JP2008269511A - User authentication method - Google Patents
User authentication method Download PDFInfo
- Publication number
- JP2008269511A JP2008269511A JP2007114990A JP2007114990A JP2008269511A JP 2008269511 A JP2008269511 A JP 2008269511A JP 2007114990 A JP2007114990 A JP 2007114990A JP 2007114990 A JP2007114990 A JP 2007114990A JP 2008269511 A JP2008269511 A JP 2008269511A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- time
- terminal device
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Collating Specific Patterns (AREA)
Abstract
Description
本発明は、複数の認証方法(手法、(認証)要素)により利用者を認証する技術に係り、認証のための端末装置などの関係上、ある条件下で複数の認証方法のうち、一部の認証方法しか実現できない場合の認証技術に関する。これらの中でも特に、ICカードを含む記憶媒体と利用者の生体情報を利用して、利用者の認証を行う利用者認証の技術に関する。なお、生体情報としては(手のひら、指)静脈情報、指紋情報、虹彩情報などが含まれる。 The present invention relates to a technique for authenticating a user by a plurality of authentication methods (methods, (authentication) elements), and some of a plurality of authentication methods under a certain condition due to the terminal device for authentication. The present invention relates to an authentication technique when only the authentication method can be realized. In particular, the present invention relates to a user authentication technique for authenticating a user by using a storage medium including an IC card and the user's biometric information. The biological information includes (palm, finger) vein information, fingerprint information, iris information, and the like.
現在、本人認証の技術として複数の要素(認証手段)が存在している。代表的なものとしては、次の3つの要素が存在する。第1の要素は本人の記憶に基づくものでID、パスワードによる本人認証が代表的な例である。第2の要素は、本人の所持に基づくもので、ICカードや運転免許証などがこれにあたる。第3の要素は、本人のバイオメトリクス情報に基づくもので、指紋認証や指静脈認証などがこれにあたる。本人認証は、これら3つの要素のいずれか1つ、あるいは複数要素の組合わせによって実施されることがある。 At present, there are a plurality of elements (authentication means) as a technique for personal authentication. There are the following three elements as typical ones. The first element is based on the person's memory, and identity authentication using an ID and password is a typical example. The second factor is based on the person's possession, such as an IC card or driver's license. The third factor is based on the person's biometric information, such as fingerprint authentication and finger vein authentication. Identity authentication may be performed by any one of these three elements or a combination of multiple elements.
複数の認証方法を利用する技術として、特許文献1がある。特許文献1においては、認証に要求される目標性能を満たす一つの認証または認証の組合せを選択するものである。このために、特許文献1では、認証手段の種類、認証手段の種類の優先順位、組合せ方法などを考慮して、選択を行うことが開示されている。
As a technique using a plurality of authentication methods, there is
また、各認証手段の認証手法として、ICカード等を介して生体情報、PINなどを利用して認証がなされていた。この例として、特許文献2、3がある。
Further, as an authentication method of each authentication means, authentication is performed using biometric information, PIN, etc. via an IC card or the like. Examples of this include
特許文献2においては、生体情報を使ったユーザ認証は100%確実認証できないと仮定して、認証情報を認証されるべき本人に通知するサービスを提供することを目的としている。この目的を達成するために、特許文献2においては、生体情報を用いて認証を行い、生体情報を用いて認証を行った認証結果や認証に用いた生体情報からなる認証ログ情報からのユーザIDを用いてユーザ情報を検索し、該当するユーザに認証ログ情報を通知する。これにより、認証ログ情報を認証されるべき本人に確実に通知することを可能にすることを目指している。
特許文献3においては、利用者のサービスに供する、ICカードに搭載される各アプリケーションの認証情報をICカードにおける本人認証情報と共有化して、各アプリケーションの作成を容易とすると共に、本人認証情報の漏洩を防止することを目的としている。この目的を達成するために、ICカードに搭載される各アプリケーションに対するPINや、指紋等の本人認証情報と、カード共通のPINや、指紋等の本人認証情報とを比較し、認証状態を管理する本人認証共通モジュールをICカードに設ける。端末側の或るアプリケーションの利用に際して、本人認証共通モジュールにて、端末側のアプリケーションの本人認証情報と、カード共通の本人認証情報とを比較して本人認証を行っている。
In
しかしながら、複数認証要素の組合わせで本人認証を行う方法においては、利用者が本人認証を行うための実現手段をもたない場合に、認証レベルを下げて本人認証を行っているという課題があった。
例えば、金融機関における生体認証を用いた本人認証では、ICカードに予め生体情報を登録しておき、ATMに備えられている生体情報読取り部に生体情報を入力し、ICカードに格納されている生体情報と照合を行い、本人確認を行う方法が主流となっている。しかしながら生体認証を用いた本人認証では、金融機関毎に採用している認証方式(指静脈認証、掌静脈認証など)が異なる等の事情により、一般利用者が使用するパーソナルコンピュータに生体情報を読み取る装置を具備するのは難しいのが現状である。この場合、利用者が生体認証の機能をもつICカードを所有していても、インターネットバンキングなどのネットワーク取引において、生体認証を実施することはできず、ID・パスワードなどの手段で本人認証を行っている。
However, there is a problem in the method of performing user authentication by combining a plurality of authentication factors that the user authentication is performed at a lower authentication level when the user has no means for performing user authentication. It was.
For example, in personal authentication using biometric authentication in a financial institution, biometric information is registered in advance in an IC card, the biometric information is input to a biometric information reading unit provided in the ATM, and stored in the IC card. A method of verifying the identity by comparing with biometric information has become the mainstream. However, in personal authentication using biometric authentication, biometric information is read into a personal computer used by general users due to circumstances such as different authentication methods (finger vein authentication, palm vein authentication, etc.) adopted for each financial institution. At present, it is difficult to provide a device. In this case, even if the user owns an IC card with a biometric authentication function, biometric authentication cannot be performed in network transactions such as Internet banking, and identity authentication is performed by means such as ID / password. ing.
ここで、特許文献1においては、認証手段の組合せを選択するが、選択されなかった認証手段でのリカバリを考慮することはなされていない。つまり、特許文献1の場合、悪意の第3者がより精度が高いなど有効な認証手段をあえて避けることも可能になる。例えば、ID・パスワード利用の認証と生体認証が用意されているサービスの場合、第3者がID・パスワードを盗み、ID・パスワードしか要求されない端末(例:生体情報入力手段を有しない)でのみ取引等を行う場合、悪意の第3者に取引を許可することになってしまう。これを回避するために、全ての認証手段(ID・パスワード利用の認証と生体認証)での認証を常に要求してしまうことは、利用可能な端末を限定することになり利用者の利便性を損ねることになる。
Here, in
本発明では、これらの事情を鑑み、複数の認証手段のうちその一部が利用できない場合(もしくは利用しない場合)でも、利用者の利便性を損ねず、より安全性の高い認証を提供することを目的とする。 In the present invention, in view of these circumstances, even when a part of a plurality of authentication means cannot be used (or not used), it is possible to provide more secure authentication without impairing user convenience. With the goal.
本発明では、利用者が本人認証に成功してから一定期間は、過去の認証成功実績を所定の方法で確認することにより、本人認証を可能とすることを特徴とする。 The present invention is characterized in that user authentication can be performed by confirming past authentication success results by a predetermined method for a certain period after the user succeeds in user authentication.
本発明を実現する一態様として、前記利用者はICカードや携帯電話などのハードウェアトークンを持ち、前記ハードウェアトークンは本人認証を実現するための機能、および情報を有する。前記利用者が本人認証に成功した場合に、認証成功実績を前記ハードウェアトークンに記録する。認証成功実績には、個人情報、利用者の属性情報、ユーザID、認証ID、認証場所、認証時の入力情報、認証時の入力手段、時刻情報、および前記時刻情報に一定時間を足しこむ計算を行うことで算出されたデータ有効期限の少なくとも1つから構成される。また、認証成功実績を、認証サーバなどの前記ハードウェアトークン以外の記憶装置に記憶しておいてもよい。 As an aspect for realizing the present invention, the user has a hardware token such as an IC card or a mobile phone, and the hardware token has a function and information for realizing personal authentication. When the user succeeds in the personal authentication, the authentication success record is recorded in the hardware token. For successful authentication results, personal information, user attribute information, user ID, authentication ID, authentication location, authentication input information, authentication input means, time information, and calculation that adds a certain amount of time to the time information It consists of at least one data expiration date calculated by performing. The authentication success record may be stored in a storage device other than the hardware token, such as an authentication server.
前記利用者が、認証を行うための実現手段が利用できない環境において本人認証が必要となるサービスを要求した場合に、利用者端末は前記認証成功実績を所定の方法で確認し、情報の正当性が確認された場合には、前記利用者を本人として判定する。 When the user requests a service that requires personal authentication in an environment where the means for performing authentication cannot be used, the user terminal confirms the authentication success record by a predetermined method, and checks the validity of the information. Is confirmed, the user is determined as the principal.
ここで所定の方法とは、前記利用者が所有する前記ハードウェアトークン記憶されている認証成功実績の正当性を確認する方法、前記ハードウェアトークン以外の記憶装置に記憶されている認証成功実績の正当性を確認する方法、およびその組合わせによって認証成功実績の正当性を確認する方法が含まれる。また、正当性を確認する方法として、利用者端末が、現在時刻を取得し、前記現在時刻が前記ハードウェアトークンや前記ハードウェアトークン以外の記憶装置に記憶されているデータ有効期限の範囲内かどうかを判定すること、あるいは、ハードウェアトークンと前記ハードウェアトークン以外の記憶装置それぞれに認証成功実績を記憶しておき、両方の認証成功実績を照合し、一致した場合に、現在時刻がハードウェアトークンや前記ハードウェアトークン以外の記憶装置に記憶されているデータ有効期限の範囲内かどうかを判定することが含まれる。 Here, the predetermined method is a method of confirming the validity of the authentication success record stored in the hardware token owned by the user, the authentication success record stored in a storage device other than the hardware token. A method for confirming the validity and a method for confirming the validity of the authentication success record by the combination thereof are included. Further, as a method for confirming the validity, whether the user terminal obtains the current time and the current time is within the range of the data expiration date stored in the hardware token or a storage device other than the hardware token. Or the authentication success record is stored in each of the hardware token and the storage device other than the hardware token, and the authentication success record of both is collated. It includes determining whether the data is within the validity period of data stored in a storage device other than the token or the hardware token.
データ有効期限の計算方法としては、あらかじめ決められた時間を認証端末が取得した時刻情報に足しこむ方法、あるいは利用者の属性情報によって足しこむ時間を変更する方法、あるいは、利用者本人が足しこむ時間を任意に決定できる方法も含まれる。また、設定される有効期限の長さにより、利用者が要求できるサービスのレベルを変える(取引金額を制限する、閲覧可能な情報を制限するなど)ことも含まれる。 The data expiration date can be calculated by adding a predetermined time to the time information acquired by the authentication terminal, changing the time added by the user's attribute information, or adding by the user himself / herself. A method that can arbitrarily determine the time is also included. In addition, changing the level of service that can be requested by the user according to the length of the set expiration date (including limiting the transaction amount and limiting the information that can be browsed) is also included.
また、利用者が本人認証が必要となるサービスを要求した場合に、前記利用者が予め設定しておいた暗証番号等の記憶情報を入力し、前記記憶情報が正しいかどうかを判定すること、および前記利用者が不正な記憶情報を一定回数入力した場合には、前記利用者端末が取得した現在時刻が、前記データ有効期限前であっても、本人認証を不可とすることも本発明に含まれる。 In addition, when a user requests a service that requires personal authentication, the storage information such as a password set in advance by the user is input, and it is determined whether the storage information is correct, In the present invention, when the user inputs illegal storage information a certain number of times, the user authentication is disabled even if the current time acquired by the user terminal is before the data expiration date. included.
また、本発明には、以下の態様も含まれる。任意の端末装置などでの生体情報認証の結果を利用して、認証処理を行うことを特徴とする。すなわち、生体情報認証で認証された場合、一定の条件下(時間的な条件を含む)で、生体情報認証をしなくとも認証することとした。一定の条件には、生体情報の入力の可否を含み、認証で利用しようとする端末装置において、生体情報の入力が可能も係わらず、入力されない場合には認証を却下することも含まれる(先の生体情報認証で認証されていても)。 Moreover, the following aspects are also included in the present invention. The authentication process is performed using the result of biometric information authentication in an arbitrary terminal device or the like. That is, when authenticated by biometric information authentication, authentication is performed under certain conditions (including temporal conditions) without performing biometric information authentication. The certain condition includes whether or not biometric information can be input. In the terminal device to be used for authentication, the biometric information can be input even if it is not input. Even if it is authenticated by biometric authentication.
より詳細には、以下の態様も本発明に含まれる。 More specifically, the following aspects are also included in the present invention.
ICカードを用いた利用者認証方法において、予めICカードに、前記利用者の生体情報を格納しておき、前記利用者が利用し、生体情報入力手段を有する第1の端末装置が、利用者から生体情報および当該利用者を識別する利用者識別情報の入力を受付け、前記第1の端末装置が、入力された前記生体情報の受付けられた時間を検知し、前記第1の端末装置が、前記ICカードに、入力された前記生体情報および検知された前記時間を送信し、前記ICカードが、送信された前記生体情報および格納された前記生体情報を照合することで、前記利用者の認証を行い、前記ICカードが、前記第1の端末装置に、前記認証結果を送信し、前記第1の端末装置が、前記照合結果が正当な利用者と認証している場合には、検知された時間および前記利用者識別情報を、ネットワークを介して認証サーバ装置に送信し、前記認証サーバ装置は、前記利用者識別情報および時間を対応付けて記憶しておき、前記利用者から所定のサービス要求を受付け、前記認証サーバ装置とネットワークを介して接続される第2の端末装置が、前記利用者から利用者識別情報およびサービス要求を受付け、前記第2の端末装置は、受付けられた前記利用者識別情報を含む認証要求を、前記認証サーバ装置へ送信し、前記認証サーバ装置は、送信された前記利用者識別情報に対応する時間を特定して、当該時間に基づいて認証を行い、前記第2の端末装置へ当該認証の結果を通知することを特徴とする利用者認証方法である。 In the user authentication method using an IC card, the user's biometric information is stored in the IC card in advance, the first terminal device used by the user and having biometric information input means is the user. Receiving the biometric information and the user identification information for identifying the user, the first terminal device detects the time when the input biometric information is received, and the first terminal device is The biometric information input and the detected time are transmitted to the IC card, and the IC card verifies the transmitted biometric information and the stored biometric information, thereby authenticating the user. The IC card transmits the authentication result to the first terminal device, and the first terminal device is detected when the verification result is authenticated as a valid user. And the user identification information, The authentication server device stores the user identification information and time in association with each other, receives a predetermined service request from the user, and transmits the authentication server device and the network. A second terminal device connected via the user accepts user identification information and a service request from the user, and the second terminal device accepts an authentication request including the accepted user identification information, Transmitted to the authentication server device, the authentication server device identifies the time corresponding to the transmitted user identification information, performs authentication based on the time, and results of the authentication to the second terminal device It is a user authentication method characterized by notifying.
この利用者認証方法において、前記認証サーバ装置は、前記認証として、当該認証の時間が特定される前記時間から一定時間範囲内か否かにより認証を行うことを特徴とする利用者認証方法も本発明に含まれる。 In this user authentication method, the user authentication method is characterized in that, as the authentication, the authentication server device performs authentication based on whether or not the authentication time is within a certain time range from the specified time. Included in the invention.
この利用者認証方法において、前記第1の端末装置は、検知された時間に前記一定時間を足しこむ計算を行うことで、データ有効期間を算出して、前記認証サーバ装置に送信し、前記認証サーバ装置は、前記認証の時間が、前記データ有効期間内であるか否かにより認証を行うことを特徴とする利用者認証方法も本発明に含まれる。 In this user authentication method, the first terminal device calculates a data valid period by performing a calculation that adds the fixed time to the detected time, and transmits the data valid period to the authentication server device, and the authentication server device. The user authentication method is also included in the present invention, wherein the server device performs authentication based on whether or not the authentication time is within the data validity period.
この利用者認証方法において、前記第1の端末装置は、前記データ有効期間の算出を、前記ICカードの利用者認証処理を行うための時間に少なくとも一部が並行して実行されるよう実行することを特徴とする利用者認証方法も本発明に含まれる。 In this user authentication method, the first terminal device executes the calculation of the data validity period so that at least a part thereof is executed in parallel with the time for performing the user authentication process of the IC card. A user authentication method characterized by this is also included in the present invention.
また、これらの利用者認証方法において、前記第1の端末装置は、前記利用者識別情報および時間に対して署名データを付与することで暗号化を施し、前記第1の端末装置は、前記暗号化された利用者識別情報および時間を、前記認証サーバ装置およびICカードに送信し、前記ICカードから前記認証サーバ装置に、前記第2の端末装置を介して、前記暗号化された利用者識別情報および時間を送信し、前記認証サーバ装置が、前記第2の端末装置を介して送信された前記暗号化された利用者識別情報および前記時間と第1の端末装置から送信された前記暗号化された利用者識別情報および前記時間を照合することで前記認証を実行することを特徴とする利用者認証方法も本発明に含まれるし、これにおいて、暗号化でなく、特定のワンタイムIDを付与すること、これらの組合せも本発明に含まれる。 In these user authentication methods, the first terminal device performs encryption by adding signature data to the user identification information and time, and the first terminal device performs the encryption. The encrypted user identification information and time are transmitted to the authentication server device and the IC card, and the encrypted user identification is transmitted from the IC card to the authentication server device via the second terminal device. The information and time are transmitted, and the authentication server device transmits the encrypted user identification information transmitted via the second terminal device and the time and the encryption transmitted from the first terminal device. A user authentication method is also included in the present invention, wherein the authentication is performed by comparing the user identification information and the time, and a specific one-time ID is used instead of encryption. With That these combinations are also included in the present invention.
なお、本発明には、上述した方法を実現するための各装置(これらの組合せ)、これらの方法を実現するためのコンピュータプログラムおよびこのプログラムを格納した媒体も含まれる。 The present invention includes each device (a combination thereof) for realizing the above-described methods, a computer program for realizing these methods, and a medium storing this program.
本発明により、本人認証を行うための実現手段が利用できない場合でも、利用者の利便性を損ねず、より安全性の高い認証を提供することが可能になる。 According to the present invention, even when the realization means for performing personal authentication cannot be used, it is possible to provide more secure authentication without impairing the convenience of the user.
本発明の実施の形態について、図面を用いて説明する。まず、本実施の形態におけるシステム構成図を図1に示す。 Embodiments of the present invention will be described with reference to the drawings. First, FIG. 1 shows a system configuration diagram in the present embodiment.
生体認証用端末100は、金融機関のATMに相当する端末を想定しているが、CPUおよびメモリなどからなるパーソナルコンピュータであってもよい。生体認証用端末100は、生体認証処理を実行する生体認証プログラム101と、認証サーバとデータを通信するための通信プログラム102を有する。
The
生体認証用装置200は、生体情報読取り部201とICカードR/W部202を有し、生体認証用端末100に接続されている。生体認証装置200は、生体情報読取り部201から取得した生体情報とICカードR/W部202に挿入されたICカード400に格納されている生体情報402を照合し、その結果を生体認証用端末100に送信する。
The
ICカード400は、データやプログラムを格納するメモリと、生体認証や暗号化などの演算を行うための演算処理部と、ICカードR/Wと通信するための通信部などからなる。メモリには、データとして少なくとも利用者識別情報401と生体情報402が格納されている。
The
認証サーバ500は、利用者識別情報511を管理する情報管理プログラム501を有し、ネットワーク300を介して生体認証用端末100100と接続されている。ここで、ネットワーク300の接続回線は、専用回線を想定しているが、LANなどのローカルネットワークであってもよい。
The
端末装置700は、CPUおよびメモリなどからなるコンピュータである。端末装置700はオペレーティング・システムを搭載し、オペレーティング・システムの制御のもとでアプリケーションプログラムが動作する。端末装置700は、利用者からのサービス要求に基づき利用者認証を行うための認証プログラム701を有し、ネットワーク600を介して認証サーバ500と接続されている。ICカードR/W800は、ICカードと通信を行うための通信部を有し、端末装置700と接続されている。
The
図2は、本実施の形態におけるICカード400のメモリに格納されている利用者識別情報401のデータ構成例である。利用者識別情報401は、利用者毎にユニークに付与されるユーザIDと、取引毎にユニークに付与される取引IDと、生体認証用端末100を識別するための生体認証用装置IDと、生体認証が成功した時刻を示す時刻情報を含む。
FIG. 2 is a data configuration example of the user identification information 401 stored in the memory of the
図3は、本実施の形態における認証サーバ500が有する情報管理プログラム501で管理される、利用者識別情報511のデータ構成例である。利用者識別情報511は、取引毎にユニークに付与される取引IDと、生体認証用端末100を識別するための生体認証用装置IDと、生体認証が成功した時刻を示す時刻情報と、認証成功時刻から一定時間を足しこむことにより計算されたデータ有効期限とを含む。
FIG. 3 is a data configuration example of the
図4と図5は、本発明における実施の形態の処理内容を説明する図である。図4では、本発明における利用者認証方法の事前処理の実施例について説明する。まず、利用者が、生体認証用端末100でサービスを開始する(S1000)。ここでサービスとは、金融機関でのATMによる、預金口座からの現金の引き出し等である。サービス開始の後、生体認証用端末100は、ICカード400に対してユーザIDを要求し、ICカード400は、メモリに格納されている利用者識別情報401からユーザIDを読み出し、生体認証用端末100に送信する。本実施例ではユーザID=00000001を送信する(S1001)。
4 and 5 are diagrams for explaining the processing contents of the embodiment of the present invention. FIG. 4 illustrates an example of pre-processing of the user authentication method according to the present invention. First, the user starts a service on the biometric authentication terminal 100 (S1000). The service here refers to withdrawal of cash from a deposit account by ATM at a financial institution. After the service starts, the
生体認証用端末100は、ICカード400から受信したユーザIDを認証サーバ500に送信し、認証サーバ500は、受信したユーザIDを情報管理プログラム501が有する利用者識別情報511で照合する。本実施例ではICカードから読み出したユーザID=00000001と、情報管理プログラム501が有する利用者識別情報511内のユーザIDとを照合する(S1002)。照合の結果、一致するユーザIDが存在した場合、生体認証用端末100は、現在時刻を取得し(S1003)、利用者識別情報の元となるデータ、取引ID、生体認証用装置ID、およびS1003で取得した現在時刻を取得する。本実施例では、現在時刻として20070313123000を取得する(S1004)。その後、生体認証用端末100は、前記利用者に生体認証の実施を要求する(S1005)。例えば、指静脈認証であれば、生体情報読取り部に指を置くという動作が該当する。
The
生体認証用端末100は、S1004で作成したデータとS1005で読み取った生体情報を、ICカード400に送信する。ICカード400は、まず、受信した生体情報と、予めメモリに格納されている生体情報とを照合する(S1006)。その後、ICカード400は、生体認証用装置から受信した取引IDと生体認証用装置IDと時刻情報を利用者識別情報としてICカード400に書き込み(S1007)、認証成功の結果を生体認証用端末100に送信する。本実施例では、取引ID=00001001、生体認証用装置ID=10000001、時刻情報=20070313123000をICカード400に書き込む。生体認証用端末100は、ICカード400から認証成功の結果を受信した後、利用者識別情報の元となるデータ、ユーザID=00000001、取引ID=00001001、
生体認証用装置ID=10000001、時刻情報=20070313123000を認証サーバ500に送信する。
The
The biometric device ID = 10000001 and time information = 20070313123000 are transmitted to the
認証サーバ500は、生体認証用端末100から受信した時刻情報に一定の時間を足しこむことにより、データ有効期限を計算する。本実施例では、一定の時間の30日とし、データ有効期限=20070412123000と計算する(S1008)。認証サーバ500は、生体認証用装置から受信した取引IDと生体認証用装置IDと時刻情報、およびS1007で計算したデータ有効期限を利用者識別情報として情報管理プログラム501に書き込み(S1009)、認証成功の結果を生体認証用端末100に送信する。
The
図5では、本発明における利用者認証方法の本人確認処理の実施例について説明する。まず、前記利用者が、端末装置700でサービスを開始する(S2000)。ここでサービスとは、インターネットバンキングによる前記利用者の預金口座からの振込み処理、おるいはインターネットショッピングでのクレジット決済等である。前記利用者が要求するサービスの内容を決定した後、最終的な決済処理を実施する際に利用者認証を開始する(S2001)。 FIG. 5 illustrates an example of the identity verification process of the user authentication method according to the present invention. First, the user starts a service on the terminal device 700 (S2000). Here, the service is a transfer process from the user's deposit account by Internet banking, or a credit settlement in Internet shopping. After determining the content of the service requested by the user, user authentication is started when final settlement processing is performed (S2001).
認証サーバ500は、まず、対応する生体情報の読取り機能を端末装置700が有するかどうかを確認する(S2002)。確認の結果、対応する生体情報の読取り機能を端末装置700が有する場合は、前記利用者に対して生体認証の実施を要求する(S2003)。対応する生体情報の読取り機能を端末装置700が有していない場合は、前記利用者に対して、ユーザIDと利用者が予め登録しておいた暗証番号の入力を要求する。本実施例では、前記利用者は正しいユーザID=00000001、暗証番号=1234を入力する(S2004)。
The
端末装置700は、前記利用者から入力されたユーザIDと暗証番号とを、ICカード400に送信する。ICカード400は、受信した前記ユーザIDと前記暗証番号とを、予めメモリに格納されているユーザID、暗証番号と照合する(S2005)。照合の結果一致した場合、端末装置700は、ICカード400に利用者識別情報の読取りを要求し、ICカード400は、ICカード内のメモリに格納されている利用者識別情報を読み取る。本実施例では、ICカード400は、利用者識別情報として、ユーザID=00000001、取引ID=00001001、生体認証用装置ID=10000001、時刻情報=20070313123000を読み取る(S2006)。
The
ICカード400は引き続き、利用者識別情報を所定の方法で暗号化することで署名データを作成し(S2007)、端末装置700にこれら利用者識別情報と署名データとを送信する。端末装置700は受信した利用者識別情報と署名データとを認証サーバ500に送信する。認証サーバ500は、まず、受信した署名データを所定の方法により複合化し、端末装置700より受信した利用者識別情報と照合する(S2008)。照合の結果一致した場合に、認証サーバ500は、利用者識別情報に含まれるユーザIDから、該当するユーザを照会し、まず、時刻情報を照合する。本実施例では、ユーザID=00000001を照会し、時刻情報=20070313123000を照合する。
The
時刻情報が一致した場合、認証サーバ500は情報管理プログラム501に記憶されているユーザID=00000001のデータ有効期限=20070412123000と端末装置700を介してICカード400から送信された時刻情報=20070313123000を比較し、時刻情報がデータ有効期限の範囲内かどうかを計算する。時刻情報がデータ有効期限の範囲内であった場合は、肯定的な認証結果とする。例えば、前記利用者が本人であると判定する。
When the time information matches, the
図6は、本実施の形態におけるICカード400のメモリに格納されている利用者識別情報401のデータ遷移例である。利用者の認証成功履歴がない初期段階では、ユーザID、暗証番号が格納されており、生体認証に成功した場合は、前記利用者のユーザIDに紐づいている取引IDと、生体認証用装置IDと、時刻情報が更新される。
FIG. 6 is a data transition example of the user identification information 401 stored in the memory of the
図7は、本実施の形態における認証サーバ500が有する情報管理プログラム501で管理される、利用者識別情報511のデータ遷移例である。利用者の認証成功履歴がない初期段階では、ユーザIDが格納されており、生体認証に成功した場合は、前記利用者のユーザIDに紐づいている取引IDと、生体認証用装置IDと、時刻情報が更新される。
FIG. 7 is a data transition example of the
100・・・生体認証用端末、200・・・生体認証装置、300・・・ネットワーク1、
400・・・ICカード、500・・・認証サーバ、600・・・ネットワーク2、
700・・・端末装置、800・・・ICカードR/W、101・・・生体認証プログラム、
102・・・通信プログラム、201・・・生体情報読取り部、
202・・・ICカードR/W部、401・・・利用者識別情報(ICカード)、
402・・・生体情報、501・・・情報管理プログラム、701・・・認証プログラム
511・・・利用者識別情報(認証サーバ)
100 ... biometric authentication terminal, 200 ... biometric authentication device, 300 ...
400 ... IC card, 500 ... authentication server, 600 ...
700 ... Terminal device, 800 ... IC card R / W, 101 ... Biometric authentication program,
102 ... Communication program, 201 ... Biometric information reading unit,
202: IC card R / W unit, 401: User identification information (IC card),
402 ... Biometric information, 501 ... Information management program, 701 ... Authentication program
511 ・ ・ ・ User identification information (authentication server)
Claims (10)
前記複数の認証手段に含まれる第1の認証手段についての認証結果を記憶装置に保持しておき、
前記複数の認証手段に含まれる第2の認証手段に必要な入力を、前記利用者から受付け、
前記入力に応じて、前記第2の認証手段により認証処理を実行し、
前記第1の認証手段を実行できないと判断された場合、前記記憶装置に保持された認証結果と前記第2の認証手段による認証処理の結果に応じて、前記利用者に対する認証を行うことを特徴とする利用者認証方法。 In a user authentication method for authenticating a user using a plurality of authentication means,
The authentication result for the first authentication means included in the plurality of authentication means is held in the storage device,
Receiving input necessary for the second authentication means included in the plurality of authentication means from the user,
In response to the input, an authentication process is executed by the second authentication means,
When it is determined that the first authentication unit cannot be executed, authentication is performed on the user according to an authentication result held in the storage device and an authentication processing result by the second authentication unit. User authentication method.
前記記憶装置は、前記第1の認証手段の認証結果が肯定的な場合、当該認証に関する時刻を示す時刻情報を保持しておき、
前記利用者に対する認証に関する時刻が、前記時刻情報が時刻から一定期間内の場合、当該認証を実行することを特徴とする利用者認証方法。 In the user authentication method according to claim 1,
If the authentication result of the first authentication means is affirmative, the storage device holds time information indicating the time related to the authentication,
A user authentication method characterized in that if the time related to authentication for the user is within a certain period of time from the time, the authentication is executed.
前記第1の認証手段による時刻に前記一定時間を足しこむ計算を行うことで、データ有効期間を算出し、
前記第2の認証手段による認証の時刻が、前記データ有効期間内であるか否かにより認証を行うことを特徴とする利用者認証方法。 In the user authentication method according to claim 2,
By calculating by adding the fixed time to the time by the first authentication means, the data valid period is calculated,
A user authentication method, wherein authentication is performed based on whether or not the time of authentication by the second authentication means is within the data validity period.
前記データ有効期間の算出を、前記第1の認証処理を行うための時間に少なくとも一部を並行して実行することを特徴とする利用者認証方法。 In the user authentication method according to claim 3,
A user authentication method, wherein the calculation of the data validity period is executed at least in part in parallel with the time for performing the first authentication process.
予めICカードに、前記利用者の生体情報を格納しておき、
前記利用者が利用し、生体情報入力手段を有する第1の端末装置が、利用者から生体情報および当該利用者を識別する利用者識別情報の入力を受付け、
前記第1の端末装置が、入力された前記生体情報の受付けられた時間を検知し、
前記第1の端末装置が、前記ICカードに、入力された前記生体情報および検知された前記時間を送信し、
前記ICカードが、送信された前記生体情報および格納された前記生体情報を照合することで、前記利用者の認証を行い、
前記ICカードが、前記第1の端末装置に、前記認証結果を送信し、
前記第1の端末装置が、前記照合結果が正当な利用者と認証している場合には、検知された時間および前記利用者識別情報を、ネットワークを介して認証サーバ装置に送信し、
前記認証サーバ装置は、前記利用者識別情報および時間を対応付けて記憶しておき、
前記利用者から所定のサービス要求を受付け、前記認証サーバ装置とネットワークを介して接続される第2の端末装置が、前記利用者から利用者識別情報およびサービス要求を受付け、
前記第2の端末装置は、受付けられた前記利用者識別情報を含む認証要求を、前記認証サーバ装置へ送信し、
前記認証サーバ装置は、送信された前記利用者識別情報に対応する時間を特定して、当該時間に基づいて認証を行い、前記第2の端末装置へ当該認証の結果を通知することを特徴とする利用者認証方法。 In user authentication method using IC card,
The biometric information of the user is stored in advance in the IC card,
The first terminal device used by the user and having biometric information input means accepts input of biometric information and user identification information for identifying the user from the user,
The first terminal device detects the time when the input biometric information is received;
The first terminal device transmits the input biometric information and the detected time to the IC card,
The IC card performs authentication of the user by collating the transmitted biometric information and the stored biometric information,
The IC card transmits the authentication result to the first terminal device,
When the first terminal device authenticates the user whose verification result is valid, the detected time and the user identification information are transmitted to the authentication server device via the network,
The authentication server device stores the user identification information and time in association with each other,
Receiving a predetermined service request from the user, and a second terminal device connected to the authentication server device via a network receives user identification information and a service request from the user;
The second terminal device transmits an authentication request including the received user identification information to the authentication server device,
The authentication server device specifies a time corresponding to the transmitted user identification information, performs authentication based on the time, and notifies the second terminal device of the result of the authentication, User authentication method.
前記認証サーバ装置は、前記認証として、当該認証の時間が特定される前記時間から一定時間範囲内か否かにより認証を行うことを特徴とする利用者認証方法。 In the user authentication method according to claim 5,
The authentication server apparatus performs authentication based on whether or not the authentication time is within a certain time range from the time specified for the authentication, as the authentication.
前記第1の端末装置は、検知された時間に前記一定時間を足しこむ計算を行うことで、データ有効期間を算出して、前記認証サーバ装置に送信し、
前記認証サーバ装置は、前記認証の時間が、前記データ有効期間内であるか否かにより認証を行うことを特徴とする利用者認証方法。 In the user authentication method according to claim 6,
The first terminal device calculates a data valid period by performing a calculation that adds the fixed time to the detected time, and transmits the data valid period to the authentication server device,
The user authentication method, wherein the authentication server device performs authentication based on whether or not the authentication time is within the data validity period.
前記第1の端末装置は、前記データ有効期間の算出を、前記ICカードの利用者認証処理を行うための時間に少なくとも一部が並行して実行されるよう実行することを特徴とする利用者認証方法。 In the user authentication method according to claim 7,
The first terminal device executes the calculation of the data validity period so that at least a part thereof is executed in parallel with a time for performing user authentication processing of the IC card. Authentication method.
前記第1の端末装置は、前記利用者識別情報および時間に対して署名データを付与することで暗号化を施し、
前記第1の端末装置は、前記暗号化された利用者識別情報および時間を、前記認証サーバ装置およびICカードに送信し、
前記ICカードから前記認証サーバ装置に、前記第2の端末装置を介して、前記暗号化された利用者識別情報および時間を送信し、
前記認証サーバ装置が、前記第2の端末装置を介して送信された前記暗号化された利用者識別情報および前記時間と第1の端末装置から送信された前記暗号化された利用者識別情報および前記時間を照合することで前記認証を実行することを特徴とする利用者認証方法。 In the user authentication method according to any one of claims 5 to 8,
The first terminal device performs encryption by giving signature data to the user identification information and time,
The first terminal device transmits the encrypted user identification information and time to the authentication server device and the IC card,
Sending the encrypted user identification information and time from the IC card to the authentication server device via the second terminal device,
The authentication server device transmits the encrypted user identification information transmitted via the second terminal device and the time and the encrypted user identification information transmitted from the first terminal device; A user authentication method, wherein the authentication is executed by checking the time.
前記第1の端末装置は、前記利用者識別情報および時間に対して当該データを識別可能なワンタイムIDを付与するワンタイムID情報を作成し、
前記第1の端末装置は、前記ワンタイムID情報を、前記認証サーバ装置およびICカードに送信し、
前記ICカードから前記認証サーバ装置に、前記第2の端末装置を介して、前記ワンタイムID情報を送信し、
前記認証サーバ装置が、前記第2の端末装置を介して送信された前記ワンタイムID情報と前記第1の端末装置から送信されたワンタイムID情報を照合することで前記認証を実行することを特徴とする利用者認証方法。 In the user authentication method according to any one of claims 5 to 9,
The first terminal device creates one-time ID information that gives a one-time ID that can identify the data with respect to the user identification information and time,
The first terminal device transmits the one-time ID information to the authentication server device and the IC card,
The one-time ID information is transmitted from the IC card to the authentication server device via the second terminal device,
The authentication server device executes the authentication by collating the one-time ID information transmitted from the second terminal device with the one-time ID information transmitted from the first terminal device. A characteristic user authentication method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007114990A JP2008269511A (en) | 2007-04-25 | 2007-04-25 | User authentication method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007114990A JP2008269511A (en) | 2007-04-25 | 2007-04-25 | User authentication method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008269511A true JP2008269511A (en) | 2008-11-06 |
Family
ID=40048877
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007114990A Pending JP2008269511A (en) | 2007-04-25 | 2007-04-25 | User authentication method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008269511A (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011062364A2 (en) * | 2009-11-17 | 2011-05-26 | Choi Unho | User authentication system, user authentication apparatus, smart card, and user authentication method for ubiquitous authentication management |
JP2013504126A (en) * | 2009-09-04 | 2013-02-04 | セーケ トーマス | Personal multi-function access device with separate format for authenticating and controlling data exchange |
US9832019B2 (en) | 2009-11-17 | 2017-11-28 | Unho Choi | Authentication in ubiquitous environment |
US11328288B2 (en) | 2009-11-19 | 2022-05-10 | Unho Choi | System and method for authenticating electronic money using a smart card and a communication terminal |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000122975A (en) * | 1998-10-14 | 2000-04-28 | Toshiba Corp | User confirmation system by means of biometrics and storage medium |
JP2000338867A (en) * | 1999-05-31 | 2000-12-08 | Fujitsu Ltd | Signature forming device, signature verifying device and signature device |
JP2001175599A (en) * | 1999-12-15 | 2001-06-29 | Metro Inc | Authentication system |
JP2001273397A (en) * | 2000-03-24 | 2001-10-05 | Sanwa Bank Ltd | Cash taking-out system |
JP2002298097A (en) * | 2001-04-02 | 2002-10-11 | Nippon Telegr & Teleph Corp <Ntt> | Personal identification method and system by application |
JP2005208993A (en) * | 2004-01-23 | 2005-08-04 | Hitachi Ltd | User authentication system |
JP2007004478A (en) * | 2005-06-23 | 2007-01-11 | Oki Electric Ind Co Ltd | Personal identification system |
JP2007102777A (en) * | 2005-10-04 | 2007-04-19 | Forval Technology Inc | User authentication system and method therefor |
-
2007
- 2007-04-25 JP JP2007114990A patent/JP2008269511A/en active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000122975A (en) * | 1998-10-14 | 2000-04-28 | Toshiba Corp | User confirmation system by means of biometrics and storage medium |
JP2000338867A (en) * | 1999-05-31 | 2000-12-08 | Fujitsu Ltd | Signature forming device, signature verifying device and signature device |
JP2001175599A (en) * | 1999-12-15 | 2001-06-29 | Metro Inc | Authentication system |
JP2001273397A (en) * | 2000-03-24 | 2001-10-05 | Sanwa Bank Ltd | Cash taking-out system |
JP2002298097A (en) * | 2001-04-02 | 2002-10-11 | Nippon Telegr & Teleph Corp <Ntt> | Personal identification method and system by application |
JP2005208993A (en) * | 2004-01-23 | 2005-08-04 | Hitachi Ltd | User authentication system |
JP2007004478A (en) * | 2005-06-23 | 2007-01-11 | Oki Electric Ind Co Ltd | Personal identification system |
JP2007102777A (en) * | 2005-10-04 | 2007-04-19 | Forval Technology Inc | User authentication system and method therefor |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013504126A (en) * | 2009-09-04 | 2013-02-04 | セーケ トーマス | Personal multi-function access device with separate format for authenticating and controlling data exchange |
WO2011062364A2 (en) * | 2009-11-17 | 2011-05-26 | Choi Unho | User authentication system, user authentication apparatus, smart card, and user authentication method for ubiquitous authentication management |
WO2011062364A3 (en) * | 2009-11-17 | 2011-09-09 | Choi Unho | User authentication system, user authentication apparatus, smart card, and user authentication method for ubiquitous authentication management |
US9037851B2 (en) | 2009-11-17 | 2015-05-19 | Unho Choi | User authentication system, user authentication apparatus, smart card, and user authentication method for ubiquitous authentication management |
US9832019B2 (en) | 2009-11-17 | 2017-11-28 | Unho Choi | Authentication in ubiquitous environment |
US11005660B2 (en) | 2009-11-17 | 2021-05-11 | Unho Choi | Authentication in ubiquitous environment |
US11664996B2 (en) | 2009-11-17 | 2023-05-30 | Unho Choi | Authentication in ubiquitous environment |
US11664997B2 (en) | 2009-11-17 | 2023-05-30 | Unho Choi | Authentication in ubiquitous environment |
US11328288B2 (en) | 2009-11-19 | 2022-05-10 | Unho Choi | System and method for authenticating electronic money using a smart card and a communication terminal |
US11328289B2 (en) | 2009-11-19 | 2022-05-10 | Unho Choi | System and method for authenticating electronic money using a smart card and a communication terminal |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10142114B2 (en) | ID system and program, and ID method | |
US8661520B2 (en) | Systems and methods for identification and authentication of a user | |
US7548890B2 (en) | Systems and methods for identification and authentication of a user | |
JP4578244B2 (en) | Method for performing secure electronic transactions using portable data storage media | |
US20130246281A1 (en) | Service providing system and unit device | |
KR100882617B1 (en) | Storage medium issuing method and apparatus | |
US20100258625A1 (en) | Dynamic Card Verification Values and Credit Transactions | |
US20090293111A1 (en) | Third party system for biometric authentication | |
EP2397961A2 (en) | Registration method of biologic information, application method of using template and authentication method in biometric authentication | |
EP2348472A1 (en) | Secure transaction systems and methods | |
JP2018516505A (en) | Authentication in the ubiquitous environment | |
EP2095221A2 (en) | Systems and methods for identification and authentication of a user | |
US20080028475A1 (en) | Method For Authenticating A Website | |
JP4911595B2 (en) | Identification device, identification system and identification method | |
US20160283944A1 (en) | Method and apparatus for personal virtual authentication and authorization using digital devices and as an alternative for chip card or smart card | |
JP2008269511A (en) | User authentication method | |
KR101876672B1 (en) | Digital signature method using block chain and system performing the same | |
JP4802670B2 (en) | Cardless authentication system, cardless authentication method used in the system, and cardless authentication program | |
JP2019004475A (en) | Authentication under ubiquitous environment | |
JP2008040961A (en) | Personal identification system and personal identification method | |
KR102348823B1 (en) | System and Method for Identification Based on Finanace Card Possessed by User | |
KR100546775B1 (en) | Method for issuing a note of authentication and identification of MOC user using human features | |
JP2007128468A (en) | Ic card issuing system and ic card issuing method | |
JP2007108832A (en) | Individuals confirmation method and program and transaction processor | |
RU2573235C2 (en) | System and method for checking authenticity of identity of person accessing data over computer network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20091021 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111228 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120131 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120605 |