JP2018036801A - Information processing apparatus, information processing method, and computer program - Google Patents

Information processing apparatus, information processing method, and computer program Download PDF

Info

Publication number
JP2018036801A
JP2018036801A JP2016168580A JP2016168580A JP2018036801A JP 2018036801 A JP2018036801 A JP 2018036801A JP 2016168580 A JP2016168580 A JP 2016168580A JP 2016168580 A JP2016168580 A JP 2016168580A JP 2018036801 A JP2018036801 A JP 2018036801A
Authority
JP
Japan
Prior art keywords
authentication
information processing
information
processing apparatus
state
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016168580A
Other languages
Japanese (ja)
Inventor
一也 岸
Kazuya Kishi
一也 岸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2016168580A priority Critical patent/JP2018036801A/en
Publication of JP2018036801A publication Critical patent/JP2018036801A/en
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To appropriately address a change in authentication state of an authentication device or an authentication method.SOLUTION: An information processing apparatus for performing authentication of a user comprises: first storage means that stores an authentication state indicating the state of the information processing apparatus or an authentication method; second storage means that holds association information in which an authentication state and processing on authentication are associated with each other; and processing means that, when the authentication state is determined to have been changed, performs the processing on authentication on the basis of the association information.SELECTED DRAWING: Figure 2

Description

本発明は、ユーザの認証を行うための情報処理装置、情報処理方法、およびコンピュータプログラムに関する。   The present invention relates to an information processing apparatus, an information processing method, and a computer program for authenticating a user.

リモートシステムにログインするユーザを識別する技術として、ユーザIDとパスワードによるユーザの認証が広く使われている。これに対し、近年はユーザにとって煩雑なパスワード管理を回避するために、公開鍵暗号を利用したユーザの認証技術が提案されている。   As a technique for identifying a user who logs in to a remote system, user authentication using a user ID and a password is widely used. On the other hand, in recent years, a user authentication technique using public key cryptography has been proposed in order to avoid complicated password management for the user.

公開鍵暗号を利用したユーザの認証技術の一例としてFIDO(Fast IDentity Online)による標準技術がある(非特許文献1)。FIDOで標準化された認証プロトコルによれば、ユーザの操作するログイン端末でユーザの認証鍵ペアを生成し、この認証鍵ペアの公開鍵をリモートサービスに登録する。ユーザがリモートサービスにログインする場合には、サービスから送られてくるチャレンジに対して認証鍵ペアの秘密鍵で署名を生成してサービスに送り返す。   As an example of a user authentication technique using public key cryptography, there is a standard technique based on FIDO (Fast Identity Online) (Non-patent Document 1). According to the authentication protocol standardized by FIDO, a user authentication key pair is generated at a login terminal operated by the user, and the public key of the authentication key pair is registered in the remote service. When the user logs in to the remote service, a signature is generated with the secret key of the authentication key pair in response to the challenge sent from the service and sent back to the service.

サービスはチャレンジに対する署名をユーザに対応付けられた公開鍵で検証し、ログインの可否を判定する。ログイン端末で管理される認証鍵ペアは指紋認証などの認証デバイスによって管理され、認証デバイスは正当なユーザによる操作を確認してから秘密鍵による署名を許可することが通常である。   The service verifies the signature for the challenge with the public key associated with the user, and determines whether login is possible. The authentication key pair managed by the login terminal is managed by an authentication device such as fingerprint authentication, and the authentication device normally confirms an operation by a legitimate user and permits a signature with a secret key.

一方で、このような公開鍵を利用したログイン端末に対して複数の認証デバイスが備えられている場合における認証デバイスの選択に関する技術が提案されている。例えば、特許文献1では、センサを利用することで端末のおかれた環境を検出し、更に評価結果に基づき環境に適した認証方式を自動的に選択することによりユーザの利便性を向上させることが開示されている。   On the other hand, a technique related to selection of an authentication device when a plurality of authentication devices are provided for a login terminal using such a public key has been proposed. For example, in Patent Document 1, the environment in which the terminal is placed is detected by using a sensor, and the user's convenience is improved by automatically selecting an authentication method suitable for the environment based on the evaluation result. Is disclosed.

FIDO UAF Protocol Specification v1.0(https://fidoalliance.org/)FIDO UAF Protocol Specification v1.0 (https://fidalignance.org/)

特開2015−90589号公報JP2015-90589A

しかしながら、特許文献1に開示されている技術では、ログイン端末で利用可能な認証デバイスや認証方式が固定であることを前提としている。しかしながら、実際には、認証デバイスの追加や廃棄、よりセキュアな認証方式のリリースなどによって認証状態が変更されるケースがある。これらに対して適切に対応しないと、追加した認証デバイスによる認証処理を行うことが出来ない、または、よりセキュアな認証方式を利用することが出来ないなどの事態が発生する可能性がある。   However, in the technique disclosed in Patent Document 1, it is assumed that an authentication device and an authentication method that can be used in a login terminal are fixed. In reality, however, there are cases where the authentication state is changed by adding or discarding an authentication device or releasing a more secure authentication method. If these are not appropriately handled, there is a possibility that an authentication process using the added authentication device cannot be performed, or a more secure authentication method cannot be used.

本発明は、上記課題を鑑みてなされたものであり、認証デバイスもしくは認証方式の認証状態の変化に対して、適切に対応することを目的とする。   The present invention has been made in view of the above problems, and an object thereof is to appropriately cope with a change in an authentication state of an authentication device or an authentication method.

本発明は、ユーザの認証を行うための情報処理装置であって、前記情報処理装置もしくは認証方式の状態を示す認証状態を記憶する第一の記憶手段と、認証状態と認証に関する処理とが対応付けられた対応情報を保持する第二の記憶手段と、前記認証状態が変化したと判断された場合、前記対応情報に基づき認証に関する処理を行う処理手段と、を有することを特徴とする。 The present invention is an information processing apparatus for authenticating a user, and corresponds to a first storage unit that stores an authentication state indicating the state of the information processing apparatus or an authentication method, and an authentication state and processing related to authentication. A second storage unit that holds the attached correspondence information; and a processing unit that performs processing related to authentication based on the correspondence information when it is determined that the authentication state has changed.

本発明によれば、認証デバイスもしくは認証方式の認証状態の変化に対して、適切に対応することが出来る。   ADVANTAGE OF THE INVENTION According to this invention, it can respond appropriately with respect to the change of the authentication state of an authentication device or an authentication system.

情報処理装置のハードウェア構成を説明する図である。It is a figure explaining the hardware constitutions of information processing apparatus. 情報処理装置の機能構成を説明する図である。It is a figure explaining the functional composition of an information processor. 認証状態を説明する図である。It is a figure explaining an authentication state. 情報処理装置の処理フローを説明する図である。It is a figure explaining the processing flow of information processing apparatus.

以下、本発明の実施形態について図面を用いて説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

(第1の実施形態)
<情報処理装置のハードウェア構成>
図1を用いて、本実施形態に適応可能な情報処理装置について説明する。図1は本実施形態に適応可能な情報処理装置の基本構成を示す図である。同図において、情報処理装置100は、HD105、CD106、及びDVD107などにデータを蓄積することが可能である。また、蓄積されているデータをモニタ101に表示することが可能である。更に、これらのデータは、NIC108などを用いることによってインターネットなどを介して配布させることも可能である。また、ユーザからの各種指示等は、ポインティングデバイス110、及びキーボード111からの入力により行われる。情報処理装置100の内部では、バス112により後述する各ブロックが接続され、種々のデータの受け渡しが可能である。 (First embodiment)
<Hardware configuration of information processing device>
An information processing apparatus that can be applied to the present embodiment will be described with reference to FIG. FIG. 1 is a diagram showing a basic configuration of an information processing apparatus applicable to the present embodiment. In the figure, the information processing apparatus 100 can store data in an HD 105, a CD 106, a DVD 107, and the like. In addition, the accumulated data can be displayed on the monitor 101. Further, these data can be distributed via the Internet or the like by using the NIC 108 or the like. In addition, various instructions from the user are performed by input from the pointing device 110 and the keyboard 111. Inside the information processing apparatus 100, blocks to be described later are connected by a bus 112, and various data can be transferred.

モニタ101は情報処理装置100からの種々の情報を表示することの出来るモニタである。CPU102は情報処理装置100内の各部の動作を制御、或いはRAM104にロードされたプログラムを実行することのできるCPUである。ROM103はBIOSやブートプログラムを記憶しているROMである。RAM104はCPU102にて処理を行うために一時的にプログラムや処理対象のデータを格納しておくRAMであり、ここにOSやCPU102が後述の各種処理を行うためのプログラムがロードされる。HD105はRAM等に転送されるOSやプログラムを格納したり、装置が動作中にデータを格納したり、読出すために使用されるハードディスク(HD)である。CD106は、外部記憶媒体の一つであるCD−ROM(CD−R、CD−R/Wなど)に記憶されたデータを読み込み或いは書き出すことのできるCD−ROMドライブである。DVD107も、CD106と同様にDVD−ROMからの読み込み、DVD−RAMへの書き出しができるDVD−ROM(DVD−RAM)ドライブである。尚、CD−ROM、DVD−ROM等にプログラムが記憶されている場合には、これらプログラムをHD105にインストールし、必要に応じてRAM104に転送されるようになっている。I/F109は、RAM104、HD105、CD106、DVD107などに記憶されているデータを、インターネットなどのネットワークに接続するNIC108に情報処理装置100を接続するためのI/Fである。I/F109を介して情報処理装置100は、インターネットへデータを送信したり、インターネットからデータを受信したりする。また、I/F109は、情報処理装置100にポインティングデバイス110やキーボード111を接続するためのI/Fで、I/F109を介してポインティングデバイス110やキーボード111から入力された各種の指示がCPU102に入力される。更に、I/F109に生体認証などの認証機能を具備する認証デバイス113を接続することで、認証デバイス113とデータの送受信を行うことができる。認証デバイス113は例えば、指紋認証機能をもつUSBドングルである。なお、情報処理装置100は、後述する処理を実行するプログラムを例えばIoT機器であるデジタルカメラ、プリンタ、ネットワークカメラ、スマートフォン、PC(パーソナルコンピュータ)などに供給することで実現することができる。   The monitor 101 is a monitor that can display various information from the information processing apparatus 100. The CPU 102 is a CPU that can control the operation of each unit in the information processing apparatus 100 or execute a program loaded in the RAM 104. The ROM 103 is a ROM that stores a BIOS and a boot program. The RAM 104 is a RAM that temporarily stores programs and data to be processed for processing by the CPU 102, and is loaded with programs for the OS and the CPU 102 to perform various processes described later. The HD 105 is a hard disk (HD) used for storing an OS or program transferred to a RAM or the like, or for storing or reading data while the apparatus is operating. The CD 106 is a CD-ROM drive that can read or write data stored in a CD-ROM (CD-R, CD-R / W, etc.) that is one of external storage media. The DVD 107 is also a DVD-ROM (DVD-RAM) drive capable of reading from the DVD-ROM and writing to the DVD-RAM, as with the CD 106. When programs are stored in a CD-ROM, DVD-ROM, etc., these programs are installed in the HD 105 and transferred to the RAM 104 as necessary. The I / F 109 is an I / F for connecting the information processing apparatus 100 to the NIC 108 that connects data stored in the RAM 104, the HD 105, the CD 106, the DVD 107, and the like to a network such as the Internet. The information processing apparatus 100 transmits data to the Internet or receives data from the Internet via the I / F 109. The I / F 109 is an I / F for connecting the pointing device 110 and the keyboard 111 to the information processing apparatus 100, and various instructions input from the pointing device 110 and the keyboard 111 via the I / F 109 are input to the CPU 102. Entered. Further, by connecting an authentication device 113 having an authentication function such as biometric authentication to the I / F 109, data can be transmitted to and received from the authentication device 113. For example, the authentication device 113 is a USB dongle having a fingerprint authentication function. The information processing apparatus 100 can be realized by supplying a program for executing processing to be described later to, for example, a digital camera, printer, network camera, smartphone, PC (personal computer), or the like, which is an IoT device.

以上、本実施形態に適応可能な情報処理装置のハードウェア構成について説明した。   Heretofore, the hardware configuration of the information processing apparatus applicable to the present embodiment has been described.

<情報処理装置の機能構成>
次に、図2を用いて本実施形態に適応可能な情報処理装置100の機能構成について説明する。図2に示すように本実施形態における情報処理装置100は、入力部201、取得部202、比較部203、処理決定部204、処理部205、出力部206、第1の記憶部207、第2の記憶部208から構成される。また、情報処理装置100はNIC108を介して有線、或いは無線の通信回線でサーバ200と接続されており、互いにデータを通信可能である。尚、サーバ200についても前述した情報処理装置100のハードウェア構成が適用可能であり、例えばサーバ機能を具備したPCなどが利用可能である。 <Functional configuration of information processing apparatus>
Next, the functional configuration of the information processing apparatus 100 that can be applied to the present embodiment will be described with reference to FIG. As illustrated in FIG. 2, the information processing apparatus 100 according to the present embodiment includes an input unit 201, an acquisition unit 202, a comparison unit 203, a processing determination unit 204, a processing unit 205, an output unit 206, a first storage unit 207, a second The storage unit 208 is configured. The information processing apparatus 100 is connected to the server 200 via a NIC 108 via a wired or wireless communication line and can communicate data with each other. The hardware configuration of the information processing apparatus 100 described above can also be applied to the server 200. For example, a PC having a server function can be used.

本システムは、サーバ200が提供するサービスが情報処理装置100のユーザを認証し、情報処理装置100を通して正当なユーザにサービス提供する。例えば、サーバ200はオンラインバンクや証券会社などの金融サービス、商品の購入や販売を行うサービスを提供する。このようなサービスにおいては利用するユーザを正しく認証し、適切なアクセス制御を実施することが必要になる。   In this system, the service provided by the server 200 authenticates the user of the information processing apparatus 100 and provides the service to a legitimate user through the information processing apparatus 100. For example, the server 200 provides financial services such as online banks and securities companies, and services for purchasing and selling products. In such a service, it is necessary to correctly authenticate the user to be used and implement appropriate access control.

入力部201は、ポインティングデバイス110、或いはキーボード111といった入力手段によりユーザによる指示が入力される。また、入力部201は、認証デバイス113から認証結果や第1の認証状態が入力される。ここで、本実施形態に適応可能な認証デバイスについて説明する。認証デバイス113は、認証機能を持ち、情報処理装置100からの認証要求に応じて、ユーザを認証するデバイスである。認証機能であれば、例えば指紋認証、顔認証のような認証方式でもよいし、パスワードやICカードを利用した認証方式でもよい。本実施形態においては、情報処理装置100とは別のデバイスとして認証デバイス113を説明するが、情報処理装置100内に認証デバイス113の機能を有していてもよい。また、認証デバイス113の機能をソフトウェアとして情報処理装置100内部に保持するようにしてもよい。ここで、認証結果とは、認証デバイス113におけるユーザの認証の結果のことであり、例えば、認証成功、認証失敗といった情報を示す。また第1の認証状態とは、例えば、認証デバイス113、或いは認証デバイス113が提供する認証手段の状態を示す情報である。具体的には、認証デバイス113が情報処理装置100に接続されているかどうかであるとか、認証デバイス113が利用可能かどうかといった情報である。本実施形態においては、第1の認証状態を前述の情報として説明するが、認証デバイス113の認証に利用する情報であれば、例えば時刻情報や位置情報、或いは脆弱性のような情報でもよい。入力部201は、サーバ200から登録・認証要求や優先度情報といった情報が入力される。ここで、サーバ200から入力される登録・認証要求や優先度情報について説明する。まず、登録・認証要求について説明する。登録・認証要求は、サーバ200が提供するサービスにおいて利用可能な認証デバイス113や認証方式をユーザが事前に登録したり、ユーザの認証を要求するリクエストのことである。次に優先度情報について説明する。優先度情報は、サーバ200が情報処理装置100へ要求する認証方式に対する優先度が付与された情報のことである。図3(b)に示すように例えば、優先度が最も高い認証方式から順に、指紋認証とパスワードの複数認証、2番目には顔認証のみ、3番目は声帯認証のみといったように認証方式に優先度を付与している。本実施形態では、認証方式として指紋認証、パスワード、声帯認証の組合せで優先度情報について説明したが、ユーザを認証可能な情報であれば、例えばパスワードやICカードを利用した認証方式を利用してもよい。入力部201は前述したような、第1の認証状態や優先度情報を取得部202に出力する。また、認証結果を処理結果として出力部206に出力する。   The input unit 201 receives an instruction from the user through an input unit such as the pointing device 110 or the keyboard 111. The input unit 201 receives an authentication result and a first authentication state from the authentication device 113. Here, an authentication device applicable to the present embodiment will be described. The authentication device 113 is a device that has an authentication function and authenticates a user in response to an authentication request from the information processing apparatus 100. As long as the authentication function is used, an authentication method such as fingerprint authentication or face authentication may be used, or an authentication method using a password or an IC card may be used. In this embodiment, the authentication device 113 is described as a device different from the information processing apparatus 100, but the information processing apparatus 100 may have the function of the authentication device 113. Further, the function of the authentication device 113 may be held in the information processing apparatus 100 as software. Here, the authentication result is a result of user authentication in the authentication device 113, and indicates information such as authentication success or authentication failure, for example. The first authentication status is information indicating the status of the authentication device 113 or the authentication means provided by the authentication device 113, for example. Specifically, it is information such as whether or not the authentication device 113 is connected to the information processing apparatus 100 and whether or not the authentication device 113 can be used. In the present embodiment, the first authentication state is described as the above-described information. However, information such as time information, position information, or vulnerability may be used as long as the information is used for authentication of the authentication device 113. The input unit 201 receives information such as a registration / authentication request and priority information from the server 200. Here, a registration / authentication request and priority information input from the server 200 will be described. First, the registration / authentication request will be described. The registration / authentication request is a request in which a user registers in advance an authentication device 113 or an authentication method that can be used in a service provided by the server 200 or requests user authentication. Next, priority information will be described. The priority information is information to which a priority with respect to the authentication method requested by the server 200 to the information processing apparatus 100 is given. As shown in FIG. 3 (b), for example, in order from the authentication method with the highest priority, priority is given to the authentication method, such as fingerprint authentication and multiple authentication of passwords, second authentication only, and third authentication only. The degree is given. In this embodiment, the priority information is described as a combination of fingerprint authentication, password, and vocal cord authentication as an authentication method. However, if the information can authenticate the user, for example, an authentication method using a password or an IC card is used. Also good. The input unit 201 outputs the first authentication state and priority information as described above to the acquisition unit 202. The authentication result is output to the output unit 206 as a processing result.

引き続き情報処理装置100の機能構成について説明する。図中、取得部202は、入力部201から第1の認証状態を取得し、比較部203に出力する。取得部202は、例えば、認証デバイス113にバンドルされている認証に関するソフトウェアが情報処理装置100にインストールされた場合に、対応する認証デバイス113の情報を取得し、新たに利用可能な認証デバイスであると認識する。同様に、バンドルされている認証に関するソフトウェアがアンインストールされた場合は、対応する認証デバイスが不要になったという認証デバイスの情報を取得する。このように、取得部202は、情報処理装置100が利用可能な認証デバイスの状態を取得し、第1の認証状態に追加して比較部203へ出力する。比較部203は取得部202から第1の認証状態、及び第1の記憶部207から第2の認証状態が入力され、それらを比較し、比較結果として処理決定部204に出力する。また、比較結果を出力すると同時に、第1の記憶部207に第1の認証状態を出力し、情報処理装置100の認証状態を最新の状態に更新する。ここで、第2の認証状態について説明する。第2の認証状態は、情報処理装置100において最後にユーザの認証を実施した時の認証手段の状態を示す情報である。第2の認証状態は、例えば、図2(a)に示すように情報処理装置100が利用可能な認証デバイスの種類、認証デバイス113が利用可能な認証方式が含まれている。同じく、図2(b)に示すように優先度情報が含まれている。本実施形態では、第1の認証状態、及び第2の認証状態として認証デバイスの種類、認証方式、及び優先度情報として説明する。しかしながら、例えば、時刻情報、位置情報、デバイスにバンドルされたアプリケーションの情報といった認証手段に関連する情報であれば、これらの情報に限定せずに利用可能である。比較部203は、第1の認証状態と第2の認証状態とを比較する。比較とは、例えば、新しい認証デバイスが利用できるようになったかどうか、逆に今まで利用可能だった認証デバイスが接続されていないなどの理由により利用できないといったことである。他にも、サーバ200から提供される優先度情報が変更になったかどうか等を確認する。比較部203はその結果を比較結果として処理決定部204に出力する。本実施形態においては、比較結果として前述した内容で説明した。しかし、例えば、時刻、位置、認証デバイスのバージョン、脆弱性といったサーバ200から提供された情報、認証デバイス113から取得した情報であってもユーザの認証に利用可能な情報であればこれらの情報に限定することなく利用可能である。また、最新の認証状態として、第1の認証状態を第1の記憶部出力し、第2の認証状態を更新する。このように、第2の認証状態を最新の状態に更新することで、次回以降のユーザの認証において、最適な認証デバイスや認証方式を選択することが可能となる。   Next, the functional configuration of the information processing apparatus 100 will be described. In the figure, the acquisition unit 202 acquires the first authentication state from the input unit 201 and outputs it to the comparison unit 203. The acquisition unit 202 is, for example, an authentication device that can acquire information of the corresponding authentication device 113 and can be newly used when authentication-related software bundled with the authentication device 113 is installed in the information processing apparatus 100. Recognize. Similarly, when the bundled software related to authentication is uninstalled, information on the authentication device that the corresponding authentication device is no longer necessary is acquired. As described above, the acquisition unit 202 acquires the state of the authentication device that can be used by the information processing apparatus 100, adds the state to the first authentication state, and outputs the first authentication state to the comparison unit 203. The comparison unit 203 receives the first authentication state from the acquisition unit 202 and the second authentication state from the first storage unit 207, compares them, and outputs the comparison result to the processing determination unit 204. At the same time as outputting the comparison result, the first authentication state is output to the first storage unit 207 to update the authentication state of the information processing apparatus 100 to the latest state. Here, the second authentication state will be described. The second authentication state is information indicating the state of the authentication unit when the user authentication is finally performed in the information processing apparatus 100. The second authentication state includes, for example, the type of authentication device that can be used by the information processing apparatus 100 and the authentication method that can be used by the authentication device 113 as shown in FIG. Similarly, priority information is included as shown in FIG. In the present embodiment, the first authentication state and the second authentication state will be described as the authentication device type, authentication method, and priority information. However, for example, information related to an authentication unit such as time information, position information, and information of an application bundled with a device can be used without being limited to these information. The comparison unit 203 compares the first authentication state with the second authentication state. The comparison means, for example, whether a new authentication device can be used, or conversely, an authentication device that has been available so far cannot be used because it is not connected. In addition, it is confirmed whether or not the priority information provided from the server 200 has been changed. The comparison unit 203 outputs the result to the process determination unit 204 as a comparison result. In this embodiment, it demonstrated by the content mentioned above as a comparison result. However, for example, information provided from the server 200 such as time, location, version of the authentication device, and vulnerability, or information acquired from the authentication device 113 can be used for user authentication. It can be used without limitation. In addition, as the latest authentication state, the first authentication state is output to the first storage unit, and the second authentication state is updated. In this way, by updating the second authentication state to the latest state, it becomes possible to select an optimal authentication device and authentication method in the subsequent user authentication.

処理決定部204は、比較部203からの比較結果と第2の記憶部208の判断基準(対応情報)から処理を決定し、決定した処理内容を処理部205に出力する。ここで、第2の記憶部について説明する。第2の記憶部は、比較結果に応じた認証に関する処理を定義した判断基準を記憶する。判断基準は、例えば図2(C)に示すような情報として定義される。図2(C)では、比較結果として、優先度情報の変更や認証デバイスの増減等、比較結果に応じた処理が定義されている。例えば、優先度情報が変更になって、認証デバイスが利用できなくなった場合は、優先度情報に適応した認証手段を提示、別の認証手段のDLや紹介を提示、サーバ200への登録削除の要求、或いは警告・メッセージをユーザに提示するといった処理を実施する。実施する処理は、複数提示したものをユーザが選択できるようにしてもよいし、処理に優先度を設けて優先度の高い処理から実施するようにしてもよい。或いは、対応付けられた処理を全て実施するようにしてもよい。本実施形態においては、処理内容を前述した処理として説明したが、例えば、認証デバイス113に脆弱性がある場合は、認証デバイス113をアップデートするなど、ユーザの認証に関連する処理であれば、これらに限定することなく利用可能である。また、本実施形態では、判断基準を情報処理装置100においてあらかじめ定義した処理として説明したが、比較結果と関連する処理を定義さえ可能であれば、例えば、ユーザが処理内容を追加し、比較結果と処理内容との関連性を選択できるようにしてもよい。このように、第1の認証状態と第2の認証状態とを比較することで、より適切なユーザの認証を提供することが可能となる。つまり、これまでは、サーバ200が求めている優先度の高い認証デバイスを保持しておらず、仕方なく優先度の低い認証方式を利用していた場合に、新規に認証デバイスを購入しても自動で認証方式を変更、もしくは提示してくれる機能はなかった。他にも、これまで使用していた認証デバイスが故障したり、破棄された場合には、サーバ200に登録した認証情報を破棄する必要がある。このような場合でも、これまでの手法では、ユーザが意図的に認証情報を破棄する必要があり、自動で処理を実施、提示してくれる機能はなかった。本実施形態においては、比較結果からこのような変化を判断し、適切な処理を提供することが可能となる。処理決定部204は、前述したような手法により第2の記憶部に定義された判断基準と比較部203から入力された比較結果を利用して処理を決定し、処理を処理部205に出力する。処理部205は、処理決定部204から入力された処理を実施し、処理結果を出力部206に出力する。出力部206は処理部205から入力された処理結果に応じて、ユーザにメッセージを出力したり、処理を促す指示を表示したり、或いはサーバ200に処理要求を実施する。また、入力部201から入力された認証結果をサーバ200に出力する。更に、処理部205の処理内容に応じて、認証デバイス113に登録・認証要求を実施する。   The process determination unit 204 determines a process based on the comparison result from the comparison unit 203 and the determination criterion (corresponding information) in the second storage unit 208 and outputs the determined process content to the processing unit 205. Here, the second storage unit will be described. The second storage unit stores a determination criterion that defines processing related to authentication according to the comparison result. The determination criterion is defined as information as shown in FIG. In FIG. 2C, as the comparison result, processing according to the comparison result, such as change of priority information and increase / decrease of authentication devices, is defined. For example, when the priority information is changed and the authentication device cannot be used, the authentication unit adapted to the priority information is presented, the DL or introduction of another authentication unit is presented, and the registration deletion to the server 200 is performed. Processing such as presenting a request or warning / message to the user is performed. As for the processing to be performed, the user may be able to select a plurality of presented ones, or the processing may be prioritized by giving priority to the processing. Alternatively, all the associated processes may be performed. In the present embodiment, the processing content has been described as the processing described above. For example, if the authentication device 113 has a vulnerability, the authentication device 113 may be updated if the processing is related to user authentication. It is possible to use without limiting to. Further, in the present embodiment, the determination criterion is described as a process defined in advance in the information processing apparatus 100. However, if it is possible to define a process related to the comparison result, for example, the user adds a process content and the comparison result And the relationship between the processing contents and the processing content may be selected. In this way, by comparing the first authentication state and the second authentication state, it is possible to provide more appropriate user authentication. That is, until now, if the authentication device with high priority requested by the server 200 is not held and an authentication method with low priority is used, an authentication device can be newly purchased. There was no function that automatically changed or presented the authentication method. In addition, when an authentication device used so far fails or is discarded, the authentication information registered in the server 200 needs to be discarded. Even in such a case, the conventional methods require that the user intentionally discard the authentication information, and there is no function that automatically performs and presents the processing. In the present embodiment, it is possible to determine such a change from the comparison result and provide appropriate processing. The process determination unit 204 determines a process using the determination criteria defined in the second storage unit and the comparison result input from the comparison unit 203 by the method described above, and outputs the process to the processing unit 205. . The processing unit 205 performs the processing input from the processing determination unit 204 and outputs the processing result to the output unit 206. The output unit 206 outputs a message to the user, displays an instruction for prompting processing, or executes a processing request to the server 200 according to the processing result input from the processing unit 205. Further, the authentication result input from the input unit 201 is output to the server 200. Furthermore, a registration / authentication request is made to the authentication device 113 according to the processing content of the processing unit 205.

以上、本実施形態に適応可能な情報処理装置100の機能構成について説明した。   The functional configuration of the information processing apparatus 100 that can be applied to the present embodiment has been described above.

<情報処理装置の処理フロー>
次に、図4を用いて本実施形態に適応可能な情報処理フローについて説明する。以下のフローは前述した情報処理装置100の上でソフトウェア(コンピュータプログラム)として実現される。各ステップは該当するプログラム及びそれを実行するCPU102によって実現する。 <Processing flow of information processing apparatus>
Next, an information processing flow applicable to the present embodiment will be described with reference to FIG. The following flow is realized as software (computer program) on the information processing apparatus 100 described above. Each step is realized by the corresponding program and the CPU 102 executing the program.

情報処理装置100は、サービスを利用するために、サーバ200にアクセスする(S401)。情報処理装置100がサーバ200にアクセスすると、サーバ200は登録・認証要求を行い、情報処理装置100は登録・認証要求を受信する(S402)。登録・認証要求を受信すると、登録・認証要求に含まれる優先度情報を取得する(S403)。次に、情報処理装置100に接続された認証デバイス113や認証デバイス113にバンドルされたアプリケーション情報などから、第1の認証状態を取得する(S404)。更に、情報処理装置100内部に保持している第2の認証状態を取得する(S405)。第1の認証状態と第2の認証状態を取得すると、取得した第1の認証状態と第2の認証状態を比較する(S406)。比較した結果として、第1の認証状態と第2の認証状態とで変化がある場合(S407のYES)、判断基準を取得する(S408)。変化がない場合(S407のNO)従来通りの処理を実施する(S410)。比較結果を取得すると、比較結果と判断基準に基づき処理を決定し(S409)、決定した処理を実施する(S410)。以上、本実施形態における情報処理装置100の情報処理フローに関して説明した。   The information processing apparatus 100 accesses the server 200 to use the service (S401). When the information processing apparatus 100 accesses the server 200, the server 200 makes a registration / authentication request, and the information processing apparatus 100 receives the registration / authentication request (S402). When the registration / authentication request is received, priority information included in the registration / authentication request is acquired (S403). Next, the first authentication state is acquired from the authentication device 113 connected to the information processing apparatus 100, application information bundled with the authentication device 113, or the like (S404). Further, the second authentication state held in the information processing apparatus 100 is acquired (S405). When the first authentication state and the second authentication state are acquired, the acquired first authentication state is compared with the second authentication state (S406). As a result of the comparison, if there is a change between the first authentication state and the second authentication state (YES in S407), a determination criterion is acquired (S408). When there is no change (NO in S407), a conventional process is performed (S410). When the comparison result is acquired, the process is determined based on the comparison result and the criterion (S409), and the determined process is performed (S410). The information processing flow of the information processing apparatus 100 in the present embodiment has been described above.

以上説明したように、本実施形態によれば、ログイン端末で利用可能な認証デバイスや認証方式の状態に応じて適切な認証手段を選択することが可能となる。   As described above, according to the present embodiment, it is possible to select an appropriate authentication unit according to the status of the authentication device and authentication method that can be used in the login terminal.

(その他の実施例)
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。 (Other examples)
The present invention supplies a program that realizes one or more functions of the above-described embodiments to a system or apparatus via a network or a storage medium, and one or more processors in a computer of the system or apparatus read and execute the program This process can be realized. It can also be realized by a circuit (for example, ASIC) that realizes one or more functions.

Claims (8)

ユーザの認証を行うための情報処理装置であって、
前記情報処理装置もしくは認証方式の状態を示す認証状態を記憶する第一の記憶手段と、
認証状態と認証に関する処理とが対応付けられた対応情報を保持する第二の記憶手段と、
前記認証状態が変化したと判断された場合、前記対応情報に基づき認証に関する処理を行う処理手段と、を有することを特徴とする情報処理装置。 An information processing apparatus for authenticating a user,
First storage means for storing an authentication state indicating the state of the information processing apparatus or the authentication method;
A second storage means for holding correspondence information in which an authentication state and processing related to authentication are associated;
An information processing apparatus comprising: processing means for performing processing related to authentication based on the correspondence information when it is determined that the authentication state has changed. 前記処理手段は、当該処理手段により行われる複数の処理を前記ユーザに提示し、提示した処理から前記ユーザが選択した処理を行うことを特徴とする請求項1に記載の情報処理装置。   The information processing apparatus according to claim 1, wherein the processing unit presents a plurality of processes performed by the processing unit to the user, and performs a process selected by the user from the presented processes. 前記処理手段は、前記認証デバイスに認証に関するソフトウェアがインストールされた場合もしくは前記認証デバイスから認証に関するソフトウェアがアンインストールされた場合、前記認証状態が変化したと判断することを特徴とする請求項1もしくは2のいずれか1項に記載の情報処理装置。   The processing means determines that the authentication state has changed when authentication-related software is installed in the authentication device or when authentication-related software is uninstalled from the authentication device. 3. The information processing apparatus according to any one of 2 above. 前記処理手段は、認証を行うサーバから認証方式の優先度の変更を受信した場合、前記認証状態が変化したと判断することを特徴とする請求項1乃至3のいずれか1項に記載の情報処理装置。   4. The information according to claim 1, wherein the processing unit determines that the authentication state has changed when a change in priority of an authentication method is received from a server that performs authentication. 5. Processing equipment. 前記処理手段は、前記ユーザの認証を行うための情報処理の装置の数が減ったと判断された場合、前記ユーザに対する警告を表示させることを特徴とする請求項1乃至4のいずれか1項に記載の情報処理装置。   The said processing means displays the warning with respect to the said user, when it is judged that the number of the information processing apparatuses for authenticating the said user has decreased. The information processing apparatus described. 前記処理手段は、前記ユーザの認証を行うための情報処理の装置の数が増えたと判断された場合、前記ユーザに対して認証手段の登録を促すメッセージを表示させることを特徴とする請求項1乃至5のいずれか1項に記載の情報処理装置。   The processing means, when it is determined that the number of information processing apparatuses for authenticating the user has increased, displays a message prompting the user to register the authentication means. The information processing apparatus according to any one of 1 to 5. ユーザの認証を行うための情報処理方法であって、
第一の記憶手段が、前記情報処理装置もしくは認証方式の状態を示す認証状態を記憶する第一の記憶工程と、
第二の記憶手段が、認証状態と認証に関する処理とが対応付けられた対応情報を保持する第二の記憶工程と、
処理手段が、前記認証状態が変化したと判断された場合、前記対応情報に基づき認証に関する処理を行う処理工程と、を有することを特徴とする情報処理方法。 An information processing method for authenticating a user,
A first storage step for storing an authentication state indicating a state of the information processing apparatus or the authentication method;
A second storage step in which a second storage unit holds correspondence information in which an authentication state and a process related to authentication are associated;
An information processing method comprising: a processing step that performs processing related to authentication based on the correspondence information when it is determined that the authentication state has changed. コンピュータを、
ユーザの認証を行うための情報処理装置であって、
前記情報処理装置もしくは認証方式の状態を示す認証状態を記憶する第一の記憶手段と、
認証状態と認証に関する処理とが対応付けられた対応情報を保持する第二の記憶手段と、
前記認証状態が変化したと判断された場合、前記対応情報に基づき認証に関する処理を行う処理手段と、を有することを特徴とする情報処理装置として機能させるためのコンピュータプログラム。 Computer
An information processing apparatus for authenticating a user,
First storage means for storing an authentication state indicating the state of the information processing apparatus or the authentication method;
A second storage means for holding correspondence information in which an authentication state and processing related to authentication are associated;
A computer program for functioning as an information processing apparatus, comprising: processing means for performing processing relating to authentication based on the correspondence information when it is determined that the authentication state has changed.
JP2016168580A 2016-08-30 2016-08-30 Information processing apparatus, information processing method, and computer program Pending JP2018036801A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016168580A JP2018036801A (en) 2016-08-30 2016-08-30 Information processing apparatus, information processing method, and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016168580A JP2018036801A (en) 2016-08-30 2016-08-30 Information processing apparatus, information processing method, and computer program

Publications (1)

Publication Number Publication Date
JP2018036801A true JP2018036801A (en) 2018-03-08

Family

ID=61566342

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016168580A Pending JP2018036801A (en) 2016-08-30 2016-08-30 Information processing apparatus, information processing method, and computer program

Country Status (1)

Country Link
JP (1) JP2018036801A (en)

Similar Documents

Publication Publication Date Title
US11190513B2 (en) Gateway enrollment for internet of things device management
CN111324895B (en) Trust services for client devices
JP5928854B2 (en) Method, device and system for managing user authentication
US9286455B2 (en) Real identity authentication
US10645557B2 (en) Transferable ownership tokens for discrete, identifiable devices
US9507964B2 (en) Regulating access using information regarding a host machine of a portable storage drive
US10484372B1 (en) Automatic replacement of passwords with secure claims
US11902268B2 (en) Secure gateway onboarding via mobile devices for internet of things device management
JPWO2019239591A1 (en) Authentication system, authentication method, application provider, authentication device, and authentication program
US20190141214A1 (en) Image processing apparatus, method for controlling image processing apparatus, program storage medium, system, and method for controlling system
US10318725B2 (en) Systems and methods to enable automatic password management in a proximity based authentication
US9378358B2 (en) Password management system
JP5086839B2 (en) Authentication device, biometric information management apparatus, authentication system, and authentication method
US20180203988A1 (en) System and Method for Multiple Sequential Factor Authentication for Display Devices
JP7196241B2 (en) Information processing device, control method, and program
CN107645514B (en) Authentication protocol conversion method and device
KR20170059447A (en) Representation of operating system context in a trusted platform module
JP7269486B2 (en) Information processing device, information processing method and information processing program
EP3759629B1 (en) Method, entity and system for managing access to data through a late dynamic binding of its associated metadata
US11068598B2 (en) Chassis internal device security
TW202018564A (en) Firmware access based on temporary passwords
WO2020031429A1 (en) Terminal device, authentication server, control method for terminal device, authentication method, and program
JP2018036801A (en) Information processing apparatus, information processing method, and computer program
US10382430B2 (en) User information management system; user information management method; program, and recording medium on which it is recorded, for management server; program, and recording medium on which it is recorded, for user terminal; and program, and recording medium on which it is recorded, for service server
JP6172774B2 (en) Method, device and system for managing user authentication