JP2002366527A - 本人認証方法 - Google Patents
本人認証方法Info
- Publication number
- JP2002366527A JP2002366527A JP2001175393A JP2001175393A JP2002366527A JP 2002366527 A JP2002366527 A JP 2002366527A JP 2001175393 A JP2001175393 A JP 2001175393A JP 2001175393 A JP2001175393 A JP 2001175393A JP 2002366527 A JP2002366527 A JP 2002366527A
- Authority
- JP
- Japan
- Prior art keywords
- function value
- information
- user
- procedure
- client device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 生体情報の漏洩を防止してユーザの不安を取
り除き、サーバ装置への不正アクセスを防止する。 【解決手段】 クライアント装置1は、記録担体4の生
体情報とユーザの生体情報が一致すると認証要求を送る
照合装置11、記録担体4の生体情報を一方向性関数に
より第2の関数値に変換し、この関数値と乱数rを結合
した情報を一方向性関数により第3の関数値に変換する
演算手段12を有し、サーバ装置2は、認証要求に応じ
て乱数rを送信する乱数生成手段21、正規ユーザの生
体情報を一方向性関数によって変換した第1の関数値を
データベース22から取得し、この関数値と乱数rを結
合した情報を一方向性関数により第4の関数値に変換す
る演算手段23、第3,第4の関数値を照合する照合手
段24を有する。
り除き、サーバ装置への不正アクセスを防止する。 【解決手段】 クライアント装置1は、記録担体4の生
体情報とユーザの生体情報が一致すると認証要求を送る
照合装置11、記録担体4の生体情報を一方向性関数に
より第2の関数値に変換し、この関数値と乱数rを結合
した情報を一方向性関数により第3の関数値に変換する
演算手段12を有し、サーバ装置2は、認証要求に応じ
て乱数rを送信する乱数生成手段21、正規ユーザの生
体情報を一方向性関数によって変換した第1の関数値を
データベース22から取得し、この関数値と乱数rを結
合した情報を一方向性関数により第4の関数値に変換す
る演算手段23、第3,第4の関数値を照合する照合手
段24を有する。
Description
【0001】
【発明の属する技術分野】本発明は、ユーザの生体情報
を用いて本人認証を行う本人認証方法に関するものであ
る。
を用いて本人認証を行う本人認証方法に関するものであ
る。
【0002】
【従来の技術】近年、ネットワークによるサービス提供
においては、個人認証(クライアント認証)を行うこと
が重要なセキュリティ技術となってきている。個人を特
定する方式として最も普及している暗証番号等のパスワ
ード方式は、パスワードを他人に類推されないような文
字列にする必要があり、またユーザ本人がパスワードを
記憶している必要があり、さらにパスワードを適宜変更
する必要があるといった運用上の問題点があり、利用者
にとって不便な方式である。特に、今後の高齢化社会に
おいては、以上の問題点は切実になってくると思われ
る。上記の問題点を解消できる本人認証の手段として
は、指紋や網膜、虹彩、筆跡、音声などの生体情報を用
いた方法が多数あり、万人不同永久不変であることが本
人を特定できる拠り所となっている。
においては、個人認証(クライアント認証)を行うこと
が重要なセキュリティ技術となってきている。個人を特
定する方式として最も普及している暗証番号等のパスワ
ード方式は、パスワードを他人に類推されないような文
字列にする必要があり、またユーザ本人がパスワードを
記憶している必要があり、さらにパスワードを適宜変更
する必要があるといった運用上の問題点があり、利用者
にとって不便な方式である。特に、今後の高齢化社会に
おいては、以上の問題点は切実になってくると思われ
る。上記の問題点を解消できる本人認証の手段として
は、指紋や網膜、虹彩、筆跡、音声などの生体情報を用
いた方法が多数あり、万人不同永久不変であることが本
人を特定できる拠り所となっている。
【0003】
【発明が解決しようとする課題】しかしながら、ユーザ
の生体情報を用いて本人認証を行う方式では、ネットワ
ーク上のサーバ装置にユーザの生体情報を予め登録して
おく必要があり、ユーザにとっては自身の生体情報が他
人によって管理されることになるので、心理的な拒否反
応がユーザに生じる可能性があった。また、本人認証を
行うためには、ユーザの生体情報をネットワークを介し
てサーバ装置に送り、サーバ装置に予め登録された生体
情報と照合する必要があるので、ユーザの生体情報がネ
ットワークあるいはサーバ装置から漏洩する可能性があ
り、この漏洩した生体情報を第三者が不正に取得する
と、正規ユーザになりすましてサーバ装置にアクセスす
ることが可能となるので、不正アクセスを防止できない
可能性があった。
の生体情報を用いて本人認証を行う方式では、ネットワ
ーク上のサーバ装置にユーザの生体情報を予め登録して
おく必要があり、ユーザにとっては自身の生体情報が他
人によって管理されることになるので、心理的な拒否反
応がユーザに生じる可能性があった。また、本人認証を
行うためには、ユーザの生体情報をネットワークを介し
てサーバ装置に送り、サーバ装置に予め登録された生体
情報と照合する必要があるので、ユーザの生体情報がネ
ットワークあるいはサーバ装置から漏洩する可能性があ
り、この漏洩した生体情報を第三者が不正に取得する
と、正規ユーザになりすましてサーバ装置にアクセスす
ることが可能となるので、不正アクセスを防止できない
可能性があった。
【0004】本発明は、上記課題を解決するためになさ
れたもので、生体情報の漏洩を防止してユーザの不安を
取り除き、かつサーバ装置への不正アクセスを防止する
ことができる本人認証方法を提供することを目的とす
る。
れたもので、生体情報の漏洩を防止してユーザの不安を
取り除き、かつサーバ装置への不正アクセスを防止する
ことができる本人認証方法を提供することを目的とす
る。
【0005】
【課題を解決するための手段】本発明は、クライアント
装置(1)と、ネットワーク(3)を介して前記クライ
アント装置にサービスを提供するサーバ装置(2)とか
らなるシステムにおいて本人認証を行う本人認証方法で
あって、正規ユーザの生体情報を記録担体(4)に記録
し、前記正規ユーザの生体情報を予め定められた一方向
性関数hによって第1の関数値に変換し、この第1の関
数値を前記サーバ装置に登録する登録手順と、サービス
提供を要求したユーザの前記記録担体から前記生体情報
を読み出す読出手順と、前記サービス提供を要求したユ
ーザから生体情報を取得する取得手順と、前記読出手順
で読み出した生体情報と前記取得手順で取得した生体情
報とが一致する場合のみ、前記クライアント装置から前
記サーバ装置に対して認証要求を送出する第1の照合手
順と、前記サーバ装置において前記認証要求を受信した
とき、乱数を生成して、この乱数をチャレンジ情報とし
て前記クライアント装置に送信する乱数生成手順と、前
記クライアント装置において前記読出手順で読み出した
生体情報を前記一方向性関数hによって第2の関数値に
変換し、この第2の関数値と受信した前記チャレンジ情
報とから所定の演算で生成した情報を予め定められた一
方向性関数g(h=g又はh≠g)によって第3の関数
値に変換する第1の演算手順と、前記サービス提供を要
求したユーザに固有の識別子と前記第3の関数値とを含
むレスポンス情報を前記クライアント装置から前記サー
バ装置に送信するレスポンス情報送信手順と、前記サー
バ装置において前記レスポンス情報に含まれる識別子に
対応する第1の関数値を予め登録された中から取得し、
取得した第1の関数値と前記乱数生成手順で生成された
チャレンジ情報とから前記所定の演算で生成した情報を
前記一方向性関数gによって第4の関数値に変換する第
2の演算手順と、前記サーバ装置において前記第4の関
数値と前記レスポンス情報に含まれる第3の関数値とを
照合して、前記サービス提供を要求したユーザが正規ユ
ーザかどうかを確認する第2の照合手順とを実行するよ
うにしたものである。
装置(1)と、ネットワーク(3)を介して前記クライ
アント装置にサービスを提供するサーバ装置(2)とか
らなるシステムにおいて本人認証を行う本人認証方法で
あって、正規ユーザの生体情報を記録担体(4)に記録
し、前記正規ユーザの生体情報を予め定められた一方向
性関数hによって第1の関数値に変換し、この第1の関
数値を前記サーバ装置に登録する登録手順と、サービス
提供を要求したユーザの前記記録担体から前記生体情報
を読み出す読出手順と、前記サービス提供を要求したユ
ーザから生体情報を取得する取得手順と、前記読出手順
で読み出した生体情報と前記取得手順で取得した生体情
報とが一致する場合のみ、前記クライアント装置から前
記サーバ装置に対して認証要求を送出する第1の照合手
順と、前記サーバ装置において前記認証要求を受信した
とき、乱数を生成して、この乱数をチャレンジ情報とし
て前記クライアント装置に送信する乱数生成手順と、前
記クライアント装置において前記読出手順で読み出した
生体情報を前記一方向性関数hによって第2の関数値に
変換し、この第2の関数値と受信した前記チャレンジ情
報とから所定の演算で生成した情報を予め定められた一
方向性関数g(h=g又はh≠g)によって第3の関数
値に変換する第1の演算手順と、前記サービス提供を要
求したユーザに固有の識別子と前記第3の関数値とを含
むレスポンス情報を前記クライアント装置から前記サー
バ装置に送信するレスポンス情報送信手順と、前記サー
バ装置において前記レスポンス情報に含まれる識別子に
対応する第1の関数値を予め登録された中から取得し、
取得した第1の関数値と前記乱数生成手順で生成された
チャレンジ情報とから前記所定の演算で生成した情報を
前記一方向性関数gによって第4の関数値に変換する第
2の演算手順と、前記サーバ装置において前記第4の関
数値と前記レスポンス情報に含まれる第3の関数値とを
照合して、前記サービス提供を要求したユーザが正規ユ
ーザかどうかを確認する第2の照合手順とを実行するよ
うにしたものである。
【0006】
【発明の実施の形態】以下、本発明の実施の形態につい
て図面を参照して詳細に説明する。図1は本発明の実施
の形態となる本人認証システムの構成を示すブロック図
である。本実施の形態の本人認証システムは、コンピュ
ータ等からなるクライアント装置1と、ネットワーク3
を介してクライアント装置1にサービスを提供するコン
ピュータ等からなるサーバ装置2と、クライアント装置
1に接続され、ICカード等の記録担体4に対するデー
タ読出機能を備えたリーダライタ5と、クライアント装
置1に接続され、ユーザの指紋情報F’を読み取る指紋
読取機(生体情報読取機)6とから構成されている。な
お、リーダライタ5は、記録担体4がICカードの場合
に必要な読出手段であって、これに限るものではない。
て図面を参照して詳細に説明する。図1は本発明の実施
の形態となる本人認証システムの構成を示すブロック図
である。本実施の形態の本人認証システムは、コンピュ
ータ等からなるクライアント装置1と、ネットワーク3
を介してクライアント装置1にサービスを提供するコン
ピュータ等からなるサーバ装置2と、クライアント装置
1に接続され、ICカード等の記録担体4に対するデー
タ読出機能を備えたリーダライタ5と、クライアント装
置1に接続され、ユーザの指紋情報F’を読み取る指紋
読取機(生体情報読取機)6とから構成されている。な
お、リーダライタ5は、記録担体4がICカードの場合
に必要な読出手段であって、これに限るものではない。
【0007】クライアント装置1は、照合装置11及び
演算装置12を有し、サーバ装置2は、乱数生成装置2
1、データベース(記憶手段)22、演算装置23及び
照合装置24を有する。
演算装置12を有し、サーバ装置2は、乱数生成装置2
1、データベース(記憶手段)22、演算装置23及び
照合装置24を有する。
【0008】以下、本実施の形態の本人認証システムの
動作について説明する。図2はクライアント装置1の動
作を示すフローチャート図、図3はサーバ装置2の動作
を示すフローチャート図である。最初に、正規ユーザに
対しては記録担体4が予め発行される。この記録担体4
には、記録担体4の所有者となる正規ユーザの指紋情報
Fが記録されている。一方、サーバ装置2のデータベー
ス22には、前記指紋情報Fと同一の指紋情報Eを予め
定められた一方向性関数hによって変換した第1の関数
値h(E)と、前記正規ユーザに固有の識別子(以下、
IDと呼ぶ)とが対応付けられて登録される。一方向性
関数は、変数から関数値を計算するのに比べ、関数値か
ら元の変数を計算するのが極めて困難な関数であり、具
体例としては例えばハッシュ関数がある。以上で初期登
録手順が終了する。
動作について説明する。図2はクライアント装置1の動
作を示すフローチャート図、図3はサーバ装置2の動作
を示すフローチャート図である。最初に、正規ユーザに
対しては記録担体4が予め発行される。この記録担体4
には、記録担体4の所有者となる正規ユーザの指紋情報
Fが記録されている。一方、サーバ装置2のデータベー
ス22には、前記指紋情報Fと同一の指紋情報Eを予め
定められた一方向性関数hによって変換した第1の関数
値h(E)と、前記正規ユーザに固有の識別子(以下、
IDと呼ぶ)とが対応付けられて登録される。一方向性
関数は、変数から関数値を計算するのに比べ、関数値か
ら元の変数を計算するのが極めて困難な関数であり、具
体例としては例えばハッシュ関数がある。以上で初期登
録手順が終了する。
【0009】次に、サーバ装置2からのサービス提供を
希望するユーザは、自身が所持する記録担体4をリーダ
ライタ5のスロットに挿入する。リーダライタ5は、記
録担体4に記録された指紋情報Fを読み出してクライア
ント装置1に送信する(図2ステップ101)。続い
て、このユーザは、前記指紋情報Fを登録した指を指紋
読取機6に接触させる。これにより、指紋読取機6は、
ユーザの指から指紋情報F’を読み取ってクライアント
装置1に送信する(ステップ102)。
希望するユーザは、自身が所持する記録担体4をリーダ
ライタ5のスロットに挿入する。リーダライタ5は、記
録担体4に記録された指紋情報Fを読み出してクライア
ント装置1に送信する(図2ステップ101)。続い
て、このユーザは、前記指紋情報Fを登録した指を指紋
読取機6に接触させる。これにより、指紋読取機6は、
ユーザの指から指紋情報F’を読み取ってクライアント
装置1に送信する(ステップ102)。
【0010】クライアント装置1の照合装置11は、リ
ーダライタ5で読み出された指紋情報Fと指紋読取機6
で読み取られた指紋情報F’とを照合して(ステップ1
03)、指紋情報が一致し、照合結果がOKであれば
(ステップ104においてYES)、サーバ装置2に対
して認証要求Rを送出する(ステップ105)。指紋情
報が一致せず、照合結果がNGである場合、照合装置1
1は、記録担体4を所持するユーザが正規ユーザではな
いと判断して、サーバ装置2への認証要求送出を拒否す
る。
ーダライタ5で読み出された指紋情報Fと指紋読取機6
で読み取られた指紋情報F’とを照合して(ステップ1
03)、指紋情報が一致し、照合結果がOKであれば
(ステップ104においてYES)、サーバ装置2に対
して認証要求Rを送出する(ステップ105)。指紋情
報が一致せず、照合結果がNGである場合、照合装置1
1は、記録担体4を所持するユーザが正規ユーザではな
いと判断して、サーバ装置2への認証要求送出を拒否す
る。
【0011】サーバ装置2の乱数生成装置21は、ネッ
トワーク3を介してクライアント装置1からの認証要求
Rを受信すると(図3ステップ201においてYE
S)、乱数rを生成し、これをチャレンジ情報rとして
クライアント装置1に送信する(ステップ202)。
トワーク3を介してクライアント装置1からの認証要求
Rを受信すると(図3ステップ201においてYE
S)、乱数rを生成し、これをチャレンジ情報rとして
クライアント装置1に送信する(ステップ202)。
【0012】クライアント装置1の演算装置12は、ネ
ットワーク3を介してサーバ装置2からのチャレンジ情
報rを受信すると(ステップ106においてYES)、
前記指紋情報Fを前記一方向性関数hによって第2の関
数値h(F)に変換する(ステップ107)。続いて、
演算装置12は、この第2の関数値h(F)と受信した
チャレンジ情報rとを結合した情報(h(F)‖r)を
生成して、この情報(h(F)‖r)を予め定められた
一方向性関数gによって第3の関数値g(h(F)‖
r)に変換する(ステップ108)。一方向性関数h,
gは同一の関数でもよいし、異なる関数でもよい。
ットワーク3を介してサーバ装置2からのチャレンジ情
報rを受信すると(ステップ106においてYES)、
前記指紋情報Fを前記一方向性関数hによって第2の関
数値h(F)に変換する(ステップ107)。続いて、
演算装置12は、この第2の関数値h(F)と受信した
チャレンジ情報rとを結合した情報(h(F)‖r)を
生成して、この情報(h(F)‖r)を予め定められた
一方向性関数gによって第3の関数値g(h(F)‖
r)に変換する(ステップ108)。一方向性関数h,
gは同一の関数でもよいし、異なる関数でもよい。
【0013】そして、演算装置12は、ユーザに固有の
IDと生成した第3の関数値g(h(F)‖r)とを含
むレスポンス情報をサーバ装置2に送信する(ステップ
109)。このとき、IDは、指紋情報Fと共に記録担
体4に記録されているものを用いてもよいし、サービス
提供を要求したユーザに入力させてもよい。
IDと生成した第3の関数値g(h(F)‖r)とを含
むレスポンス情報をサーバ装置2に送信する(ステップ
109)。このとき、IDは、指紋情報Fと共に記録担
体4に記録されているものを用いてもよいし、サービス
提供を要求したユーザに入力させてもよい。
【0014】サーバ装置2の演算装置23は、ネットワ
ーク3を介してクライアント装置1からのレスポンス情
報を受け取ると(ステップ203においてYES)、こ
のレスポンス情報中のユーザIDに対応する第1の関数
値h(E)をデータベース22から取得する(ステップ
204)。続いて、演算装置23は、取得した第1の関
数値h(E)と乱数生成装置21で生成された前記チャ
レンジ情報rとを結合した情報(h(E)‖r)を生成
して、この情報(h(E)‖r)を前記一方向性関数g
によって第4の関数値g(h(E)‖r)に変換する
(ステップ205)。
ーク3を介してクライアント装置1からのレスポンス情
報を受け取ると(ステップ203においてYES)、こ
のレスポンス情報中のユーザIDに対応する第1の関数
値h(E)をデータベース22から取得する(ステップ
204)。続いて、演算装置23は、取得した第1の関
数値h(E)と乱数生成装置21で生成された前記チャ
レンジ情報rとを結合した情報(h(E)‖r)を生成
して、この情報(h(E)‖r)を前記一方向性関数g
によって第4の関数値g(h(E)‖r)に変換する
(ステップ205)。
【0015】そして、照合装置24は、演算装置23で
生成された第4の関数値g(h(E)‖r)と受信した
レスポンス情報に含まれる第3の関数値g(h(F)‖
r)とを照合して、本人認証を行う(ステップ20
6)。クライアント装置1からアクセスしているユーザ
が正規ユーザであれば、前述のようにE=Fとなるの
で、h(E)=h(F)となり、g(h(E)‖r)=
g(h(F)‖r)となる。照合装置24は、関数値が
一致し、照合結果がOKであれば(ステップ207にお
いてYES)、クライアント装置1からアクセスしてい
るユーザを正規ユーザと判断して、このユーザへのサー
ビス提供を許可する。こうして、クライアント装置1の
要求に応じてサーバ装置2からサービスが提供される。
生成された第4の関数値g(h(E)‖r)と受信した
レスポンス情報に含まれる第3の関数値g(h(F)‖
r)とを照合して、本人認証を行う(ステップ20
6)。クライアント装置1からアクセスしているユーザ
が正規ユーザであれば、前述のようにE=Fとなるの
で、h(E)=h(F)となり、g(h(E)‖r)=
g(h(F)‖r)となる。照合装置24は、関数値が
一致し、照合結果がOKであれば(ステップ207にお
いてYES)、クライアント装置1からアクセスしてい
るユーザを正規ユーザと判断して、このユーザへのサー
ビス提供を許可する。こうして、クライアント装置1の
要求に応じてサーバ装置2からサービスが提供される。
【0016】一方、照合装置24は、関数値が一致せ
ず、照合結果がNGであれば、クライアント装置1から
アクセスしているユーザを正規ユーザではないと判断し
て、このユーザへのサービス提供を拒否する。
ず、照合結果がNGであれば、クライアント装置1から
アクセスしているユーザを正規ユーザではないと判断し
て、このユーザへのサービス提供を拒否する。
【0017】以上のように、本実施の形態では、指紋情
報Fと指紋情報F’との照合結果がOKになった時点
で、クライアント装置1からサーバ装置2に認証要求R
を送出するので、正規ユーザ以外の第三者が正規ユーザ
の記録担体4を不正に取得したとしても、図2のステッ
プ104の処理でサーバ装置2への不正アクセスを拒否
することができる。
報Fと指紋情報F’との照合結果がOKになった時点
で、クライアント装置1からサーバ装置2に認証要求R
を送出するので、正規ユーザ以外の第三者が正規ユーザ
の記録担体4を不正に取得したとしても、図2のステッ
プ104の処理でサーバ装置2への不正アクセスを拒否
することができる。
【0018】また、本実施の形態では、指紋情報Fから
一方向性関数h,gを用いて第3の関数値g(h(F)
‖r)を生成しているので、正規ユーザ以外の第三者が
ネットワーク3から第3の関数値g(h(F)‖r)を
不正に取得したとしても、この第3の関数値g(h
(F)‖r)から指紋情報Fを再生することは極めて困
難である。したがって、指紋情報Fの漏洩を防止するこ
とができる。
一方向性関数h,gを用いて第3の関数値g(h(F)
‖r)を生成しているので、正規ユーザ以外の第三者が
ネットワーク3から第3の関数値g(h(F)‖r)を
不正に取得したとしても、この第3の関数値g(h
(F)‖r)から指紋情報Fを再生することは極めて困
難である。したがって、指紋情報Fの漏洩を防止するこ
とができる。
【0019】また、同様の理由により、正規ユーザ以外
の第三者がサーバ装置2から第1の関数値h(E)を不
正に取得したとしても、この第1の関数値h(E)から
指紋情報Eを再生することは極めて困難である。したが
って、指紋情報Eの漏洩を防止することができる。
の第三者がサーバ装置2から第1の関数値h(E)を不
正に取得したとしても、この第1の関数値h(E)から
指紋情報Eを再生することは極めて困難である。したが
って、指紋情報Eの漏洩を防止することができる。
【0020】また、本実施の形態では、アクセスごとに
異なる乱数rを第3の関数値g(h(F)‖r)、第4
の関数値g(h(E)‖r)の生成に用いているので、
正規ユーザ以外の第三者がネットワーク3から第3の関
数値g(h(F)‖r)を不正に取得し、この第3の関
数値g(h(F)‖r)を再利用してサーバ装置2に不
正アクセスしようとしても、サーバ装置2で生成される
第4の関数値g(h(E)‖r)と一致しないので、図
3のステップ207の処理でサーバ装置2への不正アク
セスを拒否することができる。
異なる乱数rを第3の関数値g(h(F)‖r)、第4
の関数値g(h(E)‖r)の生成に用いているので、
正規ユーザ以外の第三者がネットワーク3から第3の関
数値g(h(F)‖r)を不正に取得し、この第3の関
数値g(h(F)‖r)を再利用してサーバ装置2に不
正アクセスしようとしても、サーバ装置2で生成される
第4の関数値g(h(E)‖r)と一致しないので、図
3のステップ207の処理でサーバ装置2への不正アク
セスを拒否することができる。
【0021】なお、本実施の形態では、ユーザの生体情
報として指紋を用いているが、これに限るものではな
く、網膜、虹彩、筆跡、音声などの他の生体情報を用い
てもよい。また、本実施の形態では、第2の関数値h
(F)とチャレンジ情報rとを結合して情報(h(F)
‖r)を生成しているが、これに限るものではなく、第
2の関数値h(F)とチャレンジ情報rとから例えば排
他的論理和等の所定の演算によって情報を生成してもよ
い。同様に、第1の関数値h(E)とチャレンジ情報r
とを結合して情報(h(E)‖r)を生成しているが、
第1の関数値h(E)とチャレンジ情報rとから前記所
定の演算によって情報を生成してもよい。
報として指紋を用いているが、これに限るものではな
く、網膜、虹彩、筆跡、音声などの他の生体情報を用い
てもよい。また、本実施の形態では、第2の関数値h
(F)とチャレンジ情報rとを結合して情報(h(F)
‖r)を生成しているが、これに限るものではなく、第
2の関数値h(F)とチャレンジ情報rとから例えば排
他的論理和等の所定の演算によって情報を生成してもよ
い。同様に、第1の関数値h(E)とチャレンジ情報r
とを結合して情報(h(E)‖r)を生成しているが、
第1の関数値h(E)とチャレンジ情報rとから前記所
定の演算によって情報を生成してもよい。
【0022】
【発明の効果】本発明によれば、読出手順で読み出した
生体情報と取得手順で取得した生体情報とが一致する場
合のみ、クライアント装置からサーバ装置に対して認証
要求を送出するので、正規ユーザ以外の第三者が正規ユ
ーザの記録担体を不正に取得したとしても、サーバ装置
への不正アクセスを拒否することができる。また、読出
手順で読み出した生体情報から一方向性関数を用いて第
3の関数値を生成しているので、正規ユーザ以外の第三
者がネットワークから第3の関数値を不正に取得したと
しても、この第3の関数値から生体情報を再生すること
は極めて困難である。同様に、正規ユーザ以外の第三者
がサーバ装置から第1の関数値を不正に取得したとして
も、この第1の関数値から生体情報を再生することは極
めて困難である。また、チャレンジ情報(乱数)を第3
の関数値、第4の関数値の生成に用いているので、正規
ユーザ以外の第三者がネットワークから第3の関数値を
不正に取得し、この第3の関数値を再利用してサーバ装
置に不正アクセスしようとしても、サーバ装置への不正
アクセスを拒否することができる。その結果、生体情報
の漏洩の可能性を低減することができるので、ユーザの
不安を取り除くことができ、また正規ユーザ以外の第三
者によるサーバ装置への不正アクセスを防止することが
できる。
生体情報と取得手順で取得した生体情報とが一致する場
合のみ、クライアント装置からサーバ装置に対して認証
要求を送出するので、正規ユーザ以外の第三者が正規ユ
ーザの記録担体を不正に取得したとしても、サーバ装置
への不正アクセスを拒否することができる。また、読出
手順で読み出した生体情報から一方向性関数を用いて第
3の関数値を生成しているので、正規ユーザ以外の第三
者がネットワークから第3の関数値を不正に取得したと
しても、この第3の関数値から生体情報を再生すること
は極めて困難である。同様に、正規ユーザ以外の第三者
がサーバ装置から第1の関数値を不正に取得したとして
も、この第1の関数値から生体情報を再生することは極
めて困難である。また、チャレンジ情報(乱数)を第3
の関数値、第4の関数値の生成に用いているので、正規
ユーザ以外の第三者がネットワークから第3の関数値を
不正に取得し、この第3の関数値を再利用してサーバ装
置に不正アクセスしようとしても、サーバ装置への不正
アクセスを拒否することができる。その結果、生体情報
の漏洩の可能性を低減することができるので、ユーザの
不安を取り除くことができ、また正規ユーザ以外の第三
者によるサーバ装置への不正アクセスを防止することが
できる。
【図1】 本発明の実施の形態となる本人認証システム
の構成を示すブロック図である。
の構成を示すブロック図である。
【図2】 本発明の実施の形態におけるクライアント装
置の動作を示すフローチャート図である。
置の動作を示すフローチャート図である。
【図3】 本発明の実施の形態におけるサーバ装置の動
作を示すフローチャート図である。
作を示すフローチャート図である。
1…クライアント装置、2…サーバ装置、3…ネットワ
ーク、4…記録担体、5…リーダライタ、6…指紋読取
機、11…照合装置、12…演算装置、21…乱数生成
装置、22…データベース、23…演算装置、24…照
合装置。
ーク、4…記録担体、5…リーダライタ、6…指紋読取
機、11…照合装置、12…演算装置、21…乱数生成
装置、22…データベース、23…演算装置、24…照
合装置。
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) H04L 9/00 673C G06K 19/00 S Fターム(参考) 5B035 AA13 BB09 BC01 5B058 KA38 YA01 YA20 5B085 AE11 AE23 AE25 AE29 BG07 5J104 AA07 KA01 KA03 KA16 NA38
Claims (1)
- 【請求項1】 クライアント装置と、ネットワークを介
して前記クライアント装置にサービスを提供するサーバ
装置とからなるシステムにおいて本人認証を行う本人認
証方法であって、 正規ユーザの生体情報を記録担体に記録し、前記正規ユ
ーザの生体情報を予め定められた一方向性関数hによっ
て第1の関数値に変換し、この第1の関数値を前記サー
バ装置に登録する登録手順と、 サービス提供を要求したユーザの前記記録担体から前記
生体情報を読み出す読出手順と、 前記サービス提供を要求したユーザから生体情報を取得
する取得手順と、 前記読出手順で読み出した生体情報と前記取得手順で取
得した生体情報とが一致する場合のみ、前記クライアン
ト装置から前記サーバ装置に対して認証要求を送出する
第1の照合手順と、 前記サーバ装置において前記認証要求を受信したとき、
乱数を生成して、この乱数をチャレンジ情報として前記
クライアント装置に送信する乱数生成手順と、 前記クライアント装置において前記読出手順で読み出し
た生体情報を前記一方向性関数hによって第2の関数値
に変換し、この第2の関数値と受信した前記チャレンジ
情報とから所定の演算で生成した情報を予め定められた
一方向性関数g(h=g又はh≠g)によって第3の関
数値に変換する第1の演算手順と、 前記サービス提供を要求したユーザに固有の識別子と前
記第3の関数値とを含むレスポンス情報を前記クライア
ント装置から前記サーバ装置に送信するレスポンス情報
送信手順と、 前記サーバ装置において前記レスポンス情報に含まれる
識別子に対応する第1の関数値を予め登録された中から
取得し、取得した第1の関数値と前記乱数生成手順で生
成されたチャレンジ情報とから前記所定の演算で生成し
た情報を前記一方向性関数gによって第4の関数値に変
換する第2の演算手順と、 前記サーバ装置において前記第4の関数値と前記レスポ
ンス情報に含まれる第3の関数値とを照合して、前記サ
ービス提供を要求したユーザが正規ユーザかどうかを確
認する第2の照合手順とを実行することを特徴とする本
人認証方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001175393A JP2002366527A (ja) | 2001-06-11 | 2001-06-11 | 本人認証方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001175393A JP2002366527A (ja) | 2001-06-11 | 2001-06-11 | 本人認証方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002366527A true JP2002366527A (ja) | 2002-12-20 |
Family
ID=19016539
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001175393A Pending JP2002366527A (ja) | 2001-06-11 | 2001-06-11 | 本人認証方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002366527A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005003985A1 (ja) * | 2003-05-21 | 2005-01-13 | Hitachi, Ltd. | 本人認証システム |
| JP2006512864A (ja) * | 2002-12-31 | 2006-04-13 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 許可された匿名の認証 |
| JP2006277471A (ja) * | 2005-03-30 | 2006-10-12 | Japan Telecom Co Ltd | 擬似生体認証システム、擬似生体認証方法、及び擬似生体認証プログラム |
| JP2008193575A (ja) * | 2007-02-07 | 2008-08-21 | Tokai Rika Co Ltd | 暗号データ通信システム |
| JP2009048545A (ja) * | 2007-08-22 | 2009-03-05 | Hitachi Software Eng Co Ltd | アカウント情報漏洩防止サービスシステム |
| US7913089B2 (en) | 2002-12-25 | 2011-03-22 | International Business Machines Corporation | Identification information creating apparatus, identification information resolving apparatus, information system utilizing the apparatuses, controlling method and program thereof |
-
2001
- 2001-06-11 JP JP2001175393A patent/JP2002366527A/ja active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7913089B2 (en) | 2002-12-25 | 2011-03-22 | International Business Machines Corporation | Identification information creating apparatus, identification information resolving apparatus, information system utilizing the apparatuses, controlling method and program thereof |
| JP2006512864A (ja) * | 2002-12-31 | 2006-04-13 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 許可された匿名の認証 |
| US8352746B2 (en) | 2002-12-31 | 2013-01-08 | International Business Machines Corporation | Authorized anonymous authentication |
| WO2005003985A1 (ja) * | 2003-05-21 | 2005-01-13 | Hitachi, Ltd. | 本人認証システム |
| AU2004254771B2 (en) * | 2003-05-21 | 2008-03-20 | Hitachi, Ltd. | User authentication system |
| JP2006277471A (ja) * | 2005-03-30 | 2006-10-12 | Japan Telecom Co Ltd | 擬似生体認証システム、擬似生体認証方法、及び擬似生体認証プログラム |
| JP2008193575A (ja) * | 2007-02-07 | 2008-08-21 | Tokai Rika Co Ltd | 暗号データ通信システム |
| JP2009048545A (ja) * | 2007-08-22 | 2009-03-05 | Hitachi Software Eng Co Ltd | アカウント情報漏洩防止サービスシステム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6957337B1 (en) | Method and apparatus for secure authorization and identification using biometrics without privacy invasion | |
| US7447910B2 (en) | Method, arrangement and secure medium for authentication of a user | |
| US6799275B1 (en) | Method and apparatus for securing a secure processor | |
| US6092192A (en) | Apparatus and methods for providing repetitive enrollment in a plurality of biometric recognition systems based on an initial enrollment | |
| US6735695B1 (en) | Methods and apparatus for restricting access of a user using random partial biometrics | |
| US9262615B2 (en) | Methods and systems for improving the security of secret authentication data during authentication transactions | |
| US20070118758A1 (en) | Processing device, helper data generating device, terminal device, authentication device and biometrics authentication system | |
| EP2685401B1 (en) | Methods and systems for improving the security of secret authentication data during authentication transactions | |
| US20060206723A1 (en) | Method and system for integrated authentication using biometrics | |
| WO1998052317A1 (en) | Identification and security using biometric measurements | |
| JPH0737098A (ja) | 個人の同一性を確認する方法とシステム | |
| EP1402681A2 (en) | Application-specific biometric templates | |
| JP2006209697A (ja) | 個人認証システム、この個人認証システムに使用される認証装置、および個人認証方法 | |
| JP2002183096A (ja) | 利用者を識別するための方法およびシステム | |
| US20060204048A1 (en) | Systems and methods for biometric authentication | |
| WO1999012144A1 (fr) | Serveur et procede de generation de signature numerique | |
| JP2002351844A (ja) | ユーザ認証方法、ユーザ認証システム、照合装置、記憶装置及び記録担体 | |
| JP2003132022A (ja) | ユーザ認証システムおよび方法 | |
| JP2015525409A (ja) | 高安全性生体認証アクセス制御のためのシステム及び方法 | |
| JP2003099404A (ja) | 認証サーバ装置、クライアント装置およびそれらを用いたユーザ認証システム、並びにユーザ認証方法、そのコンピュータ・プログラムおよびそのプログラムを記録した記録媒体 | |
| JP2000358025A (ja) | 情報処理方法、情報処理装置及び情報処理プログラムを記憶した記録媒体 | |
| US20190132312A1 (en) | Universal Identity Validation System and Method | |
| JPH1188321A (ja) | ディジタル署名生成サーバ | |
| JP3589579B2 (ja) | 生体認証装置及びその処理プログラムを記録した記録媒体 | |
| JP3669496B2 (ja) | 個人認証情報出力装置 |