JP2001312477A - System, device, and method for authentication - Google Patents
System, device, and method for authenticationInfo
- Publication number
- JP2001312477A JP2001312477A JP2000131674A JP2000131674A JP2001312477A JP 2001312477 A JP2001312477 A JP 2001312477A JP 2000131674 A JP2000131674 A JP 2000131674A JP 2000131674 A JP2000131674 A JP 2000131674A JP 2001312477 A JP2001312477 A JP 2001312477A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- remote
- information
- user
- information indicating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 title claims description 43
- 230000008569 process Effects 0.000 claims description 3
- 238000012795 verification Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000739 chaotic effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000002207 retinal effect Effects 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は認識システム、並び
に、認証装置およびその方法に関し、例えば、ネットワ
ークを介したリモートアクセスにおける利用者個人を認
証する認証システム、並びに、認証装置およびその方法
に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a recognition system, an authentication apparatus and an authentication method, and more particularly to an authentication system for authenticating an individual user in remote access via a network, and an authentication apparatus and an authentication method.
【0002】[0002]
【従来の技術】ネットワークを介して遠隔地にあるコン
ピュータにアクセスする利用者の認証の方法には、ユー
ザIDとパスワードとを組み合わせた所謂パスワード認証
方式、および、パスワード認証方式のセキュリティ向上
を図ったワンタイムパスワード認証方式がある。2. Description of the Related Art As a method of authenticating a user who accesses a computer at a remote place via a network, a so-called password authentication system combining a user ID and a password and an improvement in security of the password authentication system are attempted. There is a one-time password authentication method.
【0003】パスワード認証方式は、パスワードを推測
したり、通信中のパスワードを盗聴することで、容易に
第三者が利用者に「成り済ます」ことが可能である。In the password authentication method, a third party can easily “spoof” the user by guessing the password or eavesdropping on the password during communication.
【0004】ワンタイムパスワード認証方式には、チャ
レンジレスポンス方式や携帯型のワンタイムパスワード
発生器を利用するものがある。Some of the one-time password authentication methods use a challenge response method or a portable one-time password generator.
【0005】チャレンジレスポンス方式では、認証者側
のコンピュータが「チャレンジ」と呼ばれる毎回異なる
データを被認証者側のコンピュータへ送信する。チャレ
ンジを受信した被認証者は、予め認証者と共有し秘密に
保持するパスワードとチャレンジとをある一方向性関数
に通し、その出力を一回限り有効な認証用パスワードと
して認証者側のコンピュータに返す。In the challenge-response method, a computer on the side of the authenticator transmits different data called "challenge" to the computer on the side of the authenticated person every time. Upon receipt of the challenge, the subject passes the password and the challenge, which are shared with the authenticator and kept secret, through a certain one-way function, and outputs the output to the authenticator's computer as a one-time valid authentication password. return.
【0006】携帯型のワンタイムパスワード発生器を利
用した方式では、通常、利用者がこの発生器を保持し、
これにより発生されるパスワードと、予め認証者と共有
し秘密に保持するPIN(Personal Identification Numbe
r)とを組み合わせた文字列を一回限り有効なパスワード
として認証者側のコンピュータに送信する。In a system using a portable one-time password generator, a user normally holds the generator,
The password generated by this and a PIN (Personal Identification Number) that is shared in advance with the authenticator and kept secret
The character string combined with r) is sent to the authenticator's computer as a one-time valid password.
【0007】これらワンタイムパスワード認証方式は、
パスワード認証方式の欠点の一つであるパスワードの盗
聴による「成り済まし」は不可能である。[0007] These one-time password authentication methods are:
It is impossible to “spoof” by eavesdropping a password, which is one of the disadvantages of the password authentication method.
【0008】しかし、チャレンジレスポンス認証方式に
おける上記のパスワードや、ワンタイム認証方式におけ
る上記のPINは、利用者である被認証者自身が記憶(保
持)すべき情報であり、その意味では、パスワード認証
方式のセキュリティ強度と同等でしかない。すなわち、
利用者が覚えやすい文字列や数字列を使用すれば、第三
者に容易に見破られたり推測されたりする。また、セキ
ュリティを考慮して無意味の文字列や数字列を使用する
場合もあるが、言い換えれば覚え難い文字列や数字列に
なるので、その備忘録としてそれを何処かへメモすれ
ば、逆にセキュリティを低下させることになる。However, the password in the challenge-response authentication method and the PIN in the one-time authentication method are information to be stored (held) by the user to be authenticated, and in that sense, the password authentication It is only equal to the security strength of the scheme. That is,
If a character string or a number string that is easy for the user to remember is used, it can be easily detected or guessed by a third party. In addition, meaningless character strings and numeric strings may be used in consideration of security, but in other words, they are difficult to remember character strings and numeric strings, so if you write them down as a memorandum somewhere, conversely Security will be reduced.
【0009】また、被認証者側のコンピュータが盗まれ
る、あるいは、そのコンピュータを第三者が無断使用し
て認証に成功してしまえば、認証者側は、相手が正当な
利用者でないにもかかわらずアクセスを許可してしま
う。Further, if the computer of the person to be authenticated is stolen, or if the computer is successfully used by a third party without authorization, the authenticator can confirm that the other party is not a valid user. Regardless, access is allowed.
【0010】さらに、特開平11-282982号には、盗難の
危険が少ない、持ち運び可能なICカードと暗号とを用い
た認証方法が開示されている。しかし、ICカードの真正
な所持者を特定するためにパスワード入力を必要とする
点からすれば、そのセキュリティ強度はパスワード認証
方式と同じである。[0010] Further, Japanese Patent Application Laid-Open No. H11-282982 discloses an authentication method using a portable IC card and cryptography, which has a low risk of theft. However, the security strength is the same as that of the password authentication method in that a password is required to identify the genuine holder of the IC card.
【0011】[0011]
【発明が解決しようとする課題】認証処理を行う実態
(認証者)は、認証対象である相手方のパーソナルコン
ピュータ(PC)を操作する人間、すなわち本来認証される
べき実態(被認証者)が認証者の管理するサーバにアク
セスする際、通常は、パスワード方式、チャレンジレス
ポンス方式あるいはワンタイムパスワード方式など種々
の認証手段を用いて被認証者の正当性を確認し、第三者
による「成り済まし」を排除する。The actual situation (authenticator) for performing the authentication process is the person who operates the personal computer (PC) of the other party to be authenticated, that is, the actual situation (authenticatee) to be authenticated is authenticated. When accessing the server managed by the user, usually, the authenticity of the person to be authenticated is confirmed using various authentication means such as a password method, a challenge response method or a one-time password method, and "spoofing" by a third party is performed. Exclude.
【0012】パスワードなどの情報は、現実には、被認
証者のPCなどのハードウェアやソフトウェアから送られ
てくる。このため、認証者からみれば、被認証者を認証
すべき瞬間に、被認証者がサーバの正当な利用者である
か否かを確認することができない。これは、上述したよ
うに、PCが盗まれる、PCを第三者が無断使用する、上記
のICカードを利用する認証方法の場合はICカードを紛失
した、盗まれた、あるいは、パスワードやPINが漏洩す
る、推測されるなどがあり得るからである。Information such as a password is actually sent from hardware or software such as a PC of a person to be authenticated. For this reason, from the point of view of the authenticator, it is not possible to confirm whether or not the authenticated person is a valid user of the server at the moment when the authenticated person is to be authenticated. As described above, this is because the PC is stolen, the PC is used by unauthorized third parties, or the IC card is lost, stolen, or has a password or PIN in the case of the above authentication method using an IC card. Is likely to leak or be guessed.
【0013】本発明は、上述の問題を解決するためのも
のであり、ネットワークを介したリモートアクセスにお
ける利用者を認証することを目的とする。[0013] The present invention has been made to solve the above-described problem, and has as its object to authenticate a user in remote access via a network.
【0014】また、認証におけるパスワードやPINなど
を不要にすることを他の目的とする。Another object is to eliminate the need for a password or PIN in authentication.
【0015】さらに、認証情報を生成するのに必要な情
報を、認証者と被認証者との間で通信する必要がない認
証を行うことを他の目的とする。It is another object of the present invention to perform authentication which does not require communication of information required for generating authentication information between an authenticator and a subject.
【0016】[0016]
【課題を解決するための手段】本発明は、前記の目的を
達成する一手段として、以下の構成を備える。The present invention has the following configuration as one means for achieving the above object.
【0017】本発明にかかる認証システムは、被認証者
の生体的な特徴を入力し照合するローカル認証を行うロ
ーカル認証手段、および、暗号を利用した高セキュリテ
ィなリモート認証手段を有する可搬型のデバイスを利用
して、ネットワークを介した遠隔認証を行う認証システ
ムであって、前記リモート認証手段は、前記ローカル認
証が成功した場合、前記遠隔認証に必要な認証情報を生
成し、前記遠隔認証を行う認証装置は、前記ネットワー
クを介して送られてくる認証情報に基づき、前記ローカ
ル認証により前記被認証者の真正性が確認されたことを
認識することを特徴とする。An authentication system according to the present invention is a portable device having local authentication means for performing local authentication for inputting and verifying biometric characteristics of a subject, and high-security remote authentication means using encryption. A remote authentication means for performing remote authentication via a network, wherein when the local authentication is successful, the remote authentication means generates authentication information necessary for the remote authentication and performs the remote authentication The authentication device recognizes that the authenticity of the subject has been confirmed by the local authentication based on the authentication information sent via the network.
【0018】本発明にかかる認証装置は、ネットワーク
を介したリモートアクセスにおける利用者を認証する認
証装置であって、前記利用者に関する生体的な特徴を示
す情報が記録された記録手段と、前記利用者の生体的な
特徴を示す情報を入力する入力手段と、前記入力手段に
より入力された生体的な特徴を示す情報と、前記記録手
段に記録された生体的な特徴を示す情報とを照合する照
合手段と、前記照合手段の照合結果に応じて、前記リモ
ートアクセスに必要な認証情報を生成する生成手段とを
有することを特徴とする。An authentication device according to the present invention is an authentication device for authenticating a user in remote access via a network, wherein a recording unit on which information indicating a biological characteristic of the user is recorded; Input means for inputting information indicating a biological characteristic of a person, collating information indicating the biological characteristic input by the input means with information indicating the biological characteristic recorded in the recording means It has a collating unit and a generating unit that generates authentication information necessary for the remote access according to a collation result of the collating unit.
【0019】本発明にかかる認証方法は、ネットワーク
を介したリモートアクセスにおける利用者を認証する認
証方法であって、前記利用者の生体的な特徴を示す情報
を入力し、メモリから前記利用者に関する生体的な特徴
を示す情報を読み出し、前記入力手段により入力された
生体的な特徴を示す情報と、前記メモリから読み出され
た生体的な特徴を示す情報とを照合し、その照合結果に
応じて、前記リモートアクセスに必要な認証情報を生成
することを特徴とする。An authentication method according to the present invention is an authentication method for authenticating a user in remote access via a network, wherein information indicating a biological characteristic of the user is input, and information relating to the user is stored in a memory. The information indicating the biological characteristic is read out, and the information indicating the biological characteristic input by the input unit is compared with the information indicating the biological characteristic read from the memory, and according to the matching result, And generating authentication information necessary for the remote access.
【0020】[0020]
【発明の実施の形態】以下、本発明の一実施例として、
可搬性に優れたインテリジェントな生体特徴入力照合デ
バイスと暗号アルゴリズムとを利用した認証方式を、図
面を参照して説明する。BEST MODE FOR CARRYING OUT THE INVENTION Hereinafter, as one embodiment of the present invention,
An authentication method using an intelligent biometric feature input matching device with excellent portability and an encryption algorithm will be described with reference to the drawings.
【0021】生体の特徴を入力し照合するデバイスの例
として、出願人は、特開平10-336169号に記載した無限
ワンタイム認証方式が実装された薄型・軽量のカード型
指紋読取照合装置(以降「カード」と呼ぶ)がある。こ
のカードには、所持者である被認証者の指紋情報および
ワンタイム性を有する一回限り有効な認証子(以降「認
証子」と呼ぶ)を生成するための暗号鍵が予め登録され
ている。この暗号鍵は、公開鍵暗号方式においては秘密
鍵、共通鍵暗号方式においては共通鍵に相当するが、本
実施形態の説明における暗号鍵は秘密鍵である。As an example of a device for inputting and verifying the characteristics of a living body, the applicant has proposed a thin and lightweight card-type fingerprint reading and verifying device (hereinafter referred to as Japanese Patent Application Laid-Open No. 10-336169) in which an infinite one-time authentication system is mounted. There is a "card." This card is registered in advance with fingerprint information of a person to be authenticated as a holder and an encryption key for generating a one-time valid authenticator having a one-time property (hereinafter referred to as an “authenticator”). . This encryption key corresponds to a secret key in a public key cryptosystem and a common key in a common key cryptosystem, but the encryption key in the description of the present embodiment is a secret key.
【0022】カードの所持者である被認証者は、目的の
サーバにアクセスする際、カードをPCに接続して、カー
ドに自身の指紋を読み取らせる。そして、読み取らせた
指紋と、指紋カードに登録済みの指紋情報または指紋特
徴点(テンプレート)データとを照合させる。すなわ
ち、カードが、カード所持者を認証し、カードの所持者
の正当性を確認する。このような認証を「ローカル認
証」と呼ぶことにする。When a person to be authenticated, who is the owner of the card, accesses the target server, the user connects the card to a PC and causes the card to read his / her fingerprint. Then, the read fingerprint is compared with fingerprint information or fingerprint feature point (template) data registered in the fingerprint card. That is, the card authenticates the cardholder and verifies the cardholder's validity. Such authentication is called "local authentication".
【0023】ローカル認証が成功すると、カードに実装
されている暗号処理プログラムが、カード内に保存され
ている暗号鍵(秘密鍵)を使用して認証子を生成し、そ
れをPCおよび通信路経由で目的のサーバに送信する。勿
論、指紋情報、テンプレートおよび暗号鍵そのものが送
信されることはないから、通信路上におけるプライバシ
や情報の漏洩を防ぐことができる。If the local authentication succeeds, an encryption processing program mounted on the card generates an authenticator using an encryption key (private key) stored in the card, and transmits the authenticator via a PC and a communication path. To send to the target server. Of course, since the fingerprint information, the template and the encryption key are not transmitted, privacy and information leakage on the communication path can be prevented.
【0024】認証子を受信したサーバは、前述の秘密鍵
と対をなす公開鍵および暗号処理プログラムにより、認
証子の正当性を検証、すなわち被認証者の認証を行う。
このような認証を「リモート認証」と呼ぶことにする。The server that has received the authenticator verifies the authenticity of the authenticator, that is, authenticates the person to be authenticated, using the public key and the encryption processing program that form a pair with the secret key.
Such authentication is called "remote authentication".
【0025】リモート認証が成功すると、被認証者のPC
は目的のサーバにアクセス可能になり、目的のサーバ上
の各種アプリケーションやリソースを使用することが可
能になる。勿論、認証が失敗すれば、認証者は、サーバ
と被認証者のPCとの間の通信路を遮断する。If the remote authentication succeeds, the PC of the subject
Can access the target server and use various applications and resources on the target server. Of course, if the authentication fails, the authenticator cuts off the communication path between the server and the PC of the subject.
【0026】このように生体の特徴を利用したローカル
認証と、暗号を利用した強力なリモート認証を、外部か
らのアクセスを遮断した耐タンパ(tamper、改竄)性を
有するデバイスであるカード内で連結させる仕組みによ
り、ローカル認証で得られた本人の真正性を認証者に安
全に伝播させることが可能になる。As described above, the local authentication using the characteristics of the living body and the strong remote authentication using the encryption are connected in a card that is a tamper-resistant device that blocks external access. With this mechanism, the authenticity of the individual obtained by the local authentication can be safely transmitted to the authenticator.
【0027】次に、図1を参照して、クライアントPC200
がネットワーク300を経由して目的のサーバ400にアクセ
スする場合を説明する。この際のリモート認証方式とし
ては、前述したように、公開鍵暗号方式を基礎とする無
限ワンタイム認証方式を採用する。また、生体特徴照合
デバイスには、前述した薄型・軽量の可搬性に優れたカ
ード型指紋読取照合デバイス(カード)100を採用す
る。Next, referring to FIG.
Will access the target server 400 via the network 300. As described above, the infinite one-time authentication method based on the public key encryption method is employed as the remote authentication method. As the biometric feature matching device, the above-described thin and lightweight card-type fingerprint reading and matching device (card) 100 having excellent portability is employed.
【0028】図2は、クライアントPC200と、それに接続
されたカード100内にそれぞれ実装されるソフトウェア
モジュールの構成例を示す図である。また、図3はロー
カル認証およびリモート認証の一連の流れを示すシーケ
ンス図である。FIG. 2 is a diagram showing a configuration example of the client PC 200 and the software modules mounted in the card 100 connected thereto. FIG. 3 is a sequence diagram showing a series of flows of local authentication and remote authentication.
【0029】利用者が所持するカード100の内部には、
ローカル認証に必要なカード所持者の指紋情報106、指
紋照合プログラム105、リモート認証に必要なワンタイ
ム性を有する認証子を生成するための種データ(S)103、
暗号処理プログラム104、および、暗号化に必要な秘密
鍵(Ks)102が格納されている。[0029] Inside the card 100 owned by the user,
Fingerprint information 106 of the card holder required for local authentication, fingerprint collation program 105, seed data (S) 103 for generating an authenticator having one-time property required for remote authentication,
A cryptographic processing program 104 and a secret key (Ks) 102 necessary for encryption are stored.
【0030】ユーザからリモートアクセスが要求される
と(S1)、クライアントPC200上の認証処理プログラム110
は、ユーザに対してカード100の指紋読取部101によって
指紋を入力するよう促す(S2)。When the user requests remote access (S 1), the authentication processing program 110 on the client PC 200
Prompts the user to input a fingerprint using the fingerprint reading unit 101 of the card 100 (S2).
【0031】指紋情報が入力されると(S3)、カード100
の指紋照合処理プログラム105は、入力された指紋情報
と、カード100の所持者の指紋情報である指紋情報106と
を比較してローカル認証を行う(S4)。そして、両情報が
不一致であれば、その旨のメッセージを認証処理プログ
ラム110に返して、リモートアクセス要求を拒絶する(S
5)。一方、両情報が一致すれば、暗号処理プログラム10
4により、無限ワンタイム認証方式によるリモート認証
のための認証子が、種データ(S)103および秘密鍵(Ks)10
2から生成される(S6)。When the fingerprint information is input (S3), the card 100
The fingerprint collation processing program 105 performs local authentication by comparing the inputted fingerprint information with the fingerprint information 106 which is the fingerprint information of the holder of the card 100 (S4). If the two information do not match, a message to that effect is returned to the authentication processing program 110, and the remote access request is rejected (S
Five). On the other hand, if the two information match, the encryption processing program 10
According to 4, the authenticator for remote authentication by the infinite one-time authentication method is the seed data (S) 103 and the secret key (Ks) 10
2 (S6).
【0032】ここで、指紋照合がカード100内の指紋照
合プログラム105で行われることが極めて重要である。
すなわち、ユーザの指紋情報はカード100の外部へ流出
することはなく、指紋情報106の偽造による「成り済ま
し」は不可能である。従って、真正なユーザしかカード
100は使用できず、カード100を紛失したり、盗まれた場
合でも、カード100が不正アクセスに利用されることは
ない。さらに、ユーザのプライバシも保護することがで
きるから、生体情報(指紋)を認証に用いることに対す
るユーザの心理的抵抗は少ないと考えられる。Here, it is extremely important that the fingerprint collation is performed by the fingerprint collation program 105 in the card 100.
That is, the fingerprint information of the user does not leak out of the card 100, and it is impossible to “forge” the fingerprint information 106 by forgery. Therefore, only authentic users can use the card
The card 100 cannot be used, and even if the card 100 is lost or stolen, the card 100 is not used for unauthorized access. Furthermore, since the privacy of the user can be protected, it is considered that the user's psychological resistance to using the biometric information (fingerprint) for authentication is small.
【0033】また、認証子の生成が、すべてカード100
内の暗号処理プログラム104によって行われることも重
要である。すなわち、秘密鍵(Ks)102についてのいかな
る情報もカード100の外部へ流出することはなく、出力
されるのは認証子のみである。無限ワンタイム認証方式
によれば、生成される認証子は毎回異なるから、たとえ
認証子が盗聴されたとしても再利用は不可能で、かつ、
秘密鍵(Ks)102が得られなければ認証子を偽造すること
もできない。In addition, the generation of the authenticator is entirely performed by the card 100.
It is also important that the processing be performed by the cryptographic processing program 104 within. That is, no information about the secret key (Ks) 102 leaks out of the card 100, and only the authenticator is output. According to the infinite one-time authentication method, since the generated authenticator is different each time, even if the authenticator is intercepted, it cannot be reused, and
Unless the secret key (Ks) 102 is obtained, the authenticator cannot be forged.
【0034】カード100内で生成された認証子はクライ
アントPC200へ送られ(S7)、さらに通信路を経て目的の
サーバ400へ送られる(S8)。そして、サーバ400は、無限
ワンタイム認証方式によるリモート認証を行い(S9)、認
証結果をクライアントPC200に返す(S10)。認証が成功す
ればクライアントPC200と目的のサーバ400との間でデー
タの送受信が開始される(S11)。また、認証に失敗した
場合は、サーバ400は直ちに通信路を遮断する(S12)。The authenticator generated in the card 100 is sent to the client PC 200 (S7), and further sent to the target server 400 via a communication path (S8). Then, the server 400 performs remote authentication using the infinite one-time authentication method (S9), and returns an authentication result to the client PC 200 (S10). If the authentication is successful, transmission / reception of data between the client PC 200 and the target server 400 is started (S11). If the authentication fails, the server 400 immediately cuts off the communication path (S12).
【0035】このように、リモート認証のための認証子
を生成するには、カード100内に保存されている秘密鍵
(Ks)102が必要である。そして、この秘密鍵(Ks)102を使
用できるのは、ローカル認証に成功した正当なカード所
持者だけである。従って、認証者は、リモート認証が成
功した時点で、クライアントPC200を操作している人間
が、サーバ400の正当な利用者であることの確証を得た
ことになる。言い換えると、遠隔地に存在する個人の認
証(遠隔個人認証)が実現されたことになる。As described above, in order to generate an authenticator for remote authentication, the secret key stored in the card 100 is required.
(Ks) 102 is required. Only a valid card holder who has succeeded in local authentication can use the secret key (Ks) 102. Therefore, the authenticator has obtained confirmation that the person operating the client PC 200 is a valid user of the server 400 when the remote authentication is successful. In other words, authentication of an individual located in a remote place (remote individual authentication) is realized.
【0036】[0036]
【変形例】上述した実施形態は、その趣旨を逸脱しない
範囲で種々の変形が可能である。[Modifications] Various modifications can be made to the above-described embodiment without departing from the spirit thereof.
【0037】上記では、ローカル認証のための認証情報
としてユーザの生体特徴である指紋を用いる例を説明し
たが、指紋以外の生体特徴情報も利用することが可能で
ある。例えば、網膜パターン、虹彩、掌形、耳の形、顔
のパターン、顔の温度分布および音声スペクトルなどで
ある。それらを測定(入力)および照合する機能、アク
セス制御可能なデータ記憶管理機能および暗号処理プロ
グラムが格納されたデバイスであれば、上記の実施形態
と同様の遠隔個人認証が可能になる。In the above, an example has been described in which a fingerprint, which is a biometric feature of a user, is used as authentication information for local authentication. However, biometric feature information other than a fingerprint can be used. For example, there are a retinal pattern, an iris, a palm shape, an ear shape, a face pattern, a face temperature distribution, and a voice spectrum. If the device has a function of measuring (inputting) and collating them, a data storage management function capable of controlling access, and a cryptographic processing program, remote personal authentication similar to that of the above embodiment can be performed.
【0038】また、一種類の生体特徴だけでなく、二種
類以上の生体特徴を測定(入力)および照合するデバイ
スであれば、ローカル認証のセキュリティをより向上さ
せることができる。Further, if the device measures (inputs) and checks not only one kind of biometric feature but also two or more biometric features, the security of local authentication can be further improved.
【0039】また、生体特徴入力照合デバイスとして、
極薄ICカードタイプ、携帯電話内蔵型、ゲーム機内蔵型
および腕時計内蔵型などが考えられる。凡そ、個人が身
に付けたり、持ち歩いたりする物品にバイオデバイスを
内蔵すれば、ネットワークを介したリモートアクセスに
おいて、認証者に対して、何時でも利用者の真正性が簡
単に証明することができる。As a biometric feature input matching device,
Ultra-thin IC card type, mobile phone built-in type, game machine built-in type, watch built-in type, etc. are considered. In general, if a biodevice is built into an item worn or carried by an individual, the authenticity of the user can be easily proved to the authenticator at any time in remote access via a network. .
【0040】上記では、リモート認証方式として無限ワ
ンタイム認証方式を利用する例を説明したが、セキュリ
ティ強度が強固、すなわち盗聴やリプレイ攻撃に耐え得
る方式であれば他の認証方式を採用しても構わない。例
えば、共通鍵による多値暗号文を発生させることが可能
なカオス多値暗号方式を利用して認証する方式が挙げら
れる。この場合、認証子の生成には種データを使用する
方法とチャレンジレスポンス認証方式を利用する方法が
ある。In the above, an example in which the infinite one-time authentication method is used as the remote authentication method has been described. However, any other authentication method can be used as long as the security strength is strong, that is, a method that can withstand wiretapping and replay attacks. I do not care. For example, there is a method of performing authentication using a chaotic multi-value encryption method capable of generating a multi-value cipher text using a common key. In this case, there are a method using seed data and a method using a challenge-response authentication method for generating an authenticator.
【0041】このように、本実施形態によれば、ネット
ワークを介した認証処理において、コンピュータを使用
してアクセスしてきた相手が正当なアクセス権を有する
人間か否かを、遠隔であるにもかかわらず、厳密に認証
することができる。その際、被認証者個人の生体特徴情
報(指紋など)は、本人が所持する生体特徴入力照合デ
バイスに登録されているだけであり、認証者側(遠隔の
認証サーバ)には一切登録する必要がないし、生体特徴
入力照合デバイスと認証サーバとの間で生体特徴情報が
やり取りされることもない。従って、このような認証シ
ステムの利用者の心理的抵抗感を排除することができ、
かつ、認証サーバの運用も容易になる。As described above, according to the present embodiment, in the authentication processing via the network, it is determined whether or not the person who accessed using the computer is a person having a legitimate access right, even though the person is remote. And can be strictly authenticated. At that time, the biometric feature information (fingerprint, etc.) of the individual to be authenticated is only registered in the biometric feature input / verification device possessed by the individual, and must be registered at all on the authenticator side (remote authentication server). No biometric feature information is exchanged between the biometric feature input verification device and the authentication server. Therefore, it is possible to eliminate the psychological resistance of users of such an authentication system,
In addition, the operation of the authentication server becomes easy.
【0042】[0042]
【発明の効果】以上説明したように、本発明によれば、
ネットワークを介したリモートアクセスにおける利用者
を認証することができる。As described above, according to the present invention,
A user for remote access via a network can be authenticated.
【0043】また、認証におけるパスワードやPINなど
を不要にすることができる。Further, a password or a PIN for authentication can be made unnecessary.
【0044】さらに、認証情報を生成するのに必要な情
報を、認証者と被認証者との間で通信する必要がない認
証を行うことができる。Further, it is possible to perform authentication that does not require communication of information necessary for generating authentication information between the authenticator and the subject.
【図1】生体検知型遠隔個人認証システムの構成例を示
す図、FIG. 1 is a diagram showing a configuration example of a living body detection type remote personal authentication system;
【図2】生体検知型遠隔個人認証システムにおけるクラ
イアント側のソフトウェアモジュールの構成例を示す
図、FIG. 2 is a diagram showing a configuration example of a software module on a client side in the living body detection type remote personal authentication system;
【図3】認証処理の流れを示すシーケンス図である。FIG. 3 is a sequence diagram illustrating a flow of an authentication process.
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) H04L 9/00 673A Fターム(参考) 5B085 AA08 AE12 AE15 AE23 AE25 AE26 AE29 BG07 5J104 AA07 KA01 KA04 KA06 KA17 NA02 NA35 NA37 NA38 NA40 NA42 PA07 ──────────────────────────────────────────────────続 き Continued on the front page (51) Int.Cl. 7 Identification FI FI Theme coat ゛ (Reference) H04L 9/00 673A F-term (Reference) 5B085 AA08 AE12 AE15 AE23 AE25 AE26 AE29 BG07 5J104 AA07 KA01 KA04 KA06 KA17 NA02 NA35 NA37 NA38 NA40 NA42 PA07
Claims (8)
るローカル認証を行うローカル認証手段、および、暗号
を利用した高セキュリティなリモート認証手段を有する
可搬型のデバイスを利用して、ネットワークを介した遠
隔認証を行う認証システムであって、 前記リモート認証手段は、前記ローカル認証が成功した
場合、前記遠隔認証に必要な認証情報を生成し、 前記遠隔認証を行う認証装置は、前記ネットワークを介
して送られてくる認証情報に基づき、前記ローカル認証
により前記被認証者の真正性が確認されたことを認識す
ることを特徴とする認証システム。1. A network using a portable device having local authentication means for performing local authentication for inputting and verifying a biometric characteristic of a subject, and high-security remote authentication means using encryption. An authentication system that performs remote authentication via the remote authentication unit, wherein the remote authentication unit generates authentication information necessary for the remote authentication when the local authentication is successful; An authentication system for recognizing that the authenticity of the subject is confirmed by the local authentication based on the authentication information sent through the authentication system.
における利用者を認証する認証装置であって、 前記利用者に関する生体的な特徴を示す情報が記録され
た記録手段と、 前記利用者の生体的な特徴を示す情報を入力する入力手
段と、 前記入力手段により入力された生体的な特徴を示す情報
と、前記記録手段に記録された生体的な特徴を示す情報
とを照合する照合手段と、 前記照合手段の照合結果に応じて、前記リモートアクセ
スに必要な認証情報を生成する生成手段とを有すること
を特徴とする認証装置。2. An authentication device for authenticating a user in remote access via a network, comprising: recording means for recording information indicating a biological characteristic of the user; and a biological characteristic of the user. Input means for inputting information indicating the biological information, input means for inputting information indicating biological characteristics, input means for inputting information indicating biological characteristics, input means for inputting information indicating biological characteristics, and information indicating biological characteristics recorded on the storage means, Generating means for generating authentication information necessary for the remote access in accordance with a result of the verification by the means.
合に前記認証情報を生成することを特徴とする請求項2
に記載された認証装置。3. The method according to claim 2, wherein the generating unit generates the authentication information when the collation matches.
Authentication device described in.
用いた暗号処理により前記認証情報を生成することを特
徴とする請求項2または請求項3に記載された認証装置。4. The authentication apparatus according to claim 2, wherein the generation unit generates the authentication information by performing a cryptographic process using seed information and a secret key.
る認証情報を、前記ネットワークを介してリモート認証
を行う他の認証装置へ送るために出力する出力手段を有
することを特徴とする請求項2から請求項4の何れかに記
載された認証装置。5. The apparatus according to claim 2, further comprising an output unit configured to output the authentication information generated by the generation unit to another authentication device that performs remote authentication via the network. An authentication device according to claim 4.
を特徴とする請求項2から請求項5の何れかに記載された
認証装置。6. The authentication device according to claim 2, wherein the authentication device has a card shape.
における利用者を認証する認証方法であって、 前記利用者の生体的な特徴を示す情報を入力し、 メモリから前記利用者に関する生体的な特徴を示す情報
を読み出し、 前記入力手段により入力された生体的な特徴を示す情報
と、前記メモリから読み出された生体的な特徴を示す情
報とを照合し、 その照合結果に応じて、前記リモートアクセスに必要な
認証情報を生成することを特徴とする認証方法。7. An authentication method for authenticating a user in remote access via a network, comprising: inputting information indicating a biological characteristic of the user; and displaying a biological characteristic of the user from a memory. The information is read, and the information indicating the biological characteristic input by the input unit is compared with the information indicating the biological characteristic read from the memory. An authentication method characterized by generating necessary authentication information.
における利用者を認証する認証装置に使用される記憶媒
体であって、 前記利用者に関する生体的な特徴を示す特徴情報と、 前記特徴情報と、入力手段により入力される生体的な特
徴を示す情報とを照合するプログラムコードと、 その照合結果に応じて、前記リモートアクセスに必要な
認証情報を生成するプログラムコードとを有することを
特徴とする記憶媒体。8. A storage medium used for an authentication device that authenticates a user in remote access via a network, wherein the feature information indicates biological characteristics of the user, the feature information, and input means. And a program code for generating authentication information necessary for the remote access according to the result of the comparison.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000131674A JP2001312477A (en) | 2000-04-28 | 2000-04-28 | System, device, and method for authentication |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000131674A JP2001312477A (en) | 2000-04-28 | 2000-04-28 | System, device, and method for authentication |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2001312477A true JP2001312477A (en) | 2001-11-09 |
Family
ID=18640538
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2000131674A Withdrawn JP2001312477A (en) | 2000-04-28 | 2000-04-28 | System, device, and method for authentication |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2001312477A (en) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002278640A (en) * | 2001-01-12 | 2002-09-27 | Nippon Telegr & Teleph Corp <Ntt> | Authentication token and authentication system |
WO2003102795A1 (en) * | 2002-05-31 | 2003-12-11 | Mitsui & Co., Ltd. | Network multi-access method and electronic device having biological information authentication function for network multi-access |
WO2008004312A1 (en) * | 2006-07-07 | 2008-01-10 | Jcb Co., Ltd. | Net settlement assisting device |
JP2008004118A (en) * | 2007-08-06 | 2008-01-10 | Toyo Networks & System Integration Co Ltd | Usb access key |
JP2008016044A (en) * | 2007-08-06 | 2008-01-24 | Toyo Networks & System Integration Co Ltd | Usb access key |
JP2009508189A (en) * | 2005-08-11 | 2009-02-26 | サンディスク アイエル リミテッド | Extended one-time password method and apparatus |
JP2011070325A (en) * | 2009-09-24 | 2011-04-07 | Mizuho Financial Group Inc | Remote access control method and remote access control system |
JP2016092522A (en) * | 2014-10-31 | 2016-05-23 | 株式会社アドバンテスト | Authentication system, authentication method, and service providing system |
JP2018113504A (en) * | 2017-01-06 | 2018-07-19 | 大日本印刷株式会社 | Secure element, UIM card, authentication method, and authentication program |
JP7128597B1 (en) | 2021-07-05 | 2022-08-31 | 克弥 西沢 | Biometric authentication device using thermal image |
WO2023042825A1 (en) | 2021-09-17 | 2023-03-23 | 株式会社 東芝 | Information management system, authentication device, and personal information server |
-
2000
- 2000-04-28 JP JP2000131674A patent/JP2001312477A/en not_active Withdrawn
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002278640A (en) * | 2001-01-12 | 2002-09-27 | Nippon Telegr & Teleph Corp <Ntt> | Authentication token and authentication system |
WO2003102795A1 (en) * | 2002-05-31 | 2003-12-11 | Mitsui & Co., Ltd. | Network multi-access method and electronic device having biological information authentication function for network multi-access |
JP2009508189A (en) * | 2005-08-11 | 2009-02-26 | サンディスク アイエル リミテッド | Extended one-time password method and apparatus |
US8132243B2 (en) | 2005-08-11 | 2012-03-06 | Sandisk Il Ltd. | Extended one-time password method and apparatus |
KR101248058B1 (en) * | 2006-07-07 | 2013-03-27 | 가부시기가이샤제이씨비 | Internet settlement system |
WO2008004312A1 (en) * | 2006-07-07 | 2008-01-10 | Jcb Co., Ltd. | Net settlement assisting device |
JP2008004118A (en) * | 2007-08-06 | 2008-01-10 | Toyo Networks & System Integration Co Ltd | Usb access key |
JP2008016044A (en) * | 2007-08-06 | 2008-01-24 | Toyo Networks & System Integration Co Ltd | Usb access key |
JP2011070325A (en) * | 2009-09-24 | 2011-04-07 | Mizuho Financial Group Inc | Remote access control method and remote access control system |
JP2016092522A (en) * | 2014-10-31 | 2016-05-23 | 株式会社アドバンテスト | Authentication system, authentication method, and service providing system |
JP2018113504A (en) * | 2017-01-06 | 2018-07-19 | 大日本印刷株式会社 | Secure element, UIM card, authentication method, and authentication program |
JP7128597B1 (en) | 2021-07-05 | 2022-08-31 | 克弥 西沢 | Biometric authentication device using thermal image |
JP2023008014A (en) * | 2021-07-05 | 2023-01-19 | 克弥 西沢 | Biometric authentication device using thermal image |
WO2023042825A1 (en) | 2021-09-17 | 2023-03-23 | 株式会社 東芝 | Information management system, authentication device, and personal information server |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3222110B2 (en) | Personal identification fob | |
CN107251477B (en) | System and method for securely managing biometric data | |
JP3222111B2 (en) | Remote identity verification method and apparatus using personal identification device | |
WO2012042775A1 (en) | Biometric authentication system, communication terminal device, biometric authentication device, and biometric authentication method | |
US20050144484A1 (en) | Authenticating method | |
JP4664644B2 (en) | Biometric authentication device and terminal | |
US9384338B2 (en) | Architectures for privacy protection of biometric templates | |
JP2004506361A (en) | Entity authentication in electronic communication by providing device verification status | |
KR20080075956A (en) | A user authentication device and method using biometrics information | |
JP2000242750A (en) | Personal authentication system, and portable device and storage medium used for the same | |
US20130179944A1 (en) | Personal area network (PAN) ID-authenticating systems, apparatus, method | |
JP2006209697A (en) | Individual authentication system, and authentication device and individual authentication method used for the individual authentication system | |
JP2001312477A (en) | System, device, and method for authentication | |
KR20040082674A (en) | System and Method for Authenticating a Living Body Doubly | |
Tang et al. | Distributed PIN verification scheme for improving security of mobile devices | |
US20190028470A1 (en) | Method For Verifying The Identity Of A Person | |
CN113302876A (en) | Offline non-interception interaction with cryptocurrency network using network-disabled devices | |
JP2006262333A (en) | Living body authentication system | |
WO2023022584A1 (en) | System and method for decentralising digital identification | |
JP2004206258A (en) | Multiple authentication system, computer program, and multiple authentication method | |
WO2007108397A1 (en) | Communication system, server, client terminal device and communicating method | |
JP4760124B2 (en) | Authentication device, registration device, registration method, and authentication method | |
JP2001067477A (en) | Individual identification system | |
JP2009282945A (en) | Biometric authentication method and system | |
JPH10255005A (en) | User authentication system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20070703 |