JP6934442B2 - Management server, authentication method, computer program and service cooperation system - Google Patents
Management server, authentication method, computer program and service cooperation system Download PDFInfo
- Publication number
- JP6934442B2 JP6934442B2 JP2018055070A JP2018055070A JP6934442B2 JP 6934442 B2 JP6934442 B2 JP 6934442B2 JP 2018055070 A JP2018055070 A JP 2018055070A JP 2018055070 A JP2018055070 A JP 2018055070A JP 6934442 B2 JP6934442 B2 JP 6934442B2
- Authority
- JP
- Japan
- Prior art keywords
- time code
- authentication
- unit
- user
- communication terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 31
- 238000004590 computer program Methods 0.000 title claims description 4
- 238000004891 communication Methods 0.000 claims description 204
- 238000010586 diagram Methods 0.000 description 16
- 230000004044 response Effects 0.000 description 13
- 230000008569 process Effects 0.000 description 8
- 238000012545 processing Methods 0.000 description 5
- 239000004065 semiconductor Substances 0.000 description 5
- 230000006870 function Effects 0.000 description 3
- 238000005401 electroluminescence Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
Images
Description
本発明は、管理サーバ、認証方法、コンピュータプログラム及びサービス連携システムに関する。 The present invention, management server, directed to the authentication method, computer program and service integration system.
従来、利用者が通信端末を操作することによって、サーバからサービスの認証に用いられるワンタイムコード(引用文献1では「トークン」)を受信し、受信したワンタイムコードを用いて複数の連携したサービスを利用するサービス連携システムが提案されている(例えば、特許文献1参照)。 Conventionally, when a user operates a communication terminal, a one-time code (“token” in Reference 1) used for service authentication is received from a server, and a plurality of linked services are used using the received one-time code. A service cooperation system using the above has been proposed (see, for example, Patent Document 1).
しかしながら、従来の技術では、利用者毎にワンタイムコードを発行する必要がある。そのため、利用者数が非常に多い場合には、ワンタイムコードの発行及び管理コストが増加してしまうため、サーバの負荷が増加してしまうという問題があった。 However, in the conventional technology, it is necessary to issue a one-time code for each user. Therefore, when the number of users is very large, the one-time code issuance and management costs increase, which causes a problem that the load on the server increases.
上記事情に鑑み、本発明は、サービス連携システムにおいて、サーバの負荷を低減することができる技術の提供を目的としている。 In view of the above circumstances, an object of the present invention is to provide a technique capable of reducing the load on the server in the service cooperation system.
本発明の一態様は、複数のサービスを連携させる管理サーバであって、前記複数のサービスを利用する複数の利用者で共有して使用される第1のワンタイムコードと、前記利用者を識別するための識別情報とに基づいて、機器制御のサービスの認証に利用される第2のワンタイムコードを生成するワンタイムコード生成部と、生成された前記第2のワンタイムコードを、前記複数のサービスを利用する利用者の通信端末に送信し、前記機器制御のサービスに関連する装置から前記第2のワンタイムコードを受信する通信部と、前記機器制御のサービスに関連する装置から受信された前記第2のワンタイムコードと、前記ワンタイムコード生成部によって生成された前記第2のワンタイムコードとに基づいて認証を行う認証部と、を備える管理サーバである。 One aspect of the present invention is a management server that links a plurality of services, and identifies the first one-time code shared and used by a plurality of users who use the plurality of services and the user. A one-time code generator that generates a second one-time code used for authenticating a device control service based on the identification information for the device, and a plurality of the generated second one-time codes. Is transmitted to the communication terminal of the user who uses the service, and receives the second one-time code from the device related to the device control service, and is received from the device related to the device control service. The management server includes the second one-time code and an authentication unit that authenticates based on the second one-time code generated by the one-time code generation unit.
本発明の一態様は、上記の管理サーバであって、前記ワンタイムコード生成部は、前記第1のワンタイムコードの任意の位置に、前記識別情報を結合することによって前記第2のワンタイムコードを生成する。 One aspect of the present invention is the management server, wherein the one-time code generation unit combines the identification information at an arbitrary position of the first one-time code to perform the second one-time. Generate code.
本発明の一態様は、上記の管理サーバであって、前記通信部は、前記通信端末から前記複数のサービスを利用するための要求がなされた場合に、前記要求を認証サーバに送信し、前記認証サーバから認証結果を受信し、前記ワンタイムコード生成部は、前記認証サーバから受信した認証結果が認証した旨を示している場合に、前記第2のワンタイムコードを生成する。 One aspect of the present invention is the management server, in which the communication unit transmits the request to the authentication server when a request for using the plurality of services is made from the communication terminal, and the request is made. Upon receiving the authentication result from the authentication server, the one-time code generation unit generates the second one-time code when the authentication result received from the authentication server indicates that the authentication has been performed.
本発明の一態様は、上記の管理サーバであって、前記通信部は、前記通信端末から前記複数のサービスを利用するための要求がなされた場合、認証連携プロトコルを利用して前記認証サーバに対して前記通信端末の認証を要求する。 One aspect of the present invention is the management server, and the communication unit uses an authentication cooperation protocol to contact the authentication server when a request for using the plurality of services is made from the communication terminal. On the other hand, the authentication of the communication terminal is requested.
本発明の一態様は、上記の管理サーバであって、前記第2のワンタイムコードを暗号化する暗号化部をさらに備え、前記通信部は、前記暗号化部によって暗号化された前記第2のワンタイムコードを前記通信端末に送信する。 One aspect of the present invention is the management server, further including an encryption unit that encrypts the second one-time code, and the communication unit is encrypted by the encryption unit. The one-time code of is transmitted to the communication terminal.
本発明の一態様は、上記の管理サーバであって、前記通信部は、前記暗号化部によって暗号化された前記第2のワンタイムコードを、前記機器制御のサービスに関連する装置から受信し、受信された前記第2のワンタイムコードを復号する復号部をさらに備える。 One aspect of the present invention is the management server, in which the communication unit receives the second one-time code encrypted by the encryption unit from a device related to the device control service. , Further includes a decoding unit that decodes the received second one-time code.
本発明の一態様は、複数のサービスを連携させる管理サーバが行う認証方法であって、前記複数のサービスを利用する複数の利用者で共有して使用される第1のワンタイムコードと、前記利用者を識別するための識別情報とに基づいて、機器制御のサービスの認証に利用される第2のワンタイムコードを生成するワンタイムコード生成ステップと、生成された前記第2のワンタイムコードを、前記複数のサービスを利用する利用者の通信端末に送信し、前記機器制御のサービスに関連する装置から前記第2のワンタイムコードを受信する通信ステップと、前記機器制御のサービスに関連する装置から受信された前記第2のワンタイムコードと、前記ワンタイムコード生成ステップにおいて生成された前記第2のワンタイムコードとに基づいて認証を行う認証ステップと、を有する認証方法である。 One aspect of the present invention is an authentication method performed by a management server that links a plurality of services, the first one-time code shared and used by a plurality of users who use the plurality of services, and the above-mentioned. A one-time code generation step for generating a second one-time code used for authenticating a device control service based on identification information for identifying a user, and the generated second one-time code. Is transmitted to the communication terminal of the user who uses the plurality of services, and the second one-time code is received from the device related to the device control service, and the device control service. It is an authentication method having an authentication step of performing authentication based on the second one-time code received from the apparatus and the second one-time code generated in the one-time code generation step.
本発明の一態様は、複数のサービスを連携させる管理サーバとしてのコンピュータに対して、前記複数のサービスを利用する複数の利用者で共有して使用される第1のワンタイムコードと、前記利用者を識別するための識別情報とに基づいて、機器制御のサービスの認証に利用される第2のワンタイムコードを生成するワンタイムコード生成ステップと、生成された前記第2のワンタイムコードを、前記複数のサービスを利用する利用者の通信端末に送信し、前記機器制御のサービスに関連する装置から前記第2のワンタイムコードを受信する通信ステップと、前記機器制御のサービスに関連する装置から受信された前記第2のワンタイムコードと、前記ワンタイムコード生成ステップにおいて生成された前記第2のワンタイムコードとに基づいて認証を行う認証ステップと、を実行させるためのコンピュータプログラムである。 One aspect of the present invention is a first one-time code shared and used by a plurality of users who use the plurality of services with respect to a computer as a management server for linking a plurality of services, and the use thereof. A one-time code generation step for generating a second one-time code used for authenticating a device control service based on identification information for identifying a person, and the generated second one-time code are generated. , A communication step of transmitting to a communication terminal of a user who uses the plurality of services and receiving the second one-time code from a device related to the device control service, and a device related to the device control service. This is a computer program for executing an authentication step of performing authentication based on the second one-time code received from the user and the second one-time code generated in the one-time code generation step. ..
本発明の一態様は、複数のサービスを連携させる管理サーバと、前記複数のサービスを利用する利用者を認証する認証サーバとを備えるサービス連携システムであって、前記管理サーバは、前記複数のサービスの認証に利用される情報の要求元である通信端末の利用者の認証が前記認証サーバによってなされると、前記複数のサービスを利用する複数の利用者で共有して使用される第1のワンタイムコードと、前記利用者を識別するための識別情報とに基づいて、機器制御のサービスの認証に利用される第2のワンタイムコードを生成するワンタイムコード生成部と、生成された前記第2のワンタイムコードを、前記複数のサービスを利用する利用者の通信端末に送信し、前記機器制御のサービスに関連する装置から前記第2のワンタイムコードを受信する通信部と、前記機器制御のサービスに関連する装置から受信された前記第2のワンタイムコードと、前記ワンタイムコード生成部によって生成された前記第2のワンタイムコードとに基づいて認証を行う認証部と、前記認証サーバは、前記利用者に関する情報と、前記通信端末によって予め登録された前記利用者に関する情報とに基づいて、前記通信端末の利用者を認証する認証部、を備えるサービス連携システムである。 One aspect of the present invention is a service cooperation system including a management server for linking a plurality of services and an authentication server for authenticating a user who uses the plurality of services, and the management server is the plurality of services. When the user of the communication terminal that is the source of the information used for the authentication is authenticated by the authentication server, the first one is shared and used by a plurality of users who use the plurality of services. A one-time code generator that generates a second one-time code used for authenticating a device control service based on the time code and identification information for identifying the user, and the generated first one-time code. A communication unit that transmits the one-time code of 2 to a communication terminal of a user who uses the plurality of services and receives the second one-time code from a device related to the device control service, and the device control. An authentication unit that authenticates based on the second one-time code received from the device related to the service of the above and the second one-time code generated by the one-time code generation unit, and the authentication server. Is a service cooperation system including an authentication unit that authenticates the user of the communication terminal based on the information about the user and the information about the user registered in advance by the communication terminal.
本発明により、サービス連携システムにおいて、サーバの負荷を低減することが可能となる。 According to the present invention, it is possible to reduce the load on the server in the service cooperation system.
以下、本発明の一実施形態を、図面を参照しながら説明する。
図1は、本発明のサービス連携システム100の機能構成を示す図である。サービス連携システム100は、通信端末10、管理サーバ20、認証サーバ30及び電子錠40を備える。通信端末10、管理サーバ20、認証サーバ30及び電子錠40は、ネットワーク55を介して通信可能に接続される。ネットワーク55は、例えばインターネットである。
Hereinafter, an embodiment of the present invention will be described with reference to the drawings.
FIG. 1 is a diagram showing a functional configuration of the
通信端末10は、利用者が所持する端末装置であり、管理サーバ20から発行されるワンタイムコードを用いて電子錠40を開錠する。ここで、利用者とは、サービス連携システム100におけるサービスを利用する人物である。サービス連携システム100におけるサービスとは、例えば、電子錠40の開錠である。また、ワンタイムコードは、複数のサービスを利用する利用者の認証がなされている場合に利用者に対して発行されるワンタイムコードであって、機器制御の所定の文字列で構成され、電子錠40を開錠するために用いられる情報である。通信端末10は、例えばスマートフォン、タブレット端末、携帯電話及びパーソナルコンピュータ等の情報処理装置である。
The
管理サーバ20は、サービス連携システム100における電子錠40の開錠を管理する。例えば、管理サーバ20は、サービスを利用する利用者毎の電子錠40の開錠の許可や、ワンタイムコードの生成等の処理を行うことによって電子錠40の開錠を管理する。管理サーバ20は、システムで共通のワンタイムコードを生成し、生成した共通のワンタイムコードに、利用者を識別するための識別情報を加えることによって、利用者毎のワンタイムコードを生成する。利用者を識別するための識別情報を加えるとは、共通のワンタイムコードの任意の位置に、利用者を識別するための識別情報を結合することを意味する。任意の位置は、例えば共通のワンタイムコードの先頭、中間、末尾等のように共通のワンタイムコードに関連するいずれかの位置である。なお、サービス連携システム100内において、利用者を識別するための識別情報を加える位置は固定されている必要があり、予め決められている。以下、システムで共通のワンタイムコードを第1のワンタイムコードとして説明し、利用者毎のワンタイムコードを第2のワンタイムコードとして説明する。
The
認証サーバ30は、通信端末10の利用者を認証する。なお、認証サーバ30と、通信端末10との間で行われる利用者の認証には、既存の技術が用いられる。例えば、認証サーバ30と、通信端末10との間で行われる利用者の認証には、FIDO UAF(Universal Authentication Framework)を用いる方法、ID及びパスワードを用いる方法等が用いられる。本実施形態では、認証サーバ30と、通信端末10との間で行われる利用者の認証に、FIDO UAFを用いた場合を例に説明する。FIDO UAFとは、パスワードを使わずに利用者を認証する仕様であり、利用者が通信端末10に指紋や声紋といった生体情報等を登録し、サービスに通信端末10を登録すれば、通信端末10の認証だけでサービスにログインできる仕組みである。
電子錠40は、電気的に錠の開閉を行う錠前である。電子錠40は、建物内又は建物の入り口に設置される。電子錠40は、通信端末10から得られる第2のワンタイムコードに基づいて錠の開閉を制御する。電子錠40は、例えば、スマートロックである。
The
The
図2は、通信端末10の機能構成を表す概略ブロック図である。
通信端末10は、通信部11、操作部12、表示部13、制御部14、生体情報入力部15、生体情報記憶部16、ワンタイムコード記憶部17及び近距離通信部18を備える。
通信部11は、認証サーバ30との間で通信を行う。例えば、通信部11は、ワンタイムコードの発行を要求する発行要求を、ネットワーク55を介して管理サーバ20に送信する。発行要求は、利用者が複数のサービスのうちいずれかのサービスを利用する際に送信される要求である。
FIG. 2 is a schematic block diagram showing a functional configuration of the
The
The
操作部12は、タッチパネル、ボタン、キーボード、ポインティングデバイス(マウス、ペンタブレット等)等の既存の入力装置を用いて構成される。操作部12は、利用者の指示を通信端末10に入力する際に利用者によって操作される。操作部12は、ワンタイムコードの発行の要求指示を受け付ける。また、操作部12は、入力装置を通信端末10に接続するためのインタフェースであってもよい。この場合、操作部12は、入力装置においてユーザの入力に応じて生成された入力信号を通信端末10に入力する。
The
表示部13は、液晶ディスプレイ、有機EL(Electro Luminescence)ディスプレイ等の画像表示装置である。表示部13は、利用者に情報を入力させるための画面(以下「登録画面」という。)を表示する。表示部13は、画像表示装置を通信端末10に接続するためのインタフェースであってもよい。この場合、表示部13は、通信端末10を表示するための映像信号を生成し、自身に接続されている画像表示装置に映像信号を出力する。
The
制御部14は、CPU(Central Processing Unit)等のプロセッサやメモリを用いて構成される。制御部14は、プログラムを実行することによって、通信制御部141、鍵生成部142、暗号化部143及び生体認証部144として機能する。
通信制御部141は、通信部11及び近距離通信部18による通信を制御する。
鍵生成部142は、所定の暗号化方式を用いて暗号鍵を生成する。例えば、鍵生成部142は、公開鍵暗号化方式により公開鍵及び秘密鍵を生成する。
The
The
The
暗号化部143は、鍵生成部142によって生成された暗号鍵を用いて所定の情報を暗号化する。例えば、暗号化部143は、秘密鍵を用いて、認証サーバ30による認証に用いられる認証情報を暗号化する。FIDO UAFによる認証の場合、暗号化部143は、自装置内で行われる生体認証の結果が認証OKの場合に、認証サーバ30から送信されるチャレンジコード(ランダムな値)を秘密鍵で暗号化する。
生体認証部144は、生体情報入力部15を介して入力された生体情報と、生体情報記憶部16に記憶されている生体情報とに基づいて生体認証を行う。
The
The
生体情報入力部15は、利用者の生体情報を入力する。利用者の生体情報は、例えば利用者の顔写真、指紋、声紋等である。生体情報入力部15は、入力した利用者の生体情報を生体情報記憶部16に記憶する。
生体情報記憶部16は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。生体情報記憶部16は、生体情報入力部15を介して入力された生体情報を記憶する。
The biometric
The biological
ワンタイムコード記憶部17は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。ワンタイムコード記憶部17は、管理サーバ20から得られた第2のワンタイムコードを記憶する。
近距離通信部18は、電子錠40との間で近距離無線通信を行う。例えば、近距離通信部18は、ワンタイムコード記憶部17に記憶されている第2のワンタイムコードを電子錠40に送信する。近距離通信部18は、例えばBluetooth(登録商標)、NFC(Near Field Communication)等を用いて近距離無線通信を行う。
The one-time
The short-
図3は、管理サーバ20の機能構成を表す概略ブロック図である。
管理サーバ20は、通信部21、制御部22、操作部23、利用者情報記憶部24及びシステム情報記憶部25を備える。
通信部21は、通信端末10及び認証サーバ30との間で通信を行う。例えば、通信部21は、利用者をサービス連携システム100に初期登録するための登録情報通知を通信端末10に送信する。また、通信部21は、認証要求を認証サーバ30に送信する。また、通信部21は、通信端末10から送信された発行要求を受信する。認証要求は、認証サーバ30に対して利用者の認証を要求するための通知である。
FIG. 3 is a schematic block diagram showing the functional configuration of the
The
The
制御部22は、CPU等のプロセッサやメモリを用いて構成される。制御部22は、プログラムを実行することによって、通知生成部221、通信制御部222、ワンタイムコード生成部223、認証部224、暗号化部225及び復号部226として機能する。
通知生成部221は、管理サーバ20を操作する管理者又は通信端末10からの要求に応じて登録情報通知を生成する。
The
The
通信制御部222は、通信部21による通信を制御する。例えば、通信制御部222は、通信端末10からワンタイムコードの発行要求がなされると、認証連携プロトコル等を利用して、認証サーバ30に対して認証要求を通信部21に送信させる。
ワンタイムコード生成部223は、第1のワンタイムコード及び第2のワンタイムコードを生成する。例えば、ワンタイムコード生成部223は、定期的(例えば、設定された更新頻度)に第1のワンタイムコードを生成する。また、例えば、ワンタイムコード生成部223は、所定の条件が満たされた利用者が存在する場合に、第2のワンタイムコードを生成する。所定の条件とは、認証サーバ30による利用者の認証がなされていること、かつ、利用者に対する電子錠40の開錠許可期間内であることが挙げられる。
The
The one-time
図4は、ワンタイムコード生成部223が生成するワンタイムコードの一例を示す図である。
図4に示すように、第2のワンタイムコードは、第1のワンタイムコードと、利用者IDとで構成される。図4に示すように、ワンタイムコード生成部223は、第1のワンタイムコードに、所定の条件が満たされた利用者に関する利用者IDを結合することによって第2のワンタイムコードを生成する。なお、図4では、一例として、第1のワンタイムコードの末尾に利用者IDを結合した第2のワンタイムコードを示しているが、上記のように利用者IDを結合する位置は、第1のワンタイムコードの任意の位置であればよい。
FIG. 4 is a diagram showing an example of a one-time code generated by the one-time
As shown in FIG. 4, the second one-time code is composed of the first one-time code and the user ID. As shown in FIG. 4, the one-time
図3に戻って、説明を続ける。
認証部224は、電子錠40から送信された第2のワンタイムコードと、自装置に記憶されている第2のワンタイムコードとを用いてワンタイムコードの有効性を認証する。
暗号化部225は、所定の暗号化方式に従って、ワンタイムコード生成部223により生成された第2のワンタイムコードを暗号化する。
復号部226は、暗号化部225による暗号化方式と同様の方式を用いて、暗号化された第2のワンタイムコードを復号する。
Returning to FIG. 3, the description will be continued.
The
The
The
操作部23は、タッチパネル、ボタン、キーボード、ポインティングデバイス(マウス、ペンタブレット等)等の既存の入力装置を用いて構成される。操作部23は、管理者の指示を管理サーバ20に入力する際に管理者によって操作される。操作部23は、利用者に関する情報(例えば、利用者が所持している通信端末10の識別情報)、利用者に対して開錠を許可する電子錠40に関する情報、認証有効期限及び有効な時間帯等の管理者の指示を受け付ける。認証有効期限は、認証がなされた利用者に対して認証がなされたとみなされる期限である。つまり、認証有効期限は、一度認証がなされた利用者に対して再度の認証が不要となる期限である。有効な時間帯は、認証有効期限が有効となる時間帯である。また、操作部23は、入力装置を管理サーバ20に接続するためのインタフェースであってもよい。この場合、操作部23は、入力装置においてユーザの入力に応じて生成された入力信号を管理サーバ20に入力する。
The
利用者情報記憶部24は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。利用者情報記憶部24は、利用者情報テーブルを記憶する。
システム情報記憶部25は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。システム情報記憶部25は、システム情報テーブルを記憶する。
The user
The system
図5は、利用者情報テーブルの具体例を示す図である。利用者情報テーブルは、利用者に関する情報を表すレコード(以下、「利用者情報レコード」という。)60によって構成される。利用者情報レコード60は、利用者ID、開錠可能錠ID、認証有効期限、有効時間帯及び最終認証時刻の各値を有する。
FIG. 5 is a diagram showing a specific example of the user information table. The user information table is composed of 60 records (hereinafter, referred to as "user information records") representing information about users. The
利用者IDの値は、利用者を識別するための情報である。利用者IDの値は、例えば利用者に関する情報であり、例えば利用者の社員番号やゲスト番号等のID情報である。開錠可能錠IDの値は、利用者IDで識別される利用者に対して開錠が許可されている電子錠40を識別するための情報である。認証有効期限の値は、認証がなされた利用者に対して認証がなされたとみなされる期限である。例えば、認証有効期限が24時間の場合、利用者は一度認証がなされてから24時間はその認証が有効となり、ワンタイムコードを電子錠40に伝達するのみで電子錠40の開錠が可能になる。時間帯の値は、利用者がワンタイムコードを用いて電子錠40を開錠できる時間帯である。最終認証時刻の値は、最後に認証がなされた時刻である。最終認証時刻の値は、認証サーバ30により認証がなされて管理サーバ20が認証結果を受信する度に更新される。
The value of the user ID is information for identifying the user. The value of the user ID is, for example, information about the user, for example, ID information such as the employee number and guest number of the user. The value of the unlockable lock ID is information for identifying the
図5に示される例では、利用者情報テーブルには複数の利用者IDが登録されている。これらの利用者IDは、“001”及び“002”である。図5において、利用者情報テーブルの最上段に登録されている利用者情報レコード60に登録されている値は、利用者IDが“001”、開錠可能錠IDが“00a”及び“00b”、認証有効期限が“24時間”、有効時間帯が“平日 08:00〜20:00”、最終認証時刻が“20XX/11/30 YYYYYY”である。すなわち、利用者ID“001”で識別される通信端末10で開錠可能な電子錠40の識別情報が“00a”及び“00b”であり、一度認証されたら“24時間”の間、認証が不要であり、ワンタイムコードを用いて電子錠40を開錠できる時間帯が“平日 08:00〜20:00”の間であり、最終認証がなされた時刻が“20XX/11/30 YYYYYY”であることが表されている。
In the example shown in FIG. 5, a plurality of user IDs are registered in the user information table. These user IDs are "001" and "002". In FIG. 5, the values registered in the
図6は、システム情報テーブルの具体例を示す図である。システム情報テーブルは、サービス連携システム100に関する情報を表すレコード(以下、「システム情報レコード」という。)70によって構成される。システム情報レコード70は、システムID、錠ID、利用者ID、更新頻度及び第1のワンタイムコードの各値を有する。なお、システムID、錠ID、利用者ID、更新頻度は、管理者が管理サーバ20を操作することによって更新される。
FIG. 6 is a diagram showing a specific example of the system information table. The system information table is composed of a record (hereinafter, referred to as "system information record") 70 representing information about the
システムIDの値は、システムを識別するための情報である。例えば、システムIDの値は、管理者によってあらかじめ登録されていてもよいし、ランダムに設定された値をあってもよい。錠IDの値は、電子錠40の識別情報である。利用者IDの値は、利用者を識別するための情報である。更新頻度の値は、第1のワンタイムコードを更新するタイミングである。更新頻度が“5秒”の場合、第1のワンタイムコードが“5秒”毎に更新される。第1のワンタイムコードの値は、1つのシステム内で共通のワンタイムコードである。
The value of the system ID is information for identifying the system. For example, the value of the system ID may be registered in advance by the administrator, or may be a randomly set value. The value of the lock ID is the identification information of the
図6に示される例では、システム情報テーブルには1つのシステムIDが登録されている。このシステムIDは、“0x”である。図6において、システム情報テーブルに登録されているシステム情報レコード70に登録されている値は、システムIDが“0x”、錠IDが“00a、00b”と“00a、00c”、利用者IDが“001”と“002”、更新頻度が“5秒”、第1のワンタイムコードが“DDDDD”である。すなわち、システムID“0x”で識別されるシステムにおいて、利用者ID“001”で識別される利用者が開錠可能な電子錠40の識別情報が“00a,00b”であり、第1のワンタイムコードが“5秒”毎に更新され、第1のワンタイムコードが“DDDDD”であることが表されている。
In the example shown in FIG. 6, one system ID is registered in the system information table. This system ID is "0x". In FIG. 6, the values registered in the
図7は、認証サーバ30の機能構成を表す概略ブロック図である。
認証サーバ30は、通信部31、制御部32及び鍵情報記憶部33を備える。
通信部31は、通信端末10及び管理サーバ20との間で通信を行う。通信部31は、通信端末10から公開鍵を受信する。
FIG. 7 is a schematic block diagram showing the functional configuration of the
The
The
制御部32は、CPU等のプロセッサやメモリを用いて構成される。制御部32は、プログラムを実行することによって、通信制御部321、認証部322及び復号部323として機能する。
通信制御部321は、通信部31による通信を制御する。
認証部322は、通信端末10の利用者を認証する。FIDO UAFによる認証の場合、認証部322は、復号部323により復号されたチャレンジコードの正当性を確認することによって通信端末10の利用者を認証する。
The
The
The
復号部323は、鍵情報記憶部33に記憶されている暗号鍵を用いて、通信端末10によって暗号化された情報を復号する。例えば、復号部323は、鍵情報記憶部33に記憶されている公開鍵を用いて、通信端末10によって暗号化されたチャレンジコードを復号する。
鍵情報記憶部33は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。鍵情報記憶部33は、暗号鍵(例えば、公開鍵)を記憶する。
The
The key
図8は、電子錠40の機能構成を表す概略ブロック図である。
電子錠40は、情報取得部41、制御部42、通信部43及び錠制御部44を備える。
情報取得部41は、通信端末10から情報を取得する。例えば、情報取得部41は、通信端末10との間で近距離無線通信することによって第2のワンタイムコードを取得する。
制御部42は、情報取得部41によって取得された第2のワンタイムコードを、通信部43を介して管理サーバ20に送信することによって第2のワンタイムコードの有効性の認証を要求する。
FIG. 8 is a schematic block diagram showing the functional configuration of the
The
The
The
通信部43は、ネットワーク55を介して、管理サーバ20との間で通信を行う。例えば、通信部43は、第2のワンタイムコードを管理サーバ20に送信する。また、例えば、通信部43は、第2のワンタイムコードの認証結果を管理サーバ20から受信する。
錠制御部44は、制御部42の指示に従って錠前の開閉を制御する。例えば、錠制御部44は、制御部42の指示に従って開錠する。
The
The
図9は、サービス連携システム100における初期登録処理の流れを示すシーケンス図である。
管理サーバ20の通知生成部221は、管理サーバ20を操作する管理者又は通信端末10からの要求に応じて登録情報通知を生成する(ステップS101)。通知生成部221が生成する登録情報通知は、例えば電子メールである。登録情報通知には、例えば利用者毎に個別のパラメータを付けたURL(Uniform Resource Locator)が含まれていてもよいし、URLに加えて初期登録用のユーザID及びユーザパスワードが含まれてもよいし、URLではなく、専用のアプリケーションへログインするためのユーザID及びユーザパスワードが含まれてもよい。図9の説明では、登録情報通知に、利用者毎に個別のパラメータを付けたURLが含まれている場合を例に説明する。管理サーバ20の通信部21は、生成された登録情報通知を通信端末10に送信する(ステップS102)。
FIG. 9 is a sequence diagram showing the flow of the initial registration process in the
The
通信端末10の通信部11は、管理サーバ20から送信された登録情報通知を受信する。表示部13は、受信した登録情報通知に含まれるURLを表示する。利用者の操作により、URLが選択されると、通信端末10の通信部11はURLで特定される認証サーバ30にアクセスする(ステップS103)。なお、登録情報通知に、URLではなく、専用のアプリケーションへログインするためのユーザID及びユーザパスワードが含まれている場合、通信端末10は専用のアプリケーションを介して認証サーバ30にアクセスする。
The
認証サーバ30は、アクセスしてきた通信端末10に対して、登録画面データを送信する(ステップS104)。
通信端末10の通信部11は、認証サーバ30から送信された登録画面データを受信する。表示部13は、受信された登録画面データに基づく登録画面を表示する。生体情報入力部15は、利用者から生体情報の入力を受け付ける。利用者によって生体情報が入力されると、生体情報入力部15は、入力された生体情報を生体情報記憶部16に登録する(ステップS105)。その後、暗号化部143は、暗号鍵を生成する(ステップS106)。例えば、暗号化部143は、秘密鍵と公開鍵を生成する。通信部11は、生成された暗号鍵(公開鍵)を認証サーバ30に送信する(ステップS107)。
The
The
認証サーバ30の通信部31は、通信端末10から送信された暗号鍵(公開鍵)を受信する。通信制御部321は、受信された暗号鍵(公開鍵)を利用者IDに対応付けて鍵情報記憶部33に記憶する(ステップS108)。
The
図10は、サービス連携システム100における開錠時の処理の流れを示すシーケンス図である。
ワンタイムコード生成部223は、システム情報テーブルに登録されているシステムIDで識別されるサービス連携システム100で共通の第1のワンタイムコードを生成する(ステップS201)。第1のワンタイムコードの生成は、既存の技術が用いられてもよい。例えば、ワンタイムコード生成部223は、ランダムな値を用いて第1のワンタイムコードを生成する。
FIG. 10 is a sequence diagram showing a processing flow at the time of unlocking in the
The one-time
ワンタイムコード生成部223は、生成した第1のワンタイムコードを、システムIDに対応付けてシステム情報テーブルに登録する。その後、ワンタイムコード生成部223は、システム情報テーブルに登録されている更新頻度に応じて第1のワンタイムコードを更新する。例えば、図6に示すシステム情報テーブルを例に説明すると、ワンタイムコード生成部223は、システムID“0x”に対応付けられている第1のワンタイムコードを、第1のワンタイムコードの生成後から“5秒”経過する毎に更新する。第1のワンタイムコードを更新する場合、ワンタイムコード生成部223は新たな第1のワンタイムコードを生成し、生成した第1のワンタイムコードで、既に登録されている第1のワンタイムコードを上書きすることによって、第1のワンタイムコードを更新する。
The one-time
通信端末10の通信部11は、利用者の操作に応じてワンタイムコードの発行要求を、ネットワーク55を介して管理サーバ20に送信する(ステップS202)。ワンタイムコードの発行要求には、利用者IDが含まれる。
管理サーバ20の通信部21は、通信端末10から送信されたワンタイムコードの発行要求を受信する。通信制御部222は、発行要求が受信されると、通信部21を制御して、発行要求に含まれる利用者IDの認証を認証サーバ30に要求する。
The
The
具体的には、通信制御部222は、発行要求に含まれる利用者IDを含めた認証要求を生成し、通信部21を制御して、生成した認証要求を認証サーバ30に送信する(ステップS203)。例えば、通信制御部222は、通信部21を制御して、認証連携プロトコル(例えば、Open ID Connect)等を利用して、通信端末10を介したリダイレクト通信で認証サーバ30に対して認証要求を送信する。
Specifically, the
認証サーバ30の通信部31は、管理サーバ20から送信された認証要求を受信する。認証部322は、認証要求が受信されると、通信端末10の利用者の認証を行う。例えば、認証部322は、FIDO UAFを用いた認証を行う。この場合、認証部322は、通信端末10のアプリケーション又はブラウザに対してチャレンジコード(ランダムな値)を送信する(ステップS204)。
The
通信端末10の通信部11は、認証サーバ30から送信されたチャレンジコードを受信する。表示部13は、通信部11によってチャレンジコードが受信されると、生体情報の入力を要求する旨を表示し、利用者から生体情報の入力を受け付ける。生体認証部144は、利用者から生体情報入力部15を介して生体情報の入力がなされると、入力された生体情報と、生体情報記憶部16に記憶されている生体情報とを比較することによって生体認証を行う(ステップS205)。生体認証部144は、入力された生体情報と、生体情報記憶部16に記憶されている生体情報とが一致する場合に認証できたと判定する。一方、生体認証部144は、入力された生体情報と、生体情報記憶部16に記憶されている生体情報とが一致しない場合に認証できなかったと判定する。
The
認証できなかった場合、生体認証部144は認証ができなかった旨を表示部13に表示する。この場合、表示部13は、再度生体情報の入力を要求する旨を表示してもよい。
一方、認証できた場合、暗号化部143は保持している暗号鍵(例えば、秘密鍵)を用いて、受信されたチャレンジコードを暗号化する(ステップS206)。通信制御部141は、通信部11を制御して、暗号化されたチャレンジコードをレスポンスとして認証サーバ30に送信する(ステップS207)。
If the authentication cannot be performed, the
On the other hand, if the authentication is successful, the
認証サーバ30の通信部31は、通信端末10から送信されたレスポンスを受信する。通信制御部321は、受信されたレスポンスを復号部323に出力する。復号部323は、鍵情報記憶部33に記憶されている暗号鍵を用いて、受信されたレスポンスを復号する。例えば、復号部323は、鍵情報記憶部33に記憶されている公開鍵のうち、レスポンスの送信元である通信端末10の利用者IDに対応する公開鍵を用いてレスポンスを復号することによってチャレンジコードを取得する(ステップS208)。認証部322は、取得されたチャレンジコードと、ステップS204の処理で通信端末10に送信されたチャレンジコードとを用いて通信端末10の利用者を認証する(ステップS209)。
The
具体的には、認証部322は、取得されたチャレンジコードと、ステップS204の処理で通信端末10に送信されたチャレンジコードとを比較して一致するか否かを確認する。比較の結果、取得されたチャレンジコードと、ステップS204の処理で通信端末10に送信されたチャレンジコードとが一致する場合、認証部322は利用者の認証ができたと判定する。一方、取得されたチャレンジコードと、ステップS204の処理で通信端末10に送信されたチャレンジコードとが一致しない場合、認証部322は認証ができなかったと判定する。
Specifically, the
認証部322は、認証結果を通信制御部321に出力する。図10では、認証ができたとする。この場合、通信制御部321は、認証がなされた旨を示す通知を含む認証結果を生成し、生成した認証結果を、通信部31を介して管理サーバ20に送信する(ステップS210)。
The
管理サーバ20の通信部21は、認証サーバ30から送信された認証結果を受信する。ワンタイムコード生成部223は、受信された認証結果を確認する(ステップS211)。認証結果には、認証がなされた旨を示す通知が含まれているため、通信制御部222は図5に示す利用者情報テーブルを用いて、利用者に対するワンタイムコードの発行可否を判定する(ステップS212)。
The
具体的には、まず通信制御部222は、利用者情報テーブルに登録されている利用者情報レコード60のうち、認証結果に含まれる利用者IDに対応する利用者情報レコード60を選択する。次に、通信制御部222は、選択した利用者情報レコード60の認証有効期限及び最終認証時刻の値を参照し、ワンタイムコードの発行可否を判定する。
Specifically, first, the
例えば、通信制御部222は、現時点の時刻が、最終認証時刻に認証有効期限で示される時間を加算した時刻を超えていない場合にワンタイムコードの発行可と判定する。一方、通信制御部222は、現時点の時刻が、最終認証時刻に認証有効期限で示される時間を加算した時刻を超えている場合にワンタイムコードの発行不と判定する。ワンタイムコードの発行不の場合、通信制御部222は、通信部21を制御して認証有効期限切れであることを示すエラー通知を通信端末10に送信する。
For example, the
一方、ワンタイムコードの発行可の場合、ワンタイムコード生成部223は、第2のワンタイムコードを生成する(ステップS213)。具体的には、まずワンタイムコード生成部223は、システム情報テーブルから第1のワンタイムコードを取得する。そして、ワンタイムコード生成部223は、取得した第1のワンタイムコードに、発行要求に含まれる利用者IDを、あらかじめ定められた任意の位置に結合することによって第2のワンタイムコードを生成する。ワンタイムコード生成部223は、生成した第2のワンタイムコードを暗号化部225に出力する。
On the other hand, when the one-time code can be issued, the one-time
暗号化部225は、ワンタイムコード生成部223から出力された第2のワンタイムコードを所定の暗号化方式に従って暗号化する(ステップS214)。通信部21は、暗号化された第2のワンタイムコードを含むワンタイムコード情報を通信端末10に送信する(ステップS215)。
The
通信端末10の通信部11は、管理サーバ20から送信されたワンタイムコード情報を受信する。通信制御部141は、受信されたワンタイムコード情報に含まれる暗号化された第2のワンタイムコードをワンタイムコード記憶部17に記憶する。その後、利用者が、通信端末10を所持して電子錠40の近くまで移動し、ワンタイムコードによる認証を指示する(ステップS216)。
The
通信制御部141は、利用者からの指示に応じて、ワンタイムコード記憶部17に記憶されている暗号化された第2のワンタイムコードを読み出す。通信制御部141は、近距離通信部18を制御して、読み出した暗号化された第2のワンタイムコードを含むワンタイムコード情報を近距離無線通信により電子錠40に送信することによって認証を要求する(ステップS217)。
電子錠40の情報取得部41は、通信端末10から送信されたワンタイムコード情報を受信する。制御部42は、通信部43を制御して、ワンタイムコード情報を管理サーバ20に送信する(ステップS218)。この際、制御部42は、ワンタイムコード情報に自装置の錠IDを付与する。
The
The
管理サーバ20の通信部21は、電子錠40から送信されたワンタイムコード情報及び錠IDを受信する。復号部226は、暗号化部225による暗号化方式と同様の方式を用いて、ワンタイムコード情報に含まれる、暗号化された第2のワンタイムコードを復号することによって、第2のワンタイムコードを復元する(ステップS219)。その後、認証部224は、復元された第2のワンタイムコード及び錠IDを用いてワンタイムコードの有効性を認証する(ステップS220)。
The
具体的には、認証部224は、現時刻が第2のワンタイムコードを用いて電子錠40を開錠可能な時間帯であり、かつ、第2のワンタイムコードが有効であり、かつ、利用者がワンタイムコード情報の送信元である電子錠40の開錠の権限を有しているか否かを判定する。現時刻が第2のワンタイムコードを用いて電子錠40を開錠可能な時間帯であり、かつ、第2のワンタイムコードが有効であり、かつ、利用者がワンタイムコード情報の送信元である電子錠40の開錠の権限を有している場合、認証部224は認証できたと判定する。一方、それ以外の場合、認証部224は認証できないと判定する。
Specifically, the
ここで、現時刻が第2のワンタイムコードを用いて電子錠40を開錠可能な時間帯であるか否かの判定、第2のワンタイムコードが有効であるか否かの判定及び利用者がワンタイムコード情報の送信元である電子錠40の開錠の権限を有しているか否かの判定方法について説明する。
Here, it is determined whether or not the current time is a time zone in which the
(現時刻が第2のワンタイムコードを用いて電子錠40を開錠可能な時間帯であるか否かの判定)
認証部224は、復元された第2のワンタイムコードの予め定められた任意の位置から利用者IDを取得する。認証部224は、利用者情報テーブルを参照し、取得した利用者IDに対応する利用者情報レコード60を選択する。次に、認証部224は、現時刻が、選択した利用者情報レコード60の時間帯の項目に登録されている時間帯内であるか否かを判定する。現時刻が、選択した利用者情報レコード60の時間帯内である場合、認証部224は現時刻が第2のワンタイムコードを用いて電子錠40を開錠可能な時間帯であると判定する。
一方、現時刻が、選択した利用者情報レコード60の時間帯外である場合、認証部224は現時刻が第2のワンタイムコードを用いて電子錠40を開錠可能な時間帯ではないと判定する。
(Determining whether or not the current time is a time zone in which the
The
On the other hand, when the current time is outside the time zone of the selected
(第2のワンタイムコードが有効であるか否かの判定)
認証部224は、システム情報テーブルを参照し、利用者IDに対応するシステム情報レコード70を選択する。次に、認証部224は、選択したシステム情報レコード70の第1のワンタイムコードの項目に登録されている値を取得し、取得した第1のワンタイムコードの任意の位置に利用者IDを結合した値と、復元された第2のワンタイムコードとを比較することによって第2のワンタイムコードの有効性を確認する。第1のワンタイムコードの任意の位置に利用者IDを結合した値と、復元された第2のワンタイムコードとが一致する場合、認証部224は第2のワンタイムコードが有効であると判定する。一方、第1のワンタイムコードの任意の位置に利用者IDを結合した値と、復元された第2のワンタイムコードとが一致しない場合、認証部224は第2のワンタイムコードが有効ではないと判定する。
(Determining whether the second one-time code is valid)
The
(利用者が、ワンタイムコード情報の送信元である電子錠40の開錠の権限を有しているか否かの判定)
認証部224は、利用者情報テーブルを参照し、利用者IDに対応する利用者情報レコード60を選択する。次に、認証部224は、選択した利用者情報レコード60の開錠可能錠IDの項目に登録されている錠IDと、ワンタイムコード情報に付与されている錠IDとが一致するか否かを判定する。登録されている錠IDと、ワンタイムコード情報に含まれる錠IDとが一致する場合、認証部224は利用者が、ワンタイムコード情報の送信元である電子錠40の開錠の権限を有していると判定する。
一方、登録されている錠IDと、ワンタイムコード情報に付与されている錠IDとが一致しない場合、認証部224は利用者が、ワンタイムコード情報の送信元である電子錠40の開錠の権限を有していないと判定する。
(Determination of whether or not the user has the authority to unlock the
The
On the other hand, when the registered lock ID and the lock ID given to the one-time code information do not match, the
認証できなかった場合、通信制御部222は、通信部21を制御してエラー通知を通信端末10に送信する。
一方、認証できた場合、通信制御部222は、通信部21を制御して、認証できた旨を示す認証結果を、ワンタイムコード情報に含まれる錠IDで識別される電子錠40に送信する(ステップS221)。
電子錠40の情報取得部41は、管理サーバ20から送信された認証結果を受信する。制御部42は、受信された認証結果を参照し、認証がなされた旨を示している場合には錠制御部44に対して開錠を指示する。錠制御部44は、制御部42の指示に応じて開錠する(ステップS222)。一方、制御部42は、受信された認証結果を参照し、認証がなされていない旨を示している場合にはビープ音などにより認証がなされてない旨を利用者に通知する。
If the authentication cannot be performed, the
On the other hand, if the authentication is successful, the
The
以上のように構成されたサービス連携システム100では、システムにおいて共通のワンタイムコードを生成し、生成したワンタイムコードに利用者IDを結合することによって利用者毎のワンタイムコードとする。これにより、1つのシステムにおいては共通のワンタイムコードを1つ生成すれば、そのシステムに属する利用者それぞれのワンタイムコードが得られる。したがって、管理サーバ20が、利用者毎のワンタイムコードを生成するための処理負荷を軽減することができる。そのため、サービス連携システムにおいて、利用者の正当性を確認しつつ、サーバの負荷を低減することが可能になる。
In the
<変形例>
通信端末10、管理サーバ20、認証サーバ30及び電子錠40の数は、2台以上であってもよい。
上記の実施形態では、電子錠40の情報取得部41が、通信端末10との間で近距離無線通信により第2のワンタイムコードを取得する構成を示したが、電子錠40の情報取得部41はその他の方法で第2のワンタイムコードを取得してもよい。例えば、情報取得部41は、コード化された第2のワンタイムコードを光学的に読み取ることによって第2のワンタイムコードを取得するように構成されてもよい。コード化とは、例えばバーコード化されることでもよいし、二次元コード化されることでもよい。このように構成される場合、通信端末10は、近距離通信部18に代えてコード生成部を備える。コード生成部は、第2のワンタイムコードをコード化してワンタイムコード記憶部17に記憶する。その後、操作部12からの指示に応じて、表示部13はワンタイムコード記憶部17に記憶されているコード化された第2のワンタイムコードを表示する。そして、利用者が、コード化された第2のワンタイムコードを電子錠40の情報取得部41に近づけることによって、情報取得部41はコード化された第2のワンタイムコードを読み取ることによって第2のワンタイムコードを取得する。
<Modification example>
The number of the
In the above embodiment, the
鍵生成部142は、FIDO UAFによる認証方式を用いない場合には、共通鍵暗号化方式により共通鍵を生成してもよい。
本実施形態では、通信端末10において暗号鍵を生成する構成を示したが、暗号鍵は他の装置で生成されてもよい。例えば、暗号鍵は、管理サーバ20で生成してもよいし、認証サーバ30で生成してもよい。管理サーバ20において暗号鍵を生成する場合、管理サーバ20は登録情報通知の送信タイミングで暗号鍵を生成し、登録情報通知とともに暗号鍵(例えば、秘密鍵)を通信端末10に送信する。また、認証サーバ30において暗号鍵を生成する場合、認証サーバ30は通信端末10からのアクセスが行われたタイミングや、認証情報の登録がなされたタイミングで暗号鍵を生成し、暗号鍵(例えば、公開鍵)を通信端末10に送信する。この場合、認証サーバ30は、秘密鍵を鍵情報記憶部33に記憶する。また、サービス連携システム100では、共通鍵暗号化方式と、公開鍵暗号化方式との両方を使い分けるように構成されてもよい。
When the
In the present embodiment, the configuration for generating the encryption key in the
図10において、管理サーバ20は、発行依頼の送信元の通信端末が、一度認証がなされてから認証有効期限が経過していない場合には、ステップS203の処理を実行せずにステップS211の処理を実行するように構成されてもよい。このように構成される場合、サービス連携システム100では、ステップS203〜ステップS211の処理が実行されない。
本実施形態では、管理サーバ20は、利用者が利用するサービスにおいて制御対象となる機器(例えば、電子錠40)から直接ワンタイムコードを取得する構成を示したが、制御対象となる機器を制御するサーバから制御対象となる機器が取得したワンタイムコードを取得するように構成されてもよい。
In FIG. 10, when the communication terminal that is the source of the issuance request is authenticated once and the authentication expiration date has not passed, the
In the present embodiment, the
サービス連携システム100は、電子錠40の開錠のログを蓄積することで、利用者の勤怠管理に適用されてもよい。
本実施形態では、電子錠40の開錠を例に説明したが、その他のサービスに適用されてもよい。その他のサービスとしては、例えばイベント会場への入場管理、シェアリングエコノミーサービスにおける貸借管理、ロッカーの施錠管理、各種機器の起動管理などのサービスである。
The
In the present embodiment, the unlocking of the
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。 Although the embodiments of the present invention have been described in detail with reference to the drawings, the specific configuration is not limited to this embodiment, and includes designs and the like within a range that does not deviate from the gist of the present invention.
10…通信端末, 11…通信部, 12…操作部, 13…表示部, 14…制御部, 141…通信制御部, 142…鍵生成部, 143…暗号化部, 144…生体認証部, 15…生体情報入力部, 16…生体情報記憶部, 17…ワンタイムコード記憶部, 18…近距離通信部, 20…管理サーバ, 21…通信部, 22…制御部, 221…通知生成部, 222…通信制御部, 223…ワンタイムコード生成部, 224…認証部, 225…暗号化部, 226…復号部, 23…操作部, 24…利用者情報記憶部, 25…システム情報記憶部, 30…認証サーバ, 31…通信部, 32…制御部, 321…通信制御部, 322…認証部, 323…復号部, 33…鍵情報記憶部, 40…電子錠, 41…情報取得部, 42…制御部, 43…通信部, 44…錠制御部, 55…ネットワーク 10 ... Communication terminal, 11 ... Communication unit, 12 ... Operation unit, 13 ... Display unit, 14 ... Control unit, 141 ... Communication control unit, 142 ... Key generation unit, 143 ... Encryption unit, 144 ... Bioauthentication unit, 15 ... Biometric information input unit, 16 ... Biological information storage unit, 17 ... One-time code storage unit, 18 ... Short-distance communication unit, 20 ... Management server, 21 ... Communication unit, 22 ... Control unit, 221 ... Notification generation unit, 222 ... Communication control unit, 223 ... One-time code generation unit, 224 ... Authentication unit, 225 ... Encryption unit, 226 ... Decryption unit, 23 ... Operation unit, 24 ... User information storage unit, 25 ... System information storage unit, 30 ... Authentication server, 31 ... Communication unit, 32 ... Control unit, 321 ... Communication control unit, 322 ... Authentication unit, 323 ... Decryption unit, 33 ... Key information storage unit, 40 ... Electronic lock, 41 ... Information acquisition unit, 42 ... Control unit, 43 ... Communication unit, 44 ... Lock control unit, 55 ... Network
Claims (9)
前記複数のサービスを利用する複数の利用者で共有して使用される第1のワンタイムコードと、前記利用者を識別するための識別情報とに基づいて、機器制御のサービスの認証に利用される第2のワンタイムコードを生成するワンタイムコード生成部と、
生成された前記第2のワンタイムコードを、前記複数のサービスを利用する利用者の通信端末に送信し、前記機器制御のサービスに関連する装置から前記第2のワンタイムコードを受信する通信部と、
前記機器制御のサービスに関連する装置から受信された前記第2のワンタイムコードと、前記ワンタイムコード生成部によって生成された前記第2のワンタイムコードとに基づいて認証を行う認証部と、
を備える管理サーバ。 A management server that links multiple services
It is used to authenticate the device control service based on the first one-time code shared and used by a plurality of users who use the plurality of services and the identification information for identifying the user. A one-time code generator that generates a second one-time code,
A communication unit that transmits the generated second one-time code to a communication terminal of a user who uses the plurality of services, and receives the second one-time code from a device related to the device control service. When,
An authentication unit that performs authentication based on the second one-time code received from the device related to the device control service and the second one-time code generated by the one-time code generation unit.
Management server with.
前記ワンタイムコード生成部は、前記認証サーバから受信した認証結果が認証した旨を示している場合に、前記第2のワンタイムコードを生成する、請求項1又は2に記載の管理サーバ。 When a request for using the plurality of services is made from the communication terminal, the communication unit transmits the request to the authentication server, receives the authentication result from the authentication server, and receives the authentication result.
The management server according to claim 1 or 2, wherein the one-time code generation unit generates the second one-time code when the authentication result received from the authentication server indicates that the authentication has been performed.
前記通信部は、前記暗号化部によって暗号化された前記第2のワンタイムコードを前記通信端末に送信する、請求項1から4のいずれか一項に記載の管理サーバ。 An encryption unit that encrypts the second one-time code is further provided.
The management server according to any one of claims 1 to 4, wherein the communication unit transmits the second one-time code encrypted by the encryption unit to the communication terminal.
受信された前記第2のワンタイムコードを復号する復号部をさらに備える、請求項5に記載の管理サーバ。 The communication unit receives the second one-time code encrypted by the encryption unit from the device related to the device control service, and receives the second one-time code.
The management server according to claim 5, further comprising a decoding unit that decodes the received second one-time code.
前記複数のサービスを利用する複数の利用者で共有して使用される第1のワンタイムコードと、前記利用者を識別するための識別情報とに基づいて、機器制御のサービスの認証に利用される第2のワンタイムコードを生成するワンタイムコード生成ステップと、
生成された前記第2のワンタイムコードを、前記複数のサービスを利用する利用者の通信端末に送信し、前記機器制御のサービスに関連する装置から前記第2のワンタイムコードを受信する通信ステップと、
前記機器制御のサービスに関連する装置から受信された前記第2のワンタイムコードと、前記ワンタイムコード生成ステップにおいて生成された前記第2のワンタイムコードとに基づいて認証を行う認証ステップと、
を有する認証方法。 It is an authentication method performed by the management server that links multiple services.
It is used to authenticate the device control service based on the first one-time code shared and used by a plurality of users who use the plurality of services and the identification information for identifying the user. One-time code generation step to generate the second one-time code,
A communication step in which the generated second one-time code is transmitted to a communication terminal of a user who uses the plurality of services, and the second one-time code is received from a device related to the device control service. When,
An authentication step for performing authentication based on the second one-time code received from the device related to the device control service and the second one-time code generated in the one-time code generation step.
Authentication method with.
前記複数のサービスを利用する複数の利用者で共有して使用される第1のワンタイムコードと、前記利用者を識別するための識別情報とに基づいて、機器制御のサービスの認証に利用される第2のワンタイムコードを生成するワンタイムコード生成ステップと、
生成された前記第2のワンタイムコードを、前記複数のサービスを利用する利用者の通信端末に送信し、前記機器制御のサービスに関連する装置から前記第2のワンタイムコードを受信する通信ステップと、
前記機器制御のサービスに関連する装置から受信された前記第2のワンタイムコードと、前記ワンタイムコード生成ステップにおいて生成された前記第2のワンタイムコードとに基づいて認証を行う認証ステップと、
を実行させるためのコンピュータプログラム。 For a computer as a management server that links multiple services
It is used to authenticate the device control service based on the first one-time code shared and used by a plurality of users who use the plurality of services and the identification information for identifying the user. One-time code generation step to generate the second one-time code,
A communication step in which the generated second one-time code is transmitted to a communication terminal of a user who uses the plurality of services, and the second one-time code is received from a device related to the device control service. When,
An authentication step for performing authentication based on the second one-time code received from the device related to the device control service and the second one-time code generated in the one-time code generation step.
A computer program to run.
前記管理サーバは、
前記複数のサービスの認証に利用される情報の要求元である通信端末の利用者の認証が前記認証サーバによってなされると、前記複数のサービスを利用する複数の利用者で共有して使用される第1のワンタイムコードと、前記利用者を識別するための識別情報とに基づいて、機器制御のサービスの認証に利用される第2のワンタイムコードを生成するワンタイムコード生成部と、
生成された前記第2のワンタイムコードを、前記複数のサービスを利用する利用者の通信端末に送信し、前記機器制御のサービスに関連する装置から前記第2のワンタイムコードを受信する通信部と、
前記機器制御のサービスに関連する装置から受信された前記第2のワンタイムコードと、前記ワンタイムコード生成部によって生成された前記第2のワンタイムコードとに基づいて認証を行う認証部と、
前記認証サーバは、
前記利用者に関する情報と、前記通信端末によって予め登録された前記利用者に関する情報とに基づいて、前記通信端末の利用者を認証する認証部、
を備えるサービス連携システム。 A service linkage system including a management server for linking a plurality of services and an authentication server for authenticating users who use the plurality of services.
The management server
When the user of the communication terminal that is the source of the information used for the authentication of the plurality of services is authenticated by the authentication server, it is shared and used by the plurality of users who use the plurality of services. A one-time code generator that generates a second one-time code used for authenticating a device control service based on the first one-time code and identification information for identifying the user.
A communication unit that transmits the generated second one-time code to a communication terminal of a user who uses the plurality of services, and receives the second one-time code from a device related to the device control service. When,
An authentication unit that performs authentication based on the second one-time code received from the device related to the device control service and the second one-time code generated by the one-time code generation unit.
The authentication server is
An authentication unit that authenticates a user of the communication terminal based on the information about the user and the information about the user registered in advance by the communication terminal.
Service cooperation system equipped with.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018055070A JP6934442B2 (en) | 2018-03-22 | 2018-03-22 | Management server, authentication method, computer program and service cooperation system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018055070A JP6934442B2 (en) | 2018-03-22 | 2018-03-22 | Management server, authentication method, computer program and service cooperation system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019168843A JP2019168843A (en) | 2019-10-03 |
JP6934442B2 true JP6934442B2 (en) | 2021-09-15 |
Family
ID=68107437
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018055070A Active JP6934442B2 (en) | 2018-03-22 | 2018-03-22 | Management server, authentication method, computer program and service cooperation system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6934442B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021117549A (en) * | 2020-01-22 | 2021-08-10 | カマルク特定技術研究所株式会社 | Management method, management server, computer program, and operation method for management system |
JP7388588B1 (en) | 2023-04-12 | 2023-11-29 | 富士電機株式会社 | Authentication system |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4799496B2 (en) * | 2007-07-11 | 2011-10-26 | 中国電力株式会社 | Personal authentication method |
-
2018
- 2018-03-22 JP JP2018055070A patent/JP6934442B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2019168843A (en) | 2019-10-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105339949B (en) | System for managing the access to medical data | |
US8914866B2 (en) | System and method for user authentication by means of web-enabled personal trusted device | |
US7409543B1 (en) | Method and apparatus for using a third party authentication server | |
CA2636453C (en) | Multisystem biometric token | |
CN110178161B (en) | Access control system with secure pass through | |
KR100529550B1 (en) | Method for modifying authority of a certificate of authentication using information of a biometrics in a pki infrastructure | |
JP2016536889A (en) | Authentication system, transmitting terminal, receiving terminal, and authority authentication method | |
EP3293995B1 (en) | Locking system and secure token and ownership transfer | |
KR100449484B1 (en) | Method for issuing a certificate of authentication using information of a bio metrics in a pki infrastructure | |
JPWO2008117550A1 (en) | Software IC card system, management server, terminal, service providing server, service providing method and program | |
JP7172716B2 (en) | Authorization system, management server and authorization method | |
US20120311331A1 (en) | Logon verification apparatus, system and method for performing logon verification | |
US20070136604A1 (en) | Method and system for managing secure access to data in a network | |
JP2012144899A (en) | Electronic key management device, locking/unlocking system, electronic key management method and program | |
US20200127824A1 (en) | Updating biometric template protection keys | |
JP2011012511A (en) | Electric lock control system | |
JP6934442B2 (en) | Management server, authentication method, computer program and service cooperation system | |
CN110598469B (en) | Information processing method, device and computer storage medium | |
CN114006700A (en) | Client login method and device, computer equipment and storage medium | |
KR20170051459A (en) | Authentication stick | |
JP6174796B2 (en) | Security system, management device, permission device, terminal device, security method, and program | |
JP6934441B2 (en) | Management server, authentication method, computer program and service cooperation system | |
KR20200067987A (en) | Method of login control | |
KR20190061606A (en) | Method and system for protecting personal information infringement using division of authentication process and biometrics authentication | |
JP6723422B1 (en) | Authentication system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20180328 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20180328 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200716 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210526 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210608 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210713 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210803 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210823 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6934442 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |