TWI776436B - Authentication systems, authentication methods, and program products - Google Patents
Authentication systems, authentication methods, and program products Download PDFInfo
- Publication number
- TWI776436B TWI776436B TW110110322A TW110110322A TWI776436B TW I776436 B TWI776436 B TW I776436B TW 110110322 A TW110110322 A TW 110110322A TW 110110322 A TW110110322 A TW 110110322A TW I776436 B TWI776436 B TW I776436B
- Authority
- TW
- Taiwan
- Prior art keywords
- information
- authentication
- preceding paragraph
- user
- similar
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Collating Specific Patterns (AREA)
- Storage Device Security (AREA)
Abstract
認證系統(S)的第1登錄手段(102),係將第1資訊之第1部分,登錄至第1裝置(20)。第2登錄手段(104),係將第1資訊之第2部分,與第2資訊建立關連而登錄至第2裝置(10)。認證手段(105),係基於第1部分、第2部分、及第2資訊,而進行認證。限制手段(106),係限制彼此相同或類似的複數個第2部分之每一者,被與彼此相同或類似的第2資訊建立關連。The first registration means (102) of the authentication system (S) registers the first part of the first information in the first device (20). The second registration means (104) is for registering the second part of the first information in the second device (10) by associating it with the second information. The authentication means (105) performs authentication based on the first part, the second part, and the second information. The restricting means (106) restricts each of a plurality of second parts that are identical or similar to each other from being associated with second information that is identical or similar to each other.
Description
本揭露係有關於認證系統、認證方法、及程式產品。This disclosure relates to authentication systems, authentication methods, and program products.
先前,用來提高安全性所需之認證技術,已為人知。例如,專利文獻1中係記載,將使用者的指紋圖案之第1部分與使用者ID建立關連而登錄至使用者終端,將指紋圖案之第2部分與使用者ID建立關連而登錄至伺服器的系統。一旦使用者把手指放在使用者終端的指紋感測器上,則指紋感測器所偵測到的指紋圖案,會連同使用者終端中所被登錄之第1部分與使用者ID,一起被發送至伺服器。伺服器係將所接收到的第1部分、和與所接收到之使用者ID建立關連而被登錄在自身中的第2部分,予以結合。伺服器係將結合後的指紋圖案、與所接收到的指紋圖案進行比較,以進行認證。
[先前技術文獻]
[專利文獻]Previously, the authentication techniques needed to improve security have been known. For example,
[專利文獻1]日本特開2002-312317號公報[Patent Document 1] Japanese Patent Laid-Open No. 2002-312317
[發明所欲解決之課題][The problem to be solved by the invention]
在專利文獻1的技術中,由於在使用者終端中係被登錄有使用者ID,因此使用者ID會有洩漏的風險。為了避免使用者ID的洩漏風險,例如考慮生成隨機的數值並登錄至使用者終端,取代使用者ID來做利用。然而,對於第2部分為彼此類似的複數個使用者,若賦予相同的數值則會變成有冒充的可能,安全性並不足夠。In the technique of
本揭露目的在於提高安全性。 [用以解決課題之手段]The purpose of this disclosure is to improve security. [means to solve the problem]
本揭露之一態樣所述之認證系統,係含有:第1登錄手段,係用以將第1資訊之第1部分,登錄至第1裝置;和第2登錄手段,係用以將前記第1資訊之第2部分,與第2資訊建立關連而登錄至第2裝置;和認證手段,係用以基於前記第1部分、前記第2部分、及前記第2資訊,而進行認證;和限制手段,係用以限制彼此相同或類似的複數個前記第2部分之每一者,被與彼此相同或類似的前記第2資訊建立關連。The authentication system described in one aspect of the present disclosure includes: first registration means for registering the first part of the first information to the first device; and second registration means for registering the first 1. The second part of the information, which is associated with the second information to log in to the second device; and the authentication means for performing authentication based on the first part of the preamble, the second part of the preamble, and the second part of the preamble; and restrictions Means for restricting each of a plurality of the second part of the preamble that are identical or similar to each other from being associated with the second part of the preamble that is the same or similar to each other.
本揭露之一態樣所述之使用者終端,係含有:第1取得手段,係用以取得第1資訊之第1部分;和第2取得手段,係用以從前記第1資訊之第2部分所被登錄的伺服器,且為限制彼此相同或類似的複數個前記第2部分之每一者被與彼此相同或類似的第2資訊建立關連的伺服器,取得前記第2資訊;和記憶手段,係用以記憶前記第1部分和前記第2資訊;和送訊手段,係用以在認證被進行時,對外部裝置,發送前記第1部分和前記第2資訊。The user terminal described in one aspect of the present disclosure includes: a first obtaining means for obtaining the first part of the first information; and a second obtaining means for obtaining the second part of the first information mentioned above The server to which the part is registered, and obtains the second information of the preceding paragraph for the purpose of restricting each of a plurality of the second part of the preceding paragraph that are identical or similar to each other from being associated with the second information of the second paragraph that is the same or similar to each other; and memory The means is used to memorize the first part of the preamble and the second information of the preamble; and the transmission means is used to transmit the first part of the preamble and the second information of the preamble to the external device when authentication is performed.
本揭露之一態樣所述之認證方法,係含有:第1登錄步驟,係用以將第1資訊之第1部分,登錄至第1裝置;和第2登錄步驟,係用以將前記第1資訊之第2部分,與第2資訊建立關連而登錄至第2裝置;和認證步驟,係用以基於前記第1部分、前記第2部分、及前記第2資訊,而進行認證;和限制步驟,係用以限制彼此相同或類似的複數個前記第2部分之每一者,被與彼此相同或類似的前記第2資訊建立關連。The authentication method described in one aspect of the present disclosure includes: a first registration step for registering the first part of the first information to the first device; and a second registration step for registering the first The second part of the 1 information, which is associated with the second information to log in to the second device; and the authentication step for performing authentication based on the first part of the preamble, the second part of the preamble, and the second part of the preamble; and restrictions The step is for restricting each of the plurality of prescriptive second parts that are the same or similar to each other from being associated with the prescriptive second information that is the same or similar to each other.
本揭露之一態樣所述之程式產品,係使電腦發揮功能而成為:第1登錄手段,係用以將第1資訊之第1部分,登錄至第1裝置;第2登錄手段,係用以將前記第1資訊之第2部分,與第2資訊建立關連而登錄至第2裝置;認證手段,係用以基於前記第1部分、前記第2部分、及前記第2資訊,而進行認證;限制手段,係用以限制彼此相同或類似的複數個前記第2部分之每一者,被與彼此相同或類似的前記第2資訊建立關連。The program product described in one aspect of the present disclosure makes the computer function to become: the first registration means is used to register the first part of the first information to the first device; the second registration means is used to register Log in to the second device by associating the second part of the first information of the preceding paragraph with the second information; the authentication means is used to perform authentication based on the first part of the preceding paragraph, the second part of the preceding paragraph, and the second information of the preceding paragraph ; Restriction means for restricting each of a plurality of Preamble Part 2 that are identical or similar to each other from being associated with the same or similar Preamble Part 2 information to each other.
若依據本揭露之一態樣,則前記限制手段,係許可彼此不同或不類似的複數個前記第2部分之每一者,被與彼此相同或類似的前記第2資訊建立關連。According to one aspect of the present disclosure, the aforementioned restriction means allows each of a plurality of aforementioned second parts, which are different or dissimilar to each other, to be associated with the same or similar aforementioned second information.
若依據本揭露之一態樣,則前記認證系統係還含有:受理手段,係用以受理所定之登錄申請;前記限制手段,係限制做了前記登錄申請之使用者之前記第2部分,被與和前記第2部分為相同或類似之其他使用者相同或類似的前記第2資訊建立關連。According to one aspect of the present disclosure, the aforementioned authentication system further includes: acceptance means, which is used to accept the specified registration application; aforementioned restriction means, which restricts the users who have made the aforementioned registration application. Establish a relationship with the same or similar information in the second paragraph of the first paragraph of other users who are the same or similar to the second part of the first paragraph.
若依據本揭露之一態樣,則前記限制手段,係檢索未被與前記其他使用者之前記第2部分建立關連的第2資訊;前記第2登錄手段,係對做了前記登錄申請之使用者之前記第2部分,將已被檢索到的前記第2資訊建立關連而登錄。According to one aspect of the present disclosure, the aforementioned restriction means is to retrieve the second information that is not related to the second part of the aforementioned other users; the aforementioned second registration means is the use of the aforementioned registration application. The second part of the previous note of the user is registered, and the information of the second note of the previous note that has been retrieved is linked and registered.
若依據本揭露之一態樣,則前記認證系統係還含有:生成手段,係用以生成做了前記登錄申請之使用者的前記第2資訊之候補;前記限制手段,係在前記候補、和前記其他使用者的前記第2資訊為相同或類似的情況下,則前記候補係不被視為做了前記登錄申請之使用者的前記第2資訊;在前記候補、和前記其他使用者的前記第2資訊為不同或不類似的情況下,則將前記候補視為做了前記登錄申請之使用者的前記第2資訊。According to one aspect of the present disclosure, the aforementioned authentication system further includes: generating means for generating a candidate for the second information of the aforementioned user who has applied for the aforementioned registration; aforementioned restricting means for the aforementioned candidate, and If the second information of the other users mentioned above is the same or similar, the candidate of the preceding paragraph will not be regarded as the second information of the user who has applied for the registration of the preceding paragraph; If the second information is different or dissimilar, the first-mentioned candidate will be regarded as the first-mentioned second information of the user who made the first-mentioned registration application.
若依據本揭露之一態樣,則前記第1裝置係為使用者終端;前記第2裝置係為伺服器;前記認證手段,係基於所被輸入之前記第1資訊及前記第2資訊、和前記使用者終端之前記第1部分、和前記伺服器之前記第2部分及前記第2資訊,而進行前記認證。According to one aspect of the present disclosure, the aforementioned first device is a user terminal; the aforementioned second device is a server; the aforementioned authentication means is based on the aforementioned first aforementioned first information and aforementioned aforementioned second information, and The prescriptive user terminal
若依據本揭露之一態樣,則前記第1登錄手段,係在前記使用者終端中,登錄前記第1部分與前記第2資訊;所被輸入之前記第2資訊,係為前記使用者終端中所被登錄之前記第2資訊。According to one aspect of the present disclosure, the aforesaid first registration means is set in the aforesaid user terminal, and the first part of the aforesaid record and the aforesaid second information are registered; the inputted aforesaid second information is the aforesaid user terminal. The second information is recorded before the center is registered.
若依據本揭露之一態樣,則前記使用者終端,係利用近距離無線通訊,而向用來取得所被輸入之前記第1資訊所需之認證裝置,發送前記第1部分;前記認證裝置,係對前記認證手段,發送從前記使用者終端所接收到的前記第1部分。According to an aspect of the present disclosure, the user terminal of the foregoing description uses short-range wireless communication to send the first portion of the foregoing description to the authentication device required to obtain the inputted first information of the foregoing description; the foregoing authentication device , which is an authentication means for the preamble, and transmits the
若依據本揭露之一態樣,則前記近距離無線通訊,係為可利用廣播封包(Advertising Packet)的通訊規格;前記使用者終端,係利用前記廣播封包(Advertising Packet),來對前記認證裝置發送前記第1部分。According to an aspect of the present disclosure, the aforementioned short-range wireless communication is a communication specification that can utilize advertising packets; Send Pre-Note
若依據本揭露之一態樣,則前記認證手段,係將前記第1裝置中所被登錄之前記第1部分、和前記第2裝置中所被登錄之前記第2部分加以結合而取得前記第1資訊;基於所被輸入之前記第1資訊與所被結合之前記第1資訊的類似性,和所被輸入之前記第2資訊與前記第2裝置之前記第2資訊的同一性,而進行前記認證;前記限制手段,係限制彼此類似的前記第2部分之每一者,被與彼此相同的前記第2資訊建立關連。According to one aspect of the present disclosure, the aforementioned authentication means obtains the aforementioned first portion by combining the first portion of the preceding note registered in the aforementioned first device and the second portion of the aforementioned preceding note registered in the second device. 1 information; based on the similarity of the entered pre-entry 1 information and the combined pre-entry 1 information, and the identity of the entered pre-entry 2 information and pre-entry 2 device pre-entry 2 information, and carried out The aforesaid authentication; the aforesaid restriction means is to restrict each of the aforesaid second parts that are similar to each other from being associated with the same aforesaid second information.
若依據本揭露之一態樣,則前記第2裝置中所被記憶之複數個資料庫之每一者中,被登錄有複數個使用者之每一者之前記第2部分;前記第2資訊係為前記資料庫的識別資訊;前記認證手段,係基於藉由所被輸入之前記第2資訊而被識別的前記資料庫中所被登錄之前記第2部分,而取得所被結合之前記第1資訊。According to an aspect of the present disclosure, in each of the plurality of databases memorized in the aforementioned second device, each of the plurality of users is registered with the second portion; the aforementioned second information It is the identification information of the pre-record database; pre-record authentication means, based on the registered pre-record part 2 in the pre-record database identified by the entered pre-record 2 information, to obtain the combined pre-record first 1 Information.
若依據本揭露之一態樣,則前記第1資訊係為生物資訊;前記第2資訊係為,用來檢索前記第2裝置中所被登錄之前記第2部分所需之檢索資訊;前記認證係為,基於前記第1部分、和藉由前記檢索資訊而被檢索到之前記第2部分的生物認證。According to an aspect of the present disclosure, the first information of the preceding paragraph is biological information; the second information of the preceding paragraph is the retrieval information used to retrieve the second part of the preceding paragraph registered in the second device of the preceding paragraph; the preceding paragraph authentication It is a biometric authentication based on the first part of the preceding description and the second part of the preceding description is retrieved by the searching information of the preceding description.
若依據本揭露之一態樣,則前記認證手段,係基於所定之判定演算法,而判定所被輸入之前記第1資訊、與所被登錄之前記第1部分及前記第2部分所結合而成的前記第1資訊是否相同或類似,藉此而進行前記認證;前記限制手段,係基於與前記判定演算法相同的判定演算法,而判定彼此相同或類似的前記複數個第2部分是否存在。
[發明效果]According to an aspect of the present disclosure, the preamble authentication means is based on a predetermined determination algorithm, and determines that the entered preamble first information, the registered
若依據本揭露,則可提高安全性。According to the present disclosure, security can be improved.
[1.認證系統之全體構成][1. Overall composition of the authentication system]
以下說明認證系統的實施形態之例子。圖1係認證系統之全體構成的圖示。如圖1所示,認證系統S係含有:伺服器10、使用者終端20、及認證裝置30,這些係可連接至網際網路等之網路N。此外,在圖1中,伺服器10、使用者終端20、及認證裝置30之每一者雖然僅各圖示1台,但這些亦可為複數台。An example of an embodiment of the authentication system will be described below. FIG. 1 is a diagram showing the overall configuration of the authentication system. As shown in FIG. 1, the authentication system S includes a
伺服器10,係為伺服器電腦。伺服器10係含有控制部11、記憶部12、及通訊部13。控制部11,係含有至少1個處理器。控制部11,係依照記憶部12中所記憶之程式或資料,來執行處理。記憶部12係含有主記憶部及輔助記憶部。例如,主記憶部係為RAM等之揮發性記憶體,輔助記憶部係為ROM、EEPROM、快閃記憶體、或硬碟等之非揮發性記憶體。通訊部13,係為有線通訊或無線通訊用之通訊介面,透過網路N而進行資料通訊。The
使用者終端20,係為使用者所操作的電腦。例如,使用者終端20係為行動電話機(包含智慧型手機)、攜帶型資訊終端(包含平板型電腦及可穿戴式終端)、或個人電腦等。在本實施形態中,使用者終端20係含有:控制部21、記憶部22、通訊部23、操作部24、顯示部25、及攝影部26。控制部21、記憶部22、及通訊部23之實體構成,係可分別和控制部11、記憶部12、及通訊部13相同。The
操作部24,係為輸入裝置,例如觸控面板或滑鼠等之指標裝置、鍵盤、或按鈕等。操作部24係將操作內容,傳達至控制部21。顯示部25係為例如液晶顯示部或有機EL顯示部等。顯示部25係依照控制部21的指示而顯示影像。The
攝影部26,係含有至少1台的相機。例如,攝影部26,係含有CCD成像感測器或CMOS成像感測器等之攝像元件,將該當攝像元件所拍攝到的影像,作為數位資料而記錄。影像,係可為靜止影像,亦可為以所定之畫格速率而被連續拍攝的動畫。The
認證裝置30,係為被使用於認證的電腦。例如,認證裝置30係為行動電話機、攜帶型資訊終端、或個人電腦等。在本實施形態中,認證裝置30係含有:控制部31、記憶部32、通訊部33、操作部34、顯示部35、及攝影部36。控制部31、記憶部32、通訊部33、操作部34、顯示部35、及攝影部36的實體構成,係可分別和控制部11、記憶部12、通訊部13、操作部24、顯示部25、及攝影部26相同。The
此外,作為被記憶在記憶部12、22、32中而說明的程式及資料,係亦可透過網路N而被供給。又,上記說明的各電腦之硬體構成,係不限於上記的例子,可適用各式各樣的硬體。例如,亦可包含有:將電腦可讀取之資訊記憶媒體予以讀取的讀取部(例如光碟驅動機或記憶卡插槽)或用來與外部機器進行資料之輸出入所需之輸出入部(例如USB埠)。例如,資訊記憶媒體中所被記憶之程式或資料係亦可透過讀取部或輸出入部而被供給。In addition, programs and data described as being stored in the
[2.認證系統的概要] 認證系統S,係於任意之場面中為了確認使用者的正當性,而執行認證。認證,係為確認使用者是否具有所定之資格的行為。認證,係也會被稱為對象認證或本人認證。認證系統S,係可執行各式各樣之類型的認證,例如可執行:2維碼認證、生物認證、通行碼認證、密碼認證、電子***認證、或密語認證。[2. Outline of the authentication system] The authentication system S executes authentication in order to confirm the legitimacy of the user in an arbitrary scene. Authentication is the act of confirming whether the user has the specified qualifications. Authentication is also referred to as subject authentication or personal authentication. The authentication system S can perform various types of authentication, such as: 2D code authentication, biometric authentication, pass code authentication, password authentication, electronic seal authentication, or password authentication.
生物認證,係為利用人類的身體性特徵或行動性特徵的認證方法。例如,利用身體性特徵的生物認證中係有:臉部認證、指紋認證、DNA認證、掌形認證、網膜認證、虹膜認證、靜脈認證、或聲音認證。又例如,利用行動性特徵的生物認證中係有:筆跡認證、敲鍵認證、唇動認證、扎眼認證、或步行認證。Biometric authentication is an authentication method that utilizes human physical characteristics or mobility characteristics. For example, among the biometric authentication using physical features are: face authentication, fingerprint authentication, DNA authentication, palm authentication, retina authentication, iris authentication, vein authentication, or voice authentication. For another example, biometric authentication using mobility features includes handwriting authentication, keystroke authentication, lip movement authentication, eye-catching authentication, or walking authentication.
在本實施形態中,是舉出使用者通過安全閘道的場面為例,說明認證系統S之處理。此外,認證系統S,係如後述的變形例,可適用於各種場面。認證系統S所被適用的場面,係不限於本實施形態之例子。In the present embodiment, the processing of the authentication system S is described by taking a scene in which a user passes through a security gateway as an example. In addition, the authentication system S is a modified example to be described later, and can be applied to various situations. The scene to which the authentication system S is applied is not limited to the example of the present embodiment.
圖2係為認證系統S所被利用之場面之一例的圖示。如圖2所示,安全閘道SG,係含有旋轉式的門。安全閘道SG,係被連接有認證裝置30。安全閘道SG的門,係藉由上鎖機構而被上鎖。一旦使用者的認證為成功,則上鎖就被解除。安全閘道SG,係被配置在上班處的公司或公共設施等之任意的設施。只有具有入場資格的人,可以通過安全閘道SG。FIG. 2 is a diagram showing an example of a scene in which the authentication system S is used. As shown in Fig. 2, the safety gate SG includes a revolving door. The
在本實施形態中,作為將使用者進行認證的認證方法,是舉出臉部認證為例。使用者係在要利用認證系統S所提供的認證服務之際,會進行所定之利用登錄。使用者一旦完成利用登錄,則用來唯一識別使用者的使用者ID就會被發行。使用者所輸入的姓名等之資訊,係被登錄至伺服器10。使用者係在利用登錄時或其後的任意之時序上,進行臉部照片之登錄申請。例如,一旦使用者操作使用者終端20而向伺服器10進行存取,則用來進行登錄申請所需之登錄申請畫面就會被顯示在使用者終端20上。In the present embodiment, face authentication is exemplified as an authentication method for authenticating a user. When the user wants to use the authentication service provided by the authentication system S, a predetermined use registration is performed. Once the user completes the use registration, a user ID for uniquely identifying the user is issued. The information such as the name entered by the user is registered in the
圖3係為登錄申請畫面之一例的圖示。如圖3所示,登錄申請畫面G1中係被顯示有:用來輸入使用者ID所需之輸入表單F10、用來輸入密碼所需之輸入表單F11、及用來上傳臉部照片所需之輸入表單F12、及用來進行登錄申請所需之按鈕B13。此外,密碼係並非為了通過安全閘道SG,而是為了變更自己的登錄資訊等之其他目的而被利用。FIG. 3 is a diagram showing an example of a login application screen. As shown in FIG. 3, the login application screen G1 is displayed with an input form F10 for inputting a user ID, an input form F11 for inputting a password, and an input form F11 for uploading a face photo Input form F12 and button B13 required for making a login application. In addition, the password is not used to pass through the secure gateway SG, but is used for other purposes such as changing one's own login information.
例如,使用者終端20的記憶部22中係記憶有使用者的臉部照片。使用者係在輸入表單F12中輸入檔名,指定要上傳的臉部照片。亦即,使用者,係在輸入表單F12中,指定在臉部認證時所要使用的臉部照片。在本實施形態中,為了簡化說明,而說明只登錄1張臉部照片的情況,但亦可登錄複數張臉部照片。此外,使用者係亦可啟動攝影部26,而當場拍攝臉部照片。For example, the
一旦使用者在輸入表單F10~F12之每一者中輸入資訊並選擇了按鈕B13,則臉部照片就會被上傳至伺服器10。伺服器10,係基於臉部照片,而計算使用者的臉部的特徵量。臉部的特徵量,並非在伺服器10中集中管理,而是在伺服器10與使用者終端20間被分散管理。Once the user enters information in each of the input forms F10 - F12 and selects the button B13 , the facial photo is uploaded to the
在本實施形態中,臉部的特徵量之第1部分,係被登錄至使用者終端20。臉部的特徵量之第2部分,係被登錄至伺服器10。此外,臉部的特徵量之第2部分,係亦可被複數個伺服器所分散管理。第1部分,係為臉部的特徵量之中的一部分。第2部分,係為異於第1部分的部分。第1部分與第2部分,其一部分亦可重複。臉部的特徵量,係亦可不只第1部分與第2部分,而是被分割成3個以上之部分。臉部的特徵量之中,哪個部分會變成第1部分及第2部分,假設是被預先決定。第1部分及第2部分,係可為任意之部分,不限於本實施形態之例子。In the present embodiment, the first part of the feature value of the face is registered in the
例如,臉部的特徵量,係用n維(n為自然數)之向量而被表現。在本實施形態中,假設n的數值為5。例如,在5維向量之中,前半的2個要素,係作為第1部分而被登錄至使用者終端20。5維向量之中,後半的3個要素,係作為第2部分而被登錄至伺服器10。若假設臉部的特徵量為(2.4, 1.5, 3.6, 4.3, 8.9),則(2.4, 1.5)之部分,係作為第1部分而被登錄至使用者終端20。(3.6, 4.3, 8.9)之部分,係作為第2部分而被登錄至伺服器10。For example, the feature value of the face is represented by an n-dimensional (n is a natural number) vector. In this embodiment, the value of n is assumed to be 5. For example, in a 5-dimensional vector, the two elements in the first half are registered in the
伺服器10,係記憶至少被登錄有1位使用者之第2部分的資料庫。伺服器10,係記憶複數個資料庫。在本實施形態中,係對各資料庫分配有DB號碼。DB號碼,係用來唯一識別資料庫的資訊。DB號碼,係亦可為資料庫的名稱或ID。在本實施形態中,將該資料庫稱為第2部分資料庫。The
使用者的第2部分,係被登錄至任一第2部分資料庫。在使用者終端20中,係不只使用者的第1部分,還會連同第2部分所被登錄之第2部分資料庫之DB號碼,一起加以登錄。第1部分、第2部分、及DB號碼之每一者的登錄一旦完成,則登錄完成畫面就被顯示於顯示部25。A user's Part 2 is logged into any Part 2 database. In the
圖4係為登錄完成畫面之一例的圖示。如圖4所示,在登錄完成畫面G2係被顯示有,表示登錄已經完成的訊息等。在登錄完成畫面G2中亦可被顯示有,使用者終端20中所被登錄之第1部分與DB號碼。一旦登錄完成,則使用者就可執行認證而可通過安全閘道SG。FIG. 4 is a diagram showing an example of a login completion screen. As shown in FIG. 4, a message indicating that the registration has been completed is displayed on the registration completion screen G2. The first part and the DB number registered in the
圖5係為認證系統S中的認證之流程的圖示。在圖5的例子中,在使用者終端20中係被登錄有第1部分(2.4, 1.5)、和DB號碼「157813」。使用者終端20,係利用Bluethooth(註冊商標)或Wi-Fi(註冊商標)等之近距離無線通訊,而將自身中所被登錄之這些資訊,向周圍發送。例如,使用者終端20,係亦可在廣播封包(Advertising Packet)中,儲存第1部分和DB號碼而向周圍發送。FIG. 5 is a diagram showing the flow of authentication in the authentication system S. FIG. In the example of FIG. 5 , the first part (2.4, 1.5) and the DB number “157813” are registered in the
一旦使用者接近認證裝置30,則認證裝置30係利用近距離無線通訊,從使用者終端20,接收第1部分(2.4, 1.5)、和DB號碼「157813」。使用者係依照認證裝置30的顯示部35中所被顯示的說明,而令攝影部36拍攝自己的臉部。認證裝置30,係對伺服器10,發送第1部分(2.4, 1.5)、DB號碼「157813」、及藉由攝影部36所被拍攝到的影像。When the user approaches the
伺服器10,係將從認證裝置30所接收到的影像中所拍到的臉部的特徵量,加以計算。該特徵量,係以5維之向量而被表現。例如,伺服器10,作為影像中所拍到的臉部的特徵量,係取得(2.4, 1.5, 3.6, 4.3, 8.9)。該特徵量,係相當於認證時的查詢。The
伺服器10,係參照從認證裝置30所接收到的DB號碼「157813」的第2部分資料庫DB1。伺服器10,係對從認證裝置30所接收到的第1部分(2.4, 1.5),將該第2部分資料庫DB1中所被儲存之第2部分(3.6, 4.3, 8.9)予以結合,取得5維之向量(2.4, 1.5, 3.6, 4.3, 8.9)之特徵量。該特徵量,係相當於認證時的索引。在第2部分資料庫DB1被登錄有複數個使用者之第2部分的情況下,則該使用者的數量有多少,就會取得多少個索引之特徵量。The
伺服器10,係計算查詢之特徵量與索引之特徵量的距離。索引之特徵量被取得複數個的情況下,則索引之特徵量的數量有多少,就會計算出多少個距離。伺服器10,係在有未滿閾值之距離存在的情況下,判定為認證成功。若為圖5的例子,則由於距離為0者是存在於第2部分資料庫DB1內,因此判定為認證成功。一旦認證成功,則安全閘道SG的上鎖係被解除,使用者係可通過安全閘道SG。The
如以上所述,認證系統S中的認證就被進行。第2部分資料庫DB1中所被登錄之第2部分,係會與使用者終端20中所被登錄之第1部分做結合,因此在相同的第2部分資料庫DB1中,若有彼此相同或類似的複數個第2部分被登錄,則就有可能發生冒充。As described above, the authentication in the authentication system S is performed. The second part registered in the second part database DB1 will be combined with the first part registered in the
圖6係為冒充會成為可能之情況之一例的圖示。如圖6所示,在DB號碼「157813」的第2部分資料庫DB1中,假設有第2部分(3.6, 4.3, 8.9)為相同的使用者A、B存在。使用者A進行認證的情況下,使用者A的使用者終端20中所被登錄之第1部分(2.4, 1.5)、與第2部分資料庫DB1中所被登錄之第2部分(3.6, 4.3, 8.9),係一旦被結合,就有可能會與影像中所拍到的使用者A之臉部的特徵量相同或類似。FIG. 6 is an illustration of an example of a situation where impersonation may be possible. As shown in FIG. 6, in the second part database DB1 of the DB number "157813", it is assumed that the second part (3.6, 4.3, 8.9) exists for the same users A and B. When the user A performs authentication, the first part (2.4, 1.5) registered in the
在圖6的情況下,使用者A是有可能被認證成為使用者B,而可能發生冒充。即使使用者A的第1部分、與使用者B的第1部分係為不同,仍有可能發生冒充。即使第2部分並非完全相同,只要彼此類似的複數個第2部分是被登錄在相同的第2部分資料庫DB1中,就有可能發生同樣的冒充。於是,在本實施形態中,係使得在相同的DB號碼的第2部分資料庫DB1中,彼此相同或類似的複數個第2部分,不會被登錄。In the case of FIG. 6 , user A may be authenticated as user B, and impersonation may occur. Even if user A's
圖7係為登錄申請時的處理之一例的圖示。如圖7所示,假設在使用者A進行登錄申請的情況下,與使用者A之第2部分相同或類似的使用者B,已經使用了DB號碼「157813」。此情況下,伺服器10,係使得與使用者B相同的DB號碼「157813」不會被分配給使用者A的方式,而將其他DB號碼「438569」,分配給使用者A。FIG. 7 is a diagram showing an example of processing at the time of registration application. As shown in FIG. 7, it is assumed that when user A applies for login, user B, which is the same as or similar to the second part of user A, has already used the DB number "157813". In this case, the
例如,伺服器10係判定,在DB號碼「438569」的第2部分資料庫DB1之中,是否有與使用者A之第2部分相同或類似的其他使用者存在。伺服器10,係先確認在DB號碼「438569」的第2部分資料庫DB1之中,沒有與使用者A之第2部分相同或類似的其他使用者存在,然後才會將該DB號碼分配給使用者A。For example, the
在DB號碼「438569」的第2部分資料庫DB1之中,有與使用者A之第2部分相同或類似的其他使用者存在的情況下,則伺服器10係執行上記的處理,直到找到沒有與使用者A之第2部分相同或類似的其他使用者存在的第2部分資料庫DB1。在既存的全部的第2部分資料庫DB1中都未找到的情況下,則伺服器10亦可發行新的DB號碼。此情況下,伺服器10,係在新的DB號碼所對應之第2部分資料庫DB1中,登錄使用者A的第2部分。In the second part database DB1 of the DB number "438569", if there are other users that are the same as or similar to the second part of the user A, the
如以上所述,認證系統S,係在相同的第2部分資料庫DB1中,不會登錄彼此相同或類似的複數個第2部分,藉此可以防止冒充,而充分提高安全性。以下,說明該技術的細節。As described above, the authentication system S is stored in the same second-part database DB1, and a plurality of second parts that are the same or similar to each other are not registered, whereby impersonation can be prevented and security can be sufficiently improved. Hereinafter, the details of this technique will be described.
[3.於認證系統中所被實現之功能]
圖8係為本實施形態的認證系統S中所被實現的功能之一例的功能區塊圖。此處係說明,在伺服器10、使用者終端20、及認證裝置30之各者中所被實現之功能。[3. Functions implemented in the authentication system]
FIG. 8 is a functional block diagram showing an example of functions implemented in the authentication system S of the present embodiment. Here, the functions implemented in each of the
[3-1.於伺服器中所被實現的功能]
如圖8所示,在伺服器10中係被實現有:資料記憶部100、受理部101、第1登錄部102、生成部103、第2登錄部104、認證部105、限制部106、及處理執行部107。[3-1. Functions implemented in the server]
As shown in FIG. 8 , the
[資料記憶部]
資料記憶部100,係以記憶部12為主而被實現。資料記憶部100,係記憶認證時所必須之資料。此處,作為資料記憶部100所記憶的資料之一例,說明第2部分資料庫DB1、和使用者資料庫DB2。[Data Memory Department]
The
第2部分資料庫DB1,係為至少被登錄有1位使用者之第2部分的資料庫。資料記憶部100,係記憶複數個第2部分資料庫DB1。第2部分資料庫DB1,係藉由DB號碼而被識別。DB號碼,係可用連續號碼來編號,亦可不必特別使用連續號碼。DB號碼係被記錄在資料記憶部100中。The second-part database DB1 is a second-part database in which at least one user is registered. The
DB號碼,係為第2資訊之一例。因此,在本實施形態中記載為DB號碼的地方,係可替換成第2資訊。第2資訊,係為與第2部分建立關連的資訊。所謂建立關連,係第2部分與第2資訊是可相互檢索,或者第2部分與第2資訊是彼此關連。在DB號碼所示的第2部分資料庫DB1中登錄第2部分這件事情,就相當於把第2部分與DB號碼建立關連。其他還有,例如,對後述的使用者資料庫DB2的相同的紀錄,將第2部分與DB號碼予以登錄這件事情,也是相當於把第2部分與DB號碼建立關連。The DB number is an example of the second information. Therefore, the place described as the DB number in the present embodiment can be replaced with the second information. The 2nd information is the information which is related to the 2nd part. The so-called establishment of a relationship means that the second part and the second information can be retrieved from each other, or the second part and the second information are related to each other. Registering the second part in the second part database DB1 indicated by the DB number is equivalent to associating the second part with the DB number. Others, for example, registering the second part and the DB number for the same record in the user database DB2 described later is also equivalent to associating the second part with the DB number.
例如,第2資訊,係為資料庫的識別資訊。該識別資訊,係不限於DB號碼,亦可為字串,亦可為文字與數值之組合。第2資訊係亦可稱為,用來檢索伺服器10中所被登錄之第2部分所需之檢索資訊。檢索資訊,係為檢索時可以成為查詢或索引的資訊。在伺服器10中所被記憶之複數個第2部分資料庫DB1之每一者中,係被登錄有複數個使用者之每一者的第2部分。For example, the second information is identification information of the database. The identification information is not limited to the DB number, but can also be a character string or a combination of characters and numerical values. The second information can also be referred to as retrieval information required for retrieving the second part registered in the
圖9係為使用者資料庫DB2的資料儲存例的圖示。如圖9所示,使用者資料庫DB2係為,關於使用者的各種資訊所被儲存的資料庫。使用者資料庫DB2中係被儲存有:使用者ID、使用者的姓名、密碼、已被上傳之臉部照片之資料、從臉部照片所被計算出來的臉部的特徵量、第2部分、及DB號碼。此外,使用者資料庫DB2中所被儲存之資訊,係不限於這些,亦可儲存有使用者的連絡處或地址這類任意之資訊。FIG. 9 is a diagram showing an example of data storage in the user database DB2. As shown in FIG. 9, the user database DB2 is a database in which various information about the user is stored. The user database DB2 stores: the user ID, the user's name, password, the data of the uploaded face photo, the feature value of the face calculated from the face photo, part 2 , and the DB number. In addition, the information stored in the user database DB2 is not limited to these, and arbitrary information such as the user's contact point or address may also be stored.
密碼、第2部分、及DB號碼,係為認證資訊的一種。所謂認證資訊,係為在認證時所被參照的資訊,隨著認證方法而其名稱為不同。例如,若為電子***認證,則***的多點觸控型樣即為認證資訊,若為密語認證,則密語即為認證資訊。Password, Part 2, and DB number are one type of authentication information. The so-called authentication information is information referred to at the time of authentication, and its name is different depending on the authentication method. For example, in the case of electronic seal authentication, the multi-touch pattern of the seal is the authentication information, and in the case of password authentication, the password is the authentication information.
臉部的特徵量,係為將臉部之特徵予以數值化的資訊,係表示例如:臉部之零件的相對位置、大小、或形狀等之特徵。在本實施形態中,雖然是事前就計算出臉部照片所示之臉部的特徵量,但臉部的特徵量係亦可在認證時當場計算。在有複數張臉部照片被登錄的情況下,則按照每一臉部照片,計算出臉部的特徵量。臉部認證本身,係可適用各種手法,例如可以利用主成分分析、線性判別分析、彈性匹配、或隱藏式馬可夫模型這些手法,特徵量係只要以相應於這些手法的計算式而被計算即可。例如,臉部的特徵量,雖然是以多維的向量來表示,但亦可用數列或單一的數值這類其他形式來表示。The feature value of the face is information that quantifies the features of the face, and represents features such as the relative position, size, or shape of the parts of the face. In the present embodiment, although the feature value of the face shown in the facial photograph is calculated in advance, the feature value of the face may be calculated on the spot at the time of authentication. When a plurality of facial photos are registered, the feature value of the face is calculated for each facial photo. For face authentication itself, various techniques can be applied, for example, principal component analysis, linear discriminant analysis, elastic matching, or hidden Markov model can be used, and the feature quantity can be calculated by the calculation formula corresponding to these techniques. . For example, although the feature value of a face is represented by a multidimensional vector, it can also be represented by other forms such as a sequence of numbers or a single numerical value.
[受理部]
受理部101,係以控制部11為主而被實現。受理部101,係受理所定之登錄申請。登錄申請,係為用來登錄認證時所必須之資訊所需之申請,此處係為來登錄臉部的特徵量所需之申請。登錄申請,係藉由預先制定之程序來辦理手續而被進行。例如,使用者終端20係一旦選擇了按鈕B13,就會發送所定之登錄申請。登錄申請中係含有,使用者所指定的臉部照片之影像資料。受理部101,係從使用者終端20接收含有臉部照片之影像資料的登錄申請。[Reception Department]
The
[第1登錄部]
第1登錄部102,係以控制部11為主而被實現。第1登錄部102,係將臉部的特徵量之第1部分,登錄至使用者終端20。在本實施形態中,第1登錄部102,係在使用者終端20中登錄第1部分與第2資訊。此外,第2資訊,係亦可被登錄在使用者終端20以外的電腦。所謂登錄,係為和記錄、儲存、或保存相同的意思。第1登錄部102,係將某個使用者的第1部分,登錄至該使用者的使用者終端20。[First Registration Section]
The
臉部的特徵量,係為第1資訊之一例。因此,在本實施形態中記載為臉部之特徵量的地方,係可替換成第1資訊。第1資訊,係為認證資訊。在本實施形態中,由於是利用生物認證,因此第1資訊係為生物資訊。生物資訊,係為生物認證中所被利用的認證資訊。除了臉部的特徵量以外,臉部照片本身亦可相當於生物資訊。在利用臉部認證以外之生物認證的情況下,則生物資訊係只要是相應於該生物認證的認證資訊即可。The feature value of the face is an example of the first information. Therefore, what is described as the feature value of the face in this embodiment can be replaced by the first information. The first information is authentication information. In this embodiment, since biometric authentication is used, the first information is biometric information. Biometric information is authentication information used in biometric authentication. In addition to the feature quantity of the face, the face photo itself can be equivalent to biological information. In the case of using biometric authentication other than face authentication, the biometric information system only needs to be authentication information corresponding to the biometric authentication.
使用者終端20,係為第1裝置之一例。因此,在本實施形態中記載為使用者終端20的地方,係可替換成第1裝置。第1裝置,係只要是異於第2裝置的裝置即可。例如,第1裝置,係除了使用者終端20以外,亦可為異於伺服器10的伺服器電腦。此情況下,第1部分與第2部分,係在個別的伺服器電腦中被分散管理。The
使用者所指定的臉部照片之特徵量,係亦可藉由伺服器10而被計算,亦可藉由使用者終端20而被計算。特徵量,係只要基於預先決定的演算法而被計算即可,例如亦可利用CNN。第1登錄部102,係將臉部的特徵量之中被預先決定之位置的部分(在本實施形態中係為最初的2個要素),當作第1部分而加以取得。若換成別的說法,則臉部的特徵量,係被分割成第1部分與第2部分。第1登錄部102,係對使用者終端20,發送第1部分並予以登錄。The feature value of the facial photo designated by the user may be calculated by the
[生成部]
生成部103,係以控制部11為主而被實現。生成部103,係將做了登錄申請之使用者的DB號碼之候補,加以生成。所謂候補,係為有被登錄使用者之第2部分之可能性的第2部分資料庫DB2之DB號碼。生成部103,係從既存之DB號碼之中,選擇出候補。所謂既存之DB號碼,係為已經被作成的第2部分資料庫DB2之DB號碼。生成部103,係亦可從既存之DB號碼之中隨機地選擇出候補,亦可按照既存之DB號碼的從較新至較舊的號碼順序,來選擇候補。生成部103,係亦可不是既存之DB號碼,而是生成新的DB號碼。此情況下,生成部103,係亦可將基於亂數而生成的隨機的數值,當作候補。[Generation Department]
The
[第2登錄部]
第2登錄部104,係以控制部11為主而被實現。第2登錄部104,係將臉部的特徵量之第2部分,與DB號碼建立關連而登錄至伺服器10。在本實施形態中,一旦使用者進行登錄申請則第2部分就會被登錄,因此第2登錄部104,係對做了登錄申請之使用者之第2部分,將已被檢索到的DB號碼建立關連而加以登錄。[Second Registration Section]
The
第2登錄部104,係將臉部的特徵量之中被預先決定之位置的部分(在本實施形態中係為後半的3個要素),當作第2部分而加以取得。例如,第2登錄部104,係在做了登錄申請之使用者之DB號碼的第2部分資料庫DB1中,登錄該使用者的第2部分。又例如,第2登錄部104,係在使用者資料庫DB2之中,在做了登錄申請之使用者之紀錄中,登錄該使用者的第2部分與DB號碼。The
[認證部]
認證部105,係以控制部11為主而被實現。認證部105,係基於第1部分、第2部分、及DB號碼,認證部105,係基於所被輸入之臉部的特徵量及DB號碼、與使用者終端20的第1部分、與伺服器10的第2部分及DB號碼,而進行認證。在本實施形態中,認證時所被利用的第2部分,係藉由DB號碼而被檢索,因此認證係為,基於第1部分、與藉由DB號碼而被檢索到的第2部分的生物認證。[Certification Department]
The
所謂所被輸入之臉部的特徵量,係為在認證時對電腦所輸入之特徵量,例如,亦可為藉由攝影部36等之感測器之偵測結果而被輸入之特徵量,亦可為藉由使用者之操作而被輸入之特徵量。在本實施形態中,藉由攝影部36所被拍攝到的影像所呈現的臉部的特徵量,係為所被輸入之特徵量之一例。所被輸入之DB號碼也是同樣地,是在認證時對電腦所被輸入之DB號碼。在本實施形態中,認證裝置30從使用者終端20所接收到之DB號碼,係為所被輸入之DB號碼之一例。所被輸入之DB號碼,係為使用者終端20中所被登錄之DB號碼。The feature value of the input face is the feature value input to the computer at the time of authentication, for example, it may be the feature value input by the detection result of the sensor of the
所被輸入之臉部的特徵量及DB號碼,係為相當於認證時之查詢的資訊。使用者終端20的第1部分,與伺服器10的第2部分及DB號碼,係為相當於認證時之索引的資訊。在本實施形態中,是舉出生物認證為例,因此是說明,藉由相當於查詢的資訊、與相當於索引的資訊的類似性而決定認證之成否的情況,在利用其他認證方法的情況下,則亦可藉由它們的同一性而決定認證之成否。The input feature value and DB number of the face are information equivalent to an inquiry at the time of authentication. The first part of the
例如,認證部105,係將使用者終端20中所被登錄之第1部分、與伺服器10中所被登錄之第2部分加以結合,而取得臉部的特徵量。認證部105,係基於所被輸入之臉部的特徵量與所被結合之臉部的特徵量的類似性,和所被輸入之DB號碼與伺服器10之DB號碼的同一性,而進行認證。For example, the
認證部105,係在所被輸入之臉部的特徵量與所被結合之臉部的特徵量為類似的情況下,判定為認證成功。認證部105,係在所被輸入之臉部的特徵量與所被結合之臉部的特徵量不類似的情況下,判定為認證失敗。例如,認證部105,係基於已被輸入之臉部的特徵量、與已被登錄之臉部的特徵量,而計算類似度。The
認證部105,係亦可將這些特徵量的差(例如特徵量所表示之向量彼此的距離)直接當作類似度,亦可將這些特徵量代入至所定之計算式(例如針對特徵量所表示之向量之每一要素而做了加權的計算式)而計算出類似度。認證部105,係在類似度為閾值以上的情況下判定為認證成功,在類似度未滿閾值的情況下判定為認證失敗。The
此外,在不是臉部的特徵量,而是將臉部照片本身利用於臉部認證的情況下,則認證部105係亦可計算已被輸入之臉部照片、與已被結合之臉部照片的類似度。影像彼此之類似度的計算方法本身,係可適用各種之手法,例如,亦可利用計算影像內的像素之像素值的差的方法,也可利用機器學習中的類似度計算。In addition, when the facial photograph itself is used for face authentication instead of the feature value of the face, the
在本實施形態中,所被輸入之DB號碼與伺服器10之DB號碼為相同這件事情,也是作為認證成功之條件。認證部105,係基於藉由所被輸入之DB號碼而被識別的第2部分資料庫DB1中所被登錄之第2部分,而取得已被結合之臉部的特徵量。認證部105,係按照該第2部分資料庫DB1中所被登錄之每一第2部分,將使用者之第1部分與該當第2部分進行結合以取得特徵量。亦即,認證部105,係對於該第2部分資料庫DB1中所被登錄之所有的第2部分,結合使用者的第1部分而取得特徵量。認證部105,係若有與所被輸入之特徵量類似的已被結合之特徵量存在,則判定為認證成功。In the present embodiment, the fact that the inputted DB number and the DB number of the
認證部105,係基於所定之判定演算法,而判定所被輸入之臉部的特徵量、與所被登錄之第1部分及第2部分所結合而成的臉部的特徵量是否相同或類似,藉此而進行認證。判定演算法,係為用來判定特徵量彼此之類似與否所需之演算法。例如,判定演算法,係計算特徵量之距離。判定演算法,係將n維向量之特徵量彼此之距離,降維至所定維度(例如2維)之座標上,而計算2維座標資訊距離。認證部105,係基於所定維度之座標上之距離,而判定特徵量之類似與否。因此,無論比較對象的資訊是何種維度,都會被降維成所定維度之距離。The
[限制部]
限制部106,係以控制部11為主而被實現。限制部106,係限制彼此相同或類似的複數個第2部分之每一者,被與彼此相同或類似的DB號碼建立關連。限制部106,係對第2部分為彼此相同或類似的複數個使用者,限制彼此相同或類似的DB號碼被建立關連。在本實施形態中,由於是在登錄申請時進行限制,因此限制部106係限制,做了登錄申請之使用者之第2部分,被與和第2部分為相同或類似之其他使用者相同或類似的DB號碼建立關連。其他使用者,係為已經登錄了第1部分、第2部分、及DB號碼的使用者。[Restriction Department]
The
所謂限制,係為防止或禁止上記的關連建立被進行。在本實施形態中,限制部106,係為了使得彼此相同或類似的複數個第2部分之每一者,不會被與彼此相同或類似的DB號碼建立關連,而藉由決定使用者之DB號碼,以進行限制。The so-called restriction is to prevent or prohibit the establishment of the above-mentioned connection from being carried out. In this embodiment, the restricting
限制部106,係許可彼此不同或不類似的複數個第2部分之每一者,被與彼此相同或類似的DB號碼建立關連。限制部106,係對第2部分為彼此不同或不類似的複數個使用者,許可彼此相同或類似的DB號碼被建立關連。因此,在1個第2部分資料庫DB1之中,會被登錄有複數個使用者的第2部分。The
限制部106,係檢索未被與上記其他使用者的第2部分建立關連的DB號碼。限制部106,係檢索沒有第2部分是與做了登錄申請之使用者為相同或類似之其他使用者存在的DB號碼,決定成為做了登錄申請之使用者的DB號碼。The
例如,限制部106,係在候補、與上記其他使用者之DB號碼為相同或類似的情況下,候補就不會設成做了登錄申請之使用者之DB號碼。例如,限制部106,係在候補、與上記其他使用者之DB號碼為不同或不類似的情況下,就將候補設成做了登錄申請之使用者之DB號碼。限制部106,係檢索並非第2部分是與做了登錄申請之使用者為相同或類似之其他使用者之DB號碼的候補,在有發現到此種候補的情況下,就決定成為是做了登錄申請之使用者的DB號碼。For example, in the
在本實施形態中,由於是執行藉由類似性而決定成否的生物認證,因此限制部106係限制,彼此類似的第2部分之每一者,被與彼此相同的DB號碼建立關連。In the present embodiment, since biometric authentication based on similarity is performed, the
限制部106,係基於與認證部105所利用之判定演算法相同的判定演算法,來判定彼此相同或類似的複數個第2部分是否存在。限制部106,係利用該判定演算法,將第2部分降維成所定維度之座標上之距離,判定是否有彼此相同或類似的複數個第2部分。在本實施形態中,該判定中會使用第2部分彼此之距離。若距離未滿閾值,則該判定係為肯定。若距離為閾值以上,則該判定係為否定。The
[處理執行部]
處理執行部107,係以控制部11為主而被實現。處理執行部107,係基於認證結果,而執行所定之處理。例如,處理執行部107,係在認證失敗的情況下,就不執行所定之處理,在認證成功的情況下,才執行所定之處理。所定之處理係為,在認證成功時才被許可執行的處理。在本實施形態中係說明,用來解除安全閘道SG之上鎖所需之處理是相當於所定之處理的情況,但所定之處理係可適用任意之處理。例如,所定之處理係可為:對伺服器或終端的登入處理、解除電腦之鎖定的處理、許可資料之瀏覽的處理、許可資料之寫入的處理、開閉自動門的處理、許可電子投票的處理、或許可公文之取得的處理。[Processing Execution Department]
The
[3-2.於使用者終端中所被實現的功能]
如圖8所示,在使用者終端20中係被實現有:資料記憶部200、第1取得部201、第2取得部202、受理部203、及送訊部204。[3-2. Functions implemented in the user terminal]
As shown in FIG. 8 , a
[資料記憶部]
資料記憶部200,係以記憶部22為主而被實現。資料記憶部200,係記憶登錄申請及認證時所必須之資料。例如,資料記憶部200,係記憶使用者的臉部照片之資料。又例如,資料記憶部200,係記憶第1部分和DB號碼。[Data Memory Department]
The
[第1取得部]
第1取得部201,係以控制部21為主而被實現。第1取得部201,係將臉部的特徵量之第1部分,加以取得。在本實施形態中,是藉由伺服器10的第1登錄部102來生成第1部分並發送至使用者終端20,因此第1取得部201係從伺服器10接收第1部分,並記錄至資料記憶部200。[
[第2取得部]
第2取得部202,係以控制部21為主而被實現。第2取得部202,係從臉部的特徵量之第2部分所被登錄的伺服器10,且為限制彼此相同或類似的複數個第2部分之每一者被與彼此相同或類似的DB號碼建立關連的伺服器10,取得DB號碼。在本實施形態中,由於是藉由伺服器10的限制部106來決定DB號碼,因此第2取得部202係從伺服器10接收DB號碼,並記錄至資料記憶部200。[Part 2 Acquisition]
The
[受理部]
受理部203,係以控制部21為主而被實現。受理部203,係受理各種輸入操作。例如,受理部203係受理對輸入表單F10的使用者ID之輸入操作。又例如,受理部203係受理對輸入表單F11的密碼之輸入操作。又例如,受理部203係受理對輸入表單F12的臉部照片之檔名等的輸入操作。此外,受理部203所受理的輸入操作係不限於這些,可受理其他各種輸入操作。[Reception Department]
The
[送訊部]
送訊部204,係以控制部21為主而被實現。送訊部204,係基於已被受理部203所受理的輸入操作,而將用來進行登錄申請所需之資料予以發送。例如,送訊部204係基於對輸入表單F10~F12之各者的輸入操作,而將使用者ID、密碼、及臉部照片之資料予以發送。此外,送訊部204所發送的資料係不限於這些,亦可發送其他各種資料。[Communication Department]
The
例如,送訊部204,係在認證被進行的情況下,對認證裝置30,發送第1部分與DB號碼。認證裝置30,係為外部裝置之一例。因此,本實施形態中記載為認證裝置30的地方,係可替換成外部裝置。外部裝置,係只要是使用者終端20以外的裝置即可,亦可為認證裝置30以外之電腦。For example, the
送訊部204,係利用近距離無線通訊,而向用來取得所被輸入之臉部的特徵量所需之認證裝置30,發送第1部分。在本實施形態中,近距離無線通訊,係為可利用廣播封包(Advertising Packet)的通訊規格。送訊部,係利用廣播封包(Advertising Packet),來對認證裝置30發送第1部分。在本實施形態中,關於DB號碼也是利用廣播封包(Advertising Packet)而被發送。The
[3-3.於認證裝置中所被實現之功能]
如圖8所示,在認證裝置30中係被實現有:資料記憶部300、受理部301、送訊部302、及處理執行部303。此外,在本實施形態中雖然是說明,認證裝置30是被包含在認證系統S中的情況,但認證裝置30係亦可為可與認證系統S通訊的外部裝置。[3-3. Functions implemented in the authentication device]
As shown in FIG. 8 , the
[資料記憶部]
資料記憶部300,係以記憶部32為主而被實現。資料記憶部300,係記憶認證時所必須之資料。例如,資料記憶部300係記憶著伺服器10的IP位址等之資訊。又例如,資料記憶部300係記憶著,用來令顯示部35顯示出各種畫面所需之資料(例如HTML資料或影像資料)。[Data Memory Department]
The
[受理部]
受理部301,係以控制部31為主而被實現。受理部301,係受理輸入操作。輸入操作,係只要是認證時所必須之輸入操作即可,在本實施形態中,關於臉部認證係不需要使用者的輸入操作,因此受理部301係受理認證開始的操作等。[Reception Department]
The
此外,受理部301,係只要受理隨應於認證系統S中所利用之認證之種類的輸入操作即可,例如,在利用指紋認證的情況下,則受理使用者將手指放在相機等之上的輸入操作。又例如,在利用筆跡認證的情況下,則受理使用者在觸控面板等之上寫下文字的輸入操作。又例如,在利用密碼認證或密語認證的情況下,則受理部301係受理密碼或密語的輸入操作。In addition, the accepting
[送訊部]
送訊部302,係以控制部31為主而被實現。送訊部302,係對伺服器10的認證部105,發送從使用者終端20所接收到的第1部分。在本實施形態中,使用者終端20係不只發送第1部分就連DB號碼也會發送,因此送訊部302係將第1部分與DB號碼予以發送。送訊部302,係只要發送認證時所必須之資訊即可,例如亦將攝影部36所拍攝到的影像予以發送。送訊部302,係亦可將認證資訊本身予以發送,亦可將用來特定認證資訊所需之資訊予以發送。[Communication Department]
The
在本實施形態中係說明,認證部105是藉由伺服器10而被實現的情況,因此說明送訊部204係向伺服器10發送資料的情況,但若是藉由其他電腦來實現認證部105的情況下,則亦可向該當其他電腦發送資料。又,亦可在認證裝置30側計算臉部的特徵量,此情況下,送訊部302,係取代影像,而將該當所被計算出來的臉部的特徵量予以發送。In this embodiment, the case where the
此外,送訊部302,係只要發送隨應於認證系統S中所利用之認證之種類的資訊即可,例如,在指紋認證被利用的情況下,則送訊部302係亦可發送使用者的手指的影像,將根據影像所被計算出來的手指之特徵量予以發送。又例如,在利用筆跡認證的情況下,則送訊部302係亦可將使用者在觸控面板等之上寫下的文字之影像予以發送,亦可將表示觸碰位置之變化的座標資訊予以發送。又例如,在利用密碼認證或密語認證的情況下,則送訊部302係亦可將使用者所輸入的密碼或密語予以發送。In addition, the
[處理執行部]
處理執行部303,係以控制部31為主而被實現。處理執行部303,係認證為成功的情況下,執行所定之處理。所定之處理的意思,係如同前述,是在認證成功的情況下才被許可執行的處理。在本實施形態中,在認證成功的情況下,安全閘道SG之上鎖會被解除,因此處理執行部303係在接收到表示認證成功的通知的情況下,藉由令上鎖機構的馬達做旋轉等而解除上鎖,在未接收到表示認證成功的通知的情況下,則不解除上鎖。[Processing Execution Department]
The
[4.於本實施形態中所被執行之處理] 接著說明,於認證系統S中所被執行之處理。此處,針對用來讓使用者登錄臉部照片所需之登錄處理,與用來讓使用者通過安全閘道SG所需之認證處理,加以說明。下記所說明的處理,係為被圖8所示之功能區塊所執行的處理之一例。[4. Processing performed in this embodiment] Next, the processing executed in the authentication system S will be described. Here, the registration processing required to allow the user to register the face photo and the authentication processing required to allow the user to pass through the security gateway SG will be described. The processing described below is an example of processing executed by the functional block shown in FIG. 8 .
[4-1.登錄處理]
圖10係為表示登錄處理之一例的流程圖。圖10所示的登錄處理,係藉由控制部11、21分別依照記憶部12、22中所被記憶之程式而動作,而被執行。此外,登錄處理被執行時,假設使用者是已經完成利用登錄,並且自己的使用者ID及密碼是已經發行。[4-1. Login process]
FIG. 10 is a flowchart showing an example of a registration process. The registration process shown in FIG. 10 is executed when the
如圖10所示,使用者終端20,係向伺服器10進行存取,令登錄申請畫面G1被顯示於顯示部25(S1)。使用者終端20,係在按鈕B13已被選擇的情況下,則對伺服器10,將已被輸入至輸入表單F10~F12之各者中的資訊,予以發送(S2)。於S2中,使用者終端20係將已被使用者所輸入的使用者ID、密碼、及臉部照片之影像資料,予以發送。As shown in FIG. 10, the
伺服器10係一旦從使用者終端20接收到使用者ID等,就基於使用者資料庫DB2、和已接收之使用者ID及密碼,來進行密碼認證(S3)。在密碼認證失敗的情況下(S3;失敗),伺服器10係對使用者終端20,發送所定之錯誤訊息(S4),本處理係結束。此情況下,使用者的登錄申請就不被受理。When the
另一方面,密碼認證為成功的情況下(S3;成功),伺服器10係基於S3中所接收到的臉部照片,而計算做了登錄申請之使用者的臉部的特徵量(S5)。於S5中,伺服器10係偵測臉部的零件的相對位置等,而計算臉部的特徵量。伺服器10,係將所計算出來的特徵量,分割成第1部分與第2部分。On the other hand, when the password authentication is successful (S3; success), the
伺服器10,係基於已被預先決定的演算法,而生成DB號碼的候補(S6)。於S6中,伺服器10係將既存之DB號碼之中的任意1者,選擇作為候補。在S6之時點上亦可生成新的DB號碼來作為候補,但由於第2部分資料庫DB1有可能變成大量,因此在本實施形態中是說明,在S6之時點上,是從既存之DB號碼之中來做選擇的情況。The
伺服器10,係參照S6中所生成之候補所示的第2部分資料庫DB1,判定與S5中所計算出來的特徵量之第2部分相同或類似的第2部分是否存在(S7)。於S7中,伺服器10係計算,所參照的第2部分資料庫DB1之各紀錄中所被儲存之第2部分,與S5中所計算出來的特徵量之第2部分的距離。例如,該距離係基於前述的判定演算法,而被降維成所定維度之距離。若有該距離未滿閾值的紀錄存在,則S7的判定係為肯定。若沒有該距離未滿閾值的紀錄存在,則S7的判定係為否定。The
在判定為有與S5中所計算出來的特徵量之第2部分相同或類似的第2部分存在的情況下(S7;Y),則回到S6之處理,生成別的候補。若既存的所有DB號碼都已經被生成作為候補的情況下,則伺服器10係生成新的DB號碼來作為候補。此情況下,就會生成新的第2部分資料庫DB1。When it is determined that there is a second part that is the same as or similar to the second part of the feature amount calculated in S5 (S7; Y), the process returns to S6 to generate another candidate. When all existing DB numbers have already been generated as candidates, the
在並非判定為有與S5中所計算出來的特徵量之第2部分相同或類似的第2部分存在的情況下(S7;N),伺服器10係將現狀之候補,決定成為要與S5中所計算出來的特徵量之第2部分建立關連的DB號碼(S8),並在該DB號碼的第2部分資料庫DB1中,儲存S5中所計算出來的特徵量之第2部分(S9)。When it is not determined that there is a second part that is the same as or similar to the second part of the feature amount calculated in S5 ( S7 ; N), the
伺服器10,係對使用者終端20,發送含有S5中所計算出來的特徵量之第1部分、與S8中所決定之DB號碼的完成通知(S10)。完成通知,係藉由發送所定形式之資料而被進行,例如假設還含有已被登錄之臉部照片。The
伺服器10,係在使用者資料庫DB2中,登錄使用者的臉部照片、臉部的特徵量、及S8中所決定之DB號碼(S11)。於S11中,伺服器10係在使用者資料庫DB2之中,在做了登錄申請之使用者的使用者ID所被儲存之紀錄中,儲存S3中所接收到的臉部照片、S5中所計算出來的特徵量之第2部分、及S8中所決定之DB號碼。The
使用者終端20,係一旦接收完成通知,就將完成通知中所含之第1部分與DB號碼,記錄至記憶部22記錄(S12),令登錄完成畫面G2被顯示於顯示部25(S13),本處理係結束。於S13中,使用者終端20係令完成通知中所含之臉部照片,被顯示於登錄完成畫面G2。特徵量之第1部分與DB號碼,係不被顯示於登錄完成畫面G2。以後,使用者就變成可以通過安全閘道SG。The
[4-2.認證處理]
圖11係為表示認證處理之一例的流程圖。圖11所示的認證處理,係藉由控制部11、21、31分別依照記憶部12、22、32中所被記憶之程式而動作,而被執行。此外,假設認證處理被執行時,登錄處理是已經完成。[4-2. Authentication processing]
FIG. 11 is a flowchart showing an example of authentication processing. The authentication process shown in FIG. 11 is executed when the
如圖11所示,使用者終端20,係利用近距離無線通訊,將記憶部22中所被記憶之第1部分與DB號碼予以發送(S20)。於S20中,使用者終端20,係在廣播封包(Advertising Packet)中儲存第1部分與DB號碼,並向周圍發送。假設通訊部23的電源係事前就已經打開。通訊部23的電源為關閉的情況下,亦可隨應於使用者之操作而打開電源,亦可利用GPS之位置資訊等而使電源自動打開。As shown in FIG. 11, the
認證裝置30,係利用近距離無線通訊,將從使用者終端20所被發送過來的第1部分與DB號碼,予以接收(S21)。於S21中,認證裝置30,係將已接收之第1部分與DB號碼,記錄至記憶部32。第1部分與DB號碼,係在任意之時序上,被從記憶部32抹除。該時序係為:認證已成功的情況、經過了一定時間的情況、或用近距離無線通訊已經接收不到特徵量之第1部分與DB號碼的情況等。The
認證裝置30,係基於攝影部36的偵測訊號,而取得影像(S22)。認證裝置30,係對伺服器10,發送含有第1部分、DB號碼、及影像的認證要求(S23)。認證要求,係藉由發送所定形式之資料而被進行,例如假設還含有認證裝置30的識別資訊等。The
伺服器10,係一旦接收到認證要求,就將認證要求中所含之DB號碼的第2部分資料庫DB1中所被登錄之第2部分,加以取得(S24)。在該第2部分資料庫DB1之中,若已被登錄有複數個第2部分的情況下,則伺服器10係將這些複數個第2部分全部加以取得。Upon receiving the authentication request, the
伺服器10係生成,將認證要求中所含之第1部分、和S24中所取得之第2部分予以結合而成的特徵量(S25)。於S25中,伺服器10係針對S24中所取得之每一第2部分,分別將認證要求中所含之第1部分與該當第2部分進行結合以取得特徵量。在有複數個第2部分被取得的情況下,則所被結合之特徵量係為,所被取得的第2部分之數量有多少,就會被生成多少個。The
伺服器10係基於認證要求中所含之影像,而計算臉部的特徵量(S26)。於S26中,伺服器10係和S5之處理同樣地,計算臉部的特徵量。The
伺服器10,係基於S25中所生成之特徵量、與S26中所計算出來的特徵量,而進行認證(S27)。於S27中,伺服器10係計算S25中所生成之特徵量、與S26中所計算出來之特徵量的距離。在S25中所生成之特徵量之中,若有該距離為未滿閾值者存在,則認證係為成功。若沒有該距離未滿閾值者存在,則認證係為失敗。S27的判定演算法,係與S7的判定演算法相同。The
在認證失敗的情況下(S27;失敗),伺服器10係對認證裝置30發送錯誤訊息(S28),本處理係結束。此情況下,認證裝置30的顯示部35中係會顯示錯誤訊息,向使用者通知認證不成功。When the authentication fails (S27; failure), the
另一方面,在認證成功的情況下(S27;成功),伺服器10係對認證裝置30發送表示認證已成功的成功通知(S29)。成功通知,係藉由發送所定形式之資料而被進行,含有認證成功的使用者的姓名。On the other hand, when the authentication succeeds (S27; success), the
於認證裝置30中,係一旦接收到成功通知,則控制部31就解除安全閘道SG的上鎖(S30),本處理係結束。使用者,係確認自己的姓名被顯示在顯示部35中,推開安全閘道的門而通過。此外,此情況下,亦可在伺服器10中保留使用者的姓名或現在日期時間等之資訊作為通行記錄。In the
若依據本實施形態的認證系統S,則限制彼此相同或類似的複數個第2部分之每一者,被與彼此相同或類似的DB號碼建立關連,藉此可防止冒充,提高安全性。又,由於不需要在使用者終端20中登錄像是使用者ID這類重要的資訊,因此可避免該資訊洩漏的風險,就這點來說也可提高安全性。即使使用者終端20的DB號碼發生洩漏,也只要編號成其他的DB號碼即可解決,不需要變更使用者ID,可提升使用者的便利性。又,藉由將臉部的特徵量做分散管理,可防止臉部的特徵量之洩漏所致之安全性降低。According to the authentication system S of the present embodiment, each of a plurality of second parts that are the same or similar to each other is restricted from being associated with the same or similar DB numbers, thereby preventing impersonation and improving security. In addition, since important information such as the user ID does not need to be registered in the
又,認證系統S,係許可彼此不同或不類似的複數個第2部分之每一者,被與彼此相同或類似的DB號碼建立關連,藉此可防止DB號碼變得過多(第2部分資料庫DB1變得過多),可削減伺服器10的記憶體消耗量。又,藉由抑制第2部分資料庫DB1的增加,可簡化資料庫的管理。又,可防止DB號碼的耗盡。Also, the authentication system S allows each of a plurality of second parts that are different or dissimilar to each other to be associated with the same or similar DB numbers to each other, thereby preventing the DB numbers from becoming excessive (Part 2 data The library DB1 becomes too large), the memory consumption of the
又,認證系統S,係限制做了登錄申請之使用者的第2部分,被與和第2部分為相同或類似之其他使用者相同或類似的DB號碼建立關連,藉此可防止做了登錄申請之使用者冒充成已登錄之其他使用者,以及防止已登錄之其他使用者冒充成做了登錄申請之使用者,可提高安全性。Also, the authentication system S restricts the second part of the user who has applied for registration from being associated with the same or similar DB number as other users who are the same or similar to the second part, thereby preventing the registration. The user who applies for the application pretends to be another logged-in user, and prevents other logged-in users from pretending to be the user who has made the login application, which can improve security.
又,認證系統S,係檢索尚未與其他使用者之第2部分建立關連的DB號碼,並對做了登錄申請之使用者的第2部分,將已被檢索到的DB號碼建立關連而登錄,藉此可防止冒充,提高安全性。例如,在未新發行DB號碼的情況下,可有效活用既存之DB號碼,可削減伺服器10的記憶體消耗量。In addition, the authentication system S searches for the DB number that has not yet been associated with the second part of the other user, and associates the retrieved DB number with the second part of the user who has applied for registration, and registers it, This prevents impersonation and improves security. For example, when the DB number is not newly issued, the existing DB number can be effectively used, and the memory consumption of the
又,認證系統S,係在DB號碼的候補、與其他使用者的DB號碼為相同或類似的情況下,則該候補係不會設成做了登錄申請之使用者的DB號碼。認證系統S,係在DB號碼的候補、與其他使用者的DB號碼為不同或不類似的情況下,則將該候補設成做了登錄申請之使用者的DB號碼。藉此,可賦予能夠確實防止冒充的DB號碼,可提高安全性。Furthermore, in the authentication system S, if the DB number candidate is the same as or similar to the DB number of another user, the candidate will not be set as the DB number of the user who applied for registration. In the authentication system S, when the DB number candidate is different from or not similar to the DB numbers of other users, the candidate is set as the DB number of the user who has applied for registration. Thereby, it is possible to assign a DB number that can surely prevent impersonation, and it is possible to improve security.
又,認證系統S,係基於所被輸入之臉部的特徵量及DB號碼、與使用者終端20的第1部分、與伺服器10的第2部分及DB號碼,來進行認證,藉此可防止冒充,提高安全性。又,藉由在伺服器10與使用者終端20間將臉部的特徵量做分散管理,可防止臉部的特徵量之洩漏所致之安全性降低。In addition, the authentication system S performs authentication based on the input feature value and DB number of the face, the first part of the
又,認證系統S,係在使用者終端20中登錄第1部分與DB號碼,並將使用者終端20中所被登錄之DB號碼,輸入至伺服器10,藉此可省去使用者輸入DB號碼的麻煩,可提高認證時的使用者的便利性。又,可正確地特定出使用者的第2部分所被儲存的第2部分資料庫DB1,也可提高認證的正確性。In the authentication system S, the first part and the DB number are registered in the
又,認證系統S,係利用近距離無線通訊,向用來取得所被輸入之臉部的特徵量所需之認證裝置30,發送第1部分,並對伺服器10,發送從使用者終端20所接收到的第1部分,藉此可省去將第1部分發送至認證裝置30的麻煩,可提高認證時的使用者的便利性。In addition, the authentication system S transmits the first part to the
又,認證系統S,係利用廣播封包(Advertising Packet),來對認證裝置30發送第1部分,藉此可不進行配對就發送第1部分,可提高使用者的便利性。例如,即便使用者將使用者終端20放在口袋或皮包裡頭不取出,仍可將第1部分發送至認證裝置30。因此,即便使用者將使用者終端20放在口袋或皮包裡頭不取出,仍可使認證成功。又,藉由利用廣播封包(Advertising Packet),也可抑制使用者終端20的消耗電力。In addition, the authentication system S transmits the first part to the
又,認證系統S係可提高,基於所被輸入之臉部的特徵量與所被結合之臉部的特徵量的類似性,和所被輸入之DB號碼與伺服器10之DB號碼的同一性而被進行之認證的安全性。Further, the authentication system S can be improved based on the similarity between the input feature value of the face and the feature value of the combined face, and the identity of the input DB number and the DB number of the
又,認證系統S,係基於藉由所被輸入之DB號碼而被識別的第2部分資料庫DB1中所被登錄之第2部分,而取得所被結合之臉部的特徵量,藉此可提高安全性。Furthermore, the authentication system S acquires the feature value of the combined face based on the second part registered in the second part database DB1 identified by the inputted DB number, and thereby can Improve security.
又,認證系統S係為,認證是基於第1部分、與藉由檢索資訊而被檢索到之第2部分的生物認證,因此可提高生物認證的安全性。In addition, the authentication system S is based on the biometric authentication based on the first part and the second part retrieved by the search information, so that the security of the biometric authentication can be improved.
又,認證系統S係藉由將S7與S27的判定演算法設成相同,因此在伺服器10中不必記錄複數種判定演算法,可效率良好地進行處理。In addition, since the authentication system S makes the determination algorithms of S7 and S27 the same, it is not necessary to record a plurality of determination algorithms in the
[5.變形例] 此外,本揭露係不限定於以上說明的實施形態。在不脫離本揭露之宗旨的範圍內,可做適宜變更。[5. Modifications] In addition, the present disclosure is not limited to the embodiment described above. Appropriate changes may be made within the scope of not departing from the purpose of this disclosure.
例如,在實施形態中,雖然是舉出讓使用者通過安全閘道SG的場面為例,但認證系統S係亦可適用於讓使用者購入商品或是利用服務的場面。此情況下,例如,認證裝置30係為自動販賣機、售票機、POS終端、或店舖中的支付終端。使用者,係一旦認證成功,就會執行結帳處理,而可購入商品、或利用服務等等。For example, in the embodiment, the scene where the user is allowed to pass through the security gateway SG is taken as an example, but the authentication system S is also applicable to the scene where the user is allowed to purchase goods or use services. In this case, the
在本變形例中,亦可為,先在使用者資料庫DB2中登錄結帳資訊,處理執行部係在某個使用者的認證為成功的情況下,就基於該使用者的結帳資訊來執行結帳處理。結帳處理之際所被參照的結帳資訊,係為認證成功之使用者所被建立關連對應到的結帳資訊。In this modification, the checkout information may be registered in the user database DB2 first, and the processing execution unit may, when the authentication of a certain user succeeds, based on the checkout information of the user Perform checkout processing. The checkout information that is referred to during the checkout process is the checkout information corresponding to the connection established for the user who has successfully authenticated.
結帳資訊,係為進行結帳時所必須之資訊,例如:***資訊、電子額值(例如電子貨幣或點數)的帳號資訊、虛擬通貨的帳號資訊、銀行戶頭資訊、或簽帳卡資訊等。結帳資訊,係在使用者登錄時等所被登錄,例如,在使用者資料庫DB2中,與使用者ID建立關連而儲存結帳資訊。此外,結帳資訊係亦可被儲存在,與使用者資料庫DB2不同的資料庫中。Billing information, which is the information necessary for billing, such as credit card information, account information of electronic value (such as electronic money or points), account information of virtual currency, bank account information, or charge card information Wait. The checkout information is registered when the user logs in, for example, in the user database DB2, the checkout information is stored in association with the user ID. In addition, the billing information can also be stored in a database different from the user database DB2.
伺服器10,係只要執行相應於結帳資訊的結帳處理即可,例如執行:基於***資訊的授信處理、令電子額值之餘額減少的處理、令虛擬通貨之餘額減少的處理、從銀行戶頭扣款或匯款的處理、或令簽帳卡資訊所示之戶頭之餘額減少的處理等。處理執行部,係在臉部認證或通行碼認證之任一方為失敗的情況下就不執行結帳處理,在臉部認證與通行碼認證為成功的情況下才執行結帳處理。The
結帳處理已被執行的情況下,在認證裝置30的顯示部35或店舖之終端等,會顯示該意旨,使用者係可收取商品、或利用服務等等。例如,若認證裝置30是被設置在店舖等中的電子看板裝置的情況下,則一旦從伺服器10接收到認證成功通知,就令表示認證成功的訊息被顯示在顯示部35。店舖的工作人員係一旦確認該當訊息,就向使用者交付商品或提供服務。此外,訊息亦可並非顯示在認證裝置30,而是轉送至店舖的工作人員所操作的終端等之其他電腦而被顯示。又例如,若認證裝置30是自動販賣機,則一旦從伺服器10接收到認證成功通知,認證裝置30就會將使用者所指定之商品予以排出,或是調理咖啡或速食食品等之商品等等。When the checkout process has been executed, the
若依據以上說明的變形例,則可防止冒充成其他使用者而進行結帳、不法購入商品或利用服務等等,可充分提高商品之購入時或服務之利用時的安全性。According to the modification described above, it is possible to prevent the user pretending to be another user to perform checkout, illegally purchase goods or use services, etc., and can sufficiently improve the security at the time of purchase of goods or use of services.
又例如,雖然舉出使用者進行登錄申請的場面為例,但在DB號碼被再發行的場面中,亦可執行同樣的處理。此情況下,使用者終端20中所被登錄之DB號碼,就被改寫成再發行的DB號碼。使用者的第2部分,係被登錄至已被再發行之DB號碼的第2部分資料庫DB1中,而在舊的DB號碼的第2部分資料庫DB1中,使用者的第2部分係被抹除。又例如,伺服器10,係亦可參照使用者資料庫DB2,以取得與認證要求中所含之DB號碼建立關連的第2部分。此情況下,第2部分被取得後的處理之流程,係和實施形態中所說明的相同。For another example, although the scene where the user makes a login application is taken as an example, the same processing can be performed in the scene where the DB number is reissued. In this case, the DB number registered in the
又例如,雖然說明了第1資訊係為臉部的特徵量,第2資訊係為DB號碼的情況,但第1資訊和第2資訊亦可為其他資訊。例如,亦可為,第1資訊是臉部的特徵量,第2資訊是通行碼。此情況下,就變成會進行臉部認證與通行碼認證的2階段認證。使用者,係對使用者終端20或認證裝置30輸入通行碼,進行通行碼認證。伺服器10,係對第2部分為彼此相同或類似的複數個使用者,限制成不要賦予相同的通行碼。For another example, although the case where the first information is the feature value of the face and the second information is the DB number has been described, the first information and the second information may be other information. For example, the first information may be a feature value of a face, and the second information may be a pass code. In this case, it becomes a two-stage authentication of face authentication and passcode authentication. The user inputs the passcode to the
又例如,亦可為,第1資訊是密碼,第2資訊是密語。此情況下,就變成會進行密碼認證與密語認證的2階段認證。密碼係在伺服器10與使用者終端20間被分散管理。使用者係對使用者終端20或認證裝置30輸入密碼和密語,進行密碼認證和密語認證。伺服器10係對密碼的第2部分為彼此相同或類似的複數個使用者,限制成不要賦予相同的密語。For another example, the first information may be a password, and the second information may be a password. In this case, the two-stage authentication of password authentication and passphrase authentication is performed. Passwords are distributed and managed between the
又例如,亦可為,認證裝置30係為不存在,而是從使用者終端20對伺服器10,直接發送第1部分與DB號碼。此情況下,使用者終端20,係在認證被進行的情況下,利用攝影部26拍攝使用者的臉部。使用者終端20,係對伺服器10,將自身中所被登錄之第1部分及DB號碼,與攝影部26所拍攝到的影像,予以發送。伺服器10接收到這些之後的處理之流程,係如同實施形態中所說明。一旦認證成功,則伺服器10係對使用者終端20,發送成功通知。使用者終端20,係一旦接收到成功通知,就執行所定之處理。該處理係可為任意的處理,例如對使用者終端20的登入處理或結帳處理等。For another example, the
又例如,雖然說明了主要功能是由伺服器10來實現的情況,但各功能係亦可被複數台電腦所分擔。例如,亦可由伺服器10、使用者終端20、及認證裝置30之各者來分擔功能。例如,認證處理亦可不是在伺服器10中被執行,而是在使用者終端20或認證裝置30中被執行。又例如,認證系統S是含有複數台伺服器電腦的情況下,則亦可由這些複數台伺服器電腦來分擔功能。又例如,作為被資料記憶部100所記憶而說明的資料,係亦可被伺服器10以外之電腦所記憶。For another example, although the case where the main functions are realized by the
N:網路
S:認證系統
10:伺服器
11:控制部
12:記憶部
13:通訊部
20:使用者終端
21:控制部
22:記憶部
23:通訊部
24:操作部
25:顯示部
26:攝影部
30:認證裝置
31:控制部
32:記憶部
33:通訊部
34:操作部
35:顯示部
36:攝影部
G1:登錄申請畫面
G2:登錄完成畫面
SG:安全閘道
100:資料記憶部
101:受理部
102:第1登錄部
103:生成部
104:第2登錄部
105:認證部
106:限制部
107:處理執行部
200:資料記憶部
201:第1取得部
202:第2取得部
203:受理部
204:送訊部
300:資料記憶部
301:受理部
302:送訊部
303:處理執行部
DB1:第2部分資料庫
DB2:使用者資料庫N: network
S: Authentication System
10: Server
11: Control Department
12: Memory Department
13: Communications Department
20: User terminal
21: Control Department
22: Memory Department
23: Communications Department
24: Operation Department
25: Display part
26: Photography Department
30: Authentication device
31: Control Department
32: Memory Department
33: Communications Department
34: Operation Department
35: Display part
36: Photography Department
G1: Login application screen
G2: Login complete screen
SG: Safe Gateway
100: Data Memory Department
101: Reception Department
102: 1st Registration Section
103: Generation Department
104: Part 2 Registration
105: Certification Department
106: Restriction Department
107: Processing Execution Department
200: Data Memory Department
201:
[圖1]認證系統之全體構成的圖示。 [圖2]認證系統所被利用之場面之一例的圖示。 [圖3]登錄申請畫面之一例的圖示。 [圖4]登錄完成畫面之一例的圖示。 [圖5]認證系統中的認證之流程的圖示。 [圖6]冒充會成為可能之情況之一例的圖示。 [圖7]登錄申請時的處理之一例的圖示。 [圖8]本實施形態的認證系統中所被實現的功能之一例的功能區塊圖。 [圖9]使用者資料庫的資料儲存例的圖示。 [圖10]登錄處理之一例的流程圖。 [圖11]認證處理之一例的流程圖。[FIG. 1] A diagram showing the overall configuration of the authentication system. [Fig. 2] A diagram showing an example of a scene in which the authentication system is used. [ Fig. 3 ] An illustration of an example of a login application screen. [ Fig. 4 ] An illustration of an example of a login completion screen. [FIG. 5] An illustration of the flow of authentication in the authentication system. [Fig. 6] An illustration of an example of a situation where impersonation is possible. [ Fig. 7 ] A diagram showing an example of processing at the time of registration application. [ Fig. 8] Fig. 8 is a functional block diagram of an example of functions implemented in the authentication system of the present embodiment. [FIG. 9] A diagram of a data storage example of the user database. [ Fig. 10 ] A flowchart of an example of registration processing. [ Fig. 11 ] A flowchart of an example of authentication processing.
10:伺服器 10: Server
20:使用者終端 20: User terminal
30:認證裝置 30: Authentication device
100:資料記憶部 100: Data Memory Department
101:受理部 101: Reception Department
102:第1登錄部 102: 1st Registration Section
103:生成部 103: Generation Department
104:第2登錄部 104: Part 2 Registration
105:認證部 105: Certification Department
106:限制部 106: Restriction Department
107:處理執行部 107: Processing Execution Department
200:資料記憶部 200: Data Memory Department
201:第1取得部
201:
202:第2取得部 202: Part 2 Acquisition
203:受理部 203: Reception Department
204:送訊部 204: Communication Department
300:資料記憶部 300: Data Memory Department
301:受理部 301: Reception Department
302:送訊部 302: Communication Department
303:處理執行部 303: Processing Execution Department
DB1:第2部分資料庫 DB1: Part 2 Database
DB2:使用者資料庫 DB2:User database
Claims (17)
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2020/013707 WO2021192150A1 (en) | 2020-03-26 | 2020-03-26 | Authentication system, user terminal, authentication method, and program |
WOPCT/JP2020/013707 | 2020-03-26 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW202139036A TW202139036A (en) | 2021-10-16 |
TWI776436B true TWI776436B (en) | 2022-09-01 |
Family
ID=76918316
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW110110322A TWI776436B (en) | 2020-03-26 | 2021-03-23 | Authentication systems, authentication methods, and program products |
Country Status (3)
Country | Link |
---|---|
JP (1) | JP6907426B1 (en) |
TW (1) | TWI776436B (en) |
WO (1) | WO2021192150A1 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000123178A (en) * | 1998-10-20 | 2000-04-28 | Mitsubishi Electric Corp | Fingerprint collating device |
JP2002312317A (en) * | 2001-04-11 | 2002-10-25 | Casio Comput Co Ltd | Certification system and certification method |
CN110637300A (en) * | 2018-04-25 | 2019-12-31 | 谷歌有限责任公司 | Delayed two-factor authentication in a networked environment |
US20200076802A1 (en) * | 2015-10-15 | 2020-03-05 | Id.Me, Inc. | Systems and methods for secure online credential authentication |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2116950B1 (en) * | 2006-12-25 | 2014-10-22 | Fujitsu Limited | Authentication device, authentication method, and authentication program |
-
2020
- 2020-03-26 WO PCT/JP2020/013707 patent/WO2021192150A1/en active Application Filing
- 2020-03-26 JP JP2021509233A patent/JP6907426B1/en active Active
-
2021
- 2021-03-23 TW TW110110322A patent/TWI776436B/en active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000123178A (en) * | 1998-10-20 | 2000-04-28 | Mitsubishi Electric Corp | Fingerprint collating device |
JP2002312317A (en) * | 2001-04-11 | 2002-10-25 | Casio Comput Co Ltd | Certification system and certification method |
US20200076802A1 (en) * | 2015-10-15 | 2020-03-05 | Id.Me, Inc. | Systems and methods for secure online credential authentication |
CN110637300A (en) * | 2018-04-25 | 2019-12-31 | 谷歌有限责任公司 | Delayed two-factor authentication in a networked environment |
Also Published As
Publication number | Publication date |
---|---|
WO2021192150A1 (en) | 2021-09-30 |
JP6907426B1 (en) | 2021-07-21 |
JPWO2021192150A1 (en) | 2021-09-30 |
TW202139036A (en) | 2021-10-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10846996B2 (en) | Registry verification for a mechanized store using radio frequency tags | |
JP5458597B2 (en) | Verification device and authentication device | |
JP6757861B1 (en) | Authentication system, authentication method, and program | |
JP7090008B2 (en) | Identity verification support device and identity verification support method | |
TWI754964B (en) | Authentication system, authentication device, authentication method, and program product | |
TWI804900B (en) | Authentication system, authentication method and program product | |
TWI762065B (en) | Authentication system, authentication device, authentication method, and program product | |
JP7295319B2 (en) | Authentication system, authentication method, and program | |
TWI776436B (en) | Authentication systems, authentication methods, and program products | |
TWI771819B (en) | Authentication system, authentication device, authentication method, and program product | |
US20240256640A1 (en) | Authentication system, authentication device, authentication method and program | |
JP2023039447A (en) | Program, system and information processing method | |
JP2020060845A (en) | Print system and print terminal |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GD4A | Issue of patent certificate for granted invention patent |