WO2013042306A1 - 認証システム、認証サーバ、認証方法および認証用プログラム - Google Patents

Abstract

　正当性判定手段８１は、受信した各サービスＩＤの正当性を判定する。サービス利用可否判定手段８２は、受信した物理ＩＤに基づいて、その物理ＩＤで識別される媒体または装置を利用したサービスの利用可否を判定する。認証情報管理手段８４は、少なくともサービスＩＤおよび正当性判定手段８１によるそのサービスＩＤの判定結果をキーＩＤと対応づけて認証情報記憶手段８３に記憶する。利用権限判定手段８５は、少なくともサービスＩＤの組合せに応じてサービスの利用可能範囲を定めたポリシに基づいて、認証情報記憶手段８３に記憶されたキーＩＤに対応づけられたサービスＩＤおよびそのサービスＩＤの判定結果から、利用者が利用するサービスの利用権限を判定する。

Description

認証システム、認証サーバ、認証方法および認証用プログラム

　本発明は、サービスを利用する利用者の認証を行う認証システム、認証サーバ、認証方法および認証用プログラムに関する。

　近年、インターネットを通じて提供されるサービスやストレージなどのコンピュータリソースを、ユーザがその所在を意識することなく利用できる形態の一つとしてクラウドコンピューティングが知られている。

　クラウドコンピューティングでは、仮想化技術やデータ分散処理技術などの最新の技術を用いて多くのサーバ群を組み合わせることで、様々なサービスの提供を可能としている。その一方、クラウドコンピューティングでは、数多くのデータが集中して管理されるため、これらのデータを守る、より強固な仕組みが求められている。

　クラウドコンピューティングを用いて提供される数多くのサービスをユーザが利用する場合、一般に、サービス側がユーザ認証を行って利用権限のあるユーザのみアクセスを許可する方法が用いられる。例えば、サービスを利用するユーザがインターネットブラウザ等を介してＩＤとパスワードを入力すると、サービス側では、そのＩＤとパスワードの認証を行い、サービスの利用可否を判断する。

　また、ユーザの識別情報を記憶するＩＣチップが内蔵されたＩＣカードをカードリーダに読み取らせることで、ユーザを認証する方法も知られている。また、ＩＣカードの利用者が正当な利用者であることを担保するため、ＩＣカードの読み取りとともにパスワードを要求する方法も知られている。

　このような認証システムの一例が特許文献１に記載されている。特許文献１に記載された認証システムは、利用者端末が、ＩＣカードリーダと、ＩＣカードリーダを制御してＩＣカードから利用者ＩＤを読み取るためのＩＤ読取プログラムを記憶する記憶装置とを備えている。そして、サービスを提供するポータルサーバが、ＩＤ読取プログラムを起動するコマンドを利用者端末に送信すると、利用者端末は、ＩＣカードリーダから利用者ＩＤを取得し、取得した利用者ＩＤをポータルサーバに送信する。ポータルサーバは、利用者端末から送信される利用者ＩＤに基づいて利用者の認証を行う。また、特許文献１に記載された認証システムは、利用者ＩＤを表示するとともに利用者の認証情報を入力する認証画面を表示して、パスワードを入力させる。

特開２００８－９７２０５号公報

　クラウドコンピューティングによるサービスは、様々な場所から利用できるメリットがある反面、認証に必要な情報が漏洩してしまうと、どこからでも不正アクセスされる恐れがある。このような不正アクセスが行われると、クラウド上の情報が漏洩してしまうという問題がある。

　ウェブブラウザ等に入力する利用者のＩＤは、利用者に配布することが容易な一方で、非常に漏洩しやすい情報である。すなわち、そのＩＤで識別される利用者以外の他人であっても、そのＩＤを使用することが可能である。そのため、他人がそのＩＤを入手すると、そのＩＤで識別される利用者に容易になりすますことが可能である。

　また、認証に使用されるパスワードも、漏洩の可能性がある情報であり、また、利用者の属性等からも推測可能な情報である。したがって、そのパスワードが利用者以外の他人に入手されてしまうと、その利用者に成り代わってサービスが不正に利用されてしまうおそれがある。

　一方、ＩＣカードのような物理的な媒体を利用する認証方法では、その媒体がなければ認証が行われないため、セキュリティを向上させる上で非常に有効な方法である。すなわち、ＩＤやパスワードのような、いわゆるソフトウェア的な情報は、他人が入手しやすい情報である一方、ＩＣカードのように物理的に存在するものは、他人の入手が困難なものであると言える。

　しかし、盗難や紛失等によりＩＣカードが他人の手に渡ってしまう場合も考えられる。この場合、例えば、利用が許可されていないカードリーダ等を介してＩＣカード内のＩＤが読み取られることで、不正に個人認証が行われ、本人に成り代わってクラウド上のサービスにアクセス出来てしまうことになる。

　特許文献１に記載された認証システムのように、ＩＣカードによる個人認証と合わせてパスワードの入力を求めることで、他人の不正アクセスをある程度回避することは可能である。しかし、上述したように、パスワードも他人が入手しやすい情報であるため、ＩＣカードとパスワードの組合せだけでは、十分なセキュリティを確保できるとは言い難い。そのため、利用者個人の認証だけでなく、利用者が現実に利用する環境まで含めた高度な認証制御が望まれる。

　さらに、クラウドコンピューティングでは様々なサービスが提供される。各サービスで必要とされる認証のレベルは一般に異なるため、各サービスの認証方法も動的に変更できることが望ましい。

　そこで、本発明は、利用者がサービスを利用する環境に応じた高度な認証制御を動的に行うことができる認証システム、認証サーバ、認証方法および認証用プログラムを提供することを目的とする。

　本発明による認証システムは、サービスを利用する利用者の認証を行う認証サーバと、認証サーバに対して、サービスの認証要求を行う認証要求端末とを備え、認証要求端末が、サービスを利用する利用者の認証に用いられる媒体または装置を一意に識別可能な識別情報である物理ＩＤと、各媒体または各装置の種類ごとに定められる識別情報であるサービスＩＤとを認証サーバへ送信する識別情報送信手段を備え、認証サーバが、受信した各サービスＩＤの正当性を判定する正当性判定手段と、受信した物理ＩＤに基づいて、その物理ＩＤで識別される媒体または装置を利用したサービスの利用可否を判定するサービス利用可否判定手段と、媒体または装置を利用したサービスの利用が可能と判定された場合、受信したサービスＩＤのうち利用者による一認証要求を識別可能な１つ以上のサービスＩＤの組合せをキーＩＤとして、少なくともサービスＩＤおよび正当性判定手段によるそのサービスＩＤの判定結果をそのキーＩＤと対応づけて認証情報記憶手段に記憶する認証情報管理手段と、少なくともサービスＩＤの組合せに応じてサービスの利用可能範囲を定めたポリシに基づいて、認証情報記憶手段に記憶されたキーＩＤに対応づけられたサービスＩＤおよびそのサービスＩＤの判定結果から、利用者が利用するサービスの利用権限を判定する利用権限判定手段とを備え、認証要求端末の識別情報送信手段が、認証に用いられる１つ以上の媒体または装置のうち予め定められた媒体または装置の物理ＩＤと、その認証に用いられる媒体または装置における予め定められた１つ以上のサービスＩＤとを認証サーバへ送信することを特徴とする。

　本発明による認証サーバは、サービスの認証要求を行う認証要求端末から、そのサービスを利用する利用者の認証に用いられる媒体または装置を一意に識別可能な識別情報である物理ＩＤと、各媒体または各装置の種類ごとに定められる識別情報であるサービスＩＤとを受信したときに、その各サービスＩＤの正当性を判定する正当性判定手段と、受信した物理ＩＤに基づいて、その物理ＩＤで識別される媒体または装置を利用したサービスの利用可否を判定するサービス利用可否判定手段と、媒体または装置を利用したサービスの利用が可能と判定された場合、受信したサービスＩＤのうち利用者による一認証要求を識別可能な１つ以上のサービスＩＤの組合せをキーＩＤとして、少なくともサービスＩＤおよび正当性認判定手段によるそのサービスＩＤの判定結果をそのキーＩＤと対応づけて認証情報記憶手段に記憶する認証情報管理手段と、少なくともサービスＩＤの組合せに応じてサービスの利用可能範囲を定めたポリシに基づいて、認証情報記憶手段に記憶されたキーＩＤに対応づけられたサービスＩＤおよびそのサービスＩＤの判定結果から、利用者が利用するサービスの利用権限を判定する利用権限判定手段とを備えたことを特徴とする。

　本発明による認証方法は、サービスを利用する利用者の認証を行う認証サーバに対して、サービスの認証要求を行う認証要求端末が、そのサービスを利用する利用者の認証に用いられる媒体または装置を一意に識別可能な識別情報である物理ＩＤと、各媒体または各装置の種類ごとに定められる識別情報であるサービスＩＤとを認証サーバへ送信し、認証サーバが、受信した各サービスＩＤの正当性を判定し、認証サーバは、受信した物理ＩＤに基づいて、その物理ＩＤで識別される媒体または装置を利用したサービスの利用可否を判定し、認証サーバが、媒体または装置を利用したサービスの利用が可能と判定された場合、受信したサービスＩＤのうち利用者による一認証要求を識別可能な１つ以上のサービスＩＤの組合せをキーＩＤとして、少なくともサービスＩＤおよびそのサービスＩＤの正当性の判定結果をそのキーＩＤと対応づけて認証情報記憶手段に記憶し、認証サーバが、少なくともサービスＩＤの組合せに応じてサービスの利用可能範囲を定めたポリシに基づいて、認証情報記憶手段に記憶されたキーＩＤに対応づけられたサービスＩＤおよびそのサービスＩＤの判定結果から、利用者が利用するサービスの利用権限を判定し、認証要求端末が、物理ＩＤおよびサービスＩＤを送信する際、認証に用いられる１つ以上の媒体または装置のうち予め定められた媒体または装置の物理ＩＤと、その認証に用いられる媒体または装置における予め定められた１つ以上のサービスＩＤとを認証サーバへ送信することを特徴とする。

　本発明による認証用プログラムは、コンピュータに、サービスの認証要求を行う認証要求端末から、そのサービスを利用する利用者の認証に用いられる媒体または装置を一意に識別可能な識別情報である物理ＩＤと、各媒体または各装置の種類ごとに定められる識別情報であるサービスＩＤとを受信したときに、その各サービスＩＤの正当性を判定する正当性判定処理、受信した物理ＩＤに基づいて、その物理ＩＤで識別される媒体または装置を利用したサービスの利用可否を判定するサービス利用可否判定処理、媒体または装置を利用したサービスの利用が可能と判定された場合、受信したサービスＩＤのうち利用者による一認証要求を識別可能な１つ以上のサービスＩＤの組合せをキーＩＤとして、少なくともサービスＩＤおよびそのサービスＩＤの正当性の判定結果をそのキーＩＤと対応づけて認証情報記憶手段に記憶する認証情報管理手処理、および、少なくともサービスＩＤの組合せに応じてサービスの利用可能範囲を定めたポリシに基づいて、認証情報記憶手段に記憶されたキーＩＤに対応づけられたサービスＩＤおよびそのサービスＩＤの判定結果から、利用者が利用するサービスの利用権限を判定する利用権限判定処理を実行させることを特徴とする。

　本発明によれば、利用者がサービスを利用する環境に応じた高度な認証制御を動的に行うことができる。

本発明による認証システムの第１の実施形態の構成例を示すブロック図である。 データの流れの一例を示す説明図である。 データの流れの他の一例を示す説明図である。 第１の実施形態の認証システムの認証処理の例を示すシーケンス図である。 第１の実施形態の認証システムの認証処理の他の例を示すシーケンス図である。 第１の実施形態の認証システムの認証処理のさらに他の例を示すシーケンス図である。 本発明による認証システムの第２の実施形態の構成例を示すブロック図である。 本発明による認証システムを適用したクラウドシステムの例を示す説明図である。 利用者がＤａａＳサービスを利用する場合の認証システムの動作例を示すシーケンス図である。 利用者がプリンティングサービスを利用する場合の認証システムの動作例を示すシーケンス図である。 端末からＩＤ認証層に情報を送信する動作例を示す説明図である。 本発明による認証システムの最小構成の例を示すブロック図である。 本発明による認証サーバの最小構成の例を示すブロック図である。

　以下、本発明の実施形態を図面を参照して説明する。

実施形態１．
　図１は、本発明による認証システムの第１の実施形態の構成例を示すブロック図である。本実施形態による認証システムは、認証サーバ１０と、端末２０とを備えている。認証サーバ１０は、連携サービス６０を利用する利用者の認証を行う。また、端末２０は、認証サーバ１０に対して、連携サービス６０の認証要求を行う。なお、以下の説明では、連携サービス６０のことを、単にサービスと記すこともある。

　なお、図１には、認証システムが端末２０を１台備えている場合を例示しているが、端末２０の台数は１台に限定されず、２台以上であってもよい。また、図１には、認証システムが認証サーバ１０を１台備えている場合を例示しているが、認証サーバ１０の台数は１台に限定されず、２台以上であってもよい。この場合、処理負荷や接続される端末２０の台数に応じて、認証サーバ１０ごとに、後述する処理を振り分けるようにしてもよい。各認証サーバ１０と各端末２０とは、通信ネットワーク１００を介して相互に接続される。

　端末２０は、識別情報抽出手段２１と、認証要求指示手段２２と、識別情報記憶手段２３とを含む。また、図１に例示する認証システムでは、識別情報記憶手段３１を備える端末内蔵装置３０が端末２０に内蔵されている。また、図１に例示する認証システムでは、識別情報記憶手段４１を備える外部接続装置４０が端末２０に接続されている。以下の説明では、端末２０に内蔵されている端末内蔵装置３０の状態を、端末２０に接続されていると記すこともある。なお、識別情報記憶手段３１および識別情報記憶手段４１の内容については、後述する。

　本実施形態における端末２０には、端末内蔵装置３０または外部接続装置４０のうち少なくとも１つが接続されていればよい。また、端末内蔵装置３０と外部接続装置４０のいずれも端末２０に接続されていてもよい。また、端末内蔵装置３０および外部接続装置４０の台数は１台に限定されず、それぞれ２台以上端末２０に接続されていてもよい。また、各端末内蔵装置３０および各外部接続装置４０の機能は同一であってもよく、異なっていてもよい。端末内蔵装置３０および外部接続装置４０は、例えば、後述するＩＣカード５０が備える識別情報記憶手段５１に記憶された情報の読み書きを行うカードリーダライタにより実現される。

　ＩＣカード５０は、識別情報記憶手段５１を備えている。ＩＣカード５０は、本実施形態よる認証システムを介して提供されるサービスを利用する利用者の識別に用いられる。すなわち、ＩＣカード５０は、利用者の認証に用いられる媒体ということができる。

　識別情報記憶手段５１は、利用者の識別情報を記憶する。例えば、端末内蔵装置３０または外部接続装置４０と、ＩＣカード５０とが、Ｍｉｆａｒｅ（登録商標）などの規格を用いて非接触通信を行うことで、識別情報記憶手段５１に記憶された各情報が端末２０に送信される。ただし、端末内蔵装置３０または外部接続装置４０と、ＩＣカード５０との通信方法は、Ｍｉｆａｒｅによる規格を用いる方法に限定されない。

　本実施形態では、利用者の識別にＩＣカードを利用する場合を例に説明するが、利用者の識別に用いられる媒体または装置の形態は、ＩＣカードに限定されない。例えば、携帯端末などの装置に識別情報記憶手段５１を内蔵させることで、利用者は、その携帯端末を本実施形態におけるＩＣカード５０と同様に利用することが可能になる。

　また、識別情報記憶手段５１は、高い耐タンパ性を有することが望ましい。そこで、本実施形態における識別情報記憶手段５１は、認証されたＬＳＩ（Large Scale Integration 。以下、認証ＬＳＩと記す。）により実現されるものとする。認証ＬＳＩは、例えば、マイクロコントローラチップにより実現される。

　各認証ＬＳＩには、固有の識別情報が付与されており、この識別情報により認証ＬＳＩを備える媒体および端末を一意に識別することが可能になる。また、認証ＬＳＩは、各データを暗号化した状態で保持しており、各装置とのデータの授受は、データが暗号化された状態で行われる。すなわち、利用者の識別情報は、暗号化された状態で認証ＬＳＩに記憶される。なお、暗号化された情報の復号方法は、後述するサービスＩＤ認証手段１１が認識しており、正当な情報は、サービスＩＤ認証手段１１により復号されることになる。

　認証ＬＳＩに付与された固有の識別情報は、書き換え不可能な情報であり、改竄不可能な情報である。また、認証ＬＳＩが記憶する情報は、後から書き換え可能な情報であるが、暗号化されて記憶される情報であるため、やはり改竄不可能な情報であるといえる。このように、本実施形態で利用する認証ＬＳＩは、一意性を担保する書き換え不可能な情報と、暗号化された書き換え可能な情報とをセットで有しているものであるといえる。

　また、上述した識別情報記憶手段３１および識別情報記憶手段４１も、識別情報記憶手段５１と同様、認証ＬＳＩにより実現される。すなわち、識別情報記憶手段３１に付与された認証ＬＳＩ固有の識別情報により、端末内蔵装置３０が一意に識別される。同様に、識別情報記憶手段４１に付与された認証ＬＳＩ固有の識別情報により、端末内蔵装置４０が一意に識別される。このように、本実施形態では、認証に用いられる端末内蔵装置３０や端末内蔵装置４０、ＩＣカード５０は、それぞれに認証ＬＳＩを備えており、各認証ＬＳＩに付与された固有の識別情報から、各装置または各媒体を識別することができる。以下、サービスを利用する利用者の認証に用いられるこれらの媒体（例えば、ＩＣカード５０）または装置（例えば、端末内蔵装置３０や端末内蔵装置４０）が備える認証ＬＳＩを一意に識別可能な識別情報を、物理ＩＤと記す。上述の通り、物理ＩＤは、書き換え不可能な情報である。また、この物理ＩＤの一意性は、例えば、各ベンダーにより担保される。

　識別情報記憶手段５１に利用者の識別情報が記憶されるのと同様に、識別情報記憶手段３１および識別情報記憶手段４１には、各装置の種類ごとに定められる識別情報が記憶される。例えば、識別情報記憶手段３１が、カードリーダライタの場合、識別情報記憶手段３１は、識別情報としてカードリーダライタＩＤを記憶する。識別情報記憶手段３１または識別情報記憶手段４１に記憶された装置の識別情報や、識別情報記憶手段５１に記憶された利用者の識別情報は、後述する利用権限判定手段１４が、サービスの利用権限を判定する際に利用される。そのため、以下、各媒体または各装置の種類ごとに定められる識別情報を、サービスＩＤと記す。

　例えば、利用者が端末内蔵装置３０（または外部接続装置４０）で実現されるカードリーダライタにＩＣカード５０をかざすと、識別情報記憶手段５１に記憶された物理ＩＤとサービスＩＤとが端末内蔵装置３０（または外部接続装置４０）に送信される。言い換えると、端末内蔵装置３０（または外部接続装置４０）は、識別情報記憶手段５１に記憶された物理ＩＤとサービスＩＤとを読み取る。端末内蔵装置３０（または外部接続装置４０）の制御部（図示せず）は、受信した物理ＩＤおよびサービスＩＤを、認証要求指示手段２２に通知する。

　識別情報記憶手段２３は、端末の識別情報を記憶する。本実施形態における識別情報記憶手段２３も、識別情報記憶手段５１と同様、認証ＬＳＩにより実現される。すなわち、識別情報記憶手段２３に付与された認証ＬＳＩ固有の識別情報により、端末２０が一意に識別される。

　認証要求指示手段２２は、各装置（具体的には、端末２０、端末内蔵装置３０または外部接続装置４０）が備える識別情報記憶手段からサービスＩＤを抽出するよう、識別情報抽出手段２１に対して指示する。なお、認証要求指示手段２２は、識別情報抽出手段２１に各装置から物理ＩＤを抽出するよう指示してもよい。

　認証要求指示手段２２は、端末固有の情報（例えば、機器構成、認証ＬＳＩ構成、データ構成等）を保持している。サービスＩＤを抽出する対象の装置は、端末固有の情報に基づいて、例えば、設定ファイル等に予め定められる。認証要求指示手段２２は、その設定ファイルの内容にしたがって、識別情報抽出手段２１にサービスＩＤの抽出指示を行ってもよい。

　また、認証要求指示手段２２は、例えば、ＩＣカード５０から読み取った物理ＩＤおよびサービスＩＤを通知されたときに、識別情報抽出手段２１に対してサービスＩＤの抽出指示を行ってもよい。また、認証要求指示手段２２は、端末２０の電源が入れられたときに、識別情報抽出手段２１に対してサービスＩＤの抽出指示を行ってもよい。ただし、認証要求指示手段２２がサービスＩＤの抽出指示を行うタイミングは、上記タイミングに限定されない。サービスＩＤの抽出指示を行うタイミングは、利用されるサービスごとに予め定めておけばよい。

　また、他にも、認証要求指示手段２２は、認証サーバ１０からの要求に応じて、人間の身体的特徴または行動的特徴により特定される利用者の識別情報（例えば、指紋や静脈の特徴点や、顔画像の特徴点など）を認証サーバ１０に送信してもよい。これらの情報を送信することで、認証の選択肢を広げることが可能になる。

　なお、認証要求指示手段２２は、プログラムに従って動作するコンピュータのＣＰＵによって実現される。例えば、このプログラムは、端末２０の記憶部（図示せず）に記憶され、ＣＰＵは、そのプログラムを読み込み、プログラムに従って、認証要求指示手段２２として動作してもよい。

　識別情報抽出手段２１は、認証要求指示手段２２による指示に応じて、各装置（具体的には、端末２０、端末内蔵装置３０または外部接続装置４０）が備える識別情報記憶手段からサービスＩＤを抽出する。なお、本実施形態では、識別情報抽出手段２１は、暗号化された状態で各媒体または各装置の認証ＬＳＩに記憶されているサービスＩＤを読み取る。そして、識別情報抽出手段２１は、抽出したサービスＩＤの認証要求を物理ＩＤとともに認証サーバ１０に送信する。なお、識別情報抽出手段２１が送信する物理ＩＤの対象は、要求するサービスに応じて予め定められている。すなわち、識別情報抽出手段２１は、予め定められた物理ＩＤと１つ以上のサービスＩＤとを認証サーバ１０へ送信する。

　なお、ここで送信されるサービスＩＤは、暗号化され、秘匿化された情報であることから、認証サーバ１０に送信されるこの情報のことを秘匿暗号化情報と記すこともある。本実施形態では、識別情報抽出手段２１は、ＩＣカード５０に付与された識別情報記憶手段５１の識別情報を物理ＩＤとして認証サーバ１０に送信するものとする。

　識別情報抽出手段２１は、プログラムに従って動作するコンピュータのＣＰＵによって実現される。また、このプログラムは、例えば、端末２０に接続された各装置の制御を行うドライバや、下位のデバイスに依存する違いを吸収し、サービスや端末に依存しない共通のモジュールなどにより実現される。このようなモジュールを利用することで、新たな機器を追加する際、本モジュールを改修するだけで、上位のプログラムとのインタフェースを変更せずに、追加した機器からサービスＩＤの抽出を行うことが可能になる。

　認証サーバ１０は、サービスＩＤ認証手段１１と、利用サービス判定手段１２と、認証情報管理手段１３と、利用権限判定手段１４と、認証情報記憶手段１５と、ポリシ記憶手段１６と、管理情報記憶手段１７とを含む。

　サービスＩＤ認証手段１１は、識別情報抽出手段２１から認証要求を受信すると、受信したサービスＩＤごとに正当性を判定する。また、サービスＩＤ認証手段１１は、暗号化されたサービスＩＤを復号する。具体的には、サービスＩＤ認証手段１１は、端末２０から送信された秘匿暗号化情報を復号することにより、送信されたサービスＩＤが所定の認証ＬＳＩから送信された情報か否かを判定する。そして、サービスＩＤ認証手段１１は、所定の認証ＬＳＩから送信された情報である場合に、そのサービスＩＤを正当であると判定する。サービスＩＤ認証手段１１は、認証ＬＳＩの正当性を、例えば、認証ＬＳＩと認証サーバ１０との間で証明書を相互交換することで判定してもよい。

　なお、認証の対象とするサービスＩＤは、物理的な媒体または装置を識別する情報を意味することから、以下の説明では、サービスＩＤ認証手段１１がサービスＩＤの正当性を判定することを物理認証または物理真贋認証と記すこともある。

　そして、サービスＩＤ認証手段１１は、サービスＩＤごとに正当性の判定結果（以下、認証結果と記すこともある。）を付加した情報および物理ＩＤを利用サービス判定手段１２に通知する。サービスＩＤ認証手段１１は、例えば、ある機器について復号できたサービスＩＤには、判定結果として「真」を示す情報を付加し、復号に失敗したサービスＩＤには、判定結果として「偽」を示す情報を付加してもよい。そして、サービスＩＤ認証手段１１は、各サービスＩＤにこれらの判定結果を付加した情報を利用サービス判定手段１２に通知する。なお、この判定結果のことを、物理認証ステータスと記すこともある。

　なお、どのサービスＩＤを認証対象とするかについては、端末２０と認証サーバ１０との間で予め情報が共有される。

　管理情報記憶手段１７は、サービスの利用を許可する媒体または装置を識別する物理ＩＤの一覧を記憶する。また、管理情報記憶手段１７は、使用することが想定されるサービスＩＤの一覧を記憶していてもよい。管理情報記憶手段１７が記憶する物理ＩＤは、後述する利用サービス判定手段１２による判定に用いられる。また、管理情報記憶手段１７が記憶するサービスＩＤは、後述する認証情報管理手段１３による判定に用いられる。

　利用サービス判定手段１２は、サービスＩＤ認証手段１１から受信した物理ＩＤに基づいて、その物理ＩＤで識別される媒体または装置を利用したサービスの利用可否を判定する。

　具体的には、利用サービス判定手段１２は、受信した物理ＩＤが管理情報記憶手段１７に記憶されている場合に、その物理ＩＤで識別される媒体または装置を利用したサービスの利用を可と判定する。そして、利用サービス判定手段１２は、サービスＩＤ認証手段１１から受信したサービスＩＤおよび認証結果を認証情報管理手段１３に送信する。なお、利用サービス判定手段１２は、受信した物理ＩＤの判定結果に基づいて認証情報管理手段１３にサービスＩＤを送信することから、利用サービス判定手段１２が行う処理をＩＤハンドリングと記すこともある。

　一方、受信した物理ＩＤが管理情報記憶手段１７に記憶されていない場合、利用サービス判定手段１２は、その物理ＩＤで識別される媒体または装置を利用したサービスの利用を不可と判定する。そして、利用サービス判定手段１２は、サービス利用不可を示すエラー情報を端末２０に通知する。なお、エラーを受信した端末２０は、サービス利用不可を示す情報を、ディスプレイ等の表示部（図示せず）に表示してもよい。

　認証情報記憶手段１５は、端末２０から送信された一回の認証要求に含まれるサービスＩＤおよび認証結果を対応づけて記憶する。本実施形態では、端末２０から受信するサービスＩＤのうち、利用者によって行われた一回の認証要求を識別可能な１つ以上のサービスＩＤの組合せを予めキーＩＤと定めておく。すなわち、キーＩＤは、受信したサービスＩＤのうち利用者による一認証要求を識別可能な１つ以上のサービスＩＤの組合せといえる。例えば、端末２０から受信するサービスＩＤのうち、サービスを利用する利用者の識別情報を予めキーＩＤと定めておく。このとき、認証情報記憶手段１５は、他のサービスＩＤおよび認証結果をキーＩＤである利用者の識別情報と対応づけて記憶する。ただし、キーＩＤとして選択されるサービスＩＤは、利用者の識別情報に限定されない。

　なお、以下の説明では、キーＩＤとして選択されたサービスＩＤだけでなく、キーＩＤとして選択されたサービスＩＤと、そのサービスＩＤを記憶する媒体または装置を識別する物理ＩＤとを組み合わせた情報のこともキーＩＤと記すことがある。また、物理ＩＤとサービスＩＤとは一対一に対応することから、キーＩＤとして選択されたサービスＩＤに対応する物理ＩＤのことをキー物理ＩＤと記すこともある。

　また、認証情報記憶手段１５は、サービスＩＤおよび認証結果以外にも、利用者によって行われた認証要求に関連する他の情報をキーＩＤと対応付けて記憶してもよい。他の情報には、例えば、利用者が認証要求に利用したネットワークを識別する情報（以下、ネットワーク識別情報と記す。）や、利用者が認証を要求した日時、認証処理が行われた日時や、これらの情報が認証情報記憶手段１５に登録された日時などが含まれる。また、ネットワーク識別情報には、ネットワーク上の経路や、経由した装置の情報などが含まれる。以下、サービスＩＤおよび認証結果以外のこれらの情報を、キーＩＤの属性情報と記すこともある。

　さらに、認証情報記憶手段１５は、サービスの要求を行った利用者に関する複数の識別情報を記憶してもよい。認証情報記憶手段１５は、例えば、利用者の顔画像から抽出される特徴点や、利用者の指紋や静脈などから抽出される特徴点など、人間の身体的特徴または行動的特徴により特定される利用者の識別情報を、認証要求を行った利用者と対応付けて記憶してもよい。

　認証情報管理手段１３は、利用サービス判定手段１２から受信したサービスＩＤおよび認証結果を認証情報記憶手段１５に記憶する。具体的には、認証情報管理手段１３は、利用サービス判定手段１２が受信した物理ＩＤで識別される媒体または装置を利用したサービスの利用を可と判定した場合、端末２０から送信された一回の認証要求に含まれるサービスＩＤおよび認証結果を対応づけて認証情報記憶手段１５に記憶する。

　なお、認証情報管理手段１３が認証情報記憶手段１５に記憶する情報は、サービスＩＤおよび認証結果に限定されない。認証情報管理手段１３は、ネットワーク識別情報や、認証要求日時などの情報を認証情報記憶手段１５に記憶してもよい。

　また、連携サービス６０側（具体的には、サービスを提供する装置）から認証サーバ１０に対して認証要求が行われた場合、認証情報管理手段１３は、その装置にサービスＩＤを通知してもよい。具体的には、連携サービス６０側から利用者の識別情報や、要求する情報を指定して認証要求が行われた場合、認証情報管理手段１３は、認証要求によって識別される情報を認証情報記憶手段１５から抽出し、サービスを提供する装置に抽出した情報を返却してもよい。

　また、利用サービス判定手段１２から受信した情報から特定されるキーＩＤと同一のキーＩＤが、すでに認証情報記憶手段１５に記憶されている場合がある。このとき、認証情報管理手段１３は、もとの情報を受信した情報で更新してもよい。すなわち、認証情報管理手段１３は、認証情報記憶手段１５へ既に記憶されている同一のキーＩＤで識別される認証要求を受信した時に、そのキーＩＤに対応する情報を認証要求に含まれる情報で更新してもよい。このようにすることで、新しい情報を優先して認証処理を行うことができる。

　また、認証情報管理手段１３は、認証情報記憶手段１５に記憶されてから一定期間が経過した情報を削除してもよい。また、認証情報管理手段１３は、認証情報記憶手段１５に記憶されている情報に対する明示的な削除指示を受信したときに、その削除指示で特定される情報を削除してもよい。例えば、端末２０から送信された一回の認証要求が利用者の識別情報をキーＩＤとして特定される場合、認証情報管理手段１３は、そのキーＩＤで識別される認証要求情報を認証情報記憶手段１５から削除すればよい。このようにすることで、古くなった情報が認証処理に用いられることを抑止できる。

　また、認証情報管理手段１３は、受信したサービスＩＤが管理情報記憶手段１７に記憶されているか否か判断してもよい。受信した受信したサービスＩＤが管理情報記憶手段１７に記憶されている場合に、認証情報管理手段１３は、そのサービスＩＤを認証情報記憶手段１５に記憶するようにしてもよい。一方、受信した受信したサービスＩＤが管理情報記憶手段１７に記憶されていない場合に、認証情報管理手段１３は、サービスＩＤが存在しない旨を示すエラー情報を端末２０に通知してもよい。このとき、エラーを受信した端末２０は、サービスＩＤが存在しない旨を示す情報を、ディスプレイ等の表示部（図示せず）に表示してもよい。

　以下の説明では、認証情報管理手段１３が行う処理をまとめて、ＩＤ認証／管理と記すこともある。

　ポリシ記憶手段１６は、少なくともサービスＩＤまたは認証結果との組合せに応じてサービスの利用可能範囲を規定したポリシを記憶する。サービスの利用可能範囲には、サービスの利用可否を示す情報や、そのサービスにおける特定の機能が利用可能であることを示す情報が含まれる。

　ポリシは、サービスＩＤまたは認証結果のいずれか一方を用いて規定されていてもよく、両方を用いて規定されていてもよい。また、ポリシを規定する要素は、サービスＩＤおよび認証結果に限定されない。ポリシは、利用者によるサービス認証要求が行われた経路や時間を用いて規定されていてもよい。なお、ポリシを規定するサービスＩＤや認証結果は、少なくとも認証情報記憶手段１５に記憶された情報の中に含まれている必要がある。

　利用権限判定手段１４は、ポリシ記憶手段１６に記憶されたポリシに基づいて、認証情報記憶手段１５に記憶されたキーＩＤに対応づけられたサービスＩＤおよび認証結果から利用者のサービス利用権限を判定する。

　具体的には、キーＩＤに対応づけられたサービスＩＤの中には、利用者を識別可能な情報も含まれている。そのため、利用権限判定手段１４は、認証情報記憶手段１５に記憶された利用者によるサービスの認証要求を示す各情報が、ポリシで規定されたサービスを利用するための要件を満たしているか否か判定する。

　例えば、ポリシにネットワークや時間を示す情報が含まれている場合、利用権限判定手段１４は、そのポリシに基づいて、認証情報記憶手段１５に記憶されたネットワークや時間を示す情報から、利用者が利用するサービスの利用権限を判定してもよい。そして、利用権限判定手段１４は、サービスの利用可否を示す判定結果を、問合せ元に通知する。また、認証情報記憶手段１５に人間の身体的特徴または行動的特徴により特定される利用者の識別情報が含まれている場合、利用権限判定手段１４は、それらの情報を利用権限の判定に利用してもよい。

　利用者のサービス利用権限の認証要求は、端末２０から行われる場合と、サービス６０側（具体的には、サービスを提供する装置）から行われる場合がある。端末２０から認証要求が行われた場合、利用権限判定手段１４は、判定結果を端末２０に通知する。サービス６０側から認証要求が行われた場合、利用権限判定手段１４は、サービスを提供する装置に判定結果を通知する。

　利用者による認証要求がポリシで規定された要件を満たしている場合、利用権限判定手段１４は、利用者がそのサービスを利用可能であると判定する。例えば、この認証要求が端末２０から行われた場合、利用権限判定手段１４は、端末２０に対して、サービスが利用可能であることを示す情報を端末２０に通知してもよい。

　一方、利用者による認証要求がポリシで規定された要件を満たしていない場合、利用権限判定手段１４は、利用者がそのサービスを利用不可であると判定する。例えば、この認証要求が端末２０から行われた場合、利用権限判定手段１４は、端末２０に対して、サービスが利用不可であることを示す情報を端末２０に通知してもよい。なお、以下の説明では、利用権限判定手段１４が行う処理を認証サービスと記すこともある。

　サービスＩＤ認証手段１１と、利用サービス判定手段１２と、認証情報管理手段１３と、利用権限判定手段１４とは、プログラム（認証用プログラム）に従って動作するコンピュータのＣＰＵによって実現される。例えば、プログラムは、認証サーバ１０の記憶部（図示せず）に記憶され、ＣＰＵは、そのプログラムを読み込み、プログラムに従って、サービスＩＤ認証手段１１、利用サービス判定手段１２、認証情報管理手段１３、及び利用権限判定手段１４として動作してもよい。また、サービスＩＤ認証手段１１と、利用サービス判定手段１２と、認証情報管理手段１３と、利用権限判定手段１４とは、それぞれが専用の装置で実現されていてもよい。

　また、認証情報記憶手段１５と、ポリシ記憶手段１６と、管理情報記憶手段１７とは、それぞれ、磁気ディスクや、ハードディスク装置により実現される。また、認証情報記憶手段１５と、ポリシ記憶手段１６と、管理情報記憶手段１７とは、それぞれが別の装置に備えられていてもよく、同一の装置に備えられていてもよい。

　次に、本実施形態における認証システムで使用されるデータの流れを説明する。図２は、データの流れの一例を示す説明図である。図２に例示する白抜き文字で記載されたサービスＩＤは、認証される前の暗号化されたデータを示す。また、黒文字で記載されたサービスＩＤは、認証後の復号されたデータを示す。また、ここでのキーＩＤは、ＩＣカードまたは認証ＬＳＩに記憶されたサービスＩＤとする。

　端末２０は、ＩＣカードまたは認証ＬＳＩから物理ＩＤと暗号化されたサービスＩＤを読み取る。また、端末２０は、端末内に組み込まれたモジュールのサービスＩＤも読み取る。そして、端末２０は、物理ＩＤと暗号化されたサービスＩＤとを予め定義された順番で認証サーバ１０に送信する。

　物理認証を行うサービスＩＤ認証手段１１は、暗号化されたサービスＩＤを復号することで、サービスＩＤの正当性について判定（すなわち、認証処理）を行う。サービスＩＤ認証手段１１は、判定結果を物理認証ステータスに設定し、利用サービス判定手段１２に送信する。

　ＩＤハンドリングを行う利用サービス判定手段１２は、物理ＩＤに基づいてサービスの利用可否を判定する。利用サービス判定手段１２は、サービスの利用を可能と判断した場合、サービスＩＤと物理認証ステータスとを認証情報管理手段１３に送信する。

　ＩＤ認証／管理を行う認証情報管理手段１３は、利用サービス判定手段１２から受信したサービスＩＤと物理認証ステータス、および、キーＩＤの属性情報を認証情報記憶手段１５に記憶する。

　認証サービスを行う利用権限判定手段１４は、予め定めたポリシに基づいて、利用者が利用するサービスの利用権限を判定する。

　次に、本実施形態における認証システムで使用されるデータの他の流れを説明する。図３は、データの流れの他の一例を示す説明図である。なお、図３で示す各項目の内容は、図２で示す内容と同様である。なお、ここでは、ＩＣカードまたはＲＦＩＤ（Radio Frequency IDentification）タグには物理ＩＤのみ記憶され、サービスＩＤは記憶されていないものとする。そのため、キーＩＤは、物理ＩＤ（すなわち、キー物理ＩＤのみ）である。

　この処理は、例えば、認証用カードとして安価なＩＣカードまたはＲＦＩＤタグが選択された場合に行われる。

　端末２０は、ＩＣカードまたはＲＦＩＤタグから物理ＩＤを読み取る。また、端末２０は、端末内に組み込まれたモジュールのサービスＩＤも読み取る。そして、端末２０は、物理ＩＤと暗号化されたサービスＩＤとを予め定義された順番で認証サーバ１０に送信する。

　物理認証を行うサービスＩＤ認証手段１１は、サービスＩＤの正当性について判定（すなわち、認証処理）を行う。また、サービスＩＤ認証手段１１は、物理ＩＤをキーＩＤとして利用するサービスＩＤとしてコピーを行う。なお、ここでの物理認証ステータスには「未実施」を示すステータスを設定しておけばよい。そして、サービスＩＤ認証手段１１は、各サービスＩＤについての判定結果を物理認証ステータスに設定し、利用サービス判定手段１２に送信する。以後の処理は、図２に示すＩＤハンドリング、ＩＤ認証および認証サービスと同様である。

　次に、本実施形態による認証システムの動作を説明する。まず初めに、利用者により端末２０からサービスの認証要求が行われ、その認証結果を端末２０に通知する場合の動作を説明する。なお、利用権限判定手段１４は、利用サービス判定手段１２がサービスの利用を可と判断した場合に、利用権限を判定する処理を行うものとする。図４は、本実施形態による認証システムの認証処理の例を示すシーケンス図である。

　利用者が端末内蔵装置３０または外部接続装置４０にＩＣカード５０をかざしてサービスの認証要求を行うと（ステップＳ１１）、端末内蔵装置３０または外部接続装置４０は、識別情報記憶手段５１に記憶された物理ＩＤとサービスＩＤとを読み取る。そして、端末内蔵装置３０または外部接続装置４０は、この物理ＩＤとサービスＩＤとを認証要求指示手段２２に通知する。

　認証要求指示手段２２は、物理ＩＤおよびサービスＩＤを含む通知を受け取ると、識別情報抽出手段２１に対して、各装置の識別情報記憶手段からサービスＩＤを抽出する指示を行う。この際、認証要求指示手段２２は、識別情報抽出手段２１に対して、キーＩＤとその他認証対象とする媒体または装置のサービスＩＤの順序を指定して抽出指示を行うものとする。本実施形態における認証対象は、ＩＣカード５０と、端末内蔵装置３０または外部接続装置４０である。また、サービスＩＤの順序は、ＩＣカード５０のサービスＩＤ、端末内蔵装置３０または外部接続装置４０のサービスＩＤの順とする。また、キーＩＤは、ＩＣカード５０のサービスＩＤとする。

　識別情報抽出手段２１は、各装置の識別情報記憶手段からサービスＩＤを抽出し、認証サーバ１０のサービスＩＤ認証手段１１に対して物理認証処理の要求を行う（ステップＳ１２）。すなわち、識別情報抽出手段２１がサービスＩＤ認証手段１１にサービスＩＤを送信すると、サービスＩＤ認証手段１１は、そのサービスＩＤごとに正当性を判定する。また、識別情報抽出手段２１は、サービスＩＤ認証手段１１に物理ＩＤを送信する。

　本実施形態では、サービスＩＤ認証手段１１は、ＨＴＴＰ（Hypertext Transfer Protocol ）を用いて正当性の判定結果（認証結果）を利用サービス判定手段１２に転送する（ステップＳ１３）。このとき、サービスＩＤ認証手段１１は、一度の認証契機で使用される情報をひとまとめにして、利用サービス判定手段１２に送信する。

　利用サービス判定手段１２は、サービスＩＤ認証手段１１から受信した物理ＩＤに基づいて、サービスの利用可否を判定する。そして、利用サービス判定手段１２は、判定結果に基づいて、認証情報管理手段１３に認証結果を送信する。すなわち、利用サービス判定手段１２は、ＩＤハンドリングを行う（ステップＳ１４）。

　認証情報管理手段１３は、利用サービス判定手段１２から受信したサービスＩＤおよび認証結果の内容に基づいて、認証情報記憶手段１５に記憶された情報を更新する（ステップ１５）。ここでは、認証情報管理手段１３は、ＩＣカード５０に記憶されたサービスＩＤ（例えば、社員証番号）をキーＩＤとして、利用サービス判定手段１２から受信した情報を認証情報記憶手段１５に記憶する。

　利用権限判定手段１４は、利用サービス判定手段１２がサービス利用可と判断すると、ポリシ記憶手段１６に記憶されたポリシに基づいて、利用者のサービス利用権限を判定する（ステップＳ１６）。そして、利用権限判定手段１４は、サービス利用権限の判定結果を、認証情報管理手段１３、利用サービス判定手段１２、およびサービスＩＤ認証手段１１を介して端末２０に送信する（ステップＳ１７～Ｓ２０）。以降、端末２０がサービスを直接利用して処理が行われる（ステップＳ２１）

　次に、本実施形態による認証システムの他の動作を説明する。ここでは、利用者により端末２０からサービスの認証要求が行われると、その認証結果をサービス側に通知し、サービスが判断した認証結果を端末２０に通知する場合の動作を説明する。図５は、認証処理の他の例を示すシーケンス図である。なお、利用者からの認証要求が行われてから利用権限判定手段１４が利用者のサービス利用権限を判定するステップＳ１１～ステップＳ１６までの処理は、図４に例示する内容と同様であるため、詳細な説明は省略する。

　利用権限判定手段１４は、利用者のサービス利用権限を判定したあと、その判定結果を示す認証情報をサービス側に通知する（ステップＳ２２）。そして、サービス側が認証情報に基づく処理の結果を利用権限判定手段１４に通知すると（ステップＳ２３）、利用権限判定手段１４は、サービスによる処理結果を、認証情報管理手段１３、利用サービス判定手段１２、およびサービスＩＤ認証手段１１を介して端末２０に送信する（ステップＳ１７ａ～Ｓ２０ａ）。以降、端末２０がサービスを直接利用して処理が行われる（ステップＳ２１ａ）。

　次に、本実施形態による認証システムのさらに他の動作を説明する。ここでは、サービスＩＤおよび物理ＩＤの認証のみ行われ、ポリシによるサービス利用権限が判定されない場合の動作を説明する。図６は、認証処理のさらに他の例を示すシーケンス図である。なお、利用者からの認証要求が行われてから、認証情報管理手段１３が受信した情報を認証情報記憶手段１５に記憶するステップＳ１１～ステップＳ１５までの処理は、図４に例示する内容と同様であるため、詳細な説明は省略する。

　認証情報管理手段１３は、認証情報記憶手段１５に情報を記憶したことを示す情報を、利用サービス判定手段１２、およびサービスＩＤ認証手段１１を介して端末２０に通知する（ステップＳ３１～Ｓ３３）。その後、利用権限判定手段１４がサービス側から非同期にサービスＩＤ認証要求を受信すると（ステップＳ３４）、利用権限判定手段１４は、認証情報記憶手段１５に記憶されたサービスＩＤと、ポリシ記憶手段１６に記憶されたポリシとを認証情報管理手段１３に要求する（ステップＳ３５）。認証情報管理手段１３がこれらのＩＤ情報を利用権限判定手段１４に返却すると（ステップＳ３６）、利用権限判定手段１４は、これらの情報に基づいて利用者の認証を行う。そして、利用権限判定手段１４は、判定結果をサービス側に返却する（ステップＳ３７）。

　以上のように、本実施形態によれば、識別情報抽出手段２１が、物理ＩＤとサービスＩＤとを認証サーバ１０へ送信する。具体的には、識別情報抽出手段２１は、認証に用いられる１つ以上の媒体または装置のうち予め定められた媒体または装置の物理ＩＤと、その認証に用いられる媒体または装置における予め定められた１つ以上のサービスＩＤとを認証サーバ１０へ送信する。

　そして、サービスＩＤ認証手段１１は、受信した各サービスＩＤの正当性を判定し、利用サービス判定手段１２は、受信した物理ＩＤに基づいて、その物理ＩＤで識別される媒体または装置を利用したサービスの利用可否を判定する。サービスの利用が可能と判定された場合、認証情報管理手段１３は、少なくともサービスＩＤおよびそのサービスＩＤの正当性の判定結果をキーＩＤと対応づけて認証情報記憶手段１５に記憶する。利用権限判定手段１４は、ポリシに基づいて、認証情報記憶手段１５に記憶されたキーＩＤに対応づけられたサービスＩＤおよびそのサービスＩＤの判定結果から、利用者が利用するサービスの利用権限を判定する。

　そのため、利用者がサービスを利用する環境に応じた高度な認証制御を動的に行うことができる。すなわち、サービスＩＤの正当性の判定に用いる情報は、媒体または装置の認証ＬＳＩに物理的に記憶された情報であり、サービスの利用可否の判定に用いる情報は、媒体または装置に付与された物理ＩＤである。そのため、本実施形態の認証システムは、サービスを利用する環境から特定される情報に基づいて認証制御を行うことができる。

　また、本実施形態の認証システムでは、一意性を担保する書き換え不可能な情報と、暗号化された書き換え可能な情報とを組み合わせて利用している。このように、書き換え可能な情報のみ、または、書き換えが出来ない情報のみを利用する場合と比較し、セキュリティを高めることが出来るとともに、柔軟な認証を行うことが可能になる。

　また、各サービスＩＤの正当性を判定した結果は、認証情報記憶手段１５に記憶される。認証情報記憶手段１５に記憶された情報は、ポリシと比較されることで、サービスの利用権限が判定される。このポリシの内容は、サービスの利用可能範囲に応じて動的に変更が可能である。例えば、一部のサービスＩＤについて正当性を有していない場合であっても、サービス側でそのサービスＩＤの認証が不要と判断する場合には、そのようなポリシを定めておけばよいことになる。ポリシは、認証要求が行われた際に取得可能な情報であれば、任意の要件を設定できる。すなわち、本実施形態の認証システムは、動的に認証制御を行うことが可能になる。

実施形態２．
　次に、本発明による認証システムの第２の実施形態を説明する。第１の実施形態では、利用可能なサービスが特定されている。本実施形態では、利用可能なサービスが複数存在し、利用者がその中から１つのサービスを利用する。

　図７は、本発明による認証システムの第２の実施形態の構成例を示すブロック図である。なお、第１の実施形態と同様の構成については、図１と同一の符号を付し、説明を省略する。本実施形態における認証システムも、認証サーバ１０と、端末２０とを備えている。そして、各認証サーバ１０と各端末２０とは、通信ネットワーク１００を介して相互に接続される。

　端末２０は、識別情報抽出手段２１ａと、認証要求指示手段２２ａと、識別情報記憶手段２３と、選択サービス受付手段２４とを含む。また、本実施形態における認証システムも、識別情報記憶手段３１を備える端末内蔵装置３０と、識別情報記憶手段４１を備える外部接続装置４０とが端末２０に接続されている。すなわち、本実施形態における端末２０は、識別情報抽出手段２１の代わりに識別情報抽出手段２１ａを含み、認証要求指示手段２２の代わりに認証要求指示手段２２ａを含む点において、第１の実施形態における端末２０と異なる。また、本実施形態における端末２０は、選択サービス受付手段２４を含んでいる点において第１の実施形態と異なる。それ以外の内容は、第１の実施形態と同様である。

　認証要求指示手段２２ａは、第１の実施形態における認証要求指示手段２２と同様、各装置が備える識別情報記憶手段からサービスＩＤを抽出するよう、識別情報抽出手段２１ａに対して指示する。また、認証要求指示手段２２ａは、第１の実施形態における認証要求指示手段２２と同様、端末固有の情報を保持している。

　なお、本実施形態では、利用可能なサービスが複数存在するため、サービスＩＤを抽出する対象の装置は、利用者が利用するサービスごとに端末固有の情報に基づいて定められる。以下、サービスを識別する識別子のことをアプリケーションコード、または、アプリＣＤと記す。アプリＣＤは、認証システムが連携するサービスごとに一意になるよう、例えば、認証システムの提供者により予め決定される。このようなアプリＣＤを用いることで、１つのＩＤで複数のサービスを選択的に起動することが可能になる。具体的には、サービスＩＤを抽出する対象の装置は、アプリＣＤと対応付けて、例えば、設定ファイル等に予め定められる。

　すなわち、認証サーバ１０に認証要求を行う際、利用者の識別情報だけでなく、利用者の識別情報にアプリＣＤを付与することで、利用者が利用するサービスを識別できるようになる。

　認証要求指示手段２２ａは、利用者の利用するサービスに応じたサービスＩＤの抽出を識別情報抽出手段２１ａに対して指示する。認証要求指示手段２２ａは、利用者によるサービスの指示方法に基づいて、利用するサービスを判定してもよい。認証要求指示手段２２ａは、例えば、利用者がＩＣカード５０を端末内蔵装置３０または外部接続装置４０にかざしてサービスを要求した場合に、図４に例示する処理を行うサービスを利用者が要求したサービスであると特定してもよい。また、認証要求指示手段２２ａは、例えば、利用者が端末２０の電源を投入した場合に、図６に例示する処理を行うサービスを利用者が要求したサービスであると特定してもよい。なお、利用者がどのサービスを利用するか判定する方法は、上記方法に限定されない。

　例えば、複数のサービスで、利用者がＩＣカード５０を端末内蔵装置３０または外部接続装置４０にかざしてサービスの要求が行われるとする。この場合、端末２０は、ＩＣカード５０を読み取った後、利用可能な複数のサービスを表示部（図示せず）に表示し、後述する選択サービス受付手段２４が、利用者によって１つ選択されたサービスを受け付けてもよい。そして、認証要求指示手段２２ａは、選択されたサービスで定義されたサービスＩＤの抽出を識別情報抽出手段２１ａに対して指示してもよい。

　選択サービス受付手段２４は、利用者が利用するサービスの選択を受け付ける。具体的には、端末２０を利用するサービスが複数存在する場合、選択サービス受付手段２４は、利用者が選択したサービスを受け付けて、そのサービスを認証要求指示手段２２ａに通知する。このとき、認証要求指示手段２２ａは、選択サービス受付手段２４が受け付けたサービスについて予め定められたサービスＩＤを抽出するよう識別情報抽出手段２１ａに対して指示する。

　なお、要求の形態によって、利用者の利用するサービスが一意に決定する場合もある。例えば、「ＩＣカード５０をカードリーダにかざした場合に利用するサービスはＡサービスである」と定められていた場合、ＩＣカード５０をカードリーダにかざした場合には、利用者による明示的なサービス選択の必要はない。この場合、端末２０は、選択サービス受付手段２４を備えていなくてもよい。

　識別情報抽出手段２１ａは、認証要求指示手段２２ａによる指示に応じて、各装置（具体的には、端末２０、端末内蔵装置３０または外部接続装置４０）が備える識別情報記憶手段からサービスＩＤを抽出する。そして、識別情報抽出手段２１ａは、サービスごとに予め定められた１つ以上のサービスＩＤの組合せ、物理ＩＤ、および、利用者が認証要求を行うサービスを識別するアプリＣＤを認証サーバ１０へ送信する。なお、このアプリＣＤは、利用者が要求するサービスを識別するために用いられる。

　識別情報抽出手段２１ａと、認証要求指示手段２２ａとは、プログラムに従って動作するコンピュータのＣＰＵによって実現される。例えば、このプログラムは、端末２０の記憶部（図示せず）に記憶され、ＣＰＵは、そのプログラムを読み込み、プログラムに従って、識別情報抽出手段２１ａおよび認証要求指示手段２２ａとして動作してもよい。

　認証サーバ１０は、サービスＩＤ認証手段１１ａと、利用サービス判定手段１２ａと、認証情報管理手段１３ａと、利用権限判定手段１４ａと、認証情報記憶手段１５ａと、ポリシ記憶手段１６と、管理情報記憶手段１７とを含む。なお、管理情報記憶手段１７の内容は、第１の実施形態と同様であるため、詳細な説明は省略する。

　サービスＩＤ認証手段１１ａは、第１の実施形態におけるサービスＩＤ認証手段１１と同様、受信したサービスＩＤごとに正当性を判定する。さらに、サービスＩＤ認証手段１１ａは、サービスＩＤごとに認証結果を付加した情報、物理ＩＤ、およびアプリＣＤを利用サービス判定手段１２ａに通知する。

　利用サービス判定手段１２ａは、第１の実施形態における利用サービス判定手段１２と同様、サービスＩＤ認証手段１１ａから受信した物理ＩＤに基づいて、その物理ＩＤで識別される媒体または装置を利用したサービスの利用可否を判定する。具体的には、利用サービス判定手段１２ａは、受信した物理ＩＤとアプリＣＤとの組合せが管理情報記憶手段１７に記憶されている場合に、その物理ＩＤで識別される媒体または装置を利用したサービスの利用を可と判定する。そして、利用サービス判定手段１２ａは、サービスＩＤ認証手段１１ａから受信したアプリＣＤに基づいて、サービスＩＤの送信先を決定する。すなわち、利用サービス判定手段１２ａは、アプリＣＤに基づいてＩＤハンドリングを行う。

　例えば、サービスごとに処理を行う装置が異なる場合、そのアプリＣＤで特定されるサービスを提供する装置に、サービスＩＤを送信する。ここで、処理を行う装置が異なるとは、各装置が物理的に異なっている場合だけでなく、物理的に同一の装置が仮想的に複数の装置に分けられている場合も含む。アプリＣＤとサービスＩＤの送信先との対応関係を規定したルールは、管理情報記憶手段１７に予め記憶され、利用サービス判定手段１２ａは、上記ルールに基づいて特定される送信先にサービスＩＤを送信する。

　また、同一のサービスを複数の企業（以下、テナントと記すこともある）が利用する場合、ハンドリング先はテナントごとに区別される。一般に、テナントごとに物理ＩＤのコード体系は異なる。そのため、利用サービス判定手段１２ａは、物理ＩＤのコード体系に基づいて、企業を特定してもよい。

　具体的には、企業を識別する情報として、物理ＩＤ群と企業（テナント）を示す情報とを対応づけて予め管理情報記憶手段１７に記憶しておけばよい。そして、利用サービス判定手段１２ａは、上記対応付けに基づいて特定される送信先（テナント）にサービスＩＤを送信すればよい。このような設定に基づいて認証処理を行うことで、後述するパブリッククラウドサービスを提供することが可能になる。

　認証情報記憶手段１５ａは、第１の実施形態における認証情報記憶手段１５と同様、端末２０から送信された一回の認証要求に含まれるサービスＩＤおよび認証結果をキーＩＤと対応づけて記憶する。このとき、認証情報記憶手段１５ａは、各認証要求に含まれるアプリＣＤもキーＩＤと対応づけて記憶する。認証情報記憶手段１５ａが認証要求とともにアプリＣＤを記憶するため、利用者がどのサービスの認証要求を行ったか否かが識別できるようになる。

　なお、認証対象とするサービスＩＤは、連携サービスごとに異なる。そのため、端末２０と、認証サーバ１０（より具体的には、認証情報管理手段１３ａ）との間で、アプリＣＤで特定される認証対象のサービスＩＤおよびサービスＩＤの順序を共有しておく。例えば、システムの導入時（システムインテグレーションの時）に、認証情報記憶手段１５ａが記憶する内容と、認証要求指示手段２２ａが保持する端末固有情報の内容とが同一になるようにしておけばよい。このようにしておくことで、端末２０がアプリＣＤごとにどのサービスＩＤを送信すべきが判断可能になり、認証サーバ１０がアプリＣＤごとにどのサービスＩＤを受信するか判断可能になる。

　認証情報管理手段１３ａは、利用サービス判定手段１２ａから受信したサービスＩＤおよび認証結果とともにアプリＣＤを認証情報記憶手段１５ａに記憶する。具体的には、認証情報管理手段１３ａは、受信したアプリＣＤをキーＩＤと対応付けて認証情報記憶手段１５ａに記憶する。なお、それ以外の機能は、第１の実施形態における認証情報管理手段１３が備える機能と同様である。

　ポリシ記憶手段１６は、第１の実施形態と同様、少なくともサービスＩＤまたは認証結果との組合せに応じてサービスの利用可否を規定したポリシを記憶する。なお、ポリシ記憶手段１６は、利用権限を判定する対象のサービスを識別するアプリＣＤを記憶していてもよい。この場合、ポリシ記憶手段１６をサービスごとに共有することが可能になる。また、同一のサービスが複数のテナントで利用される場合、ポリシ記憶手段１６は、テナント毎にサービスの利用可否を規定したポリシを記憶する。この場合、各テナントを識別する情報とアプリＣＤとの組合せごとに、サービスの利用可否を規定すればよい。

　なお、各テナントを識別する情報を、アプリＣＤに含めてもよい。すなわち、アプリＣＤが、各テナントを識別する情報を含んでいてもよい。サービスとテナントとを組み合せたコード体系でアプリＣＤを割り振れば、アプリＣＤを参照することで、サービス及びテナントを一意に判別することが可能になる。

　利用権限判定手段１４ａは、第１の実施形態における利用権限判定手段１４と同様、ポリシ記憶手段１６に記憶されたポリシに基づいて、認証情報記憶手段１５ａに記憶されたキーＩＤに対応づけられたサービスＩＤおよび認証結果から利用者のサービス利用権限を判定する。本実施形態では、利用権限判定手段１４ａは、アプリＣＤによって識別されるサービスに対する利用者の利用権限を判定する。例えば、サービス側からアプリＣＤとキーＩＤとを受信すると、利用権限判定手段１４ａは、ポリシと認証情報記憶手段１５ａに記憶された情報とに基づいて判定を行い、認証結果をサービス側に返却する。

　サービスＩＤ認証手段１１ａと、利用サービス判定手段１２ａと、認証情報管理手段１３ａと、利用権限判定手段１４ａとは、プログラム（認証用プログラム）に従って動作するコンピュータのＣＰＵによって実現される。また、サービスＩＤ認証手段１１ａと、利用サービス判定手段１２ａと、認証情報管理手段１３ａと、利用権限判定手段１４ａとは、それぞれが専用の装置で実現されていてもよい。

　なお、本実施形態による認証システムの動作は、利用するサービスを識別するためのアプリＣＤが送受信される点において、第１の実施形態における認証システムと異なる。それ以外については、第１の実施形態と同様のため、詳細な説明を省略する。

　以上のように、本実施形態によれば、識別情報抽出手段２１ａが、利用者が認証要求を行うサービスに対応するサービスＩＤの組合せおよび物理ＩＤをアプリＣＤと対応付けて認証サーバ１０へ送信し、認証情報管理手段１３ａが、サービスＩＤおよび判定結果をキーＩＤおよびアプリＣＤと対応づけて認証情報記憶手段１５ａに記憶する。そして、利用権限判定手段１４ａが、アプリＣＤにより識別されるサービスに対する利用者の利用権限を判定する。よって、第１の実施形態の効果に加え、利用者の利用可能なサービスが複数存在する場合であっても、それぞれのサービスごとに認証処理を行うことが可能になる。

　以下、具体的な実施例により本発明を説明するが、本発明の範囲は以下に説明する内容に限定されない。本実施例では、多種多様な企業や組織、個人など不特定多数の利用者を対象として広く提供されているパブリッククラウドに本発明を適用する場合を例に説明する。

　パブリッククラウドでは、複数の企業等（以下、マルチテナントと記すこともある。）が複数のサービス（以下、マルチサービスと記すこともある。）を利用する。したがって、同一のサービスを利用するテナントが複数存在することがある。本実施例では、ハード資源を仮想的に複数のテナント用に分割する。そのため、テナントが増加するたびに新たなハード資源を投入する必要が無くなるため、テナントが増加しても柔軟に対応することが可能になる。

　図８は、本発明による認証システムを適用したクラウドシステムの例を示す説明図である。図８に例示するクラウドシステムには、インターネット経由で複数のサービス（サービス６１～サービス６３）を提供するＳａａＳ層１６０と、インターネット経由でサービス実行用のプラットフォームを提供するＰａａＳ層１１０とが存在する。ＰａａＳ層１１０は、第１の実施形態における認証サーバ１０に相当する。

　また、図８に例示するクラウドシステムでは、端末１２０が、ＰａａＳ層１１０に対してアクセスする。端末１２０には、モジュール１３０が接続される。利用者は、ＩＣカード（またはＲＦＩＤタグ）１５０をモジュール１３０にかざすことで認証要求を行う。なお、本実施例では、端末１２０、モジュール１３０およびＩＣカード１５０に内蔵されるＬＳＩには、通信規格としてＭｉｆａｒｅを利用したＳｍａｒｔＭＸ（登録商標）チップ（以下、ＳＭＸチップと記す。）が用いられものとする。

　また、端末１２０には、複数のサービスを識別するアプリＣＤと、そのサービスで必要とする認証対象（具体的には、サービスＩＤ）、キーＩＤおよびデータ順序が予め定められている。ここでは、キーＩＤは、送信するデータの先頭のデータとする。ただし、キーＩＤの位置は先頭に限られない。端末１２０とＰａａＳ層１１０との間で、データの順序が定められていれば、キーＩＤの位置は先頭でなくてもよい。

　モジュール１３０は、ＩＣカード１５０に内蔵されるＳＭＸチップ１５１に記憶された利用者を識別するサービスＩＤを読み取る。また、モジュール１３０には、ＳＭＸチップ１３１が内蔵され、ＳＭＸチップ１３１内には、モジュールを識別するサービスＩＤが記憶される。端末１２０は、ＳＭＸチップ１３１に記憶されたサービスＩＤを読み取る。なお、端末１２０は、自身に内蔵されるＳＭＸチップ１２３に記憶されたサービスＩＤを読み取ってもよい。端末１２０は、これらのサービスＩＤを物理認証層１１１に送信することで、サービスＩＤの認証要求を行う。本実施例では、サービスＩＤとして、ＳＭＸチップ１３１に記憶されたサービスＩＤと、ＳＭＸチップ１５１に記憶されたサービスＩＤの２つを物理認証層１１１に送信するものとする。

　ＰａａＳ層１１０は、統合データベース１１７（以下、統合ＤＢ１１７と記す。）と、認証データベース１１８（以下、認証ＤＢ１１８と記す。）とを含む。統合ＤＢ１１７は、第１の実施形態における管理情報記憶手段１７に相当する。また、認証ＤＢ１１８は、第１の実施形態における認証情報記憶手段１５に相当する。また、ＰａａＳ層１１０は、バーチャル層１１５とリアル層１１６とに分けることができる。

　リアル層１１６は、物理認証層１１１を含む。物理認証層１１１は、第１の実施形態におけるサービスＩＤ認証手段１１に相当する。また、バーチャル層１１５は、ＩＤハンドリング層１１２と、ＩＤ認証層１１３と、認証サービス層１１４とを含む。ＩＤハンドリング層１１２は、第１の実施形態における利用サービス判定手段１２に相当する。ＩＤ認証層１１３は、第１の実施形態における認証情報管理手段１３に相当する。認証サービス層１１４は、第１の実施形態における利用権限判定手段１４に相当する。

　本実施例では、２種類のサービスが提供されるものとする。一つは、ＤａａＳ（Desktop-as-a-Service）サービスであり、もう一つは、印刷指示と出力指示とが異なるタイミングで行われるサービス(以下、プリンティングサービスと記す。）である。いずれのサービスも、複数のテナント（すなわち、マルチテナント）で同一のサービスが利用されることを想定する。また、ＩＣカードの物理ＩＤとＩＣカードに記憶されたサービスＩＤとの組合せをキーＩＤとする。ＩＣカードのサービスＩＤは、例えば、ＳＭＸに暗号化されて記憶される利用者の社員番号である。また、物理ＩＤは、例えば、ＳＭＸチップのＭｉｆａｒｅのＵＩＤである。なお、物理ＩＤの例として、例えば、Ｆｅｌｉｃａ（登録商標）におけるＩＤｍなども挙げられる。物理ＩＤは、例えば、製造時にチップに焼き付けられ、書き換え不可能な状態で各チップに付与される。

　まず初めに、利用者がＤａａＳサービスを利用する場合について説明する。図９は、利用者がＤａａＳサービスを利用する場合の認証システムの動作例を示すシーケンス図である。クラウドシステムを利用する利用者がリーダライタ（ここでは、モジュール１３０）にＩＣカード１５０をかざすことで、認証要求が行われる（ステップＳ４１）。具体的には、利用者がＤａａＳにログインするタイミングで認証要求が行われる。

　ＩＣカード１５０のサービスＩＤが読み取られたタイミングで、物理認証層１１１に対する認証要求が行われる。ここでは、ＩＣカード１５０およびリーダライタの２つのサービスＩＤが認証対象である。なお、リーダライタのサービスＩＤは、例えば、暗号化されてＳＭＸに記憶されるベンダー等が払いだすリーダライタＩＤである。また、物理ＩＤは、例えば、ＳＭＸのＩＤｍである。端末１２０は、物理認証層１１１に対して、物理認証要求をサービスＩＤの数だけ（ここでは、２回）繰り返す（ステップＳ４２）。

　物理認証層１１１は、各サービスＩＤの認証を行い、一度の契機で認証要求されたサービスＩＤ、物理ＩＤおよびアプリＣＤをひとまとめにしてＩＤハンドリング層１１２へ送信する。ここでは、物理認証層１１１は、ＨＴＴＰを用いて正当性の判定結果（認証結果）を、上位のＩＤハンドリング層１１２に転送する（ステップＳ４３)。

　ＩＤハンドリング層１１２は、物理認証層１１１から転送されたアプリＣＤとキー物理ＩＤに基づいて、受信したサービスＩＤを各テナントに振り分けるＩＤハンドリングを行う。具体的には、テナントが異なる場合、ＩＤハンドリング層１１２は、サービスＩＤをそれぞれ別のＵＲＬで識別されるＩＤ認証層１１３のサーバへハンドリングする（ステップＳ４４）。

　ＩＤ認証層１１３は、ＩＤハンドリング層１１２から受信したサービスＩＤを用いて、認証ＤＢ１１８の内容を更新する（ステップＳ４５）。ＩＤ認証層１１３は、アプリＣＤとキーＩＤとの組合せごとに認証データを管理する。ここで、キーＩＤは、アプリＣＤごとに設定される。ここでは、ＩＤ認証層１１３は、アプリＣＤ（具体的には、ＤａａＳサービスを識別するアプリＣＤ）と社員証番号との組合せごとに認証データを管理する。

　なお、ＩＤ認証層１１３は、認証契機毎に該当する古いサービスＩＤを削除し、最新のサービスＩＤのみ管理する。ＩＤ認証層１１３は、端末１２０からの明示的な契機により、認証ＤＢ１１８に記憶されたサービスＩＤを削除してもよい。明示的な契機として、例えば、端末１２０のアプリケーションでログアウトボタンが押下されたタイミングや、社員証を読み取っている間のみ利用できるサービスで社員証がリーダライタから離されたときなどが挙げられる。また、ＩＤ認証層１１３は、一定の時間経過後（すなわち、タイムアウトしたタイミングで）にサービスＩＤを削除してもよい。

　ＩＤ認証層１１３は、ポリシの確認による利用者の認証を認証サービス層１１４に要求する（ステップＳ４６）。認証サービス層１１４は、ポリシに基づいて、利用者がＤａａＳサービスを利用可能か否か判定する。認証サービス層１１４は、ＤａａＳサービスを利用可能と判定した場合、ＤａａＳサービスを利用する際のチケットを発行し、そのチケットとＤａａＳサービスを利用する際の接続先を示す情報とを、ＩＤ認証層１１３、ＩＤハンドリング層１１２および物理認証層１１１を介して、端末１２０に送信する（ステップＳ４７～Ｓ５０）。

　本実施例では、認証サービス層１１４が発行したチケットを用いてユーザの認証が行われる。そのため、例えば、ログインＩＤをそのまま送信する場合に比べ、よりセキュリティを高めることができる。

　以降、端末１２０は、チケットおよびＤａａｓサービスの接続先を示す情報を受信すると、ＲＤＰ（Remote Desktop Protocol ）や、ＩＣＡ（Independent Computing Architecture）などのプロトコルを利用して、連携するサービスを利用する。

　その後、ＳａａＳ層１６０に存在するサービス提供側から非同期にＰａａＳ層１１０に対してチケットとともにＩＤ情報要求が送信されると（ステップＳ５１）、ＩＤ認証層１１３は、その要求に応じたサービスＩＤをサービス提供側に返却する（ステップＳ５２）。なお、ＩＤ認証層１１３が返却する情報は、サービスＩＤに限定されない。ＩＤ認証層１１３は、例えば、受信したチケットに基づいて、サービスで用いられるログインＩＤなどの情報をサービス提供側に返却してもよい。

　次に、利用者がプリンティングサービスを利用する場合について説明する。図１０は、利用者がプリンティングサービスを利用する場合の認証システムの動作例を示すシーケンス図である。クラウドシステムを利用する利用者がリーダライタ（ここでは、モジュール１３０）にＩＣカード１５０をかざすことで、認証要求が行われる（ステップＳ４１）。具体的には、利用者が印刷データをプリントアウトするタイミングで認証要求が行われる。以降、物理認証層１１１に認証要求を行ってから、認証サービス層１１４が利用者の認証を行うまでのステップＳ４２～Ｓ４６の内容は、図９に例示する内容と同様である。

　認証サービス層１１４は、ポリシに基づいて、利用者がプリンティングサービスを利用可能か否か判定する。認証サービス層１１４は、プリンティングサービスを利用可能と判定した場合、サービス提供側に認証に利用される情報を送信する（ステップＳ６１）。サービス提供側は、認証情報に基づいて利用者が実行可能なジョブ一覧の画面またはジョブ画面の表示先ＵＲＬを、認証サービス層１１４、ＩＤ認証層１１３、ＩＤハンドリング層１１２および物理認証層１１１を介して、端末１２０に送信する（ステップＳ６２～Ｓ６６）。以降、端末１２０は、ジョブ一覧の画面または表示先ＵＲＬに表示される画面を参照して、印刷指示を行う。

　以上、利用者がＤａａｓサービスまたはプリンティングサービスを利用する場合の動作を説明した。上記動作例では、ＩＤハンドリング層１１２からサービスＩＤを受信したＩＤ認証層１１３は、それらのサービスＩＤに基づいて認証を行っていた。ＩＤ認証層１１３は、ＩＤハンドリング層１１２からサービスＩＤを受信した後、再度端末１２０に対して、利用者の認証に必要な情報を要求してもよい。

　図１１は、端末からＩＤ認証層に情報を送信する動作例を示す説明図である。端末は、利用者に必要な情報の送信要求をＩＤ認証層１１３から受信すると、指紋や静脈を読み取るモジュールや、顔画像を抽出するモジュールを用いて各情報の特徴点を取得する。そして、端末は、ＩＤ認証層１１３に対して、特徴点を示す情報を送信する。ＩＤ認証層１１３は、特徴点を示す情報を受信すると、受信した情報と既に受信しているサービスＩＤとをキーＩＤと対応付けて認証ＤＢ１１８に記憶する。このような情報を認証ＤＢ１１８に記憶させることで、認証サービス層１１４は、より動的に認証を行うことが可能になる。

　次に、本発明の最小構成例を説明する。図１２は、本発明による認証システムの最小構成の例を示すブロック図である。本発明による認証システムは、サービスを利用する利用者の認証を行う認証サーバ８０（例えば、認証サーバ１０）と、認証サーバ８０に対して、サービスの認証要求を行う認証要求端末９０（例えば、端末２０）とを備えている。

　認証要求端末９０は、サービスを利用する利用者の認証に用いられる媒体（例えば、ＩＣカード５０）または装置（例えば、端末内蔵装置３０、外部接続装置４０、端末２０）を一意に識別可能な識別情報である物理ＩＤと、各媒体または各装置の種類ごとに定められる識別情報であるサービスＩＤとを認証サーバ８０へ送信する識別情報送信手段９１（例えば、識別情報抽出手段２１）を備えている。

　認証サーバ８０は、受信した各サービスＩＤの正当性を判定する正当性判定手段８１（例えば、サービスＩＤ認証手段１１）と、受信した物理ＩＤに基づいて、その物理ＩＤで識別される媒体または装置を利用したサービスの利用可否を判定するサービス利用可否判定手段８２（例えば、利用サービス判定手段１２）と、媒体または装置を利用したサービスの利用が可能と判定された場合、受信したサービスＩＤのうち利用者による一認証要求を識別可能な１つ以上のサービスＩＤの組合せをキーＩＤとして、少なくともサービスＩＤおよび正当性判定手段８１によるそのサービスＩＤの判定結果をキーＩＤと対応づけて認証情報記憶手段８３（例えば、認証情報記憶手段１５）に記憶する認証情報管理手段８４（例えば、認証情報管理手段１３）と、少なくともサービスＩＤの組合せに応じてサービスの利用可能範囲を定めたポリシに基づいて、認証情報記憶手段８３に記憶されたキーＩＤに対応づけられたサービスＩＤおよびそのサービスＩＤの判定結果から、利用者が利用するサービスの利用権限を判定する利用権限判定手段８５（例えば、利用権限判定手段１４）とを備えている。

　また、認証要求端末９０の識別情報送信手段９１は、認証に用いられる１つ以上の媒体または装置のうち予め定められた媒体または装置の物理ＩＤと、その認証に用いられる媒体または装置における予め定められた１つ以上のサービスＩＤとを認証サーバ８０へ送信する。

　以上の構成により、利用者がサービスを利用する環境に応じた高度な認証制御を動的に行うことができる。

　また、認証要求端末９０の識別情報送信手段９１は、サービスごとに予め定められた１つ以上のサービスＩＤの組合せおよび物理ＩＤのうち、利用者が認証要求を行うサービスに対応するサービスＩＤの組合せおよび物理ＩＤを、そのサービスを識別する識別子であるアプリケーションコード（アプリＣＤ）と対応付けて認証サーバ８０へ送信してもよい。また、認証サーバ８０の認証情報管理手段８４は、少なくともサービスＩＤおよび正当性判定手段８１によるサービスＩＤの判定結果を、キーＩＤおよびアプリケーションコードと対応づけて認証情報記憶手段８３に記憶してもよい。また、認証サーバ８０の利用権限判定手段８５は、アプリケーションコードにより識別されるサービスに対する利用者の利用権限を判定してもよい。

　このような構成により、利用者の利用可能なサービスが複数存在する場合であっても、それぞれのサービスごとに認証処理を行うことが可能になる。

　また、認証要求端末９０は、利用者が利用するサービスの選択を受け付ける選択サービス受付手段（例えば、選択サービス受付手段２４）を備えていてもよい。そして、認証要求端末９０の識別情報送信手段９１は、選択サービス受付手段が受け付けたサービスを識別するアプリケーションコードを、そのサービスについて予め定められた１つ以上のサービスＩＤの組合せおよび物理ＩＤと対応付けて認証サーバ８０へ送信してもよい。

　また、認証要求端末９０は、各媒体または各装置が備える耐タンパ性を有する記憶手段（例えば、識別情報記憶手段、認証ＬＳＩ）に暗号化された状態で記憶されるサービスＩＤを読み取るサービスＩＤ読取手段（例えば、識別情報抽出手段２１）を備えていてもよい。そして、認証要求端末９０の識別情報送信手段９１は、暗号化されたサービスＩＤを認証サーバ８０へ送信してもよい。また、認証サーバ８０の正当性判定手段８１は、暗号化された各サービスＩＤを復号することによりそのサービスＩＤの正当性を判定してもよい。

　また、認証サーバ８０の認証情報管理手段８４は、利用者によるサービス認証要求が行われたネットワークまたは時間を示す情報（例えば、ネットワーク識別情報、利用者が認証を要求した日時、認証処理が行われた日時）をキーＩＤと対応づけて認証情報記憶手段８３に記憶してもよい。そして、認証サーバ８０の利用権限判定手段８５は、少なくともネットワークまたは時間を示す情報と、サービスＩＤの組合せとに応じてサービスの利用可能範囲を定めたポリシに基づいて、認証情報記憶手段８３に記憶されたキーＩＤに対応づけられたサービスＩＤ、サービスＩＤの判定結果およびネットワークまたは時間を示す情報から、利用者が利用するサービスの利用権限を判定してもよい。

　また、認証要求端末９０の識別情報送信手段９１は、人間の身体的特徴または行動的特徴により特定される利用者の識別情報（例えば、指紋や静脈の特徴点や、顔画像の特徴点）を認証サーバ８０へ送信してもよい。そして、認証サーバ８０の認証情報管理手段８４は、利用者の識別情報をキーＩＤと対応づけて認証情報記憶手段８３に記憶してもよい。また、認証サーバ８０の利用権限判定手段８５は、利用者の識別情報に基づいて、その利用者が利用するサービスの利用権限を判定してもよい。

　また、認証サーバ８０の認証情報管理手段８４は、認証情報記憶手段８３に記憶されてから一定期間が経過した情報を削除してもよい。

　また、認証サーバ８０の認証情報管理手段８４は、認証情報記憶手段８３へ既に記憶されている同一のキーＩＤで識別される認証要求を受信した時に、そのキーＩＤに対応する情報を認証要求に含まれる情報で更新してもよい。

　図１３は、本発明による認証サーバの最小構成の例を示すブロック図である。本発明による認証サーバは、正当性判定手段８１と、サービス利用可否判定手段８２と、少なくともサービスＩＤおよびそのサービスＩＤの正当性の判定結果をキーＩＤと対応づけて認証情報記憶手段８３に記憶する認証情報管理手段８４と、利用権限判定手段８５とを備えている。なお、正当性判定手段８１、サービス利用可否判定手段８２、認証情報記憶手段８３、認証情報管理手段８４および利用権限判定手段８５の内容は、図１２に例示する認証サーバ８０が備える各構成と同様である。このような構成であっても、利用者がサービスを利用する環境に応じた高度な認証制御を動的に行うことができる。

　以上、実施形態及び実施例を参照して本願発明を説明したが、本願発明は上記実施形態および実施例に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　この出願は、２０１１年９月２０日に出願された日本特許出願２０１１－２０４４３８を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　本発明は、サービスを利用する利用者の認証を行う認証システムに好適に適用される。

　１０　認証サーバ
　１１，１１ａ　サービスＩＤ認証手段
　１２，１２ａ　利用サービス判定手段
　１３，１３ａ　認証情報管理手段
　１４，１４ａ　利用権限判定手段
　１５，１５ａ　認証情報記憶手段
　１６　ポリシ記憶手段
　１７　管理情報記憶手段
　２０　端末
　２１，２１ａ　識別情報抽出手段
　２２，２２ａ　認証要求指示手段
　２３，３１，４１，５１　識別情報記憶手段
　３０　端末内蔵装置
　４０　外部接続装置
　５０　ＩＣカード
　１００　通信ネットワーク

Claims (14)

1. 　サービスを利用する利用者の認証を行う認証サーバと、
   　前記認証サーバに対して、サービスの認証要求を行う認証要求端末とを備え、
   　前記認証要求端末は、
   　サービスを利用する利用者の認証に用いられる媒体または装置を一意に識別可能な識別情報である物理ＩＤと、前記各媒体または前記各装置の種類ごとに定められる識別情報であるサービスＩＤとを前記認証サーバへ送信する識別情報送信手段を備え、
   　前記認証サーバは、
   　受信した各サービスＩＤの正当性を判定する正当性判定手段と、
   　受信した物理ＩＤに基づいて、当該物理ＩＤで識別される媒体または装置を利用したサービスの利用可否を判定するサービス利用可否判定手段と、
   　前記媒体または装置を利用したサービスの利用が可能と判定された場合、受信したサービスＩＤのうち前記利用者による一認証要求を識別可能な１つ以上のサービスＩＤの組合せをキーＩＤとして、少なくとも前記サービスＩＤおよび前記正当性判定手段による当該サービスＩＤの判定結果を当該キーＩＤと対応づけて認証情報記憶手段に記憶する認証情報管理手段と、
   　少なくとも前記サービスＩＤの組合せに応じてサービスの利用可能範囲を定めたポリシに基づいて、前記認証情報記憶手段に記憶されたキーＩＤに対応づけられたサービスＩＤおよび当該サービスＩＤの判定結果から、前記利用者が利用するサービスの利用権限を判定する利用権限判定手段とを備え、
   　前記認証要求端末の識別情報送信手段は、認証に用いられる１つ以上の媒体または装置のうち予め定められた媒体または装置の物理ＩＤと、当該認証に用いられる媒体または装置における予め定められた１つ以上の前記サービスＩＤとを前記認証サーバへ送信する
   　ことを特徴とする認証システム。
2. 　認証要求端末の識別情報送信手段は、サービスごとに予め定められた１つ以上のサービスＩＤの組合せおよび物理ＩＤのうち、利用者が認証要求を行うサービスに対応するサービスＩＤの組合せおよび物理ＩＤを、当該サービスを識別する識別子であるアプリケーションコードと対応付けて認証サーバへ送信し、
   　認証サーバの認証情報管理手段は、少なくともサービスＩＤおよび正当性判定手段による当該サービスＩＤの判定結果を、キーＩＤおよび前記アプリケーションコードと対応づけて認証情報記憶手段に記憶し、
   　認証サーバの利用権限判定手段は、アプリケーションコードにより識別されるサービスに対する利用者の利用権限を判定する
   　請求項１記載の認証システム。
3. 　認証要求端末は、利用者が利用するサービスの選択を受け付ける選択サービス受付手段を備え、
   　認証要求端末の識別情報送信手段は、前記選択サービス受付手段が受け付けたサービスを識別するアプリケーションコードを、当該サービスについて予め定められた１つ以上のサービスＩＤの組合せおよび物理ＩＤと対応付けて認証サーバへ送信する
   　請求項２記載の認証システム。
4. 　認証要求端末は、
   　各媒体または各装置が備える耐タンパ性を有する記憶手段に暗号化された状態で記憶されるサービスＩＤを読み取るサービスＩＤ読取手段を備え、
   　認証要求端末の識別情報送信手段は、暗号化されたサービスＩＤを認証サーバへ送信し、
   　認証サーバの正当性判定手段は、暗号化された各サービスＩＤを復号することにより当該サービスＩＤの正当性を判定する
   　請求項１から請求項３のうちのいずれか１項に記載の認証システム。
5. 　認証サーバの認証情報管理手段は、利用者によるサービス認証要求が行われたネットワークまたは時間を示す情報をキーＩＤと対応づけて認証情報記憶手段に記憶し、
   　認証サーバの利用権限判定手段は、少なくとも前記ネットワークまたは時間を示す情報と、サービスＩＤの組合せとに応じてサービスの利用可能範囲を定めたポリシに基づいて、前記認証情報記憶手段に記憶されたキーＩＤに対応づけられたサービスＩＤ、当該サービスＩＤの判定結果および前記ネットワークまたは時間を示す情報から、前記利用者が利用するサービスの利用権限を判定する
   　請求項１から請求項４のうちのいずれか１項に記載の認証システム。
6. 　認証要求端末の識別情報送信手段は、人間の身体的特徴または行動的特徴により特定される利用者の識別情報を認証サーバへ送信し、
   　認証サーバの認証情報管理手段は、前記利用者の識別情報をキーＩＤと対応づけて認証情報記憶手段に記憶し、
   　認証サーバの利用権限判定手段は、前記利用者の識別情報に基づいて、当該利用者が利用するサービスの利用権限を判定する
   　請求項１から請求項５のうちのいずれか１項に記載の認証システム。
7. 　認証サーバの認証情報管理手段は、認証情報記憶手段に記憶されてから一定期間が経過した情報を削除する
   　請求項１から請求項６のうちのいずれか１項に記載の認証システム。
8. 　認証サーバの認証情報管理手段は、認証情報記憶手段へ既に記憶されている同一のキーＩＤで識別される認証要求を受信した時に、当該キーＩＤに対応する情報を当該認証要求に含まれる情報で更新する
   　請求項１から請求項７のうちのいずれか１項に記載の認証システム。
9. 　サービスの認証要求を行う認証要求端末から、当該サービスを利用する利用者の認証に用いられる媒体または装置を一意に識別可能な識別情報である物理ＩＤと、前記各媒体または前記各装置の種類ごとに定められる識別情報であるサービスＩＤとを受信したときに、当該各サービスＩＤの正当性を判定する正当性判定手段と、
   　受信した物理ＩＤに基づいて、当該物理ＩＤで識別される媒体または装置を利用したサービスの利用可否を判定するサービス利用可否判定手段と、
   　前記媒体または装置を利用したサービスの利用が可能と判定された場合、受信したサービスＩＤのうち前記利用者による一認証要求を識別可能な１つ以上のサービスＩＤの組合せをキーＩＤとして、少なくとも前記サービスＩＤおよび前記正当性認判定手段による当該サービスＩＤの判定結果を当該キーＩＤと対応づけて認証情報記憶手段に記憶する認証情報管理手段と、
   　少なくとも前記サービスＩＤの組合せに応じてサービスの利用可能範囲を定めたポリシに基づいて、前記認証情報記憶手段に記憶されたキーＩＤに対応づけられたサービスＩＤおよび当該サービスＩＤの判定結果から、前記利用者が利用するサービスの利用権限を判定する利用権限判定手段とを備えた
   　ことを特徴とする認証サーバ。
10. 　認証情報管理手段は、利用者が認証要求を行うサービスに対応するサービスＩＤの組合せおよび物理ＩＤを当該サービスを識別する識別子であるアプリケーションコードとともに認証要求端末から受信したときに、少なくともサービスＩＤおよび正当性判定手段による当該サービスＩＤの判定結果を、キーＩＤおよび前記アプリケーションコードと対応づけて認証情報記憶手段に記憶し、
    　利用権限判定手段は、アプリケーションコードにより識別されるサービスに対する利用者の利用権限を判定する
    　請求項９記載の認証サーバ。
11. 　サービスを利用する利用者の認証を行う認証サーバに対して、サービスの認証要求を行う認証要求端末は、当該サービスを利用する利用者の認証に用いられる媒体または装置を一意に識別可能な識別情報である物理ＩＤと、前記各媒体または前記各装置の種類ごとに定められる識別情報であるサービスＩＤとを前記認証サーバへ送信し、
    　前記認証サーバは、受信した各サービスＩＤの正当性を判定し、
    　前記認証サーバは、受信した物理ＩＤに基づいて、当該物理ＩＤで識別される媒体または装置を利用したサービスの利用可否を判定し、
    　前記認証サーバは、前記媒体または装置を利用したサービスの利用が可能と判定された場合、受信したサービスＩＤのうち前記利用者による一認証要求を識別可能な１つ以上のサービスＩＤの組合せをキーＩＤとして、少なくとも前記サービスＩＤおよび当該サービスＩＤの正当性の判定結果を当該キーＩＤと対応づけて認証情報記憶手段に記憶し、
    　前記認証サーバは、少なくとも前記サービスＩＤの組合せに応じてサービスの利用可能範囲を定めたポリシに基づいて、前記認証情報記憶手段に記憶されたキーＩＤに対応づけられたサービスＩＤおよび当該サービスＩＤの判定結果から、前記利用者が利用するサービスの利用権限を判定し、
    　認証要求端末は、前記物理ＩＤおよびサービスＩＤを送信する際、認証に用いられる１つ以上の媒体または装置のうち予め定められた媒体または装置の物理ＩＤと、当該認証に用いられる媒体または装置における予め定められた１つ以上の前記サービスＩＤとを前記認証サーバへ送信する
    　ことを特徴とする認証方法。
12. 　認証要求端末は、サービスごとに予め定められた１つ以上のサービスＩＤの組合せおよび物理ＩＤのうち、利用者が認証要求を行うサービスに対応するサービスＩＤの組合せおよび物理ＩＤを、当該サービスを識別する識別子であるアプリケーションコードと対応付けて認証サーバへ送信し、
    　認証サーバは、少なくともサービスＩＤおよび当該サービスＩＤの正当性の判定結果を、キーＩＤおよび前記アプリケーションコードと対応づけて認証情報記憶手段に記憶し、
    　認証サーバは、アプリケーションコードにより識別されるサービスに対する利用者の利用権限を判定する
    　請求項１１記載の認証方法。
13. 　コンピュータに、
    　サービスの認証要求を行う認証要求端末から、当該サービスを利用する利用者の認証に用いられる媒体または装置を一意に識別可能な識別情報である物理ＩＤと、前記各媒体または前記各装置の種類ごとに定められる識別情報であるサービスＩＤとを受信したときに、当該各サービスＩＤの正当性を判定する正当性判定処理、
    　受信した物理ＩＤに基づいて、当該物理ＩＤで識別される媒体または装置を利用したサービスの利用可否を判定するサービス利用可否判定処理、
    　前記媒体または装置を利用したサービスの利用が可能と判定された場合、受信したサービスＩＤのうち前記利用者による一認証要求を識別可能な１つ以上のサービスＩＤの組合せをキーＩＤとして、少なくとも前記サービスＩＤおよび当該サービスＩＤの正当性の判定結果を当該キーＩＤと対応づけて認証情報記憶手段に記憶する認証情報管理手処理、および、
    　少なくとも前記サービスＩＤの組合せに応じてサービスの利用可能範囲を定めたポリシに基づいて、前記認証情報記憶手段に記憶されたキーＩＤに対応づけられたサービスＩＤおよび当該サービスＩＤの判定結果から、前記利用者が利用するサービスの利用権限を判定する利用権限判定処理
    　を実行させるための認証プログラム。
14. 　コンピュータに、
    　認証情報管理処理で、利用者が認証要求を行うサービスに対応するサービスＩＤの組合せおよび物理ＩＤを当該サービスを識別する識別子であるアプリケーションコードとともに認証要求端末から受信したときに、少なくともサービスＩＤおよび当該サービスＩＤの正当性の判定結果を、キーＩＤおよび前記アプリケーションコードと対応づけて認証情報記憶手段に記憶させ、
    　利用権限判定処理で、アプリケーションコードにより識別されるサービスに対する利用者の利用権限を判定させる
    　請求項１３記載の認証プログラム。

Images