CN103164646A - 安全性高的生物体认证系统 - Google Patents

Abstract

本发明提供一种安全性高的生物体认证系统，其通过使WAP和LAP的双方降低到一定值以下来实现安全性高的生物体认证。通过生物体信息输入传感器从用户取得生物体信息，通过模板生成部根据上述生物体信息生成模板，通过认证样本生成部根据上述生物体信息生成认证样本，通过对照部对上述认证样本和上述模板进行对照，通过认证样本他人分布推定部推定上述认证样本和他人的上述模板之间的得分所对应的认证样本他人分布，通过模板他人分布推定部推定上述模板和他人的上述认证样本之间的得分所对应的模板他人分布，通过用户判定部使用上述认证样本他人分布和上述模板他人分布中的更难以造成他人接受的一方来进行用户的判定。

Description

安全性高的生物体认证系统

技术领域

本发明涉及一种利用人所具有的生物体特征而对个人进行认证的生物体认证方法和系统。

背景技术

生物体认证作为具有以下优点的认证手段而被公知，即与基于密码、IC卡等的认证相比更难以伪造，还不会忘记。在生物体认证中，在登录时从用户（以后称为登录用户）取得生物体信息，根据它生成被称为特征量的信息并登录。将该登录用的特征量称为模板。在认证时，通过将根据从用户（以后称为认证用户）取得的生物体信息生成的特征量（以后称为认证样本）与模板进行对照，求出得分（类似度或距离），来进行认证。

生物体认证中的特征量可以分为以下的4种：本人拒绝和他人接受都少的特征量；容易造成本人拒绝的特征量；对很多模板造成他人接受的认证样本；对很多认证样本造成他人接受的模板。将它们分别称为Sheep、Goat、Wolf、Lamb。Goat是方便性降低的主要原因，Wolf和Lamb是安全性降低的主要原因。

生物体认证中的认证错误率有FRR（False Reject Rate：错误拒绝率）、FAR（False Accept Rate：错误接受率）2个。FRR是错误地将本人判定为他人的错误率，FAR是错误地将他人判定为本人的错误率。如果设全部的认证样本的集合为V，全部的模板的集合为E，则FAR可以表示为下式。

公式（1）

$\mathrm{FAR}=\underset{v\∈V}{\mathrm{Ave}}\underset{e\∈E,e\≠v}{\mathrm{Ave}}P(\mathrm{match}(v,e)=\mathrm{accept})$

在此，P（match（v，e）=accept）表示通过对认证样本v∈V和模板e∈E进行对照而得到的认证结果是accept的概率，

公式2

$\underset{v\∈V}{\mathrm{Ave}}X$

上式是对v∈V取X的平均值。另外，假设e≠v表示分别从不同的用户提示了模板e和认证样本v的情况。即，FAR是针对全部认证样本和全部模板取产生他人接受的概率值的平均值。

另外，作为生物体认证中的与Wolf和Lamb对应的安全性的评价指标，可以分别定义以下所示那样的WAP（Wolf Attack Probability）和LAP（LambAccept Probability）。WAP是表示为下式的评价指标。

公式（3）

$\mathrm{WAP}=\underset{v\∈V}{\mathrm{Max}}\underset{e\∈E,e\≠v}{\mathrm{Ave}}P(\mathrm{match}(v,e)=\mathrm{accept})$

在此，下式是对v∈V取X的最大值。

公式（4）

$\underset{v\∈V}{\mathrm{Max}}X$

即，WAP是在具有最容易造成他人接受的认证样本的认证用户尝试假冒时其成功的概率值。LAP是表示为下式的评价指标。

公式（5）

$\mathrm{LAP}=\underset{e\∈E}{\mathrm{Max}}\underset{v\∈V,e\≠v}{\mathrm{Ave}}P(\mathrm{match}(v,e)=\mathrm{accept})$

即，LAP是在最容易造成他人接受的模板受到假冒攻击时其成功的概率值。

提出了对Wolf和Lamb的对策技术。例如，在非专利文件1中，提出了以下的偶然概率一致法，即在提示了认证样本v后，从全部模板的集合E中选择了任意的模板x的情况下，计算能够得到认证样本v与模板e的类似度以上的类似度的概率（偶然一致概率）ACP（v，e），如果它比阈值小，则判定为本人，如果是阈值以上，则判定为他人。

非专利文件1：门田启，“基于偶然一致概率的对Wolf攻击是安全的生物体认证”，2010年加密和信息安全专题论文集（SCIS2010）（門田啓，“偶然一致確率によるウルフ攻撃に安全な生体認証”，2010年暗号と情報セキユリテイシンポジウム(SCIS2010)）

非专利文件1的偶然一致概率法能够得到提高对Wolf的安全性的效果。具体地说，非专利文件1揭示了能够通过偶然一致概率法将WAP抑制为一定值以下。但是，在偶然一致概率法中，无法提高对Lamb的安全性。

另外，非专利文件1记述了在偶然一致概率法中，通过交换认证样本的集合V和模板的集合E，能够将LAP抑制为一定值以下。但是，在该情况下，Wolf和Lamb的关系逆转，因此无法提高对Wolf的安全性。

因此，在非专利文件1中，存在无法将WAP和LAP的双方抑制为一定值以下等的问题。

发明内容

为了解决上述问题，在本发明中，采用以下的结构。在登录生物体信息时，求出本人分布和模板的他人分布的KL（kullback-Leibler）距离（也叫做相对熵），将其与阈值进行比较。如果是阈值以上，则判定为Lamb，并使登录其他模板。另外，在认证时，分别使用认证样本的他人分布和模板的他人分布，求出2个对数似然度比，将其中小的一方与阈值进行比较，根据该比较结果进行认证。作为认证，如果超过阈值则设为认证“可”，如果不是，则进行输出使输入其他认证样本等而将认证设为“不可”。

作为更具体的一个形式，采用具有以下的结构的生物体认证系统。设置有：从用户取得生物体信息的生物体信息输入传感器；根据上述生物体信息生成模板的模板生成部；根据上述生物体信息生成认证样本的认证样本生成部；对上述认证样本和上述模模板进行对照的对照部；推定上述认证样本和他人的上述模板之间的得分所对应的认证样本他人分布的认证样本他人分布推定部；推定上述模板和他人的上述认证样本之间的得分所对应的模板他人分布的模板他人分布推定部；使用上述认证样本他人分布和上述模板他人分布中的更难以造成他人接受的一方来进行用户的判定的用户判定部。另外，在本发明中，还包括实施它的方法、构成该系统的装置、方法。

根据本发明，使用认证样本他人分布和模板他人分布中的更难以造成他人接受的一方来进行用户的判定。由此，能够将WAP和LAP抑制为一定值以下等预定条件。其结果是能够得到以下的效果，即能够实现所希望的对Wolf和Lamb的高安全性。

附图说明

图1是表示本发明的第一实施方式的功能结构的框图。

图2是表示本发明的第一实施方式的硬件结构的框图。

图3是表示本发明的第一实施方式的登录处理的流程图。

图4是表示本发明的第一实施方式的认证处理的流程图。

图5是本发明的第一实施方式的认证概念图。

图6是本发明的第一实施方式的登录概念图。

符号说明

100：登录终端；101：生物体信息输入传感器；102：模板生成部；103：对照部；104：模板他人分布推定部；105：KL距离计算部；106：模板质量判定部；107：再登录要求部；108：通信I/F；109：数据库；110：虚拟认证样本；120：本人分布；200：服务器终端；201：对照部；202：认证样本他人分布推定部；203：认证样本对数似然度比推定部；204：模板对数似然度比推定部；205：用户判定部；209：通信I/F；210：数据库；220：登录信息；221：用户ID；222：模板；223：模板他人分布；224：KL距离；240：虚拟模板；250：他人分布

具体实施方式

以下，参照附图，说明本发明的一个实施方式。生物体信息的种类可以是指纹、面部、虹膜、静脉等任意种类。另外，认证样本和模块可以相同也可以不同。

图1表示本实施方式的生物体认证系统的结构例子。该系统包括：将从用户取得的包含模板的登录信息发送到服务器终端的登录终端100；在认证时对从客户端终端发送来的认证样本和模板进行对照来进行用户的判定的认证服务器200；将从用户取得的认证样本发送到服务器终端200的客户端终端300；网络400。

登录终端100、认证服务器200、客户端终端300分别可以是一台，也可以存在多台。另外，登录终端100可以与服务器终端200是同一终端，也可以与客户端终端300是同一终端。另外，服务器终端200可以与客户端终端300是同一终端。另外，服务器终端200保存登录终端100的数据库109，也可以在服务器终端200侧进行登录时的与虚拟（dummy）认证样本110的对照、模板他人分布的推定、KL距离计算、模板质量判定（步骤S104~S107）。网络400可以利用WAN、LAN等网络、使用了USB、IEEE1394等的设备间的通信、或便携电话网、近距离无线通信等无线通信。例如，可以考虑以下的结构，即登录终端100是企业内的PC，服务器终端200是企业所运用的数据中心内的一台服务器，客户端终端300是各职员的PC，网络400是以太网。

登录终端100包括：取得生物体信息的生物体信息输入传感器101；根据生物体信息生成模板的模板生成部102；对认证样本和模板进行对照的对照部103；推定他人的认证样本与模板之间的得分所对应的分布（以后称为模板他人分布）的模板他人分布推定部104；推定本人之间的得分所对应的分布（以后称为本人分布）与模板他人分布的KL距离的KL距离计算部105；判定模板是否是Sheep的模板质量判定部106；在模板不是Sheep的情况下要求再登录的再登录要求部107；通信I/F108；数据库109。

数据库109保存有M1个虚拟认证样本110、本人分布120。作为虚拟认证样本110，例如可以在登录时除了生成模板以外还生成认证样本的情况下，使用该认证样本，也可以使用由系统预先准备的认证样本。另外，在认证样本和模板相同的情况下，也可以使用与虚拟模板240相同的样本。例如有以下这样的求出本人分布120的方法，即根据预先由系统准备的认证样本和模板，求出多个本人之间的得分，使用它们求出本人分布120。

服务器终端200包括：对认证样本和模板进行对照的对照部201；推定认证样本和他人的模板之间的得分所对应的分布（以后称为认证样本他人分布）认证样本他人分布推定部202；使用认证样本他人分布求出对数似然度比的认证样本对数似然度比计算部203；使用模板他人分布求出对数似然度比的模板对数似然度比计算部204；判定认证用户是否是本人的用户判定部205；通信I/F209；数据库210。

数据库210保存有各登录用户的登录信息220、M2个虚拟模板240、本人分布250。登录信息220包括用户ID221、模板222、模板他人分布223、KL距离224。作为虚拟模板240，例如可以使用已经登录了的模板222，也可以使用与所登录的模板222不同的由系统预先准备的模板。

客户端终端300包括：取得生物体信息的生物体信息输入传感器301；根据生物体信息生成认证样本的认证样本生成部302；通信I/F303。

图2表示本实施方式的登录终端100、服务器终端200、客户端终端300的硬件结构。这些终端可以如图所示那样由CPU500、存储器501、HDD502、输入装置503、输出装置504、通信装置505构成。依照存储在HDD502中的程序，由CPU500执行以下所示的各装置的运算。换一种说法，就是如此来执行图1的各部件的运算。

图3表示本实施方式的登录的处理步骤和数据的流程。

登录终端100从用户取得用户ID（步骤S101）。例如能够通过接受来自键盘那样的输入装置的输入，或者从IC卡等记录介质读取来执行。

登录终端100从用户取得生物体信息（步骤S102）。在第二次以后执行本步骤的情况下，也可以取得与上次不同种类的生物体信息（或者不同的手指的指纹、静脉），还可以取得同一种类的生物体信息（或者同一手指的指纹、静脉）。

登录终端100根据取得的生物体信息生成模板（步骤S103）。这也可以通过提取特征量来进行等的公知技术来对应。

登录终端100对从数据库109取得M1个虚拟认证样本和模板进行对照，来求出M1个得分（步骤S104）。

登录终端100使用M1个得分来推定模板他人分布gt（）（步骤S105）。具体地说，在推定出正态分布、β二项分布等模型的基础上，通过最大似然推定、MAP推定等，推定gt（）。或者，也可以代替模板他人分布gt（），而通过逻辑回归来推定对后述的本人分布f（）与gt（）的比取对数的模板对数似然比logf（）/gt（）。

登录终端100求出从数据库109取得的本人分布120f（）与模板他人分布gt（）的KL距离（步骤S106）。能够用公式（6）来表示本人分布f（）与模板他人分布gt（）的KL距离D（f||gt）。

公式（6）

$D\left(f\right|\left|g_t\right)=\∫f\left(s\right)\log \frac{f\left(s\right)}{g_t\left(s\right)}\mathrm{ds}$

这可以作为本人分布使用直方图来计算，或者也可以使用下述的参考文件1所记载的方法来推定。

（参考文件1）Q.Wang，S.Kulkarni，and S.Verdu，“Divergence estimationfor multidimensional densities via k-nearest-neighbor distances”，IEEEInternational Symposium on Information Theory（ISIT2009），vol.55，2009.

登录终端100通过将求出的KL距离与阈值T进行比较，来判定模板的质量（步骤S107）。具体地说，如果KL距离为阈值T以上，则判定为高质量的模板（Sheep），如果未满阈值T，则判定为低质量的模板（Goat或Lamb）。

登录终端100在判定为Sheep的情况下，前进到步骤S110，在不是的情况下，前进到步骤S109（步骤S108）。

登录终端100在前进到步骤S109的情况下，返回步骤S102（步骤S109）。

登录终端100将由用户ID、模板、模板他人分布、KL距离构成的登录信息发送到服务器终端200（步骤S110）。

接收它，服务器终端200接收登录信息，并将其保存在数据库210中（步骤S111）。

接着，使用图4，说明本实施方式的认证的处理步骤和数据的流程。

登录终端100从要求认证的用户取得用户ID（步骤S201）。另外，登录终端100从用户取得生物体信息（步骤S202）。

登录终端100根据取得的生物体信息生成认证样本（步骤S203）。

登录终端100将取得的用户ID和所生成的认证样本发送到服务器终端200（步骤S204）。

服务器终端200接收所发送的用户ID和认证样本，对接收到的认证样本和与接收到的用户ID对应的从数据库210取得的M2个虚拟模板进行对照，求出M2个得分（步骤S205）。

服务器终端200使用求出的M2个得分，推定认证样本他人分布gq（）（步骤S206）。推定方法与模板他人分布gt（）的推定方法相同。

服务器终端200对接收到的认证样本和与接收到的用户ID对应的模板222进行对照，求出得分s（步骤S207）。

服务器终端200使用通过步骤S207求出的得分sJ0、本人分布250f（）、认证样本他人分布gq（），求出认证样本对数似然度比logf（sJ0）/gq（sJ0）（步骤S208）。在步骤S206中使用逻辑回归而推定出认证样本对数似然度比logf（）/gq（）的情况下，不需要本人分布250f（）。

服务器终端200使用通过步骤S207求出的得分sJ0、本人分布250f（）、与接收到的用户ID对应的模板他人分布223gt（），求出模板对数似然度比logf（sJ0）/gt（sJ0）（步骤S209）。

服务器终端200使用认证样本对数似然度比logf（sJ0）/gq（sJ0）、模板对数似然度比logf（sJ0）/gt（sJ0），判定认证用户是否是本人（步骤S210）。具体地说，将logf（sJ0）/gq（sJ0）、logf（sJ0）/gt（sJ0）的小的一方与Lmin（J）相加。在此，Lmin（J）是J次输入了生物体信息后的对数似然度比的和（Lmin（0）=0）。即，如公式（7）所示那样。

Lmin（J）=Lmin（J-1）+min（logf（sJ0）/gq（sJ0），logf（sJ0）/gt（sJ0））……公式（7）

然后，将Lmin（J）与阈值A和阈值B（A>B）的2个阈值进行比较，如果比阈值A大，则判定为“本人”，如果比阈值B小，则判定为“他人”，如果都不是，则判定为“无法判定”。

服务器终端200将用户判定结果（本人/他人/判定不能）发送到客户端终端300（步骤S211）。

客户端终端300在用户判定结果是本人的情况下，设为“认证成功”，在他人的情况下，设为“认证失败”，在判定不能的情况下，前进到步骤S213（步骤S212）。

登录终端100如果在认证用户的生物体信息的输入次数J达到了Jmax，则设为认证失败，如果不是，则前进到步骤S214（步骤S213）。登录终端100如果前进到步骤S214，则前进到步骤S202（步骤S214）。

图5表示本实施方式的认证概念图。在此，表示认证成功的情况和认证失败的情况的2种情况下的Lmin（J）的迁移。

这样，在本实施方式中，以对数似然度比的和作为用户的判定基准。如下述的参考文件2所记载的那样，这时，如果适当地推定出本人分布、他人分布，在FAR和A之间，公式（8）所示的关系式成立。

FAR≤1/eA    ……公式（8）

（参考文件2）K.takahashi,M.Mimura,Y.Isobe,and Y.Seto,“A Secure andUser-Friendly multi-Modal Biometric System”,Proc.SPIE,vol.5404,pp.12-19,2004.

因此，如果使用认证样本他人分布gq（）作为他人分布，则即使输入任意的认证样本，也能够将FAR抑制为1/eA以下。由于在输入了最容易造成他人接受的认证样本的情况下这也成立，所以能够将WAP抑制为1/eA以下。另外，如果使用模板他人分布gt（）作为他人分布，则即使登录任意的模板，也能够将FAR抑制为1/eA以下。由于在登录了最容易造成他人接受的模板的情况下这也成立，所以能够将LAP抑制为1/eA以下。在本实施方式中，采用分别使用认证样本他人分布gq（）和模板他人分布gt（）求出的对数似然度比中的小的一方（即更难以造成他人接受的一方）。这样，通过使用更难以造成他人接受的一方来进行用户的判定，能够同时将WAP和LAP抑制为一定值（1/eA）以下。其结果是能够得到以下的效果，即能够实现所希望的对Wolf和Lamb的高安全性。

图6表示本实施方式的登录概念图。在此，表示了判定为高质量的模板（Sheep）的情况和判定为低质量的模板（Lamb或Goat）的情况的2种情况。

这样，在本实施方式中，以KL距离作为模板质量的判定基准。在本实施方式的认证处理中，通过使用认证样本他人分布和模板他人分布，能够实现对Wolf和Lamb的高安全性。但是，即使直接对Lamb输入任意的认证样本，都难以认证成功，因此，登录了Lamb的用户本人也难以认证成功。即，产生Lamb成为Goat的问题。针对该问题，在本实施方式中，能够通过在登录时推定模板他人分布而预先检测Lamb并进行再登录，来采取对策。具体地说，如参考文件3所记载的那样，在本人认证时所必需的生物体信息的输入次数J`的希望值E（J`）与阈值A之间，设为阈值B=-∞时（设定为对数似然度比不低于阈值B时），公式（9）的关系成立。

……公式（9）

（参考文件3）A.Wald,“Sequential Analysis”,John Wiley and Sons,NewYork,1947.

在此，D（f||gt）≥T，因此，公式（9）成为公式（10）。

E（J’）≤A/T    ……公式（10）

即，针对在本实施方式中登录的模板，根据A/T来抑制本人的平均输入次数。因此，能够防止Lamb成为Goat的问题。其结果是能够得到提高方便性的效果。

另外，在本实施方式中，也可以在登录时使用户输入多个生物体信息，如果对其求出的KL距离的和大于阈值，则将它们判定为高质量的模板，如果小于阈值，则将它们判定为低质量的模板。

另外，在本实施方式中，也可以在登录时使用户多次输入同一生物体信息，根据它推定该用户固有的本人分布fu，将fu与模板他人分布gt之间的KL距离（fu||gt）和阈值T进行比较。在模板是Goat的情况下，也与Lamb的情况同样地，本人分布与他人分布的距离减小，因此，判定为低质量模板。这样，在登录时检测出Goat并进行再登录，由此能够防止Goat的登录。其结果是能够得到提高方便性的效果。

另外，在本实施方式中，也可以如图6所示那样，在登录前求出在本人分布中得分（在此为类似度）为sth以上的概率为δ那样的得分sth，如果在登录时对数似然度比logf（sth）/gt（sth）为A以上，则判定为高质量的模板，如果小于A，则判定为低质量的模板。对数似然度比logf（sth）/gt（sth）不足A的概率是用户只输入了一次生物体信息时（即Jmax=1时）的FRR，因此，由此能够将Jmax=1时的FRR抑制为δ。因此，能够防止Lamb成为Goat的问题。其结果是能够得到提高方便性的效果。

也可以在Jmax为2以上的情况下，也同样通过数值计算求出FRR，并设定与模板的质量对应的阈值使得其成为δ。

另外，在本实施方式中，也可以在认证时按照KL距离从大到小的顺序输入生物体信息。这样，通过按照对数似然度比的希望值从大到小的顺序进行输入，能够尽量以少的输入次数结束本人认证。其结果是能够得到提高方便性的效果。

在本实施方式中，能够对根据生物体信息进行用户认证的任意应用程序应用。例如能够应用于公司内网络中的信息访问控制、因特网银行系统或ATM中的本人确认、向面向会员Web站点的登录、进入保护区域时的个人认证、个人计算机的登录等。

Claims (7)

1.一种生物体认证系统，其特征在于，包括：

从用户取得生物体信息的生物体信息输入传感器；

根据上述生物体信息生成模板的模板生成部；

根据上述生物体信息生成认证样本的认证样本生成部；

对上述认证样本和上述模板进行对照的对照部；

推定上述认证样本和他人的上述模板之间的得分所对应的认证样本他人分布的认证样本他人分布推定部；

推定上述模板和他人的上述认证样本之间的得分所对应的模板他人分布的模板他人分布推定部；以及

对上述认证样本他人分布和上述模板他人分布进行比较而使用更难以造成他人接受的一方进行用户的判定的用户判定部。

2.根据权利要求1所述的生物体认证系统，其特征在于，

上述用户判定部对使用上述认证样本他人分布求出的对数似然度比和使用上述模板他人分布求出的对数似然度比中的小的一方与预先决定的第一和第二阈值进行比较，如果比上述第一阈值大则判定为本人，如果比上述第二阈值小则判定为他人，如果都不是则设为无法判定而要求再次输入上述生物体信息，其中该第二阈值是比上述第一阈值低的阈值。

3.根据权利要求2所述的生物体认证系统，其特征在于，

还具备：

在登录时判定上述模板的质量的模板质量判定部；以及

如果上述模板的质量是表示比预先决定的质量低的低质量，则要求再登录该模板的再登录要求部。

4.根据权利要求3所述的生物体认证系统，其特征在于，

上述模板质量判定部将本人之间的得分所对应的本人分布和多个上述模板他人分布的各个分布之间的KL距离以及各个上述KL距离的和中至少一方与预先决定的阈值进行比较，判定上述模板的质量。

5.根据权利要求4所述的生物体认证系统，其特征在于，

上述本人分布使用对于每个上述用户都不同的用户固有的信息。

6.根据权利要求3所述的生物体认证系统，其特征在于，

上述模板质量判定部根据FRR是否为一定值以下来判定上述模板的质量。

7.根据权利要求6所述的生物体认证系统，其特征在于，

上述生物体信息输入传感器要求从本人之间的得分所对应的本人分布与上述模板他人分布之间的KL距离大的生物体信息开始进行输入。

Images