認証システム、可搬媒体、認証装置および認証方法
【課題】認証が必要な複数のユーザのそれぞれにカード媒体を発行せずとも、それぞれのユーザの認証を行うことを可能とする認証システムを提供する。
【解決手段】複数のユーザに利用され、情報の記憶が可能な可搬媒体と、可搬媒体に記憶された情報を用いてユーザの認証を行う認証装置とを備えた認証システムであって、可搬媒体は、複数のユーザのそれぞれを認証する基準となる複数の認証基準情報をユーザ毎に予め記憶するユーザ情報記憶部を備え、認証装置は、ユーザからの認証情報の入力を受け付ける認証情報入力部と、認証情報入力部に入力される認証情報と、ユーザ情報記憶部に記憶された複数の認証基準情報のそれぞれとを比較し、ユーザの認証を許可するか否かを判定する認証処理部と、を備えることを特徴とする。
【解決手段】複数のユーザに利用され、情報の記憶が可能な可搬媒体と、可搬媒体に記憶された情報を用いてユーザの認証を行う認証装置とを備えた認証システムであって、可搬媒体は、複数のユーザのそれぞれを認証する基準となる複数の認証基準情報をユーザ毎に予め記憶するユーザ情報記憶部を備え、認証装置は、ユーザからの認証情報の入力を受け付ける認証情報入力部と、認証情報入力部に入力される認証情報と、ユーザ情報記憶部に記憶された複数の認証基準情報のそれぞれとを比較し、ユーザの認証を許可するか否かを判定する認証処理部と、を備えることを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、可搬媒体に予め記憶された情報に基づいてユーザ認証を行う認証システム、可搬媒体、認証装置および認証方法に関する。
【背景技術】
【0002】
従来、ICカードなどの可搬媒体に予めユーザ情報を記憶させ、ユーザが携行するその可搬媒体を用いてユーザの認証を行う技術が利用されている。例えば、オフィスビルなどの入退室管理のために、そのオフィスビルの入り口に認証装置を設けたセキュリティゲートを設置し、各ユーザに、予め採取した各ユーザの指紋情報などの認証基準情報を予め記憶させたICカードを配布する。そして、ユーザがセキュリティゲートを通行する際には、配布されたICカードを認証装置に近接させ、また所定の指紋読み取り装置に指を近接させると、指紋読み取り装置が指紋情報を読み取る。認証装置は、ユーザから読み取った指紋情報と、ICカードに予め記憶された認証基準情報とが一致すれば、認証許可としてゲートを開け、一致しなければ、認証拒否としてゲートを開けない。ここで、ユーザが通行する際に認証装置に入力する情報は、指紋情報などの生体情報の他に、PIN(Personal Identification Number)などのパスワード情報を用いる場合もある。
【0003】
また、このようなICカードには、ユーザに対応する認証基準情報を記憶させておく他に、例えばICカードの紛失届けがあった場合のために、そのICカード自体による認証が有効であるか否かを識別するための識別情報が記憶されている。図7は、ICカードが記憶する識別情報と認証基準情報とを記憶するデータ例を示す図である。例えば、システム管理者は、ICカードの紛失届けがあった場合には、紛失したICカードに付与された識別情報を認証装置に登録し、認証装置は、登録された識別情報に対応する紛失したICカードによる認証を拒否して通行を禁止するなどの措置を取れるように構成される。
【0004】
また、認証機能を提供するICカードとして、特許文献1に示される発明は、ICカードが適用されるクレジットカードについて、ユーザが複数のクレジットカードを携行する場合にいずれのクレジットカードを利用するのが適切か判断できないことに着目している。そこで、特許文献1には、1枚のICカードに複数のクレジットカード機能を備えさせ、ICカードに記憶されたカード利用情報に基づいて、複数のクレジットカードのうち利用を推奨するクレジットカードをユーザに提示する技術が提案されている。
また、特許文献2には、複数の認証情報によってユーザを認証する必要がある場合、ユーザが複数のICカードを携行する管理の煩雑さを防ぐために、1枚のICカードに複数の認証情報を記憶させ、場面に応じた適切な認証情報を選択することを容易にする技術が提案されている。
また、特許文献3には、複数のシステムを同一のICカードを用いて利用しようとする場合に、ICカード自体にセキュリティ認証機能を備えさせることによって、予めICカードに記憶された情報を外部に出力することなく、複数のシステムに利用可能で、かつセキュリティレベルの高い認証を行うことを可能とする技術が提案されている。
【特許文献1】特開2007−272728号公報
【特許文献2】特開2006−79592号公報
【特許文献3】特開2006−268570号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、上述のような方法では、複数のユーザのそれぞれに対して少なくとも1枚のICカードを配布する必要がある。ここで、例えば、オフィスビルのセキュリティゲートは、そのオフィスビルに勤務するためにICカードを随時携行する正社員の他に、配達業者やオフィス機器の保守業者など、不定期または定期的に来館するユーザの認証を行う場合がある。特に近年では、情報漏洩の防止対策等の必要性により、このようなユーザに対しても正社員同様のセキュリティチェックを実施し、入退室の履歴を記録することが望ましい。このような場合、上述の方法を適用すれば、まれにしか来館しないユーザに対しても対応するICカードをそれぞれに発行しなければならない。これでは、発行するICカードの管理が煩雑になるとともに、発行するICカード媒体の量も多くなる。
また、業者などの組織単位に予めICカードを複数枚まとめて貸し出して行う認証では、いずれの組織に貸し出したICカードにより認証が行われたかを識別することはできるが、その組織に属するいずれの人物に利用されたかを識別することはできない。
【0006】
本発明は、このような状況に鑑みてなされたもので、認証が必要な複数のユーザのそれぞれにカード媒体を発行せずとも、適宜それぞれのユーザの認証を行うことを可能とする認証システム、可搬媒体、認証装置および認証方法を提供する。
【課題を解決するための手段】
【0007】
上述した課題を解決するために、本発明は、複数のユーザに利用され、情報の記憶が可能な可搬媒体と、可搬媒体に記憶された情報を用いてユーザの認証を行う認証装置とを備えた認証システムであって、可搬媒体は、複数のユーザのそれぞれを認証する基準となる複数の認証基準情報をユーザ毎に予め記憶するユーザ情報記憶部を備え、認証装置は、ユーザからの認証情報の入力を受け付ける認証情報入力部と、認証情報入力部に入力される認証情報と、ユーザ情報記憶部に記憶された複数の認証基準情報のそれぞれとを比較し、ユーザの認証を許可するか否かを判定する認証処理部と、を備えることを特徴とする。
【0008】
また、本発明は、上述の可搬媒体の、ユーザ情報記憶部は、可搬媒体に予め付与される識別情報に対応付けて、複数のユーザに対応する認証基準情報を記憶し、認証装置は、可搬媒体に付与された識別情報に対応付けて、可搬媒体を用いた認証が無効であるか否かを示す情報を予め記憶する識別情報記憶部をさらに備え、認証装置の認証処理部は、可搬媒体に記憶された識別情報と一致する識別情報が、識別情報記憶部に無効を示す情報に対応付けられて記憶されている場合、認証を許可しないと判定することを特徴とする。
【0009】
また、本発明は、上述の認証装置は、認証処理部によって、ユーザの認証を許可すると判定された場合に、認証を許可すると判定された認証基準情報を認証履歴情報として記憶する認証履歴情報記憶部をさらに備え、認証装置の認証処理部は、認証情報入力部に入力される認証情報と、ユーザ情報記憶部に記憶された複数の認証基準情報のそれぞれとを順次比較する際、認証履歴情報記憶部に記憶された認証履歴情報と一致する認証基準情報を始めとして、順次それぞれの認証基準情報と認証情報とを比較することを特徴とする。
【0010】
また、本発明は、上述の可搬媒体は、ユーザ情報記憶部に記憶された複数の認証基準情報のうち、予め定められた認証基準情報に対応するユーザの認証が許可された場合に、ユーザ情報記憶部への認証基準情報の追加書き込みを可能とすることを特徴とする。
【0011】
また、本発明は、ユーザからの認証情報の入力を受け付け、入力される認証情報と、可搬媒体から受信する認証基準情報とを比較してユーザの認証を許可するか否かを判定する認証装置と通信を行う可搬媒体であって、複数のユーザのそれぞれを認証する基準となる複数の認証基準情報をユーザ毎に予め記憶するユーザ情報記憶部を備えることを特徴とする。
【0012】
また、本発明は、複数のユーザのそれぞれを認証する基準となる複数の認証基準情報をユーザ毎に予め記憶する可搬媒体と、可搬媒体に記憶された情報を用いてユーザの認証を行う認証装置であって、ユーザからの認証情報の入力を受け付ける認証情報入力部と、認証情報入力部に入力される認証情報と、ユーザ情報記憶部に記憶された複数の認証基準情報のそれぞれとを比較し、ユーザの認証を許可するか否かを判定する認証処理部と、を備えることを特徴とする。
【0013】
また、本発明は、複数のユーザのそれぞれを認証する基準となる複数の認証基準情報をユーザ毎に予め記憶する可搬媒体と、可搬媒体に記憶された情報を用いてユーザの認証を行う認証装置とを用いた認証方法であって、認証装置の、認証情報入力部が、ユーザからの認証情報の入力を受け付けるステップと、認証処理部が、認証情報入力部に入力される認証情報と、可搬媒体に記憶された複数の認証基準情報のそれぞれとを比較し、ユーザの認証を許可するか否かを判定するステップと、を備えることを特徴とする。
【発明の効果】
【0014】
以上説明したように、本発明によれば、可搬媒体は、複数のユーザのそれぞれを認証する基準となる複数の認証基準情報を予め記憶し、認証装置は、ユーザから入力される認証情報と、予め記憶された認証基準情報とを比較し、ユーザの認証を許可するか否かを判定するようにしたので、一個の可搬媒体を用いて、複数のユーザの認証を行うことができ、認証を行ったユーザを識別することができる。
【0015】
また、本発明によれば、可搬媒体は、可搬媒体に予め付与される識別情報に対応付けて、複数のユーザに対応する認証基準情報を記憶し、認証装置は、可搬媒体に付与された前記に対応付けて、当該可搬媒体を用いた認証が無効であるか否かを示す識別情報を予め記憶し、認証する可搬媒体に記憶された識別情報が、無効を示す情報に対応付けられて記憶されている場合、認証を許可しないと判定するようにしたので、可搬媒体に複数のユーザに対応する認証基準情報が記憶されている場合でも、識別情報を無効と定めることで、無効と定められた識別情報を有する可搬媒体による認証を拒否することができる。
【0016】
また、本発明によれば、ユーザの認証を許可すると判定した場合に、認証を許可した認証基準情報を認証履歴情報として記憶し、入力される認証情報と、予め記憶された複数の認証基準情報のそれぞれとを順番に比較する際、認証履歴情報と一致する認証基準情報を始めとして順次それぞれの認証基準情報と比較するようにしたので、過去に認証が許可された認証基準情報を優先して比較処理を行うことができる。これにより、例えば、利用される頻度が高く一致する可能性が高いと思われる認証基準情報から順次比較処理を行うことができ、認証を許可すると判定する場合に、その判定を許可するまでの処理を早く行うことが可能となる。
【0017】
また、本発明によれば、ユーザ情報記憶部に記憶された複数の認証基準情報のうち、予め定められた認証基準情報に対応するユーザの認証が許可された場合に、ユーザ情報記憶部への認証基準情報の追加書き込みを可能とするようにしたので、例えば特定の組織に可搬媒体を提供する際、その組織の信頼できる管理者の認証が許可された場合に、その管理者にユーザ情報記憶部への認証基準情報の追加書き込みを行う権限を与えて、その可搬媒体に記憶される認証基準情報の管理を、その管理者に委譲するような運営を行うことが可能となる。
【発明を実施するための最良の形態】
【0018】
以下、本発明の一実施形態について、図面を参照して説明する。
図1は、本実施形態による認証システムの構成を示すブロック図である。
本実施形態の認証システムは、ICカード100と、認証装置200と、ゲート300とを備えている。
ICカード100は、情報の記憶や演算を行う機能を備えたICチップが組み込まれた可搬媒体であり、ユーザ情報記憶部110と、ICカード通信部120とを備えている。ここで、可搬媒体は、持ち運び可能な情報処理媒体である。
ユーザ情報記憶部110は、ICカード100に付与された識別情報に対応付けて、複数のユーザ情報を記憶する。図2は、ユーザ情報記憶部110が記憶する情報のデータ例を示す図である。図2に示されるように、ユーザ情報記憶部110は、ひとつの識別情報に対応付けて、氏名と、所属と、認証基準情報とのユーザ情報を記憶する。識別情報は、複数枚存在するICカード100のうちで一意に付与される。ユーザがICカード100を紛失した場合などには、紛失されたICカード100の識別情報を有するICカード100による認証を無効とすることで、例えば、紛失されたICカード100が拾われ、第三者が認証に利用しようとした場合でも、その認証を拒否することが可能である。
【0019】
また、ユーザ情報のうち、氏名は、ユーザの氏名である。所属は、例えば、そのユーザの所属を示す情報である。例えば、ICカード100を特定の会社に属するユーザに配布する場合には、その会社内でのそのユーザの所属や所属場所を示す情報が適用される。認証基準情報は、予め定められたPINなどのパスワード情報や、ユーザから予め採取されデジタル情報化された指紋情報、虹彩情報、静脈情報などの生体情報であり、認証処理を行う際に認証テンプレートとして利用される。本実施形態では、認証基準情報には指紋情報が適用される。
【0020】
このように、本実施形態では、一枚のICカード100に、ひとつの識別情報に対応付けた複数のユーザ情報が記憶される。このようにして、例えば配達業者のように、派遣元は同一のユーザではあるが時によって異なるユーザが来館するような場合、来館する可能性のある全てのユーザのそれぞれに一枚ずつICカード100を発行せずとも、例えば、一度に来館する人数に応じた枚数のICカード100を発行しておけば良い。この場合、複数のユーザは一枚のICカード100を共有して利用することができる。図1には、一枚のICカード100が図示されているが、このように必要となる複数枚を用意しても良い。
【0021】
ICカード通信部120は、認証装置200との情報通信を行う。本実施形態では、ICカード通信部120は、認証装置200と非接触の無線通信を行うこととし、ICカード100は非接触型のICカードであることとするが、ICカード100は、接触型のICカードを適用しても良い。
【0022】
ゲート300は、ICカード100と認証装置200とによってユーザの通行が管理されるセキュリティエリアの入り口に設けられるセキュリティゲートである。ゲート300は、認証装置200が行う認証処理の結果によって開閉するフラップを有しており、ユーザの認証が許可されると、フラップを開けてユーザの通行を可能とし、認証が拒否されれば、フラップを閉じてユーザを通行させないように動作する。
【0023】
認証装置200は、ICカード100から読み出した情報に基づいてユーザの認証処理を行う。認証装置200は、認証装置通信部210と、認証処理部220と、認証情報入力部230と、認証履歴記憶部240と、識別情報記憶部250とを備えている。
認証装置通信部210は、ICカード100のICカード通信部120と無線通信を行う。
認証情報入力部230は、ユーザからの認証情報の入力を受け付ける。本実施形態では、認証情報入力部230は、ユーザが指を近接させることでユーザの指紋情報を読み取る指紋センサを備えており、指紋センサが読み取った指紋情報をデジタル情報化した認証情報を取得する。
認証履歴記憶部240は、認証処理部220によって認証が許可された認証情報に対応する認証基準情報を示す情報を認証履歴情報として記憶する。
【0024】
識別情報記憶部250は、複数のICカード100のそれぞれに付与される識別情報に対応付けて、その識別情報が付与されたICカード100が無効であるか否かを示す識別情報を記憶する。例えば、認証システムの管理者は、ICカード100を配布したユーザから、ICカード100を紛失した連絡を受けると、紛失したICカード100に付与された識別情報を無効とする情報に対応付けて認証装置200の識別情報記憶部250に記憶させる。識別情報記憶部250に記憶された識別情報は、後述する認証処理部220によって読み出され、無効となった識別情報を有するICカード100の認証を許可しないように制御される。ここで、識別情報記憶部250は、発行された全ての認証情報に対応付けて、有効か無効かを示す情報を記憶しても良いし、無効となった識別情報のみを記憶し、識別情報記憶部250に識別情報が記憶されていれば、無効であることを示すように構成しても良い。
【0025】
認証処理部220は、認証装置通信部210を介して、ICカード100に記憶された識別情報を読み出し、読み出した識別情報と同一の識別情報が、識別情報記憶部250に無効を示す情報に対応付けられて記憶されているか否かを判定する識別情報判定処理を行う。ここで、認証処理部220は、ICカード100から読み出した識別情報と同一の識別情報が、識別情報記憶部250に無効を示す情報に対応付けられて記憶されていれば、認証を終了する。一方、認証処理部220は、ICカード100から読み出した識別情報と同一の識別情報が、識別情報記憶部250に無効を示す情報に対応付けられて記憶されていなければ、有効と判定する。
【0026】
また、認証処理部220は、ICカード100に記憶された識別情報を有効と判定すれば、認証情報を用いた認証処理を行う。認証処理では、認証処理部220は、認証装置通信部210を介してICカード100から読み出した複数の認証基準情報のそれぞれと、認証情報入力部230に入力された認証情報とを比較する。また、認証処理部220は、予め定められた閾値を超えて認証情報と一致する認証基準情報が存在した場合に、認証許可と判定する。また、認証処理部220は、予め定められた閾値を超えて認証基準情報と認証情報とが一致しない場合に、認証拒否と判定する。
【0027】
ここで、認証処理部220が行う認証基準情報と認証情報との比較処理は、その一致する度合いを演算するものであり、本実施形態のようにICカード100から読み出した複数の認証基準情報のそれぞれと認証情報との比較処理を行うのは演算部に高い負荷をかけ、処理時間も長くなる場合がある。そこで、本実施形態における認証処理部220は、認証履歴記憶部240に記憶された認証履歴情報を参照して、認証が許可された頻度の多い認証基準情報から優先して認証処理を行う。
【0028】
次に、図3を参照して、本実施形態による認証システムが、ユーザの認証処理を行う動作例を説明する。
ここで、予めユーザの指紋情報が採取され、デジタル化された指紋情報である認証基準情報が記憶されたICカード100が、ユーザに配布されているものとする。ユーザは、ゲート300を通行する際、ICカード100に設置された認証装置200にICカード100を近接させる。ICカード100が認証装置200と通信可能な領域内に入ると、ICカード100のICカード通信部120は、ユーザ情報記憶部110に記憶された識別情報を読み出し、認証装置200に送信する(ステップS1)。
【0029】
認証装置200の認証装置通信部210が、ICカード100から送信される識別情報を受信すると、認証処理部220は、識別情報記憶部250に記憶された情報を参照して識別情報判定処理を行う(ステップS2)。そして、認証処理部220が、ICカード100から送信された識別情報を無効と判定すれば(ステップS2−無効)、認証装置200は、認証処理を終了する(ステップS3)。この場合、ゲート300は開かない。
【0030】
一方、ステップS2で、認証処理部220が、ICカード100から送信される識別情報を有効と判定すれば、認証装置200の認証装置通信部210は、有効を示す情報をICカード100に送信する(ステップS2−有効)。ICカード100が、認証装置通信部210から、有効を示す情報を受信すると、ICカード通信部120は、ユーザ情報記憶部110に記憶された複数の認証基準情報を、認証装置200に送信する(ステップS4)。
【0031】
認証装置200の認証装置通信部210が、ICカード100から送信された認証基準情報を受信すると、認証情報入力部230は、ユーザからの認証情報の入力を受け付ける。ユーザが、指を認証情報入力部230に近接させると、認証情報入力部230は、ユーザの指紋情報を取得し、取得した指紋情報を認証情報としてデジタル情報化する(ステップS5)。そして、認証処理部220は、ステップS4でICカード100から受信した複数の認証基準情報と、ステップS5で認証情報入力部230に入力された認証情報とを比較する認証処理を行う(ステップS6)。ここで、認証処理部220は、認証履歴記憶部240から読み出した認証履歴情報を参照して、ICカード100から受信した複数の認証基準情報のうち、認証の頻度の高い認証基準情報から、順次、認証情報との比較処理を行う。
【0032】
そして、認証処理部220は、ICカード100から受信した認証基準情報のうち、認証情報入力部230に入力された認証情報と定められた閾値を超えて一致する認証基準情報がなければ、認証拒否と判定し(ステップS6−拒否)、認証装置200は、認証処理を終了する(ステップS7)。この場合、ゲート300は開かない。一方、ステップS6で、認証処理部220がICカード100から受信した認証基準情報のうち、認証情報入力部230に入力された認証情報と定められた閾値を超えて一致する認証基準情報があれば、認証許可と判定する(ステップS6−許可)。
そして、認証処理部220は、ステップS6で認証許可と判定された認証基準情報を、認証履歴情報として認証履歴記憶部240に記憶させる(ステップS8)。そして、認証処理部220が認証許可と判定すると、認証装置200は、ゲート300を開く(ステップS9)。
【0033】
なお、上述の例では、認証処理部は、認証装置200に設けられることとしたが、このような認証処理部は、ICカード100が備えることとしても良い。図4は、認証処理部をICカード100に設けた場合の認証システムの構成例を示す図である。ここで、図1に示した例と同様の構成については、同様の符号を付し、その説明を省略する。ICカード100は、認証処理部130をさらに備える。
【0034】
図4に示す認証システムにおける識別情報判定処理では、認証装置通信部210が、識別情報記憶部250から読み出した識別情報をICカード100に送信する。ICカード100のICカード通信部120が、認証装置200から送信される識別情報を受信すると、認証処理部130は、識別情報判定処理を行う。認証処理部130が、識別情報判定処理において有効と判定すれば、ICカード通信部120は、認証装置200の認証情報入力部230にユーザから入力された認証情報と、認証履歴記憶部240に記憶された認証履歴情報とを受信する。そして、認証処理部130は、ICカード通信部120が受信した認証情報および認証履歴情報と、ユーザ情報記憶部110から読み出した認証基準情報とを用いて、認証処理を行う。ICカード100の認証処理部130が、認証許可と判定すれば、ICカード通信部120は、認証許可を示す情報を認証装置200に送信し、認証装置200は、ゲート300を開く。
【0035】
また、ユーザ情報記憶部110は、図5に示すように、ユーザ情報毎に識別情報を記憶させることとしても良い。この場合、認証システムとして管理する識別情報の量が、図2の例と比べて多くなるために、図2の例の方がより効率良く認証処理を行うことができるが、ユーザ毎に有効無効の設定を行うことができる。
また、ユーザ情報記憶部110は、図6に示すように、図5に示したデータ例に加えて、全てのユーザ情報に共通するカードシリアル番号を記憶することとしても良い。このようにして、識別情報をカードシリアル番号に対応付けて管理しておけば、例えばICカード100を紛失した際などに、紛失したカードシリアル番号に対応する複数の識別情報を全て無効とすることができ、複数の識別情報を一括して管理することが可能となる。
【0036】
また、ユーザ情報記憶部110に記憶された複数のユーザ情報のうち、予め定められたユーザの認証が許可された場合に、ユーザ情報記憶部110へのユーザ情報の追加書き込みを可能とするようにしても良い。例えば、特定の会社等の組織に対して本実施形態によるICカード100を発行する場合、その組織の特定の信頼できる人物に、ICカード100に記憶されるユーザ情報を追加、削除する権限を与える。このようにすれば、特定の識別情報に対応付けられたユーザ情報に変動がある場合でも、その変動の管理をICカード発行先の組織に委譲し、委譲先でユーザの変動に応じて柔軟に登録情報の変更を行うようにすることができる。
【0037】
また、本実施形態では、ユーザ情報を記憶する可搬媒体として、ICカード100を適用することとしたが、RFIDなどのICチップを備えた各種媒体を適用しても良いし、可搬媒体と認証装置との間の通信は、人体通信や、各種無線通信を適用して良い。
【0038】
このように、従来、利便性向上目的やコスト低減化などにより、入退室管理の分野において非接触ICカードの利用が広がってきている。また、情報漏洩防止対策等により、入退室者の記録を厳格にとることが要求されてきている。そのため、社員のみならず、入退室を行う可能性のある全ての人に対して、ICカードを配布する状況となってきている。
【0039】
従来技術では、一人のユーザが所有する複数のICカードの機能を、1枚のICカードで利用可能とする方法があった。しかしながら、このような従来技術では、全てのユーザにICカードを配布しなければならず、配布カードの枚数を削減することが困難であることや、多量のICカードを管理することが困難であることなどの問題があった。特に、業者等へ貸し出すICカードでは、ユーザ毎に対応するICカードを用意するのは困難であって、業者単位でのまとめ貸しがされており、実際の利用者がどのユーザであるかはシステム上では特定できない場合があった。例えば、F社に対して、「001」から「010」までの識別情報をそれぞれに持つ10枚のICカードをまとめて貸したとする。ここで、ある日、F社のXさんがAビルへ「001」のICカードを利用して入退室、次の日、F社のYさんがAビルへ「001」のICカードを利用して入退室、次の日、F社のZさんがBビルへ「002」のICカードを利用して入退室、などとする利用があった場合でも、システム上では、全てF社の通行履歴として記録されていた。これを避けるためには、個人単位にICカードを貸し出す方法も考えられるが、この場合、入退室の可能性のある全ての人にICカードを配布する必要があり、入退室の可能性のあるゲートの全てに識別情報の有効、無効を登録しておく必要があった。
【0040】
そこで、本実施形態によれば、複数の認証基準情報と、それに紐付く識別情報を記憶するICカードを用いることにより、ICカードを複数のユーザで共有でき、かつシステム上でユーザを特定することができる認証システムの提供が可能となる。さらに、このようなICカードを利用して、前回までのICカードの利用履歴に応じて認証処理の照合、比較順を変更する機能を備えて、認証処理における照合の高速化を図ることができる。また、このようなICカードによれば、2人の認証が成功しないと開かないような2パーソンルールが適用されたセキュリティゲートにおいて、一枚のICカードを用いて通行することが可能となる。
このように、本実施形態によれば、認証システムのために配布するICカードの量を減らし、なおかつ通行するユーザを特定することが可能となる。さらに、ユーザ毎の識別情報のデータ数を減らすことが可能となるものである。
【図面の簡単な説明】
【0041】
【図1】本発明の一実施形態による認証システムの端末構成を示す図である。
【図2】本発明の一実施形態によるユーザ情報記憶部に記憶されるデータ例を示す図である。
【図3】本発明の一実施形態による認証システムの動作例を示す図である。
【図4】本発明の一実施形態による認証システムの端末構成を示す図である。
【図5】本発明の一実施形態によるユーザ情報記憶部に記憶されるデータ例を示す図である。
【図6】本発明の一実施形態によるユーザ情報記憶部に記憶されるデータ例を示す図である。
【図7】従来技術によるICカードに記憶されるデータ例を示す図である。
【符号の説明】
【0042】
100 ICカード
110 ユーザ情報記憶部
120 ICカード通信部
130 認証処理部
200 認証装置
210 認証装置通信部
220 認証処理部
230 認証情報入力部
240 認証履歴記憶部
250 識別情報記憶部
300 ゲート
【技術分野】
【0001】
本発明は、可搬媒体に予め記憶された情報に基づいてユーザ認証を行う認証システム、可搬媒体、認証装置および認証方法に関する。
【背景技術】
【0002】
従来、ICカードなどの可搬媒体に予めユーザ情報を記憶させ、ユーザが携行するその可搬媒体を用いてユーザの認証を行う技術が利用されている。例えば、オフィスビルなどの入退室管理のために、そのオフィスビルの入り口に認証装置を設けたセキュリティゲートを設置し、各ユーザに、予め採取した各ユーザの指紋情報などの認証基準情報を予め記憶させたICカードを配布する。そして、ユーザがセキュリティゲートを通行する際には、配布されたICカードを認証装置に近接させ、また所定の指紋読み取り装置に指を近接させると、指紋読み取り装置が指紋情報を読み取る。認証装置は、ユーザから読み取った指紋情報と、ICカードに予め記憶された認証基準情報とが一致すれば、認証許可としてゲートを開け、一致しなければ、認証拒否としてゲートを開けない。ここで、ユーザが通行する際に認証装置に入力する情報は、指紋情報などの生体情報の他に、PIN(Personal Identification Number)などのパスワード情報を用いる場合もある。
【0003】
また、このようなICカードには、ユーザに対応する認証基準情報を記憶させておく他に、例えばICカードの紛失届けがあった場合のために、そのICカード自体による認証が有効であるか否かを識別するための識別情報が記憶されている。図7は、ICカードが記憶する識別情報と認証基準情報とを記憶するデータ例を示す図である。例えば、システム管理者は、ICカードの紛失届けがあった場合には、紛失したICカードに付与された識別情報を認証装置に登録し、認証装置は、登録された識別情報に対応する紛失したICカードによる認証を拒否して通行を禁止するなどの措置を取れるように構成される。
【0004】
また、認証機能を提供するICカードとして、特許文献1に示される発明は、ICカードが適用されるクレジットカードについて、ユーザが複数のクレジットカードを携行する場合にいずれのクレジットカードを利用するのが適切か判断できないことに着目している。そこで、特許文献1には、1枚のICカードに複数のクレジットカード機能を備えさせ、ICカードに記憶されたカード利用情報に基づいて、複数のクレジットカードのうち利用を推奨するクレジットカードをユーザに提示する技術が提案されている。
また、特許文献2には、複数の認証情報によってユーザを認証する必要がある場合、ユーザが複数のICカードを携行する管理の煩雑さを防ぐために、1枚のICカードに複数の認証情報を記憶させ、場面に応じた適切な認証情報を選択することを容易にする技術が提案されている。
また、特許文献3には、複数のシステムを同一のICカードを用いて利用しようとする場合に、ICカード自体にセキュリティ認証機能を備えさせることによって、予めICカードに記憶された情報を外部に出力することなく、複数のシステムに利用可能で、かつセキュリティレベルの高い認証を行うことを可能とする技術が提案されている。
【特許文献1】特開2007−272728号公報
【特許文献2】特開2006−79592号公報
【特許文献3】特開2006−268570号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、上述のような方法では、複数のユーザのそれぞれに対して少なくとも1枚のICカードを配布する必要がある。ここで、例えば、オフィスビルのセキュリティゲートは、そのオフィスビルに勤務するためにICカードを随時携行する正社員の他に、配達業者やオフィス機器の保守業者など、不定期または定期的に来館するユーザの認証を行う場合がある。特に近年では、情報漏洩の防止対策等の必要性により、このようなユーザに対しても正社員同様のセキュリティチェックを実施し、入退室の履歴を記録することが望ましい。このような場合、上述の方法を適用すれば、まれにしか来館しないユーザに対しても対応するICカードをそれぞれに発行しなければならない。これでは、発行するICカードの管理が煩雑になるとともに、発行するICカード媒体の量も多くなる。
また、業者などの組織単位に予めICカードを複数枚まとめて貸し出して行う認証では、いずれの組織に貸し出したICカードにより認証が行われたかを識別することはできるが、その組織に属するいずれの人物に利用されたかを識別することはできない。
【0006】
本発明は、このような状況に鑑みてなされたもので、認証が必要な複数のユーザのそれぞれにカード媒体を発行せずとも、適宜それぞれのユーザの認証を行うことを可能とする認証システム、可搬媒体、認証装置および認証方法を提供する。
【課題を解決するための手段】
【0007】
上述した課題を解決するために、本発明は、複数のユーザに利用され、情報の記憶が可能な可搬媒体と、可搬媒体に記憶された情報を用いてユーザの認証を行う認証装置とを備えた認証システムであって、可搬媒体は、複数のユーザのそれぞれを認証する基準となる複数の認証基準情報をユーザ毎に予め記憶するユーザ情報記憶部を備え、認証装置は、ユーザからの認証情報の入力を受け付ける認証情報入力部と、認証情報入力部に入力される認証情報と、ユーザ情報記憶部に記憶された複数の認証基準情報のそれぞれとを比較し、ユーザの認証を許可するか否かを判定する認証処理部と、を備えることを特徴とする。
【0008】
また、本発明は、上述の可搬媒体の、ユーザ情報記憶部は、可搬媒体に予め付与される識別情報に対応付けて、複数のユーザに対応する認証基準情報を記憶し、認証装置は、可搬媒体に付与された識別情報に対応付けて、可搬媒体を用いた認証が無効であるか否かを示す情報を予め記憶する識別情報記憶部をさらに備え、認証装置の認証処理部は、可搬媒体に記憶された識別情報と一致する識別情報が、識別情報記憶部に無効を示す情報に対応付けられて記憶されている場合、認証を許可しないと判定することを特徴とする。
【0009】
また、本発明は、上述の認証装置は、認証処理部によって、ユーザの認証を許可すると判定された場合に、認証を許可すると判定された認証基準情報を認証履歴情報として記憶する認証履歴情報記憶部をさらに備え、認証装置の認証処理部は、認証情報入力部に入力される認証情報と、ユーザ情報記憶部に記憶された複数の認証基準情報のそれぞれとを順次比較する際、認証履歴情報記憶部に記憶された認証履歴情報と一致する認証基準情報を始めとして、順次それぞれの認証基準情報と認証情報とを比較することを特徴とする。
【0010】
また、本発明は、上述の可搬媒体は、ユーザ情報記憶部に記憶された複数の認証基準情報のうち、予め定められた認証基準情報に対応するユーザの認証が許可された場合に、ユーザ情報記憶部への認証基準情報の追加書き込みを可能とすることを特徴とする。
【0011】
また、本発明は、ユーザからの認証情報の入力を受け付け、入力される認証情報と、可搬媒体から受信する認証基準情報とを比較してユーザの認証を許可するか否かを判定する認証装置と通信を行う可搬媒体であって、複数のユーザのそれぞれを認証する基準となる複数の認証基準情報をユーザ毎に予め記憶するユーザ情報記憶部を備えることを特徴とする。
【0012】
また、本発明は、複数のユーザのそれぞれを認証する基準となる複数の認証基準情報をユーザ毎に予め記憶する可搬媒体と、可搬媒体に記憶された情報を用いてユーザの認証を行う認証装置であって、ユーザからの認証情報の入力を受け付ける認証情報入力部と、認証情報入力部に入力される認証情報と、ユーザ情報記憶部に記憶された複数の認証基準情報のそれぞれとを比較し、ユーザの認証を許可するか否かを判定する認証処理部と、を備えることを特徴とする。
【0013】
また、本発明は、複数のユーザのそれぞれを認証する基準となる複数の認証基準情報をユーザ毎に予め記憶する可搬媒体と、可搬媒体に記憶された情報を用いてユーザの認証を行う認証装置とを用いた認証方法であって、認証装置の、認証情報入力部が、ユーザからの認証情報の入力を受け付けるステップと、認証処理部が、認証情報入力部に入力される認証情報と、可搬媒体に記憶された複数の認証基準情報のそれぞれとを比較し、ユーザの認証を許可するか否かを判定するステップと、を備えることを特徴とする。
【発明の効果】
【0014】
以上説明したように、本発明によれば、可搬媒体は、複数のユーザのそれぞれを認証する基準となる複数の認証基準情報を予め記憶し、認証装置は、ユーザから入力される認証情報と、予め記憶された認証基準情報とを比較し、ユーザの認証を許可するか否かを判定するようにしたので、一個の可搬媒体を用いて、複数のユーザの認証を行うことができ、認証を行ったユーザを識別することができる。
【0015】
また、本発明によれば、可搬媒体は、可搬媒体に予め付与される識別情報に対応付けて、複数のユーザに対応する認証基準情報を記憶し、認証装置は、可搬媒体に付与された前記に対応付けて、当該可搬媒体を用いた認証が無効であるか否かを示す識別情報を予め記憶し、認証する可搬媒体に記憶された識別情報が、無効を示す情報に対応付けられて記憶されている場合、認証を許可しないと判定するようにしたので、可搬媒体に複数のユーザに対応する認証基準情報が記憶されている場合でも、識別情報を無効と定めることで、無効と定められた識別情報を有する可搬媒体による認証を拒否することができる。
【0016】
また、本発明によれば、ユーザの認証を許可すると判定した場合に、認証を許可した認証基準情報を認証履歴情報として記憶し、入力される認証情報と、予め記憶された複数の認証基準情報のそれぞれとを順番に比較する際、認証履歴情報と一致する認証基準情報を始めとして順次それぞれの認証基準情報と比較するようにしたので、過去に認証が許可された認証基準情報を優先して比較処理を行うことができる。これにより、例えば、利用される頻度が高く一致する可能性が高いと思われる認証基準情報から順次比較処理を行うことができ、認証を許可すると判定する場合に、その判定を許可するまでの処理を早く行うことが可能となる。
【0017】
また、本発明によれば、ユーザ情報記憶部に記憶された複数の認証基準情報のうち、予め定められた認証基準情報に対応するユーザの認証が許可された場合に、ユーザ情報記憶部への認証基準情報の追加書き込みを可能とするようにしたので、例えば特定の組織に可搬媒体を提供する際、その組織の信頼できる管理者の認証が許可された場合に、その管理者にユーザ情報記憶部への認証基準情報の追加書き込みを行う権限を与えて、その可搬媒体に記憶される認証基準情報の管理を、その管理者に委譲するような運営を行うことが可能となる。
【発明を実施するための最良の形態】
【0018】
以下、本発明の一実施形態について、図面を参照して説明する。
図1は、本実施形態による認証システムの構成を示すブロック図である。
本実施形態の認証システムは、ICカード100と、認証装置200と、ゲート300とを備えている。
ICカード100は、情報の記憶や演算を行う機能を備えたICチップが組み込まれた可搬媒体であり、ユーザ情報記憶部110と、ICカード通信部120とを備えている。ここで、可搬媒体は、持ち運び可能な情報処理媒体である。
ユーザ情報記憶部110は、ICカード100に付与された識別情報に対応付けて、複数のユーザ情報を記憶する。図2は、ユーザ情報記憶部110が記憶する情報のデータ例を示す図である。図2に示されるように、ユーザ情報記憶部110は、ひとつの識別情報に対応付けて、氏名と、所属と、認証基準情報とのユーザ情報を記憶する。識別情報は、複数枚存在するICカード100のうちで一意に付与される。ユーザがICカード100を紛失した場合などには、紛失されたICカード100の識別情報を有するICカード100による認証を無効とすることで、例えば、紛失されたICカード100が拾われ、第三者が認証に利用しようとした場合でも、その認証を拒否することが可能である。
【0019】
また、ユーザ情報のうち、氏名は、ユーザの氏名である。所属は、例えば、そのユーザの所属を示す情報である。例えば、ICカード100を特定の会社に属するユーザに配布する場合には、その会社内でのそのユーザの所属や所属場所を示す情報が適用される。認証基準情報は、予め定められたPINなどのパスワード情報や、ユーザから予め採取されデジタル情報化された指紋情報、虹彩情報、静脈情報などの生体情報であり、認証処理を行う際に認証テンプレートとして利用される。本実施形態では、認証基準情報には指紋情報が適用される。
【0020】
このように、本実施形態では、一枚のICカード100に、ひとつの識別情報に対応付けた複数のユーザ情報が記憶される。このようにして、例えば配達業者のように、派遣元は同一のユーザではあるが時によって異なるユーザが来館するような場合、来館する可能性のある全てのユーザのそれぞれに一枚ずつICカード100を発行せずとも、例えば、一度に来館する人数に応じた枚数のICカード100を発行しておけば良い。この場合、複数のユーザは一枚のICカード100を共有して利用することができる。図1には、一枚のICカード100が図示されているが、このように必要となる複数枚を用意しても良い。
【0021】
ICカード通信部120は、認証装置200との情報通信を行う。本実施形態では、ICカード通信部120は、認証装置200と非接触の無線通信を行うこととし、ICカード100は非接触型のICカードであることとするが、ICカード100は、接触型のICカードを適用しても良い。
【0022】
ゲート300は、ICカード100と認証装置200とによってユーザの通行が管理されるセキュリティエリアの入り口に設けられるセキュリティゲートである。ゲート300は、認証装置200が行う認証処理の結果によって開閉するフラップを有しており、ユーザの認証が許可されると、フラップを開けてユーザの通行を可能とし、認証が拒否されれば、フラップを閉じてユーザを通行させないように動作する。
【0023】
認証装置200は、ICカード100から読み出した情報に基づいてユーザの認証処理を行う。認証装置200は、認証装置通信部210と、認証処理部220と、認証情報入力部230と、認証履歴記憶部240と、識別情報記憶部250とを備えている。
認証装置通信部210は、ICカード100のICカード通信部120と無線通信を行う。
認証情報入力部230は、ユーザからの認証情報の入力を受け付ける。本実施形態では、認証情報入力部230は、ユーザが指を近接させることでユーザの指紋情報を読み取る指紋センサを備えており、指紋センサが読み取った指紋情報をデジタル情報化した認証情報を取得する。
認証履歴記憶部240は、認証処理部220によって認証が許可された認証情報に対応する認証基準情報を示す情報を認証履歴情報として記憶する。
【0024】
識別情報記憶部250は、複数のICカード100のそれぞれに付与される識別情報に対応付けて、その識別情報が付与されたICカード100が無効であるか否かを示す識別情報を記憶する。例えば、認証システムの管理者は、ICカード100を配布したユーザから、ICカード100を紛失した連絡を受けると、紛失したICカード100に付与された識別情報を無効とする情報に対応付けて認証装置200の識別情報記憶部250に記憶させる。識別情報記憶部250に記憶された識別情報は、後述する認証処理部220によって読み出され、無効となった識別情報を有するICカード100の認証を許可しないように制御される。ここで、識別情報記憶部250は、発行された全ての認証情報に対応付けて、有効か無効かを示す情報を記憶しても良いし、無効となった識別情報のみを記憶し、識別情報記憶部250に識別情報が記憶されていれば、無効であることを示すように構成しても良い。
【0025】
認証処理部220は、認証装置通信部210を介して、ICカード100に記憶された識別情報を読み出し、読み出した識別情報と同一の識別情報が、識別情報記憶部250に無効を示す情報に対応付けられて記憶されているか否かを判定する識別情報判定処理を行う。ここで、認証処理部220は、ICカード100から読み出した識別情報と同一の識別情報が、識別情報記憶部250に無効を示す情報に対応付けられて記憶されていれば、認証を終了する。一方、認証処理部220は、ICカード100から読み出した識別情報と同一の識別情報が、識別情報記憶部250に無効を示す情報に対応付けられて記憶されていなければ、有効と判定する。
【0026】
また、認証処理部220は、ICカード100に記憶された識別情報を有効と判定すれば、認証情報を用いた認証処理を行う。認証処理では、認証処理部220は、認証装置通信部210を介してICカード100から読み出した複数の認証基準情報のそれぞれと、認証情報入力部230に入力された認証情報とを比較する。また、認証処理部220は、予め定められた閾値を超えて認証情報と一致する認証基準情報が存在した場合に、認証許可と判定する。また、認証処理部220は、予め定められた閾値を超えて認証基準情報と認証情報とが一致しない場合に、認証拒否と判定する。
【0027】
ここで、認証処理部220が行う認証基準情報と認証情報との比較処理は、その一致する度合いを演算するものであり、本実施形態のようにICカード100から読み出した複数の認証基準情報のそれぞれと認証情報との比較処理を行うのは演算部に高い負荷をかけ、処理時間も長くなる場合がある。そこで、本実施形態における認証処理部220は、認証履歴記憶部240に記憶された認証履歴情報を参照して、認証が許可された頻度の多い認証基準情報から優先して認証処理を行う。
【0028】
次に、図3を参照して、本実施形態による認証システムが、ユーザの認証処理を行う動作例を説明する。
ここで、予めユーザの指紋情報が採取され、デジタル化された指紋情報である認証基準情報が記憶されたICカード100が、ユーザに配布されているものとする。ユーザは、ゲート300を通行する際、ICカード100に設置された認証装置200にICカード100を近接させる。ICカード100が認証装置200と通信可能な領域内に入ると、ICカード100のICカード通信部120は、ユーザ情報記憶部110に記憶された識別情報を読み出し、認証装置200に送信する(ステップS1)。
【0029】
認証装置200の認証装置通信部210が、ICカード100から送信される識別情報を受信すると、認証処理部220は、識別情報記憶部250に記憶された情報を参照して識別情報判定処理を行う(ステップS2)。そして、認証処理部220が、ICカード100から送信された識別情報を無効と判定すれば(ステップS2−無効)、認証装置200は、認証処理を終了する(ステップS3)。この場合、ゲート300は開かない。
【0030】
一方、ステップS2で、認証処理部220が、ICカード100から送信される識別情報を有効と判定すれば、認証装置200の認証装置通信部210は、有効を示す情報をICカード100に送信する(ステップS2−有効)。ICカード100が、認証装置通信部210から、有効を示す情報を受信すると、ICカード通信部120は、ユーザ情報記憶部110に記憶された複数の認証基準情報を、認証装置200に送信する(ステップS4)。
【0031】
認証装置200の認証装置通信部210が、ICカード100から送信された認証基準情報を受信すると、認証情報入力部230は、ユーザからの認証情報の入力を受け付ける。ユーザが、指を認証情報入力部230に近接させると、認証情報入力部230は、ユーザの指紋情報を取得し、取得した指紋情報を認証情報としてデジタル情報化する(ステップS5)。そして、認証処理部220は、ステップS4でICカード100から受信した複数の認証基準情報と、ステップS5で認証情報入力部230に入力された認証情報とを比較する認証処理を行う(ステップS6)。ここで、認証処理部220は、認証履歴記憶部240から読み出した認証履歴情報を参照して、ICカード100から受信した複数の認証基準情報のうち、認証の頻度の高い認証基準情報から、順次、認証情報との比較処理を行う。
【0032】
そして、認証処理部220は、ICカード100から受信した認証基準情報のうち、認証情報入力部230に入力された認証情報と定められた閾値を超えて一致する認証基準情報がなければ、認証拒否と判定し(ステップS6−拒否)、認証装置200は、認証処理を終了する(ステップS7)。この場合、ゲート300は開かない。一方、ステップS6で、認証処理部220がICカード100から受信した認証基準情報のうち、認証情報入力部230に入力された認証情報と定められた閾値を超えて一致する認証基準情報があれば、認証許可と判定する(ステップS6−許可)。
そして、認証処理部220は、ステップS6で認証許可と判定された認証基準情報を、認証履歴情報として認証履歴記憶部240に記憶させる(ステップS8)。そして、認証処理部220が認証許可と判定すると、認証装置200は、ゲート300を開く(ステップS9)。
【0033】
なお、上述の例では、認証処理部は、認証装置200に設けられることとしたが、このような認証処理部は、ICカード100が備えることとしても良い。図4は、認証処理部をICカード100に設けた場合の認証システムの構成例を示す図である。ここで、図1に示した例と同様の構成については、同様の符号を付し、その説明を省略する。ICカード100は、認証処理部130をさらに備える。
【0034】
図4に示す認証システムにおける識別情報判定処理では、認証装置通信部210が、識別情報記憶部250から読み出した識別情報をICカード100に送信する。ICカード100のICカード通信部120が、認証装置200から送信される識別情報を受信すると、認証処理部130は、識別情報判定処理を行う。認証処理部130が、識別情報判定処理において有効と判定すれば、ICカード通信部120は、認証装置200の認証情報入力部230にユーザから入力された認証情報と、認証履歴記憶部240に記憶された認証履歴情報とを受信する。そして、認証処理部130は、ICカード通信部120が受信した認証情報および認証履歴情報と、ユーザ情報記憶部110から読み出した認証基準情報とを用いて、認証処理を行う。ICカード100の認証処理部130が、認証許可と判定すれば、ICカード通信部120は、認証許可を示す情報を認証装置200に送信し、認証装置200は、ゲート300を開く。
【0035】
また、ユーザ情報記憶部110は、図5に示すように、ユーザ情報毎に識別情報を記憶させることとしても良い。この場合、認証システムとして管理する識別情報の量が、図2の例と比べて多くなるために、図2の例の方がより効率良く認証処理を行うことができるが、ユーザ毎に有効無効の設定を行うことができる。
また、ユーザ情報記憶部110は、図6に示すように、図5に示したデータ例に加えて、全てのユーザ情報に共通するカードシリアル番号を記憶することとしても良い。このようにして、識別情報をカードシリアル番号に対応付けて管理しておけば、例えばICカード100を紛失した際などに、紛失したカードシリアル番号に対応する複数の識別情報を全て無効とすることができ、複数の識別情報を一括して管理することが可能となる。
【0036】
また、ユーザ情報記憶部110に記憶された複数のユーザ情報のうち、予め定められたユーザの認証が許可された場合に、ユーザ情報記憶部110へのユーザ情報の追加書き込みを可能とするようにしても良い。例えば、特定の会社等の組織に対して本実施形態によるICカード100を発行する場合、その組織の特定の信頼できる人物に、ICカード100に記憶されるユーザ情報を追加、削除する権限を与える。このようにすれば、特定の識別情報に対応付けられたユーザ情報に変動がある場合でも、その変動の管理をICカード発行先の組織に委譲し、委譲先でユーザの変動に応じて柔軟に登録情報の変更を行うようにすることができる。
【0037】
また、本実施形態では、ユーザ情報を記憶する可搬媒体として、ICカード100を適用することとしたが、RFIDなどのICチップを備えた各種媒体を適用しても良いし、可搬媒体と認証装置との間の通信は、人体通信や、各種無線通信を適用して良い。
【0038】
このように、従来、利便性向上目的やコスト低減化などにより、入退室管理の分野において非接触ICカードの利用が広がってきている。また、情報漏洩防止対策等により、入退室者の記録を厳格にとることが要求されてきている。そのため、社員のみならず、入退室を行う可能性のある全ての人に対して、ICカードを配布する状況となってきている。
【0039】
従来技術では、一人のユーザが所有する複数のICカードの機能を、1枚のICカードで利用可能とする方法があった。しかしながら、このような従来技術では、全てのユーザにICカードを配布しなければならず、配布カードの枚数を削減することが困難であることや、多量のICカードを管理することが困難であることなどの問題があった。特に、業者等へ貸し出すICカードでは、ユーザ毎に対応するICカードを用意するのは困難であって、業者単位でのまとめ貸しがされており、実際の利用者がどのユーザであるかはシステム上では特定できない場合があった。例えば、F社に対して、「001」から「010」までの識別情報をそれぞれに持つ10枚のICカードをまとめて貸したとする。ここで、ある日、F社のXさんがAビルへ「001」のICカードを利用して入退室、次の日、F社のYさんがAビルへ「001」のICカードを利用して入退室、次の日、F社のZさんがBビルへ「002」のICカードを利用して入退室、などとする利用があった場合でも、システム上では、全てF社の通行履歴として記録されていた。これを避けるためには、個人単位にICカードを貸し出す方法も考えられるが、この場合、入退室の可能性のある全ての人にICカードを配布する必要があり、入退室の可能性のあるゲートの全てに識別情報の有効、無効を登録しておく必要があった。
【0040】
そこで、本実施形態によれば、複数の認証基準情報と、それに紐付く識別情報を記憶するICカードを用いることにより、ICカードを複数のユーザで共有でき、かつシステム上でユーザを特定することができる認証システムの提供が可能となる。さらに、このようなICカードを利用して、前回までのICカードの利用履歴に応じて認証処理の照合、比較順を変更する機能を備えて、認証処理における照合の高速化を図ることができる。また、このようなICカードによれば、2人の認証が成功しないと開かないような2パーソンルールが適用されたセキュリティゲートにおいて、一枚のICカードを用いて通行することが可能となる。
このように、本実施形態によれば、認証システムのために配布するICカードの量を減らし、なおかつ通行するユーザを特定することが可能となる。さらに、ユーザ毎の識別情報のデータ数を減らすことが可能となるものである。
【図面の簡単な説明】
【0041】
【図1】本発明の一実施形態による認証システムの端末構成を示す図である。
【図2】本発明の一実施形態によるユーザ情報記憶部に記憶されるデータ例を示す図である。
【図3】本発明の一実施形態による認証システムの動作例を示す図である。
【図4】本発明の一実施形態による認証システムの端末構成を示す図である。
【図5】本発明の一実施形態によるユーザ情報記憶部に記憶されるデータ例を示す図である。
【図6】本発明の一実施形態によるユーザ情報記憶部に記憶されるデータ例を示す図である。
【図7】従来技術によるICカードに記憶されるデータ例を示す図である。
【符号の説明】
【0042】
100 ICカード
110 ユーザ情報記憶部
120 ICカード通信部
130 認証処理部
200 認証装置
210 認証装置通信部
220 認証処理部
230 認証情報入力部
240 認証履歴記憶部
250 識別情報記憶部
300 ゲート
【特許請求の範囲】
【請求項1】
複数のユーザに利用され、情報の記憶が可能な可搬媒体と、前記可搬媒体に記憶された情報を用いて前記ユーザの認証を行う認証装置とを備えた認証システムであって、
前記可搬媒体は、
前記複数のユーザのそれぞれを認証する基準となる複数の認証基準情報をユーザ毎に予め記憶するユーザ情報記憶部を備え、
前記認証装置は、
前記ユーザからの認証情報の入力を受け付ける認証情報入力部と、
前記認証情報入力部に入力される前記認証情報と、前記ユーザ情報記憶部に記憶された前記複数の前記認証基準情報のそれぞれとを比較し、前記ユーザの認証を許可するか否かを判定する認証処理部と、
を備えることを特徴とする認証システム。
【請求項2】
前記可搬媒体の、
前記ユーザ情報記憶部は、当該可搬媒体に予め付与される識別情報に対応付けて、前記複数のユーザに対応する前記認証基準情報を記憶し、
前記認証装置は、
前記可搬媒体に付与された前記識別情報に対応付けて、当該可搬媒体を用いた認証が無効であるか否かを示す情報を予め記憶する識別情報記憶部をさらに備え、
前記認証装置の前記認証処理部は、前記可搬媒体に記憶された前記識別情報と一致する識別情報が、前記識別情報記憶部に無効を示す情報に対応付けられて記憶されている場合、認証を許可しないと判定する
ことを特徴とする請求項1に記載の認証システム。
【請求項3】
前記認証装置は、
前記認証処理部によって、前記ユーザの認証を許可すると判定された場合に、当該認証を許可すると判定された前記認証基準情報を認証履歴情報として記憶する認証履歴情報記憶部をさらに備え、
前記認証装置の認証処理部は、前記認証情報入力部に入力される前記認証情報と、前記ユーザ情報記憶部に記憶された複数の前記認証基準情報のそれぞれとを順次比較する際、前記認証履歴情報記憶部に記憶された前記認証履歴情報と一致する前記認証基準情報を始めとして、順次それぞれの前記認証基準情報と前記認証情報とを比較する
ことを特徴とする請求項1または請求項2のいずれか1項に記載の認証システム。
【請求項4】
前記可搬媒体は、
前記ユーザ情報記憶部に記憶された前記複数の認証基準情報のうち、予め定められた認証基準情報に対応する前記ユーザの認証が許可された場合に、前記ユーザ情報記憶部への前記認証基準情報の追加書き込みを可能とする
ことを特徴とする請求項1から請求項3までのいずれか1項に記載の認証システム。
【請求項5】
ユーザからの認証情報の入力を受け付け、入力される前記認証情報と、可搬媒体から受信する認証基準情報とを比較して前記ユーザの認証を許可するか否かを判定する認証装置と通信を行う可搬媒体であって、
複数の前記ユーザのそれぞれを認証する基準となる複数の前記認証基準情報をユーザ毎に予め記憶するユーザ情報記憶部
を備えることを特徴とする可搬媒体。
【請求項6】
複数のユーザのそれぞれを認証する基準となる複数の認証基準情報をユーザ毎に予め記憶する可搬媒体と、前記可搬媒体に記憶された情報を用いて前記ユーザの認証を行う認証装置であって、
前記ユーザからの認証情報の入力を受け付ける認証情報入力部と、
前記認証情報入力部に入力される前記認証情報と、前記ユーザ情報記憶部に記憶された前記複数の前記認証基準情報のそれぞれとを比較し、前記ユーザの認証を許可するか否かを判定する認証処理部と、
を備えることを特徴とする認証装置。
【請求項7】
複数のユーザのそれぞれを認証する基準となる複数の認証基準情報をユーザ毎に予め記憶する可搬媒体と、前記可搬媒体に記憶された情報を用いて前記ユーザの認証を行う認証装置とを用いた認証方法であって、
前記認証装置の、
認証情報入力部が、前記ユーザからの認証情報の入力を受け付けるステップと、
認証処理部が、前記認証情報入力部に入力される前記認証情報と、前記可搬媒体に記憶された前記複数の前記認証基準情報のそれぞれとを比較し、前記ユーザの認証を許可するか否かを判定するステップと、
を備えることを特徴とする認証方法。
【請求項1】
複数のユーザに利用され、情報の記憶が可能な可搬媒体と、前記可搬媒体に記憶された情報を用いて前記ユーザの認証を行う認証装置とを備えた認証システムであって、
前記可搬媒体は、
前記複数のユーザのそれぞれを認証する基準となる複数の認証基準情報をユーザ毎に予め記憶するユーザ情報記憶部を備え、
前記認証装置は、
前記ユーザからの認証情報の入力を受け付ける認証情報入力部と、
前記認証情報入力部に入力される前記認証情報と、前記ユーザ情報記憶部に記憶された前記複数の前記認証基準情報のそれぞれとを比較し、前記ユーザの認証を許可するか否かを判定する認証処理部と、
を備えることを特徴とする認証システム。
【請求項2】
前記可搬媒体の、
前記ユーザ情報記憶部は、当該可搬媒体に予め付与される識別情報に対応付けて、前記複数のユーザに対応する前記認証基準情報を記憶し、
前記認証装置は、
前記可搬媒体に付与された前記識別情報に対応付けて、当該可搬媒体を用いた認証が無効であるか否かを示す情報を予め記憶する識別情報記憶部をさらに備え、
前記認証装置の前記認証処理部は、前記可搬媒体に記憶された前記識別情報と一致する識別情報が、前記識別情報記憶部に無効を示す情報に対応付けられて記憶されている場合、認証を許可しないと判定する
ことを特徴とする請求項1に記載の認証システム。
【請求項3】
前記認証装置は、
前記認証処理部によって、前記ユーザの認証を許可すると判定された場合に、当該認証を許可すると判定された前記認証基準情報を認証履歴情報として記憶する認証履歴情報記憶部をさらに備え、
前記認証装置の認証処理部は、前記認証情報入力部に入力される前記認証情報と、前記ユーザ情報記憶部に記憶された複数の前記認証基準情報のそれぞれとを順次比較する際、前記認証履歴情報記憶部に記憶された前記認証履歴情報と一致する前記認証基準情報を始めとして、順次それぞれの前記認証基準情報と前記認証情報とを比較する
ことを特徴とする請求項1または請求項2のいずれか1項に記載の認証システム。
【請求項4】
前記可搬媒体は、
前記ユーザ情報記憶部に記憶された前記複数の認証基準情報のうち、予め定められた認証基準情報に対応する前記ユーザの認証が許可された場合に、前記ユーザ情報記憶部への前記認証基準情報の追加書き込みを可能とする
ことを特徴とする請求項1から請求項3までのいずれか1項に記載の認証システム。
【請求項5】
ユーザからの認証情報の入力を受け付け、入力される前記認証情報と、可搬媒体から受信する認証基準情報とを比較して前記ユーザの認証を許可するか否かを判定する認証装置と通信を行う可搬媒体であって、
複数の前記ユーザのそれぞれを認証する基準となる複数の前記認証基準情報をユーザ毎に予め記憶するユーザ情報記憶部
を備えることを特徴とする可搬媒体。
【請求項6】
複数のユーザのそれぞれを認証する基準となる複数の認証基準情報をユーザ毎に予め記憶する可搬媒体と、前記可搬媒体に記憶された情報を用いて前記ユーザの認証を行う認証装置であって、
前記ユーザからの認証情報の入力を受け付ける認証情報入力部と、
前記認証情報入力部に入力される前記認証情報と、前記ユーザ情報記憶部に記憶された前記複数の前記認証基準情報のそれぞれとを比較し、前記ユーザの認証を許可するか否かを判定する認証処理部と、
を備えることを特徴とする認証装置。
【請求項7】
複数のユーザのそれぞれを認証する基準となる複数の認証基準情報をユーザ毎に予め記憶する可搬媒体と、前記可搬媒体に記憶された情報を用いて前記ユーザの認証を行う認証装置とを用いた認証方法であって、
前記認証装置の、
認証情報入力部が、前記ユーザからの認証情報の入力を受け付けるステップと、
認証処理部が、前記認証情報入力部に入力される前記認証情報と、前記可搬媒体に記憶された前記複数の前記認証基準情報のそれぞれとを比較し、前記ユーザの認証を許可するか否かを判定するステップと、
を備えることを特徴とする認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2009−223772(P2009−223772A)
【公開日】平成21年10月1日(2009.10.1)
【国際特許分類】
【出願番号】特願2008−69625(P2008−69625)
【出願日】平成20年3月18日(2008.3.18)
【出願人】(593063161)株式会社NTTファシリティーズ (475)
【Fターム(参考)】
【公開日】平成21年10月1日(2009.10.1)
【国際特許分類】
【出願日】平成20年3月18日(2008.3.18)
【出願人】(593063161)株式会社NTTファシリティーズ (475)
【Fターム(参考)】
[ Back to top ]