[go: up one dir, main page]

JP2006163453A - Authentication method using biometric authentication - Google Patents

Authentication method using biometric authentication Download PDF

Info

Publication number
JP2006163453A
JP2006163453A JP2004349260A JP2004349260A JP2006163453A JP 2006163453 A JP2006163453 A JP 2006163453A JP 2004349260 A JP2004349260 A JP 2004349260A JP 2004349260 A JP2004349260 A JP 2004349260A JP 2006163453 A JP2006163453 A JP 2006163453A
Authority
JP
Japan
Prior art keywords
authentication
information
user
biometric information
biometric
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004349260A
Other languages
Japanese (ja)
Inventor
Akihiro Koizumi
聡洋 古泉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2004349260A priority Critical patent/JP2006163453A/en
Publication of JP2006163453A publication Critical patent/JP2006163453A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Collating Specific Patterns (AREA)
  • Measurement Of The Respiration, Hearing Ability, Form, And Blood Characteristics Of Living Organisms (AREA)

Abstract

【課題】
高い認証強度で操作の実行中複数回認証を行って、操作者が操作の間で変わっていないこと保証しながらを利用者の負担を増やさないようにする。
【解決手段】
本発明の利用者認証システムは、最初の情報アクセス時点に利用者認証を行う。初期認証に合格したものについて、利用者の負担なくその時点での生体情報を取得し格納しておく。このとき取得する生体情報は再取得時に利用者の負担とならないように虹彩などの目の生体情報を使用するが望ましい。初期認証実施後は情報へのアクセスをしている任意の時点で利用者の負担なくアクセスしている人の生体情報を再取得して初期認証時に取得・格納した生体情報と照合する。アクセスを開始した時点の体調・環境における生体情報を取得し直すので、生体認証の長所はそのままに体調・環境の変化による生体情報の変化を極小にすることができる。
【選択図】 図1
【Task】
Authentication is performed multiple times during execution of operations with high authentication strength so as not to increase the burden on the user while ensuring that the operator has not changed between operations.
[Solution]
The user authentication system of the present invention performs user authentication at the time of the first information access. For those that have passed the initial authentication, the biometric information at that time is acquired and stored without any burden on the user. The biometric information acquired at this time preferably uses the biometric information of the eye such as an iris so as not to be a burden on the user at the time of re-acquisition. After the initial authentication is performed, the biometric information of the person who is accessing the information without any burden on the user at any time when the information is accessed is reacquired and collated with the biometric information acquired and stored at the time of the initial authentication. Since the biometric information in the physical condition / environment at the start of access is re-acquired, changes in the biometric information due to changes in the physical condition / environment can be minimized while maintaining the advantages of biometric authentication.
[Selection] Figure 1

Description

本発明は、利用者認証システムにおいて生体情報を用いて利用者認証を行う生体認証を用いた認証方式であって、かつ情報への初めのアクセス時点だけではなく情報へアクセスしている間に任意の時点で複数回認証を求める常時認証機能を有するシステムに関するものである。例えば将来的に現金自動預け払い機(ATM)において操作の次のステップに進もうとするたびに生体情報の入力を求められるようになった場合に使用して好適で、利用者の負担を増大させずに高い認証強度で認証を実施することが可能な生体認証を用いた認証方式に関する。 The present invention is an authentication method using biometric authentication in which user authentication is performed using biometric information in a user authentication system, and can be arbitrarily performed while accessing information as well as at the time of initial access to information. The present invention relates to a system having a constant authentication function that requires authentication multiple times. For example, it is suitable for use in the future when it is required to input biometric information every time an automatic teller machine (ATM) tries to advance to the next step of operation, increasing the burden on the user. The present invention relates to an authentication method using biometric authentication capable of performing authentication with high authentication strength without doing so.

近年、現金自動預け払い機での操作といった財産に直接関わる操作のみならず、広範囲の個人情報へのアクセスに対して個人の認証が求められるようになってきている。
まず利用者認証に用いられる認証情報の面について述べる。
従来から実現されている利用者認証方式はパスワードが主流であり、ATMやWebサイトにおける個人専用画面への遷移等に最も一般的に使用されている。
パスワードによる利用者認証には次のような問題点がある。
(1)利用者が覚えやすいものを使用するため、電話番号や生年月日等覚えやすいものが使われることが多く、不正アクセスが容易である。
(2)類推しにくいパスワードを使用するように強制した場合、利用者が覚えられないためパスワードをメモするなどしてパスワードの漏洩が起こりやすい。
(3)ある程度以上の長さのパスワード入力を求めた場合、入力に手間がかかる。
パスワードによる利用者認証の問題点のうちいくつかを解決する方法として、生体情報(バイオメトリクス情報)を利用する認証方式(バイオメトリクス認証)が考え出され、セキュリティーの高い確保が必要な部屋への入退出や、携帯電話などで実現されている。
バイオメトリクス認証は以下のような長所を持っている。
(1)パスワードのように覚える必要がない。
(2)長いパスワードの入力等と比較して認証用情報の入力の手間が少ない。
(3)他人へ貸与ができない。
一方でバイオメトリクス認証は以下のような短所を持っている。
(1)体調、環境の変化による生体情報の変化によって誤認識する可能性がある。
(2)特に指紋認証等においては生体情報を採取されることへの心理的抵抗が強い。
次に認証頻度の面について述べる。
従来から一般的に使用されている認証の認証頻度は、ATM、Webアクセス、セキュリティールームへの入室、問わず初めの一回のみである。
しかし、初めの一回のみの認証では、認証を受けた後に作業者が変わったとしてもそのことを感知することができない。そのためATMでパスワードを入力した後に遭難するケースやWebで個人専用ページにアクセスした状態で遭難するケースにおいては不正な利用者が自由な操作を行えてしまう。
そのため複数回認証を行わせる方式が登場している。例をあげれば、ATMにおいて、まずパスワードを入力して残高照会をした後、引出しを行おうとした場合には再度パスワードの入力を求める方法や、コンピュータのマウスに指紋認証装置をつけて任意のタイミングで指紋認証をさせるシステムが考案されている。
パスワードで複数回認証を実施する際には何度もパスワードを入力する必要があることから複雑な長さの長いパスワードを使用することは現実的ではない。パスワード入力によって複数回の認証を行う場合には現在のATMにおける数字4桁のパスワードのように簡単な短いパスワードである必要があり、それを用いた時の認証強度は当然低い。
そこで複数回認証を行うためには認証用情報の入力の手間の少ない生体認証を用いることが有力な実現方法と考えられる。生体認証を用いた場合には先のATMの例における数字4桁のパスワードと比較して非常に強い認証強度での認証を行うことができる。しかし生体認証においては利用者の体調や環境によって生体情報が変化してしまうため照合の基準を高くすると本人を拒絶してしまう誤認識率FRR(False Reject Ratio)が高くなるという欠点がある。そのため高い認証強度を得ようとして生体情報の照合基準を高くすると高い割合で本人が誤って拒絶され、その度に認証をやり直すため利用者の負担が大きくなる。このような事情から生体認証を使用した場合においても複数回認証を実施する上で利用者の負担を大きくしないためには、ある程度照合基準を低くして認証強度を落とさざるを得ない問題点がある。 In recent years, not only operations directly related to property such as operations at an automatic teller machine but also personal authentication has been required for access to a wide range of personal information.
First, the aspect of authentication information used for user authentication will be described.
Conventionally realized user authentication methods are mainly passwords, and are most commonly used for transition to personal screens on ATMs and Web sites.
User authentication by password has the following problems.
(1) Since easy-to-remember items are used, easy-to-remember items such as telephone numbers and birth dates are often used, and unauthorized access is easy.
(2) When a password that is difficult to guess is forced to be used, the user cannot remember it, and it is easy for a password to leak due to taking a note of the password.
(3) When a password input of a certain length or longer is required, it takes time to input the password.
As a method to solve some of the problems of user authentication using passwords, an authentication method (biometric authentication) that uses biometric information (biometric information) has been devised, and it can be used for rooms that require high security. It is realized by entering / exiting and mobile phones.
Biometrics authentication has the following advantages:
(1) No need to remember like a password.
(2) Compared with inputting a long password, etc., there is less time for inputting authentication information.
(3) Cannot lend to others.
On the other hand, biometrics authentication has the following disadvantages.
(1) There is a possibility of erroneous recognition due to changes in biological information due to changes in physical condition and environment.
(2) Especially in fingerprint authentication and the like, psychological resistance to collecting biometric information is strong.
Next, the aspect of authentication frequency will be described.
Conventionally, the authentication frequency of authentication generally used is only the first time regardless of whether it is ATM, Web access, or security room entry.
However, in the initial one-time authentication, even if the worker changes after receiving the authentication, this cannot be detected. Therefore, an unauthorized user can perform a free operation in a case where the user is lost after inputting a password at the ATM or in a case where the user is lost while accessing a personal dedicated page on the Web.
For this reason, a method for performing authentication multiple times has appeared. For example, in ATM, after first entering the password and inquiring the balance, if you try to withdraw, you can ask for the password again, or you can attach a fingerprint authentication device to the mouse of the computer at any time A system for fingerprint authentication has been devised.
When performing authentication multiple times with a password, it is necessary to input the password many times, so it is not practical to use a long password with a complicated length. When authentication is performed a plurality of times by inputting a password, it is necessary to use a simple short password like a four-digit password in the current ATM, and the authentication strength when using it is naturally low.
Therefore, in order to perform authentication multiple times, it is considered that using biometric authentication, which requires less labor for inputting authentication information, is an effective method of realization. When biometric authentication is used, it is possible to perform authentication with a very strong authentication strength as compared to the four digit password in the previous ATM example. However, in biometric authentication, the biometric information changes depending on the physical condition and environment of the user. Therefore, there is a drawback in that a false recognition rate FRR (False Reject Ratio) that rejects the person increases if the reference for collation is increased. For this reason, if the biometric information collation standard is increased in order to obtain a high authentication strength, the person is erroneously rejected at a high rate, and the authentication is retried every time, increasing the burden on the user. For this reason, even when biometric authentication is used, in order not to increase the burden on the user when performing authentication multiple times, there is a problem that the verification strength must be lowered by lowering the verification criteria to some extent. is there.

特開2004−054395号公報JP 2004-054395 A

現在、情報等へのアクセスの間に複数回認証を実施しようとした場合、情報アクセス者の負担量を考慮するとパスワードのように幾度も端末操作をするようなものではなく、認証情報の入力の手間が少ない生体情報を用いたバイオメトリクス認証で行うの最も現実的である。
しかし、体調の変化、経時変化、入力環境の変化に伴い、本人の生体情報も変化する。そのため従来のバイオメトリクス認証では、照合の基準を厳しく設定すると本人に対する拒否率が大きくなってしまう一方で、照合の基準を甘く設定すると他人に対する受理率が大きくなってしまうという問題点があった。
このような事情により、操作が同一人物で行われたことを保証するために、複数回の認証を行おうとした場合、認証の負担を減らそうとすると照合の基準を甘く設定せざるを得ず、認証強度が下がり、認証強度を上げようとすると利用者の負担が大きくなり現実のシステムとして実現しにくいというジレンマがあった。
本発明は上記課題を解決すべく、高い認証強度で操作の実行中複数回認証を行って、操作者が操作の間で変わっていないことを保証しながらも利用者の負担を増やさないような生体認証を用いた認証方式を提供することを目的とする。 At present, when trying to authenticate multiple times during access to information etc., considering the burden of the information access person, it is not like operating the terminal many times like a password. It is most realistic to perform biometric authentication using biometric information with little effort.
However, along with changes in physical condition, changes with time, and changes in the input environment, the person's biological information also changes. For this reason, the conventional biometric authentication has a problem that if the criteria for collation are set strictly, the rejection rate for the person increases, while if the criteria for collation is set weakly, the acceptance rate for others increases.
For this reason, to ensure that the operation was performed by the same person, if you tried to perform multiple authentications, you would have to set the verification criteria gently to reduce the authentication burden. However, there is a dilemma that the authentication strength decreases and the user's burden increases when attempting to increase the authentication strength, making it difficult to implement as an actual system.
In order to solve the above-mentioned problems, the present invention performs authentication multiple times during operation with high authentication strength, and does not increase the burden on the user while ensuring that the operator has not changed between operations. An object is to provide an authentication method using biometric authentication.

上記目的を実現するために本発明の利用者認証システムは、最初の情報アクセス時点に利用者認証を行う、初期認証用情報入力部、初期認証用情報格納部、および初期認証用情報照合部からなる初期認証サブシステムと、周囲からの覗き見を防ぎ、また利用者の目の位置を固定するスコープの中に設置され、利用者の負担なくその時点での生体情報を取得する生体情報取得部、利用者に情報を表示する情報表示部と、アクセスを開始した時点での生体情報を格納しておくアクセス開始時生体認証情報格納部、任意の時点に取得した生体情報をアクセス開始時点生体認証情報と比較して同一者であるかを判定する任意時点認証情報照合部、および任意時点の認証結果をもとに利用者が利用しているアプリケーションからの要求を制御するアプリケーション連携部からなる任意時点認証システムを備えたことを特徴とする。
上記構成により、アクセスを開始した時点の体調・環境における生体情報を取得し直すので、生体認証の長所はそのままに体調・環境の変化による生体情報の変化を極小にすることができる。
このことにより、利用者の認証情報入力の負担を増やさずに高い認証強度で認証を行うことができるため、情報アクセスしている間を通して任意のタイミングで再度利用者を高い認証強度で認証するようなシステムを実現することができる。
利用者の負担を増やさないという点では、個人を特定できる生体認証の中でも虹彩などの目の生体情報を使用することが望ましい。理由は認証が必要な情報へのアクセスはモニタに表示された情報を目視することが一般的であり、モニタに対して目を見開くという動作は必須の動作であるため、そのモニタを見ている目をカメラで撮影して目の生体情報を取得することが最も利用者に負担のかからない方式だからである。 To achieve the above object, the user authentication system of the present invention performs user authentication at the time of first information access, from an initial authentication information input unit, an initial authentication information storage unit, and an initial authentication information verification unit. An initial authentication subsystem, and a biometric information acquisition unit that is installed in a scope that prevents peeping from the surroundings and fixes the position of the user's eyes, and acquires biometric information at that time without any burden on the user An information display unit for displaying information to the user, an access start biometric information storage unit for storing biometric information at the start of access, and an access start time biometric authentication for biometric information acquired at an arbitrary time An arbitrary point authentication information collating unit that determines whether or not they are the same person as compared to information, and an application that controls requests from applications used by the user based on the authentication result at an arbitrary point Characterized by comprising any time authentication system composed of Shon coordinating unit.
With the above configuration, the biometric information in the physical condition / environment at the time of starting the access is reacquired, so that the change in the biometric information due to the change in the physical condition / environment can be minimized while maintaining the advantages of biometric authentication.
As a result, authentication can be performed with high authentication strength without increasing the burden of input of authentication information for the user, so that the user can be authenticated again with high authentication strength at any timing during information access. System can be realized.
In terms of not increasing the burden on the user, it is desirable to use biometric information of the eye such as an iris even in biometric authentication that can identify an individual. The reason is that access to information that requires authentication is generally performed by visually observing the information displayed on the monitor, and the action of opening the eyes to the monitor is an indispensable operation. This is because capturing the eye with a camera to obtain the biometric information of the eye is the method that places the least burden on the user.

本発明の認証方式によれば、利用者の負担を増やさないで、高い認証強度で操作者が操作の間で変わっていないことを保証することが実現できる。 According to the authentication method of the present invention, it is possible to realize that the operator does not change between operations with high authentication strength without increasing the burden on the user.

利用者がモニタに表示される情報を元に操作を行い、必要な情報を受け取るシステムを例に取り説明する。受け取るものは情報以外の物品等でも構わない。典型的には銀行のATMにおいて認証を経た後に自己の資産を引き出すようなシステムが適用対象として想定される。
本システムのシステム装置構成図を図2に示す。本システムの利用者はスコープ20を通して情報表示部22に表示される情報を受けとる。スコープ20の内部には利用者を特定できる生体情報の中でも虹彩などの目の生体情報を取得するためのカメラなどの生体情報取得部21が備え付けられている。
スコープ20は利用者に対してスコープ20を通して情報表示部22を見させることで、周囲からの情報の覗き見を防ぐと共に、目の位置が固定されることにより生体情報取得部21による目の生体情報の取得を容易にすることを目的として使用される。
生体情報取得部21(カメラ等)は要求された情報を提示するアプリケーションから命令を受け、アプリケーションが定めた任意のタイミングでスコープを覗いている利用者の目の生体情報を取得し、その生体情報を認証およびアプリケーション実行サーバ1に送る。この生体情報取得部21は情報表示部22と比較して十分小さく、情報の閲覧に支障が出ないものとする。
情報表示部22はユーザの要求に応じて必要な情報を表示する。その一方で認証およびアプリケーション実行サーバ1から命令を受け、利用者が不適切と判定された場合には即時にそれ以上の情報へのアクセスを拒絶し、再認証要求メッセージの表示や電源断など個々のアプリケーションのセキュリティポリシーに応じた動作を行う。
入力装置40(キーボード等)は必要に応じて認証およびアプリケーション実行サーバ1に対して次の動作の指示、データの入力等を行うために用いる。
認証およびアプリケーション実行サーバ1は生体情報取得部21、情報表示部22、入力装置40と連携してアプリケーションが必要とするタイミングで利用者の認証を行い、その判定結果をもとに情報表示部22に対して情報表示の制御を行う。
認証を行う方法については図1をもとに説明する。図1は本システムのシステム構成ブロック図である。
初期認証サブシステム10は初期認証用情報入力部11、初期認証用情報照合部12および初期認証用情報格納部13からなる。初期認証用情報入力部11は、利用者が対象システムにアクセスするために必要なユーザID、パスワードやICカードの情報等の初期認証用情報を受け付ける。初期認証用情報照合部12は予め初期認証用情報格納部13に格納されている利用者の認証情報と入力情報を照合して本人かどうかを判定する。初期認証用情報格納部13にはシステム利用申請時などに前もって登録した初期認証用の情報を格納してある。
スコープ20は本システム利用者以外の者が周りから情報を覗き見することを防ぐと共に、利用者の目の生体情報を取得しやすいように目の位置を固定する働きも持つ。スコープの内部には生体情報取得部21および情報表示部22が組み込まれている。生体情報取得部21はスコープを覗いている利用者の目を捉え、虹彩等の目の生体情報を取得する役割を持つ。情報表示部22は利用者が要求した情報や利用するアプリケーション側で利用者に提示したい情報を表示する。また本認証システムにおいて正しい利用者でないと判定された場合には警告/再認証要求メッセージの表示、電源断などアプリケーション50の持つセキュリティポリシーに応じて表示を変更する。
任意時点認証システム30はアクセス開始時点生体認証情報格納部31、任意時点認証情報照合部32、アプリケーション連携部33からなる。システム利用の初期においては初期認証用情報照合部12により予め登録された利用者であると判定された場合、その時点での生体情報を取得し、アクセス開始時点生体認証情報格納部31に格納する。
アクセス開始時点生体認証情報格納部31は新たにシステムにログインするごとにその時点の生体認証情報データを持つ必要がある。そのため過去に一回以上本システムを利用したことがある利用者が再度ログインした場合には過去に取得した生体情報データは上書きされる。
任意時点認証情報照合部32はアプリケーション連携部33から情報取得指示を受けた生体情報取得部21が取得した任意の時点での生体情報を受け付け、アクセス開始時点生体認証情報格納部31に格納されているアクセス開始時の生体情報と照合し、照合結果をアプリケーション連携部33に返す。
アプリケーション連携部33はアプリケーション50が指定した任意の時点で生体情報取得部21に対して生体情報の取得指示を出す。また、任意時点認証情報照合部32から返された利用者の照合結果を受け、認証失敗の場合には警告/再認証要求メッセージの表示や電源断など、情報表示の切り替えを情報表示部22に命令する。
入力装置40はアプリケーションの要求に応じて、データの入力、次の操作の選択・指示等を受け付け、アプリケーション連携部33にその情報を送る。
アプリケーション50は本認証システムを介して、実際に利用者がアクセスしたい情報を管理するアプリケーションプログラムである。本認証システムを銀行のATMに適用した場合にはアプリケーション50とは預金残高表示、預金引出し等々ATMで提供する本来の機能部分を指す。アプリケーション50はそのセキュリティポリシーに基づき、任意のタイミングで現時点でのシステム利用者の認証をアプリケーション連携部33に対して要求することが出来る。
図3は本システムの認証フローチャートである。図1のシステム構成ブロック図との対応で認証の流れを説明する。
初期認証用情報入力S101においては初期認証用情報入力部11で利用者から入力される初期認証用情報を受け付ける。初期認証として本常時認証システムで使用する生体情報取得部21から得た生体情報を用いることも可能であるが、予め登録しておいた生体認証情報との照合では環境や体調の変化により登録時の情報と認証を行った時の情報に相違があるのが通常である。そのため認証が誤認識により失敗する場合がある。誤認識率を下げるためには認証強度を落とす必要があるため、予め登録した生体認証情報との照合による生体認証単体では認証強度が十分でない。そこで初期認証に生体認証を用いる場合にはパスワードやICカード等の他の認証方式を併せて使用することで認証強度を高める必要がある。
初期認証S102においては利用者から入力された初期認証用情報と予め初期認証用情報格納部13に格納されている認証情報を初期認証用情報照合部12で照合する。照合の結果予め登録された利用者と判定された場合にはアクセス開始時点生体情報取得・登録S103を行い、不正な利用者と判定された場合には認証失敗回数判定S104を行う。
アクセス開始時点生体情報取得・登録S103においては初期認証S102を合格した利用者について生体情報取得部21を通して利用者の目の生体情報を取得し、その情報をアクセス開始時点生体認証情報格納部31に格納する。
認証失敗回数判定S104においては初期認証S102で不合格となった回数をカウントし、その回数が規定した回数を下回る場合には再認証要請メッセージ出力S105を行い、規定回数を上回る場合にはログインを認めずシステムを終了(S112)する。
再認証要請メッセージ出力S105においては初期認証S102が失敗し、再度初期認証作業が必要である旨を情報表示部22に表示して利用者に再度認証作業をするように促す。
任意時点認証用生体情報取得S106においてはアプリケーション50が指定した時点でアプリケーション連携部33が生体情報取得部21に、その時点での利用者の生体情報を取得するように指示を出す。
任意時点認証S107においては任意の時点で生体情報取得部21によって取得された生体情報をアクセス開始時点生体認証情報格納部31に格納されたアクセス開始時点で取得した生体情報と照合し、判定が合格となった場合には情報の表示S108を行い、不合格となった場合には認証失敗回数判定S109を行う。
情報の表示S108においては、利用者が利用しているアプリケーション50の画面遷移仕様に応じて、それまでの情報を表示しつづけるか次の情報を表示する。表示する内容については利用するアプリケーションの仕様による。
認証失敗回数判定S109においては、任意時点認証において許容される認証失敗回数の判定を行う。ここで規定される許容認証失敗回数はアプリケーション50のセキュリティポリシーによる。またここで規定する許容失敗回数については初期認証における認証失敗回数判定S104と異なるポリシーで運用されて構わない。認証失敗回数が規定した回数を下回る場合には再認証要請メッセージ出力S110を行い、規定回数を上回る場合にはログインを認めずシステムを終了(S112)する。
再認証要請メッセージ出力S110においては任意時点認証S107が失敗し、再度任意時点認証作業が必要である旨を情報表示部22に表示して利用者に再度認証作業をするように促す。再度認証を行う際には生体情報取得部21を直視し、瞬きを我慢するようにといったメッセージを表示することで誤認証の確率を低減する。ここで表示するメッセージの内容、メッセージの伝達方法については初期認証における再認証要請メッセージ出力S105と異なる方法で運用されて構わない。
再認証要否判定S111においてはアプリケーション50の仕様と照らし合わせ、再認証が不要の場合にはアプリケーション50のログアウトと共に初期認証用認証情報入力(S101)から始まった本常時認証システムのセッションを終了(S112)する。再認証が必要な場合には任意時点認証用生体情報取得S106に戻り、再び任意時点での認証および情報の表示を繰り返す。 A description will be given by taking as an example a system in which a user performs operations based on information displayed on a monitor and receives necessary information. What is received may be an article other than information. Typically, a system that pulls out its own assets after being authenticated in a bank ATM is assumed as an application target.
A system apparatus configuration diagram of this system is shown in FIG. A user of this system receives information displayed on the information display unit 22 through the scope 20. Inside the scope 20, a biological information acquisition unit 21 such as a camera for acquiring biological information of the eye such as an iris among biological information that can identify the user is provided.
The scope 20 allows the user to see the information display unit 22 through the scope 20 to prevent peeping of information from the surroundings, and the eye position is fixed, so that the living body of the eye by the biological information acquisition unit 21 is fixed. Used for the purpose of facilitating the acquisition of information.
The biometric information acquisition unit 21 (camera or the like) receives a command from an application that presents requested information, acquires biometric information of a user's eyes looking into the scope at an arbitrary timing determined by the application, and the biometric information Is sent to the authentication and application execution server 1. The biometric information acquisition unit 21 is sufficiently small as compared with the information display unit 22 and does not hinder information browsing.
The information display unit 22 displays necessary information in response to a user request. On the other hand, if the user receives an instruction from the authentication and application execution server 1 and the user is determined to be inappropriate, the user immediately refuses access to further information, such as displaying a re-authentication request message or turning off the power. Perform operations according to the application security policy.
The input device 40 (keyboard or the like) is used for authentication and application input of the next operation to the application execution server 1 and data input as necessary.
The authentication and application execution server 1 performs user authentication at the timing required by the application in cooperation with the biometric information acquisition unit 21, the information display unit 22, and the input device 40, and the information display unit 22 based on the determination result. Control the display of information.
The method for performing authentication will be described with reference to FIG. FIG. 1 is a system configuration block diagram of this system.
The initial authentication subsystem 10 includes an initial authentication information input unit 11, an initial authentication information verification unit 12, and an initial authentication information storage unit 13. The initial authentication information input unit 11 receives initial authentication information such as a user ID, password, and IC card information necessary for the user to access the target system. The initial authentication information collation unit 12 collates the user authentication information stored in the initial authentication information storage unit 13 in advance with the input information to determine whether or not the user is the user. The initial authentication information storage unit 13 stores information for initial authentication registered in advance at the time of application for system use.
The scope 20 prevents a person other than the user of this system from peeping at information from the surroundings, and also has a function of fixing the eye position so that the user's eye biometric information can be easily acquired. A biological information acquisition unit 21 and an information display unit 22 are incorporated in the scope. The biometric information acquisition unit 21 has a role of capturing the eyes of a user looking through the scope and acquiring biometric information of the eye such as an iris. The information display unit 22 displays information requested by the user and information desired to be presented to the user on the application side to be used. If it is determined that the user is not a correct user in this authentication system, the display is changed according to the security policy of the application 50 such as the display of a warning / re-authentication request message or the power-off.
The arbitrary time point authentication system 30 includes an access start time biometric authentication information storage unit 31, an arbitrary time point authentication information verification unit 32, and an application cooperation unit 33. If it is determined by the initial authentication information matching unit 12 that the user is registered in advance, the biometric information at that time is acquired and stored in the access start time biometric information storage unit 31 at the initial stage of system use. .
The access start time biometric information storage unit 31 needs to have biometric information data at that time each time a new login is made to the system. Therefore, when a user who has used this system at least once in the past logs in again, the biometric information data acquired in the past is overwritten.
The arbitrary time point authentication information matching unit 32 receives the biometric information at an arbitrary time acquired by the biometric information acquisition unit 21 that has received the information acquisition instruction from the application cooperation unit 33, and is stored in the access start time biometric information storage unit 31. The biometric information at the start of access is collated, and the collation result is returned to the application cooperation unit 33.
The application cooperation unit 33 issues a biometric information acquisition instruction to the biometric information acquisition unit 21 at an arbitrary time point designated by the application 50. Further, the information display unit 22 switches the information display such as displaying a warning / re-authentication request message or powering off in the case of authentication failure in response to the user verification result returned from the arbitrary time authentication information verification unit 32. Command.
The input device 40 accepts data input, selection / instruction for the next operation, etc. in response to a request from the application, and sends the information to the application cooperation unit 33.
The application 50 is an application program that manages information that the user actually wants to access via the authentication system. When this authentication system is applied to a bank ATM, the application 50 refers to the original functional parts provided by the ATM, such as deposit balance display and deposit withdrawal. Based on the security policy, the application 50 can request the application cooperation unit 33 to authenticate the current system user at an arbitrary timing.
FIG. 3 is an authentication flowchart of this system. The flow of authentication will be described in correspondence with the system configuration block diagram of FIG.
In the initial authentication information input S101, the initial authentication information input unit 11 receives initial authentication information input from the user. Although it is possible to use biometric information obtained from the biometric information acquisition unit 21 used in the always-on authentication system as initial authentication, when matching with biometric information that has been registered in advance, registration may occur due to changes in the environment or physical condition. Usually, there is a difference between the information in the authentication and the information at the time of authentication. Therefore, authentication may fail due to misrecognition. Since it is necessary to reduce the authentication strength in order to reduce the misrecognition rate, the authentication strength is not sufficient with a single biometric authentication based on matching with previously registered biometric authentication information. Therefore, when biometric authentication is used for initial authentication, it is necessary to increase the authentication strength by using another authentication method such as a password or an IC card.
In the initial authentication S102, the initial authentication information collation unit 12 collates the initial authentication information input from the user with the authentication information stored in the initial authentication information storage unit 13 in advance. If it is determined that the user is registered in advance as a result of the collation, biometric information acquisition / registration S103 at the start of access is performed, and if it is determined that the user is an unauthorized user, authentication failure count determination S104 is performed.
In the access start time biometric information acquisition / registration S103, the user's eye biometric information is acquired through the biometric information acquisition unit 21 for the user who has passed the initial authentication S102, and the information is stored in the access start time biometric information storage unit 31. Store.
In the authentication failure frequency determination S104, the number of times of failure in the initial authentication S102 is counted. When the number of times is less than the specified number, the re-authentication request message output S105 is performed. If not, the system is terminated (S112).
In the re-authentication request message output S105, the initial authentication S102 fails and the information display unit 22 displays that the initial authentication work is necessary again to prompt the user to perform the authentication work again.
In the biometric information acquisition for arbitrary time authentication S106, the application cooperation unit 33 instructs the biometric information acquisition unit 21 to acquire the biometric information of the user at that time when the application 50 designates.
In the arbitrary time point authentication S107, the biometric information acquired by the biometric information acquisition unit 21 at an arbitrary time point is compared with the biometric information acquired at the access start time stored in the access start time biometric authentication information storage unit 31, and the determination is passed. If it becomes, information display S108 is performed, and if it fails, authentication failure frequency determination S109 is performed.
In the information display S108, according to the screen transition specification of the application 50 used by the user, the information until then is displayed or the next information is displayed. The contents to be displayed depend on the specifications of the application to be used.
In the authentication failure frequency determination S109, a determination is made of the number of authentication failures allowed in the arbitrary time point authentication. The number of allowable authentication failures specified here depends on the security policy of the application 50. Further, the allowable failure count specified here may be operated by a policy different from the authentication failure count determination S104 in the initial authentication. If the number of authentication failures is less than the specified number, a re-authentication request message output S110 is performed. If the number of authentication failures exceeds the specified number, login is not permitted and the system is terminated (S112).
In the re-authentication request message output S110, the arbitrary point-in-time authentication S107 fails, and the information display unit 22 displays that the arbitrary point-in-time authentication is necessary again to prompt the user to perform the authentication again. When authentication is performed again, the biological information acquisition unit 21 is directly viewed, and a message such as enduring blinking is displayed to reduce the probability of erroneous authentication. The message content displayed here and the message transmission method may be operated in a different method from the re-authentication request message output S105 in the initial authentication.
In the re-authentication necessity determination S111, the specification of the application 50 is checked. If re-authentication is not necessary, the session of the always-on authentication system that started from the authentication information input for initial authentication (S101) is terminated together with the log-out of the application 50 ( S112). If re-authentication is necessary, the process returns to the biometric information acquisition S106 for arbitrary time point authentication, and the authentication and information display at the arbitrary time point are repeated again.

本願認証システムにおける、システム構成ブロック図System configuration block diagram in the authentication system of the present application 本願認証システムにおける、システム装置構成図System device configuration diagram in the present application authentication system 本願認証システムにおける、常時認証手順を示すフローチャートFlowchart showing a continuous authentication procedure in the present application authentication system

符号の説明Explanation of symbols

10:初期認証サブシステム
11:初期認証用情報入力部
12:初期認証用情報照合部
13:初期認証用情報格納部
20:スコープ
21:生体情報取得部
22:情報表示部
30:任意時点認証システム
31:アクセス開始時点生体認証情報格納部
32:任意時点認証情報照合部
33:アプリケーション連携部
10: Initial authentication subsystem 11: Initial authentication information input unit 12: Initial authentication information collation unit 13: Initial authentication information storage unit 20: Scope 21: Biometric information acquisition unit 22: Information display unit 30: Arbitrary point authentication system 31: Access start time biometric authentication information storage unit 32: Arbitrary time authentication information collation unit 33: Application cooperation unit

Claims (1)

最初の情報アクセス時点に利用者認証を行う、初期認証用情報入力部、初期認証用情報格納部、および初期認証用情報照合部からなる初期認証サブシステムと、
周囲からの覗き見を防ぎ、また利用者の目の位置を固定するスコープの中に設置され、利用者の負担なくその時点での生体情報を取得する生体情報取得部、利用者に情報を表示する情報表示部と、
アクセスを開始した時点での生体情報を格納しておくアクセス開始時生体情報格納部、任意の時点に取得した生体情報をアクセス開始時点生体情報と比較して同一者であるかを判定する任意時点認証情報照合部、および任意時点の認証結果をもとに利用者が利用しているアプリケーションからの要求を制御するアプリケーション連携部からなる任意時点認証システム
とを備え、利用者の負担なく認証強度の高い常時認証を実現可能とすることを特徴とする生体認証を用いた認証方式。
An initial authentication subsystem comprising an initial authentication information input unit, an initial authentication information storage unit, and an initial authentication information verification unit, which performs user authentication at the time of first information access;
A biometric information acquisition unit that is installed in a scope that prevents peeping from the surroundings and also fixes the position of the user's eyes and displays the current biometric information without burdening the user, and displays information to the user An information display section to
An access start biometric information storage unit for storing biometric information at the start of access, an arbitrary time to determine whether the same person is compared by comparing the biometric information acquired at an arbitrary time with the access start biometric information It is equipped with an authentication information verification unit and an arbitrary point authentication system consisting of an application linkage unit that controls requests from applications used by users based on the authentication results at arbitrary points in time. An authentication method using biometric authentication, characterized in that high constant authentication can be realized.
JP2004349260A 2004-12-02 2004-12-02 Authentication method using biometric authentication Pending JP2006163453A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004349260A JP2006163453A (en) 2004-12-02 2004-12-02 Authentication method using biometric authentication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004349260A JP2006163453A (en) 2004-12-02 2004-12-02 Authentication method using biometric authentication

Publications (1)

Publication Number Publication Date
JP2006163453A true JP2006163453A (en) 2006-06-22

Family

ID=36665442

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004349260A Pending JP2006163453A (en) 2004-12-02 2004-12-02 Authentication method using biometric authentication

Country Status (1)

Country Link
JP (1) JP2006163453A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008009981A (en) * 2006-06-28 2008-01-17 Beijing Feitian Technologies Co Ltd Method and device for realizing protection of starting computer
JP2009032032A (en) * 2007-07-27 2009-02-12 Hitachi Ltd Supervisory control system
JP2015103198A (en) * 2013-11-28 2015-06-04 キヤノンマーケティングジャパン株式会社 Information processing device, information processing method, and program
JP2015228231A (en) * 2015-07-10 2015-12-17 カシオ計算機株式会社 User identification device and program
WO2016140376A1 (en) * 2015-03-02 2016-09-09 계명대학교 산학협력단 Authorization method using biological signal and health management system thereby

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001297322A (en) * 2000-04-12 2001-10-26 Oki Electric Ind Co Ltd Guide unit
JP2003067339A (en) * 2001-08-27 2003-03-07 Mitsubishi Electric Corp Login individual authentication method, login individual authentication device and recording medium
JP2004318501A (en) * 2003-04-16 2004-11-11 Victor Co Of Japan Ltd Figure authentication system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001297322A (en) * 2000-04-12 2001-10-26 Oki Electric Ind Co Ltd Guide unit
JP2003067339A (en) * 2001-08-27 2003-03-07 Mitsubishi Electric Corp Login individual authentication method, login individual authentication device and recording medium
JP2004318501A (en) * 2003-04-16 2004-11-11 Victor Co Of Japan Ltd Figure authentication system

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008009981A (en) * 2006-06-28 2008-01-17 Beijing Feitian Technologies Co Ltd Method and device for realizing protection of starting computer
JP2009032032A (en) * 2007-07-27 2009-02-12 Hitachi Ltd Supervisory control system
JP2015103198A (en) * 2013-11-28 2015-06-04 キヤノンマーケティングジャパン株式会社 Information processing device, information processing method, and program
WO2016140376A1 (en) * 2015-03-02 2016-09-09 계명대학교 산학협력단 Authorization method using biological signal and health management system thereby
JP2015228231A (en) * 2015-07-10 2015-12-17 カシオ計算機株式会社 User identification device and program

Similar Documents

Publication Publication Date Title
EP0935221B1 (en) Remote authentication system
EP2240912B1 (en) Systems and methods for accessing a tamperproof storage device in a wireless communication device using biometric data
EP1646254B1 (en) Identification and/or authentification method by means of fingerprints
US9400879B2 (en) Method and system for providing authentication through aggregate analysis of behavioral and time patterns
JP4799496B2 (en) Personal authentication method
JP3967914B2 (en) Biometrics authentication system and method
JP2010092122A (en) Authentication system, biometrics authentication device, and biometrics authentication method
US12124547B2 (en) Authentication device and authentication method
JP4860346B2 (en) Personal authentication system and method
EP3451216B1 (en) Multi-functional identification recognition system capable of recognizing the identity of users
JP2005202730A (en) Personal authentication apparatus, personal authentication method and passage control apparatus using biometric matching
CN101140599A (en) Biometric authentication system and method
JP2012048520A (en) Biometric authentication terminal device
JP4984838B2 (en) IC card, IC card control program
JP2003150557A (en) Automatic input method of information by biometric authentication, automatic input system and program for automatic input
JP2006163453A (en) Authentication method using biometric authentication
JP2005208993A (en) User authentication system
JP7004379B2 (en) Authentication device, authentication method, and authentication program
WO2010116471A1 (en) Biometric authentication device, biometric authentication method, and storage medium
JP6892950B1 (en) Authentication system, terminal equipment, program and authentication management communication system
KR20170061989A (en) Complex authentication apparatus using biometric information and touch pattern and method thereof
JP2011118561A (en) Personal identification device and personal identification method
JP2009031986A (en) Challenge & response type finger vein authentication system
JP2009157782A (en) Biometric authentication apparatus and biometric authentication method
JP2009169796A (en) System management device and security system

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20060425

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060914

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091222

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100420