システム管理装置、およびセキュリティシステム
【課題】システムの利用に先立って登録された利用者の生体情報が漏洩しても、システムの不正利用に対するセキュリティの低下が抑えられる管理装置を提供する。
【解決手段】システム管理装置1は、予め定められたタイミングで一時テンプレート用アルゴリズムを変更する。入退室管理装置2は、管理区域に入室する利用者を認証し、認証できた利用者については管理区域への入室を許可する。このとき、管理区域に入室を許可した利用者について、その時点における一時テンプレート用アルゴリズムで一時テンプレートを生成し、システム管理装置1に登録する。システム管理装置1は、管理区域に入室した利用者がアクセス用端末4の使用を開始するとき、この利用者について一時テンプレートを用いた生体認証を行う。さらに、システム管理装置1は、管理区域から退室した利用者については、システム管理装置1に登録されている一時テンプレートを削除する。
【解決手段】システム管理装置1は、予め定められたタイミングで一時テンプレート用アルゴリズムを変更する。入退室管理装置2は、管理区域に入室する利用者を認証し、認証できた利用者については管理区域への入室を許可する。このとき、管理区域に入室を許可した利用者について、その時点における一時テンプレート用アルゴリズムで一時テンプレートを生成し、システム管理装置1に登録する。システム管理装置1は、管理区域に入室した利用者がアクセス用端末4の使用を開始するとき、この利用者について一時テンプレートを用いた生体認証を行う。さらに、システム管理装置1は、管理区域から退室した利用者については、システム管理装置1に登録されている一時テンプレートを削除する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、システムの利用者を制限するシステム管理装置、および、このシステム管理装置を適用したセキュリティシステムに関する。
【背景技術】
【0002】
従来、利用者に対する本人認証には、ID、パスワード等の暗証情報による認証や、指紋、指静脈、掌等の生体情報による認証がある。この本人認証にかかる技術は、例えば、管理区域に入退室する利用者について本人認証を行い、利用者本人であることを確認した場合に、入退室を許可するシステムや、サーバ等に保存されている情報にアクセスする利用者について本人認証を行い、利用者本人であることを確認した場合に、アクセスを許可するシステムで利用されている。また、一般に、生体情報による認証は、暗証情報による認証に比べて、「なりすまし」に対するセキュリティが高いと言われている。
【0003】
また、利用者を生体情報で認証するシステムには、例えば特許文献1、2に記載されたものがある。特許文献1に記載のシステムでは、利用者が生体認証における照合の基準となるテンプレート(照合用生体情報)を登録したICカード等の媒体を保持している。このテンプレートは、利用者から読み取った指紋、指静脈、掌等の生体情報を基に、予め定められた手順(アルゴリズム)で生成したものであり、その特徴量が含まれている。このシステムは、警備区画内における利用者のアクセス管理を行う。具体的には、利用者が、警備区画内に入場する際に提示した媒体の正当性をシステムで検証し、媒体が正当なものであると認められた場合には媒体内のテンプレートを一時テンプレートとしてシステムに登録する。そして、警備区画内では、この警備区画内で分割されている内部区画の入退室時や、端末のアクセス時等、必要に応じて、利用者から生体情報を読み取り、記憶している一時テンプレートとを照合して、利用者の認証を行っている。
【0004】
また、特許文献2に記載のシステムでは、あらかじめテンプレートを初期認証システムに登録しておき、初回アクセス時に、利用者から読み取った生体情報と、記憶しているテンプレートとを照合し、利用者の認証を行う。ここで、利用者が認証できると、利用者から読み取った生体情報を一時テンプレートとして任意時点認証システムに登録する。そして、システム利用中の利用者に対して、必要に応じて、利用者の認証を行う。この認証は、利用者から読み取った生体情報と、任意時点認証システムに登録している一時テンプレートと、の照合により行われる。
【特許文献1】特開2001− 76270号公報
【特許文献2】特開2006−163453号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1に記載のシステムは、利用者がシステムを利用するときに、その利用者のICカード等の媒体に記憶しているテンプレートを一時テンプレートとして登録するものであった。このため、利用者は、システムの利用時に登録される一時テンプレートが、常に同じであって。
【0006】
また、特許文献2に記載のシステムは、利用者がシステムを利用するときに、その利用者から読み取った生体情報を基に一時テンプレートを生成し、これを登録する構成であるが、一時テンプレートを生成する手順が同じであった。このため、利用者は、システムの利用時に登録される一時テンプレートが、殆ど同じであった。
【0007】
したがって、システムに登録された利用者の一時テンプレートが漏洩すると、この一時テンプレートを利用したシステムの不正利用に対するセキュリティが低下するという問題があった。
【0008】
この発明の目的は、システムの利用に先立って登録された利用者の生体情報が漏洩しても、システムの不正利用に対するセキュリティの低下が抑えられる管理装置、および、この管理装置を適用したセキュリティシステムを提供することにある。
【課題を解決するための手段】
【0009】
この発明のシステム管理装置は、上記課題を解決し、その目的を達するために、以下のように構成している。
【0010】
このシステム管理装置では、生成手順変更手段が、センサで読み取った利用者の生体部位の読取情報を基に生成される照合用生体情報の生成手順を予め定めたタイミングで変更する。照合用生体情報とは、利用者の認証に用いるテンプレートである。また、照合用生体情報の生成手順とは、センサで読み取った利用者の生体部位の読取情報から、どのような特徴量を抽出し、その特徴量をどのように変換(例えば、暗号化)するかを定めたものである。また、この生成手順は、例えば日付が変わる午前0時や、オペレータ等によって変更入力がなされたときに変更すればよい。照合用生体情報記憶手段が、利用者における前記システムの利用に先立って、その利用者の生体部位をセンサで読み取った読取情報を基に、その時点で、前記生成手順変更手段が決めている生成手順で生成した照合用生体情報を記憶する。また、認証手段が、利用者における前記システムの利用開始にあたって、その利用者について前記システムの使用可否を、前記照合用生体情報記憶手段が記憶している照合用生体情報を用いた生体認証で行う。生体認証では、利用者から読み取った生体部位の読取情報を基に生成した認証用生体情報と、利用者について記憶している照合用生体情報と、を照合し、その一致度で利用者を認証する。さらに、削除手段が前記システムの利用が終了した利用者について、前記照合用生体情報記憶手段が記憶している照合用生体情報を削除する。
【0011】
このため、照合用生体情報記憶手段が記憶する利用者の照合用生体情報は、その利用者について照合用生体情報を記憶したタイミングで変化する。したがって、照合用生体情報記憶手段が記憶している照合用生体情報が漏洩しても照合用生体情報の作成手順が適当なタイミングで変更されているので、この漏洩した照合用生体情報を利用したシステムの不正利用に対するセキュリティの低下が抑えられる。
【0012】
また、照合用生体情報記憶手段が記憶する利用者の照合用生体情報は、利用者の生体部位をセンサで読み取る生体情報読取装置に作成させてもよいし、システム管理装置側で作成してもよい。生体情報読取装置で作成する場合には、照合用生体情報の生成手順を変更する毎に、変更した生成手順をシステム管理装置から生体情報読取装置に通知すればよい。また、システム管理装置で作成する場合には、照合用生体情報の生成手順を生体情報読取装置に通知する必要はなく、生体情報読取装置から利用者の生体部位をセンサで読み取った読取情報をシステム管理装置に通知すればよい。
【0013】
また、このシステム管理装置と、管理区域における利用者の入退室を管理する入退室管理装置と、で管理区域内でのシステムの利用者を制限するセキュリティシステムを構築することもできる。
【0014】
この場合には、入退室管理装置が、管理区域への利用者の入室を許可するときに、この利用者についての照合用生体情報を照合用生体情報記憶手段に記憶させ、管理区域からの利用者の退室を許可するときに、照合用生体情報記憶手段に記憶されている、この利用者についての照合用生体情報を削除すればよい。
【0015】
また、入退室管理装置で、管理区域への入退室を希望する利用者に対して、暗証情報や、生体情報により認証を行うことで、セキュリティの一層の向上が図れる。
【発明の効果】
【0016】
この発明によれば、システムの利用に先立って登録された利用者の生体情報が漏洩しても、システムの不正利用に対するセキュリティの低下が抑えられる。
【発明を実施するための最良の形態】
【0017】
以下、この発明の実施形態にかかるセキュリティシステムについて説明する。
【0018】
図1は、このセキュリティシステムの構成を示す概略図である。このセキュリティシステムは、システム管理装置1と、入退室管理装置2と、情報サーバ3と、アクセス用端末4と、を備えている。このセキュリティシステムは、本システムの利用者を制限することにより、情報サーバ3で管理している重要情報に対する不正なアクセスを防止する。具体的には、情報サーバ3で管理している重要情報にアクセスすることができるアクセス用端末4を管理区域内に設置している。言い換えれば、管理区域外の装置から情報サーバ3で管理している重要情報にアクセスすることはできないように構成している。情報サーバ3には、LAN等のネットワークを介して複数のアクセス用端末4がデータ通信可能に接続されている。また、システム管理装置1や入退室管理装置2も、情報サーバ3やアクセス用端末4とデータ通信可能に接続されている。情報サーバ3は、管理区域外に設置してもよいが、管理区域内に設置するのが好ましい。また、入退室管理装置2が、管理区域に入退室する利用者を認証し、認証できなかった利用者の入退室を拒否する。すなわち、管理区域に入室する権限を有していない利用者については、入退室管理装置2が管理区域への入室を阻止する。さらに、システム管理装置1は、管理区域に入室した利用者がアクセス用端末4の使用開始するときに、この利用者を認証し、認証できた利用者に対してアクセス用端末4の使用を許可する。すなわち、システム管理装置1は、認証できた利用者に対して、情報サーバ3が記憶する重要情報に対するアクセスを許可する。したがって、何らかの方法で管理区域に不正に入室できたとしても、この不正入室者は、アクセス用端末4の使用が許可されず、情報サーバ3で管理している重要情報にアクセスすることができない。
【0019】
このように、このセキュリティシステムでは、管理区域に入室し、且つアクセス用端末4の使用が許可された利用者が、情報サーバ3で管理されている重要情報にアクセスすることができる。
【0020】
入退室管理装置2は、図2に示すように、制御部21と、扉開閉部22と、通信部23と、ICカード処理ユニット24と、生体情報読取ユニット25と、を備えている。ここでは、入退室管理装置2は、ICカード処理ユニット24、および生体情報読取ユニット25をそれぞれ2つずつ備えている。制御部21は、入退室管理装置2本体各部の動作を制御する。扉開閉部22は、管理区域の出入口に設けられた扉(不図示)を開閉する。この扉を開することにより、管理区域における利用者の入退室を許可し、この扉を閉することにより、管理区域における利用者の入退室を拒否する。通信部23は、システム管理装置1との間におけるデータ通信を制御する。ICカード処理ユニット24は、利用者が所有するICカード5に記録されているカード情報を読み出す。カード情報には、利用者を識別する利用者IDや、この利用者の生体認証に用いるマスタテンプレートが含まれている(図3参照)。マスタテンプレートは、ICカード5の発行時等に、利用者から読み取った指紋、指静脈、掌等のセンサの読取信号を基に、特定の生成手順で作成されたものである。このマスタテンプレートを生成する手順は、デフォルトのアルゴリズムによって規定されている。このデフォルトのアルゴリズムについては後述する。生体情報読取ユニット25は、利用者の生体情報を読み取るセンサ部25aや、デフォルトのアルゴリズムやシステム管理装置1に登録する一時テンプレートの生成手順を規定する一時テンプレート用アルゴリズムを記憶するメモリ25bを有している。
【0021】
ICカード処理ユニット24、および生体情報読取ユニット25は、少なくとも、管理区域の出入口の外側に設けてあればよい。これにより、管理区域に入室する利用者に対する認証が行える。この場合、管理区域から退室する利用者に対する認証が行えないので、ICカード処理ユニット24、および生体情報読取ユニット25は、管理区域の出入口の両側に設けるのが好ましい。このため、このセキュリティシステムでは、上述したように、入退室管理装置2は、ICカード処理ユニット24、および生体情報読取ユニット25をそれぞれ2つずつ備えている。また、入退室管理装置2は、ICカード処理ユニット24、および生体情報読取ユニット25を内蔵した構成であってもよいし、これらをデータ通信ラインで接続した構成であってもよい。
【0022】
システム管理装置1は、図4に示すように、制御部11と、利用者情報管理部12と、アルゴリズム管理部13と、セキュリティ情報管理部14と、通信部15と、を備えている。制御部11は、システム管理装置1本体各部の動作を制御する。利用者情報管理部12は、利用者毎に、その利用者を識別する利用者ID、その利用者のセキュリティレベル、その利用者の認証に用いる一時テンプレートを対応付けた利用者情報を記憶している(図5参照)。利用者情報管理部12が利用者IDを記憶している利用者が、このシステムを利用することができる登録者である。セキュリティレベルは、A、B、Cの順に低くなる。一時テンプレートは、その時点で管理区域内にいる利用者について記憶しているが、その時点で管理区域内にいない利用者については記憶していない。
【0023】
アルゴリズム管理部13は、利用者から読み取った指紋、指静脈、掌等のセンサの読取信号を基に生成するマスタテンプレートの生成手順を示すデフォルトのアルゴリズム、および、利用者から読み取った指紋、指静脈、掌等のセンサの読取信号を基に生成する一時テンプレートの生成手順を示す一時テンプレート用アルゴリズムを記憶している(図6参照)。生体情報読取ユニット25のメモリ25bに記憶しているデフォルトのアルゴリズムおよび一時テンプレート用アルゴリズムと、アルゴリズム管理部13に記憶しているデフォルトのアルゴリズムおよび一時テンプレート用アルゴリズムと、は一致するように管理されている。すなわち、アルゴリズム管理部13が記憶しているデフォルトのアルゴリズムは、ICカード5に記憶しているマスタテンプレートの作成手順を示すアルゴリズムである。また、一時テンプレート用アルゴリズムは、予め定めたタイミングで変更される。このタイミングは、例えば、日付の変わる午前0時や、セキュリティシステムの起動時や、管理区域内に利用者が1人もいないときや、オペレータ等によって変更入力がなされたとき、にすればよい。また、セキュリティ情報管理部14は、アクセス用端末4毎に、その端末を識別する端末IDと、その端末のセキュリティレベルと、を対応付けて記憶している(図7参照)。ここでは、セキュリティレベルは、A、B、Cの順に低くなる。
【0024】
情報サーバ3で管理している重要情報にはセキュリティレベルが設定されている。情報サーバ3は、アクセス用端末4から管理している重要情報に対するアクセスの要求があると、このアクセス用端末4のセキュリティレベルと、アクセスが要求された重要情報のセキュリティレベルと、を比較し、今回の重要情報に対するアクセスを許可するかどうかを判定する。具体的には、情報サーバ3は、アクセス用端末4のセキュリティレベルが重要情報のセキュリティレベル未満であれば、重要情報に対するアクセスを拒否する。言い換えれば、情報サーバ3は、アクセス用端末4のセキュリティレベルが重要情報のセキュリティレベル以上であれば、重要情報に対するアクセスを拒否する。例えば、セキュリティレベルがBのアクセス用端末4から重要情報に対するアクセスの要求があれば、セキュリティレベルがB、Cの重要情報についてはアクセスを許可するが、セキュリティレベルがAの重要情報についてはアクセスを拒否をする。
【0025】
アクセス用端末4は、一般的なパーソナルコンピュータであるので、その構成についての詳細な説明は省略するが、自端末を識別する端末ID、および自端末のセキュリティレベルをメモリに記憶している。また、このアクセス用端末4には、上述した生体情報読取ユニット25が接続されている。生体情報読取ユニット25は、アクセス用端末4に内蔵されていてもよい。
【0026】
次に、このセキュリティシステムの各機器の動作について説明する。まず、このセキュリティシステムの動作の概要について説明する。
【0027】
システム管理装置1は、予め定められたタイミングで一時テンプレート用アルゴリズムを変更する。入退室管理装置2は、管理区域に入室する利用者を認証し、認証できた利用者については管理区域への入室を許可する。このとき、管理区域に入室を許可した利用者については、その時点における一時テンプレート用アルゴリズムで一時テンプレートを生成し、システム管理装置1に登録する。システム管理装置1は、管理区域に入室した利用者がアクセス用端末4の使用を開始するとき、この利用者について一時テンプレートを用いた生体認証を行う。また、システム管理装置1は、この一時テンプレートを用いた生体認証で認証された利用者について、この利用者のセキュリティレベルと、この利用者が使用するアクセス用端末4のセキュリティレベルと、を比較し、アクセス用端末4の使用可否を判定する。利用者のセキュリティレベルが、アクセス用端末4のセキュリティレベル以上であれば使用可と判定し、反対に、利用者のセキュリティレベルが、アクセス用端末4のセキュリティレベル未満であれば使用不可と判定する。利用者が、使用が許可されたアクセス用端末4を操作して、情報サーバ3で管理している重要情報に対してアクセスを行うと、情報サーバ3はアクセスの要求があった重要情報のセキュリティレベルと、アクセス用端末4のセキュリティレベルと、を比較し、この重要情報に対するアクセスの可否を判定する。アクセス用端末4を操作している利用者は、情報サーバ3によって重要情報に対するアクセスが許可されると、その重要情報にアクセスすることができる。反対に、利用者は、情報サーバ3によって重要情報に対するアクセスが拒否されると、その重要情報にアクセスすることができない。さらに、入退室管理装置2は、管理区域外に退室する利用者を認証し、認証できた利用者については管理区域外への退室を許可する。また、この退室を許可した利用者については、システム管理装置1に登録されている一時テンプレートを削除する。
【0028】
このように、利用者は、管理区域に入室するときに、一時テンプレートがシステム管理装置1に登録される。すなわち、利用者は、アクセス用端末4を操作して情報サーバ3で管理している重要情報にアクセスするシステムの利用に先立って、一時テンプレートがシステム管理装置1に登録される。この一時テンプレート用アルゴリズムは、上述したように、予め定められたタイミングで変更される。このため、システム管理装置1に登録されている一時テンプレートが漏洩しても、適当なタイミングで一時テンプレート用アルゴリズムが変更されるので、この漏洩した一時テンプレートを利用して、情報サーバ3が管理する重要情報に対する不正なアクセスが要求されても、これを拒否することができる。したがって、不正なアクセスに対するセキュリティの低下が抑えられる。
【0029】
以下、このセキュリティシステムの各機器の動作について詳細に説明する。最初に、一時テンプレート用アルゴリズムの変更にかかる処理について説明する。図8は、この一時テンプレート用アルゴリズムの変更にかかるシステム管理装置の処理を示すフローチャートである。また、図9は、この一時テンプレート用アルゴリズムの変更にかかる入退室管理装置、およびアクセス用端末の処理を示すフローチャートである。システム管理装置1は、予め定められている一時テンプレート用アルゴリズムの変更タイミングになると(s1)、接続されている全ての入退室管理装置2、およびアクセス用端末4に対して、一時テンプレート用アルゴリズムの変更開始を通知する(s2)。入退室管理装置2、およびアクセス用端末4は、システム管理装置1から一時テンプレート用アルゴリズムの変更開始にかかる通知を受信すると(s11)、一時テンプレート用アルゴリズムの変更準備完了をシステム管理装置1に返信する(s12)。このとき、入退室管理装置2、およびアクセス用端末4は、他の処理(例えば、情報サーバ3で管理している重要情報にアクセスする処理)を一時的に停止する構成としてもよい。
【0030】
この一時テンプレート用アルゴリズムの変更タイミングは、利用者が管理区域内にいないタイミングであるのが望ましい。すなわち、一時テンプレート用アルゴリズムが変更されたときに、管理区域内に利用者がいると、この管理区域内にいる利用者は、今回の変更前の一時テンプレート用アルゴリズムで生成された一時テンプレートがシステム管理装置1に登録されていることになる。一方、管理区域内にいる利用者の認証は、その時点で設定されている一時テンプレート用アルゴリズムが使用される。このため、一時テンプレート用アルゴリズムが変更されたときに、管理区域内にいる利用者については認証できない状態になる。また、後述するように、一時テンプレートは、利用者が管理区域に入室するときに、システム管理装置1に登録されるので、結果的に、一時テンプレート用アルゴリズムが変更されたときに、管理区域内にいる利用者は、一旦管理区域外に退室し、再度管理区域内に入室することになり、利用者に面倒な作業をさせることにもなる。
【0031】
したがって、一時テンプレート用アルゴリズムの変更タイミングは、利用者が管理区域内にいない状態になる時間帯、例えば日付が変わる午前0時、に行うのが望ましい。また、システム管理装置1では、一時テンプレートが登録されている利用者の有無によって、管理区域内における利用者の有無を判断することができるので、利用者が管理区域内にいないと判断できたタイミングを、一時テンプレート用アルゴリズムの変更タイミングとしてもよい。さらには、オペレータ等による、一時テンプレート用アルゴリズムの変更指示にかかる入力があったタイミングで、一時テンプレート用アルゴリズムを変更するようにしてもよい。
【0032】
システム管理装置1は、入退室管理装置2、およびアクセス用端末4から、一時テンプレート用アルゴリズムの変更準備完了にかかる返信を受信すると(s3)、変更する一時テンプレート用アルゴリズムを作成する(s4)。s3では、接続されている全ての入退室管理装置2、およびアクセス用端末4からの返信受信を判断している。また、s4では、例えば乱数を発生させ、この乱数を用いて一時テンプレート用アルゴリズムを作成する。システム管理装置1は、アルゴリズム管理部13に記憶している一時テンプレート用アルゴリズムを、今回作成した一時テンプレート用アルゴリズムに更新する(s5)。また、今回作成した一時テンプレート用アルゴリズムを接続されている全ての入退室管理装置2、およびアクセス用端末4に通知する(s6)。
【0033】
入退室管理装置2、およびアクセス用端末4は、システム管理装置1から更新する一時テンプレート用アルゴリズムを受信すると(s13)、生体情報読取ユニット25のメモリ25bに記憶している一時テンプレート用アルゴリズムを、今回受信した一時テンプレート用アルゴリズムに書き換えて更新する(s14)。入退室管理装置2、およびアクセス用端末4は、一時テンプレート用アルゴリズムの更新完了をシステム管理装置1に通知する(s15)。
【0034】
システム管理装置1は、接続されている全ての入退室管理装置2、およびアクセス用端末4から更新完了を受信すると(s7)、接続されている全ての入退室管理装置2、およびアクセス用端末4に対して、一時テンプレート用アルゴリズムの変更終了を通知し(s8)、本処理を終了する。入退室管理装置2、およびアクセス用端末4は、システム管理装置1から一時テンプレート用アルゴリズムの変更終了を受信すると(s16)、本処理を終了する。このとき、入退室管理装置2、およびアクセス用端末4は、他の処理(例えば、情報サーバ3で管理している重要情報にアクセスする処理)を一時的に停止していれば、これらの処理の停止を解除する。
【0035】
次に、利用者が管理区域に入室するときの動作について説明する。図10は、管理区域への利用者の入室にかかる入退室管理装置の処理を示すフローチャートである。また、図11は、管理区域への利用者の入室にかかるシステム管理装置の処理を示すフローチャートである。入退室管理装置2は、ICカード処理ユニット24で、管理区域に入室する利用者が所持しているICカード5を受け付け、このICカード5に記録されているカード情報を読み取る(s21)。上述したように、カード情報には、利用者IDやマスタテンプレートが含まれている。入退室管理装置2は、s21で読み取った利用者IDを含む登録者確認要求をシステム管理装置1に送信する(s22)。
【0036】
システム管理装置1は、入退室管理装置2から登録者確認要求を受信すると(s41)、この登録者確認要求に含まれている利用者IDが利用者情報管理部12に登録されているかどうかを判定する(s42)。s42では、。入退室管理装置2が受け付けたICカード5を所持している利用者が、登録者であるかどうかを判定している。システム管理装置1は、s42にかかる判定結果を入退室管理装置2に通知する(s43、s44)。また、システム管理装置1は、s44で未登録者であることを通知すると、本処理を終了する。
【0037】
入退室管理装置1は、システム管理装置1から未登録者である旨の通知を受信すると(s23)、本処理を終了する。すなわち、未登録者については、管理区域への入室を拒否する。入退室管理装置1は、システム管理装置1から登録者である旨の通知を受信すると、生体情報読取ユニット25のセンサ部25aで利用者の生体情報を読み取る(s24)。生体情報読取ユニット25は、読み取った利用者の生体情報の読取信号を基に、メモリ25bに記憶しているデフォルトのアルゴリズムで認証用の生体情報を生成する(s25)。入退室管理装置1は、s25で生成した認証用の生体情報と、s21でICカード5から読み取ったマスタテンプレートと、を照合し、利用者が登録者本人であるかどうかを認証する(s26)。
【0038】
なお、ここでは、入退室管理装置1が利用者が登録者本人であるかどうかを認証するとしたが、s25で生成した認証用の生体情報をICカード5に入力し、ICカード5側でこの認証を行い、その結果を入退室管理装置1に通知する構成としてもよい。この場合には、ICカード5を、上記認証が行える構成にする必要があるが、この場合には、マスタテンプレートをICカード5から読み出し禁止にすることができ、マスタテンプレートの漏洩に対するセキュリティを向上させることができる。
【0039】
入退室管理装置1は、利用者が登録者本人でないと判定すると、その旨をシステム管理装置1に通知し(s27、s28)、本処理を終了する。一方、入退室管理装置1は、利用者が登録者本人であると判定すると、メモリ25bに記憶している一時テンプレート用アルゴリズムで一時テンプレートを生成する(s27、s29)。s29では、利用者の生体情報を再度読み取ってもよいが、s24で読み取った利用者の生体情報を用いたほうが利用者の操作が煩雑にならず、好ましい。入退室管理装置1は、s29で生成した一時テンプレートをシステム管理装置1に通知する(s30)。
【0040】
システム管理装置1は、入退室管理装置1から、利用者が登録者本人でない旨の通知を受信すると(s45)、本処理を終了する。また、システム管理装置1は、入退室管理装置1から、利用者の一時テンプレートを受信すると(s46)、利用者情報管理部12における該当する利用者の利用者IDに通知された一時テンプレートを対応付けて記憶する(s47)。そして、一時テンプレートの登録完了を入退室管理装置1に通知し(s48)、本処理を終了する。
【0041】
入退室管理装置1は、システム管理装置1から一時テンプレートの登録完了にかかる通知を受信すると(s31)、扉開閉部22により、管理区域の出入口に設けた扉を開し(s32)、利用者が管理区域に入室するのを許可する。入退室管理装置1は、利用者が管理区域に入室すると(s33)、扉開閉部22により、管理区域の出入口に設けた扉を閉し(s34)、本処理を終了する。
【0042】
このように、利用者が管理区域に入室するときに、システム管理装置1が利用者情報管理部12における該当する利用者の利用者IDに通知された一時テンプレートを対応付けて記憶する。また、この一時テンプレートは、この時点で決められている一時テンプレート用アルゴリズムで生成されたものであり、この一時テンプレート用アルゴリズムは、上述したように、予め定められたタイミングで変更されている。また、上記説明からも明らかなように、管理区域にともづれで入室した利用者については、システム管理装置1に一時テンプレートが登録されない。
【0043】
次に、管理区域に入室した利用者がアクセス用端末4を操作して、情報サーバ3で管理している重要情報にアクセスするために、アクセス用端末4を起動する処理について説明する。図12は、アクセス用端末の起動処理を示すフローチャートである。図13は、このときのシステム管理装置の処理を示すフローチャートである。アクセス用端末4は、通常スタンバイ状態であり、使用する際に利用者が起動する。利用者は、アクセス用端末4の使用を開始するとき、このアクセス用端末4に接続されている生体情報読取ユニット25のセンサ部25aに生体情報を読み取らせる。アクセス用端末4では、生体情報読取ユニット25がセンサ部25aで利用者の生体情報を読み取ると(s51)、読み取った利用者の生体情報の読取信号を基に、メモリ25bに記憶している一時テンプレート用アルゴリズムで認証用の生体情報を生成する(s52)。アクセス用端末4は、生体情報読取ユニット25で生成された認証用の生体情報、自端末を識別する端末ID、および自端末のセキュリティレベル、を含む認証要求をシステム管理装置1に送信する(s53)。
【0044】
システム管理装置1は、アクセス用端末4から認証要求を受信すると(s61)、利用者情報管理部12に記憶している一時テンプレート毎に、この認証要求に含まれている認証用の生体情報を照合し、利用者を特定する(s62)。システム管理装置1は、s62で利用者が特定できなかった場合(s63)、アクセス用端末4に対して使用不可を通知し(s64)、本処理を終了する。アクセス用端末4は、システム管理装置1から使用不可の通知があると(s54)、利用者による使用を拒否し(s55)、本処理を終了する。s55では、例えば、アクセス用端末4は、その状態をスタンバイ状態で保持し、起動しない。
【0045】
システム管理装置1は、アクセス用端末4の利用者が特定できると、この利用者のセキュリティレベルと、この利用者が使用するアクセス用端末4のセキュリティレベルと、を比較し、アクセス用端末4の使用可否を判定する(s65)。すなわち、s65ではセキュリティレベルによりアクセス用端末4の使用可否を判定している。システム管理装置1は、s65の判定結果が使用不可であれば(s66)、s64でアクセス用端末4に対して使用不可を通知し、本処理を終了する。一方、システム管理装置1は、s65の判定結果が使用可であれば(s66)、その旨をアクセス用端末4に通知する(s67)。
【0046】
アクセス用端末4は、システム管理装置1から使用可の通知があると、利用者による使用を許可する(s56)。s56では、例えば、アクセス用端末4は、スタンバイ状態を終了し、本体を起動する。これにより、利用者は、アクセス用端末4を操作して、情報サーバ3で管理している重要情報にアクセスすることができる。利用者は、アクセス用端末4の使用を終了するとき、このアクセス用端末4をスタンバイ状態に移行させる。
【0047】
なお、情報サーバ3は、上述したように、アクセス用端末4から重要情報に対するアクセスの要求があると、アクセスの要求があった重要情報のセキュリティレベルと、アクセス用端末4のセキュリティレベルと、を比較し、この重要情報に対するアクセスの可否を判定する。したがって、情報サーバ3で管理している重要情報を、セキュリティレベルに応じて、アクセスすることができるアクセス用端末4、すなわち利用者、を制限することができる。
【0048】
また、ここでは、情報サーバ3で管理している重要情報を、セキュリティレベルで分けて管理するシステムで説明したが、重要情報をセキュリティレベルで分けていないシステムであってもよい。この場合には、上述したセキュリティレベルによる判定にかかる処理を無くせばよい。
【0049】
また、上述したように、ともづれで管理区域に入室した利用者は、一時テンプレートがシステム管理装置1に登録されていないので、アクセス用端末4の使用が許可されることはない。また、一時テンプレートが漏洩したとしても、この一時テンプレートを利用して管理区域に入室したり、アクセス用端末4を使用したりすることはできない。したがって、システムへの不正なアクセスに対するセキュリティの低下が抑えられる。
【0050】
また、このアクセス用端末4の使用可否にかかる利用者の認証については、アクセス用端末4の使用開始時だけでなく、使用中にも適当なタイミングで行うようにしてもよい。このようにすれば、利用者が途中で入れ替わった場合等に対するセキュリティの低下も抑えられる。
【0051】
次に、利用者が管理区域から退室するときの動作について説明する。図14は、管理区域への利用者の退室処理にかかる入退室管理装置のフローチャートである。図15は、理区域への利用者の退室処理にかかるシステム管理装置のフローチャートである。入退室管理装置2は、ICカード処理ユニット24で、管理区域から退室する利用者が所持しているICカード5を受け付け、このICカード5に記録されているカード情報を読み取る(s71)。また、入退室管理装置1は、生体情報読取ユニット25のセンサ部25aで利用者の生体情報を読み取る(s72)。生体情報読取ユニット25は、読み取った利用者の生体情報の読取信号を基に、メモリ25bに記憶しているデフォルトのアルゴリズムで認証用の生体情報を生成する(s73)。入退室管理装置1は、s73で生成した認証用の生体情報と、s71でICカード5から読み取ったマスタテンプレートと、を照合し、利用者が登録者本人であるかどうかを認証する(s74)。
【0052】
なお、ここでも、入退室管理装置1が利用者が登録者本人であるかどうかを認証するとしたが、s73で生成した認証用の生体情報をICカード5に入力し、ICカード5側でこの認証を行い、その結果を入退室管理装置1に通知する構成としてもよい。
【0053】
入退室管理装置1は、利用者が登録者本人でないと判定すると、不審者の検知を警備員等に通知する報知処理を行い(s75、s76)、本処理を終了する。これにより、管理区域に不正に入室した未登録者をとらえることができる。一方、入退室管理装置1は、利用者が登録者本人であると判定すると、利用者の退室をシステム管理装置1に通知する(s75、s77)。このとき、入退室管理装置1は、管理区域から退室する利用者の利用者IDもシステム管理装置1に通知する。
【0054】
システム管理装置1は、入退室管理装置1から、利用者の退室が通知されると(s91)、利用者情報管理部12において該当する利用者IDに対応付けて記憶している一時テンプレートを削除する(s92)。そして、一時テンプレートの削除完了を入退室管理装置1に通知し(s93)、本処理を終了する。
【0055】
入退室管理装置1は、システム管理装置1から一時テンプレートの削除完了にかかる通知を受信すると(s78)、扉開閉部22により、管理区域の出入口に設けた扉を開し(s79)、利用者が管理区域から退室するのを許可する。入退室管理装置1は、利用者が管理区域から退室すると(s80)、扉開閉部22により、管理区域の出入口に設けた扉を閉し(s81)、本処理を終了する。
【0056】
このように、管理区域から退室した利用者については、利用者情報管理部12に記憶している一時テンプレートが削除される。すなわち、一時テンプレートを利用者情報管理部12に記憶している利用者は、管理区域内にいる利用者である。また、管理区域内にいる利用者についてのみ一時テンプレートを記憶しているので、上述したs62における利用者の特定時に、照合する一時テンプレートの総数を抑えることができ、システム管理装置1の負荷が抑えられる。
【0057】
また、上記のセキュリティシステムでは、管理区域に入退室する利用者について、生体情報による認証を行うとしたが、IDやパスワードによる認証に置き換えてもよい。また、上記実施形態では、情報サーバ3で管理している重要情報に対するアクセスを制限するセキュリティを例にして説明したが、管理区域内が複数の部屋に分割されており、いずれかの部屋に入退室する利用者を制限するセキュリティシステムや、アプリケーション単位のサービスに対して適用するセキュリティシステムであってもよい。
【0058】
また、一時テンプレートの変更は、一時テンプレートの漏洩や不正アクセスを管理者、あるいはセキュリティシステムが検知した場合に、実行できるようにしてもよい。
【0059】
また、システム管理装置1、入退室管理装置2、およびアクセス用端末4のそれぞれに、上述した一時テンプレート用アルゴリズムを作成する機能を設け、これの装置が、日付等を用いて同一の一時テンプレート用アルゴリズムを作成する構成としてもよい。このようにすれば、システム管理装置1から、一時テンプレート用アルゴリズムを入退室管理装置2、およびアクセス用端末4に送信する必要がないので、送信時に一時テンプレート用アルゴリズムが漏洩するという問題も生じない。
【0060】
さらに、上記の説明では、ともづれで管理区域に入室した利用者については、一時テンプレートが登録されないとしたが、ともづれした利用者の認証で、一時テンプレートがシステム管理装置1に登録できる構成としてもよい。また、この場合、システム管理装置1では、ともづれで入室した利用者と、登録者と、を区別して管理するのが好ましい。
【0061】
また、入室する利用者の一時テンプレートを、入退室管理装置2で生成するとしたが、これをシステム管理装置1で生成するようにしてもよい。この場合、入室する利用者から読み取った生体情報の読取信号を、入退室管理装置2からシステム管理装置1に送信すればよい。また、このときには、入退室管理装置2に対して一時テンプレート用アルゴリズムを通知しなくてもよい。アクセス用端末4についても、利用者の認証時に一時テンプレート用アルゴリズムで認証用の生体情報を生成するとしたが、利用者から読み取った生体情報の読取信号をシステム管理装置1に通知する構成としてもよい。この場合も、アクセス用端末4に一時テンプレート用アルゴリズムを通知しなくてもよい。したがって、一時テンプレート用アルゴリズムの変更が、システム管理装置1単独で行えるようになる。
【図面の簡単な説明】
【0062】
【図1】セキュリティシステムの構成を示す概略図である。
【図2】入退室管理装置の主要部の構成を示す図である。
【図3】カード情報を示す図である。
【図4】システム管理装置の主要部の構成を示す図である。
【図5】利用者情報を示す図である。
【図6】アルゴリズム管理部が管理する情報を示す図である。
【図7】セキュリティ情報管理部が管理する情報を示す図である。
【図8】一時テンプレート用アルゴリズムの変更にかかるシステム管理装置の処理を示すフローチャートである。
【図9】一時テンプレート用アルゴリズムの変更にかかる入退室管理装置、およびアクセス用端末のフローチャートである。
【図10】管理区域への利用者の入室処理にかかる入退室管理装置のフローチャートである。
【図11】管理区域への利用者の入室処理にかかるシステム管理装置のフローチャートである。
【図12】アクセス用端末の起動処理を示すフローチャートである。
【図13】アクセス用端末の起動にかかるシステム管理装置の処理を示すフローチャートである。
【図14】管理区域への利用者の退室処理にかかる入退室管理装置のフローチャートである。
【図15】管理区域への利用者の退室処理にかかるシステム管理装置のフローチャートである。
【符号の説明】
【0063】
1−システム管理装置
2−入退室管理装置
3−情報サーバ
4−アクセス用端末
5−ICカード
11−制御部
12−利用者情報管理部
13−アルゴリズム管理部
14−セキュリティ情報管理部
15−通信部
21−制御部
22−扉開閉部
23−通信部
24−ICカード処理ユニット
25−生体情報読取ユニット
【技術分野】
【0001】
本発明は、システムの利用者を制限するシステム管理装置、および、このシステム管理装置を適用したセキュリティシステムに関する。
【背景技術】
【0002】
従来、利用者に対する本人認証には、ID、パスワード等の暗証情報による認証や、指紋、指静脈、掌等の生体情報による認証がある。この本人認証にかかる技術は、例えば、管理区域に入退室する利用者について本人認証を行い、利用者本人であることを確認した場合に、入退室を許可するシステムや、サーバ等に保存されている情報にアクセスする利用者について本人認証を行い、利用者本人であることを確認した場合に、アクセスを許可するシステムで利用されている。また、一般に、生体情報による認証は、暗証情報による認証に比べて、「なりすまし」に対するセキュリティが高いと言われている。
【0003】
また、利用者を生体情報で認証するシステムには、例えば特許文献1、2に記載されたものがある。特許文献1に記載のシステムでは、利用者が生体認証における照合の基準となるテンプレート(照合用生体情報)を登録したICカード等の媒体を保持している。このテンプレートは、利用者から読み取った指紋、指静脈、掌等の生体情報を基に、予め定められた手順(アルゴリズム)で生成したものであり、その特徴量が含まれている。このシステムは、警備区画内における利用者のアクセス管理を行う。具体的には、利用者が、警備区画内に入場する際に提示した媒体の正当性をシステムで検証し、媒体が正当なものであると認められた場合には媒体内のテンプレートを一時テンプレートとしてシステムに登録する。そして、警備区画内では、この警備区画内で分割されている内部区画の入退室時や、端末のアクセス時等、必要に応じて、利用者から生体情報を読み取り、記憶している一時テンプレートとを照合して、利用者の認証を行っている。
【0004】
また、特許文献2に記載のシステムでは、あらかじめテンプレートを初期認証システムに登録しておき、初回アクセス時に、利用者から読み取った生体情報と、記憶しているテンプレートとを照合し、利用者の認証を行う。ここで、利用者が認証できると、利用者から読み取った生体情報を一時テンプレートとして任意時点認証システムに登録する。そして、システム利用中の利用者に対して、必要に応じて、利用者の認証を行う。この認証は、利用者から読み取った生体情報と、任意時点認証システムに登録している一時テンプレートと、の照合により行われる。
【特許文献1】特開2001− 76270号公報
【特許文献2】特開2006−163453号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1に記載のシステムは、利用者がシステムを利用するときに、その利用者のICカード等の媒体に記憶しているテンプレートを一時テンプレートとして登録するものであった。このため、利用者は、システムの利用時に登録される一時テンプレートが、常に同じであって。
【0006】
また、特許文献2に記載のシステムは、利用者がシステムを利用するときに、その利用者から読み取った生体情報を基に一時テンプレートを生成し、これを登録する構成であるが、一時テンプレートを生成する手順が同じであった。このため、利用者は、システムの利用時に登録される一時テンプレートが、殆ど同じであった。
【0007】
したがって、システムに登録された利用者の一時テンプレートが漏洩すると、この一時テンプレートを利用したシステムの不正利用に対するセキュリティが低下するという問題があった。
【0008】
この発明の目的は、システムの利用に先立って登録された利用者の生体情報が漏洩しても、システムの不正利用に対するセキュリティの低下が抑えられる管理装置、および、この管理装置を適用したセキュリティシステムを提供することにある。
【課題を解決するための手段】
【0009】
この発明のシステム管理装置は、上記課題を解決し、その目的を達するために、以下のように構成している。
【0010】
このシステム管理装置では、生成手順変更手段が、センサで読み取った利用者の生体部位の読取情報を基に生成される照合用生体情報の生成手順を予め定めたタイミングで変更する。照合用生体情報とは、利用者の認証に用いるテンプレートである。また、照合用生体情報の生成手順とは、センサで読み取った利用者の生体部位の読取情報から、どのような特徴量を抽出し、その特徴量をどのように変換(例えば、暗号化)するかを定めたものである。また、この生成手順は、例えば日付が変わる午前0時や、オペレータ等によって変更入力がなされたときに変更すればよい。照合用生体情報記憶手段が、利用者における前記システムの利用に先立って、その利用者の生体部位をセンサで読み取った読取情報を基に、その時点で、前記生成手順変更手段が決めている生成手順で生成した照合用生体情報を記憶する。また、認証手段が、利用者における前記システムの利用開始にあたって、その利用者について前記システムの使用可否を、前記照合用生体情報記憶手段が記憶している照合用生体情報を用いた生体認証で行う。生体認証では、利用者から読み取った生体部位の読取情報を基に生成した認証用生体情報と、利用者について記憶している照合用生体情報と、を照合し、その一致度で利用者を認証する。さらに、削除手段が前記システムの利用が終了した利用者について、前記照合用生体情報記憶手段が記憶している照合用生体情報を削除する。
【0011】
このため、照合用生体情報記憶手段が記憶する利用者の照合用生体情報は、その利用者について照合用生体情報を記憶したタイミングで変化する。したがって、照合用生体情報記憶手段が記憶している照合用生体情報が漏洩しても照合用生体情報の作成手順が適当なタイミングで変更されているので、この漏洩した照合用生体情報を利用したシステムの不正利用に対するセキュリティの低下が抑えられる。
【0012】
また、照合用生体情報記憶手段が記憶する利用者の照合用生体情報は、利用者の生体部位をセンサで読み取る生体情報読取装置に作成させてもよいし、システム管理装置側で作成してもよい。生体情報読取装置で作成する場合には、照合用生体情報の生成手順を変更する毎に、変更した生成手順をシステム管理装置から生体情報読取装置に通知すればよい。また、システム管理装置で作成する場合には、照合用生体情報の生成手順を生体情報読取装置に通知する必要はなく、生体情報読取装置から利用者の生体部位をセンサで読み取った読取情報をシステム管理装置に通知すればよい。
【0013】
また、このシステム管理装置と、管理区域における利用者の入退室を管理する入退室管理装置と、で管理区域内でのシステムの利用者を制限するセキュリティシステムを構築することもできる。
【0014】
この場合には、入退室管理装置が、管理区域への利用者の入室を許可するときに、この利用者についての照合用生体情報を照合用生体情報記憶手段に記憶させ、管理区域からの利用者の退室を許可するときに、照合用生体情報記憶手段に記憶されている、この利用者についての照合用生体情報を削除すればよい。
【0015】
また、入退室管理装置で、管理区域への入退室を希望する利用者に対して、暗証情報や、生体情報により認証を行うことで、セキュリティの一層の向上が図れる。
【発明の効果】
【0016】
この発明によれば、システムの利用に先立って登録された利用者の生体情報が漏洩しても、システムの不正利用に対するセキュリティの低下が抑えられる。
【発明を実施するための最良の形態】
【0017】
以下、この発明の実施形態にかかるセキュリティシステムについて説明する。
【0018】
図1は、このセキュリティシステムの構成を示す概略図である。このセキュリティシステムは、システム管理装置1と、入退室管理装置2と、情報サーバ3と、アクセス用端末4と、を備えている。このセキュリティシステムは、本システムの利用者を制限することにより、情報サーバ3で管理している重要情報に対する不正なアクセスを防止する。具体的には、情報サーバ3で管理している重要情報にアクセスすることができるアクセス用端末4を管理区域内に設置している。言い換えれば、管理区域外の装置から情報サーバ3で管理している重要情報にアクセスすることはできないように構成している。情報サーバ3には、LAN等のネットワークを介して複数のアクセス用端末4がデータ通信可能に接続されている。また、システム管理装置1や入退室管理装置2も、情報サーバ3やアクセス用端末4とデータ通信可能に接続されている。情報サーバ3は、管理区域外に設置してもよいが、管理区域内に設置するのが好ましい。また、入退室管理装置2が、管理区域に入退室する利用者を認証し、認証できなかった利用者の入退室を拒否する。すなわち、管理区域に入室する権限を有していない利用者については、入退室管理装置2が管理区域への入室を阻止する。さらに、システム管理装置1は、管理区域に入室した利用者がアクセス用端末4の使用開始するときに、この利用者を認証し、認証できた利用者に対してアクセス用端末4の使用を許可する。すなわち、システム管理装置1は、認証できた利用者に対して、情報サーバ3が記憶する重要情報に対するアクセスを許可する。したがって、何らかの方法で管理区域に不正に入室できたとしても、この不正入室者は、アクセス用端末4の使用が許可されず、情報サーバ3で管理している重要情報にアクセスすることができない。
【0019】
このように、このセキュリティシステムでは、管理区域に入室し、且つアクセス用端末4の使用が許可された利用者が、情報サーバ3で管理されている重要情報にアクセスすることができる。
【0020】
入退室管理装置2は、図2に示すように、制御部21と、扉開閉部22と、通信部23と、ICカード処理ユニット24と、生体情報読取ユニット25と、を備えている。ここでは、入退室管理装置2は、ICカード処理ユニット24、および生体情報読取ユニット25をそれぞれ2つずつ備えている。制御部21は、入退室管理装置2本体各部の動作を制御する。扉開閉部22は、管理区域の出入口に設けられた扉(不図示)を開閉する。この扉を開することにより、管理区域における利用者の入退室を許可し、この扉を閉することにより、管理区域における利用者の入退室を拒否する。通信部23は、システム管理装置1との間におけるデータ通信を制御する。ICカード処理ユニット24は、利用者が所有するICカード5に記録されているカード情報を読み出す。カード情報には、利用者を識別する利用者IDや、この利用者の生体認証に用いるマスタテンプレートが含まれている(図3参照)。マスタテンプレートは、ICカード5の発行時等に、利用者から読み取った指紋、指静脈、掌等のセンサの読取信号を基に、特定の生成手順で作成されたものである。このマスタテンプレートを生成する手順は、デフォルトのアルゴリズムによって規定されている。このデフォルトのアルゴリズムについては後述する。生体情報読取ユニット25は、利用者の生体情報を読み取るセンサ部25aや、デフォルトのアルゴリズムやシステム管理装置1に登録する一時テンプレートの生成手順を規定する一時テンプレート用アルゴリズムを記憶するメモリ25bを有している。
【0021】
ICカード処理ユニット24、および生体情報読取ユニット25は、少なくとも、管理区域の出入口の外側に設けてあればよい。これにより、管理区域に入室する利用者に対する認証が行える。この場合、管理区域から退室する利用者に対する認証が行えないので、ICカード処理ユニット24、および生体情報読取ユニット25は、管理区域の出入口の両側に設けるのが好ましい。このため、このセキュリティシステムでは、上述したように、入退室管理装置2は、ICカード処理ユニット24、および生体情報読取ユニット25をそれぞれ2つずつ備えている。また、入退室管理装置2は、ICカード処理ユニット24、および生体情報読取ユニット25を内蔵した構成であってもよいし、これらをデータ通信ラインで接続した構成であってもよい。
【0022】
システム管理装置1は、図4に示すように、制御部11と、利用者情報管理部12と、アルゴリズム管理部13と、セキュリティ情報管理部14と、通信部15と、を備えている。制御部11は、システム管理装置1本体各部の動作を制御する。利用者情報管理部12は、利用者毎に、その利用者を識別する利用者ID、その利用者のセキュリティレベル、その利用者の認証に用いる一時テンプレートを対応付けた利用者情報を記憶している(図5参照)。利用者情報管理部12が利用者IDを記憶している利用者が、このシステムを利用することができる登録者である。セキュリティレベルは、A、B、Cの順に低くなる。一時テンプレートは、その時点で管理区域内にいる利用者について記憶しているが、その時点で管理区域内にいない利用者については記憶していない。
【0023】
アルゴリズム管理部13は、利用者から読み取った指紋、指静脈、掌等のセンサの読取信号を基に生成するマスタテンプレートの生成手順を示すデフォルトのアルゴリズム、および、利用者から読み取った指紋、指静脈、掌等のセンサの読取信号を基に生成する一時テンプレートの生成手順を示す一時テンプレート用アルゴリズムを記憶している(図6参照)。生体情報読取ユニット25のメモリ25bに記憶しているデフォルトのアルゴリズムおよび一時テンプレート用アルゴリズムと、アルゴリズム管理部13に記憶しているデフォルトのアルゴリズムおよび一時テンプレート用アルゴリズムと、は一致するように管理されている。すなわち、アルゴリズム管理部13が記憶しているデフォルトのアルゴリズムは、ICカード5に記憶しているマスタテンプレートの作成手順を示すアルゴリズムである。また、一時テンプレート用アルゴリズムは、予め定めたタイミングで変更される。このタイミングは、例えば、日付の変わる午前0時や、セキュリティシステムの起動時や、管理区域内に利用者が1人もいないときや、オペレータ等によって変更入力がなされたとき、にすればよい。また、セキュリティ情報管理部14は、アクセス用端末4毎に、その端末を識別する端末IDと、その端末のセキュリティレベルと、を対応付けて記憶している(図7参照)。ここでは、セキュリティレベルは、A、B、Cの順に低くなる。
【0024】
情報サーバ3で管理している重要情報にはセキュリティレベルが設定されている。情報サーバ3は、アクセス用端末4から管理している重要情報に対するアクセスの要求があると、このアクセス用端末4のセキュリティレベルと、アクセスが要求された重要情報のセキュリティレベルと、を比較し、今回の重要情報に対するアクセスを許可するかどうかを判定する。具体的には、情報サーバ3は、アクセス用端末4のセキュリティレベルが重要情報のセキュリティレベル未満であれば、重要情報に対するアクセスを拒否する。言い換えれば、情報サーバ3は、アクセス用端末4のセキュリティレベルが重要情報のセキュリティレベル以上であれば、重要情報に対するアクセスを拒否する。例えば、セキュリティレベルがBのアクセス用端末4から重要情報に対するアクセスの要求があれば、セキュリティレベルがB、Cの重要情報についてはアクセスを許可するが、セキュリティレベルがAの重要情報についてはアクセスを拒否をする。
【0025】
アクセス用端末4は、一般的なパーソナルコンピュータであるので、その構成についての詳細な説明は省略するが、自端末を識別する端末ID、および自端末のセキュリティレベルをメモリに記憶している。また、このアクセス用端末4には、上述した生体情報読取ユニット25が接続されている。生体情報読取ユニット25は、アクセス用端末4に内蔵されていてもよい。
【0026】
次に、このセキュリティシステムの各機器の動作について説明する。まず、このセキュリティシステムの動作の概要について説明する。
【0027】
システム管理装置1は、予め定められたタイミングで一時テンプレート用アルゴリズムを変更する。入退室管理装置2は、管理区域に入室する利用者を認証し、認証できた利用者については管理区域への入室を許可する。このとき、管理区域に入室を許可した利用者については、その時点における一時テンプレート用アルゴリズムで一時テンプレートを生成し、システム管理装置1に登録する。システム管理装置1は、管理区域に入室した利用者がアクセス用端末4の使用を開始するとき、この利用者について一時テンプレートを用いた生体認証を行う。また、システム管理装置1は、この一時テンプレートを用いた生体認証で認証された利用者について、この利用者のセキュリティレベルと、この利用者が使用するアクセス用端末4のセキュリティレベルと、を比較し、アクセス用端末4の使用可否を判定する。利用者のセキュリティレベルが、アクセス用端末4のセキュリティレベル以上であれば使用可と判定し、反対に、利用者のセキュリティレベルが、アクセス用端末4のセキュリティレベル未満であれば使用不可と判定する。利用者が、使用が許可されたアクセス用端末4を操作して、情報サーバ3で管理している重要情報に対してアクセスを行うと、情報サーバ3はアクセスの要求があった重要情報のセキュリティレベルと、アクセス用端末4のセキュリティレベルと、を比較し、この重要情報に対するアクセスの可否を判定する。アクセス用端末4を操作している利用者は、情報サーバ3によって重要情報に対するアクセスが許可されると、その重要情報にアクセスすることができる。反対に、利用者は、情報サーバ3によって重要情報に対するアクセスが拒否されると、その重要情報にアクセスすることができない。さらに、入退室管理装置2は、管理区域外に退室する利用者を認証し、認証できた利用者については管理区域外への退室を許可する。また、この退室を許可した利用者については、システム管理装置1に登録されている一時テンプレートを削除する。
【0028】
このように、利用者は、管理区域に入室するときに、一時テンプレートがシステム管理装置1に登録される。すなわち、利用者は、アクセス用端末4を操作して情報サーバ3で管理している重要情報にアクセスするシステムの利用に先立って、一時テンプレートがシステム管理装置1に登録される。この一時テンプレート用アルゴリズムは、上述したように、予め定められたタイミングで変更される。このため、システム管理装置1に登録されている一時テンプレートが漏洩しても、適当なタイミングで一時テンプレート用アルゴリズムが変更されるので、この漏洩した一時テンプレートを利用して、情報サーバ3が管理する重要情報に対する不正なアクセスが要求されても、これを拒否することができる。したがって、不正なアクセスに対するセキュリティの低下が抑えられる。
【0029】
以下、このセキュリティシステムの各機器の動作について詳細に説明する。最初に、一時テンプレート用アルゴリズムの変更にかかる処理について説明する。図8は、この一時テンプレート用アルゴリズムの変更にかかるシステム管理装置の処理を示すフローチャートである。また、図9は、この一時テンプレート用アルゴリズムの変更にかかる入退室管理装置、およびアクセス用端末の処理を示すフローチャートである。システム管理装置1は、予め定められている一時テンプレート用アルゴリズムの変更タイミングになると(s1)、接続されている全ての入退室管理装置2、およびアクセス用端末4に対して、一時テンプレート用アルゴリズムの変更開始を通知する(s2)。入退室管理装置2、およびアクセス用端末4は、システム管理装置1から一時テンプレート用アルゴリズムの変更開始にかかる通知を受信すると(s11)、一時テンプレート用アルゴリズムの変更準備完了をシステム管理装置1に返信する(s12)。このとき、入退室管理装置2、およびアクセス用端末4は、他の処理(例えば、情報サーバ3で管理している重要情報にアクセスする処理)を一時的に停止する構成としてもよい。
【0030】
この一時テンプレート用アルゴリズムの変更タイミングは、利用者が管理区域内にいないタイミングであるのが望ましい。すなわち、一時テンプレート用アルゴリズムが変更されたときに、管理区域内に利用者がいると、この管理区域内にいる利用者は、今回の変更前の一時テンプレート用アルゴリズムで生成された一時テンプレートがシステム管理装置1に登録されていることになる。一方、管理区域内にいる利用者の認証は、その時点で設定されている一時テンプレート用アルゴリズムが使用される。このため、一時テンプレート用アルゴリズムが変更されたときに、管理区域内にいる利用者については認証できない状態になる。また、後述するように、一時テンプレートは、利用者が管理区域に入室するときに、システム管理装置1に登録されるので、結果的に、一時テンプレート用アルゴリズムが変更されたときに、管理区域内にいる利用者は、一旦管理区域外に退室し、再度管理区域内に入室することになり、利用者に面倒な作業をさせることにもなる。
【0031】
したがって、一時テンプレート用アルゴリズムの変更タイミングは、利用者が管理区域内にいない状態になる時間帯、例えば日付が変わる午前0時、に行うのが望ましい。また、システム管理装置1では、一時テンプレートが登録されている利用者の有無によって、管理区域内における利用者の有無を判断することができるので、利用者が管理区域内にいないと判断できたタイミングを、一時テンプレート用アルゴリズムの変更タイミングとしてもよい。さらには、オペレータ等による、一時テンプレート用アルゴリズムの変更指示にかかる入力があったタイミングで、一時テンプレート用アルゴリズムを変更するようにしてもよい。
【0032】
システム管理装置1は、入退室管理装置2、およびアクセス用端末4から、一時テンプレート用アルゴリズムの変更準備完了にかかる返信を受信すると(s3)、変更する一時テンプレート用アルゴリズムを作成する(s4)。s3では、接続されている全ての入退室管理装置2、およびアクセス用端末4からの返信受信を判断している。また、s4では、例えば乱数を発生させ、この乱数を用いて一時テンプレート用アルゴリズムを作成する。システム管理装置1は、アルゴリズム管理部13に記憶している一時テンプレート用アルゴリズムを、今回作成した一時テンプレート用アルゴリズムに更新する(s5)。また、今回作成した一時テンプレート用アルゴリズムを接続されている全ての入退室管理装置2、およびアクセス用端末4に通知する(s6)。
【0033】
入退室管理装置2、およびアクセス用端末4は、システム管理装置1から更新する一時テンプレート用アルゴリズムを受信すると(s13)、生体情報読取ユニット25のメモリ25bに記憶している一時テンプレート用アルゴリズムを、今回受信した一時テンプレート用アルゴリズムに書き換えて更新する(s14)。入退室管理装置2、およびアクセス用端末4は、一時テンプレート用アルゴリズムの更新完了をシステム管理装置1に通知する(s15)。
【0034】
システム管理装置1は、接続されている全ての入退室管理装置2、およびアクセス用端末4から更新完了を受信すると(s7)、接続されている全ての入退室管理装置2、およびアクセス用端末4に対して、一時テンプレート用アルゴリズムの変更終了を通知し(s8)、本処理を終了する。入退室管理装置2、およびアクセス用端末4は、システム管理装置1から一時テンプレート用アルゴリズムの変更終了を受信すると(s16)、本処理を終了する。このとき、入退室管理装置2、およびアクセス用端末4は、他の処理(例えば、情報サーバ3で管理している重要情報にアクセスする処理)を一時的に停止していれば、これらの処理の停止を解除する。
【0035】
次に、利用者が管理区域に入室するときの動作について説明する。図10は、管理区域への利用者の入室にかかる入退室管理装置の処理を示すフローチャートである。また、図11は、管理区域への利用者の入室にかかるシステム管理装置の処理を示すフローチャートである。入退室管理装置2は、ICカード処理ユニット24で、管理区域に入室する利用者が所持しているICカード5を受け付け、このICカード5に記録されているカード情報を読み取る(s21)。上述したように、カード情報には、利用者IDやマスタテンプレートが含まれている。入退室管理装置2は、s21で読み取った利用者IDを含む登録者確認要求をシステム管理装置1に送信する(s22)。
【0036】
システム管理装置1は、入退室管理装置2から登録者確認要求を受信すると(s41)、この登録者確認要求に含まれている利用者IDが利用者情報管理部12に登録されているかどうかを判定する(s42)。s42では、。入退室管理装置2が受け付けたICカード5を所持している利用者が、登録者であるかどうかを判定している。システム管理装置1は、s42にかかる判定結果を入退室管理装置2に通知する(s43、s44)。また、システム管理装置1は、s44で未登録者であることを通知すると、本処理を終了する。
【0037】
入退室管理装置1は、システム管理装置1から未登録者である旨の通知を受信すると(s23)、本処理を終了する。すなわち、未登録者については、管理区域への入室を拒否する。入退室管理装置1は、システム管理装置1から登録者である旨の通知を受信すると、生体情報読取ユニット25のセンサ部25aで利用者の生体情報を読み取る(s24)。生体情報読取ユニット25は、読み取った利用者の生体情報の読取信号を基に、メモリ25bに記憶しているデフォルトのアルゴリズムで認証用の生体情報を生成する(s25)。入退室管理装置1は、s25で生成した認証用の生体情報と、s21でICカード5から読み取ったマスタテンプレートと、を照合し、利用者が登録者本人であるかどうかを認証する(s26)。
【0038】
なお、ここでは、入退室管理装置1が利用者が登録者本人であるかどうかを認証するとしたが、s25で生成した認証用の生体情報をICカード5に入力し、ICカード5側でこの認証を行い、その結果を入退室管理装置1に通知する構成としてもよい。この場合には、ICカード5を、上記認証が行える構成にする必要があるが、この場合には、マスタテンプレートをICカード5から読み出し禁止にすることができ、マスタテンプレートの漏洩に対するセキュリティを向上させることができる。
【0039】
入退室管理装置1は、利用者が登録者本人でないと判定すると、その旨をシステム管理装置1に通知し(s27、s28)、本処理を終了する。一方、入退室管理装置1は、利用者が登録者本人であると判定すると、メモリ25bに記憶している一時テンプレート用アルゴリズムで一時テンプレートを生成する(s27、s29)。s29では、利用者の生体情報を再度読み取ってもよいが、s24で読み取った利用者の生体情報を用いたほうが利用者の操作が煩雑にならず、好ましい。入退室管理装置1は、s29で生成した一時テンプレートをシステム管理装置1に通知する(s30)。
【0040】
システム管理装置1は、入退室管理装置1から、利用者が登録者本人でない旨の通知を受信すると(s45)、本処理を終了する。また、システム管理装置1は、入退室管理装置1から、利用者の一時テンプレートを受信すると(s46)、利用者情報管理部12における該当する利用者の利用者IDに通知された一時テンプレートを対応付けて記憶する(s47)。そして、一時テンプレートの登録完了を入退室管理装置1に通知し(s48)、本処理を終了する。
【0041】
入退室管理装置1は、システム管理装置1から一時テンプレートの登録完了にかかる通知を受信すると(s31)、扉開閉部22により、管理区域の出入口に設けた扉を開し(s32)、利用者が管理区域に入室するのを許可する。入退室管理装置1は、利用者が管理区域に入室すると(s33)、扉開閉部22により、管理区域の出入口に設けた扉を閉し(s34)、本処理を終了する。
【0042】
このように、利用者が管理区域に入室するときに、システム管理装置1が利用者情報管理部12における該当する利用者の利用者IDに通知された一時テンプレートを対応付けて記憶する。また、この一時テンプレートは、この時点で決められている一時テンプレート用アルゴリズムで生成されたものであり、この一時テンプレート用アルゴリズムは、上述したように、予め定められたタイミングで変更されている。また、上記説明からも明らかなように、管理区域にともづれで入室した利用者については、システム管理装置1に一時テンプレートが登録されない。
【0043】
次に、管理区域に入室した利用者がアクセス用端末4を操作して、情報サーバ3で管理している重要情報にアクセスするために、アクセス用端末4を起動する処理について説明する。図12は、アクセス用端末の起動処理を示すフローチャートである。図13は、このときのシステム管理装置の処理を示すフローチャートである。アクセス用端末4は、通常スタンバイ状態であり、使用する際に利用者が起動する。利用者は、アクセス用端末4の使用を開始するとき、このアクセス用端末4に接続されている生体情報読取ユニット25のセンサ部25aに生体情報を読み取らせる。アクセス用端末4では、生体情報読取ユニット25がセンサ部25aで利用者の生体情報を読み取ると(s51)、読み取った利用者の生体情報の読取信号を基に、メモリ25bに記憶している一時テンプレート用アルゴリズムで認証用の生体情報を生成する(s52)。アクセス用端末4は、生体情報読取ユニット25で生成された認証用の生体情報、自端末を識別する端末ID、および自端末のセキュリティレベル、を含む認証要求をシステム管理装置1に送信する(s53)。
【0044】
システム管理装置1は、アクセス用端末4から認証要求を受信すると(s61)、利用者情報管理部12に記憶している一時テンプレート毎に、この認証要求に含まれている認証用の生体情報を照合し、利用者を特定する(s62)。システム管理装置1は、s62で利用者が特定できなかった場合(s63)、アクセス用端末4に対して使用不可を通知し(s64)、本処理を終了する。アクセス用端末4は、システム管理装置1から使用不可の通知があると(s54)、利用者による使用を拒否し(s55)、本処理を終了する。s55では、例えば、アクセス用端末4は、その状態をスタンバイ状態で保持し、起動しない。
【0045】
システム管理装置1は、アクセス用端末4の利用者が特定できると、この利用者のセキュリティレベルと、この利用者が使用するアクセス用端末4のセキュリティレベルと、を比較し、アクセス用端末4の使用可否を判定する(s65)。すなわち、s65ではセキュリティレベルによりアクセス用端末4の使用可否を判定している。システム管理装置1は、s65の判定結果が使用不可であれば(s66)、s64でアクセス用端末4に対して使用不可を通知し、本処理を終了する。一方、システム管理装置1は、s65の判定結果が使用可であれば(s66)、その旨をアクセス用端末4に通知する(s67)。
【0046】
アクセス用端末4は、システム管理装置1から使用可の通知があると、利用者による使用を許可する(s56)。s56では、例えば、アクセス用端末4は、スタンバイ状態を終了し、本体を起動する。これにより、利用者は、アクセス用端末4を操作して、情報サーバ3で管理している重要情報にアクセスすることができる。利用者は、アクセス用端末4の使用を終了するとき、このアクセス用端末4をスタンバイ状態に移行させる。
【0047】
なお、情報サーバ3は、上述したように、アクセス用端末4から重要情報に対するアクセスの要求があると、アクセスの要求があった重要情報のセキュリティレベルと、アクセス用端末4のセキュリティレベルと、を比較し、この重要情報に対するアクセスの可否を判定する。したがって、情報サーバ3で管理している重要情報を、セキュリティレベルに応じて、アクセスすることができるアクセス用端末4、すなわち利用者、を制限することができる。
【0048】
また、ここでは、情報サーバ3で管理している重要情報を、セキュリティレベルで分けて管理するシステムで説明したが、重要情報をセキュリティレベルで分けていないシステムであってもよい。この場合には、上述したセキュリティレベルによる判定にかかる処理を無くせばよい。
【0049】
また、上述したように、ともづれで管理区域に入室した利用者は、一時テンプレートがシステム管理装置1に登録されていないので、アクセス用端末4の使用が許可されることはない。また、一時テンプレートが漏洩したとしても、この一時テンプレートを利用して管理区域に入室したり、アクセス用端末4を使用したりすることはできない。したがって、システムへの不正なアクセスに対するセキュリティの低下が抑えられる。
【0050】
また、このアクセス用端末4の使用可否にかかる利用者の認証については、アクセス用端末4の使用開始時だけでなく、使用中にも適当なタイミングで行うようにしてもよい。このようにすれば、利用者が途中で入れ替わった場合等に対するセキュリティの低下も抑えられる。
【0051】
次に、利用者が管理区域から退室するときの動作について説明する。図14は、管理区域への利用者の退室処理にかかる入退室管理装置のフローチャートである。図15は、理区域への利用者の退室処理にかかるシステム管理装置のフローチャートである。入退室管理装置2は、ICカード処理ユニット24で、管理区域から退室する利用者が所持しているICカード5を受け付け、このICカード5に記録されているカード情報を読み取る(s71)。また、入退室管理装置1は、生体情報読取ユニット25のセンサ部25aで利用者の生体情報を読み取る(s72)。生体情報読取ユニット25は、読み取った利用者の生体情報の読取信号を基に、メモリ25bに記憶しているデフォルトのアルゴリズムで認証用の生体情報を生成する(s73)。入退室管理装置1は、s73で生成した認証用の生体情報と、s71でICカード5から読み取ったマスタテンプレートと、を照合し、利用者が登録者本人であるかどうかを認証する(s74)。
【0052】
なお、ここでも、入退室管理装置1が利用者が登録者本人であるかどうかを認証するとしたが、s73で生成した認証用の生体情報をICカード5に入力し、ICカード5側でこの認証を行い、その結果を入退室管理装置1に通知する構成としてもよい。
【0053】
入退室管理装置1は、利用者が登録者本人でないと判定すると、不審者の検知を警備員等に通知する報知処理を行い(s75、s76)、本処理を終了する。これにより、管理区域に不正に入室した未登録者をとらえることができる。一方、入退室管理装置1は、利用者が登録者本人であると判定すると、利用者の退室をシステム管理装置1に通知する(s75、s77)。このとき、入退室管理装置1は、管理区域から退室する利用者の利用者IDもシステム管理装置1に通知する。
【0054】
システム管理装置1は、入退室管理装置1から、利用者の退室が通知されると(s91)、利用者情報管理部12において該当する利用者IDに対応付けて記憶している一時テンプレートを削除する(s92)。そして、一時テンプレートの削除完了を入退室管理装置1に通知し(s93)、本処理を終了する。
【0055】
入退室管理装置1は、システム管理装置1から一時テンプレートの削除完了にかかる通知を受信すると(s78)、扉開閉部22により、管理区域の出入口に設けた扉を開し(s79)、利用者が管理区域から退室するのを許可する。入退室管理装置1は、利用者が管理区域から退室すると(s80)、扉開閉部22により、管理区域の出入口に設けた扉を閉し(s81)、本処理を終了する。
【0056】
このように、管理区域から退室した利用者については、利用者情報管理部12に記憶している一時テンプレートが削除される。すなわち、一時テンプレートを利用者情報管理部12に記憶している利用者は、管理区域内にいる利用者である。また、管理区域内にいる利用者についてのみ一時テンプレートを記憶しているので、上述したs62における利用者の特定時に、照合する一時テンプレートの総数を抑えることができ、システム管理装置1の負荷が抑えられる。
【0057】
また、上記のセキュリティシステムでは、管理区域に入退室する利用者について、生体情報による認証を行うとしたが、IDやパスワードによる認証に置き換えてもよい。また、上記実施形態では、情報サーバ3で管理している重要情報に対するアクセスを制限するセキュリティを例にして説明したが、管理区域内が複数の部屋に分割されており、いずれかの部屋に入退室する利用者を制限するセキュリティシステムや、アプリケーション単位のサービスに対して適用するセキュリティシステムであってもよい。
【0058】
また、一時テンプレートの変更は、一時テンプレートの漏洩や不正アクセスを管理者、あるいはセキュリティシステムが検知した場合に、実行できるようにしてもよい。
【0059】
また、システム管理装置1、入退室管理装置2、およびアクセス用端末4のそれぞれに、上述した一時テンプレート用アルゴリズムを作成する機能を設け、これの装置が、日付等を用いて同一の一時テンプレート用アルゴリズムを作成する構成としてもよい。このようにすれば、システム管理装置1から、一時テンプレート用アルゴリズムを入退室管理装置2、およびアクセス用端末4に送信する必要がないので、送信時に一時テンプレート用アルゴリズムが漏洩するという問題も生じない。
【0060】
さらに、上記の説明では、ともづれで管理区域に入室した利用者については、一時テンプレートが登録されないとしたが、ともづれした利用者の認証で、一時テンプレートがシステム管理装置1に登録できる構成としてもよい。また、この場合、システム管理装置1では、ともづれで入室した利用者と、登録者と、を区別して管理するのが好ましい。
【0061】
また、入室する利用者の一時テンプレートを、入退室管理装置2で生成するとしたが、これをシステム管理装置1で生成するようにしてもよい。この場合、入室する利用者から読み取った生体情報の読取信号を、入退室管理装置2からシステム管理装置1に送信すればよい。また、このときには、入退室管理装置2に対して一時テンプレート用アルゴリズムを通知しなくてもよい。アクセス用端末4についても、利用者の認証時に一時テンプレート用アルゴリズムで認証用の生体情報を生成するとしたが、利用者から読み取った生体情報の読取信号をシステム管理装置1に通知する構成としてもよい。この場合も、アクセス用端末4に一時テンプレート用アルゴリズムを通知しなくてもよい。したがって、一時テンプレート用アルゴリズムの変更が、システム管理装置1単独で行えるようになる。
【図面の簡単な説明】
【0062】
【図1】セキュリティシステムの構成を示す概略図である。
【図2】入退室管理装置の主要部の構成を示す図である。
【図3】カード情報を示す図である。
【図4】システム管理装置の主要部の構成を示す図である。
【図5】利用者情報を示す図である。
【図6】アルゴリズム管理部が管理する情報を示す図である。
【図7】セキュリティ情報管理部が管理する情報を示す図である。
【図8】一時テンプレート用アルゴリズムの変更にかかるシステム管理装置の処理を示すフローチャートである。
【図9】一時テンプレート用アルゴリズムの変更にかかる入退室管理装置、およびアクセス用端末のフローチャートである。
【図10】管理区域への利用者の入室処理にかかる入退室管理装置のフローチャートである。
【図11】管理区域への利用者の入室処理にかかるシステム管理装置のフローチャートである。
【図12】アクセス用端末の起動処理を示すフローチャートである。
【図13】アクセス用端末の起動にかかるシステム管理装置の処理を示すフローチャートである。
【図14】管理区域への利用者の退室処理にかかる入退室管理装置のフローチャートである。
【図15】管理区域への利用者の退室処理にかかるシステム管理装置のフローチャートである。
【符号の説明】
【0063】
1−システム管理装置
2−入退室管理装置
3−情報サーバ
4−アクセス用端末
5−ICカード
11−制御部
12−利用者情報管理部
13−アルゴリズム管理部
14−セキュリティ情報管理部
15−通信部
21−制御部
22−扉開閉部
23−通信部
24−ICカード処理ユニット
25−生体情報読取ユニット
【特許請求の範囲】
【請求項1】
システムの利用者を制限するシステム管理装置において、
センサで読み取った利用者の生体部位の読取情報を基に生成される照合用生体情報の生成手順を予め定めたタイミングで変更する生成手順変更手段と、
利用者における前記システムの利用に先立って、その利用者の生体部位をセンサで読み取った読取情報を基に、その時点で、前記生成手順変更手段が決めている生成手順で生成された照合用生体情報を記憶する照合用生体情報記憶手段と、
利用者における前記システムの利用開始にあたって、その利用者について前記システムの使用可否を、前記照合用生体情報記憶手段が記憶している照合用生体情報を用いた生体認証で行う認証手段と、
前記システムの利用が終了した利用者について、前記照合用生体情報記憶手段が記憶している照合用生体情報を削除する削除手段と、を備えたシステム管理装置。
【請求項2】
前記生成手順変更手段が照合用生体情報の生成手順を変更する毎に、変更された生成手順を、利用者の生体部位をセンサで読み取る生体情報読取装置に通知し、この生体情報読取装置から、前記照合用生体情報記憶手段に記憶する利用者の照合用生体情報を取得する照合用生体情報取得手段を備えた請求項1に記載のシステム管理装置。
【請求項3】
管理区域における利用者の入退室を管理する入退室管理装置と、
前記管理区域内でのシステムの利用者を制限するシステム管理装置と、を有するセキュリティシステムにおいて、
前記システム管理装置は、
センサで読み取った利用者の生体部位の読取情報を基に生成される照合用生体情報の生成手順を予め定めたタイミングで変更する生成手順変更手段と、
前記生成手順変更手段が照合用生体情報の生成手順を変更する毎に、変更した生成手順を前記入退室管理装置に通知する生成手順通知手段と、を備え、
前記入退室管理装置は、
前記システム管理装置から通知された生成手順を記憶する生成手順記憶手段と、
前記管理区域における利用者の入室時に、その利用者の生体部位をセンサで読み取った読取情報を基に、前記生成手順記憶手段が記憶している生成手順で照合用生体情報を生成する照合用生体情報生成手段と、
前記照合用生体情報生成手段が生成した利用者の照合用生体情報を、前記システム管理装置に通知する照合用生体情報通知手段と、
前記管理区域における利用者の退室時に、その利用者の退室を前記システム管理装置に通知する退室通知手段と、を備え、
さらに、前記システム管理装置は、
前記入退室管理装置から通知された利用者の照合用生体情報を記憶する照合用生体情報記憶手段と、
利用者における前記管理区域内での前記システムの利用開始にあたって、その利用者について前記システムの使用可否を、前記照合用生体情報記憶手段が記憶している照合用生体情報を用いた生体認証で行う認証手段と、
前記入退室管理装置から退室が通知された利用者について、前記照合用生体情報記憶手段が記憶している照合用生体情報を削除する削除手段と、を備えている、
セキュリティシステム。
【請求項4】
前記入退室管理装置は、
前記管理区域における利用者の入退室時に、その利用者について入退室の可否を認証する認証手段を備えている、
請求項3に記載のセキュリティシステム。
【請求項5】
前記入退室管理装置は、
前記照合用生体情報生成手段が、前記認証手段により前記管理区域への入室が許可された利用者について照合用生体情報を生成する手段である、
請求項4に記載のセキュリティシステム。
【請求項6】
前記入退室管理装置は、
前記認証手段が、入力されたパスワードを用いて、利用者を認証する手段である、
請求項4または5に記載のセキュリティシステム。
【請求項1】
システムの利用者を制限するシステム管理装置において、
センサで読み取った利用者の生体部位の読取情報を基に生成される照合用生体情報の生成手順を予め定めたタイミングで変更する生成手順変更手段と、
利用者における前記システムの利用に先立って、その利用者の生体部位をセンサで読み取った読取情報を基に、その時点で、前記生成手順変更手段が決めている生成手順で生成された照合用生体情報を記憶する照合用生体情報記憶手段と、
利用者における前記システムの利用開始にあたって、その利用者について前記システムの使用可否を、前記照合用生体情報記憶手段が記憶している照合用生体情報を用いた生体認証で行う認証手段と、
前記システムの利用が終了した利用者について、前記照合用生体情報記憶手段が記憶している照合用生体情報を削除する削除手段と、を備えたシステム管理装置。
【請求項2】
前記生成手順変更手段が照合用生体情報の生成手順を変更する毎に、変更された生成手順を、利用者の生体部位をセンサで読み取る生体情報読取装置に通知し、この生体情報読取装置から、前記照合用生体情報記憶手段に記憶する利用者の照合用生体情報を取得する照合用生体情報取得手段を備えた請求項1に記載のシステム管理装置。
【請求項3】
管理区域における利用者の入退室を管理する入退室管理装置と、
前記管理区域内でのシステムの利用者を制限するシステム管理装置と、を有するセキュリティシステムにおいて、
前記システム管理装置は、
センサで読み取った利用者の生体部位の読取情報を基に生成される照合用生体情報の生成手順を予め定めたタイミングで変更する生成手順変更手段と、
前記生成手順変更手段が照合用生体情報の生成手順を変更する毎に、変更した生成手順を前記入退室管理装置に通知する生成手順通知手段と、を備え、
前記入退室管理装置は、
前記システム管理装置から通知された生成手順を記憶する生成手順記憶手段と、
前記管理区域における利用者の入室時に、その利用者の生体部位をセンサで読み取った読取情報を基に、前記生成手順記憶手段が記憶している生成手順で照合用生体情報を生成する照合用生体情報生成手段と、
前記照合用生体情報生成手段が生成した利用者の照合用生体情報を、前記システム管理装置に通知する照合用生体情報通知手段と、
前記管理区域における利用者の退室時に、その利用者の退室を前記システム管理装置に通知する退室通知手段と、を備え、
さらに、前記システム管理装置は、
前記入退室管理装置から通知された利用者の照合用生体情報を記憶する照合用生体情報記憶手段と、
利用者における前記管理区域内での前記システムの利用開始にあたって、その利用者について前記システムの使用可否を、前記照合用生体情報記憶手段が記憶している照合用生体情報を用いた生体認証で行う認証手段と、
前記入退室管理装置から退室が通知された利用者について、前記照合用生体情報記憶手段が記憶している照合用生体情報を削除する削除手段と、を備えている、
セキュリティシステム。
【請求項4】
前記入退室管理装置は、
前記管理区域における利用者の入退室時に、その利用者について入退室の可否を認証する認証手段を備えている、
請求項3に記載のセキュリティシステム。
【請求項5】
前記入退室管理装置は、
前記照合用生体情報生成手段が、前記認証手段により前記管理区域への入室が許可された利用者について照合用生体情報を生成する手段である、
請求項4に記載のセキュリティシステム。
【請求項6】
前記入退室管理装置は、
前記認証手段が、入力されたパスワードを用いて、利用者を認証する手段である、
請求項4または5に記載のセキュリティシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【公開番号】特開2009−169796(P2009−169796A)
【公開日】平成21年7月30日(2009.7.30)
【国際特許分類】
【出願番号】特願2008−8827(P2008−8827)
【出願日】平成20年1月18日(2008.1.18)
【出願人】(504373093)日立オムロンターミナルソリューションズ株式会社 (1,225)
【Fターム(参考)】
【公開日】平成21年7月30日(2009.7.30)
【国際特許分類】
【出願日】平成20年1月18日(2008.1.18)
【出願人】(504373093)日立オムロンターミナルソリューションズ株式会社 (1,225)
【Fターム(参考)】
[ Back to top ]