認証システム
【課題】使用者認証を行う認証システムにおいて、認証情報としての生体情報の漏洩を防止し、その保管・管理上の安全性を向上させる。
【解決手段】使用者から生体認証情報を取得する生体認証情報取得部と、この生体認証情報と予め登録された登録生体認証情報とを照合することにより使用者認証を行う認証部と、登録生体認証情報を記憶する記憶部と、を備える複数の端末装置が通信可能に接続されてなる認証システムであって、これら複数の端末装置のそれぞれに、登録生体認証情報を他の端末装置の記憶部に分散して格納するとともに、認証部により使用者認証を行う際に、他の端末装置の記憶部に分散して格納された登録生体認証情報の読み出しを行う制御部を備える。
【解決手段】使用者から生体認証情報を取得する生体認証情報取得部と、この生体認証情報と予め登録された登録生体認証情報とを照合することにより使用者認証を行う認証部と、登録生体認証情報を記憶する記憶部と、を備える複数の端末装置が通信可能に接続されてなる認証システムであって、これら複数の端末装置のそれぞれに、登録生体認証情報を他の端末装置の記憶部に分散して格納するとともに、認証部により使用者認証を行う際に、他の端末装置の記憶部に分散して格納された登録生体認証情報の読み出しを行う制御部を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証システムに関し、特に、生体認証情報に基づいて使用制限を行う生体認証機能を有する複数の端末装置を通信可能に接続した認証システムに関する。
【背景技術】
【0002】
近年、情報通信技術の発達により、電気・電子機器に格納する情報の保守・管理が、ますます重要な課題となっている。例えば、特許文献1には、電気・電子機器に記録した情報を分散させる分散ファイル技術に関する発明が開示されている。即ち、データディスクドライブを有する複数のコンピュータを、夫々ネットワークを介して相互に接続させ、RAID(Redundant Arrays of Inexpensive Disks)等のディスクアレイ技術をネットワークシステム上で実現させたものである。1つのデータを複数のコンピュータに分散して格納するため、地震や火災等でネットワーク上に接続されるコンピュータの一部が故障・停止してもデータの完全な消失を防止することができる。また、パリティ情報を備えることで、故障・停止した端末に格納されていたデータファイルを復元し、他の端末に分散されたデータファイルとともにデータを完全に復元することが可能となっている。
【0003】
また、電気・電子機器の保守・管理の安全性に関する技術として認証技術が挙げられる。近年、電気・電子機器に使用者認証(いわゆる使用者認証)を行う認証機能を搭載することが一般化している。使用者認証技術としては、暗証番号等を設定するのが一般的であるが、近年では、使用者の身体における特徴的な部分を認証情報として利用する生体認証技術(いわゆるバイオメトリックス認証技術)が実用段階で普及している。生体認証技術としては、指紋、手指の静脈パターン、虹彩、声紋、キーストローク、DNA、匂いあるいは使用者の歩き方などの動作的な特徴等、使用者固有の情報に基づいて認証を行う技術が知られており、暗証番号等に比して個人の特定性が格段に高い技術として種々の技術分野で応用されている。
【0004】
使用者認証を行う装置は、認証処理を行う際に、入力装置から入力される認証情報と照合する基準となる認証情報を予め装置内あるいは外部の記憶装置に記憶しておくようになっている。即ち、認証処理時に入力装置を介して使用者から認証情報が入力されると、事前に記憶装置に記録(登録)された登録認証情報を読み出し、両者の比較照合を行い、その一致率に基づいて同一であるか否かの判定を行う構成となっている。
【特許文献1】特開平5−324579号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
ところで、認証情報の内でも特に生体認証情報は、暗証番号等とは異なる特有の性質を有する情報である。即ち、生体認証情報は個人の特定性に優れるという利点があるが、事後にその内容を変更することが困難であるという問題がある。
【0006】
生体認証装置は、先ず、生体認証情報を記憶(設定)させ、使用者認証時に生体認証情報の入力を要求し、この入力された情報と予め記憶(設定)された登録生体認証情報との照合を行うという構成からなる。したがって、生体認証装置の記憶部には常に生体認証情報が保管されており、万が一、生体認証装置自体が盗難されると、生体認証情報が全て漏洩するという問題がある。
また、単なる数字や記号の配列である暗証番号等であれば、情報の漏洩後に暗証番号の変更を行うことができるが、生体情報は原則として変更することが困難である。例えば、指紋を例にすると、変更できるデータの数は概ね20(手足の指の数)である。従って、万が一、生体情報が漏洩(例えば、記憶装置の盗難等)すると、その後、生体情報を新たに登録できなくなる虞がある。この場合、以後同一の生体認証装置を適用する機器やシステムを使用できなくなるという問題がある。
【0007】
更に、生体認証情報は暗証番号等以上に個人のプライバシーに直結する情報である。そのため生体情報の保管・管理には従来からの暗証番号情報に対して施してきた種々の安全管理以上の注意が必要である。
【0008】
本発明は、上記課題を解決するためになされたものであり、その目的とするところは、認証システムにおいて、認証情報の漏洩を防止し、その保管・管理上の安全性を向上させることにある。
【課題を解決するための手段】
【0009】
上記課題を解決するため、請求項1に記載の発明は、使用者から認証情報を取得する認証情報取得部と、前記認証情報と予め登録された登録認証情報とを照合することにより使用者認証を行う認証部と、前記登録認証情報を記憶する記憶部と、を備える複数の端末装置が通信可能に接続されてなる認証システムであって、
前記複数の端末装置のそれぞれに、
前記登録認証情報を他の端末装置を含む少なくとも2以上の記憶部に分散して格納するとともに、前記認証部により使用者認証を行う際に、前記他の端末装置を含む他の端末装置の記憶部に分散して格納された前記登録認証情報の読み出しを行う制御部を備えることを特徴とする。
【0010】
請求項2に記載の発明は、請求項1に記載の認証システムであって、
前記制御部は、前記登録認証情報を分割して分割ファイルを生成する分割部を備えることを特徴とする。
【0011】
請求項3に記載の発明は、請求項2に記載の認証システムであって、
前記制御部は、前記分割ファイルのうち、少なくとも1つの分割ファイルを前記他の端末装置の記憶部に記録させる記録制御部を備えることを特徴とする。
【0012】
請求項4に記載の発明は、請求項2又は3に記載の認証システムであって、
前記制御部は、前記他の端末装置の記憶部から前記分割ファイルを読み出す読み出し制御部を備えることを特徴とする。
【0013】
請求項5に記載の発明は、請求項4に記載の認証システムであって、
前記制御部は、前記他の端末装置の記憶部から読み出した前記分割ファイルから前記登録認証情報を再生成する再生成部を備えることを特徴とする。
【0014】
請求項6に記載の発明は、請求項3から5のいずれか一項に記載の認証システムであって、
前記制御部は、前記分割ファイルに基づいて前記分割ファイルのパリティファイルを生成するパリティファイル生成部を更に備え、
前記記録制御部は、前記分割ファイル及び前記パリティファイルのうち、少なくとも1つの分割ファイル及び/又はパリティファイルを前記他の端末装置の記憶部に記憶させることを特徴とする。
【0015】
請求項7に記載の発明は、請求項6に記載の認証システムであって、
前記制御部は、前記再生成部で前記登録認証情報の再生成を行う際、前記分割ファイルの不足を検出する検出部を更に備え、
前記検出部により分割ファイルの不足が検出される場合、前記読み出し制御部は、前記パリティ情報を読み出し、
前記再生成部は、前記分割ファイル及び前記パリティファイルに基づいて、前記登録認証情報の再生成を行うことを特徴とする。
【0016】
請求項8に記載の発明は、請求項3から7のいずれか一項に記載の認証システムであって、
前記制御部は、前記他の端末装置の記憶部に記録させる分割ファイル及び/又はパリティファイルの符号化並びに前記他の端末装置の記憶部から読み出した符号化された分割ファイル及び/又はパリティファイルの復号化を行う暗号化部を更に備えることを特徴とする。
【0017】
請求項9に記載の発明は、請求項5から8のいずれか一項に記載の認証システムであって、
前記制御部は、前記再生成部により再生成された前記登録認証情報を、前記認証部が使用者認証を行った後に消去する消去部を更に備えることを特徴とする。
【0018】
請求項10に記載の発明は、請求項1から9のいずれか一項に記載の認証システムであって、前記認証情報は、生体認証情報であり、前記登録認証情報は、登録生体認証情報であることを特徴とする。
【発明の効果】
【0019】
請求項1、2、3、4又は5に記載の発明によれば、記憶部に登録認証情報を記憶した複数の端末装置が通信可能に接続されているため、登録認証情報を複数の端末装置の記憶部に分散して格納することができる。このため1つの端末装置から認証情報が漏洩したとしても、登録認証情報の全てが漏洩する危険性を著しく低下させることができる。
【0020】
請求項6に記載の発明によれば、パリティファイルも他の端末に格納することができる。
【0021】
請求項7に記載の発明によれば、検出部を更に備えることで、分割ファイルの不足を検出することができ、検出部が分割ファイルの不足を検出すると、読み出し制御部がパリティ情報を読み出すことができ、この読み込んだパリティファイルと読み込んだ分割ファイルとに基づいて登録認証情報の再生成を行うことができる。従って、通信障害、一部の端末装置の故障や盗難により、分割ファイルの一部が欠損した場合でも、認証部が使用者認証を行うことができるという効果がある。
【0022】
請求項8に記載の発明によれば、暗号化部を更に設けることで、分割ファイル及び/又はパリティファイルを他の端末装置の記憶部に記録させる場合にこれらファイルを符号化することができ、他の端末装置の記憶部から符号化された分割ファイル及び/又はパリティファイルを読み出す場合に、これらファイルを復号化することができる。これにより通信時における分割ファイル及び/又はパリティファイルが漏洩する危険性を低下させることができ、認証情報の保管・管理上の安全性が更に向上するという効果がある。
【0023】
請求項9に記載の発明によれば、消去部を更に設けることで、認証部が使用者認証を行った後に再生成部で再生成した登録認証情報及び/又は認証情報取得部で取得した認証情報を消去するため、認証システム上に完全な認証情報が存在しなくなり、認証情報の全てが漏洩する危険性を更に低下させることができ、保管・管理上の安全性が更に向上するという効果がある。
【0024】
請求項10に記載の発明によれば、情報の漏洩等に対し、特に高度な安全性を必要とする生体情報を認証情報として利用する場合であっても、その保管・管理上の安全性をより高度に確保することができる。
【発明を実施するための最良の形態】
【0025】
次に、図を用いて本発明を実施するための最良の形態について説明する。本実施の形態では、図2に示すように、ネットワークNを介してデータ通信を可能に接続された複数のMFP(Multi Function Periferal)2a、2b、2c及び2dにより構成された画像形成システム1に適用した例を示す。図2において、MFP2a、2b、2c及び2dは、例えば電子写真プロセスにより印刷を行う画像形成機能、原稿画像を読取って画像データを取得するスキャン機能及びネットワークI/F(インターフェース)部16を介して画像データの送受信を行う通信機能等を備えた多機能型複写機である。MFP2a、2b、2c及び2dは、USBケーブル6を介してPC5と接続され(図2では、MFP2aのみが接続されている状態を示している。)制御系をPC5側に備える構成とすることも可能である。本実施の形態では、MFP2a側に制御系を備える構成を適用する。
【0026】
また、MFP2a、2b、2c及び2dは、使用者認証機能をする。使用者認証機能は、ID番号の入力を要求し予め登録された登録ID番号情報と一致するか否かを判定処理した後、生体認証情報の入力を要求し、予め登録された登録生体認証情報と一致するか否かの判定を行うものである。ID番号情報及び生体認証情報を用いて2段階の判定処理を行う構成とすることで、認証の信頼性を向上することができる。
【0027】
更に、本実施形態における画像形成システム1は、登録生体認証情報を、システムを構成するMFP2a、2b、2c及び2dにそれぞれ備えられた記憶部に分散格納することを特徴とする。より具体的には、MFP2a、2b、2c及び2dに構築されたデータベース(DB)3a、3b、3c及び3dのそれぞれに、1つの登録生体認証情報を分割して格納するようになっている。図4に、各データベース3a、3b、3c及び3dと分散格納された登録生体認証情報との関係を模式的に示す。図4において、ある使用者の登録生体認証情報である登録生体認証情報25は、分割ファイルa、分割ファイルb及び分割ファイルcの3つのデータに分割され、夫々分割ファイルaはデータベース3aに、分割ファイルbはデータベース3bに、分割ファイルcはデータベース3cに格納される。また、データベース3dには、分割ファイルa、b及びcから所定の演算により得ることのできるパリティを格納したパリティファイルP(a、b、c)が格納される。以下、同様に生体認証情報26、27、28についても、分割により分割ファイル及びそのパリティファイルが生成され、その後、データベース3a、3b、3c及び3dに分散格納されるようになっている。
【0028】
以下に、MFP2a、2b、2c及び2dの構成について説明するが、これらは原則として同一の構成を有する。よって、以下の説明では、簡単のために主にMFP2aについて説明し、構成及び機能が共通する部分についてはMFP2b、2c及び2dの説明を省略する。
【0029】
図1のブロック図に、MFP2aの構成を示す。MFP2aは、CPU10、ROM11、RAM12、ハードディスク等から構成される記憶部13、使用者の指紋を読取り生体認証情報としての指紋画像データを取得する生体認証情報取得部4a、TFT素子等から構成される表示モニタであり、MFP2aでの各種処理や使用者に対する案内情報を表示するとともに、タッチパネルを適用し各種の指示信号を入力する入力装置としての機能を兼ね備えた表示/操作入力部15、ネットワークNを介して他のMFP2b、2c、2d及びPC5等の外部機器とのデータ通信を行うネットワークI/F部16、原稿画像を読取って画像データを取得するスキャナ部17及び電子写真プロセスにより記録媒体上に画像を形成する画像形成部18から構成される。
【0030】
CPU10では、記憶部13(又はROM11)に記憶されたオペレーションプログラム、生体認証情報の認証処理を行う「認証判定プログラム」及び生体認証情報の登録処理を行う「認証登録プログラム」を読み出し、ワークエリアとしてのRAM12上にこれらプログラムを展開してMFP2aの全体制御、「認証判定処理」及び「認証登録処理」が行われる。「認証判定処理」及び「認証登録処理」については後述する。
【0031】
記憶部13は、上述の各種プログラムとともに、登録ID番号情報と、分割された登録生体認証情報である分割ファイルのファイル番号とを対応付けて記憶するデータテーブル20が記憶されている。図3にデータテーブル20の例を示す。例えば、登録ID番号情報「1234」に対応する分割ファイルを格納するファイルのファイル番号は「001−a」、「001−b」、「001−c」及び「001−P」である。更に、登録ID番号情報「1234」に対応するこれら分割ファイルのファイル番号が、MFP2a、2b、2c及び2dの何れに格納してあるかの対応付けがなされている。
【0032】
従って、CPU10は、このデータテーブル20を参照しながら、表示/操作入力部15から入力されるID番号情報に対応する登録ID番号があるか否かの判断を行い、対応する登録ID番号がある場合、再びデータテーブル20を参照しながら、登録ID番号情報に対応するファイル番号を検出する。次いで、この抽出したファイル番号に基づいて分割ファイルを読み出し、登録生体認証情報の再生成を行う。その後、生体認証情報取得部4aから取得した使用者の生体認証情報と登録生体認証情報との比較を行い、一致する場合に、MFP2aのアクセス制限を解除するようになっている。
【0033】
また、上述のように、記憶部13に記憶された分割ファイルは、登録生体認証情報を分割することにより得られたものであるが、このような分割を行う手法は、例えばRAID(Redundant Arrays of Independent(Inexpensive) Disks)技術に用いられるような分散ファイル形式の処理により実現することができる。分散ファイル形式としては、例えば、RAID0、3、4、5及び6等の何れの方式を応用することができ、各仕様に合わせて盗難等の情報漏洩の防止を行うことができる。以下に、各方式の特徴を述べる。
【0034】
RAID0はストライピングを行うだけであるが、1つのデータベースに記録される登録生体情報は元の情報より少なく(最大に格納したとしても元の情報の1/2)、登録生体情報の保管・管理上の安全性の向上に資する。
【0035】
RAID3及び4は、ストライピングによる分散ファイル化に加えてパリティファイルを生成し、このパリティファイル専用のデータベースを独立して構築するものであるが、登録生体情報保護の安全性と欠損したデータの再生成を行うことができる。
【0036】
RAID5は、生体認証情報更新時に更新するパリティが異なるディスクに配置されている。このためRAID3及びRAID4の効果に加えて、ライト処理が多重で発行された場合でも同時に実行することができ、より高速に更新処理を行うことができるというメリットがある。
【0037】
RAID6は、登録生体認証情報更新時に更新するパリティを2重に作成し、夫々別のディスクに格納するため、2台のMFPに障害が発生しても、障害が発生した分のデータの再生を行うことができる。即ち、2重の障害に対応することができるというメリットがある。
【0038】
生体認証情報取得部4aは、使用者の指紋のパターンを読取る認証装置である。赤外線センサや静電容量センサ等から構成される。例えば、赤外線センサを適用する場合は、特定周波数の赤外線を生体認証情報取得部4aにかざされた指先に照射し、反射光の強さの変化を赤外線センサで検出する。この検出された変化を2値画像データとして捉え、CPU10に送信する様になっている。生体認証情報取得部4aは、使用上の利便性から、MPF2aの表示/操作入力部15の近傍等に設けるのが好ましい。
なお、生体認証情報取得部4aとして、使用者の手指の静脈パターン、虹彩、声紋、匂いあるいは使用者の歩き方などの動作的な特徴等、使用者固有の情報に基づいて認証を行う技術等の種々の技術を適用することも当然に可能である。
【0039】
表示/操作入力部15は、使用者の操作によりMFP2aに各種指示信号を入力するユーザインターフェースである。後述する「認証判定処理」及び「認証登録処理」で入力するID番号は、表示/操作入力部15に設けられたテンキーを介して行われる。なお、本実施の形態では、表示/操作入力部15を介して、4桁の数字をID番号として使用者の手により直接入力する構成としているが、カードリーダ等を設け、予め使用者の登録ID番号情報が記録された磁気カードやICカード等から登録ID情報を読み取る構成とする事も当然に可能である。
【0040】
ネットワークI/F部16は、図示しないメールサーバ及びFPTサーバとの外部通信(MFP2aの操作指示信号の受信や読み込んだ画像データ等の送信)を行うものである。
ネットワークNとしては、LAN(Local Area Network)、MAN(Metropolitan Area Network)、WAN(Wide Area Network)及びインターネット等と接続されており、他のMFP2b、2c及び2dから送信された画像データを受信して複写や印刷を行うことができるようになっている。
特に、本実施の形態では、「認証登録処理」や「認証判定処理」において、使用者の生体認証情報である指紋画像データを分割した分割ファイル及びパリティファイルを送受信することができるようになっている。分割ファイル及びパリティファイルを送受信する際に、CPU10から送信される指示信号に基づいて、SSL(Secure Socket Layer)等の暗号化処理を施したデータを送受信するようになっており、ネットワークN上でのデータ通信の安全性及び信頼性を確保するよう構成されている。
【0041】
スキャナ部17は、読取り原稿に対し光を照射し、反射される光をCCD(Charge Coupled Device)イメージセンサやCMOS(Complementary Metal−Oxide Semiconductor)イメージセンサ等の光電変換素子で捉え、捉えたアナログの電気信号から図示しないA/D変換器で多値のデジタル信号に変換しCPU10に出力するものである。
【0042】
画像形成部18は、スキャナ部17が取得した画像データあるいはPC5から送信された画像データに基づいて電子写真プロセスにより記録媒体上に画像を形成するものである。記憶媒体上にインクを吐出するいわゆるインクジェット方式等の種々の画像形成機構を適用することも可能である。
【0043】
次に、CPU10で行われる「認証判定処理」及び「認証登録処理」について、図5から図9に示すフロー図を用いて説明する。なお、以下の説明では、便宜上MFP2aをホスト端末、他のMFP2b、2c、2dをクライアント端末として「認証判定処理」及び「認証登録処理」を実行する例について述べるが、画像形成システム1は何れのMFPから「認証判定処理」及び「認証登録処理」を行うことができ、この「認証判定処理」及び「認証登録処理」において、使用者からの操作入力を受けるMFPがホストとして機能する。
【0044】
先ず、「認証登録処理」について説明する。以下の説明では、MFP2aをホスト及びその制御部たるCPUをホストCPU10と呼ぶ。更に、分散ファイルデータ又はパリティファイルの送信を受けるMFP2b、2c、2dをクライアント及びこれらの制御部たるCPUをクライアントCPU10と呼ぶ。
【0045】
図5のホスト側の処理手順を示すフロー図において、ステップS101で、ホストCPU10は、使用者によって表示/操作入力部15が操作され、認証登録処理モードに設定されることで、認証情報の登録を行う旨及びID番号の入力を指示する旨の案内表示を表示し、この案内表示に従い使用者からID番号の入力が行われることでID番号情報を取得し、RAM12に一時記憶を行う。
【0046】
ステップS102で、ホストCPU10は、表示/操作入力部15に、生体認証情報取得部2aに所定の指をかざすことを指示する旨の案内表示を表示し、この案内表示に従い生体認証情報取得部4aにかざされた使用者の指から指紋画像データを取得し、RAM12に一時記憶する。
【0047】
ステップS103で、ホストCPU10は、指紋画像データを所定のデータ量を基準データ単位として分割し、分割ファイルa、b及びcという3つのファイル(図4参照)を生成する分割処理を実行する。指紋画像データの分割は、指紋画像データの総データ量を、システムを構成する全てのMFPの数:Nからパリティファイルデータを格納するMFPの分の数:1を減じたN−1(本実施の形態では「3」)で除算して基準データ単位を求め、指紋画像データの先頭から順に、基準データ単位に基づいて分割を行う(指紋画像データの総量が120kbyteであれば、分割ファイル1つあたりのデータ量は40kbyte)。この分割処理により分割ファイルa、b及びcを生成しRAM12に一時記憶する。
なお、基準データ値の算出は、これ以外にも指紋画像データの総データ量を予め設定された所定の値で除算して求めてもよいし、基準データ値自体を予め設定する構成としてもよい。
【0048】
ステップS104で、ホストCPU10は、ステップS104で分割した分割ファイルa、b及びcからXOR(排他的論理和)の演算によりパリティを求め、パリティファイルPを生成しRAM12に一時記憶する。
【0049】
ステップS105で、ホストCPU10は、ステップS101で取得したID番号情報と、ステップS103で生成した分割ファイルa、b、c及びステップS104で生成したパリティファイルをファイル番号と対応付ける処理を行い、この対応関係をデータテーブル20(図3)に記録する。
【0050】
ステップS106で、ホストCPU10は、ステップS105で対応付けを行った分割ファイルのうち1つの分割ファイル(ここでは分割ファイルaとする)を記憶部13に記憶する。
【0051】
ステップS107で、ホストCPU10は、ネットワークI/F部16を介してMFP2b、2c及び2dに、新規使用者に関するID番号情報及び指紋画像データの登録を要求する使用者新規登録要求信号を送信する。
【0052】
図6のクライアント側の処理手順を示すフロー図において、ステップS201で、クライアントは、ホストから送信された使用者新規登録要求信号を受信する。この使用者新規登録要求信号の受信により、クライアントCPU10は、使用者新規登録処理を開始する。
【0053】
ステップS202で、クライアントCPU10は、ステップS201で受信した使用者新規登録要求信号に対して使用者新規登録応答信号をホスト側に送信する。
【0054】
図5に戻り、ステップS108で、ホストは、クライアント側から送信された使用者新規登録応答信号を受信し、ホストCPU10は、この使用者新規登録応答信号の受信により、各クライアント(MFP2b、2c及び2d)とデータ通信が可能であることを確認し、ステップS109の処理に進む。
【0055】
ステップS109で、ホストCPU10は、分割ファイルb、c及びパリティファイルPにSSLによる符号化を行う。
次いで、ステップS110で、ホストCPU10は、各データファイルのヘッダ部にID番号情報及びファイル番号との対応関係を示すデータテーブル20の情報を記録し、分割ファイルbをMFP2bに、分割ファイルcをMFP2cに、パリティファイルPをMFP2dに夫々送信する。
【0056】
図6において、ステップS203で、ホスト側から送信された分割ファイルb、c又はパリティファイルとを夫々クライアントであるMFP2b、2c及び2dが受信する。
【0057】
ステップS204で、クライアントCPU10は、分割ファイル又はパリティファイルの復号化を行う。
次いで、ステップS205で、クライアントCPU10は、分割ファイル又はパリティファイルの登録処理を開始する。この登録処理では、クライアントCPU10が、ファイルヘッダに記憶させたID番号情報及びデータテーブル20の情報(ファイル番号との対応関係を示す)を読み込み、クライアントに設けられているデータテーブル20(図3参照)に記憶を行う。
【0058】
ステップS206で、クライアントCPU10は分割ファイルb、c又はパリティファイルPを夫々記憶部13のハードディスクに記憶する。これにより、MFP2b、2c及び2dのデータベース3b、3c及び3dに、分割ファイル又はパリティファイルが記憶され、画像形成システム1上で特定個人の指紋画像データが分散格納されたこととなる。
【0059】
ステップS207で、クライアントCPU10は、ホストに対し、使用者登録が完了した旨を示す使用者登録完了信号の送信を行う。
【0060】
図5に戻り、ステップS111で、ホスト側は使用者登録完了信号を受信し、ホストCPU10は、ステップS112の処理に進む。
ステップS112において、ホストCPU10は、クライアントのRAM上に一時記憶されているID番号情報と、分割ファイル又はパリティファイルとの削除要求を示す削除要求信号をクライアント側に送信する。
【0061】
図6において、ステップS208で、クライアントは削除要求信号を受信する。
次いで、ステップS209で、クライアントCPU10は、RAM12に一時記憶したID番号情報と、分割ファイル又はパリティファイルとの削除を行う。これにより、クライアントには、認証情報として記憶部13に記憶した登録ID番号情報と、各クライアントに分散格納された分割ファイルの何れか1つ又はパリティファイルしか存在しないこととなる(例えば、MFP2bの記憶部13には、登録ID番号情報、分割ファイルb及びデータテーブル20の情報しか記憶されていない。)。
【0062】
ステップS210で、クライアントCPU10は、RAM12に一時記憶したID番号情報と、分割ファイル又はパリティファイルとの削除を完了した旨を示す削除完了信号をホストに送信する。
【0063】
図5に戻り、ステップS113で、ホストは、クライアント側から送信された削除完了信号を受信する。
次いで、ステップS114で、ホストCPU10は、全てのクライアント(即ち、MFP2b、2c及び2dの全て)から削除完了信号を受信したか否かを判断し、全てのクライアントから受信したと判断する場合は、ステップS115に進む(ステップS113:YES)。逆に、ホストCPU10は、全てのクライアントから受信していないと判断する場合は、受信するまで待機する(ステップS114:NO)。なお、このステップS114がNOである場合は、全てのクライアントから削除完了信号を受信するまで一定時間待機した後、ステップS115に進む処理としてもよい。
【0064】
ステップS115で、ホストCPU10は、ホストのRAM12に一時記憶したID番号情報、指紋画像データ、分割ファイル及びパリティファイルを消去する処理を行う。ホストのRAM12には、生体認証情報に関する全てのデータが一時記憶されているからである。これら情報をホストのRAM12から削除することで、画像形成システム1上に使用者の生体認証情報を100%の形で保管するデータベースが存在しないことになり、生体認証情報に対する安全性がより向上することとなる。
以上が「認証登録処理」である。これ以後、使用者は登録ID番号及び指紋画像データを入力し「認証判定処理」による照合処理を適正に通過することでMFP2a、2b、2c又は2dの何れをも使用することができるようになる。
【0065】
次に、画像形成システム1における「認証判定処理」について、図7、図8及び図9のフロー図を用いて説明する。なお、「認証判定処理」においても、MFP2aをホスト及びその制御部であるCPU10をホストCPU10とする。又、分割ファイルを格納するMFPをMFP2b及びMFP2cとし、これらを分割側クライアント及びその制御部を分割側クライアントCPU10と呼ぶ。更に、パリティファイルを格納するMFPをMFP2dとし、これをパリティ側クライアント及びその制御部であるCPU10をパリティ側クライアントCPU10と呼ぶ。図7にホスト、図8に分割側クライアント及び図9にパリティ側クライアントの処理手順を夫々示す。
【0066】
図7に示す、ホストの処理手順を示すフロー図において、ステップS301で、ホストCPU10は、表示/操作入力部15を介して入力される、使用者のID番号情報を取得する。
ステップS302で、ホストCPU10は、データテーブル20を参照し、取得したID番号情報の検索を行う。
【0067】
ステップS303において、ホストCPU10は、検索の結果、データテーブル20に該当する登録ID番号情報がデータテーブル20に登録(有る)されているか否かを判断する。ホストCPU10は、登録されていると判断する場合、ステップS304に進む。逆に、ホストCPU10は、登録されていないと判断する場合、ステップS317に進む。
【0068】
ステップS304で、ホストCPU10は、生体認証情報取得部4aから使用者の指紋画像データを取得し、RAM12に一時記憶する。
ステップS305で、ホストCPU10は、データテーブル20を参照し、登録ID番号情報に対応する分割ファイルを格納する分割側クライアント(MFP2b及び2c)を認識し、これら分割側クライアントに分割ファイルの送信要求信号を送信する。なお、このときホストCPU10は、分割ファイルの送信要求信号とともに登録ID番号情報も送信する。
【0069】
図8に示す分割側クライアントの処理手順を示すフロー図において、ステップS401で、分割側クライアントは分割ファイルの送信要求信号を受信する。
次いで、ステップS402で、分割側クライアントCPU10は、ステップS401で受信した分割ファイルの送信要求信号の送信元を確認する処理を行う。具体的には、分割ファイルの送信要求信号に含まれる送信元のMACアドレスと、予め通信許可がなされた端末の一覧を記憶したテーブル(不図示)とを比較する。
【0070】
ステップS403で、分割側クライアントCPU10は、送信元が通信許可を与えられた端末であると判断する場合(送信元のMACアドレスが、上述のテーブルに記憶されている場合)、ステップS404に進む。逆に、分割側クライアントCPU10は、送信元が通信許可を与えられていないと判断する場合(送信元のMACアドレスが、上述のテーブルに記憶されていない場合)、本フローを抜け処理を終了する。
【0071】
ステップS404で、分割側クライアントCPU10は、分割ファイルの送信要求信号とともに送信された登録ID番号情報に基づいて、データテーブル20から対応するファイル番号を検出し、記憶部13から分割ファイル30b又は30cを読み出し、SSLにより符号化処理を実行する。
ステップS405で、分割側クライアントCPU10は、符号化した分割ファイルをホストに送信する。
その後、ステップS406で、分割側クライアントのRAM12に一時記憶されているヘッダ情報と、分割ファイルb又はcを消去する処理を行う。
【0072】
図7に戻り、ステップS306でホストは分割ファイルを受信する。
ステップS307で、ホストCPU10は、クライアントに格納されている全ての分割ファイルb及びcを受信したか否かを判断する。具体的には、データテーブル20を参照し、クライアントに格納されている分割ファイルb及びcを認識し、受信した分割ファイルのヘッダ情報と比較しこれら分割ファイルであるか否かを判断する。ホストCPU10は、該当する全ての分割ファイルを受信したと判断する場合、ステップS308に進む(ステップS307:YES)。逆に、ホストCPU10は、全ての分割ファイルを受信していない即ち未受信ファイルがあると判断する場合、ステップS313に進む(ステップS307:NO)。このステップS313の処理については、後述する。
【0073】
ステップS308で、ホストCPU10は、ステップS306で受信した符号化された分割ファイルの復号化を行う。
ステップS309で、ホストCPU10は、ホストの記憶部13に格納した分割ファイルaを読み出し、この分割ファイルaと、復号化した分割ファイルb及びcとから指紋画像データの生成処理を行う。
【0074】
ステップS310で、ホストCPU10は、ステップS309で生成した指紋画像データと、ステップS304で生体認証情報取得部4aから取得した指紋画像データとの照合処理を行う。照合処理では、ホストCPU10は、ピクセル毎に両画像データの一致又は不一致を検出し、全画像データの一致率が所定の基準値以上であるか否かを判断する。
ステップS311で、ホストCPU10は、両画像データが一致すると判断する場合、ステップS312に進む(ステップS311:YES)。逆に、ホストCPU10は、両画像データが一致しない(不一致)と判断する場合、ステップS317の処理に進む(ステップS311:NO)。
【0075】
ステップS312で、ホストCPU10は、ホスト(MFP2a)のアクセス制限を解除する処理を行う。これにより、使用者はMFP2aの各種機能を使用することができるようになる。
【0076】
次に、ステップS307の判断で、ホストCPU10が、クライアントに格納した全ての分割ファイルを受信していない(未受信ファイルがある)と判断し、ステップS313の処理に進む場合について説明する。
【0077】
ステップS313で、ホストCPU10は、未受信ファイルの数が1つであるか否かを判断する。即ち、本実施の形態ではRAID5の技術を応用しているため、2以上の分割ファイルが消失した状態では、パリティファイルを使用して欠損ファイルを生成できないためである。
ホストCPU10は、未受信ファイルが1つであると判断する場合、ステップS314に進む(ステップS313:YES)。ホストCPU10は、未受信ファイル数が2以上である場合、ステップS317に進む(ステップS313:NO)。
【0078】
ステップS314で、ホストCPU10は、データテーブル20を参照し、パリティファイルを格納するパリティ側クライアントを検出し、このパリティ側クライアントにパリティファイルの送信要求信号を送信する。このときホストCPU10は、パリティファイルの送信要求信号とともに登録ID番号情報もパリティ側クライアントに送信する。
なお、ホストCPU10は、パリティファイルがホストの記憶部13に記憶されている場合、パリティファイルの送信要求信号の送信を行わずに、パリティファイルを記憶部13から読み出し、ステップS316の処理に進む。
【0079】
図9のパリティ側クライアントの処理手順を示すフロー図において、ステップS501で、パリティ側クライアントはパリティファイルの送信要求信号を受信する。
次いで、ステップS502で、パリティ側クライアントCPU10は、ステップS501で受信したパリティファイルの送信要求信号の送信元を確認する処理を行う。即ち、パリティファイルの送信要求信号に含まれる送信元のMACアドレスと、予め通信許可がなされた端末の一覧を記憶したテーブル(不図示)とを比較する。
【0080】
ステップS503で、パリティ側クライアントCPU10は、送信元が通信許可を与えられた端末であると判断する場合(送信元のMACアドレスが、上述のテーブルに記憶されている場合)、ステップS504に進む(ステップS503:YES)。逆に、パリティ側クライアントCPU10は、送信元が通信許可を与えられていないと判断する場合(送信元のMACアドレスが、上述のテーブルに記憶されていない場合)、本フローを抜け処理を終了する(ステップS503:NO)。
【0081】
ステップS504で、パリティ側クライアントCPU10は、パリティファイルの送信要求信号に含まれる登録ID番号情報に基づいて、データテーブル20から対応するファイル番号を検出し、記憶部13からパリティファイルを読み出し、SSLにより符号化処理を実行する。
ステップS505で、パリティ側クライアントCPU10は、符号化した分割ファイルをホストに送信する。
その後、ステップS506で、パリティ側クライアントのRAM12に一時記憶されているID番号情報及びパリティファイルを消去する処理を行う。
【0082】
図7に戻り、ステップS315で、ホストCPU10は、パリティファイルを受信する。
次いで、ステップS316で、ホストCPU10は、パリティファイル及びステップS306で受信することができた分割ファイル(分割ファイルb又はc)に基づいて、未受信ファイルの生成処理を行う。
【0083】
その後、ホストCPU10はステップS309に進み、このステップでホストCPU10は、ステップS316で生成した未受信ファイルと、ステップS306で分割側クライアントから受信した分割ファイルbあるいはcと、ホストの記憶部13から読み出した分割ファイルaとに基づいて、指紋画像データを生成する処理を行う。以降の処理は上述のステップS310からステップS312と同様である。
【0084】
最終ステップであるステップS317で、ホストCPU10は、RAM12に一時記憶しているID番号情報、生体認証情報取得部4aから取得した指紋画像データ、ステップS309で生成した指紋画像データ、ステップS306で受信した分割ファイルb及び/又はc、ステップS315で取得したパリティファイル、ステップS316でパリティファイルから生成した未受信データファイル等を消去する処理を行う。これにより、ホスト上から指紋画像データを削除することができ、生体認証情報を画像形成システム1で分散格納した状態に戻すことができる。
【0085】
以上、本実施の形態における画像形成システム1によれば、生体認証情報である指紋画像データを分割して分割ファイルを生成し、ネットワーク上で接続された他のMFPにこの分割ファイルを分散格納するため、万が一、(例えば、1つの)MFPが盗難され情報の漏洩が発生しても、指紋画像データの全体が漏洩することがなく、生体認証情報の保管・管理上の安全性が確実に向上するという効果がある。
【0086】
特に、指紋等の生体認証情報は、内容の変更ができず、又、個人のプライバシーに大きく影響するという特有の事情を有する情報である。本実施の形態における画像形成システムによれば、このような特有の事情を有する情報の保管・管理上の安全性に優れ、生体情報による認証技術におけるデメリットを克服することができるという優れた効果がある。
【0087】
また、上述の画像形成システム1では、ID番号情報と生体認証情報というの2段階の認証処理を行う構成としているが、生体認証情報のみに基づいて認証処理を行う構成とする事も当然にできる。この場合、ID番号情報にかえて各分割ファイルのファイル名に基づいて、ホスト―クライアント間の分割ファイル及びパリティファイルの送受信を行う構成とすればよい。
【0088】
また、パリティファイルを生成することで、ネットワーク上の障害やMFPの故障・盗難に起因して分割ファイルの一部が未受信となっても、正常に受信した分割ファイル及びパリティファイルに基づいて、この未受信の分割ファイルを再生成し指紋画像データを再生成することができるという効果がある。
【0089】
また、画像形成システム1は、他のMFPから受信した分割ファイルから指紋画像データを再生成し、RAM12上に一時記憶して使用者認証処理を行う構成としているが、この使用者認証処理が完了した後、RAM12上に一時記憶された指紋画像データ及び生体認証情報取得部2aから取得した指紋画像データを消去する構成としている。このためRAM12上に一時的に記憶されている再生成された指紋画像データ及び生体認証情報取得部2aから取得した指紋画像データからの情報漏洩の虞もなく、生体認証情報の保管・管理の安全性を更に向上させるという効果がある。
【0090】
以上、本発明を実施するための最良の形態について説明したが、本発明は上述した種々の例に限定されるものではない。
【図面の簡単な説明】
【0091】
【図1】本発明を実施するための最良の形態における画像形成システムの機能構成を示したブロック図である。
【図2】図1に示すMFPの外部接続環境の例を示した模式図である。
【図3】図1に示すMFPに格納されるID番号、分割ファイル並びにパリティファイルのファイル番号及び分割ファイルを格納するMFPの対応関係の例を示したデータテーブルの模式図である。
【図4】図1に示す複数のデータベースに格納される分割ファイル及びパリティファイルを格納する例を示した模式図である。
【図5】本発明を実施するための最良の形態における認証登録処理のホスト側の処理手順を示したフロー図である。
【図6】本発明を実施するための最良の形態における認証登録処理のクライアント側の処理手順を示したフロー図である。
【図7】本発明を実施するための最良の形態における認証判定処理のホスト側の処理手順を示したフロー図である。
【図8】本発明を実施するための最良の形態における認証判定処理の分割ファイル格納クライアント側の処理手順を示したフロー図である。
【図9】本発明を実施するための最良の形態における認証判定処理のパリティファイル格納クライアント側の処理手順を示したフロー図である。
【符号の説明】
【0092】
1 画像形成システム
2a、2b、2c、2d MFP
3a、3b、3c、3d データベース
4a、4b、4c、4d 生体認証情報取得部
5 PC
10 CPU
11 ROM
12 RAM
13 記憶部
15 表示/操作入力部
16 ネットワークI/F部
17 スキャナ部
18 画像形成部
20 データテーブル
25、26、27,28 登録生体認証情報
N ネットワーク
【技術分野】
【0001】
本発明は、認証システムに関し、特に、生体認証情報に基づいて使用制限を行う生体認証機能を有する複数の端末装置を通信可能に接続した認証システムに関する。
【背景技術】
【0002】
近年、情報通信技術の発達により、電気・電子機器に格納する情報の保守・管理が、ますます重要な課題となっている。例えば、特許文献1には、電気・電子機器に記録した情報を分散させる分散ファイル技術に関する発明が開示されている。即ち、データディスクドライブを有する複数のコンピュータを、夫々ネットワークを介して相互に接続させ、RAID(Redundant Arrays of Inexpensive Disks)等のディスクアレイ技術をネットワークシステム上で実現させたものである。1つのデータを複数のコンピュータに分散して格納するため、地震や火災等でネットワーク上に接続されるコンピュータの一部が故障・停止してもデータの完全な消失を防止することができる。また、パリティ情報を備えることで、故障・停止した端末に格納されていたデータファイルを復元し、他の端末に分散されたデータファイルとともにデータを完全に復元することが可能となっている。
【0003】
また、電気・電子機器の保守・管理の安全性に関する技術として認証技術が挙げられる。近年、電気・電子機器に使用者認証(いわゆる使用者認証)を行う認証機能を搭載することが一般化している。使用者認証技術としては、暗証番号等を設定するのが一般的であるが、近年では、使用者の身体における特徴的な部分を認証情報として利用する生体認証技術(いわゆるバイオメトリックス認証技術)が実用段階で普及している。生体認証技術としては、指紋、手指の静脈パターン、虹彩、声紋、キーストローク、DNA、匂いあるいは使用者の歩き方などの動作的な特徴等、使用者固有の情報に基づいて認証を行う技術が知られており、暗証番号等に比して個人の特定性が格段に高い技術として種々の技術分野で応用されている。
【0004】
使用者認証を行う装置は、認証処理を行う際に、入力装置から入力される認証情報と照合する基準となる認証情報を予め装置内あるいは外部の記憶装置に記憶しておくようになっている。即ち、認証処理時に入力装置を介して使用者から認証情報が入力されると、事前に記憶装置に記録(登録)された登録認証情報を読み出し、両者の比較照合を行い、その一致率に基づいて同一であるか否かの判定を行う構成となっている。
【特許文献1】特開平5−324579号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
ところで、認証情報の内でも特に生体認証情報は、暗証番号等とは異なる特有の性質を有する情報である。即ち、生体認証情報は個人の特定性に優れるという利点があるが、事後にその内容を変更することが困難であるという問題がある。
【0006】
生体認証装置は、先ず、生体認証情報を記憶(設定)させ、使用者認証時に生体認証情報の入力を要求し、この入力された情報と予め記憶(設定)された登録生体認証情報との照合を行うという構成からなる。したがって、生体認証装置の記憶部には常に生体認証情報が保管されており、万が一、生体認証装置自体が盗難されると、生体認証情報が全て漏洩するという問題がある。
また、単なる数字や記号の配列である暗証番号等であれば、情報の漏洩後に暗証番号の変更を行うことができるが、生体情報は原則として変更することが困難である。例えば、指紋を例にすると、変更できるデータの数は概ね20(手足の指の数)である。従って、万が一、生体情報が漏洩(例えば、記憶装置の盗難等)すると、その後、生体情報を新たに登録できなくなる虞がある。この場合、以後同一の生体認証装置を適用する機器やシステムを使用できなくなるという問題がある。
【0007】
更に、生体認証情報は暗証番号等以上に個人のプライバシーに直結する情報である。そのため生体情報の保管・管理には従来からの暗証番号情報に対して施してきた種々の安全管理以上の注意が必要である。
【0008】
本発明は、上記課題を解決するためになされたものであり、その目的とするところは、認証システムにおいて、認証情報の漏洩を防止し、その保管・管理上の安全性を向上させることにある。
【課題を解決するための手段】
【0009】
上記課題を解決するため、請求項1に記載の発明は、使用者から認証情報を取得する認証情報取得部と、前記認証情報と予め登録された登録認証情報とを照合することにより使用者認証を行う認証部と、前記登録認証情報を記憶する記憶部と、を備える複数の端末装置が通信可能に接続されてなる認証システムであって、
前記複数の端末装置のそれぞれに、
前記登録認証情報を他の端末装置を含む少なくとも2以上の記憶部に分散して格納するとともに、前記認証部により使用者認証を行う際に、前記他の端末装置を含む他の端末装置の記憶部に分散して格納された前記登録認証情報の読み出しを行う制御部を備えることを特徴とする。
【0010】
請求項2に記載の発明は、請求項1に記載の認証システムであって、
前記制御部は、前記登録認証情報を分割して分割ファイルを生成する分割部を備えることを特徴とする。
【0011】
請求項3に記載の発明は、請求項2に記載の認証システムであって、
前記制御部は、前記分割ファイルのうち、少なくとも1つの分割ファイルを前記他の端末装置の記憶部に記録させる記録制御部を備えることを特徴とする。
【0012】
請求項4に記載の発明は、請求項2又は3に記載の認証システムであって、
前記制御部は、前記他の端末装置の記憶部から前記分割ファイルを読み出す読み出し制御部を備えることを特徴とする。
【0013】
請求項5に記載の発明は、請求項4に記載の認証システムであって、
前記制御部は、前記他の端末装置の記憶部から読み出した前記分割ファイルから前記登録認証情報を再生成する再生成部を備えることを特徴とする。
【0014】
請求項6に記載の発明は、請求項3から5のいずれか一項に記載の認証システムであって、
前記制御部は、前記分割ファイルに基づいて前記分割ファイルのパリティファイルを生成するパリティファイル生成部を更に備え、
前記記録制御部は、前記分割ファイル及び前記パリティファイルのうち、少なくとも1つの分割ファイル及び/又はパリティファイルを前記他の端末装置の記憶部に記憶させることを特徴とする。
【0015】
請求項7に記載の発明は、請求項6に記載の認証システムであって、
前記制御部は、前記再生成部で前記登録認証情報の再生成を行う際、前記分割ファイルの不足を検出する検出部を更に備え、
前記検出部により分割ファイルの不足が検出される場合、前記読み出し制御部は、前記パリティ情報を読み出し、
前記再生成部は、前記分割ファイル及び前記パリティファイルに基づいて、前記登録認証情報の再生成を行うことを特徴とする。
【0016】
請求項8に記載の発明は、請求項3から7のいずれか一項に記載の認証システムであって、
前記制御部は、前記他の端末装置の記憶部に記録させる分割ファイル及び/又はパリティファイルの符号化並びに前記他の端末装置の記憶部から読み出した符号化された分割ファイル及び/又はパリティファイルの復号化を行う暗号化部を更に備えることを特徴とする。
【0017】
請求項9に記載の発明は、請求項5から8のいずれか一項に記載の認証システムであって、
前記制御部は、前記再生成部により再生成された前記登録認証情報を、前記認証部が使用者認証を行った後に消去する消去部を更に備えることを特徴とする。
【0018】
請求項10に記載の発明は、請求項1から9のいずれか一項に記載の認証システムであって、前記認証情報は、生体認証情報であり、前記登録認証情報は、登録生体認証情報であることを特徴とする。
【発明の効果】
【0019】
請求項1、2、3、4又は5に記載の発明によれば、記憶部に登録認証情報を記憶した複数の端末装置が通信可能に接続されているため、登録認証情報を複数の端末装置の記憶部に分散して格納することができる。このため1つの端末装置から認証情報が漏洩したとしても、登録認証情報の全てが漏洩する危険性を著しく低下させることができる。
【0020】
請求項6に記載の発明によれば、パリティファイルも他の端末に格納することができる。
【0021】
請求項7に記載の発明によれば、検出部を更に備えることで、分割ファイルの不足を検出することができ、検出部が分割ファイルの不足を検出すると、読み出し制御部がパリティ情報を読み出すことができ、この読み込んだパリティファイルと読み込んだ分割ファイルとに基づいて登録認証情報の再生成を行うことができる。従って、通信障害、一部の端末装置の故障や盗難により、分割ファイルの一部が欠損した場合でも、認証部が使用者認証を行うことができるという効果がある。
【0022】
請求項8に記載の発明によれば、暗号化部を更に設けることで、分割ファイル及び/又はパリティファイルを他の端末装置の記憶部に記録させる場合にこれらファイルを符号化することができ、他の端末装置の記憶部から符号化された分割ファイル及び/又はパリティファイルを読み出す場合に、これらファイルを復号化することができる。これにより通信時における分割ファイル及び/又はパリティファイルが漏洩する危険性を低下させることができ、認証情報の保管・管理上の安全性が更に向上するという効果がある。
【0023】
請求項9に記載の発明によれば、消去部を更に設けることで、認証部が使用者認証を行った後に再生成部で再生成した登録認証情報及び/又は認証情報取得部で取得した認証情報を消去するため、認証システム上に完全な認証情報が存在しなくなり、認証情報の全てが漏洩する危険性を更に低下させることができ、保管・管理上の安全性が更に向上するという効果がある。
【0024】
請求項10に記載の発明によれば、情報の漏洩等に対し、特に高度な安全性を必要とする生体情報を認証情報として利用する場合であっても、その保管・管理上の安全性をより高度に確保することができる。
【発明を実施するための最良の形態】
【0025】
次に、図を用いて本発明を実施するための最良の形態について説明する。本実施の形態では、図2に示すように、ネットワークNを介してデータ通信を可能に接続された複数のMFP(Multi Function Periferal)2a、2b、2c及び2dにより構成された画像形成システム1に適用した例を示す。図2において、MFP2a、2b、2c及び2dは、例えば電子写真プロセスにより印刷を行う画像形成機能、原稿画像を読取って画像データを取得するスキャン機能及びネットワークI/F(インターフェース)部16を介して画像データの送受信を行う通信機能等を備えた多機能型複写機である。MFP2a、2b、2c及び2dは、USBケーブル6を介してPC5と接続され(図2では、MFP2aのみが接続されている状態を示している。)制御系をPC5側に備える構成とすることも可能である。本実施の形態では、MFP2a側に制御系を備える構成を適用する。
【0026】
また、MFP2a、2b、2c及び2dは、使用者認証機能をする。使用者認証機能は、ID番号の入力を要求し予め登録された登録ID番号情報と一致するか否かを判定処理した後、生体認証情報の入力を要求し、予め登録された登録生体認証情報と一致するか否かの判定を行うものである。ID番号情報及び生体認証情報を用いて2段階の判定処理を行う構成とすることで、認証の信頼性を向上することができる。
【0027】
更に、本実施形態における画像形成システム1は、登録生体認証情報を、システムを構成するMFP2a、2b、2c及び2dにそれぞれ備えられた記憶部に分散格納することを特徴とする。より具体的には、MFP2a、2b、2c及び2dに構築されたデータベース(DB)3a、3b、3c及び3dのそれぞれに、1つの登録生体認証情報を分割して格納するようになっている。図4に、各データベース3a、3b、3c及び3dと分散格納された登録生体認証情報との関係を模式的に示す。図4において、ある使用者の登録生体認証情報である登録生体認証情報25は、分割ファイルa、分割ファイルb及び分割ファイルcの3つのデータに分割され、夫々分割ファイルaはデータベース3aに、分割ファイルbはデータベース3bに、分割ファイルcはデータベース3cに格納される。また、データベース3dには、分割ファイルa、b及びcから所定の演算により得ることのできるパリティを格納したパリティファイルP(a、b、c)が格納される。以下、同様に生体認証情報26、27、28についても、分割により分割ファイル及びそのパリティファイルが生成され、その後、データベース3a、3b、3c及び3dに分散格納されるようになっている。
【0028】
以下に、MFP2a、2b、2c及び2dの構成について説明するが、これらは原則として同一の構成を有する。よって、以下の説明では、簡単のために主にMFP2aについて説明し、構成及び機能が共通する部分についてはMFP2b、2c及び2dの説明を省略する。
【0029】
図1のブロック図に、MFP2aの構成を示す。MFP2aは、CPU10、ROM11、RAM12、ハードディスク等から構成される記憶部13、使用者の指紋を読取り生体認証情報としての指紋画像データを取得する生体認証情報取得部4a、TFT素子等から構成される表示モニタであり、MFP2aでの各種処理や使用者に対する案内情報を表示するとともに、タッチパネルを適用し各種の指示信号を入力する入力装置としての機能を兼ね備えた表示/操作入力部15、ネットワークNを介して他のMFP2b、2c、2d及びPC5等の外部機器とのデータ通信を行うネットワークI/F部16、原稿画像を読取って画像データを取得するスキャナ部17及び電子写真プロセスにより記録媒体上に画像を形成する画像形成部18から構成される。
【0030】
CPU10では、記憶部13(又はROM11)に記憶されたオペレーションプログラム、生体認証情報の認証処理を行う「認証判定プログラム」及び生体認証情報の登録処理を行う「認証登録プログラム」を読み出し、ワークエリアとしてのRAM12上にこれらプログラムを展開してMFP2aの全体制御、「認証判定処理」及び「認証登録処理」が行われる。「認証判定処理」及び「認証登録処理」については後述する。
【0031】
記憶部13は、上述の各種プログラムとともに、登録ID番号情報と、分割された登録生体認証情報である分割ファイルのファイル番号とを対応付けて記憶するデータテーブル20が記憶されている。図3にデータテーブル20の例を示す。例えば、登録ID番号情報「1234」に対応する分割ファイルを格納するファイルのファイル番号は「001−a」、「001−b」、「001−c」及び「001−P」である。更に、登録ID番号情報「1234」に対応するこれら分割ファイルのファイル番号が、MFP2a、2b、2c及び2dの何れに格納してあるかの対応付けがなされている。
【0032】
従って、CPU10は、このデータテーブル20を参照しながら、表示/操作入力部15から入力されるID番号情報に対応する登録ID番号があるか否かの判断を行い、対応する登録ID番号がある場合、再びデータテーブル20を参照しながら、登録ID番号情報に対応するファイル番号を検出する。次いで、この抽出したファイル番号に基づいて分割ファイルを読み出し、登録生体認証情報の再生成を行う。その後、生体認証情報取得部4aから取得した使用者の生体認証情報と登録生体認証情報との比較を行い、一致する場合に、MFP2aのアクセス制限を解除するようになっている。
【0033】
また、上述のように、記憶部13に記憶された分割ファイルは、登録生体認証情報を分割することにより得られたものであるが、このような分割を行う手法は、例えばRAID(Redundant Arrays of Independent(Inexpensive) Disks)技術に用いられるような分散ファイル形式の処理により実現することができる。分散ファイル形式としては、例えば、RAID0、3、4、5及び6等の何れの方式を応用することができ、各仕様に合わせて盗難等の情報漏洩の防止を行うことができる。以下に、各方式の特徴を述べる。
【0034】
RAID0はストライピングを行うだけであるが、1つのデータベースに記録される登録生体情報は元の情報より少なく(最大に格納したとしても元の情報の1/2)、登録生体情報の保管・管理上の安全性の向上に資する。
【0035】
RAID3及び4は、ストライピングによる分散ファイル化に加えてパリティファイルを生成し、このパリティファイル専用のデータベースを独立して構築するものであるが、登録生体情報保護の安全性と欠損したデータの再生成を行うことができる。
【0036】
RAID5は、生体認証情報更新時に更新するパリティが異なるディスクに配置されている。このためRAID3及びRAID4の効果に加えて、ライト処理が多重で発行された場合でも同時に実行することができ、より高速に更新処理を行うことができるというメリットがある。
【0037】
RAID6は、登録生体認証情報更新時に更新するパリティを2重に作成し、夫々別のディスクに格納するため、2台のMFPに障害が発生しても、障害が発生した分のデータの再生を行うことができる。即ち、2重の障害に対応することができるというメリットがある。
【0038】
生体認証情報取得部4aは、使用者の指紋のパターンを読取る認証装置である。赤外線センサや静電容量センサ等から構成される。例えば、赤外線センサを適用する場合は、特定周波数の赤外線を生体認証情報取得部4aにかざされた指先に照射し、反射光の強さの変化を赤外線センサで検出する。この検出された変化を2値画像データとして捉え、CPU10に送信する様になっている。生体認証情報取得部4aは、使用上の利便性から、MPF2aの表示/操作入力部15の近傍等に設けるのが好ましい。
なお、生体認証情報取得部4aとして、使用者の手指の静脈パターン、虹彩、声紋、匂いあるいは使用者の歩き方などの動作的な特徴等、使用者固有の情報に基づいて認証を行う技術等の種々の技術を適用することも当然に可能である。
【0039】
表示/操作入力部15は、使用者の操作によりMFP2aに各種指示信号を入力するユーザインターフェースである。後述する「認証判定処理」及び「認証登録処理」で入力するID番号は、表示/操作入力部15に設けられたテンキーを介して行われる。なお、本実施の形態では、表示/操作入力部15を介して、4桁の数字をID番号として使用者の手により直接入力する構成としているが、カードリーダ等を設け、予め使用者の登録ID番号情報が記録された磁気カードやICカード等から登録ID情報を読み取る構成とする事も当然に可能である。
【0040】
ネットワークI/F部16は、図示しないメールサーバ及びFPTサーバとの外部通信(MFP2aの操作指示信号の受信や読み込んだ画像データ等の送信)を行うものである。
ネットワークNとしては、LAN(Local Area Network)、MAN(Metropolitan Area Network)、WAN(Wide Area Network)及びインターネット等と接続されており、他のMFP2b、2c及び2dから送信された画像データを受信して複写や印刷を行うことができるようになっている。
特に、本実施の形態では、「認証登録処理」や「認証判定処理」において、使用者の生体認証情報である指紋画像データを分割した分割ファイル及びパリティファイルを送受信することができるようになっている。分割ファイル及びパリティファイルを送受信する際に、CPU10から送信される指示信号に基づいて、SSL(Secure Socket Layer)等の暗号化処理を施したデータを送受信するようになっており、ネットワークN上でのデータ通信の安全性及び信頼性を確保するよう構成されている。
【0041】
スキャナ部17は、読取り原稿に対し光を照射し、反射される光をCCD(Charge Coupled Device)イメージセンサやCMOS(Complementary Metal−Oxide Semiconductor)イメージセンサ等の光電変換素子で捉え、捉えたアナログの電気信号から図示しないA/D変換器で多値のデジタル信号に変換しCPU10に出力するものである。
【0042】
画像形成部18は、スキャナ部17が取得した画像データあるいはPC5から送信された画像データに基づいて電子写真プロセスにより記録媒体上に画像を形成するものである。記憶媒体上にインクを吐出するいわゆるインクジェット方式等の種々の画像形成機構を適用することも可能である。
【0043】
次に、CPU10で行われる「認証判定処理」及び「認証登録処理」について、図5から図9に示すフロー図を用いて説明する。なお、以下の説明では、便宜上MFP2aをホスト端末、他のMFP2b、2c、2dをクライアント端末として「認証判定処理」及び「認証登録処理」を実行する例について述べるが、画像形成システム1は何れのMFPから「認証判定処理」及び「認証登録処理」を行うことができ、この「認証判定処理」及び「認証登録処理」において、使用者からの操作入力を受けるMFPがホストとして機能する。
【0044】
先ず、「認証登録処理」について説明する。以下の説明では、MFP2aをホスト及びその制御部たるCPUをホストCPU10と呼ぶ。更に、分散ファイルデータ又はパリティファイルの送信を受けるMFP2b、2c、2dをクライアント及びこれらの制御部たるCPUをクライアントCPU10と呼ぶ。
【0045】
図5のホスト側の処理手順を示すフロー図において、ステップS101で、ホストCPU10は、使用者によって表示/操作入力部15が操作され、認証登録処理モードに設定されることで、認証情報の登録を行う旨及びID番号の入力を指示する旨の案内表示を表示し、この案内表示に従い使用者からID番号の入力が行われることでID番号情報を取得し、RAM12に一時記憶を行う。
【0046】
ステップS102で、ホストCPU10は、表示/操作入力部15に、生体認証情報取得部2aに所定の指をかざすことを指示する旨の案内表示を表示し、この案内表示に従い生体認証情報取得部4aにかざされた使用者の指から指紋画像データを取得し、RAM12に一時記憶する。
【0047】
ステップS103で、ホストCPU10は、指紋画像データを所定のデータ量を基準データ単位として分割し、分割ファイルa、b及びcという3つのファイル(図4参照)を生成する分割処理を実行する。指紋画像データの分割は、指紋画像データの総データ量を、システムを構成する全てのMFPの数:Nからパリティファイルデータを格納するMFPの分の数:1を減じたN−1(本実施の形態では「3」)で除算して基準データ単位を求め、指紋画像データの先頭から順に、基準データ単位に基づいて分割を行う(指紋画像データの総量が120kbyteであれば、分割ファイル1つあたりのデータ量は40kbyte)。この分割処理により分割ファイルa、b及びcを生成しRAM12に一時記憶する。
なお、基準データ値の算出は、これ以外にも指紋画像データの総データ量を予め設定された所定の値で除算して求めてもよいし、基準データ値自体を予め設定する構成としてもよい。
【0048】
ステップS104で、ホストCPU10は、ステップS104で分割した分割ファイルa、b及びcからXOR(排他的論理和)の演算によりパリティを求め、パリティファイルPを生成しRAM12に一時記憶する。
【0049】
ステップS105で、ホストCPU10は、ステップS101で取得したID番号情報と、ステップS103で生成した分割ファイルa、b、c及びステップS104で生成したパリティファイルをファイル番号と対応付ける処理を行い、この対応関係をデータテーブル20(図3)に記録する。
【0050】
ステップS106で、ホストCPU10は、ステップS105で対応付けを行った分割ファイルのうち1つの分割ファイル(ここでは分割ファイルaとする)を記憶部13に記憶する。
【0051】
ステップS107で、ホストCPU10は、ネットワークI/F部16を介してMFP2b、2c及び2dに、新規使用者に関するID番号情報及び指紋画像データの登録を要求する使用者新規登録要求信号を送信する。
【0052】
図6のクライアント側の処理手順を示すフロー図において、ステップS201で、クライアントは、ホストから送信された使用者新規登録要求信号を受信する。この使用者新規登録要求信号の受信により、クライアントCPU10は、使用者新規登録処理を開始する。
【0053】
ステップS202で、クライアントCPU10は、ステップS201で受信した使用者新規登録要求信号に対して使用者新規登録応答信号をホスト側に送信する。
【0054】
図5に戻り、ステップS108で、ホストは、クライアント側から送信された使用者新規登録応答信号を受信し、ホストCPU10は、この使用者新規登録応答信号の受信により、各クライアント(MFP2b、2c及び2d)とデータ通信が可能であることを確認し、ステップS109の処理に進む。
【0055】
ステップS109で、ホストCPU10は、分割ファイルb、c及びパリティファイルPにSSLによる符号化を行う。
次いで、ステップS110で、ホストCPU10は、各データファイルのヘッダ部にID番号情報及びファイル番号との対応関係を示すデータテーブル20の情報を記録し、分割ファイルbをMFP2bに、分割ファイルcをMFP2cに、パリティファイルPをMFP2dに夫々送信する。
【0056】
図6において、ステップS203で、ホスト側から送信された分割ファイルb、c又はパリティファイルとを夫々クライアントであるMFP2b、2c及び2dが受信する。
【0057】
ステップS204で、クライアントCPU10は、分割ファイル又はパリティファイルの復号化を行う。
次いで、ステップS205で、クライアントCPU10は、分割ファイル又はパリティファイルの登録処理を開始する。この登録処理では、クライアントCPU10が、ファイルヘッダに記憶させたID番号情報及びデータテーブル20の情報(ファイル番号との対応関係を示す)を読み込み、クライアントに設けられているデータテーブル20(図3参照)に記憶を行う。
【0058】
ステップS206で、クライアントCPU10は分割ファイルb、c又はパリティファイルPを夫々記憶部13のハードディスクに記憶する。これにより、MFP2b、2c及び2dのデータベース3b、3c及び3dに、分割ファイル又はパリティファイルが記憶され、画像形成システム1上で特定個人の指紋画像データが分散格納されたこととなる。
【0059】
ステップS207で、クライアントCPU10は、ホストに対し、使用者登録が完了した旨を示す使用者登録完了信号の送信を行う。
【0060】
図5に戻り、ステップS111で、ホスト側は使用者登録完了信号を受信し、ホストCPU10は、ステップS112の処理に進む。
ステップS112において、ホストCPU10は、クライアントのRAM上に一時記憶されているID番号情報と、分割ファイル又はパリティファイルとの削除要求を示す削除要求信号をクライアント側に送信する。
【0061】
図6において、ステップS208で、クライアントは削除要求信号を受信する。
次いで、ステップS209で、クライアントCPU10は、RAM12に一時記憶したID番号情報と、分割ファイル又はパリティファイルとの削除を行う。これにより、クライアントには、認証情報として記憶部13に記憶した登録ID番号情報と、各クライアントに分散格納された分割ファイルの何れか1つ又はパリティファイルしか存在しないこととなる(例えば、MFP2bの記憶部13には、登録ID番号情報、分割ファイルb及びデータテーブル20の情報しか記憶されていない。)。
【0062】
ステップS210で、クライアントCPU10は、RAM12に一時記憶したID番号情報と、分割ファイル又はパリティファイルとの削除を完了した旨を示す削除完了信号をホストに送信する。
【0063】
図5に戻り、ステップS113で、ホストは、クライアント側から送信された削除完了信号を受信する。
次いで、ステップS114で、ホストCPU10は、全てのクライアント(即ち、MFP2b、2c及び2dの全て)から削除完了信号を受信したか否かを判断し、全てのクライアントから受信したと判断する場合は、ステップS115に進む(ステップS113:YES)。逆に、ホストCPU10は、全てのクライアントから受信していないと判断する場合は、受信するまで待機する(ステップS114:NO)。なお、このステップS114がNOである場合は、全てのクライアントから削除完了信号を受信するまで一定時間待機した後、ステップS115に進む処理としてもよい。
【0064】
ステップS115で、ホストCPU10は、ホストのRAM12に一時記憶したID番号情報、指紋画像データ、分割ファイル及びパリティファイルを消去する処理を行う。ホストのRAM12には、生体認証情報に関する全てのデータが一時記憶されているからである。これら情報をホストのRAM12から削除することで、画像形成システム1上に使用者の生体認証情報を100%の形で保管するデータベースが存在しないことになり、生体認証情報に対する安全性がより向上することとなる。
以上が「認証登録処理」である。これ以後、使用者は登録ID番号及び指紋画像データを入力し「認証判定処理」による照合処理を適正に通過することでMFP2a、2b、2c又は2dの何れをも使用することができるようになる。
【0065】
次に、画像形成システム1における「認証判定処理」について、図7、図8及び図9のフロー図を用いて説明する。なお、「認証判定処理」においても、MFP2aをホスト及びその制御部であるCPU10をホストCPU10とする。又、分割ファイルを格納するMFPをMFP2b及びMFP2cとし、これらを分割側クライアント及びその制御部を分割側クライアントCPU10と呼ぶ。更に、パリティファイルを格納するMFPをMFP2dとし、これをパリティ側クライアント及びその制御部であるCPU10をパリティ側クライアントCPU10と呼ぶ。図7にホスト、図8に分割側クライアント及び図9にパリティ側クライアントの処理手順を夫々示す。
【0066】
図7に示す、ホストの処理手順を示すフロー図において、ステップS301で、ホストCPU10は、表示/操作入力部15を介して入力される、使用者のID番号情報を取得する。
ステップS302で、ホストCPU10は、データテーブル20を参照し、取得したID番号情報の検索を行う。
【0067】
ステップS303において、ホストCPU10は、検索の結果、データテーブル20に該当する登録ID番号情報がデータテーブル20に登録(有る)されているか否かを判断する。ホストCPU10は、登録されていると判断する場合、ステップS304に進む。逆に、ホストCPU10は、登録されていないと判断する場合、ステップS317に進む。
【0068】
ステップS304で、ホストCPU10は、生体認証情報取得部4aから使用者の指紋画像データを取得し、RAM12に一時記憶する。
ステップS305で、ホストCPU10は、データテーブル20を参照し、登録ID番号情報に対応する分割ファイルを格納する分割側クライアント(MFP2b及び2c)を認識し、これら分割側クライアントに分割ファイルの送信要求信号を送信する。なお、このときホストCPU10は、分割ファイルの送信要求信号とともに登録ID番号情報も送信する。
【0069】
図8に示す分割側クライアントの処理手順を示すフロー図において、ステップS401で、分割側クライアントは分割ファイルの送信要求信号を受信する。
次いで、ステップS402で、分割側クライアントCPU10は、ステップS401で受信した分割ファイルの送信要求信号の送信元を確認する処理を行う。具体的には、分割ファイルの送信要求信号に含まれる送信元のMACアドレスと、予め通信許可がなされた端末の一覧を記憶したテーブル(不図示)とを比較する。
【0070】
ステップS403で、分割側クライアントCPU10は、送信元が通信許可を与えられた端末であると判断する場合(送信元のMACアドレスが、上述のテーブルに記憶されている場合)、ステップS404に進む。逆に、分割側クライアントCPU10は、送信元が通信許可を与えられていないと判断する場合(送信元のMACアドレスが、上述のテーブルに記憶されていない場合)、本フローを抜け処理を終了する。
【0071】
ステップS404で、分割側クライアントCPU10は、分割ファイルの送信要求信号とともに送信された登録ID番号情報に基づいて、データテーブル20から対応するファイル番号を検出し、記憶部13から分割ファイル30b又は30cを読み出し、SSLにより符号化処理を実行する。
ステップS405で、分割側クライアントCPU10は、符号化した分割ファイルをホストに送信する。
その後、ステップS406で、分割側クライアントのRAM12に一時記憶されているヘッダ情報と、分割ファイルb又はcを消去する処理を行う。
【0072】
図7に戻り、ステップS306でホストは分割ファイルを受信する。
ステップS307で、ホストCPU10は、クライアントに格納されている全ての分割ファイルb及びcを受信したか否かを判断する。具体的には、データテーブル20を参照し、クライアントに格納されている分割ファイルb及びcを認識し、受信した分割ファイルのヘッダ情報と比較しこれら分割ファイルであるか否かを判断する。ホストCPU10は、該当する全ての分割ファイルを受信したと判断する場合、ステップS308に進む(ステップS307:YES)。逆に、ホストCPU10は、全ての分割ファイルを受信していない即ち未受信ファイルがあると判断する場合、ステップS313に進む(ステップS307:NO)。このステップS313の処理については、後述する。
【0073】
ステップS308で、ホストCPU10は、ステップS306で受信した符号化された分割ファイルの復号化を行う。
ステップS309で、ホストCPU10は、ホストの記憶部13に格納した分割ファイルaを読み出し、この分割ファイルaと、復号化した分割ファイルb及びcとから指紋画像データの生成処理を行う。
【0074】
ステップS310で、ホストCPU10は、ステップS309で生成した指紋画像データと、ステップS304で生体認証情報取得部4aから取得した指紋画像データとの照合処理を行う。照合処理では、ホストCPU10は、ピクセル毎に両画像データの一致又は不一致を検出し、全画像データの一致率が所定の基準値以上であるか否かを判断する。
ステップS311で、ホストCPU10は、両画像データが一致すると判断する場合、ステップS312に進む(ステップS311:YES)。逆に、ホストCPU10は、両画像データが一致しない(不一致)と判断する場合、ステップS317の処理に進む(ステップS311:NO)。
【0075】
ステップS312で、ホストCPU10は、ホスト(MFP2a)のアクセス制限を解除する処理を行う。これにより、使用者はMFP2aの各種機能を使用することができるようになる。
【0076】
次に、ステップS307の判断で、ホストCPU10が、クライアントに格納した全ての分割ファイルを受信していない(未受信ファイルがある)と判断し、ステップS313の処理に進む場合について説明する。
【0077】
ステップS313で、ホストCPU10は、未受信ファイルの数が1つであるか否かを判断する。即ち、本実施の形態ではRAID5の技術を応用しているため、2以上の分割ファイルが消失した状態では、パリティファイルを使用して欠損ファイルを生成できないためである。
ホストCPU10は、未受信ファイルが1つであると判断する場合、ステップS314に進む(ステップS313:YES)。ホストCPU10は、未受信ファイル数が2以上である場合、ステップS317に進む(ステップS313:NO)。
【0078】
ステップS314で、ホストCPU10は、データテーブル20を参照し、パリティファイルを格納するパリティ側クライアントを検出し、このパリティ側クライアントにパリティファイルの送信要求信号を送信する。このときホストCPU10は、パリティファイルの送信要求信号とともに登録ID番号情報もパリティ側クライアントに送信する。
なお、ホストCPU10は、パリティファイルがホストの記憶部13に記憶されている場合、パリティファイルの送信要求信号の送信を行わずに、パリティファイルを記憶部13から読み出し、ステップS316の処理に進む。
【0079】
図9のパリティ側クライアントの処理手順を示すフロー図において、ステップS501で、パリティ側クライアントはパリティファイルの送信要求信号を受信する。
次いで、ステップS502で、パリティ側クライアントCPU10は、ステップS501で受信したパリティファイルの送信要求信号の送信元を確認する処理を行う。即ち、パリティファイルの送信要求信号に含まれる送信元のMACアドレスと、予め通信許可がなされた端末の一覧を記憶したテーブル(不図示)とを比較する。
【0080】
ステップS503で、パリティ側クライアントCPU10は、送信元が通信許可を与えられた端末であると判断する場合(送信元のMACアドレスが、上述のテーブルに記憶されている場合)、ステップS504に進む(ステップS503:YES)。逆に、パリティ側クライアントCPU10は、送信元が通信許可を与えられていないと判断する場合(送信元のMACアドレスが、上述のテーブルに記憶されていない場合)、本フローを抜け処理を終了する(ステップS503:NO)。
【0081】
ステップS504で、パリティ側クライアントCPU10は、パリティファイルの送信要求信号に含まれる登録ID番号情報に基づいて、データテーブル20から対応するファイル番号を検出し、記憶部13からパリティファイルを読み出し、SSLにより符号化処理を実行する。
ステップS505で、パリティ側クライアントCPU10は、符号化した分割ファイルをホストに送信する。
その後、ステップS506で、パリティ側クライアントのRAM12に一時記憶されているID番号情報及びパリティファイルを消去する処理を行う。
【0082】
図7に戻り、ステップS315で、ホストCPU10は、パリティファイルを受信する。
次いで、ステップS316で、ホストCPU10は、パリティファイル及びステップS306で受信することができた分割ファイル(分割ファイルb又はc)に基づいて、未受信ファイルの生成処理を行う。
【0083】
その後、ホストCPU10はステップS309に進み、このステップでホストCPU10は、ステップS316で生成した未受信ファイルと、ステップS306で分割側クライアントから受信した分割ファイルbあるいはcと、ホストの記憶部13から読み出した分割ファイルaとに基づいて、指紋画像データを生成する処理を行う。以降の処理は上述のステップS310からステップS312と同様である。
【0084】
最終ステップであるステップS317で、ホストCPU10は、RAM12に一時記憶しているID番号情報、生体認証情報取得部4aから取得した指紋画像データ、ステップS309で生成した指紋画像データ、ステップS306で受信した分割ファイルb及び/又はc、ステップS315で取得したパリティファイル、ステップS316でパリティファイルから生成した未受信データファイル等を消去する処理を行う。これにより、ホスト上から指紋画像データを削除することができ、生体認証情報を画像形成システム1で分散格納した状態に戻すことができる。
【0085】
以上、本実施の形態における画像形成システム1によれば、生体認証情報である指紋画像データを分割して分割ファイルを生成し、ネットワーク上で接続された他のMFPにこの分割ファイルを分散格納するため、万が一、(例えば、1つの)MFPが盗難され情報の漏洩が発生しても、指紋画像データの全体が漏洩することがなく、生体認証情報の保管・管理上の安全性が確実に向上するという効果がある。
【0086】
特に、指紋等の生体認証情報は、内容の変更ができず、又、個人のプライバシーに大きく影響するという特有の事情を有する情報である。本実施の形態における画像形成システムによれば、このような特有の事情を有する情報の保管・管理上の安全性に優れ、生体情報による認証技術におけるデメリットを克服することができるという優れた効果がある。
【0087】
また、上述の画像形成システム1では、ID番号情報と生体認証情報というの2段階の認証処理を行う構成としているが、生体認証情報のみに基づいて認証処理を行う構成とする事も当然にできる。この場合、ID番号情報にかえて各分割ファイルのファイル名に基づいて、ホスト―クライアント間の分割ファイル及びパリティファイルの送受信を行う構成とすればよい。
【0088】
また、パリティファイルを生成することで、ネットワーク上の障害やMFPの故障・盗難に起因して分割ファイルの一部が未受信となっても、正常に受信した分割ファイル及びパリティファイルに基づいて、この未受信の分割ファイルを再生成し指紋画像データを再生成することができるという効果がある。
【0089】
また、画像形成システム1は、他のMFPから受信した分割ファイルから指紋画像データを再生成し、RAM12上に一時記憶して使用者認証処理を行う構成としているが、この使用者認証処理が完了した後、RAM12上に一時記憶された指紋画像データ及び生体認証情報取得部2aから取得した指紋画像データを消去する構成としている。このためRAM12上に一時的に記憶されている再生成された指紋画像データ及び生体認証情報取得部2aから取得した指紋画像データからの情報漏洩の虞もなく、生体認証情報の保管・管理の安全性を更に向上させるという効果がある。
【0090】
以上、本発明を実施するための最良の形態について説明したが、本発明は上述した種々の例に限定されるものではない。
【図面の簡単な説明】
【0091】
【図1】本発明を実施するための最良の形態における画像形成システムの機能構成を示したブロック図である。
【図2】図1に示すMFPの外部接続環境の例を示した模式図である。
【図3】図1に示すMFPに格納されるID番号、分割ファイル並びにパリティファイルのファイル番号及び分割ファイルを格納するMFPの対応関係の例を示したデータテーブルの模式図である。
【図4】図1に示す複数のデータベースに格納される分割ファイル及びパリティファイルを格納する例を示した模式図である。
【図5】本発明を実施するための最良の形態における認証登録処理のホスト側の処理手順を示したフロー図である。
【図6】本発明を実施するための最良の形態における認証登録処理のクライアント側の処理手順を示したフロー図である。
【図7】本発明を実施するための最良の形態における認証判定処理のホスト側の処理手順を示したフロー図である。
【図8】本発明を実施するための最良の形態における認証判定処理の分割ファイル格納クライアント側の処理手順を示したフロー図である。
【図9】本発明を実施するための最良の形態における認証判定処理のパリティファイル格納クライアント側の処理手順を示したフロー図である。
【符号の説明】
【0092】
1 画像形成システム
2a、2b、2c、2d MFP
3a、3b、3c、3d データベース
4a、4b、4c、4d 生体認証情報取得部
5 PC
10 CPU
11 ROM
12 RAM
13 記憶部
15 表示/操作入力部
16 ネットワークI/F部
17 スキャナ部
18 画像形成部
20 データテーブル
25、26、27,28 登録生体認証情報
N ネットワーク
【特許請求の範囲】
【請求項1】
使用者から認証情報を取得する認証情報取得部と、前記認証情報と予め登録された登録認証情報とを照合することにより使用者認証を行う認証部と、前記登録認証情報を記憶する記憶部と、を備える複数の端末装置が通信可能に接続されてなる認証システムであって、
前記複数の端末装置のそれぞれに、
前記登録認証情報を他の端末装置を含む少なくとも2以上の記憶部に分散して格納するとともに、前記認証部により使用者認証を行う際に、前記他の端末装置を含む少なくとも2以上の記憶部に分散して格納された前記登録認証情報の読み出しを行う制御部を備えることを特徴とする認証システム。
【請求項2】
請求項1に記載の認証システムであって、
前記制御部は、前記登録認証情報を分割して分割ファイルを生成する分割部を備えることを特徴とする認証システム。
【請求項3】
請求項2に記載の認証システムであって、
前記制御部は、前記分割ファイルのうち、少なくとも1つの分割ファイルを前記他の端末装置の記憶部に記録させる記録制御部を備えることを特徴とする認証システム。
【請求項4】
請求項2又は3に記載の認証システムであって、
前記制御部は、前記他の端末装置の記憶部から前記分割ファイルを読み出す読み出し制御部を備えることを特徴とする認証システム。
【請求項5】
請求項4に記載の認証システムであって、
前記制御部は、前記他の端末装置の記憶部から読み出した前記分割ファイルから前記登録認証情報を再生成する再生成部を備えることを特徴とする認証システム。
【請求項6】
請求項3から5のいずれか一項に記載の認証システムであって、
前記制御部は、前記分割ファイルに基づいて前記分割ファイルのパリティファイルを生成するパリティファイル生成部を更に備え、
前記記録制御部は、前記分割ファイル及び前記パリティファイルのうち、少なくとも1つの分割ファイル及び/又はパリティファイルを前記他の端末装置の記憶部に記憶させることを特徴とする認証システム。
【請求項7】
請求項6に記載の認証システムであって、
前記制御部は、前記再生成部で前記登録認証情報の再生成を行う際、前記分割ファイルの不足を検出する検出部を更に備え、
前記検出部により分割ファイルの不足が検出される場合、前記読み出し制御部は、前記パリティ情報を読み出し、
前記再生成部は、前記分割ファイル及び前記パリティファイルに基づいて、前記登録認証情報の再生成を行うことを特徴とする認証システム。
【請求項8】
請求項3から7のいずれか一項に記載の認証システムであって、
前記制御部は、前記他の端末装置の記憶部に記録させる分割ファイル及び/又はパリティファイルの符号化並びに前記他の端末装置の記憶部から読み出した符号化された分割ファイル及び/又はパリティファイルの復号化を行う暗号化部を更に備えることを特徴とする認証システム。
【請求項9】
請求項5から8のいずれか一項に記載の認証システムであって、
前記制御部は、前記再生成部により再生成された前記登録認証情報を、前記認証部が使用者認証を行った後に消去する消去部を更に備えることを特徴とする認証システム。
【請求項10】
請求項1から9のいずれか一項に記載の認証システムであって、
前記認証情報は、生体認証情報であり、
前記登録認証情報は、登録生体認証情報であることを特徴とする認証システム。
【請求項1】
使用者から認証情報を取得する認証情報取得部と、前記認証情報と予め登録された登録認証情報とを照合することにより使用者認証を行う認証部と、前記登録認証情報を記憶する記憶部と、を備える複数の端末装置が通信可能に接続されてなる認証システムであって、
前記複数の端末装置のそれぞれに、
前記登録認証情報を他の端末装置を含む少なくとも2以上の記憶部に分散して格納するとともに、前記認証部により使用者認証を行う際に、前記他の端末装置を含む少なくとも2以上の記憶部に分散して格納された前記登録認証情報の読み出しを行う制御部を備えることを特徴とする認証システム。
【請求項2】
請求項1に記載の認証システムであって、
前記制御部は、前記登録認証情報を分割して分割ファイルを生成する分割部を備えることを特徴とする認証システム。
【請求項3】
請求項2に記載の認証システムであって、
前記制御部は、前記分割ファイルのうち、少なくとも1つの分割ファイルを前記他の端末装置の記憶部に記録させる記録制御部を備えることを特徴とする認証システム。
【請求項4】
請求項2又は3に記載の認証システムであって、
前記制御部は、前記他の端末装置の記憶部から前記分割ファイルを読み出す読み出し制御部を備えることを特徴とする認証システム。
【請求項5】
請求項4に記載の認証システムであって、
前記制御部は、前記他の端末装置の記憶部から読み出した前記分割ファイルから前記登録認証情報を再生成する再生成部を備えることを特徴とする認証システム。
【請求項6】
請求項3から5のいずれか一項に記載の認証システムであって、
前記制御部は、前記分割ファイルに基づいて前記分割ファイルのパリティファイルを生成するパリティファイル生成部を更に備え、
前記記録制御部は、前記分割ファイル及び前記パリティファイルのうち、少なくとも1つの分割ファイル及び/又はパリティファイルを前記他の端末装置の記憶部に記憶させることを特徴とする認証システム。
【請求項7】
請求項6に記載の認証システムであって、
前記制御部は、前記再生成部で前記登録認証情報の再生成を行う際、前記分割ファイルの不足を検出する検出部を更に備え、
前記検出部により分割ファイルの不足が検出される場合、前記読み出し制御部は、前記パリティ情報を読み出し、
前記再生成部は、前記分割ファイル及び前記パリティファイルに基づいて、前記登録認証情報の再生成を行うことを特徴とする認証システム。
【請求項8】
請求項3から7のいずれか一項に記載の認証システムであって、
前記制御部は、前記他の端末装置の記憶部に記録させる分割ファイル及び/又はパリティファイルの符号化並びに前記他の端末装置の記憶部から読み出した符号化された分割ファイル及び/又はパリティファイルの復号化を行う暗号化部を更に備えることを特徴とする認証システム。
【請求項9】
請求項5から8のいずれか一項に記載の認証システムであって、
前記制御部は、前記再生成部により再生成された前記登録認証情報を、前記認証部が使用者認証を行った後に消去する消去部を更に備えることを特徴とする認証システム。
【請求項10】
請求項1から9のいずれか一項に記載の認証システムであって、
前記認証情報は、生体認証情報であり、
前記登録認証情報は、登録生体認証情報であることを特徴とする認証システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2007−241371(P2007−241371A)
【公開日】平成19年9月20日(2007.9.20)
【国際特許分類】
【出願番号】特願2006−59114(P2006−59114)
【出願日】平成18年3月6日(2006.3.6)
【出願人】(303000372)コニカミノルタビジネステクノロジーズ株式会社 (12,802)
【Fターム(参考)】
【公開日】平成19年9月20日(2007.9.20)
【国際特許分類】
【出願日】平成18年3月6日(2006.3.6)
【出願人】(303000372)コニカミノルタビジネステクノロジーズ株式会社 (12,802)
【Fターム(参考)】
[ Back to top ]