JP2022077449A - Authentication system using location information - Google Patents
Authentication system using location information Download PDFInfo
- Publication number
- JP2022077449A JP2022077449A JP2020188319A JP2020188319A JP2022077449A JP 2022077449 A JP2022077449 A JP 2022077449A JP 2020188319 A JP2020188319 A JP 2020188319A JP 2020188319 A JP2020188319 A JP 2020188319A JP 2022077449 A JP2022077449 A JP 2022077449A
- Authority
- JP
- Japan
- Prior art keywords
- user
- authentication
- information
- location
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
Description
本発明は、ネットワークを介してサーバを利用する際の認証システムに関するものであり、特に利用者の位置を考慮した認証を可能にする技術に関する。 The present invention relates to an authentication system when using a server via a network, and particularly relates to a technique that enables authentication in consideration of the position of a user.
近年、ASP(Application Service Provider)、あるいは、SaaS(Software as a Service)と呼ばれるような、ネットワークを介したソフトウェア(アプリケーション)の利用形態が用いられている。かかる形態においては、サーバにおいてソフトウェアが実行される一方、クライアントとなるコンピュータがネットワークを介してサーバに接続される。したがって、サーバによって実行されるソフトウェアをクライアントはサービスのように利用することができる。 In recent years, a form of using software (application) via a network, such as ASP (Application Service Provider) or SaaS (Software as a Service), has been used. In this embodiment, the software is executed on the server, while the client computer is connected to the server via the network. Therefore, the software executed by the server can be used by the client like a service.
かかる形態においては、サーバの利用資格を確認するために認証が行われる。例えば利用資格を有する者、および/または、コンピュータであるか否かの認証が行われる。特許文献1はこのようなSaaSにおける認証の一例を開示している。
In such a form, authentication is performed to confirm the usage qualification of the server. For example, a person who is qualified to use and / or whether or not it is a computer is authenticated.
ここで、前記認証には、例えば利用者のIDとパスワードとを用いた認証や、利用端末となるコンピュータに固有の符号(例えばMACアドレスなど)を用いた認証が行われることで、予め利用資格を付与されている利用者であるか、あるいは、予め登録されているコンピュータからの利用であるかを判断する。 Here, in the authentication, for example, authentication using a user's ID and password or authentication using a code unique to the computer as the user terminal (for example, MAC address) is performed, so that the user qualification can be used in advance. It is determined whether the user is given the password or the user is using the computer registered in advance.
ところで、前記SaaSのような形態においては、利用端末がネットワークを介してサーバに接続可能であり、かつ、前述のような認証により利用資格が確認できると、利用端末の場所を問わずサーバに接続できることとなる。かかる点は、SaaSのような形態の利点である一方、機密保持などの観点から、利用可能な場所を制限したい場合も存在する。 By the way, in the form like SaaS, if the user terminal can connect to the server via the network and the user qualification can be confirmed by the above-mentioned authentication, the user terminal can be connected to the server regardless of the location of the user terminal. You will be able to do it. While such a point is an advantage of the form like SaaS, there are cases where it is desired to limit the available place from the viewpoint of confidentiality and the like.
本発明は、かかる課題を解決するためになされたものであり、位置情報を用いた認証システムに関するものである。 The present invention has been made to solve such a problem, and relates to an authentication system using location information.
第1発明の要旨とするところは、(a)利用端末の位置に関する情報と、利用者の識別情報とを送信する送信部と、(b)利用者が認証可能な位置についての情報が利用者ごとに記憶された利用可能位置データベースと、(c)利用者の利用資格についての情報が利用者ごとに記憶された認証データベースと、(d)前記送信部から送信された利用端末の位置に関する情報と前記利用可能位置データベースに記憶された情報とに基づいて前記利用者があらかじめ設定されたサービスの利用可能位置にあるかを判定する位置認証部と、(e)前記位置認証部により前記利用者が前記利用可能位置にあると判定された場合に、前記送信部から送信された利用者の識別情報および前記認証データベースに記憶された情報基づいて前記利用者のサービスの利用資格の有無を判定する利用資格認証部と、を有すること、を特徴とする位置情報を用いた認証システムである。 The gist of the first invention is that (a) a transmitter that transmits information about the position of the user terminal and user identification information, and (b) information about a position that the user can authenticate is the user. The available location database stored for each user, (c) the authentication database stored for each user with information about the user's usage qualification, and (d) the information about the location of the user terminal transmitted from the transmitter. A position authentication unit that determines whether or not the user is in a preset available position of the service based on the information stored in the available location database, and (e) the user by the location authentication unit. When it is determined that the user is in the available position, it is determined whether or not the user is eligible to use the service based on the user's identification information transmitted from the transmitter and the information stored in the authentication database. It is an authentication system using location information, which is characterized by having a usage qualification authentication unit.
かかる第1発明によれば、前記位置認証部により、前記送信部から送信された利用端末の位置に関する情報と前記利用可能位置データベースに記憶された情報とに基づいて前記利用者があらかじめ設定されたサービスの利用可能位置にあるかが判定され、前記位置認証部により前記利用者が前記利用可能位置にあると判定された場合には、前記利用資格認証部により、前記送信部から送信された利用者の識別情報および前記認証データベースに記憶された情報に基づいて前記利用者のサービスの利用資格の有無が判定される。 According to the first invention, the user is preset by the location authentication unit based on the information regarding the position of the user terminal transmitted from the transmission unit and the information stored in the available position database. When it is determined whether the service is in the available position and the location authentication unit determines that the user is in the available position, the usage qualification authentication unit transmits the usage from the transmission unit. Whether or not the user is eligible to use the service is determined based on the identification information of the person and the information stored in the authentication database.
好適には、(f)前記認証データベースは、複数のサービスのそれぞれについて、利用者の利用資格についての情報を利用者ごとに記憶するものであり、(g)前記利用資格認証部は、前記複数のサービスのそれぞれについて、前記利用者の利用資格の有無を判定するものである。このようにすれば、複数のサービスが提供される場合においてその複数のサービスのそれぞれについて利用資格の有無を判定できる。 Preferably, (f) the authentication database stores information about the user's usage qualification for each of the plurality of services, and (g) the usage qualification authentication unit has the plurality of users. For each of the services of the above, it is determined whether or not the user is qualified to use the service. In this way, when a plurality of services are provided, it is possible to determine whether or not there is a usage qualification for each of the plurality of services.
好適には、(h)前記利用資格認証部は、前記複数のサービスのそれぞれを提供するサーバのそれぞれについて前記利用者を利用可能な状態にするための情報を送信する送信部を有するものである。このようにすれば、前記サーバについて前記利用者を利用可能な状態にするための情報を予め利用者が保持しないことから、セキュリティの向上が図れる。 Preferably, (h) the user qualification authentication unit has a transmission unit that transmits information for making the user available for each of the servers that provide each of the plurality of services. .. By doing so, the user does not hold the information for making the user available for the server in advance, so that the security can be improved.
好適には、(i)前記利用端末の位置に関する情報は、前記利用端末の位置を測位によって得られる位置情報である。このようにすれば、自動的に利用端末の位置を取得することができる。 Preferably, (i) the information regarding the position of the user terminal is the position information obtained by positioning the position of the user terminal. By doing so, the position of the terminal to be used can be automatically acquired.
好適には、(j)前記利用端末の位置に関する情報は、前記利用端末が通信可能な位置固定に設置された位置固定端末にあらかじめ一意に付与された位置固定端末識別情報であり、(k)前記利用可能位置データベースは、前記利用者が認証可能な位置についての情報を、前記利用者の識別情報と前記位置固定端末識別情報との組み合わせとして記憶していることを特徴とする。このようにすれば、利用端末の位置に関する情報は、事前に付与したものとなるので、その後の改竄を防止することができる。 Preferably, (j) the information regarding the position of the user terminal is the position-fixed terminal identification information uniquely given in advance to the position-fixed terminal installed in the position-fixed position with which the user terminal can communicate, and (k). The available position database is characterized in that information about a position that can be authenticated by the user is stored as a combination of the user's identification information and the position-fixed terminal identification information. By doing so, the information regarding the position of the terminal to be used is given in advance, so that subsequent falsification can be prevented.
以下、本発明の一実施例について、図面を参照しつつ詳細に説明する。 Hereinafter, an embodiment of the present invention will be described in detail with reference to the drawings.
図1は、本発明の位置情報を用いた認証システム10(以下単に、「認証システム10」ともいう。)の構成の一例を説明する図である。認証システム10には、利用者端末12、位置認証端末(位置認証デバイス)14、アクセスポイント16、認証サーバ22、データベースとしての記憶装置24、アプリケーションサーバ26を含む。図1においては、複数の位置認証端末14として3つの位置認証端末14A、14B、14Cがそれぞれ異なる位置に設けられている。アプリケーションサーバ26として、2つのアプリケーションサーバ26A、26Bが設けられている。これらアプリケーションサーバ26A、26Bはたとえば異なるアプリケーションを提供するもので、利用者自身が、アプリケーションサーバ26A、26Bのいずれを利用したいかを指定するようになっている。なお、以下の説明において、複数の位置認証端末14A乃至Bのそれぞれを区別しない場合には、単に位置認証端末14という。アプリケーションサーバ26についても同様である。また、アクセスポイント16、認証サーバ22、記憶装置24、アプリケーションサーバ26は、インターネットなどのネットワーク30に接続されており、相互に通信可能とされている。ネットワーク30を介した各装置間の通信は、適宜暗号化などの手段が取られてもよい。
FIG. 1 is a diagram illustrating an example of a configuration of an authentication system 10 (hereinafter, also simply referred to as “
利用者端末12および位置認証デバイス14は、それぞれアクセスポイント16に対して無線通信により相互に通信可能に接続されている。その結果、利用者端末12および位置認証デバイス14はそれぞれネットワーク30に接続された装置と前記ネットワーク30を介して通信可能とされている。また、利用者端末12と位置認証デバイス14とは、相互に通信可能とされている。ここで、利用者端末12と位置認証デバイス14とが相互に通信可能であることは、利用者端末と位置認証デバイス14とが同じ位置にあることとみなすことができるように、利用者端末と位置認証デバイス14との無線通信の規格や周波数、電波強度などが選択される。なお、本実施例における3つの位置認証デバイス14A、14B、14Cは、単に位置が異なるのみならず、位置認証デバイス14A、14B、14Cのそれぞれと利用者端末12との無線通信可能な範囲が重複しないように配置されている。
The
図2は、利用者端末12の有する機能の一部を説明する機能ブロック図である。利用者端末12は、いわゆるパーソナルコンピュータPCやタブレット型コンピュータなどであり、入出力装置を用いて利用者が操作することで、後述するように位置認証デバイス14、認証サーバ22、アプリケーションサーバ26に対して情報の送受信を含む作動を行う。
FIG. 2 is a functional block diagram illustrating a part of the functions of the
利用者端末12は、図2に示すように、ユーザ認証要求部52、ユーザ情報送信部54、サービス認証情報取得部56、サービス認証要求部58、サービス切断実行部59を機能的に有している。ユーザ認証要求部52は、例えば、キーボードやタッチパネルなどの入力装置から入力された認証サーバ22用のユーザ認証情報、具体的には例えばユーザIDおよびパスワードを、後述するユーザ情報送信部54、および、無線通信部60を介して後述する認証サーバ22のユーザ認証部74にそれぞれ送信する。
As shown in FIG. 2, the
ユーザ情報送信部54は、ユーザ認証要求部52に入力されたユーザ認証情報を、位置認証端末14のユーザ・位置情報送信部64や、認証サーバ22のユーザ認証部74に無線通信部60を介して送信する。
The user information transmission unit 54 transmits the user authentication information input to the user
無線通信部60は、例えば無線LANやBluetooth(登録商標)などの規格にしたがって、無線通信を行う。
The
サービス認証情報取得部56は、前記ユーザ認証情報を、後述の認証サーバ22のサービス認証情報発行部80に送信するとともに、認証の結果サービスが利用できる場合には、アプリケーションサーバ26の利用のためのサービス認証情報をサービス認証情報発行部80から取得する。
The service authentication
サービス認証要求部58は、サービス認証情報取得部56がサービス認証情報発行部80から認証情報を取得した場合に、前記認証情報を用いて、認証情報に対応するアプリケーションサーバ26のサービス認証部94に対して、利用のための認証を要求する。
When the service authentication
サービス切断実行部59は、いったんサービス認証要求部58がアプリケーションサーバ26に要求した認証に基づいてそのアプリケーションサーバ26が利用可能となった場合において、利用者端末12がアプリケーションサーバ26の利用をするための要件を満たさなくなった場合に、認証サーバ22などからの命令にしたがって、その利用者端末12によるアプリケーションサーバ26の利用を終了させる。
The service disconnection execution unit 59 is for the
図3は、位置認証端末14の有する機能の一部を説明する機能ブロック図である。位置認証端末14は、予め定められた位置に移動不能に固定されて配設される。位置情報記憶部62は、位置認証端末14の配設された場所(位置)についての情報、すなわち位置情報を記憶するものであって、例えば、予め設定された書き込み権限を有する者である認証システム10の管理者などによって予め書き込まれている。書き込みの際には、ユーザ名とパスワードとの組み合わせにより書き込み権限を有するか否かの認証が行われてもよい。この書き込みは、無線通信部66を介した無線通信によって行われてもよいし、図示しないインタフェースに一時的に接続されたキーボードなどの入力手段によって行われてもよい。位置情報記憶部62に記憶された位置情報は、利用者や第三者によって改竄されることが困難となるように、例えば暗号化されるなどして記憶されている。
FIG. 3 is a functional block diagram illustrating a part of the functions of the
ユーザ・位置情報送信部64は、利用者端末12のユーザ情報送信部54から送信されたユーザ認証情報と、前記位置情報記憶部62に記憶された位置認証端末14の位置情報とを、後述する認証サーバ22の位置情報収集部76に、無線通信部66を介して送信する。ユーザ・位置情報送信部64による位置情報の送信は、予め定められた所定の間隔ごとに行われる。なお、前述のユーザ情報送信部54およびユーザ・位置情報送信部64が、本発明の送信部に対応する。
The user / location information transmission unit 64 will describe later the user authentication information transmitted from the user information transmission unit 54 of the
無線通信部66は、利用者端末12の無線通信部60と同様に、例えば無線LANやBluetooth(登録商標)などの規格にしたがって、無線通信を行う。
Similar to the
図4は、認証サーバ22の有する機能の一部を説明する機能ブロック図である。認証サーバ22は、CPU(中央演算装置)、RAM、ROMなどの主記憶装置、ハードディスク装置などの補助記憶装置などを備え、それら記憶装置に記憶されたプログラムをCPUにより実行することで機能を生ずるいわゆるコンピュータである。認証サーバ22は、ハードウェアとしてネットワークインタフェース72を有するとともに、ユーザ認証部74、位置情報収集部76、位置認証部78、サービス認証情報発行部80、ログイン状態確認部82などを機能的に有して構成されている。
FIG. 4 is a functional block diagram illustrating a part of the functions of the
ネットワークインタフェース72は、認証サーバ22をネットワーク30に情報通信可能に接続する。これにより認証サーバ22はネットワーク30を介して利用者端末12、位置認証端末14、記憶装置24、アプリケーションサーバ26などを情報通信可能となる。
The
ユーザ認証部74は、利用者端末12のユーザ認証要求部52から送信されるユーザ認証情報に、あるいは、位置認証端末14のユーザ・位置情報送信部64から送信されるユーザ認証情報に基づき、ユーザがアプリケーションサーバ26の利用権限を有するか否かを判断する。この判断は、ユーザ認証要求部52から送信されるユーザ認証情報と、後述する記憶装置24のSSO認証データベース90に記憶されている利用者情報とが一致するか否かに基づいて、ユーザ自身の認証を行うとともに、SSO認証データベース90に記憶されている情報に基づいて、当該ユーザがアプリケーションサーバ26の利用権限を有しているか否かを判断する。このユーザ認証部74が、本発明の利用資格認証部に対応する。
The
位置情報収集部76は、位置認証端末14のユーザ・位置情報送信部64から送信された前記ユーザIDと位置認証端末14の位置情報とを取得する。また、位置情報収集部76は、時刻情報、具体的には例えば、位置認証端末14のユーザ・位置情報送信部64における送信時刻、もしくは位置情報収集部76における受信時刻などの情報とともに、記憶装置24の位置情報データベース86に記憶させる。
The location
位置認証部78は、位置情報収集部76が収集した前記ユーザIDと位置認証装置14の位置情報とを、記憶装置24の位置情報認証データベース88の情報と照合することにより、前記ユーザIDに対応する利用者が、アプリケーションサーバ26の利用をするのに予め許可された位置にいるか否かを判断する。具体的には、後述する位置情報認証データベース88には、ユーザIDごとに、アプリケーションサーバ26を利用することができる位置についての情報が格納されており、位置認証部78は、前記位置情報が、前記アプリケーションサーバ26を利用することができる位置と一致するか否かを判断し、一致する場合には、当該利用者はアプリケーションサーバ26を利用可能であると判断(位置認証)する。このように、本実施例における位置の一致とは、物理的な位置の一致のみならず、利用者端末12の位置がある位置認証端末14の通信範囲内にある場合に、その位置認証端末14の位置がアプリケーションサーバ26を利用することができる位置に該当する場合を含むものである。これは、当該利用者が利用している利用者端末12と、その利用者端末12からユーザ認証情報を送信した位置認証端末14とが直接、もしくはアクセスポイント16を介して近距離通信可能であることから、それら利用者端末12と位置認証端末14とが近傍に位置しているとみなせることに基づき、位置認証端末14の位置情報がアプリケーションサーバ26を利用することができる位置である場合には、利用者端末12もアプリケーションサーバ26を利用することができると判断するためである。
The
サービス認証情報発行部80は、前述のユーザ認証部74によるユーザ認証、および、位置認証部78による位置認証のいずれもが正当であると判断された場合に、利用者端末12に対して、アプリケーションサーバ26を利用するための情報である、サービス認証情報を発行し、送信する。このサービス認証情報は、例えばアプリケーションサーバ26を利用するためのIDおよびパスワードを含む情報である。サービス認証情報発行部80が、本発明のサービス認証情報送信部に対応する。
The service authentication
ログイン状態確認部82は、サービス認証情報発行部80により一度サービス認証情報が発行された利用者について、前記位置認証部78による位置認証が継続して行われているか否かを判断する。そして、ログイン状態確認部82は、一度は位置認証部78による位置認証が成立したものの、その後成立しなくなった場合、すなわち、利用者の位置がアプリケーションサーバ26を利用することができる位置と一致しなくなった場合には、当該利用者について、いったん発行されたサービス認証情報発行部80によるサービス認証情報の効果を停止させる措置を行う。具体的にはたとえば、前述のサービス切断実行部59から、たとえば30秒ごとのように予め定められた時間間隔で、ログイン状態確認部82に位置認証が成立したか否かの問い合わせが行われる。この問い合わせを受けたログイン状態確認部82は、位置認証部78による利用者端末12の位置認証の結果を参照する。ここで、位置認証部78による利用者端末12の位置認証は、ユーザ・位置情報送信部64により所定間隔で送信される位置情報のうち、その時点から遡って最も近いものを用いて行われる。そして、位置認証部78による認証が不成立であった場合には、ログイン状態確認部82は、サービス切断実行部59に対して、位置認証が不成立であったことを示す情報を送信する。この情報を受け取ったサービス切断実行部59は、利用者端末12をアプリケーションサーバ26から強制的にログアウトさせるための作動を実行する。具体的には、前記利用者端末12のサービス切断実行部59は、該当の利用者端末12を、アプリケーションサーバ26から強制的にログオフ(ログアウト)させたり、あるいは、アプリケーションサーバ26に保存されている利用者端末12とのセッション情報を削除して、利用者端末12とアプリケーションサーバ26とのログイン状態での通信を継続できなくする。このように、いったん位置認証部78による認証が行われ、サービス認証情報発行部80によりサービス認証情報が発行された場合であっても、その後に利用者端末12が予め許可された位置と異なる位置に移動したような場合に、アプリケーションサーバ26の利用が継続できなくすることができる。
The login
図5は、記憶装置24の有する機能の一部を説明する機能ブロック図である。記憶装置24は、ハードウェアとしてネットワークインタフェース84を有するとともに、位置情報データベース86、位置情報認証データベース88、SSO認証データベース90などを機能的に有して構成されている。すなわち、ネットワークを介してデータベースを提供するデータベースサーバである。ネットワークインタフェース84は、記憶装置24をネットワーク30に情報通信可能に接続する。これにより認証サーバ22はネットワーク30を介して利用者端末12、位置認証端末14、認証サーバ22、アプリケーションサーバ26などと情報通信可能となる。これにより、位置情報データベース86、位置情報認証データベース88、SSO認証データベース90は、ネットワークを介して情報の入力を受け付けたり、問い合わせに対して出力したりすることができる。
FIG. 5 is a functional block diagram illustrating a part of the functions of the
位置情報データベース86は、位置認証端末14のユーザ・位置情報送信部64により送信され、認証サーバの位置情報収集部76によって収集された情報を蓄積する。具体的には、位置情報データベース86は、少なくともユーザID、位置認証端末14の位置情報、および時刻情報とを関連づけて記憶する。時刻情報とは、具体的には例えば、位置認証端末14のユーザ・位置情報送信部64における送信時刻、もしくは位置情報収集部76における受信時刻などの情報である。図6は、位置情報データベース86に格納される情報の一例を表形式で示したものである。図6には、利用者「ユーザ1」が、時系列的に「位置認証端末01」にとどまっていることを示す例が表示されている。ここで、「位置認証端末01」とは、位置認証報端末01(位置認証端末14A乃至14Cのいずれか1つ)を表す、予め付された固有の符号を示している。位置認証端末02、03についても同様である。
The location information database 86 is transmitted by the user / location information transmission unit 64 of the
図5に戻って、位置情報認証データベース88は、各利用者のそれぞれについて、アプリケーションサーバ26の利用が許可されている位置(許可位置)についての情報が記憶されている。具体的には、位置情報認証データベース88は、ユーザID、対象となるアプリケーションサーバ26を特定する情報、および、そのアプリケーションサーバ26に対応する許可位置についての情報が記憶される。図7は、位置情報認証データベース88に記憶される情報の一例を表形式で示したものである。図7には、利用者「ユーザ1」がアプリケーションサーバ「サーバA」を利用する場合には、位置「位置認証端末01」に、また、アプリケーションサーバ「サーバB」を利用する場合には位置「位置情報端末02」にある必要があることなどを示している。この位置情報認証データベース88が、本発明の利用可能位置データベースに対応する。
Returning to FIG. 5, the location
図5に戻って、SSO認証データベース90は、各利用者のそれぞれについて、ユーザ認証を行うための、ユーザIDとパスワード(もしくはそのハッシュ値など、パスワードと一対一に対応するもの)、および、ユーザ認証が成立した場合のアプリケーションサーバ26を利用するための認証情報を記憶する。認証情報とは、例えばアプリケーションサーバ26を利用するためのIDおよびパスワードである。図8は、SSO認証データベース90に記憶される情報の一例を表形式で示したものである。図8は、利用者「ユーザ1」のユーザ認証を行うためのパスワードハッシュ値と、ユーザ1がアプリケーションサーバ「サーバA」および「サーバB」を利用するためのそれぞれのアプリケーションサーバのユーザIDとパスワードなどが格納された例を示している。
Returning to FIG. 5, the
図9は、アプリケーションサーバ26の有する機能の一部を説明する機能ブロック図である。アプリケーションサーバ26は必ずしも本発明の認証システム10を構成するものではないが、本発明の認証システム10により認証を受けることにより、利用可能となる。アプリケーションサーバ26は、CPU(中央演算装置)、RAM、ROMなどの主記憶装置、ハードディスク装置などの補助記憶装置などを備え、それら記憶装置に記憶されたプログラムをCPUにより実行することで機能を生ずるいわゆるコンピュータである。
FIG. 9 is a functional block diagram illustrating a part of the functions of the
ネットワークインタフェース92は、アプリケーションサーバ26をネットワーク30に情報通信可能に接続する。これによりアプリケーションサーバ26は、ネットワーク30を介して利用者端末12、位置認証端末14、認証サーバ22、記憶装置24などを情報通信可能となる。
The
サービス認証部94は、利用者端末12のサービス認証要求部58から送信されたアプリケーションサーバ26の認証情報に基づき、アプリケーションサーバ26の利用資格を判断する。具体的には、サービス認証要求部58から送信された認証情報が、アプリケーションサーバ26に予め記憶されている利用者の認証情報と一致するか否かを判断し、一致した場合には、当該利用者にアプリケーションサーバ26の利用を許可する。
The service authentication unit 94 determines the usage qualification of the
アプリケーション提供部96は、前記サービス認証部94において認証された利用者に対して、そのアプリケーションを提供する。具体的には当該利用者の利用者端末12からの入力を受け付け、その入力に対し、アプリケーションを作動させて、所定の出力や画面表示などを当該利用者端末12に送信する。
The
図10および11は、本発明の認証装置10による、位置情報を利用した認証作動の一例を説明するフローチャートである。紙面の都合上、図10と図11とに分けているが、それらは一連のものとして実行されうる。
FIGS. 10 and 11 are flowcharts illustrating an example of an authentication operation using position information by the
まず、ステップS1(以下適宜、「ステップ」を略す。)において管理者により、位置認証端末14の位置情報記憶部62に、その位置情報端末14の位置に関する情報が入力されて、記憶させられる。この位置に関する情報(位置情報)は、例えば、緯度および経度のように絶対的な位置そのものを表す情報であってもよいし、個々の位置認証端末14を識別することのできる符号であってもよい。すなわち、個々の位置認証端末14を識別することにより、その位置認証端末14に無線通信可能な利用者端末12が存在した場合、かかる利用者端末12は位置認証端末14に無線通信可能な程度に近接した位置にあることが把握できるためである。
First, in step S1 (hereinafter, “step” is abbreviated as appropriate), the administrator inputs and stores information about the position of the
次いで、S2においては、アプリケーションサーバ26を利用したい利用者が、利用者端末12において、認証サーバ22のユーザ認証情報、具体的にはユーザIDとパスワードを入力する。この入力されたユーザ認証情報は、ユーザ認証要求部52に渡される。
Next, in S2, the user who wants to use the
S3は、利用者端末12のユーザ認証要求部52などに対応するもので、S2において入力されたユーザ認証情報が、ネットワーク30を介して、認証サーバ22のユーザ認証部74に送信される。
S3 corresponds to the user
S4は、認証サーバ22のユーザ認証部74などに対応するもので、S3において送信されたユーザ認証情報が正しいものであるか否かを、記憶装置24のSSO認証データベース90に予め記憶された利用者情報と照合することで判断する。送信されたユーザ認証情報と予め記憶された利用者情報とが一致する場合には、S3で送信されたユーザ認証情報は正しいものであると判断され、認証が完了したことが通知発行される。この認証完了通知は、利用者端末12のユーザ認証要求部52に送信される。
S4 corresponds to the
S5は、利用者端末12のユーザ認証要求部52などに対応するもので、S4において認証サーバ22から送信された認証情報がユーザ情報送信部54に送られる。
S5 corresponds to the user
S6は、利用者端末12のユーザ情報送信部54などに対応するもので、S5において受け取った認証情報に含まれるユーザ情報が、位置認証端末14のユーザ・位置情報送信部64に送信される。このユーザ情報は、例えば、S2において入力されたユーザIDである。
S6 corresponds to the user information transmission unit 54 of the
S7は、位置認証端末14の位置情報記憶部62などに対応するもので、S1において記憶された当該位置認証端末14の位置情報が、ユーザ・位置情報送信部64に送信される。
S7 corresponds to the position
S8は、位置認証端末14のユーザ・位置情報送信部64などに対応するもので、S6において送信されたユーザ情報と、S7において送信された位置情報とが、認証サーバ22の位置情報収集部76に送信される。
S8 corresponds to the user / location information transmission unit 64 of the
S9は、認証サーバ22の位置情報収集部76などに対応するもので、S8において送信されたユーザ情報と位置情報、さらに、それらの情報についての時刻情報が、記憶装置24の位置情報データベース86に記憶させられる。ここで、時刻情報は、例えば位置情報収集部76においてユーザ情報と位置情報とが受信された時刻である。これにより、認証されたユーザIDに係る利用者が利用している利用者端末12の位置を、その利用者端末12が無線通信している位置認証端末14の位置情報とみなすことにより、ユーザIDと、利用者端末12の位置、および、その位置にあった時刻をデータエントリとして位置情報データベース86に記録することができる。
S9 corresponds to the location
図10に示すフローチャートのうち、S6乃至S8を所定の間隔で反復実行することにより、位置情報データベース86には、利用者端末12の位置を時間経過に伴って記録することができる。
By repeatedly executing S6 to S8 at predetermined intervals in the flowchart shown in FIG. 10, the position of the
図11に移って、S11においては、利用者端末12の入力装置などを用いて、ユーザによりユーザIDとパスワードからなるユーザ認証情報が入力される。なお、図10に示すフローチャートに引き続いてS11が実行される場合においては、このS11の実行に代えて、図10のS2において入力されたユーザ認証情報が用いられてもよい。
Moving to FIG. 11, in S11, the user authentication information including the user ID and the password is input by the user using the input device of the
S12は、利用者端末12のサービス認証情報取得部56などに対応するものであって、S11もしくはS2において入力されたユーザ認証情報が、認証サーバ22のサービス認証情報発行部80に送信される。
S12 corresponds to the service authentication
S13は、サービス認証情報発行部80などに対応するものであって、S12において送信されたユーザ認証情報がユーザ認証部74に送信される。
S13 corresponds to the service authentication
S14は、ユーザ認証部74などに対応するものであって、S13において送信されたユーザ認証情報の認証が行われる。この認証は、前述のS4と同様の手順によって実行される。認証が行われると、サービス認証情報発行部80に対して認証完了の通知がなされる。この認証完了の通知は、ユーザ認証、すなわち、ユーザIDとパスワードとの組み合わせについて正当なものであったという判断結果に対応したものである。
S14 corresponds to the
S15は、サービス認証情報発行部80などに対応するものであって、S14において発行された認証情報を位置認証部78に対して送信し、位置情報を用いた認証を要求する。
S15 corresponds to the service authentication
S16乃至S20は位置認証部78などに対応する。このうち、S16においては、S15において位置認証部78に送信されたユーザ情報に基づいて、当該ユーザ情報に該当する利用者の最新の位置情報の問い合わせを、位置情報データベース86に行う。S17においては、S16における問い合わせに対する回答が、位置情報データベース86から位置認証部に送信される。これにより、S12における利用者情報に対応する利用者の位置についての情報が得られる。
S16 to S20 correspond to the
S18においては、S15において位置認証部78に送信されたユーザ情報に基づいて、当該ユーザ情報に該当する利用者についての、アプリケーションサーバ26を利用することが予め許可された位置についての情報の問い合わせを、位置情報認証データベース88に行う。S19においては、S18における問い合わせに対する回答が、位置情報認証データベース88から位置認証部に送信される。これにより、S12における利用者情報に対応する利用者がアプリケーションサーバ26を利用することのできる位置についての情報が得られる。
In S18, based on the user information transmitted to the
S20においては、S17において得られた利用者の最新の位置と、S19において得られた、その利用者がアプリケーションサーバ26を利用することができる位置とが一致するか否かの判断が行われる。両者が一致した場合には、認証が成立された旨の判断がされ、その利用者にアプリケーションサーバ26の利用を許可するための認証情報が発行され、サービス認証情報発行部80に送信される。なお、図7におけるユーザ1の例で示すように、利用することのできるアプリケーションサーバ26である「サーバA」および「サーバB」のそれぞれについて、異なる許可位置である「位置認証端末01」および「位置認証端末02」が設定されている場合には、位置情報データベース86から得られたユーザ1の位置に応じて利用可能なアプリケーションサーバ26が決定される。すなわち、ユーザ1が「位置認証端末01」にあれば「サーバA」の利用許可が、また、「位置認証端末02」にあれば「サーバB」の利用許可がなされる。
In S20, it is determined whether or not the latest position of the user obtained in S17 and the position obtained in S19 where the user can use the
S21乃至S22はサービス認証情報発行部80などに対応する。このうち、S21においては、S12において送信された利用者情報に係る利用者について、S20においてアプリケーションサーバ26を利用するための認証情報が発行されたことに基づいて、アプリケーションサーバ26を利用するためのサービス認証情報をSSO認証データベース90に問い合わせる。
S21 to S22 correspond to the service authentication
S22においては、S21における問い合わせの回答として、当該利用者のサービス認証情報がサービス認証情報発行部80に送信される。このサービス認証情報は、アプリケーションサーバ26を利用する際に行われる認証のための情報であって、たとえば、当該利用者がアプリケーションサーバ26を利用するために入力するユーザIDおよびパスワードの組み合わせである。このとき、利用可能なアプリケーションサーバ26が複数該当すると判断された場合には、それら複数の利用可能なアプリケーションサーバ26についてのサービス認証情報が発行される。
In S22, the service authentication information of the user is transmitted to the service authentication
S23はサービス認証情報発行部80などに対応するもので、S22で得られたサービス認証情報を利用者端末12のサービス認証情報取得部56に送信する。
S23 corresponds to the service authentication
なお、S16乃至S23は、前記サービス切断実行部59からの要求に伴って、たとえば30秒ごとのような所定の間隔で繰り返し実行される。認証サーバ22におけるこの繰り返し作動がログイン状態確認部82に対応する。繰り返しの過程において、利用者端末12の位置が、アプリケーションサーバ26を利用することのできる位置でなくなったことがS20において判断された場合(認証不成立)には、S22およびS23の実行に代えて、それまでのフローチャートの実行過程においてS22で発行されたサービス認証情報を無効にするため、利用者端末12をアプリケーションサーバ26から強制的にログオフさせたり、あるいは、アプリケーションサーバ26に保存されている利用者端末12とのセッション情報を削除するための命令が発行される。あるいは、利用者端末12の位置がアプリケーションサーバ26を利用することのできる位置に継続して存在している場合には、S16乃至S23の反復実行に伴って、利用者端末12はサービス認証情報を一定期間ごとに受け取ることとなる一方、認証サーバ22との通信が途切れた場合にはサービス認証情報を受け取ることができなくなる。このように、利用者端末がサービス認証情報を無効にする情報を受け取った場合や、たとえば前述のフローチャートの実行間隔の数倍程度の時間においてサービス認証情報の受信がなかった場合には、利用者端末12はアプリケーションサーバ26の利用資格を失ったものと判断して、既に開始していたアプリケーションサーバ26との接続を切断することができる。これらの作動は、前述のサービス切断実行部59に対応する。
Note that S16 to S23 are repeatedly executed at predetermined intervals, for example, every 30 seconds, in response to a request from the service disconnection execution unit 59. This repeated operation in the
S24乃至S25は、利用者端末12におけるステップである。S24はサービス認証情報取得部56などに対応し、S23で受信したサービス認証情報をサービス認証要求部58に渡す。S25はサービス認証要求部58などに対応し、S24において受け渡されたサービス認証情報をアプリケーションサーバ26のサービス認証部94に送信することで、アプリケーションサーバ26による認証を要求する。このとき、利用者の選択により複数のアプリケーションサーバ26のうち、利用したいアプリケーションサーバ26に対し、接続を試みる。
S24 to S25 are steps in the
なお、S23において発行された各アプリケーションサーバ26のサービス認証情報において、利用者が利用したいアプリケーションサーバ26のものがなかった場合には、利用者が少なくともその位置においてはアプリケーションサーバ26の利用権限を有さないものとされ、アプリケーションサーバ26の利用をすることができない。
If the service authentication information of each
アプリケーションサーバ26においては、フローチャートにおける図示を省略するが、そのサービス認証部94により、S25により受信したサービス認証情報が適切なものであるか否かが判断される。そして、サービス認証情報が適切なものであった場合には、アプリケーション提供部96による利用者端末12へのアプリケーションの提供が許可される。
In the
ここで、S23においてサービス認証情報取得部56が受信したサービス認証情報は、利用者端末12の内部において、サービス認証情報取得部56からサービス認証部58に受け渡されるので、サービス認証情報を画面に表示させたり、あるいは、利用者端末12を操作する利用者が自ら入力する必要がなく、そのため、その内容を利用者の目に触れさせないことが可能となる。
Here, the service authentication information received by the service authentication
本実施例の認証システム10によれば、位置認証部78により、ユーザ情報送信部54やユーザ・位置情報送信部64から送信された利用端末の位置に関する情報およびユーザ識別情報と、位置情報認証データベース88に記憶された情報とに基づいて、前記利用者があらかじめ設定されたアプリケーションサーバ26の利用可能位置にあるかが判定され、位置認証部78により前記利用者が前記利用可能位置にあると判定された場合には、ユーザ認証部74により、ユーザ情報送信部54やユーザ・位置情報送信部64から送信された利用者の識別情報および位置情報認証データベース88に記憶された情報に基づいて前記利用者のサービスの利用資格の有無が判定される。そのため、予め決定された利用可能位置に対応する場所のみにおいて、利用者は利用者端末12からアプリケーションサーバ26を利用することができ、逆に言えば、予め決定された利用可能位置以外の場所では、利用者は利用者端末12からアプリケーションサーバ26を利用することができず、ネットワーク30を介してアプリケーションサーバ26を利用する際のセキュリティが向上する。
According to the
また、前述の実施例に係る認証システム10によれば、位置情報認証データベース88は、複数のアプリケーションサーバ26のそれぞれについて、利用者の利用資格についての情報である利用者情報を利用者ごとに記憶するものであり、ユーザ認証部74は、それら複数のアプリケーションサーバ26のそれぞれについて、前記利用者の利用資格の有無を判定するので、複数のサービスが提供される場合においてその複数のサービスのそれぞれについて利用資格の有無を判定できる。すなわち、複数のアプリケーションサーバ26の利用資格を有する利用者について、各アプリケーションサーバ26ごとに利用可能な位置を異ならせることができる。
Further, according to the
また、前述の実施例に係る認証システム10によれば、前記複数のアプリケーションサーバ26のそれぞれについて前記利用者を利用可能な状態にするためのサービス認証情報を送信するサービス認証情報発行部80を有するので、アプリケーションサーバ26について利用者を利用可能な状態にするための情報を予め利用者が保持しないことから、セキュリティの向上が図れる。すなわち、いわゆるシングルサインオンを実現できる。
Further, according to the
また、前述の実施例に係る認証システム10によれば、利用者端末12の位置、すなわち、位置認証端末14の位置に関する情報は、位置認証端末14にあらかじめ一意に付与された位置固定端末の識別情報であり、位置情報認証データベース88は、前記利用者が認証可能な位置についての情報を、前記利用者の識別情報と前記位置固定端末識別情報との組み合わせとして記憶しているので、位置認証端末14の位置情報記憶部62における情報は、事前に付与したものとなり、その後の改竄を防止することができる。
Further, according to the
続いて、本発明の他の実施例を図面に基づいて詳細に説明する。以下の説明において、実施例相互に共通する部分については同一の符号を付してその説明を省略する。 Subsequently, another embodiment of the present invention will be described in detail with reference to the drawings. In the following description, the parts common to each other in the examples are designated by the same reference numerals and the description thereof will be omitted.
図12は、本発明の認証システム10の別の実施例であって、前述の実施例1における位置認証端末14の別の態様を説明する図である。図10において、位置認証端末114は、前述の位置情報記憶部62、ユーザ・位置情報送信部64、無線通信部66に加えて、測位部61を有する点において、位置認証端末14と異なる。
FIG. 12 is another embodiment of the
測位部61は、自身の位置を測位するものであって、たとえば公知のGPS(Global Positioning System)を利用して、複数の衛星からの電波を受信して、それらの到達時間差に基づいて緯度経度を算出するものである。測位部61により測位された位置認証端末114の位置についての情報は、位置情報記憶部62に渡され、記憶される。
The
このようにすれば、管理者が一つ一つの位置認証端末114に予めその位置情報を入力する必要がなくなり、手間が軽減される。
By doing so, it is not necessary for the administrator to input the position information into each
また、前述の実施例に係る認証システム10によれば、前記利用者端末12の位置、すなわち、位置認証端末14の位置に関する情報は、前記位置認証端末14利用端末の位置を測位する測位部61によって得られる位置情報であるので、自動的に位置認証端末14利用端末の位置を取得され、位置情報記憶部62に記憶することができる。
Further, according to the
図13および図14はそれぞれ、位置情報認証データベース88、および、SSO認証データベース90に格納される情報の別の例を示す図である。図13および図14はそれぞれ前述の実施例1における図7および図8に対応する。
13 and 14 are diagrams showing another example of the information stored in the location
図13に示すように、本実施例の位置情報認証データベース88には、各利用者のそれぞれについて、アプリケーションサーバ26の利用が許可されている位置(許可位置)についての情報が記憶されており、特に利用者がアプリケーションサーバ26において異なる複数の権限を有する場合には、その権限ごとに許可位置についての情報が記憶されている。具体的には、位置情報認証データベース88は、ユーザID、対象となるアプリケーションサーバ26を特定する情報、および、そのアプリケーションサーバ26における利用権限の種類と、それに対応する許可位置についての情報が記憶される。図13は、位置情報認証データベース88に記憶される情報の一例を表形式で示したものである。図13には、利用者「ユーザ1」がアプリケーションサーバ「サーバA」を利用権限「一般利用者」で利用する場合には、位置「位置認証端末01」または「位置認証端末03」のいずれかにあればよい一方、また、「ユーザ1」が「サーバA」を利用権限「管理者」として利用する場合には位置「位置情報端末01」にある必要があることなどを示している。
As shown in FIG. 13, the location
また、図14に示すように、本実施例のSSO認証データベース90には、各利用者のそれぞれについて、ユーザ認証を行うための、ユーザIDとパスワード(もしくはそのハッシュ値など、パスワードと一対一に対応するもの)、および、ユーザ認証が成立した場合のアプリケーションサーバ26を利用するための認証情報をそのアプリケーションサーバ26の利用権限ごとに記憶する。具体的には、図14に示すように、利用者「ユーザ1」のユーザ認証を行うためのパスワードハッシュ値と、ユーザ1がアプリケーションサーバ「サーバA」を利用権限「一般利用者」で利用するためのアプリケーションサーバ26のユーザIDとパスワードと、「ユーザ1」が「サーバA」を利用権限「管理者」で利用する場合のユーザIDとパスワードなどが格納された例を示している。
Further, as shown in FIG. 14, the
本実施例の認証システム10によれば、利用者がアプリケーションサーバ26に対して複数の異なるレベルの利用権限を有する場合に、それら利用権限ごとに利用可能位置を設定することができる。すなわち、利用者端末12の出力装置(ディスプレイなど)に機密が表示されるなど、特に注意を払う必要がある利用態様などについて、セキュリティが担保された場所のみでアプリケーションサーバ26にアクセスすることを許容するなどの態様が可能となる。
According to the
以上、本発明の実施例を図面に基づいて詳細に説明したが、本発明はその他の態様においても適用される。 Although the embodiments of the present invention have been described in detail with reference to the drawings, the present invention is also applicable to other aspects.
例えば、記憶装置24は前述の実施例においては、ネットワーク30に接続される形態が採用されたが、かかる態様に限定されず、認証サーバ22に読み書き可能に接続されていればよく、認証サーバ22や他のコンピュータなどを介してネットワークに接続されていてもよいし、認証サーバ22の内部にストレージデバイスとして設けられてもよい。
For example, in the above-described embodiment, the
前述の実施例においては、利用者端末12、位置認証デバイス14、および、アクセスポイント16との通信は相互に無線によって行われ、その無線通信における通信可能距離を、位置認証端末14と利用者端末12とが同一場所にあるとみなせる程度の仕様とすることが好ましい。しかしながら、かかる態様に限られず、たとえば、アクセスポイント16と位置認証端末14との通信、および、アクセスポイント16と利用者端末12との通信には比較的電波到達距離の長いIEEE 802.11などのような無線LAN規格を採用する一方、位置認証端末14と利用者端末12との直接通信は、Bluetoothのような比較的到達距離の短い規格に限定することもできる。
In the above-described embodiment, communication with the
また、アクセスポイント16と位置認証装置14、アクセスポイント16と利用者端末12との通信は、公衆携帯電話網によって接続されてもよい。かかる場合、アクセスポイント16は携帯電話の基地局に相当する。
Further, the communication between the
また、前述の実施例においては、利用者端末12と位置認証デバイス14とは、アクセスポイント16を介して無線により通信可能とされたが、かかる態様に限定されず、利用者端末12とアクセスポイント16、もしくは位置認証デバイス14とアクセスポイント16とが有線通信によって相互に通信可能とされてもよい。その場合も利用者端末12と位置認証デバイス14とは相互に無線により通信可能であって、その際の無線通信の規格や周波数、電波強度などが選択されることで、利用者端末と位置認証デバイス14とが同じ位置にあることとみなすことができる。
Further, in the above-described embodiment, the
また、前述の実施例においては、ユーザ認証情報は、たとえば、IDおよびパスワードが用いられたが、かかる態様に限られない。たとえば、指紋や静脈形状のような生体識別情報であってもよいし、あるいは、MACアドレスのような利用者端末に固有に付された符号を用いてもよい。 Further, in the above-described embodiment, for example, an ID and a password are used as the user authentication information, but the user authentication information is not limited to such an embodiment. For example, it may be biometric information such as a fingerprint or a vein shape, or a code unique to the user terminal such as a MAC address may be used.
また、前述の実施例においては、アクセスポイント16と位置認証端末14とは別個のハードウェアからなっていたが、これに限られず、両者が共通する1のハードウェアからなっていてもよい。
Further, in the above-described embodiment, the
位置認証装置14の位置情報記憶部62や、位置情報データベース86、位置情報認証データベース88などが記憶する位置情報は、予め位置認証装置14のそれぞれに付された、各位置認証装置14に固有の符号であったが、位置そのものを表す情報であってもよい。
The position information stored in the position
また、前述の実施例において、利用者端末12のサービス認証情報取得部56、サービス認証要求部58、および、認証サーバのサービス認証情報発行部80においては、いわゆるSSO(Single sign on)における代行入力方式に準じた振る舞いをするものとして説明したが、これに限られない。認証サーバ22における位置認証部78による認証が行われた後に、SSOにおけるリバースプロキシ方式やエージェント方式などに対応した情報のやりとりを利用者端末12と認証サーバ22との間で行うことも可能である。かかる場合においては、サービス認証情報発行部80(S23)によって発行されるサービス認証情報は、認証済みであることを示すCookieやトークンとなる。
Further, in the above-described embodiment, the service authentication
また、前述の実施例においては、位置認証デバイス14は14A、14B、14Cの3つを例示したが、これは一例に過ぎず、2つでも4以上であってもよいし、また、位置認証デバイス14が1つであって一定の効果を生ずる。同様に、アプリケーションサーバ26は2つの例が示されたが、この例に限定されず、3以上であってもよいし、1つでもよい。また、利用者端末12も1つの例が示されたが、同時に複数の利用者端末12が認証システム10に存在しても問題ない。
Further, in the above-described embodiment, three
また、前述の実施例においては、利用者端末12は単独の装置であって、ユーザ認証要求部52、ユーザ情報送信部54、サービス認証情報取得部56、および、サービス認証要求部58を備えていたが、このような態様に限定されない。たとえば、利用者端末12に代えて、ユーザ認証要求部52、ユーザ情報送信部54を備える端末と、サービス認証情報取得部56、および、サービス認証要求部58を備える端末との2つの端末であって、相互に、あるいは、他の位置認証デバイス14やアクセスポイント16などと通信可能な端末として設けられてもよい。
Further, in the above-described embodiment, the
また、前述の実施例において、利用者端末12が利用可能なアプリケーションサーバ26が複数用意されている場合には、たとえば利用者端末12を利用するユーザによる操作に応じて、予め利用したいアプリケーションサーバ26が指定された上で、利用者端末12のサービス認証情報取得部56は、認証サーバ22に対して前記利用したいアプリケーションサーバ26のサービス認証情報を要求するようにしてもよい。
Further, in the above-described embodiment, when a plurality of
また、前述の実施例において、図11のフローチャートに示す一連の工程は、S11乃至S25が順次実行されたが、必ずしもそのような態様に限定されない。具体的にはたとえば、少なくとも初回の実行時には、図11のS11乃至S25が実行される。一度S14において認証完了の通知がなされると、その旨を示すユーザ認証完了情報が認証サーバ22から利用者端末12に送信され、利用者端末12に保存される。その後、一旦利用が終了した後に再度アプリケーションサーバ26を利用するため、あるいは、前記初回の実行時とは異なるアプリケーションサーバ26の利用のために、図11のフローチャートが実行される場合には、S11乃至S14の工程に代えて、利用者端末12が有効な前記ユーザ認証完了情報を保有していることを認証サーバ22が確認し、図11のフローチャートのうちS15以降の工程を実行することも可能である。ここで、前記ユーザ認証完了情報とは、たとえばCookieのような形態で送信、保存されるので、ユーザ認証完了情報に有効期限を設けたり、あるいは、前述のサービス切断実行部59により削除されたりすることが可能である。このように、利用者端末12が有効な前記ユーザ認証完了情報を保有していることで、S11乃至S14の工程を省略しても、利用者(ユーザ)が認証された状態を担保できる。
Further, in the above-described embodiment, in the series of steps shown in the flowchart of FIG. 11, S11 to S25 are sequentially executed, but the series is not necessarily limited to such an embodiment. Specifically, for example, S11 to S25 in FIG. 11 are executed at least at the first execution. Once the authentication completion notification is given in S14, the user authentication completion information indicating that effect is transmitted from the
また、前述の実施例においては、ログイン状態確認部82は、サービス切断実行部59からの問い合わせに応じて利用者の位置認証が成立しているかの判断を行ったが、かかる態様に限られない。たとえば、一定の時間間隔で利用者の位置認証が成立しているかの判断を行ってもよい。
Further, in the above-described embodiment, the login
また、前述の実施例においては、サービス切断実行部59による作動は、利用者端末12をログアウトさせたり、アプリケーションサーバ26に保存されている利用者端末12とのセッション情報を削除させることであったが、これに代えて、たとえば、サービス認証情報発行部80(S23)によって発行されるサービス認証情報としてのCookieやトークン、あるいは、ユーザ認証完了情報としてのCookieを削除することであってもよい。
Further, in the above-described embodiment, the operation by the service disconnection execution unit 59 is to log out the
なお、上述したのはあくまでも一実施形態であり、本発明は当業者の知識に基づいて種々の変更、改良を加えた態様で実施することができる。 It should be noted that the above is only one embodiment, and the present invention can be carried out in a mode in which various changes and improvements are made based on the knowledge of those skilled in the art.
10:認証システム
12:利用者端末
14:位置認証端末
22:認証サーバ
24:記憶装置
26:アプリケーションサーバ
54:ユーザ情報送信部(利用者端末12の送信部)
61:測位部
64:ユーザ・位置情報送信部64(位置認証端末14の送信部)
74:ユーザ認証部(利用資格認証部)
78:位置認証部(位置認証部)
80:サービス認証情報発行部(サービス認証情報送信部)
88:位置情報認証データベース(利用可能位置データベース)
10: Authentication system 12: User terminal 14: Location authentication terminal 22: Authentication server 24: Storage device 26: Application server 54: User information transmission unit (transmitter unit of user terminal 12)
61: Positioning unit 64: User / location information transmission unit 64 (transmitter of location authentication terminal 14)
74: User Authentication Department (Usage Qualification Authentication Department)
78: Location authentication unit (location authentication unit)
80: Service authentication information issuing department (service authentication information transmitting department)
88: Location information authentication database (available location database)
第1発明の要旨とするところは、(a)利用端末の位置に関する情報と、利用者の識別情報とを送信する送信部と、(b)利用者が認証可能な位置についての情報が利用者ごとに記憶された利用可能位置データベースと、(c)利用者の利用資格についての情報が利用者ごとに記憶された認証データベースと、(d)前記送信部から送信された利用端末の位置に関する情報と前記利用可能位置データベースに記憶された情報とに基づいて前記利用者があらかじめ設定されたサービスの利用可能位置にあるかを判定する位置認証部と、(e)前記位置認証部により前記利用者が前記利用可能位置にあると判定された場合に、前記送信部から送信された利用者の識別情報および前記認証データベースに記憶された情報基づいて前記利用者のサービスの利用資格の有無を判定する利用資格認証部と、を有するとともに、(e1)予め定められた位置に固定され、前記利用端末が通信可能な位置認証端末を含み、(e2)前記利用端末の位置に関する情報は、前記利用端末が近接した位置認証端末に固有の情報であること、を特徴とする位置情報を用いた認証システムである。 The gist of the first invention is that (a) a transmitter that transmits information about the position of the user terminal and user identification information, and (b) information about a position that the user can authenticate is the user. The available location database stored for each user, (c) the authentication database stored for each user with information about the user's usage qualification, and (d) the information about the location of the user terminal transmitted from the transmitter. A position authentication unit that determines whether or not the user is in a preset available position of the service based on the information stored in the available position database, and (e) the user by the position authentication unit. When it is determined that the user is in the available position, it is determined whether or not the user is eligible to use the service based on the user's identification information transmitted from the transmitter and the information stored in the authentication database. It has a usage qualification authentication unit, and (e1) includes a position authentication terminal fixed at a predetermined position and capable of communicating with the user terminal, and (e2) information regarding the position of the user terminal is the user terminal. Is an authentication system using location information, which is characterized by the fact that is information unique to nearby location authentication terminals .
かかる第1発明によれば、前記位置認証部により、前記送信部から送信された利用端末の位置に関する情報と前記利用可能位置データベースに記憶された情報とに基づいて前記利用者があらかじめ設定されたサービスの利用可能位置にあるかが判定され、前記位置認証部により前記利用者が前記利用可能位置にあると判定された場合には、前記利用資格認証部により、前記送信部から送信された利用者の識別情報および前記認証データベースに記憶された情報に基づいて前記利用者のサービスの利用資格の有無が判定される。また、予め定められた位置に固定され、前記利用端末が通信可能な位置認証端末を含み、前記利用端末の位置に関する情報は、前記利用端末が近接した位置認証端末に固有の情報とされるので、利用端末が測位を行うことなくその位置に関する情報が得られる。 According to the first invention, the user is preset by the location authentication unit based on the information regarding the position of the user terminal transmitted from the transmission unit and the information stored in the available position database. When it is determined whether the service is in the available position and the location authentication unit determines that the user is in the available position, the usage qualification authentication unit transmits the usage from the transmission unit. Whether or not the user is eligible to use the service is determined based on the identification information of the person and the information stored in the authentication database. Further, since the information regarding the position of the user terminal is included in the position authentication terminal which is fixed at a predetermined position and can communicate with the user terminal, the information regarding the position of the user terminal is unique to the position authentication terminal close to the user terminal. , Information about the position can be obtained without the user terminal performing positioning.
好適には、(i)前記利用端末の位置に関する情報は、前記位置認証端末に予め記憶された前記位置認証端末の位置に関する情報である。このようにすれば、利用端末の位置に関する情報は、事前に付与したものとなるので、その後の改竄を防止することができる。 Preferably, (i) the information regarding the position of the used terminal is the information regarding the position of the position authentication terminal stored in advance in the position authentication terminal . By doing so, the information regarding the position of the terminal to be used is given in advance, so that subsequent falsification can be prevented.
好適には、(j)前記利用端末の位置に関する情報は、前記位置認証端末にあらかじめ一意に付与された位置認証端末識別情報であり、(k)前記利用可能位置データベースは、前記利用者が認証可能な位置についての情報を、前記利用者の識別情報と前記位置認証端末識別情報との組み合わせとして記憶していることを特徴とする。このようにすれば、利用端末の位置に関する情報は、事前に付与したものとなるので、その後の改竄を防止することができる。 Preferably, (j) the information regarding the position of the user terminal is the position authentication terminal identification information uniquely given to the position authentication terminal in advance, and (k) the available position database is authenticated by the user. It is characterized in that information about a possible position is stored as a combination of the user's identification information and the position authentication terminal identification information. By doing so, the information regarding the position of the terminal to be used is given in advance, so that subsequent falsification can be prevented.
Claims (5)
利用者が認証可能な位置についての情報が利用者ごとに記憶された利用可能位置データベースと、
利用者の利用資格についての情報が利用者ごとに記憶された認証データベースと、
前記送信部から送信された利用端末の位置に関する情報と前記利用可能位置データベースに記憶された情報とに基づいて前記利用者があらかじめ設定されたサービスの利用可能位置にあるかを判定する位置認証部と、
前記位置認証部により前記利用者が前記利用可能位置にあると判定された場合に、前記送信部から送信された利用者の識別情報および前記認証データベースに記憶された情報基づいて前記利用者のサービスの利用資格の有無を判定する利用資格認証部と、
を有すること、を特徴とする位置情報を用いた認証システム。 A transmitter that transmits information about the location of the user terminal and user identification information,
An available location database that stores information about locations that users can authenticate for each user,
An authentication database that stores information about user qualifications for each user,
A position authentication unit that determines whether or not the user is in a preset available position of a service based on the information regarding the position of the user terminal transmitted from the transmission unit and the information stored in the available position database. When,
When the location authentication unit determines that the user is in the available position, the user's service is based on the user's identification information transmitted from the transmission unit and the information stored in the authentication database. The usage qualification authentication department that determines whether or not there is a usage qualification,
An authentication system using location information, characterized by having.
前記利用資格認証部は、前記複数のサービスのそれぞれについて、前記利用者の利用資格の有無を判定するものであること、
を特徴とする請求項1に記載の位置情報を用いた認証システム。 The authentication database stores information about the user's usage qualification for each of the plurality of services for each user.
The usage qualification authentication unit determines whether or not the user has the usage qualification for each of the plurality of services.
The authentication system using the location information according to claim 1.
を有すること、を特徴とする請求項2に記載の位置情報を用いた認証システム。 The usage qualification authentication unit is characterized by having a service authentication information transmission unit that transmits information for making the user available for each of the servers that provide each of the plurality of services. An authentication system using the location information described in Item 2.
を特徴とする請求項1乃至3のいずれか1に記載の位置情報を用いた認証システム。 The information regarding the position of the user terminal is the position information obtained by positioning the position of the user terminal.
An authentication system using the location information according to any one of claims 1 to 3.
前記利用可能位置データベースは、前記利用者が認証可能な位置についての情報を、前記利用者の識別情報と前記位置固定端末識別情報との組み合わせとして記憶していること、
を特徴とする請求項1乃至3のいずれか1に記載の位置情報を用いた認証システム。 The information regarding the position of the user terminal is the position-fixed terminal identification information uniquely given in advance to the position-fixed terminal installed in the position-fixed position with which the user terminal can communicate.
The available location database stores information about a location that can be authenticated by the user as a combination of the user's identification information and the location-fixed terminal identification information.
An authentication system using the location information according to any one of claims 1 to 3.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020188319A JP7323191B2 (en) | 2020-11-11 | 2020-11-11 | Authentication system using location information |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020188319A JP7323191B2 (en) | 2020-11-11 | 2020-11-11 | Authentication system using location information |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022077449A true JP2022077449A (en) | 2022-05-23 |
JP7323191B2 JP7323191B2 (en) | 2023-08-08 |
Family
ID=81654100
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020188319A Active JP7323191B2 (en) | 2020-11-11 | 2020-11-11 | Authentication system using location information |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7323191B2 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040192438A1 (en) * | 2003-03-25 | 2004-09-30 | Igt | Method and apparatus for limiting access to games using biometric data |
JP2007193506A (en) * | 2006-01-18 | 2007-08-02 | Sogo Keibi Hosho Co Ltd | Monitoring system and monitoring method |
JP2015226137A (en) * | 2014-05-27 | 2015-12-14 | 日本電信電話株式会社 | Terminal authentication method using client certificate, terminal authentication system, and program |
US20180357407A1 (en) * | 2015-12-03 | 2018-12-13 | Carrier Corporation | Authentication system with motion parameters |
JP2019049790A (en) * | 2017-09-08 | 2019-03-28 | 富士ゼロックス株式会社 | Information processing device, access control system, and program |
-
2020
- 2020-11-11 JP JP2020188319A patent/JP7323191B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040192438A1 (en) * | 2003-03-25 | 2004-09-30 | Igt | Method and apparatus for limiting access to games using biometric data |
JP2007193506A (en) * | 2006-01-18 | 2007-08-02 | Sogo Keibi Hosho Co Ltd | Monitoring system and monitoring method |
JP2015226137A (en) * | 2014-05-27 | 2015-12-14 | 日本電信電話株式会社 | Terminal authentication method using client certificate, terminal authentication system, and program |
US20180357407A1 (en) * | 2015-12-03 | 2018-12-13 | Carrier Corporation | Authentication system with motion parameters |
JP2019049790A (en) * | 2017-09-08 | 2019-03-28 | 富士ゼロックス株式会社 | Information processing device, access control system, and program |
Non-Patent Citations (2)
Title |
---|
柴宮 実, 実践ソフトウェア開発工学シリーズ6 セキュリティ管理の技術, vol. 第1版, JPN6021043014, 30 July 1993 (1993-07-30), JP, pages 137 - 138, ISSN: 0004631975 * |
谷村 透, UNIX−LAN構築の実践技術 〜UNIXネットワーク導入から管理まで〜, vol. 初版, JPN6021043012, 30 April 1992 (1992-04-30), JP, pages 475 - 477, ISSN: 0004631976 * |
Also Published As
Publication number | Publication date |
---|---|
JP7323191B2 (en) | 2023-08-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN204948095U (en) | Authenticate device and the mutual system guaranteeing between application program and user | |
US20040019787A1 (en) | Method and system for authenticating communication terminals | |
WO2018037453A1 (en) | Authentication system, and information recording medium | |
JP2009211632A (en) | Service system | |
KR20160003796A (en) | User authentication | |
KR20100021818A (en) | Method for authentication using one-time identification information and system | |
WO2011083867A1 (en) | Authentication device, authentication method, and program | |
JPWO2017115427A1 (en) | User authentication method and system for realizing the method | |
JP2009151568A (en) | Security management system, security management method, information processing terminal device and authentication device | |
JP2002271318A (en) | Radio communication equipment and certification managing server | |
KR101831381B1 (en) | Method of smart login using messenger service and device thereof | |
US11777927B1 (en) | Monitoring system for providing a secure communication channel between a client computer and a hosting computer server | |
JP2009230649A (en) | Method for checking validity of other terminal or partner system, server for electronic procedure support system, and computer program | |
KR102171377B1 (en) | Method of login control | |
KR101980828B1 (en) | Authentication method and apparatus for sharing login ID | |
JP2022077449A (en) | Authentication system using location information | |
JP5937545B2 (en) | Mobile terminal, server device, information terminal, and shared terminal management system | |
JP6829341B1 (en) | Information processing systems, information processing methods, and programs | |
JP4846624B2 (en) | Authentication proxy device, authentication proxy method, and authentication proxy program | |
JP6080282B1 (en) | Authentication processing system, authentication auxiliary server, and web display program | |
JP2018007011A (en) | Certificate generation system, information processor, certificate generation device, certificate generation method, and program | |
JP6115884B1 (en) | Service providing system, authentication device, and program | |
JP2021149597A (en) | User terminal, method for controlling the same, and program | |
JP2002312319A (en) | Password system | |
WO2017134922A1 (en) | Service provision system, authentication device, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201211 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211102 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20211227 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220301 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20220621 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220921 |
|
C60 | Trial request (containing other claim documents, opposition documents) |
Free format text: JAPANESE INTERMEDIATE CODE: C60 Effective date: 20220921 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20220921 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20221013 |
|
C21 | Notice of transfer of a case for reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C21 Effective date: 20221018 |
|
A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20221111 |
|
C211 | Notice of termination of reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C211 Effective date: 20221115 |
|
C22 | Notice of designation (change) of administrative judge |
Free format text: JAPANESE INTERMEDIATE CODE: C22 Effective date: 20221213 |
|
C22 | Notice of designation (change) of administrative judge |
Free format text: JAPANESE INTERMEDIATE CODE: C22 Effective date: 20230117 |
|
C13 | Notice of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: C13 Effective date: 20230328 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230525 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230720 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7323191 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |