CN1248114A - 远程鉴别系统 - Google Patents

Abstract

得到一种远程鉴别系统和远程鉴别方法,其中,在利用生物统计信息来进行个人的鉴别时,在保护了作为用户的个人信息的生物统计信息的基础上能可靠地受到鉴别,同时有很强的安全性。由于将作为用户的个人信息的生物统计信息加密,生物统计信息只在用户指定的鉴别服务器中能进行解码的状态下在网络上传送,故能以反映用户的意志的形态可靠地保护生物统计信息这样的用户个人的秘密,同时在鉴别服务器中能确认鉴别信息作成时的日期和时刻。

Description

远程鉴别系统

本发明涉及利用生物统计信息进行个人的识别的远程鉴别系统。

迄今为止，为了在与网络连接的信息处理系统中保持机密，必须对个人进行识别来进行该个人的允许和不允许访问的判断，即进行鉴别。此外，在银行的现金自动支付机等中，实施了个人的识别和访问存款余额等该个人的交易信息用的鉴别，在进入或退出机密度高的研究部门及会员制俱乐部等时也实施了个人的鉴别。

作为这些鉴别，利用与身份证明书处于同样地位的磁卡、IC卡及口令等个人的记忆、或这些的组合来实施个人的识别、资格的认定、即鉴别。但是，存在下述问题：忘记口令等的担心、由于磁卡、IC卡等丢失、损坏等而处于不能鉴别的状态，或由于被盗窃和口令信息的泄露，使本人以外的人冒充本人来进行鉴别等。

此外。作为在网络上鉴别用户的方法之一，有鉴别用户作成的报文(message)、间接地鉴别用户的数字署名。在数字署名中，首先报文的发送者将用发送者的密码键对将报文的原文进行了压缩的报文摘要进行了加密的密码文附加在报文上。报文的接收者从所收到的报文作成报文摘要，此外，从用发送者的解码键附加的密码文对报文摘要进行解码，由于这两个报文摘要一致，确认是发送者本人送出的报文，没有被篡改。

此外，在上述的密码方式中，存在使用同一个键作为密码键和解码键的共用键加密方式和密码键和解码键不同的公开键加密方式。在公开键加密方式中，在将一个键作为秘密键安全地保管，而将另一个键作为公开键公布的情况下，由于对由公开键加密的密码文来说，如果未持有秘密键，就不能对原来的报文进行解码，故能以只对发送者所希望的接收者能解码的形态来传送报文，用秘密键加密的密码文能用公开键解码成原来的报文，故接收者可鉴别是来自持有秘密键的发送者本人的报文。

迄今为止，在IETF(Internet Engineering Task Force)的RFC(Request For Comment)中登记的RFC1421、RFC1422(PEM：PrivacyEnhancement for Internet Electronic Mail互连网电子邮政的增强保密性)中，利用公开键加密方式和共用键加密方式进行了上述数字署名和报文的加密，但由于发送者使用自己的秘密键，故存在下述问题：必须以发送者的责任来管理秘密键，必须存储在软盘、磁卡、IC卡等中，以便安全地保存。

另一方面，在使用作为指纹信息、掌纹信息、笔迹信息、视网膜信息等个人的生物特征的生物统计信息进行的鉴别中，冒充是困难的，如果是本人，则没有必要管理上述秘密键的信息等，此外可解除上述用磁卡、IC卡等鉴别个人时因携带这些物品的麻烦及丢失引起的威胁及上述口令鉴别时的记忆的麻烦，但存在下述问题：在广泛的领域中需要进行生物统计信息的鉴别的情况下，必须有管理和鉴别集中的生物统计信息的装置，从保密性方面来看，在将用户的生物统计信息传送到进行鉴别的装置中时，必须进行保密等来确保安全性。

此外，在生成为隐蔽生物统计信息而使用的密码键那样的系统中，一般在密码键的生成中使用随机数，但也存在为了使该密码键的解码变得困难故消除该随机数的趋势这一点是重要的这样的问题。

此外，从保护用户的秘密的方面来看，必须适当地管理取得生物统计信息的装置，有必要进行管理者的鉴别，但存在下述问题：由于在该管理者的鉴别中使用了生物统计信息的情况下他人不能代替管理者，故他人包括初始化在内完全不能访问生物统计信息取得装置。也存在下述问题：即使是正当的管理者，在鉴别中使用的生物统计信息因事故受到伤害而有较大的变动、或消失等情况下，即使是正当的管理者包括初始化在内也完全不能访问生物统计信息取得装置。

此外，在一般进行用户鉴别的系统中，要求早期发现不正当的鉴别，例如在银行的现金卡等中，具有如果用规定次数的口令进行的鉴别失败则使该现金卡不能使用等的装置。即使在利用生物统计信息来鉴别用户的系统中，也有必要早期发现不正当的鉴别，但对每个人来说，生物统计信息的状态是不同的，例如在利用指纹对照来鉴别个人的系统中，确定了验明为本人的最低的对照率，但存在下述问题：对于一个手指变得粗糙或指纹被磨损的人等，即使在该时刻能取得最佳的生物统计信息，其对照率也是低的，因手指的接触不紧密等小的取得指纹时的失败，对照率进一步降低，这样鉴别本身失败的概率变高，对于所有的人都以规定次数来判断为不正当鉴别不能说是公平的。

本发明是为了解决上述问题而进行的，其目的在于得到一种远程鉴别系统和远程鉴别方法，其中在利用生物统计信息进行个人的鉴别时，在保护了作为用户的个人信息的生物统计信息的基础上能可靠地受到鉴别，同时有很强的安全性。

与本发明的第1方面有关的远程鉴别系统是一种将鉴别服务器、应用程序服务器和用户终端分别连接到网络上并进行使用上述用户终端的用户的鉴别远程鉴别的系统，

其中，鉴别服务器具有公开键加密方式的公开键和秘密键这一组，将公开键公开，将秘密键隐蔽起来，

将至少1个或多种生物统计信息取得装置连接到上述用户终端上，

生物统计信息取得装置用共用键加密方式的共用键对在鉴别时取得的用户的生物统计信息进行加密，

取得日期和时刻信息，将日期和时刻信息与共用键连接起来取得报文摘要，再用共用键对该报文摘要进行加密，

取得用户指定的鉴别服务器的公开键，用上述鉴别服务器的公开键对上述共用键进行加密，

同时，将已加密的生物统计信息、已加密的共用键、日期和时刻信息以及将日期和时刻信息与共用键连接起来对报文摘要进行加密的信息作为鉴别信息传送到用户终端上，

用户终端和应用程序服务器将该鉴别信息传送到鉴别服务器上，鉴别服务器利用由上述秘密键对被传送的鉴别信息进行了解码而得到的上述共用键对用户的生物统计信息进行解码，

利用该生物统计信息来鉴别用户，

用秘密键对已鉴别的结果和已鉴别的结果的报文摘要进行加密，将其都传送到应用程序服务器上。

此外，与本发明的第2方面有关的远程鉴别系统是一种将鉴别服务器和用户终端分别连接到网络上并进行使用上述用户终端的用户的鉴别的远程鉴别系统，

其中，鉴别服务器具有公开键加密方式的公开键和秘密键这一组，将公开键公开，将秘密键隐蔽起来，

将至少1个或多种生物统计信息取得装置连接到上述用户终端上，

生物统计信息取得装置用共用键加密方式的共用键对在鉴别时取得的用户的生物统计信息进行加密，

取得日期和时刻信息，将日期和时刻信息与共用键连接起来取得报文摘要，再用共用键对该报文摘要进行加密，

取得用户指定的鉴别服务器的公开键，用上述鉴别服务器的公开键对上述共用键进行加密，

同时，将已加密的生物统计信息、已加密的共用键、日期和时刻信息以及将日期和时刻信息与共用键连接起来对报文摘要进行加密的信息作为鉴别信息传送到用户终端上，

用户终端将该鉴别信息传送到鉴别服务器上，

鉴别服务器利用由上述秘密键对被传送的鉴别信息进行了解码而得到的上述共用键对用户的生物统计信息进行解码，

利用该生物统计信息来鉴别用户，

用秘密键对已鉴别的结果和已鉴别的结果的报文摘要进行加密，将其都传送到用户终端上。

此外，与本发明的第3方面有关的远程鉴别系统的生物统计信息取得装置在鉴别时不进行加密地将生物统计信息传送到用户终端上，用共用键加密方式的共用键对用户终端已取得的用户的生物统计信息进行加密，

取得日期和时刻信息，将日期和时刻信息与共用键连接起来取得报文摘要，再用共用键对该报文摘要进行加密，

取得用户指定的鉴别服务器的公开键，

用上述鉴别服务器的公开键对上述共用键进行加密，

同时，将已加密的生物统计信息、已加密的共用键、日期和时刻信息以及将日期和时刻信息与共用键连接起来对报文摘要进行加密的信息作为鉴别信息进行传送。

此外，与本发明的第4方面有关的远程鉴别系统使用该生物统计信息作为生成对在鉴别时取得的用户的生物统计信息进行加密的共用键加密方式的共用键用的随机数的一部分或全部。

此外，与本发明的第5方面有关的远程鉴别系统的生物统计信息取得装置包含：管理生物统计信息取得装置的管理者的鉴别部和对生物统计信息取得装置进行初始化的初始化者的鉴别部，

上述2个鉴别部独立地鉴别，即使在不鉴别管理者的情况下也能通过初始化者的鉴别而只实施初始化。

与本发明的第6方面有关的远程鉴别系统的鉴别服务器存储在用户鉴别时对照了生物统计信息的结果的对照率的经历，

在用户鉴别时不验明为本人的情况下，比较到上次为止的将用户验明为本人时的平均对照率，

确认这次的对照率是否变动得大于管理者确定的规定值以上，

在对照率的变动为该规定值以上的失败次数达到了管理者确定的规定值以上的情况下，通知预先登记的联络者。

与本发明的第7方面有关的远程鉴别系统的鉴别服务器存储在用户鉴别时对照了生物统计信息的结果的对照率的经历，

在用户鉴别时验明为本人的情况下，比较到上次为止的将用户验明为本人时的对照率，

在对照率相同、未存储生物统计信息的报文摘要的情况下，使用户鉴别失败，计算出这次的生物统计信息的报文摘要，与对照率一起进行存储，

在对照率相同、存储了生物统计信息的报文摘要的情况下，计算出这次的生物统计信息的报文摘要，与对照率成组地进行存储，同时与过去的相同的对照率中的生物统计信息的报文摘要进行比较，如果不同的话，则验明为本人，

在这次的对照率和报文摘要的组与过去的对照率和报文摘要的组完全一致的情况下，不验明为本人，

同时，在与过去的对照率和报文摘要的组完全一致的情况达到了管理者确定的规定值以上的情况下，通知预先登记的联络者。

图1是示出应用了本发明的远程鉴别系统的Web系统的实施例1的结构的框图。

图2是用于说明图1的Web系统中的鉴别的处理的时序图。

图3是示出应用了本发明的远程鉴别系统的数据库检索系统的实施例2的结构的框图。

图4是用于说明图3的数据库检索系统中的鉴别的处理的时序图。

图5是示出应用了本发明的远程鉴别系统的Web系统的实施例3的结构的框图。

图6是用于说明图5的Web系统中的鉴别的处理的时序图。

图7是示出应用了本发明的远程鉴别系统的指纹取得装置的管理时的实施例4的结构的框图。

图8是示出应用了本发明的远程鉴别系统的鉴别服务器的实施例5的结构的框图。

以下参照附图详细地叙述本发明的实施例。

实施例1

图1中示出应用了本发明的Web系统1的结构。将鉴别服务器3、作为需要个人鉴别的应用程序服务器的Web服务器4、用户终端5连接到网络2上。将生物统计信息取得装置6连接到用户终端5上。在该Web系统1中，在用户通过用户终端5对Web服务器4进行了访问的情况下，Web服务器4从鉴别服务器3接受该用户的个人鉴别，由该结果对于用户进行访问控制。

鉴别服务器3是由鉴别控制部3A、密码处理部3C、鉴别信息数据库3B构成的个人计算机及工作站等的计算机装置(作为以下的结构，示出具有CPU、存储器、盘、通信控制等的计算机装置)，将公开键方式的一个键作为公开键来公开，将另一个键作为秘密键隐蔽起来。

此外，Web服务器4是这样的个人计算机及工作站等的计算机装置，其中，Web服务器数据库4A、密码处理部4D、鉴别请求部4B、作为需要个人鉴别的应用程序的Web服务器软件4C(以下将软件记为S/W)的应用程序进行工作。

此外，用户终端5是这样的个人计算机及工作站等的计算机装置，其中，显示Web服务器4的信息的浏览器5A和鉴别信息取得S/W5B进行工作。此外，将生物统计信息取得装置6连接到用户终端5上。生物统计信息取得装置6中示出了利用图象处理等将人体的指纹或掌纹信息作为生物统计信息取得的指纹取得装置7、掌纹取得装置8、将用户书写的笔迹信息作为生物统计信息取得的文字识别图形输入板9、利用眼底扫描等将人体的视网膜信息作为生物统计信息取得的视网膜取得装置10等。

在这里，以使用指纹取得装置7作为生物统计信息取得装置6的情况作为例子来说明。此外，指纹取得装置7等生物统计信息取得装置6取得的生物统计信息可以是图象数据、静电数据等未进行加工的图象数据，也可以是从图象数据中抽出了特征等的特征点数据。指纹取得装置7利用图象处理等取得指纹信息，它由传送到用户终端的指纹信息取得部7A、对指纹信息进行加密的密码处理部7B、取得鉴别服务器3的公开键的公开键取得部7C构成。

其次，说明其工作情况。

在图2中示出这样的Web系统1中的鉴别处理的流程。

首先，说明用户利用作为在用户终端5中工作的应用程序的浏览器5A对Web服务器4的机密度高的Web服务器数据库4A的信息进行访问的情况(SP5)。作为进行上述机密度高的信息的访问控制的应用程序的Web服务器软件4C为了判定该用户是否有访问的权限，有必要进行用户鉴别。

用户终端5的鉴别信息取得S/W5B从指纹取得装置7取得作为为了进行鉴别而必要的生物统计信息的指纹信息(SP6)。此时，也有与其它的S/W(取得鉴别信息的驱动器等的软件)协调一致地工作的情况。

被用户终端5的鉴别信息取得S/W5B指示取得指纹信息的指纹取得装置7的指纹信息取得部7A从用户取得指纹信息(SP1)。由于该指纹信息是用户固有的个人的信息，故在密码处理部7B中实施加密，但首先密码处理部7B生成对该指纹信息进行加密用的共用键方式的共用键，利用该共用键对指纹信息进行加密。同时，密码处理部7B取得日期和时刻信息，将日期和时刻信息与共用键连接起来取得报文摘要，再用共用键对该报文摘要进行加密(SP2)。

指纹取得装置7的公开键取得部7C根据软盘、磁卡、IC卡或键输入等来自用户的指示得到鉴别服务器的公开键。或者，在适当地管理指纹取得装置7的情况下，鉴别服务器3的公开键由指纹取得装置7固定地存储在公开键取得部7C中，也有在用户得知的基础上使用该公开键的情况。其次，密码处理部7B用鉴别服务器3的公开键对上述共用键进行加密(SP3)。

然后，指纹取得部7A将被加密的指纹信息、日期和时刻信息、将被加密的日期和时刻信息与共用键连接起来而形成的报文摘要、以及被加密的共用键作为鉴别信息传送到用户终端5的鉴别信息取得S/W5B(SP4)。

用户终端5的鉴别信息取得S/W5B通过浏览器5A向Web服务器4传送所取得的鉴别信息。此时，浏览器5A将另外取得的用户名、寄信地址等用户ID附加在鉴别信息上进行传送(SP7)。

Web服务器4的鉴别请求部4B将通过Web服务器软件4C取得的鉴别信息传送到鉴别服务器3的鉴别控制部3A(SP9)。

鉴别服务器3的鉴别控制部3A在密码处理部3C中使被传送的鉴别信息解码，实施用户鉴别。此时，在密码处理部3C中，对从由鉴别服务器3传送的日期和时刻信息和共用键作成的报文摘要的信息与将连接被加密的日期和时刻信息与共用键的报文摘要进行解码的信息进行比较，在考虑了传送延迟的基础上确认鉴别信息作成日期和时刻的正当性(SP12)。

鉴别控制部3A从被传送的鉴别信息中包含的指纹信息和用户ID、鉴别服务器3的鉴别信息数据库3B中原来存储的个人信息实施指纹对照。鉴别控制部3A在对照的结果验明为本人的情况下，生成显示正规用户的鉴别结果，如果对照的结果不能验明为本人，则生成判断为不是本人的鉴别结果。将该鉴别结果送到密码处理部3C，在密码处理部3C中取得鉴别结果的报文摘要，用鉴别服务器3的秘密键进行加密，即进行数字署名，将该被加密的报文摘要传送到鉴别控制部3A。鉴别控制部3A将上述被加密的报文摘要并包含鉴别结果在内通知Web服务器4的鉴别请求部4B(SP13)。

接受鉴别结果的Web服务器4的鉴别请求部4B将鉴别结果通知密码处理部4D。密码处理部4D用鉴别服务器3的公开键将所通知的被加密的报文摘要解码，通过与被通知的鉴别结果的报文摘要进行比较，确认确实是来自正当的鉴别服务器3的通知(SP10)。如果鉴别请求部4B从密码处理部4D得知已确认是来自正当的鉴别服务器3的通知这一点，则将鉴别结果通知Web服务器软件4C。Web服务器软件4C根据该鉴别结果对于该用户判定访问Web服务器数据库4A的机密度高的信息的许可·不许可(SP11)。例如，进行该机密信息的显示等，进行对于用户访问的工作。

这样，将作为用户的个人信息的指纹信息用所生成的共用键进行加密，因为该共用键由用户设定的鉴别服务器3的公开键进行加密以及用户在指纹取得装置7中直接设定鉴别服务器3的公开键，故由于指纹信息在只在用户指定的鉴别服务器3中才能解码的状态下在网络上传送，故具有能使作为生物统计信息的指纹信息这样的用户个人的秘密以反映用户的意志的形态可靠地得到保护的效果。

再者，使用户在指纹取得装置7中能用软盘、磁卡、IC卡或键输入等只指示鉴别服务器3的公开键即可，即使存储了该公开键的软盘、磁卡、IC卡等被丢失或被盗窃，在安全性方面也没有问题，可利用存储了相同的公开键的替代品或相同的物品来接受个人鉴别。由于存储了该公开键的替代品不是由每个用户来管理的，故在丢失或被盗窃时不需要特别的通告或再发行等的处理，具有可减轻管理负担的效果。

此外，由于由鉴别服务器3来确认鉴别信息作成时的日期和时刻，故可防止不正当的鉴别信息的再使用，由于能由鉴别请求侧的Web服务器4来确认是否利用鉴别信息鉴别服务器3进行了鉴别，故可保持高安全性。

在本实施例中示出了应用于Web系统1的例子，但即使Web服务器软件4C和浏览器5A例如是构成会计信息管理服务器S/W和会计信息管理客户S/W、或数据库检索服务器S/W和数据库检索客户S/W等其它的系统的应用程序，也能得到同样的效果。

实施例2

在本实施例2中，将实施例1进行简化，图1的Web服务器4和用户终端5成为图3的用户终端5这一个。在与图1的对应部分附以相同符号的图3中，由于需要个人鉴别的应用程序只存在于用户终端5中，故将构成图1的Web服务器软件4C和浏览器5A的系统的2个应用程序置换为1个数据库检索S/W5E，将Web服务器数据库4A置换为局部数据库5C。此时，构成图1的Web服务器4的鉴别请求部4B和密码处理部4D成为图3的用户终端5的构成部位。

在实施例2中，用户终端5是这样的个人计算机及工作站等的计算机装置，其中，局部数据库5C、密码处理部5F、鉴别请求部5D、作为需要个人鉴别的应用程序的数据库检索S/W5E进行工作。此外，将生物统计信息取得装置6连接到用户终端5上，是与上述的实施例1完全相同的结构。此外，鉴别服务器3也是与上述的实施例1完全相同的结构。

在这里，以使用指纹取得装置7作为生物统计信息取得装置6的情况作为例子来说明。

其次，说明其工作情况。

基本上与实施例1相同，在对于与图2对应部分附以相同的符号的图4中，首先，说明用户利用作为在用户终端5中工作的应用程序的数据库检索S/W5E对机密度高的局部数据库5C的信息进行访问的情况。作为进行上述机密度高的信息的访问控制的应用程序的数据库检索S/W5E为了判定该用户是否有访问的权限，有必要进行用户鉴别(SP5)。

用户终端5的鉴别信息取得S/W5B从指纹取得装置7取得为了进行鉴别而必要的生物统计信息的指纹信息(SP6)。此时，也有与其它的S/W(取得鉴别信息的驱动器等的软件)协调一致地工作的情况。

被用户终端5的鉴别信息取得S/W5B指示取得指纹信息的指纹取得装置的鉴别信息取得部7A从用户取得指纹信息(SP1)。由于该指纹信息是用户固有的个人的信息，故在密码处理部7B中实施加密，但首先密码处理部7B生成对该指纹信息进行加密用的共用键方式的共用键，利用该共用键对指纹信息进行加密。同时，密码处理部7B取得日期和时刻信息，将日期和时刻信息与共用键连接起来取得报文摘要，再用共用键对该报文摘要进行加密(SP2)。

指纹取得装置7的公开键取得部7C根据软盘、磁卡、IC卡或键输入等来自用户的指示得到鉴别服务器3的公开键。或者，在适当地管理指纹取得装置7的情况下，鉴别服务器3的公开键由指纹取得装置7固定地存储在公开键取得部7C中，也有在用户得知的基础上使用该公开键的情况。其次，密码处理部7B用鉴别服务器3的公开键对上述共用键进行加密(SP3)。然后，指纹取得部7A将被加密的指纹信息、日期和时刻信息、将被加密的日期和时刻信息与共用键连接起来而形成的报文摘要、以及被加密的共用键作为鉴别信息传送到用户终端5的鉴别信息取得S/W5B(SP4)。

用户终端5的鉴别信息取得S/W5B取得用户名、寄信地址等用户ID，附加在鉴别信息上(SP7)。

鉴别请求部5D将该鉴别信息传送到鉴别服务器3的鉴别控制部3A(SP7)。

鉴别服务器3的鉴别控制部3A在密码处理部3C中使被传送的鉴别信息解码，实施用户鉴别。此时，在密码处理部3C中，对从由鉴别服务器3传送的日期和时刻信息和共用键作成的报文摘要的信息与将连接被加密的日期和时刻信息与共用键的报文摘要进行解码的信息进行比较，在考虑了传送延迟的基础上确认鉴别信息作成日期和时刻的正当性(SP12)。

鉴别控制部3A从被传送的鉴别信息中包含的指纹信息和用户ID、鉴别服务器3的鉴别信息数据库3B中原来存储的个人信息实施指纹对照。鉴别控制部3A在对照的结果验明为本人的情况下，生成显示正规用户的鉴别结果，如果对照的结果不能验明为本人，则生成判断为不是本人的鉴别结果。将该鉴别结果送到密码处理部3C，在密码处理部3C中取得鉴别结果的报文摘要，用鉴别服务器3的秘密键进行加密，即进行数字署名，将该被加密的报文摘要传送到鉴别控制部3A。鉴别控制部3A将上述被加密的报文摘要并包含鉴别结果在内通知Web用户终端5的鉴别请求部5D(SP13)。

接受鉴别结果的用户终端5的鉴别请求部5D将鉴别结果通知密码处理部5F。密码处理部5F用鉴别服务器3的公开键将所通知的被加密的报文摘要解码，通过与被通知的鉴别结果的报文摘要进行比较，确认确实是来自正当的鉴别服务器3的通知(SP10)。如果鉴别请求部5D从密码处理部5F得知确认是来自正当的鉴别服务器3的通知的结果，则将鉴别结果通知数据库检索S/W5E。数据库检索S/W5E根据该鉴别结果对于该用户判定访问局部数据库5C的机密度高的信息的许可·不许可。例如，进行该机密信息的显示等，进行用户访问的工作(SP11)。

按照这样的结构，在用户终端5向鉴别服务器3请求个人鉴别的情况下，可得到与上述的实施例1相同的效果。

在本实施例中，示出了应用于数据库检索系统的例子，但即使数据库检索S/W例如是构成会计信息管理S/W等其它的系统的应用程序，也能得到同样的效果。

实施例3

在本实施例3中，作为实施例1中的生物统计信息取得装置6的指纹取得装置7的密码处理部7B和公开键取得部7C处于用户终端5中。

在对于与图1对应部分附以相同的符号的图5中，用户终端5是这样的个人计算机及工作站等的计算机装置，其中，显示Web服务器4的信息的浏览器5A、将指纹信息加密的密码处理部5F、取得鉴别服务器3的公开键的公开键取得部5G、鉴别信息取得S/W5B进行工作。此外，将生物统计信息取得装置6连接到用户终端5上。此外，鉴别服务器3和Web服务器4也是与上述的实施例1完全相同的结构。

此外，本实施例中的生物统计信息取得装置6取得的生物统计信息可以是图象数据、静电数据等未进行加工的图象数据，也可以是从图象数据中抽出了特征等的特征点数据，生物统计信息取得装置6也可以是只取得图象数据的、不安装CPU的简单的装置。

在此，以使用指纹取得装置7作为生物统计信息取得装置6的情况作为例子来说明。

指纹取得装置7由指纹信息取得部7A构成，指纹信息取得部7A利用图像处理等取得指纹信息，将其传送到用户终端。

其次，说明其工作情况。

基本上与实施例1相同，在对于与图2对应部分附以相同的符号的图6中，首先，说明用户利用作为在用户终端5中工作的应用程序的浏览器5A对Web服务器4机密度高的Web服务器数据库4A的信息进行访问的情况(SP5)。作为进行上述机密度高的信息的访问控制的应用程序的Web服务器软件4C为了判定该用户是否有访问的权限，有必要进行用户鉴别。

用户终端5的鉴别信息取得S/W5B从指纹取得装置7取得作为为了进行鉴别而必要的生物统计信息的指纹信息(SP6)。此时，也有与其它的S/W(取得鉴别信息的驱动器等的软件)协调一致地工作的情况。

被用户终端5的鉴别信息取得S/W5B指示取得指纹信息的指纹取得装置7的指纹信息取得部7A从用户取得指纹信息(SP1)，传送到用户终端5的鉴别信息取得S/W5B。

由于该指纹信息是用户固有的个人的信息，故用户终端5的鉴别信息取得S/W5B在密码处理部5F中实施加密。首先密码处理部5F生成对该指纹信息进行加密用的共用键方式的共用键，利用该共用键对指纹信息进行加密。同时，密码处理部5F取得日期和时刻信息，将日期和时刻信息与共用键连接起来取得报文摘要，再用共用键对该报文摘要进行加密(SP2)。

用户终端5的公开键取得部5G根据硬盘、软盘、磁卡、IC卡或键输入等来自用户的指示得到鉴别服务器的公开键。

其次，密码处理部5F用鉴别服务器3的公开键对上述共用键进行加密(SP3)。然后，鉴别信息取得S/W5B将被加密的指纹信息、日期和时刻信息、将被加密的日期和时刻信息与共用键连接起来而形成的报文摘要、以及被加密的共用键作为鉴别信息通过浏览器5A向Web服务器4传送所取得的鉴别信息。此时，浏览器5A将另外取得的用户名、寄信地址等用户ID附加在鉴别信息上进行传送(SP7)。

Web服务器4的鉴别请求部4B通过Web服务器软件4C将取得的鉴别信息传送到鉴别服务器3的鉴别控制部3A(SP9)。

鉴别服务器3的鉴别控制部3A在密码处理部3C中使被传送的鉴别信息解码，实施用户鉴别。此时，在密码处理部3C中，对从由鉴别服务器3传送的日期和时刻信息和共用键作成的报文摘要的信息与将连接被加密的日期和时刻信息与共用键的报文摘要进行解码的信息进行比较，在考虑了传送延迟的基础上确认鉴别信息作成日期和时刻的正当性(SP12)。

鉴别控制部3A从被传送的鉴别信息中包含的指纹信息和用户ID、鉴别服务器3的鉴别信息数据库3B中原来存储的个人信息实施指纹对照。鉴别控制部3A在对照的结果验明为本人的情况下，生成显示正规用户的鉴别结果，如果对照的结果不能验明为本人，则生成判断为不是本人的鉴别结果。将该鉴别结果送到密码处理部3C，在密码处理部3C中取得鉴别结果的报文摘要，用鉴别服务器3的秘密键进行加密，即进行数字署名，将该被加密的报文摘要传送到鉴别控制部3A。鉴别控制部3A将上述被加密的报文摘要并包含鉴别结果在内通知Web服务器4的鉴别请求部4B(SP13)。

接受鉴别结果的Web服务器4的鉴别请求部4B将鉴别结果通知密码处理部4D。密码处理部4D用鉴别服务器3的公开键将所通知的被加密的报文摘要解码，通过与被通知的鉴别结果的报文摘要进行比较，确认确实是来自正当的鉴别服务器3的通知(SP10)。如果鉴别请求部4B从密码处理部4D得知确认了是来自正当的鉴别服务器3的通知这一情况，则将鉴别结果通知Web服务器软件4C。Web服务器软件4C根据该鉴别结果对于该用户判定访问Web服务器数据库4A的机密度高的信息的许可·不许可。例如，进行该机密信息的显示等，进行用户访问的工作(SP11)。

这样，将作为用户的个人信息的指纹信息用所生成的共用键进行加密，因为该共用键由用户设定的鉴别服务器3的公开键进行加密以及用户在用户终端5中直接设定鉴别服务器3的公开键，故由于指纹信息在只在用户指定的鉴别服务器3中才能解码的状态下在网络上传送，故具有能使作为生物统计信息的指纹信息这样的用户个人的秘密以反映用户的意志的形态可靠地得到保护的效果。但是，由于产生指纹信息在用户终端5中不被加密地存在的期间，故与由指纹取得装置7加密的情况相比，安全性降低，但在适当地管理用户终端5本身的情况下是没有问题的，由于在指纹取得装置7中不需要密码处理部和公开键取得部，故具有指纹取得装置7的结构变得简单的效果。

除了上述的效果之外，也能得到与上述的实施例1相同的效果。

此外，也同样能应用于实施例2中示出的数据库检索S/W5E等的应用程序，可得到上述的同样的效果。

此外，在实施例1、实施例2、实施例3的所有情况下，生成对所取得的用户的生物统计信息进行加密用的共用键，但为了使该共用键的解码变得困难，有必要消除生成共用键用的随机数的趋势。因为生物统计信息一般来说在每次取得时都具有不同的值，故将所取得的生物统计信息的报文摘要作为随机数的一部分或全部来利用。

如上所述，由于生成从所取得的生物统计信息的报文摘要生成的随机数，故能简单地完成消除生成的随机数的趋势。而且，由于将该随机数的一部分或全部作为共用键生成用的随机数来使用，故可产生与鉴别次数或时刻完全没有关系的随机数，对于共用键的解码来说，可构成安全性方面很强的系统。

实施例4

虽然只有正当的管理者能实施上述的生物统计信息取得装置的管理，但在处于不能鉴别正当的管理者是谁的情况下，未经过上述鉴别的管理者或代行管理的其它人有必要能执行生物统计信息取得装置的初始化。在实施例1和实施例2的指纹取得装置中，对指纹取得装置进行了适当的管理，以鉴别服务器的公开键在指纹取得装置中固定地被确定的情况为例说明上述情况。

图7是设定和改变指纹取得装置12的公开键取得部12C中固定地被存储的公开键的管理时的结构。管理终端11是管理S/W11A工作的个人计算机及工作站等的计算机装置。指纹取得装置12由指纹信息取得部12A、密码处理部12B、公开键取得部12C和管理部12D构成。

由于管理终端11的管理S/W11A执行公开键设定，故将管理者的鉴别要求向指纹取得装置12发出。在指纹取得装置12的管理部12D的管理者鉴别部12D1中，虽然从指纹信息取得部7A取得管理者的指纹来进行管理者的指纹对照，但可能会陷于不能验明为管理者的事态发生那样的状态。这相当于因管理者的伤害的缘故使指纹本身消失的情况等。此时，虽然管理S/W11A命令指纹取得装置12的管理部12D的初始化者鉴别部12D2进行初始化，但此时利用初始化用的口令等事前设定的方法来进行初始化者的鉴别。初始化者鉴别部12D2只进行初始化者的鉴别，只能由初始化者鉴别部12D2在鉴别时执行指纹取得装置的初始化。

这样，通过与通常的管理者分开地具备初始化者用的鉴别装置，即使在管理者不能被鉴别的情况下及管理者突然不在等的情况下，也能执行初始化，同时具有可防止被没有保持初始化权限的人不正当地进行初始化的效果。

实施例5

图8为将为提高可靠性而发现不正当鉴别的装置应用于上述的鉴别服务器的情况。鉴别服务器13是这样一种个人计算机及工作站等的计算机装置，它由经历部13D、鉴别控制部13A、密码处理部13C、鉴别信息数据库13B构成。

鉴别服务器13的经历部13D在用户鉴别时取对照了生物统计信息的结果的对照率的经历。此外，经历部13D在同一用户鉴别时鉴别控制部13A不验明为本人的情况下，与到上次为止的将用户验明为本人时的平均对照率进行比较确认这次的对照率的变动没有大到在管理者确定的规定值以上。经历部13D在对照率的变动在管理者确定的规定值以上的情况下，使失败次数增加。而且在失败次数达到管理者确定的规定值以上的情况下，通知预先登记的管理者及用户本身。

按照该机构，对于管理者或对于打算冒充的用户，由于通知生物统计信息鉴别特有的异常的对照结果，故可早期发现不正当的鉴别，可保持系统的高的安全性。

此外，在生物统计信息的鉴别中，即使对照率是相同的，由于生物统计信息在每次取得时为不同的信息，故与过去取得的生物统计信息一致这样的概率是非常小的。以下，说明利用了该生物统计信息鉴别的特征的无效发现的机构。

图8的鉴别服务器13的经历部13D在用户鉴别时鉴别控制部13A验明为本人的情况下，与到上次为止的将用户验明为本人时的对照率进行比较，确认是否为相同的对照率。在对照率相同、且未存储生物统计信息的报文摘要的情况下，将用户鉴别定为失败的情况通知鉴别控制部13A，鉴别控制部13A将鉴别结果定为失败。同时，经历部13D将生物统计信息的报文摘要与对照率一起进行存储。在对照率相同、而存储了报文摘要的情况下，计算出这次的生物统计信息的报文摘要，与过去的相同的对照率下的生物统计信息的报文摘要进行比较，如果不同的话，验明为本人，但如果一致的话，由于存在冒充的可能性，故将用户鉴别定为失败，将该情况通知鉴别控制部13A。鉴别控制部13A将鉴别结果定为失败。经历部13D在对照率和报文摘要一致而使鉴别失败的情况下，使相同对照率的失败次数增加，在该失败次数达到管理者确定的规定值以上的情况下，通知预先登记的管理者及用户本身。

按照该机构，由于对于管理者或对于打算冒充的用户通知被认为是因生物统计信息的漏泄引起冒充的异常事态，故可早期发现不正当的鉴别，可保持系统的高的安全性。此外，由于经历部13D存储的是第2次以后的相同对照率时的生物统计信息的报文摘要，故具有可削减存储用的区域的效果，此外，由于是用报文摘要进行的比较，故与比较生物统计信息本身的情况相比，具有可缩短比较中花费的时间的效果。

如上所述，按照本发明，由于将作为用户的个人信息的生物统计信息加密，生物统计信息只在用户指定的鉴别服务器中能进行解码的状态下在网络上传送，故具有能以反映用户的意志的形态可靠地保护生物统计信息这样的用户个人的秘密的效果，同时，在鉴别服务器3中能确认鉴别信息作成时的日期和时刻，因此能防止不正当的鉴别信息的再使用，再者由于在鉴别请求侧能确认是否由鉴别服务器进行了鉴别，故可保持系统的高的安全性。

再有，虽然用户指示鉴别服务器的公开键，但假定即使存储了该公开键的软盘、磁卡、IC卡等被丢失或被盗窃，在安全性方面也没有问题，可利用存储了相同的公开键的替代品或相同的物品来接受个人鉴别，同时，由于存储了该公开键的替代品不是由每个用户来管理的，故在丢失或被盗窃时不需要特别的通告或再发行等的处理，具有可减轻管理负担的效果。

此外，由于从所取得的生物统计信息生成共用键生成用的随机数，故可产生与鉴别次数或时刻完全没有关系的随机数，对于共用键的解码来说，可构成安全性方面很强的系统。此外，通过与通常的管理者分开地具备初始化者用的鉴别装置，即使在管理者突然不在等的情况下，也能执行初始化，同时具有可防止被没有保持初始化权限的人不正当地进行初始化的效果。

此外，由于鉴别服务器取得用户鉴别时的经历，对预先指定的人，通知生物统计信息鉴别特有的异常的对照结果，故可早期发现不正当的鉴别，可保持系统的高的安全性。

Claims (8)

1.一种远程鉴别系统，该系统中将鉴别服务器、应用程序服务器和用户终端分别连接到网络上并进行使用上述用户终端的用户的鉴别，其特征在于：

上述鉴别服务器具有公开键加密方式的公开键和秘密键这一组，将公开键公开，将秘密键隐蔽起来，

将至少1个或多种生物统计信息取得装置连接到上述用户终端上，

上述生物统计信息取得装置用共用键加密方式的共用键对在鉴别时取得的用户的生物统计信息进行加密，

取得日期和时刻信息，将日期和时刻信息与上述共用键连接起来取得报文摘要，再用上述共用键对该报文摘要进行加密，

取得用户指定的鉴别服务器的公开键，用上述鉴别服务器的公开键对上述共用键进行加密，

同时，将已加密的上述生物统计信息、已加密的上述共用键、日期和时刻信息以及将日期和时刻信息与上述共用键连接起来对报文摘要进行加密的信息作为鉴别信息传送到上述用户终端上，

上述用户终端和上述应用程序服务器将该鉴别信息传送到上述鉴别服务器上，

上述鉴别服务器利用由上述秘密键对被传送的鉴别信息进行了解码而得到的上述共用键对用户的生物统计信息进行解码，

利用该生物统计信息来鉴别用户，

用上述秘密键对已鉴别的结果和已鉴别的结果的报文摘要进行加密，将其都传送到上述应用程序服务器上。

2.一种远程鉴别系统，该系统中将鉴别服务器和用户终端分别连接到网络上并进行使用上述用户终端的用户的鉴别，其特征在于：

上述鉴别服务器具有公开键加密方式的公开键和秘密键这一组，将公开键公开，将秘密键隐蔽起来，

将至少1个或多种生物统计信息取得装置连接到上述用户终端上，

上述生物统计信息取得装置用共用键加密方式的共用键对在鉴别时取得的用户的生物统计信息进行加密，

取得日期和时刻信息，将日期和时刻信息与共用键连接起来取得报文摘要，再用共用键对该报文摘要进行加密，

取得用户指定的上述鉴别服务器的公开键，用上述鉴别服务器的公开键对上述共用键进行加密，

同时，将已加密的上述生物统计信息、已加密的共用键、日期和时刻信息以及将日期和时刻信息与共用键连接起来对报文摘要进行加密的信息作为鉴别信息传送到上述用户终端上，

上述用户终端将该鉴别信息传送到上述鉴别服务器上，

上述鉴别服务器利用由上述秘密键对被传送的鉴别信息进行了解码而得到的上述共用键对用户的生物统计信息进行解码，

利用该生物统计信息来鉴别用户，

用上述秘密键对已鉴别的结果和已鉴别的结果的报文摘要进行加密，将其都传送到上述用户终端上。

3.如权利要求1中所述的远程鉴别系统，其特征在于：

上述生物统计信息取得装置在鉴别时不进行加密地将生物统计信息传送到上述用户终端上，

上述用户终端用共用键加密方式的共用键对已取得的用户的生物统计信息进行加密，

取得用户指定的鉴别服务器的公开键，

用上述鉴别服务器的公开键对上述共用键进行加密，

取得日期和时刻信息，将日期和时刻信息与共用键连接起来取得报文摘要，再用上述共用键对该报文摘要进行加密，

同时，将上述已加密的生物统计信息、上述已加密的共用键、日期和时刻信息以及将日期和时刻信息与共用键连接起来对报文摘要进行加密的信息作为鉴别信息传送到上述用户终端上。

4.如权利要求2中所述的远程鉴别系统，其特征在于：

上述生物统计信息取得装置在鉴别时不进行加密地将生物统计信息传送到上述用户终端上，

上述用户终端用共用键加密方式的共用键对已取得的用户的生物统计信息进行加密，

取得用户指定的鉴别服务器的公开键，

用上述鉴别服务器的公开键对上述共用键进行加密，

取得日期和时刻信息，将日期和时刻信息与共用键连接起来取得报文摘要，再用上述共用键对该报文摘要进行加密，

同时，将上述已加密的生物统计信息、上述已加密的共用键、日期和时刻信息以及将日期和时刻信息与共用键连接起来对报文摘要进行加密的信息作为鉴别信息传送到上述用户终端上。

5.如权利要求1～4的任一项中所述的远程鉴别系统，其特征在于：

上述用户终端在鉴别时在生成对所取得的用户的生物统计信息进行加密的共用键加密方式的共用键的情况下，使用该生物统计信息作为生成上述共用键用的随机数的一部分或全部。

6.如权利要求1～4的任一项中所述的远程鉴别系统，其特征在于：

上述生物统计信息取得装置包含管理生物统计信息取得装置的管理者的鉴别部和对生物统计信息取得装置进行初始化的初始化者的鉴别部，

上述2个鉴别部独立地进行鉴别，即使在不鉴别上述管理者的情况下，也能由上述初始化者的鉴别来进行初始化。

7.如权利要求1～4的任一项中所述的远程鉴别系统，其特征在于：

上述鉴别服务器存储在用户鉴别时对照了生物统计信息的结果的对照率的经历，

在用户鉴别时不验明为本人的情况下，比较到上次为止的将用户验明为本人时的平均对照率，

确认这次的对照率的变动是否大到上述管理者确定的规定值以上，

在对照率的变动大到该规定值以上的失败次数达到了上述管理者确定的规定值以上的情况下，通知预先登记的联络者。

8.如权利要求1～4的任一项中所述的远程鉴别系统，其特征在于：

上述鉴别服务器存储在用户鉴别时对照了生物统计信息的结果的对照率的经历，

在用户鉴别时在验明为本人的情况下，比较到上次为止的将用户验明为本人时的对照率，

在对照率相同、而未存储生物统计信息的报文摘要的情况下，使用户鉴别失败，计算出这次的生物统计信息的报文摘要，与对照率一起进行存储，

在对照率相同、而存储了生物统计信息的报文摘要的情况下，计算出这次的生物统计信息的报文摘要，与对照率成组地进行存储，同时与过去的相同的对照率中的生物统计信息的报文摘要进行比较，如果不同的话，则验明为本人，

在这次的对照率和报文摘要的组与过去的对照率和报文摘要的组完全一致的情况下，不验明为本人，

同时，在与过去的对照率和报文摘要的组完全一致的情况达到了管理者确定的规定值以上的情况下，通知预先登记的联络者。

Images