認証装置および認証プログラム
【課題】一つの識別情報に対して複数の異なる権限でシステムへのログインを可能とする。
【解決手段】オペレーティングシステム(OS)20へのログイン時に出力手段50にログインの画面が表示されており、利用者が入力手段40から識別情報、パスワード情報を入力すると、該識別情報、該パスワード情報を受け付ける受付手段、該識別情報と該パスワード情報とから該パスワード情報に応じた権限情報を認証情報テーブル60から読み出す読出手段、識別情報と前記読み出した権限情報とをオペレーティングシステム(OS)20に出力する出力手段、として機能させる。
【解決手段】オペレーティングシステム(OS)20へのログイン時に出力手段50にログインの画面が表示されており、利用者が入力手段40から識別情報、パスワード情報を入力すると、該識別情報、該パスワード情報を受け付ける受付手段、該識別情報と該パスワード情報とから該パスワード情報に応じた権限情報を認証情報テーブル60から読み出す読出手段、識別情報と前記読み出した権限情報とをオペレーティングシステム(OS)20に出力する出力手段、として機能させる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータ等のシステムへのログイン処理時等における利用者の認証処理を行う場合の認証方式に関するものである。
【背景技術】
【0002】
従来、コンピュータのオペレーティングシステムやアプリケーションシステムに利用者がログインする場合には、以下の処理を行っていた。
【0003】
識別情報とパスワード情報とが一対として各利用者について予め管理されており、該識別情報と該パスワード情報とを利用者が入力し、該情報の一致あるいは不一致によって個人認証を行う。
【0004】
利用者認証がなされた場合は、入力指定された識別情報に対応して予め設定された権限情報に基づき、権限が与えられる。
【0005】
権限には、コンピュータのオペレーティングシステムあるいはアプリケーションシステムを管理する権限を有し、全てのリソースにアクセスが可能な管理者権限と、オペレーティングシステムあるいはアプリケーションプログラムの一部のリソースにはアクセスできない制限ユーザ権限とがある。リソースとは、コンピュータのシステムを構成および稼働させるアプリケーションソフトウェア、ハードウェア装置等を意味する。例えば、コンピュータと接続した外部記憶装置やプリンタ、アプリケーションプログラムやデータなどである。
【0006】
図4に、管理者権限、制限ユーザ権限の各状態を示す。
【0007】
図4において、管理者権限はリソース1、リソース2、リソース3、に対して読み込みあるいは書き込みのアクセスが可能であるのに対し、制限ユーザ権限では、リソース1に対しては読み込み又は書き込みのアクセスが可能であり、リソース2に対しては読み込みのみのアクセスが可能であり、リソース3に対しては読み込み又は書き込みのアクセスがいずれも不可能であることを示す。
【0008】
また、権限は、管理者権限、制限ユーザ権限の2種類ではなく、より多くの種類の権限に分けられたオペレーティングシステムもある。
【0009】
制限ユーザ権限で利用するメリットは、制限ユーザ権限ではオペレーティングシステム上で動作する重要なファイルを削除できなくなるため、システム全体の安全性が高まる。よって、日常のオペレーティングシステムの使用は制限ユーザ権限での使用が望ましい。一方、コンピュータ装置に新しく装置を付加する場合や、アプリケーションプログラムを新規に追加する場合にはそれらを動作させる設定を行うために管理者権限での処理が必要になる場合がある。また動作させるアプリケーションによっては、管理者権限を必要とするアプリケーションソフトウェアも存在する。よって、このような場合には管理者権限でログインし使用することが必要である。以上より両権限を使い分けてオペレーティングシステムを使用することが望まれる。
【0010】
また、各識別情報に職制情報を付加して管理することにより権限を決定するものもある(例えば特許文献1参照)。
【特許文献1】特開平2004−62241号公報
【発明の開示】
【発明が解決しようとする課題】
【0011】
従来のオペレーティングシステムやアプリケーションシステムでは、識別情報毎に権限情報を付与する構成を採用している。そのため、利用者には同一人であっても権限毎に別個の識別情報が付与されていた。さらに、利用者はそれぞれの権限毎の識別情報について別個に環境情報の設定をしなければならなかった。
【0012】
ここで、環境情報とは、例えば、ネットワークに接続するための情報、画面のレイアウト等の情報、アプリケーションプログラムの利用情報、ハードウェアの利用情報など、オペレーティングシステムやアプリケーションシステムを利用している現在の環境についての情報等をいう。
【0013】
このように、利用者は、各識別情報毎に同じ設定を繰り返し行う必要があり、多くの時間と労力を必要としていた。さらには、この作業は新規に識別情報を設定する度に必要となる作業であり、利用者にとっては非常に負担となっていた。
【課題を解決するための手段】
【0014】
本発明は、識別情報、パスワード情報を受け付ける受付手段、識別情報とパスワード情報とから該パスワード情報に応じた権限情報を読み出す読出手段、識別情報と前記権限情報とを出力する出力手段、として機能させることを特徴とする。
【0015】
また、受付手段は更に、権限情報を受け付ける手段を有し、読み出し手段は識別情報とパスワード情報と権限情報とが予め記憶された識別情報とパスワード情報と権限情報と合致する場合に権限情報を読み出す手段として機能させることを特徴とする。
【0016】
また、パスワード情報が生体情報であることを特徴とする。更に、パスワード情報が指紋、掌紋、虹彩、網膜、血管、静脈パターン、筆跡、声紋のいずれかであることを特徴とする。
【発明の効果】
【0017】
本発明の構成により、同一の識別情報であっても、パスワードと権限とが異なるものであれば、同一の識別情報で複数の異なる権限でログインが可能となり、権限毎に環境情報を作成しなおす必要がない。
【0018】
また、利用者は予めどの権限でログインしたいのかを選択し、その権限に対応するパスワードを入力するため、異なる権限のパスワードを入力することにより、利用者が所望する権限以外の権限でログインすることが無くなる。
【0019】
更に、ログインする際のパスワード情報が指紋、掌紋、虹彩、網膜、血管、静脈パターン、筆跡、声紋などによって異なる権限でログイン可能となる。
【発明を実施するための最良の形態】
【0020】
以下に本発明を実現するための好適な例を示す。
【実施例1】
【0021】
図1にシステム構成図を示す。
【0022】
コンピュータ装置10は、オペレーティングシステム(以下OSと記載する)20、及び認証権限管理プログラム30を有する。
【0023】
OS20は、コンピュータに対する情報の入出力や接続された装置の管理など、他のアプリケーションソフトウェアにて利用する基本的な機能等を提供するものであり、コンピュータシステム全体を管理するものとして機能させるプログラムである。
【0024】
認証権限管理プログラム30は、コンピュータを、受付手段、照合手段、権限獲得手段、送信手段として機能させるプログラムであり、利用者がOSにログインする際に機能するものである。
【0025】
受付手段は、入力手段40から受け付けた識別情報、パスワード情報をOS20経由で受け付ける手段であり、照合手段は識別情報、パスワード情報を認証情報テーブル60に格納された情報と比較する手段であり、権限取得手段は照合手段の照合結果によって権限情報を抽出する手段であり、送信手段は、OS20に識別情報と権限情報とを送信する手段である。
【0026】
入力手段40は、コンピュータ装置10と接続しており、利用者からの識別情報、パスワード情報等の入力を受け付ける手段である。
【0027】
出力手段50は、コンピュータ装置10と接続しており、利用者に対してコンピュータ装置10が行った処理結果を表示する手段である。なお後述する認証権限管理プログラム30が識別情報と権限情報を出力するのは、出力手段50に対してではなく、OS20に対して出力するものである。
【0028】
認証情報テーブル60は、認証処理を行う場合の利用者の情報を記憶したデータテーブルである。 図2に認証情報テーブル60のデータ構成例を示す。認証情報テーブル60は、利用者の識別情報61、パスワード62、権限情報63で構成される。識別情報は利用者毎に付与される情報であり、本図では、利用者毎に「MYID01」、「MYID11」...である。パスワード62は、利用者の権限毎に付与される情報であり、本図では、「MYID01」に対して「PWD01」、「PWD02」である。権限63はパスワード62に対応して付与される情報であり、本図では、「PWD01」に対して「管理者」が、「PWD02」に対して「制限ユーザ」が該当する。
【0029】
なお、OS20が3以上の複数段階の権限を有する場合であれば、パスワード62と権限63の項目を増加することで対応することが可能である。
【0030】
また、図8には認証情報テーブル60のデータ構成例として、生体情報をパスワードとして利用した場合の構成例を示す。図中パスワード62の項目において管理者権限に対応するのが左手掌、制限ユーザ権限に対応するのが右手掌としている。このように権限に応じて、手、指、目等を割り当てておくことにより、容易にログインが可能となる。
【0031】
ここで、本発明のシステム構成の内、コンピュータ装置10、認証情報テーブル60を構成するハードウェアの一例としては、CPUと、ROMと、RAMと、HDD(ハードディスクドライブ)と、HD(ハードディスク)と、FDD(フレキシブルディスクドライブ)と、着脱可能な記録媒体の一例としてのFD(フレキシブルディスク)とを備えている。また、各構成部はバスによってそれぞれ接続されている。CPUは、コンピュータ装置10の全体の制御を司る。ROMは、ブートプログラムなどのプログラムを記憶している。RAMは、CPUのワークエリアとして使用される。HDDは、CPUの制御にしたがってHDに対するデータのリード/ライトを制御する。HDは、HDDの制御で書き込まれたデータを記憶する。FDDは、CPUの制御にしたがってFDに対するデータのリード/ライトを制御する。FDは、FDDの制御で書き込まれたデータを記憶したり、FDに記録されたデータを情報処理装置へ読み取らせたりする。着脱可能な記録媒体として、FDのほか、CD−ROM(CD−R、CD−RW)、MO、DVD(Digital Versatile Disk)、メモリーカードなどであってもよい。
【0032】
また、本発明のシステム構成の内、出力手段50を構成するハードウェアの一例としては、ディスプレイとして、カーソル、アイコンあるいはツールボックスをはじめ、文書、画像、機能情報などのデータに関するウインドウ(ブラウザ)を表示する。たとえば、CRT、TFT液晶ディスプレイ、プラズマディスプレイなどである。
【0033】
そして、上記ROM、RAM、HD、FDなどに格納されたOS20、認証権限管理プログラム30等をCPUが実行することによってその機能を実現する。
また、認証情報テーブル60に格納される各種データおよびデータテーブルの一部は、ワークエリア的な目的で使用されるRAMに必要に応じて生成消去されることもある。
【0034】
また、本発明のシステム構成の内、入力手段40を構成するハードウェアの一例として、キーボードは、文字、数字、各種指示などの入力のためのキーを備え、データの入力をおこなう。タッチパネル式の入力パッドなどであってもよい。マウスは、カーソルの移動や範囲選択、あるいはウインドウの移動やサイズの変更などをおこなう。ポインティングデバイスとして同様の機能を備えるものであれば、トラックボール、ジョイスティックなどであってもよい。
【0035】
さらには、生体認証を可能にするために指紋、掌紋、虹彩、網膜、血管、静脈パターン、筆跡、声紋等を認識する生体認証のための装置も含む。
【0036】
図3に認証処理のフローチャートを示す。本フローチャートは、認証権限管理プログラム30がコンピュータを、利用者からログインするために必要な情報を受け付けてから、利用者のログインするための情報をOSに送信させるものとして機能させる処理について記載したものである。
【0037】
まず、利用者は、出力手段50に表示されたログイン画面に基づき、利用者の識別情報、パスワードを入力手段40によって入力する。
【0038】
図5に出力手段50に表示されるログイン画面例を示す。
【0039】
図5の画面においては、識別情報として「ID:」、パスワード情報として「Pass:」が表示され、それぞれの右欄に入力項目がある。
【0040】
利用者は、入力手段40により、入力項目にそれぞれ識別情報とパスワードを入力した上、「OK」画面上のボタンを押下する。この場合、例えば、画面上のボタンをマウスでクリックすることで押下されたものとする。
【0041】
入力手段40で入力された識別情報、及びパスワードは、コンピュータ装置10が受信し、OS20が受け付け、認証権限管理プログラム30による機能である受信手段は識別情報、及びパスワード情報をOS20から受信する(S101)。
【0042】
認証権限管理プログラム30によるコンピュータを機能させる照合手段は、
S101で受信した識別情報が認証情報テーブル60の識別情報61に存在するか否かを検索する(S102)。
【0043】
認証情報テーブル60に該当識別情報61が存在しない場合(S103:No)、ログイン失敗として、OS20にログイン失敗情報を送信する(S107)。
【0044】
一方、認証情報テーブル60に該当識別情報61が存在する場合(S103:Yes)、
認証情報テーブル60の識別情報61が該当するレコード内のパスワード62を検索する(S104)。
【0045】
認証情報テーブル60の識別情報61が該当するレコード内にパスワード62が存在しない場合(S105:No)、ログイン失敗として、OS20にログイン失敗情報を送信する(S107)。
【0046】
一方、 認証情報テーブル60の識別情報61が該当するレコード内にパスワード62が存在する場合(S105:Yes)、合致するパスワード62に対応する権限情報63を読み出して、識別情報61およびログイン成功情報を併せてOS20に送信する(S106)。
【0047】
OS20は、送信手段から識別情報61と権限情報63とを受信すると、識別情報61に基づき利用者に対応した環境設定を行い、かつ、権限情報63に基づきリソースへのアクセス制限を設定する。
【実施例2】
【0048】
次に、ログイン情報入力時に権限情報も選択して入力する場合の処理について説明する。
【0049】
本実施例では、予め利用者が権限情報を選択して入力するため、利用者がログインしたい権限と実際に入力したパスワードに対応する権限とが異なる場合に権限情報が異なるのでログイン失敗情報が出力されることとなり、利用者が所望した権限と異なる権限でログインして気づかずに利用し続けるという状態をなくすことが可能となる。
【0050】
図6に認証処理のフローチャート(2)を示す。本フローチャートは、認証権限管理プログラム30がコンピュータを、利用者からログインするために必要な情報を受け付けてから、利用者のログインするための情報をOSに送信させるまでの処理について記載したものである。なお、図3のフローチャートと同様の処理を行うステップについては同一の符号を付し、説明は省略する。
【0051】
図7に出力手段50に表示されるログイン画面例(2)を示す。
【0052】
図7の画面では、識別情報として「ID:」、パスワード情報として「Pass:」、およびログインしたい「権限:」表示され、それぞれの右欄に入力項目がある。権限は予め設定した権限の種類に基づき選択できるようにしても良い。
【0053】
利用者は、入力手段40により、入力項目にそれぞれ識別情報とパスワードとログインしたい権限を入力した上、「OK」画面上のボタンを押下する。この場合、例えば、画面上のボタンをマウスでクリックすることで押下されたものとする。
【0054】
入力手段40で入力された識別情報、及びパスワードは、コンピュータ装置10が受信し、OS20が受け付け、認証権限管理プログラム30による機能である受信手段は識別情報、パスワード情報、権限情報をOS20から受信する(S201)。その後、図3と同様の処理が行われるが、認証情報テーブル60の識別情報61が該当するレコード内に該当パスワード62が存在する場合(S105:Yes)、 該当パスワード62レコードに対応する権限情報63と入力した権限情報とが合致するか否かを判定する(S206)。
【0055】
権限情報63が合致しない場合(S206:No)、ログイン失敗として、OS20にログイン失敗情報を送信する(S107)。
【0056】
一方、権限情報63が合致する場合(S206:Yes)、合致するパスワード62に対応する権限情報63を読み出して、識別情報61およびログイン成功情報を併せてOS20に送信する(S106)。以下実施例1と同様の処理がなされる。
【0057】
以上により、ログイン時の権限の決定が入力された識別情報とパスワード情報によって、パスワードに対応した権限が割り当てられることとなる。従い、識別情報61に対応したOS内の各種の環境を呼出し、権限情報63に基づきリソースに対するアクセス制限をかけることとなる。
【0058】
本発明により、利用者は自環境を一回設定するのみで、後日他の権限を取得した場合であっても環境の承継が可能である。
【0059】
本実施例では、OSについての実施例を説明したが、OSだけではなくアプリケーションシステムについても本発明を適用可能である。
【0060】
また、本実施例では、OS20と認証権限管理プログラム30とが明確に分かれている場合を記載したため、情報の流れがOS20から受信し、OS20に送信しという記載となっているが、OS20の一部に組み込まれた場合は、内部での処理となる。
(付記1)
識別情報とパスワード情報とに基づき対象システムにログインする認証プログラムであって、
コンピュータに、
識別情報、パスワード情報を受け付ける受付手段、
識別情報とパスワード情報とから該パスワード情報に応じた権限情報を読み出す読出手段、
識別情報と前記権限情報とを出力する出力手段、
として機能させることを特徴とする認証プログラム。
(付記2)
受付手段は更に、権限情報を受け付ける手段を有し、
読み出し手段は更に、識別情報とパスワード情報と権限情報とが予め記憶された識別情報とパスワード情報と権限情報と合致する場合に権限情報を読み出す
ことを特徴とする付記1記載の認証プログラム。
(付記3)
パスワード情報が生体情報であることを特徴とする付記1記載の認証プログラム。
(付記4)
パスワード情報が指紋、掌紋、虹彩、網膜、血管、静脈パターン、筆跡、声紋のいずれかであることを特徴とする付記3記載の認証プログラム。
(付記5)
識別情報とパスワード情報とに基づき対象システムにログインする認証装置であって、
識別情報、パスワード情報を受け付ける受付手段、
識別情報とパスワード情報とから該パスワード情報に応じた権限情報を読み出す読出手段、
識別情報と前記権限情報とを出力する出力手段、
とからなることを特徴とする認証装置。
(付記6)
受付手段は更に、
権限情報を受け付ける手段を有し、
読み出し手段は
識別情報とパスワード情報と権限情報とが予め記憶された
識別情報とパスワード情報と権限情報と合致する場合に権限情報を読み出す
として機能させることを特徴とする付記5記載の認証装置。
(付記7)
パスワード情報が生体情報であること
を特徴とする付記5記載の認証装置。
(付記8)
パスワード情報が指紋、掌紋、虹彩、網膜、血管、静脈パターン、筆跡、声紋のいずれかであることを特徴とする付記7記載の認証装置。
【図面の簡単な説明】
【0061】
【図1】システム構成図
【図2】認証情報テーブル60のデータ構成例
【図3】認証処理のフローチャート
【図4】管理者権限、制限ユーザ権限の各状態
【図5】ログイン画面例
【図6】認証処理のフローチャート(2)
【図7】ログイン画面例(2)
【図8】認証情報テーブル60のデータ構成例(生体情報例)
【符号の説明】
【0062】
10 コンピュータ装置
20 オペレーティングシステム(OS)
30 認証権限管理プログラム
40 入力手段
50 出力手段
60 認証情報テーブル
【技術分野】
【0001】
本発明は、コンピュータ等のシステムへのログイン処理時等における利用者の認証処理を行う場合の認証方式に関するものである。
【背景技術】
【0002】
従来、コンピュータのオペレーティングシステムやアプリケーションシステムに利用者がログインする場合には、以下の処理を行っていた。
【0003】
識別情報とパスワード情報とが一対として各利用者について予め管理されており、該識別情報と該パスワード情報とを利用者が入力し、該情報の一致あるいは不一致によって個人認証を行う。
【0004】
利用者認証がなされた場合は、入力指定された識別情報に対応して予め設定された権限情報に基づき、権限が与えられる。
【0005】
権限には、コンピュータのオペレーティングシステムあるいはアプリケーションシステムを管理する権限を有し、全てのリソースにアクセスが可能な管理者権限と、オペレーティングシステムあるいはアプリケーションプログラムの一部のリソースにはアクセスできない制限ユーザ権限とがある。リソースとは、コンピュータのシステムを構成および稼働させるアプリケーションソフトウェア、ハードウェア装置等を意味する。例えば、コンピュータと接続した外部記憶装置やプリンタ、アプリケーションプログラムやデータなどである。
【0006】
図4に、管理者権限、制限ユーザ権限の各状態を示す。
【0007】
図4において、管理者権限はリソース1、リソース2、リソース3、に対して読み込みあるいは書き込みのアクセスが可能であるのに対し、制限ユーザ権限では、リソース1に対しては読み込み又は書き込みのアクセスが可能であり、リソース2に対しては読み込みのみのアクセスが可能であり、リソース3に対しては読み込み又は書き込みのアクセスがいずれも不可能であることを示す。
【0008】
また、権限は、管理者権限、制限ユーザ権限の2種類ではなく、より多くの種類の権限に分けられたオペレーティングシステムもある。
【0009】
制限ユーザ権限で利用するメリットは、制限ユーザ権限ではオペレーティングシステム上で動作する重要なファイルを削除できなくなるため、システム全体の安全性が高まる。よって、日常のオペレーティングシステムの使用は制限ユーザ権限での使用が望ましい。一方、コンピュータ装置に新しく装置を付加する場合や、アプリケーションプログラムを新規に追加する場合にはそれらを動作させる設定を行うために管理者権限での処理が必要になる場合がある。また動作させるアプリケーションによっては、管理者権限を必要とするアプリケーションソフトウェアも存在する。よって、このような場合には管理者権限でログインし使用することが必要である。以上より両権限を使い分けてオペレーティングシステムを使用することが望まれる。
【0010】
また、各識別情報に職制情報を付加して管理することにより権限を決定するものもある(例えば特許文献1参照)。
【特許文献1】特開平2004−62241号公報
【発明の開示】
【発明が解決しようとする課題】
【0011】
従来のオペレーティングシステムやアプリケーションシステムでは、識別情報毎に権限情報を付与する構成を採用している。そのため、利用者には同一人であっても権限毎に別個の識別情報が付与されていた。さらに、利用者はそれぞれの権限毎の識別情報について別個に環境情報の設定をしなければならなかった。
【0012】
ここで、環境情報とは、例えば、ネットワークに接続するための情報、画面のレイアウト等の情報、アプリケーションプログラムの利用情報、ハードウェアの利用情報など、オペレーティングシステムやアプリケーションシステムを利用している現在の環境についての情報等をいう。
【0013】
このように、利用者は、各識別情報毎に同じ設定を繰り返し行う必要があり、多くの時間と労力を必要としていた。さらには、この作業は新規に識別情報を設定する度に必要となる作業であり、利用者にとっては非常に負担となっていた。
【課題を解決するための手段】
【0014】
本発明は、識別情報、パスワード情報を受け付ける受付手段、識別情報とパスワード情報とから該パスワード情報に応じた権限情報を読み出す読出手段、識別情報と前記権限情報とを出力する出力手段、として機能させることを特徴とする。
【0015】
また、受付手段は更に、権限情報を受け付ける手段を有し、読み出し手段は識別情報とパスワード情報と権限情報とが予め記憶された識別情報とパスワード情報と権限情報と合致する場合に権限情報を読み出す手段として機能させることを特徴とする。
【0016】
また、パスワード情報が生体情報であることを特徴とする。更に、パスワード情報が指紋、掌紋、虹彩、網膜、血管、静脈パターン、筆跡、声紋のいずれかであることを特徴とする。
【発明の効果】
【0017】
本発明の構成により、同一の識別情報であっても、パスワードと権限とが異なるものであれば、同一の識別情報で複数の異なる権限でログインが可能となり、権限毎に環境情報を作成しなおす必要がない。
【0018】
また、利用者は予めどの権限でログインしたいのかを選択し、その権限に対応するパスワードを入力するため、異なる権限のパスワードを入力することにより、利用者が所望する権限以外の権限でログインすることが無くなる。
【0019】
更に、ログインする際のパスワード情報が指紋、掌紋、虹彩、網膜、血管、静脈パターン、筆跡、声紋などによって異なる権限でログイン可能となる。
【発明を実施するための最良の形態】
【0020】
以下に本発明を実現するための好適な例を示す。
【実施例1】
【0021】
図1にシステム構成図を示す。
【0022】
コンピュータ装置10は、オペレーティングシステム(以下OSと記載する)20、及び認証権限管理プログラム30を有する。
【0023】
OS20は、コンピュータに対する情報の入出力や接続された装置の管理など、他のアプリケーションソフトウェアにて利用する基本的な機能等を提供するものであり、コンピュータシステム全体を管理するものとして機能させるプログラムである。
【0024】
認証権限管理プログラム30は、コンピュータを、受付手段、照合手段、権限獲得手段、送信手段として機能させるプログラムであり、利用者がOSにログインする際に機能するものである。
【0025】
受付手段は、入力手段40から受け付けた識別情報、パスワード情報をOS20経由で受け付ける手段であり、照合手段は識別情報、パスワード情報を認証情報テーブル60に格納された情報と比較する手段であり、権限取得手段は照合手段の照合結果によって権限情報を抽出する手段であり、送信手段は、OS20に識別情報と権限情報とを送信する手段である。
【0026】
入力手段40は、コンピュータ装置10と接続しており、利用者からの識別情報、パスワード情報等の入力を受け付ける手段である。
【0027】
出力手段50は、コンピュータ装置10と接続しており、利用者に対してコンピュータ装置10が行った処理結果を表示する手段である。なお後述する認証権限管理プログラム30が識別情報と権限情報を出力するのは、出力手段50に対してではなく、OS20に対して出力するものである。
【0028】
認証情報テーブル60は、認証処理を行う場合の利用者の情報を記憶したデータテーブルである。 図2に認証情報テーブル60のデータ構成例を示す。認証情報テーブル60は、利用者の識別情報61、パスワード62、権限情報63で構成される。識別情報は利用者毎に付与される情報であり、本図では、利用者毎に「MYID01」、「MYID11」...である。パスワード62は、利用者の権限毎に付与される情報であり、本図では、「MYID01」に対して「PWD01」、「PWD02」である。権限63はパスワード62に対応して付与される情報であり、本図では、「PWD01」に対して「管理者」が、「PWD02」に対して「制限ユーザ」が該当する。
【0029】
なお、OS20が3以上の複数段階の権限を有する場合であれば、パスワード62と権限63の項目を増加することで対応することが可能である。
【0030】
また、図8には認証情報テーブル60のデータ構成例として、生体情報をパスワードとして利用した場合の構成例を示す。図中パスワード62の項目において管理者権限に対応するのが左手掌、制限ユーザ権限に対応するのが右手掌としている。このように権限に応じて、手、指、目等を割り当てておくことにより、容易にログインが可能となる。
【0031】
ここで、本発明のシステム構成の内、コンピュータ装置10、認証情報テーブル60を構成するハードウェアの一例としては、CPUと、ROMと、RAMと、HDD(ハードディスクドライブ)と、HD(ハードディスク)と、FDD(フレキシブルディスクドライブ)と、着脱可能な記録媒体の一例としてのFD(フレキシブルディスク)とを備えている。また、各構成部はバスによってそれぞれ接続されている。CPUは、コンピュータ装置10の全体の制御を司る。ROMは、ブートプログラムなどのプログラムを記憶している。RAMは、CPUのワークエリアとして使用される。HDDは、CPUの制御にしたがってHDに対するデータのリード/ライトを制御する。HDは、HDDの制御で書き込まれたデータを記憶する。FDDは、CPUの制御にしたがってFDに対するデータのリード/ライトを制御する。FDは、FDDの制御で書き込まれたデータを記憶したり、FDに記録されたデータを情報処理装置へ読み取らせたりする。着脱可能な記録媒体として、FDのほか、CD−ROM(CD−R、CD−RW)、MO、DVD(Digital Versatile Disk)、メモリーカードなどであってもよい。
【0032】
また、本発明のシステム構成の内、出力手段50を構成するハードウェアの一例としては、ディスプレイとして、カーソル、アイコンあるいはツールボックスをはじめ、文書、画像、機能情報などのデータに関するウインドウ(ブラウザ)を表示する。たとえば、CRT、TFT液晶ディスプレイ、プラズマディスプレイなどである。
【0033】
そして、上記ROM、RAM、HD、FDなどに格納されたOS20、認証権限管理プログラム30等をCPUが実行することによってその機能を実現する。
また、認証情報テーブル60に格納される各種データおよびデータテーブルの一部は、ワークエリア的な目的で使用されるRAMに必要に応じて生成消去されることもある。
【0034】
また、本発明のシステム構成の内、入力手段40を構成するハードウェアの一例として、キーボードは、文字、数字、各種指示などの入力のためのキーを備え、データの入力をおこなう。タッチパネル式の入力パッドなどであってもよい。マウスは、カーソルの移動や範囲選択、あるいはウインドウの移動やサイズの変更などをおこなう。ポインティングデバイスとして同様の機能を備えるものであれば、トラックボール、ジョイスティックなどであってもよい。
【0035】
さらには、生体認証を可能にするために指紋、掌紋、虹彩、網膜、血管、静脈パターン、筆跡、声紋等を認識する生体認証のための装置も含む。
【0036】
図3に認証処理のフローチャートを示す。本フローチャートは、認証権限管理プログラム30がコンピュータを、利用者からログインするために必要な情報を受け付けてから、利用者のログインするための情報をOSに送信させるものとして機能させる処理について記載したものである。
【0037】
まず、利用者は、出力手段50に表示されたログイン画面に基づき、利用者の識別情報、パスワードを入力手段40によって入力する。
【0038】
図5に出力手段50に表示されるログイン画面例を示す。
【0039】
図5の画面においては、識別情報として「ID:」、パスワード情報として「Pass:」が表示され、それぞれの右欄に入力項目がある。
【0040】
利用者は、入力手段40により、入力項目にそれぞれ識別情報とパスワードを入力した上、「OK」画面上のボタンを押下する。この場合、例えば、画面上のボタンをマウスでクリックすることで押下されたものとする。
【0041】
入力手段40で入力された識別情報、及びパスワードは、コンピュータ装置10が受信し、OS20が受け付け、認証権限管理プログラム30による機能である受信手段は識別情報、及びパスワード情報をOS20から受信する(S101)。
【0042】
認証権限管理プログラム30によるコンピュータを機能させる照合手段は、
S101で受信した識別情報が認証情報テーブル60の識別情報61に存在するか否かを検索する(S102)。
【0043】
認証情報テーブル60に該当識別情報61が存在しない場合(S103:No)、ログイン失敗として、OS20にログイン失敗情報を送信する(S107)。
【0044】
一方、認証情報テーブル60に該当識別情報61が存在する場合(S103:Yes)、
認証情報テーブル60の識別情報61が該当するレコード内のパスワード62を検索する(S104)。
【0045】
認証情報テーブル60の識別情報61が該当するレコード内にパスワード62が存在しない場合(S105:No)、ログイン失敗として、OS20にログイン失敗情報を送信する(S107)。
【0046】
一方、 認証情報テーブル60の識別情報61が該当するレコード内にパスワード62が存在する場合(S105:Yes)、合致するパスワード62に対応する権限情報63を読み出して、識別情報61およびログイン成功情報を併せてOS20に送信する(S106)。
【0047】
OS20は、送信手段から識別情報61と権限情報63とを受信すると、識別情報61に基づき利用者に対応した環境設定を行い、かつ、権限情報63に基づきリソースへのアクセス制限を設定する。
【実施例2】
【0048】
次に、ログイン情報入力時に権限情報も選択して入力する場合の処理について説明する。
【0049】
本実施例では、予め利用者が権限情報を選択して入力するため、利用者がログインしたい権限と実際に入力したパスワードに対応する権限とが異なる場合に権限情報が異なるのでログイン失敗情報が出力されることとなり、利用者が所望した権限と異なる権限でログインして気づかずに利用し続けるという状態をなくすことが可能となる。
【0050】
図6に認証処理のフローチャート(2)を示す。本フローチャートは、認証権限管理プログラム30がコンピュータを、利用者からログインするために必要な情報を受け付けてから、利用者のログインするための情報をOSに送信させるまでの処理について記載したものである。なお、図3のフローチャートと同様の処理を行うステップについては同一の符号を付し、説明は省略する。
【0051】
図7に出力手段50に表示されるログイン画面例(2)を示す。
【0052】
図7の画面では、識別情報として「ID:」、パスワード情報として「Pass:」、およびログインしたい「権限:」表示され、それぞれの右欄に入力項目がある。権限は予め設定した権限の種類に基づき選択できるようにしても良い。
【0053】
利用者は、入力手段40により、入力項目にそれぞれ識別情報とパスワードとログインしたい権限を入力した上、「OK」画面上のボタンを押下する。この場合、例えば、画面上のボタンをマウスでクリックすることで押下されたものとする。
【0054】
入力手段40で入力された識別情報、及びパスワードは、コンピュータ装置10が受信し、OS20が受け付け、認証権限管理プログラム30による機能である受信手段は識別情報、パスワード情報、権限情報をOS20から受信する(S201)。その後、図3と同様の処理が行われるが、認証情報テーブル60の識別情報61が該当するレコード内に該当パスワード62が存在する場合(S105:Yes)、 該当パスワード62レコードに対応する権限情報63と入力した権限情報とが合致するか否かを判定する(S206)。
【0055】
権限情報63が合致しない場合(S206:No)、ログイン失敗として、OS20にログイン失敗情報を送信する(S107)。
【0056】
一方、権限情報63が合致する場合(S206:Yes)、合致するパスワード62に対応する権限情報63を読み出して、識別情報61およびログイン成功情報を併せてOS20に送信する(S106)。以下実施例1と同様の処理がなされる。
【0057】
以上により、ログイン時の権限の決定が入力された識別情報とパスワード情報によって、パスワードに対応した権限が割り当てられることとなる。従い、識別情報61に対応したOS内の各種の環境を呼出し、権限情報63に基づきリソースに対するアクセス制限をかけることとなる。
【0058】
本発明により、利用者は自環境を一回設定するのみで、後日他の権限を取得した場合であっても環境の承継が可能である。
【0059】
本実施例では、OSについての実施例を説明したが、OSだけではなくアプリケーションシステムについても本発明を適用可能である。
【0060】
また、本実施例では、OS20と認証権限管理プログラム30とが明確に分かれている場合を記載したため、情報の流れがOS20から受信し、OS20に送信しという記載となっているが、OS20の一部に組み込まれた場合は、内部での処理となる。
(付記1)
識別情報とパスワード情報とに基づき対象システムにログインする認証プログラムであって、
コンピュータに、
識別情報、パスワード情報を受け付ける受付手段、
識別情報とパスワード情報とから該パスワード情報に応じた権限情報を読み出す読出手段、
識別情報と前記権限情報とを出力する出力手段、
として機能させることを特徴とする認証プログラム。
(付記2)
受付手段は更に、権限情報を受け付ける手段を有し、
読み出し手段は更に、識別情報とパスワード情報と権限情報とが予め記憶された識別情報とパスワード情報と権限情報と合致する場合に権限情報を読み出す
ことを特徴とする付記1記載の認証プログラム。
(付記3)
パスワード情報が生体情報であることを特徴とする付記1記載の認証プログラム。
(付記4)
パスワード情報が指紋、掌紋、虹彩、網膜、血管、静脈パターン、筆跡、声紋のいずれかであることを特徴とする付記3記載の認証プログラム。
(付記5)
識別情報とパスワード情報とに基づき対象システムにログインする認証装置であって、
識別情報、パスワード情報を受け付ける受付手段、
識別情報とパスワード情報とから該パスワード情報に応じた権限情報を読み出す読出手段、
識別情報と前記権限情報とを出力する出力手段、
とからなることを特徴とする認証装置。
(付記6)
受付手段は更に、
権限情報を受け付ける手段を有し、
読み出し手段は
識別情報とパスワード情報と権限情報とが予め記憶された
識別情報とパスワード情報と権限情報と合致する場合に権限情報を読み出す
として機能させることを特徴とする付記5記載の認証装置。
(付記7)
パスワード情報が生体情報であること
を特徴とする付記5記載の認証装置。
(付記8)
パスワード情報が指紋、掌紋、虹彩、網膜、血管、静脈パターン、筆跡、声紋のいずれかであることを特徴とする付記7記載の認証装置。
【図面の簡単な説明】
【0061】
【図1】システム構成図
【図2】認証情報テーブル60のデータ構成例
【図3】認証処理のフローチャート
【図4】管理者権限、制限ユーザ権限の各状態
【図5】ログイン画面例
【図6】認証処理のフローチャート(2)
【図7】ログイン画面例(2)
【図8】認証情報テーブル60のデータ構成例(生体情報例)
【符号の説明】
【0062】
10 コンピュータ装置
20 オペレーティングシステム(OS)
30 認証権限管理プログラム
40 入力手段
50 出力手段
60 認証情報テーブル
【特許請求の範囲】
【請求項1】
識別情報とパスワード情報とに基づき対象システムにログインする認証プログラムであって、
コンピュータに、
識別情報、パスワード情報を受け付ける受付手段、
識別情報とパスワード情報とから該パスワード情報に応じた権限情報を読み出す読出手段、
識別情報と前記権限情報とを出力する出力手段、
として機能させることを特徴とする認証プログラム。
【請求項2】
受付手段は更に、権限情報を受け付ける手段を有し、
読み出し手段は更に、識別情報とパスワード情報と権限情報とが予め記憶された識別情報とパスワード情報と権限情報と合致する場合に権限情報を読み出す
ことを特徴とする請求項1記載の認証プログラム。
【請求項3】
パスワード情報が生体情報であることを特徴とする請求項1記載の認証プログラム。
【請求項4】
パスワード情報が指紋、掌紋、虹彩、網膜、血管、静脈パターン、筆跡、声紋のいずれかであることを特徴とする請求項3記載の認証プログラム。
【請求項5】
識別情報とパスワード情報とに基づき対象システムにログインする認証装置であって、
識別情報、パスワード情報を受け付ける受付手段、
識別情報とパスワード情報とから該パスワード情報に応じた権限情報を読み出す読出手段、
識別情報と前記権限情報とを出力する出力手段、
とからなることを特徴とする認証装置。
【請求項1】
識別情報とパスワード情報とに基づき対象システムにログインする認証プログラムであって、
コンピュータに、
識別情報、パスワード情報を受け付ける受付手段、
識別情報とパスワード情報とから該パスワード情報に応じた権限情報を読み出す読出手段、
識別情報と前記権限情報とを出力する出力手段、
として機能させることを特徴とする認証プログラム。
【請求項2】
受付手段は更に、権限情報を受け付ける手段を有し、
読み出し手段は更に、識別情報とパスワード情報と権限情報とが予め記憶された識別情報とパスワード情報と権限情報と合致する場合に権限情報を読み出す
ことを特徴とする請求項1記載の認証プログラム。
【請求項3】
パスワード情報が生体情報であることを特徴とする請求項1記載の認証プログラム。
【請求項4】
パスワード情報が指紋、掌紋、虹彩、網膜、血管、静脈パターン、筆跡、声紋のいずれかであることを特徴とする請求項3記載の認証プログラム。
【請求項5】
識別情報とパスワード情報とに基づき対象システムにログインする認証装置であって、
識別情報、パスワード情報を受け付ける受付手段、
識別情報とパスワード情報とから該パスワード情報に応じた権限情報を読み出す読出手段、
識別情報と前記権限情報とを出力する出力手段、
とからなることを特徴とする認証装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2007−128259(P2007−128259A)
【公開日】平成19年5月24日(2007.5.24)
【国際特許分類】
【出願番号】特願2005−319997(P2005−319997)
【出願日】平成17年11月2日(2005.11.2)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成19年5月24日(2007.5.24)
【国際特許分類】
【出願日】平成17年11月2日(2005.11.2)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]