JP4736744B2 - 処理装置、補助情報生成装置、端末装置、認証装置及び生体認証システム - Google Patents

処理装置、補助情報生成装置、端末装置、認証装置及び生体認証システム Download PDF

Info

Publication number
JP4736744B2
JP4736744B2 JP2005337998A JP2005337998A JP4736744B2 JP 4736744 B2 JP4736744 B2 JP 4736744B2 JP 2005337998 A JP2005337998 A JP 2005337998A JP 2005337998 A JP2005337998 A JP 2005337998A JP 4736744 B2 JP4736744 B2 JP 4736744B2
Authority
JP
Japan
Prior art keywords
user
auxiliary information
authentication
password
biometric
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005337998A
Other languages
English (en)
Other versions
JP2007148470A (ja
Inventor
健太 高橋
昌弘 三村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2005337998A priority Critical patent/JP4736744B2/ja
Priority to CN200610121983XA priority patent/CN1972189B/zh
Priority to EP06018117A priority patent/EP1791073B1/en
Priority to US11/515,276 priority patent/US20070118758A1/en
Publication of JP2007148470A publication Critical patent/JP2007148470A/ja
Application granted granted Critical
Publication of JP4736744B2 publication Critical patent/JP4736744B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/305Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2131Lost password, e.g. recovery of lost or forgotten passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2153Using hardware token as a secondary aspect

Description

本発明は、人が持つ生体的特徴を用いて個人を認証、識別する装置、方法及びプログラムに関する。
生体情報を用いたユーザ認証システムは、登録時にユーザから生体情報を取得し、特徴
量と呼ばれる情報を抽出して登録する。この登録情報をテンプレートという。認証時は、
再びユーザから生体情報を取得して特徴量を抽出し、テンプレートと照合して本人か否か
を確認する。しかし生体情報あるいはそこから抽出される特徴量は個人を識別可能な個人情報であり、これをシステムに登録する場合、管理コストやプライバシの問題が生じる。また複数のアプリケーションに対してテンプレートを登録する場合、いずれか1つのアプリケーションからテンプレートが漏洩した場合、他の全てのアプリケーションがなりすましの危険に晒されることになる。
こうした問題に対し、認証時に生体情報から動的にパスワード(あるいは秘密鍵)を生成し、これを用いて認証を行う方法が提案されている。例えば非特許文献1は、予め利用者のパスワードのハッシュ値を認証サーバに登録しておき、認証時にクライアントが利用者の生体情報を取得し、生体情報からパスワードを生成して、そのハッシュ値を認証サーバに送信し、認証サーバは受信したハッシュ値と予め登録されたハッシュ値を照合することで、利用者を認証する方法を提案している。また非特許文献2は、認証時に生体情報からPKIの秘密鍵を生成し、この秘密鍵に対して予め作成されている公開鍵証明書を利用して認証サーバがクライアントの利用者を認証する方法を提案している。
なお一般に生体情報は、経年変化やセンサに対する位置のずれ、歪み、環境ノイズなどによって、同じ生体でも生体情報を取得する度にデジタルデータとしては異なる値になる。このため生体情報からパスワードや秘密鍵を生成するためには、生体情報を安定的に量子化する必要がある。このように生体情報を安定的に量子化する方法として、特許文献1の方法などが知られている。特許文献1の方法を含め、一般に生体情報を量子化して所定のコード(パスワードや秘密鍵)を生成する方法は、予め該生体情報と所定のコードに依存して補助情報を作成し、コード生成時に前記補助情報を利用することを前提としている。
特開2005-122522号公報 柴田陽一他, "統計的AD変換による生体情報を用いたChallenge & Response型ネットワーク認証の提案", 情報処理学会 研究報告, Vol.2004, No.75, 2004 柴田陽一他, "メカニズムベースPKI―指紋からの秘密鍵動的生成", 情報処理学会論文誌,Vol.45, No.8, 2004
非特許文献1の方法は、利用者が複数のアプリケーションの認証サーバに対してそれぞれ異なるパスワードを登録する場合に、各パスワードに対して毎回補助情報を作成する必要がある。補助情報を作成するためには利用者の生体情報を取得する必要があるが、この段階で不正な利用者が正規利用者になりすます脅威があるため、一般には登録時にオペレータが身分証明書などで利用者の本人確認を行う必要があり、運用コストの点で問題がある。また利用者は各アプリケーションへの登録の度に本人確認を受ける必要があり、利便性が劣る。
非特許文献2の方法は、補助情報とPKIの秘密鍵が1対1に対応するため、補助情報と秘密鍵のいずれか一方でも漏洩の可能性が生じた場合に、両方を同時に更新する必要がある。前述のとおり、補助情報の更新には一般に本人確認が必要となり、秘密鍵の更新には、対応する公開鍵の証明書を認証局が再発行する必要があるため、運用コストおよび利便性が劣る。
本発明は、ユーザの生体情報に基づいてユーザを認証する(例えば、ユーザ本人か否かを検証する)ためのパスワード(例えば、認証用パスワード)を生成するために用いる補助情報を生成する場合に、ユーザの生体情報に基づいて予め作成されたマスター補助情報を変換することで、パスワードに対応する補助情報を生成することを特徴とする。
好ましくは、この機能をユーザの媒体(例えば、ICカード)に持たせる。そして、ユーザの媒体を挿入された端末装置でパスワードを生成し、そのパスワードを認証装置へ送信し、認証装置でパスワードによりユーザを認証する。
好ましくは、マスター補助情報は、ユーザの生体情報の分布区間ごとの値を有し、マスター補助情報の値が第1の値(例えば、“1”)に対応する分布区間に対しパスワードの一部の値を割り当て、マスター補助情報の値が第2の値(例えば、“0”)に対応するユーザの生体情報の分布区間に対し他の値(例えば、乱数)を割り当て、割り当てられた各値を組み合わせて補助情報を生成する。
好ましくは、マスター補助情報のうち、頻度が偏っている分布区間に対応する値を第1の値とし、頻度が偏っている分布区間以外の分布区間に対応する値を、第2の値とする。
本発明によれば、ユーザがアプリケーションに対してパスワード登録を行う際に、予め作成されたマスター補助情報を変換することによって、パスワードに対応する補助情報を生成するため、複数のアプリケーションに対して異なるパスワードを登録する場合や、一旦登録したパスワードを変更する場合でも、新たに生体情報を取得して補助情報を作成しなおす必要はない。生体情報から補助情報を作成しなおす場合には、なりすましを防止するため本人確認を行う必要があるが、本発明によればこうした本人確認の手間はマスター補助情報を作成する際に必要とされるのみで、アプリケーションへのパスワード登録・更新の際には必要とされない。従って、運用コストを低減し、ユーザの負担を軽減する効果がある。
本発明によれば、補助情報が漏洩しても、正しいパスワードや元となった生体情報を容易に類推することはできないため、セキュリティ及びプライバシ保護を向上できる効果がある。
更に、マスター補助情報からPKI秘密鍵を直接作成することなくネットワーク型の生体認証を実現するため、証明書の発行と補助情報の作成を同時に行う必要はなく、非特許文献2の方法と比較して運用コストを低減し、ユーザの負担を軽減する効果がある。
以下、本発明の実施例1〜3を説明する。
以下、本発明の実施例1について、ネットワークを介した複数のサービスアプリケーションに対して、生体情報に基づくパスワードを登録・認証することができる、サーバ・クライアント型の生体認証システムを例にして説明する。
図1に本実施形態のシステムの構成を示す。本実施形態の生体認証システムは、ユーザがネットワークを介したサービスを享受する際に認証を受けるために利用する認証端末100と、ユーザに対して発行されるICカード120と、ICカードにマスター補助情報を登録する際に利用する生体情報登録端末130と、サービスアプリケーションがユーザを認証するために用いる認証サーバ140と、ネットワーク150とから構成される。認証端末100はユーザのPCあるいは携帯電話、PDAなどであってもよく、ネットワーク150を介して認証サーバ140と接続されているものとする。生体情報登録端末130は、ユーザに対してマスター補助情報の登録サービスを提供する機関(以下、生体登録機関)が管理しているものとする。生体登録機関は、ユーザの身分証などに基づいて適切な本人確認を行った上で、ユーザの生体情報からマスター補助情報を作成し、ICカード120に登録する。各サービスアプリケーションはこの生体登録機関において登録・発行されたマスター補助情報を信用するものとする。生体登録機関は例えば銀行であってもよく、この場合サービスアプリケーションは、ネットバンキングサービスや、オンラインクレジット決済サービスなどが考えられる。認証サーバ140はサービス提供者が管理するもので、認証端末100からの認証要求に対して認証端末側に正規ユーザが存在するか否かを確認し、サービス提供の可否を決定するものとする。
認証端末100は、ユーザの生体(例えば指紋)から生体情報(例えば指紋画像)を取得するセンサ101と、生体情報と補助情報から認証パスワードを生成するパスワード生成機能102と、補助情報データベース109から補助情報を検索する補助情報検索機能103と、ユーザが利用しようとするサービスを選択するためのサービス選択機能104と、補助情報データベース109に補助情報を登録する補助情報登録機能105と、乱数生成機能106と、ICカード120内の情報を読み書きするICカードR/W107と、認証サーバ140と通信するための通信機能108と、補助情報を記録・管理する補助情報データベース109とから構成される。補助情報データベース109は、サービスアプリケーション毎に補助情報レコード110を記録する。補助情報レコード110は、サービスアプリケーションを識別するためのサービス識別子(SID)と、該サービスアプリケーションにおけるユーザ識別子(UID)と、該サービスアプリケーションにおける補助情報を含む。サービスアプリケーションに依存しない場合は、補助情報データベース109を認証端末100内に持たなくてもよい。つまり、認証サーバ140への認証要求ごとに、ICカード120から補助情報を受信し、認証用パスワードを生成してもよい。
ICカード120は、マスター補助情報123から所定の登録パスワードに対応する補助情報を作成するための補助情報変換機能121と、マスター補助情報123を記憶するための記憶装置122とから構成される。なお、ICカードの代わりにUSB(Universal Serial Bus)メモリメモリカードや携帯端末など、データの記録機能と処理機能を持つ装置を用いてもよい。
生体情報登録端末130は、センサ101と、ICカードR/W107と、生体情報からマスター補助情報を作成する補助情報作成機能131とから構成される。生体情報登録端末130は、マスター補助情報を生成する。認証端末100と生体情報登録端末130とは一体であってもよい。
認証サーバ140は、新規ユーザのアカウント登録時に割り当てられていないユーザ識別子を検索する空きUID検索機能141、アカウント登録機能142、アカウント検索機能143、パスワードを照合する照合機能144、通信機能108、ユーザアカウントを記録・管理するアカウントデータベース146とから構成される。アカウントデータベース146は、登録ユーザ毎にアカウントレコード147を記録する。アカウントレコード147は、ユーザ識別子(UID)と、該ユーザの登録パスワードおよび課金情報(例えばクレジットカード番号)等を含む。
なお、認証端末100と生体情報登録端末130と認証サーバ140は、図8に示すように、CPU800、メモリ801、HDD802、入力装置(キーボード、マウス等)803、出力装置(ディスプレイ、プリンタ等)804、通信装置805を有するパーソナルコンピュータやワークステーションなどのコンピュータシステムにより達成できる。認証端末100の各機能部102〜106、生体情報登録端末130の機能部131、認証サーバ140の各機能部141〜144は、CPU800がメモリ801にロードされたプログラムを実行することにより達成される。認証端末100の補助情報データベース109及び認証サーバ140のアカウントデータベース146としては、メモリ801又はHDD802が使用される。
つぎに、マスター補助情報登録時と、パスワード登録時と、認証時の処理について説明する。
図2は、マスター補助情報登録時の処理フロー図である。このフローは、生体登録機関のオペレータが、身分証などによりユーザの適切な本人確認を行った後、生体情報登録端末130を操作することによって開始される。
まず、生体情報登録端末130のセンサ101は、ユーザの指紋を読み取り指紋画像を作成する(ステップS200)。
つぎに、補助情報作成機能131は、前記指紋画像からマスター補助情報123を作成する(ステップS201)。指紋画像からマスター補助情報を作成する処理の例は後述する。
つぎに、ICカードR/W107は、前記マスター補助情報123をICカード120の記憶装置122に書き込む(ステップS202)。
以上で述べたマスター補助情報の登録処理は、ユーザが登録しようとするサービスアプリケーションの数に関係なく事前に1回行うだけでよい。つまり、マスター補助情報は、複数のサービスアプリケーションに共通である。
図3は、パスワード登録時の処理フロー図である。このフローは、認証端末100がユーザからサービスアプリケーションへのユーザ登録要求を受けた時に開始される。
まず、認証端末100のサービス選択機能104は、どのサービスアプリケーションへのユーザ登録を行うかを、ユーザの指示に従って決定する(ステップS300)。
つぎに、乱数生成機能106(登録パスワード生成機能)は、適切な長さ(ビット列)の登録パスワードをランダムに作成する(ステップS301)。
つぎに、通信機能108は、ネットワーク150を介して、前記登録パスワードおよびユーザの課金情報等をサービスアプリケーションの認証サーバ140へ送信し、ユーザ登録要求を行う(ステップS302)。
認証サーバ140は前記登録パスワードおよび課金情報等を受信し、空きUID検索機能141が未割当のユーザ識別子を検索して、通信機能108を介して前記ユーザ識別子を認証端末100に送信する(ステップS303)。
つぎに、アカウント登録機能142は、前記ユーザ識別子と前記登録パスワードと前記課金情報等を含むアカウントレコード147を作成し、アカウントデータベース146に登録する(ステップS142)。
認証端末100は前記ユーザ識別子を受信し、ICカードR/W107(通信機能)を介してICカード120に対し前記登録パスワードを送信し、補助情報作成要求を行う(ステップS305)。
ICカード120の補助情報変換機能121は前記登録パスワードを受信し、マスター補助情報123を変換することにより前記登録パスワードに対応する補助情報を作成し、認証端末100に送信する(ステップS306)。補助情報変換処理の例は後述する。
認証端末100は前記補助情報を受信し、補助情報登録機能105がサービスアプリケーションの識別子(SID)と、前記ユーザ識別子と、前記補助情報を含む補助情報レコード110を作成し、補助情報データベースに記録する。(ステップ307)。
以上に述べたとおり、サービスアプリケーションへのユーザ登録時には、ユーザは本人確認を伴う生体情報登録手続きを受ける必要がなく、認証端末100に対してICカード120を提示し、登録すべきサービスアプリケーションを指定するのみでよい。このため複数のサービスアプリケーションに対してユーザ登録を行う場合、本実施形態の生体認証システムは、従来システムと比較してユーザの利便性が高いという特長がある。
図4は、認証時の処理フロー図である。このフローは、認証端末100がユーザからサービス利用要求を受けたときに開始される。
まず、認証端末100のサービス選択機能104は、どのサービスアプリケーションを利用するかを、ユーザの指示に従って決定する(ステップS400)。
つぎに、補助情報検索機能103は、ステップS400で決定されたサービス識別子(SID)を検索キーとして、補助情報データベース109から補助情報レコード110を検索する(ステップS401)。
つぎに、認証端末100のセンサ101は、ユーザの指紋を読み取り指紋画像を作成する(ステップS402)。
つぎに、パスワード生成機能102は、前記指紋画像と、前記補助情報レコード110に含まれる補助情報とから、認証パスワードを生成する(ステップS403)。認証パスワード生成処理の例は後述する。
つぎに、通信機能108は、前記補助情報レコード110に含まれるユーザ識別子と、前記認証パスワードを認証サーバ140に送信し、認証要求を行う(ステップS404)。なお認証パスワードのかわりに認証パスワードのハッシュ値や暗号化データ等を送信してもよい。
認証サーバ140は前記ユーザ識別子と前記認証パスワードを受信し、アカウント検索機能143が前記ユーザ識別子を検索キーとして、アカウントデータベース146からアカウントレコード147を検索する(ステップS405)。
照合機能144は、前記アカウントレコード147に含まれる登録パスワードと、前記認証パスワードを照合し、一致すれば認証成功、一致しなければ認証失敗と判断する(ステップS406)。なお認証パスワードのかわりにハッシュ値や暗号化データ等を受信した場合は、登録パスワードに対しても同様にハッシュ値や暗号化データを作成して照合する。
以上に述べたとおり、サービスアプリケーションから信頼されている生体登録機関がマスター補助情報を作成することで、各サービスアプリケーションが別個に生体情報の登録や補助情報の作成を行う必要がなくなり、運用コストを低減することができる。
次に、生体情報からパスワードを生成する方法の例を、特許文献1の技術に基づいて説明する。またこの例に基づき、マスター補助情報の作成および、補助情報の変換が可能であることを説明する。なおここで説明するマスター補助情報の作成方法および変換方法は、生体情報から鍵情報を生成する特願2005-087808号の明細書及び図面などに記載された技術に対しても全く同様に適用できる。更に、以下では生体情報として指紋を例に説明するが、静脈や虹彩など指紋以外の生体情報に対しても同様に実現可能である。
まず、特許文献1の技術に基づいて指紋画像から所定の登録パスワードに対応する補助情報を作成し、また認証時に指紋画像と補助情報を用いて認証パスワードを生成する方法について、図5を用いて説明する。
最初に登録時の補助情報作成処理について説明する。
まず登録パスワード503を特定の数(例えばn個)に分割し、各分割パスワードを、先頭からP1、P2、・・・、Pnとする。
次にユーザの特定の指紋(例えば右手人差し指)から、複数の登録用指紋画像を繰り返し取得し、指紋画像セット500を収集する。これらの登録用指紋画像を、指紋パターンにおける特定の点(例えば指紋の渦の中心点など)を基準に、互いに重なるよう平行移動して補正する。
次に登録用指紋画像をn個のブロックに分割し、各ブロックにおける隆線の方向を算出する。なお一般的には生体情報から複数の特徴量を抽出できればよく、ここでは例として、指紋画像のブロック毎の隆線方向を1つの特徴量として説明している。
1つのブロック、例えばi番目のブロック(以下、ブロックi)に着目すると、各登録用指紋画像におけるブロックiの隆線方向(以下、特徴量i)は同じ値を取るはずであるが、実際には指をセンサに置いたときの歪みや回転による誤差のため、特徴量iの値は互いに完全には一致せず、図に示すようにある比較的狭い幅を持った分布501に従う。
この分布501の大部分を含よう、特徴量iの正解区間を決定する。例えば分布501の平均μ、標準偏差σに対して、[μ−3σ,μ+3σ)といった正解区間を用いることができる。図では例として、隆線方向が60°以上90°未満という正解区間が得られたものとしている。尚、標準偏差の代わりに、しきい値を定め、そのしきい値よりも大きい頻度の区間を正解区間としてもよい。正解区間は、頻度が偏った区間であるのが好ましい。
次に特徴量が取りうる全区間(図の例では0°以上180°未満)を、前記正解区間の幅で等間隔に分割し、複数の区間を得る。図の例では6個の区間が得られる。正解区間以外の各区間を、偽区間と呼ぶ。尚、正解区間は、複数(例えば、2や3)の区間としてもよい。正解区間と偽区間を入れ替えてもよい。
このように特徴量iに対して得られた正解区間および偽区間を並べ、正解区間に対してi番目の分割パスワードPiを出力値として割り当て、偽区間に対してPi以外の互いに異なる乱数を割り当てた表(特徴量iの出力値テーブル)を作成する。このような表を、全ての特徴量i(i=0、1、・・・、n)に対して作成し、それらをまとめて(組み合わせ)補助情報502とする。
次に、認証時のパスワード生成処理について説明する。
まずユーザの指紋から認証用指紋画像510を取得し、これをn個のブロックに分割して、各ブロックにおける隆線の方向(特徴量)を算出する。
各特長量i(i=0、1、・・・、n)に対し、補助情報のi番目の表(特徴量iの出力値テーブル)を参照し、特徴量iが含まれる区間を検索し、該区間に対応する出力値を得る。
検索の結果得られた出力値を、分割パスワードPiの復元値Pi’とし、これを並べて連結したデータを、認証パスワード511として出力する。登録時の指紋と認証時の指紋が同一の指から取得したものであれば、認証パスワードは高い確率で登録パスワードと一致する。
以上が、特許文献1の技術に基づいて指紋から所定のパスワードを生成する処理の例である。
次に、以上の処理例を基に、本発明で用いるマスター補助情報を作成する方法を、図6を用いて説明する。
まず前記図5における登録時の補助情報作成処理と同様の処理を行い、各特長量iの正解区間および偽区間を計算する。
次に正解区間および偽区間を並べ、正解区間に対してフラグ1を、偽区間に対してフラグ0を割り当てた表(特徴量iのフラグテーブル)を作成する。このような表を、全ての特徴量i(i=0、1、・・・、n)に対して作成し、それらをまとめてマスター補助情報123とする。
次に、本発明で用いる補助情報の変換処理、つまりマスター補助情報と所定の登録パスワードを用いて、該登録パスワードに対応する補助情報を作成する処理の例に関して、図7を用いて説明する。
まずマスター補助情報123が含むフラグテーブルの数をnとし、登録パスワード503をn個に分割する。各分割パスワードを、先頭からP1、P2、・・・、Pnとする。
マスター補助情報123のi番目のフラグテーブル(特徴量iのフラグテーブル)に対し、フラグ1の区間の出力値をPiに、フラグ0の区間の出力値をPi以外の互いに異なる乱数として割り当てた表(特徴量iの出力値テーブル)を作成する。このような表を、n個全てのフラグテーブルに対して作成し、それらをまとめて補助情報502とする。
以上の方法によりマスター補助情報123を変換することで、登録パスワード503に対応する補助情報502が得られる。変換処理はテーブルの検索と書き換えで構成され、ICカードのように計算能力が限られたCPUであっても高速に実行可能である。認証時には、前記図5における認証時のパスワード生成処理と同様の処理を行うことで、認証パスワードを生成することができる。
なお、補助情報502が漏洩しても、正しいパスワードや元となった生体情報を容易に類推することはできない。また、マスター補助情報はICカード120内に保管し、外部には出力されないのが好ましい。従って本実施例のシステムにより、高いセキュリティとプライバシ保護効果を達成することができる。
以下、本発明の実施例2について、ネットワークを介した複数のサービスアプリケーションが、認証端末を介して利用者の正当性を確認する際、生体認証に基づくチャレンジ・レスポンス認証を行うことのできる、サーバ・クライアント型の生体認証システムを例にして説明する。本実施例では、公開鍵認証基盤(PKI)と生体認証技術を融合することで、利用者がサーバに対して事前にパスワード登録などの手続きを行うことなく、自己の正当性を示すことができる。一般的なPKIを用いたユーザ認証においては、サーバは、クライアントから送られてきたユーザ証明書(公開鍵を含む)の正当性を検証し、またその証明書に対応する秘密鍵がクライアント側に存在することをチャレンジ・レスポンスにより確かめることで、事前にユーザの認証情報(パスワード等)を登録することなく、ユーザの正当性を確認することができる。しかしサーバは、該証明書の所有者であるユーザが実際にクライアント側に存在することまでは確かめることができない。例えば秘密鍵を格納したICカードを他人が利用していたとしても、サーバにはそれを確認することができない。これに対して本実施例では、サーバが証明書の検証と秘密鍵の存在確認に加えてユーザ自体の存在確認を行うことを可能とし、かつPKI同様に事前の認証情報登録を必要としない、チャレンジ・レスポンス型の生体認証を実現する。
図9に本実施形態のシステムの構成を示す。本実施形態の生体認証システムは、ユーザがネットワークを介して認証を受けるために利用する認証端末100と、ユーザに対して発行されるICカード120と、ICカードにマスター補助情報を登録する際に利用する生体情報登録端末130と、サービスアプリケーションがユーザを認証するために用いる認証サーバ140と、ネットワーク150と、ユーザに対してPKI証明書を発行する認証局(CA)960とから構成される。認証端末100はユーザのPCあるいは携帯電話、PDAなどであってもよく、ネットワーク150を介して認証サーバ140と接続されているものとする。生体情報登録端末130は、前記第一の実施例と同様であるとする。認証サーバ140はサービス提供者が管理するもので、認証端末100からの認証要求に対して認証端末側に正規ユーザが存在するか否かを確認し、サービス提供の可否や、サービス登録の可否などを決定するものとする。なお認証サーバ140のかわりに個人のPCやモバイル端末等を用いることで、サービスアプリケーションのかわりに個人が、ユーザの正当性を確認することができる。これにより例えばP2Pにおけるユーザ認証や、ネットオークションの取引など、ネットワークを介した個人対個人の認証を、生体認証に基づいて実現することができる。
認証端末100は、センサ101と、パスワード生成機能102と、サービス選択機能104と、ICカードR/W107と、通信機能108とから構成される。各機能は前記実施例1と同様であるとする。
ICカード120は、マスター補助情報123から所定の登録パスワードに対応する補助情報を作成するための補助情報変換機能121と、ユーザ秘密鍵923を用いて所定の暗号化データを復号化する復号化機能921と、記憶装置122とから構成される。記憶装置122は、マスター補助情報123と、ユーザ証明書922(公開鍵を含む)と、ユーザ秘密鍵923とを記憶する。なお、ICカードの代わりにUSBメモリや携帯端末など、データの記録機能と処理機能を持つ装置を用いてもよい。ユーザ証明書922は、X509などの標準的な証明書フォーマットに従うものとし、ユーザの公開鍵に加えてユーザの名前(または識別子)や、住所(またはそのハッシュ値)、課金情報(またはそのハッシュ値)など、アプリケーションサーバがユーザにサービス提供する際、あるいはユーザを登録する際などに、確認する必要のある情報を含むものとする。
生体情報登録端末130の構成は、前記第一の実施例と同様であるとする。
認証サーバ140は、ユーザ証明書922の正当性を検証する証明書検証機能941と、乱数生成機能106と、所定のデータを所定の公開鍵で暗号化する暗号化機能942と、パスワード照合機能144と、通信機能108と、記憶装置943とから構成される。記憶装置943は、認証局の公開鍵を含むCA証明書944を記憶する。
CA端末960は、ユーザからの申請情報に対して署名を付与して証明書を作成する証明書作成機能961と、ICカードR/W107と、記憶装置943とから構成される。記憶装置943は、CA証明書944と、CA秘密鍵962を記憶する。
なお、認証端末100と生体情報登録端末130と認証サーバ140とCA端末960とは、前記第一の実施例と同様、図8に示すような、CPU800、メモリ801、HDD802、入力装置(キーボード、マウス等)803、出力装置(ディスプレイ、プリンタ等)804、通信装置805を有するパーソナルコンピュータやワークステーションなどのコンピュータシステムにより達成できる。
次に、本実施例における証明書発行時の処理フローを、図10を用いて説明する。
このフローは、認証局のオペレータが身分証などによりユーザの適切な本人確認を行った後、オペレータまたはユーザがICカード120をCA端末960に挿入したときに開始される。
まずCA端末960は、ICカード120に対して鍵生成要求を送信する(ステップ1000)。
ICカード120は要求を受け、公開鍵と秘密鍵のペアを生成する。生成した秘密鍵をユーザ秘密鍵923として記憶装置122に記憶し、公開鍵をCA端末960に送信する(ステップ1001)。
CA端末960は前記公開鍵を受信し、オペレータから、ユーザの名前(または識別子)や住所(またはそのハッシュ値)、課金情報(またはそのハッシュ値)などのユーザ情報の入力を受け付ける(ステップ1002)。
証明書作成機能961は、CA秘密鍵962を用いて、前記ユーザ情報および公開鍵を組としたデータに対して署名を付与し、ユーザ証明書922を作成する(ステップ1003)。
CA端末960のICカードR/W107は、前記ユーザ証明書922を、ユーザのICカード120に書き込む(ステップ1004)。
マスター補助情報登録時の処理は、前記第一の実施例と同様とする。なお、マスター補助情報の作成に責任を持つ生体登録機関と、証明書の発行に責任を持つ認証局とは同一の機関であってもよく、その場合、生体情報登録端末130とCA端末960は同一の端末であってもよい。
次に、本実施例における認証時の処理フローを、図11を用いて説明する。このフローは、認証端末100がユーザからサーバへのアクセス要求を受けたときに開始される。アクセス要求は、例えばユーザがサービスを利用する際や、サービスアプリケーションへユーザ登録を行う際などに行われる。
まず、認証端末100のサービス選択機能104は、どのサービスアプリケーションを利用するかを、ユーザの指示に従って決定する(ステップS1100)。
次に、認証端末100はICカード120に対し、ユーザ証明書を要求する(ステップS1101)。
ICカード120は、前記要求を受け、認証端末100に対してユーザ証明書922を送信する。(ステップ1102)。
認証端末はユーザ証明書922を受け取り、ステップS1100において決定されたサービスアプリケーションの認証サーバ140に対して、認証要求とともにユーザ証明書922を送信する(ステップ1103)。
認証サーバ140はユーザ証明書922を受信し、CA証明書944に基づき証明書検証機能941が、その正当性を検証する(ステップ1104)。
ユーザ証明書922の正当性が検証されたならば、乱数生成機能106が乱数コードを生成する(ステップ1105)。
暗号化機能942は、前記ユーザ証明書922に含まれる公開鍵を用いて、前記乱数コードを暗号化し、これをチャレンジコードとして認証端末100に送信する(ステップ1106)。
認証端末100は、前記チャレンジコードを受信し、ICカード120に対して補助情報作成要求と前記チャレンジコードを送信する(ステップ1107)。
ICカード120は、前記チャレンジコードを受信し、ユーザ秘密鍵923を用いてこれを復号化し、元の乱数を得る(ステップ1108)。この乱数を、以下パスワードとして利用する。
補助情報変換機能121は、マスター補助情報123を変換することにより前記パスワードに対応する補助情報を作成し、認証端末100に送信する(ステップ1109)。補助情報の変換処理は、前述の第一の実施例と同様であるとする。
認証端末100は前記補助情報を受信し、次にセンサ101がユーザの指紋画像を取得する(ステップ1110)。
パスワード生成機能102は、前記指紋画像と、前記補助情報とから、認証パスワードを生成し、認証サーバ140に送信する(ステップS1111)。認証パスワードの生成処理は、前記第一の実施例と同様であるとする。なお認証パスワードのかわりに認証パスワードのハッシュ値や暗号化データ等を送信してもよい。
認証サーバ140は前記認証パスワードを受信し、ステップ1105において生成した前記乱数コードと照合して、一致すれば認証成功、一致しなければ認証失敗と判断する(ステップS1112)。なお認証パスワードのかわりにハッシュ値や暗号化データ等を受信した場合は、前期乱数コードに対しても同様にハッシュ値や暗号化データを作成して照合する。
なお、安全性を高めるためにユーザ秘密鍵923と公開鍵の対を定期的に更新する場合は、前述のようにCAのオペレータが身分証などによってユーザの本人確認を行う必要はなく、前述の認証処理フローと同様にしてCA端末960がユーザの認証処理を行うことで、本人確認が実現できる。従って証明書更新時には、ユーザは認証局に出かける必要はなく、ネットワークを介して証明書の更新を行うことができる。
以上のように本実施例は、生体認証とPKIを連携することで、あらかじめ認証サーバ140に対してパスワードや生体情報等のユーザ認証情報を登録しておくことなしに、ネットワークを介した生体認証を実現することができる。非特許文献2の技術も生体認証とPKIを連携するものであるが、秘密鍵と補助情報が一対一の関係にある(生体情報と補助情報から秘密鍵を生成する)ため、秘密鍵と公開鍵の対を更新する場合や、指紋の経年変化にともなって補助情報を更新する必要が出てきた場合などに、補助情報の更新と証明書の再発行を同時に行う必要があり、利便性や運用コストの点で問題があった。これに対し、本実施例ではユーザ秘密鍵とマスター補助情報は独立に作成・更新することができるため、必要に応じて一方だけを更新することが可能となり、ユーザの利便性を高め、補助情報の作成や証明書の発行にかかる運用コストを低減することができる。
以下、本発明の実施例3について、ATMなどのサービス提供端末が、ICカードと生体情報を用いてユーザを認証するシステムを例にして説明する。従来、セキュリティとプライバシ保護効果を高めるための技術として、あらかじめユーザの登録生体情報をICカード内に記録しておき、認証時に端末側で取得したユーザの生体情報をICカードに送信し、ICカードの内部において登録生体情報と照合し、ICカード内で本人か他人かの判定を行う、カード内生体照合技術が提案されている。しかし一般に生体情報の照合処理には大きな計算量を必要とし、短い処理時間で十分な認証精度を達成することは困難であった。本実施例は、マスター補助情報の変換とパスワードの照合をICカード内で行うことで、高速なカード内生体照合処理を実現するものである。
図12に本実施形態のシステムの構成を示す。本実施形態の生体認証システムは、ユーザを認証してサービス提供を行う認証端末100と、ユーザに対して発行されるICカード120と、生体情報登録端末130とから構成される。
認証端末100は、センサ101と、パスワード生成機能102と、乱数生成機能106と、ICカードR/W107と、記憶装置943とから構成される。記憶装置943には、ICカード120が署名したデータを検証するためのカード検証鍵1200を記憶する。
ICカード120は、乱数生成機能106と、補助情報変換機能121と、パスワード照合機能144と、署名機能1220と、記憶装置122とから構成される。記憶装置122は、ユーザのマスター補助情報123と、ユーザ情報1221と、カード署名鍵1222を記憶する。ユーザ情報1221は、認証端末100がユーザを識別し、サービスを提供するために必要な情報を含むものとする。前記実施例2のユーザ証明書922と同一であってもよい。またカード署名鍵1222は、カード検証鍵1200と同一でもよく、また公開鍵暗号技術に基づいて作成された秘密鍵でもよい。後者の場合カード検証鍵1200は、カード署名鍵1222と対になる公開鍵でなくてはならない。
なお、認証端末100と生体情報登録端末130は、前記第一の実施例と同様、図8に示すような、CPU800、メモリ801、HDD802、入力装置(キーボード、マウス等)803、出力装置(ディスプレイ、プリンタ等)804、通信装置805を有するパーソナルコンピュータやワークステーションなどのコンピュータシステムにより達成できる。
生体情報登録端末130の構成は、前記第一の実施例と同様であるとする。
マスター補助情報登録時の処理は、前記第一の実施例と同様とする。
次に、本実施例における認証時の処理フローを、図10を用いて説明する。この処理フローは、ユーザが認証端末100にICカード120を提示し、サービス要求を行ったときに開始される。
認証端末100の乱数生成機能106は、チャレンジコードとして乱数を生成し、ICカード120に送信する(ステップ1300)。
ICカード120は前記チャレンジコードを受信し、次にICカード120の乱数生成機能106により乱数コードを生成する(ステップ1301)。
補助情報変換機能121は、マスター補助情報123を変換することで、前記乱数コードに対応する補助情報を作成し、認証端末100に送信する(ステップ1302)。補助情報の変換処理は、前述の第一の実施例と同様であるとする。
認証端末100は前記補助情報を受信し、センサ101を用いてユーザの指紋画像を取得する(ステップ1303)。
パスワード生成機能102は、前記指紋画像と前記補助情報とから、認証パスワードを生成し、ICカード120に送信する(ステップ1304)。認証パスワードの生成処理は、前記第一の実施例と同様であるとする。なお認証パスワードのかわりに認証パスワードのハッシュ値や暗号化データ等を送信してもよい。
ICカード120は前記認証パスワードを受信し、照合機能144が前記認証パスワードと前記乱数コードを照合する(ステップ1305)。なお認証パスワードのかわりにハッシュ値や暗号化データ等を受信した場合は、前期乱数コードに対しても同様にハッシュ値や暗号化データを作成して照合する。
署名機能1220は、照合結果データ(「一致」/「不一致」を示す1ビット値)と前記チャレンジコードを連結したデータに対し、カード署名鍵1222を用いて電子署名を作成し、前記照合結果データと、前記電子署名データと、ユーザ情報1221とを認証端末100に送信する(ステップ1306)。
認証端末100は、前記照合結果データと、前記電子署名データと、ユーザ情報1221とを受信し、カード検証鍵1200を用いて前記電子署名データを検証し、前記照合結果データの正当性を確認する(ステップ1307)。前記照合結果データが正当なものであり、かつ照合結果が「一致」であったならば、認証成功としてサービスを提供する。
本実施例の生体認証システムは、マスター補助情報123をICカード120の外部へ送信することなく、カード内で照合処理を行うことができるため、カード内生体照合の一種と考えることができる。従来のカード内照合処理は大きな計算量を必要とし、短い処理時間で十分な認証精度を達成することが困難であったのに対し、本実施例のカード内照合処理は、補助情報の変換とパスワード照合のみから構成され、大きな計算量を必要としない。これによって高速なカード内生体照合を実現することができる。
本発明は、ユーザ認証を行う任意のアプリケーションに対して適用可能であり、特にネットワークを介した認証において利便性を向上し、運用コストを低下することができる。例えば社内ネットワークにおける情報アクセス制御、インターネットバンキングシステムやATMにおける本人確認、会員向けWebサイトへのログイン、保護エリアへの入場時の個人認証、パソコンのログインなどへの適用が可能である。
本発明の実施例1の機能構成を示すブロック図である。 本発明の実施例1のマスター補助情報登録処理を示す流れ図である。 本発明の実施例1のパスワード登録処理を示す流れ図である。 本発明の実施例1の認証処理を示す流れ図である。 本発明の実施例1のパスワード生成処理を説明するための図である。 本発明の実施例1のマスター補助情報作成処理を説明するための図である。 本発明の実施例1の補助情報変換処理を説明するための図である。 本発明の実施例1のハードウェア構成を示すブロック図である。 本発明の実施例2の機能構成を示すブロック図である。 本発明の実施例2の証明書発行処理を示す流れ図である。 本発明の実施例2の認証処理を示す流れ図である。 本発明の実施例3の機能構成を示すブロック図である。 本発明の実施例3の認証処理を示す流れ図である。
符号の説明
100 認証端末
101 センサ
102 パスワード生成機能
103 補助情報検索機能
104 サービス選択機能
105 補助情報登録機能
106 乱数生成機能
107 ICカードR/W
108 通信機能
109 補助情報データベース
110 補助情報レコード
120 ICカード
121 補助情報変換機能
122 記憶装置
123 マスター補助情報
130 生体情報登録端末
131 補助情報作成機能
500 登録用指紋画像セット
501 特徴量分布
502 補助情報
503 登録パスワード
510 認証用指紋画像
511 認証パスワード
800 CPU
801 メモリ
802 HDD
803 入力装置
804 出力装置
805 通信装置
921 復号化機能
922 ユーザ証明書
923 ユーザ秘密鍵
941 証明書検証機能
942 暗号化機能
943 記憶装置
944 CA証明書
960 CA端末
961 証明書作成機能
962 CA秘密鍵
1200 カード検証鍵
1220 署名
1221 ユーザ情報
1222 カード署名鍵

Claims (5)

  1. ユーザの生体情報に基づいて前記ユーザを認証する生体認証システムであって、
    前記生体情報から認証用パスワードを生成するために用いる補助情報を生成する補助情報生成装置と、
    前記補助情報を生成するためのマスタ補助情報を生成するマスタ補助情報生成装置と、
    アプリケーションごとに予め登録した前記ユーザの登録パスワードを記憶した認証サーバと接続するための通信部と、
    前記ユーザが入力した入力生体情報と前記補助情報とを用いて前記ユーザの認証用パスワードを生成する認証装置と、
    を備え、
    前記マスタ補助情報生成装置が、
    前記ユーザの生体情報を受け取り、前記生体情報をn個(nは2以上の整数)のブロックに分割し、
    前記n個のブロックの各々について、
    i番目(iは2以上n以下の整数)のブロックの内、特徴量が分布する第1の区間と前記第1の区間以外の第2の区間とを求め、
    前記第1の区間には、前記第1の区間を前記第2の区間から区別するための値を割り当てて第1の部分とし、
    前記第2の区間には、前記第2の区間を前記第1の区間から区別するための値を割り当てて第2の部分として、
    前記第1の部分と前記第2の部分からなるi番目の第1の表を作成し、
    前記n個のブロックの各々について作成したn個の前記第1の表を纏めて前記マスタ補助情報とし、
    前記アプリケーションに前記ユーザを登録する際には前記補助情報生成装置が、
    前記マスタ補助情報生成装置から前記ユーザの前記マスタ補助情報を受け取り、
    前記認証サーバから前記登録パスワードを受け取り、
    前記登録パスワードをn個のパスワード部分に分割し、
    前記マスタ補助情報が有するn個の第1の表の各々について、
    i番目の第1の表の前記第1の部分にはi番目のパスワード部分を割り当て、
    i番目の第1の表の前記第2の部分には当該パスワード部分とは異なる値を割り当てたi番目の第2の表を作成し、
    前記n個の第1の表の各々について作成したn個の前記第2の表を纏めて前記補助情報として前記補助情報を前記認証装置に送信し、
    前記ユーザを認証する際には、前記認証装置が、
    前記ユーザから前記生体情報を受け取り、
    前記ユーザの前記生体情報をn個のブロックに分割し、
    前記n個のブロックの各々について、i番目のブロックの内、特徴量が分布する区間に対応する部分の値を前記補助情報のi番目の前記第2の表から求め、
    前記複数のブロックの各々について取得したn個の当該値を連結して求めた認証パスワードを前記認証サーバに送信して、前記認証サーバに前記認証パスワードと前記登録パスワードを比較させて前記ユーザを認証させる
    ことを特徴とする生体認証システム
  2. 請求項1に記載の生体認証システムにおいて、
    前記認証サーバは前記ユーザのIDを当該ユーザの前記登録パスワードと併せて記憶し、
    前記認証装置は、前記ユーザについての前記補助情報を前記ユーザのIDと関連付けて記憶し、
    前記ユーザを認証する際には、前記認証装置は、
    前記ユーザから前記生体情報とともに前記ユーザのIDを受け取って、当該ユーザのIDと関連付けて記憶した前記補助情報を取得し、
    前記補助情報から認証用パスワードを作成し、
    前記ユーザのIDと前記認証用パスワードを前記認証サーバに送信して、前記ユーザを認証させる
    ことを特徴とする生体認証システム。
  3. 請求項1に記載の生体認証システムにおいて、
    前記補助情報生成装置は、ICカード又は携帯型メモリ又は携帯型端末装置であることを特徴とする生体認証システム
  4. 請求項1に記載の生体認証システムにおいて、
    前記ユーザが使用する複数のアプリケーションごとに異なる登録パスワードが登録されており、
    前記補助情報作成装置は、前記複数のアプリケーションごとに異なる登録パスワードを用いて前記マスタ補助情報から前記複数のアプリケーションごとに異なる補助情報を作成し、
    前記認証装置は、前記複数のアプリケーションごとに異なる補助情報を用いて前記複数のアプリケーションごとに異なる認証パスワードを生成する
    ことを特徴とする生体認証システム
  5. 請求項1に記載の生体認証システムにおいて
    前記補助情報生成装置は、前記パスワード部分とは異なる値として乱数を生成する乱数生成手段とを有することを特徴とする生体認証システム
JP2005337998A 2005-11-24 2005-11-24 処理装置、補助情報生成装置、端末装置、認証装置及び生体認証システム Expired - Fee Related JP4736744B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2005337998A JP4736744B2 (ja) 2005-11-24 2005-11-24 処理装置、補助情報生成装置、端末装置、認証装置及び生体認証システム
CN200610121983XA CN1972189B (zh) 2005-11-24 2006-08-30 生物体认证系统
EP06018117A EP1791073B1 (en) 2005-11-24 2006-08-30 Processing device, helper data generating device, terminal device, authentication device and biometrics authentication system
US11/515,276 US20070118758A1 (en) 2005-11-24 2006-09-01 Processing device, helper data generating device, terminal device, authentication device and biometrics authentication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005337998A JP4736744B2 (ja) 2005-11-24 2005-11-24 処理装置、補助情報生成装置、端末装置、認証装置及び生体認証システム

Publications (2)

Publication Number Publication Date
JP2007148470A JP2007148470A (ja) 2007-06-14
JP4736744B2 true JP4736744B2 (ja) 2011-07-27

Family

ID=37668270

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005337998A Expired - Fee Related JP4736744B2 (ja) 2005-11-24 2005-11-24 処理装置、補助情報生成装置、端末装置、認証装置及び生体認証システム

Country Status (4)

Country Link
US (1) US20070118758A1 (ja)
EP (1) EP1791073B1 (ja)
JP (1) JP4736744B2 (ja)
CN (1) CN1972189B (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017083016A1 (en) * 2015-11-11 2017-05-18 Visa International Service Association Server based biometric authentication

Families Citing this family (76)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7237117B2 (en) 2001-03-16 2007-06-26 Kenneth P. Weiss Universal secure registry
US8700910B2 (en) * 2005-05-31 2014-04-15 Semiconductor Energy Laboratory Co., Ltd. Communication system and authentication card
EP1891772A2 (en) * 2005-06-01 2008-02-27 Koninklijke Philips Electronics N.V. Compensating for acquisition noise in helper data systems
US8234220B2 (en) 2007-02-21 2012-07-31 Weiss Kenneth P Universal secure registry
US11227676B2 (en) 2006-02-21 2022-01-18 Universal Secure Registry, Llc Universal secure registry
US8001055B2 (en) 2006-02-21 2011-08-16 Weiss Kenneth P Method, system and apparatus for secure access, payment and identification
JP4996904B2 (ja) * 2006-10-04 2012-08-08 株式会社日立製作所 生体認証システム、登録端末、認証端末、及び認証サーバ
US8225375B2 (en) * 2006-12-28 2012-07-17 Canon Kabushiki Kaisha Information processing system, information processing apparatus and method and program therefor
KR100906109B1 (ko) * 2007-06-20 2009-07-07 엔에이치엔(주) 3a 기반의 다양한 어플리케이션 상태를 제공하는유비쿼터스 프리젠스 서비스 방법 및 시스템
CN101197665B (zh) * 2007-12-24 2011-11-09 北京飞天诚信科技有限公司 动态口令生成方法及其装置
JP4655120B2 (ja) * 2008-07-29 2011-03-23 コニカミノルタビジネステクノロジーズ株式会社 認証システムおよび認証装置
US20100083000A1 (en) * 2008-09-16 2010-04-01 Validity Sensors, Inc. Fingerprint Sensor Device and System with Verification Token and Methods of Using
JP6220110B2 (ja) * 2008-09-26 2017-10-25 コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. デバイス及びユーザの認証
US8370640B2 (en) 2008-12-01 2013-02-05 Research In Motion Limited Simplified multi-factor authentication
JP5147673B2 (ja) * 2008-12-18 2013-02-20 株式会社日立製作所 生体認証システムおよびその方法
US20100241850A1 (en) * 2009-03-17 2010-09-23 Chuyu Xiong Handheld multiple role electronic authenticator and its service system
JP5701855B2 (ja) * 2009-04-10 2015-04-15 コーニンクレッカ フィリップス エヌ ヴェ 装置とユーザ認証
JP5180908B2 (ja) * 2009-05-26 2013-04-10 株式会社日立製作所 Icタグ発行管理システムおよび方法
JP2010286937A (ja) * 2009-06-10 2010-12-24 Hitachi Ltd 生体認証方法、及び、生体認証に用いるクライアント端末、認証サーバ
ATE533131T1 (de) * 2009-10-15 2011-11-15 Kapsch Trafficcom Ag Vorrichtung zur personalisierung und registrierung von fahrzeuggeräten
US20110218595A1 (en) * 2010-03-04 2011-09-08 Mcmillan William C Prescription device controller
US8613052B2 (en) 2010-09-17 2013-12-17 Universal Secure Registry, Llc Apparatus, system and method employing a wireless user-device
EP2634955B1 (en) * 2010-10-29 2020-01-15 Hitachi, Ltd. Information authentication method and information authentication system
CH705774B1 (de) 2011-11-16 2016-12-15 Swisscom Ag Verfahren, System und Karte zur Authentifizierung eines Benutzers durch eine Anwendung.
US8959335B2 (en) * 2012-04-17 2015-02-17 Gemalto Sa Secure password-based authentication for cloud computing services
TWI566564B (zh) * 2012-04-25 2017-01-11 Samton International Development Technology Co Ltd Virtual reality authentication circuit, system and electronic consumption method
CN104685824B (zh) 2012-09-26 2018-07-10 株式会社东芝 生物体参照信息登记系统、装置及方法
US9887983B2 (en) 2013-10-29 2018-02-06 Nok Nok Labs, Inc. Apparatus and method for implementing composite authenticators
US10270748B2 (en) 2013-03-22 2019-04-23 Nok Nok Labs, Inc. Advanced authentication techniques and applications
US9367676B2 (en) 2013-03-22 2016-06-14 Nok Nok Labs, Inc. System and method for confirming location using supplemental sensor and/or location data
CN104079530A (zh) * 2013-03-26 2014-10-01 北京中创智信科技有限公司 远程数据采集系统
CN104079529B (zh) * 2013-03-26 2019-03-01 北京中创智信科技有限公司 远程数据采集方法
CN104298908B (zh) * 2013-07-15 2018-04-27 联想(北京)有限公司 一种信息处理方法及电子设备
CN103607282B (zh) * 2013-11-22 2017-03-15 成都卫士通信息产业股份有限公司 一种基于生物特征的身份融合认证方法
WO2015100109A1 (en) 2013-12-27 2015-07-02 Abbott Diabetes Care Inc. Systems, devices, and methods for authentication in an analyte monitoring environment
CN103929301A (zh) * 2014-05-07 2014-07-16 中国科学院微电子研究所 真随机数生成方法、装置及电力设备
US9749131B2 (en) * 2014-07-31 2017-08-29 Nok Nok Labs, Inc. System and method for implementing a one-time-password using asymmetric cryptography
CN104239768B (zh) * 2014-09-04 2018-08-24 深圳市浩方电子商务有限公司 基于生物特征信息验证的个人账户信息安全管理系统及方法
KR102285791B1 (ko) * 2014-12-29 2021-08-04 삼성전자 주식회사 사용자 인증 방법 및 사용자 인증을 수행하는 전자 장치
KR101675728B1 (ko) * 2015-01-05 2016-11-14 주식회사 슈프리마 정보처리기기를 이용한 사용자 인증 처리 방법 및 장치
FR3033205B1 (fr) * 2015-02-27 2018-04-06 C.E.S.A.M.E.S Groupe Procede de transaction sans support physique d'un identifiant de securite et sans jeton, securise par decouplage structurel des identifiants personnels et de services.
US10116648B1 (en) * 2015-06-19 2018-10-30 EMC IP Holding Company LLC User authentication
US11102648B2 (en) 2015-08-18 2021-08-24 Proteqsit Llc System, method, and apparatus for enhanced personal identification
US10037419B2 (en) 2016-07-11 2018-07-31 Richard James Hallock System, method, and apparatus for personal identification
US10216914B2 (en) 2015-08-18 2019-02-26 Richard James Hallock System, method, and apparatus for personal identification
CN105262823A (zh) * 2015-10-28 2016-01-20 广东欧珀移动通信有限公司 一种终端的控制方法、装置和系统
KR102461325B1 (ko) * 2015-10-29 2022-10-31 삼성전자주식회사 근거리 무선 통신을 사용하는 휴대용 생체 인증 장치 및 단말 장치
CA3004880C (en) * 2015-11-13 2023-10-31 Charles H. Herder, Iii Public/private key biometric authentication system
CN114120523B (zh) 2016-04-27 2023-11-03 武礼伟仁株式会社 生物体数据注册系统及结算系统
US10567377B2 (en) * 2016-05-23 2020-02-18 Pemian & Corella, LLC Multifactor privacy-enhanced remote identification using a rich credential
US10769635B2 (en) 2016-08-05 2020-09-08 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US10637853B2 (en) 2016-08-05 2020-04-28 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
JP6810348B2 (ja) 2016-12-16 2021-01-06 富士通株式会社 暗号データ処理方法、暗号データ処理装置および暗号データ処理プログラム
JP7024738B2 (ja) * 2017-02-17 2022-02-24 ソニーグループ株式会社 サーバ及び認証方法
US11868995B2 (en) 2017-11-27 2024-01-09 Nok Nok Labs, Inc. Extending a secure key storage for transaction confirmation and cryptocurrency
WO2019123291A1 (en) * 2017-12-20 2019-06-27 Wani Nikhilesh Manoj System and method for user authentication using biometric data
US11831409B2 (en) 2018-01-12 2023-11-28 Nok Nok Labs, Inc. System and method for binding verifiable claims
US11223478B2 (en) 2018-04-04 2022-01-11 Sri International Biometric authentication with template privacy and non-interactive re-enrollment
US10719594B2 (en) * 2018-04-04 2020-07-21 Sri International Secure re-enrollment of biometric templates using distributed secure computation and secret sharing
ES2937234T3 (es) * 2018-04-23 2023-03-27 Amadeus Sas Método de autenticación biométrica, sistema y programa informático
WO2019222709A1 (en) 2018-05-17 2019-11-21 Badge Inc. System and method for securing personal information via biometric public key
US11115203B2 (en) 2018-05-17 2021-09-07 Badge Inc. System and method for securing personal information via biometric public key
US11023569B2 (en) 2018-05-29 2021-06-01 Sri International Secure re-enrollment of biometric templates using functional encryption
US11171951B2 (en) 2018-06-07 2021-11-09 Paypal, Inc. Device interface output based on biometric input orientation and captured proximate data
CN109271557B (zh) * 2018-08-31 2022-03-22 北京字节跳动网络技术有限公司 用于输出信息的方法和装置
CA3128348C (en) 2019-01-30 2024-02-20 Badge Inc. Biometric public key system providing revocable credentials
CN109814801A (zh) * 2019-01-31 2019-05-28 Oppo广东移动通信有限公司 应用登录方法、装置、终端及存储介质
US11290448B1 (en) 2019-02-05 2022-03-29 Wells Fargo Bank, N.A. Multifactor identity authentication via cumulative dynamic contextual identity
KR20200099290A (ko) 2019-02-14 2020-08-24 삼성전자주식회사 전자 장치 및 그 제어 방법
US11792024B2 (en) 2019-03-29 2023-10-17 Nok Nok Labs, Inc. System and method for efficient challenge-response authentication
CN111404683B (zh) * 2020-03-31 2022-11-15 中国建设银行股份有限公司 自助设备主密钥生成方法、服务器及自助设备
US11799658B2 (en) * 2020-10-28 2023-10-24 Bank Of America Corporation Tracking data throughout an asset lifecycle
CN112612721B (zh) * 2021-01-13 2024-04-23 四川酷比通信设备有限公司 终端指纹识别功能的测试方法、系统、设备及存储介质
FR3121304A1 (fr) * 2021-03-25 2022-09-30 Orange Contrôle d’accès à un réseau de communication sans fil par authentification fondée sur une empreinte biométrique d’un utilisateur
JP7305703B2 (ja) * 2021-05-19 2023-07-10 ヤフー株式会社 認証サーバ、端末装置、鍵管理方法及び鍵管理プログラム
WO2023159462A1 (zh) * 2022-02-25 2023-08-31 百果园技术(新加坡)有限公司 身份认证方法、装置、终端、存储介质及程序产品

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004537103A (ja) * 2001-05-18 2004-12-09 イリディアン・テクノロジーズ・インコーポレーテッド 特定用途向け生物測定学的テンプレート
JP2005122522A (ja) * 2003-10-17 2005-05-12 Hitachi Ltd ユニークコード生成装置および方法、ならびにプログラム、記録媒体

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6038315A (en) * 1997-03-17 2000-03-14 The Regents Of The University Of California Method and system for normalizing biometric variations to authenticate users from a public database and that ensures individual biometric data privacy
US6185316B1 (en) * 1997-11-12 2001-02-06 Unisys Corporation Self-authentication apparatus and method
US6580815B1 (en) * 1999-07-19 2003-06-17 Mandylion Research Labs, Llc Page back intrusion detection device
US7269277B2 (en) * 1999-12-14 2007-09-11 Davida George I Perfectly secure authorization and passive identification with an error tolerant biometric system
CN1403941A (zh) * 2001-09-03 2003-03-19 王柏东 一种结合密码与生物辨识技术应用于安全认证的方法
JP2004178141A (ja) * 2002-11-26 2004-06-24 Hitachi Ltd 不正使用防止機能付きicカード
CN1792060B (zh) * 2003-05-21 2011-05-25 皇家飞利浦电子股份有限公司 用于认证物理对象的方法和系统
US7669236B2 (en) * 2004-11-18 2010-02-23 Biogy, Inc. Determining whether to grant access to a passcode protected system
JP2006195640A (ja) * 2005-01-12 2006-07-27 Gunma Univ 個人認証装置及び個人認証方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004537103A (ja) * 2001-05-18 2004-12-09 イリディアン・テクノロジーズ・インコーポレーテッド 特定用途向け生物測定学的テンプレート
JP2005122522A (ja) * 2003-10-17 2005-05-12 Hitachi Ltd ユニークコード生成装置および方法、ならびにプログラム、記録媒体

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017083016A1 (en) * 2015-11-11 2017-05-18 Visa International Service Association Server based biometric authentication
US9847997B2 (en) 2015-11-11 2017-12-19 Visa International Service Association Server based biometric authentication
US10135820B2 (en) 2015-11-11 2018-11-20 Visa International Service Association Server based biometric authentication
US10701068B2 (en) 2015-11-11 2020-06-30 Visa International Service Association Server based biometric authentication

Also Published As

Publication number Publication date
EP1791073A1 (en) 2007-05-30
JP2007148470A (ja) 2007-06-14
CN1972189A (zh) 2007-05-30
CN1972189B (zh) 2011-05-11
EP1791073B1 (en) 2013-01-23
US20070118758A1 (en) 2007-05-24

Similar Documents

Publication Publication Date Title
JP4736744B2 (ja) 処理装置、補助情報生成装置、端末装置、認証装置及び生体認証システム
US20210409221A1 (en) Portable Biometric Identity on a Distributed Data Storage Layer
KR100876003B1 (ko) 생체정보를 이용하는 사용자 인증방법
US9716698B2 (en) Methods for secure enrollment and backup of personal identity credentials into electronic devices
KR101863953B1 (ko) 전자 서명 서비스 시스템 및 방법
US8132722B2 (en) System and method for binding a smartcard and a smartcard reader
US20090293111A1 (en) Third party system for biometric authentication
JP5365512B2 (ja) ソフトウェアicカードシステム、管理サーバ、端末、サービス提供サーバ、サービス提供方法及びプログラム
JP2018516505A (ja) ユビキタス環境での認証
JPWO2007094165A1 (ja) 本人確認システムおよびプログラム、並びに、本人確認方法
EP2184888B1 (en) Verifying device and program
JP7309261B2 (ja) 生体決済機器の認証方法、生体決済機器の認証装置、コンピュータ機器、及びコンピュータプログラム
KR101858653B1 (ko) 블록체인 데이터베이스 및 이와 연동하는 머클 트리 구조를 통해 모바일 아이디를 이용하여 사용자를 인증하는 방법, 단말 및 이를 이용한 서버
KR20030032423A (ko) 공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 발급 방법
JP2003044436A (ja) 認証処理方法、および情報処理装置、並びにコンピュータ・プログラム
Chen et al. A novel DRM scheme for accommodating expectations of personal use
JP2006155547A (ja) 本人認証システム、端末装置、およびサーバ
JP2019004475A (ja) ユビキタス環境での認証
KR101616795B1 (ko) Pki 기반의 개인키 파일 관리 방법 및 그 시스템
KR101868564B1 (ko) 사용자 본인 확인(identification) 등록과 로컬 인증을 연계한 사용자 인증 장치 및 방법
JP2007258789A (ja) エージェント認証システム、エージェント認証方法、及びエージェント認証プログラム
KR101804845B1 (ko) 무선단말기에서의 otp인증방법
KR20210007687A (ko) 본인정보 활용 서비스를 위한 통합 인증 및 데이터 제공 방법과 그 장치
JP2020115386A (ja) ユビキタス環境での認証
KR20030032421A (ko) 공개키 기반 구조에서 생체정보를 이용한 사용자 등록요청 및 승인 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070807

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100909

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101124

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110124

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110405

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110418

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140513

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees