JP2015176238A - Authentication control apparatus, authentication system, authentication method, and program - Google Patents

Authentication control apparatus, authentication system, authentication method, and program Download PDF

Info

Publication number
JP2015176238A
JP2015176238A JP2014050561A JP2014050561A JP2015176238A JP 2015176238 A JP2015176238 A JP 2015176238A JP 2014050561 A JP2014050561 A JP 2014050561A JP 2014050561 A JP2014050561 A JP 2014050561A JP 2015176238 A JP2015176238 A JP 2015176238A
Authority
JP
Japan
Prior art keywords
authentication
card
card information
user
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014050561A
Other languages
Japanese (ja)
Inventor
由樹 石橋
Yoshiki Ishibashi
由樹 石橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2014050561A priority Critical patent/JP2015176238A/en
Publication of JP2015176238A publication Critical patent/JP2015176238A/en
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To improve security.SOLUTION: An authentication control apparatus includes: card information processing means which registers one or more pieces of card information on each user and security information corresponding to the card information; authentication processing means which collates card information transmitted from a device with the card information registered by the card information processing means to determine whether the authentication is successful or not; and interface means which outputs an authentication result obtained by the authentication processing means, to the device.

Description

本願は、認証制御装置、認証システム、認証方法、及びプログラムに関する。   The present application relates to an authentication control device, an authentication system, an authentication method, and a program.

例えば、MFP(Multifunction Peripheral)等の複合機と連携する認証システムに対して、ICカード(Integrated Circuit Card)等を用いてユーザ認証を行い、許可されたユーザのみが複合機から印刷等を行う方法が知られている(例えば、特許文献1参照)。   For example, a method in which user authentication is performed using an IC card (Integrated Circuit Card) or the like for an authentication system that cooperates with a multifunction device such as an MFP (Multifunction Peripheral), and only authorized users perform printing or the like from the multifunction device Is known (see, for example, Patent Document 1).

しかしながら、特許文献1に記載された手法では、ログインしたユーザごとにセキュリティが設定されているため、例えばユーザがICカードが紛失した場合に、他のユーザがそのICカードを利用すると、カードを紛失したユーザと同等の権限を持つことになる。   However, in the method described in Patent Document 1, since security is set for each logged-in user, for example, when a user loses an IC card, if another user uses the IC card, the card is lost. Will have the same authority as the selected user.

1つの側面では、本発明は、セキュリティを向上させることを目的とする。   In one aspect, the present invention aims to improve security.

一態様における認証制御装置であって、ユーザごとに1又は複数のカード情報と、該カード情報に対応するセキュリティ情報とを登録するカード情報処理手段と、機器から送信されたカード情報と、前記カード情報処理手段により登録されたカード情報とを照合して認証可否を判断する認証処理手段と、前記認証処理手段により得られる認証結果を前記機器に出力するインターフェース手段とを有する。   An authentication control device according to one aspect, wherein each user has one or more card information and card information processing means for registering security information corresponding to the card information, card information transmitted from a device, and the card Authentication processing means for determining whether authentication is possible by collating with card information registered by the information processing means, and interface means for outputting an authentication result obtained by the authentication processing means to the device.

セキュリティを向上させることが可能となる。   Security can be improved.

本実施形態に係る認証システムの概略構成の一例を示す図である。It is a figure which shows an example of schematic structure of the authentication system which concerns on this embodiment. 本実施形態に係る各装置の機能構成の一例を示す図である。It is a figure which shows an example of a function structure of each apparatus which concerns on this embodiment. コンピュータシステムのハードウェア構成図である。It is a hardware block diagram of a computer system. 本実施形態で用いる各種情報の一例を示す図である。It is a figure which shows an example of the various information used by this embodiment. 本実施形態におけるセキュリティ情報の一例を示す図である。It is a figure which shows an example of the security information in this embodiment. カード情報の登録処理の一例を示すシーケンスである。It is a sequence which shows an example of the registration process of card information. セキュリティ区分の登録可能数に対応させた登録処理の一例を示すシーケンスである。It is a sequence which shows an example of the registration process matched with the registration possible number of a security classification. カード情報の重複登録を防止する場合のシーケンスである。This is a sequence for preventing duplicate registration of card information. カード認証処理の一例を示すシーケンスである。It is a sequence which shows an example of a card | curd authentication process. 外部認証を含むカード認証処理の一例を示すシーケンスである。It is a sequence which shows an example of the card | curd authentication process including external authentication.

以下、実施の形態について詳細に説明する。   Hereinafter, embodiments will be described in detail.

<認証システム:概略構成>
図1は、本実施形態に係る認証システムの概略構成の一例を示す図である。図1に示す認証システム1は、クライアントPC(Personal Computer)10と、機器20−1〜20−2(以下、適宜「機器20」という)と、カード認証システム30とを有する。カード認証システム30は、認証制御サーバ30−1と、外部認証サーバ30−2〜30−3とを有する。 <Authentication system: schematic configuration>
FIG. 1 is a diagram illustrating an example of a schematic configuration of an authentication system according to the present embodiment. An authentication system 1 illustrated in FIG. 1 includes a client PC (Personal Computer) 10, devices 20-1 to 20-2 (hereinafter, appropriately referred to as “device 20”), and a card authentication system 30. The card authentication system 30 includes an authentication control server 30-1 and external authentication servers 30-2 to 30-3.

図1の例では、クライアントPC10、機器20、カード認証システム30は、例えばインターネットやLAN等に代表される通信ネットワークを介してデータの送受信が可能な状態で接続される。   In the example of FIG. 1, the client PC 10, the device 20, and the card authentication system 30 are connected in a state where data can be transmitted and received via a communication network typified by the Internet or a LAN, for example.

なお、認証制御サーバ30−1を、1以上の情報処理装置で構成されるクラウドサーバ等とし、機器20と認証制御サーバ30−1との間、また認証制御サーバ30−1と外部認証サーバ30−2〜30−3との間にファイアウォールを設けた構成としても良い。   Note that the authentication control server 30-1 is a cloud server or the like composed of one or more information processing apparatuses, and between the device 20 and the authentication control server 30-1, or between the authentication control server 30-1 and the external authentication server 30. It is good also as a structure which provided the firewall between -2-30-3.

クライアントPC10は、例えば認証制御サーバ30−1に、機器20を利用するための認証情報等を登録するための管理者用の端末である。認証情報とは、機器20に対するアクセス権限等の情報であり、例えばユーザ情報やカード情報等であるがこれに限定されるものではない。   The client PC 10 is an administrator terminal for registering, for example, authentication information for using the device 20 in the authentication control server 30-1. The authentication information is information such as access authority for the device 20 and is, for example, user information or card information, but is not limited thereto.

機器20は、ユーザ(利用者)が利用する対象の装置であり、ユーザの利用を許可するか否かの判断において、ユーザが所有するICカード等に含まれるカード情報等を読み取り、そのカード情報等を用いて、カード認証システム30に対しカード認証を要求する。なお、カード認証は、例えば機器20にログインするときに行われる認証処理であるため、ログイン認証ともいう。機器20は、カード認証システム30から認証結果を取得すると、認証結果に基づいて、ユーザの利用に関する利用制限を行う。   The device 20 is a device to be used by the user (user), and in determining whether or not to allow the user to use, the device 20 reads card information included in an IC card or the like owned by the user, and the card information. Or the like is used to request card authentication to the card authentication system 30. Note that the card authentication is also referred to as login authentication because it is an authentication process performed when logging into the device 20, for example. When the device 20 obtains the authentication result from the card authentication system 30, the device 20 restricts the use of the user based on the authentication result.

機器20−1は、例えばMFP等の複合機やプリンタである。機器20−2は、例えばプロジェクタや電子ホワイトボード等である。なお、機器20の種類については、特に限定されるものではない。機器20は、少なくとも一部の機能を利用するときに、ログイン認証(ユーザ認証)の成功が必要とされる。また、機器20−1にプリントサーバやユーザが使用するユーザ端末等がネットワーク接続されていても良い。   The device 20-1 is, for example, a multifunction peripheral such as an MFP or a printer. The device 20-2 is, for example, a projector or an electronic whiteboard. The type of the device 20 is not particularly limited. The device 20 requires successful login authentication (user authentication) when using at least some of the functions. The device 20-1 may be connected to a print server, a user terminal used by the user, or the like.

認証制御サーバ30−1は、例えばユーザ情報(ユーザID等)とカード情報(カードID等)とを関連付けた認証情報を記憶している。認証制御サーバ30−1は、機器20から、例えばカード情報に基づくカード認証の要求を受け付けると、記憶している認証情報と照合し、照合結果に基づいて、機器20に対するユーザの利用を許可するか否かを判断する認証処理を行う。認証制御サーバ30−1は、例えばカードIDに基づく認証要求を受信すると、カードIDと対応付けて管理されているユーザIDを特定する。   The authentication control server 30-1 stores, for example, authentication information in which user information (user ID or the like) is associated with card information (card ID or the like). Upon receiving a card authentication request based on, for example, card information from the device 20, the authentication control server 30-1 collates with stored authentication information, and permits the user to use the device 20 based on the collation result. Authentication processing is performed to determine whether or not. For example, when receiving an authentication request based on a card ID, the authentication control server 30-1 specifies a user ID managed in association with the card ID.

また、認証制御サーバ30−1は、例えば外部認証サーバ30−2〜30−3と連携することにより、機器20からの認証要求に応じて既存の認証サーバを利用して認証を行うことが可能である。   In addition, the authentication control server 30-1 can perform authentication using an existing authentication server in response to an authentication request from the device 20, for example, in cooperation with the external authentication servers 30-2 to 30-3. It is.

外部認証サーバ30−2〜30−3は、ユーザ管理(ユーザIDの管理、ユーザIDの検索による存在確認等)を行う。外部認証サーバ30−2〜30−3は、例えば予めユーザID等が登録され、例えばユーザが使用するユーザ端末におけるログイン認証(ユーザ認証)や、MFP等の機器に限らず、企業や、組織、グループ内のユーザ認証を統合的に管理する用途で利用される。   The external authentication servers 30-2 to 30-3 perform user management (user ID management, presence confirmation by searching for a user ID, etc.). In the external authentication servers 30-2 to 30-3, for example, a user ID or the like is registered in advance. For example, login authentication (user authentication) in a user terminal used by a user, a device such as a company, organization, Used for integrated management of user authentication within a group.

外部認証サーバ30−2〜30−3は、例えば他社で提供されているActive DirectoryやLDAP(Lightweight Directory Access Protocol)サーバであるが、これに限定されるものではない。   The external authentication servers 30-2 to 30-3 are, for example, Active Directory or LDAP (Lightweight Directory Access Protocol) servers provided by other companies, but are not limited thereto.

認証制御サーバ30−1は、外部認証サーバ30−2〜30−3と連携して認証を行う場合に、認証制御サーバ30−1が特定したユーザIDを外部認証サーバ30−2〜30−3に送信して、ユーザの存在確認(検索)を要求する。   When the authentication control server 30-1 performs authentication in cooperation with the external authentication servers 30-2 to 30-3, the user ID specified by the authentication control server 30-1 is assigned to the external authentication servers 30-2 to 30-3. To request user presence confirmation (search).

外部認証サーバ30−2〜30−3は、記憶しているユーザ情報(ユーザIDが登録されている)から受信したユーザIDを検索し、検索できた場合(ユーザIDが存在していた場合)、存在確認ができた旨を認証制御サーバ30−1に応答する。外部認証サーバ30−2〜30−3は、受信したユーザIDが検索できなかった場合(ユーザIDが存在しなかった場合)には、存在確認ができない旨を認証制御サーバ30−1に応答する。   The external authentication servers 30-2 to 30-3 search the received user ID from the stored user information (user ID is registered), and when the search is successful (when the user ID exists) In response, the authentication control server 30-1 responds that the presence has been confirmed. When the received user ID cannot be searched (when the user ID does not exist), the external authentication servers 30-2 to 30-3 respond to the authentication control server 30-1 that the presence cannot be confirmed. .

認証制御サーバ30−1は、外部認証サーバ30−2〜30−3からユーザIDによる存在確認ができた旨を受信すると、例えばユーザ認証成功と判断する認証結果を機器20に送信する。また、認証制御サーバ30−1は、外部認証サーバ30−2〜30−3から存在確認ができなかった旨を受信すると、例えばユーザ認証失敗と判断する認証結果を機器20に送信する。   When the authentication control server 30-1 receives from the external authentication servers 30-2 to 30-3 that it has been confirmed that there is a user ID, the authentication control server 30-1 transmits, for example, an authentication result that determines that the user authentication is successful to the device 20. In addition, when the authentication control server 30-1 receives information indicating that the presence confirmation cannot be performed from the external authentication servers 30-2 to 30-3, the authentication control server 30-1 transmits, for example, an authentication result that determines that the user authentication has failed to the device 20.

なお、認証制御サーバ30−1は、外部認証サーバ30−2〜30−3と連携せずに、ユーザ認証を行うことも可能である。この場合、認証制御サーバ30−1は、例えばカードIDに関連付けたユーザIDを特定できた場合に認証成功と判断する。   The authentication control server 30-1 can also perform user authentication without cooperating with the external authentication servers 30-2 to 30-3. In this case, the authentication control server 30-1 determines that the authentication is successful when, for example, the user ID associated with the card ID can be specified.

また、別の手法としては、認証制御サーバ30−1は、カードIDが検索できた場合(カードIDを予め登録していた場合)に認証成功と判断する。この手法は、カードIDが検索できた段階で、ユーザIDがあるものとみなすため、みなし認証ともいう。   As another method, the authentication control server 30-1 determines that the authentication is successful when the card ID can be searched (when the card ID is registered in advance). This method is also referred to as “deemed authentication” because it is considered that there is a user ID when the card ID can be searched.

機器20に対する認証成功の認証結果の応答には、例えばユーザIDや、機器20のセキュリティ情報(利用権限情報等)が含まれている。したがって、機器20は、この応答情報に基づき、ユーザの利用に関する利用制限を行うことが可能となる。   The response of the authentication result of successful authentication to the device 20 includes, for example, a user ID and security information (usage authority information etc.) of the device 20. Therefore, the device 20 can perform usage restrictions on user usage based on this response information.

本実施形態では、ユーザが携帯するICカード等を利用して機器20でログイン認証を行うにあたり、ユーザに紐付けられた複数のICカード等のカードごとに権限管理を行う。   In this embodiment, when performing login authentication with the device 20 using an IC card or the like carried by the user, authority management is performed for each of a plurality of IC cards or the like associated with the user.

<機能構成例>
次に、上述した認証システム1で用いられる各装置の機能構成例について、図を用いて説明する。図2は、本実施形態に係る各装置の機能構成の一例を示す図である。図2(A)は、機器20の機能構成の一例を示す。図2(B)は、認証制御サーバ30−1の機能構成の一例を示す。図2(C)は、外部認証サーバ30−2,30−3の機能構成の一例を示す。 <Functional configuration example>
Next, a functional configuration example of each device used in the authentication system 1 described above will be described with reference to the drawings. FIG. 2 is a diagram illustrating an example of a functional configuration of each device according to the present embodiment. FIG. 2A illustrates an example of a functional configuration of the device 20. FIG. 2B shows an example of the functional configuration of the authentication control server 30-1. FIG. 2C shows an example of the functional configuration of the external authentication servers 30-2 and 30-3.

<機器20>
図2(A)に示す機器20は、入力受付手段21と、出力手段22と、設定情報蓄積手段23と、認証サービス利用アプリ24と、ICカードリーダ読取手段25とを有する。 <Device 20>
2A includes an input receiving unit 21, an output unit 22, a setting information storage unit 23, an authentication service using application 24, and an IC card reader reading unit 25.

入力受付手段21は、ユーザからデータ等の出力要求を受け付ける。例えば、機器20が複合機やプリンタ等であれば、印刷や複写指示等を受け付ける。また、例えば機器20がプロジェクタ等であれば、スクリーンに対するデータ投影(表示)指示等を受け付ける。   The input receiving unit 21 receives an output request for data or the like from the user. For example, if the device 20 is a multifunction device, a printer, or the like, a printing or copying instruction is accepted. For example, if the device 20 is a projector or the like, a data projection (display) instruction or the like for the screen is accepted.

出力手段22は、入力受付手段21で受け付けた出力要求に対する対象のデータを出力する。例えば機器20が複合機やプリンタ等であれば、印刷要求や複写指示等に対する紙媒体等への印刷や複写を行う。また、例えば機器20がプロジェクタ等であれば、指示されたデータをスクリーン上にデータ投影(表示)する。   The output unit 22 outputs target data for the output request received by the input receiving unit 21. For example, if the device 20 is a multifunction device, a printer, or the like, printing or copying is performed on a paper medium or the like in response to a print request or a copy instruction. For example, if the device 20 is a projector or the like, the instructed data is projected (displayed) on the screen.

設定情報蓄積手段23は、機器20の利用に関する各種設定情報(例えばカード認証システム30にアクセスするための認証制御サーバ30−1のIPアドレス等)を蓄積する。   The setting information accumulating unit 23 accumulates various setting information related to the use of the device 20 (for example, the IP address of the authentication control server 30-1 for accessing the card authentication system 30).

認証サービス利用アプリ24は、機器20を利用するユーザの利用権限等を確認するために、カード認証システム30に対して問い合わせ(認証要求)を行い、その結果を取得するアプリケーションである。認証サービス利用アプリ24は、ICカード情報通知手段24−1と、認証結果判断手段24−2とを有する。   The authentication service using application 24 is an application that makes an inquiry (authentication request) to the card authentication system 30 and obtains the result in order to confirm the usage authority and the like of the user who uses the device 20. The authentication service using application 24 includes an IC card information notifying unit 24-1 and an authentication result determining unit 24-2.

ICカード情報通知手段24−1は、ICカードリーダ読取手段25がICカードからカード情報を読み取った場合に、カード認証システム30にカード情報を通知して認証要求を行う。カード情報は、例えばカードを識別する識別情報(カードID)等であるが、これに限定されるものではない。   When the IC card reader reading unit 25 reads card information from the IC card, the IC card information notification unit 24-1 notifies the card authentication system 30 of the card information and makes an authentication request. The card information is, for example, identification information (card ID) for identifying a card, but is not limited to this.

認証結果判断手段24−2は、カード認証システム30から認証結果を取得し、認証結果に基づいて、入力受付手段21が受け付けた出力要求に対する出力手段22の出力を制御する。   The authentication result determination unit 24-2 acquires the authentication result from the card authentication system 30, and controls the output of the output unit 22 in response to the output request received by the input receiving unit 21 based on the authentication result.

ICカードリーダ読取手段25は、ユーザが携帯するICカードのメモリ等に蓄積された情報を読み取る。なお、ICカードリーダ読取手段25は、機器20に内蔵されていても良く、USB(Universal Serial Bus)ケーブルや、Bluetooth(登録商標)等によって有線又は無線を問わず、ネットワーク接続されていても良い。   The IC card reader reading unit 25 reads information stored in a memory of an IC card carried by the user. The IC card reader reading unit 25 may be built in the device 20 or may be connected to the network by a USB (Universal Serial Bus) cable, Bluetooth (registered trademark), or the like regardless of wired or wireless. .

なお、ICカードリーダ読取手段25は、ICカードから読み取ったカード情報を機器20に送信し、機器20からカード認証システム30に認証要求を送信することも可能である。また、ICカードリーダ読取手段25は、カード認証システム30に対して直接認証要求を送信することも可能である。   The IC card reader reading unit 25 can also transmit card information read from the IC card to the device 20 and transmit an authentication request from the device 20 to the card authentication system 30. Further, the IC card reader reading means 25 can also directly send an authentication request to the card authentication system 30.

<認証制御サーバ30−1>
図2(B)に示す認証制御サーバ30−1は、インターフェース手段の一例としてのICカード情報I/F手段31と、カード情報処理手段32と、認証処理手段33と、セキュリティ情報処理手段34と、ユーザ情報蓄積手段35と、カード情報蓄積手段36と、セキュリティ情報蓄積手段37とを有する。 <Authentication control server 30-1>
An authentication control server 30-1 shown in FIG. 2B includes an IC card information I / F unit 31, a card information processing unit 32, an authentication processing unit 33, and a security information processing unit 34 as an example of an interface unit. User information storage means 35, card information storage means 36, and security information storage means 37.

ICカード情報I/F手段31は、機器20の認証サービス利用アプリ24からカード情報を入力したり、認証結果を認証サービス利用アプリ24に出力するためのインタフェースである。   The IC card information I / F unit 31 is an interface for inputting card information from the authentication service using application 24 of the device 20 and outputting an authentication result to the authentication service using application 24.

カード情報処理手段32は、認証制御サーバ30−1の管理者(利用者)から、ICカードごとにセキュリティ情報(利用権限情報)等を含むカード情報の設定(登録)を受け付け、カード情報蓄積手段36に蓄積する。   The card information processing means 32 accepts setting (registration) of card information including security information (usage authority information) for each IC card from the administrator (user) of the authentication control server 30-1, and the card information storage means 36.

ここで、カード情報処理手段32は、例えばICカードごとにユーザを対応付けて登録することで、ユーザに対して1又は複数のカード情報を登録することが可能となる。カード情報ごとに設定されるセキュリティ情報には、例えばセキュリティレベルに基づく利用可能な機能及び/又は機器20の情報等が含まれる。   Here, the card information processing means 32 can register one or a plurality of card information for the user by registering the user in association with each IC card, for example. The security information set for each card information includes, for example, usable functions based on the security level and / or information on the device 20.

なお、カード情報処理手段32は、予めセキュリティレベルに基づき設定されたICカードの登録可能数に対応して、ICカードの登録の可否を判断しても良い。また、このセキュリティレベルに基づくICカードの登録可能数を設定することで、例えば正規のカードを1つに設定した場合に、例えばなりすまし等を防止することが可能となる。   The card information processing means 32 may determine whether or not an IC card can be registered in accordance with the number of IC cards that can be registered in advance based on the security level. Also, by setting the number of IC cards that can be registered based on this security level, for example, when one regular card is set, it is possible to prevent, for example, impersonation.

また、カード情報処理手段32は、例えばICカードを新たにユーザに対応付けて登録するときに、同一のカードが既に任意のユーザに対応付けされているか判断する。カード情報処理手段32は、同一のカードが既にユーザに対応付けされている場合には、新たにユーザを対応付けしないようにしたり、既に対応付けされているユーザとカードとの対応付けを解除した後、新たにユーザを対応付けしたりする。これにより、カード情報の重複登録を防止することが可能となる。   Further, for example, when the IC information processing unit 32 newly registers an IC card in association with a user, the card information processing unit 32 determines whether the same card is already associated with an arbitrary user. When the same card is already associated with the user, the card information processing means 32 does not newly associate the user or cancels the association between the already associated user and the card. Thereafter, a new user is associated. This makes it possible to prevent duplicate registration of card information.

認証処理手段33は、ICカード情報I/F手段31が機器20から取得したカード情報と、カード情報蓄積手段36に蓄積された認証情報に含まれるカード情報とを照合して、機器20に対する利用の可否を判断する。認証処理手段33は、認証成功又は失敗を判断し、機器20に対する利用権限情報等を含む認証結果を、認証要求のあった機器20に出力する。なお、認証処理手段33は、外部認証サーバ30−2,30−3に対して、例えばユーザIDの検索による存在確認等を要求しても良い。   The authentication processing unit 33 collates the card information acquired from the device 20 by the IC card information I / F unit 31 with the card information included in the authentication information stored in the card information storage unit 36, and uses it for the device 20. Determine whether or not. The authentication processing unit 33 determines success or failure of the authentication, and outputs an authentication result including usage authority information for the device 20 to the device 20 that requested the authentication. Note that the authentication processing unit 33 may request the external authentication servers 30-2 and 30-3 to check existence by searching for a user ID, for example.

セキュリティ情報処理手段34は、認証制御サーバ30−1の管理者等から、例えばICカードに設定するためのセキュリティ情報の登録を受け付け、セキュリティ情報蓄積手段37に蓄積する。セキュリティ情報処理手段34は、例えばセキュリティ区分のセキュリティレベル応じて、カードの登録可能数等を設定する。   The security information processing means 34 accepts registration of security information for setting, for example, on the IC card from the administrator of the authentication control server 30-1 and stores it in the security information storage means 37. The security information processing means 34 sets the number of cards that can be registered according to the security level of the security classification, for example.

ユーザ情報蓄積手段35は、例えばユーザ名やパスワード等のユーザ情報を蓄積する。カード情報蓄積手段36は、例えばICカードごとにカード情報やセキュリティ情報を蓄積する。セキュリティ情報蓄積手段37は、ICカードに設定するためのセキュリティ情報を蓄積する。   The user information storage unit 35 stores user information such as a user name and a password. The card information storage means 36 stores card information and security information for each IC card, for example. The security information storage unit 37 stores security information for setting in the IC card.

<外部認証サーバ30−2,30−3>
図2(C)に示す外部認証サーバ30−2,30−3は、認証I/F手段41と、処理要求手段42と、認証データ管理手段43と、認証データ蓄積手段44とを有する。 <External authentication servers 30-2, 30-3>
The external authentication servers 30-2 and 30-3 illustrated in FIG. 2C include an authentication I / F unit 41, a process request unit 42, an authentication data management unit 43, and an authentication data storage unit 44.

認証I/F手段41は、認証制御サーバ30−1からの認証要求を受け付け、処理要求手段42により処理された認証結果を認証制御サーバ30−1に送信するためのインタフェースである。   The authentication I / F unit 41 is an interface for receiving an authentication request from the authentication control server 30-1 and transmitting the authentication result processed by the processing request unit 42 to the authentication control server 30-1.

処理要求手段42は、認証I/F手段41が認証制御サーバ30−1から取得した処理要求(認証要求)に対する処理(ユーザ情報にユーザIDが存在しているかの検索等)を実行し、その結果を認証I/F手段41に出力する。処理要求手段42は、認証データ管理手段43を介して認証データ蓄積手段44に蓄積された認証データを取得し、認証データを用いて認証を行う。   The process request unit 42 executes a process for the process request (authentication request) acquired by the authentication I / F unit 41 from the authentication control server 30-1 (search for whether a user ID exists in the user information). The result is output to the authentication I / F unit 41. The processing request unit 42 acquires the authentication data stored in the authentication data storage unit 44 via the authentication data management unit 43, and performs authentication using the authentication data.

認証データ管理手段43は、他のシステム等で用いるユーザ情報(ユーザIDが登録されている)等の認証データを管理する。例えば、認証データ管理手段43は、処理要求手段42からの処理要求に対して、認証データ蓄積手段44を用いて認証データの読み出しや書き込み等を行う。   The authentication data management means 43 manages authentication data such as user information (user ID is registered) used in other systems. For example, the authentication data management unit 43 uses the authentication data storage unit 44 to read or write authentication data in response to the processing request from the processing request unit 42.

なお、図1に示すクライアントPC10は、認証制御サーバ30−1の管理者等が使用する装置である。クライアントPC10は、ユーザの入力により、認証制御サーバ30−1にアクセスしてカード情報を登録したり、セキュリティ情報を登録したり、認証処理の結果等を表示するための認証結果等の確認等を行う。これらの機能は、汎用のPC等により実現可能な機能であるため、ここでの機能構成の記載は省略する。   The client PC 10 shown in FIG. 1 is a device used by an administrator of the authentication control server 30-1. The client PC 10 accesses the authentication control server 30-1 to register card information, register security information, and confirm the authentication result for displaying the result of the authentication process, etc., by user input. Do. Since these functions are functions that can be realized by a general-purpose PC or the like, description of the functional configuration is omitted here.

<ハードウェア構成例>
上述したクライアントPC10、認証制御サーバ30−1、外部認証サーバ30−2〜30−3は、例えば図3に示すハードウェア構成のコンピュータシステムにより実現される。図3は、コンピュータシステムのハードウェア構成図である。 <Hardware configuration example>
The above-described client PC 10, authentication control server 30-1, and external authentication servers 30-2 to 30-3 are realized by, for example, a computer system having a hardware configuration shown in FIG. FIG. 3 is a hardware configuration diagram of the computer system.

図3に示すコンピュータシステム2は、入力装置51と、表示装置52と、RAM(Random Access Memory)53と、ROM(Read Only Memory)54と、HDD(Hard Disk Drive)55と、CPU(Central Processing Unit)56と、通信I/F57と、外部I/F58とを有し、それぞれがバスBで相互に接続されている。   3 includes an input device 51, a display device 52, a RAM (Random Access Memory) 53, a ROM (Read Only Memory) 54, an HDD (Hard Disk Drive) 55, and a CPU (Central Processing). Unit) 56, a communication I / F 57, and an external I / F 58, which are connected to each other via a bus B.

入力装置51は、キーボードやマウス、タッチパネル等を含み、ユーザが各操作信号を入力するのに用いられる。表示装置52は、ディスプレイやモニタ等であり、コンピュータシステム2による各種設定情報や処理結果等を表示する。   The input device 51 includes a keyboard, a mouse, a touch panel, and the like, and is used by a user to input each operation signal. The display device 52 is a display, a monitor, or the like, and displays various setting information, processing results, and the like by the computer system 2.

RAM53は、プログラムやデータを一時保持する揮発性の半導体メモリ(記憶装置)である。ROM54は、電源を切ってもプログラムやデータを保持可能な不揮発性の半導体メモリ(記憶装置)である。ROM54には、コンピュータシステム2の起動時に実行されるBIOS(Basic Input/Output System)、OS(Operating System)設定、及びネットワーク設定等のプログラムやデータが格納されている。   The RAM 53 is a volatile semiconductor memory (storage device) that temporarily stores programs and data. The ROM 54 is a nonvolatile semiconductor memory (storage device) that can retain programs and data even when the power is turned off. The ROM 54 stores programs and data such as BIOS (Basic Input / Output System), OS (Operating System) settings, and network settings that are executed when the computer system 2 is started.

HDD55は、プログラムやデータを格納している不揮発性の記憶装置である。格納されるプログラムやデータには、例えばコンピュータシステム2全体を制御する基本ソフトウェアであるOSや、OS上において各種機能を提供するアプリケーションソフトウェア等がある。   The HDD 55 is a nonvolatile storage device that stores programs and data. The stored programs and data include, for example, an OS that is basic software for controlling the entire computer system 2 and application software that provides various functions on the OS.

HDD55は、格納しているプログラムやデータを所定のファイルシステム及び/又はDB(データベース)により管理している。なお、コンピュータシステム2は、HDD55の代わりにSSD(Solid State Drive)が設けられても良い。   The HDD 55 manages stored programs and data by a predetermined file system and / or DB (database). The computer system 2 may be provided with an SSD (Solid State Drive) instead of the HDD 55.

CPU56は、ROM54やHDD55等の記憶装置からプログラムやデータをRAM53上に読み出し、処理を実行することで、コンピュータシステム2全体の制御や機能を実現する演算装置である。   The CPU 56 is an arithmetic unit that realizes control and functions of the entire computer system 2 by reading a program and data from a storage device such as the ROM 54 and the HDD 55 onto the RAM 53 and executing processing.

通信I/F57は、コンピュータシステム2をネットワークに接続するインターフェースである。これにより、コンピュータシステム2は、通信I/F57を介してデータ通信を行う。   The communication I / F 57 is an interface that connects the computer system 2 to a network. Thereby, the computer system 2 performs data communication via the communication I / F 57.

外部I/F58は、外部装置とのインターフェースである。外部装置には、記録媒体58A等がある。これにより、コンピュータシステム2は、外部I/F58を介して記録媒体58Aの読み取り及び/又は書き込みを行うことが可能である。   The external I / F 58 is an interface with an external device. The external device includes a recording medium 58A. Thereby, the computer system 2 can read and / or write the recording medium 58A via the external I / F 58.

記録媒体58Aは、例えばフレキシブルディスク、CD(Compact Disk)、DVD(Digital Versatile Disk)、SDメモリカード(SD Memory card)、USBメモリ等であるが、これに限定されるものではない。   The recording medium 58A is, for example, a flexible disk, a CD (Compact Disk), a DVD (Digital Versatile Disk), an SD memory card (SD Memory card), a USB memory, or the like, but is not limited thereto.

クライアントPC10、認証制御サーバ30−1、外部認証サーバ30−2〜30−3は、コンピュータシステム2のハードウェア構成により、後述する各種処理を実現することが可能となる。また、本実施形態では、上述したコンピュータシステム2のハードウェア構成に実行プログラムをインストールすることで、ハードウェア資源とソフトウェアとが協働して、本実施形態における処理を実現することが可能となる。   The client PC 10, the authentication control server 30-1, and the external authentication servers 30-2 to 30-3 can implement various processes described later by the hardware configuration of the computer system 2. In the present embodiment, by installing an execution program in the hardware configuration of the computer system 2 described above, the hardware resource and the software can cooperate to realize the processing in the present embodiment. .

<データ例>
次に、本実施形態で用いる各種情報の一例について、図を用いて説明する。図4は、本実施形態で用いる各種情報の一例を示す図である。図4(A)は、ユーザ情報テーブルの一例を示す。図4(B)は、カード構成定義の一例を示す。図4(C)は、図4(B)に対応するカード情報テーブルの一例を示す。 <Data example>
Next, an example of various information used in the present embodiment will be described with reference to the drawings. FIG. 4 is a diagram illustrating an example of various information used in the present embodiment. FIG. 4A shows an example of a user information table. FIG. 4B shows an example of the card configuration definition. FIG. 4C shows an example of a card information table corresponding to FIG.

図4(A)に示すユーザ情報テーブルは、ユーザ情報蓄積手段35に蓄積される。ユーザ情報テーブルの項目としては、例えば「UserID」、「ユーザ名」、「パスワード」等があるが、これに限定されるものではなく、例えば「カードID」等を含めても良い。「UserID」は、ユーザを識別するためのユーザIDである。「ユーザ名」は、ユーザの名称を示す情報である。「パスワード」は、ユーザIDごとに設定された認証用のパスワードである。   The user information table shown in FIG. 4A is stored in the user information storage unit 35. The items in the user information table include, for example, “UserID”, “user name”, “password”, but are not limited thereto, and may include “card ID”, for example. “UserID” is a user ID for identifying a user. “User name” is information indicating the name of the user. “Password” is an authentication password set for each user ID.

図4(C)に示すカード情報テーブルは、カード情報蓄積手段36に蓄積され、図4(B)に示すカード構成定義に基づいて設定されている。カード構成定義としては、例えば「カードID(識別コード:CardID)」、「所有ユーザID(識別コード:UserID)」、「利用開始日(識別コード:StartDay)」、「利用終了日(識別コード:EndDay)」、「セキュリティ区分(識別コード:Security)」等があるが、これに限定されるものではない。   The card information table shown in FIG. 4C is stored in the card information storage means 36, and is set based on the card configuration definition shown in FIG. 4B. As the card configuration definition, for example, “card ID (identification code: CardID)”, “owned user ID (identification code: UserID)”, “use start date (identification code: StartDay)”, “use end date (identification code: (EndDay) "," security classification (identification code: Security) ", etc., but is not limited to this.

「CardID」は、カードを識別するためのカードIDである。「所有ユーザID」は、カードIDに対応するICカードを所有(携帯)するユーザを識別するための情報である。この所有ユーザIDは、図4(A)に示すユーザIDに相当する。   “CardID” is a card ID for identifying a card. The “owning user ID” is information for identifying a user who owns (carries) the IC card corresponding to the card ID. This owned user ID corresponds to the user ID shown in FIG.

「利用開始日」は、このカードIDに対応するカードをその所有者が利用を開始した日を示す情報である。「利用終了日」は、このカードIDに対応するカードをその所有者が利用できる最終日を示す情報である。   “Use start date” is information indicating a date when the owner starts using the card corresponding to the card ID. The “use end date” is information indicating the last date that the owner can use the card corresponding to the card ID.

「セキュリティ区分」は、カードIDに対して設定されるセキュリティ情報であり、セキュリティ区分としては、例えば正規(セキュリティ区分ID:1)、準正規(セキュリティ区分ID:2)、臨時(セキュリティ区分ID:3)等があるが、これに限定されるものではない。   The “security classification” is security information set for the card ID. As the security classification, for example, regular (security classification ID: 1), semi-regular (security classification ID: 2), and temporary (security classification ID: 3), but is not limited to this.

なお、図4(C)に示すように、ICカードごとにユーザやセキュリティ情報が対応付けられ、「UserID」が「1001」のユーザに対して、「CardID」は「0001」〜「0003」までのカード情報が設定されている。また、それぞれに対して「Security」のセキュリティ区分「1」〜「3」が設定されている。このように、ユーザに複数のICカードが紐付く場合でも、ICカードごとにセキュリティ情報が設定されているため、それぞれのセキュリティレベルに基づく権限管理を行うことが可能となる。   As shown in FIG. 4C, the user and security information are associated with each IC card, and the “CardID” is “0001” to “0003” for the user whose “UserID” is “1001”. Card information is set. Also, security categories “1” to “3” of “Security” are set for each. As described above, even when a plurality of IC cards are associated with the user, security information is set for each IC card, so that authority management based on each security level can be performed.

図5は、本実施形態におけるセキュリティ情報の一例を示す図である。図5(A)は、セキュリティ区分構成の定義例を示す。図5(B)は、図5(A)に示すセキュリティ区分構成の定義に対応するセキュリティ情報テーブルの一例を示す。図5(B)に示すセキュリティ情報テーブルは、セキュリティ情報蓄積手段37に蓄積される。   FIG. 5 is a diagram showing an example of security information in the present embodiment. FIG. 5A shows a definition example of the security category configuration. FIG. 5B shows an example of a security information table corresponding to the definition of the security classification configuration shown in FIG. The security information table shown in FIG. 5B is stored in the security information storage unit 37.

セキュリティ区分構成の定義の項目としては、例えば「セキュリティ区分ID(識別コード:ID)」、「登録可能数(識別コード:Max」、「コピー機能権限(識別コード:CopyAuth)」、「印刷(プリンタ)機能権限(識別コード:PrintAuth)」、「機器利用可否1(識別コード:Machine1)」、「機器利用可否2(識別コード:Machine2)」、「機器利用可否3(識別コード:Machine3)」等であるが、これに限定されるものではない。   The definition items of the security classification configuration include, for example, “security classification ID (identification code: ID)”, “registrable number (identification code: Max)”, “copy function authority (identification code: CopyAuth)”, “print (printer) ) Function authority (identification code: PrintAuth) ”,“ applicability 1 (identification code: Machine1) ”,“ applicability 2 (identification code: Machine2) ”,“ applicability 3 (identification code: Machine3) ”, etc. However, the present invention is not limited to this.

「セキュリティ区分ID」は、セキュリティ区分を識別するための情報である。セキュリティ区分IDとしては、例えば「1:正規」、「2:準正規」、「3:臨時」等があるが、これに限定されるものではない。   “Security classification ID” is information for identifying a security classification. Examples of the security classification ID include “1: normal”, “2: quasi-normal”, and “3: temporary”, but are not limited thereto.

「登録可能数」は、1つのセキュリティ区分に対して設定される登録可能数である。例えば、セキュリティ区分において、正規のカード/準正規のカード/臨時のカード等がある。この場合に、それぞれの区分のセキュリティレベルが「正規のカード(レベル高)>準正規のカード(レベル中)>臨時のカード(レベル低)」の場合に、セキュリティレベルが高い区分を設定できるカードの数を限定する。   The “registrable number” is a registerable number set for one security classification. For example, in the security classification, there are a regular card / semi-regular card / temporary card. In this case, when the security level of each category is “regular card (high level)> quasi-regular card (medium level)> temporary card (low level)”, a card with a high security level can be set Limit the number of

例えば、社員証が正規のカード、臨時社員証が準正規のカード、ゲスト用臨時カードが臨時のカードである場合に、セキュリティレベルの高い正規のカードの数を1つに設定する。ここで、社員証を紛失した場合に、社員証のセキュリティ区分をレベルダウンしたり、一時的に利用を失効させたり、代わりに臨時社員証を正規のカードにすることによって、紛失した社員証を使用したなりすましを防止することが可能となる。   For example, when the employee card is a regular card, the temporary employee card is a semi-regular card, and the guest temporary card is a temporary card, the number of regular cards having a high security level is set to one. Here, if the employee ID is lost, the lost employee ID can be changed by downgrading the security classification of the employee ID card, temporarily revoking it, or using a temporary card as a regular card instead. It becomes possible to prevent impersonation used.

「コピー機能権限」は、コピー時の各種条件(例えば、カラーモード/白黒モード)等の権限情報である。「印刷機能権限」は、印刷時の各種条件(例えば、カラーモード/白黒モード)等の権限情報である。上述したようにカードのセキュリティ区分に対し、利用可能機能の範囲を定義することで、例えば臨時カードやゲストカードでのなりすましを防止することが可能となる。   “Copy function authority” is authority information such as various conditions (for example, color mode / monochrome mode) at the time of copying. “Print function authority” is authority information such as various conditions during printing (for example, color mode / monochrome mode). As described above, by defining the range of usable functions for the security classification of the card, for example, it is possible to prevent spoofing with a temporary card or a guest card.

「機器利用可否1〜3」は、対象の各機器のアドレス情報(例えば、IPアドレス)等が設定されている。なお、機器利用可否で設定される機器の数は3つでなくても良い。このように、カードごとにセキュリティ区分として、利用可能機器の範囲を設定することで、例えば部外者等の利用を制限することが可能となる。   In “device availability 1 to 3”, address information (for example, IP address) of each target device is set. Note that the number of devices set by the availability of devices may not be three. In this way, by setting the range of usable devices as the security classification for each card, it becomes possible to restrict the use of outsiders, for example.

図5(B)に示すセキュリティ区分情報テーブルは、図5(A)に示すセキュリティ区分構成の定義情報に基づき、各セキュリティ区分(例えば1:正規、2:準正規、3:臨時)に対するそれぞれの利用可能権限が設定される。このセキュリティ情報を用いることで、機器利用に関する認証を行うことが可能となる。   The security classification information table shown in FIG. 5 (B) is based on the definition information of the security classification configuration shown in FIG. 5 (A), for each security classification (for example, 1: normal, 2: semi-normal, 3: temporary). Available authority is set. By using this security information, it is possible to perform authentication relating to device use.

<カード情報登録に関するシーケンス例>
次に、上述した認証制御サーバ30−1に対する認証情報(例えば、ユーザ情報、カード情報、セキュリティ情報)の登録例として、本実施形態に係るカード情報の登録処理について、シーケンスを用いて説明する。 <Example sequence for card information registration>
Next, as a registration example of authentication information (for example, user information, card information, security information) with respect to the authentication control server 30-1, the card information registration process according to the present embodiment will be described using a sequence.

図6は、カード情報の登録処理の一例を示すシーケンスである。なお、図6に示すシーケンスは、認証制御サーバ30−1におけるICカード情報I/F手段31と、カード情報処理手段32と、認証処理手段33とにより実行される。   FIG. 6 is a sequence showing an example of card information registration processing. Note that the sequence shown in FIG. 6 is executed by the IC card information I / F means 31, the card information processing means 32, and the authentication processing means 33 in the authentication control server 30-1.

図6の例において、認証制御サーバ30−1等を管理する管理者は、クライアントPC10等からICカード情報I/F手段31に対して、カード情報の登録要求を行う(S10)。カード情報の登録要求は、ICカードのカードIDと、それに対応するユーザ情報(例えば、ユーザID、ユーザ名、パスワード等)とを紐付ける処理であり、セキュリティ情報(利用権限情報)の設定等も含む。   In the example of FIG. 6, the administrator who manages the authentication control server 30-1 or the like makes a card information registration request from the client PC 10 or the like to the IC card information I / F means 31 (S10). The card information registration request is a process of associating the card ID of the IC card with the corresponding user information (for example, user ID, user name, password, etc.), and setting of security information (usage authority information), etc. Including.

ICカード情報I/F手段31は、カード情報の登録要求をカード情報処理手段32に出力する(S11)。カード情報処理手段32は、カード情報の登録要求を受けると、登録するカード情報のうちカードIDと、それに対応するユーザ情報との紐付けを行うため、認証処理手段33に対してユーザの存在(ユーザIDが存在するか)を確認する確認要求を行う(S12)。なお、認証処理手段33は、例えば外部認証サーバ30−2〜30−3に対してユーザの存在確認を行っても良い。   The IC card information I / F means 31 outputs a card information registration request to the card information processing means 32 (S11). Upon receiving the card information registration request, the card information processing means 32 associates the card ID of the card information to be registered with the corresponding user information. A confirmation request for confirming whether a user ID exists is made (S12). Note that the authentication processing unit 33 may confirm the existence of the user with respect to the external authentication servers 30-2 to 30-3, for example.

カード情報処理手段32は、ユーザの存在確認の結果を取得すると(S13)、カード情報蓄積手段36にカード情報を蓄積する(S14)。カード情報処理手段32は、蓄積により登録が完了したことを示す情報をICカード情報I/F手段31に出力する(S15)。IDカード情報I/F手段31は、管理者等にカード情報の登録完了を通知する(S16)。   When the card information processing means 32 obtains the result of the user presence confirmation (S13), it stores the card information in the card information storage means 36 (S14). The card information processing means 32 outputs information indicating that the registration is completed by accumulation to the IC card information I / F means 31 (S15). The ID card information I / F means 31 notifies the administrator or the like of the completion of card information registration (S16).

上述した処理では、ユーザに紐付けて複数のカード情報を登録し、例えばカードごとにセキュリティ情報を設定することが可能となる。   In the processing described above, a plurality of pieces of card information are registered in association with the user, and for example, security information can be set for each card.

<セキュリティ区分の登録可能数に対応させた登録処理の一例>
図7は、セキュリティ区分の登録可能数に対応させた登録処理の一例を示すシーケンスである。図7の例では、上述した図6の例と比較すると、図6の構成に対して更にセキュリティ情報処理手段34を有している。 <Example of registration processing corresponding to the number of security categories that can be registered>
FIG. 7 is a sequence showing an example of registration processing corresponding to the number of registerable security categories. In the example of FIG. 7, as compared with the above-described example of FIG. 6, a security information processing unit 34 is further added to the configuration of FIG.

図7の例において、認証制御サーバ30−1等を管理する管理者は、クライアントPC10等からICカード情報I/F手段31に対して、カード情報の登録要求を行う(S20)。ICカード情報I/F手段31は、カード情報の登録要求をカード情報処理手段32に出力する(S21)。   In the example of FIG. 7, the administrator who manages the authentication control server 30-1 or the like makes a card information registration request to the IC card information I / F means 31 from the client PC 10 or the like (S20). The IC card information I / F means 31 outputs a card information registration request to the card information processing means 32 (S21).

カード情報処理手段32は、カード情報の登録要求を受けると、登録要求の対象のカードIDと、それに対応するユーザ情報との紐付けを行うため、認証処理手段33に対してユーザの存在を確認する確認要求を行う(S22)。   When the card information processing means 32 receives the card information registration request, the card information processing means 32 confirms the existence of the user with the authentication processing means 33 in order to associate the registration request target card ID with the corresponding user information. A confirmation request is made (S22).

カード情報処理手段32は、ユーザの存在確認の結果を取得すると(S23)、カード情報蓄積手段36を参照し、登録要求の対象のカードと同一のカードに既にユーザが登録されているか(同一のカードに対応付けられたユーザが存在するか)判断する(S24)。   When the card information processing unit 32 obtains the result of the user presence check (S23), the card information storage unit 36 refers to the card information storage unit 36 to check whether the user has already been registered in the same card as the registration request target card (the same card). It is determined whether there is a user associated with the card (S24).

カード情報処理手段32は、同一のカードに対してユーザが登録されていないと判断すると、カード情報蓄積手段36にカード情報を蓄積(登録)する(S25)。これに対し、カード情報処理手段32は、同一のカードに対して既にユーザが登録されていると判断すると、セキュリティ情報処理手段34に対し、セキュリティ区分情報の登録可能数の取得要求を行う(S26)。   If the card information processing means 32 determines that no user is registered for the same card, the card information storage means 32 stores (registers) the card information in the card information storage means 36 (S25). On the other hand, when the card information processing means 32 determines that a user has already been registered for the same card, it makes an acquisition request for the number of security classification information that can be registered to the security information processing means 34 (S26). ).

ここで、セキュリティ情報処理手段34は、S26の取得要求に応じて、図5(B)に示すセキュリティ情報蓄積手段37を参照し、登録要求の対象のカード情報に設定されたセキュリティ区分に対応する登録可能数を取得する。   Here, the security information processing unit 34 refers to the security information storage unit 37 shown in FIG. 5B in response to the acquisition request in S26, and corresponds to the security classification set in the card information to be registered. Get the number that can be registered.

カード情報処理手段32は、セキュリティ情報処理手段34からセキュリティ区分に対応する登録可能数を取得すると(S27)、その登録可能数と、現在その区分で設定されているカードIDの数とを確認して、登録可能数の上限に達しているか判断する(S28)。   When the card information processing means 32 obtains the registerable number corresponding to the security classification from the security information processing means 34 (S27), it confirms the registerable number and the number of card IDs currently set in the classification. Then, it is determined whether the maximum number of registrations has been reached (S28).

カード情報処理手段32は、登録可能数の上限に達していないと判断した場合には、例えば新たなユーザに紐付けし直してカード情報を更新して、カード情報蓄積手段36に登録する(S29)。   If the card information processing means 32 determines that the upper limit of the number that can be registered has not been reached, the card information is updated, for example, by relinking to a new user and registered in the card information storage means 36 (S29). ).

なお、登録可能数が上限に達している場合には、上述した更新処理は実行できず、エラー処理を実行する。エラー処理としては、例えば登録要求の対象のカード情報で指定されているセキュリティ区分が上限に達していることを管理者等に通知するか、指定されているセキュリティ区分よりもレベルを下げた区分で登録処理を行って良いか管理者等に提示すると良い。   If the number of registrations has reached the upper limit, the above update process cannot be executed, and an error process is executed. For error handling, for example, notify the administrator, etc. that the security category specified in the card information subject to registration request has reached the upper limit, or use a category with a lower level than the specified security category. It is recommended to show the administrator whether the registration process can be performed.

カード情報処理手段32は、登録結果(登録できたか否かの情報を含む)をICカード情報I/F手段31に出力する(S30)。ICカード情報I/F手段31は、管理者等に登録結果を通知する(S31)。   The card information processing means 32 outputs the registration result (including information indicating whether or not registration is possible) to the IC card information I / F means 31 (S30). The IC card information I / F means 31 notifies the administrator etc. of the registration result (S31).

上述した処理により、セキュリティ区分の登録可能数を制限した登録処理を行うことが可能となる。   With the above-described processing, it is possible to perform registration processing in which the number of security classifications that can be registered is limited.

<カード情報の重複登録を防止する場合のシーケンス>
ここで、カード情報の重複登録を防止するシーケンスについて説明する。図8は、カード情報の重複登録を防止する場合のシーケンスである。図8に示すシーケンスは、ICカード情報I/F手段31と、カード情報処理手段32と、認証処理手段33とにより実行される。 <Sequence for preventing duplicate registration of card information>
Here, a sequence for preventing duplicate registration of card information will be described. FIG. 8 is a sequence for preventing duplicate registration of card information. The sequence shown in FIG. 8 is executed by the IC card information I / F unit 31, the card information processing unit 32, and the authentication processing unit 33.

なお、図8の例では、例えば機器20の利用期限が限定されるようなセキュリティ区分の臨時カード等を新たにユーザに紐付けする場合に、そのカードが既に任意のユーザに紐付け登録されているか判断する。既に登録されている場合には、登録されているユーザとカードとの紐付けを解除して権利を失効させ、そのユーザが該カードを利用できないようにしてから、新たなユーザへ紐付けしてカードを利用可能とする。   In the example of FIG. 8, for example, when a temporary card or the like of a security category that limits the expiration date of the device 20 is associated with a user, the card is already associated and registered with an arbitrary user. Determine if If it has already been registered, the association between the registered user and the card is canceled to revoke the rights, so that the user cannot use the card, and the user is then associated with the new user. Make the card available.

図8の例において、認証制御サーバ30−1等を管理する管理者は、クライアントPC10等からICカード情報I/F手段31に対して、カード情報の登録要求を行う(S40)。ICカード情報I/F手段31は、カード情報の登録要求をカード情報処理手段32に出力する(S41)。   In the example of FIG. 8, the administrator who manages the authentication control server 30-1 or the like makes a card information registration request from the client PC 10 or the like to the IC card information I / F means 31 (S40). The IC card information I / F means 31 outputs a card information registration request to the card information processing means 32 (S41).

カード情報処理手段32は、カード情報の登録要求を受けると、登録対象のカードIDと、それに対応するユーザ情報との紐付けを行うため、認証処理手段33に対してユーザの存在を確認する確認要求を行う(S42)。   When the card information processing means 32 receives the card information registration request, the card information processing means 32 confirms the existence of the user with the authentication processing means 33 in order to associate the card ID to be registered with the corresponding user information. A request is made (S42).

カード情報処理手段32は、ユーザの存在確認の結果を取得すると(S43)、カード情報蓄積手段36を参照し、登録要求の対象のカードと同一のカードに既にユーザが登録されているか判断する(S44)。   When the card information processing unit 32 obtains the result of the user presence check (S43), the card information storage unit 36 refers to the card information storage unit 36 and determines whether the user is already registered in the same card as the registration request target card (S43). S44).

カード情報処理手段32は、同一カードに対してユーザが登録されていないと判断すると、カード情報蓄積手段36にカード情報を蓄積(登録)する(S45)。これに対し、カード情報処理手段32は、同一のカードに対して既にユーザが登録されていると判断すると、新たなユーザに紐付けし直してカード情報を更新し、カード情報蓄積手段36に登録する(S46)。   If the card information processing unit 32 determines that no user is registered for the same card, the card information storage unit 32 stores (registers) the card information in the card information storage unit 36 (S45). On the other hand, if the card information processing means 32 determines that a user has already been registered for the same card, the card information processing means 32 re-links to a new user, updates the card information, and registers it in the card information storage means 36. (S46).

これにより、既に登録されているユーザとカードとの紐付けを解除して権利を失効させ、そのユーザが該カードを利用できないようにすることが可能となる。なお、S46の処理で、新たなユーザを登録する更新処理を実行しないように制御することも可能である。   As a result, it is possible to cancel the association between the already registered user and the card and revoke the right so that the user cannot use the card. Note that it is also possible to control not to execute an update process for registering a new user in the process of S46.

カード情報処理手段32は、登録結果をICカード情報I/F手段31に出力する(S47)。ICカード情報I/F手段31は、管理者等に登録結果を通知する(S48)。   The card information processing means 32 outputs the registration result to the IC card information I / F means 31 (S47). The IC card information I / F means 31 notifies the administrator etc. of the registration result (S48).

上述した処理により、例えば利用期限が限定されるような臨時カード等の共有カードが重複して登録利用されることを防止することが可能となる。   Through the above-described processing, it is possible to prevent a shared card such as a temporary card whose usage time limit is limited from being registered and used.

<カード認証処理の一例を示すシーケンス>
次に、上述した登録処理により登録された情報を用いたカード認証の一例について説明する。図9は、カード認証処理の一例を示すシーケンスである。図9に示すシーケンスは、機器20と、認証制御サーバ30−1とにより実行される。また、認証制御サーバ30−1は、ICカード情報I/F手段31と、認証処理手段33と、カード情報処理手段32とを用いた例を示している。 <Sequence showing an example of card authentication processing>
Next, an example of card authentication using information registered by the registration process described above will be described. FIG. 9 is a sequence showing an example of the card authentication process. The sequence shown in FIG. 9 is executed by the device 20 and the authentication control server 30-1. Further, the authentication control server 30-1 shows an example using an IC card information I / F unit 31, an authentication processing unit 33, and a card information processing unit 32.

図9の例において、機器20を利用する利用者(ユーザ)が、機器20に対してカードログインを行う(S50)。カードログインとは、ユーザが所有(携帯)するICカードを機器20に内蔵又は外付けされたICカードリーダ読取手段25により読み取り、ICカードに紐付かれた認証情報に基づいて機器20の利用を行うためのログイン動作である。   In the example of FIG. 9, a user (user) who uses the device 20 performs card login to the device 20 (S50). In card login, an IC card owned (carried) by a user is read by an IC card reader reading unit 25 built in or externally attached to the device 20, and the device 20 is used based on authentication information associated with the IC card. Login operation.

機器20は、ユーザからのカードログインを受け付けると、ICカード情報I/F手段31に対して、ログイン情報(例えば、カードID等のカード情報等)に基づく認証要求を行う(S51)。ICカード情報I/F手段31は、ICカードから読み取ったログイン情報を認証処理手段33に出力する(S52)。   Upon receiving a card login from the user, the device 20 makes an authentication request to the IC card information I / F means 31 based on login information (for example, card information such as a card ID) (S51). The IC card information I / F unit 31 outputs the login information read from the IC card to the authentication processing unit 33 (S52).

認証処理手段33は、カード情報処理手段32に対し、カード情報蓄積手段36を参照して、ログイン情報に対応するカード情報の読み出しを要求し(S53)、カード情報処理手段32から、カード情報蓄積手段36に蓄積されたカード情報を取得する(S54)。認証処理手段33は、ログイン情報と、認証情報(ユーザ情報蓄積手段35に蓄積されたユーザ情報、カード情報蓄積手段36に蓄積されたカード情報、セキュリティ情報蓄積手段37に蓄積されたセキュリティ情報等)とに基づき、認証処理を実行する(S55)。   The authentication processing unit 33 requests the card information processing unit 32 to read out the card information corresponding to the login information with reference to the card information storage unit 36 (S53). The card information stored in the means 36 is acquired (S54). The authentication processing unit 33 includes login information and authentication information (user information stored in the user information storage unit 35, card information stored in the card information storage unit 36, security information stored in the security information storage unit 37, etc.). Based on the above, an authentication process is executed (S55).

認証処理手段33は、認証結果をICカード情報I/F手段31に出力する(S56)。ICカード情報I/F手段31は、認証結果に基づき、機器20に対する利用権限情報等を機器20に出力する(S57)。機器20は、利用権限情報に基づいてICカードを所有するユーザに対して機器20の使用等を許可する(S58)。   The authentication processing means 33 outputs the authentication result to the IC card information I / F means 31 (S56). The IC card information I / F means 31 outputs usage authority information for the device 20 to the device 20 based on the authentication result (S57). The device 20 permits the user who owns the IC card based on the usage authority information to use the device 20 (S58).

<カード認証処理の具体例を示すシーケンス>
次に、外部認証を含むカード認証の一例について説明する。図10は、外部認証を含むカード認証処理の一例を示すシーケンスである。図10に示すシーケンスは、機器20と、認証制御サーバ30−1と、外部認証サーバ30−2,30−3とにより実行される。 <Sequence showing a specific example of card authentication processing>
Next, an example of card authentication including external authentication will be described. FIG. 10 is a sequence showing an example of card authentication processing including external authentication. The sequence shown in FIG. 10 is executed by the device 20, the authentication control server 30-1, and the external authentication servers 30-2 and 30-3.

図10の例において、機器20を利用する利用者(ユーザ)が、機器20に対してカードログインを行う(S60)。機器20は、ユーザからのカードログインを受け付けると、ICカード情報I/F手段31に対して、ログイン情報(例えば、カードID等のカード情報等)に基づく認証要求を行う(S61)。ICカード情報I/F手段31は、ログイン情報を認証処理手段33に出力する(S62)。   In the example of FIG. 10, a user (user) who uses the device 20 performs card login to the device 20 (S60). Upon receiving a card login from the user, the device 20 makes an authentication request to the IC card information I / F unit 31 based on login information (for example, card information such as a card ID) (S61). The IC card information I / F unit 31 outputs the login information to the authentication processing unit 33 (S62).

認証処理手段33は、カード情報処理手段32に対し、カード情報蓄積手段36を参照して、ログイン情報に対応するカード情報の読み出しを要求し(S63)、カード情報処理手段32から、カード情報蓄積手段36に蓄積されたカード情報を取得する(S64)。また、認証処理手段33は、ログイン情報(カードID)に基づき、カード情報蓄積手段36に蓄積されたカード情報からユーザIDを取得すると、例えばユーザIDに基づいて外部認証サーバ30−2,30−3に認証要求を行う(S65)。   The authentication processing unit 33 requests the card information processing unit 32 to read out the card information corresponding to the login information with reference to the card information storage unit 36 (S63). The card information stored in the means 36 is acquired (S64). Further, when the authentication processing unit 33 acquires the user ID from the card information stored in the card information storage unit 36 based on the login information (card ID), for example, the external authentication servers 30-2 and 30- based on the user ID. 3 requests authentication (S65).

認証処理手段33は、外部認証サーバ30−2,30−3から認証結果を取得すると(S66)、S64の処理で取得したカード情報と、S66の処理で取得した認証結果、セキュリティ情報蓄積手段37に蓄積されたセキュリティ情報等に基づき、認証処理を実行する(S67)。   When the authentication processing unit 33 acquires the authentication result from the external authentication servers 30-2 and 30-3 (S66), the card information acquired in the process of S64, the authentication result acquired in the process of S66, and the security information storage unit 37 The authentication process is executed based on the security information stored in (S67).

認証処理手段33は、認証結果をICカード情報I/F手段31に出力する(S68)。ICカード情報I/F手段31は、認証結果に基づき、機器20に対する利用権限情報等を機器20に出力する(S69)。機器20は、利用権限情報等に基づいてICカードを所有するユーザに対して機器20の使用等を許可する(S70)。   The authentication processing means 33 outputs the authentication result to the IC card information I / F means 31 (S68). The IC card information I / F means 31 outputs usage authority information for the device 20 to the device 20 based on the authentication result (S69). The device 20 permits the user who owns the IC card to use the device 20 based on the usage authority information (S70).

上述した実施形態によれば、例えばユーザに複数のICカードが紐付く場合に、セキュリティ情報に基づく権限管理を行うことが可能となる。また、この権限管理により、例えば社員証を紛失した場合に、セキュリティレベルを変更して一時的に利用を失効させたり、臨時社員証を正規のカードにして、紛失した社員証を用いたなりすましを防止し、セキュリティを向上させることが可能となる。   According to the above-described embodiment, for example, when a plurality of IC cards are associated with a user, authority management based on security information can be performed. Also, with this authority management, for example, if an employee ID is lost, the security level can be changed to temporarily revoke use, or a temporary card can be used as a regular card and impersonation using a lost ID It is possible to prevent and improve security.

本発明は、具体的に開示された上記の実施形態に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。   The present invention is not limited to the specifically disclosed embodiments, and various modifications and changes can be made without departing from the scope of the claims.

1 認証システム
2 コンピュータシステム
10 クライアントPC
20 機器
21 入力受付手段
22 出力手段
23 設定情報蓄積手段
24 認証サービス利用アプリ
25 ICカードリーダ読取手段
30 カード認証システム
30−1 認証制御サーバ(認証制御装置の一例)
30−2,30−3 外部認証サーバ
31 ICカード情報I/F手段(インターフェース手段の一例)
32 カード情報処理手段
33 認証処理手段
34 セキュリティ情報処理手段
35 ユーザ情報蓄積手段
36 カード情報蓄積手段
37 セキュリティ情報蓄積手段
41 認証I/F手段
42 処理要求手段
43 認証データ管理手段
44 認証データ蓄積手段
51 入力装置
52 表示装置
53 RAM
54 ROM
55 HDD
56 CPU
57 通信I/F
58 外部I/F
58A 記録媒体 1 Authentication System 2 Computer System 10 Client PC
20 Device 21 Input Accepting Unit 22 Output Unit 23 Setting Information Storage Unit 24 Authentication Service Utilizing Application 25 IC Card Reader Reading Unit 30 Card Authentication System 30-1 Authentication Control Server (An Example of Authentication Control Device)
30-2, 30-3 External authentication server 31 IC card information I / F means (an example of interface means)
32 Card information processing means 33 Authentication processing means 34 Security information processing means 35 User information storage means 36 Card information storage means 37 Security information storage means 41 Authentication I / F means 42 Processing request means 43 Authentication data management means 44 Authentication data storage means 51 Input device 52 Display device 53 RAM
54 ROM
55 HDD
56 CPU
57 Communication I / F
58 External I / F
58A Recording medium

特開2008−134854号公報JP 2008-134854 A

Claims (8)

ユーザごとに1又は複数のカード情報と、該カード情報に対応するセキュリティ情報とを登録するカード情報処理手段と、
機器から送信されたカード情報と、前記カード情報処理手段により登録されたカード情報とを照合して認証可否を判断する認証処理手段と、
前記認証処理手段により得られる認証結果を前記機器に出力するインターフェース手段とを有することを特徴とする認証制御装置。 Card information processing means for registering one or a plurality of card information for each user and security information corresponding to the card information;
Authentication processing means for determining whether authentication is possible by comparing card information transmitted from the device with card information registered by the card information processing means;
An authentication control apparatus comprising: an interface unit that outputs an authentication result obtained by the authentication processing unit to the device. 前記セキュリティ情報で設定されたセキュリティレベルに応じた登録可能数を設定するセキュリティ情報処理手段を有することを特徴とする請求項1に記載の認証制御装置。   The authentication control apparatus according to claim 1, further comprising security information processing means for setting a registrable number corresponding to a security level set by the security information. 前記カード情報ごとに設定されたセキュリティ情報は、利用可能な機能及び/又は機器の情報を有することを特徴とする請求項1又は2に記載の認証制御装置。   The authentication control apparatus according to claim 1 or 2, wherein the security information set for each card information includes information on functions and / or devices that can be used. 前記カード情報処理手段は、
前記カード情報の利用期限が限定されるカードを新たにユーザに対応付ける場合に、前記カード情報が既に任意のユーザに対応付けされているか判断し、既に対応付けされている場合に、新たに対応付けしないようにすることを特徴とする請求項1乃至3のいずれか一項に記載の認証制御装置。 The card information processing means
When a card with a limited use period of the card information is newly associated with a user, it is determined whether the card information is already associated with an arbitrary user. The authentication control apparatus according to claim 1, wherein the authentication control apparatus is configured not to do so. 前記カード情報処理手段は、
前記カード情報が既に任意のユーザに対応付けされているか判断し、既に対応付けされている場合には、既に対応付けされている前記ユーザと前記カードとの対応付けを解除した後、新たに対応付けすることを特徴とする請求項4項に記載の認証制御装置。 The card information processing means
It is determined whether the card information is already associated with an arbitrary user. If the card information is already associated, the association between the already associated user and the card is canceled, and a new response is made. The authentication control device according to claim 4, wherein the authentication control device is attached. 1以上の情報処理装置を有する認証システムであって、
ユーザごとに1又は複数のカード情報と、該カード情報に対応するセキュリティ情報とを登録するカード情報処理手段と、
前記情報処理装置と通信ネットワークを介して接続された機器から送信されたカード情報と、前記カード情報処理手段により登録されたカード情報とを照合して認証可否を判断する認証処理手段と、
前記認証処理手段により得られる認証結果を前記機器に出力するインターフェース手段とを有することを特徴とする認証システム。 An authentication system having one or more information processing devices,
Card information processing means for registering one or a plurality of card information for each user and security information corresponding to the card information;
Authentication processing means for judging whether authentication is possible by comparing card information transmitted from a device connected to the information processing apparatus via a communication network and card information registered by the card information processing means;
An authentication system comprising: an interface unit that outputs an authentication result obtained by the authentication processing unit to the device. 1以上の情報処理装置を有する認証システムにおける認証方法であって、
ユーザごとに1又は複数のカード情報と、該カード情報に対応するセキュリティ情報とを登録するカード情報処理手順と、
前記情報処理装置と通信ネットワークを介して接続された機器から送信されたカード情報と、前記カード情報処理手順により登録されたカード情報とを照合して認証可否を判断する認証処理手順と、
前記認証処理手順により得られる認証結果を前記機器に出力するインターフェース手段とを有することを特徴とする認証方法。 An authentication method in an authentication system having one or more information processing devices,
A card information processing procedure for registering one or more pieces of card information and security information corresponding to the card information for each user;
An authentication processing procedure for determining whether authentication is possible by comparing card information transmitted from a device connected to the information processing apparatus via a communication network and card information registered by the card information processing procedure;
And an interface unit for outputting an authentication result obtained by the authentication processing procedure to the device. コンピュータを、
ユーザごとに1又は複数のカード情報と、該カード情報に対応するセキュリティ情報とを登録するカード情報処理手段、
機器から送信されたカード情報と、前記カード情報処理手段により登録されたカード情報とを照合して認証可否を判断する認証処理手段、及び
前記認証処理手段により得られる認証結果を前記機器に出力するインターフェース手段として機能させるためのプログラム。 Computer
Card information processing means for registering one or a plurality of card information and security information corresponding to the card information for each user;
An authentication processing unit that determines whether authentication is possible by comparing card information transmitted from the device with card information registered by the card information processing unit, and outputs an authentication result obtained by the authentication processing unit to the device A program for functioning as an interface means.
JP2014050561A 2014-03-13 2014-03-13 Authentication control apparatus, authentication system, authentication method, and program Pending JP2015176238A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014050561A JP2015176238A (en) 2014-03-13 2014-03-13 Authentication control apparatus, authentication system, authentication method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014050561A JP2015176238A (en) 2014-03-13 2014-03-13 Authentication control apparatus, authentication system, authentication method, and program

Publications (1)

Publication Number Publication Date
JP2015176238A true JP2015176238A (en) 2015-10-05

Family

ID=54255415

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014050561A Pending JP2015176238A (en) 2014-03-13 2014-03-13 Authentication control apparatus, authentication system, authentication method, and program

Country Status (1)

Country Link
JP (1) JP2015176238A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10599827B2 (en) 2018-03-29 2020-03-24 Ricoh Company, Ltd. Information processing system, information processing apparatus, and information processing method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10599827B2 (en) 2018-03-29 2020-03-24 Ricoh Company, Ltd. Information processing system, information processing apparatus, and information processing method

Similar Documents

Publication Publication Date Title
JP6056384B2 (en) System and service providing apparatus
JP5962354B2 (en) Information processing apparatus, program, and system
JP6318940B2 (en) Service providing system, data providing method and program
JP6550692B2 (en) Service providing system, log information providing method and program
US8918856B2 (en) Trusted intermediary for network layer claims-enabled access control
US9854122B2 (en) Image forming apparatus, data management method, and storage medium
JP6390123B2 (en) Information processing system and authentication information providing method
US9053303B2 (en) Apparatus, authentication system, authentication control method, authentication control program, and computer-readable recording medium having authentication control program
US10673833B2 (en) Information processing system, server device, and method for processing information
US10291620B2 (en) Information processing apparatus, terminal apparatus, program, and information processing system for collaborative use of authentication information between shared services
US10178275B2 (en) Information processing system, apparatus, and information processing method
JP6183035B2 (en) Service providing system, service providing method and program
US9661184B2 (en) Data processing system and data processing method for authenticating user by utilizing user list obtained from service providing apparatus
JP6447766B2 (en) Service providing system, data providing method and program
JP2020064660A (en) Information processing apparatus, terminal device, program, and information processing system
US20190379661A1 (en) Information processing system and control method therefor
JP2015026231A (en) Service provision system, image provision method, and program
JP6237868B2 (en) Cloud service providing system and cloud service providing method
JP2015176238A (en) Authentication control apparatus, authentication system, authentication method, and program
JP5983016B2 (en) System, authentication control apparatus, and program
JP6424864B2 (en) system
JP6299101B2 (en) Service providing system, service providing method and program
JP6024314B2 (en) Information processing apparatus, program, and system
JP2015146147A (en) Service providing system, information processing apparatus, image providing method, and program
JP2015028740A (en) Service provision system, service provision method, and program