JP2022053955A - Method, program, information processing apparatus, authentication server, and information processing system - Google Patents

Method, program, information processing apparatus, authentication server, and information processing system Download PDF

Info

Publication number
JP2022053955A
JP2022053955A JP2020160866A JP2020160866A JP2022053955A JP 2022053955 A JP2022053955 A JP 2022053955A JP 2020160866 A JP2020160866 A JP 2020160866A JP 2020160866 A JP2020160866 A JP 2020160866A JP 2022053955 A JP2022053955 A JP 2022053955A
Authority
JP
Japan
Prior art keywords
user terminal
authentication
authentication server
information processing
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2020160866A
Other languages
Japanese (ja)
Inventor
圭祐 岩佐
Keisuke Iwasa
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2020160866A priority Critical patent/JP2022053955A/en
Publication of JP2022053955A publication Critical patent/JP2022053955A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Facsimiles In General (AREA)

Abstract

To facilitate authentication for using an information processing apparatus.SOLUTION: A method is a method executed by an information processing system including an authentication server, a user terminal, and an information processing apparatus, and includes: a step of, when the authentication server receives the fact that authentication in the user terminal is successful from the user terminal, transmitting identification information to the user terminal; a step of the user terminal transmitting the identification information received from the authentication server to the information processing apparatus; and a step of the information processing apparatus inquiring of the authentication server as to whether the identification information received from the user terminal is the same as the identification information that the authentication server transmits to the user terminal, and when receiving the fact that the pieces of information are the same, permitting the use of the information processing apparatus.SELECTED DRAWING: Figure 5

Description

本発明は、方法、プログラム、情報処理装置、認証サーバ、および情報処理システムに関する。 The present invention relates to methods, programs, information processing devices, authentication servers, and information processing systems.

従来、MFP(Multifunction Peripheral/Printer/Product)等の情報処理装置を使用したいユーザを認証し、認証が成功したユーザに対して情報処理装置を使用させるシステムが知られている。例えば、特許文献1には、ユーザの携帯端末上での認証の結果を用いて、画像処理装置での印刷等のサービスの可否を制御する手法が開示されている。 Conventionally, there is known a system that authenticates a user who wants to use an information processing device such as an MFP (Multifunction Peripheral / Printer / Product) and causes a user who has succeeded in authentication to use the information processing device. For example, Patent Document 1 discloses a method of controlling the availability of services such as printing on an image processing device by using the result of authentication on a user's mobile terminal.

しかしながら、特許文献1では、ユーザが画像処理装置を利用するたびに認証が必要である。 However, in Patent Document 1, authentication is required every time the user uses the image processing device.

そこで、本発明では、情報処理装置を使用するための認証を容易にすることを目的とする。 Therefore, it is an object of the present invention to facilitate authentication for using the information processing apparatus.

本発明の一実施形態に係る方法は、認証サーバと、ユーザ端末と、情報処理装置と、を含む情報処理システムが実行する方法であって、前記認証サーバが、前記ユーザ端末における認証が成功した旨を前記ユーザ端末から受信した場合、識別情報を前記ユーザ端末へ送信するステップと、前記ユーザ端末が、前記認証サーバから受信した前記識別情報を前記情報処理装置へ送信するステップと、前記情報処理装置が、前記ユーザ端末から受信した前記識別情報が、前記認証サーバが前記ユーザ端末へ送信した前記識別情報と同じであるか否かを前記認証サーバに照会して、同じである旨を受信した場合に前記情報処理装置の使用を許可するステップと、を含む。 A method according to an embodiment of the present invention is a method executed by an information processing system including an authentication server, a user terminal, and an information processing device, in which the authentication server has succeeded in authentication at the user terminal. When the fact is received from the user terminal, a step of transmitting the identification information to the user terminal, a step of the user terminal transmitting the identification information received from the authentication server to the information processing apparatus, and the information processing. The device inquires the authentication server whether or not the identification information received from the user terminal is the same as the identification information transmitted to the user terminal by the authentication server, and receives the same. In some cases, the step of permitting the use of the information processing apparatus is included.

本発明では、情報処理装置を使用するための認証を容易にすることができる。 In the present invention, authentication for using the information processing device can be facilitated.

本発明の一実施形態に係る情報処理システムの全体構成図である。It is an overall block diagram of the information processing system which concerns on one Embodiment of this invention. 本発明の一実施形態に係る認証サーバのハードウェア構成を示す図である。It is a figure which shows the hardware configuration of the authentication server which concerns on one Embodiment of this invention. 本発明の一実施形態に係るユーザ端末のハードウェア構成を示す図である。It is a figure which shows the hardware composition of the user terminal which concerns on one Embodiment of this invention. 本発明の一実施形態に係る情報処理装置のハードウェア構成を示す図である。It is a figure which shows the hardware configuration of the information processing apparatus which concerns on one Embodiment of this invention. 本発明の一実施形態に係る情報処理システムの機能ブロックを示す図である。It is a figure which shows the functional block of the information processing system which concerns on one Embodiment of this invention. 本発明の一実施形態に係る認証サーバのユーザ管理部に記憶されているデータの一例である。This is an example of data stored in the user management unit of the authentication server according to the embodiment of the present invention. 本発明の一実施形態に係る認証サーバのユーザ管理部に記憶されているデータの一例である。This is an example of data stored in the user management unit of the authentication server according to the embodiment of the present invention. 本発明の一実施形態に係るユーザ端末の認証記憶部に記憶されているデータの一例である。This is an example of data stored in the authentication storage unit of the user terminal according to the embodiment of the present invention. 発明の一実施形態に係る認証サーバのユーザ管理部に記憶されているデータの一例である。This is an example of data stored in the user management unit of the authentication server according to the embodiment of the invention. 本発明の一実施形態に係るユーザ端末の認証記憶部に記憶されているデータの一例である。This is an example of data stored in the authentication storage unit of the user terminal according to the embodiment of the present invention. 本発明の一実施形態に係るトークンの配布の処理の流れを示すシーケンス図である。It is a sequence diagram which shows the flow of the process of distribution of the token which concerns on one Embodiment of this invention. 本発明の一実施形態に係るトークンの通知の処理の流れを示すシーケンス図である。It is a sequence diagram which shows the flow of the processing of the notification of the token which concerns on one Embodiment of this invention. 本発明の一実施形態に係るトークンの照会の処理の流れを示すシーケンス図である。It is a sequence diagram which shows the flow of the process of inquiry of the token which concerns on one Embodiment of this invention.

以下、各実施形態について添付の図面を参照しながら説明する。なお、本明細書および図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複した説明を省略する。 Hereinafter, each embodiment will be described with reference to the attached drawings. In the present specification and the drawings, the components having substantially the same functional configuration are designated by the same reference numerals, and duplicate description thereof will be omitted.

本発明の一実施形態では、FIDO(Fast IDentity Online)を用いることができる。ここで、FIDOについて説明する。FIDOとは、認証技術のひとつである。具体的には、FIDOでは、公開鍵暗号方式が用いられる。クライアント(以下で説明するユーザ端末)が鍵のペアを生成し、秘密鍵がクライアント側に登録され、公開鍵がサーバ側(以下で説明する認証サーバ)に登録される。ユーザ端末での認証(例えば、生体認証等)が成功すると、秘密鍵が使用可能になる。つまり、ユーザ端末での認証が生体認証の場合、生体認証のための身体情報がサーバ側ではなくクライアント側に保存され、クライアント側で生体認証が完結する。そして、サーバ側では、クライアントとの間の公開鍵を用いた認証プロトコルでユーザ認証を実現する。 In one embodiment of the present invention, FIDO (Fast IDentity Online) can be used. Here, FIDO will be described. FIDO is one of the authentication technologies. Specifically, FIDO uses a public key cryptosystem. The client (user terminal described below) creates a key pair, the private key is registered on the client side, and the public key is registered on the server side (authentication server described below). If the authentication on the user terminal (for example, biometric authentication) is successful, the private key can be used. That is, when the authentication on the user terminal is biometric authentication, the physical information for biometric authentication is stored on the client side instead of the server side, and the biometric authentication is completed on the client side. Then, on the server side, user authentication is realized by an authentication protocol using a public key with the client.

なお、本明細書では、スマートフォン等のユーザ端末にて生体認証が行われる実施形態を説明するが、本発明は、生体認証以外の任意の認証(例えば、PIN、パスコードによる認証)を用いることができる。 In this specification, an embodiment in which biometric authentication is performed by a user terminal such as a smartphone will be described, but the present invention uses any authentication other than biometric authentication (for example, authentication by PIN or passcode). Can be done.

<システム構成>
図1は、本発明の一実施形態に係る情報処理システム1の全体構成図である。図1に示されているように、情報処理システム1は、認証サーバ10と、ユーザ端末20と、情報処理装置30と、を含む。認証サーバ10は、任意の通信ネットワークNを介して、ユーザ端末20および情報処理装置30とデータを送受信することができる。また、ユーザ端末20は、Bluetooth、NFC(Near field communication)等を介して、情報処理装置30とデータを送受信することができる。 <System configuration>
FIG. 1 is an overall configuration diagram of an information processing system 1 according to an embodiment of the present invention. As shown in FIG. 1, the information processing system 1 includes an authentication server 10, a user terminal 20, and an information processing device 30. The authentication server 10 can send and receive data to and from the user terminal 20 and the information processing device 30 via an arbitrary communication network N. Further, the user terminal 20 can send and receive data to and from the information processing device 30 via Bluetooth, NFC (Near field communication) and the like.

なお、情報処理装置30は、オフィスAのようにプロキシサーバ31を経由して通信ネットワークNに接続してもよいし、オフィスBのようにプロキシサーバ31を経由せずに通信ネットワークNに接続してもよい。 The information processing apparatus 30 may be connected to the communication network N via the proxy server 31 like the office A, or may be connected to the communication network N without going through the proxy server 31 like the office B. You may.

認証サーバ10は、ユーザ端末20にて行われた認証(例えば、生体認証を用いたFIDO)が成功すると、ユーザ端末20へ識別情報(例えば、トークン)を送信する。また、認証サーバ10は、情報処理装置30からの要求に応じて、情報処理装置30がユーザ端末20から受信した識別情報(例えば、トークン)が、認証サーバ10がユーザ端末20へ送信した識別情報(例えば、トークン)であるか否かを照合する。 When the authentication performed by the user terminal 20 (for example, FIDO using biometric authentication) is successful, the authentication server 10 transmits identification information (for example, a token) to the user terminal 20. Further, in the authentication server 10, the identification information (for example, a token) received from the user terminal 20 by the information processing device 30 in response to the request from the information processing device 30 is the identification information transmitted by the authentication server 10 to the user terminal 20. Check whether it is (for example, a token).

なお、実施例に記載された装置群は、本明細書に開示された実施形態を実施するための複数のコンピューティング環境のうちの1つを示すものにすぎない。ある実施形態では、認証サーバ10は、サーバクラスタといった複数のコンピューティングデバイスを含む。複数のコンピューティングデバイスは、ネットワークや共有メモリなどを含む任意のタイプの通信リンクを介して互いに通信するように構成されており、本明細書に開示された処理を実施する。 It should be noted that the group of devices described in the examples is only one of a plurality of computing environments for implementing the embodiments disclosed in the present specification. In one embodiment, the authentication server 10 includes a plurality of computing devices such as server clusters. The plurality of computing devices are configured to communicate with each other over any type of communication link, including networks, shared memory, and the like, and perform the processes disclosed herein.

ユーザ端末20は、ユーザ端末20にて行われた認証(例えば、生体認証を用いたFIDO)が成功すると、認証サーバ10から識別情報(例えば、トークン)を受信する。また、ユーザ端末20は、ユーザ端末20が認証サーバ10から受信した識別情報(例えば、トークン)を、情報処理装置30へ送信する。例えば、ユーザ端末20は、スマートフォン等である。 When the authentication performed by the user terminal 20 (for example, FIDO using biometric authentication) is successful, the user terminal 20 receives identification information (for example, a token) from the authentication server 10. Further, the user terminal 20 transmits the identification information (for example, a token) received by the user terminal 20 from the authentication server 10 to the information processing apparatus 30. For example, the user terminal 20 is a smartphone or the like.

情報処理装置30は、情報処理装置30がユーザ端末20から受信した識別情報(例えば、トークン)が、認証サーバ10がユーザ端末20へ送信した識別情報(例えば、トークン)であるか否かを、認証サーバ10に照会する。情報処理装置30がユーザ端末20から受信した識別情報(例えば、トークン)が、認証サーバ10がユーザ端末20へ送信した識別情報(例えば、トークン)である場合には、情報処理装置30は、ユーザに情報処理装置30の使用を許可する(例えば、情報処理装置30にログインさせる)。例えば、情報処理装置30は、MFP等である。 The information processing apparatus 30 determines whether or not the identification information (for example, a token) received by the information processing apparatus 30 from the user terminal 20 is the identification information (for example, a token) transmitted by the authentication server 10 to the user terminal 20. Inquire to the authentication server 10. When the identification information (for example, a token) received by the information processing apparatus 30 from the user terminal 20 is the identification information (for example, a token) transmitted by the authentication server 10 to the user terminal 20, the information processing apparatus 30 is a user. Is permitted to use the information processing device 30 (for example, the information processing device 30 is logged in). For example, the information processing device 30 is an MFP or the like.

なお、情報処理装置30は、通信機能を備えた装置であれば、MFP等の画像形成装置に限られない。情報処理装置30は、例えば、PJ(Projector:プロジェクタ)、IWB(Interactive White Board:相互通信が可能な電子式の黒板機能を有する白板)、デジタルサイネージ等の出力装置、HUD(Head Up Display)装置、産業機械、撮像装置、集音装置、医療機器、ネットワーク家電、自動車(Connected Car)、ノートPC(Personal Computer)、携帯電話、スマートフォン、タブレット端末、ゲーム機、PDA(Personal Digital Assistant)、デジタルカメラ、ウェアラブルPCまたはデスクトップPC等であってもよい。 The information processing device 30 is not limited to an image forming device such as an MFP as long as it has a communication function. The information processing device 30 is, for example, a PJ (Projector: projector), an IWB (Interactive White Board: a white board having an electronic blackboard function capable of mutual communication), an output device such as a digital signage, and a HUD (Head Up Display) device. , Industrial machines, image pickup devices, sound collectors, medical devices, network home appliances, automobiles (Connected Cars), notebook PCs (Personal Computers), mobile phones, smartphones, tablet terminals, game machines, PDA (Personal Digital Assistant), digital cameras , A wearable PC, a desktop PC, or the like.

ここで、識別情報(例えば、トークン)について説明する。ユーザ端末20は、認証サーバ10から受信した識別情報(例えば、トークン)を、ユーザ端末20内に保持することができる。ユーザ端末20は、保持している識別情報(例えば、トークン)を情報処理装置30へ送信する。そのため、ユーザは、情報処理装置30を使用するたびに生体認証等のユーザ端末20における認証を行う必要がない。 Here, the identification information (for example, a token) will be described. The user terminal 20 can hold the identification information (for example, a token) received from the authentication server 10 in the user terminal 20. The user terminal 20 transmits the retained identification information (for example, a token) to the information processing apparatus 30. Therefore, the user does not need to perform authentication on the user terminal 20 such as biometric authentication every time the information processing apparatus 30 is used.

認証サーバ10が識別情報(例えば、トークン)の有効期限を定めている場合、有効期限が徒過するまでは、情報処理装置30は、ユーザ端末20が保持している識別情報(例えば、トークン)で認証サーバ10から認証成功を受信することができる。認証サーバ10が定める識別情報(例えば、トークン)の有効期限を徒過した場合、情報処理装置30は、識別情報(例えば、トークン)を認証サーバ20へ送信しても認証失敗を受信する。この場合、ユーザは再度、生体認証等で認証サーバ10の認証を受け、認証が成功した場合、ユーザ端末20は、認証サーバ10から新たに受信したトークンで保持しているトークンを更新する。なお、ユーザ端末20が一定期間の経過で自動的にトークンを削除してもよい。 When the authentication server 10 determines the expiration date of the identification information (for example, a token), the information processing apparatus 30 uses the identification information (for example, a token) held by the user terminal 20 until the expiration date expires. The authentication success can be received from the authentication server 10. When the expiration date of the identification information (for example, the token) defined by the authentication server 10 has passed, the information processing apparatus 30 receives the authentication failure even if the identification information (for example, the token) is transmitted to the authentication server 20. In this case, the user is again authenticated by the authentication server 10 by biometric authentication or the like, and when the authentication is successful, the user terminal 20 updates the token held by the token newly received from the authentication server 10. The user terminal 20 may automatically delete the token after a certain period of time.

このように、認証サーバ10は、識別情報(例えば、トークン)の有効期限を設けることができる。つまり、認証サーバ10は、認証(つまり、トークンの照合)と、トークンの有効期限と、を一元管理することができる。そのため、ユーザが生体認証等を行うことなく情報処理装置30を使用できるようにしつつ、無期限に生体認証等を行うことなく情報処理装置30を使用できることを防ぐことができる。 In this way, the authentication server 10 can set an expiration date for the identification information (for example, a token). That is, the authentication server 10 can centrally manage authentication (that is, collation of tokens) and expiration date of tokens. Therefore, it is possible to prevent the user from being able to use the information processing apparatus 30 without performing biometric authentication or the like indefinitely while allowing the user to use the information processing apparatus 30 without performing biometric authentication or the like.

<認証サーバのハードウェア構成>
図2は、本発明の一実施形態に係る認証サーバ10のハードウェア構成を示す図である。 <Hardware configuration of authentication server>
FIG. 2 is a diagram showing a hardware configuration of the authentication server 10 according to the embodiment of the present invention.

図2に示されているように、認証サーバ10は、コンピュータによって構築されており、図2に示されているように、CPU(Central Processing Unit)101、ROM(Read Only Memory)102、RAM(Random Access Memory)103、HD104、HDD(Hard Disk Drive)コントローラ105、ディスプレイ106、外部機器接続I/F(Interface)107、ネットワークI/F(Interface)108、データバス109、キーボード110、ポインティングデバイス111、DVD-RW(Digital Versatile Disk Rewritable)ドライブ113、メディアI/F(Interface)115を備えている。 As shown in FIG. 2, the authentication server 10 is constructed by a computer, and as shown in FIG. 2, a CPU (Central Processing Unit) 101, a ROM (Read Only Memory) 102, and a RAM ( Random Access Memory) 103, HD104, HDD (Hard Disk Drive) controller 105, display 106, external device connection I / F (Interface) 107, network I / F (Interface) 108, data bus 109, keyboard 110, pointing device 111 , DVD-RW (Digital Versatile Disk Rewritable) drive 113, and media I / F (Interface) 115.

これらのうち、CPU101は、認証サーバ10全体の動作を制御する。ROM102は、IPL等のCPU101の駆動に用いられるプログラムを記憶する。RAM103は、CPU101のワークエリアとして使用される。HD104は、プログラム等の各種データを記憶する。HDDコントローラ105は、CPU101の制御にしたがってHD104に対する各種データの読み出し又は書き込みを制御する。ディスプレイ106は、カーソル、メニュー、ウィンドウ、文字、又は画像などの各種情報を表示する。外部機器接続I/F107は、各種の外部機器を接続するためのインターフェースである。この場合の外部機器は、例えば、USB(Universal Serial Bus)メモリやプリンタ等である。ネットワークI/F108は、通信ネットワークを利用してデータ通信をするためのインターフェースである。バスライン109は、図2に示されているCPU101等の各構成要素を電気的に接続するためのアドレスバスやデータバス等である。 Of these, the CPU 101 controls the operation of the entire authentication server 10. The ROM 102 stores a program used to drive the CPU 101 such as an IPL. The RAM 103 is used as a work area of the CPU 101. The HD 104 stores various data such as programs. The HDD controller 105 controls reading or writing of various data to the HD 104 according to the control of the CPU 101. The display 106 displays various information such as cursors, menus, windows, characters, or images. The external device connection I / F 107 is an interface for connecting various external devices. The external device in this case is, for example, a USB (Universal Serial Bus) memory, a printer, or the like. The network I / F 108 is an interface for performing data communication using a communication network. The bus line 109 is an address bus, a data bus, or the like for electrically connecting each component such as the CPU 101 shown in FIG.

また、キーボード110は、文字、数値、各種指示などの入力のための複数のキーを備えた入力手段の一種である。ポインティングデバイス111は、各種指示の選択や実行、処理対象の選択、カーソルの移動などを行う入力手段の一種である。DVD-RWドライブ113は、着脱可能な記録媒体の一例としてのDVD-RW112に対する各種データの読み出し又は書き込みを制御する。なお、DVD-RWに限らず、DVD-R等であってもよい。メディアI/F115は、フラッシュメモリ等の記録メディア114に対するデータの読み出し又は書き込み(記憶)を制御する。 Further, the keyboard 110 is a kind of input means including a plurality of keys for inputting characters, numerical values, various instructions and the like. The pointing device 111 is a kind of input means for selecting and executing various instructions, selecting a processing target, moving a cursor, and the like. The DVD-RW drive 113 controls reading or writing of various data to the DVD-RW 112 as an example of a detachable recording medium. In addition, it is not limited to DVD-RW, and may be DVD-R or the like. The media I / F 115 controls reading or writing (storage) of data to a recording medium 114 such as a flash memory.

<スマートフォンのハードウェア構成>
図3は、本発明の一実施形態に係るユーザ端末(スマートフォンの場合)20のハードウェア構成を示す図である。なお、ユーザ端末20は、認証のためのハードウェア(例えば、顔認証のためのカメラ(以下で説明するCMOS、撮像素子I/F)等)を備えるものとする。 <Smartphone hardware configuration>
FIG. 3 is a diagram showing a hardware configuration of a user terminal (in the case of a smartphone) 20 according to an embodiment of the present invention. The user terminal 20 is provided with hardware for authentication (for example, a camera for face authentication (CMOS, image sensor I / F described below), etc.).

図3に示されているように、ユーザ端末(スマートフォンの場合)20は、CPU201、ROM202、RAM203、EEPROM204、CMOSセンサ205、撮像素子I/F206、加速度・方位センサ207、メディアI/F209、GPS受信部211を備えている。 As shown in FIG. 3, the user terminal (in the case of a smartphone) 20 includes a CPU 201, ROM 202, RAM 203, EEPROM 204, CMOS sensor 205, image sensor I / F 206, acceleration / orientation sensor 207, media I / F 209, and GPS. The receiving unit 211 is provided.

これらのうち、CPU201は、ユーザ端末(スマートフォンの場合)20全体の動作を制御する。ROM202は、CPU201やIPL等のCPU201の駆動に用いられるプログラムを記憶する。RAM203は、CPU201のワークエリアとして使用される。EEPROM204は、CPU201の制御にしたがって、スマートフォン用プログラム等の各種データの読み出し又は書き込みを行う。CMOS(Complementary Metal Oxide Semiconductor)センサ205は、CPU201の制御に従って被写体(主に自画像)を撮像して画像データを得る内蔵型の撮像手段の一種である。なお、CMOSセンサではなく、CCD(Charge Coupled Device)センサ等の撮像手段であってもよい。撮像素子I/F206は、CMOSセンサ205の駆動を制御する回路である。加速度・方位センサ207は、地磁気を検知する電子磁気コンパスやジャイロコンパス、加速度センサ等の各種センサである。メディアI/F209は、フラッシュメモリ等の記録メディア208に対するデータの読み出し又は書き込み(記憶)を制御する。GPS受信部211は、GPS衛星からGPS信号を受信する。 Of these, the CPU 201 controls the operation of the entire user terminal (in the case of a smartphone) 20. The ROM 202 stores a program used to drive the CPU 201 such as the CPU 201 and the IPL. The RAM 203 is used as a work area of the CPU 201. The EEPROM 204 reads or writes various data such as a smartphone program according to the control of the CPU 201. The CMOS (Complementary Metal Oxide Semiconductor) sensor 205 is a kind of built-in imaging means for acquiring image data by imaging a subject (mainly a self-image) under the control of the CPU 201. In addition, instead of a CMOS sensor, an image pickup means such as a CCD (Charge Coupled Device) sensor may be used. The image sensor I / F 206 is a circuit that controls the drive of the CMOS sensor 205. The acceleration / orientation sensor 207 is a variety of sensors such as an electronic magnetic compass, a gyro compass, and an acceleration sensor that detect the geomagnetism. The media I / F 209 controls reading or writing (storage) of data to a recording medium 208 such as a flash memory. The GPS receiving unit 211 receives a GPS signal from a GPS satellite.

また、ユーザ端末(スマートフォンの場合)20は、遠距離通信回路212、CMOSセンサ213、撮像素子I/F214、マイク215、スピーカ216、音入出力I/F217、ディスプレイ218、外部機器接続I/F(Interface)219、近距離通信回路220、近距離通信回路220のアンテナ220a、及びタッチパネル221を備えている。 Further, the user terminal (in the case of a smartphone) 20 includes a long-distance communication circuit 212, a CMOS sensor 213, an image pickup element I / F214, a microphone 215, a speaker 216, a sound input / output I / F217, a display 218, and an external device connection I / F. (Interface) 219, a short-range communication circuit 220, an antenna 220a of the short-range communication circuit 220, and a touch panel 221 are provided.

これらのうち、遠距離通信回路212は、通信ネットワークNを介して、他の機器と通信する回路である。CMOSセンサ213は、CPU201の制御に従って被写体を撮像して画像データを得る内蔵型の撮像手段の一種である。撮像素子I/F214は、CMOSセンサ213の駆動を制御する回路である。マイク215は、音を電気信号に変える内蔵型の回路である。スピーカ216は、電気信号を物理振動に変えて音楽や音声などの音を生み出す内蔵型の回路である。音入出力I/F217は、CPU201の制御に従ってマイク215及びスピーカ216との間で音信号の入出力を処理する回路である。ディスプレイ218は、被写体の画像や各種アイコン等を表示する液晶や有機EL(Electro Luminescence)などの表示手段の一種である。外部機器接続I/F219は、各種の外部機器を接続するためのインターフェースである。近距離通信回路220は、NFC(Near Field Communication)やBluetooth(登録商標)等の通信回路である。タッチパネル221は、利用者がディスプレイ218を押下することで、ユーザ端末(スマートフォンの場合)20を操作する入力手段の一種である。 Of these, the telecommunications circuit 212 is a circuit that communicates with other devices via the communication network N. The CMOS sensor 213 is a kind of built-in imaging means for capturing an image of a subject and obtaining image data under the control of the CPU 201. The image sensor I / F 214 is a circuit that controls the drive of the CMOS sensor 213. The microphone 215 is a built-in circuit that converts sound into an electric signal. The speaker 216 is a built-in circuit that converts an electric signal into physical vibration to produce sounds such as music and voice. The sound input / output I / F 217 is a circuit that processes sound signal input / output between the microphone 215 and the speaker 216 under the control of the CPU 201. The display 218 is a kind of display means such as a liquid crystal display or an organic EL (Electro Luminescence) for displaying an image of a subject, various icons, and the like. The external device connection I / F219 is an interface for connecting various external devices. The short-range communication circuit 220 is a communication circuit such as NFC (Near Field Communication) or Bluetooth (registered trademark). The touch panel 221 is a kind of input means for operating the user terminal (in the case of a smartphone) 20 by the user pressing the display 218.

また、ユーザ端末(スマートフォンの場合)20は、バスライン210を備えている。バスライン210は、図3に示されているCPU201等の各構成要素を電気的に接続するためのアドレスバスやデータバス等である。 Further, the user terminal (in the case of a smartphone) 20 includes a bus line 210. The bus line 210 is an address bus, a data bus, or the like for electrically connecting each component such as the CPU 201 shown in FIG.

<MFPのハードウェア構成>
図4は、本発明の一実施形態に係る情報処理装置(MFPの場合)30のハードウェア構成を示す図である。 <Hardware configuration of MFP>
FIG. 4 is a diagram showing a hardware configuration of an information processing device (in the case of an MFP) 30 according to an embodiment of the present invention.

図4に示されているように、情報処理装置(MFPの場合)30は、コントローラ310、近距離通信回路320、エンジン制御部330、操作パネル340、ネットワークI/F(Interface)350を備えている。 As shown in FIG. 4, the information processing apparatus (in the case of an MFP) 30 includes a controller 310, a short-range communication circuit 320, an engine control unit 330, an operation panel 340, and a network I / F (Interface) 350. There is.

これらのうち、コントローラ310は、コンピュータの主要部であるCPU301、システムメモリ(MEM-P)302、ノースブリッジ(NB)303、サウスブリッジ(SB)304、ASIC(Application Specific Integrated Circuit)305、記憶部であるローカルメモリ(MEM-C)306、HDDコントローラ307、及び、記憶部であるHD308を有し、NB303とASIC305との間をAGP(Accelerated Graphics Port)バス321で接続した構成となっている。 Of these, the controller 310 includes a CPU 301, a system memory (MEM-P) 302, a north bridge (NB) 303, a south bridge (SB) 304, an ASIC (Application Specific Integrated Circuit) 305, and a storage unit, which are the main parts of the computer. It has a local memory (MEM-C) 306, an HDD controller 307, and a storage unit HD308, and has a configuration in which the NB 303 and the ASIC 305 are connected by an AGP (Accelerated Graphics Port) bus 321.

これらのうち、CPU301は、情報処理装置(MFPの場合)30の全体制御を行う制御部である。NB303は、CPU301と、MEM-P302、SB304、及びAGPバス321とを接続するためのブリッジであり、MEM-P302に対する読み書きなどを制御するメモリコントローラと、PCI(Peripheral Component Interconnect)マスタ及びAGPターゲットとを有する。 Of these, the CPU 301 is a control unit that controls the entire information processing device (in the case of the MFP) 30. The NB 303 is a bridge for connecting the CPU 301, the MEM-P302, the SB304, and the AGP bus 321. The NB 303 includes a memory controller that controls reading and writing to the MEM-P302, a PCI (Peripheral Component Interconnect) master, and an AGP target. Has.

MEM-P302は、コントローラ310の各機能を実現させるプログラムやデータの格納用メモリであるROM302a、プログラムやデータの展開、及びメモリ印刷時の描画用メモリなどとして用いるRAM302bとからなる。なお、RAM302bに記憶されているプログラムは、インストール可能な形式又は実行可能な形式のファイルでCD-ROM、CD-R、DVD等のコンピュータで読み取り可能な記録媒体に記録して提供するように構成してもよい。 The MEM-P302 includes a ROM 302a which is a memory for storing programs and data that realizes each function of the controller 310, and a RAM 302b which is used as a memory for developing programs and data and a memory for drawing at the time of memory printing. The program stored in the RAM 302b is configured to be recorded and provided as a file in an installable format or an executable format on a computer-readable recording medium such as a CD-ROM, CD-R, or DVD. You may.

SB304は、NB303とPCIデバイス、周辺デバイスとを接続するためのブリッジである。ASIC305は、画像処理用のハードウェア要素を有する画像処理用途向けのIC(Integrated Circuit)であり、AGPバス321、PCIバス322、HDD307およびMEM-C306をそれぞれ接続するブリッジの役割を有する。このASIC305は、PCIターゲットおよびAGPマスタ、ASIC305の中核をなすアービタ(ARB)、MEM-C306を制御するメモリコントローラ、ハードウェアロジックなどにより画像データの回転などを行う複数のDMAC(Direct Memory Access Controller)、並びに、スキャナ部331及びプリンタ部332との間でPCIバス322を介したデータ転送を行うPCIユニットとからなる。なお、ASIC305には、USB(Universal Serial Bus)のインターフェースや、IEEE1394(Institute of Electrical and Electronics Engineers 1394)のインターフェースを接続するようにしてもよい。 The SB 304 is a bridge for connecting the NB 303 to a PCI device and peripheral devices. The ASIC 305 is an IC (Integrated Circuit) for image processing applications having hardware elements for image processing, and has a role of a bridge connecting the AGP bus 321 and the PCI bus 322, the HDD 307, and the MEM-C306, respectively. This ASIC 305 is a PCI target and an AGP master, an arbiter (ARB) which is the core of the ASIC 305, a memory controller that controls MEM-C306, and a plurality of DMACs (Direct Memory Access Controllers) that rotate image data by hardware logic and the like. , And a PCI unit that transfers data between the scanner unit 331 and the printer unit 332 via the PCI bus 322. A USB (Universal Serial Bus) interface or an IEEE 1394 (Institute of Electrical and Electronics Engineers 1394) interface may be connected to the ASIC 305.

MEM-C306は、コピー用画像バッファ及び符号バッファとして用いるローカルメモリである。HD308は、画像データの蓄積、印刷時に用いるフォントデータの蓄積、フォームの蓄積を行うためのストレージである。HD308は、CPU301の制御にしたがってHD308に対するデータの読出又は書込を制御する。AGPバス321は、グラフィック処理を高速化するために提案されたグラフィックスアクセラレータカード用のバスインタフェースであり、MEM-P302に高スループットで直接アクセスすることにより、グラフィックスアクセラレータカードを高速にすることができる。 The MEM-C306 is a local memory used as a copy image buffer and a code buffer. The HD308 is a storage for accumulating image data, accumulating font data used at the time of printing, and accumulating forms. The HD 308 controls reading or writing of data to the HD 308 according to the control of the CPU 301. The AGP bus 321 is a bus interface for a graphics accelerator card proposed to speed up graphic processing, and the graphics accelerator card can be speeded up by directly accessing the MEM-P302 with a high throughput. ..

また、近距離通信回路320には、近距離通信回路320aが備わっている。近距離通信回路320は、NFC、Bluetooth等の通信回路である。 Further, the short-range communication circuit 320 is provided with the short-range communication circuit 320a. The short-range communication circuit 320 is a communication circuit such as NFC or Bluetooth.

更に、エンジン制御部330は、スキャナ部331及びプリンタ部332によって構成されている。また、操作パネル340は、現在の設定値や選択画面等を表示させ、操作者からの入力を受け付けるタッチパネル等のパネル表示部340a、並びに、濃度の設定条件などの画像形成に関する条件の設定値を受け付けるテンキー及びコピー開始指示を受け付けるスタートキー等からなる操作パネル340bを備えている。コントローラ310は、情報処理装置(MFPの場合)30全体の制御を行い、例えば、描画、通信、操作パネル340からの入力等を制御する。スキャナ部331又はプリンタ部332には、誤差拡散やガンマ変換などの画像処理部分が含まれている。 Further, the engine control unit 330 is composed of a scanner unit 331 and a printer unit 332. Further, the operation panel 340 displays the current setting value, the selection screen, and the like, and sets the panel display unit 340a such as a touch panel that accepts the input from the operator, and the setting value of the condition related to image formation such as the density setting condition. It is provided with an operation panel 340b including a numeric keypad for receiving and a start key for receiving a copy start instruction. The controller 310 controls the entire information processing device (in the case of the MFP) 30, for example, drawing, communication, input from the operation panel 340, and the like. The scanner unit 331 or the printer unit 332 includes an image processing portion such as error diffusion and gamma conversion.

なお、情報処理装置(MFPの場合)30は、操作パネル340のアプリケーション切り替えキーにより、ドキュメントボックス機能、コピー機能、プリンタ機能、およびファクシミリ機能を順次に切り替えて選択することが可能となる。ドキュメントボックス機能の選択時にはドキュメントボックスモードとなり、コピー機能の選択時にはコピーモードとなり、プリンタ機能の選択時にはプリンタモードとなり、ファクシミリモードの選択時にはファクシミリモードとなる。 The information processing apparatus (in the case of the MFP) 30 can sequentially switch and select the document box function, the copy function, the printer function, and the facsimile function by the application switching key of the operation panel 340. When the document box function is selected, the document box mode is set, when the copy function is selected, the copy mode is set, when the printer function is selected, the printer mode is set, and when the facsimile mode is selected, the facsimile mode is set.

また、ネットワークI/F350は、通信ネットワークを利用してデータ通信をするためのインターフェースである。近距離通信回路320及びネットワークI/F350は、PCIバス322を介して、ASIC305に電気的に接続されている。 Further, the network I / F 350 is an interface for performing data communication using a communication network. The short-range communication circuit 320 and the network I / F 350 are electrically connected to the ASIC 305 via the PCI bus 322.

<情報処理システムの機能ブロック>
図5は、本発明の一実施形態に係る情報処理システム1の機能ブロックを示す図である。 <Functional block of information processing system>
FIG. 5 is a diagram showing a functional block of the information processing system 1 according to the embodiment of the present invention.

<認証サーバ>
情報処理システム1の認証サーバ10は、ユーザ管理部1001と、クラウド認証サーバ部1002と、生体認証サーバ部(ユーザ端末認証サーバ部ともいう)1003と、通信部1004と、を備える。また、認証サーバ10は、プログラムを実行することで、クラウド認証サーバ部1002、生体認証サーバ部1003、通信部1004、として機能する。 <Authentication server>
The authentication server 10 of the information processing system 1 includes a user management unit 1001, a cloud authentication server unit 1002, a biometric authentication server unit (also referred to as a user terminal authentication server unit) 1003, and a communication unit 1004. Further, the authentication server 10 functions as a cloud authentication server unit 1002, a biometric authentication server unit 1003, and a communication unit 1004 by executing a program.

ユーザ管理部1001は、全ユーザに関する情報を記憶する。具体的には、ユーザ管理部1001は、各ユーザのユーザ名、ユーザID、パスワード、公開鍵、トークン等の情報を記憶する。後段で、図6、7、9を参照しながら、ユーザ管理部1001が記憶するデータについて詳細に説明する。 The user management unit 1001 stores information about all users. Specifically, the user management unit 1001 stores information such as a user name, a user ID, a password, a public key, and a token of each user. Later, with reference to FIGS. 6, 7, and 9, the data stored in the user management unit 1001 will be described in detail.

生体認証サーバ部1003は、ユーザ端末20における認証が成功するとトークンを生成する。例えば、生体認証サーバ部1003は、FIDOプロトコルを用いた認証が成功すると、トークンを生成する。また、生体認証サーバ部1003は、生成したトークンをユーザ管理部1001に記憶させる。また、生体認証サーバ部1003は、生成したトークンをユーザ端末20の生体認証クライアント部2004へ送信する。 The biometric authentication server unit 1003 generates a token when the authentication on the user terminal 20 is successful. For example, the biometric authentication server unit 1003 generates a token when the authentication using the FIDO protocol is successful. Further, the biometric authentication server unit 1003 stores the generated token in the user management unit 1001. Further, the biometric authentication server unit 1003 transmits the generated token to the biometric authentication client unit 2004 of the user terminal 20.

クラウド認証サーバ部1002は、情報処理装置30のクラウド認証クライアント部3002からの照会に応じて、トークンの正当性を判断する。具体的には、クラウド認証サーバ部1002は、照会された(つまり、情報処理装置30から受信した)トークンがユーザ管理部1001に記憶されているか否かを判断する。また、照会されたトークンがユーザ管理部1001に記憶されている場合には、クラウド認証サーバ部1002は、認証が成功したことをクラウド認証クライアント部3002に通知する。 The cloud authentication server unit 1002 determines the validity of the token in response to an inquiry from the cloud authentication client unit 3002 of the information processing apparatus 30. Specifically, the cloud authentication server unit 1002 determines whether or not the inquired (that is, received from the information processing device 30) token is stored in the user management unit 1001. Further, when the inquired token is stored in the user management unit 1001, the cloud authentication server unit 1002 notifies the cloud authentication client unit 3002 that the authentication is successful.

ここで、トークンについて説明する。トークンは、有効期限が設定されたトークンであってもよい。ユーザは、有効期限内であれば、ユーザ端末20に配布されたトークンを用いてオフィスAの情報処理装置30もオフィスBの情報処理装置30も使用することができる。 Here, the token will be described. The token may be a token with an expiration date. The user can use both the information processing device 30 of the office A and the information processing device 30 of the office B by using the token distributed to the user terminal 20 as long as it is within the expiration date.

通信部1004は、ユーザ端末20の通信部2001および情報処理装置30の通信部3001とデータを送受信する。 The communication unit 1004 transmits / receives data to / from the communication unit 2001 of the user terminal 20 and the communication unit 3001 of the information processing device 30.

<ユーザ端末>
情報処理システム1のユーザ端末20は、通信部2001と、MFP認証クライアント部(情報処理装置認証クライアント部ともいう)2002と、認証記憶部2003と、生体認証クライアント部(ユーザ端末認証クライアント部ともいう)2004と、ユーザ操作部2005と、認証部2006と、を備える。また、ユーザ端末20は、プログラムを実行することで、通信部2001、MFP認証クライアント部2002、生体認証クライアント部2004、ユーザ操作部2005、認証部2006、として機能する。 <User terminal>
The user terminal 20 of the information processing system 1 includes a communication unit 2001, an MFP authentication client unit (also referred to as an information processing device authentication client unit) 2002, an authentication storage unit 2003, and a biometric authentication client unit (also referred to as a user terminal authentication client unit). ) 2004, a user operation unit 2005, and an authentication unit 2006. Further, the user terminal 20 functions as a communication unit 2001, an MFP authentication client unit 2002, a biometric authentication client unit 2004, a user operation unit 2005, and an authentication unit 2006 by executing a program.

認証記憶部2003は、ユーザ端末20を使用するユーザに関する情報を記憶する。具体的には、認証記憶部2003は、認証サーバ10を示す情報(URL)、ユーザID、パスワード、秘密鍵、トークン等の情報を記憶する。後段で、図8、10を参照しながら、認証記憶部2003が記憶するデータについて詳細に説明する。 The authentication storage unit 2003 stores information about a user who uses the user terminal 20. Specifically, the authentication storage unit 2003 stores information (URL) indicating the authentication server 10, user ID, password, private key, token, and the like. Later, with reference to FIGS. 8 and 10, the data stored in the authentication storage unit 2003 will be described in detail.

生体認証クライアント部2004は、認証サーバ10の生体認証サーバ部1003からトークンを受信する。また、生体認証クライアント部2004は、取得したトークンを認証記憶部2003に記憶させる。 The biometric authentication client unit 2004 receives a token from the biometric authentication server unit 1003 of the authentication server 10. Further, the biometric authentication client unit 2004 stores the acquired token in the authentication storage unit 2003.

MFP認証クライアント部2002は、認証記憶部2003に記憶されているトークンを取得する。また、MFP認証クライアント部2002は、取得したトークンを、情報処理装置30のMFP認証サーバ部3003へ送信する。 The MFP authentication client unit 2002 acquires the token stored in the authentication storage unit 2003. Further, the MFP authentication client unit 2002 transmits the acquired token to the MFP authentication server unit 3003 of the information processing apparatus 30.

ユーザ操作部2005は、ユーザインタフェースを提供し、ユーザからの操作を受け付ける。 The user operation unit 2005 provides a user interface and accepts operations from the user.

通信部2001は、認証サーバ10の通信部1004および情報処理装置30の通信部3001とデータを送受信する。 The communication unit 2001 transmits / receives data to / from the communication unit 1004 of the authentication server 10 and the communication unit 3001 of the information processing device 30.

認証部2006は、ユーザの認証(例えば、生体認証)を行う。 The authentication unit 2006 authenticates the user (for example, biometric authentication).

<情報処理装置>
情報処理システム1の情報処理装置30は、通信部3001と、クラウド認証クライアント部3002と、MFP認証サーバ部(情報処理装置認証サーバ部ともいう)3003と、を備える。また、情報処理装置30は、プログラムを実行することで、通信部3001、クラウド認証クライアント部3002、MFP認証サーバ部3003、として機能する。 <Information processing equipment>
The information processing device 30 of the information processing system 1 includes a communication unit 3001, a cloud authentication client unit 3002, and an MFP authentication server unit (also referred to as an information processing device authentication server unit) 3003. Further, the information processing apparatus 30 functions as a communication unit 3001, a cloud authentication client unit 3002, and an MFP authentication server unit 3003 by executing a program.

MFP認証サーバ部3003は、ユーザ端末20のMFP認証クライアント部2002からトークンを取得する。 The MFP authentication server unit 3003 acquires a token from the MFP authentication client unit 2002 of the user terminal 20.

クラウド認証クライアント部3002は、認証サーバ10のクラウド認証サーバ部1002に対して、トークンの正当性を照会する。具体的には、情報処理装置30がユーザ端末20からトークンを取得すると、クラウド認証クライアント部3002は、情報処理装置30がユーザ端末20から取得したトークンが、認証サーバ10がユーザ端末20へ送信したトークンであるか否かを、クラウド認証サーバ部1002に照会する。照会されたトークンがユーザ管理部1001に記憶されている場合には、クラウド認証クライアント部3002は、クラウド認証サーバ部1002から認証が成功した旨の通知を受ける。 The cloud authentication client unit 3002 inquires the cloud authentication server unit 1002 of the authentication server 10 about the validity of the token. Specifically, when the information processing device 30 acquires a token from the user terminal 20, the cloud authentication client unit 3002 transmits the token acquired by the information processing device 30 from the user terminal 20 to the user terminal 20 by the authentication server 10. Inquires whether or not it is a token to the cloud authentication server unit 1002. When the inquired token is stored in the user management unit 1001, the cloud authentication client unit 3002 receives a notification from the cloud authentication server unit 1002 that the authentication is successful.

通信部3001は、認証サーバ10の通信部1004およびユーザ端末20の通信部2001とデータを送受信する。 The communication unit 3001 transmits / receives data to / from the communication unit 1004 of the authentication server 10 and the communication unit 2001 of the user terminal 20.

図6は、本発明の一実施形態に係る認証サーバ10のユーザ管理部1001に記憶されているデータ(ユーザIDおよびパスワードの登録済み)の一例である。図6に示されているように、認証サーバ10のユーザ管理部1001は、各ユーザの「ユーザ名」、「ユーザID」、「パスワード」のデータを記憶する。なお、認証サーバ10に公開鍵を登録する際に、認証サーバ10のユーザ管理部1001に記憶されている「ユーザID」および「パスワード」と、ユーザ端末20の認証記憶部2003に記憶されている「ユーザID」および「パスワード」と、が照合される。 FIG. 6 is an example of data (user ID and password registered) stored in the user management unit 1001 of the authentication server 10 according to the embodiment of the present invention. As shown in FIG. 6, the user management unit 1001 of the authentication server 10 stores data of "user name", "user ID", and "password" of each user. When registering the public key in the authentication server 10, the "user ID" and "password" stored in the user management unit 1001 of the authentication server 10 and the "user ID" and the "password" are stored in the authentication storage unit 2003 of the user terminal 20. The "user ID" and "password" are collated.

図7は、本発明の一実施形態に係る認証サーバ10のユーザ管理部1001に記憶されているデータ(公開鍵の登録済み)の一例である。図7に示されているように、認証サーバ10のユーザ管理部1001は、図6の「ユーザ名」、「ユーザID」、「パスワード」に加えて、「公開鍵」のデータを記憶する。「公開鍵」は、FIDOの認証のための公開鍵(後述するユーザ端末20の認証記憶部2003に記憶されている秘密鍵とペア)である。 FIG. 7 is an example of data (public key registered) stored in the user management unit 1001 of the authentication server 10 according to the embodiment of the present invention. As shown in FIG. 7, the user management unit 1001 of the authentication server 10 stores the data of the “public key” in addition to the “user name”, “user ID”, and “password” of FIG. The "public key" is a public key for FIDO authentication (paired with a private key stored in the authentication storage unit 2003 of the user terminal 20 described later).

図8は、本発明の一実施形態に係るユーザ端末20の認証記憶部2003に記憶されているデータの一例である。図8に示されているように、ユーザ端末20の認証記憶部2003は、「認証サーバ10を示す情報(URL(Uniform Resource Locator))」、「ユーザID」、「パスワード」、「秘密鍵」のデータを記憶する。「秘密鍵」は、FIDOの認証のための秘密鍵(前述した認証サーバ10のユーザ管理部1001に記憶されている公開鍵とペア)である。なお、ユーザ端末20の認証記憶部2003は、ユーザ端末20での生体認証が成功した場合にのみアクセスできる記憶領域である。 FIG. 8 is an example of data stored in the authentication storage unit 2003 of the user terminal 20 according to the embodiment of the present invention. As shown in FIG. 8, the authentication storage unit 2003 of the user terminal 20 has "information indicating the authentication server 10 (URL (Uniform Resource Locator))", "user ID", "password", and "private key". Memorize the data of. The "private key" is a private key for FIDO authentication (paired with the public key stored in the user management unit 1001 of the authentication server 10 described above). The authentication storage unit 2003 of the user terminal 20 is a storage area that can be accessed only when the biometric authentication at the user terminal 20 is successful.

図9は、発明の一実施形態に係る認証サーバ10のユーザ管理部1001に記憶されているデータ(トークンの登録済み)の一例である。図9に示されているように、認証サーバ10のユーザ管理部1001は、図7の「ユーザ名」、「ユーザID」、「パスワード」、「公開鍵」に加えて、「トークン」のデータを記憶する。「トークン」は、認証サーバ10の生体認証サーバ部1003が生成したトークンである。 FIG. 9 is an example of data (registered tokens) stored in the user management unit 1001 of the authentication server 10 according to the embodiment of the invention. As shown in FIG. 9, the user management unit 1001 of the authentication server 10 has data of a "token" in addition to the "user name", "user ID", "password", and "public key" of FIG. Remember. The "token" is a token generated by the biometric authentication server unit 1003 of the authentication server 10.

図10は、本発明の一実施形態に係るユーザ端末20の認証記憶部2003に記憶されているデータの一例である。図10に示されているように、ユーザ端末20の認証記憶部2003は、「認証サーバ10を示す情報(URL)」、「ユーザID」、「パスワード」、「秘密鍵」に加え、「トークン」のデータを記憶する。「トークン」は、ユーザ端末20の生体認証クライアント部2004が受信したトークンである。 FIG. 10 is an example of data stored in the authentication storage unit 2003 of the user terminal 20 according to the embodiment of the present invention. As shown in FIG. 10, the authentication storage unit 2003 of the user terminal 20 has a "token" in addition to "information (URL) indicating the authentication server 10", "user ID", "password", and "private key". ”Data is stored. The "token" is a token received by the biometric authentication client unit 2004 of the user terminal 20.

<処理方法>
図11は、本発明の一実施形態に係るトークンの配布の処理の流れを示すシーケンス図である。 <Processing method>
FIG. 11 is a sequence diagram showing a flow of processing for distributing tokens according to an embodiment of the present invention.

ステップ11(S11)において、ユーザ操作部2005が受け付けた操作に応じて、ユーザ端末20にて認証が行われる。以下、ユーザ端末20が生体認証を行い、認証サーバ10が公開鍵暗号方式を用いてユーザを認証する実施形態を説明する。 In step 11 (S11), authentication is performed on the user terminal 20 according to the operation received by the user operation unit 2005. Hereinafter, an embodiment in which the user terminal 20 performs biometric authentication and the authentication server 10 authenticates the user using a public key cryptosystem will be described.

まず、ユーザ端末20の認証部2006は、生体認証のための身体情報(例えば、ユーザ端末20が検知したユーザの顔の画像等)を取得する。次に、認証部2006は、取得した身体情報と、ユーザ端末20に記憶されている身体情報と、が一致するか否かを判断する。 First, the authentication unit 2006 of the user terminal 20 acquires physical information for biometric authentication (for example, an image of the user's face detected by the user terminal 20). Next, the authentication unit 2006 determines whether or not the acquired physical information and the physical information stored in the user terminal 20 match.

ステップ12(S12)において、S11にて身体情報が一致する場合(つまり、生体認証が成功した場合)、認証部2006は、ユーザ端末20に記憶されている秘密鍵で、認証サーバ10から受信したチャレンジを用いて署名(ハッシュを暗号化)を作成して、認証サーバ10へ送信する。 In step 12 (S12), when the physical information matches in S11 (that is, when the biometric authentication is successful), the authentication unit 2006 receives from the authentication server 10 with the private key stored in the user terminal 20. Create a signature (encrypt the hash) using the challenge and send it to the authentication server 10.

ステップ13(S13)において、認証サーバ10は、署名を公開鍵で復号し、ユーザ端末20へ送信したチャレンジと同じか否かに基づいて、署名を検証する。 In step 13 (S13), the authentication server 10 decrypts the signature with the public key and verifies the signature based on whether or not it is the same as the challenge transmitted to the user terminal 20.

ステップ14(S14)において、生体認証サーバ部1003は、トークンを生成する。具体的には、生体認証サーバ部1003は、S13にて署名を検証して認証が成功すると、トークンを生成する。 In step 14 (S14), the biometric authentication server unit 1003 generates a token. Specifically, the biometric authentication server unit 1003 verifies the signature in S13 and generates a token when the authentication is successful.

ステップ15(S15)において、生体認証サーバ部1003は、S14にて生成したトークンをユーザ管理部1001に記憶させる。 In step 15 (S15), the biometric authentication server unit 1003 stores the token generated in S14 in the user management unit 1001.

ステップ16(S16)において、生体認証サーバ部1003は、S14にて生成したトークンを生体認証クライアント部2004へ送信する。 In step 16 (S16), the biometric authentication server unit 1003 transmits the token generated in S14 to the biometric authentication client unit 2004.

ステップ17(S17)において、生体認証クライアント部2004は、S16にて受信したトークンを認証記憶部2003に記憶させる。 In step 17 (S17), the biometric authentication client unit 2004 stores the token received in S16 in the authentication storage unit 2003.

図12は、本発明の一実施形態に係るトークンの通知の処理の流れを示すシーケンス図である。 FIG. 12 is a sequence diagram showing a flow of processing for notification of tokens according to an embodiment of the present invention.

ステップ21(S21)において、MFP認証クライアント部2002は、認証記憶部2003に記憶されているトークン(つまり、図11のS17のトークン)を取得する。 In step 21 (S21), the MFP authentication client unit 2002 acquires the token stored in the authentication storage unit 2003 (that is, the token of S17 in FIG. 11).

ステップ22(S22)において、MFP認証クライアント部2002は、S21にて取得したトークンを、MFP認証サーバ部3003へ送信する。例えば、MFP認証クライアント部2002は、Bluetooth、NFC等を介して、トークンをMFP認証サーバ部3003へ送信することができる。 In step 22 (S22), the MFP authentication client unit 2002 transmits the token acquired in S21 to the MFP authentication server unit 3003. For example, the MFP authentication client unit 2002 can transmit the token to the MFP authentication server unit 3003 via Bluetooth, NFC, or the like.

図13は、本発明の一実施形態に係るトークンの照会の処理の流れを示すシーケンス図である。 FIG. 13 is a sequence diagram showing a flow of processing for querying tokens according to an embodiment of the present invention.

ステップ31(S31)において、クラウド認証クライアント部3002は、クラウド認証サーバ部1002に対して、トークンの正当性を照会する。具体的には、情報処理装置30がユーザ端末20からトークンを受信すると(つまり、図12のS22)、クラウド認証クライアント部3002は、情報処理装置30がユーザ端末20から受信したトークンが、認証サーバ10がユーザ端末20へ送信したトークンであるか否かを、クラウド認証サーバ部1002に照会する。 In step 31 (S31), the cloud authentication client unit 3002 inquires the cloud authentication server unit 1002 about the validity of the token. Specifically, when the information processing apparatus 30 receives a token from the user terminal 20 (that is, S22 in FIG. 12), the cloud authentication client unit 3002 receives the token received from the user terminal 20 by the information processing apparatus 30 as an authentication server. The cloud authentication server unit 1002 is inquired whether or not 10 is a token transmitted to the user terminal 20.

ステップ32(S32)において、クラウド認証サーバ部1002は、S31にて照会されたトークンがユーザ管理部1001に記憶されているか否かを判断する。 In step 32 (S32), the cloud authentication server unit 1002 determines whether or not the token inquired in S31 is stored in the user management unit 1001.

ステップ33(S33)において、S31にて照会されたトークンがユーザ管理部1001に記憶されている場合には、クラウド認証サーバ部1002は、認証が成功したことをクラウド認証クライアント部3002に通知する。なお、クラウド認証サーバ部1002は、S31にて照会されたトークンに対応するユーザの情報(例えば、ユーザID、ユーザに提供することができる機能など)をクラウド認証クライアント部3002に通知することができる。例えば、情報処理装置30は、通知されたユーザの情報(例えば、ユーザID)に基づいて、情報処理装置30が提供する機能(例えば、コピー機能、スキャナ機能、FAX機能、プリンタ機能等)を決定することができる。また、例えば、情報処理装置30は、通知されたユーザの情報(例えば、ユーザに提供することができる機能)に応じた機能(例えば、コピー機能、スキャナ機能、FAX機能、プリンタ機能等)を提供することができる。 In step 33 (S33), when the token inquired in S31 is stored in the user management unit 1001, the cloud authentication server unit 1002 notifies the cloud authentication client unit 3002 that the authentication is successful. The cloud authentication server unit 1002 can notify the cloud authentication client unit 3002 of user information (for example, a user ID, a function that can be provided to the user, etc.) corresponding to the token inquired in S31. .. For example, the information processing device 30 determines a function (for example, a copy function, a scanner function, a fax function, a printer function, etc.) provided by the information processing device 30 based on the notified user information (for example, a user ID). can do. Further, for example, the information processing apparatus 30 provides a function (for example, a copy function, a scanner function, a fax function, a printer function, etc.) according to the notified user information (for example, a function that can be provided to the user). can do.

<効果>
このように、本発明の一実施形態では、ユーザは、情報処理装置30を使用するたびに生体認証等のユーザ端末20における認証を行う必要がない。さらに、本発明の一実施形態では、ユーザが生体認証等を行うことなく情報処理装置30を使用できるようにしつつ、無期限に生体認証等を行うことなく情報処理装置30を使用できることを防ぐことができる。また、認証サーバ10は、生成した識別情報(例えば、トークン)をユーザ端末20へ送信し、識別情報(例えば、トークン)の照合を情報処理装置30から受け付ける。そのため、情報処理装置30は、ユーザ端末20の情報を管理することなく、ユーザ端末20を有するユーザに情報処理装置30の機能を提供することができる。 <Effect>
As described above, in one embodiment of the present invention, the user does not need to perform authentication on the user terminal 20 such as biometric authentication every time the information processing apparatus 30 is used. Further, in one embodiment of the present invention, it is possible to prevent the user from being able to use the information processing device 30 without performing biometric authentication or the like indefinitely while allowing the user to use the information processing device 30 without performing biometric authentication or the like. Can be done. Further, the authentication server 10 transmits the generated identification information (for example, a token) to the user terminal 20, and receives the collation of the identification information (for example, the token) from the information processing apparatus 30. Therefore, the information processing apparatus 30 can provide the function of the information processing apparatus 30 to the user having the user terminal 20 without managing the information of the user terminal 20.

また、本発明の一実施形態では、情報処理装置30ごとに生体認証を行う装置を設置する必要がない。また、本発明の一実施形態では、生体認証に用いられるユーザの身体情報そのものがネットワーク上に流れないので、セキュリティを向上することができる。また、本発明の一実施形態では、ユーザの正当性は認証サーバ10で担保されるのでセキュリティを向上することができる。また、本発明の一実施形態では、情報処理装置30がユーザ端末20の情報を保持する必要がないので、セキュリティおよび利便性を向上することができる。 Further, in one embodiment of the present invention, it is not necessary to install a device for performing biometric authentication for each information processing device 30. Further, in one embodiment of the present invention, the physical information of the user used for biometric authentication itself does not flow on the network, so that security can be improved. Further, in one embodiment of the present invention, the legitimacy of the user is guaranteed by the authentication server 10, so that security can be improved. Further, in one embodiment of the present invention, the information processing apparatus 30 does not need to hold the information of the user terminal 20, so that security and convenience can be improved.

上記で説明した実施形態の各機能は、一又は複数の処理回路によって実現することが可能である。ここで、本明細書における「処理回路」とは、電子回路により実装されるプロセッサのようにソフトウェアによって各機能を実行するようプログラミングされたプロセッサや、上記で説明した各機能を実行するよう設計されたASIC(Application Specific Integrated Circuit)、DSP(digital signal processor)、FPGA(field programmable gate array)や従来の回路モジュール等のデバイスを含むものとする。 Each function of the embodiment described above can be realized by one or more processing circuits. Here, the "processing circuit" as used herein is a processor programmed to perform each function by software, such as a processor implemented by an electronic circuit, or a processor designed to execute each function described above. It shall include devices such as ASIC (Application Specific Integrated Circuit), DSP (digital signal processor), FPGA (field programmable gate array) and conventional circuit modules.

以上、本発明の実施例について詳述したが、本発明は上述した特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。 Although the embodiments of the present invention have been described in detail above, the present invention is not limited to the above-mentioned specific embodiments, and various modifications are made within the scope of the gist of the present invention described in the claims.・ Can be changed.

1 情報処理システム
10 認証サーバ
20 ユーザ端末
30 情報処理装置
31 プロキシサーバ
1001 ユーザ管理部
1002 クラウド認証サーバ部
1003 生体認証サーバ部
1004 通信部
2001 通信部
2002 MFP認証クライアント部
2003 認証記憶部
2004 生体認証クライアント部
2005 ユーザ操作部
2006 認証部
3001 通信部
3002 クラウド認証クライアント部
3003 MFP認証サーバ部 1 Information processing system 10 Authentication server 20 User terminal 30 Information processing device 31 Proxy server 1001 User management unit 1002 Cloud authentication server unit 1003 Biometric authentication server unit 1004 Communication unit 2001 Communication unit 2002 MFP authentication client unit 2003 Authentication storage unit 2004 Biometric authentication client Unit 2005 User operation unit 2006 Authentication unit 3001 Communication unit 3002 Cloud authentication client unit 3003 MFP authentication server unit

特開2018-205906号公報Japanese Unexamined Patent Publication No. 2018-205906

Claims (9)

認証サーバと、ユーザ端末と、情報処理装置と、を含む情報処理システムが実行する方法であって、
前記認証サーバが、前記ユーザ端末における認証が成功した旨を前記ユーザ端末から受信した場合、識別情報を前記ユーザ端末へ送信するステップと、
前記ユーザ端末が、前記認証サーバから受信した前記識別情報を前記情報処理装置へ送信するステップと、
前記情報処理装置が、前記ユーザ端末から受信した前記識別情報が、前記認証サーバが前記ユーザ端末へ送信した前記識別情報と同じであるか否かを前記認証サーバに照会して、同じである旨を受信した場合に前記情報処理装置の使用を許可するステップと
を含む方法。 It is a method executed by an information processing system including an authentication server, a user terminal, and an information processing device.
When the authentication server receives from the user terminal that the authentication at the user terminal is successful, the step of transmitting the identification information to the user terminal and the step.
A step in which the user terminal transmits the identification information received from the authentication server to the information processing apparatus.
The information processing apparatus inquires the authentication server whether or not the identification information received from the user terminal is the same as the identification information transmitted by the authentication server to the user terminal, and the same is true. A method including a step of permitting the use of the information processing apparatus when the information processing device is received. 前記識別情報は、トークンである、請求項1に記載の方法。 The method according to claim 1, wherein the identification information is a token. 前記ユーザ端末における認証が成功した旨の前記ユーザ端末から前記認証サーバへの通知は、FIDOの方式で行われる、請求項1または2に記載の方法。 The method according to claim 1 or 2, wherein the notification from the user terminal to the authentication server that the authentication at the user terminal is successful is performed by the method of FIDO. 前記ユーザ端末における認証は、生体認証である、請求項1から3のいずれか一項に記載の方法。 The method according to any one of claims 1 to 3, wherein the authentication in the user terminal is biometric authentication. 前記情報処理装置は、プロキシを経由して前記認証サーバにアクセスする、請求項1から4のいずれか一項に記載の方法。 The method according to any one of claims 1 to 4, wherein the information processing apparatus accesses the authentication server via a proxy. ユーザ端末を、
ユーザの認証を行い、前記ユーザの認証が成功した旨を認証サーバへ送信する認証部、
識別情報を前記認証サーバから受信するユーザ端末認証クライアント部、
前記認証サーバから受信した前記識別情報を情報処理装置へ送信する情報処理装置認証クライアント部、として機能させるためのプログラム。 User terminal,
An authentication unit that authenticates a user and sends to the authentication server that the user's authentication was successful.
User terminal authentication client unit that receives identification information from the authentication server,
A program for functioning as an information processing device authentication client unit that transmits the identification information received from the authentication server to the information processing device. 識別情報をユーザ端末から受信する情報処理装置認証サーバ部と、
前記受信した識別情報が、認証サーバが前記ユーザ端末へ送信した識別情報と同じであるか否かを前記認証サーバに照会して、同じである旨を受信した場合に情報処理装置の使用を許可するクラウド認証クライアント部と
を備えた情報処理装置。 Information processing device authentication server unit that receives identification information from the user terminal,
The authentication server is inquired whether or not the received identification information is the same as the identification information transmitted to the user terminal, and when the same is received, the use of the information processing device is permitted. An information processing device equipped with a cloud authentication client unit. ユーザ端末における認証が成功した旨を前記ユーザ端末から受信した場合、識別情報を前記ユーザ端末へ送信するユーザ端末認証サーバ部と、
情報処理装置から受信した識別情報が、前記ユーザ端末へ送信した識別情報と同じであるか否かを判断するクラウド認証サーバ部と
を備えた認証サーバ。 When the user terminal receives the fact that the authentication on the user terminal is successful, the user terminal authentication server unit that transmits the identification information to the user terminal and the user terminal authentication server unit.
An authentication server provided with a cloud authentication server unit that determines whether or not the identification information received from the information processing device is the same as the identification information transmitted to the user terminal. 認証サーバと、ユーザ端末と、情報処理装置と、を含む情報処理システムであって、
前記認証サーバは、
前記ユーザ端末における認証が成功した旨を前記ユーザ端末から受信した場合、識別情報を前記ユーザ端末へ送信するユーザ端末認証サーバ部と、
前記情報処理装置から受信した識別情報が、前記ユーザ端末へ送信した識別情報と同じであるか否かを判断するクラウド認証サーバ部と、を備え、
前記ユーザ端末は、
ユーザの認証を行い、前記ユーザの認証が成功した旨を前記認証サーバへ送信する認証部と、
前記識別情報を前記認証サーバから受信するユーザ端末認証クライアント部と、
前記認証サーバから受信した前記識別情報を前記情報処理装置へ送信する情報処理装置認証クライアント部と、を備え、
前記情報処理装置は、
前記識別情報を前記ユーザ端末から受信する情報処理装置認証サーバ部と、
前記受信した識別情報が、前記認証サーバが前記ユーザ端末へ送信した前記識別情報と同じであるか否かを前記認証サーバに照会して、同じである旨を受信した場合に前記情報処理装置の使用を許可するクラウド認証クライアント部と、を備えた情報処理システム。 An information processing system that includes an authentication server, a user terminal, and an information processing device.
The authentication server is
When the user terminal receives the fact that the authentication in the user terminal is successful, the user terminal authentication server unit that transmits the identification information to the user terminal and the user terminal authentication server unit.
A cloud authentication server unit for determining whether or not the identification information received from the information processing device is the same as the identification information transmitted to the user terminal is provided.
The user terminal is
An authentication unit that authenticates the user and sends the fact that the user's authentication was successful to the authentication server.
A user terminal authentication client unit that receives the identification information from the authentication server, and
It includes an information processing device authentication client unit that transmits the identification information received from the authentication server to the information processing device.
The information processing device is
An information processing device authentication server unit that receives the identification information from the user terminal, and
The authentication server is inquired whether or not the received identification information is the same as the identification information transmitted to the user terminal, and when the authentication server receives the same, the information processing apparatus. An information system equipped with a cloud authentication client section that permits its use.
JP2020160866A 2020-09-25 2020-09-25 Method, program, information processing apparatus, authentication server, and information processing system Pending JP2022053955A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020160866A JP2022053955A (en) 2020-09-25 2020-09-25 Method, program, information processing apparatus, authentication server, and information processing system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020160866A JP2022053955A (en) 2020-09-25 2020-09-25 Method, program, information processing apparatus, authentication server, and information processing system

Publications (1)

Publication Number Publication Date
JP2022053955A true JP2022053955A (en) 2022-04-06

Family

ID=80994476

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020160866A Pending JP2022053955A (en) 2020-09-25 2020-09-25 Method, program, information processing apparatus, authentication server, and information processing system

Country Status (1)

Country Link
JP (1) JP2022053955A (en)

Similar Documents

Publication Publication Date Title
EP3800540A1 (en) Program, information processing system, information processing method, and information processing apparatus
US11206252B2 (en) Information processing system, authentication platform, and authorization information verification method
JP6528856B2 (en) Control system, communication control method, and program
US20230251805A1 (en) System and method for transmitting electronic data associated with a user identified based on source identification information
JP2024012626A (en) Service providing system, log-in setting method, and information processing system
US11704079B2 (en) Output system, information processing system, including circuitry to generate a character string to perform authentication for a user, and authentication method
US11762612B2 (en) Information processing apparatus, information processing system, and information processing method for managing authentication information across multiple information processing devices, information processing apparatuses, and information processing systems
CN109479054B (en) Service providing system, service communication system, service providing method, and recording medium
JP2021060974A (en) Program, information processing system, information processing method, and information processing apparatus
EP3985497A1 (en) Information processing system, output system, output method, and recording medium
US11924291B2 (en) Information processing system, information processing apparatus, and information processing method
JP2017207909A (en) Authentication system, communication system, authentication method, and program
JP2020086794A (en) Information processing system, information processing method, information processing device, and program
EP3438838A1 (en) Service providing system, serving receiving system, service providing method and program
EP3438837A1 (en) Service provision system, service delivery system, service provision method, and program
JP2022053955A (en) Method, program, information processing apparatus, authentication server, and information processing system
EP3438860B1 (en) Service provision system, service exchange system, service provision method, and program
JP2021086341A (en) User authentication system, user authentication method, and user authentication program
US20240231720A1 (en) Apparatus, authentication system, authentication method, and recording medium
US12079526B2 (en) Output apparatus, information processing system, output method, and non-transitory recording medium for outputting reserved electronic data based on setting information
JP2023162118A (en) Output device, output method, program, and information processing system
JP2021047843A (en) Information processing apparatus, communication system, and information processing method
JP2021009575A (en) Information processing system, information processing method and program
JP2020154472A (en) Information processing terminal, information processing system, method, and program
JP2017211769A (en) Management system, communication system, authentication method, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230714

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240220

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20240813