JP5816750B2 - 生体イメージ情報を含む使い捨てパスワードを用いた認証方法及び装置 - Google Patents

生体イメージ情報を含む使い捨てパスワードを用いた認証方法及び装置 Download PDF

Info

Publication number
JP5816750B2
JP5816750B2 JP2014521534A JP2014521534A JP5816750B2 JP 5816750 B2 JP5816750 B2 JP 5816750B2 JP 2014521534 A JP2014521534 A JP 2014521534A JP 2014521534 A JP2014521534 A JP 2014521534A JP 5816750 B2 JP5816750 B2 JP 5816750B2
Authority
JP
Japan
Prior art keywords
iris image
image information
disposable password
server
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2014521534A
Other languages
English (en)
Other versions
JP2014526094A (ja
Inventor
キム,デフン
チェ,ヒョンイン
グエン,トウェン
ファム,ズン
Original Assignee
イリテック インコーポレイテッド
イリテック インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by イリテック インコーポレイテッド, イリテック インコーポレイテッド filed Critical イリテック インコーポレイテッド
Publication of JP2014526094A publication Critical patent/JP2014526094A/ja
Application granted granted Critical
Publication of JP5816750B2 publication Critical patent/JP5816750B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T7/00Image analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/10Image acquisition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/10Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/10Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
    • G06V40/18Eye characteristics, e.g. of the iris
    • G06V40/197Matching; Classification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/50Maintenance of biometric data or enrolment thereof
    • G06V40/53Measures to keep reference information secret, e.g. cancellable biometrics

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Multimedia (AREA)
  • Human Computer Interaction (AREA)
  • Biomedical Technology (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Ophthalmology & Optometry (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Collating Specific Patterns (AREA)
  • Storage Device Security (AREA)
  • Measurement Of The Respiration, Hearing Ability, Form, And Blood Characteristics Of Living Organisms (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は認証のための虹彩イメージ情報を各々のメモリに貯蔵している端末機とサーバーと、認証のために虹彩イメージ情報を撮影獲得するためのカメラが付着設置され、カメラで撮影獲得した虹彩イメージ情報を含む使い捨てパスワードを生成し、生成された虹彩イメージ情報を含む使い捨てパスワードをサーバーに転送するように構成された端末機と、前記端末機から転送された虹彩イメージ情報を含む使い捨てパスワードをサーバーに貯蔵した虹彩イメージ情報と使い捨てパスワードが一致しているか否かを比較判断するアルゴリズムの内蔵されたサーバーとからなる虹彩イメージ情報を含む使い捨てパスワードを用いた認証方法及び装置に関するものである。
サーバーがユーザーの生体情報を求めてユーザーを認証する際に、ユーザーは自分の生体情報をサーバーに接近するための個人パスワード(password)として使用することになる。
一般的なテキスト(plain text)形態のパスワードは、流出されるとサーバーから新しいパスワードを発行してもらい、使用すればいい。しかし、生体情報をパスワードに使用する場合には、この生体情報が流出される場合、新しいパスワードを発行することは不可能である。なぜならば、生体情報はユーザー固有の特徴であるため、その特徴が変わらない以上、新しい生体情報に基づくパスワードというものが存在しないためである。
従来の使い捨てパスワードの生成方式の場合、シード(seed)から適切な生成期を経て、使い捨てパスワードを生成する。このシードと生成期が流出されるということは、今後使用されうる全ての使い捨てパスワードが流出するのと同じである。従って、使い捨てパスワードが生成されれば、このシードはすぐ廃棄しなければならず、シードを短い周期に変更して新しいパスワードを生成するのが好ましい。新しいシードを用いて使い捨てパスワードを生成する場合、双方(ユーザー側とサーバー側)がほぼ同じタイミングでこのシードを用いて使い捨てパスワードを生成しなければならない。しかし、その度にユーザー側とサーバー側が別途の安全な通信(secure communication)をしなければならないという問題がある。
本発明が解決しようとする課題は、生体情報と使い捨てパスワードを結合して認証を行うことであり、一次的に生体情報を用いてユーザーを認証し、再びユーザーの使い捨てパスワードを用いて認証を行い、生体情報をハッシュ関数の変数に用いることで、信頼度及び安定性を高めることにある。
本発明が解決しようとするもう一つの課題は、認証のために一番最初に用いられる使い捨てパスワードは、ユーザーの特定時点にキャプチャされた生体イメージをシードとして生成され、使い捨てパスワードの更新は、ユーザー側がサーバー側より認証を受ける際にカメラで撮影した生体イメージによって行われるため、ユーザーの安全な認証による信頼度を向上させることにある。
本発明が解決しようとするもう一つの課題は、認証のためにカメラで撮影して得られる
生体イメージはメモリ容量が大きく、これを認証のために用いる場合、処理速度が遅くなる点を鑑みて、原本の生体イメージの大きさより小さい一部のデータまたは加工されたデータをサーバーに貯蔵された生体イメージのテンプレートと比較するように構成するため、サーバーのメモリ容量が減らせ、認証の際の処理速度を向上させることにある。
本発明が解決しようとするもう一つの課題は、ユーザーが所持したスマートカード、スマートカードを読んで生体イメージを撮影、若しくは読むためのカメラ及びカードリーダーを物理的に分離して、スマートカードに虹彩イメージを含む生体イメージを変数に用いるハッシュ関数を貯蔵保管し、必要時にカードリーダーに挿入した後、サーバーとの交信で認証を行うことで、保安性を大きく向上させることにある。
本発明の課題解決手段は、端末機とサーバーのメモリに認証のための虹彩イメージ情報を各々貯蔵する段階を経て、認証のために端末機に付着されたカメラを用いて虹彩イメージ情報を撮影獲得する段階を経て、カメラで撮影獲得した虹彩イメージ情報を含む使い捨てパスワードを生成する段階を経て、端末機に生成された虹彩イメージ情報を含む使い捨てパスワードをサーバーに転送する段階を経て、虹彩イメージ情報と使い捨てパスワードが一致するか否かを比較判断するアルゴリズムを内蔵したサーバーに前記端末機から転送された虹彩イメージ情報を含む使い捨てパスワードと虹彩イメージ情報と使い捨てパスワードが一致するか否かを比較判断する段階を含む虹彩イメージ情報を含む使い捨てパスワードを用いた認証方法を提供することにある。
本発明のもう一つの課題解決手段は、虹彩イメージ情報を含む使い捨てパスワードを用いた認証装置において、認証のための虹彩イメージ情報を各々のメモリに貯蔵している端末機とサーバーと、認証のために虹彩イメージ情報を撮影獲得するためのカメラが付着設置され、カメラで撮影獲得した虹彩イメージ情報を含む使い捨てパスワードを生成して、生成された虹彩イメージ情報を含む使い捨てパスワードをサーバーに転送するように構成された端末機と、前記端末機から転送された虹彩イメージ情報を含む使い捨てパスワードをサーバーに貯蔵された虹彩イメージ情報と使い捨てパスワードが一致するか否かを比較判断するアルゴリズムの内蔵されたサーバーとからなる虹彩イメージ情報を含む使い捨てパスワードを用いた認証装置を具現することにある。
本発明のもう一つの課題解決手段は、使い捨てパスワードを生成する際にハッカーによるハッキングの際に保安性を高めるためにハッシュ関数の変数を、虹彩を含む生体イメージと端末機のIDなどを用いて構成し、ハッシュ関数のハッシュデータからn番目のハッシュデータであるH_nはサーバーのメモリに貯蔵し、残りのn−1個のハッシュデータ
は端末機のメモリに貯蔵することで、保安の安全性と信頼性を大きく向上させた虹彩イメージ情報を含む使い捨てパスワードを用いた認証方法及び装置を具現することにある。
本発明のもう一つの課題解決手段は、使い捨てパスワードが互いに一致して承認が行われると、端末機とサーバーすべて既存のハッシュデータを更新することができ、更新は承認が行われる度に実行するか、端末機とサーバーの負担を考えて、更新頻度を設定値で入力貯蔵して制限し、保安の安定性及び信頼性を向上させた虹彩イメージ情報を含む使い捨てパスワードを用いた認証方法及び装置を具現することにある。
本発明のもう一つの課題解決手段は、認証の際に処理速度を高め、貯蔵の際にメモリ容量を減らすために、虹彩イメージをフーリエ変換またはウェーブレット変換に加工した虹彩イメージテンプレートを認証のための使い捨てパスワードとして使用するように構成された虹彩イメージ情報を含む使い捨てパスワードを用いた認証方法及び装置を具現することにある。
本発明のもう一つの課題解決手段は、認証のための虹彩イメージを含む生体イメージを変数に用いる使い捨てパスワードを貯蔵しているスマートカードと、認証のための虹彩イメージを含む生体イメージ情報をメモリに貯蔵しているサーバーと、認証のために虹彩イメージ情報を撮影獲得するためのカメラが付着設置され、カードリーダーが設けられた端末機及び前記端末機から転送された虹彩イメージを含む生体イメージを変数に構成された使い捨てパスワードをサーバーに貯蔵された虹彩イメージ情報と使い捨てパスワードが一致しているか否かを比較判断するアルゴリズムの内蔵されたサーバーとからなる虹彩イメージ情報を含む使い捨てパスワードを用いた認証装置を具現することにある。
本発明は生体イメージ情報と使い捨てパスワードを結合して認証を行うためのものであり、一次的に生体情報を用いてユーザーを認証し、再び使い捨てパスワードを用いて認証を行い、生体情報をハッシュ関数の変数に用いることで、信頼度及び安定性を高める有利な効果がある。
本発明のもう一つの効果は、認証のために一番最初に用いられる使い捨てパスワードがユーザーの特定時点にキャップチャされた生体イメージをシードにして生成され、使い捨てパスワードの更新はユーザー側がサーバーより認証を受ける際にカメラで撮影した生体イメージによって行われるため、ユーザーの安全な認証で保安性及び信頼度を向上させることにある。
本発明のもう一つの効果は、認証のためにカメラで撮影して得られる生体イメージはメモリ容量が大きく、これを認証のために用いる場合、処理速度が遅くなる点を鑑みて、これを1/10にした生体イメージテンプレートを用いてサーバーに貯蔵された生体イメージテンプレートと比較するように構成するため、サーバーのメモリ容量が減らせ、認証の際に処理速度を向上させることにある。
本発明のもう一つの効果は、ユーザーが所持したスマートカード、スマートカードを読んで生体イメージを撮影したり、読むためのカメラ及びカードリーダーを物理的に分離してスマートカードに虹彩イメージを含む生体イメージを変数に用いるハッシュ関数を貯蔵保管し、必要時にカードリーダーに挿入した後、サーバーと交信して認証を行うことで保安性を大きく向上させることにある。
図1は、本発明による保安性を備えた使い捨てパスワードを用いた認証装置の概略的な構成図を図示したものである。 図2は、本発明によるハッシュデータチェインの構造を図示化したものである。 図3は、本発明による保安性を高めるために端末機とサーバーに互いに異なるハッシュデータが貯蔵されることを図示したものである。
(発明を実施するための最善の形態)
本発明は、端末機とサーバーのメモリに、認証のための虹彩イメージ情報を各々貯蔵する段階を経て、認証のために端末機に付着されたカメラを用いて虹彩イメージ情報を撮影獲得する段階を経て、カメラで撮影獲得した虹彩イメージ情報を含む使い捨てパスワードを生成する段階を経て、端末機に生成された虹彩イメージ情報を含む使い捨てパスワードをサーバーに転送する段階を経て、虹彩イメージ情報と使い捨てパスワードが一致するか否かを比較判断するアルゴリズムを内蔵したサーバーに、前記端末機から転送された虹彩
イメージ情報を含む使い捨てパスワードと虹彩イメージ情報と使い捨てパスワードが一致しているか否かを比較判断する段階を含む虹彩イメージ情報を含む使い捨てパスワードを用いた認証方法を提供することにある。
本発明の具体的な実施例を図面に基づいて見てみよう。本発明ではユーザーの各端末機にはそれぞれ固有IDが割り当てられる。そして、認証サーバーと安全な交信(secure communication)のために端末機とサーバーの公開鍵と秘密鍵をそれぞれ一対ずつ生成する。
公開鍵と秘密鍵は通常PKI(Public Key Infrastructure)で使用される鍵を意味する。
端末機の公開鍵(PU_DEVICE)とサーバーの秘密鍵(PR_SERVER)はサーバーに貯蔵され、サーバーの公開鍵(PU_SERVER)と端末機の秘密鍵(PR_DEVICE)は端末機に貯蔵される。一対の鍵が生成され、貯蔵されることはすべて安全な環境(secure environment)の下で行われる。
認証のためにサーバーに登録されるユーザー生体情報である生体イメージテンプレート登録も物理的に分離された安全な環境で行われる。権限のあるオペレーター(operator)がユーザーの生体イメージをカメラで撮影獲得(capture)し、獲得した生体イメージから生体イメージのテンプレートを生成し、その生成された生体イメージテンプレートを端末機とサーバーに貯蔵する。
次は本発明による使い捨てパスワードに用いられるハッシュ(hash)チェインの生成についてみてみる。
オペレーター(operator)またはユーザーは、カメラまたはユーザーの端末機に付着設置されたカメラでもう一つの生体イメージを登録されたユーザーからキャプチャする。キャプチャされた生体イメージまたはその派生物(後術)は、該当ユーザーの使い捨てパスワードを生成するためのシード(seed)として用いられる。
生成されたシードと適切なハッシュ関数を用いて一連のハッシュデータを作る。つまり、キャプチャされたイメージデータまたはその派生物をM、ハッシュ関数をhとすれば、下記の関数(1)のようにn個のハッシュデータチェイン(chain)を生成することができる。
本発明によるハッシュデータチェイン(chain)において、ハッシュ関数hの変数をイメージデータまたはその派生物であるMにハッシュデータチェインを構成することで、生成された使い捨てパスワードの保安の安全性及び信頼度を大きく向上させることができる。
h(M) -> h(h(M)) -> h(h(h(M))) -> -> h(h( h(M) ) (1)
ここで、各ハッシュデータはすぐ左側のハッシュデータにハッシュ関数を適用して作ったデータである(これを順番にH_1、H_2…H_nとする)。ユーザーごとに端末機に
はこのようなハッシュデータチェインが生成される。
ハッシュ関数はMD5、SHA1、SHA2などのように、一般的に知られたいかなるものを使用しても構わない。ここでハッシュ関数が持つべき確実な性質は、原本データか
らはハッシュデータを生成しやすいが、ハッシュデータから原本データを推測することが計算的に殆ど不可能(computationally infeasible)でなければならない点である。
図2は、本発明による生体イメージを変数とするハッシュ関数の生成の流れを図示したものである。
図2に図示されたハッシュデータチェインにおいて、H_2からH_1を逆に推測することは殆ど不可能であり、H_3からH_2とH_1を逆に推測することも殆ど不可能である
本発明のように、認証の際に保安の安全性と信頼性を高めるためにカメラの付着設置された端末機を用いて虹彩のような生体イメージ情報を用いて認証を受けるために、使い捨てパスワードを形成することにおいて、虹彩のような生体イメージ情報を用いる場合、認証の際に処理速度を向上させるためにシードの選択が重要である。
生体イメージは虹彩だけでなく指紋など、カメラから獲得したユーザーそれぞれの特徴的情報をの有するイメージであれば可能である。
前記端末機は通常の携帯電話、スマートフォン、PDA、タブレットPC、多様な種類のコンピュータにカメラが付着設置され、サーバーと認証のために通信できるものであれば十分である。
前記サーバーは、端末機から送付された生体イメージまたは生体テンプレート、ハッシュ関数とからなる使い捨てパスワード及び端末機IDを用いて認証を遂行する部分を意味する。
キャップチャされた生体イメージ自体は貯蔵のためのメモリ容量が大きいこともあるため、端末機やサーバーの長いハッシュデータチェインを作るのに相当時間がかかる。
特に、端末機の計算性能が劣る場合には、端末機が虹彩イメージなどの生体イメージを関数とするハッシュデータチェインを作るのに相当の時間とメモリがかかる。
これを解決するためにキャップチャされた生体イメージの変わりに、これより得られた(派生された)次のようなデータをシードに用いることが望ましい。
一つ、キャップチャされた虹彩イメージを含むユーザーの生体イメージのそれぞれの特徴を含んでいる特定領域に属するピクセル単位のイメージデータのみを切り取ったデータをシードに用いることができる。例えば、生体イメージの中でユーザーの特徴を含んでいる虹彩イメージを4等分して、その中の一つをシードに用いるか、ユーザーの特徴を含んでいる虹彩イメージを多数の行や列に分けてから、特定の行や列に属するピクセル単位のイメージデータのみを選んでシードに用いることができる。
二つ、生体イメージの中で虹彩イメージテンプレートをシードに用いることができる。虹彩イメージテンプレートは、虹彩イメージの間に同一判断するためにイメージマッチングを遂行するときに用いられるメモリに貯蔵される虹彩イメージフォーマットであり、個人の固有の生体特性を含んでいるが、これを記憶するためのメモリの大きさは、原本のイメージに比べて相対的に小さい虹彩イメージフォーマットである。
例えば、虹彩イメージが占めるメモリが約100KByteであれば、これに該当する
虹彩イメージテンプレートは、メモリが約10KByte程度で、原本イメージデータの約1/10程度である。
これは虹彩イメージテンプレートは原本イメージよりデータが相当減るということを意味する。
キャップチャされた虹彩を含む生体イメージから生体イメージテンプレートを作るためには、フーリエ変換またはウエーブレット変換などを利用して構成することができる。これに関しては、本発明の出願人が既に特許出願した出願書に具体的に記載されているため、具体的な記述は省略する。
式(1)のように、ハッシュ関数の変数を生体イメージとするハッシュデータチェインを生成してからは、キャップチャされたイメージ原本を完全に削除して、保安の安全性と信頼性を高められるように構成する。このようなプロセスを通じてハッシュデータチェインのいずれかのハッシュデータからイメージ原本を誰も予測できないように構成されている。
本発明は、認証の過程においてハッキングされる場合に備えて、端末機とサーバーにハッシュデータを適切に分配し、各々のメモリに貯蔵することが大事である。
ハッシュ関数のハッシュデータチェインにおいて、n番目ハッシュデータであるH_n
はサーバーのメモリに貯蔵しておき、残りのn_1個のハッシュデータは端末機のメモリ
に貯蔵しておく。ハッシュ関数(1)から生成されるハッシュデータチェインよりハッシュデータチェインを分離して、端末機とサーバーに貯蔵する場合、サーバーがハッカーによりハッキングされH_nが流出されるとしても、ハッシュ関数の性質によって、H_nの前のハッシュデータを推測することが不可能であり、本発明による使い捨てパスワードが漏出せず、認証の際に保安の安全性と信頼性を大きく高めることができる。
本発明による認証は二段階になっている。一次的にユーザーが実際の持ち主であることを判別する段階が端末機から行われ、最終的な認証段階はサーバーにより行われるように構成されている。
保安のためにユーザーと端末機の間に行われる認証の段階をみると、ユーザーは自分が端末機の実際の使用権限のある持ち主であることを証明するために、端末機を用いて生体イメージをキャップチャする。端末機はキャップチャされた生体イメージまたは生体イメージテンプレートを端末機のメモリに登録貯蔵されていた生体イメージまたは生体イメージテンプレートを互いに比較する段階を経る。
もし、二つの生体イメージまたは生体イメージテンプレートが同一若しくは同一であると判断するように設定貯蔵された範囲に入ると、ユーザーを端末機の使用権限のある持ち主であると判別し、そうでないとユーザーの使用権限を与えないように構成することができる。
ユーザーが端末機の持ち主であることを判別するために、ユーザーの個人識別番号(PIN, personal identification number)のみを端末機に(または端末機とつながっている
PCクライアントに)入力するように構成することもできる。保安を強化するために前記個人識別番号と生体イメージを同時に入力(またはキャップチャ)させ、既に端末機に貯蔵されている個人識別番号と生体イメージを同時に比較し、両方が一致する場合にのみユーザーが端末機の持ち主であることを判断しても良い。前記個人識別番号(PIN)は、使い捨てではない場合もある点で使い捨てパスワードとは区別される。
ユーザーが使用権限のある実際の端末機の持ち主であると判別されると、ユーザーは該当端末機を用いてサーバーから資源接近(resource access)の権限を得るために、認証の手続を試みる段階を経る。このような認証手続は、サーバーと端末機との間に暗号化されたデータをやり取りする安全な交信(secure communication)によって行われるように構成されている。
本発明は、場合によってサーバと端末機との認証段階において、虹彩を含む生体イメージ情報を用いて保安に安全な認証手続を経るため、端末機のユーザーが使用権限のある実際の持ち主であることを判別する段階を省いて構成することもできる。
本発明による端末機には、登録段階に貯蔵されていた当該ユーザーに対するn_1個の
ハッシュデータH_1、H_2、…H_n-1の中で、無作為または端末機に内蔵されたプログラムの実行によって予め定められた順番により、どれか一つのハッシュデータを選択するように構成されている。
選択されたハッシュデータは、一回使えるユーザーの使い捨てパスワードになる。もし、i番目のハッシュデータH_iが使い捨てパスワードとしてサーバーに転送されると、
H_iの後のハッシュデータ、つまりH_j(j>i)はもう使われない。なぜならば、第三者がH_iを横取りすると、H_iからH_jを推測できるからである。
従って、H_jをパスワードに使ったならば、次はH_i前のハッシュデータH_k(k
<i)をパスワードに使うことができる。これはS/Key方式からみた本発明では、認証の際に保安の安全性と信頼性を高めるために虹彩イメージを含む生体イメージ情報をハッシュイメージ関数の変数に用いて構成したものである。
端末機はサーバーより認証を受けるために、虹彩イメージを含む生体イメージ情報またはイメージテンプレートと、ハッシュ関数によって生成されたデータ(H_i)、端末機
IDなどを含んで、これらを結合し端末機からサーバーに転送する。
端末機から既に生体イメージを用いてユーザーが持ち主であることが判断され、ハッシュデータを端末機とサーバー両方からアップデートをしなければ生体イメージ情報または生体イメージテンプレートはサーバに転送しなくても良い。
虹彩イメージを含む生体イメージ情報またはイメージテンプレートと、ハッシュ関数によって生成されたハッシュデータ(H_i)及び端末機IDの中で、虹彩イメージを含む
生体イメージ情報を含むハッシュデータを含んで少なくとも1以上に混合構成されたものを「認証データ(D)」と呼ぶことにする。使い捨てパスワードを生成して端末機からサーバーに転送する段階を具体的に見よう。
a)端末機に搭載された使い捨てパスワード生成プログラムによって無作為または設定された順番によって端末機の使い捨てパスワード(=PR_DEVICE)に該当する認
証データ(D)を生成する段階を経る。(Sign(D、PR_DEVICE))
b)生成された認証データ(D)を暗号化するために無作為に対称キー(例えばAES)を生成する段階を経る。
c)生成された対称キーで前記(a)で生成された認証データ(D)を暗号化する段階を経る。(ED=AES(Sign(D、PR_DEVICE))
d)暗号化された対称キー(AES)をサーバーの公開キー(=PU_SERVER)
に暗号化する段階を経る。(PU_SERVER(AES))
e)前記公開キーで暗号化された認証データ(ED)と、暗号化された対称キーPU_
SERVER(AES)をサーバーに転送する段階を経る。
前記認証データ(D)にユーザーの個人識別番号(PIN)を追加して構成することもできる。
サーバーは、端末機が送った暗号化された認証データ(ED)と暗号化された対称キー( PU_SERVER(AES))を次のような段階を経て、暗号を解読する。
a)サーバーは、サーバーに貯蔵された秘密キーを用いて対称キー PU_SERVER(AES)を
解読する段階を経る。(PR_SERVER(PU_SERVER(AES)) -> AES)
b)前記解読された対象キーAESを用いて暗号化された認証データ(ED)を解読する段階を経る。( AES(ED) -> Sign(D, PR_DEVICE))
c)解読された認証データ(ED)を端末機の公開キーを用いて使い捨てパスワードであるか否かを確認する段階を経る。
前記サーバーは、解読されたハッシュデータH_iが、ユーザーの使い捨てパスワード
であるか否かを判別するために、サーバーに貯蔵されていたハッシュ関数hをH_iに適
用させる段階が含んでいる。
少なくとも一度以上適用させ、サーバーに貯蔵されていたH_nと同一のハッシュデー
タを得られると、H_iをユーザーの使い捨てパスワードであると判断し、接近を承認す
る段階に成っている。つまり、認証の承認が行われたものと判断する。
しかし、虹彩を含む生体イメージを変数とするハッシュ関数を定められた回数の範囲内で適用させても、サーバーに貯蔵されていたH_nと一致するものが出てこないと、H_iが現時点でのユーザーの使い捨てパスワードではないと判断し、資源接近を拒むように構成されている。
もし、キャップチャされた生体イメージがユーザーの端末機内で比較されなければ、サーバーで端末機から転送されてきたキャップチャされた生体イメージがユーザーの生体イメージであるかを確認する段階を追加的に行い、資源接近の権限を与えるかどうかを決定する。保安をさらに強化するために、ユーザーの端末機から生体イメージの比較手続が行われたとしても、サーバーで同一の手続をもう一度行う場合もある。
接近承認が行われると、端末機とサーバー両方の有していた従来のハッシュデータを異なるものに更新できるチャンスが与えられる。
接近承認が行われる度に、端末機とサーバー両方からハッシュデータを更新することができる。しかし、端末機の認証を試みる頻度が高い場合、ハッシュデータが更新される回数が多くなり、両方に負担になりえるため、これを考慮して設定値を与えることで更新の頻度数が制限できる。
ハッシュデータの維持期間を設定し、その期間を越えてユーザーの接近承認が行われる場合、直ちに両方からハッシュデータの更新が行われるように構成し、保安の安全性と信頼性を高められるように構成されている。ユーザーの意思とは関係なく、自動的に更新が
行われるように構成されている。
前記更新のために、既存のハッシュデータチェインを新しいハッシュデータチェインに作るため、端末機から接近承認を得るためにサーバーに送った生体イエージをシードにして双方がハッシュデータチェインを作ることができる。
認証を受けるためにユーザーが端末機に付着されたカメラで撮影した虹彩を含む生体イメージは、ユーザー独特の生体特徴は維持されるものの、撮影された角度及び位置によってイメージ自体が少しずつ異なるため、これより作られるハッシュデータチェインも従来のハッシュデータチェインと異なり、保安の安全性と信頼性を高めることができる。
端末機とサーバーが互いに異なるハッシュデータチェインを有している場合には、端末機がサーバーより認証を受けることはできない。従って、ハッシュデータチェインの更新は、端末機とサーバーの両方から同時に行われるように構成されている。ある一方から更新が遅れることがあっても、端末機が認証を受けて次に認証を受けるまでは、両方から同じハッシュデータを有するように構成する。
前述した技術的構成に基づいて、本発明による虹彩イメージ情報を含む使い捨てパスワードを用いた認証方法について段階別に見てみよう。
本発明による虹彩イメージ情報を含む使い捨てパスワードを用いた認証方法は、端末機とサーバーのメモリに認証のための虹彩イメージ情報を各々貯蔵する段階を経て、認証のために端末機に付着されたカメラで虹彩イメージ情報を撮影獲得する段階を経て、カメラで撮影獲得した虹彩イメージ情報を含む使い捨てパスワードを生成する段階を経て、端末機に生成された虹彩イメージ情報を含む使い捨てパスワードをサーバーに転送する段階を経て、虹彩イメージ情報と使い捨てパスワードが一致しているか否かを比較判断するアルゴリズムを内蔵したサーバーに、前記端末機から転送された虹彩イメージ情報を含む使い捨てパスワードと虹彩イメージ情報と使い捨てパスワードが一致しているか否かを比較判断する段階と成っている。
前述した技術的構成に基づいて、本発明による虹彩イメージ情報を含む使い捨てパスワードを用いた認証装置について見てみよう。
本発明による虹彩イメージ情報を含む使い捨てパスワードを用いた認証装置は、認証のための虹彩イメージ情報を各々のメモリに貯蔵している端末機とサーバーを備えて、認証のために 虹彩イメージ情報を撮影獲得するためのカメラが付着設置され、カメラで撮影
獲得した虹彩イメージ情報を含む使い捨てパスワードを生成し、生成された虹彩イメージ情報を含む使い捨てパスワードをサーバーに転送するように構成された端末機を備えて、前記端末機から転送された虹彩イメージ情報を含む使い捨てパスワードをサーバーに貯蔵された虹彩イメージ情報と使い捨てパスワードが一致しているか否かを比較判断して認証するアルゴリズムの内蔵されたサーバーを備えている。
本発明による虹彩イメージ情報を含む使い捨てパスワードを用いた認証方法及び装置は、前記虹彩イメージを含む使い捨てパスワードは、虹彩イメージ、ハッシュ関数によって生成されたデータ及び端末機IDの中から虹彩イメージ情報を含む、少なくとも1以上を混合構成することができる。
また、前記虹彩イメージを含む使い捨てパスワードを生成する際に、ハッシュ関数を用いて、虹彩イメージをハッシュ関数の変数に用いて構成することで、保安性と信頼性を高めるように構成されている。
本発明による虹彩イメージ情報を含む使い捨てパスワードを用いた認証方法及び装置は、前記虹彩イメージが認証の際に処理速度を高め、貯蔵の際にメモリの容量を減らすためにフーリエ変換またはウェーブレット変換に加工した虹彩イメージテンプレートを使用するのが望ましい。また、前記ハッシュ関数は、ハッキングの際に保安性を高めるために、ハッシュ関数のハッシュデータチェインからn番目ハッシュデータであるH_nはサーバ
ーのメモリに貯蔵し、残りのn−1個のハッシュデータは端末機のメモリに貯蔵するのが望ましい。
前記ハッシュ関数は、保安の安全性と信頼性を高めるためにハッシュ関数の変数を虹彩イメージとするハッシュデータチェインを生成したあと、キャップチャされた虹彩イメージを完全に削除するように構成されている。
前記虹彩イメージは、虹彩イメージを含むユーザー虹彩イメージそれぞれの特徴を含んでいる特定の領域に属するピクセル単位のイメージデータのみを切り取ったデータを、使い捨てパスワードの生成のためのシードに用いるのが望ましい。前記端末機には、端末機に付着されたカメラで撮影された虹彩イメージと端末機に貯蔵された虹彩イメージを比較してユーザーが端末機の持ち主であることを確認する構成を付加することができる。
前記サーバーは、端末機から転送されたハッシュ関数のハッシュデータH_iがユーザ
ーの使い捨てパスワードであるかを判別するために、サーバーに貯蔵されていたハッシュ関数をH_iに適用させ、少なくとも一度以上適用させ、サーバーに貯蔵されていたH_nと同一のハッシュ関数のハッシュデータが得られると、H_iをユーザーの使い捨てパス
ワードと一致するものと判断するように構成されている。
前記虹彩イメージ情報を含む使い捨てパスワードを用いた認証方法は、使い捨てパスワードが互いに一致して承認が行われると、端末機とサーバーすべて従来のハッシュデータを更新することができ、更新はサーバーで承認が行われる度に遂行するか、端末機とサーバーの負担を考慮して、設定値を入力貯蔵することで更新の頻度数を制限する構成になっている。
<実施例2>
実施例2は、前記実施例1において、サーバーの機能及び手段を同一にし、端末機の機能及び手段の中で虹彩イメージを撮影するためのカメラまたは生体イメージを読むための生体イメージリーダー、カードリーダー及び入力パッドを除いた機能及び手段をスマートカードに貯蔵して保安性をさらに向上させることである。
実施例1の端末機から分離されたスマートカードには虹彩を含む生体イメージまたは生体テンプレート、虹彩イメージを変数とするハッシュデータチェイン及び据置台IDの中で虹彩イメージを変数とするハッシュデータチェインを含む少なくとも1以上を貯蔵している。
実施例2では、スマートカードと分離され、虹彩イメージを撮影するためのカメラまたは生体イメージを読むための生体イメージリーダーと、カードリーダー及び入力パッドの設けられている装置を「据置台」と呼ぶ。
認証の際に保安性を高めるために、実施例1のようにハッシュ関数のハッシュデータチェインからn番目のハッシュデータであるH_nはサーバーのメモリに貯蔵し、残りのn
−1個のハッシュデータをスマートカードメモリに貯蔵している。
また、スマートカードはメモリに貯蔵された虹彩イメージを含む生体イメージをハッシュ関数の変数に用いて使い捨てパスワードを生成し、所定のプログラムを遂行するために、メモリとマイクロプロセッサーを内蔵している。
スマートカードには電源を供給する必要があり、電源はスマートカードを据置台に設置されたカードリーダーに挿入するときに供給してもらえるように電源端子が設けられており、データをサーバに転送するための信号を転送するためのポートを備えている。
実施例1と同様、ハッシュ関数のハッシュデータチェインは、虹彩イメージを含む生体イメージを変数として使い捨てパスワードを生成し、サーバーに転送して認証を受けるように構成して保安性を高めるように構成されている。
前記スマートカードには認証に用いる生体イメージ、使い捨てパスワード及び据置台IDがサーバーに転送されるとき、保安性を高めるために暗号化して転送するための暗号化プログラムをメモリに搭載するのが望ましい。
前記ハッシュ関数は、保安の安全性と信頼性を高めるために、ハッシュ関数の変数を虹彩イメージにするハッシュデータチェインを生成したあと、キャップチャされた虹彩イメージが完全に削除されるように構成することができる。
前記虹彩イメージは、虹彩イメージを含むユーザー虹彩イメージのそれぞれの特徴を含む特定領域に属するピクセル単位のイメージデータのみを切り取ったデータを使い捨てパスワード生成のためのシードに用いられるように構成することができる。前記スマートカードは据置台に付着されたカメラで撮影した虹彩イメージとスマートカードに貯蔵された虹彩イメージを比較してユーザーがスマートカードの持つ主であることを確認する構成を付加することができる。
前記虹彩イメージ情報を含む使い捨てパスワードを用いた認証装置の保安性を高めるために、虹彩イメージ情報を含む使い捨てパスワードを暗号化し、前記サーバでは前記暗号化された虹彩イメージ情報を含む使い捨てパスワードを復号化して構成することができる。
前記サーバーは、スマートカードから転送されたハッシュ関数のハッシュデータH_i
が、ユーザーの使い捨てパスワードであるかどうかを判別するために、サーバーに貯蔵されていたハッシュ関数をH_iに適用し、少なくとも一度以上適用し、サーバーに貯蔵さ
れていたH_nと同じハッシュ関数のハッシュデータが得られると、H_iをユーザーの使い捨てパスワードと一致しているものと判断する。
本発明は、認証のための虹彩イメージ情報を各々のメモリに貯蔵している端末機とサーバーと、認証のために虹彩イメージ情報を撮影獲得するためのカメラが付着設置され、カメラで撮影獲得した虹彩イメージ情報を含む使い捨てパスワードを生成し、生成された虹彩イメージ情報を含む使い捨てパスワードをサーバーに転送するように構成された端末機と、前記端末機から転送された虹彩イメージ情報を含む使い捨てパスワードをサーバーに貯蔵された虹彩イメージ情報と使い捨てパスワードが一致するか否かを比較判断するアルゴリズムの内蔵されたサーバーとからなる虹彩イメージ情報を含む使い捨てパスワードを用いた認証方法及び装置を提供し、保安性と信頼性を大きく向上させるため、産業上の利用可能性が非常に高い。

Claims (29)

  1. 虹彩イメージ情報を含む使い捨てパスワードを用いた認証方法において、
    端末機とサーバーが、各々のメモリに、認証のための虹彩イメージ情報を各々登録貯蔵する段階;
    前記端末機が、カメラで撮影獲得した虹彩イメージ情報を含む1または2以上の使い捨てパスワードを生成する段階;
    前記生成された虹彩イメージ情報を含む1または2以上の使い捨てパスワードを端末機とサーバーが、各々のメモリに各々貯蔵する段階;
    前記端末機が、認証のために前記端末機に付着されたカメラで虹彩イメージ情報を撮影獲得する段階;
    前記端末機が、前記端末機に貯蔵された虹彩イメージ情報を含む使い捨てパスワードをサーバーに転送する段階; 及び
    使い捨てパスワードが一致するか否かを比較判断するアルゴリズムを内蔵したサーバーが、前記端末機から転送された虹彩イメージ情報を含む使い捨てパスワードとサーバーに貯蔵された使い捨てパスワードが一致しているか否かを比較判断して認証を行う段階を含み、
    前記使い捨てパスワードは、虹彩イメージ情報を含むハッシュ関数によって生成されたハッシュデータを含み、
    ハッキングの際に保安性を高めるために、前記ハッシュ関数のハッシュデータチェインからn番目のハッシュデータであるH_nは、前記サーバーがメモリに貯蔵し、残りのn-1個のハッシュデータは、前記端末機がメモリに貯蔵することを特徴とする
    虹彩イメージ情報を含む使い捨てパスワードを用いた認証方法。
  2. 請求項1において、
    前記端末機が、前記虹彩イメージ情報を含む使い捨てパスワードを生成する際にハッシュ関数を用いて生成し、虹彩イメージ情報をハッシュ関数の変数に用いて構成する
    ことを特徴とする虹彩イメージ情報を含む使い捨てパスワードを用いた認証方法。
  3. 請求項1または2において、
    前記端末機とサーバーは、認証の際に処理速度を高め、貯蔵の際にメモリ容量を減らすために、虹彩イメージ情報をフーリエ変換またはウェブレット変換に加工した虹彩イメー
    ジテンプレートを用いる
    ことを特徴とする虹彩イメージ情報を含む使い捨てパスワードを用いた認証方法。
  4. 請求項1または2において、
    前記端末機が、保安の安全性と信頼性を高めるためにハッシュ関数の変数を虹彩イメージ情報とするハッシュデータチェインを生成したあと、撮影獲得した虹彩イメージ情報を完全に削除する
    ことを特徴とする虹彩イメージ情報を含む使い捨てパスワードを用いた認証方法。
  5. 請求項1または2において、
    前記端末機が、虹彩イメージ情報を含むユーザーの虹彩イメージ情報のそれぞれの特徴を含んでいる特定の領域に属するピクセル単位のイメージデータのみを切り取ったデータを使い捨てパスワード生成のためのシードに用いる
    ことを特徴とする虹彩イメージ情報を含む使い捨てパスワードを用いた認証方法。
  6. 請求項1において、
    前記認証のために前記端末機に付着されたカメラを利用して虹彩イメージ情報を撮影獲得する段階の次の段階で、前記端末機が、前記端末機に付着されたカメラで撮影された虹彩イメージ情報と前記端末機に貯蔵された虹彩イメージ情報を比較して、ユーザーが端末機の持ち主であることを確認する段階をさらに付加する
    ことを特徴とする虹彩イメージ情報を含む使い捨てパスワードを用いた認証方法。
  7. 請求項1において、
    前記端末機が、前記虹彩イメージ情報を含む使い捨てパスワードを保安性を高めるために暗号化する段階; 及び
    前記サーバーにおいては、前記暗号化された虹彩イメージ情報を含む使い捨てパスワードを復号化する段階をさらに含む
    虹彩イメージ情報を含む使い捨てパスワードを用いた認証方法。
  8. 請求項1乃至3において、
    前記サーバーは、端末機から転送されたハッシュ関数のハッシュデータH_iがユーザーの使い捨てパスワードであるかを判別するために、サーバーに貯蔵されていたハッシュ関数をH_iに少なくとも1以上適用し、サーバーに貯蔵されていたH_nと同一のハッシュ関数のハッシュデータが得られるとH_iをユーザーの使い捨てパスワードと一致していると判断する
    ことを特徴とする虹彩イメージ情報を含む使い捨てパスワードを用いた認証方法。
  9. 請求項8において、
    前記虹彩イメージ情報を含む使い捨てパスワードを用いた認証方法は、使い捨てパスワードが互いに一致して承認が行われると、端末機とサーバーの両方が、従来のハッシュデータを更新することができ、
    更新は、承認が行われる度に遂行されるか、端末機とサーバーの負担を考えて更新の頻度が設定値に入力貯蔵され、制限される
    ことを特徴とする虹彩イメージ情報を含む使い捨てパスワードを用いた認証方法。
  10. 請求項9において、
    前記ハッシュデータの更新は、認証のために撮影された虹彩イメージに基づいて遂行される
    ことを特徴とする使い捨てパスワードを用いた認証方法。
  11. 請求項1または2において、
    認証の際に保安性を高めるために、認証を受けるために端末機からサーバーに転送されるデータに虹彩イメージ情報と端末機IDがさらに含まれる
    ことを特徴とする使い捨てパスワードを用いた認証方法。
  12. 虹彩イメージ情報を含む使い捨てパスワードを用いた認証装置において、
    認証のための虹彩イメージ情報を各々のメモリに貯蔵している端末機とサーバー;
    認証のために虹彩イメージ情報を撮影獲得するためのカメラが付着設置され、カメラで撮影獲得した虹彩イメージ情報を含む使い捨てパスワードを生成して、生成された虹彩イメージ情報を含む使い捨てパスワードをサーバーに転送するように構成された端末機;及び
    前記端末機から転送された虹彩イメージ情報を含む使い捨てパスワードをサーバーに貯蔵された虹彩イメージ情報と使い捨てパスワードが一致しているか否かを比較判断して認証を行うアルゴリズムの内蔵されたサーバーを含み、
    前記使い捨てパスワードは、虹彩イメージ情報、ハッシュ関数によって生成されたデータ及び端末機IDの中で、虹彩イメージ情報を含む少なくとも1以上を混合構成され、
    前記ハッシュ関数はハッキングの際に保安性を高めるために、ハッシュ関数のハッシュデータチェインにおいてn番目のハッシュデータであるH_nはサーバのメモリに貯蔵し、残りのn-1個のハッシュデータは端末機のメモリに貯蔵することを特徴とする
    虹彩イメージ情報を含む使い捨てパスワードを用いた認証装置。
  13. 請求項12において、
    前記虹彩イメージ情報を含む使い捨てパスワードを生成する際にハッシュ関数を用いて、虹彩イメージ情報をハッシュ関数の変数に用いて構成することを特徴とする虹彩イメージ情報を含む使い捨てパスワードを用いた認証装置。
  14. 請求項12または13において、
    前記虹彩イメージ情報は認証の際に処理速度を高め、貯蔵の際にメモリ容量を減らすために虹彩イメージ情報をフーリエ変換またはウエーブレット変換に加工した虹彩イメージテンプレートを用いることを特徴とする虹彩イメージ情報を含む使い捨てパスワードを用いた認証装置。
  15. 請求項12または13において、
    前記ハッシュ関数は保安の安全性と信頼性を高めるためにハッシュ関数の変数を虹彩イメージ情報とするハッシュデータチェインを生成したあと、撮影獲得した虹彩イメージ情報を完全に削除することを特徴とする虹彩イメージ情報を含む使い捨てパスワードを用いた認証装置。
  16. 請求項12または13において、
    前記虹彩イメージ情報は、虹彩イメージ情報を含むユーザー虹彩イメージ情報それぞれの特徴を含んでいる特定領域に属するピクセル単位のイメージデータのみを切り取ったデータを使い捨てパスワード生成のためのシードとして用いることを特徴とする虹彩イメージ情報を含む使い捨てパスワードを用いた認証装置。
  17. 請求項12において、
    前記端末機には端末機に付着されたカメラで撮影された虹彩イメージ情報と端末機に貯蔵された虹彩イメージ情報を比較してユーザーが端末機の持つ主であることを確認する構成をさらに付加することを特徴とする虹彩イメージ情報を含む使い捨てパスワードを用いた認証装置。
  18. 請求項12において、
    前記虹彩イメージ情報を含む使い捨てパスワードを用いた認証装置の保安性を高めるために虹彩イメージ情報を含む使い捨てパスワードを暗号化してサーバーに転送し、前記サーバーでは前記暗号化した虹彩イメージ情報を含む使い捨てパスワードを復号化する構成をさらに含む虹彩イメージ情報を含む使い捨てパスワードを用いた認証装置。
  19. 請求項12において、
    前記サーバーは、端末機から転送されたハッシュ関数のハッシュデータH_iがユーザーの使い捨てパスワードであるかを判別するために、サーバーに貯蔵されていたハッシュ関数を少なくとも一度H_iに適用して、サーバーに貯蔵されていたH_nと同一のハッシュ関数のハッシュデータを得られると、H_iをユーザーの使い捨てパスワードと一致しているものと判断することを特徴とする虹彩イメージ情報を含む使い捨てパスワードを用いた認証装置。
  20. 請求項19において、
    前記虹彩イメージ情報を含む使い捨てパスワードを用いた認証方法は、使い捨てパスワードが互いに一致して承認が行われると、端末機とサーバー全てが従来のハッシュデータを更新することができ、
    更新は、サーバーで承認が行われる度に遂行するか、端末機とサーバーの負担を考えて更新の頻度を設定値に入力貯蔵して制限することを特徴とする虹彩イメージ情報を含む使い捨てパスワードを用いた認証装置。
  21. 請求項19において、
    前記ハッシュデータの更新は認証のために撮影された虹彩イメージに基づいて遂行されることを特徴とする使い捨てパスワードを用いた認証装置。
  22. 虹彩イメージ情報を含む使い捨てパスワードを用いた認証装置において、
    認証のための虹彩イメージを変数に用いる使い捨てパスワードを貯蔵しているスマートカード;
    認証のための虹彩イメージ情報をメモリに貯蔵しているサーバー;
    認証のために虹彩イメージ情報を撮影獲得するためのカメラが付着設定され、カードリーダーが設置された据置台;及び
    前記据置台から転送された虹彩イメージを変数に構成された使い捨てパスワードをサーバーに貯蔵された虹彩イメージ情報と使い捨てパスワードが一致しているかどうかを比較判断して認証を行うアルゴリズムが内蔵されたサーバーを含み、
    前記スマートカードは、保安性を高めるために虹彩イメージ情報を変数に構成されたハッシュ関数、虹彩イメージ情報及び据置台IDの中、虹彩イメージ情報を変数に構成されたハッシュ関数を含む少なくとも1以上に構成され、
    前記ハッシュ関数はハッキングの際に保安性を高めるためにハッシュ関数のハッシュデータチェインにおいてn番目のハッシュデータであるH_nはサーバーのメモリに貯蔵し、残りのn_1個のハッシュデータはスマートカードのメモリに貯蔵することを特徴とする
    虹彩イメージ情報含む使い捨てパスワードを用いた認証装置。
  23. 請求項22において、
    前記スマートカードとサーバーに貯蔵される虹彩イメージ情報は、認証の際に処理速度を高め、貯蔵の際にメモリの容量を減らすために虹彩イメージ情報をフーリエ変換またはウェブーレット変換に加工した虹彩イメージテンプレートを用いることを特徴とする虹彩イメージ情報を含む使い捨てパスワードを用いた認証装置。
  24. 請求項22または23において、
    前記ハッシュ関数は保安の安全性と信頼性を高めるために、ハッシュ関数の変数を虹彩イメージ情報とするハッシュデータチェインを生成した後、キャップチャされた虹彩イメージをスマートカードのメモリから完全に削除することを特徴とする虹彩イメージ情報を含む使い捨てパスワードを用いた認証装置。
  25. 請求項22または23において、
    前記スマートカードとサーバーに貯蔵される虹彩イメージ情報は、虹彩イメージ情報を含むユーザー虹彩イメージ情報それぞれの特徴を含む特定領域に属するピクセル単位のイメージデータのみを切り取ったデータを使い捨てパスワード生成のためのシードに用いることを特徴とする虹彩イメージ情報を含む使い捨てパスワードを用いた認証装置。
  26. 請求項25において、
    前記スマートカードは据置台に付着されたカメラで撮影された虹彩イメージ情報とスマートカードに貯蔵された虹彩イメージ情報を比較して、ユーザーがスマートカードの持ち主であることを確認する構成をさらに付加することを特徴とする虹彩イメージ情報を含む使い捨てパスワードを用いた認証装置。
  27. 請求項25において、
    前記スマートカードは虹彩イメージ情報を含む使い捨てパスワードを用いた認証装置の保安性を高めるために虹彩イメージ情報を含む使い捨てパスワードを暗号化してサーバーに転送し、
    前記サーバーでは前記暗号化した虹彩イメージ情報を含む使い捨てパスワードを復号化する構成をさらに含む虹彩イメージ情報を含む使い捨てパスワードを用いた認証装置。
  28. 請求項22において、
    前記サーバーはスマートカードから転送されたハッシュ関数のハッシュデータH_iがユーザーの使い捨てパスワードであるかを判別するために、サーバーに貯蔵されていたハッシュ関数をH_iに少なくとも一度以上適用してサーバーに貯蔵されていたH_nと同一のハッシュ関数のハッシュデータを得られると、H_iをユーザーの使い捨てパスワードと一致していると判断することを特徴とする虹彩イメージ情報を含む使い捨てパスワードを用いた認証装置。
  29. 請求項28において、
    前記ハッシュデータの更新は、認証のために撮影された虹彩イメージ情報に基づいて遂行されることを特徴とする使い捨てパスワードを用いた認証装置。
JP2014521534A 2011-07-15 2011-08-23 生体イメージ情報を含む使い捨てパスワードを用いた認証方法及び装置 Expired - Fee Related JP5816750B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
KR1020110070402A KR101284481B1 (ko) 2011-07-15 2011-07-15 생체이미지 정보를 포함하는 일회용 비밀번호를 이용한 인증방법 및 장치
KR10-2011-0070402 2011-07-15
PCT/KR2011/006212 WO2013012120A1 (ko) 2011-07-15 2011-08-23 생체이미지 정보를 포함하는 일회용 비밀번호를 이용한 인증방법 및 장치

Publications (2)

Publication Number Publication Date
JP2014526094A JP2014526094A (ja) 2014-10-02
JP5816750B2 true JP5816750B2 (ja) 2015-11-18

Family

ID=47558282

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014521534A Expired - Fee Related JP5816750B2 (ja) 2011-07-15 2011-08-23 生体イメージ情報を含む使い捨てパスワードを用いた認証方法及び装置

Country Status (5)

Country Link
US (1) US10313338B2 (ja)
JP (1) JP5816750B2 (ja)
KR (1) KR101284481B1 (ja)
CN (1) CN103748829B (ja)
WO (1) WO2013012120A1 (ja)

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2748801B1 (en) * 2011-08-26 2020-04-29 Life Technologies Corporation Systems and methods for identifying an individual
FR2987199B1 (fr) * 2012-02-16 2015-02-20 France Telecom Securisation d'une transmission de donnees.
NZ631746A (en) * 2012-10-12 2016-12-23 Abbvie Biotechnology Ltd Characterization and/or detection of structural characteristics associated with syringes and/or automatic injection devices based on acoustics
JP6286132B2 (ja) * 2013-03-29 2018-02-28 セコム株式会社 照合システム
KR101445708B1 (ko) * 2013-04-01 2014-10-01 주식회사 좋을 보안 시스템, 이를 위한 단말기 및 보안 방법
KR101445816B1 (ko) * 2013-04-19 2014-09-29 (주)네오위즈게임즈 이미지 기반의 사용자 인증 방법, 인증 서버, 단말장치 및 컴퓨터로 판독 가능한 기록매체
KR101500947B1 (ko) * 2013-07-18 2015-03-10 주식회사 슈프리마 생체 정보 생성 및 인증
US9218473B2 (en) 2013-07-18 2015-12-22 Suprema Inc. Creation and authentication of biometric information
KR101503019B1 (ko) * 2013-08-27 2015-03-16 주식회사 디젠트 바이오 정보 인증 방법, 이와 연관된 바이오 정보 인증 시스템 및 이를 저장한 기록매체
KR101392746B1 (ko) * 2013-11-01 2014-05-08 배영현 해시 코드를 이용하여 로또 번호를 생성하기 위한 시스템 및 그 방법
US10841297B2 (en) * 2013-12-16 2020-11-17 Amazon Technologies, Inc. Providing multi-factor authentication credentials via device notifications
US10362026B2 (en) * 2013-12-16 2019-07-23 Amazon Technologies, Inc. Providing multi-factor authentication credentials via device notifications
US9473491B1 (en) 2014-12-16 2016-10-18 Amazon Technologies, Inc. Computing device with integrated authentication token
US10866711B1 (en) 2013-12-16 2020-12-15 Amazon Technologies, Inc. Providing account information to applications
KR101537564B1 (ko) * 2014-05-20 2015-07-20 (주)지플러스 생체인식 중계 인증 시스템 및 그 방법
TWI506469B (zh) * 2014-07-31 2015-11-01 Elitegroup Computer Sys Co Ltd 資料保密方法、電子裝置和外部儲存裝置
CN104360832B (zh) * 2014-11-04 2018-01-26 北京释码大华科技有限公司 一种随机数生成设备和方法
CN104616655B (zh) * 2015-02-05 2018-01-16 北京得意音通技术有限责任公司 声纹模型自动重建的方法和装置
CA2991067C (en) * 2015-07-27 2021-01-12 Amazon Technologies, Inc. Providing multi-factor authentication credentials via device notifications
US9864852B2 (en) 2015-07-27 2018-01-09 Amazon Technologies, Inc. Approaches for providing multi-factor authentication credentials
CN105141428A (zh) * 2015-08-19 2015-12-09 深圳密无痕智能科技有限公司 一种基于模糊金库和一次性口令的认证识别系统和方法
KR101718948B1 (ko) * 2015-10-02 2017-03-23 황순영 일회용 난수를 이용하여 인증하는 통합 인증 시스템
KR101997479B1 (ko) * 2015-10-20 2019-10-01 삼성전자주식회사 사용자 인증을 위한 생체 영역을 검출하는 방법 및 장치
WO2017178599A1 (en) * 2016-04-15 2017-10-19 Irdeto B.V. Account access
CN106657098A (zh) * 2016-12-29 2017-05-10 郑州云海信息技术有限公司 一种登录Linux操作系统的认证方法、装置以及系统
US11042625B2 (en) 2017-03-03 2021-06-22 William Bojan System for visual password input and method for accepting a visual password input
KR102434720B1 (ko) * 2017-11-16 2022-08-23 주식회사 에이텍에이피 생체 인증을 이용한 금융 기기 및 거래 방법
KR102255287B1 (ko) 2018-06-05 2021-05-26 아이리텍 잉크 블록체인 상에서 일회용 비밀번호를 적용한 신원관리 시스템
KR102289379B1 (ko) * 2018-06-05 2021-08-18 아이리텍 잉크 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법
KR102255286B1 (ko) 2018-06-05 2021-05-26 아이리텍 잉크 분산 생체인증 시스템을 사용한 블록체인 상에서 신원 관리 방법
US10972275B1 (en) * 2018-07-17 2021-04-06 Imageware Systems, Inc. Zero-knowledge, anonymous verification and management using immutable databases such as blockchain
CN109635906A (zh) * 2018-12-07 2019-04-16 深圳市集虹鼎源科技有限公司 二维码生成方法及装置
US10389708B1 (en) * 2019-01-03 2019-08-20 Capital One Services, Llc Secure authentication of a user associated with communication with a service representative
US11233651B2 (en) * 2020-03-17 2022-01-25 Lenovo (Singapore) Pte. Ltd. Password protection using chain of random hashing functions
JP7376127B2 (ja) * 2021-05-06 2023-11-08 Necプラットフォームズ株式会社 情報処理装置、情報処理システム、情報処理方法及びプログラム
WO2023236042A1 (zh) * 2022-06-07 2023-12-14 北京小米移动软件有限公司 一种生物特征识别方法、装置、电子设备及存储介质
WO2024091022A1 (ko) * 2022-10-26 2024-05-02 삼성전자 주식회사 생체 정보를 이용한 장치들 간의 연결 방법 및 그 전자 장치

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5680460A (en) * 1994-09-07 1997-10-21 Mytec Technologies, Inc. Biometric controlled key generation
KR100353731B1 (ko) * 2000-11-01 2002-09-28 (주)니트 젠 일회성 지문템플릿을 이용한 사용자 인증시스템 및 방법
US6983381B2 (en) * 2001-01-17 2006-01-03 Arcot Systems, Inc. Methods for pre-authentication of users using one-time passwords
WO2003007127A2 (en) * 2001-07-12 2003-01-23 Atrua Technologies, Inc. Method and system for biometric image assembly from multiple partial biometric frame scans
JP2003085148A (ja) * 2001-09-13 2003-03-20 Univ Waseda 利用者認証方法およびそのシステム、情報端末装置および役務提供サーバ、被写体識別方法およびそのシステム、対応関係確認方法およびそのシステム、物体確認方法およびそのシステム、並びにプログラム
NO316489B1 (no) * 2001-10-01 2004-01-26 Genkey As System, b¶rbar anordning og fremgangsmåte for digital autentisering, kryptering og signering ved generering av flyktige, men konsistente ogrepeterbare kryptonökler
CN1423227A (zh) * 2001-12-05 2003-06-11 南宫钟 一种具有虹膜识别功能的身份确认方法及装置
US6640294B2 (en) * 2001-12-27 2003-10-28 Storage Technology Corporation Data integrity check method using cumulative hash function
CZ2005209A3 (cs) * 2002-09-10 2005-12-14 Ivi Smart Technologies, Inc. Bezpečné biometrické ověření identity
JP2005107569A (ja) * 2003-09-26 2005-04-21 Ntt Docomo Inc 電子クーポン配布装置及び電子クーポン受信装置
JP4523944B2 (ja) * 2004-10-14 2010-08-11 三菱電機株式会社 パスワード生成装置及びicカード及び認証装置
JP2008059509A (ja) * 2006-09-04 2008-03-13 Matsushita Electric Ind Co Ltd 個人識別装置及び個人識別方法
US20080263117A1 (en) * 2007-04-23 2008-10-23 Gregory Gordon Rose Initial seed management for pseudorandom number generator
CN101098232B (zh) * 2007-07-12 2012-05-09 兰州大学 一种动态口令与多生物特征结合的身份认证方法
JP5248927B2 (ja) * 2008-06-06 2013-07-31 株式会社日本総合研究所 認証システム、認証方法および認証プログラム
CN101635743B (zh) * 2009-04-02 2014-11-26 杭州亚泽信息科技有限公司 使用生物特征认证结果确认移动终端持有者身份的系统和方法
KR101566011B1 (ko) * 2009-07-10 2015-11-05 주식회사 비즈모델라인 생체 인식을 이용한 오티피 운영 방법
KR20110005616A (ko) * 2009-07-10 2011-01-18 주식회사 비즈모델라인 생체 인식을 이용한 무선 오티피 운영 방법 및 시스템과 이를 위한 무선단말 및 기록매체
US8750575B2 (en) * 2009-08-04 2014-06-10 International Business Machines Corporation Reflexive iris template
KR101111381B1 (ko) * 2009-11-17 2012-02-24 최운호 유비쿼터스 인증 관리를 위한 사용자 인증 시스템, 사용자 인증장치, 스마트 카드 및 사용자 인증방법
KR101088029B1 (ko) * 2009-11-19 2011-11-29 최운호 스마트카드와 통신단말기를 이용한 전자화폐 인증 시스템
US20110145899A1 (en) * 2009-12-10 2011-06-16 Verisign, Inc. Single Action Authentication via Mobile Devices

Also Published As

Publication number Publication date
CN103748829A (zh) 2014-04-23
KR101284481B1 (ko) 2013-07-16
US10313338B2 (en) 2019-06-04
KR20130009356A (ko) 2013-01-23
WO2013012120A1 (ko) 2013-01-24
US20140250517A1 (en) 2014-09-04
JP2014526094A (ja) 2014-10-02
CN103748829B (zh) 2018-08-24

Similar Documents

Publication Publication Date Title
JP5816750B2 (ja) 生体イメージ情報を含む使い捨てパスワードを用いた認証方法及び装置
US10181952B2 (en) Encryption using biometric image-based key
US11343099B2 (en) System and method for securing personal information via biometric public key
US9165130B2 (en) Mapping biometrics to a unique key
JP3230238U (ja) 電子データを安全に格納するシステム
JP7421766B2 (ja) 公開キー/プライベートキーバイオメトリック認証システム
US20190311148A1 (en) System and method for secure storage of electronic material
US9166796B2 (en) Secure biometric cloud storage system
TWI578749B (zh) 用於遷移金鑰之方法及設備
US11245532B2 (en) Authentication method for a client over a network
US6845453B2 (en) Multiple factor-based user identification and authentication
KR101226651B1 (ko) 생체 인식 기술의 사용에 기초한 사용자 인증 방법 및 관련구조
US9384338B2 (en) Architectures for privacy protection of biometric templates
US10848304B2 (en) Public-private key pair protected password manager
KR102514429B1 (ko) 생체인식 데이터 템플레이트의 업데이트
US9280650B2 (en) Authenticate a fingerprint image
US20070106903A1 (en) Multiple Factor-Based User Identification and Authentication
US11868457B2 (en) Device and method for authenticating user and obtaining user signature using user&#39;s biometrics
AU2018100503A4 (en) Split data/split storage
KR20130028327A (ko) 홍채이미지 정보를 포함하는 일회용 비밀번호가 탑재된 스마트카드
JP2006323691A (ja) 認証装置、登録装置、登録方法及び認証方法
JP2009282945A (ja) 生体認証方法及びシステム
JP2021033720A (ja) データ処理装置

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150114

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150120

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150420

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150519

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150812

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150901

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150928

R150 Certificate of patent or registration of utility model

Ref document number: 5816750

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees