認証システム
【課題】個人認証の確実性が高く、何らかの身体障害をもつ人にも利用しやすく、利用に際して心理的障壁が低い認証システムを提供する。
【解決手段】認証システムクライアントソフトウエア100と、認証システムサーバソフトウエア200とで構成される認証システムにおいて、認証システムクライアントソフトウエア200が、認証データ保存部101と、一覧作成部104と、パスフレーズ作成部108とを備え、パスフレーズ作成部108で作成したパスフレーズを適用して、ユーザ登録、認証を行う。
【解決手段】認証システムクライアントソフトウエア100と、認証システムサーバソフトウエア200とで構成される認証システムにおいて、認証システムクライアントソフトウエア200が、認証データ保存部101と、一覧作成部104と、パスフレーズ作成部108とを備え、パスフレーズ作成部108で作成したパスフレーズを適用して、ユーザ登録、認証を行う。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータシステムに適用される認証システムに関し、個人認証の確実性が高く、障害を持つ人も利用しやすい認証システムに関する。
【背景技術】
【0002】
コンピュータ利用の発展に伴い、コンピュータネットワークに接続されたコンピュータを複数のユーザによって共有することが一般的なこととなってきている。
このような状況において、ネットワークに接続されたコンピュータにおける、データの閲覧、編集、プログラムの実行などの権限を、ユーザの立場によって区別する必要がある。
ユーザを区別する場合、ユーザに許可された権限による利用を確実なものとするため、ユーザを特定するための仕組みが必要である。
従来、ユーザ識別子とパスワードによる方法が一般的に用いられているが、ユーザが覚えやすいパスワードとするため、ユーザに関連した意味のある単語を用いることが多い。このため、ユーザ以外の人間がパスワードを特定することが容易になってしまうという問題がある。これにより、成りすましによる不正行為の防止が困難な面がある。
パスワードなどの文字列による方法は、通常キーボードやそれに類した入力装置で入力する必要があるため、視覚障害者や前肢に障害を持つ障害者の場合には利用が困難であるという問題がある。
【0003】
成りすましによる不正行為の防止の改善策として、色々検討されてきている。
第1従来例として、近年指紋認証、掌静脈認証、虹彩認証などの身体の特徴を利用した生体認証がある。
第2従来例として、複数の図形の入力順序による認証も一部に行われている。
また、第3従来例として、ユーザ識別子を含む伝達情報とパスワードを引数として、一方向関数で暗号化したメッセージ識別子を生成し、上記伝達情報とメッセージ識別子を上位システムに送信し、上位システムでは伝達情報からメッセージ識別子を生成し、これと受信したメッセージ識別子とを比較することによりユーザ認証する方式をとっているものもある。(たとえば、特許文献1)
【特許文献1】特開2003−308298号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
第1従来例の生体認証は、個人認証の確実性の向上によりなりすまし不正行為防止に効果があるが、認証の対象とする身体部分を失った障害者の場合にはこの手法を利用することができない。また、収集する情報がユーザ個人と密接に結びつくため、利用に際しての心理的な障壁が高いという問題がある。
第2従来例の複数図形の入力順序による認証は、成りすましによる不正行為の防止には効果があるが、この効果を上げるためには多くの図形の中からユーザが複数図形を選択する必要がある。しかし、選択される図形を十分に多く準備するのに困難性がある。
第3従来例においては、ユーザ識別子を含む伝達情報とパスワードを含む情報を、一方向性関数で暗号化したものをパスワードとすることで個人認証の確実性を向上させている。しかしながら、認証に使われるデータがユーザ識別子とパスワードに限定されているので、選択できるデータ範囲が狭く、特に障害者が自分に適したデータを選択することができないという問題がある。
【0005】
本発明はこのような問題点に鑑みてなされたものであり、個人認証の確実性が高く、何らかの身体障害をもつ人にも利用しやすく、利用に際して心理的障壁が低い認証システムを提供することを目的とする。
【課題を解決するための手段】
【0006】
上記問題を解決するため、本発明は、次のように構成したのである。
【0007】
請求項1記載の発明によれば、端末コンピュータ基本ソフトウエア上で動作する認証システムクライアントソフトウエアと、サーバコンピュータ基本ソフトウエア上で動作する認証システムサーバソフトウエアと、で構成される認証システムにおいて、
前記認証システムクライアントソフトウエアが、複数の認証データを保存する認証データ保存部と、前記認証データを読み込み一覧表を作成する一覧作成部と、前記一覧表から複数の認証データを選択し、選択された複数の認証データを、一方向関数で変換してパスフレーズを作成するパスフレーズ作成部とを備え、前記パスフレーズを適用して、ユーザ登録、認証を行ことを特徴とするものである。
請求項2記載の発明によれば、前記パスフレーズ作成部が、選択された前記複数の認証データを設定された順序で入力し一方向関数で変換することを特徴とするものである。
請求項3記載の発明によれば、前記認証データが、さらに、前記端末コンピュータの外部記憶装置と、前記認証システムサーバソフトウエア内認証データ保存部とに保存されることを特徴とするものである。
請求項4記載の発明によれば、前記認証データは、文字列データ、画像データ、音声データなどのバイナリ―データであることを特徴とするものである。
請求項5記載の発明によれば、前記一方向関数が、HASH関数を含むことを特徴とするものである。
請求項6記載の発明によれば、請求項1に記載の認証システムクライアントソフトウエアと認証システムサーバソフトウエアとを適用したコンピュータシステムとするものである。
【発明の効果】
【0008】
請求項1の発明によると、複数データより一方向関数を使用して作成したパスフレーズを認証パスワードとして利用することにより、元のデータ再生が困難であるので、個人認証の確実性が向上し、成りすまし等による不正行為が防止できる。
請求項2の発明によると、複数のデータを使い入力順をも条件に加えて認証しているので、個人認証の確実性が向上し不正行為がより困難になる。
請求項3の発明によると、複数の異なる場所の認証データを組み合わせて使用することができる。これにより、外部記憶装置と内部記憶部のデータを併用すれば、内部記憶部のデータの漏洩、認証データを保存した外部記憶装置用媒体の紛失があっても、両方のデータが揃わないためパスワード(パスフレーズ)を再構築できないので安全性を確保できる。
請求項4の発明によると、種々の形式のデータを用いることが可能となるので、ユーザが自分に適したデータの使用が可能になる。これにより、何らかの障害を持つ人についても適切な方法が利用可能となる。たとえば、目の悪い人は音声データ、耳の悪い人は画像データなど、適切な方法が利用可能となる。また、個人の身体に関連しないので、利用に際しての心理的な障壁が低い。
請求項5の発明によると、一方向性関数としてHASH関数を使用するので、より安全性の高いパスワード(パスフレーズ)を作成できる。
請求項6の発明によると、個人認証の確実性が向上し、何らかの障害を持つ人にも使いやすいシステムを提供できる。
【発明を実施するための最良の形態】
【0009】
以下、本発明の実施の形態について図を参照して説明する。
【実施例1】
【0010】
本発明にかかる認証システムは、1以上の端末と1以上のサーバから構成されるコンピュータシステム上で動作するソフトウエアである。
【0011】
図1は、本発明の実施例を示す認証システムを使用したコンピュータシステムの構成図である。
1は端末コンピュータ、2はサーバコンピュータ、3はネットワーク網、4は外部記憶装置である。
端末コンピュータ1には端末コンピュータ基本ソフトウエア10を備え、サーバコンピュータ2にはサーバコンピュータ基本ソフトウエア20を備えている。外部記憶装置4には、個別の認証データを保存するユーザ個別認証データ部401を備える。外部記憶装置4で使用される媒体としては、フレキシブルディスク、光ディスク、USB規格メモリなどがある。
【0012】
まず、端末コンピュータ基本ソフトウエア10について説明する。
端末コンピュータ基本ソフトウエア10内において、11は認証機能部、12はユーザ登録変更機能部、100は認証システムクライアントソフトウエアである。認証機能部11は、基本ソフトウエアに通常備わっている認証機能であり、ユーザ登録変更機能部12は、基本ソフトウエアに通常備わっているユーザ識別子とパスワードの設定機能である。
認証システムクライアントソフトウエア100は、認証データ端末保存部101、認証データ保持バッファ102、認証データ獲得部103、一覧作成部104、表示部105、再生部106、入力部107、パスフレーズ作成部108、認証機能部インターフェース109、ユーザ登録更新部インターフェイス111を備える。
以下、各部の機能を説明する。
【0013】
認証システムクライアントソフトウエア100において、認証データ端末保存部101では端末用認証データを保存し、認証データ獲得部103はサーバから認証データを獲得し、認証データ保持バッファ102に一時的に保存する。一覧作成部104は、認証データ端末保存部101と認証データ保持バッファ102とユーザ個別認証データ401から認証データを読み込み認証データ一覧を作成する。
なお、認証データについては、文字列のほかに、音声データや画像データなどのバイナリーデータも含まれるが、再生部を使って再生して人間が確認できるものであれば何でも良い。
表示部105では認証データ一覧を表示し、再生部106ではデータが音声データや動画データの場合にそれを再生する。ユーザが自分の認証データを選択する場合は、入力部107より入力する。
従来は、ユーザを認識するデータとしてのパスワードは1個であったが、ここでは複数の認証データを使用して、このデータの組み合わせで認証を行う。複数の認証データを使用する場合、使用されるデータの組み合わせと、必要な場合その入力順も認証条件とするようにする。
パスフレーズ作成部108では、選択された認証データ情報についてHASH関数などの一方向関数を使ってデータを作成し、このデータ出力から、認証機能部11とユーザ登録変更機能部12で使用できる文字列に変換してパスフレーズを作成する。
認証機能インターフェース109は、作成されたパスフレーズをパスワードとして認証機能部11に渡す機能を有する。また、ユーザ登録更新部インターフェイス111は、作成されたパスフレーズをパスワードとしてユーザ登録変更機能部12に渡す機能を有する。
上記により、パスフレーズ作成部108で出されたパスフレーズが、端末コンピュータのログイン時の認証に使用される。
【0014】
次に、サーバコンピュータ基本ソフトウエア20について説明する。
サーバコンピュータ基本ソフトウエア20内において、21は認証機能部、22はユーザ登録更新機能部、200は認証システムサーバソフトウエア200である。認証機能部21、ユーザ登録更新機能部22は、端末コンピュータ基本ソフトウエア10の認証機能部11、ユーザ登録変更機能部12と機能的には同じである。
認証システムサーバソフトウエア200は、認証データサーバ保存部201、認証データ通信部202を備える。認証データサーバ保存部201では端末用認証データを記憶し、認証データ通信部202では認証データ獲得部103の要求に応じて認証データサーバ保存部201の認証データを送信する。
端末コンピュータ1からサーバコンピュータ2へのログインでは、認証機能部21、ユーザ登録更新機能部22が機能する。
このように、認証システムは、端末コンピュータ1へのログイン時、および端末コンピュータ1からサーバコンピュータ2へのログインに使用される。
本発明の認証システムは、認証システムクライアントソフトウエア100と認証システムサーバソフトウエア200で構成されるが、単一のコンピュータのみで構成される場合は、認証システムクライアントソフトウエア100と認証システムサーバソフトウエア200を同一のコンピュータ上で実行可能である。
なお、ここでは基本ソフトウエア上の既存機能であるユーザ登録更新機能部、認証機能部に、上記で作成されたパスフレーズを適用するようにしているが、既存の登録更新機能部や認証機能部に本発明の認証システムの機能を加えた形にしても良い。
【0015】
以下に、登録、更新、認証の手順について説明する。
新規にユーザを登録する場合、認証データを読み込んで一覧表示し、その後登録処理を行う。
まず、データを表示するまでのフローを説明する。
図2は、本発明の実施例を示す認証システムにおいて認証データの読み込みから表示までの処理の流れを示すフローチャートである。
認証データは、認証データ端末保存部101、認証データ保持バッファ102、ユーザ個別認証データ部の3箇所に保存可能であるが、ここに事前に各部に複数の認証データを保存しておく。
まず、認証データ端末保存部101から端末コンピュータ1内の認証データを読み込む。(ステップS101)次に、外部にサーバコンピュータ2が存在するかを確認し(ステップS102)、サーバコンピュータ2が存在する場合、認証データ獲得部103と認証データ通信部202によってネットワーク網3を介して、認証データサーバ保存部201から、認証データを獲得する(ステップS103)。獲得した認証データは認証データ保持バッファ102に一時的に保存される(ステップS104)。
次に、認証データ保持バッファ102から認証データを読み込む(ステップS105)。
続いて、ユーザが外部記憶装置4によってユーザ個別認証データ部401を利用したかを判断し(ステップS106)、利用した場合はユーザ個別認証データ部401からデータを読み込む(ステップS107)。
一覧作成部104によって、これら読み込まれたすべての認証データの一覧を作成し、表示部105に表示する。ここでは、アイコンやファイル名などの識別可能な情報(以下、識別子)で表示される(ステップS108)。
【0016】
次に、表示後から登録するまでフローを説明する。
図3は、本発明の実施例を示す認証システムにおいて認証データの表示から登録処理までの流れを示すフローチャートである。
新規にユーザを登録する場合、表示部105によって表示された認証データを、選択し(ステップS301)、選択された認証データが音声ファイルなど再生による確認が必要な場合(ステップS302)、再生部106を使用して再生してデータ内容を確認し(ステップS303)、必要な認証データの識別子を入力する。通常複数の認証データの組み合わせで認証を行うが、複数の認証データの入力順を規定する場合は規定された順に入力する(ステップS304)。
次に、パスフレーズ作成部108において、入力された認証データ情報についてHASH関数などの一方向関数を使ってデータを作成し、このデータ出力から、認証機能部で使用できる文字列に変換してパスフレーズを作成する(ステップS305)。
上記で作成したパスフレーズとユーザ識別子を、ユーザ登録更新部インターフェイス111を通じて端末コンピュータ基本ソフトウエア10のユーザ登録更新機能部12に受け渡す(ステップS306)。
以降は、端末コンピュータ基本ソフトウエア10のユーザ登録更新機能部12を用いて端末コンピュータ1にユーザ登録を行う。
サーバコンピュータ2が存在する場合は、サーバコンピュータ2のサーバコンピュータ基本ソフトウエア20のユーザ登録更新機能部22を用い、サーバコンピュータ2にユーザ登録を行う。
【0017】
次に、ユーザを認証する処理のフローについて説明する。
認証データを読み込んで一覧表示し、その後認証処理を行うが、表示までのフローは図2と同様である。
次に、認証データを表示してから認証するまでのフローを説明する。
図4は、本発明の実施例を示す認証システムにおいて認証データの表示から認証処理までの流れを示すフローチャートである。
ユーザは、入力部107を使用して表示部105によって表示された認証データを選択する(ステップS201)。認証データが音声ファイルなど再生によって確認が必要な場合(ステップS202)、再生部106にて再生しデータの内容を確認する(ステップS203)。
入力部107にて必要な認証データの識別子を入力する。複数の認証データの順序が規定されている場合、規定された順に入力する。(ステップS204)、パスフレーズ作成部108において、入力された認証データ情報についてHASH関数などの一方向関数を使ってデータを作成し、このデータ出力から、認証機能部で使用できる文字列に変換してパスフレーズを作成する(ステップS205)。
作成したパスフレーズとユーザ識別子を、認証機能部インターフェイス通じて端末コンピュータ基本ソフトウエアの認証機能部11に受け渡す。(ステップS206)。
以降は、端末コンピュータ基本ソフトウエア10の認証機能部11の機能を用いて認証を行う。サーバコンピュータ2が存在する場合は、サーバコンピュータ2のサーバコンピュータ基本ソフトウエア20の認証機能部21を用いて認証を行う。
【0018】
次に、既存ユーザの情報を更新する場合について説明する。
既存ユーザの情報を更新する場合において、認証データを読み込んで表示するまでのフローは図2と同様である。また、表示以降のフローは、図3と同様である。
つまり、ユーザは、表示された認証データから選択し、認証データの確認が必要な場合は再生して内容を確認する。次に、認証データを利用する順に入力し、入力されたデータからパスフレーズを作成し、基本ソフトウエアのユーザ登録更新機能部12に渡す。
【0019】
このように、認証システムは、複数個所に保存された認証データを取得して認証データ一覧を表示し、音声データや映像データの場合はそれを再生し確認し、表示されたデータ一覧から選択する。その認証データからパスフレーズが作成され、作成されたパスフレーズを基本ソフトウエアがもつ認証機能のパスワードとして使用するのである。
本発明の認証システムは、以下の特徴を有する。
画像や音声など複数のデータ形式を利用した認証が可能となるため、障害者にとっても利用しやすい認証方法を構築可能である。また、認証データの分散配置が可能であることから、認証データをサーバ上とユーザがUSBメモリなどで個別に用意したものを組み合わせて使用できる。例えば、コンピュータの認証データが漏洩した場合、認証データを保存した外部記憶装置媒体を紛失した場合のいずれかが起こったとしても、両方のデータが揃わないため実際のパスワード(フレーズ)を再構築できないので安全である。
さらに、HASH関数で作成されたパスフレーズを用いることで、個人の特定が困難な仕組みを容易に構築可能である。
【産業上の利用可能性】
【0020】
本発明の認証システムは、認証機能を備えたコンピュータシステムや制御装置全般に適用できる。
【図面の簡単な説明】
【0021】
【図1】本発明に実施例を示す認証システムを使用したコンピュータシステムの構成図である。
【図2】本発明の実施例を示す認証システムにおいて認証データの読み込みから表示までの処理の流れを示すフローチャートである。
【図3】、本発明の実施例を示す認証システムにおいて認証データの表示から登録処理までの流れを示すフローチャートである。
【図4】本発明の実施例を示す認証システムにおいて認証データの表示から認証処理の流れを示すフローチャートである。
【符号の説明】
【0022】
1 端末コンピュータ
2 サーバコンピュータ
3 ネットワーク網
4 外部記憶装置
10 端末コンピュータ基本ソフトウエア
11 端末コンピュータの認証機能部
12 端末コンピュータのユーザ登録更新機能部
20 サーバコンピュータ基本ソフトウエア
21 サーバコンピュータの認証機能部
22 サーバコンピュータのユーザ登録更新機能部
100 認証システムクライアントソフトウエア
101 認証データ端末保存部
102 認証データ保持バッファ
103 認証データ獲得部
104 一覧作成部
105 表示部
106 再生部
107 入力部
108 パスフレーズ作成部
109 認証機能部インターフェース
111 ユーザ登録更新部インターフェース
200 認証システムサーバソフトウエア
201 認証データサーバ保存部
202 認証データ通信部
401 ユーザ個別認証データ部
【技術分野】
【0001】
本発明は、コンピュータシステムに適用される認証システムに関し、個人認証の確実性が高く、障害を持つ人も利用しやすい認証システムに関する。
【背景技術】
【0002】
コンピュータ利用の発展に伴い、コンピュータネットワークに接続されたコンピュータを複数のユーザによって共有することが一般的なこととなってきている。
このような状況において、ネットワークに接続されたコンピュータにおける、データの閲覧、編集、プログラムの実行などの権限を、ユーザの立場によって区別する必要がある。
ユーザを区別する場合、ユーザに許可された権限による利用を確実なものとするため、ユーザを特定するための仕組みが必要である。
従来、ユーザ識別子とパスワードによる方法が一般的に用いられているが、ユーザが覚えやすいパスワードとするため、ユーザに関連した意味のある単語を用いることが多い。このため、ユーザ以外の人間がパスワードを特定することが容易になってしまうという問題がある。これにより、成りすましによる不正行為の防止が困難な面がある。
パスワードなどの文字列による方法は、通常キーボードやそれに類した入力装置で入力する必要があるため、視覚障害者や前肢に障害を持つ障害者の場合には利用が困難であるという問題がある。
【0003】
成りすましによる不正行為の防止の改善策として、色々検討されてきている。
第1従来例として、近年指紋認証、掌静脈認証、虹彩認証などの身体の特徴を利用した生体認証がある。
第2従来例として、複数の図形の入力順序による認証も一部に行われている。
また、第3従来例として、ユーザ識別子を含む伝達情報とパスワードを引数として、一方向関数で暗号化したメッセージ識別子を生成し、上記伝達情報とメッセージ識別子を上位システムに送信し、上位システムでは伝達情報からメッセージ識別子を生成し、これと受信したメッセージ識別子とを比較することによりユーザ認証する方式をとっているものもある。(たとえば、特許文献1)
【特許文献1】特開2003−308298号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
第1従来例の生体認証は、個人認証の確実性の向上によりなりすまし不正行為防止に効果があるが、認証の対象とする身体部分を失った障害者の場合にはこの手法を利用することができない。また、収集する情報がユーザ個人と密接に結びつくため、利用に際しての心理的な障壁が高いという問題がある。
第2従来例の複数図形の入力順序による認証は、成りすましによる不正行為の防止には効果があるが、この効果を上げるためには多くの図形の中からユーザが複数図形を選択する必要がある。しかし、選択される図形を十分に多く準備するのに困難性がある。
第3従来例においては、ユーザ識別子を含む伝達情報とパスワードを含む情報を、一方向性関数で暗号化したものをパスワードとすることで個人認証の確実性を向上させている。しかしながら、認証に使われるデータがユーザ識別子とパスワードに限定されているので、選択できるデータ範囲が狭く、特に障害者が自分に適したデータを選択することができないという問題がある。
【0005】
本発明はこのような問題点に鑑みてなされたものであり、個人認証の確実性が高く、何らかの身体障害をもつ人にも利用しやすく、利用に際して心理的障壁が低い認証システムを提供することを目的とする。
【課題を解決するための手段】
【0006】
上記問題を解決するため、本発明は、次のように構成したのである。
【0007】
請求項1記載の発明によれば、端末コンピュータ基本ソフトウエア上で動作する認証システムクライアントソフトウエアと、サーバコンピュータ基本ソフトウエア上で動作する認証システムサーバソフトウエアと、で構成される認証システムにおいて、
前記認証システムクライアントソフトウエアが、複数の認証データを保存する認証データ保存部と、前記認証データを読み込み一覧表を作成する一覧作成部と、前記一覧表から複数の認証データを選択し、選択された複数の認証データを、一方向関数で変換してパスフレーズを作成するパスフレーズ作成部とを備え、前記パスフレーズを適用して、ユーザ登録、認証を行ことを特徴とするものである。
請求項2記載の発明によれば、前記パスフレーズ作成部が、選択された前記複数の認証データを設定された順序で入力し一方向関数で変換することを特徴とするものである。
請求項3記載の発明によれば、前記認証データが、さらに、前記端末コンピュータの外部記憶装置と、前記認証システムサーバソフトウエア内認証データ保存部とに保存されることを特徴とするものである。
請求項4記載の発明によれば、前記認証データは、文字列データ、画像データ、音声データなどのバイナリ―データであることを特徴とするものである。
請求項5記載の発明によれば、前記一方向関数が、HASH関数を含むことを特徴とするものである。
請求項6記載の発明によれば、請求項1に記載の認証システムクライアントソフトウエアと認証システムサーバソフトウエアとを適用したコンピュータシステムとするものである。
【発明の効果】
【0008】
請求項1の発明によると、複数データより一方向関数を使用して作成したパスフレーズを認証パスワードとして利用することにより、元のデータ再生が困難であるので、個人認証の確実性が向上し、成りすまし等による不正行為が防止できる。
請求項2の発明によると、複数のデータを使い入力順をも条件に加えて認証しているので、個人認証の確実性が向上し不正行為がより困難になる。
請求項3の発明によると、複数の異なる場所の認証データを組み合わせて使用することができる。これにより、外部記憶装置と内部記憶部のデータを併用すれば、内部記憶部のデータの漏洩、認証データを保存した外部記憶装置用媒体の紛失があっても、両方のデータが揃わないためパスワード(パスフレーズ)を再構築できないので安全性を確保できる。
請求項4の発明によると、種々の形式のデータを用いることが可能となるので、ユーザが自分に適したデータの使用が可能になる。これにより、何らかの障害を持つ人についても適切な方法が利用可能となる。たとえば、目の悪い人は音声データ、耳の悪い人は画像データなど、適切な方法が利用可能となる。また、個人の身体に関連しないので、利用に際しての心理的な障壁が低い。
請求項5の発明によると、一方向性関数としてHASH関数を使用するので、より安全性の高いパスワード(パスフレーズ)を作成できる。
請求項6の発明によると、個人認証の確実性が向上し、何らかの障害を持つ人にも使いやすいシステムを提供できる。
【発明を実施するための最良の形態】
【0009】
以下、本発明の実施の形態について図を参照して説明する。
【実施例1】
【0010】
本発明にかかる認証システムは、1以上の端末と1以上のサーバから構成されるコンピュータシステム上で動作するソフトウエアである。
【0011】
図1は、本発明の実施例を示す認証システムを使用したコンピュータシステムの構成図である。
1は端末コンピュータ、2はサーバコンピュータ、3はネットワーク網、4は外部記憶装置である。
端末コンピュータ1には端末コンピュータ基本ソフトウエア10を備え、サーバコンピュータ2にはサーバコンピュータ基本ソフトウエア20を備えている。外部記憶装置4には、個別の認証データを保存するユーザ個別認証データ部401を備える。外部記憶装置4で使用される媒体としては、フレキシブルディスク、光ディスク、USB規格メモリなどがある。
【0012】
まず、端末コンピュータ基本ソフトウエア10について説明する。
端末コンピュータ基本ソフトウエア10内において、11は認証機能部、12はユーザ登録変更機能部、100は認証システムクライアントソフトウエアである。認証機能部11は、基本ソフトウエアに通常備わっている認証機能であり、ユーザ登録変更機能部12は、基本ソフトウエアに通常備わっているユーザ識別子とパスワードの設定機能である。
認証システムクライアントソフトウエア100は、認証データ端末保存部101、認証データ保持バッファ102、認証データ獲得部103、一覧作成部104、表示部105、再生部106、入力部107、パスフレーズ作成部108、認証機能部インターフェース109、ユーザ登録更新部インターフェイス111を備える。
以下、各部の機能を説明する。
【0013】
認証システムクライアントソフトウエア100において、認証データ端末保存部101では端末用認証データを保存し、認証データ獲得部103はサーバから認証データを獲得し、認証データ保持バッファ102に一時的に保存する。一覧作成部104は、認証データ端末保存部101と認証データ保持バッファ102とユーザ個別認証データ401から認証データを読み込み認証データ一覧を作成する。
なお、認証データについては、文字列のほかに、音声データや画像データなどのバイナリーデータも含まれるが、再生部を使って再生して人間が確認できるものであれば何でも良い。
表示部105では認証データ一覧を表示し、再生部106ではデータが音声データや動画データの場合にそれを再生する。ユーザが自分の認証データを選択する場合は、入力部107より入力する。
従来は、ユーザを認識するデータとしてのパスワードは1個であったが、ここでは複数の認証データを使用して、このデータの組み合わせで認証を行う。複数の認証データを使用する場合、使用されるデータの組み合わせと、必要な場合その入力順も認証条件とするようにする。
パスフレーズ作成部108では、選択された認証データ情報についてHASH関数などの一方向関数を使ってデータを作成し、このデータ出力から、認証機能部11とユーザ登録変更機能部12で使用できる文字列に変換してパスフレーズを作成する。
認証機能インターフェース109は、作成されたパスフレーズをパスワードとして認証機能部11に渡す機能を有する。また、ユーザ登録更新部インターフェイス111は、作成されたパスフレーズをパスワードとしてユーザ登録変更機能部12に渡す機能を有する。
上記により、パスフレーズ作成部108で出されたパスフレーズが、端末コンピュータのログイン時の認証に使用される。
【0014】
次に、サーバコンピュータ基本ソフトウエア20について説明する。
サーバコンピュータ基本ソフトウエア20内において、21は認証機能部、22はユーザ登録更新機能部、200は認証システムサーバソフトウエア200である。認証機能部21、ユーザ登録更新機能部22は、端末コンピュータ基本ソフトウエア10の認証機能部11、ユーザ登録変更機能部12と機能的には同じである。
認証システムサーバソフトウエア200は、認証データサーバ保存部201、認証データ通信部202を備える。認証データサーバ保存部201では端末用認証データを記憶し、認証データ通信部202では認証データ獲得部103の要求に応じて認証データサーバ保存部201の認証データを送信する。
端末コンピュータ1からサーバコンピュータ2へのログインでは、認証機能部21、ユーザ登録更新機能部22が機能する。
このように、認証システムは、端末コンピュータ1へのログイン時、および端末コンピュータ1からサーバコンピュータ2へのログインに使用される。
本発明の認証システムは、認証システムクライアントソフトウエア100と認証システムサーバソフトウエア200で構成されるが、単一のコンピュータのみで構成される場合は、認証システムクライアントソフトウエア100と認証システムサーバソフトウエア200を同一のコンピュータ上で実行可能である。
なお、ここでは基本ソフトウエア上の既存機能であるユーザ登録更新機能部、認証機能部に、上記で作成されたパスフレーズを適用するようにしているが、既存の登録更新機能部や認証機能部に本発明の認証システムの機能を加えた形にしても良い。
【0015】
以下に、登録、更新、認証の手順について説明する。
新規にユーザを登録する場合、認証データを読み込んで一覧表示し、その後登録処理を行う。
まず、データを表示するまでのフローを説明する。
図2は、本発明の実施例を示す認証システムにおいて認証データの読み込みから表示までの処理の流れを示すフローチャートである。
認証データは、認証データ端末保存部101、認証データ保持バッファ102、ユーザ個別認証データ部の3箇所に保存可能であるが、ここに事前に各部に複数の認証データを保存しておく。
まず、認証データ端末保存部101から端末コンピュータ1内の認証データを読み込む。(ステップS101)次に、外部にサーバコンピュータ2が存在するかを確認し(ステップS102)、サーバコンピュータ2が存在する場合、認証データ獲得部103と認証データ通信部202によってネットワーク網3を介して、認証データサーバ保存部201から、認証データを獲得する(ステップS103)。獲得した認証データは認証データ保持バッファ102に一時的に保存される(ステップS104)。
次に、認証データ保持バッファ102から認証データを読み込む(ステップS105)。
続いて、ユーザが外部記憶装置4によってユーザ個別認証データ部401を利用したかを判断し(ステップS106)、利用した場合はユーザ個別認証データ部401からデータを読み込む(ステップS107)。
一覧作成部104によって、これら読み込まれたすべての認証データの一覧を作成し、表示部105に表示する。ここでは、アイコンやファイル名などの識別可能な情報(以下、識別子)で表示される(ステップS108)。
【0016】
次に、表示後から登録するまでフローを説明する。
図3は、本発明の実施例を示す認証システムにおいて認証データの表示から登録処理までの流れを示すフローチャートである。
新規にユーザを登録する場合、表示部105によって表示された認証データを、選択し(ステップS301)、選択された認証データが音声ファイルなど再生による確認が必要な場合(ステップS302)、再生部106を使用して再生してデータ内容を確認し(ステップS303)、必要な認証データの識別子を入力する。通常複数の認証データの組み合わせで認証を行うが、複数の認証データの入力順を規定する場合は規定された順に入力する(ステップS304)。
次に、パスフレーズ作成部108において、入力された認証データ情報についてHASH関数などの一方向関数を使ってデータを作成し、このデータ出力から、認証機能部で使用できる文字列に変換してパスフレーズを作成する(ステップS305)。
上記で作成したパスフレーズとユーザ識別子を、ユーザ登録更新部インターフェイス111を通じて端末コンピュータ基本ソフトウエア10のユーザ登録更新機能部12に受け渡す(ステップS306)。
以降は、端末コンピュータ基本ソフトウエア10のユーザ登録更新機能部12を用いて端末コンピュータ1にユーザ登録を行う。
サーバコンピュータ2が存在する場合は、サーバコンピュータ2のサーバコンピュータ基本ソフトウエア20のユーザ登録更新機能部22を用い、サーバコンピュータ2にユーザ登録を行う。
【0017】
次に、ユーザを認証する処理のフローについて説明する。
認証データを読み込んで一覧表示し、その後認証処理を行うが、表示までのフローは図2と同様である。
次に、認証データを表示してから認証するまでのフローを説明する。
図4は、本発明の実施例を示す認証システムにおいて認証データの表示から認証処理までの流れを示すフローチャートである。
ユーザは、入力部107を使用して表示部105によって表示された認証データを選択する(ステップS201)。認証データが音声ファイルなど再生によって確認が必要な場合(ステップS202)、再生部106にて再生しデータの内容を確認する(ステップS203)。
入力部107にて必要な認証データの識別子を入力する。複数の認証データの順序が規定されている場合、規定された順に入力する。(ステップS204)、パスフレーズ作成部108において、入力された認証データ情報についてHASH関数などの一方向関数を使ってデータを作成し、このデータ出力から、認証機能部で使用できる文字列に変換してパスフレーズを作成する(ステップS205)。
作成したパスフレーズとユーザ識別子を、認証機能部インターフェイス通じて端末コンピュータ基本ソフトウエアの認証機能部11に受け渡す。(ステップS206)。
以降は、端末コンピュータ基本ソフトウエア10の認証機能部11の機能を用いて認証を行う。サーバコンピュータ2が存在する場合は、サーバコンピュータ2のサーバコンピュータ基本ソフトウエア20の認証機能部21を用いて認証を行う。
【0018】
次に、既存ユーザの情報を更新する場合について説明する。
既存ユーザの情報を更新する場合において、認証データを読み込んで表示するまでのフローは図2と同様である。また、表示以降のフローは、図3と同様である。
つまり、ユーザは、表示された認証データから選択し、認証データの確認が必要な場合は再生して内容を確認する。次に、認証データを利用する順に入力し、入力されたデータからパスフレーズを作成し、基本ソフトウエアのユーザ登録更新機能部12に渡す。
【0019】
このように、認証システムは、複数個所に保存された認証データを取得して認証データ一覧を表示し、音声データや映像データの場合はそれを再生し確認し、表示されたデータ一覧から選択する。その認証データからパスフレーズが作成され、作成されたパスフレーズを基本ソフトウエアがもつ認証機能のパスワードとして使用するのである。
本発明の認証システムは、以下の特徴を有する。
画像や音声など複数のデータ形式を利用した認証が可能となるため、障害者にとっても利用しやすい認証方法を構築可能である。また、認証データの分散配置が可能であることから、認証データをサーバ上とユーザがUSBメモリなどで個別に用意したものを組み合わせて使用できる。例えば、コンピュータの認証データが漏洩した場合、認証データを保存した外部記憶装置媒体を紛失した場合のいずれかが起こったとしても、両方のデータが揃わないため実際のパスワード(フレーズ)を再構築できないので安全である。
さらに、HASH関数で作成されたパスフレーズを用いることで、個人の特定が困難な仕組みを容易に構築可能である。
【産業上の利用可能性】
【0020】
本発明の認証システムは、認証機能を備えたコンピュータシステムや制御装置全般に適用できる。
【図面の簡単な説明】
【0021】
【図1】本発明に実施例を示す認証システムを使用したコンピュータシステムの構成図である。
【図2】本発明の実施例を示す認証システムにおいて認証データの読み込みから表示までの処理の流れを示すフローチャートである。
【図3】、本発明の実施例を示す認証システムにおいて認証データの表示から登録処理までの流れを示すフローチャートである。
【図4】本発明の実施例を示す認証システムにおいて認証データの表示から認証処理の流れを示すフローチャートである。
【符号の説明】
【0022】
1 端末コンピュータ
2 サーバコンピュータ
3 ネットワーク網
4 外部記憶装置
10 端末コンピュータ基本ソフトウエア
11 端末コンピュータの認証機能部
12 端末コンピュータのユーザ登録更新機能部
20 サーバコンピュータ基本ソフトウエア
21 サーバコンピュータの認証機能部
22 サーバコンピュータのユーザ登録更新機能部
100 認証システムクライアントソフトウエア
101 認証データ端末保存部
102 認証データ保持バッファ
103 認証データ獲得部
104 一覧作成部
105 表示部
106 再生部
107 入力部
108 パスフレーズ作成部
109 認証機能部インターフェース
111 ユーザ登録更新部インターフェース
200 認証システムサーバソフトウエア
201 認証データサーバ保存部
202 認証データ通信部
401 ユーザ個別認証データ部
【特許請求の範囲】
【請求項1】
端末コンピュータ基本ソフトウエア上で動作する認証システムクライアントソフトウエアと、
サーバコンピュータ基本ソフトウエア上で動作する認証システムサーバソフトウエアと、
で構成される認証システムにおいて、
前記認証システムクライアントソフトウエアが、
複数の認証データを保存する認証データ端末保存部と、
前記認証データを読み込み一覧表を作成する一覧作成部と、
前記一覧表から複数の認証データを選択し、選択された複数の認証データを、一方向関数で変換してパスフレーズを作成するパスフレーズ作成部と、
を備え、
前記パスフレーズを適用して、ユーザ登録、認証を行うことを特徴とする認証システム。
【請求項2】
前記パスフレーズ作成部が、
選択された前記複数の認証データを設定された順序で入力し一方向関数で変換することを特徴とする請求項1に記載の認証システム。
【請求項3】
前記認証データが、さらに、前記端末コンピュータの外部記憶装置内のユーザ個別認証データ部と、前記認証システムサーバソフトウエア内の認証データサーバ保存部とに保存されることを特徴とする請求項1に記載の認証システム。
【請求項4】
前記認証データが、文字列データ、画像データ、音声データなどのバイナリーデータであることを特徴とする請求項1に記載の認証システム。
【請求項5】
前記一方向関数が、HASH関数を含むことを特徴する請求項1に記載の認証システム。
【請求項6】
請求項1に記載の認証システムとを適用したコンピュータシステム。
【請求項1】
端末コンピュータ基本ソフトウエア上で動作する認証システムクライアントソフトウエアと、
サーバコンピュータ基本ソフトウエア上で動作する認証システムサーバソフトウエアと、
で構成される認証システムにおいて、
前記認証システムクライアントソフトウエアが、
複数の認証データを保存する認証データ端末保存部と、
前記認証データを読み込み一覧表を作成する一覧作成部と、
前記一覧表から複数の認証データを選択し、選択された複数の認証データを、一方向関数で変換してパスフレーズを作成するパスフレーズ作成部と、
を備え、
前記パスフレーズを適用して、ユーザ登録、認証を行うことを特徴とする認証システム。
【請求項2】
前記パスフレーズ作成部が、
選択された前記複数の認証データを設定された順序で入力し一方向関数で変換することを特徴とする請求項1に記載の認証システム。
【請求項3】
前記認証データが、さらに、前記端末コンピュータの外部記憶装置内のユーザ個別認証データ部と、前記認証システムサーバソフトウエア内の認証データサーバ保存部とに保存されることを特徴とする請求項1に記載の認証システム。
【請求項4】
前記認証データが、文字列データ、画像データ、音声データなどのバイナリーデータであることを特徴とする請求項1に記載の認証システム。
【請求項5】
前記一方向関数が、HASH関数を含むことを特徴する請求項1に記載の認証システム。
【請求項6】
請求項1に記載の認証システムとを適用したコンピュータシステム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2007−219773(P2007−219773A)
【公開日】平成19年8月30日(2007.8.30)
【国際特許分類】
【出願番号】特願2006−38718(P2006−38718)
【出願日】平成18年2月16日(2006.2.16)
【出願人】(399076312)安川情報システム株式会社 (77)
【出願人】(000006622)株式会社安川電機 (2,482)
【Fターム(参考)】
【公開日】平成19年8月30日(2007.8.30)
【国際特許分類】
【出願日】平成18年2月16日(2006.2.16)
【出願人】(399076312)安川情報システム株式会社 (77)
【出願人】(000006622)株式会社安川電機 (2,482)
【Fターム(参考)】
[ Back to top ]