認証システム、認証処理装置、統合認証システム、及びプログラム
【課題】複数の利用対象装置における利用者の認証に関する情報を一元的に管理した場合における個々の利用対象装置が認証処理を実行する際の利用者の待ち時間が、利用対象装置を利用する度に外部装置に問い合わせる場合と比較して短い認証システムを提供する。
【解決手段】認証処理装置10は、利用者から受け付けた識別情報により当該利用者を認証した際に、複数の利用対象装置20のうち、当該認証された利用者に関連づけられた1又は複数の利用対象装置のそれぞれに対して、当該利用対象装置による当該利用者の認証に用いられる認証関連情報を送信し、各利用対象装置20は、認証処理装置10が送信する認証関連情報を受信し、認証された利用者が当該利用対象装置を利用する際に、当該受信した認証関連情報を用いて当該利用者を認証する。
【解決手段】認証処理装置10は、利用者から受け付けた識別情報により当該利用者を認証した際に、複数の利用対象装置20のうち、当該認証された利用者に関連づけられた1又は複数の利用対象装置のそれぞれに対して、当該利用対象装置による当該利用者の認証に用いられる認証関連情報を送信し、各利用対象装置20は、認証処理装置10が送信する認証関連情報を受信し、認証された利用者が当該利用対象装置を利用する際に、当該受信した認証関連情報を用いて当該利用者を認証する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証処理システム、認証処理装置、統合認証システム、及びプログラムに関する。
【背景技術】
【0002】
近年、利用者による利用の対象となる利用対象装置(例えば複写機等)においては、利用者が当該利用対象装置を利用しようとしたときに、利用者を認証することが行われている。これにより、各利用者がどの程度利用対象装置を利用しているかを管理したり、利用対象装置の備える機能毎に各利用者に対して当該機能の利用を許可するか否か制御したりすることがある。
【0003】
このような利用者の認証を行う方法の一つとして、複数の利用対象装置のそれぞれが利用者の認証に必要な情報を予め記憶しておき、当該情報を用いて装置毎に利用者を認証する方法がある。また、別の方法として、複数の利用対象装置の認証に必要な情報を、一つの認証処理装置が一元的に管理し、個々の利用対象装置は、利用者から利用要求があった場合、この認証処理装置に問い合わせを行うことによって、利用者の認証を行うという方法がある(例えば特許文献1参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2005−71040号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明は、複数の利用対象装置における利用者の認証に関する情報を一元的に管理した場合における個々の利用対象装置が認証処理を実行する際の利用者の待ち時間が、利用対象装置を利用する度に外部装置に問い合わせる場合と比較して短い認証システム、認証処理装置、統合認証システム、及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0006】
請求項1記載の発明は、認証処理装置と、複数の利用対象装置と、を含み、前記認証処理装置は、利用者から受け付けた識別情報により、当該利用者を認証する第1の認証手段と、前記第1の認証手段が前記利用者を認証した際に、前記複数の利用対象装置のうち、当該認証された利用者に関連づけられた1又は複数の利用対象装置のそれぞれに対して、当該利用対象装置による当該利用者の認証に用いられる認証関連情報を送信する送信手段と、を含み、前記複数の利用対象装置のそれぞれは、前記認証処理装置が送信する認証関連情報を受信する受信手段と、前記認証された利用者が当該利用対象装置を利用する際に、前記受信した認証関連情報を用いて当該利用者を認証する第2の認証手段と、を含むことを特徴とする認証システムである。
【0007】
請求項2記載の発明は、請求項1記載の認証システムであって、前記複数の利用対象装置は保護領域内に設置され、前記第1の認証手段は、前記利用者が前記保護領域内に入場しようとする際に、当該利用者を認証し、前記認証処理装置は、前記第1の認証手段による認証に成功した場合に、前記利用者の前記保護領域内への入場を許可する手段をさらに含むことを特徴とする。
【0008】
請求項3記載の発明は、請求項2記載の認証システムであって、前記第1の認証手段は、前記利用者が前記保護領域内から退場しようとする際にも、当該利用者を認証し、前記認証処理装置は、前記第1の認証手段による認証に成功した場合に、前記利用者の前記保護領域内からの退場を許可する手段と、前記利用者の前記保護領域内からの退場が許可される場合に、前記利用者に関連づけられた1又は複数の利用対象装置のそれぞれに対して、当該利用対象装置に送信された認証関連情報の無効化を指示する無効化指示手段と、をさらに含み、前記利用対象装置のそれぞれは、前記無効化指示手段の指示に応じて、前記受信した認証関連情報を無効化することを特徴とする。
【0009】
請求項4記載の発明は、請求項3記載の認証システムであって、前記認証処理装置は、前記利用者の前記保護領域内からの退場が許可される場合に、前記利用者に関連づけられた1又は複数の利用対象装置のそれぞれから、当該利用者が当該利用対象装置をどの程度利用したかを示す利用結果情報を取得することを特徴とする。
【0010】
請求項5記載の発明は、請求項1から4のいずれか一項記載の認証システムであって、前記送信手段は、前記第1の認証手段が前記利用者を認証した際に、前記利用者に関連づけられた1又は複数の利用対象装置のそれぞれに対して、前記利用者による当該利用対象装置の利用可否を判断する際に用いられる利用可否関連情報を送信し、前記受信手段は、前記認証処理装置が送信する利用可否関連情報を受信し、前記第2の認証手段は、前記認証された利用者が当該利用対象装置の利用を要求した際に、当該要求される利用が許可されるか否かを、前記利用可否関連情報を用いて判断することを特徴とする。
【0011】
請求項6記載の発明は、請求項5記載の認証システムであって、前記利用者に関連づけられた1又は複数の利用対象装置のそれぞれに対して送信される利用可否関連情報は、前記利用者による当該利用対象装置の利用量の制限に関する情報を含み、前記第2の認証手段は、前記利用量の制限に関する情報を用いて、前記認証された利用者による当該利用対象装置の利用量を制限することを特徴とする。
【0012】
請求項7記載の発明は、利用者から受け付けた識別情報により、当該利用者を認証する第1の認証手段と、前記利用者を認証した際に、当該認証処理装置と接続された複数の利用対象装置のうち、当該認証された利用者に関連づけられた1又は複数の利用対象装置のそれぞれに対して、当該利用対象装置による当該利用者の第2の認証に用いられる認証関連情報を送信する送信手段と、を含むことを特徴とする認証処理装置である。
【0013】
請求項8記載の発明は、複数の認証システムと、統合認証処理装置と、を含み、前記複数の認証システムのそれぞれは、認証処理装置と、複数の利用対象装置と、を含み、前記認証処理装置は、利用者から識別情報を受け付けた際に、当該認証処理装置を含む認証システムに含まれる前記複数の利用対象装置のうち、当該利用者に関連づけられた1又は複数の利用対象装置を特定する情報と、当該利用対象装置による当該利用者の認証に用いられる認証関連情報と、を前記統合認証処理装置に対して問い合わせる手段を含み、前記統合認証処理装置は、前記問い合わせに応じて、前記利用者に関連づけられた1又は複数の利用対象装置を特定する情報と、前記認証関連情報と、を前記認証処理装置に対して送信する手段を含み、前記認証処理装置は、前記利用者から受け付けた識別情報により、当該利用者を認証する第1の認証手段と、前記第1の認証手段が前記利用者を認証した際に、前記統合認証処理装置から受信した情報により特定される利用対象装置のそれぞれに対して、前記統合認証処理装置から受信した認証関連情報を送信する送信手段と、をさらに含み、前記複数の利用対象装置のそれぞれは、前記認証処理装置が送信する認証関連情報を受信する受信手段と、前記認証された利用者が当該利用対象装置を利用する際に、前記受信した認証関連情報を用いて当該利用者を認証する第2の認証手段と、を含むことを特徴とする統合認証システムである。
【0014】
請求項9記載の発明は、利用者から受け付けた識別情報により、当該利用者を認証する第1の認証手段、及び前記利用者を認証した際に、当該認証処理装置と接続された複数の利用対象装置のうち、当該認証された利用者に関連づけられた1又は複数の利用対象装置のそれぞれに対して、当該利用対象装置による当該利用者の第2の認証に用いられる認証関連情報を送信する送信手段、としてコンピュータを機能させるためのプログラムである。
【発明の効果】
【0015】
請求項1、7及び9記載の発明によれば、複数の利用対象装置における利用者の認証に関する情報を認証処理装置で一元的に管理した場合における個々の利用対象装置が認証処理を実行する際の認証処理にかかる時間を、利用対象装置が認証処理を実行する度に外部装置に問い合わせる場合と比較して短くできる。
【0016】
請求項2記載の発明によれば、利用者の保護領域への入場を契機として、当該利用者に関連づけられた利用対象装置に認証に必要な情報を送信できる。
【0017】
請求項3記載の発明によれば、利用者の保護領域からの退場を契機として、当該利用者に関連づけられた利用対象装置の認証関連情報を無効化できる。
【0018】
請求項4記載の発明によれば、利用者の保護領域からの退場を契機として、当該利用者が保護領域内で各利用対象装置をどの程度利用したかを示す情報を認証処理装置に集約できる。
【0019】
請求項5記載の発明によれば、複数の利用対象装置における利用者による利用の可否判断に関する情報を認証処理装置で一元的に管理でき、かつ、個々の利用対象装置が利用可否を判断する際に、都度利用可否を外部に問い合わせずともよくなる。
【0020】
請求項6記載の発明によれば、複数の利用対象装置に対する利用者の利用量制限に関する情報を認証処理装置で一元的に管理でき、かつ、利用者による利用が利用量の制限範囲内かを個々の利用対象装置が判断する際に、都度利用量の制限を外部に問い合わせずともよくなる。
【0021】
請求項8記載の発明によれば、利用者が複数の認証システムにまたがって利用対象装置を利用する場合に、各認証システムにおける利用対象装置による利用者の認証に関する情報を統合認証処理装置で一元的に管理でき、かつ、個々の利用対象装置が認証処理を実行する際の利用者の待ち時間を、外部認証の場合と比較して短くできる。
【図面の簡単な説明】
【0022】
【図1】本発明の実施の形態に係る統合認証システムの全体概要を示す概要図である。
【図2】本発明の実施の形態に係る領域認証システムの概略構成を示す構成図である。
【図3】本発明の実施の形態に係る領域認証システムが実現する機能を示す機能ブロック図である。
【図4】利用者の入場時に、本発明の実施の形態に係る領域認証システムが実行する処理の流れを示すフロー図である。
【図5】利用者が利用対象装置を利用する際に、利用対象装置が実行する処理の流れを示すフロー図である。
【図6】利用者の退場時に、本発明の実施の形態に係る領域認証システムが実行する処理の流れを示すフロー図である。
【図7】認証処理装置が記憶する管理情報の一例を示す図である。
【発明を実施するための形態】
【0023】
以下、本発明の実施の形態について、図面を参照して詳細に説明する。
【0024】
図1は、本実施形態に係る統合認証システム1の全体概要を示す概要図である。統合認証システム1は、複数の領域認証システム2と、統合認証処理装置3と、を含んで構成されている。これら複数の領域認証システム2及び統合認証処理装置3は、通信手段(例えばインターネットや社内ネットワーク網など)を介して接続されており、相互にデータ通信を行う。
【0025】
統合認証処理装置3は、サーバコンピュータ等の情報処理装置であって、複数の領域認証システム2それぞれを利用する利用者Uに関する情報を、集中管理する。本実施形態において統合認証処理装置3が実行する処理の内容の具体例については、後述する。
【0026】
図2は、図1に示される複数の領域認証システム2のうちの一つについて、その概略構成を示す構成図である。領域認証システム2は、認証システムの一例であって、保護領域A内に構築されている。ここで保護領域Aは、許可されない人物の侵入を防ぐように物理的に区画された領域である。すなわち、保護領域Aには出入口(ゲート)Gが設けられており、このゲートGを通らずに保護領域A内への入場及び保護領域A内からの退場はできないようになっている。領域認証システム2は、一つの認証処理装置10と、複数の利用対象装置20と、を含んで構成されている。なお、ここでは認証処理装置10も保護領域A内に設置されることとしているが、認証処理装置10は必ずしも保護領域A内に設置されずともよい。
【0027】
認証処理装置10は、サーバコンピュータ等の情報処理装置であって、同じ領域認証システム2内に含まれる利用対象装置20を利用する利用者Uの認証に関する情報を、一元的に管理する。認証処理装置10は、制御部11と、記憶部12と、通信部13と、インタフェース部14と、を含んで構成される。
【0028】
制御部11は、例えばCPU等のプログラム制御デバイスであって、記憶部12に記憶されるプログラムに従って各種の情報処理を実行する。本実施形態において制御部11が実行する処理の内容については、後述する。
【0029】
記憶部12は、例えばRAMやROM等のメモリ素子を含んで構成され、制御部11が実行するプログラムや各種のデータを記憶する。特に本実施形態では、記憶部12は、当該領域認証システム2内に配置された複数の利用対象装置20を利用する利用者Uを認証するために必要な情報を記憶している。また、記憶部12は制御部11のワークメモリとしても機能する。
【0030】
通信部13は、例えばLANカード等の通信インタフェースであって、ローカルエリアネットワーク等の通信手段を介して、同じ領域認証システム2内の複数の利用対象装置20や、領域認証システム2外部のネットワークに接続された統合認証処理装置3等との間でデータ通信を行う。
【0031】
インタフェース部14には、2つの識別情報受付端末15a及び15bが接続されている。識別情報受付端末15a及び15bは、いずれもゲートGの近傍に配置されている。具体的に、識別情報受付端末15aは、保護領域Aの外側に配置されており、保護領域A内に入場しようとする利用者Uから、当該利用者Uを識別する識別情報を受け付けて、受け付けた識別情報をインタフェース部14に対して出力する。また、もう一つの識別情報受付端末15bは、保護領域Aの内部に配置されており、保護領域A内から退場しようとする利用者Uの識別情報を受け付けて、受け付けた識別情報をインタフェース部14に対して出力する。インタフェース部14は、識別情報受付端末15a及び15bのそれぞれが出力する利用者Uの識別情報を受け付けて、制御部11に対して出力する。なお、本実施形態においては、識別情報受付端末15a及び15bはICカードリーダであることとし、利用者Uが所持するICカードに記憶された、当該利用者Uの識別情報を読み取って、認証処理装置10に対して出力することとする。
【0032】
また、インタフェース部14は、ゲートGの施錠/解錠制御を行う制御機構とも接続されており、制御部11の指示に従ってゲートGの制御機構に対して制御信号を出力する。この制御信号によって、ゲートGの開閉が行われる。すなわち、ゲートGは、認証処理装置10から送信される制御信号によって、解錠及び施錠され、これによって利用者Uの保護領域Aに対する入退場が制御される。
【0033】
複数の利用対象装置20のそれぞれは、本実施形態において利用者Uによる利用の対象となる装置であって、例えば複写機等の画像形成装置であってよい。各利用対象装置20は、制御部21と、記憶部22と、通信部23と、インタフェース部24と、を含んで構成される。
【0034】
制御部21は、例えばCPU等のプログラム制御デバイスであって、記憶部22に記憶されるプログラムに従って各種の情報処理を実行する。本実施形態において制御部21が実行する処理の内容については、後述する。
【0035】
記憶部22は、例えばRAMやROM等のメモリ素子を含んで構成され、制御部21が実行するプログラムや各種のデータを記憶する。特に本実施形態では、記憶部22は、認証処理装置10から受信した情報を一時的に格納する。また、記憶部22は制御部21のワークメモリとしても機能する。
【0036】
通信部23は、例えばLANカード等の通信インタフェースであって、ローカルエリアネットワーク等の通信手段を介して、同じ領域認証システム2内の認証処理装置10との間でデータ通信を行う。
【0037】
インタフェース部24には、識別情報受付端末25が接続されている。識別情報受付端末25は、当該識別情報受付端末25に接続された利用対象装置20を利用しようとする利用者Uから当該利用者Uの識別情報を受け付けて、受け付けた識別情報をインタフェース部24に対して出力する。インタフェース部24は、識別情報受付端末25が出力する識別情報を受け付けて、制御部21に対して出力する。本実施形態では、識別情報受付端末25は、識別情報受付端末15a及び15bと同様に、ICカードリーダであって、利用者Uが所持するICカードに記憶された識別情報を読み取って、利用対象装置20に対して出力することとする。
【0038】
以下、本実施形態に係る領域認証システム2において、認証処理装置10及び利用対象装置20が実現する機能について、図3の機能ブロック図を用いて説明する。図3に示すように、認証処理装置10は、機能的に、第1認証処理部31と、入退場制御部32と、認証関連情報送信部33と、認証関連情報無効化指示部34と、を含んで構成されている。これらの機能は、制御部11が記憶部12に格納されたプログラムを実行することにより、実現される。また、利用対象装置20は、機能的に、認証関連情報受信部41と、第2認証処理部42と、認証関連情報無効化部43と、を含んで構成されている。これらの機能は、制御部21が記憶部22に格納されたプログラムを実行することにより、実現される。なお、認証処理装置10及び利用対象装置20が実行するプログラムは、それぞれ、光ディスク等のコンピュータ読み取り可能な情報記憶媒体に格納されて各装置に提供されてもよいし、インターネット等の通信手段を介して各装置に提供されてもよい。
【0039】
認証処理装置10において、第1認証処理部31は、識別情報受付端末15a又は15bが利用者Uから受け付けた識別情報を用いて、当該利用者Uの認証を行う。以下では、この第1認証処理部31による認証を第1認証という。具体的に、利用者Uは、ゲートGを通って保護領域A内に入場しようとするとき、ICカードを識別情報受付端末15aの読み取り可能範囲内まで近づけて、ICカード内に記憶された識別情報を識別情報受付端末15aに読み取らせる。また、保護領域A内から退場しようとするときには、ICカードに記憶された識別情報を識別情報受付端末15bに読み取らせる。第1認証処理部31は、このICカードから読み取られた識別情報を、記憶部12に記憶されている各利用者の認証情報と照合することによって、ICカードを所持している利用者Uが誰であるかを特定し、当該特定された利用者Uが保護領域Aへの入場又は保護領域Aからの退場を許可される人物であるかを判定する。
【0040】
なお、第1認証処理部31は、利用者Uの入退場いずれの場合も、ICカードから読み取られた識別情報が、記憶部12に予め記憶されている、保護領域A内への入場を許可された人物の認証情報と一致するか否か照合することで、第1認証を行ってもよい。また、利用者Uの入場時に、当該入場を許可した利用者Uを特定する情報を利用者Uの入場履歴として記憶部12に一時的に格納しておき、利用者Uの退場時には、利用者Uの入場履歴が存在するか否かを判定することによって、利用者Uが保護領域Aからの退場を許可される人物か否か判定してもよい。
【0041】
入退場制御部32は、第1認証処理部31の認証結果に応じて、ゲートGの解錠及び施錠を制御することによって、利用者Uの保護領域Aへの入場又は保護領域Aからの退場を許可する。具体的に、入退場制御部32は、識別情報受付端末15aから受け付けた識別情報に基づく利用者Uの第1認証が成功した場合(すなわち、利用者Uが保護領域Aへの入場を許可される人物であると判定された場合)、ゲートGを一定時間解錠する制御信号を出力する。これにより、利用者Uの保護領域A内への入場が許可される。また、識別情報受付端末15bから受け付けた識別情報に基づく利用者Uの第1認証が成功した場合(すなわち、利用者Uが保護領域Aからの退場を許可される人物であると判定された場合)、やはり一定時間だけゲートGを解錠する制御信号を出力する。これにより、利用者Uの保護領域Aからの退場が許可される。
【0042】
認証関連情報送信部33は、第1認証処理部31による第1認証が実行され、入退場制御部32によって利用者Uの入場が許可される際に、領域認証システム2内に配置される複数の利用対象装置20のうち、当該第1認証によって認証された利用者Uに関連づけられた利用対象装置20を特定する。そして、特定された1又は複数の利用対象装置20のそれぞれに対して、当該利用者Uの認証に関する情報を送信する。なお、以下では、利用者Uに関連づけられた1又は複数の利用対象装置20を、利用者関連装置という。
【0043】
具体例として、認証処理装置10は、同じ領域認証システム2内に配置されている複数の利用対象装置20のそれぞれについて、当該利用対象装置20を利用する権限を付与された利用者を示すリスト情報を保持しているものとする。認証関連情報送信部33は、このリスト情報を参照して、第1認証処理部31による第1認証を受けた利用者Uが利用を許可されている利用対象装置20を、利用者関連装置として特定する。
【0044】
そして、認証関連情報送信部33は、この特定された利用者関連装置のそれぞれに対して、利用者Uの認証に関する情報(以下、認証関連情報という)を送信する。ここで、認証関連情報は、利用者関連装置のそれぞれが利用者Uを認証する際に用いられる情報であって、第1認証処理部31による第1認証に用いられる認証情報と共通する情報を含んでもよい。
【0045】
さらに、認証関連情報送信部33は、利用者関連装置に対して、認証関連情報だけでなく、利用者Uによる当該利用者関連装置の利用可否に関する情報(以下、利用可否関連情報という)を送信してもよい。利用可否関連情報は、個々の利用者関連装置が、利用者Uによる当該利用者関連装置の利用を許可するか否か判断する際に用いられる情報である。この利用可否関連情報は、利用者関連装置が備える複数種類の機能(例えば画像の読み取りや複写、印刷等)のそれぞれごとに、利用者Uの利用が許可されるか否かを示す利用権限情報を含んでもよい。利用者関連装置は、この利用権限情報を参照して、自身が備える機能毎に、利用者Uに対して当該機能の利用を許可するか、または当該機能の利用を制限するか、といった利用可否の判断を行う。
【0046】
また、利用者Uによる利用者関連装置の利用量に対する制限が定められている場合、利用可否関連情報は、この利用量の制限に関する情報(以下、利用量情報という)を含んでもよい。例えば利用量情報は、利用対象装置20全体の利用回数の上限を示す情報や、第1認証が行われた時点で利用者Uが過去に各利用対象装置20を利用した利用回数を示す情報を含んでよい。この場合の具体例としては、月毎(又は週毎)に利用者Uが画像の複写を行うことのできる複写回数(又は複写枚数)の上限を示す情報や、利用者Uがその月(又はその週)に既に各利用対象装置20を利用して行った複写回数(又は複写枚数)を示す情報などが挙げられる。この利用量情報を参照することで、利用者関連装置は、利用者Uに対して後何回分の利用を許可するか、といった利用可否の判断を行う。
【0047】
認証関連情報無効化指示部34は、利用者Uが保護領域A内から退場するために第1認証を受けた場合に、利用者関連装置のそれぞれに対して、利用者Uの入場時に認証関連情報送信部33が送信した認証関連情報の無効化を指示する。具体的に、認証関連情報無効化指示部34は、認証関連情報送信部33と同様の処理により、保護領域Aから退場する際に第1認証を受けた利用者Uに関連づけられた利用者関連装置を特定する。そして、当該特定された利用者関連装置のそれぞれに対して、認証関連情報を無効化する指示を送信する。これにより、利用者Uが保護領域Aから退場する際に、保護領域A内の各利用者関連装置に記憶された当該利用者Uの認証関連情報は無効化される。それ以降、再び利用者Uが認証処理装置10の第1認証を受けるまで(すなわち、利用者Uが第1認証を受けて保護領域A内に再入場するまで)、利用者Uによる保護領域A内の全ての利用対象装置20の利用は許可されないことになる。
【0048】
また、認証関連情報無効化指示部34は、利用者Uが第1認証を受けて保護領域Aから退場する際に、各利用者関連装置から、利用者Uが保護領域A内で当該利用者関連装置をどの程度利用したかを示す情報(以下、利用結果情報という)を取得してもよい。具体的に、認証関連情報無効化指示部34は、各利用者関連装置に対して、利用結果情報の送信要求を送信する。この送信要求に応じて各利用者関連装置が送信する利用結果情報を受信することにより、認証関連情報無効化指示部34は、利用者Uが保護領域A内に入場してから退場するまでの間に、各利用者関連装置をどの程度利用したかを把握する。利用結果情報には、各利用者関連装置において計数された、当該利用者関連装置が備える各機能を利用者Uが何回使用したか(又は画像何枚分使用したか)を示す利用量の情報が含まれてよい。
【0049】
利用対象装置20において、認証関連情報受信部41は、認証処理装置10の認証関連情報送信部33が送信する認証関連情報を受信し、記憶部22内に一時的に格納する。また、認証関連情報送信部33が利用可否関連情報も送信する場合、認証関連情報受信部41は、この利用可否関連情報も受信して、記憶部22内に格納する。
【0050】
第2認証処理部42は、保護領域A内に入場した利用者Uが当該利用対象装置20を利用しようとする場合に、認証関連情報受信部41が受信した認証関連情報を用いて、当該利用者Uの認証を行う。以下では、第2認証処理部42による認証を第2認証という。具体的に、利用者Uは、利用対象装置20を利用しようとする場合、まず当該利用対象装置20に接続された識別情報受付端末25に対して自身の識別情報を入力する。第2認証処理部42は、この識別情報受付端末25が受け付けた識別情報と、認証関連情報受信部41が受信して記憶部22に格納されている認証関連情報と、を照合することにより、利用者Uが当該利用対象装置20を利用する権限を備えた人物であると判定し、その利用を許可する。なお、利用者Uが当該利用対象装置20の利用を全く許可されていない場合、認証関連情報送信部33によって当該利用対象装置20は利用者関連装置として特定されておらず、そのゆえ認証関連情報は当該利用対象装置20に送信されていないはずである。この場合、この利用者Uの第2認証は成功せず、利用者Uによる当該利用対象装置20の利用は許可されないことになる。
【0051】
また、認証関連情報受信部41が認証処理装置10から利用可否関連情報を受信している場合、第2認証処理部42は、第2認証を受けた利用者Uが要求する利用の内容ごとに、利用可否関連情報を用いてその利用が許可されるか否かを判定してもよい。すなわち、利用者Uから利用機能や利用量の指定を含む要求を受け付けた場合、第2認証処理部42は、当該要求された機能の利用権限が当該利用者Uに付与されているか否か、また要求された利用量が当該利用者Uに許可されている利用量の範囲内か否かを、当該利用者Uの利用可否関連情報を参照して判定する。判定の結果、利用が許可されない場合には、第2認証処理部42はその旨を利用者Uに通知する。利用が許可される場合には、利用対象装置20はそのまま要求された機能を実行すればよい。
【0052】
認証関連情報無効化部43は、認証処理装置10の認証関連情報無効化指示部34からの指示に応じて、利用者Uの認証関連情報を無効化する。具体的に、認証関連情報無効化部43は、認証関連情報受信部41によって受信されて一時的に記憶部22に格納されていた認証関連情報を削除するか、あるいは当該認証関連情報に無効化フラグを付与するなどの方法で、無効化する。これにより、それ以降、再び認証関連情報受信部41によって当該利用者Uの認証関連情報が受信されるまで、第2認証処理部42による利用者Uの第2認証は成功しないことになる。
【0053】
また、認証関連情報無効化部43は、認証関連情報無効化指示部34から利用者Uに対する利用結果情報の送信要求があった場合に、当該利用者Uがどの程度当該利用対象装置20を使用したかを示す利用結果情報を、認証処理装置10に対して送信する。具体的に、認証関連情報無効化部43は、利用結果情報の送信要求を受信した場合、認証関連情報受信部41が当該利用者Uに対する認証関連情報を受信してから、利用結果情報の送信要求を受信するまでの間における、当該利用者Uの利用履歴情報を参照して、その内容に応じた利用結果情報を認証処理装置10に対して送信する。これにより、利用者Uが保護領域Aから退場する際に、それまでに利用者Uが各利用者関連装置をどの程度利用したかを示す情報が、認証処理装置10に集約される。
【0054】
次に、本実施形態において認証処理装置10及び利用対象装置20が実行する処理の流れの具体例について、説明する。まず、利用者Uが保護領域A内に入場する際の処理の流れの例について、図4のフロー図を用いて説明する。なお、以下の説明においては、保護領域A内に利用対象装置20a,20b及び20cの3つの利用対象装置20が設置されており、これらのうち、利用対象装置20a及び20cの2つの利用対象装置20が利用者Uに関連づけられているものとする。
【0055】
最初に、利用者UがICカードを識別情報受付端末15aの読み取り範囲内に移動させることによって、識別情報受付端末15aはICカードに記憶された識別情報を読み取って、認証処理装置10に送信する(S1)。
【0056】
識別情報受付端末15aから識別情報を受け付けた認証処理装置10の第1認証処理部31は、当該受け付けた識別情報を用いて利用者Uに対する第1認証を行う(S2)。第1認証に成功すると、認証関連情報送信部33は、記憶部12内に記憶された情報を参照して、認証された利用者Uに関連づけられた利用者関連装置を特定する(S3)。前述したように、ここでは利用対象装置20a及び20cが利用者関連装置として特定される。さらに認証関連情報送信部33は、記憶部12内に記憶された情報を参照して、認証された利用者Uの各利用者関連装置に対する利用権限情報、及び利用量情報を取得する(S4)。そして、利用対象装置20a及び20cのそれぞれに対して、S2で特定された利用者Uの認証関連情報、並びにS4で取得された利用者Uの利用権限情報、及び利用量情報を送信する(S5)。
【0057】
なお、この場合において、認証関連情報送信部33が送信する利用権限情報は、利用対象装置20a及び20cのそれぞれに固有の情報であってよい。すなわち、利用者Uが利用対象装置20aを利用した画像の複写は許可されているが、利用対象装置20cを利用した画像の複写は許可されていない場合、認証関連情報送信部33は、利用対象装置20aには画像の複写を許可する利用権限情報を送信する一方で、利用対象装置20cには画像の複写を制限する利用権限情報を送信する。
【0058】
また、認証関連情報送信部33が利用者関連装置のそれぞれに送信する利用量情報は、それぞれに固有の情報であってもよいし、互いに共通する情報であってもよい。具体的に、複数の利用対象装置20のそれぞれに対して、個別に利用者Uの利用量制限が定められている場合、認証関連情報送信部33は、各利用者関連装置に対して、それぞれの利用者関連装置に対応する利用量情報を送信する。また、個々の利用対象装置20とは関係なく、全体として利用者Uに対する利用量制限が定められている場合、認証関連情報送信部33は、全ての利用者関連装置に対して、共通する内容の利用量情報を送信してもよい。あるいは、予め定められた規則に従って、全体の利用量制限を各利用者関連装置に配分し、当該配分された利用量制限を示す利用量情報を各利用者関連装置に送信することとしてもよい。具体例として、利用者Uの複写枚数の上限が残り100枚と定められている場合、認証関連情報送信部33は、この100枚を2つの利用者関連装置に均等に分配し、利用対象装置20a及び利用対象装置20cのそれぞれに対して、50枚を複写枚数の上限とする利用量情報を送信してもよい。
【0059】
利用対象装置20a及び20cは、それぞれ、S4で認証処理装置10が送信した認証関連情報、利用権限情報、及び利用量情報を受信し、記憶部22内に格納する(S6)。一方、認証処理装置10の入退場制御部32は、S2の第1認証成功を受けて、ゲートGの解錠を指示する制御信号を出力する(S7)。これにより、利用者Uは保護領域A内に入場し、かつ利用が許可されている利用者関連装置を利用可能な状態になる。
【0060】
次に、保護領域A内に入場した利用者Uが利用対象装置20の一つを利用する際に、利用対象装置20が実行する処理の流れの一例について、図5のフロー図を用いて説明する。ここでは、利用者Uが利用対象装置20aの複写機能を利用する場合の例について、説明する。
【0061】
まず、利用者Uが利用対象装置20aに接続された識別情報受付端末25の読み取り範囲内にICカードを移動させることによって、識別情報受付端末25はICカードに記憶された識別情報を読み取って、利用対象装置20aに送信する(S11)。
【0062】
識別情報受付端末25から識別情報を受け付けた利用対象装置20aの第2認証処理部42は、当該受け付けた識別情報と、前述したS6の処理で記憶部22内に記憶されている認証関連情報と、を用いて、利用者Uに対する第2認証を行う(S12)。なお、既に説明したように、利用者Uの認証関連情報は利用者Uの保護領域A入場時に予め利用者関連装置に送信されているので、利用者Uが利用対象装置20aを利用する際には、改めて認証処理装置10に問い合わせが行われることはない。
【0063】
第2認証に成功すると、利用者Uがタッチパネル等の操作部(不図示)への操作入力を行うことにより、利用対象装置20aは利用者Uの利用要求を受け付ける(S13)。第2認証処理部42は、S6の処理で記憶部22内に記憶された利用権限情報、及び利用量情報を参照して、S13で受け付けた利用者Uの要求する利用内容が許可されるか否か判定する(S14)。許可されると判定すると、利用対象装置20aは、利用者Uが要求する機能を実行し(S15)、その実行結果を利用者Uの利用履歴として記憶部22に格納する(S16)。具体的に、利用対象装置20aは、利用者Uの要求に応じて実行した画像の複写枚数等の情報を、記憶部22に記憶する。
【0064】
次に、利用者Uが保護領域Aから退場する際の処理の流れの例について、図6のフロー図を用いて説明する。
【0065】
まず、利用者UがICカードを識別情報受付端末15bの読み取り範囲内に移動させることによって、識別情報受付端末15bはICカードに記憶された識別情報を読み取って、認証処理装置10に送信する(S21)。
【0066】
識別情報受付端末15bから識別情報を受け付けた認証処理装置10の第1認証処理部31は、当該受け付けた識別情報を用いて、S2の場合と同様に利用者Uの第1認証を行う(S22)。第1認証に成功すると、認証関連情報無効化指示部34は、S3の処理と同様にして、利用者関連装置を特定する(S23)。そして、特定された利用者関連装置(ここでは利用対象装置20a及び20c)のそれぞれに対して、利用結果情報の送信要求を行う(S24)。
【0067】
各利用者関連装置は、S24の送信要求に応じて、S16の処理などによって記憶されている、利用者Uの利用内容を示す利用結果情報を認証処理装置10に対して送信する(S25)。S25で送信された情報を受信した認証処理装置10の認証関連情報無効化指示部34は、当該情報を記憶部12に記憶されている利用者Uの利用量情報に反映させる更新処理を行う(S26)。この更新結果は、次回利用者Uが保護領域Aに入場する際に、S4の処理で取得されてS5の処理で各利用者関連装置に送信される利用量情報に反映されることになる。
【0068】
続いて認証関連情報無効化指示部34は、各利用者関連装置に対して、S5の処理で各利用者関連装置に送信した利用者Uの認証関連情報、利用権限情報、及び利用量情報の無効化を指示する(S27)。この指示に応じて、各利用者関連装置は、S6の処理によって記憶部22に記憶された各情報を削除する(S28)。一方、認証処理装置10の入退場制御部32は、ゲートGの解錠を指示する制御信号を出力する(S29)。これにより、利用者Uは保護領域Aから退場する。
【0069】
なお、これまでの説明においては、一つの領域認証システム2における利用者Uの認証及び各利用対象装置20の利用制御を対象としたが、複数の領域認証システム2における利用者Uの認証及び各利用対象装置20の利用制御は、統合認証処理装置3によって集中的に管理されてもよい。このような場合において各領域認証システム2内の認証処理装置10と統合認証処理装置3とが連携して実行する処理の具体例について、以下に説明する。
【0070】
まず、各保護領域A内の認証処理装置10は、当該保護領域Aに入場しようとする利用者Uの識別情報を受け付けた際に、統合認証処理装置3に当該利用者Uの認証情報を問い合わせる問い合わせ情報を送信する。統合認証処理装置3は、この問い合わせに応じて、問い合わせの対象となった利用者Uの認証情報を送信する。また、このとき統合認証処理装置3は、問い合わせを行った認証処理装置10と同じ保護領域Aに含まれる利用対象装置20のうち、利用者Uと関連づけられた利用者関連装置を特定する情報も、併せて認証処理装置10に対して送信することとしてもよい。
【0071】
問い合わせを行った認証処理装置10は、統合認証処理装置3から受信した利用者Uの認証情報と、利用者Uから受け付けた識別情報と、を用いて、利用者Uの第1認証を行う。そして、統合認証処理装置3から受信した情報によって特定される利用者関連装置のそれぞれに対して、統合認証処理装置3から受信した認証情報を、第2認証に用いられる認証関連情報として、送信する。なお、認証処理装置10は、利用者関連装置を特定する情報とともに利用可否関連情報も統合認証処理装置3から取得し、併せて各利用者関連装置に送信してもよい。
【0072】
また、利用者Uが保護領域Aから退場する際には、当該保護領域A内の認証処理装置10は、各利用者関連装置から取得した利用結果情報を、統合認証処理装置3に送信する。統合認証処理装置3は、この利用結果情報を用いて、当該利用者Uの利用量情報を更新する。これにより、複数の保護領域A内に設置された利用対象装置20全体に対する利用者Uの利用量に関する情報が、統合認証処理装置3に集約される。統合認証処理装置3は、各認証処理装置10から問い合わせがあったときには、このようにして更新された利用量情報を認証処理装置10に送信する。利用者Uが同時期に複数の保護領域A内で利用対象装置20を利用することはできないので、利用者Uが退場するときに認証処理装置10が当該保護領域A内における処理結果情報を一括して統合認証処理装置3に送信し、別の保護領域A内に利用者Uが入場するときには当該保護領域A内の認証処理装置10が統合認証処理装置3に問い合わせを行うことで、これまで利用者Uが全ての保護領域A内で利用した利用量に応じた利用量制限が、新たに利用者Uが入場した保護領域A内でも実行されることになる。
【0073】
なお、上述した説明では各認証処理装置10が利用者Uの入場時に統合認証処理装置3に問い合わせを行うこととしたが、これに代えて、統合認証処理装置3は、利用者Uの退場時に当該保護領域A内の認証処理装置10から利用結果情報の送信があった場合に、当該利用結果情報の内容を反映した最新の利用量情報を、予め他の保護領域A内の認証処理装置10に対して配信することとしてもよい。
【0074】
また、統合認証処理装置3は、複数の認証処理装置10から利用者Uの保護領域A内への入退場に関する情報を取得し、互いに矛盾する情報を取得した場合には利用対象装置20の利用を制限する処理を実行してもよい。具体例として、各認証処理装置10は、利用者Uが対応する保護領域Aに入退場する際には、第1認証を実行するために、前述したように統合認証処理装置3に問い合わせを行う。この問い合わせを受けて、統合認証処理装置3は、各利用者Uの各保護領域Aへの入退場を記憶しておく。そして、統合認証処理装置3は、ある利用者Uが第1の保護領域A1に入場する旨の通知を当該第1の保護領域A1内の認証処理装置10から受け付けた後、当該認証処理装置10から利用者Uが第1の保護領域A1から退場する旨の通知を受け付ける前に、第2の保護領域A2に当該利用者Uが入場する旨の通知を当該第2の保護領域A2内の認証処理装置10から受け付けた場合、第1の保護領域A1及び第2の保護領域A2のいずれか一方、又は両方の内部に設置された利用対象装置20について、当該利用者Uの利用を無効化することとしてもよい。
【0075】
本発明の実施の形態は、以上説明したものに限られない。例えば、以上の説明では各利用者Uの識別情報はICカード内に記憶された情報であることとしたが、これに代えて、又はこれに加えて、利用者Uは識別情報としてユーザ名やパスワードを識別情報受付端末15a、15b及び25に入力することとしてもよい。また、識別情報受付端末15a、15b及び25のそれぞれは、識別情報として、利用者Uの指紋や虹彩、声紋等の生体認証情報を読み取ることとしてもよい。また、ゲートGに設置された識別情報受付端末15a及び15bが受け付ける識別情報と、利用対象装置20に接続された識別情報受付端末25が受け付ける識別情報とは、異なる種類の情報であってもよい。この場合、認証処理装置10が各利用者関連装置に送信する認証関連情報は、第1認証に用いられる認証情報とは異なる情報であってよい。
【0076】
ここで、利用対象装置20が画像形成装置であって、各利用対象装置(画像形成装置)20がパスワードを用いて利用者の認証を行う場合に、認証処理装置10によって管理される情報(管理情報)の例について、説明する。図7は、この例において認証処理装置10が記憶部12内に記憶している管理情報の具体例を示す図である。この図7では、各利用者を特定する利用者IDと関連づけて、管理情報として、認証関連情報、利用者関連装置、及び利用可否関連情報が格納されている。ここでは、認証関連情報はパスワードであって、各利用対象装置20には、利用者Uが識別情報としてパスワードを入力するためのタッチパネル等のユーザインタフェースが設けられている。各利用対象装置20は、利用者Uが当該利用対象装置20を利用する際に入力するパスワード(識別情報)と、認証処理装置10から受信したパスワード(認証関連情報)と、を照合することで、第2認証を行う。なお、各利用者のパスワードは、複数の利用者関連装置に共通する文字列等の情報であってもよいし、複数の利用者関連装置のそれぞれについて、互いに独立に設定される情報であってもよい。図7の例では、利用者ID「0001」の利用者については複数の利用者関連装置に共通するパスワードが設定されており、利用者ID「0002」の利用者については各利用者関連装置に互いに異なるパスワードが設定されている。
【0077】
この例では、認証処理装置10の認証関連情報送信部33は、管理テーブルを参照して、第1認証によって認証された利用者Uの利用者IDに関連づけられた利用者関連装置を読み出す。例えば第1認証によって認証された利用者Uの利用者IDが「0001」の場合、「M01」及び「M02」という装置IDによって特定される2つの画像形成装置が、利用者関連装置として特定される。そして、認証関連情報送信部33は、この利用者IDに関連づけられた認証情報(ここではパスワード)及び利用可否関連情報を読み出して、各利用者関連装置に対して送信する。
【0078】
図7では、利用可否関連情報として、共通制限に関する情報、利用者制限情報、装置別制限情報、出力可能枚数情報、及び使用可能時間情報がテーブル内に格納されている。このうち、共通制限に関する情報、利用者制限情報、及び装置別制限情報は、上述した利用権限情報の一例であって、それぞれ異なる範囲を対象として、利用者関連装置が備える機能のうち、各利用者による利用が制限される機能を定めている。具体的に、共通制限に関する情報は、利用者に関わらず、保護領域A内の全ての利用対象装置20に共通する機能制限を示す情報であって、例えば保護領域Aを管理する会社や部署の方針によって決定されてよい。なお、この共通制限に関する情報は、利用者ごとの利用可否関連情報を管理する図7のテーブルとは別に記憶されてもよい。一方、利用者制限情報は、利用者ごとに設定される、当該利用者に関連づけられた複数の利用者関連装置に共通する機能制限を示す情報である。また、装置別制限情報は、各利用者に関連付けられた複数の利用者関連装置のそれぞれについて、個別に設定される機能制限を示す情報である。
【0079】
また、出力可能枚数情報は、利用量情報の一例であって、利用者関連装置ごとに、当該利用者関連装置を用いて利用者が出力することのできる枚数の制限を示す情報である。この情報は、月単位や週単位、又は日単位など、予め定められた期間内における利用量の制限を示しており、この情報によって示される制限の範囲内で、各利用者による複写や印刷等が許可される。
【0080】
さらに、使用可能時間情報は、利用権限情報や利用量情報以外の利用可否関連情報の一例であって、各利用者が各利用者関連装置を使用可能な時間帯を規定する情報である。各利用者関連装置は、この使用可能時間情報と、内蔵される時計が計時する現在時刻の情報と、を参照して、現在時刻が使用可能時間情報により示される使用可能時間内か否かを判定する。そして、現在時刻が使用可能時間外と判定された場合、利用者の要求する機能に関わらず利用者による利用を制限することとする。
【0081】
図7に例示したような認証処理装置10が記憶する管理情報の内容は、更新権限を持った認証管理者等の要求によって、更新される。例えば認証管理者は、自分の使用するパーソナルコンピュータや、いずれかの利用対象装置20等、認証処理装置10と通信接続された情報処理装置に対して操作入力を行うことにより、認証処理装置10に対する更新要求を行う。この更新要求に応じて、記憶部12内の各利用者IDに関連づけられた管理情報は、変更、修正、追加、又は削除される。管理情報が更新されると、認証処理装置10は、次に利用者Uが保護領域A内に入場したときには、当該更新された管理情報を参照して、第1認証を受けた利用者Uに関連づけられた利用者関連装置を特定し、当該特定された利用者関連装置に対して、管理情報に含まれる認証関連情報や利用可否関連情報を送信する。
【0082】
なお、利用者Uが保護領域A内に入場している最中に管理情報の内容が更新された場合、認証処理装置10は、その時点では特に処理を実行せずに、次回以降に当該利用者Uが保護領域A内に入場した場合に、更新された管理情報を用いて利用者関連装置の特定や認証関連情報の送信等を実行することとしてもよい。あるいは、認証処理装置10は、管理情報が更新された時点で、当該更新された管理情報を用いて、直ちに新たな認証関連情報や利用可否関連情報を取得し、利用者関連装置に再送信してもよい。この場合、更新された認証関連情報や利用可否関連情報を受信した利用者関連装置は、記憶部22に一時的に格納している情報を当該更新された認証関連情報及び利用可否関連情報で上書きし、それ以降は、上書きされた情報を用いて利用者Uの第2認証や当該利用者Uの利用可否判定を行う。なお、認証処理装置10は、管理情報の更新が行われた場合に、各利用者関連装置に対して、認証関連情報や利用可否関連情報の全体を再送信するのではなく、更新された部分だけを再送信することとしてもよい。
【0083】
また、以上の説明では識別情報受付端末15bが保護領域Aの内部に設置され、利用者Uは保護領域Aから退場する際にも第1認証を受けることとしたが、利用結果情報の認証処理装置10による収集を行わない場合、退場時の第1認証は必ずしも行う必要はない。この場合、入場時の第1認証に応じて各利用者関連装置に送信された認証関連情報は、例えば一定時間の経過後に無効化されることとしてもよい。
【0084】
また、以上の説明では識別情報受付端末15aはゲートG付近に設置され、利用者UがゲートGを通って保護領域A内に入場する際に第1認証が行われることとしたが、第1認証を行うタイミングはこのようなものに限られない。すなわち、認証システムは保護領域A内の利用対象装置20に対する領域認証システムに限られず、グループ化された複数の利用対象装置20の認証関連情報を認証処理装置10で一元管理するものであれば、どのようなものであっても構わない。この場合、利用者Uは、一元管理される複数の利用対象装置20の利用開始に先立つタイミングで、認証処理装置10による第1認証を受ければよい。
【0085】
具体例として、識別情報受付端末15aは、利用者Uが使用するパーソナルコンピュータ等の情報処理装置に接続されてもよく、また利用者Uが使用するパーソナルコンピュータそのものであってもよい。この例では、利用者Uは、自分自身の使用するパーソナルコンピュータを使用する際に、認証処理装置10による第1認証を受けたうえで、その使用を開始する。また、この第1認証が実行された際に、認証処理装置10は利用者Uに関連づけられた利用者関連装置に認証関連情報を送信しておく。こうすれば、利用者Uがパーソナルコンピュータの利用開始時に第1認証を受けることで、例えば同じフロア内に設置された利用対象装置20は、利用者Uによる利用を許可する状態に移行することになる。
【符号の説明】
【0086】
1 統合認証システム、2 領域認証システム、3 統合認証処理装置、10 認証処理装置、20 利用対象装置、11,21 制御部、12,22 記憶部、13,23 通信部、14,24 インタフェース部、15a,15b,25 識別情報受付端末、31 第1認証処理部、32 入退場制御部、33 認証関連情報送信部、34 認証関連情報無効化指示部、41 認証関連情報受信部、42 第2認証処理部、43 認証関連情報無効化部。
【技術分野】
【0001】
本発明は、認証処理システム、認証処理装置、統合認証システム、及びプログラムに関する。
【背景技術】
【0002】
近年、利用者による利用の対象となる利用対象装置(例えば複写機等)においては、利用者が当該利用対象装置を利用しようとしたときに、利用者を認証することが行われている。これにより、各利用者がどの程度利用対象装置を利用しているかを管理したり、利用対象装置の備える機能毎に各利用者に対して当該機能の利用を許可するか否か制御したりすることがある。
【0003】
このような利用者の認証を行う方法の一つとして、複数の利用対象装置のそれぞれが利用者の認証に必要な情報を予め記憶しておき、当該情報を用いて装置毎に利用者を認証する方法がある。また、別の方法として、複数の利用対象装置の認証に必要な情報を、一つの認証処理装置が一元的に管理し、個々の利用対象装置は、利用者から利用要求があった場合、この認証処理装置に問い合わせを行うことによって、利用者の認証を行うという方法がある(例えば特許文献1参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2005−71040号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明は、複数の利用対象装置における利用者の認証に関する情報を一元的に管理した場合における個々の利用対象装置が認証処理を実行する際の利用者の待ち時間が、利用対象装置を利用する度に外部装置に問い合わせる場合と比較して短い認証システム、認証処理装置、統合認証システム、及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0006】
請求項1記載の発明は、認証処理装置と、複数の利用対象装置と、を含み、前記認証処理装置は、利用者から受け付けた識別情報により、当該利用者を認証する第1の認証手段と、前記第1の認証手段が前記利用者を認証した際に、前記複数の利用対象装置のうち、当該認証された利用者に関連づけられた1又は複数の利用対象装置のそれぞれに対して、当該利用対象装置による当該利用者の認証に用いられる認証関連情報を送信する送信手段と、を含み、前記複数の利用対象装置のそれぞれは、前記認証処理装置が送信する認証関連情報を受信する受信手段と、前記認証された利用者が当該利用対象装置を利用する際に、前記受信した認証関連情報を用いて当該利用者を認証する第2の認証手段と、を含むことを特徴とする認証システムである。
【0007】
請求項2記載の発明は、請求項1記載の認証システムであって、前記複数の利用対象装置は保護領域内に設置され、前記第1の認証手段は、前記利用者が前記保護領域内に入場しようとする際に、当該利用者を認証し、前記認証処理装置は、前記第1の認証手段による認証に成功した場合に、前記利用者の前記保護領域内への入場を許可する手段をさらに含むことを特徴とする。
【0008】
請求項3記載の発明は、請求項2記載の認証システムであって、前記第1の認証手段は、前記利用者が前記保護領域内から退場しようとする際にも、当該利用者を認証し、前記認証処理装置は、前記第1の認証手段による認証に成功した場合に、前記利用者の前記保護領域内からの退場を許可する手段と、前記利用者の前記保護領域内からの退場が許可される場合に、前記利用者に関連づけられた1又は複数の利用対象装置のそれぞれに対して、当該利用対象装置に送信された認証関連情報の無効化を指示する無効化指示手段と、をさらに含み、前記利用対象装置のそれぞれは、前記無効化指示手段の指示に応じて、前記受信した認証関連情報を無効化することを特徴とする。
【0009】
請求項4記載の発明は、請求項3記載の認証システムであって、前記認証処理装置は、前記利用者の前記保護領域内からの退場が許可される場合に、前記利用者に関連づけられた1又は複数の利用対象装置のそれぞれから、当該利用者が当該利用対象装置をどの程度利用したかを示す利用結果情報を取得することを特徴とする。
【0010】
請求項5記載の発明は、請求項1から4のいずれか一項記載の認証システムであって、前記送信手段は、前記第1の認証手段が前記利用者を認証した際に、前記利用者に関連づけられた1又は複数の利用対象装置のそれぞれに対して、前記利用者による当該利用対象装置の利用可否を判断する際に用いられる利用可否関連情報を送信し、前記受信手段は、前記認証処理装置が送信する利用可否関連情報を受信し、前記第2の認証手段は、前記認証された利用者が当該利用対象装置の利用を要求した際に、当該要求される利用が許可されるか否かを、前記利用可否関連情報を用いて判断することを特徴とする。
【0011】
請求項6記載の発明は、請求項5記載の認証システムであって、前記利用者に関連づけられた1又は複数の利用対象装置のそれぞれに対して送信される利用可否関連情報は、前記利用者による当該利用対象装置の利用量の制限に関する情報を含み、前記第2の認証手段は、前記利用量の制限に関する情報を用いて、前記認証された利用者による当該利用対象装置の利用量を制限することを特徴とする。
【0012】
請求項7記載の発明は、利用者から受け付けた識別情報により、当該利用者を認証する第1の認証手段と、前記利用者を認証した際に、当該認証処理装置と接続された複数の利用対象装置のうち、当該認証された利用者に関連づけられた1又は複数の利用対象装置のそれぞれに対して、当該利用対象装置による当該利用者の第2の認証に用いられる認証関連情報を送信する送信手段と、を含むことを特徴とする認証処理装置である。
【0013】
請求項8記載の発明は、複数の認証システムと、統合認証処理装置と、を含み、前記複数の認証システムのそれぞれは、認証処理装置と、複数の利用対象装置と、を含み、前記認証処理装置は、利用者から識別情報を受け付けた際に、当該認証処理装置を含む認証システムに含まれる前記複数の利用対象装置のうち、当該利用者に関連づけられた1又は複数の利用対象装置を特定する情報と、当該利用対象装置による当該利用者の認証に用いられる認証関連情報と、を前記統合認証処理装置に対して問い合わせる手段を含み、前記統合認証処理装置は、前記問い合わせに応じて、前記利用者に関連づけられた1又は複数の利用対象装置を特定する情報と、前記認証関連情報と、を前記認証処理装置に対して送信する手段を含み、前記認証処理装置は、前記利用者から受け付けた識別情報により、当該利用者を認証する第1の認証手段と、前記第1の認証手段が前記利用者を認証した際に、前記統合認証処理装置から受信した情報により特定される利用対象装置のそれぞれに対して、前記統合認証処理装置から受信した認証関連情報を送信する送信手段と、をさらに含み、前記複数の利用対象装置のそれぞれは、前記認証処理装置が送信する認証関連情報を受信する受信手段と、前記認証された利用者が当該利用対象装置を利用する際に、前記受信した認証関連情報を用いて当該利用者を認証する第2の認証手段と、を含むことを特徴とする統合認証システムである。
【0014】
請求項9記載の発明は、利用者から受け付けた識別情報により、当該利用者を認証する第1の認証手段、及び前記利用者を認証した際に、当該認証処理装置と接続された複数の利用対象装置のうち、当該認証された利用者に関連づけられた1又は複数の利用対象装置のそれぞれに対して、当該利用対象装置による当該利用者の第2の認証に用いられる認証関連情報を送信する送信手段、としてコンピュータを機能させるためのプログラムである。
【発明の効果】
【0015】
請求項1、7及び9記載の発明によれば、複数の利用対象装置における利用者の認証に関する情報を認証処理装置で一元的に管理した場合における個々の利用対象装置が認証処理を実行する際の認証処理にかかる時間を、利用対象装置が認証処理を実行する度に外部装置に問い合わせる場合と比較して短くできる。
【0016】
請求項2記載の発明によれば、利用者の保護領域への入場を契機として、当該利用者に関連づけられた利用対象装置に認証に必要な情報を送信できる。
【0017】
請求項3記載の発明によれば、利用者の保護領域からの退場を契機として、当該利用者に関連づけられた利用対象装置の認証関連情報を無効化できる。
【0018】
請求項4記載の発明によれば、利用者の保護領域からの退場を契機として、当該利用者が保護領域内で各利用対象装置をどの程度利用したかを示す情報を認証処理装置に集約できる。
【0019】
請求項5記載の発明によれば、複数の利用対象装置における利用者による利用の可否判断に関する情報を認証処理装置で一元的に管理でき、かつ、個々の利用対象装置が利用可否を判断する際に、都度利用可否を外部に問い合わせずともよくなる。
【0020】
請求項6記載の発明によれば、複数の利用対象装置に対する利用者の利用量制限に関する情報を認証処理装置で一元的に管理でき、かつ、利用者による利用が利用量の制限範囲内かを個々の利用対象装置が判断する際に、都度利用量の制限を外部に問い合わせずともよくなる。
【0021】
請求項8記載の発明によれば、利用者が複数の認証システムにまたがって利用対象装置を利用する場合に、各認証システムにおける利用対象装置による利用者の認証に関する情報を統合認証処理装置で一元的に管理でき、かつ、個々の利用対象装置が認証処理を実行する際の利用者の待ち時間を、外部認証の場合と比較して短くできる。
【図面の簡単な説明】
【0022】
【図1】本発明の実施の形態に係る統合認証システムの全体概要を示す概要図である。
【図2】本発明の実施の形態に係る領域認証システムの概略構成を示す構成図である。
【図3】本発明の実施の形態に係る領域認証システムが実現する機能を示す機能ブロック図である。
【図4】利用者の入場時に、本発明の実施の形態に係る領域認証システムが実行する処理の流れを示すフロー図である。
【図5】利用者が利用対象装置を利用する際に、利用対象装置が実行する処理の流れを示すフロー図である。
【図6】利用者の退場時に、本発明の実施の形態に係る領域認証システムが実行する処理の流れを示すフロー図である。
【図7】認証処理装置が記憶する管理情報の一例を示す図である。
【発明を実施するための形態】
【0023】
以下、本発明の実施の形態について、図面を参照して詳細に説明する。
【0024】
図1は、本実施形態に係る統合認証システム1の全体概要を示す概要図である。統合認証システム1は、複数の領域認証システム2と、統合認証処理装置3と、を含んで構成されている。これら複数の領域認証システム2及び統合認証処理装置3は、通信手段(例えばインターネットや社内ネットワーク網など)を介して接続されており、相互にデータ通信を行う。
【0025】
統合認証処理装置3は、サーバコンピュータ等の情報処理装置であって、複数の領域認証システム2それぞれを利用する利用者Uに関する情報を、集中管理する。本実施形態において統合認証処理装置3が実行する処理の内容の具体例については、後述する。
【0026】
図2は、図1に示される複数の領域認証システム2のうちの一つについて、その概略構成を示す構成図である。領域認証システム2は、認証システムの一例であって、保護領域A内に構築されている。ここで保護領域Aは、許可されない人物の侵入を防ぐように物理的に区画された領域である。すなわち、保護領域Aには出入口(ゲート)Gが設けられており、このゲートGを通らずに保護領域A内への入場及び保護領域A内からの退場はできないようになっている。領域認証システム2は、一つの認証処理装置10と、複数の利用対象装置20と、を含んで構成されている。なお、ここでは認証処理装置10も保護領域A内に設置されることとしているが、認証処理装置10は必ずしも保護領域A内に設置されずともよい。
【0027】
認証処理装置10は、サーバコンピュータ等の情報処理装置であって、同じ領域認証システム2内に含まれる利用対象装置20を利用する利用者Uの認証に関する情報を、一元的に管理する。認証処理装置10は、制御部11と、記憶部12と、通信部13と、インタフェース部14と、を含んで構成される。
【0028】
制御部11は、例えばCPU等のプログラム制御デバイスであって、記憶部12に記憶されるプログラムに従って各種の情報処理を実行する。本実施形態において制御部11が実行する処理の内容については、後述する。
【0029】
記憶部12は、例えばRAMやROM等のメモリ素子を含んで構成され、制御部11が実行するプログラムや各種のデータを記憶する。特に本実施形態では、記憶部12は、当該領域認証システム2内に配置された複数の利用対象装置20を利用する利用者Uを認証するために必要な情報を記憶している。また、記憶部12は制御部11のワークメモリとしても機能する。
【0030】
通信部13は、例えばLANカード等の通信インタフェースであって、ローカルエリアネットワーク等の通信手段を介して、同じ領域認証システム2内の複数の利用対象装置20や、領域認証システム2外部のネットワークに接続された統合認証処理装置3等との間でデータ通信を行う。
【0031】
インタフェース部14には、2つの識別情報受付端末15a及び15bが接続されている。識別情報受付端末15a及び15bは、いずれもゲートGの近傍に配置されている。具体的に、識別情報受付端末15aは、保護領域Aの外側に配置されており、保護領域A内に入場しようとする利用者Uから、当該利用者Uを識別する識別情報を受け付けて、受け付けた識別情報をインタフェース部14に対して出力する。また、もう一つの識別情報受付端末15bは、保護領域Aの内部に配置されており、保護領域A内から退場しようとする利用者Uの識別情報を受け付けて、受け付けた識別情報をインタフェース部14に対して出力する。インタフェース部14は、識別情報受付端末15a及び15bのそれぞれが出力する利用者Uの識別情報を受け付けて、制御部11に対して出力する。なお、本実施形態においては、識別情報受付端末15a及び15bはICカードリーダであることとし、利用者Uが所持するICカードに記憶された、当該利用者Uの識別情報を読み取って、認証処理装置10に対して出力することとする。
【0032】
また、インタフェース部14は、ゲートGの施錠/解錠制御を行う制御機構とも接続されており、制御部11の指示に従ってゲートGの制御機構に対して制御信号を出力する。この制御信号によって、ゲートGの開閉が行われる。すなわち、ゲートGは、認証処理装置10から送信される制御信号によって、解錠及び施錠され、これによって利用者Uの保護領域Aに対する入退場が制御される。
【0033】
複数の利用対象装置20のそれぞれは、本実施形態において利用者Uによる利用の対象となる装置であって、例えば複写機等の画像形成装置であってよい。各利用対象装置20は、制御部21と、記憶部22と、通信部23と、インタフェース部24と、を含んで構成される。
【0034】
制御部21は、例えばCPU等のプログラム制御デバイスであって、記憶部22に記憶されるプログラムに従って各種の情報処理を実行する。本実施形態において制御部21が実行する処理の内容については、後述する。
【0035】
記憶部22は、例えばRAMやROM等のメモリ素子を含んで構成され、制御部21が実行するプログラムや各種のデータを記憶する。特に本実施形態では、記憶部22は、認証処理装置10から受信した情報を一時的に格納する。また、記憶部22は制御部21のワークメモリとしても機能する。
【0036】
通信部23は、例えばLANカード等の通信インタフェースであって、ローカルエリアネットワーク等の通信手段を介して、同じ領域認証システム2内の認証処理装置10との間でデータ通信を行う。
【0037】
インタフェース部24には、識別情報受付端末25が接続されている。識別情報受付端末25は、当該識別情報受付端末25に接続された利用対象装置20を利用しようとする利用者Uから当該利用者Uの識別情報を受け付けて、受け付けた識別情報をインタフェース部24に対して出力する。インタフェース部24は、識別情報受付端末25が出力する識別情報を受け付けて、制御部21に対して出力する。本実施形態では、識別情報受付端末25は、識別情報受付端末15a及び15bと同様に、ICカードリーダであって、利用者Uが所持するICカードに記憶された識別情報を読み取って、利用対象装置20に対して出力することとする。
【0038】
以下、本実施形態に係る領域認証システム2において、認証処理装置10及び利用対象装置20が実現する機能について、図3の機能ブロック図を用いて説明する。図3に示すように、認証処理装置10は、機能的に、第1認証処理部31と、入退場制御部32と、認証関連情報送信部33と、認証関連情報無効化指示部34と、を含んで構成されている。これらの機能は、制御部11が記憶部12に格納されたプログラムを実行することにより、実現される。また、利用対象装置20は、機能的に、認証関連情報受信部41と、第2認証処理部42と、認証関連情報無効化部43と、を含んで構成されている。これらの機能は、制御部21が記憶部22に格納されたプログラムを実行することにより、実現される。なお、認証処理装置10及び利用対象装置20が実行するプログラムは、それぞれ、光ディスク等のコンピュータ読み取り可能な情報記憶媒体に格納されて各装置に提供されてもよいし、インターネット等の通信手段を介して各装置に提供されてもよい。
【0039】
認証処理装置10において、第1認証処理部31は、識別情報受付端末15a又は15bが利用者Uから受け付けた識別情報を用いて、当該利用者Uの認証を行う。以下では、この第1認証処理部31による認証を第1認証という。具体的に、利用者Uは、ゲートGを通って保護領域A内に入場しようとするとき、ICカードを識別情報受付端末15aの読み取り可能範囲内まで近づけて、ICカード内に記憶された識別情報を識別情報受付端末15aに読み取らせる。また、保護領域A内から退場しようとするときには、ICカードに記憶された識別情報を識別情報受付端末15bに読み取らせる。第1認証処理部31は、このICカードから読み取られた識別情報を、記憶部12に記憶されている各利用者の認証情報と照合することによって、ICカードを所持している利用者Uが誰であるかを特定し、当該特定された利用者Uが保護領域Aへの入場又は保護領域Aからの退場を許可される人物であるかを判定する。
【0040】
なお、第1認証処理部31は、利用者Uの入退場いずれの場合も、ICカードから読み取られた識別情報が、記憶部12に予め記憶されている、保護領域A内への入場を許可された人物の認証情報と一致するか否か照合することで、第1認証を行ってもよい。また、利用者Uの入場時に、当該入場を許可した利用者Uを特定する情報を利用者Uの入場履歴として記憶部12に一時的に格納しておき、利用者Uの退場時には、利用者Uの入場履歴が存在するか否かを判定することによって、利用者Uが保護領域Aからの退場を許可される人物か否か判定してもよい。
【0041】
入退場制御部32は、第1認証処理部31の認証結果に応じて、ゲートGの解錠及び施錠を制御することによって、利用者Uの保護領域Aへの入場又は保護領域Aからの退場を許可する。具体的に、入退場制御部32は、識別情報受付端末15aから受け付けた識別情報に基づく利用者Uの第1認証が成功した場合(すなわち、利用者Uが保護領域Aへの入場を許可される人物であると判定された場合)、ゲートGを一定時間解錠する制御信号を出力する。これにより、利用者Uの保護領域A内への入場が許可される。また、識別情報受付端末15bから受け付けた識別情報に基づく利用者Uの第1認証が成功した場合(すなわち、利用者Uが保護領域Aからの退場を許可される人物であると判定された場合)、やはり一定時間だけゲートGを解錠する制御信号を出力する。これにより、利用者Uの保護領域Aからの退場が許可される。
【0042】
認証関連情報送信部33は、第1認証処理部31による第1認証が実行され、入退場制御部32によって利用者Uの入場が許可される際に、領域認証システム2内に配置される複数の利用対象装置20のうち、当該第1認証によって認証された利用者Uに関連づけられた利用対象装置20を特定する。そして、特定された1又は複数の利用対象装置20のそれぞれに対して、当該利用者Uの認証に関する情報を送信する。なお、以下では、利用者Uに関連づけられた1又は複数の利用対象装置20を、利用者関連装置という。
【0043】
具体例として、認証処理装置10は、同じ領域認証システム2内に配置されている複数の利用対象装置20のそれぞれについて、当該利用対象装置20を利用する権限を付与された利用者を示すリスト情報を保持しているものとする。認証関連情報送信部33は、このリスト情報を参照して、第1認証処理部31による第1認証を受けた利用者Uが利用を許可されている利用対象装置20を、利用者関連装置として特定する。
【0044】
そして、認証関連情報送信部33は、この特定された利用者関連装置のそれぞれに対して、利用者Uの認証に関する情報(以下、認証関連情報という)を送信する。ここで、認証関連情報は、利用者関連装置のそれぞれが利用者Uを認証する際に用いられる情報であって、第1認証処理部31による第1認証に用いられる認証情報と共通する情報を含んでもよい。
【0045】
さらに、認証関連情報送信部33は、利用者関連装置に対して、認証関連情報だけでなく、利用者Uによる当該利用者関連装置の利用可否に関する情報(以下、利用可否関連情報という)を送信してもよい。利用可否関連情報は、個々の利用者関連装置が、利用者Uによる当該利用者関連装置の利用を許可するか否か判断する際に用いられる情報である。この利用可否関連情報は、利用者関連装置が備える複数種類の機能(例えば画像の読み取りや複写、印刷等)のそれぞれごとに、利用者Uの利用が許可されるか否かを示す利用権限情報を含んでもよい。利用者関連装置は、この利用権限情報を参照して、自身が備える機能毎に、利用者Uに対して当該機能の利用を許可するか、または当該機能の利用を制限するか、といった利用可否の判断を行う。
【0046】
また、利用者Uによる利用者関連装置の利用量に対する制限が定められている場合、利用可否関連情報は、この利用量の制限に関する情報(以下、利用量情報という)を含んでもよい。例えば利用量情報は、利用対象装置20全体の利用回数の上限を示す情報や、第1認証が行われた時点で利用者Uが過去に各利用対象装置20を利用した利用回数を示す情報を含んでよい。この場合の具体例としては、月毎(又は週毎)に利用者Uが画像の複写を行うことのできる複写回数(又は複写枚数)の上限を示す情報や、利用者Uがその月(又はその週)に既に各利用対象装置20を利用して行った複写回数(又は複写枚数)を示す情報などが挙げられる。この利用量情報を参照することで、利用者関連装置は、利用者Uに対して後何回分の利用を許可するか、といった利用可否の判断を行う。
【0047】
認証関連情報無効化指示部34は、利用者Uが保護領域A内から退場するために第1認証を受けた場合に、利用者関連装置のそれぞれに対して、利用者Uの入場時に認証関連情報送信部33が送信した認証関連情報の無効化を指示する。具体的に、認証関連情報無効化指示部34は、認証関連情報送信部33と同様の処理により、保護領域Aから退場する際に第1認証を受けた利用者Uに関連づけられた利用者関連装置を特定する。そして、当該特定された利用者関連装置のそれぞれに対して、認証関連情報を無効化する指示を送信する。これにより、利用者Uが保護領域Aから退場する際に、保護領域A内の各利用者関連装置に記憶された当該利用者Uの認証関連情報は無効化される。それ以降、再び利用者Uが認証処理装置10の第1認証を受けるまで(すなわち、利用者Uが第1認証を受けて保護領域A内に再入場するまで)、利用者Uによる保護領域A内の全ての利用対象装置20の利用は許可されないことになる。
【0048】
また、認証関連情報無効化指示部34は、利用者Uが第1認証を受けて保護領域Aから退場する際に、各利用者関連装置から、利用者Uが保護領域A内で当該利用者関連装置をどの程度利用したかを示す情報(以下、利用結果情報という)を取得してもよい。具体的に、認証関連情報無効化指示部34は、各利用者関連装置に対して、利用結果情報の送信要求を送信する。この送信要求に応じて各利用者関連装置が送信する利用結果情報を受信することにより、認証関連情報無効化指示部34は、利用者Uが保護領域A内に入場してから退場するまでの間に、各利用者関連装置をどの程度利用したかを把握する。利用結果情報には、各利用者関連装置において計数された、当該利用者関連装置が備える各機能を利用者Uが何回使用したか(又は画像何枚分使用したか)を示す利用量の情報が含まれてよい。
【0049】
利用対象装置20において、認証関連情報受信部41は、認証処理装置10の認証関連情報送信部33が送信する認証関連情報を受信し、記憶部22内に一時的に格納する。また、認証関連情報送信部33が利用可否関連情報も送信する場合、認証関連情報受信部41は、この利用可否関連情報も受信して、記憶部22内に格納する。
【0050】
第2認証処理部42は、保護領域A内に入場した利用者Uが当該利用対象装置20を利用しようとする場合に、認証関連情報受信部41が受信した認証関連情報を用いて、当該利用者Uの認証を行う。以下では、第2認証処理部42による認証を第2認証という。具体的に、利用者Uは、利用対象装置20を利用しようとする場合、まず当該利用対象装置20に接続された識別情報受付端末25に対して自身の識別情報を入力する。第2認証処理部42は、この識別情報受付端末25が受け付けた識別情報と、認証関連情報受信部41が受信して記憶部22に格納されている認証関連情報と、を照合することにより、利用者Uが当該利用対象装置20を利用する権限を備えた人物であると判定し、その利用を許可する。なお、利用者Uが当該利用対象装置20の利用を全く許可されていない場合、認証関連情報送信部33によって当該利用対象装置20は利用者関連装置として特定されておらず、そのゆえ認証関連情報は当該利用対象装置20に送信されていないはずである。この場合、この利用者Uの第2認証は成功せず、利用者Uによる当該利用対象装置20の利用は許可されないことになる。
【0051】
また、認証関連情報受信部41が認証処理装置10から利用可否関連情報を受信している場合、第2認証処理部42は、第2認証を受けた利用者Uが要求する利用の内容ごとに、利用可否関連情報を用いてその利用が許可されるか否かを判定してもよい。すなわち、利用者Uから利用機能や利用量の指定を含む要求を受け付けた場合、第2認証処理部42は、当該要求された機能の利用権限が当該利用者Uに付与されているか否か、また要求された利用量が当該利用者Uに許可されている利用量の範囲内か否かを、当該利用者Uの利用可否関連情報を参照して判定する。判定の結果、利用が許可されない場合には、第2認証処理部42はその旨を利用者Uに通知する。利用が許可される場合には、利用対象装置20はそのまま要求された機能を実行すればよい。
【0052】
認証関連情報無効化部43は、認証処理装置10の認証関連情報無効化指示部34からの指示に応じて、利用者Uの認証関連情報を無効化する。具体的に、認証関連情報無効化部43は、認証関連情報受信部41によって受信されて一時的に記憶部22に格納されていた認証関連情報を削除するか、あるいは当該認証関連情報に無効化フラグを付与するなどの方法で、無効化する。これにより、それ以降、再び認証関連情報受信部41によって当該利用者Uの認証関連情報が受信されるまで、第2認証処理部42による利用者Uの第2認証は成功しないことになる。
【0053】
また、認証関連情報無効化部43は、認証関連情報無効化指示部34から利用者Uに対する利用結果情報の送信要求があった場合に、当該利用者Uがどの程度当該利用対象装置20を使用したかを示す利用結果情報を、認証処理装置10に対して送信する。具体的に、認証関連情報無効化部43は、利用結果情報の送信要求を受信した場合、認証関連情報受信部41が当該利用者Uに対する認証関連情報を受信してから、利用結果情報の送信要求を受信するまでの間における、当該利用者Uの利用履歴情報を参照して、その内容に応じた利用結果情報を認証処理装置10に対して送信する。これにより、利用者Uが保護領域Aから退場する際に、それまでに利用者Uが各利用者関連装置をどの程度利用したかを示す情報が、認証処理装置10に集約される。
【0054】
次に、本実施形態において認証処理装置10及び利用対象装置20が実行する処理の流れの具体例について、説明する。まず、利用者Uが保護領域A内に入場する際の処理の流れの例について、図4のフロー図を用いて説明する。なお、以下の説明においては、保護領域A内に利用対象装置20a,20b及び20cの3つの利用対象装置20が設置されており、これらのうち、利用対象装置20a及び20cの2つの利用対象装置20が利用者Uに関連づけられているものとする。
【0055】
最初に、利用者UがICカードを識別情報受付端末15aの読み取り範囲内に移動させることによって、識別情報受付端末15aはICカードに記憶された識別情報を読み取って、認証処理装置10に送信する(S1)。
【0056】
識別情報受付端末15aから識別情報を受け付けた認証処理装置10の第1認証処理部31は、当該受け付けた識別情報を用いて利用者Uに対する第1認証を行う(S2)。第1認証に成功すると、認証関連情報送信部33は、記憶部12内に記憶された情報を参照して、認証された利用者Uに関連づけられた利用者関連装置を特定する(S3)。前述したように、ここでは利用対象装置20a及び20cが利用者関連装置として特定される。さらに認証関連情報送信部33は、記憶部12内に記憶された情報を参照して、認証された利用者Uの各利用者関連装置に対する利用権限情報、及び利用量情報を取得する(S4)。そして、利用対象装置20a及び20cのそれぞれに対して、S2で特定された利用者Uの認証関連情報、並びにS4で取得された利用者Uの利用権限情報、及び利用量情報を送信する(S5)。
【0057】
なお、この場合において、認証関連情報送信部33が送信する利用権限情報は、利用対象装置20a及び20cのそれぞれに固有の情報であってよい。すなわち、利用者Uが利用対象装置20aを利用した画像の複写は許可されているが、利用対象装置20cを利用した画像の複写は許可されていない場合、認証関連情報送信部33は、利用対象装置20aには画像の複写を許可する利用権限情報を送信する一方で、利用対象装置20cには画像の複写を制限する利用権限情報を送信する。
【0058】
また、認証関連情報送信部33が利用者関連装置のそれぞれに送信する利用量情報は、それぞれに固有の情報であってもよいし、互いに共通する情報であってもよい。具体的に、複数の利用対象装置20のそれぞれに対して、個別に利用者Uの利用量制限が定められている場合、認証関連情報送信部33は、各利用者関連装置に対して、それぞれの利用者関連装置に対応する利用量情報を送信する。また、個々の利用対象装置20とは関係なく、全体として利用者Uに対する利用量制限が定められている場合、認証関連情報送信部33は、全ての利用者関連装置に対して、共通する内容の利用量情報を送信してもよい。あるいは、予め定められた規則に従って、全体の利用量制限を各利用者関連装置に配分し、当該配分された利用量制限を示す利用量情報を各利用者関連装置に送信することとしてもよい。具体例として、利用者Uの複写枚数の上限が残り100枚と定められている場合、認証関連情報送信部33は、この100枚を2つの利用者関連装置に均等に分配し、利用対象装置20a及び利用対象装置20cのそれぞれに対して、50枚を複写枚数の上限とする利用量情報を送信してもよい。
【0059】
利用対象装置20a及び20cは、それぞれ、S4で認証処理装置10が送信した認証関連情報、利用権限情報、及び利用量情報を受信し、記憶部22内に格納する(S6)。一方、認証処理装置10の入退場制御部32は、S2の第1認証成功を受けて、ゲートGの解錠を指示する制御信号を出力する(S7)。これにより、利用者Uは保護領域A内に入場し、かつ利用が許可されている利用者関連装置を利用可能な状態になる。
【0060】
次に、保護領域A内に入場した利用者Uが利用対象装置20の一つを利用する際に、利用対象装置20が実行する処理の流れの一例について、図5のフロー図を用いて説明する。ここでは、利用者Uが利用対象装置20aの複写機能を利用する場合の例について、説明する。
【0061】
まず、利用者Uが利用対象装置20aに接続された識別情報受付端末25の読み取り範囲内にICカードを移動させることによって、識別情報受付端末25はICカードに記憶された識別情報を読み取って、利用対象装置20aに送信する(S11)。
【0062】
識別情報受付端末25から識別情報を受け付けた利用対象装置20aの第2認証処理部42は、当該受け付けた識別情報と、前述したS6の処理で記憶部22内に記憶されている認証関連情報と、を用いて、利用者Uに対する第2認証を行う(S12)。なお、既に説明したように、利用者Uの認証関連情報は利用者Uの保護領域A入場時に予め利用者関連装置に送信されているので、利用者Uが利用対象装置20aを利用する際には、改めて認証処理装置10に問い合わせが行われることはない。
【0063】
第2認証に成功すると、利用者Uがタッチパネル等の操作部(不図示)への操作入力を行うことにより、利用対象装置20aは利用者Uの利用要求を受け付ける(S13)。第2認証処理部42は、S6の処理で記憶部22内に記憶された利用権限情報、及び利用量情報を参照して、S13で受け付けた利用者Uの要求する利用内容が許可されるか否か判定する(S14)。許可されると判定すると、利用対象装置20aは、利用者Uが要求する機能を実行し(S15)、その実行結果を利用者Uの利用履歴として記憶部22に格納する(S16)。具体的に、利用対象装置20aは、利用者Uの要求に応じて実行した画像の複写枚数等の情報を、記憶部22に記憶する。
【0064】
次に、利用者Uが保護領域Aから退場する際の処理の流れの例について、図6のフロー図を用いて説明する。
【0065】
まず、利用者UがICカードを識別情報受付端末15bの読み取り範囲内に移動させることによって、識別情報受付端末15bはICカードに記憶された識別情報を読み取って、認証処理装置10に送信する(S21)。
【0066】
識別情報受付端末15bから識別情報を受け付けた認証処理装置10の第1認証処理部31は、当該受け付けた識別情報を用いて、S2の場合と同様に利用者Uの第1認証を行う(S22)。第1認証に成功すると、認証関連情報無効化指示部34は、S3の処理と同様にして、利用者関連装置を特定する(S23)。そして、特定された利用者関連装置(ここでは利用対象装置20a及び20c)のそれぞれに対して、利用結果情報の送信要求を行う(S24)。
【0067】
各利用者関連装置は、S24の送信要求に応じて、S16の処理などによって記憶されている、利用者Uの利用内容を示す利用結果情報を認証処理装置10に対して送信する(S25)。S25で送信された情報を受信した認証処理装置10の認証関連情報無効化指示部34は、当該情報を記憶部12に記憶されている利用者Uの利用量情報に反映させる更新処理を行う(S26)。この更新結果は、次回利用者Uが保護領域Aに入場する際に、S4の処理で取得されてS5の処理で各利用者関連装置に送信される利用量情報に反映されることになる。
【0068】
続いて認証関連情報無効化指示部34は、各利用者関連装置に対して、S5の処理で各利用者関連装置に送信した利用者Uの認証関連情報、利用権限情報、及び利用量情報の無効化を指示する(S27)。この指示に応じて、各利用者関連装置は、S6の処理によって記憶部22に記憶された各情報を削除する(S28)。一方、認証処理装置10の入退場制御部32は、ゲートGの解錠を指示する制御信号を出力する(S29)。これにより、利用者Uは保護領域Aから退場する。
【0069】
なお、これまでの説明においては、一つの領域認証システム2における利用者Uの認証及び各利用対象装置20の利用制御を対象としたが、複数の領域認証システム2における利用者Uの認証及び各利用対象装置20の利用制御は、統合認証処理装置3によって集中的に管理されてもよい。このような場合において各領域認証システム2内の認証処理装置10と統合認証処理装置3とが連携して実行する処理の具体例について、以下に説明する。
【0070】
まず、各保護領域A内の認証処理装置10は、当該保護領域Aに入場しようとする利用者Uの識別情報を受け付けた際に、統合認証処理装置3に当該利用者Uの認証情報を問い合わせる問い合わせ情報を送信する。統合認証処理装置3は、この問い合わせに応じて、問い合わせの対象となった利用者Uの認証情報を送信する。また、このとき統合認証処理装置3は、問い合わせを行った認証処理装置10と同じ保護領域Aに含まれる利用対象装置20のうち、利用者Uと関連づけられた利用者関連装置を特定する情報も、併せて認証処理装置10に対して送信することとしてもよい。
【0071】
問い合わせを行った認証処理装置10は、統合認証処理装置3から受信した利用者Uの認証情報と、利用者Uから受け付けた識別情報と、を用いて、利用者Uの第1認証を行う。そして、統合認証処理装置3から受信した情報によって特定される利用者関連装置のそれぞれに対して、統合認証処理装置3から受信した認証情報を、第2認証に用いられる認証関連情報として、送信する。なお、認証処理装置10は、利用者関連装置を特定する情報とともに利用可否関連情報も統合認証処理装置3から取得し、併せて各利用者関連装置に送信してもよい。
【0072】
また、利用者Uが保護領域Aから退場する際には、当該保護領域A内の認証処理装置10は、各利用者関連装置から取得した利用結果情報を、統合認証処理装置3に送信する。統合認証処理装置3は、この利用結果情報を用いて、当該利用者Uの利用量情報を更新する。これにより、複数の保護領域A内に設置された利用対象装置20全体に対する利用者Uの利用量に関する情報が、統合認証処理装置3に集約される。統合認証処理装置3は、各認証処理装置10から問い合わせがあったときには、このようにして更新された利用量情報を認証処理装置10に送信する。利用者Uが同時期に複数の保護領域A内で利用対象装置20を利用することはできないので、利用者Uが退場するときに認証処理装置10が当該保護領域A内における処理結果情報を一括して統合認証処理装置3に送信し、別の保護領域A内に利用者Uが入場するときには当該保護領域A内の認証処理装置10が統合認証処理装置3に問い合わせを行うことで、これまで利用者Uが全ての保護領域A内で利用した利用量に応じた利用量制限が、新たに利用者Uが入場した保護領域A内でも実行されることになる。
【0073】
なお、上述した説明では各認証処理装置10が利用者Uの入場時に統合認証処理装置3に問い合わせを行うこととしたが、これに代えて、統合認証処理装置3は、利用者Uの退場時に当該保護領域A内の認証処理装置10から利用結果情報の送信があった場合に、当該利用結果情報の内容を反映した最新の利用量情報を、予め他の保護領域A内の認証処理装置10に対して配信することとしてもよい。
【0074】
また、統合認証処理装置3は、複数の認証処理装置10から利用者Uの保護領域A内への入退場に関する情報を取得し、互いに矛盾する情報を取得した場合には利用対象装置20の利用を制限する処理を実行してもよい。具体例として、各認証処理装置10は、利用者Uが対応する保護領域Aに入退場する際には、第1認証を実行するために、前述したように統合認証処理装置3に問い合わせを行う。この問い合わせを受けて、統合認証処理装置3は、各利用者Uの各保護領域Aへの入退場を記憶しておく。そして、統合認証処理装置3は、ある利用者Uが第1の保護領域A1に入場する旨の通知を当該第1の保護領域A1内の認証処理装置10から受け付けた後、当該認証処理装置10から利用者Uが第1の保護領域A1から退場する旨の通知を受け付ける前に、第2の保護領域A2に当該利用者Uが入場する旨の通知を当該第2の保護領域A2内の認証処理装置10から受け付けた場合、第1の保護領域A1及び第2の保護領域A2のいずれか一方、又は両方の内部に設置された利用対象装置20について、当該利用者Uの利用を無効化することとしてもよい。
【0075】
本発明の実施の形態は、以上説明したものに限られない。例えば、以上の説明では各利用者Uの識別情報はICカード内に記憶された情報であることとしたが、これに代えて、又はこれに加えて、利用者Uは識別情報としてユーザ名やパスワードを識別情報受付端末15a、15b及び25に入力することとしてもよい。また、識別情報受付端末15a、15b及び25のそれぞれは、識別情報として、利用者Uの指紋や虹彩、声紋等の生体認証情報を読み取ることとしてもよい。また、ゲートGに設置された識別情報受付端末15a及び15bが受け付ける識別情報と、利用対象装置20に接続された識別情報受付端末25が受け付ける識別情報とは、異なる種類の情報であってもよい。この場合、認証処理装置10が各利用者関連装置に送信する認証関連情報は、第1認証に用いられる認証情報とは異なる情報であってよい。
【0076】
ここで、利用対象装置20が画像形成装置であって、各利用対象装置(画像形成装置)20がパスワードを用いて利用者の認証を行う場合に、認証処理装置10によって管理される情報(管理情報)の例について、説明する。図7は、この例において認証処理装置10が記憶部12内に記憶している管理情報の具体例を示す図である。この図7では、各利用者を特定する利用者IDと関連づけて、管理情報として、認証関連情報、利用者関連装置、及び利用可否関連情報が格納されている。ここでは、認証関連情報はパスワードであって、各利用対象装置20には、利用者Uが識別情報としてパスワードを入力するためのタッチパネル等のユーザインタフェースが設けられている。各利用対象装置20は、利用者Uが当該利用対象装置20を利用する際に入力するパスワード(識別情報)と、認証処理装置10から受信したパスワード(認証関連情報)と、を照合することで、第2認証を行う。なお、各利用者のパスワードは、複数の利用者関連装置に共通する文字列等の情報であってもよいし、複数の利用者関連装置のそれぞれについて、互いに独立に設定される情報であってもよい。図7の例では、利用者ID「0001」の利用者については複数の利用者関連装置に共通するパスワードが設定されており、利用者ID「0002」の利用者については各利用者関連装置に互いに異なるパスワードが設定されている。
【0077】
この例では、認証処理装置10の認証関連情報送信部33は、管理テーブルを参照して、第1認証によって認証された利用者Uの利用者IDに関連づけられた利用者関連装置を読み出す。例えば第1認証によって認証された利用者Uの利用者IDが「0001」の場合、「M01」及び「M02」という装置IDによって特定される2つの画像形成装置が、利用者関連装置として特定される。そして、認証関連情報送信部33は、この利用者IDに関連づけられた認証情報(ここではパスワード)及び利用可否関連情報を読み出して、各利用者関連装置に対して送信する。
【0078】
図7では、利用可否関連情報として、共通制限に関する情報、利用者制限情報、装置別制限情報、出力可能枚数情報、及び使用可能時間情報がテーブル内に格納されている。このうち、共通制限に関する情報、利用者制限情報、及び装置別制限情報は、上述した利用権限情報の一例であって、それぞれ異なる範囲を対象として、利用者関連装置が備える機能のうち、各利用者による利用が制限される機能を定めている。具体的に、共通制限に関する情報は、利用者に関わらず、保護領域A内の全ての利用対象装置20に共通する機能制限を示す情報であって、例えば保護領域Aを管理する会社や部署の方針によって決定されてよい。なお、この共通制限に関する情報は、利用者ごとの利用可否関連情報を管理する図7のテーブルとは別に記憶されてもよい。一方、利用者制限情報は、利用者ごとに設定される、当該利用者に関連づけられた複数の利用者関連装置に共通する機能制限を示す情報である。また、装置別制限情報は、各利用者に関連付けられた複数の利用者関連装置のそれぞれについて、個別に設定される機能制限を示す情報である。
【0079】
また、出力可能枚数情報は、利用量情報の一例であって、利用者関連装置ごとに、当該利用者関連装置を用いて利用者が出力することのできる枚数の制限を示す情報である。この情報は、月単位や週単位、又は日単位など、予め定められた期間内における利用量の制限を示しており、この情報によって示される制限の範囲内で、各利用者による複写や印刷等が許可される。
【0080】
さらに、使用可能時間情報は、利用権限情報や利用量情報以外の利用可否関連情報の一例であって、各利用者が各利用者関連装置を使用可能な時間帯を規定する情報である。各利用者関連装置は、この使用可能時間情報と、内蔵される時計が計時する現在時刻の情報と、を参照して、現在時刻が使用可能時間情報により示される使用可能時間内か否かを判定する。そして、現在時刻が使用可能時間外と判定された場合、利用者の要求する機能に関わらず利用者による利用を制限することとする。
【0081】
図7に例示したような認証処理装置10が記憶する管理情報の内容は、更新権限を持った認証管理者等の要求によって、更新される。例えば認証管理者は、自分の使用するパーソナルコンピュータや、いずれかの利用対象装置20等、認証処理装置10と通信接続された情報処理装置に対して操作入力を行うことにより、認証処理装置10に対する更新要求を行う。この更新要求に応じて、記憶部12内の各利用者IDに関連づけられた管理情報は、変更、修正、追加、又は削除される。管理情報が更新されると、認証処理装置10は、次に利用者Uが保護領域A内に入場したときには、当該更新された管理情報を参照して、第1認証を受けた利用者Uに関連づけられた利用者関連装置を特定し、当該特定された利用者関連装置に対して、管理情報に含まれる認証関連情報や利用可否関連情報を送信する。
【0082】
なお、利用者Uが保護領域A内に入場している最中に管理情報の内容が更新された場合、認証処理装置10は、その時点では特に処理を実行せずに、次回以降に当該利用者Uが保護領域A内に入場した場合に、更新された管理情報を用いて利用者関連装置の特定や認証関連情報の送信等を実行することとしてもよい。あるいは、認証処理装置10は、管理情報が更新された時点で、当該更新された管理情報を用いて、直ちに新たな認証関連情報や利用可否関連情報を取得し、利用者関連装置に再送信してもよい。この場合、更新された認証関連情報や利用可否関連情報を受信した利用者関連装置は、記憶部22に一時的に格納している情報を当該更新された認証関連情報及び利用可否関連情報で上書きし、それ以降は、上書きされた情報を用いて利用者Uの第2認証や当該利用者Uの利用可否判定を行う。なお、認証処理装置10は、管理情報の更新が行われた場合に、各利用者関連装置に対して、認証関連情報や利用可否関連情報の全体を再送信するのではなく、更新された部分だけを再送信することとしてもよい。
【0083】
また、以上の説明では識別情報受付端末15bが保護領域Aの内部に設置され、利用者Uは保護領域Aから退場する際にも第1認証を受けることとしたが、利用結果情報の認証処理装置10による収集を行わない場合、退場時の第1認証は必ずしも行う必要はない。この場合、入場時の第1認証に応じて各利用者関連装置に送信された認証関連情報は、例えば一定時間の経過後に無効化されることとしてもよい。
【0084】
また、以上の説明では識別情報受付端末15aはゲートG付近に設置され、利用者UがゲートGを通って保護領域A内に入場する際に第1認証が行われることとしたが、第1認証を行うタイミングはこのようなものに限られない。すなわち、認証システムは保護領域A内の利用対象装置20に対する領域認証システムに限られず、グループ化された複数の利用対象装置20の認証関連情報を認証処理装置10で一元管理するものであれば、どのようなものであっても構わない。この場合、利用者Uは、一元管理される複数の利用対象装置20の利用開始に先立つタイミングで、認証処理装置10による第1認証を受ければよい。
【0085】
具体例として、識別情報受付端末15aは、利用者Uが使用するパーソナルコンピュータ等の情報処理装置に接続されてもよく、また利用者Uが使用するパーソナルコンピュータそのものであってもよい。この例では、利用者Uは、自分自身の使用するパーソナルコンピュータを使用する際に、認証処理装置10による第1認証を受けたうえで、その使用を開始する。また、この第1認証が実行された際に、認証処理装置10は利用者Uに関連づけられた利用者関連装置に認証関連情報を送信しておく。こうすれば、利用者Uがパーソナルコンピュータの利用開始時に第1認証を受けることで、例えば同じフロア内に設置された利用対象装置20は、利用者Uによる利用を許可する状態に移行することになる。
【符号の説明】
【0086】
1 統合認証システム、2 領域認証システム、3 統合認証処理装置、10 認証処理装置、20 利用対象装置、11,21 制御部、12,22 記憶部、13,23 通信部、14,24 インタフェース部、15a,15b,25 識別情報受付端末、31 第1認証処理部、32 入退場制御部、33 認証関連情報送信部、34 認証関連情報無効化指示部、41 認証関連情報受信部、42 第2認証処理部、43 認証関連情報無効化部。
【特許請求の範囲】
【請求項1】
認証処理装置と、複数の利用対象装置と、を含み、
前記認証処理装置は、
利用者から受け付けた識別情報により、当該利用者を認証する第1の認証手段と、
前記第1の認証手段が前記利用者を認証した際に、前記複数の利用対象装置のうち、当該認証された利用者に関連づけられた1又は複数の利用対象装置のそれぞれに対して、当該利用対象装置による当該利用者の認証に用いられる認証関連情報を送信する送信手段と、
を含み、
前記複数の利用対象装置のそれぞれは、
前記認証処理装置が送信する認証関連情報を受信する受信手段と、
前記認証された利用者が当該利用対象装置を利用する際に、前記受信した認証関連情報を用いて当該利用者を認証する第2の認証手段と、
を含むことを特徴とする認証システム。
【請求項2】
前記複数の利用対象装置は保護領域内に設置され、
前記第1の認証手段は、前記利用者が前記保護領域内に入場しようとする際に、当該利用者を認証し、
前記認証処理装置は、前記第1の認証手段による認証に成功した場合に、前記利用者の前記保護領域内への入場を許可する手段をさらに含む
ことを特徴とする請求項1記載の認証システム。
【請求項3】
前記第1の認証手段は、前記利用者が前記保護領域内から退場しようとする際にも、当該利用者を認証し、
前記認証処理装置は、前記第1の認証手段による認証に成功した場合に、前記利用者の前記保護領域内からの退場を許可する手段と、
前記利用者の前記保護領域内からの退場が許可される場合に、前記利用者に関連づけられた1又は複数の利用対象装置のそれぞれに対して、当該利用対象装置に送信された認証関連情報の無効化を指示する無効化指示手段と、
をさらに含み、
前記利用対象装置のそれぞれは、前記無効化指示手段の指示に応じて、前記受信した認証関連情報を無効化する
ことを特徴とする請求項2記載の認証システム。
【請求項4】
前記認証処理装置は、前記利用者の前記保護領域内からの退場が許可される場合に、前記利用者に関連づけられた1又は複数の利用対象装置のそれぞれから、当該利用者が当該利用対象装置をどの程度利用したかを示す利用結果情報を取得する
ことを特徴とする請求項3記載の認証システム。
【請求項5】
前記送信手段は、前記第1の認証手段が前記利用者を認証した際に、前記利用者に関連づけられた1又は複数の利用対象装置のそれぞれに対して、前記利用者による当該利用対象装置の利用可否を判断する際に用いられる利用可否関連情報を送信し、
前記受信手段は、前記認証処理装置が送信する利用可否関連情報を受信し、
前記第2の認証手段は、前記認証された利用者が当該利用対象装置の利用を要求した際に、当該要求される利用が許可されるか否かを、前記利用可否関連情報を用いて判断する
ことを特徴とする請求項1から4のいずれか一項記載の認証システム。
【請求項6】
前記利用者に関連づけられた1又は複数の利用対象装置のそれぞれに対して送信される利用可否関連情報は、前記利用者による当該利用対象装置の利用量の制限に関する情報を含み、
前記第2の認証手段は、前記利用量の制限に関する情報を用いて、前記認証された利用者による当該利用対象装置の利用量を制限する
ことを特徴とする請求項5記載の認証システム。
【請求項7】
利用者から受け付けた識別情報により、当該利用者を認証する第1の認証手段と、
前記利用者を認証した際に、当該認証処理装置と接続された複数の利用対象装置のうち、当該認証された利用者に関連づけられた1又は複数の利用対象装置のそれぞれに対して、当該利用対象装置による当該利用者の第2の認証に用いられる認証関連情報を送信する送信手段と、
を含むことを特徴とする認証処理装置。
【請求項8】
複数の認証システムと、統合認証処理装置と、を含み、
前記複数の認証システムのそれぞれは、認証処理装置と、複数の利用対象装置と、を含み、
前記認証処理装置は、
利用者から識別情報を受け付けた際に、当該認証処理装置を含む認証システムに含まれる前記複数の利用対象装置のうち、当該利用者に関連づけられた1又は複数の利用対象装置を特定する情報と、当該利用対象装置による当該利用者の認証に用いられる認証関連情報と、を前記統合認証処理装置に対して問い合わせる手段を含み、
前記統合認証処理装置は、
前記問い合わせに応じて、前記利用者に関連づけられた1又は複数の利用対象装置を特定する情報と、前記認証関連情報と、を前記認証処理装置に対して送信する手段を含み、
前記認証処理装置は、
前記利用者から受け付けた識別情報により、当該利用者を認証する第1の認証手段と、
前記第1の認証手段が前記利用者を認証した際に、前記統合認証処理装置から受信した情報により特定される利用対象装置のそれぞれに対して、前記統合認証処理装置から受信した認証関連情報を送信する送信手段と、
をさらに含み、
前記複数の利用対象装置のそれぞれは、
前記認証処理装置が送信する認証関連情報を受信する受信手段と、
前記認証された利用者が当該利用対象装置を利用する際に、前記受信した認証関連情報を用いて当該利用者を認証する第2の認証手段と、
を含むことを特徴とする統合認証システム。
【請求項9】
利用者から受け付けた識別情報により、当該利用者を認証する第1の認証手段、及び
前記利用者を認証した際に、当該認証処理装置と接続された複数の利用対象装置のうち、当該認証された利用者に関連づけられた1又は複数の利用対象装置のそれぞれに対して、当該利用対象装置による当該利用者の第2の認証に用いられる認証関連情報を送信する送信手段、
としてコンピュータを機能させるためのプログラム。
【請求項1】
認証処理装置と、複数の利用対象装置と、を含み、
前記認証処理装置は、
利用者から受け付けた識別情報により、当該利用者を認証する第1の認証手段と、
前記第1の認証手段が前記利用者を認証した際に、前記複数の利用対象装置のうち、当該認証された利用者に関連づけられた1又は複数の利用対象装置のそれぞれに対して、当該利用対象装置による当該利用者の認証に用いられる認証関連情報を送信する送信手段と、
を含み、
前記複数の利用対象装置のそれぞれは、
前記認証処理装置が送信する認証関連情報を受信する受信手段と、
前記認証された利用者が当該利用対象装置を利用する際に、前記受信した認証関連情報を用いて当該利用者を認証する第2の認証手段と、
を含むことを特徴とする認証システム。
【請求項2】
前記複数の利用対象装置は保護領域内に設置され、
前記第1の認証手段は、前記利用者が前記保護領域内に入場しようとする際に、当該利用者を認証し、
前記認証処理装置は、前記第1の認証手段による認証に成功した場合に、前記利用者の前記保護領域内への入場を許可する手段をさらに含む
ことを特徴とする請求項1記載の認証システム。
【請求項3】
前記第1の認証手段は、前記利用者が前記保護領域内から退場しようとする際にも、当該利用者を認証し、
前記認証処理装置は、前記第1の認証手段による認証に成功した場合に、前記利用者の前記保護領域内からの退場を許可する手段と、
前記利用者の前記保護領域内からの退場が許可される場合に、前記利用者に関連づけられた1又は複数の利用対象装置のそれぞれに対して、当該利用対象装置に送信された認証関連情報の無効化を指示する無効化指示手段と、
をさらに含み、
前記利用対象装置のそれぞれは、前記無効化指示手段の指示に応じて、前記受信した認証関連情報を無効化する
ことを特徴とする請求項2記載の認証システム。
【請求項4】
前記認証処理装置は、前記利用者の前記保護領域内からの退場が許可される場合に、前記利用者に関連づけられた1又は複数の利用対象装置のそれぞれから、当該利用者が当該利用対象装置をどの程度利用したかを示す利用結果情報を取得する
ことを特徴とする請求項3記載の認証システム。
【請求項5】
前記送信手段は、前記第1の認証手段が前記利用者を認証した際に、前記利用者に関連づけられた1又は複数の利用対象装置のそれぞれに対して、前記利用者による当該利用対象装置の利用可否を判断する際に用いられる利用可否関連情報を送信し、
前記受信手段は、前記認証処理装置が送信する利用可否関連情報を受信し、
前記第2の認証手段は、前記認証された利用者が当該利用対象装置の利用を要求した際に、当該要求される利用が許可されるか否かを、前記利用可否関連情報を用いて判断する
ことを特徴とする請求項1から4のいずれか一項記載の認証システム。
【請求項6】
前記利用者に関連づけられた1又は複数の利用対象装置のそれぞれに対して送信される利用可否関連情報は、前記利用者による当該利用対象装置の利用量の制限に関する情報を含み、
前記第2の認証手段は、前記利用量の制限に関する情報を用いて、前記認証された利用者による当該利用対象装置の利用量を制限する
ことを特徴とする請求項5記載の認証システム。
【請求項7】
利用者から受け付けた識別情報により、当該利用者を認証する第1の認証手段と、
前記利用者を認証した際に、当該認証処理装置と接続された複数の利用対象装置のうち、当該認証された利用者に関連づけられた1又は複数の利用対象装置のそれぞれに対して、当該利用対象装置による当該利用者の第2の認証に用いられる認証関連情報を送信する送信手段と、
を含むことを特徴とする認証処理装置。
【請求項8】
複数の認証システムと、統合認証処理装置と、を含み、
前記複数の認証システムのそれぞれは、認証処理装置と、複数の利用対象装置と、を含み、
前記認証処理装置は、
利用者から識別情報を受け付けた際に、当該認証処理装置を含む認証システムに含まれる前記複数の利用対象装置のうち、当該利用者に関連づけられた1又は複数の利用対象装置を特定する情報と、当該利用対象装置による当該利用者の認証に用いられる認証関連情報と、を前記統合認証処理装置に対して問い合わせる手段を含み、
前記統合認証処理装置は、
前記問い合わせに応じて、前記利用者に関連づけられた1又は複数の利用対象装置を特定する情報と、前記認証関連情報と、を前記認証処理装置に対して送信する手段を含み、
前記認証処理装置は、
前記利用者から受け付けた識別情報により、当該利用者を認証する第1の認証手段と、
前記第1の認証手段が前記利用者を認証した際に、前記統合認証処理装置から受信した情報により特定される利用対象装置のそれぞれに対して、前記統合認証処理装置から受信した認証関連情報を送信する送信手段と、
をさらに含み、
前記複数の利用対象装置のそれぞれは、
前記認証処理装置が送信する認証関連情報を受信する受信手段と、
前記認証された利用者が当該利用対象装置を利用する際に、前記受信した認証関連情報を用いて当該利用者を認証する第2の認証手段と、
を含むことを特徴とする統合認証システム。
【請求項9】
利用者から受け付けた識別情報により、当該利用者を認証する第1の認証手段、及び
前記利用者を認証した際に、当該認証処理装置と接続された複数の利用対象装置のうち、当該認証された利用者に関連づけられた1又は複数の利用対象装置のそれぞれに対して、当該利用対象装置による当該利用者の第2の認証に用いられる認証関連情報を送信する送信手段、
としてコンピュータを機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2011−70377(P2011−70377A)
【公開日】平成23年4月7日(2011.4.7)
【国際特許分類】
【出願番号】特願2009−220548(P2009−220548)
【出願日】平成21年9月25日(2009.9.25)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
【公開日】平成23年4月7日(2011.4.7)
【国際特許分類】
【出願日】平成21年9月25日(2009.9.25)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
[ Back to top ]