JP2009223638A - Biometric authentication system and method for web application - Google Patents
Biometric authentication system and method for web application Download PDFInfo
- Publication number
- JP2009223638A JP2009223638A JP2008067757A JP2008067757A JP2009223638A JP 2009223638 A JP2009223638 A JP 2009223638A JP 2008067757 A JP2008067757 A JP 2008067757A JP 2008067757 A JP2008067757 A JP 2008067757A JP 2009223638 A JP2009223638 A JP 2009223638A
- Authority
- JP
- Japan
- Prior art keywords
- information
- biometric
- mac
- biometric authentication
- browser
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、Webアプリケーションにおけるユーザ認証において、個人の生体情報を用いて認証する生体認証システム及び方法に関する。 The present invention relates to a biometric authentication system and method for authenticating using personal biometric information in user authentication in a Web application.
オンラインショッピングやインターネットバンキング、SaaS(Software As a Service)といったオンラインサービスの普及に伴いWebアプリケーションでのユーザ認証の重要性が増してきている。
そこで近年では、従来のユーザIDとユーザパスワード(以降、ユーザPWと示す)による認証に代わり、安全性の高さから、指紋や顔、指静脈といった個人の生体情報を利用した、生体認証システムの導入が注目されるようになってきた。
生体認証システムでは、初期設定時に個人の生体情報を取得し、取得した生体情報から特徴量を抽出して登録する。この登録情報を生体情報テンプレートという。そして、認証時には、再度利用者に生体情報の入力を要求し、入力された生体情報の特徴量と、登録してある生体情報テンプレートとを照合して本人か否かを判定する。
クライアント端末とオンラインサービスサーバがネットワークを介して接続されたWebアプリケーションのシステム構成において、クライアント端末を操作するユーザを生体認証する場合、一般的には、サーバがユーザの生体情報テンプレートを保持する。
クライアント端末は、認証時にユーザの生体情報を取得し、特徴量を抽出してサーバへ送信する。その後、サーバは特徴量を生体情報テンプレートと比較し、本人か否かの判定を行う。
以上のように生体認証では、第三者が容易に真似することのできない、個人の身体的特徴を認証に利用するため、従来の認証と比較し、ユーザ認証の安全性を高めることができる。
As online services such as online shopping, internet banking, and software as a service (SaaS) become more widespread, the importance of user authentication in web applications is increasing.
Therefore, in recent years, biometric authentication systems using personal biometric information such as fingerprints, faces, and finger veins have been used instead of conventional authentication using a user ID and user password (hereinafter referred to as user PW) because of their high security. The introduction has come to attract attention.
In the biometric authentication system, personal biometric information is acquired at the time of initial setting, and feature quantities are extracted from the acquired biometric information and registered. This registered information is called a biometric information template. At the time of authentication, the user is requested to input biometric information again, and the feature amount of the input biometric information is compared with the registered biometric information template to determine whether or not the user is the person.
In a system configuration of a Web application in which a client terminal and an online service server are connected via a network, when performing biometric authentication of a user who operates the client terminal, the server generally holds the user's biometric information template.
The client terminal acquires the user's biometric information at the time of authentication, extracts the feature amount, and transmits it to the server. Thereafter, the server compares the feature amount with the biometric information template and determines whether or not the user is the person.
As described above, in biometric authentication, since the physical characteristics of an individual that cannot be easily imitated by a third party are used for authentication, the security of user authentication can be improved compared to conventional authentication.
しかし一方で、生体認証を導入する事業者には、生体情報テンプレートの厳重な管理が求められる。生体情報からは、例えば、顔データから性別や人種が分かるなど,個人のプライバシ情報が抽出される危険性がある。このため、生体認証を導入する事業者は、個人情報保護の観点からも生体情報テンプレートを厳密に管理する必要がある。
また、生体情報は一人の個人が持てる数に限りがあり、所有者であっても容易に変更することができない情報である。このため、仮にサーバから生体情報テンプレートが漏洩した場合は、漏洩したテンプレートはなりすましに利用される危険性があるため二度と認証に使用できなくなるなど、システムの安全性に大きな影響を与える。
However, on the other hand, businesses that introduce biometric authentication are required to strictly manage biometric information templates. From the biometric information, for example, there is a risk that personal privacy information is extracted from the face data, such as gender and race. For this reason, a business operator who introduces biometric authentication needs to strictly manage a biometric information template from the viewpoint of protecting personal information.
Biometric information is limited to the number that an individual can have, and is information that cannot be easily changed even by the owner. For this reason, if the biometric information template is leaked from the server, the leaked template has a risk of being used for impersonation, so that it can no longer be used for authentication, which greatly affects system security.
従来、こうしたユーザのプライバシ保護や安全性の確保のために要するサーバの高い管理コストが、Webアプリケーションの認証に生体認証を導入する際の妨げになっていた
上記問題への対策として、特許文献1が提案されている。特許文献1に開示の従来技術は、初期設定時には生体情報の画像を錯乱するためのフィルタ、及び逆フィルタを作成し、生体情報の画像にこのフィルタを作用させて生体情報テンプレートを生成してサーバに記憶し、認証時には、ユーザから取得した生体情報から作成された照合画像に逆フィルタを作用させ、逆フィルタ作用後の照合画像と生体情報テンプレートの相互相関に基づいて本人か否かを判定するものである。
この従来技術によると、サーバにはフィルタによる変換後の生体情報テンプレートしか記憶されず、ユーザの元の生体情報は秘匿されるため、ユーザのプライバシを保護することができる。
また、仮に生体情報テンプレートがサーバから漏洩した場合であっても、初期設定時に作成するフィルタを変更することで、同じ生体情報から異なる生体情報テンプレートを生成することができるため、漏洩したテンプレートを無効にし、新たなテンプレートを登録し直すことでシステムの安全性を保つことができる。以上の効果により、生体認証を導入する事業者はサーバの管理コストを低減することができる。
Conventionally, the high server management cost required for protecting the privacy of users and ensuring safety has been a hindrance when biometric authentication is introduced for authentication of Web applications. Has been proposed. The prior art disclosed in Patent Document 1 creates a biometric information template by creating a filter and an inverse filter for perturbing a biometric information image at the time of initial setting, and applying the filter to the biometric information image. And at the time of authentication, an inverse filter is applied to the collation image created from the biometric information acquired from the user, and it is determined whether or not the person is the person based on the cross-correlation between the collation image after the inverse filter action and the biometric information template. Is.
According to this prior art, only the biometric information template after conversion by the filter is stored in the server, and the original biometric information of the user is concealed, so that the privacy of the user can be protected.
Even if a biometric information template is leaked from the server, it is possible to generate different biometric information templates from the same biometric information by changing the filter created at the time of initial setting. And re-registering a new template can keep the system safe. Due to the above effects, a business operator who introduces biometric authentication can reduce the management cost of the server.
ところで、近年、Webアプリケーションのクライアント側の実行環境であるブラウザについては、オフライン拡張プラグインが提案されている。オフライン拡張プラグインは、従来、ネットワークに接続可能な状態(オンライン状態)でしか使用できなかったWebアプリケーションを、ネットワーク接続が不可能な状態(オフライン状態)でも使用できるようにするために、ブラウザに機能を追加するソフトウェアである。
例えば、特許文献2には、ブラウザにローカルプロキシとアプリケーションファイル保存DBを追加し、ローカルプロキシの自動巡回プログラムによりサーバのアプリケーション管理DBに登録されているアプリケーションを自動ダウンロードし、アプリケーションファイル保存DBに保存しておき、プロキシの設定をローカルプロキシに指定しておくことにより、ブラウザから、アプリケーションファイル保存DBに保存されたアプリケーションを実行することで、オフライン状態でWebアプリケーションを利用可能にする技術が開示されている。
By the way, in recent years, an offline extension plug-in has been proposed for a browser that is an execution environment on the client side of a Web application. Offline extension plug-ins can be used by browsers so that Web applications that could only be used while connected to the network (online) can be used even when network connection is not possible (offline). Software that adds functionality.
For example, in Patent Document 2, a local proxy and an application file storage DB are added to the browser, and an application registered in the application management DB of the server is automatically downloaded by an automatic circulation program of the local proxy and stored in the application file storage DB In addition, by specifying the proxy settings as a local proxy, a technology is disclosed that makes it possible to use a Web application in an offline state by executing an application stored in the application file storage DB from a browser. ing.
また、非特許文献1には、ブラウザにローカルサーバ機能と、ローカルデータベース機能(以降、ローカルDB機能と示す)と、並列プロセス実行機能を実現するためのJavaScript(登録商標) API(Application Program Interface)追加し、Webアプリケーションをオフライン状態で実行可能にする技術が開示されている。以下では、オフライン拡張プラグインの例として、非特許文献1に開示の技術について説明する。なお、本背景技術については非特許文献2にも説明されている。 Non-Patent Document 1 discloses a JavaScript (registered trademark) API (Application Program Interface) for realizing a local server function in a browser, a local database function (hereinafter referred to as a local DB function), and a parallel process execution function. A technique for adding and enabling a Web application to be executed offline is disclosed. Hereinafter, the technique disclosed in Non-Patent Document 1 will be described as an example of an offline extension plug-in. This background art is also described in Non-Patent Document 2.
ローカルサーバ機能は、ブラウザのキャッシュ機能の拡張であり、ブラウザがオフライン状態でもHTMLページを表示したり、JavaScriptを実行できるようにするための仕組みである。
非特許文献1に記載のオフライン拡張プラグインをインストールすると、クライアント端末の記憶部にはローカルサーバ用の記憶領域が作成される。オフライン拡張プラグインは、ブラウザが要求したHTMLページやJavaScriptなどのWebリソースがローカルサーバに記憶されている場合は、当該Webリソースをサーバからダウンロードしようとするブラウザの動作を横取りし、代わりにローカルサーバから当該Webリソースを読み込ませるように動作する。
なお、ローカルサーバに記憶するWebリソースの指定は、Webアプリケーション開発者が、ローカルサーバ機能が提供するAPIを利用したJavaScriptコードを記述し、これをブラウザにダウンロードさせて実行させることで行う。
The local server function is an extension of the browser's cache function, and is a mechanism for displaying HTML pages and executing JavaScript even when the browser is offline.
When the offline extension plug-in described in Non-Patent Document 1 is installed, a storage area for the local server is created in the storage unit of the client terminal. The offline extension plug-in intercepts the operation of the browser trying to download the web resource from the server if the web resource such as HTML page or JavaScript requested by the browser is stored in the local server. Operates to load the Web resource from.
Web resources to be stored on the local server are specified by the Web application developer by writing JavaScript code that uses the API provided by the local server function, and downloading it to the browser for execution.
ローカルDB機能は、ブラウザに、JavaScriptから操作可能なリレーショナルデータベースを追加し、オフライン状態でもWebアプリケーションのデータの更新をできるようにするための仕組みである。
非特許文献1に記載のオフライン拡張プラグインをインストールすると、クライアント端末の記憶部にはローカルDB用の記憶領域が作成される。Webアプリケーション開発者は、ローカルDB機能が提供するAPIを利用したJavaScriptコードを記述し、これをブラウザにダウンロードさせて実行させることで、ローカルDB内の情報を読み書きすることができる。
The local DB function is a mechanism for adding a relational database that can be operated from JavaScript to the browser so that the data of the Web application can be updated even in an offline state.
When the offline extension plug-in described in Non-Patent Document 1 is installed, a storage area for a local DB is created in the storage unit of the client terminal. Web application developers can read and write information in the local DB by writing JavaScript code that uses the API provided by the local DB function, downloading it to the browser, and executing it.
並列プロセス実行機能は、ブラウザに、JavaScriptをバックグラウンドで実行させる機能を追加する仕組みである。
Webアプリケーションの開発者は、並列プロセス実行機能が提供するAPIを利用したJavaScriptを記述し、これをブラウザにダウンロードさせて実行させることで、ブラウザにワーカと呼ばれる別プロセスを生成させ、ワーカに任意のJavaScriptを実行させることができる。ワーカは指定されたJavaScriptを実行し、実行完了後呼び出し元のJavaScriptに実行結果を返す。
また。並列プロセス実行機能は、JavaScriptからの別オリジンのWebリソースにアクセスする仕組み(以降、クロスオリジンアクセスと示す)を提供する。ここで、オリジンとは、Webリソースに割り当てられているURLの、プロトコル・ドメイン・ポート番号の組み合わせ情報である。例えば、”http://domainA.com:80/resource/sample.js”というURLで指定されるJavaScriptファイルのオリジンは、”http://domainA.com:80”である。
The parallel process execution function is a mechanism for adding a function that allows a browser to execute JavaScript in the background.
Web application developers write JavaScript using the API provided by the parallel process execution function, download it to the browser and execute it, causing the browser to generate another process called worker, and let the worker JavaScript can be executed. The worker executes the specified JavaScript and returns the execution result to the calling JavaScript after the execution is completed.
Also. The parallel process execution function provides a mechanism for accessing another origin web resource from JavaScript (hereinafter referred to as cross-origin access). Here, the origin is the combined information of the protocol, domain, and port number of the URL assigned to the Web resource. For example, the origin of the JavaScript file specified by the URL “http://domainA.com:80/resource/sample.js” is “http://domainA.com:80”.
以下、図12を参照してクロスオリジンアクセスについて説明する。
通常、ブラウザはシングルオリジンポリシーと呼ばれる(又は、同一生成元ポリシーと呼ばれる)セキュリティルールに従って設計されており、例えば、”http://domainA.com:80”のオリジンに所属するブラウザスクリプトAは、同じオリジンに所属するWebリソースAにアクセスすることはできるが、別オリジン”http://domainB.com:80”に所属するWebリソースBにはアクセスすることができない。
しかし、並列プロセス実行機能を利用すると、予め、WebリソースBと同じオリジンに所属し、かつWebリソースBにアクセスする関数が記述されたブラウザスクリプトBがローカルサーバに記憶されていれば、ブラウザスクリプトAでワーカを生成し、生成したワーカにブラウザスクリプトBを実行させることで、ブラウザスクリプトAは、ブラウザスクリプトBを介してWebリソースBにアクセスすることができる。
Hereinafter, cross-origin access will be described with reference to FIG.
Browsers are usually designed according to security rules called single origin policies (or called the same origin policy). For example, browser script A belonging to the origin of “http://domainA.com:80” Web resource A that belongs to the same origin can be accessed, but Web resource B that belongs to another origin “http://domainB.com:80” cannot be accessed.
However, if the parallel process execution function is used, if browser script B that belongs to the same origin as Web resource B and the function that accesses Web resource B is stored in the local server in advance, browser script A The browser script A can access the Web resource B via the browser script B by generating the worker with and causing the generated worker to execute the browser script B.
特許文献1に記載の生体認証システムにあっては以下の課題がある。
第一に、プライバシ保護のために、生体情報の管理を自身の手で行いたいというユーザのニーズに応えられず、全てのユーザに生体認証を利用してもらうことが難しいという点である。
特許文献1に記載の従来技術であっても、サーバからユーザの生体情報が漏洩するリスクが完全に無くなるわけではない。仮に生体情報の変換に利用するフィルタの生成方法に不備があり、生成されるフィルタのパターンに確率的な偏りがあったり、第三者がフィルタを推測する方法が明らかになった場合などには、例えユーザ側に落ち度がなかったとしても、サーバに記憶された生体情報テンプレートからユーザの生体情報が割り出され、ユーザのプライバシが侵害される可能性がある。よって、生体認証を導入する事業者は、こうしたサーバ側の管理の不備によるプライバシ侵害のリスクを許容できないユーザに、生体認証を利用してもらえない可能性がある。
The biometric authentication system described in Patent Document 1 has the following problems.
First, for privacy protection, it is difficult for all users to use biometric authentication because it cannot meet the needs of users who want to manage biometric information with their own hands.
Even the prior art described in Patent Document 1 does not completely eliminate the risk of leakage of user biometric information from the server. If there is a flaw in the method of generating the filter used to convert biometric information, and there is a stochastic bias in the pattern of the generated filter, or if a method for guessing the filter by a third party becomes clear Even if there is no failure on the user side, the biometric information of the user is calculated from the biometric information template stored in the server, and the privacy of the user may be infringed. Therefore, there is a possibility that a business operator who introduces biometric authentication may not use biometric authentication for a user who cannot tolerate the risk of privacy infringement due to the lack of management on the server side.
第二に、サーバでの生体情報テンプレートの管理には、依然として高い管理コストがかかる点である。前述したように、特許文献1に記載の従来技術であっても、サーバからユーザの生体情報が漏洩するリスクが完全に無くなるわけではない。仮にサーバが攻撃された場合には、一度に大量のユーザの生体情報が漏洩し、システムの安全性が脅かされるとともに、生体認証を運営する事業者は社会的な信用を失う可能性がある。よって、こうした事態を避けるため、生体認証を運営する事業者は、依然として高いコストをかけてサーバを管理せざるを得ない。 Second, the management of the biometric information template at the server still requires a high management cost. As described above, even the conventional technique described in Patent Document 1 does not completely eliminate the risk of leakage of user biometric information from the server. If the server is attacked, a large amount of user biometric information leaks at once, which threatens the security of the system, and the operator operating biometric authentication may lose social trust. Therefore, in order to avoid such a situation, a business operator operating biometric authentication still has to manage the server at a high cost.
以上の従来技術の課題を踏まえ、本発明の目的は、利用者のプライバシ保護とユーザ認証の安全性を両立すると共に、サーバの管理負担を軽減した生体認証システムを提供することにある。 In light of the above-described problems of the prior art, an object of the present invention is to provide a biometric authentication system that balances user privacy protection and user authentication safety, and reduces the server management burden.
上記目的を達成するため、請求項1に記載の本発明は、オンラインサービスを提供するオンラインサービスサーバと、生体情報入力装置と記憶部とブラウザスクリプトを介して前記記憶部を操作する機能をもつブラウザとを備えるクライアント端末と、前記ブラウザにブラウザスクリプトを介して生体情報入力装置を操作する機能を追加する生体情報入力装置操作プラグインと、前記生体情報入力装置操作プラグインが提供する機能を利用してクライアント端末に生体認証を実行させるための手順を記載した生体認証スクリプトと、前記生体認証スクリプトを呼び出す生体認証依頼スクリプトとを記憶する生体認証支援サーバとで構成される生体認証システムであって、
前記オンラインサービスサーバが、
前記生体認証支援サーバへ、自身が提供するオンラインサービスのアドレス情報と、生体認証の成功後に前記ブラウザからのサービス要求を受け付けるコールバックアドレス情報とを送信し、前記生体認証支援サーバから、オンラインサービスを一意に識別するWebアプリ識別子と、前記生体認証依頼スクリプトとを受信して記憶する手段と、
前記クライアント端末が、
前記生体認証支援サーバから、オンラインサービスサーバ及び生体認証支援サーバでユーザを一意に識別するユーザ識別情報と、前記生体情報入力装置操作プラグインと、前記生体認証スクリプトとを受信して、前記記憶部に記憶する手段と、
前記クライアント端末が、
前記生体情報入力装置を起動してユーザの生体情報テンプレートを生成し、生成した生体情報テンプレートを記憶部に記憶する手段と、
前記クライアント端末が、
ブラウザを介して前記オンラインサービスサーバが提供するオンラインサービスのアドレス情報にアクセスする手段と、
前記オンラインサービスサーバが、
ブラウザからのアクセスを受けて前記生体認証依頼スクリプトをブラウザに送信し、ブラウザ上で前記生体認証依頼スクリプトを実行させて、クライアント端末の記憶部に記憶された前記生体認証スクリプトを実行する手段と、
前記クライアント端末が、
前記生体認証スクリプトの実行を受け、前記生体情報入力装置を動作させてユーザの生体情報を取得し、取得した生体情報と記憶部に記憶された生体情報テンプレートとを比較することでユーザを認証し、認証が成功した場合に、前記生体認証支援サーバに、前記ユーザ識別子をパラメータとしてコールバックアドレス情報の取得要求を送信してユーザ識別子を含むコールバックアドレス情報を取得し、ブラウザを取得したコールバックアドレス情報に接続させる手段と、
前記オンラインサービスサーバが、
ブラウザからのアクセスを受けて、コールバックアドレス情報に含まれるユーザ識別子に基づきユーザを特定して、オンラインサービスを提供する手段とを備えることを特徴とする。
In order to achieve the above object, the present invention according to claim 1 is directed to an online service server that provides an online service, a biometric information input device, a storage unit, and a browser having a function of operating the storage unit via a browser script. A biometric information input device operation plug-in for adding a function for operating the biometric information input device to the browser via a browser script, and a function provided by the biometric information input device operation plug-in A biometric authentication system including a biometric authentication script describing a procedure for causing a client terminal to perform biometric authentication, and a biometric authentication support server that stores a biometric authentication request script for calling the biometric authentication script,
The online service server is
The address information of the online service provided by itself and the callback address information for receiving the service request from the browser after successful biometric authentication are transmitted to the biometric authentication support server, and the online service is transmitted from the biometric authentication support server. Means for receiving and storing the web application identifier for uniquely identifying the biometric authentication request script;
The client terminal is
Receiving from the biometric authentication support server user identification information for uniquely identifying the user by the online service server and the biometric authentication support server, the biometric information input device operation plug-in, and the biometric authentication script; Means for storing
The client terminal is
Means for activating the biometric information input device to generate a biometric information template for the user, and storing the generated biometric information template in a storage unit;
The client terminal is
Means for accessing address information of an online service provided by the online service server via a browser;
The online service server is
Means for receiving the access from the browser, transmitting the biometric request script to the browser, causing the biometric request script to be executed on the browser, and executing the biometric script stored in the storage unit of the client terminal;
The client terminal is
The biometric authentication script is executed, the biometric information input device is operated to acquire the biometric information of the user, and the user is authenticated by comparing the acquired biometric information with the biometric information template stored in the storage unit. When the authentication is successful, a callback address information acquisition request is acquired by transmitting a callback address information acquisition request to the biometric authentication support server using the user identifier as a parameter, and the callback obtained by acquiring the browser Means for connecting to address information;
The online service server is
Means for receiving an access from a browser, specifying a user based on a user identifier included in callback address information, and providing an online service.
また、請求項2に記載の本発明は、オンラインサービスを提供するオンラインサービスサーバと、生体情報入力装置と記憶部とブラウザスクリプトを介して前記記憶部を操作する機能をもつブラウザとを備えるクライアント端末と、前記ブラウザにブラウザスクリプトを介して生体情報入力装置を操作する機能を追加する生体情報入力装置操作プラグインと、前記生体情報入力装置操作プラグインが提供する機能を利用してクライアント端末に生体認証を実行させるための手順を記載した生体認証スクリプトと、前記生体認証スクリプトを呼び出す生体認証依頼スクリプトとを記憶する生体認証支援サーバとで構成される生体認証システムであって、
前記オンラインサービスサーバが、
前記生体認証支援サーバへ、自身が提供するオンラインサービスのアドレス情報と、生体認証の成功後に前記ブラウザからのサービス要求を受け付けるコールバックアドレス情報とを送信し、前記生体認証支援サーバから、オンラインサービスを一意に識別するWebアプリ識別子と、オンラインサービス毎に異なるWebアプリ鍵と、前記生体認証依頼スクリプトとを受信して記憶する手段と、
前記クライアント端末が、
前記生体認証支援サーバから、オンラインサービスサーバ及び生体認証支援サーバでユーザを一意に識別するユーザ識別情報と、ユーザ毎に異なるユーザ鍵と、前記生体情報入力装置操作プラグインと、前記生体認証スクリプトとを受信して、前記記憶部に記憶する手段と、
前記クライアント端末が、
前記生体情報入力装置を起動してユーザの生体情報テンプレートを生成し、生成した生体情報テンプレートを記憶部に記憶する手段と、
前記クライアント端末が、
ブラウザを介して前記オンラインサービスサーバが提供するオンラインサービスのアドレス情報にアクセスする手段と、
前記オンラインサービスサーバが、
ブラウザからのアクセスを受けてWebアプリアクセス時刻を生成し、Webアプリアクセス時刻と前記Webアプリ識別情報とを連結した文字列に前記Webアプリ鍵でMACを付加してMAC付Webアプリ情報を生成し、MAC付Webアプリ情報と前記生体認証依頼スクリプトとをブラウザに送信し、ブラウザ上で前記生体認証依頼スクリプトを実行させて、MAC付Webアプリ情報を引数にクライアント端末の記憶部に記憶された前記生体認証スクリプトを実行する手段と、
前記クライアント端末が、
前記生体認証スクリプトの実行を受け、前記生体情報入力装置を動作させてユーザの生体情報を取得し、取得した生体情報と記憶部に記憶された生体情報テンプレートとを比較することでユーザを認証し、認証が成功した場合に、前記MAC付Webアプリ情報に前記ユーザ識別情報を連結した文字列に前記ユーザ鍵でMACを付加してMAC付クライアント情報を生成し、前記生体認証支援サーバに、MAC付クライアント情報をパラメータとしてコールバックアドレス情報の取得要求を送信する手段と、
前記生体認証支援サーバが、
コールバックアドレス情報の取得要求を受けて、パラメータとして取得したMAC付クライアント情報のMAC認証と、MAC付クライアント情報に含まれるMAC付Webアプリ情報のMAC認証を行い、どちらの認証にも成功した場合に、コールバック情報生成時刻を生成し、コールバック情報生成時刻とMAC付アプリ情報に含まれるWebアプリアクセス時刻との時間差が有効時間内であるかを検証し、有効時間内であった場合に、前記コールバックアドレス情報と前記ユーザ識別情報と前記コールバック情報生成時刻とを連結した文字列に前記Webアプリ鍵でMACを付加してMAC付コールバック情報を生成し、前記MAC付コールバック情報をクライアント端末へ送信する手段と、
前記クライアント端末が、
受信したMAC付コールバック情報をパラメータとして、ブラウザをMAC付コールバック情報に含まれるコールバックアドレス情報に接続させる手段と、
前記オンラインサービスサーバが、
ブラウザからのアクセスを受けて、パラメータとして取得したMAC付コールバック情報のMAC認証を行い、MAC認証が成功した場合に、現在時刻を取得し、現在時刻とMAC付コールバック情報に含まれるコールバック情報生成時刻との時間差が有効時間内であるかを検証し、有効時間内であった場合に、MAC付コールバック情報に含まれるユーザ識別子に基づきユーザを特定して、オンラインサービスを提供する手段とを備えることを特徴とする。
According to a second aspect of the present invention, there is provided a client terminal comprising an online service server for providing an online service, a biometric information input device, a storage unit, and a browser having a function of operating the storage unit via a browser script. And a biometric information input device operation plug-in for adding a function for operating the biometric information input device to the browser via a browser script, and a function provided by the biometric information input device operation plug-in. A biometric authentication system configured with a biometric authentication script that describes a procedure for executing authentication and a biometric authentication support server that stores a biometric authentication request script that calls the biometric authentication script,
The online service server is
The address information of the online service provided by itself and the callback address information for receiving the service request from the browser after successful biometric authentication are transmitted to the biometric authentication support server, and the online service is transmitted from the biometric authentication support server. Means for receiving and storing a unique web application identifier, a different web application key for each online service, and the biometric request script;
The client terminal is
From the biometric authentication support server, user identification information for uniquely identifying a user in the online service server and the biometric authentication support server, a user key different for each user, the biometric information input device operation plug-in, and the biometric authentication script, Means for receiving and storing in the storage unit;
The client terminal is
Means for activating the biometric information input device to generate a biometric information template for the user, and storing the generated biometric information template in a storage unit;
The client terminal is
Means for accessing address information of an online service provided by the online service server via a browser;
The online service server is
Web application access time is generated in response to access from a browser, and MAC application information is generated by adding MAC to the character string concatenating the web application access time and the web application identification information with the web application key. The web application information with MAC and the biometric request script are transmitted to a browser, the biometric request script is executed on the browser, and the web application information with MAC is stored in the storage unit of the client terminal as an argument. Means for executing a biometric script;
The client terminal is
The biometric authentication script is executed, the biometric information input device is operated to acquire the biometric information of the user, and the user is authenticated by comparing the acquired biometric information with the biometric information template stored in the storage unit. When the authentication is successful, the MAC with the user key is added to the character string obtained by concatenating the user identification information to the Web application information with MAC to generate client information with MAC, and the biometric authentication support server receives the MAC. Means for sending a callback address information acquisition request with attached client information as a parameter,
The biometric authentication support server is
In response to a callback address information acquisition request, when MAC authentication of the MAC-added client information acquired as a parameter and MAC authentication of the MAC-applied Web application information included in the MAC-added client information are performed, both authentications succeed Next, generate the callback information generation time, verify whether the time difference between the callback information generation time and the web application access time included in the application information with MAC is within the valid time. Generating a callback information with MAC by adding a MAC with the Web application key to a character string obtained by concatenating the callback address information, the user identification information, and the callback information generation time, and generating the callback information with MAC Means for transmitting to the client terminal;
The client terminal is
Using the received callback information with MAC as a parameter, a means for connecting the browser to the callback address information included in the callback information with MAC,
The online service server is
When MAC access callback information obtained as a parameter is MAC-authenticated from the browser and MAC authentication is successful, the current time is obtained and the callback included in the current time and MAC callback information. A means for verifying whether the time difference from the information generation time is within the valid time and, if within the valid time, specifying the user based on the user identifier included in the callback information with MAC and providing an online service It is characterized by providing.
また、請求項3に記載の本発明は、オンラインサービスを提供するオンラインサービスサーバと、生体情報入力装置と記憶部とブラウザスクリプトを介して前記記憶部を操作する機能をもつブラウザとを備えるクライアント端末と、前記ブラウザにブラウザスクリプトを介して生体情報入力装置を操作する機能を追加する生体情報入力装置操作プラグインと、前記生体情報入力装置操作プラグインが提供する機能を利用してクライアント端末に生体認証を実行させるための手順を記載した生体認証スクリプトと、前記生体認証スクリプトを呼び出す生体認証依頼スクリプトとを記憶する生体認証支援サーバとで構成される生体認証システムであって、
前記オンラインサービスサーバが、
前記生体認証支援サーバへ、自身が提供するオンラインサービスのアドレス情報と、生体認証の成功後に前記ブラウザからのサービス要求を受け付けるコールバックアドレス情報とを送信する手段と、
前記生体認証支援サーバが、
オンラインサービスを一意に識別するWebアプリ識別子と、オンラインサービス毎に異なるWebアプリ鍵と、受信したオンラインサービスのアドレス情報のオリジン情報を記載したクロスアクセス許可リストを生成し、Webアプリ識別子とWebアプリ鍵と前記生体認証依頼スクリプトとをオンラインサービスサーバへ送信する手段と、
前記クライアント端末が、
前記生体認証支援サーバから、前記ユーザ識別情報と前記ユーザ鍵と前記生体情報入力装置操作プラグインと前記生体認証スクリプトと前記クロスアクセス許可リストとを受信して記憶する手段と、
前記クライアント端末が、
前記生体情報入力装置を起動してユーザの生体情報テンプレートを生成し、生成した生体情報テンプレートを記憶部に記憶する手段と、
前記クライアント端末が、
ブラウザを介して前記オンラインサービスサーバが提供するオンラインサービスのアドレス情報にアクセスする手段と、
前記オンラインサービスサーバが、
ブラウザからのアクセスを受けてWebアプリアクセス時刻を生成し、Webアプリアクセス時刻と前記Webアプリ識別情報とを連結した文字列に前記Webアプリ鍵でMACを付加してMAC付Webアプリ情報を生成し、MAC付Webアプリ情報と前記生体認証依頼スクリプトとをブラウザに送信し、ブラウザ上で前記生体認証依頼スクリプトを実行させて、MAC付Webアプリ情報を引数にクライアント端末の記憶部に記憶された前記生体認証スクリプトを実行する手段と、
前記クライアント端末が、
前記生体認証スクリプトの実行を受け、生体認証支援サーバに、クロスアクセス許可リストの更新チェック要求を送信して生体認証支援サーバから最新のクロスアクセス許可リストを受信して記憶部に記憶し、生体認証スクリプトの呼び出し元のオリジン情報を取得して、呼び出し元オリジン情報が、記憶部に記憶されているクロスアクセス許可リストに含まれるかを検証し、含まれていた場合に、前記生体情報入力装置を動作させてユーザの生体情報を取得し、取得した生体情報と記憶部に記憶された生体情報テンプレートとを比較することでユーザを認証し、認証が成功した場合に、前記MAC付Webアプリ情報に前記ユーザ識別情報を連結した文字列に前記ユーザ鍵でMACを付加してMAC付クライアント情報を生成し、前記生体認証支援サーバに、MAC付クライアント情報をパラメータとしてコールバックアドレス情報の取得要求を送信する手段と、
前記生体認証支援サーバが、
コールバックアドレス情報の取得要求を受けて、パラメータとして取得したMAC付クライアント情報のMAC認証と、MAC付クライアント情報に含まれるMAC付Webアプリ情報のMAC認証を行い、どちらの認証にも成功した場合に、コールバック情報生成時刻を生成し、コールバック情報生成時刻とMAC付アプリ情報に含まれるWebアプリアクセス時刻との時間差が有効時間内であるかを検証し、有効時間内であった場合に、前記コールバックアドレス情報と前記ユーザ識別情報と前記コールバック情報生成時刻とを連結した文字列に前記Webアプリ鍵でMACを付加してMAC付コールバック情報を生成し、前記MAC付コールバック情報をクライアント端末へ送信する手段と、
前記クライアント端末が、
受信したMAC付コールバック情報をパラメータとして、ブラウザをMAC付コールバック情報に含まれるコールバックアドレス情報に接続させる手段と、
前記オンラインサービスサーバが、
ブラウザからのアクセスを受けて、パラメータとして取得したMAC付コールバック情報のMAC認証を行い、MAC認証が成功した場合に、現在時刻を取得し、現在時刻とMAC付コールバック情報に含まれるコールバック情報生成時刻との時間差が有効時間内であるかを検証し、有効時間内であった場合に、MAC付コールバック情報に含まれるユーザ識別子に基づきユーザを特定して、オンラインサービスを提供する手段とを備えることを特徴とする。
According to a third aspect of the present invention, there is provided a client terminal comprising an online service server for providing an online service, a biometric information input device, a storage unit, and a browser having a function of operating the storage unit via a browser script. And a biometric information input device operation plug-in for adding a function for operating the biometric information input device to the browser via a browser script, and a function provided by the biometric information input device operation plug-in. A biometric authentication system configured with a biometric authentication script that describes a procedure for executing authentication and a biometric authentication support server that stores a biometric authentication request script that calls the biometric authentication script,
The online service server is
Means for transmitting to the biometric authentication support server address information of an online service provided by itself and callback address information for accepting a service request from the browser after successful biometric authentication;
The biometric authentication support server is
A web application identifier that uniquely identifies the online service, a web application key that differs for each online service, and a cross-access permission list that includes the origin information of the received online service address information is generated. And means for transmitting the biometric authentication request script to an online service server,
The client terminal is
Means for receiving and storing the user identification information, the user key, the biometric information input device operation plug-in, the biometric authentication script, and the cross access permission list from the biometric authentication support server;
The client terminal is
Means for activating the biometric information input device to generate a biometric information template for the user, and storing the generated biometric information template in a storage unit;
The client terminal is
Means for accessing address information of an online service provided by the online service server via a browser;
The online service server is
Web application access time is generated in response to access from a browser, and MAC application information is generated by adding MAC to the character string concatenating the web application access time and the web application identification information with the web application key. The web application information with MAC and the biometric request script are transmitted to a browser, the biometric request script is executed on the browser, and the web application information with MAC is stored in the storage unit of the client terminal as an argument. Means for executing a biometric script;
The client terminal is
Upon execution of the biometric authentication script, a biometric authentication support server is sent an update check request for a cross access permission list, and the latest cross access permission list is received from the biometric authentication support server and stored in the storage unit, and biometric authentication is performed. The origin information of the caller of the script is acquired, and it is verified whether the caller origin information is included in the cross-access permission list stored in the storage unit. The biometric information of the user is acquired by operating, and the user is authenticated by comparing the acquired biometric information with the biometric information template stored in the storage unit. The MAC with the user key is added to the character string concatenated with the user identification information to generate client information with MAC, and the biometric authentication support server It means for transmitting a request for call-back address information client information with MAC as a parameter,
The biometric authentication support server is
In response to a callback address information acquisition request, when MAC authentication of the MAC-added client information acquired as a parameter and MAC authentication of the MAC-applied Web application information included in the MAC-added client information are performed, both authentications succeed Next, generate the callback information generation time, verify whether the time difference between the callback information generation time and the web application access time included in the application information with MAC is within the valid time. Generating a callback information with MAC by adding a MAC with the Web application key to a character string obtained by concatenating the callback address information, the user identification information, and the callback information generation time, and generating the callback information with MAC Means for transmitting to the client terminal;
The client terminal is
Using the received callback information with MAC as a parameter, a means for connecting the browser to the callback address information included in the callback information with MAC,
The online service server is
When MAC access callback information obtained as a parameter is MAC-authenticated from the browser and MAC authentication is successful, the current time is obtained and the callback included in the current time and MAC callback information. A means for verifying whether the time difference from the information generation time is within the valid time and, if within the valid time, specifying the user based on the user identifier included in the callback information with MAC and providing an online service It is characterized by providing.
また、請求項4に記載の本発明は、オンラインサービスを提供するオンラインサービスサーバと、生体情報入力装置と記憶部とブラウザスクリプトを介して前記記憶部を操作する機能をもつブラウザとを備えるクライアント端末と、前記ブラウザにブラウザスクリプトを介して生体情報入力装置を操作する機能を追加する生体情報入力装置操作プラグインと、前記生体情報入力装置操作プラグインが提供する機能を利用してクライアント端末に生体認証を実行させるための手順を記載した生体認証スクリプトと、前記生体認証スクリプトを呼び出す生体認証依頼スクリプトとを記憶する生体認証支援サーバとで構成される生体認証システムにおける認証方法であって、
前記オンラインサービスサーバが、
前記生体認証支援サーバへ、自身が提供するオンラインサービスのアドレス情報と、生体認証の成功後に前記ブラウザからのサービス要求を受け付けるコールバックアドレス情報とを送信し、前記生体認証支援サーバから、オンラインサービスを一意に識別するWebアプリ識別子と、前記生体認証依頼スクリプトとを受信して記憶するステップと、
前記クライアント端末が、
前記生体認証支援サーバから、オンラインサービスサーバ及び生体認証支援サーバでユーザを一意に識別するユーザ識別情報と、前記生体情報入力装置操作プラグインと、前記生体認証スクリプトとを受信して、前記記憶部に記憶するステップと、
前記クライアント端末が、
前記生体情報入力装置を起動してユーザの生体情報テンプレートを生成し、生成した生体情報テンプレートを記憶部に記憶するステップと、
前記クライアント端末が、
ブラウザを介して前記オンラインサービスサーバが提供するオンラインサービスのアドレス情報にアクセスするステップと、
前記オンラインサービスサーバが、
ブラウザからのアクセスを受けて前記生体認証依頼スクリプトをブラウザに送信し、ブラウザ上で前記生体認証依頼スクリプトを実行させて、クライアント端末の記憶部に記憶された前記生体認証スクリプトを実行するステップと、
前記クライアント端末が、
前記生体認証スクリプトの実行を受け、前記生体情報入力装置を動作させてユーザの生体情報を取得し、取得した生体情報と記憶部に記憶された生体情報テンプレートとを比較することでユーザを認証し、認証が成功した場合に、前記生体認証支援サーバに、前記ユーザ識別子をパラメータとしてコールバックアドレス情報の取得要求を送信してユーザ識別子を含むコールバックアドレス情報を取得し、ブラウザを取得したコールバックアドレス情報に接続させるステップと、
前記オンラインサービスサーバが、
ブラウザからのアクセスを受けて、コールバックアドレス情報に含まれるユーザ識別子に基づきユーザを特定して、オンラインサービスを提供するステップとを備えることを特徴とする。
According to a fourth aspect of the present invention, there is provided a client terminal comprising an online service server for providing an online service, a biometric information input device, a storage unit, and a browser having a function of operating the storage unit via a browser script. And a biometric information input device operation plug-in for adding a function for operating the biometric information input device to the browser via a browser script, and a function provided by the biometric information input device operation plug-in. An authentication method in a biometric authentication system including a biometric authentication script that describes a procedure for executing authentication and a biometric authentication support server that stores a biometric authentication request script that calls the biometric authentication script,
The online service server is
The address information of the online service provided by itself and the callback address information for receiving the service request from the browser after successful biometric authentication are transmitted to the biometric authentication support server, and the online service is transmitted from the biometric authentication support server. Receiving and storing a web application identifier for uniquely identifying the biometric authentication request script;
The client terminal is
Receiving from the biometric authentication support server user identification information for uniquely identifying the user by the online service server and the biometric authentication support server, the biometric information input device operation plug-in, and the biometric authentication script; The step of storing in
The client terminal is
Activating the biometric information input device to generate a biometric information template for the user, and storing the generated biometric information template in a storage unit;
The client terminal is
Accessing address information of an online service provided by the online service server via a browser;
The online service server is
Receiving the access from the browser, transmitting the biometric request script to the browser, causing the biometric request script to be executed on the browser, and executing the biometric script stored in the storage unit of the client terminal;
The client terminal is
The biometric authentication script is executed, the biometric information input device is operated to acquire the biometric information of the user, and the user is authenticated by comparing the acquired biometric information with the biometric information template stored in the storage unit. When the authentication is successful, a callback address information acquisition request is acquired by transmitting a callback address information acquisition request to the biometric authentication support server using the user identifier as a parameter, and the callback obtained by acquiring the browser Connecting to address information;
The online service server is
Receiving an access from a browser, specifying a user based on a user identifier included in callback address information, and providing an online service.
また、請求項5に記載の本発明は、オンラインサービスを提供するオンラインサービスサーバと、生体情報入力装置と記憶部とブラウザスクリプトを介して前記記憶部を操作する機能をもつブラウザとを備えるクライアント端末と、前記ブラウザにブラウザスクリプトを介して生体情報入力装置を操作する機能を追加する生体情報入力装置操作プラグインと、前記生体情報入力装置操作プラグインが提供する機能を利用してクライアント端末に生体認証を実行させるための手順を記載した生体認証スクリプトと、前記生体認証スクリプトを呼び出す生体認証依頼スクリプトとを記憶する生体認証支援サーバとで構成される生体認証システムにおける認証方法であって、
前記オンラインサービスサーバが、
前記生体認証支援サーバへ、自身が提供するオンラインサービスのアドレス情報と、生体認証の成功後に前記ブラウザからのサービス要求を受け付けるコールバックアドレス情報とを送信し、前記生体認証支援サーバから、オンラインサービスを一意に識別するWebアプリ識別子と、オンラインサービス毎に異なるWebアプリ鍵と、前記生体認証依頼スクリプトとを受信して記憶するステップと、
前記クライアント端末が、
前記生体認証支援サーバから、オンラインサービスサーバ及び生体認証支援サーバでユーザを一意に識別するユーザ識別情報と、ユーザ毎に異なるユーザ鍵と、前記生体情報入力装置操作プラグインと、前記生体認証スクリプトとを受信して、前記記憶部に記憶するステップと、
前記クライアント端末が、
前記生体情報入力装置を起動してユーザの生体情報テンプレートを生成し、生成した生体情報テンプレートを記憶部に記憶するステップと、
前記クライアント端末が、
ブラウザを介して前記オンラインサービスサーバが提供するオンラインサービスのアドレス情報にアクセスするステップと、
前記オンラインサービスサーバが、
ブラウザからのアクセスを受けてWebアプリアクセス時刻を生成し、Webアプリアクセス時刻と前記Webアプリ識別情報とを連結した文字列に前記Webアプリ鍵でMACを付加してMAC付Webアプリ情報を生成し、MAC付Webアプリ情報と前記生体認証依頼スクリプトとをブラウザに送信し、ブラウザ上で前記生体認証依頼スクリプトを実行させて、MAC付Webアプリ情報を引数にクライアント端末の記憶部に記憶された前記生体認証スクリプトを実行するステップと、
前記クライアント端末が、
前記生体認証スクリプトの実行を受け、前記生体情報入力装置を動作させてユーザの生体情報を取得し、取得した生体情報と記憶部に記憶された生体情報テンプレートとを比較することでユーザを認証し、認証が成功した場合に、前記MAC付Webアプリ情報に前記ユーザ識別情報を連結した文字列に前記ユーザ鍵でMACを付加してMAC付クライアント情報を生成し、前記生体認証支援サーバに、MAC付クライアント情報をパラメータとしてコールバックアドレス情報の取得要求を送信するステップと、
前記生体認証支援サーバが、
コールバックアドレス情報の取得要求を受けて、パラメータとして取得したMAC付クライアント情報のMAC認証と、MAC付クライアント情報に含まれるMAC付Webアプリ情報のMAC認証を行い、どちらの認証にも成功した場合に、コールバック情報生成時刻を生成し、コールバック情報生成時刻とMAC付アプリ情報に含まれるWebアプリアクセス時刻との時間差が有効時間内であるかを検証し、有効時間内であった場合に、前記コールバックアドレス情報と前記ユーザ識別情報と前記コールバック情報生成時刻とを連結した文字列に前記Webアプリ鍵でMACを付加してMAC付コールバック情報を生成し、前記MAC付コールバック情報をクライアント端末へ送信するステップと、
前記クライアント端末が、
受信したMAC付コールバック情報をパラメータとして、ブラウザをMAC付コールバック情報に含まれるコールバックアドレス情報に接続させるステップと、
前記オンラインサービスサーバが、
ブラウザからのアクセスを受けて、パラメータとして取得したMAC付コールバック情報のMAC認証を行い、MAC認証が成功した場合に、現在時刻を取得し、現在時刻とMAC付コールバック情報に含まれるコールバック情報生成時刻との時間差が有効時間内であるかを検証し、有効時間内であった場合に、MAC付コールバック情報に含まれるユーザ識別子に基づきユーザを特定して、オンラインサービスを提供するステップとを備えることを特徴とする。
According to a fifth aspect of the present invention, there is provided a client terminal comprising an online service server for providing an online service, a biometric information input device, a storage unit, and a browser having a function of operating the storage unit via a browser script. And a biometric information input device operation plug-in for adding a function for operating the biometric information input device to the browser via a browser script, and a function provided by the biometric information input device operation plug-in. An authentication method in a biometric authentication system including a biometric authentication script that describes a procedure for executing authentication and a biometric authentication support server that stores a biometric authentication request script that calls the biometric authentication script,
The online service server is
The address information of the online service provided by itself and the callback address information for receiving the service request from the browser after successful biometric authentication are transmitted to the biometric authentication support server, and the online service is transmitted from the biometric authentication support server. Receiving and storing a web application identifier that uniquely identifies, a web application key that is different for each online service, and the biometric request script;
The client terminal is
From the biometric authentication support server, user identification information for uniquely identifying a user in the online service server and the biometric authentication support server, a user key different for each user, the biometric information input device operation plug-in, and the biometric authentication script, And storing in the storage unit;
The client terminal is
Activating the biometric information input device to generate a biometric information template for the user, and storing the generated biometric information template in a storage unit;
The client terminal is
Accessing address information of an online service provided by the online service server via a browser;
The online service server is
Web application access time is generated in response to access from a browser, and MAC application information is generated by adding MAC to the character string concatenating the web application access time and the web application identification information with the web application key. The web application information with MAC and the biometric request script are transmitted to a browser, the biometric request script is executed on the browser, and the web application information with MAC is stored in the storage unit of the client terminal as an argument. Executing a biometric script;
The client terminal is
The biometric authentication script is executed, the biometric information input device is operated to acquire the biometric information of the user, and the user is authenticated by comparing the acquired biometric information with the biometric information template stored in the storage unit. When the authentication is successful, the MAC with the user key is added to the character string obtained by concatenating the user identification information to the Web application information with MAC to generate client information with MAC, and the biometric authentication support server receives the MAC. Sending callback address information acquisition request with attached client information as a parameter;
The biometric authentication support server is
In response to a callback address information acquisition request, when MAC authentication of the MAC-added client information acquired as a parameter and MAC authentication of the MAC-applied Web application information included in the MAC-added client information are performed, both authentications succeed Next, generate the callback information generation time, verify whether the time difference between the callback information generation time and the web application access time included in the application information with MAC is within the valid time. Generating a callback information with MAC by adding a MAC with the Web application key to a character string obtained by concatenating the callback address information, the user identification information, and the callback information generation time, and generating the callback information with MAC Sending to the client terminal;
The client terminal is
Using the received callback information with MAC as a parameter, connecting the browser to the callback address information included in the callback information with MAC, and
The online service server is
When MAC access callback information obtained as a parameter is MAC-authenticated from the browser and MAC authentication is successful, the current time is obtained and the callback included in the current time and MAC callback information. A step of verifying whether the time difference from the information generation time is within the valid time, and if it is within the valid time, specifying a user based on the user identifier included in the callback information with MAC and providing an online service It is characterized by providing.
また、請求項6に記載の本発明は、オンラインサービスを提供するオンラインサービスサーバと、生体情報入力装置と記憶部とブラウザスクリプトを介して前記記憶部を操作する機能をもつブラウザとを備えるクライアント端末と、前記ブラウザにブラウザスクリプトを介して生体情報入力装置を操作する機能を追加する生体情報入力装置操作プラグインと、前記生体情報入力装置操作プラグインが提供する機能を利用してクライアント端末に生体認証を実行させるための手順を記載した生体認証スクリプトと、前記生体認証スクリプトを呼び出す生体認証依頼スクリプトとを記憶する生体認証支援サーバとで構成される生体認証システムにおける認証方法であって、
前記オンラインサービスサーバが、
前記生体認証支援サーバへ、自身が提供するオンラインサービスのアドレス情報と、生体認証の成功後に前記ブラウザからのサービス要求を受け付けるコールバックアドレス情報とを送信するステップと、
前記生体認証支援サーバが、
オンラインサービスを一意に識別するWebアプリ識別子と、オンラインサービス毎に異なるWebアプリ鍵と、受信したオンラインサービスのアドレス情報のオリジン情報を記載したクロスアクセス許可リストを生成し、Webアプリ識別子とWebアプリ鍵と前記生体認証依頼スクリプトとをオンラインサービスサーバへ送信するステップと、
前記クライアント端末が、
前記生体認証支援サーバから、前記ユーザ識別情報と前記ユーザ鍵と前記生体情報入力装置操作プラグインと前記生体認証スクリプトと前記クロスアクセス許可リストとを受信して記憶するステップと、
前記クライアント端末が、
前記生体情報入力装置を起動してユーザの生体情報テンプレートを生成し、生成した生体情報テンプレートを記憶部に記憶するステップと、
前記クライアント端末が、
ブラウザを介して前記オンラインサービスサーバが提供するオンラインサービスのアドレス情報にアクセスするステップと、
前記オンラインサービスサーバが、
ブラウザからのアクセスを受けてWebアプリアクセス時刻を生成し、Webアプリアクセス時刻と前記Webアプリ識別情報とを連結した文字列に前記Webアプリ鍵でMACを付加してMAC付Webアプリ情報を生成し、MAC付Webアプリ情報と前記生体認証依頼スクリプトとをブラウザに送信し、ブラウザ上で前記生体認証依頼スクリプトを実行させて、MAC付Webアプリ情報を引数にクライアント端末の記憶部に記憶された前記生体認証スクリプトを実行するステップと、
前記クライアント端末が、
前記生体認証スクリプトの実行を受け、生体認証支援サーバに、クロスアクセス許可リストの更新チェック要求を送信して生体認証支援サーバから最新のクロスアクセス許可リストを受信して記憶部に記憶し、生体認証スクリプトの呼び出し元のオリジン情報を取得して、呼び出し元オリジン情報が、記憶部に記憶されているクロスアクセス許可リストに含まれるかを検証し、含まれていた場合に、前記生体情報入力装置を動作させてユーザの生体情報を取得し、取得した生体情報と記憶部に記憶された生体情報テンプレートとを比較することでユーザを認証し、認証が成功した場合に、前記MAC付Webアプリ情報に前記ユーザ識別情報を連結した文字列に前記ユーザ鍵でMACを付加してMAC付クライアント情報を生成し、前記生体認証支援サーバに、MAC付クライアント情報をパラメータとしてコールバックアドレス情報の取得要求を送信するステップと、
前記生体認証支援サーバが、
コールバックアドレス情報の取得要求を受けて、パラメータとして取得したMAC付クライアント情報のMAC認証と、MAC付クライアント情報に含まれるMAC付Webアプリ情報のMAC認証を行い、どちらの認証にも成功した場合に、コールバック情報生成時刻を生成し、コールバック情報生成時刻とMAC付アプリ情報に含まれるWebアプリアクセス時刻との時間差が有効時間内であるかを検証し、有効時間内であった場合に、前記コールバックアドレス情報と前記ユーザ識別情報と前記コールバック情報生成時刻とを連結した文字列に前記Webアプリ鍵でMACを付加してMAC付コールバック情報を生成し、前記MAC付コールバック情報をクライアント端末へ送信するステップと、
前記クライアント端末が、
受信したMAC付コールバック情報をパラメータとして、ブラウザをMAC付コールバック情報に含まれるコールバックアドレス情報に接続させるステップと、
前記オンラインサービスサーバが、
ブラウザからのアクセスを受けて、パラメータとして取得したMAC付コールバック情報のMAC認証を行い、MAC認証が成功した場合に、現在時刻を取得し、現在時刻とMAC付コールバック情報に含まれるコールバック情報生成時刻との時間差が有効時間内であるかを検証し、有効時間内であった場合に、MAC付コールバック情報に含まれるユーザ識別子に基づきユーザを特定して、オンラインサービスを提供するステップとを備えることを特徴とする。
According to a sixth aspect of the present invention, there is provided a client terminal comprising an online service server for providing an online service, a biometric information input device, a storage unit, and a browser having a function of operating the storage unit via a browser script. And a biometric information input device operation plug-in for adding a function for operating the biometric information input device to the browser via a browser script, and a function provided by the biometric information input device operation plug-in. An authentication method in a biometric authentication system including a biometric authentication script that describes a procedure for executing authentication and a biometric authentication support server that stores a biometric authentication request script that calls the biometric authentication script,
The online service server is
Transmitting to the biometric authentication support server address information of an online service provided by itself and callback address information for accepting a service request from the browser after successful biometric authentication;
The biometric authentication support server is
Generate a web application identifier that uniquely identifies the online service, a web application key that differs for each online service, and a cross-access permission list that contains the origin information of the received online service address information. Transmitting the biometric authentication request script to an online service server;
The client terminal is
Receiving and storing the user identification information, the user key, the biometric information input device operation plug-in, the biometric authentication script, and the cross access permission list from the biometric authentication support server;
The client terminal is
Activating the biometric information input device to generate a biometric information template for the user, and storing the generated biometric information template in a storage unit;
The client terminal is
Accessing address information of an online service provided by the online service server via a browser;
The online service server is
Web application access time is generated in response to access from a browser, and MAC application information is generated by adding MAC to the character string concatenating the web application access time and the web application identification information with the web application key. The web application information with MAC and the biometric request script are transmitted to a browser, the biometric request script is executed on the browser, and the web application information with MAC is stored in the storage unit of the client terminal as an argument. Executing a biometric script;
The client terminal is
Upon execution of the biometric authentication script, a biometric authentication support server is sent an update check request for a cross access permission list, and the latest cross access permission list is received from the biometric authentication support server and stored in the storage unit, and biometric authentication is performed. The origin information of the caller of the script is acquired, and it is verified whether the caller origin information is included in the cross-access permission list stored in the storage unit. The biometric information of the user is acquired by operating, and the user is authenticated by comparing the acquired biometric information with the biometric information template stored in the storage unit. The MAC with the user key is added to the character string concatenated with the user identification information to generate client information with MAC, and the biometric authentication support server Sending a request for call-back address information client information with MAC as a parameter,
The biometric authentication support server is
In response to a callback address information acquisition request, when MAC authentication of the MAC-added client information acquired as a parameter and MAC authentication of the MAC-applied Web application information included in the MAC-added client information are performed, both authentications succeed Next, generate the callback information generation time, verify whether the time difference between the callback information generation time and the web application access time included in the application information with MAC is within the valid time. Generating a callback information with MAC by adding a MAC with the Web application key to a character string obtained by concatenating the callback address information, the user identification information, and the callback information generation time, and generating the callback information with MAC Sending to the client terminal;
The client terminal is
Using the received callback information with MAC as a parameter, connecting the browser to the callback address information included in the callback information with MAC, and
The online service server is
When MAC access callback information obtained as a parameter is MAC-authenticated from the browser and MAC authentication is successful, the current time is obtained and the callback included in the current time and MAC callback information. A step of verifying whether the time difference from the information generation time is within the valid time, and if it is within the valid time, specifying a user based on the user identifier included in the callback information with MAC and providing an online service It is characterized by providing.
本発明によれば、オンラインサービスを利用するユーザは、プライバシ情報である生体情報の管理をオンラインサービスを提供する事業者に委ねることなく、自身で管理しながら、生体認証を利用できるようになる。
これにより、生体認証を導入する事業者は、より多くのユーザに生体認証利用してもらえることが期待できる。
また、オンラインサービスを提供する事業者は、サーバ側でユーザの生体情報テンプレートを管理する必要がなくなるため、サーバの管理コストを大幅に低減できるとともに、サーバが攻撃を受けて、一度に大量のユーザの生体情報が漏洩するリスクを回避することができる。
以上の効果により、利用者のプライバシ保護とユーザ認証の安全性を両立すると共に、サーバの管理負担を軽減した生体認証システムを実現することができる。
According to the present invention, a user who uses an online service can use biometric authentication while managing himself / herself without entrusting management of biometric information, which is privacy information, to a provider providing the online service.
Accordingly, a business operator who introduces biometric authentication can expect more users to use biometric authentication.
In addition, since the provider providing the online service does not have to manage the user's biometric information template on the server side, the management cost of the server can be greatly reduced. The risk of leaking biometric information can be avoided.
With the above effects, it is possible to realize a biometric authentication system that balances user privacy protection and user authentication safety and reduces the management burden of the server.
以下に、本発明を実施する場合の一形態を図面を参照して具体的に説明する。
なお、本実施形態では、既にオフライン拡張プラグインがインストールされたブラウザを対象に、新たに生体情報入力装置操作プラグインを追加し、生体認証システムを実現する形態について説明する。
図1は、本発明に係る生体認証システムの実施の形態を示すシステム構成図である。
本発明の生体認証システムは、クライアント端末101と生体認証支援サーバ104とオンラインサービスサーバ105がインターネット等のネットワーク103で接続された構成をとる。さらに、クライアント端末101には生体情報入力装置102が接続される。
クライアント端末101は、Webアプリケーションのサービスを受けるユーザが操作する端末であり、少なくとも、オフライン拡張プラグイン107と生体情報入力装置操作プラグイン108がインストールされたブラウザ106、及び、生体認証スクリプト110を記憶する記憶部109を備える。
Hereinafter, an embodiment for carrying out the present invention will be specifically described with reference to the drawings.
In the present embodiment, a mode in which a biometric authentication system is realized by adding a biometric information input device operation plug-in to a browser in which an offline extension plug-in has already been installed will be described.
FIG. 1 is a system configuration diagram showing an embodiment of a biometric authentication system according to the present invention.
The biometric authentication system of the present invention has a configuration in which a
The
生体情報入力装置102は、クライアント端末に接続される、指紋、虹彩、静脈パターンなどの生体情報の入力装置である。
生体認証支援サーバ104は、認証に必要なプログラムやデータをクライアント端末101とオンラインサービスサーバ105に提供するサーバである。
生体認証支援サーバ104は、後述する本認証システムの初期設定処理で、少なくとも、クライアント端末101へ生体情報入力装置操作プラグイン108と生体認証スクリプト110を発行し、オンラインサービスサーバ105へ生体認証依頼スクリプト112を発行する。
オンラインサービスサーバ105は、ブラウザ106を介してユーザにオンラインサービスを提供するサーバであって、少なくとも、生体認証依頼スクリプト112を含むWebアプリプログラム111を備える。
次に図2〜4を使用して、クライアント端末101、生体認証支援サーバ104、オンラインサービスサーバ105の詳細な構成をそれぞれ説明する。
図2は、クライアント端末101の構成を示す機能ブロック図である。
クライアント端末101は、CPU201とメモリ202と記憶部204、及び図示しないキーボード等の入力装置やディスプレイ等の出力装置が、バス203で接続された構成をとる。
メモリ202には、ブラウザ205がロードされ実行される。ブラウザ205は、オフライン拡張プラグイン208や、生体情報入力装置操作プラグイン209を備え、オンラインサービスサーバから送信されたHTMLページ206を出力装置に表示する。記憶部204には、オフライン拡張プラグインの機能によりローカルサーバ214やローカルDB217が作成される。
HTMLページ206は、ブラウザからの要求に応じてオンラインサービスサーバ105上で実行されるWebアプリプログラム111が、実行結果としてブラウザに返す情報である。
生体認証依頼スクリプト207は、HTMLページ206から呼び出されるブラウザスクリプトである。ブラウザスクリプトとは、ブラウザ上で実行されるプログラムであって、例えばJavaScriptである。
The biometric
The biometric
The biometric
The
Next, detailed configurations of the
FIG. 2 is a functional block diagram showing the configuration of the
The
A
The
The biometric
生体認証依頼スクリプト207は、後述するオンラインサービスサーバ105の初期設定処理において、オンラインサービスサーバの管理者により、生体認証支援サーバ104からダウンロードされてWebアプリプログラム111に埋め込まれる。そして、生体認証が完了しない状態でWebアプリプログラムが実行された場合には、オンラインサービスサーバ105からブラウザへ、生体認証依頼スクリプト207を含むHTMLページ206が返される。
オフライン拡張プラグイン208は、ブラウザにローカルサーバ機能とローカルDB機能と並列プロセス実行機能を追加するプログラムである。
生体情報入力装置操作プラグイン209は、ブラウザに生体情報入力装置102を操作するためのブラウザスクリプトAPI(Application Program Interface)を提供するプログラムである。本実施例では、生体情報入力装置操作プラグインは、内蔵する生体情報登録プログラム212とコールバック情報取得プログラム213を、ブラウザスクリプトから呼び出し可能にするためのAPIを提供する。さらに、ユーザIDハッシュ210とユーザ鍵211を保持する。
The biometric
The offline extension plug-in 208 is a program that adds a local server function, a local DB function, and a parallel process execution function to the browser.
The biometric information input device operation plug-in 209 is a program that provides a browser script API (Application Program Interface) for operating the biometric
ユーザIDハッシュ210は、生体認証支援サーバ104が生成してユーザに対して発行する情報であり、生体認証支援サーバ104とオンラインサービスサーバ105において、ユーザを一意に識別するための識別子である。
ユーザ鍵211は、後述するクライアント端末の初期設定処理において生体認証支援サーバ104が生成し、クライアント端末に対して発行する情報であり、クライアント端末と生体認証支援サーバにおけるMAC(Message Authentication Code)の付与と認証に使用する鍵情報である。
生体認証スクリプト215は、生体認証依頼スクリプト207から呼び出されるブラウザスクリプトである。生体認証スクリプト215は、後述するクライアント端末の初期設定処理により、生体認証支援サーバ104からダウンロードされてローカルサーバ214に記憶される。生体認証スクリプトは、生体情報入力装置操作プラグイン209が提供するAPIを利用したブラウザスクリプトであり、生体情報登録プログラム212やコールバック情報取得プログラム213を呼び出す。
クロスアクセス許可リスト216は、生体認証スクリプト215の実行を許可する呼び出し元オリジンのリストである。
The
The
The
The cross
図3は、生体認証支援サーバ104の構成を示す機能ブロック図である。
生体認証支援サーバ104は、CPU301とメモリ302と記憶部304、及び図示しないキーボード等の入力装置やディスプレイ等の出力装置が、バス303で接続される構成をとる。
記憶部304には、生体認証スクリプト305、生体認証依頼スクリプト306、コールバック情報提供Webサービス307、クロスアクセス許可リスト308、クライアントバージョン管理ファイル309、Webアプリ情報管理テーブル310、ユーザ情報管理テーブル311が記憶される。コールバック情報提供Webサービス307は適宜メモリ302にロードされて実行される。
なお、本図の生体認証スクリプト305と生体認証依頼スクリプト306とクロスアクセス許可リスト308は、図2の生体認証スクリプト215、生体認証依頼スクリプト207、クロスアクセス許可リスト216と同一のものである。
FIG. 3 is a functional block diagram showing the configuration of the biometric
The biometric
The
The
コールバック情報提供Webサービス307は、コールバック情報取得プログラム213から呼び出されるWebサービスプログラムである。
クライアントバージョン管理ファイル309は、生体認証支援サーバが記憶するクロスアクセス許可リスト308のバージョン番号を記憶したファイルである。これは、ローカルサーバ214のキャッシュの更新に利用されるファイルである。
Webアプリ情報管理テーブル310は、Webアプリ毎に異なる設定情報を記憶するテーブルである。
ユーザ情報管理テーブル311は、ユーザ毎に異なる設定情報を記憶するテーブルである。
The callback information providing
The client
The web application information management table 310 is a table that stores different setting information for each web application.
The user information management table 311 is a table that stores different setting information for each user.
図4は、オンラインサービスサーバ105の構成を示す機能ブロック図である。
オンラインサービスサーバ105は、CPU401とメモリ402と記憶部404、及び図示しないキーボード等の入力装置やディスプレイ等の出力装置が、バス403で接続される構成をとる。
記憶部404には、生体認証依頼スクリプト406を含むWebアプリプログラム405と、WebアプリID407と、Webアプリ鍵408が記憶される。
なお、本図の生体認証依頼スクリプト406は、図2の生体認証依頼スクリプト207、及び図3の生体認証依頼スクリプト306と同一のものである。
WebアプリID407は、後述するオンラインサービスサーバの初期設定処理において生体認証支援サーバ104が生成し、オンラインサービスサーバに対して発行する情報であり、生体認証支援サーバにおいて、Webアプリケーションを一意に識別するための識別子である。
Webアプリ鍵408は、後述するオンラインサービスサーバの初期設定処理において生体認証支援サーバ104が生成し、オンラインサービスサーバに対して発行する情報であり、オンラインサービスサーバと生体認証支援サーバにおけるMACの付与と認証に使用する鍵情報である。
FIG. 4 is a functional block diagram showing the configuration of the
The
The
Note that the biometric
The
The
次に、本認証システムで使用するテーブルの構成例を説明する。
図5は、Webアプリ情報管理テーブル310の構成例を示す図である。
図5において、WebアプリID501とWebアプリ鍵502は、図4にて説明したWebアプリID407、Webアプリ鍵408と同一のものである。
WebアプリURL503は、本生体認証システムにてユーザ認証を行うWebアプリケーションのURLである。例えば、WebアプリケーションのトップページのURLである。
コールバックURL504は、本生体認証システムでのユーザ認証の成功後に、ブラウザからのアクセスを受け付けるWebアプリケーションのURLである。
Next, a configuration example of a table used in the authentication system will be described.
FIG. 5 is a diagram illustrating a configuration example of the Web application information management table 310.
In FIG. 5, the
The
The
図6は、ユーザ情報管理テーブル311の構成例を示す図である。
図6において、ユーザ鍵603とユーザIDハッシュ604は、図2にて説明したユーザ鍵211とユーザIDハッシュ210と同一のものである。
ユーザPW602は、後述する本認証システムにおけるクライアント端末101の初期設定処理において、ユーザを認証するために使用するパスワードである。
以下、システムの動作について説明する。
ただし、本生体認証システムを利用するクライアント端末101のユーザは、予め生体認証支援サーバ104にユーザ登録を済ませてユーザIDとユーザPWの発行を受けており、ユーザ情報管理テーブル310には、登録済みのユーザのユーザID601とユーザPW602が記憶されているものとする。
また、オンラインサービスサーバ105を管理する管理者も、予め生体認証支援サーバ104に管理者登録を済ませて初期設定用の管理者IDと管理者PWの発行を受けており、生体認証支援サーバ104の図示しないテーブルには、登録済みの管理者の管理者IDと管理者PWが記憶されているものとする。
さらに、クライアント端末101には予めオフライン拡張プラグイン208がインストールされており、記憶部204にはローカルサーバとローカルDBが作成されているものとする。
FIG. 6 is a diagram illustrating a configuration example of the user information management table 311.
In FIG. 6, a
The
Hereinafter, the operation of the system will be described.
However, the user of the
Further, the administrator who manages the
Furthermore, it is assumed that the offline extension plug-in 208 is installed in the
まず、図7と図8を使用して、本生体認証システムにおける初期設定処理の流れについて説明する。
図7は、オンラインサービスサーバ105の初期設定処理を示すフローチャートである。
オンラインサービスサーバ105の初期設定処理は、オンラインサービスサーバ105の管理者が、生体認証支援サーバ104に、自身が管理するWebアプリケーションのWebアプリURL503とコールバックURL504を登録し、生体認証支援サーバ104からWebアプリID407とWebアプリ鍵408の発行を受ける処理である。
オンラインサービスサーバ105の管理者は、まず、生体認証支援サーバ104の管理者用ページにアクセスして管理者IDと管理者PWを使用してログインする。その後、本生体認証システムにて認証を行うWebアプリケーションの、WebアプリURLとコールバックURLを生体認証支援サーバ104に送信する(ステップ701)。
First, the flow of the initial setting process in the biometric authentication system will be described with reference to FIGS.
FIG. 7 is a flowchart showing the initial setting process of the
In the initial setting process of the
The administrator of the
生体認証支援サーバ104は、WebアプリURLとコールバックURLを受信すると、WebアプリIDとWebアプリ鍵を生成する(ステップ702)。
ステップ702で生成したWebアプリIDとWebアプリ鍵、及び、ステップ701で取得したWebアプリURLとコールバックURLを、Webアプリ情報管理テーブル310に記憶する(ステップ703)。
生体認証支援サーバ104は、WebアプリURLのオリジンを、クロスアクセス許可リスト308に追加し、さらに、クライアントバージョン管理ファイル309のバージョン番号を更新する(ステップ704)。
記憶部304から生体認証依頼スクリプト306を取得し、その生体認証依頼スクリプト306と、ステップ702で生成したWebアプリIDとWebアプリ鍵とをオンラインサービスサーバ105へ送信する(ステップ705)。
When receiving the web application URL and the callback URL, the biometric
The web application ID and web application key generated in
The biometric
The biometric
オンラインサービスサーバ105は、WebアプリIDとWebアプリ鍵と生体認証依頼スクリプト306を受信すると、受信したWebアプリIDとWebアプリ鍵を記憶部404に記憶する。
また、オンラインサービスサーバ105の管理者は、認証が完了していないユーザがWebアプリプログラム405を実行した場合に、生体認証依頼スクリプトを含むHTMLページがブラウザに返信されるように、Webアプリプログラムに受信した生体認証依頼スクリプトを組み込む(ステップ706)。
以上が、オンラインサービスサーバ105の初期設定処理である。
Upon receiving the web application ID, the web application key, and the biometric
In addition, the administrator of the
The above is the initial setting process of the
図8は、クライアント端末101の初期設定処理を示すフローチャートである。
クライアント端末101の初期設定処理は、Webアプリケーションのサービスを受けるユーザが、生体認証支援サーバ104から、自身のユーザIDハッシュ210とユーザ鍵211が組み込まれた生体情報入力装置操作プラグイン209をダウンロードしてインストールし、生体情報テンプレート218を生成して、ローカルDB217に記憶させる処理である。
ユーザは、ブラウザから生体認証支援サーバ上のユーザ管理画面にアクセスし、ユーザIDとユーザPWを入力して送信する(ステップ801)。
生体認証支援サーバ104は、受信したユーザIDとユーザPWの組と、ユーザ情報管理テーブル310に記憶されているユーザID601とユーザPW602の組とを比較することでユーザを認証する。そして、認証に成功した場合は、ランダムなユーザ鍵603と、ユーザIDを引数にハッシュ関数を実行した結果であるユーザIDハッシュ604を生成し、生成したユーザ鍵とユーザIDハッシュを、受信したユーザIDとユーザPWの組に関連付けてユーザ情報管理テーブル310に記憶する(ステップ802)。
FIG. 8 is a flowchart showing the initial setting process of the
In the initial setting process of the
The user accesses the user management screen on the biometric authentication support server from the browser, and inputs and transmits the user ID and the user PW (step 801).
The biometric
次に、生体認証支援サーバ104は、ユーザIDハッシュとユーザ鍵を組み込んだ生体情報入力装置操作プラグインを生成する。この処理は、例えば、プラグインのソースコードにユーザIDハッシュとユーザ鍵を記載してコンパイルし、生体情報入力装置操作プラグインのバイトコードを生成するといった方法で行う(ステップ803)。
記憶部304から、生体認証スクリプト305とクロスアクセス許可リスト308を取得し、生体認証スクリプト305とクロスアクセス許可リスト308とステップ803で生成した生体情報入力装置操作プラグインとを、クライアント端末101へ送信する(ステップ804)。
クライアント端末101は、生体認証スクリプト305とクロスアクセス許可リスト308と生体情報入力装置操作プラグインを受信すると、生体認証スクリプト305とクロスアクセス許可リスト308をローカルサーバ214に記憶する。そして、ユーザは、受信した生体認証入力装置操作プラグインをクライアント端末101へインストールする(ステップ805)。
Next, the biometric
The
Upon receiving the
生体認証入力装置操作プラグインは、インストール完了直後に生体情報登録プログラム212を実行する。生体情報登録プログラム212は、生体情報入力装置102を起動し、利用者に生体情報の入力を要求する。そして、入力された生体情報から特徴量を抽出し、さらに特徴量をユーザ鍵211で暗号化して生体情報テンプレートを生成し、ローカルDB217へ記憶する(ステップ806)。
以上が、クライアント端末の初期設定処理である。
The biometric authentication input device operation plug-in executes the biometric
The above is the initial setting process of the client terminal.
次に、本生体認証システムにおけるユーザ認証処理の流れを説明する。
図9は、認証システム全体の処理を示すフローチャートである。なお、ステップ905〜ステップ907は生体認証依頼スクリプト207の動作である。
ユーザが、ブラウザ205を操作してWebアプリURLにアクセスし、Webアプリプログラム405を呼び出す(ステップ901)。
オンラインサービスサーバ105は、まず、ブラウザのクッキー等を利用してアクセスを受けたユーザが認証済みかどうかをチェックする。認証済みである場合は、クッキーがもつセッション情報でユーザを特定し、直ちにユーザにサービスを提供する。まだ認証されていない場合は、現在時刻を取得し(以降、ここで取得した時刻をWebアプリアクセス時刻と示す)、ステップ903へ進む(ステップ902)。
Next, a flow of user authentication processing in the biometric authentication system will be described.
FIG. 9 is a flowchart showing processing of the entire authentication system.
The user operates the
The
次に、記憶部404からWebアプリID407とWebアプリ鍵408を取得し、ステップ902で生成したWebアプリアクセス時刻と、WebアプリIDとを連結した文字列を生成する。この連結文字列に、さらにWebアプリ鍵でMACを付加し、MAC付Webアプリ情報を生成する(ステップ903)。
生体認証依頼スクリプトを組み込んだHTMLページと、ステップ903で生成したMAC付Webアプリ情報306とを、クライアント端末101へ送信する(ステップ904)。
ブラウザは、生体認証依頼スクリプト207が組み込まれたHTMLページ206とMAC付Webアプリ情報を受信すると、HTMLページをクライアント端末101の出力装置に表示する。出力と同時に、HTMLページ206は、MAC付Webアプリ情報を引数に生体認証依頼スクリプト207を実行する(ステップ905)。
Next, the
The HTML page incorporating the biometric authentication request script and the Web application information with
When the browser receives the
生体認証依頼スクリプト207は、オフライン拡張プラグイン208の並列プロセス実行機能を利用して、クロスオリジンアクセスにより生体認証スクリプトを呼び出す。すなわち、生体認証依頼スクリプト207は、新規ワーカを生成し、MAC付Webアプリ情報を引数に、ローカルサーバ内の生体認証スクリプト215を実行する。ここで、後の図10に詳細を説明する生体認証スクリプトは、生体認証支援サーバ104にアクセスし、生体認証支援サーバ104からMAC付コールバック情報を受信する。そして、生体認証依頼スクリプトは、生体認証スクリプトの戻り値としてMAC付コールバック情報を取得する(ステップ906)。
なお、MAC付コールバック情報は、後述する図11の処理で生成される情報であって、コールバックURL504とユーザIDハッシュ604とコールバック情報生成時刻を連結した文字列に、Webアプリ鍵502によるMACが付加された文字列である。
生体認証依頼スクリプトが、ステップ906で取得したMAC付コールバック情報に含まれるコールバックURLへ、ブラウザをリダイレクトする。これにより、オンラインサービスサーバ105へ、MAC付コールバック情報が送信される(ステップ907)。
The
Note that the callback information with MAC is information generated by the processing of FIG. 11 described later, and is a character string obtained by concatenating the
The biometric authentication request script redirects the browser to the callback URL included in the callback information with MAC acquired in
オンラインサービスサーバ105は、MAC付コールバック情報を受信すると、記憶部404からWebアプリ鍵408を取得し、Webアプリ鍵408を使用してMAC付コールバック情報のMAC認証を行う。MAC認証に成功した場合は、ステップ909へ進む。MAC認証に失敗した場合は、ブラウザへユーザ認証が失敗した旨を通知し、直ちに処理を中断して終了する(ステップ908)。
次に、現在時刻を取得し、現在時刻とMAC付コールバック情報に含まれるコールバック情報生成時刻との時間差を算出する。そして、算出した時間差が、予め設定されたコールバックURLの有効時間未満であるかをチェックする。有効時間未満である場合はステップ910へ進む。有効時間以上である場合は、ブラウザへユーザ認証が失敗した旨を通知し、直ちに処理を中断して終了する(ステップ909)。
MAC付コールバック情報に含まれるユーザIDハッシュの情報に基づき、ユーザを特定してWebアプリケーションのサービスを提供する。また、ブラウザに、ユーザ認証が成功済みであることを示す有効期限付きのクッキーを発行する(ステップ910)。
When the
Next, the current time is acquired, and the time difference between the current time and the callback information generation time included in the callback information with MAC is calculated. Then, it is checked whether or not the calculated time difference is less than the preset valid time of the callback URL. If it is less than the valid time, the process proceeds to step 910. If it is longer than the valid time, the browser is notified that the user authentication has failed, and the processing is immediately interrupted and terminated (step 909).
Based on the user ID hash information included in the callback information with MAC, the user is identified and the Web application service is provided. In addition, a cookie with an expiration date indicating that the user authentication has been successful is issued to the browser (step 910).
次にプログラムの詳細について図を用いて説明する。
まず、生体認証スクリプト215の動作の詳細を図10を使用して説明する。
生体認証スクリプト215は、図9のステップ906で生体認証依頼スクリプト207からMAC付Webアプリ情報を引数に呼び出された後、まず、クロスアクセス許可リスト216の更新チェックを行う。その後、生体情報入力装置操作プラグイン209が内蔵するコールバック情報取得プログラム213を実行する。
まず、クライアントバージョン管理ファイルのURLを指定し、生体認証支援サーバ104に、バージョン番号の取得要求を送信する(ステップ1001)。
生体認証支援サーバ104は、クライントバージョン管理ファイル309に記載された、クロスアクセス許可リスト308のバージョン番号をクライアント端末101へ送信する(ステップ1002)。
Next, details of the program will be described with reference to the drawings.
First, details of the operation of the
After being called from the biometric
First, the URL of the client version management file is designated, and a version number acquisition request is transmitted to the biometric authentication support server 104 (step 1001).
The biometric
クライアント端末101は、受信したバージョン番号と、ローカルサーバ214に記憶しているクロスアクセス許可リスト216のバージョン番号とを比較する。バージョン番号が一致していた場合は、直ちにステップ1004へ進む。バージョン番号が異なっていた場合は、生体認証支援サーバ104にクロスアクセス許可リスト308の取得要求を送信し、最新のクロスアクセス許可リストをダウンロードしてローカルサーバに記憶する(ステップ1003)。
この後、並列プロセス実行機能が提供するAPIを利用してワーカの生成元オリジンを取得し、取得したワーカの生成元オリジンが、ローカルサーバ内のクロスアクセス許可リスト216に含まれているかチェックする。
ワーカの生成元オリジンがクロスアクセス許可リスト216に含まれていた場合は、ステップ1005へ進む。含まれていなかった場合は、ブラウザへ認証に失敗した旨を通知して終了する(ステップ1004)。
The
Thereafter, the worker generation origin is acquired using an API provided by the parallel process execution function, and it is checked whether or not the acquired worker generation origin is included in the
If the worker origin is included in the cross
なお、本実施の形態に従い生体認証スクリプトが実行された場合、ワーカの生成元オリジンは、生体認証依頼スクリプト207のオリジン、すなわち、ユーザが利用しようとしているWebアプリケーションのWebアプリURLのオリジンになる。WebアプリURLのオリジンは、オンラインサービスサーバが正しく初期設定された場合、ステップ704でクロスアクセス許可リストに追加されるため、ワーカの生成元オリジンはクロスアクセス許可リストに含まれていることになる。
次に、生体情報入力装置操作プラグインが提供するAPIを介して、MAC付Webアプリ情報を引数にコールバック情報取得プログラム213を実行する。そして、実行結果としてMAC付コールバック情報を取得する(ステップ1005)。
次に、ステップ1005で取得したMAC付コールバック情報を、呼び出し元の生体認証依頼スクリプトに返却し、実行を終了する(ステップ1006)。
When the biometric script is executed according to the present embodiment, the worker origin of generation is the origin of the
Next, the callback
Next, the callback information with MAC acquired in
次に、コールバック情報取得プログラム213とコールバック情報提供Webサービス307の動作の詳細を図11を使用して説明する。
コールバック情報取得プログラム213は、生体認証入力装置102を起動し、ユーザに生体情報の入力を要求する。そして、入力された生体情報から抽出した特徴量と、生体情報テンプレート218をユーザ鍵211で復号した結果とを比較してユーザ認証を行う。
ユーザ認証に成功した場合は、ステップ1102へ進む。認証に失敗した場合は、ブラウザへユーザ認証が失敗した旨を通知し、直ちに処理を中断して終了する(ステップ1101)。
引数で取得したMAC付Webアプリ情報に、ユーザIDハッシュ210を連結した文字列を生成する。この連結文字列に、さらにユーザ鍵211でMACを付加し、MAC付クライアント情報を生成する(ステップ1102)。
ステップ1102で生成したMAC付クライアント情報を引数に、生体認証支援サーバ上のコールバック情報提供Webサービス307を呼び出す(ステップ1103)。
コールバック情報提供Webサービスは、MAC付クライアント情報を受信すると、ユーザ鍵603を使用したMAC認証と、Webアプリ鍵502を使用したMAC認証を行う。どちらのMAC認証にも成功した場合は、ステップ1105へ進む。
いずれかのMAC認証に失敗した場合は、ブラウザへユーザ認証が失敗した旨を通知し、直ちに処理を中断して終了する(ステップ1104)。
Next, details of operations of the callback
The callback
If the user authentication is successful, the process proceeds to step 1102. If the authentication fails, the user is notified that the user authentication has failed, and the process is immediately interrupted and terminated (step 1101).
A character string is generated by concatenating the
The callback information providing
When receiving the client information with MAC, the callback information providing Web service performs MAC authentication using the
If any of the MAC authentications fails, the browser notifies the browser that the user authentication has failed, immediately interrupts the processing, and ends (step 1104).
以下に、本ステップにおけるMAC認証の処理の詳細を説明する。
まず、受信したMAC付クライアント情報に含まれるユーザIDハッシュを取得し、ユーザ情報管理テーブル311から、当該ユーザIDハッシュに関連付けられて記憶されているユーザ鍵603を取得する。そして、取得したユーザ鍵を使用してMAC付クライアント情報のMAC認証を行う。
次に、MAC付クライアント情報に含まれるMAC付Webアプリ情報のMAC認証を行う。MAC付Webアプリ情報に含まれるWebアプリIDを取得し、Webアプリ情報管理テーブル310から、当該WebアプリIDに関連付けられて記憶されているWebアプリ鍵502を取得する。そして、取得したWebアプリ鍵を使用してMAC付Webアプリ情報のMAC認証を行う。
現在時刻(以降、ここで取得した時刻を、コールバック情報生成時刻と示す)を取得し、コールバック情報生成時刻とMAC付Webアプリ情報に含まれるWebアプリアクセス時刻との時間差を算出する。そして、算出した時間差が、予め設定されたMAC付Webアプリ情報の有効時間未満であるかをチェックする。
有効時間未満である場合は、ステップ1106へ進む。有効時間以上である場合は、ブラウザへユーザ認証が失敗した旨を通知し、直ちに処理を中断して終了する(ステップ1105)。
Details of the MAC authentication process in this step will be described below.
First, a user ID hash included in the received client information with MAC is acquired, and a
Next, MAC authentication of the Web application information with MAC included in the client information with MAC is performed. The Web application ID included in the Web application information with MAC is acquired, and the
The current time (hereinafter, the time acquired here is referred to as callback information generation time) is acquired, and the time difference between the callback information generation time and the web application access time included in the Web application information with MAC is calculated. Then, it is checked whether the calculated time difference is less than the preset valid time of the Web application information with MAC.
If it is less than the valid time, the process proceeds to step 1106. If it is longer than the valid time, the browser is notified that the user authentication has failed, and the processing is immediately interrupted and terminated (step 1105).
この後、受信したMAC付クライアント情報に含まれるWebアプリIDを取得し、Webアプリ情報管理テーブル310から、WebアプリIDに関連付けて記憶されているWebアプリ鍵502とコールバックURL504とを取得する。そして、コールバックURLと、ステップ1104で取得したユーザIDハッシュ604と、ステップ1105で取得したコールバック情報生成時刻とを連結した文字列を生成し、この連結文字列に、さらにWebアプリ鍵でMACを付加してMAC付コールバック情報を生成する(ステップ1106)。
なお、ここでMAC付コールバック情報のフォーマットは、コールバックURLに対してURLパラメータとして、ユーザIDハッシュとコールバック情報生成時刻とMACを渡す形式(例えば、”https://service1.com/callback?usr=8c8cf9ad3b77f23bba308ab61193 &time=20070101136756&sign=732ab8fa38272a6b77f23bf23bba30b3” など)をとるものとする。
ステップ1106で生成されたMAC付コールバック情報を、クライアント端末へ送信する(ステップ1107)。
コールバック情報取得プログラム213は、受信したMAC付コールバック情報を戻り値として呼び出し元の生体認証スクリプト207に返却し、実行を終了する(ステップ1108)。
Thereafter, the Web application ID included in the received client information with MAC is acquired, and the
Here, the format of the callback information with MAC is a format in which a user ID hash, callback information generation time, and MAC are passed as URL parameters to the callback URL (for example, “https://service1.com/callback ? usr = 8c8cf9ad3b77f23bba308ab61193 & time = 20070101136756 & sign = 732ab8fa38272a6b77f23bf23bba30b3 ”).
The callback information with MAC generated in
The callback
以上、本発明の生体認証システムの実施の形態について説明した。
なお、本発明の実施の形態において、ブラウザにはオフライン拡張プラグインと生体認証入力装置操作プラグインの2つをインストールするものとしたが、同様の機能を実現するものであればこれはひとつのプラグインであってもよい。
例えば、既存のオフライン拡張プラグインに生体情報入力装置を操作する機能を追加したプラグインを作成し、当該プラグインをユーザのクライアント端末に配布する形態であってもよい。
The embodiment of the biometric authentication system of the present invention has been described above.
In the embodiment of the present invention, the browser is installed with the offline extension plug-in and the biometric authentication input device operation plug-in. However, if the same function is realized, this is one. It may be a plug-in.
For example, a form in which a plug-in in which a function for operating the biometric information input device is added to an existing offline extension plug-in is created, and the plug-in is distributed to the user's client terminal.
また、本発明の実施の形態において、生体情報テンプレート218はローカルDB217に記憶するものとしたが、これはクライアント端末の記憶部に記憶する形態としてもよい。この場合、生体情報入力装置操作プラグインにはクライアント端末の記憶部を操作する機能を持たせ、ステップ806及びステップ1101では、当該機能を用いて記憶部から生体情報テンプレートを読み書きするものとする。
In the embodiment of the present invention, the
また、本発明の実施の形態において、ユーザIDハッシュ210とユーザ鍵211は、ステップ803でサーバが生体情報入力装置操作プラグインに組み込むものとしたが、これは、クライアント端末の記憶部に記憶する形態としてもよい。この場合、生体情報入力装置操作プラグインにはクライアント端末の記憶部を操作する機能と、生体認証支援サーバが使用するものと同じハッシュ関数でユーザIDのハッシュ値を求める機能を持たせ、サーバはステップ803でユーザIDハッシュとユーザ鍵をプラグインに組み込む代わりに、ステップ804でユーザ鍵をクライアント端末に送信し、ステップ806において生体情報登録プログラムは、ユーザに生体情報と共にユーザIDと受信したユーザ鍵の入力を要求し、入力されたユーザ鍵と、入力されたユーザIDから計算したユーザIDハッシュとを、クライアント端末の記憶部に記憶するものとする。そして、ステップ1102では、生体情報入力装置操作プラグインが、クライアント端末の記憶部からユーザIDハッシュとユーザ鍵を読み込むものとする。
Further, in the embodiment of the present invention, the
101 クライアント端末
102 生体情報入力装置
104 生体認証支援サーバ
105 オンラインサービスサーバ
205 ブラウザ
207 生体認証依頼スクリプト
208 オフライン拡張プラグイン
209 生体情報入力装置操作プラグイン
215 生体認証スクリプト
218 生体情報テンプレート
101
Claims (6)
前記オンラインサービスサーバが、
前記生体認証支援サーバへ、自身が提供するオンラインサービスのアドレス情報と、生体認証の成功後に前記ブラウザからのサービス要求を受け付けるコールバックアドレス情報とを送信し、前記生体認証支援サーバから、オンラインサービスを一意に識別するWebアプリ識別子と、前記生体認証依頼スクリプトとを受信して記憶する手段と、
前記クライアント端末が、
前記生体認証支援サーバから、オンラインサービスサーバ及び生体認証支援サーバでユーザを一意に識別するユーザ識別情報と、前記生体情報入力装置操作プラグインと、前記生体認証スクリプトとを受信して、前記記憶部に記憶する手段と、
前記クライアント端末が、
前記生体情報入力装置を起動してユーザの生体情報テンプレートを生成し、生成した生体情報テンプレートを記憶部に記憶する手段と、
前記クライアント端末が、
ブラウザを介して前記オンラインサービスサーバが提供するオンラインサービスのアドレス情報にアクセスする手段と、
前記オンラインサービスサーバが、
ブラウザからのアクセスを受けて前記生体認証依頼スクリプトをブラウザに送信し、ブラウザ上で前記生体認証依頼スクリプトを実行させて、クライアント端末の記憶部に記憶された前記生体認証スクリプトを実行する手段と、
前記クライアント端末が、
前記生体認証スクリプトの実行を受け、前記生体情報入力装置を動作させてユーザの生体情報を取得し、取得した生体情報と記憶部に記憶された生体情報テンプレートとを比較することでユーザを認証し、認証が成功した場合に、前記生体認証支援サーバに、前記ユーザ識別子をパラメータとしてコールバックアドレス情報の取得要求を送信してユーザ識別子を含むコールバックアドレス情報を取得し、ブラウザを取得したコールバックアドレス情報に接続させる手段と、
前記オンラインサービスサーバが、
ブラウザからのアクセスを受けて、コールバックアドレス情報に含まれるユーザ識別子に基づきユーザを特定して、オンラインサービスを提供する手段とを備えることを特徴とする生体認証システム。 A client terminal comprising an online service server for providing an online service; a biometric information input device; a storage unit; and a browser having a function of operating the storage unit via a browser script; and biometric information via the browser script to the browser A biometric authentication device plug-in for adding a function for operating the input device, and a biometric authentication procedure for causing the client terminal to perform biometric authentication using the function provided by the biometric information input device operation plug-in A biometric authentication system including a script and a biometric authentication support server that stores a biometric authentication request script that calls the biometric authentication script;
The online service server is
The address information of the online service provided by itself and the callback address information for receiving the service request from the browser after successful biometric authentication are transmitted to the biometric authentication support server, and the online service is transmitted from the biometric authentication support server. Means for receiving and storing the web application identifier for uniquely identifying the biometric authentication request script;
The client terminal is
Receiving from the biometric authentication support server user identification information for uniquely identifying the user by the online service server and the biometric authentication support server, the biometric information input device operation plug-in, and the biometric authentication script; Means for storing
The client terminal is
Means for activating the biometric information input device to generate a biometric information template for the user, and storing the generated biometric information template in a storage unit;
The client terminal is
Means for accessing address information of an online service provided by the online service server via a browser;
The online service server is
Means for receiving the access from the browser, transmitting the biometric request script to the browser, causing the biometric request script to be executed on the browser, and executing the biometric script stored in the storage unit of the client terminal;
The client terminal is
The biometric authentication script is executed, the biometric information input device is operated to acquire the biometric information of the user, and the user is authenticated by comparing the acquired biometric information with the biometric information template stored in the storage unit. When the authentication is successful, a callback address information acquisition request is acquired by transmitting a callback address information acquisition request to the biometric authentication support server using the user identifier as a parameter, and the callback obtained by acquiring the browser Means for connecting to address information;
The online service server is
A biometric authentication system comprising: means for receiving an access from a browser, specifying a user based on a user identifier included in callback address information, and providing an online service.
前記オンラインサービスサーバが、
前記生体認証支援サーバへ、自身が提供するオンラインサービスのアドレス情報と、生体認証の成功後に前記ブラウザからのサービス要求を受け付けるコールバックアドレス情報とを送信し、前記生体認証支援サーバから、オンラインサービスを一意に識別するWebアプリ識別子と、オンラインサービス毎に異なるWebアプリ鍵と、前記生体認証依頼スクリプトとを受信して記憶する手段と、
前記クライアント端末が、
前記生体認証支援サーバから、オンラインサービスサーバ及び生体認証支援サーバでユーザを一意に識別するユーザ識別情報と、ユーザ毎に異なるユーザ鍵と、前記生体情報入力装置操作プラグインと、前記生体認証スクリプトとを受信して、前記記憶部に記憶する手段と、
前記クライアント端末が、
前記生体情報入力装置を起動してユーザの生体情報テンプレートを生成し、生成した生体情報テンプレートを記憶部に記憶する手段と、
前記クライアント端末が、
ブラウザを介して前記オンラインサービスサーバが提供するオンラインサービスのアドレス情報にアクセスする手段と、
前記オンラインサービスサーバが、
ブラウザからのアクセスを受けてWebアプリアクセス時刻を生成し、Webアプリアクセス時刻と前記Webアプリ識別情報とを連結した文字列に前記Webアプリ鍵でMACを付加してMAC付Webアプリ情報を生成し、MAC付Webアプリ情報と前記生体認証依頼スクリプトとをブラウザに送信し、ブラウザ上で前記生体認証依頼スクリプトを実行させて、MAC付Webアプリ情報を引数にクライアント端末の記憶部に記憶された前記生体認証スクリプトを実行する手段と、
前記クライアント端末が、
前記生体認証スクリプトの実行を受け、前記生体情報入力装置を動作させてユーザの生体情報を取得し、取得した生体情報と記憶部に記憶された生体情報テンプレートとを比較することでユーザを認証し、認証が成功した場合に、前記MAC付Webアプリ情報に前記ユーザ識別情報を連結した文字列に前記ユーザ鍵でMACを付加してMAC付クライアント情報を生成し、前記生体認証支援サーバに、MAC付クライアント情報をパラメータとしてコールバックアドレス情報の取得要求を送信する手段と、
前記生体認証支援サーバが、
コールバックアドレス情報の取得要求を受けて、パラメータとして取得したMAC付クライアント情報のMAC認証と、MAC付クライアント情報に含まれるMAC付Webアプリ情報のMAC認証を行い、どちらの認証にも成功した場合に、コールバック情報生成時刻を生成し、コールバック情報生成時刻とMAC付アプリ情報に含まれるWebアプリアクセス時刻との時間差が有効時間内であるかを検証し、有効時間内であった場合に、前記コールバックアドレス情報と前記ユーザ識別情報と前記コールバック情報生成時刻とを連結した文字列に前記Webアプリ鍵でMACを付加してMAC付コールバック情報を生成し、前記MAC付コールバック情報をクライアント端末へ送信する手段と、
前記クライアント端末が、
受信したMAC付コールバック情報をパラメータとして、ブラウザをMAC付コールバック情報に含まれるコールバックアドレス情報に接続させる手段と、
前記オンラインサービスサーバが、
ブラウザからのアクセスを受けて、パラメータとして取得したMAC付コールバック情報のMAC認証を行い、MAC認証が成功した場合に、現在時刻を取得し、現在時刻とMAC付コールバック情報に含まれるコールバック情報生成時刻との時間差が有効時間内であるかを検証し、有効時間内であった場合に、MAC付コールバック情報に含まれるユーザ識別子に基づきユーザを特定して、オンラインサービスを提供する手段とを備えることを特徴とする生体認証システム。 A client terminal comprising an online service server for providing an online service; a biometric information input device; a storage unit; and a browser having a function of operating the storage unit via a browser script; and biometric information via the browser script to the browser A biometric authentication device plug-in for adding a function for operating the input device, and a biometric authentication procedure for causing the client terminal to perform biometric authentication using the function provided by the biometric information input device operation plug-in A biometric authentication system including a script and a biometric authentication support server that stores a biometric authentication request script that calls the biometric authentication script;
The online service server is
The address information of the online service provided by itself and the callback address information for receiving the service request from the browser after successful biometric authentication are transmitted to the biometric authentication support server, and the online service is transmitted from the biometric authentication support server. Means for receiving and storing a unique web application identifier, a different web application key for each online service, and the biometric request script;
The client terminal is
From the biometric authentication support server, user identification information for uniquely identifying a user in the online service server and the biometric authentication support server, a user key different for each user, the biometric information input device operation plug-in, and the biometric authentication script, Means for receiving and storing in the storage unit;
The client terminal is
Means for activating the biometric information input device to generate a biometric information template for the user, and storing the generated biometric information template in a storage unit;
The client terminal is
Means for accessing address information of an online service provided by the online service server via a browser;
The online service server is
Web application access time is generated in response to access from a browser, and MAC application information is generated by adding MAC to the character string concatenating the web application access time and the web application identification information with the web application key. The web application information with MAC and the biometric request script are transmitted to a browser, the biometric request script is executed on the browser, and the web application information with MAC is stored in the storage unit of the client terminal as an argument. Means for executing a biometric script;
The client terminal is
The biometric authentication script is executed, the biometric information input device is operated to acquire the biometric information of the user, and the user is authenticated by comparing the acquired biometric information with the biometric information template stored in the storage unit. When the authentication is successful, the MAC with the user key is added to the character string obtained by concatenating the user identification information to the Web application information with MAC to generate client information with MAC, and the biometric authentication support server receives the MAC. Means for sending a callback address information acquisition request with attached client information as a parameter,
The biometric authentication support server is
In response to a callback address information acquisition request, when MAC authentication of the MAC-added client information acquired as a parameter and MAC authentication of the MAC-applied Web application information included in the MAC-added client information are performed, both authentications succeed Next, generate the callback information generation time, verify whether the time difference between the callback information generation time and the web application access time included in the application information with MAC is within the valid time. Generating a callback information with MAC by adding a MAC with the Web application key to a character string obtained by concatenating the callback address information, the user identification information, and the callback information generation time, and generating the callback information with MAC Means for transmitting to the client terminal;
The client terminal is
Using the received callback information with MAC as a parameter, a means for connecting the browser to the callback address information included in the callback information with MAC,
The online service server is
When MAC access callback information obtained as a parameter is MAC-authenticated from the browser and MAC authentication is successful, the current time is obtained and the callback included in the current time and MAC callback information. Means for verifying whether the time difference from the information generation time is within the valid time and, if it is within the valid time, specifying the user based on the user identifier included in the callback information with MAC and providing an online service And a biometric authentication system.
前記オンラインサービスサーバが、
前記生体認証支援サーバへ、自身が提供するオンラインサービスのアドレス情報と、生体認証の成功後に前記ブラウザからのサービス要求を受け付けるコールバックアドレス情報とを送信する手段と、
前記生体認証支援サーバが、
オンラインサービスを一意に識別するWebアプリ識別子と、オンラインサービス毎に異なるWebアプリ鍵と、受信したオンラインサービスのアドレス情報のオリジン情報を記載したクロスアクセス許可リストを生成し、Webアプリ識別子とWebアプリ鍵と前記生体認証依頼スクリプトとをオンラインサービスサーバへ送信する手段と、
前記クライアント端末が、
前記生体認証支援サーバから、前記ユーザ識別情報と前記ユーザ鍵と前記生体情報入力装置操作プラグインと前記生体認証スクリプトと前記クロスアクセス許可リストとを受信して記憶する手段と、
前記クライアント端末が、
前記生体情報入力装置を起動してユーザの生体情報テンプレートを生成し、生成した生体情報テンプレートを記憶部に記憶する手段と、
前記クライアント端末が、
ブラウザを介して前記オンラインサービスサーバが提供するオンラインサービスのアドレス情報にアクセスする手段と、
前記オンラインサービスサーバが、
ブラウザからのアクセスを受けてWebアプリアクセス時刻を生成し、
Webアプリアクセス時刻と前記Webアプリ識別情報とを連結した文字列に前記Webアプリ鍵でMACを付加してMAC付Webアプリ情報を生成し、MAC付Webアプリ情報と前記生体認証依頼スクリプトとをブラウザに送信し、ブラウザ上で前記生体認証依頼スクリプトを実行させて、MAC付Webアプリ情報を引数にクライアント端末の記憶部に記憶された前記生体認証スクリプトを実行する手段と、
前記クライアント端末が、
前記生体認証スクリプトの実行を受け、生体認証支援サーバに、クロスアクセス許可リストの更新チェック要求を送信して生体認証支援サーバから最新のクロスアクセス許可リストを受信して記憶部に記憶し、生体認証スクリプトの呼び出し元のオリジン情報を取得して、呼び出し元オリジン情報が、記憶部に記憶されているクロスアクセス許可リストに含まれるかを検証し、含まれていた場合に、前記生体情報入力装置を動作させてユーザの生体情報を取得し、取得した生体情報と記憶部に記憶された生体情報テンプレートとを比較することでユーザを認証し、認証が成功した場合に、前記MAC付Webアプリ情報に前記ユーザ識別情報を連結した文字列に前記ユーザ鍵でMACを付加してMAC付クライアント情報を生成し、前記生体認証支援サーバに、MAC付クライアント情報をパラメータとしてコールバックアドレス情報の取得要求を送信する手段と、
前記生体認証支援サーバが、
コールバックアドレス情報の取得要求を受けて、パラメータとして取得したMAC付クライアント情報のMAC認証と、MAC付クライアント情報に含まれるMAC付Webアプリ情報のMAC認証を行い、どちらの認証にも成功した場合に、コールバック情報生成時刻を生成し、コールバック情報生成時刻とMAC付アプリ情報に含まれるWebアプリアクセス時刻との時間差が有効時間内であるかを検証し、有効時間内であった場合に、前記コールバックアドレス情報と前記ユーザ識別情報と前記コールバック情報生成時刻とを連結した文字列に前記Webアプリ鍵でMACを付加してMAC付コールバック情報を生成し、前記MAC付コールバック情報をクライアント端末へ送信する手段と、
前記クライアント端末が、
受信したMAC付コールバック情報をパラメータとして、ブラウザをMAC付コールバック情報に含まれるコールバックアドレス情報に接続させる手段と、
前記オンラインサービスサーバが、
ブラウザからのアクセスを受けて、パラメータとして取得したMAC付コールバック情報のMAC認証を行い、MAC認証が成功した場合に、現在時刻を取得し、現在時刻とMAC付コールバック情報に含まれるコールバック情報生成時刻との時間差が有効時間内であるかを検証し、有効時間内であった場合に、MAC付コールバック情報に含まれるユーザ識別子に基づきユーザを特定して、オンラインサービスを提供する手段とを備えることを特徴とする生体認証システム。 A client terminal comprising an online service server for providing an online service; a biometric information input device; a storage unit; and a browser having a function of operating the storage unit via a browser script; and biometric information via the browser script to the browser A biometric authentication device plug-in for adding a function for operating the input device, and a biometric authentication procedure for causing the client terminal to perform biometric authentication using the function provided by the biometric information input device operation plug-in A biometric authentication system including a script and a biometric authentication support server that stores a biometric authentication request script that calls the biometric authentication script;
The online service server is
Means for transmitting to the biometric authentication support server address information of an online service provided by itself and callback address information for accepting a service request from the browser after successful biometric authentication;
The biometric authentication support server is
A web application identifier that uniquely identifies the online service, a web application key that differs for each online service, and a cross-access permission list that includes the origin information of the received online service address information is generated. And means for transmitting the biometric authentication request script to an online service server,
The client terminal is
Means for receiving and storing the user identification information, the user key, the biometric information input device operation plug-in, the biometric authentication script, and the cross access permission list from the biometric authentication support server;
The client terminal is
Means for activating the biometric information input device to generate a biometric information template for the user, and storing the generated biometric information template in a storage unit;
The client terminal is
Means for accessing address information of an online service provided by the online service server via a browser;
The online service server is
Generate web application access time in response to access from the browser,
A web application information with MAC is generated by adding a MAC with the web application key to a character string obtained by concatenating the web application access time and the web application identification information, and the web application information with MAC and the biometric authentication request script are browserd Means for executing the biometric authentication script on the browser, executing the biometric authentication script stored in the storage unit of the client terminal with the MAC-applied web application information as an argument,
The client terminal is
Upon execution of the biometric authentication script, a biometric authentication support server is sent an update check request for a cross access permission list, and the latest cross access permission list is received from the biometric authentication support server and stored in the storage unit, and biometric authentication is performed. The origin information of the caller of the script is acquired, and it is verified whether the caller origin information is included in the cross-access permission list stored in the storage unit. The biometric information of the user is acquired by operating, and the user is authenticated by comparing the acquired biometric information with the biometric information template stored in the storage unit. The MAC with the user key is added to the character string concatenated with the user identification information to generate client information with MAC, and the biometric authentication support server It means for transmitting a request for call-back address information client information with MAC as a parameter,
The biometric authentication support server is
In response to a callback address information acquisition request, when MAC authentication of the MAC-added client information acquired as a parameter and MAC authentication of the MAC-applied Web application information included in the MAC-added client information are performed, both authentications succeed Next, generate the callback information generation time, verify whether the time difference between the callback information generation time and the web application access time included in the application information with MAC is within the valid time. Generating a callback information with MAC by adding a MAC with the Web application key to a character string obtained by concatenating the callback address information, the user identification information, and the callback information generation time, and generating the callback information with MAC Means for transmitting to the client terminal;
The client terminal is
Using the received callback information with MAC as a parameter, a means for connecting the browser to the callback address information included in the callback information with MAC,
The online service server is
When MAC access callback information obtained as a parameter is MAC-authenticated from the browser and MAC authentication is successful, the current time is obtained and the callback included in the current time and MAC callback information. Means for verifying whether the time difference from the information generation time is within the valid time and, if it is within the valid time, specifying the user based on the user identifier included in the callback information with MAC and providing an online service And a biometric authentication system.
前記オンラインサービスサーバが、
前記生体認証支援サーバへ、自身が提供するオンラインサービスのアドレス情報と、生体認証の成功後に前記ブラウザからのサービス要求を受け付けるコールバックアドレス情報とを送信し、前記生体認証支援サーバから、オンラインサービスを一意に識別するWebアプリ識別子と、前記生体認証依頼スクリプトとを受信して記憶するステップと、
前記クライアント端末が、
前記生体認証支援サーバから、オンラインサービスサーバ及び生体認証支援サーバでユーザを一意に識別するユーザ識別情報と、前記生体情報入力装置操作プラグインと、前記生体認証スクリプトとを受信して、前記記憶部に記憶するステップと、
前記クライアント端末が、
前記生体情報入力装置を起動してユーザの生体情報テンプレートを生成し、生成した生体情報テンプレートを記憶部に記憶するステップと、
前記クライアント端末が、
ブラウザを介して前記オンラインサービスサーバが提供するオンラインサービスのアドレス情報にアクセスするステップと、
前記オンラインサービスサーバが、
ブラウザからのアクセスを受けて前記生体認証依頼スクリプトをブラウザに送信し、ブラウザ上で前記生体認証依頼スクリプトを実行させて、クライアント端末の記憶部に記憶された前記生体認証スクリプトを実行するステップと、
前記クライアント端末が、
前記生体認証スクリプトの実行を受け、前記生体情報入力装置を動作させてユーザの生体情報を取得し、取得した生体情報と記憶部に記憶された生体情報テンプレートとを比較することでユーザを認証し、認証が成功した場合に、前記生体認証支援サーバに、前記ユーザ識別子をパラメータとしてコールバックアドレス情報の取得要求を送信してユーザ識別子を含むコールバックアドレス情報を取得し、ブラウザを取得したコールバックアドレス情報に接続させるステップと、
前記オンラインサービスサーバが、
ブラウザからのアクセスを受けて、コールバックアドレス情報に含まれるユーザ識別子に基づきユーザを特定して、オンラインサービスを提供するステップとを備えることを特徴とする生体認証方法。 A client terminal comprising an online service server for providing an online service; a biometric information input device; a storage unit; and a browser having a function of operating the storage unit via a browser script; and biometric information via the browser script to the browser A biometric information input device operation plug-in for adding a function for operating an input device, and a biometric authentication that describes a procedure for causing a client terminal to perform biometric authentication using a function provided by the biometric information input device operation plug-in A biometric authentication method in a biometric authentication system comprising a script and a biometric authentication support server that stores a biometric authentication request script that calls the biometric authentication script,
The online service server is
The address information of the online service provided by itself and the callback address information for receiving the service request from the browser after successful biometric authentication are transmitted to the biometric authentication support server, and the online service is transmitted from the biometric authentication support server. Receiving and storing a web application identifier for uniquely identifying the biometric authentication request script;
The client terminal is
Receiving from the biometric authentication support server user identification information for uniquely identifying the user by the online service server and the biometric authentication support server, the biometric information input device operation plug-in, and the biometric authentication script; The step of storing in
The client terminal is
Activating the biometric information input device to generate a biometric information template for the user, and storing the generated biometric information template in a storage unit;
The client terminal is
Accessing address information of an online service provided by the online service server via a browser;
The online service server is
Receiving the access from the browser, transmitting the biometric request script to the browser, causing the biometric request script to be executed on the browser, and executing the biometric script stored in the storage unit of the client terminal;
The client terminal is
The biometric authentication script is executed, the biometric information input device is operated to acquire the biometric information of the user, and the user is authenticated by comparing the acquired biometric information with the biometric information template stored in the storage unit. When the authentication is successful, a callback address information acquisition request is acquired by transmitting a callback address information acquisition request to the biometric authentication support server using the user identifier as a parameter, and the callback obtained by acquiring the browser Connecting to address information;
The online service server is
A biometric authentication method, comprising: receiving an access from a browser, specifying a user based on a user identifier included in callback address information, and providing an online service.
前記オンラインサービスサーバが、
前記生体認証支援サーバへ、自身が提供するオンラインサービスのアドレス情報と、生体認証の成功後に前記ブラウザからのサービス要求を受け付けるコールバックアドレス情報とを送信し、前記生体認証支援サーバから、オンラインサービスを一意に識別するWebアプリ識別子と、オンラインサービス毎に異なるWebアプリ鍵と、前記生体認証依頼スクリプトとを受信して記憶するステップと、
前記クライアント端末が、
前記生体認証支援サーバから、オンラインサービスサーバ及び生体認証支援サーバでユーザを一意に識別するユーザ識別情報と、ユーザ毎に異なるユーザ鍵と、前記生体情報入力装置操作プラグインと、前記生体認証スクリプトとを受信して、前記記憶部に記憶するステップと、
前記クライアント端末が、
前記生体情報入力装置を起動してユーザの生体情報テンプレートを生成し、生成した生体情報テンプレートを記憶部に記憶するステップと、
前記クライアント端末が、
ブラウザを介して前記オンラインサービスサーバが提供するオンラインサービスのアドレス情報にアクセスするステップと、
前記オンラインサービスサーバが、
ブラウザからのアクセスを受けてWebアプリアクセス時刻を生成し、Webアプリアクセス時刻と前記Webアプリ識別情報とを連結した文字列に前記Webアプリ鍵でMACを付加してMAC付Webアプリ情報を生成し、MAC付Webアプリ情報と前記生体認証依頼スクリプトとをブラウザに送信し、ブラウザ上で前記生体認証依頼スクリプトを実行させて、MAC付Webアプリ情報を引数にクライアント端末の記憶部に記憶された前記生体認証スクリプトを実行するステップと、
前記クライアント端末が、
前記生体認証スクリプトの実行を受け、前記生体情報入力装置を動作させてユーザの生体情報を取得し、取得した生体情報と記憶部に記憶された生体情報テンプレートとを比較することでユーザを認証し、認証が成功した場合に、前記MAC付Webアプリ情報に前記ユーザ識別情報を連結した文字列に前記ユーザ鍵でMACを付加してMAC付クライアント情報を生成し、前記生体認証支援サーバに、MAC付クライアント情報をパラメータとしてコールバックアドレス情報の取得要求を送信するステップと、
前記生体認証支援サーバが、
コールバックアドレス情報の取得要求を受けて、パラメータとして取得したMAC付クライアント情報のMAC認証と、MAC付クライアント情報に含まれるMAC付Webアプリ情報のMAC認証を行い、どちらの認証にも成功した場合に、コールバック情報生成時刻を生成し、コールバック情報生成時刻とMAC付アプリ情報に含まれるWebアプリアクセス時刻との時間差が有効時間内であるかを検証し、有効時間内であった場合に、前記コールバックアドレス情報と前記ユーザ識別情報と前記コールバック情報生成時刻とを連結した文字列に前記Webアプリ鍵でMACを付加してMAC付コールバック情報を生成し、前記MAC付コールバック情報をクライアント端末へ送信するステップと、
前記クライアント端末が、
受信したMAC付コールバック情報をパラメータとして、ブラウザをMAC付コールバック情報に含まれるコールバックアドレス情報に接続させるステップと、
前記オンラインサービスサーバが、
ブラウザからのアクセスを受けて、パラメータとして取得したMAC付コールバック情報のMAC認証を行い、MAC認証が成功した場合に、現在時刻を取得し、現在時刻とMAC付コールバック情報に含まれるコールバック情報生成時刻との時間差が有効時間内であるかを検証し、有効時間内であった場合に、MAC付コールバック情報に含まれるユーザ識別子に基づきユーザを特定して、オンラインサービスを提供するステップとを備えることを特徴とする生体認証方法。 A client terminal comprising an online service server for providing an online service; a biometric information input device; a storage unit; and a browser having a function of operating the storage unit via a browser script; and biometric information via the browser script to the browser A biometric information input device operation plug-in for adding a function for operating an input device, and a biometric authentication that describes a procedure for causing a client terminal to perform biometric authentication using a function provided by the biometric information input device operation plug-in An authentication method in a biometric authentication system including a script and a biometric authentication support server that stores a biometric authentication request script that calls the biometric authentication script,
The online service server is
The address information of the online service provided by itself and the callback address information for receiving the service request from the browser after successful biometric authentication are transmitted to the biometric authentication support server, and the online service is transmitted from the biometric authentication support server. Receiving and storing a web application identifier that uniquely identifies, a web application key that is different for each online service, and the biometric request script;
The client terminal is
From the biometric authentication support server, user identification information for uniquely identifying a user in the online service server and the biometric authentication support server, a user key different for each user, the biometric information input device operation plug-in, and the biometric authentication script, And storing in the storage unit;
The client terminal is
Activating the biometric information input device to generate a biometric information template for the user, and storing the generated biometric information template in a storage unit;
The client terminal is
Accessing address information of an online service provided by the online service server via a browser;
The online service server is
Web application access time is generated in response to access from a browser, and MAC application information is generated by adding MAC to the character string concatenating the web application access time and the web application identification information with the web application key. The web application information with MAC and the biometric request script are transmitted to a browser, the biometric request script is executed on the browser, and the web application information with MAC is stored in the storage unit of the client terminal as an argument. Executing a biometric script;
The client terminal is
The biometric authentication script is executed, the biometric information input device is operated to acquire the biometric information of the user, and the user is authenticated by comparing the acquired biometric information with the biometric information template stored in the storage unit. When the authentication is successful, the MAC with the user key is added to the character string obtained by concatenating the user identification information to the Web application information with MAC to generate client information with MAC, and the biometric authentication support server receives the MAC. Sending callback address information acquisition request with attached client information as a parameter;
The biometric authentication support server is
In response to a callback address information acquisition request, when MAC authentication of the MAC-added client information acquired as a parameter and MAC authentication of the MAC-applied Web application information included in the MAC-added client information are performed, both authentications succeed Next, generate the callback information generation time, verify whether the time difference between the callback information generation time and the web application access time included in the application information with MAC is within the valid time. Generating a callback information with MAC by adding a MAC with the Web application key to a character string obtained by concatenating the callback address information, the user identification information, and the callback information generation time, and generating the callback information with MAC Sending to the client terminal;
The client terminal is
Using the received callback information with MAC as a parameter, connecting the browser to the callback address information included in the callback information with MAC, and
The online service server is
When MAC access callback information obtained as a parameter is MAC-authenticated from the browser and MAC authentication is successful, the current time is obtained and the callback included in the current time and MAC callback information. A step of verifying whether the time difference from the information generation time is within the valid time, and if it is within the valid time, specifying a user based on the user identifier included in the callback information with MAC and providing an online service And a biometric authentication method.
前記オンラインサービスサーバが、
前記生体認証支援サーバへ、自身が提供するオンラインサービスのアドレス情報と、生体認証の成功後に前記ブラウザからのサービス要求を受け付けるコールバックアドレス情報とを送信するステップと、
前記生体認証支援サーバが、
オンラインサービスを一意に識別するWebアプリ識別子と、オンラインサービス毎に異なるWebアプリ鍵と、受信したオンラインサービスのアドレス情報のオリジン情報を記載したクロスアクセス許可リストを生成し、Webアプリ識別子とWebアプリ鍵と前記生体認証依頼スクリプトとをオンラインサービスサーバへ送信するステップと、
前記クライアント端末が、
前記生体認証支援サーバから、前記ユーザ識別情報と前記ユーザ鍵と前記生体情報入力装置操作プラグインと前記生体認証スクリプトと前記クロスアクセス許可リストとを受信して記憶するステップと、
前記クライアント端末が、
前記生体情報入力装置を起動してユーザの生体情報テンプレートを生成し、生成した生体情報テンプレートを記憶部に記憶するステップと、
前記クライアント端末が、
ブラウザを介して前記オンラインサービスサーバが提供するオンラインサービスのアドレス情報にアクセスするステップと、
前記オンラインサービスサーバが、
ブラウザからのアクセスを受けてWebアプリアクセス時刻を生成し、Webアプリアクセス時刻と前記Webアプリ識別情報とを連結した文字列に前記Webアプリ鍵でMACを付加してMAC付Webアプリ情報を生成し、MAC付Webアプリ情報と前記生体認証依頼スクリプトとをブラウザに送信し、ブラウザ上で前記生体認証依頼スクリプトを実行させて、MAC付Webアプリ情報を引数にクライアント端末の記憶部に記憶された前記生体認証スクリプトを実行するステップと、
前記クライアント端末が、
前記生体認証スクリプトの実行を受け、生体認証支援サーバに、クロスアクセス許可リストの更新チェック要求を送信して生体認証支援サーバから最新のクロスアクセス許可リストを受信して記憶部に記憶し、生体認証スクリプトの呼び出し元のオリジン情報を取得して、呼び出し元オリジン情報が、記憶部に記憶されているクロスアクセス許可リストに含まれるかを検証し、含まれていた場合に、前記生体情報入力装置を動作させてユーザの生体情報を取得し、取得した生体情報と記憶部に記憶された生体情報テンプレートとを比較することでユーザを認証し、認証が成功した場合に、前記MAC付Webアプリ情報に前記ユーザ識別情報を連結した文字列に前記ユーザ鍵でMACを付加してMAC付クライアント情報を生成し、前記生体認証支援サーバに、MAC付クライアント情報をパラメータとしてコールバックアドレス情報の取得要求を送信するステップと、
前記生体認証支援サーバが、
コールバックアドレス情報の取得要求を受けて、パラメータとして取得したMAC付クライアント情報のMAC認証と、MAC付クライアント情報に含まれるMAC付Webアプリ情報のMAC認証を行い、どちらの認証にも成功した場合に、コールバック情報生成時刻を生成し、コールバック情報生成時刻とMAC付アプリ情報に含まれるWebアプリアクセス時刻との時間差が有効時間内であるかを検証し、有効時間内であった場合に、前記コールバックアドレス情報と前記ユーザ識別情報と前記コールバック情報生成時刻とを連結した文字列に前記Webアプリ鍵でMACを付加してMAC付コールバック情報を生成し、前記MAC付コールバック情報をクライアント端末へ送信するステップと、
前記クライアント端末が、
受信したMAC付コールバック情報をパラメータとして、ブラウザをMAC付コールバック情報に含まれるコールバックアドレス情報に接続させるステップと、
前記オンラインサービスサーバが、
ブラウザからのアクセスを受けて、パラメータとして取得したMAC付コールバック情報のMAC認証を行い、MAC認証が成功した場合に、現在時刻を取得し、現在時刻とMAC付コールバック情報に含まれるコールバック情報生成時刻との時間差が有効時間内であるかを検証し、有効時間内であった場合に、MAC付コールバック情報に含まれるユーザ識別子に基づきユーザを特定して、オンラインサービスを提供するステップとを備えることを特徴とする生体認証方法。 A client terminal comprising an online service server for providing an online service; a biometric information input device; a storage unit; and a browser having a function of operating the storage unit via a browser script; and biometric information via the browser script to the browser A biometric information input device operation plug-in for adding a function for operating an input device, and a biometric authentication that describes a procedure for causing a client terminal to perform biometric authentication using a function provided by the biometric information input device operation plug-in An authentication method in a biometric authentication system including a script and a biometric authentication support server that stores a biometric authentication request script that calls the biometric authentication script,
The online service server is
Transmitting to the biometric authentication support server address information of an online service provided by itself and callback address information for accepting a service request from the browser after successful biometric authentication;
The biometric authentication support server is
Generate a web application identifier that uniquely identifies the online service, a web application key that differs for each online service, and a cross-access permission list that contains the origin information of the received online service address information. Transmitting the biometric authentication request script to an online service server;
The client terminal is
Receiving and storing the user identification information, the user key, the biometric information input device operation plug-in, the biometric authentication script, and the cross access permission list from the biometric authentication support server;
The client terminal is
Activating the biometric information input device to generate a biometric information template for the user, and storing the generated biometric information template in a storage unit;
The client terminal is
Accessing address information of an online service provided by the online service server via a browser;
The online service server is
Web application access time is generated in response to access from a browser, and MAC application information is generated by adding MAC to the character string concatenating the web application access time and the web application identification information with the web application key. The web application information with MAC and the biometric request script are transmitted to a browser, the biometric request script is executed on the browser, and the web application information with MAC is stored in the storage unit of the client terminal as an argument. Executing a biometric script;
The client terminal is
Upon execution of the biometric authentication script, a biometric authentication support server is sent an update check request for a cross access permission list, and the latest cross access permission list is received from the biometric authentication support server and stored in the storage unit, and biometric authentication is performed. The origin information of the caller of the script is acquired, and it is verified whether the caller origin information is included in the cross-access permission list stored in the storage unit. The biometric information of the user is acquired by operating, and the user is authenticated by comparing the acquired biometric information with the biometric information template stored in the storage unit. The MAC with the user key is added to the character string concatenated with the user identification information to generate client information with MAC, and the biometric authentication support server Sending a request for call-back address information client information with MAC as a parameter,
The biometric authentication support server is
In response to a callback address information acquisition request, when MAC authentication of the MAC-added client information acquired as a parameter and MAC authentication of the MAC-applied Web application information included in the MAC-added client information are performed, both authentications succeed Next, generate the callback information generation time, verify whether the time difference between the callback information generation time and the web application access time included in the application information with MAC is within the valid time. Generating a callback information with MAC by adding a MAC with the Web application key to a character string obtained by concatenating the callback address information, the user identification information, and the callback information generation time, and generating the callback information with MAC Sending to the client terminal;
The client terminal is
Using the received callback information with MAC as a parameter, connecting the browser to the callback address information included in the callback information with MAC, and
The online service server is
When MAC access callback information obtained as a parameter is MAC-authenticated from the browser and MAC authentication is successful, the current time is obtained and the callback included in the current time and MAC callback information. A step of verifying whether the time difference from the information generation time is within the valid time, and if it is within the valid time, specifying a user based on the user identifier included in the callback information with MAC and providing an online service And a biometric authentication method.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008067757A JP2009223638A (en) | 2008-03-17 | 2008-03-17 | Biometric authentication system and method for web application |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008067757A JP2009223638A (en) | 2008-03-17 | 2008-03-17 | Biometric authentication system and method for web application |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009223638A true JP2009223638A (en) | 2009-10-01 |
Family
ID=41240336
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008067757A Pending JP2009223638A (en) | 2008-03-17 | 2008-03-17 | Biometric authentication system and method for web application |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2009223638A (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015103253A (en) * | 2013-11-21 | 2015-06-04 | エヌエックスピー ビー ヴィNxp B.V. | Method of generating structure and corresponding structure |
| WO2018186606A1 (en) * | 2017-04-02 | 2018-10-11 | 주식회사 키페어 | Terminal having local web server function for biometric authentication, and user authentication system and method using same |
| JP2019012365A (en) * | 2017-06-29 | 2019-01-24 | キヤノン株式会社 | Information processor, method, and program |
-
2008
- 2008-03-17 JP JP2008067757A patent/JP2009223638A/en active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015103253A (en) * | 2013-11-21 | 2015-06-04 | エヌエックスピー ビー ヴィNxp B.V. | Method of generating structure and corresponding structure |
| US9563754B2 (en) | 2013-11-21 | 2017-02-07 | Nxp B.V. | Method of generating a structure and corresponding structure |
| WO2018186606A1 (en) * | 2017-04-02 | 2018-10-11 | 주식회사 키페어 | Terminal having local web server function for biometric authentication, and user authentication system and method using same |
| JP2019012365A (en) * | 2017-06-29 | 2019-01-24 | キヤノン株式会社 | Information processor, method, and program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110602052B (en) | Micro-service processing method and server | |
| EP3123692B1 (en) | Techniques to operate a service with machine generated authentication tokens | |
| CN107172054B (en) | Authority authentication method, device and system based on CAS | |
| CN108200089B (en) | Method, device and system for realizing information security and storage medium | |
| JP5881687B2 (en) | Online business methods, systems, and devices based on open application programming interfaces | |
| US11841929B2 (en) | Authentication translation | |
| US20110145891A1 (en) | Securing Asynchronous Client Server Transactions | |
| US8365245B2 (en) | Previous password based authentication | |
| Ferry et al. | Security evaluation of the OAuth 2.0 framework | |
| JP5193787B2 (en) | Information processing method, relay server, and network system | |
| Vasileios Grammatopoulos et al. | A web tool for analyzing FIDO2/WebAuthn Requests and Responses | |
| CN112965955B (en) | Data migration method, device, computer equipment and storage medium | |
| JP2009223638A (en) | Biometric authentication system and method for web application | |
| US11868462B1 (en) | Securely manipulating and utilizing user credentials | |
| KR101637155B1 (en) | A system providing trusted identity management service using trust service device and its methods of operation | |
| CN112836186A (en) | Page control method and device | |
| US10936383B2 (en) | Hard coded credential bypassing | |
| KR20160109241A (en) | Method and apparatus for secure accecss to resources | |
| CN111404946B (en) | Account authentication method based on browser and server | |
| CN114237678A (en) | Component updating method and device, storage medium and computer equipment | |
| Huang et al. | Research on Single Sign-on Technology for Educational Administration Information Service Platform | |
| JP2004355332A (en) | Log-in management system and its method | |
| Sciarretta et al. | Security of Mobile Single Sign-On: A Rational Reconstruction of Facebook Login Solution. | |
| CN112738112B (en) | Access method, device and medium for third-party component based on Ambari | |
| TWI773025B (en) | Processes and method for safe of use, monitoring and management of device accounts in terminal manner |