验证系统的制作方法

专利名称：验证系统的制作方法
技术领域：
本发明涉及验证系统，尤其涉及对用户的个人信息进行核对，从 而进行验证的验证系统。
背景技术：
在现有技术中，在像订立保险合同、和开立银行帐户等那样的重要过程和交易中，为了证明个人的存在，必须出示像驾驶证或雇员ID 卡那样的标识卡。并且，随着最近电子技术的发展，在使用电子货币等的情况下， 主要执行核对输入口令、从磁卡或IC卡中读出特有个人信息和进行核 对的个人验证方法。但是，在驾驶证或雇员ID卡的情况下，它们容易被复制或伪造， 利用未授权标识卡的未授权动作没有显示出显著下降的迹象。此外，在利用电子信息的验证方法中，电子信息容易被窜改、泄 漏和被窃取，尤其，在通过因特网验证的情况下，由于难以检验对方， 验证的脆弱性是无可否认的。为了防止这样的未授权验证动作，近年来，人们提出了通过生物 测定(biometrics)信息的验证。这个生物测定信息指的是通过生物测定获得的个人固有的特有 信息，包括指紋和声紋等，由于它是其它人不可能有的个人特有信息， 人们认为难以窜改生物测定信息。作为通过这样安全性加强的电子信息的验证之一，人们提出了公 开在专利文件1中的利用生物测定验证技术的犯罪预防系统。在这个专利文件l中，除了用户只局限于所选和所登记人员的验 证目标之外，将验证目标的范围扩大到对用户来说是"身体不明人员，，
的人员，并且，将这些验证目标的生物测定信息登记进数据库，从而 当"身体不明人员"执行未授权动作时，可以作出适当响应。专利文件1:日本待审专利申请公布第2005-32051号。 发明内容本发明要解决的问题但是，即使通过安全性加强的生物测定信息进行个人验证，在其 验证系统中，也将生物测定信息转换成电子信息，并且以与现有技术 相同的方式发送和接收，于是，难以完全防止电子信息被窜改、泄漏 和被窃取。本发明就是在考虑了现有技术中的上述问题之后作出的，于是， 本发明的目的是提供一种提高登记人员存在性的验证精度的验证系 统，和当利用容易被窜改、容易泄漏和容易被窃取的电子信息通过网 络进行个人验证时，通过进行利用生物测定信息的匹配/失配的验证和 时间/空间验证，容易地找出未授权动作，以提高系统的安全性。解决问题的手段为了达到上述目的，根据本发明，提供了这样的验证系统，它包 括多个服务器，每一个配有管理有关要验证的登记人员的个人信息的 数据库；和通过通信线网络与服务器连接、供登记人员操作的多个信 息输入设备，其中，信息输入设备将包括登记人员输入的信息的移动 信息发送到服务器，和服务器一旦接收到来自信息输入设备的移动信 息，根据接收的移动信息、和数据库中的个人信息，进行登记人员存 在性的验证。并且，根据本发明，提供了这样的验证系统，其中，服务器核对 接收的移动信息、和数据库中的个人信息，和当上述信息匹配时，将 允许信息输入设备执行指定动作的许可信息发送到信息输入设备，和 信息输入设备一旦接收到许可信息，执行指定动作。而且，根据本发明，提供了这样的验证系统，其中，移动信息包 括示出作为移动信息发送源的信息输入设备的安装位置的位置信息、
示出登记人员输入信息的时间的时间信息、和登记人员特有的个人标
识ID，和服务器一旦接收到包括相同个人标识ID的多个移动信息， 根据接收移动信息示出的登记人员的信息输入地点和时间，进行登记 人员存在性的连续验证。
此外，根据本发明，提供了这样的验证系统，其中，服务器和信 息输入设备根据登记人员的转移路线发送移动信息。
并且，根据本发明，提供了这样的验证系统，其中，信息输入设 备配有管理个人信息的数据库，和当登记人员输入信息时，核对输入 信息、和数据库中的个人信息，当上述信息匹配时，执行指定动作。
而且，根据本发明，提供了这样的验证系统，其中，服务器包括 以建筑结构、运输工具、设施、区域或机构为单位集体管理信息输入 设备的管理服务器、和配有整体管理管理服务器的数据库中的信息的 数据库的验证服务器。
此外，根据本发明，提供了这样的验证系统，其中，验证系统具 有包括至少一个验证服务器和连接信息输入设备和终端的通信线网络 的多个单元，和验证服务器以这些单元为单位控制对通过信息输入设 备指定的动作的拒绝。
并且，根据本发明，提供了这样的验证系统，其中，验证服务器 一旦接收到来自信息输入设备的移动信息，将限制或禁止信息输入设 备的指定动作的控制信息发送到安装在除该信息输入设备所属的单元 之外的其它单元中的信息输入设备。
而且，根据本发明，提供了这样的验证系统，其中，验证服务器 在接收到来自信息输入设备的移动信息之后， 一旦接收到从除该信息 输入设备所属的单元之外的其它单元中的信息输入设备发送的、包括 相同个人标识ID的移动信息，将对通过个人标识ID指定的登记人员 限制或禁止通过信息输入设备指定的动作的控制信息发送到信息输入 设备。
此外，根据本发明，提供了这样的验证系统，其中，验证服务器 一旦接收到来自信息输入设备的移动信息，将删除移动信息的控制信
息发送到除该信息输入设备所属的单元之外的其它单元中的信息输入 设备和管理服务器，发送到该信息输入设备。
并且，根据本发明，提供了这样的验证系统，其中，验证服务器 一旦接收到来自信息输入设备的移动信息，将限制或禁止通过信息输 入设备指定的动作的控制信息发送到安装在该信息输入设备所属的单
元中的信息输入i殳备。
而且，根据本发明，提供了这样的验证系统，其中，验证服务器 累积接收的移动信息，和一旦接收到来自信息输入设备的移动信息， 根据作为发送源的本领域技术人员信息输入设备的安装位置、和累积 移动信息，预测登记人员的转移路线，和将进行指定动作的执行准备 的控制信息发送到安装在预测转移路线上的信息输入设备。
此外，根据本发明，提供了这样的验证系统，其中，验证服务器 一旦接收到包括示出登记人员使用的运输工具的目的地的信息的移动 信息，和接收来自与运输工具有关的信息输入设备的移动信息，将进 行指定动作的执行准备的控制信息发送到与目的地有关的信息输入设 备。
并且，根据本发明，提供了这样的验证系统，其中，验证服务器 一旦接收到从安装在预测转移路线之外的信息输入设备发送的移动信 息，将限制或禁止通过信息输入设备指定的动作的控制信息发送到信 息输入设备。
而且，根据本发明，提供了这样的验证系统，其中，服务器和信 息输入设备预置了接收或输入信息的发送目的地的次序，在发送接收 或输入信息失败时，将接收或输入信息发送到失败发送目的地的下一 个发送目的地。
此外，根据本发明，提供了这样的验证系统，其中，验证动作通 过核对包括在移动信息中的登记人员的生物测定信息、和通过数据库 管理的生物测定信息，验证登记人员的存在性。
并且，根据本发明，提供了这样的验证系统，其中，服务器转换 局部标识ID、和用在受限机构中的个人标识ID。
而且，根据本发明，提供了这样的验证系统，其中，验证系统由 金融机构管理，和服务器一旦接收到来自信息输入设备的移动信息， 根据接收的移动信息进行验证，在验证取得成功时，将允许进行金融 交易或结算交易的许可信息发送到信息输入设备。
此外，根据本发明，提供了这样的验证系统，其中，服务器一旦 接收到来自信息输入设备的移动信息，根据接收的移动信息进行验证， 在验证取得成功时，将识别已经出示了官方标识卡的信息发送到信息 输入设备。
并且，根据本发明，提供了这样的验证系统，其中，在验证系统 中的网络暂时断开的情况下，信息输入设备将检验当前是否可以连接 的信号发送到可与自身设备连接的服务器和其它信息输入设备，和与 可以连接的服务器或其它信息输入设备建立网络。
而且，根据本发明，提供了这样的验证系统，其中，信息输入设 备存储示出可与自身设备连接的服务器和其它信息输入设备的列表信 息，和在列表信息上示出连接优先级，和在验证系统中的网络暂时断 开的情况下，信息输入设备按照优先级发送检验的信号和建立网络。
同时，作为本发明的有效方面，在本发明的方法、装置、验证系 统、计算机程序、存储计算机程序的记录媒体等之间可以相互取代上 述结构单元的任何组合、和本发明任何结构单元和表示。
本发明的效果
根据本发明的验证系统是具有多个终端，和根据通过终端输入的 登记人员的个人信息，进行登记人员的验证的系统，其中，响应登记 人员的物理转移，使登记人员的个人信息的存储位置在验证系统中发 生转移，并且使除登记人员之外的第三方难以识别登记人员的个人信 息的存储位置，于是，可以防止登记人员的个人信息被这样的第三方 窜改、泄漏和窃取，并且通过进行验证可以容易地找出未授权动作， 从而提高系统的安全性。
附图简述

图1是示出根据本发明实施例的验证系统的基本结构原理的图形。
图2是示出根据本发明实施例的验证系统的构架的方块图。 图3是示出根据本实施例的验证系统的简化结构的方块图。 图4是示出建筑结构方终端110中的数据库的例子的构架的方块图。
图5是示出存储在建筑结构方终端110中的自身空间信息DB 401 和相关空间信息DB 402中的信息的例子的图形。
图6是示出在本发明的实施例中，将建筑结构方终端110和最终 方终端160安装在建筑结构中的图像的图形。
图7是示出作为本发明实施例的每个终端的安装目的和具体动作 的例子的图形。
图8是示出本发明的实施例中终端标识ID的设置方法的例子的 图形，(a)示出了示出终端标识ID的细节时的设置方法，和(b) 示出了简要示出终端标识ID时的设置方法。
图9是示出存储在上述各个终端中的各自基本信息的例子的图 形，并且在(a)到(c)中，示出了它们的具体例子。
图10是示出根据本发明实施例的验证系统的第1数据库的结构 例子的图形。
图ll是示出安装和存储在基本信息DB中的信息的例子的图形。 图12是示出存储在作为本发明实施例的可用性信息DB中的信息 的例子的图形。
图13是示出本发明实施例中的综合DB中的数据结构例子的图形。
图14是示出根据本发明实施例安装在两个不同终端中的数据库 的各自数据结构例子的图形。
图15是示出根据本发明实施例安装在三个不同终端中的数据库 的各自数据结构例子的图形。
图16是示出根据本发明实施例的验证系统的第2数据库的结构
例子的图形。
图17(a)是示出在建筑结构方终端110的下层并行地连接最终方 终端160A、 160B、和160C的结构例子的图形，和图17(b)是示出在 这个结构例子中建筑结构方终端110管理的搜索信息DB116的数据结 构例子的图形。
图18示出了根据本发明实施例的验证系统的第3数据库的结构 例子的图形。
图19是示出根据本发明实施例的验证系统的第4数据库的结构 例子的图形。
图20是示出根据本发明实施例的验证系统执行的登记人员的个 人验证动作的流程的顺序图。
图21是示出根据本发明实施例的验证系统执行的登记人员的个 人验证过程的其它流程的顺序图。
图22是示出本发明的第一实施例中，要登记的人员第一次将他 自己的历史信息登记到最终方终端160和子服务器中时验证系统的动 作例子的顺序图。
图23是示出本发明的第1实施例中，在子服务器的初始登记处 理完成之后，在本验证系统中进行名称标识处理时的动作例子的顺序 图。
图24是示出本发明的第1实施例中，在登记人员第一次登记他 自己的个人信息之后，核实登记人员个人是否是存在人员，和登记信 息是否真实的证实处理中的动作例子的顺序图。
图25是示出根据本发明第1实施例的验证系统中存在点数的计
算方法的例子的图形。
图26是示出根据本发明第1实施例的验证系统对风险率考虑点
数的计算方法的例子的图形。
图27是示出通过方程2对基本点数的计算例子的图形。 图28是示出这个信任评估考虑点数的计算方法的图形。 图29是示出通过方程3对信任评估考虑点数的计算例子的图形。
图30是示出方程4的计算例子的图形。图31示出了本发明的第1实施例中存在率和验证系统使用功能 之间的核对的例子的图形。图32是示出本发明的第1实施例中组合存在率和个人标识ID的 例子的图形。图33是示出本发明的第2实施例中，登记人员第一次将它自身 的个人信息登记到除登记人员曾经登记的终端之外的其它最终方终端 中时验证系统的动作例子的顺序图。图34是示出第3实施例中，登记人员第一次将它自身的个人信 息登记到构成除登记人员登记的单元之外的其它单元的最终方终端中 时验证系统的动作例子的顺序图。图35是示出本发明的笫4实施例中，登记人员第一次将它自身 的个人信息登记到构成除登记人员登记的单元之外的其它单元的最终 方终端中，和登记人员个人识别它的个人标识ID时验证系统的动作例 子的顺序图。图36是显示本发明的第5实施例中，在使用验证系统的可选时 间内进行登记人员个人是否是存在人员、和登记信息是否真实的证实 处理的动作例子的顺序图。图37是示出本发明的第6实施例中，执行输入个人信息的终端 比较它自身中的信息和读取或输入的信息，和判断登记人员个人是否 是存在人员，或登记信息是否真实的验证过程的动作例子的顺序图。图38是示出本发明的第7实施例中，执行输入个人信息的终端 比较读取或输入的信息、它自身中的信息、和验证系统中的其它终端 拥有的信息，和判断登记人员个人是否是存在人员，登记信息是否真 实，或个人信息和存在性是否存在连续性的验证过程的动作例子的顺序图。图39是示出本发明的第8实施例中，生物测定信息的阅读器读 取生物测定信息的动作例子的顺序图，但由于它不含数据库，在本发 明的第8实施例中，利用设备外部的数据库核对信息，并且发送登记 人员是相同人员的信息。图40是示出本发明的第9实施例中，当输入个人信息的终端核 对它自身中的信息和读取或输入的信息，和判断登记人员是否是存在 人员，和登记信息是否真实时，除了核对个人信息之外，还判断事先 登记到终端中的一个或多个信息项的读取或输入顺序是否适当的个人 验证的动作例子的顺序图。图41是示出根据本发明笫10实施例的验证系统中上述数据传送 处理的流程的顺序图。图42是示出本发明的第11实施例中，执行传送过程，将每个终 端存储的个人信息传送到它的上层终端加以备份的动作例子的顺序图43是示出本发明的第12实施例中，执行传送过程，将每个终 端存储的个人信息传送到验证系统服务器10的动作例子的顺序图。图44是示出本发明的第13实施例中，将每个终端存储的个人信 息传送到验证系统服务器10,和进一步传送到外部机构服务器300的 动作例子的顺序图。图45(a)和图45(b)是示出第3实施例中终端与服务器之间的连接 状况的图形，在这些图中，实线表示现在正连接着，虛线表示连接已 释放。图46是示出本发明的第14实施例中，验证系统服务器10同时 将个人信息传送到两个外部机构服务器的动作例子的顺序图。图47是示出本发明的笫15实施例中，验证系统服务器10交替 地或分开地将存储在其自身中的个人信息备份到两个外部机构服务器 中的动作例子的顺序图。图48示出本发明的第16实施例中，将存储在验证系统服务器10 中的个人信息交替地或分开地传送到三个外部机构服务器的动作例子 的顺序图。图49是示出第17实施例中作为建筑结构方终端110C的连接目 标的终端的图形。
图50是示出第17实施例中建筑结构方终端110C与其它终端连 接的动作例子的顺序图。图51是示出第18实施例中与建筑结构方终端110C连接的终端 的图形。图52示出了第18实施例中，建筑结构方终端110C与其它终端 连接进行通信的动作例子的顺序图。在本验证系统中，每个终端具有 自动将信息发送给多个部分的功能。图53是示出根据本发明第19实施例的验证系统中验证系统服务 器10的网络配置的想像图。图54是示出第20实施例中验证系统服务器10和外部机构服务 器300在可选时间进行存储信息的比较核对处理的动作例子的顺序 图。图55是示出建筑结构周围的图像的图形。图56是示出本验证系统的终端配置的图像的图形。图57是根据登记人员的移动定时，登记人员的个人信息的使用 许可(或停止)信息通过移动位置周围的终端移动的概念的想像图。图58是示出根据本实施例的在登记人员的日常生活范围内的验 证系统的结构例子的图形。图59是示出本发明的第23实施例中，信息使用许可信息从建筑 结构方终端IIOA传送到其它终端时的动作例子的顺序图。图60(a)是示出根据本实施例的登记人员的日常活动范围内的验 证系统的结构例子的图形，图60(b)是示出车站大厅中建筑结构方终端 和最终方终端的安装例子的图形。图61是示出本发明的第24实施例中，信息使用许可信息从建筑 结构方终端传送到建筑结构方终端时的动作例子的顺序图。图62是示出本发明的第24实施例中，信息使用许可信息从建筑 结构方终端传送到建筑结构方终端110W时的动作例子的顺序图。图63是示出本实施例中登记人员的住宅和工作地点周围的验证 系统的安装例子的图形。 图64是示出构成验证系统的服务器和终端的网络结合例子的图形。图65是示出本发明的第25实施例中，登记人员使用的终端从建 筑结构方终端110A转移到建筑结构方终端110W时的动作例子的顺 序图。图66是示出登记人员个人的月票信息的例子的想像图。图67是示出管理安装在住宅和工作地点的最近车站中的最终方终端、安装地点(检票口)、和它的上层终端的检票口数据库的例子的图形。图68是显示根据本实施例的验证系统中登记人员的工作地点周 围的验证系统的安装例子的图形。图69是示出构成验证系统的服务器和终端的网络结合例子的图形。图70是示出建筑结构方终端与管理它的聚集方终端、和安装在 建筑物中的其它聚集方终端的连接关系的图形。图71是示出本发明的第26实施例中，登记人员使用的终端从建 筑结构方终端110WT转移到建筑结构方终端110CK时的动作例子的 顺序图。图72是示出本实施例中将验证系统配置在百货公司中时终端的 安装例子的图形。图73是示出安装在上述百货公司中的终端之间的网络的连接例 子的图形。图74是示出第27实施例中，信息在存在于聚集方终端150A管 理的建筑物中的单元之间移动的动作例子的图形。图75是示出登记人员利用像飞机等那样的移动工具移动时终端 和服务器的安装例子的图形。图76是示出登记人员利用像飞机等那样的移动工具移动时构成 验证系统的终端和服务器的安装例子的图形。图77是示出本发明的第28实施例中，登记人员使用的单元在登
记人员个人沿着确定安排移动时发生变化的动作例子的顺序图。图78是示出登记人员利用像飞机等那样的移动工具移动时构成 验证系统的终端和服务器的安装例子的图形。图79是示出本发明的第29实施例中，登记人员使用的单元在登 记人员个人沿着确定安排移动时发生变化的动作例子的顺序图。图80是示出登记人员利用像飞机等那样的移动工具移动时构成 验证系统的终端和服务器的安装例子的图形。图81是示出本发明的第30实施例中，登记人员使用的单元在登 记人员个人沿着确定安排移动时发生变化的动作例子的顺序图。图82是示出登记人员利用像飞机等那样的移动工具移动时构成 验证系统的终端和服务器的安装例子的图形。图83是示出本发明的第31实施例中，登记人员使用的单元在登 记人员个人沿着确定安排移动时发生变化的动作例子的顺序图。图84是示出本发明的第32实施例中，从登记人员个人的历史信 息中提取使用终端状况和计算预期路线的动作例子的顺序图。图85是作为一个例子示出最后三个月的星期一早晨登记人员使 用的单元的聚集方终端的使用次序的图形。图86是示出登记人员的住宅和超市周围构成验证系统的终端和 服务器的安装例子的图形。图87是示出本发明的第33实施例中，从登记人员个人的采集信 息中预测动作模式和发送移动相关信息的动作例子的顺序88是示出登记人员的住宅周围构成验证系统的终端和服务器 的安装例子的图形。图89是示出本发明的第34实施例中，从登记人员个人的采集信 息中不能预测动作模式时，将移动相关信息发送到系统内部的动作例 子的顺序90是示出本发明的第35实施例中在工作地点存在个人存在性 信息的动作例子的顺序图。图91是示出百货公司中构成验证系统的终端和服务器的安装例子的图形。图92是示出本实施例中安装在这个百货公司中的终端之间的网络的连接例子的图形。图93是示出本发明的第36实施例中，当登记人员个人存在于建筑物之中时，可以确认存在性的系统的动作例子的顺序图。 图94是示出当前位置显示文件的显示例子的图形。 图95是示出当前位置显示文件的另 一个显示例子的图形。 图96是示出本实施例中，百货公司中构成验证系统的终端和服务器的安装例子的图形。图97是示出安装在这个百货公司中的终端之间的网络的连接例子的图形。图98是示出本发明的第37实施例中，当登记人员个人在建筑物 中移动时，可以导航或确认移动地点的系统的动作例子的顺序图。图99是示出说明对这个登记人员的移动路线导航动作的验证系 统的终端的安装例子的图形。图100是示出本实施例中，安装在本建筑物中的终端的网络的安 装例子的图形。图101是示出本发明的第38实施例中，当登记人员个人在建筑 物中移动时，可以导航或确认移动地点的系统的动作例子的顺序图。图102是示出本实施例中，公寓大楼中的验证系统的终端的安装 例子的图形。图103是示出本实施例中，安装在这个公寓大楼中的终端的网络 的连接例子的图形。图104是示出本发明的第39实施例中，当登记人员个人在建筑 物中移动时，外围设备根据移动进行准备动作的系统的动作例子的顺 序图。图105是示出本发明的第40实施例中，在登记人员第一次访问 的地点，保证信息连续性的系统的动作例子的顺序图。 图106是示出这个完成通知的内容例子的图形。
图107是示出本发明的第41实施例中，在登记人员个人匿名的 同时使用系统时的系统的动作例子的顺序图。图108是示出本发明的第42实施例中，登记人员个人利用不同 读取方法同时登记多个指定身体部分的生物测定信息时验证系统的动 作例子的顺序图。图109是示出利用哪些读取方法登记生物测定信息的列表例子的图形。图IIO是示出这种失配信息登记单的例子的图形。图111是示出本发明的第43实施例中，当使用本验证系统，和 在个人信息的核对和存在性的证实中存在失配时，收集失配原因的动 作例子的顺序图。图112是示出用于管理限制或停止使用验证系统的用户的信息的 使用限制人员登记单的图形。图113是示出限制或停止使用本验证系统情况下的使用限制标准 表的图形。图114是示出本发明的第44实施例中，当发现登记人员个人对 本验证系统实施了未授权使用，和限制系统的使用时系统的动作例子 的顺序图。图115是示出本发明的第45实施例中，在当在本验证系统中对 登记人员个人设置警告条件时， 一确认登记人员个人就与相关机构接 触的情况下系统的动作例子的顺序图。图116是示出本发明的笫46实施例中，在验证系统服务器IO证 实登记人员个人的个人信息的存储间隔，和删除存储间隔已到的信息 的情况下系统的动作例子的顺序图。图117是示出本发明的第47实施例中，在登记人员个人使用导 航电子记录媒体或便携式信息设备，和有助于登记人员使用的单元的 转移的情况下系统的动作例子的顺序图。图118是本发明的第48实施例中，登记人员个人使用脸部验证 系统，和有助于登记人员使用的单元的转移的系统的动作例子的顺序图。图119是示出作为本发明实施例的综合DB的信息量的想l象图。 图120是示出本发明第50实施例中的验证系统的结构的图形。 图121是示出本发明的第50实施例中验证系统的动作流的顺序图。图122是示出根据本实施例修正例的验证系统的结构的图形。 图123是示出本发明第51实施例中的验证系统的结构的图形。 图124是示出本发明的第51实施例中验证系统的动作流的顺序图。图125是示出根据本实施例修正例的验证系统的结构的图形。 图126是示出本发明第52实施例中的验证系统的结构的图形。 图127是示出本发明的第52实施例中验证系统的动作流的图形。 图128(a)和图128(b)的每一个是示出根据本实施例修正例的验证 系统的结构的图形。图129是示出本发明的第53实施例中验证系统的结构的图形。 图130是示出本发明的第53实施例中验证系统的动作流的顺序图。图131是示出本发明的第53实施例中验证系统的动作流的顺序图。图132是示出本发明的第53实施例中验证系统的动作流的顺序图。图133是示出本发明的第58实施例中验证系统的结构的图形。 图134是示出本发明的第58实施例中验证系统的动作流的顺序图。图135是示出本发明的第58实施例中验证系统的动作流的顺序图。图136是示出本发明的笫58实施例中作为最终方终端160A的连 接目的地的终端的列表数据例子的图形。图137是示出本发明的第58实施例中验证系统的动作流的顺序图。
具体实施方式
<基本原理>图1是示出根据本发明实施例的验证系统的基本结构原理的图'形。在下文中，将参照该图说明据本发明实施例的验证系统的基本结 构原理和基本动作原理。首先，说明本验证系统的基本结构原理。如图所示，该验证系统被构造成具有验证服务器1、管理服务器2、和个人信息输入设备3。在验证服务器l中，安装了管理要验证的登记人员的个人信息的 数据库。并且，这个验证服务器1通过通信线网络与多个管理服务器 连接，和利用数据库中的个人信息，核对通过管理服务器2从个人信 息输入设备3发送的个人信息，从而验证登记人员的存在性。管理服务器2是以像，例如，登记人员的家庭、学校、和东京等 那样的指定的建筑结构、机构和区域为单位集体管理个人信息输入设 备3的信息处理器，和通过通信线网络与集中在该单位中的多个个人 信息输入设备3连接。并且，管理服务器2也具有上述安装的个人信息的数据库，和利 用数据库中的个人信息，核对从个人信息输入设备3接收的个人信息， 从而验证登记人员的存在性。个人信息输入设备3是安装在像门口、道路、车站售票口等那样 的、登记人员生活空间中的任何地方的设备，输入(读取)像生物测 定信息等那样登记人员的个人信息，并且将这个个人信息发送到管理 服务器2。接着，说明本验证系统的基本动作原理。当登记人员触摸个人信息输入设备3，输入(使设备读取)像指 紋等那样的生物测定信息时，个人信息输入设备3将这个输入生物测
定信息发送到验证服务器1和管理服务器2,和验证服务器1和管理 服务器2将发送的生物测定信息与分别预管理的数据库中的生物测定 信息核对。作为核对结果，在两个生物测定信息匹配的情况下，允许登记人 员访问验证系统，和个人信息输入设备3执行指定动作，并且向登记 人员提供指定服务。因此，在根据本实施例的验证系统中，进行登记人员的个人验证， 并且只有当验证取得成功时，才对登记人员作出指定动作，于是，可 以提高登记人员周围的环境的安全性。并且，当个人信息输入设备3读取登记人员的生物测定信息时， 将读取的生物测定信息与自身设备的安装地点和读取时间的信息一起 发送到管理服务器2和验证服务器1。管理服务器2和验证服务器1将示出读取登记人员的生物测定信 息的地点和时间的信息分别存储到自身数据库中，此后将该信息用于 验证登记人员的存在性。例如，在在数据库中存储了示出在17:00在家中读取生物测定信 息的信息的情况下，如果在同一天的17:05,处在与住宅相距100km 的位置上的个人信息输入设备3读取了同一登记人员的生物测定信 息，并且将它发送到管理服务器2和验证服务器1，那么，验证服务 器1和管理服务器2认为这个生物测定信息可能被非法读取，此后， 将限制或禁止通过登记人员的生物测定信息打开门钥匙等的动作的控 制信息发送到个人信息输入设备3 。同时，也可以将上述个人信息的数据库安装到个人信息输入设备 3中，在这种情况下，个人信息输入设备3可以将数据库中的生物测 定信息与输入的生物测定信息核对，并且亲自进行登记人员的个人验 证。因此，除了生物测定信息的匹配/失配验证之外，验证系统还进行 时间/空间验证，从而可以提高登记人员存在性的验证精度。 <对验证系统的基本结构和基本动作的说明> 在下文中，在说明各个实施例之前，按如下项目分别说明根据本 实施例的验证系统的基本结构和基本动作。 -验证系统的基本结构-构成验证系统的各个终端的共同特征 -各个终端的基本信息-各个终端的数据库的结构例子 -终端的各自验证处理(验证系统的基本结构总体结构)图2是示出根据本发明实施例的验证系统的构架的方块图。如图所示，验证系统被构造成具有通过通信线网络200连接的管 理登记人员的历史信息的验证系统服务器10、整体管理安装在像公寓 等那样的建筑结构中的终端的建筑结构方终端110、整体管理安装在 像管理机关等那样的机构中的终端的机构方终端120、整体管理安装 在像l-chome、 somewhat-cho那样的区域中的终端的区域管理方终端 130、以相互补充方式整体管理不受这些各个终端110、 120、 130整体 控制的终端的中继方终端140、总体管理这些各个终端110、 120、 130、 140的聚集方终端150、安装在登记人员的活动范围内和进行登记人员 的验证的最终方终端160、和作为验证系统服务器10的备份服务器的 外部机构服务器300。这些各个终端根据应用和安装位置等划分，但此后，除非另有规 定，措词"各个终端"指的是所有这些各个终端110、 120、 130、 140、 150、和160。(验证系统的基本结构验证系统服务器IO)验证系统服务器10是管理用户的个人信息的管理机构管理和操 作的服务器设备。这个验证系统服务器10具有根据历史信息进行登记 人员验证的功能，并且具有记录和管理各自用户的个人历史信息的数 据库(DB) 11。这个综合DB 11中的管理结构的细节在本文后面加以 描述。(验证系统的基本结构外部机构服务器300)
外部机构服务器300是除了管理验证系统服务器10的管理机构 之外的其它机构管理和操作的服务器设备。这个外部机构服务器300 具有代理验证系统服务器10的功能的功能、和根据历史信息进行登记 人员验证的功能，并且具有记录和管理或备份存储每个个人的历史信 息的数据库(DB)311。这个DB311中的管理结构的细节在本文后面 加以描述。(验证系统的基本结构聚集方终端150)聚集方终端150通过像因特网、有线通信线网络、无线通信线网 络、地面数字波、红外线等的网络那样的通信线网络200与这些服务 器10， 300连接。这个聚集方终端150是安装成通过通信线网络200连接验证系统 服务器IO， 300、建筑结构方终端IIO、机构方终端120、区域管理方 终端130和中继方终端140的子服务器设备。这个聚集方终端150具有代理验证系统服务器10的功能的功能、 和根据历史信息进行用户验证的功能，并且具有记录和管理或备份存 储每个用户的历史信息的数据库(DB) 151。这个DB151中的管理结 构的细节在本文后面加以描述。并且，可以将多个聚集方终端150安装在验证系统服务器10与 建筑结构方终端110、机构方终端120、区域管理方终端130和中继方 终端140之间。在这种情况下，从连接路线的观点来看，使直接与验 证系统服务器10连接的终端成为上层终端。而且，整体管理最终方终端160的终端设备通过通信线网络200 与聚集方终端150连接。作为与这个聚集方终端150连接的终端设备，根据整体管理的单 元，存在建筑结构方终端110、机构方终端120、区域管理方终端130、 和中继方终端140。(验证系统的基本结构建筑结构方终端IIO)对于每个建筑结构，建筑结构方终端IIO是为整体管理安装在建 筑结构中或它的周围的最终方终端160而安装的子服务器设备。这个
建筑结构方终端IIO具有代理验证系统服务器IO或聚集方终端150的 功能的功能、和根据历史信息进行用户验证的功能，并且具有记录和 管理每个个人的历史信息的总数据库(DB) 111。这个综合DBlll中 的管理结构的细节在本文后面加以描述。并且，建筑结构方终端110对最终方终端160的整体管理单元可 以按建筑结构划分，和可以以教室、公寓的独立分单元为单位、或以 建筑群、建筑层中的人员为单位构成。例如，作为建筑结构方终端110的用户，可以列出学校、公寓、 建筑物、医院、机场、车站等的管理机构。(验证系统的基本结构机构方终端120)机构方终端120是为利用数据库整体管理学校、公司、公共机关 或可选群体使用的最终方终端160而安装的子服务器设备。这个机构 方终端120具有代理验证系统服务器IO或聚集方终端150的功能的功 能、和根据历史信息进行登记人员验证的功能，并且具有记录和管理 每个个人的历史信息的数据库(DB) 121。这个DB 121中的管理结构 的细节在本文后面加以描述。例如，作为机构方终端120的用户，可以列出学校班级、部门、 整个公司或分部/部门、像外交部等那样的地方政府或政府机构、俱乐 部等。而且，当最终方终端160用在各种各样管理群体作出的商业动作、 各种各样交易或免费/收费服务中时，按照那些各种各样动作、各种交 易或各种服务，将本文使用的最终方终端160划分成组，和机构方终 端120可以按组整体管理最终方终端160。例如，整体管理用在信用服务中的最终方终端160的机构方终端 120以信用卡发行公司中的卡类型、商店中的顾客卡类型等为单位存 储与信用服务有关的登记人员的个人信息。(验证系统的基本结构区域管理方终端130)区域管理方终端130是为整体管理按辖区、城市或乡镇等的政府 单元安装的最终方终端160而安装的子服务器设备。这个区域管理方
终端130具有代理验证系统服务器10或聚集方终端150的功能的功 能、和根据历史信息进行登记人员验证的功能，并且具有记录和管理 每个个人的历史信息的数据库(DB) 131。这个DB131中的管理结构 的细节在本文后面加以描述。例如，这个区域管理方终端130整体管理安装在如下所示的指定 区域中的最终方终端160。-通过两条分别不同经线和两条分别不同绵线围住的指定区域； -通过在地球上的一点作为其中心的圆形或长方形指定的指定 区域；和-通过地球上在空间中的一点作为其顶点的锥形指定的指定区域。(验证系统的基本结构中继方终端140) 中继方终端140是为控制和管理未直接与建筑结构方终端110、 机构方终端120或区域管理方终端130连接的最终方终端160而安装 的子服务器设备。这个中继方终端140具有代理验证系统服务器10或 聚集方终端150的功能的功能、和根据历史信息进行登记人员验证的 功能，并且具有记录和管理每个个人的历史信息的数据库(DB) 141。 这个DB 141中的管理结构的细节在本文后面加以描述。但是，验证系统服务器10与建筑结构方终端110、机构方终端 120、区域管理方终端130、和中继方终端140在某些情况可以直接连 接，无需聚集方终端150介入。(验证系统的基本结构最终方终端160)最终方终端140是安装在登记人员等的日常活动范围、和人员聚 集和离开的建筑物、机构和区域内的信息处理器，和具有读取登记人 员的生物测定信息和像护照和驾驶证等那样的证件的信息、和进行登 记人员的合法性验证的功能。于是，最终方终端140也具有像信息输 入设备那样的功能。并且，最终方终端160最好具有在读取像，例如，护照那样的证 件时判断证件真假(存在伪造与否)的功能。
当验证登记人员的个人信息取得成功时，这个最终方终端160提 供包括允许使用电子货币、开锁、打开照明设备、发放文件或提供信 息等的各种各样服务。在下文中，作为验证结果，将登记人员接收来 自这个最终方终端160等的各种各样服务称为"使用终端"。最终方终端160将示出已经作出这种验证的历史信息登记到它自 身的终端中。并且，登记人员可以通过使用这个最终方终端160登记他自身的 个人信息，和可以浏览登记的个人信息和上述历史信息。而且，最终 方终端160具有利用其它终端和服务器发送和接收这些登记个人信息 和历史信息的功能。此外，最终方终端160具有根据历史信息进行登 记人员验证的功能。况且，最终方终端160具有记录和管理各自个人的历史信息的数 据库(综合DB 161)。这个DB 161中的管理结构的细节在本文后面 加以描述。而且，验证系统服务器10、建筑结构方终端110、机构方终端120、 区域管理方终端130、中继方终端140、和聚集方终端150未必将从这 个最终方终端160接收的历史信息存储到综合DB 11、 111、 121、 131、 141或151中，但可以将从像键盘或扫描仪等那样的输入设备输入的 历史信息直接存储到综合DB 11、 111、 121、 131、 141或151中。 (验证系统的基本结构上层和下层的定义)图3是示出根据本实施例的验证系统的简化结构的方块图。这里， 将参照该图说明验证系统中的上层终端和下层终端的定义。如图所示，聚集方终端150B与验证系统服务器IO连接，和聚集 方终端150A与聚集方终端150B连接。并且，建筑结构方终端110和 机构方终端120与这个聚集方终端150A连接。而且，多个最终方终 端160分别与建筑结构方终端110和机构方终端120连接。在从这样的各个终端到验证系统服务器10的连接路线中，使验 证系统服务器10成为最上层终端，和使最终方终端160成为最下层终 端。对于存在于这条路线上的各个终端，以相关终端为标准，与连接 在验证系统服务器IO这一方的线网连接的终端是上层终端，而与连接 在最终方终端160这一方的线网连接的终端是下层终端。在本图的例子中，验证系统服务器IO是最上层终端，和最终方 终端160是最下层终端。并且，以聚集方终端150A为中心，聚集方 终端150B是上层终端，而建筑结构方终端110和机构方终端120是 下层终端.同时，外部机构服务器300以与验证系统服务器10相同的方式 处在聚集方终端150的上层。(验证系统的基本结构加入上述结构中的终端)此外，验证系统可以构造成除了上述结构部件之外，还具有使登 记人员可以浏览他自己的个人信息等的用户终端20、使除了登记人员使除了登记人员之外的其它人员可以登记登记人员的个人信息的登记 请求方终端40、使自我判断登记人员存在性的人员可以向管理机构方 询问有关判断所需的背景的存在性判断请求方终端50、向管理机构询 问有关登记人员存在性验证的人员操作的存在性验证请求方终端60、操作的信息合法性验证请求方终端70、和登记人员等的标识证件的发 行机构操作的确认目的地方终端80。根据本发明实施例的验证系统由上述结构部件构成，但是，在本 文如下所述的各个实施例中，验证系统由其结构部件有选择地构成。并且，建筑结构方终端110、机构方终端120、区域管理方终端 130、和中继方终端140此后统称为子服务器。 (各个终端的共同特征)这里，将说明上述各个终端共有的特征。(各个终端的共同特征存储和发送自身终端的安装地点信息) 每个终端具有存储其自身终端安装的空间信息和自身终端的特 有标识的信息的数据库(下文称为自身空间信息DB401)、和存储与 自身终端密切相关的其它终端安装的空间信息和其它终端的特有标识 的数据库(下文称为相关空间信息DB402)。图4是示出建筑结构方终端110中的数据库的例子的构架的方块图。如图所示，建筑结构方终端llO管理综合DBlll、自身空间信息 DB401、和相关空间信息DB402。其中，综合DB111存储相关终端管理的个人信息。而另一方面， 自身空间信息DB 401存储示出建筑结构方终端110的安装地点的信 息，和相关空间信息DB 402存储示出分别通过网络与建筑结构方终端 110连接的终端的安装地点的信息。同时，根据信息量，可以合并自身空间信息DB 401和相关空间 信息DB402,和可以构造验证系统。图5是示出存储在建筑结构方终端110中的自身空间信息DB 401 和相关空间信息DB 402中的信息的例子的图形。在相关空间信息DB 402中，使安装在某空间(地点)中的所有 终端和服务器的标识信息相互对应和构成一体。并且，在这个相关空间信息DB 402中，使这个建筑结构方终端 110的标识信息、和利用建筑结构方终端110发送和接收信息的上层 和下层终端的标识信息相互对应，并且管理它们。但是，在在这个相关空间信息DB 402的信息存储量方面存在余 地的情况下，可以按基于自身空间信息DB401的结构存储详细信息。每个终端具有将登记人员的个人信息、登记人员的个人验证的验 证结果信息、和登记人员的验证信息发送到验证系统服务器10和其它 终端的功能。此刻，每个终端将发送的信息与上述自身终端安装位置信息和终 端标识ID相联系，并且发送该信息。从而，可以容易地确定在验证系统中移动的信息发送源。并且， 为了容易地发送和接收信息，可以将安装位置信息和终端标识ID的发 送信息用作因特网地址。(各个终端的共同特征设置自身用途)
并且，除了进行登记人员的验证、和发送和接收登记人员的验证 结果和个人信息的功能之外，每个终端可以具有其它多种功能，并且 可以应用于数种用途。在下文中，将说明每个终端除了发送和接收信息和进行验证等之 外，还具有特有功能的情况。图6是示出在本发明的实施例中，将建筑结构方终端110和最终 方终端160安装在建筑结构中的图像的图形。在如图所示的例子中，将建筑结构方终端110安装在建筑结构中 的特定位置中，而将最终方终端160A、 160B、和160C安装在建筑结 构中的各个部分中。其中，最终方终端160C被安装在照明装置中，具有管理打开/关 闭照明的功能。并且，最终方终端160A被安装在入口外的门把手上，和最终方 终端160B被安装在入口内的门把手的位置中。这些最终方终端160A 和160B配有管理安装门的锁住和开锁的功能、生物测定信息功能、 和发送指令最终方终端160C打开/关闭照明的信息的功能。图7是示出作为本发明实施例的每个终端的安装目的和具体动作 的例子的图形。如图所示，例如，最终方终端160A被安装在入口外的门把手上， 当登记人员进入建筑结构中和抓住入口外的门把手时，进行验证，并 且判断是否打开门锁和允许人员进入房间。并且，在假设当人晚上回家时，可以通过"在家里，，的动作将打开 指令信息发送到最终方终端160C的情况下，可以另外设置自动打开 室灯的动作。而且，作为其它作用，可以用于证明在读取时间人在家 里或在家附近，即，所谓的不在现场证据。因此，通过将数种用途加入一个终端中，可以提高终端的便利性。对于每个终端，定义使用终端的目的、和终端的存在意义。从而， 可以容易地具体确定认为使用终端的人员和人员数量。并且，在不同用途的数据库中，与管理电子货币的数据库、和管 理门的打开/关闭的数据库一样，结构、数据格式和容量是不同的。如 前所述，通过指定终端用途，可以容易地检查安装在这些终端内外的 数据库的方法和容量，并且，可以容易地检查每个终端的安装地点、 安装设备、安全管理和用途等。 (各个终端的基本信息)对于上述的各个终端，存储如下基本信息(1) 安装位置信息；(2) 标识信息；(3) 交通机构信息(4) 终端距离信息(5) 安装管理信息；和(6) 终端信赖度信息。这里，将说明这些各个终端存储的各自基本信息(1)到(6)。 (各个终端的基本信息1.安装位置信息)每个终端存储示出安装自身终端的位置的安装位置信息。这个安装位置信息可以是实际安装信息终端的位置的二维或三 维信息，或可以示出安装位置的名称。这个二维信息用綷度和经度表达，和三维信息意味着除了用炜度 和经度之外，还用离地高度或地下深度表达的空间识别信息。而且，作为示出安装位置的名称的例子，除了像，例如，"XX建 筑物6F"那样的固定安装位置之外，存在像飞机、直升飞机、电动列 车、火车、汽车、电梯、和自动扶梯等那样安装位置和蟀度不断变化 的物体。例如，在这种情况下，安装位置信息被显示成"XX拥有的 XX航空公司制造的类型XX的具有机身号123的飞机的乘客的右门"。同时，在可用GPS (全球定位系统)验证系统和飞行记录器所代 表的位置信息标识验证系统的情况下，安装位置信息可以通过在这些 位置信息标识验证系统中指定的信息格式表达。并且，离地高度或地下深度未必用米制表达。例如，在安装在建 筑结构中的情况下，也可以识别像建筑结构的第二层、第三层、地下 第一层那样的高度层。离地高度或地下深度可以是在某地点上相对应地面测量的高度 或深度。但是，在某地点在地理调查学会的参考点上或附近，和可以 容易地与海拔高度相比较的情况下，可以使用海拔高度的表达。在如上所述的例子中，每个终端将示出其自身安装位置的信息存储在自身中，同时，可以将像GPS等那样可以识别当前位置的设备安 装在信息终端中，该设备可以识别当前位置(安装位置的二维/三维信 息或环境)。(各个终端的基本信息2.终端标识ID)此外，将指定终端自身的特有标识信息分配给每个终端，和每个 终端存储其自身的终端标识ID。这个标识信息可以是像一般标识ID或标识号那样几个数字的字 符串。并且，对于这个标识信息，最好另外还给出安装地点的名称和 具体说明。尤其，在终端安装在用相同绰度和经度表达的一点上的情 况下，最好将安装高度和安装目的加入标识信息中，和作出明确的终 端指定。此外，图8是示出本发明的实施例中终端标识ID的设置方法的 例子的图形，(a)示出了示出终端标识ID的细节时的设置方法，和 (b)示出了简要示出终端标识ID时的设置方法。在如(a )详细示出的情况中，像"Tokyo-13"、 "Itabashi-ku=21，，、... 那样，根据终端安装地点给出数字，并且，通过将这些数字的组合进 一步与特有数字组合，设置各个终端的终端标识ID。另一方面，在较筒单(b)的情况下，用其它数值或字符取代终 端标识ID的公共部分(例如，前头几个数字)，从而设置各个终端的 终端标识ID。因此，通过减少包括在标识ID中的字符的数量，达到减少每个 终端中的总信息量的效果、和减轻数据处理负担的效果。同时，当向和从其它终端发送和接收信息时，使这个取代部分返 回原始状况，或进行识别替代信息等的附加信息处理，从而保证了供 每个终端识别用的验证系统条件。同时，在对于每个终端，给予由，例如，普遍存在ID中心发放 的u码(普遍存在ID)的情况下，可以将u码(普遍存在ID)用作 特有标识信息。在这种情况下，可以使安装在由普遍存在ID中心管理的u码解 决方案服务器中的u码解决方案数据库成为终端的标识号和安装位置 信息等的管理地点。(各个终端的基本信息3.交通机构信息)并且，每个终端存储示出安装位置周围的交通机构的状况的交通 机构信息。例如，作为登记成交通机构信息的那些信息，存在如下信 息1. 使用这个终端的人员的最佳交通机构的类型、使用方法；2. 使用这个终端的人员的可容易选择交通机构的类型、使用方 法；和3. 最接近车站和公共汽车站等的站名； 到最接近车站和公共汽车站等的距离； 到最接近车站和公共汽车站等的移动方法；和 上面1或2中的方法中的所需时间。(各个终端的基本信息4.终端距离信息) 在最终方终端160当中，安装在像车站、百货公司或保卫处等那 样来访者多的地点，或成为地标的建筑结构或地点的那些终端被识别 为"主终端"。每个主终端存储示出主终端之间的距离的信息。并且， 除了主终端之外的其它最终方终端160存储示出与这些主终端的距离 的信息。例如，作为登记成距离信息的那些信息，存在如下信息1. 空间信息中测量直线距离的信息；2. 将三维信息投影到平面上获得的二维信息中测量直线距离的 信息；和3. 根据真实道路安装状况、建筑结构、和终端之间的结构的长
度、高度等测量的信息。(各个终端的基本信息5.安装管理信息)而且，每个终端存储包括终端的安装日期和时间或开始工作的日 期和时间、和指定安装者或管理者的信息的安装管理信息。这里的安装者或管理者不仅包括形式上拥有终端的团体或个人， 而且包括负责真正安装工作和将终端安装在指定空间的工人。同时， 在多个人员进行安装的情况下，将指定所有多个人员的信息记录成安 装管理信息。此外，如有必要，可以存储掌握像开发终端的人员、制造终端的 人员或运输终端的人员等那样的相关人员的信息。 (各个终端的基本信息6.终端信赖度信息)每个终端存储考虑到安装者和管理者的存在性、和所属或相关群 体的社会信赖的程度的终端信赖信息。这里所属或相关群体的社会信赖度是按通过分配给资本、销售 额、商业类别、列出与否、是否是政府等的项目的点数计算的数值的 某种比值的评定。例如，在属于像国土、基础设施和运输部和外交部等那样的高度 官方群体的情况下，增加点数，而在不能确认所属群体的情况下，减 少点数。从而，可以容易地判断终端的安全性。 (各个终端的基本信息具体例子)图9是示出存储在上述各个终端中的各自基本信息的例子的图 形，并且在(a)到(c)中，示出了它们的具体例子。将信息存储在 各个终端中，并且在验证登记人员等的时刻发送到其它终端和服务器。在如本图所示的例子1到3中，作为与终端有关的各种各样信息， 分别示出了各个终端的终端标识ID、安装日期和时间、安装者、安装 位置(绰度、经度、高度、建筑结构和安装的装置)等。同时，如图3所示，当与终端有关的公司和个人被登记成安装管 理信息时，可以不通过公司或个人的名称登记它们，而是通过指定公
司和个人的标识ID登记它们。因此，通过将示出终端的安装者和管理者的信息存储在信息终端 中，可以容易地掌握与安装终端有关的相关人员和负责地方。也就是说，例如，即使在开发阶段将未授权程序装配到信息终端 中，或在安装构造阶段用其它未授权终端取代，当在验证系统中开始 使用终端时，通过审查终端的安装控制信息，也可以容易地澄清这些 未授权进程的负责地方。并且，例如，在显示在安装管理信息中的相关人名和列在安装构 造计划中人名不同的情况下，可能存在未授权动作，可以在开始使用 信息终端之前纠正未授权部分。而且，当发现某人的未授权动作时，可以马上掌握与该人有关的 终端，可以纠正终端的未授权部分，并且可以迅速釆取使损害降到最 低的必要措施。同时，当指定机构证明存在信息终端的安装者或管理者时，每个 终端最好存储发放给该机构证明存在的人员的个人标识ID、或链接到 与存储证明存在的人员的信息的数据库的信息。另一方面，当与证明存在的信息终端的安装者和管理者有关的信 息被存储在验证系统服务器10的综合DB 11中时，每个终端最好存储 安装者和管理者的个人标识ID、或与综合DB 11链接的信息。 (数据库的结构例子的说明)在下文中，依次说明安装在各个终端和服务器中的数据库的第1 到第4结构例子。(第1数据库的结构例子总体结构例子)图10是示出根据本发明实施例的验证系统的第1数据库的结构 例子的图形。在本图中，示出了安装在各个终端中的综合数据库DB 11、 111、 121、 131、 141、 151、和161的示意性结构。如图所示，综合数据库DB ll由历史信息DB 12、证实信息DB 13、 基本信息DB 14、和可用性(awailability )信息DB 15构成。同时，在下文中，将验证系统10可以管理的数据库中的信息称
为"个人信息"。其中，历史信息DB 12是存储与个人历史有关的信息的数据库。 并且，证实信息DB13是存储与证实个人的存在性，或个人信息、执 行内容、证据和证言等的合法性的过程有关的信息的数据库。而且， 基本信息DB14是存储个人信息的基本信息的数据库。此外，可用性 信息DB 15是存储验证之后根据登记人员的验证结果确定动作进展状 况的信息的数据库。在下文中，同样地，综合数据库DBlll由历史信息DB112、证 实信息DB113、基本信息DB114、和可用性信息DB115构成。综合数据库DB 121由历史信息DB 122、证实信息DB 123、基本 信息DB124、和可用性信息DB 125构成。综合数据库DB 131由历史信息DB 132、证实信息DB 133、基本 信息DB134、和可用性信息DB 135构成。综合数据库DB 141由历史信息DB 142、证实信息DB 143、基本 信息DB144、和可用性信息DB145构成。综合数据库DB 151由历史信息DB 152、证实信息DB 153、基本 信息DB154、和可用性信息DB155构成。综合数据库DB 161由历史信息DB 162、证实信息DB 163、基本 信息DB164、和可用性信息DB 165构成。历史信息DB、证实信息DB、基本信息DB、和可用性信息DB 最好通过每个个人的信息文件夹管理登记人员的信息。同时，当没有 信息存储到各自综合DB中时，可以不将信息DB安装在终端中。对于综合数据库DBll、 111、 121、 131、 141、 151、和161，在 登记或使用的信息是登记人员公用的或限于登记人员的情况下，可以 不安排个人文件夹地简化DB的结构本身，以便使用一个公用DB。历史信息DB12、 112、 122、 132、 142、 152、 162具有存储通过 登记人员个人、货币数据、教育背景、工作背景、活动历史、生物测 定信息等登记的所有活动数据的指定列。并且，其中，存在存储用户 终端20、浏览请求方终端30、登记请求方终端40、存在性判断请求 方终端50、存在性验证请求方终端60、信息合法性验证请求方终端 70、确认目的地方终端80、建筑结构方终端110、机构方终端120、 区域管理方终端130、中继方终端140、聚集方终端150、和最终方终 端160执行的信息登记、浏览请求、验证请求、合法性请求或合法性 回答等的历史的部分。证实信息DB13、 113、 123、 133、 143、 153、或163利用用于核 实登记人员个人的存在性、相关人员的活动记录、与相关机构的会话 内容、证据、目击者等的管理机构的验证系统服务器10的视频/音频 取代电子信息，并且存储它。图ll是示出安装和存储在基本信息DB 14中的信息的例子的图形。如图所示，基本信息DB 14是从各自数据库中提取出来加以存储、 存储在历史信息DB12、 112、 122、 132、 142、 152、 162和证实信息 DB 13、 113、 123、 133、 143、 153、 163中的信息当中，判断为登记 人员个人的个人信息的最新信息或基础的信息。例如，作为提取信息， 按论题(t叩ic)提取出地址、姓名、出生日期等登记人员的一般标准 信息、和像当前公司信息或最新资格列表等那样的主要项目。并且，同样地，基本信息DB 114是从各自数据库中提取出来加 以存储、存储在历史信息DB12、 152、 112、 162和证实信息DB 13、 153、 113、 163中的信息当中，判断为登记人员个人的个人信息的最 新信息或基础的信息。在下文中，同样地，基本信息DB 124是按论题从历史信息DB 12、 152、 122、 162和证实信息DB 13、 153、 123、 163中提取的主要项目 的信息。基本信息DB134是按论题从历史信息DB12、 152、 132、 162和 证实信息DB13、 153、 133、 143、 163中提取的主要项目的信息。基本信息DB 144是按论题从历史信息DB 12、 152、 142、 162和 证实信息DB13、 153、 143、 163中提取的主要项目的信息。基本信息DB 154是按论题从历史信息DB 12、 152、 112、 122、 142、 162和证实信息DB 13、 153、 113、 123、 133、 163中提取的主 要项目的信息。基本信息DB164是按论题从历史信息DB12、 152、 112、 122、 132、 142、 162和证实倌息DB 13、 153、 113、 123、 133、 143、 163 中提取的主要项目的信息，将基本信息DB 14管理的论题信息与历史信息DB 12、 112、 122、 132、 142、 152、 162或证实信息DB13、 113、 123、 133、 143、 153、 163管理的详细信道相联系。例如，当在终端的显示器上显示论题信 息时，浏览请求者等点击论题，从而容易地浏览与论题相对应的详细描述o同样地，将基本信息DB 114管理的论题信息与历史信息DB 12、 152、 112或证实信息DB13、 153、 113、 163管理的详细项目相联系。在下文中，同样地，将基本信息DB 124管理的论题信息与历史 信息DB12、 152、 122、 162和证实信息DB 13、 153、 123、 163管理 的详细项目相联系。将基本信息DB 134管理的论题信息与历史信息DB 12、152、132、 162和证实信息DB 13、 153、 133、 163管理的详细项目相联系。将基本信息DB 144管理的论题信息与历史信息DB 12 、 152 、 142 、 162和证实信息DB 13、 153、 143、 163管理的详细项目相联系。将基本信息DB 154管理的论题信息与历史信息DB 12、 152、 112、 122、 132、 142、 162和证实信息DB13、 153、 113、 123、 133、 143、 163管理的详细项目相联系。将基本信息DB 164管理的论题信息与历史信息DB 12、152、112、 122、 132、 142、 162和证实信息DB 13、 153、 113、 123、 133、 143、 163管理的详细项目相联系。可用性信息DB15、 115、 125、 135、 145、 155、 165管理验证之 后，根据登记人员个人的验证结果确定、指令、控制动作进展的信息。图12是示出存储在作为本发明实施例的可用性信息DB中的信息 的例子的图形。在该可用性信息DB中，将验证结果分类成如下三种
主要论题。(1) 在作出相同人员验证的情况下，只将验证取得成功的人员当作登记人员个人，和发送成功验证的人员用于验证的最终方终端160 (或包括最终方终端160的系统结构单元)提供的着手执行像动作、 服务使用、验证系统操作或控制释放等那样的过程的必要信息。(2) 在未作出相同人员验证的情况下，作出这样的动作，使未 成功验证的人员不能继续操作该人员使用的最终方终端160 (或包括 最终方终端160的系统结构单元)，停止此后的过程，并且将警告信 息发送到相关机构。(3) 在不能读取足以进行个人验证的信息的情况下，发出使最 终方终端160再次执行验证过程的指令，或发送存在读取错误等的信 息。(第l数据库的结构例子历史信息DB的数据结构例子) 例如，作为登记到上述历史信息DB中的历史信息，存在如下(l) 到(20)。同时，原则上，对于所有信息，都存在示出出现信息的日 期和时间的时间信息。(1) 个人数据个人数据由用户自己负责登记，它的主要项目是包括姓名、地址、 电话号码、蜂窝式电话号码、邮件地址、出生日期等的个人数据。并 且，作为它的辅助项目，存在像最近车站、嗜好、宗教信仰、家庭结 构、亲属、朋友、血型、外形等那样的各种各样可选项目。并且，这 个个人数据可以是示出护照、驾驶证或基本居民登记卡等的内容的数 据。(2) 教育历史数据作为教育历史数据，可以登记在托儿所、幼儿园、小学、初中、 高中、大学、职业学院、研究所等获得的毕业证书和教育记录证书。 同时，可以利用扫描仪功能登记这些作为教育历史数据的证书的毕业 证书和教育记录证书。 (3 )资格数据
作为资格数据，可以登记像通过国家级考试获得公认资格的获得 年份、获得号码或登记号码那样的数据。(4) 工作历史数据作为工作历史数据，存在正在工作公司(地址、所属分部和部门、 商业类别、资本、雇员数量等)、期限、雇用类型、雇用条件、工作 内容(成功故事、失败故事、获得技术、水平、岗位等)，和作为辅 助项目，像公司文化、人际关系(上级、下级、有业务往来公司等)、 从事工作、辞职、和改变工作的理由、评论(公司、商业领域)、未 来目标等那样的详细项目。(5) 生物测定信息作为生物测定信息，存在指紋、虹膜、声紋、视网膜、静脉、基 因、脸部轮廓等，可以登记所有与人体有关的生物测定信息。 (6 )直观数据可以将记录个人活动的视频、图像、音频或它们的组合信息登记 成数据。这不仅包括为指定个人记录的数据，而且包括，例如，旅行 的群体照和节日的记录视频一登记人员个人存在性的补充信息。 (7 )动作记录数据可以记录示出动作的开始、和申请表、录取通知书、参与通知书、 奖状、参与者列表、参与数据的结果等的详细项目。(8) 货币数据电子货币余额、和使用历史信息。(9) 帐户数据储蓄帐户的帐户余额、定期存款、投资信托、和它们的历史信息；住房货款的货款余额、卡货款、当期应收货款、和它们的历史信息；股票余额、有价证券(应付债券、国债等)、和它们的历史信息； 责金属(黄金、白金等)的数量、和它们的历史信息； 商品交易所管理的项目(赤豆、大豆、石油、白糖等)的数量、 和它们的历史信息；
外币交换、期权、衍生物等的数量、和它们的历史信息；(10) 信用卡信用卡的余额、可用余额、和它们的历史信息。(11) 点数数据各种各样信用卡的余额、各种各样里程卡的余额、和它们的历史 信息。(12) 锁数据变成像开锁和锁住、接通/断开、接受和拒绝进入和退出(进入房 间和从房间出来)、接受和拒绝处理进程、接受和拒绝开始服务等那 样的验证判断材料的信息。(13) 购买数据购买产品名称、用户服务名称、和它们的历史信息。 (14 )活动数据登记人员的日常活动的信息、机构方终端120、区域管理方终端 130、中继方终端140、聚集方终端150等收集的信息、和它们的历史 信息。(15) 访问数据访问地点的信息、建筑结构方终端IIO获得的信息、和它们的历 史信息。(16) 出入境数据移民登记局等提供的出入境信息、访问地点信息、和它们的历史 信息。(17) 预留座位数据飞机、火车或汽车等的预留座位和客票的信息、音乐会或电影院 等的入场券的信息、日常生活中预约指定日期和时间和地点的活动的 信息、和它们的历史信息。(18) 医疗数据医疗图信息、剂量信息、检查信息、体格信息、和它们的历史信息。(19 )保险数据人寿保险、损失保险、购买或已用物品的证明、和它们的历史信息。(20) 移动信息 这包括如下四点。1. 空间信息(分配给终端的终端标识ID、标识号)；2. 验证目标人员的个人标识ID;3. 验证间隔的时间信息、或示出读取/输入个人信息(生物测定 信息)的间隔的时间信息；和4. 作为存在性验证的结果示出"已验证"的信息。(21) 其它数据难以判断它的分类目的地的其它信息当前验证系统主要支持整个人的生活事务，数据的范围不局限列 出的项目。(第l数据库的结构例子终端1中的信息的存储极限) 图13是示出本发明实施例中的综合DB中的数据结构例子的图形。在本图中，作为一个例子，示出了建筑结构方终端110的综合 DB 111中的数据结构。如图所示，在建筑结构方终端110的综合DB 111中，只存储与 地址的最新信息有关的数据，和删除以前地址信息。因此，在每个终 端的综合DB中，并非所有到达终端的个人信息都得到存储或显示。通常，连续地更新历史信息，可以周期性地或按可选间隔将更新 旧信息移动到终端的上层服务器或数据库，和在建筑结构方终端110、 机构方终端120、区域管理方终端130、中继方终端140、聚集方终端 150、和最终方终端160中，可以只显示或管理最新信息。(第l数据库的结构例子终端2中的信息的存储极限)图14是示出根据本发明实施例的安装在两个不同终端中的数据 库的各自数据结构例子的图形。
在本图中的例子中，示出了角色(安装位置)不同、分别安装在建筑结构方终端110A和110B中的历史信息DB 114A和114B的数据 结构，在各个终端的综合DB中，即使终端具有相同的功能，存储的数 据也未必相同，而且可以只存储与终端的角色相对应的信息。每个终端具有与其用途相对应的功能，和存储与其用途相对应的 内容的信息。如图所示，历史信息DB 114A安装在建筑结构方终端110A中， 建筑结构方终端110A又安装在登记人员个人的家中，而历史信息DB 114B安装在建筑结构方终端110B中，建筑结构方终端110B又安装 在登记人员个人的工作地点的建筑结构中。并且，存储在这些历史信息DB 114A和114B中的特有信息数据 示出了为操作验证系统登记的生物测定信息，以便打开和锁上住宅或 工作地点的出入口。存储到历史信息DB 114A和114B的特有信息数据未必是相同生 物测定信息，并且，基本信息也未必公用。在本实施例中的每个终端中，可以只存储用于终端要求的角色的 最小必要信息。(第l数据库的结构例子终端3中的信息的存储极限)图15是示出根据本发明实施例的、安装在三个不同终端中的数 据库的各自数据结构例子的图形。在本图中的例子中，示出了分别安装在建筑结构方终端110、机 构方终端120、和聚集方终端150中的历史信息DB114、 124、 154中 的数据结构。在各个终端的数据库中，对于不同类型的终端，存储的数据未必 相同，但可以只存储与终端的角色相对应的信息。在本图中的例子中，历史信息DB 114是安装在建筑结构方终端 110中的数据库，建筑结构方终端110又安装在登记人员个人要去的 学校的建筑物中，并且，存储在这个历史信息DB114中的特有信息数
据示出了为操作验证系统登记的生物测定信息，以便打开和锁上学校 建筑物的出入口。并且，历史信息DB 114是安装在机构方终端120中的数据库， 机构方终端120又安装在登记人员个人要去的学校的任何地点，并且， 存储在这个历史信息DB 114中的特有信息数据示出了为用于学校注 册而登记的信息。因此，在本例中，在当前验证系统中的每个终端中，也可以只存 储用于终端要求的角色的最小必要信息。(第2数据库的结构例子总体结构例子)图16是示出根据本发明实施例的验证系统的第2数据库的结构 例子的图形。在本图中，示出了验证系统服务器IO管理的数据库的结 构例子。在如图10中的例子中，DB 11由历史信息DB 12、证实信息DB 13、基本信息DB14、和可用性信息DB 15构成。另外，还说明了历 史信息DB12、证实信息DB13、基本信息DB14、和可用性信息DB 15最好通过每个个人的信息文件夹管理登记人员的信息。但是，在这个基本构架下，随着验证系统服务器10管理的登记 人员的数量增加，个人信息文件夹的数量与之成正比地增加。并且， 由于在每个文件夹中管理的历史信息是累积的，历史信息应该会变得十分巨大。其结果是，在在验证系统服务器中核对读取信息之前可能 会花费很长时间。而且，由于相同个人验证的结果，用在指定服务器和最终方终端 中的可用性信息可能是多个登记人员公用的。例如，在最终方终端160 安装在工作地点建筑结构的雇员门上，和用于有效进入建筑结构入口 (有效开门和关门)的情况下，验证之后的可用性信息是允许进入(开 门)或不允许进入(让门仍然关着)，并且是所有雇员共有的。在如图16所示的例子中，验证系统服务器10并行地配有综合 DB 11、可用性信息DB 15和搜索信息DB 16。并且，综合DB11是 记录和管理每个个人的历史信息的数据库，和由历史信息DB 12、证
实信息DB 13、和基本信息DB 14构成。并且，当可用性信息DB15进行登记人员个人的验证时，在从这 个验证系统服务器10的角度来看位于下层的终端中，存储和管理在验 证之后，根据验证结果确定、指令、控制动作进展的信息，并且还存 储多个登记人员共有的可用性信息。(第2数据库的结构例子搜索信息DB的特征)并且，搜索信息DB16存储为了简化登记人员的搜索，从登记在 验证系统服务器10中的或从这个验证系统服务器10的角度来看位于 下层的终端中的所有个人信息中提取的所有登记人员的列表信息。而 且，在搜索信息DB16中，将这个列表信息与综合DB 11中的个人文 件夹链接，并且在其中管理它。验证系统服务器10在进行登记人员的个人验证中，搜索从位于 下层的终端中读取或输入的数据是否存在于搜索信息DB 16的列表信 息之中。当存在与搜索信息DB 16相对应的数据时，验证系统服务器IO 参考综合DBll中的链接目的地的个人文件夹中的信息，并且执行验 证过程。另一方面，当不存在相应数据时，验证系统服务器10将读取或 输入的信息发送到聚集方终端150，验证登记人员个人或搜索相应数 据，并且请求发送验证/搜索结果。此外，当不存在相应数据时，验证 系统服务器10可以将验证不可用的回答发送到读取或输入登记人员 的信息的终端。到此为止，已经说明了验证系统服务器10中的第2数据库的结 构例子，其它终端也处在相同结构中。也就是说，建筑结构方终端110并行地配有综合DB 111、可用性 信息DB115、和搜索信息DB116。才几构方终端120并行地配有综合DB 121、可用性信息DB 125、 和搜索信息DB 126。并且，区域管理方终端130并行地配有综合DB131、可用性信息DB135、和搜索信息DB136。而且，中继方终端140并行地配有综合DB 141、可用性信息DB 145、和搜索信息DB146。此外，聚集方终端150并行地配有综合DB 151、可用性信息DB 155、和搜索信息DB156。况且，最终方终端160并行地配有综合DB 161、可用性信息DB 165、和搜索信息DB166。(第2数据库的结构例子搜索信息DB的数据结构例子)图17(a)是示出在建筑结构方终端110的下层并行地连接最终方 终端160A、 160B、和160C的结构例子的图形。图17(b)是示出在这 个结构例子中建筑结构方终端110管理的搜索信息DB116的数据结构 例子的图形。在下文中，参照这些图形，说明在建筑结构方终端IIO安装在工 作地点中，和以工作地点为前提，安装工作地点的雇员操作的最终方 终端160A - 160C的情况下搜索信息DB 116的数据结构。这里，假设最终方终端160A安装在前入口、最终方终端160B 安装在服务入口 、和最终方终端160C安装在地下室。对于搜索信息DB 116，从建筑结构方终端110和位于建筑结构方 终端110的下层的终端的个人文件夹中提取、并且分类和存储如图17 中的(b)所示的各自项目的信息。-个人标识ID:登记人员(雇员)的个人文件夹的名称、与搜索 信息DB116的链接信息；-登记人员姓名雇员的姓名信息；-信息1:用于进入或退出前入口、确认相同个人的生物测定信息；-信息2:用于进入或退出服务入口、确认相同个人的生物测定 信息；和-信息3:用于进入或退出地下室、确认相同个人的生物测定信息。
在图17中的(b)中，省略了，例如，像出生日期和地址那样的 基本信息、和像所属分部和部门和岗位那样的个人信息。这是因为， 在这个建筑结构方终端110中，和在与建筑结构方终端110连接的最 终方终端160A-160B中，配置了主要用于读取和输入信息的数据库， 而省略了使用频率低的信息，从而减轻和优化了在数据库中搜索信息 的负担。(笫3数据库的结构例子)图18示出了根据本发明实施例的验证系统的第3数据库的结构 例子的图形。在本图中，示出了建筑结构方终端110管理的数据库的 结构例子。如图所示，建筑结构方终端110并行地配有综合DB 111、和暂时 存储这个建筑结构方终端110读取(输入)的个人信息或从其它终端 接收的个人信息的暂时存储DB 117。在下文中，同样地，验证系统服务器10并行地配有综合DB11、 和暂时存储DB 17。机构方终端120并行地配有综合DB 121、和暂时存储DB 127。区域管理方终端130并行地配有综合DB 131、和暂时存储DB137。中继方终端140并行地配有综合DB 141、和暂时存储DB 147。 聚集方终端150并行地配有综合DB 151、和暂时存储DB 157。 最终方终端160并行地配有综合DB 161、和暂时存储DB 167。 (第4数据库的结构例子总体结构例子)并且，图19是示出根据本发明实施例的验证系统的第4数据库 的结构例子的图形。在本图中，示出了验证系统服务器IO管理的数据 库的结构例子。在综合DBlll、可用性信息DB115、和搜索信息DB116存在于 建筑结构方终端110之中的情况下，并行地安装这些数据库和暂时存 储DB 117。同时，在可用性信息DB和搜索信息DB安装在其它终端和服务
器中的情况下，形成相同的结构。(第4数据库的结构例子暂时存储DB的说明) 暂时存储DB17、 117、 127、 137、 147、 157、 167是暂时存储每个终端读取或输入的个人信息、和从其它终端接收的个人信息，直到它们被处理的数据库。作为存储动作，存在如下(1)到(5)。(1) 为了进行个人验证，在验证系统中的搜索的等待时间内存储；(2) 进行存储，直到被相关终端或与相关终端连接的终端〗吏用；(3) 进行存储，直到被相关终端或与相关终端连接的终端存储 到个人文件夹等；(4) 进行存储，直到被相关终端或与相关终端连接的终端通过 备份得到存储；和(5) 由于作为(1)到(4)的任何一项不能判断处理内容，存 储成未经处理信息。为了在读取或输入个人信息在使用过程中或在存储过程中丢失 的情况下分散风险，每个终端在读取或输入登记人员的个人信息时， 可以复制个人信息和自动将其存储在它自身的暂时存储DB中。并且， 从防止信息泄漏的观点来看，每个终端可以不复制个人信息地将它存 储在暂时存储DB中，并且可以通过这个暂时存储DB，将个人信息传 送到需要个人信息的终端和服务器的数据库或软件等。上述暂时存储DB17、 117、 127、 137、 147、 157、 167可以^殳置 成这样，在将个人信息存储到相关DB开始经过了指定时间以后，自 动从相关DB中删除存储的个人信息。暂时存储DB不是信息的永久存储地点。并且，从验证系统的信 息处理负担和信息泄漏风险的观点来看，最好不要长时间保留用途不 清的信息。因此，最好在考虑了相关终端中或与相关终端连接的终端 中任何过程的平均时间和处理步骤等、自动从暂时存储DB中进行删 除的时间设置之后计算时间，并且在指定时间全部删除暂时存储DB本身。(终端进行的个人验证处理) 验证系统具有上述基本结构，具体地说，它执行如下所述的登记 人员的个人验证动作。图20是示出根据本发明实施例的验证系统执行的登记人员的个 人验证动作的流程的顺序图，在这个顺序图中，最终方终端160读取生物测定信息，和建筑结 构方终端110根据读取的生物测定信息执行登记人员的个人验证动 作。同时，在这个顺序图中，示出了在建筑结构方终端IIO未含搜索 信息DB 116的情况下验证动作的流程。首先，最终方终端160读取登记人员的个人信息(生物测定信息) (步骤Sl)。最终方终端160将读取的生物测定信息发送到建筑结构方终端 110 (步骤S2)。建筑结构方终端110将该信息发送到安装在自身中的综合DB 111的基本信息DB 114，并且进行是否管理与最终方终端160发送的 信息相对应的信息的搜索(步骤S3)。当相关信息未存在于基本信息DB 114之中时，建筑结构方终端 110进一步搜索历史信息DB112 (步骤S4)。作为搜索结果，当确定了相关信息时，建筑结构方终端110将它 与从最终方终端160接收的信息核对，并且判断验证(步骤S5)。建筑结构方终端IIO将这个核对结果发送到最终方终端160 (步 骤S6)。图21是示出根据本发明实施例的验证系统执行的登记人员的个 人验证过程的其它流程的顺序图。在这个顺序图中，最终方终端160也读取生物测定信息，和建筑 结构方终端110也根据读取的生物测定信息进行登记人员的个人验 证。
同时，在这个顺序图中，示出了在建筑结构方终端110具有搜索 信息DB 116的情况下验证动作的流程。首先，最终方终端160读取登记人员的生物测定信息(步骤Sll )。最终方终端160将读取的生物测定信息发送到建筑结构方终端 110 (步骤S12)。建筑结构方终端110将该信息发送到安装在自身中的搜索信息 DB 116，并且进行是否在搜索信息DB 116中管理与最终方终端160 发送的信息相对应的信息的搜索(步骤S13)。作为搜索结果，当确定了相关信息时，建筑结构方终端110参考 综合DB 111中与搜索信息DB 116中的相关信息链接的信息(步骤 S14),并且判断验证(步骤S15)。建筑结构方终端110将这个核对结果发送到最终方终端160 (步 骤S16)。因此，每个终端或服务器具有搜索信息DB、其只管理登记人员 的个人验证所需的信息，从而可以提高信息搜索的效率和减轻验证系 统负担，并且每次可以容易地处理大量信息。如前所述，验证系统中的每个终端或服务器利用输入或读取信 息，或从其它终端和服务器接收的信息进行登记人员的验证。在验证登记人员的时刻在终端和服务器之间发送和接收的信息 被称为移动信息，例如，这个移动信息包括如下信息。1. 空间信息(分配给终端的终端标识ID、标识号)；2. 验证目标人员的个人标识ID;3. 进行验证的间隔的时间信息、或示出读取/输入个人信息(生 物测定信息)的间隔的时间信息；和4. 示出"已验证"作为存在性验证的信息。终端和服务器最好在它们接收到上面1到4的所有信息项的时 刻，利用可用性信息DB启动验证过程。从而，可以防止只通过不充 分信息作出验证和得出不可靠验证结果。并且，本验证系统将用在在终端和服务器中作出的验证中的各种
各样信息和结果与每个登记人员相联系，并且创建和管理与登记人员 个人相关的信息流，即，活动历史。例如，在上面l到4的各种信息项的例子中，在1到3中，指定 了"验证目标人员现在在什么地方"，和在4中，指定了"验证目标人员 是否是存在同一个人"。同时，在下文中，移动信息总是包括上面信息1到4中的1.空 间信息和3.时间信息。<第1实施例>在下文中，在第1阶段到第3阶段中分别说明第一次使用本验证 系统的人员开始使用的流程。(未登记人员的初始登记第l阶段信息登记)图22是示出本发明的第一实施例中，要登记的人员第一次将他 自己的历史信息登记到最终方终端160和子服务器中时验证系统的动 作例子的顺序图。在下文中，参照本图说明想要使用本验证系统的人员进行的个人 信息登记处理。为了使用本验证系统，首先，必须登记使用该系统的人员的个人 信息。这是因为，通过登记个人信息，在下文中，通过将登记信息与 读取信息相比较，可以根据个人验证管理验证系统。这里，将最终方终端160和子服务器(建筑结构方终端110、机 构方终端120、区域管理方终端130和中继方终端140 )作为一个单元 来说明。首先，登记人员个人使用装载在最终方终端160中的生物测定信 息读取功能，并且读取登记人员的生物测定信息(步骤S21)。这个生物测定信息必须是使用所需的信息，或有效使用最终方终 端160或(与最终方终端160连接的)子服务器的信息。例如，在通 过门进入建筑结构中的情况下，通常，由于往往要抓住门把手，将读 取生物测定信息的最终方终端160安装在建筑结构等的门把手上，通 过使指紋成为生物测定信息，可以容易地读取它。
另外，登记人员通过最终方终端160输入像姓名或地址那样的基 本信息或指定登记人员个人所需的历史倌息(步骤S22)。并且，此刻，为了易于在验证系统中搜索登记人员个人的登记状 况，可以输入登记人员个人的基本居民登记号。同时，当基本居民登 记号未知，或在登记时刻未输入时，可以输入像护照号、驾驶记号或 基本居民登记卡号等那样的替代号码。同时，此刻，当未将字符输入功能安装到最终方终端160中，或 读取功能局限于特殊类型时，可以由与相关最终方终端160连接的上 层子服务器，或与子服务器连接的其它最终方终端160作出处理。最终方终端160搜索综合DB 161、搜索信息DB166、和暂时存 储DB167，并且判断读取或输入的信息是否存在于其自身之中(步骤523) 。同时，这个处理的细节与如图20或图21所示的动作相同。 当最终方终端160确认读取或输入的信息未存在于其自身之中 时，将读取或输入的信息存储到其自身中的暂时存储DB 167中(步骤524) 。在这个最终方终端160未含暂时存储DB 167的情况下，将这个 信息存储成可以判断它是最终方终端160首先读取或输入的信息。最终方终端160通过通信线网络200将读取或输入的信息发送到 变成相关最终方终端160的上层终端的子服务器(步骤S25)。接收到信息的子服务器通过综合DB或搜索信息DB等搜索登记 人员的个人信息是否存在(步骤S26)。同时，这个搜索处理如图20 或图21所示。当作为搜索结果，子服务器确认在其自身中不存在接收的登记人 员的个人信息，也就是说，登记人员个人未登记在相关单元中时，它 们创建存储登记人员个人的个人信息的个人文件夹(步骤S27)。并且，子服务器将一直用到给予正式个人标识ID的"暂时个人标 识ID，，给予登记人员个人。暂时个人标识ID可以被简单设置成加入了 登记日期或日期和时间的相关终端的标识ID。
子服务器将接收信息与"暂时个人标识ID"—起存储和登记到个 人文件夹中(步骤S28)。并且，子服务器当中具有搜索信息DB的 那些子服务器将必要信息从个人文件夹复制和存储到搜索信息DB。此 刻，子服务器设置个人文件夹与搜索倌息DB之间的链接(步骤S29 )。子服务器通过通信线网络200将读取/输入信息已经登记到子服 务器中的信息和"暂时个人标识ID，，发送到作为信息发送源的最终方 终端160 (步骤S30 )。最终方终端160 —旦接收到上层终端中登记处理已完成的信息和 "暂时个人标识ID"，就创建存储登记人员个人的个人信息的个人文件 夹。最终方终端160将读取/输入信息与"暂时个人标识ID"—起存储 和登记到个人文件夹中(步骤S31)。此刻，最终方终端160只登记 综合DB 161需要的信息，或只登记可以存储到综合DB 161的个人文 件夹中的信息，并且删除不必要信息(步骤S32)。并且，在最终方终端160具有搜索信息DB 166的情况下，它从 个人文件夹复制和存储搜索信息DB 166所需的信息。此刻，在个人文 件夹与搜索信息DB 166之间进行链接(步骤S33 )。如上所述的动作(步骤S21到S33 )是初始登记处理的例子，并 且，可以不通过最终方终端160地读取个人信息，或直接将个人信息 输入子服务器中，然后可以进行登记处理。通过这个第1阶段处理，生成供本验证系统使用的验证比较信息。 (未登记人员的初始登记第2阶段名称标识处理)图23是示出本发明的第1实施例中，在子服务器的初始登记完 成之后，在本验证系统中进行名称标识处理时的动作例子的顺序图。在下文中，参照本图说明在第1阶段登记了个人信息之后的名称 标识处理。同时，名称标识处理是确认验证系统中的终端和服务器中的登记 状况，如果将多个不同"个人标识ID"或"暂时个人标识ID"分配给一 个登记人员，针对同一个登记人员将个人标识ID统一成一个，并且管 理个人标识ID的过程。在上面第1阶段的登记处理中，登记人员个人可以被确认成未登 记在相关单元中，但可能已经登记在整个验证系统中。通过进行这种 名称标识处理，可以避免登记人员个人被重复登记，和提高搜索和验 证过程的执行效率。首先，为了简化搜索，子服务器从登记人员登记的个人信息中提 取个人共有的项目(步骤S41)。这里，共有项目是像姓名、出生日 期、各种证件号(基本居民登记公告号、护照号或驾驶证号等)那样， 在验证系统的终端和服务器中共同管理的信息项。在完成提取之后，子服务器使提取的信息、和请求搜索名称标识 的信息可被作为上层终端的聚集方终端150识别，然后将它们发送到 聚集方终端150 (步骤S42 )。接收到信息的聚集方终端150对综合DB 151或搜索信息DB 156 等进行登记人员的个人信息是否存在的搜索(步骤S43)。同时，这 个处理的细节与如图20或图21所示的动作相同。当信息存在时(步骤S44,是)，聚集方终端150将已经作了登 记的信息、和正式个人标识ID发送到子服务器(步骤S45)。子服务器用接收的个人标识ID取代当前暂时的个人标识ID (步 骤S46 )。并且，子服务器将正式个人标识ID发送到与相关信息有关的最 终方终端160，并且以相同方式改变个人标识ID (步骤S47)。作为搜索结果，聚集方终端150确认在其自身中不存在接收的登 记人员的个人信息(步骤S44，否)，并且创建存储登记人员个人的 个人信息的个人文件夹(步骤S48)。聚集方终端150将接收信息与"暂时个人标识ID，，一起存储和登 记到个人文件夹中(步骤S49)。并且，当聚集方终端150具有搜索 信息DB 156时，从个人文件夹复制和存储搜索信息DB 156所需的信 息。此刻，在个人文件夹与搜索信息DB 156之间设置链接(步骤S50 )。聚集方终端150以与步骤S41中的动作相同的方式，从登记的个 人信息中提取个人共有的项目。在完成提取之后，聚集方终端150使 提取的信息、和请求搜索名称标识的信息可被作为上层终端的验证系 统服务器10识别，然后将它们发送到验证系统服务器IO(步骤S51 )。接收到信息的验证系统服务器10参考综合DB 11或搜索信息DB 16等，并且判断登记人员的个人信息是否存在(步骤S52)。同时， 这个处理的细节与如图20或图21所示的动作相同。当信息存在时(步骤S53，是)，验证系统服务器IO将已经作了 登记的信息、和正式个人标识ID发送到聚集方终端150 (步骤S54 )。聚集方终端150用接收的个人标识ID取代暂时个人标识ID。并且，将正式个人标识ID发送到与相关信息有关的子服务器和 最终方终端160，并且使它们以相同方式改变个人标识ID。当作为搜索结果，在其自身中不存在登记人员的接收个人信息时 (步骤S53，否)，验证系统服务器IO创建存储登记人员个人的个人 信息的个人文件夹(步骤S55)。验证系统服务器10根据接收的登记人员的个人信息将正式个人 标识ID给予登记人员个人(步骤S56 )。验证系统服务器10将接收 的信息与"个人标识ID，，一起存储和登记到个人文件夹中(步骤S57 )。 并且，当具有搜索信息DB16时，验证系统服务器IO从个人文件夹复 制和存储搜索信息DB16所需的信息。此刻，在个人文件夹与搜索信 息DB 16之间设置链接。验证系统服务器10将正式个人标识ID发送到已经将相关个人信 息发送到验证系统服务器10的聚集方终端150 (步骤S58 )。聚集方 终端150用接收的个人标识ID取代暂时个人标识ID。并且，验证系统服务器10还发送登记人员个人是第一次登记在 验证系统中的人员、和需要证实存在性的信息。从验证系统服务器10接收的聚集方终端150以相同方式将正式 个人标识ID和证实过程信息发送到与此时登记有关的子服务器和最 终方终端160，并且使它们以相同方式改变个人标识ID (步骤S59)。与此时登记有关的子服务器和最终方终端160用接收的个人标识
ID取代至此使用的暂时个人标识ID.并且，子服务器将新个人标识ID、和此后使用本验证系统时这个 个人标识ID必不可少的消息信息发送到和通知登记人员取代个人标 识ID的终端(PC或便携式终端)(步骤S60 )。如上所述，通过进行这种名称标识，可以防止为相同人员创建多 个个人标识ID和个人文件夹、和将个人标识分开，还可以防止在相同 人员的存在度(existence degree )证实中出现不均衡数据。并且，可 以防止验证系统中的信息量或信息项目数不必要地增加，和易于执行 搜索功能。尤其，当个人的个人信息被划分成多个个人文件夹时，留下存储 使用频率低或没有用的历史信息的个人文件夹，并且害怕未授权使用。 但是，通过进行名称标识，可以使这些风险降到最低程度。作为名称标识工作的结果，如果找到旧个人文件夹，将找到的个 人文件夹等的存储历史信息传送到新个人文件夹，或将新旧文件夹相 互链接和作为一个整体来管理，从而使存储信息保持不分散。 (未登记人员的初始登记第3阶段存在性证实处理)图24是示出本发明的第1实施例中，在登记人员第一次登记他 自己的个人信息之后，核实登记人员个人是否是存在人员，和登记信 息是否真实的证实处理中的动作例子的顺序图。关于本验证系统中的登记人员个人，从初始登记开始直到经过了 指定时间执行登记人员个人的存在性证实处理。在下文中，参照本图说明在第1阶段和第2阶段的个人信息登记 和名称标识处理之后执行的登记人员个人的存在性证实处理。在本实施例中，在完成了上面的名称标识处理之后，聚集方终端 150进行登记人员的存在性证实。并且，在读取和输入信息时，除了登记人员个人之外的其它人员 专心检验信息的变更、改变或未授权交易。接着，以电子图像、电子 视频、电子音频等的形式将出庭者的证言、读取或输入信息存储到服 务器和终端中。此刻，最好，例如，将像涉及护照的外交部、涉及驾 驶证的警察局、和涉及工作地点的公司名等那样的地址和联系电话号 码变成电子数据，并且以相同方式存储到服务器和终端中。聚集方终端150用个人标识ID取代暂时个人标识ID(步骤S61 )， 然后发送指令子服务器或最终方终端160将指定登记人员个人所需的 像姓名和地址那样的基本信息和历史信息发送到聚集方终端150的信 息、和示出此时的证实处理由聚集方终端150执行和子服务器和最终 方终端160未必进行处理的信息(步骤S62 )。子服务器和最终方终端160将个人标识ID和指令信息发送到聚 集方终端150 (步骤S63 )。同时，在与步骤S62和S63中的进程的自动连接中，最好由子服 务器或最终方终端160显示"现在正在聚集方终端中进行证实处理，，的 通知信息。从而，可以防止终端中的重复处理。聚集方终端150利用聚集方终端150的操作者的眼睛、终端中的 软件或测试程序确认出示的证据材料是真实的(未经伪造、变更、或 虚构)(步骤S64)。当确认为真实时，将日期和时间、核对结果、 和核对者信息存储到历史信息DB 152和证实信息DB 153的指定列 中。聚集方终端150根据信息的特性对确认目的地方终端80进行判 断为真实的信息是否正确的核对处理(步骤S65)。这里，具体地说，聚集方终端150询问判断为真实的信息是否是 确认目的地方终端80这一方的真实信息，或基于真实证据材料的真实 信息的回答。并且，为了澄清确认目的地方终端80这一方的回答者，聚集方 终端150请确认目的地方终端80在回答时加入指定回答者的信息(步 骤S66)。同时，在本实施例中，假设验证系统的管理方已经得到登记人员 个人的同意，向登记人员个人出示的证据材料(合格证、资格证、证 件等的图像、视频等)的发放机构或相关人员公开电子图像、电子视 频、和电子音频等，并且询问登记人员个人的证据材料和存在性确认
的真实性的回答。并且，对于官方证件，假设通过从服务器和终端输入登记人员的标识ID的信息和密码，可以容易地确认其状况。接着，确认目的地方终端80将存储在其自身中的信息内容与从 聚集方终端150接收的信息内容相比较，判断接收的信息内容是否真 实(步骤S67 )。这里，作为要比较的信息，可以列出，例如，从聚集方终端150 发送的像登记人员个人的合格证、资格证、证件等的图像、视频那样 的电子信息、已经存储在确认目的地方终端80中的登记人员个人的历 史信息、与登记人员有关的人的证据材料或口头证据。其结果是，当确认目的地方终端80判断来自聚集方终端150的 信息内容真实或存在时，将"真实"或"存在，，的回答信息、和示出与这 个判断有关的回答者的信息发送到聚集方终端150 (步骤S68)。同时，当确认目的地方终端80判断证据材料不真实或缺乏时， 将"不真实"或"缺乏"的回答信息、和示出与这个判断有关的回答者的信息发送到聚集方终端150 (步骤S68 )。并且，当难以通过相关网站上的图像和视频等判断时，确认目的 地方终端80将"不能判断"的回答信息和回答者规定发送到聚集方终 端150 (步骤S68 )。聚集方终端150 —旦接收到来自确认目的地方终端80的回答信 息，就将它登记到证实信息DB153中(步骤S69)。此刻，根据证实度(validation degree),将示出结果的信息， 例如，"证实确认，真实"或"还未加以证实，，存储到证实信息DB 153 中。聚集方终端150从一系列结果中整体判断登记人员的存在性，并 且在登记时将判断结果登记到基本信息DB 154中(步骤S70 )。这里，当从证实结果中确认存在性时，聚集方终端150将结果发 送到子服务器或最终方终端160，并且将证实信息DB 153的内容发送 到验证系统服务器10。 另一方面，当从证实结果中不能确认登记人员的存在性时，可能 是除登记人员之外的第三方的假冒和虚构信息等，于是，停止此时证 实的人员使用验证系统。并且，通知相关机构出现了错误数据，和采 取像进行公开调查和停止使用验证系统等那样的安全措施。同时，当登记人员拒绝验证或不提供证实所需的信息时，聚集方终端150将事实登记到基本信息DB 154和证实信息DB 153中。并且， 当信息不完整和证实过程延迟，或必须再次进行证实处理时，聚集方 终端150以相同方式显示消息信息。如上所述，通过进行这种证实处理，可以防止恶意人员通过轻而 易举的"假冒"或变成"虚拟人"使用验证系统，并且极大地减少了为了 防止这些未授权使用而投入系统运作中的安全成本和工时。而且，从获取信息到进行证实处理的过程由登记人员在第三方的 参与下执行，于是，可以防止信息变更或改变、和未授权交易。在如上所述的例子中，信息证实请求源是聚集方终端150，但也 可以是构成验证系统的每个终端或服务器。并且，在本例中，确认目的地方终端80在请求时进行证实，但 是，只要它们具有进行证实处理的功能，构成验证系统的其它终端和 服务器也可以进行证实处理。因此，通过安排多个终端和服务器进行证实处理，可以防止所有 证实处理集中在一个设备上，减轻了一个设备的处理负担。此外，在本实施例中，对验证系统用户的存在性证实不仅由一个 专门机构进行，而且存在性的证实处理可以由与这个验证系统有关的 所有个人根据判断进行。从而，可以通过像公司、学校、医院或出入境管理局等那样的机 构进行存在性的证实，防止证实处理集中在一个机构上，和防止处理 延迟。(存在率计算)并且，在本实施例中，对于登记人员个人，根据登记个人信息验 证存在性，或通过存在点数、存在率或存在等级数字化和评估相同人 员的登记个人信息，和使验证度具体化，从而，对于使用验证系统的 所有登记人员或登记人员所属的公司、学校、和机构等，可以提供高 度安全的服务。从而，可以防止恶意人员在本验证系统中的初始登记阶段，像在 因特网中那样，通过轻而易举的"假冒，，或变成"虚拟人，，使用该系统。并且，根据数字化存在性的真实性，可以限制这个验证系统的使 用范围(终端和服务器等的设备、地点、时间等)，和进一步实现验 证系统的安全操作。并且，在上文中利用护照和驾驶证等进行登记人员存在性的证 实，在下文中，将说明示出证实可靠性的指标。图25是示出根据本发明第1实施例的验证系统中存在点数的计 算方法的例子的图形。这个存在性点数是示出将他自己个人信息登记到验证系统中的 登记人员的存在可靠性的指标。同时，这个"存在性，，指的是这个人(登 记人员)不是虛拟人，而是实际存在的人。这个存在性点数是根据登记人员将他自己个人信息登记到验证 系统中时使用的用于标识和证明存在性的那些计算的，并且，用在标 识中的那些具有可靠类型，或用在标识中的那些越多，或用在标识中 的那些的特有性越高，存在点数的值就越高，并且可靠性被判断为高 度可靠。例如，用在这个标识中的那些是像驾驶证、护照等那样的标 识证件、或像生物测定信息那样登记人员特有的信息。并且，这个存在点数也可以根据登记人员在登记了他的个人信息 之后，当使用验证系统时，为了得到验证向系统方出示的那些计算。 对于为了验证而出示的那些，也是用在标识中的那些具有可靠类型， 或用在标识中的那些越多，或用在标识中的那些的特有性越高，存在 点数的值就越高，并且可靠性被判断为高度可靠。例如，用在这个标 识中的那些是本文后面将描述的生物测定信息或信息便携式物品(IC 卡、普遍存在通信器或蜂窝式电话等)。在下文中，将说明存在点数的计算方法。
同时，用在上述标识中的那些和在验证时出示的那些统称为登记信息。首先，验证系统服务器10将登记人员个人的登记信息的类型转换成点数。接着，验证系统服务器10将这个点数分别乘以给予登记时间信息、证实结果信息、有效时间信息和示出从证实工作执行间隔开始的 经过时间的信息(下文称为证实经过时间信息)的点分配，并且按登 记信息计算达到点数。并且，验证系统服务器10按与登记人员有关的登记信息的类型分别计算这个达到点数。验证系统服务器10按登记人员个人合计按登记信息计算的达到点数，并且计算存在点数。在下文中，借助于该图的例子说明存在点数的计算方法。 例如，在本图的例子中，示出了-登记项目(给出与上面登记人员有关的数据的证据材料的类型)(官方证据材料9点；辅助官方证据材料5点；其它证据材料 1点)；-证实结果信息(可以证实3点；不能证实l点)；-登记时间信息(从登记到数据库11开始经过的时间)(在一 个月内或未改变9点；l个月到3个月5点；3个月到6个月3 点；6个月到1年2点；1年以上l点)；-证实时间信息(从证实开始经过的时间)(在一个月内或未改 变9点；l个月到3个月5点；3个月到6个月3点；6个月到1 年2点；l年以上l点)；-有效期限信息(证据材料的有效期限)(在期限内3点；没 有期限3点；过期l点)，并且，通过乘以这些值，计算存在点数。并且，验证系统服务器10计算风险率考虑点数，作为将可能风 险因素反映在上面存在点数中的指标。 图26是示出根据本发明第1实施例的验证系统对风险率考虑点 数的计算方法的例子的图形。如图所示，风险率考虑点数通过将上面存在点数乘以(1-风险率)计算的。这个风险率是用0到l(当风险最高时是1，和当风险最低时是0) 表达的如下所述的各种风险。(1) 来源于登记信息的风险 在将易于窜改和改变的雇员证、普通邮政信封、扣税证等用作信息的情况下引起的风险。(2) 来源于证实方法的风险存在于像确认目的地存在性未得到确认的证实工作、只通过证言 的证实工作等那样的证实方法之中的风险。(3) 其它风险国家风险(来源于国家的政治、经济、和社会不稳定的风险)和 标识字段在标识时刻未知和在判断之前暂时给出。并且，作为示出存在性的证实结果的可靠度的其它指标，存在证 言(个人或群体)、信任评估度、和与前动作模式的匹配率。这个信任评估度是用0到1 (当信任度最高时是1，和当信任度 最低时是0)表达、证明登记人员的存在性的个人或群体，或用于存 在性证明等的标识证件的发放机构的信任度。在个人证明登记人员的存在性的情况下，例如，当该人的名声和 社会地位较高时，可以将这个信任评估度确定得较高。并且，可以根 据该人是否可以客观地评估登记人员来确定信任评估度，例如，当该 人是登记人员的家庭成员时，可以设置得较低，而当该人是登记人员 的无关第三方时，可以设置得较高。而且，在群体证明登记人员的存在性的情况下，可以根据该群体 是官方的还是非官方的，或公司的资本、成立年份、社会影响等确定 信任评估度。例如，可以为官方群体设置比非官方群体高的信任评估 度，并且可以为资本较多的群体、成立年份较早的群体、和社会影响
较高的群体设置较高的信任评估度。此外，与前动作模式的匹配率是示出相同登记人员的最新动作模 式与登记人员的过去动作模式有多少匹配的指标。具体地说，验证系统服务器10根据存储在其自身中的数据库中的登记人员的历史信息和移动信息(时间、地点)，检测登记人员在什么时区，以什么顺序， 去什么地方的动作模式，并且计算匹配率，作为动作模式的匹配率。 根据上面的存在点数、风险率考虑点数、信任评估度、和与前动作模式的匹配率，验证系统服务器10通过如下方程1到5的任何一个 计算存在率，作为示出登记人员的存在真实度的指标。 (方程l) 存在率=1 —风险概率 例如，在风险概率30%的情况下， 存在率=1-30% -0.7 (方程2)存在率(％ ) -风险率考虑点数/存在点数xl00其中，风险率考虑点数按如下计算。将用在计算存在点数中的达 到点数乘以根据上述风险概率计算的存在率，计算基本点数，和针对 登记人员合计这些基本点数，计算风险率考虑点数。并且，存在点数与上述那个相同。在这个方程(2)中，从值的可靠性的观点来看，最好将存在点数计算成至少2个或更多个的达到点数的总和。图27是示出通过这个方程(2)对基本点数的计算例子的图形。 如图所示，通过将达到点数乘以信息引起风险、证实引起风险、和其它风险计算方程(2)中的基本点数。 (方程3 )存在率(％ ) -信任评估考虑点数Z存在点数xlOO 图28是示出这个信任评估考虑点数的计算方法的图形。 在下文中，参照该图说明这个信任评估考虑点数的计算方法。将 用在计算存在点数中的达到点数乘以根据上述风险概率计算的存在 率，从而计算出基本点数。将这个基本点数乘以确定的信任评估度， 从而计算出信任评估考虑点数。并且，存在点数与上述那个相同。在这个方程(3)中，从值的可靠性的观点来看，最好将存在点 数计算成至少2个或更多个达到总数的总和，并且将信任评估考虑点 数计算为2个或更多个的信任评估考虑点数的总和。图29是示出通过这个方程(3)对信任评估考虑点数的计算例子 的图形。如图所示，通过将基本点数乘以根据证明了登记人员的存在性的 个人和群体(律师、教师、大公司、朋友等)确定的信任评估度计算 信任评估考虑点数。 (方程4)在应用这个方程4的情况下，将登记人员日常重复的动作模式分 类成区或地点，并且事先登记到验证系统服务器10中。并且，验证系统服务器IO—旦提取出登记人员的实际动作模式， 就将提取动作模式与上述登记的动作模式相比较，当匹配率高时，存 在率(％ )变成高值，估计登记人员的存在性高。在下文中，说明方程4的存在性的计算方法。首先，验证系统服务器10基于时区和地点提取和分类某个间隔 (例如，设置成过去一年的条件)内，登记人员动作模式，并且计算 这些分类的各自动作模式在该间隔内的次数和将结果登记到其自身之 中。接着，验证系统服务器10基于时区和地点提取和分类最近某个 时段(例如，设置成最近一个星期的条件)内，动作模式，并且计算 各自动作模式的次数。并且，验证系统服务器10按这些分类的各自动作模式计算采集 率。这个采集率通过如下方程计算。证实基础采集率-某个间隔内的次数/某个间隔内的天数目标目的地采集(mining)率-最近某个间隔内的次数/最近某个 间隔内的天数采集率(％ )=目标目的地采集率/证实基础采集率接着，验证系统服务器10合计至少两个或更多个采集率，计算出采集点数。并且，如下面的方程所示，验证系统服务器10将这个采集点数作为分子，和将相加的采集率的个数作为分母计算存在率(％)。 存在率(％ )=采集率的总和/用在相加中的采集率的个数。图30是示出这个方程(4)的计算例子的图形。在下文中，参照该图说明通过方程4的计算方法的具体例子。在本例中，动作模式(1)示出登记人员按 "150A，，4"150E，，-V'150H，，—"150P，，顺序在各自单元之间移动。登记 人员在6个月内重复这种动作模式(1) 120次，并且在最近45天中 重复这种动作模式(1) 32次。因此，按如下所示计算。证实基础采集率=120+180 = 0.67目标目的地采集率=32+45 = 0.71采集率(% ) = 0.71+0.67 = 1.06同样，计算出动作模式(2)的采集率是0.65，和计算出动作模 式(3)的采集率是1.17。从上面的内容中可以计算出存在率=(1.06 + 0.65 + 1.17) +3 -0.96 = 96 % 。(方程5 )将通过方程1到3计算的各自存在率乘以通过方程4计算的存在 率，计算出各自存在率。存在率(％ )=(通过方程1到3计算的存在率)x (通过方程4 计算的存在率)。图31示出了本发明的第1实施例中存在率和验证系统使用功能 之间的核对的例子的图形。在如本图所示的例子中，对于存在率高的登记人员，可以无需证
据材料地接受在电子环境下自动提供的各种服务。构成验证系统的各个终端和服务器存储如图所示的示出核对的 信息，并且根据使用这个验证系统的人员的存在性限制对这个验证系 统的使用。对于存在率高的登记人员，在验证系统中将人员识别成登记人员 的各种过程几乎不受限制。另一方面，对于存在率低的登记人员，存在其它人"假冒，，的可能性，于是，当对通过相关标识ID示出的登记人员个体造成伤害时，最 好限制对验证系统的使用，以便将伤害降到最低程度。在下文中，用登记人员存在性的点数确认表达的存在率、存在等 级、存在点数等与可用函数之间的关系被称为"函数矩阵"。因此，对于登记人员个人，在将自身个人信息登记到验证系统中 的时刻，在登记之后使用验证系统的时刻，终端和服务器进行登记/ 用户个人是否是存在个人，和登记/用户个人的个人信息是否与已经登 记在验证系统中的信息匹配的个人存在性证实(验证)，并且将证实 结果存储到证实信息DB 13、 113、 123、 133、 143、 153、 163中。验证系统中的各个终端和服务器根据这些存在性证实结果(证实 成功的存在或缺乏、次数、项目等)，可以用点数计算登记人员存在 性的信任度，和可以按登记人员将存在性的信任度的信息存储到数据 库中。这个存在性的信任度的信息可以用作登记人员的验证材料。例 如，终端和服务器可以在使用验证系统时，根据存在性的信任度确认 和验证接受验证的人员是否是存在性得到确认、具有许多存在点数、 和具有高存在率的人员。例如，在进入特殊设施时，对于存在性的信任度高的人员，容易 执行设施的进入过程。另一方面，对于存在性的信任度低的人员，可 以增加验证次数，和可能根据各种类型的信息作出验证，从而进行综 合存在性证实，于是，可以降低验证系统操作的风险。图32是示出本发明的第1实施例中组合存在率和个人标识ID的
例子的图形。当计算存在率时，验证系统服务器10才艮据计算的存在率自动将 某些代码和字符信息加入计算了存在率的人员的个人标识ID中。当登记人员使用验证系统时，终端和服务器在如图所示的发送和 接收时参考个人标识ID信息，并且可以容易地判断登记人员的存在率 在什么水平上。从而，终端和服务器无需搜索登记人员的所有登记信息地参考与 个人标识ID相对应、示出存在性范围的分段信息，并且可以容易地发 送可用性信息和容易地进行某种动作的认可等。 (验证系统的特征)并且，在本实施例中，终端标识ID对应于在验证系统中发送和 接收的个人信息，因此，不用说，可以容易地指定信息的发送源。而且，当登记人员获得个人标识ID时，通过证据材料、证言、 生物测定信息等综合证实登记人员的存在性，并且在判断登记人员是 否是存在人员之后作出登记，于是，即使在难以指定信息的发送源的 因特网中，也可以容易地和精确地指定信息的发送源。当前，在因特网使用环境下，由于对它的用户没有任何限制，所 以存在恶意人员、各种各样的病毒软件、捕鱼式诈骗、有害网站、和 其它问题。因此，考虑到反病毒软件的开发和购买、现金盗窃和信用 卡欺诈等，会造成巨大的社会损失。并且，难以指定和排除这种网络 犯罪，并且尚未做出有效解决方案。根据本发明的验证系统的特征在于它的高度公开使用、和广泛用 途。并且，这种验证系统不仅可以配置在建筑结构或指定区域中，而 且可以配置在，例如，像全日本或全世界那样的广大区域中。这种验证系统交换有关个人标识ID的信息，并且，当在验证系 统中发生意外事故时，可以容易地指定源头人员。<第2实施例>(存在登记人员的重复登记处理1)在本实施例中，将说明在在第1实施例中曾经登记了其个人信息 的登记人员将信息登记到除用于登记的终端之外的其它终端中的情况 下的流程。图33是示出本发明的第2实施例中，登记人员第一次将它自身 的个人信息登记到除登记人员曾经登记的终端之外的其它最终方终端 中时验证系统的动作例子的顺序图。与第1实施例的方式相同，首先，最终方终端160输入/读取登记 人员的个人信息，并且，当输入/读取的个人信息还未登记在数据库 161、 166、 167中时，将个人信息存储到暂时存储DB 167中(步骤 S71到S74 )。接着，最终方终端160将个人信息发送到子服务器(步骤S75 )。 接收到个人信息的子服务器搜索它们自己的综合DB和搜索信息DB， 并且判断个人信息是否已经登记在这些数据库中(步骤S76 )。当作为搜索结果，子服务器确认接收的登记人员的个人信息处在 它们自身之中时，它们将此时接收的登记人员的个人信息存储和登记 到指定DB中(步骤S77)。并且，如果子服务器具有搜索信息DB,它们将必要信息从个人 文件夹复制和存储到搜索信息DB中。此刻，子服务器设置个人文件 夹与搜索信息DB之间的链接(步骤S78)。子服务器通过通信线网络200将从最终方终端160接收到的个人 信息已经登记到子服务器中的信息和个人标识ID发送到最终方终端 160 (步骤S79 )。最终方终端160 —旦接收到上层终端中登记处理已完成的信息和 个人标识ID，就创建存储登记人员个人的个人信息的个人文件夹。最终方终端160将信息与个人标识ID —起存储和登记到个人文 件夹中(步骤S80)。此后，与第一实施例的方式相同，删除不必要信息(步骤S81)， 并且登记到搜索信息DB 167中(步骤S82 )。<第3实施例> (存在登记人员的重复登记处理2 )
这里，先说明"单元"。 一个单元指的是包括一个上层终端和一个下层终端或通过终端管理的更多个终端的结构评估(rate)单元。也就是说，"相同单元的终端"指的是在相同终端管理下的终端， 和"其它单元的终端"指的是在各自不同终端管理下的终端。同时，"使用单元，，指的是登记人员从构成单元的任何终端接受像 开锁和锁住等那样的各种各样服务。图34是示出第3实施例中，登记人员第一次将它自身的个人信 息登记到构成除登记人员登记的单元之外的其它单元的最终方终端中 时验证系统的动作例子的顺序图。在第2实施例中，登记人员再次将他的个人信息登记到相同单元 的终端中。而另一方面，在本实施例中，将说明登记人员再次将个人 信息登记到其它单元的终端中的情况。从最终方终端160登记个人信息，经过名称标识处理，到从验证 系统服务器10回答个人信息的存在性的步骤(步骤S91到S104)与 第1实施例的过程(步骤S41到S54)相同。从验证系统服务器10接收的聚集方终端150利用正式个人标识 ID改变它自已的"暂时个人标识ID"(步骤S105 )。此后，聚集方终端150将个人标识ID发送到与此时登记有关的 子服务器和最终方终端160 (步骤S106),并且使它以相同的方式改 变个人标识ID (步骤S107)。同时，此后的步骤与第1实施例中的 那些相同。<第4实施例> (存在登记人员的重复登记处理3 )在本实施例中，与第3实施例的方式相同，也说明登记人员再次 将个人信息登记到其它单元的终端中的情况。但是，在第3实施例中，在重复地登记时，登记人员本身不识别 它自己的个人标识ID,但在本实施例中，登记人员已经识别出它。图35是示出本发明的第4实施例中，登记人员第一次将它自身 的个人信息登记到构成除登记人员登记的单元之外的其它单元的最终
方终端中，和登记人员个人识别它的个人标识ID时验证系统的动作例 子的顺序图。在下文中，将参照本图作出说明。当登记人员登记个人信息时，首先，最终方终端160显示询问登 记人员是否第 一次将个人信息登记到验证系统中的消息。这里，如果登记人员以前登记了个人信息，在此时对个人信息的 登记中，除了正常登记处理之外，登记人员还将以前分配的个人标识 ID输入最终方终端160中。最终方终端160判断读取/输入的个人信息是否存储在它自己的 综合DB 161、搜索信息DB 166和暂时存储DB 167的至少一个中(步 骤Slll)。当最终方终端160确定读取/输入的个人信息未存储在它自身中， 将读取/输入的个人信息存储到它自身中的暂时存储DB 167中。当未 含暂时存储DB 167时，存储到搜索信息DB 166和综合DB 161中， 以^t最终方终端160可以判断这是第一次信息识别。同时，由于个人标识ID已经分配给登记人员，最终方终端160 将个人信息与ID对应，并且存储它。最终方终端160通过通信线网络将像姓名和地址那样的基本信息 和指定登记人员个人所需的历史信息发送到变成相关最终方终端160 的上层终端的子服务器(步骤S112)。子服务器以相同方式搜索它自身中的数据库(步骤S113)，并且 当确认接收的信息未在它自身中的数据库中时(步骤S114,否)，通 过通信线网络200将像姓名和地址那样的基本信息和指定个人标识ID 和登记人员个人所需的历史信息发送到变成相关子服务器的上层终端 的聚集方终端150 (步骤S115 )。聚集方终端执行与上述步骤S113到S115相同的步骤(步骤S116 到S118)。验证系统服务器10搜索它自身中的数据库(步骤S119)，并且 确认接收的信息在它自身中(步骤S120，是)，它证实接收个人标识ID的登记人员是否与登记在它自身中的数据库中的人员相同，和是否 存在(步骤S121)。例如，在这个证实处理中，验证系统服务器10可以比较和证实 它自身的数据库中的个人信息、和接收的个人信息，或可以与确认目 的地方终端80核对，和可以接收来自确认目的地方终端80的证实结 果。当作为证实结果，验证系统服务器10判断登记人员与登记在它 自身中的数据库中的人员相同，并且存在时(步骤S122)，将应该使 用证实结果和个人标识ID的信息发送到聚集方终端150(步骤S123 )。在下文中，同样地，将信息发送到子服务器和最终方终端160(步 骤S124, S125)。<第5实施例>(登记人员的偶然存在性证实处理)图36是显示本发明的第5实施例中，在使用验证系统的可选时 间内进行登记人员个人是否是存在人员、和登记信息是否真实的证实 处理的动作例子的顺序图。在下文中，将参照本图，在聚集方终端150证实登记人员存在的 假设下加以说明。子服务器接受新个人信息的登记，以便证实登记人员的存在(步 骤S131)。子服务器可以直接输入/读取个人信息，或可以从最终方终 端160接收它。子服务器将请求进行登记人员个人的存在性证实的信息，以及个 人标识ID和新登记信息发送到聚集方终端150 (步骤S132 )。此刻， 在与此时发送过程的自动连接中，最好由子服务器显示"现在正在聚集 方终端中进行证实处理，，的提示信息。从而，可以防止终端中的重复处 理。聚集方终端150利用聚集方终端150的操作者的眼睛、终端中的 软件或测试程序确认出示的证据材料是真实的(未经伪造、变更、或 虛构)(步骤S133 )。 当确认为真实时，将日期和时间、核对结果、和核对者信息存储到历史信息DB 152和证实信息DB 153的指定列中。此后的步骤S134 到S139的过程与第1实施例中的过程(步骤S65到S70 )相同。同时，当在聚集方终端150中存在与此时接收的登记人员个人的 基本信息或历史信息相同类型的存在信息时，比较、检查和核对接收 的信息和现有信息。当从证实结果中确认存在时，聚集方终端150将结果发送到相关 子服务器，并且将证实信息DB 153的内容发送到验证系统服务器10 (步骤S140)。验证系统服务器10 —旦接收到来自聚集方终端150的新存在性 证实结果，就将接收的证实结果存储和登记到它自身的证实信息DB 13中。作为这个证实处理的结果，在登记人员个人的存在率和存在点数 发生变化的情况下，必须使新结果反映在示出与个人标识ID相对应的 存在率的信息、和如图26所示的使用等级中。并且，与聚集方终端150的方式相同，当在其自身的数据库中存 在与此时接收的登记人员的基本信息或历史信息相同类型的存在信息 时，验证系统服务器10可以比较、检查和核对接收的信息和现有信息。 这时因为，尽管未存在于聚集方终端150之中，但可以通过其它聚集 方终端150登记到验证系统服务器10中。因此，验证系统服务器10使新存在性证实结果变成用点数表示 的传统存在性数据，并且进行必要计算(步骤S141)。其结果是，在示出与个人标识ID相对应的存在率的信息、和如 图26所示的使用等级发生变化的情况下，改变验证系统服务器10中 的相关数据(步骤S42)。接着，将改变通知和新数据发送到聚集方终端150和子服务器(步 骤S143)。如上所述，当判断下层终端不能胜任存在性证实处理时，上层终 端可以利用从各种各样终端发送和集中存储的个人信息进行证实处 理。因此，上层终端和服务器总是重复个人存在性证实，并且综合地 判断，从而提高其精确度，于是，第三方难以进行假冒或变成虚拟人。 并且，自然产生了减轻下层终端证实处理的效果。 (存在性验证的概念)在证实登记人员的存在性中，验证系统具体地执行如下两个过程。首先，在第一证实过程中，终端和服务器判断存储在验证系统的 数据库中的现有个人信息、和读取或输入的信息是否相同，或它们是 否在阈值内，从而证实登记人员的存在性。并且，在第二证实过程中，终端和服务器判断新读取/输入的信息、 和存储在验证系统的数据库中的现有个人信息或存在于验证系统中的 其它终端之中的信息在时间信息和空间信息两个方面是否一致，从而 证实登记人员的存在性。这里，将进一步详细说明上述两个证实过程。在这个笫二证实过程中，终端和服务器根据指定个人的个人信息 (生物测定信息等)的读取/输入间隔和位置，证实在验证系统中是否 存在登记人员的未授权使用，进一步累积终端和服务器的存在性含义 和用途等，并且证实它们。例如，13:00在Marunouchi、 Chiyoda-ku、 Tokyo通过ATM (自 动取款机)从其银行帐户中提取现金、和13:10在Nishi-shinjuku、 Shinjuku-ku、 Tokyo通过生物测定信息验证使用图书馆的那个人是不 可能存在的。这示出了时间信息的不一致。另一方面，当一个人4皮识别成10:00在Marunouchi、Chiyoda-ku、 Tokyo的医院的特护病房中接受手术时，在Kyoto-city、 Kyoto通过 ATM从其银行帐户中提取百万日元的现金是不可能的。这通过医院的 特护病房的地点识别出来，对于示出入院治疗状况的终端用途，示出 了空间信息的不一致。在下文中，将说明第二证实过程的具体处理内容。
验证系统的终端和服务器存储示出安装地点的信息、和安装地点 周围的交通机构信息(车站和公共汽车站位置、时刻表等的信息)， 于是，可以计算在终端之间移动所需的时间。例如，在乘坐火车或汽车在Tokyo和Shinjuku之间的移动中， 在从与作为终端的前一个移动地点的Marunouchi、 Chiyoda-ku、 Tokyo相邻的多个车站到与终端的最新移动地点的Nishi-shinjuku、 Shinjuku-ku、 Tokyo相邻的多个车站的移动中，终端和服务器搜索此 时可用的交通工具，并且相加和计算所需乘车时间。并且，终端和服务器根据终端的安装位置到最近车站的距离，在 前一个和最新移动地点的终端上计算从各终端移动到周边车站所需的 时间。这个车站移动所需时间是通过，例如，将终端的安装位置到最 近车站的距离除以指定数值(例如，将100米赛跑的世界记录转换成 每小时公里数获得的值)计算的。最后，将在前一个和最新移动地点处的终端中车站之间的所需移 动时间加入上述所需乘车时间中，计算出预测移动时间。当在最新移动地点(Nishi-shinjuku 、 Shinjuku國ku、 Tokyo)的一个移动地点(Maru綱chi、 Chiyoda-ku、 Tokyo)的终端上读取/ 输入个人信息的间隔所获得的最快到达预定时间时，终端和服务器认 为它是错误值，并且判断前一个或最新移动地点上信息的读取/输入是 未授权的。同时，在通过读取/输入个人信息预订机票或预订车票的情况下， 由于可以预测终端的经过时间，所以可以比较经过时间和最新移动地 点的终端上的读取/输入时间。在本验证系统中，通过安装在真实空间中的终端和传感器，可以 广泛地收集个人信息。将收集的信息当作一种流。接着，通过比较相 关信息和信息前后的信息，在考虑了个人存在(所处)的状况之后， 证实是否存在不可能的位移、时间和空间，并且可以判断人员的存在 性。 <第6实施例> (终端独自进行的验证过程)在如上所述的例子中，通过上层终端验证最终方终端160读取的 个人信息，而在本实施例中，最终方终端160本身执行个人信息的验 证过程。图37是示出本发明的第6实施例中，执行输入个人信息的终端 比较它自身中的信息和读取或输入的信息，和判断登记人员个人是否 是存在人员，或登记信息是否真实的验证过程的动作例子的顺序图。在本实施例中，作为一个例子，将说明最终方终端160读取登记 人员的生物测定信息和进行验证的动作。最终方终端160利用附属扫描仪读取或输入登记人员的生物测定 信息，并且将该信息发送和存储到安装在它自身中的数据库中(步骤 S151)。接着，最终方终端160比较读取或输入的生物测定信息、和其自 身中的搜索信息DB 166中的以前登记生物测定信息。作为比较性核对 的结果，当读取或输入的生物测定信息和以前登记生物测定信息匹配 时，最终方终端160指定输入/读取生物测定信息的人员的个人标识ID (步骤S152)。此后，最终方终端160根据指定的个人标识ID，从综合DB 161 中指定的个人标识ID的个人文件夹中提取相应信息(步骤S153), 比较和核对提取的信息和读取或输入的生物测定信息(步骤S154)， 并且进行是否是相同人员的验证判断(步骤S155)。作为核对结果，当该人员被验证为相同人员时，最终方终端160 利用可用性信息DB 165执行将上述验证结果发送到其它终端和服务 器的发送过程(步骤S156)。接着，最终方终端160将此时读取或输入的生物测定信息、验证 结果信息、和示出验证间隔的时间信息存储和登记到综合DB 161的各 自指定列中(步骤S157)。此后，在有必要更新时，最终方终端160用此时读取或输入的信
息等取代搜索信息DB 166中的现有信息(步骤S158 )。在验证系统中，不仅验证系统服务器10进行验证处理，而且终端和服务器也进行验证处理，从而可以提高处理效率和避免过分集中。 因此，终端和服务器分别具有验证功能，从而，例如，即使由于像发生灾难时的电力故障和断线、和相关上层终端的故障等那样的紧急状况而导致与包括验证系统服务器10的上层终端的通信中断了，登格地进行存在性确认。 <第7实施例>(通过时间和地点的连续性进行的验证过程)在如上所述的实施例中，核对读取的个人信息和数据库中的个人 信息，从而进行登记人员的个人验证。而另一方面，在本实施例中， 根据包括在移动信息中的个人信息的读取地点和读取时间的信息，判 断是否可以在时间上和在空间上连续地验证登记人员的存在性。图38是示出本发明的第7实施例中，执行输入个人信息的终端 比较读取或输入的信息、它自身中的信息、和验证系统中的其它终端 拥有的信息，和判断登记人员个人是否是存在人员，登记信息是否真 实，或个人信息和存在性是否存在连续性的验证过程的动作例子的顺 序图。在本实施例中，作为一个例子，将说明最终方终端160读取生物 测定信息和进行验证的动作。最终方终端160利用附属扫描仪读取或输入登记人员的生物测定 信息，并且将该信息发送和存储到安装在它自身中的数据库中(步骤 S161)。接着，最终方终端160比较读取或输入的生物测定信息、和其自 身中的搜索信息DB 166中的以前登记生物测定信息。作为比较性核对 的结果，当读取或输入的生物测定信息和以前登记生物测定信息匹配 时，最终方终端160指定输入/读取生物测定信息的人员的个人标识ID (步骤S162 )。
最终方终端160将指定的个人标识ID、读取或输入生物测定信息 的时间信息、对存在性证实信息的请求、和它自己的标识ID发送到作 为上层终端的子服务器(步骤S163)。此刻，最终方终端160也可以将读取或输入的生物测定信息本身 发送到子服务器。子服务器根据从最终方终端160接收的个人标识ID，搜索它自身 中的搜索信息DB或综合DB (步骤S166 )。作为搜索结果，当与相关个人标识ID有关的信息存储在搜索信 息DB或综合DB中时(步骤S167，是)，子服务器从该信息中提取 最新存在性信息(示出登记人员的存在性已得到确认的信息)、和与 之有关的证实信息或证实结果信息，并且将它们发送到最终方终端160 (步骤S168)。另一方面，作为搜索结果，当与相关个人标识ID有关的信息不 存在时(步骤S167,否)，子服务器将示出"无相应信息"的信息发送 到最终方终端160 (步骤S168)。并且，子服务器将从最终方终端160接收的信息、和它自身中的 必要信息(最新存在性信息和与之有关的证实信息或证实结果信息) 发送到作为上层终端的聚集方终端150 (步骤S169)。聚集方终端160执行与上述步骤S166到169相同的过程(步骤 S170到S173)。并且，在步骤S172中，聚集方终端150将信息发送 到子服务器和最终方终端160，和在步骤S173中，将信息发送到验证 系统服务器10。接着，验证系统服务器10根据从它的聚集方终端150接收的个 人标识ID，搜索它自身中的搜索信息DB 16或综合DB ll(步骤S174 )。作为搜索结果，当与相关个人标识ID有关的信息存储在搜索信 息DB 16或综合DB 11中时(步骤S175，是)，验证系统服务器10 从该信息中提取最新存在性信息、和与之有关的证实信息或证实结果 信息，并且将它们发送到最终方终端160、子服务器和聚集方终端150 (步骤S176)。
此后，最终方终端160比较和核对存储在它自身、子服务器、聚 集方终端150和验证系统服务器10等中的生物测定信息、和读取或输 入的生物测定信息(步骤S177)，并且进行登记人员是否存在的验证 判断(步骤S178)。并且，此刻，最终方终端160可以比较和核对存储在它自身、子 服务器、聚集方终端150和验证系统服务器10等中的最新存在性信息、 和读取或输入个人信息(生物测定信息)的时间信息和空间信息。作为核对结果，当该登记人员被验证为相同人员时，最终方终端 160利用终端拥有的可用性信息DB 165允许或着手进行相关最终方终 端提供的各种各样服务。接着，最终方终端160将此时读取或输入的生物测定信息、验证 结果信息、和示出验证间隔的时间信息存储和登记到综合DB 161的各 自指定列中(步骤S180)。此后，在必须更新时，最终方终端160用此时读取或输入的信息 等取代搜索信息DB 166中的现有信息(步骤S181)。作为本验证系统的特征的时间信息和空间信息的比较是根据整 个验证系统的一致性进行的，于是，可以比只通过存在于此时读取/ 输入个人信息的相关终端的数据库之中的历史信息的操作更进一步地 提高验证系统的安全性。尤其，将生物测定信息、时间信息和空间信息组合在一起，从而 综合地和广泛地证实登记人员个人，和从而可以在时间上连续地指定 登记人员和排除"假冒"和"虚名"。并且，由于构成验证系统的终端和服务器是通过网络连接的，可 以将终端和服务器的数据库用作数据库地执行像验证等那样的过程， 甚至在物理上分开的空间中也可以消除地理隔离和时间隔离，和可以 容易地比较存在性验证信息。<第8实施例> (通过信息记录媒体进行的验证过程)在如上所述的例子中，登记人员的个人验证由验证系统的服务器
和终端进行。而在本实施例中，像登记人员拥有的IC卡等那样具有 CPU的信息记录媒体进行登记人员的个人验证。图39是示出本发明的第8实施例中，生物测定信息的阅读器读 取生物测定信息的动作例子的顺序图，但由于它不含数据库，在本发 明的第8实施例中，利用设备外部的数据库核对信息，并且发送登记 人员是相同人员的信息。例如，在IC卡中，封装了比较指定个人的生物测定信息、相关 信息和新读取或输入的生物测定信息，计算一致率和"阚值"等，从而 进行个人验证的验证软件，并且在IC卡中比较和核对生物测定信息阅 读器读取的生物测定信息。登记人员将存储指定个人的生物测定信息的IC卡插入信息阅读 器中，并且，通过附在信息阅读器上的扫描仪，登记人员读取生物测 定信息(步骤S191)，并且将读取的信息(输入信息)发送到插入IC 卡中(步骤S192)。IC卡转换读取的信息数据，以便接收的生物测定信息应该与它自 身中的验证软件匹配(步骤S193)。接着，IC卡比较转换的读取信息、和事先存储在它自身中的数据， 计算一致率和"阈值，，等(步骤S194)，并且判断读取的信息是否是登 记人员本身的(步骤S195)。当数据匹配时(步骤S195，是)，IC卡将读取的信息和相同人 员姓名和数据匹配的信息发送到最终方终端160 (步骤S196)。同时，最好，在IC卡中，除了指定个人的生物测定信息之外， 还存储个人标识1D，并且，在具有个人标识ID的情况下，IC卡将相 关信息发送到最终方终端160。同时，IC卡可以以无线电和非接触方式将上述信息发送到最终方 终端160，或可以与最终方终端160接触和发送上述信息。最终方终端160比较从IC卡接收的个人标识ID、和搜索信息 DB 166中的以前登记信息。作为比较性核对的结果，当个人标识ID 与以前登记信息匹配时，指定个人标识ID (步骤S197)。 此后，最终方终端160比较和核对存储在指定个人标识ID的个 人文件夹中的综合DB161中的信息、和从IC卡发送的信息，并且进 行登记人员是否是相同人员的验证判断(步骤S198)。同时，此后的过程(步骤S199到S201)与第1实施例中的过程 (步骤S156到S158)相同。并且，在必要时，与第7实施例一样，在整个验证系统中进行存 在性验证。如上所述，在本实施例中，IC卡存储个人验证所需的基本信息， 并且具有通过该信息进行个人验证的验证软件。因此，通过利用高度通用IC卡执行登记人员的个人信息的验证 过程，可以减轻整个验证系统的处理负担。并且，与IC卡分开，在其它终端和服务器中，存储着通过IC卡 验证允许的信息和示出整个验证系统中的存在性连续性的信息，于是， 分别存储像存在性验证信息、证实信息和许可信息等那样的必要信息， 因此，可以降低出现像信息泄漏和被窃取等那样的紧急情况的风险。而且，可以将传统蜂窝式电话的功能加入根据本实施例的IC卡 中，或可以存储像驾驶证和基本居民登记卡那样的证件的描述内容， 和可以复合地存储这样蜂窝式电话和证件的功能和用途。从而，可以比现有技术更进一步地提高了便利性，和比传统证件 更精确地证实登记人员的存在性。此外，在本实施例中，在验证系统中，将登记人员的个人信息(生 物测定信息和活动历史等)存储在登记人员拥有的IC卡、和终端和服 务器的数据库两者中。因此，即使IC卡或终端等中的个人信息被非法 重写，由于在原始内容中存储着其它个人信息，所以也可以防止恶意 第三方使用它，并且适当地应付"假冒"。<第9实施例>(基于读取顺序与多个信息项的匹配的验证过程) 在如上所述的例子中，登记人员的个人验证是通过核对登记人员 的读取个人信息、和数据库中的个人信息进行的。而在本实施例中，
除了个人信息本身的核对之外，当核对多个信息项时，在考虑了登记 人员对个人信息的输入顺序是否正确之后再进行个人验证。图40是示出本发明的第9实施例中，当输入个人信息的终端核 对它自身中的信息和读取或输入的信息，和判断登记人员是否是存在 人员，和登记信息是否真实时，除了核对个人信息之外，还判断事先 登记到终端中的一个或多个信息项的读取或输入顺序是否适当的个人 验证的动作例子的顺序图。在本实施例中，作为一个例子，将说明最终方终端160读取登记 人员的生物测定信息和进行验证的动作。最终方终端160利用所附扫描仪读取或输入登记人员的一个或多 个生物测定信息，并且将其存储到它自身的数据库中(步骤S211)。此刻，如果它读取/输入多个生物测定信息，按事先登记在最终方 终端160中的顺序(例如，按指紋- 虹膜—声紋的次序)读取/输入各 自生物测定信息。同时，为了防止变更或滥用虛构信息，在读取/输入这个生物测定 信息的时刻，当未在某个时间内完成时，可以使验证不可用。例如， 当按拇指—无名指—食指的顺序读取指紋时，可以立刻改变暴露在扫 描仪面前的手指，并且，如果改变手指花费了 2秒或更多秒，可以使 验证失效。最终方终端160比较读取或输入的生物测定信息、和它自身中的 搜索信息DB 166中的以前登记的生物测定信息。作为比较性核对的结 果，当读取或输入的生物测定信息与搜索信息DB 166中的以前登记的 生物测定信息匹配时，指定个人标识ID (步骤S212)。此后，最终方终端160从指定的个人标识ID的个人文件夹中提 取相应信息(步骤S213),比较和核对提取的信息和读取或输入的信 息(步骤S214 )，并且进行登记人员是否是相同人员的验证判断(步 骤S215)。然后，最终方终端160比较生物测定信息的读取/输入顺序和搜索 信息DB 166中的顺序登记信息(步骤S216 )。 作为比较和核对的结果，当生物测定信息的读取/输入顺序和搜索信息DB 166中的登记顺序匹配时(步骤S217)，判断登记人员个人 的存在性已得到验证。同时，此后的过程(步骤S218到S220)与第6实施例中的步骤 S156到S158相同。如上所述，在本实施例中，将多个个人信息和读取顺序登记到验 证系统的终端和服务器中，并且根据它的匹配状况进行验证，于是， 即使在恶意第三方使用与登记人员通常使用的终端相同的终端，或与 登记人员的相同类型的个人信息的情况下，也可以容易地防止第三方 "假冒"，和提高验证存在性的精确度。也就是说，即使登记人员的个人信息泄漏给笫三方，第三方也难 以通过使个人信息的读取顺序匹配进行"假冒"，并且，可以比用于存 在性验证的个人信息的数量局限于一个的情况更进一步地保证安全。因此，通过使用登记人员的个人信息，和通过读取/输入顺序进行 验证，即使信息泄漏出去，也可以安全地将生物测定信息等的个人信 息用作验证工具，并且有效地使用验证系统。同时，在验证系统的操作中，
1. 可以在必要时或可选地改变读取或输入的信息。
2. 可以在必要时或可选地改变信息的读取或输入顺序设置。 当周期性地或在必要时改变用于验证的个人信息时，即使在生物测定信息等泄漏的情况下，通过组合在本验证系统中改变用于存在性 验证的个人信息的内容和顺序、和使用验证动作是空间信息和时间信 息一致的4点验证方法，可以安全地和连续地使用系统。 <第10实施例> (每个终端中登记信息量的调节)在下文中，在本实施例中，将说明在要存储在每个终端中的登记 人员的个人信息的数据量预计超过它自身的可存储量(项目数)的情 况下，将超出量传送到上层终端的过程。图41是示出根据本发明第IO实施例的验证系统中上述数据传送 处理的流程的顺序图。在本实施例中，作为一个例子，将说明将登记人员的个人信息从建筑结构方终端110传送到聚集方终端150的情况。同时，假设对于每个数据库，要存储在数据库中信息项的数量或 信息量是事先设置的。当登记人员新输入个人信息时，或一旦从最终方终端160接收到 登记人员的个人信息(步骤S221)，建筑结构方终端110确认综合 DB111的指定列中的登记剩余项目数或剩余量(步骤S222， S223)。当此时输入/读取的个人信息的数据量在综合DB 111的可存储范 围之内时(步骤S224，是)，登记接收的个人信息。另一方面，当在综合DB 111中不存在登记接收的个人信息所需 的剩余项目数或剩余量时(步骤S224，否)，建筑结构方终端110从 已经存储在综合DB 111的指定列中的个人信息当中提取一定数量的 个人信息，将提取的个人信息发送到聚集方终端150 (步骤S226)。这里，建筑结构方终端110将删除已发送到聚集方终端150的个 人信息，以便新登记此时接收/输入的个人信息，并且根据个人信息的 旧登记间隔的顺序，或子服务器中使用的低优先级的顺序(预置的) 选择要删除的个人信息。聚集方终端150 —旦从建筑结构方终端110接收到个人信息，就 将接收的个人信息登记到综合DB 151中(步骤S227)。在登记处理 之后，聚集方终端150确认信息登记已完成(步骤S228)，并且将从 建筑结构方终端110接收的个人信息的登记已完成的信息发送到建筑 结构方终端110 (步骤S229 )。建筑结构方终端IIO—旦从聚集方终端150接收到登记已完成的 信息，就执行删除在步骤S226中发送的信息的过程(步骤S230)。建筑结构方终端110新登记接收或输入的个人信息，腾空为此所 作的综合DBlll的存储区(步骤S231)。同时，对于在步骤S229中从聚集方终端150发送的登记完成信 息，最好包括请求建筑结构方终端110执行上述删除处理的信息，当
建筑结构方终端110接收到删除处理的请求信息时，控制它的动作，以便根据所需信息自动进行删除处理。并且，此后，每当将一定数量的个人信息登记到它自身中时，每 个终端就将以前登记的一部分个人信息发送到用于登记的上层终端和 服务器，并且删除发送的个人信息，于是，可以降低验证系统中这些 过程都在一个终端中的集中度。因此，在本实施例中，在个人信息的搜索和登记人员的验证处理 中，在终端和服务器之间发送和接收大量信息，但每个终端的信息量 保持不变，因此可以约束每个终端中信息搜索和验证处理的负担。在下层终端中， 一个接一个地删除不必要或旧个人信息，并且将 删除的个人信息发送到由，例如，高度可靠机构管理的服务器和终端 并对其进行管理，从而使整个验证系统的安全管理变得容易。并且， 在个人信息从每个终端泄漏出去的情况下，并非以前登记的所有个人 信息都失去了，于是可以提高登记人员个人的安全性。<第11实施例>(登记信息备份过程l)在下文中，在本实施例中，将说明由其上层终端备份每个终端中 的登记信息的过程。图42是示出本发明的第11实施例中，执行传送过程，以将每个 终端存储的个人信息传送到它的上层终端加以备份的动作例子的顺序 图。在本实施例中，作为一个例子，将说明建筑结构方终端IIO将个 人信息传送到聚集方终端150以便备份个人信息的动作。在本实施例中，当在验证系统中备份个人信息时，将进行备份的 日期和时间、和具有备份个人信息的终端的终端标识ID与个人信息相 联系地存储到数据库中。建筑结构方终端110确认存储到综合DB 111的指定列中的个人 信息的备份状况。并且，建筑结构方终端110从存储在指定列中的信 息中提取还没有经过备份处理的个人信息(步骤S241)，并且将信息
发送到聚集方终端150 (步骤S242 )。聚集方终端150—旦从建筑结构方终端IIO接收到个人信息，就 进行到综合DB 151和搜索信息DB 156的登记处理(步骤S243,S244 )。 此刻，聚集方终端150进行要备份的个人信息是否会造成已经存储在 综合DB 151和搜索信息DB 156中的个人信息重复登记的证实处理， 并且存储该信息。在本验证系统中，即使相同类型的信息，如果信息的日期和时间 不同，也被存储成其它信息，并且原则上不写入。在经过处理之后，聚集方终端150确认信息登记已完成(步骤 S245)，并且将从建筑结构方终端IIO接收的个人信息的备份登记已 完成的信息发送到建筑结构方终端110 (步骤S246)。建筑结构方终端IIO—旦从聚集方终端150接收到登记完成的信 息，就执行分别加入示出备份已完成、备份的日期和时间、和作为备 份的存储目的地的终端的信息的过程(步骤S247)。同时，在步骤S246中从聚集方终端150发送的登记完成信息最 好包括请求执行将与上述备份有关的各种各样信息加入建筑结构方终 端110中的过程的信息，当建筑结构方终端IIO接收到加入过程的请 求信息时，根据请求信息自动执行与备份有关的各种各样信息的加入 过程。并且，为了防止备份泄漏，可以按一定项目数、 一定数量或一定 日期和时间自动执行备份过程。将所有个人信息存储在直接使用信息(下文称这个信息为活动信 息)的终端和服务器中。另一方面，在准备删除活动信息，和断开与具有活动信息的终端 的通信时，使除具有活动信息的终端之外的其它终端管理信息的信息 变成备份信息。如上所述，在本实施例中，在验证系统中，将个人信息存储在两 个或更多个部分中，于是，可以防止个人信息在验证系统中完全丢失。 其结果是，通过使用按时序登记的多个个人信息，可以连续地验证登
记人员的存在性，并且可以提高验证的精确度。<第12实施例> (登记信息备份过程2)在如上所述的第11实施例中，建筑结构方终端110将登记信息 登记到作为其上层终端的聚集方终端150中加以备份。在本实施例中， 聚集方终端150进一步将登记信息登记到验证系统服务器10中加以备 份。图43是示出本发明的第12实施例中，执行传送过程以将每个终 端存储的个人信息传送到验证系统服务器10的动作例子的顺序图。在本实施例中，作为一个例子，将说明将从建筑结构方终端110 传送到聚集方终端150的个人信息进一步传送到验证系统服务器10的 动作。建筑结构方终端IIO提取个人信息，和执行到聚集方终端150的 备份过程、和建筑结构方终端110登记执行状况的过程(步骤S251 到S257)与上述第11实施例中的过程(步骤S241到S247)相同。接着，聚集方终端150判断存储在综合DB 151的指定列中的个 人信息是否已登记在验证系统服务器10中(步骤S258 )。并且，聚集方终端150从存储在综合DB 151中的个人信息中提 取未登记在验证系统服务器10中的信息，并且将提取的个人信息发送 到验证系统服务器10 (步骤S259 )。验证系统服务器10 —旦从聚集方终端150接收到个人信息，将 接收的个人信息登记到综合DB 11中(步骤S260)。此刻，验证系统服务器10进行接收的个人信息是否会造成已经 存储在综合DB 11中的个人信息重复登记的证实处理，并且存储信息。并且，在本验证系统中，即使相同类型的信息，如果信息的日期 和时间不同，也被存储成其它信息，并且原则上不写入。而且，为了防止传送泄漏，可以按一定项目数、 一定数量或一定 日期和时间自动执行备份过程。在备份处理之后，验证系统服务器10确认个人信息登记已完成 (步骤S261),并且将从聚集方终端150接收的个人信息的备份登记 已完成的信息发送到聚集方终端150 (步骤S262)。聚集方终端150 —旦从验证系统服务器10接收到登记完成的信 息，就将已经将通过从建筑结构方终端110的接收备份登记的部分或 全部个人信息传送到验证系统服务器10的信息发送到建筑结构方终 端110 (步骤S263)。此后，聚集方终端150删除在步骤S259中发送的个人信息(步 骤S264)。当建筑结构方终端110接收到从聚集方终端150到验证系统服务 器10的登记已完成的信息时，将加入综合DB 111中在步骤S259中 发送的信息中的各种各样信息改变成示出到验证系统服务器10的传 送、和它的日期和时间的信息(步骤S265)。同时，从聚集方终端150发送的个人信息的登记完成信息最好包 括请求执行将与各种各样信息的上述改变过程有关的各种各样信息加 入建筑结构方终端110中的过程的信息，当建筑结构方终端110接收 到加入过程的请求信息时，根据请求信息自动执行与备份有关的各种 各样信息的改变过程。并且，最后将所有个人信息存储在验证系统服务器10或外部机 构服务器300中。其结果是，作为第一种效果，可以保证名称标识过 程。并且，作为第二种效果，如果在终端中累积了巨大个人信息，泄 漏的风险增加，和在泄漏情况下的损失变得非常突出，因此，将信息 集中到可以严格管理信息的服务器(验证系统服务器IO、外部机构服 务器300)中，并且减少不必要的信息。作为第三种效果，可以减轻 终端中的处理负担。<第13实施例> (登记信息备份过程3)在下文中，在本实施例中，将说明登记信息的备份过程中验证系 统服务器10与其它设备的连接/连接释放动作。图44是示出本发明的第13实施例中，将每个终端存储的个人信
息传送到验证系统服务器10，和进一步传送到外部机构服务器300的 动作例子的顺序图。在本实施例中，作为一个例子，将说明将每个终端存储的个人信 息传送到验证系统服务器10,和进一步传送到外部机构服务器300的 动作。在下文中，主要说明第12实施例的过程中的附加部分。聚集方终端150从存储在综合DB 151中的个人信息中提取未登 记在验证系统服务器10中的信息(步骤S271)，并且将提取的个人 信息发送到验证系统服务器10 (步骤S272 )。验证系统服务器10 —旦从聚集方终端150接收到个人信息，将 释放它自身与外部机构服务器300之间的连接的信息发送到外部机构 服务器300 (步骤S273 )，并且释放与外部机构服务器300的连接。接着，验证系统服务器10将从聚集方终端150接收的个人信息 登记到综合DB 11和搜索信息DB 16中(步骤S274, S275 )。并且，验证系统服务器10确认个人信息登记已完成(步骤S276)， 并且将从聚集方终端150接收的个人信息的备份登记已完成的信息发 送到聚集方终端150 (步骤S277 )。接着，验证系统服务器IO判断存储在综合DB ll的指定列中的 个人信息是否已登记在外部机构服务器300中。并且，从存储在指定 列中的信息中判断是否存在还未备份在外部机构服务器300中的信 息，和是否需要执行备份过程(步骤S279)。当验证系统服务器10判断有必要执行备份过程时，从综合DB 11 等中提取要备份的个人信息(步骤S279 )。并且，验证系统服务器10将释放它自身与聚集方终端150之间 的连接的信息发送到聚集方终端150 (步骤S280),并且释放与聚集 方终端150的连接。接着，验证系统服务器10再次与外部机构服务器300连接，并 且将要备份的提取的个人信息发送到外部机构服务器300 (步骤 S281)。
外部机构服务器300将从验证系统服务器10接收的个人信息登 记在它自身中以便加以备份(步骤S282 )。外部机构服务器300 —旦确认个人信息的备份登记已完成(步骤 S283)，就将从验证系统服务器IO接收的个人信息的备份登记已完成 的信息发送到验证系统服务器10 (步骤S284 )。图45(a)和图45(b)是示出第13实施例中终端与服务器之间的连 接状况的图形。在这些图中，实线表示现在正连接着，虚线表示连接 已释放。在图45(a)中，验证系统服务器10与外部机构服务器300连接， 但未与下层终端连接。另一方面，在图45(b)中，验证系统服务器10 与下层终端连接，但未与外部机构服务器300连接。同样地，在每个终端中，如果终端与它的上层终端连接，它也可 以不与它的下层终端连接，同时，如果终端与它的下层终端连接，它 也可以不与它的上层终端连接。在本实施例中，在验证系统中，作为抵抗黑客攻击和病毒感染等 的安全措施的一部分，网络未必总是连着。因此，在验证系统中会出 现死胡同，并且在出现问题时，可以防止扩散到其它终端。<第14实施例> (登记信息备份过程4)在下文中，在本实施例中，通过两个或更多个部分中的数据库备 份个人信息中像姓名、出生日期、地址信息等那样的重要基本信息、 和为验证登记人员个人的存在性而登记的生物测定信息，以防止这些 信息被删除、变更等。图46是示出本发明的第14实施例中，验证系统服务器IO同时 将个人信息传送到两个外部机构服务器的动作例子的顺序图。在本实施例中，这两个外部机构服务器分别是外部机构服务器 300A和300B。验证系统服务器IO确认存储到综合DB 11的指定列中的个人信 息是否已登记在外部机构服务器300A和300B中。
并且，验证系统服务器10从存储在综合DB ll的指定列中的信 息中提取还未登记到外部机构服务器300A和300B中的个人信息(步 骤S291),并且同时将提取的个人信息分别发送到外部机构服务器 300A和300B (步骤S292 )。外部机构服务器300A和300B —旦从验证系统服务器10接收到 个人信息，就执行到安装在它自身中的综合DB 311A和311B的登记 过程(步骤S293和S294 )。此刻，外部机构服务器300A和300B进行这里接收的个人信息是 否会造成已经存储在综合DB 311A和311B中的个人信息重复登记的 证实处理，并且存储该信息。此刻，在外部机构服务器300A和300B 中，即使相同类型的信息，如果信息的日期和时间不同，也被存储成 其它信息，并且原则上不写入。在个人信息的登记过程之后，外部机构服务器300A和300B确认 信息登记已完成(步骤S295, S296)，并且将从验证系统服务器10 接收的个人信息的备份登记已完成的信息发送到验证系统服务器10 (步骤S297 )。验证系统服务器10在必要时，按一定项目数、 一定数量或一定 日期和时间进行存储信息与综合DB311A中的信息、和综合DB311B 中的信息的比较和核对处理(步骤S298)。例如，存在外部机构服务器300A处在Okinawa,而外部机构服 务器300B处在Hokkaido，它们在地理上是分开的的情况，或外部机 构服务器300A处在外交部的管辖范围内，而外部机构服务器300B处 在日本银行的管辖范围内，它们所处的机构是分开的的另一种情况。综合DB 311A和31 IB原则上存储相同个人信息。验证系统服务器10分别核对存储在综合DB 311A和311B中的 个人信息，和进行核对处理，如果数据失配，则判断可能出现像数据 被变更或验证系统发生故障等那样的麻烦。 息发送给相关人员，同时限制使用功能。同时，在一些情况下，验证系统服务器10 —旦接收到存储在其自身中的个人信息已备份登记到两个或更多个外部机构服务器的数据 库中的信息，就可以删除存储在其自身中的个人信息。<第15实施例> (登记信息备份过程5)在本实施例中，将说明验证系统服务器10交替地或分别地将存 储在其自身中的个人信息备份到两个外部机构服务器中的动作。图47是示出本发明的第15实施例中，验证系统服务器10交替 地或分开地将存储在其自身中的个人信息备份到两个外部机构服务器 中的动作例子的顺序图。在本实施例中，这两个外部机构服务器分别是外部机构服务器 300A和300B。验证系统服务器IO确认存储到综合DB 11的指定列中的个人信 息是否已分别登记在外部机构服务器300A和300B中。并且，验证系统服务器IO从存储在综合DB ll的指定列中的信 息中提取还未登记到外部机构服务器300A和300B中的个人信息(步 骤S301)。接着，验证系统服务器IO确认它自已与外部机构服务器300B之 间的当前连接状况，并且，当与外部机构服务器300B连接时，将停 止连接的信息发送到外部机构服务器300B (步骤S302 )，和释放它 自已与外部机构服务器300B之间的连接。此后，验证系统服务器10将要备份的个人信息发送到外部机构 服务器300A (步骤S303 )。外部机构服务器300A —旦接收到来自验证系统服务器10的个人 信息，就对安装在其自身中的综合DB 311A进行登记处理(步骤 S304)。此刻，外部机构服务器300A进行这里接收的个人信息是否会造 成已经存储在综合DB311A中的个人信息重复登记的证实处理，并且
存储该信息。并且，在外部机构服务器300A中，即使相同类型的信 息，如果信息的日期和时间不同，也被存储成其它信息，并且原则上 不写入。在个人信息的登记过程之后，外部机构服务器300A确认信息登 记已完成(步骤S305)，并且将从验证系统服务器10接收的个人信 息的备份登记已完成的信息发送到验证系统服务器10 (步骤S306)。接着，验证系统服务器10将停止连接的信息发送到外部机构服 务器300A (步骤S307 )，并且释放它自己与外部机构服务器300A之 间的连接。而且，验证系统服务器10将开始连接的信息发送到外部机构服 务器300B(步骤S308 ),并且重新开始它自己与外部机构服务器300B 之间的连接。此后，验证系统服务器10以与利用外部机构服务器300A的处理 (步骤S304到S306 )相同的方式进行利用外部机构服务器300B的备 份处理(步骤S309到S312 )。此外，验证系统服务器比较综合DB311A和311B的存储信息， 并且进行核对处理，如果数据失配，判断出可能出现像数据被变更或 验证系统发生故障等那样的麻烦(步骤S312)。例如，在存在两种备份在综合DB311A中的指紋信息(11:00AM 和11:20AM在Ohte-machi、 Chiyoda-ku、 Tokyo的工作地点读取的 存在性信息)、和存在备份在综合DB311B中的虹膜信息(11:10AM 在Nishi-ikebukuro、 Toyoshima-ku、 Tokyo)的4艮行读取的存在性信 息)的情况下，从时间和地点中判断出存在不一致。在本验证系统中，使登记人员的个人信息的连续性和不可改变性 成为验证准则，于是，认为数据失配是个人信息出错，并且将警告信 息发送给相关人员，同时限制使用功能。在第15实施例中，验证系统服务器10分开地将个人信息备份到 外部机构服务器300A和300B中。因此，在外部机构服务器300A和 300B中，可以根据提取间隔和信息类型等分散个人信息，并且存储它。 在第14实施例中，将相同个人信息存储到综合DB311A和311B 中，而在本实施例中，存储在综合DB 311A和311B中的个人信息未 必相同。例如，外部机构服务器300A累积和备份与建筑结构方终端110 有关的数据，而外部机构服务器300B累积和备份与机构方终端120 有关的数据。并且，在上午，可以将与建筑结构方终端110有关的数据累积和 备份到外部机构服务器300A中，而在下午，可以将与机构方终端120 有关的个体数据累积和备份到外部机构服务器300B中。在本实施例中，为了根据信息的出现顺序详细备份日常生活的个 人验证信息和不在现场的存在性信息，使备份处理分散在存储信息的 最佳外部机构服务器上。例如，在利用不同读取方法的生物测定信息阅读器读取登记人员 的指紋信息，并且将其存储在验证系统中的情况下，根据读取方法分 别构造和存储数据库就足够了 。在这种情况下，与本实施例一样，验证系统服务器10可以根据 读取信息和分类信息的格式交替地或分开地对作为备份目的地的数据 库进行传送处理。<第16实施例> (登记信息备份过程6)在第14和15实施例中，不进行个人信息的重复备份，而在本实 施例中，应用部分允许重复登记的方法。图48示出本发明的第16实施例中，将存储在验证系统服务器10 中的个人信息交替地或分开地传送到三个外部机构服务器的动作例子 的顺序图。在本实施例中，这三个外部机构服务器分别是外部机构服务器 300A、 300B和300C。在本实施例中，作为一个例子，验证系统服务器10根据个人信 息的登记时间(间隔)分类它的备份目的地。
例如，外部机构服务器300A存储时间信息从0:00到9:00的数据。 外部机构服务器300B存储时间信息从8:00到17:00的数据。外部机 构服务器300C存储时间信息从16:00到第二天1:00的数据。验证系统服务器IO确认存储在综合DB 11的指定列中的个人信 息是否分别存储在外部机构服务器300A、 300B和300C中。并且，验证系统服务器IO从存储在综合DB ll的指定列中的个 人信息中提取还未登记到外部机构服务器300A、300B和300C中的个 人信息(步骤S321)。接着，验证系统服务器10确认它自己与外部机构服务器300B和 300C的当前连接状况，并且，当与外部机构服务器300B和300C连 接时，将停止连接的信息发送到现在正连接着的外部机构服务器(步 骤S322 )，和释放它自已与现在正连接着的外部机构服务器之间的连 接。此后，验证系统服务器10将要备份的个人信息发送到外部机构 服务器300A (步骤S323 )。在经过了指定时间之后，验证系统服务器10提取要备份的个人 信息(步骤S324),重新开始与外部机构服务器300B的连接，并且 将提取的个人信息发送到给外部机构服务器300A和300B两者(步骤5325) 。外部机构服务器300A —旦接收到来自验证系统服务器10的个人 信息，就对安装在其自身中的综合DB 311A进行登记处理(步骤5326) 。此刻，外部机构服务器300A进行这里接收的个人信息是否会造 成已经存储在综合DB311A中的个人信息重复登记的证实处理，并且 存储信息。并且，在外部机构服务器300A中，即使相同类型的信息， 如果信息的日期和时间不同，也被存储成其它信息，并且原则上不写 入。在个人信息的登记过程之后，外部机构服务器300A确认信息登 记已完成(步骤S327),并且将从验证系统服务器10接收的个人信
息的备份登记已完成的信息发送到验证系统服务器10 (步骤S328)。 接着，验证系统服务器10将停止连接的信息发送到外部机构服 务器300A (步骤S329 )，并且释放它自己与外部机构服务器300A的 连接。此后，验证系统服务器10以与利用外部机构服务器300A的处理 (步骤S324到S329)相同的方式进行利用外部机构服务器300B和 300C的处理(步骤S330到S341)。此外，验证系统服务器10在必要时，按一定项目数、 一定数量 或一定日期和时间进行存储信息与综合DB 311A中的信息、和综合 DB311B中的信息和综合DB311C中的信息的比较和核对处理(步骤 S342)。在本实施例中，为了防备意料不到的信息损失和通信线断开等， 部分重复地存储用于存在性比较证实的个人信息。在上例中，即使在 外部机构服务器300B中个人信息遭受损失，通过组合存储在外部机 构服务器300A和外部机构服务器300C中的数据，也可以使损失降到 最低程度。在本验证系统中，为了保证存在性的连续性，即使在发生事故或 遭受损失的情况下，也可以使时间不连续性尽可能地短。在第11到16实施例中，主要对验证系统服务器IO作了说明， 但是，本验证系统不局限于上面的实施例，上层终端和下层终端也可 以只在发送和接收数据时才通过网络连接。<第17实施例> (终端连接次序)如前所述，当验证系统登记个人信息和验证登记人员等时，在构 成系统的终端和服务器之间发送和接收信息。在本实施例中，终端和服务器根据预置优先级与其它终端和服务 器连接，以便发送和接收信息。在本实施例中，在验证系统中，聚集方终端150W具有管理下层 建筑结构方终端110A和IIOC、和才几构方终端120A的结构。 图49是示出第17实施例中作为建筑结构方终端110C的连接目 标的终端的图形。验证系统的每个终端在登记人员的验证处理时存储如图所示，示 出与其自身连接的终端的优先级的信息。在如图所示的情况下，建筑结构方终端110C按优先级首先尝试 与建筑结构方终端110A连接，如果未正常连接，接着，它按优先级 依次与机构方终端120A、聚集方终端150D、聚集方终端150B等连接。并且，在紧急情况下，建筑结构方终端110C尝试与聚集方终端 150W连接。图50是示出第17实施例中建筑结构方终端110C与其它终端连 接的动作例子的顺序图。这里，参照该图说明本实施例中的动作。每个终端在发送信息时，根据存储在其自身中的终端优先连接信 息进行访问。如前所述，在建筑结构方终端110C的情况下，在正常 操作下优先连接的终端是建筑结构方终端IIOA。建筑结构方终端IIOC从它自己的综合DB 111C中提取指定的个 人信息(步骤S351)，并且将提取的个人信息发送到设置成最高优先 级的建筑结构方终端110A (步骤S352)。这里，当建筑结构方终端111C与建筑结构方终端110A之间正 常连接，和交换必要信息时，建筑结构方终端110C不与其它终端连 接。但是，由于某种原因，当建筑结构方终端IIOC检测到未与建筑 结构方终端110A连接的状况(发送的信息未到达建筑结构方终端 110A)时(步骤S354)，建筑结构方终端IIOC按次最高优先级将上 面提取的个人信息发送到建筑结构方终端110A (步骤S355)。在不能建立与作为个人信息的发送目的地的终端的连接的情况 下，根据上面的优先级，建筑结构方终端110C根据上面的优先级尝 试连接(步骤S356到S359 )。最后，建筑结构方终端IIOC与紧急连接终端(聚集方终端150W) 进行连接。同时，在建筑结构方终端110C—次也无法访问或在指定次数内无法访问作为个人信息的发送目的地的终端的情况下，将访问改变到 次最高优先级的终端。因此，在每个终端中，设置按最高优先级连接的终端、在未与最 高优先级终端连接的情况下连接的终端、或紧急连接的终端的信息。在日常生活中，人的动作范围在某种程度上是确定的，通常，安 装在动作范围之外的大部分终端的使用机会极小。例如，当某登记人员正在居住区的道路上行走时，使用沿着道路安装在其它建筑物中的建筑结构方终端110、或其它家庭和公司机构 的管理单元的机构方终端120的机会极小。因此，某终端将信息发送到其它终端可能无限制地导致数据处理 变复杂、电路负担增加、和信息泄漏风险增大。于是，最好，使每个登记人员的个人信息与示出每个登记人员的 动作历史的历史信息密切相关，并且设法只发送到认为与登记人员个 人有关的终端。在像因特网和网状无线电通信系统等那样的传统通信系统中，信 息被扩散，被可选地连接到多个连接点当中那时可连接的点连接，并 且去往接收目的地。而另一方面，在本验证系统中，终端通过线路、 连接只在极短距离内发送无线电波的传感器节点和IC标签，从而形成网络，于是，可以不扩散地交换信息。在像因特网和网状无线电通信系统等那样的传统通信系统中，一般使通信线网络公开，于是，在通信线网络上存在恶意人员，它们可 以容易地干出未授权浏览、未授权获取和授权变更的事情。与此相反， 在本验证系统中，附近的终端使用像极弱无线电通信和红外线等那样 有限范围的通信线技术，并且当最终方终端160与子服务器之间的操 作结束时，可以不使用公用线网络。另外，使相互通信的终端变得清 晰，并且比较和核对终端的终端标识ID和连接终端列表信息。其结果 是，可以通过双重保护防止未授权访问。
在传统验证系统中，信息被无限地发送且到达目的地，但在本验 证系统中，有限地发送信息。 (紧急访问)在某登记人员日常使用的终端的安装区域内，当大范围地发生像 电力故障、通信中断和设备故障等那样的事故时，访问安装在没有发 生这样灾难的区域中的终端，即，安装在地理上远离灾难发生区的区 域中的终端。从而，在紧急情况下，当登记人员使用的终端的上层终端未工作 时，将要使用的终端与其它工作终端连接，并且可以进行个人存在性 验证的数据比较和提供验证数据等。作为紧急访问目的地，存在验证系统服务器10、外部机构服务器 300或机构方终端150等，它们将存储在通过登记人员使用的终端的 连接信息终端列表指定的目的地终端中的个人信息的全部或必要部分 存储成备份或原始信息。最好，与日本的政府机构相互联系地或与日本和全世界的国家相互联系地应付紧急访问地点。并且，为了4吏信息的不必要泄漏或变更 降到最低程度，最好清楚地判断信息的路线地点的地址和管理者，并 且将路线地点设置成没有未授权动作的公共地点、政府机构、金融机 构、通信提供者、医院等。 <第18实施例> (到多个终端的发送功能)在如上所述的实施例中，每个终端原则上将个人信息发送到一个 上层终端。而另一方面，在本实施例中，每个终端将信息发送到两个 指定同伴终端。图51是示出第18实施例中与建筑结构方终端110C连接的终端 的图形。验证系统的每个终端存储如图所示，示出它自己与之连接的终端 的优先级的信息。并且，在具有这个优先级的连接目的地终端(下文 称为主路线终端)中，按终端设置将信息发送给它们时同时发送信息 的其它目的地终端(下文称为映像(reflection)终端)。图52示出了第18实施例中，建筑结构方终端110C与其它终端 连接进行通信的动作例子的顺序图。在本验证系统中，每个终端具有 自动将信息发送给多个部分的功能。如图所示，首先，最终方终端160读取生物测定信息(步骤S401 )， 并且将读取的生物测定信息和移动信息发送到建筑结构方终端110A 和110B (步骤S402)。在这种情况下，建筑结构方终端110A是在连接信息终端列表中 指定的最高优先级连接终端(主路线终端)，而建筑结构方终端110B 是其次发送的终端(映像终端)。建筑结构方终端110B将来自最终方终端160的接收信息存储到 安装在其自身中的暂时存储DB中(步骤S403 )，并且等待进一步指 令。当最终方终端160检测到由于某种原因未与建筑结构方终端 110A连接的状况时(步骤S405)，它与连接信息终端列表中次最高 优先级的终端连接。另一方面，当最终方终端160和建筑结构方终端110A之间的连 接取得成功时(步骤S404，可用)，建筑结构方终端110A将示出已 经从最终方终端160接收到那个个人信息的信息发送到最终方终端 160 (步骤S406 )。最终方终端160 —旦从建筑结构方终端110A接收到示出已经接 收到那个个人信息的信息，发送请求删除存储在建筑结构方终端110B 的暂时存储DB中的个人信息的信息(步骤S407)。建筑结构方终端110B —旦从最终方终端160接收到删除请求信 息，删除存储在它自身的暂时存储DB中的信息(步骤S408)。根据本实施例的验证系统保护本验证系统中存储个人信息的地 点(映像终端)，以便即使在作为个人信息的发送源的终端和作为接 收目的地的终端出现问题的情况下，也可以备份个人信息。这个映像终端与紧急访问地点不同，它不存储相关个人的所有个 人信息，而是暂时保存信息。并且，最好，根据信息读取地点的最终 方终端等的功能，从信息兼容性的观点来看，使相同制造者的阅读器 和不同地点安装终端的相同产品成为映像终端。而且，在本实施例中，建筑结构方终端110B (映像终端) 一旦 接收到删除请求信息，删除存储在它自身的暂时存储DB中的信息， 另外，也可以在经过了某段时间之后自动删除信息。<第19实施例> (验证系统服务器之间的网络)图53是示出根据本发明第19实施例的验证系统中验证系统服务 器10的网络配置的图像。验证系统服务器10可以按，例如，像辖区单元或城市单元那样 的政府单元安装。因此，将每个区域划分成一定范围，按一定范围安装验证系统服 务器IO，和分散验证系统服务器IO拥有的个人文件夹的容量，于是， 可以比一个验证系统服务器10管理像国家单元那样的大范围更有效 地使验证系统的负担分散到几个部分上。<第20实施例>(存储在验证系统服务器10和外部机构服务器300中的信息的 比较核对)如前所述，验证系统服务器10将它自己的登记信息登记到外部 机构服务器300中，并且进行备份。在本实施例中，比较和核对^t 系统服务器10中的登记信息和外部机构服务器300中的登记信息，以 检验登记信息是否被窜改。图54是示出第20实施例中验证系统服务器10和外部机构服务 器300在可选时间进行存储信息的比较核对处理的动作例子的顺序 图。验证系统服务器10的综合DB 11和外部机构服务器300的综合 DB311在必要时，按一定项目数、 一定容量或一定日期和时间进行存 储信息的比较核对处理。
此刻，验证系统服务器10和外部机构服务器300两者都可以开 始这个核对处理。在本实施例中，假设外部机构服务器300开始这个 核对处理。首先，外部机构服务器300提取进^toN4^^个人信息(步 骤S411)。在提取时，不需要比较存储的所有信息，在考虑了过去核 对状况之后，可以将范围限制在以前存在性证实信息和历史信息上。外部机构服务器300将提取的信息、和请求与存储在验证系统服 务器10中的信息进行比较核对的信息发送到验证系统服务器10 (步 骤S412)。验证系统服务器10 —旦接收到提取的信息和核对请求信息，根 据包括在提取信息中的登记人员的个人标识ID,从它自身的基本信息 DB 14中提取相应登记人员的个人信息，并且进行比较，看看基本信 息DB 14中的信息的内容和接收信息的内容是否匹配(步骤S413)。这里，在比较内容失配的情况下，验证系统服务器10通过电子 邮件等向登记人员个人发出紧急警告通知，并且立刻限制相关人员使 用验证系统。另一方面，在比较内容匹配的情况下，验证系统服务器10接着 进行比较，看看历史信息DB 12的内容和存储在证实信息DB 13等中 的信息的内容是否匹配(步骤S414， S415)。在发现失配的情况下，进行与上述相同的通告和使用限制。验证系统服务器10确认DB 12到14中的信息内容匹配(步骤 S416),并且在某种情况下，将"执行完成，没问题"的信息发送到外 部机构服务器300 (步骤S417 )。验证系统服务器10在将回答信息发送到外部机构服务器300之 后，输入比较处理执行的日期和时间、和执行和判断的操作者，并且 将这些输入信息设置成比较和核对信息和存储它(步骤S418)。此后，验证系统服务器10删除从外部机构服务器300接收的个 人信息(步骤S419)。另一方面，外部机构服务器300在接收到回答信息之后，将比较
处理执行的日期和时间、和执行和判断的操作者设置成提取信息和存储它(步骤S420 )。此后，外部机构服务器300结束提取处理(步骤S421)。 如上所述，在本实施例中，比较存储在验证系统服务器10和外部机构服务器300中的登记人员的个人信息等，并且证实信息是否被窜改、改变、删除等，从而，可以防止黑客或恶意编程人员操纵信息的风险。在验证系统服务器10和聚集方终端150之间、和在子服务器和 最终方终端160之间等也以相同的方式进行这种证实信息。 <第21实施例>(登记人员的移动开始和结束的识别)当分析人的活动时，人生活在两种特殊状况下，即，人被一些"物 体，，包围的状况、和人从这些"物体，，中解脱出来的状况。人被一些"物体，，包围的状况指的是人被像住宅、工作地点、商店 和医院那样的建筑物或像建筑结构等那样的结构体包围、和人处在像 火车、飞机、车辆和轮船那样的移动工具中的状况。人从这些"物体，，中解脱出来的状况指的是像人在道路上行走的 状况、人在做室外锻炼的状况那样，人存在于作为建筑结构和移动工 具的"物体，，外面的状况。那种人存在指的是人在物理上在指定时间存在于指定地点。因 此，个人存在性信息是那个人特有的信息，必须与个人存在性密切相 关。于是，在本实施例中，从个人存在性信息中得出的用在个人生活 中的信息(例如，相关个人的电子货币信息、允许相关个人的开门和 关门信息等的使用)与个人实际存在于某空间中密切相关。这里，在本实施例中，作为一个例子，如前面的图6所示，假设 最终方终端160A、 160B和160C与建筑结构方终端110连接之外的单 元包括在验证系统中。在这样的结构中，当建筑结构方终端110或最终方终端160A、 160B和160C识别出登记人员个人"处，，在被像建筑结构等那样的"物 体"(建筑物、像建筑结构那样的结构体、房间、飞机、车辆、客车、 汽车、箱子、盒子、帐篷、太空舱、和拒子等)包围的状况下时，建筑结构方终端110具有限制将被这个"物体，，包围的登记人员的个人信 息用于这个单元的终端，或停止移动个人信息的可用单元的功能。并且，当建筑结构方终端110识别出登记人员个人处在被"物体，， 包围的状况下时，它通过通信线网络发送强迫停止将个人信息用于单 元外部的终端等的控制信号、和登记人员的个人信息用于单元外部是 不正常的的信息。而且，当建筑结构方终端110识别出个人信息用在单元外部时， 通过通信线网络将警告信息发送到验证系统中的终端和服务器。另一方面，当建筑结构方终端110或最终方终端160A、 160B和 160C识别出登记人员个人"处，，在从像建筑结构等那样的"物体，，中释 放出来的状况下时，建筑结构方终端110具有限制将从这个"物体，，中 释放出来的登记人员的个人信息用于这个单元外部的终端，或允许移 动个人信息的可用单元的功能。并且，当建筑结构方终端110识别出登记人员个人处在从"物体，， 中释放出来的状况下时，它通过通信线网络发送允许将个人信息用于 单元外部的终端等的控制信号、和登记人员的个人信息用于单元外部 是正常的的信息。在图6的例子中，最终方终端160A被安装在门外的把手上。一 般说来，当人进入建筑结构中时，人会抓住门外把手，因此，当这个 最终方终端160A读取生物测定信息时，表示有人进入建筑结构。另一方面，最终方终端160B被安装在门内的把手上。 一般说来， 当人从建筑结构出来时，人会抓住门内把手，因此，当这个最终方终 端160B读取生物测定信息时，表示有人从建筑结构出来。例如，当识别出登记人员个人"19:00从公司入口出来"回家的信 息，相关登记人员19:11在工作地点建筑物中操作个人计算机是不可 能的。在这种情况下，验证系统使系统在19:00和以后不可用于"称自
己是登记人员"或"假冒"的人员。其结果是，可以将个人存在性和个人信息联系起来，并且，可以 容易地保证附近的安全性。一个人可以建立其活动的自由度和它的秘密性，并且人的存在可 以用"面軍，，掩盖起来。但是，由于个人信息现在变得有价值了，可能 存在错误使用这个"人存在面罩，，的假冒或虚拟故事。并且，除了某区域之外，在日常生活中，人进入被"物体，，包围的 状况中和从被"物体"包围的状况下出来地生活着，例如，作为人的共 同生活，人在被"物体"包围的状况下睡觉。然后，为了完成日常事务， 人访问处在被"物体，，包围的状况下的其它人，并且进行一些活动。通过使用IT技术，可以容易地掌握人是否处在被"物体，，包围的 状况下。例如，通过将各种各样阅读器和传感器安装在包围人的"物体，， 上，可以不受相关个人的识别是否存在限制地识别人员的存在性。当可以找出登记人员个人被某"物体，，包围的状况时，最好使个人 信息只用在包围的地方，并且作为与相关个人无关的信息原则上可以 禁止使用相关空间外的个人信息。因此，在许多情况下，人都在被"物体"包围的状况下进行一些活 动。因此，当将围住空间当作一个单元时，可以认为人生活在组成单 元的连续时空和单元中。因此，当人处在某单元中，与人有关的个人信息的使用局限于构 成相关单元的物理框架的范围内(在火车中，在建筑结构中等)。为了管理被"物体，，包围的状况，验证系统可以由使建筑结构方终 端110成为上层终端，和使各种各样阅读器和传感器变成最终方终端 160的结构构成。图55是示出建筑结构周围的图像的图形。该图示出了虚拟房屋 图，并且，如这里所示，建筑结构方终端110存在于每个房屋之中， 并且可以使结构按房屋相互独立。图56是将图55的图像转换成本验证系统的终端配置之一的图 形。在作为大型设施的车站、医院和超市中，将聚集方终端150安装
在它们当中。另一方面，对于各个房屋，每个块相联系地安装聚集方终端150。这里，参照图56说明指定登记人员处在医院中的空间的例子。 在本图的例子中，在医院中，安装了建筑结构方终端110Y、和直接与 之连接的多个最终方终端160。并且，在这个医院中，安装了管理医 院雇员的工作背景和病人的电子医疗记录的机构方终端120G、和直接 与之连接的最终方终端160。而且，在这个医院中，安装了整体管理 由两个子服务器，即，建筑结构方终端110Y和机构方终端120G构成 的单元的聚集方终端150C。病人使建筑结构方终端110Y中的终端读取他自已的个人信息， 并且在必要时，病人输入他的姓名、年龄、医院历史等的输入，从而 识别出病人要去医院。建筑结构方终端110Y—旦收集到这些个人信息，就将收集的个 人信息发送到作为其上层终端的聚集方终端150C。聚集方终端150C将从建筑结构方终端110Y接收的个人信息、 和存储在聚集方终端150C的综合DB151中的医疗检查所需的信息、 像医疗记录监视那样的剂量、和保险卡号等发送到机构方终端120G。机构方终端120G—旦接收到这些医疗检查所需的个人信息，为 其自身单元安装在其中的医院中的病人作好进行医疗检查和医疗记录 的准备。<笫22实施例> (主终端的设置)在现代社会中， 一般说来，像公寓住宅和工作地点建筑物那样的 建筑结构包括在人们的生活空间中。并且，人们在某个范围的生活空 间内进行像到工作地点去、到学校去、和到商店去那样他们的日常活 动。因此，使登记人员个人的生活空间中建筑结构周围的单元作为相 关登记人员的主单元变成生成信息使用许可信息的基点。并且，当信 息网络被构造成登记人员的个人信息的使用许可信息沿着移动路线，
与登记人员的移动一起从主单元移动到其它单元和依次发送时，登记 人员可以利用他自己的个人信息享受各种各样的服务。因此，在本实施例中，根据登记人员的移动时序，登记人员的个 人信息的使用许可(或停止)信息经过移动位置周围的终端地移动。图57是示出这个概念的图像图形。在现有技术中，信息存储到 像蜂窝式电话、普遍存在通信器、IC芯片或磁卡等那样的"物体(记 录媒体)"中。并且，信息与作为媒体的"物体，，一起使用。这样就分开 了作为验证目标的人员与信息之间的关系。而另一方面，在本发明中，用于验证的特有信息是要验证的人员 的生物测定信息，并且，作为验证结果，允许使用信息，和可以使用 信息的地点局限于由读取/输入相关生物测定信息的终端构成的某个 空间，从而，形成人员=信息的一体化系统，和可以提高信息使用的 安全性。在本实施例中，当登记人员移动到他自己个人信息的使用许可地 点时，首先，在登记个人信息时，利用最终方终端160等，登记人员 输入与相关登记人员个人密切相关的建筑结构方终端110的终端标识 ID。同时，可以登记作为登记人员的基点的建筑结构方终端110的多 个终端标识ID。在本验证系统中，使安装在登记人员个人生活的建筑结构中的建 筑结构方终端IIOA成为"主终端"，使由建筑结构方终端IIOA管理的 一个或多个下层终端组成的结构单元成为"主单元"，和使具有作为其 下层终端的建筑结构方终端110A的聚集方终端150A成为"主服务 器"。而另一方面，使另外安装在像学校和公司那样的建筑结构中的建 筑结构方终端110B成为"子终端"，使由建筑结构方终端110B管理的 一个或多个下层终端组成的结构单元成为"子单元"，和使具有作为其 下层终端的建筑结构方终端110B的聚集方终端150B成为"子服务 器，,。但是，在不存在建筑结构方终端110A或聚集方终端150A的情
况下，使建筑结构方终端110B或聚集方终端150B成为"主单元"。 <笫23实施例> (信息移动l)在本实施例中，随着登记人员个人从他的家里移动到工作地点， 登记人员使用的单元发生了变化。下面将说明直到登记人员离开他家 里的时刻登记人员使用的单元的转变。图58是示出根据本实施例的在登记人员的日常生活范围内的验 证系统的结构例子的图形。在本图中，通过线路连接的终端和服务器直接通过网络连接，并 且，其间，登记人员从他的家里出来的时刻登记人员的个人标识信息 的移动路线用实线示出。并且，图59是示出本发明的第23实施例中信息使用许可信息从 建筑结构方终端IIOA传送到其它终端时的动作例子的顺序图。首先，登记人员个人抓住他家门的门把手当中安装在房间内的门 把手，并且打开门把手出去。此刻，附在门把手上的最终方终端160B 读取登记人员的生物测定信息(例如，指紋信息)(步骤S431)，并 且将读取的生物测定信息和移动信息发送到建筑结构方终端IIOA(步 骤S432)。建筑结构方终端110A比较和核对事先存储在它自身中的登记人 员的个人信息、和来自最终方终端160B的接收信息(步骤S433 ), 进行登记人员存在性确认(步骤S434 ),同时将此时新接收的信息当 中的必要信息存储到它自身中(步骤S435)。并且，对于验证系统的终端和服务器，存储着示出每个终端的用 途的信息。如前所述，最终方终端160B的用途是"从建筑结构出来"。因此，建筑结构方终端110A —旦从最终方终端160B接收到生物 测定信息和移动信息，识别出登记人员已经出去，并且创建加入移动 信息中、带有示出请求由验证系统进行的个人验证和个人信息使用许 可和提供服务的单无从当前单元开始改变的信息的信息(下文称为移 动开始信息)(步骤S436)。
建筑结构方终端110A将这个移动开始信息存储到它自身的暂时 存储DB117A中。关于这个移动开始信息或移动停止信息(加入移动信息中、带有 示出请求由验证系统进行的个人验证和个人信息使用许可和提供服务 的单元停止移动的信息或示出存在性信息的信息的信息)等，为了在 本验证系统的任何终端中整体识别，可以通过简单数值，例如，对于 移动开始，"001"，和对于停止，"999，，示出它们。(与信息移动信息相联系的验证系统使用停止信息)建筑结构方终端110A从登记人员出去中识别出登记人员未存在 于由建筑结构方终端110A和在其管理下的最终方终端160A和160B 构成的单元之中(步骤S437)。并且，该单元中的建筑结构方终端IIOA通过登记人员的标识ID 创建示出停止使用验证系统的命令，并且将它发送到在其管理下的最 终方终端160A和160B (步骤S438 )。从而，可以防止恶意第三方假冒登记人员和使用验证系统。例如，在发出停止命令之后，当在单元中请求使用登记人员的个 人信息时，建筑结构方终端110A判断使用请求是异常的，并且将发 出警告或将它识别成异常值，和强迫停止使用的信息发送到请求使用 的终端。并且，作为最终方终端160B的第二用途，设置"锁住/开锁"。最 终方终端160B读取登记人员的生物测定信息，并且， 一旦从建筑结 构方终端IIOA接收到锁住门的指令信息，就锁住。建筑结构方终端110A识别出登记人员已经从他的家里出来，并 且已经锁住门。因此，建筑结构方终端110A也可以管理^^锁住门那样的安全性。 此后，建筑结构方终端110A将上述移动开始信息发送到作为管理它自身的上层终端的聚集方终端150D(步骤S439)。聚集方终端150D —旦接收到来自建筑结构方终端110A的移动开始信息，就将这个接收信息存储到它自身的暂时存储DB 157D中(步
骤S440),并且识别出使用登记人员的个人信息的单元的移动已经开 始(步骤S441)。此后，聚集方终端150D将示出它自身已识别出移动开始信息的 信息与上述接收信息相联系，并且将它发送到管理它自身的验证系统 服务器10A (步骤S442 )。验证系统服务器10A —旦接收到来自聚集方终端150D的信息， 就将这些接收信息存储到它自身的暂时存储DB 17A中(步骤S443 )， 并且识别出使用登记人员的个人信息的单元的移动已经开始(步骤 S444)。<第24实施例> (信息移动2)这里，当登记人员从他的家里移动到他的工作地点时，对于登记 人员使用的单元的转变，将说明登记人员到达车站时刻的验证动作。图60(a)是示出根据本实施例的登记人员的日常活动范围内的验 证系统的结构例子的图形。在本图中，登记人员从他的家里出来到达车站的时刻登记人员的 个人标识信息的移动路线用实线示出。并且，图60(b)是示出车站大厅中建筑结构方终端110W和最终 方终端160C、 160D、 160Cc、和160Dd的安装例子的图形。在本图中，最终方终端160Cc和160Dd安装在车站的北检票口， 和最终方终端160C和160D安装在车站的南检票口。图61和图62的每一个是示出本发明的第24实施例中，信息使 用许可信息从建筑结构方终端110A传送到建筑结构方终端110W时 的动作例子的顺序图。在下文中，将沿着这个顺序图加以说明。登记人员个人一旦到达最近车站，触摸安装在车站检票口的最终 方终端160D，使它读取像指紋等那样的生物测定信息(步骤S451)， 并且，最终方终端160D将读取的生物测定信息和移动信息发送到建 筑结构方终端110W (步骤S452 )。 建筑结构方终端110W比较和核对事先存储在它自身中的登记人 员的信息、和来自最终方终端1600的接收信息，并且执行登记人员存 在性确认(步骤S454),同时将此时新接收的信息当中的必要信息存 储到它自身中(步骤S455)。并且，建筑结构方终端IIOW确认意思是登记人员存在于它自身 的单元之中的移动停止信息未存储在它自身之中，并且确认移动前通 知信息(通知存在请求个人验证和个人信息使用许可的单元可能转移 到它自身单元的可能性的信息的信息)未存储在它自身之中(步骤 S456)。移动开始信息是示出登记人员的实际移动的历史的信息，同时， 这个移动前通知信息是示出登记人员的未来移动安排的信息。具体地 说，这个移动前通知信息包括如下1到5的任何信息。1. 加入安排成供要验证的人员(登记人员)使用的终端中的特 殊信息(终端标识ID、标识号)；2. 示出要验证的人员(登记人员)使用时的安排的时间的时间信息53. 移动前通知信息的发送源的终端标识ID;4. 管理安排的单元变成动作的起点或登记人员个人的主单元的 终端的终端标识ID、标识号；5. 示出与它自身(自身单元)的下一个有关的终端(单元)的 信息。同时，这里，登记人员的移动前通知信息、移动开始信息、移动 停止信息(下文称为移动相关信息)将在后面加以描述。此外，建筑结构方终端IIOW参考存储在它自身中的各个终端的 用途，通过最终方终端160D读取生物测定信息，和识别出"登记人员 想要乘坐移动工具"(步骤S457)，并且创建示出登记人员已经完成 了到它自身单元的安装范围的移动的移动停止信息(步骤S458)。并且，建筑结构方终端IIOW将创建的移动停止信息存储到它自 身的暂时存储DB 117W中。
并且，建筑结构方终端IIOW通过移动停止信息识别出登记人员未存在于它自身单元的外部，并且在它自身单元的外部，通过登记人员的标识ID创建示出停止使用验证系统的命令的信息，并且准备将它 发送到聚集方终端150A。而且，建筑结构方终端IIOW识别出登记人员存在于它自身单元 的安装范围之内，针对移动信息创建示出存在登记人员个人可能使用 本验证系统的可能性的信息(下文称为使用前通知信息)，并且将它 与登记人员的个人标识ID等一起发送到各自最终方终端(步骤S459 )。因此，在登记人员实际使用最终方终端进行验证处理等之前，事 先将存在使用可能性通知最终方终端，从而，接收使用前通知信息的 单元的每个终端参考搜索DB和暂时存储DB等，搜索登记人员，可 以为此后的验证处理等作好准备。此后，当在相关终端中读取登记人 员的个人信息时，可以进行比较和核对，和进行有效验证系统操作。接着，建筑结构方终端IIOW将示出到它自身单元的移动的移动 停止信息、和命令在它自身单元的外部停止使用的信息发送到作为上 层终端的聚集方终端150A (步骤S461)。例如，当在发送了停止命令之后，在这个单元的外部请求使用登 记人员的个人信息时，建筑结构方终端IIOW判断使用请求是异常的， 并且将发出警告或将它识别成异常值，和强迫停止使用的信息发送到 请求使用的终端。聚集方终端150A —旦从建筑结构方终端110W接收到登记人员 个人的移动停止信息等，就将相关接收信息存储到它自身的暂时存储 DB 157A中(步骤S462 )。并且，聚集方终端150A从接收信息中识别出请求个人验证和个 人信息的使用许可信息的单元已经完成了它到建筑结构方终端110W 的单元的移动(步骤S463)。而且，聚集方终端150A搜索是否已从如下1到4的终端和服务 器中接收到登记人员的移动相关信息(步骤S464)。1.聚集方终端150A管理的单元中的其它下层终端；2. 管理聚集方终端150A的验证系统服务器10A;3. 除了聚集方终端150A之外的其它聚集方终端的单元；和4. 除了管理聚集方终端150A的验证系统服务器10A之外的其 它验证系统服务器。作为搜索结果，聚集方终端150A确认它未从上述1到4的终端 和服务器接收到登记人员的移动前通知信息等，并且将示出到它自身 单元的移动的移动停止信息、和命令在它自身单元的外部停止使用的 信息发送到管理它自身的验证系统服务器10A (步骤S465)。同时，作为搜索结果存在登记人员的移动相关信息的情况将在本 文后面加以描述。验证系统服务器10A —旦从聚集方终端150A接收到登记人员个 人的移动停止信息等，就将相关接收信息存储到它自身的暂时存储DB 17A中(步骤S466 )。并且，验证系统服务器10A从接收信息中识别出请求个人验证和 个人信息使用许可的单元已经完成了到建筑结构方终端110W的单元 的移动(步骤S467)。而且，验证系统服务器IOA搜索它是否从聚集方终端150A管理 的单元中的其它聚集方终端150A和其它下层终端接收到登记人员的 移动前通知信息等(步骤S468)。作为搜索结果，在验证系统服务器10A未从聚集方终端150A的 单元中的其它终端接收到移动前通知信息等的情况下(步骤S469， 否)，它证实从地点和时间的观点来看，存储在它自身中的登记人员 的个人信息的内容、和从聚集方终端150A接收的个人信息的内容是 否匹配(步骤S470， S471)。这个证实过程与第5实施例中的过程相 同。同时，作为搜索结果存在登记人员的移动相关信息的情况将在本 文后面加以描述。当作为信息内容相互匹配的结果，验证系统服务器IOA判断可以 证明登记人员存在性，和个人信息的输入历史在空间和时间上匹配(步 骤S472，是)时，它将示出"已经完成了存在连续性证实"的信息发送 到聚集方终端150A (步骤S473 )。这个发送信息也是在聚集方终端150A管理的单元中允许使用登 记人员想要的服务和验证系统动作的信息。聚集方终端150A —旦接收到来自验证系统服务器10A的许可信 息，就将相关接收信息加入它自身的暂时存储DB 157A中的登记人员 移动停止信息中，并且存储它(步骤S474)。然后，聚集方终端150A将这个许可信息发送到建筑结构方终端 110W (步骤S475 )。建筑结构方终端110W —旦接收到来自聚集方终端150A的许可 信息，就将相关接收信息加入它自身的暂时存储DB 117A中的登记人 员移动停止信息中，并且存储它(步骤S476)。然后，在本实施例中，建筑结构方终端IIOW根据这个许可信息， 将允许使用登记人员请求的本验证系统的服务允许登记人员进入车站 大厅乘坐火车的信息发送到最终方终端160D (步骤S477)。最终方终端160D —旦接收到来自建筑结构方终端110W的许可 信息，就打开相连检票口大门，和允许登记人员个人进入车站大厅(步 骤S478)。并且，也可以按终端安装用途来定义，这是允许登记人员乘坐火 车的动作。另一方面，在存在除了将移动相关信息发送到验证系统服务器 10A的聚集方终端150A之外的其它聚集方终端(这是聚集方终端 150D)的情况下，验证系统服务器10A将其它单元移动完成信息(加 入移动信息中、示出使用单元已移动到其它单元的信息的信息)发送 到聚集方终端150D (步骤S479 )。这个其它单元移动完成信息也是删除存在于聚集方终端150D管理的单元之中、登记人员的移动相关信息的信息。验证系统服务器10、聚集方终端150或子服务器在将移动相关信 息暂时存储在它们自身中时， 一旦接收到相同登记人员的移动停止信 息，就进行移动开始信息和移动停止信息之间的信息的连续性匹配证 实。其结果是，当判断为匹配时，可以将移动开始信息转换成其它单 元移动完成信息，并且可以发送回到移动开始信息的发送源。聚集方终端150D —旦接收到来自验证系统服务器10A的其它单 元移动完成信息，就根据它自身的暂时存储DB157D中的信息，提取 示出作为以前发送到验证系统服务器10的移动开始信息的发送源的 终端的信息。聚集方终端150D在提取之后，指定已经变成移动开始信息的发 送源的建筑结构方终端IIOA。并且，它将此时接收的其它单元移动完 成信息发送到作为发送源的建筑结构方终端110A (步骤S480)。接着，聚集方终端150D删除它自身的暂时存储DB157D中相关 登记人员的移动开始信息(步骤S481)。建筑结构方终端110A —旦接收到来自聚集方终端150D的其它 单元移动完成信息，就根据包括在相关信息中的个人标识ID，搜索它 自身的暂时存储DB 117D，并且提取和删除相关登记人员的移动开始 信息(步骤S482 )。另一方面，在作为信息内容相互匹配的结果，验证系统服务器10A 判断不能证明登记人员存在，或个人信息的输入历史在空间和时间上 不匹配(步骤S472，否)的情况下，它将示出"不存在"的信息或提示 再次进行存在性证实的信息发送到聚集方终端150A (步骤S483 )。这个发送信息也是在聚集方终端150A管理的单元中不允许(或 禁止)使用登记人员个人想要的服务和验证系统操作的信息。聚集方终端150A —旦接收到来自验证系统服务器10A的不允许 信息，就将相关接收信息加入它自身的暂时存储DB157A中的登记人 员移动停止信息中，并且存储它(步骤S484)。同时，将这个不允许信息加入移动停止信息中和存储在这个聚集 方终端150A的单元中的每个终端中，在该单元中，创建限制或停止 登记人员使用验证系统的控制信息。接着，聚集方终端150A将这个不允许信息、和创建的使用限制/
停止信息发送到建筑结构方终端110W (步骤S485 )。建筑结构方终端110W —旦接收到来自聚集方终端150A的不允许信息，就将相关接收信息加入它自身的暂时存储DB 117A中的登记人员移动停止信息中，并且存储它(步骤S486)。同样地，建筑结构方终端110W创建使用限制/停止信息。 接着，建筑结构方终端IIOW将这个不允许信息、和创建的使用限制/停止信息发送到最终方终端160D (步骤S487)。最终方终端160D —旦接收到来自建筑结构方终端110W的那些信息，就向登记人员个人显示请求再次读取个人信息的消息、和拒绝进入的消息信息(步骤S488 )。 <第25实施例> (信息移动3)这里，将说明登记人员从离他家最近的车站移动到离他的工作地 点最近的车站时登记人员使用的单元的转变。图63是示出本实施例中登记人员的住宅和工作地点周围的验证 系统的安装例子的图形。在本图中的例子中，建筑结构方终端110A安装在家里，而聚集 方终端150D安装在从家里到最近车站的路线中，建筑结构方终端 IIOW和聚集方终端150A安装在离家最近的车站中，建筑结构方终端 110WT和聚集方终端150AT安装在离工作地点最近的车站中，和建 筑结构方终端110H和IIOCK、聚集方终端150HK和IIOCK、和机 构方终端120HK和120CK安装在工作地点中。并且，安装了与车站有关的交通机构管理的机构方终端120E。而且，图64是示出构成验证系统的服务器和终端的网络结构例 子的图形。在本图中，登记人员从他家的最近车站移动到他工作地点的最近 车站时的移动信息的移动路线用实线示出。图65是示出本发明的第25实施例中，登记人员使用的终端从建 筑结构方终端110A转移到建筑结构方终端110W时的动作例子的顺序图。在下文中，将沿着这个顺序图加以说明。如前所述，当登记人员个人到达车站时，登记人员触摸安装在车站检票口的最终方终端160D，使它读取生物测定信息，并且，最终方 终端160D将读取的生物测定信息和移动信息发送到建筑结构方终端 110W,此后，允许登记人员进入车站大厅(乘坐)(步骤S501)。并且，如前所述，建筑结构方终端IIOW将示出到它自身单元的 移动的移动停止信息、和命令在它自身单元的外部停止使用的信息发 送到聚集方终端150A (步骤S502 )。而且，建筑结构方终端IIOW将那些接收信息发送到验证系统服 务器10 (步骤S503 )。此外，建筑结构方终端110W将与发送到聚集方终端150A的信 息相同的信息也发送到机构方终端120E (步骤S504 )。此刻，当显然创建了移动停止信息的终端和子服务器安装在移动 工具中，或者是为使用移动工具而安装时，移动停止信息自动创建和 发送移动前通知信息。这个机构方终端120E是用在铁路公司中的那一个，和使用这个 公司等的铁路的乘客的个人信息被存储成其中的数据库。机构方终端120E —旦接收到那些移动相关信息，就利用包括在 该信息中的个人标识ID等搜索它自身的数据库，并且提取登记人员个 人的月票信息(步骤S505)。图66是示出登记人员个人的月票信息的例子的图像图形。在该图中的例子中，使离家最近的车站成为开始终端，和使离工 作地点最近的车站成为终止终端。并且，这个月票信息包括用于在检 票口指定月票有效期和个人的生物测定信息等。并且，图67是示出管理安装在住宅和工作地点的最近车站中的 最终方终端、安装地点(检票口)、和它的上层终端的检票口数据库 的例子的图形。机构方终端120E管理它自身中像如图所示那样的数 据库。 首先，机构方终端120E将建筑结构方终端110W的终端标识ID 用作关键字搜索上述检票口 DB，并且指定当前存在登记人员个人的地 点(车站)。接着，机构方终端120E参考月票信息，并且确认指定地点(建 筑结构方终端IIOW的安装车站)是开始终端方还是终止终端方。在识别地点信息确认是开始终端方的情况下，根据提取的月票信 息，指定终止终端方。另一方面，在识别的地点信息确认是终止终端 方的情况下，根据提取的月票信息，指定开始终端方。同时，在识别地点信息既不是开始终端方也不是终止终端方的情 况下，将它暂时存储在机构方终端120E中，此后根据移动相关信息 的转换处理它。这里，机构方终端120E将建筑结构方终端110W识别成开始终 端方，并且将建筑结构方终端110WT指定成终止终端方(步骤S506， S507)。接着，机构方终端120E将来自建筑结构方终端110W的接收信 息发送到终止终端方的建筑结构方终端110WT (步骤S508)。建筑结构方终端110WT —旦接收到来自机构方终端120E的移动 前通知信息等，就识别出相关信息的登记人员个人某时在它自身管理 的单元中进行终端操作和存在性验证等的可能性很大。接着，建筑结构方终端110WT事先搜索存储在它自身中的登记 人员的个人信息，并且为此后在该单元中进行操作时易于使用做准备， 或为指定登记人员个人做准备的存储信息(步骤S509)。并且，建筑结构方终端110WT将接收的移动前通知信息存储到 它自身的暂时存储DB117WT中。当登记人员个人到达车站时，登记人员触摸安装在车站检票口的 最终方终端160DT，使它读取生物测定信息(步骤S510)，并且，最 终方终端160DT将读取的生物测定信息和移动信息发送到建筑结构方 终端110WT (步骤S511)。这个动作与第7实施例等中的动作相同。建筑结构方终端110WT比较和核对来自最终方终端160DT的接
收信息、和事先存储在它自身中的相应登记人员的个人信息等，进行登记人员的存在性确认(步骤S512 ),并且将此时从最终方终端160DT 新接收的信息当中的必要信息存储到它自身中。并且，建筑结构方终端110WT确认登记人员个人的移动前通知 信息是否已存储在它自身中(步骤S513 )。在登记人员个人的移动前通知信息已存储的情况下(步骤S513， 是)，识别出登记人员已移动到建筑结构方终端110WT的单元中(步 骤S514)。此刻，建筑结构方终端110WT进行登记人员的个人信息的移动 前通知信息、和从最终方终端160DT接收的信息的内容在空间和时间 上是否匹配的证实处理。并且，这样，当建筑结构方终端110WT事先存储示出登记人员 的个人信息的使用地点的移动的移动前通知信息时，它可以在对作为 其上层终端的聚集方终端150AT和验证系统服务器10A拥有的信息进 行核对之前，识别出登记人员个人的个人信息的使用地点的移动。而且，建筑结构方终端110WT根据示出登记人员进行个人验证 和请求使用许可的单元可能移动的可能性的移动前通知信息，创建在 验证系统中识别出登记人员个人已经移动的信息(下文称为移动前通 知到达信息)，并且将它发送到聚集方终端150AT和验证系统服务器 10A (步骤S516)。通过这个移动前通知到达信息，聚集方终端150AT和验证系统服 务器10A识别出登记人员个人存在的最新单元已经变成建筑结构方终 端IIOWT。并且，聚集方终端150AT和验证系统服务器IOA删除以 前存储的移动相关信息。将通过从最终方终端160DT接收的信息创建的新移动停止信息 存储到建筑结构方终端110WT中的暂时存储DB 117WT中。与这个过程平行，建筑结构方终端110WT通过它自身中的终端 安装用途识别出从最终方终端160DT接收的信息是第一定义，即，"希 望下车信息"，并且创建允许下车的信息和发送它(步骤S515)。
最终方终端160DT —旦接收到来自建筑结构方终端110WT的许 可信息，打开附在它自身上的检票口大门，允许登记人员个人从车站 大厅出去。至于除了上述之外的其它过程和概念，请参考第23或第24实施例。<第26实施例> (信息移动4)这里，将说明登记人员从他工作地点的最近车站移动到工作地点 时登记人员使用的单元的转变。图68是显示根据本实施例的验证系统中登记人员的工作地点周 围的验证系统的安装例子的图形。在本图的例子中，最终方终端160HL和160hL安装在工作地点 的建筑物的服务入口 ，和最终方终端160HK和160hK、管理安装在这 些建筑物中的最终方终端的建筑结构方终端IIOHK、和管理这个建筑 结构方终端IIOHK的聚集方终端150HK安装在前入口。并且，最终方终端160E和160Ee、管理安装在工作地点的最终 方终端的建筑结构方终端IIOCK、和管理这个建筑结构方终端110CK 的聚集方终端150CK安装在建筑物中的工作地点的入口。而且，图69是示出构成验证系统的服务器和终端的网络结合例 子的图形。在本图中，登记人员从他工作地点的最近车站移动到工作地点的 入口大门的移动路线用实线示出。在本实施例中，大型建筑物的一个房间是工作地点办公室，工作 地点办公室是包围登记人员个人的单元，和大型建筑物是包围该单元 的较大单元。作为类似的配置，存在属于你的房间与整个公寓大楼的 关系、停放的汽车与立体停车场的关系、和飞机与机场设施的关系等。当工作地点办公室被定义成"B单元"，和大型建筑物被定义成"A 单元，，时，定义为"B单元包括在A单元之中"。并且，将"B单元，，称为 分单元，和将"A单元"称为基本单元。 终端的信息发送被设计成，当这些单元存在包括和被包括的关系 时，如果在分单元中确认了个人的存在性，将存在性信息发送到构成 基本单元的终端，并且识别出在基本单元中存在相关个人。并且，在本实施例中，识别出登记人员存在于基本单元中的哪个 分单元之中。例如，即使识别出登记人员个人进入大型建筑物的基本单元中， 登记人员也可能存在于走廊或电梯中。因此，为了分清登记人员是否 已到达分单元，以工作地点为单位和以建筑物为单位配置各自单元。图70是示出建筑结构方终端110HK与管理它的聚集方终端 150HK、和安装在建筑物中的其它聚集方终端的连接关系的图形。在本图的例子中，建筑结构方终端110HK与作为它上层终端的 聚集方终端150HK连接，并且管理第一层的入口。并且，建筑结构方终端IIOHK通过聚集方终端150HK与管理基 本单元(整个建筑物)的聚集方终端150HK连接，从而间接地与管理 各自分单元的各自聚集方终端150CK、 150HH、 150HE、 150HM、和 150HT连接。建筑结构方终端110HK在验证了登记人员之后，将验证历史等 发送到基本单元的相连聚集方终端。在下文中，将针对验证系统对在其工作地点的登记人员的验证动 作说明两种模式。(验证动作模式l)在下文中，将说明第一种模式的验证动作。同时，这个验证动作与上述车站大厅中的验证动作大致相同，因 此，省略它的细节。当登记人员个人到达他工作地点的建筑物时，登记人员触摸安装 在建筑物入口的最终方终端160HL和最终方终端160HK，使它们读 取这样的生物测定信息，并且，最终方终端将读取的生物测定信息和 移动信息发送到建筑结构方终端IIOHK。建筑结构方终端110HK根据发送的生物测定信息等进行登记人
员的验证。这里，当验证取得成功时，建筑结构方终端110HK将允许 进入建筑物内的信息发送到读取生物测定信息的最终方终端。读取允许信息的最终方终端通过打开大门等允许登记人员进入 建筑物。接着，登记人员触摸安装在工作地点办公室入口的最终方终端 160E，使它读取生物测定信息，并且，最终方终端160E将读取的生 物测定信息和移动信息发送到建筑结构方终端110CK。建筑结构方终端110CK等根据发送的生物测定信息等进行登记 人员的验证。这里，当验证取得成功时，建筑结构方终端U0CK将允 许进入建筑物内的信息发送到读取生物测定信息的最终方终端。读取允许信息的最终方终端通过打开大门等允许登记人员进入 建筑物。(验证动作模式2)通常，与上面的模式l一样，登记人员在建筑结构的入口进行验 证，然后在工作地点的入口进行验证。但是，例如，在早上的上班高 峰期，登记人员可以省略建筑结构入口的验证动作。在本模式中，将 说明在登记人员省略某点的验证动作的情况下验证系统的验证动作。图71是示出本发明的第26实施例中，登记人员使用的终端从建 筑结构方终端110WT转移到建筑结构方终端110CK时的动作例子的 顺序图。在下文中，将参照这个顺序图说明工作地点的第二种模式的验证 动作。同时，在这种模式中，在说明中也省略与上面车站大厅中的验证 动作相同的部分。登记人员个人在到达工作地点建筑物之后，不进行通过最终方终 端160HK的个人验证处理。但是，登记人员触摸直接安装在工作地点 办公室入口的最终方终端160E,使它读取生物测定信息(步骤S521), 并且，最终方终端160E将读取的生物测定信息和移动信息发送到建 筑结构方终端110CK (步骤S522 )。
接着，建筑结构方终端110CK以与车站大厅中的处理相同的方 式，进行登记人员存在性的判断处理、和判断是否将移动相关信息存 储到它自身中的确认处理等(步骤S523 )。此后，建筑结构方终端110CK将登记人员的移动停止信息、和 示出在它自身单元的外部停止使用的信息发送到聚集方终端150CK (步骤S524 )。接着，聚集方终端150CK将登记人员的移动停止信息、和示出 在它自身单元的外部停止使用的信息发送到验证系统服务器10A (步 骤S525)。验证系统服务器10A判断个人信息的时间和空间连续性(步骤 S526)，并且将包括判断结果的许可信息发送到聚集方终端150CK(步 骤S527)。聚集方终端150CK存储这个接收的许可信息(步骤S528)。 并且，验证系统服务器IOA根据登记人员已经在工作地点的最近 车站的区域之外的事实，向工作地点的最近车站的聚集方终端150AT 发送聚集方终端150AT的其它单元移动完成信息(步骤S529 )。聚集方终端150AT的单元的终端一旦接收到这个用于删除的信 息，删除相应登记人员的移动相关信息。其结果是，在作为分单元的 聚集方终端150CK管理的单元中，进行登记人员的验证处理和移动相 关信息的存储。此后，聚集方终端150CK将包括判断结果的许可信息不仅发送 到它自身中的建筑结构方终端IIOCK，而且发送到管理基本单元的聚 集方终端150HZ (步骤S530 )。聚集方终端150HZ在将接收的许可信息存储到它自身中之后(步 骤S531)，将许可信息发送到作为它自身下层终端的建筑结构方终端 150HK (步骤S532 )。建筑结构方终端150HK —旦接收到许可信息， 就将接收信息存储到它自身中(步骤S533)。另一方面，接收到许可信息的建筑结构方终端110CK将许可信 息存储到它自身中(步骤S534 )，将许可信息发送到作为它自身下层 终端的最终方终端160E,并且读取生物测定信息(步骤S535)。最终方终端160E根据包括在接收的许可信息中的验证判断结 果，执行允许或不允许让登记人员进入工作地点的动作(步骤S536)。 例如，当判断结果是允许进入时，最终方终端160打开工作地点办公 室的门锁，允许进入。另一方面，当拒绝进入时，它显示提示再次读 取生物测定信息的消息，或拒绝进入的消息。因此，当这些单元存在包括关系时，分单元中的任何终端、和管 理基本单元的聚集方终端或子服务器具有相同的移动停止信息。在这种情况下，存在于分单元方中的信息被称为"前移动停止信息，，，而存 在于基本单元中的信息被称为"后移动停止信息"。对于"前移动停止信息"，加入了指定具有"后移动停止信息，，的终 端的信息，而对于"后移动停止信息"，加入了指定具有"前移动停止信 息"的终端的信息。此后，当登记人员移出当前单元的管理区时，接收到删除信息和 存储"前移动停止信息"的终端删除它自身的移动停止信息，并且以相 同方式将删除信息发送到存储"后移动停止信息"的终端。接收到删除 信息和存储"后移动停止信息"的终端以相同方式删除它自身的相应移 动停止信息。并且，在存储"后移动停止信息，，的终端接收到删除信息的情况 下，它以相同方式删除它自身的相应移动停止信息，并且将这个删除 信息发送到存储"前移动停止信息"的终端，同时，存储"前移动停止信 息"的终端删除相应移动信息。这样，"前移动停止信息"和"后移动停止信息，，二者都被删除了 。<第27实施例> (信息移动5)在本实施例中，与如上所述的例子中的方式相同，包围登记人员 个人的单元(百货公司的租屋)被较大单元(百货公司)包围着。图72是示出本实施例中将验证系统配置在百货公司中时终端的 安装例子的图形。
在本图中的例子中，在这个百货公司中存在租屋C和D。如图所示，在这个百货公司的建筑物的入口和出口，安装着最终 方终端160A、 160a、 160B和160b。并且，在租屋C的入口和出口， 安装着最终方终端160C和160c，和在租屋内部，安装着建筑结构方 终端IIOC和聚集方终端150C。同样地，在租屋D的入口和出口，安 装着最终方终端160D和160d，和在租屋内部，安装着建筑结构方终 端110D和聚集方终端150D。并且，建筑结构方终端110A和聚集方 终端150A管理整个百货>^司。而且，图73是示出安装在上述百货公司中的终端之间的网络的 连接例子的图形。本图中的实线和虚线示出了连接各个终端的网络，和实线示出了 在本文后面说明的验证处理中发送和接收信息的路线。图74是示出第27实施例中，信息在存在于聚集方终端150A管 理的建筑物中的单元之间移动的动作例子的图形。这里，将借助于个 人在商业企业的建筑物中移动的图像加以说明。登记人员个人进入这个百货公司中，并且访问现场的租屋D。假 设登记人员个人的移动停止信息被聚集方终端150A和建筑结构方终 端110D识别。当登记人员个人完成租屋D内的购物和开始移动时，他触摸安装 在出口的最终方终端160d，使它读取生物测定信息(步骤S541 )，并 且，最终方终端160d将读取的生物测定信息和移动信息发送到建筑结 构方终端110D (步骤S542 )。建筑结构方终端110D—旦接收到生物测定信息和移动信息，将 它与登记人员到此为止的动作历史等核对，并且进行登记人员的验证 (步骤S543 )。当验证取得成功时，建筑结构方终端IIOD识别出当 最终方终端160d读取生物测定信息时，登记人员已离开租屋D单元， 并且创建移动开始信息和将它发送到聚集方终端150D (步骤S544)。聚集方终端150D在接收到移动开始信息之后，进行必要处理。 接着，聚集方终端150D将移动开始信息发送到聚集方终端150A (步
骤S544)。这是因为，聚集方终端150D管理的单元包括在聚集方终 端150A管理的基本单元中。此后，当登记人员个人访问租屋C时，登记人员触摸最终方终端 160C，使它读取生物测定信息(步骤S546)，并且，最终方终端160CS547)。建筑结构方终端110C—旦接收到生物测定信息和移动信息，将 它与登记人员到此为止的动作历史等核对，并且进行登记人员的验证 (步骤S548 )。当验证取得成功时，建筑结构方终端110C通过最终 方终端160C读取生物测定信息时，识别出登记人员已进入租屋C单 元，并且创建移动停止信息和将它发送到聚集方终端150C(步骤 S549)。聚集方终端150C在接收到移动停止信息之后，进行必要处理。 接着，聚集方终端150C将移动停止信息发送到聚集方终端150A (步 骤S550 )。接着，聚集方终端150A核对从聚集方终端150D接收的移动开 始信息的内容、和从聚集方终端150C接收的移动停止信息的内容， 并且判断相应登记人员的存在性和移动相关信息的时间和空间连续性 (步骤S551)。其结果是，当聚集方终端150A识别出存在存在性和信息连续性 时，将示出"存在连续性的证实已经完成"的许可信息发送到聚集方终 端150C (步骤S552 )。并且，聚集方终端150C将接收信息发送到建筑结构方终端110C (步骤S553 )。建筑结构方终端IIOC在将接收信息存储到它自身中 之后(步骤S554 )，将它发送到最终方终端160C (步骤S555 )。最终方终端160C —旦接收到示出"存在连续性的证实已经完成，， 的许可信息，显示"验证已经完成"的消息，并且提供某些类型的服务 (步骤S556 )。另一方面，当聚集方终端150A识别出存在存在性和信息连续性
时，将其它单元移动完成信息发送到聚集方终端150D (步骤S557)。 聚集方终端150D—旦接收到删除消息，删除相应登记人员的移 动开始信息，然后将删除信息发送到建筑结构方终端110D(步骤 S558)。建筑结构方终端110D —旦接收到删除信息，删除相应登记 人员的移动开始信息。因此，在存在包括关系的单元中，这些单元之间通过基本单元中 的聚集方终端共享移动相关信息。其结果是，在存在包括关系的单元 之间的移动中，在每个动作中，为了证实信息连续性，不将移动相关 信息发送到验证系统服务器10，但使管理基本单元的聚集方终端150 起作用。例如，在像百货公司那样的大型商业企业的情况下，如果识别出 登记人员访问百货公司建筑物中的任何商店，那么，就通过验证系统 识别出登记人员存在于百货公司之中。当登记人员在百货公司中一边 购物一边移动时，登记人员不会离开百货公司的建筑物，而只是在百 货公司单元的基本单元中改变他的存在位置。因此，如果识别出登记 人员在百货公司单元的基本单元中移动，证明了登记人员的存在性和 移动信息的连续性。此刻，登记人员个人仍然在基本单元中，并且未使用内部之外的 信息。因此，由于通过基本单元的聚集方终端150进行验证充分证明 了登记人员的存在性和移动信息的连续性，无需通过验证系统10验 证，可以减轻验证系统服务器10的负担。并且，此刻，停止了在基本单元的外部使用信息，于是，不可能 滥用个人信息，并且可以实现个人信息保护的高度安全性。同时，如上所述的结构和动作不局限于百货公司，它们可以应用 于作为基本单元、其中具有分部，例如，工作地点和学校中的工作室 和教室、公寓大楼属于你的部分、医院中的病房、机场和车站、商业 用房等的所有建筑结构。自然，只要其中具有分单元，它们也可以应 用于分离的建筑物。<第28实施例> (信息移动6)在下文中，将说明在登记人员利用像飞机等那样的移动工具移动 的情况下验证系统的验证处理。同时，在如下所示的例子中，假设登 记人员从他家移动到最近机场(Haneda机场)和登上飞机，并且移动 到移动目的地(Fukuoka机场)。同时，在下文中，除非另有指定，假设本实施例中的处理与登记 人员的通勤中的处理相同。图75是示出登记人员利用像飞机等那样的移动工具移动时终端 和服务器的安装例子的图形。如图所示，在登记人员的家中，安装着聚集方终端150A、建筑 结构方终端IIOB、机构方终端120A、和最终方终端160A和160B。 其间，在家里的房间中，安装着像通用PC等那样的最终方终端160A, 和在家入口的门把手上，安装着最终方终端160B。并且，在离家里最近的Haneda机场中，安装着聚集方终端150E、 建筑结构方终端110F、机构方终端120E、和最终方终端160E和160F。 其间，在机场大厅中，安装着最终方终端160E,和在登机检票口，安 装着最终方终端160F。而且，在与移动目的地最近的Fukuoka机场中，安装着聚集方终 端150G、建筑结构方终端IIOH、才几构方终端120G、和最终方终端 160G和160H。其间，在机场大厅中，安装着最终方终端160G，和在 登机检票口，安装着最终方终端160H。此外，在处理这些航空事务(运行中心的公司设施)的航空公司 中，安装着聚集方终端150C、建筑结构方终端110D、机构方终端120C、 和最终方终端160C和160D。其间，在公司大厅中，安装着最终方终 端160C，和在z^司设施入口，安装着最终方终端160D。图76是示出登记人员利用像飞机等那样的移动工具移动时构成 验证系统的终端和服务器的安装例子的图形。在本图中，登记人员使用家里的最终方终端160A预订机票的时 候移动相关信息的移动路线用实线示出。
图77是示出本发明的第28实施例中，登记人员使用的单元在登 记人员个人沿着确定安排移动时发生变化的动作例子的顺序图。这里， 示出了个人预订飞机的四个阶段当中的第一阶段。首先，当登记人员个人回家时，登记人员使安装在门把手上的最 终方终端160B读取他的生物测定信息(步骤S)，并且，最终方终端 160B将生物测定信息和移动信息存储到最终方终端160B本身的暂时 存储DB、和其上层终端的建筑结构方终端110B和聚集方终端150A 的暂时存储DB中。此刻，作为通过从最终方终端160B接收的生物测定信息进行个 人存在性验证的结果，创建和从建筑结构方终端110B发送移动停止 信息。聚集方终端150A合并从建筑结构方终端IIOB发送的移动停止 信息、和从其它单元的聚集方终端150接收的移动开始信息，并且识 别出登记人员个人存在于个人家中的单元之中，和登记人员的移动信 息存在连续性。同时，这个过程与如上所述的那个相同，这里省略它 的细节。此后，想乘飞机的登记人员个人使家里的最终方终端160A读取 生物测定信息(步骤S601),并且，最终方终端160A将读取的生物 测定信息和移动信息发送到机构方终端120A (步骤S602)。机构方终端120A核对接收的个人信息和存储在它自身中的个人 信息。这个核对过程与如上所述的那个相同，这里省略它的细节。这里，个人信息的核对结果示出匹配，接着，机构方终端120A 判断登记人员个人是否与移动历史匹配，并且综合地证实个人的存在 性(步骤S603 )。接着，机构方终端120A发送请求综合管理登记人员个人家里的 聚集方终端150A证实示出登记人员个人的存在性的移动停止信息是 否存储在聚集方终端150A管理的单元之中的信息、和上面创建的移 动停止信息(步骤S604)。接着，聚集方终端150A —旦接收到来自机构方终端120A的证 实请求信息，就比较同时接收的移动停止信息、和存储在它自身中的 移动相关信息，并且证实登记人员的存在性和移动信息的连续性等是否匹配(步骤S605)。其结果是，当信息匹配时，最终方终端150A判断存在登记人员 个人，并且将允许登记人员使用机构方终端120A和最终方终端160A 的许可信息发送到机构方终端120A和最终方终端160A(步骤S606 )。登记人员个人利用机构方终端120A和最终方终端160A访问管 理登记人员想去的航空公司的乘客表的机构方终端120C。这个机构方终端120C管理为航空公司进行登机预订处理、顾客 里程管理、登机状况管理等而安装的顾客管理DB。接着，登记人员个人利用最终方终端160A输入航空公司要求的 像乘客姓名、日期和时间、航班号等那样的指定项目，将它们发送到 机构方终端120C (步骤S608)，并且执行所需航班号的预订过程。 此刻，登记人员个人最好输入示出变成飞行当天的动作基点的预定单 元的信息。这里，"动作基本点"指的是登记人员执行指定动作时动作开始的 基本点。在本实施例中，由于登记人员在飞行当天从他的家里开始，"动 作基本点"是家。并且，"变成动作基本点的预定单元，，指的是在家里管 理登记人员的动作的聚集方终端150A所在的单元(由终端150A、 IIOB、 120A、 160A、 160B构成的单元)。机构方终端120C确认登记人员个人的存在性，并且指定乘客和 进行预订处理(步骤S609 )。机构方终端120C在完成了预订处理之后，创建移动前通知信息， 并且将它与示出变成登记人员个人当天的动作基本点的预定单元的信 息一起发送到管理它自己飞机的航空公司的聚集方终端150C (步骤 S610)。接收到移动前通知信息等的航空公司的聚集方终端150C将接收 信息存储到它自身的暂时存储DB157C中(步骤S611)。接着，聚集方终端150C将接收的移动前通知信息等发送到管理 它自身的验证系统服务器10B (步骤S612)。
接收到移动前通知信息等的验证系统服务器10B将接收信息存 储到它自身的暂时存储DB 17B中(步骤S613)。接着，验证系统服 务器10B将接收的移动前通知信息等发送到管理当天变成登记人员个 人的动作基本点的预定单元的验证系统服务器10A (步骤S614)。接收到移动前通知信息等的验证系统服务器10A将接收信息存 储到它自身的暂时存储DB17A中(步骤S615)。接着，验证系统服 务器10A将接收的移动前通知信息等发送到管理当天变成登记人员个 人的动作基本点的预定单元的聚集方终端150A (步骤S616)。接收到接收的移动前通知信息等的聚集方终端150A将接收信息 存储到它自身的暂时存储DB157A中(步骤S617)。如上所述，事先将登记人员乘飞机那个时刻的动作安排设置到终 端中，从而，在飞行当天，可以随着登记人员的动作流畅地转移登记 人员的个人信息。<第29实施例> (信息移动7)在下文中，将说明在登记人员在飞行当天离开他家里到机场的情 况下验证系统执行的各种各样动作。这里，示出了个人预订飞机和移 动的四个阶段当中的第二阶段。图78是示出登记人员利用像飞机等那样的移动工具移动时构成 验证系统的终端和服务器的安装例子的图形。在本图中，登记人员在 飞行当天离开他家到机场的时候移动相关信息的移动路线用实线示 出。图79是示出本发明的第29实施例中，登记人员使用的单元在登 记人员个人沿着确定安排移动时发生变化的动作例子的顺序图。登记人员个人离开飞行当天变成动作基本点的他家。此刻，登记 人员使安装在他家里的最终方终端160B读取他的生物测定信息(步 骤S621)，并且，最终方终端160B将读取的生物测定信息和移动信 息发送到建筑结构方终端110B (步骤S622 )。建筑结构方终端110B根据接收的个人信息进行验证，并且，当
这个验证取得成功时，识别出"登记人员已经出去，，(步骤S623 )。当作出这个出去信息识别时，建筑结构方终端110B将移动开始 信息发送到在他家里的聚集方终端150A (步骤S624 )。在他家里的聚集方终端150A根据接收的移动开始信息证实登记 人员的存在连续性等是否匹配(步骤S625)。接着，聚集方终端150A判断与上述机票预订有关的移动前通知 信息是否存储在它自身中(步骤S626)，并且，当存储了移动前通知 信息时(步骤S626，是)，比较和核对移动前通知信息、和接收的移 动开始信息的内容(步骤S627)。当聚集方终端150A识别出移动开始信息的内容与相关移动前通 知信息匹配时，将通知基于移动前通知信息的动作已经开始的移动通 知信息发送到作为相关移动前通知信息的发送源的验证系统服务器 10A和10B、聚集方终端150C、和机构方终端120C (步骤S628)。接收到移动通知信息的终端可以将使用可用性信息发送到包括 它自身或它自身管理的单元的终端。使用可用性信息是提示为验证处 理等作好准备的信息，因为尽管未识别出登记人员个人存在于终端所 属的单元之中，但存在将来在单元中可能使用登记人员个人的个人信 息的可能性。作为相关移动前通知信息的发送源的机构方终端120C —旦接收 到移动通知信息，就从它自身的数据库中提取与登记人员个人有关的 信息(步骤S629)，并且识别出登记人员已经移动到他家的外面(步 骤S630)。如上所述，在通过预订飞机票等给出登记人员的动作安排的情况 下，当登记人员开始预定动作时，将在从现在开始的某个时间可能进单元中的终端，并且可以进行验证处理的准备。通过这个通知，登记人员的动作路线上的终端等可以事先提取登 记人员的个人信息，于是，可以在登记人员实际作出访问时立刻进行 信息处理。
并且，可以将在远离动作安排的单元或地点使用个人信息识别成 异常值数据，于是，可以防止登记人员的个人信息被滥用或泄漏出去。<第30实施例> (信息移动8)图80是示出登记人员利用像飞机等那样的移动工具移动时构成 验证系统的终端和服务器的安装例子的图形。在本图中，登记人员到达机场和登上飞机的时候移动相关信息的 移动路线用实线示出。图81是示出本发明的第30实施例中，登记人员使用的单元在登 记人员个人沿着确定安排移动时发生变化的动作例子的顺序图。这里， 示出了个人预订飞机和移动的四个阶段当中的第三阶段。如前所述，机构方终端120C—旦接收到登记人员个人的移动通 知信息，就从存储在它自身中的包括登机预订内容的移动前通知信息 中提取登机预订内容等的信息(步骤S641)。接着，机构方终端120C通过管理它自身的聚集方终端150C将 提取的信息发送到与登记人员登上飞机有关的单元和终端(步骤 S642)。最好将这个发送提取信息存储在多个部分中的暂时存储DB中， 以防备路线终端的故障和信息的丢失。在本实施例中，将这个提取信息存储在验证系统服务器10B、聚 集方终端150E、建筑结构方终端110F、和^/L构方终端120E的暂时存 储DB中(步骤S643到S646 )。其间，建筑结构方终端110F将提取信息存储成进行识别登记人 员个人将来移动到它自身管理的单元的状况所需的个人识别的可比较 信息。并且，机构方终端120E将提取信息存储成应付当天登记人员的 航班号和飞行状况的将来变化的信息。登记人员个人到达机场，触摸安装在登机口的最终方终端160F， 使它读取生物测定信息(步骤S647)，并且，最终方终端160F将读
取的生物测定信息和移动信息发送到建筑结构方终端110F (步骤 S648)。接着，建筑结构方终端110F比较和核对接收的生物测定信息、 和事先存储的进行个人识别的可比较信息(步骤S649)，进行移动相 关信息的连续性和登记人员的存在性等的证实(步骤S650)，并且判 断它们(步骤S651)。当建筑结构方终端11 OF识别出在步骤S647中输入生物测定信息 的人员是登记人员个人作出预订、和想登上飞机的相同人员时，将允 许输入个人信息的人员登上相应飞机的许可信息发送到最终方终端 160F (步骤S652 )。最终方终端160F —旦接收到这个许可信息，打开安装了最终方 终端160F的检票口的大门(步骤S653)。并且，建筑结构方终端110F响应于登记人员个人移动到登上飞 机的单元中的事实，将删除到此为止的移动相关信息和提取信息的移 动前通知信息发送到验证系统服务器10B和聚集方终端150E (步骤 S654)。通过本验证系统的操作，对于个人来说，可以使个人有资格登上 飞机的信息不依赖于作为机票的"东西"，并且验证个人的存在性。因 此，即使登记人员"没有任何事地，，移动，必要信息也将与他一起移动。并且，不需要将登记人员的个人信息用于登机的终端和服务器删 除个人信息，于是，可以防止第三方假冒和使用个人信息。同样地，通过使用本验证系统，像机票、月票和入场券、纸币和 硬币、各种各样卡片、蜂窝式电话和便携式终端那样的所有媒体都变 得多余了，于是，可以排除"东西，，丢失或被窃取等的所有风险。而且，在通过终端或因特网中的软件搜索从家里到机场的移动工 具、和路线和安排的情况下，可以将搜索结果信息用作移动相关信息。在这种情况下，登记人员通过使用安装在他家里的最终方终端 160，使它读取他自己的生物测定信息，和搜索移动路线和移动工具， 然后，最终方终端160通过采集技术识别出搜索的数条路线当中要使
用的 一条或数条路线，并且将包括读取生物测定信息的移动前通知信 息发送到安装在路线上的终端。选择数条路线的理由是，在由于气候、由事故引起的延迟等关闭 了第一预定路线的情况下，可以迂回地使用它们。此外，在提供传统转栽信息服务的软件被封装在最终方终端160 中的情况下，可以将它设置成从输入搜索条件中自动提取构造移动前 通知信息所需的像转栽信息、中转站、运输工具那样的信息。此后， 将这个提取信息加入移动前通知信息和示出存在性证实结果的信息 中。并且，最终方终端160可以将基于登机安排的日期和时间的移动 前通知信息发送到管理预计登记人员用于移动的主要交通机构的单 元，例如，管理住宅的最近车站、机场的最近车站、和它们之间的中 转站的聚集方终端和建筑结构方终端。而且，在预测登记人员的动作路线的情况下，在作出通过单元或 终端的验证之后，事先将假设移动确认的单元或终端的终端标识ID发 送到单元和终端，作为移动前通知信息的附加信息。其结果是， 一旦登记人员开始动作，就依次将移动相关信息发送 到当前位置的下一个目标基本点。就象体育比赛的接力赛的下一个运 动员根据当前运动员的状况在路线上等待，使安排成接收移动相关信 息的单元或终端事先接收这些状况，并且可以作好使用准备。并且， 当提前开始存在性验证和服务提供等所需的信息处理时，登记人员的 动作路线上的终端和服务器可以流畅地或择优地进行处理。另一方面，由于可以指定使用登记人员的个人信息的单元和终 端，可以限制登记人员的动作路线之外的单元和终端上的使用，从而 达到既方^更又安全。<第31实施例> (信息移动3)这里，示出了个人预订飞机和移动的四个阶段当中的第四阶段。 在下文中，将说明登记人员登上预订飞机和到达他的目的地时验
证系统执行的各种各样动作.
图82是示出登记人员利用像飞机等那样的移动工具移动时构成 验证系统的终端和服务器的安装例子的图形。
在本图中，登记人员登上预订飞机和到达他的目的地的时候移动 相关信息的移动路线用实线示出。
如前所述，当登记人员个人在被"物体"包围的状况下移动时，将 "物体"当作一个单元。
当短时间内在相互分开的单元之间移动时，人们使用作为一个单 元的像飞机、电动列车或汽车那样的移动工具。
假设移动工具的单元具有如下功能。
第一种功能是，如前所述，使用生物测定信息，从而乘客可以不 保留机票地使用无票服务。
第二种功能是使移动工具的登机确认变得容易，容易地搜索还没 有在他的坐位上的乘客的当前位置，和广播提示乘客坐在坐位上所需 的通告。
图83是示出本发明的第31实施例中，登记人员使用的单元在登 记人员个人沿着确定安排移动时发生变化的动作例子的顺序图。
首先，当登记人员个人坐在飞机中的预订坐位上，登记人员使安 装在坐位上的最终方终端160M读取生物测定信息(步骤S661)，并 且，最终方终端160M将读取的生物测定信息和移动信息发送到建筑 结构方终端110M (步骤S662 )。
对于建筑结构方终端IIOM，事先从机构方终端120C存储指定乘 客所需的像生物测定信息等那样的信息。
建筑结构方终端110M比较和核对事先存储在它自身中的生物测 定信息、和从最终方终端160M接收的生物测定信息(步骤S663 )， 并且判断登记人员和实际乘客是否匹配(步骤S664)。
此刻，当它们匹配时，向有关终端发送判断在建筑结构方终端 110M构成的单元的外部的登记人员使用验证系统是异常的的移动停 止信息。
另一方面，当它们不匹配时，将示出"失配，需要确认工作"的信 息发送到飞机中的空勤人员操作的终端，并且通知失配乘客的坐位号。 空勤人员确认这个失配信息，并且执行包括再次进行相同人员验证、 使乘客移动到正确预订坐位等的必要过程。
建筑结构方终端110M在飞机的预定起飞时间之前搜索登机状 况，并且从最终方终端160M中提取登记在登机表中但乘坐信息未到 达的乘客的个人信息(步骤S665)。
建筑结构方终端110M将这个提取的还未到达乘客信息发送到管 理起飞方的机场的验证系统服务器10B、聚集方终端150E和建筑结构 方终端110F (步骤S666)。
接收到还未到达乘客信息的验证系统服务器IOB、聚集方终端 150E和建筑结构方终端110F搜索移动停止信息和使用前通知信息等 是否存在于它们自身之中(步骤S667到S669 )。
当它们存在时，验证系统服务器IOB、聚集方终端150E和建筑 结构方终端110F发送和确认登记人员最后输入/读取个人信息的间 隔，并且指定本验证系统中最后识别出登记人员个人的单元(步骤 S670)。
在指定了单元之后，管理相关单元的终端(在本实施例中，建筑 结构方终端110F )将进行通告将最后登机指南告诉还未到达乘客的许 可信息发送到指定单元中用于通告的最终方终端160。
用于通告的最终方终端160—旦接收到许可信息，进行通告将最 后登机指南告诉还未到达乘客(步骤S671)。
并且，管理相关单元的终端(在本实施例中，建筑结构方终端 110F)具有将进行通告将最后登机指南告诉还未到达乘客的许可信息 发送到管理连接受到管理的终端的安装位置、和建筑结构方终端110M 的位置的路线上的终端的终端，并且使它进行通告的功能。
在现有技术中，在整个机场设施内进行通告，使人名和目的地等 的个人信息不受限制地泄漏出去，但在本实施例中，通告地点受到限 制，个人信息泄漏是有限的，从而保护了隐私。并且，由于最后存在
地点是清楚的，航空公司可以对从最后存在地点到飞机的路线采取严 厉措施，和可以使它的事务变得有效。
而且，对于像飞机等那样的移动工具的坐位，可以内置温度传感 器和重量传感器等。
甚至在登机乘客确认之后乘客已坐在坐位上之后，如果登记人员 可以移动到其它单元，当传感器感测到乘客离开他的坐位已有一段时 间时，它可以识别出坐位是空的，并且可以将这种情况通知验证系统 的终端。
人可以移动到其它单元的状况包括，例如，在飞机中，关闭登机 门作好起飞准备之前的状况、和着陆之后打开登机门之后的状况。在 电动列车的情况下，它们包括关闭乘客门离开车站之前的状况、和到 达车站打开乘客门之后的状况。在汽车的情况下，它们包括关闭车门 出发之前的状况、和打开车门之后的状况。
最好，为了识别出到相关单元外部的移动不可用状况，将感测打 开/关闭的传感器贴在移动工具的门上，以识别它的打开/关闭信息。
在使登记人员物理移动的移动工具的单元的门关闭后、移动工具 的单元中的终端在确认登记人员存在于单元之中时，假设登记人员个 人随移动工具一起移动。此刻，移动工具的终端将移动相关信息发送 到假设以后通过移动工具的目的地信息相关的其它终端和服务器。
例如，在汽车的情况下，存在当开始行进时自动锁门的情况。最
终方终端160被安装在汽车内部的门抓手上，并且，在汽车开始行进 和所有门都自动锁上的情况下，如果确认登记人员个人存在于汽车的 单元之中，可以容易地推测登记人员个人与汽车 一起移动。
同时，在汽车的情况下，可以形成组合车载GPS(全球定位系统) 功能和时间校对工具的结构，当相关汽车的门锁上或未锁上时，有可 能识别相关汽车的位置和时间，从而可以掌握移动地点。
在本实施例中，安装在飞机中的建筑结构方终端IIOM将起飞前 关闭飞机的乘客门的时间识别成起飞时间(离开时间)，和将着陆之 后打开乘客门的时间识别成着陆时间(到达时间)。
在飞机起飞时，建筑结构方终端110M在起飞方的Haneda机场 测量关闭乘客门的时间(步骤S672 ),并且将起飞时间信息发送到到 此为止作为管理个人信息的最后聚集目的地的验证系统服务器IOB、 和在着陆方的Fukuoka机场从现在开始变成管理开始基本点的聚集方 终端150G (步骤S673 )。
这个起飞时间信息包括示出测量起飞时间的信息、作为发送源的 建筑结构方终端110M的终端标识ID、和已经确认登上飞机的登记人 员的标识ID。
验证系统服务器10B —旦接收到这个起飞时间信息，就判断登记 人员个人未存在于起飞方的区域之中(步骤S674)，并且将示出移动 相关信息已删除的其它单元移动完成信息发送到到此为止登记人员的 移动线路上的终端和服务器(这里，建筑结构方终端110F和聚集方终 端150E)(步骤S675)。
此后，当飞机到达作为目的地的Fukuoka机场，和打开乘客门时， 建筑结构方终端110M测量打开门的时间(步骤S676)。
接着，建筑结构方终端110M将着陆时间信息发送到到此为止作 为管理个人信息的最新聚集目的地的验证系统服务器IOB、和从现在 开始变成管理开始基本点的Fukuoka机场的聚集方终端150C (步骤 S677)。
这个着陆时间信息包括示出测量着陆时间的信息、作为发送源的 建筑结构方终端110M的终端标识ID、和已经确认登上飞机的登记人 员的标识ID。
验证系统服务器10B —旦接收到这个着陆时间信息，就根据它自 身中的起飞时间信息，判断登记人员的存在连续性、和起飞着陆时间 信息的发送源终端是否是相同标识ID等(步骤S678)，然后将识别 出信息连续性的回答信息发送到从现在开始变成管理开始基本点的聚 集方终端150G (步骤S679 )。
此后，聚集方终端150G管理的单元变成起点，并且进行登记人 员的验证处理等。
因此，在本实施例中，安装在移动工具的单元中的终端测量从移 动工具移动的开始间隔和结束间隔到到达目的地实际花费的时间，于 是，可以获得精确的移动所需时间。
并且，当通过个人信息的验证证明登记人员存在于这个移动工具 之中时，即使在移动工具的单元的外部输入登记人员的个人信息，那 么，停止或限制当前验证系统的使用，从而可以防止第三方假冒。
并且，在登记人员处在移动工具中的情况下，如果移动工具的目 的地在移动期间从安装在移动工具中的终端改变成其它终端和服务 器，发送请求改变存储在终端和服务器中的移动相关信息中的目的地 信息的信息。
对于每个终端，即使未安排意思是在登记人员有所动作时发出警 告的警告，也可以像上述那样发送改变请求，于是，可以防止发出不 必要的警告。
例如，现在假设飞机从Haneda机场起飞之后，由于天气原因， 目的地从Fukuoka机场改变成Nagasaki机场。此刻，安装在飞机中 的建筑结构方终端110M识别出基于飞机空勤人员的密钥输入等的改 变(步骤S680)，并且将示出移动目的地从由Fukuoka机场的聚集方 终端150G管理的单元改变成管理Nagasaki机场的Nagasaki机场的 聚集方终端150M的信息发送到有关终端(步骤S681)。
因此，在目的地发生改变的情况下，移动工具中的终端在移动期 间发送请求改变移动相关信息的信息，并且将新移动相关信息发送到 作为改变之后的目的地的终端，于是，即使在登记人员的动作安排突 然改变的情况下，也可以使登记人员个人不费力地流畅进行个人验证。
在如上所述的实施例中，终端从乘客门等的打开和关闭时间中检
测移动实际所需时间，同时，利用事先存储在终端中的安排数据，可 以计算出移动工具的移动所需时间。
<第32实施例> (信息移动10:数据采集l)
在下文中，在本实施例中，从登记人员的过去移动历史中预测登
记人员的移动路线，并且将预测移动路线作为采集信息发送到各自相 关终端。图84是示出本发明的第32实施例中，从登记人员个人的历史信 息中提取使用终端状况和计算预期路线的动作例子的顺序图。例如，在通勤的情况中，上车的车站和下车的车站每天都是相同 的，并且，使用的检票口也大致相同。并且，在通勤中，检票机和火 车或汽车的位置也是不易察觉地大致固定的。而且，在利用交通机构回家和商务旅行的情况下，大致的路线也 是固定的。此外，不必说，相同的人不可能在同一时间处在不同地点。因此，在本实施例中，验证系统根据登记人员的累积过去历史信 息将登记人员的动作模式化，并且创建为每个登记人员个人定制的预 期移动路线作为采集信息。验证系统分析登记人员输入个人信息的间隔、输入终端的标识 ID、使用次数、登记人员的交通机构预订状况、和输入个人信息的用 途(开门和关门等)等，并且计算预期移动路线。并且，验证系统的终端和服务器可以存储这个创建的预期移动路 线信息，或可以作好将已经存在于它们自身的个人文件夹中的各种各 样数据库的一部分识别成采集信息的准备。图85是作为一个例子示出过去的三个月的星期一早晨登记人员 使用的单元的聚集方终端的使用次序(第1_>..._>最后单元)的图形。在本实施例中，验证系统服务器IOA提取某个间隔内(星期一早 晨)登记人员使用的单元的使用次序(使用模式)，并且按使用模式 的频率次序重新排列它们和将它们存储到基本信息数据库14A中。这里，将一天划分成上午和下午，并且存储管理动作开始单元(第 一单元)的聚集方终端150的终端标识ID、管理路线单元(第二、第 三单元)的聚集方终端150的终端标识ID、和管理目的地单元(最后 单元)的聚集方终端150的终端标识ID。首先，验证系统服务器IOA在创建预期移动路线信息时，设置确
定提取变成基础的历史信息的间隔的条件、和提取历史信息的目标终端(步骤S801)。接着，验证系统服务器IOA根据加入存储在它自身中的历史信息 中的终端的终端标识ID，向管理标识ID的终端的聚集方终端150， 和如果加入的终端标识ID是聚集方终端150，向聚集方终端发送判决 条件，并且发出进行历史信息的提取处理的指令(步骤S802)。每个聚集方终端150 —旦从验证系统服务器IOA接收到提取处理 的指令信息，根据加入存储在它自身中的历史信息中的终端的终端标 识ID，提取必要信息(步骤S803到S805 )。此刻，每个聚集方终端150不需要对所有历史信息进行提取处理， 提取对象只局限还没有作为备份信息从每个聚集方终端150发送到验 证系统服务器10A的历史信息。每个聚集方终端150在完成了提取处理之后，将提取处理的结果 信息发送到验证系统服务器10A (步骤S806)。验证系统服务器10A暂时存储从每个聚集方终端150接收的信息 (步骤S807 )，并且对存储在它自身和外部机构服务器300中的历史 信息进行与上迷相同的提取处理(步骤S808)。接着，当登记人员执行指定动作时，验证系统服务器IOA根据这 些提取的历史信息，分析像动作开始时间和动作开始地点等那样的项 目(步骤S809 )。同时，动作模式因登记人员个人而异，并且可以使变成分析对象 的动作的内容在每天去指定地点的人与去不同相关地点的另一个人之 间是不同的。在图85中的例子中，验证系统服务器IOA按"在某个时间(某星 期的某天)内从哪个终端转移到哪个终端，，的提取条件、和它的使用频 率通过相关终端提取预期移动路线信息(采集信息)(步骤S810)。 其结果是，可以预测如下所述的模式连接和点连接。 这种模式连接是存在预期接着通过某个终端连接的多个终端的 情况。在图85中的例子中，在通过第一单元的聚集方终端150A的情
况下，存在预期接着在第二单元中的两个聚集方终端，即，聚集方终端150E和聚集方终端150G。另一方面，点连接是只有一个预期接着通过某个终端连接的终端 的情况。在图83中的例子中，在通过第三单元的聚集方终端150K的 情况下，只存在预期接着在第四单元中的聚集方终端150P。同时，第17实施例中的连接目的地是为登记和验证登记人员的 个人信息、暂时存储数据等而安装的终端。另一方面，在本实施例中 定义的连接目的地是作为移动相关信息的发送目的地的终端。验证系统服务器10A将分析和创建的预期移动路线信息存储到 它自身的指定地点中(步骤S811)。此后，验证系统服务器10A将创建的釆集信息发送到每个聚集方 终端150 (步骤S812)。每个聚集方终端150—旦接收到釆集信息，就将接收的采集信息 存储到它自身的指定地点中(步骤S813到S815)，并且，此后将这 个采集信息用在包括创建移动信息和发送移动相关信息等的各种各样 过程中。同时，在本实施例中，采集工作的频率是可选的，但是，优选地， 在像一个星期或一个月那样的短指定间隔内分析和回顾采集工作使与 过去采集信息的比较和分析变得容易，并且可以应付个人的动作模式 的变化。安装在本实施例中的每个终端存储这个釆集信息，于是，可以设 置示出登记人员的未来动作安排的使用可能性信息的发送目的地。其 结果是，每个终端可以作好在验证处理等时发送移动相关信息的准备， 也就是说，可以在终端当中一起工作，并且可以流畅地促进验证系统 中个人信息的使用单元的转移。并且，由于登记人员的历史信息被转换成动作模式信息，当将历 史信息重新输入验证系统中时，可以将它与这个动作模式信息比较。作为比较结果，当终端和服务器判断新输入历史信息与传统动作 模式信息失配时，认为"输入个人信息的人不是登记人员个人，，，并且 停止和限制当前验证系统的使用，向相关人员发出警告信息，从而提 高登记人员个人生活的安全性。<第33实施例> (信息移动ll:数据采集2)在本实施例中，从采集信息中推测登记人员将去的移动目的地， 并且向安装在移动目的地中的终端发出为各种过程作好准备的指令， 从而使处理变得高效。在本实施例中，将说明登记人员个人在某节假日下午从他的家里 来到超市购物的各种动作。图86是示出登记人员的住宅和超市周围构成验证系统的终端和 服务器的安装例子的图形。在本图中，登记人员从家里到超市的时候移动相关信息的移动路 线用实线示出。图87是示出本发明的第33实施例中，从登记人员个人的采集信 息中预测动作模式和发送移动相关信息的动作例子的顺序图。首先，当登记人员个人从家里出去时，登记人员使最终方终端 160B读取他自己的生物测定信息(步骤S821),并且，最终方终端 160B将读取的生物测定信息和移动信息发送到建筑结构方终端110A (步骤S822 )。建筑结构方终端110A核对包括在这些信息中的个人信息等(步 骤S823)。其结果是，当识别出登记人员存在时，建筑结构方终端110A识 别出登记人员已经从家里出来(步骤S824 )，并且将停止登记人员从 最终方终端160B使用验证系统的信息发送到最终方终端160B (步骤 S825)。并且，建筑结构方终端110A根据接收的验证结果，创建移动开 始信息，并且将它发送到聚集方终端150D (步骤S826)。聚集方终端150D —旦接收到移动开始信息，识别出登记人员使 用的单元的转移已经开始(步骤S827)，比较和核对接收的移动开始
信息和存储在它自身中的采集信息，并且从包括在采集信息中的登记人员的动作模式信息中提取最频繁的那一个(步骤S828)。这里，作为一个例子，从某星期的某天与动作开始的时区之间的 关系中提取登记人员出去购物时的动作模式。接着，在验证系统中，聚集方终端150D识别出登记人员使用的 单元的转移已经开始，并且，为了使每个终端在未来容易连续地进行 移动相关信息的识别，将移动开始信息发送到作为聚集方终端150D 的上层终端的验证系统服务器10A (步骤S829)。验证系统服务器10A —旦接收到移动开始信息，就识别出登记人 员使用的单元的转移已经开始(步骤S830)。另一方面，聚集方终端150D根据与采集信息的比较结果，将移 动前通知信息发送到登记人员可能输入个人信息的可能性很大、作为 超市的建筑结构方终端110U的上层终端的聚集方终端150B (步骤 S831)。聚集方终端150B —旦接收到移动前通知信息，从它自身数据库 中提取登记人员的个人信息，为登记人员将来输入个人信息作好准备 (步骤S832 )。通过以这种方式将个人存在性验证和移动相关信息与采集信息 合并，达到如下两种效果。首先，在通过采集的预测单元或终端中，预测移动到它自身单元 的登记人员个人和事先作好准备，于是，可以使此后的系统处理变得 有效。其次，可以事先将移动开始信息传送到覆盖大范围的最上层终 端，即，验证系统服务器IOA，为登记人员个人移动到除通过采集预 期的地点之外的其它地点作准备。然后，读取了登记人员个人的个人信息的终端由相关终端的上层 终端针对前一个移动开始信息依次搜索，并且，不可避免地，对读取 终端的最上层验证系统服务器进行搜索。其结果是，只有最上层验证 系统服务器才可以进行相互搜索和参考，以便交换移动相关信息，并
且，可以将处理移动相关信息的终端限制到最少程度。于是，可以减 轻整个系统的负担。<第34实施例> (信息移动12:数据采集3)在本实施例中，将说明登记人员采取像在节假日晚上突然从家里 出去散步那样，除在验证系统中事先指定的动作模式之外的其它动作、 和不能指定接着输入个人信息的终端的各种动作。图88是示出登记人员的住宅周围构成验证系统的终端和服务器 的安装例子的图形。在本图中，登记人员突然采取除动作模式之外的其它动作的时候 移动相关信息的移动路线用实线示出。图89是示出本发明的第34实施例中，从登记人员个人的采集信 息中不能预测动作模式时，将移动相关信息发送到系统内部的动作例 子的顺序图。首先，当登记人员个人从家里出去时，登记人员使最终方终端 160B读取他自己的生物测定信息(步骤S841)，并且，最终方终端 160B将读取的生物测定信息和移动信息发送到建筑结构方终端110A (步骤S842 )。建筑结构方终端110A核对包括在这些信息中的个人信息等(步 骤S843 )。其结果是，当识別出登记人员存在时，建筑结构方终端110A识 别出登记人员已经从家里出来(步骤S844 )，并且建筑结构方终端110A 通过验证结果创建移动开始信息，将它发送到聚集方终端150D (步骤 S845)。聚集方终端150D —旦接收到移动开始信息，识别出登记人员使 用的单元的转移已经开始(步骤S846)，比较和核对接收的移动开始 信息和存储在它自身中的采集信息，并且从包括在采集信息中的登记 人员的动作模式信息中提取最频繁的那一个(步骤S847)。同时，这里，从某星期的某天与动作开始的时区之间的关系中提 取不存在相应模式信息的信息。当不存在相应模式信息或点信息时，首先，选择与安装其自身的地点相邻的聚集方终端150，其次，选择用在其它时区中的相邻聚集 方终端150。接着，在验证系统中，聚集方终端150D识别出登记人员使用的 单元的转移已经开始，并且，为了使每个终端在未来容易连续地进行 移动相关信息的识别，将移动开始信息发送到作为聚集方终端150D 的上层终端的验证系统服务器10A (步骤S848)。验证系统服务器10A —旦接收到移动开始信息，就识别出登记人 员使用的单元的转移已经开始(步骤S849)。另 一方面，由于未指定登记人员接着可能输入个人信息的可能性 很大的聚集方终端150，聚集方终端150D将移动前通知信息发送到与 安装聚集方终端150D的地点相邻的聚集方终端150E和150F，或存 在于登记人员在其它时区中的动作模式下的相邻聚集方终端150A、 150B和150C (步骤S850 )。下文统称为聚集方终端150ABCEF的聚集方终端150A、 150B、 150C、 150E和150F—旦接收到移动前通知信息，从它自身数据库中 提取登记人员的个人信息，为登记人员将来输入个人信息作好准备(步 骤S851)。在聚集方终端150ABCEF当中，输入登记人员的个人信息的聚集 方终端将移动停止信息发送到验证系统服务器10A (步骤S851到5853) 。验证系统服务器10A —旦接收到移动停止信息，就根据接收的移 动停止信息，判断登记人员的存在性和移动信息的连续性(步骤5854) 。验证系统服务器10A将允许像开锁等那样的指定动作的许可信 息发送到新输入个人信息的聚集方终端150 (步骤S855)。并且，验证系统服务器10A将其它单元移动完成信息发送到聚集 方终端150D (步骤S856)。
聚集方终端150D —旦从验证系统服务器IOA接收到其它单元移 动完成信息，就删除它自身中的移动开始信息，并且将其它单元移动 完成信息发送到在步骤S850中发送移动前通知信息的聚集方终端150 (除了采取步骤S851到S853的动作的聚集方终端150之外)(步骤 S857)。从而，不存在来自聚集方终端150D的信息，和可以形成使确认 新个人存在性的聚集方终端150成为起点的结构。其结果是，不需要将移动开始信息发送到验证系统中的所有终 端，并且与在某种程度上指定的终端交换信息。当与登记人员个人当 前所在的地点存在距离，或与未输入登记人员的个人信息的终端存在 距离时，不发送信息。例如，在当前网状无线电信息系统中，将信息发送到存在于无线 电区域中、和具有接收无线电的功能的所有终端，其结果是，信息泄 漏的风险很高，和整个系统的负担变得很大。而另一方面，在根据本实施例的验证系统中，终端受到限制，因 此，信息泄漏的风险很低，并且可以减轻系统负担。并且，验证系统中的子服务器和聚集方终端150可以分析每个登 记人员的动作模式，并且在连续进行个人信息输入的情况下，设置终 端之间的互联，从而使验证系统中的信息传送变得流畅。<第35实施例> (信息移动3)图90是示出本发明的第35实施例中在工作地点存在个人存在性 信息的动作例子的顺序图。这里，将对个人到达工作地点建筑物那个 时刻的图像加以说明。在本实施例中，示出了登记人员个人请求个人验证，以便从工作 地点建筑物的入口进入建筑物去往工作地点，但已经有人称自己是登 记人员个人和已经进入建筑物的情况。首先，登记人员个人触摸安装在工作地点建筑物入口的最终方终 端160B (步骤S861)，并且，最终方终端160B将读取的生物测定信 息和移动信息发送到建筑结构方终端110B (步骤S862 ).建筑结构方终端110B比较和核对存储在它自身中的信息和接收 的信息(步骤S863 )，执行登记人员存在性的确认过程(步骤S864 )， 并且将此时新接收的信息当中的必要信息(像读取个人信息的登记人 员的个人标识ID、读取间隔、读取终端的终端标识ID等那样的历史 信息)存储到它自身中。并且，建筑结构方终端110B确认移动停止信息是否存储在工作 地点的建筑结构的单元中。其结果是，当移动停止信息存在于建筑结构方终端110B管理的 单元之中时，建筑结构方终端110B判断不能认可从最终方终端160B 接收的信息的合法性(步骤S865)。因此，当识别出相同人员存在于不同地点之中时，当在这种情况 下已经到达工作地点建筑物入口的人员是登记人员本身时，存在其它 人员正在工作地点假冒的可能性。因此，当建筑结构方终端110B判断不能认可从最终方终端160B 接收的移动信息的合法性时，它创建"系统使用停止信息"，作为示出 异常状况的信息，并且将创建的信息发送到建筑结构方终端110B管 理的单元中的所有终端(步骤S866)。而且，此刻，建筑结构方终端100B最好也将信息发送到聚集方 终端150和验证系统服务器10，以便保持整个验证系统的安全性。此外，在像将建筑结构方终端110B安装在，例如，与所有未授 权人员接近的地点，或执行与个人金融资产有关的过程的终端那样非 常重要的情况下，可以将示出异常状况的信息发送到登记人员个人预 置的地点，或可以与向警察局发送消息的系统合并。每个终端一旦接收到这个"系统使用停止信息"，停止登记人员个 人或假冒登记人员个人的人员使用本验证系统(步骤S867)。此后，建筑结构方终端110B将提示登记人员再次输入个人信息 的信息发送到最终方终端160B和提示它(步骤S868, S869)。建筑结构方终端110B参考重新证实登记人员存在性的结果，并
且证实存在于单元之中的信息、和最终方终端160B此时读取的信息 的哪一个是示出真正个人存在性的信息，然后通过生物测定信息恢复 使用本验证系统。在本实施例中，在人在单元内部移动的情况下，在在单元内部已 经存在相关人员的存在性信息的情况下，停止信息传送和系统使用。本质上，相同人员不可能同时在二个或更多个地点。甚至在登记人员和登记人员的个人信息分离，和被盗用和滥用等 的情况下，本验证系统也可以容易地掌握这样的异常状况，并且发出 警告等，于是，可以弥补这样的信息特有的弱点。<第36实施例> (信息移动4)在下文的本实施例中，将说明登记人员是百货公司中的顾客、售 货员或警卫，和在百货公司的建筑物内移动的情况。图91是示出百货公司中构成验证系统的终端和服务器的安装例 子的图形。在本图中的例子中，在这个百货公司中存在租屋C和D。如图所示，将每个最终方终端160B安装在这个百货公司的建筑 物的入口/出口 。并且，将最终方终端160C安装在租屋C的入口/出口 ， 和将建筑结构方终端110C和聚集方终端150C安装在租屋中。同样地， 将最终方终端160D安装在租屋D的入口/出口 ，和将建筑结构方终端 110D和聚集方终端150D安装在租屋中。而且，将最终方终端160E 安装在电梯的登梯门(入口/出口 )，和将最终方终端160F安装在封 闭区的入口/出口。此外，建筑结构方终端110B管理这一层(百货乂> 司建筑物的第一层)，和建筑结构方终端110A和聚集方终端150A管 理整个百货公司建筑物。并且，图92是示出本实施例中安装在这个百货公司中的终端之 间的网络的连接例子的图形。本图中的实线和虛线示出连接终端的网络，其间，实线示出在如 下所述的验证处理的时刻发送和接收信息的路线。 图93是示出本发明的第36实施例中，当登记人员个人存在于建 筑物之中时，可以确认存在性的系统的动作例子的顺序图。首先，当登记人员个人进入建筑物时，登记人员使最终方终端 160B读取生物测定信息(步驟S871)，并且，最终方终端160B将生 物测定信息和移动信息发送到管理整个建筑物的建筑结构方终端 110A (步骤S872)。建筑结构方终端110A—旦接收到那些信息，就进行登记人员的 存在性验证和移动相关信息的连续性确认等(步骤S873)。其结果是，当建筑结构方终端110A可以确认登记人员的存在性 等时，它从接收信息中提取那些信息的读取间隔和读取终端的标识 ID，利用这个提取信息创建示出登记人员的当前位置的当前位置显示 文件，并且将它显示在屏幕上(步骤S874)。图94是示出当前位置显示文件的显示例子的图形。在本图中的例子中，关于登记人员在哪个间隔处在哪个地点，在 文本信息中示出了确认登记人员的个人信息的最终方终端160的标识 ID和安装地点(建筑物名称、区域)、和读取时间。并且，图95是示出当前位置显示文件的另一个显示例子的图形。在本图中的例子中，关于登记人员在哪个间隔处在哪个地点，在 建筑物和区域的地图信息上示出了可视信息。在本图中，用星形标记示出登记人员的当前位置。并且，与示出 登记人员的当前位置的信息一起，可以示出登记人员的个人标识ID和 姓名、和个人信息的输入间隔。而且，甚至在登记人员随电梯E移动，以便从建筑结构入口移动 到租屋D、租屋C、直到其它楼层的情况下，建筑结构方终端110A 以相同方式显示当前位置(步骤S875到S886 )。同时，最终方终端160可以进一步安装，例如，在租屋D和租屋 C之间的走廊中、在租屋C和电梯E之间的走廊中等，于是，可以更 详细地掌握登记人员的当前位置。如上所述，当利用确认存在性的终端的安装位置信息识别出单元 中的存在性时，可以显示登记人员当前存在的单元和地点。使这个存 在位置信息变成数字信息，因此，可以按时序确认表上的存在地点， 和像列表那样浏览所有相关人员的位置。而且，可以用使登记人员个人的存在地点位于二维地图或三维地 图上的方法、或示出建筑状况的四维信息显示。例如，在百货公司分成多个卖场的情况下，使各个卖场成为分单 元和使整个百货公司成为基本单元，当雇员移动时，通过使终端读取 个人信息，可以容易地相互掌握雇员的当前位置。通过这个系统，在公司或学校的情况下，可以掌握指定人员的存 在地点确认和活动状况等，并且，在商业用房的情况下，可以掌握顾 客集中在指定区域或商店的集中状况、顾客流动、可疑个人的提取、 丟失孩子的搜索和救助和其它状况。并且，在紧急情况下，可以指定存在于紧急发生地点的人员，和 可以用在社会的每个阶层中。在本系统中，将空间信息与终端的安装位置信息联系，于是，可 以容易地识别登记人员的三维位置。并且，将终端安装在各自房间中，从而可以容易地区分存在地点，因此，可以弥补有可能出现在传统GPS 系统等中的测量误差的弱点。而且，在现有技术中，存在将无线电系统、IC标签和各种各样传 感器安装在建筑物中，个人起便携式终端的作用和确认他的存在位置 的技术。在这种技术中，尽管空间信息的弱点得到弥补，但在身上或 在身体附近带着便携式终端，总是监视存在地点、和存在可能的可能 性并且很可能侵犯了隐私。例如，在现有技术中，即使百货公司的雇员到盥洗室去，也存在 可能没有得到他本身的同意就获取动作历史的危险。同样地，在顾客的情况下，无意识地没有得到他本身的同意就获 取访问地点和卖场路线的记录，和顾客感兴趣的产品和服务被第三方 掌握。在本验证系统中，登记人员按他自已的意愿使最终方终端160读
取生物测定信息，因此，可以避免这样的隐私侵犯。因此，本通信设备可以用于与，例如，利用各种传统技术，在基 站读取蜂窝式电话的无线电波、在大街上利用摄像机操作脸部识别系统、和与个人意愿无关地识别人的存在性的监视社会状况清楚地区分 开。除非个人未在个人到达的单元的任何终端中、未自我负责地或未 自我判断地使用个人信息，有关在这些地点上的动作，个人意愿将得 到尊重，和隐私将得到保护。<第37实施例>(信息移动15:登记人员导航过程l)在下文中，在下文的本实施例中，执行登记人员从当前位置移动 到建筑物中的目的地时，验证系统将登记人员导航到他的目的地的过 程。图96是示出本实施例中，百货公司中构成验证系统的终端和服 务器的安装例子的图形。在本图中的例子中，在这个百货公司中存在租屋C和D。如图所示，将每个最终方终端160B安装在这个百货公司的建筑 物的入口/出口 。并且，将最终方终端160C安装在租屋C的入口/出口 ， 和将建筑结构方终端110C和聚集方终端150C安装在租屋中。同样地， 将最终方终端160D安装在租屋D的入口/出口 ，和将建筑结构方终端 110D和聚集方终端150D安装在租屋中。而且，将最终方终端160E 安装在电梯的登梯门(入口/出口 )，和将最终方终端160F安装在封 闭区的入口/出口。此外，建筑结构方终端110B管理这一层(百货公 司建筑物的第一层)，和建筑结构方终端IIOA和聚集方终端150A管 理整个百货公司建筑物。并且，在这一层的路线上，安装着最终方终端(导航器)160W1 和W13。最终方终端160W1和W13具有通过屏幕显示、灯光照明、 音频输出等将登记人员导航到他的目的地的功能。图97是示出本实施例中安装在这个百货公司中的终端之间的网 络的连接例子的图形。本图中的实线和虚线示出连接终端的网络，其间，实线示出在如下所述的导航(navi)动作时刻发送和接收信息的路线。图98是示出本发明的第37实施例中，当登记人员个人在建筑物中移动时，可以导航或确认移动地点的系统的动作例子的顺序图。但是，在本图中，认为直接与最终方终端160B连接的建筑结构方终端110B与最终方终端160B相同，并且未显示在该顺序图中。 并且，认为直接与最终方终端160W1到160W13连接的建筑结构方终端IIOW与最终方终端160W1到160W13相同，并且未显示在该顺序图中。首先，当登记人员个人进入建筑物时，登记人员使最终方终端 160B读取生物测定信息(步骤S卯1)，并且，最终方终端160B将生 物测定信息和移动信息发送到管理整个建筑物的建筑结构方终端 110A (步骤S902 )。建筑结构方终端110A—旦接收到那些信息，就进行登记人员的 存在性验证和移动相关信息的连续性确认等(步骤S903 )。其结果是，当建筑结构方终端110A可以将个人信息的输入操作 者确认为登记人员个人时，它从接收信息中提取信息的读取间隔和读 取终端的标识ID,利用这个提取信息创建示出登记人员的当前位置的 当前位置显示文件，并且将它显示在屏幕上(步骤S904)。此后，建筑结构方终端110A将示出已经确认登记人员个人的存 在性或实体的信息发送到最终方终端160B (步骤S905)。最终方终端160B —旦接收到示出已经确认登记人员个人的存在 性或实体的信息，就显示那种效果。登记人员确认显示内容，并且利用最终方终端160B输入从现在 开始将访问建筑物内部的地点(步骤S906)。这里，将像液晶等那样 的触摸面板屏幕安装到最终方终端160B中，通过触摸显示在屏幕上 的名称，可以选择所需目的地。同时，事先将相互联系租屋名和要显 示在屏幕上的名称、和清楚判断安装地点的终端标识ID的表格存储到
最终方终端160B中。这里，当登记人员在屏幕上选择"租屋C入口"时，与存在于验证 系统内部一样，选择安装在租屋C的入口的最终方终端160C的信息。当输入目的地信息(租屋C入口)时，最终方终端160B识别出 登记人员正开始他的移动，并且创建与登记人员有关的移动开始信息 和移动前通知信息，其间，它将安装在目的地(租屋C入口 )的最终 方终端160C的终端标识ID与移动开始信息相联系，并且将它发送到 建筑结构方终端110A (步骤S907 )。建筑结构方终端110A识别从最终方终端160B接收的移动开始信 息和终端标识ID的内容(步骤S908 )，参考最终方终端160B和160C 的安装位置，并且计算最佳移动路线(步骤S卯9)。最佳移动路线是在考虑了此时移动的登记人员的状况和建筑物 的状况之后计算的。例如， 一般说来，制定最短路线作为移动路线，但是，在移动人 员是老年人的情况下，可以选择有点迂回，但没有什么凸起，并且可 以使用电梯等的路线。建筑结构方终端110A在计算了路线之后，将示出navi开始和 navi方法的信息发送到最终方终端160B (步骤S910 )。这种navi方法是在考虑了此时移动的登记人员的状况和建筑物 的状况之后确定的。例如，在移动人员是盲人的情况下，进行音频导 航，和在移动人员是聋人的情况下，进行可视导航。并且，建筑结构方终端110A向最终方终端160W1到160W6发 送它们的操作次序、显示时间、操作方法等的的navi系统操作信息(步 骤S911)。最终方终端160W1到160W6根据接收的navi系统操作信息，为 进行navi显示作好准备(步骤S912 )。最终方终端160B向登记人员个人显示和通知从建筑结构方终端 IIOA接收的navi方法。确认了 navi方法的登记人员个人将确认信息 输入最终方终端160B中(步骤S913 )。
最终方终端160B通过这个输入动作识别出登记人员已经开始他 的动作，并且将上面创建的移动前通知信息发送到目的地附近的最终 方终端160C (步骤S914 )。最终方终端160C —旦接收到这个移动前 通知信息，就从它自身的数据库中提取相应登记人员的个人信息等， 并且为登记人员的移动作好准备(步骤S915)。此后，最终方终端160W1到160W6通过音频、文本、图^^等将 navi信息提供给登记人员(步骤S916 )。这里，将说明最终方终端160W1到160W6使用的navi方法的具 体例子。在将最终方终端160W1到160W6安装在建筑物的楼层上，和将 像发光二极管和电灯泡那样的可视信息发送设备安装在终端中的情况 下，登记人员沿着依次点亮的navi终端，引向目的地(租屋C)(下 文称这种方法为navi灯光)。并且，最终方终端160W1到160W6可以才艮据此时移动的登记人 员的状况，将发光二极管点亮的速度从健康人行走的速度改变成老年 人行走的速度。而且，存在多个人同时使用navi灯光的情况，在这种情况下，建 筑结构方终端110A可以指令最终方终端160W1到160W6分别以特 有颜色发光或显示。此外，当路线复杂时，在发光二极管照不到登记人员的情况下， 登记人员可以使那个时刻在他附近的最终方终端160读取个人信息， 并且可以再次设置和显示读取终端和目的地之间的路线。况且，在本实施例中，个人信息可以随着登记人员个人的移动只 用在登记人员个人的存在地点上。首先，在登记人员被最终方终端160B识别出来之前，个人信息 只用在聚集方终端150A管理的单元的外部。接着，当最终方终端160B显示出navi信息，和登记人员开始他 的移动时，个人信息只用在连接最终方终端160B和最终方终端160C 的建筑物或大厅的走廊中。
当在最终方终端160C上识别出最后目的地时，个体信息只用在 管理租屋C的聚集方终端150C管理的单元中。因此，使用的单元随着登记人员个人的动作转移，于是，可以防 止其它人假冒。<第38实施例>(信息移动16:登记人员导航过程2 )在下文中，补充说明第37实施例对登记人员的一部分移动路线 导航动作。同时，假设在验证系统中已经识别出登记人员个人的移动路线， 和登记人员处在他移动的道路中。图99是示出说明对这个登记人员的移动路线导航动作的验证系 统的终端的安装例子的图形。在本图中的例子中，安装了管理整个建筑物的聚集方终端150， 在它的管理下，安装了管理建筑物的特定区域的最终方终端160的建 筑结构方终端110A和IIOC。并且，安装了建筑结构方终端110A管 理的最终方终端160A和160B、和建筑结构方终端110C管理的最终 方终端160C和160D。其间，最终方终端160A和160D具有像感测登记人员走近、和 读取个人信息(可用于脸部识别)的传感器那样的功能。并且，最终 方终端160B和160C具有通过音频导航登记人员使它沿着移动路线的 功能。并且，图IOO是示出本实施例中，安装在本建筑物中的终端的网 络的安装例子的图形。本图中的实线和虛线示出连接终端的网络，其间，实线示出在如 下所述的导航(navi)动作的时刻发送和接收信息的路线。图101是示出本发明的第38实施例中，当登记人员个人在建筑 物中移动时，可以导航或确认移动地点的系统的动作例子的顺序图。聚集方终端150 —旦识别出从登记人员最后输入个人信息的最终 方终端160接收的移动开始信息(步骤S921)，从包括在移动开始信
息中、发送源和目的地附近的终端的终端标识ID中计算路线，并且识 别路线上最终方终端160的安装地点(步骤S923 )。聚集方终端150将计算的移动前通知信息发送到建筑结构方终端 110A(步骤S924)。这个移动前通知信息包括登记人员的预期移动路 线上，在建筑结构方终端110A的单元之后接着转移到的单元(在本 实施例中，最终方终端160C的单元)中的终端的信息。建筑结构方终端IIOA从移动前通知信息中提取个人信息，并且 为核对个人信息作准备(步骤S925 )。最终方终端160A在登记人员走出电梯的时刻读取生物测定信息 (这里，脸部信息)(步骤S926)，并且将生物测定信息和移动信息 发送到建筑结构方终端110A (步骤S927 )。建筑结构方终端IIA—旦接收到这些信息，就通过信息进行登记 人员的存在性核对(步骤S928),为登记人员从在它自身管理的空间 移动到下一个空间创造最合适词汇(步骤S929)，将它发送到最终方 终端160B (步骤S930 ),并且通过最终方终端160B发送音频导航信 息(步骤S931)。在本实施例中，发出内容是"从电梯出来以后，一 起往前走"的通知。而且，建筑结构方终端110A将移动开始信息发送到管理接着读 取生物测定信息(这里，脸部信息)的终端的建筑结构方终端IIOC(步 骤S932)。此后，随着登记人员个人移动，在建筑结构方终端110C中也执 行相同的过程(步骤S933到S939 )。目前，由于糖尿病和青光眼等，大约40万人得了眼病。随着社 会老龄化和成人疾病不断增加，这个数字将来还会增大。在许多情况 下，年轻时得了眼病和在护理学校等中经过专门训练的那些人可以容 易地使用"凸起字母"和"Braille盲字块"，但年老之后得了眼病的那些 人似乎难以学习它们。在将最终方终端安装在建筑物的入口/出口、电梯的入口/出口、 电梯按钮、房门等上的情况下，如果在本验证系统中识别出登记人员
存在眼病，容易从系统操作中提供必要的移动支持信息。例如，在电梯的情况下，将最终方终端安装在输入要离开的楼层的按钮上，当按下按钮时，终端从按下按钮的人的指紋等中识别出该人的状况，如果需要支持，可以将移动前通知信息发送到该人离开的楼层的各个终端。由于在本验证系统中识别或计算的移动路线信息是数字信息，可以容易地根据接收信息的设备改变它。因此，可以将数字导航信息转换成可以使用听觉的音频广播、可以使用视觉的照明信号、和可以使用触觉的振动。在本验证系统中，可以在登记登记人员的存在性时登记各种个人 信息，于是，当登记人员存在某种肢体残疾时，可以将数字导航信息 转换成容易传送给处在这样状况下的登记人员的方法。目前考虑的移动支持技术用于应付特殊肢体残疾，但在本验证系 统中，也可以采取通用措施。并且，当人到达它的安装地点时，传统 移动支持技术首先执行一些必要过程，但在本验证系统中，通过使用 移动前通知信息，可以一次性地采取措施，并且可以达到流畅的移动 支持。<第39实施例>(信息移动17:电梯动作控制)在本实施例中，将补充说明第37实施例的一部分。传感器具有 从生物测定信息当中识别脸部验证系统的功能。移动的人是有眼病的 人，生活在公寓大楼的第5层。并且，对于验证系统的每个终端，存储着示出登记人员的动作历 史的采集信息。图102是示出本实施例中，公寓大楼中的验证系统的终端的安装 例子的图形。在本图中的例子中，在公寓大楼中的住所中，将最终方终端160A 和160B安装在房门把手的外部和内部，并且将管理这些终端的建筑 结构方终端110A安装在住所中。 并且，与最终方终端160C—起，将控制电梯动作的最终方终端 160D安装成与电梯的楼层指定和动作按钮相联系，而且，将管理这些 最终方终端160C和160D的建筑结构方终端110C安装在电梯中。图103是示出本实施例中，安装在这个公寓大楼中的终端的网络 的连接例子的图形。本图中的实线和虚线示出连接终端的网络，其间，实线示出在如 下所述的电梯动作控制的时刻发送和接收信息的路线。图104是示出本发明的第39实施例中，当登记人员个人在建筑 物中移动时，外围设备根据移动进行准备动作的系统的动作例子的顺 序图。首先，登记人员个人抓住住所房门的门把手当中安装在门内的门 把手，并且打开门把手出去。此刻，附在门把手上的最终方终端160B 读取生物测定信息(步骤S941)，并且将生物测定信息和移动信息发 送到建筑结构方终端110A (步骤S942 )。建筑结构方终端110A比较和核对存储在它自身中的信息和接收 的信息，进行登记人员存在性验证(步骤S943)，并且识别出登记人 员个人已经开始移动(步骤S944)。此后，建筑结构终端110A向聚集方终端150发送移动开始信息 (步骤S945 )。聚集方终端150在接收到移动开始信息之后，将移动开始信息发 送到聚集方终端150 (步骤S946)。在本实施例中，当登记人员从他的住所出来时，识别出登记人员 利用电梯从第5层下降到第1层。并且，聚集方终端150识别出登记人员已经开始移动(登记人员 使用的单元开始转移)(步骤S947)。接着，聚集方终端150通过采集信息等向管理电梯的建筑结构方 终端110C发送移动前通知信息、和示出移动开始信息的发送源(最 终方终端160B)的信息(步骤S948)。管理电梯的建筑结构方终端110C —旦从聚集方终端150接收到
那些信息，就识别出登记人员个人已经开始移动(登记人员使用的单元开始转移)(步骤S949)。在本实施例中，建筑结构方终端110C识别出登记人员从第5层 下降到第l层。接着，建筑结构方终端110C根据接收的移动前通知信息和移动 开始信息、发送源信息、和它自身安装的区域的空间信息，计算和估 计登记人员将来采取的路线和目的地(步骤S950)。同时，此刻，通 过住所和电梯门的现有平均操作时间信息、和从移动距离和平均行走 速度中计算的操作时间，可以预测到达电梯门前的时间。在预期登记人员个人已到达第5层电梯门口的时候，建筑结构方 终端110C向最终方终端160D发出指令，以便使电梯到达第5层(步 骤S951)。最终方终端160D根据来自建筑结构方终端110C的指令，控制 电梯的动作，以便在预测到达时间到达第5层(步骤S952 )。如前所述，当将登记人员的动作预测发送到控制像电梯等那样的 指定装置的最终方终端160时，最终方终端160在登记人员到达之前 操作电梯，于是，登记人员可以随着他自身的动作模式接受服务。例如，当验证系统识别出登记人员正回家时，可以使家里的空调 自动地开始工作，并且可以打开家里家外的电灯。而且，当验证系统 识别出登记人员正去往他的工作地点时，可以使像他的PC和复印机 等那样工作地点的设备开工作。因此，在本实施例中，操作支持登记人员使用的单元的转移的系 统，于是，可以使设备在登记人员的动作范围内流畅地进行动作准备， 并且自动地提供基于个人的功能。在传统普遍存在技术中，各个独立技术分散存在，但在本实施例 中，使这些技术变成服从于人的动作的一体化结构，并且，可以向登 记人员提供综合服务。<第40实施例>(信息移动18:初始访问时的弱点弥补) 在本验证系统中，当使用个人信息时，通过核对个人信息进行存 在性验证是不可缺少的。因此，登记人员个人事先将变成存在性验证 的基础的个人信息，例如，生物测定信息登记到相关终端和服务器等 中，并且将它与在使用系统时读取的信息比较和核对，从而进行存在 性验证。但是，在登记人员第一次访问的地点，原则上，不存在要比较和 核对的基本个人信息。在这样的情况下，像如下所述的本实施例那样，通过使用电子记 录媒体，通过网络连接存在基本个人信息的终端、和登记人员当前使 用的终端，从而弥补登记人员使用的单元的转移和移动相关信息的获 取。图105是示出本发明的第40实施例中，在登记人员第一次访问 的地点，保证信息连续性的系统的动作例子的顺序图。首先，登记人员利用最终方终端160等将他自己的个人信息等登 记到验证系统服务器10中。同时，这个登记动作与第1实施例中的相 同，因此，这里省略它的细节。验证系统服务器10 —旦接收到登记人员的个人信息等，显示接 收的内容，并且，这个服务器的管理机构检查个人信息等，和证实人 的存在性。当识别出登记人员存在时，这个验证系统服务器IO确定给 予登记人员的正式个人标识ID (步骤S961)。验证系统服务器10将这个确定个人标识ID发送到聚集方终端 150A (步骤S962 )。并且，验证系统服务器10将发放存储登记人员的个人信息和个 人标识ID等的导航电子记录媒体的指令信息发送到聚集方终端150A (步骤S963 )。这个导航电子记录媒体指的是像IC芯片和IC标签等那样的电子 记录媒体，并且，例如，这个导航电子记录媒体被安装在像IC卡、普 遍存在通信器和蜂窝式电话等那样的便携式信息设备中。聚集方终端150A将接收的个人标识ID等写入导航电子记录媒体
中，并且发放登记人员专有的导航电子记录媒体(步骤S964)。当完成了如验证系统服务器IO指令的过程时，聚集方终端150A 将它的完成通知发送到验证系统服务器IO (步骤S965)。图106是示出这个完成通知的内容例子的图形。如图所示，这个完成通告包括像便携式信息设备的名称、电子记 录媒体的类型、存储的日期和时间、过程操作者的姓名、过程地点等 那样的信息。将这个信息存储到验证系统服务器10中登记人员个人的 个人文件夹中(步骤S966)。对于导航电子记录媒体，只写入登记人员的个人标识ID、和管理 相关登记人员个人的主单元或子单元的最终方终端150的终端标识 ID。下文将这两个ID统称为记录媒体存储ID。为了防止个人信息泄漏，甚至个人姓名和地址等的基本信息也未 存储到导航电子记录媒体中。并且，为了防止个人信息被滥用，读取导航电子记录媒体的终端 可以只显示或通知记录媒体存储ID，和可以不显示或通知其它内容。即使导航电子记录媒体被窃取或丢失了 ，由于在导航电子记录媒 体的主体中只存在了登记人员个人的最少量个人信息，第三方根本不 能使用验证系统，因此，将信息泄漏的风险限制在最低程度上，并且 提高了安全效果。当登记人员在第 一次访问的地点使用还没有登记他自已的个人 信息的最终方终端160，并且需要个人存在性验证、和使用个人信息 等时，登记人员使用存储在便携式信息设备中的导航电子记录媒体。首先，登记人员个人使最终方终端160读取导航电子记录媒体中 的记录媒体存储ID (步骤S967)。最终方终端160从读取的记录媒体存储ID中确认聚集方终端 150A是登记人员的信息参考目的地(步骤S968 )。接着，最终方终端160读取登记人员个人的生物测定信息(步骤 S969)，并且将读取的生物测定信息和移动信息、和请求存在性验证 的信息发送到聚集方终端150A (步骤S970)。 聚集方终端150A—旦接收到生物测定信息，将接收的信息与它 自身中的个人信息核对和证实存在性，并且在系统中搜索相关个人的 移动相关信息和判断连续性(步骤S972)。其结果是，当聚集方终端150A判断登记人员的存在性和移动信 息的连续性得到满足时，将系统使用的许可信息发送到最终方终端160 (步骤S973)。最终方终端160接收从聚集方终端150A发送的许可信息(步骤5974) 。另 一方面，聚集方终端150A将登记人员个人当前存在的终端(这 里，最终方终端160)的终端标识ID发送到具有在搜索中判断的相关 个人的移动相关信息的终端(这里，建筑结构方终端110)(步骤5975) 。建筑结构方终端110 —旦接收到最终方终端160的终端标识ID， 就识别出登记人员已移到最终方终端160 (登记人员具有的终端已经 转移到最终方终端160)(步骤S976)，并且将移动开始信息发送到 最终方终端160 (步骤S977 )。最终方终端160 —旦接收到来自聚集方终端150A的许可信息、 和来自建筑结构方终端110的移动开始信息(步骤S978)，就判断出 登记人员已经得到确认，并且执行像开锁等那样向终端请求的过程(步 骤S979)。如上所述，读取存储在导航电子记录媒体中的记录媒体存储ID 的最终方终端160通过网络参考管理作为相关个人的中心信息累积地 点的相关个人的主单元的聚集方终端150。通过这种参考功能，可以比较和参考面前人员提供的个人信息， 并且提供了容易证实相同人员存在性的结构。同时，不用说，即使登记人员不依靠导航电子记录媒体，而是口 头或用文件告知个人标识ID和聚集方终端150的终端标识ID的信息， 也可以达到相同的效果。但是，在口头情况下，存在个人标识ID和终 端标识ID记错了或在输入时刻被第三方识别出信息的风险。在文件的
情况下，由于在称为"纸，，的"东西，，中描述信息，在管理文件的时候， 存在第三方易于识别出信息、和信息被传播的风险，因此，最好尽可 能多地使用导航电子记录媒体。并且，当使用本验证系统的移动相关信息时，登记人员使用的单 元在登记人员个人出现的时刻转移到当前位置的单元，于是，在必要 时，可以使用登记人员拥有的所有个人信息。例如，在登记人员第一次去购物和就餐的商店里，登记人员可以 进行个人存在性验证和使用电子货币支付，在第一次去医院身体检查 时，登记人员可以进行个人存在性验证，向第一次身体检查的医院出 示现有电子医疗记录信息，和通过银行汇票从银行帐户中支付身体检 查费用。通过这种系统，可以在一体化环境下操作个人的存在性、在社会 活动中使用个人信息的动作、电子货币、电子银行帐户、电子信用卡、 电子身份证件等，于是，可以提供流畅的信息管理和安全性。<第41实施例>(信息移动19:利用导航电子记录媒体的匿名交易) 在如下所示的实施例中，假设登记人员想保留像他自己姓名等那样的个人信息，出示他的个人标识ID，和通过最终方终端160使用服务(开锁、信息展示、电子货币使用、保险合同等)。可以使用本验证系统的个人事先进行到系统的登记，在登记的时刻，证实个人的存在性。并且，在本实施例中，将上述导航电子记录媒体用作补充工具。通过将这个导航电子记录媒体用在系统中，可以在保持匿名的同 时，接受提供的各种必要服务。假设在如下所述的动作流之前完成了利用导航电子记录媒体的 个人验证、和登记人员使用的单元的转移。并且，假设个人信息的公 开范围由登记人员个人决定，并且将公开范围加入验证系统中的各自 个人信息中。图107是示出本发明的第41实施例中，在登记人员个人匿名的 同时使用系统时的系统的动作例子的顺序图。首先，登记人员个人将匿名使用验证系统输入最终方终端160中 (步骤S1001)。最终方终端160检查设置在它自身中的用途(开锁、信息展示、 电子货币使用、保险合同等)，并且确定是否允许在匿名下使用。当允许在匿名下使用时，登记人员将他自身的个人标识ID、使用 内容和日期和时间的信息等登记到最终方终端160中(步骤S1002 )。此后，在登记人员的使用没有问题的情况下(步骤S1003，否)， 最终方终端160不识别登记人员个人的实名和地址等的个人信息。如 果经过了售后服务和投诉等的间隔，使用结束。同时，在存在从登记人员个人方到最终方终端160方的投诉或请 求的情况下，通过向最终方终端160方出示在步骤S1001中登记的个 人标识ID，可以证明使用验证系统的人员的身份。另一方面，在登记人员在使用时实施了未授权动作和引起问题的 情况下(步骤S1003，是)，最终方终端160将指定登记人员个人的 搜索请求发送到安装在警察局等中的机构方终端120 (步骤S1004)。机构方终端120—旦接收到搜索请求，在作出示出认可警察局方 的输入之后，根据搜索请求内容创建示出搜索许可证的内容的搜索许 可证信息(步骤S1005)。机构方终端120向验证系统服务器IO发送这个搜索许可证信息、 和请求向这个服务器的管理机构方公开相应登记人员的个人信息的信 息(步骤S1006 )。这个服务器的管理机构方一旦通过验证系统服务器10接收到这 些信息，确认这是基于像搜索许可证那样的法律基础的公开请求。在确认之后，验证系统服务器10从登记人员个人的登记信息中 提取搜索所需的部分(姓名、性别、出生日期、地址、工作地点等) (步骤S1007)，并且将它们发送到警察局中的机构方终端120 (步骤 S1008) o机构方终端120—旦接收到登记信息，就根据信息内容的属性、
和搜索许可证的内容，判断各个项目是否适合信息公布(步骤S1009 )。此刻，警察局方在机构方终端120的屏幕上显示登记信息，确认 显示内容和判断信息公布是否正确，并且可以将每项的正确和错误输 入机构方终端120中。机构方终端120将以上述方式确定的信息的公开范围的信息发送 到最终方终端160 (步骤S1010 )。最终方终端160—旦接收到适用公布的登记人员的个人信息，就 显示接收的信息(步骤SlOll)。此后，警察局和最终方终端160方搜索进行了非法过程或交易的 登记人员和进行法律诉讼的程序。如上所述，在本验证系统中，登记人员是在登记的时刻证实存在 性的，并且通过使用移动相关信息保证存在的连续性。于是，如果使 用分配给登记人员个人的个人标识ID，和在存在性验证之后进行交 易，像实名交易或出示个人信息那样的动作是不必要的。如果出现了问题，对于作为个人标识ID的对象的个人信息，可 以从验证系统中的个人信息中提取必要信息，并且，甚至可以掌握当 前个人标识ID的对象的地点。在只将实名转换成暂时名的方法中，不保证个人的存在性和连续 性，于是，存在假冒的风险。但是，在本验证系统中，在进行了登记 人员的身份验证之后进行交易，并且留下了动作记录，于是，没有假 冒的余地，甚至在匿名下，也保证了交易的安全性。这里，已经说明了通过警察局的实施例，但是，可以将"公务员 实名搜索委员会，，安装成仲裁机构，和可以使像"律师协会，，和"顾客保 护中心"那样的第三方机构变成干预机构。并且，在出现问题时，在各方确定可以向验证系统服务器10的 管理机构直接作出公开请求的情况下，管理机构可以尊重合同意愿地 z〉开信息。因此，通过使用本验证系统，在出现问题时，可以根据个人标识 ID进行一些搜索和釆取措施，并且，只让个人标识ID被人知道地保 护隐私。其结果是，可以在安全性和隐私之间达到平衡地提供保密和 安全系统。这个验证系统可以应用于公共交通机构，例如，飞机的空勤人员 与航空公司，或空勤人员与空勤人员。并且，可以应用于像病人与医 院，或病人与病人、旅客与旅馆，或旅客与旅客、演讲的听众与主办 者，或听众与听众、和存在想将他们的真名隐瞒起来的许多人，例如，CD或视频租货申请者和租货公司，或私人邮箱申请者和提供者，或 相关拍卖人员的商业交易那样，某段时间内生活在公共空间内的情况。 <第42实施例>(信息移动20:生物测定的不同配置登记)在下文中，将说明登记人员个人访问验证系统服务器10的管理 机构和执行他自身的登记过程的情况下、通过验证系统进行的各种动 作。同时，除非另有指定，各自过程与第1实施例中的那些相同。在登记人员访问的管理机构中，安装了最终方终端160A、 160B 和160C，它们的每一个具有读取指紋信息作为生物测定信息的功能。并且，最终方终端160A由公司A制造，最终方终端160B由>^ 司B制造，和最终方终端160C由公司C制造，它们通过由各自制造 者独创开发的读取方法数字化和核对指紋图像。图108是示出本发明的第42实施例中，登记人员个人利用不同 读取方法同时登记多个指定身体部分的生物测定信息时验证系统的动 作例子的顺序图。首先，登记人员个人利用安装在最终方终端160A中的生物测定 信息读取功能，使它读取他自己的生物测定信息(步骤S1021)。最终方终端160A通过通信线网络200将读取的信息发送到作为 相关最终方终端160A的上层终端的子服务器(步骤S1022)。从最终方终端160A接收到生物测定信息的子服务器搜索它自身 中的数据库，看看是否存在登记人员个人的信息(步骤S1023 )，并 且，在它们确认不存在登记人员个人的信息之后，它们准备存储登记 人员个人的个人信息的个人文件夹(步骤S1024 )并存储它(步骤 51025) 。并且，子服务器将"暂时个人标识ID，，加入登记人员个人中(步骤51026) ，并且将这个暂时个人标识ID、和示出登记完成的信息发送 到最终方终端160A (步骤S1027 )。最终方终端160A —旦接收到登记完成信息，就删除在步骤S1021 中读取和存在于它自身中的信息(步骤S1028)。然后，最终方终端160B读取生物测定信息，输入附加个人标识 ID (步骤S1029)，并且将这个读取和输入信息发送到子服务器(步 骤S1030)。此后，在信息登记中执行相同过程(步骤S1031到S1033 )，和 在最终方终端160C中也执行相同过程(步骤S1034到S1038 )。因此，将分别通过不同方法读取的相同内容的生物测定信息与一 个(暂时)个人标识ID相联系。其结果是，在本实施例中，对于"右手食指"的指紋，生物测定信 息用三种类型的验证方法登记。在当前操作状况下，由于读取方法和数据转换的差异、和数据分 析方法的差异等(下文称为读取方法)，各个读取生物测定信息之间 不兼容。并且，不同读取方法的生物测定信息阅读器已经由多个制造 者供应给全球市场，且难以将它们统一成单种技术方法，于是，存在 相同的生物测定信息可能被识别成不同生物测定信息的可能性。即使在这样的情况下，通过使用本实施例中的验证系统，当按如 下使用时，可以在一次操作中与数据库中的多个信息比较和核对，提 高了登记人员个人的便利性。同时，登记人员个人可以通过他自已的判断选择读取方法，并且 可以利用所有读取方法或它们的一部分登记信息。图109是示出利用哪些读取方法登记生物测定信息的列表例子的图形。在本图的例子中，调整成像右手大拇指指紋为"101"、右手食指 指紋为"102"等那样，用代码示出各个生物测定信息的内容。
并且，根据读取方法(读取的最终方终端160)，分配代码"Aaa"、 "Bbb，，等。例如，当右手食指指紋被最终方终端160A读取时，生物测定信 息的代码是"Aaal02"。对于安装终端的终端标识ID，包括这个目标代码，并且比较和核 对读取数据的发送终端的终端标识ID、和给予数据库中的登记信息的 目标代码，从而可以容易地立刻进行搜索和标识。而且，即使黑客通过周期地大量改变目标代码，或通过组合目标 代码和随机数侵入验证系统，也可以使他难以掌握基本数据的类型。<第43实施例>(信息移动21:存在性失配时的警告)在验证系统中，作为登记人员的个人信息的核对中失配的可能原 因，除了"第三方假冒，，以外，还存在读取个人信息的终端发生故障等。在本实施例中，验证系统每当在个人信息的核对中发生失配时， 创建描述其原因等的失配信息登记单，并且累积这些登记单。图IIO是示出这种失配信息登记单的例子的图形。如图所示，这个登记单包括像发生失配的终端的标识ID、发生时 间、发生原因、用户的个人标识ID、检验人的个人标识ID等那样的 信息。这个信息最终聚集和存储在验证系统服务器10中。图111是示出本发明的第43实施例中，当使用本验证系统，和 在个人信息的核对和存在性的证实中存在失配时，收集失配原因的动 作例子的顺序图。首先，登记人员个人使用最终方终端160,使它读取他自己的生 物测定信息(步骤S1041)，并且，最终方终端160将读取的生物测 定信息和移动信息发送到子服务器(步骤S1042 )。子服务器一旦接收到生物测定信息和移动信息，就核对接收的生 物测定信息、和存储在它们自身中的登记人员的生物测定信息(步骤 S1043)。作为核对结果，当子服务器判断最终方终端160读取的生物测定 信息与相关登记人员的登记信息失配时，它们创建示出它们的内容的失配信息登记单(步骤S1044)。这个失配信息登记单是在最终方终端160读取的生物测定信息与 已经登记在验证系统中的相关登记人员的登记信息失配的情况下创建 的文件，并且包括像最终方终端160的终端标识ID、读取时间、证实 时间、用户的个人标识ID等那样的信息。此后，子服务器向最终方终端160发送由于核对结果失配停止使 用验证系统的信息、和示出再次请求证实和调查原因的信息(步骤 S1045)。同时，此刻，子服务器最好也发送此时创建的失配信息登记单， 以便促使人们在最终方终端160上输入和用作确认调查项的材料。最终方终端160—旦接收到来自子服务器的失配信息，音频输出以便再次证实的消息。使这里读取的生物测定信息重复上面步骤S1041到S1045的过程。最终方终端160或最终方终端160的操作者倾听登记人员，和进 行像终端故障检查那样的原因调查(步骤S1046)。其结果是，最终方终端160将示出判断失配原因的信息发送到子 服务器(步骤S1047),和子服务器将示出失配原因的信息写入失配 信息登记单中(步骤S1048)。此刻，对于失配信息登记单，写入像发生原因、检验人的个人标 识ID等那样的信息。此后，子服务器按一定间隔或按一定登记单数，或按来自上层终 端的指令将存储的失配信息登记单发送到管理它自身的聚集方终端 150 (步骤S1049)。聚集方终端150将从它管理的下层终端收集的失配信息登记单放 在一起(步骤S1050)，并且将它们发送到验证系统服务器10 (步骤 S1051)。
验证系统服务器10累积从各个聚集方终端150收集的失配信息 登记单，分析信息失配的原因和问题(步骤S1052)，并且将它们用 于将来技术开发和系统操作。例如，在发生失配的主要原因是读取问题的情况下，让设备开发 制造者作出技术调整，并且促进新产品的开发和设备的改进，从而可 以为登记人员安排更加方便的终端。并且，在登记人员个人的个人信息泄漏出去，和从连续性问题的 观点来看发生了失配的情况下，验证系统可以将引起人们注意信息泄 漏问题的信息发送到作为相关个人信息的真正所有者的登记人员的终然后，对于个人信息泄漏频率高的个人，严格管理移动相关信息 和验证处理，从而可以防止系统使用被假冒，并且提高了安全性。并且，对于窃取个人信息的罪犯，在使用窃取信息的时刻，显然， 该人不是相同登记人员，因此，难以窃取信息。于是，产生了防止犯 罪的效果。<第44实施例> (信息移动22:未授权用户的使用限制1)在下文中，将说明验证系统对通过假冒等未授权使用验证系统的 用户的使用限制处理。图112是示出用于管理限制或停止使用验证系统的用户的信息的 使用限制人员登记单的图形。这个登记单包括像识别使用限制的理由、 识别时间、限制内容、限制释放预定时间等那样的信息。这个信息聚 集和存储在验证系统服务器10中。图113是示出限制或停止使用本验证系统情况下的使用限制标准 表的图形。在这个使用限制标准表中，清楚地调整限制和停止动作的 标准，并且，如果未授权动作落在这个标准表上，限制或停止相关内 容。例如，根据惩罚罪犯法律不变原则预置在这个标准中调整的未授 权动作。至于内容，国际上公认犯罪的事件是目标，并且，在刑事审
判中，操作可以应用在案件被判为有罪之后，可应用间隔在待审期间 从保释出来之后开始，和在刑满情况下从监狱出来之后开始。但是， 无论刑事审判是否已经判决，都可以应用于像判断为极其有害或损害IT环境和普遍存在环境的运行那样的动作的案件。并且，当登记人员在本验证系统中实施了未授权使用时，验证系 统服务器10可以根据该动作限制或停止对验证系统的使用。图114是示出本发明的第44实施例中，当发现登记人员个人对 本验证系统实施了未授权使用，和限制系统的使用时系统的动作例子 的顺序图。首先，验证系统服务器10参考上述使用限制标准表，并且检查 实施了未授权使用的登记人员的动作是否落在犯罪惩罚的类别中。其结果是，当验证系统服务器10识别出一些使用限制或停止是 必要的时(步骤S1061),将那种意思通知登记人员个人(步骤S1062 )， 创建上述使用限制人员登记单，并且将它存储在它自身的指定地点中。此外，验证系统服务器10将示出该人是使用限制人员的信息加 入它自身的数据库中相应登记人员个人的个人标识ID中(步骤 S1063 )。此后，验证系统服务器10利用上述采集信息，提取与使用限制 登记人员个人密切相关的聚集方终端150和子服务器的终端。验证系统服务器10将使用限制登记人员个人的个人标识ID、和 示出它的使用受到限制的信息发送到提取的终端(步骤S1064)。从验证系统服务器10接收到这些信息的聚集方终端150和子服 务器的终端根据接收的个人标识ID，提取它们自身中相应登记人员个 人的个人文件夹(步骤S1065， S1066)，并且登记示出使用受到限制 的信息(步骤S1067， S1068)。通过这种处理，以与验证系统服务器10中的相同的方式，在聚 集方终端150和子服务器的终端中，将示出该人是使用限制人员的信 息加入实施了未授权使用的登记人员的个人标识ID中。在这种登记之后，当实施了未授权使用的登记人员想使用本验证
系统时，使最终方终端160读取生物测定信息(步骤S1069)，并且， 最终方终端160将生物测定信息和移动信息发送到子服务器(步骤 S1070)，使它们核对读取的信息和证实存在性(步骤S1071)。子服务器在读取信息的核对中，识别出示出该人是使用限制人员 的信息已加入个人标识ID中，并且指定最终方终端160读取的信息的 所有者是使用限制人员(步骤S1072)。子服务器在指定了登记人员个人是使用限制人员之后，为了确认 使用限制内容，将个人标识ID、最终方终端160的终端标识ID、和 请求使用内容等发送到验证系统服务器10，并且请求它确认它们(步 骤S1073)。验证系统服务器10 —旦接收到来自子服务器的请求信息，提取 存储在它自身中的使用限制人员登记单，根据验证状况创建回答(步 骤S1074)，并且将它发送到最终方终端160 (步骤S1075)。其结果是，最终方终端160识别出系统使用的限制内容和范围， 并且在限制范围内供应登记人员请求的使用内容。如上所述，在本验证系统中，当发现登记人员实施了未授权动作 时，对登记人员实施使用功能的系统使用强制停止和局部限制，于是， 可以实现超过系统的高度安全性，尊重本验证系统的正当用户的权利， 和流畅地操作系统。由于不证实用户的真正存在性，因特网的弱点在于存在假冒成笫 三方，或假冒成虚拟人或滥用系统的人员。并且，还在于即使发现了 未授权使用，也不可能将未授权用户与因特网隔开，和未授权用户可 以容易地再次使用因特网。于是，刑事案件频繁发生和造成经济损害， 公司和个人花费巨大代价来弥补防病毒措施和反病毒软件的弱点，和 在世界造成巨大社会损失。在本验证系统中，在登记阶段进行个人存在性证实，并且在进门 阶段防止假冒使用。另一方面，对于实施了犯罪的未授权使用的人员， 加入某种警告信息，并且在退出阶段限制或停止使用，从而确保了安 全性。<第45实施例>(信息移动23:未授权用户的使用限制2)在下文中，将说明当对未授权使用验证系统的用户进行调查时验 证系统进行的处理。图115是示出本发明的第45实施例中，在当本验证系统中对登 记人员个人设置警告条件时， 一确认登记人员个人就与相关机构接触 的情况下系统的动作例子的顺序图。在本实施例中，将犯罪嫌疑人作为一个例子加以说明。首先，警察局方获取搜索许可证，利用安装在警察局方的机构方 终端120输入与搜索许可证的内容有关的信息(步骤S1081)，并且 将包括与验证系统服务器10的管理机构方的搜索协作的请求的搜索 协作信息、和识别嫌疑人个人的生物测定信息发送到验证系统服务器 10 (步骤S1082 )。验证系统服务器10 —旦接收到搜索协作信息，就搜索存储在它 自身中的个人文件夹，指定嫌疑人个人的个人标识ID,创建上述使用 限制人员登记单，将示出"进行搜索协作"的信息登记到登记单中的备 注中，并且将它存储在它自身中的指定地点中。并且，将示出该人是 作为"搜索协作的目标人员"的使用限制人员的信息加入登记人员个人 的个人标识ID中(步骤S1083 )。同时，此刻，验证系统服务器10不向登记人员个人通知该人员 已登记到使用限制人员登记单中。此后，验证系统服务器10将识别该人是搜索协作的目标人员的 使用限制人员信息发送到子服务器(步骤S1084)。像从验证系统服务器10接收到这些信息的子服务器等那样的终 端根据接收的个人标识ID，提取它自身中的登记人员个人的个人文件 夹，并且登记示出使用受到限制的信息(这里，搜索协作)。通过这种处理，以与验证系统服务器10中的相同的方式，在子 服务器中，将示出该人是搜索协作目标人员的警告信息加入登记人员 个人的个人标识ID中。 在这种登记之后，当登记人员个人想使用本验证系统时，使最终方终端160读取生物测定信息(步骤S1085),并且，最终方终端160 将生物测定信息和移动信息发送到子服务器(步骤S1086)，使它们 核对读取的信息和证实存在性(步骤S1087)。子服务器在读取信息的核对中，识别出示出该人是搜索协作目标 人员的信息已加入个人标识ID中，并且指定最终方终端160读取的信 息的所有者是搜索协作目标人员(步骤S1088)。子服务器在指定了登记人员个人是搜索协作目标人员之后，为了 确认搜索协作方法，将个人标识ID、最终方终端160的终端标识ID、 和请求使用内容等发送到验证系统服务器10，并且请求它确认它们(步 骤S1089)。验证系统服务器10 —旦接收到来自子服务器的请求信息，提取 存储在它自身中的使用限制人员登记单(步骤S1090)，并且识别登 记人员是这个服务器的管理机构方进行搜索协作的对象的搜索协作目 标人员(步骤S1091)。并且，通过这种识别，验证系统服务器10根据从子服务器接收 的信息，将最终方终端160上存在嫌疑人的信息、读取的时间信息、 终端安装地点信息等发送到警察局方的机构方终端120(步骤S1092 )。并且，验证系统服务器10创建示出这个服务器的管理机构方正 在等待来自警察局方的回答的信息，并且将它发送到子服务器和最终 方终端160 (步骤S1093 )。警察局方的机构方终端120 —旦接收到来自验证系统服务器10 的消息，就进行必要状况判断(步骤S1094)，创建回答信息，并且 将它发送到验证系统服务器10、子服务器和最终方终端160 (步骤 S1095)。其结果是，最终方终端160识别来自警察局方的机构方终端120 的指令内容和登记人员对验证系统的有效使用范围，并且对登记人员 个人执行必要动作(步骤S1096 )。在本验证系统的应用实施例中，由于指定了个人的存在地点，可
以提供掌握各种存在性所需的信息。例如，除了如上所述的犯罪嫌疑人的情况之外，本实施例可以广 泛应用于掌握从学校回家的孩子和销售职员的当前位置的情况、搜索 绑架孩子或失踪人员的情况、和指定丢失孩子或年老流浪者的情况， 本实施例只不过是一个实施例例子。<第46实施例>(信息移动24:信息存储间隔)在本系统中，自动删除一定时间之后的登记个人信息，以保护隐私。例如，在整个验证系统中，在从登记人员最后将像生物测定信息 等那样的个人信息和移动信息等的各种信息输入或存储到最终方终端 160中的时刻开始经过了一定时间之后，终端和服务器删除存储在它们自身中的与登记人员有关的所有信息。并且，终端和服务器可以在从与登记人员有关的信息被输入或存 储到它自身中的时刻开始经过了 一定时间之后，分别删除那些输入或 存储信息。同时，在如上所述的例子中，经过了一定时间之后删除信息，并 且，如下所示，这个"一定时间"是根据，例如，安装这个验证系统的 区域的法律和状况确定的。1. 将在输入或存储信息的区域(国家、辖区、城市等)，或登 记人员所属的区域中规定的按刑事程序的法律调整的最长刑事时效加 上输入或存储信息的时间获得的时间；2. 将在输入或存储信息的区域(国家、辖区、城市等)，或登 记人员所属的区域中规定的、像护照、驾驶证、基本居民登记卡、纳 税人编号卡或社会保险ID卡等那样的官方证件的有效期加上输入或 存储信息的时间获得的时间；3. 从登记人员死亡开始的一定时间；4. 不与上面1到3的时间冲突的由登记人员设置的删除间隔；和 5.其它。尤其，将移动相关信息与人的动作相联系，最好从信息创建开始 经过了一定时间之后删除。并且，使移动相关信息与动作密切相关，可以不在一定时间内删 除，而是在像一天或六个小时那样的短循环时间内删除。从而，自动 删除移动相关信息，登记人员在新的动作起点根据身份存在性确认开 始他的动作，和可以提高存在性证实的精确度，同时，可以防止长时 间未处理信息引起的通过假冒和未授权获取等对移动相关信息的滥 用。当然，通过来自登记人员的建议，可以在必要时删除登记人员本 身的这些个人信息、移动信息和移动相关信息。图116是示出本发明的第46实施例中，在验证系统服务器10证 实登记人员个人的个人信息的存储间隔，和删除存储间隔已到的信息 的情况下系统的动作例子的顺序图。在下文中，参照本图说明根据本实施例的验证系统使用的登记人 员的个人信息的删除方法，并且，假设登记人员未设置登记信息的删 除条件。首先，验证系统服务器10根据上述条件，从存储的个人文件夹 中提取要删除的信息(步骤S1101)。在提取之后，验证系统服务器10参考每个终端，看看是否存在 像未登记在它自身的服务器中但登记在其它终端中那样，与登记人员 有关的信息的遗漏登记，并且在必要时，发送信息以便进行信息的备 份处理(步骤S1102)。从验证系统服务器10接收到指令的聚集方终端150证实在它自 身管理的单元中的终端中是否存在遗漏登记(步骤S1103)，并且报 告提取结果和内容(步骤S1104)。具体地说，在步骤S1103和S1104中，执行如下所示的过程。聚集方终端150从验证系统服务器10接收和存储与此时作为删 除过程的目标的登记人员有关的所有信息。接着，聚集方终端150搜
索它自身中的数据库和提取与登记人员有关的信息，并且请求在它自身管理的终端供应与登记人员有关的信息。聚集方终端150—旦从在 它自身管理的终端接收到与登记人员有关的信息，就核对这个接收信 息和从它自身的数据库中提取的信息的组合、和从验证系统服务器10 接收的信息。作为这个核对的结果，如果在存储在它自身和受管理的 终端中的信息当中，存在未存储在验证系统服务器IO中的信息，聚集 方终端150提取信息，并且将它作为报告内容发送到验证系统服务器 10。验证系统服务器10 —旦接收到这个报告内容，就将包括在接收 信息中的与登记人员有关的信息存储到它自身中(步骤S1105)。然 后，验证系统服务器IO再次对要删除信息执行提取过程，并且判断是 否执行删除过程(步骤S1106 )。一旦删除了信息，就难以恢复它。因此，删除过程执行两次，并 且充分检查内容。验证系统服务器10通过最后判断对变成删除目标信息的信息执 行删除过程。此后，验证系统服务器10将已经删除的信息、和删除目标信息 的提取条件发送到聚集方终端150和外部机构服务器300 (步骤 S1108)，并且指令它们执行删除过程。接收到这个指令的聚集方终端150和外部机构服务器300提取相 关目标的个人信息(步骤S1109, S1110)，并且执行删除过程(步骤 Slll， S1112)。在完成了删除过程之后，聚集方终端150和外部机构 服务器300将完成报告发送到验证系统服务器10(步骤S1113，S1114 )。<第47实施例>(信息移动25:对导航电子记录媒体、和便携式信息设备的考虑) 在下文中，在本实施例中，利用蜂窝式电话和基站之间的关系估 计登记人员的当前位置，并且提示估计位置上的设备为各种过程作好 准备。图117是示出本发明的第47实施例中，在登记人员个人使用导
航电子记录媒体或便携式信息设备，和有助于登记人员使用的单元的 转移的情况下系统的动作例子的顺序图。这里，作为一个例子，上述 的便携式信息设备是蜂窝式电话，并且将上述的导航电子记录媒体装 入蜂窝式电话中。在下文中，在本实施例中，将最终方终端160作为导航电子记录 媒体(蜂窝式电话)、和将区域管理方终端130作为蜂窝式电话基站 地加以i兌明。假设登记人员事先同意蜂窝式电话通过通信线网络自动与外部 设备(这里，蜂窝式电话的基站)通信。这个蜂窝式电话在它的"等待"状况下，发射电波和与蜂窝式电话 的基站通信。此刻，将与基站的通信存储成记录，并且通过基站的电 波接收天线，可以在某种程度上判断位置。例如，将基站覆盖的范围设置在离基站3公里的半径内。当登记人员在家里时，管理包括这个家的范围的蜂窝式电话基站 130A与登记人员的蜂窝式电话通信(步骤S1121)。当进行通信时，蜂窝式电话基站130A创建辅助移动停止信息(步 骤S1122)，并且将它发送到管理主单元的聚集方终端150 (步骤 S1123)。这个辅助移动停止信息是有关估计登记人员个人存在于终端构 成的单元之中的信息，并且，在存在将登记人员个人的个人信息用在 相关单元外部的请求的情况下，将警告信息发送到本验证系统的终端 和服务器。聚集方终端150—旦接收到辅助移动停止信息，就将它存储在它 自身中的搜索DB156或基本信息DB154等中。这是因为，当接收到 登记人员的移动相关信息、验证请求信息或许可信息时，可以容易地 对这些接收信息和辅助移动停止信息进行比较和证实。通过这个存储过程，聚集方终端150估计和识别出登记人员个人 存在于蜂窝式电话基站130A的安装地点周围(步骤S1124)。因此，聚集方终端150创建使用可能性信息(步骤S1125)，将
这个创建使用可能性信息发送到蜂窝式电话基站130A的安装地点周 围的各个终端(受管理的各个终端)(步骤S1126)，提示它们为登 记人员个人的验证过程等作好准备。此后，当登记人员带着蜂窝式电话出去时，管理登记人员去往的 地点的蜂窝式电话基站130B与登记人员的蜂窝式电话通信(步骤51127) 。然后，蜂窝式电话基站130B创建辅助移动停止信息(步骤51128) ，并且将这个创建辅助移动停止信息发送到管理主单元的聚集 方终端150 (步骤S1129)。聚集方终端150—旦接收到这个辅助移动停止信息，就将它存储 在它自身中的搜索DB 156或基本信息DB 154等中。通过这个存储过 程，聚集方终端150估计和识别出登记人员个人存在于(移动到)蜂 窝式电话基站130B的安装地点的周围(步骤S1130)。这里，聚集方 终端150创建使用可能性信息(步骤S1131),将这个创建使用可能 性信息发送到蜂窝式电话基站130B的安装地点周围的各个终端(步 骤S1132)，提示它们为登记人员个人的验证过程等作好准备。因此，与蜂窝式电话的通信过程一起，如果在验证系统中识别出 登记人员个人移动的动作，可以使登记人员个人使用的单元总是作好 准备。在本实施例中，登记人员个人使用的单元使登记人员人体意识 不到地随着相同登记人员的存在地点转移，于是，可以提高本验证系 统的便利性，和防止信息被未授权滥用。但是，由于蜂窝式电话的所有者未必总是相同登记人员，使使用 局限于它容易准备的状况，并且，对于实际个人信息使用请求，执行 个人存在性验证过程。蜂窝式电话只不过是一个例子，可以应用IC芯片、IC标签、普 遍存在通信器、预防犯罪蜂鸣器等，只要是具有与上述蜂窝式电话相 同的功能的便携式通信终端即可。<第48实施例>(信息移动26:对脸部验证系统的考虑)
在本实施例中，假设验证信息是脸部形状(轮廓)的生物测定信息，和最终方终端160具有读取脸部形状的功能，并且安装在大街上。 图118是本发明的第48实施例中，登记人员个人使用脸部验证 系统，和有助于登记人员使用的单元的转移的系统的动作例子的顺序 图。假设登记人员事先同意在必要时通过脸部生物测定信息进行个 人验证。当登记人员个人从家里出去，并且经过安装在他家附近的最终方 终端160A时，最终方终端160A读取登记人员个人的脸部信息(步骤 S1141 ),并且执行根据存储在它自身中的个人信息指定个人的过程(步 骤S1142)。最终方终端160A —旦指定了个人，就创建辅助移动开始信息(步 骤S1143),并且将这个创建辅助移动开始信息发送到管理它自身终 端的聚集方终端150 (步骤S1144 )。这个辅助移动开始信息是有关估计登记人员个人未存在于(移动 到)终端构成的单元之中的信息，并且，在存在将登记人员个人的个 人信息用在相关单元中的请求的情况下，将警告信息发送到本验证系 统的终端和服务器。聚集方终端150—旦接收到辅助移动开始信息，就将它存储在它 自身中的搜索DB156或基本信息DB154等中。这是因为，当接收到 登记人员的移动相关信息、验证请求信息或许可信息时，可以容易地 对这些接收信息和辅助移动开始信息进行比较和证实。通过这个存储过程，聚集方终端150估计和识别出登记人员个人 未存在于最终方终端160A的安装地点周围(步骤S1145 )。因此，聚集方终端150创建使用可能性信息(步骤S1146),并 且将这个创建使用可能性信息发送到与最终方终端160A的安装地点 相邻或附近的最终方终端160B (步骤S1147)。最终方终端160B —旦接收到这个使用可能性信息，就为登记人 员个人的验证过程作好准备(步骤S1148)。
当登记人员经过最终方终端160B时，最终方终端160B读取登记 人员的脸部信息(步骤S1149),并且执行根据在它自身中准备的个 人信息指定个人的过程(步骤S1150)。
当最终方终端160B指定了个人时，它创建辅助移动开始信息(步 骤S1151)，并且将这个创建辅助移动开始信息发送到管理它自身终 端的聚集方终端150 (步骤1152 )。
聚集方终端150—旦接收到辅助移动开始信息，就将它存储在它 自身中的搜索DB 156或基本信息DB 154等中。通过这个存储过程， 聚集方终端150估计和识别出登记人员个人未存在于最终方终端160B 的安装地点周围(步骤S1153)。
因此，聚集方终端150创建了使用可能性信息(步骤S1154)。
然后，聚集方终端150利用釆集数据，选择估计登记人员在经过 最终方终端160B的安装地点之后接着要经过的最终方终端160，将创 建的使用可能性信息发送到所选最终方终端160，并且提示它为登记 人员个人的验证过程作为准备(步骤S1155)。
并且，聚集方终端150也将使用可能性信息发送到与最终方终端 160的安装地址相邻或附近的最终方终端160，并且提示它为登记人员 个人的验证过程作为准备。
因此，验证系统可以从安装在大街上的阅读器阅读的登记人员脸 部形状中识别登记人员个人的移动动作，并且总是可以为登记人员个 人的信息使用作好准备。
而且，在本实施例中，验证系统可以只在相同登记人员的时刻用 在存在地点上或它的附近，于是，可以提高本实施例的便利性，和防 止信息被未授权滥用。
在本实施例中，与使用蜂窝式电话一样，通过使用已经安装在大 街上和建筑物中的监视摄像机(视频/图像)和监视器，可以容易地限 制登记人员使用验证系统的使用地点。
<第49实施例> (信息移动27:验证信息/方法的改变)
为了改变验证信息和验证方法，可以进行执行过程的人员是否是 验证信息的真正相同人员的个人验证。
这些细节遵循传统个人验证过程，同时，在身份确认之后，通过 使用传统验证信息和方法显示，改变变化项(输入次序、验证信息、 便携式信息设备名称、主单元名称等)的登记。
<第50实施例> (第50实施例的概况)
一般说来，当属于像学校、工作地点等那样的机构，和使用银行 等的各种服务时，给予一些局部标识ID(学生号、雇员号、成员号等)， 以便容易地管理它们的成员和用户等(下文称为登记人员)。
在各自机构等中，将个人信息与给予标识ID相联系，使它们成 为数据库，以便管理登记人员的信息。
一般说来，登记人员经常属于多个机构和团体，并且使用数种服 务，在许多情况下，将数种不同局部标识ID给予一个登记人员。
并且，当这个登记人员使用本实施例中的验证系统时，进一步给 予由系统服务器10发放的用在整个系统中的个人标识ID。当这个登 记人员将这个验证系统用在，例如，学校中时，在学校中，使用由学 校发放的局部学生标识ID、和由系统发放的个人标识ID。
本实施例中的验证系统的特征在于，即使在登记人员拥有多个标 识ID的情况下，也可以容易地使用验证系统，而不用频繁地分类那些 ID。
在下文中，在本实施例中，假设登记人员到学校去，并且使用验 证系统。
(第50实施例的结构)
图120是示出本发明第50实施例中的验证系统的结构的图形。 如图所示，验证系统包括在学校读取登记人员的指紋和进行验证 的最终方终端160A、根据验证结果指定登记人员的建筑结构方终端 110A、聚集来自建筑结构方终端110A的登记人员移动信息的聚集方 终端150、和聚集来自聚集方终端150的移动信息的验证系统服务器
10。
同时，本实施例中的验证系统以与其它实施例相同的方式配有其 它服务器和终端，但在本实施例中，将省略对它们的例示和描述。 并且，在本实施例中，假设登记人员被指定成拥有他的学生标识
ID"1A025"。并且，假设验证系统方将它的个人标识ID"1234567，，给 予登记人员。
建筑结构方终端110A配有与这个学生标识ID相联系管理登记人 员的个人信息的数据库DB 11、和示出这个学生标识ID与个人标识ID 之间的对应关系的数据库DB 12。
而且，建筑结构方终端110A配有累积登记人员的指紋信息的数 据库DB 61。
(第50实施例的动作)
图121是示出本发明的第50实施例中验证系统的动作流的顺序 图。在下文中，参照该图说明本实施例中的验证系统的动作。
首先，当登记人员到达学校入口时，登记人员使安装在入口的最 终方终端160A读取他自己的指紋(步骤S5001 )。
最终方终端160A将读取的指紋信息与已经登记在它自身中的指 紋信息核对，并且进行登记人员的验证(步骤S5002)。
当验证该人是相同登记人员时(步骤S5002，是)，最终方终端 160A向建筑结构方终端110A发送示出验证取得成功的验证结果信 息、与登记人员个人相对应的标识ID (这里，学生标识ID"1A25")、 和指定它自身终端的信息(空间信息)(步骤S5003 )。
建筑结构方终端110A —旦从最终方终端160A接收到这些信息， 就将这些接收信息暂时存储到它自身中(步骤S5004)。
并且，建筑结构方终端110A根据这些接收信息，识别出登记人 员个人存在于建筑结构方终端110A的单元之中(学校大楼之中)(步 骤S5005)。
接着，建筑结构方终端110A根据存储的标识ID (学生标识 ID"1A25")搜索它自身中的数据库，并且指定与该标识ID相对应的
个人标识ID"1234567"(步骤S5006 )。
此后，建筑结构方终端110A从上面存储的接收信息当中提取空 间信息、时间信息和验证结果信息，并且将指定个人标识ID与这些提 取的接收信息相联系，从而创建移动信息(步骤S5007)。这里，由 于建筑结构方终端110A识别出登记人员存在于单元之中，创建的移 动信息变成示出登记人员已经完成他到学校大楼的移动的移动停止信 息。
然后，建筑结构方终端110A通过网络将这个创建移动停止信息 发送到聚集方终端150 (步骤S5008)。 (第50实施例的总结)
如上所述，在本实施例中的验证系统中，即使在登记人员拥有多 个标识ID的情况下，也可以容易地使用验证系统，而不用频繁地分类 那些ID。
(第50实施例的修正例)
图122是示出根据本实施例修正例的验证系统的结构的图形。 如图所示，在这个修正例中，数据库DB11和DB 12与建筑结构
方终端110A的外部连接，和数据库DB 61与最终方终端160A的外部连接。
在这个{务正例中，这些数据库DBll、 DB 12和DB 61未必总是 与终端连接。
例如，在学校中，它们可以在早晨进入学校的时刻和在傍晚回家 的时刻连接，和可以与创建移动信息的功能的结构部分连接。 一般情 况下，已经进入学校的学生很少在白天离开学校大数周围的单元。因 此，最好只在预计使用的一定时间内连接它们，总是连着它们容易引 起黑客等的未授权信息获取或泄漏。
并且，建筑结构方终端110A可以在从最终方终端160A接收登 记人员的信息阶段与数据库DB 11和DB 12连接。
而且，建筑结构方终端110A可以在指定登记人员的个人标识ID 阶段与数据库DB 11和DB 12断开连接。
<第51实施例> (第51实施例的概况)
在如上所述的第50实施例中，建筑结构方终端110A配有示出指 定标识ID (学生标识ID )与用在系统中的个人标识ID之间的对应关 系的数据库DB 12。这个建筑结构方终端110A参考数据库DB 12，从 而将登记人员的指定标识ID转换成个人标识ID，使验证系统可用于 登记人员。
而另一方面，在本实施例中，建筑结构方终端110B具有将指定 标识ID转换成个人标识ID的计算程序和算法，并且通过该计算程序 和算法将从最终方终端160B接收的指定标识ID转换成可以用在系统 中的个人标识ID。
在下文中，除非另有指定，在本实施例与第50实施例相同的假 i殳下加以i兌明。
同时，在本实施例中，假设登记人员到他的工作地点去，并且使 用其中的验证系统。
(第51实施例的结构)
图123是示出本发明第51实施例中的验证系统的结构的图形。 如图所示，验证系统包括在工作地点读取登记人员的指紋和进行 验证的最终方终端160B、根据验证结果指定登记人员的建筑结构方终 端IIOB、聚集来自建筑结构方终端110B的登记人员移动信息的聚集 方终端150、和聚集来自聚集方终端150的移动信息的验证系统服务 器10。
同时，本实施例中的验证系统以与其它实施例相同的方式配有其 它服务器和终端，但在本实施例中，将省略对它们的例示和描述。
并且，在本实施例中，假设登记人员被指定成拥有他的雇员标识 ID"101"。并且，假设验证系统方将它的个人标识ID"1234567"给予登 记人员。
建筑结构方终端110B配有(与这个雇员标识ID相联系)地管理 登记人员的个人信息的数据库DB 13。
而且，最终方终端160B配有累积登记人员的指紋信息的数据库 DB 61。(第51实施例的动作)图124是示出本发明的第51实施例中验证系统的动作流的顺序 图。在下文中，参照该图说明本实施例中的验证系统的动作。首先，当登记人员到达工作地点入口时，登记人员使安装在入口 的最终方终端160B读取他自己的指紋(步骤S5101)。最终方终端160B将读取的指紋信息与已经登记在它自身中的指 紋信息核对，并且进行登记人员的验证(步骤S5102)。当验证该人是相同登记人员时(步骤S5102，是)，最终方终端 160B向建筑结构方终端110B发送示出验证取得成功的验证结果信 息、与登记人员个人相对应的标识ID (这里，雇员标识ID"101")、 和指定它自身终端的信息(空间信息)(步骤S5103 )。建筑结构方终端110B —旦从最终方终端160B接收到这些信息， 就将这些接收信息暂时存储到它自身中(步骤S5104)。并且，建筑结构方终端110B根据这些接收信息，识别出登记人 员个人存在于建筑结构方终端110B的单元之中(工作地点建筑物之 中)(步骤S5105)。接着，建筑结构方终端110B通过利用指定计算方程和算法的计 算，将存储的雇员标识ID"101，，转换成个人标识ID"1234567"(步骤 S5106)。此后，建筑结构方终端110B从上面存储的接收信息当中提取空 间信息、时间信息和验证结果信息，并且将指定个人标识ID与这些提 取的接收信息相联系，从而创建移动信息(步骤S5107)。这里，由 于建筑结构方终端110B识别出登记人员存在于单元之中，创建的移 动信息变成示出登记人员已经完成他到工作地点建筑物的移动的移动 停止信息。然后，建筑结构方终端110B通过网络将这个创建的移动停止信 息发送到聚集方终端150 (步骤S5108)。
同时，在本实施例中，可以利用上述计算功能将个人标识ID转 换成指定标识ID (雇员标识ID等)。 (第51实施例的总结)如上所述，在本实施例中的验证系统中，建筑结构方终端110B 通过封装在它自身中的计算程序和算法，将从最终方终端160B接收 的指定标识ID转换成可以用在系统中的个人标识ID，于是，即使在 登记人员拥有多个标识ID的情况下，也可以容易地使用验证系统，而 不用频繁地分类那些ID。(第51实施例的修正例)图125是示出根据本实施例修正例的验证系统的结构的图形。如图所示，在这个修正例中，数据库DB13、和计算程序和算法 的存储设备与建筑结构方终端110A的外部连接，和数据库DB 61与 最终方终端160A的外部连接。在这个修正例中，与上述第50实施例的方式相同，这些数据库 DB13、 DB61、和计算程序和算法的存储设备只在必要时区内与终端 连接，于是，可以显著地降低黑客从外部攻击的可能性。并且，建筑结构方终端110A可以在从最终方终端160A接收登 记人员的信息阶段与数据库DB 13和计算程序和算法的存储设备连 接。而且，建筑结构方终端110A可以在指定登记人员的个人标识ID 阶段与数据库DB 13和计算程序和算法的存储设备断开连接。 <第52实施例> (第52实施例的概况)如上所述，在第50实施例中，建筑结构方终端110A配有示出指 定标识ID与个人标识ID之间的对应关系的数据库DB 12。并且，在第51实施例中，建筑结构方终端110B具有将指定标识 ID转换成个人标识ID的计算程序和算法。而另一方面，在本实施例中，除建筑结构方终端之外的其它服务 器或终端具有数据库DB 12，并且具有将指定标识ID转换成个人标识 ID的上述计算程序和算法，从而分散建筑结构方终端中的处理和累 积，和减轻它的负担。在下文中，除非另有指定，在本实施例与第50实施例相同的假 设下加以说明。同时，在本实施例中，假设登记人员到他的学校去，并且使用其 中的验证系统。(第52实施例的结构)图126是示出本发明第52实施例中的验证系统的结构的图形。 如图所示，验证系统包括在学校读取登记人员的指紋和进行验证的最 终方终端160A、根据验证结果指定登记人员的建筑结构方终端IIOA、 聚集来自建筑结构方终端110A的登记人员移动信息的聚集方终端 150、和聚集来自聚集方终端150的移动信息的验证系统服务器10。同时，本实施例中的验证系统以与其它实施例相同的方式配有其 它服务器和终端，但在本实施例中，将省略对它们的例示和描述。建筑结构方终端IIOA配有与这个学生标识ID相联系地管理登记 人员的个人信息的数据库DB 11。最终方终端160A配有累积登记人员的指紋信息的数据库DB 61。聚集方终端150配有示出这个学生标识ID与个人标识ID之间的 对应关系的数据库DB 12。并且，聚集方终端150具有将学生标识ID 转换成个人标识ID的计算程序和算法。 (第52实施例的动作)图127是示出本发明的第52实施例中验证系统的动作流的图形。 在下文中，参照该图说明本实施例中的验证系统的动作。登记人员到达学校入口，和建筑结构方终端IIOA识别他的存在 性的过程与第50实施例中的步骤S5001到S5005相同(步骤S5201 到S5205 )。在建筑结构方终端110A识别出登记人员个人存在于建筑结构方 终端110A的单元之中(学校大楼中)之后，它创建用于创建移动停 止信息的指令信息(步骤S5206)。
这个指令信息包括上面暂时存储验证结果信息、时间信息、与登记人员个人相对应的标识ID (这里，学生标识ID"1A025")、指定建 筑结构方终端110A的信息(空间信息)、和移动停止信息的创建指 令信息。建筑结构方终端IIOA将这个指令信息发送到聚集方终端150(步 骤S5207 )。聚集方终端150—旦接收到该指令信息，就将接收的指令信息暂 时存储在它自身中(步骤S5208 )。接着，聚集方终端150根据包括在这个指令信息中的标识ID(学 生标识ID"1A025")，搜索数据库DB12，并且指定与该标识ID相对 应的个人标识ID"1234567"(步骤S5209)。接着，聚集方终端150利用指定个人标识ID、和包括在上述指令 信息中的信息(验证结果信息、时间信息、空间信息)，创建移动停 止信息(步骤S5210)。并且，聚集方终端150通过网络将这个创建的移动停止信息发送 到验证系统服务器10 (步骤S5211)。同时，在上文中，聚集方终端150利用数据库DB12将学生标识 ID转换成个人标识ID，但与第52实施例一样，封装在它自身终端中 的用于转换的计算程序和算法也可以用于转换。 (笫52实施例的总结)如上所述，在本实施例中的验证系统中，聚集方终端150取代建 筑结构方终端110A，具有转换标识ID的数据库，并且配有用于转换 的计算程序和算法，于是，可以减少建筑结构方终端110A的处理和 减轻累积区的负担。并且，即4吏建筑结构方终端110A或最终方终端160A的安全系 统被黑客攻击和个人信息或个人标识ID泄漏出去，由于建筑结构方终 端110A或最终方终端160A不使用个人标识ID本身，所以难以直接 指定个人标识ID，于是，可以提高系统操作的安全性。 (第52实施例的修正例) 图128(a)和图128(b)的每一个是示出根据本实施例修正例的验证 系统的结构的图形。如图所示，在这个修正例中，数据库DB11和DB13与建筑结构 方终端110的外部连接，和数据库DB 12和计算程序和算法的存储设 备与最终方终端160的外部连接。在这个修正例中，与上述第50和第51实施例的方式相同，这些 数据库DBll、 DB 12、 DB 13、 DB 61、和计算程序和算法的存储设 备只在必要时区内与终端连接，于是，可以显著地降低黑客从外部攻 击的可能性。并且，建筑结构方终端110可以在从最终方终端160接收登记人 员的信息阶段与数据库DB 11、 DB 13连接。关于建筑结构方终端110， 与第13实施例一样，如果与聚集方终端150或最终方终端160连接， 可以不与其它终端连接。同样，聚集方终端150可以在接收登记人员 的信息阶段与数据库DB 12和计算程序和算法的存储设备连接。而且，建筑结构方终端IIO和聚集方终端150可以在指定登记人 员的个人标识ID阶段与数据库DB 11、 DB 12、 DB 13、和计算程序 和算法的存储设备断开连接。<第53实施例> (第53实施例的概况)在本实施例中，登记人员可以利用验证系统进行金融交易。这里 的金融交易包括像银行等那样的金融机构中的提现、存款或转帐等。在本实施例中，作为金融交易的例子，将说明在登记人员从他的 银行帐户中提取现金的情况下验证系统的动作。同时，除非另有指定，本实施例与上述其它实施例相同。 (第53实施例的结构)图129是示出本发明的第53实施例中验证系统的结构的图形。 如图所示，验证系统包括读取登记人员的生物测定信息等的最终 方终端160A、从最终方终端160A获取读取信息的建筑结构方终端 IIOA、从建筑结构方终端IIOA获取读取信息的机构方终端120A、管
理包括建筑结构方终端110A的管理区的更大区域中登记人员的信息 的区域管理方终端130、管理用在各个终端中的登记人员的信息的验 证系统服务器10、和存储与登记人员有关的各种信息的便携式信息设 备500。最终方终端160A是安装在像银行等那样的金融机构的总行或分 行中的信息处理器。这个最终方终端160A具有通常安装在银行等中 的ATM (自动取款机)的功能。并且，最终方终端160A具有读取登记人员的生物测定信息的功 能，并且，它可以读取像，例如，登记人员的静脉图样、指紋或虹膜 等那样的任何生物测定信息。建筑结构方终端110A基本上是安装在像银行等那样的金融机构 的总行或分行中的信息处理器，并且可以从总行或分行中的最终方终 端160A中收集登记人员的信息。机构方终端120A基本上是按金融机构安装的服务器设备，并且 可以从金融机构的总行或分行中的最终方终端160A中收集登记人员 的4言息。便携式信息设备500是登记人员随身带的设备或记录媒体，并且 存储与这个登记人员有关的信息接触点的地址信息。例如，这个便携 式信息设备500是蜂窝式电话、PHS、 PDA、 USB存储器、IC标签或 IC卡等。(第53实施例的动作)图130到图132的每一个是示出本发明的第53实施例中，验证 系统的动作流的顺序图。在下文中，参照该图说明在登记人员个人使用多个登记生物测定 信息和移动信息，和进行金钱交易的情况下验证系统的动作例子。同时，在本实施例中，作为一个例子，用于验证的个人信息是手 掌静脉的生物测定信息。的Marun-ouchi分行的ATM角落。在这个ATM角落里，安装着最1 终方终端160A。将监视屏幕附在这个最终方终端160A上，并且，在屏幕上，作 出选择所需交易和继续执行交易过程的显示，例如，显示改变金融机 构名称的显示的多个按键。登记人员选择这个按键，可以显示像"登记 人员个人与之交易的所有金融机构"、"只有银行A"、"其它金融机构，， 等那样的可选金融机构名称(总行、分行名称)。这里，当登记人员个人选择"只有银行A"时(步骤S5301 )，最 终方终端160A创建示出金融交易的目标局限于银行A的信息(例如， "JPllllONLY，，)(步骤S5302)。然后，登记人员个人使最终方终端160A读取在上面第40实施例 中说明的便携式信息设备500中的"导航电子记录媒体"。其结果是， 最终方终端识别导航电子记录媒体中的记录媒体存储ID (步骤 S5303)。最终方终端160A从读取的记录媒体存储ID中识别出聚集方终端 150A是登记人员个人的信息参考目的地(步骤S5304 )。接着，登记人员个人使最终方终端160A读取生物测定信息(步 骤S5305 )。此后，登记人员从显示在监视屏幕上的交易类型中选择"提现，，， 并且输入"提款额"(步骤S5306 )。最终方终端160A将读取的生物测定信息、示出金融交易的目标 是银行A的信息、指定最终方终端160A的空间信息、示出生物测定 信息的读取时间的时间信息、请求允许提款的信息、和示出登记人员 个人的信息参考目的地是聚集方终端150A的信息发送到建筑结构方 终端110A (步骤S5307)。建筑结构方终端110A —旦从最终方终端160A接收到上述各种 信息，就将它暂时存储在它自身中(步骤S5308)。接着，向管理银行A的存款人数据库的机构方终端120A发送从 最终方终端160A接收的信息(步骤S5309)。机构方终端120A—旦接收到上述各种信息，就将它暂时存储在 它自身中(步骤S5310)。接着，机构方终端120A比较和核对接收的生物测定信息、和事 先存储在它自身中的生物测定信息，并且指定登记人员个人(步骤 S5311)。机构方终端120A—旦指定了登记人员，就搜索它自身终端中的 数据库，并且提取这个指定登记人员个人的交易条件和个人标识ID (步骤S5312 )。通过上述过程，提现过程的第一准备阶段就完成了。此后，机构方终端120A根据登记人员个人的投取的个人标识ID， 将请求确认登记人员的移动信息是否存在于包括建筑结构方终端 110A的单元之中的信息发送到建筑结构方终端110A (步骤S5313)。建筑结构方终端110A响应移动信息的确认请求，在单元中搜索 移动信息(步骤S5314)。这里，当移动信息存在于该单元中时，建筑结构方终端110A将 移动信息发送到机构方终端120A,而当移动信息未存在于该单元中 时，它将示出"不可应用"的信息发送到机构方终端120A(步骤S5315)。在机构方终端120A从建筑结构方终端110A接收"不可应用，，信 息的情况下(步骤S5316，否)的过程将在本文后面加以描述。另一方面，在才几构方终端120A从建筑结构方终端IIOA接收到 移动信息的情况下(步骤S5316，是)，比较和核对接收的移动信息、 和在步骤S5310中存储的信息，并且进行登记人员的存在性验证(步 骤S5317)。在下文中，将分开说明在确认这个登记人员存在的情况下(步骤 S5317，是)，和在未确认的情况下(步骤S5317，否)验证系统的动 作。并且，单独说明机构方终端120A接收到"不可应用"信息的情况 (步骤S5316,否)。(1)当确认这个登记人员存在时(步骤S5317，是) 作为上述存在性验证的结果，在确认这个登记人员存在的情况下 (步骤S5317，是)，机构方终端120A创建移动停止信息、和金融交 易许可信息(步骤S5318)。同时，这个金融交易许可信息是示出允许登记人员使用验证系统 进行金融交易、和在其中指定允许交易内容的信息。通过上述过程，提现过程的第二准备阶段就完成了。接着，机构方终端120A参考上述金融交易许可信息，并且判断 登记人员当前请求的提现过程是否在允许相同登记人员的交易过程的 范围之内(这里，是否在提现限额之内)(步骤S5319)。在允许提现过程的情况下(步骤S5319，是)，机构方终端120A 将允许提现的许可信息、和移动停止信息发送到建筑结构方终端110A (步骤S5320 )。建筑结构方终端110A —旦从机构方终端120A接收到许可信息 和移动停止信息，就将接收的移动停止信息存储在它自身终端中(步 骤S5321 )。并且，建筑结构方终端IIOA将接收的许可信息发送到最 终方终端160A (步骤S5322 )。最终方终端160A —旦从建筑结构方终端IIOA接收到许可信息， 就从它自身终端的现金支付口将现金支付给登记人员个人(步骤 S5323 )。而另一方面，作为参考金融交易许可信息的结果，在提现未在允 许相同登记人员的交易过程的范围之内的情况下(步骤S5319，否)， 机构方终端120A将示出不允许提现的不允许信息和移动停止信息发 送到建筑结构方终端110A (步骤S5324 )。建筑结构方终端110A —旦从机构方终端120A接收到不允许信 息，就将接收的移动停止信息存储在它自身终端中(步骤S5325)。 并且，建筑结构方终端IIOA将不允许信息发送到最终方终端160A(步 骤S5326)。最终方终端160A —旦从建筑结构方终端110A接收到不允许信 息，就在它自身终端的监视器上显示消息"余额不足，交易中止，，，并 且提示登记人员输入金额等(步骤S5327 )。(2)当未确认这个登记人员存在时(步骤S5317，否)
另一方面，作为上述存在性验证的结果，在未确认这个登记人员存在的情况下(步骤S5317，否)，机构方终端120A创建交易禁止信息(步骤S5330 )，并且将它发送到建筑结构方终端IIOA(步骤S5331 )。 这个交易禁止信息是示出不允许登记人员金融交易的信息。 建筑结构方终端110A—旦接收到交易禁止信息，就将这个交易禁止信息发送到最终方终端160A (步骤S5332 )。最终方终端160A—旦接收到交易禁止信息，就在它自身终端的监视器上显示消息"不可用交易"(步骤S5333)。(3)当机构方终端120A接收到"不可用"信息时(步骤S5316,否)当从建筑结构方终端110A接收到移动信息的"不可应用"信息时 (步骤S5316，否)，机构方终端120A参考事先存储在它自身终端中、 指定登记人员的信息参考目的地的信息(步骤S5334)。当机构方终端120A从指定信息中识别出信息参考目的地是聚集 方终端150A时，询问聚集方终端150A它是否识别出登记人员个人的 移动信息的存储地点(步骤S5335 )。当聚集方终端150A接收到来自机构方终端120A的询问时，如 果识别出相应登记人员个人的移动信息的存储地点(步骤S5336，是)， 它向存储移动信息的其它终端或服务器发送示出登记人员存在于建筑 结构方终端110A管理的单元中(分行中)的信息、和示出应该将登 记人员的移动信息发送到建筑结构方终端110A的信息(步骤S5337 )。此后，通过建筑结构方终端IIOA，最后将移动信息从存储移动 信息的终端或服务器发送到机构方终端120A。另一方面，当聚集方终端150A未识别出移动信息的存在地点时 (步骤S5336，否)，参考作为更上层终端的验证系统服务器10、管 理包括建筑结构方终端110A的管理区的更大区域的区域管理方终端 130A或根据历史信息的采集估计的其它终端和服务器(步骤S5338 )。 (第53实施例的总结)如上所述，根据本实施例，当登记人员进行像提现那样的金融交
易时，验证系统可以容易地证明相同登记人员的存在，并且确保交易 的安全。尤其，即使在像银行卡的密码那样的个人信息的情况下，由于不 可能只利用未授权获得的个人信息证明相同登记人员的存在，所以不 可能作出未授权提现等，于是，该系统对作为社会基础设施的的保密 和安全生活结构产生极大影响。同时，在本实施例中，在登记人员个人同意的情况下，可以将用 于登记人员的个人验证的信息(手掌静脉等的生物测定信息的图样)存储在便携式信息设备500中的"导航电子记录媒体"中。此刻，当读取来自登记人员本身的生物测定信息时，最终方终端 160A也从这个便携式信息设备500中读取生物测定信息，并且核对这 两个生物测定信息和进行登记人员的个人验证。并且，与第8实施例的方式相同，可以将验证功能加入便携式信 息设备500中，并且可以将指定金融交易的条件的信息、存款帐号或 登记人员的姓名标识码等存储在其中。在本实施例中，关于验证系统，将从银行帐户中提取现金作为一 个例子来说明。另一方面，这个验证系统可以应用于其它领域。例如，最终方终端160A可以安装在商店和医院等中，并且可以 将信息读取功能加入其中。并且，机构方终端120A可以起电子货币 的管理服务器、信用卡公司的管理服务器或点数卡的管理服务器的作 用。因此，不用说，验证系统不仅可以覆盖金融交易领域，而且通用 地覆盖其它领域。并且，验证系统可以用于证明像护照、驾驶证、基本居民登记卡、 借书卡、学生证或雇员证、机票、登机卡或入场券等那样，具有某种 指定人的作用的证件，或者直接替代这些证件。同时，不用说，为了防止信息在通信期间泄漏出去，最好在发送 信息时采取像加密处理或随机数处理那样的保密措施。<笫54实施例>(应用于电子货币结算)第53实施例中的验证系统在银行等的金融交易时进行验证，从 而确保了通过ATM等的金融交易的安全性。在本实施例中，作为第53实施例的修正例，将验证系统用于电 子货币的使用。在下文中，除了另有指定，假设本实施例的结构和动 作与第53实施例中的那些相同。在将验证系统应用于电子货币的情况下，像如下读物那样改变如 图129所示的验证系统的成分。最终方终端160A是安装在商店或医院等中的信息处理器。这个 最终方终端160A具有像通常安装在商店等中的登记器那样的功能。建筑结构方终端110A基本上是按商店和医院安装的信息处理 器，并且可以从安装它们的商店和医院中的各个最终方终端160A中 收集登记人员的信息。机构方终端120A基本上是按电子货币服务提供者安装的服务器 设备，并且可以从按商店和医院安装的建筑结构方终端110A中收集 登记人员的信息。便携式信息设备500是登记人员随身带的设备或记录媒体，并且 存储与这个登记人员有关的信息接触点的地址信息。例如，这个便携 式信息设备500是蜂窝式电话、PHS、 PDA、 USB存储器、IC标签或 IC卡等。在下文中，将说明本实施例中的验证系统的动作。 登记人员个人表示他或她想使用电子货币，然后使商店前面的最终方终端160A读取便携式信息设备500中的"导航电子记录媒体"和个人信息。最终方终端160A将读取的生物测定信息、示出请求电子货币处 理的信息、指定最终方终端160A的空间信息、示出生物测定信息的 读取时间的时间信息、登记器上购买金额显示(登记人员个人的支付 金额)信息、和示出登记人员个人的信息参考目的地是最终方终端 150A的信息发送到建筑结构方终端IIOA。
建筑结构方终端110A —旦从最终方终端160A接收到上述各种 信息，就将它暂时存储在它自身中，并且将从最终方终端160A接收 的信息发送到管理登记人员个人的电子货币信息的机构方终端120A。机构方终端120A—旦接收到上述各种信息，就将它暂时存储在 它自身中，然后，机构方终端120A比较和核对接收的生物测定信息、 和事先存储在它自身中的生物测定信息，并且指定登记人员个人。机构方终端120A在指定了登记人员之后，搜索它自身终端中的 数据库，提取这个指定登记人员个人的交易条件和个人标识ID，并且 根据登记人员个人的个人标识ID，将请求确认登记人员的移动信息是 否存在于包括建筑结构方终端110A的单元之中的信息发送到建筑结 构方终端IIOA。当机构方终端120A从建筑结构方终端IIOA接收到移动信息时， 它比较和核对接收的移动信息和暂时存储的信息，并且进行登记人员 的存在性验证。作为上述存在性验证的结果，在确认这个登记人员存在的情况 下，机构方终端120A创建移动停止信息、和电子货币结算交易许可 信息。同时，这个电子货币结算交易许可信息是示出允许进行交易将货 币信息从登记人员的电子货币帐户传送到最终方终端160A或管理最 终方终端160A的人员(包括机构，群体)的帐户的信息。接着，机构方终端120A参考上述电子货币结算交易许可信息， 并且判断登记人员当前请求的电子货币使用额是否在允许相同登记人 员的使用限制金额之内。在电子货币使用额在使用限制金额之内的情况下，机构方终端 120A进行资金结算，并且将结果信息和移动停止信息发送到建筑结构 方终端IIOA。建筑结构方终端110A —旦从机构方终端120A接收到结果信息 和移动停止信息，就将接收的移动停止信息存储在它自身终端中，并 且，建筑结构方终端110A将接收的结果信息发送到最终方终端160A。 最终方终端160A —旦从建筑结构方终端110A接收到结果信息， 就在它自身终端上显示示出交易已完成的信息。如上所述，才艮据本实施例，验证系统利用不容易虚构的移动信息 验证登记人员，并且只有当这个验证取得成功时才允许通过电子货币 结算，于是，可以防止第三方通过"假冒，，等未授权使用电子货币。同时，在本实施例中，在验证登记人员时，使用了便携式信息设 备500的信息，但是，如果不使用这个便携式信息设备500的信息， 那么只能通过登记人员的生物测定信息验证移动信息。<第55实施例> (应用于信用卡)第53实施例中的验证系统在银行等的金融交易时进行验证，从 而确保了通过ATM等的金融交易的安全性。在本实施例中，作为第53实施例的修正例，将验证系统用于信 用卡的使用。在下文中，除了另有指定，假设本实施例的结构和动作 与第53实施例中的那些相同。在将验证系统应用于信用卡的情况下，像如下阅读中那样改变如 图129所示的验证系统的成分。最终方终端160A是安装在商店或医院等中的信息处理器。这个 最终方终端160A具有像通常安装在商店等中的登记器那样的功能。建筑结构方终端110A基本上是按商店和医院安装的信息处理 器，并且可以从安装它们的商店和医院中的各个最终方终端160A中 收集登记人员的信息。机构方终端120A基本上是按信用卡公司安装的服务器设备，并 且可以从按商店和医院安装的建筑结构方终端110A中收集登记人员 的信息。便携式信息设备500是登记人员随身带的设备或记录媒体，并且 存储与这个登记人员有关的信息接触点的地址信息。例如，这个便携 式信息设备500是蜂窝式电话、PHS、 PDA、 USB存储器、IC标签或 IC卡等。
在下文中，将说明本实施例中的验证系统的动作。登记人员个人表示他或她想使用它的信用卡，然后使商店前面的最终方终端160A读取便携式信息设备500中的"导航电子记录媒体" 和个人信息。最终方终端160A将读取的生物测定信息、示出请求信用卡处理 的信息、指定最终方终端160A的空间信息、示出生物测定信息的读 取时间的时间信息、登记器上购买金额显示(登记人员个人的支付金 额)信息、和示出登记人员个人的信息参考目的地是最终方终端150A 的信息发送到建筑结构方终端110A。建筑结构方终端110A —旦从最终方终端160A接收到上述各种 信息，就将它暂时存储在它自身中，并且将从最终方终端160A接收 的信息发送到管理登记人员个人的信用卡信息的机构方终端120A。机构方终端120A—旦接收到上述各种信息，就将它暂时存储在 它自身中，然后，机构方终端120A比较和核对接收的生物测定信息、 和事先存储在它自身中的生物测定信息，并且指定登记人员个人。机构方终端120A在指定了登记人员之后，搜索它自身终端中的 数据库，提取这个指定登记人员个人的交易条件和个人标识ID，并且 根据提取的登记人员个人的个人标识ID,将请求确认登记人员的移动 信息是否存在于包括建筑结构方终端110A的单元之中的信息发送到 建筑结构方终端IIOA。当机构方终端120A从建筑结构方终端IIOA接收到移动信息时， 它比较和核对接收的移动信息和暂时存储的信息，并且进行登记人员 的存在性验证。作为上述存在性验证的结果，在确认这个登记人员存 在的情况下，机构方终端120A创建移动停止信息、和信用卡结算交 易许可信息。同时，这个信用卡结算交易许可信息是示出信用卡公司允许登记 人员通过信用卡对最终方终端160A或管理最终方终端160A的人员 (包括机构，群体)的帐户进行资金结算处理的信息。接着，机构方终端120A参考上述信用卡结算交易许可信息，并
且判断登记人员当前请求的信用卡使用额是否在允许相同登记人员的 使用限制金额之内。在信用卡使用额在使用限制金额之内的情况下，机构方终端120A 进行信用卡验证结算，并且将验证结果信息和移动停止信息发送到建 筑结构方终端IIOA。建筑结构方终端110A —旦从机构方终端120A接收到验证结果 信息和移动停止信息，就将接收的移动停止信息存储在它自身终端中。 并且，建筑结构方终端110A将接收的验证结果信息发送到最终方终 端160A。最终方终端160A —旦从建筑结构方终端110A接收到验证结果 信息，就在它自身终端上显示示出交易已完成的信息。如上所述，根据本实施例，验证系统利用不容易虚构的移动信息 验证登记人员，并且只有当这个验证取得成功时才允许通过信用卡结 算，于是，可以防止第三方通过"假冒"等未授权使用电子货币。同时，在本实施例中，在验证登记人员时，使用了便携式信息设 备500的信息，但是，如果不使用这个便携式信息设备500的信息， 那么只能通过登记人员的生物测定信息验证移动信息。<第56实施例> (像护照那样的标识卡的替代)第53实施例中的验证系统在银行等的金融交易时进行验证，从 而确保了通过ATM等的金融交易的安全性。在本实施例中，作为第53实施例的修正例，验证系统利用移动 信息进行验证，并且，取代像护照和驾驶证那样的标识卡进行登记人 员的标识。在下文中，除了另有指定，假设本实施例的结构和动作与 第53实施例中的那些相同。在验证系统用于取代标识证件的情况下，像如下阅读中那样改变 如图129所示的验证系统的成分。这里，将护照作为一个例子加以说 明。最终方终端160A是安装在移民拒台上的信息处理器。
建筑结构方终端110A基本上是按机场和港口设施和移民办理大 楼安装的信息处理器，并且可以从安装它们的机场和港口设施和移民 办理大楼中的各个最终方终端160A中收集登记人员的信息，机构方终端120A基本上是按每个国家的外交部和移民局安装的 服务器设备，并且可以从按机场和港口设施和移民办理大楼安装的建 筑结构方终端110A中收集登记人员的信息。便携式信息设备500是登记人员随身带的设备或记录媒体，并且 存储与这个登记人员有关的信息接触点的地址信息。例如，这个便携 式信息设备500是蜂窝式电话、PHS、 PDA、 USB存储器、IC标签或 IC卡等。在下文中，将说明本实施例中的验证系统的动作。登记人员个人表示他或她想进入或离开某个国家，然后使机场和 港口设施和移民办理大楼中的最终方终端160A读取便携式信息设备 500中的"导航电子记录媒体，，和个人信息。最终方终端160A将读取的生物测定信息、示出该人想进入或离 开该国家的信息、指定最终方终端160A的空间信息、示出生物测定 信息的读取时间的时间信息、登记器上购买金额显示(登记人员个人 的支付金额)信息、和示出登记人员个人的信息参考目的地是最终方 终端150A的信息发送到建筑结构方终端IIOA。建筑结构方终端110A —旦从最终方终端160A接收到上述各种 信息，就将它暂时存储在它自身中，并且将从最终方终端160A接收 的信息发送到管理登记人员个人的护照信息的机构方终端120A。机构方终端120A—旦接收到上述各种信息，就将它暂时存储在 它自身中，然后，机构方终端120A比较和核对接收的生物测定信息、 和事先存储在它自身中的生物测定信息，并且指定登记人员个人。机构方终端120A在指定了登记人员之后，搜索它自身终端中的 数据库，提取这个指定登记人员个人的交易条件和个人标识ID，并且 根据提取的登记人员个人的个人标识ID，将请求确认登记人员的移动 信息是否存在于包括建筑结构方终端110A的单元之中的信息发送到
建筑结构方终端IIOA。当机构方终端120A从建筑结构方终端110A接收到移动信息时， 它比较和核对接收的移动信息和暂时存储的信息，并且进行登记人员 的存在性验证。作为上述存在性验证的结果，在确认这个登记人员存 在的情况下，机构方终端120A创建移动停止信息、和移民许可信息。机构方终端120A将移民许可信息和移动停止信息发送到建筑结 构方终端IIOA。建筑结构方终端110A —旦从机构方终端120A接收到移民许可 信息和移动停止信息，就将接收的移动停止信息存储在它自身终端中。 并且，建筑结构方终端110A将接收的移民许可信息发送到最终方终 端160A。最终方终端160A —旦从建筑结构方终端110A接收到移民许可 信息，就在它自身终端上显示示出已经作出移民许可的信息。如上所述，根据本实施例，验证系统利用不容易虚构的移动信息 验证登记人员，并且认为只有当这个验证取得成功时才让登记人员出 示他的标识证件，于是，可以防止第三方通过伪造护照"假冒，，等未授 权使用标识证件。同时，在本实施例中，在验证登记人员时，使用了便携式信息设 备500的信息，但是，如果不使用这个便携式信息设备500的信息， 那么只能通过登记人员的生物测定信息验证移动信息。<第57实施例>(预订票、机票、月票等的无票服务)第53实施例中的验证系统在银行等的金融交易时进行验证，从 而确保了通过ATM等的金融交易的安全性。在本实施例中，作为第53实施例的修正例，进行用在预订票、 机票、月票等的无票服务中的验证。在下文中，除了另有指定，假设 本实施例的结构和动作与第53实施例中的那些相同。在验证系统用于预订票、机票、月票等的无票服务的情况下，像 如下阅读中那样改变如图129所示的验证系统的成分。这里，将机票
作为一个例子加以说明。最终方终端160A是安装在机场拒台和登机口上的信息处理器。 建筑结构方终端IIOA基本上是按机场安装的信息处理器，并且可以从安装它们的机场中的各个最终方终端160A中收集登记人员的信息。机构方终端120A基本上是按航空公司安装的服务器设备，并且 可以从按机场安装的建筑结构方终端110A中收集登记人员的信息。便携式信息设备500是登记人员随身带的设备或记录媒体，并且 存储与这个登记人员有关的信息接触点的地址信息。例如，这个便携 式信息设备500是蜂窝式电话、PHS、 PDA、 USB存储器、IC标签或 IC卡等。在下文中，将说明本实施例中的验证系统的动作。 登记人员个人表示他或她想登上飞机，然后使机场拒台中的最终方终端160A读取便携式信息设备500中的"导航电子记录媒体"和个人信息。最终方终端160A将读取的生物测定信息、示出该人想进行登机 许可处理的信息、指定最终方终端160A的空间信息、示出生物测定 信息的读取时间的时间信息、飞机预订信息、和示出登记人员个人的 信息参考目的地是最终方终端150A的信息发送到建筑结构方终端 IIOA。建筑结构方终端110A —旦从最终方终端160A接收到上述各种 信息，就将它暂时存储在它自身中，并且将从最终方终端160A接收 的信息发送到管理登记人员个人的飞机预订信息的机构方终端120A。机构方终端120A—旦接收到上述各种信息，就将它暂时存储在 它自身中，然后，机构方终端120A比较和核对接收的生物测定信息、 和事先存储在它自身中的生物测定信息，并且指定登记人员个人。机构方终端120A在指定了登记人员之后，搜索它自身终端中的 数据库，提取这个指定登记人员个人的交易条件和个人标识ID，并且 根据提取的登记人员个人的个人标识ID，将请求确认登记人员的移动 信息是否存在于包括建筑结构方终端110A的单元之中的信息发送到 建筑结构方终端IIOA。当机构方终端120A从建筑结构方终端IIOA接收到移动信息时， 它比较和核对接收的移动信息和暂时存储的信息，并且进行登记人员 的存在性验证。作为上述存在性验证的结果，在确认这个登记人员存 在的情况下，机构方终端120A创建移动停止信息、和登机许可信息， 并且将登机许可信息和移动停止信息发送到建筑结构方终端IIOA。建筑结构方终端110A —旦从机构方终端120A接收到登机许可 信息和移动停止信息，就将接收的移动停止信息存储在它自身终端中。 并且，建筑结构方终端110A将接收的登机许可信息发送到最终方终 端160A。最终方终端160A —旦从建筑结构方终端110A接收到登机许可 信息，就在它自身终端上显示示出已经作出登机许可的信息。如上所述，根据本实施例，验证系统利用不容易虚构的移动信息 验证登记人员，并且只有当这个验证取得成功时才允许登记人员使用 无票服务，于是，可以防止像伪造机票那样的不正当行为。同时，在本实施例中，在验证登记人员时，使用了便携式信息设 备500的信息，但是，如果不使用这个便携式信息设备500的信息， 那么只能通过登记人员的生物测定信息验证移动信息。<第58实施例> (第58实施例的结构)图133是示出本发明的第58实施例中验证系统的结构的图形。 如图所示，验证系统包括在他家里读取登记人员的个人信息的最 终方终端160A、收集在整个家里读取的个人信息的建筑结构方终端 IIOA、收集在家周围读取的个人信息的聚集方终端150A、当最终方 终端160A不能与建筑结构方终端IIOA连接时紧急连接的聚集方终端 150W、和存储最终方终端160A读取的个人信息加以备份的建筑结构 方终端IIOM。并且，验证系统具有在离家最近的车站读取登记人员的个人信息 的最终方终端160B、收集在整个车站读取的个人信息的建筑结构方终 端IIOB、收集在车站周围读取的个人信息的聚集方终端150B、当最 终方终端160B不能与建筑结构方终端110B连接时紧急连接的聚集方 终端150W、和存储最终方终端160B读取的个人信息加以备份的建筑 结构方终端IIOK。而且，验证系统具有在医院读取登记人员的个人信息的最终方终 端160C、收集在整个医院读取的个人信息的建筑结构方终端IIOC、 和收集在医院周围读取的个人信息的聚集方终端150C。此外，验证系统具有收集在包括他家和车站的整个区域中读取的 个人信息的区域管理方终端130A、收集在包括车站和医院的整个区域 中读取的个人信息的区域管理方终端130B、和收集和管理来自验证系 统的所有终端的个人信息的验证系统服务器10。本实施例中的验证系统在各个地点读取登记人员的生物测定信 息和掌握登记人员什么时间在什么地方，并且检验事实之间的一致性 (这里称为连续性)，从而判断是否是假冒的。例如，当某登记人员12:00 PM在Tokyo车站，和一分钟之后就 在Sapporo车站确认存在性时，可以判断出登记人员的连续性已丟失 了，并且认为存在第三方假冒等的动作。这样，为了使这个验证系统连续地进行登记人员的验证，必须一 直执行读取登记人员的生物测定信息和验证登记人员等的过程。另一方面，在发生大规模自然灾难等时，存在这个验证系统可能 遭受某种损坏的可能性。例如，当发生地震和发电站和发电厂严重损坏，或由于台风等造 成楼层被洪水淹没使室内电线发生故障时，会出现大范围电力故障、 验证系统中的各种终端或阅读器不能正常工作，和它们的功能受到限 制。其结果是，存在在许多地点验证系统中的单元可能断开的可能性。并且，在这样的环境下，即使没有断开连接，但由于电力供应不 足，也会使电力使用量超过稳定水平和使断路器跳闸，并且，由于电 引线故障和终端插座断开造成的室内电力分布异常，在一些有限区域 中会出现电力故障状况。在本实施例中，即使在这样的突难下，验证系统也可以向登记人 员等紧急提供最低水平的服务。而且，在发生突难时，每个终端或服务器在通过正常电线的供电 停止时，检查其自身终端是否具有自发电功能，并且，当具有自发电 功能时，开始通过该功能自发电，从而保证了供应给它自身终端的电 力。此外，作为其它方法，每个终端或服务器可以从通过电线或通过 无线电供应电力的其它设备接收电力。例如，作为这些方法，存在启 动汽车引擎和通过电线接受生成电力的方法、或通过无线电从蜂窝式电话终端接收电力的另一种方法等。并且，在本实施例中，在发生灾难时由于发电站或输电线出现麻 烦造成大规模电力故障的情况下，将验证系统的操作模式从正常模式 改变成紧急措施模式。当模式被改变成这种紧急措施模式时，本验证系统中的每个终端 或服务器只在它自身中，或在由与它自身连接的少量其它终端和服务 器构成的单元中执行登记人员的验证动作。而且，在这种紧急措施模式下，为了节省电力，限制发送和接收 的信息，从而减少数据量。同时，当像政府等那样的官方机构使用整个验证系统时，政府或 地方政府机构等在发生灾难时发出紧急警报，并且，可以将这个验证 系统强制改变成紧急措施模式。例如，当发出大地震预警时，当检测到地震的初始微动时，当预 计大级别台风登陆时，和当预计密集暴雨时，将模式改变成紧急措施 模式。同时，关于在这种紧急措施模式下所作的那些细节，可以按法律 或系统操作规章事先规定免责或责任减轻条款。(第58实施例的动作) (1)发生灾难之前的动作
图134和图135的每一个是示出本发明的第58实施例中验证系 统的动作流的顺序图。在下文中，参照该图说明本实施例中发生灾难时验证系统的验证 动作。当登记人员个人从他的家里出来时，登记人员使最终方终端160A 读取个人信息(步骤S6001 )，并且，最终方终端160A将读取的个人 信息发送到建筑结构方终端110A (步骤S6002)。建筑结构方终端110A—旦接收到个人信息，就识别出登记人员 已经从他的家里出来(步骤S6003)。并且，建筑结构方终端110A创建示出登记人员已经从他的家里 出来和开始他的动作的信息(步骤S6004)，并且在网络中发送它(步 骤S6005)。此刻，建筑结构方终端110A不仅将信息发送到第17实 施例中的所谓优先连接目的地，而且发送到紧急连接目的地(聚集方 终端150W)、和所谓映像连接目的地(建筑结构方终端110K)(步 骤S6006到S6008)。接收到这个移动开始信息的每个终端暂时存储 该信息。(2) 所有终端都发生电力故障时的动作此后，登记人员到达离他家最近的车站，并且使处在最近车站售 票口的最终方终端160B读取个人信息(步骤S6009 )。这里，假设在读取了个人信息之后发生了地震，出现了断开连接 现象，和对所有终端的供电都停止了。此刻，通过验证系统的信息发 送和验证处理等都暂时停止了。此刻，可以使验证系统改变成上述紧急措施模式。(3) 只对最终方终端供电时的动作此后，当通过启动最近车站等的备用电源，只对处在最近车站售 票口的最终方终端160B恢复供电时，最终方终端160B向预定为优先 连接次序的终端(在第17实施例中说明)发送检验当前是否可以通信 的信号(步骤S6010)。此刻，例如，最终方终端160B将检验信号发 送到建筑结构方终端160B、聚集方终端150Z和建筑结构方终端110M,并且检验当前是否可以通信。此刻，从可以通信的终端将检验信号的响应信号发送回到最终方 终端160B (步骤S6011)。在存在可与最终方终端160B连接的情况 下(步骤S6012,是)，最终方终端160B将可连接终端的ID (下文 称为可连接终端ID )登记到它自身中(步骤S6013 )。最终方终端160B 从现在开始与这个可连接终端相伴，并且通过网络发送和接收信息。另一方面，在不存在可与它自身连接的终端的情况下(步骤 S6012,否)，最终方终端160B在经过了指定时间之后，再次执行步 骤S6010到S6012中的通信目的地确认过程。在本实施例中，作为一个例子，假设作为确认结果，最终方终端 160B可以与建筑结构方终端110B、 110M通信，但它不能与聚集方终 端150Z通信。接着，最终方终端160B证实在它自身中是否存在用于验证的登 记个人信息(步骤S6014)。这时，与第6实施例的方式相同，当在 最终方终端160B中存在累积了登记人员的个人信息等的用于验证的 数据库时，最终方终端160B比较和证实数据库的信息中登记人员的 个人信息、和在步骤S6009中读取的登记人员的个人信息(步骤 S6015 )，并且进行个人验证(步骤S6016 )。其结果是，当指定该人是相同登记人员时，最终方终端160B允 许登记人员进入车站大厅。因此，即使发生了灾难，和可与最终方终端160B通信的终端和 服务器受到限制，如果在它自身中可以进行个人验证，通过执行个人 验证过程，也可以确认相同登记人员。同时，不用说，为了确保人们生活的保密性和安全性，可以由车 站相关成员判断而无需个人验证地允许登记人员进入。然后，最终方终端160B将示出这个登记人员的验证取得成功的 信息发送到聚集方终端150Z (步骤S6017)。此刻，考虑到最终方终端160B的电确保量和消耗量，为了尽可 能长时间地工作，使发送的信息局限于包括登记人员个人的个人标识ID、验证时间、和最终方终端160B的位置信息的基本信息。因此，在本实施例中，紧急时根据最终方终端160B读取的个人信息执行验证过程，从而，即使不可以与在正常操作下执行验证过程的终端和服务器连接，也可以提供通过验证系统的验证服务。 (4)发生灾难之后的恢复动作 接着，将说明发生灾难时，暂时关闭验证系统的网络之后的恢复动作。图136是示出本发明的第58实施例中作为最终方终端160A的连 接目的地的终端的列表数据例子的图形。这个列表数据存储在最终方终端160A中，最终方终端160A参 考这个列表数据，向和从这个列表中的连接目的地发送和接收信息。如图所示，最终方终端150A—旦读取了登记人员的个人信息， 就利用这个读取的个人信息创建移动信息，并且按优先级将这个创建 移动信息发送到"最高优先级，，聚集方终端150A。如果不可与这个聚集 方终端150A连接，那么，将信息发送到"次最高优先级，，机构方终端 120A。并且，最终方终端160A将备份移动信息发送到"映像，，建筑结 构方终端110K。在像发生灾难那样出现紧急情况时，将信息发送到"紧 急"聚集方终端150W。图137是示出本发明的第58实施例中验证系统的动作流的顺序 图。在下文中，参照该图说明本实施例中，在发生突难时关闭网络的 情况下，通过验证系统的网络恢复动作。当发生灾难时，建筑结构方终端IIOK从验证系统服务器IO接收 示出在正常操作时作为移动信息的发送源的最终方终端160A所在的 区域受到侵袭的信息(步骤S6021 )。建筑结构方终端IIOK—旦接收到这个信息，就识别出最终方终 端160A处在灾难侵袭区中，并且处在紧急措施模式下(步骤S6022)。建筑结构方终端110K—旦识别出它处在紧急措施模式下，就将 存储在它自身中的移动信息发送到最终方终端160A和验证系统服务 器10。 如果最终方终端160A正在工作(步骤S6023,是)，它就接收 来自建筑结构方终端110K的移动信息(步骤S6024 )，根据该移动信 息进行个人验证的准备(步骤S6025)，并且确认优先连接目的地的 终端或服务器的操作状况(步骤S6026)。当登记人员个人还活着和可以读取登记人员的个人信息时，最终 方终端160A在考虑了从建筑结构方终端IIOK接收的移动信息之后进 行个人存在性验证。另一方面，当最终方终端160A出现麻烦，不能从建筑结构方终 端110K接收移动信息时(步骤S6023，否)，建筑结构方终端110K 改为将移动信息发送到管理包括最终方终端160A的单元的建筑结构 方终端110A (步骤S6028 )。并且，在建筑结构方终端110A出现麻烦和不能接收移动信息的 情况下(步骤S6027，否)，改为将移动信息发送到聚集方终端150A (步骤S6032 ),而且，在聚集方终端150A不能接收信息的情况下(步 骤S6031，否)，将移动信息发送到管理整个区域的区域管理方终端 130A (步骤S6036 )。(5)灾难受害者数据库并且，在发生这样的灾难时，验证系统可以紧急创建预期存在于 某区域中的人员的数据库(下文称为灾难受害者数据库)，并且将它 用于确认他们的安全性。例如，这个灾难受害者数据库像如下所示那样创建。 验证系统服务器10或区域管理方终端130等估计某个侵袭区中灾难受害，提取它自身和其它终端(侵袭区中的上述映像终端和可连 接终端等)中的移动信息，并且根据登记人员的个人标识ID创建灾难 受害者数据库。并且，验证系统服务器10或区域管理方终端130等可以从存储 在它自身或备份服务器300等中像基本居民登记册、学生登记册、雇 员表、乘客表或电子媒体记录信息等那样的任何信息中提取估计存在
于侵袭区之中的登记人员的人名、个人标识ID等，并且创建数据库。 同时，关于这个灾难受害者数据库的创建，在出现紧急情况时，最好按先验操作规则创建假设存在于某个区域中的人员的数据库，验证系统准备这个这个灾难受害者数据库，从而使最终方终端160B发送的信息通过网络到达验证系统服务器10等，并且可以容易地确认登记人员个人的安全性。这个灾难受害者数据库具有两种功能。第一种是安全性确认材料，验证系统服务器10等每当从侵袭区 接收到指定人的信息时，就根据灾难受害者数据库删除与接收信息相 关的人的数据。从而，只有安全性未得到确认的人员才留在数据库的 列表中，相关成员可以容易地对安全性未得到确认的那些人员进行搜 索活动。并且，第二种是当前位置显示功能，验证系统服务器10等每当 从侵袭区接收到指定人的信息时，将与接收信息有关的位置信息和时 间(时钟时间)信息登记到灾难受害者数据库中，将它发送到访问这 个数据库的终端等，并且逐个显示。例如，在拥有自发电机的医院和 大型建筑物的情况下，可以在早期阶段恢复一部分终端。因此，想告 诉家人和朋友他还活着的那些人可以在去往撤离中心和家里等的途中 访问医院等，然后使安装在医院等中的最终方终端160读取个人标识 ID和个人信息，通过网络将移动信息发送到验证系统服务器10等， 并且可以将它们还活着的意思登记到灾难受害者数据库中。而且，通过利用第二种功能，可以估计或掌握存在于某个区域内 的人员的数量，将它用作发放必要物品和检查救援方法等的量度。同时，作为辅助功能，最好扩展和登记资金结算功能。想像一下， 当灾难受害者想购买必要物品和器具时，他或她可能把钱丢了，并且 金融机构也可能关闭了。因此，在需要资金结算的情况下，除了像登 记人员的个人标识ID、验证时间、最终方终端160的位置信息那样的 基本信息之外，还要加上金额，从而使灾难受害者可以暂时以赊帐的 方式购买物品和使用服务。
购买者通过商店等中的终端读取个人信息，并且将示出他或她想 资金结算的信息和金额发送到数据库，从而使数据库可以将相关金额加入登记人员个人标识ID中和登记结算信息。 (第58实施例的总结)因此，在本实施例中，即使由于灾难等使网络的一部分断开连接， 并且使终端出现故障，各个终端也可以搜索可连接终端和服务器，并 且连接它们，自动形成网络，于是，即使在紧急情况下，也可以尽可 能多地通过验证系统提供验证服务等，以便有效地挽救生命等。<实施例总结>同时，验证系统中的每个终端可以配有或装有可以掌握红外线、 温度、湿度、照明、人体、声音、无线电波状况、电力状况、加速度、 失真、振动、磁性等的传感器。并且，搜索信息综合DB 16、 116、 126、 136、 146、 156和166 累积预定使用每个终端的人员的最少量个人信息，并且在出现自然灾 难和电力故障等的紧急情况时用作紧急验证系统操作的信息。而且，在上述实施例中，将所有数据库中的各种信息与登记人员 特有的个人标识ID相联系，并且加以存储。具体地说，用在这个验证 系统中的数据库必须存储这个个人标识ID。最好，每个终端或服务器在将登记人员个人的历史信息发送到其 它终端和服务器时，附加个人标识ID地自动发送。此外，作为标识登记人员个人的信息，除了上述(暂时)个人计 算机ID之外，还存在登记人员标识信息。例如，这个登记人员标识信息是登记人员个人的生物测定信息、 和登记人员特有的电子信息，并且存储到登记人员拥有的电子记录媒 体等中。在验证系统中为每个登记人员个人登记一个或多登记人员标 识信息。在用在日本的情况下，登记人员特有的个人标识ID可以根据基 本居民登记通告号(指示居民证件代码)发放。作为这个个人标识ID， 存在按原样使用通告号的情况、和通过某种计算方法或随机数将它转 换成其它数字信息，然后使用的另一种情况。同时，在执行时，作为 辅助工具，像护照号、驾驶执照号和基本居民登记卡号那样全国通用的号码也可以用作个人标识ID。在用在海外的情况下，像纳税人号、护照号、居民号等那样可以 统一地涵盖一个国家的全体国民的特有号码可以用作个人标识ID。并且，可以根据护照发放政府机构代码、性别代码、个人出生日 期等的数字或字符，通过某种计算方法或随机数将个人拥有的护照号 转换成其它数字信息。尤其，可以使护照变成全世界通用的标识证件，于是，可以容易 地分配全世界通用的个人标识ID。例如，在像想进入日本的外国人那样，还没有给予日本的标识证 件的号码的情况下，可以容易地根据这个护照号分配个人标识ID。而且，可以在多个设备中重复存储在验证系统中的数据。图119是示出作为本发明实施例的综合DB 11、 111、 121、 131、 141、 151、和161的信息量的想像图。在综合DB11中，存储着与登 记人员有关的所有数据。另一方面，在综合DBlll、 121、 131、 141、 151、和161中，主要存储预计要用在其中的数据，并且，存在于各个 综合DB中的历史信息可以具有重复部分。因此，当组成综合DB 11的登记人员个人的个人信息量是100时， 存在于综合DBlll、 121、 131、 141、 151、和161中的总个人信息量 可以超过100。例如，像姓名、地址和出生日期等那样的基本信息重 复地存储在终端中和用在其中，于是，这个验证系统的数据存在重复。同样，在每个终端中，与终端连接的下层终端的登记人员个人的 个人信息量的总和也未必与上层终端拥有的登记人员个人的个人信息 量匹配。(终端读取方法、数据转换方法的通信)当前，全世界的各种各样制造者和大学研究机构都在开发和制造 生物测定信息阅读器，像终端读取方法、数据转换方法、和一致性和"阈 值"等的计算方法那样它们坚持的技术方法变化很大。
每种技术都有自己的特色，但在相互灵活性方面未加考虑，因此不被认为是整个社会的基础设施。例如，在使用两个生物测定信息阅 读器读取相同指紋的情况下，如果在各自扫描仪中读取方法不同，它们读取的指紋数据就不能用作证实连续性和加强证据。然后，即使在全世界安装了很多生物测定信息阅读器，仅仅是完 成一个过程而已，它们并不能给整个社会和登记人员个人带来方便。 在本实施例中，当验证时，终端和服务器只发送上述移动信息， 以便正常操作验证系统。也就是说，在本实施例中，读取数据的核对 由读取数据的设备进行，此后，在验证系统中发送和接收包括验证事 实的移动信息。因此，构成本实施例的验证系统的设备的数据读取方 法可能相同不同。于是，只要他们遵守"当验证时，发送移动信息，，的最少技术要求限制，最终方终端160等的阅读器的制造者可以对他们的阅读器进行 高度自由的开发和制造，并且可以减轻他们在开发和制造阶段的负担。 同时，将读取生物测定信息等的数据存储在相关阅读器中。 并且，终端和服务器可以存储开发和制造终端、和终端和服务器 管理的下层终端的制造者和研究机构的名称、制造者和研究机构使用 的和形成与这些制造者接触的目的地的终端的终端标识ID、示出数据 读取方法和数据转换方法的特有ID、和可应用设备的特有制造型号 等。例如，聚集方终端150具有列出它自身管理的下层终端的所有功 能的数据库。从而，当终端和服务器可以验证相互读取信息时，在证 实登记在终端和服务器中的登记信息的 一致性中，可以容易地提取信 息。并且，因此可以在数据库中管理它自身管理的终端的功能，从而 可以证实用在整个验证系统中的设备的比率和频率，并且将它们用于 未来扩展策略。而且，可以累积终端和服务器的错误率和故障频率等，于是，可 以将它们用于改进和新技术开发。 此外，关于终端，存储在最终方终端160中的生物测定信息等的 个人信息读取功能、和证据材料的真假判断功能可以以相同方式安装 在其它终端中。而且，最终方终端160可以是蜂窝式电话、便携式终端、普遍存 在通信器、IC卡、和电子记录媒体，并且可以安装在家用电器等中。 同时，这个最终方终端160可以是登记人员个人拥有或占有的那一种， 或可以由登记人员向验证系统的管理方等租借。而且在上述实施例中的验证系统中，登记人员使最终方终端160 等读取他自身的生物测定信息，从而进行验证，同时，字符、数字或 代码等，或它们的组合的电子信息可以通过按键直接输入最终方终端 160等中，或可以读取写入这些电子信息的信息记录媒体，从而进行 验证。上述验证系统中的终端和服务器通过主要装入CPU和存储器中 的程序实现。但是，这个设备或服务器可以通过组合其它可选硬件和 软件构成，本领域的普通技术人员可以容易地理解它们的高设计自由 度。此外，在上述终端和服务器被构造成软件模块的情况下，这个程 序可以记录到光记录媒体、磁记录媒体、或像半导体等那样的记录媒 体中，并且可以从上述记录媒体装入，或可以从通过特定网络连接的 外部设备装入。
权利要求
1.一种验证系统，包括多个服务器，每一个服务器配有管理有关要验证的登记人员的个人信息的数据库；和供所述登记人员操作的多个信息输入设备，通过通信线网络与所述服务器连接，其中，所述信息输入设备将包括所述登记人员输入的信息的移动信息发送到所述服务器，以及所述服务器一旦接收到来自信息输入设备的移动信息，根据接收的移动信息和数据库中的个人信息，进行所述登记人员的存在性的验证。
2. 根据权利要求1所述的验证系统，其中， 所述服务器核对所述接收的移动信息和所述数据库中的个人信息，且当上述信息匹配时，将允许所述信息输入设备执行指定动作的 许可信息发送到所述信息输入设备，以及所述信息输入设备一旦接收到所述许可信息，就执行所述指定动作。
3. 根据权利要求1或2所述的验证系统，其中， 所述移动信息包括示出作为移动信息发送源的信息输入设备的安装位置的位置信息、示出登记人员输入信息的时间的时间信息和所 述登记人员特有的个人标识ID,以及所述服务器一旦接收到包括相同个人标识ID的多个移动信息， 根据所接收的移动信息示出的登记人员的信息输入地点和时间，进行 所述登记人员的存在性的连续验证。
4. 根据权利要求1到3之一所述的验证系统，其中，所述服务器和所述信息输入设备根据所述登记人员的转移路线 发送移动信息。
5. 根据权利要求1到4之一所述的验证系统，其中， 所述信息输入设备配有管理个人信息的数据库，并且当从所述登 记人员输入信息时，所述信息输入设备核对输入信息和数据库中的个 人信息，并且当上述信息匹配时，执行指定动作。
6. 根据权利要求l到5之一所述的验证系统，其中， 所述服务器包括以建筑结构、运输工具、设施、区域或机构为单位集体管理所述信息输入设备的管理服务器、和配有整体管理所述管 理服务器的数据库中的信息的数据库的验证服务器。
7. 根据权利要求6所述的验证系统，其中，所述验证系统具有包括至少一个验证服务器和用于连接信息输 入设备和终端的通信线网络的多个单元，并且所述验证服务器以这些 单元为单位控制对通过信息输入设备进行指定动作的拒绝。
8. 根据权利要求6或7所述的验证系统，其中， 所述验证服务器一旦接收到来自所述信息输入设备的移动信息，将用于限制或禁止所述信息输入设备的指定动作的控制信息发送到安 装在除该信息输入设备所属的单元之外的其它单元中的信息输入设备。
9. 根据权利要求6或7所迷的验证系统，其中， 所述验证服务器在接收到来自信息输入设备的移动信息之后，一旦接收到从除该信息输入设备所属的单元之外的其它单元中的信息输 入设备发送的、包括相同个人标识ID的移动信息，就将用于限制或禁 止对于通过个人标识ID指定的登记人员通过信息输入设备所指定的 动作的控制信息发送到所述信息输入设备。
10. 根据权利要求6到9之一所述的验证系统，其中， 所迷验证服务器一旦接收到来自信息输入设备的移动信息，将用于针对除该信息输入设备所属的单元之外的其它单元中的信息输入设 备和管理服务器而删除移动信息的控制信息发送，到该信息输入设备。
11. 根据权利要求6或7所述的验证系统，其中， 所述验证服务器一旦接收到来自信息输入设备的移动信息，将用于限制或禁止通过信息输入设备指定的动作的控制信息发送到安装在 该信息输入设备所属的单元中的信息输入设备。
12. 根据权利要求6到ll之一所述的验证系统，其中， 所述验证服务器累积所接收的移动信息，并且一旦接收到来自信息输入设备的移动信息，根据作为发送源的本领域技术人员信息输入 设备的安装位置、和累积的移动信息，预测所述登记人员的转移路线， 和将用于进行指定动作的执行准备的控制信息发送到安装在预测转移 路线上的信息输入设备。
13. 根据权利要求6到ll之一所述的验证系统，其中， 所述验证服务器一旦接收到包括示出登记人员使用的运输工具的目的地的信息的移动信息，并接收到来自与所述运输工具有关的信 息输入设备的移动信息，将用于进行指定动作的执行准备的控制信息 发送到与目的地有关的信息输入设备。
14. 根据权利要求12或13所述的验证系统，其中， 所述验证服务器一旦接收到来自安装在所述预测转移路线之外的信息输入设备的移动信息，就将用于限制或禁止通过信息输入设备 指定的动作的控制信息发送到信息输入设备。
15. 根据权利要求1到14之一所述的验证系统，其中， 所述服务器和信息输入设备预置了接收或输入信息的发送目的地的次序，并且在发送所述接收或输入信息失败时，将所述接收或输 入信息发送到失败发送的目的地的下一个发送目的地。
16. 根据权利要求l到15之一所述的验证系统，其中， 验证动作通过核对包括在移动信息中的登记人员的生物测定信息和通过数据库管理的生物测定信息，验证所述登记人员的存在性。
17. 根据权利要求3所述的验证系统，其中， 所述服务器转换局部标识ID和用在受限机构中的个人标识ID。
18. 根据权利要求1或2所述的验证系统，其中， 所述服务器一旦接收到来自信息输入设备的移动信息，就根据接收的移动信息进行验证，并且在验证取得成功时，将允许进行金融交 易或结算交易的许可信息发送到信息输入设备。
19. 根据权利要求1或2所述的验证系统，其中， 所述服务器一旦接收到来自信息输入设备的移动信息，就根据接收的移动信息进行验证，并且在验证取得成功时，将识别已经出示了 官方标识卡的信息发送到信息输入设备。
20. 根据权利要求l到19之一所述的验证系统，其中， 在验证系统中的网络时间上断开的情况下，所述信息输入设备将检验当前连接是否可用的信号发送到可与 自身设备连接的各服务器和其它信息输入设备，并且与其的连接可用 的各服务器或其它信息输入设备建立网络。
21. 根据权利要求20所述的验证系统，其中， 所述信息输入设备存储示出可与自身设备连接的各服务器和其它信息输入设备的列表信息，和在该列表信息上示出连接优先级，以 及在所述验证系统中的网络时间上断开的情况下，所述信息输入设 备发送按照优先级检验和建立网络的信号。
全文摘要
为了提供了一种当通过使用容易被篡改、容易被泄漏且容易被偷窃的电子信息经由网络执行个人验证时，改善登记人员的存在性的验证精度的验证系统并且通过执行使用生物测定信息的相符/不相符的验证和实践/空间验证容易发现未授权动作以改善系统中的安全性。解决问题的手段一种验证服务器(1)包括数据库，用于管理关于要验证的登记人员的个人信息。而且，该验证服务器(1)经由通信网络连接到多个管理服务器(2)并且核对经由管理服务器(2)从个人信息输入设备(3)发送的个人信息与数据库中的个人信息，从而验证登记人员的存在性。
文档编号G06F21/20GK101167080SQ200680014278
公开日2008年4月23日 申请日期2006年3月23日 优先权日2005年3月23日
发明者均 林 申请人:株式会社Ihc