JP2768474B2 - Certification system - Google Patents

Certification system

Info

Publication number
JP2768474B2
JP2768474B2 JP63262791A JP26279188A JP2768474B2 JP 2768474 B2 JP2768474 B2 JP 2768474B2 JP 63262791 A JP63262791 A JP 63262791A JP 26279188 A JP26279188 A JP 26279188A JP 2768474 B2 JP2768474 B2 JP 2768474B2
Authority
JP
Japan
Prior art keywords
secret key
random number
communication device
fingerprint
data communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP63262791A
Other languages
Japanese (ja)
Other versions
JPH02111132A (en
Inventor
嶺男 重光
俊一 宮坂
憲一 松本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Secom Co Ltd
Original Assignee
Secom Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Secom Co Ltd filed Critical Secom Co Ltd
Priority to JP63262791A priority Critical patent/JP2768474B2/en
Publication of JPH02111132A publication Critical patent/JPH02111132A/en
Application granted granted Critical
Publication of JP2768474B2 publication Critical patent/JP2768474B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Description

【発明の詳細な説明】 〔産業上の利用分野〕 本発明は暗号鍵を使用した資格認証システムに関し、
特に、データ通信装置間で信号の送受を行い、一方(第
2)のデータ通信装置から暗号情報を送信し、他方(第
1)のデータ通信装置にて受信し復号することより資格
認証を行う通信回線を利用した資格認証システムに関す
る。The present invention relates to a credential authentication system using an encryption key,
In particular, qualification authentication is performed by transmitting and receiving signals between the data communication devices, transmitting encryption information from one (second) data communication device, and receiving and decrypting the encrypted information with the other (first) data communication device. The present invention relates to a qualification authentication system using a communication line.

〔従来の技術、および、発明が解決しようとする課題〕[Conventional technology and problems to be solved by the invention]

最近、パソコン等の端末装置とホストコンピュータ間
を通信回線にて接続し、端末装置とホストコンピュータ
相互間で情報の送受信を行うデータベースシステム等が
提案され実施されている。例えば、オフィスや家庭に設
置したパーソナルコンピュータにモデム(MODEM)を接
続し、銀行や証券会社のホストコンピュータに公衆回線
を介して接続した、ファームバンキングシステム、ホー
ムバンキングシステム、ホームトレードシステム等が実
施されている。また各種データベースに通信回線を通じ
て接続し、オンラインで情報の検索を行うシステムが実
施されている。Recently, a database system and the like have been proposed and implemented in which a terminal device such as a personal computer is connected to a host computer via a communication line, and information is transmitted and received between the terminal device and the host computer. For example, a farm banking system, a home banking system, a home trade system, and the like, in which a modem (MODEM) is connected to a personal computer installed in an office or home and connected to a host computer of a bank or securities company via a public line, have been implemented. ing. In addition, a system for connecting to various databases through a communication line and searching for information online has been implemented.

これらの従来のシステムは、利用者が各端末装置から
ホストコンピュータにアクセスする場合に、その個人特
有のコードやパスワードを端末装置から入力し、ホスト
コンピュータに送信し、ホストコンピュータにおいてそ
のコードやパスワードによって端末装置の利用者がアク
セス可能な資格を有しているか否かを確認している。In these conventional systems, when a user accesses a host computer from each terminal device, the user inputs a code or password peculiar to the individual from the terminal device, transmits the code to the host computer, and transmits the code or password to the host computer. It is checked whether the user of the terminal device has the access qualification.

しかしながら、従来の資格確認システムでは、通信回
線上でこれらのコードやパスワードを盗聴される危険が
あり、もし盗聴された場合、第三者によってそれを盗用
され、ホストコンピュータへ不法にアクセスが可能とな
り、その個人のホストコンピュータの情報が悪用されて
しまうといった問題点がある。However, with the conventional qualification confirmation system, there is a risk that these codes and passwords can be eavesdropped on the communication line. If eavesdropped, they can be stolen by a third party and illegally access the host computer. However, there is a problem that the information of the personal host computer is misused.

かゝる問題を解決するため、個人コードやパスワード
を端末装置にて暗号化し、ホストコンピュータに送出す
る方法も提案されているが、その暗号化されたキィ復号
しなくともそのまま盗用すればアクセス可能であるとい
う問題点がある。In order to solve such problems, a method has been proposed in which personal codes and passwords are encrypted at the terminal device and sent to the host computer. However, even if the encrypted key is decrypted, it can be accessed by stealing it There is a problem that is.

また、指紋の情報を使用して個人の確認を行うシステ
ムも実施されているが、このシステムも、それ自体で
は、その指紋情報を通信回線上で盗聴され、そのまま盗
用可能となるという問題点がある。There is also a system that uses fingerprint information to confirm an individual, but this system itself has the problem that fingerprint information can be eavesdropped on a communication line and can be stolen as it is. is there.

本発明の目的は上述の問題点を解消し、データ通信装
置間の通信ライン上で第三者に信号を盗聴されたとして
も、第三者にはこのデータ通信装置とアクセス不可能で
ある新規な個人資格認証システムを提供することにあ
る。SUMMARY OF THE INVENTION An object of the present invention is to solve the above-mentioned problems, and to provide a new communication method in which a third party cannot access this data communication apparatus even if a signal is eavesdropped on a communication line between the data communication apparatuses. To provide a secure personal qualification authentication system.

〔課題を解決するための手段、および、作用〕[Means for solving the problem and operation]

本発明の資格認証システムの基本構成を第1図に示
す。FIG. 1 shows the basic configuration of the qualification authentication system of the present invention.

同図において、資格認証システムは、それぞれ通信手
段14、通信手段26を有し、これら通信手段14および通信
手段26が通信回線30を介して接続され、相互に通信可能
に構成された第1のデータ通信装置10および第2のデー
タ通信装置20を具備する。In the figure, the qualification authentication system has a communication unit 14 and a communication unit 26, respectively, and the communication unit 14 and the communication unit 26 are connected via a communication line 30, and are configured to be communicable with each other. A data communication device 10 and a second data communication device 20 are provided.

第1のデータ通信装置10は、個人コードCODEAを入力
する個人コード入力手段11と、秘密キィを入力する秘密
キィ入力手段12と、復号化手段13とを有する。The first data communication device 10 includes a personal code input unit 11 for inputting a personal code CODEA, a secret key input unit 12 for inputting a secret key, and a decryption unit 13.

第2のデータ通信装置20は、第1のデータ通信装置10
から送信された個人コードに対応する予め登録された該
当秘密キィCODEXを取り出す秘密キィ検索手段21と、個
人コードが受信される毎に乱数R1を発生させる乱数発生
手段22と、該乱数を前記取り出した秘密キィで暗号化す
る暗号化手段24と、比較照合手段25とを有する。The second data communication device 20 includes the first data communication device 10
Secret key search means 21 for retrieving a pre-registered corresponding secret key CODX corresponding to the personal code transmitted from, random number generating means 22 for generating a random number R1 each time a personal code is received, and extracting the random number Encryption means 24 for encrypting with a secret key, and comparison / comparison means 25.

前記復号化手段13は、前記暗号化手段24で暗号化され
たデータSRを前記秘密キィ入力手段12で入力された秘密
キィで復号化する。前記比較照合手段25は、前記乱数発
生手段22で発生した乱数R1と、前記復号化手段13で復号
した乱数R1′とを比較照合し、一致している場合第1の
データ通信装置10にアクセス許可信号を送出する。The decryption means 13 decrypts the data SR encrypted by the encryption means 24 with the secret key input by the secret key input means 12. The comparison / matching unit 25 compares and matches the random number R1 generated by the random number generation unit 22 with the random number R1 ′ decrypted by the decryption unit 13, and accesses the first data communication device 10 if they match. Sends a permission signal.

このように構成し、個人コードの他に、秘密キィを用
い、その秘密コードとその都度発生する乱数とを組合せ
て暗号化する一方、秘密キィを用いて復号化し、復号し
た乱数と上記乱数との一致をもって判断するので、セキ
ュリティ強度の高い個人認証が可能となる。With this configuration, in addition to the personal code, a secret key is used, and the secret code and a random number generated each time are combined and encrypted. Therefore, personal authentication with high security can be performed.

また、好適には、前記秘密キィ入力手段12から入力さ
れる秘密キィが利用者の指紋であり、前記秘密キィ検索
手段21が対応する予め登録された指紋秘密キィを取り出
し、前記暗号化手段24が該指紋秘密キィにより暗号化
し、前記復号化手段13が指紋秘密キィにもとづいて暗号
化手段24で暗号化されたデータを復号化するように構成
される。Preferably, the secret key input from the secret key input means 12 is a user's fingerprint, and the secret key search means 21 extracts a corresponding pre-registered fingerprint secret key, and Is encrypted by the fingerprint secret key, and the decryption means 13 decrypts the data encrypted by the encryption means 24 based on the fingerprint secret key.

利用者に個有の指紋を用いることにより、通信におけ
るセキュリティ強度は更に向上する。By using the fingerprint unique to the user, the security strength in communication is further improved.

更に、個人コード入力手段と秘密キィ入力手段とは共
通の入力手段により構成され得る。Further, the personal code input means and the secret key input means can be constituted by a common input means.

〔実施例〕〔Example〕

本発明による資格認証システムの第1実施例を第2図
〜第4図を参照して説明する。A first embodiment of a qualification authentication system according to the present invention will be described with reference to FIGS.

第2図は本実施例の構成ブロック図である。同図にお
いて、100は家庭やオフィスに個別に設けられる複数の
端末装置の1つを示し、マイクロコンピュータシステム
で構成され、該端末装置は、各種制御及び復号化のため
の演算を行うマイクロプロセッサユニット(μPU)11
1、制御プログラムを格納するROM113、各種データを記
憶する為のRAM114、後述するホストコンピュータ200と
通信回線300を介してデータの送受信を行う為のモデム
インターフェース116及びモデム117、パーソナルコンピ
ュータ(パソコン)400と結合するための入出力インタ
ーフェース115と、前記各部をμPU111に接続するための
CPUバス112とで構成される。200はホストコンピュータ
を示し、該ホストコンピュータは、各種制御や暗号化や
照合の為の演算を行うCPU221と、各種制御プログラム等
を格納するROM223と、データを一時記憶する為のRAM224
と、登録された秘密コードを記憶している磁気ディスク
装置228と、ディスクインターフェース226と、複数の端
末装置、例えば、端末装置100と通信回線300を介して接
続されデータの送受信を行う為のモデム227、および、
モデムインターフェース225とを具備して構成される。3
00は公衆回線や特定通信回線等の通信回線を示す。400
は端末装置100と結合されているパソコンを示し、図示
しないキーボード等の入力装置及びCRT等の表示装置を
備えている。FIG. 2 is a configuration block diagram of the present embodiment. In FIG. 1, reference numeral 100 denotes one of a plurality of terminal devices individually provided in a home or an office, which is constituted by a microcomputer system. The terminal device includes a microprocessor unit for performing various control and arithmetic operations for decoding. (ΜPU) 11
1. ROM 113 for storing a control program, RAM 114 for storing various data, a modem interface 116 and a modem 117 for transmitting and receiving data via a communication line 300 with a host computer 200 described later, and a personal computer (PC) 400 An input / output interface 115 for coupling with the μPU 111;
It is composed of a CPU bus 112. Reference numeral 200 denotes a host computer. The host computer includes a CPU 221 for performing various controls, calculations for encryption and collation, a ROM 223 for storing various control programs, and a RAM 224 for temporarily storing data.
, A magnetic disk device 228 storing a registered secret code, a disk interface 226, and a plurality of terminal devices, for example, a modem connected to the terminal device 100 via the communication line 300 to transmit and receive data. 227, and
And a modem interface 225. Three
00 indicates a communication line such as a public line or a specific communication line. 400
Indicates a personal computer coupled to the terminal device 100, and includes an input device (not shown) such as a keyboard and a display device such as a CRT.

ここで、第1図の構成との対応づけを行うと、第1の
データ通信装置10は端末装置100およびパソコン400、通
信回線30は通信回線300、第2のデータの通信装置20
は、ホストコンピュータ200で実現されている。更に、
個人コード入力手段11、又は秘密キィ入力手段12は、パ
ソコン400、I/Oインターフェース115、μPU111、ROM113
内のプログラムで実現されている。復号化手段13は、μ
PU111、ROM113内のプログラム、RAM114で実現されてい
る。通信手段14は、μPU111、モデムインターフェース1
16、モデム117で実現されている。一方、通信手段26
は、CPU221、モデム227、モデムインターフェース225で
実現されている。秘密キィ検索手段21は、CPU221、ROM2
23内のプログラム、磁気ディスクインターフェース22
6、磁気ディスク装置228で実現されている。乱数発生手
段22は、CPU221、ROM223内のプログラム、RAM224で実現
されている。暗号化手段24は、CPU221,ROM223内のプロ
グラム、RAM224で実現されている。比較照合手段25は、
CPU221、ROM223内のプログラム、RAM224で実現されてい
る。Here, when associating with the configuration of FIG. 1, the first data communication device 10 is the terminal device 100 and the personal computer 400, the communication line 30 is the communication line 300, and the second data communication device 20
Is realized by the host computer 200. Furthermore,
The personal code input means 11 or the secret key input means 12 includes a personal computer 400, an I / O interface 115, a μPU 111, a ROM 113
It is realized by the program in. The decoding means 13 calculates μ
This is realized by the PU 111, the program in the ROM 113, and the RAM 114. Communication means 14 includes μPU 111, modem interface 1
16, realized by the modem 117. On the other hand, the communication means 26
Is realized by a CPU 221, a modem 227, and a modem interface 225. The secret key search means 21 includes a CPU 221 and a ROM 2
23 programs, magnetic disk interface 22
6. This is realized by the magnetic disk device 228. The random number generation means 22 is realized by the CPU 221, a program in the ROM 223, and the RAM 224. The encryption means 24 is realized by a program in the CPU 221 and the ROM 223, and the RAM 224. The comparison and matching means 25
This is realized by the CPU 221, the program in the ROM 223, and the RAM 224.

以下、本発明の第1実施例の個人資格認証システムを
第2〜第4図に示す実施例に基づいて各部の機能及び動
作を説明する。第3図は動作形態図、第4図はフローチ
ャートを示す。Hereinafter, the functions and operations of each unit of the personal qualification authentication system according to the first embodiment of the present invention will be described based on the embodiments shown in FIGS. FIG. 3 shows an operation form diagram, and FIG. 4 shows a flowchart.

ホストコンピュータ200とアクセスする資格を有する
個人、すなわち、本資格認証システムの利用者は、予め
ホストコンピュータ200内の磁気ディスク装置228内に自
己の秘密コードを自己の個人コードと共に登録しておく
(S001)。個人コードとは、例えば、各個人に付与され
た会員番号等で公開されており、盗聴されても特別問題
のないコードである。秘密コードとは、その個人のみが
知っているコードでる。ホストコンピュータ200とアク
セスしようとする利用者は、まずその端末装置100に接
続されたパソコン400のキィボードにて自分の個人コー
ドCODEAを入力する(S002)。個人コードCODEAは、例え
ば、英数字で構成されている。パソコン400に入力され
た個人コードCODEAは、端末装置100に入力され、モデム
117を介し、通信回線300を通じてホストコンピュータ20
0に送信される(S003)。ホストコンピュータ200はモデ
ム227に個人コードCODEAを受信し、受信した個人コード
CODEAに対応したその個人の秘密コードCODEXを磁気ディ
スク装置228から読み出す(S004)。秘密コードCODEX
は、例えば英数字にて構成される。同時に、個人コード
の受信の都度、ROM223に内蔵された乱数発生プログラム
をCPU221で動作させて、乱数を発生させる(S005)。こ
の乱数は、例えば64ビット長とする。これらの乱数をR1
とする。これらの発生された乱数R1はRAM224に一時記憶
される。次にCPU221は発生させた乱数R1を前記個人コー
ドCODEAに基づいて得られた秘密コードCODEXを使用して
暗号化を行う(S006,S007)。An individual who has a qualification to access the host computer 200, that is, a user of the qualification authentication system, registers his / her own secret code together with his / her personal code in the magnetic disk device 228 in the host computer 200 in advance (S001). ). The personal code is, for example, a code which is disclosed by a member number or the like assigned to each individual and has no special problem even if wiretapped. A secret code is a code known only to that individual. A user who wants to access the host computer 200 first inputs his / her personal code CODEA on the keyboard of the personal computer 400 connected to the terminal device 100 (S002). The personal code CODEA is composed of, for example, alphanumeric characters. The personal code CODEA input to the personal computer 400 is input to the terminal device 100, and the
Host computer 20 via communication line 300 via 117
It is transmitted to 0 (S003). The host computer 200 receives the personal code CODEA from the modem 227 and receives the received personal code.
The personal secret code CODEX corresponding to CODEA is read from the magnetic disk device 228 (S004). Secret code CODEX
Is composed of, for example, alphanumeric characters. At the same time, each time the personal code is received, the CPU 221 runs a random number generation program built in the ROM 223 to generate a random number (S005). This random number is, for example, 64 bits long. R1
And These generated random numbers R1 are temporarily stored in the RAM 224. Next, the CPU 221 encrypts the generated random number R1 using the secret code CODEX obtained based on the personal code CODEA (S006, S007).

その暗号化方法を以下に説明する。秘密コードCODEX
は、各々の英数字文字に対応して、例えば、それぞれ8
ビットの2進数に変換して、秘密キィXKとする。秘密コ
ードCODEXは、秘密キィXKに変換した時に64ビットにな
るように予め構成しておく。次いで、乱数R1を秘密キィ
XKに使用して、例えば、公知のDES(Date Encryption S
tandard)方式を用いて、CPU221にて暗号化する(S00
7)。The encryption method will be described below. Secret code CODEX
Corresponds to each alphanumeric character, for example, 8
It is converted into a binary number of bits to obtain a secret key XK. The secret code CODEX is configured in advance so that it becomes 64 bits when converted to the secret key XK. Next, the random number R1 is
Using XK, for example, the well-known DES (Date Encryption S
tandard), and is encrypted by the CPU 221 (S00
7).

この様に秘密キィXKで暗号化した乱数SRをモデム227
を介し、通信回線300を介して端末装置100に送信する
(S008)。端末装置100はモデム117にて暗号化された乱
数SRを受信し、RAM114に記憶する。アクセスしようとす
る利用者は、次にパソコン400のキィボードから磁気デ
ィスク装置228に登録されたものと同じで、自己のみが
知っている秘密コードCODEX′を入力する(S009)。入
力された秘密コードCODEX′は、前述と同様に端末装置1
00で2進数の秘密キィXK′に変換され(S010)、端末装
置100はこの秘密キィXK′を使用して、前記の受信した
暗号化された乱数SRを復号し乱数R1′を得る(S011)。
復号方法は前述と同様に、例えばDES方式で行う。従っ
て、端末装置100において、ホストコンピュータ200にて
発生させた乱数R1と同等の乱数R1′を得ることができ
る。次に端末装置100は、復号した乱数R1′をモデム11
7、および通信回線300を介し、ホストコンピュータ200
に送信する(S012)。The random number SR encrypted with the secret key XK is transmitted to the modem 227
Via the communication line 300 to the terminal device 100 (S008). The terminal device 100 receives the random number SR encrypted by the modem 117 and stores the random number SR in the RAM 114. The user who intends to access next inputs the same secret code CODEX ′ as the one registered in the magnetic disk device 228 from the keyboard of the personal computer 400 and known only to the user (S009). The input secret code CODEX ′ is transmitted to the terminal device 1 as described above.
In step S010, the terminal device 100 uses the secret key XK 'to decode the received encrypted random number SR to obtain a random number R1' (S011). ).
The decoding method is performed by, for example, the DES method as described above. Therefore, in the terminal device 100, a random number R1 'equivalent to the random number R1 generated by the host computer 200 can be obtained. Next, the terminal device 100 transmits the decrypted random number R1 ′ to the modem 11
7, and the host computer 200 via the communication line 300
(S012).

ホストコンピュータ200はモデム227にて復号された乱
数R1を受信し、受信した乱数R1′とRAM224に記憶してい
る乱数R1を比較照合する。ここで、これらの乱数R1とR
1′とが一致していればホストコンピュータ200は端末装
置100とアクセス可能状態となり、端末装置100に対し
て、アクセス許可信号を送出する。その後、利用者は、
アクセス可能となる。The host computer 200 receives the random number R1 decrypted by the modem 227, and compares the received random number R1 'with the random number R1 stored in the RAM 224. Here, these random numbers R1 and R
If 1 'matches, the host computer 200 becomes accessible to the terminal device 100 and sends an access permission signal to the terminal device 100. After that, the user
It becomes accessible.

以上説明した資格認証システムにおいて、端末装置10
0から通信回線300を介して送信されるデータは、公開さ
れている個人コードCODEA、もしくはアクセス毎に発生
する乱数R1であるため、仮に通信回線300上で盗聴され
たとしても、その情報を使用してもホストコンピュータ
200にアクセスすることは不可能である。また万一、通
信回線300上においてホストコンピュータ200から端末装
置100へ送信される秘密キィXKで暗号化された乱数SRと
端末装置100からホストコンピュータ200へ送信する乱数
R1′の両方を盗聴された場合でも、前者の乱数がDES方
式で暗号化されているため暗号強度で保証されており、
両者を使って暗号キィを解読することは不可能である。In the qualification authentication system described above, the terminal device 10
Since the data transmitted from 0 through the communication line 300 is a public code CODEA or a random number R1 generated for each access, even if the data is eavesdropped on the communication line 300, the information is used. Even host computer
It is impossible to access 200. Also, the random number SR encrypted with the secret key XK transmitted from the host computer 200 to the terminal device 100 and the random number transmitted from the terminal device 100 to the host computer 200 on the communication line 300
Even if both R1's are eavesdropped, the former random number is encrypted by the DES method, so the cryptographic strength is guaranteed,
It is impossible to decrypt the encryption key using both.

本実施例において、利用者は個人コードCODEAと秘密
コードCODEXを別々に独立して入力する場合について述
べたが、これらのコードは一括して入力してもよい。こ
の場合、秘密コードCODEXがRAM114にて一時記憶するよ
うにすればよい。In this embodiment, the case has been described where the user inputs the personal code CODEA and the secret code CODEX separately and independently, but these codes may be input collectively. In this case, the secret code CODEX may be temporarily stored in the RAM 114.

次に、第2実施例として、個人特有の情報、例えば指
紋を使用した、更にセキュリティ度の高い、つまり、操
作の盗視などで秘密コードが盗まれても第三者によるア
クセスが不可能な資格認証システムを説明する。第5図
は第2実施例の構成を示すブロック図である。Next, as a second embodiment, using information peculiar to an individual, for example, a fingerprint, which has a higher degree of security, that is, even if a secret code is stolen by eavesdropping on operations, it cannot be accessed by a third party. Describe the credential authentication system. FIG. 5 is a block diagram showing the configuration of the second embodiment.

第5図の資格認証システムは、端末装置100′に、指
紋入力装置500が接続されている。端末装置100′、ホス
トコンピュータ200′、パソコン400′の構成は、第3図
に参照して述べた第1実施例のものと同様であるが、そ
の機能は以下に述べるように異なる。In the qualification authentication system shown in FIG. 5, a fingerprint input device 500 is connected to a terminal device 100 '. The configurations of the terminal device 100 ', the host computer 200', and the personal computer 400 'are the same as those of the first embodiment described with reference to FIG. 3, but their functions are different as described below.

以下、本発明による第2実施例の資格認証システム
を、第5図〜第6図に示す実施例に基づいてその機能及
び動作を説明する。Hereinafter, the functions and operations of the qualification authentication system according to the second embodiment of the present invention will be described based on the embodiments shown in FIGS.

ホストコンピュータ200′とアクセスする資格を有す
る個人は、予めホストコンピュータ200′の磁気ディス
ク装置228′に自己の秘密コードCODEX及び指紋情報Fを
自己の個人コードCODEAと共に登録しておく。個人コー
ドCODEAおよび秘密コードCODEXは、第1実施例の場合と
同様である。指紋情報Fは、例えば、本件出願人が先に
出願した「隆線紋様の隆線方向検出装置(特許願62−14
4012号)」に示されるように、指紋の隆線紋様の方向を
コード化して記憶されている。An individual who has a qualification to access the host computer 200 'registers its secret code CODEX and fingerprint information F together with its own personal code CODEA in the magnetic disk device 228' of the host computer 200 'in advance. The personal code CODEA and the secret code CODEX are the same as in the first embodiment. For example, the fingerprint information F can be obtained from a “ridge pattern detecting device of ridge pattern (Japanese Patent Application No. 62-14) filed earlier by the present applicant.
No. 4012), the direction of the ridge pattern of the fingerprint is coded and stored.

第2実施例においても、第4図のフローチャートで示
した、ステップS001〜S011の処理が行われる。Also in the second embodiment, the processing of steps S001 to S011 shown in the flowchart of FIG. 4 is performed.

ステップS011において、復号乱数R1′が得られた後、
次に述べる処理が行われる。In step S011, after the decoded random number R1 'is obtained,
The following processing is performed.

アクセスしようとする個人は、自己の指紋をCCDカメ
ラ等で構成された指紋入力装置500より指紋情報として
入力する。前述の特願昭62−144012号に詳述されている
ように、入力された指紋情報は、例えば32×32の単位領
域に分割され、その単位領域毎に指紋の隆線方向を算出
して、方向コードとして記憶される。次に、端末装置10
0′は、前記の復号した乱数R1′を秘密キィとして指紋
情報をDES方式にて暗号化する。以下にその方法を説明
する。An individual who wants to access inputs his / her own fingerprint as fingerprint information from a fingerprint input device 500 including a CCD camera or the like. As described in detail in the aforementioned Japanese Patent Application No. 62-144012, the input fingerprint information is divided into, for example, 32 × 32 unit areas, and the ridge direction of the fingerprint is calculated for each unit area. , Are stored as direction codes. Next, the terminal device 10
0 'encrypts the fingerprint information by the DES method using the decrypted random number R1' as a secret key. The method will be described below.

秘密キィとして使用する乱数R1′は、前述のように2
進数で64ビットである。指紋情報は、32×32領域、つま
り1024の方向とコードを有し、方向コードを1〜8とす
ると1方向コードをアドレス情報を含めて4ビットで表
すため、4096ビットで表される。次に、前記の指紋情報
を64ビットづつに分割し、それぞれ、乱数R1′を秘密キ
ィにしてDES方式で暗号化する。The random number R1 'used as the secret key is 2 as described above.
It is 64 bits in hexadecimal. The fingerprint information has a 32 × 32 area, that is, 1024 directions and codes, and if the direction codes are 1 to 8, the one-way code is represented by 4 bits including address information, and is therefore represented by 4096 bits. Next, the fingerprint information is divided into 64 bits, and each is encrypted by the DES method using the random number R1 'as a secret key.

そして暗号化した指紋情報SFを通信回線300を介して
ホストコンピュータ200′に送信する。ホストコンピュ
ータ200′はRAM224に記憶した乱数R1を使用して暗号化
された指紋情報SFを復号化し、指紋情報Fを得る。次に
ホストコンピュータ200′は、磁気ディスク装置228′よ
りその個人コードCODEAに該当する指紋情報Fを読みだ
し、復号して得られた前記の指紋情報Fと照合比較す
る。ここで、これらの指紋情報が一致していればホスト
コンピュータ200′は端末装置100′を操作している利用
者を有資格者として判断し、利用者が端末装置100′と
アクセス可能となるように、端末装置100′にアクセス
許可信号を送出する。Then, the encrypted fingerprint information SF is transmitted to the host computer 200 'via the communication line 300. The host computer 200 'decodes the encrypted fingerprint information SF using the random number R1 stored in the RAM 224, and obtains the fingerprint information F. Next, the host computer 200 'reads the fingerprint information F corresponding to the personal code CODEA from the magnetic disk device 228', and compares it with the fingerprint information F obtained by decoding. Here, if the fingerprint information matches, the host computer 200 'determines that the user operating the terminal device 100' is a qualified person, and the user can access the terminal device 100 '. Then, an access permission signal is sent to the terminal device 100 '.

以上説明した資格認証システムにおいて、通信回線30
0を介して送信されるデータは、公開されている個人コ
ード、もしくはアクセス毎にホスト側で発生する乱数に
よる暗号化された情報であるため、仮に通信回線300上
で第三者に盗聴されたとしても、第三者がその情報を使
用してホストコンピュータに不法にアクセスすることは
不可能である。In the qualification authentication system described above, the communication line 30
Since the data transmitted via 0 is an encrypted personal information or information encrypted by a random number generated on the host side for each access, it is tentatively eavesdropped on the communication line 300 by a third party. Even so, it is impossible for a third party to illegally access the host computer using the information.

第2実施例において、ホストコンピュータ200′では
端末装置100′から送出された乱数で暗号化した指紋情
報を、乱数で先ず復号化したのち指紋情報を予め登録し
た指紋情報と比較照合することで個人認証を行ったが、
先ず、端末装置100′で乱数を指紋情報を暗号化し、ホ
ストコンピュータ200′では予め磁気ディスク装置228′
に登録した指紋情報で復合化した乱数によって比較照合
するようにしてもよい。この場合、特徴情報を圧縮した
指紋情報を64ビットとして乱数を64ビットとして構成す
るようにする。In the second embodiment, the host computer 200 'compares the fingerprint information encrypted with the random number sent from the terminal device 100' with the random number first, and then compares and compares the fingerprint information with the pre-registered fingerprint information. I did authentication,
First, the terminal device 100 'encrypts a random number with fingerprint information, and the host computer 200' preliminarily encrypts the magnetic disk device 228 '.
May be compared using random numbers decrypted with the fingerprint information registered in. In this case, the fingerprint information obtained by compressing the feature information is configured as 64 bits, and the random number is configured as 64 bits.

更に第2実施例の如く指紋情報で最終的に比較照合す
る場合、例えば指紋情報の一致する確率が60%のとき本
人であると認証する様に、ある程度裕度をもたせるよう
にしてもよい。Furthermore, when the fingerprint information is finally compared and collated as in the second embodiment, a margin may be provided to some extent so that the user is authenticated when the probability that the fingerprint information matches is 60%, for example.

以上の如く指紋情報を個人資格認証に使用した例を第
2実施例にて説明したが、第1実施例において指紋方向
コードを秘密コードとして使用してもよい。As described above, the example in which the fingerprint information is used for personal qualification authentication has been described in the second embodiment, but the fingerprint direction code may be used as the secret code in the first embodiment.

また、上記実施例においては、端末装置とパソコンと
を独立に設け、これらを接続した構成にしたが、これら
を一体に構成してもよい。Further, in the above embodiment, the terminal device and the personal computer are provided independently and connected to each other. However, they may be integrated.

さらに、上述の実施例では端末装置とホストコンピュ
ータを用いた場合について説明したが、端末装置に、ホ
ストコンピュータと同様に、秘密キィ検索手段、暗号化
手段、乱数発生手段、秘密コードを記憶する記憶部を付
加し、端末装置相互間の通信において資格を認証するよ
うにしてもよい。Further, in the above-described embodiment, the case where the terminal device and the host computer are used has been described. However, the terminal device stores the secret key search means, the encryption means, the random number generation means, and the secret code in the same manner as the host computer. A unit may be added to authenticate a qualification in communication between terminal devices.

〔発明の効果〕〔The invention's effect〕

本発明によれば、通信回線を使用した情報の送受信シ
ステムでアクセスする個人の資格認証を行う場合、たと
え、通信回線上で通信情報が盗聴されても、第三者によ
り不法にアクセスすることを防止できる。According to the present invention, when certifying the qualification of an individual who accesses an information transmitting / receiving system using a communication line, even if the communication information is eavesdropped on the communication line, illegal access by a third party is prevented. Can be prevented.

【図面の簡単な説明】[Brief description of the drawings]

第1図は本発明の資格認証システムの基本構成図、 第2図は本発明の第1実施例の資格認証システムの構成
図、 第3図は第2図の資格認証システムの動作形態図、 第4図は第2図の資格認証システムのフローチャート
図、 第5図は本発明の第2実施例の資格認証システムの構成
図、 第6図は、第5図の資格認証システムの動作形態図、で
ある。 (符号の説明) 10……第1のデータ通信装置、 11……個人コード入力手段、 12……秘密キィ入力手段、 13……復号化手段、 14……通信手段、 20……第2のデータ通信装置、 21……秘密キィ検索手段、 22……乱数発生手段、 24……暗号化手段、 25……比較照合手段、 26……通信手段、 30……通信回線、 100……端末装置、 200……ホストコンピュータ、 300……通信回線、 400……パーソナルコンピュータ、 500……指紋入力装置。FIG. 1 is a basic configuration diagram of a qualification authentication system of the present invention, FIG. 2 is a configuration diagram of a qualification authentication system of a first embodiment of the present invention, FIG. 3 is an operation form diagram of the qualification authentication system of FIG. FIG. 4 is a flowchart of the qualification authentication system of FIG. 2, FIG. 5 is a configuration diagram of the qualification authentication system of the second embodiment of the present invention, and FIG. 6 is an operation form diagram of the qualification authentication system of FIG. ,. (Explanation of symbols) 10 first data communication device 11 personal code input device 12 secret key input device 13 decoding device 14 communication device 20 second Data communication device, 21 secret key search means, 22 random number generation means, 24 encryption means, 25 comparison comparison means, 26 communication means, 30 communication line, 100 terminal equipment , 200: Host computer, 300: Communication line, 400: Personal computer, 500: Fingerprint input device.

───────────────────────────────────────────────────── フロントページの続き (56)参考文献 特開 平2−44389(JP,A) 特開 昭63−248246(JP,A) 特開 昭62−118472(JP,A) 特開 昭63−273980(JP,A) 特開 平1−161938(JP,A) 特開 昭63−223969(JP,A) ──────────────────────────────────────────────────続 き Continuation of the front page (56) References JP-A-2-44389 (JP, A) JP-A-63-248246 (JP, A) JP-A-62-118472 (JP, A) JP-A-63-118 273980 (JP, A) JP-A-1-161938 (JP, A) JP-A-63-223969 (JP, A)

Claims (3)

(57)【特許請求の範囲】(57) [Claims] 【請求項1】それぞれ通信手段(14)、通信手段(26)
を有し、これら通信手段(14)および通信手段(26)が
通信回線(30)を介して接続され、相互に通信可能に構
成された第1のデータ通信装置(10)および第2のデー
タ通信装置(20)を具備し、 第1のデータ通信装置は、個人コード(CODEA)を入力
する個人コード入力手段(11)と秘密キィを入力する秘
密キィ入力手段(12)と、復号化手段(13)とを有し、 第2のデータ通信装置は、第1のデータ通信装置から送
信された個人コードに対応する予め登録された該当秘密
キィ(CODEX)を取り出す秘密キィ検索手段(21)と、
個人コードが受信される毎に乱数(R1)を発生させる乱
数発生手段(22)と、該乱数を前記取り出した秘密キィ
で暗号化する暗号化手段(24)と、比較照合手段(25)
とを有し、 前記復号化手段は、前記暗号化手段で暗号化されたデー
タ(SR)を前記秘密キィ入力手段で入力された秘密キィ
で復号化し、 前記比較照合手段は、前記乱数発生手段で発生した乱数
(R1)と、前記復号化手段で復号した乱数(R1′)とを
比較照合し、一致している場合第1のデータ通信装置に
アクセス許可信号を送出する、ようにした、資格認証シ
ステム。1. Communication means (14) and communication means (26), respectively.
A first data communication device (10) and a second data communication device (14) and a communication device (26), which are connected via a communication line (30) and configured to be able to communicate with each other. The first data communication device comprises a personal code input means (11) for inputting a personal code (CODEA), a secret key input means (12) for inputting a secret key, and a decoding means. (13), wherein the second data communication device is a secret key search means (21) for extracting a pre-registered corresponding secret key (CODEX) corresponding to the personal code transmitted from the first data communication device. When,
Random number generating means (22) for generating a random number (R1) each time a personal code is received, encrypting means (24) for encrypting the random number with the secret key taken out, and comparing and collating means (25)
The decryption means decrypts the data (SR) encrypted by the encryption means with the secret key input by the secret key input means, and the comparison / matching means comprises the random number generation means The random number (R1) generated in (1) and the random number (R1 ′) decoded by the decoding means are compared and collated, and if they match, an access permission signal is sent to the first data communication device. Credential authentication system. 【請求項2】前記秘密キィ入力手段から入力される秘密
キィが利用者の指紋であり、前記秘密キィ検索手段が対
応する予め登録された指紋秘密キィを取り出し、前記暗
号化手段が該指紋秘密キィにより暗号化し、前記復号化
手段が指紋秘密キィにもとづいて暗号化手段で暗号化さ
れたデータを復号化する、請求項1記載の資格認証シス
テム。2. The secret key input from the secret key input means is a user's fingerprint. The secret key search means retrieves a corresponding pre-registered fingerprint secret key, and the encrypting means extracts the fingerprint secret key. 2. The qualification authentication system according to claim 1, wherein the data is encrypted by a key, and the decryption means decrypts the data encrypted by the encryption means based on the fingerprint secret key. 【請求項3】前記個人コード入力手段と前記秘密キィ入
力手段は、共通の入力手段により構成された、請求項1
又は2記載の資格認証システム。3. The personal code input means and the secret key input means are constituted by a common input means.
Or the qualification authentication system according to 2.
JP63262791A 1988-10-20 1988-10-20 Certification system Expired - Fee Related JP2768474B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP63262791A JP2768474B2 (en) 1988-10-20 1988-10-20 Certification system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP63262791A JP2768474B2 (en) 1988-10-20 1988-10-20 Certification system

Publications (2)

Publication Number Publication Date
JPH02111132A JPH02111132A (en) 1990-04-24
JP2768474B2 true JP2768474B2 (en) 1998-06-25

Family

ID=17380654

Family Applications (1)

Application Number Title Priority Date Filing Date
JP63262791A Expired - Fee Related JP2768474B2 (en) 1988-10-20 1988-10-20 Certification system

Country Status (1)

Country Link
JP (1) JP2768474B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5196840A (en) * 1990-11-05 1993-03-23 International Business Machines Corporation Secure communications system for remotely located computers
US5208853A (en) * 1991-09-09 1993-05-04 Motorola, Inc. Method and apparatus for usage protection of data files using split key and unique variable
JP4518217B2 (en) * 1999-09-30 2010-08-04 ソニー株式会社 COMMUNICATION DEVICE, COMMUNICATION SYSTEM, AND COMMUNICATION METHOD
WO2002025457A1 (en) * 2000-09-20 2002-03-28 Cai Co., Ltd. Hybrid personal authenticating device, hybrid personal authenticating method, and recorded medium

Also Published As

Publication number Publication date
JPH02111132A (en) 1990-04-24

Similar Documents

Publication Publication Date Title
US6816970B2 (en) Security method and system for persistent storage and communications on computer network systems and computer network systems employing the same
US5196840A (en) Secure communications system for remotely located computers
CA2023872C (en) Databaseless security system
KR100876003B1 (en) User Authentication Method Using Biological Information
EP0674795B1 (en) Combination pin pad and terminal
US5020105A (en) Field initialized authentication system for protective security of electronic information networks
JP3222110B2 (en) Personal identification fob
US8060753B2 (en) Biometric platform radio identification anti-theft system
US20070118758A1 (en) Processing device, helper data generating device, terminal device, authentication device and biometrics authentication system
US7051209B1 (en) System and method for creation and use of strong passwords
JP2005512204A (en) Portable device and method for accessing a data key activated device
JP2004506361A (en) Entity authentication in electronic communication by providing device verification status
KR100449484B1 (en) Method for issuing a certificate of authentication using information of a bio metrics in a pki infrastructure
JPH086520B2 (en) Remote access system
JPH0675251B2 (en) Method for authenticating a portable object connected to an external medium via a transmission line by the external medium, and a system for implementing the method
US20010039619A1 (en) Speaker verification interface for secure transactions
JPH11282982A (en) User card, communication terminal equipment, communication server, communication system and user authentication method for communication system
JPH11143833A (en) User confirmation system and ic card by biological data and storage medium
CN101819614A (en) System and method for enhancing network transaction safety by utilizing voice verification USBKey
JP2001344212A (en) Method for limiting application of computer file by biometrics information, method for logging in to computer system, and recording medium
KR20050023050A (en) Method for generating encryption key using divided biometric information and user authentication method using the same
JPH10269182A (en) User authentication method and user authentication system
JP2768474B2 (en) Certification system
JP2001312477A (en) System, device, and method for authentication
JPH01300291A (en) Code generating apparatus and method

Legal Events

Date Code Title Description
R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees