JP7101845B1 - 認証システム、認証方法及び中央管理装置 - Google Patents
認証システム、認証方法及び中央管理装置 Download PDFInfo
- Publication number
- JP7101845B1 JP7101845B1 JP2021075614A JP2021075614A JP7101845B1 JP 7101845 B1 JP7101845 B1 JP 7101845B1 JP 2021075614 A JP2021075614 A JP 2021075614A JP 2021075614 A JP2021075614 A JP 2021075614A JP 7101845 B1 JP7101845 B1 JP 7101845B1
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- verification information
- user identifier
- base
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 76
- 238000012795 verification Methods 0.000 claims abstract description 223
- 238000003860 storage Methods 0.000 claims abstract description 105
- 230000005540 biological transmission Effects 0.000 claims abstract description 82
- 238000012217 deletion Methods 0.000 claims abstract description 49
- 230000037430 deletion Effects 0.000 claims abstract description 49
- 238000012546 transfer Methods 0.000 abstract description 18
- 238000010586 diagram Methods 0.000 abstract description 9
- 230000008569 process Effects 0.000 description 66
- 238000012545 processing Methods 0.000 description 25
- 230000006870 function Effects 0.000 description 14
- 238000012986 modification Methods 0.000 description 14
- 230000004048 modification Effects 0.000 description 14
- 230000015654 memory Effects 0.000 description 13
- 238000004891 communication Methods 0.000 description 6
- 230000014759 maintenance of location Effects 0.000 description 4
- 230000008520 organization Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Abstract
【課題】ユーザの異動等に伴い、検証情報を手間なく適切に管理可能にする。
【解決手段】中央管理装置20は、複数の分散拠点31のうちのいずれかの分散拠点31に設置された認証装置10である要求元装置によって送信された送信要求を受信すると、中央管理装置20は、ユーザ識別子毎に検証情報と分散拠点31の識別子である拠点識別子とを記憶した中央記憶部から、送信要求に含まれるユーザ識別子についての検証情報を取得して要求元装置に送信する。中央管理装置20は、中央記憶部に記憶された拠点識別子であって送信要求に含まれるユーザ識別子についての拠点識別子が示す分散拠点31に設置された認証装置10に対して、そのユーザ識別子についての検証情報の削除を指示する削除指示を送信する。
【選択図】図1
【解決手段】中央管理装置20は、複数の分散拠点31のうちのいずれかの分散拠点31に設置された認証装置10である要求元装置によって送信された送信要求を受信すると、中央管理装置20は、ユーザ識別子毎に検証情報と分散拠点31の識別子である拠点識別子とを記憶した中央記憶部から、送信要求に含まれるユーザ識別子についての検証情報を取得して要求元装置に送信する。中央管理装置20は、中央記憶部に記憶された拠点識別子であって送信要求に含まれるユーザ識別子についての拠点識別子が示す分散拠点31に設置された認証装置10に対して、そのユーザ識別子についての検証情報の削除を指示する削除指示を送信する。
【選択図】図1
Description
本開示は、ユーザの認証を行う技術に関する。
大企業等の大きな組織には、複数の拠点があり、拠点毎にその拠点における処理を行うためのサーバが設置される場合がある。拠点毎にサーバを設置することにより、1つのサーバに大きな負荷がかかることが防止される。
ユーザを認証する認証装置についても、拠点毎にその拠点のユーザを認証するための認証装置が設けられる場合がある。この場合には、各拠点の認証装置には、その拠点のユーザを認証するために必要な検証情報が記憶される。
人事異動等でユーザが他の拠点に異動した場合には、異動先の拠点の認証装置に異動するユーザの検証情報を追加する必要がある。また、セキュリティの観点から、移動元の拠点の認証装置から異動するユーザの検証情報を削除することが望ましい。拠点間での人の異動が頻繁に発生する場合には、検証情報の追加及び削除の手間がかかる。
人事異動等でユーザが他の拠点に異動した場合には、異動先の拠点の認証装置に異動するユーザの検証情報を追加する必要がある。また、セキュリティの観点から、移動元の拠点の認証装置から異動するユーザの検証情報を削除することが望ましい。拠点間での人の異動が頻繁に発生する場合には、検証情報の追加及び削除の手間がかかる。
特許文献1には、指紋情報を集中管理する指紋認証サーバと、複数の指紋認証装置とを備える指紋認証システムについて記載されている。この指紋認証システムでは、指紋認証装置に使用者識別子の登録がない場合には、指紋認証装置は、指紋認証サーバに認証を依頼し、認証結果と使用者識別子に対応する指紋情報とを取得している。
特許文献1に記載された技術を応用することにより、異動先の拠点の認証装置に異動するユーザの検証情報を手間なく追加することは可能である。しかし、特許文献1に記載された認証システムでは、不要な検証情報が認証装置に残ってしまう可能性があり、セキュリティの観点から望ましくない。
本開示は、ユーザの異動等に伴い、検証情報を手間なく適切に管理可能にすることを目的とする。
本開示は、ユーザの異動等に伴い、検証情報を手間なく適切に管理可能にすることを目的とする。
本開示に係る認証システムは、
複数の分散拠点それぞれに設置された認証装置と中央管理装置とを備える認証システムであり、
前記認証装置は、
ユーザ識別子及び認証情報を含む認証要求を取得する認証要求取得部と、
前記認証要求取得部によって取得された前記認証要求に含まれる認証情報を検証するための検証情報であって、前記認証要求に含まれるユーザ識別子についての検証情報が検証情報記憶部に記憶されていない場合に、前記認証要求に含まれるユーザ識別子を含む送信要求を前記中央管理装置に送信する要求部と
を備え、
前記中央管理装置は、
前記複数の分散拠点のうちのいずれかの分散拠点に設置された認証装置である要求元装置によって送信された前記送信要求を受信すると、ユーザ識別子毎に検証情報と分散拠点の識別子である拠点識別子とを記憶した中央記憶部から、前記送信要求に含まれるユーザ識別子についての検証情報を取得して前記要求元装置に送信する検証情報送信部と、
前記中央記憶部に記憶された拠点識別子であって前記送信要求に含まれるユーザ識別子についての拠点識別子が示す分散拠点に設置された認証装置に対して、前記送信要求に含まれるユーザ識別子についての検証情報の削除を指示する削除指示を送信する削除指示部と
を備える。
複数の分散拠点それぞれに設置された認証装置と中央管理装置とを備える認証システムであり、
前記認証装置は、
ユーザ識別子及び認証情報を含む認証要求を取得する認証要求取得部と、
前記認証要求取得部によって取得された前記認証要求に含まれる認証情報を検証するための検証情報であって、前記認証要求に含まれるユーザ識別子についての検証情報が検証情報記憶部に記憶されていない場合に、前記認証要求に含まれるユーザ識別子を含む送信要求を前記中央管理装置に送信する要求部と
を備え、
前記中央管理装置は、
前記複数の分散拠点のうちのいずれかの分散拠点に設置された認証装置である要求元装置によって送信された前記送信要求を受信すると、ユーザ識別子毎に検証情報と分散拠点の識別子である拠点識別子とを記憶した中央記憶部から、前記送信要求に含まれるユーザ識別子についての検証情報を取得して前記要求元装置に送信する検証情報送信部と、
前記中央記憶部に記憶された拠点識別子であって前記送信要求に含まれるユーザ識別子についての拠点識別子が示す分散拠点に設置された認証装置に対して、前記送信要求に含まれるユーザ識別子についての検証情報の削除を指示する削除指示を送信する削除指示部と
を備える。
本開示では、認証要求に含まれる認証情報を検証するための検証情報がない場合に、認証装置は中央管理装置に送信要求を送信する。すると、中央管理装置は、要求された検証情報を送信要求の送信元の認証装置に送信するとともに、元々検証情報を記憶している認証装置に削除指示を送信する。
これにより、異動先の拠点の認証装置に認証要求がされるだけで、異動先の分散拠点の認証装置に異動するユーザの検証情報を追加するとともに、異動元の分散拠点の認証装置から異動するユーザの検証情報を削除するといったことが可能になる。
これにより、異動先の拠点の認証装置に認証要求がされるだけで、異動先の分散拠点の認証装置に異動するユーザの検証情報を追加するとともに、異動元の分散拠点の認証装置から異動するユーザの検証情報を削除するといったことが可能になる。
実施の形態1.
***構成の説明***
図1を参照して、実施の形態1に係る認証システム100の構成を説明する。
認証システム100は、複数の認証装置10と、中央管理装置20とを備える。
各認証装置10は、それぞれ異なる分散拠点31に設置されている。中央管理装置20は、中央拠点32に設置されている。各認証装置10及び中央管理装置20には、1台以上のクライアント端末40が接続されている。
各認証装置10と中央管理装置20とは、伝送路90を介して接続されている。
***構成の説明***
図1を参照して、実施の形態1に係る認証システム100の構成を説明する。
認証システム100は、複数の認証装置10と、中央管理装置20とを備える。
各認証装置10は、それぞれ異なる分散拠点31に設置されている。中央管理装置20は、中央拠点32に設置されている。各認証装置10及び中央管理装置20には、1台以上のクライアント端末40が接続されている。
各認証装置10と中央管理装置20とは、伝送路90を介して接続されている。
図2を参照して、実施の形態1に係る認証装置10の構成を説明する。
認証装置10は、コンピュータである。
認証装置10は、プロセッサ11と、メモリ12と、ストレージ13と、通信インタフェース14とのハードウェアを備える。プロセッサ11は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
認証装置10は、コンピュータである。
認証装置10は、プロセッサ11と、メモリ12と、ストレージ13と、通信インタフェース14とのハードウェアを備える。プロセッサ11は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
認証装置10は、機能構成要素として、認証要求取得部111と、検証部112と、要求部113と、削除部114とを備える。認証装置10の各機能構成要素の機能はソフトウェアにより実現される。
ストレージ13には、認証装置10の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ11によりメモリ12に読み込まれ、プロセッサ11によって実行される。これにより、認証装置10の各機能構成要素の機能が実現される。
ストレージ13には、認証装置10の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ11によりメモリ12に読み込まれ、プロセッサ11によって実行される。これにより、認証装置10の各機能構成要素の機能が実現される。
また、ストレージ13は、検証情報記憶部131を実現する。
図3を参照して、実施の形態1に係る中央管理装置20の構成を説明する。
中央管理装置20は、コンピュータである。
中央管理装置20は、プロセッサ21と、メモリ22と、ストレージ23と、通信インタフェース24とのハードウェアを備える。プロセッサ21は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
中央管理装置20は、コンピュータである。
中央管理装置20は、プロセッサ21と、メモリ22と、ストレージ23と、通信インタフェース24とのハードウェアを備える。プロセッサ21は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
中央管理装置20は、機能構成要素として、送信要求取得部211と、検証情報送信部212と、拠点判定部213と、削除指示部214と、識別子更新部215と、新規受付部216とを備える。中央管理装置20の各機能構成要素の機能はソフトウェアにより実現される。
ストレージ23には、中央管理装置20の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ21によりメモリ22に読み込まれ、プロセッサ21によって実行される。これにより、中央管理装置20の各機能構成要素の機能が実現される。
ストレージ23には、中央管理装置20の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ21によりメモリ22に読み込まれ、プロセッサ21によって実行される。これにより、中央管理装置20の各機能構成要素の機能が実現される。
また、ストレージ23は、中央記憶部231を実現する。
プロセッサ11,21は、プロセッシングを行うIC(Integrated Circuit)である。プロセッサ11,21は、具体例としては、CPU(Central
Processing Unit)、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。
Processing Unit)、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。
メモリ12,22は、データを一時的に記憶する記憶装置である。メモリ12,22は、具体例としては、SRAM(Static Random Access Memory)、DRAM(Dynamic Random Access Memory)である。
ストレージ13,23は、データを保管する記憶装置である。ストレージ13,23は、具体例としては、HDD(Hard Disk Drive)である。また、ストレージ13,23は、SD(登録商標,Secure Digital)メモリカード、CF(CompactFlash,登録商標)、NANDフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD(Digital Versatile Disk)といった可搬記録媒体であってもよい。
通信インタフェース14,24は、外部の装置と通信するためのインタフェースである。通信インタフェース14,24は、具体例としては、Ethernet(登録商標)、USB(Universal Serial Bus)、HDMI(登録商標,High-Definition Multimedia Interface)のポートである。
図2では、プロセッサ11は、1つだけ示されていた。しかし、プロセッサ11は、複数であってもよく、複数のプロセッサ11が、各機能を実現するプログラムを連携して実行してもよい。同様に、図3では、プロセッサ21は、1つだけ示されていた。しかし、プロセッサ21は、複数であってもよく、複数のプロセッサ21が、各機能を実現するプログラムを連携して実行してもよい。
***動作の説明***
図4から図13を参照して、実施の形態1に係る認証システム100の動作を説明する。
実施の形態1に係る認証システム100の動作手順は、実施の形態1に係る認証方法に相当する。また、実施の形態1に係る認証システム100における認証装置10の動作を実現するプログラムは、実施の形態1に係る認証プログラムに相当する。
図4から図13を参照して、実施の形態1に係る認証システム100の動作を説明する。
実施の形態1に係る認証システム100の動作手順は、実施の形態1に係る認証方法に相当する。また、実施の形態1に係る認証システム100における認証装置10の動作を実現するプログラムは、実施の形態1に係る認証プログラムに相当する。
図4を参照して、実施の形態1に係る検証情報記憶部131に記憶される情報を説明する。
検証情報記憶部131には、ユーザ識別子毎に、検証情報が記憶される。ユーザ識別子は、ユーザを一意に識別可能な情報である。検証情報は、認証情報を検証するための情報であり、指紋情報及び虹彩情報といった生体情報、又は、パスワード等である。
各認証装置10の検証情報記憶部131には、その認証装置10が設置された分散拠点31に属するユーザのユーザ識別子及び検証情報が記憶される。
検証情報記憶部131には、ユーザ識別子毎に、検証情報が記憶される。ユーザ識別子は、ユーザを一意に識別可能な情報である。検証情報は、認証情報を検証するための情報であり、指紋情報及び虹彩情報といった生体情報、又は、パスワード等である。
各認証装置10の検証情報記憶部131には、その認証装置10が設置された分散拠点31に属するユーザのユーザ識別子及び検証情報が記憶される。
図5を参照して、実施の形態1に係る中央記憶部231に記憶される情報を説明する。
中央記憶部231には、ユーザ識別子毎に、検証情報と、拠点識別子とが記憶される。ユーザ識別子及び検証情報は上述した通りである。拠点識別子は、分散拠点31を識別可能な情報である。
中央記憶部231には、全ての分散拠点31に属するユーザのユーザ識別子及び検証情報が記憶される。
中央記憶部231には、ユーザ識別子毎に、検証情報と、拠点識別子とが記憶される。ユーザ識別子及び検証情報は上述した通りである。拠点識別子は、分散拠点31を識別可能な情報である。
中央記憶部231には、全ての分散拠点31に属するユーザのユーザ識別子及び検証情報が記憶される。
実施の形態1に係る認証システム100の動作は、認証処理と、新規登録処理と、抹消処理とに分けられる。
認証処理は、認証装置10がユーザを認証する処理である。認証処理は、例えば、データにアクセスする場合又はシステムへのログインをする場合等に実行される。新規登録処理は、新たなユーザが追加された場合に、そのユーザを認証するための検証情報を登録する処理である。新規登録処理は、組織に新たに人が加わった場合等に実行される。抹消処理は、ユーザがいなくなる場合に、そのユーザの検証情報を削除する処理である。抹消処理は、組織から人が脱退した場合等に実行される。
ユーザが異動して属する分散拠点31が変更される場合における検証情報の管理は、認証処理において実現される。
認証処理は、認証装置10がユーザを認証する処理である。認証処理は、例えば、データにアクセスする場合又はシステムへのログインをする場合等に実行される。新規登録処理は、新たなユーザが追加された場合に、そのユーザを認証するための検証情報を登録する処理である。新規登録処理は、組織に新たに人が加わった場合等に実行される。抹消処理は、ユーザがいなくなる場合に、そのユーザの検証情報を削除する処理である。抹消処理は、組織から人が脱退した場合等に実行される。
ユーザが異動して属する分散拠点31が変更される場合における検証情報の管理は、認証処理において実現される。
図6及び図7を参照して、実施の形態1に係る認証処理を説明する。
図6を参照して、実施の形態1に係る認証処理において認証を行う認証装置10の処理を説明する。
(ステップS11:認証要求取得処理)
認証要求取得部111は、ユーザ識別子及び認証情報を含む認証要求を取得する。
具体的には、認証を受けたいユーザによってクライアント端末40が操作され、ユーザ識別子及び認証情報を含む認証要求が入力される。認証情報は、ユーザの生体情報、又は、パスワード等である。すると、クライアント端末40と接続された認証装置10の認証要求取得部111は、入力された認証情報を取得する。
図6を参照して、実施の形態1に係る認証処理において認証を行う認証装置10の処理を説明する。
(ステップS11:認証要求取得処理)
認証要求取得部111は、ユーザ識別子及び認証情報を含む認証要求を取得する。
具体的には、認証を受けたいユーザによってクライアント端末40が操作され、ユーザ識別子及び認証情報を含む認証要求が入力される。認証情報は、ユーザの生体情報、又は、パスワード等である。すると、クライアント端末40と接続された認証装置10の認証要求取得部111は、入力された認証情報を取得する。
(ステップS12:検証情報判定処理)
検証部112は、ステップS11で取得された認証要求に含まれるユーザ識別子についての検証情報が検証情報記憶部131に記憶されているか否かを判定する。つまり、検証部112は、認証要求に含まれる認証情報を検証するための検証情報が検証情報記憶部131に記憶されているか否かを判定する。
検証部112は、検証情報が記憶されている場合には、処理をステップS13に進める。一方、検証部112は、検証情報が記憶されていない場合には、処理をステップS16に進める。
検証部112は、ステップS11で取得された認証要求に含まれるユーザ識別子についての検証情報が検証情報記憶部131に記憶されているか否かを判定する。つまり、検証部112は、認証要求に含まれる認証情報を検証するための検証情報が検証情報記憶部131に記憶されているか否かを判定する。
検証部112は、検証情報が記憶されている場合には、処理をステップS13に進める。一方、検証部112は、検証情報が記憶されていない場合には、処理をステップS16に進める。
(ステップS13:検証処理)
検証部112は、ステップS11で取得された認証要求に含まれるユーザ識別子についての検証情報を検証情報記憶部131から読み出す。検証部112は、読み出された検証情報により、認証要求に含まれる認証情報を検証する。
具体的には、検証部112は、認証情報及び検証情報が生体情報である場合には、認証情報と検証情報との類似度が閾値以上であれば、認証情報が正当であると判定し、閾値未満であれば、認証情報が不当であると判定する。また、検証部112は、認証情報及び検証情報がパスワードである場合には、認証情報と検証情報とが一致すれば、認証情報が正当であると判定し、認証情報と検証情報とが一致しなければ、認証情報が不当であると判定する。
検証部112は、認証情報が正当であると判定された場合には、処理をステップS14に進める。一方、検証部112は、認証情報が不当であると判定された場合には、処理をステップS15に進める。
検証部112は、ステップS11で取得された認証要求に含まれるユーザ識別子についての検証情報を検証情報記憶部131から読み出す。検証部112は、読み出された検証情報により、認証要求に含まれる認証情報を検証する。
具体的には、検証部112は、認証情報及び検証情報が生体情報である場合には、認証情報と検証情報との類似度が閾値以上であれば、認証情報が正当であると判定し、閾値未満であれば、認証情報が不当であると判定する。また、検証部112は、認証情報及び検証情報がパスワードである場合には、認証情報と検証情報とが一致すれば、認証情報が正当であると判定し、認証情報と検証情報とが一致しなければ、認証情報が不当であると判定する。
検証部112は、認証情報が正当であると判定された場合には、処理をステップS14に進める。一方、検証部112は、認証情報が不当であると判定された場合には、処理をステップS15に進める。
(ステップS14:成功通知処理)
検証部112は、認証情報が正当であるため、認証成功であることをクライアント端末40に通知する。
検証部112は、認証情報が正当であるため、認証成功であることをクライアント端末40に通知する。
(ステップS15:失敗通知処理)
検証部112は、認証情報が不当であるため、認証失敗であることをクライアント端末40に通知する。
検証部112は、認証情報が不当であるため、認証失敗であることをクライアント端末40に通知する。
(ステップS16:送信要求処理)
要求部113は、認証要求に含まれるユーザ識別子を含む送信要求を中央管理装置20に送信する。すると、中央記憶部231にユーザ識別子についての検証情報が記憶されている場合には、後述する図7のステップS23の処理で中央管理装置20から検証情報が送信される。一方、中央記憶部231にユーザ識別子についての検証情報が記憶されていない場合には、後述する図7のステップS24の処理で中央管理装置20から検証情報が存在しないことが通知される。
要求部113は、検証情報が送信された場合には、送信された検証情報を、送信要求に含まれるユーザ識別子についての検証情報として検証情報記憶部131に書き込み、処理をステップS13に進める。一方、要求部113は、検証情報が存在しないことが通知された場合には、認証情報が不当であるとして、処理をステップ15に進める。
要求部113は、認証要求に含まれるユーザ識別子を含む送信要求を中央管理装置20に送信する。すると、中央記憶部231にユーザ識別子についての検証情報が記憶されている場合には、後述する図7のステップS23の処理で中央管理装置20から検証情報が送信される。一方、中央記憶部231にユーザ識別子についての検証情報が記憶されていない場合には、後述する図7のステップS24の処理で中央管理装置20から検証情報が存在しないことが通知される。
要求部113は、検証情報が送信された場合には、送信された検証情報を、送信要求に含まれるユーザ識別子についての検証情報として検証情報記憶部131に書き込み、処理をステップS13に進める。一方、要求部113は、検証情報が存在しないことが通知された場合には、認証情報が不当であるとして、処理をステップ15に進める。
図7を参照して、実施の形態1に係る送信要求が送信された中央管理装置20の処理を説明する。
(ステップS21:送信要求取得処理)
送信要求取得部211は、図6のステップS16で送信された送信要求を取得する。ここでは、送信要求の送信元の認証装置10を要求元装置と呼ぶ。
(ステップS21:送信要求取得処理)
送信要求取得部211は、図6のステップS16で送信された送信要求を取得する。ここでは、送信要求の送信元の認証装置10を要求元装置と呼ぶ。
(ステップS22:検証情報判定処理)
検証情報送信部212は、ステップS21で取得された送信要求に含まれるユーザ識別子についての検証情報が中央記憶部231に記憶されているか否かを判定する。
検証情報送信部212は、検証情報が記憶されている場合には、処理をステップS23に進める。一方、検証情報送信部212は、検証情報が記憶されていない場合には、処理をステップS24に進める。
検証情報送信部212は、ステップS21で取得された送信要求に含まれるユーザ識別子についての検証情報が中央記憶部231に記憶されているか否かを判定する。
検証情報送信部212は、検証情報が記憶されている場合には、処理をステップS23に進める。一方、検証情報送信部212は、検証情報が記憶されていない場合には、処理をステップS24に進める。
(ステップS23:検証情報送信処理)
検証情報送信部212は、ステップS21で取得された送信要求に含まれるユーザ識別子についての検証情報を中央記憶部231から取得して、要求元装置に送信する。
検証情報送信部212は、ステップS21で取得された送信要求に含まれるユーザ識別子についての検証情報を中央記憶部231から取得して、要求元装置に送信する。
(ステップS24:不存在通知処理)
検証情報送信部212は、ステップS21で取得された送信要求に含まれるユーザ識別子についての検証情報が存在しないことを、要求元装置に通知する。
検証情報送信部212は、ステップS21で取得された送信要求に含まれるユーザ識別子についての検証情報が存在しないことを、要求元装置に通知する。
(ステップS25:拠点判定処理)
拠点判定部213は、ステップS21で取得された送信要求に含まれるユーザ識別子についての拠点識別子が、要求元装置が設置された分散拠点31を示すか否かを判定する。具体的には、拠点判定部213は、ステップS21で取得された送信要求に含まれるユーザ識別子についての拠点識別子を中央記憶部231から読み出す。そして、拠点判定部213は、読み出された拠点識別子が、要求元装置が設置された分散拠点31を示すか、他の分散拠点31を示すかを判定する。なお、要求元装置が設置された分散拠点31は、送信要求の送信元のアドレス等から特定すればよい。
拠点判定部213は、拠点識別子が、要求元装置が設置された拠点を示す場合には処理を終了する。一方、拠点判定部213は、拠点識別子が、他の拠点を示す場合には、処理をステップS26に進める。
拠点判定部213は、ステップS21で取得された送信要求に含まれるユーザ識別子についての拠点識別子が、要求元装置が設置された分散拠点31を示すか否かを判定する。具体的には、拠点判定部213は、ステップS21で取得された送信要求に含まれるユーザ識別子についての拠点識別子を中央記憶部231から読み出す。そして、拠点判定部213は、読み出された拠点識別子が、要求元装置が設置された分散拠点31を示すか、他の分散拠点31を示すかを判定する。なお、要求元装置が設置された分散拠点31は、送信要求の送信元のアドレス等から特定すればよい。
拠点判定部213は、拠点識別子が、要求元装置が設置された拠点を示す場合には処理を終了する。一方、拠点判定部213は、拠点識別子が、他の拠点を示す場合には、処理をステップS26に進める。
(ステップS26:削除指示処理)
削除指示部214は、ステップS21で取得された送信要求に含まれるユーザ識別子についての拠点識別子が示す分散拠点31に設置された認証装置10に対して、送信要求に含まれるユーザ識別子についての検証情報の削除を指示する削除指示を送信する。
削除指示が送信された認証装置10の削除部114は、送信要求に含まれるユーザ識別子についての検証情報を検証情報記憶部131から削除する。具体的には、削除部114は、送信要求に含まれるユーザ識別子についてのレコードを検証情報記憶部131から削除する。
削除指示部214は、ステップS21で取得された送信要求に含まれるユーザ識別子についての拠点識別子が示す分散拠点31に設置された認証装置10に対して、送信要求に含まれるユーザ識別子についての検証情報の削除を指示する削除指示を送信する。
削除指示が送信された認証装置10の削除部114は、送信要求に含まれるユーザ識別子についての検証情報を検証情報記憶部131から削除する。具体的には、削除部114は、送信要求に含まれるユーザ識別子についてのレコードを検証情報記憶部131から削除する。
(ステップS27:識別子更新処理)
識別子更新部215は、中央記憶部231における送信要求に含まれるユーザ識別子についての拠点識別子を、要求元装置が設置された分散拠点31の拠点識別子に更新する。
識別子更新部215は、中央記憶部231における送信要求に含まれるユーザ識別子についての拠点識別子を、要求元装置が設置された分散拠点31の拠点識別子に更新する。
なお、ステップS26の処理とステップS27の処理とはどちらが先に実行されてもよいし、同時に実行されてもよい。
図8を参照して、実施の形態1に係る新規登録処理を説明する。
(ステップS31:新規受付処理)
新規受付部216は、新規ユーザの検証情報を受け付ける。
具体的には、新規にユーザが追加される場合に、中央管理装置20に接続されたクライアント端末40が操作され、新規ユーザについてのユーザ識別子と検証情報と属する分散拠点31を示す拠点識別子とが入力される。すると、新規受付部216は、入力されたユーザ識別子と検証情報と拠点識別子とを受け付ける。
(ステップS31:新規受付処理)
新規受付部216は、新規ユーザの検証情報を受け付ける。
具体的には、新規にユーザが追加される場合に、中央管理装置20に接続されたクライアント端末40が操作され、新規ユーザについてのユーザ識別子と検証情報と属する分散拠点31を示す拠点識別子とが入力される。すると、新規受付部216は、入力されたユーザ識別子と検証情報と拠点識別子とを受け付ける。
(ステップS32:情報登録処理)
新規受付部216は、ステップS31で受け付けされた検証情報を中央記憶部231に書き込む。具体的には、新規受付部216は、ステップS31で受け付けされたユーザ識別子と検証情報と拠点識別子とのレコードを中央記憶部231に追加する。
新規受付部216は、ステップS31で受け付けされた検証情報を中央記憶部231に書き込む。具体的には、新規受付部216は、ステップS31で受け付けされたユーザ識別子と検証情報と拠点識別子とのレコードを中央記憶部231に追加する。
図9を参照して、実施の形態1に係る抹消処理を説明する。
(ステップS41:抹消受付処理)
削除指示部214は、抹消ユーザのユーザ識別子を受け付ける。
具体的には、ユーザが抹消される場合に、中央管理装置20に接続されたクライアント端末40が操作され、抹消ユーザについてのユーザ識別子が入力される。すると、削除指示部214は、入力されたユーザ識別子を受け付ける。
(ステップS41:抹消受付処理)
削除指示部214は、抹消ユーザのユーザ識別子を受け付ける。
具体的には、ユーザが抹消される場合に、中央管理装置20に接続されたクライアント端末40が操作され、抹消ユーザについてのユーザ識別子が入力される。すると、削除指示部214は、入力されたユーザ識別子を受け付ける。
(ステップS42:情報削除処理)
削除指示部214は、ステップS41で受け付けされたユーザ識別子についての検証情報を中央記憶部231から削除する。具体的には、削除指示部214は、ステップS41で受け付けされたユーザ識別子についてのレコードを中央記憶部231から削除する。
削除指示部214は、ステップS41で受け付けされたユーザ識別子についての検証情報を中央記憶部231から削除する。具体的には、削除指示部214は、ステップS41で受け付けされたユーザ識別子についてのレコードを中央記憶部231から削除する。
(ステップS43:削除指示処理)
削除指示部214は、ステップS41で受け付けされた抹消ユーザのユーザ識別子についての拠点識別子が示す分散拠点31に設置された認証装置10に対して、抹消ユーザのユーザ識別子についての検証情報の削除を指示する削除指示を送信する。
削除指示が送信された認証装置10の削除部114は、抹消ユーザのユーザ識別子についての検証情報を検証情報記憶部131から削除する。具体的には、削除部114は、抹消ユーザのユーザ識別子についてのレコードを検証情報記憶部131から削除する。
削除指示部214は、ステップS41で受け付けされた抹消ユーザのユーザ識別子についての拠点識別子が示す分散拠点31に設置された認証装置10に対して、抹消ユーザのユーザ識別子についての検証情報の削除を指示する削除指示を送信する。
削除指示が送信された認証装置10の削除部114は、抹消ユーザのユーザ識別子についての検証情報を検証情報記憶部131から削除する。具体的には、削除部114は、抹消ユーザのユーザ識別子についてのレコードを検証情報記憶部131から削除する。
図10を参照して、実施の形態1に係る認証システム100の動作の具体例1を説明する。
分散拠点31Aの認証装置10は、ユーザ識別子“001”を含む認証要求を取得する(図6のステップS11)。分散拠点31Aの認証装置10は、ユーザ識別子“001”の検証情報が検証情報記憶部131に記憶されているかを判定する(図6のステップS12)。ここでは、ユーザ識別子“001”の検証情報“v001”が検証情報記憶部131に記憶されているので、分散拠点31Aの認証装置10は、検証情報“v001”を取得して、認証要求に含まれる認証情報を検証する(図6のステップS13)。そして、分散拠点31Aの認証装置10は、検証結果を通知する(図6のステップS14又はステップS15)。
このように、分散拠点31Aの認証装置10における検証情報記憶部131に検証情報が記憶されているユーザについての認証要求に対しては、分散拠点31Aの認証装置10だけで認証処理が完結する。
分散拠点31Aの認証装置10は、ユーザ識別子“001”を含む認証要求を取得する(図6のステップS11)。分散拠点31Aの認証装置10は、ユーザ識別子“001”の検証情報が検証情報記憶部131に記憶されているかを判定する(図6のステップS12)。ここでは、ユーザ識別子“001”の検証情報“v001”が検証情報記憶部131に記憶されているので、分散拠点31Aの認証装置10は、検証情報“v001”を取得して、認証要求に含まれる認証情報を検証する(図6のステップS13)。そして、分散拠点31Aの認証装置10は、検証結果を通知する(図6のステップS14又はステップS15)。
このように、分散拠点31Aの認証装置10における検証情報記憶部131に検証情報が記憶されているユーザについての認証要求に対しては、分散拠点31Aの認証装置10だけで認証処理が完結する。
図11を参照して、実施の形態1に係る認証システム100の動作の具体例2を説明する。
分散拠点31Aの認証装置10は、ユーザ識別子“011”を含む認証要求を取得する(図6のステップS11)。分散拠点31Aの認証装置10は、ユーザ識別子“011”の検証情報が検証情報記憶部131に記憶されているかを判定する(図6のステップS12)。ここでは、ユーザ識別子“011”の検証情報は検証情報記憶部131に記憶されていない。そのため、分散拠点31Aの認証装置10は、ユーザ識別子“011”を含む送信要求を中央管理装置20に送信する(図6のステップS16)。
中央管理装置20は、送信要求を取得すると(図7のステップS21)、送信要求に含まれるユーザ識別子“011”についての検証情報が中央記憶部231に記憶されているかを判定する(図7のステップS22)。ここでは、ユーザ識別子“011”の検証情報“v011”が中央記憶部231に記憶されているので、認証装置10は、検証情報“v011”を分散拠点31Aの認証装置10に送信する(図7のステップS23)。すると、分散拠点31Aの認証装置10は、ユーザ識別子“011”についての検証情報として検証情報“v011”を検証情報記憶部131に書き込み(図6のステップS16)、検証情報“v011”で認証要求に含まれる認証情報を検証する(図6のステップS13)。そして、分散拠点31Aの認証装置10は、検証結果を通知する(図6のステップS14又はステップS15)。
中央管理装置20は、ユーザ識別子“011”についての拠点識別子が分散拠点31Aを示すかを判定する(図7のステップS25)。ここでは、拠点識別子が分散拠点31Aを示すので、中央管理装置20は処理を終了する。
このように、分散拠点31Aの認証装置10における検証情報記憶部131に検証情報が記憶されていないユーザについての認証要求に対しては、中央管理装置20から検証情報を取得して認証処理が行われる。図8を参照して説明したように、新規登録処理では、新規ユーザについての検証情報は中央記憶部231にだけ記憶される。そのため、新規ユーザが初めて認証要求を行う場合には、図11を参照して説明したように、認証装置10は、中央管理装置20から検証情報を取得して認証処理を行う。
分散拠点31Aの認証装置10は、ユーザ識別子“011”を含む認証要求を取得する(図6のステップS11)。分散拠点31Aの認証装置10は、ユーザ識別子“011”の検証情報が検証情報記憶部131に記憶されているかを判定する(図6のステップS12)。ここでは、ユーザ識別子“011”の検証情報は検証情報記憶部131に記憶されていない。そのため、分散拠点31Aの認証装置10は、ユーザ識別子“011”を含む送信要求を中央管理装置20に送信する(図6のステップS16)。
中央管理装置20は、送信要求を取得すると(図7のステップS21)、送信要求に含まれるユーザ識別子“011”についての検証情報が中央記憶部231に記憶されているかを判定する(図7のステップS22)。ここでは、ユーザ識別子“011”の検証情報“v011”が中央記憶部231に記憶されているので、認証装置10は、検証情報“v011”を分散拠点31Aの認証装置10に送信する(図7のステップS23)。すると、分散拠点31Aの認証装置10は、ユーザ識別子“011”についての検証情報として検証情報“v011”を検証情報記憶部131に書き込み(図6のステップS16)、検証情報“v011”で認証要求に含まれる認証情報を検証する(図6のステップS13)。そして、分散拠点31Aの認証装置10は、検証結果を通知する(図6のステップS14又はステップS15)。
中央管理装置20は、ユーザ識別子“011”についての拠点識別子が分散拠点31Aを示すかを判定する(図7のステップS25)。ここでは、拠点識別子が分散拠点31Aを示すので、中央管理装置20は処理を終了する。
このように、分散拠点31Aの認証装置10における検証情報記憶部131に検証情報が記憶されていないユーザについての認証要求に対しては、中央管理装置20から検証情報を取得して認証処理が行われる。図8を参照して説明したように、新規登録処理では、新規ユーザについての検証情報は中央記憶部231にだけ記憶される。そのため、新規ユーザが初めて認証要求を行う場合には、図11を参照して説明したように、認証装置10は、中央管理装置20から検証情報を取得して認証処理を行う。
図12を参照して、実施の形態1に係る認証システム100の動作の具体例3を説明する。
分散拠点31Aの認証装置10は、ユーザ識別子“111”を含む認証要求を取得する(図6のステップS11)。分散拠点31Aの認証装置10は、ユーザ識別子“111”の検証情報が検証情報記憶部131に記憶されているかを判定する(図6のステップS12)。ここでは、ユーザ識別子“111”の検証情報は検証情報記憶部131に記憶されていない。そのため、分散拠点31Aの認証装置10は、ユーザ識別子“111”を含む送信要求を中央管理装置20に送信する(図6のステップS16)。
中央管理装置20は、送信要求を取得すると(図7のステップS21)、送信要求に含まれるユーザ識別子“111”についての検証情報が中央記憶部231に記憶されているかを判定する(図7のステップS22)。ここでは、ユーザ識別子“111”の検証情報“v111”が中央記憶部231に記憶されているので、認証装置10は、検証情報“v111”を分散拠点31Aの認証装置10に送信する(図7のステップS23)。すると、分散拠点31Aの認証装置10は、ユーザ識別子“111”についての検証情報として検証情報“v111”を検証情報記憶部131に書き込み(図6のステップS16)、検証情報“v111”で認証要求に含まれる認証情報を検証する(図6のステップS13)。そして、分散拠点31Aの認証装置10は、検証結果を通知する(図6のステップS14又はステップS15)。
中央管理装置20は、ユーザ識別子“111”についての拠点識別子が分散拠点31Aを示すかを判定する(図7のステップS25)。ここでは、拠点識別子が分散拠点31Bを示すので、中央管理装置20は、分散拠点31Bの認証装置10に対して、ユーザ識別子“111”についての検証情報“v111”の削除を指示する削除指示を送信する(図7のステップS26)。すると、分散拠点31Bの認証装置10は、ユーザ識別子“111”についてのレコードを検証情報記憶部131から削除する(図7のステップS26)。また、中央管理装置20は、中央記憶部231におけるユーザ識別子“111”についての拠点識別子を、分散拠点31Aの拠点識別子に更新する。
具体例2と同様に、分散拠点31Aの認証装置10における検証情報記憶部131に検証情報が記憶されていないユーザについての認証要求に対しては、中央管理装置20から検証情報を取得して認証処理が行われる。人事異動等により、ユーザの所属が分散拠点31Bから分散拠点31Aに移ることがある。この場合には、異動先の分散拠点31Aの検証情報記憶部131には、そのユーザの検証情報は記憶されておらず、異動元の分散拠点31Bの検証情報記憶部131には、そのユーザの検証情報が記憶されている状態である。そこで、異動したユーザが初めて認証要求を行う場合には、図12を参照して説明したように、異動先の分散拠点31Aの認証装置10は、中央管理装置20から検証情報を取得して認証処理を行い、異動元の分散拠点31Bの認証装置10は検証情報を削除する。
分散拠点31Aの認証装置10は、ユーザ識別子“111”を含む認証要求を取得する(図6のステップS11)。分散拠点31Aの認証装置10は、ユーザ識別子“111”の検証情報が検証情報記憶部131に記憶されているかを判定する(図6のステップS12)。ここでは、ユーザ識別子“111”の検証情報は検証情報記憶部131に記憶されていない。そのため、分散拠点31Aの認証装置10は、ユーザ識別子“111”を含む送信要求を中央管理装置20に送信する(図6のステップS16)。
中央管理装置20は、送信要求を取得すると(図7のステップS21)、送信要求に含まれるユーザ識別子“111”についての検証情報が中央記憶部231に記憶されているかを判定する(図7のステップS22)。ここでは、ユーザ識別子“111”の検証情報“v111”が中央記憶部231に記憶されているので、認証装置10は、検証情報“v111”を分散拠点31Aの認証装置10に送信する(図7のステップS23)。すると、分散拠点31Aの認証装置10は、ユーザ識別子“111”についての検証情報として検証情報“v111”を検証情報記憶部131に書き込み(図6のステップS16)、検証情報“v111”で認証要求に含まれる認証情報を検証する(図6のステップS13)。そして、分散拠点31Aの認証装置10は、検証結果を通知する(図6のステップS14又はステップS15)。
中央管理装置20は、ユーザ識別子“111”についての拠点識別子が分散拠点31Aを示すかを判定する(図7のステップS25)。ここでは、拠点識別子が分散拠点31Bを示すので、中央管理装置20は、分散拠点31Bの認証装置10に対して、ユーザ識別子“111”についての検証情報“v111”の削除を指示する削除指示を送信する(図7のステップS26)。すると、分散拠点31Bの認証装置10は、ユーザ識別子“111”についてのレコードを検証情報記憶部131から削除する(図7のステップS26)。また、中央管理装置20は、中央記憶部231におけるユーザ識別子“111”についての拠点識別子を、分散拠点31Aの拠点識別子に更新する。
具体例2と同様に、分散拠点31Aの認証装置10における検証情報記憶部131に検証情報が記憶されていないユーザについての認証要求に対しては、中央管理装置20から検証情報を取得して認証処理が行われる。人事異動等により、ユーザの所属が分散拠点31Bから分散拠点31Aに移ることがある。この場合には、異動先の分散拠点31Aの検証情報記憶部131には、そのユーザの検証情報は記憶されておらず、異動元の分散拠点31Bの検証情報記憶部131には、そのユーザの検証情報が記憶されている状態である。そこで、異動したユーザが初めて認証要求を行う場合には、図12を参照して説明したように、異動先の分散拠点31Aの認証装置10は、中央管理装置20から検証情報を取得して認証処理を行い、異動元の分散拠点31Bの認証装置10は検証情報を削除する。
図13を参照して、実施の形態1に係る認証システム100の動作の具体例4を説明する。
ユーザ識別子“002”のユーザが抹消ユーザとして指定される。すると、中央管理装置20は、抹消ユーザのユーザ識別子“002”を受け付ける(図9のステップS41)。すると、中央管理装置20は、ユーザ識別子“002”についてのレコードを中央記憶部231から削除する。また、中央管理装置20は、ユーザ識別子“002”についての拠点識別子が示す分散拠点31Bの認証装置10に対して、ユーザ識別子“002”についての検証情報“v002”の削除を指示する削除指示を送信する(図7のステップS26)。すると、分散拠点31Bの認証装置10は、ユーザ識別子“002”についてのレコードを検証情報記憶部131から削除する(図7のステップS26)。
このように、ユーザを抹消する場合には、中央記憶部231だけでなく、ユーザの所属先の分散拠点31における認証装置10の検証情報記憶部131からも、そのユーザの検証情報が削除される。
ユーザ識別子“002”のユーザが抹消ユーザとして指定される。すると、中央管理装置20は、抹消ユーザのユーザ識別子“002”を受け付ける(図9のステップS41)。すると、中央管理装置20は、ユーザ識別子“002”についてのレコードを中央記憶部231から削除する。また、中央管理装置20は、ユーザ識別子“002”についての拠点識別子が示す分散拠点31Bの認証装置10に対して、ユーザ識別子“002”についての検証情報“v002”の削除を指示する削除指示を送信する(図7のステップS26)。すると、分散拠点31Bの認証装置10は、ユーザ識別子“002”についてのレコードを検証情報記憶部131から削除する(図7のステップS26)。
このように、ユーザを抹消する場合には、中央記憶部231だけでなく、ユーザの所属先の分散拠点31における認証装置10の検証情報記憶部131からも、そのユーザの検証情報が削除される。
***実施の形態1の効果***
以上のように、実施の形態1に係る認証装置10は、認証要求に含まれる認証情報を検証するための検証情報がない場合に、中央管理装置20に送信要求を送信する。すると、中央管理装置20は、要求された検証情報を送信要求の送信元の認証装置10に送信するとともに、元々検証情報を記憶している認証装置10に削除指示を送信する。
これにより、異動先の拠点の認証装置10に認証要求がされるだけで、異動先の分散拠点31の認証装置10に異動するユーザの検証情報を追加するとともに、異動元の分散拠点31の認証装置10から異動するユーザの検証情報を削除するといったことが可能になる。つまり、異動先の分散拠点31の認証装置に異動するユーザの検証情報を追加するだけでなく、異動元の分散拠点31の認証装置10に不要な検証情報が認証装置に残ることをなくすことを手間なく実現可能である。
以上のように、実施の形態1に係る認証装置10は、認証要求に含まれる認証情報を検証するための検証情報がない場合に、中央管理装置20に送信要求を送信する。すると、中央管理装置20は、要求された検証情報を送信要求の送信元の認証装置10に送信するとともに、元々検証情報を記憶している認証装置10に削除指示を送信する。
これにより、異動先の拠点の認証装置10に認証要求がされるだけで、異動先の分散拠点31の認証装置10に異動するユーザの検証情報を追加するとともに、異動元の分散拠点31の認証装置10から異動するユーザの検証情報を削除するといったことが可能になる。つまり、異動先の分散拠点31の認証装置に異動するユーザの検証情報を追加するだけでなく、異動元の分散拠点31の認証装置10に不要な検証情報が認証装置に残ることをなくすことを手間なく実現可能である。
***他の構成***
<変形例1>
実施の形態1では、認証装置10のストレージ13が検証情報記憶部131を実現していた。しかし、検証情報記憶部131は、認証装置10に接続された外部ストレージであってもよい。同様に、実施の形態1では、中央管理装置20のストレージ23が中央記憶部231を実現していた。しかし、中央記憶部231は、中央管理装置20に接続された外部ストレージであってもよい。
<変形例1>
実施の形態1では、認証装置10のストレージ13が検証情報記憶部131を実現していた。しかし、検証情報記憶部131は、認証装置10に接続された外部ストレージであってもよい。同様に、実施の形態1では、中央管理装置20のストレージ23が中央記憶部231を実現していた。しかし、中央記憶部231は、中央管理装置20に接続された外部ストレージであってもよい。
<変形例2>
実施の形態1では、各機能構成要素がソフトウェアで実現された。しかし、変形例2として、各機能構成要素はハードウェアで実現されてもよい。この変形例2について、実施の形態1と異なる点を説明する。
実施の形態1では、各機能構成要素がソフトウェアで実現された。しかし、変形例2として、各機能構成要素はハードウェアで実現されてもよい。この変形例2について、実施の形態1と異なる点を説明する。
図14を参照して、変形例2に係る認証装置10の構成を説明する。
各機能構成要素がハードウェアで実現される場合には、認証装置10は、プロセッサ11とメモリ12とストレージ13とに代えて、電子回路15を備える。電子回路15は、各機能構成要素と、メモリ12と、ストレージ13との機能とを実現する専用の回路である。
各機能構成要素がハードウェアで実現される場合には、認証装置10は、プロセッサ11とメモリ12とストレージ13とに代えて、電子回路15を備える。電子回路15は、各機能構成要素と、メモリ12と、ストレージ13との機能とを実現する専用の回路である。
図15を参照して、変形例2に係る中央管理装置20の構成を説明する。
各機能構成要素がハードウェアで実現される場合には、中央管理装置20は、プロセッサ21とメモリ22とストレージ23とに代えて、電子回路25を備える。電子回路25は、各機能構成要素と、メモリ22と、ストレージ23との機能とを実現する専用の回路である。
各機能構成要素がハードウェアで実現される場合には、中央管理装置20は、プロセッサ21とメモリ22とストレージ23とに代えて、電子回路25を備える。電子回路25は、各機能構成要素と、メモリ22と、ストレージ23との機能とを実現する専用の回路である。
電子回路15,25としては、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)、FPGA(Field-Programmable Gate Array)が想定される。
各機能構成要素を1つの電子回路15,25で実現してもよいし、各機能構成要素を複数の電子回路15,25に分散させて実現してもよい。
各機能構成要素を1つの電子回路15,25で実現してもよいし、各機能構成要素を複数の電子回路15,25に分散させて実現してもよい。
<変形例3>
変形例3として、一部の各機能構成要素がハードウェアで実現され、他の各機能構成要素がソフトウェアで実現されてもよい。
変形例3として、一部の各機能構成要素がハードウェアで実現され、他の各機能構成要素がソフトウェアで実現されてもよい。
プロセッサ11,21とメモリ12,22とストレージ13,23と電子回路15,25とを処理回路という。つまり、各機能構成要素の機能は、処理回路により実現される。
実施の形態2.
実施の形態2は、中央管理装置20が認証装置10と同様に、認証を行う機能を有している点が実施の形態1と異なる。つまり、中央管理装置20が、中央拠点32に属するユーザの認証を行う機能を有している点が実施の形態1と異なる。実施の形態2では、この異なる点を説明し、同一の点については説明を省略する。
実施の形態2は、中央管理装置20が認証装置10と同様に、認証を行う機能を有している点が実施の形態1と異なる。つまり、中央管理装置20が、中央拠点32に属するユーザの認証を行う機能を有している点が実施の形態1と異なる。実施の形態2では、この異なる点を説明し、同一の点については説明を省略する。
***構成の説明***
図16を参照して、実施の形態2に係る中央管理装置20の構成を説明する。
中央管理装置20は、機能構成要素として、認証要求取得部111と、検証部112とを備える点が図3に示す中央管理装置20と異なる。
図16を参照して、実施の形態2に係る中央管理装置20の構成を説明する。
中央管理装置20は、機能構成要素として、認証要求取得部111と、検証部112とを備える点が図3に示す中央管理装置20と異なる。
***動作の説明***
図17及び図18を参照して、実施の形態2に係る認証システム100の動作を説明する。
実施の形態2に係る認証システム100の動作手順は、実施の形態2に係る認証方法に相当する。また、実施の形態2に係る認証システム100における認証装置10の動作を実現するプログラムは、実施の形態2に係る認証プログラムに相当する。
図17及び図18を参照して、実施の形態2に係る認証システム100の動作を説明する。
実施の形態2に係る認証システム100の動作手順は、実施の形態2に係る認証方法に相当する。また、実施の形態2に係る認証システム100における認証装置10の動作を実現するプログラムは、実施の形態2に係る認証プログラムに相当する。
図17を参照して、実施の形態2に係る認証処理において認証を行う中央管理装置20の処理を説明する。
ステップS51と、ステップS54と、ステップS55との処理は、図6のステップS11と、ステップS14と、ステップS15との処理と同じである。
ステップS51と、ステップS54と、ステップS55との処理は、図6のステップS11と、ステップS14と、ステップS15との処理と同じである。
(ステップS52:検証情報判定処理)
検証部112は、ステップS51で取得された認証要求に含まれるユーザ識別子についての検証情報が中央記憶部231に記憶されているか否かを判定する。
検証部112は、検証情報が記憶されている場合には、処理をステップS53に進める。一方、検証部112は、検証情報が記憶されていない場合には、処理をステップS55に進める。
検証部112は、ステップS51で取得された認証要求に含まれるユーザ識別子についての検証情報が中央記憶部231に記憶されているか否かを判定する。
検証部112は、検証情報が記憶されている場合には、処理をステップS53に進める。一方、検証部112は、検証情報が記憶されていない場合には、処理をステップS55に進める。
(ステップS53:検証処理)
検証部112は、ステップS51で取得された認証要求に含まれるユーザ識別子についての検証情報を中央記憶部231から読み出す。検証部112は、読み出された検証情報により、認証要求に含まれる認証情報を検証する。具体的な検証方法については、図6のステップS13の処理と同じである。
検証部112は、認証情報が正当であると判定された場合には、処理をステップS54に進める。一方、検証部112は、認証情報が不当であると判定された場合には、処理をステップS55に進める。
検証部112は、ステップS51で取得された認証要求に含まれるユーザ識別子についての検証情報を中央記憶部231から読み出す。検証部112は、読み出された検証情報により、認証要求に含まれる認証情報を検証する。具体的な検証方法については、図6のステップS13の処理と同じである。
検証部112は、認証情報が正当であると判定された場合には、処理をステップS54に進める。一方、検証部112は、認証情報が不当であると判定された場合には、処理をステップS55に進める。
つまり、原則として中央記憶部231には全てのユーザの検証情報が記憶されている。そのため、検証情報が中央記憶部231に記憶されていなければ、他から検証情報を取得することはされず、認証失敗と判定される。
図18を参照して、実施の形態2に係る送信要求が送信された中央管理装置20の処理を説明する。
ステップS61からステップS65の処理は、図7のステップS21からステップS25の処理と同じである。また、ステップS67からステップS68の処理は、図7のステップS26からステップS27の処理と同じである。
ステップS61からステップS65の処理は、図7のステップS21からステップS25の処理と同じである。また、ステップS67からステップS68の処理は、図7のステップS26からステップS27の処理と同じである。
(ステップS66:中央拠点判定処理)
拠点判定部213は、ステップS21で取得された送信要求に含まれるユーザ識別子についての拠点識別子が、中央拠点32であるか否かを判定する。
拠点判定部213は、拠点識別子が中央拠点32である場合には、中央記憶部231に記憶された拠点識別子の情報は変更しないため、処理を終了する。一方、拠点判定部213は、拠点識別子が中央拠点32でない場合には、処理をステップS67に進める。
拠点判定部213は、ステップS21で取得された送信要求に含まれるユーザ識別子についての拠点識別子が、中央拠点32であるか否かを判定する。
拠点判定部213は、拠点識別子が中央拠点32である場合には、中央記憶部231に記憶された拠点識別子の情報は変更しないため、処理を終了する。一方、拠点判定部213は、拠点識別子が中央拠点32でない場合には、処理をステップS67に進める。
つまり、拠点識別子が中央拠点32である場合には、ステップS67、S68の処理をスキップして、削除指示や拠点識別子の更新指示を出さないようにする。これは、中央記憶部231には、全ての分散拠点31及び中央拠点32に属するユーザのユーザ識別子及び検証情報が記憶されるためである。
***実施の形態2の効果***
以上のように、実施の形態2に係る中央管理装置20は、認証装置10と同様に認証を行う。これにより、例えば、本社等における認証装置10を中央管理装置20として機能させることが可能である。
以上のように、実施の形態2に係る中央管理装置20は、認証装置10と同様に認証を行う。これにより、例えば、本社等における認証装置10を中央管理装置20として機能させることが可能である。
なお、以上の説明における「部」を、「回路」、「工程」、「手順」、「処理」又は「処理回路」に読み替えてもよい。
以上、本開示の実施の形態及び変形例について説明した。これらの実施の形態及び変形例のうち、いくつかを組み合わせて実施してもよい。また、いずれか1つ又はいくつかを部分的に実施してもよい。なお、本開示は、以上の実施の形態及び変形例に限定されるものではなく、必要に応じて種々の変更が可能である。
100 認証システム、10 認証装置、11 プロセッサ、12 メモリ、13 ストレージ、14 通信インタフェース、15 電子回路、111 認証要求取得部、112 検証部、113 要求部、114 削除部、131 検証情報記憶部、20 中央管理装置、21 プロセッサ、22 メモリ、23 ストレージ、24 通信インタフェース、25 電子回路、211 送信要求取得部、212 検証情報送信部、213 拠点判定部、214 削除指示部、215 識別子更新部、216 新規受付部、231 中央記憶部、31 分散拠点、32 中央拠点、40 クライアント端末、90 伝送路。
Claims (11)
- 複数の分散拠点それぞれに設置された認証装置と中央管理装置とを備える認証システムであり、
前記認証装置は、
ユーザ識別子及び認証情報を含む認証要求を取得する認証要求取得部と、
前記認証要求取得部によって取得された前記認証要求に含まれる認証情報を検証するための検証情報であって、前記認証要求に含まれるユーザ識別子についての検証情報が検証情報記憶部に記憶されていない場合に、前記認証要求に含まれるユーザ識別子を含む送信要求を前記中央管理装置に送信する要求部と
を備え、
前記中央管理装置は、
前記複数の分散拠点のうちのいずれかの分散拠点に設置された認証装置である要求元装置によって送信された前記送信要求を受信すると、ユーザ識別子毎に検証情報と分散拠点の識別子である拠点識別子とを記憶した中央記憶部から、前記送信要求に含まれるユーザ識別子についての検証情報を取得して前記要求元装置に送信する検証情報送信部と、
前記中央記憶部に記憶された拠点識別子であって前記送信要求に含まれるユーザ識別子についての拠点識別子が示す分散拠点に設置された認証装置に対して、前記送信要求に含まれるユーザ識別子についての検証情報の削除を指示する削除指示を送信する削除指示部と
を備える認証システム。 - 前記中央管理装置は、さらに、
前記中央記憶部における前記送信要求に含まれるユーザ識別子についての拠点識別子を、前記要求元装置が設置された分散拠点の拠点識別子に更新する識別子更新部
を備える請求項1に記載の認証システム。 - 前記要求部は、前記検証情報送信部によって送信された検証情報を、前記送信要求に含まれるユーザ識別子についての検証情報として前記検証情報記憶部に書き込む
請求項1又は2に記載の認証システム。 - 前記認証装置は、さらに、
前記検証情報記憶部に記憶された検証情報であって、前記認証要求に含まれるユーザ識別子についての検証情報により、前記認証要求に含まれる認証情報を検証する検証部
を備える請求項1から3までのいずれか1項に記載の認証システム。 - 前記認証装置は、さらに、
前記削除指示部から前記削除指示が送信されると、前記送信要求に含まれるユーザ識別子についての検証情報を前記検証情報記憶部から削除する削除部
を備える請求項1から4までのいずれか1項に記載の認証システム。 - 前記削除指示部は、前記送信要求に含まれるユーザ識別子についての拠点識別子が、前記要求元装置が設置された分散拠点とは異なる他の分散拠点を示す場合に、前記削除指示を送信する
請求項1から5までのいずれか1項に記載の認証システム。 - 前記削除指示部は、前記送信要求に含まれるユーザ識別子についての拠点識別子が、前記要求元装置が設置された分散拠点及び前記中央管理装置が設置された中央拠点とは異なる他の分散拠点を示す場合に、前記削除指示を送信する
請求項1から5までのいずれか1項に記載の認証システム。 - 前記中央管理装置は、さらに、
新規ユーザの検証情報を受け付けると、受け付けされた検証情報を、前記新規ユーザのユーザ識別子についての検証情報として前記中央記憶部に書き込む新規受付部
を備える請求項1から7までのいずれか1項に記載の認証システム。 - 前記削除指示部は、抹消ユーザのユーザ識別子を受け付けると、受け付けされたユーザ識別子についての検証情報を前記中央記憶部から削除するとともに、受け付けされたユーザ識別子についての拠点識別子が示す分散拠点に設置された認証装置に対して、前記ユーザ識別子についての検証情報の削除を指示する削除指示を送信する
請求項1から8までのいずれか1項に記載の認証システム。 - 複数の分散拠点のうちいずれかの分散拠点に設置された認証装置が、ユーザ識別子及び認証情報を含む認証要求を取得し、
前記認証装置が、前記認証要求に含まれる認証情報を検証するための検証情報であって、前記認証要求に含まれるユーザ識別子についての検証情報が検証情報記憶部に記憶されていない場合に、前記認証要求に含まれるユーザ識別子を含む送信要求を中央管理装置に送信し、
前記中央管理装置が、前記認証装置である要求元装置によって送信された前記送信要求を受信すると、ユーザ識別子毎に検証情報と分散拠点の識別子である拠点識別子とを記憶した中央記憶部から、前記送信要求に含まれるユーザ識別子についての検証情報を取得して前記要求元装置に送信し、
前記中央管理装置が、前記中央記憶部に記憶された拠点識別子であって前記送信要求に含まれるユーザ識別子についての拠点識別子が示す分散拠点に設置された認証装置に対して、前記送信要求に含まれるユーザ識別子についての検証情報の削除を指示する削除指示を送信する認証方法。 - 複数の分散拠点のうちのいずれかの分散拠点に設置された認証装置である要求元装置によって送信された送信要求であって、ユーザ識別子を含む送信要求を含む送信要求を受信すると、ユーザ識別子毎に検証情報と分散拠点の識別子である拠点識別子とを記憶した中央記憶部から、前記送信要求に含まれるユーザ識別子についての検証情報を取得して前記要求元装置に送信する検証情報送信部と、
前記中央記憶部に記憶された拠点識別子であって前記送信要求に含まれるユーザ識別子についての拠点識別子が示す認証装置に対して、前記送信要求に含まれるユーザ識別子についての検証情報の削除を指示する削除指示を送信する削除指示部と
を備える中央管理装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021075614A JP7101845B1 (ja) | 2021-04-28 | 2021-04-28 | 認証システム、認証方法及び中央管理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021075614A JP7101845B1 (ja) | 2021-04-28 | 2021-04-28 | 認証システム、認証方法及び中央管理装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP7101845B1 true JP7101845B1 (ja) | 2022-07-15 |
| JP2022169904A JP2022169904A (ja) | 2022-11-10 |
Family
ID=82446211
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021075614A Active JP7101845B1 (ja) | 2021-04-28 | 2021-04-28 | 認証システム、認証方法及び中央管理装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7101845B1 (ja) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004112312A1 (ja) | 2003-06-12 | 2004-12-23 | Fujitsu Limited | ユーザ認証システム |
| JP2010287124A (ja) | 2009-06-12 | 2010-12-24 | Glory Ltd | 生体照合システムおよび生体照合方法 |
| JP2015153260A (ja) | 2014-02-17 | 2015-08-24 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
| JP2019125069A (ja) | 2018-01-15 | 2019-07-25 | セイコーエプソン株式会社 | 電子機器 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4660900B2 (ja) * | 2000-08-31 | 2011-03-30 | ソニー株式会社 | 個人認証適用データ処理システム、個人認証適用データ処理方法、および情報処理装置、並びにプログラム提供媒体 |
| JP4952101B2 (ja) * | 2006-07-12 | 2012-06-13 | 富士通株式会社 | 個人認証装置および個人認証方法 |
-
2021
- 2021-04-28 JP JP2021075614A patent/JP7101845B1/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004112312A1 (ja) | 2003-06-12 | 2004-12-23 | Fujitsu Limited | ユーザ認証システム |
| JP2010287124A (ja) | 2009-06-12 | 2010-12-24 | Glory Ltd | 生体照合システムおよび生体照合方法 |
| JP2015153260A (ja) | 2014-02-17 | 2015-08-24 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
| JP2019125069A (ja) | 2018-01-15 | 2019-07-25 | セイコーエプソン株式会社 | 電子機器 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2022169904A (ja) | 2022-11-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200304485A1 (en) | Controlling Access to Resources on a Network | |
| US11036773B2 (en) | System and method for detecting and integrating with native applications enabled for web-based storage | |
| US11122031B2 (en) | Privacy-aware ID gateway | |
| US8505084B2 (en) | Data access programming model for occasionally connected applications | |
| US8769131B2 (en) | Cloud connector key | |
| US7500093B2 (en) | Startup program execution method, device, storage medium, and program | |
| US20140189119A1 (en) | Controlling Access to Resources on a Network | |
| EP1453060A2 (en) | Semiconductor memory card and data reading apparatus | |
| US20110161370A1 (en) | Apparatus, program, and method for file management | |
| US20110022850A1 (en) | Access control for secure portable storage device | |
| US20200344235A1 (en) | System and method for controlling a multi-tenant service-oriented architecture | |
| US8166541B2 (en) | Information processing apparatus and data management system | |
| US9673978B2 (en) | Method, host apparatus and machine-readable storage medium for authenticating a storage apparatus | |
| US20150020167A1 (en) | System and method for managing files | |
| US20040193874A1 (en) | Device which executes authentication processing by using offline information, and device authentication method | |
| JP7101845B1 (ja) | 認証システム、認証方法及び中央管理装置 | |
| JP2016009220A (ja) | ストレージ装置、通信装置、及びストレージ制御システム | |
| US20190394188A1 (en) | Information processing apparatus, information processing method, and authentication linking system | |
| US7533180B2 (en) | Information-processing device, information-processing method, recording medium, and program | |
| JP6044775B2 (ja) | 情報記録システム及び記録メディア | |
| KR100952484B1 (ko) | 이동 저장매체를 인증하는 보안 모듈 및 상기 보안 모듈의동작 방법 | |
| JP4342326B2 (ja) | データベース制御装置 | |
| US11783095B2 (en) | System and method for managing secure files in memory | |
| JP4731179B2 (ja) | データ送信方法 | |
| JP4434428B2 (ja) | 情報端末装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210428 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220607 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220705 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7101845 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |