ICカードを利用した認証方法
【課題】
複数の認証アプリケーションのいずれを用いるかを選択するに当たり、利用しようとするサービス以外に対応付けられた他の認証アプリケーションを利用することで、効率的に複数の認証アプリケーションを用いることを目的とする。
【解決手段】
上記の目的を達成するために、本発明では「セキュリティレベル」を用いて、認証アプリケーションを特定する。すなわち、認証に用いる認証情報を、認証の要求の程度を示す認証要求レベル、登録者を示す情報およびサービス種別を含むセキュリティレベルと対応付けてICカードに格納しておき、認証要求レベルを含む認証要求を受付けた場合、上記セキュリティレベルを用いて利用すべき認証情報を特定する。
複数の認証アプリケーションのいずれを用いるかを選択するに当たり、利用しようとするサービス以外に対応付けられた他の認証アプリケーションを利用することで、効率的に複数の認証アプリケーションを用いることを目的とする。
【解決手段】
上記の目的を達成するために、本発明では「セキュリティレベル」を用いて、認証アプリケーションを特定する。すなわち、認証に用いる認証情報を、認証の要求の程度を示す認証要求レベル、登録者を示す情報およびサービス種別を含むセキュリティレベルと対応付けてICカードに格納しておき、認証要求レベルを含む認証要求を受付けた場合、上記セキュリティレベルを用いて利用すべき認証情報を特定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ICカードを利用した個人認証を他のサービスアプリケーションから利用する技術に関する。その中でも特に、サービスアプリケーション毎の要求認証レベルに応じた認証に利用する認証情報の決定に関する。
【背景技術】
【0002】
現在、ICカードを利用して認証を行いサーバの提供するサービスを受けることが一般的になされている。一般にサービスを受けようとする場合、そのサービス内容に応じて認証のやり方などを変更することがなされている。例えば、自動取引装置において、キャッシュカードの種類に応じて1回の取引可能金額が決まっている。
【0003】
また、一般的に複数のサービスを受けようとする場合、それぞれに応じた認証を行う必要があった。このような場合、認証の数が増加するとの問題があった。そこで、特許文献1では、サービス提供の要求を受け付けた場合、そのサービスに対応する認証条件を満たす認証方法での認証を認証システムへ指示するので、提供しようとするサービスに応じて、当該サービスを提供するか否かを決定する際に実施される認証方法の種類または数を変更している。これにより、そのサービスを提供するか否かを決定する際に不要な認証方法での認証を省略でき、ユーザの負担を軽減すると共に、安全性を向上させている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2007−157002号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ここで、ICカードにおいては、複数の認証アプリケーションを載せることが可能になる。しかし、特許文献1では、この点は考慮されず、単に認証方法を選択することしか開示されていない。また、認証要求や利用しようとするサービスに適した認証を選択することは考慮されていなかった。
【0006】
そこで、本発明では、利用しようとするサービス以外に対応付けられた他の認証アプリケーションを利用することで、効率的に複数の認証アプリケーションを用いることを目的とする。
【課題を解決するための手段】
【0007】
上記の目的を達成するために、本発明では「セキュリティレベル」を用いて、認証アプリケーションを特定する。すなわち、認証に用いる認証情報を、認証の要求の程度を示す認証要求レベル、登録者を示す情報およびサービス種別を含むセキュリティレベルと対応付けてICカードに格納しておき、認証要求レベルを含む認証要求を受付けた場合、上記セキュリティレベルを用いて利用すべき認証情報を特定する。さらに、認証要求にはサービス提供者を識別する情報を含めておき、セキュリティレベルに含まれる登録者を示す情報がこれと一致する認証情報を優先的に選択する。同様に認証要求にサービス種別を含め、セキュリティレベルに含まれるサービス種別が一致する認証情報を優先的に選択する。この場合、サービス提供者を識別する情報の比較結果を優先させるとより好適である。さらに、これらの場合、認証情報の選択の前段階として、対応するセキュリティレベルを選択することがより好適である。
【0008】
さらに、本発明には、ICカードで認証された際に、利用情報としてセキュリティレベルを含む証明書を装置側に送信することも本発明の一態様に含まれる。また、本発明には、登録済みのセキュリティレベルを用いて、登録要求のあった認証情報の登録可否を判断することも含まれる。すなわち、同一の認証情報の登録の有無を判断し、存在しない場合に登録可と判断する。また、登録しようとする認証情報の認証要求レベルより高い認証情報が登録済みの場合、登録の可否判断を促す表示をしたり、低い場合に登録可と判断してもよい。この場合、登録者を示す情報やサービス種別が同一の場合にこのように判断するとより好適である。なお、認証情報として、生体情報を用いることも本発明に含まれる。
【発明の効果】
【0009】
本発明によれば、より効率的にまた利用するサービスにより適した認証方法の提供が可能になる。
【図面の簡単な説明】
【0010】
【図1】本発明の一実施例のシステム構成図である。
【図2】本発明の一実施例における指静脈認証AP利用時の処理を説明するフローチャートである。
【図3】本発明の一実施例における指静脈情報を決定する処理を説明するフローチャートである。
【図4】本発明の一実施例における指静脈情報を登録する処理を説明するフローチャートである。
【図5】サービス別認証レベルの項目例を説明する表である。
【図6】認証レベル別手数料の項目例を説明する表である。
【図7】証明書記載情報の項目例を説明する表である。
【図8】認証レベル別指静脈情報の項目例を説明する表である。
【発明を実施するための形態】
【0011】
以下、本発明の一実施例を、図面を用いて説明する。図1は、本発明の一実施例のシステム構成図であり、10は、利用者の指の静脈パターン情報(以下、指静脈情報)を取得する機能を有する指静脈リーダ、11は、利用者の指静脈情報を複数登録する機能と、登録されている指静脈情報と指静脈リーダ10から取得した指静脈情報を比較し、個人認証を行う指静脈認証機能と、登録されている複数の指静脈情報の中から、指静脈認証に利用する指静脈情報を決定する機能と、指静脈情報の登録を行う際に、登録の要否を判定する機能と、指静脈認証実施後、認証実施証明書を発行する機能を有する生体認証AP、12は、生体認証AP11と、生体認証AP11を用いた個人認証を利用して金融取引などを行うサービスAPを複数搭載したUIMカード、13は、UIMカード12を搭載し、ネットワーク通信を行う機能を有する携帯電話、14は、指静脈リーダ10を搭載し、指静脈リーダ10から取得した指静脈情報をネットワークを介して携帯電話13経由でUIMカード12へ送信する機能(ただし、送信には直接携帯電話13へと情報を送信する無線接続も適用可能)と、指静脈情報の登録場所や登録方法から決定した指静脈情報のセキュリティレベルをネットワークを介して携帯電話13経由でUIMカード12へ送信する機能(ただし、送信には直接携帯電話13へと情報を送信する無線接続も適用可能)と、登録時の情報を表示する機能を有する登録端末、15は、指静脈リーダ10を搭載し、指静脈リーダ10から取得した指静脈情報をネットワークを介して携帯電話13経由でUIMカード12へ送信する機能(ただし、送信には直接携帯電話13へと情報を送信する無線接続も適用可能)と、取引時の情報を表示する機能を有する取引端末、20−A、20−Bは、認証レベル別手数料テーブルと、サービス別認証レベルテーブルを保持するサービス提供用マスタ装置、21−A、21−Bは、サービス提供用マスタ装置を有し、ネットワーク通信を行う機能と、取引時の個人認証に用いる指静脈情報のセキュリティレベルを決定し、送信する機能と、生体認証AP11にて指静脈認証に用いる指静脈情報を決定するための情報を送信する機能と、指静脈認証結果を確認する機能を有する提供者ホスト、30は、ネットワークである。
【0012】
なお、各機能は、各装置が有し(図示しない)、プログラムに従ったCPUの如き演算装置の処理により実現される。
【0013】
図2を用いて、指静脈情報が登録されている生体認証AP11による個人認証を用いて、UIMカード12に搭載されているサービスAPと、取引端末15と、サービス提供者ホスト21−A、21−B間で、取引を行う処理の全体フローを説明する。説明にて用いる図5は、利用者が利用するサービスに応じて、個人認証に用いる指静脈情報のセキュリティレベルを設定したサービス別認証レベルテーブル、図6は、個人認証に用いる認証レベル毎の手数料を設定した認証レベル別手数料テーブル、図7は、指静脈認証実施後、生体認証AP11にて作成する生体認証証明書に記載する情報である。
【0014】
図2のS11では、利用者が携帯電話13に対してサービスAP起動要求を入力することで、UIMカード12が、サービスAPを起動し、サービス提供者ホスト21−A、21−Bへインターネット接続を行う。S12では、携帯電話13にて取引に必要な取引データの入力を利用者から受け付ける。例えば、a銀行へ10万円振り込むといった取引データである。そして、携帯電話13は、入力された取引データを、サービス提供者ホスト21―A、21−Bへ送信する。S13では、携帯電話13から送信されてきた取引データをサービス提供者ホスト21―A、21−Bが、取引に必要なデータ項目が含まれるかを確認後、取引金額を図5に示すサービス別認証レベルテーブルと比較し、取引に必要な認証レベルを決定する。認証レベルの決定は、送信された取引データとサービス別認証レベルテーブルの内容を比較して決定する。例えば、図5より、10万円の振込であれば、認証レベル6以上が必要となる。
【0015】
その後、サービス提供者ホスト21−A、21−Bは、サービスAPに対して、認証要求と認証レベル、サービス提供者機関名、手数料を送信する。手数料は、決定された認証レベルに対応する手数料を、図6に示す認証レベル別手数料テーブルから特定することにより算出する。例えば、認証レベルが6であれば、自行で登録の指静脈情報を用いた認証は無料、他行で登録の指静脈情報を用いた認証は200円となる。S14では、サービスAPがサービス提供者ホスト21―A、21−Bからの認証要求を携帯電話13を介して受信し、この受信を条件に生体認証AP11を起動する。S15からS21にて実施する生体認証AP11に登録されている複数の指静脈情報から、指静脈認証に用いる指静脈情報を決定する処理の詳細を図3のフローチャートを用いて説明する。説明にて用いる図8は、生体認証AP11にて保持している認証レベル別指静脈情報テーブルである。
【0016】
図3のS15では、生体認証AP11が、サービス提供者ホスト21−A、21−Bから送信される認証レベル、サービス提供機関名、手数料を受信する。S16では、生体認証AP11が、サービス提供者ホスト21−A、21−Bから受信した認証レベル以上の指静脈情報が登録されているかを図8に示す認証レベル別指静脈情報テーブルと比較する。例えば、認証レベルが6であれば、指静脈情報No.1〜3を選出する。該当する指静脈情報が存在しない場合、サービス提供者ホスト21‐A、21−Bへ認証不可を通知する。S18では、サービス提供者ホスト21−A、21−Bから受信した認証レベル以上の指静脈情報が存在する場合、生体認証AP11が、サービス提供者ホスト21‐A、21−Bから送付されるサービス提供者名、手数料の情報から手数料が最も安くなる指静脈情報を決定する。例えば、認証レベルが6、サービス提供機関名がb銀行、手数料が自行無料、他行200円の場合、図8に示す認証レベル別指静脈情報テーブルより、b銀行にて登録した指静脈情報No.3に決定する。生体認証AP11は、決定した指静脈情報を用いた認証に必要な手数料を取引端末15へ送信する。
【0017】
S18では、取引端末15が、生体認証AP11より送信された手数料を受信し、端末上に表示する。S19では、利用者が取引端末15に表示された手数料で取引を実施するかを選択する。S21では、利用者が、取引を実施しない場合には、取引端末15は、サービス提供者ホスト21‐A、21‐Bへ認証不可を通知する。利用者が、取引を実施する場合には、取引端末15は、認証実行を生体認証AP11へ送信する。
【0018】
生体認証AP11は、取引端末15から認証実行を受信した後、取引端末15へ指静脈情報取得要求を送信する。S22では、取引端末15は、接続されている指静脈リーダ10を用いて利用者の指静脈情報を取得する。取引端末15は、取得した指静脈情報を生体認証AP11へ送信する。S23にて、生体認証AP11は、取引端末15から送信された指静脈情報とS17にて決定した生体認証AP11に登録されている指静脈情報を用いて指静脈認証を実施する。指静脈認証後、S24にて、生体認証AP11は、図7に示す証明書記載情報にて指静脈認証証明書を作成する。その後、生体認証AP11は、指静脈認証結果と指静脈認証証明書をサービス提供者ホスト21−A、21−Bへ送信する。S25にて、サービス提供者ホスト21−A、21−Bは、生体認証AP11から送信された指静脈認証結果が成功となっているか、失敗となっているかを確認する。
【0019】
S26にて、認証結果が成功の場合は、サービス提供者ホスト21−A、21−Bは、S12にて入力された取引情報に基づき取引処理を実施する。失敗の場合は、取引不可通知を取引端末15へ送信する。サービス提供者ホスト21−A、21−Bは、取引処理の完了後、取引端末15へ、取引完了通知を送信する。S27にて、取引端末15は、サービス提供者ホスト21−A、21−Bから取引完了通知を受信後、端末上に取引完了を表示する。取引端末15は、取引完了を表示後、認証完了を生体認証AP11へ送信する。S28にて、生体認証AP11は、取引端末15から認証完了を受信後、サービスAPへ生体認証終了を送信し、生体認証AP11を終了する。サービスAPは、生体認証AP11からの生体認証終了を受信後、サービスAPを終了する。
【0020】
図4のフローチャートを用いて、生体認証AP11が、指静脈情報登録時に登録端末14から送信された指静脈情報セキュリティレベルと生体認証AP11に登録されている指静脈情報のセキュリティレベルを比較し、必要に応じて、指静脈情報の登録を行う処理について説明する。
【0021】
図4のS31にて、生体認証AP11は、登録端末14から取得した指静脈情報セキュリティレベルを受信する。例えば、a銀行窓口のリーダAで登録する場合は、B−a1−6を受信する。S32にて、生体認証AP11は、登録端末14から送信された指静脈情報セキュリティレベルと、生体認証AP11内に登録されている指静脈情報セキュリティレベルを比較し、受信した指静脈情報セキュリティレベルと同一の指静脈情報が登録されていないか確認を行う。S33にて、生体認証AP11は、指静脈情報セキュリティレベルが同一の指静脈情報が登録されている場合には、登録不可を登録端末14へ表示する。同一の指静脈認証レベルが登録されていない場合には、S34にて、生体認証AP11は、登録端末14から送信された指静脈情報セキュリティレベル以上の指静脈情報が登録されているか、比較する。登録されている場合には、S35にて、生体認証AP11は、登録されている指静脈情報を登録端末14へ送信し、登録端末14に表示する。例えば、b銀行窓口にて、認証レベル6の指静脈情報を登録済と表示する。利用者は、登録端末14に表示された登録済の指静脈情報を確認し、登録を行うかを選択する。
【0022】
登録しない場合は、利用者は登録端末14で登録しないを選択する。その後、S33にて、登録端末14は、登録不可として登録処理を終了する。登録を行う場合には、利用者は、登録端末14で登録するを選択する。その後、S38にて、登録端末14は、接続されている指静脈リーダ10から利用者の指静脈情報を取得し、生体認証AP11へ送信する。S34にて、登録端末14から受信した指静脈情報セキュリティレベル以上の指静脈情報がない場合、生体認証AP11は、登録端末14へ登録要求を送信する。S38にて、登録端末14は、生体認証AP11からの登録要求を受信後、接続されている指静脈リーダ10から利用者の指静脈情報を取得する。登録端末14は、指静脈情報取得後、生体認証AP11へ指静脈情報を送信する。S37にて、生体認証AP11は、登録端末14から、指静脈情報受信後、生体認証AP11へ、指静脈情報の登録を行う。なお、S34の判断については、登録者を示す情報(図8に示すセキュリティレベルのa1:a銀行やb1:b銀行)やサービス種別(図8のセキュリティレベルのG:政府など公共サービスやB:銀行サービス)が同一の場合に、このS34の判断を行うよう制御するとより好適である。このために、S30で送信される指静脈認証レベル情報には、これらの登録者を示す情報やサービス種別を含めることになる。
【0023】
なお、ICカードの処理については、各種端末装置からICカードに対してコマンドを送信することにより、その処理を実行させるよう制御してもよい。
【0024】
本実施例によれば、複数アプリケーションからの異なるセキュリティレベルの認証要求に対し、生体認証AP11内で、個人認証に用いる指静脈情報を決定し、認証を行うとともに、その認証の証明書をサービス提供者へ送信することが可能である。
【符号の説明】
【0025】
10…指静脈リーダ、11…生体認証AP、12…UIMカード、13…携帯電話、14…登録端末(指静脈リーダ)、15…取引端末(指静脈リーダ)、20−A、20−B…マスタ装置、21−A、21−B…サービス提供者ホスト、30…ネットワーク
【技術分野】
【0001】
本発明は、ICカードを利用した個人認証を他のサービスアプリケーションから利用する技術に関する。その中でも特に、サービスアプリケーション毎の要求認証レベルに応じた認証に利用する認証情報の決定に関する。
【背景技術】
【0002】
現在、ICカードを利用して認証を行いサーバの提供するサービスを受けることが一般的になされている。一般にサービスを受けようとする場合、そのサービス内容に応じて認証のやり方などを変更することがなされている。例えば、自動取引装置において、キャッシュカードの種類に応じて1回の取引可能金額が決まっている。
【0003】
また、一般的に複数のサービスを受けようとする場合、それぞれに応じた認証を行う必要があった。このような場合、認証の数が増加するとの問題があった。そこで、特許文献1では、サービス提供の要求を受け付けた場合、そのサービスに対応する認証条件を満たす認証方法での認証を認証システムへ指示するので、提供しようとするサービスに応じて、当該サービスを提供するか否かを決定する際に実施される認証方法の種類または数を変更している。これにより、そのサービスを提供するか否かを決定する際に不要な認証方法での認証を省略でき、ユーザの負担を軽減すると共に、安全性を向上させている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2007−157002号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ここで、ICカードにおいては、複数の認証アプリケーションを載せることが可能になる。しかし、特許文献1では、この点は考慮されず、単に認証方法を選択することしか開示されていない。また、認証要求や利用しようとするサービスに適した認証を選択することは考慮されていなかった。
【0006】
そこで、本発明では、利用しようとするサービス以外に対応付けられた他の認証アプリケーションを利用することで、効率的に複数の認証アプリケーションを用いることを目的とする。
【課題を解決するための手段】
【0007】
上記の目的を達成するために、本発明では「セキュリティレベル」を用いて、認証アプリケーションを特定する。すなわち、認証に用いる認証情報を、認証の要求の程度を示す認証要求レベル、登録者を示す情報およびサービス種別を含むセキュリティレベルと対応付けてICカードに格納しておき、認証要求レベルを含む認証要求を受付けた場合、上記セキュリティレベルを用いて利用すべき認証情報を特定する。さらに、認証要求にはサービス提供者を識別する情報を含めておき、セキュリティレベルに含まれる登録者を示す情報がこれと一致する認証情報を優先的に選択する。同様に認証要求にサービス種別を含め、セキュリティレベルに含まれるサービス種別が一致する認証情報を優先的に選択する。この場合、サービス提供者を識別する情報の比較結果を優先させるとより好適である。さらに、これらの場合、認証情報の選択の前段階として、対応するセキュリティレベルを選択することがより好適である。
【0008】
さらに、本発明には、ICカードで認証された際に、利用情報としてセキュリティレベルを含む証明書を装置側に送信することも本発明の一態様に含まれる。また、本発明には、登録済みのセキュリティレベルを用いて、登録要求のあった認証情報の登録可否を判断することも含まれる。すなわち、同一の認証情報の登録の有無を判断し、存在しない場合に登録可と判断する。また、登録しようとする認証情報の認証要求レベルより高い認証情報が登録済みの場合、登録の可否判断を促す表示をしたり、低い場合に登録可と判断してもよい。この場合、登録者を示す情報やサービス種別が同一の場合にこのように判断するとより好適である。なお、認証情報として、生体情報を用いることも本発明に含まれる。
【発明の効果】
【0009】
本発明によれば、より効率的にまた利用するサービスにより適した認証方法の提供が可能になる。
【図面の簡単な説明】
【0010】
【図1】本発明の一実施例のシステム構成図である。
【図2】本発明の一実施例における指静脈認証AP利用時の処理を説明するフローチャートである。
【図3】本発明の一実施例における指静脈情報を決定する処理を説明するフローチャートである。
【図4】本発明の一実施例における指静脈情報を登録する処理を説明するフローチャートである。
【図5】サービス別認証レベルの項目例を説明する表である。
【図6】認証レベル別手数料の項目例を説明する表である。
【図7】証明書記載情報の項目例を説明する表である。
【図8】認証レベル別指静脈情報の項目例を説明する表である。
【発明を実施するための形態】
【0011】
以下、本発明の一実施例を、図面を用いて説明する。図1は、本発明の一実施例のシステム構成図であり、10は、利用者の指の静脈パターン情報(以下、指静脈情報)を取得する機能を有する指静脈リーダ、11は、利用者の指静脈情報を複数登録する機能と、登録されている指静脈情報と指静脈リーダ10から取得した指静脈情報を比較し、個人認証を行う指静脈認証機能と、登録されている複数の指静脈情報の中から、指静脈認証に利用する指静脈情報を決定する機能と、指静脈情報の登録を行う際に、登録の要否を判定する機能と、指静脈認証実施後、認証実施証明書を発行する機能を有する生体認証AP、12は、生体認証AP11と、生体認証AP11を用いた個人認証を利用して金融取引などを行うサービスAPを複数搭載したUIMカード、13は、UIMカード12を搭載し、ネットワーク通信を行う機能を有する携帯電話、14は、指静脈リーダ10を搭載し、指静脈リーダ10から取得した指静脈情報をネットワークを介して携帯電話13経由でUIMカード12へ送信する機能(ただし、送信には直接携帯電話13へと情報を送信する無線接続も適用可能)と、指静脈情報の登録場所や登録方法から決定した指静脈情報のセキュリティレベルをネットワークを介して携帯電話13経由でUIMカード12へ送信する機能(ただし、送信には直接携帯電話13へと情報を送信する無線接続も適用可能)と、登録時の情報を表示する機能を有する登録端末、15は、指静脈リーダ10を搭載し、指静脈リーダ10から取得した指静脈情報をネットワークを介して携帯電話13経由でUIMカード12へ送信する機能(ただし、送信には直接携帯電話13へと情報を送信する無線接続も適用可能)と、取引時の情報を表示する機能を有する取引端末、20−A、20−Bは、認証レベル別手数料テーブルと、サービス別認証レベルテーブルを保持するサービス提供用マスタ装置、21−A、21−Bは、サービス提供用マスタ装置を有し、ネットワーク通信を行う機能と、取引時の個人認証に用いる指静脈情報のセキュリティレベルを決定し、送信する機能と、生体認証AP11にて指静脈認証に用いる指静脈情報を決定するための情報を送信する機能と、指静脈認証結果を確認する機能を有する提供者ホスト、30は、ネットワークである。
【0012】
なお、各機能は、各装置が有し(図示しない)、プログラムに従ったCPUの如き演算装置の処理により実現される。
【0013】
図2を用いて、指静脈情報が登録されている生体認証AP11による個人認証を用いて、UIMカード12に搭載されているサービスAPと、取引端末15と、サービス提供者ホスト21−A、21−B間で、取引を行う処理の全体フローを説明する。説明にて用いる図5は、利用者が利用するサービスに応じて、個人認証に用いる指静脈情報のセキュリティレベルを設定したサービス別認証レベルテーブル、図6は、個人認証に用いる認証レベル毎の手数料を設定した認証レベル別手数料テーブル、図7は、指静脈認証実施後、生体認証AP11にて作成する生体認証証明書に記載する情報である。
【0014】
図2のS11では、利用者が携帯電話13に対してサービスAP起動要求を入力することで、UIMカード12が、サービスAPを起動し、サービス提供者ホスト21−A、21−Bへインターネット接続を行う。S12では、携帯電話13にて取引に必要な取引データの入力を利用者から受け付ける。例えば、a銀行へ10万円振り込むといった取引データである。そして、携帯電話13は、入力された取引データを、サービス提供者ホスト21―A、21−Bへ送信する。S13では、携帯電話13から送信されてきた取引データをサービス提供者ホスト21―A、21−Bが、取引に必要なデータ項目が含まれるかを確認後、取引金額を図5に示すサービス別認証レベルテーブルと比較し、取引に必要な認証レベルを決定する。認証レベルの決定は、送信された取引データとサービス別認証レベルテーブルの内容を比較して決定する。例えば、図5より、10万円の振込であれば、認証レベル6以上が必要となる。
【0015】
その後、サービス提供者ホスト21−A、21−Bは、サービスAPに対して、認証要求と認証レベル、サービス提供者機関名、手数料を送信する。手数料は、決定された認証レベルに対応する手数料を、図6に示す認証レベル別手数料テーブルから特定することにより算出する。例えば、認証レベルが6であれば、自行で登録の指静脈情報を用いた認証は無料、他行で登録の指静脈情報を用いた認証は200円となる。S14では、サービスAPがサービス提供者ホスト21―A、21−Bからの認証要求を携帯電話13を介して受信し、この受信を条件に生体認証AP11を起動する。S15からS21にて実施する生体認証AP11に登録されている複数の指静脈情報から、指静脈認証に用いる指静脈情報を決定する処理の詳細を図3のフローチャートを用いて説明する。説明にて用いる図8は、生体認証AP11にて保持している認証レベル別指静脈情報テーブルである。
【0016】
図3のS15では、生体認証AP11が、サービス提供者ホスト21−A、21−Bから送信される認証レベル、サービス提供機関名、手数料を受信する。S16では、生体認証AP11が、サービス提供者ホスト21−A、21−Bから受信した認証レベル以上の指静脈情報が登録されているかを図8に示す認証レベル別指静脈情報テーブルと比較する。例えば、認証レベルが6であれば、指静脈情報No.1〜3を選出する。該当する指静脈情報が存在しない場合、サービス提供者ホスト21‐A、21−Bへ認証不可を通知する。S18では、サービス提供者ホスト21−A、21−Bから受信した認証レベル以上の指静脈情報が存在する場合、生体認証AP11が、サービス提供者ホスト21‐A、21−Bから送付されるサービス提供者名、手数料の情報から手数料が最も安くなる指静脈情報を決定する。例えば、認証レベルが6、サービス提供機関名がb銀行、手数料が自行無料、他行200円の場合、図8に示す認証レベル別指静脈情報テーブルより、b銀行にて登録した指静脈情報No.3に決定する。生体認証AP11は、決定した指静脈情報を用いた認証に必要な手数料を取引端末15へ送信する。
【0017】
S18では、取引端末15が、生体認証AP11より送信された手数料を受信し、端末上に表示する。S19では、利用者が取引端末15に表示された手数料で取引を実施するかを選択する。S21では、利用者が、取引を実施しない場合には、取引端末15は、サービス提供者ホスト21‐A、21‐Bへ認証不可を通知する。利用者が、取引を実施する場合には、取引端末15は、認証実行を生体認証AP11へ送信する。
【0018】
生体認証AP11は、取引端末15から認証実行を受信した後、取引端末15へ指静脈情報取得要求を送信する。S22では、取引端末15は、接続されている指静脈リーダ10を用いて利用者の指静脈情報を取得する。取引端末15は、取得した指静脈情報を生体認証AP11へ送信する。S23にて、生体認証AP11は、取引端末15から送信された指静脈情報とS17にて決定した生体認証AP11に登録されている指静脈情報を用いて指静脈認証を実施する。指静脈認証後、S24にて、生体認証AP11は、図7に示す証明書記載情報にて指静脈認証証明書を作成する。その後、生体認証AP11は、指静脈認証結果と指静脈認証証明書をサービス提供者ホスト21−A、21−Bへ送信する。S25にて、サービス提供者ホスト21−A、21−Bは、生体認証AP11から送信された指静脈認証結果が成功となっているか、失敗となっているかを確認する。
【0019】
S26にて、認証結果が成功の場合は、サービス提供者ホスト21−A、21−Bは、S12にて入力された取引情報に基づき取引処理を実施する。失敗の場合は、取引不可通知を取引端末15へ送信する。サービス提供者ホスト21−A、21−Bは、取引処理の完了後、取引端末15へ、取引完了通知を送信する。S27にて、取引端末15は、サービス提供者ホスト21−A、21−Bから取引完了通知を受信後、端末上に取引完了を表示する。取引端末15は、取引完了を表示後、認証完了を生体認証AP11へ送信する。S28にて、生体認証AP11は、取引端末15から認証完了を受信後、サービスAPへ生体認証終了を送信し、生体認証AP11を終了する。サービスAPは、生体認証AP11からの生体認証終了を受信後、サービスAPを終了する。
【0020】
図4のフローチャートを用いて、生体認証AP11が、指静脈情報登録時に登録端末14から送信された指静脈情報セキュリティレベルと生体認証AP11に登録されている指静脈情報のセキュリティレベルを比較し、必要に応じて、指静脈情報の登録を行う処理について説明する。
【0021】
図4のS31にて、生体認証AP11は、登録端末14から取得した指静脈情報セキュリティレベルを受信する。例えば、a銀行窓口のリーダAで登録する場合は、B−a1−6を受信する。S32にて、生体認証AP11は、登録端末14から送信された指静脈情報セキュリティレベルと、生体認証AP11内に登録されている指静脈情報セキュリティレベルを比較し、受信した指静脈情報セキュリティレベルと同一の指静脈情報が登録されていないか確認を行う。S33にて、生体認証AP11は、指静脈情報セキュリティレベルが同一の指静脈情報が登録されている場合には、登録不可を登録端末14へ表示する。同一の指静脈認証レベルが登録されていない場合には、S34にて、生体認証AP11は、登録端末14から送信された指静脈情報セキュリティレベル以上の指静脈情報が登録されているか、比較する。登録されている場合には、S35にて、生体認証AP11は、登録されている指静脈情報を登録端末14へ送信し、登録端末14に表示する。例えば、b銀行窓口にて、認証レベル6の指静脈情報を登録済と表示する。利用者は、登録端末14に表示された登録済の指静脈情報を確認し、登録を行うかを選択する。
【0022】
登録しない場合は、利用者は登録端末14で登録しないを選択する。その後、S33にて、登録端末14は、登録不可として登録処理を終了する。登録を行う場合には、利用者は、登録端末14で登録するを選択する。その後、S38にて、登録端末14は、接続されている指静脈リーダ10から利用者の指静脈情報を取得し、生体認証AP11へ送信する。S34にて、登録端末14から受信した指静脈情報セキュリティレベル以上の指静脈情報がない場合、生体認証AP11は、登録端末14へ登録要求を送信する。S38にて、登録端末14は、生体認証AP11からの登録要求を受信後、接続されている指静脈リーダ10から利用者の指静脈情報を取得する。登録端末14は、指静脈情報取得後、生体認証AP11へ指静脈情報を送信する。S37にて、生体認証AP11は、登録端末14から、指静脈情報受信後、生体認証AP11へ、指静脈情報の登録を行う。なお、S34の判断については、登録者を示す情報(図8に示すセキュリティレベルのa1:a銀行やb1:b銀行)やサービス種別(図8のセキュリティレベルのG:政府など公共サービスやB:銀行サービス)が同一の場合に、このS34の判断を行うよう制御するとより好適である。このために、S30で送信される指静脈認証レベル情報には、これらの登録者を示す情報やサービス種別を含めることになる。
【0023】
なお、ICカードの処理については、各種端末装置からICカードに対してコマンドを送信することにより、その処理を実行させるよう制御してもよい。
【0024】
本実施例によれば、複数アプリケーションからの異なるセキュリティレベルの認証要求に対し、生体認証AP11内で、個人認証に用いる指静脈情報を決定し、認証を行うとともに、その認証の証明書をサービス提供者へ送信することが可能である。
【符号の説明】
【0025】
10…指静脈リーダ、11…生体認証AP、12…UIMカード、13…携帯電話、14…登録端末(指静脈リーダ)、15…取引端末(指静脈リーダ)、20−A、20−B…マスタ装置、21−A、21−B…サービス提供者ホスト、30…ネットワーク
【特許請求の範囲】
【請求項1】
サービスの提供を受けるための認証を、ICカードを利用して実現するICカードを利用した認証方法において、
前記ICカードが、当該認証の要求の程度を示す認証要求レベル、当該認証情報の登録者を示す登録者情報および前記登録者の提供するサービス種別を含むセキュリティレベルと認証に用いる認証情報に対応付けて格納しておき、
前記ICカードが設置された端末装置から前記サービスの提供者のサーバへ、利用者の入力に従ってサービス要求を送信し、
前記サーバから前記端末装置を介して前記ICカードに対して、前記サービスの提供に必要な認証要求レベルを含む認証要求を送信し、
前記ICカードが、送信された前記認証要求に含まれる認証要求レベルに対応し、前記サービス要求に対応するセキュリティレベルを抽出し、抽出されたセキュリティレベルに対応する認証情報を特定し、
当該特定された認証情報を用いて認証処理を実行することを特徴とするICカードを利用した認証方法。
【請求項2】
請求項1に記載のICカードを利用した認証方法において、
前記認証要求には前記サービスの提供者を識別する情報を含めておき、
前記サービス要求に対応するセキュリティレベルの抽出は、前記セキュリティレベルに含まれる登録者を示す情報が前記提供者を識別する情報と一致するセキュリティレベルであって、送信された前記認証要求に含まれる認証要求レベルに対応するセキュリティレベルを抽出することを特徴とするICカードを利用した認証方法。
【請求項3】
請求項2に記載のICカードを利用した認証方法において、
前記認証要求にはサービス種別を含めておき、
前記サービス要求に対応するセキュリティレベルの抽出は、前記セキュリティレベルに含まれるサービス種別が前記認証要求に含まれるサービス種別と一致するセキュリティレベルであって、送信された前記認証要求に含まれる認証要求レベルに対応するセキュリティレベルを抽出することを特徴とするICカードを利用した認証方法。
【請求項4】
請求項3に記載のICカードを利用した認証方法において、
前記サービス要求に対応するセキュリティレベルの抽出において、前記サービス種別が一致し、前記登録者が不一致のセキュリティレベルと、前記登録者が一致し、前記サービス種別が不一致のセキュリティレベルが存在する場合、前記サービス種別が一致するセキュリティ情報を抽出することを特徴とするICカードを利用した認証方法。
【請求項5】
請求項1乃至4のいずれかに記載のICカードを利用した認証方法において、
前記認証処理が実行された場合、前記ICカードから前記サーバへ、セキュリティレベルを含む証明書を送信することを特徴とするICカードを利用した認証方法。
【請求項6】
サービスの提供を受けるための認証を、ICカードを利用して実現するICカードを利用した認証システムにおいて、
前記ICカードを設置可能な端末装置と、前記サービスの提供者のサーバとを有し、
前記端末装置が、前記ICカードに対して当該認証の要求の程度を示す認証要求レベル、当該認証情報の登録者を示す登録者情報および前記登録者の提供するサービス種別を含むセキュリティレベルと認証に用いる認証情報に対応付けて格納させておき、
前記端末装置から前記サーバへ、利用者の入力に従ってサービス要求を送信し、
前記サーバから前記端末装置を介して前記ICカードに対して、前記サービスの提供に必要な認証要求レベルを含む認証要求を送信し、
前記端末装置が、前記ICカードに対して送信された前記認証要求に含まれる認証要求レベルに対応し、前記サービス要求に対応するセキュリティレベルを抽出し、抽出されたセキュリティレベルに対応する認証情報を特定させ、
当該特定された認証情報を用いて認証処理を実行することを特徴とするICカードを利用した認証システム。
【請求項7】
請求項6に記載のICカードを利用した認証システムにおいて、
前記認証要求には前記サービスの提供者を識別する情報を含めておき、
前記サービス要求に対応するセキュリティレベルの抽出は、前記セキュリティレベルに含まれる登録者を示す情報が前記提供者を識別する情報と一致するセキュリティレベルであって、送信された前記認証要求に含まれる認証要求レベルに対応するセキュリティレベルを抽出することを特徴とするICカードを利用した認証システム。
【請求項8】
請求項7に記載のICカードを利用した認証システムにおいて、
前記認証要求にはサービス種別を含めておき、
前記サービス要求に対応するセキュリティレベルの抽出は、前記セキュリティレベルに含まれるサービス種別が前記認証要求に含まれるサービス種別と一致するセキュリティレベルであって、送信された前記認証要求に含まれる認証要求レベルに対応するセキュリティレベルを抽出することを特徴とするICカードを利用した認証システム。
【請求項9】
請求項8に記載のICカードを利用した認証システムにおいて、
前記サービス要求に対応するセキュリティレベルの抽出において、前記サービス種別が一致し、前記登録者が不一致のセキュリティレベルと、前記登録者が一致し、前記サービス種別が不一致のセキュリティレベルが存在する場合、前記サービス種別が一致するセキュリティ情報を抽出することを特徴とするICカードを利用した認証システム。
【請求項10】
請求項6乃至9のいずれかに記載のICカードを利用した認証システムにおいて、
前記認証処理が実行された場合、前記ICカードから前記サーバへ、セキュリティレベルを含む証明書を送信することを特徴とするICカードを利用した認証システム。
【請求項11】
請求項6乃至10のいずれかに記載のICカードを利用した認証システムにおいて、
前記端末装置が、セキュリティレベルを含む認証情報の登録要求を受付け、受付けられた登録要求に含まれるセキュリティレベルと前記格納されているセキュリティレベルを比較して、当該比較結果に基づいて前記認証情報の登録の可否を判断することを特徴とするICカードを利用した認証システム。
【請求項12】
請求項11に記載のICカードを利用した認証システムにおいて、
前記比較の結果、セキュリティレベルが同一でない場合に当該認証情報の登録を可と判断することを特徴とするICカードを利用した認証システム。
【請求項13】
請求項11に記載のICカードを利用した認証システムにおいて、
前記比較の結果、登録しようとする認証情報の認証要求レベルより高い認証情報が登録済みの場合に、登録の可否判断を促す表示を行い、低い場合に登録可と判断することを特徴するICカードを利用した認証システム。
【請求項1】
サービスの提供を受けるための認証を、ICカードを利用して実現するICカードを利用した認証方法において、
前記ICカードが、当該認証の要求の程度を示す認証要求レベル、当該認証情報の登録者を示す登録者情報および前記登録者の提供するサービス種別を含むセキュリティレベルと認証に用いる認証情報に対応付けて格納しておき、
前記ICカードが設置された端末装置から前記サービスの提供者のサーバへ、利用者の入力に従ってサービス要求を送信し、
前記サーバから前記端末装置を介して前記ICカードに対して、前記サービスの提供に必要な認証要求レベルを含む認証要求を送信し、
前記ICカードが、送信された前記認証要求に含まれる認証要求レベルに対応し、前記サービス要求に対応するセキュリティレベルを抽出し、抽出されたセキュリティレベルに対応する認証情報を特定し、
当該特定された認証情報を用いて認証処理を実行することを特徴とするICカードを利用した認証方法。
【請求項2】
請求項1に記載のICカードを利用した認証方法において、
前記認証要求には前記サービスの提供者を識別する情報を含めておき、
前記サービス要求に対応するセキュリティレベルの抽出は、前記セキュリティレベルに含まれる登録者を示す情報が前記提供者を識別する情報と一致するセキュリティレベルであって、送信された前記認証要求に含まれる認証要求レベルに対応するセキュリティレベルを抽出することを特徴とするICカードを利用した認証方法。
【請求項3】
請求項2に記載のICカードを利用した認証方法において、
前記認証要求にはサービス種別を含めておき、
前記サービス要求に対応するセキュリティレベルの抽出は、前記セキュリティレベルに含まれるサービス種別が前記認証要求に含まれるサービス種別と一致するセキュリティレベルであって、送信された前記認証要求に含まれる認証要求レベルに対応するセキュリティレベルを抽出することを特徴とするICカードを利用した認証方法。
【請求項4】
請求項3に記載のICカードを利用した認証方法において、
前記サービス要求に対応するセキュリティレベルの抽出において、前記サービス種別が一致し、前記登録者が不一致のセキュリティレベルと、前記登録者が一致し、前記サービス種別が不一致のセキュリティレベルが存在する場合、前記サービス種別が一致するセキュリティ情報を抽出することを特徴とするICカードを利用した認証方法。
【請求項5】
請求項1乃至4のいずれかに記載のICカードを利用した認証方法において、
前記認証処理が実行された場合、前記ICカードから前記サーバへ、セキュリティレベルを含む証明書を送信することを特徴とするICカードを利用した認証方法。
【請求項6】
サービスの提供を受けるための認証を、ICカードを利用して実現するICカードを利用した認証システムにおいて、
前記ICカードを設置可能な端末装置と、前記サービスの提供者のサーバとを有し、
前記端末装置が、前記ICカードに対して当該認証の要求の程度を示す認証要求レベル、当該認証情報の登録者を示す登録者情報および前記登録者の提供するサービス種別を含むセキュリティレベルと認証に用いる認証情報に対応付けて格納させておき、
前記端末装置から前記サーバへ、利用者の入力に従ってサービス要求を送信し、
前記サーバから前記端末装置を介して前記ICカードに対して、前記サービスの提供に必要な認証要求レベルを含む認証要求を送信し、
前記端末装置が、前記ICカードに対して送信された前記認証要求に含まれる認証要求レベルに対応し、前記サービス要求に対応するセキュリティレベルを抽出し、抽出されたセキュリティレベルに対応する認証情報を特定させ、
当該特定された認証情報を用いて認証処理を実行することを特徴とするICカードを利用した認証システム。
【請求項7】
請求項6に記載のICカードを利用した認証システムにおいて、
前記認証要求には前記サービスの提供者を識別する情報を含めておき、
前記サービス要求に対応するセキュリティレベルの抽出は、前記セキュリティレベルに含まれる登録者を示す情報が前記提供者を識別する情報と一致するセキュリティレベルであって、送信された前記認証要求に含まれる認証要求レベルに対応するセキュリティレベルを抽出することを特徴とするICカードを利用した認証システム。
【請求項8】
請求項7に記載のICカードを利用した認証システムにおいて、
前記認証要求にはサービス種別を含めておき、
前記サービス要求に対応するセキュリティレベルの抽出は、前記セキュリティレベルに含まれるサービス種別が前記認証要求に含まれるサービス種別と一致するセキュリティレベルであって、送信された前記認証要求に含まれる認証要求レベルに対応するセキュリティレベルを抽出することを特徴とするICカードを利用した認証システム。
【請求項9】
請求項8に記載のICカードを利用した認証システムにおいて、
前記サービス要求に対応するセキュリティレベルの抽出において、前記サービス種別が一致し、前記登録者が不一致のセキュリティレベルと、前記登録者が一致し、前記サービス種別が不一致のセキュリティレベルが存在する場合、前記サービス種別が一致するセキュリティ情報を抽出することを特徴とするICカードを利用した認証システム。
【請求項10】
請求項6乃至9のいずれかに記載のICカードを利用した認証システムにおいて、
前記認証処理が実行された場合、前記ICカードから前記サーバへ、セキュリティレベルを含む証明書を送信することを特徴とするICカードを利用した認証システム。
【請求項11】
請求項6乃至10のいずれかに記載のICカードを利用した認証システムにおいて、
前記端末装置が、セキュリティレベルを含む認証情報の登録要求を受付け、受付けられた登録要求に含まれるセキュリティレベルと前記格納されているセキュリティレベルを比較して、当該比較結果に基づいて前記認証情報の登録の可否を判断することを特徴とするICカードを利用した認証システム。
【請求項12】
請求項11に記載のICカードを利用した認証システムにおいて、
前記比較の結果、セキュリティレベルが同一でない場合に当該認証情報の登録を可と判断することを特徴とするICカードを利用した認証システム。
【請求項13】
請求項11に記載のICカードを利用した認証システムにおいて、
前記比較の結果、登録しようとする認証情報の認証要求レベルより高い認証情報が登録済みの場合に、登録の可否判断を促す表示を行い、低い場合に登録可と判断することを特徴するICカードを利用した認証システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2011−253329(P2011−253329A)
【公開日】平成23年12月15日(2011.12.15)
【国際特許分類】
【出願番号】特願2010−126426(P2010−126426)
【出願日】平成22年6月2日(2010.6.2)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成23年12月15日(2011.12.15)
【国際特許分類】
【出願日】平成22年6月2日(2010.6.2)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]