JP2022171928A - 端末装置、認証サーバ、端末装置の制御方法、認証方法及びプログラム - Google Patents
端末装置、認証サーバ、端末装置の制御方法、認証方法及びプログラム Download PDFInfo
- Publication number
- JP2022171928A JP2022171928A JP2022150095A JP2022150095A JP2022171928A JP 2022171928 A JP2022171928 A JP 2022171928A JP 2022150095 A JP2022150095 A JP 2022150095A JP 2022150095 A JP2022150095 A JP 2022150095A JP 2022171928 A JP2022171928 A JP 2022171928A
- Authority
- JP
- Japan
- Prior art keywords
- biometric information
- terminal device
- authentication
- server
- registration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 97
- 238000012545 processing Methods 0.000 claims abstract description 99
- 230000008569 process Effects 0.000 claims description 81
- 230000002265 prevention Effects 0.000 claims description 69
- 238000010586 diagram Methods 0.000 description 38
- 238000012795 verification Methods 0.000 description 38
- 230000005540 biological transmission Effects 0.000 description 36
- 230000004044 response Effects 0.000 description 14
- 230000000694 effects Effects 0.000 description 13
- 230000010365 information processing Effects 0.000 description 13
- 230000006870 function Effects 0.000 description 5
- 230000002093 peripheral effect Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2117—User registration
Abstract
【課題】FIDO認証のための参照用生体情報を端末装置に登録する段階でのなりすましを防止する。【解決手段】本発明の端末装置10は、生体情報管理サーバ60に記憶されているユーザの生体情報を、認証サーバ20及びAPP・WEBサーバ50を介して取得し、取得した生体情報を用いて生体認証を実行し、認証に成功した場合に、FIDO認証の登録処理を実行する。【選択図】図2
Description
本発明は、端末装置、認証サーバ、端末装置の制御方法、認証方法及びプログラムに関する。
FIDO(fast identity online)のプロトコルに従った認証(以下、「FIDO認証」)の一例では、参照用生体情報が端末装置に登録される。そして、端末装置側で、端末装置に入力された認証対象者の生体情報と、端末装置に登録されている参照用生体情報との照合が実行される。
特許文献1に、個人番号カードの利用頻度を低減する証明書生成システムが開示されている。当該証明書生成システムは、情報処理装置と、証明書生成装置とを有する。
情報処理装置は、利用者の個人番号カードから署名用証明書を読み出す読出部と、利用者の第1の生体情報を読み取る読取部と、公開鍵と秘密鍵との組を生成する生成部と、公開鍵と署名用証明書に関する情報とを証明書生成装置に送信する第1の送信部と、公開鍵を含む公開鍵証明書が証明書生成装置から受信されると、第1の生体情報と秘密鍵とに関連付けて公開鍵証明書を記憶する第1の記憶部とを有する。
証明書生成装置は、情報処理装置から公開鍵を受信すると、公開鍵を含む公開鍵証明書の生成を制御する生成制御部と、生成された公開鍵証明書を情報処理装置に送信する第2の送信部と、公開鍵証明書を署名用証明書に関する情報に関連付けて記憶する第2の記憶部とを有する。
本発明者らは、FIDO認証において、参照用生体情報を端末装置に登録する段階でのなりすましを防止する必要があるという課題を見出した。ここでの「なりすまし」は、例えば、AさんがBさんと偽ってAさんの生体情報を登録する行為である。この場合、BさんのID(identifier)等に対応付けて、Aさんの生体情報が登録されてしまう。特許文献1は、当該課題及びその解決手段を記載も示唆もしていない。
本発明は、FIDO認証のための参照用生体情報を端末装置に登録する段階でのなりすましを防止することを課題とする。
本発明によれば、
端末装置のコンピュータを、
ユーザID及び第1の生体情報リクエストを外部装置に送信し、前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記外部装置から受信する送受信手段、
生体情報入力装置を介して第2の生体情報の入力を受付ける入力受付手段、
前記第1の生体情報と、前記第2の生体情報とを照合する照合手段、
照合に成功した場合、生体情報を自端末装置に登録する処理を実行する登録手段、
として機能させるプログラムが提供される。
端末装置のコンピュータを、
ユーザID及び第1の生体情報リクエストを外部装置に送信し、前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記外部装置から受信する送受信手段、
生体情報入力装置を介して第2の生体情報の入力を受付ける入力受付手段、
前記第1の生体情報と、前記第2の生体情報とを照合する照合手段、
照合に成功した場合、生体情報を自端末装置に登録する処理を実行する登録手段、
として機能させるプログラムが提供される。
また、本発明によれば、
ユーザID及び第1の生体情報リクエストを外部装置に送信し、前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記外部装置から受信する送受信手段と、
生体情報入力装置を介して第2の生体情報の入力を受付ける入力受付手段と、
前記第1の生体情報と、前記第2の生体情報とを照合する照合手段と、
照合に成功した場合、生体情報を自端末装置に登録する処理を実行する登録手段と、
を有する端末装置が提供される。
ユーザID及び第1の生体情報リクエストを外部装置に送信し、前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記外部装置から受信する送受信手段と、
生体情報入力装置を介して第2の生体情報の入力を受付ける入力受付手段と、
前記第1の生体情報と、前記第2の生体情報とを照合する照合手段と、
照合に成功した場合、生体情報を自端末装置に登録する処理を実行する登録手段と、
を有する端末装置が提供される。
また、本発明によれば、
コンピュータが、
ユーザID及び第1の生体情報リクエストを外部装置に送信し、前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記外部装置から受信する送受信工程と、
生体情報入力装置を介して第2の生体情報の入力を受付ける入力受付工程と、
前記第1の生体情報と、前記第2の生体情報とを照合する照合工程と、
照合に成功した場合、生体情報を自端末装置に登録する処理を実行する登録工程と、
を実行する端末装置の制御方法が提供される。
コンピュータが、
ユーザID及び第1の生体情報リクエストを外部装置に送信し、前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記外部装置から受信する送受信工程と、
生体情報入力装置を介して第2の生体情報の入力を受付ける入力受付工程と、
前記第1の生体情報と、前記第2の生体情報とを照合する照合工程と、
照合に成功した場合、生体情報を自端末装置に登録する処理を実行する登録工程と、
を実行する端末装置の制御方法が提供される。
また、本発明によれば、
ユーザID及び第1の生体情報リクエストを外部装置から受信するリクエスト受信手段と、
前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記生体情報管理サーバから受信する第1の生体情報受信手段と、
前記第1の生体情報を、前記外部装置に送信する送信手段と、
を有する認証サーバが提供される。
ユーザID及び第1の生体情報リクエストを外部装置から受信するリクエスト受信手段と、
前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記生体情報管理サーバから受信する第1の生体情報受信手段と、
前記第1の生体情報を、前記外部装置に送信する送信手段と、
を有する認証サーバが提供される。
また、本発明によれば、
コンピュータが、
ユーザID及び第1の生体情報リクエストを外部装置から受信するリクエスト受信工程と、
前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記生体情報管理サーバから受信する第1の生体情報受信工程と、
前記第1の生体情報を、前記外部装置に送信する送信工程と、
を実行する認証方法が提供される。
コンピュータが、
ユーザID及び第1の生体情報リクエストを外部装置から受信するリクエスト受信工程と、
前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記生体情報管理サーバから受信する第1の生体情報受信工程と、
前記第1の生体情報を、前記外部装置に送信する送信工程と、
を実行する認証方法が提供される。
また、本発明によれば、
コンピュータを、
ユーザID及び第1の生体情報リクエストを外部装置から受信するリクエスト受信手段、
前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記生体情報管理サーバから受信する第1の生体情報受信手段、
前記第1の生体情報を、前記外部装置に送信する送信手段、
として機能させるプログラムが提供される。
コンピュータを、
ユーザID及び第1の生体情報リクエストを外部装置から受信するリクエスト受信手段、
前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記生体情報管理サーバから受信する第1の生体情報受信手段、
前記第1の生体情報を、前記外部装置に送信する送信手段、
として機能させるプログラムが提供される。
また、本発明によれば、
端末装置のコンピュータを、
生体情報入力装置を介して第2の生体情報の入力を受付ける入力受付手段、
ユーザID、前記第2の生体情報及び照合リクエストを外部装置に送信し、前記第2の生体情報と、前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報との照合結果を、前記外部装置から受信する送受信手段、
照合に成功した場合、生体情報を自端末装置に登録する処理を実行する登録手段、
として機能させるプログラムが提供される。
端末装置のコンピュータを、
生体情報入力装置を介して第2の生体情報の入力を受付ける入力受付手段、
ユーザID、前記第2の生体情報及び照合リクエストを外部装置に送信し、前記第2の生体情報と、前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報との照合結果を、前記外部装置から受信する送受信手段、
照合に成功した場合、生体情報を自端末装置に登録する処理を実行する登録手段、
として機能させるプログラムが提供される。
また、本発明によれば、
生体情報入力装置を介して第2の生体情報の入力を受付ける入力受付手段と、
ユーザID、前記第2の生体情報及び照合リクエストを外部装置に送信し、前記第2の生体情報と、前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報との照合結果を、前記外部装置から受信する送受信手段と、
照合に成功した場合、生体情報を自端末装置に登録する処理を実行する登録手段と、
を有する端末装置が提供される。
生体情報入力装置を介して第2の生体情報の入力を受付ける入力受付手段と、
ユーザID、前記第2の生体情報及び照合リクエストを外部装置に送信し、前記第2の生体情報と、前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報との照合結果を、前記外部装置から受信する送受信手段と、
照合に成功した場合、生体情報を自端末装置に登録する処理を実行する登録手段と、
を有する端末装置が提供される。
また、本発明によれば、
コンピュータが、
生体情報入力装置を介して第2の生体情報の入力を受付ける入力受付工程と、
ユーザID、前記第2の生体情報及び照合リクエストを外部装置に送信し、前記第2の生体情報と、前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報との照合結果を、前記外部装置から受信する送受信工程と、
照合に成功した場合、生体情報を自端末装置に登録する処理を実行する登録工程と、
を実行する端末装置の制御方法が提供される。
コンピュータが、
生体情報入力装置を介して第2の生体情報の入力を受付ける入力受付工程と、
ユーザID、前記第2の生体情報及び照合リクエストを外部装置に送信し、前記第2の生体情報と、前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報との照合結果を、前記外部装置から受信する送受信工程と、
照合に成功した場合、生体情報を自端末装置に登録する処理を実行する登録工程と、
を実行する端末装置の制御方法が提供される。
また、本発明によれば、
ユーザID、第2の生体情報及び照合リクエストを外部装置から受信するリクエスト受信手段と、
前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記生体情報管理サーバから受信する第1の生体情報受信手段と、
前記第1の生体情報と、前記第2の生体情報とを照合する照合手段と、
照合結果を前記外部装置に送信する送信手段と、
を有する認証サーバが提供される。
ユーザID、第2の生体情報及び照合リクエストを外部装置から受信するリクエスト受信手段と、
前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記生体情報管理サーバから受信する第1の生体情報受信手段と、
前記第1の生体情報と、前記第2の生体情報とを照合する照合手段と、
照合結果を前記外部装置に送信する送信手段と、
を有する認証サーバが提供される。
また、本発明によれば、
コンピュータが、
ユーザID、第2の生体情報及び照合リクエストを外部装置から受信するリクエスト受信工程と、
前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記生体情報管理サーバから受信する第1の生体情報受信工程と、
前記第1の生体情報と、前記第2の生体情報とを照合する照合工程と、
照合結果を前記外部装置に送信する送信工程と、
を実行する認証方法が提供される。
コンピュータが、
ユーザID、第2の生体情報及び照合リクエストを外部装置から受信するリクエスト受信工程と、
前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記生体情報管理サーバから受信する第1の生体情報受信工程と、
前記第1の生体情報と、前記第2の生体情報とを照合する照合工程と、
照合結果を前記外部装置に送信する送信工程と、
を実行する認証方法が提供される。
また、本発明によれば、
コンピュータを、
ユーザID、第2の生体情報及び照合リクエストを外部装置から受信するリクエスト受信手段、
前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記生体情報管理サーバから受信する第1の生体情報受信手段、
前記第1の生体情報と、前記第2の生体情報とを照合する照合手段、
照合結果を前記外部装置に送信する送信手段、
として機能させるプログラムが提供される。
コンピュータを、
ユーザID、第2の生体情報及び照合リクエストを外部装置から受信するリクエスト受信手段、
前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記生体情報管理サーバから受信する第1の生体情報受信手段、
前記第1の生体情報と、前記第2の生体情報とを照合する照合手段、
照合結果を前記外部装置に送信する送信手段、
として機能させるプログラムが提供される。
本発明によれば、FIDO認証のための参照用生体情報を端末装置に登録する段階でのなりすましを防止することができる。
上述した目的、およびその他の目的、特徴および利点は、以下に述べる好適な実施の形態、およびそれに付随する以下の図面によってさらに明らかになる。
<第1の実施形態>
「認証システムの全体像及び各装置の概要」
まず、図2の機能ブロック図を用いて、本実施形態の認証システムの全体像及び各装置の概要を説明する。認証システムは、認証サーバ20と、APP(application)・WEBサーバ50とを有する。認証システムは、さらに、端末装置10及び生体情報管理サーバ60の少なくとも一方を有してもよい。これら装置は、インターネット等の通信ネットワークを介して、互いに通信可能に構成される。
「認証システムの全体像及び各装置の概要」
まず、図2の機能ブロック図を用いて、本実施形態の認証システムの全体像及び各装置の概要を説明する。認証システムは、認証サーバ20と、APP(application)・WEBサーバ50とを有する。認証システムは、さらに、端末装置10及び生体情報管理サーバ60の少なくとも一方を有してもよい。これら装置は、インターネット等の通信ネットワークを介して、互いに通信可能に構成される。
認証サーバ20、APP・WEBサーバ50及び生体情報管理サーバ60各々は、物理的及び/又は論理的に分かれた複数のサーバで実現されてもよいし、物理的及び論理的に1つのサーバで実現されてもよい。
また、認証サーバ20及びAPP・WEBサーバ50は、物理的及び/又は論理的に分かれて構成されてもよい。すなわち、物理的及び/又は論理的に分かれた2つのサーバの一方に、認証サーバ20を実現するプログラムがインストールされ、他方にAPP・WEBサーバ50を実現するプログラムがインストールされてもよい。その他、認証サーバ20及びAPP・WEBサーバ50は、物理的及び論理的に一体に構成されてもよい。すなわち、物理的及び論理的に1つのサーバに、認証サーバ20を実現するプログラム、及び、APP・WEBサーバ50を実現するプログラムの両方がインストールされてもよい。
APP・WEBサーバ50は、インターネット等の通信ネットワークを介して所定のサービスを提供するサーバである。APP・WEBサーバ50は、ログイン時の認証にFIDO認証を採用してもよい。その他、APP・WEBサーバ50が提供するサービスの中には、FIDO認証に成功した場合に実行される処理(以下、「認証要求処理」)が存在してもよい。例えば、APP・WEBサーバ50が提供するサービスはネットショッピングであり、認証要求処理は決済等であってもよい。その他、APP・WEBサーバ50が提供するサービスはインターネットバンキングであり、認証要求処理は送金等であってもよい。なお、ここでの例示はあくまで一例であり、これらに限定されない。
端末装置10は、例えばスマートフォン、タブレット端末、PC(personal computer)、携帯電話等である。端末装置10には、APP・WEBサーバ50が提供するサービスを受けるための専用のアプリ(以下、「専用アプリ」)がインストールされる。また、端末装置10には、FIDO認証のための機能、例えばAuthenticator、ASM(Authenticator Specific Module)、FIDO Client等が導入されている。
生体情報管理サーバ60は、複数の人物各々の生体情報を記憶し、外部装置からのリクエストに応じて所定の人物の生体情報を提供する。例えば、生体情報管理サーバ60は、国や地方自治体により管理されるサーバであり、住民の生体情報を記憶していてもよい。なお、生体情報管理サーバ60は、その他の団体により管理されるサーバであってもよい。
認証サーバ20は、FIDO認証に関する処理を実行する。
「FIDO認証のための参照用生体情報を端末装置10に登録する処理の概要」
ユーザは、専用アプリを端末装置10にインストールした後、専用アプリを起動して、FIDO認証のための参照用生体情報を端末装置10に登録するための各種入力を行う。
ユーザは、専用アプリを端末装置10にインストールした後、専用アプリを起動して、FIDO認証のための参照用生体情報を端末装置10に登録するための各種入力を行う。
端末装置10は、ユーザ入力に応じて参照用生体情報を登録する前に、生体情報管理サーバ60に記憶されている生体情報を用いて生体認証を行うことで、参照用生体情報を登録しようとしているユーザが真のユーザであるか確認する。生体認証に成功した場合、端末装置10は参照用生体情報を登録する。一方、生体認証に失敗した場合、端末装置10は参照用生体情報を登録しない。
このように、本実施形態の認証システムは、参照用生体情報を登録する前に生体情報管理サーバ60に記憶されている生体情報を用いて生体認証を行うことで、参照用生体情報を端末装置10に登録する段階でのなりすましを防止する。以下、詳細に説明する。
「各装置の構成」
以下、各装置の構成を詳細に説明する。
以下、各装置の構成を詳細に説明する。
「生体情報管理サーバ60の構成」
図3に、生体情報管理サーバ60の機能ブロック図の一例を示す。図示するように、生体情報管理サーバ60は、第1の生体情報記憶部61と、返信部62とを有する。
図3に、生体情報管理サーバ60の機能ブロック図の一例を示す。図示するように、生体情報管理サーバ60は、第1の生体情報記憶部61と、返信部62とを有する。
第1の生体情報記憶部61は、複数の人物各々の生体情報を記憶する。図4に、生体情報管理サーバ60が記憶する情報の一例を模式的に示す。図示する例では、ユーザIDと、生体情報とが対応付けて記憶されている。以下、生体情報管理サーバ60が記憶する生体情報を、「第1の生体情報」という。
ユーザIDは、複数の人物各々を識別する情報である。例えば、ユーザIDは、国民や市民各々に付された個人番号(例:マイナンバー、社会保障番号等)であってもよい。その他、ユーザIDは、氏名、生年月日、住所等の複数の情報の組合せで個人を識別する情報であってもよい。第1の生体情報は、指紋、声紋、虹彩等が例示されるが、これらに限定されない。
返信部62は、ユーザIDを指定して第1の生体情報を要求するリクエストを外部装置から受信すると、指定されたユーザIDに対応付けて記憶されている第1の生体情報を第1の生体情報記憶部61から読み出し、外部装置に返信する。
「端末装置10の構成」
図5に、端末装置10の機能ブロック図の一例を示す。図示するように、端末装置10は、送受信部11と、入力受付部12と、照合部13と、登録部14とを有する。端末装置10に所定のアプリ(専用アプリ)をインストールすることで、送受信部11、入力受付部12、照合部13及び登録部14の機能が端末装置10に付与される。すなわち、専用アプリは、端末装置10のコンピュータを、送受信部11、入力受付部12、照合部13及び登録部14として機能させるプログラムである。
図5に、端末装置10の機能ブロック図の一例を示す。図示するように、端末装置10は、送受信部11と、入力受付部12と、照合部13と、登録部14とを有する。端末装置10に所定のアプリ(専用アプリ)をインストールすることで、送受信部11、入力受付部12、照合部13及び登録部14の機能が端末装置10に付与される。すなわち、専用アプリは、端末装置10のコンピュータを、送受信部11、入力受付部12、照合部13及び登録部14として機能させるプログラムである。
送受信部11は、ユーザID及び第1の生体情報リクエストをAPP・WEBサーバ50(外部装置)に送信する。そして、送受信部11は、当該ユーザIDで特定されるユーザの第1の生体情報を、APP・WEBサーバ50から受信する。
入力受付部12は、生体情報入力装置を介して生体情報の入力を受付ける。以降、入力受付部12が取得した生体情報を「第2の生体情報」という。第2の生体情報は、指紋、声紋、虹彩等が例示されるが、これらに限定されない。また、生体情報入力装置は、指紋センサ、マイク、カメラ等が例示されるが、これらに限定されない。端末装置10が生体情報入力装置を備えてもよいし、端末装置10に生体情報入力装置が接続されてもよい。
照合部13は、送受信部11が受信した第1の生体情報と、入力受付部12が取得した第2の生体情報とを照合する。そして、照合部13は、照合結果を出力する。
登録部14は、照合に成功した場合、FIDOの登録処理を実行する。登録部14による当該処理は、FIDOの登録プロトコルに従って実施される。例えば、登録部14は、生体情報を取得し、参照用生体情報として端末装置10に記憶させる。また、登録部14は、公開鍵及び秘密鍵のペアを生成し、端末装置10に秘密鍵を記憶させるとともに、APP・WEBサーバ50を経由して認証サーバ20に公開鍵を送信する。なお、照合に失敗した場合、登録部14は、FIDOの登録処理を実行しない。
「APP・WEBサーバ50の構成」
図6に、APP・WEBサーバ50の機能ブロック図の一例を示す。図示するように、APP・WEBサーバ50は、リクエスト処理部51と、第1の生体情報処理部52とを有する。
図6に、APP・WEBサーバ50の機能ブロック図の一例を示す。図示するように、APP・WEBサーバ50は、リクエスト処理部51と、第1の生体情報処理部52とを有する。
リクエスト処理部51は、ユーザID及び第1の生体情報リクエストを端末装置10から受信する。そして、リクエスト処理部51は、ユーザID及び第1の生体情報リクエストを認証サーバ20に送信する。
第1の生体情報処理部52は、第1の生体情報リクエストに応じて認証サーバ20から送信されてきた第1の生体情報を受信する。そして第1の生体情報処理部52は、受信した第1の生体情報を端末装置10に送信する。
「認証サーバ20の構成」
図7に、認証サーバ20の機能ブロック図の一例を示す。図示するように、認証サーバ20は、リクエスト受信部21と、第1の生体情報受信部22と、送信部23とを有する。
図7に、認証サーバ20の機能ブロック図の一例を示す。図示するように、認証サーバ20は、リクエスト受信部21と、第1の生体情報受信部22と、送信部23とを有する。
リクエスト受信部21は、ユーザID及び第1の生体情報リクエストをAPP・WEBサーバ50(外部装置)から受信する。
第1の生体情報受信部22は、リクエスト受信部21が受信したユーザIDに対応付けて記憶されている第1の生体情報を要求するリクエストを、生体情報管理サーバ60に送信する。そして、第1の生体情報受信部22は、当該リクエストに応じて生体情報管理サーバ60から送信されてきた第1の生体情報を受信する。
送信部23は、第1の生体情報受信部22が受信した第1の生体情報を、APP・WEBサーバ50に送信する。
「処理の流れ」
次に、図8のシーケンス図を用いて、FIDOの登録処理の流れの一例を説明する。
次に、図8のシーケンス図を用いて、FIDOの登録処理の流れの一例を説明する。
まず、ユーザは、端末装置10を操作して専用アプリを起動し、APP・WEBサーバ50にログインする。その後、ユーザは、専用アプリの画面上から、FIDOの登録処理を開始する入力を行う。この時、ユーザは、自身のユーザID(生体情報管理サーバ60において第1の生体情報に対応付けて記憶されているユーザID)を入力する。すると、端末装置10は、ユーザID及び登録リクエストをAPP・WEBサーバ50に送信する(S101)。この登録リクエストが、上述した「第1の生体情報リクエスト」となる。
その後、APP・WEBサーバ50は、S101で受信したユーザID及び登録リクエストを認証サーバ20に送信する(S102)。
認証サーバ20は、S102で受信したユーザIDに対応付けて記憶されている第1の生体情報を要求するリクエストを、生体情報管理サーバ60に送信する(S103)。そして、認証サーバ20は、当該リクエストに応じて生体情報管理サーバ60から送信されてきた第1の生体情報を受信する(S104)。
認証サーバ20は、受信した第1の生体情報をAPP・WEBサーバ50に送信する(S105)。この時、認証サーバ20は、FIDO認証に関するポリシー等をAPP・WEBサーバ50に送信してもよい。ポリシーは、端末装置10側で満たすべき能力や仕様に関する情報を含む。
APP・WEBサーバ50は、受信した第1の生体情報を端末装置10に送信する(S106)。この時、APP・WEBサーバ50は、ポリシー等を端末装置10に送信してもよい。
次いで、端末装置10は、生体情報の入力を促す画面を表示し、生体情報入力装置を介して第2の生体情報の入力を受付ける(S107)。次いで、端末装置10は、S106で受信した第1の生体情報と、S107で入力を受付けた第2の生体情報とを照合する(S108)。
照合に成功した場合(S109の成功)、端末装置10は、FIDOの登録処理を実行する(S113)。例えば、端末装置10は、生体情報を取得し、参照用生体情報として端末装置10に記憶させる。また、端末装置10は、公開鍵及び秘密鍵のペアを生成し、端末装置10に秘密鍵を記憶させるとともに、APP・WEBサーバ50を経由して認証サーバ20に公開鍵を送信する。
一方、照合に失敗した場合(S109の失敗)、端末装置10は、照合に失敗したため、FIDOの登録処理を実行できない旨をユーザに通知する(S111)。例えば、その旨を示す情報がディスプレイに表示されてもよいし、スピーカを介して出力されてもよい。
「作用効果」
以上、説明した本実施形態の認証システムによれば、FIDO認証のための参照用生体情報を登録する前に、生体情報管理サーバ60に登録されている生体情報を用いて生体認証を行うことができる。そして、認証に成功した場合にFIDOの登録処理を実行し、認証に失敗した場合にはFIDOの登録処理を実行しないようにすることができる。
以上、説明した本実施形態の認証システムによれば、FIDO認証のための参照用生体情報を登録する前に、生体情報管理サーバ60に登録されている生体情報を用いて生体認証を行うことができる。そして、認証に成功した場合にFIDOの登録処理を実行し、認証に失敗した場合にはFIDOの登録処理を実行しないようにすることができる。
このような本実施形態の認証システムによれば、FIDO認証のための参照用生体情報を端末装置10に登録する段階でのなりすましを防止することができる。
<第2の実施形態>
「認証システムの概要」
本実施形態の認証システムは、端末装置10の登録部14による登録処理(図8のS110)が具体化される点で、第1の実施形態と異なる。その他の構成は、第1の実施形態と同様である。
「認証システムの概要」
本実施形態の認証システムは、端末装置10の登録部14による登録処理(図8のS110)が具体化される点で、第1の実施形態と異なる。その他の構成は、第1の実施形態と同様である。
「端末装置10の構成」
端末装置10の登録部14は、第1の生体情報を参照用生体情報として端末装置10に登録してもよい。第1の生体情報は、生体情報管理サーバ60に記憶されている生体情報であり、図8のS106で送受信部11が取得した生体情報である。
端末装置10の登録部14は、第1の生体情報を参照用生体情報として端末装置10に登録してもよい。第1の生体情報は、生体情報管理サーバ60に記憶されている生体情報であり、図8のS106で送受信部11が取得した生体情報である。
その他、端末装置10の登録部14は、第2の生体情報を参照用生体情報として端末装置10に登録してもよい。第2の生体情報は、図8のS107で入力受付部12が入力を受付けた生体情報である。
その他、登録部14は、図8のS110において、生体情報入力装置を介して生体情報の入力を受付け、その生体情報を参照用生体情報として端末装置10に登録してもよい。以下、登録部14が生体情報入力装置を介して入力を受付けた生体情報を「第3の生体情報」という。
第3の生体情報は、第1の生体情報及び第2の生体情報と異なる種類の生体情報であってもよい。異なる種類の例としては、例えば、第1の生体情報及び第2の生体情報が指紋であり、第3の生体情報が声紋や虹彩である例があげられるが、これに限定されない。
端末装置10のその他の構成は、第1の実施形態と同様である。
「認証サーバ20、APP・WEBサーバ50及び生体情報管理サーバ60の構成」
認証サーバ20、APP・WEBサーバ50及び生体情報管理サーバ60の構成は、第1の実施形態と同様である。
認証サーバ20、APP・WEBサーバ50及び生体情報管理サーバ60の構成は、第1の実施形態と同様である。
「作用効果」
以上説明した本実施形態の認証システムによれば、第1の実施形態と同様な作用効果を実現できる。
以上説明した本実施形態の認証システムによれば、第1の実施形態と同様な作用効果を実現できる。
また、本実施形態の認証システムによれば、参照用生体情報を登録する前の生体認証のために取得した生体情報を、FIDO認証のための参照用生体情報として登録することができる。この場合、ユーザに何度も生体情報を入力させるという不都合を回避できる。
また、本実施形態の認証システムによれば、参照用生体情報を登録する前の生体認証のために取得した第2の生体情報とは別に、第3の生体情報の入力を受付け、第3の生体情報を参照用生体情報として登録することができる。このため、参照用生体情報を登録する前の生体認証のために用いる生体情報と異なる種類の生体情報を、参照用生体情報として登録することができる。この場合、参照用生体情報に関する設計の自由度が増し、好ましい。
<第3の実施形態>
「認証システムの概要」
本実施形態の認証サーバ20には、複数のAPP・WEBサーバ50から第1の生体情報リクエスト(FIDOの登録リクエスト)が送信されてくる。例えば、インターネットバンキングを提供するA銀行のAPP・WEBサーバ50、同じくインターネットバンキングを提供するB銀行のAPP・WEBサーバ50、ゲームを提供するC社のAPP・WEBサーバ50等が、各々のユーザからのリクエストに応じて、第1の生体情報リクエストを認証サーバ20に送信する。そして、認証サーバ20は、第1の生体情報リクエストを受信すると、そのリクエストを送信したアプリに基づき(アプリのIDに基づき)参照用生体情報を登録する前の生体認証が必要か否か判定し、判定結果に応じた処理を実行する。
「認証システムの概要」
本実施形態の認証サーバ20には、複数のAPP・WEBサーバ50から第1の生体情報リクエスト(FIDOの登録リクエスト)が送信されてくる。例えば、インターネットバンキングを提供するA銀行のAPP・WEBサーバ50、同じくインターネットバンキングを提供するB銀行のAPP・WEBサーバ50、ゲームを提供するC社のAPP・WEBサーバ50等が、各々のユーザからのリクエストに応じて、第1の生体情報リクエストを認証サーバ20に送信する。そして、認証サーバ20は、第1の生体情報リクエストを受信すると、そのリクエストを送信したアプリに基づき(アプリのIDに基づき)参照用生体情報を登録する前の生体認証が必要か否か判定し、判定結果に応じた処理を実行する。
本実施形態の認証システムは、このような点で、第1及び第2の実施形態と異なる。その他の構成は、第1及び第2の実施形態と同様である。
「認証サーバ20の構成」
図9に、認証サーバ20の機能ブロック図の一例を示す。図示するように、認証サーバ20は、リクエスト受信部21と、第1の生体情報受信部22と、送信部23と、判定部24とを有する。
図9に、認証サーバ20の機能ブロック図の一例を示す。図示するように、認証サーバ20は、リクエスト受信部21と、第1の生体情報受信部22と、送信部23と、判定部24とを有する。
リクエスト受信部21の構成は、第1及び第2の実施形態と同様である。
判定部24は、第1の生体情報リクエストを送信したアプリを特定し、特定したアプリに基づき(特定したアプリのIDに基づき)、参照用生体情報を登録する前の生体認証(以下、「なりすまし防止処理」)を実行するか否かを判定する。例えば、APP・WEBサーバ50から認証サーバ20に送信される第1の生体情報リクエストの中に、アプリのIDが含まれてもよい。
判定部24は、予め、なりすまし防止処理を実行するアプリ、及び、なりすまし防止処理を実行しないアプリを特定する情報を保持しておく。当該情報は、例えば、なりすまし防止処理を実行するアプリのリストであってもよいし、なりすまし防止処理を実行しないアプリのリストであってもよいし、その他であってもよい。
例えば、ネットバンキング等のように高いセキュリティが要求されるアプリは、なりすまし防止処理を実行するアプリとなり、そこまで高いセキュリティが要求されないアプリは、なりすまし防止処理を実行しないアプリとなる。
第1の生体情報受信部22は、判定部24による判定結果が「なりすまし防止処理を実行する」である場合、第1の生体情報を要求するリクエストを生体情報管理サーバ60に送信し、第1の生体情報を受信する。一方、判定部24による判定結果が「なりすまし防止処理を実行しない」である場合、第1の生体情報受信部22は当該リクエストの送信、及び、第1の生体情報の受信を実行しない。
送信部23は、判定部24による判定結果が「なりすまし防止処理を実行する」である場合、第1の生体情報受信部22が受信した第1の生体情報をAPP・WEBサーバ50に送信する。一方、判定部24による判定結果が「なりすまし防止処理を実行しない」である場合、送信部23は、なりすまし防止処理を実行しないことを示す情報を、APP・WEBサーバ50に送信する。この場合、送信部23は、第1の生体情報をAPP・WEBサーバ50に送信する処理を実行しない。
第1の生体情報受信部22及び送信部23のその他の構成は、第1及び第2の実施形態と同様である。
「APP・WEBサーバ50の構成」
APP・WEBサーバ50の機能ブロック図の一例は、第1及び第2の実施形態同様、図6で示される。図示するように、APP・WEBサーバ50は、リクエスト処理部51と、第1の生体情報処理部52とを有する。リクエスト処理部51の構成は、第1及び第2の実施形態と同様である。
APP・WEBサーバ50の機能ブロック図の一例は、第1及び第2の実施形態同様、図6で示される。図示するように、APP・WEBサーバ50は、リクエスト処理部51と、第1の生体情報処理部52とを有する。リクエスト処理部51の構成は、第1及び第2の実施形態と同様である。
第1の生体情報処理部52は、第1の生体情報リクエストに応じて認証サーバ20から送信されてきた第1の生体情報、又は、なりすまし防止処理を実行しないことを示す情報を受信する。認証サーバ20が「なりすまし防止処理を実行する」と判定した場合、第1の生体情報処理部52は第1の生体情報を受信する。一方、認証サーバ20が「なりすまし防止処理を実行しない」と判定した場合、第1の生体情報処理部52はなりすまし防止処理を実行しないことを示す情報を受信する。
そして、第1の生体情報処理部52は、受信した第1の生体情報、又は、なりすまし防止処理を実行しないことを示す情報を端末装置10に送信する。第1の生体情報処理部52のその他の構成は、第1及び第2の実施形態と同様である。
「端末装置10の構成」
端末装置10の機能ブロック図の一例は、第1及び第2の実施形態同様、図5で示される。図示するように、端末装置10は、送受信部11と、入力受付部12と、照合部13と、登録部14とを有する。
端末装置10の機能ブロック図の一例は、第1及び第2の実施形態同様、図5で示される。図示するように、端末装置10は、送受信部11と、入力受付部12と、照合部13と、登録部14とを有する。
送受信部11は、ユーザID及び第1の生体情報リクエストをAPP・WEBサーバ50に送信した後、第1の生体情報、又は、なりすまし防止処理を実行しないことを示す情報を受信する。認証サーバ20が「なりすまし防止処理を実行する」と判定した場合、送受信部11は第1の生体情報を受信する。一方、認証サーバ20が「なりすまし防止処理を実行しない」と判定した場合、送受信部11はなりすまし防止処理を実行しないことを示す情報を受信する。
送受信部11が第1の生体情報を受信した場合、入力受付部12、照合部13及び登録部14は、第1及び第2の実施形態と同様な処理を行う。
一方、送受信部11がなりすまし防止処理を実行しないことを示す情報を受信した場合、入力受付部12は、第2の生体情報の入力を受付けない。また、照合部13は、第1の生体情報と第2の生体情報との照合を実行しない。そして、登録部14は、FIDOの登録処理を実行する。
この場合、登録部14は、生体情報入力装置を介して第3の生体情報の入力を受付け、第3の生体情報を参照用生体情報として登録する。
「生体情報管理サーバ60の構成」
生体情報管理サーバ60の構成は、第1及び第2の実施形態と同様である。
生体情報管理サーバ60の構成は、第1及び第2の実施形態と同様である。
「処理の流れ」
次に、図10のシーケンス図を用いて、FIDOの登録処理の流れの一例を説明する。
次に、図10のシーケンス図を用いて、FIDOの登録処理の流れの一例を説明する。
S201及びS202の処理は、図8のS101及びS102の処理と同様である。
S203では、認証サーバ20は、第1の生体情報リクエストを送信してきたアプリのIDに基づき、なりすまし防止処理を実行するか否かを判定する。ここでは、認証サーバ20は、なりすまし防止処理を実行すると判定したものとする。
その後、認証サーバ20は、S202で受信したユーザIDに対応付けて登録されている第1の生体情報を要求するリクエストを、生体情報管理サーバ60に送信する(S204)。そして、認証サーバ20は、当該リクエストに応じて生体情報管理サーバ60から返信されてきた第1の生体情報を受信する(S205)。
認証サーバ20は、受信した第1の生体情報をAPP・WEBサーバ50に送信する(S206)。この時、認証サーバ20は、FIDO認証に関するポリシー等をAPP・WEBサーバ50に送信してもよい。そして、APP・WEBサーバ50は、受信した第1の生体情報を端末装置10に送信する(S207)。APP・WEBサーバ50は、ポリシー等を端末装置10に送信してもよい。
端末装置10は、生体情報の入力を促す画面を表示し、生体情報入力装置を介して第2の生体情報の入力を受付ける(S208)。次いで、端末装置10は、S207で受信した第1の生体情報と、S208で入力を受付けた第2の生体情報とを照合する(S209)。
照合に成功した場合(S210の成功)、端末装置10は、FIDOの登録処理を実行する(S214)。例えば、端末装置10は、生体情報を取得し、参照用生体情報として端末装置10に記憶させる。また、端末装置10は、公開鍵及び秘密鍵のペアを生成し、端末装置10に秘密鍵を記憶させるとともに、APP・WEBサーバ50を経由して認証サーバ20に公開鍵を送信する。
一方、照合に失敗した場合(S210の失敗)、端末装置10は、照合に失敗したため、FIDOの登録処理を実行できない旨をユーザに通知する(S212)。例えば、その旨を示す情報がディスプレイに表示されてもよいし、スピーカを介して出力されてもよい。
次に、図11のシーケンス図を用いて、FIDOの登録処理の他の一例、具体的には、図10のS203でなりすまし防止処理を実行しないと判定された場合の処理の流れの一例を説明する。
S301乃至S303の処理は、図10のS201乃至S203の処理と同様である。
S303で、認証サーバ20がなりすまし防止処理を実行しないと判定した場合、認証サーバ20は、なりすまし防止処理を実行しないことをAPP・WEBサーバ50に通知する(S304)。この時、認証サーバ20は、FIDO認証に関するポリシー等をAPP・WEBサーバ50に送信してもよい。そして、APP・WEBサーバ50は、なりすまし防止処理を実行しないことを端末装置10に通知する(S305)。この時、APP・WEBサーバ50は、ポリシー等を端末装置10に送信してもよい。
当該通知に応じて、端末装置10は、FIDOの登録処理を実行する(S306)。例えば、端末装置10は、生体情報を取得し、参照用生体情報として端末装置10に記憶させる。また、端末装置10は、公開鍵及び秘密鍵のペアを生成し、端末装置10に秘密鍵を記憶させるとともに、APP・WEBサーバ50を経由して認証サーバ20に公開鍵を送信する。
「作用効果」
以上、説明した本実施形態の認証システムによれば、第1及び第2の実施形態と同様の作用効果を実現できる。また、本実施形態の認証システムによれば、認証サーバ20は、複数のAPP・WEBサーバ50から第1の生体情報リクエストを受信し、所定の処理を実行することができる。このため、認証サーバ20の汎用性が高まる。
以上、説明した本実施形態の認証システムによれば、第1及び第2の実施形態と同様の作用効果を実現できる。また、本実施形態の認証システムによれば、認証サーバ20は、複数のAPP・WEBサーバ50から第1の生体情報リクエストを受信し、所定の処理を実行することができる。このため、認証サーバ20の汎用性が高まる。
また、認証サーバ20は、複数のAPP・WEBサーバ50からの第1の生体情報リクエストに対して一律に同様の処理を実行するのでなく、個別になりすまし防止処理を実行するか否か判定し、判定結果に応じた処理を実行することができる。
例えば、認証サーバ20は、高いセキュリティが要求され、なりすまし防止が求められるアプリに対してはなりすまし防止処理を実行し、それほど高いセキュリティが要求されないアプリに対してはなりすまし防止処理を実行しないと判定することができる。結果、本実施形態の認証システムによれば、アプリごとに適した方法、すなわちセキュリティが低すぎたり、不要にセキュリティが高すぎたりという不具合のない方法で、FIDO認証のための参照用生体情報を端末装置10に登録することができる。
<第4の実施形態>
「認証システムの概要」
本実施形態の認証システムは、第1の生体情報と第2の生体情報との照合を行う主体が認証サーバ20である点で、第1乃至第3の実施形態と異なる。以下、説明する。
「認証システムの概要」
本実施形態の認証システムは、第1の生体情報と第2の生体情報との照合を行う主体が認証サーバ20である点で、第1乃至第3の実施形態と異なる。以下、説明する。
「認証システムの全体像」
まず、図12の機能ブロック図を用いて、本実施形態の認証システムの全体像を説明する。認証システムは、認証サーバ40と、APP・WEBサーバ70とを有する。認証システムは、さらに、端末装置30及び生体情報管理サーバ60の少なくとも一方を有してもよい。これら装置は、インターネット等の通信ネットワークを介して、互いに通信可能に構成される。
まず、図12の機能ブロック図を用いて、本実施形態の認証システムの全体像を説明する。認証システムは、認証サーバ40と、APP・WEBサーバ70とを有する。認証システムは、さらに、端末装置30及び生体情報管理サーバ60の少なくとも一方を有してもよい。これら装置は、インターネット等の通信ネットワークを介して、互いに通信可能に構成される。
認証サーバ40、APP・WEBサーバ70及び生体情報管理サーバ60各々は、物理的及び/又は論理的に分かれた複数のサーバで実現されてもよいし、物理的及び論理的に1つのサーバで実現されてもよい。
また、認証サーバ40及びAPP・WEBサーバ70は、物理的及び/又は論理的に分かれて構成されてもよい。すなわち、物理的及び/又は論理的に分かれた2つのサーバの一方に、認証サーバ40を実現するプログラムがインストールされ、他方にAPP・WEBサーバ70を実現するプログラムがインストールされてもよい。その他、認証サーバ40及びAPP・WEBサーバ70は、物理的及び論理的に一体に構成されてもよい。すなわち、物理的及び論理的に1つのサーバに、認証サーバ40を実現するプログラム、及び、APP・WEBサーバ70を実現するプログラムの両方がインストールされてもよい。
「各装置の構成」
以下、各装置の構成を詳細に説明する。
以下、各装置の構成を詳細に説明する。
「生体情報管理サーバ60の構成」
生体情報管理サーバ60の構成は、第1乃至第3の実施形態と同様である。
生体情報管理サーバ60の構成は、第1乃至第3の実施形態と同様である。
「端末装置10の構成」
図13に、端末装置30の機能ブロック図の一例を示す。図示するように、端末装置30は、送受信部31と、入力受付部32と、登録部33とを有する。端末装置30に所定のアプリ(専用アプリ)をインストールすることで、送受信部31、入力受付部32及び登録部33の機能が端末装置30に付与される。すなわち、専用アプリは、端末装置30のコンピュータを、送受信部31、入力受付部32及び登録部33として機能させるプログラムである。
図13に、端末装置30の機能ブロック図の一例を示す。図示するように、端末装置30は、送受信部31と、入力受付部32と、登録部33とを有する。端末装置30に所定のアプリ(専用アプリ)をインストールすることで、送受信部31、入力受付部32及び登録部33の機能が端末装置30に付与される。すなわち、専用アプリは、端末装置30のコンピュータを、送受信部31、入力受付部32及び登録部33として機能させるプログラムである。
入力受付部32は、生体情報入力装置を介して生体情報の入力を受付ける。以降、入力受付部32が取得した生体情報を「第2の生体情報」という。第2の生体情報は、指紋、声紋、虹彩等が例示されるが、これらに限定されない。また、生体情報入力装置は、指紋センサ、マイク、カメラ等が例示されるが、これらに限定されない。端末装置30が生体情報入力装置を備えてもよいし、端末装置30に生体情報入力装置が接続されてもよい。
送受信部31は、ユーザID、第2の生体情報及び照合リクエストをAPP・WEBサーバ70(外部装置)に送信する。そして、送受信部31は、当該ユーザIDに対応付けて生体情報管理サーバ60に記憶されている第1の生体情報と、第2の生体情報との照合結果を、APP・WEBサーバ70から受信する。
登録部33は、照合に成功した場合、すなわち送受信部31が受信した照合結果が「照合成功」である場合、FIDOの登録処理を実行する。例えば、登録部33は、生体情報を取得し、参照用生体情報として端末装置30に記憶させる。また、登録部33は、公開鍵及び秘密鍵のペアを生成し、端末装置30に秘密鍵を記憶させるとともに、APP・WEBサーバ70を経由して認証サーバ40に公開鍵を送信する。なお、照合に失敗した場合、登録部33は、FIDOの登録処理を実行しない。
登録部33は、第2の生体情報を参照用生体情報として端末装置30に登録してもよい。第2の生体情報は、参照用生体情報を登録する前の生体認証のために入力受付部32が入力を受付けた生体情報である。
その他、登録部33は、第1の生体情報を参照用生体情報として端末装置30に登録してもよい。この場合、送受信部31は、照合結果に加えて、第1の生体情報をAPP・WEBサーバ70から受信する。第1の生体情報は、生体情報管理サーバ60に記憶されている生体情報であって、参照用生体情報を登録する前の生体認証で用いられた生体情報である。
その他、登録部33は、生体情報入力装置を介して生体情報の入力を受付け、その生体情報を参照用生体情報として端末装置30に登録してもよい。以下、登録部33が生体情報入力装置を介して入力を受付けた生体情報を「第3の生体情報」という。
第3の生体情報は、第1の生体情報及び第2の生体情報と異なる種類の生体情報であってもよい。異なる種類の例として、例えば、第1の生体情報及び第2の生体情報が指紋であり、第3の生体情報が声紋や虹彩である例があげられるが、これに限定されない。
なお、照合に失敗した場合、すなわち送受信部31が受信した照合結果が「照合失敗」である場合、登録部33は、FIDOの登録処理を実行しない。
「APP・WEBサーバ70の構成」
図14に、APP・WEBサーバ70の機能ブロック図の一例を示す。図示するように、APP・WEBサーバ70は、リクエスト処理部71と、照合結果処理部72とを有する。
図14に、APP・WEBサーバ70の機能ブロック図の一例を示す。図示するように、APP・WEBサーバ70は、リクエスト処理部71と、照合結果処理部72とを有する。
リクエスト処理部71は、ユーザID、第2の生体情報及び照合リクエストを端末装置30から受信する。そして、リクエスト処理部71は、ユーザID、第2の生体情報及び照合リクエストを認証サーバ40に送信する。
照合結果処理部72は、照合リクエストに応じて認証サーバ40から送信されてきた第1の生体情報と第2の生体情報との照合結果を受信する。そして照合結果処理部72は、受信した照合結果を端末装置30に送信する。なお、照合結果処理部72は、照合結果に加えて、第1の生体情報を認証サーバ40から受信してもよい。そして、照合結果処理部72は、受信した第1の生体情報を端末装置30に送信してもよい。
「認証サーバ40の構成」
図15に、認証サーバ40の機能ブロック図の一例を示す。図示するように、認証サーバ40は、リクエスト受信部41と、第1の生体情報受信部42と、照合部43と、送信部44とを有する。
図15に、認証サーバ40の機能ブロック図の一例を示す。図示するように、認証サーバ40は、リクエスト受信部41と、第1の生体情報受信部42と、照合部43と、送信部44とを有する。
リクエスト受信部41は、ユーザID、第2の生体情報及び照合リクエストをAPP・WEBサーバ70(外部装置)から受信する。
第1の生体情報受信部42は、リクエスト受信部41が受信したユーザIDに対応付けて記憶されている第1の生体情報を要求するリクエストを、生体情報管理サーバ60に送信する。そして、第1の生体情報受信部42は、当該リクエストに応じて生体情報管理サーバ60から送信されてきた第1の生体情報を受信する。
照合部43は、第1の生体情報受信部42が受信した第1の生体情報と、リクエスト受信部41が受信した第2の生体情報とを照合する。
送信部44は、照合結果をAPP・WEBサーバ70に送信する。なお、送信部44は、照合結果に加えて、第1の生体情報をAPP・WEBサーバ70に送信してもよい。例えば、送信部44は、照合結果が成功である場合、第1の生体情報をAPP・WEBサーバ70に送信し、照合結果が失敗である場合、第1の生体情報をAPP・WEBサーバ70に送信しなくてもよい。
「処理の流れ」
次に、図16のシーケンス図を用いて、FIDOの登録処理の流れの一例を説明する。
次に、図16のシーケンス図を用いて、FIDOの登録処理の流れの一例を説明する。
まず、ユーザは、端末装置30を操作して専用アプリを起動し、APP・WEBサーバ70にログインする。その後、ユーザは、専用アプリの画面上から、FIDOの登録処理を開始する入力を行う。この時、ユーザは、自身のユーザID(生体情報管理サーバ60において第1の生体情報に対応付けて記憶されているユーザID)を入力する。また、端末装置30は、生体情報の入力を促す画面を表示し、生体情報入力装置を介して第2の生体情報の入力を受付ける(S401)。そして、端末装置30は、ユーザIDと、第2の生体情報と登録リクエストとをAPP・WEBサーバ70に送信する(S402)。この登録リクエストが、上述した「照合リクエスト」となる。
その後、APP・WEBサーバ50は、S402で受信したユーザID、第2の生体情報及び登録リクエストを認証サーバ20に送信する(S403)。
認証サーバ40は、S403で受信したユーザIDに対応付けて記憶されている第1の生体情報を要求するリクエストを、生体情報管理サーバ60に送信する(S404)。そして、認証サーバ40は、当該リクエストに応じて生体情報管理サーバ60から送信されてきた第1の生体情報を受信する(S405)。
その後、認証サーバ40は、S403で受信した第2の生体情報と、S405で受信した第1の生体情報とを照合する(S406)。そして、認証サーバ40は、照合結果をAPP・WEBサーバ70に送信する(S407)。この時、認証サーバ40は、FIDO認証に関するポリシー等をAPP・WEBサーバ70に送信してもよい。ポリシーは、端末装置30で満たすべき能力や仕様に関する情報を含む。次いで、APP・WEBサーバ70は、受信した照合結果を端末装置30に送信する(S408)。この時、APP・WEBサーバ70は、ポリシー等を端末装置30に送信してもよい。
照合に成功した場合(S409の成功)、端末装置30は、FIDOの登録処理を実行する(S413)。例えば、端末装置30は、生体情報を取得し、参照用生体情報として端末装置30に記憶させる。また、端末装置30は、公開鍵及び秘密鍵のペアを生成し、端末装置30に秘密鍵を記憶させるとともに、APP・WEBサーバ70を経由して認証サーバ40に公開鍵を送信する。
一方、照合に失敗した場合(S409の失敗)、端末装置30は、照合に失敗したため、FIDOの登録処理を実行できない旨をユーザに通知する(S411)。例えば、その旨を示す情報がディスプレイに表示されてもよいし、スピーカを介して出力されてもよい。
「作用効果」
以上、説明した本実施形態の認証システムによれば、第1及び第2の実施形態と同様な作用効果を実現できる。
以上、説明した本実施形態の認証システムによれば、第1及び第2の実施形態と同様な作用効果を実現できる。
<第5の実施形態>
「概要」
本実施形態の認証サーバ40には、複数のAPP・WEBサーバ70から照合リクエスト(FIDOの登録リクエスト)が送信されてくる。そして、認証サーバ40は、照合リクエストを受信すると、そのリクエストを送信したアプリに基づき(アプリのIDに基づき)参照用生体情報を登録する前の生体認証が必要か否か判定し、判定結果に応じた処理を実行する。
「概要」
本実施形態の認証サーバ40には、複数のAPP・WEBサーバ70から照合リクエスト(FIDOの登録リクエスト)が送信されてくる。そして、認証サーバ40は、照合リクエストを受信すると、そのリクエストを送信したアプリに基づき(アプリのIDに基づき)参照用生体情報を登録する前の生体認証が必要か否か判定し、判定結果に応じた処理を実行する。
本実施形態の認証システムは、このような点で、第4の実施形態と異なる。その他の構成は、第4の実施形態と同様である。
「認証サーバ40の構成」
図17に、認証サーバ40の機能ブロック図の一例を示す。図示するように、認証サーバ40は、リクエスト受信部41と、第1の生体情報受信部42と、照合部43と、送信部44とを有する。
図17に、認証サーバ40の機能ブロック図の一例を示す。図示するように、認証サーバ40は、リクエスト受信部41と、第1の生体情報受信部42と、照合部43と、送信部44とを有する。
リクエスト受信部41の構成は、第4の実施形態と同様である。
判定部45は、照合リクエストを送信したアプリを特定し、特定したアプリに基づき(特定したアプリのIDに基づき)、参照用生体情報を登録する前の生体認証(なりすまし防止処理)を実行するか否かを判定する。例えば、APP・WEBサーバ50から認証サーバ20に送信される照合リクエストの中に、アプリのIDが含まれてもよい。判定部45の構成は、第3の実施形態で説明した判定部24の構成と同様である。
第1の生体情報受信部42は、判定部45よる判定結果が「なりすまし防止処理を実行する」である場合、第1の生体情報を要求するリクエストを生体情報管理サーバ60に送信し、第1の生体情報を受信する。一方、判定部45よる判定結果が「なりすまし防止処理を実行しない」である場合、第1の生体情報受信部42は当該リクエストの送信、及び、第1の生体情報の受信を実行しない。
照合部43は、判定部45よる判定結果が「なりすまし防止処理を実行する」である場合、第1の生体情報と第2の生体情報との照合を実行する。一方、判定部45よる判定結果が「なりすまし防止処理を実行しない」である場合、照合部43は第1の生体情報と第2の生体情報との照合を実行しない。
送信部44は、判定部45による判定結果が「なりすまし防止処理を実行する」である場合、照合部43の照合結果をAPP・WEBサーバ70に送信する。この場合、送信部44は、第1の生体情報をAPP・WEBサーバ70に送信してもよい。一方、判定部45による判定結果が「なりすまし防止処理を実行しない」である場合、送信部44は、なりすまし防止処理を実行しないことを示す情報を、APP・WEBサーバ70に送信する。この場合、送信部44は、照合結果や第1の生体情報をAPP・WEBサーバ70に送信しない。
第1の生体情報受信部42、照合部43及び送信部44のその他の構成は、第4の実施形態と同様である。
「APP・WEBサーバ70の構成」
APP・WEBサーバ70の機能ブロック図の一例は、第4の実施形態同様、図14で示される。図示するように、APP・WEBサーバ70は、リクエスト処理部71と、照合結果処理部72とを有する。リクエスト処理部71の構成は、第4の実施形態と同様である。
APP・WEBサーバ70の機能ブロック図の一例は、第4の実施形態同様、図14で示される。図示するように、APP・WEBサーバ70は、リクエスト処理部71と、照合結果処理部72とを有する。リクエスト処理部71の構成は、第4の実施形態と同様である。
照合結果処理部72は、照合リクエストに応じて認証サーバ40から送信されてきた照合結果、又は、なりすまし防止処理を実行しないことを示す情報を受信する。認証サーバ40が「なりすまし防止処理を実行する」と判定した場合、照合結果処理部72は照合結果を受信する。この場合、照合結果処理部72はさらに第1の生体情報を受信してもよい。一方、認証サーバ40が「なりすまし防止処理を実行しない」と判定した場合、照合結果処理部72はなりすまし防止処理を実行しないことを示す情報を受信する。
そして、照合結果処理部72は、受信した照合結果、又は、なりすまし防止処理を実行しないことを示す情報を端末装置30に送信する。照合結果処理部72は、受信した第1の生体情報を端末装置30に送信してもよい。照合結果処理部72のその他の構成は、第4の実施形態と同様である。
「端末装置30の構成」
端末装置30の機能ブロック図の一例は、第4の実施形態同様、図13で示される。図示するように、端末装置30は、送受信部31と、入力受付部32と、登録部33とを有する。入力受付部32の構成は、第4の実施形態と同様である。
端末装置30の機能ブロック図の一例は、第4の実施形態同様、図13で示される。図示するように、端末装置30は、送受信部31と、入力受付部32と、登録部33とを有する。入力受付部32の構成は、第4の実施形態と同様である。
送受信部31は、ユーザID、第2の生体情報及び照合リクエストをAPP・WEBサーバ70に送信した後、照合結果、又は、なりすまし防止処理を実行しないことを示す情報を受信する。認証サーバ40が「なりすまし防止処理を実行する」と判定した場合、送受信部31は照合結果を受信する。この場合、送受信部31は、さらに第1の生体情報を受信してもよい。一方、認証サーバ40が「なりすまし防止処理を実行しない」と判定した場合、送受信部31はなりすまし防止処理を実行しないことを示す情報を受信する。
送受信部31が照合結果を受信した場合、登録部33は第4の実施形態と同様な処理を行う。
一方、送受信部31がなりすまし防止処理を実行しないことを示す情報を受信した場合、登録部33は、FIDOの登録処理を実行する。この場合、登録部33は、生体情報入力装置を介して第3の生体情報の入力を受付け、第3の生体情報を参照用生体情報として登録する。
「APP・WEBサーバ70及び生体情報管理サーバ60の構成」
APP・WEBサーバ70及び生体情報管理サーバ60の構成は、第4の実施形態と同様である。
APP・WEBサーバ70及び生体情報管理サーバ60の構成は、第4の実施形態と同様である。
「処理の流れ」
次に、図18のシーケンス図を用いて、FIDOの登録処理の流れの一例を説明する。
次に、図18のシーケンス図を用いて、FIDOの登録処理の流れの一例を説明する。
S501乃至S503の処理は、図16のS401乃至S403の処理と同様である。
S504では、認証サーバ40は、登録リクエスト(照合リクエスト)を送信してきたアプリのIDに基づき、なりすまし防止処理を実行するか否かを判定する。ここでは、認証サーバ40は、なりすまし防止処理を実行すると判定したものとする。
その後、認証サーバ40は、S503で受信したユーザIDに対応付けて記憶されている第1の生体情報を要求するリクエストを、生体情報管理サーバ60に送信する(S505)。そして、認証サーバ40は、当該リクエストに応じて生体情報管理サーバ60から送信されてきた第1の生体情報を受信する(S506)。
その後、認証サーバ40は、S503で受信した第2の生体情報と、S506で受信した第1の生体情報とを照合する(S507)。そして、認証サーバ40は、照合結果をAPP・WEBサーバ70に送信する(S508)。この時、認証サーバ40は、FIDO認証に関するポリシー等をAPP・WEBサーバ70に送信してもよい。APP・WEBサーバ70は、受信した照合結果を端末装置30に送信する(S509)。この時、APP・WEBサーバ70は、ポリシー等を端末装置30に送信してもよい。
照合に成功した場合(S510の成功)、端末装置30は、FIDOの登録処理を実行する(S511)。例えば、端末装置30は、生体情報を取得し、参照用生体情報として端末装置30に記憶させる。また、端末装置30は、公開鍵及び秘密鍵のペアを生成し、端末装置30に秘密鍵を記憶させるとともに、APP・WEBサーバ70を経由して認証サーバ40に公開鍵を送信する。
一方、照合に失敗した場合(S510の失敗)、端末装置30は、照合に失敗したため、FIDOの登録処理を実行できない旨をユーザに通知する(S512)。例えば、その旨を示す情報がディスプレイに表示されてもよいし、スピーカを介して出力されてもよい。
次に、図19のシーケンス図を用いて、FIDOの登録処理の一例、具体的には、図18のS504でなりすまし防止処理を実行しないと判定された場合の処理の流れの一例を説明する。
S601乃至S604の処理は、図18のS501乃至S504の処理と同様である。
S604で、認証サーバ40がなりすまし防止処理を実行しないと判定した場合、認証サーバ40は、なりすまし防止処理を実行しないことをAPP・WEBサーバ70に通知する(S605)。この時、認証サーバ40は、FIDO認証に関するポリシー等をAPP・WEBサーバ70に送信してもよい。そして、APP・WEBサーバ70は、なりすまし防止処理を実行しないことを端末装置30に通知する(S606)。この時、APP・WEBサーバ70は、ポリシー等を端末装置10に送信してもよい。
当該通知に応じて、端末装置30は、FIDOの登録処理を実行する(S607)。例えば、端末装置30は、生体情報を取得し、参照用生体情報として端末装置30に記憶させる。また、端末装置30は、公開鍵及び秘密鍵のペアを生成し、端末装置30に秘密鍵を記憶させるとともに、APP・WEBサーバ70を経由して認証サーバ40に公開鍵を送信する。
「作用効果」
以上、説明した本実施形態の認証システムによれば、第3及び第4の実施形態と同様の作用効果を実現できる。
以上、説明した本実施形態の認証システムによれば、第3及び第4の実施形態と同様の作用効果を実現できる。
<ハードウエア構成>
次に、各装置(端末装置10、30、認証サーバ20、40、APP・WEBサーバ50、70、生体情報管理サーバ60)のハードウエア構成の一例について説明する。本実施形態の各装置が備える各機能部は、任意のコンピュータのCPU(Central Processing Unit)、メモリ、メモリにロードされるプログラム、そのプログラムを格納するハードディスク等の記憶ユニット(あらかじめ装置を出荷する段階から格納されているプログラムのほか、CD(Compact Disc)等の記憶媒体やインターネット上のサーバ等からダウンロードされたプログラムをも格納できる)、ネットワーク接続用インターフェイスを中心にハードウエアとソフトウエアの任意の組合せによって実現される。そして、その実現方法、装置にはいろいろな変形例があることは、当業者には理解されるところである。
次に、各装置(端末装置10、30、認証サーバ20、40、APP・WEBサーバ50、70、生体情報管理サーバ60)のハードウエア構成の一例について説明する。本実施形態の各装置が備える各機能部は、任意のコンピュータのCPU(Central Processing Unit)、メモリ、メモリにロードされるプログラム、そのプログラムを格納するハードディスク等の記憶ユニット(あらかじめ装置を出荷する段階から格納されているプログラムのほか、CD(Compact Disc)等の記憶媒体やインターネット上のサーバ等からダウンロードされたプログラムをも格納できる)、ネットワーク接続用インターフェイスを中心にハードウエアとソフトウエアの任意の組合せによって実現される。そして、その実現方法、装置にはいろいろな変形例があることは、当業者には理解されるところである。
図1は、本実施形態の各装置のハードウエア構成を例示するブロック図である。図1に示すように、各装置は、プロセッサ1A、メモリ2A、入出力インターフェイス3A、周辺回路4A、バス5Aを有する。周辺回路4Aには、様々なモジュールが含まれる。処理装置は周辺回路4Aを有さなくてもよい。なお、各装置は物理的に分かれた複数の装置で構成されてもよい。この場合、各装置を実現する複数の装置各々が上記ハードウエア構成を備えることができる。
バス5Aは、プロセッサ1A、メモリ2A、周辺回路4A及び入出力インターフェイス3Aが相互にデータを送受信するためのデータ伝送路である。プロセッサ1Aは、例えばCPU、GPU(Graphics Processing Unit)などの演算処理装置である。メモリ2Aは、例えばRAM(Random Access Memory)やROM(Read Only Memory)などのメモリである。入出力インターフェイス3Aは、入力装置、外部装置、外部サーバ、外部センサ等から情報を取得するためのインターフェイスや、出力装置、外部装置、外部サーバ等に情報を出力するためのインターフェイスなどを含む。入力装置は、例えばキーボード、マウス、マイク等である。出力装置は、例えばディスプレイ、スピーカ、プリンター、メーラ等である。プロセッサ1Aは、各モジュールに指令を出し、それらの演算結果をもとに演算を行うことができる。
以下、参考形態の例を付記する。
1. 端末装置のコンピュータを、
ユーザID及び第1の生体情報リクエストを外部装置に送信し、前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記外部装置から受信する送受信手段、
生体情報入力装置を介して第2の生体情報の入力を受付ける入力受付手段、
前記第1の生体情報と、前記第2の生体情報とを照合する照合手段、
照合に成功した場合、生体情報を自端末装置に登録する処理を実行する登録手段、
として機能させるプログラム。
2. 1に記載のプログラムにおいて、
前記登録手段は、前記第1の生体情報又は前記第2の生体情報を、自端末装置に登録するプログラム。
3. 1に記載のプログラムにおいて、
前記登録手段は、前記第1の生体情報及び前記第2の生体情報と異なる種類の第3の生体情報の入力を受付け、前記第3の生体情報を自端末装置に登録するプログラム。
4. 1から3のいずれかに記載のプログラムにおいて、
前記送受信手段は、前記第1の生体情報に代えて、なりすまし防止処理を実行しないことを示す情報を受信し、
前記登録手段は、前記送受信手段が前記なりすまし防止処理を実行しないことを示す情報を受信した場合、生体情報を自端末装置に登録する処理を実行するプログラム。
5. ユーザID及び第1の生体情報リクエストを外部装置に送信し、前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記外部装置から受信する送受信手段と、
生体情報入力装置を介して第2の生体情報の入力を受付ける入力受付手段と、
前記第1の生体情報と、前記第2の生体情報とを照合する照合手段と、
照合に成功した場合、生体情報を自端末装置に登録する処理を実行する登録手段と、
を有する端末装置。
6. コンピュータが、
ユーザID及び第1の生体情報リクエストを外部装置に送信し、前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記外部装置から受信する送受信工程と、
生体情報入力装置を介して第2の生体情報の入力を受付ける入力受付工程と、
前記第1の生体情報と、前記第2の生体情報とを照合する照合工程と、
照合に成功した場合、生体情報を自端末装置に登録する処理を実行する登録工程と、
を実行する端末装置の制御方法。
7. ユーザID及び第1の生体情報リクエストを外部装置から受信するリクエスト受信手段と、
前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記生体情報管理サーバから受信する第1の生体情報受信手段と、
前記第1の生体情報を、前記外部装置に送信する送信手段と、
を有する認証サーバ。
8. 7に記載の認証サーバにおいて、
前記第1の生体情報リクエストを送信したアプリを特定し、特定した前記アプリに基づき、なりすまし防止処理を実行するか否かを判定する判定手段をさらに有し、
前記判定手段が前記なりすまし防止処理を実行すると判定した場合、
前記第1の生体情報受信手段は、前記第1の生体情報を前記生体情報管理サーバから受信し、
前記送信手段は、前記第1の生体情報を前記外部装置に送信する認証サーバ。
9. 8に記載の認証サーバにおいて、
前記判定手段が前記なりすまし防止処理を実行しないと判定した場合、
前記送信手段は、前記なりすまし防止処理を実行しないことを示す情報を、前記外部装置に送信する認証サーバ。
10. コンピュータが、
ユーザID及び第1の生体情報リクエストを外部装置から受信するリクエスト受信工程と、
前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記生体情報管理サーバから受信する第1の生体情報受信工程と、
前記第1の生体情報を、前記外部装置に送信する送信工程と、
を実行する認証方法。
11. コンピュータを、
ユーザID及び第1の生体情報リクエストを外部装置から受信するリクエスト受信手段、
前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記生体情報管理サーバから受信する第1の生体情報受信手段、
前記第1の生体情報を、前記外部装置に送信する送信手段、
として機能させるプログラム。
12. 端末装置のコンピュータを、
生体情報入力装置を介して第2の生体情報の入力を受付ける入力受付手段、
ユーザID、前記第2の生体情報及び照合リクエストを外部装置に送信し、前記第2の生体情報と、前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報との照合結果を、前記外部装置から受信する送受信手段、
照合に成功した場合、生体情報を自端末装置に登録する処理を実行する登録手段、
として機能させるプログラム。
13. 12に記載のプログラムにおいて、
前記登録手段は、前記第2の生体情報を自端末装置に登録するプログラム。
14. 12に記載のプログラムにおいて、
前記登録手段は、前記第1の生体情報を前記外部装置から受信し、前記第1の生体情報を自端末装置に登録するプログラム。
15. 12に記載のプログラムにおいて、
前記登録手段は、前記第1の生体情報及び前記第2の生体情報と異なる種類の第3の生体情報の入力を受付け、前記第3の生体情報を自端末装置に登録するプログラム。
16. 12から15のいずれかに記載のプログラムにおいて、
前記送受信手段は、前記照合結果に代えて、なりすまし防止処理を実行しないことを示す情報を受信し、
前記登録手段は、前記送受信手段が前記なりすまし防止処理を実行しないことを示す情報を受信した場合、生体情報を自端末装置に登録する処理を実行するプログラム。
17. 生体情報入力装置を介して第2の生体情報の入力を受付ける入力受付手段と、
ユーザID、前記第2の生体情報及び照合リクエストを外部装置に送信し、前記第2の生体情報と、前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報との照合結果を、前記外部装置から受信する送受信手段と、
照合に成功した場合、生体情報を自端末装置に登録する処理を実行する登録手段と、
を有する端末装置。
18. コンピュータが、
生体情報入力装置を介して第2の生体情報の入力を受付ける入力受付工程と、
ユーザID、前記第2の生体情報及び照合リクエストを外部装置に送信し、前記第2の生体情報と、前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報との照合結果を、前記外部装置から受信する送受信工程と、
照合に成功した場合、生体情報を自端末装置に登録する処理を実行する登録工程と、
を実行する端末装置の制御方法。
19. ユーザID、第2の生体情報及び照合リクエストを外部装置から受信するリクエスト受信手段と、
前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記生体情報管理サーバから受信する第1の生体情報受信手段と、
前記第1の生体情報と、前記第2の生体情報とを照合する照合手段と、
照合結果を前記外部装置に送信する送信手段と、
を有する認証サーバ。
20. 19に記載の認証サーバにおいて、
前記照合リクエストを送信したアプリを特定し、特定した前記アプリに基づき、なりすまし防止処理を実行するか否かを判定する判定手段をさらに有し、
前記判定手段が前記なりすまし防止処理を実行すると判定した場合、
前記第1の生体情報受信手段は、前記第1の生体情報を前記生体情報管理サーバから受信し、
前記照合手段は、前記第1の生体情報と、前記第2の生体情報とを照合し、
前記送信手段は、前記照合結果を前記外部装置に送信する認証サーバ。
21. 20に記載の認証サーバにおいて、
前記判定手段が前記なりすまし防止処理を実行しないと判定した場合、
前記送信手段は、前記なりすまし防止処理を実行しないことを示す情報を、前記外部装置に送信する認証サーバ。
22. コンピュータが、
ユーザID、第2の生体情報及び照合リクエストを外部装置から受信するリクエスト受信工程と、
前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記生体情報管理サーバから受信する第1の生体情報受信工程と、
前記第1の生体情報と、前記第2の生体情報とを照合する照合工程と、
照合結果を前記外部装置に送信する送信工程と、
を実行する認証方法。
23. コンピュータを、
ユーザID、第2の生体情報及び照合リクエストを外部装置から受信するリクエスト受信手段、
前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記生体情報管理サーバから受信する第1の生体情報受信手段、
前記第1の生体情報と、前記第2の生体情報とを照合する照合手段、
照合結果を前記外部装置に送信する送信手段、
として機能させるプログラム。
1. 端末装置のコンピュータを、
ユーザID及び第1の生体情報リクエストを外部装置に送信し、前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記外部装置から受信する送受信手段、
生体情報入力装置を介して第2の生体情報の入力を受付ける入力受付手段、
前記第1の生体情報と、前記第2の生体情報とを照合する照合手段、
照合に成功した場合、生体情報を自端末装置に登録する処理を実行する登録手段、
として機能させるプログラム。
2. 1に記載のプログラムにおいて、
前記登録手段は、前記第1の生体情報又は前記第2の生体情報を、自端末装置に登録するプログラム。
3. 1に記載のプログラムにおいて、
前記登録手段は、前記第1の生体情報及び前記第2の生体情報と異なる種類の第3の生体情報の入力を受付け、前記第3の生体情報を自端末装置に登録するプログラム。
4. 1から3のいずれかに記載のプログラムにおいて、
前記送受信手段は、前記第1の生体情報に代えて、なりすまし防止処理を実行しないことを示す情報を受信し、
前記登録手段は、前記送受信手段が前記なりすまし防止処理を実行しないことを示す情報を受信した場合、生体情報を自端末装置に登録する処理を実行するプログラム。
5. ユーザID及び第1の生体情報リクエストを外部装置に送信し、前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記外部装置から受信する送受信手段と、
生体情報入力装置を介して第2の生体情報の入力を受付ける入力受付手段と、
前記第1の生体情報と、前記第2の生体情報とを照合する照合手段と、
照合に成功した場合、生体情報を自端末装置に登録する処理を実行する登録手段と、
を有する端末装置。
6. コンピュータが、
ユーザID及び第1の生体情報リクエストを外部装置に送信し、前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記外部装置から受信する送受信工程と、
生体情報入力装置を介して第2の生体情報の入力を受付ける入力受付工程と、
前記第1の生体情報と、前記第2の生体情報とを照合する照合工程と、
照合に成功した場合、生体情報を自端末装置に登録する処理を実行する登録工程と、
を実行する端末装置の制御方法。
7. ユーザID及び第1の生体情報リクエストを外部装置から受信するリクエスト受信手段と、
前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記生体情報管理サーバから受信する第1の生体情報受信手段と、
前記第1の生体情報を、前記外部装置に送信する送信手段と、
を有する認証サーバ。
8. 7に記載の認証サーバにおいて、
前記第1の生体情報リクエストを送信したアプリを特定し、特定した前記アプリに基づき、なりすまし防止処理を実行するか否かを判定する判定手段をさらに有し、
前記判定手段が前記なりすまし防止処理を実行すると判定した場合、
前記第1の生体情報受信手段は、前記第1の生体情報を前記生体情報管理サーバから受信し、
前記送信手段は、前記第1の生体情報を前記外部装置に送信する認証サーバ。
9. 8に記載の認証サーバにおいて、
前記判定手段が前記なりすまし防止処理を実行しないと判定した場合、
前記送信手段は、前記なりすまし防止処理を実行しないことを示す情報を、前記外部装置に送信する認証サーバ。
10. コンピュータが、
ユーザID及び第1の生体情報リクエストを外部装置から受信するリクエスト受信工程と、
前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記生体情報管理サーバから受信する第1の生体情報受信工程と、
前記第1の生体情報を、前記外部装置に送信する送信工程と、
を実行する認証方法。
11. コンピュータを、
ユーザID及び第1の生体情報リクエストを外部装置から受信するリクエスト受信手段、
前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記生体情報管理サーバから受信する第1の生体情報受信手段、
前記第1の生体情報を、前記外部装置に送信する送信手段、
として機能させるプログラム。
12. 端末装置のコンピュータを、
生体情報入力装置を介して第2の生体情報の入力を受付ける入力受付手段、
ユーザID、前記第2の生体情報及び照合リクエストを外部装置に送信し、前記第2の生体情報と、前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報との照合結果を、前記外部装置から受信する送受信手段、
照合に成功した場合、生体情報を自端末装置に登録する処理を実行する登録手段、
として機能させるプログラム。
13. 12に記載のプログラムにおいて、
前記登録手段は、前記第2の生体情報を自端末装置に登録するプログラム。
14. 12に記載のプログラムにおいて、
前記登録手段は、前記第1の生体情報を前記外部装置から受信し、前記第1の生体情報を自端末装置に登録するプログラム。
15. 12に記載のプログラムにおいて、
前記登録手段は、前記第1の生体情報及び前記第2の生体情報と異なる種類の第3の生体情報の入力を受付け、前記第3の生体情報を自端末装置に登録するプログラム。
16. 12から15のいずれかに記載のプログラムにおいて、
前記送受信手段は、前記照合結果に代えて、なりすまし防止処理を実行しないことを示す情報を受信し、
前記登録手段は、前記送受信手段が前記なりすまし防止処理を実行しないことを示す情報を受信した場合、生体情報を自端末装置に登録する処理を実行するプログラム。
17. 生体情報入力装置を介して第2の生体情報の入力を受付ける入力受付手段と、
ユーザID、前記第2の生体情報及び照合リクエストを外部装置に送信し、前記第2の生体情報と、前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報との照合結果を、前記外部装置から受信する送受信手段と、
照合に成功した場合、生体情報を自端末装置に登録する処理を実行する登録手段と、
を有する端末装置。
18. コンピュータが、
生体情報入力装置を介して第2の生体情報の入力を受付ける入力受付工程と、
ユーザID、前記第2の生体情報及び照合リクエストを外部装置に送信し、前記第2の生体情報と、前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報との照合結果を、前記外部装置から受信する送受信工程と、
照合に成功した場合、生体情報を自端末装置に登録する処理を実行する登録工程と、
を実行する端末装置の制御方法。
19. ユーザID、第2の生体情報及び照合リクエストを外部装置から受信するリクエスト受信手段と、
前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記生体情報管理サーバから受信する第1の生体情報受信手段と、
前記第1の生体情報と、前記第2の生体情報とを照合する照合手段と、
照合結果を前記外部装置に送信する送信手段と、
を有する認証サーバ。
20. 19に記載の認証サーバにおいて、
前記照合リクエストを送信したアプリを特定し、特定した前記アプリに基づき、なりすまし防止処理を実行するか否かを判定する判定手段をさらに有し、
前記判定手段が前記なりすまし防止処理を実行すると判定した場合、
前記第1の生体情報受信手段は、前記第1の生体情報を前記生体情報管理サーバから受信し、
前記照合手段は、前記第1の生体情報と、前記第2の生体情報とを照合し、
前記送信手段は、前記照合結果を前記外部装置に送信する認証サーバ。
21. 20に記載の認証サーバにおいて、
前記判定手段が前記なりすまし防止処理を実行しないと判定した場合、
前記送信手段は、前記なりすまし防止処理を実行しないことを示す情報を、前記外部装置に送信する認証サーバ。
22. コンピュータが、
ユーザID、第2の生体情報及び照合リクエストを外部装置から受信するリクエスト受信工程と、
前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記生体情報管理サーバから受信する第1の生体情報受信工程と、
前記第1の生体情報と、前記第2の生体情報とを照合する照合工程と、
照合結果を前記外部装置に送信する送信工程と、
を実行する認証方法。
23. コンピュータを、
ユーザID、第2の生体情報及び照合リクエストを外部装置から受信するリクエスト受信手段、
前記ユーザIDに対応付けて予め生体情報管理サーバに記憶されている第1の生体情報を、前記生体情報管理サーバから受信する第1の生体情報受信手段、
前記第1の生体情報と、前記第2の生体情報とを照合する照合手段、
照合結果を前記外部装置に送信する送信手段、
として機能させるプログラム。
この出願は、2018年8月7日に出願された日本出願特願2018-148747号を基礎とする優先権を主張し、その開示の全てをここに取り込む。
Claims (9)
- 端末装置のコンピュータを、
前記端末装置にインストールされたアプリケーションを介して、
生体情報を入力する入力手段、
前記端末装置内で前記生体情報と登録されている生体情報を照合する照合手段、
照合が成功した場合、公開鍵及び秘密鍵のペアを生成し、前記端末装置に前記秘密鍵を記憶させるともに、前記公開鍵をサーバに送信する登録処理を実行する登録手段、
として機能させるプログラム。 - 請求項1に記載のプログラムであって、
前記登録手段は、照合が成功した場合、生体情報を前記端末装置に登録する前記登録処理を実行するプログラム。 - 請求項1または2に記載のプログラムであって、
前記アプリケーションからユーザIDが入力され、
前記照合手段は、入力された前記生体情報と前記ユーザIDに対応付けて記憶されている生体情報を照合するプログラム。 - 請求項1から3いずれか1項に記載のプログラムであって、
前記コンピュータを、
前記照合が失敗した場合、前記登録処理を実行できないことを通知する通知手段
として機能させるプログラム。 - 請求項1から4いずれか1項に記載のプログラムであって、
前記登録手段は、照合が成功した場合、入力された前記生体情報又は前記登録されている生体情報を前記端末装置に登録する処理を実行するプログラム。 - 請求項1から5いずれか1項に記載のプログラムであって、
前記登録手段は、照合が成功した場合、入力された前記生体情報又は前記登録されている生体情報と異なる第3の生体情報の入力を受付け、前記第3の生体情報を前記端末装置に登録するプログラム。 - 請求項1から6いずれか1項に記載のプログラムであって、
前記アプリケーションに基づいてなりすまし防止処理を実行するか否か判定する前記サーバが前記なりすまし防止処理を実行すると判定した場合、
前記登録手段は、前記登録処理を実行するプログラム。 - 生体情報を入力する入力手段と、
端末装置内で前記生体情報と登録されている生体情報を照合する照合手段と、
照合が成功した場合、公開鍵及び秘密鍵のペアを生成し、前記端末装置に前記秘密鍵を記憶させるともに、前記公開鍵をサーバに送信する登録処理を実行する登録手段と、
を有する端末装置。 - 端末装置のコンピュータが、
生体情報を入力する入力工程と、
前記端末装置内で前記生体情報と登録されている生体情報を照合する照合工程と、
照合が成功した場合、公開鍵及び秘密鍵のペアを生成し、前記端末装置に前記秘密鍵を記憶させるともに、前記公開鍵をサーバに送信する登録処理を実行する登録工程と、
を実行する制御方法。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018148747 | 2018-08-07 | ||
| JP2018148747 | 2018-08-07 | ||
| JP2020536314A JP7147850B2 (ja) | 2018-08-07 | 2019-04-05 | 端末装置、処理装置、処理システム、端末装置の制御方法、処理方法及びプログラム |
| PCT/JP2019/015198 WO2020031429A1 (ja) | 2018-08-07 | 2019-04-05 | 端末装置、認証サーバ、端末装置の制御方法、認証方法及びプログラム |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020536314A Division JP7147850B2 (ja) | 2018-08-07 | 2019-04-05 | 端末装置、処理装置、処理システム、端末装置の制御方法、処理方法及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2022171928A true JP2022171928A (ja) | 2022-11-11 |
Family
ID=69414664
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020536314A Active JP7147850B2 (ja) | 2018-08-07 | 2019-04-05 | 端末装置、処理装置、処理システム、端末装置の制御方法、処理方法及びプログラム |
| JP2022150095A Pending JP2022171928A (ja) | 2018-08-07 | 2022-09-21 | 端末装置、認証サーバ、端末装置の制御方法、認証方法及びプログラム |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020536314A Active JP7147850B2 (ja) | 2018-08-07 | 2019-04-05 | 端末装置、処理装置、処理システム、端末装置の制御方法、処理方法及びプログラム |
Country Status (4)
| Country | Link |
|---|---|
| US (4) | US20210306330A1 (ja) |
| EP (1) | EP3835982A4 (ja) |
| JP (2) | JP7147850B2 (ja) |
| WO (1) | WO2020031429A1 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7326382B2 (ja) * | 2021-05-20 | 2023-08-15 | ヤフー株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
| JPWO2022269669A1 (ja) * | 2021-06-21 | 2022-12-29 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003044442A (ja) * | 2001-07-30 | 2003-02-14 | Fujitsu Support & Service Kk | データ認証方法及びデータ認証装置 |
| JP4819542B2 (ja) * | 2006-03-24 | 2011-11-24 | 株式会社日立製作所 | 脆弱性検証付きのバイオメトリクス認証システムおよび方法 |
| JP4321597B2 (ja) * | 2007-01-31 | 2009-08-26 | コニカミノルタビジネステクノロジーズ株式会社 | 情報処理装置、認証システム、認証方法および認証プログラム |
| EP2511845A4 (en) | 2009-12-08 | 2014-04-23 | Fujitsu Ltd | BIOMETRIC AUTHENTICATION SYSTEM AND BIOMETRIC AUTHENTICATION METHOD |
| WO2012011229A1 (ja) * | 2010-07-19 | 2012-01-26 | ビーエルデーオリエンタル株式会社 | 認証装置及び、認証システム |
| US11210380B2 (en) * | 2013-05-13 | 2021-12-28 | Veridium Ip Limited | System and method for authorizing access to access-controlled environments |
| US9003196B2 (en) * | 2013-05-13 | 2015-04-07 | Hoyos Labs Corp. | System and method for authorizing access to access-controlled environments |
| CA2945703C (en) * | 2014-04-14 | 2019-09-10 | Mastercard International Incorporated | Systems, apparatus and methods for improved authentication |
| CN106487511B (zh) * | 2015-08-27 | 2020-02-04 | 阿里巴巴集团控股有限公司 | 身份认证方法及装置 |
| JP6507115B2 (ja) * | 2016-03-22 | 2019-04-24 | 株式会社日立製作所 | 1:n生体認証・暗号・署名システム |
| JP6852292B2 (ja) | 2016-07-01 | 2021-03-31 | 富士通株式会社 | 証明書生成システム、情報処理装置、証明書生成装置、証明書生成方法、及びプログラム |
| JP6810568B2 (ja) | 2016-09-26 | 2021-01-06 | 株式会社日立製作所 | 認証処理システムおよび認証処理方法 |
| SG10201609189XA (en) * | 2016-11-02 | 2018-06-28 | Mastercard International Inc | Methods, systems and devices for access control |
| GB2555660B (en) * | 2016-11-07 | 2019-12-04 | Cirrus Logic Int Semiconductor Ltd | Methods and apparatus for authentication in an electronic device |
| EP3536002B1 (en) * | 2016-11-08 | 2020-11-18 | Aware, Inc. | Decentralized biometric identity authentication |
| US20180167383A1 (en) * | 2016-12-12 | 2018-06-14 | Qualcomm Incorporated | Integration of password-less authentication systems with legacy identity federation |
| JP7240082B2 (ja) | 2017-03-08 | 2023-03-15 | 住友重機械工業株式会社 | 蓄電装置、射出成形機および建設機械 |
| KR20180129475A (ko) * | 2017-05-26 | 2018-12-05 | 삼성에스디에스 주식회사 | 인증을 수행하기 위한 방법, 사용자 단말 및 인증 서비스 서버 |
-
2019
- 2019-04-05 JP JP2020536314A patent/JP7147850B2/ja active Active
- 2019-04-05 US US17/265,935 patent/US20210306330A1/en active Pending
- 2019-04-05 WO PCT/JP2019/015198 patent/WO2020031429A1/ja unknown
- 2019-04-05 EP EP19848245.7A patent/EP3835982A4/en active Pending
-
2022
- 2022-01-19 US US17/578,586 patent/US20220141217A1/en active Pending
- 2022-01-21 US US17/580,781 patent/US20220141219A1/en active Pending
- 2022-01-21 US US17/580,802 patent/US20220150243A1/en active Pending
- 2022-09-21 JP JP2022150095A patent/JP2022171928A/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20220141217A1 (en) | 2022-05-05 |
| JP7147850B2 (ja) | 2022-10-05 |
| US20220141219A1 (en) | 2022-05-05 |
| EP3835982A1 (en) | 2021-06-16 |
| US20220150243A1 (en) | 2022-05-12 |
| JPWO2020031429A1 (ja) | 2021-08-10 |
| WO2020031429A1 (ja) | 2020-02-13 |
| EP3835982A4 (en) | 2021-10-06 |
| US20210306330A1 (en) | 2021-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11647023B2 (en) | Out-of-band authentication to access web-service with indication of physical access to client device | |
| KR102383021B1 (ko) | 인증 장치의 등록을 위한 향상된 보안 | |
| KR102510706B1 (ko) | 무선 주파수 식별 가능한 신분 서류 및 제스처 요청-응답 프로토콜에 기초한 사용자 인증 | |
| US11539526B2 (en) | Method and apparatus for managing user authentication in a blockchain network | |
| JP2022171928A (ja) | 端末装置、認証サーバ、端末装置の制御方法、認証方法及びプログラム | |
| CN109413086B (zh) | 线上核验身份信息的方法及装置 | |
| US11477190B2 (en) | Dynamic user ID | |
| KR20150077446A (ko) | 추가적 검증에 의해 아날로그 디지털 서명으로 전자문서에 사인하는 방법 | |
| WO2018195644A1 (en) | Retail blockchain method and apparatus | |
| KR20220028836A (ko) | 블록체인 네트워크 기반의 분산 아이디를 이용한 운전 면허증 인증 서비스 방법 및 운전 면허증 인증 서비스를 수행하는 사용자 단말 | |
| JP7124988B2 (ja) | 認証サーバ、認証システム、認証サーバの制御方法及びプログラム | |
| JP7151928B2 (ja) | 認証サーバ、認証サーバの制御方法及びプログラム | |
| US11936649B2 (en) | Multi-factor authentication | |
| JP2017072897A (ja) | 認証システム、および、認証方法 | |
| WO2021255821A1 (ja) | 認証サーバ、顔画像更新勧告方法及び記憶媒体 | |
| JP4749017B2 (ja) | 擬似生体認証システム、及び擬似生体認証方法 | |
| WO2021205661A1 (ja) | 認証サーバ、認証システム、認証サーバの制御方法及び記憶媒体 | |
| JP2018185622A (ja) | サーバー装置、認証システムおよび認証方法 | |
| JP5919497B2 (ja) | ユーザ認証システム | |
| JP2020102741A (ja) | 認証システム、認証方法、及び、認証プログラム | |
| KR101559203B1 (ko) | 생체 정보 인증 시스템 및 방법 | |
| JP7341207B2 (ja) | 端末およびその制御方法、並びにプログラム | |
| JP7428240B2 (ja) | 認証システム、端末、端末の制御方法及びコンピュータプログラム | |
| WO2021205659A1 (ja) | 認証サーバ、認証システム、認証サーバの制御方法及び記憶媒体 | |
| JP2023060352A (ja) | サーバ、システム、方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220921 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230829 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231025 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20231128 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240228 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20240308 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20240329 |