| 【発明の名称】 |
認証システムおよび認証方法 |
| 【発明者】 |
【氏名】赤尾 英俊
|
| 【要約】 |
【課題】設定登録用のユーザ認証情報を複数の構成要素に分割して分散管理することで、そのユーザ認証情報を効果的に保護することができる確実なセキュリティ管理を実現できるようにする。
【解決手段】認証管理センタ1は、ユーザ登録時に、指紋センサ装置5からユーザ端末2を介して通信されて来たユーザ認証情報を分割し、分割されたユーザ認証情報の各構成要素のうち、一方の構成要素をシステム側の登録情報、他方の構成要素をユーザ端末2内に設定する登録情報として割当てる。ユーザ認証時に、ユーザ端末2内の登録情報を取得すると共に、ユーザデータベースDBからシステム側の登録情報とを取得し、取得したユーザ端末2内の登録情報とシステム側の登録情報とに基づいて元のユーザ認証情報を生成復元した後、復元されたユーザ認証情報と、ユーザ認証時に入力されたユーザ認証情報とを比較してユーザ認証を行う。 |
【特許請求の範囲】
【請求項1】ユーザ認証時に入力されたユーザ認証情報と、予め設定登録されているユーザ認証情報とを照合することによってユーザ認証を行う管理センタ装置と、ユーザ所有のユーザ端末とが通信ネットワークを介して接続されてなる認証システムであって、ユーザ認証情報を分割する分割手段と、この分割手段によって分割されたユーザ認証情報の各構成要素のうち、一方の構成要素をシステム側の登録情報として割り当てると共に、他方の構成要素を前記ユーザ端末内に設定する登録情報として割り当てて分割情報割当手段と、ユーザ認証を行う場合に、そのユーザ端末内に設定されている登録情報を取得すると共に、前記システム側に設定されている登録情報とを取得する登録情報取得手段と、この登録情報取得手段によって取得したユーザ端末内の登録情報とシステム側の登録情報とに基づいて元のユーザ認証情報を生成復元する復元手段と、この復元手段によって復元されたユーザ認証情報と、ユーザ認証時に入力されたユーザ認証情報とを比較してユーザ認証を行うユーザ認証手段と、を具備したことを特徴とする認証システム。
【請求項2】複数のユーザに対応してそれらのユーザ認証情報をそれぞれ設定登録する場合において、前記分割手段によって分割されたユーザ認証情報の構成要素をユーザ側の登録情報として当該ユーザ端末内に設定させる際は、その登録情報がシステム側のどの登録情報に対応するかを示す為の識別情報を含めて当該ユーザ端末内に設定させ、ユーザ認証を行う場合に前記登録情報取得手段は、そのユーザ所有のユーザ端末内に設定されている登録情報と共に前記識別情報を取得し、この識別情報に基づいて対応するシステム側の登録情報を取得する、ようにしたことを特徴とする請求項1記載の認証システム。
【請求項3】ユーザ認証を行った後において、前記分割手段は、前回の分割方法とは異なる方法でユーザ認証情報を再分割し、前記分割情報割当手段は、この分割手段によって再分割されたユーザ認証情報の各構成要素のうち、一方の構成要素をシステム側の登録情報として割り当てると共に、他方の構成要素をユーザ端末内に設定するユーザ側の登録情報として割り当てることにより、前回のユーザ側の登録情報とシステム側の登録情報の内容を変更する、ようにしたことを特徴とする請求項1記載の認証システム。
【請求項4】ユーザ認証が行われる毎に、前記分割手段は、ユーザ認証情報の分割位置をランダムに決定すると共に、この決定された分割位置にしたがってユーザ認証情報を再分割する、ようにしたことを特徴とする請求項3記載の認証システム。
【請求項5】ユーザの特徴情報をユーザ認証情報として検知する検知装置を設け、この検知装置とそのユーザ所持の携帯通信装置との間で近距離無線通信を行うと共に、この携帯通信装置は、前記検知装置によって検知されたユーザ認証情報を受信して前記管理センタ装置へ送信し、前記管理センタ装置は、前記携帯通信装置から送信されて来たユーザ認証情報を分割すると共に、分割されたユーザ認証情報の各構成要素のうち、一方の構成要素をシステム側の登録情報として割り当てると共に、他方の構成要素を前記ユーザ端末内に設定する登録情報として割り当てる、ようにしたことを特徴とする請求項1記載の認証システム。
【請求項6】前記分割手段は、ユーザ認証情報を複数の分割位置で分割し、前記分割情報割当手段は、前記複数の分割位置によって細かく分割されたユーザ認証情報の各構成要素のうち、システム側に割り当てるべき構成要素と、ユーザ端末内に割り当てるべき構成要素とを選択決定する、ようにしたことを特徴とする請求項1記載の認証システム。
【請求項7】コンピュータに対して、ユーザ認証情報を分割する機能と、分割されたユーザ認証情報の各構成要素のうち、一方の構成要素をシステム側の登録情報として割り当てると共に、他方の構成要素を前記ユーザ端末内に設定する登録情報として割り当てる機能と、ユーザ認証を行う場合に、そのユーザ端末内に設定されている登録情報を取得すると共に、前記システム側に設定されている登録情報とを取得する機能と、取得したユーザ端末内の登録情報とシステム側の登録情報とに基づいて元のユーザ認証情報を生成復元する機能と、復元されたユーザ認証情報と、ユーザ認証時に入力されたユーザ認証情報とを比較してユーザ認証を行う機能と、を実現させるためのプログラム。
【請求項8】ユーザ認証を行う管理センタ装置と、ユーザ所有のユーザ端末とが通信ネットワークを介して接続されているシステム環境において、ユーザ認証時に入力されたユーザ認証情報と、予め設定登録されているユーザ認証情報とを照合することによってユーザ認証を行う認証方法であって、ユーザ認証情報を分割すると共に、分割されたユーザ認証情報の各構成要素のうち、一方の構成要素をシステム側の登録情報として割り当てると共に、他方の構成要素を前記ユーザ端末内に設定する登録情報として割り当て、ユーザ認証を行う場合に、そのユーザ端末内に設定されている登録情報を取得すると共に、前記システム側に設定されている登録情報とを取得し、取得したユーザ端末内の登録情報とシステム側の登録情報とに基づいて元のユーザ認証情報を生成復元し、復元されたユーザ認証情報と、ユーザ認証時に入力されたユーザ認証情報とを比較してユーザ認証を行う、ようにしたことを特徴とする認証方法。
|
【発明の詳細な説明】【0001】
【発明の属する技術分野】この発明は、ユーザ認証時に入力されたユーザ認証情報と、予め設定登録されているユーザ認証情報とを照合することによってユーザ認証を行う認証システム、そのプログラム、認証方法に関する。
【0002】
【従来の技術】従来、本人確認を行う認証システムとしては、例えば、図13(a)に示すように、センサシステム(指紋センサ)によって検知された指紋パターンデータがインターネットや構内通信網を介してサーバ側のハードディスク内に個人識別情報(ユーザ認証情報)として登録管理されている状態において、ユーザ認証時には、図13(b)に示すように、センサシステムによって検知された指紋パターンデータと、サーバ側のハードディスク内に設定登録されている指紋パターンデータとを照合し、その照合結果に応じて例えば、コンピュータ装置へのアクセス可否を決定するようにしている。また、独身マンション入室管理システムや建物入館管理システム等においては、本人確認を行う認証システムが備えられており、指紋センサ装置から入力された指紋パターンデータが予めユーザ認証情報として設定登録されている状態において、ユーザ認証時に、指紋センサ装置から指紋パターンデータが入力されると、予め設定登録されているユーザ認証情報(登録情報)と今回入力された指紋パターンデータとを照合することによってユーザ認証を行い、その認証結果に基づいて入室管理や入館管理を行うようにしている。この場合、いずれの認証システムにおいても、登録情報(指紋パターンデータ)は、その対象者である各ユーザ毎にシステム側に一元管理されている。
【0003】
【発明が解決しようとする課題】しかしながら、この種の認証システムにおいては、第三者が例えば、擬似指を使って指紋パターンデータを入力したものとすると、偶発的にヒットするケースもあり、また、登録情報を何らかの方法で盗用されるケースもある等、その安全性が要望されていた。このことは、指紋認識の場合に限らず、音声認識、顔写真認識、眼球認識、パスワード認識等の場合においても同様であった。
【0004】この発明の課題は、設定登録用のユーザ認証情報を複数の構成要素に分割して分散管理することで、設定登録用のユーザ認証情報を効果的に保護することができると共に、設定登録用のユーザ認証情報を複数の構成要素に分割して分散管理したとしても、確実なセキュリティ管理を実現できるようにすることである。
【0005】この発明の手段は、次の通りである。請求項第1記載の発明は、ユーザ認証時に入力されたユーザ認証情報と、予め設定登録されているユーザ認証情報とを照合することによってユーザ認証を行う管理センタ装置と、ユーザ所有のユーザ端末とが通信ネットワークを介して接続されてなる認証システムであって、ユーザ認証情報を分割する分割手段と、この分割手段によって分割されたユーザ認証情報の各構成要素のうち、一方の構成要素をシステム側の登録情報として割り当てると共に、他方の構成要素を前記ユーザ端末内に設定する登録情報として割り当てる分割情報割当手段と、ユーザ認証を行う場合に、そのユーザ端末内に設定されている登録情報を取得すると共に、前記システム側に設定されている登録情報とを取得する登録情報取得手段と、この登録情報取得手段によって取得したユーザ端末内の登録情報とシステム側の登録情報とに基づいて元のユーザ認証情報を生成復元する復元手段と、この復元手段によって復元されたユーザ認証情報と、ユーザ認証時に入力されたユーザ認証情報とを比較してユーザ認証を行うユーザ認証手段とを具備するものである。したがって、請求項1記載の発明においては、設定登録用のユーザ認証情報を複数の構成要素に分割して分散管理することで、設定登録用のユーザ認証情報を効果的に保護することができると共に、設定登録用のユーザ認証情報を複数の構成要素に分割して分散管理したとしても、確実なセキュリティ管理を実現することができる。
【0006】なお、この発明は次のようなものであってもよい。複数のユーザに対応してそれらのユーザ認証情報をそれぞれ設定登録する場合において、前記分割手段によって分割されたユーザ認証情報の構成要素をユーザ側の登録情報として当該ユーザ端末内に設定させる際には、このユーザ側の登録情報がシステム側のどの登録情報に対応するかを示す為の識別情報を含めて当該ユーザ側の登録情報を設定させ、ユーザ認証を行う場合に、前記登録情報取得手段は、そのユーザ所有のユーザ端末内に設定されているユーザ側の登録情報と共に前記識別情報を取得し、この識別情報に基づいて対応するシステム側の登録情報を取得する(請求項2記載の発明)。
【0007】ユーザ認証を行った後において、前記分割手段は、前回の分割方法とは異なる方法でユーザ認証情報を再分割し、前記分割情報割当手段は、この分割手段によって再分割されたユーザ認証情報の各構成要素のうち、一方の構成要素をシステム側の登録情報として割り当てると共に、他方の構成要素をユーザ端末内に設定するユーザ側の登録情報として割り当ることにより、前回のユーザ側の登録情報とシステム側の登録情報の内容を変更する(請求項3記載の発明)。この場合、ユーザ認証が行われる毎に、前記分割手段は、ユーザ認証情報の分割位置をランダムに決定すると共に、この決定された分割位置にしたがってユーザ認証情報を再分割する(請求項4記載の発明)。
【0008】ユーザの特徴情報をユーザ認証情報として検知する検知装置を設け、この検知装置とユーザ所持の携帯通信装置との間で近距離無線通信を行うと共に、前記携帯通信装置は、前記検知装置によって検知されたユーザ認証情報を受信して前記管理センタ装置へ送信し、前記管理センタ装置は、前記携帯通信装置から送信されて来たユーザ認証情報を分割すると共に、分割されたユーザ認証情報の各構成要素のうち、一方の構成要素をシステム側の登録情報として割り当てると共に、他方の構成要素を前記ユーザ端末内に設定するユーザ側の登録情報として割り当てる(請求項5記載の発明)。
【0009】前記分割手段は、ユーザ認証情報を複数の分割位置で分割し、前記分割情報割当手段は、前記複数の分割位置によって細かく分割されたユーザ認証情報の各構成要素のうち、システム側に割り当てるべき構成要素と、ユーザ端末内に割り当てるべき構成要素を選択決定する(請求項6記載の発明)。
【00010】他の発明は、コンピュータに対して、上述した請求項1記載の発明に示した主要機能を実現させるためのプログラムを提供し(請求項7記載の発明)、また、上述した請求項1記載の発明に示した主要手順にしたがった処理を行う認証方法を提供するものである(請求項8記載の発明)。
【0011】
【発明の実施の形態】以下、図1〜図11を参照してこの発明の一実施形態を説明する。図1は、この実施形態における認証システムの全体構成を示したブロック図である。この実施形態における認証システムは、マンション入室管理システムに採用したもので、一般参加の募集に応じて参加申込のあった各利用者(マンションの管理者)側との間で利用契約を行って会員登録を行い、その会員マンションの各入居者に対するユーザ認証サービスを代行するサービス事業を全国規模で展開するようにした広域通信システムである。このようなユーザ認証サービスを代行する認証システムは、ユーザ認証サービスを行う認証管理センタ1と、各会員マンションの各入居者(ユーザ)所持のユーザ端末(携帯電話端末)2とがネットワーク網(インターネット)3、移動体通信網4を介して接続されているシステム環境となっている。
【0012】認証管理センタ1は、このセンタの中核をなす管理サーバ11と、ユーザデータベースDBを管理制御するデータベースサーバ12と、電子メールを管理制御するメールサーバ13と、Webサーバ14等の各種サーバを有し、これらのサーバによってこの認証管理センタ1の全体動作を制御するようにしている。なお、この実施形態においては、例えば、TCP/IP通信プロトコルを利用したHTTPプロトコル等によって、認証管理センタ1とユーザ端末2との間でデジタル化(パケット化)されたデータの送受信を行うようにしており、また、コード化された制御情報を含むデータによって互いに必要な処理内容を認識しながら連携し合ってデータ処理を行うようにしている。なお、ユーザ端末2は、Webブラウザ機能を備えている。
【0013】会員マンション側には、指紋センサ装置5が配置されいる。この指紋センサ装置5は、会員登録を行った会員マンションに対し有料にて設置されたもので、会員マンションの各入居者を管理するマンション入室管理システム(図2参照)に接続されている。この指紋センサ装置5は、その会員マンションの各入居者所持のユーザ端末(携帯電話端末)2との間において近距離通信によってデータの送受信を行うようにしている。すなわち、近距離通信手段としては、微弱通信規格のBluetooth無線通信や赤外線通信規格のIrDA無線通信によって指紋センサ装置5と各入居者所持のユーザ端末2との間でデータの送受信を行うようにしている。この場合、認証管理センタ1と指紋センサ装置5とは、ユーザ端末2および広域通信網(インターネット3、移動体通信網4)を介してデータの送受信を行うようにしている。
【0014】図2は、指紋センサ装置5の全体構成を示したブロック図である。指紋センサ装置5は、指の指紋を検知する光センサ(エリアセンサ)5−1を有し、このエリアセンサ5−1からの検知信号は、フィルタ5−2、サンプリングホールド部5−3を介してA/D変換部5−4に与えられ、A/D変換部5−4によって変換されたデジタルデータは、特徴抽出部5−5によってユーザ固有の指紋パターンデータに変換され、バッファ5−6を介して近距離無線送信部5−7からユーザ端末2へ送信される。
【0015】また、指紋センサ装置5には、ユーザ端末2から近距離無線通信によって送信されて来たデータを受信する近距離無線受信部5−8が設けられており、この近距離無線受信部5−8によって受信したデータは、バッファ5−9を介して認証結果判定部5−10に与えられる。認証結果判定部5−10は、認証管理センタ1からユーザ端末2を介して送信されて来た認証結果を判別し、認証NG(否定)、認証OK(肯定)に応じた判定信号を生成出力するもので、この判定信号はマンション入室管理システム6に送信される。なお、マンション入室管理システム6は、会員マンションである各入居者の入室状況を管理する通常の管理システムである。
【0016】図3(A)は、ユーザデータベースDBの内容を示した図である。このユーザデータベースDBは、会員マンションの各入居者に対応して、「氏名」、「連絡先」、「ユーザID」、「分割登録パターン」、「復元キー」等の各項目を有するユーザレコードを記憶管理する構成となっている。「氏名」は入居者の氏名、「連絡先」は入居者の電話番号や電子メールアドレスであり、「ユーザID」は、ユーザ登録時に認証管理センタ1側から割り当てられたユーザ固有の識別情報である。
【0017】また、「分割登録パターン」は、ユーザ認証用として予め設定登録されるユーザ認証情報(指紋パターンデータ)を分割した各構成要素のうち、その一方の構成要素パターンである。すなわち、この実施形態においては、ユーザ認証用として設定登録されるユーザ認証情報(指紋パターンデータ)を2分割して分散管理するようにしており、その一方の構成要素パターンをシステム側の登録情報として割り当てると共に、他方の構成要素パターンをユーザ側の登録情報として割り当てて設定登録するようにしている。この場合、ユーザデータベースDB内の「分割登録パターン」は、上述したシステム側の登録情報である。
【0018】「復元キー」は、ユーザ側の登録情報とシステム側の登録情報とに基づいて元のユーザ認証情報を合成復元する際に使用する為の復元用の情報であり、この実施形態においては、設定登録用のユーザ認証情報を分割した分割位置を示す情報である。この実施形態においては、ユーザ認証情報(指紋パターンデータ)を2分割する場合、その分割位置を「復元キー」として登録しておき、復元時にはこの「復元キー」によって示される分割位置にしたがってユーザ側の登録情報とシステム側の登録情報とを合成復元するようにしている。
【0019】図3(B)は、ユーザ認証情報(指紋パターンデータ)を2分割することによって得られた他方の構成要素パターンがユーザ側の登録情報として記憶管理されている状態を示した図である。ここで、「ユーザ登録済みフラグ」は、ユーザ側の登録情報がそのユーザ端末2内に登録済みであることを示すフラグである。また、ユーザ側の登録情報は、「分割登録パターン」に「ユーザID」を付加してユーザ端末2内のメモリに記憶管理されている。
【0020】図4は、ユーザ端末2から認証管理センタ1へ送信される伝送フォーマットを示したもので、(A)は、ユーザ登録時の伝送フォーマット、(B)はユーザ認証時の伝送フォーマットを示している。ユーザ登録時の伝送フォーマットは、「ヘッダー」、「登録」、「レングスL」、「指紋パターンデータ」、「ユーザID」の各データからなり、「指紋パターンデータ」は、設定登録用のユーザ認証情報であり、「レングスL」は「指紋パターンデータ」のデータ長を示している。ユーザ認証時の伝送フォーマットは、「ヘッダー」、「認証」、「今回入力の指紋パターンデータ」、「ユーザ既登録パターン」、「ユーザID」の各データからなり、「ユーザ既登録パターン」は、上述したユーザ側の登録情報である「分割登録パターン」であり、「今回入力の指紋パターンデータ」は、ユーザ認証時に検知されたデータである。
【0021】図5は、認証管理センタ1の中核を成す管理サーバ11の全体構成を示したブロック図である。CPU111は、記憶装置112内のオペレーティングシステムや各種アプリケーションソフトにしたがってこの管理サーバ11の全体動作を制御する中央演算処理装置である。記憶装置112は、オペレーティングシステムや各種アプリケーションソフト等が格納され、磁気的、光学的、半導体メモリ等によって構成されている記録媒体113やその駆動系を有している。この記録媒体113はハードディスク等の固定的な媒体若しくは着脱自在に装着可能なCD−ROM、フロッピィデスク、RAMカード、磁気カード等の可搬型の媒体である。また、この記録媒体113内のプログラムやデータは、必要に応じてCPU111の制御によりRAM(例えば、スタティックRAM)114にロードされたり、RAM114内のデータが記録媒体113にセーブされる。更に、記録媒体は外部機器側に設けられているものであってもよく、CPU111は伝送制御部115を介してこの記録媒体内のプログラム/データを直接アクセスして使用することもできる。
【0022】また、CPU111は記録媒体113内に格納されるその一部あるいは全部を他の機器側から伝送制御部115を介して取り込み、記録媒体113に新規登録あるいは追加登録することもできる。更に、プログラム/データはサーバ等の外部機器側で記憶管理されているものであってもよく、CPU111は伝送制御部115を介して外部機器側のプログラム/データを直接アクセスして使用することもできる。一方、CPU111にはその入出力周辺デバイスである伝送制御部115、入力部116、表示部117がバスラインを介して接続されており、入出力プログラムにしたがってCPU111はそれらの動作を制御する。
【0023】図6は、ユーザ端末2の全体構成を示したブロック図である。なお、ユーザ端末2の構成要素も上述した管理サーバ11の構成要素に対応して、CPU201、記憶装置202、RAM203、入力部204、表示部205の他、近距離無線通信部206、広域無線通信部207を有する構成となっている。近距離無線通信部206は、指紋センサ装置5との間でBluetooth無線通信やIrDA無線通信によってデータの送受信を行うものであり、広域無線通信部207は、認証管理センタ1との間でインターネット3、移動体通信網4を介してデータの送受信を行うものである。
【0024】次に、この実施形態における認証システムの動作アルゴリズムを図7〜図10に示すフローチャートを参照して説明する。ここで、これらのフローチャートに記述されている各機能、つまり、図7に記述したユーザ登録処理、図8および図9に記述したユーザ認証処理、図10に記述したユーザ端末側の処理は、読み取り可能なプログラムコードの形態で格納されており、認証管理センタ1やユーザ端末2は、このプログラムコードにしたがった動作を逐次実行する。また、伝送媒体を介して伝送されてきた上述のプログラムコードにしたがった動作を逐次実行することもできる。すなわち、記録媒体の他、伝送媒体を介して外部供給されたプログラム/データを利用してこの実施形態特有の動作を実行することもできる。
【0025】図7〜図9は、認証管理センタ1側において実行される動作を示したフローチャートであり、図10は、ユーザ端末2側の主要動作(この実施形態固有の動作)を示したフローチャートである。先ず、認証管理センタ1側でのユーザ登録処理と、この登録処理に応答して実行されるユーザ端末2側での動作を説明する。いま、登録会員であるマンションの入居者であるユーザは、自己のユーザ端末2から認証管理センタ1に対してユーザ登録要求を行うが、この場合、「ユーザ登録済みフラグ」を参照し、「ユーザ登録済みフラグ」がオンされているかをチェックし(図10のステップD1)、当該フラグがオフされていることを条件にユーザ登録指示を受け付け(ステップD2)、認証管理センタ1に対してユーザ登録要求を行う(ステップD3)。
【0026】認証管理センタ1は、ユーザからの登録アクセス待ち状態において(図7のステップA1)、いずれかのユーザ端末2から登録要求を受信すると、ユーザ登録入力ページを要求元のユーザ端末2へ送信する(ステップA2)。ユーザ端末2は、このユーザ登録入力ページを受信すると(図10のステップD4)、その入力ページ画面を表示出力させる(ステップD5)。このユーザ登録入力ページ画面は、「登録会員マンション名」の他に、そのの入居者の「氏名」、「連絡先」等の各項目に対応してその入力領域を有するもので、このページ画面内に必要事項を入力した後、当該ページ画面内の送信ボタンを操作すると、入力されたユーザ情報は、認証管理センタ1へ送信される(ステップD6)。
【0027】認証管理センタ1は、ユーザ情報を受信すると(図7のステップA3)、そのユーザに割り当てるべきユーザIDを発行して要求元のユーザ端末2へ送信する(図7のステップA4)。この場合、ユーザ端末2は、認証管理センタ1から送信されて来たユーザIDを受信して登録する(図10のステップD7)。そして、認証管理センタ1は、受信したユーザ情報をユーザデータベースDBに追加登録した後(図7のステップA5)、要求元のユーザ端末2へ指紋パターンデータの入力を促す為のメッセージを含む指紋入力通知を行う(ステップA6)。
【0028】ユーザ端末2は、指紋入力通知を受信すると、そのメッセージ内容を表示出力してユーザに報知する(図10のステップD8)。ここで、ユーザは、指紋センサ装置5のエリアセンサ5−1上に指を載せると、フィルタ5−2、サンプリングホールド部5−3、A/D変換部5−4、特徴抽出部5−5、バッファ5−6、近距離無線送信部5−7を介してユーザ端末2へ指紋パターンデータが送信される。ユーザ端末2は、指紋センサ装置5によって検知された指紋パターンデータを受信すると(図10のステップD9)、図4(A)に示したような登録伝送フォーマットに、「指紋パターンデータ」、「データ長L」、「ユーザID」等を配置した伝送データを作成して認証管理センタ1へ送信する(ステップD10)。その後、「ユーザ登録済みフラグ」をオンさせる(ステップD11)。
【0029】認証管理センタ1は、ユーザ端末2から送信されて来た登録伝送データを受信すると(図7のステップA7)、「指紋パターンデータ」、「データ長L」を抽出し、この「データ長L」にしたがって「指紋パターンデータ」の中点を求め、この中点を境に「指紋パターンデータ」を2分割する(ステップA8)。図11(A)は、この場合の分割状態を示した図で、その前半部の分割パターンがシステム側の登録情報となり、後半部の分割パターンがユーザ側の登録情報となる。
【0030】そして、前半部の分割パターン(システム側の登録情報)を「ユーザID」と共にユーザデータベースDBに登録する他(ステップA9)、「復元キー」を生成してユーザデータベースDBの該当項目に登録する(ステップA10)。この場合の「復元キー」は、中点位置情報となる。また、後半部の分割パターンをユーザ側の登録情報として、その「ユーザID」と共に、要求元のユーザ端末2へ送信する(ステップA11)。
【0031】ユーザ端末2は、「ユーザ登録済みフラグ」がオンされている状態において(図10のステップD1)、認証管理センタ1からその「ユーザID」と共に送信されて来た分割パターン(ユーザ側の登録情報)を受信すると(ステップD12)、受信した「ユーザID」と予め登録されている自己の「ユーザID」とが一致するかを判別し(ステップD13)、不一致の場合には、受信データを無視するが、一致する場合には、受信した分割パターン(後半部)を登録する処理を行う(ステップD14)。
【0032】図8および図9は、認証管理センタ1側で実行されるユーザ認証処理を示したフローチャートである。以下、認証管理センタ1側でのユーザ認証処理と、この認証処理に応答して実行されるユーザ端末2側での動作を図10に示すフローチャートを参照して説明する。先ず、ユーザ認証時において、ユーザは指紋センサ装置5に指を載せると、この指紋センサ装置5によって検知された指紋パターンデータは、ユーザ端末2へ送信される。ユーザ端末2は、指紋センサ装置5からの指紋パターンデータを受信すると(図10のステップD15)、ユーザ側の登録情報である「ユーザ登録分割パターン」と「ユーザID」とを取得し(ステップD16)、図4(B)に示したような認証用の伝送フォーマットに、「今回入力の指紋パターンデータ」、「ユーザ登録分割パターン」、「ユーザID」等を配置した伝送データを作成して認証管理センタ1へ送信する(ステップD17)。
【0033】認証管理センタ1は、この認証アクセス要求を受信すると(図8のステップB1)、この受信データの中から「今回入力の指紋パターンデータ」、「ユーザ登録分割パターン」、「ユーザID」を抽出し(ステップB2)、この「ユーザID」に基づいてユーザデータベースDBを検索し(ステップB3)、それに該当するシステム側の「登録分割パターン」が有るかを判別し(ステップB4)、無ければ、認証NG(否定)を要求元のユーザ端末2へ送信するが(ステップB11)、有れば、該当するシステム側の「登録分割パターン」と「復元キー」とをユーザデータベースDBから取得する(ステップB5)。そして、この「復元キー」に基づいてパターン展開用の座標系上の合成位置を求め、この位置を基準として、「システム側登録分割パターン」と「ユーザ側登録分割パターン」とを配置して元の「指紋パターンデータ」を合成復元する(ステップB6)。
【0034】そして、認証管理センタ1は、復元した「指紋パターンデータ」と「今回入力の指紋パターンデータ」とを比較し(ステップB7)、両者の一致を判別する(ステップB8)。ここで、不一致の場合には、認証NG(否定)を要求元のユーザ端末2へ送信するが(ステップB11)、一致する場合には、認証OK(肯定)を要求元のユーザ端末2へ送信する(ステップB9)。この場合、ユーザ端末2では、認証管理センタ1からの認証結果を受信すると(図10のステップD18)、その受信結果を表示出力すると共に(ステップD19)、指紋センサ装置5へその認証結果を送信する(ステップD20)。
【0035】指紋センサ装置5において、その近距離無線受信部5−8によって受信したデータがバッファ5−9を介して認証結果判定部5−10に与えられると、認証結果判定部5−10は、認証管理センタ1からユーザ端末2を介して送信されて来た認証結果を判別し、認証NG(否定)、認証OK(肯定)に応じた判定信号を生成出力してマンション入室管理システム6に送信される。
【0036】その後、認証管理センタ1は、認証OK(肯定)の場合には(図8のステップB8)、指紋パターン再登録処理に移る(ステップB10)。図9は、この指紋パターン再登録処理を示したフローチャートである。認証管理センタ1は、乱数発生器(図示せず)からランダム数値を取得し(ステップC1)、このランダム数値に基づいて分割位置を決定する(ステップC2)。例えば、数値“1”〜“20”の中から発生されたランダム数値に対応付けられている分割位置を今回の分割位置として決定する。そして、上述のようにして復元された「指紋パターンデータ」を決定位置で再分割する(ステップC3)。
【0037】図11(B)は、ランダム分割された状態を例示した図で、その前部の分割パターンがシステム側の登録情報となり、後部の分割パターンがユーザ側の登録情報となることは、上述の場合と同様であるが、(A)の場合に比べて、ランダム分割によってその分割位置が異なっている。この場合、システム側の方がユーザ側よりもそのデータ長は大きくなっている。なお、(C)は、次の指紋パターン再登録処理によって分割された状態を例示した図で、更に、その分割位置は異なり、ユーザ側の方がシステム側よりもそのデータ長は大きくなっている。
【0038】そして、認証管理センタ1は、ランダム分割による「復元キー」を生成してユーザデータベースDBの該当項目に登録することによってその内容を変更すると共に(ステップC4)、ランダム分割によって得られた前部の分割パターンをシステム側の登録情報として、ユーザデータベースDBの該当項目に登録することにより前回の内容を変更する(ステップC5)。そして、後部の分割パターンをユーザ側の登録情報として、要求元のユーザ端末2へ送信する(ステップC6)。すると、ユーザ端末2側では、認証管理センタ1から送信されて来たユーザ登録用の分割パターンを受信すると(図10のステップD12)、その「ユーザID」が一致することを条件に(ステップD13)、当該分割パターンを登録することにより、前回の内容を変更する(ステップD14)。
【0039】以上のように、この実施形態において認証管理センタ1は、ユーザ登録時に、指紋センサ装置5からユーザ端末2を介して通信されて来たユーザ認証情報(指紋パターンデータ)を分割すると共に、分割されたユーザ認証情報の各構成要素のうち、一方の構成要素をシステム側の登録情報として割り当てると共に、他方の構成要素をユーザ側の登録情報として割り当てて設定登録させるようにしたから、設定登録用のユーザ認証情報を複数の構成要素に分割して分散管理することができる。したがって、例えば、ユーザ端末2内に設定されているユーザ側の登録情報が盗用されたとしても、それは登録情報の一部だけである為にセキュリティ上、問題となることはなく、登録情報を効果的に保護することが可能となる。
【0040】この場合、ユーザ認証時において認証管理センタ1は、当該ユーザ端末2に設定されているユーザ側の登録情報を取得すると共に、認証管理センタ1のユーザデータベースDBに設定されているシステム側の登録情報とを取得し、取得したユーザ側の登録情報とシステム側の登録情報とに基づいて元のユーザ認証情報を生成復元した後、復元されたユーザ認証情報と、ユーザ認証時に入力されたユーザ認証情報とを比較してユーザ認証を行うようにしたから、設定登録用のユーザ認証情報を複数に分割して分散管理したとしても、ユーザ認証を確実に行うことが可能となる。
【0041】また、複数のユーザに対応してそれらのユーザ認証情報をそれぞれ設定登録する場合において、認証管理センタ1は、分割したユーザ認証情報の構成要素をユーザ側の登録情報としてユーザ端末2に設定登録させる際に、このユーザ側の登録情報がシステム側のどの登録情報に対応するかを示す為の識別情報(ユーザID)を含めてそのユーザ側の登録情報を設定し、ユーザ認証を行う場合には、そのユーザ端末2に設定されているユーザ側の登録情報と共にユーザIDを取得し、このユーザIDに基づいて対応するシステム側の登録情報を取得して復元処理を行うようにしたから、複数ユーザに対応してそれらの登録情報を分散管理したとしても、ユーザ別ユーザ認証を確実に行うことが可能となる。
【0042】また、ユーザ認証を行った後において、認証管理センタ1は、前回の分割方法とは異なる方法でユーザ認証情報を再分割するようにしたから、分散管理される登録情報をユーザ認証毎に変更することができ、盗用等から登録情報を効果的に保護することができる。この場合、ユーザ認証情報の分割位置をランダムに決定し、その分割位置にしたがって再分割するようにしたから、より確実な保護が可能となる。
【0043】また、ユーザの特徴情報である指紋を検知する指紋センサ装置5と、そのユーザ所持の携帯電話(ユーザ端末2)との間で近距離無線通信を行うようにしたから、つまり、本人だけが所持する携帯電話を介して指紋センサ装置5と認証管理センタ1との間でデータの送受信を行うようにしたから、第三者が介入する余地が無くなり、また、携帯電話を紛失したり、盗難されたとしても、携帯電話に設定されている登録情報は、その一部であるために安全性を確保することができる。
【0044】なお、上述した実施形態においては、ユーザ認証情報を2分割する場合を示したが、図12に示すように、3分割するようにしてもよく、分割数は任意である。この場合、ユーザ認証情報を複数の分割位置で分割し、この複数位置によって細かく分割されたユーザ認証情報の各構成要素のうち、システム側に割り当てるべき構成要素と、ユーザ側に割り当てるべき構成要素を任意に選択して決定するようにしてもよい。例えば、システム側に割り当てるべき構成要素とユーザ側に割り当てるべき構成要素とを交互に決定したり、任意に選択して決定して分散管理させるようにしてもよい。
【0045】また、上述した実施形態における認証システムは、マンション入室管理システム6に連動するようにしたが、これに限らず、パーソナルコンピュータをオープンする際に、ユーザ認証を行ってアクセス可否を制御する者であってもよい。また、ユーザ認証情報としては、指紋パターンデータに限らず、音声認識、顔写真認識、眼球認識、パスワード認識等をユーザ認証情報としてもよい。更に、ユーザ個人の認証に限らず、グループ認証等であってもよい。
【0046】一方、コンピュータ(認証管理センタ1)に対して、上述した各手段を実行させるためのプログラムコードをそれぞれ記録した記録媒体(例えば、CD−ROM、フロッピィデスク、RAMカード等)を提供するようにしてもよい。すなわち、コンピュータが読み取り可能なプログラムコードを有する記録媒体であって、ユーザ認証情報を分割する機能と、分割されたユーザ認証情報の各構成要素のうち、一方の構成要素をシステム側の登録情報とすると共に、他方の構成要素をユーザ側の登録情報として設定する機能と、ユーザ認証を行う場合に、当該ユーザ端末に設定されているユーザ側の登録情報を取得すると共に、前記システム側に設定されているシステム側の登録情報とを取得する機能と、取得したユーザ側の登録情報とシステム側の登録情報とに基づいて元のユーザ認証情報を生成復元する機能と、復元されたユーザ認証情報と、ユーザ認証時に入力されたユーザ認証情報とを比較してユーザ認証を行う機能とを実現させるためのプログラムを記録したコンピュータが読み取り可能な記録媒体を提供するようにしてもよい。
【0047】
【発明の効果】この発明によれば、ユーザ登録時に、ユーザ端末を介して通信されて来たユーザ認証情報を分割すると共に、分割されたユーザ認証情報の各構成要素のうち、一方の構成要素をシステム側の登録情報とすると共に、他方の構成要素をユーザ側の登録情報として設定させるようにしたから、設定登録用のユーザ認証情報を複数の構成要素に分割して分散管理することができる。したがって、例えば、ユーザ端末に設定されているユーザ側の登録情報が盗用されたとしても、それは登録情報の一部だけである為にセキュリティ上、問題となることはなく、登録情報を効果的に保護することが可能となる。この場合、ユーザ認証時においてユーザ端末に設定されているユーザ側の登録情報を取得すると共に、システム側の登録情報とを取得し、取得したユーザ側の登録情報とシステム側の登録情報とに基づいて元のユーザ認証情報を生成復元した後、復元されたユーザ認証情報と、ユーザ認証時に入力されたユーザ認証情報とを比較してユーザ認証を行うようにしたから、設定登録用のユーザ認証情報を複数に分割して分散管理したとしても、ユーザ認証を確実に行うことが可能となる。
|
| 【出願人】 |
【識別番号】000001443
【氏名又は名称】カシオ計算機株式会社
|
| 【出願日】 |
平成13年4月11日(2001.4.11) |
| 【代理人】 |
【識別番号】100073221
【弁理士】
【氏名又は名称】花輪 義男
|
| 【公開番号】 |
特開2002−312317(P2002−312317A) |
| 【公開日】 |
平成14年10月25日(2002.10.25) |
| 【出願番号】 |
特願2001−112740(P2001−112740) |
|