JP2003044436A - Authentication processing method, information processor, and computer program - Google Patents

Authentication processing method, information processor, and computer program

Info

Publication number
JP2003044436A
JP2003044436A JP2001234416A JP2001234416A JP2003044436A JP 2003044436 A JP2003044436 A JP 2003044436A JP 2001234416 A JP2001234416 A JP 2001234416A JP 2001234416 A JP2001234416 A JP 2001234416A JP 2003044436 A JP2003044436 A JP 2003044436A
Authority
JP
Japan
Prior art keywords
data
server
authentication
user
processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001234416A
Other languages
Japanese (ja)
Inventor
Tomoyuki Asano
智之 浅野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sony Corp
Original Assignee
Sony Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sony Corp filed Critical Sony Corp
Priority to JP2001234416A priority Critical patent/JP2003044436A/en
Publication of JP2003044436A publication Critical patent/JP2003044436A/en
Pending legal-status Critical Current

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide an improved constitution for authenticating a terminal and a user by using a server. SOLUTION: When an individual's terminal is used and connected to the server, an authenticating process comprises three stages of processes, i.e., (1) an individual authenticating process for the user by the individual's terminal, (2) a mutual authenticating process between the server and individual's terminal, and (3) an individual authenticating process for the user by the server. To pass the authentication, data for individual authentication and data for mutual authentication of the terminal are both needed and it becomes difficult for a 3rd person to impersonate the regular user, thereby increasing the safety. Further, the individual's terminal and server communicate by using data ciphered according to a session key to reduce the possibility of a data leak.

Description

【発明の詳細な説明】Detailed Description of the Invention

【0001】[0001]

【発明の属する技術分野】本発明は、認証処理方法、お
よび情報処理装置、並びにコンピュータ・プログラムに
関し、さらに詳細には、サーバと個人用端末間の認証処
理をセキュアに実行する認証処理方法、および情報処理
装置、並びにコンピュータ・プログラムに関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an authentication processing method, an information processing apparatus, and a computer program, and more specifically, to an authentication processing method for securely executing authentication processing between a server and a personal terminal, and The present invention relates to an information processing device and a computer program.

【0002】[0002]

【従来の技術】昨今、クレジットカード、銀行のキャッ
シュカード、病院の診療カード、社員カード、各種団体
の会員カード、あるいは電子マネーシステム、定期券
等、様々なサービス分野において、個人用端末、例えば
ICカード等のメモリデバイスが利用されている。IC
カードは、演算処理機能を持つCPU(Central Proces
sing Unit)と、処理に必要なデータなどを記憶するメ
モリを組み込み、所定のリーダ/ライタ(R/W)に電
気的に接触、または電磁波等を利用した非接触で、デー
タの送受信を行う。2. Description of the Related Art Recently, personal terminals such as ICs in various service fields such as credit cards, bank cash cards, hospital medical cards, employee cards, membership cards of various groups, electronic money systems, commuter passes, etc. Memory devices such as cards are used. IC
The card is a CPU (Central Process
sing unit) and a memory for storing data necessary for processing are incorporated, and data is transmitted and received electrically to a predetermined reader / writer (R / W) or in a non-contact manner using electromagnetic waves or the like.

【0003】個人用端末としてのICカードを、電子マ
ネーシステムやセキュリティシステムなどで利用する場
合において、データ処理を実行するサーバとの間で認証
処理を実行し、個人用端末が不正端末でないことの確認
を実行した後に、サーバにおける入出金処理、データ登
録処理等のデータ処理、あるいはサーバと個人用端末間
でのデータ転送等、各種の処理を実行する。サーバのデ
ータ記憶手段、あるいはICカード等のメモリには、個
人情報が格納されることが多く、個人情報の漏洩を防止
するために、サーバとICカードとの通信、データ処理
の実行のためには確実な認証処理が要請される。When an IC card as a personal terminal is used in an electronic money system, a security system, etc., an authentication process is executed with a server that executes data processing, and the personal terminal is not an unauthorized terminal. After the confirmation is performed, various processing such as data processing such as deposit / withdrawal processing and data registration processing in the server, or data transfer between the server and the personal terminal is executed. Personal information is often stored in the data storage means of the server or a memory such as an IC card. To prevent leakage of personal information, communication between the server and the IC card and execution of data processing are performed. Requires a reliable authentication process.

【0004】個人用端末とサーバとの認証処理の態様と
しては、個人用端末としてのICカードに付加された通
信インタフェースを介して直接サーバと接続して実行す
るのが望ましいが、ICカードなどは低コスト化、低消
費電力化、ダウンサイジングなどの要望が強く、サーバ
と接続する通信インタフェースを持たない場合も多い。
このような場合、ICカード等の個人用端末とは別の通
信用端末が、ICカードとサーバの通信を仲介する構成
となる。具体的には、通信用端末は、サーバと接続され
たリーダ/ライタ(R/W)、ICカードリーダのつい
たパーソナルコンピュータや、カードリーダのついたA
TMなどである。As a mode of the authentication processing between the personal terminal and the server, it is desirable that the personal terminal is directly connected to the server through a communication interface added to the IC card as the personal terminal. There is a strong demand for cost reduction, low power consumption, downsizing, etc., and in many cases there is no communication interface to connect to the server.
In such a case, a communication terminal other than the personal terminal such as an IC card is configured to mediate communication between the IC card and the server. Specifically, the communication terminal is a reader / writer (R / W) connected to a server, a personal computer with an IC card reader, or an A with a card reader.
TM, etc.

【0005】個人用端末(例えばICカード)は、それ
を使用するユーザがおり、ユーザが正当なユーザである
かについても端末の認証とは別に実行することが必要と
なる。従来は、例えばユーザが個人用端末にパスワード
を入力して個人用端末とユーザ間の認証を実行し、さら
に通信端末にセットした個人用端末とサーバ間で認証を
行なって、これらの認証成立を条件としてサーバと個人
用端末間における様々なデータ処理、例えば入出金、オ
ンラインショッピング、その他のデータ入出力などが実
行される構成となっている。A personal terminal (for example, an IC card) has a user who uses it, and it is necessary to execute whether the user is a legitimate user, in addition to the terminal authentication. Conventionally, for example, a user inputs a password to a personal terminal to authenticate between the personal terminal and the user, and further authenticates between the personal terminal set on the communication terminal and the server to establish the authentication. As a condition, various data processes such as deposit / withdrawal, online shopping, and other data input / output between the server and the personal terminal are executed.

【0006】[0006]

【発明が解決しようとする課題】上述のような認証プロ
セスは、個人用端末とユーザ間の認証、個人用端末とサ
ーバ間の認証が実行されるのみで、サーバとユーザ間の
認証は実行しないままであり、AB間認証と、BC間認
証でAC間の認証がなされたとみなす処理を行なってい
るにすぎないものである。In the above-mentioned authentication process, only the authentication between the personal terminal and the user and the authentication between the personal terminal and the server are executed, and the authentication between the server and the user is not executed. Until now, there is nothing but the process of assuming that the authentication between the ACs is performed by the authentication between the ABs and the authentication between the BCs.

【0007】このような処理において、例えば個人用端
末であるICカードを紛失し、パスワードが漏洩した場
合などには、不正な第三者が、そのICカードの真の保
有者になりすまし、個人端末に対するユーザ認証を成立
させることが可能であり、個人用端末については、例え
ばユーザの届け出などにより、サーバの登録データから
削除されれば認証の成立を未然に防止可能であるが、削
除処理以前に個人用端末が使用された場合には、サーバ
と個人用端末間の認証が成立することになり、不正なデ
ータ処理が実行可能となる。すなわち、サーバは直接個
人用端末を使用するユーザとの認証を実行することな
く、データ処理を開始することになり、不正な処理が実
行される可能性が高くなる。In such a process, if the IC card, which is a personal terminal, is lost and the password is leaked, an unauthorized third party impersonates the true holder of the IC card, and the personal terminal. It is possible to establish user authentication with respect to, and for personal terminals, authentication can be prevented in advance if it is deleted from the registration data of the server due to, for example, notification of the user, but before the deletion process. When the personal terminal is used, the authentication between the server and the personal terminal is established, and unauthorized data processing can be executed. In other words, the server starts data processing without directly authenticating with the user who uses the personal terminal, and there is a high possibility that unauthorized processing will be executed.

【0008】本発明は、上述の問題点に鑑みてなされた
ものであり、個人用端末(例えばICカード)とサーバ
間の認証、個人用端末とユーザ間の認証、サーバとユー
ザ間の認証をそれぞれ実行し、不正な第三者による認証
成立可能性を排除し、安全に通信を実行することを可能
とした認証処理方法、および情報処理装置、並びにコン
ピュータ・プログラムを提供することを目的とする。The present invention has been made in view of the above problems, and performs authentication between a personal terminal (for example, an IC card) and a server, authentication between a personal terminal and a user, and authentication between a server and a user. An object of the present invention is to provide an authentication processing method, an information processing apparatus, and a computer program that can be respectively executed to eliminate the possibility of establishing authentication by an unauthorized third party and to safely perform communication. .

【0009】[0009]

【課題を解決するための手段】本発明の第1の側面は、
データ処理を実行し、登録ユーザデータを有するサーバ
と、サーバと接続したデータ処理端末との間において実
行する認証処理方法であり、データ処理端末によるユー
ザに対する個人認証処理ステップと、サーバとデータ処
理端末間における相互認証処理ステップと、サーバによ
るユーザに対する個人認証処理ステップと、の3つの認
証処理を実行することを特徴とする認証処理方法にあ
る。The first aspect of the present invention is as follows.
An authentication processing method for executing data processing between a server having registered user data and a data processing terminal connected to the server, the personal authentication processing step for a user by the data processing terminal, the server and the data processing terminal. An authentication processing method is characterized by executing three authentication processings, that is, a mutual authentication processing step between the two and an individual authentication processing step for the user by the server.

【0010】さらに、本発明の認証処理方法の一実施態
様において、前記サーバとデータ処理端末間における相
互認証処理ステップは、前記データ処理端末によるユー
ザに対する個人認証処理の成立を条件として実行し、前
記サーバによるユーザに対する個人認証処理ステップ
は、前記サーバとデータ処理端末間における相互認証処
理の成立を条件として実行することを特徴とする。Further, in one embodiment of the authentication processing method of the present invention, the mutual authentication processing step between the server and the data processing terminal is executed on condition that a personal authentication processing for the user by the data processing terminal is established, The personal authentication processing step for the user by the server is performed on condition that mutual authentication processing between the server and the data processing terminal is established.

【0011】さらに、本発明の認証処理方法の一実施態
様において、前記サーバとデータ処理端末間における相
互認証処理ステップは、共通鍵方式または公開鍵方式の
相互認証処理およびセッションキー共有処理アルゴリズ
ムに従って実行し、前記サーバによるユーザに対する個
人認証処理ステップにおいて、認証用データとして前記
データ処理端末からサーバへ転送されるテータは前記セ
ッションキーによる暗号化データとして転送することを
特徴とする。Further, in one embodiment of the authentication processing method of the present invention, the mutual authentication processing step between the server and the data processing terminal is executed according to a common key method or public key method mutual authentication processing and a session key sharing processing algorithm. In the personal authentication processing step for the user by the server, the data transferred from the data processing terminal to the server as authentication data is transferred as encrypted data by the session key.

【0012】さらに、本発明の認証処理方法の一実施態
様において、前記データ処理端末によるユーザに対する
個人認証処理ステップにおいて適用する個人認証用デー
タはデータ処理端末固有の格納データであり、前記サー
バによるユーザに対する個人認証処理ステップにおいて
適用する個人認証用データはサーバ固有の格納データで
あることを特徴とする。Further, in one embodiment of the authentication processing method of the present invention, the personal authentication data applied in the personal authentication processing step for the user by the data processing terminal is stored data unique to the data processing terminal, and the user by the server. The personal authentication data applied in the personal authentication processing step is the server-specific stored data.

【0013】さらに、本発明の認証処理方法の一実施態
様において、前記データ処理端末によるユーザに対する
個人認証処理ステップにおいて適用する個人認証用デー
タ、および、前記サーバによるユーザに対する個人認証
処理ステップにおいて参照対象とする登録個人認証用デ
ータは、ユーザによる1回の登録処理によってサーバま
たはデータ処理端末いずれかに登録され、サーバとデー
タ処理端末間における相互認証処理後に、サーバとデー
タ処理端末間で前記登録個人認証用データを暗号化して
転送し、サーバとデータ処理端末の双方で前記登録個人
認証用データを共有または分割共有することを特徴とす
る。Further, in one embodiment of the authentication processing method of the present invention, the personal authentication data applied in the personal authentication processing step for the user by the data processing terminal and the reference target in the personal authentication processing step for the user by the server. The registered individual authentication data is registered in either the server or the data processing terminal by one registration process by the user, and after the mutual authentication process between the server and the data processing terminal, the registered individual authentication data is registered between the server and the data processing terminal. The authentication data is encrypted and transferred, and the registered personal authentication data is shared or divided and shared by both the server and the data processing terminal.

【0014】さらに、本発明の認証処理方法の一実施態
様において、前記データ処理端末によるユーザに対する
個人認証処理ステップにおけるユーザ入力個人認証用デ
ータは、前記サーバによるユーザに対する個人認証処理
ステップにおいて適用され、前記ユーザ入力個人認証用
データは、サーバとデータ処理端末間における相互認証
処理後に、データ処理端末からサーバに対してセッショ
ンキーによる暗号化データとして転送することを特徴と
する。Further, in one embodiment of the authentication processing method of the present invention, the user input personal authentication data in the user personal authentication processing step by the data processing terminal is applied in the user personal authentication processing step by the server, The user input personal authentication data is transferred as encrypted data by a session key from the data processing terminal to the server after mutual authentication processing between the server and the data processing terminal.

【0015】さらに、本発明の認証処理方法の一実施態
様において、前記データ処理端末によるユーザに対する
個人認証処理ステップに適用する個人認証用データは生
体情報であることを特徴とする。Further, in one embodiment of the authentication processing method of the present invention, the personal authentication data applied to the personal authentication processing step for the user by the data processing terminal is biometric information.

【0016】さらに、本発明の認証処理方法の一実施態
様において、前記サーバによるユーザに対する個人認証
処理ステップに適用する個人認証用データは生体情報で
あることを特徴とする。Further, in one embodiment of the authentication processing method of the present invention, the personal authentication data applied to the personal authentication processing step for the user by the server is biometric information.

【0017】さらに、本発明の第2の側面は、データ処
理を実行し、登録ユーザデータを有する情報処理装置で
あり、登録ユーザのユーザ識別子と登録ユーザの個人認
証用データの対応データと、登録ユーザの使用するデー
タ処理端末との相互認証用データと、を格納したことを
特徴とする情報処理装置にある。Further, a second aspect of the present invention is an information processing apparatus for executing data processing and having registered user data, wherein the corresponding data of the registered user's user identifier and the registered user's personal authentication data, and registration. In the information processing apparatus, mutual authentication data with a data processing terminal used by a user is stored.

【0018】さらに、本発明の情報処理装置の一実施態
様において、前記個人認証用データは生体情報であるこ
とを特徴とする。Furthermore, in one embodiment of the information processing apparatus of the present invention, the personal authentication data is biometric information.

【0019】さらに、本発明の情報処理装置の一実施態
様において、前記データ処理端末との相互認証用データ
は、共通鍵認証方式または公開鍵認証方式のいずれかの
適用に必要なデータであることを特徴とする。Further, in one embodiment of the information processing apparatus of the present invention, the mutual authentication data with the data processing terminal is data necessary for applying either the common key authentication method or the public key authentication method. Is characterized by.

【0020】さらに、本発明の第3の側面は、データ処
理を実行し、登録ユーザデータを有するサーバと、サー
バと接続したデータ処理端末との間において実行する認
証処理をコンピュータ・システム上で実行せしめるコン
ピュータ・プログラムであって、データ処理端末による
ユーザに対する個人認証処理ステップと、前記個人認証
処理の成立を条件として実行するサーバとデータ処理端
末間における相互認証処理ステップと、を具備すること
を特徴とするコンピュータ・プログラムにある。Further, according to a third aspect of the present invention, a data processing is executed, and an authentication processing is executed on a computer system to be executed between a server having registered user data and a data processing terminal connected to the server. It is a computer program that comprises a personal authentication processing step for the user by the data processing terminal, and a mutual authentication processing step between the server and the data processing terminal that is executed on condition that the personal authentication processing is established. And in a computer program.

【0021】さらに、本発明の第4の側面は、データ処
理を実行し、登録ユーザデータを有するサーバと、サー
バと接続したデータ処理端末との間において実行する認
証処理をコンピュータ・システム上で実行せしめるコン
ピュータ・プログラムであって、サーバとデータ処理端
末間における相互認証処理ステップと、前記相互認証処
理の成立を条件として実行するサーバによるユーザに対
する個人認証処理ステップと、を具備することを特徴と
するコンピュータ・プログラムにある。Further, a fourth aspect of the present invention executes on a computer system an authentication process which executes data processing and is executed between a server having registered user data and a data processing terminal connected to the server. It is a computer program that comprises a mutual authentication processing step between the server and the data processing terminal, and a personal authentication processing step for the user by the server executed on condition that the mutual authentication processing is established. It is in a computer program.

【0022】なお、本発明のコンピュータ・プログラム
は、例えば、様々なプログラム・コードを実行可能なコ
ンピュータ・システムに対して、コンピュータ可読形式
で提供する記憶媒体、通信媒体、例えば、CDやFD、
MOなどの記録媒体、あるいは、ネットワークなどの通
信媒体によって提供可能なコンピュータ・プログラムで
ある。このようなプログラムをコンピュータ可読な形式
で提供することにより、コンピュータ・システム上でプ
ログラムに応じた処理が実現される。The computer program of the present invention is, for example, a storage medium or communication medium provided in a computer-readable format for a computer system capable of executing various program codes, such as a CD or FD.
It is a computer program that can be provided by a recording medium such as an MO or a communication medium such as a network. By providing such a program in a computer-readable format, processing according to the program is realized on the computer system.

【0023】本発明のさらに他の目的、特徴や利点は、
後述する本発明の実施例や添付する図面に基づくより詳
細な説明によって明らかになるであろう。なお、本明細
書においてシステムとは、複数の装置の論理的集合構成
であり、各構成の装置が同一筐体内にあるものには限ら
ない。Still other objects, features and advantages of the present invention are as follows.
It will be clarified by a more detailed description based on embodiments of the present invention described below and the accompanying drawings. In this specification, the system is a logical set configuration of a plurality of devices, and is not limited to a device in which each configuration is provided in the same housing.

【0024】[0024]

【発明の実施の形態】以下、本発明の構成について図面
を参照して詳細に説明する。本発明は、例えばICカー
ド等の個人用端末とデータ処理を実行し、登録ユーザデ
ータを有するサーバ(情報処理装置)間での通信処理に
際し、サーバと個人端末およびユーザ間でセキュアな認
証を可能とした構成を提示するものである。DETAILED DESCRIPTION OF THE INVENTION The configuration of the present invention will be described in detail below with reference to the drawings. INDUSTRIAL APPLICABILITY The present invention executes data processing with a personal terminal such as an IC card, and enables secure authentication between the server, the personal terminal, and the user during communication processing between the server (information processing apparatus) having the registered user data. The configuration is presented.

【0025】[概要説明]本実施例では、各ユーザはデ
ータ処理端末としての個人用端末(例えばICカード)
を所有しているものとする。本発明の認証プロセスは、 1.個人用端末による個人(ユーザ)認証 2.個人用端末とサーバ間の相互認証 3.サーバによる個人(ユーザ)認証 の3つのフェーズを持つ。[Outline of Description] In this embodiment, each user has a personal terminal (for example, an IC card) as a data processing terminal.
Shall be owned. The authentication process of the present invention is: Personal (user) authentication by personal terminal 2. Mutual authentication between personal terminal and server 3. It has three phases of individual (user) authentication by the server.

【0026】上記のような認証プロセス形態とすること
によりセキュリテイレベルの向上が実現される。すなわ
ち、上記プロセスによる認証処理構成において、不正な
第三者が個人を偽る試みを成功させるためには、個人
(ユーザ)認証用の情報および個人用端末認証用の情報
の両方を入手することが必要になるからである。また、
個人用端末とサーバ間の認証時に暗号鍵(例えばセッシ
ョンキー)を共有し、暗号鍵を適用して、その後の個人
認証用のデータ通信を暗号化することにより、サーバへ
のネットワーク上でのデータの漏洩防止が可能となる。
データが漏れると、その個人へのなりすましが容易にで
きてしまうが、本構成では、サーバと通信端末を接続す
る通信網における転送データは暗号化されており、デー
タ漏洩の可能性が低減する。The security level can be improved by adopting the above authentication process form. That is, in the authentication processing configuration by the above process, in order for an unauthorized third party to successfully attempt to impersonate an individual, it is necessary to obtain both the information for personal (user) authentication and the information for personal terminal authentication. Because it will be necessary. Also,
Data on the network to the server is shared by sharing the encryption key (for example, session key) at the time of authentication between the personal terminal and the server, applying the encryption key, and encrypting the data communication for personal authentication after that. It is possible to prevent the leakage.
If data leaks, it is possible to easily impersonate the individual, but in this configuration, the transfer data in the communication network connecting the server and the communication terminal is encrypted, and the possibility of data leakage is reduced.

【0027】本発明の実施例について説明する。個人用
端末を利用したデータ処理を実行する場合の構成例を図
1に示す。ユーザがサーバからの認証を受け、サービス
を受ける、という状況を想定する。サービスの内容とし
ては、ある会社や学校のコンピュータネットワークおよ
び端末の使用、銀行口座からの預金の引き出し、オンラ
インショッピングなど様々なものが考えられる。An embodiment of the present invention will be described. FIG. 1 shows a configuration example in the case of executing data processing using a personal terminal. It is assumed that the user receives the service from the server and receives the service. There are various services that can be used, such as the use of computer networks and terminals of a company or school, withdrawal of deposits from bank accounts, and online shopping.

【0028】ユーザはデータ処理端末である個人用端末
101として、例えばICカードを所有している。サー
バ103は、データ処理を実行し、登録ユーザデータを
有する情報処理装置である。個人用端末101は、通信
インタフェースを介して直接サーバ103と接続される
形態が望ましいが、ICカードなどは低コスト化、低消
費電力化、ダウンサイジングなどの要望が強く、サーバ
との直接の通信インタフェースを持てないことが考えら
れる。このような場合、図1に示すようにICカードに
対するリーダ/ライタ機能を持ち、かつサーバ103と
の通信インタフェースを持つ通信端末102がICカー
ドとしての個人用端末101とサーバ103との通信を
仲介する。通信端末102は、たとえば、ICカードリ
ーダのついたパーソナルコンピュータや、カードリーダ
のついたATMなどである。The user owns, for example, an IC card as the personal terminal 101 which is a data processing terminal. The server 103 is an information processing device that executes data processing and has registered user data. Although it is desirable that the personal terminal 101 be directly connected to the server 103 via a communication interface, there are strong demands for cost reduction, power consumption reduction, downsizing, etc. of IC cards and the like, and direct communication with the server. It is possible that you cannot have an interface. In such a case, as shown in FIG. 1, the communication terminal 102 having a reader / writer function for the IC card and having a communication interface with the server 103 mediates communication between the personal terminal 101 as an IC card and the server 103. To do. The communication terminal 102 is, for example, a personal computer with an IC card reader, an ATM with a card reader, or the like.

【0029】[個人用端末(データ処理端末)の構成]I
Cカード等のメモリデバイスとして構成される個人用端
末(データ処理端末)の構成例について、図2を用いて説
明する。図2に示すように、個人用端末200は、プロ
グラム実行機能、演算処理機能を持つCPU(Central
Processing Unit)201を有し、デバイスアクセス機
器としてのリーダライタ等、外部機器との通信処理用の
インタフェース機能を持つ通信インタフェース202、
CPU201によって実行される各種プログラム、例え
ば暗号処理プログラムなどを記憶したROM(Read Onl
y Memory)203、実行プログラムのロード領域、ま
た、各プログラム処理におけるワーク領域として機能す
るRAM(Random AccessMemory)204、外部機器と
の認証処理、電子署名の生成、検証処理、格納データの
暗号化、復号処理等の暗号処理を実行する暗号処理部2
05、各種鍵データを含むカードの固有情報、すなわち
個人用端末の識別子(Machine ID)、個人用端末認証を
行うためのデータ(暗号鍵等)、プログラム対応のデー
タを格納した例えばEEPROM(Electrically Erasab
le Programmable ROM)によって構成されるメモリ部20
6、LCD等の表示部207、文字、数字等の入力処理
可能な入力部208を有する。入力部208は、文字・
数字入力用のキーボードのほかに、生体情報入力部とし
て例えば指紋読み取り装置を持っており、ユーザが指を
指紋読取装置に当てることによって、ユーザの指紋読み
取りが可能な構成を持つ。[Configuration of Personal Terminal (Data Processing Terminal)] I
A configuration example of a personal terminal (data processing terminal) configured as a memory device such as a C card will be described with reference to FIG. As shown in FIG. 2, the personal terminal 200 has a CPU (Central
Processing unit) 201, and a communication interface 202 having an interface function for communication processing with an external device such as a reader / writer as a device access device,
A ROM (Read Onl) storing various programs executed by the CPU 201, such as an encryption processing program.
y Memory) 203, load area of execution program, RAM (Random Access Memory) 204 functioning as a work area in each program processing, authentication processing with external device, generation of electronic signature, verification processing, encryption of stored data, Cryptographic processing unit 2 that executes cryptographic processing such as decryption processing
05, card-specific information including various key data, that is, an identifier (Machine ID) of a personal terminal, data for performing personal terminal authentication (encryption key, etc.), and program-corresponding data such as an EEPROM (Electrically Erasab)
memory part 20 configured by a le Programmable ROM)
6, a display unit 207 such as an LCD, and an input unit 208 capable of inputting characters and numbers. The input unit 208 is
In addition to a keyboard for inputting numbers, for example, a fingerprint reading device is provided as a biometric information input unit, and the user's fingerprint can be read by touching the fingerprint reading device with the user's finger.

【0030】なお、サーバと端末が同一の暗号鍵を共有
して認証を行う共通鍵認証と、それぞれ個別の暗号鍵を
用いて認証を行う公開鍵認証があるが、メモリ部206
に格納する個人用端末認証を行うためのデータ(暗号鍵
等)は、共通鍵認証を行う構成である場合には、サーバ
との間で共有している共通鍵である。また、公開鍵認証
を行う構成である場合には、メモリ部206に格納する
個人用端末認証を行うためのデータ(暗号鍵等)は、自
分の秘密鍵と公開鍵となる。なお、共通鍵認証、公開鍵
認証を選択的に実行する構成とする場合には、共通鍵認
証に必要な共通鍵、公開鍵認証に必要となる秘密鍵、公
開鍵のペアのすべてをメモリ部206に格納する。There are common key authentication in which the server and the terminal share the same encryption key for authentication, and public key authentication in which the authentication is performed using each individual encryption key.
The data (encryption key or the like) for performing the personal terminal authentication stored in is the common key shared with the server when the configuration is such that the common key authentication is performed. Further, in the case of the configuration for performing public key authentication, the data (encryption key or the like) for performing personal terminal authentication stored in the memory unit 206 is the private key and public key of the user. If the common key authentication and public key authentication are selectively executed, all of the common key required for common key authentication, the private key required for public key authentication, and the public key pair are stored in the memory section. It stores in 206.

【0031】[サーバ(情報処理装置)および通信端末の
構成]次に、通信端末102、サーバ(情報処理装置)1
03の構成例について説明する。通信端末102は、セ
ットされるカードとのデータ入出力可能なインタフェー
ス手段を備えることが必要となるが、その他の構成は、
サーバ103と通信端末102は制御手段としてCPU
(Central processing Unit)を備えた同様のデータ処理
手段、例えばPC等のデータ処理手段によって実現する
ことができる。[Configuration of Server (Information Processing Device) and Communication Terminal] Next, communication terminal 102 and server (information processing device) 1
A configuration example of No. 03 will be described. The communication terminal 102 needs to be provided with interface means capable of inputting / outputting data to / from a card to be set, but other configurations are as follows.
The server 103 and the communication terminal 102 are CPUs as control means
It can be realized by a similar data processing unit including a (Central processing Unit), for example, a data processing unit such as a PC.

【0032】図3に通信端末102、サーバ103の構
成例を示す。なお、図3に示す通信端末102、サーバ
103の構成例は1つの例であり、通信端末102、サ
ーバ103はここに示すすべての機能を必ずしも備える
ことが要求されるものではない。図3に示すCPU(Cen
tral processing Unit)301は、各種アプリケーショ
ンプログラムや、OS(Operating System)を実行する
プロセッサである。ROM(Read-Only-Memory)302
は、CPU301が実行するプログラム、あるいは演算
パラメータとしての固定データを格納する。RAM(Ra
ndom Access Memory)303は、CPU301の処理に
おいて実行されるプログラム、およびプログラム処理に
おいて適宜変化するパラメータの格納エリア、ワーク領
域として使用される。FIG. 3 shows a configuration example of the communication terminal 102 and the server 103. The configuration example of the communication terminal 102 and the server 103 shown in FIG. 3 is one example, and the communication terminal 102 and the server 103 are not necessarily required to have all the functions shown here. CPU (Cen shown in FIG.
A tral processing unit) 301 is a processor that executes various application programs and an OS (Operating System). ROM (Read-Only-Memory) 302
Stores a program executed by the CPU 301 or fixed data as a calculation parameter. RAM (Ra
The ndom access memory) 303 is used as a storage area and a work area for programs executed in the processing of the CPU 301 and parameters that change appropriately in the program processing.

【0033】HDD304はハードディスクの制御を実
行し、ハードディスクに対する各種データ、プログラム
の格納処理および読み出し処理を実行する。ハードディ
スクには例えば登録ユーザ情報が格納される。暗号処理
手段305は、送信データの暗号処理、復号処理、認証
処理等を実行する。なお、ここでは、暗号処理手段を個
別モジュールとした例を示したが、このような独立した
暗号処理モジュールを設けず、例えば暗号処理プログラ
ムをROM302に格納し、CPU301がROM格納
プログラムを読み出して実行するように構成してもよ
い。メモリ(セキュアモジュール)306は例えば耐タ
ンパ構造を持つメモリとして構成され、暗号処理に必要
な鍵データ、個人(ユーザ)認証用のデータ、アクセス
許可書の格納領域として使用可能である。なお、これら
のデータは、他のメモリ領域、記憶媒体に格納すること
も可能である。The HDD 304 controls the hard disk, and stores and reads various data and programs to and from the hard disk. Registered user information is stored in the hard disk, for example. The encryption processing means 305 executes encryption processing, decryption processing, authentication processing, etc. of transmission data. Here, an example in which the cryptographic processing means is an individual module is shown, but such an independent cryptographic processing module is not provided, and, for example, the cryptographic processing program is stored in the ROM 302, and the CPU 301 reads and executes the ROM storage program. It may be configured to do so. The memory (secure module) 306 is configured as a memory having a tamper resistant structure, for example, and can be used as a storage area for key data necessary for encryption processing, personal (user) authentication data, and an access permit. Note that these data can also be stored in another memory area or storage medium.

【0034】バス321はPCI(Peripheral Compone
nt Internet/Interface)バス等により構成され、各モ
ジュール、入出力インタフェース322を介した各入手
力装置とのデータ転送を可能にしている。The bus 321 is a PCI (Peripheral Compone)
nt Internet / Interface) bus, etc., and enables data transfer with each module and each acquisition device via the input / output interface 322.

【0035】入力部311は、例えばキーボード、ポイ
ンティングデバイス、また、カードインタフェースも含
む入力部である。カードのセットがなされたことを入力
部311が検出した場合、あるいはキーボードやマウス
等を介して入力部311が操作された場合、あるいは、
通信部313が、カードからのデータを受信した場合な
どにCPU301に指令が入力され、ROM(Read Only
Memory)302に格納されているプログラムを実行す
る。出力部312は、例えばCRT、液晶ディスプレイ
等であり、各種情報をテキストまたはイメージ等により
表示する。The input unit 311 is an input unit including, for example, a keyboard, a pointing device, and a card interface. When the input unit 311 detects that the card has been set, or when the input unit 311 is operated via a keyboard, a mouse, or the like, or
When the communication unit 313 receives data from the card, a command is input to the CPU 301, and the ROM (Read Only
The program stored in the memory 302 is executed. The output unit 312 is, for example, a CRT, a liquid crystal display, or the like, and displays various kinds of information by text or images.

【0036】通信部313は接続した個人用端末、通信
端末、サーバとの通信、あるいは、その他のエンティテ
イ、例えばサービスプロバイダ、データベースサーバ、
認証局等との通信処理を実行し、CPU301の制御の
下に、各記憶部から供給されたデータ、あるいはCPU
301によって処理されたデータ、暗号化されたデータ
等を送信したり、他エンティテイからのデータを受信す
る処理を実行する。The communication unit 313 communicates with the connected personal terminal, communication terminal, server, or other entity such as a service provider, database server, or the like.
Under the control of the CPU 301, the data supplied from each storage unit or the CPU is executed under the control of the CPU 301.
A process of transmitting data processed by 301, encrypted data, or the like, or receiving data from another entity is executed.

【0037】ドライブ314は、フロッピー(登録商
標)ディスク、CD−ROM(Compact Disc Read Only
Memory),MO(Magneto optical)ディスク,DVD(Dig
ital Versatile Disc)、磁気ディスク、半導体メモリな
どのリムーバブル記録媒体315の記録再生を実行する
ドライブであり、各リムーバブル記録媒体315からの
プログラムまたはデータ再生、リムーバブル記録媒体3
15に対するプログラムまたはデータ格納を実行する。The drive 314 is a floppy (registered trademark) disc or a CD-ROM (Compact Disc Read Only).
Memory), MO (Magneto optical) disk, DVD (Dig
Ital Versatile Disc), a magnetic disk, a semiconductor memory, and the like, which is a drive for performing recording / reproduction of the removable recording medium 315. Reproduction of a program or data from each removable recording medium 315, removable recording medium 3
Execute program or data storage for 15.

【0038】各記憶媒体に記録されたプログラムまたは
データを読み出してCPU301において実行または処
理を行なう場合は、読み出したプログラム、データは入
出力インタフェース322、バス321を介して例えば
接続されているRAM303に供給される。When the program or data recorded in each storage medium is read and executed or processed by the CPU 301, the read program or data is supplied to, for example, the connected RAM 303 via the input / output interface 322 and the bus 321. To be done.

【0039】[データ登録処理]本発明のシステムにお
いて、認証処理を実行するためには、予め認証処理に必
要なデータを登録することが必要となる。認証処理に必
要なデータは、(1)個人用端末とサーバ間の相互認証
に必要なデータと、(2)ユーザ自身の認証すなわち個
人認証に必要なデータの2つの種類がある。[Data Registration Processing] In the system of the present invention, in order to execute the authentication processing, it is necessary to previously register data necessary for the authentication processing. There are two types of data required for the authentication process: (1) data required for mutual authentication between the personal terminal and the server, and (2) data required for user authentication, that is, personal authentication.

【0040】(1)個人用端末サーバ間相互認証用デー
タ登録 まず、個人用端末サーバ間の相互認証に必要なデータ登
録処理について説明する。機器間の認証処理方式として
は、共通鍵認証方式、および公開鍵認証方式がある。こ
のいずれの方式を実行するかは選択可能であるが、いず
れの方式を実行するかによって、各機器における登録デ
ータが異なってくることになる。各認証方式について図
を用いて説明する。(1) Mutual Authentication Data Registration Between Personal Terminal Servers First, the data registration processing required for mutual authentication between personal terminal servers will be described. The authentication processing method between devices includes a common key authentication method and a public key authentication method. It is possible to select which method is to be executed, but the registered data in each device varies depending on which method is executed. Each authentication method will be described with reference to the drawings.

【0041】図4は、共通鍵認証方式の一例を示し、暗
号学的チェック関数(MAC)を用いた相互認証および
鍵共有処理示すシーケンス図である。FIG. 4 is a sequence diagram showing an example of the common key authentication method and showing mutual authentication and key sharing processing using a cryptographic check function (MAC).

【0042】図4において、認証処理を実行するサーバ
A,デバイスB(例えば個人用端末)は、共通の鍵Kab
を格納する。なお、サーバAは、複数の相互認証デバイ
スC,D,E…の認証に適用するそれぞれの共通鍵Ka
c,Kad…をメモリに格納している。ここでは、1つ
の個人用端末(デバイスB)との相互認証プロセスにつ
いて説明する。まず、デバイスBは乱数Rbを発生し、
サーバAに送る。なお、図4における記号「||」は連結
を表している。In FIG. 4, the server A and the device B (for example, a personal terminal) that execute the authentication process have a common key Kab.
To store. It should be noted that the server A uses each common key Ka applied to the authentication of the plurality of mutual authentication devices C, D, E ....
c, Kad ... Are stored in the memory. Here, a mutual authentication process with one personal terminal (device B) will be described. First, the device B generates a random number Rb,
Send to server A. The symbol “||” in FIG. 4 represents a connection.

【0043】次にサーバAは、乱数Ra、Saを生成
し、Ra,SaとともにMAC(Kab,Ra||Rb||S
a)をデバイスBに送る。MAC(Kab,Ra||Rb||
Sa)は、暗号学的チェック関数に鍵としてKabを、
データとしてRa||Rb||Saを入力することを表す。
暗号学的チェック関数(MAC)は、ISO/IEC 9797 に
示されているように、FIPS 46-2 のデータ暗号化規格
(Data Encryption Standard, DES)を用いて構成する
ことが可能である。Next, the server A generates random numbers Ra and Sa, and MAC (Kab, Ra || Rb || S together with Ra and Sa.
Send a) to device B. MAC (Kab, Ra || Rb ||
Sa) uses Kab as a key for the cryptographic check function,
Indicates that Ra || Rb || Sa is input as data.
The cryptographic check function (MAC) can be configured using the Data Encryption Standard (DES) of FIPS 46-2 as shown in ISO / IEC 9797.

【0044】デバイスBは、受信したデータを用いて自
分でもMAC(Kab,Ra||Rb||Sa)を計算し、こ
れが受信したものと一致するかを検査する。一致すれば
通信相手であるサーバAが正当であると認め、処理を続
けるが、一致しなければ不正なものと判断して処理を中
止する。The device B itself calculates the MAC (Kab, Ra || Rb || Sa) using the received data and checks whether this matches the received one. If they match, the server A, which is the communication partner, recognizes that the server is legitimate and continues the processing, but if they do not match, it judges that the server A is invalid and stops the processing.

【0045】次にデバイスBは乱数Sbを生成し、これ
とMAC(Kab,Rb||Ra||Sb)をサーバAに送
る。サーバAも受信したデータを用いて自分でMAC
(Kab,Rb||Ra||Sb)を計算し、受信したものと
一致するかを確認する。一致すれば通信相手であるデバ
イスBが正当であると認め、処理を続けるが、一致しな
ければ不正なものと判断して処理を中止する。最後に、
双方がMAC(Kab,Sa||Sb)を計算し、これをそ
のセッションにおけるセッションキーとして使用する。Next, the device B generates a random number Sb and sends it and the MAC (Kab, Rb || Ra || Sb) to the server A. Server A also uses the received data to MAC itself
(Kab, Rb || Ra || Sb) is calculated and it is confirmed whether or not it matches the received one. If they match, the device B, which is the communication partner, is recognized as valid and the processing is continued, but if they do not match, it is determined to be invalid and the processing is stopped. Finally,
Both sides compute MAC (Kab, Sa || Sb) and use this as the session key for the session.

【0046】上記のようにすることにより、データ送受
信機器は互いの正当性を検査することができ、またセッ
ションキーを安全に共有することができる。By the above, the data transmitting / receiving devices can check the validity of each other and can securely share the session key.

【0047】図5は、公開鍵暗号を用いた認証方式(IE
C/ISO9798-3)を示すシーケンス図である。図5におい
て、サーバA,デバイスBは、それぞれ自分の公開鍵
(PubKey)、秘密鍵(PriKey)を持ってい
る。また、それぞれの公開鍵(PubKey)証明書
(Cert)を持っている。公開鍵証明書(Cert)
は、公開鍵を格納し、公開鍵の正当性を証明した証明書
であり、認証局(CA:Certification Authority)の
秘密鍵による署名が付加され改竄チェックにより正当性
の検証が可能な構成となっている。公開鍵証明書の署名
検証のために必要な認証局の公開鍵(PubKeyC
A)を各機器は保有する。FIG. 5 shows an authentication method using public key cryptography (IE
It is a sequence diagram showing C / ISO9798-3). In FIG. 5, the server A and the device B have their own public key (PubKey) and private key (PriKey), respectively. Also, each has a public key (PubKey) certificate (Cert). Public key certificate (Cert)
Is a certificate that stores the public key and certifies the validity of the public key. The signature is added with the private key of the certification authority (CA), and the validity can be verified by tampering check. ing. Public key of the certificate authority (PubKeyC) required for signature verification of the public key certificate
Each device has A).

【0048】さらに、各機器は、リボケーションリスト
(Rev)、レジストレーションリスト(Reg)を有
している。リボケーションリストは、不正者リストある
いはブラックリストとも呼ばれ、例えばその装置の秘密
鍵が露呈してしまったもののIDがリストアップされ、
単調増加するバージョンナンバーとともにセンタ(キー
発行機関)のデジタル署名が施され改竄チェックが可能
なリストとして構成される。レジストレーションリスト
は、正当者リストあるいは登録リストとも呼ばれ、その
時点で信頼できる(秘密が露呈していない)装置のID
がリストアップされ、単調増加するバージョンナンバー
とともにセンタ(キー発行機関)のデジタル署名が施さ
れ改竄チェックが可能なリストとして構成される。Further, each device has a revocation list (Rev) and a registration list (Reg). The revocation list is also called an illicit list or a black list. For example, the ID of a device whose secret key has been exposed is listed up.
A digital signature of the center (key issuing institution) is added together with a monotonically increasing version number, and it is configured as a tamper-proof list. The registration list, also known as the legitimate list or registration list, is the ID of the device that is trusted at the time (no secret is revealed).
Are listed, and a digital signature of the center (key issuing institution) is given along with a monotonically increasing version number, and the list is configured as a falsification checkable list.

【0049】図5において、デバイスBは乱数Rbを発
生させ、サーバAに送る。サーバAは、乱数Kaを発生
させ、公開鍵暗号方式のアルゴリズムである楕円曲線暗
号方式を適用し、楕円曲線E上でシステム共通の点(ベ
ースポイント)であるGとKaを乗算してVaを計算
し、さらに自分の秘密鍵(PriKeyA)を用いてデ
ータ(Ra||Rb||Va||RevVa||RegVa)に
対して施した署名(例えばIEEE1363)とともに、公開鍵
証明書他のデータ(CertA||Ra||Rb||Va)を
デバイスBに送る。In FIG. 5, device B generates a random number Rb and sends it to server A. The server A generates a random number Ka, applies the elliptic curve cryptosystem, which is an algorithm of the public key cryptosystem, multiplies the system common point (base point) G and Ka on the elliptic curve E to obtain Va. The data (Ra || Rb || Va || RevVa || RegVa) calculated with the private key (PriKeyA) of its own, together with the signature (for example, IEEE1363) given to the public key certificate and other data ( CertA || Ra || Rb || Va) to device B.

【0050】デバイスBは、サーバAの公開鍵証明書
(CertA)の正当性、および署名の正当性を検査す
る。そして、自分がリボケーションリストを格納してい
れば、相手のIDがリボケーションリストに載っていな
いことを、また、自分がレジストレーションリストを格
納していれば、相手のIDがレジストレーションリスト
に登録されていることを確認する。以上の確認が正常に
できなければ、デバイスBはサーバAが不正者と判断し
て処理を終了する。以上の確認が正常にできれば、デバ
イスBは、乱数Kbを生成して、キー発行機関が行った
のと同様な計算を行い、公開鍵証明書他のデータ(Ce
rtB||Rb||Ra||Vb)とともに自分の秘密鍵(P
riKeyB)を用いてデータRb||Ra||Vb||Re
vVb||RegVbに対して施した署名データをサーバ
Aに送る。The device B checks the validity of the public key certificate (CertA) of the server A and the validity of the signature. If the user stores the revocation list, the ID of the other party is not on the revocation list. If the user stores the registration list, the other party's ID is on the registration list. Make sure you are registered. If the above confirmation cannot be performed normally, the device B determines that the server A is an unauthorized person and ends the process. If the above confirmation is successful, the device B generates a random number Kb and performs the same calculation as that performed by the key issuing institution, and the public key certificate and other data (Ce
rtB || Rb || Ra || Vb) together with your private key (P
riKeyB) to obtain the data Rb || Ra || Vb || Re
The signature data applied to vVb || RegVb is sent to the server A.

【0051】この後、サーバAではKaとVbを、デバ
イスBではKbとVaを、それぞれ楕円曲線E上で乗算
してセッションキーKsを得る。After that, Ka and Vb in the server A and Kb and Va in the device B are respectively multiplied on the elliptic curve E to obtain the session key Ks.

【0052】上述のような手法により、コンテンツの送
信側機器と受信側機器間で相互認証がなされ、セッショ
ン鍵Ksが保持される。By the method as described above, mutual authentication is performed between the content transmission side device and the content reception side device, and the session key Ks is held.

【0053】上述したように、共通鍵認証、公開鍵認証
方式のいずれかを実行するかによって、認証処理を実行
する機器における登録データは異なる。As described above, the registration data in the device that executes the authentication process differs depending on whether the common key authentication or the public key authentication method is executed.

【0054】(2)個人認証用データ登録 次に、個人認証に必要なデータ登録処理について説明す
る。サーバには、上述した個人用端末認証に必要なデー
タ以外に、個人認証、すなわちユーザ自身の認証に必要
なユーザの固有データを登録する。この際に登録される
データとしては、ユーザの生体情報、例えば指紋データ
や、ユーザのパスワードや、ユーザに対する質問および
その正答の組などである。これらのデータはユーザの識
別子(User ID)と共に記録される。ここで、指紋はデ
ータとして登録するときには、指紋のそれぞれの線
(山)の端点や分岐点など、多数のデータの集合として
登録される。また、質問およびその正答とは、たとえ
ば、ユーザの出生地は?とか、ユーザの母親の旧姓は?
など、そのユーザが知っていることであるがそれ以外の
人が知る確率がそれほど高くない質問とそれに対する正
答が多数、組になったものである。質問および応答を用
いた認証とは、従来パスワードや暗証番号を用いて行わ
れてきた個人認証に対して、一度覗き見られたら簡単に
成りすまされてしまう、という欠点を克服するために、
認証を行うごとに基本的に別の質問をだし、別の答えを
要求するようにして、覗き見をされてもすぐにはなりす
ましができないようにしているものである。(2) Data Registration for Personal Authentication Next, the data registration processing required for personal authentication will be described. In the server, in addition to the data required for personal terminal authentication described above, user-specific data required for personal authentication, that is, user authentication, is registered. The data registered at this time is biometric information of the user, such as fingerprint data, the password of the user, a set of questions to the user and their correct answers. These data are recorded together with the user identifier (User ID). Here, when a fingerprint is registered as data, it is registered as a set of a large number of data, such as the end points and branch points of each line (mountain) of the fingerprint. The question and the correct answer are, for example, the place of birth of the user? Or the maiden name of the user's mother?
A set of many questions that the user knows, but the probability that other people do not know so much, and the correct answers to them are set. In order to overcome the drawback that the authentication using the question and the answer is that it is easily spoofed once it is seen, as opposed to the individual authentication that was conventionally performed using a password or a PIN.
Basically, a different question is asked each time authentication is performed, and a different answer is requested, so that spoofing cannot be performed immediately even if a sneak peek is made.

【0055】次に、個人用端末に個人認証に必要なユー
ザのデータを登録する。これはサーバに登録したのと同
様なデータを、ユーザのIDと共に登録する。このと
き、新たにデータを登録してもよいが、前述の、サーバ
に登録したデータのうちの一部を、個人用端末に登録し
てもよい。たとえば、サーバにユーザの指紋をm個のデ
ータとして登録してある場合、そのうちのn(<m)個
を個人用端末に登録してもよい。Next, user data required for personal authentication is registered in the personal terminal. This registers the same data as that registered in the server together with the user's ID. At this time, new data may be registered, but a part of the above-mentioned data registered in the server may be registered in the personal terminal. For example, when the user's fingerprint is registered as m data in the server, n (<m) of them may be registered in the personal terminal.

【0056】以上の処理により、サーバは、各個人用端
末を認証するための個人用端末認証用データと、各ユー
ザを認証するための個人認証用データを保持することに
なる。また、個人用端末は、サーバを認証するためのサ
ーバ認証用データと、自分の持ち主となるユーザを認証
するためのデータとしての個人認証用データを保持する
ことになる。Through the above processing, the server holds the personal terminal authentication data for authenticating each personal terminal and the personal authentication data for authenticating each user. Further, the personal terminal holds server authentication data for authenticating the server and personal authentication data as data for authenticating the user who owns the server.

【0057】[認証処理プロセス]次に、本発明のシス
テムにおいて実行する認証プロセスについて説明する。
図6に認証プロセスのシーケンスを説明する図を示す。
本発明の認証プロセスは、 (1)個人用端末によるユーザに対する個人認証処理 (2)サーバと個人用端末間における相互認証処理 (3)サーバによるユーザに対する個人認証処理 以上の3フェーズから構成される。なお、上記(2),
(3)の処理は、サーバと個人用端末間に接続された通
信端末を介して実行される。なお、個人用端末にサーバ
との通信に適用可能なインタフェースを持つ場合はサー
バと個人用端末間で実行してもよい。以下、各処理につ
いて説明する。[Authentication Process] Next, the authentication process executed in the system of the present invention will be described.
FIG. 6 shows a diagram for explaining the sequence of the authentication process.
The authentication process of the present invention comprises (1) personal authentication processing for the user by the personal terminal, (2) mutual authentication processing between the server and the personal terminal, and (3) personal authentication processing for the user by the server. . In addition, the above (2),
The process (3) is executed via the communication terminal connected between the server and the personal terminal. If the personal terminal has an interface applicable to communication with the server, it may be executed between the server and the personal terminal. Hereinafter, each process will be described.

【0058】(1)個人用端末によるユーザに対する個
人認証処理 まず、ユーザは自分の持つ個人用端末を作動させる。こ
のときに、個人用端末はユーザに対する個人認証を実行
する。(1) Personal Authentication Process for User by Personal Terminal First, the user operates his personal terminal. At this time, the personal terminal executes personal authentication for the user.

【0059】個人用端末によるユーザに対する個人認証
処理は、個人用端末に登録されている個人認証用データ
に基づいて実行されることになる。例えば個人用端末に
個人認証用データとしてユーザのパスワードが登録され
ている場合は、ユーザがパスワードを個人用端末に入力
し、正しいパスワードが入力された場合のみ、端末がそ
の後の処理、例えばサーバとの通信を実行する。The personal authentication process for the user by the personal terminal is executed based on the personal authentication data registered in the personal terminal. For example, if the user's password is registered as personal authentication data on the personal terminal, the terminal inputs the password to the personal terminal, and only when the correct password is input, the terminal performs subsequent processing, for example, with the server. To communicate.

【0060】また、例えば個人用端末に個人認証用デー
タとしてユーザの指紋データが登録されている場合は、
個人用端末の入力部に構成された指紋読み取り部に対し
てユーザが指を接触させることで個人用端末がユーザの
指紋を読み取り、登録データと一致するか否かを検証し
て、個人認証処理を実行する。認証が成立した場合にの
み個人用端末がその後の処理、例えばサーバとの通信を
実行する。Further, for example, when the user's fingerprint data is registered as personal authentication data in the personal terminal,
When the user touches the fingerprint reading unit configured in the input unit of the personal terminal with the user's finger, the personal terminal reads the user's fingerprint and verifies whether the personal data matches the registered data to perform personal authentication processing. To execute. Only when the authentication is successful, the personal terminal executes subsequent processing, for example, communication with the server.

【0061】(2)サーバと個人用端末間における相互
認証処理 個人用端末によるユーザに対する個人認証が成立したこ
とを条件として、次に、個人用端末とサーバが相互認証
および鍵交換を行う。これは上述した共通鍵方式または
公開鍵方式の相互認証および鍵交換処理を実行すること
によって行われる。個人用端末とサーバにはそれぞれ実
行する認証方式に必要なデータ、すなわち、共通鍵方式
認証の場合は共通鍵、公開鍵認証方式の場合は、公開
鍵、秘密鍵のペア、公開鍵証明書、リボケーションリス
ト、レジストレーションリスト、および認証局の公開鍵
が格納されている。(2) Mutual Authentication Process Between Server and Personal Terminal Next, the personal terminal and the server perform mutual authentication and key exchange, provided that personal authentication of the user by the personal terminal is established. This is performed by executing the mutual authentication and key exchange processing of the above-mentioned common key method or public key method. The data required for the authentication method to be executed on the personal terminal and the server, that is, the common key for the common key method authentication, the public key, the private key pair, the public key certificate for the public key authentication method, The revocation list, registration list, and public key of the certificate authority are stored.

【0062】サーバと個人用端末間では、共通鍵方式ま
たは公開鍵方式の相互認証および鍵交換処理が実行さ
れ、認証成立により、その後の相互間の通信データの暗
号処理鍵としてのセッションキーを共有することができ
る。Between the server and the personal terminal, common key method or public key method mutual authentication and key exchange processing are executed, and when the authentication is established, the session key as the encryption processing key of the subsequent communication data is shared. can do.

【0063】(3)サーバによるユーザに対する個人認
証処理 サーバと個人用端末間の認証が成立したことを条件とし
て、最後に、サーバによるユーザに対する個人認証プロ
セスを実行する。サーバによる個人認証プロセスは、サ
ーバに登録されている個人認証用データに基づいて実行
されることになる。(3) Personal authentication processing for the user by the server Finally, the personal authentication process for the user by the server is executed on condition that the authentication between the server and the personal terminal is established. The personal authentication process by the server is executed based on the personal authentication data registered in the server.

【0064】例えばサーバに個人認証用データとして登
録ユーザの指紋データがユーザIDに対応付けられて登
録されている場合は、ユーザから個人用端末に再度、指
紋入力を行ない、個人用端末からサーバに入力データを
サーバに送信して、サーバにあらかじめ登録してあるデ
ータと一致するかどうかを確認する処理として実行する
ことが可能である。For example, when the fingerprint data of the registered user is registered in the server as personal authentication data in association with the user ID, the user again inputs the fingerprint to the personal terminal, and the personal terminal transmits to the server. The input data can be transmitted to the server and executed as a process of confirming whether the data matches the data registered in advance in the server.

【0065】あるいは、サーバに個人認証用データとし
て登録ユーザの個人情報(例えば出生地、住所、親類の
名前等)がユーザIDに対応付けられて登録されている
いる場合は、サーバからユーザに対し、あらかじめ登録
してある質問のうちのいくつかを提示し、その質問に対
する回答をユーザが個人用端末の入力装置を用いて回答
し、それをサーバに送信してサーバにおいて登録データ
の一致を判定する処理として実行する。Alternatively, when personal information (for example, place of birth, address, name of relative, etc.) of a registered user is registered in the server as personal authentication data in association with the user ID, the server notifies the user to the user. , Present some of the questions registered in advance, the user answers the question using the input device of the personal terminal, sends it to the server, and the server judges whether the registered data match. It is executed as a process.

【0066】上述のようにサーバによるユーザに対する
個人認証処理は、サーバに登録された個人認証用データ
に基づいて実行される。なお、ユーザの特定は、個人用
端末からサーバへ、あらかじめ個人用端末に登録されて
いるユーザID(User ID)を送信して実行される。な
お、サーバに、個人用端末のIDとユーザID(UserI
D)の対応データを格納し、個人用端末から送信される
個人用端末IDに基づいてユーザを特定してユーザID
を選択して、ユーザIDに対応付けられた個人認証用デ
ータを抽出する構成としてもよい。As described above, the personal authentication process for the user by the server is executed based on the personal authentication data registered in the server. The user is specified by transmitting a user ID (User ID) registered in the personal terminal in advance from the personal terminal to the server. In addition, the ID of the personal terminal and the user ID (UserI
D) Corresponding data is stored and the user is identified based on the personal terminal ID transmitted from the personal terminal to identify the user.
May be selected to extract the personal authentication data associated with the user ID.

【0067】個人用端末とサーバの間の通信は、いずれ
の方向においても、前述の(2)の個人用端末とサーバ
間の認証において共有したセッションキーに基づいて暗
号化されてデータの転送が実行され、データ漏洩の防止
が図られる。セッションキーによる暗号化により、通信
路を盗聴されたとしても、指紋データや質問とその応答
などの、個人を認証するためのデータが漏洩することが
なく、安全性が高められる。In either direction, the communication between the personal terminal and the server is encrypted based on the session key shared in the authentication between the personal terminal and the server in the above (2), and the data transfer is performed. It is executed to prevent data leakage. By using the session key, even if the communication path is eavesdropped, data for authenticating an individual such as fingerprint data or a question and its response is not leaked, so that the safety is improved.

【0068】上記(1),(2),(3)の各フェーズ
により構成されるすべての認証が成立したことを条件と
してサーバはユーザに対するサービスの提供を開始す
る。The server starts providing the service to the user on condition that all the authentications constituted by the respective phases (1), (2) and (3) have been established.

【0069】図7に上述した認証処理シーケンスをまと
めたフロー図を示す。図7の各ステップについて説明す
る。ステップS101でユーザが個人用端末を作動し、
個人用端末によるユーザ認証のための認証用データを個
人用端末に入力し、ステップS102において個人用端
末がユーザに対する個人認証を実行する。この処理は上
述の(1)個人用端末によるユーザに対する個人認証処
理に相当する。この認証処理は、個人用端末に格納され
た個人認証用データに基づいて実行される。個人認証用
データは例えばパスワード、指紋データである。FIG. 7 shows a flow chart summarizing the above-mentioned authentication processing sequence. Each step in FIG. 7 will be described. In step S101, the user activates the personal terminal,
Authentication data for user authentication by the personal terminal is input to the personal terminal, and the personal terminal executes personal authentication of the user in step S102. This process corresponds to the above-mentioned (1) personal authentication process for the user by the personal terminal. This authentication processing is executed based on the personal authentication data stored in the personal terminal. The personal authentication data is, for example, a password or fingerprint data.

【0070】次に、ステップS103では個人用端末と
サーバ間の認証、鍵共有が実行される。これは、上述の
(2)サーバと個人用端末間における相互認証処理に相
当する。この処理は、前述したように共通鍵方式、ある
いは公開鍵方式の相互認証アルゴリズムに従って実行さ
れ、認証の成立に基づいてセッションキーをサーバおよ
び個人用端末が共有する。Next, in step S103, authentication and key sharing between the personal terminal and the server are executed. This corresponds to the above-mentioned (2) mutual authentication processing between the server and the personal terminal. This process is executed according to the mutual authentication algorithm of the common key system or the public key system as described above, and the server and the personal terminal share the session key based on the establishment of the authentication.

【0071】次に、ステップS104では、サーバによ
るユーザ認証のための認証用データを個人用端末に入力
し、ステップS105で個人用端末からサーバに対して
個人認証用データが転送され、ステップS106におい
て、サーバによるユーザ認証を実行する。これは前述の
(3)サーバによるユーザに対する個人認証処理に相当
する。この認証処理は、サーバに格納された個人認証用
データに基づいて実行される。個人認証用データは例え
ば指紋データ、ユーザ個人情報などである。これらがユ
ーザにより入力され個人用端末からサーバへ転送される
際は、サーバと個人用端末間における相互認証処理にお
いて生成したセッションキーで暗号化される。Next, in step S104, authentication data for user authentication by the server is input to the personal terminal, and in step S105 the personal authentication data is transferred from the personal terminal to the server, and in step S106. , Execute user authentication by the server. This corresponds to the personal authentication process for the user by the server (3) described above. This authentication processing is executed based on the personal authentication data stored in the server. The personal authentication data is, for example, fingerprint data or user personal information. When these are input by the user and transferred from the personal terminal to the server, they are encrypted with the session key generated in the mutual authentication process between the server and the personal terminal.

【0072】[認証処理プロセス例2]上述した認証処
理プロセス例では、個人用端末と、サーバによるユーザ
に対する個人認証処理において、それぞれ独自の個人認
証用データを用いた例を説明した。この場合、ユーザは
各機器(個人用端末およびサーバ)の個人認証プロセス
において、それぞれ個人認証用データを入力することが
必要となる。以下では、認証処理プロセス例2として、
ユーザによる個人認証用データの入力を1回のみとして
各機器(個人用端末およびサーバ)において個人認証を
実行する例を説明する。本例では、認証データとして指
紋データを個人用端末、サーバの双方で使用する例につ
いて説明する。[Authentication Processing Process Example 2] In the above-described authentication processing process example, an example has been described in which individual personal authentication data is used in the personal authentication process for the user by the personal terminal and the server. In this case, the user needs to input personal authentication data in the personal authentication process of each device (personal terminal and server). In the following, as the authentication process example 2,
An example will be described in which personal authentication data is input only once by a user and personal authentication is executed in each device (personal terminal and server). In this example, an example will be described in which fingerprint data is used as authentication data in both the personal terminal and the server.

【0073】本実施例においても、認証プロセスは、 (1)個人用端末によるユーザに対する個人認証処理 (2)サーバと個人用端末間における相互認証処理 (3)サーバによるユーザに対する個人認証処理 以上の3フェーズから構成される。なお、上記(2),
(3)の処理は、サーバと個人用端末間に接続された通
信端末を介して実行される。なお、個人用端末にサーバ
との通信に適用可能なインタフェースを持つ場合はサー
バと個人用端末間で実行してもよい。以下、各処理につ
いて説明する。Also in the present embodiment, the authentication process is as follows: (1) personal authentication process for the user by the personal terminal (2) mutual authentication process between the server and the personal terminal (3) personal authentication process for the user by the server It consists of 3 phases. In addition, the above (2),
The process (3) is executed via the communication terminal connected between the server and the personal terminal. If the personal terminal has an interface applicable to communication with the server, it may be executed between the server and the personal terminal. Hereinafter, each process will be described.

【0074】(1)個人用端末によるユーザに対する個
人認証処理 個人用端末には、個人認証用データとしてユーザの指紋
データが登録されている。ユーザは、個人用端末の入力
部に構成された指紋読み取り部に対して指を接触させ、
指紋データを個人用端末に入力する。個人用端末は、ユ
ーザの指紋を読み取り、登録データと一致するか否かを
検証して、個人認証処理を実行する。認証が成立した場
合にのみ個人用端末がその後の処理、例えばサーバとの
通信を実行する。(1) Personal Authentication Processing for User by Personal Terminal Fingerprint data of the user is registered as personal authentication data in the personal terminal. The user brings his / her finger into contact with the fingerprint reading unit formed in the input unit of the personal terminal,
Enter fingerprint data into your personal device. The personal terminal reads the user's fingerprint, verifies whether it matches the registration data, and executes personal authentication processing. Only when the authentication is successful, the personal terminal executes subsequent processing, for example, communication with the server.

【0075】(2)サーバと個人用端末間における相互
認証処理 個人用端末によるユーザに対する個人認証が成立したこ
とを条件として、次に、個人用端末とサーバが相互認証
および鍵交換を行う。これは上述した共通鍵方式または
公開鍵方式の相互認証および鍵交換処理を実行すること
によって行われる。個人用端末とサーバにはそれぞれ実
行する認証方式に必要なデータ、すなわち、共通鍵方式
認証の場合は共通鍵、公開鍵認証方式の場合は、公開
鍵、秘密鍵のペア、公開鍵証明書、リボケーションリス
ト、レジストレーションリスト、および認証局の公開鍵
が格納されている。(2) Mutual Authentication Process Between Server and Personal Terminal Next, the personal terminal and server perform mutual authentication and key exchange, provided that personal authentication of the user by the personal terminal is established. This is performed by executing the mutual authentication and key exchange processing of the above-mentioned common key method or public key method. The data required for the authentication method to be executed on the personal terminal and the server, that is, the common key for the common key method authentication, the public key, the private key pair, the public key certificate for the public key authentication method, The revocation list, registration list, and public key of the certificate authority are stored.

【0076】サーバと個人用端末間では、共通鍵方式ま
たは公開鍵方式の相互認証および鍵交換処理が実行さ
れ、認証成立により、その後の相互間の通信データの暗
号処理鍵としてのセッションキーを共有することができ
る。Between the server and the personal terminal, common key system or public key system mutual authentication and key exchange processing are executed, and when the authentication is established, the session key as an encryption processing key for the subsequent mutual communication data is shared. can do.

【0077】(3)サーバによるユーザに対する個人認
証処理 サーバと個人用端末間の認証が成立したことを条件とし
て、最後に、サーバによるユーザに対する個人認証プロ
セスを実行する。サーバによる個人認証プロセスは、サ
ーバに登録されている個人認証用データに基づいて実行
されることになる。(3) Personal Authentication Processing for User by Server The server finally executes the personal authentication process for the user by the server, provided that the authentication between the server and the personal terminal is established. The personal authentication process by the server is executed based on the personal authentication data registered in the server.

【0078】前述の例では、サーバはサーバの実行する
個人認証処理に必要なデータの入力を新たにユーザに対
して要求していたが、本例では、先に実行された個人用
端末による個人認証の際にユーザから取得した指紋デー
タを個人用端末からサーバに対して送信する。このデー
タ送信は、個人用端末とサーバ間の相互認証時に共有し
たセッションキーで暗号化して実行される。In the above-mentioned example, the server newly requests the user to input the data necessary for the personal authentication processing executed by the server, but in this example, the personal terminal by the personal terminal executed previously is used. The fingerprint data acquired from the user at the time of authentication is transmitted from the personal terminal to the server. This data transmission is performed by encrypting with the session key shared during the mutual authentication between the personal terminal and the server.

【0079】サーバは、個人認証用データとして登録ユ
ーザの指紋データをユーザIDに対応付けて登録してお
り、個人用端末の個人認証プロセスで読み取ったユーザ
の指紋のうち、少なくとも一部(例えば個人用端末が使
用しなかったデータ)をサーバに送信して、サーバにあ
らかじめ登録してあるデータと一致するかどうかを確認
する。The server registers the fingerprint data of the registered user as the personal authentication data in association with the user ID, and at least a part of the fingerprints of the user read by the personal authentication process of the personal terminal (for example, the personal fingerprint). (Data not used by the data terminal) is sent to the server and it is confirmed whether the data matches the data registered in advance in the server.

【0080】本例では、サーバによるユーザに対する個
人認証処理は、個人用端末のユーザに対する個人認証時
にユーザから入力された個人認証用データ(指紋デー
タ)を個人用端末から取得して、取得したデータとサー
バに登録された個人認証用データに基づいて実行する。
従って、ユーザによる個人認証用データの入力は1回の
みとすることが可能となる。In this example, the personal authentication process for the user by the server is performed by acquiring the personal authentication data (fingerprint data) input by the user from the personal terminal at the time of personal authentication of the user of the personal terminal, and acquiring the acquired data. And execute based on the personal authentication data registered in the server.
Therefore, the user can input the personal authentication data only once.

【0081】個人用端末とサーバの間の通信は、いずれ
の方向においても、前述の(2)の個人用端末とサーバ
間の認証において共有したセッションキーに基づいて暗
号化されてデータの転送が実行され、データ漏洩の防止
が図られる。セッションキーによる暗号化により、通信
路を盗聴されたとしても、指紋データ等の個人認証デー
タが漏洩することがなく、安全性が高められる。上記
(1),(2),(3)の各フェーズにより構成される
すべての認証が成立したことを条件としてサーバはユー
ザに対するサービスの提供を開始する。In either direction, the communication between the personal terminal and the server is encrypted based on the session key shared in the authentication between the personal terminal and the server in (2) above, and the data transfer is performed. It is executed to prevent data leakage. By the encryption using the session key, even if the communication path is eavesdropped, personal authentication data such as fingerprint data is not leaked, and the safety is improved. The server starts providing the service to the user on condition that all the authentications constituted by the phases (1), (2), and (3) have been established.

【0082】図9に上述した認証処理シーケンスをまと
めたフロー図を示す。図9の各ステップについて説明す
る。ステップS201でユーザが個人用端末を作動し、
個人用端末によるユーザ認証のための認証用データを個
人用端末に入力し、ステップS202において個人用端
末がユーザに対する個人認証を実行する。この処理は上
述の(1)個人用端末によるユーザに対する個人認証処
理に相当する。この認証処理は、個人用端末に格納され
た個人認証用データに基づいて実行される。個人認証用
データは例えば指紋データである。FIG. 9 shows a flow chart summarizing the above-mentioned authentication processing sequence. Each step of FIG. 9 will be described. In step S201, the user activates the personal terminal,
Authentication data for user authentication by the personal terminal is input to the personal terminal, and the personal terminal executes personal authentication of the user in step S202. This process corresponds to the above-mentioned (1) personal authentication process for the user by the personal terminal. This authentication processing is executed based on the personal authentication data stored in the personal terminal. The personal authentication data is, for example, fingerprint data.

【0083】次に、ステップS203では個人用端末と
サーバ間の認証、鍵共有が実行される。これは、上述の
(2)サーバと個人用端末間における相互認証処理に相
当する。この処理は、前述したように共通鍵方式、ある
いは公開鍵方式の相互認証アルゴリズムに従って実行さ
れ、認証の成立に基づいてセッションキーをサーバおよ
び個人用端末が共有する。Next, in step S203, authentication and key sharing between the personal terminal and the server are executed. This corresponds to the above-mentioned (2) mutual authentication processing between the server and the personal terminal. This process is executed according to the mutual authentication algorithm of the common key system or the public key system as described above, and the server and the personal terminal share the session key based on the establishment of the authentication.

【0084】次に、ステップS204では、サーバによ
るユーザ認証のための認証用データを個人用端末からサ
ーバに対して転送する。このデータはステップS201
の個人用端末における個人認証用入力データのすべてま
たは一部である。ステップS205において、サーバ
は、個人用端末から受信したユーザ入力データに基づい
てユーザ認証を実行する。これは前述の(3)サーバに
よるユーザに対する個人認証処理に相当する。この認証
処理は、サーバに格納された個人認証用データに基づい
て実行される。個人認証用データは例えば指紋データで
ある。個人用端末からサーバへの転送データは、サーバ
と個人用端末間における相互認証処理において生成した
セッションキーで暗号化される。Next, in step S204, authentication data for user authentication by the server is transferred from the personal terminal to the server. This data is obtained in step S201.
All or part of the personal authentication input data in the personal terminal of. In step S205, the server performs user authentication based on the user input data received from the personal terminal. This corresponds to the personal authentication process for the user by the server (3) described above. This authentication processing is executed based on the personal authentication data stored in the server. The personal authentication data is, for example, fingerprint data. Transfer data from the personal terminal to the server is encrypted with the session key generated in the mutual authentication process between the server and the personal terminal.

【0085】処理フローの説明において明らかなよう
に、本例では、サーバによるユーザに対する個人認証処
理は、個人用端末のユーザに対する個人認証時にユーザ
から入力された個人認証用データ(指紋データ)に基づ
いて実行可能であり、ユーザによる個人認証用データの
入力は1回のみとすることが可能となる。As is apparent from the description of the processing flow, in this example, the personal authentication processing for the user by the server is based on the personal authentication data (fingerprint data) input by the user at the time of personal authentication for the user of the personal terminal. The personal authentication data can be input only once by the user.

【0086】なお、サーバによる個人認証処理、および
個人用端末による個人認証処理においては、サーバ、個
人用端末に個人認証用の登録データをあらかじめ登録す
ることが必要となる。例えば指紋データを個人認証に使
用する場合は、サーバ、個人用端末のそれぞれに指紋デ
ータを予め登録しておくことが必要となる。In the personal authentication processing by the server and the personal authentication processing by the personal terminal, it is necessary to register registration data for personal authentication in the server and the personal terminal in advance. For example, when using fingerprint data for personal authentication, it is necessary to register the fingerprint data in advance in each of the server and the personal terminal.

【0087】この登録処理は、サーバ、個人用端末に対
して個別に行なってもよいが、上述した処理例のように
共通の指紋データによる認証プロセスをサーバ、個人用
端末の双方で実行する場合は、登録データについてもサ
ーバと個人用端末で共有、あるいは分割して保持するこ
とが可能である。This registration processing may be performed individually for the server and the personal terminal, but when the authentication process using the common fingerprint data is executed by both the server and the personal terminal as in the above-described processing example. The registration data can also be shared by the server and the personal terminal, or can be divided and held.

【0088】図10に、サーバおよび個人用端末で個人
認証用データを分割共有する場合のデータ登録処理プロ
セスを説明するフローを示す。各ステップについて説明
する。FIG. 10 shows a flow for explaining a data registration processing process in the case where the server and the personal terminal divide and share the personal authentication data. Each step will be described.

【0089】まず、ステップS301において、ユーザ
がサーバに対して個人認証用データを登録する。これ
は、特定の信頼されるサーバ接続機器において例えば指
紋データをユーザIDとともに登録する処理として実行
される。サーバへは登録ユーザの指紋データの特徴点デ
ータを例えば1000点登録するとする。First, in step S301, the user registers personal authentication data in the server. This is executed as a process of registering, for example, fingerprint data together with a user ID in a specific trusted server connection device. It is assumed that 1000 pieces of characteristic point data of fingerprint data of registered users are registered in the server.

【0090】次に、ステップS302において、サーバ
は、ユーザの個人用端末との相互認証処理を実行する。
この認証処理は先に説明した共通鍵方式または公開鍵方
式による相互認証処理であり、認証の結果としてセッシ
ョンキーが共有される。Next, in step S302, the server executes mutual authentication processing with the user's personal terminal.
This authentication processing is mutual authentication processing by the common key method or the public key method described above, and the session key is shared as a result of the authentication.

【0091】認証が成立し、セッションキーの共有に成
功すると、サーバは、ステップS301で登録されたユ
ーザの個人認証用登録データの少なくとも一部、例えば
指紋特徴点データの300点分のデータをセッションキ
ーで暗号化して個人用端末に転送する。個人用端末は、
この受信データを復号し、必要に応じて予め保有するス
トレージキー等で再暗号化して自身のメモリに格納す
る。個人用端末がユーザに対する個人認証処理を実行す
る際は、メモリに格納した登録データを取得して、ユー
ザから入力された新たな指紋データとの照合を実行す
る。When the authentication is established and the session key is successfully shared, the server session-processes at least a part of the personal authentication registration data of the user registered in step S301, for example, 300 data of fingerprint feature point data. Encrypt with a key and transfer to a personal terminal. The personal terminal is
The received data is decrypted, re-encrypted with a storage key or the like held in advance as necessary, and stored in its own memory. When the personal terminal executes the personal authentication process for the user, the personal terminal acquires the registration data stored in the memory and executes collation with new fingerprint data input by the user.

【0092】このようにサーバと個人用端末は、個人認
証に使用する登録データを共有、あるいは分割して保有
する構成とすることにより、ユーザによる個人認証用デ
ータの登録処理が1回の処理で済むことになる。As described above, the server and the personal terminal are configured to share or divide and hold the registration data used for personal authentication, so that the user can register the personal authentication data only once. You're done.

【0093】以上、特定の実施例を参照しながら、本発
明について詳解してきた。しかしながら、本発明の要旨
を逸脱しない範囲で当業者が該実施例の修正や代用を成
し得ることは自明である。実施例においては、例示とい
う形態で本発明を開示してきたのであり、限定的に解釈
されるべきではない。本発明の要旨を判断するために
は、冒頭に記載した特許請求の範囲の欄を参酌すべきで
ある。The present invention has been described in detail above with reference to the specific embodiments. However, it is obvious that those skilled in the art can modify or substitute the embodiments without departing from the scope of the present invention. The present invention has been disclosed in the embodiments by way of example, and should not be construed as limiting. In order to determine the gist of the present invention, the section of the claims described at the beginning should be taken into consideration.

【0094】[0094]

【発明の効果】上述したように、本発明の構成において
は、個人用端末を使用してサーバに対する接続を実行す
る構成において、認証プロセスを(1)個人用端末によ
るユーザに対する個人認証処理、(2)サーバと個人用
端末間における相互認証処理、(3)サーバによるユー
ザに対する個人認証処理の3段階のプロセスとすること
によって、不正者があるユーザに成りすまそうとした場
合、個人用端末やサーバにそのユーザとして認証をパス
するための情報(パスワードや指紋データや質問に対す
る正答)のみならず、個人用端末がサーバに対して認証
をパスするための情報(例えば暗号鍵)の両方を必要と
する構成となり、不正な第三者によるなりすましが困難
となり、安全性が高まる。As described above, in the configuration of the present invention, in the configuration in which the personal terminal is used to perform the connection to the server, the authentication process includes (1) personal authentication processing for the user by the personal terminal; If a fraudulent person tries to impersonate a user by using the three-step process of (2) mutual authentication between the server and the personal terminal, and (3) personal authentication of the user by the server, You need both the information (password, fingerprint data, correct answer to the question) for the server to pass the authentication as the user, as well as the information (for example, the encryption key) for the personal terminal to pass the authentication to the server. As a result, it becomes difficult for an unauthorized third party to impersonate, and the security is improved.

【0095】さらに、本発明の構成によれば、個人用端
末とサーバ間で認証を行った際に共有したセッションキ
ーに基づいて、ユーザの認証のためのデータを暗号化し
て通信する構成であるので、ネットワークを介して重要
な情報が漏洩するのを効果的に防止することが可能とな
る。Further, according to the configuration of the present invention, the data for user authentication is encrypted and communicated based on the session key shared when the authentication is performed between the personal terminal and the server. Therefore, it is possible to effectively prevent leakage of important information via the network.

【0096】また、本発明の構成によれば、ユーザは個
人用端末とサーバの2つに対し個人認証処理を行う必要
があるが、個人用端末において蓄積した個人認証用入力
データをサーバに対して転送する構成により、ユーザに
よるデータ入力は1回のみとすることが可能となる。Further, according to the configuration of the present invention, the user needs to perform the personal authentication process on the personal terminal and the server, but the personal authentication input data accumulated in the personal terminal is input to the server. The data transfer by the user can be performed only once by the user.

【0097】また、本発明の構成によれば、個人認証用
の参照データとして予め登録すべきデータについても、
データ登録処理をサーバに対してのみ行い、その登録デ
ータの一部を個人用端末に転送して登録することによ
り、二重のデータ登録処理の必要性がなくなる。Further, according to the configuration of the present invention, regarding the data to be registered in advance as the reference data for personal authentication,
By performing the data registration process only on the server and transferring a part of the registration data to the personal terminal for registration, the need for double data registration process is eliminated.

【図面の簡単な説明】[Brief description of drawings]

【図1】本発明における認証処理構成の概要を説明する
図である。FIG. 1 is a diagram illustrating an outline of an authentication processing configuration according to the present invention.

【図2】本発明における個人用端末の構成を示す図であ
る。FIG. 2 is a diagram showing a configuration of a personal terminal according to the present invention.

【図3】本発明におけるサーバ、通信端末の構成を示す
図である。FIG. 3 is a diagram showing configurations of a server and a communication terminal according to the present invention.

【図4】共通鍵方式による相互認証処理シーケンスを説
明する図である。FIG. 4 is a diagram illustrating a mutual authentication processing sequence based on a common key method.

【図5】公開鍵方式による相互認証処理シーケンスを説
明する図である。FIG. 5 is a diagram illustrating a mutual authentication processing sequence based on a public key method.

【図6】本発明の認証処理シーケンスを説明する図であ
る。FIG. 6 is a diagram illustrating an authentication processing sequence of the present invention.

【図7】本発明の認証処理の処理フローを示す図であ
る。FIG. 7 is a diagram showing a processing flow of authentication processing of the present invention.

【図8】本発明の認証処理シーケンス(例2)を説明す
る図である。FIG. 8 is a diagram illustrating an authentication processing sequence (example 2) of the present invention.

【図9】本発明の認証処理の処理フロー(例2)を示す図
である。FIG. 9 is a diagram showing a processing flow (example 2) of the authentication processing of the present invention.

【図10】サーバおよび個人用端末で個人認証用データ
を分割共有する場合のデータ登録処理プロセスフローを
示す図である。FIG. 10 is a diagram showing a data registration process flow in the case where the server and the personal terminal divide and share the personal authentication data.

【符号の説明】[Explanation of symbols]

101 個人用端末 102 通信端末 103 サーバ 200 個人用端末 201 CPU 202 通信I/F 203 ROM 204 RAM 205 暗号処理部 206 メモリ部 207 出力部 208 入力部 301 CPU 302 ROM 303 RAM 304 HDD 305 暗号処理手段 306 メモリ 311 入力部 312 出力部 313 通信部 314 ドライブ 315 リムーバブル記録媒体 321 バス 322 入出力インタフェース 101 Personal terminal 102 communication terminal 103 server 200 personal terminals 201 CPU 202 Communication I / F 203 ROM 204 RAM 205 Cryptographic processing unit 206 memory 207 Output section 208 Input section 301 CPU 302 ROM 303 RAM 304 HDD 305 Cryptographic processing means 306 memory 311 input section 312 Output section 313 Communication unit 314 Drive 315 Removable recording medium 321 bus 322 I / O interface

フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) H04L 9/32 H04L 9/00 675B G06K 19/00 S R Continuation of front page (51) Int.Cl. 7 Identification code FI theme code (reference) H04L 9/32 H04L 9/00 675B G06K 19/00 SR

Claims (13)

【特許請求の範囲】[Claims] 【請求項1】データ処理を実行し、登録ユーザデータを
有するサーバと、サーバと接続したデータ処理端末との
間において実行する認証処理方法であり、 データ処理端末によるユーザに対する個人認証処理ステ
ップと、 サーバとデータ処理端末間における相互認証処理ステッ
プと、 サーバによるユーザに対する個人認証処理ステップと、 の3つの認証処理を実行することを特徴とする認証処理
方法。1. An authentication processing method for executing data processing between a server having registered user data and a data processing terminal connected to the server, comprising: a personal authentication processing step for the user by the data processing terminal; An authentication processing method characterized by executing three authentication processing steps: a mutual authentication processing step between the server and the data processing terminal, and a personal authentication processing step for the user by the server. 【請求項2】前記サーバとデータ処理端末間における相
互認証処理ステップは、前記データ処理端末によるユー
ザに対する個人認証処理の成立を条件として実行し、 前記サーバによるユーザに対する個人認証処理ステップ
は、前記サーバとデータ処理端末間における相互認証処
理の成立を条件として実行することを特徴とする請求項
1に記載の認証処理方法。2. The mutual authentication processing step between the server and the data processing terminal is executed on condition that the personal authentication processing for the user by the data processing terminal is established, and the personal authentication processing step for the user by the server is the server. The authentication processing method according to claim 1, wherein the authentication processing is performed on condition that mutual authentication processing is established between the data processing terminal and the data processing terminal. 【請求項3】前記サーバとデータ処理端末間における相
互認証処理ステップは、共通鍵方式または公開鍵方式の
相互認証処理およびセッションキー共有処理アルゴリズ
ムに従って実行し、 前記サーバによるユーザに対する個人認証処理ステップ
において、認証用データとして前記データ処理端末から
サーバへ転送されるテータは前記セッションキーによる
暗号化データとして転送することを特徴とする請求項1
に記載の認証処理方法。3. The mutual authentication processing step between the server and the data processing terminal is executed in accordance with a common key method or public key method mutual authentication processing and a session key sharing processing algorithm. The data transferred from the data processing terminal to the server as authentication data is transferred as encrypted data by the session key.
Authentication processing method described in. 【請求項4】前記データ処理端末によるユーザに対する
個人認証処理ステップにおいて適用する個人認証用デー
タはデータ処理端末固有の格納データであり、 前記サーバによるユーザに対する個人認証処理ステップ
において適用する個人認証用データはサーバ固有の格納
データであることを特徴とする請求項1に記載の認証処
理方法。4. The personal authentication data applied in the personal authentication processing step for the user by the data processing terminal is stored data unique to the data processing terminal, and the personal authentication data applied in the personal authentication processing step for the user by the server. Is the stored data unique to the server, and the authentication processing method according to claim 1. 【請求項5】前記データ処理端末によるユーザに対する
個人認証処理ステップにおいて適用する個人認証用デー
タ、および、前記サーバによるユーザに対する個人認証
処理ステップにおいて参照対象とする登録個人認証用デ
ータは、ユーザによる1回の登録処理によってサーバま
たはデータ処理端末いずれかに登録され、 サーバとデータ処理端末間における相互認証処理後に、
サーバとデータ処理端末間で前記登録個人認証用データ
を暗号化して転送し、サーバとデータ処理端末の双方で
前記登録個人認証用データを共有または分割共有するこ
とを特徴とする請求項1に記載の認証処理方法。5. The personal authentication data applied in the personal authentication processing step for the user by the data processing terminal, and the registered personal authentication data referred to in the personal authentication processing step for the user by the server are 1 by the user. It is registered in either the server or the data processing terminal by the registration process once, and after mutual authentication processing between the server and the data processing terminal,
2. The registered personal authentication data is encrypted and transferred between a server and a data processing terminal, and the registered personal authentication data is shared or divided between both the server and the data processing terminal. Authentication processing method. 【請求項6】前記データ処理端末によるユーザに対する
個人認証処理ステップにおけるユーザ入力個人認証用デ
ータは、前記サーバによるユーザに対する個人認証処理
ステップにおいて適用され、 前記ユーザ入力個人認証用データは、サーバとデータ処
理端末間における相互認証処理後に、データ処理端末か
らサーバに対してセッションキーによる暗号化データと
して転送することを特徴とする請求項1に記載の認証処
理方法。6. The user input personal authentication data in the user personal authentication processing step by the data processing terminal is applied in the user personal authentication processing step by the server, and the user input personal authentication data is the server and data. The authentication processing method according to claim 1, wherein after the mutual authentication processing between the processing terminals, the data processing terminal transfers the data as encrypted data using a session key to the server. 【請求項7】前記データ処理端末によるユーザに対する
個人認証処理ステップに適用する個人認証用データは生
体情報であることを特徴とする請求項1に記載の認証処
理方法。7. The authentication processing method according to claim 1, wherein the personal authentication data applied to the personal authentication processing step for the user by the data processing terminal is biometric information. 【請求項8】前記サーバによるユーザに対する個人認証
処理ステップに適用する個人認証用データは生体情報で
あることを特徴とする請求項1に記載の認証処理方法。8. The authentication processing method according to claim 1, wherein the personal authentication data applied to the personal authentication processing step for the user by the server is biometric information. 【請求項9】データ処理を実行し、登録ユーザデータを
有する情報処理装置であり、 登録ユーザのユーザ識別子と登録ユーザの個人認証用デ
ータの対応データと、 登録ユーザの使用するデータ処理端末との相互認証用デ
ータと、 を格納したことを特徴とする情報処理装置。9. An information processing apparatus for executing data processing and having registered user data, comprising: correspondence data between a registered user's user identifier and registered user's personal authentication data; and a data processing terminal used by the registered user. An information processing device characterized by storing mutual authentication data and. 【請求項10】前記個人認証用データは生体情報である
ことを特徴とする請求項9に記載の情報処理装置。10. The information processing apparatus according to claim 9, wherein the personal authentication data is biometric information. 【請求項11】前記データ処理端末との相互認証用デー
タは、共通鍵認証方式または公開鍵認証方式のいずれか
の適用に必要なデータであることを特徴とする請求項9
に記載の情報処理装置。11. The mutual authentication data with the data processing terminal is data necessary for applying either a common key authentication method or a public key authentication method.
The information processing device according to 1. 【請求項12】データ処理を実行し、登録ユーザデータ
を有するサーバと、サーバと接続したデータ処理端末と
の間において実行する認証処理をコンピュータ・システ
ム上で実行せしめるコンピュータ・プログラムであっ
て、 データ処理端末によるユーザに対する個人認証処理ステ
ップと、 前記個人認証処理の成立を条件として実行するサーバと
データ処理端末間における相互認証処理ステップと、 を具備することを特徴とするコンピュータ・プログラ
ム。12. A computer program for executing an authentication process on a computer system, the authentication process being executed between a server having registered user data and a data processing terminal connected to the server. A computer program comprising: a personal authentication processing step for a user by a processing terminal; and a mutual authentication processing step between a server and a data processing terminal which is executed on condition that the personal authentication processing is established. 【請求項13】データ処理を実行し、登録ユーザデータ
を有するサーバと、サーバと接続したデータ処理端末と
の間において実行する認証処理をコンピュータ・システ
ム上で実行せしめるコンピュータ・プログラムであっ
て、 サーバとデータ処理端末間における相互認証処理ステッ
プと、前記相互認証処理の成立を条件として実行するサ
ーバによるユーザに対する個人認証処理ステップと、 を具備することを特徴とするコンピュータ・プログラ
ム。13. A computer program for executing an authentication process on a computer system for executing a data process and executing between a server having registered user data and a data processing terminal connected to the server. And a mutual authentication processing step between the data processing terminals, and a personal authentication processing step for the user by the server executed on condition that the mutual authentication processing is established.
JP2001234416A 2001-08-02 2001-08-02 Authentication processing method, information processor, and computer program Pending JP2003044436A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001234416A JP2003044436A (en) 2001-08-02 2001-08-02 Authentication processing method, information processor, and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001234416A JP2003044436A (en) 2001-08-02 2001-08-02 Authentication processing method, information processor, and computer program

Publications (1)

Publication Number Publication Date
JP2003044436A true JP2003044436A (en) 2003-02-14

Family

ID=19066026

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001234416A Pending JP2003044436A (en) 2001-08-02 2001-08-02 Authentication processing method, information processor, and computer program

Country Status (1)

Country Link
JP (1) JP2003044436A (en)

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005209038A (en) * 2004-01-23 2005-08-04 Sony Corp Information storage device, security system, method for permitting access, network access method, and method for permitting execution of security process
JP2006126891A (en) * 2004-10-26 2006-05-18 Sony Corp Biological information registration method, information providing system using biological information, terminal and server
JP2006165984A (en) * 2004-12-07 2006-06-22 Hitachi Ltd Authentication method of ad hoc network, and its radio communications terminal
WO2007020942A1 (en) * 2005-08-18 2007-02-22 Nec Corporation User authentication system, terminal used for it, authentication verification device, and program
JP2007272788A (en) * 2006-03-31 2007-10-18 Oki Electric Ind Co Ltd Automatic transaction system
WO2007138876A1 (en) * 2006-06-01 2007-12-06 Nec Corporation Communication node authentication system and method, and communication node authentication program
JP2007323139A (en) * 2006-05-30 2007-12-13 National Printing Bureau Certificate issuing system
JP2008225831A (en) * 2007-03-13 2008-09-25 Hitachi Information & Control Solutions Ltd Thin client system, server used for the same, client terminal, security card, and data communication method
WO2009022560A1 (en) 2007-08-13 2009-02-19 Kabushiki Kaisha Toshiba Client device, server device, and program
KR100965437B1 (en) * 2003-06-05 2010-06-24 인터트러스트 테크놀로지즈 코포레이션 Interoperable systems and methods for peer-to-peer service orchestration
US7752445B2 (en) 2004-02-27 2010-07-06 International Business Machines Corporation System and method for authentication of a hardware token
JP2010526507A (en) * 2007-05-07 2010-07-29 エルジー エレクトロニクス インコーポレイティド Secure communication method and system
JP2011164673A (en) * 2010-02-04 2011-08-25 Nippon Telegr & Teleph Corp <Ntt> Content transmission/reception system and authentication method in the content transmission/reception system
JP2011527464A (en) * 2008-06-18 2011-10-27 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ Personal security manager for ubiquitous patient monitoring
WO2012147178A1 (en) * 2011-04-27 2012-11-01 三菱電機株式会社 Numerical control device system
CN103152733A (en) * 2011-12-07 2013-06-12 华为技术有限公司 Communication method and device
US8949926B2 (en) 2007-04-23 2015-02-03 Lg Electronics Inc. Method for protecting contents, method for sharing contents and device based on security level
JP2016033589A (en) * 2014-07-31 2016-03-10 大日本印刷株式会社 Data conversion device
US9509687B2 (en) 2012-12-03 2016-11-29 Felica Networks, Inc. Communication terminal, communication method, program, and communication system
JP2018128706A (en) * 2018-05-28 2018-08-16 大日本印刷株式会社 Data converter
WO2024139253A1 (en) * 2022-12-26 2024-07-04 支付宝(杭州)信息技术有限公司 Signature authentication method and apparatus
JP7552999B2 (en) 2020-11-20 2024-09-18 テンセント・テクノロジー・(シェンジェン)・カンパニー・リミテッド Data transmission method, device, system, computer device and computer program

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000276445A (en) * 1999-03-23 2000-10-06 Nec Corp Authentication method and device using biometrics discrimination, authentication execution device, and recording medium recorded with authentication program

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000276445A (en) * 1999-03-23 2000-10-06 Nec Corp Authentication method and device using biometrics discrimination, authentication execution device, and recording medium recorded with authentication program

Cited By (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100965437B1 (en) * 2003-06-05 2010-06-24 인터트러스트 테크놀로지즈 코포레이션 Interoperable systems and methods for peer-to-peer service orchestration
JP2005209038A (en) * 2004-01-23 2005-08-04 Sony Corp Information storage device, security system, method for permitting access, network access method, and method for permitting execution of security process
JP4701615B2 (en) * 2004-01-23 2011-06-15 ソニー株式会社 Information storage device
US7958553B2 (en) 2004-01-23 2011-06-07 Sony Corporation Information storage device, security system, access permission method, network access method and security process execution permission method
US8271781B2 (en) 2004-02-27 2012-09-18 International Business Machines Corporation System and method for authentication of a hardware token
US7752445B2 (en) 2004-02-27 2010-07-06 International Business Machines Corporation System and method for authentication of a hardware token
JP2006126891A (en) * 2004-10-26 2006-05-18 Sony Corp Biological information registration method, information providing system using biological information, terminal and server
JP4551202B2 (en) * 2004-12-07 2010-09-22 株式会社日立製作所 Ad hoc network authentication method and wireless communication terminal thereof
JP2006165984A (en) * 2004-12-07 2006-06-22 Hitachi Ltd Authentication method of ad hoc network, and its radio communications terminal
WO2007020942A1 (en) * 2005-08-18 2007-02-22 Nec Corporation User authentication system, terminal used for it, authentication verification device, and program
JP4993414B2 (en) * 2005-08-18 2012-08-08 日本電気株式会社 Personal authentication system, terminal used in this, authentication verification device, and program
US8661262B2 (en) 2005-08-18 2014-02-25 Nec Corporation User authentication system, terminal used in the same, authentication verification device, and program
JP2007272788A (en) * 2006-03-31 2007-10-18 Oki Electric Ind Co Ltd Automatic transaction system
JP2007323139A (en) * 2006-05-30 2007-12-13 National Printing Bureau Certificate issuing system
WO2007138876A1 (en) * 2006-06-01 2007-12-06 Nec Corporation Communication node authentication system and method, and communication node authentication program
JP2008225831A (en) * 2007-03-13 2008-09-25 Hitachi Information & Control Solutions Ltd Thin client system, server used for the same, client terminal, security card, and data communication method
US8949926B2 (en) 2007-04-23 2015-02-03 Lg Electronics Inc. Method for protecting contents, method for sharing contents and device based on security level
JP2010526507A (en) * 2007-05-07 2010-07-29 エルジー エレクトロニクス インコーポレイティド Secure communication method and system
US8527764B2 (en) 2007-05-07 2013-09-03 Lg Electronics Inc. Method and system for secure communication
US8732461B2 (en) 2007-08-13 2014-05-20 Kabushiki Kaisha Toshiba Client apparatus, server apparatus, and program using entity authentication and biometric authentication
WO2009022560A1 (en) 2007-08-13 2009-02-19 Kabushiki Kaisha Toshiba Client device, server device, and program
JP2011527464A (en) * 2008-06-18 2011-10-27 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ Personal security manager for ubiquitous patient monitoring
JP2011164673A (en) * 2010-02-04 2011-08-25 Nippon Telegr & Teleph Corp <Ntt> Content transmission/reception system and authentication method in the content transmission/reception system
WO2012147178A1 (en) * 2011-04-27 2012-11-01 三菱電機株式会社 Numerical control device system
CN103152733A (en) * 2011-12-07 2013-06-12 华为技术有限公司 Communication method and device
WO2013083082A1 (en) * 2011-12-07 2013-06-13 华为技术有限公司 Communication method and device
US9509687B2 (en) 2012-12-03 2016-11-29 Felica Networks, Inc. Communication terminal, communication method, program, and communication system
US10447687B2 (en) 2012-12-03 2019-10-15 Felica Networks, Inc. Communication terminal, communication method, and communication system
JP2016033589A (en) * 2014-07-31 2016-03-10 大日本印刷株式会社 Data conversion device
JP2018128706A (en) * 2018-05-28 2018-08-16 大日本印刷株式会社 Data converter
JP7552999B2 (en) 2020-11-20 2024-09-18 テンセント・テクノロジー・(シェンジェン)・カンパニー・リミテッド Data transmission method, device, system, computer device and computer program
WO2024139253A1 (en) * 2022-12-26 2024-07-04 支付宝(杭州)信息技术有限公司 Signature authentication method and apparatus

Similar Documents

Publication Publication Date Title
US9117324B2 (en) System and method for binding a smartcard and a smartcard reader
US9083533B2 (en) System and methods for online authentication
US9813236B2 (en) Multi-factor authentication using a smartcard
US8713655B2 (en) Method and system for using personal devices for authentication and service access at service outlets
JP2003044436A (en) Authentication processing method, information processor, and computer program
US20060123465A1 (en) Method and system of authentication on an open network
EP2481230B1 (en) Authentication method, payment authorisation method and corresponding electronic equipments
JP4664644B2 (en) Biometric authentication device and terminal
CN105427099A (en) Network authentication method for secure electronic transactions
KR20170141976A (en) System and method for providing electronic signature service
KR20030074483A (en) Service providing system in which services are provided from service provider apparatus to service user apparatus via network
KR20030095341A (en) Ic card and authentication method in electronic ticket distribution system
JPWO2007094165A1 (en) Identification system and program, and identification method
CN112352410B (en) Method and apparatus for using smart card as security token, readable storage medium
JP2001243196A (en) Personal authentification system using mobile telephone and ic card
JP3872616B2 (en) User authentication method on the Internet using a shared key encryption IC card
CN117396866A (en) Authorized transaction escrow service
AU2015202661B2 (en) System and methods for online authentication
Khan et al. A tamper-resistant digital token-based rights management system
JP2005038222A (en) Financial system using ic card
KR20000033930A (en) Integrated electronic wallet system and electronic commercial service method
JP2010122962A (en) Authentication system and authentication method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080724

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110419

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110420

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110602

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110621

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20111220