JP2006268411A - Method and system for authenticating remote accessing user by using living body data and user device - Google Patents
Method and system for authenticating remote accessing user by using living body data and user device Download PDFInfo
- Publication number
- JP2006268411A JP2006268411A JP2005085363A JP2005085363A JP2006268411A JP 2006268411 A JP2006268411 A JP 2006268411A JP 2005085363 A JP2005085363 A JP 2005085363A JP 2005085363 A JP2005085363 A JP 2005085363A JP 2006268411 A JP2006268411 A JP 2006268411A
- Authority
- JP
- Japan
- Prior art keywords
- user
- key
- biometric data
- authentication server
- user device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、ユーザの正当性を認証する技術に関し、特に、通信ネットワークを介してリモートアクセスするユーザを認証するための技術に関するものである。 The present invention relates to a technique for authenticating a user's legitimacy, and more particularly, to a technique for authenticating a user who remotely accesses via a communication network.
ユーザを認証するための方法として、例えば、ICカードを利用する方法が知られている(例えば特許文献1)。 As a method for authenticating a user, for example, a method using an IC card is known (for example, Patent Document 1).
ところで、ユーザ認証では、ユーザの生体データを用いて行うものも知られている。そのユーザ認証では、第三者によるなりすましを防ぐために、生体データが漏洩してしまうのをどのように防ぐかが一つの重要な要素である。 By the way, in user authentication, what is performed using a user's biometric data is also known. In the user authentication, in order to prevent spoofing by a third party, how to prevent biometric data from leaking is one important factor.
ICカードや磁気カード等のユーザが所持する記憶媒体に、生体データを記録しておき、その記録媒体から読出された生体データを用いてユーザを認証するという方法が考えられるが、その方法では、記録媒体を紛失した等の場合に、第三者に記録媒体内の生体データを入手されるという危険性がある。 A method of recording biometric data in a storage medium possessed by the user, such as an IC card or a magnetic card, and authenticating the user using the biometric data read from the recording medium can be considered. When the recording medium is lost, there is a risk that biometric data in the recording medium is obtained by a third party.
従って、本発明の目的は、生体データを記憶した記憶媒体を必要とせずに、通信ネットワークを介してリモートアクセスするユーザの正当性を認証することにある。 Therefore, an object of the present invention is to authenticate the validity of a user who remotely accesses via a communication network without requiring a storage medium storing biometric data.
本発明の第一の側面に従う認証システムは、ユーザが使用するユーザ装置と、前記ユーザを認証する認証サーバとを備える。前記ユーザ装置は、前記ユーザの生体を測定する生体測定手段と、第一の鍵と対をなす第二の鍵を記憶した第二鍵記憶手段とを備え、認証を前記認証サーバに要求する都度に(具体的には、例えば、認証を行ってもらう場合にその都度に)、前記生体測定手段により前記ユーザに生体の測定を行わせ、前記生体の測定結果を表す生体データを保持し、前記第二鍵記憶手段から前記第二の鍵を読出し、前記保持されている生体データを前記読出された第二の鍵で暗号化し、前記暗号化された生体データを前記認証サーバに送信する。前記認証サーバは、前記暗号化された生体データを受信して前記第一の鍵で復号化し、前記復号化された生体データに基づいて、前記ユーザの認証を行う。 The authentication system according to the first aspect of the present invention includes a user device used by a user and an authentication server for authenticating the user. The user device includes a biometric measuring unit that measures the user's living body and a second key storage unit that stores a second key that is paired with the first key, and requests authentication from the authentication server each time. (Specifically, for example, each time authentication is performed), the biological measurement unit is caused to measure the biological body, the biological data representing the measurement result of the biological body is held, The second key is read from the second key storage means, the stored biometric data is encrypted with the read second key, and the encrypted biometric data is transmitted to the authentication server. The authentication server receives the encrypted biometric data, decrypts it with the first key, and authenticates the user based on the decrypted biometric data.
好適な実施形態では、前記認証サーバは、特定の信号を前記ユーザ装置に送信することができる。前記ユーザ装置は、前記特定の信号を受信し、前記特定の信号を受信する前には、前記生体データの保持も、前記第二の鍵の読出しも行わず、前記特定の信号を受信した以降に、前記生体データの保持と、前記第二の鍵の読出しとを行うことができる。 In a preferred embodiment, the authentication server can send a specific signal to the user equipment. The user apparatus receives the specific signal, and does not hold the biometric data or read the second key before receiving the specific signal, and after receiving the specific signal. In addition, the biometric data can be retained and the second key can be read out.
好適な実施形態では、前記認証サーバは、乱数を生成して前記ユーザ装置に送信することができる。前記ユーザ装置は、前記認証サーバから受信した乱数と前記保持されている生体データとを、前記読出された第二の鍵で暗号化し、前記暗号化された乱数及び生体データを前記認証サーバに送信することができる。前記認証サーバは、前記暗号化されている乱数及び生体データを前記第一の鍵で復号化し、前記復号化された乱数と前記復号された生体データとの両方に基づいて、前記ユーザを認証することができる。 In a preferred embodiment, the authentication server can generate a random number and send it to the user device. The user device encrypts the random number received from the authentication server and the stored biometric data with the read second key, and transmits the encrypted random number and biometric data to the authentication server. can do. The authentication server decrypts the encrypted random number and biometric data with the first key, and authenticates the user based on both the decrypted random number and the decrypted biometric data be able to.
好適な実施形態では、前記ユーザ装置は、前記ユーザ装置のIDである装置IDを記憶した装置ID記憶手段と、前記記憶手段に記憶されている装置IDを前記認証サーバに送信する装置ID送信手段と、前記ユーザを特定するためのユーザIDを入力する入力手段と、前記入力されたユーザIDを前記認証サーバに送信するユーザID送信手段とを備えることができる。前記認証サーバは、前記ユーザ装置から前記装置IDを受信する装置ID受信手段と、複数の装置IDにそれぞれ対応した複数の第一の鍵のうちの前記受信した装置IDに対応する第一の鍵を取得する第一鍵取得手段と、前記ユーザ装置から前記ユーザIDを受信するユーザID受信手段と、複数のユーザIDにそれぞれ対応した複数の生体データのうちの前記受信したユーザIDに対応する生体データを取得する生体データ取得手段とを備え、前記ユーザ装置から受信した前記暗号化されている生体データを、前記取得された第一の鍵で復号化し、前記復号化された生体データと、前記取得された生体データとの比較を行い、その比較の結果、前記復号化された生体データが前記取得された生体データに適合する場合に、前記ユーザを正当なユーザとして認証することができる。 In a preferred embodiment, the user device stores a device ID storage unit that stores a device ID that is an ID of the user device, and a device ID transmission unit that transmits the device ID stored in the storage unit to the authentication server. And input means for inputting a user ID for specifying the user, and user ID transmission means for transmitting the input user ID to the authentication server. The authentication server includes a device ID receiving unit that receives the device ID from the user device, and a first key corresponding to the received device ID among a plurality of first keys respectively corresponding to a plurality of device IDs. A first key acquisition means for acquiring a user ID, a user ID reception means for receiving the user ID from the user device, and a biometric corresponding to the received user ID among a plurality of biometric data respectively corresponding to a plurality of user IDs Biometric data acquisition means for acquiring data, decrypting the encrypted biometric data received from the user device with the acquired first key, the decrypted biometric data, The acquired biometric data is compared and, as a result of the comparison, if the decrypted biometric data matches the acquired biometric data, the user is authorized. It is possible to authenticate as a user.
更に、前記認証サーバは、乱数を生成して前記ユーザ装置に送信することができる。前記ユーザ装置は、前記認証サーバから受信した乱数と前記保持されている生体データとを、前記読出された第二の鍵で暗号化し、前記暗号化された乱数及び生体データを前記認証サーバに送信することができる。前記認証サーバは、前記暗号化されている乱数及び生体データを前記第一の鍵で復号化し、前記復号化された乱数と前記生成した乱数との比較も行い、比較された乱数同士も互いに適合する場合に、前記ユーザを正当なユーザとして認証することができる。 Furthermore, the authentication server can generate a random number and transmit it to the user device. The user device encrypts the random number received from the authentication server and the stored biometric data with the read second key, and transmits the encrypted random number and biometric data to the authentication server. can do. The authentication server decrypts the encrypted random number and biometric data with the first key, also compares the decrypted random number with the generated random number, and the compared random numbers are also compatible with each other In this case, the user can be authenticated as a valid user.
本発明の第二の側面に従うユーザ装置は、ユーザの生体を測定する生体測定手段と、第一の鍵と対をなす第二の鍵を記憶した第二鍵記憶手段とを備え、認証を前記認証サーバに要求する都度に、前記生体測定手段により前記ユーザに生体の測定を行わせ、前記生体の測定結果を表す生体データを保持し、前記第二鍵記憶手段から前記第二の鍵を読出し、前記保持されている生体データを前記読出された第二の鍵で暗号化し、前記暗号化された生体データを前記認証サーバに送信する。 A user apparatus according to a second aspect of the present invention includes a biometric measurement unit that measures a user's biological body, and a second key storage unit that stores a second key that is paired with a first key, and performs authentication. Each time a request is made to the authentication server, the biometric unit causes the user to perform a biometric measurement, stores biometric data representing the biometric measurement result, and reads the second key from the second key storage unit The stored biometric data is encrypted with the read second key, and the encrypted biometric data is transmitted to the authentication server.
上述した各手段は、ハードウェア、コンピュータプログラム又はそれらの組み合わせにより構築することができる。プロセッサは、コンピュータプログラムを読み込んで実行することができる。また、コンピュータプログラムがプロセッサに読み込まれて行われる情報処理の際、適宜に、メモリ等のハードウェア資源上に存在する記憶域が使用されてもよい。 Each means described above can be constructed by hardware, a computer program, or a combination thereof. The processor can read and execute a computer program. Further, when information processing is performed by reading a computer program into a processor, a storage area existing on a hardware resource such as a memory may be used as appropriate.
また、上述した複数の手段のうち同種の手段(例えば、送信手段、記憶手段或いは受信手段など)は、一つのハードウェア、一つのコンピュータプログラム又はそれらの一つの組み合わせによって実現されても良いし、複数のハードウェア、複数のコンピュータプログラム、又は複数の上記組合わせによって実現されても良い。 The same type of means (for example, transmission means, storage means, or reception means) among the plurality of means described above may be realized by one piece of hardware, one computer program, or one combination thereof. It may be realized by a plurality of hardware, a plurality of computer programs, or a plurality of combinations of the above.
本発明の第三の側面に従う認証方法は、ユーザが使用するユーザ装置が、認証を認証サーバに要求する都度に、生体測定手段によりユーザに生体の測定を行わせるステップと、前記ユーザ装置が、前記生体の測定結果を表す生体データを保持するステップと、前記ユーザ装置が、第一の鍵と対になった第二の鍵を第二鍵記憶手段から読出すステップと、前記ユーザ装置が、前記保持されている生体データを前記読出された第二の鍵で暗号化するステップと、前記ユーザ装置が、前記暗号化された生体データを前記認証サーバに送信するステップと、前記認証サーバが、前記暗号化されている生体データを受信するステップと、前記認証サーバが、前記暗号化されている生体データを前記第一の鍵で復号化するステップと、前記認証サーバが、前記復号化された生体データに基づいて、前記ユーザの認証を行うステップとを有する。 The authentication method according to the third aspect of the present invention includes a step of causing a user to measure a living body by a living body measuring unit each time a user apparatus used by the user requests authentication from the authentication server, and the user apparatus includes: Holding biological data representing the measurement result of the biological body, the user device reading a second key paired with a first key from a second key storage means, and the user device, Encrypting the stored biometric data with the read second key, the user device transmitting the encrypted biometric data to the authentication server, and the authentication server, Receiving the encrypted biometric data, the authentication server decrypting the encrypted biometric data with the first key, and the authentication server, Serial based on the decoded biometric data, and a step of performing authentication of the user.
以下、本発明の一実施形態に係るシステムについて図面を用いて説明する。 Hereinafter, a system according to an embodiment of the present invention will be described with reference to the drawings.
図1は、本実施形態に係るシステムの構成を示すブロック図である。 FIG. 1 is a block diagram showing a configuration of a system according to the present embodiment.
このシステムには、公開サーバ1と、公開サーバ1に通信可能に接続されているデータベース2と、ユーザの認証を行う認証サーバ3と、認証サーバ3に通信可能に接続されているデータベース4と、認証サーバ3による認証後に所定のサービスをユーザに提供することができるサービス提供サーバ5と、ユーザが使用するユーザ装置7とが備えられる。公開サーバ1と認証サーバ3とユーザ装置7とは、インターネット8等の通信ネットワークを介して互いに情報を送受信することができる。
The system includes a public server 1, a
データベース2には、ユーザ装置7のID(以下、装置ID)毎に、その装置7の公開鍵が対応付けられている。
In the
公開サーバ1は、各ユーザ装置7のユーザ装置IDに対応した公開鍵を発行するコンピュータシステムである。公開サーバ1は、認証サーバ3から、装置IDと、その装置IDに対応する公開鍵の要求とを受け、その要求に従って、その装置IDに対応する公開鍵をデータベース2から検索して取得し、取得した公開鍵を認証サーバに渡す。
The public server 1 is a computer system that issues a public key corresponding to the user device ID of each
データベース4には、各ユーザのユーザID毎に、そのユーザの生体データが対応付けられている。 In the database 4, the biometric data of each user is associated with each user ID.
認証サーバ3は、例えば、プロセッサや記憶資源(例えばメモリ)等のハードウェア資源を備えたコンピュータシステムである。認証サーバ3は、装置IDをユーザ装置から受信し、受信した装置IDを記憶させたり、その装置IDに対応する公開鍵を公開サーバ1に要求し、その要求に応答して、その装置IDに対応する公開鍵を公開サーバ1から受信し、受信した公開鍵を記憶資源に記憶させたりすることができる。また、認証サーバ3は、ユーザIDをユーザ装置7から受信して記憶資源に記憶させ、そのユーザIDに対応した生体データをデータベース4から検索して取得し、取得した生体データを記憶資源に記憶させることもできる。また、認証サーバ3は、ユーザ装置7の秘密鍵で暗号化された生体データをユーザ装置7から受信し、受信した生体データを記憶資源に記憶させ、その生体データを、上記取得された公開鍵で復号化することもできる。また、認証サーバ3は、復号化された生体データが、検索して取得された生体データに一致するか否かに応じて、ユーザが正当か否かを判断することもできる。また、認証サーバ3は、ユーザが正当であると判断した場合に、サービス提供サーバ5に、ユーザに対して所定のサービスを提供させることもできる。
The
ユーザ装置7は、ユーザの生体を測定する生体測定部14を有し、ユーザ装置7の装置IDとユーザ装置7の秘密鍵とを記憶している。また、ユーザ装置7は、記憶している装置IDを認証サーバ3に送ったり、ユーザから入力されたユーザIDを認証サーバ3に送ったり、生体測定部14によりユーザの生体を測定し、測定結果を表す生体データを、記憶している秘密鍵で暗号化し、秘密鍵で暗号化されたユーザIDを認証サーバ3に送ることもできる。
The
図2は、ユーザ装置の機能ブロック図である。 FIG. 2 is a functional block diagram of the user apparatus.
ユーザ装置7は、例えば、ユーザ装置7の動作を制御する制御部(例えばCPU)10、ユーザID等の情報を入力するためにユーザが使用する操作部(例えばテンキー)11、ユーザの生体を測定しその測定結果をアナログ情報として出力する生体測定部14、生体測定部14から出力されたアナログ情報をデジタル情報に変換するA/D変換部13、このユーザ装置7の装置IDと秘密鍵とを記憶する記憶部(例えば不揮発性のメモリ)15、制御部10によって呼び出された生体データを一時的に記憶する一時記憶部(例えば揮発性のメモリ)18、及び、外部の装置と通信するための通信インターフェース装置(以下、「通信I/F」と略記)12を備えている。ユーザ装置7は、例えば、記憶部15内の秘密鍵16と装置ID17とが不正に盗み読みされないよう、耐タンパ性の高い装置とすることができる。具体的には、例えば、ユーザ装置7は、記憶部15内の情報が不正に読出されようとした場合には(例えば、ユーザ装置7の所定のケーシングが物理的に開けられた場合には)、その記憶部15内の情報が破壊されるようになっている。また、ユーザ装置7において、少なくとも、一時記憶部18よりも記憶部15の方が耐タンパ性が高いものとすることができる。
The
このユーザ装置7の動作については、次の図3を参照して行う処理流れの説明の際に、詳細に説明する。
The operation of the
図3は、ユーザの認証の際に行われる一連の処理流れを示す。この図では「ステップ」を「S」と略記している。以下、この図を参照して、ユーザ認証の流れを説明する。 FIG. 3 shows a series of processing flows performed at the time of user authentication. In this figure, “step” is abbreviated as “S”. Hereinafter, the flow of user authentication will be described with reference to FIG.
ユーザ装置7の制御部10が、所定のイベントを検出した場合に(例えば、認証サーバ3から認証受付け可能の通知の受信を検出した場合に)、記憶部15から装置IDを読出し、その装置IDを一時記憶部18に記憶させる(S1)。また、制御部10は、操作部11を介して、ユーザからユーザIDの入力を受け、入力されたユーザIDを一時記憶部18に記憶させる(S2)。制御部10は、一時記憶部18に記憶されている装置ID及びユーザID(すなわち、S1で取得された装置IDと、S2で入力されたユーザID)と、認証要求とを、インターネット8を介して、認証サーバ3へ送信する(S3)。
When the
すると、認証サーバ3は、受信した装置IDに対応する公開鍵(P)を公開サーバ1に要求し(S4)、その要求に応答して、公開サーバ1から装置IDに対応する公開鍵(P)を受信する(S5)。認証サーバ3は、受信した公開鍵(P)を、自分の記憶資源(例えばメモリ)に記憶させておくことができる。
Then, the
次に、認証サーバ3は、S3で受信したユーザIDに対応する生体データをデータベース4から検索して取得し(S6)、取得された生体データを、例えば、記憶資源上で、上記取得された公開鍵(P)に対応付けることができる。
Next, the
次に、認証サーバ3は、乱数(R)を生成し(S7)、生成された乱数(R)を、インターネット8を介してユーザ装置7に送信する(S8)。この乱数(R)は、これ以降にユーザ装置7から受信する生体データが、図3に示す一連の処理流れにおいて正当にユーザ装置7から出力されたものであることを保証するためのものである。認証サーバ3は、この乱数(R)を、記憶資源上で、上記取得された公開鍵(P)及び生体データに対応付けることができる。
Next, the
ユーザ装置7の制御部10は、乱数(R)を受信した場合、その乱数(R)を一時記憶部18に記憶させることができる。制御部10は、乱数(R)を受信したときに、生体データを一時記憶部18に保持するようにする(S9)。具体的には、例えば、制御部10は、乱数(R)を受信する前までは、生体測定部に電源を投入しておかない等によって生体測定を不可能な状態にしておくか、或いは、生体測定が行われても生体データを一時記憶部18に記憶させずに破棄する等により、生体データを一時記憶部18に保持しないようにしておく。そして、乱数(R)を受信したときに、制御部10は、生体測定部に電源を投入する等によって生体測定を可能な状態にするか、或いは、生体測定が行われた場合には生体データを一時記憶部18に記憶させる等により、生体データを一時記憶部18に保持するようにする。より具体的には、例えば、制御部10は、乱数(R)を受信したときに、図示しない表示部を介して、生体測定することをユーザに命令し(例えばその旨のメッセージを表示し)、生体測定部14により生体測定が行われた場合に、生体データを一時記憶部18に記憶させる。このような制御を行うことにより、生体データを一時記憶部18に記憶させておく時間を短くすることができ、故に、生体データの漏洩を防ぐことに貢献することができる。
When receiving the random number (R), the
さて、次に、制御部10は、生体測定が行われた場合に(例えば、生体測定が行われた直後に)、秘密鍵を記憶部15から読出し、読出された秘密鍵を一時記憶部18に記憶させる。そして、制御部10は、上記受信した乱数(R)と、一時記憶部18に記憶された生体データとを、一時記憶部18に記憶された秘密鍵(S)で暗号化し(S10)、暗号化された生体データ及び乱数(R)を、インターネット8を介して認証サーバ3に送信する(S11)。ここでは、生体測定が行われる前までは、秘密鍵が一時記憶部18に読出されておらず、生体測定が行われた後に秘密鍵が一時記憶部18に読出されるので、秘密鍵が一時記憶部18で蓄積されている時間を短くすることができ、故に、秘密鍵の漏洩を防ぐことに貢献することができる。なお、生体データの保持と、秘密鍵の読出しとは、どちらが先に行われても良い。
Next, when the biometric measurement is performed (for example, immediately after the biometric measurement is performed), the
認証サーバ3は、秘密鍵で暗号化されている乱数(R)及び生体データをユーザ装置7から受信し、受信した生体データ及び乱数(R)を、S5で受け取った公開鍵(P)を利用して復号化する(S12)。
The
そして、認証サーバ3は、認証処理を行う(S13)。具体的には、認証サーバ3は、S12での復号化により得られた生体データと、S6で検索された生体データとを比較し、且つ、S12での復号化により得られた乱数(R)と、S7で生成した乱数(R)とを比較する。認証サーバ3は、生体データ同士が互いに適合し、且つ、乱数(R)同士が互いに適合した場合に、ユーザIDを入力したユーザが正当なユーザであると判断することができ、そうでない場合に、そのユーザが不当なユーザであると判断することができる。
Then, the
認証サーバ3は、認証処理の結果を、インターネット8を介してユーザ装置7に送信することができる(S14)。ここで、正当なユーザであると判断された場合の認証結果の通知を受けたユーザ装置7は、例えば、インターネット8を介してサービス提供サーバ5へアクセスし(S15)、ユーザはサービスの提供を受けることが可能になる(S16)。
The
以上、上述した実施形態によれば、ユーザは、認証サーバ3に認証を行ってもらう都度に、正規のユーザ装置7(具体的には、秘密鍵(抽象的には暗号化鍵)を記憶しており、且つ、その秘密鍵と対をなす公開鍵(抽象的には復号化鍵)がサーバ側で登録されているユーザ装置)の生体測定部14により生体測定を行う必要があり、その測定によって得られた生体データが、そのユーザ装置7の秘密鍵で暗号化されて認証サーバ3に送信される。これにより、仮に生体データそれ自体が盗まれたとしても、認証の際には、正規なユーザ装置7の生体測定部14での生体測定が必要になるので、その盗まれた生体データを使用することはできない。このため、不正なユーザを正当なユーザであると認証してしまうことを防ぐことができる。
As described above, according to the above-described embodiment, each time the user is authenticated by the
また、上述した実施形態によれば、上記の通り、送信される生体データは、生体測定を行うことによって得られたものである。これにより、ユーザは、ICカードや磁気カード等の記憶媒体に生体データを格納して持ち歩かなくても済む。 Further, according to the above-described embodiment, as described above, the transmitted biological data is obtained by performing biological measurement. Thus, the user does not have to store the biometric data in a storage medium such as an IC card or a magnetic card and carry it.
また、上述した実施形態によれば、ユーザは、上記のような正規のユーザ装置7であれば、どんなユーザ装置7を使っても、認証を行ってもらうことができる。従って、例えば、ユーザ装置7が携帯電話機等の携帯可能な装置であれば、その装置を使って認証してもらうこともできるし、仮にそれを忘れたとしても、インターネットカフェ等の施設にユーザ装置7が設置されていれば、その施設のユーザ装置7から認証を行ってもらうこともできる。このように、正規なユーザ装置7がある場所であればどこからでも認証を行ってもらうことができる。
Further, according to the above-described embodiment, the user can be authenticated by any
また、上述した実施形態によれば、認証サーバ3が、一連の処理の中で乱数(R)を生成してユーザ装置7に送信し、ユーザ装置7は、生体データだけでなくその乱数(R)も秘密鍵で暗号化して認証サーバ3に送信し、認証サーバ3は、その暗号化された乱数(R)の正当性も検証する。これにより、仮に、秘密鍵で暗号化された生体データが盗まれたとしても、乱数(R)が無いので、不正なユーザを正当なユーザであると認証してしまうことを防ぐことができる。また、たとえ、或る一連の処理で発行された乱数(R)と生体データとが秘密鍵で暗号化されたものが盗まれたとしても、乱数(R)の数値は、各一連の処理毎に異なるので、この場合でも、不正なユーザを正当なユーザであると認証してしまうことを防ぐことができる。
Moreover, according to embodiment mentioned above, the
以上、本発明の実施形態を説明したが、この実施形態は本発明の説明のための例示にすぎず、本発明の範囲をこの実施形態にのみ限定する趣旨ではない。本発明は、その要旨を逸脱することなく、その他の様々な態様でも実施することができる。 As mentioned above, although embodiment of this invention was described, this embodiment is only the illustration for description of this invention, and is not the meaning which limits the scope of the present invention only to this embodiment. The present invention can be implemented in various other modes without departing from the gist thereof.
例えば、ユーザ装置7は、生体を測定する機能をもつ装置ならどのようなものであってもよく、例えば、携帯電話機、PDA(Personal Digital Assistants)等であってもよい。
For example, the
また、例えば、ユーザ装置7は、複数の機器で構成されても良く、その際、ユーザ装置7の機能はそれら複数の機器に分散されていても良い。具体的には、例えば、ユーザ装置7は、パーソナルコンピュータ等の情報処理端末と、それに接続された生体測定ユニットとから成る装置であっても良く、その場合、制御部10、操作部11及びインターフェース12は情報処理端末に搭載されていて、生体測定部14、A/D変換部13、記憶部15、及び一時記憶部18は、生体測定ユニットに搭載されていてもよい。この場合、上記装置IDは、情報処理端末のIDであっても良いし、生体測定ユニットのIDであってもよい。
Further, for example, the
また、例えば、認証サーバ3の記憶資源に、データベース2に記憶されているデータや、データベース4に記憶されているデータが記憶されていても良い。
In addition, for example, data stored in the
また、例えば、秘密鍵及び公開鍵は、ユーザ装置7に固有のものとしているが、ユーザに固有のものであっても良い。その場合、ユーザは、ユーザ装置7に秘密鍵を入力することができる。
For example, the secret key and the public key are specific to the
1…公開サーバ、2,4…データベース、3…認証サーバ、5…サービス提供サーバ、7…ユーザ装置、8…インターネット、10…制御部、11…操作部、12…インターフェース、13…A/D変換部、14…生体データ測定部、15…記憶部、16…秘密鍵、17…装置ID、18…一時記憶部。 DESCRIPTION OF SYMBOLS 1 ... Public server, 2, 4 ... Database, 3 ... Authentication server, 5 ... Service provision server, 7 ... User apparatus, 8 ... Internet, 10 ... Control part, 11 ... Operation part, 12 ... Interface, 13 ... A / D Conversion unit, 14 ... biometric data measurement unit, 15 ... storage unit, 16 ... secret key, 17 ... device ID, 18 ... temporary storage unit.
Claims (7)
前記ユーザを認証する認証サーバと
を備え、
前記ユーザ装置は、
前記ユーザの生体を測定する生体測定手段と、
第一の鍵と対をなす第二の鍵を記憶した第二鍵記憶手段と
を備え、認証を前記認証サーバに要求する都度に、前記生体測定手段により前記ユーザに生体の測定を行わせ、前記生体の測定結果を表す生体データを保持し、前記第二鍵記憶手段から前記第二の鍵を読出し、前記保持されている生体データを前記読出された第二の鍵で暗号化し、前記暗号化された生体データを前記認証サーバに送信し、
前記認証サーバは、前記暗号化された生体データを受信して前記第一の鍵で復号化し、前記復号化された生体データに基づいて、前記ユーザの認証を行う、
認証システム。 User equipment used by the user;
An authentication server for authenticating the user,
The user equipment is
A biological measurement means for measuring the user's biological body;
A second key storage unit that stores a second key that is paired with the first key, each time when the authentication server is requested to authenticate, the biometric unit causes the user to measure the living body, Holding the biological data representing the measurement result of the living body, reading the second key from the second key storage means, encrypting the held biological data with the read second key, and Send the biometric data to the authentication server,
The authentication server receives the encrypted biometric data, decrypts it with the first key, and authenticates the user based on the decrypted biometric data.
Authentication system.
前記ユーザ装置は、前記特定の信号を受信し、前記特定の信号を受信する前には、前記生体データの保持も、前記第二の鍵の読出しも行わず、前記特定の信号を受信した以降に、前記生体データの保持と、前記第二の鍵の読出しとを行う、
請求項1記載の認証システム。 The authentication server sends a specific signal to the user device;
The user apparatus receives the specific signal, and does not hold the biometric data or read the second key before receiving the specific signal, and after receiving the specific signal. Holding the biometric data and reading the second key,
The authentication system according to claim 1.
前記ユーザ装置は、前記認証サーバから受信した乱数と前記保持されている生体データとを、前記読出された第二の鍵で暗号化し、前記暗号化された乱数及び生体データを前記認証サーバに送信し、
前記認証サーバは、前記暗号化されている乱数及び生体データを前記第一の鍵で復号化し、前記復号化された乱数と前記復号された生体データとの両方に基づいて、前記ユーザを認証する、
請求項1記載の認証システム。 The authentication server generates a random number and sends it to the user device;
The user device encrypts the random number received from the authentication server and the stored biometric data with the read second key, and transmits the encrypted random number and biometric data to the authentication server. And
The authentication server decrypts the encrypted random number and biometric data with the first key, and authenticates the user based on both the decrypted random number and the decrypted biometric data ,
The authentication system according to claim 1.
前記ユーザ装置のIDである装置IDを記憶した装置ID記憶手段と、
前記記憶手段に記憶されている装置IDを前記認証サーバに送信する装置ID送信手段と、
前記ユーザを特定するためのユーザIDを入力する入力手段と、
前記入力されたユーザIDを前記認証サーバに送信するユーザID送信手段と、
を備え、
前記認証サーバは、
前記ユーザ装置から前記装置IDを受信する装置ID受信手段と、
複数の装置IDにそれぞれ対応した複数の第一の鍵のうちの前記受信した装置IDに対応する第一の鍵を取得する第一鍵取得手段と、
前記ユーザ装置から前記ユーザIDを受信するユーザID受信手段と、
複数のユーザIDにそれぞれ対応した複数の生体データのうちの前記受信したユーザIDに対応する生体データを取得する生体データ取得手段と
を備え、前記ユーザ装置から受信した前記暗号化されている生体データを、前記取得された第一の鍵で復号化し、前記復号化された生体データと、前記取得された生体データとの比較を行い、その比較の結果、前記復号化された生体データが前記取得された生体データに適合する場合に、前記ユーザを正当なユーザとして認証する、
請求項1記載の認証システム。 The user equipment is
A device ID storage unit that stores a device ID that is an ID of the user device;
Device ID transmission means for transmitting the device ID stored in the storage means to the authentication server;
Input means for inputting a user ID for specifying the user;
User ID transmission means for transmitting the input user ID to the authentication server;
With
The authentication server is
Device ID receiving means for receiving the device ID from the user device;
First key acquisition means for acquiring a first key corresponding to the received device ID among a plurality of first keys respectively corresponding to a plurality of device IDs;
User ID receiving means for receiving the user ID from the user device;
The biometric data that has been received from the user device, comprising biometric data acquisition means for acquiring biometric data corresponding to the received user ID among a plurality of biometric data respectively corresponding to a plurality of user IDs Is decrypted with the obtained first key, the decrypted biometric data is compared with the obtained biometric data, and the decrypted biometric data is obtained as a result of the comparison. Authenticating the user as a valid user if it matches the biometric data provided,
The authentication system according to claim 1.
ユーザの生体を測定する生体測定手段と、
第一の鍵と対をなす第二の鍵を記憶した第二鍵記憶手段と
を備え、認証を前記認証サーバに要求する都度に、前記生体測定手段により前記ユーザに生体の測定を行わせ、前記生体の測定結果を表す生体データを保持し、前記第二鍵記憶手段から前記第二の鍵を読出し、前記保持されている生体データを前記読出された第二の鍵で暗号化し、前記暗号化された生体データを前記認証サーバに送信する、
ユーザ装置。 In the user device used by the user,
Biometric means for measuring a user's biological body;
A second key storage unit that stores a second key that is paired with the first key, each time when the authentication server is requested to authenticate, the biometric unit causes the user to measure the living body, Holding the biological data representing the measurement result of the living body, reading the second key from the second key storage means, encrypting the held biological data with the read second key, and Transmitting the converted biometric data to the authentication server,
User device.
請求項5記載のユーザ装置。 Receiving a specific signal from the authentication server, before receiving the specific signal, neither holding the biometric data nor reading the second key, after receiving the specific signal, Holding the biometric data and reading the second key;
The user device according to claim 5.
前記ユーザ装置が、前記生体の測定結果を表す生体データを保持するステップと、
前記ユーザ装置が、第一の鍵と対になった第二の鍵を第二鍵記憶手段から読出すステップと、
前記ユーザ装置が、前記保持されている生体データを前記読出された第二の鍵で暗号化するステップと、
前記ユーザ装置が、前記暗号化された生体データを前記認証サーバに送信するステップと、
前記認証サーバが、前記暗号化されている生体データを受信するステップと、
前記認証サーバが、前記暗号化されている生体データを前記第一の鍵で復号化するステップと、
前記認証サーバが、前記復号化された生体データに基づいて、前記ユーザの認証を行うステップと
を有する認証方法。 Each time the user device used by the user requests authentication from the authentication server, the biometric means causes the user to measure the living body
The user device holding biological data representing a measurement result of the biological body;
The user device reading a second key paired with the first key from the second key storage means;
The user device encrypting the stored biometric data with the read second key;
The user device transmitting the encrypted biometric data to the authentication server;
The authentication server receiving the encrypted biometric data;
The authentication server decrypting the encrypted biometric data with the first key;
And a step of authenticating the user based on the decrypted biometric data.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005085363A JP2006268411A (en) | 2005-03-24 | 2005-03-24 | Method and system for authenticating remote accessing user by using living body data and user device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005085363A JP2006268411A (en) | 2005-03-24 | 2005-03-24 | Method and system for authenticating remote accessing user by using living body data and user device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006268411A true JP2006268411A (en) | 2006-10-05 |
Family
ID=37204320
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005085363A Pending JP2006268411A (en) | 2005-03-24 | 2005-03-24 | Method and system for authenticating remote accessing user by using living body data and user device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006268411A (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016535884A (en) * | 2013-10-03 | 2016-11-17 | ランディス・ギア イノベーションズ インコーポレイテッドLandis+Gyr Innovations, Inc. | Securing communications within network endpoints |
WO2020116916A1 (en) * | 2018-12-05 | 2020-06-11 | 엘지전자 주식회사 | Method and apparatus for authentication using biometric information in wireless communication system |
JP2021520013A (en) * | 2018-08-31 | 2021-08-12 | ワン・コネクト・スマート・テクノロジー・カンパニー・リミテッド・(シェンチェン) | Identity verification methods, devices, systems and media based on physiological feature information |
US11411953B2 (en) | 2019-05-06 | 2022-08-09 | Landis+Gyr Innovations, Inc. | Extending network security to locally connected edge devices |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004112250A (en) * | 2002-09-18 | 2004-04-08 | Dainippon Printing Co Ltd | Electronic form having voiceprint data, and method for specifying information input source thereof |
JP2004348308A (en) * | 2003-05-21 | 2004-12-09 | Hitachi Ltd | Individual identification system |
-
2005
- 2005-03-24 JP JP2005085363A patent/JP2006268411A/en active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004112250A (en) * | 2002-09-18 | 2004-04-08 | Dainippon Printing Co Ltd | Electronic form having voiceprint data, and method for specifying information input source thereof |
JP2004348308A (en) * | 2003-05-21 | 2004-12-09 | Hitachi Ltd | Individual identification system |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016535884A (en) * | 2013-10-03 | 2016-11-17 | ランディス・ギア イノベーションズ インコーポレイテッドLandis+Gyr Innovations, Inc. | Securing communications within network endpoints |
JP2021520013A (en) * | 2018-08-31 | 2021-08-12 | ワン・コネクト・スマート・テクノロジー・カンパニー・リミテッド・(シェンチェン) | Identity verification methods, devices, systems and media based on physiological feature information |
JP7051001B2 (en) | 2018-08-31 | 2022-04-08 | ワン・コネクト・スマート・テクノロジー・カンパニー・リミテッド・(シェンチェン) | Identity verification methods, devices, systems and media based on physiological feature information |
WO2020116916A1 (en) * | 2018-12-05 | 2020-06-11 | 엘지전자 주식회사 | Method and apparatus for authentication using biometric information in wireless communication system |
US11411953B2 (en) | 2019-05-06 | 2022-08-09 | Landis+Gyr Innovations, Inc. | Extending network security to locally connected edge devices |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10904007B2 (en) | Authentication device based on biometric information, control server connected to the same, and login method based on biometric information thereof | |
CN112425114B (en) | Password manager protected by public key-private key pair | |
US20090158033A1 (en) | Method and apparatus for performing secure communication using one time password | |
CN101507233A (en) | Method and apparatus for providing trusted single sign-on access to applications and internet-based services | |
CN101409620A (en) | Method and system for processing data in communication system | |
KR102578428B1 (en) | Update biometric template protection key | |
JP2010229649A (en) | Electronic unlocking system, server, user terminal, electric lock terminal, and information processing method | |
KR20190122655A (en) | Update of Biometric Data Template | |
CA2538850A1 (en) | Record carrier, system, method and program for conditional access to data stored on the record carrier | |
JP2011012511A (en) | Electric lock control system | |
CN107548542B (en) | User authentication method with enhanced integrity and security | |
CN113282944B (en) | Intelligent lock unlocking method and device, electronic equipment and storage medium | |
JP2009290508A (en) | Electronized information distribution system, client device, server device and electronized information distribution method | |
KR101949934B1 (en) | Apparatus and Method for Monitering Equipment Using Augmented Reality Image | |
JP2006268411A (en) | Method and system for authenticating remote accessing user by using living body data and user device | |
JP2002157226A (en) | Centralized password managing system | |
KR102171377B1 (en) | Method of login control | |
KR101478526B1 (en) | System and method of managing and offering cryptographic key with using authentication information | |
JP2007199978A (en) | Information processor, portable terminal equipment, and information processing execution control method | |
JP5665592B2 (en) | Server apparatus, computer system, and login method thereof | |
KR20130085537A (en) | System and method for accessing to encoded files | |
JP2006268513A (en) | Log-on management device for terminal device | |
JP2007060581A (en) | Information management system and method | |
JP2012181595A (en) | Authentication system, authentication method for authentication system, positioning device, and positioning program | |
KR101473576B1 (en) | Method for Offline Login based on SW Token and Mobile Device using the same |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070919 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101029 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110301 |