JP5493478B2 - Authentication system and authentication method - Google Patents
Authentication system and authentication method Download PDFInfo
- Publication number
- JP5493478B2 JP5493478B2 JP2009133791A JP2009133791A JP5493478B2 JP 5493478 B2 JP5493478 B2 JP 5493478B2 JP 2009133791 A JP2009133791 A JP 2009133791A JP 2009133791 A JP2009133791 A JP 2009133791A JP 5493478 B2 JP5493478 B2 JP 5493478B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- authentication code
- code
- electronic device
- signal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Position Fixing By Use Of Radio Waves (AREA)
- Storage Device Security (AREA)
Description
本発明は、認証システム及び認証方法に関する。 The present invention relates to an authentication system and an authentication method.
ネットワーク技術の発達により、例えばノート型パソコンに代表される電子機器を使って、外出先や自宅等からも会社のデータシステムにアクセスすることが可能となっている。しかし、そのノート型パソコン等の電子機器を紛失したり、盗難されてしまうと、その電子機器に保存されている個人情報が第三者に漏洩する他、当該電子機器を利用して第三者がデータシステムに不正にアクセスすることが可能になってしまう。 With the development of network technology, it is possible to access a company's data system from outside the home or at home using electronic devices typified by laptop computers, for example. However, if an electronic device such as a laptop computer is lost or stolen, personal information stored in the electronic device is leaked to a third party, and the electronic device is used to make a third party. Can gain unauthorized access to the data system.
データの漏洩やデータシステムへの不正アクセス等の問題に対処するため、従来より、パスワードを用いた認証(以下、「パスワード認証」と称す。)が広く用いられている。パスワード認証は、第三者によりパスワードが解読されない限り安全であるが、パスワードが解読されてしまうと、第三者によるデータの閲覧やデータシステムへのアクセスが自由になってしまうという問題がある。 Conventionally, authentication using a password (hereinafter referred to as “password authentication”) has been widely used to deal with problems such as data leakage and unauthorized access to a data system. Password authentication is safe as long as the password is not decrypted by a third party. However, if the password is decrypted, there is a problem that the third party can freely browse data and access the data system.
そこで、認証の安全性を高めることを目的として、ノート型パソコン等の利用者端末が特定の場所で使用されていることを認証する位置認証の技術が考案されている(例えば、特許文献1)。 Therefore, for the purpose of improving the safety of authentication, a position authentication technique for authenticating that a user terminal such as a notebook personal computer is used in a specific place has been devised (for example, Patent Document 1). .
特許文献1に開示されている位置認証の技術は、特定の場所でのみファイルを使用することを可能にし、それ以外の場所での使用を禁止するための技術である。具体的には、ファイルの使用を許可する位置をアクセス管理サーバーに登録しておき、登録された位置に利用者端末が存在していることをアクセス管理サーバーが認証した場合に、その利用者端末によるファイルへのアクセスが可能となる技術である。認証に当たって、利用者端末は、GPS(Global Positioning System)を利用して算出した位置をアクセス管理サーバーに通知する。
The position authentication technique disclosed in
しかし、このような位置認証の技術では、いわゆる“なりすまし”を排除することができない。特許文献1に開示された位置認証は、緯度や経度といった位置情報を認証に利用している。そのため、登録されている位置が第三者に知られた場合、第三者は、その位置の情報をアクセス管理サーバーに通知することで、簡単にファイルにアクセスすることができてしまう。
However, such location authentication technology cannot eliminate so-called “spoofing”. The position authentication disclosed in
本発明は上述した課題に鑑みて為されたものであり、位置認証の安全性を一層高めることを目的としている。 The present invention has been made in view of the above-described problems, and aims to further enhance the safety of position authentication.
以上の課題を解決するための第1の形態は、所定の場所に設置される発信装置と、前記発信装置の発信信号到達範囲内に位置した場合に当該発信信号を受信可能な電子機器と、所定の通信網を介して前記電子機器と通信可能な認証装置とを具備する認証システムであって、前記発信装置は、有効期間が定められた認証コードを発信する発信部を備え、前記電子機器は、前記発信装置が発信している認証コードを受信した場合に、当該認証コードを含む認証依頼信号を前記認証装置に送信する認証依頼制御部を備え、前記認証装置は、前記認証コードと当該認証コードの有効期間とを対応付けて記憶する記憶部と、前記電子機器から前記認証依頼信号を受信した場合に、当該認証依頼信号に含まれている認証コードと前記記憶部に記憶された現在有効期間内となっている認証コードとを照合することにより、前記電子機器を認証するか否かの認証処理を実行する認証処理部と、を備える認証システムである。 A first form for solving the above problems is a transmitting device installed in a predetermined place, and an electronic device capable of receiving the transmission signal when positioned within a transmission signal reachable range of the transmitting device, An authentication system including an authentication device capable of communicating with the electronic device via a predetermined communication network, wherein the transmission device includes a transmission unit that transmits an authentication code with a valid period, and the electronic device Includes an authentication request control unit that transmits an authentication request signal including the authentication code to the authentication device when receiving the authentication code transmitted by the transmission device, and the authentication device includes the authentication code and the authentication code. A storage unit that stores the validity period of the authentication code in association with each other, and when the authentication request signal is received from the electronic device, the authentication code included in the authentication request signal and the current code stored in the storage unit By collating the authentication code are within the validity period is an authentication system and an authentication processing unit that executes whether authentication process to authenticate the electronic device.
また、他の形態として、所定の場所に設置される発信装置と、前記発信装置の発信信号到達範囲内に位置した場合に当該発信信号を受信可能な電子機器と、所定の通信網を介して前記電子機器と通信可能な認証装置とを用いて前記電子機器を認証する認証方法であって、前記発信装置は、有効期間が定められた認証コードを発信し、前記電子機器は、前記発信装置が発信している認証コードを受信した場合に、当該認証コードを含む認証依頼信号を前記認証装置に送信し、前記認証装置は、前記電子機器から前記認証依頼信号を受信した場合に、前記認証コードと当該認証コードの有効期間とを対応付けて記憶する記憶部の中から、現在有効期間内となっている認証コードと前記認証依頼信号に含まれている認証コードとを照合することにより、前記電子機器を認証する認証方法を構成してもよい。 Further, as another form, via a predetermined communication network, a transmission device installed at a predetermined location, an electronic device capable of receiving the transmission signal when located within the transmission signal reachable range of the transmission device, An authentication method for authenticating the electronic device using an authentication device communicable with the electronic device, wherein the transmission device transmits an authentication code having a valid period, and the electronic device When the authentication code transmitted by the device is received, the authentication request signal including the authentication code is transmitted to the authentication device, and the authentication device receives the authentication request signal from the electronic device. By comparing the authentication code currently in the valid period with the authentication code included in the authentication request signal from the storage unit that stores the code and the valid period of the authentication code in association with each other. It may be configured authentication method of authenticating the electronic device.
この第1の形態等によれば、有効期間が定められた認証コードを発信する発信装置が所定の場所に設置されている。そして、電子機器は、発信装置が発信している認証コードを受信した場合に、当該認証コードを含む認証依頼信号を認証装置に送信する。認証装置は、認証コードと当該認証コードの有効期間とを対応付けて記憶しており、電子機器から認証依頼信号を受信した場合に、当該認証依頼信号に含まれている認証コードと記憶部に記憶された現在有効期間内となっている認証コードとを照合する。そして、電子機器を認証するか否かの認証処理を実行する。 According to this 1st form etc., the transmitter which transmits the authentication code with which the effective period was defined is installed in the predetermined place. When the electronic device receives the authentication code transmitted by the transmission device, the electronic device transmits an authentication request signal including the authentication code to the authentication device. The authentication device stores the authentication code and the validity period of the authentication code in association with each other. When the authentication request signal is received from the electronic device, the authentication device stores the authentication code and the authentication code included in the authentication request signal. The authentication code stored within the current effective period is collated. And the authentication process of whether to authenticate an electronic device is performed.
有効期間を経過した認証コードを認証装置が電子機器から受信した場合は、認証コードの照合結果が不適合となるため、認証結果は非承認となる。一方、認証結果が承認となるのであれば、電子機器は発信装置の発信信号到達範囲内に現在位置しているということになる。従って、位置認証を希望する特定の場所に発信装置を配置しておけば、その特定の場所に電子機器が現在位置していることを確実に認証できる。 When the authentication device receives an authentication code after the validity period from the electronic device, the authentication result is not approved because the verification result of the authentication code is incompatible. On the other hand, if the authentication result is approved, the electronic device is currently located within the transmission signal reachable range of the transmission device. Therefore, if the transmitting device is arranged at a specific place where position authentication is desired, it can be surely authenticated that the electronic device is currently located at the specific place.
また、第2の形態として、第1の形態の認証システムであって、前記発信部は、当該発信装置の位置情報を更に発信し、前記認証依頼制御部は、前記認証依頼信号に、前記発信装置から受信した前記位置情報を更に含めて前記認証装置に送信し、前記記憶部は、複数の発信装置それぞれについて、当該発信装置の位置情報と、当該発信装置が発信している認証コードと、当該認証コードの有効期間とを対応づけて記憶し、前記認証処理部は、前記認証依頼信号に含まれている認証コードと位置情報の組み合わせと、前記記憶部に記憶された現在有効期間内となっている認証コードと位置情報の組み合わせとを照合することによって、前記認証処理を実行する認証システムを構成してもよい。 Further, as a second mode, the authentication system according to the first mode, wherein the transmission unit further transmits position information of the transmission device, and the authentication request control unit transmits the transmission request to the authentication request signal. The location information received from the device is further transmitted to the authentication device, and the storage unit, for each of a plurality of transmission devices, the location information of the transmission device, an authentication code transmitted by the transmission device, Storing the validity period of the authentication code in association with each other, and the authentication processing unit includes a combination of the authentication code and the position information included in the authentication request signal, and a current validity period stored in the storage unit. An authentication system that executes the authentication process may be configured by collating the authentication code and the combination of position information.
この第2の形態によれば、発信装置の発信部は、自身の位置情報を更に発信する。そして、電子機器の認証依頼制御部は、発信装置から受信した位置情報を認証依頼信号に更に含めて認証装置に送信する。他方、認証装置の記憶部は、複数の発信装置それぞれについて、当該発信装置の位置情報と、当該発信装置が発信している認証コードと、当該認証コードの有効期間とを対応づけて記憶している。そして、認証装置の認証処理部は、認証依頼信号に含まれている認証コードと位置情報の組み合わせと、記憶部に記憶された現在有効期間内となっている認証コードと位置情報の組み合わせとを照合することによって、認証処理を実行する。これにより、電子機器が何れの発信装置の発信信号到達範囲内に現在位置しているかを識別することができる。 According to this 2nd form, the transmission part of a transmission device further transmits own positional information. Then, the authentication request control unit of the electronic device further includes the position information received from the transmitting device in the authentication request signal and transmits it to the authentication device. On the other hand, the storage unit of the authentication device stores, for each of the plurality of transmission devices, the location information of the transmission device, the authentication code transmitted by the transmission device, and the validity period of the authentication code in association with each other. Yes. Then, the authentication processing unit of the authentication device includes a combination of the authentication code and the position information included in the authentication request signal, and a combination of the authentication code and the position information within the current effective period stored in the storage unit. Authentication processing is executed by collating. As a result, it is possible to identify which transmitting device the electronic device is currently located within the transmission signal reachable range.
また、第3の形態として、第1又は第2の形態の認証システムであって、前記認証装置は、測位用衛星信号に基づいて所定の位置誤差を含む位置算出演算を行う位置算出部と、前記位置算出部により算出された位置を用いて前記認証コードを生成する認証コード生成部と、前記生成された認証コードの有効期間を設定する有効期間設定部と、前記生成された認証コードを新たな認証コードとして発信するよう指示する認証コード更新指示信号を前記発信装置に送信する認証コード更新指示部と、を更に備える認証システムを構成してもよい。 Further, as a third mode, in the authentication system according to the first or second mode, the authentication unit includes a position calculation unit that performs a position calculation calculation including a predetermined position error based on a positioning satellite signal; An authentication code generating unit that generates the authentication code using the position calculated by the position calculating unit, an effective period setting unit that sets an effective period of the generated authentication code, and the generated authentication code An authentication system may further comprise an authentication code update instruction unit that transmits an authentication code update instruction signal for instructing transmission as a simple authentication code to the transmitting device.
この場合、第4の形態として、第3の形態の認証コード生成部が、前記位置算出部により算出された位置の座標値、及び、当該位置と所与の基準位置間の距離の何れかを用いて前記認証コードを生成するように認証システムを構成することも可能である。 In this case, as a fourth form, the authentication code generation part of the third form either calculates the coordinate value of the position calculated by the position calculation part and the distance between the position and the given reference position. It is also possible to configure the authentication system to use to generate the authentication code.
測位用衛星信号を利用した位置算出では種々の誤差要因が存在するため、位置算出演算には多少の位置誤差が含まれ得る。そのため、位置算出演算により算出される位置の座標値や、当該位置と所与の基準位置間の距離といった値は、位置算出演算を行う都度変化することになる。従って、第3及び第4の形態によれば、容易に推測することのできないランダムな認証コードを生成することができ、認証の安全性を一層高めることができる。 Since there are various error factors in the position calculation using the positioning satellite signals, the position calculation calculation may include some position errors. Therefore, values such as the coordinate value of the position calculated by the position calculation calculation and the distance between the position and a given reference position change every time the position calculation calculation is performed. Therefore, according to the 3rd and 4th form, the random authentication code which cannot be guessed easily can be produced | generated, and the safety | security of authentication can be improved further.
また、第5の形態として、第1〜第4の何れかの形態の認証システムであって、前記認証装置は、前記認証処理による認証が成功した場合に、前記電子機器による所定のデータシステムへのアクセスを許可する制御を実行するアクセス制御部を備える認証システムを構成してもよい。 Further, as a fifth mode, the authentication system according to any one of the first to fourth modes, wherein the authentication device is directed to a predetermined data system by the electronic device when the authentication process is successful. You may comprise an authentication system provided with the access control part which performs control which permits access of this.
この第5の形態によれば、認証装置は、認証処理による認証が成功した場合に、電子機器による所定のデータシステムへのアクセスを許可する制御を実行する。これにより、電子機器が発信装置の発信信号到達範囲内に位置していなければ電子機器によるデータシステムへのアクセスが制限されるような認証システムを実現することができる。 According to the fifth aspect, the authentication device executes control to permit access to a predetermined data system by the electronic device when authentication by the authentication process is successful. Thereby, if the electronic device is not located within the transmission signal reachable range of the transmission device, it is possible to realize an authentication system in which access to the data system by the electronic device is restricted.
また、第6の形態として、第1〜第4の何れかの形態の認証システムであって、前記認証装置は、前記認証処理による認証が成功した場合に、前記電子機器へ所定のコンテンツデータを提供するコンテンツデータ提供部を備える認証システムを構成してもよい。 Further, as a sixth aspect, the authentication system according to any one of the first to fourth aspects, wherein the authentication device sends predetermined content data to the electronic device when authentication by the authentication process is successful. You may comprise the authentication system provided with the content data provision part to provide.
この第6の形態によれば、認証装置は、認証処理による認証が成功した場合に、電子機器へ所定のコンテンツデータを提供する。これにより、電子機器が発信装置の発信信号到達範囲内に位置していなければ電子機器へのコンテンツデータの提供が制限されるような認証システムを実現することができる。 According to the sixth aspect, the authentication device provides predetermined content data to the electronic device when authentication by the authentication process is successful. Accordingly, it is possible to realize an authentication system in which provision of content data to the electronic device is restricted unless the electronic device is located within the transmission signal reachable range of the transmission device.
以下、図面を参照して、本発明の好適な実施形態の一例について説明する。但し、本発明を適用可能な実施形態が以下説明する実施形態に限定されるわけではない。 Hereinafter, an example of a preferred embodiment of the present invention will be described with reference to the drawings. However, embodiments to which the present invention can be applied are not limited to the embodiments described below.
1.システム構成
図1は、電子機器の一種であるノート型パソコンの認証を行うシステムの一例である認証システム1の概略構成図である。認証システム1は、複数のノート型パソコン2と、複数のGPS(Global Positioning System)衛星3と、複数の擬似衛星4と、認証サーバー5と、企業内システム6とを備えて構成される。ノート型パソコン2と認証サーバー5とは、所定のネットワークNを介して無線又は有線によって通信接続される。
1. System Configuration FIG. 1 is a schematic configuration diagram of an
ノート型パソコン2は、ユーザーが文書作成ソフトや表計算ソフト、プレゼンテーションソフト等の各種アプリケーションソフトを利用したり、メールの送受信、インターネット検索等を行うために使用する携行可能なパソコンである。ノート型パソコン2は、位置算出装置21を備えており、パソコンとしての本来的な機能を発揮する他、GPS衛星3から発信されているGPS衛星信号、又は、擬似衛星4から発信されている擬似衛星信号に基づいて位置を算出し、算出した位置をプロットした位置表示画面を表示部に表示させることで、ユーザーに現在位置を報知する機能を発揮する。
The notebook
GPS衛星3は、測位用衛星の一種であり、6つの地球周回軌道面それぞれに4機以上ずつ配置され、原則、地球上のどこからでも常時4機以上の衛星が幾何学的配置のもとで観測できるように運用されている。GPS衛星3は、アルマナックやエフェメリス等の航法データを、測位用衛星信号の一種であるGPS衛星信号に含めて発信している。GPS衛星信号は、各GPS衛星3ごとに割り当てられた固有の変調コードであるPRN(Pseudo Random Noise)コードで直接スペクトラム拡散方式により変調された1.57542[GHz]の通信信号である。PRNコードは、コード長1023チップを1PNフレームとする繰返し周期1msの擬似ランダム雑音符号である。
The
擬似衛星4は、発信装置の一種であり、配置位置の情報を含む擬似衛星信号を常時発信している。擬似衛星4から発信される擬似衛星信号は、GPS衛星3から発信されるGPS衛星信号を模擬した通信信号であり、発信周波数はGPS衛星信号と同じ1.57542[GHz]である。すなわち、擬似衛星4は、GPS衛星3からのGPS衛星信号の信号規格(通信規格)に準拠した擬似衛星信号を発信するように構成されている。GPS衛星信号と擬似衛星信号とでは信号規格が同一であるが、それぞれに割り当てられているPRNコードが異なる。
The pseudo satellite 4 is a kind of transmission device, and always transmits a pseudo satellite signal including information on the arrangement position. The pseudo satellite signal transmitted from the pseudo satellite 4 is a communication signal simulating a GPS satellite signal transmitted from the
企業内には、ノート型パソコン2を用いて企業内システム6にアクセスすることが許可されたエリア(以下、「アクセス許可エリア」と称す。)が設けられている。アクセス許可エリアは、例えば、企業内において社員が業務を遂行するフロアに相当するエリアである。擬似衛星4は、このアクセス許可エリアに配置され、擬似衛星信号の信号到達範囲と、アクセス許可エリアの大きさとの兼ね合いから、必要な密度で必要な数だけ配置される。
In the company, an area (hereinafter referred to as “access permission area”) in which access to the in-company system 6 using the
擬似衛星4は、擬似衛星信号を発信する発信部を備えており、発信部は、当該擬似衛星4が配置されている位置の緯度、経度、高度、フロア情報等の配置位置に関する情報を、自身の擬似衛星信号に含めて発信する。また、擬似衛星4の発信部は、付加情報として、ノート型パソコン2の認証用のコードであるID(IDentification)を自身の擬似衛星信号に含めて発信している。本実施形態において、擬似衛星が発信するIDは、ノート型パソコン2がアクセス許可エリア内に現在位置していることを認証するためのID(以下、「認証ID」と称す。)として機能する。
The pseudo satellite 4 includes a transmitter that transmits a pseudo satellite signal. The transmitter transmits information on the position of the position where the pseudo satellite 4 is located, such as latitude, longitude, altitude, and floor information. Included in the pseudo-satellite signal. Further, the transmission unit of the pseudo satellite 4 transmits ID (IDentification), which is an authentication code of the notebook
擬似衛星4は、擬似衛星信号の到達範囲(以下、「信号到達範囲」と称す。)が規定の距離(例えば、擬似衛星4の配置位置を中心として半径10m)となるように発信信号の強度等が予め設計されている。本実施形態では、説明の簡明化のため、アクセス許可エリアの広さは、擬似衛星4の信号到達範囲と同等又はそれ以下の大きさであり、1つのアクセス許可エリアには1つの擬似衛星4を配置することとして説明する。しかし、アクセス許可エリアの広さに応じて、同一の擬似衛星信号を発信する複数の擬似衛星4を配置することとしてもよいのは勿論である。 The pseudo satellite 4 has an intensity of a transmission signal so that a pseudo satellite signal reachable range (hereinafter referred to as “signal reachable range”) is a prescribed distance (for example, a radius of 10 m centering on the location of the pseudo satellite 4). Etc. are designed in advance. In this embodiment, for simplification of explanation, the area of the access permission area is equal to or smaller than the signal reachable range of the pseudo satellite 4, and one pseudo satellite 4 is included in one access permission area. Will be described as arranging. However, as a matter of course, a plurality of pseudo satellites 4 that transmit the same pseudo satellite signal may be arranged according to the size of the access permission area.
認証サーバー5は、認証装置の一種であり、企業内の所定の場所(例えば企業内のネットワークの管理室)に設置されるノート型パソコン2の認証用のサーバーである。認証サーバー5は、各アクセス許可エリアに設置された擬似衛星4と通信接続されている。認証サーバー5は、所定の生成タイミング(例えば10分に1回)で、擬似衛星4それぞれの認証IDを生成するとともに、生成した認証IDの有効期間(例えば生成日時から12分の期間)を設定する。そして、認証サーバー5は、擬似衛星4が発信している擬似衛星信号に含まれる認証IDを、新たに生成した認証IDに変更するように指示するための指示信号を擬似衛星4に送信し、時間経過によって異なる認証IDが擬似衛星4から発信されるように制御・調整する。
The
認証サーバー5は、ノート型パソコン2からの認証要求に従って認証処理を実行し、ノート型パソコン2がアクセス許可エリア内に現在位置しているか否かの認証を行う。具体的には、認証サーバー5は、各アクセス許可エリアに配置された擬似衛星4それぞれについて、当該擬似衛星4の配置位置と対応付けて、当該擬似衛星4が発信している認証IDとその有効期間とを対応付けた認証IDデータを記憶したデータベースを具備している。そして、認証サーバー5は、ノート型パソコン2から認証依頼信号を受信した場合に、当該認証依頼信号に含まれる擬似衛星4の配置位置が対応付けられた認証IDデータをデータベースから抽出し、受信した認証依頼信号に含まれる認証IDと有効期間内の認証IDとを照合する。そして、認証IDが一致した場合は、ノート型パソコン2を企業内システム6に接続するように制御する。
The
図1の(1)に示すようにノート型パソコン2がアクセス許可エリア内に位置している場合は、ノート型パソコン2は、受信中の擬似衛星信号に含まれる配置位置及び認証IDを含む認証依頼信号を認証サーバー5に送信し、認証承認を得ることができるため、企業内システム6にアクセスすることができる。しかし、図1の(2)に示すようにノート型パソコン2が屋外に位置している場合や、図1の(3)に示すように企業内であってもアクセス許可エリア外に位置している場合は、ノート型パソコン2は擬似衛星信号を受信することができない。そのため、ノート型パソコン2は認証依頼信号を認証サーバー5に送信することができず、認証承認を得ることができない。仮に、有効期間が切れた古い認証ID及び配置位置をノート型パソコン2が保持・記憶しており、これらの情報を含む認証依頼信号を認証サーバー5に送信したとしても、認証IDの有効期間が切れていることにより認証IDの照合結果が不一致となるため、認証承認を得ることができない。以上により、アクセス許可エリア以外の場所からのノート型パソコン2による企業内システム6へのアクセスが効果的に防止される。
As shown in (1) of FIG. 1, when the
企業内システム6は、企業内でのみ閲覧可能な企業秘密や営業秘密等の企業内情報が蓄積記憶されたネットワークシステムである。企業内システム6は、認証サーバー5と通信接続されており、ノート型パソコン2がアクセス許可エリアに現在位置していると認証された場合に、認証サーバー5の制御に従って、ネットワークNを介してノート型パソコン2と通信接続される。
The in-company system 6 is a network system that stores and stores in-company information such as trade secrets and trade secrets that can be viewed only within the company. The in-company system 6 is communicatively connected to the
2.機能構成
2−1.ノート型パソコンの機能構成
図2は、ノート型パソコン2の機能構成を示すブロック図である。ノート型パソコン2は、CPU(Central Processing Unit)210と、操作部220と、表示部230と、通信部240と、GPS位置算出部250と、ROM(Read Only Memory)260と、ハードディスク270と、RAM(Random Access Memory)280とを備え、各部がバス290で通信接続されたコンピューターシステムである。
2. Functional configuration 2-1. FIG. 2 is a block diagram showing a functional configuration of the notebook
CPU210は、ROM260やハードディスク270に記憶されているシステムプログラム等の各種プログラムや各種データに従ってノート型パソコン2の各部を統括的に制御するプロセッサーである。CPU210は、操作部220を介してユーザーによりなされる指示操作入力に従って、各種アプリケーション処理の実行や、メールの送受信処理、GPS位置算出部250により算出された位置を表示部230に表示させる処理等を行う。
The
操作部220は、例えばキーボードやマウス等により構成される入力装置であり、押下されたキーやボタンの信号をCPU210に出力する。この操作部220の操作により、文字の入力や各種アプリケーションの起動、企業内システム6へのアクセス指示等の各種操作入力がなされる。
The
表示部230は、LCD(Liquid Crystal Display)等により構成され、CPU210から入力される表示信号に基づいた各種表示を行う表示装置である。表示部230には、各種アプリケーションの画面等が表示される。
The
通信部240は、CPU210の制御に基づいて、装置内部で利用される情報をネットワークNを介して外部(認証サーバー5や他のパソコン)とやり取りするための通信装置である。この機能は、例えば、IEEE802.11によるワイヤレスLANやBluetooth(登録商標)等の無線通信モジュール等により実現することができる。
The
GPS位置算出部250は、GPS衛星3から発信されているGPS衛星信号に基づいてノート型パソコン2の位置を計測する位置算出装置であり、いわゆるGPS受信機に相当する機能ブロックである。GPS位置算出部250は、RF(Radio Frequency)受信回路部と、ベースバンド処理回路部とを備えて構成される。
The GPS
図3は、GPS位置算出部250が行う位置算出の流れを説明するための図である。GPS位置算出部250は、装置内部で擬似的に発生させたPRNコードであるレプリカPRNコードを変化させながら受信信号との相関演算を行って、受信信号の中からGPS衛星信号又は擬似衛星信号を捕捉する。
FIG. 3 is a diagram for explaining the flow of position calculation performed by the GPS
捕捉した信号がGPS衛星信号である場合は、当該GPS衛星信号を復調することで航法データや時刻情報を取得する。そして、これらのデータを用いて所定の位置算出演算を行って位置を算出し、算出位置(以下、「GPS算出位置」と称す。)をGPSデータ281としてCPU210に出力する。位置算出演算としては、最小二乗法を用いた位置算出演算や、カルマンフィルターを用いた位置算出演算等の公知の手法を用いることができる。但し、GPSによる位置算出では、種々の誤差要因の存在により、算出される位置は正確無比なものとなることはなく、多少の誤差が含まれる。
When the captured signal is a GPS satellite signal, navigation data and time information are acquired by demodulating the GPS satellite signal. Then, a predetermined position calculation operation is performed using these data to calculate a position, and the calculated position (hereinafter referred to as “GPS calculated position”) is output to the
一方、捕捉した信号が擬似衛星信号である場合は、当該擬似衛星信号を復調することで当該擬似衛星4の配置位置及び認証IDを取得し、これらを擬似衛星データ283としてCPU210に出力する。捕捉した信号が擬似衛星信号である場合は、当該擬似衛星4の配置位置がノート型パソコン2の現在位置として出力・表示される。
On the other hand, if the captured signal is a pseudo satellite signal, the pseudo satellite signal is demodulated to obtain the arrangement position and authentication ID of the pseudo satellite 4 and output them to the
ROM260は、読み取り専用の記憶装置であり、CPU210がノート型パソコン2を制御するためのシステムプログラムや、各種アプリケーション処理を実行するためのアプリケーションプログラム等の各種プログラムや各種データを記憶している。
The
ハードディスク270は、磁気ヘッド等を用いてデータの読み書きを行う記憶装置であり、ROM260と同様、CPU210がノート型パソコン2を制御するための各種プログラムや各種データを記憶している。
The
RAM280は、読み書き可能な揮発性の記憶装置であり、CPU210により実行されるシステムプログラム、各種処理プログラム、各種処理の処理中データ、処理結果などを一時的に記憶するワークエリアを形成している。
The
2−2.認証サーバーの機能構成
図4は、認証サーバー5の機能構成を示すブロック図である。認証サーバー5は、CPU510と、操作部520と、表示部530と、通信部540と、GPS位置算出部550と、ROM560と、ハードディスク570と、RAM580とを備え、各部がバス590で接続されている。認証サーバー5の機能構成は、ノート型パソコン2の機能構成と略同一である。
2-2. Functional Configuration of Authentication Server FIG. 4 is a block diagram showing a functional configuration of the
認証サーバー5には、ノート型パソコン2と同様にGPS位置算出部550が設けられており、GPS位置算出部550は、GPS衛星3から発信されているGPS衛星信号に基づいて認証サーバー5の位置を算出する。GPS位置算出部550がGPS衛星信号を受信して位置算出を行うことができるように、認証サーバー5本体或いはGPS位置算出部550のみを、窓際などのGPS衛星信号の捕捉が可能な場所に設置する必要がある。
The
認証サーバー5の設置位置は固定であり、移動することがないため、GPS位置算出部550が行う位置算出は、いわゆる“定点測位”となる。しかし、前述したように、GPSによる位置算出では、種々の誤差要因の存在により正確無比な位置を算出することが困難であるため、GPS位置算出部550により算出される位置には多少の誤差が含まれる。詳細は後述するが、認証サーバー5はこの特性を利用して、GPS位置算出部550により算出される位置を用いてランダムな認証IDを生成する。
Since the installation position of the
3.データ構成
3−1.ノート型パソコンのデータ構成
図5は、ノート型パソコン2のハードディスク270に格納されたデータの一例を示す図である。ハードディスク270には、メイン処理(図10参照)として実行されるメインプログラム271が記憶されている。また、メインプログラム271には、認証要求処理(図11及び図12参照)として実行される認証要求プログラム2711がサブルーチンとして含まれている。
3. Data configuration 3-1. FIG. 5 is a diagram showing an example of data stored in the
メイン処理とは、CPU210が、ユーザーの指示操作入力に従って、各種アプリケーション処理の実行や、GPS位置算出部250により算出された位置を表示する位置表示処理、企業内システム6へのアクセスを行う際の認証サーバー5への認証要求処理等を行う処理である。
The main process is when the
また、認証要求処理とは、CPU210が、ユーザーにより企業内システム6へのアクセス要求指示操作がなされた場合に実行する処理であり、擬似衛星4から受信した擬似衛星信号に含まれる当該擬似衛星4の配置位置及び認証IDを含む認証依頼信号を認証サーバー5に送信することで、認証サーバー5に対してノート型パソコン2の認証を依頼・要求する処理である。これらの処理については、フローチャートを用いて詳細に後述する。
The authentication request process is a process executed when the
図6は、ノート型パソコン2のRAM280に格納されるデータの一例を示す図である。RAM280には、GPSデータ281と、擬似衛星データ283とが記憶される。
FIG. 6 is a diagram illustrating an example of data stored in the
GPSデータ281は、GPS位置算出部250がGPS衛星信号を利用した位置算出演算を行うことで取得するデータであり、GPS算出位置2811がこれに含まれる。CPU210は、GPS位置算出部250からGPSデータ281を取得して、RAM280に記憶させる。
The
擬似衛星データ283は、GPS位置算出部250が擬似衛星信号を復調することで取得するデータであり、擬似衛星4の配置位置2831及び認証ID2833がこれに含まれる。CPU210は、GPS位置算出部250から擬似衛星データ283を取得して、RAM280に記憶させる。
The
3−2.認証サーバーのデータ構成
図7は、認証サーバー5のハードディスク570に格納されたデータの一例を示す図である。ハードディスク570には、擬似衛星制御処理(図13参照)として実行される擬似衛星制御プログラム571と、認証ID生成処理(図14参照)として実行される認証ID生成プログラム573と、認証処理(図11及び図12参照)として実行される認証プログラム575と、認証IDデータベース577と、認証サーバー設置位置579とが記憶されている。
3-2. FIG. 7 is a diagram illustrating an example of data stored in the
擬似衛星制御処理とは、CPU510が、各擬似衛星4それぞれについて、認証IDを所定の生成タイミングで新たに生成し、擬似衛星4に対して認証ID更新指示信号を送信することで、生成した認証IDを新たな認証IDとして発信するように擬似衛星4に指示・制御する処理である。
In the pseudo satellite control process, the
認証ID生成処理とは、CPU510が、GPS位置算出部250が位置算出演算を行うことで取得したGPS算出位置2811を用いて認証IDを生成する処理である。
The authentication ID generation process is a process in which the
また、認証処理とは、CPU510が、ノート型パソコン2からの認証要求を受けて、ノート型パソコン2の認証を行う処理である。具体的には、ノート型パソコン2から受信した認証依頼信号から擬似衛星4の配置位置を取り出し、この配置位置と同じ配置位置が対応付けられた認証IDデータ578を認証IDデータベース577から読み出す。そして、当該認証IDデータ578に記憶されている現在有効期間内の認証IDと、受信した認証依頼信号に含まれる認証IDとを照合する。そして、認証IDが一致した場合に認証成功(認証承認)と判定して、ノート型パソコン2の企業内システム6へのアクセスを許可する制御を実行する。これらの処理については、フローチャートを用いて詳細に後述する。
The authentication process is a process in which the
図9は、認証IDデータベース577のデータ構成の一例を示す図である。認証IDデータベース577は、擬似衛星4が発信する認証IDの履歴が記憶された認証IDデータ578(578−1,578−2,578−3,・・・)が、擬似衛星別に蓄積・記憶されたデータベースである。
FIG. 9 is a diagram illustrating an example of a data configuration of the
認証IDデータ578には、当該擬似衛星4の配置位置5781と対応付けて、認証ID5783と、当該認証IDの生成日時5785と、当該認証IDの有効期間5787とが対応付けて新しい順に記憶されている。本実施形態では、認証IDの今回の生成日時から次回の生成日時までの期間(図9では10分間の期間)に、所定の猶予期間(例えば2分間)を付加した期間を有効期間として設定する。
In the
例えば、図9において、認証IDデータ578−1は、配置位置の座標が(X1,Y1,Z1)である擬似衛星4が発信する認証IDについてのデータである。認証ID「12895695」は、「2009年5月20日12時00分」に生成された認証IDであり、その有効期間は、「2009年5月20日12時00分〜2009年5月20日12時12分」である。 For example, in FIG. 9, authentication ID data 578-1 is data regarding an authentication ID transmitted from the pseudo satellite 4 whose coordinates of the arrangement position are (X1, Y1, Z1). The authentication ID “12895695” is an authentication ID generated on “May 20, 2009, 12:00”, and its valid period is “May 20, 2009, 12:00 to May 20, 2009”. Day 12:12 ".
図8は、認証サーバー5のRAM580に格納されるデータの一例を示す図である。RAM580には、認証依頼信号581と、GPSデータ583と、ワンタイムパスワード585とが記憶される。
FIG. 8 is a diagram illustrating an example of data stored in the
認証依頼信号581は、ノート型パソコン2から送信される認証を依頼・要求する信号であり、擬似衛星配置位置5811と、認証ID5813とがこれに含まれる。
The
GPSデータ583は、GPS位置算出部550がGPS衛星信号を利用した位置算出演算を行うことで取得するデータであり、GPS算出位置5831がこれに含まれる。
The
ワンタイムパスワード585は、認証用のパスワードであり、1回しか使えない使い捨てパスワードである。CPU510は、認証処理において、認証IDの照合結果が一致である場合は、ワンタイムパスワード585を発行・記憶して、ノート型パソコン2に送信する。
The one-
4.処理の流れ
図10は、ノート型パソコン2のハードディスク270に記憶されているメインプログラム271がCPU210により読み出されて実行されることで、ノート型パソコン2において実行されるメイン処理の流れを示すフローチャートである。
4). Process Flow FIG. 10 is a flowchart showing the flow of the main process executed in the
メイン処理は、CPU210が、操作部220を介してユーザーにより電源投入操作がなされたことを検出した場合に実行を開始する処理である。尚、メイン処理においては、GPS位置算出部250によりGPS衛星信号を利用した位置算出演算が随時行われ、GPS位置算出部250からはGPSデータ281が随時取得可能な状態にあるものとして説明する。
The main process is a process of starting execution when the
先ず、CPU210は、操作部220を介してユーザーによりなされた指示操作を判定し(ステップA1)、指示操作がアプリケーション起動指示操作であると判定した場合は(ステップA1;アプリケーション起動指示操作)、ROM260又はハードディスク270に記憶されているアプリケーションプログラムのうち起動が指示されたアプリケーションプログラムを読み出して実行することで、アプリケーション処理を行う(ステップA3)。
First, the
また、ステップA1において指示操作が位置表示指示操作であると判定した場合は(ステップA1;位置表示指示操作)、CPU210は、位置表示処理を行う(ステップA5)。具体的には、GPS位置算出部250からGPSデータ281を取得してRAM280に記憶させるとともに、GPSデータ281に含まれるGPS算出位置2811を表示部230に表示させる。
If it is determined in step A1 that the instruction operation is a position display instruction operation (step A1; position display instruction operation), the
また、ステップA1において指示操作が企業内システムアクセス指示操作であると判定した場合は(ステップA1;企業内システムアクセス指示操作)、CPU210は、ハードディスク270に記憶されている認証要求プログラム2711を読み出して実行することで、認証要求処理を行う(ステップA7)。
If it is determined in step A1 that the instruction operation is an in-company system access instruction operation (step A1; in-company system access instruction operation), the
図11及び図12は、ノート型パソコン2のCPU210が実行する認証要求処理及び認証サーバー5のCPU510が実行する認証処理の流れを並列的に示したフローチャートである。図の左側に認証要求処理、図の右側に認証処理をそれぞれ示している。
11 and 12 are flowcharts showing in parallel the flow of the authentication request process executed by the
先ず、ノート型パソコン2のCPU210は、GPS位置算出部250が擬似衛星信号を受信したか否かを判定し(ステップB1)、受信したと判定した場合は(ステップB1;Yes)、GPS位置算出部250から擬似衛星データ283を取得してRAM280に記憶させる(ステップB3)。
First, the
その後、CPU210は、ステップB3で取得した擬似衛星データ283に記憶されている擬似衛星配置位置2831及び認証ID2833を含む認証依頼信号581を、認証サーバー5に送信する(ステップB5)。
Thereafter, the
認証サーバー5のCPU510は、ノート型パソコン2から認証依頼信号581を受信すると、当該認証依頼信号581をRAM580に記憶させる(ステップC1)。そして、ハードディスク570に記憶されている認証IDデータベース577から、受信した認証依頼信号581に含まれる擬似衛星配置位置5811と同一の擬似衛星配置位置5781が対応付けられた認証IDデータ578を抽出する(ステップC3)。
When receiving the
次いで、CPU510は、認証依頼信号581に含まれる認証ID5813と、ステップC3で抽出した認証IDデータ578に記憶されている認証IDのうち現在有効期間内となっている認証ID5783とを照合する(ステップC5)。
Next, the
そして、CPU510は、認証IDが一致したか否かを判定し(ステップC7)、一致したと判定した場合は(ステップC7;Yes)、ワンタイムパスワード585を発行して、RAM580に記憶させる(ステップC9)。そして、CPU510は、発行したワンタイムパスワード585をノート型パソコン2に送信する(ステップC11)。
Then, the
また、ステップC7において認証IDが一致しなかったと判定した場合は(ステップC7;No)、CPU510は、認証の非承認通知をノート型パソコン2に送信する(ステップC13)。
If it is determined in step C7 that the authentication IDs do not match (step C7; No), the
ノート型パソコン2のCPU210は、認証サーバー5からパスワードを受信した場合は(ステップB7;パスワード)、当該パスワードを表示部230に表示させる(ステップB9)。そして、CPU210は、操作部220を介してユーザーによりパスワードが入力されるまで待機し(ステップB11)、パスワードが入力された場合は(ステップB11;Yes)、当該パスワードを認証サーバー5に送信する(ステップB13)。そして、CPU210は、認証要求処理を終了する。
When receiving the password from the authentication server 5 (step B7; password), the
認証サーバー5のCPU510は、ノート型パソコン2からパスワードを受信すると(ステップC15)、受信したパスワードと、RAM580に記憶されているワンタイムパスワード585とを照合する(ステップC17)。
When receiving the password from the notebook personal computer 2 (step C15), the
そして、CPU510は、パスワードが一致したか否かを判定し(ステップC19)、一致したと判定した場合は(ステップC19;Yes)、ノート型パソコン2を企業内システム6に接続するように制御する(ステップC21)。そして、CPU510は、認証処理を終了する。
Then, the
また、ステップC19においてパスワードが一致しなかったと判定した場合は(ステップC19;No)、CPU210は、認証の非承認通知をノート型パソコン2に送信する(ステップC23)。そして、CPU210は、認証処理を終了する。
If it is determined in step C19 that the passwords do not match (step C19; No), the
また、ノート型パソコン2のCPU210は、認証サーバー5から非承認通知を受信した場合は、認証に失敗した旨を表示部230に表示させる(ステップB15)。そして、CPU210は、認証要求処理を終了する。
In addition, when the
図10のメイン処理に戻って、認証要求処理を行った後、CPU210は、企業内システム6への接続が成功したか否かを判定し(ステップA9)、成功したと判定した場合は(ステップA9;Yes)、企業内システム6の閲覧処理を行う(ステップA11)。また、企業内システム6への接続に失敗した場合は(ステップA9;No)、CPU210は、接続不可を表示部230に表示させる(ステップA13)。
Returning to the main process of FIG. 10, after performing the authentication request process, the
ステップA3〜A13の処理を行った後、CPU210は、操作部220を介してユーザーにより電源切断指示操作がなされたか否かを判定し(ステップA15)、なされなかったと判定した場合は(ステップA15;No)、ステップA1に戻る。また、電源切断指示操作がなされたと判定した場合は(ステップA15;Yes)、メイン処理を終了する。
After performing the processes of Steps A3 to A13, the
図13は、認証サーバー5のハードディスク570に記憶されている擬似衛星制御プログラム571がCPU510により読み出されて実行されることで、認証サーバー5において実行される擬似衛星制御処理の流れを示すフローチャートである。
FIG. 13 is a flowchart showing a flow of pseudo satellite control processing executed in the
先ず、CPU510は、認証IDの新規生成日時であるか否かを判定し(ステップD1)、まだ新規生成日時ではないと判定した場合は(ステップD1;No)、そのまま待機する。また、新規生成日時であると判定した場合は(ステップD1;Yes)、各擬似衛星4についてループAの処理を実行する(ステップD3〜D13)。
First, the
ループAの処理では、CPU510は、ハードディスク570に記憶されている認証ID生成プログラム573を読み出して実行することで、認証ID生成処理を行う(ステップD5)。
In the process of loop A, the
図14は、認証ID生成処理の流れを示すフローチャートである。
先ず、CPU510は、GPS位置算出部550からGPSデータ583を取得して、RAM580に記憶させる(ステップE1)。そして、CPU510は、基準位置である認証サーバー5の設置位置579と、GPSデータ583に含まれるGPS算出位置5831間の距離を算出する(ステップE3)。そして、CPU510は、ステップE3で算出した距離を用いて認証IDを生成する(ステップE5)。
FIG. 14 is a flowchart showing the flow of authentication ID generation processing.
First, the
ステップE3で算出する距離は、GPS算出位置と認証サーバーの設置位置間の実距離としてもよいし、緯度方向、経度方向それぞれの距離としてもよい。また、ステップE5の認証IDの生成方法としては、例えば、(A)実距離を冪乗(一乗も含む。)した値を認証IDとする、(B)実距離を所定の関数に代入して関数値を求めて認証IDとする、(C)緯度方向、経度方向それぞれの距離のうちの何れか一方の距離を冪乗(一乗を含む。)した値を認証IDとする、(D)緯度方向、経度方向それぞれの距離を加減算した値を認証IDとする、などの種々の方法を用いることができる。 The distance calculated in step E3 may be an actual distance between the GPS calculation position and the installation position of the authentication server, or may be a distance in each of the latitude direction and the longitude direction. As a method for generating the authentication ID in step E5, for example, (A) a value obtained by raising the actual distance to the power (including the first power) is used as the authentication ID, and (B) the actual distance is substituted into a predetermined function. A function value is obtained and used as an authentication ID. (C) A value obtained by raising one of the distances in the latitude and longitude directions to the power (including the first power) is used as an authentication ID. (D) Latitude Various methods such as a value obtained by adding and subtracting the distances in the direction and the longitude direction as the authentication ID can be used.
GPS位置算出部550が行う位置算出演算には位置誤差が含まれるため、定点測位といえども、算出されるGPS算出位置5831にはばらつきが生じ、ステップE3で算出される距離も毎回変化する。そのため、ステップE5で生成される認証IDはランダムな値となり、第三者が容易に推測することのできない値となる。このようにして生成された認証IDを用いることで、認証の安全性が向上する。認証IDを生成した後、CPU510は、認証ID生成処理を終了する。
Since the position calculation calculation performed by the GPS
図13の擬似衛星制御処理に戻って、認証ID生成処理を行った後、CPU510は、生成した認証IDの有効期間を設定する(ステップD7)。具体的には、当該認証IDの生成日時から所定時間(例えば12分)の期間を有効期間とする。
Returning to the pseudo-satellite control process of FIG. 13, after performing the authentication ID generation process, the
そして、CPU510は、認証ID5783と生成日時5785と有効期間5787とを対応付けて、当該擬似衛星4の配置位置5781とともに認証IDデータ578として、認証IDデータベース577に記憶させる(ステップD9)。
Then, the
その後、CPU510は、生成した認証IDを新たな認証IDとして発信するように指示するための認証ID更新指示信号を、当該擬似衛星4に送信する(ステップD11)。そして、CPU510は、次の擬似衛星4へと処理を移行する。
Thereafter,
全ての擬似衛星4についてステップD5〜D11の処理を行った後、CPU510は、ループAの処理を終了する(ステップD13)。そして、ループAの処理を終了した後、CPU510は、ステップD1に戻る。
After performing the processing of steps D5 to D11 for all the pseudo satellites 4, the
5.作用効果
認証システム1において、企業内のアクセス許可エリアには擬似衛星4が設置される。擬似衛星4は、自身の配置位置と、ノート型パソコン2の認証用のIDである認証IDとを含む擬似衛星信号を発信している。そして、ノート型パソコン2は、擬似衛星4から擬似衛星信号を受信した場合に、当該擬似衛星信号に含まれる配置位置と認証IDとを含む認証依頼信号を、認証サーバー5に送信する。
5. Effect In the
認証サーバー5は、複数の擬似衛星4それぞれについて、配置位置と対応付けて、当該擬似衛星4が発信している認証IDとその有効期間とを対応付けた認証IDデータを記憶したデータベースを具備している。そして、認証サーバー5は、ノート型パソコン2から受信した認証依頼信号に含まれる配置位置が対応付けられた認証IDデータを抽出し、認証依頼信号に含まれる認証IDと、抽出した認証IDデータに含まれる現在有効期間内の認証IDとを照合することで、ノート型パソコン2を認証するか否かの認証処理を実行する。そして、認証処理によりノート型パソコン2を承認した場合は、企業内システム6をノート型パソコン2に接続する。
The
認証サーバー5が、有効期間を経過した認証IDをノート型パソコン2から受信した場合は、認証IDの照合結果は不適合となるため、認証結果は非承認となる。ノート型パソコン2が擬似衛星4の発信信号到達範囲内に位置していなければ認証IDを受信することができず、有効期間内の認証IDを認証サーバー5に送信することができないため、認証結果が承認となる場合は、ノート型パソコン2は擬似衛星4の発信信号到達範囲内に位置しているということになる。従って、ノート型パソコン2が企業内のアクセス許可エリア内に現在位置していることを、企業内システム6にアクセス・閲覧するための条件とすることができ、位置認証の安全性を一層高めることができる。
When the
また、認証サーバー5が、複数の擬似衛星4それぞれの配置位置と対応付けて、当該擬似衛星4が発信している認証ID及びその有効期間を記憶しておき、位置情報及び認証IDの組合せを用いて認証を行うことで、認証サーバー5は、ノート型パソコン2が何れの擬似衛星4から発信されている擬似衛星信号を受信しているのか、換言すれば、ノート型パソコン2が何れのアクセス許可エリア内に位置しているのかを識別することができる。
In addition, the
また、認証サーバー5のGPS位置算出部550は、GPS衛星3から受信したGPS衛星信号を利用して、位置誤差を含む位置算出演算を行って位置を算出する。そして、GPS位置算出部550により算出されたGPS算出位置と、基準位置である認証サーバー5の設置位置間の距離を算出し、算出した距離を用いて認証IDを生成する。そして、認証サーバー5は、生成した認証IDを新たな認証IDとして発信するよう指示する認証ID更新指示信号を擬似衛星4に送信する。
In addition, the GPS
GPS位置算出部550が実行する位置算出演算には位置誤差が含まれるため、GPS算出位置と認証サーバー5の設置位置間の距離は位置算出演算を行う度に変化する。そのため、認証サーバー5により生成される認証IDはランダムな値となり、擬似衛星毎に異なる認証IDが発信され、また、時間によって異なる認証IDが発信されることになる。従って、第三者により認証IDが推測されることを防止し、安全性の高い認証を実現することが可能となる。
Since the position calculation calculation executed by the GPS
6.変形例
6−1.認証システム
上述した実施形態では、企業内においてノート型パソコンによる所定のデータシステムへのアクセスを行うための認証システムを一例として説明したが、個人のデータシステムへのアクセスを行うための認証システムに本発明を適用することも可能である。また、所定のコンテンツデータを提供する際に電子機器の認証を行う認証システムに本発明を適用することも可能である。
6). Modification 6-1. Authentication System In the above-described embodiment, an example of an authentication system for accessing a predetermined data system using a notebook personal computer in a company has been described. However, the authentication system for accessing a personal data system is not limited to this. The invention can also be applied. Further, the present invention can also be applied to an authentication system that authenticates an electronic device when providing predetermined content data.
図15は、変形例における認証システムの一例である認証システム10の概略構成を示す図である。認証システム10は、店舗に来店した顧客が、携行している携帯型電話機7を用いて、当該店舗で利用可能なクーポンデータをインターネット等のネットワークを介して取得するための認証を行うシステムである。
FIG. 15 is a diagram illustrating a schematic configuration of an
認証システム10では、擬似衛星4が各店舗の所定位置に設置される。擬似衛星4は、認証サーバー5と接続されており、自身の配置位置と認証サーバー5により生成された認証IDとを発信するように構成されている。
In the
認証サーバー5は、サービス提供事業者が設置するサーバーであり、クーポンデータの提供を行うクーポンデータ提供サーバー8と通信接続され、携帯型電話機7からの要求を受けて、当該携帯型電話機7が擬似衛星4の信号到達可能範囲内に現在位置していることを認証する。そして、認証結果が承認である場合に、携帯型電話機7をクーポンデータ提供サーバー8に接続し、携帯型電話機7がクーポンデータをダウンロードして取得することを可能にする。
The
例えば、図15において、携帯型電話機7がB店舗に位置している場合は、携帯型電話機7は、B店舗内に配置された擬似衛星4から擬似衛星信号を受信する。そして、携帯型電話機7は、受信した擬似衛星信号に含まれる擬似衛星4の配置位置及び認証IDを含む認証依頼信号を認証サーバー5に送信する。そして、認証サーバー5により認証承認が得られた場合、携帯型電話機7はクーポンデータ提供サーバー8に接続され、B店舗で使用可能なクーポンデータをクーポンデータ提供サーバー8からダウンロードして取得する。
For example, in FIG. 15, when the mobile phone 7 is located at the B store, the mobile phone 7 receives a pseudo satellite signal from the pseudo satellite 4 arranged in the B store. Then, the mobile phone 7 transmits an authentication request signal including an arrangement position of the pseudo satellite 4 included in the received pseudo satellite signal and an authentication ID to the
尚、コンテンツデータはクーポンデータに限られず、ネットワークを通じて電子機器に提供されるコンテンツのデータであれば、どのような種類のものであってもよいことは勿論である。 Of course, the content data is not limited to coupon data, but may be any type of content data provided to electronic devices via a network.
6−2.電子機器
本発明を適用可能な電子機器はノート型パソコンに限られず、例えばPDA(Personal Digital Assistant)や携帯型電話機、携帯型音楽再生装置、携帯型ゲーム装置等についても同様に適用可能である。
6-2. Electronic Device The electronic device to which the present invention can be applied is not limited to a notebook personal computer, and can be similarly applied to, for example, a PDA (Personal Digital Assistant), a portable phone, a portable music player, a portable game device, and the like.
6−3.衛星位置算出システム
上述した実施形態では、衛星位置算出システムとしてGPSを例に挙げて説明したが、WAAS(Wide Area Augmentation System)、QZSS(Quasi Zenith Satellite System)、GLONASS(GLObal NAvigation Satellite System)、GALILEO等の他の衛星位置算出システムであってもよい。
6-3. In the above-described embodiment, the GPS is described as an example of the satellite position calculation system, but WAAS (Wide Area Augmentation System), QZSS (Quasi Zenith Satellite System), GLONASS (GLObal NAvigation Satellite System), GALILEO Other satellite position calculation systems may be used.
6−4.処理の分化
上述した実施形態では、ノート型パソコン2と認証サーバー5の何れも、GPS位置算出部がGPS衛星信号を利用した位置算出演算を行って位置を算出するものとして説明したが、CPUが位置算出演算を行って位置を算出することにしてもよい。この場合は、GPS位置算出部が、GPS衛星信号を捕捉して航法データや時刻情報を取得してCPUに出力する。そして、CPUは、GPS位置算出部から入力した情報を用いて位置算出演算を行って位置を算出する。
6-4. Process differentiation In the above-described embodiments, the
6−5.認証IDの生成
上述した実施形態では、GPS位置算出部により算出されたGPS算出位置と認証サーバーの設置位置間の距離を用いて認証IDを生成するものとして説明したが、認証IDの生成方法はこれに限られるわけではない。
6-5. Generation of Authentication ID In the above-described embodiment, the authentication ID is generated using the distance between the GPS calculated position calculated by the GPS position calculation unit and the installation position of the authentication server. It is not limited to this.
例えば、GPS算出位置の座標値を用いて認証IDを生成してもよい。具体的には、GPS算出位置が直交座標系における3次元の座標値で表される場合は、例えば、3次元の座標値のうちからランダムに選択した一の座標値を認証IDとしてもよいし、任意に選択した2つの座標値を加減算したり、3つの座標値を加減算するなどして得られた値を認証IDとしてもよい。 For example, the authentication ID may be generated using the coordinate value of the GPS calculated position. Specifically, when the GPS calculation position is represented by a three-dimensional coordinate value in the orthogonal coordinate system, for example, one coordinate value randomly selected from the three-dimensional coordinate value may be used as the authentication ID. A value obtained by adding / subtracting two coordinate values selected arbitrarily or adding / subtracting three coordinate values may be used as the authentication ID.
また、認証サーバーの設置位置を基準位置として用いるのではなく、他の位置を基準位置として用いてGPS算出位置との間の距離を算出し、当該距離を用いて認証IDを生成することにしてもよい。例えば、擬似乱数を用いて基準位置をランダムに生成し、生成した基準位置とGPS算出位置間の距離を用いて認証IDを生成することが一例として考えられる。 Also, instead of using the installation position of the authentication server as the reference position, the distance between the GPS calculation position is calculated using another position as the reference position, and the authentication ID is generated using the distance. Also good. For example, it is conceivable as an example that a reference position is randomly generated using a pseudo random number, and an authentication ID is generated using a distance between the generated reference position and a GPS calculated position.
尚、GPSによる位置算出結果を用いて認証IDを生成する方法はあくまでも一例であり、第三者が容易に推測することのできない認証IDを生成可能であれば、任意の方法を適用することができる。例えば、擬似乱数や物理乱数を公知の手法に基づいて発生させ、当該乱数を用いて認証IDを生成することにしてもよい。 Note that the method of generating the authentication ID using the GPS position calculation result is merely an example, and any method can be applied as long as an authentication ID that cannot be easily guessed by a third party can be generated. it can. For example, a pseudo random number or a physical random number may be generated based on a known method, and the authentication ID may be generated using the random number.
6−6.認証ID生成処理と認証処理の分離
上述した実施形態では、認証サーバーが、認証IDの生成処理及び認証処理の両方の処理を行うものとして説明したが、認証IDの生成処理と認証処理とを分離することも可能である。具体的には、認証ID生成サーバーと、認証サーバーとの2つのサーバーを用意する。そして、認証ID生成サーバーは、上述した実施形態と同様に認証IDを生成し、生成した認証IDを発信するように擬似衛星4を制御する。また、認証サーバーは、認証ID生成サーバーから認証IDを取得して記憶部に記憶しておき、電子機器から認証要求があった場合に、記憶部に記憶されている認証IDを用いて照合・認証を行う。
6-6. Separation of Authentication ID Generation Process and Authentication Process In the above-described embodiment, the authentication server has been described as performing both the process of generating the authentication ID and the process of authentication. However, the process of generating the authentication ID and the process of authentication are separated. It is also possible to do. Specifically, two servers, an authentication ID generation server and an authentication server, are prepared. Then, the authentication ID generation server generates the authentication ID as in the above-described embodiment, and controls the pseudo satellite 4 so as to transmit the generated authentication ID. The authentication server obtains the authentication ID from the authentication ID generation server and stores it in the storage unit. When an authentication request is received from the electronic device, the authentication server uses the authentication ID stored in the storage unit for verification. Authenticate.
1 認証システム、 2 ノート型パソコン、 3 GPS衛星、 4 擬似衛星、
5 認証サーバー、 6 企業内システム
1 authentication system, 2 notebook computer, 3 GPS satellite, 4 pseudo satellite,
5 Authentication server, 6 Corporate system
Claims (5)
前記発信装置は、
有効期間が定められた認証コードを発信する発信部を含み、
前記電子機器は、
前記発信装置が発信している認証コードを受信した場合に、前記発信装置が発信している認証コードを含む認証依頼信号を前記認証装置に送信する認証依頼制御部を含み、
前記認証装置は、
前記認証コードと前記認証コードの有効期間とを対応付けて記憶する記憶部と、
前記電子機器から前記認証依頼信号を受信した場合に、前記認証依頼信号に含まれている認証コードと前記記憶部に記憶された現在有効期間内となっている認証コードとを照合することによって、前記電子機器を認証するか否かの認証処理を実行する認証処理部と、
測位用衛星信号に基づいて所定の位置誤差を含む位置算出演算を行う位置算出部と、
前記位置算出部によって算出された位置の座標値、及び、前記位置と所与の基準位置との間の距離の何れかを用いて認証コードを生成する認証コード生成部と、
前記認証コード生成部によって生成された認証コードの有効期間を設定する有効期間設定部と、
前記生成された認証コードを新たな認証コードとして発信するよう指示する認証コード更新指示信号を前記発信装置に送信する認証コード更新指示部と、
を含む、
認証システム。 A transmitter installed at a predetermined location, an electronic device capable of receiving the transmission signal when located within a transmission signal reachable range of the transmitter, and a communication with the electronic device via a predetermined communication network An authentication system comprising an authentication device,
The transmitting device is
Including a transmitter that transmits an authentication code with a valid period,
The electronic device is
An authentication request control unit that transmits an authentication request signal including an authentication code transmitted by the transmission device to the authentication device when the authentication code transmitted by the transmission device is received;
The authentication device
A storage unit that stores the authentication code and the validity period of the authentication code in association with each other;
When the authentication request signal is received from the electronic device, by verifying the authentication code included in the authentication request signal and the authentication code that is within the current effective period stored in the storage unit, An authentication processing unit that executes an authentication process as to whether or not to authenticate the electronic device;
A position calculation unit for performing a position calculation operation including a predetermined position error based on the positioning satellite signal;
An authentication code generation unit that generates an authentication code using either the coordinate value of the position calculated by the position calculation unit and the distance between the position and a given reference position ;
An effective period setting unit for setting an effective period of the authentication code generated by the authentication code generating unit;
An authentication code update instruction unit for transmitting an authentication code update instruction signal for instructing to transmit the generated authentication code as a new authentication code to the transmitting device;
including,
Authentication system.
前記認証依頼制御部は、前記認証依頼信号に、前記発信装置から受信した前記位置情報を更に含めて前記認証装置に送信し、
前記記憶部は、複数の発信装置それぞれについて、前記位置情報と、前記発信装置が発信している認証コードと、前記認証コードの有効期間とを対応づけて記憶し、
前記認証処理部は、前記認証依頼信号に含まれている認証コードと位置情報との組み合わせと、前記現在有効期間内となっている認証コードと前記位置情報との組み合わせとを照合することによって、前記認証処理を実行する、
請求項1に記載の認証システム。 The transmitter further transmits the location information of the transmitter,
The authentication request control unit further includes the location information received from the transmitting device in the authentication request signal, and transmits the authentication request signal to the authentication device.
The storage unit stores, for each of a plurality of transmitting devices, the location information, the authentication code transmitted by the transmitting device, and the validity period of the authentication code in association with each other,
The authentication processing unit collates the combination of the authentication code and the position information included in the authentication request signal with the combination of the authentication code and the position information that are within the current effective period, Performing the authentication process;
The authentication system according to claim 1.
請求項1〜2の何れか一項に記載の認証システム。 The authentication apparatus further includes an access control unit that executes control to permit access to a predetermined data system by the electronic device when authentication by the authentication process is successful.
The authentication system as described in any one of Claims 1-2.
請求項1〜2の何れか一項に記載の認証システム。 The authentication device further includes a content data providing unit that provides predetermined content data to the electronic device when the authentication is successful.
The authentication system as described in any one of Claims 1-2.
前記発信装置が、
有効期間が定められた認証コードを発信することと、
前記電子機器が、
前記発信装置が発信している認証コードを受信した場合に、前記発信装置が発信している認証コードを含む認証依頼信号を前記認証装置に送信することと、
前記認証装置が、
前記電子機器から前記認証依頼信号を受信した場合に、前記認証コードと当該認証コードの有効期間とを対応付けて記憶する記憶部に記憶された、現在有効期間内となっている認証コードと、前記認証依頼信号に含まれている認証コードとを照合することにより、前記電子機器を認証するか否かの認証処理を実行することと、
測位用衛星信号に基づいて所定の位置誤差を含む位置算出演算を行って位置を算出することと、
前記位置の座標値、及び、前記位置と所与の基準位置との間の距離の何れかを用いて認証コードを生成することと、
前記生成された認証コードの有効期間を設定することと、
生成された認証コードを新たな認証コードとして発信するよう指示する認証コード更新指示信号を前記発信装置に送信することと、
を含む、
認証方法。 A transmitter installed at a predetermined location, an electronic device capable of receiving the transmission signal when located within a transmission signal reachable range of the transmitter, and a communication with the electronic device via a predetermined communication network An authentication method for authenticating the electronic device using an authentication device,
The transmitting device is
Sending an authorization code with a valid period;
The electronic device is
When an authentication code transmitted by the transmitting device is received, an authentication request signal including an authentication code transmitted by the transmitting device is transmitted to the authentication device;
The authentication device is
When the authentication request signal is received from the electronic device, the authentication code stored in the storage unit that stores the authentication code and the validity period of the authentication code in association with each other, Executing an authentication process as to whether or not to authenticate the electronic device by collating with an authentication code included in the authentication request signal;
Calculating a position by performing a position calculation operation including a predetermined position error based on a positioning satellite signal;
Generating an authentication code using either the coordinate value of the position and the distance between the position and a given reference position ;
Setting a validity period of the generated authentication code;
Transmitting an authentication code update instruction signal instructing to transmit the generated authentication code as a new authentication code to the transmitting device;
including,
Authentication method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009133791A JP5493478B2 (en) | 2009-06-03 | 2009-06-03 | Authentication system and authentication method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009133791A JP5493478B2 (en) | 2009-06-03 | 2009-06-03 | Authentication system and authentication method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010282322A JP2010282322A (en) | 2010-12-16 |
JP5493478B2 true JP5493478B2 (en) | 2014-05-14 |
Family
ID=43539010
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009133791A Expired - Fee Related JP5493478B2 (en) | 2009-06-03 | 2009-06-03 | Authentication system and authentication method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5493478B2 (en) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2397868A1 (en) * | 2010-06-15 | 2011-12-21 | The European Union, represented by the European Commission | Method of providing an authenticable time-and-location indication |
US10277630B2 (en) | 2011-06-03 | 2019-04-30 | The Boeing Company | MobileNet |
JP5667967B2 (en) * | 2011-12-20 | 2015-02-12 | 株式会社 日立産業制御ソリューションズ | Location information authentication system and location information authentication method |
EP2706769A1 (en) * | 2012-08-01 | 2014-03-12 | Secunet Security Networks Aktiengesellschaft | Method and apparatus for secure access to a service |
CN104854595B (en) * | 2012-11-19 | 2019-01-29 | 北京十二公分科技有限公司 | Seal touch-control authentication method and system |
JP6115391B2 (en) * | 2013-08-05 | 2017-04-19 | 富士通株式会社 | Terminal device, authentication device, authentication processing system, and authentication processing method |
JP2017517797A (en) | 2014-04-07 | 2017-06-29 | アイベリファイ インコーポレイテッド | Biometric connection for user authentication |
US9998914B2 (en) * | 2014-04-16 | 2018-06-12 | Jamf Software, Llc | Using a mobile device to restrict focus and perform operations at another mobile device |
JP6408891B2 (en) * | 2014-12-12 | 2018-10-17 | 日本ユニシス株式会社 | Authentication system using position information, authentication device, authentication management server, and portable authentication device |
JP6489835B2 (en) | 2015-01-09 | 2019-03-27 | キヤノン株式会社 | Information processing system, information processing apparatus control method, and program |
CN108885689B (en) | 2016-03-02 | 2020-06-16 | 眼验股份有限公司 | Spoofing detection using proximity sensors |
AU2019363333B2 (en) | 2018-10-15 | 2022-06-30 | Sinumy Corporation | Authenticated device, authentication device, authentication request transmitting method, authentication method, and program |
EP3869218A4 (en) | 2018-10-15 | 2022-08-03 | Paylessgate Corporation | Position identifying system, position identifying device, position identifying method, position identifying program, computer readable recording medium, and recorded equipment |
TWI748262B (en) * | 2018-10-15 | 2021-12-01 | 日商極簡付股份有限公司 | Location-specific systems, location-specific devices, location-specific methods, location-specific programs, and computer-readable recording media |
DE102019127810B4 (en) * | 2019-10-15 | 2021-04-29 | David Focke | Procedure for time-specific determination of the location of a person |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007148471A (en) * | 2005-11-24 | 2007-06-14 | Hitachi Ltd | Service notification system |
JP2007212162A (en) * | 2006-02-07 | 2007-08-23 | Matsushita Electric Works Ltd | Pseud gps apparatus |
EP2090017A2 (en) * | 2006-11-17 | 2009-08-19 | QUALCOMM Incorporated | Device and process for unique internet access identification |
JP2008217604A (en) * | 2007-03-06 | 2008-09-18 | Toshiba Tec Corp | Information management system, information access management device in information management system, and computer program to be used for information access management device |
JP4959463B2 (en) * | 2007-08-01 | 2012-06-20 | 株式会社トヨタIt開発センター | Location authentication system |
-
2009
- 2009-06-03 JP JP2009133791A patent/JP5493478B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2010282322A (en) | 2010-12-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5493478B2 (en) | Authentication system and authentication method | |
US11474190B2 (en) | Certified location for mobile devices | |
US10462128B2 (en) | Verification of both identification and presence of objects over a network | |
CN105306204B (en) | Security verification method, device and system | |
US9876785B2 (en) | System and method for safe login, and apparatus therefor | |
CN102609662B (en) | Anti-tamper location-based service | |
US20050086391A1 (en) | Location sensitive software download | |
US9596234B2 (en) | Methods and systems for providing bidirectional authentication | |
WO2015035936A1 (en) | Identity authentication method, identity authentication apparatus, and identity authentication system | |
US20050097549A1 (en) | Location sensitive software download | |
US20200259823A1 (en) | Systems and methods for location-aware two-factor authentication | |
JP5002065B1 (en) | Authentication system, authentication method of authentication system, positioning device, and positioning program | |
US20130055361A1 (en) | Mobile communications device security technique | |
US20050071666A1 (en) | Location sensitive software execution | |
TW201431343A (en) | Verification system and method | |
JP6340296B2 (en) | IRM program using location information | |
JP2010072715A (en) | Portable apparatus, data management method, data distribution management method, and computer program | |
CN104509068B (en) | Methods, devices and systems for improving data access control | |
CN102130907B (en) | Developer phone registration | |
US10484366B2 (en) | Verification of both identification and presence over a network | |
JP7492545B2 (en) | Information processing device, information processing method, and information processing program | |
JP7490008B2 (en) | Information processing device, information processing method, and information processing program | |
Lax et al. | Exploiting European GNSS and Ethereum in location proof systems | |
CN118114223A (en) | Software authorization method for desktop terminal | |
JP2005004634A (en) | Registration information provision system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120531 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130614 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130709 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130826 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20131015 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140110 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20140117 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140204 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140217 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5493478 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |