JP4792874B2 - Authentication system, authentication method, and program - Google Patents
Authentication system, authentication method, and program Download PDFInfo
- Publication number
- JP4792874B2 JP4792874B2 JP2005240314A JP2005240314A JP4792874B2 JP 4792874 B2 JP4792874 B2 JP 4792874B2 JP 2005240314 A JP2005240314 A JP 2005240314A JP 2005240314 A JP2005240314 A JP 2005240314A JP 4792874 B2 JP4792874 B2 JP 4792874B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- serial number
- external device
- data
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、所定のインターフェースを介して外部機器と接続され、所定のファイルシステムによるデータの書き込み及び読み出しが可能であり、着脱可能な情報記憶装置を利用し、当該外部機器の認証を行うための認証システム及び認証方法並びにプログラムに関する。 The present invention is connected to an external device via a predetermined interface, can write and read data by a predetermined file system, and uses a removable information storage device to authenticate the external device. The present invention relates to an authentication system, an authentication method, and a program.
パーソナルコンピュータ(PC)へのLogonを初めとした、PCセキュリティ、あるいはドメインログオンなどのネットワークを経由したネットワークセキュリティに関して、人の知識や記憶によるパスワード認証ではセキュリティを保てない状況になりつつある。そこで、現在、バイオメトリックス(生体情報)を使った本人認証の導入が盛んに行われている。 With regard to network security via a network such as PC security or domain logon, such as Logon to a personal computer (PC), security is becoming impossible with password authentication based on human knowledge and memory. Therefore, the introduction of personal authentication using biometrics (biological information) is being actively performed.
しかしながら、バイオメトリックスにはパスワードとは異なる問題点として、必ずしも万人全てが使用できるとは限らず、また、使用環境の違いで性能が変化する場合がある。仮に、重要なイベントにおいて、何らかの原因によりバイオメトリックスによる照合が不能となり、必要なデータが格納されているPCを起動できなくなった場合、急遽、何らかの代替手段を用いて、PCを起動する必要がある。 However, as a problem different from passwords in biometrics, not all people can use it, and the performance may vary depending on the use environment. If an important event makes it impossible to collate with biometrics for some reason and it becomes impossible to start the PC storing the necessary data, it is necessary to start up the PC suddenly using some alternative means. .
しかし、単に、バイオメトリックスによる認証と、パスワードの入力による認証を併用し、何れか一方の認証が行えればPCの起動を許可するようなシステムにしてしまうと、上述のような問題は回避できるが、結局はセキュリティレベルとしてはパスワードの入力による認証のレベルになっていまい、バイオメトリックスによる認証を採用する意味がなくなってしまう。 However, the above-mentioned problems can be avoided if a system that allows the activation of a PC is used if authentication by biometrics and authentication by input of a password are used in combination, and either one can be authenticated. However, the security level eventually becomes the level of authentication by entering a password, and the meaning of adopting biometrics authentication is lost.
そこで、本発明は、このような問題を解決するために案出されたものであり、バイオメトリクスによる認証と、パスワードの入力による認証を併用しつつ、セキュリティレベルとしてはバイオメトリクスによる認証のレベルを維持し、外部機器への認証プロセスを堅牢にする認証システム及び認証方法並びにプログラムを提供することを目的とする。 Therefore, the present invention has been devised to solve such a problem, and the level of authentication based on biometrics is used as the security level while using both biometric authentication and password input authentication. An object of the present invention is to provide an authentication system, an authentication method, and a program that maintain and make an authentication process to an external device robust.
上述の目的を達成するために、本発明に係る認証システムは、所定のフォーマットによって規定されている接続手段を有する情報記憶装置が外部機器に接続され、情報記憶装置によって外部機器へのアクセスを認証する認証システムにおいて、情報記憶装置は、少なくとも外部機器へのアクセスに必要な機密データが格納される機密データ格納手段と、生体情報を検出する生体情報検出手段と、生体情報検出手段から供給された生体情報を、登録されている生体情報と一致するかどうかを認証する生体情報認証手段と、固有のシリアル番号が格納されているシリアル番号格納手段と、認証用のパスワードが格納されている認証用パスワード格納手段と、外部機器から供給されたデータが正しいかどうかの認証を行うデータ認証手段と、生体情報認証手段又はデータ認証手段の認証結果に応じて、機密データ格納手段に対するアクセスを外部機器に許可する許可手段とを備え、センターサーバは、ユーザから固有のシリアル番号が通知され、固有のシリアル番号が通知された日付の情報と、固有のシリアル番号に基づき、予め登録されている登録データを暗号化し、一定期限付きのテンポラリーパスワードとして生成する生成手段と、生成手段により生成された一定期限付きテンポラリーパスワードをユーザに通知する通知手段とを備え、外部機器は、シリアル番号格納手段に格納されている固有のシリアル番号を読み出すシリアル番号読出手段と、シリアル番号読出手段により読み出された固有のシリアル番号と、日付情報に基づき、通知手段により通知されたユーザによって入力された一定期限付きのテンポラリーパスワードを復号する第1の復号手段と、認証用パスワード格納手段に格納されている認証用パスワードを読み出す認証用パスワード読出手段と、第1の復号手段の復号処理により得られたデータに基づき、認証用パスワード読出手段により読み出された認証用パスワードを復号する第2の復号手段と、第2の復号手段により復号されて得られたデータをデータ認証手段に供給する供給手段とを備える。 In order to achieve the above-described object, an authentication system according to the present invention is configured such that an information storage device having connection means defined by a predetermined format is connected to an external device, and access to the external device is authenticated by the information storage device. In the authentication system, the information storage device is supplied from at least confidential data storage means for storing confidential data necessary for access to an external device, biological information detection means for detecting biological information, and biological information detection means Biometric information authentication means for authenticating whether biometric information matches the registered biometric information, serial number storage means for storing a unique serial number, and authentication for storing an authentication password Password storage means, data authentication means for authenticating whether the data supplied from the external device is correct, Depending on the authentication means or the data authentication unit of the authentication result, and a permitting means for permitting access to the confidential data storage means to an external device, the center server is notified unique serial number from the user, a unique serial number Based on the notified date information and a unique serial number, a registration unit that encrypts pre-registered registration data and generates it as a temporary password with a fixed period, and a temporary password with a fixed period generated by the generation unit The external device includes a serial number reading means for reading a unique serial number stored in the serial number storage means, and a unique serial number read by the serial number reading means. , based on the date information, entered by the user notified by the notification means A first decoding means for decoding the predetermined time-limited temporary password, and authentication password reading means for reading an authentication password stored in the authentication password storage section, obtained by decoding of the first decoding means A second decryption means for decrypting the authentication password read by the authentication password reading means based on the received data, and a supply for supplying the data obtained by decryption by the second decryption means to the data authentication means Means.
また、上述の目的を達成するために、本発明に係る認証方法は、所定のフォーマットによって規定されている接続手段を有する情報記憶装置が外部機器に接続され、情報記憶装置によって外部機器へのアクセスを認証する認証方法において、生体情報を検出する生体情報検出工程と、生体情報検出工程から供給された生体情報を、登録されている生体情報と一致するかどうかを認証する生体情報認証工程と、ユーザから情報記憶装置の固有のシリアル番号がセンターサーバに通知され、固有のシリアル番号が通知された日付の情報と、固有のシリアル番号に基づき、予め登録されている登録データを暗号化し、一定期限付きのテンポラリーパスワードとして生成する生成工程と、生成工程により生成された一定期限付きテンポラリーパスワードをユーザに通知する通知工程と、外部機器により、情報記憶装置に備えられている固有のシリアル番号が格納されているシリアル番号格納部から固有のシリアル番号を読み出すシリアル番号読出工程と、外部機器により、シリアル番号読出工程により読み出された固有のシリアル番号と、日付情報に基づき、通知工程により通知されたユーザによって入力された一定期限付きのデータを復号する第1の復号工程と、外部機器により、情報記憶装置に備えられている認証用のパスワードが格納されている認証用パスワード格納部から認証用パスワードを読み出す認証用パスワード読出手段と、外部機器により、第1の復号工程により得られたデータに基づき、認証用パスワード読出工程により読み出された認証用パスワードを復号する第2の復号工程と、外部機器により、第2の復号工程により得られたデータを情報記憶装置に供給する供給工程と、供給工程により供給されたデータが正しいかどうかの認証を行うデータ認証工程と、生体情報認証工程又はデータ認証工程の認証結果に応じて、少なくとも外部機器へのアクセスに必要な機密データが格納されている機密データ格納部に対するアクセスを外部機器に許可する許可工程とを備える。
In order to achieve the above-described object, an authentication method according to the present invention includes an information storage device having connection means defined by a predetermined format connected to an external device, and access to the external device by the information storage device. A biometric information detecting step for detecting biometric information, a biometric information authenticating step for authenticating whether the biometric information supplied from the biometric information detecting step matches the registered biometric information, The user is notified of the unique serial number of the information storage device to the center server. Based on the information of the date when the unique serial number is notified and the unique serial number, the registered data registered in advance is encrypted, and the fixed period A temporary password generated as a temporary password with a temporary password, and a temporary password generated by the generating process with a fixed period of time And a notification step of notifying the user, the external device, and the serial number reading step of reading a unique serial number from the serial number storage unit unique serial number that is provided in the information storage device is stored by an external device A first decoding step for decoding data with a fixed period of time inputted by the user notified by the notification step based on the unique serial number read by the serial number reading step and the date information; and by an external device The data obtained in the first decryption step by the authentication password reading means for reading the authentication password from the authentication password storage unit storing the authentication password provided in the information storage device and the
本発明では、情報記憶装置が外部機器に接続され、情報記憶装置による通常のバイオメトリクス認証による認証作業、又は緊急用のためにユーザにより固有のシリアル番号が通知された日付の情報と固有のシリアル番号とに基づいて生成される期限付きのデータによる認証作業によって外部機器によるアクセス動作を認証するので、セキュリティレベルとしてはバイオメトリクス認証によるレベルを維持し、かつ、バイオメトリクスによる認証が不能な場合に一時的なパスワードを用いて認証作業を実行させることができる。 In the present invention, the information storage device is connected to an external device, the authentication information by the normal biometrics authentication by the information storage device, or the date information and the unique serial number notified by the user for the emergency use. The access operation by the external device is authenticated by the authentication work based on the time-limited data generated based on the number, so that the security level is maintained by the biometric authentication level and the biometric authentication is impossible Authentication work can be executed using a temporary password.
以下、本発明を実施するための最良の形態について、図面を参照して詳細に説明をする。なお、本発明は、以下の例に限定されるものではなく、本発明の要旨を逸脱しない範囲で、任意に変更可能であることはいうまでもない。また、本発明に係る認証システムでは、認証方法のひとつにバイオメトリクス認証として指紋認証を採用するが、これに限られるものでなく、例えば、静脈認証や虹彩認証であっても良い。 Hereinafter, the best mode for carrying out the present invention will be described in detail with reference to the drawings. In addition, this invention is not limited to the following examples, It cannot be overemphasized that it can change arbitrarily in the range which does not deviate from the summary of this invention. In the authentication system according to the present invention, fingerprint authentication is adopted as biometric authentication as one of the authentication methods. However, the authentication system is not limited to this, and may be, for example, vein authentication or iris authentication.
本発明に係る認証システム1は、図1に示すように、所定のフォーマットによって規定されている接続部10を有する情報記憶装置2が外部機器(ホスト機器)3に接続され、情報記憶装置10によって外部機器3へのアクセスを認証するシステムである。また、認証システム1では、詳細は後述するが、認証レベルを向上するために、外部のセンターサーバ4を利用する。
In the authentication system 1 according to the present invention, as shown in FIG. 1, an
情報記憶装置2は、接続部10がUSB(Universal Serial Bus)により規定されている所定形状のプラグにより形成されており、外部機器3であるPC(Personal Computer)が備えるUSBジャックに当該USBプラグが差し込まれることにより使用可能となる。このように、情報記憶装置2は、外部機器3に直接接続されることで、外部機器3のデータストレージ、つまり外部メモリとして機能する。
In the
また、情報記憶装置2が接続される外部機器3は、所定のOS(Operating System)の制御の元に動作する。また、外部機器3は、処理結果を表示するためのモニタ5を備えている。モニタ5は、後述する情報記憶装置2によるパスワード入力作業において、所定のプログラムにより規定されるパスワード入力用のGUI(グラフィカルユーザインターフェース)を表示するためにも用いられることになる。
The
なお、情報記憶装置2は、外部機器3とUSBインターフェースを介して接続されるUSB機器としているが、本発明はこのように接続インターフェースに限定されるものではなく、外部機器3が備える接続インターフェースであれば、どのような接続インターフェースを備えていてもよい。
The
ここで、情報記憶装置2の構成について説明する。情報記憶装置2は、図2に示すように、機密データが格納される機密データ格納部11と、生体情報を検出する生体情報検出部12と、生体情報検出部12から供給された生体情報を、登録されている生体情報と一致するかどうかを認証する生体情報認証部13と、固有のシリアル番号が格納されているシリアル番号格納部14と、認証用のパスワードが格納されている認証用パスワード格納部15と、外部機器3から供給されたデータが正しいかどうかの認証を行うデータ認証部16と、生体情報認証部13又はデータ認証部16の認証結果に応じて、機密データ格納部11に対するアクセスを外部機器3に許可する許可部17とを備える。
Here, the configuration of the
機密データ格納部11は、外部機器3のログオンに必要なID/パスワード等の機密データが格納されている。
The confidential
生体情報検出部12は、指紋読み取りセンサにより構成されており、当該センサに載せられた指の指紋の山谷、つまり指紋の凹凸を読み取るセンサである。例えば、生体情報検出部12は、静電容量方式で指紋の凹凸を検出し、2次元画像を生成する。静電容量方式の指紋読み取りセンサには、指紋の凹凸のピッチよりも十分に細かい、80μmピッチに電極が配置されており、指紋の凹凸と、上記電極間に蓄積される電荷の量(静電容量)を検出する。指紋の凹部では検出される静電容量が低く、指紋の凸部では静電容量が高くなるため、この静電容量差から指紋の凹凸を表した2次元画像が生成される。
The biological
なお、生体情報検出部12は、上述したような静電容量方式だけではなく、光学式、感圧式、感熱式などでもよく、指紋の凹凸を示した2次元画像を検出できればどのような検出方式であっても良い。
The biological
生体情報認証部13は、指紋照合処理時において、メモリ18にあらかじめ記憶させた指紋画像の特徴部分のみを抽出したテンプレートデータを読み出し、生体情報検出部12によって検出された指紋画像と、読み出したテンプレートデータとを比較照合する。
The biometric
メモリ18には、指紋照合処理の際に用いる基準となる指紋情報であるテンプレートデータが記憶される。当該情報記憶装置2を用いた指紋照合処理を実行する場合、ユーザは、あらかじめ、このメモリ18にユーザ自身の指紋情報を登録しておく必要がある。メモリ18に記憶される指紋情報は、指紋画像の特徴部分を抽出したテンプレートデータである。
The
シリアル番号格納部14は、当該情報記憶装置2に固有のシリアル番号Sが格納される。なお、シリアル番号格納部14は、書き換え可能なフラッシュメモリを使用しているが、初期時だけ書き込める様に、つまり、一度データを書き込むと、再書き込みができない様に工夫されている。
The serial
認証用パスワード格納部15は、詳細は後述するが、例えば、予め工場出荷時に生成された認証用パスワードが格納されている。
Although details will be described later, the authentication
データ認証部16は、接続部10を介して外部機器3から供給されたデータが予め記憶されているパスワードと一致するかどうかの認証を行う。
The
ここで、認証用パスワード格納部15に予め記憶されている認証用パスワード及び、データ認証部16に予め記憶されているパスワードについて説明する。情報記憶装置の生産者は、当該装置の販売前に、個々の情報記憶装置に付されている固有のシリアル番号Sに対応する暗号鍵Kを作成する。このとき、シリアル番号Sと、当該シリアル番号Sに対応する暗号鍵Kのテーブルを作成し、センターサーバ4に記憶させておく。
Here, the authentication password stored in advance in the authentication
また、情報記憶装置の生産者は、何らかの理由で生体情報検出部12や生体情報認証部13による認証が不能状態になり、外部機器3へのログイン等が不能となった場合に、別のルートで認証作業を進め、外部機器3へのログイン等を可能とするために、機密パスワードPを生成する。生産者は、生成した機密パスワードPをデータ認証部16に格納しておく。なお、生産者は、例えば、乱数を利用して128バイトの機密パスワードPを作成する。
In addition, the producer of the information storage device is in a state where the authentication by the biometric
また、生産者は、例えば、機密パスワードPを8バイトの暗号鍵Kで暗号化して認証用パスワードK(P)を生成し、当該認証用パスワードK(P)を認証用パスワード格納部15に格納しておく。
For example, the producer generates an authentication password K (P) by encrypting the secret password P with an 8-byte encryption key K, and stores the authentication password K (P) in the authentication
なお、外部機器3は、認証用パスワード格納部15へは自由にアクセスでき、K(P)を自由に読み出せるが、データ認証部16に格納されている機密パスワードPを読み出すことはできない構成となっている。
The
許可部17は、原則的に生体情報認証部13からの認証結果に応じて、機密データ格納部11に対するアクセスを外部機器3に許可する。また、許可部17は、例外的にデータ認証部16からの認証結果に応じて、機密データ格納部11に対するアクセスを外部機器3に許可する。外部機器3は、許可部17の許可に応じて、例えば、機密データ格納部11に格納されているID/パスワードを取得することができる。
The
つぎに、外部機器3の構成について説明する。外部機器3は、図3に示すように、シリアル番号格納部14に格納されている固有のシリアル番号Sを読み出すシリアル番号読出部20と、シリアル番号読出部20により読み出された固有のシリアル番号Sと、内部タイマーから得た日付情報Dに基づき、センターサーバ4から所定の方法により入手した一定期限付きのテンポラリーパスワードS・D(K)を復号する第1の復号部21と、認証用パスワード格納部15に格納されている認証用パスワードK(P)を読み出す認証用パスワード読出部22と、第1の復号部21の復号処理により得られたデータKに基づき、認証用パスワード読出部22により読み出された認証用パスワードK(P)を復号する第2の復号部23と、第2の復号部23により復号されて得られたデータPを接続部10を介してデータ認証部16に供給する供給部24とを備える。
Next, the configuration of the
ここで、センターサーバ4の構成について説明する。センターサーバ4は、図4に示すように、情報記憶装置2のシリアル番号Sが通知されたとき、テーブルを参照して、当該シリアル番号Sに対応する暗号鍵Kを読み出す読出部30と、通知されたシリアル番号Sと、その通知日Dに基づいて、読出部30で読み出された暗号鍵Kを暗号化し、一定期限付きのテンポラリーパスワードS・D(K)を生成する生成部31と、生成部31により生成された一定期限付きのテンポラリーパスワードS・D(K)をユーザに通知する通知部32を備える。
Here, the configuration of the center server 4 will be described. As shown in FIG. 4, when the serial number S of the
生成部31は、例えば、8バイトのテンポラリーパスワードS・D(K)を生成し、この8バイトの各ワードを構成する8ビットを4ビット×2に分離し、Hexデータとして数値化(0〜F)し、16ワードに変換する。
For example, the
通知部32は、生成部31で生成された16ワードのテンポラリーパスワードS・D(K)をユーザに通知する。
The
ここで、情報記憶装置10の生体情報検出部12や生体情報認証部13による認証が不能となった場合に、別ルートにより外部機器3へのアクセスを認証する手順について、図5に示すタイムチャートを用いて説明する。
Here, a procedure for authenticating access to the
ユーザは、情報記憶装置2の外周部に視認可能に記されている固有のシリアル番号Sをセンターサーバ4に通知する(ステップS1)。
The user notifies the center server 4 of the unique serial number S recorded on the outer periphery of the
読出部30は、通知されたシリアル番号Sに基づき、テーブルを参照して、対応する暗号鍵Kを検索する。生成部31は、検索された暗号鍵Kを、通知されたシリアル番号Sと、通知された日付Dによって暗号化し、テンポラリーパスワードS・D(K)を生成する(ステップS2)。なお、生成部31によって生成されたテンポラリーパスワードS・D(K)は、一定期間のみ有効なパスワードであり、当該期間が経過した後は、テンポラリーパスワードS・D(K)は、外部機器3において無効なデータとして認識される。なお、本実施例では、テンポラリーパスワードS・D(K)は、1日のみ有効なものとしているが、時間(分又は秒)単位で有効期間を決定しても良いし、数日単位で有効期間を決定しても良い。
Based on the notified serial number S, the
通知部32は、暗号化したテンポラリーパスワードS・D(K)をユーザに通知する(ステップS3)。
The
ユーザは、例えば、外部機器3に接続されているキーボードと、マウスを使用して、所定の操作を行い、所定のプログラムにより規定されるパスワード入力用のGUIをモニタ5に表示させ、当該GUIの所定の場所に、ステップS3の工程により入手したテンポラリーパスワードS・D(K)を入力する(ステップS4)。また、当該プログラムは、外部機器3と情報記憶装置2の初期設定作業において、外部機器3にインストールされているものである。
For example, the user performs a predetermined operation using a keyboard and a mouse connected to the
次に、シリアル番号読出部20は、シリアル番号格納部14からシリアル番号Sを取得する(ステップS5)。第1の復号部21は、ステップS5の工程により取得したシリアル番号Sと、タイマーから得た今日の日付Dにより、ステップS4の工程で入力したS・D(K)を復号し、暗号鍵Kを得る(ステップS6)。
Next, the serial
その後、認証用パスワード読出部22は、認証用パスワード格納部15から認証用パスワードK(P)を読み出す(ステップS7)。第2の復号部23は、ステップS6の工程により得られた暗号鍵Kにより、ステップS7の工程により取得した認証用パスワードK(P)を復号し、データPを得る(ステップS8)。供給部24は、ステップS8の工程により得られたデータPをデータ認証部16に供給する(ステップS9)。
Thereafter, the authentication
データ認証部16は、供給部24から供給されたデータPが予め記憶されているパスワード(機密パスワード)と一致するかどうかの認証を行う(ステップS10)。データ認証部16は、認証結果を許可部17に供給する。許可部17は、データ認証部16から認証作業が一致した旨の通知を受けた場合、例えば、機密データ格納部11に格納されているデータを読み出し、読み出したデータを接続部10を介して外部機器3に供給する(ステップS11)。外部機器3は、供給されたデータに基づいてログイン作業が実行され、ユーザによる使用が可能となる。
The
また、許可部17は、データ認証部16から認証作業が一致しなかった旨の通知を受けた場合、外部機器3に「エラー」を通知する(ステップS11)。なお、外部機器3は、3回連続で「エラー」が通知された場合、電源が自動的にダウンするような構成であっても良い。
Further, when the
ここで、上述したステップS1〜ステップS3の工程についてさらに図6を用いて詳述する。なお、以下では、センターサーバ4は自動化されているものとする。 Here, the process of step S1-step S3 mentioned above is further explained in full detail using FIG. In the following, it is assumed that the center server 4 is automated.
ユーザは、電話機能を利用してセンターサーバ4に接続する(ステップS20)。 The user connects to the center server 4 using the telephone function (step S20).
センターサーバ4は、音声によりユーザIDの入力を促す(ステップS21)。 The center server 4 prompts input of a user ID by voice (step S21).
ユーザは、プッシュ釦やキーボードによってユーザIDを入力する(ステップS22)。ユーザは、情報記憶装置2を購入した際に、センターサーバ4に対してユーザ登録をする。そして、センターサーバ4は、ユーザに対して固有のユーザIDを発行する。センターサーバ4は、発行したユーザIDとユーザが所有している情報記憶装置2のシリアル番号を対応付けてテーブル化しておく。また、ステップS22の工程において、ユーザは、ユーザ登録の際にデータサーバ4から発行されたユーザIDを入力する。
The user inputs a user ID using a push button or a keyboard (step S22). When the user purchases the
センターサーバ4は、ステップS22の工程により入力されたユーザIDが登録されているかどうか確認する(ステップS23)。センターサーバ4は、ユーザIDが登録されている場合にはステップS24に進み、ユーザIDが登録されていない場合には、ユーザに「エラー」である旨を伝え、再度のユーザIDの入力を促す。なお、センターサーバ4は、「エラー」の場合に、再度のユーザIDの入力を促さず、通信を切断しても良い。 The center server 4 confirms whether the user ID input by the process of step S22 is registered (step S23). If the user ID is registered, the center server 4 proceeds to step S24. If the user ID is not registered, the center server 4 informs the user that it is an “error” and prompts the user ID to be input again. . In the case of “error”, the center server 4 may disconnect communication without prompting the user ID again.
センターサーバ4は、ステップS23の工程によりユーザIDが登録されていることを確認した場合、シリアル番号の入力を促す(ステップS24)。 When the center server 4 confirms that the user ID is registered in the step S23, the center server 4 prompts the input of the serial number (step S24).
ユーザは、ステップS22の工程と同様にして、所有する情報記憶装置2に付されているシリアル番号を入力する(ステップS25)。
The user inputs the serial number assigned to the
センターサーバ4は、上述したステップS2の工程と同様に、通知されたシリアル番号Sに基づき、テーブルを参照して、対応する暗号鍵Kを検索し、検索された暗号鍵Kを、通知されたシリアル番号Sと、通知された日付Dによって暗号化し、テンポラリーパスワードS・D(K)を生成する(ステップS26)。 The center server 4 searches the corresponding encryption key K based on the notified serial number S and searches for the corresponding encryption key K based on the notified serial number S, and is notified of the searched encryption key K. Encryption is performed using the serial number S and the notified date D to generate a temporary password S · D (K) (step S26).
センターサーバ4は、音声によりテンポラリーパスワードS・D(K)を通知する(ステップS27)。 The center server 4 notifies the temporary password S · D (K) by voice (step S27).
また、情報記憶装置2は、図2に示すように、ユーザが作成した文書データ等を格納できるデータ格納部40を有していても良い。また、データ格納部40は、外部機器3が自由にデータの読み込み及び書き込みが可能な第1の領域A1と、外部機器3のアクセスが制限されている第2の領域A2とから構成されている。
Further, as shown in FIG. 2, the
このような構成の場合、情報記憶装置2は、データ格納部40に対するアクセスを制御するアクセス制御部41を有する。許可部17は、生体情報認証部13又はデータ認証部16から認証された旨の通知がなされた場合、アクセス制御部41に許可信号を発する。
In the case of such a configuration, the
アクセス制御部41は、許可部17から許可信号が供給された場合、外部機器3に対して第2の領域A2のアクセスを認める。
When the permission signal is supplied from the
このようにして本発明に係る認証システム1は、所定のフォーマットによって規定されている接続部10を有する情報記憶装置2が外部機器3に接続され、情報記憶装置10による通常のバイオメトリクス認証による認証作業、又は緊急用の期限付きのデータによる認証作業によって外部機器3によるアクセス動作を認証するので、セキュリティレベルとしてはバイオメトリクス認証によるレベルを維持し、かつ、バイオメトリクスによる認証が不能な場合に一時的なパスワードを用いて認証作業を実行させることができる。
In this way, in the authentication system 1 according to the present invention, the
また、本発明では、上述で説明した複合型記憶装置2による一連の処理は、ソフトウェアにより行うこともできる。一連の処理をソフトウェアによって行う場合には、そのソフトウェアを構成するプログラムが、汎用のコンピュータ等にインストールされる。また、当該プログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されても良いし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されても良い。
In the present invention, the series of processing by the
1 認証システム、2 情報記憶装置、3 外部機器、4 センターサーバ、10 接続部、11 機密データ格納部、12 生体情報検出部、13 生体情報認証部、14 シリアル番号格納部、15 認証用パスワード格納部、16 データ認証部、17 許可部、20 シリアル番号読出部、21 第1の復号部、22 認証用パスワード読出部、23 第2の復号部、24 供給部、30 読出部、31 生成部、32 通知部 DESCRIPTION OF SYMBOLS 1 Authentication system, 2 Information storage device, 3 External apparatus, 4 Center server, 10 Connection part, 11 Confidential data storage part, 12 Biometric information detection part, 13 Biometric information authentication part, 14 Serial number storage part, 15 Password storage for authentication Unit, 16 data authentication unit, 17 permission unit, 20 serial number reading unit, 21 first decryption unit, 22 authentication password reading unit, 23 second decryption unit, 24 supply unit, 30 reading unit, 31 generation unit, 32 Notification section
Claims (2)
上記情報記憶装置は、
少なくとも上記外部機器へのアクセスに必要な機密データが格納される機密データ格納手段と、
生体情報を検出する生体情報検出手段と、
上記生体情報検出手段から供給された生体情報を、登録されている生体情報と一致するかどうかを認証する生体情報認証手段と、
固有のシリアル番号が格納されているシリアル番号格納手段と、
認証用のパスワードが格納されている認証用パスワード格納手段と、
上記外部機器から供給されたデータが正しいかどうかの認証を行うデータ認証手段と、
上記生体情報認証手段又は上記データ認証手段の認証結果に応じて、上記機密データ格納手段に対するアクセスを上記外部機器に許可する許可手段とを備え、
センターサーバは、
ユーザから上記固有のシリアル番号が通知され、上記固有のシリアル番号が通知された日付の情報と、上記固有のシリアル番号に基づき、予め登録されている登録データを暗号化し、一定期限付きのテンポラリーパスワードとして生成する生成手段と、
上記生成手段により生成された上記一定期限付きテンポラリーパスワードをユーザに通知する通知手段とを備え、
上記外部機器は、
上記シリアル番号格納手段に格納されている上記固有のシリアル番号を読み出すシリアル番号読出手段と、
上記シリアル番号読出手段により読み出された上記固有のシリアル番号と、日付情報に基づき、上記通知手段により通知されたユーザによって入力された上記一定期限付きのテンポラリーパスワードを復号する第1の復号手段と、
上記認証用パスワード格納手段に格納されている上記認証用パスワードを読み出す認証用パスワード読出手段と、
上記第1の復号手段の復号処理により得られたデータに基づき、上記認証用パスワード読出手段により読み出された上記認証用パスワードを復号する第2の復号手段と、
上記第2の復号手段により復号されて得られたデータを上記データ認証手段に供給する供給手段とを備える認証システム。 In an authentication system in which an information storage device having connection means defined by a predetermined format is connected to an external device, and access to the external device is authenticated by the information storage device,
The information storage device
Confidential data storage means for storing at least confidential data necessary for access to the external device;
Biological information detection means for detecting biological information;
Biometric information authenticating means for authenticating whether the biometric information supplied from the biometric information detecting means matches the registered biometric information;
Serial number storing means for storing a unique serial number;
An authentication password storage means in which an authentication password is stored;
Data authentication means for authenticating whether the data supplied from the external device is correct;
According to the authentication result of the biometric information authenticating means or the data authenticating means, and a permitting means for permitting the external device to access the confidential data storing means,
The center server
The user is notified of the unique serial number, and the registration data registered in advance is encrypted based on the date information on which the unique serial number is notified and the unique serial number. Generating means for generating as
Notification means for notifying the user of the temporary password with a fixed period generated by the generation means,
The external device is
Serial number reading means for reading the unique serial number stored in the serial number storage means;
First decryption means for decrypting the temporary password with a fixed time period inputted by the user notified by the notification means based on the unique serial number read by the serial number reading means and date information; ,
Authentication password reading means for reading the authentication password stored in the authentication password storage means;
Second decryption means for decrypting the authentication password read by the authentication password reading means based on the data obtained by the decryption processing of the first decryption means;
An authentication system comprising supply means for supplying the data obtained by decryption by the second decryption means to the data authentication means.
生体情報を検出する生体情報検出工程と、
上記生体情報検出工程から供給された生体情報を、登録されている生体情報と一致するかどうかを認証する生体情報認証工程と、
ユーザから上記情報記憶装置の固有のシリアル番号がセンターサーバに通知され、上記固有のシリアル番号が通知された日付の情報と、上記固有のシリアル番号に基づき、予め登録されている登録データを暗号化し、一定期限付きのテンポラリーパスワードとして生成する生成工程と、
上記生成工程により生成された上記一定期限付きテンポラリーパスワードをユーザに通知する通知工程と、
上記外部機器により、上記情報記憶装置に備えられている上記固有のシリアル番号が格納されているシリアル番号格納部から上記固有のシリアル番号を読み出すシリアル番号読出工程と、
上記外部機器により、上記シリアル番号読出工程により読み出された上記固有のシリアル番号と、日付情報に基づき、上記通知工程により通知されたユーザによって入力された上記一定期限付きのデータを復号する第1の復号工程と、
上記外部機器により、上記情報記憶装置に備えられている認証用のパスワードが格納されている認証用パスワード格納部から上記認証用パスワードを読み出す認証用パスワード読出手段と、
上記外部機器により、上記第1の復号工程により得られたデータに基づき、上記認証用パスワード読出工程により読み出された上記認証用パスワードを復号する第2の復号工程と、
上記外部機器により、上記第2の復号工程により得られたデータを上記情報記憶装置に供給する供給工程と、
上記供給工程により供給されたデータが正しいかどうかの認証を行うデータ認証工程と、
上記生体情報認証工程又は上記データ認証工程の認証結果に応じて、少なくとも上記外部機器へのアクセスに必要な機密データが格納されている機密データ格納部に対するアクセスを上記外部機器に許可する許可工程とを備える認証方法。 In an authentication method in which an information storage device having connection means defined by a predetermined format is connected to an external device, and the information storage device authenticates access to the external device.
A biological information detection step for detecting biological information;
A biometric information authentication step for authenticating whether the biometric information supplied from the biometric information detection step matches the registered biometric information;
The user is notified of the unique serial number of the information storage device to the center server, and the registration data registered in advance is encrypted based on the date information on which the unique serial number is notified and the unique serial number. A generation process for generating a temporary password with a fixed period,
A notification step of notifying the user of the temporary password with a fixed period generated by the generation step;
By the external device, and the serial number reading step of reading the unique serial number from the serial number storage unit in which the unique serial number that is provided in the information storage apparatus is stored,
First, the external device decodes the data with a fixed time period input by the user notified by the notification step based on the unique serial number read by the serial number reading step and date information. Decryption process of
An authentication password reading means for reading out the authentication password from an authentication password storage unit in which an authentication password provided in the information storage device is stored by the external device ;
A second decryption step of decrypting the authentication password read out by the authentication password reading step based on the data obtained by the first decryption step by the external device ;
A supply step of supplying the data obtained by the second decoding step to the information storage device by the external device ;
A data authentication process for authenticating whether the data supplied by the supply process is correct;
A permission step of permitting the external device to access at least a confidential data storage unit in which confidential data necessary for access to the external device is stored in accordance with an authentication result of the biometric information authentication step or the data authentication step; An authentication method comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005240314A JP4792874B2 (en) | 2005-08-22 | 2005-08-22 | Authentication system, authentication method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005240314A JP4792874B2 (en) | 2005-08-22 | 2005-08-22 | Authentication system, authentication method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007058340A JP2007058340A (en) | 2007-03-08 |
JP4792874B2 true JP4792874B2 (en) | 2011-10-12 |
Family
ID=37921822
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005240314A Expired - Fee Related JP4792874B2 (en) | 2005-08-22 | 2005-08-22 | Authentication system, authentication method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4792874B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2076037A1 (en) * | 2007-12-27 | 2009-07-01 | Thomson Licensing | Method and device for restoring at least one setting |
JP2012155360A (en) * | 2011-01-21 | 2012-08-16 | National Institute Of Advanced Industrial & Technology | Data distribution management system |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10187903A (en) * | 1996-12-26 | 1998-07-21 | Sony Corp | Ic memory card and system using the card |
JP2002014934A (en) * | 2000-04-26 | 2002-01-18 | Semiconductor Energy Lab Co Ltd | System and method for authenticating right person or business method |
-
2005
- 2005-08-22 JP JP2005240314A patent/JP4792874B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2007058340A (en) | 2007-03-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10164969B2 (en) | Computer security system and method | |
JP4459282B2 (en) | Information processing apparatus and security protection method | |
US8745409B2 (en) | System and method for securing portable data | |
JP4701615B2 (en) | Information storage device | |
CN100579015C (en) | Information processing device and authentication method | |
JP4301275B2 (en) | Electronic device and information processing method | |
JP2007220075A (en) | Personal authentication device, positional information transmission device, personal authentication system, personal authentication method, and personal authentication program | |
US20100005525A1 (en) | Authorization method with hints to the authorization code | |
US20080010453A1 (en) | Method and apparatus for one time password access to portable credential entry and memory storage devices | |
CN100474324C (en) | Authentication method and authentication apparatus | |
CN108256302B (en) | Data security access method and device | |
JP4724107B2 (en) | User authentication method using removable device and computer | |
JP4792874B2 (en) | Authentication system, authentication method, and program | |
JP2005208993A (en) | User authentication system | |
JP2007265400A (en) | Portable memory | |
JP2007517287A (en) | Method for releasing access to a computer system or program | |
JP2021150681A (en) | Information processing system, information processing program and information processing method | |
WO2017091133A1 (en) | Method and system for secure storage of information | |
JP4833294B2 (en) | Information processing apparatus and activation method | |
JP2006268513A (en) | Log-on management device for terminal device | |
JP2009211487A (en) | Information processor, information processing system and program | |
JP2007241800A (en) | Removable memory unit and computer device | |
JP2007272662A (en) | Password authentication method and password authentication apparatus | |
JP2008269523A (en) | Information processor | |
JP2004185255A (en) | Floppy disk (r) type living body information authentication device with both personal information management and living body authentication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080724 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110419 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110420 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110607 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110628 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110711 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140805 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |