TW202139036A - Authentication system, user terminal, authentication method, and program - Google Patents
Authentication system, user terminal, authentication method, and program Download PDFInfo
- Publication number
- TW202139036A TW202139036A TW110110322A TW110110322A TW202139036A TW 202139036 A TW202139036 A TW 202139036A TW 110110322 A TW110110322 A TW 110110322A TW 110110322 A TW110110322 A TW 110110322A TW 202139036 A TW202139036 A TW 202139036A
- Authority
- TW
- Taiwan
- Prior art keywords
- information
- authentication
- user
- previous
- note
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
Abstract
Description
本揭露係有關於認證系統、認證方法、及程式產品。This disclosure is about authentication systems, authentication methods, and program products.
先前,用來提高安全性所需之認證技術,已為人知。例如,專利文獻1中係記載,將使用者的指紋圖案之第1部分與使用者ID建立關連而登錄至使用者終端,將指紋圖案之第2部分與使用者ID建立關連而登錄至伺服器的系統。一旦使用者把手指放在使用者終端的指紋感測器上,則指紋感測器所偵測到的指紋圖案,會連同使用者終端中所被登錄之第1部分與使用者ID,一起被發送至伺服器。伺服器係將所接收到的第1部分、和與所接收到之使用者ID建立關連而被登錄在自身中的第2部分,予以結合。伺服器係將結合後的指紋圖案、與所接收到的指紋圖案進行比較,以進行認證。
[先前技術文獻]
[專利文獻]Previously, the authentication technology required to improve security has been known. For example,
[專利文獻1]日本特開2002-312317號公報[Patent Document 1] JP 2002-312317 A
[發明所欲解決之課題][The problem to be solved by the invention]
在專利文獻1的技術中,由於在使用者終端中係被登錄有使用者ID,因此使用者ID會有洩漏的風險。為了避免使用者ID的洩漏風險,例如考慮生成隨機的數值並登錄至使用者終端,取代使用者ID來做利用。然而,對於第2部分為彼此類似的複數個使用者,若賦予相同的數值則會變成有冒充的可能,安全性並不足夠。In the technique of
本揭露目的在於提高安全性。 [用以解決課題之手段]The purpose of this disclosure is to improve security. [Means to solve the problem]
本揭露之一態樣所述之認證系統,係含有:第1登錄手段,係用以將第1資訊之第1部分,登錄至第1裝置;和第2登錄手段,係用以將前記第1資訊之第2部分,與第2資訊建立關連而登錄至第2裝置;和認證手段,係用以基於前記第1部分、前記第2部分、及前記第2資訊,而進行認證;和限制手段,係用以限制彼此相同或類似的複數個前記第2部分之每一者,被與彼此相同或類似的前記第2資訊建立關連。The authentication system described in one aspect of this disclosure includes: a first registration means, which is used to register the first part of the first information to the first device; and a second registration means, which is used to register the first part of the 1 The second part of the information is connected to the second information and registered to the second device; and the authentication means is used to authenticate based on the first part of the preceding note, the second part of the preceding note, and the second information of the preceding note; and restrictions The method is used to restrict each of the plurality of the second part of the preceding note that are the same or similar to each other, being connected with the second information of the preceding note that are the same or similar to each other.
本揭露之一態樣所述之使用者終端,係含有:第1取得手段,係用以取得第1資訊之第1部分;和第2取得手段,係用以從前記第1資訊之第2部分所被登錄的伺服器,且為限制彼此相同或類似的複數個前記第2部分之每一者被與彼此相同或類似的第2資訊建立關連的伺服器,取得前記第2資訊;和記憶手段,係用以記憶前記第1部分和前記第2資訊;和送訊手段,係用以在認證被進行時,對外部裝置,發送前記第1部分和前記第2資訊。The user terminal described in one aspect of this disclosure contains: the first obtaining means is used to obtain the first part of the first information; and the second obtaining means is used to obtain the second part of the first information from the previous section. Part of the registered server, and in order to restrict each of the same or similar plural of the second part of the preceding note, each of which is connected with the same or similar second information of each other, obtain the second information of the preceding note; and memory The means are used to memorize the first part of the preface and the second information of the preface; and the means of sending are used to send the first part of the preface and the second information of the preface to the external device when the authentication is performed.
本揭露之一態樣所述之認證方法,係含有:第1登錄步驟,係用以將第1資訊之第1部分,登錄至第1裝置;和第2登錄步驟,係用以將前記第1資訊之第2部分,與第2資訊建立關連而登錄至第2裝置;和認證步驟,係用以基於前記第1部分、前記第2部分、及前記第2資訊,而進行認證;和限制步驟,係用以限制彼此相同或類似的複數個前記第2部分之每一者,被與彼此相同或類似的前記第2資訊建立關連。The authentication method described in one aspect of this disclosure includes: the first registration step is used to register the first part of the first information to the first device; and the second registration step is used to register the first part of the previous record. 1 The second part of the information is connected to the second information and registered to the second device; and the authentication step is used to authenticate based on the first part of the previous note, the second part of the previous note, and the second information of the previous note; and restrictions The step is to restrict each of the plurality of the second part of the preceding note that are the same or similar to each other to be connected with the second part of the preceding note that are the same or similar to each other.
本揭露之一態樣所述之程式產品,係使電腦發揮功能而成為:第1登錄手段,係用以將第1資訊之第1部分,登錄至第1裝置;第2登錄手段,係用以將前記第1資訊之第2部分,與第2資訊建立關連而登錄至第2裝置;認證手段,係用以基於前記第1部分、前記第2部分、及前記第2資訊,而進行認證;限制手段,係用以限制彼此相同或類似的複數個前記第2部分之每一者,被與彼此相同或類似的前記第2資訊建立關連。The program product described in one aspect of this disclosure enables the computer to function as: the first registration means is used to register the first part of the first information to the first device; the second registration means is used To establish a connection between the second part of the first information and the second information and log in to the second device; the authentication method is used to authenticate based on the first part, the second part, and the second information ; Restriction means are used to restrict each of the same or similar plural of the second part of the preceding note to be connected with the same or similar information of the second part of the preceding note.
若依據本揭露之一態樣,則前記限制手段,係許可彼此不同或不類似的複數個前記第2部分之每一者,被與彼此相同或類似的前記第2資訊建立關連。According to one aspect of the present disclosure, the aforementioned restriction means allows each of the plurality of aforementioned Part 2 that are different or dissimilar to each other to be connected with the same or similar aforementioned Part 2 information.
若依據本揭露之一態樣,則前記認證系統係還含有:受理手段,係用以受理所定之登錄申請;前記限制手段,係限制做了前記登錄申請之使用者之前記第2部分,被與和前記第2部分為相同或類似之其他使用者相同或類似的前記第2資訊建立關連。According to one aspect of this disclosure, the pre-recorded authentication system also contains: acceptance means, which are used to accept the registration application; pre-restricted means, restrict users who have made the pre-recorded registration application. Establish a connection with the second information of the previous note that is the same or similar to other users who are the same or similar to the second part of the previous note.
若依據本揭露之一態樣,則前記限制手段,係檢索未被與前記其他使用者之前記第2部分建立關連的第2資訊;前記第2登錄手段,係對做了前記登錄申請之使用者之前記第2部分,將已被檢索到的前記第2資訊建立關連而登錄。According to one aspect of this disclosure, the prescriptive restriction method is to retrieve the second information that has not been linked to the previous section 2 of other users; the preamble second registration method is the use of the prescriptive registration application The second part of the previous record will be linked and registered with the previous second information that has been retrieved.
若依據本揭露之一態樣,則前記認證系統係還含有:生成手段,係用以生成做了前記登錄申請之使用者的前記第2資訊之候補;前記限制手段,係在前記候補、和前記其他使用者的前記第2資訊為相同或類似的情況下,則前記候補係不被視為做了前記登錄申請之使用者的前記第2資訊;在前記候補、和前記其他使用者的前記第2資訊為不同或不類似的情況下,則將前記候補視為做了前記登錄申請之使用者的前記第2資訊。According to one aspect of this disclosure, the prescript authentication system also contains: generation means, which is used to generate candidates for the prescript second information of the user who has made the prescript registration application; the prescriptive restriction means are the prescript candidates, and If the previous second information of other users is the same or similar, the previous candidate will not be regarded as the previous second information of the user who made the previous registration application; the previous candidate and the previous second information of other users If the second information is different or dissimilar, the previous candidate will be regarded as the previous second information of the user who made the previous registration application.
若依據本揭露之一態樣,則前記第1裝置係為使用者終端;前記第2裝置係為伺服器;前記認證手段,係基於所被輸入之前記第1資訊及前記第2資訊、和前記使用者終端之前記第1部分、和前記伺服器之前記第2部分及前記第2資訊,而進行前記認證。According to one aspect of this disclosure, the first device mentioned above is the user terminal; the second device mentioned above is the server; the authentication method mentioned above is based on the inputted first information and second information, and The pre-recorded user terminal pre-recorded
若依據本揭露之一態樣,則前記第1登錄手段,係在前記使用者終端中,登錄前記第1部分與前記第2資訊;所被輸入之前記第2資訊,係為前記使用者終端中所被登錄之前記第2資訊。According to one aspect of this disclosure, the first log-in means of the previous note is in the previous user terminal, and the first part of the previous log and the second information of the previous note are registered; the second information entered is the previous user terminal. Record the second information before being registered in the center.
若依據本揭露之一態樣,則前記使用者終端,係利用近距離無線通訊,而向用來取得所被輸入之前記第1資訊所需之認證裝置,發送前記第1部分;前記認證裝置,係對前記認證手段,發送從前記使用者終端所接收到的前記第1部分。According to one aspect of this disclosure, the aforementioned user terminal uses short-distance wireless communication to send the
若依據本揭露之一態樣,則前記近距離無線通訊,係為可利用廣播封包(Advertising Packet)的通訊規格;前記使用者終端,係利用前記廣播封包(Advertising Packet),來對前記認證裝置發送前記第1部分。According to one aspect of this disclosure, the prefaced short-range wireless communication is a communication specification that can use advertising packets; the prefaced user terminal uses the prefaced advertising packets to authenticate the
若依據本揭露之一態樣,則前記認證手段,係將前記第1裝置中所被登錄之前記第1部分、和前記第2裝置中所被登錄之前記第2部分加以結合而取得前記第1資訊;基於所被輸入之前記第1資訊與所被結合之前記第1資訊的類似性,和所被輸入之前記第2資訊與前記第2裝置之前記第2資訊的同一性,而進行前記認證;前記限制手段,係限制彼此類似的前記第2部分之每一者,被與彼此相同的前記第2資訊建立關連。According to one aspect of this disclosure, the aforementioned authentication means is to combine the first part registered in the first device of the preceding note and the second part registered in the second device of the preceding note to obtain the first part of the preceding note. 1 Information; based on the similarity between the first information entered before the input and the first information before the combination, and the identity of the second information before the input and the second information before the second device. Foreword authentication; the foreword restriction means is to restrict each of the similar to each other in the second part of the foreword to be connected with each other's same foreword to the second information.
若依據本揭露之一態樣,則前記第2裝置中所被記憶之複數個資料庫之每一者中,被登錄有複數個使用者之每一者之前記第2部分;前記第2資訊係為前記資料庫的識別資訊;前記認證手段,係基於藉由所被輸入之前記第2資訊而被識別的前記資料庫中所被登錄之前記第2部分,而取得所被結合之前記第1資訊。According to one aspect of this disclosure, each of the plurality of databases memorized in the second device in the preceding note is registered with a plurality of users before the second part; the second information in the preceding note It is the identification information of the pre-recorded database; the pre-recorded authentication method is based on the registered pre-recorded part 2 in the pre-recorded database that is recognized by the input of the pre-recorded second information, and obtains the combined previous record. 1 Information.
若依據本揭露之一態樣,則前記第1資訊係為生物資訊;前記第2資訊係為,用來檢索前記第2裝置中所被登錄之前記第2部分所需之檢索資訊;前記認證係為,基於前記第1部分、和藉由前記檢索資訊而被檢索到之前記第2部分的生物認證。According to one aspect of this disclosure, the first information system of the preceding note is biological information; the second information system of the preceding note is used to retrieve the search information required for the second part of the previous note registered in the second device; the preceding note authentication It is biometric authentication based on the first part of the previous note and the second part of the previous note retrieved by the previous search information.
若依據本揭露之一態樣,則前記認證手段,係基於所定之判定演算法,而判定所被輸入之前記第1資訊、與所被登錄之前記第1部分及前記第2部分所結合而成的前記第1資訊是否相同或類似,藉此而進行前記認證;前記限制手段,係基於與前記判定演算法相同的判定演算法,而判定彼此相同或類似的前記複數個第2部分是否存在。 [發明效果]According to one aspect of this disclosure, the aforementioned authentication method is based on a predetermined determination algorithm, and the first information entered is determined by the combination of the first part of the previous entry and the second part of the previous entry. Whether the first information of the preceding note is the same or similar, the preceding information is verified; the restriction means of the preceding note is based on the same determination algorithm as the preceding note determination algorithm, and it is determined whether there are plural second parts of the preceding note that are identical or similar to each other. . [Effects of the invention]
若依據本揭露,則可提高安全性。According to this disclosure, safety can be improved.
[1.認證系統之全體構成][1. The overall structure of the authentication system]
以下說明認證系統的實施形態之例子。圖1係認證系統之全體構成的圖示。如圖1所示,認證系統S係含有:伺服器10、使用者終端20、及認證裝置30,這些係可連接至網際網路等之網路N。此外,在圖1中,伺服器10、使用者終端20、及認證裝置30之每一者雖然僅各圖示1台,但這些亦可為複數台。The following describes an example of an implementation form of the authentication system. Figure 1 is a diagram of the overall structure of the authentication system. As shown in FIG. 1, the authentication system S includes a
伺服器10,係為伺服器電腦。伺服器10係含有控制部11、記憶部12、及通訊部13。控制部11,係含有至少1個處理器。控制部11,係依照記憶部12中所記憶之程式或資料,來執行處理。記憶部12係含有主記憶部及輔助記憶部。例如,主記憶部係為RAM等之揮發性記憶體,輔助記憶部係為ROM、EEPROM、快閃記憶體、或硬碟等之非揮發性記憶體。通訊部13,係為有線通訊或無線通訊用之通訊介面,透過網路N而進行資料通訊。
使用者終端20,係為使用者所操作的電腦。例如,使用者終端20係為行動電話機(包含智慧型手機)、攜帶型資訊終端(包含平板型電腦及可穿戴式終端)、或個人電腦等。在本實施形態中,使用者終端20係含有:控制部21、記憶部22、通訊部23、操作部24、顯示部25、及攝影部26。控制部21、記憶部22、及通訊部23之實體構成,係可分別和控制部11、記憶部12、及通訊部13相同。The
操作部24,係為輸入裝置,例如觸控面板或滑鼠等之指標裝置、鍵盤、或按鈕等。操作部24係將操作內容,傳達至控制部21。顯示部25係為例如液晶顯示部或有機EL顯示部等。顯示部25係依照控制部21的指示而顯示影像。The
攝影部26,係含有至少1台的相機。例如,攝影部26,係含有CCD成像感測器或CMOS成像感測器等之攝像元件,將該當攝像元件所拍攝到的影像,作為數位資料而記錄。影像,係可為靜止影像,亦可為以所定之畫格速率而被連續拍攝的動畫。The photographing
認證裝置30,係為被使用於認證的電腦。例如,認證裝置30係為行動電話機、攜帶型資訊終端、或個人電腦等。在本實施形態中,認證裝置30係含有:控制部31、記憶部32、通訊部33、操作部34、顯示部35、及攝影部36。控制部31、記憶部32、通訊部33、操作部34、顯示部35、及攝影部36的實體構成,係可分別和控制部11、記憶部12、通訊部13、操作部24、顯示部25、及攝影部26相同。The
此外,作為被記憶在記憶部12、22、32中而說明的程式及資料,係亦可透過網路N而被供給。又,上記說明的各電腦之硬體構成,係不限於上記的例子,可適用各式各樣的硬體。例如,亦可包含有:將電腦可讀取之資訊記憶媒體予以讀取的讀取部(例如光碟驅動機或記憶卡插槽)或用來與外部機器進行資料之輸出入所需之輸出入部(例如USB埠)。例如,資訊記憶媒體中所被記憶之程式或資料係亦可透過讀取部或輸出入部而被供給。In addition, the programs and data described as being stored in the
[2.認證系統的概要] 認證系統S,係於任意之場面中為了確認使用者的正當性,而執行認證。認證,係為確認使用者是否具有所定之資格的行為。認證,係也會被稱為對象認證或本人認證。認證系統S,係可執行各式各樣之類型的認證,例如可執行:2維碼認證、生物認證、通行碼認證、密碼認證、電子印章認證、或密語認證。[2. Overview of the authentication system] The authentication system S is to perform authentication in order to confirm the legitimacy of the user in any scene. Authentication is the act of confirming whether a user has the prescribed qualifications. Authentication is also called object authentication or personal authentication. The authentication system S can perform various types of authentication, such as two-dimensional code authentication, biometric authentication, pass code authentication, password authentication, electronic seal authentication, or passphrase authentication.
生物認證,係為利用人類的身體性特徵或行動性特徵的認證方法。例如,利用身體性特徵的生物認證中係有:臉部認證、指紋認證、DNA認證、掌形認證、網膜認證、虹膜認證、靜脈認證、或聲音認證。又例如,利用行動性特徵的生物認證中係有:筆跡認證、敲鍵認證、唇動認證、扎眼認證、或步行認證。Biometric authentication is an authentication method that uses human physical characteristics or mobility characteristics. For example, biometric authentication using physical characteristics includes face authentication, fingerprint authentication, DNA authentication, palm authentication, omentum authentication, iris authentication, vein authentication, or voice authentication. For another example, biometric authentication using mobility characteristics includes handwriting authentication, keystroke authentication, lip movement authentication, eye-catching authentication, or walking authentication.
在本實施形態中,是舉出使用者通過安全閘道的場面為例,說明認證系統S之處理。此外,認證系統S,係如後述的變形例,可適用於各種場面。認證系統S所被適用的場面,係不限於本實施形態之例子。In this embodiment, a scene where a user passes through a security gateway is taken as an example to describe the processing of the authentication system S. In addition, the authentication system S is a modified example described later, and can be applied to various scenes. The scene to which the authentication system S is applied is not limited to the example of this embodiment.
圖2係為認證系統S所被利用之場面之一例的圖示。如圖2所示,安全閘道SG,係含有旋轉式的門。安全閘道SG,係被連接有認證裝置30。安全閘道SG的門,係藉由上鎖機構而被上鎖。一旦使用者的認證為成功,則上鎖就被解除。安全閘道SG,係被配置在上班處的公司或公共設施等之任意的設施。只有具有入場資格的人,可以通過安全閘道SG。FIG. 2 is a diagram showing an example of a scene where the authentication system S is used. As shown in Figure 2, the security gate SG contains a rotary door. The security gateway SG is connected to the
在本實施形態中,作為將使用者進行認證的認證方法,是舉出臉部認證為例。使用者係在要利用認證系統S所提供的認證服務之際,會進行所定之利用登錄。使用者一旦完成利用登錄,則用來唯一識別使用者的使用者ID就會被發行。使用者所輸入的姓名等之資訊,係被登錄至伺服器10。使用者係在利用登錄時或其後的任意之時序上,進行臉部照片之登錄申請。例如,一旦使用者操作使用者終端20而向伺服器10進行存取,則用來進行登錄申請所需之登錄申請畫面就會被顯示在使用者終端20上。In this embodiment, as an authentication method for authenticating a user, face authentication is taken as an example. When the user wants to use the authentication service provided by the authentication system S, a predetermined use registration is performed. Once the user has completed the usage registration, the user ID used to uniquely identify the user will be issued. Information such as the name entered by the user is registered to the
圖3係為登錄申請畫面之一例的圖示。如圖3所示,登錄申請畫面G1中係被顯示有:用來輸入使用者ID所需之輸入表單F10、用來輸入密碼所需之輸入表單F11、及用來上傳臉部照片所需之輸入表單F12、及用來進行登錄申請所需之按鈕B13。此外,密碼係並非為了通過安全閘道SG,而是為了變更自己的登錄資訊等之其他目的而被利用。Fig. 3 is a diagram showing an example of a login application screen. As shown in Figure 3, the login application screen G1 is displayed with: an input form F10 for inputting a user ID, an input form F11 for inputting a password, and an input form for uploading a face photo. Enter the form F12, and the button B13 required for the login application. In addition, the password is not used for passing through the security gateway SG, but for other purposes such as changing one's own login information.
例如,使用者終端20的記憶部22中係記憶有使用者的臉部照片。使用者係在輸入表單F12中輸入檔名,指定要上傳的臉部照片。亦即,使用者,係在輸入表單F12中,指定在臉部認證時所要使用的臉部照片。在本實施形態中,為了簡化說明,而說明只登錄1張臉部照片的情況,但亦可登錄複數張臉部照片。此外,使用者係亦可啟動攝影部26,而當場拍攝臉部照片。For example, the
一旦使用者在輸入表單F10~F12之每一者中輸入資訊並選擇了按鈕B13,則臉部照片就會被上傳至伺服器10。伺服器10,係基於臉部照片,而計算使用者的臉部的特徵量。臉部的特徵量,並非在伺服器10中集中管理,而是在伺服器10與使用者終端20間被分散管理。Once the user enters information in each of the input forms F10 to F12 and selects the button B13, the face photo will be uploaded to the
在本實施形態中,臉部的特徵量之第1部分,係被登錄至使用者終端20。臉部的特徵量之第2部分,係被登錄至伺服器10。此外,臉部的特徵量之第2部分,係亦可被複數個伺服器所分散管理。第1部分,係為臉部的特徵量之中的一部分。第2部分,係為異於第1部分的部分。第1部分與第2部分,其一部分亦可重複。臉部的特徵量,係亦可不只第1部分與第2部分,而是被分割成3個以上之部分。臉部的特徵量之中,哪個部分會變成第1部分及第2部分,假設是被預先決定。第1部分及第2部分,係可為任意之部分,不限於本實施形態之例子。In this embodiment, the first part of the feature amount of the face is registered in the
例如,臉部的特徵量,係用n維(n為自然數)之向量而被表現。在本實施形態中,假設n的數值為5。例如,在5維向量之中,前半的2個要素,係作為第1部分而被登錄至使用者終端20。5維向量之中,後半的3個要素,係作為第2部分而被登錄至伺服器10。若假設臉部的特徵量為(2.4, 1.5, 3.6, 4.3, 8.9),則(2.4, 1.5)之部分,係作為第1部分而被登錄至使用者終端20。(3.6, 4.3, 8.9)之部分,係作為第2部分而被登錄至伺服器10。For example, the feature quantity of a face is expressed by a vector of n dimensions (n is a natural number). In this embodiment, the value of n is assumed to be 5. For example, in a five-dimensional vector, the first two elements are registered as the first part in the
伺服器10,係記憶至少被登錄有1位使用者之第2部分的資料庫。伺服器10,係記憶複數個資料庫。在本實施形態中,係對各資料庫分配有DB號碼。DB號碼,係用來唯一識別資料庫的資訊。DB號碼,係亦可為資料庫的名稱或ID。在本實施形態中,將該資料庫稱為第2部分資料庫。The
使用者的第2部分,係被登錄至任一第2部分資料庫。在使用者終端20中,係不只使用者的第1部分,還會連同第2部分所被登錄之第2部分資料庫之DB號碼,一起加以登錄。第1部分、第2部分、及DB號碼之每一者的登錄一旦完成,則登錄完成畫面就被顯示於顯示部25。The second part of the user is registered in any part 2 database. In the
圖4係為登錄完成畫面之一例的圖示。如圖4所示,在登錄完成畫面G2係被顯示有,表示登錄已經完成的訊息等。在登錄完成畫面G2中亦可被顯示有,使用者終端20中所被登錄之第1部分與DB號碼。一旦登錄完成,則使用者就可執行認證而可通過安全閘道SG。Fig. 4 is an illustration of an example of a login completion screen. As shown in Fig. 4, a message indicating that the registration has been completed is displayed on the G2 system of the registration completion screen. The first part and DB number registered in the
圖5係為認證系統S中的認證之流程的圖示。在圖5的例子中,在使用者終端20中係被登錄有第1部分(2.4, 1.5)、和DB號碼「157813」。使用者終端20,係利用Bluethooth(註冊商標)或Wi-Fi(註冊商標)等之近距離無線通訊,而將自身中所被登錄之這些資訊,向周圍發送。例如,使用者終端20,係亦可在廣播封包(Advertising Packet)中,儲存第1部分和DB號碼而向周圍發送。FIG. 5 is an illustration of the authentication process in the authentication system S. In the example of FIG. 5, the first part (2.4, 1.5) and the DB number "157813" are registered in the
一旦使用者接近認證裝置30,則認證裝置30係利用近距離無線通訊,從使用者終端20,接收第1部分(2.4, 1.5)、和DB號碼「157813」。使用者係依照認證裝置30的顯示部35中所被顯示的說明,而令攝影部36拍攝自己的臉部。認證裝置30,係對伺服器10,發送第1部分(2.4, 1.5)、DB號碼「157813」、及藉由攝影部36所被拍攝到的影像。Once the user approaches the
伺服器10,係將從認證裝置30所接收到的影像中所拍到的臉部的特徵量,加以計算。該特徵量,係以5維之向量而被表現。例如,伺服器10,作為影像中所拍到的臉部的特徵量,係取得(2.4, 1.5, 3.6, 4.3, 8.9)。該特徵量,係相當於認證時的查詢。The
伺服器10,係參照從認證裝置30所接收到的DB號碼「157813」的第2部分資料庫DB1。伺服器10,係對從認證裝置30所接收到的第1部分(2.4, 1.5),將該第2部分資料庫DB1中所被儲存之第2部分(3.6, 4.3, 8.9)予以結合,取得5維之向量(2.4, 1.5, 3.6, 4.3, 8.9)之特徵量。該特徵量,係相當於認證時的索引。在第2部分資料庫DB1被登錄有複數個使用者之第2部分的情況下,則該使用者的數量有多少,就會取得多少個索引之特徵量。The
伺服器10,係計算查詢之特徵量與索引之特徵量的距離。索引之特徵量被取得複數個的情況下,則索引之特徵量的數量有多少,就會計算出多少個距離。伺服器10,係在有未滿閾值之距離存在的情況下,判定為認證成功。若為圖5的例子,則由於距離為0者是存在於第2部分資料庫DB1內,因此判定為認證成功。一旦認證成功,則安全閘道SG的上鎖係被解除,使用者係可通過安全閘道SG。The
如以上所述,認證系統S中的認證就被進行。第2部分資料庫DB1中所被登錄之第2部分,係會與使用者終端20中所被登錄之第1部分做結合,因此在相同的第2部分資料庫DB1中,若有彼此相同或類似的複數個第2部分被登錄,則就有可能發生冒充。As described above, the authentication in the authentication system S is performed. The second part registered in the database DB1 of the second part will be combined with the first part registered in the
圖6係為冒充會成為可能之情況之一例的圖示。如圖6所示,在DB號碼「157813」的第2部分資料庫DB1中,假設有第2部分(3.6, 4.3, 8.9)為相同的使用者A、B存在。使用者A進行認證的情況下,使用者A的使用者終端20中所被登錄之第1部分(2.4, 1.5)、與第2部分資料庫DB1中所被登錄之第2部分(3.6, 4.3, 8.9),係一旦被結合,就有可能會與影像中所拍到的使用者A之臉部的特徵量相同或類似。Figure 6 is a diagram showing an example of a situation where impersonation is possible. As shown in Figure 6, in the second part database DB1 of the DB number "157813", it is assumed that the same users A and B exist in the second part (3.6, 4.3, 8.9). When user A is authenticated, the first part (2.4, 1.5) registered in the
在圖6的情況下,使用者A是有可能被認證成為使用者B,而可能發生冒充。即使使用者A的第1部分、與使用者B的第1部分係為不同,仍有可能發生冒充。即使第2部分並非完全相同,只要彼此類似的複數個第2部分是被登錄在相同的第2部分資料庫DB1中,就有可能發生同樣的冒充。於是,在本實施形態中,係使得在相同的DB號碼的第2部分資料庫DB1中,彼此相同或類似的複數個第2部分,不會被登錄。In the case of FIG. 6, user A may be authenticated as user B, and impersonation may occur. Even if the first part of user A is different from the first part of user B, impersonation may still occur. Even if the second part is not exactly the same, as long as multiple similar second parts are registered in the same second part database DB1, the same impersonation may occur. Therefore, in this embodiment, in the second part database DB1 of the same DB number, plural second parts that are the same or similar to each other are not registered.
圖7係為登錄申請時的處理之一例的圖示。如圖7所示,假設在使用者A進行登錄申請的情況下,與使用者A之第2部分相同或類似的使用者B,已經使用了DB號碼「157813」。此情況下,伺服器10,係使得與使用者B相同的DB號碼「157813」不會被分配給使用者A的方式,而將其他DB號碼「438569」,分配給使用者A。Fig. 7 is a diagram showing an example of processing at the time of registration application. As shown in Figure 7, suppose that when user A makes a registration application, user B, who is the same or similar to the second part of user A, has already used the DB number "157813". In this case, the
例如,伺服器10係判定,在DB號碼「438569」的第2部分資料庫DB1之中,是否有與使用者A之第2部分相同或類似的其他使用者存在。伺服器10,係先確認在DB號碼「438569」的第2部分資料庫DB1之中,沒有與使用者A之第2部分相同或類似的其他使用者存在,然後才會將該DB號碼分配給使用者A。For example, the
在DB號碼「438569」的第2部分資料庫DB1之中,有與使用者A之第2部分相同或類似的其他使用者存在的情況下,則伺服器10係執行上記的處理,直到找到沒有與使用者A之第2部分相同或類似的其他使用者存在的第2部分資料庫DB1。在既存的全部的第2部分資料庫DB1中都未找到的情況下,則伺服器10亦可發行新的DB號碼。此情況下,伺服器10,係在新的DB號碼所對應之第2部分資料庫DB1中,登錄使用者A的第2部分。In the second part database DB1 of the DB number "438569", if there are other users who are the same as or similar to the second part of user A, the
如以上所述,認證系統S,係在相同的第2部分資料庫DB1中,不會登錄彼此相同或類似的複數個第2部分,藉此可以防止冒充,而充分提高安全性。以下,說明該技術的細節。As described above, the authentication system S is in the same second part database DB1 and does not register plural second parts that are the same or similar to each other, thereby preventing impersonation and sufficiently improving security. Hereinafter, the details of this technique will be explained.
[3.於認證系統中所被實現之功能]
圖8係為本實施形態的認證系統S中所被實現的功能之一例的功能區塊圖。此處係說明,在伺服器10、使用者終端20、及認證裝置30之各者中所被實現之功能。[3. Functions implemented in the authentication system]
FIG. 8 is a functional block diagram of an example of the functions implemented in the authentication system S of this embodiment. Here, the functions implemented in each of the
[3-1.於伺服器中所被實現的功能]
如圖8所示,在伺服器10中係被實現有:資料記憶部100、受理部101、第1登錄部102、生成部103、第2登錄部104、認證部105、限制部106、及處理執行部107。[3-1. Functions implemented in the server]
As shown in FIG. 8, the
[資料記憶部]
資料記憶部100,係以記憶部12為主而被實現。資料記憶部100,係記憶認證時所必須之資料。此處,作為資料記憶部100所記憶的資料之一例,說明第2部分資料庫DB1、和使用者資料庫DB2。[Data Memory Department]
The
第2部分資料庫DB1,係為至少被登錄有1位使用者之第2部分的資料庫。資料記憶部100,係記憶複數個第2部分資料庫DB1。第2部分資料庫DB1,係藉由DB號碼而被識別。DB號碼,係可用連續號碼來編號,亦可不必特別使用連續號碼。DB號碼係被記錄在資料記憶部100中。The second part database DB1 is the second part database where at least one user is registered. The
DB號碼,係為第2資訊之一例。因此,在本實施形態中記載為DB號碼的地方,係可替換成第2資訊。第2資訊,係為與第2部分建立關連的資訊。所謂建立關連,係第2部分與第2資訊是可相互檢索,或者第2部分與第2資訊是彼此關連。在DB號碼所示的第2部分資料庫DB1中登錄第2部分這件事情,就相當於把第2部分與DB號碼建立關連。其他還有,例如,對後述的使用者資料庫DB2的相同的紀錄,將第2部分與DB號碼予以登錄這件事情,也是相當於把第2部分與DB號碼建立關連。The DB number is an example of the second information. Therefore, the place described as the DB number in this embodiment can be replaced with the second information. The second information is the information that establishes a connection with the second part. The so-called connection establishment means that the second part and the second information are mutually searchable, or the second part and the second information are related to each other. Registering the second part in the second part database DB1 indicated by the DB number is equivalent to establishing a connection between the second part and the DB number. Others include, for example, registering the second part and the DB number for the same record in the user database DB2 described later, which is equivalent to establishing a connection between the second part and the DB number.
例如,第2資訊,係為資料庫的識別資訊。該識別資訊,係不限於DB號碼,亦可為字串,亦可為文字與數值之組合。第2資訊係亦可稱為,用來檢索伺服器10中所被登錄之第2部分所需之檢索資訊。檢索資訊,係為檢索時可以成為查詢或索引的資訊。在伺服器10中所被記憶之複數個第2部分資料庫DB1之每一者中,係被登錄有複數個使用者之每一者的第2部分。For example, the second information is the identification information of the database. The identification information is not limited to the DB number, it can also be a string, or a combination of text and numeric values. The second information system can also be referred to as the retrieval information used to retrieve the second part registered in the
圖9係為使用者資料庫DB2的資料儲存例的圖示。如圖9所示,使用者資料庫DB2係為,關於使用者的各種資訊所被儲存的資料庫。使用者資料庫DB2中係被儲存有:使用者ID、使用者的姓名、密碼、已被上傳之臉部照片之資料、從臉部照片所被計算出來的臉部的特徵量、第2部分、及DB號碼。此外,使用者資料庫DB2中所被儲存之資訊,係不限於這些,亦可儲存有使用者的連絡處或地址這類任意之資訊。Fig. 9 is a diagram showing an example of data storage in the user database DB2. As shown in Figure 9, the user database DB2 is a database where various information about the user is stored. The user database DB2 is stored with: user ID, user's name, password, uploaded facial photos, facial features calculated from facial photos, part 2 , And DB number. In addition, the information stored in the user database DB2 is not limited to these, and arbitrary information such as the user's contact point or address may also be stored.
密碼、第2部分、及DB號碼,係為認證資訊的一種。所謂認證資訊,係為在認證時所被參照的資訊,隨著認證方法而其名稱為不同。例如,若為電子印章認證,則印章的多點觸控型樣即為認證資訊,若為密語認證,則密語即為認證資訊。The password, the second part, and the DB number are a type of authentication information. The so-called authentication information is the information that is referred to during authentication, and its name is different depending on the authentication method. For example, if it is an electronic seal authentication, the multi-touch type of the seal is the authentication information, and if it is a passphrase authentication, the passphrase is the authentication information.
臉部的特徵量,係為將臉部之特徵予以數值化的資訊,係表示例如:臉部之零件的相對位置、大小、或形狀等之特徵。在本實施形態中,雖然是事前就計算出臉部照片所示之臉部的特徵量,但臉部的特徵量係亦可在認證時當場計算。在有複數張臉部照片被登錄的情況下,則按照每一臉部照片,計算出臉部的特徵量。臉部認證本身,係可適用各種手法,例如可以利用主成分分析、線性判別分析、彈性匹配、或隱藏式馬可夫模型這些手法,特徵量係只要以相應於這些手法的計算式而被計算即可。例如,臉部的特徵量,雖然是以多維的向量來表示,但亦可用數列或單一的數值這類其他形式來表示。The feature quantity of the face is information that digitizes the features of the face, and represents the features such as the relative position, size, or shape of the parts of the face. In this embodiment, although the feature amount of the face shown in the face photo is calculated in advance, the feature amount of the face may be calculated on the spot during authentication. In the case where there are a plurality of face photos registered, the feature amount of the face is calculated for each face photo. Facial authentication itself can be applied to various techniques. For example, principal component analysis, linear discriminant analysis, elastic matching, or hidden Markov model can be used. The feature quantity can be calculated by the calculation formula corresponding to these techniques. . For example, although the feature quantity of a face is represented by a multi-dimensional vector, it can also be represented in other forms such as a sequence of numbers or a single value.
[受理部]
受理部101,係以控制部11為主而被實現。受理部101,係受理所定之登錄申請。登錄申請,係為用來登錄認證時所必須之資訊所需之申請,此處係為來登錄臉部的特徵量所需之申請。登錄申請,係藉由預先制定之程序來辦理手續而被進行。例如,使用者終端20係一旦選擇了按鈕B13,就會發送所定之登錄申請。登錄申請中係含有,使用者所指定的臉部照片之影像資料。受理部101,係從使用者終端20接收含有臉部照片之影像資料的登錄申請。[Reception Department]
The receiving
[第1登錄部]
第1登錄部102,係以控制部11為主而被實現。第1登錄部102,係將臉部的特徵量之第1部分,登錄至使用者終端20。在本實施形態中,第1登錄部102,係在使用者終端20中登錄第1部分與第2資訊。此外,第2資訊,係亦可被登錄在使用者終端20以外的電腦。所謂登錄,係為和記錄、儲存、或保存相同的意思。第1登錄部102,係將某個使用者的第1部分,登錄至該使用者的使用者終端20。[First Registration Department]
The
臉部的特徵量,係為第1資訊之一例。因此,在本實施形態中記載為臉部之特徵量的地方,係可替換成第1資訊。第1資訊,係為認證資訊。在本實施形態中,由於是利用生物認證,因此第1資訊係為生物資訊。生物資訊,係為生物認證中所被利用的認證資訊。除了臉部的特徵量以外,臉部照片本身亦可相當於生物資訊。在利用臉部認證以外之生物認證的情況下,則生物資訊係只要是相應於該生物認證的認證資訊即可。The feature amount of the face is an example of the first information. Therefore, what is described as the feature value of the face in this embodiment can be replaced with the first information. The first information is authentication information. In this embodiment, since biometric authentication is used, the first information system is biometric information. Biological information is authentication information used in biometric authentication. In addition to the feature amount of the face, the face photo itself can also be equivalent to biological information. In the case of using biometric authentication other than facial authentication, the biometric information system only needs to be authentication information corresponding to the biometric authentication.
使用者終端20,係為第1裝置之一例。因此,在本實施形態中記載為使用者終端20的地方,係可替換成第1裝置。第1裝置,係只要是異於第2裝置的裝置即可。例如,第1裝置,係除了使用者終端20以外,亦可為異於伺服器10的伺服器電腦。此情況下,第1部分與第2部分,係在個別的伺服器電腦中被分散管理。The
使用者所指定的臉部照片之特徵量,係亦可藉由伺服器10而被計算,亦可藉由使用者終端20而被計算。特徵量,係只要基於預先決定的演算法而被計算即可,例如亦可利用CNN。第1登錄部102,係將臉部的特徵量之中被預先決定之位置的部分(在本實施形態中係為最初的2個要素),當作第1部分而加以取得。若換成別的說法,則臉部的特徵量,係被分割成第1部分與第2部分。第1登錄部102,係對使用者終端20,發送第1部分並予以登錄。The feature quantity of the face photo designated by the user can also be calculated by the
[生成部]
生成部103,係以控制部11為主而被實現。生成部103,係將做了登錄申請之使用者的DB號碼之候補,加以生成。所謂候補,係為有被登錄使用者之第2部分之可能性的第2部分資料庫DB2之DB號碼。生成部103,係從既存之DB號碼之中,選擇出候補。所謂既存之DB號碼,係為已經被作成的第2部分資料庫DB2之DB號碼。生成部103,係亦可從既存之DB號碼之中隨機地選擇出候補,亦可按照既存之DB號碼的從較新至較舊的號碼順序,來選擇候補。生成部103,係亦可不是既存之DB號碼,而是生成新的DB號碼。此情況下,生成部103,係亦可將基於亂數而生成的隨機的數值,當作候補。[Generation Department]
The
[第2登錄部]
第2登錄部104,係以控制部11為主而被實現。第2登錄部104,係將臉部的特徵量之第2部分,與DB號碼建立關連而登錄至伺服器10。在本實施形態中,一旦使用者進行登錄申請則第2部分就會被登錄,因此第2登錄部104,係對做了登錄申請之使用者之第2部分,將已被檢索到的DB號碼建立關連而加以登錄。[Second Registration Department]
The
第2登錄部104,係將臉部的特徵量之中被預先決定之位置的部分(在本實施形態中係為後半的3個要素),當作第2部分而加以取得。例如,第2登錄部104,係在做了登錄申請之使用者之DB號碼的第2部分資料庫DB1中,登錄該使用者的第2部分。又例如,第2登錄部104,係在使用者資料庫DB2之中,在做了登錄申請之使用者之紀錄中,登錄該使用者的第2部分與DB號碼。The
[認證部]
認證部105,係以控制部11為主而被實現。認證部105,係基於第1部分、第2部分、及DB號碼,認證部105,係基於所被輸入之臉部的特徵量及DB號碼、與使用者終端20的第1部分、與伺服器10的第2部分及DB號碼,而進行認證。在本實施形態中,認證時所被利用的第2部分,係藉由DB號碼而被檢索,因此認證係為,基於第1部分、與藉由DB號碼而被檢索到的第2部分的生物認證。[Authentication Department]
The
所謂所被輸入之臉部的特徵量,係為在認證時對電腦所輸入之特徵量,例如,亦可為藉由攝影部36等之感測器之偵測結果而被輸入之特徵量,亦可為藉由使用者之操作而被輸入之特徵量。在本實施形態中,藉由攝影部36所被拍攝到的影像所呈現的臉部的特徵量,係為所被輸入之特徵量之一例。所被輸入之DB號碼也是同樣地,是在認證時對電腦所被輸入之DB號碼。在本實施形態中,認證裝置30從使用者終端20所接收到之DB號碼,係為所被輸入之DB號碼之一例。所被輸入之DB號碼,係為使用者終端20中所被登錄之DB號碼。The so-called input feature value of the face is the feature value input to the computer during authentication. For example, it may also be the feature value input by the detection result of the sensor of the photographing
所被輸入之臉部的特徵量及DB號碼,係為相當於認證時之查詢的資訊。使用者終端20的第1部分,與伺服器10的第2部分及DB號碼,係為相當於認證時之索引的資訊。在本實施形態中,是舉出生物認證為例,因此是說明,藉由相當於查詢的資訊、與相當於索引的資訊的類似性而決定認證之成否的情況,在利用其他認證方法的情況下,則亦可藉由它們的同一性而決定認證之成否。The input feature amount and DB number of the face are information equivalent to the query at the time of authentication. The first part of the
例如,認證部105,係將使用者終端20中所被登錄之第1部分、與伺服器10中所被登錄之第2部分加以結合,而取得臉部的特徵量。認證部105,係基於所被輸入之臉部的特徵量與所被結合之臉部的特徵量的類似性,和所被輸入之DB號碼與伺服器10之DB號碼的同一性,而進行認證。For example, the
認證部105,係在所被輸入之臉部的特徵量與所被結合之臉部的特徵量為類似的情況下,判定為認證成功。認證部105,係在所被輸入之臉部的特徵量與所被結合之臉部的特徵量不類似的情況下,判定為認證失敗。例如,認證部105,係基於已被輸入之臉部的特徵量、與已被登錄之臉部的特徵量,而計算類似度。The
認證部105,係亦可將這些特徵量的差(例如特徵量所表示之向量彼此的距離)直接當作類似度,亦可將這些特徵量代入至所定之計算式(例如針對特徵量所表示之向量之每一要素而做了加權的計算式)而計算出類似度。認證部105,係在類似度為閾值以上的情況下判定為認證成功,在類似度未滿閾值的情況下判定為認證失敗。The
此外,在不是臉部的特徵量,而是將臉部照片本身利用於臉部認證的情況下,則認證部105係亦可計算已被輸入之臉部照片、與已被結合之臉部照片的類似度。影像彼此之類似度的計算方法本身,係可適用各種之手法,例如,亦可利用計算影像內的像素之像素值的差的方法,也可利用機器學習中的類似度計算。In addition, when it is not the feature amount of the face, but the face photo itself is used for face authentication, the
在本實施形態中,所被輸入之DB號碼與伺服器10之DB號碼為相同這件事情,也是作為認證成功之條件。認證部105,係基於藉由所被輸入之DB號碼而被識別的第2部分資料庫DB1中所被登錄之第2部分,而取得已被結合之臉部的特徵量。認證部105,係按照該第2部分資料庫DB1中所被登錄之每一第2部分,將使用者之第1部分與該當第2部分進行結合以取得特徵量。亦即,認證部105,係對於該第2部分資料庫DB1中所被登錄之所有的第2部分,結合使用者的第1部分而取得特徵量。認證部105,係若有與所被輸入之特徵量類似的已被結合之特徵量存在,則判定為認證成功。In this embodiment, the fact that the entered DB number is the same as the DB number of the
認證部105,係基於所定之判定演算法,而判定所被輸入之臉部的特徵量、與所被登錄之第1部分及第2部分所結合而成的臉部的特徵量是否相同或類似,藉此而進行認證。判定演算法,係為用來判定特徵量彼此之類似與否所需之演算法。例如,判定演算法,係計算特徵量之距離。判定演算法,係將n維向量之特徵量彼此之距離,降維至所定維度(例如2維)之座標上,而計算2維座標資訊距離。認證部105,係基於所定維度之座標上之距離,而判定特徵量之類似與否。因此,無論比較對象的資訊是何種維度,都會被降維成所定維度之距離。The
[限制部]
限制部106,係以控制部11為主而被實現。限制部106,係限制彼此相同或類似的複數個第2部分之每一者,被與彼此相同或類似的DB號碼建立關連。限制部106,係對第2部分為彼此相同或類似的複數個使用者,限制彼此相同或類似的DB號碼被建立關連。在本實施形態中,由於是在登錄申請時進行限制,因此限制部106係限制,做了登錄申請之使用者之第2部分,被與和第2部分為相同或類似之其他使用者相同或類似的DB號碼建立關連。其他使用者,係為已經登錄了第1部分、第2部分、及DB號碼的使用者。[Restricted Department]
The
所謂限制,係為防止或禁止上記的關連建立被進行。在本實施形態中,限制部106,係為了使得彼此相同或類似的複數個第2部分之每一者,不會被與彼此相同或類似的DB號碼建立關連,而藉由決定使用者之DB號碼,以進行限制。The so-called restriction is to prevent or prohibit the establishment of the above-mentioned relationship from being carried out. In this embodiment, the restricting
限制部106,係許可彼此不同或不類似的複數個第2部分之每一者,被與彼此相同或類似的DB號碼建立關連。限制部106,係對第2部分為彼此不同或不類似的複數個使用者,許可彼此相同或類似的DB號碼被建立關連。因此,在1個第2部分資料庫DB1之中,會被登錄有複數個使用者的第2部分。The
限制部106,係檢索未被與上記其他使用者的第2部分建立關連的DB號碼。限制部106,係檢索沒有第2部分是與做了登錄申請之使用者為相同或類似之其他使用者存在的DB號碼,決定成為做了登錄申請之使用者的DB號碼。The
例如,限制部106,係在候補、與上記其他使用者之DB號碼為相同或類似的情況下,候補就不會設成做了登錄申請之使用者之DB號碼。例如,限制部106,係在候補、與上記其他使用者之DB號碼為不同或不類似的情況下,就將候補設成做了登錄申請之使用者之DB號碼。限制部106,係檢索並非第2部分是與做了登錄申請之使用者為相同或類似之其他使用者之DB號碼的候補,在有發現到此種候補的情況下,就決定成為是做了登錄申請之使用者的DB號碼。For example, in the case where the
在本實施形態中,由於是執行藉由類似性而決定成否的生物認證,因此限制部106係限制,彼此類似的第2部分之每一者,被與彼此相同的DB號碼建立關連。In this embodiment, since the biometric authentication is determined by the similarity, the
限制部106,係基於與認證部105所利用之判定演算法相同的判定演算法,來判定彼此相同或類似的複數個第2部分是否存在。限制部106,係利用該判定演算法,將第2部分降維成所定維度之座標上之距離,判定是否有彼此相同或類似的複數個第2部分。在本實施形態中,該判定中會使用第2部分彼此之距離。若距離未滿閾值,則該判定係為肯定。若距離為閾值以上,則該判定係為否定。The
[處理執行部]
處理執行部107,係以控制部11為主而被實現。處理執行部107,係基於認證結果,而執行所定之處理。例如,處理執行部107,係在認證失敗的情況下,就不執行所定之處理,在認證成功的情況下,才執行所定之處理。所定之處理係為,在認證成功時才被許可執行的處理。在本實施形態中係說明,用來解除安全閘道SG之上鎖所需之處理是相當於所定之處理的情況,但所定之處理係可適用任意之處理。例如,所定之處理係可為:對伺服器或終端的登入處理、解除電腦之鎖定的處理、許可資料之瀏覽的處理、許可資料之寫入的處理、開閉自動門的處理、許可電子投票的處理、或許可公文之取得的處理。[Processing Execution Department]
The
[3-2.於使用者終端中所被實現的功能]
如圖8所示,在使用者終端20中係被實現有:資料記憶部200、第1取得部201、第2取得部202、受理部203、及送訊部204。[3-2. Functions implemented in the user terminal]
As shown in FIG. 8, in the
[資料記憶部]
資料記憶部200,係以記憶部22為主而被實現。資料記憶部200,係記憶登錄申請及認證時所必須之資料。例如,資料記憶部200,係記憶使用者的臉部照片之資料。又例如,資料記憶部200,係記憶第1部分和DB號碼。[Data Memory Department]
The
[第1取得部]
第1取得部201,係以控制部21為主而被實現。第1取得部201,係將臉部的特徵量之第1部分,加以取得。在本實施形態中,是藉由伺服器10的第1登錄部102來生成第1部分並發送至使用者終端20,因此第1取得部201係從伺服器10接收第1部分,並記錄至資料記憶部200。[First Acquisition Part]
The
[第2取得部]
第2取得部202,係以控制部21為主而被實現。第2取得部202,係從臉部的特徵量之第2部分所被登錄的伺服器10,且為限制彼此相同或類似的複數個第2部分之每一者被與彼此相同或類似的DB號碼建立關連的伺服器10,取得DB號碼。在本實施形態中,由於是藉由伺服器10的限制部106來決定DB號碼,因此第2取得部202係從伺服器10接收DB號碼,並記錄至資料記憶部200。[Second Acquisition Part]
The
[受理部]
受理部203,係以控制部21為主而被實現。受理部203,係受理各種輸入操作。例如,受理部203係受理對輸入表單F10的使用者ID之輸入操作。又例如,受理部203係受理對輸入表單F11的密碼之輸入操作。又例如,受理部203係受理對輸入表單F12的臉部照片之檔名等的輸入操作。此外,受理部203所受理的輸入操作係不限於這些,可受理其他各種輸入操作。[Reception Department]
The receiving
[送訊部]
送訊部204,係以控制部21為主而被實現。送訊部204,係基於已被受理部203所受理的輸入操作,而將用來進行登錄申請所需之資料予以發送。例如,送訊部204係基於對輸入表單F10~F12之各者的輸入操作,而將使用者ID、密碼、及臉部照片之資料予以發送。此外,送訊部204所發送的資料係不限於這些,亦可發送其他各種資料。[Communication Department]
The
例如,送訊部204,係在認證被進行的情況下,對認證裝置30,發送第1部分與DB號碼。認證裝置30,係為外部裝置之一例。因此,本實施形態中記載為認證裝置30的地方,係可替換成外部裝置。外部裝置,係只要是使用者終端20以外的裝置即可,亦可為認證裝置30以外之電腦。For example, the transmitting
送訊部204,係利用近距離無線通訊,而向用來取得所被輸入之臉部的特徵量所需之認證裝置30,發送第1部分。在本實施形態中,近距離無線通訊,係為可利用廣播封包(Advertising Packet)的通訊規格。送訊部,係利用廣播封包(Advertising Packet),來對認證裝置30發送第1部分。在本實施形態中,關於DB號碼也是利用廣播封包(Advertising Packet)而被發送。The transmitting
[3-3.於認證裝置中所被實現之功能]
如圖8所示,在認證裝置30中係被實現有:資料記憶部300、受理部301、送訊部302、及處理執行部303。此外,在本實施形態中雖然是說明,認證裝置30是被包含在認證系統S中的情況,但認證裝置30係亦可為可與認證系統S通訊的外部裝置。[3-3. Functions implemented in the authentication device]
As shown in FIG. 8, the
[資料記憶部]
資料記憶部300,係以記憶部32為主而被實現。資料記憶部300,係記憶認證時所必須之資料。例如,資料記憶部300係記憶著伺服器10的IP位址等之資訊。又例如,資料記憶部300係記憶著,用來令顯示部35顯示出各種畫面所需之資料(例如HTML資料或影像資料)。[Data Memory Department]
The
[受理部]
受理部301,係以控制部31為主而被實現。受理部301,係受理輸入操作。輸入操作,係只要是認證時所必須之輸入操作即可,在本實施形態中,關於臉部認證係不需要使用者的輸入操作,因此受理部301係受理認證開始的操作等。[Reception Department]
The receiving
此外,受理部301,係只要受理隨應於認證系統S中所利用之認證之種類的輸入操作即可,例如,在利用指紋認證的情況下,則受理使用者將手指放在相機等之上的輸入操作。又例如,在利用筆跡認證的情況下,則受理使用者在觸控面板等之上寫下文字的輸入操作。又例如,在利用密碼認證或密語認證的情況下,則受理部301係受理密碼或密語的輸入操作。In addition, the accepting
[送訊部]
送訊部302,係以控制部31為主而被實現。送訊部302,係對伺服器10的認證部105,發送從使用者終端20所接收到的第1部分。在本實施形態中,使用者終端20係不只發送第1部分就連DB號碼也會發送,因此送訊部302係將第1部分與DB號碼予以發送。送訊部302,係只要發送認證時所必須之資訊即可,例如亦將攝影部36所拍攝到的影像予以發送。送訊部302,係亦可將認證資訊本身予以發送,亦可將用來特定認證資訊所需之資訊予以發送。[Communication Department]
The
在本實施形態中係說明,認證部105是藉由伺服器10而被實現的情況,因此說明送訊部204係向伺服器10發送資料的情況,但若是藉由其他電腦來實現認證部105的情況下,則亦可向該當其他電腦發送資料。又,亦可在認證裝置30側計算臉部的特徵量,此情況下,送訊部302,係取代影像,而將該當所被計算出來的臉部的特徵量予以發送。In this embodiment, it is explained that the
此外,送訊部302,係只要發送隨應於認證系統S中所利用之認證之種類的資訊即可,例如,在指紋認證被利用的情況下,則送訊部302係亦可發送使用者的手指的影像,將根據影像所被計算出來的手指之特徵量予以發送。又例如,在利用筆跡認證的情況下,則送訊部302係亦可將使用者在觸控面板等之上寫下的文字之影像予以發送,亦可將表示觸碰位置之變化的座標資訊予以發送。又例如,在利用密碼認證或密語認證的情況下,則送訊部302係亦可將使用者所輸入的密碼或密語予以發送。In addition, the sending
[處理執行部]
處理執行部303,係以控制部31為主而被實現。處理執行部303,係認證為成功的情況下,執行所定之處理。所定之處理的意思,係如同前述,是在認證成功的情況下才被許可執行的處理。在本實施形態中,在認證成功的情況下,安全閘道SG之上鎖會被解除,因此處理執行部303係在接收到表示認證成功的通知的情況下,藉由令上鎖機構的馬達做旋轉等而解除上鎖,在未接收到表示認證成功的通知的情況下,則不解除上鎖。[Processing Execution Department]
The
[4.於本實施形態中所被執行之處理] 接著說明,於認證系統S中所被執行之處理。此處,針對用來讓使用者登錄臉部照片所需之登錄處理,與用來讓使用者通過安全閘道SG所需之認證處理,加以說明。下記所說明的處理,係為被圖8所示之功能區塊所執行的處理之一例。[4. Processing executed in this embodiment] Next, the processing executed in the authentication system S will be explained. Here, the registration process required to allow the user to register the face photo and the authentication process required to allow the user to pass through the security gateway SG will be described. The processing described in the following is an example of the processing executed by the function block shown in FIG. 8.
[4-1.登錄處理]
圖10係為表示登錄處理之一例的流程圖。圖10所示的登錄處理,係藉由控制部11、21分別依照記憶部12、22中所被記憶之程式而動作,而被執行。此外,登錄處理被執行時,假設使用者是已經完成利用登錄,並且自己的使用者ID及密碼是已經發行。[4-1. Registration process]
Fig. 10 is a flowchart showing an example of the login process. The registration process shown in FIG. 10 is executed by the
如圖10所示,使用者終端20,係向伺服器10進行存取,令登錄申請畫面G1被顯示於顯示部25(S1)。使用者終端20,係在按鈕B13已被選擇的情況下,則對伺服器10,將已被輸入至輸入表單F10~F12之各者中的資訊,予以發送(S2)。於S2中,使用者終端20係將已被使用者所輸入的使用者ID、密碼、及臉部照片之影像資料,予以發送。As shown in FIG. 10, the
伺服器10係一旦從使用者終端20接收到使用者ID等,就基於使用者資料庫DB2、和已接收之使用者ID及密碼,來進行密碼認證(S3)。在密碼認證失敗的情況下(S3;失敗),伺服器10係對使用者終端20,發送所定之錯誤訊息(S4),本處理係結束。此情況下,使用者的登錄申請就不被受理。Once the
另一方面,密碼認證為成功的情況下(S3;成功),伺服器10係基於S3中所接收到的臉部照片,而計算做了登錄申請之使用者的臉部的特徵量(S5)。於S5中,伺服器10係偵測臉部的零件的相對位置等,而計算臉部的特徵量。伺服器10,係將所計算出來的特徵量,分割成第1部分與第2部分。On the other hand, when the password authentication is successful (S3; successful), the
伺服器10,係基於已被預先決定的演算法,而生成DB號碼的候補(S6)。於S6中,伺服器10係將既存之DB號碼之中的任意1者,選擇作為候補。在S6之時點上亦可生成新的DB號碼來作為候補,但由於第2部分資料庫DB1有可能變成大量,因此在本實施形態中是說明,在S6之時點上,是從既存之DB號碼之中來做選擇的情況。The
伺服器10,係參照S6中所生成之候補所示的第2部分資料庫DB1,判定與S5中所計算出來的特徵量之第2部分相同或類似的第2部分是否存在(S7)。於S7中,伺服器10係計算,所參照的第2部分資料庫DB1之各紀錄中所被儲存之第2部分,與S5中所計算出來的特徵量之第2部分的距離。例如,該距離係基於前述的判定演算法,而被降維成所定維度之距離。若有該距離未滿閾值的紀錄存在,則S7的判定係為肯定。若沒有該距離未滿閾值的紀錄存在,則S7的判定係為否定。The
在判定為有與S5中所計算出來的特徵量之第2部分相同或類似的第2部分存在的情況下(S7;Y),則回到S6之處理,生成別的候補。若既存的所有DB號碼都已經被生成作為候補的情況下,則伺服器10係生成新的DB號碼來作為候補。此情況下,就會生成新的第2部分資料庫DB1。When it is determined that there is a second part that is the same as or similar to the second part of the feature amount calculated in S5 (S7; Y), the process returns to S6 to generate another candidate. If all the existing DB numbers have been created as candidates, the
在並非判定為有與S5中所計算出來的特徵量之第2部分相同或類似的第2部分存在的情況下(S7;N),伺服器10係將現狀之候補,決定成為要與S5中所計算出來的特徵量之第2部分建立關連的DB號碼(S8),並在該DB號碼的第2部分資料庫DB1中,儲存S5中所計算出來的特徵量之第2部分(S9)。If it is not determined that there is a second part that is the same as or similar to the second part of the feature amount calculated in S5 (S7; N), the
伺服器10,係對使用者終端20,發送含有S5中所計算出來的特徵量之第1部分、與S8中所決定之DB號碼的完成通知(S10)。完成通知,係藉由發送所定形式之資料而被進行,例如假設還含有已被登錄之臉部照片。The
伺服器10,係在使用者資料庫DB2中,登錄使用者的臉部照片、臉部的特徵量、及S8中所決定之DB號碼(S11)。於S11中,伺服器10係在使用者資料庫DB2之中,在做了登錄申請之使用者的使用者ID所被儲存之紀錄中,儲存S3中所接收到的臉部照片、S5中所計算出來的特徵量之第2部分、及S8中所決定之DB號碼。The
使用者終端20,係一旦接收完成通知,就將完成通知中所含之第1部分與DB號碼,記錄至記憶部22記錄(S12),令登錄完成畫面G2被顯示於顯示部25(S13),本處理係結束。於S13中,使用者終端20係令完成通知中所含之臉部照片,被顯示於登錄完成畫面G2。特徵量之第1部分與DB號碼,係不被顯示於登錄完成畫面G2。以後,使用者就變成可以通過安全閘道SG。Once the
[4-2.認證處理]
圖11係為表示認證處理之一例的流程圖。圖11所示的認證處理,係藉由控制部11、21、31分別依照記憶部12、22、32中所被記憶之程式而動作,而被執行。此外,假設認證處理被執行時,登錄處理是已經完成。[4-2. Authentication processing]
Fig. 11 is a flowchart showing an example of authentication processing. The authentication process shown in FIG. 11 is executed by the
如圖11所示,使用者終端20,係利用近距離無線通訊,將記憶部22中所被記憶之第1部分與DB號碼予以發送(S20)。於S20中,使用者終端20,係在廣播封包(Advertising Packet)中儲存第1部分與DB號碼,並向周圍發送。假設通訊部23的電源係事前就已經打開。通訊部23的電源為關閉的情況下,亦可隨應於使用者之操作而打開電源,亦可利用GPS之位置資訊等而使電源自動打開。As shown in FIG. 11, the
認證裝置30,係利用近距離無線通訊,將從使用者終端20所被發送過來的第1部分與DB號碼,予以接收(S21)。於S21中,認證裝置30,係將已接收之第1部分與DB號碼,記錄至記憶部32。第1部分與DB號碼,係在任意之時序上,被從記憶部32抹除。該時序係為:認證已成功的情況、經過了一定時間的情況、或用近距離無線通訊已經接收不到特徵量之第1部分與DB號碼的情況等。The
認證裝置30,係基於攝影部36的偵測訊號,而取得影像(S22)。認證裝置30,係對伺服器10,發送含有第1部分、DB號碼、及影像的認證要求(S23)。認證要求,係藉由發送所定形式之資料而被進行,例如假設還含有認證裝置30的識別資訊等。The
伺服器10,係一旦接收到認證要求,就將認證要求中所含之DB號碼的第2部分資料庫DB1中所被登錄之第2部分,加以取得(S24)。在該第2部分資料庫DB1之中,若已被登錄有複數個第2部分的情況下,則伺服器10係將這些複數個第2部分全部加以取得。Once the
伺服器10係生成,將認證要求中所含之第1部分、和S24中所取得之第2部分予以結合而成的特徵量(S25)。於S25中,伺服器10係針對S24中所取得之每一第2部分,分別將認證要求中所含之第1部分與該當第2部分進行結合以取得特徵量。在有複數個第2部分被取得的情況下,則所被結合之特徵量係為,所被取得的第2部分之數量有多少,就會被生成多少個。The
伺服器10係基於認證要求中所含之影像,而計算臉部的特徵量(S26)。於S26中,伺服器10係和S5之處理同樣地,計算臉部的特徵量。The
伺服器10,係基於S25中所生成之特徵量、與S26中所計算出來的特徵量,而進行認證(S27)。於S27中,伺服器10係計算S25中所生成之特徵量、與S26中所計算出來之特徵量的距離。在S25中所生成之特徵量之中,若有該距離為未滿閾值者存在,則認證係為成功。若沒有該距離未滿閾值者存在,則認證係為失敗。S27的判定演算法,係與S7的判定演算法相同。The
在認證失敗的情況下(S27;失敗),伺服器10係對認證裝置30發送錯誤訊息(S28),本處理係結束。此情況下,認證裝置30的顯示部35中係會顯示錯誤訊息,向使用者通知認證不成功。In the case of authentication failure (S27; failure), the
另一方面,在認證成功的情況下(S27;成功),伺服器10係對認證裝置30發送表示認證已成功的成功通知(S29)。成功通知,係藉由發送所定形式之資料而被進行,含有認證成功的使用者的姓名。On the other hand, when the authentication is successful (S27; success), the
於認證裝置30中,係一旦接收到成功通知,則控制部31就解除安全閘道SG的上鎖(S30),本處理係結束。使用者,係確認自己的姓名被顯示在顯示部35中,推開安全閘道的門而通過。此外,此情況下,亦可在伺服器10中保留使用者的姓名或現在日期時間等之資訊作為通行記錄。In the
若依據本實施形態的認證系統S,則限制彼此相同或類似的複數個第2部分之每一者,被與彼此相同或類似的DB號碼建立關連,藉此可防止冒充,提高安全性。又,由於不需要在使用者終端20中登錄像是使用者ID這類重要的資訊,因此可避免該資訊洩漏的風險,就這點來說也可提高安全性。即使使用者終端20的DB號碼發生洩漏,也只要編號成其他的DB號碼即可解決,不需要變更使用者ID,可提升使用者的便利性。又,藉由將臉部的特徵量做分散管理,可防止臉部的特徵量之洩漏所致之安全性降低。According to the authentication system S of this embodiment, each of a plurality of second parts that are the same or similar to each other is restricted to be associated with the same or similar DB number, thereby preventing impersonation and improving security. In addition, since there is no need to register important information such as the user ID in the
又,認證系統S,係許可彼此不同或不類似的複數個第2部分之每一者,被與彼此相同或類似的DB號碼建立關連,藉此可防止DB號碼變得過多(第2部分資料庫DB1變得過多),可削減伺服器10的記憶體消耗量。又,藉由抑制第2部分資料庫DB1的增加,可簡化資料庫的管理。又,可防止DB號碼的耗盡。In addition, the authentication system S permits each of the plural second parts that are different or dissimilar to each other to be associated with the same or similar DB numbers, thereby preventing the DB numbers from becoming too many (Part 2 data The database DB1 becomes too much), the memory consumption of the
又,認證系統S,係限制做了登錄申請之使用者的第2部分,被與和第2部分為相同或類似之其他使用者相同或類似的DB號碼建立關連,藉此可防止做了登錄申請之使用者冒充成已登錄之其他使用者,以及防止已登錄之其他使用者冒充成做了登錄申請之使用者,可提高安全性。In addition, the authentication system S restricts the second part of the user who made the registration application, and is connected with the same or similar DB number of other users who are the same or similar to the second part, thereby preventing the registration The applied user pretends to be other registered users, and prevents other registered users from pretending to be the user who made the registration application, which can improve the security.
又,認證系統S,係檢索尚未與其他使用者之第2部分建立關連的DB號碼,並對做了登錄申請之使用者的第2部分,將已被檢索到的DB號碼建立關連而登錄,藉此可防止冒充,提高安全性。例如,在未新發行DB號碼的情況下,可有效活用既存之DB號碼,可削減伺服器10的記憶體消耗量。In addition, the authentication system S searches for DB numbers that have not yet been linked to the second part of other users, and for the second part of the user who has made a registration application, it links and registers the DB numbers that have been searched. This can prevent impersonation and improve security. For example, if the DB number is not newly issued, the existing DB number can be effectively used, and the memory consumption of the
又,認證系統S,係在DB號碼的候補、與其他使用者的DB號碼為相同或類似的情況下,則該候補係不會設成做了登錄申請之使用者的DB號碼。認證系統S,係在DB號碼的候補、與其他使用者的DB號碼為不同或不類似的情況下,則將該候補設成做了登錄申請之使用者的DB號碼。藉此,可賦予能夠確實防止冒充的DB號碼,可提高安全性。In addition, in the authentication system S, if the DB number candidate is the same or similar to the DB number of other users, the candidate system will not be set as the DB number of the user who made the registration application. In the authentication system S, when the candidate for the DB number is different or not similar to the DB number of other users, the candidate is set as the DB number of the user who made the registration application. In this way, a DB number that can reliably prevent impersonation can be assigned, and security can be improved.
又,認證系統S,係基於所被輸入之臉部的特徵量及DB號碼、與使用者終端20的第1部分、與伺服器10的第2部分及DB號碼,來進行認證,藉此可防止冒充,提高安全性。又,藉由在伺服器10與使用者終端20間將臉部的特徵量做分散管理,可防止臉部的特徵量之洩漏所致之安全性降低。In addition, the authentication system S performs authentication based on the inputted facial feature quantity and DB number, the first part of the
又,認證系統S,係在使用者終端20中登錄第1部分與DB號碼,並將使用者終端20中所被登錄之DB號碼,輸入至伺服器10,藉此可省去使用者輸入DB號碼的麻煩,可提高認證時的使用者的便利性。又,可正確地特定出使用者的第2部分所被儲存的第2部分資料庫DB1,也可提高認證的正確性。In addition, the authentication system S registers the first part and the DB number in the
又,認證系統S,係利用近距離無線通訊,向用來取得所被輸入之臉部的特徵量所需之認證裝置30,發送第1部分,並對伺服器10,發送從使用者終端20所接收到的第1部分,藉此可省去將第1部分發送至認證裝置30的麻煩,可提高認證時的使用者的便利性。Furthermore, the authentication system S uses short-range wireless communication to send the first part to the
又,認證系統S,係利用廣播封包(Advertising Packet),來對認證裝置30發送第1部分,藉此可不進行配對就發送第1部分,可提高使用者的便利性。例如,即便使用者將使用者終端20放在口袋或皮包裡頭不取出,仍可將第1部分發送至認證裝置30。因此,即便使用者將使用者終端20放在口袋或皮包裡頭不取出,仍可使認證成功。又,藉由利用廣播封包(Advertising Packet),也可抑制使用者終端20的消耗電力。In addition, the authentication system S uses a broadcast packet (Advertising Packet) to transmit the first part to the
又,認證系統S係可提高,基於所被輸入之臉部的特徵量與所被結合之臉部的特徵量的類似性,和所被輸入之DB號碼與伺服器10之DB號碼的同一性而被進行之認證的安全性。In addition, the authentication system S can be improved based on the similarity between the inputted face feature quantity and the combined face feature quantity, and the identity of the inputted DB number with the DB number of the
又,認證系統S,係基於藉由所被輸入之DB號碼而被識別的第2部分資料庫DB1中所被登錄之第2部分,而取得所被結合之臉部的特徵量,藉此可提高安全性。In addition, the authentication system S obtains the feature quantity of the combined face based on the second part registered in the second part database DB1 recognized by the input DB number, thereby Improve safety.
又,認證系統S係為,認證是基於第1部分、與藉由檢索資訊而被檢索到之第2部分的生物認證,因此可提高生物認證的安全性。In addition, the authentication system S is based on the biometric authentication of the first part and the second part retrieved by retrieving information, so the security of the biometric authentication can be improved.
又,認證系統S係藉由將S7與S27的判定演算法設成相同,因此在伺服器10中不必記錄複數種判定演算法,可效率良好地進行處理。In addition, since the authentication system S sets the judgment algorithms of S7 and S27 to be the same, there is no need to record multiple judgment algorithms in the
[5.變形例] 此外,本揭露係不限定於以上說明的實施形態。在不脫離本揭露之宗旨的範圍內,可做適宜變更。[5. Modifications] In addition, this disclosure is not limited to the embodiment described above. Appropriate changes can be made without departing from the scope of the purpose of this disclosure.
例如,在實施形態中,雖然是舉出讓使用者通過安全閘道SG的場面為例,但認證系統S係亦可適用於讓使用者購入商品或是利用服務的場面。此情況下,例如,認證裝置30係為自動販賣機、售票機、POS終端、或店舖中的支付終端。使用者,係一旦認證成功,就會執行結帳處理,而可購入商品、或利用服務等等。For example, in the embodiment, although the scene where the user passes through the security gateway SG is taken as an example, the authentication system S can also be applied to the scene where the user purchases goods or uses services. In this case, for example, the
在本變形例中,亦可為,先在使用者資料庫DB2中登錄結帳資訊,處理執行部係在某個使用者的認證為成功的情況下,就基於該使用者的結帳資訊來執行結帳處理。結帳處理之際所被參照的結帳資訊,係為認證成功之使用者所被建立關連對應到的結帳資訊。In this modification, it is also possible to first register the checkout information in the user database DB2, and the processing execution unit will base on the user's checkout information when the authentication of a certain user is successful. Perform checkout processing. The checkout information referred to during the checkout process is the checkout information corresponding to the established connection of the authenticated user.
結帳資訊,係為進行結帳時所必須之資訊,例如:信用卡資訊、電子額值(例如電子貨幣或點數)的帳號資訊、虛擬通貨的帳號資訊、銀行戶頭資訊、或簽帳卡資訊等。結帳資訊,係在使用者登錄時等所被登錄,例如,在使用者資料庫DB2中,與使用者ID建立關連而儲存結帳資訊。此外,結帳資訊係亦可被儲存在,與使用者資料庫DB2不同的資料庫中。Checkout information is the information necessary for checkout, such as credit card information, electronic value (such as electronic money or points) account information, virtual currency account information, bank account information, or charge card information Wait. The checkout information is registered when the user logs in, for example, in the user database DB2, the checkout information is stored in association with the user ID. In addition, the checkout information can also be stored in a database different from the user database DB2.
伺服器10,係只要執行相應於結帳資訊的結帳處理即可,例如執行:基於信用卡資訊的授信處理、令電子額值之餘額減少的處理、令虛擬通貨之餘額減少的處理、從銀行戶頭扣款或匯款的處理、或令簽帳卡資訊所示之戶頭之餘額減少的處理等。處理執行部,係在臉部認證或通行碼認證之任一方為失敗的情況下就不執行結帳處理,在臉部認證與通行碼認證為成功的情況下才執行結帳處理。The
結帳處理已被執行的情況下,在認證裝置30的顯示部35或店舖之終端等,會顯示該意旨,使用者係可收取商品、或利用服務等等。例如,若認證裝置30是被設置在店舖等中的電子看板裝置的情況下,則一旦從伺服器10接收到認證成功通知,就令表示認證成功的訊息被顯示在顯示部35。店舖的工作人員係一旦確認該當訊息,就向使用者交付商品或提供服務。此外,訊息亦可並非顯示在認證裝置30,而是轉送至店舖的工作人員所操作的終端等之其他電腦而被顯示。又例如,若認證裝置30是自動販賣機,則一旦從伺服器10接收到認證成功通知,認證裝置30就會將使用者所指定之商品予以排出,或是調理咖啡或速食食品等之商品等等。When the checkout process has been executed, the
若依據以上說明的變形例,則可防止冒充成其他使用者而進行結帳、不法購入商品或利用服務等等,可充分提高商品之購入時或服務之利用時的安全性。According to the modified example described above, it can prevent pretending to be another user to check out, illegally purchase products or use services, etc., and can fully improve the security when purchasing products or using services.
又例如,雖然舉出使用者進行登錄申請的場面為例,但在DB號碼被再發行的場面中,亦可執行同樣的處理。此情況下,使用者終端20中所被登錄之DB號碼,就被改寫成再發行的DB號碼。使用者的第2部分,係被登錄至已被再發行之DB號碼的第2部分資料庫DB1中,而在舊的DB號碼的第2部分資料庫DB1中,使用者的第2部分係被抹除。又例如,伺服器10,係亦可參照使用者資料庫DB2,以取得與認證要求中所含之DB號碼建立關連的第2部分。此情況下,第2部分被取得後的處理之流程,係和實施形態中所說明的相同。For another example, although the scene where the user makes a registration application is taken as an example, the same process can be performed in the scene where the DB number is reissued. In this case, the DB number registered in the
又例如,雖然說明了第1資訊係為臉部的特徵量,第2資訊係為DB號碼的情況,但第1資訊和第2資訊亦可為其他資訊。例如,亦可為,第1資訊是臉部的特徵量,第2資訊是通行碼。此情況下,就變成會進行臉部認證與通行碼認證的2階段認證。使用者,係對使用者終端20或認證裝置30輸入通行碼,進行通行碼認證。伺服器10,係對第2部分為彼此相同或類似的複數個使用者,限制成不要賦予相同的通行碼。For another example, although the case where the first information system is the feature amount of the face and the second information system is the DB number is explained, the first information and the second information may also be other information. For example, the first information may be the feature amount of the face, and the second information may be the passcode. In this case, it becomes a two-stage authentication of face authentication and passcode authentication. The user inputs the pass code to the
又例如,亦可為,第1資訊是密碼,第2資訊是密語。此情況下,就變成會進行密碼認證與密語認證的2階段認證。密碼係在伺服器10與使用者終端20間被分散管理。使用者係對使用者終端20或認證裝置30輸入密碼和密語,進行密碼認證和密語認證。伺服器10係對密碼的第2部分為彼此相同或類似的複數個使用者,限制成不要賦予相同的密語。For another example, it is also possible that the first information is a password, and the second information is a passphrase. In this case, it will be a two-stage authentication of password authentication and passphrase authentication. The password is managed in a distributed manner between the
又例如,亦可為,認證裝置30係為不存在,而是從使用者終端20對伺服器10,直接發送第1部分與DB號碼。此情況下,使用者終端20,係在認證被進行的情況下,利用攝影部26拍攝使用者的臉部。使用者終端20,係對伺服器10,將自身中所被登錄之第1部分及DB號碼,與攝影部26所拍攝到的影像,予以發送。伺服器10接收到這些之後的處理之流程,係如同實施形態中所說明。一旦認證成功,則伺服器10係對使用者終端20,發送成功通知。使用者終端20,係一旦接收到成功通知,就執行所定之處理。該處理係可為任意的處理,例如對使用者終端20的登入處理或結帳處理等。For another example, it is also possible that the
又例如,雖然說明了主要功能是由伺服器10來實現的情況,但各功能係亦可被複數台電腦所分擔。例如,亦可由伺服器10、使用者終端20、及認證裝置30之各者來分擔功能。例如,認證處理亦可不是在伺服器10中被執行,而是在使用者終端20或認證裝置30中被執行。又例如,認證系統S是含有複數台伺服器電腦的情況下,則亦可由這些複數台伺服器電腦來分擔功能。又例如,作為被資料記憶部100所記憶而說明的資料,係亦可被伺服器10以外之電腦所記憶。For another example, although it is described that the main function is implemented by the
N:網路 S:認證系統 10:伺服器 11:控制部 12:記憶部 13:通訊部 20:使用者終端 21:控制部 22:記憶部 23:通訊部 24:操作部 25:顯示部 26:攝影部 30:認證裝置 31:控制部 32:記憶部 33:通訊部 34:操作部 35:顯示部 36:攝影部 G1:登錄申請畫面 G2:登錄完成畫面 SG:安全閘道 100:資料記憶部 101:受理部 102:第1登錄部 103:生成部 104:第2登錄部 105:認證部 106:限制部 107:處理執行部 200:資料記憶部 201:第1取得部 202:第2取得部 203:受理部 204:送訊部 300:資料記憶部 301:受理部 302:送訊部 303:處理執行部 DB1:第2部分資料庫 DB2:使用者資料庫N: Network S: authentication system 10: Server 11: Control Department 12: Memory Department 13: Ministry of Communications 20: User terminal 21: Control Department 22: Memory Department 23: Ministry of Communications 24: Operation Department 25: Display 26: Photography Department 30: authentication device 31: Control Department 32: Memory Department 33: Ministry of Communications 34: Operation Department 35: Display 36: Photography Department G1: Login application screen G2: Login complete screen SG: Security Gateway 100: Data Memory Department 101: Acceptance Department 102: First registration department 103: Generation Department 104: The second registration department 105: Certification Department 106: Restricted Department 107: Processing Execution Department 200: Data Memory Department 201: The first acquisition part 202: The second acquisition part 203: Acceptance Department 204: Communication Department 300: Data Memory Department 301: Acceptance Department 302: Communication Department 303: Processing Execution Department DB1: Part 2 database DB2: user database
[圖1]認證系統之全體構成的圖示。 [圖2]認證系統所被利用之場面之一例的圖示。 [圖3]登錄申請畫面之一例的圖示。 [圖4]登錄完成畫面之一例的圖示。 [圖5]認證系統中的認證之流程的圖示。 [圖6]冒充會成為可能之情況之一例的圖示。 [圖7]登錄申請時的處理之一例的圖示。 [圖8]本實施形態的認證系統中所被實現的功能之一例的功能區塊圖。 [圖9]使用者資料庫的資料儲存例的圖示。 [圖10]登錄處理之一例的流程圖。 [圖11]認證處理之一例的流程圖。[Figure 1] An illustration of the overall structure of the authentication system. [Figure 2] An illustration of an example of a scene where the authentication system is used. [Figure 3] An illustration of an example of a login application screen. [Fig. 4] An illustration of an example of the login completion screen. [Figure 5] An illustration of the flow of authentication in the authentication system. [Figure 6] An illustration of an example of a situation where impersonation is possible. [FIG. 7] An illustration of an example of processing at the time of registration application. [Fig. 8] A functional block diagram of an example of the functions implemented in the authentication system of this embodiment. [Figure 9] An illustration of an example of data storage in a user database. [Fig. 10] A flowchart of an example of login processing. [Fig. 11] A flowchart of an example of authentication processing.
10:伺服器 10: Server
20:使用者終端 20: User terminal
30:認證裝置 30: authentication device
100:資料記憶部 100: Data Memory Department
101:受理部 101: Acceptance Department
102:第1登錄部 102: First registration department
103:生成部 103: Generation Department
104:第2登錄部 104: The second registration department
105:認證部 105: Certification Department
106:限制部 106: Restricted Department
107:處理執行部 107: Processing Execution Department
200:資料記憶部 200: Data Memory Department
201:第1取得部 201: The first acquisition part
202:第2取得部 202: The second acquisition part
203:受理部 203: Acceptance Department
204:送訊部 204: Communication Department
300:資料記憶部 300: Data Memory Department
301:受理部 301: Acceptance Department
302:送訊部 302: Communication Department
303:處理執行部 303: Processing Execution Department
DB1:第2部分資料庫 DB1: Part 2 database
DB2:使用者資料庫 DB2: user database
Claims (17)
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2020/013707 WO2021192150A1 (en) | 2020-03-26 | 2020-03-26 | Authentication system, user terminal, authentication method, and program |
WOPCT/JP2020/013707 | 2020-03-26 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW202139036A true TW202139036A (en) | 2021-10-16 |
TWI776436B TWI776436B (en) | 2022-09-01 |
Family
ID=76918316
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW110110322A TWI776436B (en) | 2020-03-26 | 2021-03-23 | Authentication systems, authentication methods, and program products |
Country Status (3)
Country | Link |
---|---|
JP (1) | JP6907426B1 (en) |
TW (1) | TWI776436B (en) |
WO (1) | WO2021192150A1 (en) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4255999B2 (en) * | 1998-10-20 | 2009-04-22 | 三菱電機株式会社 | Fingerprint verification device |
JP2002312317A (en) * | 2001-04-11 | 2002-10-25 | Casio Comput Co Ltd | Certification system and certification method |
JP4708481B2 (en) * | 2006-12-25 | 2011-06-22 | 富士通株式会社 | Authentication device, authentication method, authentication program |
US10469492B2 (en) * | 2015-10-15 | 2019-11-05 | Id.Me, Inc. | Systems and methods for secure online credential authentication |
WO2019209293A1 (en) * | 2018-04-25 | 2019-10-31 | Google Llc | Delayed two-factor authentication in a networked environment |
-
2020
- 2020-03-26 WO PCT/JP2020/013707 patent/WO2021192150A1/en active Application Filing
- 2020-03-26 JP JP2021509233A patent/JP6907426B1/en active Active
-
2021
- 2021-03-23 TW TW110110322A patent/TWI776436B/en active
Also Published As
Publication number | Publication date |
---|---|
TWI776436B (en) | 2022-09-01 |
JP6907426B1 (en) | 2021-07-21 |
WO2021192150A1 (en) | 2021-09-30 |
JPWO2021192150A1 (en) | 2021-09-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11488455B1 (en) | Registry verification with authentication using a mobile device | |
US20230316279A1 (en) | Automated Service-Based Order Processing | |
US20070260883A1 (en) | Personal digital key differentiation for secure transactions | |
TWI785292B (en) | Authentication system, authentication device, authentication method, and program product | |
TW201528028A (en) | Apparatus and methods for identity verification | |
TWI754964B (en) | Authentication system, authentication device, authentication method, and program product | |
JP6757482B1 (en) | Authentication system, authentication terminal, user terminal, authentication method, and program | |
TWI762065B (en) | Authentication system, authentication device, authentication method, and program product | |
TWI771819B (en) | Authentication system, authentication device, authentication method, and program product | |
TWI776436B (en) | Authentication systems, authentication methods, and program products |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GD4A | Issue of patent certificate for granted invention patent |