図面 (/)

技術 生体認証システム、生体認証方法、および生体認証装置

出願人 富士通株式会社
発明者 仙波聡史
出願日 2013年5月1日 (6年6ヶ月経過) 出願番号 2013-096138
公開日 2014年11月20日 (5年0ヶ月経過) 公開番号 2014-219711
状態 特許登録済
技術分野 オンライン・システムの機密保護 暗号化・復号化装置及び秘密通信
主要キーワード クリーンナップ バイオ情報 バイオデータ 生態認証 社内サーバ 文字列化 アカウントテーブル 生体認証サーバ
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2014年11月20日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (19)

課題

通信接続時生体認証処理を安全に行なう。

解決手段

DMZに接続された中継サーバは、インターネットに接続された端末から、ユーザのバイオ情報である認証バイオ情報と、認証バイオ情報を識別するための識別子であるバイオ識別子とを受信する。中継サーバは、受信したバイオ識別子と認証バイオ情報とをそれぞれ関連付けて記憶する。中継サーバは、イントラネットに接続された生体認証処理を行なう認証サーバからバイオ識別子を受信すると、受信したバイオ識別子に関連付けられた認証バイオ情報を記憶部から抽出する。そして、中継サーバは、抽出された認証バイオ情報を、認証サーバに送信する。認証サーバは、中継サーバから受信した認証バイオ情報を用いて、生体認証処理を実行する。

概要

背景

近年、社外に持ち出したノートPCなどの情報端末を社内のネットワークであるイントラネットに接続して使用する運用形態が一般的になってきている。このような運用形態においては、認証された情報端末のみをイントラネットに接続することがセキュリティの観点から見て望ましい。

情報端末の認証方法として、パスワード認証が広く用いられているが、パスワード認証には、安易な文字列をパスワードにする、およびパスワードの忘却盗難など、利便性や安全性を低下させる要因が多く存在する。このため、パスワード認証に代わる認証技術として生体認証が注目されている。

生体認証は、生体情報個人特有の情報として使用する認証技術であり、盗難や忘却の危険性を少なくすることができる。

関連する技術として、下記の認証ネットワークシステムが知られている。認証ネットワークシステムでは、第1の認証装置が、通信装置から第1のネットワークを介して第1の認証情報を受信し、第1の認証情報の認証或は非認証を判定し、第1の認証情報を認証した場合に、第2の認証情報を通知する。第2の認証装置が、第2の認証情報を受信し、第2の認証情報を予め登録されている情報と比較し、第2の認証情報の認証或は非認証を判定し、前記第2の認証情報を認証した場合に、接続制御装置に通知する。そして、接続制御装置が、認証された通信装置の接続を第1のネットワークから第2のネットワークに切り替える技術が知られている。

概要

通信接続時生体認証処理を安全に行なう。DMZに接続された中継サーバは、インターネットに接続された端末から、ユーザのバイオ情報である認証バイオ情報と、認証バイオ情報を識別するための識別子であるバイオ識別子とを受信する。中継サーバは、受信したバイオ識別子と認証バイオ情報とをそれぞれ関連付けて記憶する。中継サーバは、イントラネットに接続された生体認証処理を行なう認証サーバからバイオ識別子を受信すると、受信したバイオ識別子に関連付けられた認証バイオ情報を記憶部から抽出する。そして、中継サーバは、抽出された認証バイオ情報を、認証サーバに送信する。認証サーバは、中継サーバから受信した認証バイオ情報を用いて、生体認証処理を実行する。

目的

本発明は、一側面として、通信接続時の生体認証処理を安全に行なう技術を提供する

効果

実績

技術文献被引用数
0件
牽制数
1件

この技術が所属する分野

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

第一のネットワークに接続された端末と、非武装地帯に設置された中継サーバ及びアクセスサーバと、第二のネットワークに接続された認証サーバとを有する生体認証システムにおいて、前記端末は、生体センサから取得した生体情報に基づいて生成された認証バイオ情報を前記中継サーバに送信するとともに、該認証バイオ情報を特定する情報であるバイオ識別子を前記アクセスサーバに送信する送信部を備え、前記生体認証サーバは、前記アクセスサーバから取得した前記バイオ識別子に基づいて前記中継サーバから前記認証バイオ情報を取得する取得部と、取得した前記認証バイオ情報を用いて認証処理を実行する認証部と、を備えることを特徴とする生体認証システム。

請求項2

インターネットに接続された端末と、非武装地帯に設置された中継サーバおよびアクセスサーバと、イントラネットに接続された認証サーバとを有する生体認証システムにおいて、前記端末は、生体センサからユーザを特定する認証バイオ情報を取得する第1の取得部と、前記認証バイオ情報を識別するバイオ識別子を生成する識別子生成部と、前記バイオ識別子と前記認証バイオ情報とを前記中継サーバに送信し、前記バイオ識別子を前記アクセスサーバに送信する通信部と、を備え、前記中継サーバは、記憶部と、前記端末から前記バイオ識別子と前記認証バイオ情報とを受信する第1の受信部と、前記第1の受信部で受信した前記バイオ識別子と前記認証バイオ情報とを関連付けて、前記記憶部に記憶させ、前記認証サーバから前記バイオ識別子を受信すると、前記受信したバイオ識別子に関連付けられた前記認証バイオ情報を前記記憶部から抽出する中継制御部と、前記抽出された認証バイオ情報を、前記認証サーバに送信する送信部と、を備え、前記アクセスサーバは、前記端末から前記バイオ識別子を受信すると、前記バイオ識別子を前記認証サーバに送信する転送部と、を備え、前記認証サーバは、前記アクセスサーバから前記バイオ識別子を受信する第2の受信部と、前記第2の受信部で受信した前記バイオ識別子に関連付けられた前記認証バイオ情報を前記中継サーバの記憶部から取得する第2の取得部と、各ユーザを特定する登録バイオ情報を記憶する、イントラネットに接続された記憶装置検索し、前記第2の取得部で取得した認証バイオ情報と一致する前記登録バイオ情報が前記記憶装置に記憶されているとき、認証が成立したと判定する照合部と、を備えることを特徴とする生体認証システム。

請求項3

前記端末は、さらに、ユーザを識別するユーザ識別子の入力を受け付ける入力部を備え、前記端末の通信部は、前記バイオ識別子と前記ユーザ識別子とを前記アクセスサーバに送信し、前記アクセスサーバの転送部は、前記端末から前記バイオ識別子と前記ユーザ識別子とを受信すると、前記バイオ識別子と前記ユーザ識別子とを前記認証サーバに送信し、前記認証サーバの第2の受信部は、前記アクセスサーバから前記バイオ識別子と前記ユーザ識別子とを受信し、前記認証サーバの照合部は、各ユーザを識別するユーザ識別子と、各ユーザを特定する登録バイオ情報とを関連付けて記憶する、イントラネットに接続された記憶装置から、前記第2の受信部で受信したユーザ識別子に関連付けられた前記登録バイオ情報を取得し、前記取得した登録バイオ情報と、前記第2の取得部で取得した認証バイオ情報とが一致したとき、認証が成立したと判定することを特徴とする請求項2に記載の生体認証システム。

請求項4

前記端末は、さらに、前記認証バイオ情報を暗号化する暗号鍵を生成する鍵生成部と前記鍵生成部で生成された暗号鍵を用いて前記認証バイオ情報を暗号化する暗号化部と、を備え、前記端末の通信部は、前記バイオ識別子と前記暗号化された認証バイオ情報とを前記中継サーバに送信し、前記バイオ識別子と前記暗号鍵とを前記アクセスサーバに送信し、前記中継サーバの第1の受信部は、前記端末から前記バイオ識別子と前記暗号化された認証バイオ情報とを受信し、前記中継サーバの中継制御部は、前記バイオ識別子と前記暗号化された認証バイオ情報とを関連付けて、前記記憶部に記憶させ、前記認証サーバから前記バイオ識別子を受信すると、前記受信したバイオ識別子に関連付けられた前記暗号化された認証バイオ情報を前記記憶部から抽出し、前記中継サーバの送信部は、前記抽出された暗号化された認証バイオ情報を、前記認証サーバに送信し、前記アクセスサーバの転送部は、前記端末から前記バイオ識別子と前記暗号鍵とを受信すると、前記バイオ識別子と前記暗号鍵とを前記認証サーバに送信し、前記認証サーバの第2の取得部は、前記第2の受信部で受信した前記バイオ識別子に関連付けられた前記暗号化された認証バイオ情報を前記中継サーバの記憶部から取得し、前記認証サーバは、さらに、前記第2の受信部で受信した前記暗号鍵を用いて、前記第2の取得部で取得した暗号化された認証バイオ情報を復号する暗号復号部を備え、前記認証サーバの照合部は、前記暗号復号部で復号された認証バイオ情報を用いて生体認証処理を行なうことを特徴とする請求項2または3に記載の生体認証システム。

請求項5

前記端末は、さらに、前記バイオ識別子と前記暗号鍵とを用いてパスワードを生成するパスワード生成部を備え、前記端末の通信部は、前記アクセスサーバに、前記パスワードを送信し、前記アクセスサーバの転送部は、前記端末から前記パスワードを受信すると、前記パスワードを前記認証サーバに送信し、前記認証サーバの第2の受信部は、前記アクセスサーバから前記パスワードを受信し、前記認証サーバは、さらに、前記パスワードを前記バイオ識別子と前記暗号鍵とに分離する分離部を備え、前記認証サーバの第2の取得部は、前記分離部で分離された前記バイオ識別子に関連付けられた前記暗号化された認証バイオ情報を前記記憶部から取得し、前記認証サーバの暗号復号部は、前記分離部で分離された暗号鍵を用いて、前記取得した暗号化された認証バイオ情報を復号することを特徴とする請求項4に記載の生体認証システム。

請求項6

前記暗号鍵は、バイナリデータであり、前記端末は、さらに、前記暗号鍵を文字列化する鍵変換部を備え、前記端末のパスワード生成部は、前記バイオ識別子と、前記文字列化された暗号鍵とを用いてパスワードを生成し、前記認証サーバの分離部は、前記パスワードを前記バイオ識別子と前記文字列化された暗号鍵とに分離し、前記認証サーバは、さらに、前記分離部で分離された文字列化された暗号鍵をバイナリデータに復号する鍵復号部を備え、前記認証サーバの暗号復号部は、前記復号された前記暗号鍵を用いて、前記暗号化された認証バイオ情報を復号することを特徴とする請求項5に記載の生体認証システム。

請求項7

インターネットに接続された端末と、非武装地帯に設置された中継サーバおよびアクセスサーバと、イントラネットに接続された認証サーバとを有する生体認証システムの生体認証方法において、前記端末は、生体センサからユーザを特定する認証バイオ情報を取得し、前記認証バイオ情報を識別するバイオ識別子を生成し、前記バイオ識別子と前記認証バイオ情報とを前記中継サーバに送信し、前記バイオ識別子を前記アクセスサーバに送信し、前記中継サーバは、前記端末から前記バイオ識別子と前記認証バイオ情報とを受信すると、前記バイオ識別子と前記認証バイオ情報とを関連付けて、中継サーバが有する第1の記憶装置に記憶し、前記アクセスサーバは、前記端末から前記バイオ識別子を受信すると、前記バイオ識別子を前記認証サーバに送信し、前記認証サーバは、前記アクセスサーバから前記バイオ識別子を受信すると、前記バイオ識別子に関連付けられた前記認証バイオ情報を前記中継サーバが有する第1の記憶装置から取得し、各ユーザを特定する登録バイオ情報を記憶する、イントラネットに接続された第2の記憶装置を検索し、前記第2の取得部で取得した認証バイオ情報と一致する前記登録バイオ情報が前記第2の記憶装置に記憶されているとき、認証が成立したと判定することを特徴とする生体認証方法。

請求項8

非武装地帯に設置された中継サーバにおいて、インターネットに接続された端末から、ユーザを特定する認証バイオ情報と、前記認証バイオ情報を識別するバイオ識別子とを受信し、かつ、イントラネットに接続された生体認証処理を行なう認証サーバから前記バイオ識別子を受信する受信部と、記憶部と、前記受信部で受信した前記バイオ識別子と前記認証バイオ情報とを関連付けて、前記記憶部に記憶させ、前記受信部が前記認証サーバからバイオ識別子を受信すると、前記受信したバイオ識別子に関連付けられた前記認証バイオ情報を、前記記憶部から抽出する中継制御部と、前記抽出された認証バイオ情報を、前記認証サーバに送信する送信部と、を備えることを特徴とする中継サーバ。

技術分野

0001

本発明は生体認証をする技術に関する。

背景技術

0002

近年、社外に持ち出したノートPCなどの情報端末を社内のネットワークであるイントラネットに接続して使用する運用形態が一般的になってきている。このような運用形態においては、認証された情報端末のみをイントラネットに接続することがセキュリティの観点から見て望ましい。

0003

情報端末の認証方法として、パスワード認証が広く用いられているが、パスワード認証には、安易な文字列をパスワードにする、およびパスワードの忘却盗難など、利便性や安全性を低下させる要因が多く存在する。このため、パスワード認証に代わる認証技術として生体認証が注目されている。

0004

生体認証は、生体情報個人特有の情報として使用する認証技術であり、盗難や忘却の危険性を少なくすることができる。

0005

関連する技術として、下記の認証ネットワークシステムが知られている。認証ネットワークシステムでは、第1の認証装置が、通信装置から第1のネットワークを介して第1の認証情報を受信し、第1の認証情報の認証或は非認証を判定し、第1の認証情報を認証した場合に、第2の認証情報を通知する。第2の認証装置が、第2の認証情報を受信し、第2の認証情報を予め登録されている情報と比較し、第2の認証情報の認証或は非認証を判定し、前記第2の認証情報を認証した場合に、接続制御装置に通知する。そして、接続制御装置が、認証された通信装置の接続を第1のネットワークから第2のネットワークに切り替える技術が知られている。

先行技術

0006

特開2007−280221号公報

発明が解決しようとする課題

0007

前述した生体認証技術では、例えば、社外からインターネットを介してイントラネットに接続するときの認証方法として生体認証を用いる場合、生体認証サーバDMZ(非武装地帯)に設置される。DMZに接続された生体認証サーバは、インターネットから自由にアクセスできる。このため、生体認証サーバは、通信プロトコル脆弱性を利用した攻撃を受けやすく、認証の安全性を確保しづらいという問題がある。

0008

本発明は、一側面として、通信接続時生体認証処理を安全に行なう技術を提供する。

課題を解決するための手段

0009

本明細書で開示する生体認証システムのひとつに、第一のネットワークに接続された端末と、非武装地帯に設置された中継サーバ及びアクセスサーバと、第二のネットワークに接続された認証サーバとを有する生体認証システムがある。

0010

端末は、生体センサから取得した生体情報に基づいて生成された認証バイオ情報を中継サーバに送信するとともに、認証バイオ情報を特定する情報であるバイオ識別子をアクセスサーバに送信する。

0011

生体認証サーバは、取得部と、認証部とを有する。取得部は、アクセスサーバから取得したバイオ識別子に基づいて中継サーバから認証バイオ情報を取得する。認証部は、取得した認証バイオ情報を用いて認証処理を実行する。

発明の効果

0012

本明細書で後述する生体認証システムは、通信接続時の生体認証処理を安全に行なうことができる。

図面の簡単な説明

0013

生体認証システムの一実施例を示すシステム構成図である。
端末の一実施例を示す機能ブロック図である。
バイオ認証部の処理を示すシーケンス図である。
バイオ認証部の処理を示すシーケンス図である。
バイオ認証部の処理を示すシーケンス図である。
パスワードデータのデータ例を示す図である。
認証テーブルのデータ例を示す図である。
アカウントテーブルのデータ例を示す図である。
認証サーバの一実施例を示す機能ブロック図である。
登録テーブルのデータ例を示す図である。
認証サーバの処理を示すシーケンス図である。
認証サーバの処理を示すシーケンス図である。
認証サーバの処理を示すシーケンス図である。
生体認証処理を示すシーケンス図である。
生体認証処理を示すシーケンス図である。
生体認証処理を示すシーケンス図である。
生体認証処理を示すシーケンス図である。
コンピュータ装置の一実施例を示すブロック図である。

実施例

0014

[実施形態]
実施形態の生体認証システムについて説明する。

0015

図1は、生体認証システムの一実施例を示すシステム構成図である。
図1を参照して、生体認証システムについて説明する。図1は、一例として、社外の端末からインターネットを介してイントラネットに接続するときに使用される生体認証システムの構成を示している。

0016

以下の説明では、一例として、生体認証システムにRADIUSプロトコルを適用した構成を説明する。ただし、生体認証システムに適用する認証プロトコルは、RADIUSプロトコルに限定されるものではなく、他の認証プロトコルを適用しても良い。RADIUSとは、Remote Authentication Dial In User Serviceの略である。

0017

生体認証システムは、端末10と、生体センサ20と、インターネット30と、外側ルータ40と、アクセスサーバ50と、中継サーバ60と、内側ルータ70と、受付サーバ80と、認証サーバ90と、管理サーバ100と、社内サーバ110とを有する。ここで、端末10は、インターネット30に接続されている。アクセスサーバ50は、DMZに設置されている。受付サーバ80と、認証サーバ90と、管理サーバ100と、社内サーバ110とは、イントラネットに接続されている。また、端末10と、アクセスサーバ50と、中継サーバ60と、受付サーバ80と、認証サーバ90と、管理サーバ100と、社内サーバ110とは、コンピュータ装置である。

0018

端末10は、入力部11と、バイオ情報生成部12と、バイオ認証部13と、ユーザ認証部14と、通信部15とを有する。

0019

入力部11は、パスワードやユーザID(ユーザ識別子)などの入力を受け付ける。入力部11は、例えば、キーボードタッチパネルなどである。ユーザIDは、ユーザを識別する情報である。なお、入力部11は、端末10がデスクトップパソコンなどであり、端末10が入力装置を有さない場合、外部から端末10に接続されたキーボード、タッチパネルおよびマウスであっても良い。

0020

バイオ情報生成部12は、生体センサ20から入力される生体情報を、所定のパラメータを用いて変換することにより、認証バイオ情報を生成する。そして、バイオ情報生成部12は、認証バイオ情報を生成したあと、生体情報を破棄する。以降の処理では、生体情報に代えて、認証バイオ情報がユーザを特定するための情報として用いられる。これにより、生体認証処理において、認証バイオ情報が盗聴されたとしても、生体情報自体が盗まれないようにしている。

0021

バイオ認証部13は、認証バイオ情報をイントラネットに接続された認証サーバ90に送信するための処理をする。

0022

図2図6を参照してバイオ認証部13の動作を詳細に説明する。
図2は、端末の一実施例を示す機能ブロック図である。図3図5は、バイオ認証部の処理を示すシーケンス図である。図6は、パスワードデータのデータ例を示す図である。

0023

図2を参照して、バイオ認証部13が有する機能の種類を示す。
バイオ認証部13は、取得部131(第1の取得部)と、乱数生成部132と、ヘッダ付与部133と、鍵生成部134と、暗号化部135と、鍵変換部136と、ファイル名生成部137(識別子生成部)と、ファイル生成部138と、パスワード生成部139との機能を有する。

0024

図3図5を参照して、バイオ認証部13が有する各機能で行なう処理の詳細を示すことにより、バイオ認証部13の動作を説明する。

0025

図3に示すように、取得部131は、生体センサ20からバイオ情報生成部12を介して入力される認証バイオ情報を取得する(S100)。生体センサ20は、例えば、指紋虹彩静脈、および声紋などの生体情報を取得するセンサである。以下の説明では、一例として、生体センサ20が指紋センサであるものとする。このとき、取得部131で取得されるバイオ情報は、例えば、5KB程度である。なお、ユーザの選択に応じて、取得部131は、生体センサ20から取得した生体情報をそのままバイオ情報として用いても良い。

0026

そして、取得部131は、取得した認証バイオ情報をヘッダ付与部133に通知する(S101)。

0027

ヘッダ付与部133は、認証バイオ情報をハッシュ関数代入することにより求められたハッシュ値である確認ヘッダを認証バイオ情報に付与する(S102)。確認ヘッダは、認証サーバ90において、後述する確認ヘッダが付与された認証バイオ情報が暗号化された暗号化バイオ情報を復号するとき、正常に暗号化バイオ情報が復号され、正しく認証バイオ情報を取り出せたか否かを判定するときに用いられる。ハッシュ関数としては、例えば、SHA−256などの一方向ハッシュ関数を用いても良い。また、SHA−256を用いた場合、確認ヘッダのデータ長は、32byteになる。なお、SHA−256は、Secure Hash Algorithm 256bitの略である。また、端末10は、確認ヘッダの付与に代えて、暗号化バイオ情報の復号の結果が正しいか否かを判定するための他のアルゴリズムを用いても良い。ユーザの選択に応じて、ヘッダ付与部133は、確認ヘッダを認証バイオ情報に付与しなくても良い。

0028

そして、ヘッダ付与部133は、確認ヘッダを付与した認証バイオ情報を暗号化部135に通知する(S103)。

0029

鍵生成部134は、乱数生成部132で生成された乱数を用いて、確認ヘッダが付与された認証バイオ情報を暗号化するための暗号鍵を生成する(S104)。暗号鍵は、例えば、AES−256で用いられる32byteの暗号鍵でも良い。なお、AES−256は、Advanced Encryption Standardの略である。

0030

そして、鍵生成部134は、生成した暗号鍵を暗号化部135に通知する(S105)。

0031

暗号化部135は、鍵生成部134で生成された暗号鍵を用いて確認ヘッダが付与された認証バイオ情報を暗号化し、暗号化バイオ情報を生成する(S106)。このとき、暗号化部135で生成された暗号化バイオ情報は、確認ヘッダが付与された認証バイオ情報よりも多少大きくなる傾向があるが、およそ5KB程度である。なお、ユーザの選択に応じて、暗号化部135は、確認ヘッダや認証バイオ情報を暗号化しなく得も良い。

0032

図4に示すように、鍵生成部134は、生成した暗号鍵を鍵変換部136に通知する(S200)。なお、S200は、S105と連続して行なわれても良い。

0033

鍵変換部136は、鍵生成部134で生成されたバイナリデータである暗号鍵を文字列化する(201)。これにより、端末10は、バイナリデータを載せられないアクセス要求パケットを用いる認証プロトコルにおいても、文字列化した暗号鍵をアクセス要求パケットに載せて暗号鍵を認証サーバ90に送信することができる。端末10は、例えば、RADIUSパケットのパスワードデータ(パスワード)として、暗号鍵を認証サーバ90に送信する。しかし、RADIUSパケットのパスワードデータでは、バイナリデータが載せられないものがある。このとき、端末10は、暗号鍵を文字列化することにより、暗号鍵をRADIUSパケットのパスワードデータに載せてアクセスサーバ50に送信することを可能にする。また、鍵変換部136は、例えば、BASE64を用いて、バイナリデータである暗号鍵をASCII文字列に変換する。BASE64は、例えば、インターネットで用いられているメールの送信技術に良く使用されている変換方法であり、変換後のデータ長が元のバイナリデータのデータ長の約1.33倍になる。暗号鍵として、例えば、AES−256で用いられる32byteの暗号鍵を用いると、鍵変換部136で生成される文字列化された暗号鍵は、44Byteとなる。

0034

ファイル名生成部137は、乱数生成部132で生成された乱数を用いて、ファイルネーム(バイオ識別子)を生成する(S202)。ファイルネームは、暗号化バイオ情報を識別するために用いられる。ファイル名生成部137は、例えば、乱数生成部132で生成された乱数を、数字アルファベットで構成される文字列に変換し、ファイルネームを生成する。

0035

ファイル名生成部137は、例えば、ファイルネームの制限事項として、ファイルネームの先頭がアルファベットであることが指定されているとき、ファイルネームの先頭の文字を「f」とする。さらに、ファイル名生成部137は、例えば、アルファベットの大文字小文字とを区別しないOSでもファイルネームを区別できるように、乱数の先頭から4bitずつ、それぞれ「0」〜「9」および「a」〜「f」に割り当てる。これにより、ファイル名生成部137は、乱数生成部132で生成された32Byteの乱数から65Byteの文字列であるファイルネームを生成しても良い。ただし、ファイル名生成部137のファイルネームの生成方式は、上記に限定されるものではなく、ファイルネームの制限事項やOSの種類により適宜選択しても良い。

0036

ファイル名生成部137は、生成したファイルネームをファイル生成部138に通知する(S203)。

0037

暗号化部135は、生成した暗号化バイオ情報をファイル生成部138に通知する(S204)。

0038

ファイル生成部138は、暗号化部135で生成した暗号化バイオ情報に、ファイル名生成部137で生成したファイルネームを関連付けてファイル化する。なお、以下の説明において、暗号化バイオ情報をファイル化することを、暗号化バイオ情報にファイルネームを関連付けるとも言う。

0039

図5に示すように、鍵変換部136は、文字列化した暗号鍵をパスワード生成部139に通知する(S300)。

0040

ファイル名生成部137は、生成したファイルネームをパスワード生成部139に通知する(S301)。

0041

パスワード生成部139は、鍵変換部136で文字列化した暗号鍵と、ファイル名生成部137で生成したファイルネームとを接続して、パスワードデータを生成する(S302)。パスワードデータは、例えば、鍵変換部136で生成された文字列化された暗号鍵が44Byteの文字列であり、ファイル名生成部137で生成されたファイルネームが65Byteの文字列であるとき、109byteである。図6に示すように、パスワードデータ600は、例えば、65文字の文字列であるファイルネームと、BASE64で文字列化された44文字の暗号鍵が接合された文字列のデータであっても良い。これにより、端末10は、認証プロトコルのパスワードデータに109byte以上のデータを載せられるとき、認証サーバ90に文字列化した暗号鍵とファイルネームとを送信することができる。また、端末10は、パスワードデータにバイナリデータを載せることができないアクセス要求パケットを用いた場合でも、認証サーバ90にアクセス要求パケットのパスワードデータとしてファイルネームと暗号鍵とを送信することができる。

0042

図1を参照して説明する。
ユーザ認証部14は、例えば、端末10が社内サーバ110と通信を行なうとき、通信部15からの要求により起動される。すなわち、通信部15は、例えば、インターネット30に接続された端末10と、イントラネットに接続された社内サーバ110との通信を行なうとき、ユーザの認証を行なうため、ユーザ認証部14を起動する。

0043

ユーザ認証部14は、バイオ認証部13で生成されたパスワードデータと、入力部11に入力されたユーザIDとを取得する。そして、ユーザ認証部14は、受付サーバ80を宛先に指定して、取得したパスワードデータとユーザIDとを通信部15に通知する。

0044

また、ユーザ認証部14は、認証サーバ90から受付サーバ80を介して認証結果を取得する。そして、ユーザ認証部14は、認証サーバ90でユーザの認証が成功し、イントラネットとの通信が許可されたとき、イントラネットとの通信を開始する処理をする。ユーザ認証部14は、例えば、認証サーバ90でユーザの認証が成功し、アクセスサーバ50から共通鍵が送られてきたとき、VPN(Virtual Private Network)による通信を開始する処理をする。

0045

ユーザ認証部14の機能は、例えば、RADIUSサプリカントという、各種RADIUSプロトコルを実現するソフトウェアで実現しても良い。

0046

通信部15は、バイオ認証部13で生成されたパスワードデータと、入力部11に入力されたユーザIDとがユーザ認証部14から通知されたとき、アクセスサーバ50にパスワードデータとユーザIDとを送信する。すなわち、通信部15は、鍵変換部136で文字列化した暗号鍵と、ファイル名生成部137で生成したファイルネームと、入力部11に入力されたユーザIDとをアクセスサーバ50に送信する。

0047

通信部15は、バイオ認証部13で生成されたファイル化された暗号化バイオ情報をバイオ認証部13から取得し、中継サーバ60に送信する。すなわち、通信部15は、暗号化部135で生成した暗号化バイオ情報と、ファイル名生成部137で生成したファイルネームとを中継サーバ60に送信する。また、通信部15は、アクセスサーバ50や中継サーバ60との間の通信に、SSL(Secure Socket Layer)などの暗号化通信プロトコルを使用し、データを暗号化して送受信する。通信部15は、例えば、アクセスサーバ50や中継サーバ60との間の通信に、FTPS、SFTP、およびHTTPSなどの通信プロトコルを用いる。

0048

また、通信部15は、ユーザ認証部14から認証成功が通知されると、VPNによるイントラネットに接続された社内サーバ110との通信を行なう。

0049

通信部15の機能は、例えば、VPNクライアントというソフトウェアを用いて実現しても良い。

0050

外側ルータ40は、DMZとインターネット30との間に設置されたルータであり、ファイアウォールとしての機能を持つ。また、外側ルータ40には、パケットが直接内側ルータ70に届かないように、ルーティング規則が設定されている。外側ルータ40は、例えば、イントラネットに接続された機器と、インターネット30に接続された機器との間の通信に必要なポートのみが明けられていても良い。外側ルータ40は、例えば、RADIUS、SMTP、DNS、SSL、VPNなどに用いられるポートのみ開けられていても良い。

0051

アクセスサーバ50は、転送部51を有する。
転送部51は、端末10からパスワードデータを受信すると、受付サーバ80を介して認証サーバ90にパスワードデータを送信する。転送部51は、端末10からユーザIDを受信すると、受付サーバ80を介してユーザIDを認証サーバ90に送信する。すなわち、転送部51は、鍵変換部136で文字列化した暗号鍵と、ファイル名生成部137で生成したファイルネームと、入力部11に入力されたユーザIDとを端末10から認証サーバ90に転送する。

0052

アクセスサーバ50は、例えば、RADIUS Proxy機能付VPNサーバである。RADIUS Proxy機能とは、RADIUSプロトコルで運ばれてきたパスワードデータを、他のRADIUSサーバ中継する機能である。また、RADIUS Proxy機能付VPNサーバでは、パスワードデータを中継したRADIUSサーバから認証成功の通知を受けたとき、RADIUS Proxy機能付VPNサーバが有する機能を端末10に提供する。RADIUS Proxy機能付VPNサーバが有する機能とは、例えば、VPN機能などがある。これにより、ユーザは、端末10から社内サーバ110にVPNを用いて通信をすることができる。

0053

中継サーバ60は、記憶部61(第1の記憶装置)と、受信部62(第1の受信部)と、中継制御部63と、送信部64とを有する。
記憶部61は、認証テーブル200と、アカウントテーブル300とを格納する。

0054

図7は、認証テーブルのデータ例を示す図である。図8は、アカウントテーブルのデータ例を示す図である。

0055

図7に示すように、認証テーブル200には、端末10から受信したファイル化された暗号化バイオ情報が格納される。すなわち、認証テーブル200には、ファイルネームと暗号化バイオ情報とが関連付けられて格納される。なお、図7に示すように、認証テーブル200では、例えば、格納を受け付けるファイル名を65文字と長くすることにより、ファイル名の衝突の可能性を低くしても良い。

0056

図8に示すように、アカウントテーブル300には、ユーザIDと、パスワードと、コマンド制限が格納されている。

0057

受信部62は、端末10からファイル化された暗号化バイオ情報を受信する。
中継制御部63は、受信部62で受信したファイル化された暗号化バイオ情報を認証テーブル200に格納する。すなわち、中継制御部63は、ファイルネームと暗号化バイオ情報とを関連付けて、認証テーブル200に格納する。

0058

また、中継制御部63は、認証サーバ90からファイルネームを受信すると、受信したファイルネームに関連付けられた暗号化バイオ情報を認証テーブル200から抽出する。そして、中継制御部63は、抽出した暗号化バイオ情報を送信部64に通知する。その後、中継制御部63は、抽出した暗号化バイオ情報が属するレコードを削除する。なお、中継制御部63によるレコードの削除は、記憶部61のクリーンナップのために行なわれる。そして、中継制御部63によるレコードの削除は、認証サーバ90からファイルネームを受信するときに、認証サーバ90から要求されることにより行なわれても良い。

0059

中継制御部63は、端末10や認証サーバ90から認証テーブル200へのアクセス要求があると、アクセス要求とともに通知されるアカウント名に基づいて、認証テーブル200の書き込みや閲覧に対するコマンド制限を行なう。

0060

中継制御部63は、例えば、記憶部61に、図8に示すアカウントテーブル300が格納されているとき、端末10から、アカウント名:biouserで認証テーブル200へのアクセス要求があるとする。このとき、中継制御部63は、認証テーブル200へのアクセス要求をしてきた端末10に対して、パスワードの入力を求めないが、認証テーブル200にファイルを置くことだけを許可する。よって、端末10は、他のファイルを閲覧することはできない。

0061

中継制御部63は、例えば、記憶部61に、図8に示すアカウントテーブル300が格納されているとき、認証サーバ90から、アカウント名:bioseverで認証テーブル200へのアクセス要求があるとする。このとき、中継制御部63は、認証テーブル200へのアクセス要求をしてきた認証サーバ90に対して、パスワードの入力を求める。そして、中継制御部63は、認証サーバ90からパスワードが入力されると、認証サーバ90に認証テーブル200に格納されている全てのファイルの取得と、認証テーブル200のクリーンナップのための削除を許可する。生体認証システムでは、例えば、認証サーバ90などの限られたサーバにbioseverのパスワードを所持させることにより、外部からの不正なアクセスによる認証テーブル200への書き込みや閲覧を制限している。

0062

また、中継制御部63は、例えば、端末10からファイル化された暗号化バイオ情報を受信し、認証テーブル200に書き込んだあと、ファイルのパーミッション書き込み不可としても良い。これにより、認証テーブル200に格納された各レコードに、許可なく他のレコードが上書きされることを防ぐことができる。

0063

送信部64は、中継制御部63に抽出された暗号化バイオ情報を、認証サーバ90に送信する。また、送信部64は、認証サーバ90との間の通信に、SSLなどの暗号化通信プロトコルを使用し、データを暗号化して送受信する。送信部64は、例えば、認証サーバ90との間の通信に、FTPS、SFTP、およびHTTPSなどの通信プロトコルを用いる。

0064

中継サーバ60は、例えば、これまで使用されてきて、十分に実績があり、FTPSやSFTPを動かすために最小限に機能を限定したOSで動作しても良い。中継サーバ60のOSには、例えば、Redhat(登録商標)、Enterprize Linux(登録商標)5.x系や、Windows(登録商標) Server 2008などを用いても良い。そして、中継サーバ60は、最小限に機能を限定したOSでFTPSまたはSFTPを使用可能なサーバソフトを動作させる。サーバソフトとしては、例えば、Linuxのvsftpd-2.3.5、またはWindows ServerのIIS7系を用いても良い。

0065

内側ルータ70は、DMZとイントラネットとの間に設置されたルータであり、ファイアウォールとしての機能を持つ。内側ルータ70は、インターネットから送られてきたパケットを通過させないように、ルーティング規則が設定されている。内側ルータ70は、アクセスサーバ50や中継サーバ60から送られてきたパケットを通過させる。

0066

また、内側ルータ70は、許可された通信プロトコルのパケットをイントラネットからDMZに通過させる。許可された通信プロトコルとは、例えば、イントラネットに認証サーバ90や受付サーバ80が接続されているとき、会社から許可された通信プロトコルであり、例えば、RADIUS、SSL、HTTPS、FTPSおよびSFTPなどである。なお、イントラネットから内側ルータ70を通過してDMZに送られてきたパケットは、アクセスサーバ50を介してインターネットへ送信されても良い。

0067

受付サーバ80は、アクセスサーバ50からユーザIDと、パスワードデータとを受信し、受信したユーザIDと、パスワードデータとを認証サーバ90に通知する。また、受付サーバ80は、認証サーバ90から認証成功の通知を取得すると、アクセスサーバ50に認証成功を通知する。

0068

受付サーバ80は、例えば、RADIUSサーバである。ただし、受付サーバ80は、ユーザIDとパスワードの認証を認証サーバ90に委譲する。したがって、受付サーバ80は、RADIUSプロトコルによる通信で、ユーザIDとパスワードデータとを受信したとき、受信したユーザIDとパスワードデータとを認証サーバ90に通知し、認証サーバ90からの認証結果の通知を待つ。

0069

図9図13を参照して認証サーバ90と管理サーバ100の動作を詳細に説明する。
図9は、認証サーバの一実施例を示す機能ブロック図である。図10は、登録テーブルのデータ例を示す図である。図11図13は、認証サーバの処理を示すシーケンス図である。

0070

図9を参照して、認証サーバ90と管理サーバ100が有する機能の種類を示す。
認証サーバ90は、受信部91(第2の受信部)と、分離部92と、鍵復号部93と、取得部94(第2の取得部)と、暗号復号部95と、照合部96とを有する。

0071

管理サーバ100は、記憶部101(第2の記憶装置)と、入力部102と、検索部103とを有する。記憶部101は、登録テーブル400を記憶する。

0072

図10に示すように、登録テーブル400には、各ユーザを識別するユーザIDと、各ユーザを特定する登録バイオ情報とが関連付けられて格納されている。登録テーブル400へのユーザIDと登録バイオ情報との登録は、ユーザ登録時に予め行なわれても良い。ユーザIDは、管理サーバ100が有する入力部102から入力されたユーザIDを、登録テーブル400に格納しても良い。登録バイオ情報は、管理サーバ100が有する図示しない生体センサで取得した生体情報を所定のテンプレートを用いてバイオ情報に変換し、登録テーブル400に格納しても良い。なお、所定のテンプレートは、端末10と同じものを用いても良い。これにより、同じユーザの認証バイオ情報と登録バイオ情報とは、同じユーザのバイオ情報になる。

0073

図11図13を参照して、認証サーバ90と管理サーバ100とが有する各機能で行なう処理の詳細を示すことにより、認証サーバ90と管理サーバ100との動作を説明する。

0074

図11に示すように、受信部91は、アクセスサーバ50から受付サーバ80を介して、ユーザIDとパスワードデータとを受信する(S400)。

0075

そして、受信部91は、受信したパスワードデータを分離部92に通知する(S401)。さらに、受信部91は、受信したユーザIDを照合部96に通知する(S402)。

0076

分離部92は、受信部91から通知されたパスワードデータを、ファイルネームと、文字列化した暗号鍵とに分離する(S403)。

0077

そして、分離部92は、パスワードデータを分離して得られた文字列化された暗号鍵を鍵復号部93に通知する(S404)。さらに、分離部92は、パスワードデータを分離して得られたファイルネームを取得部94に通知する(S405)。

0078

図12に示すように、鍵復号部93は、通知された文字列化された暗号鍵を復号し、バイナリデータの暗号鍵にする(S500)。そして、鍵復号部93は、バイナリデータの暗号鍵を暗号復号部95に通知する(S501)。以下の説明において、単に暗号鍵と記載したとき、暗号鍵は、バイナリデータの暗号鍵であるものとする。

0079

取得部94は、分離部92から通知されたファイルネームに関連付けられた暗号化バイオ情報を、中継サーバ60の記憶部から取得する(S502)。取得部94は、例えば、中継サーバ60の記憶部61にアカウントテーブル300が記憶されているとき、アカウント名:bioserverを指定して、認証テーブル200へのアクセス要求を送信する。そして、取得部94は、中継サーバ60の中継制御部63から要求されるbioseverのパスワードを、中継制御部63に通知することにより、認証テーブル200にアクセスし、ファイルネームに関連付けられた暗号化バイオ情報を取得する。その後、取得部94は、取得した暗号化バイオ情報が属するレコードを削除する要求を中継サーバ60に送信し、認証テーブル200から取得した暗号化バイオ情報が属するレコードを削除しても良い。認証サーバ90は、FTPSやSFTPを用いて、中継サーバ60と通信しても良い。

0080

そして、取得部94は、取得した暗号化バイオ情報を暗号復号部95に通知する(S503)。

0081

暗号復号部95は、取得部94から通知された暗号化バイオ情報を、鍵復号部93から通知された暗号鍵で復号する。これにより、暗号復号部95は、暗号化バイオ情報から認証バイオ情報と確認ヘッダを取得する(S504)。

0082

そして、暗号復号部95は、確認ヘッダを確認し、暗号化バイオ情報から取得した認証バイオ情報が正しいか否かを判定する(S505)。暗号復号部95は、例えば、ヘッダ付与部133が有するハッシュ関数と同じハッシュ関数を有する。暗号復号部95は、S504で取得した認証バイオ情報をハッシュ関数に代入することで得たハッシュ値と、S102で、ヘッダ付与部133により算出されたハッシュ値である確認ヘッダが同じ値であるとき、得られた認証バイオ情報が正しいと判定する。暗号復号部95は、得られた認証バイオ情報が正しくないとき、ユーザに対して再度の生体情報の入力を要求しても良い。

0083

そして、暗号復号部95は、S504で得られた認証バイオ情報が正しいと判定すると、復号成功を照合部96に通知する(S506)。

0084

図13に示すように、照合部96は、暗号復号部95から復号成功を通知されると、S402で受信部91から通知されたユーザIDに関連付けられた登録バイオ情報を、登録テーブル400から取得する(S600)。照合部96は、例えば、ユーザIDを管理サーバ100の検索部103に通知する。検索部103は、ユーザIDに関連付けられた登録バイオ情報を登録テーブル400から検索し、ユーザIDに関連付けられた登録バイオ情報を抽出する。検索部103は、抽出した登録バイオ情報を照合部96に通知する。これにより、照合部96は、登録テーブル400からユーザIDに関連付けられた登録バイオ情報を取得する。

0085

また、登録テーブル400に登録されているレコードが少ないとき、照合部96は、S504で得られた認証バイオ情報を管理サーバ100の検索部103に通知しても良い。このとき、検索部103は、認証バイ情報と同じ登録バイオ情報が登録テーブル400に格納されているかを検索し、認証バイ情報と同じ登録バイオ情報を抽出する。検索部103は、抽出した登録バイオ情報を照合部96に通知する。これにより、照合部96は、登録テーブル400からユーザIDに関連付けられた登録バイオ情報を取得する。

0086

照合部96は、検索部103から取得した登録バイオ情報と、取得部94で取得した暗号化バイオ情報から得られた認証バイオ情報とを一致判定する(S601)。

0087

照合部96は、検索部103から取得した登録バイオ情報と、取得部94で取得した暗号化バイオ情報から得られた認証バイオ情報とが同じユーザの同じ指から生成されたバイオデータであると判断したとき、認証成功と判定する(S602)。また、照合部96は、検索部103から取得した登録バイオ情報と、取得部94で取得した暗号化バイオ情報から得られた認証バイオ情報とが異なるとき、認証失敗と判定する。

0088

以上のように、認証サーバ90と管理サーバ100とは、連携して、登録バイ情報と認証バイオ情報とが一致するか否かを判定することにより、生体認証を行なう。

0089

図1に図示した社内サーバ110とは、例えば、会社などのイントラネットに接続された各種業務用のサービスを提供するサーバである。なお、イントラネットに設置されるサービスを提供するサーバは、社内サーバ110に限定されるものではなく、ユーザの用途に応じてホームサーバなどを設置しても良い。

0090

図14図17を参照して生体認証システムの生体認証処理を説明する。
図14図17は、生体認証処理を示すシーケンス図である。以下の説明では、端末10と、アクセスサーバ50と、中継サーバ60と、認証サーバ90との動作を説明する。端末10と、アクセスサーバ50と、中継サーバ60と、認証サーバ90との内部の処理については、図1図13を用いて説明した各処理と同じである。

0091

図14に示すように、端末10は、ユーザが入力部11で入力するユーザIDを取得する(S10)。このとき、取得するユーザIDは、例えば、文字列である。

0092

端末10は、生体センサ20から取得した生体情報を、所定のパラメータを用いて変換することにより、認証バイオ情報を取得する(S11)。

0093

端末10は、乱数を用いて暗号鍵を生成する(S12)。このとき、生成される暗号鍵は、例えば、バイナリデータである。

0094

端末10は、乱数を用いてファイルネームを生成する(S13)。このとき、生成されるファイルネームは、例えば、文字列である。

0095

端末10は、認証バイオ情報に確認ヘッダを付与する(S14)。このとき、端末10は、認証バイオ情報をハッシュ関数に代入することにより得られたハッシュ値を確認ヘッダとする。

0096

端末10は、S12で生成した確認ヘッダが付与された認証バイオ情報を暗号化する(S15)。

0097

端末10は、S13で生成したファイルネームを用いて暗号化バイオ情報をファイル化する(S16)。すなわち、端末10は、ファイルネームと暗号化バイオ情報を関連付ける。

0098

端末10は、ファイル化した暗号化バイオ情報を中継サーバ60に送信する(S17)。このとき、端末10は、例えば、FTPSまたはSFTPで中継サーバ60と通信する。また、端末10は、例えば、中継サーバ60にアカウントテーブル300が格納されているとき、中継サーバ60に対してアカウント名:biouserで認証テーブル200へのアクセス要求をする。

0099

図15に示すように、中継サーバ60は、ファイル化した暗号化バイオ情報を端末10から受信すると、認証テーブル200にファイル化した暗号化バイオ情報を格納する(S20)。すなわち、中継サーバ60は、ファイルネームと暗号化バイオ情報とを関連付けて認証テーブル200に登録する。中継サーバ60は、例えば、アカウントテーブル300が格納されているとき、端末10からアカウント名:biouserで認証テーブル200へのアクセス要求があると、端末10から受信したファイル化した暗号化バイオ情報を認証テーブル200に格納する。

0100

端末10は、S12で生成したバイナリデータの暗号鍵を文字列化する(S21)。
端末10は、S13で生成したファイルネームと、S21で文字列化した暗号鍵とを接合し、パスワードデータを生成する(S22)。

0101

端末10は、S10で取得したユーザIDと、S22で生成したパスワードデータとをアクセスサーバ50に送信する(S23)。このとき、端末10は、例えば、アクセスサーバ50とSSLにより通信を行なう。

0102

アクセスサーバ50は、端末10から受信したユーザIDとパスワードデータとを、受付サーバ80を介して認証サーバ90に送信する(S24)。受付サーバ80は、例えば、RADIUSサーバである。

0103

認証サーバ90は、パスワードデータを受信すると、パスワードデータをファイルネームと文字列化された暗号鍵に分離する(S25)。

0104

認証サーバ90は、文字列化された暗号鍵をバイナリデータに変換する(S26)。
また、認証サーバ90は、S25でパスワードデータを分離して得られたファイルネームを中継サーバ60に送信する(S27)。このとき、認証サーバ90は、例えば、FTPSまたはSFTPで中継サーバ60と通信する。

0105

図16に示すように、中継サーバ60は、認証サーバ90から受信したファイルネームに関連付けられた暗号化バイオ情報を、認証テーブル200から抽出する(S30)。認証サーバ90は、例えば、中継サーバ60にアカウントテーブル300が格納されているとき、中継サーバ60に対してアカウント名:bioserverで認証テーブル200へのアクセス要求をする。中継サーバ60は、例えば、認証サーバ90からアカウント名:bioserverで認証テーブル200へのアクセス要求があると、認証サーバ90にパスワードの入力を要求する。そして、中継サーバ60は、認証サーバ90からパスワードの入力があると、認証サーバ90から受信したファイルネームに関連付けられた暗号化バイオ情報を、認証テーブル200から抽出しても良い。また、中継サーバ60は、認証サーバ90からパスワードの入力があると、認証サーバ90から受信したファイルネームに関連付けられた暗号化バイオ情報を、認証テーブル200から抽出したあと、抽出したレコードを削除しても良い。

0106

中継サーバ60は、S30で抽出した暗号化バイオ情報を認証サーバ90に送信する(S31)。このとき、中継サーバ60は、例えば、FTPSまたはSFTPで認証サーバ90と通信する。

0107

中継サーバ60は、S31で送信した暗号化バイオ情報のファイルを、認証テーブル200から削除する(S32)。

0108

認証サーバ90は、中継サーバ60からS30で抽出した暗号化バイオ情報を受信すると、S26でバイナリデータに変換した暗号鍵を用いて暗号化バイオ情報を復号する。これにより、認証サーバ90は、認証バイオ情報と確認ヘッダとを取得する(S33)。

0109

認証サーバ90は、S33で取得した確認ヘッダを用いて、S33で復号した認証バイオ情報が正しいか否かを判定する(S34)。認証サーバ90は、認証バイオ情報をS14で用いたハッシュ関数でハッシュ値に変換し、確認ヘッダと比較する。これにより、認証サーバ90は、変換したハッシュ値と確認ヘッダとが一致するとき、復号された認証バイオ情報が正しいと判定する。認証サーバ90は、得られた認証バイオ情報が正しくないとき、ユーザに対して再度の生体情報の入力を要求しても良い。

0110

認証サーバ90は、S34において、復号した認証バイオ情報が正しいとき、登録テーブル400から、S24で取得したユーザIDに関連付けられた登録バイオ情報を取得する(S35)。

0111

認証サーバ90は、S35で取得した登録バイオ情報とS33で取得した認証バイオ情報とを照合する(S36)。認証サーバ90は、登録バイオ情報と認証バイオ情報とが異なるとき、認証失敗と判定する。このとき、認証サーバ90は、端末10に認証が失敗したことを通知しても良い。認証サーバ90は、認証が失敗したとき、再度の認証処理を端末10に要求しても良いし、認証処理を終了しても良い。

0112

図17に示すように、認証サーバ90は、S36の照合の結果、登録バイオ情報と認証バイオ情報とが一致したとき、認証成功と判定する(S40)。

0113

認証サーバ90は、S36で認証成功の判定をすると、受付サーバ80を介して認証成功をアクセスサーバ50に通知する(S41)。

0114

アクセスサーバ50は、端末10にVPNによる通信の許可を通知する(S42)。このとき、アクセスサーバ50は、例えば、共通鍵などのVPN通信に必要な情報を端末10に送信する。

0115

端末10は、アクセスサーバ50からVPNによる通信の許可を受信すると、アクセスサーバ50との間に安全な暗号化経路確立し、社内サーバ110とのアクセスを開始する(S43)。

0116

図18は、コンピュータ装置の一実施例を示すブロック図である。
端末10と、アクセスサーバ50と、中継サーバ60と、受付サーバ80と、認証サーバ90と、管理サーバ100と、社内サーバ110とは、例えば、図18に示すコンピュータ装置500である。

0117

図18を参照して、端末10と、アクセスサーバ50と、中継サーバ60と、受付サーバ80と、認証サーバ90と、管理サーバ100と、社内サーバ110との構成について説明する。

0118

図18において、コンピュータ装置500は、制御回路501と、記憶装置502と、読取装置503と、記録媒体504と、通信インターフェイス505(通信I/F)と、入出力インターフェイス506(入出力I/F)と、ネットワーク507とを備えている。また、各構成要素は、バス508により接続されている。

0119

制御回路501は、コンピュータ装置500全体の制御をする。そして、制御回路501は、例えば、CPU、マルチコアCPU、FPGA(Field Programmable Gate Array)およびPLD(Programmable Logic Device)などである。

0120

コンピュータ装置500が端末10であるとき、制御回路501は、例えば、図1において、入力部11と、バイオ情報生成部12と、バイオ認証部13と、ユーザ認証部14と、通信部15として機能する。コンピュータ装置500がアクセスサーバ50であるとき、制御回路501は、例えば、図1において、転送部51として機能する。コンピュータ装置500が中継サーバ60であるとき、制御回路501は、例えば、図1において、中継制御部63として機能する。コンピュータ装置500が認証サーバ90であるとき、制御回路501は、例えば、図9において、分離部92と、鍵復号部93と、取得部94と、暗号復号部95と、照合部96として機能する。コンピュータ装置500が管理サーバ100であるとき、制御回路501は、例えば、図9において、検索部103として機能する。

0121

記憶装置502は、各種データを記憶する。そして、記憶装置502は、例えば、ROM(Read Only Memory)およびRAM(Random Access Memory)などのメモリや、HD(Hard Disk)などで構成される。

0122

コンピュータ装置500が中継サーバ60であるとき、記憶装置502は、例えば、図1において、記憶部61として機能する。コンピュータ装置500が管理サーバ100であるとき、記憶装置502は、例えば、図9において、記憶部101として機能する。

0123

また、ROMは、ブートプログラムなどのプログラムを記憶している。RAMは、制御回路501のワークエリアとして使用される。HDは、OS、アプリケーションプログラムファームウェアなどのプログラム、および各種データを記憶している。

0124

コンピュータ装置500が端末10であるとき、記憶装置502は、例えば、制御回路501を、入力部11と、バイオ情報生成部12と、バイオ認証部13と、ユーザ認証部14と、通信部15として機能させるプログラムを記憶する。コンピュータ装置500がアクセスサーバ50であるとき、記憶装置502は、例えば、制御回路501を、転送部51として機能させるプログラムを記憶する。コンピュータ装置500が中継サーバ60であるとき、記憶装置502は、例えば、制御回路501を、中継制御部63として機能させるプログラムを記憶する。コンピュータ装置500が認証サーバ90であるとき、記憶装置502は、例えば、制御回路501を、分離部92と、鍵復号部93と、取得部94と、暗号復号部95と、照合部96として機能させるプログラムを記憶する。コンピュータ装置500が管理サーバ100であるとき、記憶装置502は、例えば、制御回路501を、検索部103として機能させるプログラムを記憶する。

0125

そして、生体認証処理をするとき、端末10と、アクセスサーバ50と、中継サーバ60と、認証サーバ90と、管理サーバ100とは、それぞれ記憶装置502に記憶されたプログラムをRAMに読み出す。これにより、RAMに読み出されたプログラムを制御回路501で実行することにより、端末10と、アクセスサーバ50と、中継サーバ60と、認証サーバ90と、管理サーバ100とは、生体認証処理を実行する。

0126

なお、端末10と、アクセスサーバ50と、中継サーバ60と、認証サーバ90と、管理サーバ100とに記憶されたプログラムは、制御回路501が通信インターフェイス505を介してアクセス可能であれば、ネットワーク507上のサーバが有する記憶装置に記憶されていても良い。

0127

読取装置503は、制御回路501に制御され、着脱可能な記録媒体504のデータのリードライトを行なう。そして、読取装置503は、例えば、FDD(Floppy Disk Drive)、CDD(Compact Disc Drive)、DVDD(Digital Versatile Disk Drive)、BDD(Blu−ray(登録商標) Disk Drive)およびUSB(Universal Serial Bus)などである。また、読取装置503は、記録媒体504に記録されたプログラムを読み出し、端末10と、アクセスサーバ50と、中継サーバ60と、認証サーバ90と、管理サーバ100とが有する各記憶装置502に記憶しても良い。

0128

記録媒体504は、各種データを保存する。
コンピュータ装置500が端末10であるとき、記録媒体504は、例えば、制御回路501を入力部11と、バイオ情報生成部12と、バイオ認証部13と、ユーザ認証部14と、通信部15として動作させるためのプログラムを記憶する。コンピュータ装置500がアクセスサーバ50であるとき、記録媒体504は、例えば、制御回路501を転送部51として動作させるためのプログラムを記憶する。コンピュータ装置500が中継サーバ60であるとき、記録媒体504は、例えば、制御回路501を中継制御部63として動作させるためのプログラムを記憶する。コンピュータ装置500が認証サーバ90であるとき、記録媒体504は、例えば、制御回路501を分離部92と、鍵復号部93と、取得部94と、暗号復号部95と、照合部96として動作させるためのプログラムを記憶する。コンピュータ装置500が管理サーバ100であるとき、記録媒体504は、例えば、制御回路501を検索部103として動作させるためのプログラムを記憶する。

0129

そして、記録媒体504は、読取装置503を介してバス508に接続され、制御回路501が読取装置503を制御することにより、データのリード/ライトが行なわれる。また、記録媒体504は、例えば、FD(Floppy Disk)、CD(Compact Disc)、DVD(Digital Versatile Disk)、BD(Blu−ray Disk)、およびフラッシュメモリなどである。

0130

通信インターフェイス505は、LAN(Local Area Network)、無線通信、またはインターネットなどのネットワーク507を介してコンピュータ装置と他の装置とを通信可能に接続する。

0131

コンピュータ装置500が端末10であるとき、通信インターフェイス505は、図1において、通信部15として機能する。コンピュータ装置500がアクセスサーバ50であるとき、通信インターフェイス505は、図1において、転送部51として機能する。

0132

コンピュータ装置500が中継サーバ60であるとき、通信インターフェイス505は、図1において、受信部62と、送信部64とて機能する。コンピュータ装置500が認証サーバ90であるとき、通信インターフェイス505は、図9において、受信部91として機能する。

0133

入出力インターフェイス506は、例えば、キーボード、マウス、およびタッチパネルなどと接続され、接続された装置から各種情報を示す信号が入力されると、バス508を介して入力された信号を制御回路501に出力する。また、入出力インターフェイス506は、制御回路501から出力された各種情報を示す信号がバス508を介して入力されると、接続された各種装置にその信号を出力する。

0134

コンピュータ装置500が端末10であるとき、入出力インターフェイス506は、例えば、入力部11として機能する。なお、コンピュータ装置500が端末10であるとき、入力部11には、生体センサ20が接続されても良い。この場合、端末10は、入力部11を介して生体情報を取得する。コンピュータ装置500が管理サーバ100であるとき、入出力インターフェイス506は、例えば、入力部102として機能する。

0135

以上のように、実施形態の生体認証システムでは、端末10から中継サーバ60を介して認証サーバ90に認証バイオ情報を送信する。これにより、端末10は、認証プロトコルのアクセス要求パケットなどに載せられるペイロード長に制限があり、パケットにバイオ情報を載せることができない場合でも、中継サーバ60を介して認証サーバ90に認証バイオ情報を通知することができる。よって、生体認証システムは、認証プロトコルのパケットに載せられるペイロード長に制限があるような、暗号強度の強い認証プロトコルを用いて生体認証を行なうことができる。したがって、実施形態の生体認証システムは、通信接続時の生体認証処理を安全に行なうことができる。

0136

一例として、RADIUSプロトコルにおいて、暗号強度の強いRADIUS−EAPTTLS−PAPやRADIUS−EAP−PEAP−MSCHAPv2を用いた通信では、認証プロトコルのパケットに載せられるデータ長が最大で32byteである。よって、RADIUSプロトコルにおいて、暗号強度の強いRADIUS−EAP−TTLS−PAPを用いると、端末10は、例えば、5KBの認証バイオ情報を認証プロトコルのパケットに乗せて認証サーバ90に送信することができない。このとき、実施形態の生態認証ステムを適用すると、端末10は、認証プロトコルのパケットのパスワードデータとして、ファイルネームと暗号鍵のみを送る。そして、端末10は、認証バイオ情報を中継サーバに格納する。認証サーバ90は、端末10から送られてきたファイルネームを用いて、中継サーバ60から認証バイオ情報を取得する。以上のように、端末10は、暗号強度の強いプロトコルを用いて、認証サーバ90に認証バイオ情報を送信することができる。

0137

実施形態の生体認証システムの中継サーバ60は、FTPSやSFTPにより、端末10からファイル化した暗号化バイオ情報を受信し、認証サーバ90の要求に応じてファイル化した暗号化バイオ情報を認証サーバ90に送信する機能を有すればよい。このため、中継サーバ60は、最小限に機能を限定したOSで動作できる。したがって、中継サーバ60は、複雑な機能を有する各種認証用のサーバと比較し、通信の安全性を向上させる対策が取りやすくなる。よって、実施形態の生態認証システムは、中継サーバ60をDMZに設置することにより、複雑な機能を有する各種認証用のサーバをDMZに設置するのに比較して、通信プロトコルの脆弱性を利用した攻撃に対する安全性を向上させることができる。

0138

実施形態の生体認証システムの認証サーバ90は、中継サーバ60にアクセスするだけで、認証バイオ情報を取得できる。したがって、認証サーバ90は、インターネット30から直接アクセスされないので、外部から不正にアクセスされ、不正に利用されるのを防止することができる。

0139

実施形態の生体認証システムの端末10は、パスワードデータとして受付サーバ80を介して認証サーバ90に送信する、ファイルネームと暗号鍵とを文字列に変換する。これにより、端末10は、認証プロトコルのパケットにバイナリデータを載せることができない場合でも、認証プロトコルのパスワードデータとしてファイルネームと暗号鍵とを認証サーバ90に通知することができる。

0140

なお、本実施形態は、以上に述べた実施形態に限定されるものではなく、本実施形態の要旨を逸脱しない範囲内で種々の構成または実施形態を取ることができる。

0141

以上記載した各実施例を含む実施形態に関し、さらに以下の付記を開示する。なお、本発明は、以下の付記に限定されるものではない。
(付記1)
第一のネットワークに接続された端末と、非武装地帯に設置された中継サーバ及びアクセスサーバと、第二のネットワークに接続された認証サーバとを有する生体認証システムにおいて、
前記端末は、
生体センサから取得した生体情報に基づいて生成された認証バイオ情報を前記中継サーバに送信するとともに、該認証バイオ情報を特定する情報であるバイオ識別子を前記アクセスサーバに送信する送信部を備え、
前記生体認証サーバは、
前記アクセスサーバから取得した前記バイオ識別子に基づいて前記中継サーバから前記認証バイオ情報を取得する取得部と、
取得した前記認証バイオ情報を用いて認証処理を実行する認証部と、
を備えることを特徴とする生体認証システム。
(付記2)
インターネットに接続された端末と、非武装地帯に設置された中継サーバおよびアクセスサーバと、イントラネットに接続された認証サーバとを有する生体認証システムにおいて、
前記端末は、
生体センサからユーザを特定する認証バイオ情報を取得する第1の取得部と、
前記認証バイオ情報を識別するバイオ識別子を生成する識別子生成部と、
前記バイオ識別子と前記認証バイオ情報とを前記中継サーバに送信し、前記バイオ識別子を前記アクセスサーバに送信する通信部と、
を備え、
前記中継サーバは、
記憶部と、
前記端末から前記バイオ識別子と前記認証バイオ情報とを受信する第1の受信部と、
前記第1の受信部で受信した前記バイオ識別子と前記認証バイオ情報とを関連付けて、前記記憶部に記憶させ、前記認証サーバから前記バイオ識別子を受信すると、前記受信したバイオ識別子に関連付けられた前記認証バイオ情報を前記記憶部から抽出する中継制御部と、
前記抽出された認証バイオ情報を、前記認証サーバに送信する送信部と、
を備え、
前記アクセスサーバは、
前記端末から前記バイオ識別子を受信すると、前記バイオ識別子を前記認証サーバに送信する転送部と、
を備え、
前記認証サーバは、
前記アクセスサーバから前記バイオ識別子を受信する第2の受信部と、
前記第2の受信部で受信した前記バイオ識別子に関連付けられた前記認証バイオ情報を前記中継サーバの記憶部から取得する第2の取得部と、
各ユーザを特定する登録バイオ情報を記憶する、イントラネットに接続された記憶装置を検索し、前記第2の取得部で取得した認証バイオ情報と一致する前記登録バイオ情報が前記記憶装置に記憶されているとき、認証が成立したと判定する照合部と、
を備えることを特徴とする生体認証システム。
(付記3)
前記端末は、さらに、ユーザを識別するユーザ識別子の入力を受け付ける入力部を備え、
前記端末の通信部は、前記バイオ識別子と前記ユーザ識別子とを前記アクセスサーバに送信し、
前記アクセスサーバの転送部は、前記端末から前記バイオ識別子と前記ユーザ識別子とを受信すると、前記バイオ識別子と前記ユーザ識別子とを前記認証サーバに送信し、
前記認証サーバの第2の受信部は、前記アクセスサーバから前記バイオ識別子と前記ユーザ識別子とを受信し、
前記認証サーバの照合部は、各ユーザを識別するユーザ識別子と、各ユーザを特定する登録バイオ情報とを関連付けて記憶する、イントラネットに接続された記憶装置から、前記第2の受信部で受信したユーザ識別子に関連付けられた前記登録バイオ情報を取得し、前記取得した登録バイオ情報と、前記第2の取得部で取得した認証バイオ情報とが一致したとき、認証が成立したと判定する
ことを特徴とする付記2に記載の生体認証システム。
(付記4)
前記端末は、さらに、
前記認証バイオ情報を暗号化する暗号鍵を生成する鍵生成部と、
前記鍵生成部で生成された暗号鍵を用いて前記認証バイオ情報を暗号化する暗号化部と、
を備え、
前記端末の通信部は、前記バイオ識別子と前記暗号化された認証バイオ情報とを前記中継サーバに送信し、前記バイオ識別子と前記暗号鍵とを前記アクセスサーバに送信し、
前記中継サーバの第1の受信部は、前記端末から前記バイオ識別子と前記暗号化された認証バイオ情報とを受信し、
前記中継サーバの中継制御部は、前記バイオ識別子と前記暗号化された認証バイオ情報とを関連付けて、前記記憶部に記憶させ、前記認証サーバから前記バイオ識別子を受信すると、前記受信したバイオ識別子に関連付けられた前記暗号化された認証バイオ情報を前記記憶部から抽出し、
前記中継サーバの送信部は、前記抽出された暗号化された認証バイオ情報を、前記認証サーバに送信し、
前記アクセスサーバの転送部は、前記端末から前記バイオ識別子と前記暗号鍵とを受信すると、前記バイオ識別子と前記暗号鍵とを前記認証サーバに送信し、
前記認証サーバの第2の取得部は、前記第2の受信部で受信した前記バイオ識別子に関連付けられた前記暗号化された認証バイオ情報を前記中継サーバの記憶部から取得し、
前記認証サーバは、さらに、前記第2の受信部で受信した前記暗号鍵を用いて、前記第2の取得部で取得した暗号化された認証バイオ情報を復号する暗号復号部を備え、
前記認証サーバの照合部は、前記暗号復号部で復号された認証バイオ情報を用いて生体認証処理を行なう
ことを特徴とする付記2または3に記載の生体認証システム。
(付記5)
前記端末は、さらに、前記バイオ識別子と前記暗号鍵とを用いてパスワードを生成するパスワード生成部を備え、
前記端末の通信部は、前記アクセスサーバに、前記パスワードを送信し、
前記アクセスサーバの転送部は、前記端末から前記パスワードを受信すると、前記パスワードを前記認証サーバに送信し、
前記認証サーバの第2の受信部は、前記アクセスサーバから前記パスワードを受信し、
前記認証サーバは、さらに、前記パスワードを前記バイオ識別子と前記暗号鍵とに分離する分離部を備え、
前記認証サーバの第2の取得部は、前記分離部で分離された前記バイオ識別子に関連付けられた前記暗号化された認証バイオ情報を前記記憶部から取得し、
前記認証サーバの暗号復号部は、前記分離部で分離された暗号鍵を用いて、前記取得した暗号化された認証バイオ情報を復号する
ことを特徴とする付記4に記載の生体認証システム。
(付記6)
前記暗号鍵は、バイナリデータであり、
前記端末は、さらに、前記暗号鍵を文字列化する鍵変換部を備え、
前記端末のパスワード生成部は、前記バイオ識別子と、前記文字列化された暗号鍵とを用いてパスワードを生成し、
前記認証サーバの分離部は、前記パスワードを前記バイオ識別子と前記文字列化された暗号鍵とに分離し、
前記認証サーバは、さらに、前記分離部で分離された文字列化された暗号鍵をバイナリデータに復号する鍵復号部を備え、
前記認証サーバの暗号復号部は、前記復号された前記暗号鍵を用いて、前記暗号化された認証バイオ情報を復号する
ことを特徴とする付記5に記載の生体認証システム。
(付記7)
前記端末の鍵生成部は、乱数を用いて前記暗号鍵を生成する
ことを特徴とする付記4〜6のいずれか一つに記載の生体認証システム。
(付記8)
前記端末は、さらに、前記認証バイオ情報をハッシュ関数に代入することにより求められたハッシュ値を前記認証バイオ情報に付与するヘッダ付与部を備え、
前記端末の暗号化部は、前記ハッシュ値が付与された認証バイオ情報を暗号化し、
前記認証サーバの暗号復号部は、前記暗号化されたハッシュ値が付与された認証バイオ情報を復号したとき、前記復号されたハッシュ値を用いて前記暗号化された認証バイオ情報の復号が正常に行なわれたか否かを確認する
ことを特徴とする付記4〜7のいずれか一つに記載の生体認証システム。
(付記9)
前記端末の識別子生成部は、乱数を用いて前記バイオ識別子を生成する
ことを特徴とする付記2〜8のいずれか一つに記載の生体認証システム。
(付記10)
前記端末は、さらに、前記生体センサから入力される生体情報を所定のパラメータを用いて変換することにより、前記認証バイオ情報を生成する生成部を備え、
前記端末の第1の取得部は、前記生成部で生成された前記認証バイオ情報を取得する
ことを特徴とする付記2〜9のいずれか一つに記載の生体認証システム。
(付記11)
前記端末と前記中継サーバとの通信と、前記中継サーバと前記認証サーバとの通信とは、データを暗号化して送受信することを特徴とする付記2〜10のいずれか一つに記載の生体認証システム。
(付記12)
前記端末と前記中継サーバとの通信と、前記中継サーバと前記認証サーバとの通信とに用いられる通信プロトコルは、FTPまたはHTTPである
ことを特徴とする付記2〜11のいずれか一つに記載の生体認証システム。
(付記13)
インターネットに接続された端末と、非武装地帯に設置された中継サーバおよびアクセスサーバと、イントラネットに接続された認証サーバとを有する生体認証システムの生体認証方法において、
前記端末は、
生体センサからユーザを特定する認証バイオ情報を取得し、
前記認証バイオ情報を識別するバイオ識別子を生成し、
前記バイオ識別子と前記認証バイオ情報とを前記中継サーバに送信し、
前記バイオ識別子を前記アクセスサーバに送信し、
前記中継サーバは、
前記端末から前記バイオ識別子と前記認証バイオ情報とを受信すると、前記バイオ識別子と前記認証バイオ情報とを関連付けて、中継サーバが有する第1の記憶装置に記憶し、
前記アクセスサーバは、
前記端末から前記バイオ識別子を受信すると、前記バイオ識別子を前記認証サーバに送信し、
前記認証サーバは、
前記アクセスサーバから前記バイオ識別子を受信すると、前記バイオ識別子に関連付けられた前記認証バイオ情報を前記中継サーバが有する第1の記憶装置から取得し、
各ユーザを特定する登録バイオ情報を記憶する、イントラネットに接続された第2の記憶装置を検索し、前記第2の取得部で取得した認証バイオ情報と一致する前記登録バイオ情報が前記第2の記憶装置に記憶されているとき、認証が成立したと判定する
ことを特徴とする生体認証方法。
(付記14)
インターネットに接続された端末と、非武装地帯に設置された中継サーバおよびアクセスサーバと、イントラネットに接続された認証サーバとを有する生体認証システムの生体認証方法において、
前記端末は、
ユーザを識別するユーザ識別子を取得し、
生体センサからユーザを特定する認証バイオ情報を取得し、
前記認証バイオ情報を識別するバイオ識別子を生成し、
前記バイオ識別子と前記認証バイオ情報とを前記中継サーバに送信し、
前記バイオ識別子と前記ユーザ識別子とを前記アクセスサーバに送信し、
前記中継サーバは、
前記端末から前記バイオ識別子と前記認証バイオ情報とを受信すると、前記バイオ識別子と前記認証バイオ情報とを関連付けて、中継サーバが有する第1の記憶装置に記憶し、
前記アクセスサーバは、
前記端末から前記バイオ識別子と前記ユーザ識別子とを受信すると、前記バイオ識別子と前記ユーザ識別子とを前記認証サーバに送信し、
前記認証サーバは、
前記アクセスサーバから前記バイオ識別子を受信すると、前記バイオ識別子に関連付けられた前記認証バイオ情報を前記中継サーバ有する第1の記憶装置から取得し、
前記アクセスサーバから前記ユーザ識別子を受信すると、各ユーザを識別するユーザ識別子と、各ユーザを特定する登録バイオ情報とを関連付けて記憶するイントラネットに接続された第2の記憶装置から、前記受信したユーザ識別子に関連付けられた前記登録バイオ情報を取得し、
前記取得した登録バイオ情報と、前記第2の取得部で取得した認証バイオ情報とが一致したとき、認証が成立したと判定する
ことを特徴とする生体認証方法。
(付記15)
非武装地帯に設置された中継サーバにおいて、
インターネットに接続された端末から、ユーザを特定する認証バイオ情報と、前記認証バイオ情報を識別するバイオ識別子とを受信し、かつ、イントラネットに接続された生体認証処理を行なう認証サーバから前記バイオ識別子を受信する受信部と、
記憶部と、
前記受信部で受信した前記バイオ識別子と前記認証バイオ情報とを関連付けて、前記記憶部に記憶させ、前記受信部が前記認証サーバからバイオ識別子を受信すると、前記受信したバイオ識別子に関連付けられた前記認証バイオ情報を、前記記憶部から抽出する中継制御部と、
前記抽出された認証バイオ情報を、前記認証サーバに送信する送信部と、
を備えることを特徴とする中継サーバ。

0142

10端末
11 入力部
12バイオ情報生成部
13バイオ認証部
14ユーザ認証部
15通信部
20生体センサ
30インターネット
40 外側ルータ
50アクセスサーバ
51転送部
60中継サーバ
61 記憶部
62 受信部
63中継制御部
64 送信部
70 内側ルータ
80受付サーバ
90認証サーバ
91 受信部
92 分離部
93 鍵復号部
94 取得部
95暗号復号部
96 照合部
100管理サーバ
101 記憶部
102 入力部
103検索部
110社内サーバ
131 取得部
132乱数生成部
133ヘッダ付与部
134 鍵生成部
135 暗号化部
136 鍵変換部
137ファイル名生成部
138ファイル生成部
139パスワード生成部
200認証テーブル
300アカウントテーブル
400登録テーブル
500コンピュータ装置
501制御回路
502記憶装置
503読取装置
504記録媒体
505通信インターフェイス
506入出力インターフェイス
507ネットワーク
508バス
600 パスワードデータ

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い技術

関連性が強い 技術一覧

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ