FIG. 14B, when the temporary group number “1” is set for the card ID “0001”, the subsequent card ID “0002” is the same door as the card ID “0001”. Since it is associated with the number “6”, a temporary group number “1” is set.
ステップS16において、グループ化処理部26は、個別設定分一覧において、グループ番号未設定の次のカードIDが存在するかどうかを判断する。グループ化処理部26は、グループ番号が未設定のカードIDが存在する場合にはステップS17へと処理を進め次のカードIDへの処理へと移行する一方、グループ番号が未設定のカードIDが存在しない場合にはステップS18へと処理を進め個別設定分一覧の先頭のカードIDへと戻る。
In step S <b> 16, the
以下、順次、個別設定分一覧に対して同様の処理を繰り返すと、図14(a)に示すようにソートされた個別設定分一覧には、図14(c)に示すような仮のグループ番号が設定されることになる。 Thereafter, when the same processing is sequentially repeated for the individual setting list, the temporary group number as shown in FIG. 14C is displayed in the individual setting list sorted as shown in FIG. Will be set.
(1つのカードIDに対して複数の扉番号が割り当てられている場合の処理)
上述した、図10に示した個別設定分一覧では、1つのカードIDに対して1つの扉番号が割り当てられている例である。図15に示す個別設定分一覧は、1つのカードIDに対して異なる複数の扉番号が割り当てられている。このような場合、グループ化処理部26により、カードID、扉番号でソートをすると図16(a)に示すようになる。
(Processing when multiple door numbers are assigned to one card ID)
In the individual setting list shown in FIG. 10 described above, one door number is assigned to one card ID. In the individually set list shown in FIG. 15, a plurality of different door numbers are assigned to one card ID. In such a case, when the
このような場合、図16(b)に示すように、同一のカードIDが同一のグループとなるように仮のグループ番号を設定する。図16(b)に示すように、カードID“0001”は、異なる扉番号“5”、“6”と対応付けられているが、同一の仮のグループ番号“1”を設定する。 In such a case, a temporary group number is set so that the same card ID is in the same group as shown in FIG. As shown in FIG. 16B, the card ID “0001” is associated with different door numbers “5” and “6”, but the same temporary group number “1” is set.
次に、扉番号“5”、“6”を同一のグループとしているため、扉番号“5”、“6”と対応付けられたカードID“0002”に対しても、図16(b)に示すように同一の仮のグループ番号“1”を設定する。 Next, since the door numbers “5” and “6” are in the same group, the card ID “0002” associated with the door numbers “5” and “6” is also shown in FIG. As shown, the same temporary group number “1” is set.
以下、順次、個別設定分一覧に対して同様の処理を繰り返すと、図16(a)に示すようにソートされた個別設定分一覧には、図16(c)に示すような仮のグループ番号が設定されることになる。 Thereafter, when the same processing is repeated sequentially for the individual setting list, the temporary group number as shown in FIG. 16C is displayed in the individual setting list sorted as shown in FIG. Will be set.
また、上述した認証権限の削除の例として図12に示した個別設定分一覧でも、1つのカードIDに対して異なる複数の扉番号が割り当てられているため、図17に示すように、扉番号“3”、“4”に対して同一の仮の番号“3”を設定し、扉番号“1”、“2”に対して同一の扉番号“4”を設定するようにする。 Also, in the individual setting list shown in FIG. 12 as an example of deleting the authentication authority described above, since a plurality of different door numbers are assigned to one card ID, as shown in FIG. The same temporary number “3” is set for “3” and “4”, and the same door number “4” is set for the door numbers “1” and “2”.
このようなグループ化処理部26によるグループ化により、認証権限を個別に設定され検索部25で抽出されたカードIDをグループ単位で扱うことができるため、認証権限を付与されたカードIDを容易に管理することができる。
By such grouping by the
[権限情報変更部27の処理]
(認証権限の削除処理)
権限情報変更部27は、記憶部24に記憶された認証権限情報を変更することで、グループ化処理部26によってグループ化されたカードIDに付与されている認証権限を一括して変更、又は削除する。具体的には、認証権限の変更、削除は、グループ化された場合に、グループに所属するカードIDの数が少ない場合に、誤設定された可能性が高いとして変更、又は削除により対処するものである。
[Processing of authority information changing unit 27]
(Authentication authority deletion process)
The authority
例えば、図14(c)に示すようにしてグループ化処理部26の処理によりグループ化された場合、権限情報変更部27は、グループ化されたグループ毎にカードIDの数を集計した図18に示すようなテーブルを記憶部24に記憶させる。図18に示すように、グループ番号“1”に対応付けられているカードIDの数は2であり、グループ番号“2”に対応付けられているカードIDの数は1である。このような場合、グループ番号“2”に対応付けられているカードID、つまりは、図14(c)に示すカードID“0004”は、誤って設定された可能性が非常に高いとして権限情報変更部27による認証権限の削除処理対象となる。
For example, as shown in FIG. 14C, when grouping is performed by the processing of the
また、例えば、図16(c)に示すようにグループ化された場合、権限情報変更部27は、グループ化されたグループ毎にカードIDの数を集計した図19に示すようなテーブルを記憶部24に記憶させる。この場合も同様にして、図16(c)に示すカードID“0004”は、誤って設定された可能性が非常に高いとして権限情報変更部27による認証権限の削除処理対象となる。
Further, for example, when grouped as shown in FIG. 16C, the authority
削除処理対象となるカードIDの数は、認証権限が与えられた全体の数なども考慮して決定され、上述したように必ずしも1つであった場合のみならず、それ以上の数が存在する場合でも削除処理対象となる。カードIDの数が1つだけしか存在しない場合には、自動的に削除するようにしてもよいが、与えられた認証権限の数に比して少ないという場合には、誤設定の疑いがあるとして変更処理対象などとし、システム管理者に問いかけるような処理へと移行するようにする。 The number of card IDs that are subject to deletion processing is determined in consideration of the total number of authentication authorities, etc., and there are not only one but also more than that as described above. Even in this case, it will be subject to deletion processing. If there is only one card ID, it may be automatically deleted, but if it is less than the number of authorizations given, there is a suspicion of misconfiguration. As a change process target, the process shifts to a process that asks the system administrator.
このように、権限情報変更部27は、検索部25により抽出されグループ化処理部26でグループ化された個別に設定された認証権限の変更、又は削除処理を非常に簡便な手法により実行することができる。したがって、所定のルールに基づくことなく個別に設定された認証権限を容易に管理することができる。
As described above, the authority
(認証履歴情報に基づく処理)
上述したように記憶部24には、認証部21による認証処理が実行される度に認証履歴情報が記憶される。図20に認証履歴情報の一例を示す。図20に示すように、認証履歴情報には、認証権限を与えられているカードID毎に、扉番号と、認証回数を示す利用回数と、直近で認証された日時情報を示す最終利用日時が対応付けて記憶されている。認証部21は、ICカード5を用いた認証処理が実行される度に読み出されたカードIDに対応する認証履歴情報の利用回数と最終利用日時を更新する。
(Processing based on authentication history information)
As described above, the authentication history information is stored in the
権限情報変更部27は、この記憶部24に記憶され認証処理に応じて随時更新がなされていく認証履歴情報を利用し、認証権限情報を変更して認証履歴情報に対応するカードIDの認証権限を削除する。具体的には、権限情報変更部27は、利用回数が所定の回数以下である場合や、最終利用日時が所定の期間よりも前であった場合などに、カードIDに付与された認証権限は不要、又は誤設定されたものである可能性が高いとして削除する。
The authority
例えば、図20に示す認証履歴情報の10行目のカードID“0002”、扉番号“6”という認証権限情報に対応する利用回数は“0”であるため、認証権限が不要、又は誤設定されたものであると予想される。したがって、権限情報変更部27は、カードID“0002”に設定された扉番号“6”への認証権限を削除対象として削除処理をする。
For example, since the number of uses corresponding to the authentication authority information of the card ID “0002” and the door number “6” on the 10th line of the authentication history information shown in FIG. 20 is “0”, the authentication authority is unnecessary or misconfigured. It is expected that Therefore, the authority
また、例えば、図20に示す認証履歴情報の5行目のカードID“0001”、扉番号“6”という認証権限情報に対応する最終利用日時は、“2005/12/22/…”となっている。現在を、“2006/12/25/…”として、所定の期間を10ヶ月間とすると、最後に認証処理がなされてから所定の期間以上経過していることが分かる。したがって、認証権限が不要、又は誤設定されたものであると予想され、権限情報変更部27は、カードID“0001”に設定された扉番号“6”への認証権限を削除対象として削除処理をする。
Further, for example, the last use date and time corresponding to the authentication authority information of the card ID “0001” and the door number “6” in the fifth line of the authentication history information shown in FIG. 20 is “2005/12/22 /. ing. Assuming that the current period is “2006/12/25 /...” And the predetermined period is 10 months, it can be seen that a predetermined period or more has elapsed since the last authentication process. Accordingly, it is expected that the authentication authority is unnecessary or has been set incorrectly, and the authority
このように、権限情報変更部27は、認証履歴情報を参照することでカードIDに付与された認証権限の削除可能性を容易に把握することができる。さらに、権限情報変更部27は、この削除可能性に基づき認証権限を削除することで、検索部25により抽出されグループ化処理部26でグループ化された個別に設定された認証権限の削除を非常に簡便な手法により実行することができる。したがって、所定のルールに基づくことなく個別に設定された認証権限を容易に管理することができる。
In this way, the authority
(同一設定の検出)
また、権限情報変更部27は、グループ化されたカードIDに付与されている認証権限と同一の認証権限を付与された、異なるカードIDが同一グループ内に存在しない場合、記憶部24に記憶された認証権限情報を変更して、カードIDに付与された認証権限を削除する。
(Same setting detection)
Further, the authority
例えば、権限情報変更部27は、グループ化処理部26によってグループ化された図14(c)に示すような個別設定分一覧において、対象となるカードIDを1つ決定し対応付けられているグループ番号を抽出する。権限情報変更部27は、個別設定分一覧を参照し同一のグループ番号を与えられている、異なるカードIDを検索する。
For example, the authority
このとき、権限情報変更部27は、該当するカードIDが存在すれば検索処理を終了して何も削除をしない一方、該当するカードIDが存在しなければ、同一の設定がないと判断し、このカードIDに付与された認証権限を削除する。
At this time, the authority
権限情報変更部27は、図14(c)において、カードID“0001”を検索対象とすると、カードID“0002”が検索された時点で処理を終了する。したがって、カードID“0004”は、検索されないことになる。権限情報変更部27は、同一の設定の検出によりカードID“0001”の認証権限を削除することなくそのままで維持する。
If the card ID “0001” is a search target in FIG. 14C, the authority
一方、権限情報変更部27は、図14(c)において、カードID“0004”を検索対象とすると、同一の設定を検出することができないため、カードID“0004”に付与された認証権限を削除することになる。
On the other hand, if the card ID “0004” is a search target in FIG. 14C, the authority
このように、権限情報変更部27は、同一設定を検出できない場合には、錯誤によりカードIDに対して認証権限が付与されている可能性が高いと判断し削除処理を実行する。したがって、所定のルールに基づくことなく個別に設定された認証権限を容易に管理することができる。
As described above, when the same setting cannot be detected, the authority
[ルール変更部28の処理]
ルール変更部28は、グループ化処理部26によって同一グループにグループ化されたカードIDが複数である場合に、当該カードIDに付与された認証権限に基づく新たなルールを記憶部24にテーブルとして記憶されている所定のルールに追加するように変更する。
[Process of Rule Changing Unit 28]
When there are a plurality of card IDs grouped in the same group by the
例えば、ルール変更部28は、図14(c)に示したグループ番号(仮のグループ番号)“1”は、カードID“0001”、“0002”というように複数のカードIDを含んで規定されているので、グループ番号“1”に含まれる全ての扉番号をそのまま新しいグループとして規定し、新しいルールとして所定のルールに追加する。
For example, the
ルール変更部28は、例えば、図18を用いて、グループ番号“1”に分類されたカードIDが複数であることを把握し、図14(c)より扉番号“6”を構成要素とするグループID“GG004”を追加グループとして新規に追加する。図21(a)は、新規に追加された追加グループのグループIDとグループ名とを対応付けたものであり、上述した図3(a)に追加される。また、図21(b)は、新規に追加されたグループIDと扉番号とを対応付けたものであり、上述した図3(c)に追加される。
For example, using FIG. 18, the
そして、ルール変更部28は、グループID“GG004”を構成要素とするルールID“R004”を新規に追加する。図22(a)は、新規に追加されたルールのルールIDとルール名とを対応付けたものであり、上述した図4(a)に追加される。また、図22(b)は、新規に追加されたルールIDとグループIDとを対応付けたものであり、上述した図4(b)に追加される。
Then, the
また、ルール変更部28は、例えば、図19を用いて、グループ番号“1”に分類されたカードIDが複数であることを把握し、図16(c)より扉番号“5”、“6”を構成要素とするグループID“GG005”を追加グループとして新規に追加する。図23(a)は、新規に追加された追加グループのグループIDとグループ名とを対応付けたものであり、上述した図3(a)に追加される。また、図23(b)は、新規に追加されたグループIDと扉番号とを対応付けたものであり、上述した図3(c)に追加される。
Further, for example, the
そして、ルール変更部28は、グループID“GG005”を構成要素とするルールID“R005”を新規に追加する。図24(a)は、新規に追加されたルールのルールIDとルール名とを対応付けたものであり、上述した図4(a)に追加される。また、図24(b)は、新規に追加されたルールIDとグループIDとを対応付けたものであり、上述した図4(b)に追加される。
Then, the
このようにして、ルール変更部28は、グループ化処理部26により同一グループにグループ化されたカードIDが複数である場合に、カードIDに付与された認証権限に基づく新たなルールを所定のルールに追加することで、現在の認証権限の付与状況を容易に所定のルールに反映させることができるため、時間経過に伴うシステム利用者の変化に応じたより現実的な認証権限の付与を簡便な手法で実現することができる。
In this way, the
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。 The above-described embodiment is an example of the present invention. For this reason, the present invention is not limited to the above-described embodiment, and various modifications can be made depending on the design and the like as long as the technical idea according to the present invention is not deviated from this embodiment. Of course, it is possible to change.
1 入退室管理システム
5 ICカード
20 認証処理装置
21 認証部
22 権限設定部
23 入力部
24 記憶部
25 検索部
26 グループ化処理部
27 権限情報変更部
28 ルール変更部
DESCRIPTION OF
Claims (7)
前記被認証情報に対し、当該認証処理装置で認証許可するための認証権限を所定のルールに基づき付与する認証権限付与手段と、
前記被認証情報が前記所定のルールに基づき認証権限を付与されたかどうかを判定する判定手段と、
前記判定手段によって前記所定のルールに基づき認証権限を付与されていないと判定された被認証情報を抽出する抽出手段とを備えること
を特徴とする認証処理装置。 In an authentication processing device that executes authentication processing based on authenticated information that uniquely identifies a user,
Authentication authority granting means for granting authentication authority for permitting authentication in the authentication processing apparatus to the authentication information based on a predetermined rule;
A determination unit that determines whether the authentication information is granted authentication authority based on the predetermined rule;
An authentication processing apparatus comprising: extraction means for extracting information to be authenticated that has been determined by the determination means that no authentication authority has been granted based on the predetermined rule.
を特徴とする請求項1記載の認証処理装置。 The authentication processing apparatus according to claim 1, further comprising grouping means for grouping the authentication information extracted by the extraction means based on an authentication authority given to the authentication information.
を特徴とする請求項2記載の認証処理装置。 The authentication processing apparatus according to claim 2, further comprising: an authentication authority changing / deleting unit that collectively changes or deletes the authentication authority given to the authentication target information grouped by the grouping unit. .
を特徴とする請求項2又は請求項3記載の認証処理装置。 The predetermined rule to add a new rule based on the authentication authority given to the authenticated information to the predetermined rule when there are a plurality of authenticated information grouped into the same group by the grouping means The authentication processing device according to claim 2, further comprising: a rule changing unit that changes
を特徴とする請求項2乃至請求項4のいずれか1項に記載の認証処理装置。 5. The authentication history information storage unit that stores authentication history information each time authentication information to which the authentication authority is granted is authenticated. 5. Authentication processing device.
を特徴とする請求項5記載の認証処理装置。 The authentication authority changing / deleting means deletes the authentication authority given to the authentication information corresponding to the authentication history information according to the authentication history information stored by the authentication history information storage means. The authentication processing device according to claim 5.
を特徴とする請求項3記載の認証処理装置。 The authentication processing apparatus according to claim 3, wherein the authentication authority changing / deleting section deletes the authentication authority of the authentication information when there is no authentication information to which the same authentication authority is given.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006345975A JP2008158746A (en) | 2006-12-22 | 2006-12-22 | Authentication processor |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006345975A JP2008158746A (en) | 2006-12-22 | 2006-12-22 | Authentication processor |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008158746A true JP2008158746A (en) | 2008-07-10 |
Family
ID=39659592
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006345975A Pending JP2008158746A (en) | 2006-12-22 | 2006-12-22 | Authentication processor |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008158746A (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010055204A (en) * | 2008-08-26 | 2010-03-11 | Panasonic Electric Works Co Ltd | Cooperation control system and cooperation controller |
WO2017175268A1 (en) * | 2016-04-04 | 2017-10-12 | 三菱電機株式会社 | Entry/exit management system |
JP2019074832A (en) * | 2017-10-13 | 2019-05-16 | アズビル株式会社 | Admission control device and usage status management method |
WO2019117150A1 (en) * | 2017-12-14 | 2019-06-20 | パナソニックIpマネジメント株式会社 | Determination system, electric lock control system, electric lock-equipped door, and determination method and program |
JP2022137274A (en) * | 2011-11-15 | 2022-09-21 | グローリー株式会社 | Key management machine |
-
2006
- 2006-12-22 JP JP2006345975A patent/JP2008158746A/en active Pending
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010055204A (en) * | 2008-08-26 | 2010-03-11 | Panasonic Electric Works Co Ltd | Cooperation control system and cooperation controller |
JP2022137274A (en) * | 2011-11-15 | 2022-09-21 | グローリー株式会社 | Key management machine |
JP7339403B2 (en) | 2011-11-15 | 2023-09-05 | グローリー株式会社 | key manager |
WO2017175268A1 (en) * | 2016-04-04 | 2017-10-12 | 三菱電機株式会社 | Entry/exit management system |
JPWO2017175268A1 (en) * | 2016-04-04 | 2018-08-02 | 三菱電機株式会社 | Entrance / exit management system |
CN108780601A (en) * | 2016-04-04 | 2018-11-09 | 三菱电机株式会社 | access management system |
JP2019074832A (en) * | 2017-10-13 | 2019-05-16 | アズビル株式会社 | Admission control device and usage status management method |
WO2019117150A1 (en) * | 2017-12-14 | 2019-06-20 | パナソニックIpマネジメント株式会社 | Determination system, electric lock control system, electric lock-equipped door, and determination method and program |
JP2019105141A (en) * | 2017-12-14 | 2019-06-27 | パナソニックIpマネジメント株式会社 | Determination system, electric lock control system, electric lock-equipped door, determination method, and program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4992974B2 (en) | User authentication device, user authentication method, and user authentication program | |
US20070250905A1 (en) | Method, System and Computer Program for Managing User Authorization Levels | |
JP2007299214A (en) | Biometric authentication device and biometric authentication program | |
EP1472583A2 (en) | Method for supporting single sign on | |
JP4965170B2 (en) | Cooperation control apparatus and management system | |
JP2008158746A (en) | Authentication processor | |
JP2019144695A (en) | Face authentication system, face authentication server and face authentication method | |
US20160110530A1 (en) | Method and a system for authenticating a user in terms of a cloud based access control system | |
JP4885683B2 (en) | Authentication device, authentication method for authentication device, and authentication program for authentication device | |
US20100271173A1 (en) | Management system and management method | |
JP2009169478A (en) | Biometric system, biometric method, and biometric program | |
JP5203286B2 (en) | Biometric authentication system, biometric authentication method, and information processing apparatus | |
JP4660097B2 (en) | Storage case management system | |
JP2006249802A (en) | Entry control program, entry control method and entry control device | |
JP2011086130A (en) | Fingerprint authentication system | |
JP2004019339A (en) | Device and method for management entrance and exit | |
JP2011048454A (en) | Access management system | |
NL1037813C2 (en) | System and method for checking the authenticity of the identity of a person logging into a computer network. | |
JP6897891B1 (en) | Admission management system, admission management device, admission management method, and computer program | |
JP4044396B2 (en) | Entrance / exit management system and entrance / exit management method | |
JP4955434B2 (en) | Authentication processing device | |
JP5681544B2 (en) | Media management system | |
JP5537191B2 (en) | Entrance / exit management system | |
JP2008057315A (en) | Temporary use management system and its method | |
TWI430130B (en) | File usage permission management system |