[1.実施形態1]
以下、本発明に係る認証システムの第1の実施形態(以降、実施形態1)の例を説明する。
[1−1.認証システムの全体構成]
図1は、実施形態1に係る認証システムの全体構成を示す図である。図1に示すように、認証システムSは、サーバ10、ユーザ端末20、及び認証端末30を含み、これらは、インターネットなどのネットワークNに接続可能である。
なお、図1では、図面の簡略化のために、サーバ10、ユーザ端末20、及び認証端末30の各々を1台ずつ示しているが、これらは複数台あってもよい。本実施形態では、複数のユーザの各々がユーザ端末20を使用し、複数のユーザ端末20が存在する。また、複数の場所の各々に認証端末30が配置され、複数の認証端末30が存在する。
サーバ10は、サーバコンピュータである。サーバ10は、制御部11、記憶部12、及び通信部13を含む。制御部11は、少なくとも1つのプロセッサを含む。制御部11は、記憶部12に記憶されたプログラムやデータに従って処理を実行する。記憶部12は、主記憶部及び補助記憶部を含む。例えば、主記憶部はRAMなどの揮発性メモリであり、補助記憶部は、ROM、EEPROM、フラッシュメモリ、又はハードディスクなどの不揮発性メモリである。通信部13は、有線通信又は無線通信用の通信インタフェースであり、ネットワークNを介してデータ通信を行う。
ユーザ端末20は、ユーザが操作するコンピュータである。ユーザ端末20は、可搬型の端末であり、例えば、携帯電話機(スマートフォンを含む)、携帯情報端末(タブレット型コンピュータ及びウェアラブル端末を含む)、又は、パーソナルコンピュータ等である。本実施形態では、ユーザ端末20は、制御部21、記憶部22、通信部23、操作部24、表示部25、及びGPS受信部26を含む。制御部21、記憶部22、及び通信部23の物理的構成は、それぞれ制御部11、記憶部12、及び通信部13と同様であってよい。
本実施形態では、通信部23は、複数の通信インタフェースを含み、例えば、第1無線通信部23A及び第2無線通信部23Bを含む。第1無線通信部23A及び第2無線通信部23Bの各々は、互いに異なる通信規格の通信インタフェースである。通信規格自体は、任意の通信規格であってよく、例えば、携帯電話用の通信規格、Bluetooth(登録商標)、Wi−Fi(いわゆる無線LANの一例)、Wi−Fiダイレクト(登録商標)、又は赤外線通信などを利用可能である。
本実施形態では、第1無線通信部23Aが携帯電話用の通信規格又はWi−Fiであり、第2無線通信部23BがBluetooth(登録商標)である場合を例に挙げる。なお、Bluetooth(登録商標)には、BLE等の拡張仕様が含まれるものとする。また、通信部23に含まれる通信インタフェースの数は、2つに限られず、1つだけであってもよいし、3つ以上であってもよい。
操作部24は、入力デバイスであり、例えば、タッチパネルやマウス等のポインティングデバイス、キーボード、又はボタン等である。操作部24は、操作内容を制御部21に伝達する。表示部25は、例えば、液晶表示部又は有機EL表示部等である。表示部25は、制御部21の指示に従って画像を表示する。
GPS受信部26は、衛星からの信号を受信する受信部の一例である。
なお、GPS以外のGNSS(例えば、GLONASS、Galileo、又はQZSS)を利用してもよく、受信部は、利用するGNSSに応じた受信機を含むようにすればよい。例えば、GPS受信部26は、信号を受信するアンテナを含み、受信した信号に基づいて位置情報や時刻情報などを検出する。
認証端末30は、認証に使用されるコンピュータである。例えば、認証端末30は、携帯電話機、携帯情報端末、又は、パーソナルコンピュータ等である。認証端末30は、可搬型の端末であってもよいし、据置型の端末であってもよい。本実施形態では、認証端末30は、制御部31、記憶部32、通信部33、操作部34、表示部35、及び撮影部36を含む。制御部31、記憶部32、通信部33、操作部34、及び表示部35の物理的構成は、それぞれ制御部21、記憶部22、通信部23、操作部24、及び表示部25と同様であってよい。
本実施形態では、通信部33は、第1無線通信部23Aと同じ通信規格の第1無線通信部33Aと、第2無線通信部23Bと同じ通信規格の第2無線通信部33Bと、を含む場合を説明する。なお、第1無線通信部33Aは、第1無線通信部23Aと異なる通信規格であってもよく、第2無線通信部33Bは、第2無線通信部23Bと異なる通信規格であってもよい。また、通信部33に含まれる通信インタフェースの数と、通信部23に含まれる通信インタフェースの数と、は同じであってもよいし異なっていてもよい。
撮影部36は、少なくとも1台のカメラを含む。例えば、撮影部36は、CCDイメージセンサやCMOSイメージセンサなどの撮像素子を含み、当該撮像素子が撮影した画像をデジタルデータとして記録する。画像は、静止画であってもよいし、所定のフレームレートで連続的に撮影された動画であってもよい。
なお、記憶部12,22,32に記憶されるものとして説明するプログラム及びデータは、ネットワークNを介して供給されるようにしてもよい。また、上記説明した各コンピュータのハードウェア構成は、上記の例に限られず、種々のハードウェアを適用可能である。例えば、コンピュータ読み取り可能な情報記憶媒体を読み取る読取部(例えば、光ディスクドライブやメモリカードスロット)や外部機器とデータの入出力をするための入出力部(例えば、USBポート)が含まれていてもよい。例えば、情報記憶媒体に記憶されたプログラムやデータが読取部や入出力部を介して、各コンピュータに供給されるようにしてもよい。
[1−2.認証システムの概要]
認証システムSは、任意の場面においてユーザの正当性を確認するために、認証を実行する。認証は、ユーザが所定の資格を有するか否かを確認する行為であり、相手認証又は本人認証と呼ばれることもある。認証システムSは、種々のタイプの認証を実行可能であり、例えば、生体認証、パスコード認証、パスワード認証、電子スタンプ認証、又は合言葉認証を実行可能である。
生体認証は、人間の身体的特徴又は行動的特徴を利用する認証方法である。例えば、身体的特徴を利用する生体認証には、顔認証、指紋認証、DNA認証、掌形認証、網膜認証、虹彩認証、静脈認証、又は音声認証がある。また例えば、行動的特徴を利用する生体認証には、筆跡認証、キーストローク認証、リップムーブメント認証、まばたき認証、又は歩行認証がある。
本実施形態では、ユーザがセキュリティゲートを通過する場面を例に挙げて、認証システムSの処理を説明する。なお、認証システムSは、後述する変形例のように、種々の場面に適用可能であり、認証システムSが適用される場面は、本実施形態の例に限られない。
図2は、認証システムSが利用される場面の一例を示す図である。図2に示すように、セキュリティゲートSGは、回転式のドアを含み、認証端末30が接続されている。セキュリティゲートSGのドアは、ロック機構によりロックされており、ユーザの認証が成功すると、ロックが解除される。ロックが解除されると、ユーザはドアを押して通過することができる。ドアは、所定角度だけ回転すると再びロックされる。なお、ドアは、開閉式であってもよいし、電子錠によって開閉が制御されてもよい。
例えば、セキュリティゲートSGは、勤務先の会社や公共施設などの任意の施設に配置され、入場する資格を有する者だけが通過することができる。本実施形態では、複数の施設の各々にセキュリティゲートSGが配置されている。このため、認証システムSは、複数の認証端末30を含み、施設ごとに、セキュリティゲートSG及び認証端末30が配置されている。
一般的には、カードキーを利用したセキュリティゲートが主流であるが、このようなセキュリティゲートでは、ユーザは、カードキーを取り出してカードリーダにかざす必要があるので手間がかかる。また、ユーザがカードキーを紛失すると、カードキーを取得した第三者が、ユーザになりすましてセキュリティゲートを通過する可能性もある。
この点、顔認証などの生体認証を利用すれば、カードキーのように取り出す手間を省くことができ、紛失する心配もない。しかしながら、生体認証は、顔などの完全一致までは要求されず、類似性によって成否が決まるので、例えば、ユーザと顔が似ている他人が、ユーザになりすましてセキュリティゲートを通過する可能性がある。
そこで、本実施形態の認証システムSは、ユーザが認証端末30に近づくこと、及び、認証端末30を利用した生体認証が成功すること、の2つを条件として、セキュリティゲートSGのロックを解除する。悪意のある第三者は、顔の似た他人になりすまそうとしても、他人のユーザ端末20を持っていないので、他人になりすましてセキュリティゲートSGを通過することができない。
図3は、ユーザが認証端末30に近づく様子を示す図である。なお、図3では、サーバ10についても図示しているが、実際には、サーバ10は、ユーザ及び認証端末30から離れた場所に配置されている。図3に示すように、認証端末30の周囲には、通信可能領域A1及び認証可能領域A2が設定されている。なお、通信可能領域A1及び認証可能領域A2の各々を円形で示すが、これらは、任意の形状及びサイズであってよく、例えば、半円、楕円、又は多角形などであってもよい。
通信可能領域A1は、認証端末30の第2無線通信部33Bの通信範囲を示す領域である。通信可能領域A1は、利用する通信規格や通信環境に応じて異なり、例えば、3メートルから5メートル程度である。ユーザ端末20が通信可能領域A1内に移動すると、ユーザ端末20と認証端末30との間で直接的な通信が可能となる。ただし、本実施形態では、ペアリングまでは実行されず、ペアリングの前段階の通信だけが行われるものとする。
認証可能領域A2は、認証が許可される領域である。認証可能領域A2は、通信可能領域A1よりも小さい。別の言い方をすれば、認証可能領域A2は、通信可能領域A1に含まれており、認証可能領域A2の端部は、通信可能領域A1の端部よりも認証端末30に近い。例えば、認証可能領域A2は、1メートル程度である。
本実施形態では、ユーザ端末20は、認証端末30の緯度経度情報又は座標情報を記憶している。このため、ユーザ端末20は、GPS受信部26が検出した現在位置に基づいて、通信可能領域A1の中にユーザが移動したことを検出できる。
例えば、ユーザが、ポケット又は鞄にユーザ端末20を入れたまま、認証端末30に近づいたとする。図3に示すように、ユーザ端末20は、通信可能領域A1の中にユーザが入ったことを検出すると、第1無線通信部23Aを利用して、サーバ10に対し、ユーザが認証端末30に近づいたことを示す通知を送信する。
図3に示すように、上記の通知には、ユーザが近づいた認証端末30を識別する認証端末ID、ユーザを識別するユーザID、及び第2無線通信部23Bを識別する無線通信IDが含まれる。サーバ10は、これらの情報を受信することにより、ユーザが通信可能領域A1内に入ったことを検出する。
また、ユーザが通信可能領域A1の中に入ると、ユーザ端末20の第2無線通信部23Bと、認証端末30の第2無線通信部33Bと、の間で、直接的な通信が可能な状態になる。ただし、この時点でペアリングをしようとすると、ユーザがポケット又は鞄からユーザ端末20を取り出して、ペアリングのための操作をする必要があるので、本実施形態では、ユーザの手間を省くために、ペアリングは行わないものとする。
ユーザが認証端末30に更に近づいて認証可能領域A2の中に入ると、認証を開始できるようになる。本実施形態では、認証端末30の表示部35には、認証を開始するためのボタンB35が表示されており、ユーザは、撮影部36に自分の顔を撮影させて認証を開始するために、ボタンB35をタッチする。
ユーザがボタンB35を選択すると、認証端末30は、撮影部36を利用してユーザの顔を撮影する。更に、認証端末30は、第2無線通信部33Bを利用して、ユーザ端末20に対し、第2無線通信部23Bの無線通信IDを要求する。この要求は、ペアリングの前段階の通信により送信され、例えば、アドバタイジングパケット等を利用して送信される。
ユーザ端末20は、要求を受信すると、認証端末30に対し、第2無線通信部23Bの無線通信IDを送信する。アドバタイジングパケット等を利用して送信可能な情報は、予め定められており、ここでは、無線通信IDが送信されるように設定されている。このため、本実施形態では、認証端末30は、ユーザ端末20からユーザIDは受信することができない。
認証端末30は、ユーザ端末20から無線通信IDを受信すると、サーバ10に対し、自身の認証端末ID、当該受信された無線通信ID、及び、撮影部36により撮影された画像を送信する。なお、詳細は後述するが、認証端末30は、認証可能領域A2の中にいるユーザを特定するために、第2無線通信部33Bが検出した信号の強度(RSSI:Received Signal Strength Indication)をスキャンしてユーザ端末20との距離を計測し、所定距離以内にいるユーザ端末20から受信した無線通信IDだけをフィルタリングする。
サーバ10は、認証端末30から認証端末ID及び無線通信IDを受信すると、ユーザ端末20から予め受信していたユーザID、認証端末ID、及び無線通信IDを参照し、認証可能領域A2の中にいるユーザのユーザIDを特定する。先述したように、認証端末30は、ユーザ端末20からユーザIDを受信することができないので、サーバ10は、認証可能領域A2の中にいるユーザのユーザIDを特定するために、認証端末30から受信した認証端末ID及び無線通信IDに関連付けられたユーザIDを参照することになる。
サーバ10は、認証可能領域A2の中にいるユーザのユーザIDを特定すると、認証端末30から受信した画像が示す顔の特徴量と、当該特定されたユーザIDに関連付けられて予め登録された顔の特徴量と、に基づいて、認証を行う。認証が成功すると、セキュリティゲートSGのロックが解除される。
図4は、認証端末30による認証が成功する様子を示す図である。図4に示すように、認証が成功すると、認証端末30の表示部35には、認証が成功したユーザの名前などの情報が表示され、セキュリティゲートSGの通行が許可されたことが通知される。その後、ユーザは、セキュリティゲートSGを通過する。
以上のように、本実施形態では、ユーザが認証端末30に近づくこと、及び、認証端末30を利用した生体認証が成功すること、の2つを条件として、認証が成功するようになっている。しかしながら、このようにしたとしても、認証端末30の付近に、互いに顔が似た複数のユーザがいた場合には、なりすましを防止できないことがある。
例えば、ユーザAがボタンB35をタッチしたときに、認証可能領域A2の中に、ユーザAと顔が似たユーザBがいたとする。この場合、認証システムSでは、ユーザA及びユーザBの各々が認証可能領域A2の中にいることが検出されているので、ユーザBの気付かないところで、ユーザAがユーザBとして認証される可能性がある。このため、ユーザAがユーザBになりすましてセキュリティゲートSGを通過する可能性がある。
そこで、本実施形態の認証システムSでは、互いに顔が似た複数のユーザがセキュリティゲートSGの付近にいる場合には、認証の成功を制限し、なりすましを防止してセキュリティを高めるようにしている。
図5は、互いに顔が似た複数のユーザが認証可能領域A2の中にいる場合を示す図である。この場合、一方のユーザが他方のユーザとして認証されてしまう可能性があるので、図5に示すように、認証システムSは、認証を成功させず、セキュリティゲートSGをロックさせたままとなる。この場合、認証端末30の表示部35には、認証が成功しないことを示すメッセージが表示される。
図5に示すメッセージが表示部35に表示されると、例えば、何れかのユーザは、近くにいる他のユーザに対し、セキュリティゲートSGから離れることを促す。他のユーザがセキュリティゲートSGから離れて認証可能領域A2の外に出ると、認証の制限が解除される。この場合、図4と同様にして認証が成功し、セキュリティゲートSGのロックが解除される。
図6は、互いに顔が似ていない複数のユーザが認証可能領域A2の中にいる場合を示す図である。互いに顔が似ていなければ、一方のユーザが他方のユーザとして認証されないので、図6に示すように、認証の成功が制限されない。即ち、本実施形態では、複数のユーザが認証可能領域A2の中にいる場合に、強制的に認証の成功を制限するのではなく、なりすましの可能性がない場合には、認証の成功を許可して利便性を高めるようにしている。
以上のように、認証システムSは、互いに顔が似た複数のユーザが認証可能領域A2の中にいる場合に、認証の成功を制限することによって、なりすましを防止してセキュリティを高めるようにしている。以降、この技術の詳細を説明する。
[1−3.実施形態1において実現される機能]
図7は、実施形態1において実現される機能の一例を示す機能ブロック図である。ここでは、サーバ10、ユーザ端末20、及び認証端末30の各々で実現される機能を説明する。
[1−3−1.サーバにおいて実現される機能]
図7に示すように、サーバ10では、データ記憶部100、識別情報取得部101、認証部102、可能性判定部103、制限部104、通知部105、及び除外部106が実現される。
[データ記憶部]
データ記憶部100は、記憶部12を主として実現される。データ記憶部100は、本実施形態で説明する処理を実行するために必要なデータを記憶する。ここでは、データ記憶部100が記憶するデータの一例として、ユーザデータベースDB、認証端末リストL1、及び接近ユーザリストL2について説明する。
図8は、ユーザデータベースDBのデータ格納例を示す図である。図8に示すように、ユーザデータベースDBは、ユーザに関する各種情報が格納されたデータベースである。例えば、ユーザデータベースDBには、ユーザID、ユーザの氏名、パスワード、顔写真、及び顔の特徴量が格納される。例えば、ユーザがサーバ10に所定の利用登録をすると、ユーザIDが新たに発行され、ユーザデータベースDBに新たなレコードが作成される。当該レコードには、ユーザが入力した氏名及びパスワードと、ユーザがアップロードした顔写真及び当該顔写真に基づいて計算された特徴量と、が格納される。なお、ユーザデータベースDBに格納される情報は、図8の例に限られず、ユーザの連絡先や住所といった任意の情報が格納されてよい。
パスワード及び顔の特徴量は、認証情報の一種である。認証情報とは、認証時に参照される情報であり、認証方法によって呼び名が異なる。例えば、電子スタンプ認証であれば、スタンプのマルチタッチパターンが認証情報となり、合言葉認証であれば、合言葉が認証情報となる。パスワード及び顔の特徴量の各々は、任意の目的で利用されてよい。本実施形態では、パスワードは、ユーザが顔写真の登録申請をしたり登録済みの情報を編集したりするために利用され、顔の特徴量は、ユーザがセキュリティゲートSGを通過するために利用される。なお、顔写真が認証情報に相当してもよい。
顔の特徴量は、顔の特徴を数値化した情報であり、例えば、顔のパーツの相対位置、大きさ、又は形状などの特徴が示されている。本実施形態では、顔写真が示す顔の特徴量を予め計算しておくものとするが、顔の特徴量は、認証時にその場で計算されてもよい。複数の顔写真が登録される場合には、顔写真ごとに、顔の特徴量が計算される。顔認証自体は、種々の手法を適用可能であり、例えば、主成分分析、線形判別分析、弾性マッチング、又は隠れマルコフモデルといった手法を利用可能であり、特徴量は、これらの手法に応じた計算式で計算されるようにすればよい。例えば、顔の特徴量は、多次元のベクトルで示されるものとするが、配列や単一の数値といった他の形式で示されてもよい。
図9は、認証端末リストL1のデータ格納例を示す図である。図9に示すように、認証端末リストL1は、認証システムSに含まれる複数の認証端末30に関するリストである。例えば、認証端末リストL1には、認証端末30を一意に識別する認証端末ID、認証端末30の名前を示す認証端末名、及び認証端末位置情報が格納される。
認証端末位置情報は、認証端末30の位置に関する情報である。認証端末位置情報は、認証端末30の位置を特定可能な情報であればよく、例えば、緯度経度情報、座標情報、住所情報、アクセスポイント情報、ビーコン情報、又は携帯基地局情報である。なお、認証端末位置情報は、認証端末30が配置された領域を示してもよい。領域は、認証端末30の大まかな位置であり、例えば、都市名、エリア、郵便番号、駅名、空港名、又は停留所名であってもよいし、緯度経度情報又は座標情報がプロットされる地図上又は座標上の領域であってもよい。
認証端末位置情報は、認証システムSの管理者によって入力されてもよいし、認証端末30から取得されてもよい。例えば、認証端末30がGPS受信部を含む場合には、認証端末30がGPS受信部を利用して取得した認証端末位置情報が認証端末リストL1に登録される。また例えば、認証端末30の通信部33により取得された認証端末位置情報が認証端末リストL1に登録される。また例えば、認証端末30の操作部34から入力された認証端末位置情報が認証端末リストL1に登録される。
図10は、接近ユーザリストL2のデータ格納例を示す図である。図10に示すように、接近ユーザリストL2は、認証端末30に近づいたユーザを示すリストである。本実施形態では、複数の認証端末30が含まれているため、接近ユーザリストL2には、認証端末30ごとに、近づいたユーザが示されている。例えば、接近ユーザリストL2には、認証端末IDごとに、認証端末30に近づいたユーザのユーザIDと、第2無線通信部23Bを一意に識別する無線通信IDと、が格納される。
無線通信IDは、無線通信インタフェースを識別可能な情報であればよく、例えば、UUID又はBLE−IDなどである。無線通信IDは、任意の記号列によって示される。無線通信IDは、ユーザが編集できないように固定されていてもよいし、ユーザによる編集が可能であってもよい。図3を参照して説明したように、本実施形態では、ユーザが通信可能領域A1の中に移動すると、認証端末ID、ユーザID、及び無線通信IDがアップロードされるので、接近ユーザリストL2には、これらアップロードされた情報が格納される。
[識別情報取得部]
識別情報取得部101は、制御部11を主として実現される。識別情報取得部101は、認証端末30に近づいたユーザ端末20から識別情報を取得する。
認証端末30に近づいたユーザ端末20とは、認証端末30から所定距離以内にいるユーザのユーザ端末20である。本実施形態では、第2無線通信部33Bが通信可能な範囲を示す通信可能領域A1の中に入ることが、認証端末30に近づくことに相当する場合を説明する。
なお、認証端末30に近づいたか否かを判定するための領域は、通信可能な範囲に関係なく定められていてもよい。例えば、第2無線通信部33Bの通信可能な範囲の最大距離よりも短い距離まで近づいた場合に認証端末30に近づいたと判定されてもよいし、通信可能領域A1の外ではあるがある程度近づいた場合に認証端末30に近づいたと判定されてもよい。
識別情報は、ユーザを識別可能な情報であればよく、例えば、ユーザID、ユーザ端末20の個体識別情報、ユーザ端末20の電話番号、又は無線通信IDである。本実施形態では、ユーザIDが識別情報に相当する場合を説明する。このため、本実施形態でユーザIDと記載した箇所は、識別情報と読み替えることができる。
識別情報取得部101は、ユーザ端末20が通信可能領域A1の中に入った場合に、当該ユーザ端末20からユーザIDを取得する。例えば、ユーザ端末20は、認証端末30に近づいた場合に自発的にユーザIDをアップロードし、識別情報取得部101は、自発的にアップロードされたユーザIDを取得する。
なお、ユーザIDは、ユーザ端末20が認証端末30に近づいた場合に自発的にアップロードされるのではなく、ユーザ端末20からサーバ10に対し、定期的にアップロードされてもよい。即ち、ユーザ端末20は、認証端末30の近くにいるか否かに関係なく、定期的にユーザIDをアップロードしてもよい。この場合、識別情報取得部101は、ユーザ端末20のユーザIDとともに位置情報を取得し、認証端末30に近づいたユーザ端末20を特定し、当該ユーザ端末20から受信していたユーザIDを、認証端末30に近づいたユーザ端末20の識別情報として取得してもよい。
[認証部]
認証部102は、制御部11を主として実現される。認証部102は、認証端末30を利用して取得された認証情報(以降、単に「取得された認証情報」と記載する。)と、認証端末30の付近にいるユーザのユーザIDに関連付けられてデータ記憶部100に登録された認証情報(以降、単に「登録された認証情報」と記載する。)と、に基づいて、認証を行う。
取得された認証情報とは、認証端末30が自身で取得した認証情報を意味してもよいし、認証端末30が取得した情報に基づいて他のコンピュータが取得した認証情報を意味してもよい。本実施形態では、顔の特徴量が認証情報に相当し、サーバ10が顔の特徴量を計算するので、取得された認証情報は、サーバ10が認証端末30から取得した画像に基づいて計算する。なお、認証端末30は、撮影部36により撮影された画像に基づいて、顔の特徴量を計算し、当該計算された顔の特徴量をサーバ10にアップロードしてもよい。
取得された認証情報は、登録された認証情報と比較される情報である。別の言い方をすれば、取得された認証情報は、認証時のクエリとなる情報である。一方、登録された認証情報は、ユーザにより登録された認証情報であり、認証時の正解となりうる認証情報である。別の言い方をすれば、登録された認証情報は、入力された認証情報と比較される情報であり、認証時のインデックスとなる情報である。本実施形態では、ユーザデータベースDBに格納された顔の特徴量は、登録された認証情報に相当する。
なお、顔の特徴量は、ユーザIDに関連付けられてユーザデータベースDBに登録されており、無線通信IDには関連付けられていない。このため、本実施形態では、登録された認証情報を特定するためには、ユーザIDが必要であり、ユーザ端末20の個体識別情報、ユーザ端末20の電話番号、又は無線通信IDでは、登録された認証情報を特定することができないようになっている。
認証端末30の付近にいるユーザとは、認証端末30から所定距離以内にいるユーザである。本実施形態では、認証が可能になる認証可能領域A2の中にいることが、認証端末30に付近にいることに相当する場合を説明する。本実施形態では、「認証端末30に近づく」とは、通信可能領域A1の中に入ることを意味し、「認証端末30の付近にいる」とは、認証可能領域A2の中にいることを意味し、これらを区別する。なお、これらの意味が同じであってもよく、認証可能領域A2の中に入ることが認証端末30に近づくことを意味してもよいし、通信可能領域A1の中にいることが認証端末30の付近にいることを意味してもよい。
関連付けられるとは、複数の情報が互いに紐づけられることである。ある情報を利用して他の情報を検索可能な場合には、これらの情報が関連付けられていることを意味する。本実施形態では、ユーザデータベースDBにおいて、ユーザIDと認証情報が同じレコードに格納されており、ユーザIDと認証情報が関連付けられて登録されている。
認証部102は、取得された認証情報と、登録された認証情報と、を比較することによって、認証を行う。例えば、認証部102は、取得された認証情報と登録された認証情報とが一致又は類似するか否かを判定することによって、認証を行う。認証部102は、取得された認証情報と登録された認証情報とが一致又は類似しない場合には、認証が成功しないと判定し、取得された認証情報と登録された認証情報とが一致又は類似する場合に、認証が成功したと判定する。
一致とは、入力された認証情報と、登録された認証情報と、が同一であることを意味する。ここでの一致は、部分一致ではなく、完全一致を意味する。このため、認証情報の一致が判定される場合には、認証情報が一部でも異なっていれば、認証が成功しない。例えば、パスワード認証では、パスワードの一致が判定される。
類似とは、取得された認証情報と、登録された認証情報と、が類似しているか否かである。別の言い方をすれば、類似性とは、入力された認証情報と、登録された認証情報と、の差又は違いである。例えば、生体認証では、生体認証情報の類似が判定される。
本実施形態では、認証情報の類似が判定される場合を説明する。例えば、認証部102は、取得された認証情報と、登録された認証情報と、に基づいて、類似度を計算する。認証部102は、類似度が閾値未満であれば、認証が成功しないと判定し、類似度が閾値以上であれば、認証が成功したと判定する。
類似度とは、類似の程度を示す指標である。別の言い方をすれば、類似度とは、これら認証情報の差又は違いの小ささを示す指標である。類似度が高いほど、互いの認証情報が類似していることを示し、類似度が小さいほど、互いの認証情報が類似していないことを示す。類似度は、認証情報が類似する蓋然性ということもできる。類似度は、0%〜100%の間のパーセンテージで示されてもよいし、他の数値範囲の中で示されてもよい。
本実施形態では、生体認証が用いられるので、認証部102は、認証端末30を利用して取得された生体認証情報と、登録された生体認証情報と、に基づいて、認証を行う。例えば、認証部102は、取得された生体認証情報が示す特徴量と、登録された生体認証情報が示す特徴量と、に基づいて、類似度を計算する。これらの特徴量の差をそのまま類似度にしてもよいし、これらの特徴量を所定の計算式に代入することによって類似度が計算されてもよい。特徴量がベクトルで表現される場合には、ベクトル間の距離が類似度となってもよい。
本実施形態では、ユーザが認証端末30に近づいた場合に、ユーザ端末20からサーバ10にユーザIDが送信されるので、認証部102は、ユーザ端末20から取得されたユーザIDに基づいて、登録された認証情報を取得し、認証を行う。ユーザ端末20から受信したユーザIDは、接近ユーザリストL2に格納されるので、認証部102は、接近ユーザリストL2に格納されたユーザIDに関連付けられて登録された認証情報に基づいて、認証を行う。
[可能性判定部]
可能性判定部103は、制御部11を主として実現される。可能性判定部103は、認証端末30の付近に複数のユーザがいる場合に、一のユーザが他のユーザとして認証される可能性があるか否かを判定する。
ここでの可能性とは、認証端末30の付近にいる複数のユーザのうちの少なくとも1人によるなりすましの可能性である。別の言い方をすれば、認証端末30の付近にいる複数のユーザの何れかのユーザが他のユーザとして誤って認証される可能性である。以降、可能性判定部103が判定する可能性を、なりすましの可能性と記載する。このため、本実施形態でなりすましの可能性と記載した箇所は、単に可能性と読み替えることができる。
可能性判定部103は、取得された認証情報と、登録された認証情報と、の少なくとも一方に基づいて、なりすましの可能性があるか否かを判定する。本実施形態では、可能性判定部103が、これら両方に基づいて、なりすましの可能性があるか否かを判定する場合を説明するが、後述する変形例のように、可能性判定部103は、これらの一方のみに基づいて、なりすましの可能性を判定してもよい。
例えば、可能性判定部103は、取得された認証情報と一致又は類似する登録された認証情報が複数存在する場合に、なりすましの可能性があると判定する。別の言い方をすれば、可能性判定部103は、認証端末30の付近にいる複数のユーザの中に、取得された認証情報で認証が成功しうるユーザが複数人いる場合に、なりすましの可能性があると判定する。
可能性判定部103は、認証端末30の付近にいる複数のユーザの中にいる、取得された認証情報と類似する登録された認証情報を有するユーザの人数を特定する。可能性判定部103は、当該特定した人数が1人であれば、なりすましの可能性があると判定せず、当該特定した人数が複数人(2人以上)であれば、なりすましの可能性があると判定する。
本実施形態では、近距離無線通信を利用して認証端末30の付近にいるユーザが検出されるので、可能性判定部103は、近距離無線通信の通信内容に基づいて認証端末30の付近に複数のユーザがいると判定された場合に、なりすましの可能性があるか否かを判定する。認証端末30の付近にユーザが誰もいなかったり1人だけいたりした場合には、可能性判定部103は、なりすましの可能性を判定する処理を実行しなくてもよい。
なお、近距離無線通信は、端末間で直接的に通信可能な通信規格を利用すればよく、本実施形態では、Bluetooth(登録商標)を説明するが、先述したWi−Fiなどの他の通信規格を利用してもよい。近距離無線通信では、複数の端末の各々が互いの通信範囲内にいる場合に、他の機器を介さない直接的な通信が可能となる。近距離無線通信の通信範囲は、通信規格で定められた範囲であればよく、例えば、1メートル〜100メートル程度である。
[制限部]
制限部104は、制御部11を主として実現される。制限部104は、なりすましの可能性があると判定された場合に、認証の成功を制限する。制限部104は、なりすましの可能性があると判定されない場合には、認証の成功を制限しない。
認証の成功を制限とは、認証部102により認証成功と判定されないようにすることである。別の言い方をすれば、取得された認証情報と登録された認証情報とが一致又は類似していたとしても、認証成功と判定されないようにすることは、認証の成功を制限することに相当する。ここでの制限は、禁止と同じ意味であり、許可とは反対の意味である。
本実施形態では、認証が成功すると、サーバ10は、所定の処理を実行する。制限部104により認証の成功が制限されると、当該所定の処理が実行されない。このため、認証の成功を制限することは、所定の処理の実行を禁止するということもできる。当該所定の処理は、認証が成功したことを条件として実行が許可される処理であればよく、本実施形態では、認証端末30に対し、認証が成功したことを示す情報を送信すること、又は、セキュリティゲートSGのロック解除の命令を送信することである。なお、所定の処理は、認証システムSを利用する場面に応じて定めておけばよく、例えば、決済処理であってもよいし、サービスの利用を許可する画像を表示させる処理であってもよい。
制限部104による制限は、任意のタイミングで解除されてよく、例えば、制限部104は、なりすましの可能性があると判定されて認証の成功が制限された後に、なりすましの可能性があると判定されなくなった場合に、認証の成功を許可する。制限部104は、なりすましの可能性があると判定されなくなるまでは、認証の成功の制限を継続して実行する。
[通知部]
通知部105は、制御部11を主として実現される。通知部105は、なりすましの可能性があると判定された場合に、複数のユーザのうちの少なくとも1人に対し、所定の通知を行う。
所定の通知とは、認証の成功が制限されることを示す通知である。別の言い方をすれば、所定の通知は、なりすましの可能性があると判定された場合に行われる通知である。以降、通知部105により行われる通知を、認証制限通知をいう。
認証制限通知は、人間が知覚可能な通知であればよい。本実施形態では、視覚的な通知を例に挙げるが、音声を利用した聴覚的な通知であってもよいし、振動などを利用した触覚的な通知であってもよい。認証制限通知の内容は、認証システムSの管理者により編集可能であってよく、例えば、認証端末30から離れることを促す内容、顔が似たユーザがいることを示す内容、又は認証が成功しないことを示す内容などである。
本実施形態では、サーバ10によって通知部105が実現されるので、通知部105は、ユーザ端末20又は認証端末30に対し、認証制限通知をするためのデータを送信することによって、認証制限通知を行う。このデータは、任意の形式のデータであってよく、例えば、メッセージ、画像、プッシュ通知、又は電子メールなどである。認証制限通知をするためのデータは、データ記憶部100に予め記憶されており、通知部105は、データ記憶部100に記憶されたデータに基づいて、認証制限通知を行う。
なお、認証制限通知は、認証端末30を利用するのではなく、ユーザ端末20を利用して行われてもよい。例えば、通知部105は、認証端末の付近にいる複数のユーザの少なくとも1人のユーザ端末20に対し、認証制限通知を送信してもよい。この場合、これら複数のユーザの全員に対して認証制限通知が行われてもよいし、一部のユーザに対してだけ認証制限通知が行われてもよい。
[除外部]
除外部106は、制御部11を主として実現される。除外部106は、認証端末30に近づいたユーザ端末20が認証端末30から離れた場合に、登録された認証情報が認証で使用されないように除外する。
認証端末30から離れるとは、認証端末30から所定距離以上の位置に移動することである。即ち、認証端末30に近づいた状態から認証端末30に近づいていない状態に変化することは、認証端末30から離れることに相当する。本実施形態では、第2無線通信部33Bが通信可能な範囲を示す通信可能領域A1の中に入ることが、認証端末30に近づくことに相当するので、通信可能領域A1の中から外に出ることが、認証端末30から離れることに相当する。
除外とは、取得された認証情報との比較対象とはならないようにすること、又は、認証部102による参照対象とはならないようにすることである。即ち、認証時のインデックスとはならないようにすることが除外に相当する。本実施形態では、接近ユーザリストL2に格納されたユーザIDを削除することによって除外が行われる場合を説明するが、ユーザIDを削除するのではなく、フラグ等の情報を変更して除外が行われてもよい。
本実施形態では、ユーザ端末20が認証端末30から離れた場合に、認証制限通知が送信されるので、除外部106は、認証制限通知を受信した場合に、登録された認証情報が認証で使用されないように除外する。除外部106は、認証制限通知を受信したことを条件として、登録された認証情報が認証で使用されないように除外する。このため、除外部106は、認証制限通知を受信するまでは除外をせずに、認証制限通知を受信したことに応じて除外をする。
[1−3−2.ユーザ端末において実現される機能]
図7に示すように、ユーザ端末20では、データ記憶部200、第1取得部201、第2取得部202、接近判定部203、識別情報送信部204、離脱判定部205、及び通知送信部206が実現される。
[データ記憶部]
データ記憶部200は、記憶部22を主として実現される。データ記憶部200は、本実施形態で説明する処理を実行するために必要なデータを記憶する。例えば、データ記憶部200は、ユーザの顔写真のデータを記憶する。また例えば、データ記憶部200は、ユーザID、パスワード、ユーザ端末20の個体識別情報、ユーザ端末20の電話番号、又は通信部23のIDを記憶してもよい。本実施形態では、第1無線通信部23A及び第2無線通信部23Bが通信部23に含まれているので、通信部23のIDには、第1無線通信部23Aの無線通信IDと、第2無線通信部23Bの無線通信IDと、が含まれる。
本実施形態では、データ記憶部200は、認証端末リストL1を記憶する。認証端末リストL1のデータ格納例は、図9を参照して説明した通りである。なお、データ記憶部200に記憶された認証端末リストL1には、全ての認証端末30の情報が示される必要はなく、一部の認証端末30の情報だけが示されてもよい。例えば、データ記憶部200は、ユーザが通過可能なセキュリティゲートSGに接続された認証端末30の情報だけを示す認証端末リストL1を記憶してもよい。
[第1取得部]
第1取得部201は、制御部21を主として実現される。第1取得部201は、認証端末30の位置に関する認証端末位置情報を取得する。本実施形態では、認証端末リストL1に認証端末位置情報が格納されているので、第1取得部201は、データ記憶部200に記憶された認証端末リストL1を参照し、認証端末位置情報を取得する。なお、データ記憶部200に認証端末リストL1を記憶させない場合には、第1取得部201は、サーバ10のデータ記憶部200に記憶された認証端末リストL1を参照し、認証端末位置情報を取得してもよい。
[第2取得部]
第2取得部202は、制御部21を主として実現される。第2取得部202は、ユーザ端末20の位置に関するユーザ端末位置情報を取得する。
ユーザ端末位置情報は、ユーザ端末20の現在位置を識別可能な情報であり、例えば、緯度経度情報、座標情報、アクセスポイント情報、ビーコン情報、又は携帯基地局情報である。本実施形態では、ユーザ端末位置情報が緯度経度情報又は座標情報であり、第2取得部202は、ユーザ端末20のGPS受信部26により受信された信号に基づいて、ユーザ端末位置情報を取得する場合を説明する。
なお、ユーザ端末位置情報がアクセスポイント情報、ビーコン情報、又は携帯基地局情報である場合には、第2取得部202は、ユーザ端末20の通信部23の通信内容に基づいて、ユーザ端末位置情報を取得する。また、第2取得部202は、他の方法に基づいて、ユーザ端末位置情報を取得してもよい。例えば、ユーザ端末20が撮影部を含む場合には、第2取得部202は、撮影部により撮影された画像に基づいて、ユーザ端末位置情報を取得してもよい。
[接近判定部]
接近判定部203は、制御部21を主として実現される。接近判定部203は、認証端末位置情報とユーザ端末位置情報とに基づいて、認証端末30に近づいたか否かを判定する。例えば、接近判定部203は、認証端末位置情報が示す位置と、ユーザ端末位置情報が示す位置と、の距離を計算し、当該距離が閾値未満である場合に、認証端末30に近づいたと判定する。本実施形態では、通信可能領域A1の中に入ることが認証端末30に近づくことに相当するので、接近判定部203は、認証端末位置情報に基づいて設定される通信可能領域A1の中にユーザ端末20が入ったか否かを判定する。
なお、アクセスポイント情報などを利用する場合には、接近判定部203は、認証端末位置情報とユーザ端末位置情報とが一致するか否かを判定してもよい。接近判定部203は、これらが一致する場合に、認証端末30に近づいたと判定する。また例えば、接近判定部203は、認証端末位置情報が示す領域に、ユーザ端末位置情報が示す位置が含まれるか否かを判定してもよい。接近判定部203は、認証端末位置情報が示す領域に、ユーザ端末位置情報が示す位置が含まれる場合に、認証端末30に近づいたと判定する。
[識別情報送信部]
識別情報送信部204は、制御部21を主として実現される。識別情報送信部204は、認証端末30に近づいたと判定された場合に、ユーザIDを送信する。識別情報送信部204は、認証端末30に近づいたと判定されることを条件として、ユーザIDを送信する。識別情報送信部204は、認証端末30に近づいたと判定されるまでは、ユーザIDの送信をせず、認証端末30に近づいたことに応じてユーザIDを送信する。本実施形態では、ユーザIDの送信先がサーバ10である場合を説明するが、送信先は、他のコンピュータであってもよく、他のコンピュータ経由でサーバ10にユーザIDが送信されてもよい。
[離脱判定部]
離脱判定部205は、制御部21を主として実現される。離脱判定部205は、認証端末位置情報とユーザ端末位置情報とに基づいて、認証端末30から離れたか否かを判定する。例えば、離脱判定部205は、認証端末位置情報が示す位置と、ユーザ端末位置情報が示す位置と、の距離を計算し、当該距離が閾値以上である場合に、認証端末30から離れたと判定する。本実施形態では、通信可能領域A1の外に出ることが認証端末30から離れることに相当するので、接近判定部203は、認証端末位置情報に基づいて設定される通信可能領域A1の外にユーザ端末20が出たか否かを判定する。
また例えば、アクセスポイント情報などを利用する場合には、離脱判定部205は、認証端末位置情報とユーザ端末位置情報とが一致するか否かを判定してもよい。離脱判定部205は、これらが一致しない場合に、認証端末30から離れたと判定する。また例えば、離脱判定部205は、認証端末位置情報が示す領域に、ユーザ端末位置情報が示す位置が含まれるか否かを判定してもよい。離脱判定部205は、認証端末位置情報が示す領域に、ユーザ端末位置情報が示す位置が含まれない場合に、認証端末30から離れたと判定する。
[通知送信部]
通知送信部206は、制御部21を主として実現される。通知送信部206は、認証端末30から離れたと判定された場合に、所定の通知を送信する。本実施形態では、通知の送信先がサーバ10である場合を説明するが、送信先は、他のコンピュータであってもよく、他のコンピュータ経由でサーバ10に通知が送信されてもよい。ここでの所定の通知は、認証端末30から離れたことを示す通知である。以降、通知送信部206により行われる通知を、離脱通知をいう。通知送信部206は、ユーザが認証端末30から離れたことを示す所定形式のデータを送信することによって、離脱通知を送信する。
[1−3−3.認証端末において実現される機能]
図7に示すように、認証端末30では、データ記憶部300及び通信内容判定部301が実現される。なお、本実施形態では、認証端末30が認証システムSに含まれる場合を説明するが、認証端末30は、認証システムSと通信可能な外部装置であってもよい。
[データ記憶部]
データ記憶部300は、記憶部32を主として実現される。データ記憶部300は、本実施形態で説明する処理を実行するために必要なデータを記憶する。例えば、データ記憶部300は、認証端末30の認証端末ID及び通信相手リストL3を記憶する。
図11は、通信相手リストL3のデータ格納例を示す図である。図11に示すように、通信相手リストL3は、認証端末30の第2無線通信部33Bの通信可能領域A1の中にいるユーザ端末20のリストである。例えば、通信相手リストL3には、通信可能領域A1の中にいるユーザ端末20の第2無線通信部23Bの無線通信IDと、当該ユーザ端末20と認証端末30との間の距離と、が格納される。
無線通信IDは、ユーザ端末20と認証端末30との間で行われる近距離無線通信によって取得される。距離は、ユーザ端末20と認証端末30との間で行われる近距離無線通信の信号強度によって計測される。なお、距離は、近距離無線通信ではなく、撮影部36の画像を解析することによって取得されてもよいし、深度センサ又は超音波センサなどの他の方法を利用して取得されてもよい。
[通信内容判定部]
通信内容判定部301は、制御部31を主として実現される。通信内容判定部301は、認証端末30とユーザ端末20との間で行われた近距離無線通信の通信内容に基づいて、認証端末30の付近にユーザがいるか否かを判定する。本実施形態では、通信内容は、ユーザ端末20の第2無線通信部23Bと、認証端末30の第2無線通信部33Bと、の間でやり取りされたデータの内容である。
通信内容判定部301は、近距離無線通信により、ユーザ端末20から無線通信IDを受信したか否かを判定することによって、認証端末30の付近にユーザがいるか否かを判定する。通信内容判定部301は、無線通信IDを受信しない場合には、認証端末30の付近にユーザがいると判定せず、無線通信IDを受信した場合に、認証端末30の付近にユーザがいると判定する。
なお、本実施形態では、近距離無線通信の一例として、Bluethooth(登録商標)を説明するが、端末間で直接的に通信可能な近距離無線通信であればよく、他の通信規格を利用してもよい。例えば、Wi−Fi又は赤外線通信などが利用されてもよい。
本実施形態の近距離無線通信は、認証端末30とユーザ端末20との距離を計測可能であり、通信内容判定部301は、近距離無線通信により計測された距離に基づいて、認証端末30の付近にユーザがいるか否かを判定する。距離の計測方法自体は、通信規格で定められた方法を利用可能であり、近距離無線通信における信号強度を利用すればよい。例えば、信号強度が強いほど計測される距離が短くなり、信号強度が弱いほど計測される距離が長くなる。
通信内容判定部301は、認証端末30とユーザ端末20との距離が閾値以上である場合には、認証端末30の付近にユーザがいるとは判定せず、距離が閾値未満である場合に、認証端末30の付近にユーザがいると判定する。本実施形態では、認証可能領域A2の中にいることが認証端末30の付近にいることに相当するので、通信内容判定部301は、認証端末30から所定距離以内の領域である認証可能領域A2の中にユーザがいるか否かを判定する。
[1−4.実施形態1において実行される処理]
図12及び図13は、実施形態1において実行される処理を示すフロー図である。図12及び図13に示す処理は、制御部11,21,31が、それぞれ記憶部12,22,32に記憶されたプログラムに従って動作することによって実行される。下記に説明する処理は、図7に示す機能ブロックにより実行される処理の一例である。
図12に示すように、まず、ユーザ端末20において、制御部21は、GPS受信部26により受信された信号に基づいて、ユーザ端末位置情報を取得する(S100)。S100の処理は、定期的に実行され、制御部21は、最新の現在位置を示すユーザ端末位置情報を繰り返し取得する。
制御部21は、記憶部22に記憶された認証端末リストL1に基づいて、ユーザが認証端末30に近づいたか否かを判定する(S101)。S101においては、制御部21は、認証端末リストL1に格納された認証端末IDごとに、認証端末位置情報とユーザ端末位置情報とに基づいて計算される距離が閾値以上であるか否かを判定する。
なお、本実施形態では、S101で用いられる閾値は、図3の通信可能領域A1の半径である場合を説明するが、閾値は、任意の値であってよい。制御部21は、距離が閾値以上の場合には、ユーザが認証端末30に近づいたと判定せず、距離が閾値未満の場合に、ユーザが認証端末30に近づいたと判定する。S101においては、制御部21は、ユーザが通信可能領域A1内に移動したか否かを判定することになる。
ユーザが認証端末30に近づいたと判定されない場合(S101;N)、S100の処理に戻る。一方、ユーザが認証端末30に近づいたと判定した場合(S101;Y)、制御部21は、第1無線通信部23Aを利用して、サーバ10に対し、認証端末30に近づいたことを示す接近通知を送信する(S102)。接近通知は、所定形式のデータが送信されることで行われるようにすればよく、例えば、ユーザが近づいた認証端末30の認証端末ID、ユーザID、及び第2無線通信部23Bの無線通信IDを含む。
サーバ10においては、接近通知を受信すると、制御部11は、認証端末30に近づいたユーザを接近ユーザリストL2に追加する(S103)。S103においては、制御部11は、受信した接近通知に含まれる認証端末ID、ユーザID、及び無線通信IDを接近ユーザリストL2に追加する。
制御部31は、操作部34の検出信号に基づいて、表示部35に表示されたボタンB35が選択されたか否かを判定する(S104)。ボタンB35が選択されたと判定されない場合(S104;N)、再びS104の処理に戻り、ボタンB35の選択が待ち受けられる。
一方、ボタンB35が選択されたと判定された場合(S104;Y)、認証端末30からユーザ端末20に対し、無線通信IDが要求され、ユーザ端末20の制御部21は、第2無線通信部23Bを利用して、認証端末30に対し、第2無線通信部23Bの無線通信IDを送信する(S105)。S105においては、ユーザ端末20の第2無線通信部23Bは、アドバタイズパケットを利用して、ペアリングを確立することなく、認証端末30に対し、無線通信IDを送信する。
認証端末30においては、無線通信IDを受信すると、制御部31は、通信相手リストL3に追加し(S106)、第2無線通信部23Bが受信した信号の強度をスキャンし、ユーザ端末20との距離を計測する(S107)。なお、S105〜S107の処理は、ボタンB35がタッチされる前に実行されてもよい。
制御部31は、リストに基づいて、認証端末30から所定距離以内にあるユーザ端末20の無線通信IDを取得する(S108)。S108においては、制御部31は、リストに格納された無線通信IDのうち、S107で計測された距離が閾値未満の無線通信IDを取得する。本実施形態では、この閾値は、認証可能領域A2に合わせて設定されているので、S108においては、制御部31は、認証可能領域A2の中にいるユーザ端末20の無線通信IDを取得する。
制御部31は、撮影部36を利用してユーザの顔を撮影する(S109)。S109においては、制御部31は、撮影部36の検出信号に基づいて、撮影結果を示す画像データを生成する。
制御部31は、サーバ10に対し、認証処理の実行を要求するための認証要求を送信する(S110)。認証要求は、所定形式のデータが送信されることで行われるようにすればよく、例えば、記憶部32に記憶された認証端末ID、S108で取得した無線通信ID、及びS109で撮影された画像を含む。
サーバ10においては、認証要求を受信すると、制御部11は、認証要求に含まれる画像に基づいて、認証端末30の前にいるユーザの顔の特徴量を計算する(S111)。S111において計算される顔の特徴量は、認証端末30を利用して取得される認証情報である。
制御部11は、接近ユーザリストL2のうち、認証端末30から所定距離以内にいるユーザのユーザIDを取得する(S112)。S112においては、制御部11は、接近ユーザリストL2のうち、認証処理に含まれる認証端末ID及び無線通信IDが格納されたレコードのユーザIDを取得する。別の言い方をすれば、制御部11は、認証要求に含まれる認証端末ID及び無線通信IDをクエリにして接近ユーザリストL2を検索し、ヒットしたレコードに格納されたユーザIDを取得する。
図13に移り、制御部11は、ユーザデータベースDBに基づいて、S111で取得したユーザIDに関連付けられて登録された顔の特徴量を取得する(S113)。S113においては、制御部11は、ユーザデータベースDBのうち、S112で取得したユーザIDが格納されたレコードを参照し、当該レコードに格納された顔の特徴量を取得する。S113で取得される顔の特徴量は、登録された認証情報である。
制御部11は、取得された顔の特徴量と、登録された顔の特徴量と、を比較する(S114)。S114においては、制御部11は、S112で取得したユーザIDごとに、取得された顔の特徴量と、登録された顔の特徴量と、の類似度を計算し、類似度が閾値以上であるか否かを判定する。
S114においては、制御部11は、類似度が閾値以上となるユーザIDが複数存在する場合に、なりすましの可能性があると判定する。制御部11は、類似度が閾値以上となるユーザIDが1つだけである場合に、なりすましの可能性がないと判定する。制御部11は、類似度が閾値以上となるユーザIDが存在しない場合に、認証が失敗したと判定する。
S114において、なりすましの可能性があると判定された場合(S114;可能性あり)、制御部11は、認証の成功を制限し、認証端末30に対し、認証制限通知を送信する(S115)。この場合、後述するS119の処理が実行されず、セキュリティゲートSGのロックが解除されない。
認証端末30においては、認証制限通知を受信すると、制御部31は、認証制限通知を表示部35に表示させ(S116)、S104の処理に戻る。S116の処理が実行されると、認証端末30は、図5の状態となり、セキュリティゲートSGのロックは解除されない。
一方、S114において、認証が失敗したと判定された場合(S114;失敗)、制御部11は、認証端末30に対し、認証に失敗したことを示す認証失敗通知を送信する(S117)。認証失敗通知は、所定形式のデータが送信されることで行われるようにすればよい。認証端末30においては、認証失敗通知を受信すると、制御部31は、表示部35に認証が失敗したことを表示させ(S118)、S104の処理に戻る。
一方、S114において、なりすましの可能性がないと判定された場合(S114;成功)、制御部11は、認証の成功を許可し、認証端末30に対し、認証が成功したことを示す認証成功通知を送信する(S119)。認証成功通知は、所定形式のデータが送信されることで行われるようにすればよく、例えば、セキュリティゲートSGのロックを解除する命令を示すコードを含む。
認証端末30においては、認証成功通知を受信すると、制御部31は、表示部35に認証が成功したことを表示させる(S120)。S120の処理が実行されると、認証端末30は、図4又は図6の状態となり、セキュリティゲートSGのロックが解除される。
一方、ユーザ端末20においては、制御部21は、GPS受信部26により受信された信号に基づいて、ユーザ端末位置情報を取得する(S121)。S121の処理は、S100と同様である。
制御部21は、ユーザが認証端末30から離れたか否かを判定する(S122)。S122においては、制御部21は、S101において近づいたと判定された認証端末30の認証端末位置情報と、S121において取得されたユーザ端末位置情報と、に基づいて計算される距離が閾値以上であるか否かを判定する。なお、本実施形態では、S122で用いられる閾値と、S101で用いられる閾値と、が同じ場合を説明するが、これらは異なってもよい。
ユーザが認証端末30から離れたと判定されない場合(S122;N)、S121の処理に戻る。一方、ユーザが認証端末30から離れたと判定された場合(S122;Y)、制御部21は、第1無線通信部23Aを利用して、サーバ10に対し、認証端末30から離れたことを示す離脱通知を送信する(S123)。離脱通知は、所定形式のデータが送信されることで行われるようにすればよく、例えば、ユーザが離れた認証端末30の認証端末ID、ユーザID、及び第2無線通信部23Bの無線通信IDを含む。
サーバ10においては、離脱通知を受信すると、制御部11は、認証端末30から離れたユーザを接近ユーザリストL2から削除し(S124)、本処理は終了する。S124においては、制御部11は、受信した離脱通知に含まれる認証端末ID、ユーザID、及び無線通信IDを接近ユーザリストL2から削除する。
以上説明した認証システムSによれば、認証端末30の付近に複数のユーザがいる場合に、なりすましの可能性があるか否かを判定し、なりすましの可能性があると判定された場合に、認証の成功を制限することによって、なりすましを防止してセキュリティを高めることができる。また、認証端末30の付近に複数のユーザがいる場合に、互いに顔が似ているか否かに関係なく、強制的に認証の成功を制限したとすると、なりすましの可能性がないにも関わらず、認証の成功が制限され、ユーザの利便性が低減してしまう。この点、認証システムSでは、認証端末30の付近にいる複数のユーザの顔が互いに似ておらず、なりすましの可能性がない場合には、認証の成功が制限されないので、ユーザの利便性を高めることができる。
また、なりすましの可能性があると判定されて認証の成功が制限された後に、なりすましの可能性があると判定されなくなった場合に、認証の成功を許可することにより、顔が似たユーザが認証端末30の付近から立ち去ったにも関わらず認証が成功しないといったことを防止でき、ユーザの利便性を高めることができる。
また、取得された認証情報と一致又は類似する登録された認証情報が複数存在する場合に、なりすましの可能性があると判定されることで、なりすましの可能性の有無を正確に判定することができる。
また、なりすましの可能性があると判定された場合に、複数のユーザのうちの少なくとも1人に対し、認証制限通知が行われることで、なりすましの可能性があることをユーザに把握させることができる。正当なユーザは、なぜ認証が成功しないのかを把握することができ、認証を成功させるためには、顔が似た他のユーザに離れてもらうなどの対策を取ることができる。
また、認証端末30に近づいたユーザ端末20から取得されたユーザIDに基づいて、登録された認証情報が取得されて認証が実行されるので、認証端末30に近づいたユーザを正確に特定することができる。ユーザ端末20が自発的にユーザIDを送信することにより、ユーザがポケット又は鞄などからユーザ端末20を取り出さなくても認証を実行することができ、ユーザの手間を省くことができる。
また、認証端末30に近づいたユーザ端末20が認証端末30から離れた場合に、登録された認証情報が認証で使用されないように除外することで、顔が似たユーザが認証端末30から離れたにも関わらず認証が成功しないといったことを防止し、ユーザの利便性を高めることができる。
また、ユーザ端末20において、認証端末位置情報とユーザ端末位置情報とに基づいて、ユーザが認証端末30に近づいたか否かを判定し、認証端末30に近づいたと判定された場合に、ユーザIDがアップロードされることで、ユーザが認証端末30に近づいたか否かをサーバ10が判定する必要がなくなり、サーバ10の処理負荷を軽減することができる。また、ユーザが認証端末30に近づいたか否かをサーバ10が判定する場合には、ユーザ端末20からサーバ10にユーザ端末位置情報を常にアップロードする必要があり、ネットワークNの通信負荷が高まる懸念があるところ、ユーザ端末20において判定することによって、ユーザ端末位置情報をアップロードする必要がなくなり、ネットワークNの通信負荷を軽減することができる。
また、ユーザ端末20において、認証端末位置情報とユーザ端末位置情報とに基づいて、ユーザが認証端末30から離れたか否かを判定し、認証端末30から離れたと判定された場合に、離脱通知がアップロードされることで、ユーザが認証端末30から離れたか否かをサーバ10が判定する必要がなくなり、サーバ10の処理負荷を軽減することができる。また、ユーザが認証端末30から離れたか否かをサーバ10が判定する場合には、ユーザ端末20からサーバ10にユーザ端末位置情報を常にアップロードする必要があり、ネットワークNの通信負荷が高まる懸念があるところ、ユーザ端末20において判定することによって、ユーザ端末位置情報をアップロードする必要がなくなり、ネットワークNの通信負荷を軽減することができる。
また、認証端末30とユーザ端末20との間で行われた近距離無線通信の通信内容に基づいて、認証端末30の付近にユーザがいるか否かを判定することで、認証端末30の付近にいるユーザを正確に特定することができる。
また、認証端末30とユーザ端末20との距離を計測可能な近距離無線通信を利用して計測された距離に基づいて、認証端末30の付近にユーザがいるか否かを判定することで、認証端末30の付近にいるユーザをより正確に特定することができる。
また、顔認証などの生体認証では、認証情報の類似性によって認証の成否が判定されるので、比較的なりすましに合いやすいが、認証端末30の付近に複数のユーザがいる場合に、なりすましの可能性があるか否かを判定することによって、生体認証を利用したとしても、なりすましを防止してセキュリティを高めることができる。
[2.実施形態2]
次に、第2の実施形態(以降、実施形態2)について説明する。実施形態1では、ユーザ端末20の第2無線通信部23Bがオン状態になっており、ユーザが認証端末30に近づいた場合に、互いの第2無線通信部23B,33Bを利用して近距離無線通信が行われる場合を説明した。この点、第2無線通信部23Bがオフ状態になっている場合、ユーザは、認証を実行する前に、第2無線通信部23Bを手動でオン状態にする必要があり手間がかかる。また、第2無線通信部23Bが常にオン状態になっていると、近距離無線通信の必要がないときに無駄な電力を消費してしまう。
そこで、実施形態2では、第2無線通信部23Bがオフ状態の場合に、ユーザ端末20は、認証端末30に近づいたことを条件にして、第2無線通信部23Bをオフ状態からオン状態に自動的に切り替えることで、ユーザの手間をかけずに電力消費を抑えるようにしている。以降、実施形態2の詳細を説明する。なお、実施形態2では、実施形態1と同様の構成については説明を省略する。
[2−1.実施形態2において実現される機能]
図14は、実施形態2の機能ブロック図である。図14に示すように、実施形態2では、サーバ10及びユーザ端末20において実現される機能について説明する。
[2−1−1.サーバにおいて実現される機能]
サーバ10においては、データ記憶部100及び認証部102が実現される。なお、図14では省略しているが、実施形態2においても、実施形態1で説明した識別情報取得部101、可能性判定部103、制限部104、通知部105、及び除外部106が実現されてもよい。
例えば、データ記憶部100は、実施形態1で説明した機能と同様の機能を有し、ユーザデータベースDB、認証端末リストL1、及び接近ユーザリストL2を記憶する。
認証部102についても、実施形態1で説明した機能と同様の機能を有する。実施形態2では、ユーザが認証端末30に近づいた場合の第2無線通信部23Bがオフ状態である場合を想定しているので、認証部102は、切替部209によりオフ状態からオン状態に切り替わった第2無線通信部23Bと認証端末30との通信内容に基づいて、認証を行う。認証処理の詳細は、実施形態1で説明した通りである。
オフ状態とは、無線通信機能が無効の状態である。オフ状態は、第2無線通信部23Bに通電されていない状態であり、電源が切られている状態である。オン状態とは、無線通信機能が有効の状態である。オン状態は、第2無線通信部23Bに通電されている状態であり、電源が入っている状態である。ユーザ端末20に対してユーザが所定の操作をすることにより、オフ状態とオン状態を切り替えることができる。
なお、実施形態2における認証は、実施形態1とは異なる処理により実現されてもよい。例えば、実施形態2では、ユーザが認証端末30に近づいたときに、ユーザ端末20から認証端末30に認証情報が送信されてもよい。この場合、認証部102は、認証端末30を介してユーザ端末20から取得した認証情報に基づいて、認証を行ってもよい。認証の成否を判定する方法は、実施形態1で説明した通りである。
[2−1−2.ユーザ端末において実現される機能]
ユーザ端末20においては、データ記憶部200、位置情報取得部207、場所情報取得部208、及び切替部209が実現される。なお、図14では省略しているが、実施形態2においても、実施形態1で説明した接近判定部203、識別情報送信部204、離脱判定部205、及び通知送信部206が実現されてもよい。例えば、データ記憶部200は、実施形態1で説明した機能と同様の機能を有し、認証端末リストL1を記憶する。
[位置情報取得部]
位置情報取得部207は、制御部21を主として実現される。位置情報取得部207は、第2無線通信部23Bの位置に関する位置情報を取得する。位置情報は、第2無線通信部23Bの位置を特定可能な情報であればよく、例えば、第2無線通信部23Bを含むユーザ端末20の位置であってもよいし、第2無線通信部23Bがユーザ端末20とは別の筐体に存在する場合には、当該筐体の位置であってもよい。
本実施形態では、位置情報取得部207の機能が実施形態1の第1取得部201と同じ機能である場合を説明する。このため、実施形態1で説明したユーザ端末位置情報が実施形態2の位置情報に相当する。位置情報取得部207が位置情報を取得する方法は、実施形態1の第1取得部201で説明した通りであり、実施形態1の第1取得部201という記載を位置情報取得部207に読み替えればよい。例えば、位置情報取得部207は、GPS受信部26により受信された信号に基づいて、位置情報を取得する。
[場所情報取得部]
場所情報取得部208は、制御部21を主として実現される。場所情報取得部208は、第2無線通信部23Bの通電状態を切り替える切替場所に関する場所情報を取得する。
切替場所とは、第2無線通信部23Bをオン状態からオフ状態に切り替えるべき場所、又は、第2無線通信部23Bをオフ状態からオン状態に切り替えるべき場所である。例えば、認証端末30の付近、ユーザの自宅、ユーザの勤務先、又は、第2無線通信部23Bが通信したことのある通信機器の付近などのように、第2無線通信部23Bによる通信を必要とする場所は、第2無線通信部23Bをオフ状態からオン状態に切り替えるべき場所に相当する。また例えば、認証端末30から離れた場所、公共施設、公共交通機関、飛行機、又は病院などのように、第2無線通信部23Bによる通信を控えるべき場所は、第2無線通信部23Bをオン状態からオフ状態に切り替えるべき場所に相当する。
通電状態は、第2無線通信部23Bの回路に対する電力供給の有無であり、第2無線通信部23Bのオン/オフのことである。オン状態からオフ状態に変更すること、又は、オフ状態からオン状態に変更することは、通電状態を切り替えることに相当する。別の言い方をすれば、第2無線通信部23Bの回路に電力を供給するスイッチを切り替えることは、通電状態を切り替えることに相当する。
場所情報は、切替場所を特定可能な情報であればよく、例えば、切替場所の位置に関する情報であってもよいし、切替場所の領域に関する情報であってもよい。領域とは、切替場所の大まかな位置であり、一定の広さを有する。例えば、領域は、切替場所を示す所定形状の範囲で示されてもよいし、都市名、エリア、郵便番号、駅名、空港名、又は停留所名であってもよいし、緯度経度情報又は座標情報がプロットされる地図上又は座標上の領域であってもよい。
本実施形態では、切替場所が認証端末30の付近(通信可能領域A1)であり、場所情報が認証端末位置情報である場合を例に挙げて説明する。このため、場所情報取得部208の機能が実施形態1の第2取得部202と同じ機能である場合を説明する。場所情報取得部208が場所情報を取得する方法は、実施形態1の第2取得部202で説明した通りであり、実施形態1の第2取得部202という記載を場所情報取得部208に読み替えればよい。
[切替部]
切替部209は、制御部21を主として実現される。切替部209は、位置情報と場所情報とに基づいて、第2無線通信部23Bの通電状態を切り替える。
切り替えとは、第2無線通信部23Bをオン状態からオフ状態に変更すること、又は、第2無線通信部23Bをオフ状態からオン状態に変更することを意味する。別の言い方をすれば、第2無線通信部23Bの通電状態を変更することは、第2無線通信部23Bの通電状態を切り替えることに相当する。本実施形態では、切替部209が第2無線通信部23Bをオフ状態からオン状態に切り替える場合を説明するが、これとは逆に、切替部209は、第2無線通信部23Bをオン状態からオフ状態に切り替えてもよい。
切替部209は、第2無線通信部23Bの回路内のスイッチを制御することによって、通電状態を切り替える。スイッチは、ユーザ端末20の電源からの電力を、第2無線通信部23Bの回路内に通電させるためのスイッチである。切替部209は、当該スイッチをオン状態にするための第1の命令を第2無線通信部23Bに送ることにより、第2無線通信部23Bをオン状態にして、当該スイッチをオフ状態にするための第2の命令を第2無線通信部23Bに送ることにより、第2無線通信部23Bをオフ状態にする。
切替部209は、位置情報と場所情報とに基づいて、ユーザが切替場所又はその付近にいるか否かを判定する。切替部209は、切替場所又はその付近にいると判定しない場合には、第2無線通信部23Bの通電状態を切り替えず、切替場所又はその付近にいると判定した場合に、第2無線通信部23Bの通電状態を切り替える。
本実施形態では、場所情報は、切替場所の位置を示すので、切替部209は、位置情報が示す位置と、場所情報が示す位置と、の距離が閾値未満になったか否かを判定する。例えば、位置情報と場所情報が緯度経度情報又は座標情報で示される場合には、切替部209は、緯度経度情報又は座標情報に基づいて、距離を計算する。
例えば、切替部209は、上記計算された距離が閾値未満になったと判定された場合に、第2無線通信部23Bの通電状態を切り替える。別の言い方をすれば、切替部209は、距離が閾値未満になったことを条件として、第2無線通信部23Bの通電状態を切り替える。切替部209は、距離が閾値以上の状態から距離が閾値未満の状態に変化した場合に、第2無線通信部23Bの通電状態を切り替える。
本実施形態の第2無線通信部23Bは、オン状態の場合に、オフ状態とは異なるアイドル状態に移行可能であり、切替部209は、位置情報と場所情報とに基づいて、無線通信部をオフ状態からオン状態に切り替える。
アイドル状態は、第2無線通信部23Bの回路に通電されている状態ではあるが、オン状態よりも機能が制限された状態である。アイドル状態は、オン状態よりも消費電力が少ない。例えば、アイドル状態は、他の機器と通信をする頻度がオン状態よりも少ない。また例えば、アイドル状態は、他の機器との通信量がオン状態よりも少ない。また例えば、アイドル状態は、他の機器との通信速度がオン状態よりも遅い。
本実施形態では、切替場所には、認証端末30が配置されており、切替部209は、第2無線通信部23Bが認証端末30に近づいた場合に、第2無線通信部23Bをオフ状態からオン状態に切り替える。認証端末30に近づくことの意味は、実施形態1で説明した通りであり、ここでは、通信可能領域A1内に入ることを意味する。切替部209は、第2無線通信部23Bが通信可能領域に入った場合に、第2無線通信部23Bをオフ状態からオン状態に切り替える。
[2−2.実施形態2において実行される処理]
図15は、実施形態2において実行される処理を示すフロー図である。実施形態2においても、実施形態1と同様の処理が実行されてよく、第2無線通信部23Bがオフ状態の場合に、以降説明する処理が実行される。図15に示す処理は、制御部21が記憶部22に記憶されたプログラムに従って動作することによって実行される。下記に説明する処理は、図13に示す機能ブロックにより実行される処理の一例である。
まず、図15に示すように、ユーザ端末20においては、制御部21は、GPS受信部26により受信された信号に基づいて、第2無線通信部23Bの位置情報を取得する(S200)。S200の処理は、S100及びS121と同様である。
制御部21は、記憶部22に記憶された認証端末リストL1を参照し、認証端末30の場所情報を取得する(S201)。S201においては、制御部21は、認証端末リストL1に格納された場所情報を参照する。
制御部21は、S200で取得した位置情報と、S201で取得した場所情報と、に基づいて、第2無線通信部23Bが切替場所にいるか否かを判定する(S202)。S202の処理は、S101の処理と同様である。
第2無線通信部23Bが切替場所にいると判定されない場合(S202;N)、S200の処理に戻る。一方、第2無線通信部23Bが切替場所にいると判定された場合(S202;Y)、制御部21は、第2無線通信部23Bをオフ状態からオン状態に切り替え(S203)、本処理は終了する。S203においては、制御部21は、第2無線通信部23Bに対し、回路内を通電させるためのスイッチをオンにするための命令を送る。以降、第2無線通信部23Bがオン状態になり、実施形態1で説明したS102以降の処理が実行される。
以上説明した実施形態2によれば、位置情報と場所情報とに基づいて、第2無線通信部23Bの通電状態を切り替えることによって、第2無線通信部23Bを必要なときにだけ自動的にオン状態にすることができ、ユーザの手間をかけずに電力消費を抑えることができる。例えば、ユーザは、第2無線通信部23Bを利用する必要のないときはオフ状態にしておき、第2無線通信部23Bを利用したい切替場所に近づいたときに第2無線通信部23Bが自動的にオン状態にする場合、ユーザは、第2無線通信部23Bをオン状態にする操作をする必要がなくなる。また例えば、ユーザは、第2無線通信部23Bの利用を制限すべき切替場所から離れた場所にいるときはオン状態にしておき、切替場所に近づいたときに第2無線通信部23Bが自動的にオフ状態になるので、ユーザは、第2無線通信部23Bをオフ状態にする操作をする必要がなくなる。
また、衛星からの信号を受信するGPS受信部により受信された信号に基づいて位置情報を取得することで、切替場所にいることを正確に特定し、第2無線通信部23Bの通電状態を切り替えることができる。例えば、第2無線通信部23Bがオフ状態であったとしても、他の手段を利用して位置情報を取得することができる。
また、位置情報が示す位置と、場所情報が示す位置と、の距離が閾値未満になったか否かを判定し、距離が閾値未満になったと判定された場合に、第2無線通信部23Bの通電状態を切り替えることで、切替場所にいることを正確に特定し、第2無線通信部23Bの通電状態を切り替えることができる。
また、オン状態の場合に、オフ状態とは異なるアイドル状態に移行可能な第2無線通信部23Bをオフ状態からオン状態に切り替えることで、アイドル状態よりも電力消費を抑えることができる。
また、切替場所に認証端末30が配置されており、第2無線通信部23Bがオフ状態からオン状態に切り替わった場合に認証が行われることで、ユーザの手間をかけずに認証を行い、認証時の電力消費を抑えることもできる。
[3.変形例]
なお、本発明は、以上に説明した実施の形態に限定されるものではない。本発明の趣旨を逸脱しない範囲で、適宜変更可能である。
[3−1.実施形態1に係る変形例]
(1−1)まず、実施形態1に係る変形例について説明する。例えば、実施形態1では、取得された認証情報と一致又は類似する登録された認証情報の数に基づいて、なりすましの可能性の有無が判定される場合を説明したが、なりすましの可能性の有無を判定する方法は、実施形態1で説明した例に限られない。
本変形例の可能性判定部103は、認証端末30の付近にいる複数のユーザの各々の登録された認証情報を互いに比較することによって、なりすましの可能性があるか否かを判定してもよい。登録された認証情報を取得する方法は、実施形態1で説明した通りであり、可能性判定部103は、ユーザデータベースDB及び接近ユーザリストL2を参照し、認証端末30の付近にいる複数のユーザの各々のユーザIDに関連付けられた認証情報を取得すればよい。
可能性判定部103は、認証端末30の付近にいる複数のユーザの登録された認証情報が互いに一致又は類似しない場合には、なりすましの可能性があると判定せず、これらが互いに一致又は類似する場合に、なりすましの可能性があると判定する。別の言い方をすれば、可能性判定部103は、互いに一致又は類似する認証情報の組み合わせが存在しない場合には、なりすましの可能性があると判定せず、この組み合わせが1組以上存在する場合に、なりすましの可能性があると判定する。
実施形態1では、図13に示すS114の処理により、なりすましの可能性があるか否かが判定されたが、本変形例では、S114の処理が実行される前に、認証端末30の付近にいる複数のユーザの各々の認証情報が互いに比較されることによって、なりすましの可能性があるか否かが判定される。また例えば、ユーザがボタンB35をタッチする前に、接近ユーザリストL2が参照され、接近ユーザリストL2にユーザIDが格納されたユーザの認証情報が互いに比較されることによって、なりすましの可能性があるか否かが判定されるようにしてもよい。
変形例(1−1)によれば、認証端末30の付近にいる複数のユーザの各々の登録された認証情報を互いに比較し、なりすましの可能性があると判定されることで、なりすましの可能性の有無を正確に判定することができる。また、なりすましの可能性を判定するために、認証端末30を利用して取得された認証情報を参照しないので、なりすましの可能性の判定をより早い段階で実行することができる。これにより、ユーザがボタンB35をタッチする前に、早い段階で認証制限通知を認証端末30に表示させることができる。ユーザは、認証の成功が制限されることを早い段階で知り、周囲にいる他のユーザに対し、認証端末30から離れるように促すことができるので、ユーザの利便性を高めることができる。更に、ボタンB35がタッチされると、撮影部36により撮影された画像から顔の特徴量を計算したり、取得された認証情報と登録された認証情報とを比較する処理を実行したりする必要があり、サーバ10の処理負荷が高まる可能性があるが、なりすましの可能性を事前に判定し、認証の成功を制限することで、これらの処理を実行する必要がなくなり、サーバ10の処理負荷を低減することができる。
(1−2)また例えば、認証端末30の撮影部36がユーザの顔を撮影した場合に、その付近にいる他のユーザの顔も撮影されている場合には、画像に撮影された顔を比較することによって、顔の似たユーザがいるか否かを判定することができる。このため、可能性判定部103は、認証端末30を利用して取得された、認証端末30の付近にいる複数のユーザの各々の認証情報を互いに比較することによって、なりすましの可能性があるか否かを判定してもよい。
可能性判定部103は、認証端末30の付近にいる複数のユーザの各々の取得された認証情報が互いに一致又は類似しない場合には、なりすましの可能性があると判定せず、これらが互いに一致又は類似する場合に、なりすましの可能性があると判定する。別の言い方をすれば、可能性判定部103は、互いに一致又は類似する認証情報の組み合わせが存在しない場合には、なりすましの可能性があると判定せず、この組み合わせが1組以上存在する場合に、なりすましの可能性があると判定する。
実施形態1では、図13に示すS114の処理により、なりすましの可能性があるか否かが判定されたが、本変形例では、S114の処理が実行される前に、認証端末30の付近にいる複数のユーザの各々の取得された認証情報が互いに比較されることによって、なりすましの可能性があるか否かが判定される。この処理は、サーバ10によって実行されてもよいし、認証端末30によって実行されてもよい。認証端末30によってなりすましの可能性の有無が判定される場合には、サーバ10に画像などを送信することなく、認証の成功が制限されるか否かを判定することができる。
変形例(1−2)によれば、認証端末30の付近にいる複数のユーザの各々の取得された認証情報を互いに比較し、なりすましの可能性があると判定されることで、なりすましの可能性の有無を正確に判定することができる。また、なりすましの可能性を判定するために、サーバ10に登録された認証情報を参照しないので、なりすましの可能性の判定をより早い段階で実行することができる。これにより、より早い段階で認証制限通知を認証端末30に表示させることができる。ユーザは、認証の成功が制限されることを早い段階で知り、周囲にいる他のユーザに対し、認証端末30から離れるように促すことができるので、ユーザの利便性を高めることができる。更に、サーバ10が、撮影部36により撮影された画像から顔の特徴量を計算したり、取得された認証情報と登録された認証情報とを比較する処理を実行したりすると、サーバ10の処理負荷が高まる可能性があるが、なりすましの可能性を認証端末30側で事前に判定し、認証の成功を制限することで、これらの処理を実行する必要がなくなり、サーバ10の処理負荷を低減することができる。
(1−3)また例えば、実施形態1では、ユーザがセキュリティゲートSGを通過する場面を例に挙げたが、認証システムSは、任意の場面で利用可能である。例えば、認証システムSは、サービスを提供する場面においても利用可能である。サービスは、任意のサービスであってよく、例えば、商品の販売サービス、飲食物の提供サービス、散髪やエステなどの美容サービス、金融サービス、又は保険サービスなどである。
制限部104は、可能性判定部103によりなりすましの可能性があると判定された場合に、認証の成功を制限することによって、認証端末30を利用したサービスの提供を制限することになる。サービスの提供を制限するとは、サービスを提供するための情報処理を実行しないことであり、例えば、決済処理を実行しないこと、及び、商品を購入した場合に表示される「ありがとうございます」等のメッセージを表示させないことなどである。
本変形例では、例えば、認証端末30は、自動販売機、券売機、POS端末、又は店舗における支払端末である。ユーザは、認証端末30の撮影部36に顔を向けて顔認証が成功すると、決済処理が実行され、商品を購入したり、サービスを利用したりすることができる。例えば、サーバ10は、顔認証が成功した場合に、顔認証が成功したユーザの決済情報に基づいて決済処理を実行してもよい。決済処理の際に参照される決済情報は、顔認証が成功したユーザに関連付けられた決済情報である。
決済情報は、決済をするために必要な情報であり、例えば、クレジットカード情報、電子バリュー(例えば、電子マネー又はポイント)のアカウント情報、仮想通貨のアカウント情報、銀行口座情報、又はデビットカード情報などである。決済情報は、ユーザ登録時などに登録され、例えば、ユーザデータベースDBに、ユーザIDに関連付けて決済情報が格納されているものとする。なお、決済情報は、ユーザデータベースDBとは異なるデータベースに格納されていてもよい。
サーバ10は、決済情報に応じた決済処理を実行すればよく、例えば、クレジットカード情報に基づく与信処理、電子バリューの残高を減少させる処理、仮想通貨の残高を減少させる処理、銀行口座から引き落としや振り込みをする処理、又はデビットカード情報が示す口座の残高を減少させる処理などを実行する。サーバ10は、認証端末30の付近に、互いに顔が似た複数のユーザがいる場合には決済処理を実行せず、互いに顔が似た複数のユーザがおらず、認証が成功した場合に決済処理を実行する。
決済処理が実行された場合、認証端末30の表示部35又は店舗の端末などに、その旨が表示され、ユーザは商品を受け取ったり、サービスを利用したりする。例えば、認証端末30が店舗などに設置されたデジタルサイネージ装置である場合、サーバ10から認証成功通知を受信すると、認証が成功したことを示すメッセージが表示部35に表示される。店舗のスタッフは、当該メッセージを確認すると、ユーザに商品を渡したりサービスを提供したりする。なお、メッセージは、認証端末30ではなく、店舗のスタッフが操作する端末などの他のコンピュータに転送されて表示されてもよい。また例えば、認証端末30が自動販売機であれば、サーバ10から認証成功通知を受信すると、認証端末30は、ユーザが指定した商品を排出したり、コーヒーやインスタント食品などの商品を調理したりする。
変形例(1−3)によれば、顔が類似する他のユーザがなりすまして決済し、不正に商品を購入したりサービスを利用したりすることを防止し、商品の購入時やサービスの利用時におけるセキュリティを十分に高めることができる。また、ユーザからしてみれば、ユーザ端末20だけを持って財布を持たなくても、セキュリティを担保した決済が可能になるので、ユーザの利便性を向上させることができる。店舗からしてみても、クレジットカードの読取装置などの専用の装置を用意しなくても決済が可能となるので、店舗の利便性を向上させることもできる。
(1−4)また例えば、第2無線通信部23Bは、Bluetooth(登録商標)以外の通信規格であってもよい。例えば、第2無線通信部23Bは、Wi−Fiであってもよい。この場合、認証端末30は、認証端末30の付近にいるユーザの無線通信IDを自発的に取得することができないので、ユーザ端末20において、認証端末30の付近にいるか否かが判定されてもよい。
図16及び図17は、第2無線通信部23BがWi−Fiである場合のフロー図である。図16及び図17に示す処理は、制御部11,21,31が、それぞれ記憶部12,22,32に記憶されたプログラムに従って動作することによって実行される。
図16に示すように、S300及びS301の処理は、S100及びS101の処理と同様である。認証端末30に近づいたと判定された場合(S301;Y)、制御部21は、第2無線通信部23Bが受信した信号の強度(RSSI)をスキャンし、認証端末30との距離を計測する(S302)。S302の処理は、S107の処理と同様であるが、S107ではBluetooth(登録商標)の信号強度が用いられるのに対し、S302ではWi−Fiの信号強度が用いられる点で異なる。
制御部21は、認証端末30との距離が閾値未満であるか否かを判定する(S303)。S303においては、制御部21は、ユーザが認証可能領域A2の中にいるか否かを判定する。
認証端末30との距離が閾値以上であると判定されない場合(S303;N)、S302の処理に戻る。一方、認証端末30との距離が閾値未満であると判定された場合(S303;Y)、制御部21は、第1無線通信部23Aを利用して、サーバ10に対し、接近通知を送信する(S304)。S304の処理は、S102の処理と同様であるが、S102においては、ユーザが通信可能領域A1の中に入った場合に接近通知が送信されるのに対し、S304においては、ユーザが認証可能領域A2の中に入った場合に接近通知が送信される点で異なる。
続くS305〜S308の処理は、S103、S104、S109、S110の処理と同様である。ただし、本変形例の認証端末30は、ユーザ端末20の第2無線通信部23Bの無線通信IDを取得しないので、S308において送信される認証要求には、無線通信IDが含まれない。即ち、S308において送信される認証要求は、認証端末ID及び撮影部36が撮影した画像だけが含まれる。
続くS309〜S322の処理は、S111〜S124の処理と同様である。ただし、S112においては、接近ユーザリストL2のうち、認証要求に含まれる認証端末ID及び無線通信IDに関連付けられたユーザIDが取得されるが、S310においては、接近ユーザリストL2のうち、認証要求に含まれる認証端末IDに関連付けられたユーザIDが参照される点で異なる。また、S320においては、制御部21は、ユーザが認証可能領域A2の中にいるか否かを判定する。
変形例(1−4)によれば、Wi−Fiなどのように、認証端末30側でユーザ端末20との距離を計算できない通信規格を利用した場合であったとしても、なりすましを防止してセキュリティを高めることができる。
[3−2.実施形態2に係る変形例]
(2−1)次に、実施形態2に係る変形例について説明する。実施形態2では、GPS受信部26により受信された信号に基づいて、切替場所にいるか否かが判定される場合を説明したが、切替場所にいるか否かを判定する方法は、GPS受信部26を利用した方法に限られない。
例えば、ユーザ端末20が、第2無線通信部23Bと、第2無線通信部23Bとは異なる他の無線通信部である第1無線通信部23Aと、を含む場合には、位置情報取得部207は、他の無線通信部である第1無線通信部23Aの通信内容に基づいて、位置情報を取得してもよい。本変形例では、位置情報は、アクセスポイント情報、ビーコン情報、又は携帯基地局情報であり、場所情報は、認証端末30又はその付近にあるアクセスポイント、ビーコン、又は携帯基地局の識別情報となる。
切替部209は、位置情報が示すアクセスポイント情報、ビーコン情報、又は携帯基地局情報と、場所情報が示すアクセスポイント情報、ビーコン情報、又は携帯基地局情報と、が一致するか否かを判定することによって、ユーザが切替場所又はその付近にいるか否かを判定する。切替部209は、これらが一致すると判定されない場合には、ユーザが切替場所又はその付近にいると判定せず、これらが一致すると判定された場合に、ユーザが切替場所又はその付近にいると判定する。ユーザが切替場所又はその付近にいると判定された後の処理は、実施形態2で説明した通りである。
変形例(2−1)によれば、第2無線通信部23Bとは異なる他の無線通信部である第1無線通信部23Aの通信内容に基づいて位置情報を取得することで、切替場所にいることを正確に特定し、第2無線通信部23Bの通電状態を切り替えることができる。例えば、第2無線通信部23Bがオフ状態であったとしても、他の手段を利用して位置情報を取得することができる。
(2−2)また例えば、場所情報は、切替場所の位置をピンポイントで示すのではなく、一定の広さを有する切替場所の領域を示してもよい。
切替部209は、位置情報が示す位置が、場所情報が示す領域に含まれるか否かを判定する。例えば、位置情報が緯度経度情報又は座標情報である場合には、場所情報は、地図上又はn次元空間(nは座標情報の次元数を示す数値)内に設定された一定の広さを有する領域となる。切替部209は、第2無線通信部23Bの位置に関する緯度経度情報又は座標情報が、地図上又はn次元空間内の領域に含まれるか否かを判定することによって、ユーザが切替場所又はその付近にいるか否かを判定する。
切替部209は、位置情報が示す位置が、場所情報が示す領域に含まれると判定された場合に、第2無線通信部23Bの通電状態を切り替える。例えば、切替部209は、位置情報が示す位置が、場所情報が示す領域に含まれると判定された場合に、第2無線通信部23Bをオン状態からオフ状態に切り替える。また例えば、切替部209は、位置情報が示す位置が、場所情報が示す領域に含まれると判定された場合に、第2無線通信部23Bをオフ状態からオン状態に切り替える。
変形例(2−2)によれば、位置情報が示す位置が、場所情報が示す領域に含まれるか否かを判定し、含まれると判定された場合に、第2無線通信部23Bの通電状態を切り替えることで、切替場所にいることを正確に特定し、第2無線通信部23Bの通電状態を切り替えることができる。
(2−3)また例えば、ユーザが切替場所に移動した後に切替場所から出た場合に、第2無線通信部23Bを元の状態に戻してもよい。
切替部209は、位置情報と場所情報とに基づいて、ユーザが切替場所から遠ざかったか否かを判定する。例えば、場所情報が切替場所の位置を示す場合、切替部209は、位置情報が示す位置と、場所情報が示す位置と、の距離が、閾値未満の状態から閾値以上の状態になったか否かを判定することによって、ユーザが切替場所から遠ざかったか否かを判定する。また例えば、場所情報が切替場所の領域を示す場合、切替部209は、位置情報が示す位置が場所情報が示す領域に含まれる状態から含まれない状態になったか否かを判定することによって、ユーザが切替場所から遠ざかったか否かを判定する。
例えば、切替部209は、第2無線通信部23Bが切替場所に近づいた場合に、第2無線通信部23Bをオフ状態からオン状態に切り替えて、第2無線通信部23Bが場所から遠ざかった場合に、第2無線通信部23Bをオン状態からオフ状態に切り替える。
また例えば、切替部209は、第2無線通信部23Bが切替場所に近づいた場合に、第2無線通信部23Bをオン状態からオフ状態に切り替えて、第2無線通信部23Bが切替場所から遠ざかった場合に、第2無線通信部23Bをオフ状態からオン状態に切り替える。
変形例(2−3)によれば、第2無線通信部23Bが切替場所から遠ざかった場合に、第2無線通信部23Bを元の状態に戻すことによって、ユーザの手間をかけずに電力消費を抑えることができる。
(2−4)また例えば、実施形態2に係る無線通信システムは、任意の場面に適用可能であり、認証システムS以外に適用してもよい。例えば、切替場所が飛行機の機内の場合、ユーザが飛行機の機内に乗り込んだときに、無線通信システムは、第2無線通信部23Bをオン状態からオフ状態に切り替えてもよい。また例えば、無線通信システムは、ユーザが飛行機から出たときに第2無線通信部23Bをオフ状態からオン状態に切り替えてもよい。また例えば、切替場所が映画館や試験会場の場合、ユーザが映画館や試験会場に入ったときに、無線通信システムは、第2無線通信部23Bをオン状態からオフ状態に切り替えてもよい。また例えば、無線通信システムは、ユーザが映画館や試験会場から出たときに第2無線通信部23Bをオフ状態からオン状態に切り替えてもよい。
また例えば、ユーザが切替場所を指定してもよい。例えば、ユーザは、自宅や勤務先などを切替場所として指定してもよい。また例えば、第2無線通信部23Bの通信内容に基づいて、位置情報が取得されてもよい。この場合、切替部209は、第2無線通信部23Bがオン状態の場合に、第2無線通信部23Bの通信内容に基づいて、第2無線通信部23Bをオン状態からオフ状態に切り替える。また例えば、切替部209は、第2無線通信部23Bではなく、第1無線通信部23Aの通電状態を切り替えてもよい。
[3−3.その他の変形例]
(3)また例えば、上記変形例を組み合わせてもよい。
また例えば、撮影部36は、ユーザがボタンB35をタッチした場合に撮影するのではなく、特にユーザが操作をしなくても撮影してもよい。撮影部36は、所定のフレームレートに基づいて、連続的に撮影をしてもよい。他にも例えば、撮影部36は、ユーザが所定の音声を発したり所定のジェスチャをしたりした場合に、ユーザの顔を撮影してもよい。また例えば、ユーザ端末20と認証端末30とがペアリングしない場合を説明したが、これらはペアリングしてもよい。
また例えば、認証端末30の撮影部36で撮影された画像に基づいて、生体認証が実行される場合を説明したが、赤外線センサ又は超音波センサなどといった他のセンサを利用して生体認証が実行されてもよい。認証システムSは、利用する生体認証に応じたセンサを含めばよい。また例えば、生体認証以外の認証を利用してもよい。例えば、ユーザが認証端末30に対してパスワードを入力してもよい。この場合、認証端末30の付近に、互いに同じパスワードを利用する複数のユーザがいる場合のなりすましを防止することができる。
また例えば、各機能は、複数のコンピュータで分担されてもよい。例えば、サーバ10、ユーザ端末20、及び認証端末30の各々で機能が分担されてもよい。例えば、認証処理がサーバ10で実行されるのではなく、ユーザ端末20又は認証端末30で実行されてもよい。また例えば、認証システムSが複数のサーバコンピュータを含む場合には、これら複数のサーバコンピュータで機能が分担されてもよい。また例えば、データ記憶部100で記憶されるものとして説明したデータは、サーバ10以外のコンピュータによって記憶されてもよい。