ホーム > 特許ランキング > 株式会社MEDIUS
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024098638
(43)【公開日】2024-07-24
(54)【発明の名称】ログイン管理システム
(51)【国際特許分類】
G06F 21/34 20130101AFI20240717BHJP
G06F 21/32 20130101ALI20240717BHJP
【FI】
G06F21/34
G06F21/32
【審査請求】有
【請求項の数】9
【出願形態】OL
(21)【出願番号】P 2023002239
(22)【出願日】2023-01-11
(11)【特許番号】
(45)【特許公報発行日】2023-02-16
(71)【出願人】
【識別番号】522250482
【氏名又は名称】株式会社MEDIUS
(74)【代理人】
【識別番号】100143111
【弁理士】
【氏名又は名称】青山 秀夫
(74)【代理人】
【識別番号】100189876
【弁理士】
【氏名又は名称】高木 将晴
(72)【発明者】
【氏名】久米 隆司
(57)【要約】 (修正有)
【課題】ローカルデータベースの有無にかかわらず適用可能であり、ICカードに記憶された情報が有意な情報として漏洩されない、セキュリティが高く、汎用性が高いログイン管理システムを提供すること。
【解決手段】PC等へのログイン管理システム1において、ユーザ情報発生手段100をなすICカード等と、PC等に個別に接続されるユーザ情報読取手段200をなすリーダとを備えさせた。属性と属性値とからなるユーザ情報を、属性値を属性と切り離して、ICカード等には属性値のみを記憶させ、単独ではユーザ情報が特定できないようにした。ICカード等が盗難され内部情報が解読されても、「属性値」が対応する「属性」から切り離されているため、有意な情報として漏洩されない。更に、ICカードにはユーザ情報だけでなくユーザ権限情報の属性値を記憶させ、リーダにそれらの属性と共に権限属性値に対応した実行権限を記憶させた。
【選択図】図1
【解決手段】PC等へのログイン管理システム1において、ユーザ情報発生手段100をなすICカード等と、PC等に個別に接続されるユーザ情報読取手段200をなすリーダとを備えさせた。属性と属性値とからなるユーザ情報を、属性値を属性と切り離して、ICカード等には属性値のみを記憶させ、単独ではユーザ情報が特定できないようにした。ICカード等が盗難され内部情報が解読されても、「属性値」が対応する「属性」から切り離されているため、有意な情報として漏洩されない。更に、ICカードにはユーザ情報だけでなくユーザ権限情報の属性値を記憶させ、リーダにそれらの属性と共に権限属性値に対応した実行権限を記憶させた。
【選択図】図1
【特許請求の範囲】
【請求項1】
情報処理手段へのログイン管理システムにおいて、
前記情報処理手段に個別に接続されるユーザ情報読取手段と、ユーザ情報発生手段とを備え、
前記ユーザ情報発生手段が、第1記憶手段及び第1処理手段として機能され、
前記ユーザ情報読取手段が、第2記憶手段及び第2処理手段として機能され、
前記ユーザ情報読取手段と、前記ユーザ情報発生手段とが近接通信され、
ユーザ情報が、属性と属性値とからなり、
少なくとも一つの前記ユーザ情報をなす属性値が、単独では前記ユーザ情報の属性値であると特定できない状態で、第1記憶手段に記憶され、
前記近接通信により、前記ユーザ情報読取手段が前記ユーザ情報発生手段から、前記属性値を取得し、
第2処理手段が、取得した前記属性値を、第1記憶手段に記憶されている順で、前記ユーザ情報読取手段に取得させ、
前記ユーザ情報読取手段が、取得した前記ユーザ情報をなす前記属性値を、前記情報処理手段に中継させてログインさせる、
ことを特徴とするログイン管理システム。
前記情報処理手段に個別に接続されるユーザ情報読取手段と、ユーザ情報発生手段とを備え、
前記ユーザ情報発生手段が、第1記憶手段及び第1処理手段として機能され、
前記ユーザ情報読取手段が、第2記憶手段及び第2処理手段として機能され、
前記ユーザ情報読取手段と、前記ユーザ情報発生手段とが近接通信され、
ユーザ情報が、属性と属性値とからなり、
少なくとも一つの前記ユーザ情報をなす属性値が、単独では前記ユーザ情報の属性値であると特定できない状態で、第1記憶手段に記憶され、
前記近接通信により、前記ユーザ情報読取手段が前記ユーザ情報発生手段から、前記属性値を取得し、
第2処理手段が、取得した前記属性値を、第1記憶手段に記憶されている順で、前記ユーザ情報読取手段に取得させ、
前記ユーザ情報読取手段が、取得した前記ユーザ情報をなす前記属性値を、前記情報処理手段に中継させてログインさせる、
ことを特徴とするログイン管理システム。
【請求項2】
第2記憶手段が、前記属性値に対応する属性を記憶し、
第2処理手段が、ユーザ情報結合手段として機能し、
前記ユーザ情報結合手段が、前記属性値と対応した前記属性とを一体に結合して、前記ユーザ情報とさせ、
前記ユーザ情報読取手段が、前記情報処理手段に前記ユーザ情報を中継させる、
ことを特徴とする請求項1に記載のログイン管理システム。
第2処理手段が、ユーザ情報結合手段として機能し、
前記ユーザ情報結合手段が、前記属性値と対応した前記属性とを一体に結合して、前記ユーザ情報とさせ、
前記ユーザ情報読取手段が、前記情報処理手段に前記ユーザ情報を中継させる、
ことを特徴とする請求項1に記載のログイン管理システム。
【請求項3】
前記ユーザ情報が、複数からなり、
各々のユーザ情報をなす属性値が、記憶されている順位を示す第1順位情報とともに第1記憶手段に記憶され、
各々のユーザ情報をなす属性が、記憶されている順位を示す第2順位情報とともに第2記憶手段に記憶され、
前記近接通信により、前記ユーザ情報読取手段が前記ユーザ情報発生手段から、各々の前記属性値と第1順位情報とを取得し、
前記ユーザ情報結合手段が、第1順位情報と第2順位情報との対応に基づいて、前記属性値と前記属性とを一体に結合して前記ユーザ情報とさせる、
ことを特徴とする請求項2に記載のログイン管理システム。
各々のユーザ情報をなす属性値が、記憶されている順位を示す第1順位情報とともに第1記憶手段に記憶され、
各々のユーザ情報をなす属性が、記憶されている順位を示す第2順位情報とともに第2記憶手段に記憶され、
前記近接通信により、前記ユーザ情報読取手段が前記ユーザ情報発生手段から、各々の前記属性値と第1順位情報とを取得し、
前記ユーザ情報結合手段が、第1順位情報と第2順位情報との対応に基づいて、前記属性値と前記属性とを一体に結合して前記ユーザ情報とさせる、
ことを特徴とする請求項2に記載のログイン管理システム。
【請求項4】
前記ユーザ情報が、特定ユーザ情報と特定ユーザ権限情報とからなり、
第1記憶手段に、前記特定ユーザ情報に係る特定ユーザ属性値と、前記特定ユーザ権限情報に係る特定ユーザ権限属性値とが記憶され、
第2記憶手段に、前記特定ユーザ情報に係る特定ユーザ属性と、前記特定ユーザ権限情報に係る特定ユーザ権限属性とが記憶され、
前記近接通信により、前記ユーザ情報読取手段が前記ユーザ情報発生手段から、前記特定ユーザ属性値と前記特定ユーザ権限属性値とを取得し、
前記ユーザ情報結合手段が、特定ユーザ情報結合手段と特定ユーザ権限結合手段として機能され、
前記特定ユーザ情報結合手段が、前記特定ユーザ属性と前記特定ユーザ属性値とを一体に結合して、前記特定ユーザ情報とさせ、
前記特定ユーザ権限結合手段が、前記特定ユーザ権限属性と前記特定ユーザ権限属性値とを一体に結合して、前記特定ユーザ権限情報とさせる、
ことを特徴とする請求項2又は請求項3に記載のログイン管理システム。
第1記憶手段に、前記特定ユーザ情報に係る特定ユーザ属性値と、前記特定ユーザ権限情報に係る特定ユーザ権限属性値とが記憶され、
第2記憶手段に、前記特定ユーザ情報に係る特定ユーザ属性と、前記特定ユーザ権限情報に係る特定ユーザ権限属性とが記憶され、
前記近接通信により、前記ユーザ情報読取手段が前記ユーザ情報発生手段から、前記特定ユーザ属性値と前記特定ユーザ権限属性値とを取得し、
前記ユーザ情報結合手段が、特定ユーザ情報結合手段と特定ユーザ権限結合手段として機能され、
前記特定ユーザ情報結合手段が、前記特定ユーザ属性と前記特定ユーザ属性値とを一体に結合して、前記特定ユーザ情報とさせ、
前記特定ユーザ権限結合手段が、前記特定ユーザ権限属性と前記特定ユーザ権限属性値とを一体に結合して、前記特定ユーザ権限情報とさせる、
ことを特徴とする請求項2又は請求項3に記載のログイン管理システム。
【請求項5】
第2処理手段が、前記ユーザ情報読取手段が個別に接続されている情報処理手段に係る前記ユーザの権限付与手段として機能され、
第1記憶手段に、前記情報処理手段を特定する処理手段情報と前記特定ユーザ権限属性値とが組をなして記憶され、
前記ユーザ情報読取手段が、前記特定ユーザ属性値と共に、前記処理手段情報と前記特定ユーザ権限属性値とを取得し、
前記情報処理手段が、前記特定ユーザ権限属性値と組をなす処理手段情報により特定された情報処理手段である場合には、
前記権限付与手段が、前記情報処理手段に、前記特定ユーザ属性値と前記特定ユーザ権限属性値とを中継させる、
ことを特徴とする請求項4に記載のログイン管理システム。
第1記憶手段に、前記情報処理手段を特定する処理手段情報と前記特定ユーザ権限属性値とが組をなして記憶され、
前記ユーザ情報読取手段が、前記特定ユーザ属性値と共に、前記処理手段情報と前記特定ユーザ権限属性値とを取得し、
前記情報処理手段が、前記特定ユーザ権限属性値と組をなす処理手段情報により特定された情報処理手段である場合には、
前記権限付与手段が、前記情報処理手段に、前記特定ユーザ属性値と前記特定ユーザ権限属性値とを中継させる、
ことを特徴とする請求項4に記載のログイン管理システム。
【請求項6】
第2記憶手段に、前記情報処理手段を操作する複数の実行権限が記憶され、
第2処理手段が、実行権限付与手段として機能され、
前記実行権限付与手段が、前記特定ユーザ権限属性値に対応した前記実行権限を前記ユーザに付与する、
ことを特徴とする請求項4に記載のログイン管理システム。
第2処理手段が、実行権限付与手段として機能され、
前記実行権限付与手段が、前記特定ユーザ権限属性値に対応した前記実行権限を前記ユーザに付与する、
ことを特徴とする請求項4に記載のログイン管理システム。
【請求項7】
前記属性値が、第1記憶手段の暗号化記憶領域に暗号化された状態で記憶され、
第1記憶手段及び第2記憶手段の少なくともいずれかに、復号鍵が記憶され、
前記近接通信により、前記ユーザ情報読取手段から前記情報処理手段に、前記属性値が中継される前に、前記復号鍵により暗号化された前記属性値が復号されて中継される、
ことを特徴とする請求項1乃至請求項3のいずれかに記載のログイン管理システム。
第1記憶手段及び第2記憶手段の少なくともいずれかに、復号鍵が記憶され、
前記近接通信により、前記ユーザ情報読取手段から前記情報処理手段に、前記属性値が中継される前に、前記復号鍵により暗号化された前記属性値が復号されて中継される、
ことを特徴とする請求項1乃至請求項3のいずれかに記載のログイン管理システム。
【請求項8】
前記ユーザ情報発生手段が、生体認証機能を有し、
前記ユーザ情報発生手段が前記生体認証機能により、真正なユーザを生体認証している期間にのみ、前記属性値を発生させる、
ことを特徴とする請求項1乃至請求項3のいずれかに記載のログイン管理システム。
前記ユーザ情報発生手段が前記生体認証機能により、真正なユーザを生体認証している期間にのみ、前記属性値を発生させる、
ことを特徴とする請求項1乃至請求項3のいずれかに記載のログイン管理システム。
【請求項9】
第2記憶手段が、ログイン試行の履歴を記録させる履歴記憶手段を備え、
前記履歴記憶手段が、前記ユーザ情報発生手段から取得した前記属性値と、前記属性値を取得した取得時刻とを記憶させる、
ことを特徴とする請求項1乃至請求項3のいずれかに記載のログイン管理システム。
前記履歴記憶手段が、前記ユーザ情報発生手段から取得した前記属性値と、前記属性値を取得した取得時刻とを記憶させる、
ことを特徴とする請求項1乃至請求項3のいずれかに記載のログイン管理システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ユーザID、パスワード、ユーザ権限等のユーザ情報が漏洩されにくいセキュリティの高いログイン管理システムに関する。ユーザ情報は文字・記号の組合せであってもよく、本人が知らないユーザ情報であってもログインに適用できるログイン管理システムに関する。
【0002】
具体的には、ICカード、携帯型端末機等(以下、ICカードという)に、予めユーザ情報「例:data-○○××=abcd」をなす属性値「例:abcd」のみを、属性「例:data-○○××=」とは切り離して記憶させておき、近接通信によりICカードリーダ、RFIDリーダ等(以下、リーダという)を通して属性値を情報処理手段(以下、PC等という)に中継させるログイン管理システムに関する。
【0003】
更に、リーダにユーザ情報をなす属性「例:data-○○××=」を記憶させておいて、ICカードから取得した前記属性値「例:abcd」と結合させて、属性と属性値とからなるユーザ情報「例:data-○○××=abcd」として、リーダを介して情報処理手段に中継させるログイン管理システムに関する。このログイン管理システムによれば、ICカードに属性値だけしか記憶されていないため、ICカードが盗難され、ICカード内の情報が解読されても、有意な情報が漏出せず、セキュリティが高い。
【0004】
更に、ICカードは生体認証機能付のICカードとし、指紋認証等により生体認証されているときにのみ属性値を読み出し可能とさせ、属性値は暗号化領域に記憶させておくとよい。また、リーダとICカードが近接通信しているときにのみ、ICカードの属性値の読み取りが可能とされていると、更にセキュリティが高く好適である。
【0005】
ここで、ユーザ情報とは、ユーザIDのほか、パスワード、電話番号、生年月日、職務権限、情報処理手段の実行権限等であってもよく限定されず、ユーザ情報は、PC等により生成させた組合せ記号であってもよい。また、PC等は、事務執務用に限らず、生産設備の駆動用等、用途が限定されないことは勿論のことである。
【0006】
特許文献1には、第三者によるユーザの暗号鍵の盗難を防止するとともに、復号条件を満たすユーザだけがデータの内容を参照することを可能にした技術が開示されている。従来は、プログラムやシステム内で生成・使用される暗号鍵がメモリ上に読みだされ、実行されているときに、前記暗号鍵が外部から侵入された不正行為を行うマルウェアに盗難されるおそれがあった。
【0007】
そのため、暗号鍵を解除する部署名や役職、担当業務等を指定した権限属性情報も、ICカード内に保存し、データの暗号・復号・署名などの処理をICカード内で行うこととされたが、ICカードが管理センタにより管理されるため、権限属性情報が変更されたときに、対応に時間がかかるという課題が発生した。
【0008】
そこで、特許文献1に記載の技術では、管理センタと特定ユーザが、ICカード内の通常のユーザがアクセスできない記憶領域に個々のユーザの権限属性情報を有する暗号鍵を保存し、ICカード内部でデータの暗号・復号を行い、対象ユーザが復号したデータに含まれる復号条件を満たしている場合のみ、復号したデータをICカードの外部に出力するとしていた。
【0009】
しかし、特許文献1に記載の技術によれば、ICカード内にユーザのユーザ情報だけでなく、ユーザの部署名や役職、担当業務等を指定した権限属性情報も共に記憶され、ICカードの中だけでユーザに係る情報が完結してしまうため、ICカードの暗号が解読された場合には、ユーザ情報の全てが漏洩するリスクがあった。
【0010】
特許文献2には、ユーザ設定情報の管理に要する負担を低減できるとする電子機器システムの技術が開示されている。この文献に記載の技術によれば、ユーザが携帯する端末装置にユーザ設定情報を記憶させ、ユーザがログインするときに端末装置から電子機器にユーザ設定情報を通信取得させることにより、電子機器毎のローカルデータベースにユーザ設定情報を登録しなくてもよいとされている。
【0011】
しかし、特許文献2に記載の技術によっては、ユーザの認証情報が、個々の認証情報と、その分類とが組をなして端末機器に記憶されている。具体的には、個人毎のユーザIDはユーザIDの分類と組をなして登録され、個人毎のパスワードはパスワードの分類と組をなして登録されている。
【0012】
同様に、ユーザ設定情報も、個々の設定情報とその分類とが組をなして端末機器に登録されている。そのため、個々の認証情報等が、どの分類に属する情報かを容易に知ることができ、端末機器の情報が漏洩したときには、第三者に認証情報を盗用される可能性があるという課題があった。
【0013】
特許文献3には、本出願人による、PC等の情報表示のユーザ入力欄に、ユーザ情報を自動入力させるログイン管理システムの技術が開示されている。特許文献3に記載の技術は、まず、ICカード等に複数組のユーザ情報と、ユーザ情報を格納させた格納部番号との組を予め記憶させておく。情報表示に表示されたユーザ入力欄の入力欄番号に、対応した格納部番号に記憶されたユーザ情報を中継する中継手段として、PC等の処理手段を機能させる。
【0014】
そして、表示されている情報表示のユーザ入力欄に、ICカード等とリーダとの近接により発生させた複数組のユーザ情報と格納部番号の組の中から、前記入力欄番号に対応した格納部番号に格納されたユーザ情報を中継させて、自動入力させている。
【0015】
この技術によれば、PC等の表示手段に、ユーザID、パスワード、電話番号、メールアドレス、生年月日等のユーザ情報が、順位を特定しないで使い分けられていても対応でき好適であった。しかし、情報表示がされていない場合には適用できなかった。
【0016】
非特許文献1には、ICカードに指紋認証機能を備えさせ、指紋認証がされているときにだけICカードに記憶されたパスワード等をICリーダが読み取ることが許可される技術が開示されている。この文献に記載の技術によれば、ICカード自体が指紋認証を行うため、既存の入退室管理装置等をそのまま使うことができ、生体情報を記憶するサーバも不要であり、情報漏洩のリスクも小さいとされている。
【0017】
しかし、サーバを設けない場合には、個々の入退室管理装置の全てに、入退室を許可するか否かに係るユーザ情報を登録したローカルデータベースが必要であり、全ての装置についてデータベースの登録情報を最新、且つ、食い違いを起さないように個別に管理する必要があり、管理作業の負担が大きいという課題があった。
【先行技術文献】
【特許文献】
【0018】
特許文献1:特開平10-200522号公報
特許文献2:特開2018-156461号公報
特許文献3:特許7178681号公報
特許文献2:特開2018-156461号公報
特許文献3:特許7178681号公報
【非特許文献】
【0019】
非特許文献1:大日本印刷株式会社のホームページ,[令和4年12月27日検索],ウェブサイト<https://www.dnp.co.jp/news/detail/10159183_1587.html>
【発明の概要】
【発明が解決しようとする課題】
【0020】
本発明は、ローカルデータベースの有無にかかわらず適用可能であり、ICカードに、ユーザIDやユーザ権限等の複数のユーザ情報の属性値だけを保存させ、ICカードが盗難されて内部の情報が解読されても、ICカードに記憶された情報が有意な情報として漏洩されない、セキュリティの高い、汎用性の高いログイン管理システムを提供することを課題とした。
【0021】
本発明の第1の発明は、情報処理手段へのログイン管理システムにおいて、前記情報処理手段に個別に接続されるユーザ情報読取手段と、ユーザ情報発生手段とを備え、前記ユーザ情報発生手段が、第1記憶手段及び第1処理手段として機能され、前記ユーザ情報読取手段が、第2記憶手段及び第2処理手段として機能され、前記ユーザ情報読取手段と、前記ユーザ情報発生手段とが近接通信され、ユーザ情報が、属性と属性値とからなり、少なくとも一つの前記ユーザ情報をなす属性値が、単独では前記ユーザ情報の属性値であると特定できない状態で、第1記憶手段に記憶され、前記近接通信により、前記ユーザ情報読取手段が前記ユーザ情報発生手段から、前記属性値を取得し、第2処理手段が、取得した前記属性値を、第1記憶手段に記憶されている順で、前記ユーザ情報読取手段に取得させ、前記ユーザ情報読取手段が、取得した前記ユーザ情報をなす前記属性値を、前記情報処理手段に中継させてログインさせることを特徴としている。
【0022】
ユーザ情報とは、ユーザに係る情報であればよく、ユーザID、パスワード、電子メールアドレス、生年月日、電話番号等の個人を特定できる情報に限定されず、ユーザのログイン対象機器、ユーザの情報処理手段の操作権限、例えば、閲覧だけ、編集まで、編集結果の承認等の権限を特定する値であってもよい。ユーザ情報は、文字・記号を組み合わせた値であってもよい。
【0023】
ユーザ情報のすべてを属性と属性値とに切り離し、ICカード等に属性値のみを記憶させる態様に限定されず、漏洩した場合に、単独で有意な情報となるユーザ情報を、属性と属性値とに切り離しておけばよい。例えば、漏洩されても有意な情報とはならない、ユーザが担当する生産設備の機器番号等は、属性と属性値とが一体にされたユーザ情報のままで、ICカード等に記憶されていてもよい。
【0024】
属性値の数は限定されず、ユーザを特定するためのユーザIDの属性値だけであってもよく、ユーザIDとパスワードの属性値であってもよく、電子メールアドレス等の属性値を含んでいてもよい。ICカードとリーダが近接通信することにより、ユーザ情報の属性値が発生され、リーダを通してPC等に中継される。ICカードには、属性値は暗号化されて記憶されていると好適である。更に、ICカードとリーダとが近接通信している状態においてのみ、ICカードから情報が発生されれば、より好適である。
【0025】
属性値は、リーダまでは記憶されている順で伝達されればよく、リーダからPC等には、その順のまま中継させてもよく、リーダに記憶させておいた属性と属性値とを、予め定めた規則に基づいて結合させ、中継させるようにしてもよい。
【0026】
第1の発明によれば、ICカードが盗難されて内部の情報が解読されても、ICカードに記憶された情報が有意な情報として漏洩されないだけでなく、ICカードに記憶されている順序で、ユーザ情報の属性値をリーダが取得している。ユーザIDだけ、又はユーザIDとパスワードを使ってログインされる一般的なPC等の場合には、リーダが取得した属性値を取得した順のままPC等に中継させるだけでログインさせることができ、セキュリティが高く且つ簡易にログインが可能となるという有利な効果を奏する。
【0027】
本発明の第2の発明は、第1の発明のログイン管理システムにおいて、第2記憶手段が、前記属性値に対応する属性を記憶し、第2処理手段が、ユーザ情報結合手段として機能し、前記ユーザ情報結合手段が、前記属性値と対応した前記属性とを一体に結合して、前記ユーザ情報とさせ、前記ユーザ情報読取手段が、前記情報処理手段に前記ユーザ情報を中継させることを特徴としている。
【0028】
第2の発明によれば、ユーザ情報をなす属性と属性値とが切り離されて別の媒体に記憶されている。また、PCに接続されたリーダの中で属性と属性値とを結合させて、有意なユーザ情報としてPC等に中継させる。一体に結合させる結合の態様は限定されず、例えば、属性と属性値とを第1記憶手段に記憶された順序のままで結合させてもよく、属性と属性値に含められた共通な文字情報を有する属性と属性値を一体に結合するようにしてもよい。これにより、属性又は属性値が単独で盗難されてもユーザ情報が特定されないという高いセキュリティの状態で、リーダから有意なユーザ情報を中継させることができるという有利な効果を奏する。
【0029】
本発明の第3の発明は、第2の発明のログイン管理システムにおいて、前記ユーザ情報が、複数からなり、各々のユーザ情報をなす属性値が、記憶されている順位を示す第1順位情報とともに第1記憶手段に記憶され、各々のユーザ情報をなす属性が、記憶されている順位を示す第2順位情報とともに第2記憶手段に記憶され、前記近接通信により、前記ユーザ情報読取手段が前記ユーザ情報発生手段から、各々の前記属性値と第1順位情報とを取得し、前記ユーザ情報結合手段が、第1順位情報と第2順位情報との対応に基づいて、前記属性値と前記属性とを一体に結合して前記ユーザ情報とさせることを特徴としている。
【0030】
属性値に付与された第1順位と、属性に付与された第2順位との対応関係により、属性と属性値が結合されて有意なユーザ情報とされる。属性と属性値とは複数とされ、属性の1番目を属性値の1番目、属性の2番目を属性値の2番目というように、同じ順序で一体に結合させればよいが限定されない。
【0031】
例えば、属性の1番目に、ダミーの属性を記憶させておき、属性の2番目からを、属性値の1番目からに結合させてもよい。属性と、属性値の数が異なっていてもよいことは勿論のことである。第3の発明によれば、簡易な対応付けにより属性と属性値とを結合して有意なユーザ情報とすることができるという効果を奏する。
【0032】
本発明の第4の発明は、第2又は第3の発明のログイン管理システムにおいて、前記ユーザ情報が、特定ユーザ情報と特定ユーザ権限情報とからなり、第1記憶手段に、前記特定ユーザ情報に係る特定ユーザ属性値と、前記特定ユーザ権限情報に係る特定ユーザ権限属性値とが記憶され、第2記憶手段に、前記特定ユーザ情報に係る特定ユーザ属性と、前記特定ユーザ権限情報に係る特定ユーザ権限属性とが記憶され、前記近接通信により、前記ユーザ情報読取手段が前記ユーザ情報発生手段から、前記特定ユーザ属性値と前記特定ユーザ権限属性値とを取得し、前記ユーザ情報結合手段が、特定ユーザ情報結合手段と特定ユーザ権限結合手段として機能され、前記特定ユーザ情報結合手段が、前記特定ユーザ属性と前記特定ユーザ属性値とを一体に結合して、前記特定ユーザ情報とさせ、前記特定ユーザ権限結合手段が、前記特定ユーザ権限属性と前記特定ユーザ権限属性値とを一体に結合して、前記特定ユーザ権限情報とさせることを特徴としている。
【0033】
第4の発明によれば、ユーザに係る特定ユーザ情報と、ユーザ権限に係る特定ユーザ権限情報とがユーザ情報とされ、夫々が属性と属性値とに切り離されている。特定ユーザ権限情報とは、具体的な実行権限ではなく、実行権限を特定する値であればよい。ユーザの複数のPC等への実行権限を特定する値が同じである場合に好適である。ここで、実行権限とは、PC等にログインを許可し情報を閲覧させる権限、PC等が接続された生産装置の操作命令の編集権限、編集された操作命令の有効化権限等のPC等の操作権限をいう。
【0034】
第4の発明によれば、ユーザ毎に、複数のPC等にログインする実行権限を特定する値が決まっている場合に適用でき、高いセキュリティを保ちつつ、ユーザに複数のPC等に同一の権限でログインさせることができるという効果を奏する。
【0035】
本発明の第5の発明は、第4の発明のログイン管理システムにおいて、第2処理手段が、前記ユーザ情報読取手段が個別に接続されている情報処理手段に係る前記ユーザの権限付与手段として機能され、第1記憶手段に、前記情報処理手段を特定する処理手段情報と前記特定ユーザ権限属性値とが組をなして記憶され、前記ユーザ情報読取手段が、前記特定ユーザ属性値と共に、前記処理手段情報と前記特定ユーザ権限属性値とを取得し、前記情報処理手段が、前記特定ユーザ権限属性値と組をなす処理手段情報により特定された情報処理手段である場合には、前記権限付与手段が、前記情報処理手段に、前記特定ユーザ属性値と前記特定ユーザ権限属性値とを中継させることを特徴としている。
【0036】
第5の発明によれば、PC等とそのPC等に係るユーザの実行権限を特定する値が組をなして、ユーザ毎に第1記憶手段に記憶されている。これにより、ICカードが近接通信しているリーダが接続されている情報処理手段には、取得した処理手段情報と組をなしたユーザ権限属性値が特定され、PC毎に異なるユーザ権限が付与されていても、その権限範囲でそのPC等にログインさせることができるという効果を奏する。
【0037】
本発明の第6の発明は、第4の発明のログイン管理システムにおいて、第2記憶手段に、前記情報処理手段を操作する複数の実行権限が記憶され、第2処理手段が、実行権限付与手段として機能され、前記実行権限付与手段が、前記特定ユーザ権限属性値に対応した前記実行権限を前記ユーザに付与することを特徴としている。
【0038】
第6の発明によれば、PC等の実行権限を特定する値と、いずれかが前記値に対応する複数の実行権限が、ICカードに記憶されていることにより、PC等にローカルデータベースがなくても、PC等にログインさせるユーザの実行権限を付与することが可能であるという効果を奏する。
【0039】
本発明の第7の発明は、第1から第3の発明のログイン管理システムにおいて、前記属性値が、第1記憶手段の暗号化記憶領域に暗号化された状態で記憶され、第1記憶手段及び第2記憶手段の少なくともいずれかに、復号鍵が記憶され、前記近接通信により、前記ユーザ情報読取手段から前記情報処理手段に、前記属性値が中継される前に、前記復号鍵により暗号化された属性値が復号されて中継されることを特徴としている。第7の発明によれば、ICカードの暗号化記憶領域に、ユーザ情報をなす属性値が暗号化されて記憶されているため、ICカードが盗難されても、その内容が閲覧されにくいという効果を奏する。
【0040】
本発明の第8の発明は、第1から第3の発明のログイン管理システムにおいて、前記ユーザ情報発生手段が、生体認証機能を有し、前記ユーザ情報発生手段が前記生体認証機能により、真正なユーザを生体認証している期間にのみ、前記属性値を発生させることを特徴としている。第8の発明によれば、ICカードが生体認証されている期間のみに属性値が発生されるため、盗難されたICカードから属性値が流出しにくいという効果を奏する。
【0041】
本発明の第9の発明は、第1から第3の発明のログイン管理システムにおいて、第2記憶手段が、ログイン試行の履歴を記録させる履歴記憶手段を備え、前記履歴記憶手段が、前記ユーザ情報発生手段から取得した前記属性値と、前記属性値を取得した取得時刻とを記憶させることを特徴としている。第9の発明によれば、リーダにログイン試行の履歴を記憶させるため、ログインの成否にかかわらず、ログイン試行の履歴が記憶できるという効果を奏する。
【発明の効果】
【0042】
・第1の発明によれば、リーダがICカードに記憶されている順序で、ユーザ情報の属性値を取得している。ユーザIDだけ又はユーザIDとパスワードを使ってログインされる一般的なPC等の場合には、リーダが取得した属性値を取得した順のままPC等に中継させるだけでログインさせることができ、セキュリティが高く且つ簡易にログインが可能となるという有利な効果を奏する。
・第2の発明によれば、属性又は属性値が単独で盗難されてもユーザ情報が特定されないという高いセキュリティの状態で、リーダから有意なユーザ情報を中継させることができるという有利な効果を奏する。
・第2の発明によれば、属性又は属性値が単独で盗難されてもユーザ情報が特定されないという高いセキュリティの状態で、リーダから有意なユーザ情報を中継させることができるという有利な効果を奏する。
【0043】
・第3の発明によれば、簡易な対応付けにより属性と属性値とを結合して有意なユーザ情報とすることができるという効果を奏する。
・第4の発明によれば、ユーザを特定させるだけでなく、そのユーザの権限値も、高いセキュリティ状態で特定できるという効果を奏する。
・第4の発明によれば、ユーザを特定させるだけでなく、そのユーザの権限値も、高いセキュリティ状態で特定できるという効果を奏する。
【0044】
・第5の発明によれば、ICカードが近接通信しているリーダが接続されている情報処理手段には、取得した処理手段情報と組をなしたユーザ権限属性値が特定され、PC毎に異なるユーザ権限が付与されていても、その権限範囲でそのPC等にログインさせることができるという効果を奏する。
・第6の発明によれば、PC等の実行権限を特定する値と、いずれかが前記値に対応する複数の実行権限が、ICカードに記憶されていることにより、PC等にローカルデータベースがなくても、PC等にログインさせるユーザの実行権限を付与することが可能であるという効果を奏する。
・第6の発明によれば、PC等の実行権限を特定する値と、いずれかが前記値に対応する複数の実行権限が、ICカードに記憶されていることにより、PC等にローカルデータベースがなくても、PC等にログインさせるユーザの実行権限を付与することが可能であるという効果を奏する。
【0045】
・第7の発明によれば、ICカードの暗号化記憶領域に、ユーザ情報をなす属性値が記憶されているため、ICカードが盗難されても、その内容が閲覧されにくいという効果を奏する。
・第8の発明によれば、ICカードが生体認証されている期間のみに属性値が発生されるため、盗難されたICカードから属性値が流出しにくいという効果を奏する。
・第9の発明によれば、リーダにログイン試行の履歴を記憶させるため、ログインの成否にかかわらず、ログイン試行の履歴が記憶できるという効果を奏する。
・第8の発明によれば、ICカードが生体認証されている期間のみに属性値が発生されるため、盗難されたICカードから属性値が流出しにくいという効果を奏する。
・第9の発明によれば、リーダにログイン試行の履歴を記憶させるため、ログインの成否にかかわらず、ログイン試行の履歴が記憶できるという効果を奏する。
【図面の簡単な説明】
【0046】
【図1】ログイン管理システムの説明図(実施例1)。
【図2】真正ユーザの特定から属性値を中継させるまでのフロー図(実施例1)。
【図3】ユーザ情報結合手段を備えたログイン管理システムの説明図(実施例2)。
【図4】属性と属性値とを結合させるまでのフロー図(実施例2)。
【図5】生産現場ノレイアウトの具体例(実施例3)。
【図6】実行権限を中継させるログイン管理システムの説明図(実施例3)。
【図7】実行権限を付与するまでのフロー図(実施例3)。
【発明を実施するための形態】
【0047】
PC等へのログイン管理システムにおいて、PC等に個別に接続されるユーザ情報読取手段をなすリーダと、ユーザ情報発生手段をなすICカード等とを備えさせた。属性と属性値とからなるユーザ情報のうち、属性から切り離して属性値のみをICカード等に記憶させ、ユーザ情報が特定できないようにした。
【0048】
ユーザ情報発生手段を、生体認証機能を備えるICカード等とし、属性値を暗号化記憶部に暗号化させて記憶させると、セキュリティが高くなり好適である。更に、リーダに、ユーザ情報結合手段を備えさせると共に「属性」を記憶させ、属性と属性値とを一体にしてユーザ情報とさせてからPC等に中継させると、生産設備のようにメーカー毎・型式毎にローカルデータベースの構造が異なる場合にも対応させやすい。いずれの場合も「属性値」が対応する「属性」から切り離されているため、ICカード等が盗難され、内部情報が解読されても、有意な情報として漏洩されない。
【実施例0049】
実施例1では、ローカルデータベースを備えた情報処理手段に適用させるログイン管理システム1を、図1と図2を参照して説明する。ここでは、ユーザ情報発生手段で予め生体認証された真正ユーザが、ユーザ情報発生手段とユーザ情報読取手段とが近接通信している状態のみで、属性値の復号化を可能とさせる例を説明する。
【0050】
図1は、ブロック図を使ったログイン管理システム1の説明図を示している。図1(A)図は、ユーザIDだけの一つのユーザ情報でログインさせる情報処理手段Aに適用させた場合を示し、図1(B)図は、ユーザIDとパスワードとの2つのユーザ情報でログインさせる情報処理手段Bに適用させた場合を示している。
【0051】
図1では、理解を容易にするため、属性値の読取、中継、ローカルデータベース内での処理において伝達される情報について一点鎖線で示している。実施例2以下でも同様としている。図2は生体認証による真正ユーザの特定から、ユーザ情報をなす属性値を近接通信により発生させ、リーダから情報処理手段に中継させてログインさせるまでのフロー図を示している。
【0052】
ログイン管理システム1は、ユーザ情報発生手段100と情報処理手段に個別に接続されるユーザ情報読取手段200とからなる。ユーザ情報発生手段100は、ICカード等であればよいが、これに限定されずスマートフォン、ウェアラブル端末機器等であってもよい。ユーザ情報読取手段200は、ユーザ情報発生手段100と近接通信可能な周知のリーダであればよい。近接通信とは、Wifi、Bluetooth(登録商標)等の近距離無線通信手段であってもよく、接触による通信であってもよい。以下、ユーザ情報発生手段100をICカード10とし、ユーザ情報読取手段200をリーダ20とした例を説明する。
【0053】
ローカルデータベースが一つのユーザIDだけでログイン管理がされている場合(図1(A)図参照)には、情報処理手段300のローカルデータベース301には、予め判定用ユーザ情報が登録されている。ローカルデータベース301には、ユーザ毎に判定用ユーザ情報によりユーザIDを照合し、リーダから中継されたユーザIDとユーザの権限範囲に応じた操作を可能とさせる。
【0054】
ローカルデータベースが、ユーザIDとパスワードによりログイン管理がされている場合(図1(B)図参照)には、情報処理手段300のローカルデータベース301には、判定用ユーザ情報として、1番目に判定用ユーザIDが、2番目に判定用パスワードが登録されている(図1(B)図参照)。ここで情報処理手段は、事務用の汎用PCであってもよく、生産設備の駆動用PCであってもよく限定されない。ユーザIDとパスワードにより特定したユーザに、その権限範囲に応じた操作を可能とさせる。
【0055】
ICカード10は、第1処理手段110と第1記憶手段120と生体判定情報記憶手段130とを備えている。第1処理手段は中央演算処理装置(CPU)であればよく、第1記憶手段と生体判定情報記憶手段はRAM,ROMであればよい。第1記憶手段120は、少なくとも一部に暗号化記憶部121を備え、属性値を暗号化させた状態で記憶させている。暗号化の方式は、数字・記号の組み合わせ等からなる復号鍵が一致したときに暗号化情報を復号化させる方式であってもよく、公開鍵・暗号鍵方式であってもよく、限定されない。
【0056】
第1処理手段110は、少なくともユーザから取得した生体情報が真正かを判定する生体判定手段111を備えている。生体判定手段111は、ICカード10がリーダ20に近接されて、リーダから発信された電波により電力供給がされたときに作動され、ユーザから取得した生体情報と、生体判定記憶手段130に記憶させた生体判定情報とを照合させる。
【0057】
真正なユーザから生体情報が取得されたときには、第1処理手段110は、リーダ20に第1記憶手段120から属性値を読取ることを許可させる。真正なユーザ生体情報は、認証が容易な指紋とすると好適であるが、これに限定されない。例えば、ユーザ情報発生手段がスマートフォン等のときには、指紋のほか、静脈、声紋、顔、虹彩等であってもよい。
【0058】
第1処理手段110は、暗号化させた属性値を予め復号化させてからリーダに通信させる場合には、復号化手段112としても機能させる。このときには、第1記憶手段120に復号鍵123も記憶させる。復号化の方式は、暗号化の方式と同様に限定されない。例えば、リーダから電力供給用の電波を受信するときにあわせて、リーダから復号化のための数字・記号等を取得し、それと予め記憶させた復号鍵123とを照合させ、両者が対応しているときにだけ復号化させる等とすればよい。
【0059】
さて、ICカード等の第1記憶手段120は、属性値122を暗号化させた状態で記憶させる暗号化記憶部121を備えている。ここでは、暗号化記憶部121には、ユーザIDに係る属性値とパスワードに係る属性値とを、単独では「どのユーザ情報の属性値」かが特定できない状態で、且つ、ユーザIDに係る属性値、パスワードに係る属性値の順に記憶させている。属性値の記憶順序は、ローカルデータベース301の判定用ユーザ情報の記憶順序に対応させている。
【0060】
具体的には、暗号化記憶部の「1」番目には、ユーザID情報「ユーザID=abcd」のうち、属性「ユーザID=」から切り離された属性値「abcd」だけを暗号化させた状態で記憶させている。暗号化記憶部の「2」番目には、パスワード情報「パスワード=1234」のうち、属性「パスワード=」から切り離された属性値「1234」だけを暗号化させた状態で記憶させている。
【0061】
第1処理手段110を復号化手段112として機能させる場合には、生体認証によりICカード10を携帯するユーザが真正なユーザと特定され、且つ、復号化が許可されたときにだけ、復号化させた属性値「abcd」と「1234」とを、第1記憶手段120に記憶させた順序のままで、リーダ20に伝達させる。一方、リーダ20を復号化手段として機能させるときには、第1処理手段110は、真正なユーザと特定されたときに、暗号化させたままの属性値「(暗号)abcd」と「(暗号)1234」とを、ICカードに記憶させた順序のままで、リーダ20に伝達させる。
【0062】
ユーザ情報読取手段200をなすリーダ20は、第2処理手段210と第2記憶手段220とを備えている。第2処理手段はCPU等であればよく、第2記憶手段はROM、RAM等であればよい。第2処理手段220が、ICカード10等から取得した属性値を、第1記憶手段110に記憶されている順序、すなわち「abcd」、「1234」の順序のままで、情報処理手段300に中継させる。
【0063】
ローカルデータベース301(図1(A)図参照)は、判定用ユーザID302のみを照合させる構造であるため、先の順序で中継された「abcd」だけを照合し、後の順序で中継された属性値「1234」は照合しない。詳細には、ローカルデータベース301において、先の順序で中継された属性値「abcd」をユーザID情報にかかる属性値として、予め登録させた判定用ユーザID302と照合させる。属性値と判定用ユーザ情報とが一致したときには真正なユーザとして、情報処理手段300を、予め判定用ユーザIDに対応付けた権限303の範囲で操作可能とさせる。
【0064】
一方、ユーザIDとパスワードによりログイン管理をするローカルデータベース301(図1(B)図参照)の場合は、2要素を照合させる構造であるため、1番目の順序で中継された「abcd」と、2番目の順序で中継された属性値「1234」を、中継された順序で照合させる。詳細には、ローカルデータベース301において、先に中継された属性値「abcd」を、ローカルデータベースの1番目に登録されているユーザIDに係る属性値とみなして、判定用ユーザID302と照合させる。
【0065】
後に中継された属性値「1234」を、ローカルデータベースの2番目に登録されているパスワード情報に係る属性値とみなして、判定用パスワード304と照合させる。いずれの属性値ともが判定用ユーザ情報と一致したときには、真正なユーザとして、情報処理手段300を、予め判定用ユーザ情報に対応付けた権限303の範囲で操作可能とさせる。
【0066】
また、第2処理手段210は、リーダで暗号化された属性値を復号化させるときには、復号化手段211としても機能させる。この場合には、第2記憶手段220に記憶させた復号鍵221により、暗号化された属性値を復号化させればよい。
【0067】
次に、リーダ20がICカード10から属性値を読取って情報処理手段300に中継するまでの全体フローを、図2を参照して説明する。ここでは、理解を容易にするため、第2処理手段210が復号化手段として機能する場合を例に説明する。まずステップ10で、リーダとICカードとが近距離無線通信可能な距離まで近接されたことが検知され、属性値の読取が開始される(S10)。ステップ20に進み、リーダから電波が発信され、ICカードを作動させるための電源を供給させる(S20)。
【0068】
ステップ30では、生体判定手段がユーザから生体情報を取得する(S30)。ステップ40に進み、生体情報と予め登録された生体判定情報とを照合し、生体情報により真正なユーザかを判定する(S40)。真正なユーザの場合には、ステップ50に進み、ICカードから属性値の読取ができる状態となる(S50)。ステップ60に進み、リーダが、ICカードから暗号化されたままの属性値「(暗号)abcd」と属性値「(暗号)1234」とを、第1記憶手段に記憶させた順序のまま、近距離無線通信により取得する(S60)。
【0069】
ステップ70に進み、リーダ内で復号化がされ、ICカードから取得した属性値「(暗号)abcd」と属性値「(暗号)1234」とが、属性値「abcd」と属性値「1234」とに復号化される(S70)。ステップ80に進み、第2処理手段が、取得した属性値「abcd」と属性値「1234」とを、第1記憶手段に記憶されている順序のまま情報処理手段に中継させる(S80)。ステップ80まででリーダによる中継処理は完了する。
【0070】
ステップ90に進み、情報処理手段のローカルデータベースが、属性値「abcd」をユーザID情報とみなし、属性値「1234」をパスワード情報とみなし、属性値「abcd」を判定用ユーザIDと、属性値「1234」を判定用パスワードと照合させる(S90)。ローカルデータベースに登録されている値が中継された場合には、ステップ100に進み、情報処理手段が判定用ユーザ情報に対応付けされた権限範囲で操作可能な状態となる(S100)。一方、ステップ40において、生体情報が真正なユーザでないと判定された場合と、ステップ90において属性値が、ローカルデータベースに登録された値以外であると判定された場合とには、ステップ110に進み、処理を終了させる(S110)。
【実施例0071】
実施例2では、ユーザ情報結合手段を備えたログイン管理システム2を、図3と図4を参照して説明する。図3は、ブロック図を使ったログイン管理システム2の説明図を示している。図4はユーザ情報結合手段が、属性値と属性とを結合させるフロー図を示している。実施例2以下では、理解を容易にするため暗号化・生体認証に係る構成について説明と図示を省略しているが、暗号化・生体認証に係る構成を備えてもよいことは勿論のことである。
【0072】
ログイン管理システム2では、ユーザ情報が複数からなり、リーダ20にユーザ情報結合手段212が備えられる。ユーザ情報結合手段212が、ICカード10から取得した「属性値」に、第2記憶手段220に記憶させた「属性」222を結合させて、一体のユーザ情報とさせてから情報処理手段300に中継させている。情報処理手段300では、判定用ユーザ情報と共通する属性と結合された属性値が、ローカルデータベース301に登録されているかを照合させている。
【0073】
ICカードの記憶手段である第1記憶手段120には、各々のユーザ情報をなす暗号化された「属性値」122が、夫々の第1順位情報124とともに記憶されている。ここで「属性値が第1順位情報とともに記憶される」とは、暗号化記憶部の1番目にユーザIDをなす属性値「abcd」を、2番目にパスワードをなす属性値「1234」等のように、属性値に運用者が定めた規則によって順位付けをしていることをいい、属性値には第1順位情報は含まれない。
【0074】
リーダの記憶手段である第2記憶手段220には、各々のユーザ情報をなす「属性」222が、夫々の第2順位情報223とともに記憶されている。属性値122に対応する属性222は、「ユーザID=」、「パスワード=」等の一般的な属性であればよいが、「BOX No・・」のような、ローカルデータベースに応じた属性であってもよい。
【0075】
「属性」222と「属性値」122とを同一順位で対応させてもよいが、「属性」の第1順位に「ダミー」を登録しておいて、「属性値」の第1順位より、一つ大きい「属性」の第2順位を対応させるようにしてもよい。順位を変えることにより、「属性」と「属性値」の対応関係がより推定されにくくなり、セキュリティが高くなる。
【0076】
なお、順位情報に変えて、対をなす属性値と属性とに共通な文字情報を含むようにし、共通な文字情報を有する属性と属性値とを一体に結合させてもよい。例えば、ユーザIDに係る属性値と属性のみに共通する文字情報、例えば「U」を含む配列にする等である。
【0077】
ここでは、リーダ20から情報処理手段300にユーザ情報が中継されるときに、不正に情報が他の機器に取得されても、直ちにどのユーザ情報に対応しているかが解読されないように、ローカルデータベース特有の属性「BOX No1」、「BOX No2」、・・、としている。
【0078】
第2処理手段210は、ユーザ情報結合手段212として機能され、第1順位情報124と第2順位情報223との対応に基づいて、属性値122と属性222とを一体に結合させてユーザ情報とさせる。具体的には、第1順位情報の「1番目」に対応する属性値「abcd」と、第2順位情報の「1番目」に対応する属性「BOX No1」とを一体に結合させてユーザ情報「BOX No1=abcd」とする。
【0079】
同様に、第1順位情報の「2番目」に対応する属性値「1234」と、第2順位情報の「2番目」に対応する属性「BOX No2」とを一体に結合させてユーザ情報「BOX No2=1234」とする。ユーザ情報に結合された属性と属性値は、情報処理手段に中継される。
【0080】
情報処理手段300のローカルデータベース301には、予め2要素以上の判定用ユーザ情報が、権限303の範囲と対応付けされて登録されている。判定用ユーザ情報は、判定用ユーザID、判定用パスワードが好適である。このほか、ユーザの氏名、所属・役職、生年月日、電子メールアドレス等が登録されてもよい。
【0081】
またローカルデータベースにおいて、ユーザ毎の判定用ユーザIDには、ユーザID属性に相当する「BOX No1」の属性を付与させ、判定用パスワードにはパスワード属性に相当する「BOX No2」の属性を付与させている。3以上のユーザ情報が中継されるときには、例えば、判定用「所属・役職」情報に「BOX No3」の属性を付与させる等とすればよい。
【0082】
リーダ20からユーザ情報「BOX No1=abcd」が中継されたときには、ローカルデータベース301において属性「BOX No1」を含む判定用ユーザ情報の範囲、すなわち判定用ユーザID302の範囲で照合を実行する。ユーザ情報「BOX No2=1234」の場合には、判定用パスワード304の範囲で照合を実行する。ユーザ情報が全て真正な場合にはログインさせ、ユーザ権限はローカルデータベースに基づいて実行処理させればよい。
【0083】
次に、ユーザ情報結合手段212により属性と属性値とを結合させるフローを、図4を参照して説明する。ステップ50までと、ステップ90以下は、実施例1の図2に示したフローと同様であるため説明を省略する。属性値が暗号化されている場合には、ステップ200とステップ210の間に、属性値を復号化させるステップ70を含んでもよい。
【0084】
まずステップ200で、リーダが、第1記憶手段から属性値と第1順位情報とを取得する(S200)。ステップ210に進み、第2記憶手段から第2順位情報と属性とを読出す(S210)。ステップ220に進み、第1順位情報と第2順位情報とを対応させる(S220)。ステップ230に進み、夫々の順位情報が対応する属性値と属性とを結合させる(S230)。ステップ240では、結合させたユーザ情報を情報処理装置に中継させ(S240)、ステップ90に進む。
【実施例0085】
実施例3では、機器へのログイン環境が混在する場合に適用されるログイン管理システム3を、図5から図7を参照して説明する。図5は、生産現場の機器のレイアウトを示している。図6(A)図は、ログイン管理システム3のICカードから発生させた権限値に対応した実行権限により、スタンドアロン機器にログインさせる場合のブロック図を示している。図6(B)図は、サーバでユーザ情報を照合させて、サーバに記憶されている実行権限により、製造ラインを構成する生産設備機器にログインする場合の説明図を示し、図7は、実行権限を付与するまでのフロー図を示している。
【0086】
生産現場は、複数の生産設備機器1002,・・が配列されてなる製造ライン1001だけでなく、研究・開発用のスタンドアロン機器1003,・・等も混在して配設されている(図5参照)。図5では、A,B,C,Dが製造ラインをなす生産設備機器1002を駆動させる情報処理手段300を示し、a,b,c,dがリーダ20を示している。X,Yはスタンドアロン機器を駆動させる情報処理手段300を示し、x,yがリーダ20を示している。
【0087】
生産設備機器1002を駆動させる情報処理手段A,B,C,Dについては、サーバ1004とネットワーク接続させている。サーバにデータベースを備えさせておくことにより、ユーザ情報を統括管理させることができるため、実施例1,2のように、ユーザIDとパスワード等を伝達させてログインさせることができる。
【0088】
一方、研究・開発を目的とする機器の場合には、よりセキュリティを高く維持するためネットワークに接続させないで、スタンドアロン機器のまま使用されることがある。そこで実施例3では、リーダから、スタンドアロン機器1003に、ユーザ情報と共にユーザに付与させる実行権限も中継させて、ローカルデータベースを有していない情報処理手段X,Yであっても、実行権限に応じた範囲で情報処理手段300の操作ができるようにログインさせるようにした。
【0089】
以下、ログイン管理システム3の構成について、まずスタンドアロン機器1003にログインする場合を、図6(A)図を参照して説明する。ICカード10の第1記憶手段120には、特定ユーザ属性値125のほか、処理手段情報126と特定ユーザ権限属性値127とが組をなして記憶されている。第1記憶手段120には、ユーザID情報をなす特定ユーザ属性値125として属性値「abcd」が記憶され、パスワード情報をなす特定ユーザ属性値「1234」が記憶されている。
【0090】
特定ユーザ権限属性値127は、処理手段毎に処理手段情報126と組をなして記憶される。具体的には、情報処理手段Xについては、処理手段情報「X」と特定ユーザ権限属性値「kanri」とが組をなし、情報処理手段Yについては、処理手段情報「Y」と特定ユーザ権限属性値「ippan」とが組をなして記憶されている。特定ユーザ権限属性値は、文字に限定されず、数字・記号、これらの組み合わせであってもよい。
【0091】
リーダ20をなす第2処理手段210は、ユーザ情報結合手段212、権限付与手段213、実行権限付与手段214として機能される。ユーザ情報結合手段212は、特定ユーザ情報結合手段215、特定ユーザ権限結合手段216として機能される。
【0092】
特定ユーザ情報結合手段215は、特定ユーザ属性値125、例えば「abcd」,「1234」と、特定ユーザ属性値224、例えば「ユーザID=」,「パスワード=」とを夫々一体に結合して、特定ユーザ情報「ユーザID=abcd」,「パスワード=1234」という特定ユーザ情報に結合させる。
【0093】
特定ユーザ権限属性値127は、ICカードの第1記憶手段に処理手段情報毎に記憶される。リーダの特定ユーザ権限結合手段216は、処理手段情報毎に、ICカードから取得した特定ユーザ権限属性値127、例えば「kanri」又は「ippan」と、リーダに記憶している特定ユーザ権限属性225、例えば「権限ID=」とを一体に結合して、「権限ID=kanri」又は「権限ID=ippan」という特定ユーザ権限情報に結合させる。
【0094】
具体的には、情報処理手段300「X」に接続されるリーダ20「x」であれば、「X」という処理手段情報と組をなしている特定ユーザ権限属性値127「kanri」を、特定ユーザ権限属性225「権限ID=」と結合させ、特定ユーザ権限情報を「権限ID=kanri」とする。
【0095】
情報処理手段「X」については、特定ユーザ情報として「ユーザID=abcd」,「パスワード=1234」、特定ユーザ権限情報として情報処理手段「X」と組をなす「権限ID=kanri」が中継される。特定ユーザ情報と特定ユーザ権限情報は、上記のとおり、第1記憶手段に記憶された順序のまま結合させてもよいが、実施例2に示す順位情報に基づいて対応付けてもよい。
【0096】
リーダの第2処理手段がなす実行権限付与手段214は、第2記憶手段220に記憶させている複数の実行権限226のうち、特定ユーザ権限属性値127に対応する実行権限をユーザに付与させる。具体的には、特定ユーザ権限情報の属性値が「kanri」である場合には「承認」の実行権限を、「ippan」である場合には「編集」の実行権限を、「syokutaku」である場合には「閲覧」の実行権限を付与させる等である。
【0097】
ここで「承認」とは、生産設備機器の駆動条件の変更を確定させる権限をいう。「編集」とは駆動条件を変更する権限をいう。「閲覧」とは駆動条件が変更できない権限をいう。ユーザに応じた実行権限226が情報処理手段300に中継され、その実行権限に基づいてログインがされるため、情報処理手段がスタンドアロン機器であっても、情報処理手段毎に実行権限を変えてログインさせることができる。
【0098】
なお、既に情報処理手段側にデータベース1005が構築されている製造ライン側のA,B,C,Dの場合(図6(B)図参照)には、権限付与手段により中継された特定ユーザ権限属性値127に基づいて、第2処理手段で実行権限付与手段214により付与される実行権限と同一の実行権限をデータベースにより許可すればよい。これにより、サーバ1004のデータベースで統合された生産設備機器1002と、スタンドアロン機器1003とが混在している環境であっても、同一構成のログイン管理システムで対応することができる。
【0099】
第2記憶手段220には、前記のように、1番目にユーザIDに係る特定ユーザ属性224が、2番目にパスワードに係る特定ユーザ属性224が、3番目に特定ユーザ権限属性225が記憶され、更に実行権限226が記憶されている。このほか、第2記憶手段220は、ログイン試行の履歴を記憶する履歴記憶手段230を備えている。履歴記憶手段230は、少なくともICカード10から取得した特定ユーザ属性値と取得時刻とを記憶させている。
【0100】
リーダ20にログイン試行の履歴を記憶させるため、情報処理手段300にローカルデータベースが構築されておらず、ログイン試行の履歴がローカルデータベースに記録できない場合であっても、履歴情報を残すことができる。
【0101】
また、権限違反ICカード99のように、リーダ20からユーザ情報が情報処理手段に中継されない場合であっても、読み取った履歴を残すことができる。いずれかのログイン条件を充たさなかった場合に、権限違反として、権限違反ICカード99のユーザの属性値を時刻情報と共にログイン失敗の記録を残せばよい。
【0102】
ここで、情報処理手段がサーバを含み、ネットワーク接続されたサーバ1004においてログイン管理される場合を、図5と図6(B)図を参照して説明する。サーバ1004は、情報処理手段300,・・とインターネット通信又は構内LANにより接続されている。各々の情報処理手段には、リーダ20,・・が個別に接続されている。ICカード10がリーダと近接通信されたときには、まずユーザ情報が情報処理手段に中継され、ユーザ情報と送信元情報とがネットワークを介してサーバ1004に取得される。
【0103】
サーバ内のデータベース1005にて判定用ユーザ情報とユーザ情報とを照合させ、真正なユーザである場合には、特定ユーザ権限属性値の範囲でログインを許可する情報を情報処理手段に送信し、ユーザを情報処理手段にログインさせる。ここでサーバに取得させる情報は、ユーザIDとパスワードがあれば足りるが、特定ユーザ権限属性値と実行権限も送信させてもよい。
【0104】
前記のように、サーバ1004にネットワーク接続される生産設備機器1002と、スタンドアロン機器1003とが混在する生産現場1000で、多様なログイン環境であっても、ユーザが一つのICカードを使って、いずれの機器にもログインすることができる。
【0105】
次に、実行権限を付与するまでのフローを、図7を参照して説明する。ここではリーダ20「x」がスタンドアロン機器1003を駆動させる情報処理手段300「X」にログインする場合を例に説明する。ステップ50までと、ステップ90以下は、実施例1の図2に示したフローと同様であるため説明を省略する。特定ユーザ属性値等が暗号化されている場合には、ステップ300とステップ310の間に、属性値を復号化させるステップ70を含んでもよい。
【0106】
まずステップ300で、リーダ「x」が、第1記憶手段から特定ユーザ属性値と、組をなす特定ユーザ権限属性値と処理手段情報とを取得させる(S300)。ステップ310に進み、処理手段情報を照合させる(S310)。情報処理手段に一致している処理手段情報がある場合には、ステップ320に進む。
【0107】
ステップ320では、第1記憶手段の1番目に記憶された特定ユーザ属性値「abcd」と、第2記憶手段の1番目に記憶された特定ユーザ属性「ユーザID=」とを一体に結合させて、ユーザIDに係る特定ユーザ情報「ユーザID=abcd」とさせる(S320)。ステップ330に進み、第1記憶手段の2番目に記憶された特定ユーザ属性値「1234」と、第2記憶手段の2番目に記憶された特定ユーザ属性「パスワード=」とを一体に結合させて、パスワードに係る特定ユーザ情報「パスワード=1234」とさせる(S330)。
【0108】
ステップ340に進み、第1記憶手段において処理手段情報「X」と組をなす特定ユーザ権限属性値「kanri」と、第2記憶手段の特定ユーザ権限属性「権限ID=」とを一体に結合させて、特定ユーザ権限情報「権限ID=kanri」とさせる(S340)。ステップ350に進み、特定ユーザ権限属性値「kanri」に対応した実行権限「承諾」を付与させる(S350)。
【0109】
ステップ360に進み、ログイン試行の履歴として、属性値と取得時刻とを共に記録させる(S360)。ステップ310において、情報処理手段に一致している処理手段情報がなかったときには、権限違反によりログイン試行がされたとして、ステップ360に進み、ログイン失敗の履歴として属性値と取得時刻を共に記録させる(S360)。
【0110】
(その他)
・今回開示された実施の形態はすべての点で例示であって、制限的なものではないと考えられるべきである。本発明の技術的範囲は、上記した説明に限られず特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
・第1記憶手段に、属性値を列方向に記憶させた例を示しているが、行方向に記憶させてもよいことは勿論のことである。第2記憶手段についても同様である。
・今回開示された実施の形態はすべての点で例示であって、制限的なものではないと考えられるべきである。本発明の技術的範囲は、上記した説明に限られず特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
・第1記憶手段に、属性値を列方向に記憶させた例を示しているが、行方向に記憶させてもよいことは勿論のことである。第2記憶手段についても同様である。