JP7023011B2 - 第三者認証に用いる身元の登録及びアクセス制御方法 - Google Patents

第三者認証に用いる身元の登録及びアクセス制御方法 Download PDF

Info

Publication number
JP7023011B2
JP7023011B2 JP2020096290A JP2020096290A JP7023011B2 JP 7023011 B2 JP7023011 B2 JP 7023011B2 JP 2020096290 A JP2020096290 A JP 2020096290A JP 2020096290 A JP2020096290 A JP 2020096290A JP 7023011 B2 JP7023011 B2 JP 7023011B2
Authority
JP
Japan
Prior art keywords
identity
data
user
registration
computer device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020096290A
Other languages
English (en)
Other versions
JP2020198100A (ja
Inventor
ナイ-ホ ス
チ-クアン リ
ユ-レン チェン
Original Assignee
チュアンホン テクノロジー カンパニー リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by チュアンホン テクノロジー カンパニー リミテッド filed Critical チュアンホン テクノロジー カンパニー リミテッド
Publication of JP2020198100A publication Critical patent/JP2020198100A/ja
Application granted granted Critical
Publication of JP7023011B2 publication Critical patent/JP7023011B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6272Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database by registering files or documents with a third party
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • G06Q20/38215Use of certificates or encrypted proofs of transaction rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V30/00Character recognition; Recognising digital ink; Document-oriented image-based pattern recognition
    • G06V30/40Document-oriented image-based pattern recognition
    • G06V30/41Analysis of document content
    • G06V30/413Classification of content, e.g. text, photographs or tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2117User registration

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Databases & Information Systems (AREA)
  • Finance (AREA)
  • Automation & Control Theory (AREA)
  • Multimedia (AREA)
  • Artificial Intelligence (AREA)
  • Collating Specific Patterns (AREA)

Description

本発明は身元認証(または身分認証)に関し、特に第三者認証に用いる身元の登録及びアクセス制御方法に関するものである。
従来の身元登録方式(ショッピングサイト又はその他サービスサイトの会員登録など)では、ユーザーが自ら身元データを入力して登録を完了させるものが多い。上述の登録方式は、ユーザーが入力した身元データの真実性を検証することができず、偽アカウントの登録を防止することができない。
現在存在する別の登録方式では、身分データの真実性を検証するため、ユーザーは登録時に身分証明書の画像を提供しなければならない。上述の登録方式は、身分証明書の画像の真実性を検証することができず、且つユーザーがその身分証明書を確かに所有しているか否かを確認できないため、やはり偽アカウントの登録を防止することができない。
また、従来の身元アクセス制御方式では、各サイト間で会員データを共有することができず、ユーザーが様々なサイトのサービスを利用したい場合には、新たに登録して身元認証を成立させると同時に、複数のサイトのアカウントパスワードを記憶しなければならず、ユーザーにとって相当大きな負担になっている。
上述のように、従来の身元登録及びアクセス制御方式に上述の問題が存在しており、より有効な方法の提出が望まれている。
本発明は、登録過程においてユーザーが登録に用いる身分証明書を確かに所有しているか否かを確認することができ、且つデータアクセス制御過程において、第三者認証方式によってユーザーの真実の身元データをサイトに提供することが可能な、第三者認証に用いる身元の登録及びアクセス制御方法を提供することを主な目的としている。
上述の目的を達成するために、本発明は第三者認証に用いる身元の登録及びアクセス制御方法を提供するが、それは以下の工程を含む。登録モード下において、ユーザー側コンピュータ機器がユーザーの身分証明書の画像である身元画像を取得し、そのうち、身元画像は映像キャプチャモジュールにより身分証明書の身元情報ページを撮ることで得る。身元画像は、画像データと、文字データを含む。身元画像に対して光学文字認識処理及び身元解析処理を実行し、身元解析データを得る。ユーザー側コンピュータ機器の通信モジュール経由で身分証明書から埋め込み身元データを取得する。身元解析データと埋め込み身元データとを照合して少なくとも一部が一致する場合、身元解析データと埋め込み身元データのうち少なくとも1つに基づき、ユーザーの身元データを設定し、登録を行う。アクセス制御モード下において、ユーザー側コンピュータ機器が要求側コンピュータ機器から身元アクセス要求を受信したとき、現在のユーザーに対して身元検証を行う。現在のユーザーが身元検証をパスした場合、ユーザーの身元データ及び身元アクセス要求に基づき身元返送データを生成して、要求側コンピュータ機器へ送り返す。
本発明は、登録ユーザーの真実性を効果的に保証し、偽アカウントの登録を防止し、認証フローを大幅に簡略化することができ、且つ身元アクセス制御の安全性を高めることができる。
本発明の実施例における身元アクセス制御システムのアーキテクチャ図である。 本発明の第1実施例における身元登録のフローチャートである。 本発明の第2実施例における身元アクセス制御のフローチャートである。 本発明の第3実施例における身元登録のフローチャートである。 本発明の第4実施例における身元登録の一部のフローチャートである。 本発明の第5実施例における身元アクセス制御のフローチャートである。 本発明の実施例における身元登録操作の概念図である。 本発明の実施例における身元アクセス制御操作の第1概念図である。 本発明の実施例における身元アクセス制御操作の第2概念図である。 本発明の実施例における身元データ保存の概念図である。 本発明の実施例における身元データ保存の概念図である。 本発明の実施例における身元データ保存の概念図である。
本発明における好ましい実施例について、図面に基づき詳細に説明する。
本発明の実施例における身元アクセス制御システムのアーキテクチャ図である図1を参照されたい。本発明が開示する身元アクセス制御システム1は、後述する第三者認証に用いる身元の登録及びアクセス制御方法を実行するのに用いることができる。身元アクセス制御システム1は、ユーザー登録を受け入れるとともに、ユーザーが提供する身分証明書の真実性を検証し、ユーザーの真実の身元データを取得することができる。さらに、身元アクセス制御システム1は第三者認証機能も提供し、ユーザーの真実の身元データを指定の要求側コンピュータ機器32(サイトの登録サーバなど)へ提供することで身元認証を迅速に完了させることができ、ユーザーは手動での登録を必要とせずに要求側コンピュータ機器32が提供するサービスを使用することができる。
なお、本発明中、ユーザーが所有する身分証明書20には演算ユニット200(IC旅券やIC身分証など)が設けられており、単なる紙の証明書ではない。演算ユニット200にはユーザーの電子的な身元データが記憶されている(例えば氏名、生年月日、証明書番号及び/又は国籍などの埋め込み身元データ)。
さらに、演算ユニット200が記憶する埋め込み身元データは、身分証明書20に印刷方式で表示された内容(即ち身分証明書20の埋め込み身元データページに記載された内容)の全て又は一部を含む。
実施例では、演算ユニット200はさらに身分証明書20に印刷方式で表示されていない内容(例えば指紋特徴又は虹彩特徴などのユーザーの生物学的特性、又はユーザーの住所又は電話番号などの個人情報など)を記憶することができる。
身元アクセス制御システム1は、ユーザー側コンピュータ機器10を含む。ユーザー側コンピュータ機器10(例えばスマートフォン、ウェアラブルデバイス、タブレット、ノートパソコンなど)はユーザーが持つことができ、且つ映像キャプチャモジュール101、通信モジュール102、ネットワーク接続モジュール103及び上述のモジュールと電気的に接続された処理モジュール100を含むことができる。
映像キャプチャモジュール101(カメラなど)は、外部の映像を撮影するためのものである。通信モジュール102は、外部機器(身分証明書20の演算ユニット200など)と近距離(接触型を含む)通信を構築するためのものである。ネットワーク接続モジュール103(モバイルネットワークモジュール、Wi-Fi(登録商標)モジュール又はイーサネット(登録商標)ネットワークモジュールなど)は、ネットワーク30(インターネットなど)に接続してデータ通信を行なうためのものである。処理モジュール100は、ユーザー側コンピュータ機器10を制御するためのものである。
実施例では、通信モジュール102は、NFCモジュール、Bluetooth(登録商標)モジュール、超音波モジュールなどの近距離無線通信モジュールか、又は接触型ICカードリーダなどの接触型の通信モジュールでよい。さらに、身分証明書20は、演算ユニット200と電気的に接続された通信インターフェイスを含むことができる。通信インターフェイスは、通信モジュール102と互換性がある通信技術を採用しており、通信モジュール102とデータ通信を行うことができる。
本発明は、近距離通信を採用することで、身分証明書20の演算ユニット200が記憶する埋め込み身元データを取得し、ユーザーが身分証明書20を確かに所有していることを保証し、身分証明書20の盗用を防止することができる。
実施例では、ユーザー側コンピュータ機器10はさらに、処理モジュール100と電気的に接続されたマンマシンインターフェイス105(例えばキーモジュール、タッチ制御モジュールなどの入力モジュール及び/又はディスプレイモジュール、表示灯などの出力モジュール)を含む。マンマシンインターフェイス105は、ユーザーからの操作を受け、且つユーザーに情報を提供するためのものである。
実施例では、ユーザー側コンピュータ機器10はさらに、処理モジュール100と電気的に接続されたストレージモジュール106を含む。ストレージモジュール106は、データを記憶するためのものである。
実施例では、ストレージモジュール106は、非一過性(不揮発性)の記録媒体を含むことができ、非一過性の記録媒体にはコンピュータプログラム1060(アプリケーションなど)が記憶されており、コンピュータプログラム1060には、コンピュータが実行可能なプログラムコードが含まれている。処理モジュール100が上述のコンピュータが実行可能なプログラムコードを実行することにより、さらに本発明の各実施例の方法も実現可能となる。
本発明の第三者認証に用いる身元の登録及びアクセス制御方法は、主に登録工程(即ち後述の登録モード)とアクセス制御工程(即ち後述のアクセス制御モード)を含む。以下、登録工程とアクセス制御工程についてそれぞれ説明する。
続けて図1、図2及び図7を共に参照されたい。図2は本発明の第1実施例における身元登録のフローチャートであり、図7は本発明の実施例における身元登録操作の概念図である。本実施例の登録フローは、以下の工程を含む。
工程S10:ユーザー側コンピュータ機器10がユーザー操作に基づき(又は指定条件が満たされたとき)登録モードに切り替えて、ユーザーの身元登録を開始する。
工程S11:処理モジュール100がユーザーの身分証明書の身元画像を取得する。身元画像は映像キャプチャモジュールにより身分証明書の身元情報ページを撮ることで得たものであり、画像データと、文字データを含む。
実施例では、図7に示す通り、ユーザーが所有する身分証明書70には演算ユニット701(演算ユニット701は上述の演算ユニット200と同じか又は類似のものであり、ここでは説明を省略する)を設けることができ、且つ印刷形式の身元情報ページがある。身元情報ページはユーザーの写真702、ユーザーの身元情報の複数のフィールドデータ703を含むことができる(図7の例では、氏名はAndy Lee、発行地はTaipei Cicy、生年月日は1980年1月1日である)。ユーザーはユーザー側コンピュータ機器10を操作し、映像キャプチャモジュール101を用いて身分証明書70の身元情報ページを撮り、身元画像71を得ることができる。さらに、ユーザー側コンピュータ機器10は、撮った身元画像71をマンマシンインターフェイス105(図7ではディスプレイモジュール40を例としている)を介して即座に表示し、ユーザーが画像品質を確認できるようにする。
実施例では、身分証明書70の身元情報ページに1組の機械可読コード704をさらに記載することができる。機械可読コード704(例えば暗号化された複数のフィールドデータ703を符号化して生成する)は、フィールドデータ703の真実性を検証するための偽造防止メカニズムであり、その具体的な検証方式については後で説明する。
工程S12:処理モジュール100が得られた身元画像に対して光学文字認識処理を実行し、身元画像71中の複数の文字とその配列方式を識別し、さらに識別した複数の文字とその配列方式に対して身元解析処理を実行し、複数の文字とその配列方式の分析を経ることにより身元解析データを得る。即ち、上述の身元解析データは、複数のフィールドデータ703及び/又は機械可読コード704に記録されている。
工程S13:処理モジュール100が通信モジュール102経由で身分証明書から埋め込み身元データを取得する。
実施例では、図7に示す通り、通信モジュール102はNFCモジュールでよく(RFIDモジュールに変更してもよい)、身分証明書70は演算ユニット701と電気的に接続されたNFC通信インターフェイスを含むことができる。ユーザーは通信モジュール102が有効にされた後、身分証明書70を通信モジュール102に近づけて、近距離誘導通信を行うことができる。これによって、処理モジュール100が通信モジュール102及びNFC通信インターフェイスを介して演算ユニット701へ埋め込み身元データを要求することができ(且つ演算ユニット701とNFC通信インターフェイスの作動に必要な電力を提供する)、且つ演算ユニット701が埋め込み身元データをユーザー側コンピュータ機器10に送り返すことができる。
実施例では、通信モジュール102は接触型ICカードリーダでよく、ユーザーは身分証明書20を通信モジュール102に挿入すれば、通信モジュール102を演算ユニット200に接触させることができる。これによって、ユーザー側コンピュータ機器10が演算ユニット200から埋め込み身元データを取得することができる。
工程S14:処理モジュール100が光学認識により得られた身元解析データと電子通信により得られた埋め込み身元データが一致するか否かを照合する(例えば内容が完全一致又は部分一致するかを比較する)。
実施例では、処理モジュール100は身元解析データと埋め込み身元データが完全一致してはじめて両者が一致していると判定するが、これに限定されない。
実施例では、身元解析データと埋め込み身元データに一致がありさえすれば(即ち一部のデータ内容が重複する)、処理モジュール100は両者が一致していると判定することができる。
実施例では、図7に示す通り、処理モジュール100は身元解析データ中の機械可読コード704と埋め込み身元データに記録された機械可読コードが一致するか否かを照合する。
実施例では、処理モジュール100は身元解析データ中の機械可読コード704を複数のフィールドデータに復号し、且つ復号して得られた複数のフィールドデータと埋め込み身元データに記録された複数の埋め込みフィールドデータが一致するか否かを比較する。
処理モジュール100が照合した身元解析データと埋め込み身元データが一致する場合、工程S15を実行する。否ならば、処理モジュール100が工程S17を実行する。
工程S15:処理モジュール100が身元解析データと埋め込み身元データに基づき、ユーザーの身元データを設定する。
具体的には、処理モジュール100は、身元解析データをそのままユーザーの身元データとして設定するか、又は埋め込み身元データをそのままユーザーの身元データとして設定することができる。光学文字認識や身元解析処理にはエラーが発生する可能性があるため、埋め込み身元データをそのままユーザーの身元データとして設定するなら、上述の処理エラーによって誤った身元データが設定されてしまうのを防げる。
工程S16:処理モジュール100が設定されたユーザーの身元データに基づき身元登録を行う。例えばユーザーの身元データをネットワーク30にアップロードするか、又はストレージモジュール106に記憶するが、限定されない。
工程S14中、処理モジュール100が照合した身元解析データと埋め込み身元データが不一致の場合、工程S17を実行し、処理モジュール100がマンマシンインターフェイス105を介してエラーを送り(例えば警告音を発するか又はエラーメッセージを表示する)、ユーザー登録が失敗したことを示す。即ち、身分証明書20の身元情報ページの内容と演算ユニット200のデータが不一致であり、例えば身分証明書20が偽造されたものである可能性、又は光学認識により得られた身元解析データに誤りがある可能性がある。
本発明は、登録用の身分証明書に対して二重検証を行うことで登録ユーザーの真実性を有効に保証し、悪意あるユーザーが偽造証明書を用いて登録又は偽造の身元データを入力するのを防止することができる。
続けて図1及び図3を共に参照されたい。図3は本発明の第2実施例における身元アクセス制御のフローチャートである。具体的には、ユーザーは身元データの登録完了後、クイック認証機能を使用することができる。本実施例のアクセス制御フローは、クイック認証機能を実現するための以下の工程を含む。
工程S20:ユーザー側コンピュータ機器10の処理モジュール100がユーザー操作に基づき(又は指定条件が満たされたとき)アクセス制御モードに切り替えて、ユーザーに身元のクイック認証を開始する。
工程S21:処理モジュール100が、要求側コンピュータ機器32からの身元アクセス要求を受信したか否かを判断する。
具体的には、図1に示す通り、ユーザー側コンピュータ機器10のネットワーク接続モジュール103はネットワーク30経由で要求側コンピュータ機器32(ショッピングサイト又はその他サービスサイトのサーバなど)と接続することができる。ユーザーがサービスを使用するために身元認証(サイトへのログインなど)を行わなければならない場合、要求側コンピュータ機器32は身元アクセス要求を生成してユーザー側コンピュータ機器10へユーザーの身元データを要求し、ユーザーの身元を認証することができる。
処理モジュール100が、要求側コンピュータ機器32からの身元アクセス要求を受信した場合、工程S22を実行する。否ならば、処理モジュール100が工程S21を再び実行する。
工程S22:処理モジュール100が現在のユーザーに対して身元検証を行い、現在のユーザーが登録済みのユーザー本人であるか否かを確認する。
実施例では、上述の身元検証は、バイオメトリクス検証(例えば指紋識別、虹彩識別、静脈識別など)、顔画像検証(即ち現在のユーザーの顔画像と予め保存された登録済みのユーザー顔画像が一致するか否かを照合する)、パスワード検証(例えば現在のユーザーが入力した文字列パスワード又は図形パスワードと事前に設定された文字列パスワード又は図形パスワードが一致するか否かを照合する)、操作検証(指定のキーを押すなど、現在のユーザーが入力した操作行為と事前に設定された操作行為が一致するか否かを照合する)又は質問と回答による検証(例えば事前に設定された問題を表示し、且つ現在のユーザーが回答した応えが正しいか否かを判断する)でよい。
実施例では、上述の身元検証は、ユーザー側コンピュータ機器10のソフトウェアロック(スクリーンロックなど)でよく、例えばユーザー側コンピュータ機器10のスクリーンロックが解除された場合に、現在のユーザーは身元検証をパスしたと判定する。
処理モジュール100が現在のユーザーは身元検証をパスしたと判断した場合、工程S23を実行する。否ならば、処理モジュール100が工程S26を実行する。
工程S23:処理モジュール100が、身元検証をパスしたユーザーが以前に登録した身元データを取得する。
工程S24:処理モジュール100がユーザーの身元データ及び身元アクセス要求に基づき、返送身元データを生成する。
実施例では、身元データは複数のフィールドデータ(例えば写真、氏名、生年月日、住所など)を含む。処理モジュール100は、身元アクセス要求に基づき複数のフィールドデータの一部を選択し、且つ選択したフィールドデータにより返送身元データを生成する。これによって、不必要なフィールドデータを提供したことによりユーザーの他の身元データが流出してしまうのを防ぐことができる。
工程S25:処理モジュール100が生成した返送身元データを要求側コンピュータ機器32に送り返す。次に、要求側コンピュータ機器32は受信した返送身元データに基づきユーザーに対して認証を行い、且つ認証をパスした後、ユーザーにサイトのサービス使用を許可する。
処理モジュール100が、現在のユーザーが身元検証をパスしなかったと判断した場合、工程S26を実行し、処理モジュール100が、マンマシンインターフェイス105を介してエラーを送り、身元検証に失敗したこと、即ち、現在のユーザーが登録済みのユーザーではないことを知らせる。さらに、この状況下では処理モジュール100が登録済みユーザーの返送身元データを要求側コンピュータ機器32へ生成又は送信することがなく、これにより登録済みユーザーの身元データが流出してしまうのを防止する。
図8及び図9を共に参照されたい。図8は本発明の実施例における身元アクセス制御操作の第1概念図であり、図9は本発明の実施例における身元アクセス制御操作の第2概念図である。図8及び図9は、本発明のクイック認証機能の1つの実施方式を例示的に説明するためのものである。
最初に、図8に示す通り、ユーザーが外部コンピュータ機器5(デスクトップパソコンなど)を用いて要求側コンピュータ機器32のサービスを使用したい場合、先に身元認証を行う必要があり、要求側コンピュータ機器32は上述の身元アクセス要求を二次元コード60中(その他の機械可読形式に変更してもよい)に埋め込み、外部コンピュータ機器5へ送って、外部コンピュータ機器5のディスプレイに表示させることができる。
次に、ユーザーはユーザー側コンピュータ機器10の映像キャプチャモジュール101を操作し、二次元コード60を撮って入力コード画像61を得るとともに、入力コード画像61を復号して身元アクセス要求を得ることができる。
次に、図9に示す通り、ユーザー側コンピュータ機器10は身元アクセス要求を解析し、且つ解析して得られた情報62(例えば要求者名称、要求するフィールドデータ、要求者が検証をパスしたか否かなど)をディスプレイモジュール40に表示することができる。
さらに、ユーザー側コンピュータ機器10は同意要求キー63も提供し、ユーザーが身元検証をパスした後にそのまま同意要求キー63を押すことで身元アクセスを許可すると、返送身元データが要求側コンピュータ機器32へ送信される。
最後に、要求側コンピュータ機器32は、返送身元データが認証をパスしたと判断した後、認証結果の情報64(ログイン完了など)を表示し、且つ外部コンピュータ機器5にサービスの使用を許可することができる。これにより、ユーザーは要求側コンピュータ機器32への登録を手動で行わずに身元認証を完了し、サービスを使用することができる。
本発明は、ユーザーが身元検証をパスして初めて身元データを提供することにより、身元アクセス制御の安全性を高めることができる。
さらに本発明は、第三者認証方式によってサイトが必要とする真実のユーザーの身元データを提供することにより、認証フローを大幅に簡略化し、ユーザーにサイトのサービスを素早く使用させ、且つ偽アカウントの登録を防止することができる。
続けて図1及び図4を共に参照されたい。図4は、本発明の第3実施例における身元登録のフローチャートである。本実施例では、ユーザーの本人検証について異なる実施方式を提出する。本実施例の登録フローは、以下の工程を含む。
工程S30:ユーザー側コンピュータ機器10を登録モードに切り替える。
工程S31:処理モジュール100が映像キャプチャモジュール101を介してユーザーの身分証明書の身元画像を取得する。
工程S32:処理モジュール100が身元画像に対して光学文字認識処理及び身元解析処理を実行し、身元解析データを得る。
工程S33:処理モジュール100が通信モジュール102経由で身分証明書から埋め込み身元データを取得する。
実施例では、埋め込み身元データはさらに埋め込み顔画像及び/又は埋め込み生物学的特性を含む。
工程S34:処理モジュール100が映像キャプチャモジュール101を介してユーザーを撮り、ユーザー顔画像を得る。
工程S35:処理モジュール100が生物学的特性キャプチャモジュールを介してユーザーのユーザー生物学的特性をキャプチャする。
具体的には、図1に示す通り、ユーザー側コンピュータ機器10は、処理モジュール100と電気的に接続された生物学的特性キャプチャモジュール104をさらに含む(例えば指紋識別モジュール、虹彩識別モジュール又は静脈識別モジュールなど)。生物学的特性キャプチャモジュール104は、ユーザーの生物学的特性(指紋特徴、虹彩特徴又は静脈特徴など)をキャプチャするのに用いることができる。
工程S36:処理モジュール100が、埋め込み身元データと身元解析データが一致し、且つユーザー本人と一致するか否かを照合する(例えばユーザー顔画像が埋め込み身元データの埋め込み顔画像と一致するか否か、及び/又はユーザー生物学的特性が埋め込み身元データの埋め込み生物学的特性と一致するか否か)。
処理モジュール100が、データが一致すると判断した場合、工程S37を実行する。否ならば、処理モジュール100が工程S39を実行する。
工程S37:処理モジュール100が埋め込み身元データに基づき、ユーザーの身元データを設定する。
工程S38:処理モジュール100が設定したユーザーの身元データに基づき、身元登録を行う。
処理モジュール100が、データが不一致であると判断した場合、工程S39を実行し、処理モジュール100がマンマシンインターフェイス105を介してエラーを送る。
本発明は、ユーザーの顔と生物学的特性を組み合わせて検証を行うことにより、検証の安全性を効果的に高め、且つ現在のユーザーが生体であるか否かを効果的に判断することができる(即ち電子データを用いたなりすまし登録を防止する)。
続けて図1、図2、図5、図10、図11及び図12を共に参照されたい。図5は本発明の第4実施例における身元登録の一部のフローチャートであり、図10は本発明の実施例における身元データ保存の概念図であり、図11は本発明の実施例における身元データ保存の概念図であり、図12は本発明の実施例における身元データ保存の概念図である。図2に示す登録フローと比較すると、本実施例中、登録フローの工程S14には工程S40~S41がさらに含まれ、工程S16には工程S42~S44がさらに含まれる。
具体的には、ユーザー側コンピュータ機器10は、身元解析データを取得(工程S12)し、埋め込み身元データを取得(工程S13)した後、以下の工程を実行することができる。
工程S40:処理モジュール100が身元解析データの複数のフィールド解析データに対して暗号化処理を実行し、暗号文解析データを生成する。
実施例では、上述の暗号化処理はハッシュ(hash)処理などの不可逆な暗号化である。処理モジュール100は、身元解析データに対してハッシュ処理を実行することで1組のハッシュ値(hash value)を得て、暗号文解析データとする。
さらに、処理モジュール100が身元解析データの複数のフィールド解析データそれぞれに対しハッシュ処理を実行して複数組のハッシュ値を得てから、複数組のハッシュ値に基づき暗号文解析データを生成する(例えば複数組のハッシュ値に対してもう一度ハッシュ処理を実行する)。
工程S41:処理モジュール100が暗号文解析データと埋め込み身元データの埋め込み暗号文データが一致するか否かを照合して、身元解析データと埋め込み身元データが一致するか否かを判断する。
実施例では、処理モジュール100は埋め込み身元データに基づき1組の公開鍵を取得し(例えば公開鍵基盤(PKI)により取得する)、且つ公開鍵が暗号文解析データ及び埋め込み暗号文データと一致するか否かを照合して、身分証明書20の真実性を判断することができる。
処理モジュール100とデータの照合が一致する場合には、ユーザー側コンピュータ機器10が埋め込み身元データ(又は身元解析データ)に基づき、ユーザーの身元データを設定する(工程S15)。処理モジュール100とデータの照合が不一致である場合には、工程S17を実行してエラーを送る。
実施例では、処理モジュール100は埋め込み身元データの1つ以上の埋め込みフィールドデータに基づき、ユーザーの身元データの複数のフィールドデータを設定することができる。
設定が完了したら、ユーザー側コンピュータ機器10が次に以下の工程S42~S44のうち少なくとも1つを実行し、ユーザーの身元データの登録を行う。
工程S42:ネットワーク接続モジュール103はネットワーク30経由でクラウドサーバ31又はブロックチェーン33と接続することができ、処理モジュール100はユーザーの身元データを暗号化して身元暗号文データとし、且つ身元暗号文データをブロックチェーン33又はクラウドサーバ31へアップロードすることができる。
工程S43:処理モジュール100がユーザー側コンピュータ機器10のセキュリティモジュール107を介してユーザーの身元データを暗号化して身元暗号文データとし、且つ身元暗号文データをユーザー側コンピュータ機器10のストレージモジュール106に記憶する。
具体的には、図1に示す通り、ユーザー側コンピュータ機器10は、処理モジュール100と電気的に接続されたセキュリティモジュール107(GoogleのTitan Mチップなど)をさらに含む。セキュリティモジュール107は独立に設置され、処理モジュール100の制限を受けることなく独立して作動することができる。
本発明中、セキュリティモジュール107は、ストレージモジュール106に記憶された機密データ(身元データなど)を独立に暗号化して暗号化データ(身元暗号文データなど)を生成するか、又は暗号化済データに対して復号を行い、暗号化されていない機密データに復元するのに用いることができる。処理モジュール100は機密データの暗号化アルゴリズム及び鍵が何かを知り得ず、且つ暗号化データに対して自ら復号を行うことができないため、データの安全性がさらに向上する。
実施例では、ユーザー側コンピュータ機器10はさらに、セキュリティモジュール107と電気的に接続されたセキュリティ入力モジュール108(物理キー又はセンサなど)を含む。セキュリティモジュール107は、セキュリティ入力モジュール108が起動されて初めてデータに対する暗号化又は復号を実行する。セキュリティ入力モジュール108は処理モジュール100と接続されておらず、処理モジュール100がソフトウェア方式でセキュリティ入力モジュール108の起動信号を模倣し、セキュリティモジュール107を欺いて暗号化/復号を実行することはできないため、データの安全性がさらに向上する。
例を挙げると、図12に示す通り、ユーザー側コンピュータ機器10にはセキュリティモジュール82が設けられており、且つセキュリティ入力モジュール820(ここでは物理キー)が設けられている。データの暗号化又は復号(例えば図9に示すディスプレイモジュール40の画面)を実行したい場合、ユーザーは処理モジュール100を介して暗号化又は復号を実行するのではなく、直接セキュリティ入力モジュール820を押してセキュリティモジュール82が暗号化又は復号を実行するよう制御することができる。
工程S44:処理モジュール100が通信モジュール102経由でユーザーの身元データをユーザーの身元登録カード21の演算ユニット210へ送り、ユーザーの身元データを暗号化して演算ユニット210に記憶する。
具体的には、図1に示す通り、身元アクセス制御システム1は、身元登録カード21を含むことができる。身元登録カード21は演算ユニット210を含む。ユーザー側コンピュータ機器10は、取得したユーザーの身元データを通信モジュール102経由で身元登録カード21の身元チップ210に記憶することができる。本発明は、身元データを独立した身元登録カード21に保存することにより、ユーザー側コンピュータ機器10の紛失によってユーザーの身元データが流出してしまうのを防ぐことができる。さらに、身元登録カード21は、演算ユニット210と電気的に接続された通信インターフェイスを含むことができる。通信インターフェイスは、通信モジュール102と互換性がある通信技術を採用しており、通信モジュール102とデータ通信を行うことができる。
実施例では、身元登録カード21はさらに、演算ユニット210と電気的に接続された検証入力モジュール211及びインジケータモジュール212を含むことができる。検証入力モジュール211(例えば指紋識別モジュール、キーモジュール又はその他様々な入力信号を生成可能な入力モジュール)は、ユーザーの検証入力(指紋又はパスワード入力など)を受け取り、演算ユニット210に入力が正しいか否かを検証させる(予め保存された指紋又はパスワードとの一致など)ためのものである。演算ユニット210が検証した入力が正しい場合、身元登録カード21がユーザー側コンピュータ機器10から身元データを受け取って記憶するか、又はユーザーの身元データを読み出してユーザー側コンピュータ機器10に送ることを許可することができる。
例を挙げると、図10に示す通り、身元登録カード80はNFC通信インターフェイスを含む。ユーザーが身元データにアクセスしたい場合、身元登録カード80をユーザー側コンピュータ機器10の通信モジュール102に近づけてNFC接続を構築することができる。
次に、ユーザーは身元登録カード80の入力モジュール801を介してパスワード(指紋又は文字列パスワードなど)を入力することができる。身元登録カード80の演算ユニット800は、検証したパスワードが正しい場合、ユーザー側コンピュータ機器10に身元データの読み出し(アクセス制御モード下において)又は書き込み(登録モード下において)を許可することができる。
別の例では、図11に示す通り、身元登録カード81は脱着式で接続する通信モジュール102である。ユーザーが身元登録カード81を通信モジュール102中に挿入したとき、上述の身元データの読み出し書き込み機能を実現することができる。
これにより、本発明はユーザーの身元データに安全に保存する複数の方式を提供することができ、データセキュリティを高めて、身元データが盗まれないよう防止することができる。
続けて図1及び図6を共に参照されたい。図6は本発明の第5実施例における身元アクセス制御のフローチャートである。本実施例のアクセス制御フローは、クイック認証機能を実現するための以下の工程を含む。
工程S50:ユーザー側コンピュータ機器10の処理モジュール100をアクセス制御モードに切り替える。
工程S51:処理モジュール100が、要求側コンピュータ機器32からの身元アクセス要求を受信したか否かを判断する。
処理モジュール100が、要求側コンピュータ機器32からの身元アクセス要求を受信した場合、工程S52を実行する。否ならば、処理モジュール100が工程S51を再び実行する。
工程S52:処理モジュール100が身元アクセス要求を解析して身元アクセス要求の要求側デジタル署名を取り出し、且つ要求側デジタル署名に対して要求側検証を行う。即ち、要求側デジタル署名が合法的認証を経ているか否か又は有効であるか否かを検証する。
処理モジュール100が身元アクセス要求の要求側デジタル署名は検証をパスしたと判断した場合、工程S53を実行する。否ならば、処理モジュール100が工程S58を実行する。
工程S53:処理モジュール100が現在のユーザーに対して身元検証を行う。
処理モジュール100が現在のユーザーは身元検証をパスしたと判断した場合、工程S54を実行する。否ならば、処理モジュール100が工程S58を実行する。
工程S54:処理モジュール100がユーザーに対応する身元暗号文データを取得し、且つ身元暗号文データを復号して平文の身元データを得る。
実施例では、図1に示す通り、処理モジュール100がブロックチェーン33又はクラウドサーバ31からユーザーに対応する身元暗号文データを取得し、且つ復号鍵を用いて身元暗号文データを復号し、平文の身元データを得る。
実施例では、図1、12に示す通り、処理モジュール100がユーザー側コンピュータ機器10のストレージモジュール106からユーザーに対応する身元暗号文データを読み出し、且つ(セキュリティ入力モジュール108(又はセキュリティ入力モジュール820)が起動されたとき)ユーザー側コンピュータ機器10のセキュリティモジュール107(又はセキュリティモジュール82)を介して身元暗号文データを復号し、平文の身元データを得る。
実施例では、図1、10、11に示す通り、処理モジュール100が通信モジュール102経由で身元登録カード21(又は身元登録カード80、81)と接続し、身元登録カード21の演算ユニット210(又は身元登録カード80の演算ユニット800)が、現在のユーザーが身元検証をパスしたと判断した場合、記憶された身元暗号文データを復号して平文の身元データを得るとともに、通信モジュール102経由で平文の身元データをユーザー側コンピュータ機器10へ送る。
工程S55:処理モジュール100が身元アクセス要求に基づき、ユーザーの身元データの複数のフィールドデータの一部を選択する。
ステップS56:処理モジュール100が選択した一部フィールドデータに基づき返送身元データを生成する。
工程S57:処理モジュール100が生成した返送身元データを要求側コンピュータ機器32に送り返す。
実施例では、選択した複数のフィールドデータの一部は、平文方式又は可逆暗号化方式により返送身元データに記録される。
処理モジュール100が、要求側デジタル署名が検証をパスしなかった、又はユーザーが身元検証をパスしなかったと判断した場合、工程S58を実行し、処理モジュール100が、マンマシンインターフェイス105を介してエラーを送り、要求側検証に失敗したこと又は身元検証に失敗したことを知らせる。
これによって、本発明は要求側の真実性を保証し、且つ身元データが盗まれるリスクを低減することができる。
上述は本発明の好ましい具体的な実施例に過ぎず、本発明の特許請求の範囲を限定するものではなく、本発明の内容を応用した同等の効果が得られる改変は、いずれも同じ原理として本発明の範囲内に包含されることを理解されたい。
1 身元アクセス制御システム、10 ユーザー側コンピュータ機器、100 処理モジュール、101 映像キャプチャモジュール、102 通信モジュール、103 ネットワーク接続モジュール、104 生物学的特性キャプチャモジュール、105 マンマシンインターフェイス、106 ストレージモジュール、1060 コンピュータプログラム、107 セキュリティモジュール、108 セキュリティ入力モジュール、20 身分証明書、200 演算ユニット、21 身元登録カード、210 演算ユニット、211 検証入力モジュール、212 インジケータモジュール、30 ネットワーク、31 クラウドサーバ、32 要求側コンピュータ機器、33 ブロックチェーン、40 ディスプレイモジュール、5 外部コンピュータ機器、60~61 画像、62,64 情報、63 同意要求キー、70 身分証明書、701 演算ユニット、702 写真、703 フィールドデータ、704 機械可読コード、71 画像、80 身元登録カード、800 演算ユニット、801 入力モジュール、81 身元登録カード、82 セキュリティモジュール、820 セキュリティ入力モジュール、S10~S17 第1登録工程、S20~S26 第1アクセス制御工程、S30~S39 第2登録工程、S40~S41 データ照合工程、S42~S44 登録工程、S50~S58 第2アクセス制御工程

Claims (16)

  1. 登録モード下において、ユーザー側コンピュータ機器が、
    (a)ユーザーの身分証明書の身元画像を取得し、そのうち、前記身元画像は映像キャプチャモジュールにより前記身分証明書の身元情報ページを撮ることで得る;
    (b)前記身元画像に対して光学文字認識処理及び身元解析処理を実行し、身元解析データを得る;
    (c)前記ユーザー側コンピュータ機器の通信モジュール経由で前記身分証明書から埋め込み身元データを取得する;
    (d)前記身元解析データと前記埋め込み身元データとを照合して少なくとも一部が一致する場合、前記身元解析データと前記埋め込み身元データのうち少なくとも1つに基づき、前記ユーザーの身元データを設定し、登録を行う;
    という工程と、
    アクセス制御モード下において、前記ユーザー側コンピュータ機器が、
    (e)要求側コンピュータ機器から身元アクセス要求を受信したとき、現在の前記ユーザーに対して身元検証を行う;
    (f)現在の前記ユーザーが前記身元検証をパスした場合、前記ユーザーの前記身元データ及び前記身元アクセス要求に基づき身元返送データを生成して、前記要求側コンピュータ機器へ送り返す;
    という工程を含み、
    前記ユーザー側コンピュータ機器は、前記ユーザーが持ち運べる携帯型機器である、
    第三者認証に用いる身元の登録及びアクセス制御方法。
  2. 前記通信モジュールはNFCモジュール又はBluetoothモジュールであり、前記工程(c)は、前記通信モジュールが前記身分証明書の演算ユニットを検知したとき、前記演算ユニットから前記埋め込み身元データを受信するものである、請求項1に記載の第三者認証に用いる身元の登録及びアクセス制御方法。
  3. 前記通信モジュールはICカードリーダライタモジュールであり、前記工程(c)は、前記通信モジュールが前記身分証明書の演算ユニットに接触したとき、前記演算ユニットから前記埋め込み身元データを受信するものである、請求項1に記載の第三者認証に用いる身元の登録及びアクセス制御方法。
  4. 前記身元解析データは複数のフィールド解析データを含み、
    前記工程(d)は、
    (d1)前記身元解析データの前記複数のフィールドデータに対して暗号化処理を実行し、暗号文解析データを生成する;
    (d2)前記暗号文解析データと前記埋め込み身元データの埋め込み暗号文データの照合が一致した場合、前記身元解析データと前記埋め込み身元データが一致すると判定する;という工程を含む、請求項1に記載の第三者認証に用いる身元の登録及びアクセス制御方法。
  5. 前記埋め込み身元データは複数の埋め込みフィールドデータを含み、前記工程(d)は、
    (d3)前記埋め込みフィールドデータに基づき、前記ユーザーの前記身元データの複数のフィールドデータを設定する;
    (d4)前記ユーザーの前記身元データに対して登録を行う;という工程をさらに含む、請求項4に記載の第三者認証に用いる身元の登録及びアクセス制御方法。
  6. 前記工程(d4)は、前記ユーザーの前記身元データを暗号化して身元暗号文データとし、且つ前記身元暗号文データをブロックチェーン又はクラウドサーバへアップロードすることを含む、請求項5に記載の第三者認証に用いる身元の登録及びアクセス制御方法。
  7. 前記工程(d4)は、前記ユーザー側コンピュータ機器のセキュリティモジュールを介して前記ユーザーの前記身元データを暗号化して身元暗号文データとし、且つ前記身元暗号文データを前記ユーザー側コンピュータ機器に記憶することを含む、請求項5に記載の第三者認証に用いる身元の登録及びアクセス制御方法。
  8. 前記工程(d4)は、前記通信モジュール経由で前記ユーザーの前記身元データを前記ユーザーの身元登録カードの演算ユニットへ送り、前記ユーザーの前記身元データを暗号化して前記身元登録カードの前記演算ユニットに記憶することを含む、請求項5に記載の第三者認証に用いる身元の登録及びアクセス制御方法。
  9. 前記身元検証は、バイオメトリクス検証、顔画像検証、パスワード検証、操作検証又は質問と回答による検証である、請求項1に記載の第三者認証に用いる身元の登録及びアクセス制御方法。
  10. 前記工程(f)は、
    (f1)現在の前記ユーザーが前記身元検証をパスしたとき、前記ユーザーに対応する身元暗号文データを取得し、且つ前記身元暗号文データを復号して平文の前記身元データを得る;
    (f2)前記身元アクセス要求に基づき、前記ユーザーの前記身元データの複数のフィールドデータの一部を選択する;
    (f3)選択した前記複数のフィールドデータの一部に基づいて前記身元返送データを生成し、且つ前記要求側コンピュータ機器へ送り返し、そのうち、選択した前記複数のフィールドデータの一部は、平文方式又は可逆暗号化方式により前記身元返送データに記録される;という工程を含む、請求項1に記載の第三者認証に用いる身元の登録及びアクセス制御方法。
  11. 前記工程(f1)は、ブロックチェーン又はクラウドサーバから前記ユーザーに対応する前記身元暗号文データを取得し、且つ復号鍵を用いて前記身元暗号文データを復号し、平文の前記身元データを得ることを含む、請求項10に記載の第三者認証に用いる身元の登録及びアクセス制御方法。
  12. 前記工程(f1)は、前記ユーザー側コンピュータ機器から前記ユーザーに対応する前記身元暗号文データを読み出し、且つ前記ユーザー側コンピュータ機器のセキュリティモジュールを介して前記身元暗号文データを復号し、平文の前記身元データを得ることを含む、請求項10に記載の第三者認証に用いる身元の登録及びアクセス制御方法。
  13. 前記工程(f1)は、身元登録カードの演算ユニットが、現在の前記ユーザーが身元検証をパスしたと判断した場合、記憶された前記身元暗号文データを復号して平文の前記身元データを得るとともに、前記通信モジュール経由で平文の前記身元データを前記ユーザー側コンピュータ機器へ送ることを含む、請求項10に記載の第三者認証に用いる身元の登録及びアクセス制御方法。
  14. 前記工程(d)の前に、工程(g)において、登録モード下で前記ユーザー側コンピュータ機器が前記映像キャプチャモジュールを介して前記ユーザーを撮り、ユーザー顔画像を得ることをさらに含み、
    前記工程(d)は、前記身元解析データと前記埋め込み身元データが一致し、且つ前記ユーザー顔画像が前記埋め込み身元データの埋め込み顔画像と一致する場合、前記ユーザーの前記身元データを設定し、登録を行うものである、請求項1に記載の第三者認証に用いる身元の登録及びアクセス制御方法。
  15. 前記工程(d)の前に、工程(h)において、登録モード下で前記ユーザー側コンピュータ機器が生物学的特性キャプチャモジュールを介して前記ユーザーのユーザー生物学的特性をキャプチャすることをさらに含み、
    前記工程(d)は、前記身元解析データと前記埋め込み身元データが一致し、且つ前記ユーザー生物学的特性が前記埋め込み身元データの埋め込み生物学的特性と一致する場合、前記ユーザーの前記身元データを設定し、登録を行うものである、請求項1に記載の第三者認証に用いる身元の登録及びアクセス制御方法。
  16. 前記工程(f)の前に、工程(i)において、前記アクセス制御モード下で前記ユーザー側コンピュータ機器が前記要求側コンピュータ機器から前記身元アクセス要求を受信したとき、前記身元アクセス要求の要求側デジタル署名に対して要求側検証を行うことをさらに含み、
    前記工程(f)は、現在の前記ユーザーが前記身元検証をパスし、且つ前記身元アクセス要求が前記要求側検証をパスした場合、前記身元返送データを生成して、前記要求側コンピュータ機器へ送り返すものである、請求項1に記載の第三者認証に用いる身元の登録及びアクセス制御方法。
JP2020096290A 2019-06-03 2020-06-02 第三者認証に用いる身元の登録及びアクセス制御方法 Active JP7023011B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
TW108119234A TWI725443B (zh) 2019-06-03 2019-06-03 用於第三方認證的身分的註冊與存取控制方法
TW108119234 2019-06-03

Publications (2)

Publication Number Publication Date
JP2020198100A JP2020198100A (ja) 2020-12-10
JP7023011B2 true JP7023011B2 (ja) 2022-02-21

Family

ID=70977374

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020096290A Active JP7023011B2 (ja) 2019-06-03 2020-06-02 第三者認証に用いる身元の登録及びアクセス制御方法

Country Status (5)

Country Link
US (1) US11240029B2 (ja)
EP (1) EP3748522A1 (ja)
JP (1) JP7023011B2 (ja)
KR (1) KR102375287B1 (ja)
TW (1) TWI725443B (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021243592A1 (zh) * 2020-06-03 2021-12-09 铨鸿资讯有限公司 用于第三方认证的身分的注册与接入控制方法
TWI779823B (zh) * 2021-09-10 2022-10-01 中國信託商業銀行股份有限公司 快速防偽功能的身分驗證方法與身分驗證設備

Citations (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002132730A (ja) 2000-10-20 2002-05-10 Hitachi Ltd 個人情報の信頼度および開示度による認証またはアクセス管理システム、および管理方法
JP2002149814A (ja) 2000-11-10 2002-05-24 Digicom Inc 個人情報管理システム
JP2004355120A (ja) 2003-05-27 2004-12-16 Toshiba Corp Idカード処理装置、およびidカード処理システム
JP2006244112A (ja) 2005-03-03 2006-09-14 Konica Minolta Photo Imaging Inc 書類作成システム
JP2007034798A (ja) 2005-07-28 2007-02-08 Tokai Univ レスキュー情報システム、レスキュー情報通信端末、レスキュー情報サーバ、レスキュー情報通信方法およびレスキュー情報サーバ上の通信方法
JP2007073040A (ja) 2005-08-09 2007-03-22 Tama Tlo Kk 情報管理方法及び情報管理システム
JP2008033805A (ja) 2006-07-31 2008-02-14 Nec Corp 個人情報保護システム、個人情報保護方法、及び個人情報保護プログラム
JP2009282811A (ja) 2008-05-23 2009-12-03 Kyocera Mita Corp 個人情報登録装置及びその方法並びに画像形成装置
JP2010039872A (ja) 2008-08-06 2010-02-18 Ricoh Co Ltd 情報記録媒体
JP2011039999A (ja) 2009-08-18 2011-02-24 Ntt Data Corp 個人情報出力装置、個人情報読出システム、個人情報出力方法および個人情報出力プログラム
JP2012208855A (ja) 2011-03-30 2012-10-25 Nomura Research Institute Ltd 身元確認システムおよび身元確認方法
JP2014512579A (ja) 2011-02-04 2014-05-22 ワースホワイル プロダクツ 個人情報盗難防止及び情報セキュリティシステムプロセス
US20150081538A1 (en) 2013-09-13 2015-03-19 Toro Development Limited Systems and methods for providing secure digital identification
JP2018173692A (ja) 2017-03-31 2018-11-08 Necソリューションイノベータ株式会社 物品情報管理装置、システム、方法およびプログラム
JP2020526848A (ja) 2017-07-14 2020-08-31 ノートンライフロック インコーポレイテッド ネットワークを介したユーザ主導の身元検証

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10255005A (ja) * 1997-03-13 1998-09-25 Kyushu Nippon Denki Software Kk 利用者認証方式
EP1515268A3 (en) * 2001-03-01 2007-12-12 NTT Data Technology Corporation Method and system for individual authentication and digital signature utilizing article having DNA based ID information mark
MXPA05003984A (es) * 2002-10-15 2005-06-22 Digimarc Corp Documento de identificacion y metodos relacionados.
KR100455311B1 (ko) * 2003-02-17 2004-11-06 염용섭 신분증 위변조 검증 방법
JP2005001267A (ja) * 2003-06-12 2005-01-06 Konica Minolta Photo Imaging Inc Idカード、idカード検査装置及びidカード発行装置
KR20040052963A (ko) * 2004-05-21 2004-06-23 현대정보기술주식회사 신분증을 이용한 고객정보 통합관리 방법
US8639629B1 (en) * 2005-02-02 2014-01-28 Nexus Payments, LLC System and method for accessing an online user account registry via a thin-client unique user code
US8768838B1 (en) * 2005-02-02 2014-07-01 Nexus Payments, LLC Financial transactions using a rule-module nexus and a user account registry
US20070260886A1 (en) * 2006-05-02 2007-11-08 Labcal Technologies Inc. Biometric authentication device having machine-readable-zone (MRZ) reading functionality and method for implementing same
US9141779B2 (en) * 2011-05-19 2015-09-22 Microsoft Technology Licensing, Llc Usable security of online password management with sensor-based authentication
US9087204B2 (en) * 2012-04-10 2015-07-21 Sita Information Networking Computing Ireland Limited Airport security check system and method therefor
CN109086581B (zh) * 2013-03-15 2021-11-05 美国邮政管理局 身份验证系统和方法
GB2500823B (en) * 2013-03-28 2014-02-26 Paycasso Verify Ltd Method, system and computer program for comparing images
US10110385B1 (en) * 2014-12-22 2018-10-23 Amazon Technologies, Inc. Duress signatures
US9858408B2 (en) * 2015-02-13 2018-01-02 Yoti Holding Limited Digital identity system
US10853592B2 (en) * 2015-02-13 2020-12-01 Yoti Holding Limited Digital identity system
US11139976B2 (en) * 2016-02-15 2021-10-05 Sal Khan System and method, which using blockchain and mobile devices, provides the validated and authenticated identity of an individual to a valid and authenticated requestor
US10484178B2 (en) * 2016-10-26 2019-11-19 Black Gold Coin, Inc. Systems and methods for providing a universal decentralized solution for verification of users with cross-verification features
KR101944965B1 (ko) * 2017-01-24 2019-02-07 주식회사 에스씨테크원 얼굴인식 및 생체인증 보안카드를 이용한 사용자 인증 시스템 및 방법
US10498541B2 (en) * 2017-02-06 2019-12-03 ShocCard, Inc. Electronic identification verification methods and systems
EP3665862A1 (en) * 2017-08-10 2020-06-17 Visa International Service Association Use of biometrics and privacy preserving methods to authenticate account holders online
US11206133B2 (en) * 2017-12-08 2021-12-21 Ping Identity Corporation Methods and systems for recovering data using dynamic passwords
US10713290B2 (en) * 2017-12-08 2020-07-14 American Express Travel Related Services Company, Inc. Rapid account registration with autofill and facial recognition
US10270771B1 (en) * 2018-06-27 2019-04-23 Gregory Tamanini Mid-session live user authentication
US10452897B1 (en) * 2018-08-06 2019-10-22 Capital One Services, Llc System for verifying the identity of a user
JP7165746B2 (ja) * 2018-08-13 2022-11-04 ベイジン・センスタイム・テクノロジー・デベロップメント・カンパニー・リミテッド Id認証方法および装置、電子機器並びに記憶媒体
US10979227B2 (en) * 2018-10-17 2021-04-13 Ping Identity Corporation Blockchain ID connect
US10325084B1 (en) * 2018-12-11 2019-06-18 block.one Systems and methods for creating a secure digital identity
CN109639728A (zh) * 2019-01-16 2019-04-16 深圳市识指生物网络技术有限公司 用户通过生物识别方式登录不同网络平台的方法及其系统
JP2022529694A (ja) * 2019-04-25 2022-06-23 シャッツル、エルエルシー 信用顧客アイデンティティ・システム及び方法

Patent Citations (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002132730A (ja) 2000-10-20 2002-05-10 Hitachi Ltd 個人情報の信頼度および開示度による認証またはアクセス管理システム、および管理方法
JP2002149814A (ja) 2000-11-10 2002-05-24 Digicom Inc 個人情報管理システム
JP2004355120A (ja) 2003-05-27 2004-12-16 Toshiba Corp Idカード処理装置、およびidカード処理システム
JP2006244112A (ja) 2005-03-03 2006-09-14 Konica Minolta Photo Imaging Inc 書類作成システム
JP2007034798A (ja) 2005-07-28 2007-02-08 Tokai Univ レスキュー情報システム、レスキュー情報通信端末、レスキュー情報サーバ、レスキュー情報通信方法およびレスキュー情報サーバ上の通信方法
JP2007073040A (ja) 2005-08-09 2007-03-22 Tama Tlo Kk 情報管理方法及び情報管理システム
JP2008033805A (ja) 2006-07-31 2008-02-14 Nec Corp 個人情報保護システム、個人情報保護方法、及び個人情報保護プログラム
JP2009282811A (ja) 2008-05-23 2009-12-03 Kyocera Mita Corp 個人情報登録装置及びその方法並びに画像形成装置
JP2010039872A (ja) 2008-08-06 2010-02-18 Ricoh Co Ltd 情報記録媒体
JP2011039999A (ja) 2009-08-18 2011-02-24 Ntt Data Corp 個人情報出力装置、個人情報読出システム、個人情報出力方法および個人情報出力プログラム
JP2014512579A (ja) 2011-02-04 2014-05-22 ワースホワイル プロダクツ 個人情報盗難防止及び情報セキュリティシステムプロセス
JP2012208855A (ja) 2011-03-30 2012-10-25 Nomura Research Institute Ltd 身元確認システムおよび身元確認方法
US20150081538A1 (en) 2013-09-13 2015-03-19 Toro Development Limited Systems and methods for providing secure digital identification
JP2018173692A (ja) 2017-03-31 2018-11-08 Necソリューションイノベータ株式会社 物品情報管理装置、システム、方法およびプログラム
JP2020526848A (ja) 2017-07-14 2020-08-31 ノートンライフロック インコーポレイテッド ネットワークを介したユーザ主導の身元検証

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
今 直之,金融分野における新たな連携ビジネスの創出を支援するNTTデータ第四金融事業本部,BUSINESS COMMUNICATION 第55巻 第11号,日本,株式会社ビジネスコミュニケーション社,2018年11月01日,第55巻,pp.59-61

Also Published As

Publication number Publication date
US20200382300A1 (en) 2020-12-03
TWI725443B (zh) 2021-04-21
KR102375287B1 (ko) 2022-03-15
US11240029B2 (en) 2022-02-01
TW202046146A (zh) 2020-12-16
EP3748522A1 (en) 2020-12-09
JP2020198100A (ja) 2020-12-10
KR20200139641A (ko) 2020-12-14

Similar Documents

Publication Publication Date Title
US11489673B2 (en) System and method for device registration and authentication
EP2648163B1 (en) A personalized biometric identification and non-repudiation system
AU2017221747B2 (en) Method, system, device and software programme product for the remote authorization of a user of digital services
JPWO2007094165A1 (ja) 本人確認システムおよびプログラム、並びに、本人確認方法
JP2018521559A (ja) 認証方法及び認証システム
JP7023011B2 (ja) 第三者認証に用いる身元の登録及びアクセス制御方法
US10938808B2 (en) Account access
KR102068041B1 (ko) 유저 바이오 데이터를 이용한 유저 인증 및 서명 장치와 방법
KR101933090B1 (ko) 전자 서명 제공 방법 및 그 서버
US11496469B2 (en) Apparatus and method for registering biometric information, apparatus and method for biometric authentication
WO2021243592A1 (zh) 用于第三方认证的身分的注册与接入控制方法
KR20110005612A (ko) 생체 인식을 이용한 오티피 운영 방법 및 시스템과 이를 위한 오티피 장치 및 기록매체
TW202134911A (zh) 身分認證方法
US11941100B2 (en) Selective access and verification of user information
JP2023179334A (ja) 認証方法、認証システム、携帯情報機器、認証装置

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200901

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200901

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210830

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210907

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211207

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220118

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220201

R150 Certificate of patent or registration of utility model

Ref document number: 7023011

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350