認証処理装置及び連携設定装置
【課題】人事情報を使用しながら、同一利用者の同一扉に対して重複した複数のアクセスタイムが設定された場合の弊害を除去する。
【解決手段】ユーザを一意に特定するユーザ特定情報と、ユーザの所属先を特定するユーザ属性情報とを関連付けたテーブルと、任意の物理領域への入室を許可する認証許可時間帯を規定したテーブルと、所定の物理領域への入退室を隔てる扉を特定する扉情報を特定するテーブルと、ユーザ属性情報と、認証許可時間帯と、扉情報とを関連付けたテーブルとを備え、ユーザ特定情報に基づき取得されるユーザ属性情報から、関連付けられた認証許可時間帯に基づき認証処理し、ユーザ特定情報に関連付けられたユーザ属性情報が複数存在する場合、認証された認証許可時間帯のうち、所定のルールに基づき認証許可時間帯を決定することで実現する。
【解決手段】ユーザを一意に特定するユーザ特定情報と、ユーザの所属先を特定するユーザ属性情報とを関連付けたテーブルと、任意の物理領域への入室を許可する認証許可時間帯を規定したテーブルと、所定の物理領域への入退室を隔てる扉を特定する扉情報を特定するテーブルと、ユーザ属性情報と、認証許可時間帯と、扉情報とを関連付けたテーブルとを備え、ユーザ特定情報に基づき取得されるユーザ属性情報から、関連付けられた認証許可時間帯に基づき認証処理し、ユーザ特定情報に関連付けられたユーザ属性情報が複数存在する場合、認証された認証許可時間帯のうち、所定のルールに基づき認証許可時間帯を決定することで実現する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、被認証情報に基づき入退室管理を行う入退室管理システムに関し、詳しくは、人事情報を用いた入退室管理での認証処理を担う認証処理装置及び連携設定装置に関する。
【背景技術】
【0002】
機密情報を扱うことの多い企業や、企業内の特定の部署などでは、機密情報を扱う従事者の入退室を管理する入退室管理システム(アクセスコントロール装置)を適用することで、機密情報の漏洩を事前に防止するようにしている。
【0003】
一般に入退室管理システムは、ユーザに与えられたIC(Integrated Circuit)カードに組み込まれたユーザID(IDentification)や、生体情報(指紋、虹彩、声紋など)といった、ユーザを一意に特定する情報を用いて入退室管理用のホストコンピュータにより個人認証を行い、登録された正当なユーザであることが認証された場合に、施錠された入退室用のドアを解錠することで、機密情報を扱う高度セキュリティレベル領域内への入室を許可する、というような管理を行っている。
【0004】
また、このようなアクセスコントロール装置では、管理対象個人の情報に対して、個人毎に通行可能場所、時間帯を設定する必要があるため、煩雑となる設定操作を簡便にすることができるアクセスコントロール装置が開示されている(例えば、特許文献1参照。)。
【特許文献1】特開平6−185249号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
ところで、オフィス内でのセキュリティ意識の高まりにより、入室資格をより細かく設定したいという要求が高まっている。例えば、ある建物内に設置された事務所において、平日の昼間には、事務所に所属する全ての従業員の建物内への入室を許可するが、平日の夜間や休日には、保守作業や夜間業務のある一部の部署に所属する従業員のみ建物内への入室を許可するようにする。
【0006】
このように、従業員の入室資格を設定するには、従業員に関する情報を規定した人事情報を活用すると容易となる。人事情報とは、例えば、従業員の所属部署、性別、役職といった従業員の属性を規定した情報である。つまり、人事情報を用いて、従業員の所属部署毎に建物内への入室許可を与えるアクセスタイムを設定すれば、上述したような、所属部署単位での従業員の入室許可を容易に設定することができる。
【0007】
しかしながら、特許文献1で開示されている手法に、人事情報を適用した場合、同一利用者の同一扉に対して重複した複数のアクセスタイムが設定されてしまうといった問題が発生する。このように複数のアクセスタイムが設定されてしまうと、本来利用許可を与えるべきではない時間帯であっても利用許可されたり、逆に本来利用許可を与える必要がある時間帯であっても利用許可されなかったりといった不都合が生じてしまう。
【0008】
そこで、本発明は、上述した実情に鑑みて提案されたものであり、入退室管理システムの管理者にとって設定を容易にする従業員の属性を規定した人事情報を使用しながら、同一利用者の同一扉に対して重複した複数のアクセスタイムが設定された場合の弊害を除去することができる認証処理装置及び連携設定装置を提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明の認証処理装置は、ユーザを一意に特定するユーザ特定情報と、前記ユーザの所属先を特定するユーザ属性情報とを関連付けた第1のテーブルと、任意の物理領域への入室を許可する認証許可時間帯を規定した第2のテーブルと、所定の物理領域への入退室を隔てる扉を特定する扉情報を特定する第3のテーブルと、前記第1のテーブルの前記ユーザ属性情報と、前記第2のテーブルの認証許可時間帯と、前記第3のテーブルの扉情報とを関連付けた第4のテーブルと、前記ユーザ特定情報に基づき第1のテーブルから取得されるユーザ属性情報から、前記第4のテーブルによって関連付けられた前記第2のテーブルの認証許可時間帯に基づき認証処理をする認証処理手段と、前記第1のテーブルにおいて、ユーザ特定情報に関連付けられたユーザ属性情報が複数存在する場合、前記認証処理手段によって認証された認証許可時間帯のうち、所定のルールに基づき前記認証許可時間帯を決定する認証許可時間帯決定手段とを備えることで、上述の課題を解決する。
【0010】
また、本発明の認証処理装置は、前記第2のテーブルが、前記認証許可時間帯を設定した時間を特定する時間情報を有し、前記認証許可時間帯決定手段は、前記第1のテーブルにおいて、ユーザ特定情報に関連付けられたユーザ属性情報が複数存在する場合、前記認証処理手段によって認証された認証許可時間帯のうち、前記所定のルールとして、最も新しい前記時間情報を有する認証許可時間帯に決定することで、上述の課題を解決する。
【0011】
また、本発明の認証処理装置は、前記第2のテーブルは、前記認証許可時間帯ごとに優先順位を与え、前記認証許可時間帯決定手段は、前記第1のテーブルにおいて、ユーザ特定情報に関連付けられたユーザ属性情報が複数存在する場合、前記認証処理手段によって認証された認証許可時間帯のうち、前記所定のルールとして、最も高い優先順位を有する認証許可時間帯に決定することで、上述の課題を解決する。
【0012】
また、本発明の認証処理装置は、前記認証許可時間帯決定手段が、前記第1のテーブルにおいて、ユーザ特定情報に関連付けられたユーザ属性情報が複数存在する場合、前記所定のルールとして、前記認証処理手段によって認証された認証許可時間帯に論理演算を施して認証許可時間帯を決定することで、上述の課題を解決する。
【0013】
また、本発明の認証処理装置は、前記第4のテーブルが、有効期限を示す属性情報を有し、前記認証許可時間帯決定手段が、前記第1のテーブルにおいて、ユーザ特定情報に関連付けられたユーザ属性情報が複数存在する場合、前記認証処理手段によって認証された認証許可時間帯のうち、前記所定のルールとして、前記有効期限に基づき認証許可時間帯を決定することで、上述の課題を解決する。
【0014】
また、本発明の認証処理装置は、認証許可時間帯に変化を与える情報に更新があった場合に、前記ユーザ特定情報毎、前記扉情報毎の認証許可時間帯を生成する登録扉情報生成手段を備えることで、上述の課題を解決する。
【0015】
本発明の連携設定装置は、ユーザを一意に特定するユーザ特定情報と、前記ユーザの所属先を特定するユーザ属性情報とを関連付けた第1のテーブルと、任意の物理領域への入室を許可する認証許可時間帯を規定した第2のテーブルと、所定の物理領域への入退室を隔てる扉を特定する扉情報を特定する第3のテーブルと、前記第1のテーブルの前記ユーザ属性情報と、前記第2のテーブルの認証許可時間帯と、前記第3のテーブルの扉情報とを関連付けた第4のテーブルと、認証許可時間帯に変化を与える情報に更新があった場合に、前記ユーザ特定情報毎、前記扉情報毎の認証許可時間帯を生成する登録扉情報生成手段とを備え、前記ユーザ特定情報、前記扉情報を用いて、独自の認証許可時間帯に基づき認証処理をする認証処理装置との連携を図ることで、上述の課題を解決する。
【0016】
また、本発明の連携設定装置は、前記認証処理装置の独自の認証許可時間帯のうち、他の認証処理装置の認証許可時間帯と共通概念を有するものを共通化して認識できるよう関連付ける共通化手段を備えることで、上述の課題を解決する。
【発明の効果】
【0017】
本発明によれば、人事情報を用いた入退室管理を実行する場合、兼務などによりユーザが所属するユーザ属性が複数となったとしても、複数存在する認証許可時間帯を1つに定めることを可能とする。また、ユーザ属性の変更が多い場合であっても容易に対応することを可能とする。
【0018】
また、非常に短時間で検索することができることができ、認証処理速度の高速化を図ることを可能とする。
【0019】
また、優先度を設定することにより厳密な条件に対応することを可能とする。
【0020】
また、重複条件を考慮した新たな認証許可時間帯を決定するというルールも規定することを可能とする。
【0021】
また、転属や一時的な赴任などであっても容易に設定を変更することを可能とする。
【0022】
さらに、本発明によれば、ユーザ特定情報毎、扉情報毎の認証許可時間帯を、各種データベースの情報更新があった場合にあらかじめ生成しておくため、実際の認証時の処理を少なくして高速化を図ることが可能となる。
【0023】
さらにまた、本発明によれば、人事情報を用いた入退室管理を実行する場合において、既存の認証処理装置との連携を図ることが可能となる。
【0024】
また、既存の認証処理装置の設定を変更することなく、複数の認証処理装置について認証情報の一元管理を容易なものとすることを可能とする。
【発明を実施するための最良の形態】
【0025】
以下、本発明の実施の形態について図面を参照して説明する。
【0026】
[第1の実施の形態]
まず、図1を用いて、本発明の第1の実施の形態として入退室管理システム1について説明をする。図1に示すように、入退室管理システム1は、設備系システム10と、認証処理装置20と、人事管理システム30とを備えている。
【0027】
入退室管理システム1の設備系システム10と、認証処理装置20とは、セキュリティレベルの低い領域(低度セキュリティレベル領域)から機密情報の高い領域(高度セキュリティレベル領域)へのユーザの出入を管理する。
【0028】
人事管理システム30は、入退室管理システム1を利用するユーザである、例えば、社員などの人事情報を管理するシステムである。人事情報とは、例えば、従業員の所属部署、性別、役職といった従業員の属性を規定した情報である。人事管理システム30は、認証処理装置20の要求に応じて、適宜人事情報を提供する。
【0029】
入退室管理システム1は、上述した低度セキュリティレベル領域から高度セキュリティレベル領域への出入を管理する形態であればどのようなものであってもよいが、例えば、高度セキュリティレベル領域と低度セキュリティレベル領域とを扉などで隔てて、認証処理に応じて各領域への移動を認めるようにする。
【0030】
入退室管理システム1は、高度セキュリティレベル領域への入室を希望するユーザ全てに対して認証処理を行い、あらかじめ登録された正当なユーザのみを認証して高度セキュリティレベル領域への入室を許可する。また、入退室管理システム1は、必要に応じて高度セキュリティレベル領域から退室を希望するユーザに対して認証処理を行い、高度セキュリティレベル領域からの退室を許可する。低度セキュリティレベル領域と、高度セキュリティレベル領域とは、電気的な作用により施錠、解錠することができる電気錠を備える扉12によって隔てられている。
【0031】
具体的には、設備系システム10は、高度セキュリティレベル領域外に設けられた高度セキュリティレベル領域である部屋R1外に設けられたカードリーダ11により、ユーザが所有する、例えば、非接触のICカード(Integrated Circuit)5の図示しない半導体メモリ内に格納された情報を読み取る。認証処理装置20は、カードリーダ11で読み取られた情報のうちの被認証情報であるカードIDに基づき正当なユーザであると認証された場合に図示しない入退室コントロールユニットにより施錠されていた電気錠を解錠することで高度セキュリティレベル領域への入室を許可する。
【0032】
入退室管理システム1は、このような認証処理により、施錠された電気錠を解錠する場合には、ユーザが所有するICカード5に格納された情報のうち、ICカード5を一意に特定するカードIDと、施錠した扉に固有の扉ID(DNO:扉ナンバー)と、入室か退室かを示す情報とを認証処理装置20に送信する。入室か退室かを示す情報は、例えば、カードリーダ11を一意に特定する機器IDで示すようにしてもよい。
【0033】
認証処理装置20は、人事情報データベース21と、組織マスタデータベース22と、物理情報データベース23と、アクセスタイムデータベース24と、連携設定データベース25と、各種データベースに記憶させる情報を連携させ入退室許可判定部27における入退室許可判定で利用する情報を設定する連携設定部26と、カードリーダ11にてIC
カード5から読み取られた情報に基づき入退室判定許可を判定する入退室許可判定部27とを備えている。
【0034】
人事情報データベース21は、人事管理システム30から取得した人事情報を記憶している。例えば、図2(a)に示すような社員ナンバー(No)と社員の姓名を関連づけた社員基本情報テーブルST1や、図2(b)に示すような社員ナンバーと社員の所属コードとを関連づけた社員所属情報テーブルST2とを記憶している。
【0035】
組織マスタデータベース22は、図3に示すような所属コードと所属名称とを関連付けた所属マスタテーブルMT1を記憶している。
【0036】
物理情報データベース23は、図4(a)に示すような扉ナンバー(DNO)と扉の名称とを関連づけた扉情報テーブルTT1、扉ナンバー(DNO)とゲートグループコードとを関連づけたゲートグループ登録扉情報テーブルGT1と、ゲートグループコードと勤務地区分とを関連づけたゲートグループ情報テーブルGT2とを記憶している。
【0037】
アクセスタイムデータベース24、連携設定データベース25は、入退室管理システム1が稼働する前に連携設定部26によって、設定処理がなされる。
【0038】
ここで、図5に示すフローチャートを用いて、連携設定部26によるアクセスタイムデータベース24、連携設定データベース25に設定されるデータベースの設定処理動作について説明をする。この処理動作により連携設定データベース25には、ユーザの入室資格を判定するためのデータベースが構築される。
【0039】
ステップS1において、連携設定部26は、組織マスタデータベース22から所属マスタテーブルMT1を、物理情報データベース23からゲートグループ情報テーブルGT2を取得する。ゲートグループ情報GT2は、認証処理装置20が管理する扉の集合単位であるゲートグループを管理する情報である。具体的には、ゲートグループは、部屋や建物全体や敷地内の扉全体といった一定の物理空間の境界となる扉の集合を定義したものである。
【0040】
ステップS2において、連携設定部26は、図6に示すような、アクセスタイムIDごとに、入退室許可曜日、入退室許可時間帯を指定するアクセスタイムテーブルAT1を生成し、アクセスタイムデータベース24に記憶させる。
【0041】
ステップS3において、連携設定部26は、所属マスタテーブルMT1の所属コードと、ゲートグループ情報テーブルGT2を階層化したゾーンコードと、アクセスタイムマスタテーブルAT1のアクセスタイムIDとを関連付けた、図7(a)に示す所属別アクセスゾーンテーブルZ1を生成し、連携設定データベース25に記憶させる。
【0042】
ゾーンとは、扉の集合を定義したゲートグループをさらに階層化させた概念であり、図7(b)に示すゾーン登録ゲートグループ情報テーブルZ2のように、ゾーンコードごとに複数のゲートグループを定義することができる論理的な集合単位である。図7(a)に示す所属別アクセスゾーンテーブルZ1は、入退室管理システム1を管理する管理者が、物理構成情報を階層化管理することができるようにしている。
【0043】
続いて、図8に示すフローチャートを用いて、入退室許可判定部27による入退室許可判定処理動作について説明をする。なお、説明のため、2006年4月3日の20:00(平日夜間)に、利用者No.「M0001」のユーザが扉ナンバー(DNO)「D00001」の扉に入室を試みる場合を想定する。
【0044】
ステップS11において、ユーザがICカード5をカードリーダ11に読み取らせる。カードリーダ11は、ICカード5に記憶されたカードIDと、カードリーダ11が設置された扉の扉ナンバー(DNO)と、読み取り時刻を取得し、認証処理装置20の入退室許可判定部27に送出し、入室資格判定を問い合わせる。なお、カードリーダ11が、ICカード5のカードIDを読み取った時刻と、入退室許可判定部27に問い合わせる時刻とが認証判定処理に支障がない程度に短時間である場合、読み取り時刻は不要となる。
【0045】
また、入退室管理システム1は、カードリーダ11、認証処理装置20両者間の時刻のコンセンサスを取るために、正確な時刻を管理する図示しない時刻管理サーバシステムを備えるようにしてもよい。
【0046】
ステップS12において、入退室許可判定部27は、取得したカードIDから、図2(c)に示すようなカード情報テーブルCT1を参照し、ICカード5が有効期限内であるかどうかを判断する。入退室許可判定部27は、ICカード5が有効期限内である場合は処理をステップS13へと進める一方、有効期限内でない場合には処理をステップS20へと進める。
【0047】
ステップS13において、入退室許可判定部27は、カードIDをキーとして、人事情報データベース21を参照し、ICカード5を保有しているユーザの所属コードを取得する。例えば、入退室許可判定部27は、カード情報テーブルCT1の利用者IDをキーとして、図2(b)に示す社員所属情報テーブルST2から社員の所属コードを取得する。
【0048】
ステップS14において、入退室許可判定部27は、扉ナンバー(DNO)をキーとして物理情報データベース23の図4(b)に示すゲートグループ登録扉情報テーブルGT1を参照し、該当する扉を含むゲートグループコードを取得する。
【0049】
ステップS15において、入退室許可判定部27は、ステップS13で取得した所属コード、ステップS14で取得したゲートグループコードの組み合わせを用いて、連携設定データベース25に記憶されている図7(a)に示す所属別アクセスゾーンテーブルZ1を参照し、該当する連携設定情報を取得する。例えば、ユーザが複数の部署に所属していたり、扉が複数のゲートグループに含まれている場合、複数の連携設定情報を取得することができる。
【0050】
ステップS16において、入退室許可判定部27は、有効な連携設定情報が存在するかどうかを判定する。入退室許可判定部27は、有効な連携設定情報が存在する場合、ステップS17へと処理を進める一方、有効な連携設定情報が存在しない場合、ステップS20へと処理を進める。
【0051】
例えば、上述した条件より、利用者No.「M0001」のユーザの場合、図2(b)に示す社員所属情報テーブルST2を参照すると、所属コード「S0001」、「S0002」、「S9999」に所属していることが分かる。
【0052】
一方、扉ナンバー(DNO)「D0001」の扉は、図4(b)に示すゲートグループ登録扉情報テーブルGT1を参照すると、ゲートグループコード「G0001」で表されるゲートグループに所属していることが分かる。したがって、図7(b)のゾーン登録ゲートグループ情報テーブルZ2より、ゾーンコード「Z0001」、「Z9999」のゾーングループに所属していることが分かる。
【0053】
したがって、図7(a)に示す所属別アクセスゾーンテーブルZ1を参照すると、所属コード「S0001」、「S0002」、「S9999」及びゾーンコード「Z0001」、「Z9999」から、アクセス権限コード「A0001」、「A0002」、「A9001」の3つの連携設定情報が該当することが分かる。
【0054】
ステップS17において、入退室許可判定部27は、有効な連携設定情報から入室可能な時間帯を取得する。具体的には、入退室許可判定部27は、所属別アクセスゾーンテーブルZ1を参照し、有効な連携設定情報のアクセスタイムIDを取得する。上述したように、図7(a)に示す所属別アクセスゾーンテーブルZ1において、有効な連携設定情報のアクセス権限コードは、「A0001」、「A0002」、「A9001」であるので、これらより、該当するアクセスタイムIDは、「T0001」、「T0002」であることが分かる。
【0055】
入退室許可判定部27は、アクセスタイムデータベース24のアクセスタイムマスタテーブルAT1を参照し、アクセスタイムIDから入室可能な時間帯を取得する。
【0056】
ステップS18において、入退室許可判定部27は、取得した入室可能な時間帯と、入室資格を問い合わせる時刻又はICカード5のカードIDを読み取った時刻とを比較して入室可能であるかどうかを判定する。入退室許可判定部27は、入室可能な時間帯である場合には、ステップS19へと処理を進め入室許可を与える一方、入室可能な時間帯でない場合には、ステップS20へと処理を進め入室不許可とする。
【0057】
このとき、入退室許可判定部27は、アクセスタイムIDが複数ある場合には、所定のルールに基づき、いずれか一つのアクセスタイムIDを選択することになる。
【0058】
したがって、アクセスタイムデータベース24のアクセスタイムマスタテーブルAT1のアクセスタイムIDのいずれかを選択することにより、入室時間に対する入室許可の結果が変わることになる。
【0059】
以下に所定のルールについて説明をする。まず、アクセスタイムマスタテーブルAT1に登録された登録日時が最も早いデータで判定するというルールを規定することができる。図6に示すように、登録日時が最も早いデータは、アクセスタイムマスタテーブルAT1の上位に存在するため、非常に短時間で検索することができるというメリットがある。したがって、認証処理速度の高速化を図ることができる。
【0060】
続いて、図6に示すように、アクセスタイムマスタテーブルAT1のアクセスタイムID毎に、属性情報として優先度を設定し、優先度の高いアクセスタイムが選択されるようなルールを規定するようにしてもよい。このように優先度を設定するとより厳密な条件に対応することが可能となる。
【0061】
また、アクセスタイムの論理和や論理積、具体的には、図6に示すアクセスタイムマスタテーブルAT1の入退室許可曜日、入退室許可時間帯の論理和や論理積を求めることで、重複条件を考慮した新たな認証許可時間帯を決定するというルールも規定することができる。
【0062】
また、図7に示した所属別アクセスゾーンテーブルZ1の属性として、テーブル内のデータが有効となる開始日、逆に無効となる終了日を設定しておくことで、例えば、所属コード「S0002」の部署のユーザが、2006年10月1日より勤務場所がゲートグループコード「G0001」から「G0002」へと変更された場合であっても、所属社員全員の入室資格を個別に変更する必要なく、事前にまとめて設定することが可能となる。したがって、転属や一時的な赴任などであっても容易に設定を変更することができる。
【0063】
このように、本発明の第1の実施の形態として示す入退室管理システム1は、認証処理装置20により、人事情報を用いた入退室管理を実行する場合、兼務などによりユーザが所属するユーザ属性が複数となったとしても、複数存在する認証許可時間帯を1つに定めることができる。また、ユーザ属性の変更が多い場合であっても容易に対応することができる。
【0064】
[第2の実施の形態]
続いて、図9を用いて、本発明の第2の実施の形態として入退室管理システム2について説明をする。図9に示すように、入退室管理システム2は、図1を用いて第1の実施の形態として説明した入退室管理システム1の認証処理装置20にカード登録扉情報生成部28と、カード登録扉データベース29とが付加された構成となっている。したがって、重複する個所については同一符号を付して説明を省略する。
【0065】
上述した第1の実施の形態として示す入退室管理システム1は、ユーザが入退室を実行する度にICカード5毎に、図8のフローチャートに示す処理が必要となるが、複数の部署に所属する兼務者が多い場合、認証時のデータアクセスを複雑にする必要があるため処理時間を多く要してしまうといった問題がある。
【0066】
そこで、図10に示すフローチャートを用いて説明する手順に従って、カード登録扉情報生成部28によって、カード登録扉データベース29に、あらかじめカード登録扉情報を生成しておく。
【0067】
ステップS21において、カード登録扉情報生成部28は、人事情報データベース21、物理情報データベース23、アクセスタイムデータベース24、連携設定データベース25から所属、ゲートグループ、扉ナンバー(DNO)、アクセスタイム、連携設定情報といった各種データを全て取得する。
【0068】
ステップS22において、カード登録扉情報生成部28は、取得したデータより、所属毎に各扉の入室時間を求め、重複項目の削除を実施する。
【0069】
ステップS23において、カード登録扉情報生成部28は、人事情報データベース21よりカード、社員データを全て取得する。
【0070】
ステップS24において、カード登録扉情報生成部28は、取得したデータより、カード毎に各扉の入室時間帯を求め、重複項目の削除を実施する。
【0071】
ステップS25において、カード登録扉情報生成部28は、図11に示すような、扉ナンバー(DNO)毎、カードID毎に、認証許可時間帯を規定したカード登録扉情報テーブルCT2を生成し、カード登録扉データベース29へと記憶させる。
【0072】
続いて、図12に示すフローチャートを用いて、入退室許可判定部27による入退室許可判定処理動作について説明をする。
【0073】
ステップS31において、ユーザがICカード5をカードリーダ11に読み取らせる。カードリーダ11は、ICカード5に記憶されたカードIDと、カードリーダ11が設置された扉の扉ナンバー(DNO)と、読み取り時刻を取得し、認証処理装置20の入退室許可判定部27に送出し、入室資格判定を問い合わせる。なお、カードリーダ11が、ICカード5のカードIDを読み取った時刻と、入退室許可判定部27に問い合わせる時刻とが認証判定処理に支障がない程度に短時間である場合、読み取り時刻は不要となる。
【0074】
ステップS32において、入退室許可判定部27は、カードIDをキーとして、カード登録扉データベース29を参照し、図11に示すカード登録扉情報テーブルCT2を参照し、カード登録扉情報を取得する。
【0075】
ステップS33において、入退室許可判定部27は、ICカード5が有効期限内であるかどうかを判断する。入退室許可判定部27は、ICカード5が有効期限内である場合は処理をステップS34へと進める一方、有効期限内でない場合処理をステップS38へと進める。
【0076】
ステップS34において、入退室許可判定部27は、カードID、扉ナンバー(DNO)に対して有効期限内の入室資格情報を管理しているかどうか判断する。入退室許可判定部27は、有効期限内の入室資格情報を管理している場合は、処理をステップS36へと進める一方、管理していない場合は、処理をステップS35へと進める。
【0077】
ステップS35において、入退室許可判定部27は、カード登録扉情報生成部28へと処理を移行し、上述した図10に示すフローチャートの処理を再び実施して、図11に示すカード登録扉情報テーブルCT2を更新するよう指示する。
【0078】
このステップS34、ステップS35の処理は、カード登録扉データベース29に、カード登録扉情報テーブルCT2を設定した後に、人事情報データベース21内のユーザの所属や連携設定データベース25などの各種データベースの更新に対応するための処理である。
【0079】
具体的には、カード登録扉情報生成部28は、人事情報データベース21、組織マスタデータベース22、物理情報データベース23、アクセスタイムデータベース24、連携設定データベース25、カード登録扉データベース29の内容が更新される度、つまり、認証許可時間帯に変化を与える情報に更新がある度、又は定期的に、カード登録扉データベース29を更新すればよい。あるいは、カード登録扉情報生成部28は、カード登録扉データベース29内に設定データの有効期間を示す「開始日」、「終了日」を記載することで、入退室許可判定部27が、カード登録扉情報テーブルの有効期間を判断(ステップS34)して、ICカード5の情報が有効期間でない場合、カード登録扉情報生成部28が、カード登録扉情報テーブルCT2を更新する。
【0080】
ステップS36において、入退室許可判定部27は、取得した入室可能な時間帯と、入室資格を問い合わせる時刻又はICカード5のカードIDを読み取った時刻とを比較して入室可能であるかどうかを判定する。入退室許可判定部27は、入室可能な時間帯である場合には、ステップS37へと処理を進め入室許可を与える一方、入室可能な時間帯でない場合には、ステップS38へと処理を進め入室不許可とする。
【0081】
このように、本発明の第2の実施の形態として示す入退室管理システム2は、認証処理装置20により、ユーザ特定情報毎、扉ナンバー毎の認証許可時間帯を、各種データベースの情報更新があった場合にあらかじめ生成しておくため、実際の認証時の処理を少なくして高速化を図ることができる。
【0082】
[第3の実施の形態]
続いて、図13を用いて、本発明の第3の実施の形態として示す入退室管理システム3について説明をする。第3の実施の形態として示す入退室管理システム3は、既存の認証処理装置を流用する場合に対応するための構成である。図13に示すように、入退室許可判定部27、カード登録扉データベース29、個別アクセスタイムデータベース43を有する認証処理装置20Aと、人事情報データベース21、組織マスタデータベース22、物理情報データベース23、アクセスタイムデータベース24、連携設定データベース25、連携設定部26、カード登録扉情報生成部28、共通アクセスタイム生成部41、アクセスタイム紐付けデータベース42を有する連携設定装置40とに分離構成することで、既存の認証処理装置を利用可能としている。
【0083】
なお、上述した、第1の実施の形態として示した入退室管理システム1、第2の実施の形態として示した入退室管理システム2と重複する個所は同一符号を付して説明を省略する。
【0084】
また、このように、随時更新がなされる各種データベースを連携設定装置40に備えることで、複数の認証処理装置20Aと、1台の連携設定装置とによるシステム構成を形成することができる。しかしながら、このように複数の認証処理装置20Aを設けるようなシステム構成とした場合、既存の認証処理装置20A毎でアクセスタイムが異なることが想定される。例えば、図14(a)、(b)に示すように、異なる地域(東京、大阪)において、アクセスタイムID「t0004」、「t0006」の標準勤務時間は、アクセスタイム名称、入退出許可曜日が同じであっても入退出許可時間帯が異なっているのが分かる。これらが、各地域の認証処理装置20Aの個別アクセスタイムデータベース43に記憶されている。
【0085】
そこで、連携設定装置40の共通アクセスタイム生成部41により、図14(c)に示すようなアクセスタイム紐付け情報テーブルHT1を生成し、アクセスタイム紐付けデータベース42に記憶させる。これにより、各認証処理装置20Aが管理する図14(a),(b)に示すような個別アクセスタイムデータベース43のデータと、連携設定装置40が管理する図6に示すようなアクセスタイムデータベース24のアクセスタイムマスタテーブルAT1のデータとを紐付けて関連付けることができる。これにより、既存の認証処理装置20Aの設定を変更することなく、複数の認証処理装置20Aについて認証情報の一元管理を容易なものとすることができる。
【0086】
このように、本発明の第3の実施の形態として示す入退室管理システム3は、連携設定装置40により、人事情報を用いた入退室管理を実行する場合において、既存の認証処理装置20Aとの連携を図ることができる。
【0087】
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。
【図面の簡単な説明】
【0088】
【図1】本発明の第1の実施の形態として示す入退室管理システムの構成について説明するための図である。
【図2】人事情報に関するテーブルを示した図である。
【図3】所属に関するテーブルを示した図である。
【図4】物理情報に関するテーブルを示した図である。
【図5】連携設定データベースに設定するテーブルの生成処理動作について説明するためのフローチャートである。
【図6】アクセスタイムマスタテーブルを示した図である。
【図7】連携設定データベースに設定するテーブルを示した図である。
【図8】本発明の第1の実施の形態として示す入退室管理システムの処理動作について説明するためのフローチャートである。
【図9】本発明の第2の実施の形態として示す入退室管理システムの構成について説明するための図である。
【図10】カード登録扉データベースへの登録処理動作について説明するためのフローチャートである。
【図11】カード登録扉情報テーブルについて示した図である。
【図12】本発明の第2の実施の形態として示す入退室管理システムの処理動作について説明するためのフローチャートである。
【図13】本発明の第3の実施の形態として示す入退室管理システムの構成について説明するための図である。
【図14】アクセスタイムテーブルを示した図である。
【符号の説明】
【0089】
1 入退室管理システム
2 入退室管理システム
3 入退室管理システム
5 ICカード
10 設備系システム
11 カードリーダ
12 扉
20 認証処理装置
20A 認証処理装置
21 人事情報データベース
22 組織マスタデータベース
23 物理情報データベース
24 アクセスタイムデータベース
25 連携設定データベース
26 連携設定部
27 入退室許可判定部
28 カード登録扉情報生成部
29 カード登録扉データベース
30 人事管理システム
40 連携設定装置
41 共通アクセスタイム生成部
42 アクセスタイム紐付けデータベース
43 個別アクセスタイムデータベース
【技術分野】
【0001】
本発明は、被認証情報に基づき入退室管理を行う入退室管理システムに関し、詳しくは、人事情報を用いた入退室管理での認証処理を担う認証処理装置及び連携設定装置に関する。
【背景技術】
【0002】
機密情報を扱うことの多い企業や、企業内の特定の部署などでは、機密情報を扱う従事者の入退室を管理する入退室管理システム(アクセスコントロール装置)を適用することで、機密情報の漏洩を事前に防止するようにしている。
【0003】
一般に入退室管理システムは、ユーザに与えられたIC(Integrated Circuit)カードに組み込まれたユーザID(IDentification)や、生体情報(指紋、虹彩、声紋など)といった、ユーザを一意に特定する情報を用いて入退室管理用のホストコンピュータにより個人認証を行い、登録された正当なユーザであることが認証された場合に、施錠された入退室用のドアを解錠することで、機密情報を扱う高度セキュリティレベル領域内への入室を許可する、というような管理を行っている。
【0004】
また、このようなアクセスコントロール装置では、管理対象個人の情報に対して、個人毎に通行可能場所、時間帯を設定する必要があるため、煩雑となる設定操作を簡便にすることができるアクセスコントロール装置が開示されている(例えば、特許文献1参照。)。
【特許文献1】特開平6−185249号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
ところで、オフィス内でのセキュリティ意識の高まりにより、入室資格をより細かく設定したいという要求が高まっている。例えば、ある建物内に設置された事務所において、平日の昼間には、事務所に所属する全ての従業員の建物内への入室を許可するが、平日の夜間や休日には、保守作業や夜間業務のある一部の部署に所属する従業員のみ建物内への入室を許可するようにする。
【0006】
このように、従業員の入室資格を設定するには、従業員に関する情報を規定した人事情報を活用すると容易となる。人事情報とは、例えば、従業員の所属部署、性別、役職といった従業員の属性を規定した情報である。つまり、人事情報を用いて、従業員の所属部署毎に建物内への入室許可を与えるアクセスタイムを設定すれば、上述したような、所属部署単位での従業員の入室許可を容易に設定することができる。
【0007】
しかしながら、特許文献1で開示されている手法に、人事情報を適用した場合、同一利用者の同一扉に対して重複した複数のアクセスタイムが設定されてしまうといった問題が発生する。このように複数のアクセスタイムが設定されてしまうと、本来利用許可を与えるべきではない時間帯であっても利用許可されたり、逆に本来利用許可を与える必要がある時間帯であっても利用許可されなかったりといった不都合が生じてしまう。
【0008】
そこで、本発明は、上述した実情に鑑みて提案されたものであり、入退室管理システムの管理者にとって設定を容易にする従業員の属性を規定した人事情報を使用しながら、同一利用者の同一扉に対して重複した複数のアクセスタイムが設定された場合の弊害を除去することができる認証処理装置及び連携設定装置を提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明の認証処理装置は、ユーザを一意に特定するユーザ特定情報と、前記ユーザの所属先を特定するユーザ属性情報とを関連付けた第1のテーブルと、任意の物理領域への入室を許可する認証許可時間帯を規定した第2のテーブルと、所定の物理領域への入退室を隔てる扉を特定する扉情報を特定する第3のテーブルと、前記第1のテーブルの前記ユーザ属性情報と、前記第2のテーブルの認証許可時間帯と、前記第3のテーブルの扉情報とを関連付けた第4のテーブルと、前記ユーザ特定情報に基づき第1のテーブルから取得されるユーザ属性情報から、前記第4のテーブルによって関連付けられた前記第2のテーブルの認証許可時間帯に基づき認証処理をする認証処理手段と、前記第1のテーブルにおいて、ユーザ特定情報に関連付けられたユーザ属性情報が複数存在する場合、前記認証処理手段によって認証された認証許可時間帯のうち、所定のルールに基づき前記認証許可時間帯を決定する認証許可時間帯決定手段とを備えることで、上述の課題を解決する。
【0010】
また、本発明の認証処理装置は、前記第2のテーブルが、前記認証許可時間帯を設定した時間を特定する時間情報を有し、前記認証許可時間帯決定手段は、前記第1のテーブルにおいて、ユーザ特定情報に関連付けられたユーザ属性情報が複数存在する場合、前記認証処理手段によって認証された認証許可時間帯のうち、前記所定のルールとして、最も新しい前記時間情報を有する認証許可時間帯に決定することで、上述の課題を解決する。
【0011】
また、本発明の認証処理装置は、前記第2のテーブルは、前記認証許可時間帯ごとに優先順位を与え、前記認証許可時間帯決定手段は、前記第1のテーブルにおいて、ユーザ特定情報に関連付けられたユーザ属性情報が複数存在する場合、前記認証処理手段によって認証された認証許可時間帯のうち、前記所定のルールとして、最も高い優先順位を有する認証許可時間帯に決定することで、上述の課題を解決する。
【0012】
また、本発明の認証処理装置は、前記認証許可時間帯決定手段が、前記第1のテーブルにおいて、ユーザ特定情報に関連付けられたユーザ属性情報が複数存在する場合、前記所定のルールとして、前記認証処理手段によって認証された認証許可時間帯に論理演算を施して認証許可時間帯を決定することで、上述の課題を解決する。
【0013】
また、本発明の認証処理装置は、前記第4のテーブルが、有効期限を示す属性情報を有し、前記認証許可時間帯決定手段が、前記第1のテーブルにおいて、ユーザ特定情報に関連付けられたユーザ属性情報が複数存在する場合、前記認証処理手段によって認証された認証許可時間帯のうち、前記所定のルールとして、前記有効期限に基づき認証許可時間帯を決定することで、上述の課題を解決する。
【0014】
また、本発明の認証処理装置は、認証許可時間帯に変化を与える情報に更新があった場合に、前記ユーザ特定情報毎、前記扉情報毎の認証許可時間帯を生成する登録扉情報生成手段を備えることで、上述の課題を解決する。
【0015】
本発明の連携設定装置は、ユーザを一意に特定するユーザ特定情報と、前記ユーザの所属先を特定するユーザ属性情報とを関連付けた第1のテーブルと、任意の物理領域への入室を許可する認証許可時間帯を規定した第2のテーブルと、所定の物理領域への入退室を隔てる扉を特定する扉情報を特定する第3のテーブルと、前記第1のテーブルの前記ユーザ属性情報と、前記第2のテーブルの認証許可時間帯と、前記第3のテーブルの扉情報とを関連付けた第4のテーブルと、認証許可時間帯に変化を与える情報に更新があった場合に、前記ユーザ特定情報毎、前記扉情報毎の認証許可時間帯を生成する登録扉情報生成手段とを備え、前記ユーザ特定情報、前記扉情報を用いて、独自の認証許可時間帯に基づき認証処理をする認証処理装置との連携を図ることで、上述の課題を解決する。
【0016】
また、本発明の連携設定装置は、前記認証処理装置の独自の認証許可時間帯のうち、他の認証処理装置の認証許可時間帯と共通概念を有するものを共通化して認識できるよう関連付ける共通化手段を備えることで、上述の課題を解決する。
【発明の効果】
【0017】
本発明によれば、人事情報を用いた入退室管理を実行する場合、兼務などによりユーザが所属するユーザ属性が複数となったとしても、複数存在する認証許可時間帯を1つに定めることを可能とする。また、ユーザ属性の変更が多い場合であっても容易に対応することを可能とする。
【0018】
また、非常に短時間で検索することができることができ、認証処理速度の高速化を図ることを可能とする。
【0019】
また、優先度を設定することにより厳密な条件に対応することを可能とする。
【0020】
また、重複条件を考慮した新たな認証許可時間帯を決定するというルールも規定することを可能とする。
【0021】
また、転属や一時的な赴任などであっても容易に設定を変更することを可能とする。
【0022】
さらに、本発明によれば、ユーザ特定情報毎、扉情報毎の認証許可時間帯を、各種データベースの情報更新があった場合にあらかじめ生成しておくため、実際の認証時の処理を少なくして高速化を図ることが可能となる。
【0023】
さらにまた、本発明によれば、人事情報を用いた入退室管理を実行する場合において、既存の認証処理装置との連携を図ることが可能となる。
【0024】
また、既存の認証処理装置の設定を変更することなく、複数の認証処理装置について認証情報の一元管理を容易なものとすることを可能とする。
【発明を実施するための最良の形態】
【0025】
以下、本発明の実施の形態について図面を参照して説明する。
【0026】
[第1の実施の形態]
まず、図1を用いて、本発明の第1の実施の形態として入退室管理システム1について説明をする。図1に示すように、入退室管理システム1は、設備系システム10と、認証処理装置20と、人事管理システム30とを備えている。
【0027】
入退室管理システム1の設備系システム10と、認証処理装置20とは、セキュリティレベルの低い領域(低度セキュリティレベル領域)から機密情報の高い領域(高度セキュリティレベル領域)へのユーザの出入を管理する。
【0028】
人事管理システム30は、入退室管理システム1を利用するユーザである、例えば、社員などの人事情報を管理するシステムである。人事情報とは、例えば、従業員の所属部署、性別、役職といった従業員の属性を規定した情報である。人事管理システム30は、認証処理装置20の要求に応じて、適宜人事情報を提供する。
【0029】
入退室管理システム1は、上述した低度セキュリティレベル領域から高度セキュリティレベル領域への出入を管理する形態であればどのようなものであってもよいが、例えば、高度セキュリティレベル領域と低度セキュリティレベル領域とを扉などで隔てて、認証処理に応じて各領域への移動を認めるようにする。
【0030】
入退室管理システム1は、高度セキュリティレベル領域への入室を希望するユーザ全てに対して認証処理を行い、あらかじめ登録された正当なユーザのみを認証して高度セキュリティレベル領域への入室を許可する。また、入退室管理システム1は、必要に応じて高度セキュリティレベル領域から退室を希望するユーザに対して認証処理を行い、高度セキュリティレベル領域からの退室を許可する。低度セキュリティレベル領域と、高度セキュリティレベル領域とは、電気的な作用により施錠、解錠することができる電気錠を備える扉12によって隔てられている。
【0031】
具体的には、設備系システム10は、高度セキュリティレベル領域外に設けられた高度セキュリティレベル領域である部屋R1外に設けられたカードリーダ11により、ユーザが所有する、例えば、非接触のICカード(Integrated Circuit)5の図示しない半導体メモリ内に格納された情報を読み取る。認証処理装置20は、カードリーダ11で読み取られた情報のうちの被認証情報であるカードIDに基づき正当なユーザであると認証された場合に図示しない入退室コントロールユニットにより施錠されていた電気錠を解錠することで高度セキュリティレベル領域への入室を許可する。
【0032】
入退室管理システム1は、このような認証処理により、施錠された電気錠を解錠する場合には、ユーザが所有するICカード5に格納された情報のうち、ICカード5を一意に特定するカードIDと、施錠した扉に固有の扉ID(DNO:扉ナンバー)と、入室か退室かを示す情報とを認証処理装置20に送信する。入室か退室かを示す情報は、例えば、カードリーダ11を一意に特定する機器IDで示すようにしてもよい。
【0033】
認証処理装置20は、人事情報データベース21と、組織マスタデータベース22と、物理情報データベース23と、アクセスタイムデータベース24と、連携設定データベース25と、各種データベースに記憶させる情報を連携させ入退室許可判定部27における入退室許可判定で利用する情報を設定する連携設定部26と、カードリーダ11にてIC
カード5から読み取られた情報に基づき入退室判定許可を判定する入退室許可判定部27とを備えている。
【0034】
人事情報データベース21は、人事管理システム30から取得した人事情報を記憶している。例えば、図2(a)に示すような社員ナンバー(No)と社員の姓名を関連づけた社員基本情報テーブルST1や、図2(b)に示すような社員ナンバーと社員の所属コードとを関連づけた社員所属情報テーブルST2とを記憶している。
【0035】
組織マスタデータベース22は、図3に示すような所属コードと所属名称とを関連付けた所属マスタテーブルMT1を記憶している。
【0036】
物理情報データベース23は、図4(a)に示すような扉ナンバー(DNO)と扉の名称とを関連づけた扉情報テーブルTT1、扉ナンバー(DNO)とゲートグループコードとを関連づけたゲートグループ登録扉情報テーブルGT1と、ゲートグループコードと勤務地区分とを関連づけたゲートグループ情報テーブルGT2とを記憶している。
【0037】
アクセスタイムデータベース24、連携設定データベース25は、入退室管理システム1が稼働する前に連携設定部26によって、設定処理がなされる。
【0038】
ここで、図5に示すフローチャートを用いて、連携設定部26によるアクセスタイムデータベース24、連携設定データベース25に設定されるデータベースの設定処理動作について説明をする。この処理動作により連携設定データベース25には、ユーザの入室資格を判定するためのデータベースが構築される。
【0039】
ステップS1において、連携設定部26は、組織マスタデータベース22から所属マスタテーブルMT1を、物理情報データベース23からゲートグループ情報テーブルGT2を取得する。ゲートグループ情報GT2は、認証処理装置20が管理する扉の集合単位であるゲートグループを管理する情報である。具体的には、ゲートグループは、部屋や建物全体や敷地内の扉全体といった一定の物理空間の境界となる扉の集合を定義したものである。
【0040】
ステップS2において、連携設定部26は、図6に示すような、アクセスタイムIDごとに、入退室許可曜日、入退室許可時間帯を指定するアクセスタイムテーブルAT1を生成し、アクセスタイムデータベース24に記憶させる。
【0041】
ステップS3において、連携設定部26は、所属マスタテーブルMT1の所属コードと、ゲートグループ情報テーブルGT2を階層化したゾーンコードと、アクセスタイムマスタテーブルAT1のアクセスタイムIDとを関連付けた、図7(a)に示す所属別アクセスゾーンテーブルZ1を生成し、連携設定データベース25に記憶させる。
【0042】
ゾーンとは、扉の集合を定義したゲートグループをさらに階層化させた概念であり、図7(b)に示すゾーン登録ゲートグループ情報テーブルZ2のように、ゾーンコードごとに複数のゲートグループを定義することができる論理的な集合単位である。図7(a)に示す所属別アクセスゾーンテーブルZ1は、入退室管理システム1を管理する管理者が、物理構成情報を階層化管理することができるようにしている。
【0043】
続いて、図8に示すフローチャートを用いて、入退室許可判定部27による入退室許可判定処理動作について説明をする。なお、説明のため、2006年4月3日の20:00(平日夜間)に、利用者No.「M0001」のユーザが扉ナンバー(DNO)「D00001」の扉に入室を試みる場合を想定する。
【0044】
ステップS11において、ユーザがICカード5をカードリーダ11に読み取らせる。カードリーダ11は、ICカード5に記憶されたカードIDと、カードリーダ11が設置された扉の扉ナンバー(DNO)と、読み取り時刻を取得し、認証処理装置20の入退室許可判定部27に送出し、入室資格判定を問い合わせる。なお、カードリーダ11が、ICカード5のカードIDを読み取った時刻と、入退室許可判定部27に問い合わせる時刻とが認証判定処理に支障がない程度に短時間である場合、読み取り時刻は不要となる。
【0045】
また、入退室管理システム1は、カードリーダ11、認証処理装置20両者間の時刻のコンセンサスを取るために、正確な時刻を管理する図示しない時刻管理サーバシステムを備えるようにしてもよい。
【0046】
ステップS12において、入退室許可判定部27は、取得したカードIDから、図2(c)に示すようなカード情報テーブルCT1を参照し、ICカード5が有効期限内であるかどうかを判断する。入退室許可判定部27は、ICカード5が有効期限内である場合は処理をステップS13へと進める一方、有効期限内でない場合には処理をステップS20へと進める。
【0047】
ステップS13において、入退室許可判定部27は、カードIDをキーとして、人事情報データベース21を参照し、ICカード5を保有しているユーザの所属コードを取得する。例えば、入退室許可判定部27は、カード情報テーブルCT1の利用者IDをキーとして、図2(b)に示す社員所属情報テーブルST2から社員の所属コードを取得する。
【0048】
ステップS14において、入退室許可判定部27は、扉ナンバー(DNO)をキーとして物理情報データベース23の図4(b)に示すゲートグループ登録扉情報テーブルGT1を参照し、該当する扉を含むゲートグループコードを取得する。
【0049】
ステップS15において、入退室許可判定部27は、ステップS13で取得した所属コード、ステップS14で取得したゲートグループコードの組み合わせを用いて、連携設定データベース25に記憶されている図7(a)に示す所属別アクセスゾーンテーブルZ1を参照し、該当する連携設定情報を取得する。例えば、ユーザが複数の部署に所属していたり、扉が複数のゲートグループに含まれている場合、複数の連携設定情報を取得することができる。
【0050】
ステップS16において、入退室許可判定部27は、有効な連携設定情報が存在するかどうかを判定する。入退室許可判定部27は、有効な連携設定情報が存在する場合、ステップS17へと処理を進める一方、有効な連携設定情報が存在しない場合、ステップS20へと処理を進める。
【0051】
例えば、上述した条件より、利用者No.「M0001」のユーザの場合、図2(b)に示す社員所属情報テーブルST2を参照すると、所属コード「S0001」、「S0002」、「S9999」に所属していることが分かる。
【0052】
一方、扉ナンバー(DNO)「D0001」の扉は、図4(b)に示すゲートグループ登録扉情報テーブルGT1を参照すると、ゲートグループコード「G0001」で表されるゲートグループに所属していることが分かる。したがって、図7(b)のゾーン登録ゲートグループ情報テーブルZ2より、ゾーンコード「Z0001」、「Z9999」のゾーングループに所属していることが分かる。
【0053】
したがって、図7(a)に示す所属別アクセスゾーンテーブルZ1を参照すると、所属コード「S0001」、「S0002」、「S9999」及びゾーンコード「Z0001」、「Z9999」から、アクセス権限コード「A0001」、「A0002」、「A9001」の3つの連携設定情報が該当することが分かる。
【0054】
ステップS17において、入退室許可判定部27は、有効な連携設定情報から入室可能な時間帯を取得する。具体的には、入退室許可判定部27は、所属別アクセスゾーンテーブルZ1を参照し、有効な連携設定情報のアクセスタイムIDを取得する。上述したように、図7(a)に示す所属別アクセスゾーンテーブルZ1において、有効な連携設定情報のアクセス権限コードは、「A0001」、「A0002」、「A9001」であるので、これらより、該当するアクセスタイムIDは、「T0001」、「T0002」であることが分かる。
【0055】
入退室許可判定部27は、アクセスタイムデータベース24のアクセスタイムマスタテーブルAT1を参照し、アクセスタイムIDから入室可能な時間帯を取得する。
【0056】
ステップS18において、入退室許可判定部27は、取得した入室可能な時間帯と、入室資格を問い合わせる時刻又はICカード5のカードIDを読み取った時刻とを比較して入室可能であるかどうかを判定する。入退室許可判定部27は、入室可能な時間帯である場合には、ステップS19へと処理を進め入室許可を与える一方、入室可能な時間帯でない場合には、ステップS20へと処理を進め入室不許可とする。
【0057】
このとき、入退室許可判定部27は、アクセスタイムIDが複数ある場合には、所定のルールに基づき、いずれか一つのアクセスタイムIDを選択することになる。
【0058】
したがって、アクセスタイムデータベース24のアクセスタイムマスタテーブルAT1のアクセスタイムIDのいずれかを選択することにより、入室時間に対する入室許可の結果が変わることになる。
【0059】
以下に所定のルールについて説明をする。まず、アクセスタイムマスタテーブルAT1に登録された登録日時が最も早いデータで判定するというルールを規定することができる。図6に示すように、登録日時が最も早いデータは、アクセスタイムマスタテーブルAT1の上位に存在するため、非常に短時間で検索することができるというメリットがある。したがって、認証処理速度の高速化を図ることができる。
【0060】
続いて、図6に示すように、アクセスタイムマスタテーブルAT1のアクセスタイムID毎に、属性情報として優先度を設定し、優先度の高いアクセスタイムが選択されるようなルールを規定するようにしてもよい。このように優先度を設定するとより厳密な条件に対応することが可能となる。
【0061】
また、アクセスタイムの論理和や論理積、具体的には、図6に示すアクセスタイムマスタテーブルAT1の入退室許可曜日、入退室許可時間帯の論理和や論理積を求めることで、重複条件を考慮した新たな認証許可時間帯を決定するというルールも規定することができる。
【0062】
また、図7に示した所属別アクセスゾーンテーブルZ1の属性として、テーブル内のデータが有効となる開始日、逆に無効となる終了日を設定しておくことで、例えば、所属コード「S0002」の部署のユーザが、2006年10月1日より勤務場所がゲートグループコード「G0001」から「G0002」へと変更された場合であっても、所属社員全員の入室資格を個別に変更する必要なく、事前にまとめて設定することが可能となる。したがって、転属や一時的な赴任などであっても容易に設定を変更することができる。
【0063】
このように、本発明の第1の実施の形態として示す入退室管理システム1は、認証処理装置20により、人事情報を用いた入退室管理を実行する場合、兼務などによりユーザが所属するユーザ属性が複数となったとしても、複数存在する認証許可時間帯を1つに定めることができる。また、ユーザ属性の変更が多い場合であっても容易に対応することができる。
【0064】
[第2の実施の形態]
続いて、図9を用いて、本発明の第2の実施の形態として入退室管理システム2について説明をする。図9に示すように、入退室管理システム2は、図1を用いて第1の実施の形態として説明した入退室管理システム1の認証処理装置20にカード登録扉情報生成部28と、カード登録扉データベース29とが付加された構成となっている。したがって、重複する個所については同一符号を付して説明を省略する。
【0065】
上述した第1の実施の形態として示す入退室管理システム1は、ユーザが入退室を実行する度にICカード5毎に、図8のフローチャートに示す処理が必要となるが、複数の部署に所属する兼務者が多い場合、認証時のデータアクセスを複雑にする必要があるため処理時間を多く要してしまうといった問題がある。
【0066】
そこで、図10に示すフローチャートを用いて説明する手順に従って、カード登録扉情報生成部28によって、カード登録扉データベース29に、あらかじめカード登録扉情報を生成しておく。
【0067】
ステップS21において、カード登録扉情報生成部28は、人事情報データベース21、物理情報データベース23、アクセスタイムデータベース24、連携設定データベース25から所属、ゲートグループ、扉ナンバー(DNO)、アクセスタイム、連携設定情報といった各種データを全て取得する。
【0068】
ステップS22において、カード登録扉情報生成部28は、取得したデータより、所属毎に各扉の入室時間を求め、重複項目の削除を実施する。
【0069】
ステップS23において、カード登録扉情報生成部28は、人事情報データベース21よりカード、社員データを全て取得する。
【0070】
ステップS24において、カード登録扉情報生成部28は、取得したデータより、カード毎に各扉の入室時間帯を求め、重複項目の削除を実施する。
【0071】
ステップS25において、カード登録扉情報生成部28は、図11に示すような、扉ナンバー(DNO)毎、カードID毎に、認証許可時間帯を規定したカード登録扉情報テーブルCT2を生成し、カード登録扉データベース29へと記憶させる。
【0072】
続いて、図12に示すフローチャートを用いて、入退室許可判定部27による入退室許可判定処理動作について説明をする。
【0073】
ステップS31において、ユーザがICカード5をカードリーダ11に読み取らせる。カードリーダ11は、ICカード5に記憶されたカードIDと、カードリーダ11が設置された扉の扉ナンバー(DNO)と、読み取り時刻を取得し、認証処理装置20の入退室許可判定部27に送出し、入室資格判定を問い合わせる。なお、カードリーダ11が、ICカード5のカードIDを読み取った時刻と、入退室許可判定部27に問い合わせる時刻とが認証判定処理に支障がない程度に短時間である場合、読み取り時刻は不要となる。
【0074】
ステップS32において、入退室許可判定部27は、カードIDをキーとして、カード登録扉データベース29を参照し、図11に示すカード登録扉情報テーブルCT2を参照し、カード登録扉情報を取得する。
【0075】
ステップS33において、入退室許可判定部27は、ICカード5が有効期限内であるかどうかを判断する。入退室許可判定部27は、ICカード5が有効期限内である場合は処理をステップS34へと進める一方、有効期限内でない場合処理をステップS38へと進める。
【0076】
ステップS34において、入退室許可判定部27は、カードID、扉ナンバー(DNO)に対して有効期限内の入室資格情報を管理しているかどうか判断する。入退室許可判定部27は、有効期限内の入室資格情報を管理している場合は、処理をステップS36へと進める一方、管理していない場合は、処理をステップS35へと進める。
【0077】
ステップS35において、入退室許可判定部27は、カード登録扉情報生成部28へと処理を移行し、上述した図10に示すフローチャートの処理を再び実施して、図11に示すカード登録扉情報テーブルCT2を更新するよう指示する。
【0078】
このステップS34、ステップS35の処理は、カード登録扉データベース29に、カード登録扉情報テーブルCT2を設定した後に、人事情報データベース21内のユーザの所属や連携設定データベース25などの各種データベースの更新に対応するための処理である。
【0079】
具体的には、カード登録扉情報生成部28は、人事情報データベース21、組織マスタデータベース22、物理情報データベース23、アクセスタイムデータベース24、連携設定データベース25、カード登録扉データベース29の内容が更新される度、つまり、認証許可時間帯に変化を与える情報に更新がある度、又は定期的に、カード登録扉データベース29を更新すればよい。あるいは、カード登録扉情報生成部28は、カード登録扉データベース29内に設定データの有効期間を示す「開始日」、「終了日」を記載することで、入退室許可判定部27が、カード登録扉情報テーブルの有効期間を判断(ステップS34)して、ICカード5の情報が有効期間でない場合、カード登録扉情報生成部28が、カード登録扉情報テーブルCT2を更新する。
【0080】
ステップS36において、入退室許可判定部27は、取得した入室可能な時間帯と、入室資格を問い合わせる時刻又はICカード5のカードIDを読み取った時刻とを比較して入室可能であるかどうかを判定する。入退室許可判定部27は、入室可能な時間帯である場合には、ステップS37へと処理を進め入室許可を与える一方、入室可能な時間帯でない場合には、ステップS38へと処理を進め入室不許可とする。
【0081】
このように、本発明の第2の実施の形態として示す入退室管理システム2は、認証処理装置20により、ユーザ特定情報毎、扉ナンバー毎の認証許可時間帯を、各種データベースの情報更新があった場合にあらかじめ生成しておくため、実際の認証時の処理を少なくして高速化を図ることができる。
【0082】
[第3の実施の形態]
続いて、図13を用いて、本発明の第3の実施の形態として示す入退室管理システム3について説明をする。第3の実施の形態として示す入退室管理システム3は、既存の認証処理装置を流用する場合に対応するための構成である。図13に示すように、入退室許可判定部27、カード登録扉データベース29、個別アクセスタイムデータベース43を有する認証処理装置20Aと、人事情報データベース21、組織マスタデータベース22、物理情報データベース23、アクセスタイムデータベース24、連携設定データベース25、連携設定部26、カード登録扉情報生成部28、共通アクセスタイム生成部41、アクセスタイム紐付けデータベース42を有する連携設定装置40とに分離構成することで、既存の認証処理装置を利用可能としている。
【0083】
なお、上述した、第1の実施の形態として示した入退室管理システム1、第2の実施の形態として示した入退室管理システム2と重複する個所は同一符号を付して説明を省略する。
【0084】
また、このように、随時更新がなされる各種データベースを連携設定装置40に備えることで、複数の認証処理装置20Aと、1台の連携設定装置とによるシステム構成を形成することができる。しかしながら、このように複数の認証処理装置20Aを設けるようなシステム構成とした場合、既存の認証処理装置20A毎でアクセスタイムが異なることが想定される。例えば、図14(a)、(b)に示すように、異なる地域(東京、大阪)において、アクセスタイムID「t0004」、「t0006」の標準勤務時間は、アクセスタイム名称、入退出許可曜日が同じであっても入退出許可時間帯が異なっているのが分かる。これらが、各地域の認証処理装置20Aの個別アクセスタイムデータベース43に記憶されている。
【0085】
そこで、連携設定装置40の共通アクセスタイム生成部41により、図14(c)に示すようなアクセスタイム紐付け情報テーブルHT1を生成し、アクセスタイム紐付けデータベース42に記憶させる。これにより、各認証処理装置20Aが管理する図14(a),(b)に示すような個別アクセスタイムデータベース43のデータと、連携設定装置40が管理する図6に示すようなアクセスタイムデータベース24のアクセスタイムマスタテーブルAT1のデータとを紐付けて関連付けることができる。これにより、既存の認証処理装置20Aの設定を変更することなく、複数の認証処理装置20Aについて認証情報の一元管理を容易なものとすることができる。
【0086】
このように、本発明の第3の実施の形態として示す入退室管理システム3は、連携設定装置40により、人事情報を用いた入退室管理を実行する場合において、既存の認証処理装置20Aとの連携を図ることができる。
【0087】
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。
【図面の簡単な説明】
【0088】
【図1】本発明の第1の実施の形態として示す入退室管理システムの構成について説明するための図である。
【図2】人事情報に関するテーブルを示した図である。
【図3】所属に関するテーブルを示した図である。
【図4】物理情報に関するテーブルを示した図である。
【図5】連携設定データベースに設定するテーブルの生成処理動作について説明するためのフローチャートである。
【図6】アクセスタイムマスタテーブルを示した図である。
【図7】連携設定データベースに設定するテーブルを示した図である。
【図8】本発明の第1の実施の形態として示す入退室管理システムの処理動作について説明するためのフローチャートである。
【図9】本発明の第2の実施の形態として示す入退室管理システムの構成について説明するための図である。
【図10】カード登録扉データベースへの登録処理動作について説明するためのフローチャートである。
【図11】カード登録扉情報テーブルについて示した図である。
【図12】本発明の第2の実施の形態として示す入退室管理システムの処理動作について説明するためのフローチャートである。
【図13】本発明の第3の実施の形態として示す入退室管理システムの構成について説明するための図である。
【図14】アクセスタイムテーブルを示した図である。
【符号の説明】
【0089】
1 入退室管理システム
2 入退室管理システム
3 入退室管理システム
5 ICカード
10 設備系システム
11 カードリーダ
12 扉
20 認証処理装置
20A 認証処理装置
21 人事情報データベース
22 組織マスタデータベース
23 物理情報データベース
24 アクセスタイムデータベース
25 連携設定データベース
26 連携設定部
27 入退室許可判定部
28 カード登録扉情報生成部
29 カード登録扉データベース
30 人事管理システム
40 連携設定装置
41 共通アクセスタイム生成部
42 アクセスタイム紐付けデータベース
43 個別アクセスタイムデータベース
【特許請求の範囲】
【請求項1】
ユーザを一意に特定するユーザ特定情報と、前記ユーザの所属先を特定するユーザ属性情報とを関連付けた第1のテーブルと、
任意の物理領域への入室を許可する認証許可時間帯を規定した第2のテーブルと、
所定の物理領域への入退室を隔てる扉を特定する扉情報を特定する第3のテーブルと、
前記第1のテーブルの前記ユーザ属性情報と、前記第2のテーブルの認証許可時間帯と、前記第3のテーブルの扉情報とを関連付けた第4のテーブルと、
前記ユーザ特定情報に基づき第1のテーブルから取得されるユーザ属性情報から、前記第4のテーブルによって関連付けられた前記第2のテーブルの認証許可時間帯に基づき認証処理をする認証処理手段と、
前記第1のテーブルにおいて、ユーザ特定情報に関連付けられたユーザ属性情報が複数存在する場合、前記認証処理手段によって認証された認証許可時間帯のうち、所定のルールに基づき前記認証許可時間帯を決定する認証許可時間帯決定手段とを備えること
を特徴とする認証処理装置。
【請求項2】
前記第2のテーブルは、前記認証許可時間帯を設定した時間を特定する時間情報を有し、
前記認証許可時間帯決定手段は、前記第1のテーブルにおいて、ユーザ特定情報に関連付けられたユーザ属性情報が複数存在する場合、前記認証処理手段によって認証された認証許可時間帯のうち、前記所定のルールとして、最も新しい前記時間情報を有する認証許可時間帯に決定すること
を特徴とする請求項1記載の認証処理装置。
【請求項3】
前記第2のテーブルは、前記認証許可時間帯ごとに優先順位を与え、
前記認証許可時間帯決定手段は、前記第1のテーブルにおいて、ユーザ特定情報に関連付けられたユーザ属性情報が複数存在する場合、前記認証処理手段によって認証された認証許可時間帯のうち、前記所定のルールとして、最も高い優先順位を有する認証許可時間帯に決定すること
を特徴とする請求項1記載の認証処理装置。
【請求項4】
前記認証許可時間帯決定手段は、前記第1のテーブルにおいて、ユーザ特定情報に関連付けられたユーザ属性情報が複数存在する場合、前記所定のルールとして、前記認証処理手段によって認証された認証許可時間帯に論理演算を施して認証許可時間帯を決定すること
を特徴とする請求項1記載の認証処理装置。
【請求項5】
前記第4のテーブルは、有効期限を示す属性情報を有し、
前記認証許可時間帯決定手段は、前記第1のテーブルにおいて、ユーザ特定情報に関連付けられたユーザ属性情報が複数存在する場合、前記認証処理手段によって認証された認証許可時間帯のうち、前記所定のルールとして、前記有効期限に基づき認証許可時間帯を決定すること
を特徴とする請求項1記載の認証処理装置。
【請求項6】
認証許可時間帯に変化を与える情報に更新があった場合に、前記ユーザ特定情報毎、前記扉情報毎の認証許可時間帯を生成する登録扉情報生成手段を備えること
を特徴とする請求項1記載の認証処理装置。
【請求項7】
ユーザを一意に特定するユーザ特定情報と、前記ユーザの所属先を特定するユーザ属性情報とを関連付けた第1のテーブルと、
任意の物理領域への入室を許可する認証許可時間帯を規定した第2のテーブルと、
所定の物理領域への入退室を隔てる扉を特定する扉情報を特定する第3のテーブルと、
前記第1のテーブルの前記ユーザ属性情報と、前記第2のテーブルの認証許可時間帯と、前記第3のテーブルの扉情報とを関連付けた第4のテーブルと、
認証許可時間帯に変化を与える情報に更新があった場合に、前記ユーザ特定情報毎、前記扉情報毎の認証許可時間帯を生成する登録扉情報生成手段とを備え、
前記ユーザ特定情報、前記扉情報を用いて、独自の認証許可時間帯に基づき認証処理をする認証処理装置との連携を図ること
を特徴とする連携設定装置。
【請求項8】
前記認証処理装置の独自の認証許可時間帯のうち、他の認証処理装置の認証許可時間帯と共通概念を有するものを共通化して認識できるよう関連付ける共通化手段を備えること
を特徴とする請求項7記載の連携設定装置。
【請求項1】
ユーザを一意に特定するユーザ特定情報と、前記ユーザの所属先を特定するユーザ属性情報とを関連付けた第1のテーブルと、
任意の物理領域への入室を許可する認証許可時間帯を規定した第2のテーブルと、
所定の物理領域への入退室を隔てる扉を特定する扉情報を特定する第3のテーブルと、
前記第1のテーブルの前記ユーザ属性情報と、前記第2のテーブルの認証許可時間帯と、前記第3のテーブルの扉情報とを関連付けた第4のテーブルと、
前記ユーザ特定情報に基づき第1のテーブルから取得されるユーザ属性情報から、前記第4のテーブルによって関連付けられた前記第2のテーブルの認証許可時間帯に基づき認証処理をする認証処理手段と、
前記第1のテーブルにおいて、ユーザ特定情報に関連付けられたユーザ属性情報が複数存在する場合、前記認証処理手段によって認証された認証許可時間帯のうち、所定のルールに基づき前記認証許可時間帯を決定する認証許可時間帯決定手段とを備えること
を特徴とする認証処理装置。
【請求項2】
前記第2のテーブルは、前記認証許可時間帯を設定した時間を特定する時間情報を有し、
前記認証許可時間帯決定手段は、前記第1のテーブルにおいて、ユーザ特定情報に関連付けられたユーザ属性情報が複数存在する場合、前記認証処理手段によって認証された認証許可時間帯のうち、前記所定のルールとして、最も新しい前記時間情報を有する認証許可時間帯に決定すること
を特徴とする請求項1記載の認証処理装置。
【請求項3】
前記第2のテーブルは、前記認証許可時間帯ごとに優先順位を与え、
前記認証許可時間帯決定手段は、前記第1のテーブルにおいて、ユーザ特定情報に関連付けられたユーザ属性情報が複数存在する場合、前記認証処理手段によって認証された認証許可時間帯のうち、前記所定のルールとして、最も高い優先順位を有する認証許可時間帯に決定すること
を特徴とする請求項1記載の認証処理装置。
【請求項4】
前記認証許可時間帯決定手段は、前記第1のテーブルにおいて、ユーザ特定情報に関連付けられたユーザ属性情報が複数存在する場合、前記所定のルールとして、前記認証処理手段によって認証された認証許可時間帯に論理演算を施して認証許可時間帯を決定すること
を特徴とする請求項1記載の認証処理装置。
【請求項5】
前記第4のテーブルは、有効期限を示す属性情報を有し、
前記認証許可時間帯決定手段は、前記第1のテーブルにおいて、ユーザ特定情報に関連付けられたユーザ属性情報が複数存在する場合、前記認証処理手段によって認証された認証許可時間帯のうち、前記所定のルールとして、前記有効期限に基づき認証許可時間帯を決定すること
を特徴とする請求項1記載の認証処理装置。
【請求項6】
認証許可時間帯に変化を与える情報に更新があった場合に、前記ユーザ特定情報毎、前記扉情報毎の認証許可時間帯を生成する登録扉情報生成手段を備えること
を特徴とする請求項1記載の認証処理装置。
【請求項7】
ユーザを一意に特定するユーザ特定情報と、前記ユーザの所属先を特定するユーザ属性情報とを関連付けた第1のテーブルと、
任意の物理領域への入室を許可する認証許可時間帯を規定した第2のテーブルと、
所定の物理領域への入退室を隔てる扉を特定する扉情報を特定する第3のテーブルと、
前記第1のテーブルの前記ユーザ属性情報と、前記第2のテーブルの認証許可時間帯と、前記第3のテーブルの扉情報とを関連付けた第4のテーブルと、
認証許可時間帯に変化を与える情報に更新があった場合に、前記ユーザ特定情報毎、前記扉情報毎の認証許可時間帯を生成する登録扉情報生成手段とを備え、
前記ユーザ特定情報、前記扉情報を用いて、独自の認証許可時間帯に基づき認証処理をする認証処理装置との連携を図ること
を特徴とする連携設定装置。
【請求項8】
前記認証処理装置の独自の認証許可時間帯のうち、他の認証処理装置の認証許可時間帯と共通概念を有するものを共通化して認識できるよう関連付ける共通化手段を備えること
を特徴とする請求項7記載の連携設定装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公開番号】特開2008−108136(P2008−108136A)
【公開日】平成20年5月8日(2008.5.8)
【国際特許分類】
【出願番号】特願2006−291601(P2006−291601)
【出願日】平成18年10月26日(2006.10.26)
【出願人】(000005832)松下電工株式会社 (17,916)
【Fターム(参考)】
【公開日】平成20年5月8日(2008.5.8)
【国際特許分類】
【出願日】平成18年10月26日(2006.10.26)
【出願人】(000005832)松下電工株式会社 (17,916)
【Fターム(参考)】
[ Back to top ]