JP7400943B2 - Authentication system, authentication device, authentication method, and authentication program - Google Patents
Authentication system, authentication device, authentication method, and authentication program Download PDFInfo
- Publication number
- JP7400943B2 JP7400943B2 JP2022507048A JP2022507048A JP7400943B2 JP 7400943 B2 JP7400943 B2 JP 7400943B2 JP 2022507048 A JP2022507048 A JP 2022507048A JP 2022507048 A JP2022507048 A JP 2022507048A JP 7400943 B2 JP7400943 B2 JP 7400943B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- identification information
- bloom filter
- filter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 39
- 230000004044 response Effects 0.000 claims description 9
- 230000008569 process Effects 0.000 description 27
- 238000010586 diagram Methods 0.000 description 13
- 230000006870 function Effects 0.000 description 11
- 230000001934 delay Effects 0.000 description 9
- 230000008520 organization Effects 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000032258 transport Effects 0.000 description 1
- 210000003462 vein Anatomy 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
Description
本開示は、認証システム、中央管理装置、認証装置、認証方法、認証プログラム、およびデータ構造に関する。 The present disclosure relates to an authentication system, a central management device, an authentication device, an authentication method, an authentication program, and a data structure.
特許文献1は、認証システムの例を開示する。認証システムは、読取装置と、中央管理装置と、を備える。読取装置は、ユーザの識別情報を読み取る。読取装置は、読み取った識別情報を中央管理装置に通知する。中央管理装置は、識別情報に基づいてユーザが認証できるか否かを判定する。中央管理装置は、判定結果を読取装置に通知する。
しかしながら、特許文献1の認証システムにおいて、認証のたびに読取装置および中央管理装置との間の通信が行われる。このため、ユーザの認証速度は、読取装置および中央管理装置との間の通信の遅延の影響を受けやすい。
However, in the authentication system of
本開示は、このような課題の解決に係るものである。本開示は、ユーザの認証速度が通信の遅延の影響を受けにくい認証システム、中央管理装置、認証装置、認証方法、認証プログラム、およびデータ構造を提供する。 The present disclosure relates to solving such problems. The present disclosure provides an authentication system, a central management device, an authentication device, an authentication method, an authentication program, and a data structure in which user authentication speed is less susceptible to communication delays.
本開示に係る認証システムは、中央管理装置と、複数のユーザの識別情報を各々が読み取る複数の認証装置と、を備え、中央管理装置は、複数の認証装置の各々について、複数のユーザのうち当該認証装置についての認証可能ユーザの識別情報を記憶するユーザ情報記憶部と、複数の認証装置の各々について、当該認証装置についての認証可能ユーザの識別情報に基づくブルームフィルタを生成するフィルタ生成部と、識別情報を読み取ったユーザが認証可能ユーザであるかの複数の認証装置の各々からの問い合わせに応答し、複数の認証装置の各々についてフィルタ生成部が生成したブルームフィルタを当該認証装置に配信する通信部と、を備え、複数の認証装置の各々は、通信部から配信されるブルームフィルタを記憶するフィルタ記憶部と、配信されたブルームフィルタをフィルタ記憶部が記憶した後に識別情報を読み取られたユーザが当該ブルームフィルタに基づいて認証不可ユーザであると判定されるときに、中央管理装置に問い合わせることなく当該ユーザの認証を拒否する認証処理部と、を備える認証システムであり、フィルタ生成部は、有効期間を含めてブルームフィルタを生成し、フィルタ記憶部は、有効期間を含めてブルームフィルタを記憶し、認証処理部は、現在の時刻がブルームフィルタの有効期間に含まれないときに、当該ブルームフィルタに基づく認証不可ユーザであるか否かの判定を省略する。 An authentication system according to the present disclosure includes a central management device and a plurality of authentication devices each reading identification information of a plurality of users, and the central management device is configured to identify one of the plurality of users for each of the plurality of authentication devices. a user information storage unit that stores identification information of an authenticable user for the authentication device; and a filter generation unit that generates a Bloom filter based on the identification information of the authenticable user for each of the plurality of authentication devices. , in response to an inquiry from each of the plurality of authentication devices as to whether the user who has read the identification information is an authenticable user, and delivers the Bloom filter generated by the filter generation unit for each of the plurality of authentication devices to the authentication device. and a communication unit, each of the plurality of authentication devices having a filter storage unit that stores a Bloom filter distributed from the communication unit, and a filter storage unit that stores the distributed Bloom filter, and then the identification information is read. An authentication system comprising: an authentication processing unit that refuses authentication of the user without inquiring a central management device when the user is determined to be an unauthenticated user based on the bloom filter; , the filter storage unit stores the Bloom filter including the validity period, and the authentication processing unit generates the Bloom filter when the current time is not included in the validity period of the Bloom filter. The determination of whether the user is an unauthenticated user based on the Bloom filter is omitted .
本開示に係る認証装置は、複数のユーザの各々の識別情報を読み取る読取部と、複数のユーザのうち認証可能ユーザの識別情報を登録する中央管理装置から配信される認証可能ユーザの識別情報に基づいて生成されたブルームフィルタを記憶するフィルタ記憶部と、配信されたブルームフィルタをフィルタ記憶部が記憶した後に識別情報を読取部に読み取られたユーザが当該ブルームフィルタに基づいて認証不可ユーザであると判定されるときに、中央管理装置に問い合わせることなく当該ユーザの認証を拒否する認証処理部と、を備え、フィルタ記憶部は、有効期間を含めてブルームフィルタを記憶し、認証処理部は、現在の時刻がブルームフィルタの有効期間に含まれないときに、当該ブルームフィルタに基づく認証不可ユーザであるか否かの判定を省略する。 An authentication device according to the present disclosure includes a reading unit that reads identification information of each of a plurality of users, and a central management device that registers identification information of an authenticable user among the plurality of users. A filter storage unit stores a Bloom filter generated based on the Bloom filter, and a user whose identification information is read by a reading unit after the filter storage unit stores the distributed Bloom filter is a user who cannot be authenticated based on the Bloom filter. an authentication processing unit that rejects the authentication of the user without inquiring the central management device when it is determined that the user is not authenticated, the filter storage unit stores the bloom filter including the validity period, and the authentication processing unit includes: When the current time is not included in the validity period of the Bloom filter, the determination of whether the user is an unauthenticated user based on the Bloom filter is omitted .
本開示に係る認証方法は、コンピュータが、複数のユーザのうち認証可能ユーザの識別情報を登録する中央管理装置から配信される認証可能ユーザの識別情報に基づいて生成されたブルームフィルタを記憶するフィルタ記憶ステップと、フィルタ記憶ステップの後に、複数のユーザのうちのいずれかのユーザの識別情報を読み取る読取ステップと、読取ステップにおいて識別情報を読み取られたユーザがフィルタ記憶ステップにおいて記憶されたブルームフィルタに基づいて認証不可ユーザであると判定されるときに、中央管理装置に問い合わせることなく当該ユーザの認証を拒否する認証処理ステップと、を実行する認証方法であり、フィルタ記憶ステップにおいて、ブルームフィルタは有効期間を含めて記憶され、認証処理ステップにおいて、現在の時刻がブルームフィルタの有効期間に含まれないときに、当該ブルームフィルタに基づく認証不可ユーザであるか否かの判定が省略される。 The authentication method according to the present disclosure includes a filter in which a computer stores a Bloom filter generated based on identification information of an authenticable user distributed from a central management device that registers identification information of an authenticable user among a plurality of users. After the storage step and the filter storage step, a reading step of reading the identification information of one of the plurality of users, and the user whose identification information is read in the reading step is stored in the Bloom filter stored in the filter storage step. This is an authentication method that executes an authentication processing step of denying authentication of the user without inquiring the central management device when the user is determined to be an unauthenticated user based on the following information.The Bloom filter is effective in the filter storage step. In the authentication processing step, when the current time is not included in the validity period of the Bloom filter, the determination of whether the user is an unauthenticated user based on the Bloom filter is omitted.
本開示に係る認証プログラムは、複数のユーザのうち認証可能ユーザの識別情報を登録する中央管理装置から配信される認証可能ユーザの識別情報に基づいて生成されたブルームフィルタを記憶するフィルタ記憶ステップと、フィルタ記憶ステップの後に、複数のユーザのうちのいずれかのユーザの識別情報を読み取る読取ステップと、読取ステップにおいて識別情報を読み取られたユーザがフィルタ記憶ステップにおいて記憶されたブルームフィルタに基づいて認証不可ユーザであると判定されるときに、中央管理装置に問い合わせることなく当該ユーザの認証を拒否する認証処理ステップと、を認証装置に実行させ、フィルタ記憶ステップにおいて、有効期間を含めてブルームフィルタを認証装置に記憶させ、認証処理ステップにおいて、現在の時刻がブルームフィルタの有効期間に含まれないときに、当該ブルームフィルタに基づく認証不可ユーザであるか否かの判定を認証装置に省略させる。 The authentication program according to the present disclosure includes a filter storage step of storing a Bloom filter generated based on identification information of an authenticable user distributed from a central management device that registers identification information of an authenticable user among a plurality of users. , after the filter storage step, a reading step of reading identification information of one of the plurality of users; and a user whose identification information is read in the reading step is authenticated based on the Bloom filter stored in the filter storage step. When it is determined that the user is an unauthorized user, the authentication device executes an authentication processing step of denying the user's authentication without inquiring the central management device, and in the filter storage step, the bloom filter including the validity period is stored. The method is stored in the authentication device, and in the authentication processing step, when the current time is not included in the validity period of the Bloom filter, the authentication device is made to omit the determination of whether the user is an unauthenticated user based on the Bloom filter .
本開示に係る認証システム、中央管理装置、認証装置、認証方法、認証プログラム、またはデータ構造であれば、ユーザの認証速度が通信の遅延の影響を受けにくくなる。 With the authentication system, central management device, authentication device, authentication method, authentication program, or data structure according to the present disclosure, user authentication speed is less susceptible to communication delays.
本開示を実施するための形態について添付の図面を参照しながら説明する。各図において、同一または相当する部分には同一の符号を付して、重複する説明は適宜に簡略化または省略する。 Modes for carrying out the present disclosure will be described with reference to the accompanying drawings. In each figure, the same or corresponding parts are given the same reference numerals, and overlapping explanations are simplified or omitted as appropriate.
実施の形態1.
図1は、実施の形態1に係る認証システムの構成図である。
FIG. 1 is a configuration diagram of an authentication system according to
認証システム1は、ユーザを認証するシステムである。この例において、認証システム1は、通行管理システムに適用される。通行管理システムは、管理対象の領域におけるユーザの通行を管理するシステムである。認証システム1のユーザは、例えば通行管理システムの管理対象の領域を通行する人物などである。認証システム1は、複数のユーザ端末2と、複数の制御対象機器3と、複数の認証装置4と、中央管理装置5と、管理端末6と、を備える。
各々のユーザ端末2は、ユーザに所持される端末装置である。ユーザ端末2は、所持しているユーザの識別情報を保持する。ユーザ端末2は、例えばスマートフォンなどの可搬な汎用の情報端末であってもよい。ユーザ端末2は、ユーザが所有していてもよい。ユーザ端末2は、無線タグ、または認証カードなどの認証システム1の管理者などからユーザに配布される機器などであってもよい。
Each
各々の制御対象機器3は、例えばユーザが認証されるときに作動する機器である。この例において、制御対象機器3は、管理対象の領域において経路の通行を制御するゲートまたはドアなどである。制御対象機器3の例であるゲートは、通常時において閉じている。ユーザが認証されるときに、ゲートは、当該ユーザが経路を通行しうるように開く。
Each controlled
各々の認証装置4は、いずれかの制御対象機器3に対応する。認証装置4は、対応する制御対象機器3を利用するユーザを認証する装置である。認証装置4は、例えば対応する制御対象機器3に隣接して設けられる。認証装置4は、対応する制御対象機器3自体に設けられていてもよい。各々の認証装置4の動作は、例えばインストールされている認証プログラムに基づいて実行される。各々の認証装置4は、読取部7と、第1通信部8と、認証処理部9と、フィルタ記憶部10と、キャッシュ記憶部11と、を備える。
Each
読取部7は、ユーザの識別情報を読み取る部分である。識別情報は、例えば各々のユーザに付与されるID番号(ID:IDentification)などである。読取部7は、例えばユーザ端末2から識別情報を読み取る近距離無線通信などの通信機能を搭載する。読取部7は、例えばユーザによってユーザ端末2がかざされたときなどに、当該ユーザ端末2から識別情報を読み取る。あるいは、読取部7は、一次元バーコードまたは二次元コードなどの符号化画像によってユーザ端末2から識別情報を読み取る機能を搭載していてもよい。
The
第1通信部8は、中央管理装置5との間の通信を行う部分である。第1通信部8は、ネットワーク12を通じて中央管理装置5に接続される。ネットワーク12は、例えばインターネットなどの広域なネットワークであってもよい。あるいは、ネットワーク12は、LAN(Local Area Network)などの局所的なネットワークであってもよい。
The
認証処理部9は、読取部7が識別情報を読み取ったユーザの認証処理を行う部分である。認証処理は、ユーザが認証可能ユーザであるか、または、ユーザが認証不可ユーザであるか、などを判定する処理である。この例において、認証可能ユーザでないユーザは、認証不可ユーザである。認証可能ユーザの識別情報は、中央管理装置5において登録されている。中央管理装置5は、例えば認証可能ユーザの登録データを登録する。登録データは、例えば識別情報を含むデータである。認証処理部9は、中央管理装置5への問い合わせなどによって例えば次のように認証処理を行う。
The
読取部7がユーザの識別情報を読み取ったときに、認証処理部9は、当該ユーザが認証可能ユーザとして登録されているかを中央管理装置5に問い合わせる。このとき、認証処理部9は、第1通信部8を通じて当該ユーザの識別情報を中央管理装置5に送信する。中央管理装置5は、登録されている内容に基づいて、認証装置4からの問い合わせに応答する。このとき、認証処理部9は、第1通信部8を通じて応答結果を受け付ける。認証処理部9は、受け付けた応答結果に基づいて、識別情報を読み取られたユーザが認証可能ユーザであるかを判定する。
When the
フィルタ記憶部10は、中央管理装置5から配信されるブルームフィルタを記憶する部分である。ブルームフィルタは、与えられた要素が集合の要素であるか否かの判定に用いられる確率的データ構造である。フィルタ記憶部10が記憶しているブルームフィルタは、認証処理部9における認証処理に用いられる。ここで、ブルームフィルタは、与えられた識別情報が、認証可能ユーザの識別情報を要素とする集合に含まれるかの判定に用いられる。
The
キャッシュ記憶部11は、中央管理装置5から配信されるキャッシュデータを記憶する部分である。キャッシュデータは、1または複数の認証可能ユーザの識別情報を含む。キャッシュ記憶部11が記憶しているキャッシュデータは、認証処理部9における認証処理に用いられる。キャッシュデータは、認証可能ユーザの情報を例えば登録データとして含む。
The cache storage unit 11 is a part that stores cache data distributed from the
中央管理装置5は、各々の認証装置4におけるユーザの認証を管理する装置である。中央管理装置5は、例えばサーバコンピュータである。中央管理装置5は、例えば単一のハードウェアによって構成されていてもよい。あるいは、中央管理装置5は、複数のハードウェアによって構成されていてもよい。中央管理装置5の一部または全部は、クラウドサービスなどによって構成される仮想的なサーバであってもよい。中央管理装置5の動作は、例えばインストールされているプログラムに基づいて実行される。中央管理装置5は、ユーザ情報記憶部13と、第2通信部14と、学習部15と、フィルタ生成部16と、キャッシュ生成部17と、を備える。
The
ユーザ情報記憶部13は、各々の認証装置4についての認証可能ユーザの識別情報を記憶する部分である。各々の認証装置4について、1または複数の認証可能ユーザが登録される。各々の認証装置4に登録される認証可能ユーザは、互いに異なっていてもよい。ユーザ情報記憶部13は、認証可能ユーザの情報を例えば登録データとして記憶する。
The user
第2通信部14は、各々の認証装置4との間の通信を行う部分である。第2通信部14は、ネットワーク12を通じて各々の認証装置4の第1通信部8に接続される。第2通信部14は、各々の認証装置4から問い合わせがあるときに、識別情報を受信する。第2通信部14は、各々の認証装置4からの問い合わせに応答するときに、応答結果を送信する。
The second communication unit 14 is a part that performs communication with each
学習部15は、複数の認証装置4における各々のユーザの認証パターンを学習する部分である。各々のユーザの認証パターンは、例えば、各々の認証装置4における当該ユーザの時間帯ごとの認証頻度の情報を含む。各々のユーザの認証パターンは、例えば、各々の認証装置4についての当該ユーザの認証順序の情報を含む。学習部15は、例えば各々の認証装置4における認証履歴に基づいて認証パターンを学習する。
The
フィルタ生成部16は、各々の認証装置4に配信するブルームフィルタを生成する部分である。ブルームフィルタは、例えばユーザ情報記憶部13が記憶している情報に基づいて生成される。
The
キャッシュ生成部17は、各々の認証装置4に配信するキャッシュデータを生成する部分である。キャッシュデータは、例えばユーザ情報記憶部13が記憶している情報に基づいて生成される。この例において、キャッシュデータは、配信される認証装置4についての少なくとも一部の認証可能ユーザの識別情報を含む。キャッシュ生成部17は、例えば次のようにキャッシュデータを生成する。
The
キャッシュ生成部17は、学習部15が学習した認証パターンに基づいてキャッシュデータを生成してもよい。例えば認証パターンとして各々の認証装置4における各々のユーザの時間帯ごとの認証頻度を学習部15が学習している場合に、キャッシュ生成部17は、認証可能ユーザの識別情報を認証頻度が高いほど優先して含むようにキャッシュデータを生成する。このとき、キャッシュ生成部17は、認証パターンにおける時間帯ごとのキャッシュデータを生成する。認証パターンにおける時間帯は、例えば認証システム1がオフィスビルなどの建物の通行管理システムに適用される場合に、出勤時間帯、退勤時間帯、または昼食時間帯などである。いずれかの時間帯について生成されたキャッシュデータは、当該時間帯において認証頻度が高い認証可能ユーザの識別情報を多く含む。キャッシュ生成部17は、例えば、認証パターンにおける時間帯の開始時刻の前に、当該時間帯のキャッシュデータを生成する。あるいは、キャッシュ生成部17は、例えば、予め設定された周期でキャッシュデータを生成してもよい。
The
また、例えば認証パターンとして各々の認証装置4についての各々のユーザの認証順序を学習部15が学習している場合に、キャッシュ生成部17は、認証順序に基づいてキャッシュデータを生成する。ここで、認証システム1がオフィスビルなどの建物の通行管理システムに適用されている場合を例として説明する。この例において、図示されないユーザAは、建物の5階の事務所において勤務している。ユーザAは、出勤する時に、建物の玄関に設けられる認証装置4aに自身を認証させる。その後、ユーザAは、5階の事務所の入り口に設けられる認証装置4bに自身を認証させる。この場合に、学習部15は、ユーザAの認証パターンとして、認証装置4aの後に認証装置4bで認証処理が行われる認証順序を学習する。このように認証パターンが学習された後に、ユーザAが認証可能ユーザであるかの問い合わせを認証装置4aから中央管理装置5が受けるときに、キャッシュ生成部17は、ユーザAの認証順序に基づいてキャッシュデータを生成する。ユーザAの認証順序において認証装置4aの後に認証処理が行われる装置は認証装置4bなので、キャッシュ生成部17は、ユーザAの識別情報を含めて認証装置4bについてのキャッシュデータを生成する。ここで生成されたキャッシュデータは、認証装置4bにおいてユーザAの認証処理が開始される前に認証装置4bに配信される。なお、認証パターンの認証順序において、認証装置4aおよび認証装置4bの間に認証処理が行われる他の認証装置4が含まれていてもよい。
For example, when the
なお、学習部15は、認証順序をグラフ構造のデータとして学習してもよい。グラフ構造のノードは、例えば各々の認証装置4を表す。グラフ構造は、例えば始点のノードの認証装置4の次に終点のノードの認証装置4において認証処理が行われる確率で重みづけられたエッジを有する有効グラフであってもよい。当該確率は、例えば認証履歴に基づいて学習される。
Note that the
このように、キャッシュ生成部17は、認証装置4からの中央管理装置5への問い合わせの有無によらずに、当該認証装置4のキャッシュデータを生成する。
In this way, the
管理端末6は、認証システム1の管理の操作を行う情報端末である。認証装置4の管理は、例えば認証可能ユーザの登録などを含む。管理端末6は、例えばパーソナルコンピュータ、タブレットコンピュータ、またはスマートフォンなどである。管理端末6は、例えばネットワーク12を通じて中央管理装置5に接続される。あるいは、管理端末6は、中央管理装置5に直接接続されてもよい。
The
続いて、図2を用いて、認証システム1における登録データの例を説明する。
図2は、実施の形態1に係る認証システムにおける登録データの例を示す図である。
図2において、JSON(JavaScript Object Notation)フォーマットによる登録データの例が示される。Next, an example of registered data in the
FIG. 2 is a diagram showing an example of registration data in the authentication system according to the first embodiment.
In FIG. 2, an example of registered data in JSON (JavaScript Object Notation) format is shown.
認証可能ユーザの登録は、例えば管理端末6を通じて行われる。認証可能ユーザを登録するときに、管理端末6から中央管理装置5に登録データが送信される。登録データは、例えば識別情報と、固有情報と、署名情報と、登録内容と、を含む。登録データは、この他の情報を含んでいてもよい。
Registration of authenticated users is performed, for example, through the
識別情報は、認証可能ユーザとして登録するユーザの識別情報である。この例において、識別情報は、キー「user_id」の値として登録データに含まれる。固有情報は、当該ユーザを認証可能ユーザとして登録する対象の認証装置4に固有の情報である。固有情報は、例えば認証システム1において付与される各々の認証装置4の識別番号などである。この例において、固有情報は、キー「target」の値として登録データに含まれる。署名情報は、例えば登録データの正当性を示すための管理端末6の電子署名などである。この例において、署名情報は、キー「certification」の値として登録データに含まれる。登録内容は、例えば許可事項と、許可期間と、を含む。
The identification information is identification information of a user who is registered as an authenticable user. In this example, the identification information is included in the registration data as the value of the key "user_id". The unique information is information unique to the
許可事項は、登録されるユーザに許可される事項である。許可事項は、例えば認証装置4が経路に設けられる制御機器としてのゲートに対応するときに、当該経路の通行が許可されるか否かの情報である。許可期間は、登録されるユーザに許可事項が許可されている期間である。許可期間は、例えば開始時刻と終了時刻とによって表される。この例において、登録内容は、キー「actions」の値のオブジェクトとして登録データに含まれる。経路の通行に係る許可事項は、キー「Pass」の値として、登録内容のオブジェクトに含まれる。ここで、経路の通行に係る許可事項の値である「Allow」は、認証可能であることを表す。なお、許可事項の値は、認証不可であることを表す「Deny」などであってもよい。許可期間の開始時刻は、キー「start」の値として、登録内容のオブジェクトに含まれる。許可期間の終了時刻は、キー「end」の値として、登録内容のオブジェクトに含まれる。
The permission items are items that are permitted to the registered user. For example, when the
登録データが管理端末6から送信されたときに、中央管理装置5のユーザ情報記憶部13は、登録データの内容に基づいて記憶している認証可能ユーザの情報を更新する。また、フィルタ生成部16は、更新された認証可能ユーザの情報に基づいて、ブルームフィルタの生成を開始する。フィルタ生成部16は、例えば、認証可能ユーザが新たに登録されるたびにブルームフィルタの生成を開始する。生成されたブルームフィルタは、第2通信部14によって認証装置4に配信される。
When the registration data is transmitted from the
続いて、図3および図4を用いて、認証システム1におけるブルームフィルタの例を説明する。
図3は、実施の形態1に係るブルームフィルタの生成の例を示す図である。
図4は、実施の形態1に係るブルームフィルタによる認証処理の例を示す図である。Next, an example of a Bloom filter in the
FIG. 3 is a diagram illustrating an example of generating a Bloom filter according to the first embodiment.
FIG. 4 is a diagram illustrating an example of authentication processing by the Bloom filter according to the first embodiment.
図3において、認証可能ユーザとしてユーザA、ユーザB、およびユーザCが登録されている認証装置4についてのブルームフィルタの生成の例が示される。
FIG. 3 shows an example of Bloom filter generation for the
この例において、フィルタ生成部16は、ハッシュ生成器18を備える。ハッシュ生成器18は、識別情報を入力とし、ハッシュ関数によってビット列を出力する。ハッシュ生成器18は、例えばmビットのビット列を出力する。出力されたビット列において、いずれかk個のビットの値が「1」となっている。出力されたビット列において、他のビットの値が「0」となっている。図3において、m=10,k=2の例が示される。
In this example, the
フィルタ生成部16は、ブルームフィルタを生成する認証装置4について認証可能ユーザとして登録されている全てのユーザの識別情報を、それぞれハッシュ生成器18に入力する。この例において、ユーザA、ユーザB、およびユーザCの識別情報がそれぞれハッシュ生成器18に入力される。この例において、ユーザAの識別情報に対する出力は、第0ビットおよび第7ビットが「1」のビット列である。ユーザBの識別情報に対する出力は、第2ビットおよび第3ビットが「1」のビット列である。ユーザCの識別情報に対する出力は、第3ビットおよび第8ビットが「1」のビット列である。
The
フィルタ生成部16は、ハッシュ生成器18が出力した全てのビット列を、各々のビットに対するOR演算を行うことで1つのビット列に統合する。フィルタ生成部16は、統合したビット列をブルームフィルタのビット列とする。この例において、全てのユーザの出力のビット列において第1ビットが「0」であるので、ブルームフィルタの第1ビットは「0」となる。ユーザBの出力のビット列において第2ビットが「1」であるので、ブルームフィルタの第2ビットは「1」となる。ユーザBおよびユーザCの出力のビット列において第3ビットが「1」であるので、ブルームフィルタの第3ビットは「1」となる。
The
このように生成されたブルームフィルタは、第2通信部14によって対応する認証装置4に配信される。認証装置4に配信されたブルームフィルタは、当該認証装置4のフィルタ記憶部10に記憶される。
The Bloom filter generated in this manner is distributed by the second communication unit 14 to the
ここで、認証可能ユーザの登録に許可期間が設定されている場合に、フィルタ生成部16は、ブルームフィルタの有効期間を設定する。この例において、ブルームフィルタの有効期間は、開始時刻または終了時刻の一方または両方を含む。ブルームフィルタの有効期間は、登録されている認証可能ユーザの許可期間に基づいて設定される。
Here, if a permission period is set in the registration of the authenticable user, the
ブルームフィルタに有効期間が設定されるときに、第2通信部14は、有効期間を含めてブルームフィルタを認証装置4に配信する。認証装置4に配信されたブルームフィルタは、当該認証装置4のフィルタ記憶部10に、有効期間とともに記憶される。
When the validity period is set for the Bloom filter, the second communication unit 14 distributes the Bloom filter including the validity period to the
図4において、認証不可ユーザであるユーザDまたはユーザEについてのブルームフィルタによる認証処理の例が示される。 In FIG. 4, an example of authentication processing using a Bloom filter for user D or user E, who is an unauthenticated user, is shown.
この例において、認証処理部9は、ハッシュ生成器18を備える。認証処理部9のハッシュ生成器18は、フィルタ生成部16のハッシュ生成器18と同様に構成される。すなわち、同一の識別情報に対して、認証処理部9のハッシュ生成器18およびフィルタ生成部16のハッシュ生成器18は、互いに同一のビット列を出力する。
In this example, the
認証処理部9は、認証処理を行うユーザの識別情報をハッシュ生成器18に入力する。すなわち、ユーザDについての認証処理が行われるときに、ユーザDの識別情報がハッシュ生成器18に入力される。あるいは、ユーザEについての認証処理が行われるときに、ユーザEの識別情報がハッシュ生成器18に入力される。この例において、ユーザDの識別情報に対する出力は、第3ビットおよび第5ビットが「1」のビット列である。ユーザEの識別情報に対する出力は、第7ビットおよび第8ビットが「1」のビット列である。
The
認証処理部9は、ハッシュ生成器18が出力したビット列とブルームフィルタのビット列とを比較する。認証処理部9は、出力されたビット列において値が「1」であるビットのうち、ブルームフィルタのビット列において値が「0」であるビットがあるかを判定する。値が「0」であるビットがある場合に、認証処理部9は、ユーザが認証不可ユーザであると判定する。いずれかの認証可能ユーザの識別情報の出力において値が「1」であるビットはブルームフィルタのビット列においても「1」となるので、認証可能ユーザは、認証不可ユーザであると判定されない。すなわち、ブルームフィルタによる認証処理において、認証可能ユーザの識別情報を要素とする集合に認証可能ユーザの識別情報が含まれないと判定する偽陽性の過誤は生じない。
The
例えば、ユーザDについての認証処理が行われるときに、認証処理部9は、第3ビットおよび第5ビットのうち、ブルームフィルタのビット列において値が「0」であるビットがあるかを判定する。第5ビットが0であるので、認証処理部9は、ユーザDを認証不可ユーザであると判定する。
For example, when authentication processing for user D is performed, the
一方、ユーザEについての認証処理が行われるときに、認証処理部9は、第7ビットおよび第8ビットのうち、ブルームフィルタのビット列において値が「0」であるビットがあるかを判定する。ここで、第7ビットおよび第8ビットがともに「1」であるので、認証処理部9は、ユーザEを認証不可ユーザであると判定できない。
On the other hand, when the authentication process for user E is performed, the
ここで、ユーザEについて出力されたビット列の第7ビットは、ユーザAについて出力されたビット列の第7ビットに偶然に一致している。また、ユーザEについて出力されたビット列の第8ビットは、ユーザCについて出力されたビット列の第8ビットに偶然に一致している。このように、認証可能ユーザの組み合わせによって、認証不可ユーザの識別情報から出力されるビット列が確率的データ構造であるブルームフィルタのビット列に偶然に整合する場合がある。すなわち、ブルームフィルタによる認証処理において、認証可能ユーザの識別情報を要素とする集合に認証不可ユーザの識別情報が含まれると判定する偽陽性の過誤は生じうる。このため、認証処理部9は、ブルームフィルタによる認証処理の後段に、キャッシュデータによる認証処理または中央管理装置5への問い合わせによる認証処理などを行う。
Here, the seventh bit of the bit string output for user E coincidentally coincides with the seventh bit of the bit string output for user A. Further, the 8th bit of the bit string output for user E coincidentally coincides with the 8th bit of the bit string output for user C. In this way, depending on the combination of authenticated users, the bit string output from the identification information of the unauthenticated user may coincidentally match the bit string of the Bloom filter, which is a probabilistic data structure. That is, in the authentication process using the Bloom filter, a false positive error may occur in which it is determined that the identification information of the unauthenticated user is included in the set of elements of the identification information of the authenticated user. For this reason, the
続いて、図5および図6を用いて、認証システム1におけるユーザの認証の例を説明する。
図5および図6は、実施の形態1に係る認証システムにおけるユーザの認証の例を示すシーケンス図である。Next, an example of user authentication in the
5 and 6 are sequence diagrams showing an example of user authentication in the authentication system according to the first embodiment.
図5において、認証システム1におけるユーザの認証の全体のシーケンスの例が示される。
In FIG. 5, an example of the entire sequence of user authentication in the
中央管理装置5のフィルタ生成部16は、各々の認証装置4について、ブルームフィルタを生成する。第2通信部14は、各々の認証装置4の第1通信部8にブルームフィルタを配信する。各々の認証装置4において、フィルタ記憶部10は、配信されたブルームフィルタを記憶する。
The
中央管理装置5のキャッシュ生成部17は、各々の認証装置4について、キャッシュデータを生成する。第2通信部14は、各々の認証装置4の第1通信部8にキャッシュデータを配信する。各々の認証装置4において、キャッシュ記憶部11は、配信されたキャッシュデータを記憶する。
The
その後、いずれかの認証装置4の読取部7は、ユーザ端末2からユーザの識別情報を読み取る。認証処理部9は、中央管理装置5から配信されたブルームフィルタおよびキャッシュデータを用いて、識別情報を読み取ったユーザの認証処理を行う。
Thereafter, the
認証処理部9は、認証処理において当該ユーザが認証可能ユーザであると判定するときに、当該ユーザの認証を承認する。このとき、認証処理部9は、承認を表す信号を対応する制御対象機器3に出力する。制御対象機器3は、入力された信号に基づいて動作する。例えば制御対象機器3がゲートである場合に、承認を表す信号が入力されたゲートは開く。また、認証処理部9は、承認を表す認証応答の信号をユーザ端末2に通知する。
The
一方、認証処理部9は、認証処理において当該ユーザが認証不可ユーザであると判定するときに、当該ユーザの認証を否認する。このとき、認証処理部9は、否認を表す信号を対応する制御対象機器3に出力する。制御対象機器3は、入力された信号に基づいて動作する。例えば制御対象機器3がゲートである場合に、否認を表す信号が入力されたゲートは、閉じた状態を維持する。また、認証処理部9は、否認を表す認証応答の信号をユーザ端末2に通知する。
On the other hand, when the
その後、認証処理部9は、第1通信部8を通じて中央管理装置5に認証履歴を送信する。認証履歴は、例えば認証装置4の固有情報と、認証処理が行われた時刻と、認証処理を行ったユーザの識別情報と、認証処理における判定結果と、の情報を含む。なお、認証履歴は、認証処理が行われた直後に送信されなくてもよい。例えば認証装置4および中央管理装置5の間の通信が混雑しているときに、認証処理部9は、認証履歴の送信を混雑が解消するまで保留してもよい。また、認証処理部9は、複数の認証履歴をまとめて中央管理装置5に送信してもよい。
Thereafter, the
その後、中央管理装置5の学習部15は、第2通信部14を通じて認証履歴を取得する。学習部15は、取得した認証履歴に基づいて認証パターンを学習する。
Thereafter, the
登録データが管理端末6から送信されたときに、中央管理装置5のユーザ情報記憶部13は、登録データの内容に基づいて認証可能ユーザの情報を更新する。フィルタ生成部16は、更新された認証可能ユーザの情報に基づいて、各々の認証装置4についてブルームフィルタを生成する。各々の認証装置4について生成されたブルームフィルタは、第2通信部14によって当該認証装置4に配信される。
When the registration data is transmitted from the
その後、いずれかの認証装置4の読取部7は、ユーザ端末2からユーザの識別情報を読み取る。認証処理部9は、中央管理装置5から新たに配信されたブルームフィルタなどを用いて、識別情報を読み取ったユーザの認証処理を行う。
Thereafter, the
図6において、認証処理部9におけるユーザの認証処理の詳細のシーケンスの例が示される。
In FIG. 6, an example of a detailed sequence of user authentication processing in the
読取部7は、ユーザ端末2からユーザの識別情報を読み取る。このとき、認証処理部9は、認証処理を開始する。
The
認証処理部9は、ブルームフィルタによる認証処理を行う。認証処理部9は、読取部7に読み取られた識別情報が認証可能ユーザの識別情報を要素とする集合に含まれるかをブルームフィルタに基づいて判定する。なお、認証処理部9は、現在の時刻がブルームフィルタの有効期間に含まれないときに、ブルームフィルタによる認証処理を省略してもよい。
The
認証可能ユーザの集合に含まれないと判定するときに、ブルームフィルタによる認証処理において偽陰性の過誤は生じないので、認証処理部9は、読取部7が識別情報を読み取ったユーザを認証不可ユーザであるとして認証を否認する。このとき、認証処理部9は、中央管理装置5に問い合わせを行わない。
When determining that the user is not included in the set of authenticated users, false negative errors do not occur in the authentication processing using the Bloom filter, so the
一方、認証可能ユーザの集合に含まれると判定する時に、ブルームフィルタによる認証処理において偽陽性の過誤は生じうるので、認証処理部9は、キャッシュデータによる認証を行う。認証処理部9は、読取部7に読み取られた識別情報がキャッシュ記憶部11に記憶されるキャッシュデータに含まれるかを判定する。
On the other hand, when it is determined that the user is included in the set of authenticated users, a false positive error may occur in the authentication processing using the Bloom filter, so the
識別情報がキャッシュデータに含まれるときに、認証処理部9は、当該キャッシュデータに基づいて認証処理を行う。このとき、認証処理部9は、中央管理装置5に問い合わせを行わない。例えば、当該キャッシュデータが識別情報を認証可能ユーザの識別情報として含んでいる場合に、認証処理部9は、読取部7が識別情報を読み取ったユーザの認証を承認する。なお、キャッシュデータは、認証不可ユーザの識別情報を含んでいてもよい。キャッシュデータが識別情報を認証不可ユーザの識別情報として含んでいる場合に、認証処理部9は、読取部7が識別情報を読み取ったユーザの認証を否認する。
When the identification information is included in the cache data, the
一方、識別情報がキャッシュデータに含まれないときに、認証処理部9は、中央管理装置5への問い合わせによる認証処理を行う。認証処理部9は、読み取られた識別情報を中央管理装置5に第1通信部8を通じて送信する。
On the other hand, when the identification information is not included in the cache data, the
中央管理装置5の第2通信部14は、認証装置4から識別情報を受信する。中央管理装置5は、当該識別情報に識別されるユーザの情報をユーザ情報記憶部13から参照する。第2通信部14は、参照した情報を例えば登録データとして当該認証装置4に返送することで問い合わせに応答する。
The second communication unit 14 of the
認証装置4の認証処理部9は、第1通信部8を通じて、中央管理装置5から返送された登録データを取得する。認証処理部9は、取得した登録データに基づいて認証処理を行う。このとき、認証装置4は、キャッシュ記憶部11に登録データを記憶してもよい。キャッシュ記憶部11は、配信されたキャッシュデータとともに当該登録データを記憶してもよい。あるいは、キャッシュ記憶部11は、配信されたキャッシュデータと区別して当該登録データを記憶してもよい。例えば、登録データが認証可能であることを表す場合に、認証処理部9は、読取部7が識別情報を読み取ったユーザの認証を承認する。一方、登録データが認証不可であることを表す場合に、認証処理部9は、読取部7が識別情報を読み取ったユーザの認証を否認する。
The
続いて、図7および図8を用いて、認証システム1の動作の例を説明する。
図7および図8は、実施の形態1に係る認証システムの動作の例を示すフローチャートである。Next, an example of the operation of the
7 and 8 are flowcharts illustrating an example of the operation of the authentication system according to the first embodiment.
図7において、ユーザの登録に係る中央管理装置5の動作の例が示される。
In FIG. 7, an example of the operation of the
ステップS11において、中央管理装置5は、管理端末6からユーザ登録を受け付けたかを判定する。判定結果がYesの場合に、ユーザの登録に係る認証システム1の動作は、ステップS12に進む。一方、判定結果がNoの場合に、ユーザの登録に係る中央管理装置5の動作は、終了する。
In step S11, the
ステップS12において、フィルタ生成部16は、ブルームフィルタを生成する。その後、ユーザの登録に係る中央管理装置5の動作は、ステップS13に進む。
In step S12, the
ステップS13において、第2通信部14は、ブルームフィルタを認証装置4に配信する。その後、ユーザの登録に係る中央管理装置5の動作は、終了する。
In step S13, the second communication unit 14 distributes the Bloom filter to the
図8において、ユーザの認証処理に係る認証装置4の動作の例が示される。
In FIG. 8, an example of the operation of the
ステップS21において、認証装置4は、読取部7がユーザの識別情報を読み取ったかを判定する。判定結果がYesの場合に、ユーザの認証処理に係る認証装置4の動作は、ステップS22に進む。一方、判定結果がNoの場合に、ユーザの認証処理に係る認証装置4の動作は、終了する。
In step S21, the
ステップS22において、認証処理部9は、フィルタ記憶部10が記憶しているブルームフィルタに基づいて、識別情報が読み取られたユーザが認証不可ユーザであるかを判定する。判定結果がYesの場合に、ユーザの認証処理に係る認証装置4の動作は、ステップS23に進む。一方、判定結果がNoの場合に、ユーザの認証処理に係る認証装置4の動作は、ステップS24に進む。
In step S22, the
ステップS23において、認証処理部9は、識別情報が読み取られたユーザの認証を否認する。その後、ユーザの認証処理に係る認証装置4の動作は、終了する。
In step S23, the
ステップS24において、認証処理部9は、キャッシュ記憶部11が記憶しているキャッシュデータに読み取られた識別情報が含まれるかを判定する。判定結果がYesの場合に、ユーザの認証処理に係る認証装置4の動作は、ステップS25に進む。一方、判定結果がNoの場合に、ユーザの認証処理に係る認証装置4の動作は、ステップS26に進む。
In step S24, the
ステップS25において、認証処理部9は、キャッシュ記憶部11が記憶しているキャッシュデータに基づいて、識別情報が読み取られたユーザが認証可能ユーザであるかを判定する。判定結果がNoの場合に、ユーザの認証処理に係る認証装置4の動作は、ステップS23に進む。一方、判定結果がYesの場合に、ユーザの認証処理に係る認証装置4の動作は、ステップS28に進む。
In step S25, the
ステップS26において、認証処理部9は、識別情報が読み取られたユーザが認証可能ユーザであるかを中央管理装置5に第1通信部8を通じて問い合わせる。その後、ユーザの認証処理に係る認証装置4の動作は、ステップS27に進む。
In step S26, the
ステップS27において、認証処理部9は、中央管理装置5からの応答に基づいて、識別情報が読み取られたユーザが認証可能ユーザであるかを判定する。判定結果がNoの場合に、ユーザの認証処理に係る認証装置4の動作は、ステップS23に進む。一方、判定結果がYesの場合に、ユーザの認証処理に係る認証装置4の動作は、ステップS28に進む。
In step S27, the
ステップS28において、認証処理部9は、識別情報が読み取られたユーザの認証を承認する。その後、ユーザの認証処理に係る認証装置4の動作は、終了する。
In step S28, the
以上に説明したように、実施の形態1に係る認証システム1は、中央管理装置5と、認証装置4と、を備える。中央管理装置5は、ユーザ情報記憶部13と、第2通信部14と、を備える。ユーザ情報記憶部13は、複数のユーザのうちの認証可能ユーザの識別情報を記憶する。第2通信部14は、識別情報を読み取ったユーザが認証可能ユーザであるかの各々の認証装置4からの問い合わせに応答する。第2通信部14は、ユーザ情報記憶部13に登録されている情報に基づいて各々の認証装置4について生成されたデータを、当該認証装置4に配信する。各々の認証装置4は、中央管理装置5から配信されたデータを記憶する。各々の認証装置4は、読取部7と、認証処理部9と、を備える。読取部7は、各々のユーザの識別情報を読み取る。認証処理部9は、中央管理装置5からデータが配信された後に読取部7が読み取った識別情報について、当該データに基づいて中央管理装置5に問い合わせる前に認証処理を行う。
As described above, the
認証システム1において、各々の認証装置4において記憶されているデータに基づく認証処理が中央管理装置5への問い合わせの前に行われる。このような認証処理においてユーザの認証の可否が判定される場合に、認証装置4および中央管理装置5の間の通信が省略される。ユーザの認証処理において問い合わせのための通信を必要とすることが少なくなるので、ユーザの認証速度が通信の遅延の影響を受けにくくなる。
In the
また、中央管理装置5は、フィルタ生成部16を備える。フィルタ生成部16は、各々の認証装置4について、認証可能ユーザの識別情報に基づくブルームフィルタを生成する。第2通信部14は、各々の認証装置4についてフィルタ生成部16が生成したブルームフィルタを当該認証装置4に配信する。各々の認証装置4は、フィルタ記憶部10を備える。フィルタ記憶部10は、中央管理装置5の第2通信部14から配信されるブルームフィルタを記憶する。各々の認証装置4において、認証処理部9は、配信されたブルームフィルタをフィルタ記憶部10が記憶した後に識別情報を読み取られたユーザが認証不可ユーザであるかを当該ブルームフィルタに基づいて判定する。認証不可ユーザであると判定するときに、認証処理部9は、中央管理装置5に問い合わせることなく当該ユーザの認証を拒否する。
また、実施の形態1に係る認証方法は、フィルタ記憶ステップと、読取ステップと、認証処理ステップと、を備える。フィルタ記憶ステップは、中央管理装置5から配信されるブルームフィルタを記憶するステップである。読取ステップは、フィルタ記憶ステップの後に、複数のユーザのうちのいずれかのユーザの識別情報を読み取るステップである。認証処理ステップは、読取ステップにおいて識別情報を読み取られたユーザが認証不可ユーザであると判定されるときに、中央管理装置5に問い合わせることなく当該ユーザの認証を拒否するステップである。このときの判定は、フィルタ記憶ステップにおいて記憶されたブルームフィルタに基づいて行われる。
また、実施の形態1に係る認証プログラムは、フィルタ記憶ステップと、読取ステップと、認証処理ステップと、を認証装置4に実行させる。
また、実施の形態1に係るデータ構造は、中央管理装置5が生成するブルームフィルタを含む。ブルームフィルタは、認証装置4について、複数のユーザのうち認証可能ユーザの識別情報に基づいて生成される。このデータ構造は、認証装置4による認証処理に用いられる。このときの認証処理は、認証装置4に識別情報を読み取られたユーザがブルームフィルタに基づいて認証不可ユーザであると判定されるときに、中央管理装置5に問い合わせることなく当該ユーザの認証を拒否する処理である。The
Further, the authentication method according to the first embodiment includes a filter storage step, a reading step, and an authentication processing step. The filter storage step is a step of storing the Bloom filter distributed from the
Further, the authentication program according to the first embodiment causes the
Further, the data structure according to the first embodiment includes a Bloom filter generated by the
認証システム1において、各々の認証装置4においてブルームフィルタによる判定処理が中央管理装置5への問い合わせの前に行われる。ブルームフィルタによる判定処理において偽陰性の過誤は生じないので、認証不可ユーザによる認証を即時に否認できる。このとき、中央管理装置5への問い合わせを必要としないので、ユーザの認証速度が通信の遅延の影響を受けにくくなる。また、認証装置4はブルームフィルタを記憶していればよいので、全ての認証可能ユーザの情報を記憶しておく必要がない。このため、認証装置4を簡易なハードウェアで構成しうるようになる。また、認証不可ユーザが認証不可ユーザであることを確認するための問い合わせが削減されるため、このような問い合わせによって通信の容量が浪費されることが抑えられる。なお、複数の認証装置4の一部または全部は、キャッシュ記憶部11を備えていなくてもよい。このとき、当該認証装置4において、認証処理部9は、キャッシュデータによる認証処理を行わなくてもよい。また、中央管理装置5は、キャッシュ生成部17を備えていなくてもよい。
In the
また、中央管理装置5は、キャッシュ生成部17を備える。キャッシュ生成部17は、各々の認証装置4についての少なくとも一部の認証可能ユーザの識別情報を含むキャッシュデータを生成する。第2通信部14は、各々の認証装置4についてキャッシュ生成部17が生成したキャッシュデータを、対応する認証装置4に配信する。各々の認証装置4に配信されるキャッシュデータは、その認証装置4からの問い合わせの有無によらずに配信される。各々の認証装置4は、キャッシュ記憶部11を備える。キャッシュ記憶部11は、第2通信部14から配信されるキャッシュデータを記憶する。各々の認証装置4において、認証処理部9は、キャッシュデータをキャッシュ記憶部11が記憶した後に読み取られた識別情報を当該キャッシュデータが含むかを判定する。当該識別情報を当該キャッシュデータが含む場合に、認証処理部9は、当該識別情報が読み取られたユーザの認証可否の判定を当該キャッシュデータに基づいて中央管理装置5に問い合わせることなく行う。当該ユーザの識別情報を当該キャッシュデータが含まない場合に、認証処理部9は、当該ユーザが認証可能ユーザであるかを中央管理装置5に問い合わせることで判定する。
また、実施の形態1に係る認証方法は、キャッシュ記憶ステップと、読取ステップと、認証処理ステップと、を備える。キャッシュ記憶ステップは、中央管理装置5が認証装置4から問い合わせを受けたか否かによらずに当該認証装置4に配信するキャッシュデータを記憶するステップである。読取ステップは、キャッシュ記憶ステップの後に、複数のユーザのうちのいずれかのユーザの識別情報を認証装置4において読み取るステップである。認証処理ステップにおいて、読取ステップにおいて読み取られた識別情報をキャッシュ記憶ステップにおいて記憶されたキャッシュデータが含むか否かが判定される。認証処理ステップにおいて、当該識別情報を当該キャッシュデータが含む場合に、当該識別情報が読み取られたユーザの認証可否の判定は、当該キャッシュデータに基づいて中央管理装置5に問い合わせることなく行われる。認証処理ステップにおいて、当該ユーザの識別情報を当該キャッシュデータが含まない場合に、当該ユーザが認証可能ユーザであるかは、中央管理装置5に問い合わせることで判定される。
また、実施の形態1に係る認証プログラムは、キャッシュ記憶ステップと、読取ステップと、認証処理ステップと、を認証装置4に実行させる。The
Further, the authentication method according to the first embodiment includes a cache storage step, a reading step, and an authentication processing step. The cache storage step is a step in which the
Further, the authentication program according to the first embodiment causes the
認証システム1において、各々の認証装置4においてキャッシュデータによる判定処理が中央管理装置5への問い合わせの前に行われる。認証装置4に配信されるキャッシュデータは、当該認証装置4からの問い合わせの有無に関わらずに中央管理装置5において生成される。事前に配信されたキャッシュデータが認証装置4に読み取られた識別情報を含むときに、認証装置4は中央管理装置5への問い合わせを必要としないので、ユーザの認証速度が通信の遅延の影響を受けにくくなる。なお、複数の認証装置4の一部または全部は、フィルタ記憶部10を備えていなくてもよい。このとき、当該認証装置4において、認証処理部9は、ブルームフィルタによる認証処理を行わなくてもよい。また、中央管理装置5は、フィルタ生成部16を備えていなくてもよい。
In the
また、複数の認証装置4の一部および全部は、フィルタ記憶部10およびキャッシュ記憶部11の両方を備えていてもよい。このとき、当該認証装置4において、認証処理部9は、ブルームフィルタによる認証処理およびキャッシュデータによる認証処理の両方を行ってもよい。また、中央管理装置5は、フィルタ生成部16およびキャッシュ生成部17の両方を備えてもよい。
Furthermore, some or all of the plurality of
また、認証処理部9は、ブルームフィルタに基づく判定において認証不可ユーザであると判定されなかったユーザの識別情報をキャッシュ記憶部11に記憶されるキャッシュデータが含むかを判定する。当該ユーザの識別情報を当該キャッシュデータが含む場合に、認証処理部9は、当該キャッシュデータに基づいて当該ユーザの認証可否の判定を中央管理装置5に問い合わせることなく行う。当該ユーザの識別情報を当該キャッシュデータが含まない場合に、認証処理部9は、当該ユーザが認証可能ユーザであるかを中央管理装置5に問い合わせることで判定する。
The
これにより、認証システム1において、ブルームフィルタによる認証処理およびキャッシュデータによる認証処理の両方において認証可否が確定しない場合に中央管理装置5への問い合わせが行われる。このため、ユーザの認証速度が通信の遅延の影響をより受けにくくなる。
As a result, in the
また、フィルタ生成部16は、有効期間を含めてブルームフィルタを生成する。フィルタ記憶部10は、有効期間を含めてブルームフィルタを記憶する。認証処理部9は、現在の時刻がブルームフィルタの有効期間に含まれないときに、当該ブルームフィルタに基づく認証不可ユーザであるか否かの判定を省略する。
また、認証装置4が認証処理に用いるデータ構造は、ブルームフィルタの有効期間を含む。当該データ構造は、現在の時刻が有効期間に含まれないときにブルームフィルタに基づく認証不可ユーザであるか否かの判定を省略する認証装置4の処理に用いられる。Furthermore, the
Furthermore, the data structure used by the
有効期間によって、既に登録されていない認証不可ユーザが認証不可ユーザであることを確認するための問い合わせが削減されるため、このような問い合わせによって通信の容量が浪費されることが抑えられる。また、有効期間を含むことにより、ブルームフィルタの配信のタイミングの自由度を高められる。例えばユーザに設定されている許可期間が複数の認証装置4において同時に開始または終了する場合に、第2通信部14は、各々の認証装置4にタイミングをずらして配信できる。第2通信部14は、通信が混雑する時間帯を避けてブルームフィルタを配信してもよい。これにより、ブルームフィルタの配信による通信の混雑を回避できる。また、一時的に許可事項が設定されているゲストユーザなどがいる場合においても、当該ゲストユーザの許可期間に応じた適切な認証処理が行われる。
The validity period reduces the number of inquiries to confirm that an unregistered unauthenticated user is an unauthenticated user, thereby suppressing communication capacity wasted due to such inquiries. Furthermore, by including the validity period, the degree of freedom in the timing of Bloom filter distribution can be increased. For example, if the permission period set for the user starts or ends at the same time in a plurality of
また、中央管理装置5は、学習部15を備える。学習部15は、複数の認証装置4における複数のユーザの認証の認証パターンを学習する。キャッシュ生成部17は、学習部15が学習した認証パターンに基づいてキャッシュデータを生成する。
The
キャッシュ生成部17は、認証パターンに基づいてヒット率の高い効率的なキャッシュデータを生成できる。これにより、ユーザの認証速度が通信の遅延の影響をより受けにくくなる。学習部15は、例えば機械学習などの方法によって認証パターンを学習してもよい。このとき、学習部15は、例えば認証履歴を教師情報として用いてもよい。学習部15は、ユーザの属性に基づいて認証パターンを学習してもよい。ユーザの属性は、例えばユーザが所属する組織などであってもよい。
The
また、学習部15は、各々の認証装置4における各々のユーザの時間帯ごとの認証頻度を認証パターンとして学習する。キャッシュ生成部17は、認証可能ユーザの識別情報を認証頻度が高いほど優先して含むように時間帯ごとのキャッシュデータを生成する。
Further, the
これにより、時間帯に応じて効率的なキャッシュデータが生成される。一般に、LRU(Least Recently Used)キャッシュにおいて、短時間に多数のユーザが一度だけ認証を行う場合などに、すぐに再利用されない情報でキャッシュが埋め尽くされる場合がある。例えば玄関ゲートに設けられる認証装置4などにおいて、出勤時間帯または退勤時間帯において多数のユーザの認証が一度だけ行われる。このような場合においても、利用頻度の高いユーザの識別情報が事前にキャッシュデータとして配信されるので、キャッシュデータのヒット率が向上する。これにより、ユーザの認証速度が通信の遅延の影響をより受けにくくなる。
As a result, efficient cache data is generated depending on the time zone. Generally, in a LRU (Least Recently Used) cache, when a large number of users authenticate only once in a short period of time, the cache may be filled with information that will not be reused immediately. For example, in the
また、学習部15は、各々のユーザについて各々の認証装置4の認証順序を認証パターンとして学習する。キャッシュ生成部17は、識別情報を読み取ったユーザが認証可能ユーザであるかの問い合わせを第1認証装置から第2通信部14が受けるときに、第2認証装置についてのキャッシュデータを当該ユーザの識別情報を含むように生成する。第1認証装置および第2認証装置は、複数の認証装置4に含まれる。第2認証装置は、当該ユーザの認証パターンにおいて、第1認証装置の後に認証処理が行われる認証装置4である。第2通信部14は、第2認証装置が当該ユーザの識別情報を読み取る前にキャッシュデータを第2認証装置に配信する。
The
これにより、認証順序に応じて効率的なキャッシュデータが生成される。例えば通行管理システムにおいて、通行経路に複数の認証装置4が設けられる場合に、認証順序が予測可能なことがある。このような場合に、学習された認証順序に基づいて、予測されるユーザの識別情報が予測される認証装置4にキャッシュデータとして事前に配信されるので、キャッシュデータのヒット率が向上する。これにより、ユーザの認証速度が通信の遅延の影響をより受けにくくなる。
As a result, efficient cache data is generated according to the authentication order. For example, in a traffic management system, when a plurality of
なお、ユーザ端末2は、例えば人物であるユーザが乗車しているモビリティなどであってもよい。また、認証システム1のユーザは、例えば自律移動体であってもよい。このとき、認証装置4は、ユーザである自律移動体そのものから識別情報を読み取ってもよい。
Note that the
また、認証システム1は、例えば入退管理システムに適用されてもよい。入退管理システムは、管理対象の領域におけるユーザの入退域を管理するシステムである。このとき、制御対象機器3および認証装置4は、例えば管理対象の領域の境界に設けられる。制御対象機器3は、例えばドアに設けられる電気錠などであってもよい。
Further, the
また、認証システム1は、例えばエレベーターシステムに適用されてもよい。エレベーターシステムは、登録された呼びに応答して鉛直方向に走行するかごによって、利用者を建物の複数の階床の間で輸送するシステムである。例えば、エレベーターシステムにおいて、ユーザが認証されるときに、当該ユーザの呼びが登録される。
Further, the
また、認証システム1は、例えば利用管理システムに適用されてもよい。利用管理システムは、ユーザによる管理対象の機器の利用を管理するシステムである。例えば、利用管理システムにおいて、ユーザが認証されるときに、当該ユーザによる管理対象の機器の利用が許可される。管理対象の機器は、例えば固定して設けられる装置、もしくは移動可能な装置、または、自動車、もしくはモビリティなどであってもよい。
Further, the
また、識別情報は、1のユーザに対して複数の種類が設定されていてもよい。複数の認証装置4において、互いに異なる種類の識別情報が認証に用いられてもよい。識別情報は、例えばユーザの生体情報であってもよい。ユーザの生体情報は、例えばユーザである人物の指紋、顔、虹彩、または静脈などの情報であってもよい。また、識別情報は、ユーザである人物の声紋などであってもよい。また、識別情報は、ユーザである人物の筆跡であってもよい。また、識別情報は、ユーザの属性を識別する情報であってもよい。識別情報は、例えばユーザが所属する組織に固有の情報であってもよい。識別情報は、暗証情報であってもよい。
Furthermore, multiple types of identification information may be set for one user. Different types of identification information may be used for authentication in the plurality of
また、認証システム1は、複数の管理端末6を備えていてもよい。また、中央管理装置5が認証システム1の管理の操作を受け付ける機能を有しているときに、認証システム1は、管理端末を備えていなくてもよい。
Further, the
また、フィルタ生成部16は、例えば、認証可能ユーザの許可期間の開始時刻または終了時刻においてブルームフィルタの生成を開始してもよい。例えば、許可期間が設定される認証可能ユーザが1または少数である場合、または、許可期間が複数の認証可能ユーザについて共通している場合などに、ブルームフィルタに設定される有効期間は、当該許可期間であってもよい。
Furthermore, the
あるいは、ブルームフィルタの有効期間は、予め設定された期間であってもよい。例えば、フィルタ生成部16は、予め設定されたブルームフィルタの有効期間に応じて、識別情報から出力されたビット列がブルームフィルタに統合される認証可能ユーザを、登録の許可時間に基づいて選択してもよい。例えば認証可能ユーザの登録に設定された許可期間の少なくとも一部がブルームフィルタの有効期間に重複する場合に、フィルタ生成部16は、該当する全ての認証可能ユーザの識別情報から出力されるビット列をブルームフィルタのビット列に統合する。
Alternatively, the validity period of the Bloom filter may be a preset period. For example, the
あるいは、ブルームフィルタの有効期間は、互いに異なる複数の認証可能ユーザの登録に設定されている許可時間に基づいて設定されてもよい。例えば、フィルタ生成部16は、認証可能ユーザの登録に設定されている許可期間の開始時刻のうち最も早い時刻を有効期間の開始時刻としてもよい。また、フィルタ生成部16は、認証可能ユーザの登録に設定されている許可期間の終了時刻のうち最も遅い時刻を有効期間の終了時刻としてもよい。なお、例えば許可期間の開始時刻または終了時刻と現在の時刻との時間差が予め設定された時間差より大きい場合に、フィルタ生成部16は、当該許可期間を有効期間の設定において考慮しなくてもよい。この例において、出力されたビット列がブルームフィルタに統合される識別情報に、少数の許可期間外の識別情報が含まれていてもよい。
Alternatively, the validity period of the Bloom filter may be set based on the permission time set for the registration of a plurality of different authenticated users. For example, the
また、認証システム1におけるブルームフィルタは、上記において例示したデータ構造に限定されない。ブルームフィルタは、与えられた要素が集合の要素であるか否かの判定に用いられる確率的データ構造であれば、例えばCounting Bloom Filter、Compressed Bloom Filter、Deletable Bloom Filter、Hierarchical Bloom Filter、Stable Bloom Filter、Adaptive Bloom Filter、Scalable Bloom Filter、Generalized Bloom Filter、またはDynamic Bloom Filterなど、各種の実装またはバリエーションのいずれであってもよい。
Furthermore, the Bloom filter in the
続いて、図9を用いて、認証システム1の主要部のハードウェア構成の例について説明する。
図9は、実施の形態1に係る認証システムの主要部のハードウェア構成図である。Next, an example of the hardware configuration of the main parts of the
FIG. 9 is a hardware configuration diagram of the main parts of the authentication system according to the first embodiment.
認証システム1の各機能は、処理回路により実現し得る。処理回路は、少なくとも1つのプロセッサ200aと少なくとも1つのメモリ200bとを備える。処理回路は、プロセッサ200aおよびメモリ200bと共に、あるいはそれらの代用として、少なくとも1つの専用のハードウェア100を備えてもよい。
Each function of the
処理回路がプロセッサ200aとメモリ200bとを備える場合、認証システム1の各機能は、ソフトウェア、ファームウェア、またはソフトウェアとファームウェアとの組み合わせで実現される。ソフトウェアおよびファームウェアの少なくとも一方は、プログラムとして記述される。そのプログラムはメモリ200bに格納される。プロセッサ200aは、メモリ200bに記憶されたプログラムを読み出して実行することにより、認証システム1の各機能を実現する。
When the processing circuit includes a
プロセッサ200aは、CPU(Central Processing Unit)、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、DSPともいう。メモリ200bは、例えば、RAM、ROM、フラッシュメモリ、EPROM、EEPROMなどの、不揮発性または揮発性の半導体メモリなどにより構成される。
The
処理回路が専用のハードウェア100を備える場合、処理回路は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGA、またはこれらの組み合わせで実現される。
When the processing circuit comprises
認証システム1の各機能は、それぞれ処理回路で実現することができる。あるいは、認証システム1の各機能は、まとめて処理回路で実現することもできる。認証システム1の各機能について、一部を専用のハードウェア100で実現し、他部をソフトウェアまたはファームウェアで実現してもよい。このように、処理回路は、専用のハードウェア100、ソフトウェア、ファームウェア、またはこれらの組み合わせで認証システム1の各機能を実現する。
Each function of the
本開示に係る認証システムは、例えば通行管理システム、入退管理システム、エレベーターシステム、または利用管理システムなどのユーザを認証するシステムに適用できる。本開示に係る中央管理装置および認証装置は、当該認証システムに適用できる。本開示に係る認証方法は、当該認証システムに適用できる。本開示に係る認証プログラムおよびデータ構造は、当該認証システムに適用できる。 The authentication system according to the present disclosure can be applied to a system that authenticates users, such as a traffic management system, an entrance/exit management system, an elevator system, or a usage management system. The central management device and authentication device according to the present disclosure can be applied to the authentication system. The authentication method according to the present disclosure can be applied to the authentication system. The authentication program and data structure according to the present disclosure can be applied to the authentication system.
1 認証システム、 2 ユーザ端末、 3 制御対象機器、 4、4a、4b 認証装置、 5 中央管理装置、 6 管理端末、 7 読取部、 8 第1通信部、 9 認証処理部、 10 フィルタ記憶部、 11 キャッシュ記憶部、 12 ネットワーク、 13 ユーザ情報記憶部、 14 第2通信部、 15 学習部、 16 フィルタ生成部、 17 キャッシュ生成部、 18 ハッシュ生成器、 100 専用のハードウェア、 200a プロセッサ、 200b メモリ 1 authentication system, 2 user terminal, 3 controlled device, 4, 4a, 4b authentication device, 5 central management device, 6 management terminal, 7 reading unit, 8 first communication unit, 9 authentication processing unit, 10 filter storage unit, 11 cache storage unit, 12 network, 13 user information storage unit, 14 second communication unit, 15 learning unit, 16 filter generation unit, 17 cache generation unit, 18 hash generator, 100 dedicated hardware, 200a processor, 200b memory
Claims (11)
複数のユーザの識別情報を各々が読み取る複数の認証装置と、
を備え、
前記中央管理装置は、
前記複数の認証装置の各々について、前記複数のユーザのうち当該認証装置についての認証可能ユーザの識別情報を記憶するユーザ情報記憶部と、
前記複数の認証装置の各々について、当該認証装置についての認証可能ユーザの識別情報に基づくブルームフィルタを生成するフィルタ生成部と、
識別情報を読み取ったユーザが認証可能ユーザであるかの前記複数の認証装置の各々からの問い合わせに応答し、前記複数の認証装置の各々について前記フィルタ生成部が生成した前記ブルームフィルタを当該認証装置に配信する通信部と、
を備え、
前記複数の認証装置の各々は、
前記通信部から配信される前記ブルームフィルタを記憶するフィルタ記憶部と、
配信された前記ブルームフィルタを前記フィルタ記憶部が記憶した後に識別情報を読み取られたユーザが当該ブルームフィルタに基づいて認証不可ユーザであると判定されるときに、前記中央管理装置に問い合わせることなく当該ユーザの認証を拒否する認証処理部と、
を備える認証システムであり、
前記フィルタ生成部は、有効期間を含めて前記ブルームフィルタを生成し、
前記フィルタ記憶部は、前記有効期間を含めて前記ブルームフィルタを記憶し、
前記認証処理部は、現在の時刻が前記ブルームフィルタの前記有効期間に含まれないときに、当該ブルームフィルタに基づく認証不可ユーザであるか否かの判定を省略する
認証システム。 a central management device;
a plurality of authentication devices each reading identification information of a plurality of users;
Equipped with
The central management device includes:
For each of the plurality of authentication devices, a user information storage unit that stores identification information of a user who can be authenticated for the authentication device among the plurality of users;
a filter generation unit that generates, for each of the plurality of authentication devices, a Bloom filter based on identification information of an authenticable user for the authentication device;
In response to an inquiry from each of the plurality of authentication devices as to whether the user who has read the identification information is an authenticable user, the Bloom filter generated by the filter generation unit for each of the plurality of authentication devices is transmitted to the authentication device. A communications department that distributes information to
Equipped with
Each of the plurality of authentication devices includes:
a filter storage unit that stores the Bloom filter distributed from the communication unit;
When it is determined that a user whose identification information has been read after the distributed Bloom filter is stored in the filter storage unit is a user who cannot be authenticated based on the Bloom filter, the user can receive the information without inquiring the central management device. an authentication processing unit that rejects user authentication;
It is an authentication system equipped with
The filter generation unit generates the Bloom filter including a validity period,
The filter storage unit stores the Bloom filter including the validity period,
The authentication processing unit omits the determination of whether the user is an unauthenticated user based on the Bloom filter when the current time is not included in the validity period of the Bloom filter.
前記複数の認証装置の各々について、当該認証装置についての少なくとも一部の認証可能ユーザの識別情報を含むキャッシュデータを生成するキャッシュ生成部
を備え、
前記複数の認証装置の各々は、
前記キャッシュデータを記憶するキャッシュ記憶部
を備え、
前記通信部は、前記複数の認証装置の各々について前記キャッシュ生成部が生成した前記キャッシュデータを当該認証装置からの問い合わせの有無によらずに当該認証装置に配信する
請求項1に記載の認証システム。 The central management device includes:
For each of the plurality of authentication devices, a cache generation unit that generates cache data including identification information of at least some authenticable users for the authentication device;
Each of the plurality of authentication devices includes:
comprising a cache storage unit that stores the cache data;
The authentication system according to claim 1, wherein the communication unit distributes the cache data generated by the cache generation unit for each of the plurality of authentication devices to the authentication device regardless of whether there is an inquiry from the authentication device. .
請求項2に記載の認証システム。 When the cache data stored in the cache storage unit includes identification information of a user who is not determined to be an unauthenticated user in the determination based on the Bloom filter, the authentication processing unit performs authentication based on the cache data. determining whether or not the user can be authenticated without inquiring the central management device, and inquiring the central management device whether the user is an authenticable user when the cache data does not include identification information of the user; The authentication system according to claim 2.
前記複数の認証装置における前記複数のユーザの認証の認証パターンを学習する学習部
を備え、
前記キャッシュ生成部は、前記学習部が学習した前記認証パターンに基づいて前記キャッシュデータを生成する
請求項2または請求項3に記載の認証システム。 The central management device includes:
a learning unit that learns authentication patterns for authentication of the plurality of users in the plurality of authentication devices;
The authentication system according to claim 2 or 3, wherein the cache generation unit generates the cache data based on the authentication pattern learned by the learning unit.
前記キャッシュ生成部は、認証可能ユーザの識別情報を認証頻度が高いほど優先して含むように時間帯ごとの前記キャッシュデータを生成する
請求項4に記載の認証システム。 The learning unit learns an authentication frequency for each time period of each of the plurality of users in each of the plurality of authentication devices as the authentication pattern,
The authentication system according to claim 4, wherein the cache generation unit generates the cache data for each time period so that the higher the authentication frequency, the higher the authentication frequency, the higher the authentication frequency, the more preferentially the cache data is generated.
前記キャッシュ生成部は、識別情報を読み取ったユーザが認証可能ユーザであるかの問い合わせを前記複数の認証装置のうちの第1認証装置から前記通信部が受けるときに、前記認証パターンにおいて前記第1認証装置の後に当該ユーザの認証処理が行われる第2認証装置についてのキャッシュデータを当該ユーザの識別情報を含むように生成し、
前記通信部は、前記第2認証装置が当該ユーザの識別情報を読み取る前に前記キャッシュデータを前記第2認証装置に配信する
請求項4または請求項5に記載の認証システム。 The learning unit learns the authentication order of each of the plurality of authentication devices for each of the plurality of users as the authentication pattern,
The cache generation unit is configured to generate the first information in the authentication pattern when the communication unit receives an inquiry from a first authentication device of the plurality of authentication devices as to whether a user who has read the identification information is an authenticable user. Generating cache data for a second authentication device that performs authentication processing for the user after the authentication device so as to include identification information of the user;
The authentication system according to claim 4 or 5, wherein the communication unit distributes the cache data to the second authentication device before the second authentication device reads the identification information of the user.
前記複数のユーザのうち認証可能ユーザの識別情報を登録する中央管理装置から配信される認証可能ユーザの識別情報に基づいて生成されたブルームフィルタを記憶するフィルタ記憶部と、
配信された前記ブルームフィルタを前記フィルタ記憶部が記憶した後に識別情報を前記読取部に読み取られたユーザが当該ブルームフィルタに基づいて認証不可ユーザであると判定されるときに、前記中央管理装置に問い合わせることなく当該ユーザの認証を拒否する認証処理部と、
を備え、
前記フィルタ記憶部は、有効期間を含めて前記ブルームフィルタを記憶し、
前記認証処理部は、現在の時刻が前記ブルームフィルタの前記有効期間に含まれないときに、当該ブルームフィルタに基づく認証不可ユーザであるか否かの判定を省略する
認証装置。 a reading unit that reads identification information of each of the plurality of users;
a filter storage unit that stores a Bloom filter generated based on identification information of an authenticable user distributed from a central management device that registers identification information of an authenticable user among the plurality of users;
When the user whose identification information is read by the reading unit after the distributed Bloom filter is stored in the filter storage unit is determined to be a user who cannot be authenticated based on the Bloom filter, the central management device an authentication processing unit that refuses authentication of the user without asking;
Equipped with
The filter storage unit stores the Bloom filter including its validity period,
The authentication processing unit omits determination of whether or not the user is an unauthenticated user based on the Bloom filter when the current time is not included in the validity period of the Bloom filter.
を備える
請求項7に記載の認証装置。 a cache storage unit that stores cache data that includes identification information of at least some authenticated users and is distributed from the central management device regardless of whether there is an inquiry from the authentication processing unit.
The authentication device according to claim 7 .
請求項8に記載の認証装置。 When the cache data stored in the cache storage unit includes identification information of a user who is not determined to be an unauthenticated user in the determination based on the Bloom filter, the authentication processing unit performs authentication based on the cache data. determining whether or not the user can be authenticated without inquiring the central management device, and inquiring the central management device whether the user is an authenticable user when the cache data does not include identification information of the user; judge by
The authentication device according to claim 8 .
複数のユーザのうち認証可能ユーザの識別情報を登録する中央管理装置から配信される認証可能ユーザの識別情報に基づいて生成されたブルームフィルタを記憶するフィルタ記憶ステップと、
前記フィルタ記憶ステップの後に、複数のユーザのうちのいずれかのユーザの識別情報を読み取る読取ステップと、
前記読取ステップにおいて識別情報を読み取られたユーザが前記フィルタ記憶ステップにおいて記憶されたブルームフィルタに基づいて認証不可ユーザであると判定されるときに、前記中央管理装置に問い合わせることなく当該ユーザの認証を拒否する認証処理ステップと、
を実行する認証方法であり、
前記フィルタ記憶ステップにおいて、前記ブルームフィルタは有効期間を含めて記憶され、
前記認証処理ステップにおいて、現在の時刻が前記ブルームフィルタの前記有効期間に含まれないときに、当該ブルームフィルタに基づく認証不可ユーザであるか否かの判定が省略される
認証方法。 The computer is
a filter storage step of storing a Bloom filter generated based on identification information of an authenticable user distributed from a central management device that registers identification information of an authenticable user among a plurality of users;
After the filter storage step, a reading step of reading identification information of one of the plurality of users;
When the user whose identification information is read in the reading step is determined to be an unauthenticated user based on the Bloom filter stored in the filter storage step, the user is authenticated without inquiring the central management device. an authentication processing step to reject;
It is an authentication method that performs
In the filter storage step, the Bloom filter is stored including its validity period;
In the authentication processing step, when the current time is not included in the validity period of the Bloom filter, the determination of whether the user is an unauthenticated user based on the Bloom filter is omitted.
前記フィルタ記憶ステップの後に、複数のユーザのうちのいずれかのユーザの識別情報を読み取る読取ステップと、
前記読取ステップにおいて識別情報を読み取られたユーザが前記フィルタ記憶ステップにおいて記憶されたブルームフィルタに基づいて認証不可ユーザであると判定されるときに、前記中央管理装置に問い合わせることなく当該ユーザの認証を拒否する認証処理ステップと、
を認証装置に実行させ、
前記フィルタ記憶ステップにおいて、有効期間を含めて前記ブルームフィルタを前記認証装置に記憶させ、
前記認証処理ステップにおいて、現在の時刻が前記ブルームフィルタの前記有効期間に含まれないときに、当該ブルームフィルタに基づく認証不可ユーザであるか否かの判定を前記認証装置に省略させる
認証プログラム。 a filter storage step of storing a Bloom filter generated based on identification information of an authenticable user distributed from a central management device that registers identification information of an authenticable user among a plurality of users;
After the filter storage step, a reading step of reading identification information of one of the plurality of users;
When the user whose identification information is read in the reading step is determined to be an unauthenticated user based on the Bloom filter stored in the filter storage step, the user is authenticated without inquiring the central management device. an authentication processing step to reject;
Have the authentication device execute
In the filter storage step, the Bloom filter including the validity period is stored in the authentication device,
In the authentication processing step, when the current time is not included in the validity period of the Bloom filter, the authentication program causes the authentication device to omit determining whether or not the user is an unauthenticated user based on the Bloom filter.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2020/010330 WO2021181523A1 (en) | 2020-03-10 | 2020-03-10 | Authentication system, central management device, authentication device, authentication method, authentication program, and data structure |
Publications (3)
Publication Number | Publication Date |
---|---|
JPWO2021181523A1 JPWO2021181523A1 (en) | 2021-09-16 |
JPWO2021181523A5 JPWO2021181523A5 (en) | 2022-09-29 |
JP7400943B2 true JP7400943B2 (en) | 2023-12-19 |
Family
ID=77671282
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022507048A Active JP7400943B2 (en) | 2020-03-10 | 2020-03-10 | Authentication system, authentication device, authentication method, and authentication program |
Country Status (3)
Country | Link |
---|---|
JP (1) | JP7400943B2 (en) |
CN (1) | CN115210706A (en) |
WO (1) | WO2021181523A1 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001266202A (en) | 2000-03-15 | 2001-09-28 | Hitachi Information Technology Co Ltd | Gate management system |
JP2008250508A (en) | 2007-03-29 | 2008-10-16 | Fujitsu Ltd | Biometrics authentication program, biometrics authentication system and biometrics authentication method |
WO2011136767A1 (en) | 2010-04-28 | 2011-11-03 | Hewlett-Packard Development Company, L.P. | Protecting the information encoded in a bloom filter using encoded bits of data |
JP2018055138A (en) | 2016-09-26 | 2018-04-05 | 株式会社デンソーウェーブ | Authentication system, authentication data management apparatus, gate management apparatus and authentication method |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8499355B1 (en) * | 2011-03-24 | 2013-07-30 | Emc Corporation | Authorization system having a bloom filtered authentication list for fraud detection |
-
2020
- 2020-03-10 CN CN202080097919.0A patent/CN115210706A/en active Pending
- 2020-03-10 WO PCT/JP2020/010330 patent/WO2021181523A1/en active Application Filing
- 2020-03-10 JP JP2022507048A patent/JP7400943B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001266202A (en) | 2000-03-15 | 2001-09-28 | Hitachi Information Technology Co Ltd | Gate management system |
JP2008250508A (en) | 2007-03-29 | 2008-10-16 | Fujitsu Ltd | Biometrics authentication program, biometrics authentication system and biometrics authentication method |
WO2011136767A1 (en) | 2010-04-28 | 2011-11-03 | Hewlett-Packard Development Company, L.P. | Protecting the information encoded in a bloom filter using encoded bits of data |
JP2018055138A (en) | 2016-09-26 | 2018-04-05 | 株式会社デンソーウェーブ | Authentication system, authentication data management apparatus, gate management apparatus and authentication method |
Also Published As
Publication number | Publication date |
---|---|
JPWO2021181523A1 (en) | 2021-09-16 |
CN115210706A (en) | 2022-10-18 |
WO2021181523A1 (en) | 2021-09-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102596783B1 (en) | Authentication methods, devices and servers for identity information | |
US10666441B2 (en) | Controlling exposure of sensitive data and operation using process bound security tokens in cloud computing environment | |
KR102130651B1 (en) | Method and apparatus for authenticating user based on blockchain | |
KR102369228B1 (en) | Risk analysis apparatus and method for risk based authentication | |
US9083750B2 (en) | Method and system for authentication by defining a demanded level of security | |
EP2515497B1 (en) | Method for performing authentication in a distributed authentication system and authentication system | |
JP5127429B2 (en) | Admission restriction system and relay device | |
JP4799496B2 (en) | Personal authentication method | |
CN107862526B (en) | Resource numerical value transferring method and device, storage medium and server | |
JP7173305B2 (en) | Entrance/exit management system, authentication device for entrance/exit management system, management device for entrance/exit management system, mobile terminal or mobile body for entrance/exit management system, entrance/exit management program, and construction method of entrance/exit management system | |
KR20150092618A (en) | An access control method using the mobile device | |
JP2012144899A (en) | Electronic key management device, locking/unlocking system, electronic key management method and program | |
GB2531247A (en) | Method, hardware and digital certificate for authentication of connected devices | |
US20220321364A1 (en) | System and Method to Facilitate an Account Protection Check Through Blockchain | |
KR20220028836A (en) | Method for driver's license authentication service using decentralized identifier based on blockchain networks and user device executing driver's license authentication service | |
JP7400943B2 (en) | Authentication system, authentication device, authentication method, and authentication program | |
WO2019178440A1 (en) | System and method for securing private keys behind a biometric authentication gateway | |
US20230035914A1 (en) | Method of improving efficiency of updating data as to rules stored in block chain, electronic device, and computer readable storage medium applying the method | |
JP5094440B2 (en) | System management device and security system | |
JP2005165418A (en) | Log-in authentication system | |
JP5544803B2 (en) | Authentication system, authentication processing device, integrated authentication system, and program | |
KR101965613B1 (en) | Shared Automobile Control Method Using Split Type OTP | |
JP4500585B2 (en) | Authentication system and authentication server | |
Kovacevic et al. | Authentication and Identity Management Based on Zero Trust Security Model in Micro-cloud Environment | |
CN111881433A (en) | Resource transfer method and device based on verification gesture and computer equipment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220712 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220712 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230829 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230926 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231107 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231120 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7400943 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |