認証トークン、利用機器および認証システム
【課題】利用者に関する属性を容易かつ安全に設定する。
【解決手段】認証トークン1は、利用者にサービスを提供する利用機器2と接続され、利用者の生体情報を読み取る生体情報読取部13を具備する。記憶部12は、利用機器2から送信されてきた利用者に関する属性を含む認証情報121と、あらかじめ登録された利用者の生体情報である登録生体情報122とを対応付けて記憶する。認証部11は、生体情報読取部13で読み取った生体情報と、記憶部12内の登録生体情報122とが一致する場合に、利用者の認証が成功したと判別する。認証に成功したと判別した場合、通信部14は、登録生体情報122に対応付けられた認証情報121を利用機器2に送信する。
【解決手段】認証トークン1は、利用者にサービスを提供する利用機器2と接続され、利用者の生体情報を読み取る生体情報読取部13を具備する。記憶部12は、利用機器2から送信されてきた利用者に関する属性を含む認証情報121と、あらかじめ登録された利用者の生体情報である登録生体情報122とを対応付けて記憶する。認証部11は、生体情報読取部13で読み取った生体情報と、記憶部12内の登録生体情報122とが一致する場合に、利用者の認証が成功したと判別する。認証に成功したと判別した場合、通信部14は、登録生体情報122に対応付けられた認証情報121を利用機器2に送信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証トークン、利用機器および認証システムに関する。
【背景技術】
【0002】
近年、利用者の生体情報を用いた認証が成功した場合に、利用者に所定のサービスを提供する技術が多数提案されている。このような生体情報(例えば、指紋など)を用いた一般的な認証技術では、生体情報読取用のセンサで読み取った生体情報を用いて利用者を認証する。
【0003】
例えば、利用者の指紋に基づいて指紋認証を行う場合、PC(Personal Computer)や携帯端末などの利用者にサービスを提供するそれぞれ独立した利用機器に、指紋センサを個別に設けておく。そして、指紋センサで読み取った指紋と、利用機器にあらかじめ登録されている指紋情報が示す利用者の指紋との比較による利用者の認証が成功した場合、利用機器がサービスを提供する。
【0004】
また、認証トークンなどが読み取って送信してきた生体情報を用いて、利用機器または利用機器以外の外部装置が利用者の認証を行い、認証の成功時にサービスを提供する技術も考えられている。
【0005】
例えば、ドアなどの利用機器に設置された指紋センサで読み取った指紋と、あらかじめ記憶されている指紋情報とをホストコンピュータにて比較することで利用者を認証するシステムが考えられている。このシステムでは、認証が成功した場合、ホストコンピュータが、ドアの鍵を開錠するよう指示する。また、ホストコンピュータは、どのドアがどの利用者によって開錠されたかを示す履歴を管理する。
【0006】
また、例えば、指紋センサで読み取った指紋情報に応じて定めた相関ファクタと、所定のコード(例えば、固定コードなど)とから認証トークンが生成した機密保護トークンを用いて、サービス提供側の利用機器が利用者の認証を行い、認証の成功時に利用者にサービス使用を許可する本人確認装置が考えられている(例えば、特許文献1参照。)。
【0007】
また、生体情報による認証が認証トークンにて成功した場合、認証トークンから送信されてきた所定情報を用いて利用機器がサービスを提供する技術も考えられている。
【0008】
例えば、生体情報を用いた認証の成功時に認証トークンから利用機器へとパスワードおよびトークンIDを送信し、さらに、利用機器におけるパスワード認証が成功した場合、利用者にサービスを提供する認証システムが考えられている(例えば、特許文献2参照。)。
【0009】
また、生体情報による認証の成功時に、認証結果とユーザIDとパスワードと個人情報とを認証トークンから利用機器へと送信し、利用機器にて認証結果が「成功」を示すことを識別した際に、利用者にサービスを提供する認証システムが考えられている(例えば、特許文献3参照。)。
【0010】
上述した各システムでは、利用機器(例えば、PCやドア)を使用しようとする場合、認証に成功した利用者のうちで所定の条件(例えば、職務上の権限)を満たす者に対してのみ利用可能に設定することができる。これは、各利用者に対して、各利用者の権限に対応したアクセスレベルを示す属性を設定し、利用者の属性が利用機器の使用可能なアクセスレベルである場合、使用を許可することで実現される。これにより、アクセス対象のセキュリティレベルに応じて利用者を限定し、より高度なセキュリティシステムが実現される。
【特許文献1】特開平07−050665号公報
【特許文献2】特開2002−281028号公報
【特許文献3】特開2002−278640号公報
【発明の開示】
【発明が解決しようとする課題】
【0011】
しかしながら、特許文献1、2および3に開示された各技術や、上述の各個独立した利用機器が利用者を直接認証してサービスを直接提供する技術などによれば、利用者の追加や属性の変更を行う場合、利用者が使用する利用機器すべての設定を個別に変更しなければならないという問題点がある。例えば、企業や教育機関などのように多数の利用機器が設置されている施設では、利用者の属性の設定を変更するために膨大な時間がかかってしまうという問題点がある。
【0012】
また、認証成功時にドアを開錠する上述のシステムのように、サービスを提供する利用機器へのアクセスをネットワークを介して集中管理する技術では、アクセス制限を適用するすべての利用機器をネットワークに接続する必要がある。そのため、利用機器がネットワークに常時接続されていない場合には、当該利用機器に対してアクセス制限を適用することが困難であるという問題点がある。
【0013】
このような問題を回避するために、アクセスレベルの高い利用機器に対して、その使用許可を受けた利用者が使用可能な共通のパスワードを設け、許可を受けた利用者が臨時に共通のパスワードを用いてアクセスしたり、マスタキーの利用などで対応したりすることが考えられる。しかし、このような方法では、許可を受けた利用者が不正に使用する場合には、共通のパスワードやマスキーがセキュリティホールとなってしまう。そのため、生体情報による本人認証を導入しているにも関わらず、セキュリティ上の重大な問題を引き起こすおそれがあるという問題点がある。
【0014】
さらに、生体情報を用いるシステムでは、認証に用いる生体情報の登録に失敗したり、認証に失敗したりするおそれがあるという問題点がある。例えば、指紋センサであれば、利用者の指の状態により指紋情報が登録できなかったり、指紋情報が登録できた場合でも認証が失敗してしまう場合が少なからず存在する。このような問題を回避するために、上述した共通のパスワードやマスタキーを公開した場合、セキュリティホールとなってしまう。
【0015】
このように、生体情報を用いた認証システムでは、セキュリティ向上に有効であるにも関わらず、却って、セキュリティが低下してしまったり、利便性が損なわれてしまったりするという問題がある。
【0016】
本発明は、上述した課題を解決する認証トークンを提供することを目的とする。
【課題を解決するための手段】
【0017】
上記課題を解決するために、本発明の認証システムは、利用者にサービスを提供する利用機器と認証トークンとが接続された認証システムであって、前記認証トークンは、前記利用者の生体情報を読み取る生体情報読取部と、前記利用機器から送信されてきた前記利用者に関する属性を示す属性情報と、あらかじめ登録された前記利用者の生体情報である登録生体情報とを対応付けて記憶する第1記憶部と、前記生体情報読取部で読み取った生体情報と前記登録生体情報とが一致する場合に、利用者の認証が成功したと判別する認証部と、前記認証部が前記認証が成功したと判別した場合、前記登録生体情報に対応付けられている前記属性情報を前記利用機器に送信する第1通信部とを有し、前記利用機器は、前記利用者の属性情報と、前記利用者が使用可能なサービスとを対応付けて記憶する第2記憶部と、前記第1通信部から送信されてきた前記利用者の属性情報を受信する第2通信部と、前記第2通信部が受信した前記属性情報が示す利用者の属性を識別する属性識別部と、前記属性識別部が識別した前記属性に対応する前記第2記憶部が記憶するサービスを提供するサービス提供部とを有する。
【0018】
上記課題を解決するために、本発明の認証トークンは、利用者にサービスを提供する利用機器と接続された認証トークンであって、前記利用者の生体情報を読み取る生体情報読取部と、前記利用機器から送信されてきた前記利用者に関する属性を示す属性情報と、あらかじめ登録された前記利用者の生体情報である登録生体情報とを対応付けて記憶する記憶部と、前記生体情報読取部で読み取った生体情報と前記登録生体情報とが一致する場合に、利用者の認証が成功したと判別する認証部と、前記認証部が前記認証が成功したと判別した場合、前記登録生体情報に対応付けられている前記属性情報を前記利用機器に送信する通信部とを有する。
【0019】
また、本発明の認証トークンは、他の認証トークンと接続されており、記憶部は、他の認証トークンから送信されてきた属性を示す移譲属性情報を、属性情報とともに記憶してもよい。
【0020】
また、本発明の認証トークンの記憶部は、移譲属性情報を記憶する対象とする他の認証トークンが登録されている属性移譲判別情報を記憶しており、移譲属性情報を送信してきた他の認証トークンが属性移譲判別情報に登録されている場合、移譲属性情報を記憶してもよい。
【0021】
また、本発明の認証トークンの通信部は、認証が成功したと認証部が判別した場合、記憶部が記憶している移譲属性情報と属性情報とを利用機器に送信してもよい。
【0022】
上記課題を解決するために、本発明の利用機器は、利用者の属性情報を送信する認証トークンと接続された利用機器であって、前記利用者の属性情報と、前記利用者が使用可能なサービスとを対応付けて記憶する記憶部と、前記認証トークンから送信されてきた前記利用者の属性情報を受信する通信部と、前記通信部が受信した前記属性情報が示す利用者の属性を識別する属性識別部と、前記属性識別部が識別した前記属性に対応する前記記憶部が記憶するサービスを提供するサービス提供部とを有する。
【発明の効果】
【0023】
本発明によれば、利用者にサービスを提供する利用機器と認証トークンとが接続された認証システムにおいて、認証トークンは、利用機器から送信されてきた利用者に関する属性を示す属性情報と、あらかじめ登録された利用者の生体情報である登録生体情報とを対応付けて記憶し、読み取った生体情報と登録生体情報とが一致する場合に、利用者の認証が成功したと判別し、認証が成功したと判別した場合、登録生体情報に対応付けられている属性情報を利用機器に送信し、利用機器は、利用者の属性情報と、利用者が使用可能なサービスとを対応付けて記憶し、認証トークンから送信されてきた利用者の属性情報を受信し、受信した前記属性情報が示す利用者の属性を識別し、識別した属性に対応するサービスを提供する構成としたため、生体情報を用いて利用者を認証するシステムにおいて、利用者に関する属性を容易かつ安全に設定できる。
【発明を実施するための最良の形態】
【0024】
(実施形態1)
以下、本発明の実施形態1に従った認証システム(認証トークン、利用機器を含む)を説明する。
【0025】
まず、実施形態1の認証システムの全体構成を説明する。
【0026】
図1に示すように、この認証システムは、認証トークン1と、利用機器2とから構成される。
【0027】
認証トークン1は、利用者が携帯可能な程度の大きさを有するトークンである。認証トークン1の数は任意でよい。
【0028】
認証トークン1は、センサ(後述する生体情報読取部13)によって利用者の生体情報を読み取り、読み取った生体情報を用いて利用者の認証を行う。
【0029】
ここで、生体情報の形式については、特に限定しない。例えば、光彩、掌形、静脈などの一般的に用いられている生体情報でよいが、この説明例では、生体情報が「指紋」である場合を例に挙げて説明する。
【0030】
また、認証トークン1は、利用者の認証が成功した場合、後述の属性情報302を、利用機器2に送信する。
【0031】
なお、認証トークン1と利用機器2との間の通信形態については、特に限定しない。例えば、通信形態が無線通信方式である場合、一般的な無線通信インタフェースを介した無線通信や、赤外線通信を行ってもよい。また、通信形態が有線通信方式である場合、USB(Universal Serial Bus)などの通信インタフェースやイーサネットなどを介した有線通信を行ってもよい。
【0032】
利用機器2は、例えば、所定の情報処理装置で構成される。利用機器2は、認証トークン1の利用者が利用の対象とする機器である。
【0033】
利用機器2は、認証トークン1から送信されてきた認証情報121に基づいて、所定のサービスの使用を利用者に許可する。以下では、利用機器2は、電子メールに関するサービスを利用者に提供する場合を例に挙げて説明する。
【0034】
また、利用機器2は、認証トークン1が利用者の属性を更新するための情報を、認証トークン1に送信する。
【0035】
つぎに、認証トークン1の構成について詳細に説明する。
【0036】
図2に示すように、認証トークン1は、認証部11と、記憶部12と、生体情報読取部13と、通信部14とを有する。
【0037】
認証部11は、生体情報読取部13が読み取った利用者の「生体情報」と、記憶部12にあらかじめ記憶されている「登録生体情報122」とが一致するかどうかに基づいて、利用者の認証が「成功」したかどうか(認証の成功または失敗)を判別する。
【0038】
この説明例においては、生体情報読取部13が読み取った利用者の「生体情報」は、指紋情報に相当する。なお、以下では、生体情報読取部13が読み取った生体情報を「読取生体情報」という。
【0039】
認証部11は、読取生体情報と登録生体情報122とが一致する場合、利用者の認証が成功した、つまり、認証した者は登録生体情報122に指紋が登録された正当な利用者であると判別する。
【0040】
また、認証部11は、読取生体情報と登録生体情報122とが一致しない場合、利用者の認証が失敗した、つまり、認証した者は登録生体情報122に指紋が登録されていない不正な利用者であると判別する。
【0041】
記憶部12は、各種の情報を記憶する「第1記憶部」である。記憶部12は、例えば、認証情報121と、登録生体情報122とを対応付けて記憶する。
【0042】
図3に示すように、「認証情報121」は、トークンID(Identifier)301と、属性情報302と、ユーザID303と、ユーザ情報304とを対応付ける情報である。
【0043】
トークンID301は、認証システムにて用いられる各認証トークン1をそれぞれ識別するための識別番号である。
【0044】
属性情報302は、ユーザID303が割り当てられた利用者の属性に関する情報を含む情報である。
【0045】
ここに、利用者の「属性」とは、例えば、利用機器2が提供するサービスの使用の可否(アクセスの可否)を判別するためのアクセスレベルである。
【0046】
なお、利用者の属性は、例えば、利用者の職位、利用者が所属する職場の部署や組織、利用者が常勤する建物や地域などに応じて、設定してもよい。
【0047】
ユーザID303は、認証部11により認証された利用者を一意に特定するための識別番号である。ユーザ情報304は、例えば、パスワード、会員番号、電話番号、クレジットカード番号、口座番号のような利用者の個人的な情報を含む情報である。
【0048】
図2に示した登録生体情報122は、認証情報121に対応付けられている。登録生体情報122は、認証部11が利用者を認証するための情報である。この説明例では、登録生体情報122が、あらかじめ登録された利用者の指紋を示す情報である場合を例に挙げて説明する。
【0049】
生体情報読取部13は、利用者の生体情報を読み取る「センサ」である。この説明例では、生体情報読取部13は、利用者の指紋を読み取る指紋センサである場合を例に挙げて説明する。ここで用いる指紋センサは、一般的な指紋センサでよい。
【0050】
生体情報読取部13(指紋センサ)は、利用者が指を指紋読取面に接触させたことを検知した場合に、指紋を読み取り、読み取った指紋を示す読取生体情報を、認証部11に出力する。
【0051】
通信部14は、利用機器2と通信することにより、任意のデータを送受信する「第1通信部」である。
【0052】
例えば、通信部14は、利用者の認証が成功したと認証部11が判別した場合、認証に用いた登録生体情報122と対応付けられた認証情報121内の属性情報302を利用機器2に送信する。
【0053】
なお、通信部14は、属性情報302とともに認証情報121内の他の情報を送信してもよい。
【0054】
また、通信部14は、属性情報302を送信する場合、暗号化された属性情報302を送信するようにしてもよい。これにより、認証トークン1から送信される属性情報302の第3者への漏洩や、属性情報302の第3者による改ざんなどの不正行為の実施を低減できる。
【0055】
また、認証が失敗したと認証部11が判別した場合、通信部14は、認証結果(成功と失敗とのいずれか)を利用機器2に送信してもよい。このとき、利用機器2にて、登録生体情報122を再登録するよう利用者に通知したり、不正な利用者による認証トークン1の使用を検出して当該検出結果を管理者などに通知したりしてもよい。また、指紋センサの状態の確認や指紋センサのクリーニングを行うよう、利用機器2が利用者に通知してもよい。
【0056】
つぎに、利用機器2の構成について詳細に説明する。
【0057】
図4に示すように、利用機器2は、属性識別部21と、サービス提供部22と、記憶部23と、通信部24とを有する。
【0058】
属性識別部21は、認証トークン1が認証に成功したと判別して属性情報302を送信してきた場合、属性情報302が示す属性(アクセスレベル)を識別する。
【0059】
サービス提供部22は、後述のサービス提供情報231を参照し、属性識別部21が識別した属性に対応する所定のサービスを提供する。
【0060】
記憶部23は、各種の情報を記憶する「第2記憶部」である。記憶部23は、例えば、サービス提供情報231を記憶する。
【0061】
図5に示すように、「サービス提供情報231」は、属性情報401と、トークンID402と、サービス403とを対応付ける。
【0062】
属性情報401は、トークンID402で識別される認証トークン1が使用可能なサービスを分別するための利用者の属性(アクセスレベル)である。
【0063】
トークンID402は、サービスを使用可能な認証トークン1を識別するための番号である。
【0064】
サービス403は、トークンID402により識別される認証トークン1が、利用機器2にて使用可能なサービスの種類および範囲(つまり、利用機器2における利用者の権限)である。
【0065】
なお、このサービス提供情報231は、その登録内容に変更が生じた場合に更新される。
【0066】
変更が生じた場合とは、例えば、認証トークン1を所持する利用者の職位の変更などに伴って、その認証トークン1に割り当てた属性情報401が変更される場合である。また、例えば、認証トークン1が新たに追加される場合、つまり、認証トークン1がサービス提供情報231へ新規に登録される場合である。
【0067】
サービス提供情報231が更新された場合には、その更新に関するトークンID402の認証トークン1に、当該認証トークン1の利用者の属性に関する情報である属性情報401が送信される。
【0068】
利用機器2からの属性情報401を受信した認証トークン1では、記憶部12が、当該属性情報401を、認証情報121内の属性情報302として記憶する。
【0069】
通信部24は、認証トークン1と通信することにより、任意のデータを送受信する「第2通信部」である。
【0070】
例えば、通信部24は、認証トークン1から送信されてきた属性情報302を受信する。
【0071】
また、例えば、通信部24は、サービス提供情報231が更新された場合、その更新に関するトークンID402で識別される認証トークン1へと属性情報401を送信する。
【0072】
つぎに、上記構成を有する認証システムが、認証トークン1による利用者の認証結果に基づいて、利用者によるサービスの使用を制御する動作を説明する。
【0073】
図6に示すように、生体情報読取部13(指紋センサ)は、認証トークン1−1と利用機器2とが接続されている状態において、利用者が指を指紋読取面に接触させたことを検知した場合、その指紋を読み取る(ステップS11)。そして、生体情報読取部13は、読み取った指紋を示す読取生体情報を認証部11に出力する。
【0074】
認証部11は、生体情報読取部13から出力されてきた読取生体情報と、記憶部12内の登録生体情報122とが一致するかどうかに基づいて、利用者の認証が成功したかどうかを判別する(ステップS12)。読取生体情報と登録生体情報122とが一致しなければ、認証部11は、利用者の認証が成功しなかったと判別して、処理を終了する。
【0075】
一方、読取生体情報と登録生体情報122とが一致した場合、通信部14は、属性情報302を利用機器2に送信する(ステップS13)。このとき、通信部14は、属性情報302とともに認証情報121の全部または一部を、利用機器2へと送信してもよい。
【0076】
つぎに、利用機器2が、認証トークン1からの属性情報302に基づいて、利用者へのサービス提供を行う動作について説明する。
【0077】
図7に示すように、利用機器2の通信部24は、認証トークン1から送信されてきた属性情報302を受信する(ステップS21)。このとき、通信部24は、認証装置1から、属性情報302とともに認証情報121の全部または一部を受信してもよい。
【0078】
属性識別部21は、受信した属性情報302が示す属性(アクセスレベル)を識別する(ステップS22)。
【0079】
続いて、サービス提供部22は、図5に示したサービス提供情報231を参照し、属性識別部21が識別した属性に対応する所定のサービス403を提供する(ステップS23)。
【0080】
図3の例では、属性情報302が示す属性は「2」である。そのため、サービス提供部22は、この属性に対応するサービス403(電子メールの閲覧、編集)を、認証トークン1を所持する利用者に提供する。以上で、一連の動作が終了する。
(実施形態2)
つぎに、実施形態2に従った認証システムについて説明する。
【0081】
実施形態2の認証システムの全体構成は、図1に示した例と同一である。
【0082】
ただし、実施形態2においては、複数の認証トークン1−1〜1−2を用いる。この説明例では、認証トークン1−1〜1−2の数が「2」である場合を例に挙げて説明するが、その数は「3」以上であってもよい。
【0083】
図8に示すように、実施形態2の認証システムが具備する各認証トークン1−1と1−2とは、互いに通信可能であるとともに、利用機器2ともそれぞれ通信可能であるように構成されている。
【0084】
また、認証トークン1−1、1−2それぞれは、利用機器2と、認証トークン1−2または1−1とのいずれかを通信先として選択し、選択した通信先に接続することが可能なように構成されている。
【0085】
認証トークン1−1は、認証トークン1−2と接続されている状態において、利用者の認証が成功した場合、自己が記憶する属性情報302−1を認証トークン1−2へと送信する「他の認証トークン」である。この説明例では、さらに、認証トークン1−1が、属性情報302−1とともにトークンID301−1を、認証トークン1−2へと送信する場合を例に挙げて説明する。
【0086】
認証トークン1−2は、認証トークン1−1からのトークンID301−1と属性情報302−1とを後述の移譲認証情報123−2に記憶する、つまり、認証トークン1−1から認証トークン1−2へと属性(アクセスレベル)を移譲する。
【0087】
そして、認証トークン1−2は、利用機器2と接続されている状態において、利用者の認証が成功したと判別した場合、後述の属性情報502と移譲属性情報504とを利用機器2へと送信する。なお、認証トークン1−2は、属性情報502および移譲属性情報504とともに、移譲認証情報123−2の全部または一部を利用機器2へと送信してもよい。
【0088】
なお、認証トークン1−1から認証トークン1−2へと属性を移譲する場合、認証トークン1−1は、属性情報302−1のみを認証トークン1−2へ送信し、トークンID301−1を送信しないようにしてもよい。また、認証トークン1−2は、認証トークン1−1からの属性情報302−1のみを移譲認証情報123−2に記憶するようにしてもよい。
【0089】
利用機器2は、認証トークン1−2から送信されてきた属性情報502と移譲属性情報504とを用いて、利用者によるサービスの使用を制御する。なお、利用機器2は、属性情報502および移譲属性情報504とともに移譲認証情報123−2の全部または一部を、認証トークン1−2から受信してもよい。
【0090】
つぎに、実施形態2の認証トークン1−1および1−2の構成について説明する。
【0091】
認証トークン1−1の構成は、実施形態1において図2に示した認証トークン1と基本的に同一である。すなわち、認証トークン1−1は、認証部11−1と、記憶部12−1と、生体情報読取部13−1と、通信部14−1とを有する。
【0092】
認証トークン1−1は、認証トークン1−2と接続されている状態において、利用者の認証が成功したと判別した場合、図3に示した属性情報302と同一の属性情報302−1を、認証トークン1−2へと送信する。なお、認証トークン1−1は、利用機器2と接続されている状態において、利用者の認証が成功したと判別した場合、実施形態1と同様の動作を実行する、つまり、属性情報302−1を、利用機器2へと送信する。
【0093】
認証トークン1−2の構成も、図2に示した例と基本的に同一である。すなわち、認証トークン1−2は、認証部11−2と、記憶部12−2と、生体情報読取部13−2と、通信部14−2とを有する。
【0094】
ただし、認証トークン1−2の記憶部12−2は、認証トークン1−1からの認証情報121−1に含まれているトークンID301−1と属性情報302−1とを、移譲認証情報123−2に記憶する。なお、移譲認証情報123−2は、認証トークン1−2を所持する利用者の指紋をあらかじめ登録した登録生体情報122−2と対応付けられている。
【0095】
「移譲認証情報123−2」は、認証トークン1−2に関する認証情報と、認証トークン1−2以外の認証トークン(この例では、認証トークン1−1)に関する情報とを含む情報である。
【0096】
図9に示すように、移譲認証情報123−2は、図3に示した認証情報121に加えて、移譲属性情報504と、移譲トークンID505とを含んでいる。より具体的には、移譲認証情報123−2は、トークンID501、属性情報502、ユーザID503およびユーザ情報506に加えて、移譲属性情報504と、移譲トークンID505とを含んでいる。
【0097】
移譲属性情報504は、認証トークン1−2が認証トークン1−1から受信した属性情報302−1が示す利用者の属性、つまり、認証トークン1−1を所持する利用者の属性である。
【0098】
移譲トークンID505は、認証トークン1−2が認証トークン1−1から受信した認証トークン1−1のトークンID301−1である。
【0099】
通信部14−2は、認証トークン1−2と利用機器2とが接続された状態において、認証部11−2が利用者の認証が成功したと判別した場合、認証に用いた登録生体情報122−2と対応付けられた属性情報502と、移譲属性情報504とを利用機器2へと送信する。
【0100】
つぎに、上記構成を有する実施形態2の認証システムが、認証トークン1−1と1−2との認証結果に基づいて、利用者によるサービスの使用を制御する動作を説明する。
【0101】
まず、実施形態2の認証トークン1−1の動作について説明する。
【0102】
図10に示すように、認証トークン1−1の動作は、図6に示した例と基本的に同一である。
【0103】
ただし、認証トークン1−1では、利用者の認証を行う前に、通信部14−1が、属性の移譲先である認証トークン1−2と接続する(ステップS31)。
【0104】
認証トークン1−1と認証トークン1−2とが接続された状態において、認証部11−1が利用者の認証が成功したと判別した場合、通信部14−1は、記憶部12−1内の属性情報302−1を、権限の移譲先の認証トークン1−2へと送信する(ステップS34)。さらに、この説明例では、通信部14−1は、トークンID301−1も認証トークン1−2へ送信する。
【0105】
なお、ステップS34において、認証トークン1−1は、認証トークン1−2に対して、属性情報302−1のみを送信してもよい。また、認証トークン1−1は、属性情報302−1とともに認証情報121−1の全部または一部を、認証トークン1−2へと送信してもよい。
【0106】
つぎに、認証トークン1−2の動作について説明する。
【0107】
図11に示すように、認証トークン1−2の通信部14−2は、「他の認証トークン」である認証トークン1−1と接続する(ステップS41)。
【0108】
続いて、認証トークン1−2の通信部14−2は、他の認証トークン1−1から送信されてきた属性情報302−1を受信する(ステップS42)。また、この説明例では、通信部14−2は、認証トークン1−1からのトークンID301−1も受信する。
【0109】
記憶部12−2は、通信部14−2が受信した属性情報302−1を、移譲属性情報504として記憶する(ステップS43)。また、通信部14−2が受信したトークンID301−1を、移譲認証情報123−2に記憶する。
【0110】
その後、通信部14−2は、認証トークン1−1との接続を終了する。続いて、通信部14−2は、利用機器2と接続する(ステップS44)。
【0111】
なお、それ以降のステップS45〜S47の処理は、図6に示したステップS11〜S13の処理と基本的に同一である。すなわち、生体情報読取部13−2が利用者の指紋を読み取り(ステップS45)、読み取った指紋を示す読取生体情報と登録生体情報122−2とを比較して(ステップS46)、両者が一致する場合、認証部11−2は認証が成功したと判別する。
【0112】
認証トークン1−2と利用機器2とが接続された状態において、認証が成功したと判別した場合、通信部14−2は、認証トークン1−2の利用者に関する属性情報502に加えて、認証トークン1−1の利用者に関する移譲属性情報504を利用機器2へと送信する(ステップS47)。
【0113】
つぎに、実施形態2の利用機器2の動作について説明する。
【0114】
実施形態2の利用機器2の動作は、図7に示した例と基本的に同一である。
【0115】
ただし、実施形態2では、ステップS21において、利用機器2と認証トークン1−2とが接続されている場合、通信部24は、認証トークン1−1から属性を移譲された認証トークン1−2からの属性情報502と移譲属性情報504とを受信する。
【0116】
また、ステップS22において、属性識別部21は、図9に示した属性情報502と移譲属性情報504とがそれぞれ示す属性を、認証トークン1−2の属性情報401であると識別する。図9の例では、認証トークン1−2の属性は、属性情報502が示す属性(「3」)と、移譲属性情報504が示す属性(「2」)とである。
【0117】
さらに、ステップS23において、サービス提供部22は、図5に示したサービス提供情報231を参照し、属性識別部21が識別した属性に対応するサービス403を識別する。そして、識別したサービス403を認証トークン1−2の利用者に提供する。
【0118】
この説明例では、認証トークン1−2の属性は「2」および「3」である。そのため、サービス提供部22は、この属性401に対応するサービス403(電子メールの閲覧と編集に加えて、電子メールの削除およびメールアドレスの変更)を、認証トークン1−2の利用者に提供する。以上で、一連の動作が終了する。
【0119】
なお、認証トークン1−2は、他の認証トークン1−1から属性情報302−1を受信した履歴を示す受信履歴情報と、他の認証トークン1−1から属性を移譲された履歴を示す移譲履歴情報とを記憶してもよい。そして、認証トークン1−2は、他の認証トークンから属性情報302を受信した場合や、他の認証トークンから属性を移譲された場合、受信履歴情報や移譲履歴情報を利用機器2へと送信する。そして、利用機器2にて、どの認証トークンから認証トークン1−2へと属性を移譲したかを監視するようにしてもよい。
【0120】
また、認証トークン1−1から認証トークン1−2へと属性が移譲される場合、移譲する側(認証トークン1−1)が移譲される側(認証トークン1−2)よりもアクセスレベルが高い場合に、属性を移譲してもよい。また、移譲する側が移譲される側よりもアクセスレベルが低い場合に、属性を移譲してもよい。これにより、認証システムの運用形態に対応して、不要な移譲が行われることを抑制できる。
【0121】
また、認証トークン1−1から認証トークン1−2への属性の移譲の際、認証トークン1−1は、属性情報302−1とともに、認証トークン1−1の利用者が所属する職場の部署や組織、利用者が常勤する建物や地域などを含んだユーザ情報304−1を送信してもよい。そして、認証トークン1−2は、属性情報302−1とともに、上述の職場の部署や組織、建物や地域などに関するユーザ情報304−1を記憶してもよい。そして、認証トークン1−2は、自己が記憶しているユーザ情報304−1が示す職場の部署や組織、建物や地域に一致するユーザ情報を送信してきた認証トークンのみから属性を委譲されるようにしてもよい。これにより、より厳密な利用制限を設けることが可能となる。
【0122】
また、認証システムの運用形態に応じて、他の認証トークン1−1から認証トークン1−2へと移譲された属性情報302−1の使用について、制限を設けるようにしてもよい。ここで、属性情報302−1の使用制限の形態については、特に限定しない。
【0123】
例えば、属性の移譲後に当該属性を使用した回数が所定回数(例えば、1回のみ)に到達するまで、移譲された属性を使用可能としてもよい。
【0124】
また、例えば、属性の移譲後の所定期間(例えば、移譲した日から5日間、または、使用可能となる開始日時から使用不可能となる終了日時まで)において、移譲された属性を使用可能としてもよい。
【0125】
また、例えば、属性の移譲後に行われる認証トークン1−2での認証実行回数が所定回数に到達するまで、移譲された属性を使用可能としてもよい。
【0126】
また、例えば、属性の移譲後に行われる認証トークン1−2での認証における失敗回数が所定回数に到達するまで、移譲された属性を使用可能としてもよい。
【0127】
さらに、認証トークン1−2へと属性を委譲する側の他の認証トークンが複数存在する場合、他の認証トークンそれぞれから移譲された各属性に関して、それぞれ異なる使用制限を設けるようにしてもよい。
【0128】
また、属性を移譲される側の認証トークン1−2では、認証トークン1−1からの属性情報302−1の移譲前または移譲時にて、認証部11−2による認証を行うようにしてもよい。そして、認証が成功したと認証部11−2が判別した場合に、属性情報302−1を移譲属性情報504として記憶するようにしてもよい。これにより、正当な利用者以外の者による成りすましを実施しにくくできる。また、認証トークン1−2の属性情報502よりも高い属性情報302−1が認証トークン1−1から移譲される場合のみ、認証トークン1−2にて利用者の認証を行うようにしてもよい。
【0129】
また、認証トークン1−2は、認証トークン1−1の属性情報302−1を利用機器2から受信してもよい。そして、利用機器2からの属性情報302−1を、移譲認証情報123−2に記憶してもよい。例えば、電子メールに添付された属性情報302−1を利用機器2が認証トークン1−1から受信し、その利用機器2から転送されてきた属性情報302−1を、記憶してもよい。また、属性情報302−1が記憶された着脱可能な可搬型メモリや記録媒体(例えば、DVD(Digital Versatile Disk)など)から属性情報302−1を読み出し、移譲認証情報123−2に記憶してもよい。
【0130】
また、認証トークン1−1は、属性情報302−1とともにパスワードを含んだユーザ情報304−1を、認証トークン1−2へと送信してもよい。そして、認証トークン1−2があらかじめ記憶しているパスワードと、認証トークン1−1から送信されてきたパスワードとが一致した場合、属性情報302−1を移譲属性情報504として記憶するようにしてもよい。これにより、属性を移譲する側の認証トークン1−1が、正当な認証トークンであることをより確実に確認可能となる。
(実施形態3)
つぎに、実施形態3に従った認証システムについて説明する。
【0131】
実施形態3の認証システムの構成は、図8に示した実施形態2の構成と同じである。また、実施形態3の認証トークン1−1の構成および動作は、実施形態2で説明した構成および動作と同じである。
【0132】
実施形態3の認証トークン1−2の構成は、実施形態2で説明した構成と基本的に同一である。
【0133】
ただし、図12に示すように、実施形態3の認証トークン1−2は、属性移譲判別部15−2を有する。
【0134】
属性移譲判別部15−2は、他の認証トークン1−1から受信したトークンID301−1が後述の属性移譲判別情報124−2に含まれているかどうかに基づいて、認証トークン1−1から認証トークン1−2へと属性を移譲できるかどうかを判別する。
【0135】
他の認証トークン1−1からのトークンID301−1が属性移譲判別情報124−2に含まれている場合、属性移譲判別部15−2は、認証トークン1−1から属性を移譲できると判別する。一方、他の認証トークン1−1からのトークンID301−1が属性移譲判別情報124−2に含まれていない場合、属性移譲判別部15−2は、属性を移譲できないと判別する。
【0136】
属性移譲判別部15−2が属性を移譲できると判別した場合、記憶部12−2は、他の認証トークン1−1からのトークンID301−1と属性情報302−1とを、移譲認証情報123−2に記憶する。
【0137】
実施形態3の記憶部12−2は、属性移譲判別情報124−2を記憶する。
【0138】
「属性移譲判別情報124−2」は、認証トークン1−2に対して属性を移譲することが可能な他の認証トークンを判別するための情報、つまり、他の認証トークンから送信されてきた属性情報を移譲認証情報123−2の移譲属性情報504に記憶してもよいかどうかを判別するための情報である。
【0139】
図13に示すように、属性移譲判別情報124−2は、移譲可能トークンID601と、サービス使用制約条件602とを対応付ける情報である。
【0140】
移譲可能トークンID601は、認証トークン1−2に対して属性を移譲することが可能な認証トークン、つまり、移譲属性情報504を記憶部12−2に記憶する対象とする他の認証トークンのトークンIDである。
【0141】
サービス使用制約条件602は、他の認証トークン1−1から認証トークン1−2へと移譲された属性を用いてサービスを使用する際の制約条件である。なお、このサービス使用制約条件602は、認証トークン1−2に属性を移譲可能な他の認証トークンが2つ以上ある場合、他の認証トークンそれぞれについて設定可能である。
【0142】
サービス使用制約条件602が示す制約条件は、任意であるが、例えば、以下のような内容でもよい。
【0143】
サービス使用制約条件602は、移譲された属性の有効期限に関する制約条件でもよい。この場合、所定時間内や所定日数内でのサービス使用のみを認証トークン1−2に許可することが可能である。図13の例では、属性が移譲された日を含めて5日間の使用が許可されている。
【0144】
また、サービス使用制約条件602は、属性の移譲後にサービスを使用可能な回数に関する制約条件でもよい。図13の例では、移譲された属性を用いて1回のみのサービス使用が認証トークン1−2に許可されている。
【0145】
また、サービス使用制約条件602は、属性移譲後の認証トークン1−2における認証の失敗回数に関する制約条件でもよい。図13の例では、認証の失敗回数が所定回数(10回)に到達するまで、移譲された属性によるサービス使用を認証トークン1−2に許可することが可能である。
【0146】
これにより、認証システムの運用形態に応じて、移譲された属性によるサービス使用を許可することができる。
【0147】
なお、属性移譲判別情報124−2の設定内容は、図13に示した例に限られない。
【0148】
例えば、認証トークン1−1から認証トークン1−2へと属性が移譲される場合、移譲する側(認証トークン1−1)の属性情報302−1と、移譲される側(認証トークン1−2)の属性情報502との間のアクセスレベルの高低に基づいて、属性移譲判別情報124−2を設定してもよい。すなわち、属性を移譲する側が移譲される側よりもアクセスレベルが高い場合、属性を移譲するように設定してもよく、逆に、移譲する側が移譲される側よりもアクセスレベルが低い場合、属性を移譲するように設定してもよい。これにより、認証システムの運用形態に対応して、不要な移譲が行われることを抑制できる。
【0149】
また、認証トークン1−2は、他の認証トークンから属性情報302を受信した履歴を示す受信履歴情報と、他の認証トークンから属性を移譲された履歴を示す移譲履歴情報とを記憶してもよい。そして、認証トークン1−2は、他の認証トークンから属性情報302を受信した場合や、他の認証トークンから属性を移譲された場合、受信履歴情報や移譲履歴情報を利用機器2へと送信する。そして、利用機器2にて、どの認証トークンから認証トークン1−2へと属性を移譲したかを監視するようにしてもよい。
【0150】
また、認証トークン1−1から認証トークン1−2へと属性を移譲する場合、認証トークン1−1は、属性情報302−1とともに、認証トークン1−1の利用者が所属する職場の部署や組織、利用者が常勤する建物や地域などを含んだユーザ情報304−1を送信してもよい。そして、認証トークン1−2は、属性情報302−1とともに、上述の職場の部署や組織、建物や地域などに関するユーザ情報304を記憶してもよい。これにより、より厳密な利用制限を設けることが可能となる。
【0151】
また、属性を移譲される側の認証トークン1−2では、属性の移譲前または移譲時にて認証部11−2の認証を行い、当該認証が成功した場合に、属性移譲判別部15−2は、属性を移譲できると判別してもよい。これにより、正当な利用者以外の者による成りすましを実施しにくくできる。
【0152】
また、他の認証トークン1−1は、属性情報302−1とともにパスワードを含んだユーザ情報304−1を、認証トークン1−2へと送信してもよい。そして、認証トークン1−2があらかじめ記憶しているパスワードと、他の認証トークン1−1からのパスワードとが一致した場合、属性移譲判別部15−2は、認証トークン1−1から認証トークン1−2へと属性を移譲できると判別してもよい。これにより、属性を移譲する側の認証トークン1−1が、正当な認証トークンであることをより確実に確認可能となる。
【0153】
なお、認証トークン1−1から認証トークン1−2への属性の移譲を行ってもよいかどうかの判別は、属性を移譲される側の認証トークン1−2において行うに限らず、移譲する側の認証トークン1−1にて行うようにしてもよい。この場合、認証トークン1−1の記憶部12−1に、認証トークン1−1から属性を移譲されることが可能な他の認証トークンを判別するための情報、つまり、認証情報302−1を送信してもよい他の認証トークンを判別するための情報を記憶させておく。そして、認証トークン1−1と1−2が接続された状態において、認証トークン1−1が、認証トークン1−2からトークンID301−2などを受信することなどにより、当該情報に認証トークン1−2が登録されていると判別した場合に、認証トークン1−1から認証トークン1−2へと属性情報302−1を送信するようにすればよい。
(実施形態4)
つぎに、実施形態4に従った認証システムについて説明する。
【0154】
図14に示すように、実施形態4の認証トークン1Aは、通信部14の近傍に配設された磁石16を有する。また、実施形態4の利用機器2Aは、通信部24の近傍に配設された磁石25を有する。磁石16および25は、それぞれ永久磁石でもよく、また電磁石でもよい。
【0155】
磁石16と磁石25とが互いに引き合って接触することにより、認証トークン1Aの通信部14と利用機器2Aの通信部24とによって通信する際に、認証トークン1Aの筺体と利用機器2Aの筺体とが連結される。
【0156】
なお、磁石16および25がともに電磁石である場合、認証情報121の送受信時のみ、電磁石を磁化するようにしてもよい。
【0157】
また、実施形態2、3の認証トークン1−1および1−2それぞれを、図14に示した認証トークン1Aが有する構成としてもよい。
【0158】
実施形態4の構成によれば、認証トークン1Aと利用機器2Aとの通信、または、認証トークン同士の通信を行う際に、位置決めを容易にすることができる。
【0159】
以上説明したように、本発明の実施形態1によれば、認証トークン1は、利用者が認証に成功したと判別した場合、認証情報121に含まれる属性情報302を利用機器2へ送信する。
【0160】
これにより、利用機器2において利用者の属性(アクセスレベル)を個別に設定することなしに、利用者の属性に対応したサービスの提供や使用の制限を行うことが可能となる。
【0161】
また、利用者の属性が変更された場合でも、その利用者が所有する認証トークン1の属性情報302を変更するだけで、1または複数の利用機器2すべてに対するアクセスレベルを変更することが可能となる。このことは、利用機器2が独立している場合でも、同様に当てはまる。
【0162】
また、実施形態2によれば、他の認証トークン1−1から属性を移譲された認証トークン1−2を所持する利用者は、認証トークン1−2に記憶されている属性情報502が示す自己の属性に加えて、移譲属性情報504が示す認証トークン1−1の利用者の属性を用いて、利用機器2のサービスを使用可能となる。
【0163】
これにより、利用機器2の設定を変更することなしに、認証トークン1−2の利用者の属性を変更することが可能となる。そのため、共通パスワードなどのセキュリティホールを回避でき、セキュリティのレベルを維持した安全な状態のままで、利用者の属性(アクセスレベル)の変更が可能となる。
【0164】
また、属性の変更が容易となるため、属性の種類を細かく分別して利用機器2が提供するサービス403の種類を増やすことが可能となる。例えば、利用者が行う業務などの使用形態に対応して属性情報401を設定することにより、各業務にて使用する必要があるサービス403のみを利用機器2が提供することが可能となる。
【0165】
なお、本発明の要旨を逸脱しない範囲で各種の変形が可能である。
【0166】
認証トークン1に、パスワード生成動作ごとに異なるパスワードを生成するワンタイムパスワード生成機能を設け、認証部11による認証の実行ごとに、ユーザ情報304にワンタイムパスワードを含めて利用機器2に送信するようにしてもよい。また、ユーザ情報304に、チャレンジレスポンスなどの暗号通信を含めてもよい。これにより、認証トークン1の偽造や成りすましを抑制することができる。
【0167】
認証トークン1への動作用電力の供給方式としては、一般的な供給方式でよい。例えば、利用機器2から認証トークン1へと給電する方式でよい。また、例えば、電池を具備し、その電池から動作用電力を供給する方式でもよい。なお、ここでいう電池は、一次電池でもよく、また、蓄積電荷を放電しても再度充電して利用可能に構成された二次電池でもよい。
【図面の簡単な説明】
【0168】
【図1】本発明の実施形態に従った認証システムの構成を示す図である。
【図2】図1に示した認証トークンの構成を示す図である。
【図3】図2に示した認証情報のデータ構造の一例を示す図である。
【図4】図1に示した利用機器の構成を示す図である。
【図5】図4に示したサービス提供情報のデータ構造の一例を示す図である。
【図6】認証結果に基づいて、利用者によるサービスの使用を制御する際の、認証トークンの動作を示すフローチャートである。
【図7】認証結果に基づいて、利用者によるサービスの使用を制御する際の、利用機器の動作を示すフローチャートである。
【図8】実施形態2の認証システムの全体構成を示す図である。
【図9】移譲認証情報のデータ構造の一例を示す図である。
【図10】実施形態2にて、属性を移譲する側の認証トークンの動作を示すフローチャートである。
【図11】実施形態2にて、属性を移譲される側の認証トークンの動作を示すフローチャートである。
【図12】実施形態3において、属性を移譲される側の認証トークンの構成を示す図である。
【図13】図12に示した属性移譲判別情報のデータ構造の一例を示す図である。
【図14】実施形態4の認証トークンおよび利用機器の構成を示す図である。
【符号の説明】
【0169】
1、1−1、1−2、1A 認証トークン
2、2A 利用機器
11、11−2 認証部
12、12−2 記憶部
13、13−2 生体情報読取部
14、14−2 通信部
15−2 属性移譲判別部
16 磁石
121 認証情報
122、122−2 登録生体情報
123−2 移譲認証情報
124−2 属性移譲判別情報
21 属性識別部
22 サービス提供部
23 記憶部
24 通信部
25 磁石
231 サービス提供情報
【技術分野】
【0001】
本発明は、認証トークン、利用機器および認証システムに関する。
【背景技術】
【0002】
近年、利用者の生体情報を用いた認証が成功した場合に、利用者に所定のサービスを提供する技術が多数提案されている。このような生体情報(例えば、指紋など)を用いた一般的な認証技術では、生体情報読取用のセンサで読み取った生体情報を用いて利用者を認証する。
【0003】
例えば、利用者の指紋に基づいて指紋認証を行う場合、PC(Personal Computer)や携帯端末などの利用者にサービスを提供するそれぞれ独立した利用機器に、指紋センサを個別に設けておく。そして、指紋センサで読み取った指紋と、利用機器にあらかじめ登録されている指紋情報が示す利用者の指紋との比較による利用者の認証が成功した場合、利用機器がサービスを提供する。
【0004】
また、認証トークンなどが読み取って送信してきた生体情報を用いて、利用機器または利用機器以外の外部装置が利用者の認証を行い、認証の成功時にサービスを提供する技術も考えられている。
【0005】
例えば、ドアなどの利用機器に設置された指紋センサで読み取った指紋と、あらかじめ記憶されている指紋情報とをホストコンピュータにて比較することで利用者を認証するシステムが考えられている。このシステムでは、認証が成功した場合、ホストコンピュータが、ドアの鍵を開錠するよう指示する。また、ホストコンピュータは、どのドアがどの利用者によって開錠されたかを示す履歴を管理する。
【0006】
また、例えば、指紋センサで読み取った指紋情報に応じて定めた相関ファクタと、所定のコード(例えば、固定コードなど)とから認証トークンが生成した機密保護トークンを用いて、サービス提供側の利用機器が利用者の認証を行い、認証の成功時に利用者にサービス使用を許可する本人確認装置が考えられている(例えば、特許文献1参照。)。
【0007】
また、生体情報による認証が認証トークンにて成功した場合、認証トークンから送信されてきた所定情報を用いて利用機器がサービスを提供する技術も考えられている。
【0008】
例えば、生体情報を用いた認証の成功時に認証トークンから利用機器へとパスワードおよびトークンIDを送信し、さらに、利用機器におけるパスワード認証が成功した場合、利用者にサービスを提供する認証システムが考えられている(例えば、特許文献2参照。)。
【0009】
また、生体情報による認証の成功時に、認証結果とユーザIDとパスワードと個人情報とを認証トークンから利用機器へと送信し、利用機器にて認証結果が「成功」を示すことを識別した際に、利用者にサービスを提供する認証システムが考えられている(例えば、特許文献3参照。)。
【0010】
上述した各システムでは、利用機器(例えば、PCやドア)を使用しようとする場合、認証に成功した利用者のうちで所定の条件(例えば、職務上の権限)を満たす者に対してのみ利用可能に設定することができる。これは、各利用者に対して、各利用者の権限に対応したアクセスレベルを示す属性を設定し、利用者の属性が利用機器の使用可能なアクセスレベルである場合、使用を許可することで実現される。これにより、アクセス対象のセキュリティレベルに応じて利用者を限定し、より高度なセキュリティシステムが実現される。
【特許文献1】特開平07−050665号公報
【特許文献2】特開2002−281028号公報
【特許文献3】特開2002−278640号公報
【発明の開示】
【発明が解決しようとする課題】
【0011】
しかしながら、特許文献1、2および3に開示された各技術や、上述の各個独立した利用機器が利用者を直接認証してサービスを直接提供する技術などによれば、利用者の追加や属性の変更を行う場合、利用者が使用する利用機器すべての設定を個別に変更しなければならないという問題点がある。例えば、企業や教育機関などのように多数の利用機器が設置されている施設では、利用者の属性の設定を変更するために膨大な時間がかかってしまうという問題点がある。
【0012】
また、認証成功時にドアを開錠する上述のシステムのように、サービスを提供する利用機器へのアクセスをネットワークを介して集中管理する技術では、アクセス制限を適用するすべての利用機器をネットワークに接続する必要がある。そのため、利用機器がネットワークに常時接続されていない場合には、当該利用機器に対してアクセス制限を適用することが困難であるという問題点がある。
【0013】
このような問題を回避するために、アクセスレベルの高い利用機器に対して、その使用許可を受けた利用者が使用可能な共通のパスワードを設け、許可を受けた利用者が臨時に共通のパスワードを用いてアクセスしたり、マスタキーの利用などで対応したりすることが考えられる。しかし、このような方法では、許可を受けた利用者が不正に使用する場合には、共通のパスワードやマスキーがセキュリティホールとなってしまう。そのため、生体情報による本人認証を導入しているにも関わらず、セキュリティ上の重大な問題を引き起こすおそれがあるという問題点がある。
【0014】
さらに、生体情報を用いるシステムでは、認証に用いる生体情報の登録に失敗したり、認証に失敗したりするおそれがあるという問題点がある。例えば、指紋センサであれば、利用者の指の状態により指紋情報が登録できなかったり、指紋情報が登録できた場合でも認証が失敗してしまう場合が少なからず存在する。このような問題を回避するために、上述した共通のパスワードやマスタキーを公開した場合、セキュリティホールとなってしまう。
【0015】
このように、生体情報を用いた認証システムでは、セキュリティ向上に有効であるにも関わらず、却って、セキュリティが低下してしまったり、利便性が損なわれてしまったりするという問題がある。
【0016】
本発明は、上述した課題を解決する認証トークンを提供することを目的とする。
【課題を解決するための手段】
【0017】
上記課題を解決するために、本発明の認証システムは、利用者にサービスを提供する利用機器と認証トークンとが接続された認証システムであって、前記認証トークンは、前記利用者の生体情報を読み取る生体情報読取部と、前記利用機器から送信されてきた前記利用者に関する属性を示す属性情報と、あらかじめ登録された前記利用者の生体情報である登録生体情報とを対応付けて記憶する第1記憶部と、前記生体情報読取部で読み取った生体情報と前記登録生体情報とが一致する場合に、利用者の認証が成功したと判別する認証部と、前記認証部が前記認証が成功したと判別した場合、前記登録生体情報に対応付けられている前記属性情報を前記利用機器に送信する第1通信部とを有し、前記利用機器は、前記利用者の属性情報と、前記利用者が使用可能なサービスとを対応付けて記憶する第2記憶部と、前記第1通信部から送信されてきた前記利用者の属性情報を受信する第2通信部と、前記第2通信部が受信した前記属性情報が示す利用者の属性を識別する属性識別部と、前記属性識別部が識別した前記属性に対応する前記第2記憶部が記憶するサービスを提供するサービス提供部とを有する。
【0018】
上記課題を解決するために、本発明の認証トークンは、利用者にサービスを提供する利用機器と接続された認証トークンであって、前記利用者の生体情報を読み取る生体情報読取部と、前記利用機器から送信されてきた前記利用者に関する属性を示す属性情報と、あらかじめ登録された前記利用者の生体情報である登録生体情報とを対応付けて記憶する記憶部と、前記生体情報読取部で読み取った生体情報と前記登録生体情報とが一致する場合に、利用者の認証が成功したと判別する認証部と、前記認証部が前記認証が成功したと判別した場合、前記登録生体情報に対応付けられている前記属性情報を前記利用機器に送信する通信部とを有する。
【0019】
また、本発明の認証トークンは、他の認証トークンと接続されており、記憶部は、他の認証トークンから送信されてきた属性を示す移譲属性情報を、属性情報とともに記憶してもよい。
【0020】
また、本発明の認証トークンの記憶部は、移譲属性情報を記憶する対象とする他の認証トークンが登録されている属性移譲判別情報を記憶しており、移譲属性情報を送信してきた他の認証トークンが属性移譲判別情報に登録されている場合、移譲属性情報を記憶してもよい。
【0021】
また、本発明の認証トークンの通信部は、認証が成功したと認証部が判別した場合、記憶部が記憶している移譲属性情報と属性情報とを利用機器に送信してもよい。
【0022】
上記課題を解決するために、本発明の利用機器は、利用者の属性情報を送信する認証トークンと接続された利用機器であって、前記利用者の属性情報と、前記利用者が使用可能なサービスとを対応付けて記憶する記憶部と、前記認証トークンから送信されてきた前記利用者の属性情報を受信する通信部と、前記通信部が受信した前記属性情報が示す利用者の属性を識別する属性識別部と、前記属性識別部が識別した前記属性に対応する前記記憶部が記憶するサービスを提供するサービス提供部とを有する。
【発明の効果】
【0023】
本発明によれば、利用者にサービスを提供する利用機器と認証トークンとが接続された認証システムにおいて、認証トークンは、利用機器から送信されてきた利用者に関する属性を示す属性情報と、あらかじめ登録された利用者の生体情報である登録生体情報とを対応付けて記憶し、読み取った生体情報と登録生体情報とが一致する場合に、利用者の認証が成功したと判別し、認証が成功したと判別した場合、登録生体情報に対応付けられている属性情報を利用機器に送信し、利用機器は、利用者の属性情報と、利用者が使用可能なサービスとを対応付けて記憶し、認証トークンから送信されてきた利用者の属性情報を受信し、受信した前記属性情報が示す利用者の属性を識別し、識別した属性に対応するサービスを提供する構成としたため、生体情報を用いて利用者を認証するシステムにおいて、利用者に関する属性を容易かつ安全に設定できる。
【発明を実施するための最良の形態】
【0024】
(実施形態1)
以下、本発明の実施形態1に従った認証システム(認証トークン、利用機器を含む)を説明する。
【0025】
まず、実施形態1の認証システムの全体構成を説明する。
【0026】
図1に示すように、この認証システムは、認証トークン1と、利用機器2とから構成される。
【0027】
認証トークン1は、利用者が携帯可能な程度の大きさを有するトークンである。認証トークン1の数は任意でよい。
【0028】
認証トークン1は、センサ(後述する生体情報読取部13)によって利用者の生体情報を読み取り、読み取った生体情報を用いて利用者の認証を行う。
【0029】
ここで、生体情報の形式については、特に限定しない。例えば、光彩、掌形、静脈などの一般的に用いられている生体情報でよいが、この説明例では、生体情報が「指紋」である場合を例に挙げて説明する。
【0030】
また、認証トークン1は、利用者の認証が成功した場合、後述の属性情報302を、利用機器2に送信する。
【0031】
なお、認証トークン1と利用機器2との間の通信形態については、特に限定しない。例えば、通信形態が無線通信方式である場合、一般的な無線通信インタフェースを介した無線通信や、赤外線通信を行ってもよい。また、通信形態が有線通信方式である場合、USB(Universal Serial Bus)などの通信インタフェースやイーサネットなどを介した有線通信を行ってもよい。
【0032】
利用機器2は、例えば、所定の情報処理装置で構成される。利用機器2は、認証トークン1の利用者が利用の対象とする機器である。
【0033】
利用機器2は、認証トークン1から送信されてきた認証情報121に基づいて、所定のサービスの使用を利用者に許可する。以下では、利用機器2は、電子メールに関するサービスを利用者に提供する場合を例に挙げて説明する。
【0034】
また、利用機器2は、認証トークン1が利用者の属性を更新するための情報を、認証トークン1に送信する。
【0035】
つぎに、認証トークン1の構成について詳細に説明する。
【0036】
図2に示すように、認証トークン1は、認証部11と、記憶部12と、生体情報読取部13と、通信部14とを有する。
【0037】
認証部11は、生体情報読取部13が読み取った利用者の「生体情報」と、記憶部12にあらかじめ記憶されている「登録生体情報122」とが一致するかどうかに基づいて、利用者の認証が「成功」したかどうか(認証の成功または失敗)を判別する。
【0038】
この説明例においては、生体情報読取部13が読み取った利用者の「生体情報」は、指紋情報に相当する。なお、以下では、生体情報読取部13が読み取った生体情報を「読取生体情報」という。
【0039】
認証部11は、読取生体情報と登録生体情報122とが一致する場合、利用者の認証が成功した、つまり、認証した者は登録生体情報122に指紋が登録された正当な利用者であると判別する。
【0040】
また、認証部11は、読取生体情報と登録生体情報122とが一致しない場合、利用者の認証が失敗した、つまり、認証した者は登録生体情報122に指紋が登録されていない不正な利用者であると判別する。
【0041】
記憶部12は、各種の情報を記憶する「第1記憶部」である。記憶部12は、例えば、認証情報121と、登録生体情報122とを対応付けて記憶する。
【0042】
図3に示すように、「認証情報121」は、トークンID(Identifier)301と、属性情報302と、ユーザID303と、ユーザ情報304とを対応付ける情報である。
【0043】
トークンID301は、認証システムにて用いられる各認証トークン1をそれぞれ識別するための識別番号である。
【0044】
属性情報302は、ユーザID303が割り当てられた利用者の属性に関する情報を含む情報である。
【0045】
ここに、利用者の「属性」とは、例えば、利用機器2が提供するサービスの使用の可否(アクセスの可否)を判別するためのアクセスレベルである。
【0046】
なお、利用者の属性は、例えば、利用者の職位、利用者が所属する職場の部署や組織、利用者が常勤する建物や地域などに応じて、設定してもよい。
【0047】
ユーザID303は、認証部11により認証された利用者を一意に特定するための識別番号である。ユーザ情報304は、例えば、パスワード、会員番号、電話番号、クレジットカード番号、口座番号のような利用者の個人的な情報を含む情報である。
【0048】
図2に示した登録生体情報122は、認証情報121に対応付けられている。登録生体情報122は、認証部11が利用者を認証するための情報である。この説明例では、登録生体情報122が、あらかじめ登録された利用者の指紋を示す情報である場合を例に挙げて説明する。
【0049】
生体情報読取部13は、利用者の生体情報を読み取る「センサ」である。この説明例では、生体情報読取部13は、利用者の指紋を読み取る指紋センサである場合を例に挙げて説明する。ここで用いる指紋センサは、一般的な指紋センサでよい。
【0050】
生体情報読取部13(指紋センサ)は、利用者が指を指紋読取面に接触させたことを検知した場合に、指紋を読み取り、読み取った指紋を示す読取生体情報を、認証部11に出力する。
【0051】
通信部14は、利用機器2と通信することにより、任意のデータを送受信する「第1通信部」である。
【0052】
例えば、通信部14は、利用者の認証が成功したと認証部11が判別した場合、認証に用いた登録生体情報122と対応付けられた認証情報121内の属性情報302を利用機器2に送信する。
【0053】
なお、通信部14は、属性情報302とともに認証情報121内の他の情報を送信してもよい。
【0054】
また、通信部14は、属性情報302を送信する場合、暗号化された属性情報302を送信するようにしてもよい。これにより、認証トークン1から送信される属性情報302の第3者への漏洩や、属性情報302の第3者による改ざんなどの不正行為の実施を低減できる。
【0055】
また、認証が失敗したと認証部11が判別した場合、通信部14は、認証結果(成功と失敗とのいずれか)を利用機器2に送信してもよい。このとき、利用機器2にて、登録生体情報122を再登録するよう利用者に通知したり、不正な利用者による認証トークン1の使用を検出して当該検出結果を管理者などに通知したりしてもよい。また、指紋センサの状態の確認や指紋センサのクリーニングを行うよう、利用機器2が利用者に通知してもよい。
【0056】
つぎに、利用機器2の構成について詳細に説明する。
【0057】
図4に示すように、利用機器2は、属性識別部21と、サービス提供部22と、記憶部23と、通信部24とを有する。
【0058】
属性識別部21は、認証トークン1が認証に成功したと判別して属性情報302を送信してきた場合、属性情報302が示す属性(アクセスレベル)を識別する。
【0059】
サービス提供部22は、後述のサービス提供情報231を参照し、属性識別部21が識別した属性に対応する所定のサービスを提供する。
【0060】
記憶部23は、各種の情報を記憶する「第2記憶部」である。記憶部23は、例えば、サービス提供情報231を記憶する。
【0061】
図5に示すように、「サービス提供情報231」は、属性情報401と、トークンID402と、サービス403とを対応付ける。
【0062】
属性情報401は、トークンID402で識別される認証トークン1が使用可能なサービスを分別するための利用者の属性(アクセスレベル)である。
【0063】
トークンID402は、サービスを使用可能な認証トークン1を識別するための番号である。
【0064】
サービス403は、トークンID402により識別される認証トークン1が、利用機器2にて使用可能なサービスの種類および範囲(つまり、利用機器2における利用者の権限)である。
【0065】
なお、このサービス提供情報231は、その登録内容に変更が生じた場合に更新される。
【0066】
変更が生じた場合とは、例えば、認証トークン1を所持する利用者の職位の変更などに伴って、その認証トークン1に割り当てた属性情報401が変更される場合である。また、例えば、認証トークン1が新たに追加される場合、つまり、認証トークン1がサービス提供情報231へ新規に登録される場合である。
【0067】
サービス提供情報231が更新された場合には、その更新に関するトークンID402の認証トークン1に、当該認証トークン1の利用者の属性に関する情報である属性情報401が送信される。
【0068】
利用機器2からの属性情報401を受信した認証トークン1では、記憶部12が、当該属性情報401を、認証情報121内の属性情報302として記憶する。
【0069】
通信部24は、認証トークン1と通信することにより、任意のデータを送受信する「第2通信部」である。
【0070】
例えば、通信部24は、認証トークン1から送信されてきた属性情報302を受信する。
【0071】
また、例えば、通信部24は、サービス提供情報231が更新された場合、その更新に関するトークンID402で識別される認証トークン1へと属性情報401を送信する。
【0072】
つぎに、上記構成を有する認証システムが、認証トークン1による利用者の認証結果に基づいて、利用者によるサービスの使用を制御する動作を説明する。
【0073】
図6に示すように、生体情報読取部13(指紋センサ)は、認証トークン1−1と利用機器2とが接続されている状態において、利用者が指を指紋読取面に接触させたことを検知した場合、その指紋を読み取る(ステップS11)。そして、生体情報読取部13は、読み取った指紋を示す読取生体情報を認証部11に出力する。
【0074】
認証部11は、生体情報読取部13から出力されてきた読取生体情報と、記憶部12内の登録生体情報122とが一致するかどうかに基づいて、利用者の認証が成功したかどうかを判別する(ステップS12)。読取生体情報と登録生体情報122とが一致しなければ、認証部11は、利用者の認証が成功しなかったと判別して、処理を終了する。
【0075】
一方、読取生体情報と登録生体情報122とが一致した場合、通信部14は、属性情報302を利用機器2に送信する(ステップS13)。このとき、通信部14は、属性情報302とともに認証情報121の全部または一部を、利用機器2へと送信してもよい。
【0076】
つぎに、利用機器2が、認証トークン1からの属性情報302に基づいて、利用者へのサービス提供を行う動作について説明する。
【0077】
図7に示すように、利用機器2の通信部24は、認証トークン1から送信されてきた属性情報302を受信する(ステップS21)。このとき、通信部24は、認証装置1から、属性情報302とともに認証情報121の全部または一部を受信してもよい。
【0078】
属性識別部21は、受信した属性情報302が示す属性(アクセスレベル)を識別する(ステップS22)。
【0079】
続いて、サービス提供部22は、図5に示したサービス提供情報231を参照し、属性識別部21が識別した属性に対応する所定のサービス403を提供する(ステップS23)。
【0080】
図3の例では、属性情報302が示す属性は「2」である。そのため、サービス提供部22は、この属性に対応するサービス403(電子メールの閲覧、編集)を、認証トークン1を所持する利用者に提供する。以上で、一連の動作が終了する。
(実施形態2)
つぎに、実施形態2に従った認証システムについて説明する。
【0081】
実施形態2の認証システムの全体構成は、図1に示した例と同一である。
【0082】
ただし、実施形態2においては、複数の認証トークン1−1〜1−2を用いる。この説明例では、認証トークン1−1〜1−2の数が「2」である場合を例に挙げて説明するが、その数は「3」以上であってもよい。
【0083】
図8に示すように、実施形態2の認証システムが具備する各認証トークン1−1と1−2とは、互いに通信可能であるとともに、利用機器2ともそれぞれ通信可能であるように構成されている。
【0084】
また、認証トークン1−1、1−2それぞれは、利用機器2と、認証トークン1−2または1−1とのいずれかを通信先として選択し、選択した通信先に接続することが可能なように構成されている。
【0085】
認証トークン1−1は、認証トークン1−2と接続されている状態において、利用者の認証が成功した場合、自己が記憶する属性情報302−1を認証トークン1−2へと送信する「他の認証トークン」である。この説明例では、さらに、認証トークン1−1が、属性情報302−1とともにトークンID301−1を、認証トークン1−2へと送信する場合を例に挙げて説明する。
【0086】
認証トークン1−2は、認証トークン1−1からのトークンID301−1と属性情報302−1とを後述の移譲認証情報123−2に記憶する、つまり、認証トークン1−1から認証トークン1−2へと属性(アクセスレベル)を移譲する。
【0087】
そして、認証トークン1−2は、利用機器2と接続されている状態において、利用者の認証が成功したと判別した場合、後述の属性情報502と移譲属性情報504とを利用機器2へと送信する。なお、認証トークン1−2は、属性情報502および移譲属性情報504とともに、移譲認証情報123−2の全部または一部を利用機器2へと送信してもよい。
【0088】
なお、認証トークン1−1から認証トークン1−2へと属性を移譲する場合、認証トークン1−1は、属性情報302−1のみを認証トークン1−2へ送信し、トークンID301−1を送信しないようにしてもよい。また、認証トークン1−2は、認証トークン1−1からの属性情報302−1のみを移譲認証情報123−2に記憶するようにしてもよい。
【0089】
利用機器2は、認証トークン1−2から送信されてきた属性情報502と移譲属性情報504とを用いて、利用者によるサービスの使用を制御する。なお、利用機器2は、属性情報502および移譲属性情報504とともに移譲認証情報123−2の全部または一部を、認証トークン1−2から受信してもよい。
【0090】
つぎに、実施形態2の認証トークン1−1および1−2の構成について説明する。
【0091】
認証トークン1−1の構成は、実施形態1において図2に示した認証トークン1と基本的に同一である。すなわち、認証トークン1−1は、認証部11−1と、記憶部12−1と、生体情報読取部13−1と、通信部14−1とを有する。
【0092】
認証トークン1−1は、認証トークン1−2と接続されている状態において、利用者の認証が成功したと判別した場合、図3に示した属性情報302と同一の属性情報302−1を、認証トークン1−2へと送信する。なお、認証トークン1−1は、利用機器2と接続されている状態において、利用者の認証が成功したと判別した場合、実施形態1と同様の動作を実行する、つまり、属性情報302−1を、利用機器2へと送信する。
【0093】
認証トークン1−2の構成も、図2に示した例と基本的に同一である。すなわち、認証トークン1−2は、認証部11−2と、記憶部12−2と、生体情報読取部13−2と、通信部14−2とを有する。
【0094】
ただし、認証トークン1−2の記憶部12−2は、認証トークン1−1からの認証情報121−1に含まれているトークンID301−1と属性情報302−1とを、移譲認証情報123−2に記憶する。なお、移譲認証情報123−2は、認証トークン1−2を所持する利用者の指紋をあらかじめ登録した登録生体情報122−2と対応付けられている。
【0095】
「移譲認証情報123−2」は、認証トークン1−2に関する認証情報と、認証トークン1−2以外の認証トークン(この例では、認証トークン1−1)に関する情報とを含む情報である。
【0096】
図9に示すように、移譲認証情報123−2は、図3に示した認証情報121に加えて、移譲属性情報504と、移譲トークンID505とを含んでいる。より具体的には、移譲認証情報123−2は、トークンID501、属性情報502、ユーザID503およびユーザ情報506に加えて、移譲属性情報504と、移譲トークンID505とを含んでいる。
【0097】
移譲属性情報504は、認証トークン1−2が認証トークン1−1から受信した属性情報302−1が示す利用者の属性、つまり、認証トークン1−1を所持する利用者の属性である。
【0098】
移譲トークンID505は、認証トークン1−2が認証トークン1−1から受信した認証トークン1−1のトークンID301−1である。
【0099】
通信部14−2は、認証トークン1−2と利用機器2とが接続された状態において、認証部11−2が利用者の認証が成功したと判別した場合、認証に用いた登録生体情報122−2と対応付けられた属性情報502と、移譲属性情報504とを利用機器2へと送信する。
【0100】
つぎに、上記構成を有する実施形態2の認証システムが、認証トークン1−1と1−2との認証結果に基づいて、利用者によるサービスの使用を制御する動作を説明する。
【0101】
まず、実施形態2の認証トークン1−1の動作について説明する。
【0102】
図10に示すように、認証トークン1−1の動作は、図6に示した例と基本的に同一である。
【0103】
ただし、認証トークン1−1では、利用者の認証を行う前に、通信部14−1が、属性の移譲先である認証トークン1−2と接続する(ステップS31)。
【0104】
認証トークン1−1と認証トークン1−2とが接続された状態において、認証部11−1が利用者の認証が成功したと判別した場合、通信部14−1は、記憶部12−1内の属性情報302−1を、権限の移譲先の認証トークン1−2へと送信する(ステップS34)。さらに、この説明例では、通信部14−1は、トークンID301−1も認証トークン1−2へ送信する。
【0105】
なお、ステップS34において、認証トークン1−1は、認証トークン1−2に対して、属性情報302−1のみを送信してもよい。また、認証トークン1−1は、属性情報302−1とともに認証情報121−1の全部または一部を、認証トークン1−2へと送信してもよい。
【0106】
つぎに、認証トークン1−2の動作について説明する。
【0107】
図11に示すように、認証トークン1−2の通信部14−2は、「他の認証トークン」である認証トークン1−1と接続する(ステップS41)。
【0108】
続いて、認証トークン1−2の通信部14−2は、他の認証トークン1−1から送信されてきた属性情報302−1を受信する(ステップS42)。また、この説明例では、通信部14−2は、認証トークン1−1からのトークンID301−1も受信する。
【0109】
記憶部12−2は、通信部14−2が受信した属性情報302−1を、移譲属性情報504として記憶する(ステップS43)。また、通信部14−2が受信したトークンID301−1を、移譲認証情報123−2に記憶する。
【0110】
その後、通信部14−2は、認証トークン1−1との接続を終了する。続いて、通信部14−2は、利用機器2と接続する(ステップS44)。
【0111】
なお、それ以降のステップS45〜S47の処理は、図6に示したステップS11〜S13の処理と基本的に同一である。すなわち、生体情報読取部13−2が利用者の指紋を読み取り(ステップS45)、読み取った指紋を示す読取生体情報と登録生体情報122−2とを比較して(ステップS46)、両者が一致する場合、認証部11−2は認証が成功したと判別する。
【0112】
認証トークン1−2と利用機器2とが接続された状態において、認証が成功したと判別した場合、通信部14−2は、認証トークン1−2の利用者に関する属性情報502に加えて、認証トークン1−1の利用者に関する移譲属性情報504を利用機器2へと送信する(ステップS47)。
【0113】
つぎに、実施形態2の利用機器2の動作について説明する。
【0114】
実施形態2の利用機器2の動作は、図7に示した例と基本的に同一である。
【0115】
ただし、実施形態2では、ステップS21において、利用機器2と認証トークン1−2とが接続されている場合、通信部24は、認証トークン1−1から属性を移譲された認証トークン1−2からの属性情報502と移譲属性情報504とを受信する。
【0116】
また、ステップS22において、属性識別部21は、図9に示した属性情報502と移譲属性情報504とがそれぞれ示す属性を、認証トークン1−2の属性情報401であると識別する。図9の例では、認証トークン1−2の属性は、属性情報502が示す属性(「3」)と、移譲属性情報504が示す属性(「2」)とである。
【0117】
さらに、ステップS23において、サービス提供部22は、図5に示したサービス提供情報231を参照し、属性識別部21が識別した属性に対応するサービス403を識別する。そして、識別したサービス403を認証トークン1−2の利用者に提供する。
【0118】
この説明例では、認証トークン1−2の属性は「2」および「3」である。そのため、サービス提供部22は、この属性401に対応するサービス403(電子メールの閲覧と編集に加えて、電子メールの削除およびメールアドレスの変更)を、認証トークン1−2の利用者に提供する。以上で、一連の動作が終了する。
【0119】
なお、認証トークン1−2は、他の認証トークン1−1から属性情報302−1を受信した履歴を示す受信履歴情報と、他の認証トークン1−1から属性を移譲された履歴を示す移譲履歴情報とを記憶してもよい。そして、認証トークン1−2は、他の認証トークンから属性情報302を受信した場合や、他の認証トークンから属性を移譲された場合、受信履歴情報や移譲履歴情報を利用機器2へと送信する。そして、利用機器2にて、どの認証トークンから認証トークン1−2へと属性を移譲したかを監視するようにしてもよい。
【0120】
また、認証トークン1−1から認証トークン1−2へと属性が移譲される場合、移譲する側(認証トークン1−1)が移譲される側(認証トークン1−2)よりもアクセスレベルが高い場合に、属性を移譲してもよい。また、移譲する側が移譲される側よりもアクセスレベルが低い場合に、属性を移譲してもよい。これにより、認証システムの運用形態に対応して、不要な移譲が行われることを抑制できる。
【0121】
また、認証トークン1−1から認証トークン1−2への属性の移譲の際、認証トークン1−1は、属性情報302−1とともに、認証トークン1−1の利用者が所属する職場の部署や組織、利用者が常勤する建物や地域などを含んだユーザ情報304−1を送信してもよい。そして、認証トークン1−2は、属性情報302−1とともに、上述の職場の部署や組織、建物や地域などに関するユーザ情報304−1を記憶してもよい。そして、認証トークン1−2は、自己が記憶しているユーザ情報304−1が示す職場の部署や組織、建物や地域に一致するユーザ情報を送信してきた認証トークンのみから属性を委譲されるようにしてもよい。これにより、より厳密な利用制限を設けることが可能となる。
【0122】
また、認証システムの運用形態に応じて、他の認証トークン1−1から認証トークン1−2へと移譲された属性情報302−1の使用について、制限を設けるようにしてもよい。ここで、属性情報302−1の使用制限の形態については、特に限定しない。
【0123】
例えば、属性の移譲後に当該属性を使用した回数が所定回数(例えば、1回のみ)に到達するまで、移譲された属性を使用可能としてもよい。
【0124】
また、例えば、属性の移譲後の所定期間(例えば、移譲した日から5日間、または、使用可能となる開始日時から使用不可能となる終了日時まで)において、移譲された属性を使用可能としてもよい。
【0125】
また、例えば、属性の移譲後に行われる認証トークン1−2での認証実行回数が所定回数に到達するまで、移譲された属性を使用可能としてもよい。
【0126】
また、例えば、属性の移譲後に行われる認証トークン1−2での認証における失敗回数が所定回数に到達するまで、移譲された属性を使用可能としてもよい。
【0127】
さらに、認証トークン1−2へと属性を委譲する側の他の認証トークンが複数存在する場合、他の認証トークンそれぞれから移譲された各属性に関して、それぞれ異なる使用制限を設けるようにしてもよい。
【0128】
また、属性を移譲される側の認証トークン1−2では、認証トークン1−1からの属性情報302−1の移譲前または移譲時にて、認証部11−2による認証を行うようにしてもよい。そして、認証が成功したと認証部11−2が判別した場合に、属性情報302−1を移譲属性情報504として記憶するようにしてもよい。これにより、正当な利用者以外の者による成りすましを実施しにくくできる。また、認証トークン1−2の属性情報502よりも高い属性情報302−1が認証トークン1−1から移譲される場合のみ、認証トークン1−2にて利用者の認証を行うようにしてもよい。
【0129】
また、認証トークン1−2は、認証トークン1−1の属性情報302−1を利用機器2から受信してもよい。そして、利用機器2からの属性情報302−1を、移譲認証情報123−2に記憶してもよい。例えば、電子メールに添付された属性情報302−1を利用機器2が認証トークン1−1から受信し、その利用機器2から転送されてきた属性情報302−1を、記憶してもよい。また、属性情報302−1が記憶された着脱可能な可搬型メモリや記録媒体(例えば、DVD(Digital Versatile Disk)など)から属性情報302−1を読み出し、移譲認証情報123−2に記憶してもよい。
【0130】
また、認証トークン1−1は、属性情報302−1とともにパスワードを含んだユーザ情報304−1を、認証トークン1−2へと送信してもよい。そして、認証トークン1−2があらかじめ記憶しているパスワードと、認証トークン1−1から送信されてきたパスワードとが一致した場合、属性情報302−1を移譲属性情報504として記憶するようにしてもよい。これにより、属性を移譲する側の認証トークン1−1が、正当な認証トークンであることをより確実に確認可能となる。
(実施形態3)
つぎに、実施形態3に従った認証システムについて説明する。
【0131】
実施形態3の認証システムの構成は、図8に示した実施形態2の構成と同じである。また、実施形態3の認証トークン1−1の構成および動作は、実施形態2で説明した構成および動作と同じである。
【0132】
実施形態3の認証トークン1−2の構成は、実施形態2で説明した構成と基本的に同一である。
【0133】
ただし、図12に示すように、実施形態3の認証トークン1−2は、属性移譲判別部15−2を有する。
【0134】
属性移譲判別部15−2は、他の認証トークン1−1から受信したトークンID301−1が後述の属性移譲判別情報124−2に含まれているかどうかに基づいて、認証トークン1−1から認証トークン1−2へと属性を移譲できるかどうかを判別する。
【0135】
他の認証トークン1−1からのトークンID301−1が属性移譲判別情報124−2に含まれている場合、属性移譲判別部15−2は、認証トークン1−1から属性を移譲できると判別する。一方、他の認証トークン1−1からのトークンID301−1が属性移譲判別情報124−2に含まれていない場合、属性移譲判別部15−2は、属性を移譲できないと判別する。
【0136】
属性移譲判別部15−2が属性を移譲できると判別した場合、記憶部12−2は、他の認証トークン1−1からのトークンID301−1と属性情報302−1とを、移譲認証情報123−2に記憶する。
【0137】
実施形態3の記憶部12−2は、属性移譲判別情報124−2を記憶する。
【0138】
「属性移譲判別情報124−2」は、認証トークン1−2に対して属性を移譲することが可能な他の認証トークンを判別するための情報、つまり、他の認証トークンから送信されてきた属性情報を移譲認証情報123−2の移譲属性情報504に記憶してもよいかどうかを判別するための情報である。
【0139】
図13に示すように、属性移譲判別情報124−2は、移譲可能トークンID601と、サービス使用制約条件602とを対応付ける情報である。
【0140】
移譲可能トークンID601は、認証トークン1−2に対して属性を移譲することが可能な認証トークン、つまり、移譲属性情報504を記憶部12−2に記憶する対象とする他の認証トークンのトークンIDである。
【0141】
サービス使用制約条件602は、他の認証トークン1−1から認証トークン1−2へと移譲された属性を用いてサービスを使用する際の制約条件である。なお、このサービス使用制約条件602は、認証トークン1−2に属性を移譲可能な他の認証トークンが2つ以上ある場合、他の認証トークンそれぞれについて設定可能である。
【0142】
サービス使用制約条件602が示す制約条件は、任意であるが、例えば、以下のような内容でもよい。
【0143】
サービス使用制約条件602は、移譲された属性の有効期限に関する制約条件でもよい。この場合、所定時間内や所定日数内でのサービス使用のみを認証トークン1−2に許可することが可能である。図13の例では、属性が移譲された日を含めて5日間の使用が許可されている。
【0144】
また、サービス使用制約条件602は、属性の移譲後にサービスを使用可能な回数に関する制約条件でもよい。図13の例では、移譲された属性を用いて1回のみのサービス使用が認証トークン1−2に許可されている。
【0145】
また、サービス使用制約条件602は、属性移譲後の認証トークン1−2における認証の失敗回数に関する制約条件でもよい。図13の例では、認証の失敗回数が所定回数(10回)に到達するまで、移譲された属性によるサービス使用を認証トークン1−2に許可することが可能である。
【0146】
これにより、認証システムの運用形態に応じて、移譲された属性によるサービス使用を許可することができる。
【0147】
なお、属性移譲判別情報124−2の設定内容は、図13に示した例に限られない。
【0148】
例えば、認証トークン1−1から認証トークン1−2へと属性が移譲される場合、移譲する側(認証トークン1−1)の属性情報302−1と、移譲される側(認証トークン1−2)の属性情報502との間のアクセスレベルの高低に基づいて、属性移譲判別情報124−2を設定してもよい。すなわち、属性を移譲する側が移譲される側よりもアクセスレベルが高い場合、属性を移譲するように設定してもよく、逆に、移譲する側が移譲される側よりもアクセスレベルが低い場合、属性を移譲するように設定してもよい。これにより、認証システムの運用形態に対応して、不要な移譲が行われることを抑制できる。
【0149】
また、認証トークン1−2は、他の認証トークンから属性情報302を受信した履歴を示す受信履歴情報と、他の認証トークンから属性を移譲された履歴を示す移譲履歴情報とを記憶してもよい。そして、認証トークン1−2は、他の認証トークンから属性情報302を受信した場合や、他の認証トークンから属性を移譲された場合、受信履歴情報や移譲履歴情報を利用機器2へと送信する。そして、利用機器2にて、どの認証トークンから認証トークン1−2へと属性を移譲したかを監視するようにしてもよい。
【0150】
また、認証トークン1−1から認証トークン1−2へと属性を移譲する場合、認証トークン1−1は、属性情報302−1とともに、認証トークン1−1の利用者が所属する職場の部署や組織、利用者が常勤する建物や地域などを含んだユーザ情報304−1を送信してもよい。そして、認証トークン1−2は、属性情報302−1とともに、上述の職場の部署や組織、建物や地域などに関するユーザ情報304を記憶してもよい。これにより、より厳密な利用制限を設けることが可能となる。
【0151】
また、属性を移譲される側の認証トークン1−2では、属性の移譲前または移譲時にて認証部11−2の認証を行い、当該認証が成功した場合に、属性移譲判別部15−2は、属性を移譲できると判別してもよい。これにより、正当な利用者以外の者による成りすましを実施しにくくできる。
【0152】
また、他の認証トークン1−1は、属性情報302−1とともにパスワードを含んだユーザ情報304−1を、認証トークン1−2へと送信してもよい。そして、認証トークン1−2があらかじめ記憶しているパスワードと、他の認証トークン1−1からのパスワードとが一致した場合、属性移譲判別部15−2は、認証トークン1−1から認証トークン1−2へと属性を移譲できると判別してもよい。これにより、属性を移譲する側の認証トークン1−1が、正当な認証トークンであることをより確実に確認可能となる。
【0153】
なお、認証トークン1−1から認証トークン1−2への属性の移譲を行ってもよいかどうかの判別は、属性を移譲される側の認証トークン1−2において行うに限らず、移譲する側の認証トークン1−1にて行うようにしてもよい。この場合、認証トークン1−1の記憶部12−1に、認証トークン1−1から属性を移譲されることが可能な他の認証トークンを判別するための情報、つまり、認証情報302−1を送信してもよい他の認証トークンを判別するための情報を記憶させておく。そして、認証トークン1−1と1−2が接続された状態において、認証トークン1−1が、認証トークン1−2からトークンID301−2などを受信することなどにより、当該情報に認証トークン1−2が登録されていると判別した場合に、認証トークン1−1から認証トークン1−2へと属性情報302−1を送信するようにすればよい。
(実施形態4)
つぎに、実施形態4に従った認証システムについて説明する。
【0154】
図14に示すように、実施形態4の認証トークン1Aは、通信部14の近傍に配設された磁石16を有する。また、実施形態4の利用機器2Aは、通信部24の近傍に配設された磁石25を有する。磁石16および25は、それぞれ永久磁石でもよく、また電磁石でもよい。
【0155】
磁石16と磁石25とが互いに引き合って接触することにより、認証トークン1Aの通信部14と利用機器2Aの通信部24とによって通信する際に、認証トークン1Aの筺体と利用機器2Aの筺体とが連結される。
【0156】
なお、磁石16および25がともに電磁石である場合、認証情報121の送受信時のみ、電磁石を磁化するようにしてもよい。
【0157】
また、実施形態2、3の認証トークン1−1および1−2それぞれを、図14に示した認証トークン1Aが有する構成としてもよい。
【0158】
実施形態4の構成によれば、認証トークン1Aと利用機器2Aとの通信、または、認証トークン同士の通信を行う際に、位置決めを容易にすることができる。
【0159】
以上説明したように、本発明の実施形態1によれば、認証トークン1は、利用者が認証に成功したと判別した場合、認証情報121に含まれる属性情報302を利用機器2へ送信する。
【0160】
これにより、利用機器2において利用者の属性(アクセスレベル)を個別に設定することなしに、利用者の属性に対応したサービスの提供や使用の制限を行うことが可能となる。
【0161】
また、利用者の属性が変更された場合でも、その利用者が所有する認証トークン1の属性情報302を変更するだけで、1または複数の利用機器2すべてに対するアクセスレベルを変更することが可能となる。このことは、利用機器2が独立している場合でも、同様に当てはまる。
【0162】
また、実施形態2によれば、他の認証トークン1−1から属性を移譲された認証トークン1−2を所持する利用者は、認証トークン1−2に記憶されている属性情報502が示す自己の属性に加えて、移譲属性情報504が示す認証トークン1−1の利用者の属性を用いて、利用機器2のサービスを使用可能となる。
【0163】
これにより、利用機器2の設定を変更することなしに、認証トークン1−2の利用者の属性を変更することが可能となる。そのため、共通パスワードなどのセキュリティホールを回避でき、セキュリティのレベルを維持した安全な状態のままで、利用者の属性(アクセスレベル)の変更が可能となる。
【0164】
また、属性の変更が容易となるため、属性の種類を細かく分別して利用機器2が提供するサービス403の種類を増やすことが可能となる。例えば、利用者が行う業務などの使用形態に対応して属性情報401を設定することにより、各業務にて使用する必要があるサービス403のみを利用機器2が提供することが可能となる。
【0165】
なお、本発明の要旨を逸脱しない範囲で各種の変形が可能である。
【0166】
認証トークン1に、パスワード生成動作ごとに異なるパスワードを生成するワンタイムパスワード生成機能を設け、認証部11による認証の実行ごとに、ユーザ情報304にワンタイムパスワードを含めて利用機器2に送信するようにしてもよい。また、ユーザ情報304に、チャレンジレスポンスなどの暗号通信を含めてもよい。これにより、認証トークン1の偽造や成りすましを抑制することができる。
【0167】
認証トークン1への動作用電力の供給方式としては、一般的な供給方式でよい。例えば、利用機器2から認証トークン1へと給電する方式でよい。また、例えば、電池を具備し、その電池から動作用電力を供給する方式でもよい。なお、ここでいう電池は、一次電池でもよく、また、蓄積電荷を放電しても再度充電して利用可能に構成された二次電池でもよい。
【図面の簡単な説明】
【0168】
【図1】本発明の実施形態に従った認証システムの構成を示す図である。
【図2】図1に示した認証トークンの構成を示す図である。
【図3】図2に示した認証情報のデータ構造の一例を示す図である。
【図4】図1に示した利用機器の構成を示す図である。
【図5】図4に示したサービス提供情報のデータ構造の一例を示す図である。
【図6】認証結果に基づいて、利用者によるサービスの使用を制御する際の、認証トークンの動作を示すフローチャートである。
【図7】認証結果に基づいて、利用者によるサービスの使用を制御する際の、利用機器の動作を示すフローチャートである。
【図8】実施形態2の認証システムの全体構成を示す図である。
【図9】移譲認証情報のデータ構造の一例を示す図である。
【図10】実施形態2にて、属性を移譲する側の認証トークンの動作を示すフローチャートである。
【図11】実施形態2にて、属性を移譲される側の認証トークンの動作を示すフローチャートである。
【図12】実施形態3において、属性を移譲される側の認証トークンの構成を示す図である。
【図13】図12に示した属性移譲判別情報のデータ構造の一例を示す図である。
【図14】実施形態4の認証トークンおよび利用機器の構成を示す図である。
【符号の説明】
【0169】
1、1−1、1−2、1A 認証トークン
2、2A 利用機器
11、11−2 認証部
12、12−2 記憶部
13、13−2 生体情報読取部
14、14−2 通信部
15−2 属性移譲判別部
16 磁石
121 認証情報
122、122−2 登録生体情報
123−2 移譲認証情報
124−2 属性移譲判別情報
21 属性識別部
22 サービス提供部
23 記憶部
24 通信部
25 磁石
231 サービス提供情報
【特許請求の範囲】
【請求項1】
利用者にサービスを提供する利用機器と認証トークンとが接続された認証システムであって、
前記認証トークンは、
前記利用者の生体情報を読み取る生体情報読取部と、
前記利用機器から送信されてきた前記利用者に関する属性を示す属性情報と、あらかじめ登録された前記利用者の生体情報である登録生体情報とを対応付けて記憶する第1記憶部と、
前記生体情報読取部で読み取った生体情報と前記登録生体情報とが一致する場合に、利用者の認証が成功したと判別する認証部と、
前記認証部が前記認証が成功したと判別した場合、前記登録生体情報に対応付けられている前記属性情報を前記利用機器に送信する第1通信部とを有し、
前記利用機器は、
前記利用者の属性情報と、前記利用者が使用可能なサービスとを対応付けて記憶する第2記憶部と、
前記第1通信部から送信されてきた前記利用者の属性情報を受信する第2通信部と、
前記第2通信部が受信した前記属性情報が示す利用者の属性を識別する属性識別部と、
前記属性識別部が識別した前記属性に対応する前記第2記憶部が記憶するサービスを提供するサービス提供部とを有する認証システム。
【請求項2】
利用者にサービスを提供する利用機器と接続された認証トークンであって、
前記利用者の生体情報を読み取る生体情報読取部と、
前記利用機器から送信されてきた前記利用者に関する属性を示す属性情報と、あらかじめ登録された前記利用者の生体情報である登録生体情報とを対応付けて記憶する記憶部と、
前記生体情報読取部で読み取った生体情報と前記登録生体情報とが一致する場合に、利用者の認証が成功したと判別する認証部と、
前記認証部が前記認証が成功したと判別した場合、前記登録生体情報に対応付けられている前記属性情報を前記利用機器に送信する通信部とを有する認証トークン。
【請求項3】
前記認証トークンは、他の認証トークンと接続されており、
前記記憶部は、前記他の認証トークンから送信されてきた属性を示す移譲属性情報を、前記属性情報とともに記憶することを特徴とする請求項2に記載の認証トークン。
【請求項4】
前記記憶部は、前記移譲属性情報を記憶する対象とする前記他の認証トークンが登録されている属性移譲判別情報を記憶しており、前記移譲属性情報を送信してきた他の認証トークンが前記属性移譲判別情報に登録されている場合、該移譲属性情報を記憶することを特徴とする請求項3に記載の認証トークン。
【請求項5】
前記通信部は、前記認証が成功したと前記認証部が判別した場合、前記記憶部が記憶している前記移譲属性情報と前記属性情報とを前記利用機器に送信することを特徴とする請求項3または4に記載の認証トークン。
【請求項6】
利用者の属性情報を送信する認証トークンと接続された利用機器であって、
前記利用者の属性情報と、前記利用者が使用可能なサービスとを対応付けて記憶する記憶部と、
前記認証トークンから送信されてきた前記利用者の属性情報を受信する通信部と、
前記通信部が受信した前記属性情報が示す利用者の属性を識別する属性識別部と、
前記属性識別部が識別した前記属性に対応する前記記憶部が記憶するサービスを提供するサービス提供部とを有する利用機器。
【請求項1】
利用者にサービスを提供する利用機器と認証トークンとが接続された認証システムであって、
前記認証トークンは、
前記利用者の生体情報を読み取る生体情報読取部と、
前記利用機器から送信されてきた前記利用者に関する属性を示す属性情報と、あらかじめ登録された前記利用者の生体情報である登録生体情報とを対応付けて記憶する第1記憶部と、
前記生体情報読取部で読み取った生体情報と前記登録生体情報とが一致する場合に、利用者の認証が成功したと判別する認証部と、
前記認証部が前記認証が成功したと判別した場合、前記登録生体情報に対応付けられている前記属性情報を前記利用機器に送信する第1通信部とを有し、
前記利用機器は、
前記利用者の属性情報と、前記利用者が使用可能なサービスとを対応付けて記憶する第2記憶部と、
前記第1通信部から送信されてきた前記利用者の属性情報を受信する第2通信部と、
前記第2通信部が受信した前記属性情報が示す利用者の属性を識別する属性識別部と、
前記属性識別部が識別した前記属性に対応する前記第2記憶部が記憶するサービスを提供するサービス提供部とを有する認証システム。
【請求項2】
利用者にサービスを提供する利用機器と接続された認証トークンであって、
前記利用者の生体情報を読み取る生体情報読取部と、
前記利用機器から送信されてきた前記利用者に関する属性を示す属性情報と、あらかじめ登録された前記利用者の生体情報である登録生体情報とを対応付けて記憶する記憶部と、
前記生体情報読取部で読み取った生体情報と前記登録生体情報とが一致する場合に、利用者の認証が成功したと判別する認証部と、
前記認証部が前記認証が成功したと判別した場合、前記登録生体情報に対応付けられている前記属性情報を前記利用機器に送信する通信部とを有する認証トークン。
【請求項3】
前記認証トークンは、他の認証トークンと接続されており、
前記記憶部は、前記他の認証トークンから送信されてきた属性を示す移譲属性情報を、前記属性情報とともに記憶することを特徴とする請求項2に記載の認証トークン。
【請求項4】
前記記憶部は、前記移譲属性情報を記憶する対象とする前記他の認証トークンが登録されている属性移譲判別情報を記憶しており、前記移譲属性情報を送信してきた他の認証トークンが前記属性移譲判別情報に登録されている場合、該移譲属性情報を記憶することを特徴とする請求項3に記載の認証トークン。
【請求項5】
前記通信部は、前記認証が成功したと前記認証部が判別した場合、前記記憶部が記憶している前記移譲属性情報と前記属性情報とを前記利用機器に送信することを特徴とする請求項3または4に記載の認証トークン。
【請求項6】
利用者の属性情報を送信する認証トークンと接続された利用機器であって、
前記利用者の属性情報と、前記利用者が使用可能なサービスとを対応付けて記憶する記憶部と、
前記認証トークンから送信されてきた前記利用者の属性情報を受信する通信部と、
前記通信部が受信した前記属性情報が示す利用者の属性を識別する属性識別部と、
前記属性識別部が識別した前記属性に対応する前記記憶部が記憶するサービスを提供するサービス提供部とを有する利用機器。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公開番号】特開2009−238125(P2009−238125A)
【公開日】平成21年10月15日(2009.10.15)
【国際特許分類】
【出願番号】特願2008−86306(P2008−86306)
【出願日】平成20年3月28日(2008.3.28)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.イーサネット
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成21年10月15日(2009.10.15)
【国際特許分類】
【出願日】平成20年3月28日(2008.3.28)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.イーサネット
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]