JP4697939B2 - User authentication system and user authentication method - Google Patents

User authentication system and user authentication method Download PDF

Info

Publication number
JP4697939B2
JP4697939B2 JP2005109510A JP2005109510A JP4697939B2 JP 4697939 B2 JP4697939 B2 JP 4697939B2 JP 2005109510 A JP2005109510 A JP 2005109510A JP 2005109510 A JP2005109510 A JP 2005109510A JP 4697939 B2 JP4697939 B2 JP 4697939B2
Authority
JP
Japan
Prior art keywords
user
password
information
biometric information
authentication device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005109510A
Other languages
Japanese (ja)
Other versions
JP2006293458A (en
Inventor
信彦 遠藤
賢一郎 齋藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dai Nippon Printing Co Ltd
Original Assignee
Dai Nippon Printing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dai Nippon Printing Co Ltd filed Critical Dai Nippon Printing Co Ltd
Priority to JP2005109510A priority Critical patent/JP4697939B2/en
Publication of JP2006293458A publication Critical patent/JP2006293458A/en
Application granted granted Critical
Publication of JP4697939B2 publication Critical patent/JP4697939B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ICカードに代表される認証デバイスを用いユーザを認証する技術に関し、更に詳しくは、ユーザの生体情報を用いてユーザを認証する技術に関する。   The present invention relates to a technique for authenticating a user using an authentication device typified by an IC card, and more particularly to a technique for authenticating a user using the user's biological information.

従来、ユーザを認証するユーザ認証システムとしては、パスワードと認証デバイスを組合わせたシステムが普及している。例えば、銀行のATMにおいては、認証デバイスとして、ユーザはキャッシュカードを所持し、ユーザはATMにキャッシュカードを挿入し、ATMにパスワードを入力することで、ユーザは認証される。   Conventionally, as a user authentication system for authenticating a user, a system in which a password and an authentication device are combined has been widely used. For example, in a bank ATM, a user possesses a cash card as an authentication device, the user inserts a cash card into the ATM, and enters a password into the ATM to authenticate the user.

しかしながら、ATMに代表されるパスワードベースのユーザ認証システムにおいては、ユーザがパスワードを手動で入力するため、データ長の長いパスワードを設定できないし、パスワードが盗み見された場合は、認証デバイスが悪用されてしまう危険性もある。   However, in a password-based user authentication system typified by ATM, a user manually inputs a password, so a password with a long data length cannot be set, and if the password is stolen, the authentication device is abused. There is also a risk of end.

そこで、ユーザの生体情報(例えば、指紋情報)を用いて、パスワードによるユーザ認証を、よりセキュアに行うユーザ認証システムもある(例えば、特許文献1,2)。   Therefore, there is also a user authentication system that uses a user's biometric information (for example, fingerprint information) to more securely perform user authentication using a password (for example, Patent Documents 1 and 2).

特許文献1で開示されている技術は、柔軟なユーザインターフェースを備えたユーザ(個人)認証システムで、このユーザ認証システムは、ユーザごとに複数の指の指紋情報とパスワードを関連付けて記憶したデータベースを有し、ランダムに指示した指に対応するユーザの指紋情報を読取り、読み取った指紋情報とデータベースに記憶している指紋情報をと照合し、照合に成功した場合には、照合した指紋情報に対応するパスワードをアプリケーションに送出し、アプリケーションがパスワードを照合することで、ユーザを認証するシステムである。   The technology disclosed in Patent Document 1 is a user (personal) authentication system having a flexible user interface. This user authentication system stores a database in which fingerprint information and passwords of a plurality of fingers are associated and stored for each user. The fingerprint information of the user corresponding to the randomly specified finger is read, the read fingerprint information is compared with the fingerprint information stored in the database, and if the verification is successful, it corresponds to the verified fingerprint information This is a system for authenticating a user by sending a password to the application and verifying the password by the application.

特許文献2で開示されている技術は、リーダーライタなどの可搬ユニットに、ユーザの指紋情報とICカードに送信するパスワードを記録しておき、ユーザの指紋情報を用いてユーザの認証に成功したら、ユーザの代わりにパスワードをICカードに代行入力し、ICカードがパスワードを照合することで、ユーザを認証する方法である。   The technique disclosed in Patent Document 2 records a user's fingerprint information and a password to be transmitted to an IC card in a portable unit such as a reader / writer, and succeeds in user authentication using the user's fingerprint information. In this method, a password is substituted for an IC card instead of the user, and the IC card verifies the password to authenticate the user.

しかしながら、特許文献1または2で開示されている技術においては、ユーザの指紋情報は、データベースもしくはリーダライタなどのICカード以外のハードウェアに記憶されるため、これらの技術を実現する際には、ICカード以外に、指紋情報を機密に記憶するハードウェアが必要になり、既存のパスワードベースのユーザ認証システムには展開しずらい問題があった。
特開2002-140708号公報 特開2004−334816号公報 However, in the technology disclosed in Patent Document 1 or 2, since the fingerprint information of the user is stored in hardware other than an IC card such as a database or a reader / writer, when implementing these technologies, In addition to the IC card, hardware that secretly stores fingerprint information is required, and the existing password-based user authentication system has a problem that is difficult to deploy.
JP 2002-140708 A JP 2004-334816 A

そこで、上述した問題を鑑みて、本発明は、ユーザの生体情報を用いてユーザを認証することで、パスワードベースのユーザ認証システムよりもセキュアにユーザを認証することができ、かつ、既存のパスワードベースのユーザ認証システムにも展開が容易な、ユーザ認証システム、ユーザ認証方法を提供することを目的とする。   Therefore, in view of the above-described problems, the present invention can authenticate a user more securely than a password-based user authentication system by authenticating the user using the biometric information of the user, and an existing password. It is an object of the present invention to provide a user authentication system and a user authentication method that can be easily deployed in a base user authentication system.

上述した課題を解決する第1の発明は、ユーザが所持する認証デバイスと、前記認証デバイスを利用してユーザを認証するホストコンピュータとから構成されるユーザ認証システムであって、前記認証デバイスは、前記認証デバイスを用いてユーザを認証するアプリケーションの固有の値を付加情報とし、前記認証デバイスを所持するユーザの生体情報に前記付加情報を付加した情報をある一定長の情報に要約するアルゴリズムに従い演算して得られたパスワードを記憶し、前記ホストコンピュータから送信されるパスワードと、記憶しているパスワード照合するパスワード照合手段を備え、前記ホストコンピュータは、前記認証デバイスを所持するユーザの生体情報を読取る生体情報読取り手段と、前記生体情報読取り手段が読取った生体情報とユーザ認証するアプリケーションの固有の値を用い前記アルゴリズムに従いパスワードを演算するパスワード生成手段と、前記認証デバイスの前記パスワード照合手段を用い、前記パスワード生成手段が演算したパスワードを照合することでユーザを認証する少なくとも一つのアプリケーションと、を備えていることを特徴するユーザ認証システムである。 A first invention that solves the above-described problem is a user authentication system that includes an authentication device possessed by a user and a host computer that authenticates the user using the authentication device, wherein the authentication device includes: Calculation according to an algorithm that summarizes the information obtained by adding the additional information to the biometric information of the user possessing the authentication device into a certain length of information, with the unique value of the application that authenticates the user using the authentication device as additional information storing the obtained was password, and the password sent from the host computer, includes a password collating means for collating the password stored, the host computer, the biometric information of the user carrying the authentication device a biometric information reading means for taking reading, raw said biometric information reading means has read A password generating means for calculating a password in accordance with the algorithm using the unique values of the application information and user authentication, using the password verification unit of the authentication device, the user by matching the password the password generating means computed A user authentication system comprising: at least one application for authentication.

第1の発明によれば、ユーザの生体情報から演算したパスワードを照合することで、照合するパスワードは、ユーザの生体情報から自動的に演算されるため、ユーザは自分のパスワードを記憶する必要がなくなるばかりか、パスワードが盗み見される危険性がなくなる。また、前記生体情報読取り手段と前記パスワード生成手段とを、既存のパスワードベースのユーザ認証システムに追加することで、既存のパスワードベースのユーザ認証システムにおいても、容易に本発明を実施できる。また、第1の発明において、任意の長さの情報をある一定長の情報に要約するアルゴリズムとは、SHA−1(Secure Hash Algorithm 1)に代表されるハッシュアルゴリズムを意味し、前記付加情報を前記アプリケーションごとに異なる値とすることで、前記パスワード生成手段が演算するパスワードをアプリケーションごとに変えることができる。 According to the first invention, since the password to be verified is automatically calculated from the biometric information of the user by verifying the password calculated from the biometric information of the user, the user needs to store his / her password. Not only will it disappear, but there is no risk of passwords being seen. Further, by adding the biometric information reading unit and the password generation unit to an existing password-based user authentication system, the present invention can be easily implemented even in an existing password-based user authentication system. In the first invention, the algorithm for summarizing information of an arbitrary length into information of a certain length means a hash algorithm represented by SHA-1 (Secure Hash Algorithm 1), and the additional information is By setting a different value for each application, the password calculated by the password generation unit can be changed for each application.

また、第1の発明のユーザ認証システムにおいて、前記認証デバイスはユーザの生体情報を記憶し、前記ホストコンピュータは、前記認証デバイスから読み出した生体情報と、前記生体情報読取り手段が読み取った生体情報とを照合する生体情報照合手段を備え、前記生体情報照合手段が生体情報の照合に成功した場合のみ、ユーザ認証するアプリケーションは、前記パスワード生成手段が演算したパスワードを、前記認証デバイスの前記パスワード照合手段を用いて照合することが好ましい。ユーザの生体情報そのものを照合することで、よりセキュアにユーザを認証することができる。 In the user authentication system of the first invention, the authentication device stores biometric information of a user, and the host computer reads the biometric information read from the authentication device and the biometric information read by the biometric information reading unit. Only when the biometric information collating unit succeeds in collating biometric information, the application for user authentication uses the password calculated by the password generating unit as the password collating unit of the authentication device. It is preferable to collate using. By collating the user's biometric information itself, the user can be authenticated more securely.

なお、第1の発明のユーザ認証システムにおいて、生体情報とは、ユーザごとにユニークな生体情報で、指の指紋情報、目の網膜・虹彩情報、声の声紋情報、手のひらの静脈パターン情報などを意味する。更に、第1の発明において、前記認証デバイスとは、ユーザを認証するための情報であるパスワードや生体情報を秘匿に格納できるデバイスを意味し、具体的には、ICカードやUSBトークンなどを意味する。   In the user authentication system of the first invention, the biometric information is unique biometric information for each user, such as finger fingerprint information, eye retina / iris information, voice voiceprint information, palm vein pattern information, and the like. means. Furthermore, in the first invention, the authentication device means a device that can secretly store a password or biometric information, which is information for authenticating a user, and specifically means an IC card, a USB token, or the like. To do.

上述した課題を解決する第2の発明は、ユーザが所持する認証デバイスを用い、ホストコンピュータがユーザを認証するユーザ認証方法であって、前記認証デバイスは、前記認証デバイスを用いてユーザを認証するアプリケーションの固有の値を付加情報とし、前記認証デバイスを所持するユーザの生体情報に前記付加情報を付加した情報をある一定長の情報に要約するアルゴリズムに従い演算して得られたパスワードを記憶し、外部端末から送信されるパスワードと記憶しているパスワードを照合する手段を備え、前記ホストコンピュータがユーザの生体情報を読み取るステップ(STEP1)、前記ホストコンピュータが前記STEP1で読み取った生体情報とユーザ認証するアプリケーションの固有の値を用い前記アルゴリズムに従いパスワードを演算するステップ(STEP2)、前記ホストコンピュータが、前記認証デバイスを用いて、前記STEP2で演算されたパスワードを照合するステップ(STEP3)を順に実行することを特徴とする。 A second invention for solving the above-described problem is a user authentication method in which an authentication device possessed by a user is used and a host computer authenticates the user, and the authentication device authenticates the user using the authentication device. Store the password obtained by calculating according to an algorithm that summarizes the information obtained by adding the additional information to the biometric information of the user possessing the authentication device into the information of a certain length as the additional information unique to the application, The host computer includes means for collating a password transmitted from an external terminal with a stored password, wherein the host computer reads the user's biometric information (STEP 1), and the host computer performs user authentication with the biometric information read in the STEP 1 Follow the above algorithm using application specific values The step of calculating the Seward (STEP2), the host computer, by using the authentication device, and executes the step (STEP3) matching the calculated in STEP2 password in order.

また、第2の発明のユーザ認証方法において、前記認証デバイスは、ユーザの生体情報を記憶し、前記ホストコンピュータは、前記認証デバイスから読み出した生体情報と、前記STEP1で読み取った生体情報とを照合し、生体情報の照合に成功した場合のみ、前記ホストコンピュータは前記STEP3を実行することが望ましい。   In the user authentication method of the second invention, the authentication device stores the biometric information of the user, and the host computer compares the biometric information read from the authentication device with the biometric information read in STEP 1. It is desirable that the host computer executes the STEP 3 only when the biometric information is successfully verified.

上述した本発明によれば、ユーザの生体情報を用いてユーザを認証することで、パスワードベースのユーザ認証システムよりもセキュアにユーザを認証することができ、かつ、既存のパスワードベースのユーザ認証システムにも展開が容易な、ユーザ認証システム、ユーザ認証方法を提供できる。   According to the present invention described above, the user can be authenticated more securely than the password-based user authentication system by authenticating the user using the biometric information of the user, and the existing password-based user authentication system. In addition, it is possible to provide a user authentication system and a user authentication method that can be easily deployed.

<ICカードを用いたユーザ認証システムの構成図>
ここから本発明に係るユーザ認証システムについて、図を参照しながら詳細に説明する。図1は、ユーザ認証システムの構成を示した図である。図1に示したように、本発明のユーザ認証システムは、ユーザ認証システムを利用するユーザが所持するICカード2と、ICカード2とデータ通信するリーダライタ11およびユーザの生体情報として指紋情報を読み取る指紋センサ10を備えたホストコンピュータ1とから構成される。 <Configuration diagram of user authentication system using IC card>
From here, the user authentication system according to the present invention will be described in detail with reference to the drawings. FIG. 1 is a diagram showing a configuration of a user authentication system. As shown in FIG. 1, the user authentication system of the present invention includes an IC card 2 possessed by a user who uses the user authentication system, a reader / writer 11 that performs data communication with the IC card 2, and fingerprint information as the user's biometric information. It is comprised from the host computer 1 provided with the fingerprint sensor 10 to read.

ユーザが所持するICカード2には、予め、本発明が適用されたICカード発行機にて、ユーザの指紋情報(例えば、指紋の中心点、隆線の端点・分岐点など特徴点)と、所定のアルゴリズムに従い、ユーザの指紋情報から演算されたパスワードが秘匿に記憶され、ホストコンピュータ1から送信されるパスワードとICカード2に記憶されたパスワードとを照合するパスワード照合手段を備えている。そして、パスワード照合手段によるユーザの認証に成功すると、ICカード2に記憶された暗号クレデンシャルなどの利用が可能になる。   In the IC card 2 possessed by the user, the IC card issuing machine to which the present invention is applied in advance, the user's fingerprint information (for example, feature points such as the fingerprint center point, ridge end point / branch point), According to a predetermined algorithm, a password calculated from the user's fingerprint information is secretly stored, and password verification means for verifying the password transmitted from the host computer 1 and the password stored in the IC card 2 is provided. If the user is successfully authenticated by the password verification means, the cryptographic credentials stored in the IC card 2 can be used.

ホストコンピュータ1のアプリケーションが、ICカード2にパスワードを送信してユーザを認証するときは、ホストコンピュータ1に備えられた指紋センサ10がユーザの指紋情報を読取り、ICカード2に記憶された指紋情報と指紋センサ10が読み取った指紋情報とを照合した後、指紋センサで読み取った指紋情報からパスワードを演算し、演算されたパスワードはICカード2のパスワード照合手段で照合される。なお、ICカード2で照合されるパスワードは、ユーザの指紋情報から演算され、ユーザごとに異なる値になるため、ホストコンピュータ1は指紋情報を照合する処理を省くこともできる。   When the application of the host computer 1 transmits a password to the IC card 2 to authenticate the user, the fingerprint sensor 10 provided in the host computer 1 reads the fingerprint information of the user and the fingerprint information stored in the IC card 2 Are compared with the fingerprint information read by the fingerprint sensor 10, a password is calculated from the fingerprint information read by the fingerprint sensor, and the calculated password is verified by the password verification means of the IC card 2. Note that the password collated by the IC card 2 is calculated from the user's fingerprint information and has a different value for each user. Therefore, the host computer 1 can omit the process of collating the fingerprint information.

また、ユーザの指紋情報を読み取る機能、読み取ったユーザの指紋情報を照合する機能、および、ユーザの指紋情報からパスワードを演算する機能を実行するプログラムを、アプリケーションとは別のプログラム(例えば、ドライバ)とすることで、ホストコンピュータ1に組み込まれる様々なアプリケーションが上述した機能を利用できる。加えて、既存のパスワードベースのユーザ認証システムで使用しているコンピュータに、このドライバをインストールすれば、既存のパスワードベースのユーザ認証システムにおいても、容易に本発明を実現することができる。   In addition, a program (for example, a driver) that is different from an application is a program that executes a function of reading user fingerprint information, a function of collating user fingerprint information that has been read, and a function of calculating a password from user fingerprint information. By doing so, various applications incorporated in the host computer 1 can use the functions described above. In addition, if this driver is installed in a computer used in an existing password-based user authentication system, the present invention can be easily realized in an existing password-based user authentication system.

<ICカード認証システムのブロック図>
ここから、図1で示したユーザ認証システムのブロック図を示し、図1で示したユーザ認証システムについて、更に詳細に説明する。 <Block diagram of IC card authentication system>
From here, the block diagram of the user authentication system shown in FIG. 1 is shown, and the user authentication system shown in FIG. 1 will be described in more detail.

図2は、図1で示したユーザ認証システムのブロック図である。図2に示したように、 ユーザが所持するICカード2は、前述したように、ユーザの指紋情報と、ユーザの指紋情報から所定のアルゴリズムに従い演算されたパスワードが予め記憶され、ICカード2に送信されるパスワードとICカード2に記憶されたパスワードとを照合するパスワード照合手段としてパスワード照合コマンド20(例えば、ISO7816規格に記述されたVrrifyコマンド)を備える。なお、今後、ICカード2に記憶された指紋情報を登録指紋情報22と呼び、ICカード2に記憶されたパスワードを登録パスワード21と呼ぶ。   FIG. 2 is a block diagram of the user authentication system shown in FIG. As shown in FIG. 2, the IC card 2 possessed by the user stores the fingerprint information of the user and the password calculated from the fingerprint information of the user according to a predetermined algorithm in advance, as described above. A password verification command 20 (for example, a Vrify command described in the ISO7816 standard) is provided as password verification means for verifying the transmitted password and the password stored in the IC card 2. In the future, the fingerprint information stored in the IC card 2 will be referred to as registered fingerprint information 22, and the password stored in the IC card 2 will be referred to as registered password 21.

また、図2で示したように、ホストコンピュータ1には、ICカード2を利用したプログラムで、ある特定の用途(例えば、ネットワークへのログイン管理)に設計されたアプリケーション14と、アプリケーション14が使用するパスワードを生成するパスワード生成手段13と、ユーザの指紋情報を読み取る手段として指紋センサ10と、指紋センサ10が読み取った指紋情報を照合する手段として指紋情報照合手段12と、ICカード2と通信する手段としてリーダライタ11が備えられている。   As shown in FIG. 2, the host computer 1 is a program using the IC card 2 and is used by the application 14 designed for a specific application (for example, log-in management to the network) and the application 14. The IC card 2 communicates with a password generation unit 13 for generating a password to be generated, a fingerprint sensor 10 as a unit for reading fingerprint information of a user, a fingerprint information verification unit 12 as a unit for verifying fingerprint information read by the fingerprint sensor 10, and the IC card 2 A reader / writer 11 is provided as means.

ホストコンピュータ1に備えられたアプリケーション14は、ICカード2に備えられた機能(例えば、暗号クレデンシャル)を利用するときに、ICカード2のパスワード照合コマンド20を用いて、ユーザを認証する。なお、アプリケーション14が使用するパスワードは、パスワード生成手段13が演算したパスワードで、このパスワードは、登録パスワード21が演算されたときと同じアルゴリズムに従い、ユーザの指紋情報から演算される。   The application 14 provided in the host computer 1 authenticates the user by using the password verification command 20 of the IC card 2 when using a function (for example, encryption credential) provided in the IC card 2. Note that the password used by the application 14 is a password calculated by the password generation means 13, and this password is calculated from the fingerprint information of the user according to the same algorithm as when the registered password 21 is calculated.

ホストコンピュータ1に備えられた指紋センサ10は、ユーザの指紋情報を読み取るセンサで、ユーザが指を走査することで指紋情報を読み取るスイープ型の指紋センサでもよく、走査の必要のない感圧型の指紋センサでも構わない。なお、今後、指紋センサ10が読み取った指紋情報を入力指紋情報100と呼ぶ。   The fingerprint sensor 10 provided in the host computer 1 is a sensor that reads the fingerprint information of the user, and may be a sweep type fingerprint sensor that reads the fingerprint information by the user scanning the finger, and is a pressure-sensitive fingerprint that does not require scanning. A sensor may be used. In the future, fingerprint information read by the fingerprint sensor 10 will be referred to as input fingerprint information 100.

なお、本実施の形態においてはユーザの生体情報を指紋情報としているが、指紋情報以外の生体情報(例えば、静脈のパターン)を使用するときは、使用する生体情報を読み取るセンサが用いられる。   In the present embodiment, the biometric information of the user is used as fingerprint information. However, when using biometric information other than the fingerprint information (for example, a vein pattern), a sensor that reads the biometric information to be used is used.

ホストコンピュータ1に備えられた指紋情報照合手段12は、リーダライタ11を用いて、ICカード2から登録指紋情報22を読出し、指紋センサ10が読み取った入力指紋情報100と、ICカード2から読み出した登録指紋情報22とを照合する手段である。   The fingerprint information collating unit 12 provided in the host computer 1 uses the reader / writer 11 to read the registered fingerprint information 22 from the IC card 2 and read the input fingerprint information 100 read by the fingerprint sensor 10 and the IC card 2. It is a means for collating with registered fingerprint information 22.

本発明は、指紋情報の照合方法に何ら依存するものではなく、マニューシャ方式やその他の方式で指紋情報は照合される。なお、前述したように、ホストコンピュータ1には指紋情報照合手段12が備えられていなくともよく、また、指紋情報以外の生体情報を使用するときは、使用する生体情報に適した照合方法が利用される。   The present invention does not depend on a fingerprint information collation method, and fingerprint information is collated by a minutia method or other methods. As described above, the host computer 1 does not have to be provided with the fingerprint information collating means 12, and when using biometric information other than the fingerprint information, a collation method suitable for the biometric information to be used is used. Is done.

パスワード生成手段13は、指紋センサが読み取った入力指紋情報100から、所定のアルゴリズムに従いパスワードを演算する手段である。なお、今後、パスワード生成手段13が演算したパスワードを演算パスワード130と呼ぶ。   The password generation means 13 is a means for calculating a password from the input fingerprint information 100 read by the fingerprint sensor according to a predetermined algorithm. In the future, the password calculated by the password generation unit 13 will be referred to as a calculated password 130.

図3は、パスワード生成手段13が、演算パスワード130を演算するアルゴリズムの手順の一例を説明する図である。このアルゴリズムの最初のステップS10は、入力指紋情報100に付加情報をパディングするステップである。ここで、付加情報とは、アプリケーション14ごとに固有の値(例えば、AID:Application Identifier)等のある規則に従い定められた値である。入力指紋情報100に、付加情報をパディングすることで、アプリケーション14ごとに演算パスワード130を変更することが可能になる。   FIG. 3 is a diagram for explaining an example of an algorithm procedure in which the password generation unit 13 calculates the calculation password 130. The first step S10 of this algorithm is a step of padding additional information into the input fingerprint information 100. Here, the additional information is a value determined according to a certain rule such as a unique value (for example, AID: Application Identifier) for each application 14. By padding the input fingerprint information 100 with additional information, the calculation password 130 can be changed for each application 14.

次のステップS11は、付加情報をパディングした入力指紋情報100のハッシュ値を演算することで、演算パスワード130を演算するステップである。ここで、ハッシュ値とは、ある情報を一定長の情報に要約するハッシュ関数で算出される値であって、ハッシュ値を算出するハッシュ関数としてはSHA−1(Secure Hash Algorithm 1)やmd5sumなどが利用できる。このステップS11で、演算パスワード130を演算するアルゴリズムの手順は終了する。   The next step S11 is a step of calculating the calculation password 130 by calculating a hash value of the input fingerprint information 100 padded with additional information. Here, the hash value is a value calculated by a hash function that summarizes certain information into information of a certain length. Examples of hash functions for calculating a hash value include SHA-1 (Secure Hash Algorithm 1) and md5sum. Is available. In step S11, the algorithm procedure for calculating the calculation password 130 is completed.

なお、ICカード2に記憶されている登録パスワード100は、ホストコンピュータ1に備えられたパスワード生成手段13と同じアルゴリズムに従い、登録指紋情報22から演算されたパスワードである。   The registered password 100 stored in the IC card 2 is a password calculated from the registered fingerprint information 22 according to the same algorithm as the password generating means 13 provided in the host computer 1.

そして、パスワード生成手段13が演算した演算パスワード130は、パスワード生成手段13からアプリケーション14へと伝達される。そして、アプリケーション14は、演算パスワード130を、パスワード照合コマンド20のAPDU(Application Protocol Data Unit)に含ませてICカード2に送信し、ICカード2は、演算パスワード130と登録パスワード21とを照合する。   The calculated password 130 calculated by the password generating unit 13 is transmitted from the password generating unit 13 to the application 14. Then, the application 14 includes the operation password 130 in an application protocol data unit (APDU) of the password verification command 20 and transmits it to the IC card 2, and the IC card 2 verifies the operation password 130 and the registered password 21. .

<ユーザ認証方法の手順>
ここから本発明に係るユーザ認証方法について、図1で示したユーザ認証システムを例に取りながら詳細に説明する。図4はユーザ認証方法の手順を示したフロー図である。 <User authentication procedure>
From here, the user authentication method according to the present invention will be described in detail by taking the user authentication system shown in FIG. 1 as an example. FIG. 4 is a flowchart showing the procedure of the user authentication method.

ユーザ認証方法の最初のステップS20は、認証するユーザの生体情報を読み取るステップである。図1のユーザ認証システムにおいては、例えば、アプリケーション14からの指示により、ユーザ認証が開始され、ホストコンピュータ1の指紋センサ10は、ユーザの指紋情報(入力指紋情報100)を読み取る。   The first step S20 of the user authentication method is a step of reading the biometric information of the user to be authenticated. In the user authentication system of FIG. 1, for example, user authentication is started by an instruction from the application 14, and the fingerprint sensor 10 of the host computer 1 reads the user's fingerprint information (input fingerprint information 100).

次のステップS21は、ステップS20で読み取ったユーザの生体情報を照合するステップである。図1のユーザ認証システムにおいては、指紋情報照合手段12が、ICカード2から指紋情報(登録指紋情報22)を取得し、指紋センサ10が読み取った指紋情報(入力指紋情報100)と照合する。   The next step S21 is a step of collating the user's biometric information read in step S20. In the user authentication system of FIG. 1, the fingerprint information collating unit 12 acquires fingerprint information (registered fingerprint information 22) from the IC card 2 and collates it with the fingerprint information (input fingerprint information 100) read by the fingerprint sensor 10.

次のステップS22においては、ユーザの生体情報の照合に成功したときは、ステップS23に進み、失敗したときはこの手順を終了する。   In the next step S22, when the collation of the biometric information of the user is successful, the process proceeds to step S23, and when it fails, this procedure is terminated.

ユーザの生体情報の照合に成功したときに実行されるステップS23は、ユーザの生体情報からパスワードを演算するステップである。図1のユーザ認証システムにおいては、パスワード生成手段13が、指紋センサ10で読み取った指紋情報(入力指紋情報100)からパスワード(演算パスワード130)を演算する。   Step S23, which is executed when the user's biometric information is successfully verified, is a step of calculating a password from the user's biometric information. In the user authentication system of FIG. 1, the password generation unit 13 calculates a password (calculated password 130) from fingerprint information (input fingerprint information 100) read by the fingerprint sensor 10.

次のステップS24は、演算したパスワードを用いて、ユーザを認証するステップである。図1のユーザ認証システムにおいては、パスワード生成手段13が演算したパスワード(演算パスワード130)が、ICカード2に送信され、ICカード2に記憶されたパスワード(登録パスワード21)と照合されることで、ユーザは認証される。このステップS24をもって、ユーザ認証方法の手順は終了する。なお、ユーザ認証方法において、ユーザの指紋情報そのものを照合しないときは、ステップS21およびステップS22は省かれる。   The next step S24 is a step of authenticating the user using the calculated password. In the user authentication system of FIG. 1, the password (calculated password 130) calculated by the password generation means 13 is transmitted to the IC card 2 and collated with the password (registered password 21) stored in the IC card 2. The user is authenticated. With this step S24, the procedure of the user authentication method ends. In the user authentication method, when the user's fingerprint information itself is not collated, step S21 and step S22 are omitted.

ユーザ認証システムの構成図。The block diagram of a user authentication system. ユーザ認証システムのブロック図。The block diagram of a user authentication system. 指紋情報からパスワードを演算するアルゴリズムの一例を説明する図。The figure explaining an example of the algorithm which calculates a password from fingerprint information. ユーザ認証方法の手順を示したフロー図。The flowchart which showed the procedure of the user authentication method.

符号の説明Explanation of symbols

1 ホストコンピュータ
10 指紋センサ
100 入力指紋情報
11 リーダライタ
12 指紋情報照合手段
13 パスワード生成手段
130 演算パスワード
14 アプリケーション
2 ICカード
20 パスワード照合コマンド
21 登録パスワード
22 登録指紋情報

DESCRIPTION OF SYMBOLS 1 Host computer 10 Fingerprint sensor 100 Input fingerprint information 11 Reader / writer 12 Fingerprint information collation means 13 Password generation means 130 Operation password 14 Application 2 IC card 20 Password collation command 21 Registration password 22 Registration fingerprint information

Claims (6)

ユーザが所持する認証デバイスと、前記認証デバイスを利用してユーザを認証するホストコンピュータとから構成されるユーザ認証システムであって、前記認証デバイスは、前記認証デバイスを用いてユーザを認証するアプリケーションの固有の値を付加情報とし、前記認証デバイスを所持するユーザの生体情報に前記付加情報を付加した情報をある一定長の情報に要約するアルゴリズムに従い演算して得られたパスワードを記憶し、前記ホストコンピュータから送信されるパスワードと、記憶しているパスワード照合するパスワード照合手段を備え、前記ホストコンピュータは、前記認証デバイスを所持するユーザの生体情報を読取る生体情報読取り手段と、前記生体情報読取り手段が読取った生体情報とユーザ認証するアプリケーションの固有の値を用い前記アルゴリズムに従いパスワードを演算するパスワード生成手段と、前記認証デバイスの前記パスワード照合手段を用い、前記パスワード生成手段が演算したパスワードを照合することでユーザを認証する少なくとも一つのアプリケーションと、を備えていることを特徴するユーザ認証システム。 A user authentication system comprising an authentication device possessed by a user and a host computer for authenticating the user using the authentication device, wherein the authentication device is an application for authenticating a user using the authentication device. Storing the password obtained by calculating according to an algorithm that summarizes the information obtained by adding the additional information to the biometric information of the user possessing the authentication device into a certain length of information, with the unique value as additional information, and the host includes a password that is sent from the computer, a password collating means for collating the password stored, the host computer, a biometric information reading means for taking reading biological information of the user holding the authentication device, the biometric information reading Biometric information read by the means and application for user authentication At least one of the applications of the password generation means for calculating a password in accordance with the algorithm using the unique values, using said password collation means of said authentication device to authenticate the user by matching the password the password generating means computed And a user authentication system. 請求項1のユーザ認証システムにおいて、前記認証デバイスはユーザの生体情報を記憶し、前記ホストコンピュータは、前記認証デバイスから読み出した生体情報と、前記生体情報読取り手段が読み取った生体情報とを照合する生体情報照合手段を備え、前記生体情報照合手段が生体情報の照合に成功した場合のみ、ユーザ認証するアプリケーションは、前記パスワード生成手段が演算したパスワードを、前記認証デバイスの前記パスワード照合手段を用いて照合すること特徴とするユーザ認証システム。 2. The user authentication system according to claim 1, wherein the authentication device stores biometric information of a user, and the host computer collates biometric information read from the authentication device with biometric information read by the biometric information reading unit. An application that includes biometric information matching means, and that authenticates the user only when the biometric information matching means has succeeded in matching biometric information, uses the password matching means of the authentication device for the password calculated by the password generating means. A user authentication system characterized by verification. 請求項1又は請求項に記載のユーザ認証システムにおいて、前記生体情報は、指の指紋情報、目の網膜・虹彩情報、声の声紋情報、手のひらの静脈パターン情報のいずれかであることを特徴とするユーザ認証システム。 According to claim 1 or claim 2 user authentication system according to the biometric information, characterized fingerprint information of a finger, retina-iris information eye, voiceprint information of voice, that is either the vein pattern information of the palm User authentication system. 請求項1から請求項のいずれかに記載のユーザ認証システムにおいて、前記認証デバイスはICカードであることを特徴とするユーザ認証システム。 User authentication system, wherein the user authentication system as claimed in any one of claims 3, wherein the authentication device is an IC card. ユーザが所持する認証デバイスを用い、ホストコンピュータがユーザを認証するユーザ認証方法であって、前記認証デバイスは、前記認証デバイスを用いてユーザを認証するアプリケーションの固有の値を付加情報とし、前記認証デバイスを所持するユーザの生体情報に前記付加情報を付加した情報をある一定長の情報に要約するアルゴリズムに従い演算して得られたパスワードを記憶し、外部端末から送信されるパスワードと記憶しているパスワードを照合する手段を備え、前記ホストコンピュータがユーザの生体情報を読み取るステップ(STEP1)、前記ホストコンピュータが前記STEP1で読み取った生体情報とユーザ認証するアプリケーションの固有の値を用い前記アルゴリズムに従いパスワードを演算するステップ(STEP2)、前記ホストコンピュータが、前記認証デバイスを用いて、前記STEP2で演算されたパスワードを照合するステップ(STEP3)を順に実行することを特徴とするユーザ認証方法。 A user authentication method in which an authentication device possessed by a user is used and a host computer authenticates the user, wherein the authentication device uses, as additional information, a unique value of an application that authenticates the user using the authentication device. Stores a password obtained by computing according to an algorithm that summarizes information obtained by adding the additional information to the biological information of the user who owns the device into information of a certain length, and stores the password transmitted from the external terminal Means for verifying a password , wherein the host computer reads the biometric information of the user (STEP 1), and uses the biometric information read by the host computer in STEP 1 and a unique value of the user authenticating application according to the algorithm. Step of calculating (STE 2), the host computer, using said authentication device, the user authentication method characterized by performing step (STEP3) matching the calculated in STEP2 password in order. 請求項に記載のユーザ認証方法において、前記認証デバイスは、ユーザの生体情報を記憶し、前記ホストコンピュータは、前記認証デバイスから読み出した生体情報と、前記STEP1で読み取った生体情報とを照合し、生体情報の照合に成功した場合のみ、前記ホストコンピュータは前記STEP3を実行することを特徴とするユーザ認証方法。 6. The user authentication method according to claim 5 , wherein the authentication device stores biometric information of the user, and the host computer collates the biometric information read from the authentication device with the biometric information read in STEP1. The user authentication method is characterized in that the host computer executes the STEP 3 only when the biometric information is successfully verified.
JP2005109510A 2005-04-06 2005-04-06 User authentication system and user authentication method Expired - Fee Related JP4697939B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005109510A JP4697939B2 (en) 2005-04-06 2005-04-06 User authentication system and user authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005109510A JP4697939B2 (en) 2005-04-06 2005-04-06 User authentication system and user authentication method

Publications (2)

Publication Number Publication Date
JP2006293458A JP2006293458A (en) 2006-10-26
JP4697939B2 true JP4697939B2 (en) 2011-06-08

Family

ID=37414003

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005109510A Expired - Fee Related JP4697939B2 (en) 2005-04-06 2005-04-06 User authentication system and user authentication method

Country Status (1)

Country Link
JP (1) JP4697939B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4834512B2 (en) * 2006-10-30 2011-12-14 日立オムロンターミナルソリューションズ株式会社 Biometric authentication system
US20080209227A1 (en) * 2007-02-28 2008-08-28 Microsoft Corporation User Authentication Via Biometric Hashing
JP5279007B2 (en) * 2008-06-27 2013-09-04 国立大学法人九州大学 Verification system, verification method, program, and recording medium

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11143833A (en) * 1997-11-14 1999-05-28 Toshiba Corp User confirmation system and ic card by biological data and storage medium
JP2003296282A (en) * 2002-03-29 2003-10-17 Fujitsu Ltd Password conversion processor

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11143833A (en) * 1997-11-14 1999-05-28 Toshiba Corp User confirmation system and ic card by biological data and storage medium
JP2003296282A (en) * 2002-03-29 2003-10-17 Fujitsu Ltd Password conversion processor

Also Published As

Publication number Publication date
JP2006293458A (en) 2006-10-26

Similar Documents

Publication Publication Date Title
US9165130B2 (en) Mapping biometrics to a unique key
US6970853B2 (en) Method and system for strong, convenient authentication of a web user
JP4996904B2 (en) Biometric authentication system, registration terminal, authentication terminal, and authentication server
EP1791073B1 (en) Processing device, helper data generating device, terminal device, authentication device and biometrics authentication system
US20040117636A1 (en) System, method and apparatus for secure two-tier backup and retrieval of authentication information
JP4616677B2 (en) Encryption key generation using biometric information and personal authentication system using biometric information
JPWO2007094165A1 (en) Identification system and program, and identification method
EP2803166A2 (en) System and method for device registration and authentication
JP2018205906A5 (en)
JP2011002994A (en) Usb type token
US20160321441A1 (en) Secure biometric authentication
JP2006525577A (en) Smart authentication card
JP6399605B2 (en) Authentication apparatus, authentication method, and program
JP3819172B2 (en) IC card, IC card verification system, and IC card verification method
KR20190128868A (en) Authentication system and method of blochchain distributed ledger and cryptocurrency offline storage
JP4984838B2 (en) IC card, IC card control program
JP4697939B2 (en) User authentication system and user authentication method
JP5439306B2 (en) Authentication system, authentication method, authentication server, authentication program
JP4111960B2 (en) Personal authentication system, personal authentication method, and computer program
KR100546775B1 (en) Method for issuing a note of authentication and identification of MOC user using human features
WO2022130528A1 (en) Recovery verification system, collation system, recovery verification method, and non-temporary computer readable medium
JP4162668B2 (en) Personal authentication system, personal authentication method, and computer program
Lin et al. Digital signature systems based on smart card and fingerprint feature
JP4760124B2 (en) Authentication device, registration device, registration method, and authentication method
JP4382615B2 (en) Electronic signature device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101214

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101215

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110203

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110223

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110228

R150 Certificate of patent or registration of utility model

Ref document number: 4697939

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees