JP2009181153A - 利用者認証システム、および方法、プログラム、媒体 - Google Patents
利用者認証システム、および方法、プログラム、媒体 Download PDFInfo
- Publication number
- JP2009181153A JP2009181153A JP2008017161A JP2008017161A JP2009181153A JP 2009181153 A JP2009181153 A JP 2009181153A JP 2008017161 A JP2008017161 A JP 2008017161A JP 2008017161 A JP2008017161 A JP 2008017161A JP 2009181153 A JP2009181153 A JP 2009181153A
- Authority
- JP
- Japan
- Prior art keywords
- information
- portable device
- authentication
- user
- storage unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】本発明の課題は、デバイス認証情報を分割して管理するとともに、分割管理したものから復元した認証情報を有効期限管理することによって、不正な使用を不可能にする技術を提供することである。
【解決手段】
記憶するデバイス認証情報から分散生成された分割情報と有効期限情報とを含む管理データを利用者携帯装置に近距離無線送信する管理者携帯装置と、管理者携帯装置が近距離無線送信した管理データを受信し、管理データの分割情報と記憶する分割情報から認証情報を復元し、これを記憶させ、記憶させた復元認証情報を情報処理装置に送信し、管理データの有効期限が過ぎたら、記憶させた復元認証情報を削除する利用者携帯装置と、デバイス認証情報を記憶し、利用者携帯装置が送信する復元認証情報を取得し、記憶するデバイス認証情報と照合して認証する情報処理装置と、から構成されることを特徴とする利用者認証システムである。
【選択図】図1
【解決手段】
記憶するデバイス認証情報から分散生成された分割情報と有効期限情報とを含む管理データを利用者携帯装置に近距離無線送信する管理者携帯装置と、管理者携帯装置が近距離無線送信した管理データを受信し、管理データの分割情報と記憶する分割情報から認証情報を復元し、これを記憶させ、記憶させた復元認証情報を情報処理装置に送信し、管理データの有効期限が過ぎたら、記憶させた復元認証情報を削除する利用者携帯装置と、デバイス認証情報を記憶し、利用者携帯装置が送信する復元認証情報を取得し、記憶するデバイス認証情報と照合して認証する情報処理装置と、から構成されることを特徴とする利用者認証システムである。
【選択図】図1
Description
本発明は、利用者認証システムにおいて、分割した認証情報を分散させて管理するシステム、および方法、プログラム、媒体に関するものである。
特に認証情報を安全に管理するときに有用である。
特に認証情報を安全に管理するときに有用である。
現代の組織活動においては、機密情報などの情報資産の管理が益々重要となっている。
近時、個人情報保護法や日本版SOX法などの法律への対処法として、個人情報や企業秘密などの機密情報の利用記録(=ログ)を保存する方法や、利用者を認証(=ICカードを用いたデバイス認証や、暗証情報を用いたパスワード認証)する方法を執って、情報を管理している。
《1.ログ》
ログは、ログサーバ装置を用いて、利用者端末装置の利用者認証(パスワード、IDカード、バイオメトリクス認証等)をして利用者を識別して、情報資産へのアクセス操作などを記録する。
しかし、この方法では、常に利用者端末装置はログサーバ装置と接続する必要があるため、利便性が損なわれる。
《2.デバイス認証》
認証サーバ装置を用いて、ICカードが記憶する識別情報を照合して、ICカードの持ち主を認証する。
しかし、デバイス認証では、拾得されたICカードや盗用されたICカードによる不正な利用を防ぐことはできない。
近時、個人情報保護法や日本版SOX法などの法律への対処法として、個人情報や企業秘密などの機密情報の利用記録(=ログ)を保存する方法や、利用者を認証(=ICカードを用いたデバイス認証や、暗証情報を用いたパスワード認証)する方法を執って、情報を管理している。
《1.ログ》
ログは、ログサーバ装置を用いて、利用者端末装置の利用者認証(パスワード、IDカード、バイオメトリクス認証等)をして利用者を識別して、情報資産へのアクセス操作などを記録する。
しかし、この方法では、常に利用者端末装置はログサーバ装置と接続する必要があるため、利便性が損なわれる。
《2.デバイス認証》
認証サーバ装置を用いて、ICカードが記憶する識別情報を照合して、ICカードの持ち主を認証する。
しかし、デバイス認証では、拾得されたICカードや盗用されたICカードによる不正な利用を防ぐことはできない。
《3.パスワード認証》
たとえば、特許文献1では、入力されたパスワードと照合するための照合用パスワードを分割して管理するパスワード認証であって、分割されたパスワードを格納された情報処理装置11(=認証装置)は、記憶デバイス1が接続されるとそこに格納された分割されたパスワードを集めて元のパスワード(=照合用パスワード)を復元して入力されたパスワードを認証し、また、記憶デバイス1が分離されると復元した照合用パスワードを情報処理装置11から削除する技術が開示されている。
特許文献2では、利用者37が入力するパスワードを分割して管理するパスワード認証であって、利用者37が分割されたパスワードを管理する各管理者38/39に依頼して集めた分割されたパスワード35a−1/nを組み合せて元のパスワード11(=入力用パスワード)を復元して、これを入力して、利用システム41(=認証装置)の認証情報と照合してパスワード認証する技術が開示されている。
特開2001−344037号公報(段落0016、段落0028、図2)
特開2006−65708号公報(段落0022−段落、図3−4)
たとえば、特許文献1では、入力されたパスワードと照合するための照合用パスワードを分割して管理するパスワード認証であって、分割されたパスワードを格納された情報処理装置11(=認証装置)は、記憶デバイス1が接続されるとそこに格納された分割されたパスワードを集めて元のパスワード(=照合用パスワード)を復元して入力されたパスワードを認証し、また、記憶デバイス1が分離されると復元した照合用パスワードを情報処理装置11から削除する技術が開示されている。
特許文献2では、利用者37が入力するパスワードを分割して管理するパスワード認証であって、利用者37が分割されたパスワードを管理する各管理者38/39に依頼して集めた分割されたパスワード35a−1/nを組み合せて元のパスワード11(=入力用パスワード)を復元して、これを入力して、利用システム41(=認証装置)の認証情報と照合してパスワード認証する技術が開示されている。
しかしながら、特許文献1の技術では、認証装置11に分割されたパスワードを記憶する記憶デバイス1が接続されていないとパスワード認証ができないために利便性に欠ける。
また、特許文献2の技術では、復元したパスワードが利用者37以外に漏洩すると、不正な利用を防ぐことはできない。
また、特許文献2の技術では、復元したパスワードが利用者37以外に漏洩すると、不正な利用を防ぐことはできない。
本発明は以上のような点を解決するためになされたものであって、本発明の課題は、デバイス認証情報を分割して管理するとともに、分割管理したものから復元した認証情報を有効期限管理することによって、不正な使用を不可能にする技術を提供することである。
本発明は、以下の各態様に記載の手段により、前記課題を解決する。
すなわち、本願発明の第1の発明は、近距離無線通信接続される管理者携帯装置と利用者携帯装置と情報処理装置とから構成される利用者認証システムであって、前記管理者携帯装置は、デバイス認証情報から分散されて生成された分割情報を記憶する記憶部と、有効期限情報と、記憶部に記憶された分割情報とを含む管理データを作成して、利用者携帯装置に送信する管理データ作成送信手段と、を備える携帯装置であって、前記利用者携帯装置は、分割情報を記憶する記憶部と、管理者携帯装置が送信した管理データを受信する管理データ受信手段と、管理データ受信手段が受信した管理データの分割情報と、記憶部が記憶する分割情報から認証情報を復元して、これを記憶部に記憶させる認証情報復元手段と、認証情報復元手段が記憶部に記憶させた復元された認証情報を情報処理装置に送信する認証情報送信手段と、管理データ受信手段が受信した管理データの有効期限が過ぎたら、認証情報復元手段が記憶部に記憶させた復元された認証情報を削除する認証情報削除手段と、を備える携帯装置であって、前記情報処理装置は、デバイス認証情報を記憶する記憶部と、利用者携帯装置が送信する復元された認証情報を取得して、記憶部が記憶するデバイス認証情報と照合して認証するデバイス認証手段とを備える処理装置であることを特徴とする利用者認証システムである。
すなわち、本願発明の第1の発明は、近距離無線通信接続される管理者携帯装置と利用者携帯装置と情報処理装置とから構成される利用者認証システムであって、前記管理者携帯装置は、デバイス認証情報から分散されて生成された分割情報を記憶する記憶部と、有効期限情報と、記憶部に記憶された分割情報とを含む管理データを作成して、利用者携帯装置に送信する管理データ作成送信手段と、を備える携帯装置であって、前記利用者携帯装置は、分割情報を記憶する記憶部と、管理者携帯装置が送信した管理データを受信する管理データ受信手段と、管理データ受信手段が受信した管理データの分割情報と、記憶部が記憶する分割情報から認証情報を復元して、これを記憶部に記憶させる認証情報復元手段と、認証情報復元手段が記憶部に記憶させた復元された認証情報を情報処理装置に送信する認証情報送信手段と、管理データ受信手段が受信した管理データの有効期限が過ぎたら、認証情報復元手段が記憶部に記憶させた復元された認証情報を削除する認証情報削除手段と、を備える携帯装置であって、前記情報処理装置は、デバイス認証情報を記憶する記憶部と、利用者携帯装置が送信する復元された認証情報を取得して、記憶部が記憶するデバイス認証情報と照合して認証するデバイス認証手段とを備える処理装置であることを特徴とする利用者認証システムである。
このように、利用者携帯装置は、管理者携帯装置と通信することによって、有効期限付きのデバイス認証情報(たとえば、認証ID)を復元して保持することができる。
すなわち、利用者携帯装置は、デバイス認証を受けることが可能な期間を限定したデバイス認証情報(たとえば、認証ID)を復元し保持することができる。
すなわち、利用者携帯装置は、デバイス認証を受けることが可能な期間を限定したデバイス認証情報(たとえば、認証ID)を復元し保持することができる。
本願発明の第2の発明は、前記管理者携帯装置は、前記記憶部が、分割情報と証明書情報を記憶して、証明書要求を利用者携帯装置に送信する証明書要求手段と、利用者携帯装置が返信する証明書情報を受信して、これを記憶部に記憶される証明書情報と照合して、両者が一致すれば、利用者携帯装置をデバイス認証する携帯デバイス認証手段と、を備える携帯装置であって、前記利用者携帯装置は、前記記憶部が、分割情報と証明書情報を記憶して、管理者携帯装置が送信した証明書要求を受け付けて、記憶部に記憶する証明書情報を返信する証明書返信手段を備える携帯装置である、ことを特徴とする請求項1に記載の利用者認証システムである。
このように、管理者携帯装置は、利用者携帯装置をデバイス認証してから分割情報を送信することができる。
本願発明の第3の発明は、前記管理者携帯装置は、前記記憶部が、管理者暗証情報を記憶して、入力された暗証情報を受け付けて、記憶部に記憶される管理者暗証情報と照合して両者が一致すれば、管理者を認証するパスワード認証手段を備える携帯装置であって、前記利用者携帯装置は、前記記憶部が、利用者暗証情報を記憶して、入力された暗証情報を受け付けて、記憶部に記憶される利用者暗証情報と照合して両者が一致すれば、利用者を認証するパスワード認証手段を備える携帯装置である、ことを特徴とする請求項1に記載の利用者認証システムである。
このように、各携帯装置(=管理者携帯装置や利用者携帯装置)は、パスワード管理されているので、全てのパスワードを不正に取得して分割情報から認証情報を復元することは現実には不可能である。
本願発明の第4の発明は、前記管理者携帯装置は、前記記憶部が、管理者識別情報を記憶して、前記管理データ作成送信手段が、有効期限情報と、記憶部に記憶された分割情報と管理者識別情報とを含む管理データを作成して、利用者携帯装置に送信する携帯装置であって、前記利用者携帯装置は、前記認証情報送信手段が、認証情報復元手段が記憶部に記憶させた復元された認証情報に、利用者携帯装置が送信した管理者識別情報を添えて情報処理装置に送信する携帯装置であって、前記情報処理装置は、利用者携帯装置が送信した復元された認証情報に添えられた管理者識別情報を用いてログを作成するログ記録手段を備える処理装置であることを特徴とする請求項1に記載の利用者認証システムである。
このように、復元された認証情報の有効期間を設定した管理者携帯装置を特定することができる。
本願発明の第5の発明は、前記利用者認証システムは、さらに管理装置を含んで構成されて、前記管理装置は、デバイス認証情報を記憶する記憶部と、記憶部が記憶するデバイス認証情報を情報処理装置に送信する認証情報送信手段と、記憶部が記憶するデバイス認証情報を用いて、分割情報を作成する分割情報作成手段と、分割情報作成手段が作成した分割情報を、利用者携帯装置と管理者携帯装置に送信する分割情報送信手段と、を備える管理装置であって、前記管理者携帯装置は、管理装置から送信された分割情報を受信して、これを記憶部に登録する分割情報登録手段、を備える携帯装置であって、前記利用者携帯装置は、管理装置から送信された分割情報を受信して、これを記憶部に登録する分割情報登録手段、を備える携帯装置であって、前記情報処理装置は、管理装置から送信されたデバイス認証情報を受信して、これを記憶部に登録する認証情報登録手段、を備える処理装置であることを特徴とする請求項1に記載の利用者認証システムである。
本願発明の第6の発明は、前記管理装置は、前記記憶部が、デバイス認証情報と証明書情報を記憶して、前記分割情報送信手段が、分割情報作成手段が作成した分割情報と記憶部が記憶する証明書情報とを、管理者携帯装置と利用者携帯装置に送信する管理装置であって、前記管理者携帯装置は、前記分割情報登録手段が、管理装置から送信された分割情報と証明書情報とを受信して、これを記憶部に登録する携帯装置であって、前記利用者携帯装置は、前記分割情報登録手段が、管理装置から送信された分割情報と証明書情報とを受信して、これを記憶部に登録する携帯装置である、ことを特徴とする請求項5に記載の利用者認証システムである。
本願発明の第7の発明は、デバイス認証情報と、このデバイス認証情報から生成された分割情報を用いる利用者認証方法であって、管理者携帯装置が、有効期限情報と、記憶部に記憶された分割情報とを含む管理データを作成して、利用者携帯装置に送信する管理データ作成送信ステップと、利用者携帯装置が、管理者携帯装置から送信された管理データを受信する管理データ受信ステップと、利用者携帯装置が、受信した管理データの分割情報と、利用者携帯装置の記憶部が記憶する分割情報から認証情報を復元して、これを記憶部に記憶させる認証情報復元ステップと、利用者携帯装置が、記憶部に記憶させた復元された認証情報を情報処理装置に送信する認証情報送信ステップと、情報処理装置が、利用者携帯装置から送信された復元された認証情報を取得して、記憶部が記憶するデバイス認証情報と照合して認証するデバイス認証ステップと、利用者携帯装置が、受信した管理データの有効期限が過ぎたら、記憶部に記憶する復元された認証情報を削除する認証情報削除ステップと、を含んだ手順でなされることを特徴とする利用者認証方法である。
本願発明の第8の発明は、管理者携帯装置が利用者携帯装置を携帯デバイス認証するための証明書情報と、デバイス認証情報と、このデバイス認証情報から生成された分割情報を用いる利用者認証方法であって、管理者携帯装置が、証明書要求を利用者携帯装置に送信する証明書要求ステップと、利用者携帯装置が、管理者携帯装置から送信された証明書要求を受け付けて、記憶部に記憶する証明書情報を返信する証明書情報返信ステップと、管理者携帯装置が利用者携帯装置から返信された証明書情報を受信して、これを記憶部に記憶される証明書情報と照合して、両者が一致すれば、利用者携帯装置をデバイス認証する携帯デバイス認証ステップと、管理者携帯装置が、有効期限情報と、記憶部に記憶された分割情報とを含む管理データを作成して、利用者携帯装置に送信する管理データ作成送信ステップと、利用者携帯装置が、管理者携帯装置から送信された管理データを受信する管理データ受信ステップと、利用者携帯装置が、受信した管理データの分割情報と、利用者携帯装置の記憶部が記憶する分割情報から認証情報を復元して、これを記憶部に記憶させる認証情報復元ステップと、利用者携帯装置が、記憶部に記憶させた復元された認証情報を情報処理装置に送信する認証情報送信ステップと、情報処理装置が、利用者携帯装置から送信された復元された認証情報を取得して、記憶部が記憶するデバイス認証情報と照合して認証するデバイス認証ステップと、利用者携帯装置が、受信した管理データの有効期限が過ぎたら、記憶部に記憶する復元された認証情報を削除する認証情報削除ステップと、を含んだ手順でなされることを特徴とする利用者認証方法である。
本願発明の第9の発明は、デバイス認証情報と、このデバイス認証情報から生成された分割情報を用いる利用者認証方法であって、管理者携帯装置が、入力部から入力された暗証情報を受け付けて、記憶部に記憶される管理者暗証情報と照合して両者が一致すれば、管理者を認証するパスワード認証ステップと、管理者携帯装置が、有効期限情報と、記憶部に記憶された分割情報とを含む管理データを作成して、利用者携帯装置に送信する管理データ作成送信ステップと、利用者携帯装置が、入力された暗証情報を受け付けて、記憶部に記憶される利用者暗証情報と照合して両者が一致すれば、利用者を認証するパスワード認証ステップと、利用者携帯装置が、管理者携帯装置から送信された管理データを受信する管理データ受信ステップと、利用者携帯装置が、受信した管理データの分割情報と、利用者携帯装置の記憶部が記憶する分割情報から認証情報を復元して、これを記憶部に記憶させる認証情報復元ステップと、利用者携帯装置が、記憶部に記憶させた復元された認証情報を情報処理装置に送信する認証情報送信ステップと、情報処理装置が、利用者携帯装置から送信された復元された認証情報を取得して、記憶部が記憶するデバイス認証情報と照合して認証するデバイス認証ステップと、利用者携帯装置が、受信した管理データの有効期限が過ぎたら、記憶部に記憶する復元された認証情報を削除する認証情報削除ステップと、を含んだ手順でなされることを特徴とする利用者認証方法である。
本願発明の第10の発明は、コンピュータに組込むことによって、コンピュータを請求項1から請求項6のいずれか1項に記載の利用者認証システムとして動作させるコンピュータプログラムである。
本願発明の第11の発明は、請求項10に記載のコンピュータプログラムを記録したコンピュータ読取り可能な記録媒体である。
本願発明によれば、
(1)復元された認証情報は、管理者により設定された有効期間を過ぎると、削除することができる。
(2)パスワード管理された携帯装置により認証情報が分割されて管理されているので、分割情報を不正に収集して認証情報を復元することは不可能である。
(3)管理者は利用者の携帯装置をデバイス認証するので、利用者の成りすましを防止できる。
(4)復元された認証情報の有効期間を設定した管理者を特定することができる。
従って、本発明によれば、デバイス認証とパスワード認証を組み合わせた二要素認証により、認証情報を生成するので、認証の信頼性が向上するという効果がある。
(1)復元された認証情報は、管理者により設定された有効期間を過ぎると、削除することができる。
(2)パスワード管理された携帯装置により認証情報が分割されて管理されているので、分割情報を不正に収集して認証情報を復元することは不可能である。
(3)管理者は利用者の携帯装置をデバイス認証するので、利用者の成りすましを防止できる。
(4)復元された認証情報の有効期間を設定した管理者を特定することができる。
従って、本発明によれば、デバイス認証とパスワード認証を組み合わせた二要素認証により、認証情報を生成するので、認証の信頼性が向上するという効果がある。
以下、図面等を参照しながら、本発明の実施の形態について、更に詳しく説明する。
図1は、本発明による利用者認証システム1の概要を説明する図である。
利用者認証システム1は、管理者携帯装置200と利用者携帯装置100と管理装置300と情報処理装置400とが、近距離無線通信接続されて構成される。
利用者認証システム1は、管理装置300が管理者携帯装置200と利用者携帯装置100と情報処理装置400とに、認証情報や認証情報を合成することができる情報を配布し、利用者携帯装置100が、管理者携帯装置200から認証情報を合成することができる情報を得て認証情報を合成し、この利用者携帯装置100が情報処理装置400により認証する。
なお、管理装置300と情報処理装置400との通信接続形態は、近距離無線通信の代わりに、有線通信でもよい。
利用者認証システム1は、管理者携帯装置200と利用者携帯装置100と管理装置300と情報処理装置400とが、近距離無線通信接続されて構成される。
利用者認証システム1は、管理装置300が管理者携帯装置200と利用者携帯装置100と情報処理装置400とに、認証情報や認証情報を合成することができる情報を配布し、利用者携帯装置100が、管理者携帯装置200から認証情報を合成することができる情報を得て認証情報を合成し、この利用者携帯装置100が情報処理装置400により認証する。
なお、管理装置300と情報処理装置400との通信接続形態は、近距離無線通信の代わりに、有線通信でもよい。
利用者携帯装置100と管理者携帯装置200は、たとえば、携帯電話やPDAのような携帯通信端末装置に後述する専用プログラムを搭載したものである。
利用者携帯装置100と管理者携帯装置200は、近距離無線通信接続装置を有する。
利用者携帯装置100と管理者携帯装置200は、近距離無線通信接続装置を有する。
情報処理装置400は、パーソナルコンピュータに後述する専用プログラムを搭載したものである。
情報処理装置400は、近距離無線通信接続装置を有する。
管理装置300は、パーソナルコンピュータやサーバコンピュータに後述する専用プログラムを搭載したものである。
管理装置300は、近距離無線通信接続装置を有する。
情報処理装置400は、近距離無線通信接続装置を有する。
管理装置300は、パーソナルコンピュータやサーバコンピュータに後述する専用プログラムを搭載したものである。
管理装置300は、近距離無線通信接続装置を有する。
ここで、近距離無線通信の通信規格は、IEEE802.15(Bluetoothなど)や、IEEE802.11(Wi-Fi)や、ISO/IEC 21481などである。
図2は、利用者認証の大まかな処理の流れを説明する。
《1.認証情報の配布》
管理装置300は、デバイス認証情報を情報処理装置400に配布して、同時に、デバイス認証情報から作成した分割情報を利用者携帯装置100と管理者携帯装置200に配布する(図2(1))。
管理者携帯装置200は、管理装置300から配布された分割情報を登録して保持する(同(2))。利用者携帯装置100は、管理装置300から配布された分割情報を登録して保持する(同(3))。情報処理装置400は、管理装置300から配布されたデバイス認証情報を登録して保持する(同(4))。
《1.認証情報の配布》
管理装置300は、デバイス認証情報を情報処理装置400に配布して、同時に、デバイス認証情報から作成した分割情報を利用者携帯装置100と管理者携帯装置200に配布する(図2(1))。
管理者携帯装置200は、管理装置300から配布された分割情報を登録して保持する(同(2))。利用者携帯装置100は、管理装置300から配布された分割情報を登録して保持する(同(3))。情報処理装置400は、管理装置300から配布されたデバイス認証情報を登録して保持する(同(4))。
なお、分割情報は、デバイス認証情報を、分割した情報である。分割する方法は、デバイス認証情報のビット列を、必要な個数に分割する。たとえば、2分割して二分の一ビット列を2個作る、や、3分割して三分の一ビット列を3個作るなどのようにする。
あるいは、分割情報は、秘密分散法を用いて、デバイス認証情報から生成した情報でもよい。ここで、秘密分散法とは、秘密情報(=デバイス認証情報)を複数個に分散し、分散された情報(以下、分割情報)から予め定められた個数が集まれば元の秘密情報を復元することができる方法である。
あるいは、分割情報は、秘密分散法を用いて、デバイス認証情報から生成した情報でもよい。ここで、秘密分散法とは、秘密情報(=デバイス認証情報)を複数個に分散し、分散された情報(以下、分割情報)から予め定められた個数が集まれば元の秘密情報を復元することができる方法である。
《2.携帯装置のパスワード認証》
管理者携帯装置200は、入力されたパスワードを受け付けてパスワード認証して、利用者携帯装置100との近距離無線送受信を許可する(同(5))。
利用者携帯装置100は、入力されたパスワード(たとえば、PIN)を受け付けてパスワード認証して、管理者携帯装置200との近距離無線送受信を許可にする(同(6))。
管理者携帯装置200は、入力されたパスワードを受け付けてパスワード認証して、利用者携帯装置100との近距離無線送受信を許可する(同(5))。
利用者携帯装置100は、入力されたパスワード(たとえば、PIN)を受け付けてパスワード認証して、管理者携帯装置200との近距離無線送受信を許可にする(同(6))。
《3.認証情報の復元》
管理者携帯装置200は、保持された分割情報と有効期限を利用者携帯装置100に近距離無線送信する(同(7))。
利用者携帯装置100は、保持された分割情報と管理者携帯装置200から近距離無線送信されて受信した分割情報とから認証情報を復元して、復元された認証情報を情報処理装置400に送信する(同(8))。
管理者携帯装置200は、保持された分割情報と有効期限を利用者携帯装置100に近距離無線送信する(同(7))。
利用者携帯装置100は、保持された分割情報と管理者携帯装置200から近距離無線送信されて受信した分割情報とから認証情報を復元して、復元された認証情報を情報処理装置400に送信する(同(8))。
《4.デバイス認証》
情報処理装置400は、利用者携帯装置100から復元された認証情報を取得して、保持したデバイス認証情報と照合して、デバイス認証する(同(9))。
情報処理装置400は、利用者携帯装置100から復元された認証情報を取得して、保持したデバイス認証情報と照合して、デバイス認証する(同(9))。
《5.復元された認証情報の有効期限管理》
利用者携帯装置100は、復元された認証情報の有効期限を過ぎたら、これを削除する(同(10))。
利用者携帯装置100は、復元された認証情報の有効期限を過ぎたら、これを削除する(同(10))。
ここで、分割情報と復元された認証情報とデバイス認証情報との関係を説明する。
図3は、分割情報と復元された認証情報とデバイス認証情報との関係を説明する図である。
利用者携帯装置が保持する分割情報191と管理者携帯装置が保持する分割情報291とを用いて、認証情報193が復元される。
復元された認証情報193は、情報処理装置が保持するデバイス認証情報491と照合して、両者が一致すれば、復元された認証情報193を有する利用者携帯装置100がデバイス認証される。
利用者携帯装置が保持する分割情報191と管理者携帯装置が保持する分割情報291とを用いて、認証情報193が復元される。
復元された認証情報193は、情報処理装置が保持するデバイス認証情報491と照合して、両者が一致すれば、復元された認証情報193を有する利用者携帯装置100がデバイス認証される。
図4は、管理装置300の詳細な構成図である。
管理装置300は、CPU301と、無線通信部305と、記憶部309と、専用プログラムを備える。
管理装置300は、CPU301と、無線通信部305と、記憶部309と、専用プログラムを備える。
CPU301は、中央演算処理装置である。
無線通信部305は、近距離無線送受信装置である。
無線通信部305は、アンテナ304を有する。
無線通信部305は、受信した電磁波(=無線電波)を復調して、制御信号を取り出す。あるいは、電磁波を送出するための搬送波を発生させ、デジタル情報を電波に変換する。
無線電波は、UHF帯である。
アンテナ304は、無線電波を送受信する。
なお、無線電波の近距離無線通信規格は、IEEE802.15、IEEE802.11、ISO/IEC 21481などを用いる。
無線通信部305は、アンテナ304を有する。
無線通信部305は、受信した電磁波(=無線電波)を復調して、制御信号を取り出す。あるいは、電磁波を送出するための搬送波を発生させ、デジタル情報を電波に変換する。
無線電波は、UHF帯である。
アンテナ304は、無線電波を送受信する。
なお、無線電波の近距離無線通信規格は、IEEE802.15、IEEE802.11、ISO/IEC 21481などを用いる。
記憶部309は、半導体メモリや磁気メモリである。記憶部309は、デバイス認証情報491と証明書情報395を記憶する。証明書情報395は、管理者携帯装置200が利用者携帯装置100を認証するために用いる情報である。
このほかに、分割情報作成手段310と分割情報送信手段320と認証情報送信手段330を備える。これらの各手段は、それぞれの専用プログラムとして実現され、専用プログラムがCPU301に解釈・実行されることによって機能する。
分割情報作成手段310は、記憶部309が記憶するデバイス認証情報491を用いて、分割情報191/291を作成する。
管理データ送信手段320は、分割情報作成手段310が作成した分割情報191/291と記憶部309が記憶する証明書情報395を、利用者携帯装置100や管理者携帯装置200に送信する。
認証情報送信手段330は、記憶部309が記憶するデバイス認証情報491を情報処理装置400に送信する。
認証情報送信手段330は、記憶部309が記憶するデバイス認証情報491を情報処理装置400に送信する。
ここで、図2の認証情報の復元処理を詳細に説明する。
図5は、認証情報復元処理の詳細な流れを説明する図である。
《3−1.権限リスト表示》
管理者がPIN認証された管理者携帯装置200は、権限リスト(利用者に、どの情報処理装置の利用権限を与えるかを選択するための一覧情報。たとえば、情報処理装置名称一覧)を表示する。(図5(7−1)このとき、管理者携帯装置200は、PIN認証された管理者が選択した権限情報(たとえば、選択した情報処理装置名称を含む情報)を受け付ける。
《3−2.証明書要求》
管理者携帯装置200は、利用者携帯装置100が正当なデバイスであることを確認するために、利用者携帯装置100に認証を行なうための証明書を要求する(同(7−2)。
《3−3.証明書返信》
利用者がPIN認証された利用者携帯装置100は、管理者携帯装置200が送信した証明書要求を受信する(同(7−3)
利用者携帯装置100は、証明書を管理者携帯装置200に返信する(同(7−4)。
《3−4.携帯デバイス認証》
管理者携帯装置200は、利用者携帯装置100が返信した証明書を受信する(同(7−5)。
管理者携帯装置200は、参照リスト(=記憶部に登録されている証明書)と比較しながら、利用者携帯装置100を認証する(同(7−6)。
《3−5.分割情報の送信》
管理者携帯装置200は、権限の有効期限情報の入力をユーザに促すために権限設定画面を表示する(同(7−7)
管理者が入力するが有効期限情報を受け付ける(同(7−8)。
ユーザが権限設定画面の送信ボタンを押すと、管理者携帯装置200は、選択した権限に対応した分割情報と有効期限情報を利用者携帯装置100に送信する(同(7−9)。
《3−6.認証情報復元》
利用者携帯装置100は、管理者携帯装置200が送信した分割情報と有効期限情報を受信する(同(8−1)
利用者携帯装置100は、受信した分割情報と登録された分割情報とを用いて、認証情報を復元する(同(8−2)。
《3−1.権限リスト表示》
管理者がPIN認証された管理者携帯装置200は、権限リスト(利用者に、どの情報処理装置の利用権限を与えるかを選択するための一覧情報。たとえば、情報処理装置名称一覧)を表示する。(図5(7−1)このとき、管理者携帯装置200は、PIN認証された管理者が選択した権限情報(たとえば、選択した情報処理装置名称を含む情報)を受け付ける。
《3−2.証明書要求》
管理者携帯装置200は、利用者携帯装置100が正当なデバイスであることを確認するために、利用者携帯装置100に認証を行なうための証明書を要求する(同(7−2)。
《3−3.証明書返信》
利用者がPIN認証された利用者携帯装置100は、管理者携帯装置200が送信した証明書要求を受信する(同(7−3)
利用者携帯装置100は、証明書を管理者携帯装置200に返信する(同(7−4)。
《3−4.携帯デバイス認証》
管理者携帯装置200は、利用者携帯装置100が返信した証明書を受信する(同(7−5)。
管理者携帯装置200は、参照リスト(=記憶部に登録されている証明書)と比較しながら、利用者携帯装置100を認証する(同(7−6)。
《3−5.分割情報の送信》
管理者携帯装置200は、権限の有効期限情報の入力をユーザに促すために権限設定画面を表示する(同(7−7)
管理者が入力するが有効期限情報を受け付ける(同(7−8)。
ユーザが権限設定画面の送信ボタンを押すと、管理者携帯装置200は、選択した権限に対応した分割情報と有効期限情報を利用者携帯装置100に送信する(同(7−9)。
《3−6.認証情報復元》
利用者携帯装置100は、管理者携帯装置200が送信した分割情報と有効期限情報を受信する(同(8−1)
利用者携帯装置100は、受信した分割情報と登録された分割情報とを用いて、認証情報を復元する(同(8−2)。
図6は、管理者携帯装置200の詳細な構成図である。
管理者携帯装置200は、CPU201と、表示部202と、入力部203と、近距離無線通信部205と、記憶部209と、専用プログラムを備える。
管理者携帯装置200は、CPU201と、表示部202と、入力部203と、近距離無線通信部205と、記憶部209と、専用プログラムを備える。
CPU201は、中央演算処理装置である。
表示部203は、LCD(液晶表示デバイス)やEL(有機エレクトロルミネッセンス)ディスプレーである。
入力部202は、ボタンキーやタッチペンや表示部203を用いたソフトキーボードである。
表示部203は、LCD(液晶表示デバイス)やEL(有機エレクトロルミネッセンス)ディスプレーである。
入力部202は、ボタンキーやタッチペンや表示部203を用いたソフトキーボードである。
近距離無線通信部205は、近距離無線送受信装置である。
近距離無線通信部205は、アンテナ204を有する。
近距離無線通信部205は、受信した電磁波(=無線電波)を復調して、制御信号を取り出す。あるいは、電磁波を送出するための搬送波を発生させ、デジタル情報を電波に変換する。
無線電波は、UHF帯である。
アンテナ204は、無線電波を送受信する。
なお、無線電波の近距離無線通信規格は、IEEE802.15、IEEE802.11、ISO/IEC 21481などを用いる。
近距離無線通信部205は、アンテナ204を有する。
近距離無線通信部205は、受信した電磁波(=無線電波)を復調して、制御信号を取り出す。あるいは、電磁波を送出するための搬送波を発生させ、デジタル情報を電波に変換する。
無線電波は、UHF帯である。
アンテナ204は、無線電波を送受信する。
なお、無線電波の近距離無線通信規格は、IEEE802.15、IEEE802.11、ISO/IEC 21481などを用いる。
電源208は、電力を蓄え、蓄えた電力を各回路に供給する。
記憶部209は、半導体メモリや磁気メモリである。
記憶部209は、分割情報格納エリア209aを含んで構成される。
記憶部209は、管理者暗証情報297(=PIN認証情報)と管理者識別情報293(=管理者ID)を記憶する。
分割情報格納エリア209aは、分割情報291と証明書情報395を記憶するエリアである。
分割情報格納エリア209aは、耐タンパメモリである。
記憶部209は、分割情報格納エリア209aを含んで構成される。
記憶部209は、管理者暗証情報297(=PIN認証情報)と管理者識別情報293(=管理者ID)を記憶する。
分割情報格納エリア209aは、分割情報291と証明書情報395を記憶するエリアである。
分割情報格納エリア209aは、耐タンパメモリである。
このほかに、分割情報登録手段230と、パスワード認証手段210と、証明書要求手段220と、携帯デバイス認証手段240と、管理データ作成送信手段250とを備える。これらの各手段は、それぞれの専用プログラムとして実現され、専用プログラムがCPU201に解釈・実行されることによって機能する。
分割情報登録手段230は、管理装置300から送信された分割情報291と証明書情報395を受信してこれを記憶部の分割情報格納エリア209aに登録する。
パスワード認証手段210は管理者により入力部202から入力された暗証情報を受け付けて、記憶部209に記憶される管理者暗証情報297と照合して両者が一致すれば、管理者を認証する。
証明書要求手段220は、証明書要求を利用者携帯装置100に送信する。
携帯デバイス認証手段240は、利用者携帯装置100が返信する証明書情報195(たとえば、証明用ID)を受信して、これを記憶部209の分割情報格納エリア209aに記憶される証明書情報395(たとえば、照合用ID)と照合して、両者が一致すれば、利用者携帯装置を認証する。
管理データ作成送信手段250は、有効期限情報と、記憶部209に記憶された管理者ID293と、分割情報格納エリア209aに記憶された分割情報291と、を含む管理データを作成して、利用者携帯装置100に送信する。
図7は、利用者携帯装置100の詳細な構成図である。
来場者携帯装置100は、CPU101と、入力部102と、表示部103と、無線通信部105と、電源部108と、記憶部109と、専用プログラムを備える。
来場者携帯装置100は、CPU101と、入力部102と、表示部103と、無線通信部105と、電源部108と、記憶部109と、専用プログラムを備える。
CPU101は、中央演算処理装置である。
表示部103は、LCD(液晶表示デバイス)やEL(有機エレクトロルミネッセンス)ディスプレーである。
入力部102は、ボタンキーやタッチペンや表示部103を用いたソフトキーボードである。
表示部103は、LCD(液晶表示デバイス)やEL(有機エレクトロルミネッセンス)ディスプレーである。
入力部102は、ボタンキーやタッチペンや表示部103を用いたソフトキーボードである。
無線通信部105は、近距離無線送受信装置である。
無線通信部105は、アンテナ104を有する。
無線通信部105は、受信した電磁波(=無線電波)を復調して、制御信号を取り出す。あるいは、電磁波を送出するための搬送波を発生させ、デジタル情報を電波に変換する。
無線電波は、UHF帯である。
アンテナ104は、無線電波を送受信する。
なお、無線電波の近距離無線通信規格は、IEEE802.15、IEEE802.11、ISO/IEC 21481などを用いる。
無線通信部105は、アンテナ104を有する。
無線通信部105は、受信した電磁波(=無線電波)を復調して、制御信号を取り出す。あるいは、電磁波を送出するための搬送波を発生させ、デジタル情報を電波に変換する。
無線電波は、UHF帯である。
アンテナ104は、無線電波を送受信する。
なお、無線電波の近距離無線通信規格は、IEEE802.15、IEEE802.11、ISO/IEC 21481などを用いる。
電源部108は、電力を蓄え、蓄えた電力を各回路に供給する。
記憶部109は、半導体メモリや磁気メモリである。
記憶部109は、分割情報格納エリア109aと復元認証情報格納エリア109bを含んで構成される。
記憶部109は、利用者暗証情報197(=PIN認証情報)を記憶する。
分割情報格納エリア109aは、分割情報191と証明書情報395を記憶するエリアである。
復元認証情報格納エリア109bは、復元された認証情報193と管理者識別情報293を記憶するエリアである。
分割情報格納エリア109aと復元認証情報格納エリア109bは、耐タンパメモリである。
記憶部109は、分割情報格納エリア109aと復元認証情報格納エリア109bを含んで構成される。
記憶部109は、利用者暗証情報197(=PIN認証情報)を記憶する。
分割情報格納エリア109aは、分割情報191と証明書情報395を記憶するエリアである。
復元認証情報格納エリア109bは、復元された認証情報193と管理者識別情報293を記憶するエリアである。
分割情報格納エリア109aと復元認証情報格納エリア109bは、耐タンパメモリである。
このほかに、分割情報登録手段160と、パスワード認証手段110と、証明書返信手段120と、管理データ受信手段130と、認証情報復元手段140と、認証情報送信手段150と、認証情報削除手段180とを備える。これらの各手段は、それぞれの専用プログラムとして実現され、専用プログラムがCPU101に解釈・実行されることによって機能する。
分割情報登録手段160は、管理装置300から送信された分割情報191と証明書情報395を受信してこれを記憶部109の分割情報格納エリア109aに登録する。
パスワード認証手段110は、入力部102から入力された暗証情報を受け付けて、記憶部109に記憶される利用者暗証情報197と照合して両者が一致すれば、利用者を認証する。
証明書返信手段120は、管理者携帯装置200が送信した証明書要求を受け付けて、分割情報登録手段が記憶部109の分割情報格納エリア109aに登録した証明書395を返信する。
管理データ受信手段130は、管理者携帯装置200が送信した管理データを受信する。
認証情報復元手段140は、管理データ受信手段130が受信した管理データに含まれる分割情報291と、分割情報登録手段が記憶部109の分割情報格納エリア109aに登録した分割情報191から認証情報193を復元して、これと、受信した管理データに含まれる管理者ID293を記憶部109の復元認証情報格納エリア109bに記憶させる。
認証情報送信手段150は、認証情報復元手段140が記憶部109の復元認証情報格納エリアに記憶させた復元された認証情報193に記憶部の復元認証情報格納エリア109bに記憶される管理者ID293を添えて、情報処理装置400に送信する。
認証情報削除手段180は、管理データ受信手段130が受信した管理データの有効期限が過ぎたら、記憶部109の復元認証情報格納エリアエリア109bに記憶する復元された認証情報を削除する。
図8は、利用者携帯装置100の認証情報復元処理のフローチャートである。
(1)管理データ受信手段130は、管理者携帯装置200が送信した管理データを受信する。(ステップS100)
(2)認証情報復元手段140は、分割情報格納エリアから分割情報191読み取る。(ステップS110)
(3)認証情報復元手段140は、管理データ受信手段130が受信した管理データに含まれる分割情報と読み取った分割情報191を合成して認証情報193を復元する。(ステップS120)
(4)認証情報復元手段140は、復元した認証情報193を復元認証情報格納エリア109bに保存する。(ステップS130)
(5)認証情報復元手段140は、復元認証情報格納エリア109b以外のメモリにある復元された認証情報193を消去する。終了する。(ステップS140)
(1)管理データ受信手段130は、管理者携帯装置200が送信した管理データを受信する。(ステップS100)
(2)認証情報復元手段140は、分割情報格納エリアから分割情報191読み取る。(ステップS110)
(3)認証情報復元手段140は、管理データ受信手段130が受信した管理データに含まれる分割情報と読み取った分割情報191を合成して認証情報193を復元する。(ステップS120)
(4)認証情報復元手段140は、復元した認証情報193を復元認証情報格納エリア109bに保存する。(ステップS130)
(5)認証情報復元手段140は、復元認証情報格納エリア109b以外のメモリにある復元された認証情報193を消去する。終了する。(ステップS140)
図9は、利用者携帯装置100の復元された認証情報の有効期限管理のフローチャートである。
(1)管理データ受信手段130は、管理者携帯装置200が送信した管理データを受信する。(ステップS200)
(2)認証情報削除手段180は、管理データ受信手段130が受信した管理データに含まれる有効期限日時と現在日時の差分の秒数を算出する。(ステップS210)
(3)認証情報削除手段180は、時計が1秒進行したら、算出した差分の秒数から1を減算する。(ステップS220)
(4)減算した差分の秒数が「0」であるか否かを判定する。
「0」であれば、次のステップに進む。「0」でなければ、ステップS220に戻る。(ステップS230)
(5)認証情報削除手段180は、記憶部109の復元認証情報格納エリア109bに記憶される復元された認証情報193を削除する。終了する。(ステップS240)
(1)管理データ受信手段130は、管理者携帯装置200が送信した管理データを受信する。(ステップS200)
(2)認証情報削除手段180は、管理データ受信手段130が受信した管理データに含まれる有効期限日時と現在日時の差分の秒数を算出する。(ステップS210)
(3)認証情報削除手段180は、時計が1秒進行したら、算出した差分の秒数から1を減算する。(ステップS220)
(4)減算した差分の秒数が「0」であるか否かを判定する。
「0」であれば、次のステップに進む。「0」でなければ、ステップS220に戻る。(ステップS230)
(5)認証情報削除手段180は、記憶部109の復元認証情報格納エリア109bに記憶される復元された認証情報193を削除する。終了する。(ステップS240)
図10は、情報処理装置400の詳細な構成図である。
情報処理装置400は、CPU401と、入力部402と、表示部403と、無線通信部405と、記憶部409と、専用プログラムを備える。
情報処理装置400は、CPU401と、入力部402と、表示部403と、無線通信部405と、記憶部409と、専用プログラムを備える。
CPU401は、中央演算処理装置である。
表示部403は、LCD(液晶表示デバイス)やEL(有機エレクトロルミネッセンス)ディスプレーである。
入力部402は、マウスやキーボードである。
無線通信部405は、近距離無線送受信装置である。
無線通信部405は、アンテナ404を有する。
無線通信部405は、受信した電磁波(=無線電波)を復調して、制御信号を取り出す。あるいは、電磁波を送出するための搬送波を発生させ、デジタル情報を電波に変換する。
無線電波は、UHF帯である。
アンテナ404は、無線電波を送受信する。
なお、無線電波の近距離無線通信規格は、IEEE802.15、IEEE802.11、ISO/IEC 21481などを用いる。
表示部403は、LCD(液晶表示デバイス)やEL(有機エレクトロルミネッセンス)ディスプレーである。
入力部402は、マウスやキーボードである。
無線通信部405は、近距離無線送受信装置である。
無線通信部405は、アンテナ404を有する。
無線通信部405は、受信した電磁波(=無線電波)を復調して、制御信号を取り出す。あるいは、電磁波を送出するための搬送波を発生させ、デジタル情報を電波に変換する。
無線電波は、UHF帯である。
アンテナ404は、無線電波を送受信する。
なお、無線電波の近距離無線通信規格は、IEEE802.15、IEEE802.11、ISO/IEC 21481などを用いる。
記憶部409は、半導体メモリや磁気メモリである。
記憶部409は、デバイス認証情報格納エリア409aを含んで構成される。
デバイス認証情報格納エリア409aは、デバイス認証情報491を記憶するエリアである。
記憶部409は、デバイス認証情報格納エリア409aを含んで構成される。
デバイス認証情報格納エリア409aは、デバイス認証情報491を記憶するエリアである。
このほかに、認証情報登録手段460と、デバイス認証手段420と、ログ記録手段430とを備える。これらの各手段は、それぞれの専用プログラムとして実現され、専用プログラムがCPU401に解釈・実行されることによって機能する。
認証情報登録手段460は、管理装置から送信されたデバイス認証情報を受信して、これを記憶部に登録する。
デバイス認証手段420は、利用者携帯装置100が送信する復元された認証情報を取得して、記憶部のデバイス認証情報格納エリア409aが記憶するデバイス認証情報と照合して認証する。
デバイス認証手段420は、利用者携帯装置100が送信する復元された認証情報を取得して、記憶部のデバイス認証情報格納エリア409aが記憶するデバイス認証情報と照合して認証する。
ログ記録手段430は、利用者端末装置100が送信した復元された認証情報に添えられた管理者ID293を用いて、この管理者IDを含むログを作成して記録する。
図11は、情報処理装置400のデバイス認証処理のフローチャートである。
(1)デバイス認証手段420は、利用者端末装置100の復元認証情報格納エリア109bから復元した認証情報193を取得する。(ステップS300)
(2)復元した認証情報193を、記憶部のデバイス認証情報格納エリア409aが記憶するデバイス認証情報と照合して、一致するか否かを判定する。
一致すれば、ステップS330に進む。一致しなければ、次のステップに進む。(ステップS310)
(3)デバイス認証手段420は、利用者端末装置100を認証せず、情報処理装置400のコンピュータ資源へのアクセスを許可いない。(ステップS320)
(4)デバイス認証手段420は、デバイス認証手段420は、利用者端末装置100を認証して、情報処理装置400のコンピュータ資源へのアクセスを許可する。(ステップS330)
(5)ログ記録手段430は、利用者端末装置100の復元認証情報格納エリア109bから管理者ID293を読み取り、この管理者IDを含むログを作成して記録する。
(1)デバイス認証手段420は、利用者端末装置100の復元認証情報格納エリア109bから復元した認証情報193を取得する。(ステップS300)
(2)復元した認証情報193を、記憶部のデバイス認証情報格納エリア409aが記憶するデバイス認証情報と照合して、一致するか否かを判定する。
一致すれば、ステップS330に進む。一致しなければ、次のステップに進む。(ステップS310)
(3)デバイス認証手段420は、利用者端末装置100を認証せず、情報処理装置400のコンピュータ資源へのアクセスを許可いない。(ステップS320)
(4)デバイス認証手段420は、デバイス認証手段420は、利用者端末装置100を認証して、情報処理装置400のコンピュータ資源へのアクセスを許可する。(ステップS330)
(5)ログ記録手段430は、利用者端末装置100の復元認証情報格納エリア109bから管理者ID293を読み取り、この管理者IDを含むログを作成して記録する。
複数の管理者が存在するときに、管理者IDを含むログを記録することによって、利用者に許可を与えた管理者を特定することができる。
1 利用者認証システム
100 利用者携帯装置
109 記憶部
109a 分割情報格納エリア
109b 復元認証情報格納エリア
110 パスワード認証手段
120 証明書返信手段
130 管理データ受信手段
140 認証情報復元手段
150 認証情報送信手段
160 分割情報登録手段
180 認証情報削除手段
191 分割情報
193 復元された認証情報
197 利用者暗証情報
200 管理者携帯装置
209 記憶部
209a 分割情報格納エリア
210 パスワード認証手段
220 証明書要求手段
230 分割情報登録手段
240 携帯デバイス認証手段
250 管理データ作成送信手段
291 分割情報
293 管理者識別情報
297 管理者暗証情報
300 管理装置
309 記憶部
310 分割情報作成手段
320 分割情報送信手段
330 認証情報送信手段
395 証明書情報
400 情報処理装置
409a デバイス認証情報格納エリア
420 デバイス認証手段
430 ログ記録手段
460 認証情報登録手段
491 デバイス認証情報
100 利用者携帯装置
109 記憶部
109a 分割情報格納エリア
109b 復元認証情報格納エリア
110 パスワード認証手段
120 証明書返信手段
130 管理データ受信手段
140 認証情報復元手段
150 認証情報送信手段
160 分割情報登録手段
180 認証情報削除手段
191 分割情報
193 復元された認証情報
197 利用者暗証情報
200 管理者携帯装置
209 記憶部
209a 分割情報格納エリア
210 パスワード認証手段
220 証明書要求手段
230 分割情報登録手段
240 携帯デバイス認証手段
250 管理データ作成送信手段
291 分割情報
293 管理者識別情報
297 管理者暗証情報
300 管理装置
309 記憶部
310 分割情報作成手段
320 分割情報送信手段
330 認証情報送信手段
395 証明書情報
400 情報処理装置
409a デバイス認証情報格納エリア
420 デバイス認証手段
430 ログ記録手段
460 認証情報登録手段
491 デバイス認証情報
Claims (11)
- 近距離無線通信接続される管理者携帯装置と利用者携帯装置と情報処理装置とから構成される利用者認証システムであって、
前記管理者携帯装置は、
デバイス認証情報から分散されて生成された分割情報を記憶する記憶部と、
有効期限情報と、記憶部に記憶された分割情報とを含む管理データを作成して、利用者携帯装置に送信する管理データ作成送信手段と、
を備える携帯装置であって、
前記利用者携帯装置は、
分割情報を記憶する記憶部と、
管理者携帯装置が送信した管理データを受信する管理データ受信手段と、
管理データ受信手段が受信した管理データの分割情報と、記憶部が記憶する分割情報から認証情報を復元して、これを記憶部に記憶させる認証情報復元手段と、
認証情報復元手段が記憶部に記憶させた復元された認証情報を情報処理装置に送信する認証情報送信手段と、
管理データ受信手段が受信した管理データの有効期限が過ぎたら、認証情報復元手段が記憶部に記憶させた復元された認証情報を削除する認証情報削除手段と、
を備える携帯装置であって、
前記情報処理装置は、
デバイス認証情報を記憶する記憶部と、
利用者携帯装置が送信する復元された認証情報を取得して、記憶部が記憶するデバイス認証情報と照合して認証するデバイス認証手段と
を備える処理装置である
ことを特徴とする利用者認証システム。 - 前記管理者携帯装置は、
前記記憶部が、分割情報と証明書情報を記憶して、
証明書要求を利用者携帯装置に送信する証明書要求手段と、
利用者携帯装置が返信する証明書情報を受信して、これを記憶部に記憶される証明書情報と照合して、両者が一致すれば、利用者携帯装置をデバイス認証する携帯デバイス認証手段と、
を備える携帯装置であって、
前記利用者携帯装置は、
前記記憶部が、分割情報と証明書情報を記憶して、
管理者携帯装置が送信した証明書要求を受け付けて、記憶部に記憶する証明書情報を返信する証明書返信手段
を備える携帯装置である、
ことを特徴とする請求項1に記載の利用者認証システム。 - 前記管理者携帯装置は、
前記記憶部が、管理者暗証情報を記憶して、
入力された暗証情報を受け付けて、記憶部に記憶される管理者暗証情報と照合して両者が一致すれば、管理者を認証するパスワード認証手段
を備える携帯装置であって、
前記利用者携帯装置は、
前記記憶部が、利用者暗証情報を記憶して、
入力された暗証情報を受け付けて、記憶部に記憶される利用者暗証情報と照合して両者が一致すれば、利用者を認証するパスワード認証手段
を備える携帯装置である、
ことを特徴とする請求項1に記載の利用者認証システム。 - 前記管理者携帯装置は、
前記記憶部が、管理者識別情報を記憶して、
前記管理データ作成送信手段が、有効期限情報と、記憶部に記憶された分割情報と管理者識別情報とを含む管理データを作成して、利用者携帯装置に送信する
携帯装置であって、
前記利用者携帯装置は、
前記認証情報送信手段が、認証情報復元手段が記憶部に記憶させた復元された認証情報に、利用者携帯装置が送信した管理者識別情報を添えて情報処理装置に送信する
携帯装置であって、
前記情報処理装置は、
利用者携帯装置が送信した復元された認証情報に添えられた管理者識別情報を用いてログを作成するログ記録手段
を備える処理装置である
ことを特徴とする請求項1に記載の利用者認証システム。 - 前記利用者認証システムは、さらに管理装置を含んで構成されて、
前記管理装置は、
デバイス認証情報を記憶する記憶部と、
記憶部が記憶するデバイス認証情報を情報処理装置に送信する認証情報送信手段と、
記憶部が記憶するデバイス認証情報を用いて、分割情報を作成する分割情報作成手段と、
分割情報作成手段が作成した分割情報を、利用者携帯装置と管理者携帯装置に送信する分割情報送信手段と、
を備える管理装置であって、
前記管理者携帯装置は、
管理装置から送信された分割情報を受信して、これを記憶部に登録する分割情報登録手段、
を備える携帯装置であって、
前記利用者携帯装置は、
管理装置から送信された分割情報を受信して、これを記憶部に登録する分割情報登録手段、
を備える携帯装置であって、
前記情報処理装置は、
管理装置から送信されたデバイス認証情報を受信して、これを記憶部に登録する認証情報登録手段、
を備える処理装置である
ことを特徴とする請求項1に記載の利用者認証システム。 - 前記管理装置は、
前記記憶部が、デバイス認証情報と証明書情報を記憶して、
前記分割情報送信手段が、分割情報作成手段が作成した分割情報と記憶部が記憶する証明書情報とを、管理者携帯装置と利用者携帯装置に送信する
管理装置であって、
前記管理者携帯装置は、
前記分割情報登録手段が、管理装置から送信された分割情報と証明書情報とを受信して、これを記憶部に登録する
携帯装置であって、
前記利用者携帯装置は、
前記分割情報登録手段が、管理装置から送信された分割情報と証明書情報とを受信して、これを記憶部に登録する
携帯装置である、
ことを特徴とする請求項5に記載の利用者認証システム。 - デバイス認証情報と、このデバイス認証情報から生成された分割情報を用いる利用者認証方法であって、
管理者携帯装置が、有効期限情報と、記憶部に記憶された分割情報とを含む管理データを作成して、利用者携帯装置に送信する管理データ作成送信ステップと、
利用者携帯装置が、管理者携帯装置から送信された管理データを受信する管理データ受信ステップと、
利用者携帯装置が、受信した管理データの分割情報と、利用者携帯装置の記憶部が記憶する分割情報から認証情報を復元して、これを記憶部に記憶させる認証情報復元ステップと、
利用者携帯装置が、記憶部に記憶させた復元された認証情報を情報処理装置に送信する認証情報送信ステップと、
情報処理装置が、利用者携帯装置から送信された復元された認証情報を取得して、記憶部が記憶するデバイス認証情報と照合して認証するデバイス認証ステップと、
利用者携帯装置が、受信した管理データの有効期限が過ぎたら、記憶部に記憶する復元された認証情報を削除する認証情報削除ステップと、
を含んだ手順でなされることを特徴とする利用者認証方法。 - 管理者携帯装置が利用者携帯装置を携帯デバイス認証するための証明書情報と、デバイス認証情報と、このデバイス認証情報から生成された分割情報を用いる利用者認証方法であって、
管理者携帯装置が、証明書要求を利用者携帯装置に送信する証明書要求ステップと、
利用者携帯装置が、管理者携帯装置から送信された証明書要求を受け付けて、記憶部に記憶する証明書情報を返信する証明書情報返信ステップと、
管理者携帯装置が利用者携帯装置から返信された証明書情報を受信して、これを記憶部に記憶される証明書情報と照合して、両者が一致すれば、利用者携帯装置をデバイス認証する携帯デバイス認証ステップと、
管理者携帯装置が、有効期限情報と、記憶部に記憶された分割情報とを含む管理データを作成して、利用者携帯装置に送信する管理データ作成送信ステップと、
利用者携帯装置が、管理者携帯装置から送信された管理データを受信する管理データ受信ステップと、
利用者携帯装置が、受信した管理データの分割情報と、利用者携帯装置の記憶部が記憶する分割情報から認証情報を復元して、これを記憶部に記憶させる認証情報復元ステップと、
利用者携帯装置が、記憶部に記憶させた復元された認証情報を情報処理装置に送信する認証情報送信ステップと、
情報処理装置が、利用者携帯装置から送信された復元された認証情報を取得して、記憶部が記憶するデバイス認証情報と照合して認証するデバイス認証ステップと、
利用者携帯装置が、受信した管理データの有効期限が過ぎたら、記憶部に記憶する復元された認証情報を削除する認証情報削除ステップと、
を含んだ手順でなされることを特徴とする利用者認証方法。 - デバイス認証情報と、このデバイス認証情報から生成された分割情報を用いる利用者認証方法であって、
管理者携帯装置が、入力部から入力された暗証情報を受け付けて、記憶部に記憶される管理者暗証情報と照合して両者が一致すれば、管理者を認証するパスワード認証ステップと、
管理者携帯装置が、有効期限情報と、記憶部に記憶された分割情報とを含む管理データを作成して、利用者携帯装置に送信する管理データ作成送信ステップと、
利用者携帯装置が、入力された暗証情報を受け付けて、記憶部に記憶される利用者暗証情報と照合して両者が一致すれば、利用者を認証するパスワード認証ステップと、
利用者携帯装置が、管理者携帯装置から送信された管理データを受信する管理データ受信ステップと、
利用者携帯装置が、受信した管理データの分割情報と、利用者携帯装置の記憶部が記憶する分割情報から認証情報を復元して、これを記憶部に記憶させる認証情報復元ステップと、
利用者携帯装置が、記憶部に記憶させた復元された認証情報を情報処理装置に送信する認証情報送信ステップと、
情報処理装置が、利用者携帯装置から送信された復元された認証情報を取得して、記憶部が記憶するデバイス認証情報と照合して認証するデバイス認証ステップと、
利用者携帯装置が、受信した管理データの有効期限が過ぎたら、記憶部に記憶する復元された認証情報を削除する認証情報削除ステップと、
を含んだ手順でなされることを特徴とする利用者認証方法。 - コンピュータに組込むことによって、コンピュータを請求項1から請求項6のいずれか1項に記載の利用者認証システムとして動作させるコンピュータプログラム。
- 請求項10に記載のコンピュータプログラムを記録したコンピュータ読取り可能な記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008017161A JP5167835B2 (ja) | 2008-01-29 | 2008-01-29 | 利用者認証システム、および方法、プログラム、媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008017161A JP5167835B2 (ja) | 2008-01-29 | 2008-01-29 | 利用者認証システム、および方法、プログラム、媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009181153A true JP2009181153A (ja) | 2009-08-13 |
| JP5167835B2 JP5167835B2 (ja) | 2013-03-21 |
Family
ID=41035123
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008017161A Expired - Fee Related JP5167835B2 (ja) | 2008-01-29 | 2008-01-29 | 利用者認証システム、および方法、プログラム、媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5167835B2 (ja) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5323971B1 (ja) * | 2012-07-09 | 2013-10-23 | パナソニック株式会社 | 認証装置及びこれを備えた認証システム |
| JP2013235342A (ja) * | 2012-05-07 | 2013-11-21 | Canon Inc | 通信装置およびその制御方法 |
| JP2014006764A (ja) * | 2012-06-26 | 2014-01-16 | Nomura Research Institute Ltd | データ管理システム |
| JP2014016998A (ja) * | 2013-07-17 | 2014-01-30 | Panasonic Corp | 認証装置及びこれを備えた認証システム |
| JP2016153951A (ja) * | 2015-02-20 | 2016-08-25 | 西日本電信電話株式会社 | 認証連携システム及び認証方法 |
| JP2018148293A (ja) * | 2017-03-02 | 2018-09-20 | 日本電信電話株式会社 | クレデンシャル生成システム及び方法、クライアント端末、サーバ装置、発行依頼装置、クレデンシャル発行装置並びにプログラム |
| JP6635495B1 (ja) * | 2018-12-25 | 2020-01-29 | パスロジ株式会社 | リモコンシステム、リモコン方法、ならびに、プログラム |
| JP2020107332A (ja) * | 2019-12-11 | 2020-07-09 | パスロジ株式会社 | リモコンシステム、リモコン方法、ならびに、プログラム |
| JP6829341B1 (ja) * | 2019-09-27 | 2021-02-10 | エアトラスト株式会社 | 情報処理システム、情報処理方法、及びプログラム |
| WO2021048996A1 (ja) * | 2019-09-13 | 2021-03-18 | エアトラスト株式会社 | 情報処理システム、情報処理装置、認証方法、プログラム |
| JP2021056993A (ja) * | 2020-03-04 | 2021-04-08 | エアトラスト株式会社 | 情報処理システム、情報処理方法、及びプログラム |
| JP2022182121A (ja) * | 2021-05-27 | 2022-12-08 | 株式会社リーディングエッジ | ネットワーク接続認証システム、認証装置、ネットワーク接続認証方法、ネットワーク接続認証プログラム |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001209616A (ja) * | 2000-01-28 | 2001-08-03 | Nippon Seigyo Kk | パスワードシステム、電子端末機及びパスワード生成装置 |
| JP2001337924A (ja) * | 2000-03-23 | 2001-12-07 | Tietech Co Ltd | 本人確認方法及び本人確認装置 |
| JP2002269045A (ja) * | 2001-03-13 | 2002-09-20 | Tietech Co Ltd | 本人確認方法及び本人確認装置 |
| JP2003141089A (ja) * | 2001-11-01 | 2003-05-16 | Citizen Watch Co Ltd | Id送受信システム、id送信装置およびid送信機能付き腕時計 |
| JP2003244898A (ja) * | 2002-02-15 | 2003-08-29 | Denso Corp | 車両用交流発電機のスリップリング装置 |
| JP2003333028A (ja) * | 2002-03-08 | 2003-11-21 | Matsushita Electric Ind Co Ltd | データ処理装置 |
| JP2005208841A (ja) * | 2004-01-21 | 2005-08-04 | Ntt Data Corp | 通信システム、携帯端末及びプログラム |
| JP2005267045A (ja) * | 2004-03-17 | 2005-09-29 | Bank Of Tokyo-Mitsubishi Ltd | 決済システム |
| JP2006012192A (ja) * | 1999-12-20 | 2006-01-12 | Dainippon Printing Co Ltd | 分散型データアーカイブシステム |
| JP2008152518A (ja) * | 2006-12-18 | 2008-07-03 | Hitachi Electronics Service Co Ltd | 認証システム、外部媒体及び認証管理方法 |
-
2008
- 2008-01-29 JP JP2008017161A patent/JP5167835B2/ja not_active Expired - Fee Related
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006012192A (ja) * | 1999-12-20 | 2006-01-12 | Dainippon Printing Co Ltd | 分散型データアーカイブシステム |
| JP2001209616A (ja) * | 2000-01-28 | 2001-08-03 | Nippon Seigyo Kk | パスワードシステム、電子端末機及びパスワード生成装置 |
| JP2001337924A (ja) * | 2000-03-23 | 2001-12-07 | Tietech Co Ltd | 本人確認方法及び本人確認装置 |
| JP2002269045A (ja) * | 2001-03-13 | 2002-09-20 | Tietech Co Ltd | 本人確認方法及び本人確認装置 |
| JP2003141089A (ja) * | 2001-11-01 | 2003-05-16 | Citizen Watch Co Ltd | Id送受信システム、id送信装置およびid送信機能付き腕時計 |
| JP2003244898A (ja) * | 2002-02-15 | 2003-08-29 | Denso Corp | 車両用交流発電機のスリップリング装置 |
| JP2003333028A (ja) * | 2002-03-08 | 2003-11-21 | Matsushita Electric Ind Co Ltd | データ処理装置 |
| JP2005208841A (ja) * | 2004-01-21 | 2005-08-04 | Ntt Data Corp | 通信システム、携帯端末及びプログラム |
| JP2005267045A (ja) * | 2004-03-17 | 2005-09-29 | Bank Of Tokyo-Mitsubishi Ltd | 決済システム |
| JP2008152518A (ja) * | 2006-12-18 | 2008-07-03 | Hitachi Electronics Service Co Ltd | 認証システム、外部媒体及び認証管理方法 |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013235342A (ja) * | 2012-05-07 | 2013-11-21 | Canon Inc | 通信装置およびその制御方法 |
| JP2014006764A (ja) * | 2012-06-26 | 2014-01-16 | Nomura Research Institute Ltd | データ管理システム |
| JP5323971B1 (ja) * | 2012-07-09 | 2013-10-23 | パナソニック株式会社 | 認証装置及びこれを備えた認証システム |
| WO2014010214A1 (ja) * | 2012-07-09 | 2014-01-16 | パナソニック株式会社 | 認証装置及びこれを備えた認証システム |
| JP2014016804A (ja) * | 2012-07-09 | 2014-01-30 | Panasonic Corp | 認証装置及びこれを備えた認証システム |
| JP2014016998A (ja) * | 2013-07-17 | 2014-01-30 | Panasonic Corp | 認証装置及びこれを備えた認証システム |
| JP2016153951A (ja) * | 2015-02-20 | 2016-08-25 | 西日本電信電話株式会社 | 認証連携システム及び認証方法 |
| JP2018148293A (ja) * | 2017-03-02 | 2018-09-20 | 日本電信電話株式会社 | クレデンシャル生成システム及び方法、クライアント端末、サーバ装置、発行依頼装置、クレデンシャル発行装置並びにプログラム |
| CN113302607A (zh) * | 2018-12-25 | 2021-08-24 | 帕斯罗基株式会社 | 遥控系统、遥控方法、程序以及信息记录介质 |
| WO2020136722A1 (ja) * | 2018-12-25 | 2020-07-02 | パスロジ株式会社 | リモコンシステム、リモコン方法、プログラム、ならびに、情報記録媒体 |
| JP6635495B1 (ja) * | 2018-12-25 | 2020-01-29 | パスロジ株式会社 | リモコンシステム、リモコン方法、ならびに、プログラム |
| US11853102B2 (en) | 2018-12-25 | 2023-12-26 | Passlogy Co., Ltd. | Remote control system, remote control method, and non-transitory information recording medium |
| WO2021048996A1 (ja) * | 2019-09-13 | 2021-03-18 | エアトラスト株式会社 | 情報処理システム、情報処理装置、認証方法、プログラム |
| JP6829341B1 (ja) * | 2019-09-27 | 2021-02-10 | エアトラスト株式会社 | 情報処理システム、情報処理方法、及びプログラム |
| WO2021059491A1 (ja) * | 2019-09-27 | 2021-04-01 | エアトラスト株式会社 | 情報処理システム、情報処理方法、及びプログラム |
| JP2020107332A (ja) * | 2019-12-11 | 2020-07-09 | パスロジ株式会社 | リモコンシステム、リモコン方法、ならびに、プログラム |
| JP7228196B2 (ja) | 2019-12-11 | 2023-02-24 | パスロジ株式会社 | 端末プログラム |
| JP2021056993A (ja) * | 2020-03-04 | 2021-04-08 | エアトラスト株式会社 | 情報処理システム、情報処理方法、及びプログラム |
| JP7042292B2 (ja) | 2020-03-04 | 2022-03-25 | エアトラスト株式会社 | 情報処理システム、情報処理方法、及びプログラム |
| JP2022182121A (ja) * | 2021-05-27 | 2022-12-08 | 株式会社リーディングエッジ | ネットワーク接続認証システム、認証装置、ネットワーク接続認証方法、ネットワーク接続認証プログラム |
| JP7300682B2 (ja) | 2021-05-27 | 2023-06-30 | 株式会社リーディングエッジ | ネットワーク接続認証システム、認証装置、ネットワーク接続認証方法、ネットワーク接続認証プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5167835B2 (ja) | 2013-03-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5167835B2 (ja) | 利用者認証システム、および方法、プログラム、媒体 | |
| US11669338B2 (en) | Device locator disable authentication | |
| EP3312750B1 (en) | Information processing device, information processing system, and information processing method | |
| WO2017197974A1 (zh) | 一种基于生物特征的安全认证方法、装置及电子设备 | |
| US9325683B2 (en) | Mobile application management framework | |
| KR101033337B1 (ko) | 단말기 사용자의 본인확인을 강화한 보안 인증방법 | |
| JP6717108B2 (ja) | 情報処理装置、情報処理システム、プログラム及び情報処理方法 | |
| US20130183936A1 (en) | Method and apparatus for remote portable wireless device authentication | |
| WO2009101549A2 (en) | Method and mobile device for registering and authenticating a user at a service provider | |
| JP2007058469A (ja) | 認証システム、認証サーバ、認証方法および認証プログラム | |
| JP2010033193A (ja) | 認証システム及び認証用サーバ装置 | |
| JP4135151B2 (ja) | Rfidを用いたシングルサインオン方法及びシステム | |
| US20040187038A1 (en) | Electronic equipment, equipment managing apparatus, equipment maintenance system, equipment maintenance method and computer-readable storage medium | |
| KR101831381B1 (ko) | 메신저서비스를 이용한 스마트 로그인 방법 및 그 장치 | |
| KR101294805B1 (ko) | 2-채널 앱인증 방법 및 시스템 | |
| JP5937545B2 (ja) | 携帯端末、サーバ装置、情報端末、および共用端末管理システム | |
| JP4709109B2 (ja) | 認証システム、移動体通信端末、認証装置、および、プログラム | |
| JP5167826B2 (ja) | 位置情報を利用した文書管理システム、プログラム、および媒体 | |
| TWI696963B (zh) | 票證發行與入場驗證系統與方法及使用於票證發行與入場驗證系統之用戶終端裝置 | |
| KR101427733B1 (ko) | 서버 인증 방법 및 장치 | |
| JP5293931B2 (ja) | Rfidを利用した情報処理端末のセキュリティ管理システム及びその方法 | |
| JP2009260688A (ja) | ワイヤレス広域通信網におけるリモート端末装置のセキュリティシステムとその方法 | |
| JP2009015461A (ja) | パスワード発行システム | |
| JP6962676B2 (ja) | 認証関連情報の送信制御プログラム、認証関連情報の送信制御装置、および認証関連情報の送信制御方法 | |
| JP6470006B2 (ja) | 共有認証情報更新システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20101109 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120815 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120904 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121101 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121127 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121210 |
|
| LAPS | Cancellation because of no payment of annual fees |