CN103155479A

CN103155479A - 信息认证方法和信息认证系统

Info

Publication number: CN103155479A
Application number: CN2010800696130A
Authority: CN
Inventors: 高桥健太
Original assignee: Hitachi Ltd
Current assignee: Hitachi Ltd
Priority date: 2010-10-29
Filing date: 2010-10-29
Publication date: 2013-06-12
Anticipated expiration: 2030-10-29
Also published as: WO2012056582A1; DK2634955T3; JP5416846B2; EP2634955A4; US20130212645A1; EP2634955A1; JPWO2012056582A1; EP2634955B1; CN103155479B; US9106636B2

Abstract

本发明的目的在于进行隐匿性高的信息认证。在登录时，客户端终端（200）根据登录用的生物体信息生成特征多项式，保存将该特征多项式乘以预定的整数进而乘以范数小的多项式即模板多项式（

）的逆多项式所得辅助多项式（h），并且向认证服务器（100）发送模板多项式（

）。认证服务器（100）将模板多项式（）保存在存储部（105）中。在认证时，客户端终端（200）根据认证用的生物体信息生成特征多项式，向认证服务器（100）发送将辅助多项式（h）乘以该特征多项式进而加上范数小的随机数多项式所得的认证用多项式。认证服务器（100）根据将认证用多项式乘以模板多项式（

）所得的结果，进行登录用/认证用生物体信息的认证判定。

Description

信息认证方法和信息认证系统

技术领域

本发明涉及一种信息认证方法和信息认证系统的技术。

背景技术

使用了生物体信息的认证系统在初始的登录时取得个人的生物体信息，提取被称为特征量的信息进行登录。将该登录信息称为模板。另外，在认证时，认证系统再次从个人取得生物体信息来提取特征量，与以前登录的模板进行对照来确认是否是本人。

在客户端终端和认证服务器经由网络连接的认证系统中，在认证服务器对从客户端终端发送的用户的生物体信息进行认证的情况下，一般是由认证服务器保存模板。另外，在认证时，客户端终端取得用户的生物体信息，提取出生物体信息的特征量来向认证服务器发送，认证服务器将发送来的特征量与模板对照来确认是否是本人。

但是，模板是能够确定个人的信息，因此作为个人信息必须进行严格的管理，存在需要高的管理成本的问题。例如，即使严格进行管理，从隐私的观点出发，也有很多人对登录模板感到心理抵触。另外，一个个人所具有的一种生物体信息的个数是有限的（例如指纹只有10个手指（10种）），因此存在无法如密码、加密密钥那样容易地变更模板的问题。假设在模板泄露而产生了伪造的危险的情况下，存在无法使用该生物体认证的问题。进而，在向不同的系统登录了相同的生物体信息的情况下，甚至对该系统也产生威胁。

因此，提出了以下的方法，即在生物体信息的登录时用固定的函数（一种加密）和客户端终端所具有的保密的参数（一种加密密钥）对特征量进行变换，在隐匿的状态下将原始信息作为模板保管在认证服务器中，在认证时用相同的函数和参数对客户端终端新提取出的生物体信息的特征量进行变换而发送到认证服务器，认证服务器保持变换后的状态对接收到的特征量和模板进行对照（称为可撤销生物体认证）。

根据该方法，由客户端终端保密地保存变换参数，由此认证服务器在认证时也无法知道原始的特征量，因此能够保护个人的隐私。另外，即使在模板泄露了的情况下，通过变更变换参数来再次作成/登录模板，也能够保持安全性。进而，在对不同的系统使用相同的生物体信息的情况下，通过登录用各自不同的参数进行变换后的模板，即使一个模板泄露也能够防止其他系统的安全性降低。

这样的可撤销生物体认证的具体实现方法依赖于生物体信息的种类、对照算法。例如，在专利文献1中，揭示了一种能够应用于静脉认证等根据特征量（图像）的相关值判定类似度那样的生物体认证技术的生物体认证方法和系统实现方法（以下称为相关不变随机过滤）。

根据专利文献1所记载的技术，在登录时，客户端终端对从用户的生物体信息提取出的特征量图像x进行基底变换（傅立叶变换或数论变换），计算基底变换图像X，使随机生成的变换过滤器K对其作用。然后，客户端终端对各第i个像素的每个计算T[i]=X[i]/K[i]，作成变换图像T，登录到认证服务器。将变换过滤器K保存在IC（集成电路）卡等中，由用户持有。

在认证时，客户端终端从用户的生物体信息新提取出特征量图像y，在纵方向和横方向上对像素进行倒序排序后进行基底变换，计算基底变换图像Y。然后，客户端终端使从用户的IC卡读出的变换过滤器K对该基底变换图像Y作用，对各第i个像素的每个计算V[i]=Y[i]×K[i]而作成变换图像V，发送到认证服务器。认证服务器对各像素的每个计算C[i]=T[i]×V[i]（=X[i]×Y[i]），对图像C进行逆基底变换（逆傅立叶变换或逆数论变换），由此计算x和y的相互相关值。根据该相互相关值计算x、y的类似度，判定一致/不一致。

现有技术文献

专利文献

专利文献1：特开2007-293807号公报

发明内容

发明要解决的课题

根据专利文献1所记载的技术，在通过保密的变换过滤器K对特征量x、y进行变换后向认证服务器发送，由此，能够使特征量图像x、y对认证服务器隐匿地执行认证服务器的对照处理。

但是，在服务器管理者具有恶意地试图解读特征量图像x、y的情况下，有可能根据特征量图像x、y的部分信息解读成功。

例如，在一个用户重复进行认证时，能够根据向认证服务器发送的数据之间的关系，建立与基底变换图像Y的各像素值有关的联立方程式。

具体地说，例如假设m次地重复进行认证，将在各认证中提取出的特征量图像设为y1、y2、…、ym。如果将与各特征量图像的倒序排序对应的基底变换图像设为Y1、Y2、…、Ym，则向认证服务器发送的数据是V1=Y1×K、V2=Y2×K、…、Vm=Ym×K、…。因此，认证服务器能够计算V1/V2、V1/V3、…、V1/Vm。V1/Vi=Y1/Yi如果进行变形，则成为

V1Yi=ViY1。

在此，Yi是对原始的特征量图像yi进行基底变换（一次变换）所得的结果，用yi的各像素值的一次结合来表示。因此，上述公式能够看作将yi的各像素值作为未知数的联立一次方程式。如果对i=2、3、…、m进行总结，则作为整体成为与mN个未知数有关的（m-1）N元联立方程式。

这样，未知数比方程式个数多，因此无法唯一地求解。但是，在攻击者（通信路径的窃听者或有恶意的服务器管理者）知道x、y的部分信息的情况下，例如具有图像的周边部分始终是背景色等知识的情况下，未知数的个数减少，有可能唯一地解出方程式，即能够进行解读。

鉴于这样的背景而提出了本发明，本发明的目的在于进行隐匿性高的信息认证。

用于解决课题的手段

为了解决上述课题，本发明提供一种信息认证方法，是在客户端终端和认证服务器中进行的信息的认证的信息认证方法，其特征在于，在登录时，上述客户端终端如果经由输入部取得了登录用的信息，则基于上述登录用的信息，生成第一特征多项式，对预定的整数和多项式进行模运算，生成具有与多项式的模乘运算有关的倒数即逆多项式的、范数为预先设定的预定值以下的模板多项式，通过将上述模板多项式的上述逆多项式和预定的整数与上述第一特征多项式相乘，计算出辅助多项式，将上述辅助多项式保存在自身的存储部中，并且将上述模板多项式发送到认证服务器，接收到上述模板多项式的认证服务器将接收到的上述模板多项式保存在存储介质中，在认证时，上述客户端终端如果经由输入部取得了认证用的信息，则基于上述认证用的信息，生成第二特征多项式，生成范数为预先设定的预定值以下的第一随机数多项式，将上述第二特征多项式与上述辅助多项式相乘，将该乘法运算的结果与上述第一随机数多项式相加而计算出第一认证用多项式，将上述第一认证用多项式发送到上述认证服务器，接收到上述第一认证用多项式的认证服务器将上述模板多项式的逆多项式与上述第一认证用多项式相乘，将该乘法运算的结果除以上述预定的整数，基于该除法运算的结果，判定上述登录用的信息与上述认证用的信息的一致/不一致。

在此，多项式的范数是该多项式的系数的绝对值的最大值。

在实施方式中适当地说明其他解决手段。

发明效果

根据本发明，能够进行隐匿性高的信息认证。

附图说明

图1是表示本实施方式的生物体认证系统的结构例子的图。

图2是表示本实施方式的客户端终端和认证服务器的硬件结构的图。

图3是表示本实施方式的登录处理的步骤的流程图。

图4是表示本实施方式的认证处理的步骤的流程图。

具体实施方式

接着，适当地参照附图，详细说明用于实施本发明的方式（称为“实施方式”）。

在本实施方式中，列举以下的生物体认证系统为例子进行说明，其对生物体信息的特征量进行变换，对认证服务器保持隐匿地在认证服务器内进行生物体信息的对照。

（系统结构）

图1是表示本实施方式的生物体认证系统的结构例子的图。

生物体认证系统1（以下适当地记载为系统）具备：客户端终端200，其进行登录/认证时的生物体信息取得、特征提取、特征量的变换；认证服务器100，其进行后述的模板多项式的保存、认证处理等。客户端终端200和认证服务器100经由VPN（虚拟专用网络）等网络500相互连接。另外，在图1中，与认证服务器100连接的客户端终端200是一台，但也可以是多台客户端终端200与认证服务器100连接。

认证服务器100具备发送接收部101、存储处理部102、多项式运算部103、认证部104、存储部105。

发送接收部101进行与客户端终端200之间的信息的发送接收。

存储处理部102将信息存储在存储部105中，或者从存储部105读入信息。

多项式运算部103进行与多项式有关的运算。

认证部104使用通过多项式运算部103进行运算的结果，进行生物体信息的认证。

在存储部105中，与用户ID（标识符）对应地存储有后述的模板多项式（φ）。

客户端终端200上连接有取得用户的生物体信息（例如虹彩图像、指纹图像、静脉图像等）的生物体信息输入装置400。

客户端终端200具备生物体信息取得部201、特征量提取部202、多项式运算部203、发送接收部204、多项式生成部205、IC卡控制部206。

生物体信息取得部201取得从生物体信息输入装置400发送的生物体信息。

特征量提取部202从生物体信息取得部201取得的生物体信息中提取特征量，生成特征多项式（后述）。

多项式运算部203进行与多项式有关的运算。

发送接收部204进行与认证服务器100之间的信息的发送接收。

多项式生成部205生成特征多项式以外的多项式。

IC卡控制部206将信息存储在作为存储介质的IC卡300中，或者从IC卡300读入信息。

在此，IC卡300是对每个用户发行的，对应地存储有与用户对应的ID、后述说明的辅助多项式（h）、掩码多项式（s）。

例如，在将本实施方式的生物体认证系统1应用于银行ATM（自动柜员机）中的使用者认证的情况下，也能够构成为客户端终端200和生物体信息输入装置400是银行ATM，认证服务器100是银行所管理的服务器机器，IC卡300是现金卡。

（硬件结构）

能够通过具有图2所示那样的硬件结构的计算机600来实现客户端终端200和认证服务器100。

计算机600具备CPU（中央处理单元）601、RAM（随机存取存储器）等存储器602、HDD（硬盘驱动器）603、键盘等输入装置604、显示器等输出装置605、与图1的发送接收部101、204相当的通信装置606。

通过将存储在HDD603中的程序展开在存储器602中，由CPU601执行，来实现图1所示的认证服务器100的存储处理部102、多项式运算部103、认证部104、客户端终端200的特征量提取部202、多项式运算部203、多项式生成部205。

（原理）

以下，说明本实施方式的信息认证方法的原理。

在此，本实施方式的生物体信息例如是指指纹图像、静脉图像、虹彩图像这样的数据。另外，特征量例如是指对指纹或静脉的图像进行增强处理并二值化所得的图像（亮度值的二维数组）、或者根据虹彩图像作成的被称为虹膜码（iris code：虹彩码）的比特列（｛0，1｝的一维数组）等。假定用公式（1）或公式（2）那样的考虑到位置偏离的相互相关值（内积值）来定义2个特征量之间的类似度。

首先，说明虹彩码等特征量具有一维信息的情况。

[数学式1]

C [u] = Σ_{i = 0}^{n - 1} A [i] B [i - u], (| u | \leq Δi) \cdot \cdot \cdot (1)

在此，A[i]、B[i]表示特征量（以下称为一维特征量）的数组。数组的大小为n。

例如，根据A[0]、…、A[n-1]的n个要素来定义数组A[i]。B[i]也同样。

A[i]是事先登录的特征量，B[i]是认证时输入的特征量。

u是偏离位置，Δi是允许的偏离的最大幅度。

在对C[u]应用汉明（hamming）距离的情况下，如果C[i]为预定的值以下，则看作为认证成功。另外，在公式（1）中，将没有定义的数组要素（例如在一维数组的情况下，对于i<u那样的i，B[i-u]为没有定义（数据不存在）的数组要素）看作“0”来进行计算。

针对u=0、即A[i]，在B[i]不偏离的状态下求出C[u]（=C[0]）是理想的，但在取得生物体信息时，由于脸部的倾斜等，A[i]与B[i]的位置不一定一致。考虑到该情况，针对多个偏离位置u计算出C[u]，其中值最小的C[u]（将汉明距离取作C[u]的情况）为用于认证的值。另外，可以认为脸部的倾斜等不会倾斜到一定范围以上，用|u|<Δi来规定u的范围。

这样用公式（1）定义的相互相关数组C具有C[-Δi]、…、C[Δi]这样的2Δi+1个要素。

另外，在使用静脉图像等二维信息作为特征量的情况下，特征量的大小例如为n×m等。

例如数组A[i，j]定义为

A[0，0]、…、A[0，m-1]，

…

A[n-1，0]、…、A[n-1，m-1]

这样的n×m个要素（以下称为二维特征量）。B[i，j]也同样。

这时，用以下的公式（2）定义相互相关数组C[u，v]。

[数学式2]

C [u, v] = Σ_{i = 0}^{n - 1} Σ_{j = 0}^{m - 1} A [i, j] B [i - u, j - v], (| u | \leq Δi, | v | \leq Δj) \cdot \cdot \cdot (2)

u、v、Δi、Δj等与一维特征量中的u、Δi同样，因此省略说明。

这时，用公式（2）定义的相互相关数组C具有

C[-Δi，-Δj]、…、C[Δi，-Δj]，

…

C[-Δi，Δj]、…、C[Δi，Δj]

这样的（2Δi+1）×（2Δj+1）个要素。

另外，在一维特征量和二维特征量的各情况下，数组的各要素取整数值。虹彩码、静脉图像的特征图像满足该条件。

另外，在公式（2）中，也与公式（1）同样地，将没有定义的数组要素（例如对于i<u的i和j<v的j，B[i-uj-v]为没有定义（数据不存在）的数组要素）看作“0”而进行计算。

以下，将A[i]和A[i，j]统一记载为特征量A，将B[i]和B[i，j]统一记载为特征量B。

如上述那样，相互相关数组C[u]（或C[u，v]）表示使特征量B偏离u（或（u，v））来与特征量A对应的情况下的相互相关值（内积值）。虹彩认证、静脉认证、指纹认证等能够根据该所取得的多个相互相关数组C[u]（或C[u，v]）来进行一致/不一致的判定。

以下，在本实施方式中，将C[u]和C[u，v]记载为相互相关数组C。

如以下这样，Br被定义为使数组B的顺序反转所得的数组。这是为了如后述那样将相互相关数组作为多项式的系数来进行计算而进行的处理。

Br[i]=B[n-i-1]（i=0，…、n-1）

Br[i，j]=B[n-i-1，m-j-1]（i=0、…、n-1，j=0、…、m-1）

这样，能够用公式（3）那样的卷积公式来改写公式（1）。

[数学式3]

C [u] = Σ_{i = 0}^{n - 1} A [i] Bi [n - i + u + 1], (| u | \leq Δi) \cdot \cdot \cdot (3)

同样，也能够用公式（4）那样的卷积公式来改写公式（2）。

[数学式4]

C [u, v] = Σ_{i = 0}^{n - 1} Σ_{j = 0}^{m - 1} A [i, j] Br [n - i + u + 1, m - j + v + 1], (| u | \leq Δi, | v | \leq Δj) \cdot \cdot \cdot (4)

在此，定义在系数中具有数组A、Br的各要素的多项式。在一维特征量的情况下为公式（5）和公式（6），在二维特征量的情况下为公式（7）和公式（8）。

[数学式5]

a (x) = Σ_{i = 0}^{n - 1} A [i] x^{i} = A [n - 1] x^{n - 1} + A [n - 2] x^{n - 2} + \cdot \cdot \cdot + A [1] x + A [0] \cdot \cdot \cdot (5)

b (x) = Σ_{i = 0}^{n - 1} Br [i] x^{i} = Br [n - 1] x^{n - 1} + Br [n - 2] x^{n - 2} + \cdot \cdot \cdot + Br [1] x + Br [0]

\cdot \cdot \cdot (6)

[数学式6]

a (x, y) = Σ_{i = 0}^{n - 1} Σ_{j = 0}^{m - 1} A [i, j] x^{i} y^{j}

= A [n - 1, m - 1] x^{n - 1} y^{m - 1} + \cdot \cdot \cdot + A [0, m - 1] y^{m - 1}

\begin{matrix} \cdot \\ \cdot \\ \cdot \end{matrix}

+ A [n - 1,0] x^{n - 1} + \cdot \cdot \cdot + A [0,0] \cdot \cdot \cdot (7)

b (x, y) = Σ_{i = 0}^{n - 1} Σ_{j = 0}^{m - 1} Br [i, j] x^{i} y^{j}

= Br [n - 1, m - 1] x^{n - 1} y^{m - 1} + \cdot \cdot \cdot + Br [0, m - 1] y^{m - 1}

\begin{matrix} \cdot \\ \cdot \\ \cdot \end{matrix}

+ Br [n - 1,0] x^{n - 1} + \cdot \cdot \cdot + Br [0,0] \cdot \cdot \cdot (8)

这些多项式是生物体信息的特征多项式。

在此，将特征多项式a、b相乘所得的多项式是d（d=ab）。能够用系数数组的卷积来计算多项式的积，因此，能够将用公式（3）和公式（4）定义的相互相关数组C的各要素C[u]表示为多项式d的系数。

能够用以下的公式（9）分别表现多项式d。

[数学式7]

d (x) = \underset{i}{Σ} d_{i} x^{i}, d (x, y) = \underset{i, j}{Σ} d_{i, j} x^{i} y^{i} \cdot \cdot \cdot (9)

因此，多项式d的系数与相互相关数组的要素之间的关系在一维特征量的情况下为公式（10），在二维特征量的情况下为公式（11）。

d_n+u-1=C[u]（｜u｜≤Δi） …（10）

d_{n+u-1，m+v-1}=C[u，v]（｜u｜≤Δi，｜v｜≤Δj） …（11）

因此，为了计算相互相关数组C，计算特征多项式a、b的积d即可。将具有用公式（10）、公式（11）表示的系数的多项式d的项称为设定项。

类似度是用公式（1）或公式（2）表示的相互相关数组的要素的值（相互相关值），因此不需要计算积多项式d的全部系数。即，多项式d的系数包含与全部u有关的相互相关数组C的要素，但如上述那样，存在｜u｜≤Δi，｜v｜≤Δj这样的制约，因此不需要计算与全部的u有关的相互相关数组C的要素，因此不需要计算多项式d的全部系数。

因此，定义以下的公式（12）。另外，公式（12）中的α、β是任意的整数。

f（x）=x^N-α，g（y）=y^M-β（N=n+Δi，M=m+Δj） …（12）

另外，使用公式（12）的公式计算以下的剩余多项式（公式（13）是一维特征量的情况，公式（14）是二维特征量的情况）。

c（x）=a（x）b（x）mod f（x） …（13）

c（x，y）=a（x，y）b（x，y）mod｛f（x），g（y）｝ …（14）

另外，公式（14）的右边表示将积多项式a（x，y）b（x，y）除以f（x）、g（y）的双方时的剩余多项式。以下，将c（x）和c（x，y）统一记载为相关多项式c。

这样的剩余多项式即相关多项式c的系数与相互相关数组C的要素之间的关系为公式（15）和公式（16）（公式（15）是一维特征量的情况，公式（16）是二维特征量的情况）。用公式（15）、公式（16）表示的系数是相关多项式c的设定项的系数。

c_n+u-1=C[u]（｜u｜≤Δi） …（15）

c_{n+u-1，m+v-1}=C[u，v]（｜u｜≤Δi，｜v｜≤Δj） …（16）

在此，c_k表示相关多项式c中的x^k的项的系数。同样，c_k,t表示相关多项式c中的x^ky^t的项的系数。

进而，在此，各多项式的系数的定义环不是整数环Z，而是用整数的剩余类环Z_q（将整数除以q所得的余数的集合）置换所得的结果。在此，如果设q为预定的整数，则剩余类环Z_q的代表元为公式（17）。

｛<-（q-1）/2>，<-（q-3）/2>，…，-1，0，1，…，<（q-3）/2>，<（q-1）/2>｝ …（17）

在此，<k>是不超过k的最大的整数（即k的整数部分）。

在此，如果将q设定得充分大，使得｜（q-1）/2｜为相互相关数组C的各要素的值（即类似度的各值）的绝对值的最大值以上，则即使用Z_q置换多项式的系数，根据公式（13）、公式（14）计算的作为积多项式的相关多项式c的系数也不变化，因此能够正确地求出相互相关数组C。

在此，定义用公式（18）和公式（19）表示的剩余多项式环R（公式（18）是一维特征量的情况，公式（19）是二维特征量的情况）。

R=Z_q[x]/（f（x）） …（18）

R=Z_q[x，y]/（f（x），g（y）） …（19）

在此，Z_q[x]、Z_q[x，y]是以剩余类环Z_q的要素作为系数的多项式的集合。

在此，如果将全部的多项式看作剩余多项式环R的元，则能够用以下的公式（20）表示用公式（13）、公式（14）表示的相关多项式c。

c=ab（c，a，b∈R） …（20）

以后，如果没有特别限制，假设在本实施方式中使用的多项式全部是剩余多项式环R的元来进行计算。

在完成了以上的准备后，参照图1同时参照图3和图4，说明本实施方式的可撤销生物体认证的实现方法。为了实现可撤销生物体认证，保持特征多项式a、b隐匿地计算相互相关数组C即可。

（登录时）

首先，表示登录时的计算过程。

在登录时，客户端终端200均匀随机地生成满足以下的条件1～条件3的多项式φ∈R、任意的多项式s∈R。

（条件1）范数（系数的绝对值的最大值）小（预定的值δ以下）。

（条件2）非零的系数的个数为预定的个数L以下（例如L=N/2，但是L不限于该值）。

（条件3）在剩余多项式环R中具有与乘法有关的逆元。即，存在φφ^-1=1的多项式φ^-1∈R。在此，将成为该逆元的多项式称为逆多项式。即，逆多项式是作为与对预定的整数和多项式进行模运算所得的多项式的模乘相关的倒数的多项式。

另外，假设特征多项式a、b的范数也小（预定值δ’以下）。该条件是在图像、代码等中能够容易实现的条件。接着，客户端终端200使用登录用的生物体信息的特征多项式a、上述模板多项式φ、掩码多项式s，计算以下的多项式h。

h=（s+pa）φ^-1 …（21）

在此，p是预定的整数。

以后，将h称为辅助多项式。

客户端终端200将辅助多项式h、掩码多项式s保存在未图示的自身的存储部中、或者存储在IC卡300等中向用户发行。另外，客户端终端200将模板多项式φ发送到认证服务器100，认证服务器100将发送来的模板多项式φ存储在自身的存储部105中。

模板多项式φ与特征多项式a无关地随机地生成，因此完全无法根据模板多项式φ复原生物体信息。另外，可以认为即使假设辅助多项式h、掩码多项式s从客户端终端200泄露，也难以由此求出特征多项式a。

实际上，例如在一维特征量的情况下，如果在公式（21）中设掩码多项式s=0，在h=paφ^-1（在公式（12）中s=0）中设为α=1（即在公式（12）中设为f（x）=x^N-1），则辅助多项式h为与公知的NTRU密码（参照J.Hoffstein,J.Pipherand J.H.Silverman,NTRU:A Ring-Based Public Key Cryptosystem.AlgorithmicNumber Theory(ANTS III),Portland,OR,June1998,J.P.Buhler(ed.),LNCS1423,Springer-Verlag,Berlin,267-288,1998.）的公开密钥相同的形式，特征多项式a或模板多项式φ相当于NTRU密码的秘密密钥。

可以认为根据NTRU密码中的公开密钥推定秘密密钥与求解某种格子问题（NTRU格子中的SVP（最短向量问题））具有相同程度的难度。

在此，说明设掩码多项式s=0、α=1的情况，但即使在除此以外的条件下，本实施方式的可撤销生物体认证也具有与NTRU密码相同程度的安全性。

（认证时）

接着，表示认证时的计算过程。

在认证时，客户端终端200均匀随机地生成满足上述的（条件1）的多项式ε∈R，进而均匀随机地生成满足上述的（条件1）、（条件2）的多项式ψ、满足以下的（条件4）的多项式r∈R（公式（22）是一维特征量的情况，公式（23）是二维特征量的情况）。将该多项式ψ、r称为随机数多项式（随机数多项式ψ为第一随机数多项式，随机数多项式r为第二随机数多项式）。

（条件4）

r_n+u-1=ε_n+u-1（｜u｜≤Δi） …（22）

r_{n+u-1，m+v-1}=ε_{n+u-1，m+v-1}（｜u｜≤Δi，｜v｜≤Δj） …（23）

在此，r_k表示随机数多项式r中的x^k的项的系数，ε_k表示多项式ε中的x^k的项的系数。同样，r_k、t表示随机数多项式r中的x^ky^t的项的系数，ε_k、t表示多项式ε中的x^ky^t的项的系数。

与多项式r有关的（条件4）表示系数的一部分（用公式（22）、公式（23）限定的系数：即与设定项对应的系数）与ε的系数相等（即绝对值为预定值δ以下），除此以外的系数均匀随机地取Z_q的任意的元。

在此，在登录用的信息和认证用的信息是数组n的一维信息，并且作为第一特征量的特征量A和作为第二特征量的特征量B是大小为n的一维数组，设计算出的类似度的个数为2Δi+1的情况下，特征多项式a、特征多项式b是1变量n次多项式，随机数多项式r为1变量而该变量的次数为元n+Δi-1（=N-1）次以下的多项式。

另外，在登录用的信息和认证用的信息是数组数n×m的二维信息，并且作为第一特征量的特征量A和作为第二特征量的特征量B是大小为n×m的二维数组，设计算出的类似度的个数为（2Δi+1）×（2Δj+1）的情况下，特征多项式a、上述第二特征多项式b是一个变量的次数是n次而另一个变量的次数是m次的2变量多项式，随机数多项式r为一个变量的次数是n+Δi-1（=N-1）次以下而另一个变量的次数是n+Δi-1（=M-1）次以下的2变量多项式。

接着，客户端终端200如果取得了用户的生物体信息，读入了保存在IC卡300中的辅助多项式h、掩码多项式s，则针对与该生物体信息对应的特征多项式b，进行以下的计算。

v=hb+ψ，w=sb-r …（24）

客户端终端200向认证服务器100发送计算出的v、w（称为认证用多项式）（在此，认证用多项式v是第一认证用多项式，认证用多项式w是第二认证用多项式）。

接收到认证用多项式v、w的认证服务器100使用保存在存储部105中的φ，计算以下的相关多项式c’’。

c’’=vφ-w

=（hb+ψ）φ-（sb-r）

=（s+pa）b+ψφ-sb+r

=pab+ψφ+r …（25）

在登录时，将预定的整数q设定为相关多项式c’’的范数可取的最大值以上，因此，公式（25）的等式在将各系数看作为整数环Z的元（不是剩余类环Zq）的情况下也成立。接着，认证服务器100将相关多项式c’’的系数看作为整数环Z的元，如下这样将各系数除以预定的整数p，计算舍入为整数的相关多项式c’。

c’=<c’’/p>=ab+<（ψφ+r）/p> …（26）

在此，<k>表示多项式k的各系数的值是不超过该系数的最大整数的多项式（即是作为系数而具有多项式k的各系数的整数部分的多项式）。另外，在登录时的公式（21）中使用的预定的整数p、在认证时的公式（26）中使用的预定的整数p有必要一致，但例如可以在登录时客户端终端200向认证服务器100发送模板多项式φ时，也一起发送预定的整数p，认证服务器100将其与模板多项式φ一起保存在存储部105中，也可以在所有认证处理中使用相同的值的p。

在此，考虑用ε置换公式（26）中的<（ψφ+r）/p>的r所得的e。

e=<（ψφ+ε）/p）> …（27）

r满足上述的（条件4），并且ab=c，因此以下的公式成立（公式（28）是一维特征量的情况，公式（29）是二维特征量的情况）。

c’_n+u-1=c_n+u-1+e_n+u-1（｜u｜≤Δi） …（28）

c’_{n+u-1，m+v-1}=c_{n+u-1，m+v-1+}e_{n+u-1，m+v-1}（｜u｜≤Δi，｜v｜≤Δj） …（29）

在此，e_k表示多项式e的x^k的项的系数，e_k、t表示多项式e的x^ky^t的项的系数。

多项式ψ、φ都满足上述的（条件1）、（条件2），因此它们的积多项式ψφ的范数一定为Lδ²以下。实际上在很多情况下，范数为更小的值。另外，由于多项式ε的范数也比（条件1）小，因此通过适当地选择p，能够任意地减小e的范数。因此，能够代替相关多项式c而使用相关多项式c’的系数来计算特征量数组A、B的类似度（相互相关值）。如果将p设定得大，则e=<（ψφ+ε）/p>=0，即e的设定项中的系数的整数部分能够为0，在相关多项式c’和相关多项式c之间不产生误差。因此，能够达到与基于公式（1）、公式（2）计算类似度并进行判定的情况完全相同的认证精度。

另一方面，如果将p设得小，则e=<（ψφ+ε）/p>≠0，即e的设定项中的系数的整数部分不为0，在c’和c之间产生误差，产生认证精度的劣化，但能够将q设定得小，因此能够减小保存在客户端终端200中的数据（h，s）、认证时向认证服务器100的发送数据（v，w）的数据大小。

在相互相关数组中使用汉明距离的情况下（即在A、B之间的比特运算中使用了异或的情况），认证服务器100只要c’_n+u-1或c’_{n+u-1，m+v-1}中最小的值为预先设定的阈值以下，则判定为认证成功。

根据本实施方式的信息认证方法，能够防止攻击者根据认证用多项式v、w推定特征多项式b的攻击。

实际上例如在一维特征量的情况下，如果在公式（12）中设为α=1（即f（x）=x^N-1），则v为与NTRU密码的密码文相同的形式（在该情况下，将辅助多项式h看作公开密钥，将随机数多项式ψ看作明文）。假设在攻击者知道h的情况下，根据认证用多项式v求出特征多项式b与根据认证用多项式v求出随机数多项式ψ等价（如果求出一个，则也求出另一个）。这可以认为与根据NTRU的密码文（秘密密钥未知）求出明文等价，与求解某种格子问题（NTRU格子中的CVP）具有相同程度的难度。

辅助多项式h被存储在IC卡300中，由用户安全地管理，因此攻击者无法知道辅助多项式h。因此，可以说根据认证用多项式v求出特征多项式b比解读NTRU更难。另外，根据相同的理由，可以说根据认证用多项式w求出特征多项式b也比解读NTRU更难。

这在α≠1的情况下也同样。

进而，可以认为有恶意的用户也难以根据在类似度（相互相关值）的计算过程中得到的信息、例如公式（25）的相关多项式c’’推定特征多项式a、b。实际上，成为在公式（25）的右边加上随机数多项式r的形式。随机数多项式r，由于在（条件4）中指定的系数以外的系数均匀随机地取剩余类环Z_q的任意的元，因此相关多项式c’’的对应的系数值也均匀随机地分布（即噪声化），因此完全无法得到与积多项式ab的对应的系数有关的信息。因此，关于特征多项式a、b，有恶意的用户能够得到的信息只是公式（28）、公式（29）（c=ab，注意公式（20））。这是认证服务器100为了计算特征量A、B的类似度而最低限需要的信息。本实施方式，通过不使除此以外的信息泄露到外部，对有恶意的用户复原生物体信息的攻击也能够确保高安全性。

（流程图）

以下，参照图1，同时按照图3和图4所示的流程图说明到此为止的计算过程。

（登录处理）

图3是表示本实施方式的登录处理的步骤的流程图。

首先，经由客户端终端200的未图示的输入部输入用户的ID（标识符）（S101）。

接着，生物体信息取得部201经由生物体信息输入装置400取得登录用的生物体信息（S102）。

然后，特征量提取部202从输入的登录用的生物体信息中提取特征量，生成特征多项式（a）（S103）。

接着，多项式生成部205在剩余多项式环R的基础上生成均匀随机的掩码多项式（s）（S104）。

接着，多项式生成部205均匀随机地生成满足上述的（条件1）、（条件2）、（条件3）的模板多项式（φ）（S105）。

然后，多项式运算部203执行公式（21）的运算，计算辅助多项式（h）（S106）。

客户端终端200的发送接收部204向认证服务器100发送ID、模板多项式（φ）（S107）。

接收到ID和模板多项式（φ）的认证服务器100的存储处理部102将接收到的ID和模板多项式（φ）作为成对的信息保存在存储部105中（S108）。

另一方面，客户端终端200的IC卡控制部206将ID、辅助多项式h、上述掩码多项式s保存在IC卡300中（S109），由此向用户发行IC卡300。

（认证处理）

图4是表示本实施方式的认证处理的步骤的流程图。

首先，在客户端终端200中，经由IC卡控制部206从IC卡300读入ID、辅助多项式（h）、掩码多项式（s）（S201）。

接着，生物体信息取得部201经由生物体信息输入装置400取得认证用的生物体信息（S202）。

然后，特征量提取部202从取得的认证用的生物体信息中提取特征量，生成特征多项式（b）（S203）。

接着，多项式生成部205均匀随机地生成满足上述的（条件1）、（条件2）的随机数多项式（ψ），进而均匀随机地生成满足（条件1）的多项式ε∈R，在此基础上，均匀随机地生成满足（条件4）的随机数多项式（r∈R）（S204）。

接着，多项式运算部203执行上述的公式（24）的运算，计算认证用多项式（v，w）（S205）。

然后，客户端终端200的发送接收部204将在步骤S201中读入的ID、认证用多项式（v，w）作为成组的信息向认证服务器100发送（S206）。

接收到ID和认证用多项式（v，w）的认证服务器100的存储处理部102将接收到的ID作为关键字，从存储部105中读入与接收到的ID对应的模板多项式（φ）（S207）。

接着，多项式运算部103执行上述的公式（25）、公式（26）的运算，计算相关多项式（c’）（S208）。

然后，认证部104根据相关多项式（c’），计算特征量彼此之间的类似度（S209）。具体地说，在使用汉明距离作为相互相关值的情况下，将相关多项式（c’）的系数（c’_n+u-1、c’_{n+u-1，m+v-1}）作为类似度，提取该类似度中的最小的值。

接着，认证部104根据计算出的类似度，判定登录用生物体信息和认证用生物体信息之间的一致/不一致（S210）。具体地说，认证部104判定在步骤S209中计算出的类似度中的最小值是否比预先设定的阈值小，如果为阈值以下，则判定为“一致”，如果比阈值大，则判定为“不一致”（应用汉明距离作为相互相关值的情况）。

另外，在本实施方式中，没有对相互相关数组、相关多项式c’’、c’进行标准化，但也可以对这些值进行标准化。在一维特征量的情况下，通过将相互相关数组的各数组值、相关多项式c’（或c’’）的各系数除以n-｜u｜来进行标准化。或者，也可以在图4的步骤S205中计算认证用多项式v、w时，由多项式运算部203将v、w除以n-｜u｜。

在二维特征量的情况下，通过将相互相关数组的各数组值、相关多项式c’（或c’’）的各系数除以（n-｜u｜）（m-｜v｜）来进行标准化。或者，也可以在图4的步骤S205中计算认证用多项式v、w时，由多项式运算部203将v、w除以（n-｜u｜）（m-｜v｜）。

另外，在本实施方式中，将辅助多项式（h）和掩码多项式（s）保存在作为存储介质的IC卡300中，但并不限于此，也可以保存在客户端终端200的内置HD、外置HD、USB（通用串行总线：Universal Serial Bus）存储器等中。

进而，在本实施方式中，应用于生物体信息的认证，但并不限于此，也可以将本实施方式应用于例如密码等。

（总结）

根据本实施方式，在维持能够用一个生物体信息使用多个模板的可撤销生物体认证的特性的状态下，认证服务器100保存与特征多项式a无关地随机生成的模板多项式φ，因此，用户能够对认证服务器100的服务器管理者隐匿用户的生物体信息。因此，能够防止生物体信息从认证服务器100泄露。特别针对有恶意的服务器管理者要非法操作来推定用户的生物体特征量a的高度攻击，也能够确保高安全性。

进而，根据本实施方式，使随机数多项式r等对在认证时向认证服务器100发送的信息起作用，由此认证服务器100中的运算结果的系数值均匀随机地分布，因此服务器管理者只能够知道为了得到特征量A、B的相互相关值所需要的最低限的公式（28）、公式（29），能够具有高隐匿性。

另外，根据本实施方式，可以说特征多项式a、b针对通信路径的窃听者、具有恶意的服务器管理者的安全性是与公知的NTRU密码同等以上的安全性。由此，能够构筑针对生物体信息的泄露风险的安全性高的生物体认证系统1。

符号说明

1：生物体认证系统（信息认证系统）；100：认证服务器；101：发送接收部；102：存储处理部；103：多项式运算部（认证服务器）；104：认证部；105：存储部；200：客户端终端；201：生物体信息取得部；202：特征量提取部；203：多项式运算部；204：发送接收部；205：多项式生成部；206：IC卡控制部；300：IC卡（存储介质）；400：生物体信息输入装置。

Claims

1.一种信息认证方法，是在客户端终端和认证服务器中进行的信息的认证中的信息认证方法，其特征在于，

在登录时，

上述客户端终端，

如果经由输入部取得了登录用的信息，

则基于上述登录用的信息，生成第一特征多项式，

对预定的整数和多项式进行模运算，生成具有与多项式的模乘运算有关的倒数即逆多项式的、范数为预先设定的预定值以下的模板多项式，

通过将上述模板多项式的上述逆多项式和预定的整数与上述第一特征多项式相乘，计算出辅助多项式，

将上述辅助多项式保存在自身的存储部中，并且将上述模板多项式发送到认证服务器，

接收到上述模板多项式的认证服务器将上述接收到的模板多项式保存在存储介质中，

在认证时，

上述客户端终端，

如果经由输入部取得了认证用的信息，

则基于上述认证用的信息，生成第二特征多项式，

生成范数为预先设定的预定值以下的第一随机数多项式，

将上述第二特征多项式与上述辅助多项式相乘，将该乘法运算的结果与上述第一随机数多项式相加而计算出第一认证用多项式，

将上述第一认证用多项式发送到上述认证服务器，

接收到上述第一认证用多项式的认证服务器，

将上述模板多项式的逆多项式与上述第一认证用多项式相乘，将该乘法运算的结果除以上述预定的整数，

基于该除法运算的结果，判定上述登录用的信息与上述认证用的信息的一致/不一致。

2.一种信息认证方法，是在客户端终端和认证服务器中进行的信息的认证中的信息认证方法，其特征在于，

在登录时，

上述客户端终端，

经由输入部取得登录用的信息，

根据上述登录用的信息，生成以上述信息为特征的第一特征多项式a，

随机地生成掩码多项式s，

对预定的整数和多项式进行模运算，生成具有与多项式的模乘运算有关的倒数即逆多项式的、范数为预先设定的预定值以下的模板多项式φ，

将预定的整数p与上述第一特征多项式a的积与上述掩码多项式s相加所得的值，进一步乘以上述模板多项式φ的逆多项式φ^-1，由此计算出辅助多项式h=（s+pa）*φ^-1，

将上述计算出的辅助多项式h和掩码多项式s保存在该客户端终端的存储部中，

将上述模板多项式φ发送到认证服务器，

接收到上述模板多项式φ的上述认证服务器将该接收到的模板多项式φ保存在存储介质中，

在认证时，

上述客户端终端，

经由上述输入部取得认证用的信息，

根据上述认证用的信息生成以上述信息为特征的第二特征多项式b，

生成范数为预先设定的预定值以下的第一随机数多项式，

计算出认证用多项式v=hb+ψ和w=sb，

将上述计算出的认证用多项式v、w发送到上述认证服务器，

接收到上述认证用多项式v、w的上述认证服务器，

从上述存储介质取得上述模板多项式φ，

如果计算出多项式c``=vφ-w，则将该多项式c``除以上述预定的整数p，计算出提取出各系数的整数部分所得的多项式c`，

将上述c`中的上述设定项的各系数作为类似度，与预先设定的阈值进行比较，由此判定上述登录用的信息与上述认证用的信息的一致/不一致。

3.一种信息认证方法，是在客户端终端和认证服务器中进行的信息的认证中的信息认证方法，其特征在于，

在登录时，

上述客户端终端，

经由输入部取得登录用的信息，

根据上述登录用的信息，计算出以上述信息为特征的数组即第一特征量，

生成作为系数而具有上述特征量的各数组的多项式即第一特征多项式a，

随机地生成掩码多项式s，

生成模板多项式φ，其系数的绝对值的最大值即范数为预先设定的预定值以下，非零的系数的个数为预先设定的预定个数以下，并且具有成为逆元的多项式，

使用预定的整数p，计算出辅助多项式h=（s+pa）φ^-1，

将上述计算出的辅助多项式h和掩码多项式s保存在存储部中，并且将上述模板多项式φ发送到认证服务器，

在认证时，

上述客户端终端，

经由上述输入部取得认证用的信息，

根据上述认证用的信息，计算出以上述信息为特征的数组即第二特征量，

生成作为系数而具有上述特征量的各数组的多项式即第二特征多项式b，

生成随机数多项式ψ，其系数的绝对值的最大值即范数为预先设定的预定值以下，并且非零的系数的个数为预先设定的预定个数以下，

生成与上述随机数多项式ψ不同的随机数多项式r，其作为系数而具有随机的有限值，但预先设定的项即设定项的系数的值是预定值以下的随机的有限值，

计算出认证用多项式v=hb+ψ和w=sb-r，

将上述计算出的认证用多项式v、w发送到上述认证服务器，

接收到上述认证用多项式v、w的上述认证服务器，

从上述存储部取得上述模板多项式φ，

4.根据权利要求3所述的信息认证方法，其特征在于，

上述预定的整数p是（ψφ+r）/p的系数中的至少上述设定项中的系数的值的整数部分为0的值。

5.根据权利要求3所述的信息认证方法，其特征在于，

上述预定的整数p是在（ψφ+r）/p的设定项中至少一个系数的值的整数部分为1以上的值。

6.根据权利要求3所述的信息认证方法，其特征在于，

在上述登录用的信息和上述认证用的信息是数组n的一维信息，

并且上述第一特征量a和上述第二特征量b是大小为n的一维数组，将计算出的上述类似度的个数设为2Δi+1的情况下，

上述第一特征多项式a、上述第二特征多项式b是1变量n次多项式，上述随机数多项式r是1变量并且该变量的次数为n+Δi-1次以下的多项式。

7.根据权利要求6所述的信息认证方法，其特征在于，

上述第一特征量和上述第二特征量是虹彩码。

8.根据权利要求3所述的信息认证方法，其特征在于，

在上述登录用的信息和上述认证用的信息是数组数为n×m的二维信息，

并且上述第一特征量和上述第二特征量是大小为n×m的二维数组，将计算出的上述类似度的个数设为（2Δi+1）×（2Δj+1）的情况下，

上述第一特征多项式a、上述第二特征多项式b是一个变量的次数是n次而另一个变量的次数是m次的2变量多项式，上述随机数多项式r是一个变量的次数是n+Δi-1次以下而另一个变量的次数是n+Δj-1次以下的2变量多项式。

9.根据权利要求8所述的信息认证方法，其特征在于，

上述登录用的信息和上述认证用的信息是静脉图像。

10.一种信息认证系统，是在客户端终端和认证服务器中进行的信息的认证中的信息认证系统，其特征在于，

上述客户端终端，

在登录时，

如果经由输入部取得了登录用的信息，

则基于上述登录用的信息，生成第一特征多项式，

将上述第一特征多项式乘以预定的整数，进而生成对预定的整数和多项式进行模运算所得的、具有与多项式的模乘运算有关的倒数即逆多项式的、范数为预先设定的预定值以下多项式即模板多项式，乘以该模板多项式的上述逆多项式，由此计算出辅助多项式，

在认证时，

如果经由输入部取得了认证用的信息，

则基于上述认证用的信息，生成第二特征多项式，

生成范数为预先设定的预定值以下的第一随机数多项式，

将上述第一认证用多项式发送到上述认证服务器，

上述认证服务器，

在登录时，如果从上述客户端终端接收到上述模板多项式，则将上述接收到的模板多项式保存在存储介质中，

在认证时，

如果从上述客户端终端接收到上述第一认证用多项式，

则将上述模板多项式的逆多项式与上述第一认证用多项式相乘，将该乘法运算的结果除以上述预定的整数，