Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6909188B2 - Biometric system and authentication server - Google Patents
[go: Go Back, main page]

JP6909188B2 - Biometric system and authentication server - Google Patents

Biometric system and authentication server Download PDF

Info

Publication number
JP6909188B2
JP6909188B2 JP2018133267A JP2018133267A JP6909188B2 JP 6909188 B2 JP6909188 B2 JP 6909188B2 JP 2018133267 A JP2018133267 A JP 2018133267A JP 2018133267 A JP2018133267 A JP 2018133267A JP 6909188 B2 JP6909188 B2 JP 6909188B2
Authority
JP
Japan
Prior art keywords
authentication
code
authentication code
unit
biometric data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018133267A
Other languages
Japanese (ja)
Other versions
JP2020013203A (en
Inventor
知道 小原
知道 小原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Frontech Ltd
Original Assignee
Fujitsu Frontech Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Frontech Ltd filed Critical Fujitsu Frontech Ltd
Priority to JP2018133267A priority Critical patent/JP6909188B2/en
Publication of JP2020013203A publication Critical patent/JP2020013203A/en
Application granted granted Critical
Publication of JP6909188B2 publication Critical patent/JP6909188B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Collating Specific Patterns (AREA)

Description

本発明は、生体認証システムおよび認証サーバに関する。 The present invention relates to a biometric authentication system and an authentication server.

従来、金融機関などに広く普及して用いられているATM(Automatic Teller Machine)などの自動取引装置や金融機関の窓口端末において、本人確認のため生体センサで読み取った生体データに基づき生体認証を行っている。 Biometric authentication is performed based on biometric data read by a biometric sensor to verify the identity of an automated teller machine (ATM) or other automatic teller machine that has been widely used in financial institutions. ing.

たとえば、利用者の生体データを取得し、取得した生体データとサーバのデータベースに格納した生体データとを比較して生体認証を行うATMの発明が提案されている(たとえば、特許文献1参照)。 For example, an invention of an ATM has been proposed in which biometric data of a user is acquired and the acquired biometric data is compared with the biometric data stored in a database of a server to perform biometric authentication (see, for example, Patent Document 1).

特開2012−234400号公報Japanese Unexamined Patent Publication No. 2012-234400

しかしながら、生体センサ等により取得した利用者の生体データがネットワーク等を通じてATMとサーバ間で送受信された場合には、悪意の第三者によるネットワークの盗聴により生体データが漏えいする場合も考えられる。生体データは通常暗号化されてから通信されるが、万が一、生体データが漏えいして生体データにかけていた暗号が解読され復号されると生体データが不正利用される可能性がある。 However, when the user's biometric data acquired by the biometric sensor or the like is transmitted and received between the ATM and the server via the network or the like, the biometric data may be leaked by eavesdropping on the network by a malicious third party. The biometric data is usually encrypted before communication, but if the biometric data leaks and the code applied to the biometric data is decrypted and decrypted, the biometric data may be misused.

本発明は、上述課題に鑑み、生体認証における生体データ漏えい時の不正利用を防止すること目的とする。 In view of the above problems, an object of the present invention is to prevent unauthorized use when biometric data is leaked in biometric authentication.

上述目的を達成するために、本発明は、クライアント端末と、認証サーバ間とで生体認証を行う生体認証システムであって、前記認証サーバは、前記クライアント端末から認証要求を受け付けると、前記クライアント端末の利用者の生体データに埋め込むための認証コードを生成する認証コード生成部と、前記生体データに対し前記認証コードを埋め込む位置を指示するコードマップ情報を生成するコードマップ情報生成部と、前記生成した認証コードおよびコードマップ情報を前記クライアント端末へ送信する認証サーバ送受信部と、を備え、前記クライアント端末は、生体センサを通じて前記クライアント端末の利用者の生体データを取得する生体データ取得部と、前記認証サーバから送信されたコードマップ情報に指示された位置に基づいて、取得した前記利用者の生体データに対し前記認証コードを埋め込んでコード埋込データを生成する埋込データ生成部と、前記生成したコード埋込データを前記認証サーバへ送信するクライアント端末送受信部と、を備え、前記認証サーバは、前記生成したコード埋込データから、前記生成したコードマップ情報に指示された位置に基づいて前記認証コードを取出す認証コード取出し部と、前記認証コード取出し部により前記コード埋込データから前記認証コードを取り出した前記生体データと、予め前記認証サーバに格納されている前記利用者の生体データとを照合する生体データ照合部と、を備えることを特徴とする。 In order to achieve the above object, the present invention is a biometric authentication system that performs biometric authentication between a client terminal and an authentication server. When the authentication server receives an authentication request from the client terminal, the client terminal An authentication code generation unit that generates an authentication code for embedding in the biometric data of the user, a code map information generation unit that generates code map information that indicates a position to embed the authentication code in the biometric data, and the generation. The client terminal includes a biometric data acquisition unit that acquires biometric data of a user of the client terminal through a biometric sensor, and a biometric data acquisition unit that transmits the authentication code and code map information to the client terminal. An embedded data generator that embeds the authentication code in the acquired biometric data of the user to generate code embedded data based on the position instructed in the code map information transmitted from the authentication server, and the generation. The authentication server includes a client terminal transmission / reception unit that transmits the code-embedded data to the authentication server, and the authentication server is based on the position instructed in the generated code map information from the generated code-embedded data. The authentication code extraction unit for extracting the authentication code, the biometric data for which the authentication code is extracted from the code embedded data by the authentication code extraction unit, and the biometric data of the user stored in the authentication server in advance. It is characterized by including a biological data collation unit for collation.

また、本発明は、クライアント端末からの認証要求に応じて生体認証を行う認証サーバであって、前記認証サーバは、前記クライアント端末から認証要求を受け付けると、前記クライアント端末の利用者の生体データに埋め込むための認証コードを生成する認証コード生成部と、前記生体データに対し前記認証コードを埋め込む位置を指示するコードマップ情報を生成するコードマップ情報生成部と、前記生成した認証コードおよびコードマップ情報を前記クライアント端末へ送信する認証サーバ送受信部と、前記クライアント端末により、前記コードマップ情報に指示された位置に基づいて利用者から取得された生体データに対し前記認証コードを埋め込んで生成されたコード埋込データから、前記生成したコードマップ情報に指示された位置に基づいて前記認証コードを取出す認証コード取出し部と、前記認証コード取出し部により前記コード埋込データから前記認証コードを取り出した前記生体データと、予め格納されている前記利用者の生体データとを照合する生体データ照合部と、を備えることを特徴とする。 Further, the present invention is an authentication server that performs biometric authentication in response to an authentication request from a client terminal, and when the authentication server receives an authentication request from the client terminal, the biometric data of the user of the client terminal is used. An authentication code generator that generates an authentication code for embedding, a code map information generator that generates code map information that indicates a position to embed the authentication code in the biometric data, and the generated authentication code and code map information. The code generated by embedding the authentication code in the biometric data acquired from the user based on the position instructed in the code map information by the authentication server transmission / reception unit that transmits the data to the client terminal and the client terminal. An authentication code extraction unit that extracts the authentication code from the embedded data based on the position instructed by the generated code map information, and the living body that extracts the authentication code from the code embedded data by the authentication code extraction unit. It is characterized by including a biometric data collation unit that collates the data with the biometric data of the user stored in advance.

本発明によれば、生体認証における生体データ漏えい時の不正利用を防止することができる。 According to the present invention, it is possible to prevent unauthorized use when biometric data is leaked in biometric authentication.

本実施形態にかかる生体認証システム100の一例を示す図である。It is a figure which shows an example of the biometric authentication system 100 which concerns on this embodiment. ATM1のハードウェア構成の一例を示すブロック図である。It is a block diagram which shows an example of the hardware configuration of ATM1. 認証サーバ2のハードウェア構成の一例を示すブロック図である。It is a block diagram which shows an example of the hardware configuration of the authentication server 2. 認証サーバ2の記憶部21に格納されている各種テーブルの一例を示す図である。It is a figure which shows an example of various tables stored in the storage part 21 of an authentication server 2. ホストサーバ3のハードウェア構成の一例を示すブロック図である。It is a block diagram which shows an example of the hardware configuration of a host server 3. 本実施形態に係る生体認証システム100を構成するATM1、認証サーバ2の機能構成の一例を示す図である。It is a figure which shows an example of the functional structure of the ATM 1 and the authentication server 2 which make up the biometric authentication system 100 which concerns on this embodiment. 認証サーバ2が処理する各種情報の一例を示す図である。It is a figure which shows an example of various information processed by an authentication server 2. コードマップ情報に基づいて、生体データに認証コードを埋め込んでコード埋込データを生成する一例を示す図である。It is a figure which shows an example which embeds the authentication code in the biometric data, and generates the code embedding data based on the code map information. コードマップ情報に基づいて、コード埋込データから認証コードを取り出して生体データを復号する一例を示す図である。It is a figure which shows an example which extracts the authentication code from the code embedding data and decodes the biological data based on the code map information. ATM1と認証サーバ2とが実行する生体認証処理の一例を示すシーケンスチャートである。It is a sequence chart which shows an example of the biometric authentication processing executed by ATM 1 and authentication server 2. 認証コード生成処理の一例を示すフローチャートである。It is a flowchart which shows an example of the authentication code generation process. コードマップ情報生成処理の一例を示すフローチャートである。It is a flowchart which shows an example of the code map information generation processing. ATM1とホストサーバ3とが実行する取引処理の一例を示すシーケンスチャートである。It is a sequence chart which shows an example of the transaction processing executed by ATM 1 and host server 3.

以下、本発明の実施形態について、詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail.

図1は、本実施形態にかかる生体認証システム100の一例を示す図である。図1に示すように、生体認証システム100は、ATM1、認証サーバ2、ホストサーバ3を有する。これらの各部は専用線やVPN(Virtual Private Network)などの閉域網のネットワークNを介して、互いが通信可能に接続される。生体認証システム100は、図1に示していない他の装置やサーバを備えていてもよい。 FIG. 1 is a diagram showing an example of the biometric authentication system 100 according to the present embodiment. As shown in FIG. 1, the biometric authentication system 100 includes an ATM 1, an authentication server 2, and a host server 3. Each of these parts is communicably connected to each other via a closed network network N such as a dedicated line or VPN (Virtual Private Network). The biometric authentication system 100 may include other devices and servers not shown in FIG.

ATM1は、生体データを用いて、入金、出金、振込や残高照会などの各種取引を実行する装置である。このATM1は、現金自動預払機とも呼ばれる。なお、ATM1は認証サーバ2との間で生体認証を行うクライアント端末の一例である。以下の説明においては、認証サーバ2との間で生体認証を行うクライアント端末を代表してATM1を用いて説明を行う。なお、本実施形態においては、ATM1は、クライアント端末の一例として説明しているがこれに限られるものではない。たとえば、生体認証を必要とする端末であればよく、金融機関で用いられる店舗の窓口端末、可搬可能な渉外端末や、流通店舗で用いられるPOS、可搬可能なモバイルPOS、キオスク端末等であってもよい。なお、本実施形態においては、ATM1は、MSデータやICチップを備えるカードは特に必要としない。 The ATM1 is a device that executes various transactions such as deposits, withdrawals, transfers, and balance inquiries using biometric data. This ATM1 is also called an automatic teller machine. The ATM 1 is an example of a client terminal that performs biometric authentication with the authentication server 2. In the following description, the ATM 1 will be used on behalf of the client terminal that performs biometric authentication with the authentication server 2. In the present embodiment, the ATM 1 is described as an example of the client terminal, but the present invention is not limited to this. For example, any terminal that requires biometric authentication may be used, such as a store counter terminal used by a financial institution, a portable public relations terminal, a POS used in a distribution store, a portable mobile POS, a kiosk terminal, or the like. There may be. In this embodiment, the ATM1 does not particularly need a card provided with MS data or an IC chip.

図2は、ATM1のハードウェア構成の一例を示すブロック図である。ATM1は、ATM制御部10、記憶部11、表示部12、入力部13、生体センサ14、紙幣処理部15、硬貨処理部16、および通信部17を有する。また、ATM1は、図2に示していない他の回路構成を備えていてもよい。 FIG. 2 is a block diagram showing an example of the hardware configuration of ATM1. The ATM 1 includes an ATM control unit 10, a storage unit 11, a display unit 12, an input unit 13, a biosensor 14, a bill processing unit 15, a coin processing unit 16, and a communication unit 17. Further, the ATM 1 may have other circuit configurations not shown in FIG.

ATM制御部10は、ATM1全体を統括的に制御するもので、プログラムを読込んで制御処理を実行するCPU(Central Processing Unit)(不図示)を有する。記憶部11は、RAM(Random Access Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)などを有する。記憶部11は、ATM制御部10が実行するプログラム、表示画面データ、その他各種データを記憶する。また、記憶部11は、ATM制御部10がプログラムを実行する際の作業領域を提供する。 The ATM control unit 10 controls the entire ATM 1 in an integrated manner, and has a CPU (Central Processing Unit) (not shown) that reads a program and executes control processing. The storage unit 11 includes a RAM (Random Access Memory), a ROM (Read Only Memory), an HDD (Hard Disk Drive), and the like. The storage unit 11 stores a program executed by the ATM control unit 10, display screen data, and various other data. Further, the storage unit 11 provides a work area when the ATM control unit 10 executes a program.

表示部12は、たとえばLCD(Liquid Crystal Display)であって、ATM制御部10の指示により、ATM1の利用者に対して操作画面、表示画面、メニュー画面あるいは操作指示用のガイド画面などを表示する。入力部13は、表示部12と一体化したタッチパネルで、利用者により、取引の種類の選択、振込先、振込元、振込金額、暗証番号、入金・出金の金額などが入力され、入力された情報はATM制御部10に通知される。 The display unit 12 is, for example, an LCD (Liquid Crystal Display), and displays an operation screen, a display screen, a menu screen, a guide screen for operation instructions, or the like to the user of the ATM 1 according to an instruction from the ATM control unit 10. .. The input unit 13 is a touch panel integrated with the display unit 12, and the user inputs and inputs the transaction type selection, transfer destination, transfer source, transfer amount, PIN, deposit / withdrawal amount, and the like. The information is notified to the ATM control unit 10.

生体センサ14は、ATM制御部10の制御のもと、生体認証を行う利用者の生体情報を読み取り、生体データを生成する。ATM制御部10は、生体センサ14により生成された生体データに基づいて認証処理を行う。本実施形態においては、生体センサ14は、利用者の手のひら静脈により生体データを生成する手のひら静脈センサにより構成される。生体センサ14は、たとえば、ATM1筐体の表示部12近傍などに設けられている。上述の実施形態においては、生体センサ14は、手のひら静脈センサにより構成されているがこの限りではなく、たとえば、顔認証センサ、虹彩認証センサ、指紋認証センサ等であってもよい。 Under the control of the ATM control unit 10, the biosensor 14 reads the biometric information of the user who performs biometric authentication and generates biometric data. The ATM control unit 10 performs an authentication process based on the biometric data generated by the biosensor 14. In the present embodiment, the biosensor 14 is composed of a palm vein sensor that generates biometric data from the palm vein of the user. The biosensor 14 is provided, for example, in the vicinity of the display unit 12 of the ATM1 housing. In the above-described embodiment, the biometric sensor 14 is composed of a palm vein sensor, but is not limited to this, and may be, for example, a face authentication sensor, an iris authentication sensor, a fingerprint authentication sensor, or the like.

紙幣処理部15は、紙幣を一時的に格納する一時保留部と、紙幣の真偽などを鑑別する紙幣鑑別部と、紙幣を種類別に格納する紙幣スタッカと、紙幣入出口のシャッタ解放後に取り忘れた紙幣を保管する紙幣取り忘れボックスと、紙幣入出口と一時保留部と紙幣鑑別部や紙幣スタッカおよび紙幣取り忘れボックス間で紙幣を搬送する搬送路などを有する。紙幣処理部15は、紙幣スタッカ内の紙幣の量を検知する紙幣量センサを有し、紙幣処理部15は、紙幣量センサにより紙幣スタッカ内の紙幣の量を検知してATM制御部10に通知する。 The banknote processing unit 15 has a temporary holding unit for temporarily storing banknotes, a banknote discrimination unit for discriminating the authenticity of banknotes, a banknote stacker for storing banknotes by type, and a forgotten removal after releasing the shutter of the banknote inlet / outlet. It has a bill forgotten box for storing bills, a bill inlet / outlet, a temporary holding section, a bill discrimination section, a bill stacker, and a transport path for transporting bills between the bill forgotten box. The bill processing unit 15 has a bill amount sensor that detects the amount of bills in the bill stacker, and the bill processing unit 15 detects the amount of bills in the bill stacker by the bill amount sensor and notifies the ATM control unit 10. do.

硬貨処理部16は、硬貨の真偽などを鑑別する硬貨鑑別部と、硬貨を種類別に格納する硬貨スタッカと、硬貨入出口のシャッタ解放後に取り忘れた硬貨を保管する硬貨取り忘れボックスと、硬貨入出口と硬貨鑑別部や硬貨スタッカおよび硬貨取り忘れボックス間で硬貨を搬送する搬送路などを有する。硬貨処理部16は、硬貨スタッカ内の硬貨の量を検知する硬貨量センサを有し、硬貨処理部16は、硬貨量センサにより硬貨スタッカ内の硬貨の量を検知してATM制御部10に通知する。 The coin processing unit 16 includes a coin discrimination unit that discriminates the authenticity of coins, a coin stacker that stores coins by type, a coin forgetting box that stores coins that have been forgotten after the shutter of the coin inlet / outlet is released, and coins. It has an entrance / exit, a coin discrimination unit, a coin stacker, and a transport path for transporting coins between a coin forgetting box. The coin processing unit 16 has a coin amount sensor that detects the amount of coins in the coin stacker, and the coin processing unit 16 detects the amount of coins in the coin stacker by the coin amount sensor and notifies the ATM control unit 10. do.

出金処理時には、紙幣処理部15および硬貨処理部16は、ATM制御部10からの指示により、必要な紙幣や硬貨を計数して紙幣スタッカや硬貨スタッカから取出し、紙幣入出口や硬貨入出口まで搬送し、搬送後に紙幣入出口や硬貨入出口のシャッタを開放する。紙幣取り忘れボックスおよび硬貨取り忘れボックスを合わせて媒体保管庫とも呼ぶ。通信部17は、ネットワークNを通じてATM1と認証サーバ2またはホストサーバ3間のデータ(電文)の授受を行う。 At the time of withdrawal processing, the banknote processing unit 15 and the coin processing unit 16 count the necessary banknotes and coins and take them out from the banknote stacker and coin stacker according to the instruction from the ATM control unit 10, and reach the banknote inlet / outlet and coin inlet / outlet. Transport, and after transport, open the shutters of the bill inlet / outlet and coin inlet / outlet. The box for forgetting to pick up banknotes and the box for forgetting to pick up coins are also called a medium storage. The communication unit 17 exchanges data (telegram) between the ATM 1 and the authentication server 2 or the host server 3 through the network N.

図3は、認証サーバ2のハードウェア構成の一例を示すブロック図である。認証サーバ2は、認証サーバ制御部20、記憶部21、表示部22、入力部23および通信部24を有する。また、認証サーバ2は、図3に示していない他の回路構成を備えていてもよい。 FIG. 3 is a block diagram showing an example of the hardware configuration of the authentication server 2. The authentication server 2 includes an authentication server control unit 20, a storage unit 21, a display unit 22, an input unit 23, and a communication unit 24. Further, the authentication server 2 may have other circuit configurations not shown in FIG.

認証サーバ制御部20は、認証サーバ2全体を統括的に制御するもので、プログラムを読込んで制御処理を実行するCPUを有する。記憶部21は、RAM、ROM、HDDなどを有する。記憶部21は、認証サーバ制御部20が実行するプログラム、表示画面データ、その他各種データを記憶する。また、記憶部21は、認証サーバ制御部20がプログラムを実行する際の作業領域を提供する。また、記憶部21は、認証コード管理テーブル211、生体データ管理テーブル212、認証コード用メモリ領域213、コードマップ情報用メモリ領域214を有する。認証コード管理テーブル211、生体データ管理テーブル212、認証コード用メモリ領域213、コードマップ情報用メモリ領域214については後述する。また、記憶部21は、図3に示していない他のデータ等を備えていてもよい。 The authentication server control unit 20 controls the entire authentication server 2 in an integrated manner, and has a CPU that reads a program and executes control processing. The storage unit 21 has a RAM, a ROM, an HDD, and the like. The storage unit 21 stores a program executed by the authentication server control unit 20, display screen data, and various other data. In addition, the storage unit 21 provides a work area when the authentication server control unit 20 executes a program. Further, the storage unit 21 has an authentication code management table 211, a biometric data management table 212, an authentication code memory area 213, and a code map information memory area 214. The authentication code management table 211, the biometric data management table 212, the authentication code memory area 213, and the code map information memory area 214 will be described later. Further, the storage unit 21 may include other data or the like not shown in FIG.

表示部22は、例えばLCD等のディスプレイであり、認証サーバ制御部20の制御のもとで表示画面の表示を行う。入力部23は、例えばキーボード、マウス等の入力インターフェースであり、認証サーバ2の操作者の操作入力を受け付ける。通信部24は、認証サーバ制御部20の制御のもと、生体認証システムの閉域網を介した通信を行う。 The display unit 22 is, for example, a display such as an LCD, and displays the display screen under the control of the authentication server control unit 20. The input unit 23 is an input interface such as a keyboard and a mouse, and receives an operation input of an operator of the authentication server 2. The communication unit 24 communicates via the closed network of the biometric authentication system under the control of the authentication server control unit 20.

図4は、認証サーバ2の記憶部21に格納されている各種テーブルの一例を示す図である。図4(A)は、認証コード管理テーブル211の一例を示す図である。 FIG. 4 is a diagram showing an example of various tables stored in the storage unit 21 of the authentication server 2. FIG. 4A is a diagram showing an example of the authentication code management table 211.

認証コード管理テーブル211には、認証コード管理番号ごとに、コードマップ情報、認証コード、認証コード有効期限の情報が格納されている。 The authentication code management table 211 stores code map information, an authentication code, and authentication code expiration date information for each authentication code management number.

認証コード管理番号は、各生体認証処理を一意に識別できるユニークな番号により構成される。本実施形態においては、認証コード管理番号は、ATM1の店番と、ATM1の装置番号の情報により構成される。店番は、ATM1が配置されている金融機関の支店を特定する番号である。装置番号は、支店内に配置されているATM1を特定する番号である。各ATM1は、店番と固有の装置番号の情報を有する。たとえば、店番が「001」で、装置番号が「001」のATM1の認証コード管理番号は、「001001」となる。 The authentication code management number is composed of a unique number that can uniquely identify each biometric authentication process. In the present embodiment, the authentication code management number is composed of information on the store number of ATM1 and the device number of ATM1. The store number is a number that identifies the branch office of the financial institution where ATM1 is located. The device number is a number that identifies the ATM1 located in the branch office. Each ATM1 has information on a store number and a unique device number. For example, the authentication code management number of the ATM1 whose store number is "001" and whose device number is "001" is "001001".

コードマップ情報は、生体データに対し認証コードを埋め込む位置を指示する情報である。コードマップ情報は、コードマップ情報生成処理においてランダムに生成される。認証コードは、生体データに対し埋め込むためのダミーデータの情報である。認証コードのダミーデータは認証コード生成処理においてランダムに生成される。コードマップ情報を生成する方法および認証コードを生成する方法については後述する。認証コード有効期限は、各認証コードが有効な期限を示す情報である。認証コード有効期限は、たとえば、YYYY/MM/DD hh:mm:ssの形式で認証コード生成時に生成される。たとえば、認証コード生成時より10分後の日時が認証コード有効期限として生成される。認証コード管理番号に紐付いたコードマップ情報、認証コード、認証コード有効期限の情報は、一つの生体認証処理が終了すると消去される。認証コード管理テーブル211は、図4(A)に示していない他の項目を備えていてもよい。 The code map information is information that indicates the position where the authentication code is embedded in the biometric data. The code map information is randomly generated in the code map information generation process. The authentication code is dummy data information for embedding in biometric data. The dummy data of the authentication code is randomly generated in the authentication code generation process. The method of generating the code map information and the method of generating the authentication code will be described later. The authentication code expiration date is information indicating the expiration date of each authentication code. The authentication code expiration date is generated when the authentication code is generated in the format of YYYY / MM / DD hh: mm: ss, for example. For example, the date and time 10 minutes after the authentication code is generated is generated as the authentication code expiration date. The code map information, the authentication code, and the authentication code expiration date information associated with the authentication code management number are deleted when one biometric authentication process is completed. The authentication code management table 211 may include other items not shown in FIG. 4 (A).

図4(B)は、生体データ管理テーブル212の一例を示す図である。生体データ管理テーブル212には、認証処理の絞込情報ごとに、生体データ、口座情報が格納されている。認証処理の絞込情報は、生体データと口座番号とを紐付けて一意に識別できるユニークな番号により構成される。たとえば、認証処理の絞込情報は利用者に紐付く情報であればよく、たとえば、利用者の生年月日や電話番号などである。 FIG. 4B is a diagram showing an example of the biological data management table 212. In the biometric data management table 212, biometric data and account information are stored for each narrowing down information of the authentication process. The narrowing down information of the authentication process is composed of a unique number that can be uniquely identified by associating the biometric data with the account number. For example, the narrowing down information of the authentication process may be any information associated with the user, such as the date of birth or the telephone number of the user.

生体データは、予め生体センサ14等を用いて取得した、口座情報に対応する利用者の生体情報である。口座情報は、生体データに対応する利用者の銀行カードの口座番号、科目、店番等を含む利用者の銀行口座の情報である。生体データ管理テーブル212は、図4(B)に示していない他の項目を備えていてもよい。 The biometric data is the biometric information of the user corresponding to the account information acquired in advance using the biometric sensor 14 or the like. The account information is the information of the user's bank account including the account number, subject, store number, etc. of the user's bank card corresponding to the biometric data. The biological data management table 212 may include other items not shown in FIG. 4 (B).

図5は、ホストサーバ3のハードウェア構成の一例を示すブロック図である。図5に示すように、ホストサーバ3は、ホストサーバ制御部30、記憶部31、表示部32、入力部33、および通信部34を有する。また、ホストサーバ3は、図5に示していない他の回路要素を備えていてもよい。 FIG. 5 is a block diagram showing an example of the hardware configuration of the host server 3. As shown in FIG. 5, the host server 3 includes a host server control unit 30, a storage unit 31, a display unit 32, an input unit 33, and a communication unit 34. Further, the host server 3 may include other circuit elements not shown in FIG.

ホストサーバ制御部30は、CPUなどであり、記憶部31のROMやHDDなどに記憶されたプログラムを記憶部31のRAMに展開して順次実行することで、ホストサーバ3全体の動作を制御する。記憶部31は、RAM、ROM、HDDなどであり、ホストサーバ制御部30が実行するプログラム、各種設定情報などを記憶する。また、記憶部31には、勘定系金融取引に必要な口座情報、顧客情報等を格納した各種テーブルを格納する。 The host server control unit 30 is a CPU or the like, and controls the operation of the entire host server 3 by expanding the programs stored in the ROM or HDD of the storage unit 31 into the RAM of the storage unit 31 and sequentially executing them. .. The storage unit 31 is a RAM, ROM, HDD, or the like, and stores programs executed by the host server control unit 30, various setting information, and the like. Further, the storage unit 31 stores various tables in which account information, customer information, and the like necessary for accounting financial transactions are stored.

表示部32は、たとえばLCDなどのディスプレイであり、ホストサーバ制御部30の制御のもとで各種情報を画面表示する。入力部33は、たとえばキーボード、マウスなどの入力インターフェースであり、ホストサーバ3の操作者の操作入力を受け付ける。通信部34は、ホストサーバ制御部30の制御のもと、生体認証システムの閉域網を介した通信を行う。ホストサーバ3は、通信部34による通信を行うことで、生体認証システムのATM1との間でデータの送受信を行う。 The display unit 32 is a display such as an LCD, and displays various information on the screen under the control of the host server control unit 30. The input unit 33 is an input interface such as a keyboard and a mouse, and receives an operation input of an operator of the host server 3. The communication unit 34 communicates via the closed network of the biometric authentication system under the control of the host server control unit 30. The host server 3 transmits / receives data to / from the ATM 1 of the biometric authentication system by performing communication by the communication unit 34.

次に、本実施形態に係る生体認証システム100を構成するATM1、認証サーバ2の機能構成について説明する。なお、ホストサーバ3の機能構成については、公知のホストサーバと同様の機能構成であるため説明を省略する。図6は、本実施形態に係る生体認証システム100を構成するATM1、認証サーバ2の機能構成の一例を示す図である。ATM1のATM制御部10は、生体データ取得部101と、絞込情報受付部102と、クライアント端末送受信部103と、埋込データ生成部104と、を少なくとも有する。 Next, the functional configurations of the ATM 1 and the authentication server 2 constituting the biometric authentication system 100 according to the present embodiment will be described. The functional configuration of the host server 3 will be omitted because it has the same functional configuration as the known host server. FIG. 6 is a diagram showing an example of the functional configuration of the ATM 1 and the authentication server 2 constituting the biometric authentication system 100 according to the present embodiment. The ATM control unit 10 of the ATM 1 includes at least a biological data acquisition unit 101, a narrowing information reception unit 102, a client terminal transmission / reception unit 103, and an embedded data generation unit 104.

認証サーバ2の認証サーバ制御部20は、認証コード生成部201と、コードマップ情報生成部202と、認証サーバ送受信部203と、認証コード取出し部204と、認証コード検証部205と、有効期限検証部206と、生体データ照合部207と、を少なくとも有する。生体認証システム100は、図6に示していない他の機能構成を備えていてもよい。 The authentication server control unit 20 of the authentication server 2 includes an authentication code generation unit 201, a code map information generation unit 202, an authentication server transmission / reception unit 203, an authentication code extraction unit 204, an authentication code verification unit 205, and an expiration date verification. It has at least a unit 206 and a biometric data collation unit 207. The biometric authentication system 100 may have other functional configurations not shown in FIG.

生体データ取得部101は、利用者の認証要求を受け付けると、生体センサ14を通じてATM1の利用者の生体データを取得する。生体データのデータ形式については後述する。絞込情報受付部102は、利用者の入力部13に対する入力操作を通じて利用者の生体データを絞り込むための絞込情報を受け付ける。本実施形態においては、絞込情報は利用者の生年月日の情報であるがこれに限られず、利用者の電話番号であってもよい。 When the biometric data acquisition unit 101 receives the user's authentication request, the biometric data acquisition unit 101 acquires the biometric data of the user of ATM1 through the biosensor 14. The data format of biometric data will be described later. The narrowing down information receiving unit 102 receives narrowing down information for narrowing down the biometric data of the user through an input operation to the user's input unit 13. In the present embodiment, the narrowing information is information on the date of birth of the user, but is not limited to this, and may be the telephone number of the user.

クライアント端末送受信部103は、利用者の認証要求を受け付けると、認証コード管理番号を含む認証要求電文を認証サーバ2へ送信する。たとえば、認証コード管理番号は、認証要求を行うATM1、すなわち、認証要求電文を送信するATM1を一意に識別できるデータである。本実施形態においては、認証コード管理番号は、ATM1の店番とATM1の装置番号とにより構成される。 When the client terminal transmission / reception unit 103 receives the user's authentication request, the client terminal transmission / reception unit 103 transmits an authentication request message including an authentication code management number to the authentication server 2. For example, the authentication code management number is data that can uniquely identify the ATM1 that makes an authentication request, that is, the ATM1 that transmits an authentication request telegram. In the present embodiment, the authentication code management number is composed of the store number of ATM1 and the device number of ATM1.

埋込データ生成部104は、認証要求電文に対する認証応答電文を受信すると、認証応答電文に含まれるコードマップ情報に基づいて、生体データ取得部101が取得した生体データに認証コードを埋め込んで認証コードが埋め込まれた生体データ(以下、「コード埋込データ」と称する)を生成する。コードマップ情報に基づいて、生体データに認証コードを埋め込んでコード埋込データを生成する方法については後述する。 When the embedded data generation unit 104 receives the authentication response message for the authentication request message, the embedded data generation unit 104 embeds the authentication code in the biometric data acquired by the biometric data acquisition unit 101 based on the code map information included in the authentication response message. Generates biometric data in which is embedded (hereinafter referred to as "code-embedded data"). The method of embedding the authentication code in the biometric data to generate the code embedded data based on the code map information will be described later.

クライアント端末送受信部103は、ATM1の店番とATM1の装置番号とにより生成した認証コード管理番号、絞込情報受付部102が受け付けた絞込情報および埋込データ生成部104が生成したコード埋込データを含む照合要求電文を認証サーバ2へ送信する。 The client terminal transmission / reception unit 103 has an authentication code management number generated by the store number of ATM1 and the device number of ATM1, the narrowing down information received by the narrowing down information receiving unit 102, and the code embedded data generated by the embedded data generating unit 104. A verification request message including the above is transmitted to the authentication server 2.

認証コード生成部201は、ATM1から送信された認証要求電文を受信すると、生体データに埋め込むための認証コードを生成する。また、認証コード生成部201は、認証コード有効期限を生成する。 Upon receiving the authentication request telegram transmitted from the ATM 1, the authentication code generation unit 201 generates an authentication code for embedding in the biometric data. In addition, the authentication code generation unit 201 generates an authentication code expiration date.

認証コード生成部201は、生成した認証コードおよび認証コード有効期限の情報を図4(A)の認証コード管理テーブル211に格納する。認証コードを生成する方法については後述する。 The authentication code generation unit 201 stores the generated authentication code and the authentication code expiration date information in the authentication code management table 211 of FIG. 4A. The method of generating the authentication code will be described later.

コードマップ情報生成部202は、ATM1から送信された認証要求電文を受信すると、生体データに対し認証コード生成部201が生成した認証コードを埋め込む位置を指示するコードマップ情報を生成する。コードマップ情報生成部202は、生成したコードマップ情報を図4(A)の認証コード管理テーブル211に格納する。コードマップ情報を生成する方法については後述する。 Upon receiving the authentication request telegram transmitted from the ATM 1, the code map information generation unit 202 generates code map information indicating a position in which the authentication code generated by the authentication code generation unit 201 is embedded in the biometric data. The code map information generation unit 202 stores the generated code map information in the authentication code management table 211 of FIG. 4 (A). The method of generating the code map information will be described later.

認証サーバ送受信部203は、認証コード生成部201が生成した認証コードおよびコードマップ情報生成部202が生成したコードマップ情報を含む認証応答電文をATM1へ送信する。認証コード取出し部204は、コードマップ情報生成部202が生成したコードマップ情報に基づいて、ATM1から送信された照合要求電文に含まれるコード埋込データから認証コードを取出して生体データを復号する。コード埋込データから認証コードを取り出して生体データを復号する方法については後述する。 The authentication server transmission / reception unit 203 transmits an authentication response message including the authentication code generated by the authentication code generation unit 201 and the code map information generated by the code map information generation unit 202 to the ATM1. Based on the code map information generated by the code map information generation unit 202, the authentication code extraction unit 204 extracts the authentication code from the code embedding data included in the verification request telegram transmitted from the ATM 1 and decodes the biometric data. The method of extracting the authentication code from the code embedded data and decoding the biometric data will be described later.

認証コード検証部205は、認証コード生成部201が生成した認証コードと、認証コード取出し部204が取り出した認証コードと、が一致するか否か検証する。認証コード生成部201が生成した認証コードと、認証コード取出し部204が取り出した認証コードと、が一致しない場合には、悪意の第三者によるなりすましや盗聴が行われていることが検証できる。 The authentication code verification unit 205 verifies whether or not the authentication code generated by the authentication code generation unit 201 and the authentication code taken out by the authentication code extraction unit 204 match. If the authentication code generated by the authentication code generation unit 201 and the authentication code extracted by the authentication code extraction unit 204 do not match, it can be verified that spoofing or eavesdropping by a malicious third party has been performed.

有効期限検証部206は、ATM1から送信された認証要求電文に含まれる認証コードが有効期限切れとなっていないか検証する。具体的には、有効期限検証部206は、認証要求電文に含まれる認証コードが図4(A)の認証コード管理テーブル211に格納されている認証コード有効期限を徒過していないか検証する。検証の結果、認証コード有効期限を徒過している場合には、悪意の第三者による盗聴が行われていることが疑われる。 The expiration date verification unit 206 verifies whether the authentication code included in the authentication request telegram transmitted from ATM1 has expired. Specifically, the expiration date verification unit 206 verifies whether the authentication code included in the authentication request message has passed the authentication code expiration date stored in the authentication code management table 211 of FIG. 4 (A). .. As a result of verification, if the authentication code has passed the expiration date, it is suspected that a malicious third party has been eavesdropping.

認証コード検証部205により認証コードが一致したことおよび有効期限検証部206により認証コードが有効期限切れとなっていないことを検証した場合には、生体データ照合部207は、生体データの照合を行う。具体的には、生体データ照合部207は、ATM1から送信された照合要求電文に含まれるコード埋込データから認証コードを取出した生体データと、図4(B)の生体データ管理テーブル212に格納されている生体データと、を照合する。この場合、生体データ照合部207は、生体データとの照合を行う前に、照合要求電文に含まれる絞込情報に基づき図4(B)の生体データ管理テーブル212に格納されている生体データの絞込を行う。生体データ同士の照合前に、生体データの絞込を行うことにより、照合精度の向上および照合速度の向上を図ることができる。 When the authentication code verification unit 205 verifies that the authentication code matches and the expiration date verification unit 206 verifies that the authentication code has not expired, the biometric data collation unit 207 collates the biometric data. Specifically, the biometric data collation unit 207 stores the biometric data obtained by extracting the authentication code from the code embedded data included in the collation request telegram transmitted from the ATM 1 and the biometric data management table 212 of FIG. 4 (B). It is collated with the biometric data that has been created. In this case, the biometric data collation unit 207 of the biometric data stored in the biometric data management table 212 of FIG. 4B based on the narrowing information included in the collation request telegram before collating with the biometric data. Narrow down. By narrowing down the biometric data before collating the biometric data with each other, it is possible to improve the collation accuracy and the collation speed.

そして、生体データ照合部207は、ATM1から送信された照合要求電文に含まれるコード埋込データから認証コードを取出して復号した生体データと、絞込情報に基づき絞り込んだ生体データと、を照合する。認証コードを取出して復号した生体データと、絞込情報に基づき絞り込んだ生体データと、が一致する場合には照合結果はOKとなる。これに対し、認証コードを取出して復号した生体データと、絞込情報に基づき絞り込んだ生体データと、が一致しない場合には照合結果はNGとなる。 Then, the biometric data collation unit 207 collates the biometric data obtained by extracting the authentication code from the code embedded data included in the collation request telegram transmitted from the ATM1 and decrypting the biometric data and the biometric data narrowed down based on the narrowing down information. .. If the biometric data obtained by extracting and decoding the authentication code and the biometric data narrowed down based on the narrowing down information match, the collation result is OK. On the other hand, if the biometric data obtained by extracting and decoding the authentication code and the biometric data narrowed down based on the narrowing down information do not match, the collation result is NG.

認証サーバ送受信部203は、生体データ照合部207の照合結果を含む照合応答電文をATM1へ送信する。なお、生体データ照合部207の照合結果がOKの場合には、認証サーバ送受信部203は、照合した生体データに対応する口座情報と照合結果とを含む照合応答電文をATM1へ送信する。 The authentication server transmission / reception unit 203 transmits a collation response telegram including the collation result of the biometric data collation unit 207 to the ATM1. If the collation result of the biometric data collation unit 207 is OK, the authentication server transmission / reception unit 203 transmits a collation response telegram including the account information corresponding to the collated biometric data and the collation result to the ATM1.

認証サーバ2が処理する各種情報について説明する。図7は、認証サーバ2が処理する各種情報の一例を示す図である。図7(A)は、コードマップ情報の一例を示す図である。コードマップ情報は、生体データに対し認証コードを埋め込む位置(10進数)を指示する情報である。コードマップ情報は、2Byte単位で1つの埋め込む位置を表す。図7(A)の例では、コードマップ情報は、(N−1,N)Byteで、X番目の認証コードを埋め込む位置を表す。たとえば、(1,2)Byteで、1番目の認証コードを生体データの2番目(2Byte目)に埋め込むことを表す。同様に、(3,4)Byteで2番目の認証コードを生体データ4番目(4Byte目)に埋め込むことを表す。上述の実施形態においては、コードマップ情報は、2Byte単位で1つの埋め込む位置を表しているがこの限りではない。たとえば、1Byte単位で1つの埋め込む位置を表してもよく、複数Byte単位で1つの埋め込む位置を表してもよい。また、コードマップ情報は可変長単位で埋め込む位置を表してもよい。 Various information processed by the authentication server 2 will be described. FIG. 7 is a diagram showing an example of various information processed by the authentication server 2. FIG. 7A is a diagram showing an example of code map information. The code map information is information that indicates a position (decimal number) in which the authentication code is embedded in the biometric data. The code map information represents one embedding position in units of 2 bytes. In the example of FIG. 7A, the code map information is (N-1, N) Byte and represents the position where the Xth authentication code is embedded. For example, (1,2) Byte indicates that the first authentication code is embedded in the second (2nd Byte) of the biometric data. Similarly, (3, 4) Byte indicates that the second authentication code is embedded in the fourth (4th Byte) biometric data. In the above-described embodiment, the code map information represents one embedding position in units of 2 bytes, but the present invention is not limited to this. For example, one embedding position may be represented in one byte unit, or one embedding position may be represented in a plurality of byte units. Further, the code map information may represent a position to be embedded in a variable length unit.

図7(B)は、認証コードの一例を示す図である。認証コードは、生体データに埋め込むダミーデータの一種である。認証コードは、生体データに埋め込むデータ(16進数)を定義した情報である。認証コードは1Byte単位で1つの埋め込みデータを表す。図7(B)の例では、1番目(1Byte目)の埋め込みデータとして「F1」、2番目(2Byte目)の埋め込みデータとして「E2」が定義されている。 FIG. 7B is a diagram showing an example of an authentication code. The authentication code is a kind of dummy data to be embedded in biometric data. The authentication code is information that defines data (hexadecimal number) to be embedded in biometric data. The authentication code represents one embedded data in 1-byte units. In the example of FIG. 7B, "F1" is defined as the first (1st Byte) embedded data, and "E2" is defined as the second (2nd Byte) embedded data.

図7(C)は、生体データの一例を示す図である。本実施形態においては、生体データは、手のひら静脈の画像情報の特徴データである。生体データは、複数Byteで1つの生体データを表す。上述の実施形態においては、生体データは、手のひら静脈の画像情報としているがこの限りではなく、たとえば、顔、虹彩、指紋等、ATM1の利用者の識別に用いることができるものであればよく。これらまたはこれらの組み合わせに限定されない。 FIG. 7C is a diagram showing an example of biometric data. In the present embodiment, the biometric data is characteristic data of image information of the palm vein. The biometric data represents one biometric data in a plurality of bytes. In the above-described embodiment, the biometric data is image information of the palm vein, but the present invention is not limited to this, and any data such as a face, an iris, and a fingerprint that can be used for identifying an ATM1 user may be used. Not limited to these or combinations thereof.

次に、ATM1の埋込データ生成部104がコードマップ情報に基づいて、生体データに認証コードを埋め込んでコード埋込データを生成する例について説明する。図8は、コードマップ情報に基づいて、生体データに認証コードを埋め込んでコード埋込データを生成する一例を示す図である。 Next, an example in which the embedded data generation unit 104 of the ATM 1 embeds the authentication code in the biometric data to generate the code embedded data based on the code map information will be described. FIG. 8 is a diagram showing an example of generating code-embedded data by embedding an authentication code in biometric data based on code map information.

埋込データ生成部104は、認証応答電文を受信すると、認証応答電文に含まれるコードマップ情報に基づいて、生体データ取得部101が取得した生体データに認証コードを埋め込む。たとえば、埋込データ生成部104は、図8のコードマップ情報の(1,2)Byte目に定義されている認証コードの1番目の位置の値「2」を取得する。そして、埋込データ生成部104は、取得した認証コードの1番目の値「F1」を生体データの「2」番目(2Byte目)に埋め込む。同様に、埋込データ生成部104は、図8のコードマップ情報の(N−1,N)Byte目に定義されている認証コードのX番目の位置の値「D7」を取得する。そして、埋込データ生成部104は、取得した認証コードのX番目の値「D7」を生体データの「16」番目(16Byte目)に埋め込む。この処理を連続して行うことで、埋込データ生成部104は、生体データに認証コードを埋め込んでコード埋込データを生成する。図8のコード埋込データには、コードマップ情報に定義したランダムな位置に、ランダムに生成された認証コードとして、たとえば、「F1」「E2」「A8」「B5」「D7」が埋め込まれているため、コード埋込データが悪意の第三者による盗聴により盗まれた場合であっても、生体データとしてそのまま使用することができない。これにより、万が一生体データが漏えいした場合であっても不正利用されることを未然に防ぐことができる。 When the embedded data generation unit 104 receives the authentication response telegram, the embedded data generation unit 104 embeds the authentication code in the biometric data acquired by the biometric data acquisition unit 101 based on the code map information included in the authentication response telegram. For example, the embedded data generation unit 104 acquires the value “2” of the first position of the authentication code defined in (1, 2) Byte of the code map information of FIG. Then, the embedded data generation unit 104 embeds the first value "F1" of the acquired authentication code in the "second" th (2nd Byte) of the biometric data. Similarly, the embedded data generation unit 104 acquires the value “D7” at the Xth position of the authentication code defined in the (N-1, N) Byte of the code map information of FIG. Then, the embedded data generation unit 104 embeds the Xth value "D7" of the acquired authentication code in the "16th" th (16th Byte) of the biometric data. By continuously performing this process, the embedded data generation unit 104 embeds the authentication code in the biometric data and generates the code embedded data. In the code embedded data of FIG. 8, for example, "F1", "E2", "A8", "B5", and "D7" are embedded as randomly generated authentication codes at random positions defined in the code map information. Therefore, even if the code embedded data is stolen by eavesdropping by a malicious third party, it cannot be used as it is as biometric data. As a result, even if the biological data is leaked, it can be prevented from being illegally used.

次に、認証サーバ2の認証コード取出し部204がコードマップ情報に基づいて、コード埋込データから認証コードを取り出して生体データを復号する例について説明する。図9は、コードマップ情報に基づいて、コード埋込データから認証コードを取り出して生体データを復号する一例を示す図である。 Next, an example will be described in which the authentication code extraction unit 204 of the authentication server 2 extracts the authentication code from the code embedded data and decodes the biometric data based on the code map information. FIG. 9 is a diagram showing an example of extracting the authentication code from the code embedded data and decoding the biometric data based on the code map information.

認証コード取出し部204は、照合要求電文を受信すると、図4(A)の認証コード管理テーブル211に格納されているコードマップ情報のうち、照合要求電文に含まれる認証コード管理番号に対応するコードマップ情報を取得する。認証コード取出し部204は、取得したコードマップ情報に基づいて、照合要求電文に含まれるコード埋込データから認証コードを取り出す。たとえば、認証コード取出し部204は、図9のコードマップ情報の(1,2)Byte目に定義されている認証コードの1番目の位置の値「2」を取得する。そして、認証コード取出し部204は、取得した認証コードの2番目の位置の値「F1」を1番目の認証コードの値として取り出す。同様に、認証コード取出し部204は、図9のコードマップ情報の(N−1,N)Byte目に定義されている認証コードのX番目の位置の値「16」を取得する。そして、認証コード取出し部204は、取得した認証コードの16番目の値「D7」をX番目の認証コードの値として取り出す。この処理を連続して行うことで、認証コード取出し部204は、コード埋込データから認証コードを取り出して、生体データを復号する。 Upon receiving the verification request message, the authentication code extraction unit 204 has a code corresponding to the authentication code management number included in the verification request message among the code map information stored in the authentication code management table 211 of FIG. 4 (A). Get map information. The authentication code extraction unit 204 extracts the authentication code from the code embedded data included in the verification request telegram based on the acquired code map information. For example, the authentication code extraction unit 204 acquires the value “2” of the first position of the authentication code defined in (1, 2) Byte of the code map information of FIG. Then, the authentication code extraction unit 204 extracts the value "F1" at the second position of the acquired authentication code as the value of the first authentication code. Similarly, the authentication code extraction unit 204 acquires the value “16” at the Xth position of the authentication code defined in the (N-1, N) Byte of the code map information of FIG. Then, the authentication code extraction unit 204 extracts the 16th value "D7" of the acquired authentication code as the value of the Xth authentication code. By continuously performing this process, the authentication code extraction unit 204 extracts the authentication code from the code embedded data and decodes the biometric data.

次に、ATM1とホストサーバ3とが実行する生体認証処理の流れを、図10を用いて説明する。図10は、ATM1とホストサーバ3とが実行する生体認証処理の一例を示すシーケンスチャートである。 Next, the flow of the biometric authentication process executed by the ATM 1 and the host server 3 will be described with reference to FIG. FIG. 10 is a sequence chart showing an example of biometric authentication processing executed by the ATM 1 and the host server 3.

はじめに、ATM1のATM制御部10は、生体認証による取引を行うか、銀行カードによる通常の取引を行うかを選択する認証方法選択画面(図示せず)を表示部12に表示する(ステップS11)。利用者の操作に基づき生体認証による取引が選択された場合には、生体データ取得部101は、利用者の生体データを取得する(ステップS12)。なお、利用者の操作に基づき生体認証以外の通常の認証による取引が選択された場合には、ATM制御部10は、ホストサーバ3との間で通常取引処理を実行する。通常取引処理については公知であるため説明を省略する。 First, the ATM control unit 10 of the ATM 1 displays an authentication method selection screen (not shown) on the display unit 12 for selecting whether to perform a transaction by biometric authentication or a normal transaction using a bank card (step S11). .. When the transaction by biometric authentication is selected based on the operation of the user, the biometric data acquisition unit 101 acquires the biometric data of the user (step S12). When a transaction by ordinary authentication other than biometric authentication is selected based on the user's operation, the ATM control unit 10 executes a normal transaction process with the host server 3. Since the normal transaction processing is known, the description thereof will be omitted.

絞込情報受付部102は、ATM1の利用者の入力操作に基づき、利用者の絞込情報として利用者の生年月日の情報を取得する(ステップS13)。クライアント端末送受信部103は、ATM1の店番とATM1の装置番号とにより構成される認証コード管理番号を含む認証要求電文を認証サーバ2へ送信する(ステップS14)。認証要求電文を受信した認証サーバ2の認証コード生成部201は、認証コード生成処理を行う(ステップS15)。認証コード生成処理の詳細については、後述する。また、認証サーバ2のコードマップ情報生成部202は、コードマップ情報生成処理を行う(ステップS16)。コードマップ情報生成処理の詳細については、後述する。 The narrowing down information receiving unit 102 acquires the information of the date of birth of the user as the narrowing down information of the user based on the input operation of the user of ATM1 (step S13). The client terminal transmission / reception unit 103 transmits an authentication request message including an authentication code management number composed of the store number of ATM1 and the device number of ATM1 to the authentication server 2 (step S14). The authentication code generation unit 201 of the authentication server 2 that has received the authentication request message performs the authentication code generation process (step S15). The details of the authentication code generation process will be described later. Further, the code map information generation unit 202 of the authentication server 2 performs the code map information generation process (step S16). The details of the code map information generation process will be described later.

認証サーバ送受信部203は、認証コード生成部201が生成した認証コードと、コードマップ情報生成部202が生成したコードマップ情報と、ATM1から送信された認証要求電文に含まれる認証コード管理番号とを含む認証応答電文をATM1へ送信する(ステップS17)。 The authentication server transmission / reception unit 203 uses the authentication code generated by the authentication code generation unit 201, the code map information generated by the code map information generation unit 202, and the authentication code management number included in the authentication request message transmitted from the ATM1. The including authentication response message is transmitted to ATM1 (step S17).

ATM1の埋込データ生成部104は、認証応答電文に含まれるコードマップ情報に指示された埋め込み位置に基づいて、ステップS12で取得した生体データに認証コードを埋め込み、コード埋込データを生成する(ステップS18)。クライアント端末送受信部103は、ステップS18で生成したコード埋込データ、ATM1の店番とATM1の装置番号とにより構成される認証コード管理番号、ステップS13で受け付けた絞込情報を含む照合要求電文を認証サーバ2へ送信する(ステップS19)。 The embedded data generation unit 104 of the ATM 1 embeds the authentication code in the biometric data acquired in step S12 based on the embedding position instructed in the code map information included in the authentication response telegram, and generates the code embedded data ( Step S18). The client terminal transmission / reception unit 103 authenticates the code embedded data generated in step S18, the authentication code management number composed of the store number of ATM1 and the device number of ATM1, and the verification request message including the narrowing down information received in step S13. It is transmitted to the server 2 (step S19).

認証コード取出し部204は、図4(A)の認証コード管理テーブル211に格納されているコードマップ情報のうち、照合要求電文に含まれる認証コード管理番号に対応するコードマップ情報を取得する。そして、認証コード取出し部204は、取得したコードマップ情報に基づいて、照合要求電文に含まれるコード埋込データから認証コードを取り出す(ステップS20)。 The authentication code extraction unit 204 acquires the code map information corresponding to the authentication code management number included in the verification request telegram among the code map information stored in the authentication code management table 211 of FIG. 4 (A). Then, the authentication code extraction unit 204 extracts the authentication code from the code embedding data included in the verification request telegram based on the acquired code map information (step S20).

認証コード検証部205は、認証コード生成部201が生成してATM1へ送信した認証コードと、認証コード取出し部204が取り出した認証コードと、が一致するか検証する(ステップS21)。有効期限検証部206は、ATM1から送信された照合要求電文から取り出した認証コードが有効期限切れとなっていないか検証する(ステップS22)。具体的には、有効期限検証部206は、図4(A)の認証コード管理テーブル211に格納されている認証コード有効期限のうち、照合要求電文に含まれる認証コード管理番号に対応する認証コード有効期限を徒過していないか検証する。 The authentication code verification unit 205 verifies whether the authentication code generated by the authentication code generation unit 201 and transmitted to the ATM 1 matches the authentication code taken out by the authentication code extraction unit 204 (step S21). The expiration date verification unit 206 verifies whether the authentication code extracted from the verification request telegram transmitted from ATM1 has expired (step S22). Specifically, the expiration date verification unit 206 has an authentication code corresponding to the authentication code management number included in the verification request telegram among the authentication code expiration dates stored in the authentication code management table 211 of FIG. 4 (A). Verify that the expiration date has not passed.

生体データ照合部207は、図4(B)の生体データ管理テーブル212に格納されている生体データのうち、照合要求電文に含まれる絞込情報と一致する絞込情報を有する生体データを絞り込む。そして、生体データ照合部207は、ATM1から送信された照合要求電文に含まれるコード埋込データから認証コードを取出して復号した生体データと、絞込情報に基づき絞り込んだ生体データと、を照合する(ステップS23)。 The biometric data collation unit 207 narrows down the biometric data stored in the biometric data management table 212 of FIG. 4B, which has the narrowing down information that matches the narrowing down information included in the collation request telegram. Then, the biometric data collation unit 207 collates the biometric data obtained by extracting the authentication code from the code embedded data included in the collation request telegram transmitted from the ATM1 and decrypting the biometric data and the biometric data narrowed down based on the narrowing down information. (Step S23).

認証サーバ送受信部203は、生体データ照合部207の照合結果を含む照合応答電文をATM1へ送信する(ステップS24)。生体データ照合部207の照合結果がOKの場合には、認証サーバ送受信部203は、図4(B)の生体データ管理テーブル212を参照し、ステップS23で照合した生体データに対応する口座情報と照合結果とを含む照合応答電文をATM1へ送信する。 The authentication server transmission / reception unit 203 transmits a collation response telegram including the collation result of the biometric data collation unit 207 to the ATM 1 (step S24). When the collation result of the biometric data collation unit 207 is OK, the authentication server transmission / reception unit 203 refers to the biometric data management table 212 of FIG. 4B, and with the account information corresponding to the biometric data collated in step S23. A collation response message including the collation result is transmitted to ATM1.

ATM制御部10は、照合応答電文を受信すると、照合結果がOKか否かを判定する(ステップS25)。照合結果がOKの場合(ステップS25のYES)には、ATM制御部10は、通常取引処理を行う。通常取引処理については後述する。照合結果がNGでの場合(ステップS25のNO)には、ATM制御部10は、取引を中断する(ステップS26)。そして、再びステップS11の処理に戻る。 Upon receiving the collation response message, the ATM control unit 10 determines whether or not the collation result is OK (step S25). When the collation result is OK (YES in step S25), the ATM control unit 10 performs a normal transaction process. The normal transaction processing will be described later. When the collation result is NG (NO in step S25), the ATM control unit 10 suspends the transaction (step S26). Then, the process returns to the process of step S11 again.

次に、認証コード生成部201が実行する認証コード生成処理の流れを説明する。図11は、認証コード生成処理の一例を示すフローチャートである。図11では、認証コードを8Byteで運用する場合の例について説明する。 Next, the flow of the authentication code generation process executed by the authentication code generation unit 201 will be described. FIG. 11 is a flowchart showing an example of the authentication code generation process. FIG. 11 describes an example in which the authentication code is operated at 8Bite.

認証コード生成部201は、8Byteの認証コード用メモリ領域213を確保する(ステップS41)。認証コード生成部201は、0x01〜0xFF(16進数)の範囲で1Byteの乱数を生成する(ステップS42)。認証コード生成部201は、ステップS42で生成した1Byteの乱数をステップS41で確保した認証コード用メモリ領域213に格納する(ステップS43)。この場合、認証コード生成部201は、生成した乱数を認証コード用メモリ領域213の下位のByteから格納する。 The authentication code generation unit 201 secures the memory area 213 for the authentication code of 8Byte (step S41). The authentication code generation unit 201 generates a random number of 1 BYte in the range of 0x01 to 0xFF (hexadecimal number) (step S42). The authentication code generation unit 201 stores the random number of 1Byte generated in step S42 in the authentication code memory area 213 secured in step S41 (step S43). In this case, the authentication code generation unit 201 stores the generated random numbers from the lower Byte of the authentication code memory area 213.

認証コード生成部201は、ステップS41で確保した8Byteの認証コード用メモリ領域サイズに到達したか否かを判定する(ステップS44)。この処理では、認証コード生成部201は、ステップS41で確保した8Byteの認証コード用メモリ領域213の全てに乱数が格納されたか否かを判定する。ステップS41で確保した8Byteの認証コード用メモリ領域サイズに到達していない場合(ステップS44のNO)には、処理はステップS42に戻り、8Byte分の認証コードが生成されるまで認証コード生成部201は、ステップS42〜ステップS44の処理を繰り返し実行する。 The authentication code generation unit 201 determines whether or not the size of the 8-byte authentication code memory area secured in step S41 has been reached (step S44). In this process, the authentication code generation unit 201 determines whether or not random numbers are stored in all of the 8-byte authentication code memory areas 213 secured in step S41. If the memory area size for the 8-byte authentication code secured in step S41 has not been reached (NO in step S44), the process returns to step S42, and the authentication code generation unit 201 until the authentication code for 8 bytes is generated. Repeats the processes of steps S42 to S44.

ステップS41で確保した8Byteの認証コード用メモリ領域サイズに到達した場合(ステップS44のYES)には、認証コード生成部201は、認証コード用メモリ領域213に格納した乱数を認証コードとして生成する(ステップS45)。認証コード生成部201は、生成した認証コードを図4(A)の認証コード管理テーブル211に格納する。この処理が終了すると、認証コード生成処理は終了となる。 When the size of the 8-byte authentication code memory area secured in step S41 is reached (YES in step S44), the authentication code generation unit 201 generates a random number stored in the authentication code memory area 213 as an authentication code (YES in step S44). Step S45). The authentication code generation unit 201 stores the generated authentication code in the authentication code management table 211 of FIG. 4A. When this process is completed, the authentication code generation process is completed.

次に、コードマップ情報生成部202が実行するコードマップ情報生成処理の流れを説明する。図12は、コードマップ情報生成処理の一例を示すフローチャートである。図12では、8Byteの認証コード用のコードマップ情報を生成する例について説明する。コードマップ情報生成部202は、16Byte(8Byte×2)のコードマップ情報用メモリ領域214を確保する(ステップS51)。 Next, the flow of the code map information generation process executed by the code map information generation unit 202 will be described. FIG. 12 is a flowchart showing an example of the code map information generation process. FIG. 12 describes an example of generating code map information for the 8Byte authentication code. The code map information generation unit 202 secures a 16 Byte (8 Byte × 2) code map information memory area 214 (step S51).

コードマップ情報生成部202は、コードマップ情報用変数(cmap)を初期化(cmap=0)する(ステップ52)。コードマップ情報生成部202は、カウンタ変数(cnt)を初期化(cnt=0)する(ステップS53)。コードマップ情報生成部202は、1〜64(10進数)の範囲で乱数を生成する(ステップS54)。 The code map information generation unit 202 initializes the code map information variable (cmap) (cap = 0) (step 52). The code map information generation unit 202 initializes the counter variable (ct) (ct = 0) (step S53). The code map information generation unit 202 generates a random number in the range of 1 to 64 (decimal number) (step S54).

コードマップ情報生成部202は、コードマップ情報用変数(cmap)に、ステップS42で生成した乱数を加算する(ステップS55)。コードマップ情報生成部202は、ステップS55で加算した2Byteのコードマップ情報用変数(cmap)をステップS51で確保したコードマップ情報用メモリ領域214に格納する(ステップS56)。この場合、コードマップ情報生成部202は、2Byteのコードマップ情報用変数(cmap)をコードマップ情報用メモリ領域214の上位のByteから2Byteずつ格納する。たとえば、コードマップ用メモリ領域が16Byteである場合、コードマップ情報生成部202は、2Byteのコードマップ情報用変数(cmap)をコードマップ情報用メモリ領域214の(16−cnt×2)Byte目から下位のByteに向かって順に格納する。 The code map information generation unit 202 adds the random number generated in step S42 to the code map information variable (cmap) (step S55). The code map information generation unit 202 stores the 2Byte code map information variable (cmap) added in step S55 in the code map information memory area 214 secured in step S51 (step S56). In this case, the code map information generation unit 202 stores the code map information variable (cmap) of 2Bytes by 2Bytes from the upper Byte of the codemap information memory area 214. For example, when the code map memory area is 16 Bytes, the code map information generation unit 202 sets the code map information variable (cmap) of 2 Bytes from the (16-ct × 2) Byte of the code map information memory area 214. Store in order toward the lower Byte.

コードマップ情報生成部202は、ステップS51で確保した16Byteのコードマップ用メモリ領域サイズに到達したか否かを判定する(ステップS57)。この処理では、コードマップ情報生成部202は、ステップS51で確保した16Byteのコードマップ用メモリ領域の全てに2Byteのコードマップ情報用変数(cmap)が格納されたか否かを判定する。 The code map information generation unit 202 determines whether or not the 16-byte code map memory area size secured in step S51 has been reached (step S57). In this process, the code map information generation unit 202 determines whether or not the 2 Byte code map information variable (cmap) is stored in all of the 16 Byte code map memory areas secured in step S51.

ステップS51で確保した16Byteのコードマップ用メモリ領域サイズに到達していない場合(ステップS57のNO)には、コードマップ情報生成部202は、カウンタ変数(cnt)をインクリメントして(ステップS58)、処理はステップS54に戻る。そして、16Byte分のコードマップ情報用変数(cmap)が生成されるまでコードマップ情報生成部202は、ステップS54〜ステップS57の処理を繰り返し実行する。 When the 16-byte code map memory area size secured in step S51 has not been reached (NO in step S57), the code map information generation unit 202 increments the counter variable (ct) (step S58). The process returns to step S54. Then, the code map information generation unit 202 repeatedly executes the processes of steps S54 to S57 until the code map information variable (cmap) for 16 bytes is generated.

ステップS51で確保した16Byteのコードマップ用メモリ領域サイズに到達した場合(ステップS57のYES)には、コードマップ情報生成部202は、コードマップ情報用メモリ領域214に格納したコードマップ情報用変数(cmap)をコードマップ情報として生成する(ステップS59)。コードマップ情報生成部202は、生成したコードマップ情報を図4(A)の認証コード管理テーブル211に格納する。この処理が終了すると、コードマップ情報生成処理は終了となる。 When the 16-byte code map memory area size secured in step S51 is reached (YES in step S57), the code map information generation unit 202 determines the code map information variable stored in the code map information memory area 214 (YES in step S57). cmap) is generated as code map information (step S59). The code map information generation unit 202 stores the generated code map information in the authentication code management table 211 of FIG. 4 (A). When this process is completed, the code map information generation process is completed.

次に、ATM1とホストサーバ3とが実行する取引処理の流れを、図13を用いて説明する。図13は、ATM1とホストサーバ3とが実行する取引処理の一例を示すシーケンスチャートである。取引処理は、生体認証処理の照合結果がOK(図10のステップS25のYES)の場合に行われる処理である。 Next, the flow of transaction processing executed by the ATM 1 and the host server 3 will be described with reference to FIG. FIG. 13 is a sequence chart showing an example of transaction processing executed by the ATM 1 and the host server 3. The transaction process is a process performed when the verification result of the biometric authentication process is OK (YES in step S25 of FIG. 10).

照合結果がOKの場合、ATM1のATM制御部10は、表示部12に暗証番号入力画面を表示し、利用者による暗証番号の入力操作を受け付ける(ステップS61)。ATM1のATM制御部10は、表示部12に取引金額入力画面を表示し、利用者による取引金額の入力操作を受け付ける(ステップS62)。 When the collation result is OK, the ATM control unit 10 of the ATM 1 displays the password input screen on the display unit 12 and accepts the user's password input operation (step S61). The ATM control unit 10 of the ATM 1 displays the transaction amount input screen on the display unit 12 and accepts the transaction amount input operation by the user (step S62).

クライアント端末送受信部103は、図10のステップ24で送信された照合応答電文に含まれる口座情報、ステップS61で受け付けた暗証番号、ステップS62で受け付けた取引金額の情報を含む取引要求電文をホストサーバ3へ送信する(ステップS63)。 The client terminal transmission / reception unit 103 sends a transaction request message including the account information included in the collation response message transmitted in step 24 of FIG. 10, the password received in step S61, and the transaction amount information received in step S62 to the host server. It is transmitted to 3 (step S63).

ホストサーバ3のホストサーバ制御部30は、取引要求電文に含まれる口座情報、暗証番号、取引金額の情報に基づき、銀行カードによる通常の取引と同様の照合処理を行う(ステップS64)。通常の照合処理については、公知の勘定系ホストサーバによる照合処理と同様であるため説明を省略する。ホストサーバ制御部30は、照合結果を取引応答電文に含めてATM1へ送信する(ステップS65)。 The host server control unit 30 of the host server 3 performs a collation process similar to that of a normal transaction using a bank card based on the account information, the PIN code, and the transaction amount information included in the transaction request message (step S64). Since the normal collation process is the same as the collation process by the known accounting host server, the description thereof will be omitted. The host server control unit 30 includes the collation result in the transaction response message and transmits it to the ATM 1 (step S65).

ATM制御部10は、取引応答電文に含まれる照合結果がOKか否か判定する(ステップS66)。取引応答電文に含まれる照合結果がOKの場合(ステップS66のYES)には、ATM制御部10は、出金処理を行い(ステップS67)、通常取引処理を終了する。取引応答電文に含まれる照合結果がNG(ステップS66のNO)の場合には、ATM制御部10は、通常取引処理を中断する(ステップS68)。 The ATM control unit 10 determines whether or not the collation result included in the transaction response message is OK (step S66). When the collation result included in the transaction response message is OK (YES in step S66), the ATM control unit 10 performs the withdrawal process (step S67) and ends the normal transaction process. When the collation result included in the transaction response message is NG (NO in step S66), the ATM control unit 10 interrupts the normal transaction process (step S68).

本実施形態によれば、ATM1は、認証サーバから送信されたコードマップ情報に指示された位置に基づいて、利用者の生体データに対し認証コードを埋め込んで生成されたコード埋込データを生成する。そして、認証サーバ2は、ATM1から送信されたコード埋込データから、生成したコードマップ情報に指示された位置に基づいて認証コードを取出した生体データと、生体データ管理テーブル212に格納された生体データとを照合して生体認証を行う。このため、コード埋込データが悪意の第三者による盗聴により盗まれた場合であっても、生体データとしてそのまま使用することができない。また、生体認証を行っている認証サーバ2自身は、生体データの照合を行うことができる。これにより、万が一生体データが漏えいした場合であっても不正利用されることを未然に防ぐことができる。 According to the present embodiment, the ATM1 generates code-embedded data generated by embedding an authentication code in a user's biometric data based on a position instructed in code map information transmitted from an authentication server. .. Then, the authentication server 2 extracts the authentication code from the code embedded data transmitted from the ATM 1 based on the position instructed in the generated code map information, and the biometric data stored in the biometric data management table 212. Biometric authentication is performed by collating with the data. Therefore, even if the code embedded data is stolen by eavesdropping by a malicious third party, it cannot be used as it is as biometric data. In addition, the authentication server 2 itself that performs biometric authentication can collate biometric data. As a result, even if the biological data is leaked, it can be prevented from being illegally used.

なお、本発明は上述した実施形態そのままに限定されるものではなく、実施段階でのその要旨を逸脱しない範囲で構成要素を変形して具体化することができる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成することができる。例えば、実施形態に示される全構成要素を適宜組み合わせても良い。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。このような、発明の趣旨を逸脱しない範囲内において種々の変形や応用が可能であることはもちろんである。 The present invention is not limited to the above-described embodiment as it is, and the components can be modified and embodied within a range that does not deviate from the gist of the embodiment. In addition, various inventions can be formed by an appropriate combination of the plurality of components disclosed in the above-described embodiment. For example, all the components shown in the embodiments may be combined as appropriate. In addition, components across different embodiments may be combined as appropriate. It goes without saying that various modifications and applications are possible within the range that does not deviate from the gist of the invention.

1 ATM
2 認証サーバ
3 ホストサーバ
10 ATM制御部
11 記憶部
12 表示部
13 入力部
14 生体センサ
15 紙幣処理部
16 硬貨処理部
17 通信部
20 認証サーバ制御部
21 記憶部
22 表示部
23 入力部
24 通信部
30 ホストサーバ制御部
31 記憶部
32 表示部
33 入力部
34 通信部
100 生体認証システム
101 生体データ取得部
102 絞込情報受付部
103 クライアント端末送受信部
104 埋込データ生成部
201 認証コード生成部
202 コードマップ情報生成部
203 認証サーバ送受信部
204 認証コード取出し部
205 認証コード検証部
206 有効期限検証部
207 生体データ照合部
211 認証コード管理テーブル
212 生体データ管理テーブル
213 認証コード用メモリ領域
214 コードマップ情報用メモリ領域
N ネットワーク
1 ATM
2 Authentication server 3 Host server 10 ATM control unit 11 Storage unit 12 Display unit 13 Input unit 14 Biosensor 15 Bill processing unit 16 Coin processing unit 17 Communication unit 20 Authentication server control unit 21 Storage unit 22 Display unit 23 Input unit 24 Communication unit 30 Host server control unit 31 Storage unit 32 Display unit 33 Input unit 34 Communication unit 100 Biometric authentication system 101 Biometric data acquisition unit 102 Narrowing down information reception unit 103 Client terminal transmission / reception unit 104 Embedded data generation unit 201 Authentication code generation unit 202 code Map information generation unit 203 Authentication server transmission / reception unit 204 Authentication code extraction unit 205 Authentication code verification unit 206 Expiration date verification unit 207 Biodata verification unit 211 Authentication code management table 212 Biodata management table 213 Memory area for authentication code 214 For code map information Memory area N network

Claims (5)

クライアント端末と、認証サーバ間とで生体認証を行う生体認証システムであって、
前記認証サーバは、
前記クライアント端末から認証要求を受け付けると、前記クライアント端末の利用者の生体データに埋め込むための認証コードを生成する認証コード生成部と、
前記生体データに対し前記認証コードを埋め込む位置を指示するコードマップ情報を生成するコードマップ情報生成部と、
前記生成した認証コードおよびコードマップ情報を前記クライアント端末へ送信する認証サーバ送受信部と、を備え、
前記クライアント端末は、
生体センサを通じて前記クライアント端末の利用者の生体データを取得する生体データ取得部と、
前記認証サーバから送信されたコードマップ情報に指示された位置に基づいて、取得した前記利用者の生体データに対し前記認証コードを埋め込んでコード埋込データを生成する埋込データ生成部と、
前記生成したコード埋込データを前記認証サーバへ送信するクライアント端末送受信部と、を備え、
前記認証サーバは、
前記生成したコード埋込データから、前記生成したコードマップ情報に指示された位置に基づいて前記認証コードを取出す認証コード取出し部と、
前記認証コード取出し部により前記コード埋込データから前記認証コードを取り出した前記生体データと、予め前記認証サーバに格納されている前記利用者の生体データとを照合する生体データ照合部と、
を備えることを特徴とする生体認証システム。
A biometric authentication system that performs biometric authentication between a client terminal and an authentication server.
The authentication server is
When an authentication request is received from the client terminal, an authentication code generator that generates an authentication code for embedding in the biometric data of the user of the client terminal, and an authentication code generator.
A code map information generation unit that generates code map information that indicates a position to embed the authentication code in the biometric data, and a code map information generation unit.
It includes an authentication server transmission / reception unit that transmits the generated authentication code and code map information to the client terminal.
The client terminal
A biometric data acquisition unit that acquires biometric data of the user of the client terminal through a biometric sensor,
An embedded data generation unit that embeds the authentication code in the acquired biometric data of the user based on the position instructed in the code map information transmitted from the authentication server to generate code embedded data.
A client terminal transmission / reception unit that transmits the generated code-embedded data to the authentication server is provided.
The authentication server is
An authentication code extraction unit that extracts the authentication code from the generated code embedding data based on the position instructed in the generated code map information.
A biometric data collation unit that collates the biometric data obtained by extracting the authentication code from the code embedded data by the authentication code extraction unit with the biometric data of the user previously stored in the authentication server.
A biometric authentication system characterized by being equipped with.
前記認証サーバは、
前記生体データ照合部による前記生体データの照合前に、前記認証コード生成部が生成した認証コードと、前記認証コード取出し部が取り出した認証コードと、が一致するか否か検証する認証コード検証部をさらに備えることを特徴とする請求項1に記載の生体認証システム。
The authentication server is
An authentication code verification unit that verifies whether or not the authentication code generated by the authentication code generation unit and the authentication code taken out by the authentication code extraction unit match before the biometric data collation unit collates the biometric data. The biometric authentication system according to claim 1, further comprising.
前記クライアント端末は、
前記利用者の生体データを絞り込むための絞込情報を受け付ける絞込情報受付部をさらに備え、
前記認証サーバの前記生体データ照合部は、前記生体データの照合を行う前に、前記受け付けた絞込情報に基づき予め前記認証サーバに格納されている前記利用者の絞込情報に基づいて前記生体データの絞込を行う
ことを特徴とする請求項1または2に記載の生体認証システム。
The client terminal
Further equipped with a narrowing information reception unit for receiving narrowing information for narrowing down the biometric data of the user.
The biometric data collation unit of the authentication server performs the biometric data based on the user's narrowing down information previously stored in the authentication server based on the received narrowing down information before collating the biometric data. The biometric authentication system according to claim 1 or 2, wherein the data is narrowed down.
前記認証コード生成部は、前記認証コード生成時に認証コード有効期限を生成し、
前記認証サーバは、
前記認証コード取出し部により取り出された前記認証コードが有効期限切れとなっていないか検証する有効期限検証部、をさらに備える
ことを特徴とする請求項1〜3のうち何れか1項に記載の生体認証システム。
The authentication code generation unit generates an authentication code expiration date when the authentication code is generated, and the authentication code generation unit generates an authentication code expiration date.
The authentication server is
The living body according to any one of claims 1 to 3, further comprising an expiration date verification unit for verifying whether or not the authentication code taken out by the authentication code extraction unit has expired. Authentication system.
クライアント端末からの認証要求に応じて生体認証を行う認証サーバであって、
前記認証サーバは、
前記クライアント端末から認証要求を受け付けると、前記クライアント端末の利用者の生体データに埋め込むための認証コードを生成する認証コード生成部と、
前記生体データに対し前記認証コードを埋め込む位置を指示するコードマップ情報を生成するコードマップ情報生成部と、
前記生成した認証コードおよびコードマップ情報を前記クライアント端末へ送信する認証サーバ送受信部と、
前記クライアント端末により、前記コードマップ情報に指示された位置に基づいて利用者から取得された生体データに対し前記認証コードを埋め込んで生成されたコード埋込データから、前記生成したコードマップ情報に指示された位置に基づいて前記認証コードを取出す認証コード取出し部と、
前記認証コード取出し部により前記コード埋込データから前記認証コードを取り出した前記生体データと、予め格納されている前記利用者の生体データとを照合する生体データ照合部と、
を備えることを特徴とする認証サーバ。
An authentication server that performs biometric authentication in response to an authentication request from a client terminal.
The authentication server is
When an authentication request is received from the client terminal, an authentication code generator that generates an authentication code for embedding in the biometric data of the user of the client terminal, and an authentication code generator.
A code map information generation unit that generates code map information that indicates a position to embed the authentication code in the biometric data, and a code map information generation unit.
An authentication server transmission / reception unit that transmits the generated authentication code and code map information to the client terminal, and
The client terminal instructs the generated code map information from the code embedding data generated by embedding the authentication code in the biometric data acquired from the user based on the position instructed in the code map information. An authentication code extraction unit that extracts the authentication code based on the location
A biometric data collation unit that collates the biometric data obtained by extracting the authentication code from the code embedded data by the authentication code extraction unit with the biometric data of the user stored in advance.
An authentication server characterized by being equipped with.
JP2018133267A 2018-07-13 2018-07-13 Biometric system and authentication server Active JP6909188B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018133267A JP6909188B2 (en) 2018-07-13 2018-07-13 Biometric system and authentication server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018133267A JP6909188B2 (en) 2018-07-13 2018-07-13 Biometric system and authentication server

Publications (2)

Publication Number Publication Date
JP2020013203A JP2020013203A (en) 2020-01-23
JP6909188B2 true JP6909188B2 (en) 2021-07-28

Family

ID=69170596

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018133267A Active JP6909188B2 (en) 2018-07-13 2018-07-13 Biometric system and authentication server

Country Status (1)

Country Link
JP (1) JP6909188B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116112186B (en) * 2023-04-07 2023-06-27 深圳奥联信息安全技术有限公司 Electronic signature anti-counterfeiting method and system

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09147110A (en) * 1995-11-21 1997-06-06 Fujitsu Denso Ltd Fingerprint matching method
JP2004318598A (en) * 2003-04-17 2004-11-11 Ntt Docomo Inc Service providing system and communication device
JP2007122599A (en) * 2005-10-31 2007-05-17 Toshiba Digital Media Engineering Corp Method and device for authentication
JP2009193461A (en) * 2008-02-15 2009-08-27 Toshiba Corp Biological information management apparatus and biological information management system
JP5397479B2 (en) * 2009-12-08 2014-01-22 富士通株式会社 Biometric authentication system and biometric authentication method
KR101182922B1 (en) * 2011-11-08 2012-09-13 아이리텍 잉크 Lock device and method using iris image for high security

Also Published As

Publication number Publication date
JP2020013203A (en) 2020-01-23

Similar Documents

Publication Publication Date Title
US10771251B1 (en) Identity management service via virtual passport
US8608057B1 (en) Banking machine that operates responsive to data bearing records
RU2397540C2 (en) Method and system to perform secured electronic transaction, and also according data carrier and terminal
US8843757B2 (en) One time PIN generation
US7156299B1 (en) Automated banking machine key loading system and method
Das et al. Designing a biometric strategy (fingerprint) measure for enhancing ATM security in Indian e-banking system
EP1041523A2 (en) Transaction recordal and validation
CN100495430C (en) Biometric authentication device, terminal device, and automatic transaction device
WO2002019282A9 (en) System and method for online atm transaction with digital certificate
CN106462853A (en) Card settlement terminal and card settlement system
US11017396B2 (en) Automatic transaction device and control method thereof
KR102447899B1 (en) System and method for non-face-to-face identification kyc solution
WO2020215831A1 (en) Payee identity verification method and device
US8631475B1 (en) Ordering inputs for order dependent processing
CN1855155B (en) Automatic cash transaction device
US11604870B2 (en) Systems and methods for authentication code entry using mobile electronic devices
JP6909188B2 (en) Biometric system and authentication server
Jaiswal et al. Enhancing ATM security using fingerprint and GSM technology
JP7556212B2 (en) Processing Equipment
JP5135384B2 (en) Biometric authentication server and biometric authentication system
JP5075675B2 (en) Biometric authentication system and biometric authentication device
US20140074725A1 (en) Financial transactions with a varying pin
JP2002269052A (en) Mobile terminal authentication system, mobile terminal authentication method, mobile terminal authentication program, and computer-readable recording medium storing the program
WO2002075676A1 (en) Automatic transaction device and transaction method using it
JP5231320B2 (en) Transaction system and management method thereof

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200910

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20200910

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210622

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210629

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210702

R150 Certificate of patent or registration of utility model

Ref document number: 6909188

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250