专利名称:认证系统及卡和认证方法
技术领域:
本发明涉及使用外部装置进行个人认证的认证系统以及卡和认证方法。
背景技术:
近几年,IC卡代替磁卡开始普及。在使用IC卡时,访问IC卡内部的信息时需要称之为PIN(Personal Identification Number)的密码。另外,IC卡具有在一定次数内弄错PIN的情况下不能访问信息的“由PIN实现信息保护”、与磁卡等相比复制困难等高安全保护功能。使用这样的高安全保护功能,近年来作为存储个人的认证信息或者存储加密和解密等所需的信息的手段IC卡被采用。
另外在个人认证系统等被大量有效利用的现在,考虑个人对于多个领域持有不同的帐号、一个人在同一种认证系统上可以使用不同的信息的情况。因此在考虑了这样的情况的时候,在一个人使用的同一种认证系统上管理被使用的多个认证信息的必要性就显现出来了。
例如,使用IC卡管理多个认证信息的时候,考虑有拥有多张IC卡的方法、在IC卡内保存多个个人信息的方法等。在这里涉及使用存储多个个人信息的IC卡,例如容易实现在医疗机构和远程用户之间进行的保健信息的交换,简单的进行正确的保健信息的维持以及治疗费的清算系统等技术被人们所熟知。(例如作为专利文献1参照特开2002-230157号公报)但是,根据上述专利文献1记载的方法,IC卡内多个个人信息中被使用的个人信息并不是任意可以指定的。因此最好是在多个认证信息被存储在IC卡上,从该多个认证信息中可以指定用于认证的认证信息的时候,用户一边确认可以选择的认证信息,一边能够选择多个认证信息中的一个。
发明内容
本发明是用来解决现有技术中的问题而被提出的,其目的是提供显示与多个认证信息分别对应的多个识别信息,并且,通过取得与从该多个识别信息中选择的识别信息对应的认证信息,能够选择用于认证的认证信息的认证系统以及卡和认证方法。
为了解决上述课题,本发明提供一种使用从存储在外部装置上的多个认证信息中选择的认证信息进行用户认证的认证系统,其特征在于具有显示与存储在外部装置上的多个认证信息分别对应的多个识别信息的显示单元,和从上述外部装置中取得与从由上述显示单元显示的多个识别信息中选择的识别信息对应的认证信息的取得单元,和使用根据上述取得单元所取得的上述认证信息执行认证处理的认证单元。
本发明提供一种更新从存储在外部装置上的多个认证信息中选择的认证信息的认证系统,其特征在于具有显示与存储在外部装置上的多个认证信息分别对应的多个识别信息的显示单元,和输入与从由上述显示单元显示的多个认证信息中选择的识别信息对应的一个认证信息以及进行变更的新的认证信息的输入单元,和使用由上述输入单元输入的上述新的认证信息,更新存储在上述外部装置上的上述一个认证信息的更新单元。
本发明提供一种可安装在如上所述的认证系统上或从该认证系统卸下的卡,其特征在于具有存储上述多个认证信息的第1存储单元,和存储与上述多个认证信息分别对应的显示用的识别信息的第2存储单元。
本发明提供一种使用从存储在外部装置上的多个认证信息中选择的认证信息进行用户认证的认证方法,其特征在于具有使与存储在外部装置上的多个认证信息分别对应的多个识别信息在显示装置上显示的显示步骤;从上述外部装置中取得与从由上述显示装置显示的多个识别信息中选择的识别信息对应的认证信息的取得步骤;和使用由上述的取得步骤取得的上述认证信息执行认证处理的认证步骤。
本发明提供一种更新从存储在外部装置上的多个认证信息中选择的认证信息的认证方法,其特征在于具有使与存储在外部装置上的多个认证信息分别对应的多个识别信息在显示装置上显示的显示步骤;输入与从由上述显示装置显示的多个识别信息中选择的识别信息对应的一个认证信息以及进行变更的新的认证信息的输入步骤;和使用由上述输入步骤输入的上述新的认证信息更新存储在外部装置上的上述一个认证信息的更新步骤。
以下结合附图进行的描述使得本发明的其他特征和优点更加清楚明了。其中在所有的附图中指定相同或相应的部分使用相同的附图标记。
附图使说明书具体化,并组成说明书的一部分,举例说明本发明的具体实施方式
,并且与描述结合在一起用于说明本发明的原理。
图1是表示根据本发明的一个实施方式的认证系统的结构的方框图。
图2是表示在根据本发明的一个实施方式的认证系统中所使用IC卡的硬件结构的一个例子的图。
图3是图1所示客户PC102、103的硬件结构的概要图。
图4是表示与图2所示的根据本发明的一个实施方式的IC卡的EEPROM204上的文件格式的一个例子的图。
图5是表示根据本发明的一个实施方式的IC卡在图4中所示的用户帐户一览表信息文件F0的内部结构的一个例子的图。
图6是表示根据本发明的一个实施方式的IC卡在图4中所示的认证信息存储文件F1~F3的内部结构的一个例子的图。
图7是用于说明在图1所示的根据本发明的一个实施方式的认证系统的认证处理顺序的流程图。
图8是用于说明在图1所示的根据本发明的一个实施方式的认证系统的认证信息输入顺序的流程图。
图9是表示指示进行PIN码输入的显示图。900是PIN码输入画面。
图10是表示用户帐户一览表的图。
图11是表示指示用于对与被选择的显示用户名对应的识别符503对应的文件进行访问的PIN码输入的图。
图12是表示指示进行认证信息输入的显示图。1200是认证信息输入画面。
具体实施例方式
以下参照附图,详细说明根据本发明的一个实施方式的认证系统以及使用的IC卡。
图1是表示根据本发明的一个实施方式的认证系统的结构的方框图。如图1所示,在根据本实施方式的认证系统中,认证服务器101和客户PC102、103经由网络104相互连接。客户PC102或者103可以有由认证服务器101进行的网络认证和由客户PC102或者103自身进行的本地认证这两种认证。
图2是表示在根据本发明的一个实施方式的认证系统中被使用的IC卡的硬件结构的一个例子的图。在图2上,201是处理器(CPU),经由系统总线205和RAM202、ROM203以及EEPROM204连接。RAM202是CPU201在数据处理时使用的存储器。另外,ROM203存储CPU201可以执行的程序。进而,EEPROM204中存储着应用信息等的各种信息。
图3是图1所示的客户PC102、103的硬件结构的概要图。如图3所示,在客户PC102、103中,CPU301、RAM302、显示各种信息等的液晶显示器(LCD)303、键盘304、ROM305、通信接口306、硬盘等存储装置(DISK)307以及读取图2所示的IC卡上存储的信息的IC读卡机308经由系统总线320互相连接。
控制图1所示的客户PC102的程序被存储在ROM305或者DISK307上,根据需要被读出到RAM302,由CPU301运行。
另外,CPU301可以通过通信接口306和连接到有线/无线网络上的外部装置等进行通信。进而CPU301通过IC读卡机308和图2所示的IC卡进行通信,进行该IC卡插入拔出的检测、读取存储在IC卡上的各种信息。
图4表示在图2所示的本发明的一个实施方式的IC卡的EEPROM204上的文件格式的一个例子的图。在图4上401是在IC卡内的文件结构中的目录文件,是表示存储认证信息的专用文件。另外该DF401存储在IC卡内非易失性存储器(EEPROM)204上。另外,后面所述的认证信息以及用户帐户一览表信息作为DF401内的元文件(element file)被存储。
在图4上402是保持用户帐户一览表信息的用户帐户一览表信息文件。用户帐户一览表信息文件402由操作符F0识别,由PIN“0123”保护。另外,403是保持与用户帐户1有关的认证信息的认证信息存储文件。认证信息存储文件403由识别符F1识别,由PIN“abcd”保护。进而404是保持与用户帐户2有关的认证信息的认证信息存储文件。认证信息存储文件404由识别符F2识别,由PIN“01xyz”保护。进而另外,405是保持与用户帐户3有关的认证信息的认证信息存储文件。认证信息存储文件405由识别符F3识别,由PIN“0112”保护。
图5是表示根据本发明的一个实施方式的IC卡的在图4所示的用户帐户一览表信息文件F0(402)的内部结构的一个例子图。在图5上,501表示作为每个用户帐户的识别信息的索引。502表示与用户帐户对应的显示用的用户名。显示用用户名,如果是显示用的识别信息,则可以是号码等。503是表示保持实际认证时使用的用户帐户、密码等的认证信息存储文件的识别符Fx(x=1,2,3…)。
图6是表示根据本发明的一个实施方式的IC卡的图4所示的认证信息存储文件F1~F3的内部结构的一个例子图。在图6上,601表示认证信息的识别符,602表示与多个识别符601分别对应的认证信息。另外,603表示用户帐户名,604表示与用户帐户名603对应的密码,605表示域名。进而,606是更新认证信息602时所必要的PIN,表示为了更新图5所示的显示用的用户名,对用户帐户一览表信息文件进行访问所必要的PIN。
图7是用于说明在图1所示的本发明的一个实施方式的认证系统的认证处理顺序的流程图。认证系统的客户PC103,首先检测IC卡被插入了IC读卡机308上(步骤S701)。并且IC卡经由IC读卡机308可以安装在与本实施方式的认证系统上或从其上卸下。而且当检测出客户PC103插入IC卡后,就进行指示进行PIN码输入的显示(PIN输入表示)。PIN码对显示显示用用户名(用户帐户)一览表是必要的,对取得存储在EEPROM204的用户帐户一览表信息文件402上的用户帐户一览表信息也是必要的。图9是表示指示进行PIN码输入的显示的图。900是PIN码输入画面。该输入画面在LCD303上被表示。当用户使用键盘304等输入PIN码,“*”就被显示在框901上。代替显示“*”也可以显示被输入的PIN码自身。
输入了PIN码后,为了进行被输入的PIN码认证,客户PC103向IC卡发送输入了的PIN码,IC卡把接收到的PIN码和与用户帐户一览表信息对应的PIN码进行比较(步骤S703)。其结果是当发生了认证错误的时候,换言之被输入的PIN码和与用户帐户一览表信息对应的PIN码不一致的时候,IC卡把该意思通知给客户PC103,客户PC103进行错误显示和错误处理(步骤S704)。之后再次转移到PIN输入显示步骤(步骤S702)。另一方面,在步骤S703上输入的PIN码被认证为正确的时候,换言之被输入的PIN码和与客户帐号一览表信息对应的PIN码一致的时候,IC卡向客户PC103发送存储在用户帐户一览表信息文件402上的用户帐户一览表信息,客户PC103取得该用户帐户一览表信息并显示用户帐户一览表信息(步骤S705)。在用户帐户一览表信息中各个用户帐户的认证信息并不是原样被显示的,而是显示和各用户帐户一一对应的显示用的用户名。因此防止认证信息被第三者偷看到。
图10是表示用户帐户一览表的图。1000是用户帐户选择画面。用户帐户选择画面在LCD303上被显示。1001是用户帐户一览表。用户按下按钮1002或者按钮1003选择所希望的用户帐户,然后按下确认按钮1004。在图10的例子中,选择与显示用的用户名“XYZ”对应的用户帐户。另外在用户想变更用户帐户的内容的情况下按下按键105。
然后在用户帐户一览表显示步骤(步骤S705)上从被一览表显示的用户帐户中选择由用户特定的用户帐户,当按下确认键1004,则客户PC103为了判断由用户选择了哪个用户帐户,识别由用户选择的显示用的用户名(步骤S706)。之后客户PC103进行显示以指示进行访问与被选择的显示用的用户名对应的识别符503的文件的PIN码输入(PIN输入显示)(步骤S707)。图11是显示用于指示进行访问与被选择的显示用户名对应的识别符503对应的文件的PIN码输入的图。1100是PIN码的输入画面。该输入画面在LCD303上显示。在该输入画面1100中需要进行与用户帐户“XYZ”对应的PIN码的输入。当用户使用键盘304等输入PIN码,则“*”在框901上被显示。代替显示“*”,也可以显示被输入的PIN码本身。
而且,为了进行被输入的PIN码的认证(PIN认证),客户PC103向IC卡发送被输入的PIN码,IC卡将接收了的PIN码同存储在由用户选择的用户帐户的认证信息存储文件上的PIN码进行比较(步骤S708)。其结果,当发生认证错误的时候,换言之,被输入的PIN码和与用户帐户对应的PIN码不一致的时候,IC卡把该意思通知给客户PC103,客户PC103进行错误显示和错误处理(步骤709)。之后再次转移到PIN输入显示步骤(步骤S707)。另一方面,在PIN认证步骤(步骤S708)被认证为在步骤S707输入的PIN码正确的时候,换言之被输入的PIN码和与用户帐户对应的PIN码一致的时候,转移到认证信息取得步骤(步骤S710)。
在认证信息取得步骤(步骤S710)中,IC卡将图6所示的用户帐户名603以及与之对应的密码604等信息,作为与被选择的用户帐户对应的认证信息向客户PC103发送,客户PC103取得该认证信息。然后客户PC103根据取得的用户帐户名603以及密码604进行认证处理(步骤S711)。作为认证处理执行网络认证的时候,客户PC103向认证服务器101发送取得了的用户名603和密码604,接收由认证服务器101得到的认证结果。作为认证处理执行本地认证的时候,客户PC103将取得的用户名603以及密码604与存储在客户PC103内的数据库上的信息进行对比认证。而且当在认证处理步骤(S711)发生认证错误的时候,客户PC103进行错误显示和错误处理(步骤S712)。之后转移到用户帐户一览表显示用的PIN输入显示步骤(步骤702)。另一方面,在认证处理步骤(步骤S711)认证处理成功的时候结束本认证处理。另外,在客户PC102上进行上述动作的时候也是相同的。
图8是用于说明在图1所示的根据本发明的一个实施方式的认证系统上的认证信息的输入处理顺序的流程图。首先,客户PC103检测IC卡是否插入了IC读卡机308中(步骤S801)。然后当卡被插入后,客户PC103进行显示以指示为了显示用户帐户一览表输入取得用户帐户一览表信息文件402所需的PIN码(步骤S802)。在PIN输入显示步骤(步骤S802)中,客户PC103显示和图9相同的输入画面。
在PIN输入显示步骤(步骤S802)中,输入了PIN码后,为了进行被输入的PIN码的认证,客户PC103向IC卡发送被输入的PIN码,IC卡将接收了的PIN码和与用户帐户一览表信息对应的PIN码进行比较(步骤S803)。在PIN认证步骤(步骤S803)中发生认证错误的时候,换言之被输入的PIN码和与用户帐户一览表信息对应的PIN码不一致的时候,IC卡把该意思通知给客户PC103,客户PC103进行错误显示和错误处理(错误处理步骤步骤S804)。之后,再次转移到PIN输入显示步骤(步骤S802)。另一方面在PIN认证步骤(步骤S803)中被输入的PIN码被认证为正确的时候,换言之,被输入的PIN码和与用户帐户一览表信息对应的PIN码一致的时候,IC卡向客户PC103发送用户帐户一览表信息文件402,客户PC103取得用户帐户一览表信息文件402,显示用户帐户一览表(步骤S805)。在步骤S805中,客户PC103显示和图10相同的画面。用户想输入认证信息的时候,用户按下按键1002或者按键1003选择所希望的用户帐户,然后按下按键1005。
在用户帐户一览表示/选择步骤(步骤S805)中,从用户帐户一览表中由用户选择进行更新或者写入的用户帐户,按下按键1005的时候,客户PC103进行显示以指示输入对与被选择的用户帐户对应的识别符的文件进行访问的PIN码(步骤S806)。在PIN输入显示步骤(步骤S806)中客户PC103显示和图11相同的输入画面。
在PIN输入显示步骤(步骤S806)PIN码被输入后,为了进行被输入的PIN码的认证(PIN认证),客户PC103向IC卡发送被输入了的PIN码,IC卡将接收到的PIN码,和存储在与由用户选择的用户帐户对应的认证信息存储文件上的PIN码进行比较(步骤S807)。在PIN认证(步骤S807)发生认证错误的时候,换言之,被输入的PIN码和与用户帐户对应的PIN码不一致的时候,IC卡把该意思通知给客户PC103,客户PC103进行错误显示和错误处理(步骤S808)。之后再次转移到PIN输入显示步骤(步骤S806)。
另一方面,在PIN认证步骤(认证步骤S807)被认证为在步骤S707被输入的PIN码为正确的时候,换言之,被输入的PIN码和与用户帐户对应的PIN码一致的时候,客户PC103进行显示以指示输入认证信息(S809)。图12是表示指示认证信息输入的显示的图。1200是认证信息输入画面。这个输入画面在LCD303上显示。用户使用键盘304等,向框1201~1203内分别输入用户名、密码、域名。另外用户向框1204内输入在用户帐户一览表上显示的显示用用户名。然后当按下确认按键1205后,客户PC103向IC卡发送在认证信息输入步骤(步骤S809)输入的用户名、密码、域名、显示用用户名。IC卡将各项目的值写入到与在用户帐户一览表示/选择步骤(步骤S805)所选择的用户帐户对应的认证信息存储文件上(步骤S810)。另外IC卡使用PIN码606,用在认证信息输入步骤(步骤S809)输入的显示用的用户名更新用户帐户一览表信息的显示用用户名(步骤S810)。
以上虽然详描叙述了实施方式的例子,但是本发明可以取例如作为系统、装置、方法、程序或者存储介质(记录介质)等的实施方式,具体地也可以适用于在由多个设备构成的系统上;另外也可以适用于由一个设备组成的装置上。另外作为卡的实施方式虽然是举IC卡为例说明,但是如果是实现同样的功能的话并不仅限于IC卡。
并且本发明包含由为系统或者装置直接或者间接提供实现上述实施方式的功能的软件程序(在本实施方式中与如图所示的流程图对应的程序),该系统或者装置的计算机读出该被提供的程序码,并运行来达到目的。
进而因为在计算机上实现本发明的功能处理,因此安装在该计算机上的程序码自身也实现了本发明。也就是说,本发明也包含用于实现本发明的功能处理的计算机程序自身。
在该情况下,如果具有程序的功能,也可以是目标代码、由编译器执行的程序、提供给OS的脚本数据等的形态。
作为用于提供程序的记录介质,有例如软盘(注册商标)、硬盘、光盘、磁光盘、MO、CD-ROM、CD-RW、磁带、非易失性存储卡、ROM、DVD(DVD-ROM、DVD-R)等。
其他的,也可以提供作为程序的提供方法使用客户计算机的浏览器连接到因特网的主页,从该主页上下载本发明的计算机程序自身或者将包含被压缩、自动安装功能的文件下载到硬盘等记录介质上。另外也可以由将构成本发明的程序的程序代码分割成多个文件,从分别不同的文件的主页上下载实现。也就是说对于多个用户,使用于在计算机上实现本发明的功能处理的程序文件下载的WWW服务器也含在本发明中。
另外也可加密本发明的程序存储在CD-ROM等的存储介质上,分发给用户,对于清除了规定的条件的用户,经由因特网从主页上下载解除加密的密匙信息,运行由根据使用该密匙信息所加密的程序使其安装到计算机上来实现。
另外计算机除了通过运行读出的程序,实现上述实施方式的功能外,还可以基于其程序的指示,在计算机上运转的OS等进行实际的处理的一部分或者全部,由其处理实现上述实施方式的功能。
进而,向插入到计算机上的功能扩展板、连接到计算机上的功能扩展单元上具有的存储器中写入从记录介质读出的程序后,根据该程序的指示,该功能扩展板、功能扩展单元所具有的CPU等执行实际处理的一部分或者全部,由该处理实现上述实施方式的功能。
根据本发明,可与保持在卡内的(例如IC卡)的多个认证信息对应,将认证信息作为一览表进行显示,进而,根据取得与从上述一览表中选择的识别信息对应的认证信息,可选择用于认证的认证信息。
另外,根据本发明,对同一种认证系统可实现使用存储有多个可认证信息的一张卡的用户认证,也可减轻个人持有多个作为认证信息管理单元的卡的负担。
进而,根据本发明,在同一种认证系统上所使用的多个认证信息分别是分配给多个用户的认证信息的情况下,可多个人共有1张卡,使用分别不同的帐户进行个人认证。
权利要求
1.一种使用从存储在外部装置上的多个认证信息中选择的认证信息进行用户认证的认证系统,其特征在于具有显示与存储在外部装置上的多个认证信息分别对应的多个识别信息的显示单元,和从上述外部装置中取得与从由上述显示单元显示的多个识别信息中选择的识别信息对应的认证信息的取得单元,和使用根据上述取得单元所取得的上述认证信息执行认证处理的认证单元。
2.如权利要求1所述的认证系统,其特征在于具有输入用于显示上述识别信息的认证信息的输入单元,和根据由上述输入单元输入的上述认证信息判定是否允许上述识别信息的显示的判定单元,在判定为允许上述识别信息的显示的时候,上述显示单元显示上述识别信息。
3.如权利要求1所述的认证系统,其特征在于具有输入用于从上述外部装置中取得与从由上述显示单元显示的多个识别信息中选择的识别信息对应的认证信息的认证信息的第2输入单元,和根据由上述第2输入单元输入的认证信息,判定是否允许取得与从由上述显示单元显示的多个识别信息中选择的上述识别信息对应的认证信息的第2判定单元,在判定为允许取得认证信息时候,上述取得单元从外部装置中取得与从由上述显示单元显示的多个识别信息中选择的识别信息对应的认证信息。
4.一种更新从存储在外部装置上的多个认证信息中选择的认证信息的认证系统,其特征在于具有显示与存储在外部装置上的多个认证信息分别对应的多个识别信息的显示单元,和输入与从由上述显示单元显示的多个认证信息中选择的识别信息对应的一个认证信息以及进行变更的新的认证信息的输入单元,和使用由上述输入单元输入的上述新的认证信息,更新存储在上述外部装置上的上述一个认证信息的更新单元。
5.如权利要求2所述的认证系统,其特征在于由上述输入单元输入的认证信息是卡用PIN码。
6.一种可安装在如权利要求1所述的认证系统上或从该认证系统卸下的卡,其特征在于具有存储上述多个认证信息的第1存储单元,和存储与上述多个认证信息分别对应的显示用的识别信息的第2存储单元。
7.一种使用从存储在外部装置上的多个认证信息中选择的认证信息进行用户认证的认证方法,其特征在于具有使与存储在外部装置上的多个认证信息分别对应的多个识别信息在显示装置上显示的显示步骤;从上述外部装置中取得与从由上述显示装置显示的多个识别信息中选择的识别信息对应的认证信息的取得步骤;和使用由上述的取得步骤取得的上述认证信息执行认证处理的认证步骤。
8.如权利要求7所述的认证方法,其特征在于具有输入用于使上述识别信息显示的认证信息的输入步骤;和根据被输入的上述认证信息判定是否允许上述识别信息的显示的判定步骤,在判定为允许上述识别信息的显示的情况下,在上述显示步骤显示上述识别信息。
9.如权利要求7所述的认证方法,其特征在于具有输入用于从外部装置中取得与从由上述显示装置显示的多个识别信息中选择的识别信息对应的认证信息的认证信息的第二输入步骤,和根据在上述第二输入步骤所输入的上述认证信息,判定是否允许取得与从上述多个识别信息中选择的识别信息对应的认证信息的第二判定步骤,在判定为允许取得认证信息的情况下,在上述取得步骤从上述外部装置中取得与从上述多个识别信息中选择的识别信息对应的认证信息。
10.一种更新从存储在外部装置上的多个认证信息中选择的认证信息的认证方法,其特征在于具有使与存储在外部装置上的多个认证信息分别对应的多个识别信息在显示装置上显示的显示步骤;输入与从由上述显示装置显示的多个识别信息中选择的识别信息对应的一个认证信息以及进行变更的新的认证信息的输入步骤;和使用由上述输入步骤输入的上述新的认证信息更新存储在外部装置上的上述一个认证信息的更新步骤。
全文摘要
本发明提供通过与保持在外部装置内的多个认证信息对应显示多个识别信息,进而取得与从该多个认证信息中选择的识别信息对应的认证信息,从而实现可选择认证所使用的认证信息的认证系统及卡和认证方法。首先,请求输入用于使得在显示装置显示与存储在IC卡上的多个认证信息分别对应的显示用用户名帐户的一览表的密码。根据输入的密码判定一览表显示是否是由允许的用户进行的操作,以此为条件,从存储在IC卡上的多个认证信息选择一个认证信息。而且从IC卡中取得被选择的一个认证信息进行用户认证。
文档编号G06K19/10GK1735012SQ20051009144
公开日2006年2月15日 申请日期2005年8月10日 优先权日2004年8月10日
发明者安原洋 申请人:佳能株式会社