构成认证系统的处理装置、认证系统及其动作方法

专利名称：构成认证系统的处理装置、认证系统及其动作方法
技术领域：
本发明涉及通过控制装置和终端装置来实施本人确认的认证系统。
背景技术：
在由控制装置和认证终端装置组成的认证系统中，核对在认证终端装置中输入的输入数据与预先准备的认证数据来进行认证。这里，当在控制装置内或者认证终端装置的任何一方中存储全部认证数据时，认证数据都有可能被解读、被不正当地认证。因此，在目前的认证系统中，存在使用电子标签(tally)来分割认证数据，分别在控制装置和认证终端装置中保存分割的认证数据，以便无法解读认证数据的技术(特开2004-234633号公报)。根据现有技术，例如即使一方的装置被盗，只要未盗取双方的装置，就难以复原认证数据。
然而，在现有技术中，认证数据被分割存储在控制装置以及认证终端装置中，但是，在核对输入数据和认证数据时所使用的处理数据被存储在控制装置或者认证终端装置的一方中。这里所谓的处理数据，是将核对输入数据和认证数据时所使用的算法等进行数据化所得到的数据，例如是将加密密钥、函数、认证程序、库等进行数据化所得到的数据。在存储处理数据的控制装置或者认证终端装置被盗的情况下，有可能通过解析处理数据来伪造认证数据，实施本人确认。另外，在控制装置中存储处理数据的情况下，当认证终端装置被偷换时，有可能通过从被偷换的认证终端装置访问控制装置，来窃听、解析处理数据，伪造认证数据，实施本人确认。
另外，在控制装置和认证终端装置双方都被盗的情况下，认证数据、处理数据的解析变得容易，通过伪造认证数据来实施本人确认的可能性增高。

发明内容
本发明的目的在于解决上述问题的至少一部分，抑制或者防止通过不正当手段进行的本人确认。
为解决上述问题，本发明的处理装置，作为构成认证系统的处理装置，具有存储第二部分认证数据和第二部分处理数据的存储单元，所述第二部分认证数据，作为用于与通过认证终端装置输入的输入数据进行核对而预先准备的认证数据的一部分，是在构成认证系统的另一装置的存储单元中存储的第一部分认证数据的剩余部分，所述第二部分处理数据，作为在执行核对所述输入数据和所述认证数据的处理的至少一部分时所使用的处理数据的一部分，是在所述另一装置的存储单元中存储的第一部分处理数据的剩余部分；从所述另一装置接收所述第一部分认证数据和所述第一部分处理数据的接收单元；由所述第一部分认证数据以及所述第二部分认证数据生成所述认证数据的第一数据结合单元；由所述第一部分处理数据以及所述第二部分处理数据生成所述处理数据的第二数据结合单元；根据所述处理数据，执行所述输入数据和所述认证数据的核对处理来进行认证的认证单元。
根据本发明，在处理装置中，不仅认证数据，对于处理数据也仅存储一部分。因此，例如即使通过盗取、窃听处理装置等不正当手段使第三者知道部分处理数据，也难以复原处理数据全体。如果不复原处理数据，则难以解析、伪造认证数据，所以能够抑制、防止通过不正当手段进行的本人确认。
本发明的处理装置还具有用于确认所述另一装置是否是正规装置的装置确认数据，在所述装置确认数据满足规定条件的情况下，所述第一结合单元由所述第一部分认证数据以及所述第二部分认证数据生成所述认证数据，所述第二结合单元由所述第一部分处理数据以及所述第二部分处理数据生成所述处理数据，所述认证单元根据所述处理数据，执行核对所述输入数据和所述认证数据的处理来进行认证。
根据本发明，处理装置确认另一装置是正规的装置，在确认后生成/复原认证数据以及处理数据。因此，在不能确认另一装置是正规的装置的情况下，因为不进行认证数据以及处理数据的复原，所以不读出认证数据、处理数据，能够抑制、防止通过不正当手段进行的本人确认。
本发明的处理装置，在所述装置确认数据不满足规定条件的情况下，从存储单元中删除所述第二部分认证数据以及所述第二部分处理数据中的至少一方的数据。
根据本发明，处理装置在不能确认另一装置是正规的装置的情况下，因为从存储单元中删除第二部分认证数据以及第二部分处理数据中的至少一方的数据，所以不能复原认证数据或者处理数据。其结果，能够抑制、防止通过不正当手段进行的本人确认。
本发明的处理装置具有电池电源。
根据本发明，例如，具有电池电源的处理装置，即使在被盗的情况下，因为由电池电源供给电力，所以也会继续工作一定时间。但是，处理装置在此期间不能确认另一装置。处理装置从存储装置中删除第二部分认证数据以及第二部分处理数据中的至少一方的数据，所以不能复原认证数据或者处理数据。其结果，能够抑制、防止通过不正当手段进行的本人确认。
本发明的处理装置是认证系统的控制装置，具有把所述认证数据分割为两个部分认证数据的第一数据分割单元、把所述处理数据分割为两个部分处理数据的第二数据分割单元、和向所述另一装置发送所述两个部分认证数据的一方和所述两个处理数据的一方的发送单元。
根据本发明，处理装置因为在装置内具有数据分割单元，所以不需要使用例如其他服务器装置来分割认证数据、处理数据。因此，不可能从其他服务器装置外流认证数据、处理数据。其结果，能够抑制、防止通过使用外流的认证数据、处理数据的，以不正当手段进行的本人认证。
本发明的处理装置中，所述第一分割单元生成不同于所述第一部分认证数据以及所述第二部分认证数据的两个部分认证数据，所述第二分割单元生成不同于所述第一部分处理数据以及所述第二部分处理数据的两个部分处理数据，所述发送单元向另一装置发送所述生成的两个部分认证数据的一方和所述生成的两个部分处理数据的一方，所述存储单元存储所述生成的两个部分认证数据的另一方和所述生成的两个部分处理数据的另一方。
根据本发明，因为处理装置的分割单元分割而生成的部分认证数据和部分处理数据每次不同，所以即使对某时的部分认证数据和部分处理数据进行了窃听等，如果进行认证数据和处理数据的再分割，则也无法根据被窃听的部分认证数据和部分处理数据来复原认证数据以及处理数据。因此，针对数据窃听的安全性提高，能够抑制、防止通过不正当手段进行的本人确认。
本发明的处理装置是认证系统的认证终端装置，具有取得输入数据的输入数据取得单元、和接收认证系统的控制单元分割而得到的两个部分认证数据的一方和所述控制装置分割而得到的两个部分处理数据的一方的接收单元。根据本发明，因为认证终端装置仅保存有一个部分认证数据和一个部分处理数据，所以即使例如在认证终端装置中存储的部分认证数据、部分处理数据被盗，也难以复原认证数据、处理数据，能够抑制、防止通过不正当手段进行的本人确认。
本发明的认证系统是由认证终端装置和控制装置组成的认证系统。所述认证终端装置具有取得输入数据的输入数据取得单元、和存储第一部分认证数据和第一部分处理数据的存储单元，所述第一部分认证数据是为与所述输入数据进行核对而预先准备的认证数据的一部分，所述第一部分处理数据是在执行核对所述输入数据和所述认证数据的处理的至少一部分时所使用的处理数据的一部分。所述控制装置具有存储第二部分认证数据和第二部分处理数据的存储单元，所述第二部分认证数据是所述第一部分认证数据的剩余部分，所述第二部分处理数据是所述第一部分处理数据的剩余部分；由所述第一部分认证数据以及所述第二部分认证数据生成所述认证数据的第一数据结合单元；由所述第一部分处理数据以及所述第二部分处理数据生成所述处理数据的第二数据结合单元；根据所述处理数据，执行核对所述输入数据和所述认证数据的处理来进行认证的认证单元；把所述认证数据分割为两个部分认证数据的第一数据分割单元；把所述处理数据分割为两个部分处理数据的第二数据分割单元；与所述认证终端装置收发所述两个部分认证数据的一方和两个部分处理数据的一方的通信单元。
根据本发明，认证系统通过认证终端装置和控制装置分割保存认证数据和处理数据。从一方的装置仅能获得一方的部分认证数据和一方的部分处理数据。因为难以由一方的部分认证数据和一方的部分处理数据来复原认证数据和处理数据，所以能够抑制、防止通过不正当手段进行的本人确认。
本发明的认证系统的动作方法，是由认证终端装置和控制装置组成的认证系统的数据管理方法，所述控制装置，把为了与输入认证终端装置的输入数据进行核对而预先准备的认证数据分割为两个部分认证数据；所述控制装置，把在执行核对所述输入数据和所述认证数据的处理的至少一部分时所使用的处理数据分割为两个部分处理数据；所述认证终端装置，把所述分割所得的两个部分认证数据的一方作为第一部分认证数据，存储在认证终端装置的存储单元内，把所述分割所得的两个部分处理数据的一方作为第一部分处理数据，存储在认证终端装置的存储单元内；所述控制装置，把所述分割所得的两个部分认证数据的另一方作为第二部分认证数据，存储在控制装置的存储单元内，把所述分割所得的两个部分处理数据的另一方作为第二部分处理数据，存储在控制装置的存储单元内；在规定的时间，所述控制装置通过认证终端装置确认数据进行认证终端装置的认证，所述认证终端装置通过控制装置确认数据进行所述控制装置的认证；在所述控制装置能够认证所述终端认证装置、所述认证终端装置能够认证所述控制装置的情况下，所述控制装置结合所述第一部分认证数据和所述第二部分认证数据来复原认证数据，结合所述第一部分处理数据和所述第二部分处理数据来复原处理数据，把所述复原的认证数据分割为不同于所述第一部分认证数据和所述第二部分认证数据的两个部分认证数据，把所述复原的处理数据分割为不同于所述第一部分处理数据和所述第二部分处理数据的两个部分处理数据；所述认证终端装置，把所述分割所得的两个部分认证数据的一方作为第一部分认证数据，从所述控制装置接收并存储在认证终端装置的存储单元内，把所述分割所得的部分处理数据的一方作为第一部分处理数据，从所述控制装置接收并存储在认证终端装置的存储单元内；所述控制装置，把所述分割所得的部分认证数据的另一方作为第二部分认证数据，存储在控制装置的存储单元内，把所述分割所得的部分处理数据的另一方作为第二部分处理数据，存储在控制装置的存储单元内；在所述认证终端装置不能认证所述控制装置的情况下，所述认证终端装置删除所述第一部分认证数据或者所述第一部分处理数据的至少一方；在所述控制装置不能认证所述认证终端装置的情况下，所述控制装置删除所述第二部分认证数据或者所述第二部分处理数据的至少一方。
此外，本发明可以通过各种形态实现，除处理装置、认证系统之外，可以通过认证系统的数据管理方法等各种形态实现。


图1是表示认证系统的控制装置的结构的说明图。
图2是表示认证系统的认证终端装置的结构的说明图。
图3是表示本实施例的认证系统的认证时所执行的动作(到装置确认)的流程图的说明图。
图4是表示控制装置对认证终端装置进行确认的处理的流程图的说明图。
图5是表示认证终端装置对控制装置进行确认的处理的流程图的说明图。
图6是表示本实施例的认证系统的认证时所执行的动作(从装置确认到认证)的流程图的说明图。
图7是表示本实施例的认证系统的认证时所执行的动作(认证数据、处理数据的再分割处理)的流程图的说明图。
图8是控制装置或者认证终端装置都未被盗时的认证数据以及处理数据的存储状态的概略说明图。
图9是认证终端装置被盗时的认证数据以及处理数据的存储状态的概略说明图。
图10是控制装置被盗时的认证数据以及处理数据的存储状态的概略说明图。
图11是控制装置以及认证终端装置双方都被盗时的认证数据以及处理数据的存储状态的概略说明图。
具体实施例方式
现在结合

本发明的优选实施例。
A.本实施例的认证系统100的控制装置200的结构参照图1，说明构成本实施例的认证系统100的控制装置200。图1是表示构成认证系统100的控制装置200的结构的说明图。在本实施例中，认证系统100用于管理从非安全区域(例如屋外)进入安全区域(例如屋内或者限制进入者的室内)，控制装置200被设置在安全区域内。
控制装置200具有CPU201、ROM202、硬盘203、RAM204、CD-ROM205、输入接口206、输出接口207和认证终端接口208。
CPU201是控制装置200的中枢，在对控制装置200全体的动作进行控制以外，进行各种运算，把运算结果存储在硬盘203内，或者通过输出接口207显示在显示器209上，或者通过认证终端接口208与认证终端装置300进行通信。
ROM202存储对控制装置200所连接的硬盘203、或者通过输入接口206连接的键盘210、鼠标211等外围设备进行控制的BIOS(Basic Input OutputSystem)，通常使用作为可改写的非易失性存储器的闪速存储器。
硬盘203是存储OS、数据和应用程序的存储装置。例如，把部分认证数据、部分处理数据、认证终端装置确认数据作为数据来存储，把认证程序、分割程序、结合程序、认证终端装置确认程序作为应用程序来存储。
RAM204是可改写的易失性存储器，在硬盘203中存储的控制装置200的操作系统(以下称为“OS”)或者应用程序被复制到RAM204上，在RAM204上执行。RAM204临时存储CPU201运算的结果或者运算中的数据。
认证数据是为了与通过认证终端装置输入的输入数据进行核对来进行认证而预先准备的数据。在本实施例中，认证数据使用将指静脉的血管图形数据化所得到的数据。部分认证数据是认证数据的一部分数据。
处理数据是在执行核对输入数据和认证数据的处理的至少一部分时所使用的处理数据。即是将核对输入数据和认证数据时所使用的算法等数据化所得到的数据，例如是将加密密钥、函数、认证程序、库等数据化所得到的数据。部分处理数据是处理数据的一部分数据。
认证终端装置确认数据是用于确认与控制装置200相连的认证终端装置300是否是正规的装置的数据。例如可以使用认证终端装置300的识别号码等。也可以使用为防止伪造认证终端装置300的识别号码而加密处理后的数据。CPU201核对从认证终端装置300接收的认证终端装置数据和认证终端装置确认数据，来确认认证终端装置300是正规的装置。
认证程序是核对从认证终端装置输入的输入数据和预先准备的认证数据来进行认证的程序。
分割程序是把认证数据分割为在控制装置200的硬盘203内存储的第一部分认证数据、和在认证终端装置300内存储的第二部分认证数据的程序。另外，分割程序把处理数据分割为在控制装置200的硬盘203内存储的第一部分处理数据、和在认证终端装置300内存储的第二部分处理数据。此外，分割程序把认证数据、处理数据分割为每次不同的部分认证数据、部分处理数据。其结果，当进行新的分割时，不能使用以前分割而得的部分认证数据、部分处理数据来复原认证数据、处理数据。
结合程序是结合在控制装置200的硬盘203内存储的第一部分认证数据和在认证终端装置300内存储的第二部分认证数据来生成认证数据的程序。另外，结合程序结合在控制装置200的硬盘203内存储的第一部分处理数据和在认证终端装置300内存储的第二部分处理数据来生成处理数据。
认证终端装置确认程序是判断认证终端装置是否是正规的装置的程序。
CD-ROM装置205是使用致密光盘(以下称为“CD”)的计算机用只读存储装置。例如，在控制装置200上安装程序，再次输入已删除的认证数据、处理数据的情况下得到使用。此外，为使通过其他装置难以读出，把认证数据、处理数据加密后记录在CD-ROM中。
输入接口206，例如将键盘210和鼠标211等输入装置与控制装置200连接。输出接口207连接控制装置200和显示器209，例如把认证结果输出到显示器209。认证终端接口208连接控制装置200和认证终端装置300。
B.本实施例的认证系统100的认证终端装置300的结构参照图2，说明本实施例的认证系统100的认证终端装置300的结构。图2是表示认证系统100的认证终端装置300的结构的说明图。认证终端装置300例如被设置在安全区域和非安全区域双方中。
认证终端装置300具有CPU301、闪速存储器302、RAM303、静脉测定部304、控制装置用接口305、电池306和门控制部307。
CPU301是认证终端装置300的中枢，控制认证终端装置300全体的动作。
闪速存储器302是存储OS、数据和应用程序的可改写的非易失性存储器。例如把部分认证数据、部分处理数据、控制装置确认数据作为数据来存储，例如把静脉测定部控制程序、图像处理程序、控制装置确认程序作为应用程序来存储。
在闪速存储器302中，对认证数据中不在控制装置200的硬盘203中存储的第二部分认证数据进行存储。另外，在闪速存储器302中，对处理数据中不在控制装置200的硬盘203中存储的第二部分处理数据进行存储。
控制装置确认数据是用于确认与认证终端装置300相连的控制装置200是否是正规的装置的数据，例如是控制装置200的识别号码等。此外，为防止伪造控制装置200的号码，也可以是加密处理后的数据。
静脉测定部控制程序是控制对指静脉的血管图形进行测定的静脉测定部304的程序。图像处理程序是将通过静脉测定部304测定的指静脉的血管图形的图像变换为数字信号，生成输入数据的程序。
控制装置确认程序是判断控制装置200是否是正规的装置的程序。
RAM303是可改写的易失性存储器，在闪速存储器302中存储的认证终端装置300的操作系统(以下称为“OS”)或者应用程序被复制到RAM303上，在RAM303上执行。RAM303临时存储CPU301运算的结果或者运算中的数据。
静脉测定部304，通过把手指放在测定台(未图示)上，用指尖按压位于测定台内部的开关311，使设置在测定台上部的近红外光源308发出的近红外线照射手指，使用设置在测定台下部的照相机309拍摄透过光，测定手指的静脉图形。
控制装置用接口305将认证终端装置300和控制装置200连接。电池306是用于即使切断认证终端装置300的AC电源也能使认证终端装置300工作一定时间的辅助电源。
门控制部307控制与认证终端装置300相连的安全门310的锁的开闭。
C.本实施例的认证系统100的认证时的动作参照图3到图11，说明本实施例的认证系统100的认证时的动作以及认证数据和处理数据的存储状态。图3是表示本实施例的认证系统100的装置确认之前的流程图的说明图。图4是表示控制装置对认证终端装置进行确认的处理的流程图的说明图。图5是表示认证终端装置对控制装置进行确认的处理的流程图的说明图。图6是表示本实施例的认证系统100的从装置确认到认证的流程图的说明图。图7是表示本发明的认证系统100的认证数据以及处理数据的再分割处理的流程图的说明图。此外，在从图3到图7中，左侧的流程表示控制装置的动作流程，右侧的流程表示认证终端装置的动作流程。
图8是控制装置和认证终端装置都未被盗时的认证数据以及处理数据的存储状态的概略说明图。图9是认证终端装置被盗时的认证数据以及处理数据的存储状态的概略说明图。图10是控制装置被盗时的认证数据以及处理数据的存储状态的概略说明图。图11是控制装置以及认证终端装置双方都被盗时的认证数据以及处理数据的存储状态的概略说明图。
首先，使用图3以及从图8到图11说明装置确认之前的动作。
在已启动认证系统的状态下，如从图8(a)到图11(a)以及从图8(b)到图11(b)所示，认证数据被分割为第一部分认证数据和第二部分认证数据，处理数据被分割为第一部分处理数据和第二部分处理数据。例如，通过把认证数据排成一列，通过随机数把数据列分为前后两部分那样进行分割。因为分割仅把数据列分为前后两部分，所以能够容易地进行认证数据的结合/复原。第一部分认证数据和第一部分处理数据被存储在控制装置200的硬盘203内，第二部分认证数据和第二部分处理数据被存储在认证终端装置300的闪速存储器302中。
认证终端装置300的CPU301，在按压静脉测定部304的开关311(步骤S410，是)、开始认证动作前待机(步骤S400)。CPU301，当开始认证动作时，取得用于与预先准备的认证数据进行核对来进行本人确认的认证用输入数据(步骤S420)。
当把手指放在测定台(未图示)上，用指尖按压位于测定台内部的开关311时，从设置在测定台上部的近红外光源308向手指照射近红外线。静脉中的红血球的还原血红蛋白(hemoglobin)吸收近红外线波长的光。当使用设置在测定台下部的照相机309拍摄透过光时，仅静脉部分显示黑色。由此测定手指静脉的血管图形。CPU301使用图像处理程序处理测定的手指静脉的血管图形，生成认证用输入数据，向控制装置200发送认证用输入数据(步骤S430)。
控制装置200的CPU201，在从认证终端装置300接收认证用输入数据前(步骤S450，是)待机(步骤S440)。
CPU301，即使不按压静脉测定部304的开关311(步骤S410，否)，在经过规定时间后(步骤S460，是)也进行控制装置200的确认(步骤S470)。另一方面，CPU201，即使不接收输入数据(步骤S450，否)，在经过规定时间后(步骤S480，是)也进行认证终端装置300的确认(步骤S490)。规定时间可以是一定的时间，也可以是随机的时间。
下面使用图4以及图8到图9，说明控制装置200对认证终端装置300进行确认的处理。
控制装置200的CPU201，对认证终端装置300请求认证终端装置识别数据(步骤S500)。认证终端装置300的CPU301，当接受认证终端装置识别数据的请求时，向控制装置200发送认证终端装置识别数据(步骤S510)。
CPU201接收认证终端装置识别数据(步骤S520)，进行认证终端装置300的确认(步骤S530)。CPU201比较接收到的认证终端装置识别数据和在硬盘203中存储的认证终端装置确认数据，判断认证终端装置300是否是正规的装置。CPU201在不能确认认证终端装置300是正规的装置的情况下(步骤S530，否)，如图9(c)所示那样删除在硬盘203中存储的第一部分认证数据、第一部分处理数据(步骤S540)。如图9(d)所示，在删除了第一部分认证数据、第一部分处理数据的情况下，不能复原认证数据、处理数据。
CPU201在能够确认认证终端装置300是正规的装置的情况下(步骤S530，是)，对认证终端装置300请求第二部分认证数据和第二部分处理数据(步骤S550)。认证终端装置300的CPU301，当从控制装置200接受第二部分认证数据和第二部分处理数据的请求时，从闪速存储器302读出第二部分认证数据和第二部分处理数据，发送至控制装置200(步骤S560)。
CPU201接收第二部分认证数据和第二部分处理数据(步骤S570)。如图8(c)所示，CPU201从硬盘203读出第一部分认证数据，和接收到的第二部分认证数据结合来复原认证数据，从硬盘203读出第一部分处理数据，和接收到的第二部分处理数据结合来复原处理数据(步骤S580)。例如可以通过简单结合第一部分认证数据和第二部分认证数据、简单结合第一部分处理数据和第二部分处理数据来进行复原。
当简单结合第二部分认证数据和第一部分认证数据时，例如，可以使控制装置200持有公开密钥A和秘密密钥B，使认证终端装置300持有公开密钥C和秘密密钥D。认证终端装置300的CPU301，在向控制装置200发送第二部分认证数据以及第二部分处理数据时，通过公开密钥A加密发送。控制装置200的CPU201接收加密后的第二部分认证数据和第二部分处理数据。CPU201对第二部分认证数据和第二部分处理数据进行解密。CPU201通过简单结合第一部分认证数据和第二部分认证数据、简单结合第一部分处理数据和第二部分处理数据，能够执行认证数据和处理数据的复原。此外，在加密的状态下，即使简单结合第二部分认证数据和第一部分认证数据也不能复原认证数据。另外，即使窃听通信中的第二部分认证数据、第二部分处理数据，也很难解密第二部分认证数据、第二部分处理数据。
CPU201，在不能接收第二部分认证数据和第二部分处理数据的情况下(步骤S570，否)，或者第二部分认证数据、第二部分处理数据中有异常，不能复原认证数据、处理数据的情况下(步骤S580，否)，如图9(c)所示，从硬盘203中删除第一部分认证数据、第一部分处理数据(步骤S540)。所谓第二部分认证数据中有异常的情况，例如是第二部分认证数据的校验和不一致的情况。所谓不能复原认证数据的情况，例如是不能用秘密密钥B解密第二部分认证数据的情况、用秘密密钥B解密的第二部分认证数据的校验和不一致的情况、复原的认证数据的校验和不一致的情况。此外，处理数据的情况也同样。CPU201在显示器209上显示认证终端装置300异常的信息，结束控制装置200的动作。
CPU201在能够复原认证数据、处理数据的情况下(步骤580，是)，进行输入数据和认证数据的核对，或者认证数据、处理数据的再分割处理。CPU301等待输入数据和认证数据的核对结果，或者等待发送再分割认证数据、处理数据所得的部分认证数据、部分处理数据。
使用图5以及图8、图10、图11说明认证终端装置300对控制装置200进行确认的处理。
认证终端装置300的CPU301对控制装置200请求控制装置识别数据(步骤S600)。控制装置200的CPU201，当接受控制装置识别数据的请求时，向认证终端装置300发送控制装置识别数据(步骤S610)。
CPU301接收控制装置识别数据(步骤S620)，进行控制装置200的确认(步骤S630)。CPU301比较接收到的控制装置识别数据和在闪速存储器302中存储的控制装置确认数据，判断控制装置200是否是正规的装置。CPU301，在不能确认控制装置200是正规的装置的情况下(步骤S630，否)，如图10(c)所示，删除在闪速存储器302中存储的第二部分认证数据、第二部分处理数据(步骤S640)。在删除了第二部分认证数据、第二部分处理数据的情况下，如图10(d)所示，不能复原认证数据、处理数据。
此外，当认证终端装置300、控制装置200一起被盗时，虽然认证终端装置300通过电池306工作，但是控制装置200因电源被切断而不工作。因此，认证终端装置300的CPU301，因为不能确认控制装置200，所以如图11(c)所示，删除第二部分认证数据、第二部分处理数据。此外，当控制装置200的电源被恢复时，因为已从认证终端装置300中删除了第二部分认证数据、第二部分处理数据，所以CPU201不能从认证终端装置300接收第二部分认证数据以及第二部分处理数据。其结果，如图11(d)所示，CPU201删除第一部分认证数据、第一部分处理数据。在任何一种情况下，如图11(e)所示，都不能复原认证数据、处理数据。
CPU301在能够确认控制装置200是正规的装置的情况下(步骤S630，是)，对控制装置200请求第一部分认证数据和第一部分处理数据(步骤S650)。
控制装置200的CPU201，当从认证终端装置300接受第一部分认证数据和第一部分处理数据的请求时，从硬盘203读出第一部分认证数据和第一部分处理数据，发送至认证终端装置300(步骤S660)。
CPU301接收第一部分认证数据和第一部分处理数据(步骤S670)。如图8(c)所示，CPU301从闪速存储器302读出第二部分认证数据，与接收到的第一部分认证数据结合来复原认证数据，从闪速存储器302读出第二部分处理数据，与接收到的第一部分处理数据结合来复原处理数据(步骤S680)。例如可以通过简单结合第一部分认证数据和第二部分认证数据来进行复原。
控制装置200的CPU201，在向认证终端装置300发送第一部分认证数据以及第一部分处理数据时，例如使用公开密钥C加密发送。认证终端装置300的CPU301接收加密后的第一部分认证数据和第一部分处理数据。CPU301解密第一部分认证数据和第一部分处理数据。CPU301通过简单结合第一部分认证数据和第二部分认证数据、简单结合第一部分处理数据和第二部分处理数据，能够执行认证数据和处理数据的复原。此外，在加密的状态下，即使简单结合第一部分认证数据和第二部分认证数据，也不能复原认证数据。
CPU301在不能接收第一部分认证数据和第一部分处理数据的情况下(步骤S670，否)，或者在第一部分认证数据、第一部分处理数据中有异常，不能复原认证数据、处理数据的情况下(步骤S680，否)，如图10(c)所示，从闪速存储器302中删除第二部分认证数据、第二部分处理数据(步骤S640)。所谓第一部分认证数据中有异常的情况，例如是第一部分认证数据的校验和不一致的情况。所谓不能复原认证数据的情况，例如是不能用秘密密钥D解密第一部分认证数据的情况、用秘密密钥D解密的第一部分认证数据的校验和不一致的情况、复原的认证数据的校验和不一致的情况。此外，处理数据的情况也同样。
CPU301等待输入数据和认证数据的核对结果，或者等待发送再分割认证数据、处理数据所得的部分认证数据、部分处理数据。
使用图6说明从装置确认到认证的处理。
控制装置200的CPU201，在接收到认证用输入数据的情况下(步骤S700，是)，核对认证用输入数据和复原的认证数据(步骤S710)。CPU201向终端控制装置300发送核对结果(步骤S720)。
认证终端装置300的CPU301，在按压静脉测定部304的开关311时(步骤S730，是)，接收核对结果(步骤S740)，判断可否许可进入房间(步骤S750)。CPU301在判断为许可进入房间(步骤S750，是)时，解除安全门310的锁(步骤S760)。另一方面，CPU301在判断为不许可进入房间时(步骤S750，否)，维持安全门310的锁(步骤S770)。
使用图7以及图8，说明认证数据、处理数据的再分割处理。
控制装置200的CPU201再分割认证数据以及处理数据，生成第三部分认证数据和第四部分认证数据、以及第三部分处理数据和第四部分处理数据(步骤S800)。此时，CPU201如图8(d)所示，使第三部分认证数据以及第四部分认证数据分别与第一部分认证数据以及第二部分认证数据不同地进行分割，使第三部分处理数据以及第四部分处理数据分别与第一部分处理数据以及第二部分处理数据不同地进行分割。CPU201，例如通过使用随机数将认证数据分为前后两部分。因为通过随机数分成两部分，所以产生的两个部分认证数据每次不同。另外，因为认证数据仅被分成前后两部分，所以通过简单地结合能够容易地复原。
CPU201向认证终端装置300发送第四部分认证数据以及第四部分处理数据(步骤S810)，在硬盘203内存储第三部分认证数据以及第三部分处理数据(步骤S840)。此时，CPU201可以使用公开密钥C加密第四部分认证数据以及第四部分处理数据后发送至认证终端装置300。CPU201从RAM204上删除复原的认证数据以及处理数据(步骤S850)。
认证终端装置300的CPU301，当从控制装置200接收第四部分认证数据以及第四部分处理数据时(步骤S820)，在闪速存储器302中存储第四部分认证数据以及第四部分处理数据(步骤S830)。此时，CPU301在第四部分认证数据以及第四部分处理数据被加密时，使用秘密密钥D来解密，把解密后的第四部分认证数据以及第四部分处理数据存储在闪速存储器302中。CPU301返回步骤S400，等待按压静脉认证部304的开关311。
CPU301，在按压静脉认证装置304的开关311(步骤S410)前待机(步骤S400)。CPU201返回步骤S440，在从认证终端装置300接收认证用输入数据(步骤S450)前待机(步骤S440)。在按压静脉认证部304的开关311的情况下，或者在规定时间，再次重复上述内容，如图8(e)所示那样复原认证数据、处理数据。
以后，每当按压静脉认证部304的开关311时，或者每到规定时间，重复同样的处理。
如上所述，根据本实施例，不仅把为与输入数据进行核对而预先准备的认证数据，也把在执行核对输入数据和所述认证数据的处理的至少一部分时所使用的处理数据分割存储在控制装置和认证终端装置上。难以根据一方装置的部分处理数据来复原处理数据。即，因为部分处理数据是将认证算法等数字化所得到的数据的一部分，所以难以根据部分处理数据来类推/复原全体的处理数据。如果不能复原处理数据，则不能解析认证数据。因此，难以伪造认证数据，能够抑制、防止通过不正当手段进行的本人确认。
根据本实施例，例如，因为控制装置200在根据认证终端装置识别数据和认证终端装置确认数据确认认证终端装置300是正规的装置后，生成/复原认证数据以及处理数据，因此，控制装置200在确认认证终端装置300前不复原认证数据、处理数据。因此，在此期间难以从控制装置200读出认证数据以及处理数据。其结果，能够抑制、防止通过不正当手段进行的本人确认。
根据本实施例，复原后的认证数据、处理数据本身不存储在硬盘203、闪速存储器302中。例如，当控制装置200在复原认证数据以及处理数据后立即被盗时，因为切断了AC电源，所以删除复原后的认证数据、处理数据。因此，即使在控制装置被盗的情况下，也能够防止、抑制认证数据、处理数据被解析。
根据本实施例，控制装置定期地确认认证终端装置是正规的认证终端装置，当不能确认时，删除第一部分认证数据以及第一部分处理数据，认证终端装置定期地确认控制装置是正规的控制装置，当不能确认时，删除第二部分认证数据以及第二部分处理数据。因此，例如，当认证终端装置或者控制装置被暂时偷换而不能确认另一装置时，部分认证数据以及部分处理数据被删除。其结果，即使把被偷换的控制装置、认证终端装置还原，也不能复原认证数据以及处理数据。其结果，难以解析、伪造认证数据，能够抑制、防止通过不正当手段进行的本人确认。
此外，即使删除控制装置、认证终端装置中某一个的部分认证数据、部分处理数据，只要把认证数据以及处理数据记录在例如CD-ROM上，通过从CD-ROM读入认证数据以及处理数据，就能恢复认证数据以及处理数据。
根据本实施例，在控制装置和认证终端装置双方都被盗时，因为控制装置靠AC电源工作，因此在被盗时电源切断。另一方面，认证终端装置在内部具有电池306，因此即使没有AC电源也能够工作一定时间。其间，若认证终端装置进行控制装置的确认处理，则因为不能确认控制装置而删除第二部分认证数据以及第二部分处理数据。因此，即使恢复控制装置的电源，也不能复原认证数据、处理数据。而且，因为不存在认证终端装置的第二部分认证数据以及第二部分处理数据，所以也删除第一部分认证数据以及第一部分处理数据。其结果，即使盗取控制装置和认证终端装置双方，仍难以复原认证数据、处理数据，能够抑制、防止通过不正当手段进行的本人确认。
根据本实施例，因为控制装置具有数据分割单元，所以不需要使用其他服备器装置来分割认证数据、处理数据。因此，没有从其他服务器装置外流认证数据、处理数据的危险性。其结果，能够抑制、防止通过不正当手段进行的本人确认。
根据本实施例，认证数据和处理数据的分割模式每次不同。例如，即使窃听某时的部分认证数据和部分处理数据，如果进行认证数据和处理数据的再分割，则无法利用该窃听到的部分认证数据和部分处理数据。其结果，在偷换成存储了该窃听到的部分认证数据和部分处理数据的装置时，不能复原认证数据、处理数据。能够抑制、防止通过不正当手段进行的本人确认。
D.变形例(1)在本实施例中，认证数据、处理数据的分割由控制装置进行，但是也可以由认证终端装置进行。
(2)在本实施例中，CPU201使第一部分认证数据和第二部分认证数据不同地分割认证数据，但此时也可以使一部分重复地进行分割。另外，关于处理数据，也可以使第一部分处理数据和第二部分处理数据一部分重复地进行分割。另外，也可以使用随机数决定是否使数据一部分重复、在重复的情况下决定重复部分的数据的大小。
(3)在本实施例中，对于控制装置识别数据、认证终端装置识别数据、控制装置确认数据、认证终端装置确认数据不进行数据分割，但是，也可以使用控制装置和识别装置对控制装置识别数据、认证终端装置识别数据、控制装置确认数据、认证终端装置确认数据进行数据分割来存储。
(4)也可以在启动后一定时间内不进行对应的认证终端装置、控制装置的确认。因为有时在启动控制装置或者认证终端装置后，不立即启动对应的认证终端装置、控制装置。
(5)在本实施例中，在认证终端装置300的CPU301确认控制装置200的情况下，请求了部分认证数据、部分处理数据，但是也可以不请求部分认证数据、部分处理数据而仅通过控制装置识别数据来确认控制装置200。
(6)在本实施例中，在认证终端装置中装备了电池，但是也可以在控制装置中装备电池。另外，也可以在控制装置以及认证终端装置双方中装备电池，改变电池的持续时间。因为如果一方先停止，则可以从工作着的装置删除部分认证数据、部分处理数据。
(7)在本实施例中，在收发部分认证数据、部分处理数据时使用公开密钥密码加密，但是也可以使用公共密钥密码加密。另外，也可以不使用密码。
(8)在本实施例中，在出入管理中使用了认证系统，但是例如ATM、电子申请、对于机密数据的访问管理等，只要是需要进行本人确认的场合，都可以使用认证系统。
(9)在本实施例中，作为本人确认手段而使用了指静脉的血管图形，但是例如在脸的形状、手掌形状、指纹、视网膜的血管图形、声波纹等活体信息之外，也可以使用IC卡、个人身份号码、口令、密语(pass phrase)等。
以上，根据几个实施例说明了本发明的实施形态，但是上述发明的实施形态用于使本发明易于理解，而不限定本发明。当然，本发明在不脱离其主旨以及专利请求范围的情况下，能够进行变更、改进，并且在本发明中包含其等价物。
权利要求
1.一种构成认证系统的处理装置，其中，具有存储单元，其存储第二部分认证数据和第二部分处理数据，所述第二部分认证数据是为与输入的输入数据进行核对而预先准备的认证数据的一部分，是在构成认证系统的另一装置的存储单元中存储的第一部分认证数据的剩余部分，所述第二部分处理数据是在执行核对所述输入数据和所述认证数据的处理的至少一部分时所使用的处理数据的一部分，是在所述另一装置的存储单元中存储的第一部分处理数据的剩余部分；接收单元，其从所述另一装置接收所述第一部分认证数据和所述第一部分处理数据；第一数据结合单元，其由所述第一部分认证数据以及所述第二部分认证数据生成所述认证数据；第二数据结合单元，其由所述第一部分处理数据以及所述第二部分处理数据生成所述处理数据；和认证单元，其根据所述处理数据，执行核对所述输入数据和所述认证数据的处理来进行认证。
2.根据权利要求1所述的处理装置，其中，所述处理装置还具有用于确认所述另一装置是否是正当装置的装置确认数据，当所述装置确认数据满足规定条件时，所述第一结合单元由所述第一部分认证数据和所述第二部分认证数据生成所述认证数据，所述第二结合单元由所述第一部分处理数据和所述第二部分处理数据生成所述处理数据，所述认证单元根据所述处理数据，执行核对所述输入数据和所述认证数据的处理来进行认证。
3.根据权利要求2所述的处理装置，其中，在所述装置确认数据不满足规定条件时，从存储单元中删除所述第二部分认证数据以及所述第二部分处理数据中的至少一方的数据。
4.根据权利要求3所述的处理装置，其中，还具有电池电源。
5.根据权利要求1所述的处理装置，其中，所述处理装置是认证系统的控制装置，具有把所述认证数据分割为两个部分认证数据的第一数据分割单元；把所述处理数据分割为两个部分处理数据的第二数据分割单元；和向所述另一装置发送所述两个部分认证数据的一方和所述两个部分处理数据的一方的发送单元。
6.根据权利要求2所述的处理装置，其中，所述处理装置是认证系统的控制装置，具有把所述认证数据分割为两个部分认证数据的第一数据分割单元；把所述处理数据分割为两个部分处理数据的第二数据分割单元；和向所述另一装置发送所述两个部分认证数据的一方和所述两个部分处理数据的一方的发送单元。
7.根据权利要求3所述的处理装置，其中，所述处理装置是认证系统的控制装置，具有把所述认证数据分割为两个部分认证数据的第一数据分割单元；把所述处理数据分割为两个部分处理数据的第二数据分割单元；和向所述另一装置发送所述两个部分认证数据的一方和所述两个部分处理数据的一方的发送单元。
8.根据权利要求4所述的处理装置，其中，所述处理装置是认证系统的控制装置，具有把所述认证数据分割为两个部分认证数据的第一数据分割单元；把所述处理数据分割为两个部分处理数据的第二数据分割单元；和向所述另一装置发送所述两个部分认证数据的一方和所述两个部分处理数据的一方的发送单元。
9.根据权利要求5所述的处理装置，其中，所述第一分割单元，生成不同于所述第一部分认证数据以及所述第二部分认证数据的两个部分认证数据，所述第二分割单元，生成不同于所述第一部分处理数据以及所述第二部分处理数据的两个部分处理数据，所述发送单元，向另一装置发送所述生成的两个部分认证数据的一方和所述生成的两个部分处理数据的一方，所述存储单元，存储所述生成的两个部分认证数据的另一方和所述生成的两个部分处理数据的另一方。
10.根据权利要求6所述的处理装置，其中，所述第一分割单元，生成不同于所述第一部分认证数据以及所述第二部分认证数据的两个部分认证数据，所述第二分割单元，生成不同于所述第一部分处理数据以及所述第二部分处理数据的两个部分处理数据，所述发送单元，向另一装置发送所述生成的两个部分认证数据的一方和所述生成的两个部分处理数据的一方，所述存储单元，存储所述生成的两个部分认证数据的另一方和所述生成的两个部分处理数据的另一方。
11.根据权利要求7所述的处理装置，其中，所述第一分割单元，生成不同于所述第一部分认证数据以及所述第二部分认证数据的两个部分认证数据，所述第二分割单元，生成不同于所述第一部分处理数据以及所述第二部分处理数据的两个部分处理数据，所述发送单元，向另一装置发送所述生成的两个部分认证数据的一方和所述生成的两个部分处理数据的一方，所述存储单元，存储所述生成的两个部分认证数据的另一方和所述生成的两个部分处理数据的另一方。
12.根据权利要求8所述的处理装置，其中，所述第一分割单元，生成不同于所述第一部分认证数据以及所述第二部分认证数据的两个部分认证数据，所述第二分割单元，生成不同于所述第一部分处理数据以及所述第二部分处理数据的两个部分处理数据，所述发送单元，向另一装置发送所述生成的两个部分认证数据的一方和所述生成的两个部分处理数据的一方，所述存储单元，存储所述生成的两个部分认证数据的另一方和所述生成的两个部分处理数据的另一方。
13.根据权利要求1所述的处理装置，其中，所述处理装置是认证系统的认证终端装置，具有取得输入数据的输入数据取得单元；和接收认证系统的控制装置分割成的两个部分认证数据的一方和所述控制装置分割成的两个部分处理数据的一方的接收单元。
14.根据权利要求2所述的处理装置，其中，所述处理装置是认证系统的认证终端装置，具有取得输入数据的输入数据取得单元；和接收认证系统的控制装置分割成的两个部分认证数据的一方和所述控制装置分割成的两个部分处理数据的一方的接收单元。
15.根据权利要求3所述的处理装置，其中，所述处理装置是认证系统的认证终端装置，具有取得输入数据的输入数据取得单元；和接收认证系统的控制装置分割成的两个部分认证数据的一方和所述控制装置分割成的两个部分处理数据的一方的接收单元。
16.根据权利要求4所述的处理装置，其中，所述处理装置是认证系统的认证终端装置，具有取得输入数据的输入数据取得单元；和接收认证系统的控制装置分割成的两个部分认证数据的一方和所述控制装置分割成的两个部分处理数据的一方的接收单元。
17.一种由认证终端装置和控制装置组成的认证系统，其中，所述认证终端装置具有取得输入数据的输入数据取得单元；和存储第一部分认证数据和第一部分处理数据的存储单元，所述第一部分认证数据是为了与所述输入数据核对而预先准备的认证数据的一部分，所述第一部分处理数据是在执行核对所述输入数据和所述认证数据的处理的至少一部分时所使用的处理数据的一部分，所述控制装置具有存储第二部分认证数据和第二部分处理数据的存储单元，所述第二部分认证数据是所述第一部分认证数据的剩余部分，所述第二部分处理数据是所述第一部分处理数据的剩余部分；由所述第一部分认证数据以及所述第二部分认证数据生成所述认证数据的第一数据结合单元；由所述第一部分处理数据以及所述第二部分处理数据生成所述处理数据的第二数据结合单元；根据所述处理数据，执行核对所述输入数据和所述认证数据的处理来进行认证的认证单元；把所述认证数据分割为两个部分认证数据的第一数据分割单元；把所述处理数据分割为两个部分处理数据的第二数据分割单元；和与所述认证终端装置收发所述两个部分认证数据的一方和两个部分处理数据的一方的通信单元。
18.一种由认证终端装置和控制装置组成的认证系统的数据管理方法，其中，所述控制装置，把为与认证终端装置的输入数据进行核对而预先准备的认证数据分割为两个部分认证数据；所述控制装置，把在执行核对所述输入数据和所述认证数据的处理的至少一部分时所使用的处理数据分割为两个部分处理数据；所述认证终端装置，把所述分割得到的两个部分认证数据的一方作为第一部分认证数据存储在认证终端装置的存储单元内，把所述分割得到的两个部分处理数据的一方作为第一部分处理数据存储在认证终端装置的存储单元内；所述控制装置，把所述分割得到的两个部分认证数据的另一方作为第二部分认证数据存储在控制装置的存储单元内，把所述分割得到的两个部分处理数据的另一方作为第二部分处理数据存储在控制装置的存储单元内；在规定的时间，所述控制装置通过认证终端装置确认数据进行认证终端装置的认证，所述认证终端装置通过控制装置确认数据进行所述控制装置的认证；在所述控制装置能够认证所述认证终端装置、所述认证终端装置能够认证所述控制装置的情况下，所述控制装置，结合所述第一部分认证数据和所述第二部分认证数据来复原认证数据，结合所述第一部分处理数据和所述第二部分处理数据来复原处理数据，把所述复原的认证数据分割为不同于所述第一部分认证数据和所述第二部分认证数据的两个部分认证数据，把所述复原的处理数据分割为不同于所述第一部分处理数据和所述第二部分处理数据的两个部分处理数据，所述认证终端装置，把所述分割得到的两个部分认证数据的一方作为第一部分认证数据，从所述控制装置接收并存储在认证终端装置的存储单元内，把所述分割得到的部分处理数据的一方作为第一部分处理数据，从所述控制装置接收并存储在认证终端装置的存储单元内，所述控制装置，把所述分割得到的部分认证数据的另一方作为第二部分认证数据存储在控制装置的存储单元内，把所述分割得到的部分处理数据的另一方作为第二部分处理数据存储在控制装置的存储单元内；在所述认证终端装置不能认证所述控制装置的情况下，所述认证终端装置删除所述第一部分认证数据或者所述第一部分处理数据的至少一方；在所述控制装置不能认证所述认证终端装置的情况下，所述控制装置删除所述第二部分认证数据或者所述第二部分处理数据的至少一方。
全文摘要
本发明提供构成认证系统的处理装置、认证系统及其动作方法。所述认证系统具有存储第二部分认证数据和第二部分处理数据的存储单元，所述第二部分认证数据是认证数据的一部分，是在另一装置中存储的第一部分认证数据的剩余部分，所述第二部分处理数据是在进行输入数据和认证数据的核对处理时所使用的处理数据的一部分，是在另一装置中存储的第一部分处理数据的剩余部分；接收第一部分认证数据和第一部分处理数据的接收单元；由第一部分认证数据以及第二部分认证数据生成认证数据，由第一部分处理数据以及第二部分处理数据生成处理数据的结合单元；和执行核对输入数据和认证数据的处理来进行认证的认证单元。
文档编号G07C9/00GK101071467SQ20071010772
公开日2007年11月14日 申请日期2007年4月28日 优先权日2006年5月10日
发明者畦田昌嗣, 安江司, 今泉敦博 申请人:日立欧姆龙金融系统有限公司