知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-01-09
(45)【発行日】2024-01-17
(54)【発明の名称】情報処理システム、情報処理装置及びプログラム
(51)【国際特許分類】
G06F 21/45 20130101AFI20240110BHJP
H04L 9/08 20060101ALI20240110BHJP
【FI】
G06F21/45
H04L9/08 F
【請求項の数】
3
(21)【出願番号】P 2020028308
(22)【出願日】2020-02-21
(65)【公開番号】P2021131821
(43)【公開日】2021-09-09
【審査請求日】2023-01-20
(73)【特許権者】
【識別番号】000005496
【氏名又は名称】富士フイルムビジネスイノベーション株式会社
(74)【代理人】
【識別番号】110000752
【氏名又は名称】弁理士法人朝日特許事務所
(72)【発明者】
【氏名】柳田 博史
【審査官】吉田 歩
(56)【参考文献】
【文献】特開2019-176369(JP,A)
【文献】国際公開第2020/031428(WO,A1)
【文献】特開2019-101504(JP,A)
【文献】米国特許出願公開第2018/0053005(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/45
H04L 9/08
(57)【特許請求の範囲】
【請求項1】
第1ユーザを認証する認証機能を有する第1認証端末と、第2ユーザを認証する認証機能を有する第2認証端末と、
自装置を認証する認証機能を有するデバイスと、
認証サーバとを備え、
前記認証サーバは、
前記第1ユーザの操作に基づき前記第1認証端末で生成された暗号化キー及び復号化キーのうち当該復号化キーを登録し、
前記デバイスを介して前記第1認証端末を用いた認証が要求されると、前記第1認証端末で生成されて登録された前記復号化キーを用いて前記第1ユーザを認証して、当該デバイスで生成された暗号化キー及び復号化キーのうち当該復号化キーを登録し、
前記デバイスを介して前記第2認証端末で生成された暗号化キー及び復号化キーのうち当該復号化キーの登録が要求されると、当該デバイスで生成された前記復号化キーが登録されている場合には、前記第2認証端末で生成された前記復号化キーを登録し、
前記第2認証端末を用いた認証が要求されると、当該第2認証端末で生成された前記復号化キーが登録されている場合には、当該復号化キーを用いて前記第2ユーザを認証する情報処理システム。
【請求項2】
第1ユーザを認証する認証機能を有する第1認証端末で生成された暗号化キー及び復号化キーのうち当該復号化キーを前記第1ユーザの操作に基づき登録する第1登録部と、自装置を認証する認証機能を有するデバイスを介して前記第1認証端末を用いた認証が要求されると、前記第1認証端末で生成されて登録された前記復号化キーを用いて前記第1ユーザを認証して、当該デバイスで生成された暗号化キー及び復号化キーのうち当該復号化キーを登録する第2登録部と、
第2ユーザを認証する認証機能を有する第2認証端末で生成された暗号化キー及び復号化キーのうち当該復号化キーの登録が要求されると、当該デバイスで生成された前記復号化キーが登録されている場合には、前記第2認証端末で生成された前記復号化キーを登録する第3登録部と、
前記第2認証端末を用いた認証が要求されると、当該第2認証端末で生成された前記復号化キーが登録されている場合には、当該復号化キーを用いて前記第2ユーザを認証する認証部と
を備える情報処理装置。
【請求項3】
コンピュータを、第1ユーザを認証する認証機能を有する第1認証端末で生成された暗号化キー及び復号化キーのうち当該復号化キーを前記第1ユーザの操作に基づき登録する第1登録部と、
自装置を認証する認証機能を有するデバイスを介して前記第1認証端末を用いた認証が要求されると、前記第1認証端末で生成されて登録された前記復号化キーを用いて前記第1ユーザを認証して、当該デバイスで生成された暗号化キー及び復号化キーのうち当該復号化キーを登録する第2登録部と、
第2ユーザを認証する認証機能を有する第2認証端末で生成された暗号化キー及び復号化キーのうち当該復号化キーの登録が要求されると、当該デバイスで生成された前記復号化キーが登録されている場合には、前記第2認証端末で生成された前記復号化キーを登録する第3登録部と、
前記第2認証端末を用いた認証が要求されると、当該第2認証端末で生成された前記復号化キーが登録されている場合には、当該復号化キーを用いて前記第2ユーザを認証する認証部
として機能させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理システム、情報処理装置及びプログラムに関する。
【背景技術】
【0002】
特許文献1には、生体認証のための認証モジュールをもつユーザの携帯端末と通信できる画像処理装置が、携帯端末の有する認証モジュールを生体認証に利用して、サービス提供システムと連携する機器認証システムに認証トークンの発行を要求する技術が記載されている。
【先行技術文献】
【特許文献】
【0003】
【文献】特表2018-205906号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
例えば認証サーバに認証用の端末を登録しておくことで、登録された端末を用いて認証したユーザにサービスを提供する仕組みが知られている。この仕組みにおいて、認証用の端末を何の制限もなく登録させていると、例えば悪意を持ったユーザが認証用の端末を多数登録して不正にサービスを利用するということが起こり得る。
そこで、本発明は、認証用の端末の認証サーバへの登録を制限することを目的とする。
そこで、本発明は、認証用の端末の認証サーバへの登録を制限することを目的とする。
【課題を解決するための手段】
【0005】
請求項1に係る情報処理システムは、第1ユーザを認証する認証機能を有する第1認証端末と、第2ユーザを認証する認証機能を有する第2認証端末と、自装置を認証する認証機能を有するデバイスと、認証サーバとを備え、前記認証サーバは、前記第1ユーザの操作に基づき前記第1認証端末で生成された暗号化キー及び復号化キーのうち当該復号化キーを登録し、前記デバイスを介して前記第1認証端末を用いた認証が要求されると、前記第1認証端末で生成されて登録された前記復号化キーを用いて前記第1ユーザを認証して、当該デバイスで生成された暗号化キー及び復号化キーのうち当該復号化キーを登録し、前記デバイスを介して前記第2認証端末で生成された暗号化キー及び復号化キーのうち当該復号化キーの登録が要求されると、当該デバイスで生成された前記復号化キーが登録されている場合には、前記第2認証端末で生成された前記復号化キーを登録し、前記第2認証端末を用いた認証が要求されると、当該第2認証端末で生成された前記復号化キーが登録されている場合には、当該復号化キーを用いて前記第2ユーザを認証することを特徴とする。
【0007】
請求項2に係る情報処理装置は、第1ユーザを認証する認証機能を有する第1認証端末で生成された暗号化キー及び復号化キーのうち当該復号化キーを前記第1ユーザの操作に基づき登録する第1登録部と、自装置を認証する認証機能を有するデバイスを介して前記第1認証端末を用いた認証が要求されると、前記第1認証端末で生成されて登録された前記復号化キーを用いて前記第1ユーザを認証して、当該デバイスで生成された暗号化キー及び復号化キーのうち当該復号化キーを登録する第2登録部と、第2ユーザを認証する認証機能を有する第2認証端末で生成された暗号化キー及び復号化キーのうち当該復号化キーの登録が要求されると、当該デバイスで生成された前記復号化キーが登録されている場合には、前記第2認証端末で生成された前記復号化キーを登録する第3登録部と、前記第2認証端末を用いた認証が要求されると、当該第2認証端末で生成された前記復号化キーが登録されている場合には、当該復号化キーを用いて前記第2ユーザを認証する認証部とを備えることを特徴とする。
【0008】
請求項3に係るプログラムは、コンピュータを、第1ユーザを認証する認証機能を有する第1認証端末で生成された暗号化キー及び復号化キーのうち当該復号化キーを前記第1ユーザの操作に基づき登録する第1登録部と、自装置を認証する認証機能を有するデバイスを介して前記第1認証端末を用いた認証が要求されると、前記第1認証端末で生成されて登録された前記復号化キーを用いて前記第1ユーザを認証して、当該デバイスで生成された暗号化キー及び復号化キーのうち当該復号化キーを登録する第2登録部と、第2ユーザを認証する認証機能を有する第2認証端末で生成された暗号化キー及び復号化キーのうち当該復号化キーの登録が要求されると、当該デバイスで生成された前記復号化キーが登録されている場合には、前記第2認証端末で生成された前記復号化キーを登録する第3登録部と、前記第2認証端末を用いた認証が要求されると、当該第2認証端末で生成された前記復号化キーが登録されている場合には、当該復号化キーを用いて前記第2ユーザを認証する認証部として機能させるためのものであることを特徴とする。
【発明の効果】
【0009】
請求項1-3に係る発明によれば、認証用の端末の認証サーバへの登録を制限することができる。
【図面の簡単な説明】
【0010】
【図1】実施例に係る認証登録支援システムの全体構成を表す図
【図2】サーバ装置のハードウェア構成を表す図
【図3】登録用デバイスのハードウェア構成を表す図
【図4】ユーザ端末のハードウェア構成を表す図
【図5】認証機器のハードウェア構成を表す図
【図6】認証登録支援システムにおいて実現される機能構成を表す図
【図7】管理ユーザの登録処理における動作手順の一例を表す図
【図8】管理認証機器の登録処理における動作手順の一例を表す図
【図9】管理ユーザのログイン処理における動作手順の一例を表す図
【図10】登録用デバイスの登録処理における動作手順の一例を表す
【図11】一般ユーザの登録処理における動作手順の一例を表す図
【図12】一般認証機器の登録処理における動作手順の一例を表す図
【図13】一般ユーザのログイン処理における動作手順の一例を表す図
【発明を実施するための形態】
【0011】
[1]実施例
図1は実施例に係る認証登録支援システム1の全体構成を表す。認証登録支援システム1は、認証機能の登録を支援するための処理を行うシステムであり、本発明の「情報処理システム」の一例である。認証機能とは、ユーザ毎の固有の情報に基づいてユーザを認証する機能のことである。
図1は実施例に係る認証登録支援システム1の全体構成を表す。認証登録支援システム1は、認証機能の登録を支援するための処理を行うシステムであり、本発明の「情報処理システム」の一例である。認証機能とは、ユーザ毎の固有の情報に基づいてユーザを認証する機能のことである。
【0012】
認証機能により認証されたユーザに対しては、例えばそのユーザが利用登録しているサービスが提供される。認証登録支援システム1においては、認証機能も登録されるようになっており、登録されている認証機能により認証されたユーザにはサービスが提供されるが、登録されていない認証機能により認証されたユーザにはサービスが提供されない。
【0013】
認証登録支援システム1は、通信回線2と、サーバ装置10と、登録用デバイス20と、管理ユーザ端末30と、管理認証機器40と、一般ユーザ端末50と、一般認証機器60とを備える。通信回線2は、移動体通信網及びインターネット等を含む通信システムであり、自システムにアクセスする装置同士のデータのやり取りを中継する。通信回線2には、サーバ装置10及び登録用デバイス20が有線通信で、その他の装置が無線通信でアクセスしている。なお、通信回線2へのアクセスは有線でも無線でもよい。
【0014】
サーバ装置10は、認証機能の登録、認証機能による認証、ユーザの登録及びサービスの提供に関する処理を行う。サーバ装置10は、登録された認証機能を用いた認証を行う装置であり、本発明の「認証サーバ」の一例である。登録用デバイス20は、認証機能の登録に用いられる装置であり、本発明の「デバイス」の一例である。登録用デバイス20自身も自装置を認証する認証機能を有しており、この認証機能も登録の対象となる。
【0015】
管理ユーザ端末30は、管理ユーザによって利用される端末である。管理ユーザとは、認証登録支援システム1の管理を行う利用者のことであり、認証機能の登録の操作等を行う。管理認証機器40は、管理ユーザを認証する認証機能を有する端末である。管理認証機器40は、管理ユーザ端末30及び登録用デバイス20とP2P(Peer to Peer)で無線通信を行う通信効能を有する。管理ユーザは本発明の「第1ユーザ」の一例であり、管理認証機器40は本発明の「第1認証端末」の一例である。
【0016】
一般ユーザ端末50は、一般ユーザによって利用される端末である。一般認証機器60は、一般ユーザを認証する認証機能を有する端末である。一般ユーザとは、認証登録支援システム1の一般的な利用者のことであり、自身の利用登録の操作及び登録したサービスを利用する操作等を行う。一般認証機器60は、一般ユーザ端末50及び登録用デバイス20とP2Pで無線通信を行う通信効能を有する。一般ユーザは本発明の「第2ユーザ」の一例であり、一般認証機器60は本発明の「第2認証端末」の一例である。
【0017】
管理認証機器40及び一般認証機器60は、例えば、ユーザの指紋や虹彩などを用いた生体認証等を行う認証機能を有する。なお、認証機器が有する認証機能は生体認証に限らず、パスワード等のユーザのみが知っているはずの情報を用いた知識認証又はワンタイムパスワードを発行するトークン等のユーザのみが持っているはずの物を用いた所有物認証等であってもよい。
【0018】
図2はサーバ装置10のハードウェア構成を表す。サーバ装置10は、プロセッサ11と、メモリ12と、ストレージ13と、通信装置14とを備えるコンピュータである。プロセッサ11は、例えば、CPU(=Central Processing Unit)等の演算装置、レジスタ及び周辺回路等を有する。プロセッサ11は本発明の「プロセッサ」の一例である。メモリ12は、プロセッサ11が読み取り可能な記録媒体であり、RAM(=Random Access Memory)及びROM(=Read Only Memory)等を有する。
【0019】
ストレージ13は、プロセッサ11が読み取り可能な記録媒体であり、例えば、ハードディスクドライブ又はフラッシュメモリ等を有する。プロセッサ11は、RAMをワークエリアとして用いてROMやストレージ13に記憶されているプログラムを実行することで各ハードウェアの動作を制御する。通信装置14は、アンテナ及び通信回路等を有し、通信回線2を介した通信を行う通信手段である。
【0020】
図3は登録用デバイス20のハードウェア構成を表す。登録用デバイス20は、プロセッサ21と、メモリ22と、ストレージ23と、通信装置24と、UI装置25(UI=User Interface)と、画像処理装置26と、デバイス認証装置27とを備えるコンピュータである。プロセッサ21から通信装置24までは、図2に表すプロセッサ11から通信装置14までと同種のハードウェアである。
【0021】
UI装置25は、自装置を利用するユーザに対して提供されるインターフェースである。UI装置25は、例えば、表示手段であるディスプレイと、ディスプレイの表面に設けられたタッチパネルとを有するタッチスクリーンを有し、画像を表示すると共に、ユーザからの操作を受け付ける。また、UI装置25は、タッチスクリーン以外にも、キーボード等の操作子を有し、それらの操作子への操作を受け付ける。
【0022】
画像処理装置26は、画像の読み取り及び画像の形成等の画像処理を行う装置である。デバイス認証装置27は、自装置(登録用デバイス20)を認証する装置である。デバイス認証装置27は、例えば、生体認証ではなく予め記憶された自装置に固有の認証キー等によって自装置を認証する。なお、デバイス認証装置27が行う認証の方式は認証キーによるもの以外であってもよい。
【0023】
図4はユーザ端末のハードウェア構成を表す。ユーザ端末とは、管理ユーザ端末30及び一般ユーザ端末50のことである。ユーザ端末は、プロセッサ31と、メモリ32と、ストレージ33と、通信装置34と、UI装置35とを備えるコンピュータである。プロセッサ31からUI装置35までは、図3に表すプロセッサ21からUI装置25までと同種のハードウェアである。
【0024】
図5は認証機器のハードウェア構成を表す。認証機器とは、管理認証機器40及び一般認証機器60のことである。認証機器は、プロセッサ41と、メモリ42と、ストレージ43と、通信装置44と、UI装置45と、認証装置46とを備えるコンピュータである。プロセッサ41からUI装置45までは、図3に表すプロセッサ21からUI装置25までと同種のハードウェアである。
【0025】
認証装置46は、上述した認証機能を実現する装置である。認証装置46は、例えば、生体認証を行う場合であれば、指紋又は虹彩等を検出し、予め記憶しておいたユーザの指紋又は虹彩等のパターンとの類似度が閾値以上である場合にユーザを認証する。なお、認証装置46は、生体認証以外の方式の認証(知識認証又は所有物認証等)を行う装置であってもよい。
【0026】
認証登録支援システム1においては、上記の各装置のプロセッサがプログラムを実行して各部を制御することで、以下に述べる各機能が実現される。各機能が行う動作は、その機能を実現する装置のプロセッサが行う動作としても表される。
図6は認証登録支援システム1において実現される機能構成を表す。サーバ装置10は、認証部101と、登録部102と、サービス提供部103とを備える。
図6は認証登録支援システム1において実現される機能構成を表す。サーバ装置10は、認証部101と、登録部102と、サービス提供部103とを備える。
【0027】
登録用デバイス20は、I/F部201と、認証処理部202と、登録処理部203とを備える。管理ユーザ端末30は、I/F部301を備える。管理認証機器40は、認証処理部401と、登録処理部402とを備える。一般ユーザ端末50は、I/F部501を備える。一般認証機器60は、認証処理部601と、登録処理部602とを備える。
【0028】
登録用デバイス20のI/F部201は、登録用デバイス20を利用するユーザへのインターフェースになる画面を表示し、そのユーザの操作を受け付ける。管理ユーザ端末30のI/F部301は、管理ユーザへのインターフェースになる画面を表示し、管理ユーザの操作を受け付ける。一般ユーザ端末50のI/F部501は、一般ユーザへのインターフェースになる画面を表示し、一般ユーザの操作を受け付ける。各I/F部は、例えば、ブラウザの画面をインターフェース画面として表示する。
【0029】
管理認証機器40の認証処理部401は、管理ユーザを認証するための認証処理を行う。一般認証機器60の認証処理部601は、一般ユーザを認証するための認証処理を行う。各認証処理部は、図5に表す認証装置46を制御して、例えばユーザの指紋又は虹彩等の生体情報と自装置に予め記憶されているパターンとの類似度を算出し、類似度が閾値以上である場合にユーザを認証する。
【0030】
管理認証機器40の登録処理部402は、自装置の認証機能を登録するための登録処理を行う。一般認証機器60の登録処理部602は、自装置の認証機能を登録するための登録処理を行う。各登録処理部は、データを暗号化する鍵である暗号鍵と、暗号鍵で暗号化されたデータを復号化する公開鍵とを生成する処理と、生成した公開鍵の登録をサーバ装置10に要求する処理とを登録処理として行う。
【0031】
登録用デバイス20の認証処理部202は、自デバイス(登録用デバイス20)を認証するための認証処理を行う。認証処理部202は、図3に表すデバイス認証装置27を制御して、自装置に固有の認証キー等によって自装置を認証する。登録処理部203は、自装置の認証機能を登録するための登録処理を行う。登録処理部203は、登録処理部402等と同様に、暗号鍵及び公開鍵を生成する処理と、生成した公開鍵の登録をサーバ装置10に要求する処理とを登録処理として行う。
【0032】
サーバ装置10の認証部101は、上述した各I/F部(I/F部201、I/F部301及びI/F部501)からの要求に基づいて、登録用デバイス20、管理ユーザ及び一般ユーザを認証する。サーバ装置10の登録部102は、上述した各I/F部からの要求に基づいて、登録用デバイス20、管理ユーザ端末30及び一般ユーザ端末50が備える認証機能を登録する。
【0033】
認証部101は、認証を要求してきた要求元(登録用デバイス20、管理ユーザ端末30及び一般ユーザ端末50のいずれか)の認証機能が登録部102により登録されている場合に、要求された認証を行う。サーバ装置10のサービス提供部103は、一般ユーザ端末50を介して認証を要求してきた一般ユーザが認証された場合に、その一般ユーザに対して一般ユーザ端末50を介してサービスを提供する。
【0034】
認証登録支援システム1が備える各装置は、上記の構成により、認証機能の登録を支援するための登録支援処理を行う。登録支援処理について図7~図13を参照して説明する。
図7は管理ユーザの登録処理における動作手順の一例を表す。この動作手順は、管理ユーザ端末30及びサーバ装置10によって行われる。まず、管理ユーザ端末30(I/F部301)は、管理ユーザを登録するための登録画面を表示する(ステップS11)。
図7は管理ユーザの登録処理における動作手順の一例を表す。この動作手順は、管理ユーザ端末30及びサーバ装置10によって行われる。まず、管理ユーザ端末30(I/F部301)は、管理ユーザを登録するための登録画面を表示する(ステップS11)。
【0035】
次に、管理ユーザ端末30(I/F部301)は、登録画面で入力された管理ユーザ情報をサーバ装置10に送信する(ステップS12)。管理ユーザ情報は、例えば、テナント名、ユーザ名及びパスワードである。テナント名とは、サーバ装置10へのアクセス権限を有するユーザのグループの名称である。サーバ装置10(登録部102)は、送信されてきた管理ユーザ情報を記憶することで、管理ユーザを登録する(ステップS13)。
【0036】
図8は管理認証機器40の登録処理における動作手順の一例を表す。この動作手順は、管理ユーザ端末30、管理認証機器40及びサーバ装置10によって行われる。まず、管理ユーザ端末30(I/F部301)は、管理認証機器40を登録するための登録画面として、管理ユーザのユーザ名とパスワードを入力する画面を表示する(ステップS21)。次に、管理ユーザ端末30(I/F部301)は、登録画面で入力されたユーザ名とパスワードをサーバ装置10に送信する(ステップS22)。
【0037】
サーバ装置10(認証部101)は、送信されてきたユーザ名とパスワードが登録されている場合に管理ユーザを認証する(ステップS23)。次に、サーバ装置10(登録部102)は、認証された管理ユーザの認証機器の公開鍵を要求する鍵要求データを管理ユーザ端末30に送信する(ステップS24)。管理ユーザ端末30(I/F部301)は、送信されてきた鍵要求データを管理認証機器40に転送する(ステップS25)。
【0038】
管理認証機器40(認証処理部401、登録処理部402)は、送信されてきた鍵要求データが示す要求を受けて、暗号鍵と公開鍵のペアを生成する(ステップS26)。暗号鍵とはデータを暗号化する際に用いる鍵であり、公開鍵とは暗号鍵により暗号化されたデータを復号化する際に用いられる鍵である。管理認証機器40(認証処理部401)は、生成した暗号鍵を、サーバ装置10の識別情報及び管理ユーザのユーザIDに対応付けて記憶しておく。次に、管理認証機器40(登録処理部402)は、生成された公開鍵を管理ユーザ端末30に送信する(ステップS27)。
【0039】
管理ユーザ端末30(I/F部301)は、送信されてきた公開鍵をサーバ装置10に転送する(ステップS28)。サーバ装置10(登録部102)は、送信されてきた公開鍵を管理ユーザのユーザIDに対応付けて記憶することで、管理認証機器40の公開鍵を登録する(ステップS29)。サーバ装置10は、以上のとおり公開鍵を登録することで、その公開鍵を生成した管理認証機器40の認証機能を管理ユーザの操作に基づき登録する。
【0040】
図9は管理ユーザのログイン処理における動作手順の一例を表す。この動作手順は、管理ユーザ端末30、管理認証機器40及びサーバ装置10によって行われる。まず、管理ユーザ端末30(I/F部301)は、管理ユーザをログインさせるためのログイン画面として、管理ユーザのユーザ名とパスワードを入力する画面を表示する(ステップS31)。次に、管理ユーザ端末30(I/F部301)は、登録画面で入力されたユーザ名とパスワードをサーバ装置10に送信する(ステップS32)。
【0041】
サーバ装置10(認証部101)は、送信されてきたユーザ名とパスワードが登録されている場合に管理ユーザを認証し、認証した管理ユーザの認証機器による認証を要求する認証要求データを管理ユーザ端末30に送信する(ステップS33)。この認証要求データには、後程暗号化されるコードが含まれている。管理ユーザ端末30(I/F部301)は、送信されてきた認証要求データを管理認証機器40に転送する(ステップS34)。
【0042】
管理認証機器40(認証処理部401)は、送信されてきた認証要求データが示す要求を受けて、まず、管理ユーザを認証する(ステップS35)。管理認証機器40(認証処理部401)は、例えば、自装置が生体認証を行う場合であれば、管理ユーザの生体情報を読み取って、記憶している生体情報のパターンの類似度が閾値以上であれば管理ユーザの生体情報と判断して管理ユーザを認証する。
【0043】
管理認証機器40(認証処理部401)は、管理ユーザを認証すると、認証要求データが示すコードを自装置に記憶している暗号鍵を用いて暗号化し、暗号化データを生成する(ステップS36)。管理認証機器40(認証処理部401)は、生成した暗号化データを管理ユーザ端末30に送信する(ステップS37)。管理ユーザ端末30(I/F部301)は、送信されてきた暗号化データをサーバ装置10に転送する(ステップS38)。
【0044】
サーバ装置10(認証部101)は、送信されてきた暗号化データを、図8に表す登録処理で登録した管理認証機器40の公開鍵で復号化する(ステップS39)。サーバ装置10(認証部101)は、暗号化データをコードに復号化できた場合に管理ユーザを認証し(ステップS40)、トークンを発行して管理ユーザ端末30に送信する(ステップS41)。
【0045】
管理ユーザ端末30(I/F部301)は、送信されてきたトークンを保存する(ステップS42)。トークンとは、認証機器による認証を受けたユーザであることを示すデータである。例えば管理ユーザ端末30がサーバ装置10にトークンを送信することで、サーバ装置10は管理ユーザ端末30に対して認証が必要なサービスを提供するようになる。
【0046】
図10は登録用デバイス20の登録処理における動作手順の一例を表す。この動作手順は、登録用デバイス20、管理認証機器40及びサーバ装置10によって行われる。この動作手順では、図9に表す管理ユーザ端末30(I/F部301)を登録用デバイス20(I/F部201)に代えたうえで、ステップS31からS42と同じ動作であるステップ51からS62までが行われ、管理ユーザの認証機器による認証が行われ、登録用デバイス20(I/F部201)にトークンが保存される。
【0047】
次に、登録用デバイス20(I/F部201)は、自装置の認証機能を登録するための登録画面として、ログインした管理ユーザが属するテナント名を入力する画面を表示する(ステップS63)。次に、登録用デバイス20(I/F部201)は、登録画面で入力されたテナント名及び保存しているトークンをサーバ装置10に送信する(ステップS64)。サーバ装置10(登録部102)は、テナント名及びトークンが送信されてくると、送信元の登録用デバイス20の認証機器の公開鍵を要求する鍵要求データを登録用デバイス20に送信する(ステップS65)。
【0048】
登録用デバイス20(認証処理部202、登録処理部203)は、送信されてきた鍵要求データが示す要求を受けて、暗号鍵と公開鍵のペアを生成する(ステップS66)。登録用デバイス20(認証処理部202)は、生成した暗号鍵を、サーバ装置10の識別情報及び管理ユーザのユーザIDに対応付けて記憶しておく。次に、登録用デバイス20(登録処理部203)は、生成された公開鍵をサーバ装置10に送信する(ステップS67)。
【0049】
サーバ装置10(登録部102)は、送信されてきた公開鍵を管理ユーザのユーザID及びテナント名に対応付けて記憶することで、登録用デバイス20の公開鍵及び認証機能を登録する(ステップS68)。以上のとおり、サーバ装置10は、登録用デバイス20を介して管理認証機器40を用いた認証が要求されると管理ユーザを認証して登録用デバイス20の認証機能を登録する。
【0050】
図11は一般ユーザの登録処理における動作手順の一例を表す。この動作手順は、管理ユーザ端末30及びサーバ装置10によって行われる。まず、管理ユーザ端末30(I/F部301)は、管理ユーザをログインさせるログイン処理を行う(ステップS71)。ログイン処理では、例えば図9に表す動作が行われるが、ここでは記載を省略する。次に、管理ユーザ端末30(I/F部301)は、一般ユーザを登録するための登録画面を表示する(ステップS72)。
【0051】
次に、管理ユーザ端末30(I/F部301)は、登録画面で入力された一般ユーザ情報をサーバ装置10に送信する(ステップS73)。一般ユーザ情報は、例えば、ユーザ名及びパスワードである。サーバ装置10(登録部102)は、送信されてきた一般ユーザ情報を記憶することで、一般ユーザを登録する(ステップS74)。
【0052】
図12は一般認証機器60の登録処理における動作手順の一例を表す。この動作手順は、登録用デバイス20、一般認証機器60及びサーバ装置10によって行われる。まず、登録用デバイス20(I/F部201)は、管理ユーザをログインさせるためのログイン画面として、管理ユーザのユーザ名とパスワードを入力する画面を表示する(ステップS81)。
【0053】
次に、登録用デバイス20(I/F部201)は、登録画面で入力されたユーザ名とパスワードをサーバ装置10に送信する(ステップS82)。サーバ装置10(認証部101)は、送信されてきたユーザ名とパスワードが登録されている場合に管理ユーザを認証し、送信元の登録用デバイス20の認証機器による認証を要求する認証要求データを登録用デバイス20に送信する(ステップS83)。この認証要求データには、後程暗号化されるコードが含まれている。
【0054】
登録用デバイス20(I/F部201)は、送信されてきた認証要求データが示す要求を受けて、自装置が有する認証機能を用いて自装置を認証する(ステップS84)。ここでの認証は、登録用デバイス20における内部処理であり、特にユーザの操作を必要としない。次に、登録用デバイス20(認証処理部202)は、認証要求データが示すコードを自装置に記憶している暗号鍵を用いて暗号化し、暗号化データを生成する(ステップS85)。
【0055】
管理認証機器40(認証処理部401)は、生成した暗号化データをサーバ装置10に送信する(ステップS86)。サーバ装置10(認証部101)は、送信されてきた暗号化データを、図10に表す登録処理で登録した登録用デバイス20の公開鍵で復号化する(ステップS87)。サーバ装置10(認証部101)は、暗号化データをコードに復号化できた場合に登録用デバイス20を認証する(ステップS88)。サーバ装置10(認証部101)は、暗号化データをコードに復号化できない場合は、登録用デバイス20を認証しないでこの動作手順を終了する。
【0056】
次に、サーバ装置10(登録部102)は、一般認証機器60の認証機器の公開鍵を要求する鍵要求データを登録用デバイス20に送信する(ステップS89)。登録用デバイス20(I/F部201)は、送信されてきた鍵要求データを一般認証機器60に転送する(ステップS90)。一般認証機器60(認証処理部601、登録処理部602)は、送信されてきた鍵要求データが示す要求を受けて、暗号鍵と公開鍵のペアを生成する(ステップS91)。
【0057】
一般認証機器60(認証処理部601)は、生成した暗号鍵を、サーバ装置10の識別情報及び管理ユーザのユーザIDに対応付けて記憶しておく。次に、一般認証機器60(登録処理部602)は、生成された公開鍵を登録用デバイス20に送信する(ステップS92)。登録用デバイス20(I/F部201)は、送信されてきた公開鍵をサーバ装置10に転送する(ステップS93)。
【0058】
サーバ装置10(登録部102)は、送信されてきた公開鍵を管理ユーザのユーザIDに対応付けて記憶することで、一般認証機器60の公開鍵及び認証機能を登録する(ステップS94)。以上のとおり、サーバ装置10は、登録用デバイス20を介して一般認証機器60の認証機能の登録が要求されると、登録用デバイス20の認証機能が登録されている場合に一般認証機器60の認証機能を登録する。
【0059】
図13は一般ユーザのログイン処理における動作手順の一例を表す。この動作手順は、一般ユーザ端末50、一般認証機器60及びサーバ装置10によって行われる。この動作手順では、図9に表す管理ユーザ端末30(I/F部301)を一般ユーザ端末50(I/F部501)に代え管理認証機器40を一般認証機器60に代えたうえで、ステップS31からS42と同じ動作であるステップS101からS112までが行われる。その結果、一般ユーザの認証機器による認証が行われ、一般ユーザ端末50(I/F部501)にトークンが保存される。
【0060】
以上のとおり、サーバ装置10は、一般認証機器60を用いた認証が要求されると、一般認証機器60の認証機能が登録されている場合に一般ユーザを認証する。また、本実施例では、上述したいずれの認証機能も、暗号鍵及び公開鍵を生成する。そして、サーバ装置10は、公開鍵を自機に保存することで認証機能を登録する。暗号鍵は本発明の「暗号化キー」の一例であり、公開鍵は本発明の「復号化キー」の一例である。
【0061】
サーバ装置10の登録部102は、図8に表す登録処理により、管理ユーザを認証する認証機能を有する管理認証機器40の認証機能を管理ユーザの操作に基づき登録する。この場合の登録部102は本発明の「第1登録部」の一例である。また、サーバ装置10の登録部102は、図10に表す登録処理により、自装置を認証する認証機能を有する登録用デバイス20を介して管理認証機器40を用いた認証が要求されると管理ユーザを認証して管理認証機器40の認証機能を登録する。この場合の登録部102は本発明の「第2登録部」の一例である。
【0062】
また、サーバ装置10の登録部102は、図12に表す登録処理により、一般ユーザを認証する認証機能を有する一般認証機器60の認証機能の登録が登録用デバイス20を介して要求されると、登録用デバイス20の認証機能が登録されている場合に一般認証機器60の認証機能を登録する。つまり、登録部102は、登録用デバイス20の認証機能が登録されていない場合には、一般認証機器60の認証機能を登録しない。この場合の登録部102は本発明の「第3登録部」の一例である。
【0063】
サーバ装置10の認証部101は、登録された認証機能を用いた認証を行う。認証部101は、例えば、一般認証機器60を用いた認証が要求されると、その一般認証機器60の認証機能が登録されている場合に一般ユーザを認証する。認証部101は本発明の「認証部」の一例である。
【0064】
認証登録支援システム1においては、上記のとおり、一般認証機器60の認証機能の登録が登録用デバイス20を介して要求されても、登録用デバイス20の認証機能が登録されていない場合には、一般認証機器60の認証機能が登録されない。このように、本実施例によれば、認証用の端末である一般認証機器60のサーバ装置10への登録が、認証機能が登録されている登録用デバイス20を介して行う場合に制限されている。
【0065】
また、本実施例では、公開鍵を登録することで、その公開鍵を暗号鍵と共に生成した認証機器(管理認証機器40等)の認証機能が登録される。認証機器を用いた認証を行う場合、認証機器側で認証されれば無条件にサーバ装置10がその認証を受け入れるという方法もあるが、認証機器で暗号化したデータを登録された公開鍵で復号化できた場合のみ認証するようにすることで、認証機器側のみで認証する場合に比べて認証機器を用いた認証のセキュリティレベルが向上する。
【0066】
[2]変形例
上述した実施例は本発明の実施の一例に過ぎず、以下のように変形させてもよい。また、実施例及び各変形例は、必要に応じて組み合わせて実施してもよい。
上述した実施例は本発明の実施の一例に過ぎず、以下のように変形させてもよい。また、実施例及び各変形例は、必要に応じて組み合わせて実施してもよい。
【0067】
[2-1]認証機能の登録
実施例では、上記のとおりサーバ装置10(登録部102)が公開鍵を登録することで、その公開鍵を生成した認証機器の認証機能を登録したが、公開鍵ではなく暗号鍵を登録することで認証機能を登録してもよい。その場合、例えば図9に表すログイン処理において次のような動作が行われればよい。
実施例では、上記のとおりサーバ装置10(登録部102)が公開鍵を登録することで、その公開鍵を生成した認証機器の認証機能を登録したが、公開鍵ではなく暗号鍵を登録することで認証機能を登録してもよい。その場合、例えば図9に表すログイン処理において次のような動作が行われればよい。
【0068】
ステップS33において、サーバ装置10(認証部101)は、認証した管理ユーザの認証機器による認証を要求する認証要求データに、登録された暗号鍵で暗号化したコードを含めて管理ユーザ端末30に送信する。ステップS36において、管理認証機器40(認証処理部401)は、認証要求データが示す暗号化されたコードを自装置に記憶している公開鍵を用いて復号化する。
【0069】
ステップS37において、管理認証機器40(認証処理部401)は、復号化したコードを管理ユーザ端末30に送信する。ステップS38において、管理ユーザ端末30(I/F部301)は、送信されてきたコードをサーバ装置10に転送する。サーバ装置10(認証部101)は、ステップS39の復号化を行わず、認証要求データに含めたコードと同じコードが送信されてきた場合に、ステップS40で管理ユーザを認証する。この場合も、実施例と同様に、認証機器側のみで認証する場合に比べて認証機器を用いた認証のセキュリティレベルが向上する。
【0070】
[2-2]管理ユーザのログイン処理
実施例では、図8に表す登録処理により管理認証機器40を登録し、図9に表す管理ユーザのログイン処理においては、登録された管理認証機器40がなければ管理ユーザがログインできないようになっていたが、管理認証機器40の登録を必須としなくてもよい。
実施例では、図8に表す登録処理により管理認証機器40を登録し、図9に表す管理ユーザのログイン処理においては、登録された管理認証機器40がなければ管理ユーザがログインできないようになっていたが、管理認証機器40の登録を必須としなくてもよい。
【0071】
その場合、図8に表す登録処理と、図9に表すステップS33からS39までの処理及び図10に表すステップS53からS59までの処理(管理認証機器40を用いた認証処理)は不要となる。本変形例でも、ステップS32及びS52で入力される管理ユーザのユーザ名とパスワードによる認証は行われるので、管理ユーザの立会いの下でしか登録用デバイス20が登録されないようになっている。
【0072】
[2-3]機能構成
認証登録支援システム1において図6に表す機能を実現する方法は実施例で述べた方法に限らない。例えば、サーバ装置10は、1つの筐体内に全ての構成要素を備えていてもよいし、クラウドサービスで提供されるコンピュータリソースのように2以上の筐体に分離して構成要素を備えていてもよい。
認証登録支援システム1において図6に表す機能を実現する方法は実施例で述べた方法に限らない。例えば、サーバ装置10は、1つの筐体内に全ての構成要素を備えていてもよいし、クラウドサービスで提供されるコンピュータリソースのように2以上の筐体に分離して構成要素を備えていてもよい。
【0073】
また、例えば各装置が備えるI/F部は、各種のインターフェース画面を表示するが、インターフェース画面毎に機能が設けられていてもよい。また、例えば認証処理部202及び登録処理部203が行う動作を、1つの機能が行ってもよい。要するに、認証登録支援システム全体として図6に表された機能が実現されていれば、各機能を実現する装置の構成と、各機能が行う動作の範囲とは自由に定められてよい。
【0074】
[2-4]プロセッサ
上記各実施例において、プロセッサとは広義的なプロセッサを指し、汎用的なプロセッサ(例えばCPU:Central Processing Unit、等)や、専用のプロセッサ(例えばGPU:Graphics Processing Unit、ASIC:Application Specific Integrated Circuit、FPGA:Field Programmable Gate Array、プログラマブル論理デバイス、等)を含むものである。
上記各実施例において、プロセッサとは広義的なプロセッサを指し、汎用的なプロセッサ(例えばCPU:Central Processing Unit、等)や、専用のプロセッサ(例えばGPU:Graphics Processing Unit、ASIC:Application Specific Integrated Circuit、FPGA:Field Programmable Gate Array、プログラマブル論理デバイス、等)を含むものである。
【0075】
また上記各実施例におけるプロセッサの動作は、1つのプロセッサによって成すのみでなく、物理的に離れた位置に存在する複数のプロセッサが協働して成すものであってもよい。また、プロセッサの各動作の順序は上記各実施形態において記載した順序のみに限定されるものではなく、適宜変更してもよい。
【0076】
[2-5]発明のカテゴリ
本発明は、ディスプレイ装置という表示装置、撮像装置及び画像処理装置の他、それらの装置を備える表示システムとしても捉えられる。また、本発明は、各装置が実施する処理を実現するための情報処理方法としても捉えられるし、各装置を制御するコンピュータを機能させるためのプログラムとしても捉えられる。このプログラムは、それを記憶させた光ディスク等の記録媒体の形態で提供されてもよいし、インターネット等の通信回線を介してコンピュータにダウンロードさせ、それをインストールして利用可能にするなどの形態で提供されてもよい。
本発明は、ディスプレイ装置という表示装置、撮像装置及び画像処理装置の他、それらの装置を備える表示システムとしても捉えられる。また、本発明は、各装置が実施する処理を実現するための情報処理方法としても捉えられるし、各装置を制御するコンピュータを機能させるためのプログラムとしても捉えられる。このプログラムは、それを記憶させた光ディスク等の記録媒体の形態で提供されてもよいし、インターネット等の通信回線を介してコンピュータにダウンロードさせ、それをインストールして利用可能にするなどの形態で提供されてもよい。
【符号の説明】
【0077】
1…認証登録支援システム、10…サーバ装置、20…登録用デバイス、30…管理ユーザ端末、40…管理認証機器、50…一般ユーザ端末、60…一般認証機器、101…認証部、102…登録部、103…サービス提供部、201…I/F部、202…認証処理部、203…登録処理部、301…I/F部、401…認証処理部、402…登録処理部、501…I/F部、601…認証処理部、602…登録処理部。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】