WO2001042938A1

WO2001042938A1 - Systeme d'authentification personnelle et dispositif electronique portatif a fonction d'authentification personnelle utilisant des informations physiques

Info

Publication number: WO2001042938A1
Application number: PCT/JP1999/006961
Authority: WO
Inventors: Takashi Shinzaki
Original assignee: Fujitsu Limited
Priority date: 1999-12-10
Filing date: 1999-12-10
Publication date: 2001-06-14
Also published as: US6957339B2; EP1959369A1; US20030005310A1; EP1237091A1; EP1237091A4

Description

明細書個人認証システム

および

生体情報を用いた個人認証機能を有する携帯電子装置技術分野

本発明は、生体情報（例えば、指紋，音声，虹彩，顔，網膜，血管，掌形，署名，音声，キーストローク，動的署名等）を用いて個人の認証を行なうシステムや、その認証機能を有する、 I Cカード等の携帯電子装置に関する。

近年、携帯電子装置、例えば I C (Integrated Ci rcui t)カードを利用した電子商取引の拡大が見込まれており、それに伴い I Cカード自体の耐タンパ性（耐改竄性）も向上している。その反面、利用者の認証は、従来通り、利用者がパスワード（暗証番号）を入力することによって行なわれる場合がほとんどであり、そのパスワードを盗んだ者によって、成りすましが行なわれる危険性については解消されていない。

特に、デビットカード（debi t card)のように、各店舗において、利用者がキ一ボードを操作して 4桁の暗証番号を直接入力する仕組みが広がりつつあるが、銀行店舗に比してセキュリティの低い一般店舗では暗証番号を盗まれ成りすましが行なわれる確率は高くなる。

そこで、 I Cカードゃデビットカード等の利用者認証として、暗号化や公開鍵〔P K I (Publ ic Key Ident i f i cat ion) 〕方式と連携した、指紋や虹彩等の生体情報による本人認証方式の実現が必須となっている。

なお、デビットカードとは、金融機関の発行している磁気方式のキャッシュ力 —ドをそのまま使い、買物代金を利用者の預金口座から即時に引き落とせるようにしたカードのことである。背景技術

現在、 I Cカードゃデビットカードと連携した電子商取引では、 P K I方式と連携した個人認証方式が想定されている。しかし、 I Cカードゃデビットカードの利用者確認には、パスワード（暗証番号）が主として使われ、他人による成りすまし使用については、従来のキャッシュカード等と同じ、以下のような問題を孕んでいる。

つまり、パスワード利用に慣れていない利用者（以下、ユーザという場合もある）は、パスワードを忘れないようにどうしても記憶しやすい文字列をパスヮードとして使う傾向がある。例えば、ユーザ本人や家族の名前，生年月日，電話番号のほか、辞書に載っている単語などをパスワードとして登録することが多い。また、パスワードを紙に書いて残したり、特にデビットカードの利用時にはパスワードをテンキーで入力しているところを視かれるなどして、パスワードが漏れることがある。

このことは、キャッシュカードが盗まれた場合に、預金が簡単に引き出される事件が頻発していることからも分かり、パスワードによる利用者（個人）認証がうまく機能していないのが現状である。

本人認証にパスワードを用いるとシステムが簡便になりコストも安くなるが、ユーザにはセキュリティ意識が求められる。例えば、パスワードに本人や家族の名前，生年月日，電話番号を用いない、辞書に載っている単語を用いない、メモに書いておかない等の注意が必要である。また、パスワードを入力しているところを視き見されると、その指使いからパスワードが盗まれる可能性もあるので、パスワードを扱う時に、ユーザは、常に盗まれないような心遣いをしなければならない。

また、パスワードと同じく、暗号化に用いる暗号鍵の扱いにも注意を払わなければならない。一般に、暗号化に用いられる暗号 ·復号鍵は、文字列が長く、人が暗記するのには多大なる労力を必要とする。そこで、通常、鍵をコンビユー夕やフロッピディスクに保存し、必要な時に読み出している。読み出す時には、パスワードなどを用いて鍵のセキュリティを保つこともある。しかし、文字列長の長い鍵が喑記できないからといって、それを文字列長の短い、喑記しゃすいパスワードで管理すると安全性が半減してしまう。

上記の問題は、 I Cカードゃデビットカードにも存在する。いかに I C力一ドの耐タンパ性を向上させて、 I Cカード内部に記憶された暗号鍵（秘密鍵）を盗まれないようにしても、利用者が常にパスワードに対するセキュリティ意識をもたなければ、全てが水泡に帰してしまう。

そこで、 I Cカードゃデビットカードを利用した電子商取引に際しては、セキユリティ設定を利用者に依存しない、生体情報（例えば、指紋，音声，虹彩，顔，網膜，血管，掌形，署名，音声，キーストローク，動的署名等）を用いた個人認証方式との連携が必要になっている。

生体情報は身体的な特徴であり、人間が覚えるものではなく、紙に書き留める必要もなく、第三者から予想されるものでもない。また、生体情報の偽造は困難であり、生体情報の照合を行なっているところを視かれても、真似できるものではない。従って、本人認証が重要な意味を持つ場合に、生体情報の照合による本人認証は最適である。

銀行のキャッシュカードを店舗での決済カードとして使用するデビットカードでは、パスワード（暗証番号）を盗まれた場合の被害が大きい。このため、デビットカードのごとく個人認証のために暗証番号を入力する処理を必要とするシステムでは、パスワード入力を、上述のような生体情報の照合による本人認証と連携させるようにすることが強く望まれている。

一方、近年、 I Cカードの記憶容量の増加に伴い、数百バイトから 2キロバィ卜程度の生体特徴データを I Cカードで保持 ·登録することが可能になり、また、 I Cカードに小型のプロセッサ（C P U) を内蔵することで、データ処理機能をそなえることが可能になっている。

しかし、生体情報にかかる全ての処理を行なうには、現状の I Cカード用プ口セッサは非力であるため、生体情報の採取や、採取された生体情報から照合用の生体特徴データの抽出処理は、 I Cカードに対するアクセスを行なう I Cカードターミナル（外部データ処理装置）で行ない、 I Cカードでは、生体特徴デー夕の照合のみを行なうようにすることが考えられている（例えば特開平 1 0 _ 3 1 2 4 5 9号公報参照）。つまり、 I Cカードでは、ユーザの生体特徴データを登録生体特徴データとして予め保持しておき、 I Cカードターミナルから照合用の生体特徴デー夕が送られてくると、その照合用の生体特徴デー夕と登録生体特徴データとを比較 ·照合し、照合結果を I Cカードターミナルに返している。このような I Cカードと I C力一ドターミナルとの関係を、クライアントサーバ型の指紋照合方式に当てはめてみると、 I Cカードターミナルが指紋特徴抽出を行なうクライアントに該当し、 I Cカードは指紋特徴データの照合を行なうサ —バに該当する。しかし、 I Cカードを用いた上述のような照合方式とクライアントサーバ型の指紋照合方式との相違点は、サーバに相当する I Cカードを耐夕ンパ性の高い携帯電子装置としてユーザが持ち運ぶことができることにある。生体特徴データの照合やその後の処理を、他人が運用するサーバではなく、ュ一ザ自身が保有する I Cカード内部で行なえるため、プライバシを確実に守れるという利点がある。

しかし、生体情報と I Cカードとの現状の連携手法では、 I Cカードターミナルから I Cカードへ照合用生体特徴データをそのまま送信したり、 I Cカードからの照合結果を O KZN G信号（0 1信号）でそのまま送信したりしている。このため、いくら I Cカードの耐タンパ性が優れていても、 1じカードと 1 ( カードターミナルとの間でやり取りされるデ一夕を盗まれると、そのデータが悪用されるおそれがある。つまり、現状の連携手法は、 I Cカードの耐タンパ性を十分に活かすことのできるものではなかった。

従って、 I Cカードに照合用生体特徴データを入力する際にも、且つ、 I C力ード内で生体特徴デ一夕を照合した結果を外部に出力する際にも、高いセキユリティ性能を確保できるようにすることが望まれている。

本発明は、このような課題に鑑み創案されたもので、デビットカードのごとく個人認証のために暗証番号を入力する処理を必要とするシステムにおいて、暗証番号入力と盗難や模倣が不可能な生体情報を用いた個人認証とを連携させ、喑証番号の漏洩 ·盗難を確実に防止し、高いセキュリティ性能を確保して、安全に個人認証を実施できるようにすることを第 1の目的とする。

また、本発明は、 I Cカード等の携帯電子装置に照合用生体特徴データを入力する際にも、且つ、携帯電子装置内で生体特徴データを照合した結果を外部に出力する際にも、高いセキュリティ性能を確保して、安全に個人認証を実施できるようにすることを第 2の目的とする。発明の開示

(1-1) 上記目的を達成するために、本発明の個人認証システムは、携帯電子装置と、該携帯電子装置を装着され該携帯電子装置に対する直接的なアクセスを行なうデータ処理装置と、該データ処理装置を介して該携帯電子装置に対するァクセスを行ない該携帯電子装置の所有者についての認証を暗証番号により行なう管理装置とをそなえてなるものであって、

該データ処理装置に、認証対象者の生体情報を計測する生体情報計測部と、該生体情報計測部により計測された生体情報から照合用生体特徴データを抽出する生体特徴データ抽出部と、該データ処理装置と該携帯電子装置および該管理装置との間でのデータの送受信を行なう第 1送受信インタフェースとをそなえるとともに、

該携帯電子装置に、当該携帯電子装置の所有者についての登録生体特徴デー夕を予め保存する生体特徴データ登録部と、該携帯電子装置と該データ処理装置との間でのデータの送受信を行なう第 2送受信インタフェースと、該第 2送受信インタフェースにより外部から受信した照合用生体特徴デ一夕と前記登録生体特徵データとを比較 ·照合する生体特徴データ照合部と、当該携帯電子装置の所有者についての暗証番号を予め保存する暗証番号登録部とをそなえ、

前記照合用生体特徵デ一夕を、該デー夕処理装置の該第 1送受信ィンタフエースから該携帯電子装置へ送信し、該携帯電子装置の該生体特徴データ照合部により、該第 2送受信ィンタフェースにより受信された前記照合用生体特徴データと前記登録生体特徴デ一夕とを比較 ·照合し、その照合の結果、前記照合用生体特徴データが前記登録生体特徴デ一夕に対して所定の一致条件を満たしていれば、前記暗証番号を、該携帯電子装置の該第 2送受信インタフェースから、該データ処理装置の該第 1送受信インタフェースを経由させて、該管理装置へ送信することを特徴としている。

(1-2) 該データ処理装置に、前記照合用生体特徴データを公開鍵で暗号化する第 1暗号化部をそなえるとともに、該携帯電子装置に、前記公開鍵に対応した登録秘密鍵を予め保存する秘密鍵登録部と、該第 2送受信インタフェースにより外部から受信した暗号化データを前記登録秘密鍵により復号する復号部とをそなえ、該第 1暗号化部によって暗号化された前記照合用生体特徴データを前記暗号化データとして該第 1送受信ィン夕フェースから該携帯電子装置へ送信し、該第 2送受信ィンタフェースにより受信された前記暗号化デ一夕を該復号部により復号して前記照合用生体特徴データを得てから、該生体特徴データ照合部による比較 ·照合を行なってもよい。

(1-3) 該携帯電子装置に、該管理装置用の公開鍵を予め保存する管理装置用公開鍵登録部と、前記暗証番号を該管理装置に送信する前に前記暗証番号を前記管理装置用の公開鍵で暗号化する第 2暗号化部とをそなえてもよい。

(1-4) 該携帯電子装置の表面に、該管理装置での処理に用いられる情報を磁気データとして記録される記録部をそなえるとともに、該データ処理装置に、該記録部に記録された前記磁気デ一タを読み取るための磁気データ読取部をそなえ、該磁気デー夕読取部によって読み取られた前記磁気デ一夕を、前記暗証番号とともに該第 1送受信ィンタフェースから該管理装置へ送信してもよい。

(1-5) 該データ処理装置に、該生体特徴デ一夕抽出部により前記照合用生体部をそなえ、前記タイムスタンプを、前記照合用生体特徴データとともに該第 1 暗号化部によつて暗号化して該第 1送受信ィン夕フェースから該携帯電子装置へ送信する一方、該携帯電子装置に、現在時刻を算出する時計機能部と、該復号部により復号して得られた前記タイムスタンプと該時計機能部により算出された現在時刻とを比較 ·照合するタイムスタンプ照合部とをそなえ、該生体特徴デ一夕照合部による照合の結果、前記照合用生体特徴データが前記登録生体特徴データに対して所定の一致条件を満たし、且つ、該タイムスタンプ照合部による照合の結果、前記タイムスタンプと前記現在時刻との時間差が所定範囲内であった場合に、前記認証対象者が該携帯電子装置の所有者本人であると判断してもよい。

(1-6) 該生体特徴データ照合部および該タイムスタンプ照合部による照合の結果、前記認証対象者が該携帯電子装置の所有者本人であると判断した場合、前記暗証番号を、該時計機能部によって得られる照合日時とともに、該第 2暗号化部により暗号化した後、該携帯電子装置の該第 2送受信インタフェースから外部へ送信してもよい。

(1 -7) 該携帯電子装置が、該第 2送受信インタフェースで所定の信号を受信すると、該携帯電子装置に登録された前記所有者の公開鍵情報を、該第 2送受信ィン夕フェースから外部へ送信してもよい。

(1 -8) 該携帯電子装置の該生体特徴データ照合部による照合の結果、前記照合用生体特徴データが前記登録生体特徴データに対して所定の一致条件を満たしていない状態が、所定の回数だけ連続して生じた場合には、該携帯電子装置への生体特徴デ一夕の入力をロックするロック機能部をそなえてもよい。

(1 -9) 該携帯電子装置に、前記暗証番号の送信日時および処理内容の少なくとも一方を前記暗証番号の管理ログとして保存する管理ログ記録部をそなえてもよい。

上述した項目（1-1) の個人認証システムでは、データ処理装置において、生体情報計測部により認証対象者の生体情報が計測され、その生体情報から生体特徵データ抽出部により照合用生体特徴データが抽出され、その照合用生体特徴デ —夕が、第 1送受信インタフェースから携帯電子装置へ送信される。そして、携帯電子装置においては、第 2送受信ィンタフェースにより照合用生体特徴デー夕を受信すると、その照合用生体特徴データと登録生体特徴データとが生体特徵デ —夕照合部により比較 ·照合される。その照合の結果、照合用生体特徴データが登録生体特徴データに対して所定の一致条件を満たしていれば、暗証番号が管理装置へ送信される。

このように、項目（1 -1 ) の個人認証システムによれば、照合用生体特徴デー夕と登録生体特徴データとの所定の一致を確認した後、携帯電子装置に保存されている暗証番号が管理装置に送信されるので、従来のごとくデータ処理装置において直接的に暗証番号をテンキーにて入力する必要がなくなり、且つ、暗証番号はデータ処理装置を通りすぎるだけとなる。これにより、暗証番号の入力時にその暗証番号が盗まれる危険性が大幅に減る。従って、デビットカードのごとく個人認証のために暗証番号を入力する処理を必要とするシステムにおいて、暗証番号入力と、盗難や模倣が不可能な生体情報を用いた個人認証とを連携させることができ、暗証番号の漏洩 '盗難が確実に防止され、高いセキュリティ性能が確保され、安全に個人認証を実施できるようになる。

項目（1-2) の個人認証システムでは、データ処理装置において、第 1暗号化部で公開鍵により暗号化された照合用生体特徴デー夕が携帯電子装置へ送信され、携帯電子装置においては、暗号化デ一夕を復号部で登録秘密鍵により復号して照合用生体特徴データを得てから、生体特徴データ照合部による比較 ·照合が行なわれる。つまり、照合用生体特徴データは、公開鍵方式により暗号化された後、データ処理装置から携帯電子装置へ送信され、個人認証時に携帯電子装置に入力されたデ一夕は、全て携帯電子装置内で復号される。従って、改竄された照合用生体特徴データの入力を行なうことができず、他人による成りすまし行為が困難になり、より高いセキュリティ性能が確保される。また、万一、偽の携帯電子装置（偽の I Cカード等）を使って照合用生体特徴データがトラップされたとしても、その照合用生体特徴データ（暗号化データ）を他のシステムに流用することが困難になる。従って、高いセキュリティ性能が確保され、安全に個人認証が実施される。

項目（1-3) の個人認証システムでは、携帯電子装置から外部へ送信されるデ一夕は、全て携帯電子装置内で暗号化される。つまり、暗証番号を携帯電子装置から管理装置へ送信する際には、第 2暗号化部で管理装置用公開鍵により暗号化される。従って、携帯電子装置から外部へ出力された暗証番号を盗んだとしても、その暗証番号は暗号化されているため、盗んだ暗証番号を再利用することは困難であり、より高いセキュリティ性能が確保される。

項目（1-4) の個人認証システムでは、データ処理装置の磁気データ読取部により、携帯電子装置の表面の記録部に記録された情報が読み取られ、その情報が、暗証番号とともに管理装置へ送信される。従って、携帯電子装置として、例えば、既存の磁気カードとしての機能（磁気ストライプ）も併せもつ I Cカードを利用する場合に、項目（1-4) の個人認証システムは対応することができる。

項目（1-5) の個人認証システムでは、データ処理装置において、照合用生体特徴データの抽出日時が、タイムスタンプとして生成され、照合用生体特徴デー夕に添付されて携帯電子装置へ送信され、携帯電子装置においては、照合用生体特徴データが登録生体特徴データに対して所定の一致条件を満たし、且つ、タイ (抽出日時）と現在時刻との時間差が所定範囲内であった場合に、認証対象者が携帯電子装置の所有者本人であると判断している。これにより、万一、データ処理装置から携帯電子装置へ送信される照合用生体特徴データがトラップされ、その後、トラップされた照合用生体特徴デ一夕を用いて携帯電子装置に対するリブレイ攻撃が行なわれたとしても、タイムスタンプ（抽出日時）と現在時刻との時間差が大きくなり、トラップされた照合用生体特徴デ一夕によるァクセスを拒絶することができ、より高いセキユリティ性能が確保される。

項目（1-6) の個人認証システムでは、携帯電子装置において、認証対象者が携帯電子装置の所有者本人であると判断した場合、暗証番号が、時計機能部によつて得られる照合日時（タイムスタンプ）とともに、第 2暗号化部で暗号化されてから管理装置へ送信される。これにより、万一、携帯電子装置から管理装置へ送信される暗証番号がトラップされ、その後、トラップされた暗証番号が使用されたとしても、管理装置において暗証番号に添付された照合日時を監視しておけば、照合日時（タイムスタンプ）と現在時刻との時間差に基づいて、暗証番号がトラップされたものであることを認識することができる。従って、トラップされた暗証番号によるアクセスを拒絶することができ、より高いセキユリティ性能が確保される。

項目（1-7) の個人認証システムでは、携帯電子装置が、第 2送受信インタフエースで所定の信号を受信すると、携帯電子装置に登録された所有者の公開鍵情報が外部へ送信される。これにより、データ処理装置が予め公開鍵を保持していなくても、携帯電子装置内部の公開鍵を利用することができる。

項目（1-8) の個人認証システムでは、携帯電子装置の生体特徴データ照合部による照合の結果、照合用生体特徴データが登録生体特徴デ一夕に対して所定の一致条件を満たしていない状態が所定の回数だけ連続して生じた場合、ロック機能部により、携帯電子装置への生体特徴データの入力がロックされる。これにより、不正なアクセスを確実に拒絶することができる。

項目（1-9) の個人認証システムでは、携帯電子装置の管理ログ記録部に、暗証番号の送信日時および処理内容の少なくとも一方を保存することにより、携帯電子装置の所有者自身が、システムとは別途の管理ログをもつことができるため、信用の低いシステムに対しての担保を得ることができる。

(2-1) 本発明の携帯電子装置は、個人認証を暗証番号により行なう管理装置とデータの送受信を行なうものであって、当該携帯電子装置の所有者についての登録生体特徴データを予め保存する生体特徴データ登録部と、外部とデータの送受信を行なう送受信インタフェースと、該送受信インタフェースにより外部から受信した認証対象者の照合用生体特徴データと前記登録生体特徴データとを比較 -照合する生体特徴データ照合部と、当該携帯電子装置の所有者についての喑証番号を予め保存する暗証番号登録部とをそなえ、該生体特徴デー夕照合部により、該送受信インタフェースにより受信された前記照合用生体特徴データと前記登録生体特徴データとを比較 ·照合し、その照合の結果、前記照合用生体特徵デ一夕が前記登録生体特徴データに対して所定の一致条件を満たしていれば、前記暗証番号を、該送受信ィン夕フェースから該管理装置へ送信することを特徴としている。

(2-2) このとき、公開鍵に対応した登録秘密鍵を予め保存する秘密鍵登録部と、前記公開鍵で暗号化された暗号化データを前記登録秘密鍵により復号する復号部とをそなえ、該送受信ィンタフエースにより受信された暗号化データを該復号部により復号した結果として前記照合用生体特徴データが得られると、該生体特徴データ照合部による比較 ·照合を行なってもよい。

(2-3) また、該管理装置用の公開鍵を予め保存する管理装置用公開鍵登録部と、前記暗証番号を該管理装置に送信する前に前記暗証番号を該管理装置用の公開鍵で暗号化する暗号化部とをそなえてもよい。

(2-4) さらに、該管理装置での処理に用いられる情報を磁気データとして記録される記録部を、当該携帯電子装置の表面にそなえてもよい。

(2-5) 現在時刻を算出する時計機能部と、該復号部により復号して得られた前記照合用生体特徴データに、その照合用生体特徴データの抽出日時を示すタイムスタンプが添付されている場合に、そのタイムスタンプと該時計機能部により算出された現在時刻とを比較 ·照合するタイムスタンプ照合部とをそなえ、該生体特徴データ照合部による照合の結果、前記照合用生体特徴データが前記登録生体特徴デ一夕に対して所定の一致条件を満たし、且つ、該タイムスタンプ照合部による照合の結果、前記タイムスタンプと前記現在時刻との時間差が所定範囲内であった場合に、前記認証対象者が当該携帯電子装置の所有者本人であると判断してもよい。

(2-6) 該生体特徴デー夕照合部および該タムスタンプ照合部による照合の結果、前記認証対象者が当該携帯電子装置の所有者本人であると判断した場合、前記暗証番号を、該時計機能部によって得られる照合日時とともに、該暗号化部により暗号化した後、該送受信ィンタフエースから外部へ送信してもよい。

(2-7) 該送受信インタフェースで所定の信号を受信すると、当該携帯電子装置に登録された前記所有者の公開鍵情報を、該送受信インタフェースから外部へ送信してもよい。

(2-8) 該生体特徴データ照合部による照合の結果、前記照合用生体特徴デー夕が前記登録生体特徴データに対して所定の一致条件を満たしていない状態が、所定の回数だけ連続して生じた場合には、生体特徴データの入力をロックする口ック機能部をそなえてもよい。

(2-9) 前記暗証番号の送信日時および処理内容の少なくとも一方を前記暗証番号の管理ログとして保存する管理ログ記録部をそなえてもよい。

上述した項目（2-1) の生体情報を用いた個人認証機能を有する携帯電子装置では、送受信インタフェースにより照合用生体特徴データを受信すると、その照合用生体特徴データと登録生体特徴データとが生体特徴データ照合部により比較'照合される。その照合の結果、照合用生体特徵デ一夕が登録生体特徴データに対して所定の一致条件を満たしていれば、暗証番号が管理装置へ送信される。このように、項目（2-1) の携帯電子装置によれば、照合用生体特徴データと登録生体特徴データとの所定の一致を確認した後、暗証番号が管理装置に送信されるので、従来のごとく直接的に暗証番号をテンキーにて入力する必要がなく、暗証番号の入力時にその暗証番号が盗まれる危険性が大幅に減る。従って、デビットカードのごとく個人認証のために暗証番号を入力する処理を必要とするシステムにおいて、暗証番号入力と、盗難や模倣が不可能な生体情報を用いた個人認証とを連携させることができ、暗証番号の漏洩 ·盗難が確実に防止され、高いセキユリティ性能が確保され、安全に個人認証を実施できるようになる。項目（2-2) の携帯電子装置では、受信した暗号化データを復号部で登録秘密鍵により復号した結果として照合用生体特徴デー夕が得られると、生体特徴デー夕照合部による比較 ·照合が行なわれる。つまり、照合用生体特徵デ一夕は、公開鍵方式により暗号化された後、携帯電子装置へ入力され、個人認証時に携帯電子装置に入力されたデータは、全て携帯電子装置内で復号される。従って、改竄された照合用生体特徴データの入力を行なうことができず、他人による成りすまし行為が困難になり、より高いセキュリティ性能が確保される。また、万一、偽の携帯電子装置（偽の I Cカード等）を使って照合用生体特徴データがトラップされたとしても、その照合用生体特徴データ（暗号化データ）を他のシステムに流用することが困難になる。従って、高いセキュリティ性能が確保され、安全に個人認証が実施される。

項目（2-3) の携帯電子装置では、外部へ送信されるデータは全て暗号化される。つまり、暗証番号を携帯電子装置から管理装置へ送信する際には、暗号化部で管理装置用公開鍵により暗号化される。従って、携帯電子装置から外部へ出力された暗証番号を盗んだとしても、その暗証番号は暗号化されているため、盗んだ暗証番号を再利用することは困難で、より高いセキュリティ性能が確保される。項目（2-4) の携帯電子装置では、管理装置での処理に用いられる情報を磁気データとして記録される記録部が表面に設けられている。これにより、携帯電子装置として、例えば、既存の磁気カードとしての機能（磁気ストライプ）も併せもつ I Cカードを利用する場合に、この携帯電子装置は対応することができる。項目（2- 5) の携帯電子装置では、生体特徴データ照合部による照合の結果、照合用生体特徴データが登録生体特徴データに対して所定の一致条件を満たし、且つ、タイムスタンプ照合部による照合の結果、タイムスタンプ（抽出日時）と現在時刻との時間差が所定範囲内であった場合に、認証対象者が携帯電子装置の所有者本人であると判断している。これにより、万一、携帯電子装置に入力される照合用生体特徴データがトラップされ、その後、トラップされた照合用生体特徵デ一夕を用いて携帯電子装置に対するリプレイ攻撃が行なわれたとしても、夕ィムスタンプ（抽出日時）と現在時刻との時間差が大きくなり、トラップされた照合用生体特徴データによるアクセスを拒絶することができ、より高いセキユリティ性能が確保される。

項目（2-6) の携帯電子装置では、認証対象者が携帯電子装置の所有者本人であると判断した場合、暗証番号が、時計機能部によって得られる照合日時（タイムスタンプ）とともに、暗号化部で暗号化されてから管理装置へ送信される。これにより、万一、携帯電子装置から管理装置へ送信される暗証番号がトラップされ、その後、トラップされた暗証番号が使用されたとしても、管理装置において暗証番号に添付された照合日時を監視しておけば、照合日時（タイムスタンプ）と現在時刻との時間差に基づいて、暗証番号がトラップされたものであることを認識することができる。従って、トラップされた暗証番号によるアクセスを拒絶することができ、より高いセキュリティ性能が確保される。

項目（2-7) の携帯電子装置では、所定の信号を受信すると、予め登録された所有者の公開鍵情報が外部へ送信される。これにより、外部の装置が予め公開鍵を保持していなくても、携帯電子装置内部の公開鍵を利用することができる。項目（2-8) の携帯電子装置では、生体特徵デ一夕照合部による照合の結果、照合用生体特徴デ一夕が登録生体特徴デー夕に対して所定の一致条件を満たしていない状態が所定の回数だけ連続して生じた場合、ロック機能部により、携帯電子装置への生体特徴デ一夕の入力がロックされる。これにより、不正なアクセスを確実に拒絶することができる。

項目（2- 9) の携帯電子装置では、管理ログ記録部に、暗証番号の送信日時および処理内容の少なくとも一方を保存することにより、携帯電子装置の所有者自身が、システムとは別途の管理ログをもつことができるため、信用の低いシステムに対しての担保を得ることができる。

(3-1) 一方、本発明の個人認証システムは、携帯電子装置と、該携帯電子装置を装着され該携帯電子装置に対する直接的なアクセスを行なうデータ処理装置とをそなえてなるものであって、

該データ処理装置に、認証対象者の生体情報を計測する生体情報計測部と、該生体情報計測部により計測された生体情報から照合用生体特徴データを抽出する生体特徴データ抽出部と、前記照合用生体特徴データを公開鍵で暗号化する第 1暗号化部と、該データ処理装置と該携帯電子装置との間でのデータの送受信を行なう第 1送受信インタフェースとをそなえるとともに、

該携帯電子装置に、当該携帯電子装置の所有者についての登録生体特徴デー夕を予め保存する生体特徴デ一夕登録部と、該携帯電子装置と該デー夕処理装置との間でのデータの送受信を行なう第 2送受信ィン夕フェースと、該第 2送受信イン夕フェースにより外部から受信した照合用生体特徴データと前記登録生体特徴データとを比較 ·照合する生体特徴データ照合部と、前記公開鍵に対応した登録秘密鍵を予め保存する秘密鍵登録部と、前記公開鍵で暗号化された暗号化デー夕を前記登録秘密鍵により復号する復号部とをそなえ、

該第 1暗号化部によって暗号化された前記照合用生体特徴データを該第 1送受信インタフェースから該携帯電子装置へ送信し、該第 2送受信インタフェースにより受信された暗号化デー夕を該復号部により復号して前記照合用生体特徵デ一夕を得てから、該生体特徴データ照合部により、前記照合用生体特徴データと前記登録生体特徴データとを比較 ·照合することを特徴としている。

(3-2) 該データ処理装置に、該生体特徴データ抽出部により前記照合用生体部をそなえ、前記タイムスタンプを、前記照合用生体特徴デ一夕とともに該第 1 暗号化部によつて暗号化して該第 1送受信ィン夕フェースから該携帯電子装置へ送信する一方、

該携帯電子装置に、現在時刻を算出する時計機能部と、該復号部により復号して得られた前記タイムスタンプと該時計機能部により算出された現在時刻とを比較 -照合するタイムスタンプ照合部とをそなえ、該生体特徴データ照合部による照合の結果、前記照合用生体特徴データが前記登録生体特徴データに対して所定の一致条件を満たし、且つ、該タイムスタンプ照合部による照合の結果、前記夕ィムスタンプと前記現在時刻との時間差が所定範囲内であった場合に、前記認証対象者が該携帯電子装置の所有者本人であると判断してもよい。

(3-3) 該携帯電子装置に、当該携帯電子装置の所有者にかかる所有者情報を予め保存する所有者情報登録部と、該第 2送受信インタフェースから該デ一夕処理装置へ送信するデータを前記登録秘密鍵で暗号化する第 2暗号化部とをそなえ、該生体特徵デ一夕照合部および該タイムスタンプ照合部による照合の結果、前記認証対象者が該携帯電子装置の所有者本人であると判断した場合、前記所有者情報と、前記照合の時に得られる、前記照合用生体特徴データの前記登録生体特徴データに対する一致率と、該時計機能部によって得られる照合日時とのうちの少なくとも一つを、該第 2暗号化部により暗号化した後、該第 2送受信イン夕フエースから該データ処理装置へ照合結果として送信してもよい。

(3-4) 該データ処理装置に、該携帯電子装置への転送データを所定の一方向関数に入力にして得られる値をメッセージダイジェストとして生成するメッセ一ジダイジェスト生成部をそなえ、前記メッセージダイジェストを、前記照合用生体特徴データとともに該第 1暗号化部によつて暗号化して該第 1送受信ィン夕フエースから該携帯電子装置へ送信する一方、該携帯電子装置においては、該生体特徴データ照合部および該タイムスタンプ照合部による照合の結果、前記認証対象者が該携帯電子装置の所有者本人であると判断した場合、該復号部により復号して得られた前記メッセージダイジェストを、該第 2暗号化部により暗号化した後、該第 2送受信ィン夕フェースから該データ処理装置へ照合結果として送信してもよい。

(3-5) 該携帯電子装置に、前記照合結果を照合ログとして所定の期間だけ保存する照合口グ記録部をそなえてもよい。

(3-6) 該携帯電子装置が、該第 2送受信イン夕フェースで所定の信号を受信すると、該携帯電子装置に登録された前記所有者の公開鍵情報を、該第 2送受信インタフェースから外部へ送信してもよい。

(3-7) 該携帯電子装置の該生体特徴データ照合部による照合の結果、前記照合用生体特徴データが前記登録生体特徴データに対して所定の一致条件を満たしていない状態が、所定の回数だけ連続して生じた場合には、該携帯電子装置への生体特徵デ一夕の入力をロックするロック機能部をそなえてもよい。

上述した項目（3-1) の個人認証システムでは、データ処理装置において、生体情報計測部により認証対象者の生体情報が計測され、その生体情報から生体特徴デ一夕抽出部により照合用生体特徴データが抽出され、その照合用生体特徴デ一夕が、第 1暗号化部で公開鍵により暗号化された後、第 1送受信インタフエ一スから携帯電子装置へ送信される。そして、携帯電子装置においては、第 2送受信インタフェースにより受信された暗号化データが、復号部により照合用生体特徴デ一夕に復号されてから、その照合用生体特徴データと登録生体特徴データとが生体特徴データ照合部により比較 ·照合される。

このように、項目（3-1) の個人認証システムによれば、データ処理装置から携帯電子装置へ送信される照合用生体特徴デ一夕が公開鍵により暗号化されているので、万一、偽の携帯電子装置（偽の I Cカード等）を使って照合用生体特徴データがトラップされたとしても、その照合用生体特徴データ（暗号化データ）を他のシステムに流用することが困難になる。従って、高いセキュリティ性能が確保され、安全に個人認証が実施される。

項目（3- 2) の個人認証システムでは、データ処理装置において、照合用生体特徴デ一夕の抽出日時が、タイムスタンプとして生成され、照合用生体特徴デー夕に添付されて携帯電子装置へ送信され、携帯電子装置においては、照合用生体特徴データが登録生体特徴データに対して所定の一致条件を満たし、且つ、タイムスタンプ（抽出日時）と現在時刻との時間差が所定範囲内であった場合に、認証対象者が携帯電子装置の所有者本人であると判断している。これにより、万一、データ処理装置から携帯電子装置へ送信される照合用生体特徵デ一夕がトラップされ、その後、トラップされた照合用生体特徴データを用いて携帯電子装置に対するリブレイ攻撃が行なわれたとしても、タイムスタンプ（抽出日時）と現在時刻との時間差が大きくなり、トラップされた照合用生体特徴デ一夕によるァクセスを拒絶することができ、より高いセキュリティ性能が確保される。

項目（3-3) の個人認証システムでは、携帯電子装置において、認証対象者が携帯電子装置の所有者本人であると判断した場合、所有者情報（アカウント番号等）と、照合用生体特徴データの登録生体特徴データに対する一致率と、照合日時（タイムスタンプ）とのうちの少なくとも一つが、第 2暗号化部で秘密鍵により暗号化した後、データ処理装置へ照合結果として送信される。つまり、認証結果に関しての情報が秘密鍵で暗号化されるので、認証結果の発行元の証明を行なうことができる。同時に、照合日時（タイムスタンプ）を認証結果の中に入れ込むことで、生体特徴データの認証結果が偽造 ·改竄されるのを確実に防止するこができる。従って、携帯電子装置内で生体特徴データを照合した結果を外部に出力する際にも、高いセキュリティ性能が確保され、安全に個人認証が実施されるのである。また、生体特徴データの照合により得られた一致率を照合結果として出力することにより、その照合結果の確からしさについての記録を管理することができる。

項目（3- 4) の個人認証システムでは、データ処理装置において、携帯電子装置への転送データについてのメッセ一ジダイジエストが生成され、そのメッセ一ジダイジェストが、照合用生体特徴デー夕とともに第 1暗号化部によつて暗号化され第 1送受信インタフェースから携帯電子装置へ送信され、携帯電子装置においては、認証対象者が携帯電子装置の所有者本人であると判断された場合、復号部で復号して得られた、電子伝票等のメッセージダイジェストが、再び、第 2喑号化部で秘密鍵により暗号化された後、データ処理装置へ照合結果として送信される。これにより、項目（3-3) の個人認証システムと同様の作用効果が得られるほか、メッセージダイジェストが照合結果として出力されるので、どの処理に対して認証を行なったかの記録を管理することができる。

項目（3-5) の個人認証システムでは、携帯電子装置の照合ログ記録部に、照合結果が照合ログとして所定の期間だけ保存されるので、携帯電子装置内に、所有者の照合行為の記録を保持することができる。

項目（3- 6) の個人認証システムでは、携帯電子装置が、第 2送受信インタフエースで所定の信号を受信すると、携帯電子装置に登録された所有者の公開鍵情報が外部へ送信される。これにより、データ処理装置が予め公開鍵を保持していなくても、携帯電子装置内部の公開鍵を利用することができる。

項目（3-7) の個人認証システムでは、携帯電子装置の生体特徴データ照合部による照合の結果、照合用生体特徵デ一夕が登録生体特徴デ一夕に対して所定の一致条件を満たしていない状態が所定の回数だけ連続して生じた場合、ロック機能部により、携帯電子装置への生体特徴データの入力がロックされる。これにより、不正なアクセスを確実に拒絶することができる。

(4-1) 本発明の携帯電子装置は、生体情報を用いた個人認証機能を有するものであって、当該携帯電子装置の所有者についての登録生体特徴データを予め保存する生体特徴データ登録部と、外部とデータの送受信を行なう送受信- エースと、該送受信インタフェースにより外部から受信した認証対象者の照合用生体特徴データと前記登録生体特徴デ一夕とを比較 ·照合する生体特徴データ照合部と、公開鍵に対応した登録秘密鍵を予め保存する秘密鍵登録部と、前記公開鍵で暗号化された暗号化データを前記登録秘密鍵により復号する復号部とをそなえ、該送受信イン夕フェースにより受信された暗号化データを該復号部により復号した結果として前記照合用生体特徴デ一夕が得られると、該生体特徴データ照合部により、前記照合用生体特徴データと前記登録生体特徴データとを比較 ·照合することを特徴としている。

(4-2) 現在時刻を算出する時計機能部と、該復号部により復号して得られた前記照合用生体特徴デ一夕に、その照合用生体特徴データの抽出日時を示すタイムスタンプが添付されている場合に、そのタイムスタンプと該時計機能部により算出された現在時刻とを比較 ·照合するタイムスタンプ照合部とをそなえ、該生体特徴データ照合部による照合の結果、前記照合用生体特徴データが前記登録生体特徴データに対して所定の一致条件を満たし、且つ、該タイムスタンプ照合部による照合の結果、前記タイムスタンプと前記現在時刻との時間差が所定範囲内であった場合に、前記認証対象者が当該携帯電子装置の所有者本人であると判断してもよい。

(4-3) 当該携帯電子装置の所有者にかかる所有者情報を予め保存する所有者情報登録部と、該送受信イン夕フェースから該データ処理装置へ送信するデータを前記登録秘密鍵で暗号化する暗号化部とをそなえ、該生体特徴データ照合部および該タイムスタンプ照合部による照合の結果、前記認証対象者が当該携帯電子装置の所有者本人であると判断した場合、前記所有者情報と、前記照合の時に得られる、前記照合用生体特徴データの前記登録生体特徴デー夕に対する一致率と、該時計機能部によって得られる照合日時とのうちの少なくとも一つを、該暗号化部により暗号化した後、該送受信インタフェースから該データ処理装置へ照合結果として送信してもよい。

(4-4) 該生体特徴データ照合部および該タイムスタンプ照合部による照合の結果、前記認証対象者が当該携帯電子装置の所有者本人であると判断した場合で、且つ、該復号部により復号して得られた前記照合用生体特徴データに、当該携帯電子装置への転送データを所定の一方向関数に入力にして得られるメッセージダイジエス卜が添付されている場合、そのメッセージダイジェストを、該暗号化部により暗号化した後、該送受信ィン夕フェースから該データ処理装置へ照合結果として送信してもよい。

(4-5) 前記照合結果を、照合ログとして所定の期間だけ保存する照合ログ記録部をそなえてもよい。

(4-6) 該送受信イン夕フェースで所定の信号を受信すると、当該携帯電子装置に登録された前記所有者の公開鍵情報を、該送受信インタフェースから外部へ送信してもよい。

(4-7) 該生体特徴データ照合部による照合の結果、前記照合用生体特徴デー夕が前記登録生体特徴データに対して所定の一致条件を満たしていない状態が、所定の回数だけ連続して生じた場合には、生体特徴データの入力をロックする口ック機能部をそなえてもよい。

上述した項目（4-1) の生体情報を用いた個人認証機能を有する携帯電子装置では、送受信インタフェースにより暗号化データを受信すると、その暗号化デ一夕を復号部により復号し、その結果として照合用生体特徵デ一夕が得られると、その照合用生体特徴デ一夕と登録生体特徴デ一タとが生体特徵デ一夕照合部により比較，照合される。

このように、項目（4-1) の携帯電子装置によれば、外部から入力される照合用生体特徵デ一夕が暗号化されているので、万一、偽の携帯電子装置（偽の I C カード等）を使って照合用生体特徴データがトラップされたとしても、その照合用生体特徴データ（暗号化データ）を他のシステムに流用することが困難になる。従って、高いセキュリティ性能が確保され、安全に個人認証が実施される。

項目（4-2) の携帯電子装置では、照合用生体特徵デ一夕の抽出日時を示す夕ィムスタンプが添付されている場合、照合用生体特徴データが登録生体特徴デ一夕に対して所定の一致条件を満たし、且つ、タイムスタンプ（抽出日時）と現在時刻との時間差が所定範囲内であれば、認証対象者が携帯電子装置の所有者本人であると判断している。これにより、万一、携帯電子装置に入力される照合用生体特徴データがトラップされ、その後、トラップされた照合用生体特徴データを用いて携帯電子装置に対するリプレイ攻撃が行なわれたとしても、タイムスタンプ（抽出日時）と現在時刻との時間差が大きくなり、トラップされた照合用生体特徴デ一夕によるアクセスを拒絶することができ、より高いセキュリティ性能が確保される。

項目（4-3) の携帯電子装置では、認証対象者が携帯電子装置の所有者本人であると判断した場合、所有者情報（アカウント番号等）と、照合用生体特徴デー夕の登録生体特徴データに対する一致率と、照合日時（タイムスタンプ）とのうちの少なくとも一つが、暗号化部で秘密鍵により暗号化した後、外部へ照合結果として送信される。つまり、認証結果に関しての情報が秘密鍵で暗号化されるので、認証結果の発行元の証明を行なうことができる。同時に、照合日時（タイムスタンプ）を認証結果の中に入れ込むことで、生体特徴データの認証結果が偽造 · 改竄されるのを確実に防止するこができる。従って、携帯電子装置内で生体特徴データを照合した結果を外部に出力する際にも、高いセキュリティ性能が確保され、安全に個人認証が実施されるのである。また、生体特徴データの照合により得られた一致率を照合結果として出力することにより、その照合結果の確からしさについての記録を管理することができる。

項目（4-4) の携帯電子装置では、認証対象者が携帯電子装置の所有者本人であると判断された場合で、且つ、照合用生体特徴データにメッセ一ジダイジエス卜が添付されている場合、そのメッセージダイジェストが、暗号化部で秘密鍵により暗号化された後、外部へ照合結果として送信される。これにより、項目（4-3) の携帯電子装置と同様の作用効果が得られるほか、メッセージダイジェストを照合結果として出力することにより、どの処理に対して認証を行なったかの記録を管理することができる。

項目（4-5) の携帯電子装置では、照合ログ記録部に、照合結果が照合ログとして所定の期間だけ保存されるので、携帯電子装置内に、所有者の照合行為の記録を保持することができる。

項目（4- 6) の携帯電子装置では、所定の信号を受信すると、予め登録された所有者の公開鍵情報が外部へ送信される。これにより、外部の装置が予め公開鍵を保持していなくても、携帯電子装置内部の公開鍵を利用することができる。項目（4-7) の携帯電子装置では、生体特徴データ照合部による照合の結果、照合用生体特徴データが登録生体特徴データに対して所定の一致条件を満たしていない状態が所定の回数だけ連続して生じた場合、ロック機能部により、携帯電子装置への生体特徴データの入力がロックされる。これにより、不正なアクセスを確実に拒絶することができる。図面の簡単な説明

図 1は本発明の第 1実施形態としての個人認証システムの構成を示すプロック図である。

図 2は第 1実施形態の動作を説明するためのフローチヤ一トである。

図 3は本発明の第 1実施形態の第 1変形例としての個人認証システムの構成を示すブロック図である。

図 4は第 1実施形態の第 1変形例の動作を説明するためのフローチャートである。

図 5は本発明の第 1実施形態の第 2変形例としての個人認証システムの構成を示すブロック図である。

図 6は第 1実施形態の第 2変形例の動作を説明するためのフローチャートである。

図 7は本発明の第 1実施形態の第 3変形例としての個人認証システムの構成を示すブロック図である。

図 8は第 1実施形態の第 3変形例の動作を説明するためのフローチヤ一卜である。

図 9は本発明の第 2実施形態としての個人認証システムの構成を示すブロック図である。

図 1 0は第 2実施形態の動作を説明するためのフローチャートである。

図 1 1は本発明の第 2実施形態の第 1変形例としての個人認証システムの構成を示すブロック図である。

図 1 2は第 2実施形態の第 1変形例の動作を説明するためのフローチャートである。図 1 3は本発明の第 2実施形態の第 2変形例としての個人認証システムの構成を示すブロック図である。

図 1 4は第 2実施形態の第 2変形例の動作を説明するためのフローチヤ一トである。

図 1 5は本発明の第 2実施形態の第 3変形例としての個人認証システムの構成を示すブロック図である。

図 1 6は第 2実施形態の第 3変形例の動作を説明するためのフローチャートである。発明を実施するための最良の形態

以下、図面を参照して本発明の実施の形態を説明する。

c o] 本発明の実施形態の概略説明

本発明の第 1実施形態では、携帯電子装置が、例えばデビットカードとしての機能を有する I Cカードである場合について説明する。つまり、第 1実施形態の個人認証システムは、個人認証のために暗証番号を入力する処理を必要とするものであり、第 1実施形態では、暗証番号入力と盗難や模倣が不可能な生体情報を用いた個人認証とを連携させることにより、暗証番号の漏洩 ·盗難を確実に防止し、高いセキュリティ性能を確保して、安全に個人認証を実施できるようにしている。

より具体的に説明すると、 I Cカードには、その I Cカードの所有者についての生体情報から抽出された生体特徴データを、登録生体特徴データとして予め登録 -保存しておく。そして、照合用生体特徴データと登録生体特徴データとが所定の条件を満たして一致した場合に、 I Cカード内部に保存している暗証番号をインタフェースを通してホストコンピュータ（管理装置）に出力する。

従って、デビットカードのような用途では、 I Cカード内で生体情報による本人確認を行なった後に、暗証番号を I Cカードからホストコンピュータに直接的に送信するため、店員の目の前で暗証番号を入力する必要がなく、暗証番号を盗用される機会が減ることになる。この際、暗証番号をホストコンピュータ側の公開鍵により暗号化して送信することで、送信される暗証番号の安全性をより向上することができる。さらに、暗証番号と一緒にタイムスタンプ（照合日時）を暗号化することで、万一、暗証番号を送信時に盗まれた場合でも、盗まれた喑証番号の再利用を確実に防ぐことができる。

一方、本発明の第 2実施形態は、携帯電子装置（本実施形態では I Cカード）と、この携帯電子装置を装着され携帯電子装置に対する直接的なアクセスを行なう外部データ処理装置（本実施形態では I Cカードターミナル）との間でのデー夕の送受信を行なうに際して、公開鍵方式を適用することにより、携帯電子装置に照合用生体特徴データを入力する際にも、且つ、携帯電子装置内で生体特徴デ —夕を照合した結果を外部に出力する際にも、高いセキュリティ性能を確保して、安全に個人認証を実施できるようにしている。

より具体的に説明すると、第 2実施形態においても、 I Cカードには、その I

Cカードの所有者についての生体情報から抽出された生体特徴データを、登録生体特徴データとして予め登録 ·保存しておく。 I Cカードの利用者（所有者）は、自分の生体情報を I Cカードターミナルで入力し、 I Cカードターミナルで処理され生体情報から抽出された照合用生体特徴データは、 I Cカードターミナルから I Cカードに入力される。その際、照合用生体特徴デ一夕は、公開鍵で暗号化されてから、 I Cカードに送信される。

そして、 I Cカードターミナルからの照合用生体特徴データと登録生体特徴デ一夕とが所定の条件を満たして一致した場合、 I Cカードは、照合用生体特徴デ一夕に添付されたメッセージダイジェストや、生体特徴データの照合結果（一致率）および照合日時や、所有者情報などをマージし登録秘密鍵で暗号化した後、その暗号化データを認証結果として I Cカードターミナルに返信する。

このように、第 2実施形態では、パスワードに頼らず生体情報による本人認証を用いることで、耐タンパ性の高い I Cカードに相応した本人認証技術を提供することができる。また、生体特徴データを、公開鍵方式を利用して暗号化し、 I

Cカードに送ることで、偽の生体特徴データを I Cカードが受け付けるのを防止している。

また、第 2実施形態では、 I Cカード内部での生体特徴データの認証結果（照合結果）を、 I Cカード内に記憶した登録秘密鍵で暗号化して外部に出力するほか、照合時に I cカード内の登録生体特徴データが外部に出ることがなく、外部からの照合結果を I Cカードに入力することもない。従って、成りすましを行なわれる可能性を確実に低くすることができる。

なお、照合結果を I Cカードから外部へ出力する際に、 I Cカード内部で P K I処理を行なって外部に出力したり、メッセージダイジェストの生成を行なって添付したりすれば、照合結果を改竄 ·偽造される可能性をより確実に低くすることができる。

〔1〕第 1実施形態の説明

図 1は本発明の第 1実施形態としての個人認証システムの構成を示すプロック図であり、図 1に示すように、第 1実施形態の個人認証システム 1 0 0は、デビットカードとしての機能を有する I Cカード（携帯電子装置） 3 0 0と、この I Cカード 3 0 0を装着され I Cカード 3 0 0に対する直接的なアクセスを行なう I Cカードターミナル（外部データ処理装置） 2 0 0と、この I Cカードターミナル 2 0 0を介して I Cカード 3 0 0に対するアクセスを行ない I C力一ド 3 0 0の所有者についての認証を暗証番号により行なうホストコンピュータ（管理装置） 4 0 0とをそなえてなる。

ここで、ホストコンピュータ 4 0 0は、例えば、 I Cカード 3 0 0をデビットカードとして利用する際に買物代金が引き落とされるべき預金口座がある銀行に属するものである。実際には、デビットカードは、外部データ処理装置、例えばデビットカード端末（ここでは I Cカードターミナル 2 0 0 ) と組み合わせて使用される。この外部データ処理装置は、ネットワークを介して預金残高管理等を行なうホストコンピュータ 4 0 0に接続されている。

I Cカードターミナル 2 0 0は、 I Cカード 3 0 0用のスロット（図示省略）を有しており、このスロットに I Cカード 3 0 0を差し込むと同時に、 I Cカードターミナル 2 0 0側の送受信インタフェース（第 1送受信インタフェース） 2 0 5と、 I Cカード 3 0 0側の送受信インタフェース（第 2送受信インタフエ一ス） 3 0 1とが接触し、 I Cカードターミナル 2 0 0と I Cカード 3 0 0との間でのデ一夕の送受信が行なわれるようになつている。なお、第 1実施形態では、送受信インタフェース 2 0 5 , 3 0 1が接触型である場合について説明するが、本発明は、これに限定されるものではなく、非接触型のインタフェースの使用も勿論可能である。

そして、 I Cカードターミナル 2 0 0は、生体情報計測部 2 0 1 , 生体特徴デ一夕抽出部 2 0 2，タイムスタンプ生成部 2 0 3，データ暗号化部（第 1暗号化部） 2 0 4および送受信インタフェース 2 0 5をそなえて構成されている。

生体情報計測部 2 0 1は、認証対象者（ I Cカード 3 0 0を I Cカードターミナル 2 0 0に差し込んだ利用者 I Cカード 3 0 0の所有者）の生体情報を計測 ·採取するものである。生体情報としては、指紋，虹彩，顔，網膜，血管パ夕ーン，掌形，署名，耳形状等の画像データを計測 ·採取して用いてもよいし、音声，キーストローク，動的署名等の時系列デ一夕を計測 ·採取して用いてもよい。例えば生体情報として指紋の画像データを計測 ·採取する場合には、生体情報計測部 2 0 1には、指紋入力面がそなえられ、この指紋入力面に認証対象者が指を当てることによって、その指の指紋が計測 ·採取されるようになっている。

生体特徴デ一夕抽出部 2 0 2は、生体情報計測部 2 0 1により計測された生体情報から照合用生体特徴デ一夕を抽出するものである。ここで、生体情報が指紋の画像データである場合、その指紋の画像デ一夕から抽出される生体特徴デ一夕は、例えば、指紋隆線の分岐点（特徴点）座標，端点（特徴点）座標，交差点座標，指紋中心座標，指紋三角州座標，指紋隆線方向，特徴点間の距離，指紋特徵点間の隆線本数などである。

タイムスタンプ生成部 2 0 3は、生体特徵デ一夕抽出部 2 0 2により照合用生体特徴データを抽出した日時をタイムスタンプとして生成するものである。

データ暗号化部 2 0 4は、生体特徴データ抽出部 2 0 2により抽出された照合用生体特徴データを、タイムスタンプ生成部 2 0 3からのタイムスタンプ（抽出日時）とともに、 I Cカード 3 0 0用の公開鍵で暗号化するものである。このとき、 I Cカード 3 0 0用の公開鍵は、 I Cカードターミナル 3 0 0に接続されたホストコンピュータ（図示省略；ホストコンピュータ 4 0 0とは異なるもの）、もしくは、 I Cカード 3 0 0に対して、特定の命令（所定の信号）を発行することで得られるようになつている。第 1実施形態では、後述するごとく、 I Cカード 3 0 0力 I Cカード 3 0 0用の公開鍵を保持しており、 I Cカードターミナル 2 0 0は、 I Cカード 3 0 0に対して特定の命令を発行することにより、公開鍵を得ている。

送受信イン夕フェース 2 0 5は、前述した通り、 I Cカード 3 0 0側の送受信インタフェース 3 0 1と接触して、 I Cカードターミナル 2 0 0と I Cカード 3 0 0との間でのデータの送受信を行なうほか、 I Cカードターミナル 2 0 0とホストコンピュータ 4 0 0との間でのデ一夕の送受信を行なうようにもなつている。第 1実施形態の I Cカード 3 0 0は、 R O M, R AM等の記憶部と、この記憶部に保存されたデータと外部からの信号とに基づいた処理を行なう C P U (Cent ral Process ing Uni t ) とを内蔵して構成され、送受信イン夕フェース 3 0 1，生体特徴データ登録部 3 0 2 , 秘密鍵登録部 3 0 3，時計機能部 3 0 4 , データ暗号化 Z復号部（第 2暗号化部、兼、復号部） 3 0 5，生体特報データ照合部 3 0 6 , タイムスタンプ照合部 3 0 7 , 暗証番号登録部 3 0 8 , 所有者情報登録部 3 0 9，照合ログ記録部 3 1 0 , I Cカード用公開鍵登録部 3 1 2および管理ログ記録部 3 1 7としての機能をそなえて構成されている。

送受信インタフェース 3 0 1は、前述した通り、 I Cカードターミナル 2 0 0側の送受信インタフェース 2 0 5と接触して、 I Cカードターミナル 2 0 0と

1 Cカード 3 0 0との間でのデ一夕の送受信を行なうものである。

生体特徵デ一夕登録部 3 0 2は、 I Cカード 3 0 0の所有者についての登録生体特徵デ一夕を予め保存するものである。この登録生体特徴データは、例えば、 I Cカード 3 0 0の発行時等に、その I Cカード 3 0 0を I Cカードターミナル

2 0 0のスロットに挿入した状態で、 I Cカードターミナル 2 0 0において、 I Cカード 3 0 0の所有者の生体情報（指紋の画像データ等）を採取し、その生体情報から登録生体特徴データを抽出する。そして、その登録生体特徴データを、

I Cカードターミナル 2 0 0から I Cカード 3 0 0内の生体特徴データ登録部 3 0 2に書き込んで登録する。

秘密鍵登録部 3 0 3は、 I Cカード 3 0 0用の公開鍵に対応した登録秘密鍵を予め保存するものであり、時計機能部 3 0 4は、現在時刻を算出するものである。

データ暗号化復号部 3 0 5は、送受信インタフェース 3 0 1により外部から受信した暗号化データを、秘密鍵登録部 3 0 3の登録秘密鍵により復号する復号部としての機能と、ホストコンピュータ 4 0 0に送信すべきデータをホストコンピュータ 4 0 0用の公開鍵で暗号化する暗号化部（第 2暗号化部）としての機能とを併せもつものである。ただし、第 1実施形態では、データ暗号化 Z復号部 3 0 5は復号部としてのみ機能し、その暗号化部としての機能は、第 1実施形態の第 1〜第 3変形例で用いられる。また、データ暗号化 Z復号部 3 0 5により復号される暗号化データは、後述するごとく、 I Cカード夕一ミナル 2 0 0から喑号化されて送信されてきた、照合用生体特徴デー夕やタイムスタンプ（抽出日時）である。

生体特報デ一夕照合部 3 0 6は、送受信インタフェース 3 0 1により外部から受信した照合用生体特徵デ一夕と、生体特徴データ登録部 3 0 2の登録生体特徵デ一夕とを比較 ·照合し、照合用生体特徴データが登録生体特徴データに対して所定の一致条件を満たしているか否かを判断するものである。ここで、所定の一致条件は、例えば照合用生体特徵デ一夕と登録生体特徴データとの一致率（一致度）が所定の値以上になっていることである。

タイムスタンプ照合部 3 0 7は、データ暗号化ノ復号部 3 0 5で復号して得られたタイムスタンプと、時計機能部 3 0 4により算出された現在時刻とを比較*照合し、その時間差が所定範囲内（例えば所定の値以下）であるか否かを判断するものである。

暗証番号登録部 3 0 8および所有者情報登録部 3 0 9はユーザ情報記憶部として機能するもので、暗証番号登録部 3 0 8には、 I Cカード 3 0 0をデビットカードとして利用する際に、従来、テンキーにより手入力されていた、ホストコンピュー夕 4 0 0にアクセスするために必要な暗証番号（パスワード）が予め登録 *保存されている。また、所有者情報登録部 3 0 9には、 I Cカード 3 0 0をデビットカードとして利用する際に買物代金が引き落とされるべき預金口座のァカウント番号（口座番号，利用者番号）が予め登録 ·保存されている。

照合ログ記録部 3 1 0は、生体特徴デ一夕照合部 3 0 2およびタイムスタンプ照合部 3 0 7による照合結果を、時計機能部 3 0 4により得られる照合日時とともに、照合ログとして所定の期間だけ保存するものである。 I Cカード用公開鍵登録部 3 1 2は、前述したように、 I Cカードターミナル 2 0 0のデータ暗号化部 2 0 4で照合用生体特徴データやタイムスタンプを喑号化する際に必要になる、 I Cカード 3 0 0用の公開鍵（所定の公開鍵情報）を予め登録 ·保存するものであり、この公開鍵登録部 3 1 2に保存された公開鍵は、送受信インタフェース 3 0 1で所定の信号（特定の命令）を受信すると、送受信インタフェース 3 0 1から I Cカード夕一ミナル 2 0 0 (またはホストコンピュ一夕 4 0 0 ) へ送信されるようになっている。

管理ログ記録部 3 1 7は、後述するごとく照合結果として暗証番号をホストコンピュータ 4 0 0へ送信した場合に、その暗証番号の送信日時および処理内容の少なくとも一方を暗証番号の管理ログとして保存するものである。

なお、上述した生体特徴データ登録部 3 0 2，秘密鍵登録部 3 0 3 , 喑証番号登録部 3 0 8，所有者情報登録部 3 0 9，照合ログ記録部 3 1 0 , I Cカード用公開鍵登録部 3 1 2および管理ログ記録部 3 1 7は、実際には、 I Cカード 3 0 0に内蔵される、 R O M, R AM等の記憶部により実現される。

また、上述した時計機能部 3 0 4 , データ暗号化 Z復号部 3 0 5，生体特報デ一夕照合部 3 0 6およびタイムスタンプ照合部 3 0 7は、実際には、 I Cカード 3 0 0に内蔵される C P Uにより実現される。

次に、上述のごとく構成された本発明の第 1実施形態としての個人認証システム 1 0 0の動作について、図 2に示すフローチャートに従って説明する。

I Cカード 3 0 0をデビットカードとして利用する際、 I Cカード 3 0 0の所有者（認証対象者）は、その I Cカード 3 0 0を I Cカードターミナル 2 0 0のスロットに差し込んでから、生体情報として例えば指紋の画像データが必要であれば、指を指紋入力面に当てる。

I Cカードターミナル 2 0 0においては、生体情報計測部 2 0 1により認証対象者の生体情報（指紋の画像データ）が計測され（ステップ S 1 1 )、その生体情報から生体特徵デ一夕抽出部 2 0 2により照合用生体特徴データが抽出されるとともに、その照合用生体特徴データの抽出日時（タイムスタンプ）が、タイムスタンプ生成部 2 0 3により生成され、照合用生体特徴データに添付される（ステツプ S 1 2 )。そして、照合用生体特徴データは、添付されたタイムスタンプとともに、デー夕暗号化部 2 0 4により、 I Cカード 3 0 0用の公開鍵で暗号化される（ステツプ S 1 3 )。このとき、 I Cカード 3 0 0用の公開鍵は、前述したように、 I C カード 3 0 0に対して特定の命令（所定の信号）を発行することにより、 I C力ード 3 0 0の I Cカード用公開鍵登録部 3 1 2から読み出され、 I Cカード 3 0 0から I Cカードターミナル 2 0 0へ送信される。ここで、 I Cカード 3 0 0から I Cカードターミナル 2 0 0へ送信される暗号化用鍵は、公開鍵であるので、単純な単純なコマンドで送信しても何ら問題は生じない。

この後、データ暗号化部 2 0 4で公開鍵により暗号化された照合用生体特徵デ —夕は、タイムスタンプとともに、送受信イン夕フェース 2 0 5から I Cカード 3 0 0へ転送 '送信される（ステップ S 1 4 )。

I Cカード 3 0 0においては、送受信インタフェース 3 0 1により暗号化デー夕を受信すると、その暗号化データをデータ暗号化 Z復号部 3 0 5で登録秘密鍵により復号し、照合用生体特徴データおよびタイムスタンプを得てから（ステツプ S 1 5 )、まず、照合用生体特徴データと登録生体特徵デ一夕とが生体特徴デ一夕照合部 3 0 6により比較 ·照合される（ステップ S 1 6 )。

その照合の結果、照合用生体特徴データと登録生体特徴データとの一致率（一致度）が所定の値以上でなければ（ステップ S 1 7の N Oルート）、認証対象者が I Cカード 3 0 0の所有者本人ではないと判断され（ステップ S 2 2 )、所定の対処（カードロック等）が成される。

一方、照合用生体特徴データと登録生体特徴データとの一致率（一致度）が所定の値以上であれば（ステップ S 1 7の Y E Sルート）、続いて、タイムスタンプ照合部 3 0 7により、データ暗号化/復号部 3 0 5で復号して得られたタイムスタンプと、時計機能部 3 0 4により算出された現在時刻とが比較 ·照合される (ステップ S 1 8 )。

その照合の結果、タイムスタンプ（抽出日時）と現在時刻との時間差が所定の値以下でなければ（ステップ S 1 9の N Oルート）、認証対象者が I Cカード 3 0 0の所有者本人ではないと判断され（ステップ S 2 3 )、所定の対処（カードロック等）が成される。これに対し、タイムスタンプ（抽出日時）と現在時刻との時間差が所定の値以下であれば（ステップ S 1 9の Y E Sルート）、認証対象者が I Cカード 3 0 0 の所有者本人であると判断され（ステップ S 2 0 )、暗証番号およびアカウント番号（利用者番号）が、それぞれ暗証番号登録部 3 0 8および所有者情報登録部 3 0 9から読み出され、認証結果（O K) として、送受信インタフェース 3 0 1 力、ら、 I Cカードターミナル 2 0 0の送受信インタフェース 2 0 5を経由させて、ホストコンピュータ 4 0 0へ出力 ·送信される（ステップ S 2 1 )。

これ以降は、所定のプロトコルに従って、 I Cカード 3 0 0とホストコンピュ一夕 4 0 0との間でデータの送受信が行なわれ、一般的なデビットカ一ドに対する処理と同様の処理が、ホストコンピュータ 4 0 0と I Cカード 3 0 0との間で行なわれる。このとき、 I Cカード夕一ミナル 2 0 0の送受信インタフェース 2

0 5は、ホストコンピュータ 4 0 0と I Cカード 3 0 0との間で送受信されるデ —夕を転送（スルー）するだけで、内部に取り込むことはない。また、ホストコンピュー夕 4 0 0は、アカウント番号と暗証番号を受け取り、その後、指示された金額を預金口座から他の口座に移す。その処理結果の通知手段としては、 I C カードターミナル 2 0 0において所定のシートに印刷する手段や、 I Cカード 3 0 0の内部にログとして書き込む手段などが挙げられる。

なお、第 1実施形態の I Cカード 3 0 0では、生体特徵デ一夕照合部 3 0 6およびタイムスタンプ照合部 3 0 7による照合結果（O KZN G等）が、時計機能部 3 0 4により得られる照合日時とともに、照合ログ記録部 3 1 0に所定の期間だけ保存されるほか、個人認証結果として暗証番号およびアカウント番号を送信した場合、その送信日時や処理内容が I Cカード 3 0 0の管理ログ記録部 3 1 7 に保存される。

このように、本発明の第 1実施形態としての個人認証システム 1 0 0によれば、照合用生体特徴データと登録生体特徴データとの所定の一致を確認した後、

1 Cカード 3 0 0に保存されている暗証番号およびアカウント番号がホストコンピュー夕 4 0 0に送信されるので、従来のごとく直接的に暗証番号をテンキーにて入力する必要がなくなり、且つ、暗証番号は I Cカードターミナル 2 0 0を通過するだけとなる。これにより、暗証番号の入力時にその暗証番号が盗まれる危険性が大幅に減る。

従って、 I Cカード 3 0 0をデビットカードとして利用する際に、暗証番号入力と、盗難や模倣が不可能な生体情報を用いた個人認証とを連携させることができ、暗証番号の漏洩 *盗難が確実に防止され、高いセキュリティ性能が確保され、安全に個人認証を実施できるようになる。

また、第 1実施形態の個人認証システム 1 0 0では、照合用生体特徴データは、公開鍵方式で暗号化された後、 I Cカードターミナル 2 0 0から I Cカード 3 0 0へ送信され、個人認証のために I Cカード 3 0 0に入力されたデータは、全て I Cカード 3 0 0内で復号される。従って、改竄された照合用生体特徴データの入力を行なうことができず、他人による成りすまし行為が困難になり、より高いセキュリティ性能が確保される。

万一、偽の I Cカード等を I Cカードターミナル 3 0 0に差し込まれ照合用生体特徴データが盗まれたとしても、その照合用生体特徵デ一夕は、公開鍵方式で暗号化されているので、他のシステムで流用 ·再利用することが困難になる。従つて、高いセキュリティ性能が確保され、安全に個人認証が実施される。

また、上述のようにして盗まれた照合用生体特徴データを用いて I Cカード 3 0 0に対するリプレイ攻撃を行なった場合、その照合用生体特徴デ一夕の抽出日時と現在時刻との時間差は必然的に大きくなる。第 1実施形態の個人認証システム 1 0 0では、このことを利用し、照合用生体特徴データの抽出日時（タイムスタンプ）と現在時刻との照合も行なうことにより、タイムスタンプ（抽出日時）と現在時刻との時間差が大きい場合には、その照合用生体特徴データによるァクセスが拒絶されるので、盗まれた照合用生体特徴データによるリブレイ攻撃が困難になって、より高いセキュリティ性能が確保される。

さらに、第 1実施形態の個人認証システム 1 0 0においては、 I Cカード 3 0 0が、送受信インタフェース 3 0 1で所定の信号（コマンド）を受信すると、 I Cカード用公開鍵登録部 3 1 2から公開鍵を読み出して外部へ送信しているので、 I Cカードターミナル 2 0 0 (もしくはホストコンピュータ 4 0 0等）が、 I Cカード 3 0 0用の公開鍵を保持していなくても、 I Cカード 3 0 0内部の公開鍵を利用して暗号化を行なうことができる。またさらに、第 1実施形態の個人認証システム 1 0 0では、 I Cカード 3 0 0の管理ログ記録部 3 1 7に、暗証番号やアカウント番号の送信日時および処理内容が保存されるので、 I Cカード 3 0 0の所有者自身が、システムとは別途の管理ログをもつことができ、信用の低いシステムに対しての担保を得ることがでさる。

さらにまた、第 1実施形態の個人認証システム 1 0 0では、 I Cカード 3 0 0の照合ログ記録部 3 1 0に、生体特徴データ照合部 3 0 6およびタイムスタンプ照合部 3 0 7による照合結果（O KZN G等）が照合ログとして所定の期間だけ保存されるので、 I Cカード 3 0 0内に、所有者の照合行為の記録を保持することができる。

なお、上述した第 1実施形態では、デビットカードとしての機能を有する I Cカード 3 0 0への適用例について説明したが、例えば、 I Cカードターミナル 2 0 0を I Cカードリーダに置き換えるとともに、ホストコンピュータ 4 0 0を P C (パーソナルコンピュータ）とすれば、本発明を、 P Cへのアクセスコントロールとして応用することも可能である。

〔 1 一 1〕第 1実施形態の第 1変形例の説明

図 3は本発明の第 1実施形態の第 1変形例としての個人認証システムの構成を示すブロック図である。なお、図中、既述の符号と同一の符号は、同一またはほぼ同一の部分を示しているので、その詳細な説明は省略する。

図 3に示すように、第 1実施形態の第 1変形例としての個人認証システム 1 0 O Aは、図 1に示した個人認証システム 1 0 0における I Cカード 3 0 0に、さらに以下のような機能を追加したものである。

つまり、個人認証システム 1 0 O Aは、個人認証システム 1 0 0の発展形であり、暗証番号およびアカウント番号を認証結果としてホストコンピュータ 4 0 0 に送信する際に、暗証番号およびアカウント番号をホストコンピュータ 4 0 0用の公開鍵で暗号化するとともに、その暗号化を行なう際にタイムスタンプ（照合日時）を暗証番号およびアカウント番号に添付している。

このため、個人認証システム 1 0 0 Aの I Cカード 3 0 0は、ホストコンビュ一夕 4 0 0用の公開鍵を予め保存するホストコンピュータ用公開鍵登録部（管理装置用公開鍵登録部） 3 1 1を有している。なお、ホストコンピュータ用公開鍵登録部 3 1 1は、実際には、 I Cカード 3 0 0に内蔵される、 R OM, R AM等の記憶部により実現される。

また、個人認証システム 1 0 O Aの I Cカード 3 0 0では、生体特徵デ一夕照合部 3 0 6およびタイムスタンプ照合部 3 0 7による照合の結果、認証対象者が携帯電子装置 3 0 0の所有者本人であると判断した場合、その照合日時を時計機能部 3 0 4により得て、その照合日時を、タイムスタンプとして、ホストコンビユー夕 4 0 0に送信すべき暗証番号およびアカウント番号に添付する機能がそなえられている。

そして、前述したデ一夕暗号化 Z復号部 3 0 5は、ホストコンピュータ 4 0 0 に送信すべき暗証番号およびアカウント番号を、タイムスタンプ（照合日時）とともに、ホストコンピュータ 4 0 0用の公開鍵で暗号化する機能を果たしている。

次に、上述のごとく構成された本発明の第 1実施形態の第 1変形例としての個人認証システム 1 0 O Aの動作について、図 4に示すフローチャートに従って説明する。なお、図 4において、図 2に示すステップと同一の処理を行なうステップには同一のステップ番号を付し、その詳細な説明は省略する。

ステップ S 2 0において認証対象者が I Cカード 3 0 0の所有者本人であると判断された場合、時計機能部 3 0 4により照合日時を得てから、その照合時間を、タイムスタンプとして、ホストコンピュータ 4 0 0に送信すべき暗証番号およびアカウント番号に添付する（ステップ S 3 1 )。

この後、暗証番号およびアカウント番号が、タイムスタンプ（照合日時）とともに、データ暗号化/復号部 3 0 5でホストコンピュータ 4 0 0用の公開鍵により暗号化された後（ステップ S 3 2 )、送受信インタフェース 3 0 1から、 I C カードターミナル 2 0 0の送受信インタフェース 2 0 5を経由してホストコンピユータ 4 0 0に送信 '転送される（ステップ S 3 3 )。

このように、本発明の第 1実施形態の第 1変形例としての個人認証システム 1 0 0 Aによれば、前述した第 1実施形態と同様の作用効果が得られるほか、 I C カード 3 0 0からホストコンピュータ 4 0 0へ送信される認証結果（暗証番号，アカウント番号，照合日時等）は、全て I Cカード 3 0 0内においてホストコンピュータ 4 0 0用の公開鍵により暗号化されているので、 I Cカード 3 0 0から外部へ出力された、暗証番号を含む認証結果が盗まれたとしても、盗んだ喑証番号を再利用することは困難であり、より高いセキュリティ性能が確保される。また、個人認証システム 1 0 O Aでは、ホストコンピュータ 4 0 0へ送信される認証結果には、照合時間がタイムスタンプも添付されている。このため、万一、 I Cカード 3 0 0からホストコンピュータ 4 0 0へ送信される認証結果（喑証番号）がトラップされ、その後、トラップされた暗証番号が使用されたとしても、ホストコンピュータ 4 0 0において暗証番号に添付された照合日時を監視しておけば、照合日時（タイムスタンプ）と現在時刻との時間差に基づいて、暗証番号がトラップされたものであることを認識することができる。

つまり、上述のようにして盗まれた暗証番号を用いてホストコンピュータ 4 0 0にアクセスした場合、その暗証番号に添付された照合日時と現在時刻との時間差は必然的に大きくなる。このことを利用し、ホストコンピュータ 4 0 0では、暗証番号がトラップされたものか否かを認識して、トラップされた暗証番号によるアクセスを拒絶することができるので、トラップされた暗証番号の再利用は困難になり、より高いセキュリティ性能が確保される。同データの再利用が困難になる。

〔 1 一 2〕第 1実施形態の第 2変形例の説明

図 5は本発明の第 1実施形態の第 2変形例としての個人認証システムの構成を示すブロック図である。なお、図中、既述の符号と同一の符号は、同一またはほぼ同一の部分を示しているので、その詳細な説明は省略する。

図 5に示すように、第 1実施形態の第 2変形例としての個人認証システム 1 0 0 Bは、図 3に示した個人認証システム 1 0 O Aにおける I Cカード夕一ミナル 2 0 0に、さらに以下のような機能（磁気データ読取部 2 0 6 ) を追加したものである。

つまり、第 1実施形態の第 2変形例では、アカウント番号（口座番号，利用者番号）等の所有者情報については、磁気カードと同様、 I Cカード 3 0 0表面の磁気ストライプ（記録部；図示省略）に磁気データとして予め記録しておくとともに、 I Cカードターミナル 2 0 0に、 I Cカード 3 0 0表面の磁気ストライプから磁気デ一夕を読み取るための磁気データ読取部 2 0 6がそなえられている。次に、上述のごとく構成された本発明の第 1実施形態の第 2変形例としての個人認証システム 1 0 0 Bの動作について、図 6に示すフローチャートに従って説明する。なお、図 6において、図 2および図 4に示すステップと同一の処理を行なうステップには同一のステップ番号を付し、その詳細な説明は省略する。個人認証システム 1 0 0 Bでは、 I Cカード 3 0 0をデビットカードとして利用すべく、 I Cカード 3 0 0の所有者（認証対象者）が、その I Cカード 3 0 0 を I Cカードターミナル 2 0 0のスロットに差し込んだ場合、まず最初に、磁気データ読取部 2 0 6により、 I Cカード 3 0 0表面の磁気ストライプから、磁気データつまりアカウント番号（口座番号，利用者番号）等の所有者情報が読み込まれる（ステップ S 1 0 )。

その後、ステップ S 2 0において認証対象者が I Cカード 3 0 0の所有者本人であると判断された場合、時計機能部 3 0 4により照合日時を得てから、その照合時間を、タイムスタンプとして、ホストコンピュータ 4 0 0に送信すべき暗証番号に添付する（ステップ S 3 1 ' )。

そして、暗証番号が、タイムスタンプ（照合日時）とともに、データ暗号化復号部 3 0 5でホストコンピュータ 4 0 0用の公開鍵により暗号化された後（ステツプ S 3 2 ' )、送受信インタフェース 3 0 1から I Cカードターミナル 2 0 0の送受信インタフェース 2 0 5を送られ、さらに、暗号化された暗証番号は、磁気ストライプから読み取られたアカウント番号（口座番号，利用者番号）とともに、送受信インタフェース 2 0 5からホストコンピュータ 4 0 0に送信 ·転送される（ステップ S 3 3 ' )。

なお、この変形例では、アカウント番号（口座番号，利用者番号）等の所有者情報を I Cカード 3 0 0表面の磁気ストライプに記録しているので、 I Cカード 3 0 0内の所有者情報登録部 3 0 9を省略してもよい。

このように、本発明の第 1実施形態の第 2変形例としての個人認証システム 1 0 0 Bによれば、前述した第 1実施形態の第 1変形例と同様の作用効果が得られるほか、携帯電子装置として、例えば、既存の磁気カードとしての機能（磁気ストライプ）も併せもつ I Cカードを利用する場合に、個人認証システム 1 0 0 Bは対応することができる。また、 I Cカードターミナル 2 0 0が既存の磁気力 —ドと I Cカードとのいずれにも対応することができるので、個人認証システム 1 0 0 Bにおいて既存の磁気カードと I Cカードとを併用することが可能になる。

[ 1 - 3 ] 第 1実施形態の第 3変形例の説明

図 7は本発明の第 1実施形態の第 3変形例としての個人認証システムの構成を示すブロック図である。なお、図中、既述の符号と同一の符号は、同一またはほぼ同一の部分を示しているので、その詳細な説明は省略する。

図 7に示すように、第 1実施形態の第 3変形例としての個人認証システム 1 0 0 Cは、図 5に示した個人認証システム 1 0 0 Bにおける I Cカード 3 0 0に、さらに以下のような機能（照合回数カウント部 3 1 3および I Cカードロック部 3 1 4 ) を追加したものである。

つまり、生体特徴データ照合部 3 0 6において照合用生体特徴デ一夕と登録生体特徴データとの照合を行ない、その照合結果が、所定の回数だけ連続して所定の一致率未満であった場合に、 I Cカード 3 0 0をロックする機能が I Cカード 3 0 0にそなえられている。

このため、個人認証システム 1 0 0 Aの I Cカード 3 0 0は、照合回数カウント部 3 1 3および I Cカードロック部 3 1 4としての機能を有している。これらの照合回数カウント部 3 1 3および I Cカードロック部（ロック機能部） 3 1 4 は、実際には、 I Cカード 3 0 0に内蔵される C P Uにより実現される。

ここで、照合回数カウント部 3 1 3は、生体特徴データ照合部 3 0 6において照合結果が所定の一致率未満となる照合が連続的に行なわれた場合に、その照合回数をカウントするものである。

また、 I Cカードロック部 3 1 4は、照合回数カウント部 3 1 3によるカウント値が所定の回数に達した場合に、 I Cカード 3 0 0への生体特徴データの入力をロックするものである。

次に、上述のごとく構成された本発明の第 1実施形態の第 3変形例としての個人認証システム 1 0 0 Cの動作について、図 8に示すフローチャートに従って説明する。なお、図 8において、図 2，図 4および図 6に示すステップと同一の処理を行なうステップには同一のステップ番号を付し、その詳細な説明は省略する。ステップ S 1 7において、照合用生体特徴データと登録生体特徴データとの一致率（一致度）が所定の値以上でないと判断された場合（ステップ S 1 7の N Oルート）、照合回数カウント部 3 1 3が 1だけカウントアップされ（ステツプ S 4 1 )、照合回数カウント部 3 1 3によるカウント値が所定の回数に達したか否かが判断される（ステップ S 4 2 )。

まだ所定の回数に達していない場合（ステップ S 4 2の N Oルート）、 I C力 —ド 3 0 0から I Cカードターミナル 2 0 0に対し、再度、生体情報を計測することを指示する信号（コマンド）が送られ、ステップ S 1 1〜S 1 7の処理が再度実行される。

一方、照合回数カウント部 3 1 3によるカウント値が所定の回数に達した場合 (ステップ S 4 2の Y E Sルート）、 I Cカードロック部 3 1 4により、 I C力 —ド 3 0 0への生体特徵デ一夕の入力がロックされる（ステップ S 4 3 )。

このように、本発明の第 1実施形態の第 3変形例としての個人認証システム 1 0 0 Cによれば、前述した第 1実施形態の第 2変形例と同様の作用効果が得られるほか、生体特徴データ照合部 3 0 6による照合の結果、照合用生体特徴デ一夕が登録生体特徴データに対して所定の一致条件を満たしていない状態が所定の回数だけ連続して生じた場合、 I Cカードロック部 3 1 4により、 I Cカード 3 0 0への生体特徴データの入力がロックされるため、不正なアクセスを確実に拒絶することができる。

〔2〕第 2実施形態の説明

図 9は本発明の第 2実施形態としての個人認証システムの構成を示すプロック図である。なお、図中、第 1実施形態で説明した既述の符号と同一の符号は、同一またはほぼ同一の部分を示している。

図 9に示すように、第 2実施形態の個人認証システム 5 0 0は、 I Cカード (携帯電子装置） 3 0 0と、この I Cカード 3 0 0を装着され I Cカード 3 0 0 に対する直接的なアクセスを行なう I Cカードターミナル（外部データ処理装置） 2 0 0とをそなえてなる。なお、第 2実施形態における I Cカード 3 0 0は、第 1実施形態のようなデビットカードとしての機能を有していてもよいし有していなくてもよい。さて、第 2実施形態における I Cカードターミナル 2 0 0は、第 1実施形態と同様、 I Cカード 3 0 0用のスロット（図示省略）を有しており、このスロットに I Cカード 3 0 0を差し込むと同時に、 I Cカードターミナル 2 0 0側の送受信インタフェース（第 1送受信インタフェース） 2 0 5と、 I Cカード 3 0 0側の送受信インタフェース（第 2送受信インタフェース） 3 0 1とが接触し、 I C カードターミナル ₂ 0 0と I Cカード 3 0 0との間でのデータの送受信が行なわれるようになっている。なお、第 2実施形態でも、送受信インタフェース 2 0 5，

3 0 1が接触型である場合について説明するが、本発明は、これに限定されるものではなく、非接触型のインタフェースの使用も勿論可能である。

そして、 I Cカードターミナル 2 0 0は、生体情報計測部 2 0 1 , 生体特徴デ一夕抽出部 2 0 2，データ暗号化部（第 1暗号化部） 2 0 4および送受信イン夕フェース 2 0 5をそなえて構成されている。

生体情報計測部 2 0 1は、第 1実施形態と同様、認証対象者（ I Cカード 3

0 0を I Cカードターミナル 2 0 0に差し込んだ利用者 Z I Cカード 3 0 0の所有者）の生体情報を計測 ·採取するものである。生体特徴データ抽出部 2 0 2は、第 1実施形態と同様、生体情報計測部 2 0 1により計測された生体情報から照合用生体特徴データを抽出するものである。なお、生体情報や、この生体情報から抽出される生体特徴データとしては、第 1実施形態で説明したものと同様のものが用いられるので、ここでは、その説明は省略する。

データ暗号化部 2 0 4は、生体特徴データ抽出部 2 0 2により抽出された照合用生体特徴デ一夕を I Cカード 3 0 0用の公開鍵で暗号化するものである。このとき、第 1実施形態と同様、 I Cカード 3 0 0用の公開鍵は、 I Cカードターミナル 3 0 0に接続されたホストコンピュータ（図示省略；ホストコンピュータ

4 0 0とは異なるもの）、もしくは、 I Cカード 3 0 0に対して、特定の命令（所定の信号）を発行することで得られるようになつている。この第 2実施形態でも、

1 Cカード 3 0 0の I Cカード用公開鍵登録部 3 1 2が I Cカード 3 0 0用の公開鍵を保持しており、 I Cカードターミナル 2 0 0は、 I Cカード 3 0 0に対して特定の命令を発行することにより、公開鍵を得ている。

送受信インタフェース 2 0 5は、前述した通り、 I Cカード 3 0 0側の送受信イン夕フェース 3 0 1と接触して、 I Cカードターミナル 2 0 0と I Cカード 3 0 0との間でのデータの送受信を行なうようになっている。

第 2実施形態の I Cカード 3 0 0も、第 1実施形態と同様、 R OM, R AM等の記憶部と、この記憶部に保存されたデ一夕と外部からの信号とに基づいた処理を行なう C P Uとを内蔵して構成され、送受信インタフェース 3 0 1 , 生体特徴デ一夕登録部 3 0 2 , 秘密鍵登録部 3 0 3，データ暗号化 Z復号部（第 2暗号化部、兼、復号部） 3 0 5，生体特報データ照合部 3 0 6および I Cカード用公開鍵登録部 3 1 2としての機能をそなえて構成されている。

送受信インタフェース 3 0 1は、前述した通り、 I Cカードターミナル 2 0 0側の送受信インタフェース 2 0 5と接触して、 I Cカードターミナル 2 0 0と I Cカード 3 0 0との間でのデータの送受信を行なうものである。

生体特徴デ一夕登録部 3 0 2は、 I Cカード 3 0 0の所有者についての登録生体特徵デ一夕を予め保存するものである。この登録生体特徴データは、例えば I Cカード 3 0 0の発行時等に、第 1実施形態と同様にして生体特徴データ登録部 3 0 2に予め登録される。

秘密鍵登録部 3 0 3は、第 1実施形態と同様、 I Cカード 3 0 0用の公開鍵に対応した登録秘密鍵を予め保存するものである。

データ暗号化 Z復号部 3 0 5は、送受信インタフェース 3 0 1により外部から受信した暗号化データを、秘密鍵登録部 3 0 3の登録秘密鍵により復号する復号部としての機能と、 I Cカードターミナル 2 0 0に送信すべきデータを、秘密鍵登録部 3 0 3の登録秘密鍵により暗号化する暗号化部（第 2暗号化部）としての機能とを併せもつものである。ただし、第 2実施形態では、デ一夕暗号化復号部 3 0 5は復号部としてのみ機能し、その暗号化部としての機能は、第 2実施形態の第 2および第 3変形例で用いられる。また、データ暗号化復号部 3 0 5 により復号される暗号化データは、後述するごとく、 I Cカードターミナル 2 0 0から暗号化されて送信されてきた、照合用生体特徴データである。

生体特報データ照合部 3 0 6は、第 1実施形態と同様、送受信イン夕フエ一ス 3 0 1により外部から受信した照合用生体特徴データと、生体特徴デ一夕登録部 3 0 2の登録生体特徴データとを比較 ·照合し、所定の一致条件を満たしているか否か、即ち、照合用生体特徴データと登録生体特徴データとの一致率が所定の値以上になっているか否かを判断するものである。

I Cカード用公開鍵登録部 3 1 2は、前述したように、 I Cカードターミナル 2 0 0のデータ暗号化部 2 0 4で照合用生体特徴データを暗号化する際に必要になる、 I Cカード 3 0 0用の公開鍵（所定の公開鍵情報）を予め登録 ·保存するものであり、この公開鍵登録部 3 1 2に保存された公開鍵は、送受信インタフエース 3 0 1で所定の信号（特定の命令）を受信すると、送受信インタフェース 3 0 1から I Cカードターミナル 2 0 0へ送信されるようになっている。

なお、上述した生体特徵デ一夕登録部 3 0 2，秘密鍵登録部 3 0 3および I Cカード用公開鍵登録部 3 1 2は、実際には、 I Cカード 3 0 0に内蔵される、 R OM, R AM等の記憶部により実現される。

また、上述したデータ暗号化 Z復号部 3 0 5および生体特報データ照合部 3 0 6は、実際には、 I Cカード 3 0 0に内蔵される C P Uにより実現される。次に、上述のごとく構成された本発明の第 2実施形態としての個人認証システム 5 0 0の動作について、図 1 0に示すフローチャートに従って説明する。なお、図 1 0において、図 2 , 図 4，図 6および図 8に示すステップと同一の処理を行なうステップには同一のステツプ番号を付し、その詳細な説明は省略する。

I Cカード 3 0 0を使用する際、 I Cカード 3 0 0の所有者（認証対象者）は、その I Cカード 3 0 0を I Cカードターミナル 2 0 0のスロッ卜に差し込んでから、生体情報として例えば指紋の画像デ一夕が必要であれば、指を指紋入力面に当てる。

I Cカードターミナル 2 0 0においては、生体情報計測部 2 0 1により認証対象者の生体情報（指紋の画像データ）が計測され（ステップ S 1 1 )、その生体情報から生体特徴データ抽出部 2 0 2により照合用生体特徴データが抽出される (ステップ S 1 2 1 )。

そして、照合用生体特徴データは、データ暗号化部 2 0 4により、 I Cカード 3 0 0用の公開鍵で暗号化される（ステップ S 1 3 1 )。このとき、 I Cカード 3 0 0用の公開鍵は、前述したように、 I Cカード 3 0 0に対して特定の命令（所定の信号）を発行することにより、 I Cカード 3 0 0の I Cカード用公開鍵登録部 3 1 2から読み出され、 I Cカード 3 0 0から I Cカードターミナル 2 0 0へ送信される。ここで、 I Cカード 3 0 0から I Cカードターミナル 2 0 0へ送信される暗号化用鍵は、公開鍵であるので、単純な単純なコマンドで送信しても何ら問題は生じない。

この後、データ暗号化部 2 0 4で公開鍵により暗号化された照合用生体特徴デ一夕は、送受信イン夕フェース 2 0 5から I Cカード 3 0 0へ転送 ·送信される (ステップ S 1 4 1 )。

I Cカード 3 0 0においては、送受信インタフェース 3 0 1により暗号化デ一夕を受信すると、その暗号化データをデ一夕暗号化 Z復号部 3 0 5で登録秘密鍵により復号し、照合用生体特徴データを得てから（ステップ S 1 5 1 )、照合用生体特徴データと登録生体特徴データとが生体特徴データ照合部 3 0 6により比較*照合される（ステップ S 1 6 )。

一方、照合用生体特徴データと登録生体特徵デ一夕との一致率（一致度）が所定の値以上であれば（ステップ S 1 7の Y E Sルート）、認証対象者が I C力ード 3 0 0の所有者本人であると判断され（ステップ S 2 4 )、これ以降は、所定のプロトコルに従って、 I Cカード 3 0 0と I Cカードターミナル 2 0 0との間でデータの送受信が行なわれる。

このように、本発明の第 2実施形態としての個人認証システム 5 0 0によれば、照合用生体特徴データは、公開鍵方式で暗号化された後、 I Cカード夕一ミナル 2 0 0から I Cカード 3 0 0へ送信され、個人認証のために I Cカード 3 0 0に入力されたデータは、全て I Cカード 3 0 0内で復号される。従って、改竄された照合用生体特徴データの入力を行なうことができず、他人による成りすまし行為が困難になり、より高いセキュリティ性能が確保される。

万一、偽の I Cカード等を I Cカードターミナル 3 0 0に差し込まれ照合用生体特徴データが盗まれたとしても、その照合用生体特徴デ一夕は、公開鍵方式で暗号化されているので、他のシステムで流用 ·再利用することが困難になる。従つて、高いセキュリティ性能が確保され、安全に個人認証が実施される。

また、第 2実施形態の個人認証システム 5 0 0においても、 I Cカード 3 0 0が、送受信インタフェース 3 0 1で所定の信号（コマンド）を受信すると、 I Cカード用公開鍵登録部 3 1 2から公開鍵を読み出して外部へ送信しているので、 I Cカードターミナル 2 0 0が、 I Cカード 3 0 0用の公開鍵を保持していなくても、 I Cカード 3 0 0内部の公開鍵を利用して暗号化を行なうことができる。なお、上述した第 1実施形態では、携帯電子装置が I Cカードであり、デー夕処理装置が I Cカードターミナルである場合について説明したが、本発明を、 A T M (Automat ic Tel l er Mach ine) , クレジットカード端末， P Cアクセス等の分野にも上述と同様にして適用することが可能である。

〔2— 1〕第 2実施形態の第 1変形例の説明

図 1 1は本発明の第 2実施形態の第 1変形例としての個人認証システムの構成を示すブロック図である。なお、図中、既述の符号と同一の符号は、同一またはほぼ同一の部分を示しているので、その詳細な説明は省略する。

図 1 1に示すように、第 2実施形態の第 1変形例としての個人認証システム 5 0 O Aは、図 9に示した個人認証システム 5 0 0における I C力一ド夕一ミナル 2 0 0および I Cカード 3 0 0に、さらに以下のような機能を追加したものである。

つまり、 I Cカードターミナル 2 0 0には、生体特徵データ抽出部 2 0 2により照合用生体特徴データを抽出した日時をタイムスタンプとして生成するタイムスタンプ生成部 2 0 3がそなえられている。そして、データ暗号化部 2 0 4は、生体特徵デ一夕抽出部 2 0 2により抽出された照合用生体特徴データを、タイムスタンプ生成部 2 0 3からのタイムスタンプ（抽出日時）とともに、 I Cカード 3 0 0用の公開鍵で暗号化し、送受信インタフェース 2 0 5は、タイムスタンプを添付された状態で暗号化された照合用生体特徴データを I Cカード 3 0 0へ送信する。

また、 I Cカード 3 0 0には、時計機能部 3 0 4およびタイムスタンプ照合部 3 0 7がそなえられている。これらの時計機能部 3 0 4およびタイムスタンプ照合部 3 0 7としての機能は、実際には、 I Cカード 3 0 0に内蔵される C P Uにより実現される。

ここで、時計機能部 3 0 4は、現在時刻を算出するものであり、タイムスタンプ照合部 3 0 7は、データ暗号化ノ復号部 3 0 5で復号して得られたタイムス夕ンプと、時計機能部 3 0 4により算出された現在時刻とを比較 ·照合し、その時間差が所定範囲内（例えば所定の値以下）であるか否かを判断するものである。次に、上述のごとく構成された本発明の第 2実施形態の第 1変形例としての個人認証システム 5 0 O Aの動作について、図 1 2に示すフローチャートに従つて説明する。なお、図 1 2において、図 2に示すステップと同一の処理を行なうステップには同一のステップ番号を付す。図 1 2と図 2とを比較しても明らかなように、第 1実施形態では行なわれている、認証結果（利用者番号および喑証番号）の出力（ステップ S 2 1 ) を、第 2実施形態の第 1変形例では行なっていない点を除けば、第 1実施形態の動作と第 2実施形態の第 1変形例の動作とは、ほとんど同じである。

つまり、 I Cカード 3 0 0を使用する際、 I Cカード 3 0 0の所有者（認証対象者）は、その I Cカード 3 0 0を I Cカードターミナル 2 0 0のスロットに差し込んでから、生体情報として例えば指紋の画像データが必要であれば、指を指紋入力面に当てる。

I Cカードターミナル 2 0 0においては、生体情報計測部 2 0 1により認証対象者の生体情報（指紋の画像データ）が計測され（ステップ S 1 1 )、その生体情報から生体特徵デ一夕抽出部 2 0 2により照合用生体特徴データが抽出されるとともに、その照合用生体特徴データの抽出日時（タイムスタンプ）が、タイムスタンプ生成部 2 0 3により生成され、照合用生体特徵デ一夕に添付される（ステツプ S 1 2 )。

そして、照合用生体特徴データは、添付されたタイムスタンプとともに、デ一夕暗号化部 2 0 4により、 I Cカード 3 0 0用の公開鍵で暗号化された後（ステップ S 1 3 )、送受信ィン夕フェース 2 0 5から I C力一ド 3 0 0へ転送 ·送信される（ステップ S 1 4 )。

I Cカード 3 0 0においては、送受信インタフェース 3 0 1により暗号化デ一夕を受信すると、その暗号化データをデータ暗号化 Z復号部 3 0 5で登録秘密鍵により復号し、照合用生体特徴デ一夕およびタイムスタンプを得てから（ステツプ S 1 5 )、まず、照合用生体特徴データと登録生体特徴データとが生体特徴デ一夕照合部 3 0 6により比較 ·照合される（ステップ S 1 6 )。

一方、照合用生体特徴データと登録生体特徴データとの一致率（一致度）が所定の値以上であれば（ステップ S 1 7の Y E Sルート）、続いて、タイムスタンプ照合部 3 0 7により、デ一夕暗号化 Z復号部 3 0 5で復号して得られたタイムスタンプと、時計機能部 3 0 4により算出された現在時刻とが比較 ·照合される (ステップ S 1 8 )。

その照合の結果、タイムスタンプ（抽出日時）と現在時刻との時間差が所定の値以下でなければ（ステップ S 1 9の N Oルート）、認証対象者が I Cカード 3 0 0の所有者本人ではないと判断され（ステップ S 2 3 )、所定の対処（カードロック等）が成される。

これに対し、タイムスタンプ（抽出日時）と現在時刻との時間差が所定の値以下であれば（ステップ S 1 9の Y E Sルート）、認証対象者が I Cカード 3 0 0 の所有者本人であると判断され（ステップ S 2 0 )、これ以降は、所定のプロトコルに従って、 I Cカード 3 0 0と I Cカードターミナル 2 0 0との間でデータの送受信が行なわれる。

このように、本発明の第 2実施形態の第 1変形例としての個人認証システム 5 0 O Aによれば、前述した第 2実施形態と同様の作用効果が得られるほか、万一、 I Cカードターミナル 2 0 0から I Cカード 3 0 0へ送信される照合用生体特徴データがトラップされ、その後、トラップされた照合用生体特徴デ一夕を用いて I Cカード 3 0 0に対するリプレイ攻撃が行なわれたとしても、タイムス夕ンプ（抽出日時）と現在時刻との時間差が大きくなり、トラップされた照合用生体特徴データによるアクセスを拒絶することができ、より高いセキュリティ性能が確

保される。

つまり、第 1実施形態でも説明した通り、盗まれた照合用生体特徴データを用いて I Cカード 3 0 0に対するリプレイ攻撃を行なった場合、その照合用生体特徴データの抽出日時と現在時刻との時間差は必然的に大きくなる。第 2実施形態の第 1変形例の個人認証システム 5 0 O Aでは、このことを利用し、照合用生体特徴データの抽出日時（タイムスタンプ）と現在時刻との照合も行なうことにより、タイムスタンプ（抽出日時）と現在時刻との時間差が大きい場合には、その照合用生体特徴データによるアクセスが拒絶されるので、盗まれた照合用生体特徴デ一夕によるリプレイ攻撃が困難になって、より高いセキュリティ性能が確保されるのである。

〔2— 2〕第 2実施形態の第 2変形例の説明

図 1 3は本発明の第 2実施形態の第 2変形例としての個人認証システムの構成を示すブロック図である。なお、図中、既述の符号と同一の符号は、同一またはほぼ同一の部分を示しているので、その詳細な説明は省略する。

図 1 3に示すように、第 2実施形態の第 2変形例としての個人認証システム 5 0 0 Bは、図 1 1に示した個人認証システム 5 0 O Aにおける I C力一ド 3 0 0に、さらに以下のような機能を追加したものである。

個人認証システム 5 0 0 Bは、前述した個人認証システム 5 0 0や 5 0 O Aにおいて認証対象者が I Cカード 3 0 0の所有者本人であると判断された後（ステップ S 2 0の後）に行なわれる、 I Cカード 3 0 0から I Cカード夕一ミナル 2

0 0に対する認証結果の送信手法に工夫を施したものである。

そこで、第 2実施形態の第 2変形例における I Cカード 3 0 0には、所有者情報登録部 3 0 9がそなえられるほか、照合ログ記録部 3 1 0がそなえられている。これらの所有者情報登録部 3 0 9および照合ログ記録部 3 1 0は、実際には、

1 Cカード 3 0 0に内蔵される、 R O M, R AM等の記憶部により実現される。ここで、所有者情報登録部 3 0 9には、アカウント番号，口座番号，利用者番号等の所有者情報が予め登録 ·保存されている。

また、照合ログ記録部 3 1 0には、第 1実施形態と同様、生体特徴データ照合部 3 0 2およびタイムスタンプ照合部 3 0 7による照合結果が、時計機能部 3 0 4により得られる照合日時とともに、照合ログとして所定の期間だけ保存されるようになっている。

そして、個人認証システム 5 0 0 Bにおいて、前述したデータ暗号化復号部 3 0 5は、 I Cカードターミナル 2 0 0に送信すべきデ一夕を、タイムスタンプ（照合日時）とともに、秘密鍵登録部 3 0 3の登録秘密鍵により暗号化する機能を果たしている。

次に、上述のごとく構成された本発明の第 2実施形態の第 2変形例としての個人認証システム 5 0 0 Bの動作について、図 1 4に示すフローチャートに従つて説明する。

個人認証システム 5 0 0 Bにおいては、図 1 0や図 1 2に示すフローチヤ一トに従って認証対象者が I Cカード 3 0 0の所有者本人であると判断された後、即ち、ステップ S 2 0の後、 ①所有者情報登録部 3 0 9における利用者番号等の所有者情報と、 ②生体特徴デ一夕照合部 3 0 6によって得られた、照合用生体特徵デ一夕の登録生体特徴データに対する一致率と、 ③時計機能部 3 0 4によって得られる照合日時とを、認証データ（照合結果）としてマージする（ステップ S 5 1 )。

この後、その認証データを、データ暗号化復号部 3 0 5において、秘密鍵登録部 3 0 3の登録秘密鍵により暗号化してから（ステップ S 5 2 )、送受信インタフエース 3 0 1から I Cカードターミナル 2 0 0へ照合結果として送信する (ステップ S 5 3 )。

なお、第 2実施形態の I Cカード 3 0 0でも、生体特徴データ照合部 3 0 6 およびタイムスタンプ照合部 3 0 7による照合結果（O KZN G等）が、時計機能部 3 0 4により得られる照合日時とともに、照合ログとして、照合ログ記録部 3 1 0に所定の期間だけ保存される。なお、照合ログとしては、ステップ S 5 1 でマージされた認証データを照合ログ記録部 3 1 0に保存してもよい。

このように、本発明の第 2実施形態の第 2変形例としての個人認証システム 5 0 0 Bによれば、前述した第 2実施形態の第 1変形例と同様の作用効果が得られるほか、本人と確認後に照合結果として単純な O K Z N G信号で返すのではなく、所有者情報や照合時の一致率や照合日時を、 I Cカード 3 0 0内に保管している登録秘密鍵により暗号化したデータが、照合結果として、送受信イン夕フエ —ス 3 0 1を介して I Cカードターミナル 2 0 0へ送信される。

つまり、認証結果に関しての情報が秘密鍵で暗号化されて出力されるので、単純な O KZN G信号のような改竄をその情報に加えることが困難になるほか、認証結果の発行元の証明を行なうことができる。また、照合日時（タイムスタンプ）を認証結果の中に入れ込むことで、その認証結果を他のシステムへ流用することも困難であり、生体特徴データの認証結果が偽造 ·改竄されるのをより確実に防止するこができる。

従って、 I Cカード 3 0 0内で生体特徴データを照合した結果を外部に出力する際にも、高いセキュリティ性能が確保され、安全に個人認証が実施されるのである。このとき、生体特徴データの照合により得られた一致率を認証結果として返すことで、どのくらいの確からしさで本人であつたかの記録を管理することができる。

また、個人認証システム 5 0 0 Bでは、 I Cカード 3 0 0の照合ログ記録部 3 1 0に、生体特徴データ照合部 3 0 6およびタイムスタンプ照合部 3 0 7による照合結果（O KZN G等）、あるいは、ステップ S 5 1でのマージ結果が、照合ログとして所定の期間だけ保存されるので、 I Cカード 3 0 0内に、所有者の照合行為の記録を保持することができる。

〔 2— 3〕第 2実施形態の第 3変形例の説明

図 1 5は本発明の第 2実施形態の第 3変形例としての個人認証システムの構成を示すブロック図である。なお、図中、既述の符号と同一の符号は、同一またはほぼ同一の部分を示しているので、その詳細な説明は省略する。

図 1 5に示すように、第 2実施形態の第 3変形例としての個人認証システム 5 0 0 Cは、図 1 3に示した個人認証システム 5 0 0 Bにおける I Cカードターミナル 2 0 0および I C力一ド 3 0 0に、さらに以下のような機能を追加したものである。

つまり、 I Cカードターミナル 2 0 0には、電子伝票作成部 2 0 7およびメッセージダイジェスト生成部 2 0 8がそなえられている。電子伝票作成部 2 0 7は、照合用生体特徴データを I C力一ド 3 0 0に送信する際に、照合用生体特徴データに添付する電子伝票（転送データ）を作成するものであり、メッセージダイジェスト生成部 2 0 8は、電子伝票作成部 2 0 7により作成された電子伝票（転送デ一夕）を所定の一方向関数に入力にして得られる値（メッセージダイジェスト）を生成するものである。

そして、メッセージダイジエスト生成部 2 0 8によって生成されたメッセージダイジエストは、照合用生体特徴データとともにデータ暗号化部 2 0 4によって暗号化され、送受信イン夕フェース 2 0 5から I Cカード 3 0 0へ送信される。また、 I Cカード 3 0 0には、メッセージダイジェスト受け取り部 3 1 6としての機能がそなえられている。このメッセージダイジェスト受け取り部 3 1 6 は、データ暗号化復号部 3 0 5で復号して得られたメッセージダイジェストを受け取るものである。

次に、上述のごとく構成された本発明の第 2実施形態の第 3変形例としての個人認証システム 5 0 0 Bの動作について、図 1 6に示すフローチャートに従つて説明する。

個人認証システム 5 0 0 Cにおいては、図 1 0や図 1 2に示すフローチヤ一トに従って認証対象者が I Cカード 3 0 0の所有者本人であると判断された後、即ち、ステップ S 2 0の後、 ①所有者情報登録部 3 0 9における利用者番号等の所有者情報と、 ②生体特徴データ照合部 3 0 6によって得られた、照合用生体特徴データの登録生体特徴データに対する一致率と、 ③時計機能部 3 0 4によって得られる照合日時と、 ④メッセージダイジェスト受け取り部 3 1 6で受け取ったメッセージダイジェストとを、認証データ（照合結果）としてマージする（ステップ S 6 1 )。

この後、その認証データを、データ暗号化 Z復号部 3 0 5において、秘密鍵登録部 3 0 3の登録秘密鍵により暗号化してから（ステップ S 6 2 )、送受信イン夕フェース 3 0 1から I Cカードターミナル 2 0 0へ照合結果として送信する (ステップ S 6 3 )。

なお、ステップ S 6 1において、前述した①〜④のデ一夕に、さらに、 I C力ード 3 0 0内で生成した新たなメッセージダイジェストや、そのメッセージダイジェストに処理を許可した日時を付加 ·マージしてもよい。

このように、本発明の第 2実施形態の第 3変形例としての個人認 Kシステム 5 0 0 Cによれば、前述した第 2実施形態の第 2変形例と同様の作用効果が得られるほか、メッセージダイジェストを照合結果として I Cカードターミナル 2 0 0へ送信することにより、どの処理に対して認証を行なったかの記録を管理することができる。

なお、ステップ S 6 1において、前述した①〜④のデ一夕に、さらに、 I C カード 3 0 0内で生成した新たなメッセージダイジェストや、そのメッセ一ジダイジェストに処理を許可した日時を付加 ·マージしてもよく、この場合、照合結果を改竄 ·偽造される可能性をより確実に低くすることができる。

〔3〕その他

なお、第 2実施形態においても、第 1実施形態の第 3変形例と同様の照合回数カウント部 3 1 3および I Cカードロック部 3 1 4をそなえ、 I Cカード 3 0 0 の生体特徴データ照合部 3 0 6による照合の結果、照合用生体特徴データが登録生体特徴データに対して所定の一致条件を満たしていない状態が、所定の回数だけ連続して生じた場合には、 I Cカード 3 0 0への生体特徴データの入力をロックするように構成してもよい。これにより、これにより、不正なアクセスをより確実に拒絶することができる。

また、上述した実施携帯では、携帯電子装置が I Cカードである場合について説明したが、本発明は、これに限定されるものではなく、携帯電子装置は、記憶部や C P Uを内蔵し且つ生体特徴データの照合 ·認証機能を有する携帯型の電子装置（例えば光カード，無線カード等の他のカード型装置）であればよく、いずれにしても、上述した実施形態と同様の作用効果を得ることができる。産業上の利用可能性

以上のように、本発明によれば、携帯電子装置内で生体特徴データによる照合を行ない、認証対象者が携帯電子装置の所有者であると判断された場合に、暗証番号が携帯電子装置から管理装置へ送信される。これにより、暗証番号入力と盗難や模倣が不可能な生体情報を用いた個人認証とを連携させることができるので、暗証番号の漏洩 ·盗難を確実に防止し、高いセキュリティ性能を確保して、安全に個人認証を実施できる。

従って、本発明は、デビットカードのごとく個人認証のために暗証番号を入力する処理を必要とするシステムに用いて好適であり、その有用性は極めて高いものと考えられる。

Claims

請求の範囲

1 . 携帯電子装置（300) と、該携帯電子装置（300) を装着され該携帯電子装置 (300) に対する直接的なアクセスを行なうデータ処理装置（200) と、該データ処理装置（200) を介して該携帯電子装置（300) に対するアクセスを行ない該携帯電子装置（300) の所有者についての認証を暗証番号により行なう管理装置 (400) とをそなえてなる個人認証システムであって、

該データ処理装置（200) に、

認証対象者の生体情報を計測する生体情報計測部 (201) と、

該生体情報計測部（201) により計測された生体情報から照合用生体特徴デ一夕を抽出する生体特徴データ抽出部 (202) と、

該データ処理装置（200) と該携帯電子装置（300) および該管理装置 (400) との間でのデータの送受信を行なう第 1送受信インタフェース（205) とをそなえるとともに、

該携帯電子装置（300) に、

当該携帯電子装置（300) の所有者についての登録生体特徴データを予め保存する生体特徴データ登録部 (302) と、

該携帯電子装置（300) と該データ処理装置（200) との間でのデータの送受信を行なう第 2送受信インタフェース（301) と、

該第 2送受信インタフェース（301) により外部から受信した照合用生体特徴デ一夕と前記登録生体特徴データとを比較'照合する生体特徴データ照合部 (306) と、

当該携帯電子装置（300) の所有者についての暗証番号を予め保存する喑証番号登録部 (308) とをそなえ、

前記照合用生体特徴データを、該データ処理装置（200) の該第 1送受信インタフエース（205) から該携帯電子装置 (300) へ送信し、

該携帯電子装置（300) の該生体特徵データ照合部（306) により、該第 2送受信インタフェース（301) により受信された前記照合用生体特徵デ一夕と前記登録生体特徴データとを比較 ·照合し、

その照合の結果、前記照合用生体特徴データが前記登録生体特徴データに対して所定の一致条件を満たしていれば、前記暗証番号を、該携帯電子装置（300) の該第 2送受信インタフェース（301) から、該データ処理装置（200) の該第 1 送受信インタフェース（205) を経由させて、該管理装置（400) へ送信することを特徴とする、個人認証システム。

2 . 該データ処理装置（200) に、前記照合用生体特徴データを公開鍵で暗号化する第 1暗号化部（204) をそなえるとともに、

該携帯電子装置（300) に、前記公開鍵に対応した登録秘密鍵を予め保存する秘密鍵登録部（303) と、該第 2送受信インタフェース（301) により外部から受信した暗号化データを前記登録秘密鍵により復号する復号部 (305) とをそなえ、該第 1暗号化部（204) によって暗号化された前記照合用生体特徴データを前記暗号化データとして該第 1送受信ィン夕フェース（205) から該携帯電子装置 (300)へ送信し、

該第 2送受信ィンタフエース（301) により受信された前記暗号化データを該復号部（305) により復号して前記照合用生体特徴データを得てから、該生体特徴デ一夕照合部（306) による比較 ·照合を行なうことを特徴とする、請求の範囲第 1項記載の個人認証システム。

3 . 該携帯電子装置（300) に、該管理装置（400) 用の公開鍵を予め保存する管理装置用公開鍵登録部（311) と、前記暗証番号を該管理装置 (400) に送信する前に前記暗証番号を前記管理装置 (400) 用の公開鍵で暗号化する第 2暗号化部 (305)とをそなえたことを特徴とする、請求の範囲第 1項記載の個人認証システム。 4 . 該携帯電子装置（300) の表面に、該管理装置（400) での処理に用いられる情報を磁気データとして記録される記録部をそなえるとともに、

該デ一夕処理装置（200) に、該記録部に記録された前記磁気データを読み取るための磁気データ読取部（206) をそなえ、

該磁気データ読取部（206) によって読み取られた前記磁気データを、前記暗証番号とともに該第 1送受信インタフェース（205) から該管理装置 (400) へ送信することを特徴とする、請求の範囲第 1項記載の個人認証システム。

5 . 該データ処理装置（200) に、該生体特徴データ抽出部（202) により前記照合用生体特徴データを抽出した日時をタイムスタンプとして生成するタイムス夕ンプ生成部（203) をそなえ、

前記タイムスタンプを、前記照合用生体特徴デー夕とともに該第 1暗号化部 (204) によって暗号化して該第 1送受信インタフェース（205) から該携帯電子装置（300) へ送信する一方、

該携帯電子装置（300) に、現在時刻を算出する時計機能部（304) と、該復号部（305) により復号して得られた前記タイムスタンプと該時計機能部（304) により算出された現在時刻とを比較 ·照合するタイムスタンプ照合部（307) とをそなえ、該生体特徴データ照合部（306) による照合の結果、前記照合用生体特徴デ一夕が前記登録生体特徴データに対して所定の一致条件を満たし、且つ、該タイムスタンプ照合部（307) による照合の結果、前記タイムスタンプと前記現在時刻との時間差が所定範囲内であった場合に、前記認証対象者が該携帯電子装置（300) の所有者本人であると判断することを特徴とする、請求の範囲第 3 項記載の個人認証システム。 6 . 該生体特徴データ照合部（306) および該タイムスタンプ照合部（307) による照合の結果、前記認証対象者が該携帯電子装置（300) の所有者本人であると判断した場合、前記暗証番号を、該時計機能部 (304) によって得られる照合日時とともに、該第 2暗号化部（305) により暗号化した後、該携帯電子装置 (300) の該第 2送受信インタフェース（301) から、該データ処理装置（200) の該第 1 送受信インタフェース（205) を経由させて、該管理装置（400) へ送信することを特徴とする、請求の範囲第 5項記載の個人認証システム。

7 . 該携帯電子装置（300) が、該第 2送受信インタフェース（301) で所定の信号を受信すると、該携帯電子装置（300) に登録された前記所有者の公開鍵情報を、該第 2送受信インタフェース（301) から外部へ送信することを特徴とする、請求の範囲第 1項記載の個人認証システム。

8 . 該携帯電子装置 (300) の該生体特徴データ照合部 (306) による照合の結果、前記照合用生体特徴データが前記登録生体特徵デ一夕に対して所定の一致条件を満たしていない状態が、所定の回数だけ連続して生じた場合には、該携帯電子装置（300) への生体特徴データの入力をロックするロック機能部（314) をそなえたことを特徴とする、請求の範囲第 1項記載の個人認証システム。 9 . 該携帯電子装置（300) に、前記暗証番号の送信日時および処理内容の少なくとも一方を前記暗証番号の管理ログとして保存する管理ログ記録部 (31 7) をそなえたことを特徴とする、請求の範囲第 1項記載の個人認証システム。

1 0 . 個人認証を暗証番号により行なう管理装置（400) とデータの送受信を行なう携帯電子装置であって、

当該携帯電子装置（300) の所有者についての登録生体特徴データを予め保存する生体特徴データ登録部（302) と、

外部とデータの送受信を行なう送受信イン夕フェース（301) と、

該送受信ィン夕フェースにより外部から受信した認証対象者の照合用生体特徴デー夕と前記登録生体特徴デ一夕とを比較'照合する生体特徴データ照合部 (306) と、

該生体特徴データ照合部（306) により、該送受信インタフェース（301) により受信された前記照合用生体特徴データと前記登録生体特徴データとを比較 ·照合し、

その照合の結果、前記照合用生体特徴データが前記登録生体特徴データに対して所定の一致条件を満たしていれば、前記暗証番号を、該送受信インタフェース (301) から該管理装置（400) へ送信することを特徴とする、生体情報を用いた個人認証機能を有する携帯電子装置。

1 1 . 公開鍵に対応した登録秘密鍵を予め保存する秘密鍵登録部 (303) と、前記公開鍵で暗号化された暗号化データを前記登録秘密鍵により復号する復号部（305) とをそなえ、

該送受信インタフェース（301) により受信された暗号化データを該復号部 (305)により復号した結果として前記照合用生体特徴データが得られると、該生体特徴デ一夕照合部（306) による比較，照合を行なうことを特徴とする、請求の範囲第 1 0項記載の生体情報を用いた個人認証機能を有する携帯電子装置。

1 2 .該管理装置 (400)用の公開鍵を予め保存する管理装置用公開鍵登録部 (31 1) と、

前記暗証番号を該管理装置 (400) に送信する前に前記暗証番号を該管理装置 (400) 用の公開鍵で暗号化する暗号化部（305) とをそなえたことを特徴とする、請求の範囲第 1 0項記載の生体情報を用いた個人認証機能を有する携帯電子装置。

1 3 . 該管理装置（400) での処理に用いられる情報を磁気デ一夕として記録される記録部を、当該携帯電子装置（300) の表面にそなえたことを特徴とする、請求の範囲第 1 0項記載の生体情報を用いた個人認証機能を有する携帯電子装置。

1 4 . 現在時刻を算出する時計機能部 (304) と、

該復号部（305) により復号して得られた前記照合用生体特徴データに、その照合用生体特徴データの抽出日時を示すタイムスタンプが添付されている場合に、そのタイムスタンプと該時計機能部（304) により算出された現在時刻とを比較 · 照合するタイムスタンプ照合部（307) とをそなえ、

該生体特徵デ一夕照合部（306) による照合の結果、前記照合用生体特徴デー夕が前記登録生体特徴デ一夕に対して所定の一致条件を満たし、且つ、該タイムスタンプ照合部（307) による照合の結果、前記タイムスタンプと前記現在時刻との時間差が所定範囲内であった場合に、前記認証対象者が当該携帯電子装置 (300)の所有者本人であると判断することを特徴とする、請求の範囲第 1 2項記載の生体情報を用いた個人認証機能を有する携帯電子装置。

1 5 . 該生体特徴データ照合部（306) および該タイムスタンプ照合部（307) による照合の結果、前記認証対象者が当該携帯電子装置（300) の所有者本人であると判断した場合、前記暗証番号を、該時計機能部（304) によって得られる照合日時とともに、該暗号化部（305) により暗号化した後、該送受信イン夕フエース（301)から、該送受信インタフェース（301) から該管理装置 (400) へ送信することを特徴とする、請求の範囲第 1 4項記載の生体情報を用いた個人認証機能を有する携帯電子装置。

1 6 . 該送受信インタフェース（301) で所定の信号を受信すると、当該携帯電子装置（300) に登録された前記所有者の公開鍵情報を、該送受信イン夕フエ一ス（301 ) から外部へ送信することを特徴とする、請求の範囲第 1 0項記載の生体情報を用いた個人認証機能を有する携帯電子装置。

1 7 . 該生体特徴データ照合部（306) による照合の結果、前記照合用生体特徴データが前記登録生体特徴データに対して所定の一致条件を満たしていない状態が、所定の回数だけ連続して生じた場合には、生体特徵デ一夕の入力をロックするロック機能部（314) をそなえたことを特徴とする、請求の範囲第 1 0項記載の生体情報を用いた個人認証機能を有する携帯電子装置。

1 8 . 前記暗証番号の送信日時および処理内容の少なくとも一方を前記暗証番号の管理ログとして保存する管理ログ記録部 (317) をそなえたことを特徴とする、請求の範囲第 1 0項記載の生体情報を用いた個人認証機能を有する携帯電子装置。

1 9 . 携帯電子装置（300) と、該携帯電子装置（300) を装着され該携帯電子装置（300) に対する直接的なアクセスを行なうデータ処理装置（200) とをそなえてなる個人認証システムであって、該データ処理装置（200) に、

認証対象者の生体情報を計測する生体情報計測部 (201) と、

該生体情報計測部（201) により計測された生体情報から照合用生体特徴デー夕を抽出する生体特徴データ抽出部（202) と、

前記照合用生体特徴データを公開鍵で暗号化する第 1暗号化部 (204) と、該データ処理装置（200) と該携帯電子装置（300) との間でのデータの送受信を行なう第 1送受信ィンタフエース（205) とをそなえるとともに、

該携帯電子装置 (300) に、

該第 2送受信インタフェース（301) により外部から受信した照合用生体特徴データと前記登録生体特徴データとを比較'照合する生体特徴データ照合部 (306) と、

前記公開鍵に対応した登録秘密鍵を予め保存する秘密鍵登録部 (303) と、前記公開鍵で暗号化された暗号化デー夕を前記登録秘密鍵により復号する復号部（305) とをそなえ、

該第 1暗号化部（204) によつて暗号化された前記照合用生体特徴データを該第 1送受信イン夕フェース（205) から該携帯電子装置 (300) へ送信し、

該第 2送受信ィン夕フェース（301) により受信された暗号化データを該復号部（305) により復号して前記照合用生体特徴データを得てから、

該生体特徴データ照合部（306) により、前記照合用生体特徴データと前記登録生体特徴デ一夕とを比較 ·照合することを特徴とする、個人認証システム。

2 0 . 該データ処理装置（200) に、該生体特徴データ抽出部（202) により前記照合用生体特徴デ一夕を抽出した日時をタイムスタンプとして生成するタイムスタンプ生成部（203) をそなえ、

前記タイムスタンプを、前記照合用生体特徴データとともに該第 1暗号化部 (204) によって暗号化して該第 1送受信インタフェース（205) から該携帯電子装置（300) へ送信する一方、

該携帯電子装置（300) に、現在時刻を算出する時計機能部（304) と、該復号部（305) により復号して得られた前記タイムスタンプと該時計機能部（304) により算出された現在時刻とを比較 ·照合するタイムスタンプ照合部（307) とをそなえ、該生体特徴データ照合部（306) による照合の結果、前記照合用生体特徴データが前記登録生体特徴データに対して所定の一致条件を満たし、且つ、該タイムスタンプ照合部（307) による照合の結果、前記タイムスタンプと前記現在時刻との時間差が所定範囲内であった場合に、前記認証対象者が該携帯電子装置（300) の所有者本人であると判断することを特徴とする、請求の範囲第 1 9項記載の個人認証システム。

2 1 . 該携帯電子装置（300) に、当該携帯電子装置（300) の所有者にかかる所有者情報を予め保存する所有者情報登録部 (309) と、該第 2送受信ィン夕フエース（301) から該データ処理装置（200) へ送信するデータを前記登録秘密鍵で暗号化する第 2暗号化部 (305) とをそなえ、

該生体特徴データ照合部（306) および該タイムスタンプ照合部（307) による照合の結果、前記認証対象者が該携帯電子装置（300) の所有者本人であると判断した場合、前記所有者情報と、前記照合の時に得られる、前記照合用生体特徴データの前記登録生体特徴データに対する一致率と、該時計機能部（304) によつて得られる照合日時とのうちの少なくとも一つを、該第 2暗号化部（305) により暗号化した後、該第 2送受信インタフェース（301) から該データ処理装置 (200) へ照合結果として送信することを特徴とする、請求の範囲第 2 0項記載の個人認証システム。

2 2 . 該データ処理装置（200) に、該携帯電子装置（300) への転送データを所定の一方向関数に入力にして得られる値をメッセージダイジエストとして生成するメッセージダイジェスト生成部（208) をそなえ、

前記メッセージダイジェストを、前記照合用生体特徴データとともに該第 1 暗号化部（204) によって暗号化して該第 1送受信インタフェース（205) から該携帯電子装置（300) へ送信する一方、

該携帯電子装置（300) においては、該生体特徴データ照合部（306) および該タイムスタンプ照合部（307) による照合の結果、前記認証対象者が該携帯電子装置（300) の所有者本人であると判断した場合、該復号部（305) により復号して得られた前記メッセージダイジェストを、該第 2暗号化部（305) により暗号化した後、該第 2送受信インタフェース（301 ) から該データ処理装置（200) へ照合結果として送信することを特徴とする、請求の範囲第 2 1項記載の個人認証システム。

2 3 . 該携帯電子装置（300) に、前記照合結果を、照合ログとして所定の期間だけ保存する照合ログ記録部（310) をそなえたことを特徴とする、請求の範囲第 2 1項記載の個人認証システム。

2 4 . 該携帯電子装置（300) が、該第 2送受信インタフェース（301) で所定の信号を受信すると、該携帯電子装置（300) に登録された前記所有者の公開鍵情報を、該第 2送受信インタフェース（301) から外部へ送信することを特徴とする、請求の範囲第 1 9項記載の個人認証システム。

2 5 . 該携帯電子装置（300) の該生体特徴データ照合部（306) による照合の結果、前記照合用生体特徴データが前記登録生体特徴データに対して所定の一致条件を満たしていない状態が、所定の回数だけ連続して生じた場合には、該携帯電子装置（300) への生体特徴データの入力をロックするロック機能部（314) をそなえたことを特徴とする、請求の範囲第 1 9項記載の個人認証システム。

2 6 . 生体情報を用いた個人認証機能を有する携帯電子装置であって、

外部とデ一夕の送受信を行なう送受信インタフェース（301 ) と、該送受信ィン夕フェース（301) により外部から受信した認証対象者の照合用生体特徴データと前記登録生体特徴データとを比較 ·照合する生体特徴データ照合部（306) と、

公開鍵に対応した登録秘密鍵を予め保存する秘密鍵登録部 (303) と、

前記公開鍵で暗号化された暗号化デー夕を前記登録秘密鍵により復号する復号部（305) とをそなえ、

該送受信ィン夕フェース（301) により受信された暗号化データを該復号部 (305)により復号した結果として前記照合用生体特徴データが得られると、該生体特徴デ一夕照合部（306) により、前記照合用生体特徵デ一夕と前記登録生体特徴データとを比較 ·照合することを特徴とする、生体情報を用いた個人認証機能を有する携帯電子装置。

2 7 . 現在時刻を算出する時計機能部 (304) と、

該復号部（305) により復号して得られた前記照合用生体特徴データに、その照合用生体特徴データの抽出日時を示すタイムスタンプが添付されている場合に、そのタイムスタンプと該時計機能部 (304) により算出された現在時刻とを比較 · 照合するタイムスタンプ照合部（307) とをそなえ、

該生体特徴データ照合部（306) による照合の結果、前記照合用生体特徴デー夕が前記登録生体特徴データに対して所定の一致条件を満たし、且つ、該タイムスタンプ照合部（307) による照合の結果、前記タイムスタンプと前記現在時刻との時間差が所定範囲内であった場合に、前記認証対象者が当該携帯電子装置

(300)の所有者本人であると判断することを特徴とする、請求の範囲第 2 6項記載の生体情報を用いた個人認証機能を有する携帯電子装置。 2 8 . 当該携帯電子装置（300) の所有者にかかる所有者情報を予め保存する所有者情報登録部 (309) と、

該送受信インタフェース（301) から該データ処理装置（200) へ送信するデータを前記登録秘密鍵で暗号化する暗号化部（305) とをそなえ、

該生体特徴データ照合部（306) および該タイムスタンプ照合部（307) による照合の結果、前記認証対象者が当該携帯電子装置（300) の所有者本人であると判断した場合、前記所有者情報と、前記照合の時に得られる、前記照合用生体特徴データの前記登録生体特徴データに対する一致率と、該時計機能部 (304) によって得られる照合日時とのうちの少なくとも一つを、該暗号化部（305) により暗号化した後、該送受信インタフェース（301 ) から該データ処理装置（200) へ照合結果として送信することを特徴とする、請求の範囲第 2 7項記載の生体情報を用いた個人認証機能を有する携帯電子装置。

2 9 . 該生体特徴データ照合部（306) および該タイムスタンプ照合部（307) による照合の結果、前記認証対象者が当該携帯電子装置（300) の所有者本人であると判断した場合で、且つ、該復号部（305) により復号して得られた前記照合用生体特徴デ一夕に、当該携帯電子装置（300) への転送データを所定の一方向関数に入力にして得られるメッセージダイジエス卜が添付されている場合、そのメッセージダイジェストを、該暗号化部（305) により暗号化した後、該送受信インタフェース（301 ) から該デ一夕処理装置（200) へ照合結果として送信することを特徴とする、請求の範囲第 2 8項記載の生体情報を用いた個人認証機能を有する携帯電子装置。

3 0 . 前記照合結果を、照合ログとして所定の期間だけ保存する照合ログ記録部 (310) をそなえたことを特徴とする、請求の範囲第 2 8項記載の生体情報を用いた個人認証機能を有する携帯電子装置。

3 1 . 該送受信インタフェース（301 ) で所定の信号を受信すると、当該携帯電子装置（300) に登録された前記所有者の公開鍵情報を、該送受信インタフエ一ス（301) から外部へ送信することを特徴とする、請求の範囲第 2 6項記載の生体情報を用いた個人認証機能を有する携帯電子装置。

3 2 . 該生体特徴データ照合部（306) による照合の結果、前記照合用生体特徴データが前記登録生体特徴データに対して所定の一致条件を満たしていない状態が、所定の回数だけ連続して生じた場合には、生体特徴データの入力をロックするロック機能部（314) をそなえたことを特徴とする、請求の範囲第 2 6項記載の生体情報を用いた個人認証機能を有する携帯電子装置。