JP2005216260A - Information processing apparatus, authentication apparatus, authentication system, control program and computer readable recording medium with the control program recorded thereon - Google Patents
Information processing apparatus, authentication apparatus, authentication system, control program and computer readable recording medium with the control program recorded thereon Download PDFInfo
- Publication number
- JP2005216260A JP2005216260A JP2004026084A JP2004026084A JP2005216260A JP 2005216260 A JP2005216260 A JP 2005216260A JP 2004026084 A JP2004026084 A JP 2004026084A JP 2004026084 A JP2004026084 A JP 2004026084A JP 2005216260 A JP2005216260 A JP 2005216260A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- information
- information processing
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
Description
本発明は、ユーザ毎に機器利用の管理を行うための認証システムに関し、さらに詳しくは、情報処理機器、認証機器、認証システム、制御プログラムおよびそれを記録したコンピュータ読み取り可能な記録媒体に関するものである。 The present invention relates to an authentication system for managing device usage for each user, and more particularly to an information processing device, an authentication device, an authentication system, a control program, and a computer-readable recording medium on which the information is recorded. .
近年、インターネットの普及と共に家庭内のホームネットワークも整備されつつあり、ホームネットワークに接続された機器を利用してインターネットに接続し、インターネット上のコンテンツやサービスの利用ができるようになった。また、ホームネットワークでは、イーサネット(登録商標)による有線LANに加えて802.11bといった無線LANも普及するようになり、家庭内でのネットワーク利用の利便性も高まっている。また、このようなホームネットワークの構成に中心的な役割を担う機器としてホームサーバも置かれるようになり、インターネットとホームネットワーク間のルータ機能や、無線LANのアクセスポイント機能、コンテンツサーバ機能、TV番組録画機能など、様々な付加機能を持ったホームサーバが利用され、離れた場所にあるホームネットワーク上の機器からホームサーバ上のコンテンツを視聴して楽しむことができるようになっている。 In recent years, home networks have been developed along with the spread of the Internet, and it has become possible to connect to the Internet using devices connected to the home network and use contents and services on the Internet. In home networks, wireless LANs such as 802.11b have become widespread in addition to wired LANs based on Ethernet (registered trademark), and the convenience of using the network in the home is also increasing. In addition, a home server is also placed as a device that plays a central role in the configuration of such a home network, a router function between the Internet and the home network, a wireless LAN access point function, a content server function, a TV program A home server having various additional functions such as a recording function is used, and content on the home server can be viewed and enjoyed from a device on a home network at a remote location.
ホームネットワークに接続された機器の利用を想定した場合、家族の一員であるユーザはどの部屋に居ても目の前の機器を利用してホームサーバに蓄積されたコンテンツを見たり、ホームネットワーク内の他の機器をコントロールしたりと、機器によらず利用できることが好ましい。ホームネットワークに接続される機器は、TVなど誰でも利用できる機器、あるいはPCといった、その機器自体がユーザ管理を持っており、ユーザ認証を行わないと利用できない機器など様々な機器の接続が想定される。 Assuming the use of a device connected to the home network, a user who is a member of a family can view the content stored on the home server using the device in front of him / her in any room, It is preferable that other devices can be used regardless of the device. The devices connected to the home network are assumed to be connected to various devices such as devices that can be used by anyone such as TV, or devices such as PCs that have user management and cannot be used without user authentication. The
そのような状況下で、家族の一員が誰でも目の前の機器を利用できるようにするには、各機器のユーザ認証を一切無くして、誰でも使えるというポリシーで各機器の運用を行えばよいが、家庭内であってもセキュリティやプライバシィについては配慮する必要があるため好ましい方法ではない。 In such a situation, in order for anyone in the family to be able to use the device in front of them, it is necessary to eliminate the user authentication of each device and operate each device with a policy that anyone can use it. Although it is good, since it is necessary to consider security and privacy even at home, it is not a preferable method.
一般に、ユーザ認証が必要な機器を利用するためには、初めにその機器にユーザアカウント名とパスワードを含むユーザアカウント情報を登録する必要がある。しかし、ユーザが利用する機器毎にユーザ登録を行うと、登録し忘れのユーザが出てきたり、登録した情報が機器によって異なり、ユーザが登録した情報を忘れたりする場合が考えられ、ユーザは機器を利用できなくなってしまう。 In general, in order to use a device that requires user authentication, it is necessary to first register user account information including a user account name and a password in the device. However, if user registration is performed for each device used by the user, there may be cases where a user who has forgotten to register appears, or the registered information varies depending on the device, and the user has forgotten the registered information. Will no longer be available.
そこで、この問題に対して、ユーザが機器を利用できないような状況を回避するための方法が提案されている。 Therefore, a method for avoiding a situation where the user cannot use the device has been proposed for this problem.
まず、NIS(NETWORK INFORMATION SERVICE)というユーザ情報を集中的に管理する方法がある。NISによれば、ユーザは複数の機器に対してユーザ情報を登録する必要がなく、ユーザは機器毎に登録したユーザ情報を覚えておくという煩雑さが解消される。通常、NIS上では、ユーザアカウント情報としてユーザアカウント名、パスワード情報に加えて、UID(User ID)とGID(Group ID)といった機器内部でユーザを識別するためのIDが登録されている。NISを利用しているネットワークでは、ユーザは手元の機器にログインするとき、ユーザアカウント名とパスワードを入力する。その機器のログインプログラムは、NISサーバからユーザアカウント名とパスワードを取り寄せ、認証を行う。認証されると、NISサーバで管理されている、そのユーザに対応したUIDとGIDをもつシェルが作られる。カーネル中にはユーザ認証が行われた結果を示す情報として、NISサーバで管理されているUIDとGIDが保存され、ユーザはそのUIDとして識別されるユーザとしてその機器を利用できる。 First, there is a method of centrally managing user information called NIS (NETWORK INFORMATION SERVICE). According to NIS, the user does not need to register user information for a plurality of devices, and the trouble that the user remembers the user information registered for each device is eliminated. Normally, on the NIS, in addition to the user account name and password information, IDs for identifying users inside the device such as UID (User ID) and GID (Group ID) are registered as user account information. In a network using NIS, a user inputs a user account name and a password when logging in to a device at hand. The login program of the device obtains the user account name and password from the NIS server and performs authentication. When authenticated, a shell having a UID and GID corresponding to the user managed by the NIS server is created. In the kernel, the UID and GID managed by the NIS server are stored as information indicating the result of user authentication, and the user can use the device as a user identified as the UID.
また、他の方法としては、下記特許文献1に、ユーザ情報を同期しながら分散的に管理する方法が記載されている。この方法によれば、ネットワーク上のある機器でユーザアカウント名およびパスワードといったユーザ情報の変更や新規登録が行われた場合に、この情報を、連携する他の機器に送信し、この情報に基づいて他の機器上で該当するユーザアカウント名およびパスワードの変更あるいは登録を行っていく。以降、連携する機器に順次転送することで、ネットワーク上の全ての機器においてユーザアカウント情報の同期を行うことができる。 As another method, Patent Document 1 below describes a method for managing user information in a distributed manner while synchronizing. According to this method, when user information such as a user account name and password is changed or newly registered in a certain device on the network, this information is transmitted to another device that cooperates, and based on this information. Change or register the corresponding user account name and password on other devices. Thereafter, the user account information can be synchronized in all the devices on the network by sequentially transferring them to the cooperating devices.
また、他の方法としては、各機器に統一した共用ユーザのユーザアカウント名とパスワードを設定しておき、ユーザは共用ユーザのユーザアカウント名で各機器を利用するという方法もある。 As another method, there is a method in which a common user account name and password of a shared user are set for each device, and the user uses each device with the user account name of the shared user.
また、他の方法としては、下記特許文献2に、サーバに未登録のユーザには共用ユーザ識別子を割当てる方法が記載されている。この方法によれば、サーバにユーザ情報が登録されていないユーザでも共用ユーザとしてリモートでサーバを利用することができる。しかも、サーバ上でのファイル管理にクライアントの情報を付加することで、共用ユーザが生成したファイルでもオーナ特定やユーザによるアクセス制限が可能となっている。
しかしながら、NISによる方法では、すべてのユーザアカウントをNISサーバ上で集中的に管理するため、NISサーバに不具合が発生した場合、全機器が利用できなくなってしまう。また、新しくユーザアカウントを登録する場合、NISサーバの管理者が不在であれば、そのユーザは機器を利用することができない。さらに、NISを利用するネットワークでは、NISサーバとクライアントのユーザアカウント名や機器内部でのユーザアカウントの識別子UIDやグループの識別子GIDが同じになり、NISサーバ上で、異なるユーザが同じユーザアカウント名を持つことが許されず、好みのユーザアカウント名を自由に設定して各機器で利用することができない。例えば、ある鈴木さんの家庭内において、お父さんが「suzuki」というユーザアカウントを既にNISサーバで登録している場合、別の家族の一員が同じ「suzuki」のユーザアカウント名を持つことができない。 However, in the NIS method, all user accounts are centrally managed on the NIS server, so that if the NIS server malfunctions, all devices cannot be used. In addition, when a new user account is registered, if the administrator of the NIS server is absent, the user cannot use the device. Furthermore, in a network using NIS, the user account name of the NIS server and the client, the user account identifier UID and the group identifier GID inside the device are the same, and different users have the same user account name on the NIS server. It is not allowed to have it, and you cannot set your favorite user account name and use it on each device. For example, if a father has already registered a user account “suzuki” in the NIS server in a certain Suzuki's home, a member of another family cannot have the same user account name “suzuki”.
また、特許文献1に記載の方法では、ユーザ情報の変更あるいは新規登録情報を順次転送するので、全機器でユーザ情報の同期を行うことができるが、同じユーザアカウント名でもユーザの同一性を証明することができず、正しく同期できるとは限らない。特に家庭内利用を想定した場合、家族内で異なる人が自分の機器上で姓を使った同じユーザアカウント名が登録されているような状況が考えられる。このような状況下では全機器でユーザ情報の更新の同期を矛盾なく行うことができず、ユーザが利用できない機器がでてきてしまう。また、各機器に統一した共用ユーザのユーザアカウントを設定するという方法は、各機器の管理者はあらかじめ機器全てに共用ユーザのユーザアカウントの登録が必要となり、共用ユーザにパスワードを設定した場合、ユーザは機器毎にパスワードを覚えておかなければならない。 In addition, in the method described in Patent Document 1, user information is changed or new registration information is transferred sequentially, so that user information can be synchronized with all devices, but the identity of the user is proved even with the same user account name. Cannot be synchronized and cannot always be synchronized correctly. In particular, assuming home use, there may be situations where different people in the family register the same user account name using their last names on their devices. Under such circumstances, it is not possible to synchronize the update of user information with all devices without contradiction, and there are devices that cannot be used by the user. In addition, the method of setting a unified shared user account for each device requires the administrator of each device to register the shared user's user account for all devices in advance, and if a password is set for the shared user, Must remember the password for each device.
さらに、特許文献2に記載の方法では、サーバ上にユーザアカウントが登録されていない場合でも、共用ユーザとしてクライアントからリモートでサーバを利用できるが、リモートでの利用を想定しているため、クライアント機器上にユーザアカウントがなければサーバはおろかクライアントすら利用することができない。 Furthermore, in the method described in Patent Document 2, the server can be used remotely from a client as a shared user even when a user account is not registered on the server. Without a user account above, you can't use the server or even the client.
本発明は、上記の問題点を解決するためになされたもので、その目的は、ユーザ毎に機器利用の管理を行う情報処理機器において、機器にユーザアカウントが未登録のユーザに対して、機器の管理者が新規にユーザアカウントを登録することなく、安全にその機器を利用させることができる情報処理機器、認証機器、認証システム、制御プログラムおよびそれを記録したコンピュータ読み取り可能な記録媒体を提供することにある。 The present invention has been made in order to solve the above-described problems, and an object of the present invention is to provide an information processing device that manages device use for each user to a user who has not registered a user account in the device. Information processing device, authentication device, authentication system, control program, and computer-readable recording medium recording the same can be provided to allow the administrator of the device to use the device safely without newly registering a user account There is.
上記課題を解決するために、本発明に係る情報処理機器は、ユーザより当該ユーザを認証するための認証情報を取得する入力手段と、上記入力手段で取得した上記認証情報を認証する第1の認証手段と、外部の認証機器へ上記認証情報を含む認証依頼データを送信するとともに、当該認証機器より認証結果を受信する認証依頼手段と、を備えることを特徴としている。 In order to solve the above problem, an information processing apparatus according to the present invention includes an input unit that acquires authentication information for authenticating the user from a user, and a first unit that authenticates the authentication information acquired by the input unit. It is characterized by comprising authentication means and authentication request means for transmitting authentication request data including the authentication information to an external authentication device and receiving an authentication result from the authentication device.
また、本発明に係る情報処理機器の制御方法は、ユーザより当該ユーザを認証するための認証情報を取得する入力ステップと、上記入力ステップで取得した上記認証情報を認証する第1の認証ステップと、外部の認証機器へ上記認証情報を含む認証依頼データを送信するとともに、当該認証機器より認証結果を受信する認証依頼ステップと、を含むことを特徴としている。 Moreover, the control method of the information processing device according to the present invention includes an input step for acquiring authentication information for authenticating the user from the user, and a first authentication step for authenticating the authentication information acquired in the input step. And an authentication request step of transmitting authentication request data including the authentication information to an external authentication device and receiving an authentication result from the authentication device.
上記の構成によれば、自機器で認証できるユーザについては自機器で認証し、自機器で認証できないユーザについては外部の認証機器へ認証を依頼することができる。よって、ユーザ毎に機器利用の管理を行う情報処理機器において、機器にユーザアカウントが未登録のユーザに対しても、機器の管理者が新規にユーザアカウントを登録することなく、安全にその機器を利用させることができる。したがって、ユーザの利便性と機器の安全性を両立させることが可能となる。 According to the above configuration, a user who can be authenticated by the own device can be authenticated by the own device, and a user who cannot be authenticated by the own device can be requested to be authenticated by an external authentication device. Therefore, in an information processing device that manages device usage for each user, even if a user account is not registered in the device, the device administrator can safely connect the device without registering a new user account. Can be used. Therefore, it is possible to achieve both user convenience and device safety.
さらに、本発明に係る情報処理機器は、上記認証依頼手段が、上記第1の認証手段が認証に失敗したときに、上記外部の認証機器へ上記認証依頼データを送信するものであることが好ましい。なお、上記認証依頼手段は、上記第1の認証手段が認証に成功したときにも、上記外部の認証機器へ上記認証依頼データを送信してもよい。この場合、認証を二重に行うことになるため、安全性が増す。 Further, in the information processing device according to the present invention, it is preferable that the authentication request unit transmits the authentication request data to the external authentication device when the first authentication unit fails in authentication. . The authentication request unit may transmit the authentication request data to the external authentication device even when the first authentication unit succeeds in authentication. In this case, since authentication is performed twice, safety is increased.
さらに、本発明に係る情報処理機器は、上記第1の認証手段による認証結果、および/あるいは、上記外部の認証機器による認証結果に応じて、ユーザが利用可能な機能を制限する機能制限手段を備えることを特徴としている。 Furthermore, the information processing device according to the present invention includes a function restriction unit that restricts a function that can be used by a user according to an authentication result by the first authentication unit and / or an authentication result by the external authentication device. It is characterized by providing.
上記の構成によれば、さらに、機能制限手段を設けることで、自機器での認証に成功したユーザと、外部の認証機器での認証に成功したユーザとで、ユーザに利用を許可する機能を変えることが可能になる。 According to the above configuration, by providing a function restriction unit, a function that allows a user to use a user who has succeeded in authentication with the own device and a user who has succeeded in authentication with an external authentication device can be provided. It becomes possible to change.
また、本発明に係る情報処理機器は、ユーザより当該ユーザを認証するための認証情報を取得する入力手段と、外部の認証機器へ上記入力手段で取得した上記認証情報を含む認証依頼データを送信するとともに、当該認証機器より認証結果を受信する認証依頼手段と、上記認証依頼手段が上記認証機器より認証成功の結果を受信したとき、所定の権限を有するアカウントを当該ユーザに与えるアカウント付与手段と、上記認証情報と上記認証機器による認証結果とを少なくとも対応付けて保持する認証結果保持手段と、外部の認証機器へ接続する際、ユーザの認証情報に基づいて上記認証結果保持手段を参照し、当該認証機器による認証にすでに成功している旨の情報が保持されていれば、上記認証機器との通信を当該認証情報を付加して行う接続処理手段と、を備えることを特徴としている。 Further, the information processing device according to the present invention transmits an input means for acquiring authentication information for authenticating the user from the user, and authentication request data including the authentication information acquired by the input means to an external authentication device. And an authentication requesting unit that receives an authentication result from the authentication device, and an account granting unit that gives the user an account having a predetermined authority when the authentication requesting unit receives a successful authentication result from the authentication device; The authentication result holding means for holding the authentication information and the authentication result by the authentication device in association with each other, and referring to the authentication result holding means based on the user authentication information when connecting to an external authentication device, If information indicating that the authentication by the authentication device has already been successful is held, communication with the authentication device is performed with the authentication information added. It is characterized by comprising: a connection processing unit.
また、本発明に係る情報処理機器の制御方法は、ユーザより当該ユーザを認証するための認証情報を取得する入力ステップと、外部の認証機器へ上記入力ステップで取得した上記認証情報を含む認証依頼データを送信するとともに、当該認証機器より認証結果を受信する認証依頼ステップと、上記認証依頼ステップで上記認証機器より認証成功の結果を受信したとき、所定の権限を有するアカウントを当該ユーザに与えるアカウント付与ステップと、上記認証情報と上記認証機器による認証結果とを少なくとも対応付けて保持する認証結果保持ステップと、外部の認証機器へ接続する際、ユーザの認証情報に基づいて上記認証結果保持ステップで保持した情報を参照し、当該認証機器による認証にすでに成功している旨の情報が保持されていれば、上記認証機器との通信を当該認証情報を付加して行う接続処理ステップと、を含むことを特徴としている。 The information processing device control method according to the present invention includes an input step for acquiring authentication information for authenticating the user from the user, and an authentication request including the authentication information acquired in the input step to an external authentication device. An authentication request step for transmitting data and receiving an authentication result from the authentication device, and an account that gives the user an account having a predetermined authority when receiving a successful authentication result from the authentication device in the authentication request step An authentication result holding step that holds at least the authentication information and the authentication result by the authentication device in association with each other, and an authentication result holding step based on user authentication information when connecting to an external authentication device. Referring to the stored information, information indicating that authentication by the authentication device has already been successful is held. If, is characterized in that it comprises a connection processing steps performed by the communication with the authentication device adds the authentication information.
上記の構成によれば、自機器がユーザを認証する機能を有さない場合を含めて、自機器で認証できないユーザの認証を、外部の認証機器へ認証を依頼することができる。よって、ユーザ毎に機器利用の管理を行う情報処理機器において、機器にユーザアカウントが未登録のユーザに対しても、機器の管理者が新規にユーザアカウントを登録することなく、安全にその機器を利用させることができる。したがって、ユーザの利便性と機器の安全性を両立させることが可能となる。 According to the above configuration, it is possible to request an external authentication device for authentication of a user who cannot be authenticated by the own device, including a case where the own device does not have a function of authenticating the user. Therefore, in an information processing device that manages device usage for each user, even if a user account is not registered in the device, the device administrator can safely connect the device without registering a new user account. Can be used. Therefore, it is possible to achieve both user convenience and device safety.
加えて、外部の認証装置による認証結果をユーザの認証情報に対応付けて保持するため、同じ認証装置へ接続する際、ユーザは認証情報を再度入力する必要がない。よって、認証装置の機能を簡便に利用することが可能となる。すなわち、上記の構成は、外部の認証装置が認証の機能の他にユーザに対して機能を提供するものである場合、例えば、認証の機能と一般のアプリケーションの機能を備えた情報処理機器同士を接続して、相手機器のアプリケーションを利用する場合に特に好適である。 In addition, since the authentication result by the external authentication device is held in association with the user authentication information, the user does not need to input the authentication information again when connecting to the same authentication device. Therefore, the function of the authentication device can be easily used. That is, in the above configuration, when an external authentication device provides a function to a user in addition to an authentication function, for example, an information processing device having an authentication function and a general application function It is particularly suitable when connecting and using an application of a counterpart device.
さらに、本発明に係る情報処理機器は、ユーザが自機器の利用を終了した時、あるいは、ユーザによる自機器の利用が一定時間を超えた時、上記認証結果保持手段に保持されている、当該ユーザの認証情報に対応する上記認証機器による認証結果を無効にする利用監視手段を備えることを特徴としている。 Furthermore, the information processing device according to the present invention is held in the authentication result holding unit when the user ends the use of the own device or when the user uses the own device exceeds a certain time. It is characterized by comprising usage monitoring means for invalidating the authentication result by the authentication device corresponding to the user authentication information.
上記の構成によれば、さらに、ユーザの利用状況を監視し、ユーザが自機器の利用を終了した時、あるいは、ユーザによる自機器の利用が一定時間を超えた時に、外部の認証機器で認証を受けた結果を無効にする。これにより、過去に外部の認証機器での認証に成功したユーザであっても、再度認証を受ける必要がある。よって、外部の認証機器での認証に成功したユーザになりすまして、他のユーザが自機器および外部の認証機器を利用することを防止できる。 According to the above configuration, the usage status of the user is further monitored, and authentication is performed by an external authentication device when the user terminates the use of the own device or when the user's use of the own device exceeds a certain time. Invalidate results received. Thereby, even a user who has been successfully authenticated by an external authentication device in the past needs to be authenticated again. Therefore, it is possible to prevent a user who has succeeded in authentication with an external authentication device from using other devices as a user and the external authentication device.
また、本発明に係る情報処理機器は、ユーザより当該ユーザを認証するための認証情報を取得する入力手段と、複数の外部の認証機器へ上記入力手段で取得した上記認証情報を含む認証依頼データを送信するとともに、当該各認証機器より認証結果を受信する認証依頼手段と、上記認証依頼手段が上記認証機器の少なくとも1つから認証成功の結果を受信したとき、所定の権限を有するアカウントを当該ユーザに与えるアカウント付与手段と、を備えることを特徴としている。 The information processing device according to the present invention includes an input unit that acquires authentication information for authenticating the user from a user, and authentication request data including the authentication information acquired by the input unit to a plurality of external authentication devices. Authentication request means for receiving an authentication result from each of the authentication devices, and when the authentication request means receives a result of successful authentication from at least one of the authentication devices, an account having a predetermined authority is And an account granting means to be given to the user.
また、本発明に係る情報処理機器の制御方法は、ユーザより当該ユーザを認証するための認証情報を取得する入力ステップと、複数の外部の認証機器へ上記入力ステップで取得した上記認証情報を含む認証依頼データを送信するとともに、当該各認証機器より認証結果を受信する認証依頼ステップと、上記認証依頼ステップが上記認証機器の少なくとも1つから認証成功の結果を受信したとき、所定の権限を有するアカウントを当該ユーザに与えるアカウント付与ステップと、を含むことを特徴としている。 In addition, the control method of the information processing device according to the present invention includes an input step of acquiring authentication information for authenticating the user from the user, and the authentication information acquired in the input step to a plurality of external authentication devices. An authentication request step for transmitting authentication request data and receiving an authentication result from each authentication device, and when the authentication request step receives a result of successful authentication from at least one of the authentication devices, the user has a predetermined authority. And an account granting step for giving an account to the user.
上記の構成によれば、自機器がユーザを認証する機能を有さない場合を含めて、自機器で認証できないユーザの認証を、複数の外部の認証機器へ認証を依頼することができる。よって、ユーザ毎に機器利用の管理を行う情報処理機器において、機器にユーザアカウントが未登録のユーザに対しても、機器の管理者が新規にユーザアカウントを登録することなく、安全にその機器を利用させることができる。したがって、ユーザの利便性と機器の安全性を両立させることが可能となる。なお、認証機器への認証依頼データの送信をブロードキャストで行うようにすれば、認証機器のアドレスを把握しておく必要がないため、情報処理機器を簡便に実現できる。 According to the above configuration, it is possible to request a plurality of external authentication devices to authenticate a user who cannot be authenticated by the own device, including a case where the own device does not have a function of authenticating the user. Therefore, in an information processing device that manages device usage for each user, even if a user account is not registered in the device, the device administrator can safely connect the device without registering a new user account. Can be used. Therefore, it is possible to achieve both user convenience and device safety. If the authentication request data is transmitted to the authentication device by broadcast, it is not necessary to know the address of the authentication device, so that the information processing device can be realized easily.
また、本発明に係る認証機器は、上記の情報処理機器から上記認証情報を含む上記認証依頼データを受信し、当該認証情報を認証し、その認証結果を当該情報処理機器へ送信する認証機器であって、上記認証依頼データに含まれる上記認証情報に基づいて、認証依頼に応じるか否かを決定する認証依頼受付可否判定手段を備えることを特徴としている。 An authentication device according to the present invention is an authentication device that receives the authentication request data including the authentication information from the information processing device, authenticates the authentication information, and transmits the authentication result to the information processing device. An authentication request acceptance / rejection determination unit that determines whether or not to respond to the authentication request based on the authentication information included in the authentication request data is provided.
上記の構成によれば、認証依頼に応じるか否かを認証情報に基づいて、すなわちユーザ毎に設定することで、認証依頼を受けるユーザを限定できるため、認証機器への負荷を必要最小限度に抑えることができる。 According to the above configuration, by setting whether or not to respond to the authentication request based on the authentication information, that is, for each user, it is possible to limit the users who receive the authentication request, so that the load on the authentication device is minimized. Can be suppressed.
さらに、本発明に係る認証機器は、上記認証依頼受付可否判定手段は、上記認証依頼データに含まれる送信元を特定する上記情報処理機器の識別情報に基づいて、認証依頼に応じるか否かを決定するものであることを特徴としている。 Further, in the authentication device according to the present invention, the authentication request acceptance determination unit determines whether to respond to the authentication request based on the identification information of the information processing device that identifies the transmission source included in the authentication request data. It is characterized by being determined.
上記の構成によれば、さらに、認証依頼に応じるか否かを情報処理機器の識別情報に基づいて設定することで、認証依頼を受ける情報処理機器を限定できるため、認証機器への負荷を必要最小限度に抑えることができる。また、信頼できる情報処理機器のみに限定すれば、安全性を高めることができる。例えば、認証依頼を受ける情報処理機器をホームネットワーク内の機器のみに制限すれば、ホームネットワークの外部の機器からの認証依頼を排除でき、ホームネットワーク内のセキュリティを確保することができる。 According to the above configuration, since it is possible to limit the information processing devices that receive the authentication request by setting whether to respond to the authentication request based on the identification information of the information processing device, a load on the authentication device is required. It can be minimized. Further, safety can be improved by limiting to only reliable information processing devices. For example, if information processing devices that receive authentication requests are limited to only devices in the home network, authentication requests from devices outside the home network can be eliminated, and security in the home network can be ensured.
また、本発明に係る認証システムは、上記情報処理機器と、上記認証機器とが通信可能に接続されてなることを特徴としている。 In addition, the authentication system according to the present invention is characterized in that the information processing device and the authentication device are connected to be communicable.
上記の構成によれば、ユーザ毎に機器利用の管理を行う情報処理機器において、機器にユーザアカウントが未登録のユーザに対して、機器の管理者が新規にユーザアカウントを登録することなく、安全にその機器を利用させることが可能となる。 According to the above configuration, in an information processing device that manages device usage for each user, a device administrator does not newly register a user account for a user who has not registered a user account in the device. Can use the device.
なお、上記の情報端末装置および認証機器は、コンピュータによって実現してもよい。この場合には、コンピュータを上記各手段として動作させることにより上記情報端末装置をコンピュータにて実現させる制御プログラム、およびその制御プログラムを記録したコンピュータ読み取り可能な記録媒体も、本発明の範疇に入る。 The information terminal device and the authentication device may be realized by a computer. In this case, a control program for causing the information terminal device to be realized by the computer by operating the computer as each of the above means and a computer-readable recording medium on which the control program is recorded also fall within the scope of the present invention.
具体的には、上記の情報端末装置および認証機器は、コンピュータハードウェアとCPU(Central Processing Unit)により実行されるプログラムとにより実現される。一般的にこうしたソフトウェアは、フロッピー(登録商標)ディスク、CD−ROMなどの記録媒体に格納されて流通し、フロッピー(登録商標)ディスク駆動装置またはCD−ROM駆動装置などにより記録媒体から読取られて固体ディスクに一旦格納される。さらに固定ディスクからメモリに読出されて、CPUなどにより実行される。こうしたコンピュータのハードウェア自体は一般的なものである。本発明の最も本質的な部分は、フロッピー(登録商標)ディスク、CD−ROM、固定ディスクなどの記録媒体に記録されたソフトウェアおよびプログラムである。 Specifically, the information terminal device and the authentication device are realized by computer hardware and a program executed by a CPU (Central Processing Unit). Generally, such software is stored and distributed in a recording medium such as a floppy (registered trademark) disk or CD-ROM, and is read from the recording medium by a floppy (registered trademark) disk driving device or a CD-ROM driving device. Once stored on solid disk. Further, it is read from the fixed disk to the memory and executed by the CPU or the like. Such computer hardware itself is common. The most essential part of the present invention is software and programs recorded on a recording medium such as a floppy (registered trademark) disk, a CD-ROM, and a fixed disk.
以上のように、本発明に係る情報処理機器は、ユーザより当該ユーザを認証するための認証情報を取得する入力手段と、上記入力手段で取得した上記認証情報を認証する第1の認証手段と、外部の認証機器へ上記認証情報を含む認証依頼データを送信するとともに、当該認証機器より認証結果を受信する認証依頼手段と、を備える構成である。 As described above, the information processing apparatus according to the present invention includes an input unit that acquires authentication information for authenticating the user from the user, and a first authentication unit that authenticates the authentication information acquired by the input unit. And an authentication request means for transmitting authentication request data including the authentication information to an external authentication device and receiving an authentication result from the authentication device.
また、本発明に係る情報処理機器の制御方法は、ユーザより当該ユーザを認証するための認証情報を取得する入力ステップと、上記入力ステップで取得した上記認証情報を認証する第1の認証ステップと、外部の認証機器へ上記認証情報を含む認証依頼データを送信するとともに、当該認証機器より認証結果を受信する認証依頼ステップと、を含む方法である。 Moreover, the control method of the information processing device according to the present invention includes an input step for acquiring authentication information for authenticating the user from the user, and a first authentication step for authenticating the authentication information acquired in the input step. An authentication request step of transmitting authentication request data including the authentication information to an external authentication device and receiving an authentication result from the authentication device.
それゆえ、ユーザ毎に機器利用の管理を行う情報処理機器において、機器にユーザアカウントが未登録のユーザに対しても、機器の管理者が新規にユーザアカウントを登録することなく、安全にその機器を利用させることができる。したがって、ユーザの利便性と機器の安全性を両立させることが可能となるという効果を奏する。 Therefore, in an information processing device that manages the use of a device for each user, even if a user account is not registered in the device, the device administrator can safely register the device without newly registering a user account. Can be used. Therefore, it is possible to achieve both user convenience and device safety.
また、本発明に係る情報処理機器は、ユーザより当該ユーザを認証するための認証情報を取得する入力手段と、外部の認証機器へ上記入力手段で取得した上記認証情報を含む認証依頼データを送信するとともに、当該認証機器より認証結果を受信する認証依頼手段と、上記認証依頼手段が上記認証機器より認証成功の結果を受信したとき、所定の権限を有するアカウントを当該ユーザに与えるアカウント付与手段と、上記認証情報と上記認証機器による認証結果とを少なくとも対応付けて保持する認証結果保持手段と、外部の認証機器へ接続する際、ユーザの認証情報に基づいて上記認証結果保持手段を参照し、当該認証機器による認証にすでに成功している旨の情報が保持されていれば、上記認証機器との通信を当該認証情報を付加して行う接続処理手段と、を備える構成である。 Further, the information processing device according to the present invention transmits an input means for acquiring authentication information for authenticating the user from the user, and authentication request data including the authentication information acquired by the input means to an external authentication device. And an authentication requesting unit that receives an authentication result from the authentication device, and an account granting unit that gives the user an account having a predetermined authority when the authentication requesting unit receives a successful authentication result from the authentication device; The authentication result holding means for holding the authentication information and the authentication result by the authentication device in association with each other, and referring to the authentication result holding means based on the user authentication information when connecting to an external authentication device, If information indicating that the authentication by the authentication device has already been successful is held, communication with the authentication device is performed with the authentication information added. A connection processing unit is configured to include.
また、本発明に係る情報処理機器の制御方法は、ユーザより当該ユーザを認証するための認証情報を取得する入力ステップと、外部の認証機器へ上記入力ステップで取得した上記認証情報を含む認証依頼データを送信するとともに、当該認証機器より認証結果を受信する認証依頼ステップと、上記認証依頼ステップで上記認証機器より認証成功の結果を受信したとき、所定の権限を有するアカウントを当該ユーザに与えるアカウント付与ステップと、上記認証情報と上記認証機器による認証結果とを少なくとも対応付けて保持する認証結果保持ステップと、外部の認証機器へ接続する際、ユーザの認証情報に基づいて上記認証結果保持ステップで保持した情報を参照し、当該認証機器による認証にすでに成功している旨の情報が保持されていれば、上記認証機器との通信を当該認証情報を付加して行う接続処理ステップと、を含む方法である。 The information processing device control method according to the present invention includes an input step for acquiring authentication information for authenticating the user from the user, and an authentication request including the authentication information acquired in the input step to an external authentication device. An authentication request step for transmitting data and receiving an authentication result from the authentication device, and an account that gives the user an account having a predetermined authority when receiving a successful authentication result from the authentication device in the authentication request step An authentication result holding step that holds at least the authentication information and the authentication result by the authentication device in association with each other, and an authentication result holding step based on user authentication information when connecting to an external authentication device. Referring to the stored information, information indicating that authentication by the authentication device has already been successful is held. In a method comprising a connection processing steps performed by the communication with the authentication device adds the authentication information.
それゆえ、外部の認証装置による認証結果をユーザの認証情報に対応付けて保持するため、同じ認証装置へ接続する際、ユーザは認証情報を再度入力する必要がない。よって、認証装置の機能を簡便に利用することが可能となるという効果を奏する。 Therefore, since the authentication result by the external authentication device is held in association with the user authentication information, the user does not need to input the authentication information again when connecting to the same authentication device. Therefore, there is an effect that the function of the authentication device can be easily used.
また、本発明に係る情報処理機器は、ユーザより当該ユーザを認証するための認証情報を取得する入力手段と、複数の外部の認証機器へ上記入力手段で取得した上記認証情報を含む認証依頼データを送信するとともに、当該各認証機器より認証結果を受信する認証依頼手段と、上記認証依頼手段が上記認証機器の少なくとも1つから認証成功の結果を受信したとき、所定の権限を有するアカウントを当該ユーザに与えるアカウント付与手段と、を備える構成である。 The information processing device according to the present invention includes an input unit that acquires authentication information for authenticating the user from a user, and authentication request data including the authentication information acquired by the input unit to a plurality of external authentication devices. Authentication request means for receiving an authentication result from each of the authentication devices, and when the authentication request means receives a result of successful authentication from at least one of the authentication devices, an account having a predetermined authority is And an account granting means to be given to the user.
また、本発明に係る情報処理機器の制御方法は、ユーザより当該ユーザを認証するための認証情報を取得する入力ステップと、複数の外部の認証機器へ上記入力ステップで取得した上記認証情報を含む認証依頼データを送信するとともに、当該各認証機器より認証結果を受信する認証依頼ステップと、上記認証依頼ステップが上記認証機器の少なくとも1つから認証成功の結果を受信したとき、所定の権限を有するアカウントを当該ユーザに与えるアカウント付与ステップと、を含む方法である。 In addition, the control method of the information processing device according to the present invention includes an input step of acquiring authentication information for authenticating the user from the user, and the authentication information acquired in the input step to a plurality of external authentication devices. An authentication request step for transmitting authentication request data and receiving an authentication result from each authentication device, and when the authentication request step receives a result of successful authentication from at least one of the authentication devices, the user has a predetermined authority. An account granting step of giving an account to the user.
それゆえ、ユーザ毎に機器利用の管理を行う情報処理機器において、機器にユーザアカウントが未登録のユーザに対しても、機器の管理者が新規にユーザアカウントを登録することなく、安全にその機器を利用させることができる。したがって、ユーザの利便性と機器の安全性を両立させることが可能となるという効果を奏する。 Therefore, in an information processing device that manages the use of a device for each user, even if a user account is not registered in the device, the device administrator can safely register the device without newly registering a user account. Can be used. Therefore, it is possible to achieve both user convenience and device safety.
〔実施の形態1〕
本発明の一実施の形態について図1から図7に基づいて説明すれば、以下のとおりである。以下の説明では、情報処理装置の機能を持った機器を情報処理機器、認証装置としての機能を持った機器を認証機器とする。
[Embodiment 1]
One embodiment of the present invention will be described below with reference to FIGS. In the following description, a device having the function of an information processing device is referred to as an information processing device, and a device having a function as an authentication device is referred to as an authentication device.
図2は、本実施の形態に係る情報処理機器(情報処理装置)1および認証機器(認証装置)3を含んで構成される認証システム5のネットワーク構成を示すブロック図である。図1は、情報処理機器1の構成の概略を示す機能ブロック図である。図3は、認証機器3の構成の概略を示す機能ブロック図である。 FIG. 2 is a block diagram showing a network configuration of an authentication system 5 including an information processing device (information processing device) 1 and an authentication device (authentication device) 3 according to the present embodiment. FIG. 1 is a functional block diagram showing an outline of the configuration of the information processing device 1. FIG. 3 is a functional block diagram showing an outline of the configuration of the authentication device 3.
図2に示すように、認証システム5は、machineA100〜machineD106がネットワーク110に接続されている。ここで、machineA100を情報処理機器1、machineB102、machineC104、machineD106を認証機器3とする。すなわち、認証システム5は、1台の情報処理機器1と3台の認証機器3によって構成されている。なお、machineA〜machineDは、それぞれの機器の識別子である。 As shown in FIG. 2, in the authentication system 5, machineA100 to machineD106 are connected to a network 110. Here, let machine A100 be the information processing device 1, and let machine B102, machineC104, and machineD106 be the authentication device 3. That is, the authentication system 5 includes one information processing device 1 and three authentication devices 3. MachineA to machineD are identifiers of respective devices.
ネットワーク110は、双方向に通信が可能であれば任意のネットワーク構成を選択できる。具体的には、ネットワーク110は、例えば、インターネット、LAN(Local Area Network)などイーサネット(登録商標)ベースのネットワーク、802.11b、bluetoothといった無線ネットワーク、あるいはIEEE1394などによって構成できる。さらに、ネットワーク110は、お互いの機器がルータやその他のネットワーク機器を介して別のネットワークに接続された構成であってもよい。 The network 110 can select any network configuration as long as bidirectional communication is possible. Specifically, the network 110 can be configured by, for example, the Internet, an Ethernet (registered trademark) -based network such as a LAN (Local Area Network), a wireless network such as 802.11b or bluetooth, or IEEE1394. Furthermore, the network 110 may have a configuration in which each other's devices are connected to another network via a router or other network device.
以下では、上記構成の認証システム5において、ユーザが「taro」のユーザアカウント名で機器machineA100を直接利用しようとしている状況について説明を行う。 Hereinafter, in the authentication system 5 having the above-described configuration, a situation where the user tries to directly use the device machineA100 with the user account name “taro” will be described.
図1に示すように、情報処理装置1は、ネットワークインタフェース(以下、ネットワークIFと表記する)10、入力部(入力手段)12、認証依頼部(認証依頼手段)14、判定部(アカウント付与手段)16、装置利用制御部18、出力部20を少なくとも備えて構成されている。
As shown in FIG. 1, the information processing apparatus 1 includes a network interface (hereinafter referred to as a network IF) 10, an input unit (input unit) 12, an authentication request unit (authentication request unit) 14, and a determination unit (account grant unit). 16) The apparatus
ネットワークIF10は、図2に示したネットワーク110に対してデータを送受信可能な通信インタフェースである。 The network IF 10 is a communication interface capable of transmitting and receiving data to and from the network 110 illustrated in FIG.
入力部12は、キーボード、マウス、ポインティングデバイスなどの入力装置で構成される。入力部12より、ユーザの認証情報が入力される。また、出力部20は、ユーザに画面表示するもので、液晶やCRTといったディスプレイ装置で構成される。
The
認証依頼部14は、入力部12で入力を受付けた認証情報を含んだ認証依頼データをネットワークIF10を通して、認証機器3に対して送信し、認証結果を受信する。
The
判定部16は、認証機器3から受信した認証結果に基づいて、ユーザに対して利用可能であるかどうかを判定する。
The
装置利用制御部18は、判定部16の判定に応じてユーザに対して情報処理機器の利用の制御を行う。
The device
なお、認証依頼部14、判定部16、装置利用制御部18における処理については、後述する。
The processing in the
また、図3に示すように、認証機器3は、認証情報受信部30、第2認証部32、第2認証情報保持部34、認証結果送信部36、ネットワークインタフェース(以下、ネットワークIFと表記する)37を少なくとも備えて構成されている。なお、図2に示したmachineB102、machineC104、machineD106が認証機器3であり、それぞれの機器名でmachineA100と同じネットワーク110に接続されている。
As shown in FIG. 3, the authentication device 3 includes an authentication
ネットワークIF37は、図2に示したネットワーク110に対してデータを送受信可能な通信インタフェースである。 The network IF 37 is a communication interface capable of transmitting / receiving data to / from the network 110 shown in FIG.
第2認証情報保持部34は、ユーザのユーザアカウント名とユーザが登録したパスワード文字列を暗号化したものとを対応付けて、認証情報として保持している。
The second authentication
ここで、図4は、第2認証情報保持部34が保持するユーザの認証情報の一例である。本実施の形態では、図4に示した認証情報が、machineB102の第2認証情報保持部34に保持されているものとする。なお、machineC104やmachineD106についても、それぞれの機器に応じたユーザの認証情報が保持されている。
Here, FIG. 4 is an example of user authentication information held by the second authentication
認証情報受信部30は、情報処理機器1から認証情報を受信する。具体的には、情報処理機器machineA100からネットワークIF37を介して、例えば「taro:taro_password::auth?」という認証依頼のデータを受信する。
The authentication
第2認証部32は、受信した認証依頼データに含まれる認証情報と、第2認証情報保持部34が保持している認証情報を比較し、受信した認証情報に対して認証処理を行う。具体的には、第2認証部32は、受信した認証情報のパスワード文字列「taro_password」を暗号化した後、保持している認証情報と比較することによってパスワード認証を行う。ここでは、machineB102の認証情報受信部30が受信した「taro_password」文字列の暗合化した文字列が「EgTd7JxJ7gnWw」であるとすると、ユーザアカウント名「taro」のパスワード情報と比較して同じであるため認証が成功する(図4)。
The
認証結果送信部36は、ネットワークIF37を介して認証結果を認証依頼元に対して送信を行う。認証が成功した場合、例えば「taro::OK」という認証結果を依頼元のmachineA100に対して送信する。machineC104、machineD106についても、同様の方法でそれぞれの機器内で認証を行う。
The authentication
ただし、本実施の形態では、machineC104、machineD106では、「taro」のユーザアカウントが登録されていないかパスワードが違うという理由で、認証が失敗したとする。この場合、machineC104、machineD106は、「taro::NG」という情報をmachineA100に対して送信する。 However, in this embodiment, it is assumed that authentication has failed in the machineC104 and machineD106 because the user account “taro” is not registered or the password is different. In this case, machineC104 and machineD106 transmit information “taro :: NG” to machineA100.
つづいて、情報処理機器1の動作について説明する。図5は、情報処理機器1の出力部20において、ユーザに認証情報の入力を促す画面の例である。
Next, the operation of the information processing device 1 will be described. FIG. 5 is an example of a screen that prompts the user to input authentication information in the
まず、情報処理機器1は、認証情報の入力画面(図5)を表示して、ユーザに認証情報の入力を促す。そして、情報処理機器1は、ユーザが入力部12で認証情報の入力を行うと、出力部20にその内容を表示する。具体的には、ユーザがキーボードやマウス等の入力デバイスを利用してアカウント名とパスワードを入力すると、出力部20には、アカウント名の文字列がそのまま表示されるとともに、パスワードの文字列が「*」で表示される。
First, the information processing device 1 displays an authentication information input screen (FIG. 5) to prompt the user to input authentication information. Then, when the user inputs authentication information with the
次に、情報処理機器1では、認証依頼部14が、ユーザアカウント名「taro」とパスワード文字列「taro_password」を含んだ「taro:taro_password::auth?」というデータを、ネットワーク110を介して接続された認証機器3に対して、ブロードキャストで認証依頼の送信を行う。
Next, in the information processing device 1, the
次に、情報処理機器1では、判定部16が、認証機器3の認証結果を受けて自機器を利用できるかの判断を行う。本実施の形態では、判定部16が受け取った認証結果のうち少なくとも1つ以上が成功である場合、認証成功とみなす。
Next, in the information processing device 1, the
次に、情報処理機器1では、装置利用制御部18が、判定部16の判定結果に応じて、情報処理機器10の利用を可能あるいは不可能になるように制御を行う。例えば、利用可能な場合、シェルを起動してコマンド受付を可能にし、利用不可能な場合は、再度認証情報の入力を促すよう、出力部20に指示するといった処理が考えられる。
Next, in the information processing device 1, the device
上記の例では、machineA100がmachineB102より、認証成功の結果を受信するため、machineA100は「taro」に対して利用を許可する。これに対して、認証依頼の結果が全て「taro::NG」のように認証不成功のデータを受信した場合、ユーザはどの認証機器3にもユーザアカウントが登録されておらずユーザの特定ができないことを意味するため、判定を否として、利用を許可しない。 In the above example, since machine A100 receives the authentication success result from machine B102, machine A100 permits the use of “taro”. On the other hand, if the authentication request results are all received as “taro :: NG” and the authentication failure data is received, the user is not registered in any authentication device 3 and the user is identified. Since it means that it is not possible, the determination is rejected and use is not permitted.
上記のように、情報処理機器1では、ブロードキャストによって周囲の認証機器3に対して認証依頼の送信を行うため、認証機器3のアドレスやホスト名を知らなくても、ネットワークの同じセグメントに接続された周辺の機器に認証依頼を送信することができる。もちろん、ブロードキャスト以外にも複数の機器向けに送信できるマルチキャストを利用してもよいし、例えば信頼できる1つ以上の特定の機器だけにユニキャストで送信を行ってもよい。 As described above, since the information processing device 1 transmits an authentication request to the surrounding authentication devices 3 by broadcasting, the information processing device 1 is connected to the same segment of the network without knowing the address or host name of the authentication device 3. Authentication requests can be sent to other peripheral devices. Of course, in addition to broadcasting, multicast that can be transmitted to a plurality of devices may be used, and for example, transmission may be performed by unicast only to one or more specific devices that can be trusted.
また、ブロードキャストやマルチキャストで複数の認証機器3に対して認証依頼を行い、複数の認証機器3から認証結果を受信できる場合でも、一番最初の認証成功の結果が到着した時点で利用を許可してもよい。このようなルールを設けることで、全ての認証結果を待つ必要がなくなり、認証時間を短縮することができる。 Also, even when an authentication request is made to a plurality of authentication devices 3 by broadcast or multicast and authentication results can be received from the plurality of authentication devices 3, the use is permitted when the first successful authentication result arrives. May be. By providing such a rule, it is not necessary to wait for all the authentication results, and the authentication time can be shortened.
また、上記の例では、認証情報(パスワード情報)を平文で送ったが、ネットワークの経路上でパスワードを盗聴される危険性を防ぐために、認証依頼や認証結果のデータは、暗号化して送ってもよい。さらに、成りすましを防ぐために電子署名データを付加して送ってもよい。 In the above example, authentication information (password information) is sent in plain text. However, to prevent the risk of eavesdropping on the network path, the authentication request and authentication result data are sent encrypted. Also good. Furthermore, in order to prevent impersonation, electronic signature data may be added and sent.
ここで、図6、図7を参照しながら、情報処理機器1および認証機器3の認証ステップについて詳細に説明する。 Here, the authentication steps of the information processing device 1 and the authentication device 3 will be described in detail with reference to FIGS.
図6は、ユーザが情報処理機器1を利用する際の処理の流れを示すフローチャートである。 FIG. 6 is a flowchart showing a flow of processing when the user uses the information processing device 1.
情報処理機器1では、まず、入力部12によってユーザから認証情報の入力を受付ける(S11)。次に、認証情報の入力があると、認証依頼部14がネットワーク110に接続された認証機器3に対してブロードキャストで認証の依頼を行う(S12)。次に、判定部16が、認証依頼を送信した認証機器3から認証結果をすべて受信したか否かの判定を行う(S13)。すべての認証結果を受信していなければ(S13でNo)、認証結果の待ち状態を継続する(S14)。一方、すべての認証結果を受信したら(S13でYes)、判定部16において、受信した認証結果から情報処理機器1の利用を可能にするか否かを判定する(S15)。
In the information processing device 1, first, the
そして、認証成功の結果を1つ以上受信していれば(S15でYes)、装置利用制御部18が例えばシェルを起動してコマンド待ち状態にする(S16)。一方、認証成功の結果をいずれの認証機器3からも受信しなければ(S15でNo)、装置利用制御部18は情報処理機器1の利用をユーザに許可しない。この場合、装置利用制御部18は、例えば、出力部20に対して、利用できない旨の情報を提示する画面や認証情報の入力画面を表示するように制御を行う(S17)。
If one or more authentication success results have been received (Yes in S15), the device
なお、ステップS13において、ステップS12で認証依頼を行ってからの経過時間を計測し、一定時間経ってもどの認証機器3からも認証結果が返ってこない場合は、認証不成功として、ステップS14,S15の処理を省略し、ステップS17に処理を移してもよい。これにより、どの認証機器3も動作していない場合や、ネットワーク110に障害がある場合にも、長時間認証待ち状態になることを防ぐことができる。 In step S13, the elapsed time since the authentication request was made in step S12 is measured, and if no authentication result is returned from any authentication device 3 after a certain time, it is determined that the authentication is unsuccessful. The process of S15 may be omitted and the process may be moved to step S17. As a result, even when no authentication device 3 is operating or when there is a failure in the network 110, it is possible to prevent the authentication from waiting for a long time.
また、ステップS13で全て結果を受信しなくても、結果を1つ受信した時点で、ステップS15の認証成功判定を行うようにしてもよい。これにより、認証成功の結果を受け取れば、それ以降の結果を全て受信する必要がなく、認証の待ち時間を短縮することができる。 Further, even if not all results are received in step S13, the authentication success determination in step S15 may be performed when one result is received. Thus, if a result of successful authentication is received, it is not necessary to receive all the subsequent results, and the waiting time for authentication can be shortened.
図7は、認証機器3が行う認証処理の流れを示すフローチャートであり、図6のステップS12で情報処理機器1から送信された認証依頼を受信して認証を行うフローを示している。 FIG. 7 is a flowchart showing a flow of authentication processing performed by the authentication device 3, and shows a flow for performing authentication by receiving the authentication request transmitted from the information processing device 1 in step S12 of FIG.
認証機器3では、まず、認証情報受信部30が情報処理機器1から認証依頼を受信する(S21)。次に、第2認証部32が、認証依頼に含まれた認証情報の認証を行う(S22)。この認証は、第2認証部32が、第2認証情報保持部34を参照して、受信したユーザアカウント名およびパスワードをそれぞれ比較することで行う。次に、第2認証部32が、認証結果を記録した認証結果データを生成し(S23)、それを認証結果送信部36が認証依頼元である情報処理機器1に対して送信する(S24)。
In the authentication device 3, first, the authentication
以上の処理により、認証機能を備えていない情報処理機器1においても、ネットワーク110を介して接続された認証機器3の認証結果を利用することで、情報処理機器1の利用をユーザに応じて制限することができる。また、家庭内のネットワークを想定した場合、一般に管理が行き届いた家庭内の機器の認証結果を利用することができるため、完全なユーザ認証は実現できないにしても、簡易的なユーザ認証を容易に実現することができる。 Through the above processing, even in the information processing device 1 that does not have the authentication function, the use of the information processing device 1 is restricted according to the user by using the authentication result of the authentication device 3 connected via the network 110. can do. In addition, assuming a home network, it is possible to use the authentication results of home devices that are generally managed well, so even if complete user authentication cannot be realized, simple user authentication is easy. Can be realized.
〔実施の形態2〕
本発明の他の実施の形態について図8から図10に基づいて説明すれば、以下のとおりである。なお、説明の便宜上、前記の実施の形態1において示した部材と同一の機能を有する部材には、同一の符号を付し、その説明を省略する。また、実施の形態1において定義した用語については、特に断らない限り本実施の形態においてもその定義に則って用いるものとする。
[Embodiment 2]
The following will describe another embodiment of the present invention with reference to FIGS. For convenience of explanation, members having the same functions as those shown in the first embodiment are given the same reference numerals, and explanation thereof is omitted. The terms defined in Embodiment 1 are used in accordance with the definitions in this embodiment unless otherwise specified.
図8は、本実施の形態に係る情報処理機器(情報処理装置)51の構成の概略を示す機能ブロック図である。本実施の形態においても、図2に示すように、ユーザが利用する情報処理機器51であるmachineA100が、認証機器3であるmachineB102、machineC104、machineD106と、ネットワーク110を介して接続されて、認証システム5が構成されているものとする。なお、認証機器3の構成は、図3を用いて実施の形態1で説明したものと同じである。 FIG. 8 is a functional block diagram showing an outline of the configuration of the information processing device (information processing apparatus) 51 according to the present embodiment. Also in the present embodiment, as shown in FIG. 2, the machine A100, which is the information processing device 51 used by the user, is connected to the machine B102, machineC104, machineD106, which is the authentication device 3, via the network 110, and the authentication system. 5 is configured. The configuration of the authentication device 3 is the same as that described in the first embodiment with reference to FIG.
図8に示すように、情報処理機器51は、情報処理装置1(図1)と同様、ネットワークインタフェース10、入力部12、認証依頼部14、判定部16、装置利用制御部18、出力部20を備えるとともに、さらに第1認証部(第1の認証手段)54、第1認証情報保持部56を備えて構成されている。
As illustrated in FIG. 8, the information processing device 51 includes a
第1認証情報保持部56は、ユーザの認証情報を保持している。第1認証部54は、第1認証情報保持部56が保持するユーザの認証情報に基づいて、入力部12で入力された認証情報に対して認証処理を行う。
The first authentication
ここで、図9は、第1認証情報保持部56が保持するユーザの認証情報の一例である。第1認証情報保持部56には、ユーザ識別子(利用者識別子)としてのユーザアカウント名と、ユーザが登録したパスワード文字列を暗号化したものであるパスワードとが、対応付けられて保持されている。例えば、図9に示すように、「sun」「star」「moon」それぞれのユーザアカウント名は各ユーザが自身で登録したものである。そして、これらのユーザアカウント名は、そのユーザしか知らないパスワード情報と共に登録されている。
Here, FIG. 9 is an example of user authentication information held by the first authentication
ここで、第1認証情報保持部56には、上記3つのユーザアカウントのように特定のユーザ用のユーザアカウントではなく、他の認証機器3で認証されたユーザに対して割当てる汎用的なユーザアカウントとして、「netuser」が情報処理機器51の管理者によってあらかじめ登録されている。「netuser」は、認証機器3で認証されたユーザに対して割当てるアカウントであるので、パスワードにはNULLが登録されている。
Here, the first authentication
つづいて、情報処理機器51の動作について説明する。 Next, the operation of the information processing device 51 will be described.
まず、情報処理機器51は、認証情報の入力画面(図5)を表示して、ユーザに認証情報の入力を促す。そして、情報処理機器51では、ユーザによって認証情報の入力画面において認証情報の入力後OKボタンが押されると、第1認証部54が、入力されたユーザの認証情報(図4の画面例では、ユーザアカウント名「taro」とパスワード「taro_password」)と、第1認証情報保持部56が保持していた認証情報とを比較して情報処理機器51の利用権があるユーザであるか否かを判定する。
First, the information processing device 51 displays an authentication information input screen (FIG. 5) to prompt the user to input authentication information. In the information processing device 51, when the user presses the OK button after entering the authentication information on the authentication information input screen, the
ここでは、図9に示す通り、パスワードは暗号化して保持されているため、第1認証部54は、入力部12で入力されたパスワードを暗号化した後、比較することで認証の判定を行う。認証は、ユーザアカウント名とパスワードが完全に一致する場合にのみ成功とし、どちらか一部でも違っている場合やユーザアカウントが登録されていない場合は失敗となる。上記の例では、machineA100の第1認証部54には、「taro」というユーザアカウント名が登録されていないため、認証失敗になる。また、「taro」というユーザアカウント名があってもパスワードが違っていれば認証失敗になる。
Here, as shown in FIG. 9, since the password is encrypted and held, the
次に、第1認証部54は、認証が失敗した場合、認証依頼部14に対して、ネットワーク110を介して接続された認証機器3に認証の依頼を行うように指示を行う。なお、認証依頼部14による認証依頼と認証機器3における認証については実施の形態1と同じであるため、説明を省略する。
Next, when the authentication fails, the
次に、情報処理機器51では、認証依頼部14が、認証機器3から認証結果を受信すると、判定部16は、自機器の利用を許可するか否かを判断する。例えば、認証成功のデータを少なくとも1つの認証機器3から受信すると、利用可能と判定してもよい。
Next, in the information processing device 51, when the
次に、情報処理機器51では、判定部16が利用を許可すると、装置利用制御部18が、ユーザに自機器の利用権を与えるためにアカウント(ユーザ識別子)を割当てるように指示を行う。これに対して、認証依頼の結果として全て認証不成功のデータを受信した場合、ユーザは自機器の第1認証部54だけでなく他のどの認証機器3からも認証を受けることができなかったことを意味するため、判定を否として、利用を許可しない。
Next, in the information processing device 51, when the
情報処理機器51では、認証機器3で認証されたユーザに対して、装置利用制御部18は、ユーザに「netuser」のユーザアカウントを割当てる。上記の例では、「taro」ユーザは、machineA100を「netuser」として利用することができる。「netuser」は前述の通り、自機器ではなく他の機器から認証された場合にのみ利用できるという汎用的なユーザアカウントであり、その機器の管理者があらかじめ作成しておく。
In the information processing device 51, the device
ここで、図10を参照しながら、情報処理機器51の認証ステップについて詳細に説明する。 Here, the authentication step of the information processing device 51 will be described in detail with reference to FIG.
図10は、ユーザが情報処理機器51を利用する際の処理の流れを示すフローチャートである。 FIG. 10 is a flowchart illustrating a processing flow when the user uses the information processing device 51.
情報処理機器51では、まず、入力部12によってユーザから認証情報の入力を受付ける(S31)。次に、認証情報の入力があると、第1認証部54が認証情報保持部56に登録されている認証情報と比較し、ユーザが入力した認証情報の認証を行う(S32)。認証はユーザアカウント名とパスワードが完全に一致する場合にのみ成功とし、どちらか一部でも違っている場合は失敗となる。そして、第1認証部54による認証が成功した場合(S33でNo)、装置利用制御部18が認証されたユーザのユーザアカウントを割当てる(S40)。
In the information processing device 51, first, the
一方、第1認証部54による認証が失敗した場合(S33でYes)、認証依頼部14がネットワーク110に接続された認証機器3に対してブロードキャストで認証の依頼を行う(S34)。次に、判定部16が、認証依頼を送信した認証機器3から認証結果をすべて受信したか否かの判定を行う(S35)。すべての認証結果を受信していなければ(S35でNo)、認証結果の待ち状態を継続する(S36)。一方、すべての認証結果を受信したら(S35でYes)、判定部16において、受信した認証結果から情報処理機器51の利用を可能にするか否かを判定する(S37)。
On the other hand, if the authentication by the
そして、認証成功の結果をいずれの認証機器3からも受信しなければ(S37でNo)、装置利用制御部18は情報処理機器51の利用をユーザに許可しない。この場合、装置利用制御部18は、例えば、出力部20に対して、利用できない旨の情報を提示する画面や認証情報の入力画面を表示するように制御を行う(S41)。一方、認証成功の結果を1つ以上受信していれば(S37でYes)、装置利用制御部18がユーザアカウント情報(「netuser」)を読み込み、ユーザに割当てる(S38)。
If the authentication success result is not received from any authentication device 3 (No in S37), the device
最後に、ステップS40あるいはS38でユーザにユーザアカウントを割当てた場合には、例えばシェルを起動してコマンド待ち状態にする(S39)。 Finally, when a user account is assigned to the user in step S40 or S38, for example, a shell is activated to wait for a command (S39).
なお、情報処理機器51でも、ステップS35において、ステップS34で認証依頼を行ってからの経過時間を計測し、一定時間経ってもどの認証機器3からも認証結果が返ってこない場合は、認証不成功として、ステップS36,S37の処理を省略し、ステップS41に処理を移してもよい。これにより、どの認証機器3も動作していない場合や、ネットワーク110に障害がある場合にも、長時間認証待ち状態になることを防ぐことができる。 Even in the information processing device 51, in step S35, the elapsed time since the authentication request is made in step S34 is measured, and if no authentication result is returned from any authentication device 3 after a certain time, the authentication is not successful. As success, the processing of steps S36 and S37 may be omitted, and the processing may be moved to step S41. As a result, even when no authentication device 3 is operating or when there is a failure in the network 110, it is possible to prevent the authentication from waiting for a long time.
また、ステップS35で全て結果を受信しなくても、結果を1つ受信した時点で、ステップS37の認証成功判定を行うようにしてもよい。これにより、認証成功の結果を受け取れば、それ以降の結果を全て受信する必要がなく、認証の待ち時間を短縮することができる。例えば、ブロードキャストやマルチキャストで複数の認証機器3に対して認証依頼を行い、複数の認証機器3から認証結果を受信できる場合でも、一番最初の認証成功の結果が到着した時点で利用を許可することで、全ての認証結果を待つ必要がなくなり、認証時間を短縮することができる。 Further, even if not all results are received in step S35, the authentication success determination in step S37 may be performed when one result is received. Thus, if a result of successful authentication is received, it is not necessary to receive all the subsequent results, and the waiting time for authentication can be shortened. For example, even when an authentication request is made to a plurality of authentication devices 3 by broadcast or multicast and authentication results can be received from the plurality of authentication devices 3, the use is permitted when the first successful authentication result arrives. Thus, it is not necessary to wait for all the authentication results, and the authentication time can be shortened.
以上のように、情報処理機器51は、第1認証部54および第1認証情報保持部56を備えることにより、自機器内に認証機能を有するものであるが、自機器で認証できない場合であっても、認証機器3の認証結果も利用して、利用可否の制御を行うことができる。なお、一般の認証方法では、認証が失敗すればユーザはその機器を利用できない。
As described above, the information processing device 51 includes the
これにより、ユーザは情報処理機器51のユーザアカウントがなくても、周囲の何れかの認証機器3から認証を受ければ利用できる。例えば、来客を監視するドアホンを遠隔制御する場合、目の前に制御可能なコンピュータ機器があるにもかかわらず、そのコンピュータ機器にユーザアカウントがないために、わざわざユーザアカウントがある別の機器まで移動して制御するといった煩わしい作業を行う必要がなくなる。 As a result, even if the user does not have a user account for the information processing device 51, the user can use it if receiving authentication from any of the surrounding authentication devices 3. For example, when remotely controlling a door phone that monitors a visitor, even though there is a computer device that can be controlled in front of you, there is no user account for that computer device, so you will bother to move to another device that has a user account. Thus, there is no need to perform troublesome work such as control.
すなわち、ユーザが利用したい全ての機器に自分のユーザアカウントを登録しておかなくても、ユーザは別の機器にユーザアカウントがあれば、その機器から認証を受けることにより、所望の機器を利用できる。それゆえ、利用したい全機器にユーザアカウントを登録するというった煩わしい処理を行う必要がない。 That is, even if the user account is not registered in all devices that the user wants to use, if the user has a user account in another device, the user can use the desired device by receiving authentication from the device. . Therefore, there is no need to perform a troublesome process of registering user accounts for all devices that are desired to be used.
また、認証依頼を同時に複数の機器に対して行えば、どの機器にどのユーザアカウントがあったかを機器ごとに覚えておく必要がなく、登録している複数の機器の中でユーザアカウント情報を1つだけ覚えておけばよい。 Further, if an authentication request is made to a plurality of devices at the same time, it is not necessary to remember which device has which user account for each device, and one user account information is stored in a plurality of registered devices. Just remember.
さらに、認証を依頼する機器を管理者が明らかな機器だけに限定することで、不正なユーザが自分の機器をネットワークに繋いで、勝手に利用するといった危険も防ぐことができる。 Furthermore, by limiting the devices that request authentication to devices that are clearly known by the administrator, it is possible to prevent the risk that unauthorized users connect their devices to the network and use them without permission.
また、上記の例では、情報処理機器51が自機器で認証できなかった場合に、他の認証機器3に認証の依頼を行ったが、自機器で認証できた場合でも、認証依頼を行うことで2重に認証を行うことができる。これにより、複数の機器で認証ができ、セキュリティをさらに高めることができる。この場合、ユーザには「netuser」のアカウントではなく、認証できた特定のユーザアカウントが割当ててもよい。さらに、ユーザアカウント名のみ情報処理機器1に登録しておき、ユーザアカウント名が一致した場合に、他の認証機器3にパスワードの認証依頼を行うようにしてもよい。 Further, in the above example, when the information processing device 51 cannot be authenticated by the own device, the authentication request is made to the other authentication device 3. However, even if the authentication can be performed by the own device, the authentication request is made. The authentication can be performed twice. Thereby, it can authenticate with a some apparatus and can further raise security. In this case, the user may be assigned a specific user account that can be authenticated instead of the account “netuser”. Furthermore, only the user account name may be registered in the information processing device 1, and when the user account name matches, a password authentication request may be made to another authentication device 3.
また、上記の例では、あらかじめ汎用的なユーザアカウントを作成していたが、認証機器3から認証成功の結果を最初に受信したタイミングで、重複しない一時的なユーザアカウントを自動的に生成して割当てるようにしてもよい。これには、認証機器3の識別子を付加したユーザアカウント名、例えば「machineB:user」といったアカウント名が利用できる。 In the above example, a general-purpose user account is created in advance. However, a temporary user account that does not overlap is automatically generated at the timing when the authentication success result is first received from the authentication device 3. You may make it allocate. For this, a user account name to which the identifier of the authentication device 3 is added, for example, an account name such as “machineB: user” can be used.
〔実施の形態3〕
本発明のさらに他の実施の形態について図11から図20に基づいて説明すれば、以下のとおりである。なお、説明の便宜上、前記の実施の形態1および2において示した部材と同一の機能を有する部材には、同一の符号を付し、その説明を省略する。また、実施の形態1において定義した用語については、特に断らない限り本実施の形態においてもその定義に則って用いるものとする。
[Embodiment 3]
The following will describe still another embodiment of the present invention with reference to FIGS. For convenience of explanation, members having the same functions as those shown in the first and second embodiments are given the same reference numerals, and explanation thereof is omitted. The terms defined in Embodiment 1 are used in accordance with the definitions in this embodiment unless otherwise specified.
図11は、本実施の形態に係る情報処理機器(情報処理装置)61の構成の概略を示す機能ブロック図である。本実施の形態においても、図2に示すように、ユーザが利用する情報処理機器61であるmachineA100が、認証機器3であるmachineB102、machineC104、machineD106と、ネットワーク110を介して接続されて、認証システム5が構成されているものとする。なお、認証機器3の構成は、図3を用いて実施の形態1で説明したものと同じである。 FIG. 11 is a functional block diagram showing an outline of the configuration of the information processing device (information processing apparatus) 61 according to the present embodiment. Also in the present embodiment, as shown in FIG. 2, the machine A100 that is the information processing device 61 used by the user is connected to the machine B102, machineC104, and machineD106 that are the authentication devices 3 via the network 110, and the authentication system 5 is configured. The configuration of the authentication device 3 is the same as that described in the first embodiment with reference to FIG.
図11に示すように、情報処理機器61は、情報処理装置51(図8)と同様、ネットワークインタフェース10、入力部12、認証依頼部14、判定部16、装置利用制御部18、出力部20、第1認証部54、第1認証情報保持部56を備えるとともに、さらに機能制限部(機能制限手段)68を備えて構成されている。
As illustrated in FIG. 11, the information processing device 61 includes a
第1認証情報保持部56は、図9に示すユーザの認証情報を保持しているものとする。情報処理機器61での認証および認証依頼についても、情報処理装置51(図8)と同様であり、第1認証部54は、ネットワーク110を介して接続された認証機器3で認証を受けたユーザに「netuser」のアカウントを割当てる。
It is assumed that the first authentication
情報端末装置61は、自機器で利用可能な機能を制限する機能制限部68を備えている。機能制限部68には、機能制限情報があらかじめ登録されている。そして、機能制限部68は、その機能制限情報に基づいて、装置利用制御部18に対して実行プロセスを制御させる。具体的には、機能制限部68は、ユーザが実行するプログラムが、そのユーザに対して利用が許可された機能であるかどうかを常に監視し、許可されてない場合には実行を制限する。
The information terminal device 61 includes a
ここで、図12は、機能制限部68が保持する機能制限情報の一例である。機能制限部68では、情報端末装置61が有する機能の機能名と、当該機能を実行するための実行プログラムと、それを利用可能なユーザ名とが対応付けられて、テーブル等により管理されている。例えば、図12に示すように、機能名「システム管理」は、実行プログラムが「/sbin/config」であり、ユーザ名が「sun」になっており、「sun」ユーザしか利用できないことを表している。同様に、機能名「WWWブラウザ」は、ユーザ名が「all」になっており、全てのユーザが利用できることを表している。
Here, FIG. 12 is an example of function restriction information held by the
また、情報端末装置61では、第1認証部54により、認証機器3で認証されたユーザに対して「netuser」アカウントを割り当てる。よって、例えば「taro」ユーザは、machineA100内では、「netuser」ユーザとして、「WWWブラウザ」、「コントロール(machineB)」の2つの機能が利用できる。このように、自機器では認証されないユーザでも他の機器で認証されたユーザに対しては、限られた範囲内の機能だけ利用許可を与えることができる。
In the information terminal device 61, the
なお、各機能を実行するプログラムは、自機器内に配置されているプログラム以外に、例えばHTTP(hypertext transfer protocol)経由で他の機器上のCGIプログラムを起動するなど、プログラムの実体が他の機器上にあり、ネットワーク経由で呼び出せるように構成されているものであってもよい。 In addition to the program arranged in the own device, the program executing each function may be a device other than the device such as starting a CGI program on another device via, for example, HTTP (hypertext transfer protocol). It may be configured to be called up via a network.
つづいて、情報処理機器61の動作について説明する。図13は、「taro」ユーザがmachineB102で認証された場合に、machineA100上で利用できる機能一覧を装置利用制御部18が出力部20で表示した画面の一例である。また、図14は、利用を許可した機能以外の機能をユーザが利用しようとした場合に表示する画面の一例である。図15は、「taro」ユーザがmachineB102で認証された場合に、ユーザが利用できる機能のアイコンのみを表示した画面の一例である。
Next, the operation of the information processing device 61 will be described. FIG. 13 is an example of a screen in which the device
図13に示すように、機能制限情報(図12)から、「taro」ユーザはWWWブラウザ機能とコントロール(machineB)機能だけが利用できるため、機能制限部68は装置利用制御部18にそれらの機能しか利用できないことを確認するための画面を表示させる。なお、利用を許可した機能以外の機能をユーザが利用しようとした場合には、図14に示すような警告画面を表示してもよい。また、図15に示すように、ディスプレイの画面上でユーザが利用できる機能以外のアイコンは表示させないようにしてもよい。さらに、全機能一覧のリストは表示するが、利用可能な機能あるいは利用できない機能だけ表示色やフォントを変えてもよい。また、リストやアイコン等の表示において、利用の可否に応じて、点滅表示したり枠で囲むなどしてもよい。
As shown in FIG. 13, since the “taro” user can use only the WWW browser function and the control (machineB) function from the function restriction information (FIG. 12), the
これにより、ユーザは自分が利用できる機能を視覚的に容易に理解することができる。また、利用できない機能を表示しなかったり、表示はしても選択できないようにすることで、利用が許可されていない機能を間違って選択してしまうといった危険性を軽減することができる。 Thus, the user can easily visually understand the functions that can be used by the user. In addition, by not displaying a function that cannot be used or by selecting it even if it is displayed, the risk of erroneously selecting a function that is not permitted to be used can be reduced.
ここで、図16を参照しながら、情報処理機器61の認証ステップについて詳細に説明する。 Here, the authentication step of the information processing device 61 will be described in detail with reference to FIG.
図16は、ユーザが情報処理機器61を利用する際の処理の流れを示すフローチャートである。 FIG. 16 is a flowchart illustrating a processing flow when the user uses the information processing device 61.
情報処理機器61では、まず、入力部12によってユーザから認証情報の入力を受付ける(S51)。次に、認証情報の入力があると、第1認証部54が認証情報保持部56に登録されている認証情報と比較し、ユーザが入力した認証情報の認証を行う(S52)。認証はユーザアカウント名とパスワードが完全に一致する場合にのみ成功とし、どちらか一部でも違っている場合は失敗となる。そして、第1認証部54による認証が成功した場合(S53でNo)、装置利用制御部18が認証されたユーザのユーザアカウントを割当てる(S62)。
In the information processing device 61, first, the
一方、第1認証部54による認証が失敗した場合(S53でYes)、認証依頼部14がネットワーク110に接続された認証機器3に対してブロードキャストで認証の依頼を行う(S54)。次に、判定部16が、認証依頼を送信した認証機器3から認証結果をすべて受信したか否かの判定を行う(S55)。すべての認証結果を受信していなければ(S55でNo)、認証結果の待ち状態を継続する(S56)。一方、すべての認証結果を受信したら(S55でYes)、判定部16において、受信した認証結果から情報処理機器51の利用を可能にするか否かを判定する(S57)。
On the other hand, when the authentication by the
そして、認証成功の結果をいずれの認証機器3からも受信しなければ(S57でNo)、装置利用制御部18は情報処理機器51の利用をユーザに許可しない。この場合、装置利用制御部18は、例えば、出力部20に対して、利用できない旨の情報を提示する画面や認証情報の入力画面を表示するように制御を行う(S63)。一方、認証成功の結果を1つ以上受信していれば(S57でYes)、装置利用制御部18がユーザアカウント情報(「netuser」)を読み込み、ユーザに割当てる(S58)。
If the authentication success result is not received from any authentication device 3 (No in S57), the device
次に、ステップS58あるいはS62でユーザにユーザアカウントを割当てた場合には、例えばシェルを起動してコマンド待ち状態にする(S59)。 Next, when a user account is assigned to the user in step S58 or S62, for example, a shell is activated to wait for a command (S59).
その後、機能制限部68は、認証されたユーザに対して、利用可能な機能を制限するために、実行プロセスの監視を行う(S60)。また、機能制限部68は、機能制限情報に基づく機能の利用の可否に応じて、ユーザが利用可能な機能を提示する画面などを出力部20に表示する(S61)。
Thereafter, the
なお、情報処理機器61でも、ステップS55において、ステップS54で認証依頼を行ってからの経過時間を計測し、一定時間経ってもどの認証機器3からも認証結果が返ってこない場合は、認証不成功として、ステップS56,S57の処理を省略し、ステップS63に処理を移してもよい。これにより、どの認証機器3も動作していない場合や、ネットワーク110に障害がある場合にも、長時間認証待ち状態になることを防ぐことができる。 Even in the information processing device 61, in step S55, the elapsed time since the authentication request is made in step S54 is measured, and if no authentication result is returned from any authentication device 3 after a certain time, the authentication is not successful. As success, the processing of steps S56 and S57 may be omitted, and the processing may be moved to step S63. As a result, even when no authentication device 3 is operating or when there is a failure in the network 110, it is possible to prevent the authentication from waiting for a long time.
また、ステップS55で全て結果を受信しなくても、結果を1つ受信した時点で、ステップS57の認証成功判定を行うようにしてもよい。これにより、認証成功の結果を受け取れば、それ以降の結果を全て受信する必要がなく、認証の待ち時間を短縮することができる。例えば、ブロードキャストやマルチキャストで複数の認証機器3に対して認証依頼を行い、複数の認証機器3から認証結果を受信できる場合でも、一番最初の認証成功の結果が到着した時点で利用を許可することで、全ての認証結果を待つ必要がなくなり、認証時間を短縮することができる。 Further, even if not all results are received in step S55, the authentication success determination in step S57 may be performed when one result is received. Thus, if a result of successful authentication is received, it is not necessary to receive all the subsequent results, and the waiting time for authentication can be shortened. For example, even when an authentication request is made to a plurality of authentication devices 3 by broadcast or multicast and authentication results can be received from the plurality of authentication devices 3, the use is permitted when the first successful authentication result arrives. Thus, it is not necessary to wait for all the authentication results, and the authentication time can be shortened.
以上のように、情報端末装置61は、機能制限部68を備えることにより、外部の認証機器3で認証されたユーザに利用を許可する場合でも、機器の管理者の意向に従って利用可能な機能を制限することができる。すなわち、他の機器で認証を受けたユーザに対し利用を許可する機能をあらかじめ登録しておけば、他の機器に登録されているユーザに対して自機器を安全に利用させることができるため、従来必要であった、利用許可を与えるユーザ全てに対して、ユーザアカウントの登録やユーザ個々に対するアクセス制限を行う設定作業の手間を省くことができる。よって、ユーザアカウントが登録されていないユーザも利用できるというユーザの利便性と、ユーザ毎に機能制限できるという装置の安全性を両立させることが可能となる。
As described above, the information terminal device 61 includes the
したがって、例えば、メールや文書閲覧など秘匿性の高い機能や機器内部の重要な機能については、自機器に登録されていないユーザの利用を禁止し、WWWブラウザによるホームページ閲覧などの秘匿性の低い機能については誰でも利用できるようにするなどの制御が可能となる。 Therefore, for example, with regard to highly confidential functions such as e-mail and document browsing and important functions inside the device, the use of users who are not registered in the device itself is prohibited, and functions with low confidentiality such as homepage browsing with a WWW browser are prohibited. It is possible to control such that anyone can use it.
また、例えば、家族の誰でもドアホンを遠隔制御だけは許可する場合、機器の管理者は、機能名「コントロール(ドアホン)」という機能を、「netuser」に許可を与えておけばよい。これにより、その機器にユーザアカウントはないが、他の機器で認証を受けたユーザには、ドアホンの制御だけは許可を与えることができる。 Further, for example, when any family member permits only remote control of the doorphone, the administrator of the device only needs to give permission to “netuser” for the function named “control (doorphone)”. Thereby, although there is no user account in the device, only the control of the door phone can be given to a user who has been authenticated by another device.
また、例えば、ホームサーバ上のコンテンツを再生するプレーヤの利用許可を「netuser」に対して許可を与えておけば、プレーヤがある機器にユーザアカウントがないユーザでも、他の機器で認証されたユーザにはコンテンツの再生だけ許可できるようになる。 In addition, for example, if “netuser” is given permission to use a player that plays content on a home server, even if a user does not have a user account on a device with the player, a user who has been authenticated by another device Will only be allowed to play content.
つづいて、本実施の形態の変形例について説明する。 Subsequently, a modification of the present embodiment will be described.
図17は、機能制限部68に保持される機能制限情報の他の例を示している。図17のテーブルは、図12のテーブルに加えて、認証する機器を特定するための認証機器名の情報が追加されている。
FIG. 17 shows another example of function restriction information held in the
図17は、例えば、機能名「WWWブラウザ」は、任意の認証機器3(any)で認証を受けたユーザの誰も(all)が利用できる機能であるが、「コントロール(machineB)」は、全ての「netuser」が利用できるわけではなく、自機器(machineA100)またはmachineC104から認証を受けたユーザしか利用できないことを表している。 In FIG. 17, for example, the function name “WWW browser” is a function that can be used by all of the users who have been authenticated by any authentication device 3 (any), but “control (machineB)” This indicates that not all “netusers” can be used, but only users who have been authenticated by the own device (machineA100) or machineC104.
認証した機器の名称である認証機器名は、認証結果の送信元IPアドレスや、認証結果に認証機器名を付加して送るようにすることで容易に取得できる情報である。例えば、machineB102がmachineA100に対して認証結果を送る場合、「machineB:taro:OK」のような認証結果を送ることになる。こうすることで、ユーザアカウント名だけでなく、認証機器によっても機能を制限することができる。ホームネットワーク内では、家庭内の機器名を設定しておけば他の不審な機器によって認証されたユーザを排除することができ、セキュリティを向上させることができる。
The authentication device name, which is the name of the authenticated device, is information that can be easily acquired by sending the authentication result transmission source IP address or adding the authentication device name to the authentication result. For example, when
また、図18は、機能制限部68に保持される機能制限情報のさらに他の例を示している。図18のテーブルは、情報端末装置61がPVR(Personal Video Recorder)である場合の例である。この例では、テーブルは左から、テレビ番組名、実際の映像のファイル名、認証機器名が登録されている。
FIG. 18 shows still another example of the function restriction information held in the
ここでは、machineA100をテレビ番組が録画されたPVR機器とし、このPVR機器に、認証機器3として、お父さんが管理する「father_pc」という名前のパソコンと、子供が管理する「son_pc」という名前のパソコンとの2台が接続されているシステム構成を想定する。この場合、図18のテーブルによれば、「father_pc」で認証されたユーザは全ての録画番組を見ることができるが、「son_pc」で認証されたユーザは恋愛ドラマを見ることができない。このように、機能制限部68をいわゆるペアレンタルロックのように機能させることができる。
Here, the
さらに、情報端末装置61の特性や利用するコンテンツに応じて機能を制限することもできる。例えば、著作権上、表示は許可されるが複製は許可されていないコンテンツに対して、情報端末装置61が表示のみ可能なディスプレイ機器である場合には、ユーザにコンテンツの視聴を許可する一方、コンピュータのような複製が可能な機器である場合には利用を許可しないようにしてもよい。これにより、情報端末装置61の機能を、著作権管理に対応させて運用することもできる。 Further, the function can be limited according to the characteristics of the information terminal device 61 and the content to be used. For example, when the information terminal device 61 is a display device that can only display content that is permitted to be displayed but not permitted to be copied due to copyright, the user is allowed to view the content, Use may not be permitted if the device is a duplicatable device such as a computer. Thereby, the function of the information terminal device 61 can be operated in correspondence with the copyright management.
また、情報端末装置61が家庭内に据え置きのディスクトップコンピュータであるか、移動や携帯が可能なモバイルコンピュータであるかによって、利用できる機能やコンテンツに制限を加えてもよい。例えば、機器特性の情報を書き換え不可能なメモリで保持しておき、コンテンツを利用する際に、機器情報とコンテンツの著作権情報とを比較参照することで、コンテンツ利用の可否を判断することができる。 Further, depending on whether the information terminal device 61 is a stationary desktop computer in the home or a mobile computer that can be moved and carried, restrictions may be imposed on the functions and contents that can be used. For example, it is possible to determine whether or not the content can be used by holding device characteristic information in a non-rewritable memory and comparing and referencing the device information and the copyright information of the content when using the content. it can.
つづいて、図19、図20を参照しながら、機能制限情報の登録機能について説明する。図19は、機能制限情報の登録機能を備えた情報処理機器(情報処理装置)71の構成の概略を示す機能ブロック図である。図20は、情報処理機器71に表示される機能制限情報の登録画面の一例である。 Next, the function restriction information registration function will be described with reference to FIGS. 19 and 20. FIG. 19 is a functional block diagram showing an outline of the configuration of an information processing device (information processing apparatus) 71 having a function restriction information registration function. FIG. 20 is an example of a function restriction information registration screen displayed on the information processing device 71.
図19に示すように、情報処理機器71は、情報処理装置61(図11)が備える構成に加えて、さらに機能登録部72を備えて構成されている。
As illustrated in FIG. 19, the information processing device 71 includes a
機能登録部72は、機能制限部68が機能制限の際に参照する機能制限情報を任意に登録する機能を有する。具体的には、機能登録部72は、出力部20に機能制限情報の登録画面(図20)を表示して、ユーザに機能制限情報の入力を促す。そして、ユーザにより登録ボタンが押されると、記入された機能制限情報を取得して、機能制限部68に保持させる。なお、図20の例は、図17に対応している。
The
このように、機能登録部72を設けることで、機能の追加あるいは、機能制限の更新を容易に行うことができる。さらに、この登録機能は、その機器の管理者だけ利用できるようにすることで、機器の管理者が安全に機器利用の設定を行うことができる。
Thus, by providing the
〔実施の形態4〕
本発明のさらに他の実施の形態について図21から図26に基づいて説明すれば、以下のとおりである。なお、説明の便宜上、前記の実施の形態1から3において示した部材と同一の機能を有する部材には、同一の符号を付し、その説明を省略する。また、実施の形態1において定義した用語については、特に断らない限り本実施の形態においてもその定義に則って用いるものとする。
[Embodiment 4]
The following will describe still another embodiment of the present invention with reference to FIGS. For convenience of explanation, members having the same functions as those shown in the first to third embodiments are given the same reference numerals, and explanation thereof is omitted. The terms defined in Embodiment 1 are used in accordance with the definitions in this embodiment unless otherwise specified.
図21は、本実施の形態に係る情報処理機器(情報処理装置)81の構成の概略を示す機能ブロック図である。図23は、情報処理機器81にネットワーク110を介して接続されている認証機器203の構成の概略を示す機能ブロック図である。本実施の形態においても、図2に示すように、ユーザが利用する情報処理機器81であるmachineA100が、認証機器203であるmachineB102、machineC104、machineD106と、ネットワーク110を介して接続されて、認証システム5が構成されているものとする。 FIG. 21 is a functional block diagram showing an outline of the configuration of the information processing device (information processing apparatus) 81 according to the present embodiment. FIG. 23 is a functional block diagram showing an outline of the configuration of the authentication device 203 connected to the information processing device 81 via the network 110. Also in the present embodiment, as shown in FIG. 2, the machine A100 that is the information processing device 81 used by the user is connected to the machine B102, machineC104, and machineD106 that are the authentication devices 203 via the network 110, and the authentication system 5 is configured.
図21に示すように、情報処理機器81は、情報処理装置71(図19)と同様、ネットワークインタフェース10、入力部12、認証依頼部14、判定部16、装置利用制御部18、出力部20、第1認証部54、第1認証情報保持部56、機能制限部68、機能登録部72を備えるとともに、さらに機器情報保持部82を備えて構成されている。
As shown in FIG. 21, the information processing device 81 is similar to the information processing device 71 (FIG. 19), and includes a
機器情報保持部82は、認証依頼の送信先である認証機器203を特定する機器情報を保持している。ここで、図22は、機器情報保持部82が保持する機器情報の一例を示す。図22に示すように、機器情報には、認証機器203であるmachineB102からmachineD106の機器名と、そのIPアドレスとが対応付けられている。
The device
そして、情報端末装置81では、認証依頼部14が、認証依頼をブロードキャストで送信するのではなく、機器情報保持部82に保持された機器情報に記載された認証機器203だけに認証依頼を行う。具体的には、machineA100の認証依頼部14は、machineB102、machineC104、machineD106に対し、「10.36.60.1:taro:taro_password::auth?」という認証依頼データを送信する。ここで、「10.36.61.1」というIPアドレスはmachineA100のIPアドレスであり、認証依頼データに送信元を示す情報として付加される。
In the information terminal device 81, the
また、図23に示すように、認証機器203は、認証機器3(図3)と同様、認証情報受信部30、第2認証部32、第2認証情報保持部34、認証結果送信部36、ネットワークIF37を備えるとともに、さらに認証依頼受付可否判定部(認証依頼受付可否判定手段)38を備えて構成されている。
As shown in FIG. 23, the authentication device 203 is similar to the authentication device 3 (FIG. 3) in that the authentication
認証依頼受付可否判定部38は、情報端末装置81からの認証依頼に対し、情報処理機器の機器情報によって、認証依頼を受けるか否かの判定を行う。認証依頼受付可否判定部38は、認証依頼データに含まれる認証情報および/または送信元を特定する情報処理機器91の識別情報に基づいて、認証依頼に応じるか否かを決定する。
In response to the authentication request from the information terminal device 81, the authentication request acceptance /
具体的には、認証依頼受付可否判定部38は、認証機器203であるmachineB102、machineC104、machineD106は、情報端末装置81であるmachineA100から「10.36.60.1:taro:taro_password::auth?」というmachineA100のIPアドレスを含んだ認証依頼データを受信する。以下は、machineB102での処理について説明する。それ以外の認証機器203も同様の処理を行う。
Specifically, the authentication request
図24は、認証機器203であるmachineB102の第2認証情報保持部34に保持されている認証情報の一例である。第2認証情報保持部34は、図4を用いて説明したように、ユーザのユーザアカウント名とユーザが登録したパスワード文字列を暗号化したものとを対応付けて、認証情報として保持している。そして、認証機器203では、さらに、認証依頼可否情報が加えられている。
FIG. 24 is an example of authentication information held in the second authentication
認証依頼可否情報は、認証依頼に応じるか否かを認証依頼元の機器情報によって判断するためのものである。具体的には、図24の例では、「taro」ユーザについての認証依頼に対しては、IPアドレスが「10.36.60.*」(*は任意であることを表す)の情報端末装置81からの認証依頼にのみ応じることを示す。つまり、「10.36.60.1」のIPアドレスを持つmachineA100からの認証依頼は、許可されることになる。また、「10.36.60.1:suzuki:suzuki_password::auth?」という認証依頼データを受け取った場合、認証依頼可否情報に登録されている認証依頼可否情報に記載された条件に合致していないため、認証依頼には応じない。 The authentication request availability information is used to determine whether or not to respond to the authentication request based on the device information of the authentication request source. Specifically, in the example of FIG. 24, in response to the authentication request for the “taro” user, from the information terminal device 81 whose IP address is “10.36.60. *” (* Indicates that it is arbitrary). It indicates that only the authentication request is accepted. That is, an authentication request from the machine A100 having the IP address “10.36.60.1” is permitted. If the authentication request data “10.36.60.1:suzuki:suzuki_password::auth?” Is received, it does not match the conditions described in the authentication request availability information registered in the authentication request availability information. Do not respond to requests.
なお、上記の例に限定されず、例えば、ユーザに対して利用を許すか許さないかをフラグによって管理し、アカウント名によって認証依頼可否を判断するようにしてもよい。 Note that the present invention is not limited to the above example. For example, whether or not the user is allowed to use may be managed by a flag, and whether or not the authentication request is permitted is determined based on the account name.
ここで、図25、図26を参照しながら、情報処理機器81および認証機器203の認証ステップについて詳細に説明する。 Here, the authentication steps of the information processing device 81 and the authentication device 203 will be described in detail with reference to FIGS.
図25は、ユーザが情報処理機器81を利用する際の処理の流れを示すフローチャートである。 FIG. 25 is a flowchart illustrating a processing flow when the user uses the information processing device 81.
情報処理機器81では、まず、入力部12によってユーザから認証情報の入力を受付ける(S71)。次に、認証情報の入力があると、第1認証部54が認証情報保持部56に登録されている認証情報と比較し、ユーザが入力した認証情報の認証を行う(S72)。認証はユーザアカウント名とパスワードが完全に一致する場合にのみ成功とし、どちらか一部でも違っている場合は失敗となる。そして、第1認証部54による認証が成功した場合(S73でNo)、装置利用制御部18が認証されたユーザのユーザアカウントを割当てる(S83)。
In the information processing device 81, first, the
一方、第1認証部54による認証が失敗した場合(S73でYes)、認証依頼部14が認証依頼を行う機器情報を機器情報保持部82から読み出し(S74)、読み込んだ機器情報に記載されている認証機器203に対してネットワーク110を介して認証の依頼を行う(S75)。
On the other hand, when the authentication by the
次に、判定部16が、認証依頼を送信した認証機器203から認証結果をすべて受信したか否かの判定を行う(S76)。すべての認証結果を受信していなければ(S76でNo)、認証結果の待ち状態を継続する(S77)。一方、すべての認証結果を受信したら(S76でYes)、判定部16において、受信した認証結果から情報処理機器51の利用を可能にするか否かを判定する(S78)。
Next, the
そして、認証成功の結果をいずれの認証機器203からも受信しなければ(S78でNo)、装置利用制御部18は情報処理機器51の利用をユーザに許可しない。この場合、装置利用制御部18は、例えば、出力部20に対して、利用できない旨の情報を提示する画面や認証情報の入力画面を表示するように制御を行う(S84)。一方、認証成功の結果を1つ以上受信していれば(S78でYes)、装置利用制御部18がユーザアカウント情報(「netuser」)を読み込み、ユーザに割当てる(S79)。
If the authentication success result is not received from any authentication device 203 (No in S78), the device
次に、ステップS79あるいはS83でユーザにユーザアカウントを割当てた場合には、例えばシェルを起動してコマンド待ち状態にする(S80)。 Next, when a user account is assigned to the user in step S79 or S83, for example, a shell is activated to wait for a command (S80).
その後、機能制限部68は、認証されたユーザに対して、利用可能な機能を制限するために、実行プロセスの監視を行う(S81)。また、機能制限部68は、機能制限情報に基づく機能の利用の可否に応じて、ユーザが利用可能な機能を提示する画面などを出力部20に表示する(S82)。
Thereafter, the
なお、情報処理機器81でも、ステップS76において、ステップS75で認証依頼を行ってからの経過時間を計測し、一定時間経ってもどの認証機器203からも認証結果が返ってこない場合は、認証不成功として、ステップS77,S78の処理を省略し、ステップS84に処理を移してもよい。これにより、どの認証機器203も動作していない場合や、ネットワーク110に障害がある場合にも、長時間認証待ち状態になることを防ぐことができる。 Note that the information processing device 81 also measures the elapsed time since the authentication request was made in step S75 in step S76, and if no authentication result is returned from any authentication device 203 even after a predetermined time has passed, the authentication is not successful. As success, the processing of steps S77 and S78 may be omitted, and the processing may be shifted to step S84. As a result, even when any authentication device 203 is not operating or when there is a failure in the network 110, it is possible to prevent the authentication waiting state for a long time.
また、ステップS76で全て結果を受信しなくても、結果を1つ受信した時点で、ステップS78の認証成功判定を行うようにしてもよい。これにより、認証成功の結果を受け取れば、それ以降の結果を全て受信する必要がなく、認証の待ち時間を短縮することができる。例えば、ブロードキャストやマルチキャストで複数の認証機器203に対して認証依頼を行い、複数の認証機器203から認証結果を受信できる場合でも、一番最初の認証成功の結果が到着した時点で利用を許可することで、全ての認証結果を待つ必要がなくなり、認証時間を短縮することができる。 Further, even if not all results are received in step S76, the authentication success determination in step S78 may be performed when one result is received. Thus, if a result of successful authentication is received, it is not necessary to receive all the subsequent results, and the waiting time for authentication can be shortened. For example, even when an authentication request is made to a plurality of authentication devices 203 by broadcast or multicast and authentication results can be received from the plurality of authentication devices 203, the use is permitted when the first authentication success result arrives. Thus, it is not necessary to wait for all the authentication results, and the authentication time can be shortened.
図26は、認証機器203が行う認証処理の流れを示すフローチャートであり、図25のステップS75で情報処理機器81から送信された認証依頼を受信して認証を行うフローを示している。 FIG. 26 is a flowchart showing a flow of authentication processing performed by the authentication device 203, and shows a flow for performing authentication by receiving the authentication request transmitted from the information processing device 81 in step S75 of FIG.
認証機器203では、まず、認証情報受信部30が情報処理機器81から認証依頼を受信する(S91)。次に、認証依頼受付可否判定部38が、受信した認証依頼データと、あらかじめ登録されている認証依頼可否情報とに基づいて、認証依頼に対して認証に応じるか否かの判定を行う(S92)。
In the authentication device 203, first, the authentication
そして、認証依頼に応じる場合(S93でYes)、第2認証部32が、認証依頼に含まれた認証情報の認証を行う(S94)。この認証は、第2認証部32が、第2認証情報保持部34を参照して、受信したユーザアカウント名およびパスワードをそれぞれ比較することで行う。次に、第2認証部32が、認証結果を記録した認証結果データを生成し(S95)、それを認証結果送信部36が認証依頼元である情報処理機器81に対して送信する(S96)。
When responding to the authentication request (Yes in S93), the
一方、認証依頼に応じない場合(S93でNo)、第2認証部32が、認証失敗を示す認証結果データを生成し(S95)、それを認証結果送信部36が認証依頼元である情報処理機器81に対して送信する(S96)。
On the other hand, if the authentication request is not responded (No in S93), the
以上のように、認証依頼に応じる機器をユーザ毎に設定することで、不正な機器からユーザアカウントが利用される危険を防ぐことができる。さらに、ホームネットワーク内の機器のみに制限すれば、ホームネットワークの外部の機器からの認証依頼を排除でき、ホームネットワーク内のセキュリティを確保することができる。 As described above, by setting a device that responds to an authentication request for each user, it is possible to prevent a user account from being used by an unauthorized device. Furthermore, if only the devices in the home network are limited, authentication requests from devices outside the home network can be eliminated, and security in the home network can be ensured.
〔実施の形態5〕
本発明のさらに他の実施の形態について図27から図30に基づいて説明すれば、以下のとおりである。なお、説明の便宜上、前記の実施の形態1から4において示した部材と同一の機能を有する部材には、同一の符号を付し、その説明を省略する。また、実施の形態1において定義した用語については、特に断らない限り本実施の形態においてもその定義に則って用いるものとする。
[Embodiment 5]
The following will describe still another embodiment of the present invention with reference to FIGS. For convenience of explanation, members having the same functions as those shown in the first to fourth embodiments are given the same reference numerals, and explanation thereof is omitted. In addition, the terms defined in Embodiment 1 are used in accordance with the definitions in this embodiment unless otherwise specified.
図27は、本実施の形態に係る情報処理機器(情報処理装置)91の構成の概略を示す機能ブロック図である。本実施の形態においても、図2に示すように、ユーザが利用する情報処理機器91であるmachineA100が、認証機器203であるmachineB102、machineC104、machineD106と、ネットワーク110を介して接続されて、認証システム5が構成されているものとする。なお、認証機器203の構成は、図23を用いて実施の形態4で説明したものと同じである。 FIG. 27 is a functional block diagram showing an outline of the configuration of the information processing device (information processing apparatus) 91 according to the present embodiment. Also in the present embodiment, as shown in FIG. 2, the machine A100, which is the information processing device 91 used by the user, is connected to the machine B102, machineC104, and machineD106, which are the authentication devices 203, via the network 110, and the authentication system. 5 is configured. The configuration of the authentication device 203 is the same as that described in the fourth embodiment with reference to FIG.
図27に示すように、情報処理機器91は、情報処理装置81(図21)と同様、ネットワークインタフェース10、入力部12、認証依頼部14、判定部16、装置利用制御部18、出力部20、第1認証部54、第1認証情報保持部56、機能制限部68、機能登録部72、機器情報保持部82を備えるとともに、さらに認証結果保持部(認証結果保持手段、利用監視手段)94、接続処理部(接続処理手段)96を備えて構成されている。
As shown in FIG. 27, the information processing device 91 is similar to the information processing device 81 (FIG. 21), and includes a
認証結果保持部94は、認証依頼の結果を保持する。接続処理部96は、情報処理機器91から他の機器上のファイルにアクセスしたり、コンテンツを利用したりする際に、ネットワークIF10に対して接続を要求する。なお、第1認証情報保持部56は、図9に示すユーザの認証情報を保持しているものとする。
The authentication
情報処理機器91は、情報端末装置81(図21)と同様、ユーザの認証が自機器上でできない場合に、機器情報保持部82に登録された認証機器に対して、認証依頼を行う。認証依頼方法は、実施の形態4で説明した通りである。すなわち、判定部16は、認証依頼部14が認証機器203より認証成功の結果を受信したとき、所定の権限を有するアカウントを当該ユーザに与える。
Similar to the information terminal device 81 (FIG. 21), the information processing device 91 makes an authentication request to the authentication device registered in the device
そして、認証結果保持部94は、認証情報と認証機器203による認証結果とを少なくとも対応付けて保持する。また、接続処理部96は、外部の認証機器203へ接続する際、ユーザの認証情報に基づいて認証結果保持部94を参照し、当該認証機器203による認証にすでに成功している旨の情報が保持されていれば、認証機器203との通信を当該認証情報を付加して行う。さらに、認証結果保持部94は、ユーザが自機器の利用を終了した時、あるいは、ユーザによる自機器の利用が一定時間を超えた時、上記認証結果保持部94に保持されている、当該ユーザの認証情報に対応する認証機器203による認証結果を無効にする。
The authentication
本実施の形態では、認証機器203は、情報処理機器91から認証依頼を受け、認証を行った場合、認証結果として、認証機器203自身を識別可能な情報を含めた認証結果を送信する。例えば、認証機器203であるmachineB102が、情報処理機器91であるmachineA100から「10.36.60.1:taro:taro_password::auth?」という認証依頼データを受信し、「taro」ユーザを認証した場合、認証結果送信部36は、「10.36.60.2:taro::OK」というmachineB102のIPアドレスが含まれた認証結果を依頼元のmachineA100に対して送信する。このとき、認証機器203であるmachineC104、machineD106では、同様の方法で認証処理を行い認証が失敗したとすると、それぞれ「10.36.60.5:taro::NG」、「10.36.60.8:taro:NG」という機器のIPアドレスを含んだ認証結果をmachineA100に対して送信する。なお、機器識別名は、ネットワーク内で互いに識別可能なユニークな識別子であればIPアドレス以外にホスト名などを利用してもよい。上記のように認証結果に認証した機器識別名を加えるのは、複数の認証機器203に対して認証依頼を出した場合に、情報処理機器91がどの認証機器203の認証結果かを判別するためである。
In the present embodiment, when the authentication device 203 receives an authentication request from the information processing device 91 and performs authentication, the authentication device 203 transmits an authentication result including information that can identify the authentication device 203 itself as an authentication result. For example, when the
そして、machineA100内において判定部16は、「10.36.60.2:taro::OK」のような認証成功のデータを少なくとも1つの認証機器から受信すると、ユーザにmachineA100の利用権を与えるために、「netuser」のユーザアカウントを割当てるように装置利用制御部18に対して指示する。このとき、接続処理部96は、認証結果保持部94に認証結果を記録する。接続処理部96は、認証不成功である認証結果を受け取った場合でも同様に、認証結果保持部94に認証結果を記録する。
Then, in the
ここで、図28は、認証結果保持部94に記録した認証結果情報の一例である。認証結果情報には、割当てたユーザアカウントと認証結果とが対応付けられている。認証結果情報には、例えば次の項目が含まれる。利用アカウント名は、その機器で利用しているユーザアカウント名である。認証依頼アカウント名は、認証依頼によって認証されたユーザアカウント名である。図28の例では、それぞれ「netuser」、「taro」になる。また、認証情報は、ユーザが認証を受けるために入力した情報であり、図28の例では、パスワードが記録される。また、利用開始時刻は、アカウント(ユーザ識別子、利用者識別子)を割当てて利用可能とした時刻である。認証依頼結果は、認証依頼を出した機器情報と認証結果を示す。
Here, FIG. 28 is an example of authentication result information recorded in the authentication
上記のように、接続処理部96は、ネットワークIF10を通して通信を行うための接続要求を行うが、その際、アクセス先の機器に応じたユーザアカウント名に変換して接続を要求する。
As described above, the
具体的には、図28の認証結果のように、「taro」がmachineB102から認証を受け、「netuser」としてmachineA100を利用している場合、machineA100からmachineB102に再度アクセスするときは、「netuser」から「taro」のアカウントに変換してアクセスを行う。例えば、machineB102のパスワード制限つきのホームページにアクセスする場合、machineB102はmachineA100に対して認証情報の要求を行うが、この時に自動的にmachineB102でのユーザアカウント名と認証情報を付加して接続を要求する。 Specifically, as shown in the authentication result of FIG. 28, when “taro” receives authentication from machineB102 and uses machineA100 as “netuser”, when accessing machineB102 again from machineA100, “netuser” Convert to a “taro” account and access. For example, when accessing the home page with a password restriction of the machine B102, the machine B102 requests authentication information from the machine A100, and at this time, automatically requests the connection by adding the user account name and the authentication information in the machineB102.
また、図29は、machineB102のパスワード制限付きのホームページにアクセスする場合のHTTPリクエストの例である。図29に示すように、接続処理部96は、自動的にAuthenticationヘッダに「taro」の認証情報をBasic64でエンコードしたデータを付加してリクエストを送る。これにより、再度machineB102上で「taro」の認証を受ける必要がなくなる。
FIG. 29 is an example of an HTTP request when accessing a home page with a password restriction of the machine B102. As shown in FIG. 29, the
つづいて、情報処理機器91の認証ステップについて詳細に説明する。なお、情報処理機器91を利用する際の自機器内での認証処理については、図25を用いて実施の形態4で説明したものと同じである。 Next, the authentication step of the information processing device 91 will be described in detail. Note that the authentication process in the own device when using the information processing device 91 is the same as that described in the fourth embodiment with reference to FIG.
図30は、他の機器で認証を受けて情報処理機器91を利用しているユーザが、情報処理機器91から他の機器へ接続を行う場合の接続処理部96の処理の流れを示すフローチャートである。
FIG. 30 is a flowchart showing a processing flow of the
情報処理機器91では、他の機器へ接続を行う際、接続処理部96が認証結果保持部94を参照し(S101)、接続先の機器が既に認証を受けた機器であるかどうかを調べる(S102)。接続先が認証を受けていない機器あるいは認証が失敗した機器である場合(S102でNo)、接続処理部96はユーザアカウントの変換など何も行わず機器へ接続する(S105)。
In the information processing device 91, when connecting to another device, the
一方、接続先が既に認証を受けている機器である場合(S102でYes)、機器に接続する際に再認証の要求があれば(S103でYes)、接続処理部96は、その接続先の機器に応じた認証情報を付加したリクエストを作成し(S104)、接続を行う(S105)。また、再認証の要求がなければ(S103でNo)、接続処理部96は、ユーザアカウントの変換は行わず、接続を行う(S105)。
On the other hand, when the connection destination is a device that has already been authenticated (Yes in S102), if there is a request for re-authentication when connecting to the device (Yes in S103), the
上記のように処理することで、既に認証を受けている機器については、再度認証情報の入力要求を受けた場合でも、機器に応じたユーザアカウント名に変換してアクセスを行うことで、ユーザは認証情報を再度入力することなくアクセスできる。また、セキュリティの観点から「netuser」のユーザアカウントを一時的に割当ててから一定時間操作がなかったり、利用を終了した時点で、「netuser」での利用を禁止するとともに、認証結果保持部94が保持している認証結果情報を削除するといった時間監視を行うことにより、認証を受けたユーザが席を外した時やログアウト忘れの際に、別のユーザがなりすましで他の機器も利用される危険性を軽減することも可能となる。なお、マウスやキーボード等の入力デバイスの操作状況と、操作された時間を随時計測することで、ユーザの利用状況を監視することが可能である。
By processing as described above, for a device that has already been authenticated, even if a request for inputting authentication information is received again, by converting the user account name according to the device and accessing it, the user can Access without re-entering authentication information. In addition, from the viewpoint of security, when the user account “netuser” is temporarily assigned and no operation is performed for a certain period of time or when the use is terminated, the use of “netuser” is prohibited, and the authentication
以上の各実施の形態では、説明を分かり易くするために、認証依頼部14を備えた情報処理機器と、情報処理機器から認証依頼を受けて認証を行う第2認証部32を備えた認証機器とを区別して説明した。しかし、全ての機器で認証依頼部14と第2認証部32との両方の機能も備えるように構成することもできる。このように構成することで、ユーザは少なくともどれか1つの機器にユーザアカウントが登録されていればどの機器でも許可された範囲内の機能が利用できるようになる。
In each of the above embodiments, in order to make the explanation easy to understand, an information processing device including an
また、指紋など身体的情報を利用して認証を行ってもよい。このように構成することで、ユーザはユーザアカウント情報をキーボードやマウスなど使って入力する手間が省ける上に、登録しているユーザアカウントの情報も記憶しておく必要がなくなる。 Further, authentication may be performed using physical information such as a fingerprint. With this configuration, the user can save the trouble of inputting user account information using a keyboard, a mouse, or the like, and it is not necessary to store information on registered user accounts.
また、情報処理機器をテレビジョン受像機の中で機能させてもよい。このように構成することで、一般にユーザ管理の機能を持たないテレビジョンでも、外部の認証機器を利用して認証を行うことで、ユーザによって利用を禁止したり、視聴可能なテレビ番組を制限することが可能となる。 Further, the information processing device may function in the television receiver. With this configuration, even a television that does not generally have a user management function is authenticated by using an external authentication device, thereby prohibiting use by the user or restricting TV programs that can be viewed. It becomes possible.
ここで、上記情報処理機器1,51,61,71,81,91は、汎用のコンピュータ(パーソナルコンピュータ等を含む)をベースに構成できる。また、上記認証機器3,203は、汎用のコンピュータ(ワークステーションやパーソナルコンピュータ等を含む)をベースに構成できる。すなわち、上記の情報処理機器1,51,61,71,81,91および認証機器3,203は、それぞれの機能を実現するプログラム(情報処理機器の制御プログラム、認証機器の制御プログラム)の命令を実行するCPU(central processing unit)、ブートロジックを格納したROM(read only memory)、上記プログラムを展開するRAM(random access memory)、上記プログラムおよび各種データベースを格納するハードディスク等の記憶装置(記録媒体)、キーボードやマウス等の入力機器、モニタ、スピーカー、プリンタ等の出力機器、外部のネットワークに接続するネットワーク接続機器が、内部バスによって接続されて構成されている。 Here, the information processing devices 1, 51, 61, 71, 81, 91 can be configured based on general-purpose computers (including personal computers). The authentication devices 3 and 203 can be configured based on general-purpose computers (including workstations and personal computers). That is, the information processing devices 1, 51, 61, 71, 81, 91 and the authentication devices 3, 203 receive instructions of programs (information processing device control program, authentication device control program) that realize the respective functions. CPU (central processing unit) to execute, ROM (read only memory) storing boot logic, RAM (random access memory) for expanding the program, and storage devices (recording media) such as a hard disk for storing the program and various databases An input device such as a keyboard and a mouse, an output device such as a monitor, a speaker and a printer, and a network connection device connected to an external network are connected by an internal bus.
そして、情報処理機器1,51,61,71,81,91および認証機器3,203の本発明に係る機能は、上記各部の機能を実現する制御プログラムのプログラムコード(実行形式プログラム、中間コードプログラム、ソースプログラム)をコンピュータで読み取り可能に記録した記録媒体を情報処理機器1,51,61,71,81,91および認証機器3,203に供給し、CPUが記録媒体に記録されているプログラムコードを読み出し実行することによって実現可能である。具体的には、情報処理機器1,51,61,71,81,91が備える、ネットワークIF10、入力部12、認証依頼部14、判定部16、装置利用制御部18、出力部20、第1認証部54、第1認証情報保持部56、機能制限部68、機能登録部72、機器情報保持部82、認証結果保持部94、接続処理部96等は、当該機器のメモリ(図示せず)に格納された所定のプログラムを、CPUなどが実行することにより実現される。また、認証機器3,203が備える、認証情報受信部30、第2認証部32、第2認証情報保持部34、認証結果送信部36、ネットワークIF37等は、当該機器のメモリ(図示せず)に格納された所定のプログラムを、CPUなどが実行することにより実現される。なお、上記の各ブロックは、その一部あるいは全部をハードウェアロジックによって構成してもよい。
The functions according to the present invention of the information processing devices 1, 51, 61, 71, 81, 91 and the authentication device 3, 203 are the program codes (execution format program, intermediate code program) of the control program that realizes the functions of the above-described units. , Source program) is recorded in a computer-readable recording medium, supplied to the information processing equipment 1, 51, 61, 71, 81, 91 and the authentication equipment 3, 203, and the program code recorded on the recording medium by the CPU This can be realized by reading and executing. Specifically, the information processing equipment 1, 51, 61, 71, 81, 91 includes the network IF 10, the
上記プログラムコードを供給するための記録媒体は、システムあるいは装置と分離可能に構成することができる。また、上記記録媒体は、プログラムコードを供給可能であるように固定的に担持する媒体であってもよい。そして、上記記録媒体は、記録したプログラムコードをコンピュータが直接読み取ることができるようにシステムあるいは装置に装着されるものであっても、外部記憶装置としてシステムあるいは装置に接続されたプログラム読み取り装置を介して読み取ることができるように装着されるものであってもよい。 The recording medium for supplying the program code can be configured to be separable from the system or apparatus. The recording medium may be a medium that is fixedly supported so that the program code can be supplied. Even if the recording medium is attached to the system or apparatus so that the recorded program code can be directly read by the computer, the recording medium can be connected via the program reading apparatus connected to the system or apparatus as an external storage device. It may be mounted so that it can be read.
例えば、上記記録媒体としては、磁気テープやカセットテープ等のテープ系、フロッピー(登録商標)ディスク/ハードディスク等の磁気ディスクやCD−ROM/MO/MD/DVD/CD−R等の光ディスクを含むディスク系、ICカード(メモリカードを含む)/光カード等のカード系、あるいはマスクROM/EPROM/EEPROM/フラッシュROM等の半導体メモリ系などを用いることができる。 For example, as the recording medium, a disk including a tape system such as a magnetic tape or a cassette tape, a magnetic disk such as a floppy (registered trademark) disk / hard disk, and an optical disk such as a CD-ROM / MO / MD / DVD / CD-R. Card system such as IC card, IC card (including memory card) / optical card, or semiconductor memory system such as mask ROM / EPROM / EEPROM / flash ROM.
また、上記プログラムコードは、コンピュータが記録媒体から読み出して直接実行できるように記録されていてもよいし、記録媒体から主記憶のプログラム記憶領域へ転送された後コンピュータが主記憶から読み出して実行できるように記録されていてもよい。 The program code may be recorded so that the computer can read out from the recording medium and directly execute it, or after being transferred from the recording medium to the program storage area of the main memory, the computer can read out from the main memory and execute it. It may be recorded as follows.
さらに、システムあるいは装置を通信ネットワークと接続可能に構成し、上記プログラムコードを通信ネットワークを介して供給してもよい。そして、通信ネットワークとしては、特に限定されず、具体的には、インターネット、イントラネット、エキストラネット、LAN、ISDN、VAN、CATV通信網、仮想専用網(virtual private network)、電話回線網、移動体通信網、衛星通信網等が利用可能である。また、通信ネットワークを構成する伝送媒体としては、特に限定されず、具体的には、IEEE1394、USB、電力線搬送、ケーブルTV回線、電話線、ADSL回線等の有線でも、IrDAやリモコンのような赤外線、Bluetooth(登録商標)、802.11無線、HDR、携帯電話網、衛星回線、地上波デジタル網等の無線でも利用可能である。なお、本発明は、上記プログラムコードが電子的な伝送で具現化された搬送波あるいはデータ信号列の形態でも実現され得る。 Furthermore, the system or apparatus may be configured to be connectable to a communication network, and the program code may be supplied via the communication network. The communication network is not particularly limited. Specifically, the Internet, intranet, extranet, LAN, ISDN, VAN, CATV communication network, virtual private network, telephone line network, mobile communication A network, a satellite communication network, etc. can be used. In addition, the transmission medium constituting the communication network is not particularly limited, and specifically, it is an infrared ray such as IrDA or a remote control even in a wired manner such as IEEE 1394, USB, power line carrier, cable TV line, telephone line, ADSL line or the like. , Bluetooth (registered trademark), 802.11 wireless, HDR, mobile phone network, satellite line, terrestrial digital network, and the like. The present invention can also be realized in the form of a carrier wave or a data signal sequence in which the program code is embodied by electronic transmission.
なお、プログラムコードを記録媒体から読み出して主記憶に格納するためのプログラム、および、通信ネットワークからプログラムコードをダウンロードするためのプログラムは、コンピュータによって実行可能にあらかじめシステムあるいは装置に格納されているものとする。 The program for reading the program code from the recording medium and storing it in the main memory, and the program for downloading the program code from the communication network are stored in advance in a system or apparatus so as to be executable by a computer. To do.
さらに、上述した機能は、上記記録媒体から読み出された上記プログラムコードが、コンピュータに装着された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPUなどが実際の処理の一部または全部を行うことによっても実現できる。 Furthermore, the function described above is obtained by writing the program code read from the recording medium into a memory provided in a function expansion board attached to the computer or a function expansion unit connected to the computer, and then the program code. Based on this instruction, the CPU provided in the function expansion board or function expansion unit can also be realized by performing part or all of the actual processing.
本発明は上述した各実施の形態に限定されるものではなく、請求項に示した範囲で種々の変更が可能であり、異なる実施の形態にそれぞれ開示された技術的手段を適宜組み合わせて得られる実施形態についても本発明の技術的範囲に含まれる。 The present invention is not limited to the above-described embodiments, and various modifications are possible within the scope shown in the claims, and can be obtained by appropriately combining technical means disclosed in different embodiments. Embodiments are also included in the technical scope of the present invention.
なお、本発明は例えば以下のように構成することができる。 In addition, this invention can be comprised as follows, for example.
本発明に係る情報処理装置は、ユーザ情報の管理と認証を行う少なくとも1つ以上の認証装置が互いに該ユーザ情報の関連を持たずに接続されたネットワークにおいて、ユーザが認証情報を入力する入力手段と、表示を行う出力手段と、前記認証装置と前記ネットワークを通して通信を行うネットワーク手段と、前記ネットワーク手段により通信可能な少なくとも1つ以上の認証装置に対して前記認証情報の認証を依頼し、認証結果を受信する認証依頼手段と、前記認証結果のうち少なくとも1つ以上が認証成功であるかを判定する判定手段と、前記判定手段で少なくとも1つ以上が成功であると判定された場合に、ユーザに対して利用を許可する装置利用制御手段とを備えて構成されていてもよい。 An information processing apparatus according to the present invention includes an input unit that allows a user to input authentication information in a network in which at least one authentication apparatus that manages and authenticates user information is connected to each other without relating the user information. Requesting authentication of the authentication information to at least one authentication device communicable by the network means, output means for displaying, network means for communicating with the authentication device through the network, and authentication An authentication request means for receiving a result, a determination means for determining whether at least one of the authentication results is successful, and at least one of the determination means is determined to be successful, It may be configured to include a device use control unit that permits use of the user.
さらに、本発明に係る情報処理装置は、前記認証依頼手段が、ブロードキャスト通信により認証依頼を行うものであってもよい。 Furthermore, in the information processing apparatus according to the present invention, the authentication request unit may request authentication by broadcast communication.
さらに、本発明に係る情報処理装置は、ユーザの認証情報を保持した第1の認証情報保持手段と、前記入力手段で入力された前記認証情報の認証を行う第1の認証手段とをさらに備え、所定の条件において、前記認証の依頼を行うものであってもよい。 Furthermore, the information processing apparatus according to the present invention further includes a first authentication information holding unit that holds user authentication information, and a first authentication unit that authenticates the authentication information input by the input unit. The authentication request may be made under a predetermined condition.
さらに、本発明に係る情報処理装置は、前記所定の条件が、前記第1の認証手段において認証が不可能な場合であってもよい。 Furthermore, in the information processing apparatus according to the present invention, the predetermined condition may be a case where the first authentication unit cannot authenticate.
さらに、本発明に係る情報処理装置は、ユーザが利用可能な機能を制限する機能制限手段をさらに備え、前記認証装置によって認証されたユーザに対して、該ユーザが利用可能な機能を制限するものであってもよい。 Furthermore, the information processing apparatus according to the present invention further includes a function restricting unit that restricts a function that can be used by the user, and restricts a function that can be used by the user with respect to the user authenticated by the authentication apparatus. It may be.
さらに、本発明に係る情報処理装置は、前記機能制限手段が、前記認証装置によって認証されたユーザに対して、前記認証装置から受信した前記認証結果に含まれる所定の情報に基づいて該ユーザが利用可能な機能を制限することを可能とするものであってもよい。 Furthermore, in the information processing apparatus according to the present invention, the function restricting unit is configured so that the user is authenticated based on predetermined information included in the authentication result received from the authentication apparatus. It may be possible to limit available functions.
さらに、本発明に係る情報処理装置は、前記機能制限手段が、前記制限する機能を登録する機能登録手段をさらに備えていてもよい。 Furthermore, in the information processing apparatus according to the present invention, the function restriction unit may further include a function registration unit that registers the restricted function.
さらに、本発明に係る情報処理装置は、前記出力手段が、前記制限する機能を所定の表示方法に切替えて出力するものであってもよい。また、本発明に係る情報処理装置は、前記出力手段が、前記制限された機能の機能名を表示しないものであってもよい。このように、ユーザの権限に応じて表示方法を切り替えることで、ユーザは自分が利用できる機能を容易に理解することができる。 Furthermore, in the information processing apparatus according to the present invention, the output unit may output the restricted function by switching to a predetermined display method. In the information processing apparatus according to the present invention, the output unit may not display a function name of the restricted function. Thus, by switching the display method according to the user's authority, the user can easily understand the functions that the user can use.
さらに、本発明に係る情報処理装置は、前記認証装置によって認証された前記認証情報と前記認証結果を対応付けて保持する認証結果保持手段と、接続を行う機器が既に認証を受けた該認証装置であるかを判定する認証済み判定手段と、該認証装置への接続には該認証情報を付加して通信を行う接続処理手段とを備えていてもよい。 Furthermore, the information processing apparatus according to the present invention includes an authentication result holding unit that holds the authentication information authenticated by the authentication apparatus in association with the authentication result, and the authentication apparatus in which a connecting device has already been authenticated. An authenticated determination means for determining whether or not a connection is established, and a connection processing means for performing communication by adding the authentication information to the connection to the authentication apparatus.
さらに、本発明に係る情報処理装置は、前記ユーザが利用を終了するか、一定時間経過後に前記ユーザ識別子および前記認証結果保持手段を無効にする利用監視手段を備えていてもよい。 Furthermore, the information processing apparatus according to the present invention may include usage monitoring means for invalidating the user identifier and the authentication result holding means after the user ends use or a certain time has elapsed.
また、本発明に係る認証装置は、認証情報を受信する受信手段と、ユーザの認証情報を保持した第2の認証情報保持手段と、受信した前記認証情報を認証し結果を送信する第2の認証手段とを備えた認証装置であって、前記第2の認証手段は、前記認証情報の所定の情報に基づいて、認証依頼に応じるか否かを決定する認証依頼受付可否判定手段を備えて構成されていてもよい。 The authentication apparatus according to the present invention includes: a receiving unit that receives authentication information; a second authentication information holding unit that stores user authentication information; and a second unit that authenticates the received authentication information and transmits a result. An authentication apparatus comprising: an authentication unit, wherein the second authentication unit includes an authentication request acceptance determination unit that determines whether to accept an authentication request based on predetermined information of the authentication information. It may be configured.
さらに、本発明に係る認証装置は、前記所定の情報が前記認証情報の送信元の機器情報および/または前記認証情報であり、前記認証依頼受付可否判定手段が前記機器情報および/または前記認証情報から認証に応じるか否かを決定するものであってもよい。 Further, in the authentication apparatus according to the present invention, the predetermined information is the device information and / or the authentication information that is the transmission source of the authentication information, and the authentication request acceptance determination unit determines the device information and / or the authentication information. It may be determined whether or not to respond to authentication.
また、本発明に係る情報処理システムは、認証情報を入力する入力手段と、少なくとも1つ以上の認証装置に前記認証情報の認証を依頼し、認証結果を受信する認証依頼手段と、所定の権限を持つユーザ識別子を割当てて利用可能とする装置利用制御手段を備えた情報処理装置と、前記認証情報を受信する認証情報受信手段と、受信した認証情報に対し認証と認証結果を送信する第2の認証手段を備えた少なくとも1つ以上の認証装置で構成された情報処理システムであって、前記情報処理装置は、前記認証結果のうち少なくとも1つ以上が認証成功であれば、前記ユーザに所定の権限を持つ所定の利用識別子を割当て利用を可能にするものであってもよい。 An information processing system according to the present invention includes an input unit for inputting authentication information, an authentication request unit for requesting at least one authentication apparatus to authenticate the authentication information, and receiving an authentication result, and a predetermined authority. An information processing apparatus having an apparatus usage control means for assigning and using a user identifier having the authentication information, an authentication information receiving means for receiving the authentication information, and a second for transmitting authentication and an authentication result to the received authentication information An information processing system comprising at least one authentication device provided with the authentication means, wherein the information processing device determines to the user if at least one of the authentication results is successful. A predetermined usage identifier having the right of the above may be allocated and used.
また、本発明に係る情報処理方法は、ユーザが認証情報を入力する入力ステップと、表示を行う出力ステップと、他の機器と通信を行う通信ステップと、通信可能な少なくとも1つ以上の認証装置に対して前記認証情報の認証を依頼し、認証結果を受信する認証依頼ステップと、前記認証結果のうち少なくとも1つ以上が認証成功であるかを判定する判定ステップと、前記判定ステップで少なくとも1つ以上が成功であると判定された場合に、ユーザに対して利用を許可する装置利用制御ステップとを有する方法であってもよい。 The information processing method according to the present invention includes an input step for a user to input authentication information, an output step for display, a communication step for communication with another device, and at least one authentication device capable of communication. Requesting authentication of the authentication information and receiving an authentication result, a determination step of determining whether at least one of the authentication results is successful, and at least 1 in the determination step It may be a method having an apparatus usage control step of permitting the user to use when it is determined that one or more are successful.
本発明によれば、機器にユーザアカウントが未登録のユーザに対して、機器の管理者が新規にユーザアカウントを登録することなく、安全にその機器を利用させることができるため、ユーザ毎に機器利用の管理を行う情報処理機器全般に広く適用できる。 According to the present invention, a user who has not registered a user account in the device can use the device safely without newly registering a user account by the device administrator. It can be widely applied to all information processing devices that manage usage.
1,51,61,71,81,91 情報処理機器
2,203 認証機器
5 認証システム
12 入力部(入力手段)
14 認証依頼部(認証依頼手段)
16 判定部(アカウント付与手段)
38 認証依頼受付可否判定部(認証依頼受付可否判定手段)
54 第1認証部(第1の認証手段)
68 機能制限部(機能制限手段)
94 認証結果保持部(認証結果保持手段、利用監視手段)
96 接続処理部(接続処理手段)
1, 51, 61, 71, 81, 91 Information processing equipment 2,203 Authentication equipment 5
14 Authentication request section (authentication request means)
16 Judgment part (account grant means)
38 Authentication Request Acceptance Determination Unit (Authentication Request Acceptance Determination Unit)
54 1st authentication part (1st authentication means)
68 Function restriction unit (Function restriction means)
94 Authentication result holding unit (authentication result holding means, usage monitoring means)
96 Connection processing unit (connection processing means)
Claims (16)
上記入力手段で取得した上記認証情報を認証する第1の認証手段と、
外部の認証機器へ上記認証情報を含む認証依頼データを送信するとともに、当該認証機器より認証結果を受信する認証依頼手段と、を備えることを特徴とする情報処理機器。 Input means for acquiring authentication information for authenticating the user from the user;
First authentication means for authenticating the authentication information acquired by the input means;
An information processing device comprising: authentication request data that transmits authentication request data including the authentication information to an external authentication device and receives an authentication result from the authentication device.
外部の認証機器へ上記入力手段で取得した上記認証情報を含む認証依頼データを送信するとともに、当該認証機器より認証結果を受信する認証依頼手段と、
上記認証依頼手段が上記認証機器より認証成功の結果を受信したとき、所定の権限を有するアカウントを当該ユーザに与えるアカウント付与手段と、
上記認証情報と上記認証機器による認証結果とを少なくとも対応付けて保持する認証結果保持手段と、
外部の認証機器へ接続する際、ユーザの認証情報に基づいて上記認証結果保持手段を参照し、当該認証機器による認証にすでに成功している旨の情報が保持されていれば、上記認証機器との通信を当該認証情報を付加して行う接続処理手段と、を備えることを特徴とする情報処理機器。 Input means for acquiring authentication information for authenticating the user from the user;
An authentication request means for transmitting authentication request data including the authentication information acquired by the input means to an external authentication device, and receiving an authentication result from the authentication device;
When the authentication request means receives a successful authentication result from the authentication device, an account granting means for giving the user an account having a predetermined authority;
Authentication result holding means for holding the authentication information and the authentication result by the authentication device in association with each other;
When connecting to an external authentication device, the authentication result holding means is referred to based on user authentication information, and if information indicating that authentication by the authentication device has already been held is held, An information processing device comprising: a connection processing unit configured to add the authentication information.
複数の外部の認証機器へ上記入力手段で取得した上記認証情報を含む認証依頼データを送信するとともに、当該各認証機器より認証結果を受信する認証依頼手段と、
上記認証依頼手段が上記認証機器の少なくとも1つから認証成功の結果を受信したとき、所定の権限を有するアカウントを当該ユーザに与えるアカウント付与手段と、を備えることを特徴とする情報処理機器。 Input means for acquiring authentication information for authenticating the user from the user;
An authentication request means for transmitting authentication request data including the authentication information acquired by the input means to a plurality of external authentication devices, and receiving an authentication result from the authentication devices;
An information processing device comprising: an account granting unit that gives an account having a predetermined authority to the user when the authentication requesting unit receives a successful authentication result from at least one of the authentication devices.
上記認証依頼データに含まれる上記認証情報に基づいて、認証依頼に応じるか否かを決定する認証依頼受付可否判定手段を備えることを特徴とする認証機器。 An authentication device that receives the authentication request data including the authentication information from the information processing device according to any one of claims 1 to 6, authenticates the authentication information, and transmits the authentication result to the information processing device. Because
An authentication device comprising: an authentication request acceptance determination unit that determines whether to accept an authentication request based on the authentication information included in the authentication request data.
上記入力ステップで取得した上記認証情報を認証する第1の認証ステップと、
外部の認証機器へ上記認証情報を含む認証依頼データを送信するとともに、当該認証機器より認証結果を受信する認証依頼ステップと、を含むことを特徴とする情報処理機器の制御方法。 An input step of acquiring authentication information for authenticating the user from the user;
A first authentication step for authenticating the authentication information acquired in the input step;
A control method for an information processing device, comprising: an authentication request step of transmitting authentication request data including the authentication information to an external authentication device and receiving an authentication result from the authentication device.
外部の認証機器へ上記入力ステップで取得した上記認証情報を含む認証依頼データを送信するとともに、当該認証機器より認証結果を受信する認証依頼ステップと、
上記認証依頼ステップで上記認証機器より認証成功の結果を受信したとき、所定の権限を有するアカウントを当該ユーザに与えるアカウント付与ステップと、
上記認証情報と上記認証機器による認証結果とを少なくとも対応付けて保持する認証結果保持ステップと、
外部の認証機器へ接続する際、ユーザの認証情報に基づいて上記認証結果保持ステップで保持した情報を参照し、当該認証機器による認証にすでに成功している旨の情報が保持されていれば、上記認証機器との通信を当該認証情報を付加して行う接続処理ステップと、を含むことを特徴とする情報処理機器の制御方法。 An input step of acquiring authentication information for authenticating the user from the user;
An authentication request step for transmitting authentication request data including the authentication information acquired in the input step to an external authentication device, and receiving an authentication result from the authentication device;
When an authentication success result is received from the authentication device in the authentication request step, an account granting step for giving the user an account having a predetermined authority;
An authentication result holding step for holding at least the authentication information and the authentication result by the authentication device in association with each other;
When connecting to an external authentication device, refer to the information held in the authentication result holding step based on the user authentication information, and if information indicating that the authentication by the authentication device has already been held is held, And a connection processing step for performing communication with the authentication device by adding the authentication information.
複数の外部の認証機器へ上記入力ステップで取得した上記認証情報を含む認証依頼データを送信するとともに、当該各認証機器より認証結果を受信する認証依頼ステップと、
上記認証依頼ステップが上記認証機器の少なくとも1つから認証成功の結果を受信したとき、所定の権限を有するアカウントを当該ユーザに与えるアカウント付与ステップと、を含むことを特徴とする情報処理機器の制御方法。 An input step of acquiring authentication information for authenticating the user from the user;
An authentication request step for transmitting authentication request data including the authentication information acquired in the input step to a plurality of external authentication devices, and receiving an authentication result from each authentication device;
Control of information processing device, comprising: an account granting step of giving an account having a predetermined authority to the user when the authentication requesting step receives a result of successful authentication from at least one of the authentication devices. Method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004026084A JP2005216260A (en) | 2004-02-02 | 2004-02-02 | Information processing apparatus, authentication apparatus, authentication system, control program and computer readable recording medium with the control program recorded thereon |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004026084A JP2005216260A (en) | 2004-02-02 | 2004-02-02 | Information processing apparatus, authentication apparatus, authentication system, control program and computer readable recording medium with the control program recorded thereon |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005216260A true JP2005216260A (en) | 2005-08-11 |
Family
ID=34908260
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004026084A Withdrawn JP2005216260A (en) | 2004-02-02 | 2004-02-02 | Information processing apparatus, authentication apparatus, authentication system, control program and computer readable recording medium with the control program recorded thereon |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005216260A (en) |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007097024A (en) * | 2005-09-30 | 2007-04-12 | Brother Ind Ltd | Multifunction peripheral device and multifunction peripheral device control program |
JP2007122553A (en) * | 2005-10-31 | 2007-05-17 | Konica Minolta Business Technologies Inc | Server, server system, composite multifunctional terminal and user authenticating method |
JP2009176073A (en) * | 2008-01-24 | 2009-08-06 | Junko Suginaka | Modem device and program |
JP2011118860A (en) * | 2009-11-02 | 2011-06-16 | Canon Inc | Authentication method, information processing apparatus, and computer program |
JP2011198166A (en) * | 2010-03-23 | 2011-10-06 | Konica Minolta Business Technologies Inc | Image processing apparatus and log-in control method |
JP2012235216A (en) * | 2011-04-28 | 2012-11-29 | Panasonic Corp | Communication device, authentication device, communication method, and authentication method |
JP2013101716A (en) * | 2013-03-04 | 2013-05-23 | Ricoh Co Ltd | Authentication system, electronic apparatus, authentication method, authentication program and storage medium |
JP2015212882A (en) * | 2014-05-02 | 2015-11-26 | 船井電機株式会社 | Web page browsing device |
US9300648B2 (en) | 2013-01-31 | 2016-03-29 | Brother Kogyo Kabushiki Kaisha | Image processing apparatus and image processing system |
EP3068098A1 (en) | 2015-03-10 | 2016-09-14 | Ricoh Company, Ltd. | Information processing system, and information processing method |
JP2017054362A (en) * | 2015-09-10 | 2017-03-16 | 大阪瓦斯株式会社 | Equipment information management system |
CN111415245A (en) * | 2020-03-31 | 2020-07-14 | 中国建设银行股份有限公司 | Account opening method and device |
CN112712402A (en) * | 2020-12-23 | 2021-04-27 | 航天信息股份有限公司 | Identity authentication system for issuing electronic invoice |
US11477508B2 (en) | 2007-09-26 | 2022-10-18 | Maxell, Ltd. | Portable terminal, information processing apparatus, content display system and content display method |
-
2004
- 2004-02-02 JP JP2004026084A patent/JP2005216260A/en not_active Withdrawn
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4682781B2 (en) * | 2005-09-30 | 2011-05-11 | ブラザー工業株式会社 | Multifunctional peripheral device and multifunctional peripheral device control program |
JP2007097024A (en) * | 2005-09-30 | 2007-04-12 | Brother Ind Ltd | Multifunction peripheral device and multifunction peripheral device control program |
JP2007122553A (en) * | 2005-10-31 | 2007-05-17 | Konica Minolta Business Technologies Inc | Server, server system, composite multifunctional terminal and user authenticating method |
US11477508B2 (en) | 2007-09-26 | 2022-10-18 | Maxell, Ltd. | Portable terminal, information processing apparatus, content display system and content display method |
JP2009176073A (en) * | 2008-01-24 | 2009-08-06 | Junko Suginaka | Modem device and program |
JP2011118860A (en) * | 2009-11-02 | 2011-06-16 | Canon Inc | Authentication method, information processing apparatus, and computer program |
JP2011198166A (en) * | 2010-03-23 | 2011-10-06 | Konica Minolta Business Technologies Inc | Image processing apparatus and log-in control method |
JP2012235216A (en) * | 2011-04-28 | 2012-11-29 | Panasonic Corp | Communication device, authentication device, communication method, and authentication method |
US9300648B2 (en) | 2013-01-31 | 2016-03-29 | Brother Kogyo Kabushiki Kaisha | Image processing apparatus and image processing system |
JP2013101716A (en) * | 2013-03-04 | 2013-05-23 | Ricoh Co Ltd | Authentication system, electronic apparatus, authentication method, authentication program and storage medium |
JP2015212882A (en) * | 2014-05-02 | 2015-11-26 | 船井電機株式会社 | Web page browsing device |
US10172081B2 (en) | 2015-03-10 | 2019-01-01 | Ricoh Company, Ltd. | Information processing system and information processing method |
EP3068098A1 (en) | 2015-03-10 | 2016-09-14 | Ricoh Company, Ltd. | Information processing system, and information processing method |
JP2017054362A (en) * | 2015-09-10 | 2017-03-16 | 大阪瓦斯株式会社 | Equipment information management system |
CN111415245A (en) * | 2020-03-31 | 2020-07-14 | 中国建设银行股份有限公司 | Account opening method and device |
CN112712402A (en) * | 2020-12-23 | 2021-04-27 | 航天信息股份有限公司 | Identity authentication system for issuing electronic invoice |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9998891B2 (en) | Network system, server, terminal, and information processing method | |
JP3767561B2 (en) | Device authentication device, device authentication method, information processing device, information processing method, and computer program | |
US9160743B2 (en) | Biometrics based electronic device authentication and authorization | |
US7822863B2 (en) | Personal domain controller | |
JP4301997B2 (en) | Authentication method for information appliances using mobile phones | |
US8561157B2 (en) | Method, system, and computer-readable storage medium for establishing a login session | |
US7861090B2 (en) | Electric conference system and control method thereof | |
WO2008093868A9 (en) | Control system and control method for controlling controllable device such as peripheral device, and computer program for control | |
WO2001082086A1 (en) | Access right setting device and manager terminal | |
JP2017506034A (en) | Method, device and system for dynamic network access management | |
JP2005216260A (en) | Information processing apparatus, authentication apparatus, authentication system, control program and computer readable recording medium with the control program recorded thereon | |
JP4511525B2 (en) | Access control system, access control device used therefor, and resource providing device | |
US10938811B2 (en) | Electronic apparatus to process request for having access to host apparatus, control method thereof, and system | |
JP2017212694A (en) | Information processing device, information processing method and program | |
JP5207776B2 (en) | Authentication system, information device, authentication method, and program | |
JP2021022124A (en) | User authentication management apparatus, image processing apparatus including the same, user authentication management method, and user authentication management program | |
JP5558689B2 (en) | REMOTE CONTROL DEVICE, REMOTE CONTROL PROGRAM, REMOTE CONTROL METHOD, AND REMOTE CONTROL SYSTEM | |
KR102340693B1 (en) | METHOD AND HOME IoT SERVICE SYSTEM FOR SETTING USER AUTHORITY | |
KR101980828B1 (en) | Authentication method and apparatus for sharing login ID | |
JP6311804B2 (en) | Terminal device and program | |
JP2002171503A (en) | Digital image communication system and server, and terminal | |
WO2017210977A1 (en) | Method and apparatus for management terminal to access wi-fi | |
JP4943186B2 (en) | Finger vein authentication system | |
WO2024170511A1 (en) | Computer implemented method of accessing a user account from a video end-system | |
JP2012190077A (en) | Authentication system, user terminal device, management device and authentication method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20070403 |