JP2005251006A - Tag authentication system, method and program for the same - Google Patents
Tag authentication system, method and program for the same Download PDFInfo
- Publication number
- JP2005251006A JP2005251006A JP2004062836A JP2004062836A JP2005251006A JP 2005251006 A JP2005251006 A JP 2005251006A JP 2004062836 A JP2004062836 A JP 2004062836A JP 2004062836 A JP2004062836 A JP 2004062836A JP 2005251006 A JP2005251006 A JP 2005251006A
- Authority
- JP
- Japan
- Prior art keywords
- tag
- personal authentication
- ids
- devices
- meta
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
この発明は、情報セキュリティ技術の応用技術に関し、特にタグ技術に関する。 The present invention relates to application technology of information security technology, and more particularly to tag technology.
本発明では、物流管理等に利用するために、商品等に添付されたタグ(tag)装置を、個人の本人性を確認するための認証技術として利活用することを目的とする。このため、タグ技術と個人の認証技術を以下に示し、本発明に至る背景を明らかにする。 An object of the present invention is to utilize a tag device attached to a product or the like as an authentication technique for confirming the identity of an individual for use in logistics management or the like. For this reason, tag technology and personal authentication technology are shown below, and the background leading to the present invention is clarified.
(タグ技術)
近年、RFID(Radio Frequency IDentification tag:無線タグ)等のタグ技術の導入が進んでいる。この技術は、図14に示すように、タグ装置、リーダー(reader)装置及びバックヤード(backyard)装置から構成され、物流管理等に利用される。以下、従来のタグ技術を概説する。なお、タグ技術には、タグ装置がリーダー装置から電力供給を受ける場合とそうでない場合により、パッシブ型(受動型)とアクティブ型(能動型)の種別があるが、この例ではパッシブ型について説明する。
・タグ装置
タグ装置は、ID等の情報を内蔵する小型の情報記録媒体である。このタグ装置は、物品等に添付され、店舗等に設置されたリーダー装置からの指示により、各タグ装置固有のIDをリーダー装置に送信する。
・リーダー装置
リーダー装置は、タグ装置に対する電力供給とデータ授受を行う読み取り機であり、通常、複数のタグ装置に対し、同時に対処できる能力を有する。また、リーダー装置は、ネットワークを通じてバックヤードへアクセスする装置を持ち、タグ装置から読み取ったIDを用いてバックヤード装置への問い合わせを行い、そのタグ装置の物流情報等を得る。・バックヤード装置
バックヤード装置は、システムを構築するのに必要なデータベース等を備え、情報を集中管理するサーバ装置である。このデータベースには、各タグ装置のIDや物流情報等が格納され、バックヤード装置は、リーダー装置からのIDによる問い合わせに対し、対応する物流情報等を回答する。
(Tag technology)
In recent years, introduction of tag technology such as RFID (Radio Frequency IDentification tag) has been advanced. As shown in FIG. 14, this technology is composed of a tag device, a reader device, and a backyard device, and is used for logistics management and the like. The conventional tag technology will be outlined below. There are two types of tag technology: passive type (passive type) and active type (active type) depending on whether the tag device receives power supply from the reader device or not. In this example, the passive type will be described. To do.
Tag device The tag device is a small information recording medium containing information such as an ID. This tag device is attached to an article or the like, and transmits an ID unique to each tag device to the reader device according to an instruction from a reader device installed in a store or the like.
Reader device The reader device is a reader that supplies power to the tag device and exchanges data, and usually has the ability to handle a plurality of tag devices simultaneously. Further, the reader device has a device that accesses the backyard through the network, makes an inquiry to the backyard device using the ID read from the tag device, and obtains distribution information of the tag device. -Backyard device The backyard device is a server device that includes a database and the like necessary for building a system and centrally manages information. In this database, IDs of each tag device, logistics information, and the like are stored, and the backyard device answers corresponding logistics information, etc. in response to an inquiry from the reader device by the ID.
(個人の認証技術)
個人認証の代表例は、コンピュータ端末からセンターへアクセスする時のパスワードや、キャッシュカード利用時における暗証番号による確認などであった。しかし、コンピュータ利用のパーソナル化の進展に伴い、人間の記憶のあいまいさによる、忘却性、複数の対象に別々のパスワードや暗証番号を記憶する煩わしさ、他人によるパスワード推測可能性などが問題となっていた。このため、個人認証は従来より確実で安全なことが要求されてきた。
これに比べ、指紋等身体的特徴を識別対象とするいわゆるバイオメトリックス技術がある。これを確実にする為のパターン認識の研究は盛んに行われているが、通常、登録されているパターンとの類似度を比較しているだけであるため、操作性、コスト、確実性等の観点から、個人識別への適用には解決すべき課題が山積している。例えば、指紋認証に対しては、贋指の製作が行われ、市販製品に対しては有効であるとの方向がなされている(非特許文献1 参照)。
(Personal authentication technology)
Typical examples of personal authentication include confirmation by a password when accessing the center from a computer terminal, or by a personal identification number when using a cash card. However, with the progress of personalization of computer use, forgetfulness due to the ambiguity of human memory, the troublesomeness of storing different passwords and passwords for multiple objects, and the possibility of password guessing by others are becoming problems. It was. For this reason, personal authentication has been required to be more reliable and safer than before.
Compared to this, there is a so-called biometrics technique that identifies physical features such as fingerprints. There is a lot of research on pattern recognition to ensure this, but usually only the degree of similarity with registered patterns is compared, so operability, cost, reliability, etc. From the viewpoint, there are many problems to be solved for application to personal identification. For example, for fingerprint authentication, thumbs are produced and effective for commercial products (see Non-Patent Document 1).
一方、限界ある個人の記憶に比べ、ICカードなどに搭載されるLSIのインテリジェント機能を利用してそのICカードを所持している人が本人であるという前提にたてば、比較的確実な認証を行える。例えば、現代の暗号・認証研究の成果であるRSA法(非特許文献2 参照)をベースにディジタル署名をその場面その場面で生成させることで本人確認をすることができる。また、FS法(非特許文献3 参照)によれば、知識を漏洩しない、本人確認のゼロ知識証明を構成できる。
しかしながら、ICカードを落とした場合、その意味はなく、それを防ぐ意味で、ICカードにもパスワード設定するなどの煩雑な防御をすることになる。
これら個人認証の手段として、記憶情報(暗証番号等)、身体的特徴(指紋、筆跡等)、所有物(ICカード)などに分類して振り返る。
しかしながら、高度な暗号技術をICカードに搭載した小型装置は依然必要であり、紛失に関しては従来の所有物による確認と同様に弱い。
However, when the IC card is dropped, there is no meaning, and in order to prevent it, a complicated defense such as setting a password on the IC card is taken.
As means for personal authentication, the information is classified into stored information (such as a password), physical characteristics (such as fingerprints and handwriting), and possessions (such as IC cards).
However, a small device in which an advanced cryptographic technique is mounted on an IC card is still necessary, and the loss is as weak as the confirmation by the conventional property.
表1に整理されていた様に、従来法はどの方式も安全性を犠牲にしつつ経済性のある認証方式を実現してきた。ここでは、安全性を増す一方、経済性も実現する方式を課題とする。 As summarized in Table 1, all the conventional methods have realized an economical authentication method at the expense of safety. Here, a system that increases safety while realizing economic efficiency is an issue.
(前提条件)
本発明では、RFIDを利用するという点で、LSIによる認証技術と前提が類似しているように思われるが、次の点が異なる。
・タグ装置を再利用(利活用)する。
タグ装置が商品に添付されているとし、本来の商品管理目的ではないが、購入時に無力化されずその後も利用できるとし、内蔵されるEPCコードなどの商品識別情報(EPC Global Inc. Epc tag data specification version 1.0. 、http://www.epcglobalinc.org.ユビキタスIDセンタ、「ucode」仕様、http://www.uidcenter.org/japanese/uid.html.)を利活用できるものとする。
・人はタグ装置ではなく、それが添付されている物品を認証に利用する。
人はタグ装置を意識するのではなく、それが添付されている物を意識して記憶するので、抽象的な番号を前提とする暗証番号とは異なった感覚で認証する。
・タグ装置を複数個使うことを前提とする
タグ装置がついている商品(例えば、装身具,着物)を人は複数個身につけているとする。
(Prerequisite)
In the present invention, the premise seems to be similar to the authentication technology by LSI in that RFID is used, but the following points are different.
・ Reuse (utilize) tag devices.
It is assumed that the tag device is attached to the product, which is not the purpose of original product management, but it is not neutralized at the time of purchase and can be used afterwards. Product identification information such as built-in EPC code (EPC Global Inc. Epc tag data specification version 1.0., http://www.epcglobalinc.org. Ubiquitous ID Center, “ucode” specification, http://www.uidcenter.org/japanese/uid.html.
・ People use not the tag device, but the item attached to it for authentication.
Since a person is not conscious of the tag device but is consciously memorizing the object to which the tag device is attached, authentication is performed with a sense different from that of a PIN code based on an abstract number.
・ It is assumed that a plurality of tag devices are used. Assume that a person wears a plurality of products (eg, jewelry, kimono) with tag devices.
本発明では、以上の前提の他、想定外の人からアクセスを防止する別の、ここでは、誰からでも商品情報をアクセスできるかもしれないという問題を扱う。この様な考え方の対策は、請求項2および6に反映されている。
ただし、タグ装置が出力する特定の情報の一意性に基づいてそのタグ装置が添付されている商品を持ち運ぶ人の追跡、つまりトラッキングを間接的に行うことができる。これを防止する策は各種あるが、その方法と本発明は単純に組み合わせることができるので、ここでは触れないことにする(特願2003−350661、森田光,藤村明子,鈴木幸太郎,木下真吾.「ユビキタスサービスにおけるプライバシー保護の方法−追跡抑止のための個人カードとRFIDタグの組合せ」.日本社会情報学会,第18回全国大会,Oct.2003 参照)。
以上により、人の記憶に残りやすい物品を、具体的に、人が示すことにより個人認証を実現することで、従来記憶を利用していた程度には、人の記憶を利用する一方、指定された物品に添付されたタグ装置のIDを利活用することで、認証を実現する。なお、タグ装置を複数個利用するのは、次に説明するセキュリティの強さを向上するために行う。
In the present invention, in addition to the above assumptions, another problem of preventing access from an unexpected person, here, is that the product information may be accessible by anyone. The measures of such a concept are reflected in
However, based on the uniqueness of the specific information output from the tag device, it is possible to indirectly track the person who carries the product to which the tag device is attached, that is, tracking. There are various measures to prevent this, but since the method and the present invention can be simply combined, they will not be described here (Japanese Patent Application No. 2003-350661, Mitsuda Morita, Akiko Fujimura, Kotaro Suzuki, Shingo Kinoshita. "Privacy protection method for ubiquitous services-Combination of personal card and RFID tag for tracking deterrence" (see Japan Society for Social Informatics, 18th National Convention, Oct. 2003).
As described above, the personal authentication is realized by specifically showing the articles that are likely to remain in the human memory, and the person's memory is used to the extent that the conventional memory is used. Authentication is realized by utilizing the ID of the tag device attached to the article. A plurality of tag devices are used in order to improve the security strength described below.
(セキュリティの強さ)
認証者はタグ装置が添付されている物品をn個持っているとする。そのうち、k個を選択的に認証対象として相手に提示すると、場合の数は
It is assumed that the authenticator has n items with tag devices attached. Of these, if k are selectively presented to the partner for authentication, the number of cases is
ここで、従来の世界は、言うなればn個の鍵を持っていて、錠前があるところごとに、それに対応の鍵を出すということだったので、この式でk=1の場合に相当する。
以下、この3つの方式を表に纏める:
The three methods are summarized below in a table:
人の記憶に残りやすい物品を具体的に、人が示すことにより、個人認証を実現することで、従来記憶を利用していた程度には、人の記憶を利用する一方、指定された物品に添付されたタグ装置のIDを利活用することで、認証を実現できる。なお、タグ装置を複数個利用して、セキュリティの強さを調節できる。
なお、ここでは便宜上、認証者がn個のタグ装置付きの物(例えば、装身具)をもっている状況で検証をする場合を想定したので、さまざまな持ちもの数10個から数個を選び取る想定で議論される(図10参照)。
しかしながら、ある場所にすえられている公共物なども含めて、認証したり、周辺のものと区別しにくい状況下にある場合、nは大きくなり、安全性を向上させることができる。
更に、人対応に個人認証する場合でなくても、2人やグループの人の物を持ち寄って、より大きなnに対する認証を実現できるので、安全性をそういった組合せで向上させることができる(請求項3、図13 参照)。
Specifically, by showing a person that is likely to remain in a person's memory, by realizing personal authentication, the person's memory is used to the extent that the conventional memory has been used. Authentication can be realized by utilizing the ID of the attached tag device. The strength of security can be adjusted by using a plurality of tag devices.
Here, for the sake of convenience, it is assumed that the verifier carries out verification in a situation where there are n tag device-attached items (for example, accessories), so it is assumed that several items are selected from the ten items of various possessions. Discussed (see FIG. 10).
However, when it is in a situation where it is difficult to authenticate or distinguish it from surrounding objects, including public objects that are set in a certain place, n becomes large, and safety can be improved.
Further, even when personal authentication is not performed for each person, it is possible to realize authentication for a larger n by bringing the objects of two people or a group of people together, so that the safety can be improved by such a combination (claims). 3, see FIG.
以下、この発明の実施の形態を図面を参照して説明する。
(第一の実施の形態)
<概要>
図1(a)に例示するように、タグ認証システムは、個人認証装置10,タグ装置20によって構成される。ここで、個人認証装置10は、タグ認証システムの正当な利用者を判定するための装置であり、例えば、現金自動預け払い機(ATM)、ドアの開閉装置、金庫の錠などのシステムにアクセスするための装置であり、集中型の計算機センターに端末を配し、個別の個人は、端末ごとに対応するものがある。
一方、スタンド・アローンのドアの錠のような場合がある。何れの場合でも、タグ技術を利用する場合、従来の構成から考えるとネットワーク側にバックヤード装置101があり、ここの場所にリーダー装置102が配されるのが普通であるので、図1(b)に例示されるような装置構造を持ったものになりえる。
Embodiments of the present invention will be described below with reference to the drawings.
(First embodiment)
<Overview>
As illustrated in FIG. 1A, the tag authentication system includes a
On the other hand, it may be like a stand-alone door lock. In any case, when using the tag technology, considering the conventional configuration, there is a
<処理の概要>
図2に与えられるように、開始S1が与えられると、個人認証装置10は、複数のタグ装置20に対して、質問(query)を出し、それに従い、タグ装置は、ID抽出手段より、自分のタグに関連するIDを取り出し(S2)、ID出力手段よりデータをタグ装置20から個人認証装置10へ送信し(S3)、ID入力手段によりIDを受信する一方(S4)、ID比較情報抽出手段により、複数のタグ装置20からあつめた断片を統合し、予め登録されているIDを検索し(S5)、ID検証手段により、それらの値の照合を行い、照合が成功した場合、処理1へ移行し、失敗した場合、処理2へ移行する(S6)。
<Outline of processing>
As shown in FIG. 2, when the start S1 is given, the
<機能ブロック図>
対応する機能を例示したブロック図を図3−1に示す。
この図に例示されるように、個人認証装置10は、制御部10a、比較部10b、読み書き部10c、インターフェース10d、記憶部10eからなる。
一方、タグ装置20は、制御部20a、比較部20b、読み書き部20c、インターフェース20d、記憶部20eからなる。
図3−2に示すように、個人認証装置はタグ装置から個別にIDを受領し、対応すべき複数のタグ装置のIDを検証する結果、全体としての個人認証としての処理が完了する。
<Functional block diagram>
A block diagram illustrating the corresponding functions is shown in FIG.
As illustrated in this figure, the
On the other hand, the
As shown in FIG. 3B, the personal authentication device individually receives IDs from the tag devices, and verifies the IDs of a plurality of tag devices to be handled. As a result, the processing as personal authentication as a whole is completed.
(第二の実施の形態)
IDをよむ権限のない個人認証装置は、そのままIDをよむことができるのは、安全性上好ましくない。そこで、図4−1に示すように、IDを出力する前段メタIDを使ってガードをかけることにする。
つまり、個人認証装置からのQueryに対して、IDの代わりに、タグ装置は、メタIDを返答し、そのメタIDを個人認証装置が受領したあと、対応する応答情報がタグ装置へ送信され、それが、検証手段に合致すれば、タグ装置からIDが個人認証装置へ送信される。
図4−2にその認証の流れを模式的に表した。ここで、応答情報は、例えば、メタ情報が、応答情報をハッシュ関数でハッシュ値を生成したものだとすると、タグ装置に応答情報を記憶しないでも、受領した応答情報にハッシュ関数による処理を施すだけで、既に記憶されているメタIDと照合することで個人認証装置の妥当性を検証することができる。他は、本発明の基本的なID認証と同じに処理できる。
(Second embodiment)
It is not preferable in terms of safety that the personal authentication device without the authority to read the ID can read the ID as it is. Therefore, as shown in FIG. 4A, it is assumed that the guard is applied using the former meta ID for outputting the ID.
That is, in response to the query from the personal authentication device, instead of the ID, the tag device returns a meta ID, and after the personal authentication device receives the meta ID, the corresponding response information is transmitted to the tag device, If it matches the verification means, the ID is transmitted from the tag device to the personal authentication device.
Fig. 4-2 schematically shows the flow of authentication. Here, the response information is, for example, if the meta information is obtained by generating a hash value from the response information using a hash function, the received response information is simply processed by the hash function without storing the response information in the tag device. The validity of the personal authentication device can be verified by collating with the already stored meta ID. Others can be processed in the same manner as the basic ID authentication of the present invention.
(第三の実施の形態)
タグ認証システムは、以上第一ないし第二の実施例と同様のものを前提とするが、複数のタグ装置から出されるIDを具体的に例示するのが本実施例である。
図5(a)に示すように、必ずしもn個のタグ装置すべてと、個人認証装置がデータ授受を行う必要はなく、必要とされるタグ装置k個とIDのやりとりが行えれば良い。
図5(b)に例示するように、タグ装置i(i=1,2,・・・,k)に対応して、aiなる値が与えられている時、登録されているID情報と照合が行われている。
仮に、入力されたユーザが太郎であった場合、ここで示すヘキサ表示の3e,24,・・・,6aと合致すれば良いのであるが、入力タグが順序づけされずに来た場合、k!回並べ替えて照合するか、予め登録情報も昇順または降順に並べられて、入力されたタグもそれに対応して昇順または降順に並べ、照合することが行われる。
ここでの複数のIDが、秘密共有されるIDの断片とすれば、並べ変えなくても、その断片からLagrange補間して秘密にしていた一個IDを生成することができる(A.Shamir. How to share a secret. Communications of the ACM, vol.22, No. 11, pp.612-613, Nov.1979. 参照)。
また、一般の秘密分散方式では、k個の分散された断片からLビットのデータを復元しようとする場合、k−1次多項式の補間が用いられるが、個々の断片もLビットのため、効率が悪い。これに対して、Ramp型秘密分散方式を使うことで短い断片にすることも可能である(G.Blakley and C. Meadows. Security of ramp schemes. CRYPTO'84, pp.242-268,1985.)。
(Third embodiment)
The tag authentication system is premised on the same thing as the first to second embodiments, but this embodiment specifically illustrates IDs issued from a plurality of tag devices.
As shown in FIG. 5A, it is not always necessary for all n tag devices and the personal authentication device to exchange data, and it is only necessary to exchange IDs with k required tag devices.
As illustrated in FIG. 5B, when a value a i is given corresponding to the tag device i (i = 1, 2,..., K), Verification is done.
If the input user is Taro, it is only necessary to match the
If multiple IDs here are fragments of secret-shared IDs, it is possible to generate a single ID that was kept secret by Lagrange interpolation from the fragments without rearranging (A. Shamir. How to share a secret. See Communications of the ACM, vol.22, No. 11, pp.612-613, Nov.1979.).
Further, in a general secret sharing scheme, when L-bit data is to be restored from k distributed fragments, interpolation of k−1 degree polynomial is used. However, since each fragment is also L bits, efficiency is improved. Is bad. On the other hand, it is possible to make a short fragment by using the Ramp type secret sharing scheme (G. Blakley and C. Meadows. Security of ramp schemes. CRYPTO'84, pp.242-268, 1985). .
(第四の実施の形態)
タグ認証システムは、以上第一ないし第二の実施例と同様のものを前提とするが、複数のタグ装置からだされるIDを具体的に例示するのが本実施例である。
図6に示すように、必ずしもn個のタグ装置すべてと、個人認証装置がデータ授受を行う必要はなく、必要とされるタグ装置k個とIDのやりとりを行う。
ただし、予め、個人認証装置に提示されるIDの順番は決まっていて、図7に例示するように、個人認証装置へ提示されるIDの順番1,2,・・・,kが決まっていて、タグ装置に仮につけた整理番号を1,2,・・・,kとするとき、IDの順番iがタグに付けた整理番号μ(i)に対応する。ここで、関数μ(・)はk個の値とk個の値に対する一対一の置換関数である。
従って、タグ装置μ-1(i)(i=1,2,・・・,k)の順にタグ装置と個人認証装置が照合を行うことにより、順序づけされた照合ができる。
仮に、入力されたユーザが太郎であった場合、ここで示すヘキサ表示の3e,24,・・・,6aと入力タグが順序づけされて到来する。
具体的に、この順序づけて提示する行動は、認証側が自分の記憶に従って提示するのに合わせて、逐一、個人認証装置が照合を行うか、予め照合の順を認証者が指定して、それに従って、自動で個人認証装置が照合する。
(Fourth embodiment)
The tag authentication system is premised on the same thing as the first to second embodiments, but this embodiment specifically illustrates IDs issued from a plurality of tag devices.
As shown in FIG. 6, it is not always necessary for all n tag devices and personal authentication devices to exchange data, and exchanges IDs with k required tag devices.
However, the order of IDs presented to the personal authentication apparatus is determined in advance, and the order of
Therefore, the tag device and the personal authentication device collate in the order of the tag device μ −1 (i) (i = 1, 2,..., K), so that ordered collation can be performed.
If the input user is Taro, the
Specifically, the behavior to be presented in order is determined by the personal authentication device collating step by step as the authentication side presents it according to its own memory, or by the certifier specifying the collation order in advance. The personal authentication device automatically verifies.
(第五の実施の形態)
タグ認証システムは、以上第一ないし第二の実施例と同様のものを前提とするが、複数のタグ装置からだされるIDを具体的に例示するのが本実施例である。
図8に示すように、必ずしもn個のタグ装置すべてと、個人認証装置がデータ授受を行う必要はなく、必要とされるタグ装置k個とIDのやりとりを行う。
ただし、予め、個人認証装置に提示されるIDの順番は決まっていて、図9に例示するように、個人認証装置へ提示されるIDの順番1,2,・・・,kは決まっている。
しかしながら、ここでは、提示するタグ装置に重複を許すので、重複の個数をm(m≧0)とするとき、タグ装置に仮につけた整理番号を1,2,・・・,k−mとするとき、IDの順番iがタグに付けた整理番号μ(i)に対応する。ここで、関数μ(・)はk個の値とk−m個の値に対する重なりがありうる置換関数である。なお、m=0の時は、第四の実施例に縮退する。
従って、タグ装置μ-1(i)(i=1,2,・・・,k)の順にタグ装置と個人認証装置が照合を行うことにより、順序づけされた照合ができる。
仮に、入力されたユーザが太郎であった場合、ここで示すヘキサ表示の3e,24,・・・,3eと入力タグが順序づけされて到来する。
具体的に、この順序づけて提示する行動は、認証側が自分の記憶に従って提示するのに併せて、逐一、個人認証装置が照合を行うか、予め照合の順を認証者が指定して、それに従って、自動で個人認証装置が照合する。
(Fifth embodiment)
The tag authentication system is premised on the same thing as the first to second embodiments, but this embodiment specifically illustrates IDs issued from a plurality of tag devices.
As shown in FIG. 8, it is not always necessary for all n tag devices and personal authentication devices to exchange data, and exchanges IDs with k required tag devices.
However, the order of IDs presented to the personal authentication device is determined in advance, and the order of
However, since the tag device to be presented here is allowed to be duplicated, when the number of duplicates is m (m ≧ 0), the reference numbers temporarily assigned to the tag device are 1, 2,..., Km. The ID order i corresponds to the reference number μ (i) assigned to the tag. Here, the function μ (•) is a permutation function that can overlap with k values and k−m values. When m = 0, the process is degenerated to the fourth embodiment.
Therefore, the tag device and the personal authentication device collate in the order of the tag device μ −1 (i) (i = 1, 2,..., K), so that ordered collation can be performed.
If the input user is Taro, the
Specifically, the actions to be presented in this order are performed in accordance with the verification by the authenticator in advance, or the personal authentication device performs verification one by one as the authentication side presents it according to its own memory. The personal authentication device automatically verifies.
(安全性:スペアキーを作製する場合と複数人が同じ錠を共有する場合)
安全性は、登録されている鍵のパターンの探索量Tで表せ、それが大きいほど安全であると考えられる。個人でスペアキーを作製する場合は、組合せの場合、2個目のスペアキーの探索量Tは、攻撃者が元の鍵の情報を知っていたかどうかに依存して、
The security can be expressed by the search amount T of the registered key pattern, and it is considered that the security is safer as it is larger. When creating a spare key individually, in the case of a combination, the search amount T of the second spare key depends on whether the attacker knew the original key information,
図10にこれらのID照合に関する3方式に対して、安全性を検討するために、攻撃者にとっての探索空間の大きさを比較する。n=10の例をとり、照合の回数を1≦k≦nの範囲で表した。これから、重複型が一番、探索空間が大きい。ただし、必ずしも、探索空間が大きいからといって、産業上、認証者にとって最も使いやすい組合せと限らないので、認証者を含めた形態に合わせてkを適当に選択することにより、必要な形態がとれる。 FIG. 10 compares the size of the search space for an attacker in order to examine the safety of these three methods related to ID collation. Taking the example of n = 10, the number of collations was expressed in the range of 1 ≦ k ≦ n. From now on, the duplication type is the largest and the search space is large. However, just because the search space is large, it is not necessarily the industry's most convenient combination for the certifier, so the necessary form can be obtained by appropriately selecting k according to the form including the certifier. I can take it.
(第六の実施の形態)
以上、認証者がタグ装置を複数個n、身につけているという前提で、認証用タグのみを相手に渡すというのが、最初に表される実現形態である(請求項6,7,8に対応、図11 参照)。
ダミーのタグ装置を認証用タグ装置として誤って提示する場合、認証が成功しないので、例え、個人が常に所持して、他人に取られても、探索空間が大きい場合、安全である(図12)。
一般的にとられている対策の様に、本人でも数回は間違える可能性を勘案しても、全数の探索空間よりずっと少ないところで上限を抑えておけば、不正者による攻撃からの安全性が保たれることが期待できるからである。
仮に請求項2および請求項6の対策が行われてなくても、外からスキャンされてIDを盗難されることがあった場合、認証者が多くのタグ装置が存在するところにいる場合、タグ装置の総量nが実質上身に着けている量よりも大きくなることが期待されるので、はるかに安全になる。
(Sixth embodiment)
As described above, on the assumption that the authenticator wears a plurality of tag devices, only the authentication tag is handed over to the other party. Response, see Figure 11).
If a dummy tag device is mistakenly presented as an authentication tag device, authentication will not succeed, and even if an individual is always possessed and taken by others, it is safe if the search space is large (FIG. 12). ).
Even if the person himself / herself may make mistakes several times, as in the case of measures generally taken, if the upper limit is kept in a place far less than the total number of search spaces, safety from attacks by unauthorized persons can be increased. This is because it can be expected to be kept.
Even if the measures of
(第七の実施の形態)
複数の認証者で、認証用のタグ装置k個を分け合って持ち合うという場合、更に、安全性を増す使い方ができる(請求項3に対応、図13 参照)。
複数人であるので、攻撃者が想定する探索空間が通常よりも大きくなることが期待できる。
また、本発明のタグ装置及び個人認証装置の各処理(図2,図4)はROM等に記憶されたプログラムに従いCPUにより実行することができる。
(Seventh embodiment)
If a plurality of authenticators share and hold k tag devices for authentication, they can be used to further increase safety (corresponding to claim 3, see FIG. 13).
Since there are multiple people, the search space assumed by the attacker can be expected to be larger than usual.
Each process (FIGS. 2 and 4) of the tag device and the personal authentication device of the present invention can be executed by the CPU in accordance with a program stored in a ROM or the like.
RFIDなどのタグ装置により、簡便な機能により、高い安全性を満たす認証方式を提案した。複数人の協力で認証する一種の割符も構成できることも合わせて提案した。また、秘密分散方式によって、組合せに関する演算量を削減できることも示した。
産業上の利用分野としては、例えば、店舗に並べた商品の管理に使われていたタグ装置を各商品に添付したまま、本発明に示されていた方式を適用することにより、強力な個人認証を実現でき、個人認証のみならず複数人から構成されるグループ全体の認証にも応用できる。
RFIDに期待されるタグ機能は、従来のバーコードと異なり、商品種別毎にIDが付与されるのみならず、商品(例えば、装身具)毎に個々のIDが付与されるので、この様なRFID利活用の認証システムが有意義な意味を持つ。
また、本発明によれば、必要に応じて高いセキュリティに設定することが可能であり、簡素なナンバー錠レベルから、高度な安全施設用の錠まで設定できる。
さらに、時間的な遷移に対する対策として、複数のタグ装置の組合せを登録できる。その登録パターンの権限を分けることにより、状況にあわせた変化をつけることができる。
We have proposed an authentication method that satisfies high security with a simple function using a tag device such as RFID. He also proposed that a kind of tally that can be authenticated with the cooperation of multiple people can be configured. It was also shown that the amount of calculation related to the combination can be reduced by the secret sharing scheme.
As an industrial application field, for example, strong personal authentication can be performed by applying the method shown in the present invention with tag devices used for managing products arranged in stores attached to each product. And can be applied not only to personal authentication, but also to authentication of the entire group composed of multiple people.
Unlike conventional barcodes, the tag function expected for RFID is not only assigned an ID for each product type, but also an individual ID for each product (for example, jewelry). Utilization authentication system is meaningful.
Moreover, according to this invention, it is possible to set to high security as needed, and it can set from a simple number lock level to the lock for advanced safety facilities.
Furthermore, a combination of a plurality of tag devices can be registered as a countermeasure against temporal transition. By changing the authority of the registration pattern, it is possible to change according to the situation.
10・・・個人認証装置
10a・・・制御部、10b・・・比較部、10c・・・読み書き部、10d・・・インタフェース、10e・・・記憶部
20・・・タグ装置
20a・・・制御部、20b・・・比較部、20c・・・読み書き部、20d・・・インタフェース、20e・・・記憶部
DESCRIPTION OF
Claims (12)
個人認証装置は、n個(nは2以上の整数)のタグ装置からk個(k≦n)のタグ装置を選択的に比較照合する手段を有し、
個人の正当性を確認することを特徴とするタグ認証システム。 A plurality of tag devices each having ID extraction means for extracting the ID from a storage unit having a built-in ID, a personal authentication device held by a valid user of the tag authentication system, and ID output means for outputting the ID; The authenticity of the authenticator is compared by comparing the ID input means for receiving the input of the ID from the tag device, the ID comparison extracting means for extracting the information for comparing the ID, and the information extracted in association with the ID. In a tag authentication system comprising a personal authentication device having an ID verification means for verifying
The personal authentication device has means for selectively comparing and collating k (k ≦ n) tag devices from n (n is an integer of 2 or more) tag devices,
A tag authentication system characterized by confirming the legitimacy of an individual.
タグ装置は、メタIDを内蔵する記憶部と、ID出力に先立ってメタIDを抽出するメタID抽出手段と、抽出されたメタIDを複数のタグ装置から個人認証装置へ転送するメタID出力手段を有し、
個人認証装置は、上記複数のメタIDを受け付けるメタID入力手段と、上記メタIDに対応する応答情報を抽出する応答情報抽出手段と、上記応答情報を受けタグ装置へ出力する応答情報出力手段を有し、
タグ装置は、上記応答情報を受付ける応答情報入力手段と、応答情報の妥当性を検証する応答情報検証手段と、検証に成功した場合、本来のID抽出処理を行う手段を有することを特徴とするタグ認証システム。 The tag authentication system according to claim 1,
The tag device includes a storage unit including a meta ID, a meta ID extraction unit that extracts a meta ID prior to outputting the ID, and a meta ID output unit that transfers the extracted meta ID to a personal authentication device from a plurality of tag devices. Have
The personal authentication device includes: a meta ID input unit that receives the plurality of meta IDs; a response information extraction unit that extracts response information corresponding to the meta ID; and a response information output unit that receives the response information and outputs the response information to a tag device. Have
The tag device includes a response information input unit that receives the response information, a response information verification unit that verifies the validity of the response information, and a unit that performs an original ID extraction process when the verification is successful. Tag authentication system.
複数個のタグ装置は、複数人が所持し、複数のIDが提示されることを特徴とするタグ認証システム。 In the tag authentication system according to claim 1 or 2,
A tag authentication system, wherein a plurality of tag devices are possessed by a plurality of people and a plurality of IDs are presented.
n個(nは2以上の整数)のタグ装置からk個(k≦n)のタグ装置を選択的に比較照合する手段を有することを特徴とする個人認証装置。 An ID input means for receiving input of IDs from a plurality of tag devices, an ID comparison extracting means for extracting information for comparing the IDs, and information extracted in association with the IDs are compared, and the authenticity of the authenticator is verified. In a personal authentication device used for a tag authentication system having an ID verification means for verifying the characteristics,
A personal authentication device comprising means for selectively comparing and collating k (k ≦ n) tag devices from n (n is an integer of 2 or more) tag devices.
個人認証装置は、上記複数のIDの入力を受け付け、上記IDを比較する情報を抽出し、上記IDと関連して抽出された情報とを比較し、認証者の正当性を検証するタグ認証方法において、
個人認証装置は、n個(nは2以上の整数)のタグ装置からk個(k≦n)のタグ装置を選択的に比較照合し、
個人の正当性を確認することを特徴とするタグ認証方法。 The plurality of tag devices extract the stored ID, and output the ID to a personal authentication device held by a legitimate user,
Tag authentication method for accepting input of a plurality of IDs, extracting information for comparing the IDs, comparing information extracted in association with the IDs, and verifying the authenticity of the authenticator In
The personal authentication device selectively compares and collates k (k ≦ n) tag devices from n (n is an integer of 2 or more) tag devices,
A tag authentication method characterized by confirming the legitimacy of an individual.
複数のタグ装置は、ID出力に先立って記憶しているメタIDを抽出し、抽出されたメタIDを個人認証装置へ転送し、
個人認証装置は、上記複数のメタIDを受け付け、上記メタIDに対応する応答情報を抽出し、上記応答情報を受けタグ装置へ出力し、
タグ装置は、上記応答情報を受付け、応答情報の妥当性を検証し、検証に成功した場合、本来のID抽出処理を行うことを特徴とするタグ認証方法。 The tag authentication method according to claim 5,
The plurality of tag devices extract the meta ID stored prior to outputting the ID, transfer the extracted meta ID to the personal authentication device,
The personal authentication device receives the plurality of meta IDs, extracts response information corresponding to the meta IDs, outputs the response information to the tag device,
A tag authentication method, wherein the tag device receives the response information, verifies the validity of the response information, and performs an original ID extraction process when the verification is successful.
IDの抽出・送出は、送出されるk個のタグ装置のIDが順序づけられて、タグ装置から個人認証装置へ提示されることを特徴とするタグ認証方法。 The tag authentication method according to claim 5 or 6,
ID extraction / transmission is a tag authentication method characterized in that the IDs of k tag devices to be transmitted are ordered and presented from the tag device to the personal authentication device.
送出されるk個未満のタグ装置から出力されるIDが順序づけされているのみならず、
一部のタグ装置からは複数回IDが提示され、結果的にIDがk回、タグ装置から個人認証装置へ複数回提示されることを特徴とするタグ認証方法。 The tag authentication method according to claim 7,
Not only are the IDs output from less than k tag devices being sent out ordered,
A tag authentication method, wherein an ID is presented a plurality of times from some tag devices, and as a result, the ID is presented a plurality of times from the tag device to the personal authentication device k times.
上記IDを比較する情報を抽出する処理と、
上記IDと関連して抽出された情報とを比較し、認証者の正当性を検証する処理と、
n個(nは2以上の整数)のタグ装置からk個(k≦n)のタグ装置を選択的に比較照合する処理とを有し、各処理をコンピュータに実行させる個人認証装置に用いられるプログラム。 A process of receiving input of IDs from a plurality of tag devices;
A process of extracting information for comparing the IDs;
A process of comparing the information extracted in association with the ID and verifying the authenticity of the authenticator;
and a process of selectively comparing and collating k (k ≦ n) tag devices from n (n is an integer of 2 or more) tag devices, and used for a personal authentication device that causes a computer to execute each processing. program.
複数のタグ装置からのIDの入力を受け付ける処理に先だって、タグ装置からメタIDを受け付ける処理と、
上記メタIDに対応する応答情報を抽出する処理と、
上記応答情報をタグ装置へ出力する処理と、をコンピュータに実行させる個人認証装置に用いられるプログラム。 In the program used for the personal authentication device according to claim 9,
Prior to the process of accepting input of IDs from a plurality of tag devices, a process of accepting a meta ID from the tag device;
A process of extracting response information corresponding to the meta ID;
The program used for the personal authentication apparatus which makes a computer perform the process which outputs the said response information to a tag apparatus.
正当な利用者が保持する個人認証装置に対し、上記IDを出力する処理と、
送出されるk個(k≦n)のタグ装置が順序づけされて個人認証装置に提示される処理と、をコンピュータに実行させるタグ装置に用いられる認証プログラム。 a process of extracting stored IDs from n (n is an integer of 2 or more) tag devices;
A process of outputting the ID to a personal authentication device held by a legitimate user;
An authentication program used for a tag device that causes a computer to execute processing in which k tag devices (k ≦ n) to be sent are ordered and presented to a personal authentication device.
一部のタグ装置からは複数回IDが提示され、結果的にIDがk回、個人認証装置へ複数回提示される処理をコンピュータに実行させるタグ装置に用いられるプログラム。
In the program used for the tag apparatus of Claim 11,
A program used for a tag device that causes a computer to execute a process in which an ID is presented multiple times from some tag devices, and as a result, the ID is presented k times and presented multiple times to the personal authentication device.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004062836A JP2005251006A (en) | 2004-03-05 | 2004-03-05 | Tag authentication system, method and program for the same |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004062836A JP2005251006A (en) | 2004-03-05 | 2004-03-05 | Tag authentication system, method and program for the same |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005251006A true JP2005251006A (en) | 2005-09-15 |
Family
ID=35031412
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004062836A Pending JP2005251006A (en) | 2004-03-05 | 2004-03-05 | Tag authentication system, method and program for the same |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005251006A (en) |
-
2004
- 2004-03-05 JP JP2004062836A patent/JP2005251006A/en active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Bhargav-Spantzel et al. | Privacy preserving multi-factor authentication with biometrics | |
| JP5499358B2 (en) | Authentication processing method and apparatus | |
| EP0924657B2 (en) | Remote idendity verification technique using a personal identification device | |
| US8736424B2 (en) | Systems and methods for performing secure financial transactions | |
| US6728881B1 (en) | Fingerprint and signature identification and authorization card and pen | |
| EP0924656B2 (en) | Personal identification FOB | |
| US20040117636A1 (en) | System, method and apparatus for secure two-tier backup and retrieval of authentication information | |
| US20090216679A1 (en) | Method and system for validating a device that uses a dynamic identifier | |
| NL1037554C2 (en) | System and method for verifying the identity of an individual by employing biometric data features associated with the individual as well as a computer program product for performing said method. | |
| Braithwaite et al. | Application-specific biometric templates | |
| Radha et al. | An evaluation of fingerprint security using noninvertible biohash | |
| Xi et al. | Bio-cryptography | |
| Liou et al. | A sophisticated RFID application on multi-factor authentication | |
| Gulsezim et al. | Two factor authentication using twofish encryption and visual cryptography algorithms for secure data communication | |
| KR100974815B1 (en) | System for Authenticating a Living Body Doubly | |
| Cavoukian et al. | Keynote paper: Biometric encryption: Technology for strong authentication, security and privacy | |
| JP2001312477A (en) | System, device, and method for authentication | |
| US10503936B2 (en) | Systems and methods for utilizing magnetic fingerprints obtained using magnetic stripe card readers to derive transaction tokens | |
| Atallah et al. | Secure biometric authentication for weak computational devices | |
| Patil et al. | Design and implementation of secure biometric based authentication system using rfid and secret sharing | |
| Itakura et al. | Proposal on a multifactor biometric authentication method based on cryptosystem keys containing biometric signatures | |
| Dandash et al. | Security analysis for internet banking models | |
| WO2008031143A1 (en) | Password generator | |
| Seto | Development of personal authentication systems using fingerprint with smart cards and digital signature technologies | |
| EP1331753A2 (en) | Method and apparatus for simultaneously establishing user identity and group membership |