認証システム
【課題】 利用者固有の情報である個人情報や生体情報などを、サービス提供者が管理する認証サーバではなく、利用者自身が管理する携帯型情報格納装置に格納したまま、認証端末装置を通じてサービスの利用者の認証を行えるようにすること。
【解決手段】 利用者Aの認証情報を登録する際に、携帯型情報格納装置110を利用者Aに発行し、装置認証情報を携帯型情報格納装置110と認証サーバ130とに登録し、利用者認証情報を携帯型情報格納装置110に登録し、利用者Aが認証端末装置120により認証を受ける際に、携帯型情報格納装置110を認証端末装置120に接続し、利用者Aの固有の認証情報を認証端末装置120に提供し、乱数を鍵とし利用者認証情報を入力とした一方向関数の出力を取得し、利用者認証情報比較部124および装置認証情報比較部125でこれらの認証情報を比較し、一致するか否かで利用者Aの認証を行う。
【解決手段】 利用者Aの認証情報を登録する際に、携帯型情報格納装置110を利用者Aに発行し、装置認証情報を携帯型情報格納装置110と認証サーバ130とに登録し、利用者認証情報を携帯型情報格納装置110に登録し、利用者Aが認証端末装置120により認証を受ける際に、携帯型情報格納装置110を認証端末装置120に接続し、利用者Aの固有の認証情報を認証端末装置120に提供し、乱数を鍵とし利用者認証情報を入力とした一方向関数の出力を取得し、利用者認証情報比較部124および装置認証情報比較部125でこれらの認証情報を比較し、一致するか否かで利用者Aの認証を行う。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、端末認証システムに関し、認証者としてのサービス提供者が認証端末装置を通じて被認証者としてのサービスの利用者の認証を行う端末認証システムに関する。
【背景技術】
【0002】
銀行ATMや入り口認証システムなどにおいては、サービス提供者が利用者にサービスを提供する際に、サービスを受けようとする利用者があらかじめ登録された利用者であるか否かを認証システムによって確認するようにしている。
【0003】
この種の従来の認証システムでは、サービスの利用者によって入力された利用者の認証情報と、サービス提供者の認証サーバにあらかじめ保存されている利用者の認証情報とを比較することにより利用者の認証を行っている。
【0004】
また、この種の従来の認証システムでは、利用者の認証情報として、例えばID番号、パスワード、利用者の生年月日や電話番号などの利用者の個人情報、デジタル化された指紋や虹彩模様など利用者の生体情報、もしくはこれらを組み合わせたものが用いられている(例えば、特許文献1参照)。
【0005】
これらの認証情報のなかでも、利用者固有の情報である個人情報や生体情報は、将来に亘って変化しない性質を有しているので、サービスを受けようとする利用者の認証情報として特に望ましい。
【特許文献1】特開2003−346098号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、従来の認証システムにおいては、利用者の認証情報として個人情報や生体情報を用いる場合、サービスの利用者がサービス提供者の認証サーバにこれらの認証情報をあらかじめ登録しておく必要があった。
【0007】
また、このような個人情報や生体情報を認証情報として用いる認証システムは、利用者個人以外のサービス提供者などが利用者固有の情報を管理することになるため、プライバシー保護の観点からもサービスの利用者にとって好ましいことではなかった。
【0008】
本発明は、かかる点に鑑みてなされたもので、利用者固有の情報である個人情報や生体情報などを、サービス提供者が管理する認証サーバではなく、利用者自身が管理する携帯型情報格納装置に格納したまま、認証端末装置を通じてサービスの利用者の認証を行うことが可能な認証システムを提供することを目的とする。
【課題を解決するための手段】
【0009】
かかる課題を解決するため、本発明の認証システムは、携帯型情報格納装置と、認証端末装置と、認証サーバと、を備え、前記携帯型情報格納装置は、前記認証端末装置の要求に応じて格納されている第1の認証情報を出力する第1の認証情報格納部と、前記認証端末装置の要求に応じて前記認証端末装置からの入力情報および格納されている第2の認証情報を入力とした一方向関数の演算結果を前記認証端末装置に出力する第2の認証情報格納部と、を備え、前記認証端末装置は、前記携帯型情報格納装置に要求することにより得られる前記第1の認証情報と前記認証サーバに登録された前記携帯型情報格納装置に固有の第3の認証情報とを比較する第1の認証情報比較部と、任意の情報を生成し前記被認証者が持つ前記携帯型情報格納装置に入力することにより得られる第1の認証補助情報と前記任意の情報と前記被認証者によって提供される第4の認証情報とを入力とした一方向関数の演算結果である第2の認証補助情報とを比較する第2の認証情報比較部と、を備え、前記認証サーバに前記被認証者の認証情報を登録する際に、前記携帯型情報格納装置を被認証者に発行し、前記第3の認証情報を前記携帯型情報格納装置と前記認証サーバとに登録し、前記被認証者によって提供される前記第1の認証情報を前記携帯型情報格納装置に登録し、前記被認証者が前記認証端末装置により認証を受ける際に、前記携帯型情報格納装置を前記認証端末装置に接続し、前記被認証者の前記第4の認証情報を前記認証端末装置に提供し、前記認証端末装置が前記第1の認証情報と前記第3の認証情報とを比較し、前記第1の認証補助情報と前記第2の認証補助情報とを比較することにより、前記被認証者を認証する構成を採る。
【0010】
この構成によれば、利用者固有の情報である個人情報や生体情報などを、サービス提供者が管理する認証サーバではなく、利用者自身が管理する携帯型情報格納装置に格納したまま、利用者の認証に用いることができる。また、この構成によれば、利用者認証情報を携帯型情報格納装置から直接取り出すことができず、利用者認証情報と、入力された情報を入力とする一方向関数の演算結果のみとが出力されるので、利用者認証情報を不正に取得されることがない。さらに、この構成によれば、装置認証情報を直接取り出せない構成にすることで、携帯型情報格納装置の装置認証情報を不正に取得されることがない。
【発明の効果】
【0011】
本発明によれば、利用者固有の情報である個人情報や生体情報などを、サービス提供者が管理する認証サーバではなく、利用者自身が管理する携帯型情報格納装置に格納したまま、利用者の認証に用いることができる。
【発明を実施するための最良の形態】
【0012】
以下、本発明の実施の形態について、図面を参照して詳細に説明する。なお、各図において同一の構成または機能を有する構成要素及び相当部分には、同一の符号を付してその説明は繰り返さない。
【0013】
(実施の形態1)
図1は、本発明の実施の形態1に係る認証システムの構成を示すブロック図である。図1に示すように、本実施の形態1に係る認証システム100は、利用者A、携帯型情報格納装置110、認証端末装置120、認証サーバ130で構成される。
【0014】
携帯型情報格納装置110は、利用者認証情報格納部111、装置認証情報格納部112を備えている。利用者認証情報格納部111は、一方向関数演算部113、記憶装置114、を備えている。装置認証情報格納部112は、記憶装置115を備えている。
【0015】
認証端末装置120は、認証情報取得部121、乱数発生部122、一方向関数演算部123、利用者認証情報比較部124、装置認証情報比較部125を備えている。
【0016】
認証サーバ130は、装置認証情報を格納するための装置認証情報格納部131を備えている。
【0017】
図1において、携帯型情報格納装置110の利用者認証情報格納部111の記憶装置114には、外部から入力された利用者情報が書き込まれる。この記憶装置114に書き込まれた利用者情報は、利用者認証情報格納部111の一方向関数演算部113に読み出される。
【0018】
利用者認証情報格納部111の一方向関数演算部113には、後述するように認証端末装置120に携帯型情報格納装置110が接続されることにより、認証端末装置120の乱数発生部122からの出力が入力される。また、利用者認証情報格納部111の一方向関数演算部113の演算結果は、認証端末装置120に携帯型情報格納装置110が接続されることにより、認証端末装置120の利用者認証情報比較部124に出力される。
【0019】
携帯型情報格納装置110の装置認証情報格納部112の記憶装置115には、外部から入力される装置認証情報が書き込まれる。この記憶装置115に書き込まれた装置認証情報は、認証端末装置120に携帯型情報格納装置110が接続されることにより、認証端末装置120の装置認証情報比較部125に読み出される。
【0020】
認証端末装置120の認証情報取得部121は、利用者Aからサービス利用者の認証情報を取得し、取得した認証情報を認証端末装置120の一方向関数演算部123に出力する。
【0021】
認証端末装置120の乱数発生部122は、携帯型情報格納装置110の利用者認証情報格納部111の一方向関数演算部113および認証端末装置120の一方向関数演算部123に乱数を出力する。
【0022】
認証端末装置120の一方向関数演算部123は、認証端末装置120の利用者認証情報比較部124に演算結果を出力する。
【0023】
認証端末装置120の利用者認証情報比較部124は、利用者認証情報格納部111の一方向関数演算部113から入力された演算結果と、認証端末装置120の一方向関数演算部123から入力された演算結果とを比較する。
【0024】
認証端末装置120の装置認証情報比較部125は、認証サーバ130の装置認証情報格納部131に格納されている複数の装置認証情報のうちの利用者Aに発行した携帯型情報格納装置110に該当する装置認証情報と、携帯型情報格納装置110の装置認証情報格納部112の記憶装置115から読み出した装置認証情報とを比較する。
【0025】
次に、本実施の形態1に係る認証システム100における利用者の登録手順について説明する。
【0026】
本実施の形態1に係る認証システム100においては、サービス提供者は新たな利用者を登録する際に、利用者に携帯型情報格納装置110を発行する。この際、サービス提供者は、この携帯型情報格納装置110の固有の装置認証情報を利用者に発行する。この装置認証情報は、携帯型情報格納装置110の装置認証情報格納部112の記憶装置115に書き込まれるとともに、認証サーバ130の装置認証情報格納部131に登録される。
【0027】
また、サービス提供者は、携帯型情報格納装置110の利用者認証情報格納部111の記憶装置114に、サービスの利用者Aの利用者認証情報を書き込む。この利用者認証情報としては、例えば、ID番号、パスワード、利用者Aの生年月日や電話番号などの利用者Aの個人情報、デジタル化された指紋や虹彩模様など利用者Aの生体情報、もしくはこれらを組み合わせたものが用いられる。
【0028】
次に、本実施の形態1に係る認証システム100における利用者の認証手順について説明する。
【0029】
本実施の形態1に係る認証システム100においては、サービスの利用者Aが認証を受ける場合、利用者Aは、登録時に発行された携帯型情報格納装置110を認証端末装置120に接続する。また、利用者Aは、認証情報取得部121を通じて認証端末装置120に利用者Aの認証情報を提供する。ここで、利用者Aの認証情報として指紋情報を用いる場合には、認証情報取得部121としては、指紋情報をデジタル化して取得する装置が用いられる。また、利用者Aの認証情報として虹彩模様を用いる場合には、認証情報取得部121としては、虹彩模様をデジタル化して取得する装置が用いられる。
【0030】
一方、認証端末装置120は、携帯型情報格納装置110が接続されると、携帯型情報格納装置110の装置認証情報格納部112にアクセスすることにより、携帯型情報格納装置110の装置認証情報格納部112の記憶装置115に格納されている装置認証情報を読み出す。
【0031】
また、認証端末装置120は、認証サーバ130の装置認証情報格納部131にアクセスすることにより、接続された携帯型情報格納装置110に対応する装置認証情報を装置認証情報格納部131から取得する。
【0032】
そして、認証端末装置120は、記憶装置115から読み出した装置認証情報と、装置認証情報格納部131から取得した装置認証情報とを、装置認証情報比較部125において比較する。これにより、認証端末装置120は、接続された携帯型情報格納装置110が有効な携帯型情報格納装置110であるか否かの認証を行う。この認証結果は、認証端末装置120の装置認証情報比較部125から出力され、この認証結果に基づいて利用者Aへのサービスの提供の可否が決定される。
【0033】
次いで、認証端末装置120は、乱数発生部122で乱数を発生させ、接続された携帯型情報格納装置110の利用者認証情報格納部111の一方向関数演算部113に発生させた乱数を出力して、一方向関数演算部113の演算結果を得る。
【0034】
また、認証端末装置120は、乱数発生部122で発生させた乱数を、認証端末装置120の一方向関数演算部123に出力し、一方向関数演算部123の演算結果を得る。
【0035】
そして、認証端末装置120は、一方向関数演算部113と一方向関数演算部123とで得られた2つの演算結果を利用者認証情報比較部124において比較することにより、利用者認証情報を提供した利用者Aが有効な利用者であるか否かの認証を行う。この認証結果は、認証端末装置120の利用者認証情報比較部124から出力され、この認証結果に基づいて利用者Aへのサービスの提供の可否が決定される。
【0036】
上述のように、本実施の形態1に係る認証システム100においては、サービス提供者は新たなサービスの利用者Aを登録する際、サービスの利用者Aに認証情報を格納することのできる携帯型情報格納装置110を発行するようにしている。この携帯型情報格納装置110は、例えば、ICカードやメモリカードなどで実現することができる。
【0037】
この携帯型情報格納装置110は、携帯型情報格納装置110の固有の装置認証情報を格納する機能と、サービスの利用者Aの個人情報や生体情報などの利用者認証情報を格納する機能を有している。
【0038】
この利用者認証情報を格納する機能は、外部から利用者認証情報を書き込むことはできるが、一度格納された利用者認証情報を取り出すことはできない。しかし、この利用者認証情報を格納する機能は、外部より数値入力を受けると、その入力値を鍵とし、格納された利用者認証情報を入力とした一方向関数の演算結果を出力するようになっている。前記一方向関数は、例えばハッシュ関数などを用いて実現される。
【0039】
このように、本実施の形態1に係る認証システム100における利用者認証情報の格納機能は、一方向関数の演算結果のみを出力することにより、携帯型情報格納装置110から利用者認証情報を取り出せないようになっている。
【0040】
また、本実施の形態1に係る認証システム100においては、サービス提供者が新たな利用者Aを登録する場合、利用者Aに発行する携帯型情報格納装置110の固有の装置認証情報を、携帯型情報格納装置110に書き込み、さらにサービス提供者が管理する認証サーバ130に登録するようにしている。
【0041】
また、サービス提供者は、利用者Aの個人情報や生体情報などの利用者Aの固有の利用者認証情報を、携帯型情報格納装置110に書き込むようにしている。そして、利用者Aは、認証を受ける際、発行された携帯型情報格納装置110を認証端末装置120に接続し、自己の個人情報や生体情報などの利用者認証情報を提供するようにしている。
【0042】
これにより、認証端末装置120は、まず接続された携帯型情報格納装置110の認証を行う。そして、認証端末装置120は、携帯型情報格納装置110の装置認証情報を格納する機能にアクセスすることにより、この携帯型情報格納装置110の装置認証情報を取得するようになっている。
【0043】
さらに、認証端末装置120は、サービス提供者の認証サーバ130にアクセスすることにより、発行された携帯型情報格納装置110の装置認証情報を取得し、これらの装置認証情報が一致するかどうかの確認を行うようになっている。
【0044】
次いで、認証端末装置120は、利用者Aから提供された利用者認証情報の認証を行う。つまり、認証端末装置120は、適当な乱数を発生させて、携帯型情報格納装置110の利用者認証情報を格納する機能に入力することにより、入力した乱数を鍵とし、この携帯型情報格納装置110の利用者Aの認証情報を入力とした一方向関数の出力を取得するようにしている。さらに、前記乱数を鍵とし、利用者Aにより提供された利用者認証情報を入力とした一方向関数の出力を取得し、これらの利用者認証情報が一致するかどうかの確認を行うようにしている。
【0045】
このように、本実施の形態1に係る認証システム100では、二段階の認証を行うことにより、認証端末装置120を通じてサービス利用者の認証を行うことが可能となる。
【0046】
すなわち、本実施の形態1に係る認証システム100においては、利用者Aの固有の情報である個人情報や生体情報などを、サービス提供者が管理する認証サーバ130ではなく、利用者自身が管理する携帯型情報格納装置110に格納したまま、利用者Aの認証に用いることができる。
【0047】
また、本実施の形態1に係る認証システム100においては、利用者認証情報を携帯型情報格納装置110から直接取り出すことができず、利用者認証情報と、入力された情報を入力とする一方向関数の演算結果のみとが出力されるので、利用者認証情報を不正に取得されることがない。
【0048】
さらに、本実施の形態1に係る認証システム100においては、装置認証情報を直接取り出せない構成にすることが可能であるので、携帯型情報格納装置110の装置認証情報が不正に取得されることがない。
【0049】
(実施の形態2)
次に、本発明の実施の形態2に係る認証システムについて説明する。図2は、本発明の実施の形態2に係る認証システムの構成を示すブロック図である。図2に示すように、本実施の形態2に係る認証システム200は、利用者B、携帯型情報格納装置210、認証端末装置220、認証サーバ230で構成される。
【0050】
携帯型情報格納装置210は、利用者認証情報格納部211、装置認証情報格納部212を備えている。利用者認証情報格納部211は、記憶装置214、一方向関数演算部213を備えている。装置認証情報格納部212は、記憶装置215、一方向関数演算部216を備えている。
【0051】
認証端末装置220は、認証情報取得部221、乱数発生部222、一方向関数演算部223、利用者認証情報比較部224、装置認証情報比較部225を備えている。
【0052】
認証サーバ230は、装置認証情報を格納するための装置認証情報格納部231を備えている。
【0053】
図2において、携帯型情報格納装置210の利用者認証情報格納部211の記憶装置214には、外部から入力された利用者情報が書き込まれる。この記憶装置214に書き込まれた利用者情報は、利用者認証情報格納部211の一方向関数演算部213に読み出される。
【0054】
利用者認証情報格納部211の一方向関数演算部213には、後述するように認証端末装置220に携帯型情報格納装置210が接続されることにより、認証端末装置220の乱数発生部222からの出力が入力される。また、一方向関数演算部213の演算結果は、認証端末装置220に携帯型情報格納装置210が接続されることにより、認証端末装置220の利用者認証情報比較部224に出力される。
【0055】
携帯型情報格納装置210の装置認証情報格納部212の記憶装置215には、外部から入力される装置認証情報が書き込まれる。この記憶装置215に書き込まれた装置認証情報は、携帯型情報格納装置210の装置認証情報格納部212の一方向関数演算部216に読み出される。
【0056】
装置認証情報格納部212の一方向関数演算部216には、後述するように認証端末装置220に携帯型情報格納装置210が接続されることにより、認証端末装置220の乱数発生部222からの出力が入力される。また、装置認証情報格納部212の一方向関数演算部216の演算結果は、認証端末装置220に携帯型情報格納装置210が接続されることにより、認証端末装置220の装置認証情報比較部225に出力される。
【0057】
認証端末装置220の認証情報取得部221は、利用者Bからサービス利用者の認証情報を取得し、取得した認証情報を認証端末装置220の一方向関数演算部223に出力する。
【0058】
認証端末装置220の乱数発生部222は、携帯型情報格納装置210の利用者認証情報格納部211の一方向関数演算部213、携帯型情報格納装置210の装置認証情報格納部212の一方向関数演算部216および認証端末装置220の一方向関数演算部223に乱数を出力する。
【0059】
認証端末装置220の一方向関数演算部223は、認証端末装置220の利用者認証情報比較部224および装置認証情報比較部225に演算結果を出力する。
【0060】
認証端末装置220の利用者認証情報比較部224は、利用者認証情報格納部211の一方向関数演算部213から入力された演算結果と、認証端末装置220の一方向関数演算部223から入力された演算結果とを比較する。
【0061】
認証端末装置220の装置認証情報比較部225は、装置認証情報格納部212の一方向関数演算部216から入力された演算結果と、認証端末装置220の一方向関数演算部223から入力された演算結果とを比較する。
【0062】
次に、本実施の形態2に係る認証システム200における利用者の登録手順について説明する。
【0063】
本実施の形態2に係る認証システム200においては、サービス提供者は新たな利用者を登録する際に、利用者に携帯型情報格納装置210を発行する。この際、サービス提供者は、この携帯型情報格納装置210の固有の認証情報を発行する。この装置認証情報は、携帯型情報格納装置210の装置認証情報格納部212の記憶装置215に書き込まれるとともに、認証サーバ230の装置認証情報格納部231に登録される。
【0064】
また、サービス提供者は、携帯型情報格納装置210の利用者認証情報格納部211の記憶装置214に、サービスの利用者Bの利用者認証情報を書き込む。この利用者認証情報としては、例えば、ID番号、パスワード、利用者Bの生年月日や電話番号などの利用者Bの個人情報、デジタル化された指紋や虹彩模様など利用者Bの生体情報、もしくはこれらを組み合わせたものが用いられる。
【0065】
次に、本実施の形態2に係る認証システム200における利用者の認証手順について説明する。
【0066】
本実施の形態2に係る認証システム200においては、サービスの利用者Bが認証を受ける場合、利用者Bは、登録時に発行された携帯型情報格納装置210を認証端末装置220に接続する。また、利用者Bは、認証情報取得部221を通じて認証端末装置220に利用者Bの認証情報を提供する。ここで、利用者Bの認証情報として指紋情報を用いる場合には、認証情報取得部221としては、指紋情報をデジタル化して取得する装置が用いられる。また、利用者Bの認証情報として虹彩模様を用いる場合には、認証情報取得部221としては、虹彩模様をデジタル化して取得する装置が用いられる。
【0067】
一方、認証端末装置220は、携帯型情報格納装置210が接続されると、携帯型情報格納装置210の装置認証情報格納部212にアクセスして、携帯型情報格納装置210の装置認証情報格納部212の記憶装置215に格納されている装置認証情報を一方向関数演算部216に読み出す。
【0068】
また、認証端末装置220は、認証サーバ230の装置認証情報格納部231にアクセスすることにより、接続された携帯型情報格納装置210に対応する装置認証情報を装置認証情報格納部231から取得して一方向関数演算部223に送る。
【0069】
さらに、認証端末装置220は、乱数発生部222で乱数を発生させ、接続された携帯型情報格納装置210の装置認証情報格納部212の一方向関数演算部216に発生させた乱数を出力して、一方向関数演算部216の演算結果を得る。
【0070】
また、認証端末装置220は、乱数発生部222で発生させた乱数を、認証端末装置220の一方向関数演算部223にも入力し、一方向関数演算部223の演算結果を得る。
【0071】
そして、認証端末装置220は、記憶装置215から読み出した装置認証情報と、装置認証情報格納部231から取得した複数の装置認証情報のうちの利用者Bに発行した携帯型情報格納装置210に該当する一方向関数演算部223からの装置認証情報とを、装置認証情報比較部225において比較する。これにより、認証端末装置220は、接続された携帯型情報格納装置210が有効な携帯型情報格納装置210であるか否かの認証を行う。この認証結果は、認証端末装置220の装置認証情報比較部225から出力され、この認証結果に基づいて利用者Bへのサービスの提供の可否が決定される。
【0072】
次いで、認証端末装置220は、乱数発生部222で乱数を発生させ、接続された携帯型情報格納装置210の利用者認証情報格納部211の一方向関数演算部213に発生させた乱数を出力して、一方向関数演算部213の演算結果を得る。
【0073】
また、認証端末装置220は、乱数発生部222で発生させた乱数を、認証端末装置220の一方向関数演算部223に出力し、一方向関数演算部223の演算結果を得る。
【0074】
そして、認証端末装置220は、一方向関数演算部213と一方向関数演算部223とで得られた2つの演算結果を利用者認証情報比較部224において比較することにより、利用者認証情報を提供した利用者Bが有効な利用者であるか否かの認証を行う。この認証結果は、認証端末装置220の利用者認証情報比較部224から出力され、この認証結果に基づいて利用者Bへのサービスの提供の可否が決定される。
【0075】
上述のように、本実施の形態2に係る認証システム200においては、サービス提供者は新たなサービスの利用者Bを登録する際、サービスの利用者Bに認証情報を格納することのできる携帯型情報格納装置210を発行するようにしている。この携帯型情報格納装置210は、例えば、ICカードやメモリカードなどで実現することができる。
【0076】
この携帯型情報格納装置210は、携帯型情報格納装置210の固有の装置認証情報を格納する機能と、サービスの利用者Aの個人情報や生体情報などの利用者認証情報を格納する機能を有している。
【0077】
この利用者認証情報を格納する機能は、外部から利用者認証情報を書き込むことはできるが、一度格納された利用者認証情報を取り出すことはできない。しかし、この利用者認証情報を格納する機能は、外部より数値入力を受けると、その入力値を鍵とし、格納された利用者認証情報を入力とした一方向関数の演算結果を出力するようになっている。前記一方向関数は、例えばハッシュ関数などを用いて実現される。
【0078】
このように、本実施の形態2に係る認証システム200における利用者認証情報の格納機能は、一方向関数の演算結果のみを出力することにより、携帯型情報格納装置210から利用者認証情報を取り出せないようになっている。
【0079】
また、本実施の形態2に係る認証システム200においては、サービス提供者が新たな利用者Bを登録する場合、利用者Bに発行する携帯型情報格納装置210の固有の装置認証情報を、携帯型情報格納装置210に書き込み、さらにサービス提供者が管理する認証サーバ230に登録するようにしている。
【0080】
また、サービス提供者は、利用者Bの個人情報や生体情報などの利用者Bの固有の利用者認証情報を、携帯型情報格納装置210に書き込むようにしている。そして、利用者Bは、認証を受ける際、発行された携帯型情報格納装置210を認証端末装置220に接続し、自己の個人情報や生体情報などの利用者認証情報を提供するようにしている。
【0081】
これにより、認証端末装置220は、まず接続された携帯型情報格納装置210の認証を行う。そして、認証端末装置220は、携帯型情報格納装置210の装置認証情報を格納する機能にアクセスすることにより、この携帯型情報格納装置210の装置認証情報を取得するようになっている。
【0082】
さらに、認証端末装置220は、サービス提供者の認証サーバ230にアクセスすることにより、発行された携帯型情報格納装置210の装置認証情報を取得し、これらの装置認証情報が一致するかどうかの確認を行うようになっている。
【0083】
次いで、認証端末装置220は、利用者Bから提供された利用者認証情報の認証を行う。つまり、認証端末装置220は、適当な乱数を発生させて、携帯型情報格納装置210の利用者認証情報を格納する機能に入力することにより、入力した乱数を鍵とし、この携帯型情報格納装置210の利用者Bの認証情報を入力とした一方向関数の出力を取得するようにしている。さらに、前記乱数を鍵とし、利用者Bにより提供された利用者認証情報を入力とした一方向関数の出力を取得し、これらの利用者認証情報が一致するかどうかの確認を行うようにしている。
【0084】
このように、本実施の形態2に係る認証システム200では、二段階の認証を行うことにより、認証端末装置220を通じてサービス利用者の認証を行うことが可能となる。
【0085】
すなわち、本実施の形態2に係る認証システム200においては、利用者Bの固有の情報である個人情報や生体情報などを、サービス提供者が管理する認証サーバ230ではなく、利用者自身が管理する携帯型情報格納装置210に格納したまま、利用者Bの認証に用いることができる。
【0086】
また、本実施の形態2に係る認証システム200においては、利用者認証情報を携帯型情報格納装置210から直接取り出すことができず、利用者認証情報と、入力された情報を入力とする一方向関数の演算結果のみとが出力されるので、利用者認証情報を不正に取得されることがない。
【0087】
さらに、本実施の形態2に係る認証システム200においては、装置認証情報を直接取り出せない構成にすることが可能であるので、携帯型情報格納装置210の装置認証情報が不正に取得されることがない。
【産業上の利用可能性】
【0088】
本発明に係る認証システムは、利用者固有の情報である個人情報や生体情報などを、サービス提供者が管理する認証サーバではなく、利用者自身が管理する携帯型情報格納装置に格納したまま、利用者の認証に用いることができるので、銀行ATMや入り口認証システムなどの認証システムとして有用である。
【図面の簡単な説明】
【0089】
【図1】本発明の実施の形態1に係る認証システムの構成を示すブロック図
【図2】本発明の実施の形態2に係る認証システムの構成を示すブロック図
【符号の説明】
【0090】
100,200 認証システム
110,210 携帯型情報格納装置
111,211 利用認証情報格納部
112,212 装置認証情報格納部
113,213 一方向関数演算部
114,115,214,215 記憶装置
120,220 認証端末装置
121,221 認証情報取得部
122,222 乱数発生部
123,223 一方向関数演算部
124,224 利用者認証情報比較部
125,225 装置認証情報比較部
130,230 認証サーバ
131,231 装置認証情報格納部
A,B 利用者
【技術分野】
【0001】
本発明は、端末認証システムに関し、認証者としてのサービス提供者が認証端末装置を通じて被認証者としてのサービスの利用者の認証を行う端末認証システムに関する。
【背景技術】
【0002】
銀行ATMや入り口認証システムなどにおいては、サービス提供者が利用者にサービスを提供する際に、サービスを受けようとする利用者があらかじめ登録された利用者であるか否かを認証システムによって確認するようにしている。
【0003】
この種の従来の認証システムでは、サービスの利用者によって入力された利用者の認証情報と、サービス提供者の認証サーバにあらかじめ保存されている利用者の認証情報とを比較することにより利用者の認証を行っている。
【0004】
また、この種の従来の認証システムでは、利用者の認証情報として、例えばID番号、パスワード、利用者の生年月日や電話番号などの利用者の個人情報、デジタル化された指紋や虹彩模様など利用者の生体情報、もしくはこれらを組み合わせたものが用いられている(例えば、特許文献1参照)。
【0005】
これらの認証情報のなかでも、利用者固有の情報である個人情報や生体情報は、将来に亘って変化しない性質を有しているので、サービスを受けようとする利用者の認証情報として特に望ましい。
【特許文献1】特開2003−346098号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、従来の認証システムにおいては、利用者の認証情報として個人情報や生体情報を用いる場合、サービスの利用者がサービス提供者の認証サーバにこれらの認証情報をあらかじめ登録しておく必要があった。
【0007】
また、このような個人情報や生体情報を認証情報として用いる認証システムは、利用者個人以外のサービス提供者などが利用者固有の情報を管理することになるため、プライバシー保護の観点からもサービスの利用者にとって好ましいことではなかった。
【0008】
本発明は、かかる点に鑑みてなされたもので、利用者固有の情報である個人情報や生体情報などを、サービス提供者が管理する認証サーバではなく、利用者自身が管理する携帯型情報格納装置に格納したまま、認証端末装置を通じてサービスの利用者の認証を行うことが可能な認証システムを提供することを目的とする。
【課題を解決するための手段】
【0009】
かかる課題を解決するため、本発明の認証システムは、携帯型情報格納装置と、認証端末装置と、認証サーバと、を備え、前記携帯型情報格納装置は、前記認証端末装置の要求に応じて格納されている第1の認証情報を出力する第1の認証情報格納部と、前記認証端末装置の要求に応じて前記認証端末装置からの入力情報および格納されている第2の認証情報を入力とした一方向関数の演算結果を前記認証端末装置に出力する第2の認証情報格納部と、を備え、前記認証端末装置は、前記携帯型情報格納装置に要求することにより得られる前記第1の認証情報と前記認証サーバに登録された前記携帯型情報格納装置に固有の第3の認証情報とを比較する第1の認証情報比較部と、任意の情報を生成し前記被認証者が持つ前記携帯型情報格納装置に入力することにより得られる第1の認証補助情報と前記任意の情報と前記被認証者によって提供される第4の認証情報とを入力とした一方向関数の演算結果である第2の認証補助情報とを比較する第2の認証情報比較部と、を備え、前記認証サーバに前記被認証者の認証情報を登録する際に、前記携帯型情報格納装置を被認証者に発行し、前記第3の認証情報を前記携帯型情報格納装置と前記認証サーバとに登録し、前記被認証者によって提供される前記第1の認証情報を前記携帯型情報格納装置に登録し、前記被認証者が前記認証端末装置により認証を受ける際に、前記携帯型情報格納装置を前記認証端末装置に接続し、前記被認証者の前記第4の認証情報を前記認証端末装置に提供し、前記認証端末装置が前記第1の認証情報と前記第3の認証情報とを比較し、前記第1の認証補助情報と前記第2の認証補助情報とを比較することにより、前記被認証者を認証する構成を採る。
【0010】
この構成によれば、利用者固有の情報である個人情報や生体情報などを、サービス提供者が管理する認証サーバではなく、利用者自身が管理する携帯型情報格納装置に格納したまま、利用者の認証に用いることができる。また、この構成によれば、利用者認証情報を携帯型情報格納装置から直接取り出すことができず、利用者認証情報と、入力された情報を入力とする一方向関数の演算結果のみとが出力されるので、利用者認証情報を不正に取得されることがない。さらに、この構成によれば、装置認証情報を直接取り出せない構成にすることで、携帯型情報格納装置の装置認証情報を不正に取得されることがない。
【発明の効果】
【0011】
本発明によれば、利用者固有の情報である個人情報や生体情報などを、サービス提供者が管理する認証サーバではなく、利用者自身が管理する携帯型情報格納装置に格納したまま、利用者の認証に用いることができる。
【発明を実施するための最良の形態】
【0012】
以下、本発明の実施の形態について、図面を参照して詳細に説明する。なお、各図において同一の構成または機能を有する構成要素及び相当部分には、同一の符号を付してその説明は繰り返さない。
【0013】
(実施の形態1)
図1は、本発明の実施の形態1に係る認証システムの構成を示すブロック図である。図1に示すように、本実施の形態1に係る認証システム100は、利用者A、携帯型情報格納装置110、認証端末装置120、認証サーバ130で構成される。
【0014】
携帯型情報格納装置110は、利用者認証情報格納部111、装置認証情報格納部112を備えている。利用者認証情報格納部111は、一方向関数演算部113、記憶装置114、を備えている。装置認証情報格納部112は、記憶装置115を備えている。
【0015】
認証端末装置120は、認証情報取得部121、乱数発生部122、一方向関数演算部123、利用者認証情報比較部124、装置認証情報比較部125を備えている。
【0016】
認証サーバ130は、装置認証情報を格納するための装置認証情報格納部131を備えている。
【0017】
図1において、携帯型情報格納装置110の利用者認証情報格納部111の記憶装置114には、外部から入力された利用者情報が書き込まれる。この記憶装置114に書き込まれた利用者情報は、利用者認証情報格納部111の一方向関数演算部113に読み出される。
【0018】
利用者認証情報格納部111の一方向関数演算部113には、後述するように認証端末装置120に携帯型情報格納装置110が接続されることにより、認証端末装置120の乱数発生部122からの出力が入力される。また、利用者認証情報格納部111の一方向関数演算部113の演算結果は、認証端末装置120に携帯型情報格納装置110が接続されることにより、認証端末装置120の利用者認証情報比較部124に出力される。
【0019】
携帯型情報格納装置110の装置認証情報格納部112の記憶装置115には、外部から入力される装置認証情報が書き込まれる。この記憶装置115に書き込まれた装置認証情報は、認証端末装置120に携帯型情報格納装置110が接続されることにより、認証端末装置120の装置認証情報比較部125に読み出される。
【0020】
認証端末装置120の認証情報取得部121は、利用者Aからサービス利用者の認証情報を取得し、取得した認証情報を認証端末装置120の一方向関数演算部123に出力する。
【0021】
認証端末装置120の乱数発生部122は、携帯型情報格納装置110の利用者認証情報格納部111の一方向関数演算部113および認証端末装置120の一方向関数演算部123に乱数を出力する。
【0022】
認証端末装置120の一方向関数演算部123は、認証端末装置120の利用者認証情報比較部124に演算結果を出力する。
【0023】
認証端末装置120の利用者認証情報比較部124は、利用者認証情報格納部111の一方向関数演算部113から入力された演算結果と、認証端末装置120の一方向関数演算部123から入力された演算結果とを比較する。
【0024】
認証端末装置120の装置認証情報比較部125は、認証サーバ130の装置認証情報格納部131に格納されている複数の装置認証情報のうちの利用者Aに発行した携帯型情報格納装置110に該当する装置認証情報と、携帯型情報格納装置110の装置認証情報格納部112の記憶装置115から読み出した装置認証情報とを比較する。
【0025】
次に、本実施の形態1に係る認証システム100における利用者の登録手順について説明する。
【0026】
本実施の形態1に係る認証システム100においては、サービス提供者は新たな利用者を登録する際に、利用者に携帯型情報格納装置110を発行する。この際、サービス提供者は、この携帯型情報格納装置110の固有の装置認証情報を利用者に発行する。この装置認証情報は、携帯型情報格納装置110の装置認証情報格納部112の記憶装置115に書き込まれるとともに、認証サーバ130の装置認証情報格納部131に登録される。
【0027】
また、サービス提供者は、携帯型情報格納装置110の利用者認証情報格納部111の記憶装置114に、サービスの利用者Aの利用者認証情報を書き込む。この利用者認証情報としては、例えば、ID番号、パスワード、利用者Aの生年月日や電話番号などの利用者Aの個人情報、デジタル化された指紋や虹彩模様など利用者Aの生体情報、もしくはこれらを組み合わせたものが用いられる。
【0028】
次に、本実施の形態1に係る認証システム100における利用者の認証手順について説明する。
【0029】
本実施の形態1に係る認証システム100においては、サービスの利用者Aが認証を受ける場合、利用者Aは、登録時に発行された携帯型情報格納装置110を認証端末装置120に接続する。また、利用者Aは、認証情報取得部121を通じて認証端末装置120に利用者Aの認証情報を提供する。ここで、利用者Aの認証情報として指紋情報を用いる場合には、認証情報取得部121としては、指紋情報をデジタル化して取得する装置が用いられる。また、利用者Aの認証情報として虹彩模様を用いる場合には、認証情報取得部121としては、虹彩模様をデジタル化して取得する装置が用いられる。
【0030】
一方、認証端末装置120は、携帯型情報格納装置110が接続されると、携帯型情報格納装置110の装置認証情報格納部112にアクセスすることにより、携帯型情報格納装置110の装置認証情報格納部112の記憶装置115に格納されている装置認証情報を読み出す。
【0031】
また、認証端末装置120は、認証サーバ130の装置認証情報格納部131にアクセスすることにより、接続された携帯型情報格納装置110に対応する装置認証情報を装置認証情報格納部131から取得する。
【0032】
そして、認証端末装置120は、記憶装置115から読み出した装置認証情報と、装置認証情報格納部131から取得した装置認証情報とを、装置認証情報比較部125において比較する。これにより、認証端末装置120は、接続された携帯型情報格納装置110が有効な携帯型情報格納装置110であるか否かの認証を行う。この認証結果は、認証端末装置120の装置認証情報比較部125から出力され、この認証結果に基づいて利用者Aへのサービスの提供の可否が決定される。
【0033】
次いで、認証端末装置120は、乱数発生部122で乱数を発生させ、接続された携帯型情報格納装置110の利用者認証情報格納部111の一方向関数演算部113に発生させた乱数を出力して、一方向関数演算部113の演算結果を得る。
【0034】
また、認証端末装置120は、乱数発生部122で発生させた乱数を、認証端末装置120の一方向関数演算部123に出力し、一方向関数演算部123の演算結果を得る。
【0035】
そして、認証端末装置120は、一方向関数演算部113と一方向関数演算部123とで得られた2つの演算結果を利用者認証情報比較部124において比較することにより、利用者認証情報を提供した利用者Aが有効な利用者であるか否かの認証を行う。この認証結果は、認証端末装置120の利用者認証情報比較部124から出力され、この認証結果に基づいて利用者Aへのサービスの提供の可否が決定される。
【0036】
上述のように、本実施の形態1に係る認証システム100においては、サービス提供者は新たなサービスの利用者Aを登録する際、サービスの利用者Aに認証情報を格納することのできる携帯型情報格納装置110を発行するようにしている。この携帯型情報格納装置110は、例えば、ICカードやメモリカードなどで実現することができる。
【0037】
この携帯型情報格納装置110は、携帯型情報格納装置110の固有の装置認証情報を格納する機能と、サービスの利用者Aの個人情報や生体情報などの利用者認証情報を格納する機能を有している。
【0038】
この利用者認証情報を格納する機能は、外部から利用者認証情報を書き込むことはできるが、一度格納された利用者認証情報を取り出すことはできない。しかし、この利用者認証情報を格納する機能は、外部より数値入力を受けると、その入力値を鍵とし、格納された利用者認証情報を入力とした一方向関数の演算結果を出力するようになっている。前記一方向関数は、例えばハッシュ関数などを用いて実現される。
【0039】
このように、本実施の形態1に係る認証システム100における利用者認証情報の格納機能は、一方向関数の演算結果のみを出力することにより、携帯型情報格納装置110から利用者認証情報を取り出せないようになっている。
【0040】
また、本実施の形態1に係る認証システム100においては、サービス提供者が新たな利用者Aを登録する場合、利用者Aに発行する携帯型情報格納装置110の固有の装置認証情報を、携帯型情報格納装置110に書き込み、さらにサービス提供者が管理する認証サーバ130に登録するようにしている。
【0041】
また、サービス提供者は、利用者Aの個人情報や生体情報などの利用者Aの固有の利用者認証情報を、携帯型情報格納装置110に書き込むようにしている。そして、利用者Aは、認証を受ける際、発行された携帯型情報格納装置110を認証端末装置120に接続し、自己の個人情報や生体情報などの利用者認証情報を提供するようにしている。
【0042】
これにより、認証端末装置120は、まず接続された携帯型情報格納装置110の認証を行う。そして、認証端末装置120は、携帯型情報格納装置110の装置認証情報を格納する機能にアクセスすることにより、この携帯型情報格納装置110の装置認証情報を取得するようになっている。
【0043】
さらに、認証端末装置120は、サービス提供者の認証サーバ130にアクセスすることにより、発行された携帯型情報格納装置110の装置認証情報を取得し、これらの装置認証情報が一致するかどうかの確認を行うようになっている。
【0044】
次いで、認証端末装置120は、利用者Aから提供された利用者認証情報の認証を行う。つまり、認証端末装置120は、適当な乱数を発生させて、携帯型情報格納装置110の利用者認証情報を格納する機能に入力することにより、入力した乱数を鍵とし、この携帯型情報格納装置110の利用者Aの認証情報を入力とした一方向関数の出力を取得するようにしている。さらに、前記乱数を鍵とし、利用者Aにより提供された利用者認証情報を入力とした一方向関数の出力を取得し、これらの利用者認証情報が一致するかどうかの確認を行うようにしている。
【0045】
このように、本実施の形態1に係る認証システム100では、二段階の認証を行うことにより、認証端末装置120を通じてサービス利用者の認証を行うことが可能となる。
【0046】
すなわち、本実施の形態1に係る認証システム100においては、利用者Aの固有の情報である個人情報や生体情報などを、サービス提供者が管理する認証サーバ130ではなく、利用者自身が管理する携帯型情報格納装置110に格納したまま、利用者Aの認証に用いることができる。
【0047】
また、本実施の形態1に係る認証システム100においては、利用者認証情報を携帯型情報格納装置110から直接取り出すことができず、利用者認証情報と、入力された情報を入力とする一方向関数の演算結果のみとが出力されるので、利用者認証情報を不正に取得されることがない。
【0048】
さらに、本実施の形態1に係る認証システム100においては、装置認証情報を直接取り出せない構成にすることが可能であるので、携帯型情報格納装置110の装置認証情報が不正に取得されることがない。
【0049】
(実施の形態2)
次に、本発明の実施の形態2に係る認証システムについて説明する。図2は、本発明の実施の形態2に係る認証システムの構成を示すブロック図である。図2に示すように、本実施の形態2に係る認証システム200は、利用者B、携帯型情報格納装置210、認証端末装置220、認証サーバ230で構成される。
【0050】
携帯型情報格納装置210は、利用者認証情報格納部211、装置認証情報格納部212を備えている。利用者認証情報格納部211は、記憶装置214、一方向関数演算部213を備えている。装置認証情報格納部212は、記憶装置215、一方向関数演算部216を備えている。
【0051】
認証端末装置220は、認証情報取得部221、乱数発生部222、一方向関数演算部223、利用者認証情報比較部224、装置認証情報比較部225を備えている。
【0052】
認証サーバ230は、装置認証情報を格納するための装置認証情報格納部231を備えている。
【0053】
図2において、携帯型情報格納装置210の利用者認証情報格納部211の記憶装置214には、外部から入力された利用者情報が書き込まれる。この記憶装置214に書き込まれた利用者情報は、利用者認証情報格納部211の一方向関数演算部213に読み出される。
【0054】
利用者認証情報格納部211の一方向関数演算部213には、後述するように認証端末装置220に携帯型情報格納装置210が接続されることにより、認証端末装置220の乱数発生部222からの出力が入力される。また、一方向関数演算部213の演算結果は、認証端末装置220に携帯型情報格納装置210が接続されることにより、認証端末装置220の利用者認証情報比較部224に出力される。
【0055】
携帯型情報格納装置210の装置認証情報格納部212の記憶装置215には、外部から入力される装置認証情報が書き込まれる。この記憶装置215に書き込まれた装置認証情報は、携帯型情報格納装置210の装置認証情報格納部212の一方向関数演算部216に読み出される。
【0056】
装置認証情報格納部212の一方向関数演算部216には、後述するように認証端末装置220に携帯型情報格納装置210が接続されることにより、認証端末装置220の乱数発生部222からの出力が入力される。また、装置認証情報格納部212の一方向関数演算部216の演算結果は、認証端末装置220に携帯型情報格納装置210が接続されることにより、認証端末装置220の装置認証情報比較部225に出力される。
【0057】
認証端末装置220の認証情報取得部221は、利用者Bからサービス利用者の認証情報を取得し、取得した認証情報を認証端末装置220の一方向関数演算部223に出力する。
【0058】
認証端末装置220の乱数発生部222は、携帯型情報格納装置210の利用者認証情報格納部211の一方向関数演算部213、携帯型情報格納装置210の装置認証情報格納部212の一方向関数演算部216および認証端末装置220の一方向関数演算部223に乱数を出力する。
【0059】
認証端末装置220の一方向関数演算部223は、認証端末装置220の利用者認証情報比較部224および装置認証情報比較部225に演算結果を出力する。
【0060】
認証端末装置220の利用者認証情報比較部224は、利用者認証情報格納部211の一方向関数演算部213から入力された演算結果と、認証端末装置220の一方向関数演算部223から入力された演算結果とを比較する。
【0061】
認証端末装置220の装置認証情報比較部225は、装置認証情報格納部212の一方向関数演算部216から入力された演算結果と、認証端末装置220の一方向関数演算部223から入力された演算結果とを比較する。
【0062】
次に、本実施の形態2に係る認証システム200における利用者の登録手順について説明する。
【0063】
本実施の形態2に係る認証システム200においては、サービス提供者は新たな利用者を登録する際に、利用者に携帯型情報格納装置210を発行する。この際、サービス提供者は、この携帯型情報格納装置210の固有の認証情報を発行する。この装置認証情報は、携帯型情報格納装置210の装置認証情報格納部212の記憶装置215に書き込まれるとともに、認証サーバ230の装置認証情報格納部231に登録される。
【0064】
また、サービス提供者は、携帯型情報格納装置210の利用者認証情報格納部211の記憶装置214に、サービスの利用者Bの利用者認証情報を書き込む。この利用者認証情報としては、例えば、ID番号、パスワード、利用者Bの生年月日や電話番号などの利用者Bの個人情報、デジタル化された指紋や虹彩模様など利用者Bの生体情報、もしくはこれらを組み合わせたものが用いられる。
【0065】
次に、本実施の形態2に係る認証システム200における利用者の認証手順について説明する。
【0066】
本実施の形態2に係る認証システム200においては、サービスの利用者Bが認証を受ける場合、利用者Bは、登録時に発行された携帯型情報格納装置210を認証端末装置220に接続する。また、利用者Bは、認証情報取得部221を通じて認証端末装置220に利用者Bの認証情報を提供する。ここで、利用者Bの認証情報として指紋情報を用いる場合には、認証情報取得部221としては、指紋情報をデジタル化して取得する装置が用いられる。また、利用者Bの認証情報として虹彩模様を用いる場合には、認証情報取得部221としては、虹彩模様をデジタル化して取得する装置が用いられる。
【0067】
一方、認証端末装置220は、携帯型情報格納装置210が接続されると、携帯型情報格納装置210の装置認証情報格納部212にアクセスして、携帯型情報格納装置210の装置認証情報格納部212の記憶装置215に格納されている装置認証情報を一方向関数演算部216に読み出す。
【0068】
また、認証端末装置220は、認証サーバ230の装置認証情報格納部231にアクセスすることにより、接続された携帯型情報格納装置210に対応する装置認証情報を装置認証情報格納部231から取得して一方向関数演算部223に送る。
【0069】
さらに、認証端末装置220は、乱数発生部222で乱数を発生させ、接続された携帯型情報格納装置210の装置認証情報格納部212の一方向関数演算部216に発生させた乱数を出力して、一方向関数演算部216の演算結果を得る。
【0070】
また、認証端末装置220は、乱数発生部222で発生させた乱数を、認証端末装置220の一方向関数演算部223にも入力し、一方向関数演算部223の演算結果を得る。
【0071】
そして、認証端末装置220は、記憶装置215から読み出した装置認証情報と、装置認証情報格納部231から取得した複数の装置認証情報のうちの利用者Bに発行した携帯型情報格納装置210に該当する一方向関数演算部223からの装置認証情報とを、装置認証情報比較部225において比較する。これにより、認証端末装置220は、接続された携帯型情報格納装置210が有効な携帯型情報格納装置210であるか否かの認証を行う。この認証結果は、認証端末装置220の装置認証情報比較部225から出力され、この認証結果に基づいて利用者Bへのサービスの提供の可否が決定される。
【0072】
次いで、認証端末装置220は、乱数発生部222で乱数を発生させ、接続された携帯型情報格納装置210の利用者認証情報格納部211の一方向関数演算部213に発生させた乱数を出力して、一方向関数演算部213の演算結果を得る。
【0073】
また、認証端末装置220は、乱数発生部222で発生させた乱数を、認証端末装置220の一方向関数演算部223に出力し、一方向関数演算部223の演算結果を得る。
【0074】
そして、認証端末装置220は、一方向関数演算部213と一方向関数演算部223とで得られた2つの演算結果を利用者認証情報比較部224において比較することにより、利用者認証情報を提供した利用者Bが有効な利用者であるか否かの認証を行う。この認証結果は、認証端末装置220の利用者認証情報比較部224から出力され、この認証結果に基づいて利用者Bへのサービスの提供の可否が決定される。
【0075】
上述のように、本実施の形態2に係る認証システム200においては、サービス提供者は新たなサービスの利用者Bを登録する際、サービスの利用者Bに認証情報を格納することのできる携帯型情報格納装置210を発行するようにしている。この携帯型情報格納装置210は、例えば、ICカードやメモリカードなどで実現することができる。
【0076】
この携帯型情報格納装置210は、携帯型情報格納装置210の固有の装置認証情報を格納する機能と、サービスの利用者Aの個人情報や生体情報などの利用者認証情報を格納する機能を有している。
【0077】
この利用者認証情報を格納する機能は、外部から利用者認証情報を書き込むことはできるが、一度格納された利用者認証情報を取り出すことはできない。しかし、この利用者認証情報を格納する機能は、外部より数値入力を受けると、その入力値を鍵とし、格納された利用者認証情報を入力とした一方向関数の演算結果を出力するようになっている。前記一方向関数は、例えばハッシュ関数などを用いて実現される。
【0078】
このように、本実施の形態2に係る認証システム200における利用者認証情報の格納機能は、一方向関数の演算結果のみを出力することにより、携帯型情報格納装置210から利用者認証情報を取り出せないようになっている。
【0079】
また、本実施の形態2に係る認証システム200においては、サービス提供者が新たな利用者Bを登録する場合、利用者Bに発行する携帯型情報格納装置210の固有の装置認証情報を、携帯型情報格納装置210に書き込み、さらにサービス提供者が管理する認証サーバ230に登録するようにしている。
【0080】
また、サービス提供者は、利用者Bの個人情報や生体情報などの利用者Bの固有の利用者認証情報を、携帯型情報格納装置210に書き込むようにしている。そして、利用者Bは、認証を受ける際、発行された携帯型情報格納装置210を認証端末装置220に接続し、自己の個人情報や生体情報などの利用者認証情報を提供するようにしている。
【0081】
これにより、認証端末装置220は、まず接続された携帯型情報格納装置210の認証を行う。そして、認証端末装置220は、携帯型情報格納装置210の装置認証情報を格納する機能にアクセスすることにより、この携帯型情報格納装置210の装置認証情報を取得するようになっている。
【0082】
さらに、認証端末装置220は、サービス提供者の認証サーバ230にアクセスすることにより、発行された携帯型情報格納装置210の装置認証情報を取得し、これらの装置認証情報が一致するかどうかの確認を行うようになっている。
【0083】
次いで、認証端末装置220は、利用者Bから提供された利用者認証情報の認証を行う。つまり、認証端末装置220は、適当な乱数を発生させて、携帯型情報格納装置210の利用者認証情報を格納する機能に入力することにより、入力した乱数を鍵とし、この携帯型情報格納装置210の利用者Bの認証情報を入力とした一方向関数の出力を取得するようにしている。さらに、前記乱数を鍵とし、利用者Bにより提供された利用者認証情報を入力とした一方向関数の出力を取得し、これらの利用者認証情報が一致するかどうかの確認を行うようにしている。
【0084】
このように、本実施の形態2に係る認証システム200では、二段階の認証を行うことにより、認証端末装置220を通じてサービス利用者の認証を行うことが可能となる。
【0085】
すなわち、本実施の形態2に係る認証システム200においては、利用者Bの固有の情報である個人情報や生体情報などを、サービス提供者が管理する認証サーバ230ではなく、利用者自身が管理する携帯型情報格納装置210に格納したまま、利用者Bの認証に用いることができる。
【0086】
また、本実施の形態2に係る認証システム200においては、利用者認証情報を携帯型情報格納装置210から直接取り出すことができず、利用者認証情報と、入力された情報を入力とする一方向関数の演算結果のみとが出力されるので、利用者認証情報を不正に取得されることがない。
【0087】
さらに、本実施の形態2に係る認証システム200においては、装置認証情報を直接取り出せない構成にすることが可能であるので、携帯型情報格納装置210の装置認証情報が不正に取得されることがない。
【産業上の利用可能性】
【0088】
本発明に係る認証システムは、利用者固有の情報である個人情報や生体情報などを、サービス提供者が管理する認証サーバではなく、利用者自身が管理する携帯型情報格納装置に格納したまま、利用者の認証に用いることができるので、銀行ATMや入り口認証システムなどの認証システムとして有用である。
【図面の簡単な説明】
【0089】
【図1】本発明の実施の形態1に係る認証システムの構成を示すブロック図
【図2】本発明の実施の形態2に係る認証システムの構成を示すブロック図
【符号の説明】
【0090】
100,200 認証システム
110,210 携帯型情報格納装置
111,211 利用認証情報格納部
112,212 装置認証情報格納部
113,213 一方向関数演算部
114,115,214,215 記憶装置
120,220 認証端末装置
121,221 認証情報取得部
122,222 乱数発生部
123,223 一方向関数演算部
124,224 利用者認証情報比較部
125,225 装置認証情報比較部
130,230 認証サーバ
131,231 装置認証情報格納部
A,B 利用者
【特許請求の範囲】
【請求項1】
被認証者に発行される携帯型情報格納装置と、前記携帯型情報格納装置が接続される認証端末装置と、認証者が所有する認証サーバと、を備え、
前記携帯型情報格納装置は、前記認証端末装置の要求に応じて格納されている第1の認証情報を出力する第1の認証情報格納部と、前記認証端末装置の要求に応じて前記認証端末装置からの入力情報および格納されている第2の認証情報を入力とした一方向関数の演算結果を前記認証端末装置に出力する第2の認証情報格納部と、を備え、
前記認証端末装置は、前記携帯型情報格納装置に要求することにより得られる前記第1の認証情報と前記認証サーバに登録された前記携帯型情報格納装置に固有の第3の認証情報とを比較する第1の認証情報比較部と、任意の情報を生成し前記被認証者が持つ前記携帯型情報格納装置に入力することにより得られる第1の認証補助情報と前記任意の情報と前記被認証者によって提供される第4の認証情報とを入力とした一方向関数の演算結果である第2の認証補助情報とを比較する第2の認証情報比較部と、を備え、
前記認証サーバに前記被認証者の認証情報を登録する際に、前記携帯型情報格納装置を被認証者に発行し、前記第3の認証情報を前記携帯型情報格納装置と前記認証サーバとに登録し、前記被認証者によって提供される前記第1の認証情報を前記携帯型情報格納装置に登録し、
前記被認証者が前記認証端末装置により認証を受ける際に、前記携帯型情報格納装置を前記認証端末装置に接続し、前記被認証者の前記第4の認証情報を前記認証端末装置に提供し、前記認証端末装置が前記第1の認証情報と前記第3の認証情報とを比較し、前記第1の認証補助情報と前記第2の認証補助情報とを比較することにより、前記被認証者を認証することを特徴とする認証システム。
【請求項2】
第5の認証情報を格納し、認証端末装置の要求に応じて、前記認証端末装置からの入力情報と、前記第5の認証情報を入力とした一方向関数の演算結果を前記認証端末装置に出力する第3の認証情報格納部と、第6の認証情報を格納し、前記認証端末装置の要求に応じて、前記認証端末装置からの入力情報と、前記第6の認証情報を入力とした一方向関数の演算結果を前記認証端末装置に出力する第4の認証情報格納部と、を備えた携帯型情報格納装置と、
任意の情報を生成し、被認証者が持つ前記携帯型情報格納装置に入力することにより得られる第3の認証補助情報と、前記任意の情報と、認証者が所有する認証サーバに登録された第7の認証情報を入力とした一方向関数の演算結果である第4の認証補助情報を比較する第3の認証情報比較部と、任意の情報を生成し、前記被認証者が持つ前記携帯型情報格納装置に入力することにより得られる第5の認証補助情報と、前記任意の情報と、被認証者によって提供される第8の認証情報を入力とした一方向関数の演算結果である第6の認証補助情報と、を比較する第4の認証情報比較部と、を備えた認証端末装置と、で構成され、
前記認証サーバに前記被認証者の認証情報を登録する際に、前記携帯型情報格納装置を被認証者に発行し、前記携帯型情報格納装置に固有の前記第7の認証情報を前記携帯型情報格納装置および前記認証サーバに登録し、前記被認証者によって提供される前記第5の認証情報を前記携帯型情報格納装置に登録し、
前記被認証者が前記認証端末装置により認証を受ける際に、前記携帯型情報格納装置を前記認証端末装置に接続し、前記被認証者の前記第8の認証情報を前記認証端末装置に提供し、前記認証端末装置が前記第3の認証補助情報と前記第4の認証補助情報とを比較し、前記第5の認証補助情報と前記第6の認証補助情報とを比較することにより、前記被認証者を認証することを特徴とする認証システム。
【請求項1】
被認証者に発行される携帯型情報格納装置と、前記携帯型情報格納装置が接続される認証端末装置と、認証者が所有する認証サーバと、を備え、
前記携帯型情報格納装置は、前記認証端末装置の要求に応じて格納されている第1の認証情報を出力する第1の認証情報格納部と、前記認証端末装置の要求に応じて前記認証端末装置からの入力情報および格納されている第2の認証情報を入力とした一方向関数の演算結果を前記認証端末装置に出力する第2の認証情報格納部と、を備え、
前記認証端末装置は、前記携帯型情報格納装置に要求することにより得られる前記第1の認証情報と前記認証サーバに登録された前記携帯型情報格納装置に固有の第3の認証情報とを比較する第1の認証情報比較部と、任意の情報を生成し前記被認証者が持つ前記携帯型情報格納装置に入力することにより得られる第1の認証補助情報と前記任意の情報と前記被認証者によって提供される第4の認証情報とを入力とした一方向関数の演算結果である第2の認証補助情報とを比較する第2の認証情報比較部と、を備え、
前記認証サーバに前記被認証者の認証情報を登録する際に、前記携帯型情報格納装置を被認証者に発行し、前記第3の認証情報を前記携帯型情報格納装置と前記認証サーバとに登録し、前記被認証者によって提供される前記第1の認証情報を前記携帯型情報格納装置に登録し、
前記被認証者が前記認証端末装置により認証を受ける際に、前記携帯型情報格納装置を前記認証端末装置に接続し、前記被認証者の前記第4の認証情報を前記認証端末装置に提供し、前記認証端末装置が前記第1の認証情報と前記第3の認証情報とを比較し、前記第1の認証補助情報と前記第2の認証補助情報とを比較することにより、前記被認証者を認証することを特徴とする認証システム。
【請求項2】
第5の認証情報を格納し、認証端末装置の要求に応じて、前記認証端末装置からの入力情報と、前記第5の認証情報を入力とした一方向関数の演算結果を前記認証端末装置に出力する第3の認証情報格納部と、第6の認証情報を格納し、前記認証端末装置の要求に応じて、前記認証端末装置からの入力情報と、前記第6の認証情報を入力とした一方向関数の演算結果を前記認証端末装置に出力する第4の認証情報格納部と、を備えた携帯型情報格納装置と、
任意の情報を生成し、被認証者が持つ前記携帯型情報格納装置に入力することにより得られる第3の認証補助情報と、前記任意の情報と、認証者が所有する認証サーバに登録された第7の認証情報を入力とした一方向関数の演算結果である第4の認証補助情報を比較する第3の認証情報比較部と、任意の情報を生成し、前記被認証者が持つ前記携帯型情報格納装置に入力することにより得られる第5の認証補助情報と、前記任意の情報と、被認証者によって提供される第8の認証情報を入力とした一方向関数の演算結果である第6の認証補助情報と、を比較する第4の認証情報比較部と、を備えた認証端末装置と、で構成され、
前記認証サーバに前記被認証者の認証情報を登録する際に、前記携帯型情報格納装置を被認証者に発行し、前記携帯型情報格納装置に固有の前記第7の認証情報を前記携帯型情報格納装置および前記認証サーバに登録し、前記被認証者によって提供される前記第5の認証情報を前記携帯型情報格納装置に登録し、
前記被認証者が前記認証端末装置により認証を受ける際に、前記携帯型情報格納装置を前記認証端末装置に接続し、前記被認証者の前記第8の認証情報を前記認証端末装置に提供し、前記認証端末装置が前記第3の認証補助情報と前記第4の認証補助情報とを比較し、前記第5の認証補助情報と前記第6の認証補助情報とを比較することにより、前記被認証者を認証することを特徴とする認証システム。
【図1】
【図2】
【図2】
【公開番号】特開2006−12071(P2006−12071A)
【公開日】平成18年1月12日(2006.1.12)
【国際特許分類】
【出願番号】特願2004−191754(P2004−191754)
【出願日】平成16年6月29日(2004.6.29)
【出願人】(000005821)松下電器産業株式会社 (73,050)
【Fターム(参考)】
【公開日】平成18年1月12日(2006.1.12)
【国際特許分類】
【出願日】平成16年6月29日(2004.6.29)
【出願人】(000005821)松下電器産業株式会社 (73,050)
【Fターム(参考)】
[ Back to top ]