IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 株式会社We will

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社We willの特許一覧

<>
  • 特許-位置情報を用いた認証システム 図1
  • 特許-位置情報を用いた認証システム 図2
  • 特許-位置情報を用いた認証システム 図3
  • 特許-位置情報を用いた認証システム 図4
  • 特許-位置情報を用いた認証システム 図5
  • 特許-位置情報を用いた認証システム 図6
  • 特許-位置情報を用いた認証システム 図7
  • 特許-位置情報を用いた認証システム 図8
  • 特許-位置情報を用いた認証システム 図9
  • 特許-位置情報を用いた認証システム 図10
  • 特許-位置情報を用いた認証システム 図11
  • 特許-位置情報を用いた認証システム 図12
  • 特許-位置情報を用いた認証システム 図13
  • 特許-位置情報を用いた認証システム 図14
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-07-31
(45)【発行日】2023-08-08
(54)【発明の名称】位置情報を用いた認証システム
(51)【国際特許分類】
   G06F 21/31 20130101AFI20230801BHJP
   G06F 21/35 20130101ALI20230801BHJP
【FI】
G06F21/31
G06F21/35
【請求項の数】 5
(21)【出願番号】P 2020188319
(22)【出願日】2020-11-11
(65)【公開番号】P2022077449
(43)【公開日】2022-05-23
【審査請求日】2020-12-11
【審判番号】
【審判請求日】2022-09-21
(73)【特許権者】
【識別番号】520442689
【氏名又は名称】株式会社We will
(74)【代理人】
【識別番号】110003100
【氏名又は名称】弁理士法人池田国際特許事務所
(72)【発明者】
【氏名】杉山 佑介
【合議体】
【審判長】須田 勝巳
【審判官】中村 信也
【審判官】吉田 美彦
(56)【参考文献】
【文献】米国特許出願公開第2018/0357407(US,A1)
【文献】米国特許出願公開第2004/0192438(US,A1)
【文献】特開2007-193506(JP,A)
【文献】特開2015-226137(JP,A)
【文献】柴宮 実、実践ソフトウェア開発工学シリーズ6 セキュリティ管理の技術、日本、1993.07.30発行、第1版、p.137-138
【文献】谷村 透、UNIX-LAN構築の実践技術 ~UNIXネットワーク導入から管理まで~、日本、1992.04.30発行、初版、p.475-477
(58)【調査した分野】(Int.Cl.,DB名)
G06F21/31
G06F21/35
(57)【特許請求の範囲】
【請求項1】
利用端末と、記憶装置と、認証サーバと、予め定められた位置に固定され、前記利用端末が通信可能な位置認証端末を含んで構成される認証システムであって、
前記利用端末に設けられ、前記利用者の識別情報を前記位置認証端末に送信するユーザ情報送信部と、前記位置認証端末に設けられ、前記利用者の識別情報と前記利用端末の位置に関する情報とを前記認証サーバに送信するユーザ・位置情報送信部とを有してなる送信部と、
前記記憶装置は、
利用者が認証可能な位置についての情報が利用者ごとに記憶された利用可能位置データベースと、
利用者の利用資格についての情報が利用者ごとに記憶された認証データベースと、を含み、
前記認証サーバは、
前記送信部から送信された利用端末の位置に関する情報と前記利用可能位置データベースに記憶された情報とに基づいて前記利用者があらかじめ設定されたサービスの利用可能位置にあるかを判定する位置認証部と、
前記位置認証部により前記利用者が前記利用可能位置にあると判定された場合に、前記送信部から送信された利用者の識別情報および前記認証データベースに記憶された情報基づいて前記利用者のサービスの利用資格の有無を判定する利用資格認証部と、を含み、
前記利用端末は、
前記利用資格認証部により前記サービスの利用資格が有ると判定された場合において、その後に前記位置認証部により前記利用者が前記サービスの利用可能位置にないと判定された場合には、前記サービスの利用を終了させるサービス切断実行部と、を有するとともに、
前記利用端末の位置に関する情報は、前記利用端末が近接した位置認証端末に固有の情報であり、
前記位置認証部および前記利用資格認証部による判定は、前記利用資格認証部により前記利用者のサービスの利用資格が有ると判定された後においても反復して実行されること、
を特徴とする位置情報を用いた認証システム。
【請求項2】
前記認証データベースは、複数のサービスのそれぞれについて、利用者の利用資格についての情報を利用者ごとに記憶するものであり、
前記利用資格認証部は、前記複数のサービスのそれぞれについて、前記利用者の利用資格の有無を判定するものであること、
を特徴とする請求項1に記載の位置情報を用いた認証システム。
【請求項3】
前記利用資格認証部は、前記複数のサービスのそれぞれを提供するサーバのそれぞれに
ついて前記利用者を利用可能な状態にするための情報を送信するサービス認証情報送信部を有すること、を特徴とする請求項2に記載の位置情報を用いた認証システム。
【請求項4】
前記利用端末の位置に関する情報は、前記位置認証端末に予め記憶された前記位置認証端末の位置に関する情報であること、
を特徴とする請求項1乃至3のいずれか1に記載の位置情報を用いた認証システム。
【請求項5】
前記利用端末の位置に関する情報は、前記位置認証端末にあらかじめ一意に付与された位置認証端末識別情報であり、
前記利用可能位置データベースは、前記利用者が認証可能な位置についての情報を、前記利用者の識別情報と前記位置認証端末識別情報との組み合わせとして記憶していること、
を特徴とする請求項1乃至3のいずれか1に記載の位置情報を用いた認証システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークを介してサーバを利用する際の認証システムに関するものであり、特に利用者の位置を考慮した認証を可能にする技術に関する。
【背景技術】
【0002】
近年、ASP(Application Service Provider)、あるいは、SaaS(Software as a Service)と呼ばれるような、ネットワークを介したソフトウェア(アプリケーション)の利用形態が用いられている。かかる形態においては、サーバにおいてソフトウェアが実行される一方、クライアントとなるコンピュータがネットワークを介してサーバに接続される。したがって、サーバによって実行されるソフトウェアをクライアントはサービスのように利用することができる。
【0003】
かかる形態においては、サーバの利用資格を確認するために認証が行われる。例えば利用資格を有する者、および/または、コンピュータであるか否かの認証が行われる。特許文献1はこのようなSaaSにおける認証の一例を開示している。
【0004】
ここで、前記認証には、例えば利用者のIDとパスワードとを用いた認証や、利用端末となるコンピュータに固有の符号(例えばMACアドレスなど)を用いた認証が行われることで、予め利用資格を付与されている利用者であるか、あるいは、予め登録されているコンピュータからの利用であるかを判断する。
【先行技術文献】
【特許文献】
【0005】
【文献】特開2002-149607号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
ところで、前記SaaSのような形態においては、利用端末がネットワークを介してサーバに接続可能であり、かつ、前述のような認証により利用資格が確認できると、利用端末の場所を問わずサーバに接続できることとなる。かかる点は、SaaSのような形態の利点である一方、機密保持などの観点から、利用可能な場所を制限したい場合も存在する。
【0007】
本発明は、かかる課題を解決するためになされたものであり、位置情報を用いた認証システムに関するものである。
【課題を解決するための手段】
【0008】
第1発明の要旨とするところは、(a)利用端末と、記憶装置と、認証サーバと、予め定められた位置に固定され、前記利用端末が通信可能な位置認証端末を含んで構成される認証システムであって、(b)前記利用端末に設けられ、前記利用者の識別情報を前記位置認証端末に送信するユーザ情報送信部と、前記位置認証端末に設けられ、前記利用者の識別情報と前記利用端末の位置に関する情報とを前記認証サーバに送信するユーザ・位置情報送信部とを有してなる送信部と、(c)前記記憶装置は、(c1)利用者が認証可能な位置についての情報が利用者ごとに記憶された利用可能位置データベースと、(c2)利用者の利用資格についての情報が利用者ごとに記憶された認証データベースと、を含み、(d)前記認証サーバは、(d1)前記送信部から送信された利用端末の位置に関する情報と前記利用可能位置データベースに記憶された情報とに基づいて前記利用者があらかじめ設定されたサービスの利用可能位置にあるかを判定する位置認証部と、(d2)前記位置認証部により前記利用者が前記利用可能位置にあると判定された場合に、前記送信部から送信された利用者の識別情報および前記認証データベースに記憶された情報基づいて前記利用者のサービスの利用資格の有無を判定する利用資格認証部と、を含み、(e)前記利用端末は、前記利用資格認証部により前記サービスの利用資格が有ると判定された場合において、その後に前記位置認証部により前記利用者が前記サービスの利用可能位置にないと判定された場合には、前記サービスの利用を終了させるサービス切断実行部と、を有するとともに、(f)前記利用端末の位置に関する情報は、前記利用端末が近接した位置認証端末に固有の情報であり、(g)前記位置認証部および前記利用資格認証部による判定は、前記利用資格認証部により前記利用者のサービスの利用資格が有ると判定された後においても反復して実行されること、を特徴とする位置情報を用いた認証システムである。
【発明の効果】
【0009】
かかる第1発明によれば、前記位置認証部により、前記送信部から送信された利用端末の位置に関する情報と前記利用可能位置データベースに記憶された情報とに基づいて前記利用者があらかじめ設定されたサービスの利用可能位置にあるかが判定され、前記位置認証部により前記利用者が前記利用可能位置にあると判定された場合には、前記利用資格認証部により、前記送信部から送信された利用者の識別情報および前記認証データベースに記憶された情報に基づいて前記利用者のサービスの利用資格の有無が判定される。また、予め定められた位置に固定され、前記利用端末が通信可能な位置認証端末を含み、前記利用端末の位置に関する情報は、前記利用端末が近接した位置認証端末に固有の情報とされるので、利用端末が測位を行うことなくその位置に関する情報が得られる。また、前記利用資格認証部により前記サービスの利用資格が有ると判定された場合において、その後に前記位置認証部により前記利用者が前記サービスの利用可能位置にないと判定された場合には、前記サービス切断実行部によりサービスの利用を終了され、前記位置認証部および前記利用資格認証部による判定は、前記利用資格認証部により前記利用者のサービスの利用資格が有ると判定された後においても反復して実行されるので、いったんサービスの利用資格があると判定した後において利用者がサービスの利用可能位置に所在しなくなった場合に、サービスの利用が終了させられるため、利用者がサービスの利用可能位置に継続的にあることが求められ、セキュリティの向上を図ることができる。
【0010】
好適には、(f)前記認証データベースは、複数のサービスのそれぞれについて、利用者の利用資格についての情報を利用者ごとに記憶するものであり、(g)前記利用資格認証部は、前記複数のサービスのそれぞれについて、前記利用者の利用資格の有無を判定するものである。このようにすれば、複数のサービスが提供される場合においてその複数のサービスのそれぞれについて利用資格の有無を判定できる。
【0011】
好適には、(h)前記利用資格認証部は、前記複数のサービスのそれぞれを提供するサーバのそれぞれについて前記利用者を利用可能な状態にするための情報を送信する送信部を有するものである。このようにすれば、前記サーバについて前記利用者を利用可能な状態にするための情報を予め利用者が保持しないことから、セキュリティの向上が図れる。
【0012】
好適には、(i)前記利用端末の位置に関する情報は、前記位置認証端末に予め記憶された前記位置認証端末の位置に関する情報である。このようにすれば、利用端末の位置に関する情報は、事前に付与したものとなるので、その後の改竄を防止することができる。
【0013】
好適には、(j)前記利用端末の位置に関する情報は、前記位置認証端末にあらかじめ一意に付与された位置認証端末識別情報であり、(k)前記利用可能位置データベースは、前記利用者が認証可能な位置についての情報を、前記利用者の識別情報と前記位置認証端末識別情報との組み合わせとして記憶していることを特徴とする。このようにすれば、利用端末の位置に関する情報は、事前に付与したものとなるので、その後の改竄を防止することができる。
【図面の簡単な説明】
【0014】
図1】本発明の認証システムの一実施例における構成の概略を説明する図である。
図2図1の認証システムにおける利用者端末の有する機能の概略を説明する機能ブロック図である。
図3図1の認証システムにおける位置認証端末の有する機能の概略を説明する機能ブロック図である。
図4図1の認証システムにおける認証サーバの有する機能の概略を説明する機能ブロック図である。
図5図1の認証システムにおける記憶装置の有する機能の概略を説明する機能ブロック図である。
図6図5の記憶装置における位置情報データベースに記憶される情報の一例を説明する図である。
図7図5の記憶装置における位置情報認証データベースに記憶される情報の一例を説明する図である。
図8図5の記憶装置におけるSSO認証データベースに記憶される情報の一例を説明する図である。
図9図1の認証システムと協調して作動するアプリケーションサーバの有する機能の概略を説明する機能ブロック図である。
図10図1の認証システムにおける利用者端末の認証作動の概略を説明するフローチャートであって、主に位置情報を位置情報データベースに登録するまでの部分の作動を説明するものである。
図11図1の認証システムにおける利用者端末の認証作動の概略を説明するフローチャートであって、主に、位置情報を用いた認証作動に対応する部分を説明するものである。
図12図1の認証システムの別の実施例における位置認証端末の有する機能の概略を説明する機能ブロック図であって、図3に対応する図である。
図13図5の記憶装置における位置情報認証データベースに記憶される情報の別の例を説明する図であって、図7に対応する図である。
図14図5の記憶装置におけるSSO認証データベースに記憶される情報の別の例を説明する図であって、図8に対応する図である。
【発明を実施するための形態】
【0015】
以下、本発明の一実施例について、図面を参照しつつ詳細に説明する。
【実施例1】
【0016】
図1は、本発明の位置情報を用いた認証システム10(以下単に、「認証システム10」ともいう。)の構成の一例を説明する図である。認証システム10には、利用者端末12、位置認証端末(位置認証デバイス)14、アクセスポイント16、認証サーバ22、データベースとしての記憶装置24、アプリケーションサーバ26を含む。図1においては、複数の位置認証端末14として3つの位置認証端末14A、14B、14Cがそれぞれ異なる位置に設けられている。アプリケーションサーバ26として、2つのアプリケーションサーバ26A、26Bが設けられている。これらアプリケーションサーバ26A、26Bはたとえば異なるアプリケーションを提供するもので、利用者自身が、アプリケーションサーバ26A、26Bのいずれを利用したいかを指定するようになっている。なお、以下の説明において、複数の位置認証端末14A乃至Bのそれぞれを区別しない場合には、単に位置認証端末14という。アプリケーションサーバ26についても同様である。また、アクセスポイント16、認証サーバ22、記憶装置24、アプリケーションサーバ26は、インターネットなどのネットワーク30に接続されており、相互に通信可能とされている。ネットワーク30を介した各装置間の通信は、適宜暗号化などの手段が取られてもよい。
【0017】
利用者端末12および位置認証デバイス14は、それぞれアクセスポイント16に対して無線通信により相互に通信可能に接続されている。その結果、利用者端末12および位置認証デバイス14はそれぞれネットワーク30に接続された装置と前記ネットワーク30を介して通信可能とされている。また、利用者端末12と位置認証デバイス14とは、相互に通信可能とされている。ここで、利用者端末12と位置認証デバイス14とが相互に通信可能であることは、利用者端末と位置認証デバイス14とが同じ位置にあることとみなすことができるように、利用者端末と位置認証デバイス14との無線通信の規格や周波数、電波強度などが選択される。なお、本実施例における3つの位置認証デバイス14A、14B、14Cは、単に位置が異なるのみならず、位置認証デバイス14A、14B、14Cのそれぞれと利用者端末12との無線通信可能な範囲が重複しないように配置されている。
【0018】
図2は、利用者端末12の有する機能の一部を説明する機能ブロック図である。利用者端末12は、いわゆるパーソナルコンピュータPCやタブレット型コンピュータなどであり、入出力装置を用いて利用者が操作することで、後述するように位置認証デバイス14、認証サーバ22、アプリケーションサーバ26に対して情報の送受信を含む作動を行う。
【0019】
利用者端末12は、図2に示すように、ユーザ認証要求部52、ユーザ情報送信部54、サービス認証情報取得部56、サービス認証要求部58、サービス切断実行部59を機能的に有している。ユーザ認証要求部52は、例えば、キーボードやタッチパネルなどの入力装置から入力された認証サーバ22用のユーザ認証情報、具体的には例えばユーザIDおよびパスワードを、後述するユーザ情報送信部54、および、無線通信部60を介して後述する認証サーバ22のユーザ認証部74にそれぞれ送信する。
【0020】
ユーザ情報送信部54は、ユーザ認証要求部52に入力されたユーザ認証情報を、位置認証端末14のユーザ・位置情報送信部64や、認証サーバ22のユーザ認証部74に無線通信部60を介して送信する。
【0021】
無線通信部60は、例えば無線LANやBluetooth(登録商標)などの規格にしたがって、無線通信を行う。
【0022】
サービス認証情報取得部56は、前記ユーザ認証情報を、後述の認証サーバ22のサービス認証情報発行部80に送信するとともに、認証の結果サービスが利用できる場合には、アプリケーションサーバ26の利用のためのサービス認証情報をサービス認証情報発行部80から取得する。
【0023】
サービス認証要求部58は、サービス認証情報取得部56がサービス認証情報発行部80から認証情報を取得した場合に、前記認証情報を用いて、認証情報に対応するアプリケーションサーバ26のサービス認証部94に対して、利用のための認証を要求する。
【0024】
サービス切断実行部59は、いったんサービス認証要求部58がアプリケーションサーバ26に要求した認証に基づいてそのアプリケーションサーバ26が利用可能となった場合において、利用者端末12がアプリケーションサーバ26の利用をするための要件を満たさなくなった場合に、認証サーバ22などからの命令にしたがって、その利用者端末12によるアプリケーションサーバ26の利用を終了させる。
【0025】
図3は、位置認証端末14の有する機能の一部を説明する機能ブロック図である。位置認証端末14は、予め定められた位置に移動不能に固定されて配設される。位置情報記憶部62は、位置認証端末14の配設された場所(位置)についての情報、すなわち位置情報を記憶するものであって、例えば、予め設定された書き込み権限を有する者である認証システム10の管理者などによって予め書き込まれている。書き込みの際には、ユーザ名とパスワードとの組み合わせにより書き込み権限を有するか否かの認証が行われてもよい。この書き込みは、無線通信部66を介した無線通信によって行われてもよいし、図示しないインタフェースに一時的に接続されたキーボードなどの入力手段によって行われてもよい。位置情報記憶部62に記憶された位置情報は、利用者や第三者によって改竄されることが困難となるように、例えば暗号化されるなどして記憶されている。
【0026】
ユーザ・位置情報送信部64は、利用者端末12のユーザ情報送信部54から送信されたユーザ認証情報と、前記位置情報記憶部62に記憶された位置認証端末14の位置情報とを、後述する認証サーバ22の位置情報収集部76に、無線通信部66を介して送信する。ユーザ・位置情報送信部64による位置情報の送信は、予め定められた所定の間隔ごとに行われる。なお、前述のユーザ情報送信部54およびユーザ・位置情報送信部64が、本発明の送信部に対応する。
【0027】
無線通信部66は、利用者端末12の無線通信部60と同様に、例えば無線LANやBluetooth(登録商標)などの規格にしたがって、無線通信を行う。
【0028】
図4は、認証サーバ22の有する機能の一部を説明する機能ブロック図である。認証サーバ22は、CPU(中央演算装置)、RAM、ROMなどの主記憶装置、ハードディスク装置などの補助記憶装置などを備え、それら記憶装置に記憶されたプログラムをCPUにより実行することで機能を生ずるいわゆるコンピュータである。認証サーバ22は、ハードウェアとしてネットワークインタフェース72を有するとともに、ユーザ認証部74、位置情報収集部76、位置認証部78、サービス認証情報発行部80、ログイン状態確認部82などを機能的に有して構成されている。
【0029】
ネットワークインタフェース72は、認証サーバ22をネットワーク30に情報通信可能に接続する。これにより認証サーバ22はネットワーク30を介して利用者端末12、位置認証端末14、記憶装置24、アプリケーションサーバ26などを情報通信可能となる。
【0030】
ユーザ認証部74は、利用者端末12のユーザ認証要求部52から送信されるユーザ認証情報に、あるいは、位置認証端末14のユーザ・位置情報送信部64から送信されるユーザ認証情報に基づき、ユーザがアプリケーションサーバ26の利用権限を有するか否かを判断する。この判断は、ユーザ認証要求部52から送信されるユーザ認証情報と、後述する記憶装置24のSSO認証データベース90に記憶されている利用者情報とが一致するか否かに基づいて、ユーザ自身の認証を行うとともに、SSO認証データベース90に記憶されている情報に基づいて、当該ユーザがアプリケーションサーバ26の利用権限を有しているか否かを判断する。このユーザ認証部74が、本発明の利用資格認証部に対応する。
【0031】
位置情報収集部76は、位置認証端末14のユーザ・位置情報送信部64から送信された前記ユーザIDと位置認証端末14の位置情報とを取得する。また、位置情報収集部76は、時刻情報、具体的には例えば、位置認証端末14のユーザ・位置情報送信部64における送信時刻、もしくは位置情報収集部76における受信時刻などの情報とともに、記憶装置24の位置情報データベース86に記憶させる。
【0032】
位置認証部78は、位置情報収集部76が収集した前記ユーザIDと位置認証装置14の位置情報とを、記憶装置24の位置情報認証データベース88の情報と照合することにより、前記ユーザIDに対応する利用者が、アプリケーションサーバ26の利用をするのに予め許可された位置にいるか否かを判断する。具体的には、後述する位置情報認証データベース88には、ユーザIDごとに、アプリケーションサーバ26を利用することができる位置についての情報が格納されており、位置認証部78は、前記位置情報が、前記アプリケーションサーバ26を利用することができる位置と一致するか否かを判断し、一致する場合には、当該利用者はアプリケーションサーバ26を利用可能であると判断(位置認証)する。このように、本実施例における位置の一致とは、物理的な位置の一致のみならず、利用者端末12の位置がある位置認証端末14の通信範囲内にある場合に、その位置認証端末14の位置がアプリケーションサーバ26を利用することができる位置に該当する場合を含むものである。これは、当該利用者が利用している利用者端末12と、その利用者端末12からユーザ認証情報を送信した位置認証端末14とが直接、もしくはアクセスポイント16を介して近距離通信可能であることから、それら利用者端末12と位置認証端末14とが近傍に位置しているとみなせることに基づき、位置認証端末14の位置情報がアプリケーションサーバ26を利用することができる位置である場合には、利用者端末12もアプリケーションサーバ26を利用することができると判断するためである。
【0033】
サービス認証情報発行部80は、前述のユーザ認証部74によるユーザ認証、および、位置認証部78による位置認証のいずれもが正当であると判断された場合に、利用者端末12に対して、アプリケーションサーバ26を利用するための情報である、サービス認証情報を発行し、送信する。このサービス認証情報は、例えばアプリケーションサーバ26を利用するためのIDおよびパスワードを含む情報である。サービス認証情報発行部80が、本発明のサービス認証情報送信部に対応する。
【0034】
ログイン状態確認部82は、サービス認証情報発行部80により一度サービス認証情報が発行された利用者について、前記位置認証部78による位置認証が継続して行われているか否かを判断する。そして、ログイン状態確認部82は、一度は位置認証部78による位置認証が成立したものの、その後成立しなくなった場合、すなわち、利用者の位置がアプリケーションサーバ26を利用することができる位置と一致しなくなった場合には、当該利用者について、いったん発行されたサービス認証情報発行部80によるサービス認証情報の効果を停止させる措置を行う。具体的にはたとえば、前述のサービス切断実行部59から、たとえば30秒ごとのように予め定められた時間間隔で、ログイン状態確認部82に位置認証が成立したか否かの問い合わせが行われる。この問い合わせを受けたログイン状態確認部82は、位置認証部78による利用者端末12の位置認証の結果を参照する。ここで、位置認証部78による利用者端末12の位置認証は、ユーザ・位置情報送信部64により所定間隔で送信される位置情報のうち、その時点から遡って最も近いものを用いて行われる。そして、位置認証部78による認証が不成立であった場合には、ログイン状態確認部82は、サービス切断実行部59に対して、位置認証が不成立であったことを示す情報を送信する。この情報を受け取ったサービス切断実行部59は、利用者端末12をアプリケーションサーバ26から強制的にログアウトさせるための作動を実行する。具体的には、前記利用者端末12のサービス切断実行部59は、該当の利用者端末12を、アプリケーションサーバ26から強制的にログオフ(ログアウト)させたり、あるいは、アプリケーションサーバ26に保存されている利用者端末12とのセッション情報を削除して、利用者端末12とアプリケーションサーバ26とのログイン状態での通信を継続できなくする。このように、いったん位置認証部78による認証が行われ、サービス認証情報発行部80によりサービス認証情報が発行された場合であっても、その後に利用者端末12が予め許可された位置と異なる位置に移動したような場合に、アプリケーションサーバ26の利用が継続できなくすることができる。
【0035】
図5は、記憶装置24の有する機能の一部を説明する機能ブロック図である。記憶装置24は、ハードウェアとしてネットワークインタフェース84を有するとともに、位置情報データベース86、位置情報認証データベース88、SSO認証データベース90などを機能的に有して構成されている。すなわち、ネットワークを介してデータベースを提供するデータベースサーバである。ネットワークインタフェース84は、記憶装置24をネットワーク30に情報通信可能に接続する。これにより認証サーバ22はネットワーク30を介して利用者端末12、位置認証端末14、認証サーバ22、アプリケーションサーバ26などと情報通信可能となる。これにより、位置情報データベース86、位置情報認証データベース88、SSO認証データベース90は、ネットワークを介して情報の入力を受け付けたり、問い合わせに対して出力したりすることができる。
【0036】
位置情報データベース86は、位置認証端末14のユーザ・位置情報送信部64により送信され、認証サーバの位置情報収集部76によって収集された情報を蓄積する。具体的には、位置情報データベース86は、少なくともユーザID、位置認証端末14の位置情報、および時刻情報とを関連づけて記憶する。時刻情報とは、具体的には例えば、位置認証端末14のユーザ・位置情報送信部64における送信時刻、もしくは位置情報収集部76における受信時刻などの情報である。図6は、位置情報データベース86に格納される情報の一例を表形式で示したものである。図6には、利用者「ユーザ1」が、時系列的に「位置認証端末01」にとどまっていることを示す例が表示されている。ここで、「位置認証端末01」とは、位置認証報端末01(位置認証端末14A乃至14Cのいずれか1つ)を表す、予め付された固有の符号を示している。位置認証端末02、03についても同様である。
【0037】
図5に戻って、位置情報認証データベース88は、各利用者のそれぞれについて、アプリケーションサーバ26の利用が許可されている位置(許可位置)についての情報が記憶されている。具体的には、位置情報認証データベース88は、ユーザID、対象となるアプリケーションサーバ26を特定する情報、および、そのアプリケーションサーバ26に対応する許可位置についての情報が記憶される。図7は、位置情報認証データベース88に記憶される情報の一例を表形式で示したものである。図7には、利用者「ユーザ1」がアプリケーションサーバ「サーバA」を利用する場合には、位置「位置認証端末01」に、また、アプリケーションサーバ「サーバB」を利用する場合には位置「位置情報端末02」にある必要があることなどを示している。この位置情報認証データベース88が、本発明の利用可能位置データベースに対応する。
【0038】
図5に戻って、SSO認証データベース90は、各利用者のそれぞれについて、ユーザ認証を行うための、ユーザIDとパスワード(もしくはそのハッシュ値など、パスワードと一対一に対応するもの)、および、ユーザ認証が成立した場合のアプリケーションサーバ26を利用するための認証情報を記憶する。認証情報とは、例えばアプリケーションサーバ26を利用するためのIDおよびパスワードである。図8は、SSO認証データベース90に記憶される情報の一例を表形式で示したものである。図8は、利用者「ユーザ1」のユーザ認証を行うためのパスワードハッシュ値と、ユーザ1がアプリケーションサーバ「サーバA」および「サーバB」を利用するためのそれぞれのアプリケーションサーバのユーザIDとパスワードなどが格納された例を示している。
【0039】
図9は、アプリケーションサーバ26の有する機能の一部を説明する機能ブロック図である。アプリケーションサーバ26は必ずしも本発明の認証システム10を構成するものではないが、本発明の認証システム10により認証を受けることにより、利用可能となる。アプリケーションサーバ26は、CPU(中央演算装置)、RAM、ROMなどの主記憶装置、ハードディスク装置などの補助記憶装置などを備え、それら記憶装置に記憶されたプログラムをCPUにより実行することで機能を生ずるいわゆるコンピュータである。
【0040】
ネットワークインタフェース92は、アプリケーションサーバ26をネットワーク30に情報通信可能に接続する。これによりアプリケーションサーバ26は、ネットワーク30を介して利用者端末12、位置認証端末14、認証サーバ22、記憶装置24などを情報通信可能となる。
【0041】
サービス認証部94は、利用者端末12のサービス認証要求部58から送信されたアプリケーションサーバ26の認証情報に基づき、アプリケーションサーバ26の利用資格を判断する。具体的には、サービス認証要求部58から送信された認証情報が、アプリケーションサーバ26に予め記憶されている利用者の認証情報と一致するか否かを判断し、一致した場合には、当該利用者にアプリケーションサーバ26の利用を許可する。
【0042】
アプリケーション提供部96は、前記サービス認証部94において認証された利用者に対して、そのアプリケーションを提供する。具体的には当該利用者の利用者端末12からの入力を受け付け、その入力に対し、アプリケーションを作動させて、所定の出力や画面表示などを当該利用者端末12に送信する。
【0043】
図10および11は、本発明の認証装置10による、位置情報を利用した認証作動の一例を説明するフローチャートである。紙面の都合上、図10図11とに分けているが、それらは一連のものとして実行されうる。
【0044】
まず、ステップS1(以下適宜、「ステップ」を略す。)において管理者により、位置認証端末14の位置情報記憶部62に、その位置情報端末14の位置に関する情報が入力されて、記憶させられる。この位置に関する情報(位置情報)は、例えば、緯度および経度のように絶対的な位置そのものを表す情報であってもよいし、個々の位置認証端末14を識別することのできる符号であってもよい。すなわち、個々の位置認証端末14を識別することにより、その位置認証端末14に無線通信可能な利用者端末12が存在した場合、かかる利用者端末12は位置認証端末14に無線通信可能な程度に近接した位置にあることが把握できるためである。
【0045】
次いで、S2においては、アプリケーションサーバ26を利用したい利用者が、利用者端末12において、認証サーバ22のユーザ認証情報、具体的にはユーザIDとパスワードを入力する。この入力されたユーザ認証情報は、ユーザ認証要求部52に渡される。
【0046】
S3は、利用者端末12のユーザ認証要求部52などに対応するもので、S2において入力されたユーザ認証情報が、ネットワーク30を介して、認証サーバ22のユーザ認証部74に送信される。
【0047】
S4は、認証サーバ22のユーザ認証部74などに対応するもので、S3において送信されたユーザ認証情報が正しいものであるか否かを、記憶装置24のSSO認証データベース90に予め記憶された利用者情報と照合することで判断する。送信されたユーザ認証情報と予め記憶された利用者情報とが一致する場合には、S3で送信されたユーザ認証情報は正しいものであると判断され、認証が完了したことが通知発行される。この認証完了通知は、利用者端末12のユーザ認証要求部52に送信される。
【0048】
S5は、利用者端末12のユーザ認証要求部52などに対応するもので、S4において認証サーバ22から送信された認証情報がユーザ情報送信部54に送られる。
【0049】
S6は、利用者端末12のユーザ情報送信部54などに対応するもので、S5において受け取った認証情報に含まれるユーザ情報が、位置認証端末14のユーザ・位置情報送信部64に送信される。このユーザ情報は、例えば、S2において入力されたユーザIDである。
【0050】
S7は、位置認証端末14の位置情報記憶部62などに対応するもので、S1において記憶された当該位置認証端末14の位置情報が、ユーザ・位置情報送信部64に送信される。
【0051】
S8は、位置認証端末14のユーザ・位置情報送信部64などに対応するもので、S6において送信されたユーザ情報と、S7において送信された位置情報とが、認証サーバ22の位置情報収集部76に送信される。
【0052】
S9は、認証サーバ22の位置情報収集部76などに対応するもので、S8において送信されたユーザ情報と位置情報、さらに、それらの情報についての時刻情報が、記憶装置24の位置情報データベース86に記憶させられる。ここで、時刻情報は、例えば位置情報収集部76においてユーザ情報と位置情報とが受信された時刻である。これにより、認証されたユーザIDに係る利用者が利用している利用者端末12の位置を、その利用者端末12が無線通信している位置認証端末14の位置情報とみなすことにより、ユーザIDと、利用者端末12の位置、および、その位置にあった時刻をデータエントリとして位置情報データベース86に記録することができる。
【0053】
図10に示すフローチャートのうち、S6乃至S8を所定の間隔で反復実行することにより、位置情報データベース86には、利用者端末12の位置を時間経過に伴って記録することができる。
【0054】
図11に移って、S11においては、利用者端末12の入力装置などを用いて、ユーザによりユーザIDとパスワードからなるユーザ認証情報が入力される。なお、図10に示すフローチャートに引き続いてS11が実行される場合においては、このS11の実行に代えて、図10のS2において入力されたユーザ認証情報が用いられてもよい。
【0055】
S12は、利用者端末12のサービス認証情報取得部56などに対応するものであって、S11もしくはS2において入力されたユーザ認証情報が、認証サーバ22のサービス認証情報発行部80に送信される。
【0056】
S13は、サービス認証情報発行部80などに対応するものであって、S12において送信されたユーザ認証情報がユーザ認証部74に送信される。
【0057】
S14は、ユーザ認証部74などに対応するものであって、S13において送信されたユーザ認証情報の認証が行われる。この認証は、前述のS4と同様の手順によって実行される。認証が行われると、サービス認証情報発行部80に対して認証完了の通知がなされる。この認証完了の通知は、ユーザ認証、すなわち、ユーザIDとパスワードとの組み合わせについて正当なものであったという判断結果に対応したものである。
【0058】
S15は、サービス認証情報発行部80などに対応するものであって、S14において発行された認証情報を位置認証部78に対して送信し、位置情報を用いた認証を要求する。
【0059】
S16乃至S20は位置認証部78などに対応する。このうち、S16においては、S15において位置認証部78に送信されたユーザ情報に基づいて、当該ユーザ情報に該当する利用者の最新の位置情報の問い合わせを、位置情報データベース86に行う。S17においては、S16における問い合わせに対する回答が、位置情報データベース86から位置認証部に送信される。これにより、S12における利用者情報に対応する利用者の位置についての情報が得られる。
【0060】
S18においては、S15において位置認証部78に送信されたユーザ情報に基づいて、当該ユーザ情報に該当する利用者についての、アプリケーションサーバ26を利用することが予め許可された位置についての情報の問い合わせを、位置情報認証データベース88に行う。S19においては、S18における問い合わせに対する回答が、位置情報認証データベース88から位置認証部に送信される。これにより、S12における利用者情報に対応する利用者がアプリケーションサーバ26を利用することのできる位置についての情報が得られる。
【0061】
S20においては、S17において得られた利用者の最新の位置と、S19において得られた、その利用者がアプリケーションサーバ26を利用することができる位置とが一致するか否かの判断が行われる。両者が一致した場合には、認証が成立された旨の判断がされ、その利用者にアプリケーションサーバ26の利用を許可するための認証情報が発行され、サービス認証情報発行部80に送信される。なお、図7におけるユーザ1の例で示すように、利用することのできるアプリケーションサーバ26である「サーバA」および「サーバB」のそれぞれについて、異なる許可位置である「位置認証端末01」および「位置認証端末02」が設定されている場合には、位置情報データベース86から得られたユーザ1の位置に応じて利用可能なアプリケーションサーバ26が決定される。すなわち、ユーザ1が「位置認証端末01」にあれば「サーバA」の利用許可が、また、「位置認証端末02」にあれば「サーバB」の利用許可がなされる。
【0062】
S21乃至S22はサービス認証情報発行部80などに対応する。このうち、S21においては、S12において送信された利用者情報に係る利用者について、S20においてアプリケーションサーバ26を利用するための認証情報が発行されたことに基づいて、アプリケーションサーバ26を利用するためのサービス認証情報をSSO認証データベース90に問い合わせる。
【0063】
S22においては、S21における問い合わせの回答として、当該利用者のサービス認証情報がサービス認証情報発行部80に送信される。このサービス認証情報は、アプリケーションサーバ26を利用する際に行われる認証のための情報であって、たとえば、当該利用者がアプリケーションサーバ26を利用するために入力するユーザIDおよびパスワードの組み合わせである。このとき、利用可能なアプリケーションサーバ26が複数該当すると判断された場合には、それら複数の利用可能なアプリケーションサーバ26についてのサービス認証情報が発行される。
【0064】
S23はサービス認証情報発行部80などに対応するもので、S22で得られたサービス認証情報を利用者端末12のサービス認証情報取得部56に送信する。
【0065】
なお、S16乃至S23は、前記サービス切断実行部59からの要求に伴って、たとえば30秒ごとのような所定の間隔で繰り返し実行される。認証サーバ22におけるこの繰り返し作動がログイン状態確認部82に対応する。繰り返しの過程において、利用者端末12の位置が、アプリケーションサーバ26を利用することのできる位置でなくなったことがS20において判断された場合(認証不成立)には、S22およびS23の実行に代えて、それまでのフローチャートの実行過程においてS22で発行されたサービス認証情報を無効にするため、利用者端末12をアプリケーションサーバ26から強制的にログオフさせたり、あるいは、アプリケーションサーバ26に保存されている利用者端末12とのセッション情報を削除するための命令が発行される。あるいは、利用者端末12の位置がアプリケーションサーバ26を利用することのできる位置に継続して存在している場合には、S16乃至S23の反復実行に伴って、利用者端末12はサービス認証情報を一定期間ごとに受け取ることとなる一方、認証サーバ22との通信が途切れた場合にはサービス認証情報を受け取ることができなくなる。このように、利用者端末がサービス認証情報を無効にする情報を受け取った場合や、たとえば前述のフローチャートの実行間隔の数倍程度の時間においてサービス認証情報の受信がなかった場合には、利用者端末12はアプリケーションサーバ26の利用資格を失ったものと判断して、既に開始していたアプリケーションサーバ26との接続を切断することができる。これらの作動は、前述のサービス切断実行部59に対応する。
【0066】
S24乃至S25は、利用者端末12におけるステップである。S24はサービス認証情報取得部56などに対応し、S23で受信したサービス認証情報をサービス認証要求部58に渡す。S25はサービス認証要求部58などに対応し、S24において受け渡されたサービス認証情報をアプリケーションサーバ26のサービス認証部94に送信することで、アプリケーションサーバ26による認証を要求する。このとき、利用者の選択により複数のアプリケーションサーバ26のうち、利用したいアプリケーションサーバ26に対し、接続を試みる。
【0067】
なお、S23において発行された各アプリケーションサーバ26のサービス認証情報において、利用者が利用したいアプリケーションサーバ26のものがなかった場合には、利用者が少なくともその位置においてはアプリケーションサーバ26の利用権限を有さないものとされ、アプリケーションサーバ26の利用をすることができない。
【0068】
アプリケーションサーバ26においては、フローチャートにおける図示を省略するが、そのサービス認証部94により、S25により受信したサービス認証情報が適切なものであるか否かが判断される。そして、サービス認証情報が適切なものであった場合には、アプリケーション提供部96による利用者端末12へのアプリケーションの提供が許可される。
【0069】
ここで、S23においてサービス認証情報取得部56が受信したサービス認証情報は、利用者端末12の内部において、サービス認証情報取得部56からサービス認証部58に受け渡されるので、サービス認証情報を画面に表示させたり、あるいは、利用者端末12を操作する利用者が自ら入力する必要がなく、そのため、その内容を利用者の目に触れさせないことが可能となる。
【0070】
本実施例の認証システム10によれば、位置認証部78により、ユーザ情報送信部54やユーザ・位置情報送信部64から送信された利用端末の位置に関する情報およびユーザ識別情報と、位置情報認証データベース88に記憶された情報とに基づいて、前記利用者があらかじめ設定されたアプリケーションサーバ26の利用可能位置にあるかが判定され、位置認証部78により前記利用者が前記利用可能位置にあると判定された場合には、ユーザ認証部74により、ユーザ情報送信部54やユーザ・位置情報送信部64から送信された利用者の識別情報および位置情報認証データベース88に記憶された情報に基づいて前記利用者のサービスの利用資格の有無が判定される。そのため、予め決定された利用可能位置に対応する場所のみにおいて、利用者は利用者端末12からアプリケーションサーバ26を利用することができ、逆に言えば、予め決定された利用可能位置以外の場所では、利用者は利用者端末12からアプリケーションサーバ26を利用することができず、ネットワーク30を介してアプリケーションサーバ26を利用する際のセキュリティが向上する。
【0071】
また、前述の実施例に係る認証システム10によれば、位置情報認証データベース88は、複数のアプリケーションサーバ26のそれぞれについて、利用者の利用資格についての情報である利用者情報を利用者ごとに記憶するものであり、ユーザ認証部74は、それら複数のアプリケーションサーバ26のそれぞれについて、前記利用者の利用資格の有無を判定するので、複数のサービスが提供される場合においてその複数のサービスのそれぞれについて利用資格の有無を判定できる。すなわち、複数のアプリケーションサーバ26の利用資格を有する利用者について、各アプリケーションサーバ26ごとに利用可能な位置を異ならせることができる。
【0072】
また、前述の実施例に係る認証システム10によれば、前記複数のアプリケーションサーバ26のそれぞれについて前記利用者を利用可能な状態にするためのサービス認証情報を送信するサービス認証情報発行部80を有するので、アプリケーションサーバ26について利用者を利用可能な状態にするための情報を予め利用者が保持しないことから、セキュリティの向上が図れる。すなわち、いわゆるシングルサインオンを実現できる。
【0073】
また、前述の実施例に係る認証システム10によれば、利用者端末12の位置、すなわち、位置認証端末14の位置に関する情報は、位置認証端末14にあらかじめ一意に付与された位置固定端末の識別情報であり、位置情報認証データベース88は、前記利用者が認証可能な位置についての情報を、前記利用者の識別情報と前記位置固定端末識別情報との組み合わせとして記憶しているので、位置認証端末14の位置情報記憶部62における情報は、事前に付与したものとなり、その後の改竄を防止することができる。
【0074】
続いて、本発明の他の実施例を図面に基づいて詳細に説明する。以下の説明において、実施例相互に共通する部分については同一の符号を付してその説明を省略する。
【実施例2】
【0075】
図12は、本発明の認証システム10の別の実施例であって、前述の実施例1における位置認証端末14の別の態様を説明する図である。図10において、位置認証端末114は、前述の位置情報記憶部62、ユーザ・位置情報送信部64、無線通信部66に加えて、測位部61を有する点において、位置認証端末14と異なる。
【0076】
測位部61は、自身の位置を測位するものであって、たとえば公知のGPS(Global Positioning System)を利用して、複数の衛星からの電波を受信して、それらの到達時間差に基づいて緯度経度を算出するものである。測位部61により測位された位置認証端末114の位置についての情報は、位置情報記憶部62に渡され、記憶される。
【0077】
このようにすれば、管理者が一つ一つの位置認証端末114に予めその位置情報を入力する必要がなくなり、手間が軽減される。
【0078】
また、前述の実施例に係る認証システム10によれば、前記利用者端末12の位置、すなわち、位置認証端末14の位置に関する情報は、前記位置認証端末14利用端末の位置を測位する測位部61によって得られる位置情報であるので、自動的に位置認証端末14利用端末の位置を取得され、位置情報記憶部62に記憶することができる。
【実施例3】
【0079】
図13および図14はそれぞれ、位置情報認証データベース88、および、SSO認証データベース90に格納される情報の別の例を示す図である。図13および図14はそれぞれ前述の実施例1における図7および図8に対応する。
【0080】
図13に示すように、本実施例の位置情報認証データベース88には、各利用者のそれぞれについて、アプリケーションサーバ26の利用が許可されている位置(許可位置)についての情報が記憶されており、特に利用者がアプリケーションサーバ26において異なる複数の権限を有する場合には、その権限ごとに許可位置についての情報が記憶されている。具体的には、位置情報認証データベース88は、ユーザID、対象となるアプリケーションサーバ26を特定する情報、および、そのアプリケーションサーバ26における利用権限の種類と、それに対応する許可位置についての情報が記憶される。図13は、位置情報認証データベース88に記憶される情報の一例を表形式で示したものである。図13には、利用者「ユーザ1」がアプリケーションサーバ「サーバA」を利用権限「一般利用者」で利用する場合には、位置「位置認証端末01」または「位置認証端末03」のいずれかにあればよい一方、また、「ユーザ1」が「サーバA」を利用権限「管理者」として利用する場合には位置「位置情報端末01」にある必要があることなどを示している。
【0081】
また、図14に示すように、本実施例のSSO認証データベース90には、各利用者のそれぞれについて、ユーザ認証を行うための、ユーザIDとパスワード(もしくはそのハッシュ値など、パスワードと一対一に対応するもの)、および、ユーザ認証が成立した場合のアプリケーションサーバ26を利用するための認証情報をそのアプリケーションサーバ26の利用権限ごとに記憶する。具体的には、図14に示すように、利用者「ユーザ1」のユーザ認証を行うためのパスワードハッシュ値と、ユーザ1がアプリケーションサーバ「サーバA」を利用権限「一般利用者」で利用するためのアプリケーションサーバ26のユーザIDとパスワードと、「ユーザ1」が「サーバA」を利用権限「管理者」で利用する場合のユーザIDとパスワードなどが格納された例を示している。
【0082】
本実施例の認証システム10によれば、利用者がアプリケーションサーバ26に対して複数の異なるレベルの利用権限を有する場合に、それら利用権限ごとに利用可能位置を設定することができる。すなわち、利用者端末12の出力装置(ディスプレイなど)に機密が表示されるなど、特に注意を払う必要がある利用態様などについて、セキュリティが担保された場所のみでアプリケーションサーバ26にアクセスすることを許容するなどの態様が可能となる。
【0083】
以上、本発明の実施例を図面に基づいて詳細に説明したが、本発明はその他の態様においても適用される。
【0084】
例えば、記憶装置24は前述の実施例においては、ネットワーク30に接続される形態が採用されたが、かかる態様に限定されず、認証サーバ22に読み書き可能に接続されていればよく、認証サーバ22や他のコンピュータなどを介してネットワークに接続されていてもよいし、認証サーバ22の内部にストレージデバイスとして設けられてもよい。
【0085】
前述の実施例においては、利用者端末12、位置認証デバイス14、および、アクセスポイント16との通信は相互に無線によって行われ、その無線通信における通信可能距離を、位置認証端末14と利用者端末12とが同一場所にあるとみなせる程度の仕様とすることが好ましい。しかしながら、かかる態様に限られず、たとえば、アクセスポイント16と位置認証端末14との通信、および、アクセスポイント16と利用者端末12との通信には比較的電波到達距離の長いIEEE 802.11などのような無線LAN規格を採用する一方、位置認証端末14と利用者端末12との直接通信は、Bluetoothのような比較的到達距離の短い規格に限定することもできる。
【0086】
また、アクセスポイント16と位置認証装置14、アクセスポイント16と利用者端末12との通信は、公衆携帯電話網によって接続されてもよい。かかる場合、アクセスポイント16は携帯電話の基地局に相当する。
【0087】
また、前述の実施例においては、利用者端末12と位置認証デバイス14とは、アクセスポイント16を介して無線により通信可能とされたが、かかる態様に限定されず、利用者端末12とアクセスポイント16、もしくは位置認証デバイス14とアクセスポイント16とが有線通信によって相互に通信可能とされてもよい。その場合も利用者端末12と位置認証デバイス14とは相互に無線により通信可能であって、その際の無線通信の規格や周波数、電波強度などが選択されることで、利用者端末と位置認証デバイス14とが同じ位置にあることとみなすことができる。
【0088】
また、前述の実施例においては、ユーザ認証情報は、たとえば、IDおよびパスワードが用いられたが、かかる態様に限られない。たとえば、指紋や静脈形状のような生体識別情報であってもよいし、あるいは、MACアドレスのような利用者端末に固有に付された符号を用いてもよい。
【0089】
また、前述の実施例においては、アクセスポイント16と位置認証端末14とは別個のハードウェアからなっていたが、これに限られず、両者が共通する1のハードウェアからなっていてもよい。
【0090】
位置認証装置14の位置情報記憶部62や、位置情報データベース86、位置情報認証データベース88などが記憶する位置情報は、予め位置認証装置14のそれぞれに付された、各位置認証装置14に固有の符号であったが、位置そのものを表す情報であってもよい。
【0091】
また、前述の実施例において、利用者端末12のサービス認証情報取得部56、サービス認証要求部58、および、認証サーバのサービス認証情報発行部80においては、いわゆるSSO(Single sign on)における代行入力方式に準じた振る舞いをするものとして説明したが、これに限られない。認証サーバ22における位置認証部78による認証が行われた後に、SSOにおけるリバースプロキシ方式やエージェント方式などに対応した情報のやりとりを利用者端末12と認証サーバ22との間で行うことも可能である。かかる場合においては、サービス認証情報発行部80(S23)によって発行されるサービス認証情報は、認証済みであることを示すCookieやトークンとなる。
【0092】
また、前述の実施例においては、位置認証デバイス14は14A、14B、14Cの3つを例示したが、これは一例に過ぎず、2つでも4以上であってもよいし、また、位置認証デバイス14が1つであって一定の効果を生ずる。同様に、アプリケーションサーバ26は2つの例が示されたが、この例に限定されず、3以上であってもよいし、1つでもよい。また、利用者端末12も1つの例が示されたが、同時に複数の利用者端末12が認証システム10に存在しても問題ない。
【0093】
また、前述の実施例においては、利用者端末12は単独の装置であって、ユーザ認証要求部52、ユーザ情報送信部54、サービス認証情報取得部56、および、サービス認証要求部58を備えていたが、このような態様に限定されない。たとえば、利用者端末12に代えて、ユーザ認証要求部52、ユーザ情報送信部54を備える端末と、サービス認証情報取得部56、および、サービス認証要求部58を備える端末との2つの端末であって、相互に、あるいは、他の位置認証デバイス14やアクセスポイント16などと通信可能な端末として設けられてもよい。
【0094】
また、前述の実施例において、利用者端末12が利用可能なアプリケーションサーバ26が複数用意されている場合には、たとえば利用者端末12を利用するユーザによる操作に応じて、予め利用したいアプリケーションサーバ26が指定された上で、利用者端末12のサービス認証情報取得部56は、認証サーバ22に対して前記利用したいアプリケーションサーバ26のサービス認証情報を要求するようにしてもよい。
【0095】
また、前述の実施例において、図11のフローチャートに示す一連の工程は、S11乃至S25が順次実行されたが、必ずしもそのような態様に限定されない。具体的にはたとえば、少なくとも初回の実行時には、図11のS11乃至S25が実行される。一度S14において認証完了の通知がなされると、その旨を示すユーザ認証完了情報が認証サーバ22から利用者端末12に送信され、利用者端末12に保存される。その後、一旦利用が終了した後に再度アプリケーションサーバ26を利用するため、あるいは、前記初回の実行時とは異なるアプリケーションサーバ26の利用のために、図11のフローチャートが実行される場合には、S11乃至S14の工程に代えて、利用者端末12が有効な前記ユーザ認証完了情報を保有していることを認証サーバ22が確認し、図11のフローチャートのうちS15以降の工程を実行することも可能である。ここで、前記ユーザ認証完了情報とは、たとえばCookieのような形態で送信、保存されるので、ユーザ認証完了情報に有効期限を設けたり、あるいは、前述のサービス切断実行部59により削除されたりすることが可能である。このように、利用者端末12が有効な前記ユーザ認証完了情報を保有していることで、S11乃至S14の工程を省略しても、利用者(ユーザ)が認証された状態を担保できる。
【0096】
また、前述の実施例においては、ログイン状態確認部82は、サービス切断実行部59からの問い合わせに応じて利用者の位置認証が成立しているかの判断を行ったが、かかる態様に限られない。たとえば、一定の時間間隔で利用者の位置認証が成立しているかの判断を行ってもよい。
【0097】
また、前述の実施例においては、サービス切断実行部59による作動は、利用者端末12をログアウトさせたり、アプリケーションサーバ26に保存されている利用者端末12とのセッション情報を削除させることであったが、これに代えて、たとえば、サービス認証情報発行部80(S23)によって発行されるサービス認証情報としてのCookieやトークン、あるいは、ユーザ認証完了情報としてのCookieを削除することであってもよい。
【0098】
なお、上述したのはあくまでも一実施形態であり、本発明は当業者の知識に基づいて種々の変更、改良を加えた態様で実施することができる。
【符号の説明】
【0099】
10:認証システム
12:利用者端末
14:位置認証端末
22:認証サーバ
24:記憶装置
26:アプリケーションサーバ
54:ユーザ情報送信部(利用者端末12の送信部)
61:測位部
64:ユーザ・位置情報送信部64(位置認証端末14の送信部)
74:ユーザ認証部(利用資格認証部)
78:位置認証部(位置認証部)
80:サービス認証情報発行部(サービス認証情報送信部)
88:位置情報認証データベース(利用可能位置データベース)
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.