CN1842780A - 用户与系统的相互认证系统 - Google Patents
用户与系统的相互认证系统 Download PDFInfo
- Publication number
- CN1842780A CN1842780A CNA2004800245075A CN200480024507A CN1842780A CN 1842780 A CN1842780 A CN 1842780A CN A2004800245075 A CNA2004800245075 A CN A2004800245075A CN 200480024507 A CN200480024507 A CN 200480024507A CN 1842780 A CN1842780 A CN 1842780A
- Authority
- CN
- China
- Prior art keywords
- authentication
- user
- information
- data
- symbol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明的课题是提供一种对用户个人的系统认证有效的单元。其特征在于,经由包含因特网的通信线路连接系统管理侧电子设备和用户侧终端设备,使用装入系统侧电子设备的记录媒体的系统认证信息和用户操作的终端设备的个人输入操作的个人认证信息,相互地认证用户个人和访问对象的系统管理侧电子设备。在用户与系统的相互认证系统中,其特征在于,一组作为表示用户的上述个人认证信息的个人认证用数据;另一组作为表示系统认证信息的服务器认证用数据,登录设定两组认证用数据,交互地执行服务器认证用数据的服务器侧认证和用户的个人认证用数据的用户侧认证。
Description
技术领域
本发明涉及一种用户与系统的相互认证系统。例如,涉及一种在经由包含因特网的通信线路连接系统管理侧电子设备和用户侧终端设备的系统管理设备(数据管理中心、销售管理中心、电子交易·信息取出的服务器等)中,用户的认证系统。
背景技术
关于认证系统,使用了记录媒体的密码认证和生物测定学(biometrics)认证是公知的。
所述的密码认证作为认证方式在系统方面简便,现在正被广泛地使用。在从认知心理学的观点对该方式进行分类时,可以说是如下一种方式:从脑的记忆存储信息中“检索”并“再生”没有意义的记号记忆或作为不伴随经验的记忆的“无意义记忆”。
但是,如同作为密码的问题已知的那样,再生没有意义的记号或再生不伴随经验的意义记忆对于人们,特别是在老年人等人群的记忆力已下降时较为困难,容易发生再生错误。
为了避免这些,以将出生年月日作为密码等为代表,将单纯的数字或记号变换成意义记忆来进行记忆是比较常见的,但是将数字变为语义记忆的事例对于一般人来讲极为容易地限定于出生年月日,这容易导致本人被他人冒充而被侵害。
此外,为了将密码被盗时的侵害降低到最小限度,希望对每个认证媒体改变密码,但是与认证媒体对应的密码的记忆想起再生是比较困难的,若写成便签等,其结果是在被盗时会导致所有密码都将被盗的情况。
后者的生物测定学认证使用被称为本人固有的与生俱来的信息,具有决不会被忘记或消失的优点。但是,由于是本人的唯一的信息,因此就不能对每个记录媒体改变本人认证信息。因此不能对每个认证媒体改变本人认证信息。所以在本人认证信息被盗时,所有的认证媒体都会受到侵害,并且还具有代替被盗的本人认证信息制作本人信息非常困难等问题。
此外,还新需要用于读取生理信息的输入装置。并且还有如下问题:输入信息在输入读取环境中变化时,即使是本人也不被认证为本人,所谓的本人拒绝概率以一定概率产生。但是,为了降低该概率而降低检测的门槛时,由他人冒充本人的概率就会上升。有如下问题:本人拒绝概率和由他人冒充本人的概率无法避免折衷(tradeoff)的关系。
本申请的发明人以如下目的为发明目的,作为特愿2002-25110号(特开2003-228553)进行了申请,所述发明目的是:在使用了记录媒体的个人认证方法以及使用了记录媒体的个人认证系统中,应消除前者密码认证的问题点、使本人信息的记忆更加容易,同时使由他人冒充本人更加困难,此外,应消除后者生物测定学认证的问题点、使对每个记录媒体可以变更本人认证信息,同时使认证信息的输入读取机构简化,并且降低本人拒绝概率和提高由他人冒充本人的门槛。
该在先申请发明是图像活用型个人认证系统的技术,取代密码认证和生物测定学认证,将图像信息作为认证手段。
个人认证系统只将用户侧作为对象,系统侧排除“伪用户”,只认证受理合法的用户。
但是,随着网络犯罪的增加,只有系统侧的用户认证并不充分,还需要用户侧的系统认证这一认识正在逐渐增强。已经有了进行用户所有·管理下的终端对系统进行认证的情况。但是,在用户个人无法相信终端的环境中,还没有有效地不依赖终端直接对系统进行验证的“用户个人的系统认证”技术。
发明内容
由此,本发明的目的在于提供一种对于“用户个人的系统认证”有效的手段。
而且,本发明的目的还在于获得与在先申请发明的图像活用型个人认证系统手法统合的、有机整体的“人与系统的相互认证”的技术。
本发明提供一种用户与系统的相互认证系统,其特征在于,经由包含因特网的通信线路连接系统管理侧电子设备和用户侧终端设备,使用装入系统侧电子设备的记录媒体的系统认证信息和用户操作的终端设备的个人输入操作的个人认证信息,相互地认证用户个人与访问对象的系统管理侧电子设备,在用户与系统的相互认证系统中,其特征在于,一组作为表示用户的所述个人认证信息的个人认证用数据,另一组作为表示系统认证信息的服务器认证用数据,登录设定两组认证用数据,交互地执行服务器认证用数据的服务器侧认证和用户的个人认证用数据的用户侧认证。
本申请的发明通过人与系统的相互认证,排除“伪用户”,只对合法用户进行认证并在系统管理侧(服务器)受理的系统侧的用户认证基础上,还同时进行用户侧的系统认证,并强化针对信息泄漏的对策。
此外,本发明并不限定于用户所有·管理下的终端,在用户个人无法相信终端的环境中,作为不依赖终端直接认证系统的“人(用户个人)的系统认证”技术十分有效。
附图说明
图1是表示本发明的相互认证系统的概要的方框图。
图2是向用户侧电子设备(终端设备)的显示面的显示内容的说明图,(a)图表示准备阶段,(b)图表示第1次认证阶段,(b)图表示第2次认证阶段,(c)图表示第3次认证阶段,(b)图表示第N次认证阶段。
图3表示第1次认证阶段的处理流程的流程图。
图4表示第2次认证阶段的处理流程的流程图。
图5表示第3次认证阶段的处理流程的流程图。
图6表示第N次认证阶段的处理流程的流程图。
图7表示由狗的正面照片构成的USP集合(K)。
图8是用户·系统相互认证的整体结构的说明图。
图9-1是认证符号登录阶段(密码认证成功时)的时序图。
图9-2是认证符号登录阶段(密码认证失败时)的时序图。
表示密码认证失败时
图10是相互认证阶段(认证成功时)的时序图。
图11-1是相互认证阶段(用户认证失败时)的时序图。
图11-2是相互认证阶段(用户认证失败时)的时序图。
具体实施方式
在本发明的最佳实施例中,经由含有因特网的通信线路连接系统管理侧电子设备和用户侧电子设备(终端设备),使用装入系统侧电子设备的记录媒体的系统认证信息和用户操作终端设备的个人输入操作的个人认证信息,相互地认证个人与访问对象的系统管理侧电子设备。
在上述的个人认证与认证管理侧的认证的相互认证时,一组作为个人认证用数据,另一组作为系统认证数据,为了进行相互认证登录设定多个的两个种类的对照符号,对于所述两个种类的对照符号,至少个人认证用数据设为图像活用型对照符号,交互地执行认证管理电子设备的系统认证用数据的系统管理电子设备的认证和用户认证用数据的用户个人认证。
在图像·图像活用型的个人认证技术中,系统侧判断·确认“系统与人共有视觉对象(符号)的记忆”。如果人判断·确认共有同样的视觉对象记忆,则进行人的系统认证。
在为了进行相互认证登录设定对照符号时,登录两个种类的符号(优选使符号数量相同)。
一组是个人认证用数据,另一组是用于“人的系统认证”的服务器认证用。
可以从同一画面连续地选择·登录两组,还可以从各自不同的画面进行登录。唯有服务器认证可以不是从已知的认证用画面,而是从其他的地方取来完全不同的一组符号(在包含汉字的视觉对象中,与难以记忆的“再生”无关,只要能以更容易的“再确认”来进行确认则任何都可以)。
实施例
以下,参照附图根据实施例对本发明进行详细地说明。
参照图1,经由因特网3连接用户侧的终端设备(客户终端)1和服务器侧电子设备(网络服务器)2。
用户终端设备1具有显示装置11、输入装置12和计算机10,服务器侧电子设备2具有显示装置21、输入装置22和计算机20。
用户侧终端设备1的计算机10具备作为存储装置13和认证信号产生输出装置14的功能。服务器侧电子设备2的计算机20具有作为存储装置23、比较判别装置25和认证信号产生输出装置24的功能。
在用户侧终端设备(客户终端)1的显示装置1’中,
系统的用户认证用图像显示为用于选择用户认证符号UPS的UPS集合(K);用户的系统认证用图像显示为系统认证符号SPS。
在实施例中,将用户认证符号UPS和系统认证符号SPS一起作为图像活用型对照符号。
图2表示用户侧终端设备(客户终端)1的显示装置1’的画面,a图表示认证准备阶段,在画面的右下角显示了UPS集合(K)[包含用户认证符号UPS的16个符号组]。
b图表示第1次认证阶段,在附图右下角的UPS集合(K)[包含用户认证符号UPS的16个符号组]基础上,在左上角1个系统认证符号SPS显示为“A1”。
c图表示第2次认证阶段,与b图相比较,追加1个系统认证符号SPS“A2”,在左上角2个系统认证符号SPS显示为“A1”“A2”。
d图表示第N次认证阶段(最终认证阶段),在左上角N个系统认证符号SPS显示为“A1”“A2”......“An”。
参照图3至图6,对访问·认证顺序进行说明。
参照图3,在认证准备阶段中,
a:例如,用户个人U从位于他人管理下的、认证不明的终端T尝试访问(01)。
b:通过步骤S1,通过PKI等密码使用设备认证技术,服务器S对终端T进行认证。
c:由服务器S向用户个人U发送用于选择用户认证用符号UPS的符号集合K(03)。
d:在用户个人侧的终端设备1的显示装置的画面1’中显示所述符号集合K(04)。
参照图4,在第1次认证阶段中,
a:由服务器S向用户认证侧的终端T发送(11)系统认证用密符(passsymbol)(SPS)的第1次认证用“A1”。
b:在用户侧终端设备1的显示装置的画面1’的左上角显示(12)“A1”。
c:通过步骤S11,由用户在终端T对系统认证用密符(SPS)的第1次认证用“A1”进行验证。——第1次系统认证——
d:由用户从显示装置的画面1’右下角的“符号集合K”中选择并发送(13)第1次用户认证用符号“B1”。
e:通过步骤S12,由系统对用户认证用密符(UPS)的“B1”进行第1次用户认证。——第1次用户认证——
由于步骤S12的成立,第1次相互认证结束。
参照图5,在第2次认证阶段中,
a:由服务器S向用户认证侧的终端T发送(21)系统认证用密符(SPS)的第2次认证用“A2”。
b:在用户侧终端设备1的显示装置的画面1’左上角追加显示(22)“A2”。
c:通过步骤S21,由用户在终端T对系统认证用密符(SPS)的第2次认证用“A2”进行认证。——第2次系统认证——
d:由用户从显示装置的画面1’右下角的“符号集合c”中选择、发送(23)第2次用户认证用符号“B2”。
e:通过步骤S22,由系统对用户认证用密符(UPS)的“B2”进行第2次用户认证。——第2次用户认证——
由于步骤S22的成立,第2次相互认证结束。
以下同样地进行相互认证直到第N-1次,结束第N-1次相互认证。
参照图6,在第N次认证阶段中,
a:由服务器S向用户认证侧的终端T发送(N1)系统认证用密符(SPS)的第2次认证用“An”。
b:在用户侧终端设备1的显示装置的画面1’的左上角追加显示(N2)“An”。
e:通过步骤Sn1,由用户在终端T对系统认证用密符(SPS)的第N次认证用“An”进行认证。——第N次系统认证——
f:由用户从显示装置的画面1’右下角的“符号集合K”中选择、发送(N3)第N次用户认证用符号“Bn”。
g:通过步骤Sn2,由系统对用户认证用密符(UPS)的“Bn”进行第N次用户认证。——第N次用户认证——
由于步骤Sn2的成立,第N次相互认证结束。
由于第N次相互认证结束,成为“认证成立”(例如允许向用于电子交易的电子设备的连接)。
在上述的认证成功时,通过服务器侧电子设备2的计算机20的存储装置23和比较判别装置25的功能,根据在记录装置中登录了的系统认证符号SPS,发送与来自终端的ID对应的“A1”,同时通过比较来自终端的用户认证符号UPS“B1”与在计算机20的存储装置23中记录了的用户认证符号UPSP“B1’”,进行步骤S12的认证。在第2认证阶段之后也相同。
对各认证阶段的不成立、成立进行描述。
在认证准备阶段中,“步骤S01”的不成立意味着存在从不可信赖的终端流出数据的危险。如果可能,从服务器S提示该旨意的消息并从服务器S切断通信。作为容易向用户表示非认证事实的视觉识别消息的一种,可以考虑故意使画面混乱的混乱(garble)化等。
对于第1认证阶段的“步骤S12”的成立:
通过提示用户U登录的1个SPS,推定为真正的服务器S,用户U继续步骤,进入下一步。
对于第1阶段的“步骤S12”不成立:
通过不做任何提示或者提示未知(unknow)符号,判断为服务器S是冒充(终端T也是冒充),用户U切断连接。
对于第1认证阶段的成立:
服务器S通过从用户U接收最初的1个正确的UPS,判断为是合法的服务器U的概率比是冒充U用户的概率高,允许继续进行处理,进入到第2认证阶段。
第1认证阶段3不成立(服务器S没有从用户U接收最初的1个正确的UPS。在认为可能是敲击错误时被选择的用户U被允许再试2~3次。)。若被判断为是伪用户U,则服务器切断连接(认证画面K和1个SPS流出到伪用户U)。
在第2认证阶段的“步骤S22”中,服务器S向用户U正确地提示第2个SPS“A2”,判断为用户U是真正服务器S的概率进一步提高,前进到下一步。
在服务器认证不成立(服务器S没有正确地提示第2个“A2”),同样由用户U判断为服务器S是冒充,用户U切断连接(1个UPS流出到伪服务器S)。
第2认证阶段成立(服务器S从用户U接收到第2个正确的UPS),服务器S强化用户U为合法用户的推定并继续进行处理,进入第3认证阶段。
以下相同,重复与登录个数相同的次数,直至最后在相互接收到正确的符号时结束相互认证。在过程中不能提示正确的SPS的服务器S在该时间点被用户U判断为是伪服务器S。同样地,不能选择正确的UPS的用户U在该时间点被服务器S判断为是伪用户U。分别立即由用户U或者由服务器S中断处理。
其结果是,只有真正的服务器S可以受理合法用户S的访问,只有合法用户U可以访问真正的服务器S。
在假定可以用伪服务器S欺骗合法用户U时,即使在本发明中可以与SPS/UPS的个数相同次数地重复扮演伪用户U和伪服务器S的第3者在理论上最终也不可能得到合法用户U的UPS。但是,在实践中是大致不可能。这是因为在第1认证阶段或第2认证阶段不成立的时间点上,注意到了1个至2个UPS被伪服务器S盗取的用户采取如下一种防御对策:从位于自家·办公室中的可以信赖的自己管理下的已认证的终端T(可以通过PKI等排除伪服务器S)访问真正的服务器S,由此进行SPS/UPS的删除·重新登录。
在本发明中,并没有想到自毁型用户U,其即使在第1认证阶段或者第2认证阶段不成立时(相当于用户知道在他人管理下的认证不明的终端T的背后打算欺骗用户的伪服务器拥有至此盗取来的SPS/UPS),尝试继续进行来自认证不明的终端T的访问。
在本发明的实施例中,把在图2画面的右下角显示的UPS集合(K)(16个用户认证符号UPS(真正的和诱饵的集合)以及在左上角显示的系统认证符号SPS“A1”“A2”......)作为图像信息。
特别地,参照图7,在实施例中全部设为“狗”的正面照片。通过所有狗的种类、所有“狗”的正面朝向来区别系统认证符号SPS“A1”“A2”......以及UPS集合(K)(16个用户认证符号UPS(真正的和诱饵的集合)abcdefghi......[B1=a、B2=f、B3=k...])。通过按照用户的记忆与历史事件相关联地进行确定,无需纸记录或其他的记忆方法,可以确切地防止向第3者泄漏用户记忆认证。
此外,可以只把作为个人认证用数据的UPS集合(K)(16个用户认证符号UPS(真正的和诱饵的集合))作为图像信息;还可以把系统认证符号SPS“A1”“A2”作为图像信息以外的信息(例如,英文数字信息、汉字信息)。
关于上述的用户记忆认证,可以应用下述的在先申请“特愿2002-25110号(特开2003-228553)”。
关于本申请的实施例,对于本人信息,只要是本人熟悉的感知信息任何信息都可以。
照片、画、图片、文字等视觉信息;音乐、日常的声音等听觉信息;盲文、手的感触等触觉信息;味道等嗅觉信息都可以使用。
其中,对一般健康者特别理想的是视觉信息。在各种知觉信息中视觉信息对于人来说识别力高、容易想起。但是对于残障人士来说,有时视觉信息之外的听觉信息、触觉信息也是较好的。
本发明的第1步骤是将本人熟悉的信息作为认证对象信息进行登录。本人熟悉的信息是已经由本人记忆了的信息,不需要重新记忆。
关于这些知觉信息的内容什么都可以,特别优选是与人、风景、动物、植物、宠物、爱好等日常长时间接触的对象物有关的信息,由于长时间接触,记忆被强化,在脑中作为长时间记忆被记忆保存,难以忘记。
在这些长期记录中,较好的是与至少接触了一个月或一个月以上的对象物有关的知识信息,更好的是接触了1年或1年以上,最好是与接触了3年或3年以上的对象物有关的知识信息。
并且,作为记忆信息较好的是在1年或多于1年的时间之前接触的记忆信息,特别好的是3年之前的信息,根据本人的年龄不同而条件不同,但如果是本人熟悉的信息,时间尽量久一点的是比较好的。
此外,这些知觉信息中优选的是伴随本人过去的生活史或感情的情节。
在认知心里学中,所谓情节记忆是指能够定位于特定的时间/空间情景中的事件(情节),另一方面,所谓意义记忆是指例如“鲸鱼是哺乳类”这样的一般知识或者可以语言描述的记忆。
即使在情节记忆中,本人的感情、生活史上重要并对本人留下深刻印象的记忆由于难以忘记所以是较好的。
此外,本人信息优选至少由1单位信息、较好的是由2单位信息、最好是由3单位信息或3单位信息以上构成。
并且,在由多个单位信息构成时,由本人记忆的时代、场所等不同的信息构成该信息是较好的。
通过由不同的信息构成,可以提高由经历过相同生活史的他人冒充本人的门槛。
非本人信息“诱饵信息”,只要是本人不熟悉的单位信息即可。但是,与本人信息明显不同的信息会降低他人冒充的门槛,所以这一点不理想。较好的是概念相同但内容不同。例如,本人信息如果是脸则诱饵信息也是脸,如果本人信息是风景则诱饵信息是类似年代的风景,如果本人信息是狗则诱饵信息是类似种类的狗等。
此外,优选非本人信息是只可以由本人识别不同并且他人不能区别的信息。人是具有这样的能力,例如双胞胎孩子的父母可以识别孩子,但是他人一般很难识别。
因此,可以一边对本人登录信息进行数字化来展示给本人,一边以此为基础用市场上出售的图像修正软件、变形软件等进行数字合成和数字修正,合成本人可以识别某一修正点但其他人无法识别的单位信息。
由本人信息和非本人信息构成的登录信息需要由至少1单位或1单位以上的本人信息和至少1单位或1单位以上的非本人信息构成。更好的是由2单位或2单位以上的本人信息和4单位或4单位以上的非本人信息构成,最好是由2单位或2单位以上的本人信息和7单位或7单位以上的非本人信息构成。
向本人提示登录信息的方法可以是并列提示登录信息的方法或者依次提示单位信息的方法中的任意一种。
另外,在并列提示、依次提示中的任意一种中,优选为不固定本人信息和非本人信息的位置的方法。
在该个人认证方式中,判定是否从登录信息中选择了本人信息是通过是否选择了作为本人信息的单位信息来判断的,不需要本人再现本人信息。
这些从认知心理学的观点来看是“再确认”,与作为密码方式的必要条件的“再生”从根本上不同。
在“再确认”时,如果熟练地选择本人信息,则人们即使从相似的信息量大的对象信息中也可以一瞬间地选择本人信息。
另一方面,在“再生”时,可再生的信息量被限定,被限定成极短的语言信息。
此外,在本发明的实施例中,在准备阶段在终端T中显示“UPS集合(K)(16个用户认证符号UPS(真正以及诱饵的集合))”,但是通过在每个认证阶段进行显示并且只在选择UPS时显示,可以减少向用户U以外的第3者的泄漏。此外,还可以在每个认证阶段改变UPS集合(K)的内容、排列。
接下来,在图8中表示用于实施本发明的用户/系统相互认证的整体结构的实施例。
另外,图9表示认证符号登录阶段。图9-1表示密码认证成功时,图9-2表示密码认证失败时。
在图8和图9中,各要素的功能概要如下:
认证服务器S
如果由认证客户T接收到服务器·终端间相互认证的请求,则进行与T的相互认证。在本系统中,进行SSL的相互认证以及TS间的加密信道的确立。
若与T的相互认证结束,则向T发送初期画面(输入用户ID)。
从T接收用户ID,从DB取得对应的用户用认证信息UPS。
同时取得服务器用认证信息SPS。
向T发送第i个服务器认证符号SPS和用户认证画面。
从T接收第i个服务器认证符号SPS认证结果和用户的第i个认证符号UPS。
认证服务器S检测用户认证符号UPS。如果检测成功则认证服务器S检测服务器认证符号SPS的认证结果;如果检测不成功,则向T发送认证序列(用户认证失败)失败的画面。
检测服务器认证符号SPS的认证结果,如果正确则转移至第i+1次的认证序列;如果不正确则向T发送认证序列失败(服务器认证失败)的画面。
如果到登录符号数n为止的序列全部成功,则向T发送认证成功的画面。
认证客户T
如果由用户U起动,则进行与认证服务器S的相互认证。在本系统中,进行SSL的相互认证和TS间的加密化信道的确立。
显示从认证服务器S接收初始画面。
从U接收用户ID的输入并发送到S。
从S接收第i个服务器认证符号SPS和U的符号认证画面,并进行画面显示。
从U接收服务器认证符号SPS认证结果和第i个用户认证符号UPS,并发送到S。
在从S发送来认证序列失败(用户或者服务器认证失败)的画面时,显示该画面。
在从S发送来认证成功的画面时,显示该画面。
登录服务器Rs
如果由登录客户Rc接收到密码认证请求,向Rc发送密码认证画面。
由登录客户Rc接收请求认证符号信息登录的用户U的ID和密码,并进行认证。若ID与密码一致,则向Rs发送认证符号登录画面。如果不一致,则向Rs发送认证失败的画面。
由Rc接收U的用户认证符号信息和服务器认证符号信息,并在DB登录。登录结束后,向Rs发送对U通知登录结束的画面。
登录客户Rc
若由用户U起动,则发送登录服务器Rs和密码认证请求。
在从Rs发送来密码认证画面时,显示该画面,等待输入来自U的用户ID和密码。若U的输入结束,则向Rs发送用户ID和密码。
在从Rs发送来认证符号登录画面时,显示该画面,等待输入来自U的登录认证符号信息。
在从Rs发送来认证失败画面时,显示该画面并结束。
若从U接收到用户认证符号信息和服务器认证符号信息,则向Rs发送该信息。
若从Rs接收到登录结束画面,则显示该画面并结束。
用户U
为了开始相互认证顺序,起动认证客户T。
在T显示了初始画面时,输入自己的用户ID。
在T显示了认证服务器S的第i个认证符号和U的认证符号认证画面时,执行以下。
a.判断服务器认证符号的正确/错误,向T输入该结果。
b.选择自己的第i个用户认证符号,向T输入该结果。
为了开始认证符号登录顺序,起动登录客户Rc。
在Rc显示了密码认证画面时,输入自己的用户ID、密码。
在Rc显示了认证符号登录画面时,输入用户认证符号信息和服务器认证符号信息。
图10和图11对相互认证序列格式进行说明。
在本系统中采用“认证符号登录阶段”和“相互认证阶段”两个阶段,“认证符号登录阶段”登录为了在用户·服务器间进行相互认证所需要的信息;“相互认证阶段”实际进行用户·服务器间的相互认证。
图10表示相互认证阶段(认证成功时)。
图11-1表示相互认证阶段(用户认证失败时)。
图11-2表示相互认证阶段(服务器认证失败时)。
产业上的可利用性
本发明在系统管理设备(数据管理中心、销售管理中心、电子交易/信息取出的服务器等)中,作为使用者的认证技术具有广泛的使用价值。即,本发明在作为系统管理设备窗口的服务器与用户个人的连接时,通过人与系统的相互认证,在系统侧的用户认证基础上,还同时进行用户侧的系统认证,强化针对信息泄漏的对策,尤其在电子信息的使用、电子交易的应用中有效。
Claims (6)
1.一种用户与系统的相互认证系统,其经由通信线路连接系统管理侧电子设备和用户侧终端设备,使用装入系统侧电子设备的记录媒体的系统认证信息和用户操作的终端设备的个人输入操作的个人认证信息,相互地认证用户个人与访问对象的系统管理侧电子设备,其特征在于,
一组作为表示用户的所述个人认证信息的个人认证用数据,另一组作为表示系统认证信息的服务器认证用数据,登录设定两组认证用数据,
交互地执行服务器认证用数据的服务器侧认证和用户的个人认证用数据的用户侧认证。
2.一种用户与系统的相互认证系统,其经由通信线路连接系统管理侧电子设备和用户侧终端设备,使用装入系统侧电子设备的记录媒体的系统认证信息和用户操作的终端设备的个人输入操作的个人认证信息,相互地认证用户个人与访问对象的系统管理侧电子设备,其特征在于,
一组作为表示用户的所述个人认证信息的个人认证用数据,另一组作为表示系统认证信息的系统认证数据,为了进行相互认证分别登录设定多个的两个种类的对照符号,交互地执行系统认证用数据的系统侧认证和用户的个人认证用数据的用户认证。
3.根据权利要求2所述的用户与系统的相互认证系统,其特征在于,
一组作为表示用户的所述个人认证信息的个人认证用数据,另一组作为表示系统认证信息的服务器认证用数据,为了进行相互认证分别登录设定多个的两个种类的对照符号,
由用户认证符号构成用户认证用数据,由服务器认证符号构成服务器认证用数据。
4.根据权利要求2所述的用户与系统的相互认证系统,其特征在于,
关于所述两个种类的对照符号,使个人认证用数据和认证用数据数量相同。
5.根据权利要求2所述的用户与系统的相互认证系统,其特征在于,
关于所述两个种类的对照符号,至少个人认证用数据作为图像活用型对照符号。
6.根据权利要求2所述的用户与系统的相互认证系统,其特征在于,
所述个人认证用数据由图像活用型对照符号构成,各个图像活用型参考符号作为从多个合法符号图像和多个诱饵符号图像中选择出的合法符号图像;个人认证是基于个人经验事项的记忆选择,同时对于多个合法符号图像,选择顺序是个人记忆的事项的发生顺序。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP302401/2003 | 2003-08-27 | ||
| JP2003302401A JP2005071202A (ja) | 2003-08-27 | 2003-08-27 | ユーザとシステムの相互認証システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1842780A true CN1842780A (zh) | 2006-10-04 |
Family
ID=34269176
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2004800245075A Pending CN1842780A (zh) | 2003-08-27 | 2004-08-23 | 用户与系统的相互认证系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7552330B2 (zh) |
| EP (1) | EP1667029A1 (zh) |
| JP (1) | JP2005071202A (zh) |
| CN (1) | CN1842780A (zh) |
| WO (1) | WO2005022396A1 (zh) |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4797506B2 (ja) * | 2005-08-11 | 2011-10-19 | 富士電機リテイルシステムズ株式会社 | 非接触通信媒体の識別方法および決済装置 |
| JP4422088B2 (ja) | 2005-09-27 | 2010-02-24 | Necネクサソリューションズ株式会社 | 画像配列型認証システム |
| FR2898448A1 (fr) * | 2006-03-07 | 2007-09-14 | France Telecom | Authentification d'un dispositif informatique au niveau utilisateur |
| US20070277224A1 (en) | 2006-05-24 | 2007-11-29 | Osborn Steven L | Methods and Systems for Graphical Image Authentication |
| CA2649015C (en) | 2006-05-24 | 2014-01-21 | Vidoop, L.L.C. | Graphical image authentication and security system |
| US8117458B2 (en) * | 2006-05-24 | 2012-02-14 | Vidoop Llc | Methods and systems for graphical image authentication |
| US9189603B2 (en) | 2006-05-24 | 2015-11-17 | Confident Technologies, Inc. | Kill switch security method and system |
| US8521857B2 (en) | 2006-08-24 | 2013-08-27 | Bby Solutions, Inc. | Systems and methods for widget rendering and sharing on a personal electronic device |
| US9654589B2 (en) * | 2006-08-24 | 2017-05-16 | Bby Solutions, Inc. | Configurable personal audiovisual device for use in application-sharing system |
| JP2008098792A (ja) * | 2006-10-10 | 2008-04-24 | Hitachi Ltd | コンピュータシステムとの暗号化通信方法及びシステム |
| US8327420B2 (en) * | 2006-10-30 | 2012-12-04 | Girish Chiruvolu | Authentication system and method |
| EP2115919A2 (en) * | 2007-02-05 | 2009-11-11 | Vidoop, L.l.c. | Methods and systems for delivering sponsored out-of-band passwords |
| US20110047605A1 (en) * | 2007-02-06 | 2011-02-24 | Vidoop, Llc | System And Method For Authenticating A User To A Computer System |
| US7266693B1 (en) * | 2007-02-13 | 2007-09-04 | U.S. Bancorp Licensing, Inc. | Validated mutual authentication |
| US8176332B2 (en) * | 2007-02-15 | 2012-05-08 | Christopher Nathan Drake | Computer security using visual authentication |
| US20100250937A1 (en) * | 2007-03-05 | 2010-09-30 | Vidoop, Llc | Method And System For Securely Caching Authentication Elements |
| JP4928333B2 (ja) | 2007-04-12 | 2012-05-09 | キヤノン株式会社 | コンテンツ表示装置及びコンテンツ表示方法 |
| WO2009002804A2 (en) * | 2007-06-22 | 2008-12-31 | Chumby Industries, Inc. | Systems and methods for device registration |
| US20110202982A1 (en) * | 2007-09-17 | 2011-08-18 | Vidoop, Llc | Methods And Systems For Management Of Image-Based Password Accounts |
| US20090240578A1 (en) * | 2008-03-18 | 2009-09-24 | Christopher James Lee | Methods and systems for graphical security authentication and advertising |
| US8621578B1 (en) | 2008-12-10 | 2013-12-31 | Confident Technologies, Inc. | Methods and systems for protecting website forms from automated access |
| KR101876466B1 (ko) * | 2009-09-09 | 2018-07-10 | 삼성전자 주식회사 | 컴퓨터시스템 및 그 제어방법 |
| JP5440142B2 (ja) * | 2009-12-15 | 2014-03-12 | 株式会社リコー | 認証装置、認証システム及び認証方法 |
| US8627088B2 (en) * | 2010-02-10 | 2014-01-07 | Authernative, Inc. | System and method for in- and out-of-band multi-factor server-to-user authentication |
| US8370926B1 (en) * | 2010-04-27 | 2013-02-05 | Symantec Corporation | Systems and methods for authenticating users |
| BR112013004930A2 (pt) * | 2010-08-31 | 2021-04-13 | Hideharu Ogawa | Aparelho de comunicação, aparelho de lembrete e meio de gravação de informação. |
| KR20120072032A (ko) * | 2010-12-23 | 2012-07-03 | 한국전자통신연구원 | 모바일 단말의 상호인증 시스템 및 상호인증 방법 |
| US8810365B2 (en) * | 2011-04-08 | 2014-08-19 | Avaya Inc. | Random location authentication |
| US10754814B1 (en) * | 2011-12-22 | 2020-08-25 | Amazon Technologies, Inc. | Methods and systems for image-based authentication |
| CN104660555B (zh) * | 2013-11-19 | 2019-05-03 | 腾讯科技(深圳)有限公司 | 一种确认处理方法、相关装置及系统 |
| US20160261593A1 (en) * | 2015-03-06 | 2016-09-08 | CallSign, Inc. | Systems and methods for decentralized user authentication |
| JP6635495B1 (ja) | 2018-12-25 | 2020-01-29 | パスロジ株式会社 | リモコンシステム、リモコン方法、ならびに、プログラム |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5434918A (en) * | 1993-12-14 | 1995-07-18 | Hughes Aircraft Company | Method for providing mutual authentication of a user and a server on a network |
| JPH07236006A (ja) | 1994-02-21 | 1995-09-05 | Nippon Avionics Co Ltd | 集中保守管理システム |
| US5872917A (en) * | 1995-06-07 | 1999-02-16 | America Online, Inc. | Authentication using random challenges |
| US7219368B2 (en) * | 1999-02-11 | 2007-05-15 | Rsa Security Inc. | Robust visual passwords |
| US20040030934A1 (en) * | 2001-10-19 | 2004-02-12 | Fumio Mizoguchi | User selectable authentication interface and universal password oracle |
| US20030093699A1 (en) * | 2001-11-15 | 2003-05-15 | International Business Machines Corporation | Graphical passwords for use in a data processing network |
| JP4706817B2 (ja) | 2002-02-01 | 2011-06-22 | 國米 仁 | 記録媒体を使用した個人認証方法および記録媒体を使用した個人認証システム |
| US7100049B2 (en) * | 2002-05-10 | 2006-08-29 | Rsa Security Inc. | Method and apparatus for authentication of users and web sites |
| US7174462B2 (en) * | 2002-11-12 | 2007-02-06 | Intel Corporation | Method of authentication using familiar photographs |
| US7124433B2 (en) * | 2002-12-10 | 2006-10-17 | International Business Machines Corporation | Password that associates screen position information with sequentially entered characters |
| US7644433B2 (en) * | 2002-12-23 | 2010-01-05 | Authernative, Inc. | Authentication system and method based upon random partial pattern recognition |
| US7073067B2 (en) * | 2003-05-07 | 2006-07-04 | Authernative, Inc. | Authentication system and method based upon random partial digitized path recognition |
| US7616764B2 (en) * | 2004-07-07 | 2009-11-10 | Oracle International Corporation | Online data encryption and decryption |
| US7266693B1 (en) * | 2007-02-13 | 2007-09-04 | U.S. Bancorp Licensing, Inc. | Validated mutual authentication |
-
2003
- 2003-08-27 JP JP2003302401A patent/JP2005071202A/ja active Pending
-
2004
- 2004-08-23 WO PCT/JP2004/012436 patent/WO2005022396A1/ja active Application Filing
- 2004-08-23 CN CNA2004800245075A patent/CN1842780A/zh active Pending
- 2004-08-23 EP EP04772392A patent/EP1667029A1/en not_active Withdrawn
- 2004-08-23 US US10/569,115 patent/US7552330B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| EP1667029A1 (en) | 2006-06-07 |
| JP2005071202A (ja) | 2005-03-17 |
| WO2005022396A1 (ja) | 2005-03-10 |
| US7552330B2 (en) | 2009-06-23 |
| US20060230435A1 (en) | 2006-10-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1842780A (zh) | 用户与系统的相互认证系统 | |
| CN1479896A (zh) | 内容发行系统、内容发行方法和客户机终端 | |
| CN101038653A (zh) | 验证系统 | |
| CN1661634A (zh) | 门禁系统 | |
| CN1746809A (zh) | 生物统计标识系统 | |
| CN1926532A (zh) | 能用给定的访问方法进行数据发送的数据处理装置 | |
| CN1682227A (zh) | 医学信息管理系统 | |
| CN1244984A (zh) | 用于信息系统访问和交易处理的语音识别 | |
| CN1627786A (zh) | 图像处理系统以及图像处理方法 | |
| CN1810206A (zh) | 人物核对装置、人物核对系统以及人物核对方法 | |
| CN1838599A (zh) | 认证和个人内容发送方法及其显示设备和服务器 | |
| CN1573752A (zh) | Url检索系统、服务器及url检索方法 | |
| CN1277400A (zh) | 电子数据管理系统 | |
| CN1835550A (zh) | 用于传输加密数据的图像处理设备和方法 | |
| CN104064062A (zh) | 一种基于声纹和语音识别的在线听力学习方法及系统 | |
| CN1527529A (zh) | 信息视听系统以及信息播放机器及信息提供装置 | |
| US20080281628A1 (en) | Method And Software Product For Establishing Informed Consent | |
| CN1897045A (zh) | 信息处理系统、信息处理装置和方法、以及程序 | |
| CN1874405A (zh) | 图像处理系统和图像处理装置 | |
| CN1808490A (zh) | 数字印章的商务运行方法及其系统 | |
| CN1272934A (zh) | 数字签名准备服务器和方法 | |
| CN1705367A (zh) | 信息处理设备和信息处理方法 | |
| CN101042869A (zh) | 鼻骨传导活体声纹辨识装置 | |
| US8484743B2 (en) | Image forming apparatus and computer-readable storage medium for computer program | |
| JP5811642B2 (ja) | 音声記録サーバ装置及び音声記録システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |