JP4062067B2 - ユーザ認証の組合せによるアプリケーション実行の許可判断方法 - Google Patents
ユーザ認証の組合せによるアプリケーション実行の許可判断方法 Download PDFInfo
- Publication number
- JP4062067B2 JP4062067B2 JP2002335929A JP2002335929A JP4062067B2 JP 4062067 B2 JP4062067 B2 JP 4062067B2 JP 2002335929 A JP2002335929 A JP 2002335929A JP 2002335929 A JP2002335929 A JP 2002335929A JP 4062067 B2 JP4062067 B2 JP 4062067B2
- Authority
- JP
- Japan
- Prior art keywords
- computer
- user
- application
- authentication
- execution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、計算機を利用して行う認証に関し、特に、複数のユーザの認証によりアプリケーションの実行を許可するのに好適な実行許可判断方法に関する。
【0002】
【従来の技術】
秘匿性を要する権限のセキュリティを確保するために、パスワードによる認証やICカードリーダ装置や生体認証装置等の認証装置による認証が行なわれている。
【0003】
従来の方法では、あるユーザに許可される権限の範囲を示す情報が管理用計算機の記憶装置に保持されており、ユーザがその権限を行使する際には、単にそのユーザの認証情報(ICカードに記憶された個人情報、指紋などの生体情報等)を認証装置に入力するだけで、管理用計算機に予め格納された認証情報と照合され、一致すると、ユーザに対し、ユーザ権限を許可された範囲でアプリケーションを実行可能とする処理が行われる。複数の認証の組合せとしては特開2002-183095号公報に記載されているように認証を二段階で行い,異なる認証方式の組合せで精度の高い認証を行うものがある。ただし、これは一つの認証を二段階化したものである。
【特許文献1】
特開2002-183095号公報
【0004】
【発明が解決しようとする課題】
従来の方法では、ユーザの認証とセキュリティ対象である権限が許可される単位が1ユーザであるため、管理者が、ユーザに対し権限の行使(アプリケーションの実行)を許可する際に複数のユーザの認証を必要とするように設定をすることができなかった。このため、権限の行使を許可する際に複数のユーザの認証を必要とするような要件のシステムにおいても、その中の1ユーザの認証のみで権限の実行を許可せざるを得ないか、もしくは一切の実行を許可しないかのどちらかの選択しか取り得ないという問題があった。
【0005】
本発明の目的は、複数のユーザが存在する認証システムにおいて、認証を受けた複数のユーザの組合せにより、ユーザに許可される権限範囲を設定可能にする方法を提供することにある。
【0006】
【課題を解決するための手段】
上記目的を解決するため、本発明では、複数のユーザが存在する環境において、管理用計算機に認証を受けた複数のユーザの組合せとユーザに許可される権限の範囲(実行可能なアプリケーション)を関連付けるユーザ管理テーブルを設ける。管理者は、予め、認証されているユーザの組合せとユーザに与えられる権限の範囲(実行可能なアプリケーション)を関連付ける設定を行なっておく。そして、ユーザから権限の実行要求(アプリケーションの実行要求)があった際に、管理用計算機がユーザ管理テーブルを用いてアプリケーションの実行許可の判断を行う。これにより、認証を受けた複数のユーザの組合せにより、ユーザに許可される権限範囲を設定することが可能となる。
【0007】
【発明の実施の形態】
以下、本発明の実施の形態について図面を用いて詳細に説明する。
【0008】
図1は本発明の計算機システムの全体構成を示すブロック図である。図1において、101〜105はユーザが使用する計算機、106は管理用計算機、107はアプリケーション実行用計算機、108はそれら計算機間をつなぐ通信回線である。本実施形態では、ユーザが使用する計算機は5台しか示されていないが、勿論、実際にはこれ以上の計算機が管理用計算機およびアプリケーション実行用計算機に接続されていてもよい。
【0009】
計算機101〜105はユーザが認証要求を行うための装置(パスワード入力機能やICカードリーダ装置、生体認証装置、認証コード送信機構等)を有する。また、計算機101〜105は、通信回線108を介してユーザの認証情報を管理用計算機106に送信する機能を有し、認証成功後にユーザに許可されたアプリケーションの実行命令を投入できる機能を有する。
【0010】
管理用計算機106は、認証を受けるべきユーザが登録された本人であるか否かを判定する機能を有し、また認証を受けたユーザの組合せと実行を許可するアプリケーションを関連付けるユーザ管理テーブル(後述の図3の302)を自計算機の記憶装置内に保持する。また、管理用計算機106は、ユーザ管理テーブル302を参照することにより、ユーザに対して実行を許可するアプリケーションの範囲を判定する機能を有し、管理者は、管理用計算機106を操作することにより、ユーザの組合せと実行を許可されるアプリケーションとの関連付けを設定することができる。
【0011】
アプリケーション実行用計算機107は、ユーザが計算機を用い、通信回線108を介して送信するアプリケーション実行要求を受信した場合に、要求したユーザに対するこのアプリケーションの実行可否を管理用計算機106に問い合わせ、その結果を受けてアプリケーションを実行する機能を有する。なお、本実施例では管理用計算機106とアプリケーション実行用計算機107が別々の計算機であるが、1つの計算機において両機能を有してもよい。
【0012】
図2は、管理用計算機106が自計算機の記憶装置内に保持する、ユーザが認証されているか否かの情報をもつテーブル(以下、認証テーブル200と呼ぶ)を示す。
【0013】
図3は、管理用計算機106が自計算機の記憶装置内に保持する、認証されたユーザの組合せと実行を許可するアプリケーションを関連付けるユーザ管理テーブル300を示す。ユーザ管理テーブル300は、認証されたユーザの組合せ302を列とし、アプリケーション名301を行とするn×m行列で構成される。
【0014】
次に、本発明の一実施形態の処理を図4のフローチャートに従って説明する。図4は、ユーザA201とユーザB202がそれぞれ計算機101、計算機102を用いて認証要求を行い、共に管理用計算機106に認証され、ユーザA201が計算機101からアプリケーションb301の実行命令に対し、アプリケーション実行用計算機107がアプリケーションb301を実行するというケースを示したものである。
【0015】
ユーザA201が、計算機101に接続された認証要求を行うための装置を用いて、ユーザA201の認証情報を入力する(ステップ401)。入力されたユーザA201の認証情報は、通信回線108を介し管理用計算機106に送信され、管理用計算機106により管理用計算機106の保持する予め登録されたユーザA201の認証情報と照合される(ステップ402)。照合の結果が一致すると、管理計算機106は自計算機の保持する認証テーブル200において、ユーザA201が認証済であることを表すフラグ203を立て(ステップ403)、その後、認証結果を計算機101に送信する。送信された認証結果は計算機101に表示される(ステップ404)。
【0016】
ユーザB202の場合についても、上記ユーザA201に対するものと同様の処理が発生する(ステップ405〜408)。
【0017】
ユーザA201は計算機101を用いて、アプリケーションb301の実行命令を行う(ステップ409)と、計算機101は、通信回線108を介し、実行要求をアプリケーション実行用計算機107に送信する(ステップ410)。ユーザA201からの実行要求を受信したアプリケーション実行用計算機107は、管理用計算機106に対し、通信回線108を介してユーザA201に対するアプリケーションb301の実行許可の可否を問い合わせる(ステップ411)。問い合わせを受けた管理用計算機106は、認証テーブル200を参照して認証されているユーザの情報を読み出し、次にユーザ管理テーブル300の情報を参照し、要求されたアプリケーションb301が実行可能な状態にあるかどうかを判定する(ステップ412)。アプリケーションb301の実行を許可するのに十分な条件のうち一つであるユーザA201とユーザB202が両方認証されている(ユーザA∩ユーザB)という条件302が満たされているため、アプリケーションb301の実行命令は許可される。そして、判定結果をアプリケーション実行用計算機107に送信する。アプリケーション実行用計算機107は、その判定結果を受信し、結果が実行許可であれば、ユーザA201に対するアプリケーションb301の実行要求許可の処理を行い(ステップ413)、その後、アプリケーション実行用計算機107は、要求されたアプリケーションb301を実行し(ステップ414)、計算機101に対してその旨を送信する(ステップ415)。
【0018】
一方、アプリケーション実行用計算機107が実行不許可を受信した場合には、対応するアプリケーションの実行は、拒絶される。
【0019】
【発明の効果】
以上説明したように、本発明によれば、認証後のユーザに対し所定の権限を与える認証システムにおいて、管理者が、ユーザに所定の権限を与えるに際し複数のユーザの組合せによる認証の設定を可能にするため、従来のセキュリティレベルよりダイナミックかつきめ細やかな実行許可判断ができ、認証システムの信頼性を大幅に向上できる。
【図面の簡単な説明】
【図1】本発明の計算機システムの全体構成を示すブロック図である。
【図2】管理用計算機が保持する認証テーブルを示す図である。
【図3】管理用計算機が保持するユーザ管理テーブルを示す図である。
【図4】認証から実行許可/却下までの処理のフローチャートである。
【符号の説明】
101:計算機、106:管理用計算機、107:アプリケーション実行用計算機。
【発明の属する技術分野】
本発明は、計算機を利用して行う認証に関し、特に、複数のユーザの認証によりアプリケーションの実行を許可するのに好適な実行許可判断方法に関する。
【0002】
【従来の技術】
秘匿性を要する権限のセキュリティを確保するために、パスワードによる認証やICカードリーダ装置や生体認証装置等の認証装置による認証が行なわれている。
【0003】
従来の方法では、あるユーザに許可される権限の範囲を示す情報が管理用計算機の記憶装置に保持されており、ユーザがその権限を行使する際には、単にそのユーザの認証情報(ICカードに記憶された個人情報、指紋などの生体情報等)を認証装置に入力するだけで、管理用計算機に予め格納された認証情報と照合され、一致すると、ユーザに対し、ユーザ権限を許可された範囲でアプリケーションを実行可能とする処理が行われる。複数の認証の組合せとしては特開2002-183095号公報に記載されているように認証を二段階で行い,異なる認証方式の組合せで精度の高い認証を行うものがある。ただし、これは一つの認証を二段階化したものである。
【特許文献1】
特開2002-183095号公報
【0004】
【発明が解決しようとする課題】
従来の方法では、ユーザの認証とセキュリティ対象である権限が許可される単位が1ユーザであるため、管理者が、ユーザに対し権限の行使(アプリケーションの実行)を許可する際に複数のユーザの認証を必要とするように設定をすることができなかった。このため、権限の行使を許可する際に複数のユーザの認証を必要とするような要件のシステムにおいても、その中の1ユーザの認証のみで権限の実行を許可せざるを得ないか、もしくは一切の実行を許可しないかのどちらかの選択しか取り得ないという問題があった。
【0005】
本発明の目的は、複数のユーザが存在する認証システムにおいて、認証を受けた複数のユーザの組合せにより、ユーザに許可される権限範囲を設定可能にする方法を提供することにある。
【0006】
【課題を解決するための手段】
上記目的を解決するため、本発明では、複数のユーザが存在する環境において、管理用計算機に認証を受けた複数のユーザの組合せとユーザに許可される権限の範囲(実行可能なアプリケーション)を関連付けるユーザ管理テーブルを設ける。管理者は、予め、認証されているユーザの組合せとユーザに与えられる権限の範囲(実行可能なアプリケーション)を関連付ける設定を行なっておく。そして、ユーザから権限の実行要求(アプリケーションの実行要求)があった際に、管理用計算機がユーザ管理テーブルを用いてアプリケーションの実行許可の判断を行う。これにより、認証を受けた複数のユーザの組合せにより、ユーザに許可される権限範囲を設定することが可能となる。
【0007】
【発明の実施の形態】
以下、本発明の実施の形態について図面を用いて詳細に説明する。
【0008】
図1は本発明の計算機システムの全体構成を示すブロック図である。図1において、101〜105はユーザが使用する計算機、106は管理用計算機、107はアプリケーション実行用計算機、108はそれら計算機間をつなぐ通信回線である。本実施形態では、ユーザが使用する計算機は5台しか示されていないが、勿論、実際にはこれ以上の計算機が管理用計算機およびアプリケーション実行用計算機に接続されていてもよい。
【0009】
計算機101〜105はユーザが認証要求を行うための装置(パスワード入力機能やICカードリーダ装置、生体認証装置、認証コード送信機構等)を有する。また、計算機101〜105は、通信回線108を介してユーザの認証情報を管理用計算機106に送信する機能を有し、認証成功後にユーザに許可されたアプリケーションの実行命令を投入できる機能を有する。
【0010】
管理用計算機106は、認証を受けるべきユーザが登録された本人であるか否かを判定する機能を有し、また認証を受けたユーザの組合せと実行を許可するアプリケーションを関連付けるユーザ管理テーブル(後述の図3の302)を自計算機の記憶装置内に保持する。また、管理用計算機106は、ユーザ管理テーブル302を参照することにより、ユーザに対して実行を許可するアプリケーションの範囲を判定する機能を有し、管理者は、管理用計算機106を操作することにより、ユーザの組合せと実行を許可されるアプリケーションとの関連付けを設定することができる。
【0011】
アプリケーション実行用計算機107は、ユーザが計算機を用い、通信回線108を介して送信するアプリケーション実行要求を受信した場合に、要求したユーザに対するこのアプリケーションの実行可否を管理用計算機106に問い合わせ、その結果を受けてアプリケーションを実行する機能を有する。なお、本実施例では管理用計算機106とアプリケーション実行用計算機107が別々の計算機であるが、1つの計算機において両機能を有してもよい。
【0012】
図2は、管理用計算機106が自計算機の記憶装置内に保持する、ユーザが認証されているか否かの情報をもつテーブル(以下、認証テーブル200と呼ぶ)を示す。
【0013】
図3は、管理用計算機106が自計算機の記憶装置内に保持する、認証されたユーザの組合せと実行を許可するアプリケーションを関連付けるユーザ管理テーブル300を示す。ユーザ管理テーブル300は、認証されたユーザの組合せ302を列とし、アプリケーション名301を行とするn×m行列で構成される。
【0014】
次に、本発明の一実施形態の処理を図4のフローチャートに従って説明する。図4は、ユーザA201とユーザB202がそれぞれ計算機101、計算機102を用いて認証要求を行い、共に管理用計算機106に認証され、ユーザA201が計算機101からアプリケーションb301の実行命令に対し、アプリケーション実行用計算機107がアプリケーションb301を実行するというケースを示したものである。
【0015】
ユーザA201が、計算機101に接続された認証要求を行うための装置を用いて、ユーザA201の認証情報を入力する(ステップ401)。入力されたユーザA201の認証情報は、通信回線108を介し管理用計算機106に送信され、管理用計算機106により管理用計算機106の保持する予め登録されたユーザA201の認証情報と照合される(ステップ402)。照合の結果が一致すると、管理計算機106は自計算機の保持する認証テーブル200において、ユーザA201が認証済であることを表すフラグ203を立て(ステップ403)、その後、認証結果を計算機101に送信する。送信された認証結果は計算機101に表示される(ステップ404)。
【0016】
ユーザB202の場合についても、上記ユーザA201に対するものと同様の処理が発生する(ステップ405〜408)。
【0017】
ユーザA201は計算機101を用いて、アプリケーションb301の実行命令を行う(ステップ409)と、計算機101は、通信回線108を介し、実行要求をアプリケーション実行用計算機107に送信する(ステップ410)。ユーザA201からの実行要求を受信したアプリケーション実行用計算機107は、管理用計算機106に対し、通信回線108を介してユーザA201に対するアプリケーションb301の実行許可の可否を問い合わせる(ステップ411)。問い合わせを受けた管理用計算機106は、認証テーブル200を参照して認証されているユーザの情報を読み出し、次にユーザ管理テーブル300の情報を参照し、要求されたアプリケーションb301が実行可能な状態にあるかどうかを判定する(ステップ412)。アプリケーションb301の実行を許可するのに十分な条件のうち一つであるユーザA201とユーザB202が両方認証されている(ユーザA∩ユーザB)という条件302が満たされているため、アプリケーションb301の実行命令は許可される。そして、判定結果をアプリケーション実行用計算機107に送信する。アプリケーション実行用計算機107は、その判定結果を受信し、結果が実行許可であれば、ユーザA201に対するアプリケーションb301の実行要求許可の処理を行い(ステップ413)、その後、アプリケーション実行用計算機107は、要求されたアプリケーションb301を実行し(ステップ414)、計算機101に対してその旨を送信する(ステップ415)。
【0018】
一方、アプリケーション実行用計算機107が実行不許可を受信した場合には、対応するアプリケーションの実行は、拒絶される。
【0019】
【発明の効果】
以上説明したように、本発明によれば、認証後のユーザに対し所定の権限を与える認証システムにおいて、管理者が、ユーザに所定の権限を与えるに際し複数のユーザの組合せによる認証の設定を可能にするため、従来のセキュリティレベルよりダイナミックかつきめ細やかな実行許可判断ができ、認証システムの信頼性を大幅に向上できる。
【図面の簡単な説明】
【図1】本発明の計算機システムの全体構成を示すブロック図である。
【図2】管理用計算機が保持する認証テーブルを示す図である。
【図3】管理用計算機が保持するユーザ管理テーブルを示す図である。
【図4】認証から実行許可/却下までの処理のフローチャートである。
【符号の説明】
101:計算機、106:管理用計算機、107:アプリケーション実行用計算機。
Claims (1)
- 認証された複数のユーザと実行可能なアプリケーションとの対応関係を保持する管理用計算機と、アプリケーション実行用計算機と、複数の計算機とが通信回線を介して接続された計算機システムにおけるユーザ認証の組合せによるアプリケーション実行の許可判断方法であって、いずれかの計算機からユーザの認証情報が前記管理用計算機に送られたことに応じて、前記管理用計算機は前記認証情報に基づいて認証結果を記憶し、ユーザがいずれかの計算機でアプリケーションの実行を、前記アプリケーション実行用計算機に要求したことに応じて、前記アプリケーション実行用計算機は前記管理用計算機にアプリケーションの実行可否を問合せ、前記管理用計算機は、記憶している認証結果と前記対応関係とに基づいて、前記アプリケーションの実行可否を前記アプリケーション実行用計算機に通知することを特徴とするユーザ認証の組合せによるアプリケーション実行の許可判断方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002335929A JP4062067B2 (ja) | 2002-11-20 | 2002-11-20 | ユーザ認証の組合せによるアプリケーション実行の許可判断方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002335929A JP4062067B2 (ja) | 2002-11-20 | 2002-11-20 | ユーザ認証の組合せによるアプリケーション実行の許可判断方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004171250A JP2004171250A (ja) | 2004-06-17 |
| JP4062067B2 true JP4062067B2 (ja) | 2008-03-19 |
Family
ID=32699897
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002335929A Expired - Fee Related JP4062067B2 (ja) | 2002-11-20 | 2002-11-20 | ユーザ認証の組合せによるアプリケーション実行の許可判断方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4062067B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6914519B2 (ja) * | 2017-07-25 | 2021-08-04 | 株式会社ネクストビート | 情報処理装置、情報処理方法、およびプログラム |
-
2002
- 2002-11-20 JP JP2002335929A patent/JP4062067B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004171250A (ja) | 2004-06-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200228335A1 (en) | Authentication system for enhancing network security | |
| EP2605567B1 (en) | Methods and systems for increasing the security of network-based transactions | |
| RU2320009C2 (ru) | Системы и способы для защищенной биометрической аутентификации | |
| US20160371438A1 (en) | System and method for biometric-based authentication of a user for a secure event carried out via a portable electronic device | |
| US8438620B2 (en) | Portable device for clearing access | |
| US20090235086A1 (en) | Server-side biometric authentication | |
| JP2003524252A (ja) | デジタル署名を用いたプログラムによるリソースへのアクセス制御 | |
| US8868918B2 (en) | Authentication method | |
| JP3587045B2 (ja) | 認証管理装置及び認証管理システム | |
| TW202405680A (zh) | 使用者登入及權限管理之方法及系統 | |
| EP3759629B1 (en) | Method, entity and system for managing access to data through a late dynamic binding of its associated metadata | |
| JP2005115522A (ja) | 代理人認証システムおよび代理人認証方法 | |
| CA2550566C (en) | Process for releasing the access to a computer system or to a program | |
| JP5439306B2 (ja) | 認証システム、認証方法、認証サーバ、認証プログラム | |
| JP2002312326A (ja) | Usbインターフェイスを備える電子デバイスを用いた複数認証方法 | |
| JP6037460B2 (ja) | サービス提供装置、プログラム、及び、方法 | |
| EP3656146B1 (en) | Method for authenticating a user and corresponding user device, server and system | |
| JP4062067B2 (ja) | ユーザ認証の組合せによるアプリケーション実行の許可判断方法 | |
| KR101537564B1 (ko) | 생체인식 중계 인증 시스템 및 그 방법 | |
| JP2007310630A (ja) | 本人認証機能のリカバリシステム及びリカバリ方法 | |
| KR101545897B1 (ko) | 주기적인 스마트카드 인증을 통한 서버 접근 통제 시스템 | |
| EP3036674B1 (en) | Proof of possession for web browser cookie based security tokens | |
| TWI651626B (zh) | 生物特徵資料加密方法及利用其之資訊處理裝置 | |
| CN101090322A (zh) | 用于用户认证的方法和装置 | |
| JP2001337927A (ja) | ネットワークの不正使用防止装置及び不正使用防止方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040917 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20060420 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070927 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20071204 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20071217 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110111 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110111 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120111 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130111 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |