認証システム
【課題】本発明の課題は、既存の認証システムの仕組みを変更することなく、情報ネットワークの機器や情報へのアクセス権限を、簡単で容易に設定できるシステムを提供することである。
【解決手段】管理ゲートに利用者識別情報を送信して、返信された認証情報を受信記録して、利用者端末装置に認証情報を送信するICカードと、ICカードから受信した利用者識別情報と生成した乱数データから認証情報を作成して、ICカードと認証サーバ装置に送信する管理ゲートと、ICカードが送信した認証情報を認証サーバ装置に転送して、認証サーバ装置が送信した認証結果を受信する利用者端末装置と、管理ゲートが送信した認証情報を受信して、認証データベースに登録して、利用者端末装置が転送した認証情報を検索キーにして、認証データベースを検索して、認証する認証サーバ装置とから構成される認証システムである。
【解決手段】管理ゲートに利用者識別情報を送信して、返信された認証情報を受信記録して、利用者端末装置に認証情報を送信するICカードと、ICカードから受信した利用者識別情報と生成した乱数データから認証情報を作成して、ICカードと認証サーバ装置に送信する管理ゲートと、ICカードが送信した認証情報を認証サーバ装置に転送して、認証サーバ装置が送信した認証結果を受信する利用者端末装置と、管理ゲートが送信した認証情報を受信して、認証データベースに登録して、利用者端末装置が転送した認証情報を検索キーにして、認証データベースを検索して、認証する認証サーバ装置とから構成される認証システムである。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータ・ネットワークの元で管理される資源(=電子機器やデジタル情報)の利用において、利用者が所在する場所を考慮して認証するシステムに関するものである。
【背景技術】
【0002】
従来から、コンピュータ・ネットワークの機器や情報へのアクセス権限を付与するにあたっては、利用者の確認(=認証)が行われる。認証を行う仕組みとしては、二者間で事前に共有されている秘密情報(=認証鍵)を用いて認証する事前共有秘密鍵方式が広く利用されている。
図8は、事前共有秘密鍵方式(pre shared key、PSKと略)の一例を説明する図である。PSK認証方式では、認証サーバ装置500と利用者端末装置700の間で、共有秘密鍵「K-a」が事前に共有されている。認証サーバ装置500は、利用者識別情報(=利用者ID)と秘密鍵を対応付けて登録されている共有秘密鍵DBを記憶する。共有秘密鍵DBには、たとえば、利用者ID「a001」と秘密鍵「K-a」とが対応付けられている。利用者端末装置700は、利用者IDと秘密鍵を記憶する。事前共有秘密鍵方式による認証処理を説明する。
利用者端末装置700は、利用者ID「a001」を含む認証要求を認証サーバ装置500に発行する(図8(1a))。認証サーバ装置500は、利用者端末装置700が発行した認証要求を受信して、共有秘密鍵データベース(=共有秘密鍵DB)から、認証要求の利用者ID「a001」に対応した秘密鍵「K-a」を選択する(同(1b))。認証サーバ装置500は、チャレンジ情報(=乱数)を生成して、これを利用者端末装置700に送信する(同(1c))。利用者端末装置700は、認証サーバ装置500が送信したチャレンジ情報を受信する(同(2a))。利用者端末装置700は、チャレンジ情報と秘密鍵「K-a」から一方向ハッシュ関数や共通鍵暗号方式を用いた認証サーバと利用者端末の間に事前に合意されたアルゴリズムによりレスポンス情報を算出して、認証サーバ装置500に送信する(同(2b))。認証サーバ装置500は、利用者端末装置700が送信したレスポンス情報を受信する(同(2c))。認証サーバ装置500は、チャレンジ情報と選択した秘密鍵「K-a」からレスポンス情報を算出する(同(3a))。認証サーバ装置500は、受信したレスポンス情報と、算出したレスポンス情報を比較して一致するか否かを判定して、認証結果を送信する(同(4a))。利用者端末装置700は、認証サーバ装置500が送信した認証結果を受信する(同(4b))。
ところで、不特定多数の人が出入りするような場所では、機器の画面が盗み見されて情報の機密性の確保が難しいので、このような場所からの情報へのアクセスを拒否して、安全性の高い場所からのアクセスのみを許可することが望まれている。
言い換えると、機密性を確保するためには、利用者の認証と同時に、適切な場所からのアクセスのみを許可することが必要となる。
【0003】
たとえば、特許文献1では、入退出管理用コンピュータが区画領域に入室することが許可されるとICカードに業務用コンピュータの操作権限情報を記録して、業務用コンピュータがICカードのその操作権限情報を読み取って、業務アプリケーションを起動することで、利用者の権限を制御して特定の区画領域にいる場合にのみ機器や情報へのアクセスを許可する技術が開示されている。
【特許文献1】特開2000−259878号公報(段落0047−段落0049、段落0056−段落0059、図5、図6)
【発明の開示】
【発明が解決しようとする課題】
【0004】
ところで、特許文献1の技術では、既存の認証システムの仕組みに、操作権限をICカードに付与する機能や、ICカードの操作権限情報を用いて認証する機能などを、新たに追加しなければならず、そのための費用と手間がかかるという欠点があった。
また、操作権限情報が変更されて更新されたときには、ICカードに記録されている操作権限情報が更新されたものであるか否かを確認しなければならないという余分な手間がかかるという問題点があった。
【0005】
本発明はこのような点を解決するためになされたものであって、本発明の課題は、既存の認証システムの仕組みを変更することなく、情報ネットワークの機器や情報へのアクセス権限を、簡単で容易に設定できるシステムを提供することである。
【課題を解決するための手段】
【0006】
本発明は、以下のような解決手段により、前記課題を解決する。すなわち、請求項1の発明は、管理区域の入退場を管理する管理ゲート(300)と、利用者端末装置(700)と認証サーバ装置(500)とがネットワーク接続されて、ICカード(100)を用いる認証システムであって、前記ICカード(100)は、利用者識別情報(191)を記憶する記憶手段と、管理ゲート(300)が送信した利用者識別情報送信要求を受信して、利用者識別情報(191)を返信する利用者識別情報返信手段と、管理区域に入場するときに管理ゲート(300)が送信した認証情報(192)を受信して、記憶手段に記録する認証情報記録手段と、利用者端末装置(700)が送信した認証情報送信要求を受信して、認証情報(192)を返信する認証情報返信手段と、管理区域から退場するときに管理ゲート(300)が送信した認証情報削除指示を受信して認証情報(192)を削除する認証情報削除手段と、を備えるICカードであって、前記管理ゲート(300)は、利用者認証情報(395)を記憶する記憶手段と、管理区域に入場するICカード(100)に利用者識別情報送信要求を発行して、返信された利用者識別情報(191)を受信する利用者識別情報受信手段と、乱数データを生成して、前記受信した利用者識別情報(191)と前記乱数データを用いて、認証情報(192)を作成する認証情報作成手段と、前記作成された認証情報(192)を、ICカード(100)と認証サーバ装置(500)に送信する認証情報送信手段と、管理区域から退場するICカード(100)から利用者識別情報を読み取って、これを含む認証情報削除指示をICカード(100)と認証サーバ装置(500)に発行する認証情報削除指示手段と、を備えるゲートであって、前記利用者端末装置(700)は、認証情報送信要求をICカード(100)に送信する認証情報要求手段と、ICカード(100)が返信した認証情報(192)を受信して、認証サーバ装置500に転送する認証情報転送手段と、認証サーバ装置(500)が送信した認証結果を受信する認証結果受信手段と、を備える端末装置であって、前記認証サーバ装置(500)は、乱数データと利用者識別情報とを対応付けて記録された認証データベース(595)を記憶する記憶手段と、管理ゲート(300)が送信した認証情報(192)を受信して、認証データベース(595)に登録するデータベース登録手段と、利用者端末装置(700)が転送した認証情報(192)を受信する認証情報受信手段と、前記受信した認証情報(192)の利用者識別情報を検索キーにして、認証データベース(595)を検索して、検索キーに対応付けられた乱数データを取得して、認証情報(192)の乱数データと一致すれば認証する認証手段と、管理ゲート(300)が送信した認証情報削除指示を受信して、認証データベース(595)から当該認証情報(192)を削除する認証情報削除手段と、を備えるサーバ装置である、ことを特徴とする認証システムである。
【0007】
このように、認証情報は、ICカードが管理区域に入場したときに生成されて、管理区域から退場したときに削除されるので、管理区域に入場しているICカードのみが認証を得ることができる。
【0008】
請求項2の発明は、管理ゲート(300)は、前記受信した利用者識別情報(191)を利用者認証情報(395)と照合して認証をする認証手段、を備えるゲートである、ことを特徴とする請求項1に記載の認証システムである。
【0009】
請求項3の発明は、管理ゲート(300)と利用者端末装置(700)と認証サーバ装置(500)がネットワークに接続されて、ICカード(100)を用いる認証システムであって、前記管理ゲート(300)は、乱数を生成して秘密鍵(192)として前記ICカード(100)に送信し、前記秘密鍵と前記ICカードの利用者識別情(191)報を認証サーバ装置(500)に送信する認証鍵送信手段と、を備える管理ゲートであって、前記利用者端末装置(700)は、前記ICカード(100)より前記利用者識別情報(191)と前記秘密鍵(192)を読み取り、前記利用者識別情報(191)を認証サーバ装置(500)へ送信し認証を求める認証要求手段と、前記ICカードから読取った秘密鍵と認証サーバ装置(500)から受信した乱数をもとにレスポンス情報を生成して、前記認証サーバ装置(500)に送信するレスポンス送信手段と、を備える利用者端末装置であって、前記認証サーバ装置(500)は(100)、前記管理ゲートが前記ICカードから読み取った前記利用者識別情報(191)と前記秘密鍵(192)を受信して、前記利用者識別情報と前記秘密鍵をひもづけて記憶する記憶手段と、前記認証要求手段により前記利用者識別情報を受信して、当該利用者識別情報から前記秘密鍵を特定する秘密鍵特定手段と、乱数を生成して、前記利用者端末装置に送信し、前記レスポンス情報を受信するレスポンス受信手段と、前記レスポンス情報と前記認証サーバ内の前記利用者識別情報の前記秘密鍵と前記乱数から生成したレンスポンス情報を比較して一致すれば認証する認証手段、を備える認証サーバ装置であることを特徴とする認証システムである。
【発明の効果】
【0010】
本願発明によれば、
(1)既存の認証機能に変更を加えることなく、管理区域に入場しているICカードを認証することが可能である。
(2)操作権限情報は用いないで、識別情報だけを用いてICカードの認証を行うという簡素であるが信頼性の高い認証処理が可能である。
【発明を実施するための最良の形態】
【0011】
以下、図面等を参照しながら、本発明の実施の形態について、更に詳しく説明する。
【0012】
図1は、本発明による認証システム1の概要を説明する図である。認証システム1は、ICカード100と、管理ゲート300と、認証サーバ装置500と、利用者端末装置700とから、構成される。管理ゲート300と、認証サーバ装置500と、利用者端末装置700とは、ネットワーク600で接続される。管理ゲート300は、管理区域800の入退場するICカード100を管理する。
【0013】
ICカード100は、コンピュータプログラムによって制御される電子機器である。
ICカード100のコンピュータプログラムは、たとえば、C++を用いてプログラム機能を追加できる。
【0014】
管理ゲート300と、利用者端末装置700とは、ICカードリーダを備える。
管理ゲート300は、コンピュータプログラムによって制御される電子機器である。
管理ゲート300のコンピュータプログラムは、たとえば、C++を用いてプログラム機能を追加できる。
【0015】
利用者端末装置700は、ICカード100を用いて認証してその利用を許可する。
利用者端末装置700は、コンピュータプログラムによって制御される電子機器である。
利用者端末装置700は、たとえば、パーソナルコンピュータである。利用者端末装置700のコンピュータプログラムは、たとえば、C++を用いてプログラム機能を追加できる。
【0016】
認証サーバ装置500は、コンピュータプログラムによって制御されるサーバコンピュータである。認証サーバ装置500のコンピュータプログラムは、データベース管理プログラムを含んでいる認証プログラムである。
認証サーバ装置500のコンピュータプログラムは、C++を用いてプログラム機能を追加できる。
【0017】
図2は、ICカード100の詳細な構成図である。
ICカード100は、CPU101と、通信部102とメモリ109と、専用プログラムとを備える。
通信部102は、アンテナコイルや、接触端子である。メモリ109は、半導体メモリや磁気メモリである。メモリ109は、利用者識別情報191を記憶する。専用プログラムは、利用者識別情報返信手段110と、認証情報記録手段120と、認証情報返信手段130と、認証情報削除手段140とから構成される。
【0018】
利用者識別情報返信手段110は、管理ゲート300が送信した利用者識別情報送信要求を受信して、利用者識別情報191を返信する。
認証情報記録手段120は、管理区域に入場するときに管理ゲート300が送信した認証情報192を受信して、メモリ109に記録する。
認証情報返信手段130は、利用者端末装置700が送信した認証情報送信要求を受信して、認証情報192を返信する。
【0019】
認証情報削除手段140は、管理区域から退場するときに管理ゲート300が送信した認証情報削除指示を受信して認証情報192を削除する。
【0020】
図3は、認証情報192の構造を説明する図である。
認証情報192の項目は、利用者識別情報192aと乱数値情報192bとから構成される。
利用者識別情報192aは、利用者IDである。
乱数値情報192bは、値が不規則に配列した数字列である。
【0021】
図4は、管理ゲート300の詳細な構成図である。
管理ゲート300は、CPU301と、通信部302と、ICカードリーダ303と、メモリ309と、プログラムとを備える。
【0022】
通信部302は、LAN接続コネクタである。通信部302は他の装置の通信部とネットワーク接続する。ICカードリーダ303は、ICカード100と接触接続、または、非接触接続して、ICカード100のデータの読み書きを行う。メモリ109は、半導体メモリや磁気メモリである。メモリ109は、入場者認証情報395を記憶する。プログラムは、利用者識別情報受信手段310と、認証手段320と、認証情報作成手段330と、認証情報送信手段340と、認証情報削除指示手段350と、とから構成される。
【0023】
利用者識別情報受信手段310は、管理区域に入場するICカード100に利用者識別情報送信要求を発行して、返信された利用者識別情報191を受信する。認証手段320は、前記受信した利用者識別情報191を利用者認証情報395と照合して認証をする。
【0024】
認証情報作成手段330は、乱数データを生成して、前記受信した利用者識別情報191と前記乱数データを用いて、認証情報192を作成する。認証情報送信手段340は、前記作成された認証情報192を、ICカード100と認証サーバ装置500に送信する。
【0025】
認証情報削除指示手段350は、管理区域から退場するICカード100から利用者識別情報を読み取って、これを含む認証情報削除指示をICカード100と認証サーバ装置500に発行する。
【0026】
なお、認証手段320は、既存のプログラムである。利用者識別情報受信手段310と、認証情報送信手段340と、認証情報削除指示手段350とは、本発明による専用プログラムである。
【0027】
図5は、利用者端末装置700の詳細な構成図である。
は、CPU701と、通信部702と、ICカードリーダ703と、メモリ709と、プログラムとを備える。
【0028】
通信部702は、LAN接続コネクタである。通信部702は他の装置の通信部とネットワーク接続する。ICカードリーダ703は、ICカード100と接触接続、または、非接触接続して、ICカード100のデータを取得する。メモリ709は、半導体メモリや磁気メモリである。プログラムは、認証情報要求手段710と、認証情報転送手段720と、認証結果受信手段730とから構成される。
【0029】
認証情報要求手段710は、認証情報送信要求をICカード100に送信する。
認証情報転送手段720は、ICカード100が返信した認証情報192を受信して、認証サーバ装置500に転送する。認証結果受信手段730は、認証サーバ装置500が送信した認証結果を受信する。
【0030】
図6は、認証サーバ装置500の詳細な構成図である。
認証サーバ装置500は、CPU501と、通信部502と、メモリ509と、プログラムとを備える。
【0031】
通信部502は、LAN接続コネクタである。通信部302は他の装置の通信部とネットワーク接続する。メモリ109は、半導体メモリや磁気メモリである。メモリ109は、認証データベース595を記憶する。認証データベース595は、乱数データと利用者識別情報とを対応付けて記録する。プログラムは、データベース登録手段510と、認証情報受信手段520と、認証手段530と、認証情報削除手段540とから構成される。
【0032】
データベース登録手段510は、管理ゲート300が送信した認証情報192を受信して、認証データベース595に登録する。
【0033】
認証情報受信手段520は、利用者端末装置700が転送した認証情報192を受信して、利用者識別情報を含む検索キーを作成する。認証手段530は、前記作成された検索キーを用いて、認証データベース595を検索して、検索キーに対応付けられた乱数データを取得して、認証情報192の乱数データと一致すれば認証する。
【0034】
認証情報削除手段540は、管理ゲート300が送信した認証情報削除指示を受信して、認証データベース595から当該認証情報192を削除する。
【0035】
なお、データベース登録手段510と認証手段530は、既存のプログラムである。
とは、認証情報受信手段520と認証情報削除手段540は、本発明による専用プログラムである。
【0036】
図7は、本発明による認証システムの大まかな処理の流れを説明する図である。
【0037】
まず、利用者が管理区域(たとえば、部屋)800に入室する時には、管理ゲート300にICカード100を提示すると、管理ゲート300の利用者識別情報受信手段310は、ICカード100に利用者識別情報を要求する(図7(1a))。ICカード100の利用者識別情報返信手段110は、管理ゲート300が送信した利用者識別情報の要求を受け付けて、利用者識別情報(=利用者ID)ID191を返信する(同(1b))。管理ゲート300の利用者識別情報受信手段310はICカード100が返信した利用者ID191を受信する。認証手段320は、入場者認証者登録情報395と照合して利用者の認証をする(同(1c))。
【0038】
認証情報作成手段330は、認証情報192を作成して、認証情報送信手段340は、前記作成された認証情報192を、ICカード100と認証サーバ装置500に送信する(同(2a))。ICカード100の認証情報記録手段120は、管理ゲート300が送信した認証情報192を受信して、メモリ109に記録する(同(2b))。また、データベース登録手段510と、管理ゲート300が送信した認証情報192を受信して、認証データベース595に登録する(同(2c))。
【0039】
次に、利用者が入室した部屋800にある端末装置700を利用するときには、利用者端末装置700の認証情報要求手段710は、認証情報送信要求をICカード100に送信する(同(3a))。ICカード100の認証情報返信手段130は、利用者端末装置700が送信した認証情報送信要求を受信して、認証情報192を返信する(同(3b))。
利用者端末装置700の認証情報転送手段720は、ICカード100が返信した認証情報192を受信して、認証サーバ装置500に転送する(同(3c))。
【0040】
認証サーバ装置500の認証情報受信手段520は、利用者端末装置700が転送した認証情報192を受信して、この認証情報を含む検索キーを作成する(同(3d))。
認証手段530は、前記作成された検索キーを用いて、認証データベース595を検索して、検索キーに対応付けられた乱数データを取得して、認証情報192の乱数データと一致すれば認証して、認証結果を利用者端末装置700に送信する(同(3e))。
利用者端末装置700の認証結果受信手段730は、認証サーバ装置500が送信した認証結果を受信する(同(3f))。
【0041】
最後に、利用者が部屋800から退室するときに管理ゲート300にICカード100を提示すると、
管理ゲート300の利用者識別情報受信手段310は、ICカード100に利用者識別情報を要求する(同(4a))。
ICカード100の利用者識別情報返信手段110は、管理ゲート300が送信した利用者識別情報の要求を受け付けて、利用者識別情報(=利用者ID)191を返信する(同(4b))。
【0042】
管理ゲート300の利用者識別情報受信手段310はICカード100が返信した利用者ID191を受信する。認証情報削除指示手段350は、前記受信した利用者IDを含む認証情報削除指示を作成してICカード100と認証サーバ装置500に発行する(同(4c)。ICカード100の認証情報削除手段140は、管理区域から退場するときに管理ゲート300が送信した認証情報削除指示を受信して認証情報192を削除する(同(4d))。認証サーバ装置500の認証情報削除手段540は、管理ゲート300が送信した認証情報削除指示を受信して、認証データベース595から当該認証情報192を削除する(同(4e))。
【0043】
なお、(3c)から(3f)までの認証処理は、図8で例示した事前共有秘密鍵方式(pre shared key、PSKと略)の処理手順を用いても良い。このとき、認証鍵を、図8で説明した秘密鍵としてPSK方式の認証処理を行う。ここで、認証データベース595は、図8の共有秘密鍵データベースに相当する。さらには、認証処理は、以上で説明した2つの方法に限定されず、そのほかの方法を用いてもよい。
【0044】
以上詳しく説明したように、本願発明によれば、
(1)既存の認証機能に変更を加えることなく、管理区域に入場しているICカードを認証することができた。
(2)操作権限情報は用いないで、識別情報だけを用いてICカードの認証を行うという簡素であるが信頼性の高い認証処理ができた。
【図面の簡単な説明】
【0045】
【図1】本発明による認証システムの構成
【図2】ICカード100の詳細な構成図
【図3】認証情報192
【図4】管理ゲート300の詳細な構成図
【図5】利用者端末装置500の詳細な構成図
【図6】認証サーバ装置500の詳細な構成図
【図7】本発明による認証システムの処理の流れ
【図8】事前共有秘密鍵方式(pre shared key、PSKと略)の一例を説明する図
【符号の説明】
【0046】
1 認証システム
100 ICカード
110 利用者識別情報返信手段
120 認証情報記録手段
130 認証情報返信手段
140 認証情報削除手段
191 利用者識別情報、利用者ID
192 認証情報
192a 利用者識別情報
192b 数値情報
300 管理ゲート
310 利用者識別情報受信手段
320 認証手段
330 認証情報作成手段
340 認証情報送信手段
350 認証情報削除指示手段
395 入場者認証情報
500 認証サーバ装置
510 データベース登録手段
520 認証情報受信手段
530 認証手段
540 認証情報削除手段
595 認証データベース
700 利用者端末装置
710 認証情報要求手段
720 認証情報転送手段
730 認証結果受信手段
800 管理区域
【技術分野】
【0001】
本発明は、コンピュータ・ネットワークの元で管理される資源(=電子機器やデジタル情報)の利用において、利用者が所在する場所を考慮して認証するシステムに関するものである。
【背景技術】
【0002】
従来から、コンピュータ・ネットワークの機器や情報へのアクセス権限を付与するにあたっては、利用者の確認(=認証)が行われる。認証を行う仕組みとしては、二者間で事前に共有されている秘密情報(=認証鍵)を用いて認証する事前共有秘密鍵方式が広く利用されている。
図8は、事前共有秘密鍵方式(pre shared key、PSKと略)の一例を説明する図である。PSK認証方式では、認証サーバ装置500と利用者端末装置700の間で、共有秘密鍵「K-a」が事前に共有されている。認証サーバ装置500は、利用者識別情報(=利用者ID)と秘密鍵を対応付けて登録されている共有秘密鍵DBを記憶する。共有秘密鍵DBには、たとえば、利用者ID「a001」と秘密鍵「K-a」とが対応付けられている。利用者端末装置700は、利用者IDと秘密鍵を記憶する。事前共有秘密鍵方式による認証処理を説明する。
利用者端末装置700は、利用者ID「a001」を含む認証要求を認証サーバ装置500に発行する(図8(1a))。認証サーバ装置500は、利用者端末装置700が発行した認証要求を受信して、共有秘密鍵データベース(=共有秘密鍵DB)から、認証要求の利用者ID「a001」に対応した秘密鍵「K-a」を選択する(同(1b))。認証サーバ装置500は、チャレンジ情報(=乱数)を生成して、これを利用者端末装置700に送信する(同(1c))。利用者端末装置700は、認証サーバ装置500が送信したチャレンジ情報を受信する(同(2a))。利用者端末装置700は、チャレンジ情報と秘密鍵「K-a」から一方向ハッシュ関数や共通鍵暗号方式を用いた認証サーバと利用者端末の間に事前に合意されたアルゴリズムによりレスポンス情報を算出して、認証サーバ装置500に送信する(同(2b))。認証サーバ装置500は、利用者端末装置700が送信したレスポンス情報を受信する(同(2c))。認証サーバ装置500は、チャレンジ情報と選択した秘密鍵「K-a」からレスポンス情報を算出する(同(3a))。認証サーバ装置500は、受信したレスポンス情報と、算出したレスポンス情報を比較して一致するか否かを判定して、認証結果を送信する(同(4a))。利用者端末装置700は、認証サーバ装置500が送信した認証結果を受信する(同(4b))。
ところで、不特定多数の人が出入りするような場所では、機器の画面が盗み見されて情報の機密性の確保が難しいので、このような場所からの情報へのアクセスを拒否して、安全性の高い場所からのアクセスのみを許可することが望まれている。
言い換えると、機密性を確保するためには、利用者の認証と同時に、適切な場所からのアクセスのみを許可することが必要となる。
【0003】
たとえば、特許文献1では、入退出管理用コンピュータが区画領域に入室することが許可されるとICカードに業務用コンピュータの操作権限情報を記録して、業務用コンピュータがICカードのその操作権限情報を読み取って、業務アプリケーションを起動することで、利用者の権限を制御して特定の区画領域にいる場合にのみ機器や情報へのアクセスを許可する技術が開示されている。
【特許文献1】特開2000−259878号公報(段落0047−段落0049、段落0056−段落0059、図5、図6)
【発明の開示】
【発明が解決しようとする課題】
【0004】
ところで、特許文献1の技術では、既存の認証システムの仕組みに、操作権限をICカードに付与する機能や、ICカードの操作権限情報を用いて認証する機能などを、新たに追加しなければならず、そのための費用と手間がかかるという欠点があった。
また、操作権限情報が変更されて更新されたときには、ICカードに記録されている操作権限情報が更新されたものであるか否かを確認しなければならないという余分な手間がかかるという問題点があった。
【0005】
本発明はこのような点を解決するためになされたものであって、本発明の課題は、既存の認証システムの仕組みを変更することなく、情報ネットワークの機器や情報へのアクセス権限を、簡単で容易に設定できるシステムを提供することである。
【課題を解決するための手段】
【0006】
本発明は、以下のような解決手段により、前記課題を解決する。すなわち、請求項1の発明は、管理区域の入退場を管理する管理ゲート(300)と、利用者端末装置(700)と認証サーバ装置(500)とがネットワーク接続されて、ICカード(100)を用いる認証システムであって、前記ICカード(100)は、利用者識別情報(191)を記憶する記憶手段と、管理ゲート(300)が送信した利用者識別情報送信要求を受信して、利用者識別情報(191)を返信する利用者識別情報返信手段と、管理区域に入場するときに管理ゲート(300)が送信した認証情報(192)を受信して、記憶手段に記録する認証情報記録手段と、利用者端末装置(700)が送信した認証情報送信要求を受信して、認証情報(192)を返信する認証情報返信手段と、管理区域から退場するときに管理ゲート(300)が送信した認証情報削除指示を受信して認証情報(192)を削除する認証情報削除手段と、を備えるICカードであって、前記管理ゲート(300)は、利用者認証情報(395)を記憶する記憶手段と、管理区域に入場するICカード(100)に利用者識別情報送信要求を発行して、返信された利用者識別情報(191)を受信する利用者識別情報受信手段と、乱数データを生成して、前記受信した利用者識別情報(191)と前記乱数データを用いて、認証情報(192)を作成する認証情報作成手段と、前記作成された認証情報(192)を、ICカード(100)と認証サーバ装置(500)に送信する認証情報送信手段と、管理区域から退場するICカード(100)から利用者識別情報を読み取って、これを含む認証情報削除指示をICカード(100)と認証サーバ装置(500)に発行する認証情報削除指示手段と、を備えるゲートであって、前記利用者端末装置(700)は、認証情報送信要求をICカード(100)に送信する認証情報要求手段と、ICカード(100)が返信した認証情報(192)を受信して、認証サーバ装置500に転送する認証情報転送手段と、認証サーバ装置(500)が送信した認証結果を受信する認証結果受信手段と、を備える端末装置であって、前記認証サーバ装置(500)は、乱数データと利用者識別情報とを対応付けて記録された認証データベース(595)を記憶する記憶手段と、管理ゲート(300)が送信した認証情報(192)を受信して、認証データベース(595)に登録するデータベース登録手段と、利用者端末装置(700)が転送した認証情報(192)を受信する認証情報受信手段と、前記受信した認証情報(192)の利用者識別情報を検索キーにして、認証データベース(595)を検索して、検索キーに対応付けられた乱数データを取得して、認証情報(192)の乱数データと一致すれば認証する認証手段と、管理ゲート(300)が送信した認証情報削除指示を受信して、認証データベース(595)から当該認証情報(192)を削除する認証情報削除手段と、を備えるサーバ装置である、ことを特徴とする認証システムである。
【0007】
このように、認証情報は、ICカードが管理区域に入場したときに生成されて、管理区域から退場したときに削除されるので、管理区域に入場しているICカードのみが認証を得ることができる。
【0008】
請求項2の発明は、管理ゲート(300)は、前記受信した利用者識別情報(191)を利用者認証情報(395)と照合して認証をする認証手段、を備えるゲートである、ことを特徴とする請求項1に記載の認証システムである。
【0009】
請求項3の発明は、管理ゲート(300)と利用者端末装置(700)と認証サーバ装置(500)がネットワークに接続されて、ICカード(100)を用いる認証システムであって、前記管理ゲート(300)は、乱数を生成して秘密鍵(192)として前記ICカード(100)に送信し、前記秘密鍵と前記ICカードの利用者識別情(191)報を認証サーバ装置(500)に送信する認証鍵送信手段と、を備える管理ゲートであって、前記利用者端末装置(700)は、前記ICカード(100)より前記利用者識別情報(191)と前記秘密鍵(192)を読み取り、前記利用者識別情報(191)を認証サーバ装置(500)へ送信し認証を求める認証要求手段と、前記ICカードから読取った秘密鍵と認証サーバ装置(500)から受信した乱数をもとにレスポンス情報を生成して、前記認証サーバ装置(500)に送信するレスポンス送信手段と、を備える利用者端末装置であって、前記認証サーバ装置(500)は(100)、前記管理ゲートが前記ICカードから読み取った前記利用者識別情報(191)と前記秘密鍵(192)を受信して、前記利用者識別情報と前記秘密鍵をひもづけて記憶する記憶手段と、前記認証要求手段により前記利用者識別情報を受信して、当該利用者識別情報から前記秘密鍵を特定する秘密鍵特定手段と、乱数を生成して、前記利用者端末装置に送信し、前記レスポンス情報を受信するレスポンス受信手段と、前記レスポンス情報と前記認証サーバ内の前記利用者識別情報の前記秘密鍵と前記乱数から生成したレンスポンス情報を比較して一致すれば認証する認証手段、を備える認証サーバ装置であることを特徴とする認証システムである。
【発明の効果】
【0010】
本願発明によれば、
(1)既存の認証機能に変更を加えることなく、管理区域に入場しているICカードを認証することが可能である。
(2)操作権限情報は用いないで、識別情報だけを用いてICカードの認証を行うという簡素であるが信頼性の高い認証処理が可能である。
【発明を実施するための最良の形態】
【0011】
以下、図面等を参照しながら、本発明の実施の形態について、更に詳しく説明する。
【0012】
図1は、本発明による認証システム1の概要を説明する図である。認証システム1は、ICカード100と、管理ゲート300と、認証サーバ装置500と、利用者端末装置700とから、構成される。管理ゲート300と、認証サーバ装置500と、利用者端末装置700とは、ネットワーク600で接続される。管理ゲート300は、管理区域800の入退場するICカード100を管理する。
【0013】
ICカード100は、コンピュータプログラムによって制御される電子機器である。
ICカード100のコンピュータプログラムは、たとえば、C++を用いてプログラム機能を追加できる。
【0014】
管理ゲート300と、利用者端末装置700とは、ICカードリーダを備える。
管理ゲート300は、コンピュータプログラムによって制御される電子機器である。
管理ゲート300のコンピュータプログラムは、たとえば、C++を用いてプログラム機能を追加できる。
【0015】
利用者端末装置700は、ICカード100を用いて認証してその利用を許可する。
利用者端末装置700は、コンピュータプログラムによって制御される電子機器である。
利用者端末装置700は、たとえば、パーソナルコンピュータである。利用者端末装置700のコンピュータプログラムは、たとえば、C++を用いてプログラム機能を追加できる。
【0016】
認証サーバ装置500は、コンピュータプログラムによって制御されるサーバコンピュータである。認証サーバ装置500のコンピュータプログラムは、データベース管理プログラムを含んでいる認証プログラムである。
認証サーバ装置500のコンピュータプログラムは、C++を用いてプログラム機能を追加できる。
【0017】
図2は、ICカード100の詳細な構成図である。
ICカード100は、CPU101と、通信部102とメモリ109と、専用プログラムとを備える。
通信部102は、アンテナコイルや、接触端子である。メモリ109は、半導体メモリや磁気メモリである。メモリ109は、利用者識別情報191を記憶する。専用プログラムは、利用者識別情報返信手段110と、認証情報記録手段120と、認証情報返信手段130と、認証情報削除手段140とから構成される。
【0018】
利用者識別情報返信手段110は、管理ゲート300が送信した利用者識別情報送信要求を受信して、利用者識別情報191を返信する。
認証情報記録手段120は、管理区域に入場するときに管理ゲート300が送信した認証情報192を受信して、メモリ109に記録する。
認証情報返信手段130は、利用者端末装置700が送信した認証情報送信要求を受信して、認証情報192を返信する。
【0019】
認証情報削除手段140は、管理区域から退場するときに管理ゲート300が送信した認証情報削除指示を受信して認証情報192を削除する。
【0020】
図3は、認証情報192の構造を説明する図である。
認証情報192の項目は、利用者識別情報192aと乱数値情報192bとから構成される。
利用者識別情報192aは、利用者IDである。
乱数値情報192bは、値が不規則に配列した数字列である。
【0021】
図4は、管理ゲート300の詳細な構成図である。
管理ゲート300は、CPU301と、通信部302と、ICカードリーダ303と、メモリ309と、プログラムとを備える。
【0022】
通信部302は、LAN接続コネクタである。通信部302は他の装置の通信部とネットワーク接続する。ICカードリーダ303は、ICカード100と接触接続、または、非接触接続して、ICカード100のデータの読み書きを行う。メモリ109は、半導体メモリや磁気メモリである。メモリ109は、入場者認証情報395を記憶する。プログラムは、利用者識別情報受信手段310と、認証手段320と、認証情報作成手段330と、認証情報送信手段340と、認証情報削除指示手段350と、とから構成される。
【0023】
利用者識別情報受信手段310は、管理区域に入場するICカード100に利用者識別情報送信要求を発行して、返信された利用者識別情報191を受信する。認証手段320は、前記受信した利用者識別情報191を利用者認証情報395と照合して認証をする。
【0024】
認証情報作成手段330は、乱数データを生成して、前記受信した利用者識別情報191と前記乱数データを用いて、認証情報192を作成する。認証情報送信手段340は、前記作成された認証情報192を、ICカード100と認証サーバ装置500に送信する。
【0025】
認証情報削除指示手段350は、管理区域から退場するICカード100から利用者識別情報を読み取って、これを含む認証情報削除指示をICカード100と認証サーバ装置500に発行する。
【0026】
なお、認証手段320は、既存のプログラムである。利用者識別情報受信手段310と、認証情報送信手段340と、認証情報削除指示手段350とは、本発明による専用プログラムである。
【0027】
図5は、利用者端末装置700の詳細な構成図である。
は、CPU701と、通信部702と、ICカードリーダ703と、メモリ709と、プログラムとを備える。
【0028】
通信部702は、LAN接続コネクタである。通信部702は他の装置の通信部とネットワーク接続する。ICカードリーダ703は、ICカード100と接触接続、または、非接触接続して、ICカード100のデータを取得する。メモリ709は、半導体メモリや磁気メモリである。プログラムは、認証情報要求手段710と、認証情報転送手段720と、認証結果受信手段730とから構成される。
【0029】
認証情報要求手段710は、認証情報送信要求をICカード100に送信する。
認証情報転送手段720は、ICカード100が返信した認証情報192を受信して、認証サーバ装置500に転送する。認証結果受信手段730は、認証サーバ装置500が送信した認証結果を受信する。
【0030】
図6は、認証サーバ装置500の詳細な構成図である。
認証サーバ装置500は、CPU501と、通信部502と、メモリ509と、プログラムとを備える。
【0031】
通信部502は、LAN接続コネクタである。通信部302は他の装置の通信部とネットワーク接続する。メモリ109は、半導体メモリや磁気メモリである。メモリ109は、認証データベース595を記憶する。認証データベース595は、乱数データと利用者識別情報とを対応付けて記録する。プログラムは、データベース登録手段510と、認証情報受信手段520と、認証手段530と、認証情報削除手段540とから構成される。
【0032】
データベース登録手段510は、管理ゲート300が送信した認証情報192を受信して、認証データベース595に登録する。
【0033】
認証情報受信手段520は、利用者端末装置700が転送した認証情報192を受信して、利用者識別情報を含む検索キーを作成する。認証手段530は、前記作成された検索キーを用いて、認証データベース595を検索して、検索キーに対応付けられた乱数データを取得して、認証情報192の乱数データと一致すれば認証する。
【0034】
認証情報削除手段540は、管理ゲート300が送信した認証情報削除指示を受信して、認証データベース595から当該認証情報192を削除する。
【0035】
なお、データベース登録手段510と認証手段530は、既存のプログラムである。
とは、認証情報受信手段520と認証情報削除手段540は、本発明による専用プログラムである。
【0036】
図7は、本発明による認証システムの大まかな処理の流れを説明する図である。
【0037】
まず、利用者が管理区域(たとえば、部屋)800に入室する時には、管理ゲート300にICカード100を提示すると、管理ゲート300の利用者識別情報受信手段310は、ICカード100に利用者識別情報を要求する(図7(1a))。ICカード100の利用者識別情報返信手段110は、管理ゲート300が送信した利用者識別情報の要求を受け付けて、利用者識別情報(=利用者ID)ID191を返信する(同(1b))。管理ゲート300の利用者識別情報受信手段310はICカード100が返信した利用者ID191を受信する。認証手段320は、入場者認証者登録情報395と照合して利用者の認証をする(同(1c))。
【0038】
認証情報作成手段330は、認証情報192を作成して、認証情報送信手段340は、前記作成された認証情報192を、ICカード100と認証サーバ装置500に送信する(同(2a))。ICカード100の認証情報記録手段120は、管理ゲート300が送信した認証情報192を受信して、メモリ109に記録する(同(2b))。また、データベース登録手段510と、管理ゲート300が送信した認証情報192を受信して、認証データベース595に登録する(同(2c))。
【0039】
次に、利用者が入室した部屋800にある端末装置700を利用するときには、利用者端末装置700の認証情報要求手段710は、認証情報送信要求をICカード100に送信する(同(3a))。ICカード100の認証情報返信手段130は、利用者端末装置700が送信した認証情報送信要求を受信して、認証情報192を返信する(同(3b))。
利用者端末装置700の認証情報転送手段720は、ICカード100が返信した認証情報192を受信して、認証サーバ装置500に転送する(同(3c))。
【0040】
認証サーバ装置500の認証情報受信手段520は、利用者端末装置700が転送した認証情報192を受信して、この認証情報を含む検索キーを作成する(同(3d))。
認証手段530は、前記作成された検索キーを用いて、認証データベース595を検索して、検索キーに対応付けられた乱数データを取得して、認証情報192の乱数データと一致すれば認証して、認証結果を利用者端末装置700に送信する(同(3e))。
利用者端末装置700の認証結果受信手段730は、認証サーバ装置500が送信した認証結果を受信する(同(3f))。
【0041】
最後に、利用者が部屋800から退室するときに管理ゲート300にICカード100を提示すると、
管理ゲート300の利用者識別情報受信手段310は、ICカード100に利用者識別情報を要求する(同(4a))。
ICカード100の利用者識別情報返信手段110は、管理ゲート300が送信した利用者識別情報の要求を受け付けて、利用者識別情報(=利用者ID)191を返信する(同(4b))。
【0042】
管理ゲート300の利用者識別情報受信手段310はICカード100が返信した利用者ID191を受信する。認証情報削除指示手段350は、前記受信した利用者IDを含む認証情報削除指示を作成してICカード100と認証サーバ装置500に発行する(同(4c)。ICカード100の認証情報削除手段140は、管理区域から退場するときに管理ゲート300が送信した認証情報削除指示を受信して認証情報192を削除する(同(4d))。認証サーバ装置500の認証情報削除手段540は、管理ゲート300が送信した認証情報削除指示を受信して、認証データベース595から当該認証情報192を削除する(同(4e))。
【0043】
なお、(3c)から(3f)までの認証処理は、図8で例示した事前共有秘密鍵方式(pre shared key、PSKと略)の処理手順を用いても良い。このとき、認証鍵を、図8で説明した秘密鍵としてPSK方式の認証処理を行う。ここで、認証データベース595は、図8の共有秘密鍵データベースに相当する。さらには、認証処理は、以上で説明した2つの方法に限定されず、そのほかの方法を用いてもよい。
【0044】
以上詳しく説明したように、本願発明によれば、
(1)既存の認証機能に変更を加えることなく、管理区域に入場しているICカードを認証することができた。
(2)操作権限情報は用いないで、識別情報だけを用いてICカードの認証を行うという簡素であるが信頼性の高い認証処理ができた。
【図面の簡単な説明】
【0045】
【図1】本発明による認証システムの構成
【図2】ICカード100の詳細な構成図
【図3】認証情報192
【図4】管理ゲート300の詳細な構成図
【図5】利用者端末装置500の詳細な構成図
【図6】認証サーバ装置500の詳細な構成図
【図7】本発明による認証システムの処理の流れ
【図8】事前共有秘密鍵方式(pre shared key、PSKと略)の一例を説明する図
【符号の説明】
【0046】
1 認証システム
100 ICカード
110 利用者識別情報返信手段
120 認証情報記録手段
130 認証情報返信手段
140 認証情報削除手段
191 利用者識別情報、利用者ID
192 認証情報
192a 利用者識別情報
192b 数値情報
300 管理ゲート
310 利用者識別情報受信手段
320 認証手段
330 認証情報作成手段
340 認証情報送信手段
350 認証情報削除指示手段
395 入場者認証情報
500 認証サーバ装置
510 データベース登録手段
520 認証情報受信手段
530 認証手段
540 認証情報削除手段
595 認証データベース
700 利用者端末装置
710 認証情報要求手段
720 認証情報転送手段
730 認証結果受信手段
800 管理区域
【特許請求の範囲】
【請求項1】
管理ゲートと利用者端末装置と認証サーバ装置とがネットワーク接続されて、ICカードを用いる認証システムであって、
前記ICカードは、
利用者認証情報を記憶する記憶手段と、
管理ゲートが送信した利用者識別情報送信要求を受信して、利用者識別情報を返信する利用者識別情報返信手段と、
管理ゲートが送信した認証情報を受信して、記憶手段に記録する認証情報記録手段と、
利用者端末装置が送信した認証情報送信要求を受信して、認証情報を返信する認証情報返信手段と、
管理ゲートが送信した認証情報削除指示を受信して認証情報を削除する認証情報削除手段と、
を備えるICカードであって、
前記管理ゲートは、
利用者識別情報送信要求を発行して、返信された利用者識別情報を受信する利用者識別情報受信手段と、
乱数データを生成して、前記受信した利用者識別情報と前記乱数データを用いて、認証情報を作成する認証情報作成手段と、
前記作成された認証情報を、ICカードと認証サーバ装置に送信する認証情報送信手段と、
ICカードから利用者識別情報を読み取って、これを含む認証情報削除指示をICカードと認証サーバ装置に発行する認証情報削除指示手段と、
を備えるゲートであって、
前記利用者端末装置は、
認証情報送信要求をICカードに送信する認証情報要求手段と、
ICカードが返信した認証情報を受信して、認証サーバ装置に転送する認証情報転送手段と、
認証サーバ装置が送信した認証結果を受信する認証結果受信手段と、
を備える端末装置であって、
前記認証サーバ装置は、
乱数データと利用者識別情報とを対応付けて記録された認証データベースを記憶する記憶手段と、
管理ゲートが送信した認証情報を受信して、認証データベースに登録するデータベース登録手段と、
利用者端末装置が転送した認証情報を受信する認証情報受信手段と、
前記受信した認証情報の利用者識別情報を検索キーにして、認証データベースを検索して、検索キーに対応付けられた乱数データを取得して、認証情報の乱数データと一致すれば認証する認証手段と、
管理ゲートが送信した認証情報削除指示を受信して、認証データベースから当該認証情報を削除する認証情報削除手段と、
を備えるサーバ装置である、
ことを特徴とする認証システム。
【請求項2】
前記管理ゲートは、
前記受信した利用者識別情報を利用者認証情報と照合して認証をする認証手段と、
を備えるゲートである
ことを特徴とする請求項1に記載の認証システム。
【請求項3】
管理ゲートと利用者端末装置と認証サーバ装置がネットワークに接続されて、ICカードを用いる認証システムであって、
前記管理ゲートは、
乱数を生成して秘密鍵として前記ICカードに送信し、
前記秘密鍵と前記ICカードの利用者識別情報を認証サーバに送信する認証鍵送信手段と、
を備える管理ゲートであって
前記利用者端末装置は、
前記ICカードより前記利用者識別情報と前記秘密鍵を読み取り、
前記利用者識別情報を認証サーバへ送信し認証を求める認証要求手段と、
前記ICカードから読取った秘密鍵と認証サーバ装置から受信した乱数をもとにレスポンス情報を生成して、前記認証サーバに送信するレスポンス送信手段と、
を備える利用者端末装置であって、
前記認証サーバ装置は、
前記管理ゲートが前記ICカードから読み取った前記利用者識別情報と前記秘密鍵を受信して、前記利用者識別情報と前記秘密鍵をひもづけて記憶する記憶手段と、
前記認証要求手段により前記利用者識別情報を受信して、当該利用者識別情報から前記秘密鍵を特定する秘密鍵特定手段と、
乱数を生成して、前記利用者端末装置に送信し、前記レスポンス情報を受信するレスポンス受信手段と、
前記レスポンス情報と前記認証サーバ内の前記利用者識別情報の前記秘密鍵と前記乱数から生成したレンスポンス情報を比較して一致すれば認証する認証手段、
を備える認証サーバ装置である
ことを特徴とする認証システム。
【請求項1】
管理ゲートと利用者端末装置と認証サーバ装置とがネットワーク接続されて、ICカードを用いる認証システムであって、
前記ICカードは、
利用者認証情報を記憶する記憶手段と、
管理ゲートが送信した利用者識別情報送信要求を受信して、利用者識別情報を返信する利用者識別情報返信手段と、
管理ゲートが送信した認証情報を受信して、記憶手段に記録する認証情報記録手段と、
利用者端末装置が送信した認証情報送信要求を受信して、認証情報を返信する認証情報返信手段と、
管理ゲートが送信した認証情報削除指示を受信して認証情報を削除する認証情報削除手段と、
を備えるICカードであって、
前記管理ゲートは、
利用者識別情報送信要求を発行して、返信された利用者識別情報を受信する利用者識別情報受信手段と、
乱数データを生成して、前記受信した利用者識別情報と前記乱数データを用いて、認証情報を作成する認証情報作成手段と、
前記作成された認証情報を、ICカードと認証サーバ装置に送信する認証情報送信手段と、
ICカードから利用者識別情報を読み取って、これを含む認証情報削除指示をICカードと認証サーバ装置に発行する認証情報削除指示手段と、
を備えるゲートであって、
前記利用者端末装置は、
認証情報送信要求をICカードに送信する認証情報要求手段と、
ICカードが返信した認証情報を受信して、認証サーバ装置に転送する認証情報転送手段と、
認証サーバ装置が送信した認証結果を受信する認証結果受信手段と、
を備える端末装置であって、
前記認証サーバ装置は、
乱数データと利用者識別情報とを対応付けて記録された認証データベースを記憶する記憶手段と、
管理ゲートが送信した認証情報を受信して、認証データベースに登録するデータベース登録手段と、
利用者端末装置が転送した認証情報を受信する認証情報受信手段と、
前記受信した認証情報の利用者識別情報を検索キーにして、認証データベースを検索して、検索キーに対応付けられた乱数データを取得して、認証情報の乱数データと一致すれば認証する認証手段と、
管理ゲートが送信した認証情報削除指示を受信して、認証データベースから当該認証情報を削除する認証情報削除手段と、
を備えるサーバ装置である、
ことを特徴とする認証システム。
【請求項2】
前記管理ゲートは、
前記受信した利用者識別情報を利用者認証情報と照合して認証をする認証手段と、
を備えるゲートである
ことを特徴とする請求項1に記載の認証システム。
【請求項3】
管理ゲートと利用者端末装置と認証サーバ装置がネットワークに接続されて、ICカードを用いる認証システムであって、
前記管理ゲートは、
乱数を生成して秘密鍵として前記ICカードに送信し、
前記秘密鍵と前記ICカードの利用者識別情報を認証サーバに送信する認証鍵送信手段と、
を備える管理ゲートであって
前記利用者端末装置は、
前記ICカードより前記利用者識別情報と前記秘密鍵を読み取り、
前記利用者識別情報を認証サーバへ送信し認証を求める認証要求手段と、
前記ICカードから読取った秘密鍵と認証サーバ装置から受信した乱数をもとにレスポンス情報を生成して、前記認証サーバに送信するレスポンス送信手段と、
を備える利用者端末装置であって、
前記認証サーバ装置は、
前記管理ゲートが前記ICカードから読み取った前記利用者識別情報と前記秘密鍵を受信して、前記利用者識別情報と前記秘密鍵をひもづけて記憶する記憶手段と、
前記認証要求手段により前記利用者識別情報を受信して、当該利用者識別情報から前記秘密鍵を特定する秘密鍵特定手段と、
乱数を生成して、前記利用者端末装置に送信し、前記レスポンス情報を受信するレスポンス受信手段と、
前記レスポンス情報と前記認証サーバ内の前記利用者識別情報の前記秘密鍵と前記乱数から生成したレンスポンス情報を比較して一致すれば認証する認証手段、
を備える認証サーバ装置である
ことを特徴とする認証システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2008−242793(P2008−242793A)
【公開日】平成20年10月9日(2008.10.9)
【国際特許分類】
【出願番号】特願2007−82121(P2007−82121)
【出願日】平成19年3月27日(2007.3.27)
【出願人】(000002897)大日本印刷株式会社 (14,506)
【Fターム(参考)】
【公開日】平成20年10月9日(2008.10.9)
【国際特許分類】
【出願日】平成19年3月27日(2007.3.27)
【出願人】(000002897)大日本印刷株式会社 (14,506)
【Fターム(参考)】
[ Back to top ]