远程鉴别系统

1.一种远程鉴别系统，该系统中将鉴别服务器、应用程序服务 器和用户终端分别连接到网络上并进行使用上述用户终端的用户的 鉴别，其特征在于：
上述鉴别服务器具有公开密钥加密方式的公开密钥和秘密密钥 这一组，将公开密钥公开，将秘密密钥隐蔽起来，
将至少1个或多种生物统计信息取得装置连接到上述用户终端 上，
上述生物统计信息取得装置用共用密钥加密方式的共用密钥对 在鉴别时取得的用户的生物统计信息进行加密，
取得日期和时刻信息，将日期和时刻信息与上述共用密钥连接起 来取得报文摘要，再用上述共用密钥对该报文摘要进行加密，
取得用户指定的鉴别服务器的公开密钥，用上述鉴别服务器的公 开密钥对上述共用密钥进行加密，
同时，将已加密的上述生物统计信息、已加密的上述共用密钥、 日期和时刻信息以及将日期和时刻信息与上述共用密钥连接起来对 报文摘要进行加密的信息作为鉴别信息传送到上述用户终端上，
上述用户终端和上述应用程序服务器将该鉴别信息传送到上述 鉴别服务器上，
上述鉴别服务器利用由上述秘密密钥对被传送的鉴别信息进行 了解码而得到的上述共用密钥对用户的生物统计信息进行解码，
利用该生物统计信息来鉴别用户，
用上述秘密密钥对已鉴别的结果和已鉴别的结果的报文摘要进 行加密，将其都传送到上述应用程序服务器上。
2.如权利要求1中所述的远程鉴别系统，其特征在于：
上述生物统计信息取得装置在鉴别时不进行加密地将生物统计 信息传送到上述用户终端上，
上述用户终端用共用密钥加密方式的共用密钥对已取得的用户 的生物统计信息进行加密，
取得用户指定的鉴别服务器的公开密钥，
用上述鉴别服务器的公开密钥对上述共用密钥进行加密，
取得日期和时刻信息，将日期和时刻信息与共用密钥连接起来取 得报文摘要，再用上述共用密钥对该报文摘要进行加密，
同时，将上述已加密的生物统计信息、上述已加密的共用密钥、 日期和时刻信息以及将日期和时刻信息与共用密钥连接起来对报文 摘要进行加密的信息作为鉴别信息传送到上述用户终端上。
3.如权利要求1～2的任一项中所述的远程鉴别系统，其特征在 于：
上述用户终端在鉴别时在生成对所取得的用户的生物统计信息 进行加密的共用密钥加密方式的共用密钥的情况下，使用该生物统计 信息作为生成上述共用密钥用的随机数的一部分或全部。
4.如权利要求1～2的任一项中所述的远程鉴别系统，其特征在 于：
上述生物统计信息取得装置包含管理生物统计信息取得装置的 管理者的鉴别部和对生物统计信息取得装置进行初始化的初始化者 的鉴别部，
上述2个鉴别部独立地进行鉴别，即使在不鉴别上述管理者的情 况下，也能由上述初始化者的鉴别来进行初始化。
5.如权利要求1～2的任一项中所述的远程鉴别系统，其特征在 于：
上述鉴别服务器存储在用户鉴别时对照了生物统计信息的结果 的对照率的经历，
在用户鉴别时不验明为本人的情况下，比较到上次为止的将用户 验明为本人时的平均对照率，
确认这次的对照率的变动是否大到上述管理者确定的规定值以 上，
在对照率的变动大到该规定值以上的失败次数达到了上述管理 者确定的规定值以上的情况下，通知预先登记的联络者。
6.如权利要求1～2的任一项中所述的远程鉴别系统，其特征在 于：
上述鉴别服务器存储在用户鉴别时对照了生物统计信息的结果 的对照率的经历，
在用户鉴别时在验明为本人的情况下，比较到上次为止的将用户 验明为本人时的对照率，
在对照率相同、而未存储生物统计信息的报文摘要的情况睛，使 用户鉴别失败，计算出这次的生物统计信息的报文摘要，与对照率一 起进行存储，
在对照率相同、而存储了生物统计信息的报文摘要的情况下，计 算出这次的生物统计信息的报文摘要，与对照率成组地进行存储，同 时与过去的相同的对照率中的生物统计信息的报文摘要进行比较，如 果不同的话，则验明为本人，
在这次的对照率和报文摘要的组与过去的对照率和报文摘要的 组完全一致的情况下，不验明为本人，
同时，在与过去的对照率和报文摘要的组完全一致的情况达到了 管理者确定的规定值以上的情况下，通知预先登记的联络者。
7.一种远程鉴别系统，该系统中将鉴别服务器和用户终端分别 连接到网络上并进行使用上述用户终端的用户的鉴别，其特征在于：
上述鉴别服务器具有公开密钥加密方式的公开密钥和秘密密钥 这一组，将公开密钥公开，将秘密密钥隐蔽起来，
将至少1个或多种生物统计信息取得装置连接到上述用户终端 上，
上述生物统计信息取得装置用共用密钥加密方式的共用密钥对 在鉴别时取得的用户的生物统计信息进行加密，
取得日期和时刻信息，将日期和时刻信息与共用密钥连接起来取 得报文摘要，再用共用密钥对该报文摘要进行加密，
取得用户指定的上述鉴别服务器的公开密钥，用上述鉴别服务器 的公开密钥对上述共用密钥进行加密，
同时，将已加密的上述生物统计信息、已加密的共用密钥、日期 和时刻信息以及将日期和时刻信息与共用密钥连接起来对报文摘要 进行加密的信息作为鉴别信息传送到上述用户终端上，
上述用户终端将该鉴别信息传送到上述鉴别服务器上，
上述鉴别服务器利用由上述秘密密钥对被传送的鉴别信息进行 了解码而得到的上述共用密钥对用户的生物统计信息进行解码，
利用该生物统计信息来鉴别用户，
用上述秘密密钥对已鉴别的结果和已鉴别的结果的报文摘要进 行加密，将其都传送到上述终端上。
8.如权利要求7中所述的远程鉴别系统，其特征在于：
上述生物统计信息取得装置在鉴别时不进行加密地将生物统计 信息传送到上述用户终端上，
上述用户终端用共用密钥加密方式的共用密钥对已取得的用户 的生物统计信息进行加密，
取得用户指定的鉴别服务器的公开密钥，
用上述鉴别服务器的公开密钥对上述共用密钥进行加密，
取得日期和时刻信息，将日期和时刻信息与共用密钥连接起来取 得报文摘要，再用上述共用密钥对该报文摘要进行加密，
同时，将上述已加密的生物统计信息、上述已加密的共用密钥、 日期和时刻信息以及将日期和时刻信息与共用密钥连接起来对报文 摘要进行加密的信息作为鉴别信息传送到上述用户终端上。
9.如权利要求7～8的任一项中所述的远程鉴别系统，其特征在 于：
上述用户终端在鉴别时在生成对所取得的用户的生物统计信息 进行加密的共用密钥加密方式的共用密钥的情况下，使用该生物统计 信息作为生成上述共用密钥用的随机数的一部分或全部。
10.如权利要求7～8的任一项中所述的远程鉴别系统，其特征 在于：
上述生物统计信息取得装置包含管理生物统计信息取得装置的 管理者的鉴别部和对生物统计信息取得装置进行初始化的初始化者 的鉴别部，
上述2个鉴别部独立地进行鉴别，即使在不鉴别上述管理者的情 况下，也能由上述初始化者的鉴别来进行初始化。
11.如权利要求7～8的任一项中所述的远程鉴别系统，其特征 在于：
上述鉴别服务器存储在用户鉴别时对照了生物统计信息的结果 的对照率的经历，
在用户鉴别时不验明为本人的情况下，比较到上次为止的将用户 验明为本人时的平均对照率，
确认这次的对照率的变动是否大到上述管理者确定的规定值以 上，
在对照率的变动大到该规定值以上的失败次数达到了上述管理 者确定的规定值以上的情况下，通知预先登记的联络者。
12.如权利要求7～8的任一项中所述的远程鉴别系统，其特征 在于：
上述鉴别服务器存储在用户鉴别时对照了生物统计信息的结果 的对照率的经历，
在用户鉴别时在验明为本人的情况下，比较到上次为止的将用户 验明为本人时的对照率，
在对照率相同、而未存储生物统计信息的报文摘要的情况睛，使 用户鉴别失败，计算出这次的生物统计信息的报文摘要，与对照率一 起进行存储，
在对照率相同、而存储了生物统计信息的报文摘要的情况下，计 算出这次的生物统计信息的报文摘要，与对照率成组地进行存储，同 时与过去的相同的对照率中的生物统计信息的报文摘要进行比较，如 果不同的话，则验明为本人，
在这次的对照率和报文摘要的组与过去的对照率和报文摘要的 组完全一致的情况下，不验明为本人，
同时，在与过去的对照率和报文摘要的组完全一致的情况达到了 管理者确定的规定值以上的情况下，通知预先登记的联络者。

本发明涉及利用生物统计信息进行个人的识别的远程鉴别系 统。\n迄今为止，为了在与网络连接的信息处理系统中保持机密，必须 对个人进行识别来进行该个人的允许和不允许访问的判断，即进行鉴 别。此外，在银行的现金自动支付机等中，实施了个人的识别和访问 存款余额等该个人的交易信息用的鉴别，在进入或退出机密度高的研 究部门及会员制俱乐部等时也实施了个人的鉴别。\n作为这些鉴别，利用与身份证明书处于同样地位的磁卡、IC卡及 口令等个人的记忆、或这些的组合来实施个人的识别、资格的认定、 即鉴别。但是，存在下述问题：忘记口令等的担心、由于磁卡、IC卡 等丢失、损坏等而处于不能鉴别的状态，或由于被盗窃和口令信息的 泄露，使本人以外的人冒充本人来进行鉴别等。\n此外。作为在网络上鉴别用户的方法之一，有鉴别用户作成的报 文(message)、间接地鉴别用户的数字署名。在数字署名中，首先 报文的发送者将用发送者的密码密钥对将报文的原文进行了压缩的 报文摘要进行了加密的密码文附加在报文上。报文的接收者从所收到 的报文作成报文摘要，此外，从用发送者的解码密钥附加的密码文对 报文摘要进行解码，由于这两个报文摘要一致，确认是发送者本人送 出的报文，没有被篡改。\n此外，在上述的密码方式中，存在使用同一个密钥作为密码密钥 和解码密钥的共用密钥加密方式和密码密钥和解码密钥不同的公开 密钥加密方式。在公开密钥加密方式中，在将一个密钥作为秘密密钥 安全地保管，而将另一个密钥作为公开密钥公布的情况下，由于对由 公开密钥加密的密码文来说，如果未持有秘密密钥，就不能对原来的 报文进行解码，故能以只对发送者所希望的接收者能解码的形态来传 送报文，用秘密密钥加密的密码文能用公开密钥解码成原来的报文， 故接收者可鉴别是来自持有秘密密钥的发送者本人的报文。\n迄今为止，在IETF(Internet Engineering Task Force)的 RFC(Request For Comment)中登记的RFC1421、RFC1422(PEM：Privacy Enhancement for Internet Electuonic Mail互连网电子邮政的增 强保密性)中，利用公开密钥加密方式和共用密钥加密方式进行了上 述数字署名和报文的加密，但由于发送者使用自己的秘密密钥，故存 在下述问题：必须以发送者的责任来管理秘密密钥，必须存储在软 盘、磁卡、IC卡等中，以便安全地保存。\n另一方面，在使用作为指纹信息、掌纹信息、笔迹信息、视网膜 信息等个人的生物特征的生物统计信息进行的鉴别中，冒充是困难 的，如果是本人，则没有必要管理上述秘密密钥的信息等，此外可解 除上述用磁卡、IC卡等鉴别个人时因携带这些物品的麻烦及丢失引起 的威胁及上述口令鉴别时的记忆的麻烦，但存在下述问题：在广泛的 领域中需要进行生物统计信息的鉴别的情况下，必须有管理和鉴别集 中的生物统计信息的装置，从保密性方面来看，在将用户的生物统计 信息传送到进行鉴别的装置中时，必须进行保密等来确保安全性。\n此外，在生成为隐蔽生物统计信息而使用的密码密钥那样的系统 中，一般在密码密钥的生成中使用随机数，但也存在为了使该密码的 解码变得困难故消除该随机数的趋势这一点是重要的这样的问题。\n此外，从保护用户的秘密的方面来看，必须适当地管理取得生物 统计信息的装置，有必要进行管理者的鉴别，但存在下述问题：由于 在该管理者的鉴别中使用了生物统计信息的情况下他人不能代替管 理者，故他人包括始化在内完全不能访问生物统计信息取得装置。也 存在下述问题：即使是正当的管理者，在鉴别中使用的生物统计信息 因事故受到伤害而有较大的变动、或消失等情况下，即使是正当的管 理者包括被始化在内也完全不能访问生物统计信息取得装置。\n此外，在一般进行用户鉴别的系统中，要求早期发现不正当的鉴 别，例如在银行的现金卡等中，具有如果用规定次数的口令进行的鉴 别失败则使该现金卡不能使用等的装置。即使在利用生物统计信息来 鉴别用户的系统中，也有必要早期发现不正当的鉴别，但对每个人来 说，生物统计信息的状态是不同的，例如在利用指纹对照来鉴别个人 的系统中，确定了验明为本人的最低的对照率，但存在下述问题：对 于一个手指变得粗糙或指纹被磨损的人等，即使在该时刻能取得最佳 的生物统计信息，其对照率也是低的，因手指的接触不紧密等小的取 得指纹时的失败，对照率进一步降低，这样鉴别本身失败的概率变 高，对于所有的人都以规定次数来判断为不正当鉴别不能说是公平 的。\n本发明是为了解决上述问题而进行的，其目的在于得到一种远程 鉴别系统和远程鉴别方法，其中在利用生物统计信息进行个人的鉴别 时，在保护了作为用户的个人信息的生物统计信息的基础上能可靠地 受到鉴别，同时有很强的安全性。\n与本发明的第1方面有关的远程鉴别系统是一种将鉴别服务器、 应用程序服务器和用户终端分别连接到网络上并进行使用上述用户 终端的用户的鉴别远程鉴别的系统，\n其中，鉴别服务器具有公开密钥加密方式的公开密钥和秘密密钥 这一组，将公开密钥公开，将秘密密钥隐蔽起来，\n将至少1个或多种生物统计信息取得装置连接到上述用户终端 上，\n生物统计信息取得装置用共用密钥加密方式的共用密钥对在鉴 别时取得的用户的生物统计信息进行加密，\n取得日期和时刻信息，将日期和时刻信息与共用密钥连接起来取 得报文摘要，再用共用密钥对该报文摘要进行加密，\n取得用户指定的鉴别服务器的公开密钥，用上述鉴别服务器的公 开密钥对上述共用密钥进行加密，\n同时，将已加密的生物统计信息、已加密的共用密钥、日期和时 刻信息以及将日期和时刻信息与共用密钥连接起来对报文摘要进行 加密的信息作为鉴别信息传送到用户终端上，\n用户终端和应用程序服务器将该鉴别信息传送到鉴别服务器 上，鉴别服务器利用由上述秘密密钥对被传送的鉴别信息进行了解码 而得到的上述共用密钥对用户的生物统计信息进行解码，\n利用该生物统计信息来鉴别用户，\n用秘密密钥对已鉴别的结果和已鉴别的结果的报文摘要进行加 密，将其都传送到应用程序服务器上。\n此外，与本发明的第2方面有关的远程鉴别系统是一种将鉴别服 务器和用户终端分别连接到网络上并进行使用上述用户终端的用户 的鉴别的远程鉴别系统，\n其中，鉴别服务器具有公开密钥加密方式的公开密钥和秘密密钥 这一组，将公开密钥公开，将秘密密钥隐蔽起来，\n将至少1个或多种生物统计信息取得装置连接到上述用户终端 上，\n生物统计信息取得装置用共用密钥加密方式的共用密钥对在鉴 别时取得的用户的生物统计信息进行加密，\n取得日期和时刻信息，将日期和时刻信息与共用密钥连接起来取 得报文摘要，再用共用密钥对该报文摘要进行加密，\n取得用户指定的鉴别服务器的公开密钥，用上述鉴别服务器的公 开密钥对上述共用密钥进行加密，\n同时，将已加密的生物统计信息、已加密的共用密钥、日期和时 刻信息以及将日期和时刻信息与共用密钥连接起来对报文摘要进行 加密的信息作为鉴别信息传送到用户终端上，\n用户终端将该鉴别信息传送到鉴别服务器上，\n鉴别服务器利用由上述秘密密钥对被传送的鉴别信息进行了解 码而得到的上述共用密钥对用户的生物统计信息进行解码，\n利用该生物统计信息来鉴别用户，\n用秘密密钥对已鉴别的结果和已鉴别的结果的报文摘要进行加 密，将其都传送到用户终端上。\n此外，与本发明的第3方面有关的远程鉴别系统的生物统计信息 取得装置在鉴别时不进行加密地将生物统计信息传送到用户终端 上，用共用密钥加密方式的共用密钥对用户终端已取得的用户的生物 统计信息进行加密，\n取得日期和时刻信息，将日期和时刻信息与共用密钥连接起来取 得报文摘要，再用共用密钥对该报文摘要进行加密，\n取得用户指定的鉴别服务器的公开密钥，\n用上述鉴别服务器的公开密钥对上述共用密钥进行加密，\n同时，将已加密的生物统计信息、已加密的共用密钥、日期和时 刻信息以及将日期和时刻信息与共用密钥连接起来对报文摘要进行 加密的信息作为鉴别信息进行传送。\n此外，与本发明的第4方面有关的远程鉴别系统使用该生物统计 信息作为生成对在鉴别时取得的用户的生物统计信息进行加密的共 用密钥加密方式的共用密钥用的随机数的一部分或全部。\n此外，与本发明的第5方面有关的远程鉴别系统的生物统计信息 取得装置包含：管理生物统计信息取得装置的管理者的鉴别部和对生 物统计信息取得装置进行初始化的初始化者的鉴别部，\n上述2个鉴别部独立是鉴别，即使在不鉴别管理者的情况下也能 通过初始化者的鉴别而只实施初始化。\n与本发明的第6方面有关的远程鉴别系统的鉴别服务器存储在用 户鉴别时对照了生物统计信息的结果的对照率的经历，\n在用户鉴别时不验明为本人的情况下，比较到上次为止的将用户 验明为本人时的平均对照率，\n确认这次的对照率是否变动得大于管理者确定的规定值以上，\n在对照率的变动为该规定值以上的失败次数达到了管理者确定 的规定值以上的情况下，通知预先登记的联络者。\n与本发明的第7方面有关的远程鉴别系统的鉴别服务器存储在用 户鉴别时对照了生物统计信息的结果的对照率的经历，\n在用户鉴别时验明为本人的情况，比较到上次为止的将用户验明 为本人时的对照率，\n在对照率相同、未存储生物统计信息的报文摘要的情况下，使用 户鉴别失败，计算出这次的生物统计信息的报文摘要，与对照率一起 进行存储，\n在对照率相同、存储了生物统计信息的报文摘要的情况下，计算 出这次的生物统计信息的报文摘要，与对照率成组地进行存储，同时 与过去的相同的对照率中的生物统计信息的报文摘要进行比较，如果 不同的话，则验明为本人，\n在这次的对照率和报文摘要的组与过去的对照率和报文摘要的 组完全一致的情况下，不验明为本人，\n同时，在与过去的对照率和报文摘要的组完全一致的情况达到了 管理者确定的规定值以上的情况下，通知预先登记的联络者。\n图1是示出应用了本发明的远程鉴别系统的Web系统的实施例1 的结构的框图。\n图2是用于说明图1的Web系统中的鉴别的处理的时序图。\n图3是示出应用了本发明的远程鉴别系统的数据库检索系统的实 施例2的结构的框图。\n图4是用于说明图3的数据库检索系统中的鉴别的处理的时序 图。\n图5是示出应用了本发明的远程鉴别系统的Web系统的实施例3 的结构的框图。\n图6是用于说明图5的Web系统中的鉴别的处理的时序图。\n图7是示出应用了本发明的远程鉴别系统的指纹取得装置的管理 时的实施例4的结构的框图。\n图8是示出应用了本发明的远程鉴别系统的鉴别服务器的实施例 5的结构的框图。\n以下对照附图详细地叙述本发明的实施例。\n实施例1\n图1中示出应用了本发明的Web系统1的结构。将鉴别服务器3、 作为需要个人鉴别的应用程序服务器的Web服务器4、用户终端5连 接到网络2上。将生物统计信息取得装置6连接到用户终端5上。在 该Web系统1中，在用户通过用户终端5对Web服务器4进行了访问 的情况下，Web服务器4从鉴别服务器3接受该用户的个人鉴别，由 该结果对于用户进行访问控制。\n鉴别服务器3是由鉴别控制部3A、密码处理部3C、鉴别信息数 据库3B构成的个人计算机及工作站等的计算机装置(作为以下的结 构，示出具有CPU、存储器、盘、通信控制等的计算机装置)，将公 开密钥方式的一个密钥作为公开密钥来公开，将另一个密钥作为秘密 密钥隐蔽起来。\n此外，Web服务器4是这样个人计算机及工作站等的计算机装置， 其中，Web服务器数据库4A、密码处理部4D、鉴别请求部4B、作为 需要个人鉴别的应用程序的Web服务器软件4C(以下将软件记为 S/W)的应用程序进行工作。\n此外，用户终端5是这样的个人计算机及工作站等的计算机装 置，其中Web服务器4的信息的浏览器5A和鉴别信息取得S/W5B进 行工作。此外，将生物统计信息取得装置6连接到用户终端5上。生 物统计信息取得装置6中示出了利用图象处理等将人体的指纹或掌纹 信息作为生物统计信息取得的指纹取得装置7、掌纹取得装置8、将 用户书写的笔迹信息作为生物统计信息取得的文字识别图形输入板 9、利用眼底扫描等将人体的视网膜信息作为生物统计信息取得的视 网膜取得装置10等。\n在这里，以使用指纹取得装置7作为生物统计信息取得装置6的 情况作为例子来说明。此外，指纹取得装置7等生物统计信息取得装 置6取得的生物统计信息可以是图象数据、静电数据等未进行加工的 图象数据，也可以是从图象数据中抽出了特征等的特征点数据。指纹 取得装置7利用图象处理等取得指纹信息，它由传送到用户终端的指 纹信息取得部7A、对指纹信息进行加密的密码处理部7B、取得鉴别 服务器3的公开密钥的公开密钥取得部7C构成。\n其次，说明其工作情况。\n在图2中示出这样的Web系统1中的鉴别处理的流程。\n首先，说明用户利用作为在用户终端5中工作的应用程序的浏览 器5A对Web服务器4的机密度高的Web服务器数据库4A的信息进行 访问的情况(SP5)。作为进行上述机密度高的信息的访问控制的应 用程序的Web服务器软件4C为了判定该用户是否有访问的权限，有 必要进行用户鉴别。\n用户终端5的鉴别信息取得S/W5B从指纹取得装置7取得作为为 了进行鉴别而必要的生物统计信息的指纹信息(SP6)。此时，也有 与其它的S/W(取得鉴别信息的驱动器等的软件)协调一致地工作的 情况。\n被用户终端5的鉴别信息取得S/W5B指示取得指纹信息的指纹取 得装置7的指纹信息取得部7A从用户取得指纹信息(SP1)。由于该 指纹信息是用户固有的个人的信息，故在密码处理部7B中实施加密， 但首先密码处理部7B生成对该指纹信息进行加密用的共用密钥方式 的共用密钥，利用该共用密钥对指纹信息进行加密。同时，密码处理 部7B取得日期和时刻信息，将日期和时刻信息与共用密钥连接起来 取得报文摘要，再用共用密钥对该报文摘要进行加密(SP2)。\n指纹取得装置7的公开密钥取得部7C根据软盘、磁卡、IC卡或 密钥输入等来自用户的指示得到鉴别服务器的公开密钥。或者，在适 当地管理指纹取得装置7的情况下，鉴别服务器3的公开密钥由指纹 取得装置7固定地存储在公开密钥取得部7C中，也有在用户得知的 基础上使用该公开密钥的情况。其次，密码处理部7B用鉴别服务器3 的公开密钥对上述共用密钥进行加密(SP3)。\n然后，指纹取得部7A将被加密的指纹信息、日期和时刻信息、 将被加密的日期和时刻信息与共用密钥连接起来而形成的报文摘 要、以及被加密的共用密钥作为鉴别信息传送到用户终端5鉴别信息 取得S/W5B(SP4)。\n用户终端5的鉴别信息取得S/W5B通过浏览器5A向Web服务器4 传送所取得的鉴别信息。此时，浏览器5A将另外取得的用户名、寄 信地址等用户ID附加在鉴别信息上进行传送(SP7)。\nWeb服务器4的鉴别请示部4B将通过Web服务器软件4C取得的 鉴别信息传送到鉴别服务器3的鉴别控制部3A(SP9)。\n鉴别服务器3的鉴别控制部3A在密码处理部3C中使被传送的鉴 别信息解码，实施用户鉴别。此时，在密码处理部3C中，对从由鉴 别服务器3传送的日期和时刻信息和共用密钥作成的报文摘要的信息 与将连接被加密的日期和时刻信息与共用密钥的报文摘要进行解码 的信息进行比较，在考虑了传送延迟的基础上确认鉴别信息作成日期 和时刻的正当性(SP12)。\n鉴别控制部3A从被传送的鉴别信息中包含的指纹信息和用户 ID、鉴别服务器3的鉴别信息数据库3B中原来存储的个人信息实施 指纹对照。鉴别控制部3A在对照的结果验明为本人的情况下，生成 显示正规用户的鉴别结果，如果对照的结果不能验明为本人，则生成 判断为不是本人鉴别结果。将该鉴别结果送到密码处理部3C，在密码 处理部3C中取得鉴别结果的报文摘要，用鉴别服务器3的秘密密钥 进行加密，即进行数字署名，将该被加密的报文摘要传送到鉴别控制 部3A。鉴别控制部3A将上述被加密的报文摘要并包含鉴别结果在内 通知Web服务器4的鉴别请求部4B(SP13)。\n接受鉴别结果的Web服务器4的鉴别请求部4B将鉴别结果通知 密码处理部4D。密码处理部4D用鉴别服务器3的公开密钥将所通知 的被加密的报文摘要解码，通过与被通知的鉴别结果的报文摘要进行 比较，确认确实是来自正当的鉴别服务器3的通知(SP10)。如果鉴 别请求部4B从密码处理部4D得知已确认是来自正当的鉴别服务器3 的通知这一点则将鉴别结果通知Web服务器软件4C。Web服务器软件 4C根据该鉴别结果对于该用户判定访问Web服务器数据库4A的机密 度高的信息的许可·不许可(SP11)。例如，进行该机密信息的显示 等，进行对于用户访问的工作。\n这样，将作为用户的个人信息的指纹信息用所生成的共用密钥进 行加密，因为该共用密钥由用户设定的鉴别服务器3的公开密钥进行 加密以及用户在指纹取得装置7中直接设定鉴别服务器3的公开密 钥，故由于指纹信息在只在用户指定鉴别服务器3中才能解码的状态 下在网络上传送，故具有能使作为生物统计信息的指纹信息这样的用 户个人的秘密以反映用户的意志的形态可靠地得到保护的效果。\n再者，使用户在指纹取得装置7中能用软盘、磁卡、IC卡或密钥 输入等只指示鉴别服务器3的公开密钥即可，即使存储了该公开密钥 的软盘、磁卡、IC卡等被丢失或被盗窃，在安全性方面也没有问题， 可利用存储了相同的公开密钥的替代品或相同的物品来接受个人鉴 别。由于存储了该公开密钥的替代品不是由每个用户来管理的，故在 丢失或被盗窃时不需要特别的通告或再发行等的处理，具有可减轻管 理负担的效果。\n此外，由于由鉴别服务器3来确认鉴别信息作成时的日期和时 刻，故可防止不正当的鉴别信息的再使用，由于能由鉴别请求侧的Web 服务器4来确认是否利用鉴别信息鉴别服务器3进行了鉴别，故可保 持高安全性。\n在本实施例中示出了应用于Web系统1的例子，但即使Web服务 器软件4C和浏览器5A例如是构成会计信息管理服务器S/W等其它的 系统的应用程序，也能得到同样的效果。\n实施例2\n在本实施例2中，将实施例1进行简化，图1的Web服务器4和 用户终端5成为图3的用户终端5这一个。在与图1的对应部分附以 相同符号的图3中，由于需要个人鉴别的应用程序只存在于用户终端 5中，故将构成图1的Web服务器软件4C和浏览器5A的系统的2个 应用程序置换为1个数据库检索S/W5E，将Web服务器数据库4A转 换为局部数据库5C。此时，构成图1的Web服务器4的鉴别请求部 4B和密码处理部4D成为图3的用户终端5的构成部件。\n在实施例2中，用户终端5是这样的个人计算机及工作站等的计 算机装置，其中，局部数据库5C、密码处理部5F、鉴别请求部5D、 作为需要个人鉴别的应用程序的数据库检索S/W5E进行工作。此外， 将生物统计信息取得装置6连接到用户终端5上，是与上述的实施例 1完全相同的结构。此外，鉴别服务器3也是与上述的实施例1完全 相同的结构。\n在这里，以使用指纹取得装置7作为生物统计信息取得装置6的 情况作为例子来说明。\n其次，说明其工作情况。\n基本上与实施例1相同，在对于与图2对应部分附以相同的符号 的图4中，首先，说明用户利用作为在用户终端5中工作的应用程序 的数据库检索S/W5E对机密度高的局部数据库5C的信息进行访问的 情况。作为进行上述机密度高的信息的访问控制的应用程序的数据库 检索S/W5E为了判定该用户是否有访问的权限，有必要进行用户鉴别 (SP5)。\n用户终端5的鉴别信息取得S/W5B从指纹取得装置7取得为了进 行鉴别而必要的生物统计信息的指纹信息(SP6)。此时，也有与其 它的S/W(取得鉴别信息的驱动器等的软件)协调一致地工作情况。\n被用户终端5的鉴别信息取得S/W5B指示取得指纹信息的指纹取 得装置的鉴别信息取得部7A从用户取得指纹信息(SP1)。由于该指 纹信息是用户固有的个人的信息，故在密码处理部7B中实施加密， 但首先密码处理部7B生成对该指纹信息进行加密用的共用密钥方式 的共用密钥，利用该共用密钥对指纹信息进行加密。同时，密码处理 部7B取得日期和时刻信息，将日期和时刻信息与共用密钥连接起来 取得报文摘要，再用共用密钥对该报文摘要进行加密(SP2)。\n指纹取得装置7的公开密钥取得部7C根据软盘、磁卡、IC卡或 密钥输入等来自用户的指示得到鉴别服务器3的公开密钥。或者，在 适当地管理指纹取得装置7的情况下，鉴别服务器3的公开密钥由指 纹取得装置7固定地存储在公开密钥取得部7C中，也有在用户得知 的基础上使用该公开密钥的情况。其次，密码处理部7B用鉴别服务 器3的公开密钥对上述共用密钥进行加密(SP3)。然后，指纹取得 部7A将被加密的指纹信息、日期和时刻信息、将被加密的日期和时 刻信息与共用密钥连接起来而形成的报文摘要、以及被加密的共用密 钥作为鉴别信息传送到用户终端5的鉴别信息取得S/W5B(SP4)。\n用户终端5的鉴别信息取得S/W5B取得用户名、寄信地址等用户 ID，附加在鉴别信息上(SP7)。\n鉴别请求部5D将该鉴别信息传送到鉴别服务器3的鉴别控制部 3A(SP7)。\n鉴别服务器3的鉴别控制部3A在密码处理部3C中使被传送的鉴 别信息解码，实施用户鉴别。此时，在密码处理部3C中，对从由鉴 别服务器3传送的日期和时刻信息和共用密钥作成的报文摘要的信息 与将连接被加密的日期和时刻信息与共用密钥的报文摘要进行解码 的信息进行比较，在考虑了传送延迟的基础上确认鉴别信息作成日期 和时刻的正当性(SP12)。\n鉴别控制部3A从被传送的鉴别信息中包含的指纹信息和用户 ID、鉴别服务器3的鉴别信息数据库3B中原来存储的个人信息实施 指纹对照。鉴别控制部3A在对照的结果验明为本人的情况下，生成 显示正规用户的鉴别结果，如果对照的结果不能验明为本人，则生成 判断为不是本人的鉴别结果。将该鉴别结果送到密码处理部3C，在密 码处理部3C中取得鉴别结果的报文摘要，用鉴别服务器3的秘密密 钥进行加密，即进行数据署名，将该被加密的报文摘要传送到鉴别控 制部3A。鉴别控制部3A将上述被加密的报文摘要并包含鉴别结果在 内通知Web用户终端5的鉴别请求部5D(SP13)。\n接受鉴别结果的用户终端5的鉴别请求部5D将鉴别结果通知密 码处理部5F。密码处理部5F用鉴别服务器3的公开密钥将所通知的 被加密的报文摘要解码，通过与被通知的鉴别结果的报文摘要进行比 较，确认确实是来自正当的鉴别服务器3的通知(SP10)。如果鉴别 请求部5D从密码处理部5F得知确认是来自正当的鉴别服务器3的通 知的结果，则将鉴别结果通知数据库检索S/W5E。数据库检索S/W5E 根据该鉴别结果对于该用户判定访问局部数据库5C的机密度高的信 息的许可·不许可。例如，进行该机密信息的显示等，进行用户访问 的工作(SP11)。\n按照这样的结构，在用户终端5向鉴别服务器3请示个人鉴别的 情况下，可得到与上述的实施例1相同的效果。\n在本实施例中，示出了应用于数据库检索系统的例子，但即使数 据库检索S/W例如是构成会计信息管理S/W等其它的系统的应用程 序，也能得到同样的效果。\n实施例3\n在本实施例3中，作为实施例1中的生物统计信息取得装置6的 指纹取得装置7的密码处理部7B和公开密钥取得部7C处于用户终端 5中。\n在对于与图1对应部分附以相同的符号的图5中，用户终端5是 这样的个人计算机及工作站等的计算机装置，其中，显示Web服务器 4的信息的浏览器5A、将指纹信息加密的密码处理部5F、取得鉴别服 务器3的公开密钥的公开密钥取得部5G、鉴别信息取得S/W5B进行工 作。此外，将生物统计信息取得装置6连接到用户终端5上。此外， 鉴别服务器3和Web服务器4也是也上述的实施例1完全相同的结 构。\n此外，本实施例中的生物统计信息取得装置6取得的生物统计信 息可以是图象数据、静电数据等未进行加工的图象数据，也可以是从 图象数据中抽出了特征等的特征点数据，生物统计信息取得装置6也 可以是只取得图象数据的、不安装CPU的简单的装置。\n在此，以使用指纹取得装置7作为生物统计信息取得装置6的情 况作为例子来说明。\n指纹取得装置7由指纹信息取得部7A构成，指纹信息取得部7A 利用图像处理等取得指纹信息，将其传送到用户终端。\n其次，说明其工作情况。\n基本上与实施例1相同，在对于与图2对应部分附以相同的符号 的图6中，首先，说明用户利用作为在用户终端5中工作的应用程序 的浏览器5A对Web服务器4机密度高的Web服务器数据库4A的信息 进行访问的情况(SP5)。作为进行上述机密度高的信息的访问控制 的应用程序的Web服务器软件4C为了判定该用户是否有访问的权 限，有必要进行用户鉴别。\n用户终端5的鉴别信息取得S/W5B从指纹取得装置7取得作为为 了进行鉴别而必要的生物统计信息的指纹信息(SP6)。此时，也有 与其它的S/W(取得鉴别信息的驱动器等的软件)协调一致地工作的 情况。\n被用户终端5的鉴别信息取得S/W5B指示取得指纹信息的指纹取 得装置7的指纹信息取得部7A从用户取得指纹信息(SP1)，传送到 用户终端5的鉴别信息取得S/W5B。\n由于该指纹信息是用户固有的个人的信息，故用户终端5的鉴别 信息取得S/W5B在密码处理部5F中实施加密。首先密码处理部5F生 成对该指纹信息进行加密用的共用密钥方式的共用密钥，利用该共用 密钥对指纹信息进行加密。同时，密码处理部5F取得日期和时刻信 息，将日期和时刻信息与共用密钥连接起来取得报文摘要，再用共用 密钥对该报文摘要进行加密(SP2)。\n用户终端5的公开密钥取得部5G根据硬盘、软盘、磁卡、IC卡 或密钥输入等来自用户的指示得到鉴别服务器的公开密钥。\n其次，密码处理部5F用鉴别服务器3的公开密钥对上述共用密 钥进行加密(SP3)。然后，鉴别信息取得S/W5B将被加密的指纹信 息、日期和时刻信息、将被加密的日期和时刻信息与共用密钥连接起 来而形成的报文摘要、以及被加密的共用密钥作为鉴别信息通过浏览 器5A向Web服务器4传送所取得的鉴别信息。此时，浏览器5A将另 外取得的用户名、寄信地址等用户ID附加在鉴别信息上进行传送 (SP7)。\nWeb服务器4的鉴别请求部4B通过Web服务器软件4C将取得的 鉴别信息传送到鉴别服务器3的鉴别控制部3A(SP9)。\n鉴别服务器3的鉴别控制部3A在密码处理部3C中使被传送的鉴 别信息解码，实施用户鉴别。此时，在密码处理部3C，对从由鉴别服 务器3传送的日期和时刻信息和共用密钥作成的报文摘要的信息与将 连接被加密的日期和时刻信息与共用密钥的报文摘要进行解码的信 息进行比较，在考虑了传送延迟的基础上确认鉴别信息作成日期和时 刻的正当性(SP12)。\n鉴别控制部3A从被传送的鉴别信息中包含的指纹信息和用户 ID、鉴别服务器3的鉴别信息数据库3B中原来存储的个人信息实施 指纹对照。鉴别控制部3A在对照的结果验明为本人的情况下，生成 显示正规用户的鉴别结果，如果对照的结果不能验明为本人，则生成 判断为不是本人的鉴别结果。将该鉴别结果送到密码处理部3C，在密 码处理部3C中取得鉴别结果的报文摘要，用鉴别服务器3的秘密密 钥进行加密，即进行数字署名，将该被加密的报文摘要传送到鉴别控 制部3A。鉴别控制部3A将上述被加密的报文摘要并包含鉴别结果在 内通知Web服务器4的鉴别请求部4B(SP13)。\n接受鉴别结果的Web服务器4的鉴别请求部4B将鉴别结果通知 密码处理部4D。密码处理部4D用鉴别服务器3的公开密钥将所通知 的被加密的报文摘要解码，通过与被通知的鉴别结果的报文摘要进行 比较，确认确实是来自正当的鉴别服务器3的通知(SP10)。结果鉴 别请求部4B从密码处理部4D得知确认了是来自正当的鉴别服务器3 的通知这一情况，则将鉴别结果通知Web服务器软件4C。Web服务器 软件4C根据该鉴别结果对于该用户判定访问Web服务器数据库4A的 机密度高的信息的许可·不许可。例如，进行该机密信息的显示等， 进行用户访问的工作(SP11)。\n这样，将作为用户的个人信息的指纹信息用所生成的共用密钥进 行加密，因为该共用密钥由用户设定的鉴别服务器3的公开密钥进行 加密以及用户在用户终端5中直接设定鉴别服务器3的公开密钥，故 由于指纹信息在只在用户指定的鉴别服务器3中才能解码的状态下在 网络上传送，故具有能使作为生物统计信息的指纹信息这样的用户个 人的秘密以反映用户的意志的形态可靠地得到保护的效果。但是，由 于产生指纹信息在用户终端5中不被加密地存在的期间，故与由指纹 取得装置7加密的情况相比，安全性降低，但在适当地管理用户终端 5本身的情况下是没有问题的，由于在指纹取得装置7中不需要密码 处理部和公开密钥取得部，故具有指纹取得装置7的结构变得简单的 效果。\n除了上述的效果之外，也能得到与上述的实施例1相同的效果。\n此外，也同样能应用于实施例2中示出的数据库检索S/W5E等的 应用程序，可得到上述的同样的效果。\n此外，在实施例1、实施例2、实施例3的所有情况下，生成对 所取得的用户的生物统计信息进行加密用的共用密钥，但为了使该共 用密钥的解码变得困难，有必要消除生成共用密钥用的随机数的趋 势。因为生物统计信息一般来说在每次取得时都具有不同的值，故将 所取得的生物统计信息的报文摘要作为随机数的一部分或全部来利 用。\n如上所述，由于生成从所取得的生物统计信息的报文摘要生成的 随机数，故能简单地完成消除生成的随机数的趋势。而且，由于将该 随机数的一部分或全部作为共用密钥生成用的随机数来使用，故可产 生与鉴别次数或时刻完全没有关系的随机数，对于共用密钥的解码来 说，可构成安全性方面很强的系统。\n实施例4\n虽然只有正当的管理者能实施上述的生物统计信息取得装置的 管理，但在处于不能鉴别正当的管理者是谁的情况下，未经过上述鉴 别的管理者或代行管理的其它人有必要能执行生物统计信息取得装 置的初始化。在实施例1和实施例2的指纹取得装置中，对指纹取得 装置进行了适当的管理，以鉴别服务器的公开密钥在指纹取得装置中 固定地被确定的情况为例说明上述情况。\n图7是设定和改变指纹取得装置12的公开密钥取得部12C中固 定地被存储的公开密钥的管理时的结构。管理终端11是管理S/W11A 工作的个人计算机及工作站等的计算机装置。指纹取得装置12由指 纹信息取得部12A、密码处理部12B、公开密钥取得部12C和管理部 12D构成。\n由于管理终端11的管理S/W11A执行公开密钥设定，故将管理者 的鉴别要求向指纹取得装置12发出。在指纹取得装置12的管理部12D 的管理者鉴别部12D1中，虽然从指纹信息取得部7A取得管理者的指 纹来进行管理者的指纹对照，但可能会陷于不能验明为管理者的事态 发生那样的状态。这相当于因管理者的伤害的缘故使指纹本身消失的 情况等。此时，虽然管理S/W11A命令指纹取得装置12的管理部12D 的初始化者鉴别部12D2进行初始化，但此时利用初始化用的口令等 事前设定的方法来进行初始化者的鉴别。初始化者鉴别部12D2只进 行初始化者的鉴别，只能由初始化者鉴别部12D2在鉴别时执行指纹 取得装置的初始化。\n这样，通过与通常的管理者分开地具备初始化者用的鉴别装置， 即使在管理者不能被鉴别的情况下及管理者突然不在等的情况下，也 能执行初始化，同时具有可防止被没有保持初始化权限的人不正当地 进行初始化的效果。\n实施例5\n图8为将为提高可靠性而发现不正当鉴别的装置应用于上述的鉴 别服务器的情况。鉴别服务器13是这样一种个人计算机及工作站等 的计算机装置，它由经历部13D、鉴别控制部13A、密码处理部13C、 鉴别信息数据库13B构成。\n鉴别服务器13的经历部13D在用户鉴别时取对照了生物统计信 息的结果的对照率的经历。此外，经历部13D在同一用户鉴别时鉴别 控制部13A不验明为本人的情况下，与到上次为止的将用户验明为本 人时的平均对照率进行比较确认这次的对照率的变动没有大到在管 理者确定的规定值以上。经历部13D在对照率的变动在管理者确定的 规定值以上的情况下，使失败次数增加。而且在失败次数达到管理者 确定的规定值以上的情况下，通知预先登记的管理者及用户本身。\n按照该机构，对于管理者或对于打算冒充的用户，由于通知生物 统计信息鉴别特有的异常的对照结果，故可时期发现不正当的鉴别， 可保持系统的高的安全性。\n此外，在生物统计信息的鉴别中，即使对照率是相同的，由于生 物统计信息在每次取得时为不同的信息，故与过去取得的生物统计信 息一致这样的概率是非常小的。以下，说明利用了该生物统计信息鉴 别的特征的无效发现的机构。\n图8的鉴别服务器13的经历部13D在用户鉴别时鉴别控制部13A 验明为本人的情况下，与到上次为止的将用户验明为本人时的对照率 进行比较，确认是否为相同的对照率。在对照率相同、且示存储生物 统计信息的报文摘要的情况下，将用户鉴别定为失败的情况通知鉴别 控制部13A，鉴别控制部13A将鉴别结果定为失败。同时，经历部13D 将生物统计信息的报文摘要与对照率一起进行存储。在对照率相同、 而存储了报文摘要的情况下，计算出这次的生物统计信息的报文摘 要，与过去的相同的对照率下的生物统计信息的报文摘要进行比较， 如果不同的话，验明为本人，但如果一致的话，由于存在冒充的可能 性，故将用户鉴别定为失败，将该情况通知鉴别控制部13A。鉴别控 制部13A将鉴别结果定为失败。经历部13D在对照率和报文摘要一致 而使鉴别失败的情况下，使相同对照率的失败次数增加，在该失败次 数达到管理者确定的规定值以上的情况下，通知预先登记的管理者及 用户本身。\n按照该机构，由于对于管理者或对于打算冒充的用户通知被认为 是因生物统计信息的漏泄引起冒充的异常事态，故可早期发现不正当 的鉴别，可保持系统的高的安全性。此外，由于经历部13D存储的是 第2次以后的相同对照率时的生物统计信息的报文摘要，故具有可削 减存储用的区域的效果，此外，由于是用报文摘要进行的比较，故与 比较生物统计信息本身的情况相比，具有可缩短比较中花费的时间的 效果。\n如上所述，按照本发明，由于将作为用户的个人信息的生物统计 信息加密，生物统计信息只在用户指定的鉴别服务器中能进行解码的 状态下在网络上传送，故具有能以反映用户的意志的形态可靠地保护 生物统计信息这样的用户个人的秘密的效果，同时，在鉴别服务器3 中能确认鉴别信息作成时的日期和时刻，因此能防止不正当的鉴别信 息的再使用，再者由于在鉴别请求侧能确认是否由鉴别服务器进行了 鉴别，故可保持系统的高的安全性。\n再有，虽然用户指示服务器的公开密钥，但假定即使存储了该公 开密钥的软盘、磁卡、IC卡等被丢失或被盗窃，在安全性方面也没有 问题，可利用存储了相同的公开密钥的替代品或相同的物品来接受个 人鉴别，同时，由于存储了该公开密钥的替代品不是由每个用户来管 理的，故在丢失或被盗窃时不需要特别的通告或再发行等的处理，具 有可减轻管理负担的效果。\n此外，由于从所取得的生物统计信息生成共用密钥生成用的随机 数，故可产生与鉴别次数或时刻完全没有关系的随机数，对于共用密 钥的解码来说，可构成安全性方面很强的系统。此外，通过与通常的 管理者分开地具备初始化者用的鉴别装置，即使在管理者突然不在等 的情况下，也能执行初始化，同时具有可防止被没有保持初始化权限 的人不正当地进行初始化的效果。\n此外，由于鉴别服务器取得用户鉴别时的经历，对预先指定的 人，通知生物统计信息鉴别特有的异常的对照结果，故可早期发现不 正当的鉴别，可保持系统的高的安全性。