認証情報管理システム
【課題】認証情報の漏洩や不正利用を防止し、高度なセキュリティを確保することができる認証情報管理システムを提供する。
【解決手段】認証情報管理システム100は、読み書き可能な記憶手段を有する携帯可搬記録媒体10と、ユーザーが保持している携帯可搬記録媒体10を識別情報やパスワードなどによって認証する認証手段21と、ユーザーが特定の部屋50に入室するときに、携帯可搬記録媒体10の記憶手段にシングルサインオン情報等を書き込み、ユーザーが特定の部屋50から退室するときに、携帯可搬記録媒体10の記憶手段のシングルサインオン情報等を削除する認証情報管理手段22などとを備える。
【解決手段】認証情報管理システム100は、読み書き可能な記憶手段を有する携帯可搬記録媒体10と、ユーザーが保持している携帯可搬記録媒体10を識別情報やパスワードなどによって認証する認証手段21と、ユーザーが特定の部屋50に入室するときに、携帯可搬記録媒体10の記憶手段にシングルサインオン情報等を書き込み、ユーザーが特定の部屋50から退室するときに、携帯可搬記録媒体10の記憶手段のシングルサインオン情報等を削除する認証情報管理手段22などとを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証情報を管理する認証情報管理システムに関するものである。
【背景技術】
【0002】
従来、高度なセキュリティを必要とする特定の室内では、ゲートシステムにより入退室管理を行い、正当な権限を有するユーザーにのみ、入室を許可する方法がとられていた(例えば、特許文献1)。
一方、シングルサインオンシステムは、ユーザーが一度認証を受けるだけで、アクセスを許可されているすべての機能を利用できるシステムである。
このシステムを採用すれば、ユーザーの利便性が向上するとともに、情報を一ヶ所で集中管理することができ、システム全体のセキュリティも強化させることができる。
【0003】
しかし、シングルサインオンシステムでは、認証情報の入力は、ユーザーによって手入力されたり、認証情報を記憶している携帯可搬記録媒体によって自動入力されたりしていた。
そのため、入力用のパスワードが漏洩してしまうと、シングルサインオン環境下のシステム全てにログオン可能となり、情報資源の流出につながる可能性があった。
また、携帯可搬記録媒体にシングルサインオン情報を格納することにより、特定のユーザーにのみシステムの利用を許可することが可能であるが、必要のない環境でも携帯可搬記録媒体にシングルサインオン情報が存在するので、その情報が漏洩してしまう恐れがあった。
【特許文献1】特開2001−323695号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
本発明の課題は、認証情報の漏洩や不正利用を防止し、高度なセキュリティを確保することができる認証情報管理システムを提供することである。
【課題を解決するための手段】
【0005】
本発明は、以下のような解決手段により、前記課題を解決する。なお、理解を容易にするために、本発明の実施例に対応する符号を付して説明するが、これに限定されるものではない。
請求項1の発明は、読み書き可能な記憶手段を有する携帯可搬記録媒体(10)と、所定のエリア(50)に設けられ、前記携帯可搬記録媒体(10)が前記所定のエリア(50)に進入するときに、前記記憶手段に認証情報を書き込み、前記携帯可搬記録媒体(10)が前記所定のエリア(50)から退去するときに、前記記憶手段の前記認証情報を削除する認証情報管理手段(22)と、を備える認証情報管理システムである。
請求項2の発明は、請求項1に記載の認証情報管理システムにおいて、前記所定のエリアに設置された情報処理装置を備え、前記認証情報管理手段は、前記携帯可搬記録媒体が前記所定のエリアに進入するときに、前記認証情報の一部分を書き込み、前記情報処理装置の利用時に前記認証情報の残りの部分を書き込むこと、を特徴とする認証情報管理システムである。
請求項3の発明は、請求項1に記載の認証情報管理システムにおいて、前記所定のエリアに設置された情報処理装置を備え、前記認証情報管理手段は、前記携帯可搬記録媒体が前記所定のエリアに進入するときに、冗長情報を付加した前記認証情報を書き込み、前記情報処理装置の利用時に前記冗長情報を削除すること、を特徴とする認証情報管理システムである。
請求項4の発明は、請求項1から請求項3までのいずれか1項に記載の認証情報管理システムにおいて、前記認証情報は、有効期限が設定されていること、を特徴とする認証情報管理システムである。
請求項5の発明は、請求項1から請求項4までのいずれか1項に記載の認証情報管理システムにおいて、前記携帯可搬記録媒体(10)を認証する認証手段(21)を備えること、を特徴とする認証情報管理システムである。
請求項6の発明は、請求項1から請求項5までのいずれか1項に記載の認証情報管理システムにおいて、前記認証情報は、シングルサインオン情報を含む情報であること、を特徴とする認証情報管理システムである。
【発明の効果】
【0006】
本発明によれば、所定のエリアへの進入時に認証情報を書き込み、退去時にその認証情報を削除するので、所定のエリアでのみ携帯可搬記録媒体に認証情報が格納された状態になる。
このため、所定のエリア外に認証情報が持ち出されることがなくなり、認証情報の漏洩を防止し、高度なセキュリティを確保することができる。
また、認証情報を部分的に書き込んだり、冗長情報を付加して書き込んだりすることによって、より高度なセキュリティを確保することができる。
【0007】
さらに、認証情報は、有効期限が設定されているので、一定期間を過ぎるとその情報を無効にすることが可能となり、不正利用を防止することができる。
さらにまた、携帯可搬記録媒体を認証する認証手段を備えるので、携帯可搬記録媒体を使用するユーザーを判断し、特定の携帯可搬記録媒体にのみ認証情報を書き込んだり、ユーザーによって異なる認証情報を書き込んだりすることができ、より高度なセキュリティ環境を構築することができる。
一方、認証情報は、シングルサインオン情報であるので、ユーザーの利便性を向上させつつ、高度なセキュリティを確保することができる。
【発明を実施するための最良の形態】
【0008】
本発明は、認証情報の漏洩や不正利用を防止し、高度なセキュリティを確保することができる認証情報管理システムを提供するという目的を、ユーザーが保持している携帯可搬記録媒体に対して、入室時にシングルサインオン情報等を書き込み、退室時にシングルサインオン情報等を削除することにより実現する。
【実施例】
【0009】
以下、図面等を参照して、本発明の実施例について、さらに詳しく説明する。
図1は、本発明による認証情報管理システムの実施例を示す図である。
本実施例の認証情報管理システム100は、携帯可搬記録媒体10と、入退室ゲートシステム20と、管理データベース30と、PC(パーソナルコンピュータ)40などとを備える。
【0010】
携帯可搬記録媒体10は、読み書き可能な記憶手段(EEPROMなど)を有し、ユーザーに保持されるICカードである。
【0011】
入退室ゲートシステム20は、特定の部屋(所定のエリア)50の出入口(境界部分)に設けられ、ユーザーの入退室を管理するシステムであり、認証手段21と、認証情報管理手段22とを備える。
認証手段21は、ユーザーが保持している携帯可搬記録媒体10を、識別情報やパスワードなどによって認証する部分である。
認証情報管理手段22は、ユーザーが特定の部屋50に入室するときに、携帯可搬記録媒体10の記憶手段に認証情報を書き込み、ユーザーが特定の部屋50から退室するときに、携帯可搬記録媒体10の記憶手段の認証情報を削除する部分である。
【0012】
本実施例では、認証情報は、SSO情報(シングルサインオン情報)であり、一定の有効期限が設定されている。有効期限は、例えば、1時間以内などといった時間制限情報であり、その時間内に特定の部屋50において認証情報の利用がなければ、認証情報は無効となる。
【0013】
管理データベース30は、ネットワークを介して入退室ゲートシステム20に接続され、SSO情報,有効期限を含む関連情報及びアクセス許可回数(以下、SSO情報等という。)を管理する装置である。
PC40は、特定の部屋50に設置された情報処理装置であり、携帯可搬記録媒体10に記憶されている情報を読み取るリーダライタ41を備える。
【0014】
次に、図1を参照しながら、図2,図3及び図4を用いて、認証情報管理システム100の動作を説明する。
図2,図3及び図4は、認証情報管理システム100の動作を説明するフローチャートであり、図2は入室時の動作を示し、図3は部屋内PC利用時の動作を示し、図4は退室時の動作を示している。
(入室時;図2参照)
まず、入退室ゲートシステム20が、携帯可搬記録媒体10の識別情報を読み取る(S101)。
ついで、入退室ゲートシステム20が、読み取った識別情報に基づいて、入室可能な携帯可搬記録媒体10か否かを判断する(S102)。
入室不可と判断した場合には、エラー表示などを行い(S103)、終了する(S104)。
入室可と判断した場合には、携帯可搬記録媒体10に関連付けられているSSO情報等を管理データベース30から読み出す(S105)。
そして、入退室ゲートシステム20が、携帯可搬記録媒体10の記憶手段に、SSO情報等を書き込む(S106)。
書き込みに失敗した場合には、エラー表示などを行い(S103)、終了する(S104)。
書き込みに成功した場合には、特定の部屋50のドアを開き(S107)、終了する(S104)。
【0015】
(部屋内PC利用時;図3参照)
まず、PC40を起動する(S201)。
ついで、PC40のリーダライタ41に、携帯可搬記録媒体10のSSO情報等を読み取らせる(S202)。
ここで、SSO情報等に含まれる有効期限とアクセス許可回数とをチェックする(S203)。
有効期限外の場合、又は、アクセス許可回数を超えた場合には、終了する(S204)。
有効期限内、かつ、アクセス許可回数内の場合には、シングルサインオンの機能が有効になる。
そして、SSO情報等を自動入力することができるアプリケーションの起動を検知した場合には(S205)、携帯可搬記録媒体10から読み取ったSSO情報等が、対象アプリケーションに自動入力される(S206)。
PC40での作業が終了したら、ログオフして終了する(S204)。ログオフ時には、所定のアプリケーションによって、アクセス許可回数が減算され、携帯可搬記録媒体10に記録される。
【0016】
(退室時;図4参照)
まず、入退室ゲートシステム20が、携帯可搬記録媒体10の識別情報を読み取る(S301)。
ついで、入退室ゲートシステム20が、読み取った識別情報に対応する携帯可搬記録媒体10のSSO情報等を削除する(S302)。
削除に失敗した場合には、エラー表示などを行い(S303)、終了する(S304)。
削除に成功した場合には、ドアを開き(S305)、終了する(S304)。
入室時,部屋内PC利用時及び退室時は、このように制御される。
【0017】
次に、SSO情報等の発行/削除の一連の流れを説明する。
図5は、SSO情報等の発行/削除の一連の流れを説明する図である。
(#1)ユーザーは、入退室ゲートシステム20により管理されている特定の部屋50に、携帯可搬記録媒体10を保持して入室する。
(#2)入退室ゲートシステム20において、入室が許可された場合には、携帯可搬記録媒体10に書き込むためのSSO情報等が発行される(書き込まれる)。発行に成功するとドアが開く。
(#3)入室後、リーダライタ41を有するPC40を起動し、携帯可搬記録媒体10を用いてログオンする。ユーザーは、携帯可搬記録媒体10に格納された有効期限内のSSO情報等を利用して、各種システムの利用が可能となる。
(#4)ログオン後、PC40は、アプリケーションにアクセスするための所定の情報(ユーザーID、パスワード、アプリケーション名、部署名、データベース名、URL情報、IPアドレス、ドメイン名、サーバー名、特定の部屋の識別情報、各種制限情報などの中から認証に必要な情報)を携帯可搬記録媒体10から読み出し、対象となるアプリケーションの起動を検知した場合には、SSO情報等が自動入力される。
(#5)退室時には、携帯可搬記録媒体10に格納されているSSO情報等が、入退室ゲートシステム20により削除される。
【0018】
このように、本実施例の認証情報管理システム100によれば、以下のような効果がある。
(1)特定の部屋50への入室時にSSO情報等を書き込み、退室時にそのSSO情報等を削除するので、特定の部屋50でのみ携帯可搬記録媒体10にSSO情報等が格納された状態になる。
このため、特定の部屋50以外の場所にSSO情報等が持ち出されることがなく、SSO情報等の使用エリアを限定することができ、SSO情報等の漏洩を防止し、高度なセキュリティを確保することができる。
また、システムの管理側にとっては、特定の部屋50で業務を遂行していることが保障されるという効果がある。
【0019】
(2)SSO情報等は、有効期限が設定されているので、一定期間を過ぎるとその情報を無効にすることが可能となり、セキュリティをより高めつつ、不正利用を防止することができる。また、例えば、有効期限を40秒などと短時間で設定した場合には、システムを熟知した者しかシステムを利用することができず、より高度なセキュリティを担保することができる。
(3)携帯可搬記録媒体10を認証する認証手段21を備えるので、携帯可搬記録媒体10を使用するユーザーを判断し、特定の携帯可搬記録媒体10にのみSSO情報等を書き込んだり、ユーザーによって異なるSSO情報(図5参照、SSO1,SSO2,SSO3)を書き込んだりすることができ、より高度なセキュリティ環境を構築することができる。
また、万一不正が行われた場合であっても、異なるSSO情報等をログに残して確認することができるので、セキュリティをより向上させることができる。
さらに、ユーザーによって異なるSSO情報等を付与すれば、ユーザー毎に使用可能なアプリケーションを変更したり、ユーザー毎に特定の条件でアプリケーションを実行させたりすることができる。
【0020】
(4)認証情報は、シングルサインオン情報であるので、ユーザーの利便性を向上させつつ、高度なセキュリティを確保することができる。
(5)許可されたユーザーのみに、特定のエリアかつ特定の時間内で有効なSSO情報等を発行することにより、重要な情報資産をよりセキュアな状態で保護することができる。
【0021】
(6)管理データベース30によってSSO情報等を管理し、入退室ゲートシステム20によってSSO情報等を自動書き込みすることができるので、管理者が各ユーザーの携帯可搬記録媒体10を管理する作業がなくなる。
(7)管理データベース30がSSO情報等を管理することによって、SSO情報等の変更を容易に行うことができ、さらなる利便性やセキュリティ性の向上につながる。
【0022】
(変形例)
以上説明した実施例に限定されることなく、種々の変形や変更が可能であって、それらも本発明の均等の範囲内である。
(1)携帯可搬記録媒体は、ICカードの例で説明したが、ICカードを搭載した携帯電話機であってもよく、また、携帯可能であり、バイオ認証可能であり、各種情報を読み書き可能なバイオ認証装置であってもよい。
(2)所定のエリアは、特定の部屋の例で説明したが、施設や工場などであってもよい。
【0023】
(3)管理データベース30は、1つ設置する例で説明した、複数設置してもよい。
(4)例えば、PC40にも認証情報管理手段を設け、管理データベース30と接続させる。そして、入室時には、入退室ゲートシステム20の認証情報管理手段22が認証情報の一部分を書き込み、PC利用時には、PC40の認証情報管理手段が認証情報の残りの部分を書き込むようにしてもよい。
また、入室時には、入退室ゲートシステム20の認証情報管理手段22がダミーデータ(冗長情報)を付加した認証情報を書き込み、PC利用時には、PC40の認証情報管理手段がダミーデータを削除するようにしてもよい。
このようにすれば、特定の部屋50内の特定のPC40でしか認証情報が成立しないので、セキュリティの高い管理や制限が可能となる。
また、LANやインターネットを利用して、PC40から認証情報を変更できるようになるので、認証情報のメンテナンスを迅速かつ簡単に低コストで行うことができる。
【図面の簡単な説明】
【0024】
【図1】本発明による認証情報管理システムの実施例を示す図である。
【図2】認証情報管理システム100の動作を説明するフローチャートである。
【図3】認証情報管理システム100の動作を説明するフローチャートである。
【図4】認証情報管理システム100の動作を説明するフローチャートである。
【図5】SSO情報等の発行/削除の一連の流れを説明する図である。
【符号の説明】
【0025】
100 認証情報管理システム
10 携帯可搬記録媒体
20 入退室ゲートシステム
21 認証手段
22 認証情報管理手段
30 管理データベース
40 PC(情報処理装置)
41 リーダライタ
50 特定の部屋(所定のエリア)
【技術分野】
【0001】
本発明は、認証情報を管理する認証情報管理システムに関するものである。
【背景技術】
【0002】
従来、高度なセキュリティを必要とする特定の室内では、ゲートシステムにより入退室管理を行い、正当な権限を有するユーザーにのみ、入室を許可する方法がとられていた(例えば、特許文献1)。
一方、シングルサインオンシステムは、ユーザーが一度認証を受けるだけで、アクセスを許可されているすべての機能を利用できるシステムである。
このシステムを採用すれば、ユーザーの利便性が向上するとともに、情報を一ヶ所で集中管理することができ、システム全体のセキュリティも強化させることができる。
【0003】
しかし、シングルサインオンシステムでは、認証情報の入力は、ユーザーによって手入力されたり、認証情報を記憶している携帯可搬記録媒体によって自動入力されたりしていた。
そのため、入力用のパスワードが漏洩してしまうと、シングルサインオン環境下のシステム全てにログオン可能となり、情報資源の流出につながる可能性があった。
また、携帯可搬記録媒体にシングルサインオン情報を格納することにより、特定のユーザーにのみシステムの利用を許可することが可能であるが、必要のない環境でも携帯可搬記録媒体にシングルサインオン情報が存在するので、その情報が漏洩してしまう恐れがあった。
【特許文献1】特開2001−323695号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
本発明の課題は、認証情報の漏洩や不正利用を防止し、高度なセキュリティを確保することができる認証情報管理システムを提供することである。
【課題を解決するための手段】
【0005】
本発明は、以下のような解決手段により、前記課題を解決する。なお、理解を容易にするために、本発明の実施例に対応する符号を付して説明するが、これに限定されるものではない。
請求項1の発明は、読み書き可能な記憶手段を有する携帯可搬記録媒体(10)と、所定のエリア(50)に設けられ、前記携帯可搬記録媒体(10)が前記所定のエリア(50)に進入するときに、前記記憶手段に認証情報を書き込み、前記携帯可搬記録媒体(10)が前記所定のエリア(50)から退去するときに、前記記憶手段の前記認証情報を削除する認証情報管理手段(22)と、を備える認証情報管理システムである。
請求項2の発明は、請求項1に記載の認証情報管理システムにおいて、前記所定のエリアに設置された情報処理装置を備え、前記認証情報管理手段は、前記携帯可搬記録媒体が前記所定のエリアに進入するときに、前記認証情報の一部分を書き込み、前記情報処理装置の利用時に前記認証情報の残りの部分を書き込むこと、を特徴とする認証情報管理システムである。
請求項3の発明は、請求項1に記載の認証情報管理システムにおいて、前記所定のエリアに設置された情報処理装置を備え、前記認証情報管理手段は、前記携帯可搬記録媒体が前記所定のエリアに進入するときに、冗長情報を付加した前記認証情報を書き込み、前記情報処理装置の利用時に前記冗長情報を削除すること、を特徴とする認証情報管理システムである。
請求項4の発明は、請求項1から請求項3までのいずれか1項に記載の認証情報管理システムにおいて、前記認証情報は、有効期限が設定されていること、を特徴とする認証情報管理システムである。
請求項5の発明は、請求項1から請求項4までのいずれか1項に記載の認証情報管理システムにおいて、前記携帯可搬記録媒体(10)を認証する認証手段(21)を備えること、を特徴とする認証情報管理システムである。
請求項6の発明は、請求項1から請求項5までのいずれか1項に記載の認証情報管理システムにおいて、前記認証情報は、シングルサインオン情報を含む情報であること、を特徴とする認証情報管理システムである。
【発明の効果】
【0006】
本発明によれば、所定のエリアへの進入時に認証情報を書き込み、退去時にその認証情報を削除するので、所定のエリアでのみ携帯可搬記録媒体に認証情報が格納された状態になる。
このため、所定のエリア外に認証情報が持ち出されることがなくなり、認証情報の漏洩を防止し、高度なセキュリティを確保することができる。
また、認証情報を部分的に書き込んだり、冗長情報を付加して書き込んだりすることによって、より高度なセキュリティを確保することができる。
【0007】
さらに、認証情報は、有効期限が設定されているので、一定期間を過ぎるとその情報を無効にすることが可能となり、不正利用を防止することができる。
さらにまた、携帯可搬記録媒体を認証する認証手段を備えるので、携帯可搬記録媒体を使用するユーザーを判断し、特定の携帯可搬記録媒体にのみ認証情報を書き込んだり、ユーザーによって異なる認証情報を書き込んだりすることができ、より高度なセキュリティ環境を構築することができる。
一方、認証情報は、シングルサインオン情報であるので、ユーザーの利便性を向上させつつ、高度なセキュリティを確保することができる。
【発明を実施するための最良の形態】
【0008】
本発明は、認証情報の漏洩や不正利用を防止し、高度なセキュリティを確保することができる認証情報管理システムを提供するという目的を、ユーザーが保持している携帯可搬記録媒体に対して、入室時にシングルサインオン情報等を書き込み、退室時にシングルサインオン情報等を削除することにより実現する。
【実施例】
【0009】
以下、図面等を参照して、本発明の実施例について、さらに詳しく説明する。
図1は、本発明による認証情報管理システムの実施例を示す図である。
本実施例の認証情報管理システム100は、携帯可搬記録媒体10と、入退室ゲートシステム20と、管理データベース30と、PC(パーソナルコンピュータ)40などとを備える。
【0010】
携帯可搬記録媒体10は、読み書き可能な記憶手段(EEPROMなど)を有し、ユーザーに保持されるICカードである。
【0011】
入退室ゲートシステム20は、特定の部屋(所定のエリア)50の出入口(境界部分)に設けられ、ユーザーの入退室を管理するシステムであり、認証手段21と、認証情報管理手段22とを備える。
認証手段21は、ユーザーが保持している携帯可搬記録媒体10を、識別情報やパスワードなどによって認証する部分である。
認証情報管理手段22は、ユーザーが特定の部屋50に入室するときに、携帯可搬記録媒体10の記憶手段に認証情報を書き込み、ユーザーが特定の部屋50から退室するときに、携帯可搬記録媒体10の記憶手段の認証情報を削除する部分である。
【0012】
本実施例では、認証情報は、SSO情報(シングルサインオン情報)であり、一定の有効期限が設定されている。有効期限は、例えば、1時間以内などといった時間制限情報であり、その時間内に特定の部屋50において認証情報の利用がなければ、認証情報は無効となる。
【0013】
管理データベース30は、ネットワークを介して入退室ゲートシステム20に接続され、SSO情報,有効期限を含む関連情報及びアクセス許可回数(以下、SSO情報等という。)を管理する装置である。
PC40は、特定の部屋50に設置された情報処理装置であり、携帯可搬記録媒体10に記憶されている情報を読み取るリーダライタ41を備える。
【0014】
次に、図1を参照しながら、図2,図3及び図4を用いて、認証情報管理システム100の動作を説明する。
図2,図3及び図4は、認証情報管理システム100の動作を説明するフローチャートであり、図2は入室時の動作を示し、図3は部屋内PC利用時の動作を示し、図4は退室時の動作を示している。
(入室時;図2参照)
まず、入退室ゲートシステム20が、携帯可搬記録媒体10の識別情報を読み取る(S101)。
ついで、入退室ゲートシステム20が、読み取った識別情報に基づいて、入室可能な携帯可搬記録媒体10か否かを判断する(S102)。
入室不可と判断した場合には、エラー表示などを行い(S103)、終了する(S104)。
入室可と判断した場合には、携帯可搬記録媒体10に関連付けられているSSO情報等を管理データベース30から読み出す(S105)。
そして、入退室ゲートシステム20が、携帯可搬記録媒体10の記憶手段に、SSO情報等を書き込む(S106)。
書き込みに失敗した場合には、エラー表示などを行い(S103)、終了する(S104)。
書き込みに成功した場合には、特定の部屋50のドアを開き(S107)、終了する(S104)。
【0015】
(部屋内PC利用時;図3参照)
まず、PC40を起動する(S201)。
ついで、PC40のリーダライタ41に、携帯可搬記録媒体10のSSO情報等を読み取らせる(S202)。
ここで、SSO情報等に含まれる有効期限とアクセス許可回数とをチェックする(S203)。
有効期限外の場合、又は、アクセス許可回数を超えた場合には、終了する(S204)。
有効期限内、かつ、アクセス許可回数内の場合には、シングルサインオンの機能が有効になる。
そして、SSO情報等を自動入力することができるアプリケーションの起動を検知した場合には(S205)、携帯可搬記録媒体10から読み取ったSSO情報等が、対象アプリケーションに自動入力される(S206)。
PC40での作業が終了したら、ログオフして終了する(S204)。ログオフ時には、所定のアプリケーションによって、アクセス許可回数が減算され、携帯可搬記録媒体10に記録される。
【0016】
(退室時;図4参照)
まず、入退室ゲートシステム20が、携帯可搬記録媒体10の識別情報を読み取る(S301)。
ついで、入退室ゲートシステム20が、読み取った識別情報に対応する携帯可搬記録媒体10のSSO情報等を削除する(S302)。
削除に失敗した場合には、エラー表示などを行い(S303)、終了する(S304)。
削除に成功した場合には、ドアを開き(S305)、終了する(S304)。
入室時,部屋内PC利用時及び退室時は、このように制御される。
【0017】
次に、SSO情報等の発行/削除の一連の流れを説明する。
図5は、SSO情報等の発行/削除の一連の流れを説明する図である。
(#1)ユーザーは、入退室ゲートシステム20により管理されている特定の部屋50に、携帯可搬記録媒体10を保持して入室する。
(#2)入退室ゲートシステム20において、入室が許可された場合には、携帯可搬記録媒体10に書き込むためのSSO情報等が発行される(書き込まれる)。発行に成功するとドアが開く。
(#3)入室後、リーダライタ41を有するPC40を起動し、携帯可搬記録媒体10を用いてログオンする。ユーザーは、携帯可搬記録媒体10に格納された有効期限内のSSO情報等を利用して、各種システムの利用が可能となる。
(#4)ログオン後、PC40は、アプリケーションにアクセスするための所定の情報(ユーザーID、パスワード、アプリケーション名、部署名、データベース名、URL情報、IPアドレス、ドメイン名、サーバー名、特定の部屋の識別情報、各種制限情報などの中から認証に必要な情報)を携帯可搬記録媒体10から読み出し、対象となるアプリケーションの起動を検知した場合には、SSO情報等が自動入力される。
(#5)退室時には、携帯可搬記録媒体10に格納されているSSO情報等が、入退室ゲートシステム20により削除される。
【0018】
このように、本実施例の認証情報管理システム100によれば、以下のような効果がある。
(1)特定の部屋50への入室時にSSO情報等を書き込み、退室時にそのSSO情報等を削除するので、特定の部屋50でのみ携帯可搬記録媒体10にSSO情報等が格納された状態になる。
このため、特定の部屋50以外の場所にSSO情報等が持ち出されることがなく、SSO情報等の使用エリアを限定することができ、SSO情報等の漏洩を防止し、高度なセキュリティを確保することができる。
また、システムの管理側にとっては、特定の部屋50で業務を遂行していることが保障されるという効果がある。
【0019】
(2)SSO情報等は、有効期限が設定されているので、一定期間を過ぎるとその情報を無効にすることが可能となり、セキュリティをより高めつつ、不正利用を防止することができる。また、例えば、有効期限を40秒などと短時間で設定した場合には、システムを熟知した者しかシステムを利用することができず、より高度なセキュリティを担保することができる。
(3)携帯可搬記録媒体10を認証する認証手段21を備えるので、携帯可搬記録媒体10を使用するユーザーを判断し、特定の携帯可搬記録媒体10にのみSSO情報等を書き込んだり、ユーザーによって異なるSSO情報(図5参照、SSO1,SSO2,SSO3)を書き込んだりすることができ、より高度なセキュリティ環境を構築することができる。
また、万一不正が行われた場合であっても、異なるSSO情報等をログに残して確認することができるので、セキュリティをより向上させることができる。
さらに、ユーザーによって異なるSSO情報等を付与すれば、ユーザー毎に使用可能なアプリケーションを変更したり、ユーザー毎に特定の条件でアプリケーションを実行させたりすることができる。
【0020】
(4)認証情報は、シングルサインオン情報であるので、ユーザーの利便性を向上させつつ、高度なセキュリティを確保することができる。
(5)許可されたユーザーのみに、特定のエリアかつ特定の時間内で有効なSSO情報等を発行することにより、重要な情報資産をよりセキュアな状態で保護することができる。
【0021】
(6)管理データベース30によってSSO情報等を管理し、入退室ゲートシステム20によってSSO情報等を自動書き込みすることができるので、管理者が各ユーザーの携帯可搬記録媒体10を管理する作業がなくなる。
(7)管理データベース30がSSO情報等を管理することによって、SSO情報等の変更を容易に行うことができ、さらなる利便性やセキュリティ性の向上につながる。
【0022】
(変形例)
以上説明した実施例に限定されることなく、種々の変形や変更が可能であって、それらも本発明の均等の範囲内である。
(1)携帯可搬記録媒体は、ICカードの例で説明したが、ICカードを搭載した携帯電話機であってもよく、また、携帯可能であり、バイオ認証可能であり、各種情報を読み書き可能なバイオ認証装置であってもよい。
(2)所定のエリアは、特定の部屋の例で説明したが、施設や工場などであってもよい。
【0023】
(3)管理データベース30は、1つ設置する例で説明した、複数設置してもよい。
(4)例えば、PC40にも認証情報管理手段を設け、管理データベース30と接続させる。そして、入室時には、入退室ゲートシステム20の認証情報管理手段22が認証情報の一部分を書き込み、PC利用時には、PC40の認証情報管理手段が認証情報の残りの部分を書き込むようにしてもよい。
また、入室時には、入退室ゲートシステム20の認証情報管理手段22がダミーデータ(冗長情報)を付加した認証情報を書き込み、PC利用時には、PC40の認証情報管理手段がダミーデータを削除するようにしてもよい。
このようにすれば、特定の部屋50内の特定のPC40でしか認証情報が成立しないので、セキュリティの高い管理や制限が可能となる。
また、LANやインターネットを利用して、PC40から認証情報を変更できるようになるので、認証情報のメンテナンスを迅速かつ簡単に低コストで行うことができる。
【図面の簡単な説明】
【0024】
【図1】本発明による認証情報管理システムの実施例を示す図である。
【図2】認証情報管理システム100の動作を説明するフローチャートである。
【図3】認証情報管理システム100の動作を説明するフローチャートである。
【図4】認証情報管理システム100の動作を説明するフローチャートである。
【図5】SSO情報等の発行/削除の一連の流れを説明する図である。
【符号の説明】
【0025】
100 認証情報管理システム
10 携帯可搬記録媒体
20 入退室ゲートシステム
21 認証手段
22 認証情報管理手段
30 管理データベース
40 PC(情報処理装置)
41 リーダライタ
50 特定の部屋(所定のエリア)
【特許請求の範囲】
【請求項1】
読み書き可能な記憶手段を有する携帯可搬記録媒体と、
所定のエリアに設けられ、前記携帯可搬記録媒体が前記所定のエリアに進入するときに、前記記憶手段に認証情報を書き込み、前記携帯可搬記録媒体が前記所定のエリアから退去するときに、前記記憶手段の前記認証情報を削除する認証情報管理手段と、
を備える認証情報管理システム。
【請求項2】
請求項1に記載の認証情報管理システムにおいて、
前記所定のエリアに設置された情報処理装置を備え、
前記認証情報管理手段は、前記携帯可搬記録媒体が前記所定のエリアに進入するときに、前記認証情報の一部分を書き込み、前記情報処理装置の利用時に前記認証情報の残りの部分を書き込むこと、
を特徴とする認証情報管理システム。
【請求項3】
請求項1に記載の認証情報管理システムにおいて、
前記所定のエリアに設置された情報処理装置を備え、
前記認証情報管理手段は、前記携帯可搬記録媒体が前記所定のエリアに進入するときに、冗長情報を付加した前記認証情報を書き込み、前記情報処理装置の利用時に前記冗長情報を削除すること、
を特徴とする認証情報管理システム。
【請求項4】
請求項1から請求項3までのいずれか1項に記載の認証情報管理システムにおいて、
前記認証情報は、有効期限が設定されていること、
を特徴とする認証情報管理システム。
【請求項5】
請求項1から請求項4までのいずれか1項に記載の認証情報管理システムにおいて、
前記携帯可搬記録媒体を認証する認証手段を備えること、
を特徴とする認証情報管理システム。
【請求項6】
請求項1から請求項5までのいずれか1項に記載の認証情報管理システムにおいて、
前記認証情報は、シングルサインオン情報を含む情報であること、
を特徴とする認証情報管理システム。
【請求項1】
読み書き可能な記憶手段を有する携帯可搬記録媒体と、
所定のエリアに設けられ、前記携帯可搬記録媒体が前記所定のエリアに進入するときに、前記記憶手段に認証情報を書き込み、前記携帯可搬記録媒体が前記所定のエリアから退去するときに、前記記憶手段の前記認証情報を削除する認証情報管理手段と、
を備える認証情報管理システム。
【請求項2】
請求項1に記載の認証情報管理システムにおいて、
前記所定のエリアに設置された情報処理装置を備え、
前記認証情報管理手段は、前記携帯可搬記録媒体が前記所定のエリアに進入するときに、前記認証情報の一部分を書き込み、前記情報処理装置の利用時に前記認証情報の残りの部分を書き込むこと、
を特徴とする認証情報管理システム。
【請求項3】
請求項1に記載の認証情報管理システムにおいて、
前記所定のエリアに設置された情報処理装置を備え、
前記認証情報管理手段は、前記携帯可搬記録媒体が前記所定のエリアに進入するときに、冗長情報を付加した前記認証情報を書き込み、前記情報処理装置の利用時に前記冗長情報を削除すること、
を特徴とする認証情報管理システム。
【請求項4】
請求項1から請求項3までのいずれか1項に記載の認証情報管理システムにおいて、
前記認証情報は、有効期限が設定されていること、
を特徴とする認証情報管理システム。
【請求項5】
請求項1から請求項4までのいずれか1項に記載の認証情報管理システムにおいて、
前記携帯可搬記録媒体を認証する認証手段を備えること、
を特徴とする認証情報管理システム。
【請求項6】
請求項1から請求項5までのいずれか1項に記載の認証情報管理システムにおいて、
前記認証情報は、シングルサインオン情報を含む情報であること、
を特徴とする認証情報管理システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2007−264693(P2007−264693A)
【公開日】平成19年10月11日(2007.10.11)
【国際特許分類】
【出願番号】特願2006−84922(P2006−84922)
【出願日】平成18年3月27日(2006.3.27)
【出願人】(000002897)大日本印刷株式会社 (14,506)
【Fターム(参考)】
【公開日】平成19年10月11日(2007.10.11)
【国際特許分類】
【出願日】平成18年3月27日(2006.3.27)
【出願人】(000002897)大日本印刷株式会社 (14,506)
【Fターム(参考)】
[ Back to top ]