专利名称:Ic卡验证方法和装置的制作方法
技术领域:
本发明涉及验证IC卡所有者的方法和装置。更具体而言,本发明涉及一种防止通过对电子签名验证IC卡所有者的方法中所使用的签名数据进行复制而非法使用IC卡的方法和装置。
背景技术:
在个人验证方面有各种方法。在日本,公共机构中个人验证主要使用印鉴。但是,近来,也可使用印鉴以外的其它个人验证。
随着计算机通信普及和推广,产生保密问题。个人验证是机密保护措施之一。其主要技术是使用口令。但是,仅用该方法不一定可充分保护机密。因而近来,作为识别个人的方法,基于生物统计(biometrics)的个人验证受到关注。
所谓生物统计是利用眼睛虹膜、DNA、声纹、指纹等生物活体特性的方法,其中也包含利用笔迹。表示生物统计的个人验证具有可避免像印鉴那样丢失或被人盗窃等优点。但是,目前在卡使用者验证方面,使用笔迹以外的方法,技术上与经济方面都实用性不大。
对于银行卡或信用卡之类的卡,必须验证真正的所有者,因而个人验证是重要的。但是,目前卡的使用状况,是把重点置于可信度的确认,通常不进行个人验证。
卡可利用的终端经网络与金融机构的主计算机相连。主计算机检查存款余额、卡是否丢失及信用度等,根据检查结果,进行现金支付或借贷等交易。
目前主要使用磁卡,多数情况下用口令作个人验证。已提出使用IC卡代替磁卡严密检查通过卡的非法复制或伪造签名而非法使用卡的方案。
不管是磁卡或IC卡,卡的信息均由计算机处理。银行现金卡所有者的验证主要使用口令,而在信用卡的场合,通过签名进行个人验证。
通过笔迹验证IC卡所有者时,在IC卡上登记笔迹(通常是签名),以此为基准核对签名。这种通过手书的签名验证IC卡所有者时,不可避免地会有签名数据被非法复制加以使用的危险。
例如,接收IC卡店的雇员改造签名核对装置从而非法复制IC卡所有者(使用者)签署的签名数据,使用该复制的签名数据可非法向信贷机构发出借贷请求。为此,虽然需要大规模改动,但这种危险性不是完全没有。
笔迹具有他人难于模仿的优点。此外,手书签名取决于个人特性,因而具有个人不易忘记的优点。但是,另一方面也有下述不足若用肉眼鉴定笔迹,则要求有丰富经验,而且取决于个人的眼力(鉴别能力)。如已有技术中已说明的,在日本,信用卡使用时通过手书签名进行个人验证是形式上的,与签名个人验证相距较远。
由于上述理由,为了进行不取决于鉴定者的稳定的手书签名个人验证,必须机械化。手书签名个人验证反映个人特性,因而具有他人难于模仿的特点。但同时也具有签名取决于签名时的精神状态和当时环境,笔迹会有差异的特点。因而机械化时,必须考虑上述特点以获得稳定的核时结果,手书签名中还必须考虑笔迹会随时间而变化。
本发明要解决的课题是自动进行IC卡所有者的验证。当自动进行笔迹核对时,会产生如何验证个人和排除他人,对IC卡有限的记录媒体用何种形式具有何种信息为好之类问题。尤其,要提高他人排除率,则把本人判定为他人的概率变高,反之,要提高个人验证率,则他人模仿的概率变高。本发明提供解决该课题的方法。
发明揭示为了解决上述课题,本发明中引入IC卡和电子签名,使用者用电子笔在电子图形输入板上签名,由此判定是否IC卡所有者。其方法如下所述。下文,作为核对基准的签名数据称为“登录签名数据”,作为核对对象的签名数据称为“核对签名数据”。
本发明中,用以下方法对存储登录签名数据的IC卡进行验证(1)对于IC卡存储的登录签名数据与核对签名数据的差异度,预设由第1参数和参数值在所述第1参数值以上的第2参数识别的区域;(2)计测所述IC卡中存储的登录签名数据与核对签名数据的差异度;(3)当所述计测的差异度位于所述第1参数以下区域时许可验证;所述计测的差异度进入所述第1参数以上、所述第2参数以下区域时,指示再次签名,或在指定次数再签名后拒绝验证;所述计测的差异度位于所述第2参数以上时,拒绝验证。
虽然可用各种方式作为上述签名数据的验证方式,但采用含文字笔迹座标和笔压信息的时间序列数据的方法,可提高验证精度。虽然在以下说明中,根据含笔迹座标和笔压信息的时间序列数据的方法进行说明,但本发明当然不限于该方式。又,也可考虑第1参数与第2参数一致的情况,这时不指示再签名。取决于使用目的,有时不要特别的再签名指示。
在使用者拥有IC卡时,作为初始状态,在IC卡上登录作为签名核对基础的签名数据。该方法进行如下。首先,作为卡拥有者的使用者用电子笔在电子图形输入板上进行多次签名,生成多个签名数据。从该签名数据提取验证所需的个人特征,生成登录签名数据,登录至IC卡。这里生成的登录签名数据,除形状(笔迹的X、Y座标)外,还包含笔压信息(笔压P座标)作为时间序列数据。
另一方面,使用者在使用IC卡时,为确认该IC卡是否使用者所有,用计算机核对IC卡上登录的登录签名数据与在使用场所重新签名的数据。
核对时产生的错误有两类,一种是把本人(IC卡所有者)判断为他人的错误,另一种是把他人判断为本人的错误。已有技术过于重视严密性,过于注意后一错误,因而前一错误产生概率高。尤其在不习惯于签名的日本人中,产生前一错误的可能性大。即使不是这样,个人也存在差异,如果通过签名进行验证的方式普及,机械化核对推广,则前者错误产生的混乱会增加。为解决该问题,本发明中引入灰色区这一概念。
为确定灰色区,准备
图1所示的两个参数。图中形成通常的登录签名数据累积误差频度分布1(差异度频度分布)。曲线越向左,符合度(确认本人程度)越高,曲线越向右,符合度越低。问题是判断在什么范围确认为本人。本发明中,不把验证为本人的范围截然分成是非两部分,而在设置缓冲区域,以构成可更加提高符合性且排除他人的系统。具体而言,采用下述方法。
设登录签名数据A与核对签名数据B的各要素差(误差)的总和为差异度D(A,B),在已有技术中,预先确定门限值,当D在门限值以下则许可验证,否则就拒绝验证。
在本发明的方法中,用由两个参数所区分的三个区域进行如下是否IC卡所有者的验证。当D值位于图中第1参数左侧(无条件验证区域4)时,无条件验证为IC卡所有者。反之,当D值位于第2参数右侧(拒绝验证区域6)时,不认为是IC卡所有者。在D值位于第1参数与第2参数之间(灰色区5)时,作为本人与他人不能区分的暧昧区域,要求再次签名。
在再次签名后,核对签名数据D值落在无条件验证区域4时,则无条件加以验证。反之,核对签名数据落在拒绝验证区域6时,不验证为IC卡所有者。但在D值再次落入灰色区时,拒绝验证(不认为是IC卡所有者)。虽然再签名次数,因各自状况和参数设定方法而不同,但基本一点是,规定次数的签名中D值总是落入灰色区时,最终拒绝验证。
灰色区的处理方式不一定必须根据上述准则,关键在于,第1参数是用于排除他人的界线,第2参数是用于排除本人的界线,灰色区作为不能明确确定本人与他人的区域要进行再确认。由此,可提高本人符合率和他人排除率。
如果上述核对的结果是通过验证,则经计算机通信,向卡发行处(通常是信贷公司等金融机构)询问人个信息,核对可信度。金融机构调查的信用度良好时,验证为IC卡所有者,否则拒绝验证。通过以上操作,完成本人的确认及可信度确认。
作为实现上述方法的硬件构成,在IC卡使用侧配置IC卡读/写器和配置实现本发明方法的软件的IC卡核对装置(基本上是手书文字识别装置)。IC卡核对装置中安装通信接口(I/F),对通过核对的使用者,经计算机网络,向信贷公司之类的金融机构核对信用度。该核对通过后,开始进行最终交易。登录签名数据等核对时签名所需的个人信息全部登录在IC卡上。
附图概述图1是本发明实施形态中累积误差频度分布与灰色区的说明图。
图2是本发明实施形态中,用手书文字核对进行IC卡所有者验证时需要的硬件构成图。
图3是本发明实施形态中通过手书签名验证IC卡所有者的算法的流程图。
图4是本发明实施形态中个人签名特性(累积误差频度分布)与门限值关系说明图。
图5是从本发明实施形态中本人署名累积误差频度分布与他人署名累积误差频度分布,说明灰色区意义的图。
图6是本发明实施例的由笔压信息分字的方法说明图。
实施发明的最佳形态采用图2的硬件构成说明验证IC卡所有者的顺序。这里假定IC卡所有者为顾客,进行验证的人是接受IC卡商店的职员,IC卡发行处是信贷公司,顾客用信用卡(IC卡)支付购物款。
首先,职员用IC卡输入输出装置8(IC卡读/写器)读顾客提交的IC卡7。从IC卡读取的信息,经IC卡I/F14存储在工作区22。与此同时,经显示器I/F15,在显示器装置11上显示信息“要求签名”。根据该信息,职员请顾客签名。
顾客用电子笔10,在电子图形输入板9上签名。该签名数据经图形输入板工/F13,传送至工作区22,作为核对签名暂存。从IC卡读取的信息中包含登录签名数据与履历签名数据,首先核对登录签名数据与核对签名数据,如果验证通过,则在显示器11上作为信息显示该事实,同时,经通信口16向信贷公司传送顾客信息,询问顾客信用度等情况。在回答“没问题”时,交易成立。
上述是顺利情况下的一系列处理顺序,如果核对时核对签名数据落入灰色区时,由要求顾客重新签名。在再次签名数据位于验证区域时则可予以验证,但若再次位于灰色区或拒绝验证区域时,则不予验证。即使予以验证,但若来自信贷公司的信用度低于允许值时仍拒绝用IC卡交易。
图3的流程图汇总上述处理。流程图主要记述计算机进行的处理。图中标号“Dn”表示判定,D2是情况判定。虽然SW、KB用作开关,但如果KB改成计数器,则可多次要求灰色区的再签名次数。这种情况下,程序必须修改如下判定D3IF KB<KBMAX THEN(处理S8,S9)ELSE(处理S7)处理S9KB=KB+1IF KB=KBMAX THEN SW=1其中,KB MAX表示许可的再签名次数。
在图3的例子中,许可的再签名仅是1次(KBMAX=1),在顾客签字两次均落入灰色区时,拒绝交易(KB=1)。换言之,在相异度D值一次也没有落入无条件验证区域时,最终,不认为是IC卡所有者。
从“顾客签名数据输入步骤S2、S8”取得的数据是包含笔压信息的时间序列数据。该签名数据集合P如下所示P={xt,yt,pt}t=1,2,…n其中,xt,yt,pt分别是t时间的X座标、Y座标、笔压。
在使用电磁感应式的电子笔和图形输入板时,座标中还记录电子笔在空中(不与电子图形输入板接触,即pt=0)的位置。但是,通常使用压敏式,因而,此时,在电子笔离开电子图形输入板时,位置座标值变平(平行线,pt=0)。签名数据核对步骤S4,对登录签名数据A和核对签名数据B作DP对照。下面示出登录签名数据生成与核对方法的一个例子。
登录签名数据和核对签名数据归一化,因而文字大小及书写方向是自由的。在生成登录签名数据时,多次签名数据的值加以平均(对签名图案取平均)然后登录在IC卡上,因而可生成汇集个人习惯(笔迹)的登录签名数据,可获得稳定的核对。具体而言,执行如下方法。
在顾客(IC卡所有者)登录登录签名数据时,首先,顾客多次签名以产生登录签名数据。对某些签名数据加以组合并取平均,生成候选登录签名数据。核对该候选登录签名数据与各个签名,当所有签名核对结果高于某个预定符合率时,该候选登录签名数据作为正式登录签名数据登录在IC卡上。
这时,通过示于图2的登录、更新程序21,把登录签名数据输送至IC卡读/写器8,写入IC卡7。核对程序20在初始登录时生成登录签名数据并处理由电子笔20写至电子图形输入板9的签名数据。对签名稳定的人,登录时,签名登录处理通常在该阶段结束。
即使有一次签名符合率低于合格标准时,也要求顾客再签m次名。在该阶段,包括以前的签名数据共有(n+m)个签名数据,首先,从中选出一个签名数据,与其它签名核对。对所有签名进行该处理,选择多个(以符合率高到低的顺序)核对结果最好的签名对其图案进行平均,生成候选登录签名数据。进而,该候选的登录签名数据与其它签名数据核对,选出核对正常的签名数据,并汇总候选登录签名数据和选出的签名数据,加以签名图案平均(取平均值),生成登录签名数据,登录至IC卡。
由以上处理可知,签名稳定的人与不稳定的人,其登录签名数据与核对签名数据的累积误差频度分布,如图4所示,是有差异的。累积误差频度分布30是签名稳定的人的分布,而频度分布31是签名不稳定人的。如果像以往那样,用绝对门限值(例如,图中门限值32)对此进行验证判定,则不稳定的人的签名几乎不能被验证。如果为了提高符合(验证)率,把门限值32向右偏移,那末,把模仿签名的他人当作本人的危险性增加。
因而设置考虑各人特性的门限值,即示于图1的第2参数。对各人使频度分布80%或90%区域为无条件验证区域,则每个人80%或90%签名可验证为本人。但是,即使在这种情况下,他人与本人的区别仍取决于参数取法。例如,如果为提高符合率参数向右移,则虽然可提高符合率,但存在他人模仿的危险性。反之,若向左移,则虽可减少他人模仿的危险,但降低了符合率。为了解决这种进退两难的困境,本发明的方法是应用第1参数和第2参数把该区域作为灰色区域。
图5表示本人累积误差频度分布33和他人模仿签名时的累积误差频度分布34。由该图可知,第1参数2具有排除他人的作用,第2参数3具有排除本人的作用。设对于分布33,灰色区域面积为S2,无条件验证区域面积为S1,则签名的累积误差D落入灰色区域的概率r为r=S1/(S1+S2)因而两次签名的D值均落入灰色区域的概率是r2。
例如,设S1+S2=1,S1=0.25(=25%),则r2=0.0625(=约6%)。该值意味着因灰色区域本人不被验证为本人的概率为十多次中的一次。
如果再签名一次,则r3=0.015625(=约1.5%),即,因灰色区域本人不被验证的概率为六十几分之一。
另一方面,在熟练的人模仿签名时,例如设S1+S3=1,S1=0.1(=10%),则r2=0.01(=1%),r3=0.001(=0.1%)。
因灰色区域,他人模仿签名时不能排除他人的可能性为1/100或1/1000。但是,如本发明那样,笔迹鉴定采用不仅包含形状(位置座标),而且包含笔压信息的时间序列签名数据,以r=25%概率落入灰色区域的这种模仿签名概率可以说几乎是不可能的。甚至可以说,在本发明中,几乎用第1参数即可排除他人。
虽然累积误差D(归一化差异度总和)可是任何形式,举下述式1、式2作为本发明的例子。式1是登录签名数据A的第m个文字与对应的验证签名数据B的文字的差异度。d2,(m)=Σk=Ls(m)Le(m){(1-Wp).|zA*(k)-zB*(τ(k))|2+Wp.|pA*(k)-pB*(τ(k))|2}Le(m)-Ls(m)+1]]>式2是签名总差异度,即以各文字数据点数总和除各文字差异度总和,可说是归一化差异度。D(A,B)=Σk=1Mds(m)·(Le(m)-Ls(m)+1)Σk=1M(Le(m)-Ls(m)+1)]]>其中,Ls(m)、Le(m)分别是第m个文字的始点和终点,M是文字数,Wp是加权系数,r(k)是第m个文字的第k个取样点的歪斜函数,Z*、P*是归一化的位置座标值与笔压座标值。系数Wp满足下式0≤Wp≤1通过该系数可调整笔压信息对验证判定的影响程度。
z*是复座标,z*=x*+iy*i=SQRT(-1)(-1的平方根)歪斜函数是使手书签名数据的累积误差为最小的函数,由该函数修正的签名数据B的位置座标值和笔压座标值分别是z*B(τ(k))和p*B(τ(k))。换言之,如果选择与签名数据A的座标点{z*A(k),p*A(k)}对应的签名数据B的座标点{z*B(τ(k)),p*B(τ(k)),则可使累计误差最小。
文字数可由笔压信息获取,一个例子示于图6。如图6所示,区分笔压为零处,从而将文字分开。但是,如文字(2)那样,笔划(2)和笔划(3)间隔短时,该两个笔划被认为是1个字。这样分字所得的座标值(含笔压分量的始点是Ls,终点是Le。应理解,这里重要的是,不管采用怎样的累积差异度D,均可用本发明灰色区的概念。
产业可应用性手书签名的个人验证不能以100%的概率区分本人与他人。因为人的特性是不可能用相同的笔迹书写相同文字。反之可认为,他人模仿笔迹的概率非常低。手书签名的优点在于此。但同时,要确认本人时,不可否认也存在本人不被认为是该人的可能性。
因此,如果为提高符合率而放松判定基准,则在模仿签名时不能排除他人。反之,如果使判定基准严格以使他人不能模仿,则把本人作为他人被排除的概率变高。这矛盾的两方面妨碍机械化进行核对。
解决该困镜的是本发明基于灰色区的IC卡所有者的验证方法。对累积误差频度设定排除他人的第1参数和排除本人的第2参数,夹在该两个参数间的区域作为灰色区,灰色区解决了已有技术不能解决的难题,可以高的概率区分本人与他人。
这是由于如果重复签几次名,则误差趋近于误差分布中心或图1曲线峰值附近。这意味着,在本发明方案中,如果他人模仿签名书写时,即使仿得非常高明,误差(差异度)落入灰色区的可能性高,签名2次、3次,则误差落入第2参数外侧(拒绝验证区域)的概率极高。反之,在本人情况下,如果签名2、3次,则该误差落入第1参数内侧(无条件验证区域)的可能性极高。从而,可把本人识别为本人,而他人识别为他人。
本发明的灰色区的考虑方法中,两个参数吸收了签名熟练的人(惯于签名,可稳定签名的人)及签名不熟练的人(不惯于签名,答名不稳定的人)的差异,根据个人特性进行选择,可适应现实情况进行验证。
另外,因有关个人的信息全部记录在IC卡上,各手书文字识别装置中既不需存储所有个人信息,也不需通过通信费事地提取与手书签名有关的个人信息。因此,不能从IC卡以外取出与手书签名有关的个人信息,只要IC卡在就可防止涉及IC卡的恶意使用。万一IC卡丢失,用本发明的手书签名验证方式,要严格核对是否IC卡所有者,因而即使IC卡丢失,也不会被恶意使用。这是因为下述两条理由。
(1)由于把还包含笔压信息的时间序列签名数据作为核对数据使用,他人模仿签名的概率极低。
(2)基于灰色区的排除他人算法起作用,可严密地排除他人。
如上所述,即使他人非法获得IC卡,也不能利用IC卡,因为可确保IC卡的安全性。而且,利用灰色区的概念,具有提高把本人判定为本人概率的优点。又,因是机械化核对,可取得不依赖于笔迹鉴定者的能力的稳定的核对结果。
权利要求
1.一种对存储登录签名数据的IC卡进行验证的IC卡验证方法,其特征在于,它包括下述步骤(1)对于IC卡存储的登录签名数据与核对签名数据的差异度,预设由第l参数和参数值在所述第1参数值以上的第2参数识别的区域;(2)计测所述IC卡中存储的登录签名数据与核对签名数据的差异度;(3)当所述计测的差异度位于所述第1参数以下区域时许可验证;所述计测的差异度进入所述第1参数以上、所述第2参数以下区域时,指示再次签名,或在指定次数再签名后拒绝验证;所述计测的差异度位于所述第2参数以上时,拒绝验证。
2.如权利要求1所述的IC卡验证方法,其特征在于,所述签名数据包括文字笔迹座标和笔压信息的时间序列数据。
3.如权利要求1或2所述的IC卡验证方法,其特征在于,所述第1参数和第2参数具有同一值。
4.一种用于对存储登录签名数据的IC卡进行验证的IC卡验证装置,其中,对IC卡存储的登录签名数据与核对签名数据的差异度,预设由第1参数与参数值在所述第1参数值以上的第2参数识别的区域;其特征在于,该IC卡验证装置包括(2)计测所述IC卡存储的登录签名数据与核对签名数据差异度的计测手段;(3)所述计测的差异度位于所述第1参数以下区域时许可验证、所述计测的差异度进入所述第1参数以上和所述第2参数以下区域时,指示再签名或在指定次数再签名后拒绝验证、所述计测的差异度位于所述第2参数以上时拒绝验证的手段。
5.如权利要求4所述的IC卡验证装置,其特征在于,所述签名数据包含文字笔迹座标和笔压信息的时间序列数据。
6.如权利要求4或5所述的IC卡验证装置,其特征在于,所述第1参数与第2参数具有相同值。
7.一种记录程序的记录媒体,该程序对存储登录签名数据的IC卡进行验证,其特征在于,该程序执行下述步骤(1)对于IC卡存储的登录签名数据与核对签名数据的差异度,预设由第1参数和参数值在所述第1参数值以上的第2参数识别的区域;(2)计测所述IC卡中存储的登录签名数据与核对签名数据的差异度;(3)当所述计测的差异度位于所述第1参数以下区域时许可验证;所述计测的差异度进入所述第1参数以上、所述第2参数以下区域时,指示再次签名,或在指定次数再签名后拒绝验证;所述计测的差异度位于所述第2参数以上时,拒绝验证。
8.如权利要求7所述的程序记录媒体,其特征在于,所述签名数据包含文字笔迹座标和笔压信息的时间序列数据。
9如权利要求7或8所述的程序记录媒体,其特征在于,所述第1参数与第2参数具有相同值。
10.一种存储登录签名数据的、用于签名验证方式的IC卡,其特征在于,所述登录签名数据包含文字笔迹的座标和笔压的时间序列数据。
全文摘要
采用用于签名验证系统的、记录登录签名数据的IC卡,对核对签名数据的差异度,预设由第1参数与参数值比第1参数大的第2参数确定的3个区域;在计测的差异度位于第1参数以下区域时许可验证;在计测的差异度位于第1参数以上、第2参数以下区域时,指示再签名或在指定次数再签名后拒绝验证;在计测的差异度位于第2参数以上时拒绝验证。
文档编号G06T7/00GK1285940SQ9881266
公开日2001年2月28日 申请日期1998年12月25日 优先权日1997年12月26日
发明者茶位利昭 申请人:株式会社凯迪克斯