JP3921942B2 - 認証システム - Google Patents
認証システム Download PDFInfo
- Publication number
- JP3921942B2 JP3921942B2 JP2000381683A JP2000381683A JP3921942B2 JP 3921942 B2 JP3921942 B2 JP 3921942B2 JP 2000381683 A JP2000381683 A JP 2000381683A JP 2000381683 A JP2000381683 A JP 2000381683A JP 3921942 B2 JP3921942 B2 JP 3921942B2
- Authority
- JP
- Japan
- Prior art keywords
- password
- authentication
- card
- fingerprint
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、動的認証を伴う生体認証に関する。
【0002】
【従来の技術】
コンピュータ及び通信技術の発達に伴い、コンピュータにより人間を介さずに自動的に認証をする技術の必要性が大きくなってきている。代表的な例としては電子商取引、オンラインバンキング、Webメールや情報提供などの各種インターネットベースのサービスなどが挙げられる。従来は会員証やそれに表示されている顔写真、通帳、印鑑などを目視することにより人間が認証していたが、これらの用途では遠隔地でコンピュータのみを使ってサービスを提供するので、従来の認証が使用できない。従ってこれに代わる認証が必要である。
【0003】
最も簡単な認証方法は、ユーザが誰であるかを示すユーザIDと、本人しか知りえないパスワードを入力させるという方法である。これは、セキュリティがさほど重要でない、例えばWebメールサービス(http://www.hotmail.comなど)などのサービスでは多用されている。
【0004】
しかし、この単純な方法は多くの問題を抱えている。まず、インターネットにおける通信はその性質上傍受が可能であり、ユーザIDやパスワードを盗まれる可能性がある。このため、WebブラウザではSSLという暗号化を行い、ユーザとサービスサイトの間で情報が盗まれないように工夫をしている。しかし、ユーザIDにしてもパスワードにしても、人間が手作業で入力するという性質があるため、人間が覚えている必要があるので余り長い文字列は使用できず、また頻繁に変えるのも難しい。このため、一回では盗めなくても、長期にわたって通信を傍受することで類推したり、辞書攻撃したりすることによるクラッキングも可能である。
【0005】
この問題に対処するため、SecurID社などが商品化している、ワンタイムパスワードという仕掛けが考案されている。これは、ユーザサイドに電卓からキーホルダー程度の大きさのパスワード発生器を用意させ、パスワード発生器とサービスサイトの間で定期的に、一般的には時間と同期して、一回きりのパスワードを生成するものである。しかし、これはパスワード生成器が盗まれた場合役に立たない。現状では、パスワード生成器の使用に際してパスワードを入力する使用になっているものが多いが、このパスワードは固定、短いという従来の欠点を残したままになっている。
【0006】
また、ICカードなど、複製困難な小型の認証手段を本人に渡し、この認証手段との間で認証を行うシステムがある。ICカードの内部に入っている暗証番号は、人間が覚える必要がないため長さの制限がなく、必要なだけ長くすることも出来、またワンタイムパスワード化も可能である。また、ICカードには、公開暗号鍵が組み込まれており、ICカード内部で暗号・復号処理を行うという点で暗号の受け渡しも安全である。しかし、ワンタイムパスワード生成器の問題と同じく、盗難に対する耐性は弱い。ICカードの使用に対するパスワードを要するようにしているものが多いが、これも上記と同等の問題、即ち固定、短いという従来の欠点を残したままになっている。
【0007】
これに対し、近年注目されているのが、生体情報による認証である。指紋、声紋、虹彩、サイン筆跡など、本人に極めて特徴的な情報をコンピュータで解析し、本人かどうかを認証するものである。これは、人間が覚えるパスワードと異なり極めて情報量が多いので、また、指紋入力装置に一体化して暗号化装置を取り付けること等により、通信路の傍受による解読に強く、また本人に密接にかかわるものであるのでそのものを置き忘れて盗まれる心配はないという特徴をもつ。また、パスワードのように覚えるものがないので、誰にでも使いやすいことも同様に特徴として挙げられる。
【0008】
生体情報による認証には、指紋や虹彩など、生物としての特徴そのものを利用する静的認証と、サインの特徴や音声など、何らかの動きの特徴を利用する動的認証がある。
【0009】
静的認証は、人間が何も覚えることがない反面、外から観察できるものを認識するため、成り済ましに対して弱いという特徴をもつ。指紋は本人の周りからいくらでも採取可能であるし、虹彩は若干難しいものの、写真を撮ることにより解析が可能である。従来の技術では、これに対抗するためのさまざまな手法が考案されている。例えば指紋においては、模造指紋に対応するため、静電容量、温度差、静脈流を検知する方法が挙げられている。しかし、何れの方法にも回避策が既に確立しており、高度なシステムでは十分ではない。
【0010】
動的認証は、例えば声紋の場合、声の特徴の他に、どのような言葉を登録するかによって、更なるセキュリティの向上が期待できる。つまり、登録する文言を一種のパスワードとして利用できるため、例えば声紋の場合、普段ならめったにしゃべらない文言を登録することで、録音による成りすましの可能性を低めることが可能である。但し、そのパスワードが毎回同じであると、やはり盗撮や録音による成り済ましの可能性がある。パスワードが毎回異なると、例えば声紋の場合、バラバラな録音から音声を継ぎ接ぎしたり音声合成したりしても不自然になるので、静的認識にパスワードを組み合わせる場合よりも更に安全である。しかし、毎回異なるパスワードを覚えることは人間にとって大きな負荷となり、実際は難しい。また、毎回変わるパスワードを表示して発声させる声紋認識も考えられる。但しこの場合は、パスワードそのものには認証機能はなく、音声の継ぎ接ぎや音声合成の可能性を低める目的でしか使っていないことになる。
【0011】
生体情報は外部から観察可能な情報であるので、ユーザIDとパスワードのどちらの性質を備えているかと言えば、どちらかと言えばユーザIDの方であると考えられる。しかし、従来の技術ではこの両方の機能を持たせており、成り済ましに対して弱い。従って、パスワードに相当する機能を組み合わせるべきである。
【0012】
しかし、生体認証と従来の別の認証を単純に組み合わせても、例えば生体認証とパスワードを組み合わせたとしてもどちらも成り済まし可能であり、組み合わせたことによる耐性の向上はあまり期待できない。ワンタイムパスワードを利用しても、パスワード生成器を盗まれた場合の耐性はやはり個別の耐性を上回ることは出来ない。
【0013】
また、生体データは、もしクラックされた場合に変更不可能である。指紋を盗まれたからと言って指紋を取り替えることは出来ない。
【0014】
【発明が解決しようとする課題】
本発明の目的は、上記従来技術の欠点を解決し、個人認証における精度を向上させる方法を提供することである。
【0015】
【課題を解決するための手段】
上記目的を達成するために、二段階の認証行為を組み合わせることにより成り済ましの問題に対処する。
【0016】
最終段の認証として動的認証を用い、そのパスワードを前段の認証から生成する。この際、そのパスワードは、前段の認証が成功しても失敗しても生成され、認証が失敗した場合は偽のパスワードが生成される。また、認証のためのパスワードはワンタイムパスワードであり、毎回違ったものが生成される。ワンタイムパスワードの特徴により、前段と後段は特に通信している必要は無いが、認証のときに接続しても構わない。
【0017】
一般的には、前段の認証手段は通常のワンタイムパスワード生成器とほぼ同じものが使用できるが、現在市販されているワンタイムパスワード生成器は数字のみしか生成しない。本発明では動的認証の必要があるため、アルファベットや漢字など、より複雑なパスワードを生成する必要がある。これは、数字のみでは10種類しかないため、動的認証のためには十分に複雑ではないためである。
【0018】
前段は通常のワンタイムパスワードと質的には同等である。しかし本発明では、そのパスワードを生体の特徴をもって入力する必要がある。動的認証においてはそのパスワードを毎回変えることにより、録音や写真等による成り済ましがしにくくなるが、本発明では、そのパスワードの生成は前段の認証手段とワンタイムパスワードのアルゴリズムにより連携している。このため、後段のみでただ文言を毎回変化させるのとは大きく異なり、ワンタイムパスワードの機能も果たしていることになる。
【0019】
このことより、次のような特徴が生じる。まず、前段におけるパスワードが正しいかどうかは認証のどの段階でも分からず、認証に失敗してもどこが間違っていたのか検証することが出来ない。後段における生体認識も同等である。最終的に成功したか失敗したかは勿論分かるが、前段が駄目だったのか後段が駄目だったのか、両方駄目だったのかは認証のどの段階でも分からない。前段と後段が物理的に離れているにもかかわらず、一体化したのと同等の安全性が得られる。このため、前段の認証は必ずしも高度な認証である必要は必ずしも無く、例えば単純なパスワードや、指紋などの静的生体認識で構わない。例えばパスワードの場合、通常であれば間違ったパスワードを入れるとその時点で間違っていることがわかってしまうため、攻撃の対象を絞らせることになる。本発明では正しいかどうかが前段からだけでは分からないため、前段が破られたことに対する緊急な保護策の必要性が弱くてよい。
【0020】
更に、認証が成功ないしは失敗した際に、後段から前段にフィードバックを掛けることで、格段にセキュリティが高まる。例えば後段の認証が失敗した際、秘密裡に前段をロックし、全ての入力に対し偽のパスワードを返すようにすることが可能になる。この場合であっても、前段が使えなくなっているかどうかは前段だけからは分からないという特徴がある。また、認証が多段階に渡る場合、後段の認証が成功することで次の段階の認証へのロックを解除することが可能になる。この際、次の段階の認証は別の認証、例えば次のドアへの認証で構わない。更に、認証が成功するたびに新しい認証アルゴリズムを導入したり、秘密鍵を更新したりすることが出来る。
【0021】
以上により、単純に組み合わせた場合に対し、飛躍的に成り済まし耐性が向上する。また、例え生体データを盗まれても、ワンタイムパスワードと組み合わせる必要があるので、盗まれることに対する心理的抵抗、事実上の耐性の低下を食い止める効果がある。即ち、前段、後段のいずれのクラックに対しても安全性が高まる。
【0022】
【発明の実施の形態】
以下、本発明の一実施例を図1により説明する。
【0023】
前段の認証としてICカードへのパスワード、後段の認証として指紋を用いる、入室管理システムを例としてあげる。まず、ユーザが携帯するICカード1はテンキー2、表示装置3、玄関ロック5のICカードリーダ6と通信するための通信端子4を備える。玄関ロック5はICカードリーダ6と指紋入力装置7、鍵開閉装置8、及び全体の制御装置9を備える。
【0024】
まず、ユーザは、ICカードへのパスワードをテンキー2に入力する。すると、ICカード1は表示装置3に、指紋の入力順序を表示する。例えば「右人差し指、左中指、左薬指」と表示する。ICカード1がICカードリーダ6に差し込まれると、制御装置9はどのICカードが差し込まれたのかを認識して、照合すべき指紋とその入力順序を認識する。ユーザはICカード1を玄関ロック5のICカードリーダ6に差し込み、表示された順序で、指を指紋入力装置7にあてがう。ここまでのプロセスが全て正しければ、制御装置9が鍵開閉装置8を操作して玄関の鍵が開く。更に、ICカード1と制御装置9は、次回の指紋入力順序を定め、通信端子4を通じてお互いに記憶する。
【0025】
ICカード1のパスワードが正しい場合、ICカード1は正しい指紋入力順序を表示するが、パスワードが間違っている場合は間違った順序を表示する。そしてICカード1は間違った情報が入力されたことを記憶するが、これは表示装置3、通信端子4を幾ら操作しても引き出せない構造とする。
【0026】
指紋入力装置7に入力される指紋、ないしはその順序が間違っていた場合、制御装置9はその旨をICカードリーダ6、通信端子4を通じてICカード1に知らせる。正しかった場合も同様に知らせるが、これらの情報は公開鍵暗号により暗号化するので、外部から、また通信端子4からの傍受では成功だったのか失敗だったのかは分からない。
【0027】
ICカード1には、通常のキャッシュカードなどと同じように、間違えた回数に応じて機能をロックする機能が備わっている。但し、使えなくなるのではなく、今後どのようなパスワードを入力しても必ず間違った指紋入力順序を表示するようになる。この回数は、通常キャッシュカードに見られるような3回程度よりも緩くてよい。また、ICカード1へのパスワードに対する失敗、及び指紋、及び指紋の入力順序に対する失敗のどちらに対してもこのロック機構は働くものとする。即ちどちらで失敗してもその回数をカウントし、制限を越えたら機能をロックする。
【0028】
本発明では、どの段階で間違っても、それが間違ったかどうかがシステムのどの部分を見ても判らない。まず、ICカード1は分解困難な構造であり、外部から見えるのは表示装置3、通信端子4のみである。表示装置3に表示される指紋入力順序は元々ワンタイムパスワードであるため、ICカード1へのパスワードが正しくても間違っていても毎回異なるので判読不能である。また、通信端子4を通じてICカード1の内部状態を観察することは不可能であり、ICカードリーダ6と通信端子4との情報交換は公開鍵暗号で暗号化されており、やはり解析できない。また、指紋が間違っているかどうか、指紋の入力順序が間違っているかもやはり制御装置9から感知することはできない。
【0029】
本実施例において一番攻撃に弱いのは、ICカード1に対するパスワードである。これは固定、短い、数字のみ、という、一般にパスワードの弱点とされるものを全て備えている。また、ICカード1は勿論持ち歩くので、盗難の危険がある。ところが、本発明では、それが後段のワンタイムパスワードと結びついているため、これらのデメリットが全て無くなっている。即ち、ICカードには指紋などの生体情報は入っておらず、表示されるパスワードもワンタイムパスワードであるため、正しいものか間違ったものかは認識不能である。
【0030】
指紋は、本人の周りからいくらでも採取可能である。例えば本人が使っていたコーヒーの紙コップ、喫茶店で使った水のグラス、電車の手すりや吊革、電話、食器、自動販売機のボタン、等に残っている。また、指紋入力装置を騙す手段はいくらでも存在する。例えば静電容量式の場合は導電性材料を使ったゴム印、血流を見る方式では薄いゴム印の裏にニセの血流を投影する、温度検知式では発熱素子を組み合わせる、等である。従って、指紋単独では、いずれ盗まれ、成り済ましをされる危険性がある。しかし本発明では、両手10本全ての指紋を盗んだとしても、その入力順序がワンタイムパスワードになるため、前段を攻略しなければ意味をなさない。しかしその前段は上記のような理由で例え盗まれても殆ど攻略が不可能である。以上により、本実施例において不正に入室するには、ICカード、指紋の両方を入手した上でICカードへのパスワードを攻略する必要があるが、後段の認証が指紋入力を伴うため、コンピュータによる自動解析が通用せず、毎回指紋を手動で入力するという手間が必要である。このため、不正に入室しようとする者は玄関先に長時間居続ける必要があり、当然近所や監視カメラなどから不審に見られるため抑制効果がある。
【0031】
また、毎回パスワードを変えるにもかかわらず、ユーザは何もおぼえることが無く、且つ生体認証における生体情報盗難の危険に対しても対抗できていることも、本発明のメリットの一つと言える。
【0032】
次に、本発明の、インターネット環境における応用例を、図2を使って説明する。
【0033】
サーバコンピュータが提供するサービスを受ける際の認証における応用例である。コンピュータ100は、指紋入力装置101とペンタブレット102、ディスプレイ103を備えている。コンピュータは通信回線104、一般的にはインターネットを通じてサーバ105と接続している。
【0034】
ユーザは、まず指紋入力装置101に指紋を入力する。すると、コンピュータ100はこれが本人のものであるかどうかを判断し、アルファベットの羅列をディスプレイ103に表示する。アルファベットの羅列はワンタイムパスワードとなっており、コンピュータ100とサーバ105の間で同期している。この場合の同期は、時計による。即ち、一定の時間毎に双方が同じアルゴリズムでパスワードを変える。指紋が本人のものである場合は正しい羅列を、間違っている場合は間違った羅列を表示する。ユーザはこのアルファベットの羅列を筆記体でペンタブレット102に入力する。コンピュータ100は、筆記されたタブレットの筆跡、筆圧の情報を公開暗号鍵で暗号化した上でサーバ105に送る。サーバはこれらの情報を元に、筆跡が本人のものであるかどうか、及びアルファベットの羅列が正しいものであるかを判断し、合格するとログインできる。
【0035】
本実施例では、前段と後段の間が通信回線でつながっており、通信傍受が可能な点が最初の例と異なっている。従って、ニセのデータを送ったり辞書攻撃するなどの方法が可能である。この点を検証する。
【0036】
まず、前段の認証の結果はアルファベットの羅列である。前段はローカルなコンピュータであり、一般的に指紋入力装置101とコンピュータ100に内蔵されている指紋認識ソフトの間は暗号化されているので、また指紋入力装置の種類によっては指紋データを指紋入力装置から出さないで、判定結果のみを知らせるものがあるので、コンピュータに対する悪意ある第三者によるクラックの可能性は残されているものの、外部に指紋データが流出する可能性は低い。また、外部から指紋データを送り込むことは、指紋入力装置101からのものでないことが暗号化の手法によって容易にわかるため、極めて困難である。従って、毎回異なるアルファベットの羅列を回線から入手することは、ほぼ不可能である。
【0037】
次に、筆跡や筆圧は生体情報であり、またアルファベットを筆記体で羅列することで、単なるパスワードとしてだけでなく、文字のつながりの状態を見ることによって不自然さを判断することが出来る。その人の書体、筆跡はその人のメモ等から容易に入手可能であるが、筆圧の変化まで入手することは不可能である。また、タブレットの情報を何とか手に入れたとしても、アルファベットは筆記体で書くため線がつながっており、任意の羅列に対する筆圧の変化は固有であるため、例えば文字を分解してつなぎ合せるなどした場合、筆圧や筆記速度などが自然につながらず途切れてしまうため、偽者であると分かってしまう。また、その人の筆跡データはサーバ105が持っており、外に出ることは無い。判断はあくまでサーバ105の中で行われる。従って、例えば前段の指紋認証をクリアないしは誤魔化して後段の筆跡判断で失格した場合でも、悪意ある第三者は指紋認証が失敗したのか筆跡認証が失敗したのかをネットワーク上から判断することが出来ない。
【0038】
本実施例におけるワンタイムパスワードの生成方法は、時刻に同期することとしている。これは、両者が同じアルゴリズムを持ち、例えば60秒毎に異なるパスワードを生成するというものである。各コンピュータの時刻を自動的に修正する方法はUNIXの時代より確立しているNTPと呼ばれるプロトコルがあるため、これで同期する。NTPは1/100秒以下の精度を持っているため、ワンタイムパスワードの生成には十分である。サーバ105とコンピュータ100の間でパスワードに関する情報が何も流れないため、パスワードの情報を通信回線104から得ることは不可能である。
【0039】
本実施例では、前段と後段の両方に生体認証を用いているが、やはり前段の認証は盗難による成り済ましの可能性が高い静的な指紋認証を用いている。しかもコンピュータを前提としているので、成り済ましを装う悪意ある第三者は隠れて試すことが可能であり、前段が破られる可能性は高い。但し、この場合であっても通信回線の傍受のみによるクラックは、指紋がネットに流れないため不可能である。指紋入力装置の公開暗号鍵を破る、パスワード生成ソフトのタンパレジスタント特性を破るなどの高度なプログラミング技術が必要であり、理論上不可能ではないが事実上は問題ない。またタブレット情報はサーバ105と直接公開暗号鍵で暗号化するので、回線の傍受におけるタブレット情報の入手は、公開暗号鍵を破る難しさに等しい。従って、本実施例のクラッキングは事実上不可能である。
【0040】
最後に、本発明の応用分野について考える。本発明は、電子的に認証する全ての分野に有効であるが、特に成りすまし耐性が高いという特徴を持つので、高額なEC、オンラインバンキングなど、金銭や利害が絡む取引に有用と考えられる。インターネットを経由するなど、前段と後段が離れていても、十分な体制を発揮する。
【0041】
【発明の効果】
以上のように、本発明によれば、電子認証において、単純に生体情報とパスワードを組み合わせるなどの場合に比べて、少ない労力で大きな成りすまし耐性を得られる。
【図面の簡単な説明】
【図1】本発明の、入退室における一実施例を表した図である。
【図2】本発明の、ネットワーク経由の認証における一実施例を表した図である。
【符号の説明】
1…ICカード、2…テンキー、3…表示装置、4…通信端子、5…玄関ロック、6…ICカードリーダ、7…指紋入力装置、8…鍵開閉装置、9…制御装置、100…コンピュータ、101…指紋入力装置、102…タブレット、103…ディスプレイ、104…通信回線(インターネット)、105…サーバ。
【発明の属する技術分野】
本発明は、動的認証を伴う生体認証に関する。
【0002】
【従来の技術】
コンピュータ及び通信技術の発達に伴い、コンピュータにより人間を介さずに自動的に認証をする技術の必要性が大きくなってきている。代表的な例としては電子商取引、オンラインバンキング、Webメールや情報提供などの各種インターネットベースのサービスなどが挙げられる。従来は会員証やそれに表示されている顔写真、通帳、印鑑などを目視することにより人間が認証していたが、これらの用途では遠隔地でコンピュータのみを使ってサービスを提供するので、従来の認証が使用できない。従ってこれに代わる認証が必要である。
【0003】
最も簡単な認証方法は、ユーザが誰であるかを示すユーザIDと、本人しか知りえないパスワードを入力させるという方法である。これは、セキュリティがさほど重要でない、例えばWebメールサービス(http://www.hotmail.comなど)などのサービスでは多用されている。
【0004】
しかし、この単純な方法は多くの問題を抱えている。まず、インターネットにおける通信はその性質上傍受が可能であり、ユーザIDやパスワードを盗まれる可能性がある。このため、WebブラウザではSSLという暗号化を行い、ユーザとサービスサイトの間で情報が盗まれないように工夫をしている。しかし、ユーザIDにしてもパスワードにしても、人間が手作業で入力するという性質があるため、人間が覚えている必要があるので余り長い文字列は使用できず、また頻繁に変えるのも難しい。このため、一回では盗めなくても、長期にわたって通信を傍受することで類推したり、辞書攻撃したりすることによるクラッキングも可能である。
【0005】
この問題に対処するため、SecurID社などが商品化している、ワンタイムパスワードという仕掛けが考案されている。これは、ユーザサイドに電卓からキーホルダー程度の大きさのパスワード発生器を用意させ、パスワード発生器とサービスサイトの間で定期的に、一般的には時間と同期して、一回きりのパスワードを生成するものである。しかし、これはパスワード生成器が盗まれた場合役に立たない。現状では、パスワード生成器の使用に際してパスワードを入力する使用になっているものが多いが、このパスワードは固定、短いという従来の欠点を残したままになっている。
【0006】
また、ICカードなど、複製困難な小型の認証手段を本人に渡し、この認証手段との間で認証を行うシステムがある。ICカードの内部に入っている暗証番号は、人間が覚える必要がないため長さの制限がなく、必要なだけ長くすることも出来、またワンタイムパスワード化も可能である。また、ICカードには、公開暗号鍵が組み込まれており、ICカード内部で暗号・復号処理を行うという点で暗号の受け渡しも安全である。しかし、ワンタイムパスワード生成器の問題と同じく、盗難に対する耐性は弱い。ICカードの使用に対するパスワードを要するようにしているものが多いが、これも上記と同等の問題、即ち固定、短いという従来の欠点を残したままになっている。
【0007】
これに対し、近年注目されているのが、生体情報による認証である。指紋、声紋、虹彩、サイン筆跡など、本人に極めて特徴的な情報をコンピュータで解析し、本人かどうかを認証するものである。これは、人間が覚えるパスワードと異なり極めて情報量が多いので、また、指紋入力装置に一体化して暗号化装置を取り付けること等により、通信路の傍受による解読に強く、また本人に密接にかかわるものであるのでそのものを置き忘れて盗まれる心配はないという特徴をもつ。また、パスワードのように覚えるものがないので、誰にでも使いやすいことも同様に特徴として挙げられる。
【0008】
生体情報による認証には、指紋や虹彩など、生物としての特徴そのものを利用する静的認証と、サインの特徴や音声など、何らかの動きの特徴を利用する動的認証がある。
【0009】
静的認証は、人間が何も覚えることがない反面、外から観察できるものを認識するため、成り済ましに対して弱いという特徴をもつ。指紋は本人の周りからいくらでも採取可能であるし、虹彩は若干難しいものの、写真を撮ることにより解析が可能である。従来の技術では、これに対抗するためのさまざまな手法が考案されている。例えば指紋においては、模造指紋に対応するため、静電容量、温度差、静脈流を検知する方法が挙げられている。しかし、何れの方法にも回避策が既に確立しており、高度なシステムでは十分ではない。
【0010】
動的認証は、例えば声紋の場合、声の特徴の他に、どのような言葉を登録するかによって、更なるセキュリティの向上が期待できる。つまり、登録する文言を一種のパスワードとして利用できるため、例えば声紋の場合、普段ならめったにしゃべらない文言を登録することで、録音による成りすましの可能性を低めることが可能である。但し、そのパスワードが毎回同じであると、やはり盗撮や録音による成り済ましの可能性がある。パスワードが毎回異なると、例えば声紋の場合、バラバラな録音から音声を継ぎ接ぎしたり音声合成したりしても不自然になるので、静的認識にパスワードを組み合わせる場合よりも更に安全である。しかし、毎回異なるパスワードを覚えることは人間にとって大きな負荷となり、実際は難しい。また、毎回変わるパスワードを表示して発声させる声紋認識も考えられる。但しこの場合は、パスワードそのものには認証機能はなく、音声の継ぎ接ぎや音声合成の可能性を低める目的でしか使っていないことになる。
【0011】
生体情報は外部から観察可能な情報であるので、ユーザIDとパスワードのどちらの性質を備えているかと言えば、どちらかと言えばユーザIDの方であると考えられる。しかし、従来の技術ではこの両方の機能を持たせており、成り済ましに対して弱い。従って、パスワードに相当する機能を組み合わせるべきである。
【0012】
しかし、生体認証と従来の別の認証を単純に組み合わせても、例えば生体認証とパスワードを組み合わせたとしてもどちらも成り済まし可能であり、組み合わせたことによる耐性の向上はあまり期待できない。ワンタイムパスワードを利用しても、パスワード生成器を盗まれた場合の耐性はやはり個別の耐性を上回ることは出来ない。
【0013】
また、生体データは、もしクラックされた場合に変更不可能である。指紋を盗まれたからと言って指紋を取り替えることは出来ない。
【0014】
【発明が解決しようとする課題】
本発明の目的は、上記従来技術の欠点を解決し、個人認証における精度を向上させる方法を提供することである。
【0015】
【課題を解決するための手段】
上記目的を達成するために、二段階の認証行為を組み合わせることにより成り済ましの問題に対処する。
【0016】
最終段の認証として動的認証を用い、そのパスワードを前段の認証から生成する。この際、そのパスワードは、前段の認証が成功しても失敗しても生成され、認証が失敗した場合は偽のパスワードが生成される。また、認証のためのパスワードはワンタイムパスワードであり、毎回違ったものが生成される。ワンタイムパスワードの特徴により、前段と後段は特に通信している必要は無いが、認証のときに接続しても構わない。
【0017】
一般的には、前段の認証手段は通常のワンタイムパスワード生成器とほぼ同じものが使用できるが、現在市販されているワンタイムパスワード生成器は数字のみしか生成しない。本発明では動的認証の必要があるため、アルファベットや漢字など、より複雑なパスワードを生成する必要がある。これは、数字のみでは10種類しかないため、動的認証のためには十分に複雑ではないためである。
【0018】
前段は通常のワンタイムパスワードと質的には同等である。しかし本発明では、そのパスワードを生体の特徴をもって入力する必要がある。動的認証においてはそのパスワードを毎回変えることにより、録音や写真等による成り済ましがしにくくなるが、本発明では、そのパスワードの生成は前段の認証手段とワンタイムパスワードのアルゴリズムにより連携している。このため、後段のみでただ文言を毎回変化させるのとは大きく異なり、ワンタイムパスワードの機能も果たしていることになる。
【0019】
このことより、次のような特徴が生じる。まず、前段におけるパスワードが正しいかどうかは認証のどの段階でも分からず、認証に失敗してもどこが間違っていたのか検証することが出来ない。後段における生体認識も同等である。最終的に成功したか失敗したかは勿論分かるが、前段が駄目だったのか後段が駄目だったのか、両方駄目だったのかは認証のどの段階でも分からない。前段と後段が物理的に離れているにもかかわらず、一体化したのと同等の安全性が得られる。このため、前段の認証は必ずしも高度な認証である必要は必ずしも無く、例えば単純なパスワードや、指紋などの静的生体認識で構わない。例えばパスワードの場合、通常であれば間違ったパスワードを入れるとその時点で間違っていることがわかってしまうため、攻撃の対象を絞らせることになる。本発明では正しいかどうかが前段からだけでは分からないため、前段が破られたことに対する緊急な保護策の必要性が弱くてよい。
【0020】
更に、認証が成功ないしは失敗した際に、後段から前段にフィードバックを掛けることで、格段にセキュリティが高まる。例えば後段の認証が失敗した際、秘密裡に前段をロックし、全ての入力に対し偽のパスワードを返すようにすることが可能になる。この場合であっても、前段が使えなくなっているかどうかは前段だけからは分からないという特徴がある。また、認証が多段階に渡る場合、後段の認証が成功することで次の段階の認証へのロックを解除することが可能になる。この際、次の段階の認証は別の認証、例えば次のドアへの認証で構わない。更に、認証が成功するたびに新しい認証アルゴリズムを導入したり、秘密鍵を更新したりすることが出来る。
【0021】
以上により、単純に組み合わせた場合に対し、飛躍的に成り済まし耐性が向上する。また、例え生体データを盗まれても、ワンタイムパスワードと組み合わせる必要があるので、盗まれることに対する心理的抵抗、事実上の耐性の低下を食い止める効果がある。即ち、前段、後段のいずれのクラックに対しても安全性が高まる。
【0022】
【発明の実施の形態】
以下、本発明の一実施例を図1により説明する。
【0023】
前段の認証としてICカードへのパスワード、後段の認証として指紋を用いる、入室管理システムを例としてあげる。まず、ユーザが携帯するICカード1はテンキー2、表示装置3、玄関ロック5のICカードリーダ6と通信するための通信端子4を備える。玄関ロック5はICカードリーダ6と指紋入力装置7、鍵開閉装置8、及び全体の制御装置9を備える。
【0024】
まず、ユーザは、ICカードへのパスワードをテンキー2に入力する。すると、ICカード1は表示装置3に、指紋の入力順序を表示する。例えば「右人差し指、左中指、左薬指」と表示する。ICカード1がICカードリーダ6に差し込まれると、制御装置9はどのICカードが差し込まれたのかを認識して、照合すべき指紋とその入力順序を認識する。ユーザはICカード1を玄関ロック5のICカードリーダ6に差し込み、表示された順序で、指を指紋入力装置7にあてがう。ここまでのプロセスが全て正しければ、制御装置9が鍵開閉装置8を操作して玄関の鍵が開く。更に、ICカード1と制御装置9は、次回の指紋入力順序を定め、通信端子4を通じてお互いに記憶する。
【0025】
ICカード1のパスワードが正しい場合、ICカード1は正しい指紋入力順序を表示するが、パスワードが間違っている場合は間違った順序を表示する。そしてICカード1は間違った情報が入力されたことを記憶するが、これは表示装置3、通信端子4を幾ら操作しても引き出せない構造とする。
【0026】
指紋入力装置7に入力される指紋、ないしはその順序が間違っていた場合、制御装置9はその旨をICカードリーダ6、通信端子4を通じてICカード1に知らせる。正しかった場合も同様に知らせるが、これらの情報は公開鍵暗号により暗号化するので、外部から、また通信端子4からの傍受では成功だったのか失敗だったのかは分からない。
【0027】
ICカード1には、通常のキャッシュカードなどと同じように、間違えた回数に応じて機能をロックする機能が備わっている。但し、使えなくなるのではなく、今後どのようなパスワードを入力しても必ず間違った指紋入力順序を表示するようになる。この回数は、通常キャッシュカードに見られるような3回程度よりも緩くてよい。また、ICカード1へのパスワードに対する失敗、及び指紋、及び指紋の入力順序に対する失敗のどちらに対してもこのロック機構は働くものとする。即ちどちらで失敗してもその回数をカウントし、制限を越えたら機能をロックする。
【0028】
本発明では、どの段階で間違っても、それが間違ったかどうかがシステムのどの部分を見ても判らない。まず、ICカード1は分解困難な構造であり、外部から見えるのは表示装置3、通信端子4のみである。表示装置3に表示される指紋入力順序は元々ワンタイムパスワードであるため、ICカード1へのパスワードが正しくても間違っていても毎回異なるので判読不能である。また、通信端子4を通じてICカード1の内部状態を観察することは不可能であり、ICカードリーダ6と通信端子4との情報交換は公開鍵暗号で暗号化されており、やはり解析できない。また、指紋が間違っているかどうか、指紋の入力順序が間違っているかもやはり制御装置9から感知することはできない。
【0029】
本実施例において一番攻撃に弱いのは、ICカード1に対するパスワードである。これは固定、短い、数字のみ、という、一般にパスワードの弱点とされるものを全て備えている。また、ICカード1は勿論持ち歩くので、盗難の危険がある。ところが、本発明では、それが後段のワンタイムパスワードと結びついているため、これらのデメリットが全て無くなっている。即ち、ICカードには指紋などの生体情報は入っておらず、表示されるパスワードもワンタイムパスワードであるため、正しいものか間違ったものかは認識不能である。
【0030】
指紋は、本人の周りからいくらでも採取可能である。例えば本人が使っていたコーヒーの紙コップ、喫茶店で使った水のグラス、電車の手すりや吊革、電話、食器、自動販売機のボタン、等に残っている。また、指紋入力装置を騙す手段はいくらでも存在する。例えば静電容量式の場合は導電性材料を使ったゴム印、血流を見る方式では薄いゴム印の裏にニセの血流を投影する、温度検知式では発熱素子を組み合わせる、等である。従って、指紋単独では、いずれ盗まれ、成り済ましをされる危険性がある。しかし本発明では、両手10本全ての指紋を盗んだとしても、その入力順序がワンタイムパスワードになるため、前段を攻略しなければ意味をなさない。しかしその前段は上記のような理由で例え盗まれても殆ど攻略が不可能である。以上により、本実施例において不正に入室するには、ICカード、指紋の両方を入手した上でICカードへのパスワードを攻略する必要があるが、後段の認証が指紋入力を伴うため、コンピュータによる自動解析が通用せず、毎回指紋を手動で入力するという手間が必要である。このため、不正に入室しようとする者は玄関先に長時間居続ける必要があり、当然近所や監視カメラなどから不審に見られるため抑制効果がある。
【0031】
また、毎回パスワードを変えるにもかかわらず、ユーザは何もおぼえることが無く、且つ生体認証における生体情報盗難の危険に対しても対抗できていることも、本発明のメリットの一つと言える。
【0032】
次に、本発明の、インターネット環境における応用例を、図2を使って説明する。
【0033】
サーバコンピュータが提供するサービスを受ける際の認証における応用例である。コンピュータ100は、指紋入力装置101とペンタブレット102、ディスプレイ103を備えている。コンピュータは通信回線104、一般的にはインターネットを通じてサーバ105と接続している。
【0034】
ユーザは、まず指紋入力装置101に指紋を入力する。すると、コンピュータ100はこれが本人のものであるかどうかを判断し、アルファベットの羅列をディスプレイ103に表示する。アルファベットの羅列はワンタイムパスワードとなっており、コンピュータ100とサーバ105の間で同期している。この場合の同期は、時計による。即ち、一定の時間毎に双方が同じアルゴリズムでパスワードを変える。指紋が本人のものである場合は正しい羅列を、間違っている場合は間違った羅列を表示する。ユーザはこのアルファベットの羅列を筆記体でペンタブレット102に入力する。コンピュータ100は、筆記されたタブレットの筆跡、筆圧の情報を公開暗号鍵で暗号化した上でサーバ105に送る。サーバはこれらの情報を元に、筆跡が本人のものであるかどうか、及びアルファベットの羅列が正しいものであるかを判断し、合格するとログインできる。
【0035】
本実施例では、前段と後段の間が通信回線でつながっており、通信傍受が可能な点が最初の例と異なっている。従って、ニセのデータを送ったり辞書攻撃するなどの方法が可能である。この点を検証する。
【0036】
まず、前段の認証の結果はアルファベットの羅列である。前段はローカルなコンピュータであり、一般的に指紋入力装置101とコンピュータ100に内蔵されている指紋認識ソフトの間は暗号化されているので、また指紋入力装置の種類によっては指紋データを指紋入力装置から出さないで、判定結果のみを知らせるものがあるので、コンピュータに対する悪意ある第三者によるクラックの可能性は残されているものの、外部に指紋データが流出する可能性は低い。また、外部から指紋データを送り込むことは、指紋入力装置101からのものでないことが暗号化の手法によって容易にわかるため、極めて困難である。従って、毎回異なるアルファベットの羅列を回線から入手することは、ほぼ不可能である。
【0037】
次に、筆跡や筆圧は生体情報であり、またアルファベットを筆記体で羅列することで、単なるパスワードとしてだけでなく、文字のつながりの状態を見ることによって不自然さを判断することが出来る。その人の書体、筆跡はその人のメモ等から容易に入手可能であるが、筆圧の変化まで入手することは不可能である。また、タブレットの情報を何とか手に入れたとしても、アルファベットは筆記体で書くため線がつながっており、任意の羅列に対する筆圧の変化は固有であるため、例えば文字を分解してつなぎ合せるなどした場合、筆圧や筆記速度などが自然につながらず途切れてしまうため、偽者であると分かってしまう。また、その人の筆跡データはサーバ105が持っており、外に出ることは無い。判断はあくまでサーバ105の中で行われる。従って、例えば前段の指紋認証をクリアないしは誤魔化して後段の筆跡判断で失格した場合でも、悪意ある第三者は指紋認証が失敗したのか筆跡認証が失敗したのかをネットワーク上から判断することが出来ない。
【0038】
本実施例におけるワンタイムパスワードの生成方法は、時刻に同期することとしている。これは、両者が同じアルゴリズムを持ち、例えば60秒毎に異なるパスワードを生成するというものである。各コンピュータの時刻を自動的に修正する方法はUNIXの時代より確立しているNTPと呼ばれるプロトコルがあるため、これで同期する。NTPは1/100秒以下の精度を持っているため、ワンタイムパスワードの生成には十分である。サーバ105とコンピュータ100の間でパスワードに関する情報が何も流れないため、パスワードの情報を通信回線104から得ることは不可能である。
【0039】
本実施例では、前段と後段の両方に生体認証を用いているが、やはり前段の認証は盗難による成り済ましの可能性が高い静的な指紋認証を用いている。しかもコンピュータを前提としているので、成り済ましを装う悪意ある第三者は隠れて試すことが可能であり、前段が破られる可能性は高い。但し、この場合であっても通信回線の傍受のみによるクラックは、指紋がネットに流れないため不可能である。指紋入力装置の公開暗号鍵を破る、パスワード生成ソフトのタンパレジスタント特性を破るなどの高度なプログラミング技術が必要であり、理論上不可能ではないが事実上は問題ない。またタブレット情報はサーバ105と直接公開暗号鍵で暗号化するので、回線の傍受におけるタブレット情報の入手は、公開暗号鍵を破る難しさに等しい。従って、本実施例のクラッキングは事実上不可能である。
【0040】
最後に、本発明の応用分野について考える。本発明は、電子的に認証する全ての分野に有効であるが、特に成りすまし耐性が高いという特徴を持つので、高額なEC、オンラインバンキングなど、金銭や利害が絡む取引に有用と考えられる。インターネットを経由するなど、前段と後段が離れていても、十分な体制を発揮する。
【0041】
【発明の効果】
以上のように、本発明によれば、電子認証において、単純に生体情報とパスワードを組み合わせるなどの場合に比べて、少ない労力で大きな成りすまし耐性を得られる。
【図面の簡単な説明】
【図1】本発明の、入退室における一実施例を表した図である。
【図2】本発明の、ネットワーク経由の認証における一実施例を表した図である。
【符号の説明】
1…ICカード、2…テンキー、3…表示装置、4…通信端子、5…玄関ロック、6…ICカードリーダ、7…指紋入力装置、8…鍵開閉装置、9…制御装置、100…コンピュータ、101…指紋入力装置、102…タブレット、103…ディスプレイ、104…通信回線(インターネット)、105…サーバ。
Claims (4)
- 本人認証用の第1、第2のデータを入力するための入力装置と、
前記入力装置により前記第1のデータが入力された後に、前記第2のデータに対する入力方法を表示する表示装置と、
前記第1のデータと第1のパスワード及び前記第2のデータと第2のパスワードを照合する制御装置を有し、
前記制御装置は、前記入力装置により入力された第1のデータが前記第1のパスワードと異なる場合、前記第2のデータに対する間違った入力方法を前記表示装置に表示させることを特徴とする認証システム。 - 前記第2のデータは、生体情報を有することを特徴とする請求項1に記載の認証システム。
- 前記第2のデータに対する入力方法は、生体情報の入力順序であることを特徴とする請求項2に記載の認証システム。
- 前記生体情報は、指紋情報を含むことを特徴とする請求項2に記載の認証システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000381683A JP3921942B2 (ja) | 2000-12-11 | 2000-12-11 | 認証システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000381683A JP3921942B2 (ja) | 2000-12-11 | 2000-12-11 | 認証システム |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2002183095A JP2002183095A (ja) | 2002-06-28 |
| JP2002183095A5 JP2002183095A5 (ja) | 2004-10-07 |
| JP3921942B2 true JP3921942B2 (ja) | 2007-05-30 |
Family
ID=18849644
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000381683A Expired - Fee Related JP3921942B2 (ja) | 2000-12-11 | 2000-12-11 | 認証システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3921942B2 (ja) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005074772A (ja) * | 2003-08-29 | 2005-03-24 | Kyocera Mita Corp | 印刷装置及び方法 |
| US6883717B1 (en) * | 2004-04-14 | 2005-04-26 | International Business Machines Corporation | Secure credit card employing pseudo-random bit sequences for authentication |
| KR100736379B1 (ko) | 2006-04-04 | 2007-07-06 | 양재우 | 원 타임 패스워드 생성 및 표시기능을 갖는 스마트카드 |
| KR100773781B1 (ko) | 2006-09-28 | 2007-11-12 | 주식회사 카드토피아 | 생체 인증을 이용한 멀티 액세스 장치 및 그의 제어방법 |
| JP4082623B1 (ja) * | 2007-01-24 | 2008-04-30 | クオリティ株式会社 | 情報端末装置管理システムおよび管理サーバならびに情報端末装置管理プログラム |
| JP5589608B2 (ja) * | 2010-06-28 | 2014-09-17 | 富士通株式会社 | 生体認証装置および生体認証プログラム |
| DE102014002207A1 (de) * | 2014-02-20 | 2015-08-20 | Friedrich Kisters | Verfahren und Vorrichtung zur Identifikation oder Authentifikation einer Person und/oder eines Gegenstandes durch dynamische akustische Sicherheitsinformationen |
| TWI632514B (zh) * | 2015-04-08 | 2018-08-11 | 財團法人工業技術研究院 | 數位交易方法、使用者裝置、服務提供端裝置與數位交易管理伺服系統 |
| JP2019036092A (ja) * | 2017-08-14 | 2019-03-07 | 株式会社東芝 | 認証情報生成方法及び認証情報生成装置 |
-
2000
- 2000-12-11 JP JP2000381683A patent/JP3921942B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2002183095A (ja) | 2002-06-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| O'Gorman | Comparing passwords, tokens, and biometrics for user authentication | |
| JP4531140B2 (ja) | 生物測定学的証明書 | |
| KR101769119B1 (ko) | 정크 데이터 일치여부를 이용한 사용자 인증 시스템 및 방법 | |
| EP2038851A1 (en) | System and method for traceless biometric identification | |
| JP3921942B2 (ja) | 認証システム | |
| Gyamfi et al. | Enhancing the security features of automated teller machines (ATMs): A Ghanaian perspective | |
| JP6745009B1 (ja) | 認証システム、認証装置、認証方法、及びプログラム | |
| Mohammed | Use of biometrics to tackle ATM fraud | |
| CN109522694A (zh) | 一种基于计算机网络的身份识别系统 | |
| Alghathbar et al. | Noisy password scheme: A new one time password system | |
| Prinslin et al. | Secure online transaction with user authentication | |
| Betab et al. | Fingerprints in automated teller Machine-A survey | |
| WO2014037869A1 (en) | Financial transactions with a varying pin | |
| AliBabaee et al. | Biometric authentication of fingerprint for banking users, using stream cipher algorithm | |
| CN108701183B (zh) | 利用垃圾数据是否一致的用户认证方法及认证系统 | |
| Shah et al. | New factor of authentication: Something you process | |
| Kariapper et al. | Effectiveness of ATM and bank security: three factor authentications with systemetic review | |
| Marietta et al. | Prototype for Card-less Electronic Automated Teller Machine using Internet of Things | |
| KR101632582B1 (ko) | 랜덤키가 포함된 패스워드를 이용한 사용자 인증 방법 및 시스템 | |
| Lott et al. | Improving customer authentication | |
| Gyamfi et al. | Towards enhancing the security features of automated teller machines (ATMs): A Ghanaian perspective | |
| John et al. | Secured ATM Pin Recovery Using Fingerprint Technology and OTP Verification | |
| Bleicher | Biometrics Comes of Age. | |
| Abhishek et al. | Automated random colour keypad | |
| Aruna et al. | IoT-Based ATM Pin Entry by Random Word Generator Using Design Thinking Framework |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20060418 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20061013 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061024 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061225 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070130 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070212 |
|
| LAPS | Cancellation because of no payment of annual fees |