JP2005092614A - Biometrics system, program, and information storage medium - Google Patents

Biometrics system, program, and information storage medium Download PDF

Info

Publication number
JP2005092614A
JP2005092614A JP2003326395A JP2003326395A JP2005092614A JP 2005092614 A JP2005092614 A JP 2005092614A JP 2003326395 A JP2003326395 A JP 2003326395A JP 2003326395 A JP2003326395 A JP 2003326395A JP 2005092614 A JP2005092614 A JP 2005092614A
Authority
JP
Japan
Prior art keywords
user
biometric authentication
authentication
access key
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003326395A
Other languages
Japanese (ja)
Inventor
Iku Sato
郁 佐藤
Takenari Yoshida
丈成 吉田
Asako Hayata
麻子 早田
Yoshifumi Yagishita
佳史 柳下
Tetsuo Osako
哲郎 大迫
Yasuhiro Kato
靖裕 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kyocera Communication Systems Co Ltd
Toda Corp
CRC Solutions Corp
Original Assignee
Kyocera Communication Systems Co Ltd
Toda Corp
CRC Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kyocera Communication Systems Co Ltd, Toda Corp, CRC Solutions Corp filed Critical Kyocera Communication Systems Co Ltd
Priority to JP2003326395A priority Critical patent/JP2005092614A/en
Publication of JP2005092614A publication Critical patent/JP2005092614A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a safe and versatile biometrics system, a program, and an information storage medium. <P>SOLUTION: The biometrics system is comprised of a communication part 110 for receiving user identification information and biometrics information from a terminal device having a communication function and for transmitting an access key to the terminal device, a storage part 130 for storing data for biometrics 132, a determination part 120 for identifying the user based on the user identification information and for performing the biometrics of the user based on biometrics information and the data for biometrics 132, and an access key generating part for generating the access key for authentication in a user authentication device connected to a network if the biometrics succeeds. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、ネットワークを介した生体認証システム、プログラムおよび情報記憶媒体に関する。   The present invention relates to a biometric authentication system, a program, and an information storage medium via a network.

一般的に、VPN(Virtual Private Network)等のネットワークを介して所定のデータにリモートアクセスを行う場合、セキュリティ面から通信相手のユーザー認証を行ってデータアクセスを行っている。このような通信相手のユーザー認証方法としては、ユーザーIDとパスワードを用いる方法が一般的である。   In general, when remote access to predetermined data is performed via a network such as a VPN (Virtual Private Network), data access is performed by performing user authentication of a communication partner from the security aspect. As such a communication partner user authentication method, a method using a user ID and a password is generally used.

しかし、ユーザーIDやパスワード等のテキストデータの場合、ユーザーが付箋紙等に書き込んでPC(Personal Computer)に貼り付けて使用してしまう場合もあり、十分なセキュリティを確保することができない。   However, in the case of text data such as a user ID or password, the user may write on a sticky note and paste it on a PC (Personal Computer) for use, and sufficient security cannot be ensured.

そこで、よりセキュリティレベルを高めるために、指紋認証等の生体認証を用いる必要がある。   Therefore, in order to further increase the security level, it is necessary to use biometric authentication such as fingerprint authentication.

このような課題を解決するため、例えば、特許文献1では、加入者端末と、データリンク層終端手段と、認証サーバとを有する認証システムが提案されている。
特開2002−207701号公報 In order to solve such a problem, for example, Patent Document 1 proposes an authentication system including a subscriber terminal, a data link layer termination unit, and an authentication server.
JP 2002-207701 A

しかし、特許文献1の手法の場合、生体認証情報をデータリンク層のプロトコルに入れてデータ通信を行っているため、NAT(Network Address Translation)機能を有するルータやファイアウォールを介して生体認証情報を送信することができず、汎用性に欠ける。   However, in the case of the method of Patent Document 1, since biometric authentication information is put into a data link layer protocol for data communication, biometric authentication information is transmitted through a router or firewall having a NAT (Network Address Translation) function. It cannot be done and lacks versatility.

特に、一般的な認証システムに生体認証システムを付加して使用する場合、セキュリティだけでなく、汎用性を確保することも重要となる。   In particular, when a biometric authentication system is added to a general authentication system, it is important to ensure versatility as well as security.

本発明は、上記課題に鑑みなされたものであり、その目的は、安全かつ汎用性のある生体認証システム、プログラムおよび情報記憶媒体を提供することにある。   The present invention has been made in view of the above problems, and an object thereof is to provide a safe and versatile biometric authentication system, a program, and an information storage medium.

上記課題を解決するため、本発明に係る生体認証システムは、通信機能を有する端末装置からユーザー識別情報および生体認証情報を受信する通信手段と、
生体認証用データを記憶する記憶手段と、
前記ユーザー識別情報に基づき、ユーザーを識別し、前記生体認証情報と、前記生体認証用データとに基づき、当該ユーザーの生体認証を行う判定手段と、
生体認証が成功した場合に、ネットワークに接続されたユーザー認証装置で認証されるためのアクセスキーを生成するアクセスキー生成手段と、
を含み、
前記通信手段は、前記端末装置のユーザーを、前記ネットワークを介して前記ユーザー認証装置で認証させるために、前記アクセスキーを前記端末装置および前記ユーザー認証装置へ向け送信することを特徴とする。 In order to solve the above problem, a biometric authentication system according to the present invention includes a communication unit that receives user identification information and biometric authentication information from a terminal device having a communication function;
Storage means for storing biometric authentication data;
A determination unit that identifies a user based on the user identification information, and performs biometric authentication of the user based on the biometric authentication information and the biometric authentication data;
An access key generating means for generating an access key to be authenticated by a user authentication device connected to a network when biometric authentication is successful;
Including
The communication means transmits the access key to the terminal device and the user authentication device in order to authenticate the user of the terminal device with the user authentication device via the network.

また、本発明に係るプログラムは、コンピュータにより読み取り可能なプログラムであって、
コンピュータを、
通信機能を有する端末装置からユーザー識別情報および生体認証情報を受信する通信手段と、
生体認証用データを記憶する記憶手段と、
前記ユーザー識別情報に基づき、ユーザーを識別し、前記生体認証情報と、前記生体認証用データとに基づき、当該ユーザーの生体認証を行う判定手段と、
生体認証が成功した場合に、ネットワークに接続されたユーザー認証装置で認証されるためのアクセスキーを生成するアクセスキー生成手段として機能させ、
前記通信手段は、前記端末装置のユーザーを、前記ネットワークを介して前記ユーザー認証装置で認証させるために、前記アクセスキーを前記端末装置および前記ユーザー認証装置へ向け送信することを特徴とする。 The program according to the present invention is a computer-readable program,
Computer
Communication means for receiving user identification information and biometric information from a terminal device having a communication function;
Storage means for storing biometric authentication data;
A determination unit that identifies a user based on the user identification information, and performs biometric authentication of the user based on the biometric authentication information and the biometric authentication data;
When biometric authentication is successful, it functions as an access key generation means for generating an access key for authentication by a user authentication device connected to the network,
The communication means transmits the access key to the terminal device and the user authentication device in order to authenticate the user of the terminal device with the user authentication device via the network.

また、本発明に係る情報記憶媒体は、コンピュータにより読み取り可能な情報記憶媒体であって、上記プログラムを記憶したことを特徴とする。   An information storage medium according to the present invention is a computer-readable information storage medium storing the above program.

本発明によれば、生体認証が成功した場合にアクセスキーを端末装置に提供することができるため、生体認証を行わない場合と比べ、より安全にアクセスキーを端末装置に提供することができる。   According to the present invention, since the access key can be provided to the terminal device when biometric authentication is successful, the access key can be provided to the terminal device more safely than when biometric authentication is not performed.

また、本発明によれば、データアクセスのためのユーザー認証装置と端末装置にアクセスキーを提供することにより、当該ユーザー認証装置で当該アクセスキーを用いて通常の認証を行うことができる。   In addition, according to the present invention, by providing an access key to a user authentication device for data access and a terminal device, the user authentication device can perform normal authentication using the access key.

これにより、ユーザー認証装置では特別な処理は必要ないため、安全かつ汎用性のある生体認証システムを実現できる。   Thereby, since a special process is not required in the user authentication device, a safe and versatile biometric authentication system can be realized.

また、前記生体認証システム、前記プログラムおよび前記情報記憶媒体において、前記アクセスキー生成手段は、毎回異なるアクセスキーを生成してもよい。   In the biometric authentication system, the program, and the information storage medium, the access key generation unit may generate a different access key each time.

これによれば、生体認証システム等は、毎回異なるアクセスキーを生成することにより、より安全性(セキュリティ)を高めることができる。   According to this, a biometric authentication system etc. can improve safety | security (security) more by producing | generating a different access key each time.

また、本発明に係る生体認証システムは、端末装置からユーザー識別情報および生体認証情報を受信する通信手段と、
生体認証用データを記憶する記憶手段と、
前記ユーザー識別情報に基づき、ユーザーを識別し、前記生体認証情報と、前記生体認証用データとに基づき、当該ユーザーの生体認証を行う判定手段と、
を含み、
前記判定手段は、生体認証が成功した場合に、ネットワークに接続されたユーザー認証装置で認証されるためのアクセスキーを取得するための取得要求情報を生成し、
前記通信手段は、前記端末装置のユーザーを、前記ネットワークを介して前記ユーザー認証装置で認証させるために、前記取得要求情報を前記ユーザー認証装置へ向け送信するとともに、前記ユーザー認証装置から前記アクセスキーを受信した場合に、当該アクセスキーを前記端末装置へ向け送信することを特徴とする。 Further, the biometric authentication system according to the present invention includes a communication unit that receives user identification information and biometric authentication information from a terminal device;
Storage means for storing biometric authentication data;
A determination unit that identifies a user based on the user identification information, and performs biometric authentication of the user based on the biometric authentication information and the biometric authentication data;
Including
The determination unit generates acquisition request information for acquiring an access key to be authenticated by a user authentication device connected to a network when biometric authentication is successful,
The communication means transmits the acquisition request information to the user authentication device in order to authenticate the user of the terminal device with the user authentication device via the network, and from the user authentication device to the access key. When the password is received, the access key is transmitted to the terminal device.

また、本発明に係るプログラムは、コンピュータにより読み取り可能プログラムであって、
コンピュータを、
端末装置からユーザー識別情報および生体認証情報を受信する通信手段と、
生体認証用データを記憶する記憶手段と、
前記ユーザー識別情報に基づき、ユーザーを識別し、前記生体認証情報と、前記生体認証用データとに基づき、当該ユーザーの生体認証を行う判定手段として機能させ、
前記判定手段は、生体認証が成功した場合に、ネットワークに接続されたユーザー認証装置で認証されるためのアクセスキーを取得するための取得要求情報を生成し、
前記通信手段は、前記端末装置のユーザーを、前記ネットワークを介して前記ユーザー認証装置で認証させるために、前記取得要求情報を前記ユーザー認証装置へ向け送信するとともに、前記ユーザー認証装置から前記アクセスキーを受信した場合に、当該アクセスキーを前記端末装置へ向け送信することを特徴とする。 The program according to the present invention is a computer-readable program,
Computer
Communication means for receiving user identification information and biometric information from the terminal device;
Storage means for storing biometric authentication data;
Based on the user identification information, the user is identified, and based on the biometric authentication information and the biometric authentication data, functions as a determination unit that performs biometric authentication of the user,
The determination unit generates acquisition request information for acquiring an access key to be authenticated by a user authentication device connected to a network when biometric authentication is successful,
The communication means transmits the acquisition request information to the user authentication device in order to authenticate the user of the terminal device with the user authentication device via the network, and from the user authentication device to the access key. When the password is received, the access key is transmitted to the terminal device.

また、本発明に係る情報記憶媒体は、コンピュータにより読み取り可能な情報記憶媒体であって、上記プログラムを記憶したことを特徴とする。   An information storage medium according to the present invention is a computer-readable information storage medium storing the above program.

本発明によれば、生体認証が成功した場合にアクセスキーを端末装置に提供することができるため、生体認証を行わない場合と比べ、より安全にアクセスキーを端末装置に提供することができる。   According to the present invention, since the access key can be provided to the terminal device when biometric authentication is successful, the access key can be provided to the terminal device more safely than when biometric authentication is not performed.

また、本発明によれば、データアクセスのためのユーザー認証装置からアクセスキーを取得することにより、より汎用性のある生体認証システムを実現することができる。   Further, according to the present invention, a more versatile biometric authentication system can be realized by acquiring an access key from a user authentication device for data access.

また、前記生体認証システム、前記プログラムおよび前記情報記憶媒体において、前記端末装置は、指紋認証機能を有し、
前記判定手段は、前記生体認証として指紋認証を行ってもよい。 In the biometric authentication system, the program, and the information storage medium, the terminal device has a fingerprint authentication function,
The determination unit may perform fingerprint authentication as the biometric authentication.

これによれば、生体認証システム等は、指紋認証を行ってアクセスキーを端末装置に提供することができる。   Accordingly, the biometric authentication system or the like can perform fingerprint authentication and provide the access key to the terminal device.

(システム全体の説明)
図1は、システム全体の概略図である。 (Description of the entire system)
FIG. 1 is a schematic diagram of the entire system.

本システムは、いわゆるリモートアクセスで社外の携帯端末300やPC400が、インターネット500を介して社内ネットワーク600の所望のデータにアクセスするためのシステムである。   This system is a system for a mobile terminal 300 or PC 400 outside the company to access desired data in the in-house network 600 via the Internet 500 by so-called remote access.

なお、携帯端末300およびPC400は、通信機能を有する端末装置の一種である。また、携帯端末300としては、具体的には、例えば、携帯電話、PDA(Personal Digital Assistants)等が該当する。   Note that the mobile terminal 300 and the PC 400 are a type of terminal device having a communication function. Further, specifically, the mobile terminal 300 corresponds to, for example, a mobile phone, a PDA (Personal Digital Assistants), and the like.

社内ネットワーク600には、ユーザー認証装置の一種であるVPN認証装置610が設けられ、SSL(Secure Sockets Layer)−VPN機能によってセキュリティと汎用性がある程度確保されている。なお、SSL−VPNの場合、PC400側にVPN装置は必要なく、SSLに対応したブラウザーソフトをPC400が有していればよい。   The in-house network 600 is provided with a VPN authentication device 610 which is a kind of user authentication device, and security and versatility are ensured to some extent by an SSL (Secure Sockets Layer) -VPN function. In the case of SSL-VPN, there is no need for a VPN device on the PC 400 side, and it is sufficient that the PC 400 has browser software corresponding to SSL.

さらに、本システムでは、汎用性を保ったまま、よりセキュリティを高めるため、SSL−VPN用の一般的なシステムに生体認証システムを付加している。この生体認証システムとして機能する生体認証装置100とアクセスキー生成装置200がインターネット500に接続されている。   Furthermore, in this system, a biometric authentication system is added to a general system for SSL-VPN in order to enhance security while maintaining versatility. A biometric authentication device 100 and an access key generation device 200 that function as this biometric authentication system are connected to the Internet 500.

(機能ブロックの説明)
次に、生体認証装置100とアクセスキー生成装置200の機能ブロックについて説明する。 (Description of functional block)
Next, functional blocks of the biometric authentication device 100 and the access key generation device 200 will be described.

図2は、生体認証装置100の機能ブロック図である。   FIG. 2 is a functional block diagram of the biometric authentication device 100.

生体認証装置100は、インターネット500を介した通信やアクセスキー生成装置200と通信を行う通信手段として機能する通信部110と、生体認証を行う判定部120と、生体認証用データ132、ウェブ用データ134等を記憶する記憶部130とを含んで構成されている。   The biometric authentication device 100 includes a communication unit 110 that functions as a communication unit that performs communication via the Internet 500 and communication with the access key generation device 200, a determination unit 120 that performs biometric authentication, biometric authentication data 132, and web data. And a storage unit 130 for storing 134 and the like.

なお、ここで、生体認証用データ132は、ユーザーIDと、当該ユーザーIDで識別されるユーザーの指紋データ(指紋そのものの画像データであってもよいし、指紋の特徴を示すデータでもよい。)を複数のユーザー分有している。また、ウェブ用データ134は、携帯端末300やPC400にインストールされたブラウザーソフトで画像を表示するための画像データである。   Here, the biometric authentication data 132 is the user ID and the fingerprint data of the user identified by the user ID (may be image data of the fingerprint itself or data indicating the characteristics of the fingerprint). For multiple users. The web data 134 is image data for displaying an image with browser software installed in the mobile terminal 300 or the PC 400.

次に、アクセスキー生成装置200の機能ブロックについて説明する。   Next, functional blocks of the access key generation device 200 will be described.

図3は、アクセスキー生成装置200の機能ブロック図である。   FIG. 3 is a functional block diagram of the access key generation device 200.

アクセスキー生成装置200は、インターネット500を介した通信や生体認証装置100と通信を行う通信手段として機能する通信部210と、生体認証が成功した場合に、アクセスキーを生成するアクセスキー生成部220とを含んで構成されている。   The access key generation device 200 includes a communication unit 210 that functions as a communication unit that performs communication via the Internet 500 and communication with the biometric authentication device 100, and an access key generation unit 220 that generates an access key when biometric authentication is successful. It is comprised including.

なお、上述した判定部120等を実現するためのハードウェアとしては、以下のものを採用してもよい。   Note that the following may be employed as hardware for realizing the above-described determination unit 120 and the like.

例えば、通信部110、210としてはLANボードやルータ等、判定部120、アクセスキー生成装置220としてはCPU等、記憶部130としてはRAM、HDD等を用いて実現できる。なお、判定部120等の各部は、回路等のようにハードウェア的に実現してもよいし、プログラム等のようにソフトウェア的に実現してもよい。   For example, the communication units 110 and 210 can be realized using a LAN board or router, the determination unit 120, the access key generation device 220 using a CPU, the storage unit 130 using RAM, HDD, or the like. Each unit such as the determination unit 120 may be realized by hardware such as a circuit, or may be realized by software such as a program.

(処理手順の説明)
次に、生体認証装置100とアクセスキー生成装置200を用いたデータアクセスまでの処理手順について説明する。 (Description of processing procedure)
Next, a processing procedure until data access using the biometric authentication device 100 and the access key generation device 200 will be described.

図4は、データアクセスまでの処理手順を示すフローチャートである。   FIG. 4 is a flowchart showing a processing procedure up to data access.

本実施例では、生体認証として指紋認証を採用している。このため、携帯端末300は、画像表示機能、通信機能に加えて指紋入力機能を有している。   In this embodiment, fingerprint authentication is adopted as biometric authentication. For this reason, the portable terminal 300 has a fingerprint input function in addition to the image display function and the communication function.

まず、携帯端末300のユーザーは、携帯端末300を用いてインターネット500を介して生体認証装置100にアクセスし、画像情報を要求する。   First, the user of the mobile terminal 300 accesses the biometric authentication device 100 via the Internet 500 using the mobile terminal 300 and requests image information.

判定部120は、通信部110が携帯端末300から画像情報の配信要求情報を受信したと判定した場合、ウェブ用データ134に基づき、画像情報を生成する。そして、通信部110は、当該画像情報を携帯端末300へ向け送信する。   The determination unit 120 generates image information based on the web data 134 when the communication unit 110 determines that image information distribution request information has been received from the mobile terminal 300. Then, the communication unit 110 transmits the image information to the mobile terminal 300.

携帯端末300は、当該画像情報に基づき、画面にユーザーIDと指紋情報の入力を促す画像を表示する。ユーザーは、携帯端末300のキーを用いてユーザーIDを入力し、携帯端末300の指紋入力部に指を当てて指紋データを入力する(ステップS1)。なお、ユーザーIDは、ユーザー識別情報の一種であり、指紋データは、生体認証情報の一種である。   Based on the image information, the mobile terminal 300 displays an image that prompts input of a user ID and fingerprint information on the screen. The user inputs the user ID using the key of the portable terminal 300, puts the finger on the fingerprint input unit of the portable terminal 300, and inputs the fingerprint data (step S1). The user ID is a kind of user identification information, and the fingerprint data is a kind of biometric information.

そして、携帯端末300は、ユーザーからの指示に応じてユーザーIDと指紋データを含む生体認証用情報を生体認証装置100へ向け送信する(ステップS2)。   Then, the mobile terminal 300 transmits biometric authentication information including a user ID and fingerprint data to the biometric authentication device 100 in accordance with an instruction from the user (step S2).

通信部110は、当該生体認証用情報を受信する。そして、判定部120は、当該生体認証用情報に含まれるユーザーIDに基づき、ユーザーを特定し、当該ユーザーの指紋データを生体認証用データ132から抽出する。さらに、判定部120は、当該生体認証用情報に含まれる指紋データと、生体認証用データ132から抽出した指紋データを比較して適合性を判定して生体認証が成功かどうかを判定する(ステップS3)。   The communication unit 110 receives the biometric authentication information. Then, the determination unit 120 identifies the user based on the user ID included in the biometric authentication information, and extracts the user's fingerprint data from the biometric authentication data 132. Furthermore, the determination unit 120 compares the fingerprint data included in the biometric authentication information with the fingerprint data extracted from the biometric authentication data 132 to determine suitability, and determines whether the biometric authentication is successful (step). S3).

生体認証が成功した場合、判定部120は、アクセスキー生成要求情報を生成し、通信部110は、当該アクセスキー生成要求情報をアクセスキー生成装置200へ向け送信する。なお、生体認証が失敗した場合、判定部120は、生体認証が失敗したことを示すエラーメッセージを生成し、通信部110は、当該エラーメッセージを携帯端末300へ向け送信する。   When the biometric authentication is successful, the determination unit 120 generates access key generation request information, and the communication unit 110 transmits the access key generation request information to the access key generation device 200. When biometric authentication fails, the determination unit 120 generates an error message indicating that biometric authentication has failed, and the communication unit 110 transmits the error message to the mobile terminal 300.

通信部210は、当該アクセスキー生成要求情報を受信し、アクセスキー生成部220は、当該アクセスキー生成要求情報に基づき、VPN認証用のアクセスキーを生成する(ステップS4)。   The communication unit 210 receives the access key generation request information, and the access key generation unit 220 generates an access key for VPN authentication based on the access key generation request information (step S4).

なお、アクセスキー生成部220は、毎回異なるアクセスキーを生成する。また、アクセスキーとしては、パスワード等のテキストデータやバーコード等の符号データ等を採用できる。本実施例では、アクセスキーとして、パスワードを用いる。   Note that the access key generation unit 220 generates a different access key each time. As the access key, text data such as a password or code data such as a bar code can be employed. In this embodiment, a password is used as the access key.

通信部210は、アクセスキーを、インターネット500を介して携帯端末300とVPN認証装置610のそれぞれへ向け送信する(ステップS5)。   The communication unit 210 transmits the access key to each of the mobile terminal 300 and the VPN authentication device 610 via the Internet 500 (step S5).

ユーザーは、ユーザーIDと、携帯端末300に表示されたアクセスキーを、PC400を用いて入力し(ステップS6)、PC400からユーザーIDとアクセスキーを含むVPN認証用情報をVPN認証装置610へ向け送信する(ステップS7)。   The user inputs the user ID and the access key displayed on the portable terminal 300 using the PC 400 (step S6), and transmits the VPN authentication information including the user ID and the access key from the PC 400 to the VPN authentication device 610. (Step S7).

なお、ステップS6における入力は手動であってもよいし、赤外線等の無線通信機能を用いて自動的に入力してもよい。   Note that the input in step S6 may be manual or may be automatically input using a wireless communication function such as infrared rays.

VPN認証装置610は、当該VPN認証用情報に基づき、VPN認証を行い、VPN認証が成功かどうかを判定する(ステップS8)。   The VPN authentication device 610 performs VPN authentication based on the VPN authentication information and determines whether the VPN authentication is successful (step S8).

VPN認証が成功した場合、VPN認証装置610は、データアクセスを許可し、PC400は、社内ネットワーク600内のデータにアクセスしてデータの参照や編集を行う(ステップS9)。なお、VPN認証が失敗した場合、VPN認証装置610は、VPN認証が失敗したことを示すエラーメッセージをPC400へ向け送信する。   If the VPN authentication is successful, the VPN authentication device 610 permits data access, and the PC 400 accesses the data in the in-house network 600 to refer to and edit the data (step S9). If VPN authentication fails, the VPN authentication device 610 transmits an error message indicating that VPN authentication has failed to the PC 400.

以上のように、本実施形態によれば、生体認証が成功した場合にアクセスキーを携帯端末300に提供することができるため、生体認証を行わない場合と比べ、より安全にアクセスキーを携帯端末300に提供することができる。   As described above, according to the present embodiment, since the access key can be provided to the mobile terminal 300 when the biometric authentication is successful, the access key is more securely connected than when biometric authentication is not performed. 300 can be provided.

また、本実施形態によれば、データアクセスのためのVPN認証装置610と携帯端末300にアクセスキーを提供することにより、VPN認証装置610で当該アクセスキーを用いて通常の認証を行うことができる。   Further, according to the present embodiment, by providing an access key to the VPN authentication device 610 for data access and the mobile terminal 300, the VPN authentication device 610 can perform normal authentication using the access key. .

これにより、VPN認証装置610では特別な処理は必要ないため、安全かつ汎用性のある生体認証システムを実現できる。すなわち、例えば、VPN認証装置610がRADIUS(Remote Authentication Dial In User Service)サーバからアクセスキーを受け取っている場合、VPN認証装置610はRADIUSサーバに代えてアクセスキー生成装置200からアクセスキーを受け取ることになる。   Thereby, since the VPN authentication apparatus 610 does not require special processing, a safe and versatile biometric authentication system can be realized. That is, for example, when the VPN authentication device 610 receives an access key from a RADIUS (Remote Authentication Dial In User Service) server, the VPN authentication device 610 receives the access key from the access key generation device 200 instead of the RADIUS server. Become.

したがって、VPN認証装置610の機能を変更することなく、従来通りの手法でVPN認証を行うことができる。また、一般的なユーザー認証システムに付加する生体認証システム自体の構成も簡略化されたものであるため、低コストでセキュリティを高めるシステムを構築することができる。   Therefore, VPN authentication can be performed by a conventional method without changing the function of the VPN authentication device 610. In addition, since the configuration of the biometric authentication system itself added to a general user authentication system is also simplified, it is possible to construct a system that increases security at a low cost.

また、アクセスキー生成部220は、毎回異なるアクセスキーを生成することにより、よりセキュリティを高めることができる。   Further, the access key generation unit 220 can further increase security by generating a different access key each time.

(変形例)
以上、本発明を適用した好適な実施例について説明してきたが、本発明の適用は、上述した実施例に限定されず、種々の変形が可能である。 (Modification)
The preferred embodiments to which the present invention is applied have been described above, but the application of the present invention is not limited to the above-described embodiments, and various modifications can be made.

例えば、生体認証としては、指紋認証に限定されず、例えば、顔相認証、掌紋認証、虹彩認証等の種々の生体認証手法を採用可能である。   For example, biometric authentication is not limited to fingerprint authentication, and various biometric authentication methods such as facial authentication, palm print authentication, iris authentication, and the like can be employed.

また、生体認証方式としては、特徴点を抽出して比較する方式等の種々の方式を採用可能である。   As the biometric authentication method, various methods such as a method of extracting and comparing feature points can be adopted.

また、上述した実施例では、アクセスキー生成装置200がアクセスキーを生成したが、VPN認証装置610がアクセスキー生成機能を有している場合、判定部120を、生体認証が成功した場合に、社内ネットワーク600に存在するVPN認証装置610で認証されるためのアクセスキーを取得するための取得要求情報を生成し、通信部110を、携帯端末300を、VPN認証装置610を介してVPN認証装置610で認証させるために、取得要求情報をVPN認証装置610へ向け送信するとともに、VPN認証装置610からアクセスキーを受信した場合に、当該アクセスキーを携帯端末300へ向け送信するように構成してもよい。   In the above-described embodiment, the access key generation apparatus 200 generates an access key. However, if the VPN authentication apparatus 610 has an access key generation function, the determination unit 120 is Generation request information for acquiring an access key to be authenticated by the VPN authentication device 610 existing in the in-house network 600 is generated, the communication unit 110, the portable terminal 300, and the VPN authentication device 610 via the VPN authentication device 610. In order to authenticate at 610, the acquisition request information is transmitted to the VPN authentication device 610, and when the access key is received from the VPN authentication device 610, the access key is transmitted to the mobile terminal 300. Also good.

これによれば、データアクセスのためのVPN認証装置610からアクセスキーを取得することにより、より汎用性のある生体認証システムを実現することができる。   According to this, a more versatile biometric authentication system can be realized by obtaining an access key from the VPN authentication device 610 for data access.

また、複数種の生体認証方式をサポートする場合、生体認証装置100または判定部120を複数設け、生体認証方式に応じて処理を担当する生体認証装置100や判定部120に生体認証処理を行わせてもよい。また、この場合、生体認証用情報として、ユーザーID、指紋データに、認証方式識別情報を加え、判定部120が当該認証方式識別情報に基づいて生体認証処理を行うべきかどうかを判定してもよい。   In addition, when supporting a plurality of types of biometric authentication methods, a plurality of biometric authentication devices 100 or determination units 120 are provided, and the biometric authentication device 100 or the determination unit 120 in charge of processing is performed according to the biometric authentication method. May be. In this case, the authentication method identification information is added to the user ID and fingerprint data as the biometric authentication information, and the determination unit 120 determines whether to perform biometric authentication processing based on the authentication method identification information. Good.

また、アクセスキー生成部220は、上述した実施例では毎回異なるアクセスキーを生成したが、必ずしも毎回異なるアクセスキーを生成する必要はない。例えば、アクセスキー生成部220は、ユーザーごとに異なるアクセスキーを生成したり、所定回数または所定時間ごとに異なるアクセスキーを生成したりしてもよい。   Further, although the access key generation unit 220 generates a different access key every time in the above-described embodiment, it is not always necessary to generate a different access key. For example, the access key generation unit 220 may generate a different access key for each user, or may generate a different access key for a predetermined number of times or every predetermined time.

また、ユーザー認証装置は、VPN認証装置610に限定されず、種々の認証装置を採用可能である。また、認証方式もSSL−VPNに限定されず、IPsec(IP Security Protocol)やPPTP(Point-to-Point Tunneling Protocol)を用いたVPN等の種々の認証方式を採用可能である。   The user authentication device is not limited to the VPN authentication device 610, and various authentication devices can be employed. The authentication method is not limited to SSL-VPN, and various authentication methods such as VPN using IPsec (IP Security Protocol) and PPTP (Point-to-Point Tunneling Protocol) can be adopted.

また、上述した実施例では、ユーザー認証の際に、ユーザーIDとアクセスキーを用いたが、不特定のユーザーがアクセスする場合、アクセスキーのみを用いてもよい。   In the above-described embodiment, the user ID and the access key are used for user authentication. However, when an unspecified user accesses, only the access key may be used.

また、上述した実施例では、端末装置として、携帯端末300と、PC400を用いたが、これら以外の端末装置を用いてもよい。また、携帯端末300とPC400を連携させずに、1台の端末装置が単独で生体認証データの入力、アクセスキーの受信といった一連の処理を行ってもよい。   Moreover, in the Example mentioned above, although the portable terminal 300 and PC400 were used as a terminal device, you may use terminal devices other than these. Further, without linking the portable terminal 300 and the PC 400, one terminal device may perform a series of processes such as inputting biometric authentication data and receiving an access key.

また、上述した実施例では、生体認証機能とアクセスキー生成機能を生体認証装置100とアクセスキー生成装置200を用いて実現したが、1台の装置で実現してもよいし、3台以上の装置で実現してもよい。例えば、アクセスキー生成部220の機能を生体認証装置100に含めてもよい。   In the above-described embodiment, the biometric authentication function and the access key generation function are realized by using the biometric authentication device 100 and the access key generation device 200. However, the biometric authentication function and the access key generation device 200 may be realized by one device, or three or more devices. You may implement | achieve with an apparatus. For example, the function of the access key generation unit 220 may be included in the biometric authentication device 100.

さらに、例えば、コンピュータが情報記憶媒体700からプログラムを読み取って上述した生体認証機能とアクセスキー生成機能を実現してもよい。   Further, for example, the computer may read the program from the information storage medium 700 to realize the above-described biometric authentication function and access key generation function.

システム全体の概略図である。It is the schematic of the whole system. 生体認証装置の機能ブロック図である。It is a functional block diagram of a biometric authentication apparatus. アクセスキー生成装置の機能ブロック図である。It is a functional block diagram of an access key generation device. データアクセスまでの処理手順を示すフローチャートである。It is a flowchart which shows the process sequence to data access.

符号の説明Explanation of symbols

100 生体認証装置
110、210 通信部(通信手段)
120 判定部
130 記憶部
132 生体認証用データ
134 ウェブ用データ
200 アクセスキー生成装置
220 アクセスキー生成部
300 携帯端末(端末装置)
400 PC(端末装置)
500 インターネット(ネットワーク)
610 VPN認証装置(ユーザー認証装置)
700 情報記憶媒体 100 Biometric authentication device 110, 210 Communication unit (communication means)
DESCRIPTION OF SYMBOLS 120 Determination part 130 Memory | storage part 132 Data for biometric authentication 134 Data for web 200 Access key production | generation apparatus 220 Access key production | generation part 300 Portable terminal (terminal device)
400 PC (terminal equipment)
500 Internet (network)
610 VPN authentication device (user authentication device)
700 Information storage medium

Claims (7)

通信機能を有する端末装置からユーザー識別情報および生体認証情報を受信する通信手段と、
生体認証用データを記憶する記憶手段と、
前記ユーザー識別情報に基づき、ユーザーを識別し、前記生体認証情報と、前記生体認証用データとに基づき、当該ユーザーの生体認証を行う判定手段と、
生体認証が成功した場合に、ネットワークに接続されたユーザー認証装置で認証されるためのアクセスキーを生成するアクセスキー生成手段と、
を含み、
前記通信手段は、前記端末装置のユーザーを、前記ネットワークを介して前記ユーザー認証装置で認証させるために、前記アクセスキーを前記端末装置および前記ユーザー認証装置へ向け送信することを特徴とする生体認証システム。 A communication means for receiving user identification information and biometric authentication information from a terminal device having a communication function;
Storage means for storing biometric authentication data;
A determination unit that identifies a user based on the user identification information, and performs biometric authentication of the user based on the biometric authentication information and the biometric authentication data;
An access key generating means for generating an access key to be authenticated by a user authentication device connected to a network when biometric authentication is successful;
Including
The communication means transmits the access key to the terminal device and the user authentication device so that the user of the terminal device is authenticated by the user authentication device via the network. system. 請求項1において、
前記アクセスキー生成手段は、毎回異なるアクセスキーを生成することを特徴とする生体認証システム。 In claim 1,
The biometric authentication system, wherein the access key generating means generates a different access key each time. 端末装置からユーザー識別情報および生体認証情報を受信する通信手段と、
生体認証用データを記憶する記憶手段と、
前記ユーザー識別情報に基づき、ユーザーを識別し、前記生体認証情報と、前記生体認証用データとに基づき、当該ユーザーの生体認証を行う判定手段と、
を含み、
前記判定手段は、生体認証が成功した場合に、ネットワークに接続されたユーザー認証装置で認証されるためのアクセスキーを取得するための取得要求情報を生成し、
前記通信手段は、前記端末装置のユーザーを、前記ネットワークを介して前記ユーザー認証装置で認証させるために、前記取得要求情報を前記ユーザー認証装置へ向け送信するとともに、前記ユーザー認証装置から前記アクセスキーを受信した場合に、当該アクセスキーを前記端末装置へ向け送信することを特徴とする生体認証システム。 Communication means for receiving user identification information and biometric information from the terminal device;
Storage means for storing biometric authentication data;
A determination unit that identifies a user based on the user identification information, and performs biometric authentication of the user based on the biometric authentication information and the biometric authentication data;
Including
The determination unit generates acquisition request information for acquiring an access key to be authenticated by a user authentication device connected to a network when biometric authentication is successful,
The communication means transmits the acquisition request information to the user authentication device in order to authenticate the user of the terminal device with the user authentication device via the network, and from the user authentication device to the access key. When the password is received, the biometric authentication system transmits the access key to the terminal device. 請求項1〜3のいずれかにおいて、
前記端末装置は、指紋認証機能を有し、
前記判定手段は、前記生体認証として指紋認証を行うことを特徴とする生体認証システム。 In any one of Claims 1-3,
The terminal device has a fingerprint authentication function,
The biometric authentication system, wherein the determination unit performs fingerprint authentication as the biometric authentication. コンピュータにより読み取り可能なプログラムであって、
コンピュータを、
通信機能を有する端末装置からユーザー識別情報および生体認証情報を受信する通信手段と、
生体認証用データを記憶する記憶手段と、
前記ユーザー識別情報に基づき、ユーザーを識別し、前記生体認証情報と、前記生体認証用データとに基づき、当該ユーザーの生体認証を行う判定手段と、
生体認証が成功した場合に、ネットワークに接続されたユーザー認証装置で認証されるためのアクセスキーを生成するアクセスキー生成手段として機能させ、
前記通信手段は、前記端末装置のユーザーを、前記ネットワークを介して前記ユーザー認証装置で認証させるために、前記アクセスキーを前記端末装置および前記ユーザー認証装置へ向け送信することを特徴とするプログラム。 A computer readable program,
Computer
A communication means for receiving user identification information and biometric authentication information from a terminal device having a communication function;
Storage means for storing biometric authentication data;
A determination unit that identifies a user based on the user identification information, and performs biometric authentication of the user based on the biometric authentication information and the biometric authentication data;
When biometric authentication is successful, it functions as an access key generation means for generating an access key for authentication by a user authentication device connected to the network,
The communication means transmits the access key to the terminal device and the user authentication device so that the user of the terminal device is authenticated by the user authentication device via the network. コンピュータにより読み取り可能プログラムであって、
コンピュータを、
端末装置からユーザー識別情報および生体認証情報を受信する通信手段と、
生体認証用データを記憶する記憶手段と、
前記ユーザー識別情報に基づき、ユーザーを識別し、前記生体認証情報と、前記生体認証用データとに基づき、当該ユーザーの生体認証を行う判定手段として機能させ、
前記判定手段は、生体認証が成功した場合に、ネットワークに接続されたユーザー認証装置で認証されるためのアクセスキーを取得するための取得要求情報を生成し、
前記通信手段は、前記端末装置のユーザーを、前記ネットワークを介して前記ユーザー認証装置で認証させるために、前記取得要求情報を前記ユーザー認証装置へ向け送信するとともに、前記ユーザー認証装置から前記アクセスキーを受信した場合に、当該アクセスキーを前記端末装置へ向け送信することを特徴とするプログラム。 A computer readable program,
Computer
Communication means for receiving user identification information and biometric information from the terminal device;
Storage means for storing biometric authentication data;
Based on the user identification information, the user is identified, and based on the biometric authentication information and the biometric authentication data, functions as a determination unit that performs biometric authentication of the user,
The determination unit generates acquisition request information for acquiring an access key to be authenticated by a user authentication device connected to a network when biometric authentication is successful,
The communication means transmits the acquisition request information to the user authentication device in order to authenticate the user of the terminal device with the user authentication device via the network, and from the user authentication device to the access key. When the program is received, the access key is transmitted to the terminal device. コンピュータにより読み取り可能な情報記憶媒体であって、
請求項5、6のいずれかに記載のプログラムを記憶したことを特徴とする情報記憶媒体。 An information storage medium readable by a computer,
An information storage medium storing the program according to claim 5.
JP2003326395A 2003-09-18 2003-09-18 Biometrics system, program, and information storage medium Pending JP2005092614A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003326395A JP2005092614A (en) 2003-09-18 2003-09-18 Biometrics system, program, and information storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003326395A JP2005092614A (en) 2003-09-18 2003-09-18 Biometrics system, program, and information storage medium

Publications (1)

Publication Number Publication Date
JP2005092614A true JP2005092614A (en) 2005-04-07

Family

ID=34456604

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003326395A Pending JP2005092614A (en) 2003-09-18 2003-09-18 Biometrics system, program, and information storage medium

Country Status (1)

Country Link
JP (1) JP2005092614A (en)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007334713A (en) * 2006-06-16 2007-12-27 Dainippon Printing Co Ltd System for preventing unauthorized use of electronic appliance
US7861092B2 (en) * 2004-05-10 2010-12-28 Koninklijke Philips Electronics N.V. Personal communication apparatus capable of recording transactions secured with biometric data
JP2017535837A (en) * 2014-09-16 2017-11-30 ノック ノック ラブズ, インコーポレイテッド System and method for integrating authentication services into a network architecture
US10366218B2 (en) 2013-03-22 2019-07-30 Nok Nok Labs, Inc. System and method for collecting and utilizing client data for risk assessment during authentication
US10637853B2 (en) 2016-08-05 2020-04-28 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
WO2020110265A1 (en) * 2018-11-29 2020-06-04 富士通フロンテック株式会社 Authentication server and authentication method
US10769635B2 (en) 2016-08-05 2020-09-08 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US10798087B2 (en) 2013-10-29 2020-10-06 Nok Nok Labs, Inc. Apparatus and method for implementing composite authenticators
US11792024B2 (en) 2019-03-29 2023-10-17 Nok Nok Labs, Inc. System and method for efficient challenge-response authentication
US11831409B2 (en) 2018-01-12 2023-11-28 Nok Nok Labs, Inc. System and method for binding verifiable claims
US11868995B2 (en) 2017-11-27 2024-01-09 Nok Nok Labs, Inc. Extending a secure key storage for transaction confirmation and cryptocurrency
US11929997B2 (en) 2013-03-22 2024-03-12 Nok Nok Labs, Inc. Advanced authentication techniques and applications

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7861092B2 (en) * 2004-05-10 2010-12-28 Koninklijke Philips Electronics N.V. Personal communication apparatus capable of recording transactions secured with biometric data
JP2007334713A (en) * 2006-06-16 2007-12-27 Dainippon Printing Co Ltd System for preventing unauthorized use of electronic appliance
US10776464B2 (en) 2013-03-22 2020-09-15 Nok Nok Labs, Inc. System and method for adaptive application of authentication policies
US10366218B2 (en) 2013-03-22 2019-07-30 Nok Nok Labs, Inc. System and method for collecting and utilizing client data for risk assessment during authentication
US11929997B2 (en) 2013-03-22 2024-03-12 Nok Nok Labs, Inc. Advanced authentication techniques and applications
US10706132B2 (en) 2013-03-22 2020-07-07 Nok Nok Labs, Inc. System and method for adaptive user authentication
US10762181B2 (en) 2013-03-22 2020-09-01 Nok Nok Labs, Inc. System and method for user confirmation of online transactions
US10798087B2 (en) 2013-10-29 2020-10-06 Nok Nok Labs, Inc. Apparatus and method for implementing composite authenticators
JP2017535837A (en) * 2014-09-16 2017-11-30 ノック ノック ラブズ, インコーポレイテッド System and method for integrating authentication services into a network architecture
US10769635B2 (en) 2016-08-05 2020-09-08 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US10637853B2 (en) 2016-08-05 2020-04-28 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US11868995B2 (en) 2017-11-27 2024-01-09 Nok Nok Labs, Inc. Extending a secure key storage for transaction confirmation and cryptocurrency
US11831409B2 (en) 2018-01-12 2023-11-28 Nok Nok Labs, Inc. System and method for binding verifiable claims
WO2020110265A1 (en) * 2018-11-29 2020-06-04 富士通フロンテック株式会社 Authentication server and authentication method
JPWO2020110265A1 (en) * 2018-11-29 2021-05-20 富士通フロンテック株式会社 Authentication server and authentication method
US11792024B2 (en) 2019-03-29 2023-10-17 Nok Nok Labs, Inc. System and method for efficient challenge-response authentication

Similar Documents

Publication Publication Date Title
EP3072352B1 (en) Network connection method and user equipment
US9262618B2 (en) Secure and usable protection of a roamable credentials store
JP4173866B2 (en) Communication device
EP2722001B1 (en) Secure data communication
CN109417553A (en) The attack using leakage certificate is detected via internal network monitoring
US10574647B2 (en) User authentication method and system for implementing same
WO2015154488A1 (en) Method and device for accessing router
JP2007102778A (en) User authentication system and method therefor
US9374360B2 (en) System and method for single-sign-on in virtual desktop infrastructure environment
TW201310959A (en) Method and computer system for dynamically providing algorithm-based password/challenge authentication
WO2017067201A1 (en) Wi-fi connection method, terminal, and system
CN108880822A (en) A kind of identity identifying method, device, system and a kind of intelligent wireless device
EP3661154A1 (en) Authentication based on unique encoded codes
JP2005092614A (en) Biometrics system, program, and information storage medium
KR101897085B1 (en) Apparatus and method for generating a realtime password and storage medium
JPH1139260A (en) User authenticating system, host computer, terminal device, authentication code generating method, recording medium
US20060248578A1 (en) Method, system, and program product for connecting a client to a network
WO2012074275A2 (en) User authentication apparatus for internet security, user authentication method for internet security, and recorded medium recording same
JP2007293562A (en) Authentication device, line concentrator, authentication method, and authentication program
CN108377500A (en) A kind of wifi network connection method, device and equipment
JP7269486B2 (en) Information processing device, information processing method and information processing program
JP4018450B2 (en) Document management system, document management apparatus, authentication method, computer readable program, and storage medium
CN106713222B (en) Access authentication method, server and authentication system of wireless local area network
US11716331B2 (en) Authentication method, an authentication device and a system comprising the authentication device
CN114448722A (en) Cross-browser login method and device, computer equipment and storage medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060906

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091007

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091014

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100224