JP4545480B2 - Electronic signature generation device, web server, biometric information authentication device, and user authentication system - Google Patents

Electronic signature generation device, web server, biometric information authentication device, and user authentication system Download PDF

Info

Publication number
JP4545480B2
JP4545480B2 JP2004134268A JP2004134268A JP4545480B2 JP 4545480 B2 JP4545480 B2 JP 4545480B2 JP 2004134268 A JP2004134268 A JP 2004134268A JP 2004134268 A JP2004134268 A JP 2004134268A JP 4545480 B2 JP4545480 B2 JP 4545480B2
Authority
JP
Japan
Prior art keywords
biometric information
authentication
user
information
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004134268A
Other languages
Japanese (ja)
Other versions
JP2005316750A (en
Inventor
雅士 小野川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2004134268A priority Critical patent/JP4545480B2/en
Publication of JP2005316750A publication Critical patent/JP2005316750A/en
Application granted granted Critical
Publication of JP4545480B2 publication Critical patent/JP4545480B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

本発明は、電子署名生成装置、ウェブサーバ、生体情報認証装置、及びユーザ認証システムに関するものである。   The present invention relates to an electronic signature generation device, a web server, a biometric information authentication device, and a user authentication system.

インターネット上のウェブサイト等のコンピュータシステムにおいては、特定のユーザからのアクセスのみを許容するために様々なユーザ認証が行われている。従来のユーザ認証方法としては、ユーザIDとパスワードとの入力によりユーザを認証する方法や、電子証明書や電子署名によって本人確認を行う方法等が知られている。これらのうち、電子署名を用いたユーザ認証方法としては、例えば下記特許文献1記載のユーザ認証方法がある。このユーザ認証方法においては、ユーザの生体情報に基づいて生成した電子署名を予め個人認証装置に登録しておき、ユーザ端末から取引先端末に電子署名入り情報を送信する際に取引先端末が個人認証装置に電子署名を転送し、個人認証装置において電子署名を検証することによって電子署名入り情報の本人認証を行っている。
特開2001−265738号公報 In a computer system such as a website on the Internet, various user authentications are performed in order to allow access only from a specific user. As a conventional user authentication method, a method of authenticating a user by inputting a user ID and a password, a method of performing identity verification by an electronic certificate or an electronic signature, and the like are known. Among these, as a user authentication method using an electronic signature, for example, there is a user authentication method described in Patent Document 1 below. In this user authentication method, an electronic signature generated based on a user's biometric information is registered in advance in a personal authentication device, and the customer terminal is personal when transmitting information with an electronic signature from the user terminal to the customer terminal. By authenticating the electronic signature by transferring the electronic signature to the authentication apparatus and verifying the electronic signature in the personal authentication apparatus.
JP 2001-265738 A

しかしながら、上述した従来のユーザ認証方法においては以下のような問題があった。すなわち、ユーザ認証を行うためには、個人認証装置において予め全てのユーザの電子署名データを登録する必要があるため、電子署名データを集中管理することによる電子署名データの漏洩の可能性が高まる。また、個人認証装置において管理するユーザ数が多くなると、電子署名データを検索して認証対象のデータと比較する際の処理負荷が増大する。   However, the above-described conventional user authentication method has the following problems. That is, in order to perform user authentication, it is necessary to register the electronic signature data of all users in advance in the personal authentication device, so that the possibility of leakage of electronic signature data by centrally managing the electronic signature data increases. Further, when the number of users managed in the personal authentication device increases, the processing load when searching for electronic signature data and comparing it with data to be authenticated increases.

そこで、本発明は、かかる課題に鑑みて為されたものであり、ユーザの認証用データを分散管理することにより、安全かつ効率的にユーザ認証を行うことが可能な電子署名生成装置、ウェブサーバ、生体情報認証装置、及びユーザ認証システムを提供することを目的とする。   Accordingly, the present invention has been made in view of such problems, and an electronic signature generation device and a web server that can perform user authentication safely and efficiently by managing user authentication data in a distributed manner An object of the present invention is to provide a biometric information authentication device and a user authentication system.

上記課題を解決するため、本発明の電子署名生成装置は、ユーザの生体情報の入力とユーザの属性情報の入力とを受け付ける生体情報受付手段と、生体情報受付手段によって受け付けられたユーザの属性情報を、生体情報に関連づけて格納する属性情報格納手段と、生体情報受付手段によって受け付けられた生体情報に対して、電子鍵を用いて電子署名を生成して付加することにより認証用生体情報を生成する電子署名付加手段と、電子署名付加手段によって電子署名が付加された認証用生体情報を、ユーザ端末に送信する生体情報送信手段と、電子署名を復号化するための復号化用電子鍵と属性情報格納手段のネットワークアドレスとを、生体情報を認証する生体情報認証装置に送信する電子鍵送信手段と、を備える。 In order to solve the above problems, an electronic signature generation apparatus according to the present invention includes a biometric information receiving unit that receives input of user biometric information and user attribute information, and user attribute information received by the biometric information receiving unit. Is generated by adding an electronic signature using an electronic key to the biometric information received by the biometric information and the attribute information storage means that stores the biometric information in association with the biometric information. An electronic signature adding means, a biometric information transmitting means for transmitting the biometric information to which the electronic signature is added by the electronic signature adding means to the user terminal, a decryption electronic key and an attribute for decrypting the electronic signature Electronic key transmission means for transmitting the network address of the information storage means to a biometric information authentication device for authenticating biometric information.

このような電子署名生成装置によれば、ユーザの生体情報を受け付けて、その生体情報に電子署名を付加して認証用生体情報を生成し、その認証用生体情報をユーザ端末に送信するので、ユーザ端末でのローカルな認証用データの管理が可能となる。また、電子署名を復号化するための復号化用電子鍵を生体情報認証装置に送信するので、生体情報認証装置において認証用生体情報を復号化してユーザ認証に利用することができる。さらに、電子署名生成装置がユーザから生体情報とともに属性情報を受け付けて格納しておき、生体情報認証装置に、復号化用電子鍵と共に格納先ネットワークアドレスを送信するので、ユーザの属性情報を電子署名生成装置において分散管理しつつ、格納先のアドレスを生体情報認証装置に通知することができる。 According to such an electronic signature generation device, the user's biometric information is received, an electronic signature is added to the biometric information to generate authentication biometric information, and the biometric information for authentication is transmitted to the user terminal. Management of local authentication data at the user terminal becomes possible. In addition, since the decryption electronic key for decrypting the electronic signature is transmitted to the biometric information authentication apparatus, the biometric information authentication apparatus can decrypt the authentication biometric information and use it for user authentication. Furthermore, the electronic signature generation apparatus receives and stores attribute information together with biometric information from the user, and transmits the storage destination network address together with the decryption electronic key to the biometric information authentication apparatus. It is possible to notify the biometric information authentication device of the storage destination address while performing distributed management in the generation device.

或いは、本発明のウェブサーバは、ユーザ端末からアクセスを要求する接続要求を受信する接続要求受信手段と、接続要求受信手段による接続要求の受信に応じて、ユーザ端末に生体情報の送信を要求する生体情報要求手段と、ユーザ端末から、ユーザの生体情報と生体情報に電子署名が付加された認証用生体情報とを受信し、生体情報を認証する生体情報認証装置に転送する生体情報転送手段と、生体情報認証装置から生体情報の認証結果とユーザの属性情報の格納先ネットワークアドレスとを受信する認証結果受信手段と、認証結果受信手段によって受信された格納先ネットワークアドレスと、ユーザの生体情報とに基づいて、ユーザの属性情報を取得する属性情報取得手段と、認証結果受信手段によって受信された認証結果に基づいて、ユーザ端末からの接続要求を許可するユーザ認証手段と、を備える。 Or the web server of this invention requests | requires transmission of biometric information to a user terminal according to reception of the connection request | requirement means which receives the connection request which requests | requires access from a user terminal, and the connection request reception means. Biometric information requesting means; biometric information transfer means for receiving from the user terminal biometric information of the user and biometric information for authentication in which an electronic signature is added to the biometric information; and transferring the biometric information to a biometric information authenticating apparatus that authenticates the biometric information Authentication result receiving means for receiving the authentication result of the biometric information and the storage destination network address of the user attribute information from the biometric information authentication device, the storage destination network address received by the authentication result receiving means, and the biometric information of the user based on the attribute information acquisition means for acquiring attribute information of the user, based on the received authentication result by the authentication-result receiving means It includes a user authentication means for permitting a connection request from the user terminal.

このようなウェブサーバによれば、ユーザ端末からの接続要求に対して生体情報を要求した後、ユーザ端末から生体情報と認証用生体情報とを受信し、それらを生体情報認証装置に転送する。これにより、ローカルで管理された認証用データ及び認証対象データを受信して、生体情報認証装置に提供することができる。また、生体情報認証装置から認証結果を受信して、その結果に基づいてユーザ端末からの接続を許可するので、ローカルで管理された認証用データを利用してより安全にユーザ認証を行うことができる。さらに、認証結果としてユーザの属性情報の格納先ネットワークアドレスを受信し、そのネットワークアドレスと生体情報とに基づいて属性情報を取得するので、生体情報の認証とともにユーザ属性情報を容易に取得することができる。 According to such a web server, after requesting biometric information in response to a connection request from the user terminal, the biometric information and authentication biometric information are received from the user terminal and transferred to the biometric information authentication apparatus. Thereby, locally managed authentication data and authentication target data can be received and provided to the biometric information authentication apparatus. In addition, since the authentication result is received from the biometric information authentication apparatus and the connection from the user terminal is permitted based on the result, the user authentication can be performed more safely by using locally managed authentication data. it can. Furthermore, since the storage destination network address of the user attribute information is received as the authentication result and the attribute information is acquired based on the network address and the biometric information, the user attribute information can be easily acquired together with the biometric information authentication. it can.

或いは、本発明の生体情報認証装置は、ユーザの生体情報の入力を受け付ける電子署名生成装置から、生体情報に対する電子署名付加時に用いられた電子鍵に対応する復号化用電子鍵とユーザの属性情報の格納先ネットワークアドレスとを受信する電子鍵受信手段と、ウェブサーバから、ユーザの生体情報と生体情報に電子署名が付加された認証用生体情報とを受信する生体情報受信手段と、認証用生体情報を復号化可能な電子鍵を、電子鍵受信手段によって受信された復号化用電子鍵の中から探索することにより、電子鍵を用いて認証用生体情報を復号化する生体情報復号手段と、生体情報復号手段によって復号化された認証用生体情報と、ユーザの生体情報とを照合することによりユーザの認証を行う生体情報認証手段と、生体情報認証手段によるユーザの認証結果と生体情報復号手段が用いた電子鍵と共に受信された格納先ネットワークアドレスとをウェブサーバに送信する認証結果送信手段と、を備える。 Alternatively, the biometric information authentication apparatus according to the present invention includes a decryption electronic key and user attribute information corresponding to the electronic key used when the electronic signature is added to the biometric information from the electronic signature generation apparatus that receives input of the biometric information of the user. An electronic key receiving means for receiving the storage destination network address, biometric information receiving means for receiving the biometric information of the user and the biometric information for authentication in which an electronic signature is added to the biometric information from the web server, and the biometric for authentication A biometric information decrypting unit that decrypts the biometric information for authentication using the electronic key by searching an electronic key for decrypting information from among the decrypting electronic keys received by the electronic key receiving unit; Biometric information authenticating means for authenticating a user by collating the biometric information for authentication decrypted by the biometric information decrypting means with the biometric information of the user, and biometric information authentication And an authentication result transmitting unit that transmits the storage destination network address received with the authentication result and the electronic key biological information decoding means is used for the user to the web server by stage.

このような生体情報認証装置によれば、電子署名生成装置から認証用生体情報の復号化用電子鍵を受信し、ウェブサーバからユーザの生体情報と認証用生体情報とを受信し、認証用生体情報を復号化可能な電子鍵を探索して、認証用生体情報を復号化する。また、復号化された認証用生体情報を用いてユーザの生体情報を照合・認証し、その認証結果をウェブサーバに送信する。これにより、ローカルで管理された認証用データとユーザから取得された生体情報とを用いて、認証用データの信頼性が確保されるとともに、より効率的なユーザ認証が実現できる。さらに、電子署名生成装置から復号化用電子鍵と共にユーザ属性情報の格納先ネットワークアドレスを受信し、認証用生体情報の復号化に用いた復号化用電子鍵に対応する格納先ネットワークアドレスをウェブサーバに送信するので、接続要求を行ったユーザに関する属性情報格納先を確実に通知することができる。 According to such a biometric information authentication device, the authentication biometric information decryption electronic key is received from the electronic signature generation device, the user biometric information and the authentication biometric information are received from the web server, and the authentication biometric information is received. An electronic key that can decrypt the information is searched, and the biometric information for authentication is decrypted. Further, the biometric information of the user is collated and authenticated using the decrypted biometric information for authentication, and the authentication result is transmitted to the web server. Thereby, the authentication data managed locally and the biometric information acquired from the user are used to ensure the reliability of the authentication data and to realize more efficient user authentication. Further, the storage destination network address of the user attribute information is received together with the decryption electronic key from the electronic signature generation apparatus, and the storage destination network address corresponding to the decryption electronic key used for decrypting the authentication biometric information is stored in the web server. Therefore, it is possible to reliably notify the attribute information storage destination related to the user who has made the connection request.

或いは、上述した電子署名生成装置と、上述したウェブサーバと、上述した生体情報認証装置とを備えて構成され、電子署名生成装置とウェブサーバと生体情報認証装置との間で通信を行うユーザ認証システムとして構築又は運用してもよい。   Alternatively, a user authentication that includes the above-described electronic signature generation device, the above-described web server, and the above-described biometric information authentication device, and performs communication between the electronic signature generation device, the web server, and the biometric information authentication device. It may be constructed or operated as a system.

本発明によれば、ユーザの認証用データを分散管理することにより、安全かつ効率的にユーザ認証を行うことができる。   ADVANTAGE OF THE INVENTION According to this invention, user authentication can be performed safely and efficiently by managing the user authentication data in a distributed manner.

以下、図面とともに本発明によるユーザ認証システムの好適な実施形態について詳細に説明する。なお、図面の説明においては同一要素には同一符号を付し、重複する説明を省略する。   Hereinafter, preferred embodiments of a user authentication system according to the present invention will be described in detail with reference to the drawings. In the description of the drawings, the same elements are denoted by the same reference numerals, and redundant description is omitted.

図1は、本発明によるユーザ認証システム1の好適な一実施形態を示す概略構成図である。このユーザ認証システム1は、店舗等に設置された装置においてユーザの電子署名入り生体情報を生成し、その電子署名入り生体情報を用いてウェブサイトアクセス時のユーザ認証を実現するためのネットワークシステムである。同図に示すように、ユーザ認証システム1は、認証対象のユーザが使用するユーザ端末2と、複数の店舗に設置された店舗端末3Aとデータベース(DB)サーバ3Bとからなる電子署名生成装置3と、ホームページ上で情報を提供するウェブサーバ4と、ユーザ認証処理を担う生体情報認証装置5とを含んで構成されている。ユーザ端末2、店舗端末3A、DBサーバ3B、ウェブサーバ4、及び生体情報認証装置5は、通信ネットワーク6を介して相互にデータ通信が可能とされている。以下、説明の便宜上、店舗Xに電子署名生成装置3が設置されているものとする。   FIG. 1 is a schematic configuration diagram showing a preferred embodiment of a user authentication system 1 according to the present invention. This user authentication system 1 is a network system for generating biometric information with a user's electronic signature in an apparatus installed in a store or the like and realizing user authentication at the time of accessing a website using the biometric information with the electronic signature. is there. As shown in the figure, a user authentication system 1 includes an electronic signature generation device 3 comprising a user terminal 2 used by a user to be authenticated, a store terminal 3A installed in a plurality of stores, and a database (DB) server 3B. And a web server 4 that provides information on a home page and a biometric information authentication device 5 that performs user authentication processing. The user terminal 2, the store terminal 3 </ b> A, the DB server 3 </ b> B, the web server 4, and the biometric information authentication device 5 can perform data communication with each other via the communication network 6. Hereinafter, for convenience of explanation, it is assumed that the electronic signature generation device 3 is installed in the store X.

ユーザ端末2は、ユーザ認証システム1において認証対象のユーザが使用する通信端末であり、非接触IC(Integrated Circuit)通信方式、赤外線通信方式等の近距離無線通信機能を有するとともに、移動体通信方式を利用して通信ネットワーク6に接続可能なように構成されている。このような通信端末の例としては、携帯電話機、PHS(Personal Handyphone System)、PDA(Personal Digital Assistants)、可搬型パーソナルコンピュータ等が挙げられる。   The user terminal 2 is a communication terminal used by a user to be authenticated in the user authentication system 1 and has a short-range wireless communication function such as a non-contact IC (Integrated Circuit) communication method and an infrared communication method, and a mobile communication method. Is configured to be connectable to the communication network 6. Examples of such communication terminals include mobile phones, PHS (Personal Handyphone System), PDA (Personal Digital Assistants), and portable personal computers.

ユーザ端末2は、ユーザから生体情報の入力を受け付ける生体情報読取部201を有する。ここで入力可能な生体情報としては、指紋画像、指静脈画像、掌紋画像、網膜画像、紅彩画像、顔貌画像等が挙げられる。また、ユーザ端末2には、生体情報読取部201によって読み取られた生体情報、及び電子署名生成装置3において生成された認証用生体情報(詳細は、後述する。)を格納する生体情報格納部202が備えられている。この生体情報格納部202は、外部からの不正な手続きによる情報の取得や改竄を防止するための耐タンパ性を有するデータ領域であることが好ましい。さらに、ユーザ端末2は、認証用生体情報を近距離無線通信によって電子署名生成装置3から受信する機能と、認証用生体情報及びユーザから受け付けられた生体情報を、移動体通信によってウェブサーバ4に送信する機能とを有する。   The user terminal 2 includes a biological information reading unit 201 that receives input of biological information from the user. Examples of biometric information that can be input include fingerprint images, finger vein images, palm print images, retinal images, red images, facial images, and the like. The user terminal 2 stores biometric information read by the biometric information reading unit 201 and biometric information storage unit 202 that stores biometric information for authentication (details will be described later) generated by the digital signature generation device 3. Is provided. The biometric information storage unit 202 is preferably a data area having tamper resistance for preventing information acquisition or falsification by an illegal procedure from the outside. Furthermore, the user terminal 2 sends the biometric information for authentication from the electronic signature generation device 3 by short-range wireless communication and the biometric information for authentication and the biometric information received from the user to the web server 4 by mobile communication. And a function to transmit.

電子署名生成装置3は、ユーザが商取引を行う店舗等の場所に設置され、ユーザから取得した生体情報に対して電子署名を付加するためのコンピュータシステムである。図2は、電子署名生成装置3の概略構成図である。同図に示すように、店舗端末3Aは、機能的構成要素として、生体情報受付部(生体情報受付手段)301、電子鍵生成部302と、電子署名付加部(電子署名付加手段)303と、生体情報送信部(生体情報送信手段)304と、電子鍵送信部(電子鍵送信手段)305とを備え、DBサーバ3Bは、属性情報格納部(属性情報格納手段)306を備えている。以下、電子署名生成装置3の構成要素について詳細に説明する。   The electronic signature generation device 3 is a computer system that is installed in a place such as a store where a user conducts a commercial transaction, and adds an electronic signature to biometric information acquired from the user. FIG. 2 is a schematic configuration diagram of the electronic signature generation apparatus 3. As shown in the figure, the store terminal 3A includes, as functional components, a biometric information receiving unit (biometric information receiving unit) 301, an electronic key generating unit 302, an electronic signature adding unit (electronic signature adding unit) 303, A biometric information transmission unit (biometric information transmission unit) 304 and an electronic key transmission unit (electronic key transmission unit) 305 are provided. The DB server 3B includes an attribute information storage unit (attribute information storage unit) 306. Hereinafter, components of the electronic signature generation device 3 will be described in detail.

生体情報受付部301は、ユーザの生体情報の入力を受け付ける部分であり、物理的な構成としては、指紋センサ、画像データ取得用カメラ等のセンサで構成される。また、受け付ける生体情報としては、ユーザ端末2と同様に、指紋画像、指静脈画像、掌紋画像、網膜画像、紅彩画像、顔貌画像等が挙げられる。生体情報受付部301は、受け付けたユーザの生体情報を、デジタルデータとして電子署名付加部303に出力する。   The biometric information accepting unit 301 is a part that accepts input of biometric information of a user, and has a physical configuration such as a sensor such as a fingerprint sensor or an image data acquisition camera. The biometric information received includes a fingerprint image, a finger vein image, a palm print image, a retina image, a red image, a facial image, and the like, as with the user terminal 2. The biometric information receiving unit 301 outputs the received biometric information of the user to the electronic signature adding unit 303 as digital data.

また、生体情報受付部301は、上記の生体情報とともに、該当ユーザの個人属性を示す属性情報の入力を受け付ける機能も有する。生体情報受付部301は、ユーザ属性情報の入力を、店舗端末3Aに備えられるキーボード等の情報入力手段、ディスクドライブ装置等の情報読取装置から受け付けることができるとともに、ユーザ端末2から近距離無線通信により受け取ることも可能である。生体情報受付部301は、ユーザの属性情報を受け付けると、その属性情報を、該当ユーザの生体情報に関連づけてDBサーバ3Bの属性情報格納部306に格納する。図5は、このようにして属性情報格納部306に格納された属性情報のデータ構成を示す図である。同図に示すように、ユーザの属性情報である、名前「山田太郎」、ユーザID「yamada」、住所「東京都○○区××町」、生年月日「19751001」、及びメールアドレス「yamada@xxxx」等の情報が、該当ユーザの生体情報「ABC0002134」に関連づけて格納される。   The biometric information receiving unit 301 also has a function of receiving input of attribute information indicating personal attributes of the corresponding user together with the above biometric information. The biometric information accepting unit 301 can accept input of user attribute information from an information input unit such as a keyboard provided in the store terminal 3A, an information reading device such as a disk drive device, and the near field communication from the user terminal 2. Can also be received. When receiving the user's attribute information, the biometric information receiving unit 301 stores the attribute information in the attribute information storage unit 306 of the DB server 3B in association with the corresponding user's biometric information. FIG. 5 is a diagram showing a data configuration of the attribute information stored in the attribute information storage unit 306 in this way. As shown in the figure, the attribute information of the user is the name “Taro Yamada”, the user ID “yamada”, the address “Tokyo Metropolitan XX City ×× Town”, the date of birth “19751001”, and the mail address “yamada” Information such as “@xxxx” is stored in association with the biometric information “ABC0002134” of the corresponding user.

図2に戻って、電子鍵生成部302は、店舗端末3Aにおいて電子署名の暗号化に用いる電子鍵を生成する部分である。詳細には、電子鍵生成部302は、公開鍵暗号方式で電子署名を生成する際に使用する電子鍵である秘密鍵を生成した後、その電子署名を復号化するための公開鍵(復号化用電子鍵)も併せて生成する。電子鍵生成部302は、生成した秘密鍵を電子署名付加部303に出力するとともに、その秘密鍵に対応する公開鍵を電子鍵送信部305に出力する。   Returning to FIG. 2, the electronic key generation unit 302 is a part that generates an electronic key used for encryption of an electronic signature in the store terminal 3A. Specifically, the electronic key generation unit 302 generates a private key, which is an electronic key used when generating an electronic signature by a public key cryptosystem, and then decrypts the electronic signature (decryption). Electronic key) is also generated. The electronic key generation unit 302 outputs the generated private key to the electronic signature addition unit 303 and outputs a public key corresponding to the private key to the electronic key transmission unit 305.

電子署名付加部303は、生体情報受付部301で受け付けられたユーザの生体情報に対して、電子鍵生成部302で生成された秘密鍵を用いて電子署名を生成する部分である。具体的には、電子署名付加部303は、任意のビット長のデジタルデータである生体情報を、ハッシュ関数を用いて固定長のハッシュ値に変換し、そのハッシュ値を公開鍵暗号方式で暗号化することで電子署名を生成する。また、電子署名付加部303は、生体情報受付部301で受け付けられたユーザの生体情報に、生成した電子署名を付加して、該当ユーザの認証用生体情報として生体情報送信部304に出力する。   The electronic signature adding unit 303 is a part that generates an electronic signature for the biometric information of the user received by the biometric information receiving unit 301 using the secret key generated by the electronic key generating unit 302. Specifically, the digital signature adding unit 303 converts biometric information, which is digital data having an arbitrary bit length, into a fixed-length hash value using a hash function, and encrypts the hash value using a public key cryptosystem. To generate an electronic signature. Also, the electronic signature adding unit 303 adds the generated electronic signature to the user's biometric information received by the biometric information receiving unit 301 and outputs the biometric information to the biometric information transmitting unit 304 as authentication biometric information for the user.

生体情報送信部304は、電子署名付加部303によって生成された認証用生体情報を、近距離無線通信を用いてユーザ端末2に送信する。ユーザ端末2では、送信された認証用生体情報を生体情報格納部202に格納する。   The biometric information transmitting unit 304 transmits the biometric information for authentication generated by the electronic signature adding unit 303 to the user terminal 2 using short-range wireless communication. In the user terminal 2, the transmitted biometric information for authentication is stored in the biometric information storage unit 202.

電子鍵送信部305は、電子鍵生成部302で生成された公開鍵と、DBサーバ3BのIPアドレスである属性情報格納部306のネットワークアドレスを含むDBサーバ情報とを、生体情報認証装置5に送信する。   The electronic key transmission unit 305 sends the public key generated by the electronic key generation unit 302 and the DB server information including the network address of the attribute information storage unit 306, which is the IP address of the DB server 3B, to the biometric information authentication device 5. Send.

ウェブサーバ4は、ユーザ端末2に対して、ユーザ認証が必要な商取引情報や会員専用情報等の情報が掲載されたホームページを送信するWWW(World Wide Web)サーバシステムである。図3は、ウェブサーバ4の概略構成図である。同図に示すように、ウェブサーバ4は、機能的構成要素として、接続要求受信部(接続要求受信手段)401、生体情報要求部(生体情報要求手段)402と、生体情報転送部(生体情報転送手段)403と、認証結果受信部(認証結果受信手段)404と、属性情報取得部(属性情報取得手段)405と、ユーザ認証部(ユーザ認証手段)406とを備えている。以下、ウェブサーバ4の構成要素について詳細に説明する。   The web server 4 is a WWW (World Wide Web) server system that transmits to the user terminal 2 a home page on which information such as commercial transaction information that requires user authentication and member-specific information is posted. FIG. 3 is a schematic configuration diagram of the web server 4. As shown in the figure, the web server 4 includes, as functional components, a connection request receiving unit (connection request receiving unit) 401, a biometric information request unit (biological information request unit) 402, and a biometric information transfer unit (biological information). A transfer unit) 403, an authentication result receiving unit (authentication result receiving unit) 404, an attribute information acquisition unit (attribute information acquisition unit) 405, and a user authentication unit (user authentication unit) 406. Hereinafter, the components of the web server 4 will be described in detail.

接続要求受信部401は、ウェブサーバ4によって提供されているホームページ用表示データの送信を要求する接続要求データを、ユーザ端末2から受信する部分である。この接続要求データには、要求元を特定するユーザ端末2のアドレスが含まれている。接続要求受信部401は、ユーザ端末2から接続要求データを受信した後、その接続要求データに含まれるユーザ端末2のアドレスを生体情報要求部402に出力する。   The connection request receiving unit 401 is a part that receives connection request data for requesting transmission of homepage display data provided by the web server 4 from the user terminal 2. This connection request data includes the address of the user terminal 2 that identifies the request source. After receiving the connection request data from the user terminal 2, the connection request receiving unit 401 outputs the address of the user terminal 2 included in the connection request data to the biometric information requesting unit 402.

生体情報要求部402は、接続要求受信部401からのユーザ端末2のアドレス出力に応じて、ユーザ端末2に生体情報の送信を要求する部分である。生体情報要求部402は、生体情報の送信要求を、ユーザ端末2のアドレスに対して行った後、そのユーザ端末2のアドレスをユーザ認証部406に出力する。   The biometric information request unit 402 is a part that requests the user terminal 2 to transmit biometric information in response to the address output of the user terminal 2 from the connection request receiving unit 401. The biometric information request unit 402 makes a biometric information transmission request to the address of the user terminal 2, and then outputs the address of the user terminal 2 to the user authentication unit 406.

生体情報転送部403は、生体情報要求部402の要求に対してユーザ端末2から送信されたユーザの生体情報及び認証用生体情報を受信する部分である。ユーザ端末2から送信される生体情報は、ユーザ端末2の生体情報読取部201によって読み取られたものであり、認証用生体情報は電子署名生成装置3で予め生成されて生体情報格納部202に格納されたものである。また、生体情報転送部403は、受信したユーザの生体情報と認証用生体情報とを生体情報認証装置5に転送するとともに、属性情報取得部405に出力する。   The biometric information transfer unit 403 is a part that receives user biometric information and authentication biometric information transmitted from the user terminal 2 in response to a request from the biometric information request unit 402. The biometric information transmitted from the user terminal 2 is read by the biometric information reading unit 201 of the user terminal 2, and the authentication biometric information is generated in advance by the electronic signature generation device 3 and stored in the biometric information storage unit 202. It has been done. In addition, the biometric information transfer unit 403 transfers the received user biometric information and authentication biometric information to the biometric information authentication device 5 and outputs the biometric information to the attribute information acquisition unit 405.

認証結果受信部404は、生体情報転送部によって転送された生体情報及び認証用生体情報を用いて行われたユーザ認証の結果を、生体情報認証装置5から受信する部分である。詳細には、認証結果受信部404は、生体情報認証装置5でのユーザ認証結果がOKである場合は、認証結果情報としてDBサーバ3BのIPアドレスを含むDBサーバ情報とを受信する。一方、認証結果受信部404は、生体情報認証装置5でのユーザ認証結果がNGである場合は、認証結果情報「NG」を受信する。認証結果受信部404は、生体情報認証装置5から受信した認証結果情報を属性情報取得部405に出力する。   The authentication result receiving unit 404 is a part that receives from the biometric information authentication device 5 the result of user authentication performed using the biometric information transferred by the biometric information transfer unit and the biometric information for authentication. Specifically, when the user authentication result in the biometric information authentication device 5 is OK, the authentication result receiving unit 404 receives DB server information including the IP address of the DB server 3B as authentication result information. On the other hand, when the user authentication result in the biometric information authentication device 5 is NG, the authentication result receiving unit 404 receives the authentication result information “NG”. The authentication result reception unit 404 outputs the authentication result information received from the biometric information authentication device 5 to the attribute information acquisition unit 405.

属性情報取得部405は、認証結果受信部404から受け取った認証結果情報と、生体情報転送部403から受け取ったユーザの生体情報とに基づいて、DBサーバ3Bから該当ユーザの属性情報を取得する部分である。この場合、属性情報取得部405は、認証結果情報に含まれるDBサーバ3BのIPアドレスを参照先アドレスに指定して属性情報格納部306を検索して、生体情報転送部403から受け取ったユーザの生体情報と一致する生体情報を含む属性情報を読み出す。図5に示す例において、生体情報転送部403からユーザの生体情報「098bbbafaji」を受け取った場合は、名前「山田花子」、ユーザID「hanako」、住所「大阪府○○区△△町」、生年月日「20000104」、及びメールアドレス「hanako@xxxx」を取得する。属性情報取得部405は、取得したユーザの属性情報と認証結果情報とをユーザ認証部406に出力する。   The attribute information acquisition unit 405 acquires the attribute information of the corresponding user from the DB server 3B based on the authentication result information received from the authentication result reception unit 404 and the user biometric information received from the biometric information transfer unit 403. It is. In this case, the attribute information acquisition unit 405 searches the attribute information storage unit 306 by specifying the IP address of the DB server 3B included in the authentication result information as a reference destination address, and receives the user information received from the biometric information transfer unit 403. Read attribute information including biometric information that matches the biometric information. In the example shown in FIG. 5, when the user's biometric information “098bbbafaji” is received from the biometric information transfer unit 403, the name “Hanako Yamada”, the user ID “hanako”, the address “Osaka Prefecture ○○ ward Δ △ machi”, Get birth date "20000104" and email address "hanako @ xxxx". The attribute information acquisition unit 405 outputs the acquired user attribute information and authentication result information to the user authentication unit 406.

ユーザ認証部406は、属性情報取得部405から受け取ったユーザの属性情報と認証結果情報とに基づいて、ユーザ端末2からの接続要求を許可する部分である。詳細には、ユーザ認証部406は、認証結果情報が「NG」ではなく、かつ、属性情報が正当なデータであった場合に、ユーザ端末2に接続応答データを送信後、ユーザ端末2に対してホームページ用表示データのダウンロードを許可する。なお、属性情報が正当なデータであるか否かの判断は、予めウェブサーバ4に格納されている一部のユーザ属性情報との照合、あるいは属性情報が所定のデータフォーマットであるか否か等により行われる。   The user authentication unit 406 is a part that permits a connection request from the user terminal 2 based on the user attribute information and authentication result information received from the attribute information acquisition unit 405. Specifically, when the authentication result information is not “NG” and the attribute information is valid data, the user authentication unit 406 transmits connection response data to the user terminal 2 and then sends the connection response data to the user terminal 2. To allow download of homepage display data. Note that whether or not the attribute information is valid data is determined by checking with some user attribute information stored in advance in the web server 4 or whether or not the attribute information has a predetermined data format. Is done.

生体情報認証装置5は、ユーザ端末2のウェブサーバ4へのアクセス要求に対して、ユーザ端末2のユーザ認証を行うためのコンピュータシステムである。図4は、生体情報認証装置5の概略構成図である。同図に示すように、生体情報認証装置5は、機能的構成要素として、電子鍵受信部(電子鍵受信手段)501と、アドレス情報登録部502と、電子鍵登録部503と、生体情報受信部(生体情報受信手段)504と、生体情報復号部(生体情報復号手段)505と、生体情報認証部(生体情報認証手段)506と、アドレス情報検索部507と、認証結果送信部(認証結果送信手段)508とを備えている。以下、生体情報認証装置5の構成要素について詳細に説明する。   The biometric information authentication device 5 is a computer system for performing user authentication of the user terminal 2 in response to an access request to the web server 4 of the user terminal 2. FIG. 4 is a schematic configuration diagram of the biometric information authentication device 5. As shown in the figure, the biometric information authentication device 5 includes, as functional components, an electronic key receiving unit (electronic key receiving unit) 501, an address information registration unit 502, an electronic key registration unit 503, and a biometric information reception. Unit (biological information receiving unit) 504, biometric information decoding unit (biological information decoding unit) 505, biometric information authentication unit (biological information authentication unit) 506, address information search unit 507, and authentication result transmission unit (authentication result) Transmission means) 508. Hereinafter, the components of the biometric information authentication device 5 will be described in detail.

電子鍵受信部501は、店舗端末3Aの電子鍵送信部305から送信された公開鍵と、ユーザ属性情報の格納先ネットワークアドレスであるDBサーバ3BのIPアドレスを含むDBサーバ情報とを受信する部分である。この公開鍵は、店舗端末3Aにおいて認証用生体情報を生成する時に用いられた秘密鍵に対応する復号化用の電子鍵である。電子鍵受信部501は、DBサーバ情報をアドレス情報登録部502に出力し、同時に受信した公開鍵を電子鍵登録部503に出力する。   The electronic key receiving unit 501 receives the public key transmitted from the electronic key transmitting unit 305 of the store terminal 3A and the DB server information including the IP address of the DB server 3B that is the storage destination network address of the user attribute information. It is. This public key is an electronic key for decryption corresponding to the secret key used when generating biometric information for authentication in the store terminal 3A. The electronic key receiving unit 501 outputs the DB server information to the address information registration unit 502 and outputs the received public key to the electronic key registration unit 503 at the same time.

アドレス情報登録部502は、電子鍵受信部501から受け取ったDBサーバ3BのIPアドレスを含むDBサーバ情報を、DBサーバ3Bが設置されている店舗Xを識別する店舗IDに対応づけて、アドレス情報格納部509に格納する。図6は、このようにしてアドレス情報格納部509に格納されたデータの構成を示す図である。同図に示すように、店舗名「店舗X」と、DBサーバ3BのIPアドレスである格納先IPアドレス「192.168.X.X1」と、店舗登録日「20031224」とから構成されるDBサーバ情報が、店舗Xを識別する店舗ID「0001」に関連づけて格納される。また、図4に戻って、アドレス情報登録部502は、DBサーバ情報に付加した店舗IDを電子鍵登録部503に出力する。   The address information registration unit 502 associates the DB server information including the IP address of the DB server 3B received from the electronic key receiving unit 501 with the store ID for identifying the store X in which the DB server 3B is installed, Store in the storage unit 509. FIG. 6 is a diagram showing the configuration of data stored in the address information storage unit 509 in this way. As shown in the figure, DB server information including a store name “Store X”, a storage destination IP address “192.168.X.X1” which is an IP address of the DB server 3B, and a store registration date “20031224”. Are stored in association with the store ID “0001” for identifying the store X. Returning to FIG. 4, the address information registration unit 502 outputs the store ID added to the DB server information to the electronic key registration unit 503.

電子鍵登録部503は、電子鍵受信部501から受け取った公開鍵と、アドレス情報登録部502から受け取った店舗IDとを関連づけて電子鍵格納部510に格納する部分である。図7は、電子鍵格納部510に格納されたデータの構成を示す図である。同図に示すように、電子鍵受信部501から受け取った公開鍵「01CA3D126FFF」と、その公開鍵の有効期限「20051223」とが、店舗Xを識別する店舗ID「0001」に関連づけて格納される。   The electronic key registration unit 503 is a part that stores the public key received from the electronic key reception unit 501 and the store ID received from the address information registration unit 502 in the electronic key storage unit 510 in association with each other. FIG. 7 is a diagram showing a configuration of data stored in the electronic key storage unit 510. As shown in the figure, the public key “01CA3D126FFF” received from the electronic key receiving unit 501 and the expiration date “20051223” of the public key are stored in association with the store ID “0001” for identifying the store X. .

生体情報受信部504は、ウェブサーバ4の生体情報転送部403から転送されたユーザの生体情報及び認証用生体情報を、通信ネットワーク6を経由して受信する部分である。生体情報受信部504は、受信したユーザの生体情報を生体情報認証部506に出力し、受信した認証用生体情報を生体情報復号部505に出力する。   The biometric information receiving unit 504 is a part that receives the user's biometric information and authentication biometric information transferred from the biometric information transfer unit 403 of the web server 4 via the communication network 6. The biometric information receiving unit 504 outputs the received biometric information of the user to the biometric information authentication unit 506, and outputs the received biometric information for authentication to the biometric information decoding unit 505.

生体情報復号部505は、認証用生体情報から電子署名を抽出した後、その電子署名を復号化可能な電子鍵を、電子鍵格納部510から検索する部分である。詳細には、生体情報復号部505は、抽出した電子署名に対して、電子鍵格納部510に格納された公開鍵のうち現在時刻が電子鍵有効期限以前のものを用いて、復号化処理を行う。復号化処理の結果、生体情報復号部505は、正常に復号化処理が完了した公開鍵を探索して、その公開鍵に対応する店舗IDを特定して、アドレス情報検索部507に出力する。正常に復号化処理が完了したか否かの判断は、復号化された電子署名と認証用生体情報に含まれる生体情報とを比較して、両者が一致するか否かにより行う。また、生体情報復号部505は、復号化した電子署名を生体情報認証部506に出力する。   The biometric information decryption unit 505 is a part that searches the electronic key storage unit 510 for an electronic key that can be decrypted after extracting the electronic signature from the biometric information for authentication. Specifically, the biometric information decryption unit 505 performs decryption processing on the extracted electronic signature using a public key stored in the electronic key storage unit 510 whose current time is before the electronic key expiration date. Do. As a result of the decryption process, the biometric information decryption unit 505 searches for a public key that has been successfully decrypted, identifies a store ID corresponding to the public key, and outputs the store ID to the address information search unit 507. Whether or not the decryption process has been normally completed is determined by comparing the decrypted electronic signature with the biometric information included in the biometric information for authentication and determining whether or not they match. The biometric information decryption unit 505 outputs the decrypted electronic signature to the biometric information authentication unit 506.

生体情報認証部506は、生体情報復号部505によって復号化された電子署名と、生体情報受信部504から受け取った生体情報とを照合することによりユーザ端末2のユーザの認証を行う部分である。具体的には、生体情報認証部506は、店舗端末3Aが用いたハッシュ関数と同一のハッシュ関数を用いて生体情報からハッシュ値に変換し、そのハッシュ値と電子署名とを比較して、両者のデータの差異が所定誤差範囲内であるか否かによりユーザ認証を行う。生体情報認証部506は、上記ユーザ認証処理に関する認証結果情報「OK/NG」を、アドレス情報検索部507に出力する。   The biometric information authenticating unit 506 is a unit that authenticates the user of the user terminal 2 by collating the electronic signature decrypted by the biometric information decrypting unit 505 with the biometric information received from the biometric information receiving unit 504. Specifically, the biometric information authentication unit 506 converts the biometric information into a hash value using the same hash function as the hash function used by the store terminal 3A, compares the hash value with the electronic signature, The user authentication is performed based on whether or not the difference in data is within a predetermined error range. The biometric information authentication unit 506 outputs authentication result information “OK / NG” regarding the user authentication process to the address information search unit 507.

アドレス情報検索部507は、生体情報復号部505から受け取った店舗IDと、生体情報認証部506から受け取った認証結果情報とに基づいて、該当ユーザの属性情報の格納先ネットワークアドレスを検索する部分である。詳細には、アドレス情報検索部507は、認証結果情報が「OK」の場合に、店舗IDを検索キーとしてアドレス情報格納部509を検索して、該当店舗IDに対応するDBサーバ情報を読み出す。図6に示す例において、生体情報復号部505から店舗ID「0002」を受け取った場合は、店舗ID「0002」に対応する格納先IPアドレス「192.168.X.X2」と店舗名「店舗Y」とを読み出す。アドレス情報検索部507は、認証結果情報「OK/NG」に読み出したDBサーバ情報を付加して、認証結果送信部508に出力する。   The address information search unit 507 is a part that searches for the storage destination network address of the attribute information of the user based on the store ID received from the biometric information decryption unit 505 and the authentication result information received from the biometric information authentication unit 506. is there. Specifically, when the authentication result information is “OK”, the address information search unit 507 searches the address information storage unit 509 using the store ID as a search key, and reads the DB server information corresponding to the store ID. In the example illustrated in FIG. 6, when the store ID “0002” is received from the biometric information decryption unit 505, the storage destination IP address “192.168.X.X2” and the store name “store Y” corresponding to the store ID “0002” are stored. And read. The address information search unit 507 adds the read DB server information to the authentication result information “OK / NG” and outputs it to the authentication result transmission unit 508.

図4に戻って、認証結果送信部508は、アドレス情報検索部507から受け取った認証結果情報をウェブサーバ4に送信する。この場合、認証結果送信部508は、認証結果情報が「OK」の場合は、認証結果情報にDBサーバ情報を付加して送信する。   Returning to FIG. 4, the authentication result transmission unit 508 transmits the authentication result information received from the address information search unit 507 to the web server 4. In this case, if the authentication result information is “OK”, the authentication result transmission unit 508 adds the DB server information to the authentication result information and transmits it.

次に、ユーザ認証システム1の動作について説明する。図8は、認証用生体情報の生成時、及び復号化用電子鍵登録時の動作を示すフローチャート、図9は、ユーザ端末2からウェブサーバ4アクセス時のユーザ認証処理を示すフローチャートである。最初に、図8を参照して、認証用生体情報の生成処理、及び復号化用電子鍵登録処理について説明する。   Next, the operation of the user authentication system 1 will be described. FIG. 8 is a flowchart showing operations at the time of generating biometric information for authentication and registering an electronic key for decryption, and FIG. 9 is a flowchart showing user authentication processing when accessing the web server 4 from the user terminal 2. First, the biometric information generation process for authentication and the electronic key registration process for decryption will be described with reference to FIG.

まず、店舗Xに設置された店舗端末3Aの生体情報受付部301により、ユーザから生体情報及び属性情報の入力が受け付けられる(ステップS101)。受け付けられた生体情報及び属性情報は、生体情報受付部301によって属性情報格納部306に格納される(ステップS102)。次に、ユーザから受け付けられた生体情報に基づいて、電子署名付加部303によって秘密鍵を用いて電子署名が生成される(ステップS103)。その後、電子署名付加部303により生成された電子署名が生体情報に付加されて、認証用生体情報が生成される(ステップS104)。   First, the biometric information receiving unit 301 of the store terminal 3A installed in the store X receives input of biometric information and attribute information from the user (step S101). The received biometric information and attribute information are stored in the attribute information storage unit 306 by the biometric information reception unit 301 (step S102). Next, based on the biometric information received from the user, the electronic signature adding unit 303 generates an electronic signature using the secret key (step S103). Thereafter, the electronic signature generated by the electronic signature adding unit 303 is added to the biometric information to generate biometric information for authentication (step S104).

上記のようにして生成された認証用生体情報、及びユーザから受け付けられた生体情報は、生体情報送信部304によりユーザ端末2に送信され、ユーザ端末2の生体情報格納部202に格納される(ステップS105)。また、電子署名の符号化に用いられた秘密鍵に対応する公開鍵と、DBサーバ3BのIPアドレスを含むDBサーバ情報とが生体情報認証装置5に送信される(ステップS106)。   The biometric information for authentication generated as described above and the biometric information received from the user are transmitted to the user terminal 2 by the biometric information transmission unit 304 and stored in the biometric information storage unit 202 of the user terminal 2 ( Step S105). Further, the public key corresponding to the secret key used for encoding the electronic signature and the DB server information including the IP address of the DB server 3B are transmitted to the biometric information authentication apparatus 5 (step S106).

これに対して、生体情報認証装置5のアドレス情報登録部502は、店舗端末3Aから受信したDBサーバ情報を、店舗Xを識別する店舗IDとともにアドレス情報格納部509に格納する(ステップS107)。また、電子鍵登録部503は、受信した公開鍵を店舗IDとともに電子鍵格納部510に格納する(ステップS108)。   On the other hand, the address information registration unit 502 of the biometric authentication device 5 stores the DB server information received from the store terminal 3A in the address information storage unit 509 together with the store ID for identifying the store X (step S107). Also, the electronic key registration unit 503 stores the received public key in the electronic key storage unit 510 together with the store ID (step S108).

次に、図9を参照して、ユーザ端末2からウェブサーバ4アクセス時のユーザ認証処理について説明する。   Next, with reference to FIG. 9, user authentication processing when accessing the web server 4 from the user terminal 2 will be described.

まず、ウェブサーバ4の接続要求受信部401が、ユーザ端末2から接続要求データを受信する(ステップS201)。これに対して、生体情報要求部402が、ユーザ端末2に対して生体情報の送信を要求する(ステップS202)。ユーザ端末2が生体情報の送信要求を受信すると、ユーザ端末2の生体情報読取部201によってユーザの生体情報が読み取られる(ステップS203)。その後、ユーザ端末2から読み取られた生体情報と、生体情報格納部202に格納された認証用生体情報とが、ウェブサーバ4の生体情報転送部403に送信される(ステップS204)。次に、生体情報転送部403が、生体情報及び認証用生体情報を受信すると、生体情報認証装置5に転送する(ステップS205)。   First, the connection request receiving unit 401 of the web server 4 receives connection request data from the user terminal 2 (step S201). In response to this, the biometric information request unit 402 requests the user terminal 2 to transmit biometric information (step S202). When the user terminal 2 receives the biometric information transmission request, the biometric information of the user is read by the biometric information reading unit 201 of the user terminal 2 (step S203). Thereafter, the biometric information read from the user terminal 2 and the biometric information for authentication stored in the biometric information storage unit 202 are transmitted to the biometric information transfer unit 403 of the web server 4 (step S204). Next, when the biometric information transfer unit 403 receives the biometric information and the biometric information for authentication, the biometric information transfer unit 403 transfers the biometric information to the biometric information authentication device 5 (step S205).

その後、生体情報認証装置5の生体情報復号部505は、認証用生体情報に含まれる電子署名を復号化可能な電子鍵を、電子鍵格納部510に格納されたデータから探索する(ステップS206)。その結果、生体情報復号部505は、探索された公開鍵を用いて、電子署名を復号化する(ステップS207)。次に、生体情報認証部506は、復号化された電子署名と生体情報とを照合することによりユーザ認証を行う(ステップS208)。そして、アドレス情報検索部507がDBサーバ3Bに関するDBサーバ情報をアドレス情報格納部509から検索した後、認証結果送信部508が、認証結果情報にDBサーバ情報を付加してウェブサーバ4に送信する(ステップS209)。   Thereafter, the biometric information decryption unit 505 of the biometric information authentication device 5 searches for an electronic key that can decrypt the electronic signature included in the biometric information for authentication from the data stored in the electronic key storage unit 510 (step S206). . As a result, the biometric information decryption unit 505 decrypts the electronic signature using the searched public key (step S207). Next, the biometric information authentication unit 506 performs user authentication by collating the decrypted electronic signature with the biometric information (step S208). Then, after the address information search unit 507 searches the DB server information related to the DB server 3B from the address information storage unit 509, the authentication result transmission unit 508 adds the DB server information to the authentication result information and transmits it to the web server 4. (Step S209).

ウェブサーバ4の属性情報取得部405は、生体情報認証装置5から受信したDBサーバ情報に含まれる格納先IPアドレスと、ユーザの生体情報とを用いて、DBサーバ3Bから該当ユーザの属性情報を取得する(ステップS210)。次に、ユーザ認証部406は、取得された属性情報と生体情報認証装置5による認証結果とに基づいて、ユーザ端末2からの接続要求を許可する(ステップS211)。その後、ウェブサーバ4からユーザ端末2にホームページ表示用データがダウンロードされる。   The attribute information acquisition unit 405 of the web server 4 uses the storage destination IP address included in the DB server information received from the biometric information authentication device 5 and the biometric information of the user to obtain the attribute information of the corresponding user from the DB server 3B. Obtain (step S210). Next, the user authentication unit 406 permits a connection request from the user terminal 2 based on the acquired attribute information and the authentication result by the biometric information authentication device 5 (step S211). Thereafter, homepage display data is downloaded from the web server 4 to the user terminal 2.

以上説明したユーザ認証システム1によれば、電子署名生成装置3において、ユーザの生体情報を受け付けて、その生体情報に電子署名を付加して認証用生体情報を生成し、その認証用生体情報をユーザ端末2に送信するので、ユーザ端末2でのローカルな認証用データの管理が可能となる。また、ウェブサーバ4において、ユーザ端末2からの接続要求に対して生体情報を要求した後、ユーザ端末2から生体情報と認証用生体情報とを受信し、それらを生体情報認証装置5に転送する。これにより、ローカルで管理された認証用データ及び認証対象データを受信して、生体情報認証装置5に提供することができる。また、生体情報認証装置5では、認証用生体情報を復号化可能な電子鍵を探索して、認証用生体情報を復号化し、認証用生体情報を用いてユーザの生体情報を照合・認証し、その認証結果をウェブサーバ4に送信する。さらに、ウェブサーバ4では、生体情報認証装置5における認証結果に基づいてユーザ端末2からの接続を許可する。これにより、ローカルで管理された認証用データとユーザから取得された生体情報とを用いて認証を行うことで、認証用データの信頼性が確保されるとともに、より安全かつ効率的なユーザ認証が実現できる。   According to the user authentication system 1 described above, the electronic signature generation device 3 receives the biometric information of the user, adds an electronic signature to the biometric information, generates biometric information for authentication, and generates the biometric information for authentication. Since the data is transmitted to the user terminal 2, local authentication data can be managed in the user terminal 2. Further, in the web server 4, after requesting biometric information in response to a connection request from the user terminal 2, the biometric information and authentication biometric information are received from the user terminal 2 and transferred to the biometric information authentication device 5. . As a result, locally managed authentication data and authentication target data can be received and provided to the biometric information authentication device 5. Further, the biometric information authentication device 5 searches for an electronic key that can decrypt the biometric information for authentication, decrypts the biometric information for authentication, collates and authenticates the biometric information of the user using the biometric information for authentication, The authentication result is transmitted to the web server 4. Further, the web server 4 permits connection from the user terminal 2 based on the authentication result in the biometric information authentication device 5. As a result, by performing authentication using locally managed authentication data and biometric information acquired from the user, the reliability of the authentication data is ensured and safer and more efficient user authentication is achieved. realizable.

なお、本発明は上述した各実施形態に限定されるものではない。例えば、電子署名生成装置3で電子署名を生成する際には秘密鍵暗号方式を用いて生成してもよい。   In addition, this invention is not limited to each embodiment mentioned above. For example, when the electronic signature is generated by the electronic signature generation device 3, it may be generated using a secret key cryptosystem.

本発明によるユーザ認証システム1の好適な一実施形態を示す概略構成図である。1 is a schematic configuration diagram showing a preferred embodiment of a user authentication system 1 according to the present invention. 図1の電子署名生成装置の概略構成図である。It is a schematic block diagram of the electronic signature production | generation apparatus of FIG. 図1のウェブサーバの概略構成図である。It is a schematic block diagram of the web server of FIG. 図1の生体情報認証装置の概略構成図である。It is a schematic block diagram of the biometric information authentication apparatus of FIG. 図2の属性情報格納部に格納された属性情報のデータ構成を示す図である。It is a figure which shows the data structure of the attribute information stored in the attribute information storage part of FIG. 図4のアドレス情報格納部に格納されたデータの構成を示す図である。It is a figure which shows the structure of the data stored in the address information storage part of FIG. 図4の電子鍵格納部に格納されたデータの構成を示す図である。It is a figure which shows the structure of the data stored in the electronic key storage part of FIG. 図1のユーザ認証システムの認証用生体情報の生成時、及び復号化用電子鍵登録時の動作を示すフローチャートである。3 is a flowchart showing operations at the time of generating biometric information for authentication and registering an electronic key for decryption in the user authentication system of FIG. 1. ユーザ端末からウェブサーバアクセス時のユーザ認証処理を示すフローチャートである。It is a flowchart which shows the user authentication process at the time of web server access from a user terminal.

符号の説明Explanation of symbols

1…ユーザ認証システム、2…ユーザ端末、201…生体情報読取部、202…生体情報格納部、3…電子署名生成装置、3A…店舗端末、3B…DBサーバ301…生体情報受付部、302…電子鍵生成部、303…電子署名付加部、304…生体情報送信部、305…電子鍵送信部、306…属性情報格納部、4…ウェブサーバ、401…接続要求受信部、402…生体情報要求部、403…生体情報転送部、404…認証結果受信部、405…属性情報取得部、406…ユーザ認証部、5…生体情報認証装置、501…電子鍵受信部、502…アドレス情報登録部、503…電子鍵登録部、504…生体情報受信部、505…生体情報復号部、506…生体情報認証部、507…アドレス情報検索部、508…認証結果送信部、509…アドレス情報格納部、510…電子鍵格納部、6…通信ネットワーク。   DESCRIPTION OF SYMBOLS 1 ... User authentication system, 2 ... User terminal, 201 ... Biometric information reading part, 202 ... Biometric information storage part, 3 ... Electronic signature production | generation apparatus, 3A ... Store terminal, 3B ... DB server 301 ... Biometric information reception part, 302 ... Electronic key generation unit 303 ... Electronic signature addition unit 304 ... Biometric information transmission unit 305 ... Electronic key transmission unit 306 ... Attribute information storage unit 4 ... Web server 401 ... Connection request reception unit 402 ... Biometric information request 403 ... biometric information transfer unit, 404 ... authentication result reception unit, 405 ... attribute information acquisition unit, 406 ... user authentication unit, 5 ... biometric information authentication device, 501 ... electronic key reception unit, 502 ... address information registration unit, 503: Electronic key registration unit, 504: Biometric information reception unit, 505 ... Biometric information decryption unit, 506 ... Biometric information authentication unit, 507 ... Address information search unit, 508 ... Authentication result transmission unit, 509 Address information storing section, 510 ... electronic key storage unit, 6 ... communication network.

Claims (4)

ユーザの生体情報の入力と前記ユーザの属性情報の入力とを受け付ける生体情報受付手段と、
前記生体情報受付手段によって受け付けられた前記ユーザの属性情報を、前記生体情報に関連づけて格納する属性情報格納手段と、
前記生体情報受付手段によって受け付けられた生体情報に対して、電子鍵を用いて電子署名を生成して付加することにより認証用生体情報を生成する電子署名付加手段と、
前記電子署名付加手段によって電子署名が付加された認証用生体情報を、ユーザ端末に送信する生体情報送信手段と、
前記電子署名を復号化するための復号化用電子鍵と前記属性情報格納手段のネットワークアドレスとを、前記生体情報を認証する生体情報認証装置に送信する電子鍵送信手段と、
を備えることを特徴とする電子署名生成装置。 Biometric information receiving means for receiving input of biometric information of a user and input of attribute information of the user ;
Attribute information storage means for storing the attribute information of the user received by the biological information reception means in association with the biological information;
An electronic signature adding means for generating biometric information for authentication by generating and adding an electronic signature using an electronic key to the biometric information received by the biometric information receiving means;
Biometric information transmitting means for transmitting biometric information for authentication to which an electronic signature is added by the electronic signature adding means to a user terminal;
An electronic key transmitting means for transmitting a decryption electronic key for decrypting the electronic signature and a network address of the attribute information storage means to a biometric information authentication device for authenticating the biometric information;
An electronic signature generation apparatus comprising: ユーザ端末からアクセスを要求する接続要求を受信する接続要求受信手段と、
前記接続要求受信手段による接続要求の受信に応じて、前記ユーザ端末に生体情報の送信を要求する生体情報要求手段と、
前記ユーザ端末から、ユーザの生体情報と前記生体情報に電子署名が付加された認証用生体情報とを受信し、前記生体情報を認証する生体情報認証装置に転送する生体情報転送手段と、
前記生体情報認証装置から前記生体情報の認証結果と前記ユーザの属性情報の格納先ネットワークアドレスとを受信する認証結果受信手段と、
前記認証結果受信手段によって受信された格納先ネットワークアドレスと、前記ユーザの生体情報とに基づいて、前記ユーザの属性情報を取得する属性情報取得手段と、
前記認証結果受信手段によって受信された前記認証結果に基づいて、前記ユーザ端末からの接続要求を許可するユーザ認証手段と、
を備えることを特徴とするウェブサーバ。 Connection request receiving means for receiving a connection request for requesting access from a user terminal;
Biometric information requesting means for requesting the user terminal to transmit biometric information in response to reception of a connection request by the connection request receiving means;
From the user terminal, and biometric information transfer means for receiving the authentication biometric information with an electronic signature added to the biometric information and user's biometric information, and transfers the biometric information in the biometric information authentication device for authenticating,
Authentication result receiving means for receiving the authentication result of the biometric information and the storage destination network address of the attribute information of the user from the biometric information authentication device;
Attribute information acquisition means for acquiring the attribute information of the user based on the storage destination network address received by the authentication result reception means and the biometric information of the user;
User authentication means for permitting a connection request from the user terminal based on the authentication result received by the authentication result receiving means;
A web server comprising: ユーザの生体情報の入力を受け付ける電子署名生成装置から、前記生体情報に対する電子署名付加時に用いられた電子鍵に対応する復号化用電子鍵と前記ユーザの属性情報の格納先ネットワークアドレスとを受信する電子鍵受信手段と、
ウェブサーバから、ユーザの生体情報と前記生体情報に電子署名が付加された認証用生体情報とを受信する生体情報受信手段と、
前記認証用生体情報を復号化可能な電子鍵を、前記電子鍵受信手段によって受信された復号化用電子鍵の中から探索することにより、前記電子鍵を用いて前記認証用生体情報を復号化する生体情報復号手段と、
前記生体情報復号手段によって復号化された認証用生体情報と、前記ユーザの生体情報とを照合することにより前記ユーザの認証を行う生体情報認証手段と、
前記生体情報認証手段による前記ユーザの認証結果と前記生体情報復号手段が用いた電子鍵と共に受信された格納先ネットワークアドレスとを前記ウェブサーバに送信する認証結果送信手段と、
を備えることを特徴とする生体情報認証装置。 A decryption electronic key corresponding to an electronic key used when an electronic signature is added to the biometric information and a storage network address of the user attribute information are received from an electronic signature generation device that accepts input of the biometric information of the user. An electronic key receiving means;
Biometric information receiving means for receiving biometric information of a user and biometric information for authentication in which an electronic signature is added to the biometric information from a web server;
By searching the electronic key for decryption received by the electronic key receiving means for an electronic key that can decrypt the biometric information for authentication, the biometric information for authentication is decrypted using the electronic key. Biometric information decoding means,
Biometric information authenticating means for authenticating the user by comparing biometric information for authentication decrypted by the biometric information decrypting means with the biometric information of the user;
Authentication result transmission means for transmitting the authentication result of the user by the biometric information authentication means and the storage destination network address received together with the electronic key used by the biometric information decryption means, to the web server;
A biometric information authentication device comprising: 請求項1記載の電子署名生成装置と、
請求項2記載のウェブサーバと、
請求項3記載の生体情報認証装置と、
を備えることを特徴とするユーザ認証システム。 An electronic signature generation device according to claim 1;
A web server according to claim 2;
A biometric authentication device according to claim 3;
A user authentication system comprising:
JP2004134268A 2004-04-28 2004-04-28 Electronic signature generation device, web server, biometric information authentication device, and user authentication system Expired - Fee Related JP4545480B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004134268A JP4545480B2 (en) 2004-04-28 2004-04-28 Electronic signature generation device, web server, biometric information authentication device, and user authentication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004134268A JP4545480B2 (en) 2004-04-28 2004-04-28 Electronic signature generation device, web server, biometric information authentication device, and user authentication system

Publications (2)

Publication Number Publication Date
JP2005316750A JP2005316750A (en) 2005-11-10
JP4545480B2 true JP4545480B2 (en) 2010-09-15

Family

ID=35444107

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004134268A Expired - Fee Related JP4545480B2 (en) 2004-04-28 2004-04-28 Electronic signature generation device, web server, biometric information authentication device, and user authentication system

Country Status (1)

Country Link
JP (1) JP4545480B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5034821B2 (en) 2007-09-21 2012-09-26 ソニー株式会社 Biological information storage device

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001331454A (en) * 2000-05-24 2001-11-30 Mackport Bio-Security Corp Authentication system, method of recording information and information management method
JP2002501700A (en) * 1997-05-09 2002-01-15 ジーティーイー サイバートラスト ソルーションズ インコーポレイテッド Biometric certificate
JP2002073569A (en) * 2000-08-31 2002-03-12 Sony Corp Personal identification system, personal identification method, information processor and program providing medium
JP2003256376A (en) * 2002-02-27 2003-09-12 Hitachi Ltd Biological authentication method with guarantee of security and device for offering authentication service
JP2004015530A (en) * 2002-06-07 2004-01-15 Sony Corp Access right management system, relay server and method therefor, as well as computer program

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002501700A (en) * 1997-05-09 2002-01-15 ジーティーイー サイバートラスト ソルーションズ インコーポレイテッド Biometric certificate
JP2001331454A (en) * 2000-05-24 2001-11-30 Mackport Bio-Security Corp Authentication system, method of recording information and information management method
JP2002073569A (en) * 2000-08-31 2002-03-12 Sony Corp Personal identification system, personal identification method, information processor and program providing medium
JP2003256376A (en) * 2002-02-27 2003-09-12 Hitachi Ltd Biological authentication method with guarantee of security and device for offering authentication service
JP2004015530A (en) * 2002-06-07 2004-01-15 Sony Corp Access right management system, relay server and method therefor, as well as computer program

Also Published As

Publication number Publication date
JP2005316750A (en) 2005-11-10

Similar Documents

Publication Publication Date Title
CN107925581B (en) Biometric authentication system and authentication server
US10142114B2 (en) ID system and program, and ID method
JP4616352B2 (en) User confirmation apparatus, method and program
KR100858144B1 (en) User authentication method in internet site using mobile and device thereof
US8056122B2 (en) User authentication method and system using user&#39;s e-mail address and hardware information
US20030152254A1 (en) User authenticating system and method using one-time fingerprint template
TW202021305A (en) Method and device for providing and acquiring security identity information
KR100449484B1 (en) Method for issuing a certificate of authentication using information of a bio metrics in a pki infrastructure
JP2013164835A (en) Authentication system, authentication method, apparatus, and program
IL137099A (en) Method for carrying out secure digital signature and a system therefor
JP2004355562A (en) Apparatus authentication system
JP2010191856A (en) Verification device and authentication device
US11569991B1 (en) Biometric authenticated biometric enrollment
JP2008242926A (en) Authentication system, authentication method and authentication program
JP2003099404A (en) Identification server device, client device, user identification system using them, and user identification method, its computer program and recording medium having the program recorded thereon
JP2006215795A (en) Server device, control method, and program
JP2002297551A (en) Identification system
JP2011221729A (en) Id linking system
WO2021107755A1 (en) A system and method for digital identity data change between proof of possession to proof of identity
JP4545480B2 (en) Electronic signature generation device, web server, biometric information authentication device, and user authentication system
JP5919497B2 (en) User authentication system
JP2002041478A (en) System and method for authentication, and recording medium with authentication program recorded thereon
JP2006268411A (en) Method and system for authenticating remote accessing user by using living body data and user device
JP2006215761A (en) Apparatus for managing identification data, and system, method and program for inquiring identity using the apparatus
JP2002281028A (en) Authentication system and method, recording medium and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070405

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100312

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100323

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100513

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100629

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100630

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130709

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4545480

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees