JP2009129354A - 認証システム及び方法、クライアント端末及びその制御方法、並びにプログラム - Google Patents

認証システム及び方法、クライアント端末及びその制御方法、並びにプログラム Download PDF

Info

Publication number
JP2009129354A
JP2009129354A JP2007306216A JP2007306216A JP2009129354A JP 2009129354 A JP2009129354 A JP 2009129354A JP 2007306216 A JP2007306216 A JP 2007306216A JP 2007306216 A JP2007306216 A JP 2007306216A JP 2009129354 A JP2009129354 A JP 2009129354A
Authority
JP
Japan
Prior art keywords
authentication
information
user
target user
candidates
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007306216A
Other languages
English (en)
Inventor
Takao Murakami
隆夫 村上
Kenta Takahashi
健太 高橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2007306216A priority Critical patent/JP2009129354A/ja
Publication of JP2009129354A publication Critical patent/JP2009129354A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Collating Specific Patterns (AREA)

Abstract

【課題】安全性の高い生体認証システムを実現する。
【解決手段】登録ユーザ毎に照合用特徴量データと本人確認情報とを保持するデータベースと、認証対象ユーザの生体情報から特徴量データを抽出する手段と、認証対象ユーザ特徴量データと照合用特徴量データとを用いて認証を行ない、1名以上の候補者を決定するか、或いは候補者がいないと判定する手段と、1名以上の候補者を決定した場合、前記1名以上の候補者の本人確認情報と、(定数L−候補者数)個のダミー情報とを、提示情報として選択し、候補者がいないと判定した場合、定数L個のダミー情報を、提示情報として選択する手段と、提示情報を表示する手段と、認証対象ユーザから前記表示した提示情報の指定を受け付ける手段と、認証対象ユーザが候補者の本人確認情報を指定した場合、該認証対象ユーザが、前記指定した本人確認情報に対応する登録ユーザであると判定する手段とを備える。
【選択図】図2

Description

本発明は、認証システムに関し、特に、生体情報から抽出した特徴量(特徴量データ)を用いて個人を認証する認証システムおよび方法に関する。
生体認証方式は、パスワードやICカードなどに基づく認証方式と比べて、なりすましが困難であり、パスワード等を忘れることもないといった利点を持つ認証方式として知られている。生体認証方式では、登録時にユーザから生体情報を取得し(以後、登録されたユーザを「登録ユーザ」と呼ぶ)、そこから特徴量データを抽出して照合用にデータベースに登録する。この登録ユーザの照合用特徴量データを登録テンプレートという。認証時には、認証を受けようとするユーザ(以後、「認証対象ユーザ」と呼ぶ)から生体情報を取得し、そこから抽出した特徴量データと、データベースに登録されている登録テンプレートとを照合することで、認証を行なう。
認証対象ユーザの特徴量データについて、N人の登録ユーザの登録テンプレートそれぞれと照合を行ない、認証対象ユーザがどの登録ユーザであるか(或いは、いずれの登録ユーザにも該当しないか)を判定する生体認証方式を1:N認証という。一方、認証対象ユーザにカード等を用いてユーザIDを入力させ、認証対象ユーザの特徴量データについて、入力されたユーザIDに対応する登録ユーザと照合を行ない、認証対象ユーザが入力ユーザIDに対応する登録ユーザであるか否かを判定する生体認証方式を1:1認証という。
1:N認証は、認証対象ユーザがカード等によってユーザIDを入力する必要が無いため、利便性が高いという利点がある。1:N認証方式を利用した生体認証システムの例としては、勤怠管理システムや、クレジットカードを用いずに生体認証のみでクレジット決済を行なうシステム(以後、「カードレスクレジット決済システム」と呼ぶ)が挙げられる。
1:N認証を利用した生体認証システムの枠組みとしては、以下のものがある。まず、認証クライアント端末において認証対象ユーザの生体情報を取得し、そこから抽出した特徴量データを認証サーバに送信後、認証サーバにて1:N認証を行なう。1:N認証を行った結果、認証対象ユーザに該当する可能性があると判定された登録ユーザ(以後、候補者と呼ぶ)がいれば、認証サーバはその候補者の氏名を認証クライアント端末に返す。この場合、認証クライアント端末において、認証対象ユーザはその候補者の氏名が自分のものかどうか本人確認を行なう。本人確認は、例えば、候補者の氏名とYes/Noボタンを表示器に表示し、氏名が本人のものであればYesボタン、他人のものであればNoボタンを押すことで行なう。1:N認証の結果、候補者がいない場合、認証サーバは候補者がいないことを示す情報を認証クライアント端末に返す。この場合、認証クライアント端末は、認証対象ユーザによる本人確認を行なわずに認証失敗と判定する。このように認証対象ユーザによる本人確認を行なうことで、認証対象ユーザに悪意が無い場合に、認証対象ユーザが他人として認証に成功してしまう恐れを回避できる。この形態の生体認証システムを本人確認型生体認証システムと呼ぶ。
また、生体認証方式とは別に、パスワードに基づく認証方式において、画像認証と呼ばれる方式が非特許文献1などで提案されている。これは、文字列の代わりに画像をパスワードとして登録し(以後、パスワード画像と呼ぶ)、認証時に、認証対象ユーザのパスワード画像を幾つかのダミー画像と共に表示して、認証対象ユーザがその中から自分のパスワード画像を正しく選択することができた場合に、認証成功と判定する方式である。画像認証では、画像といったユーザが容易に記憶することができる情報をパスワードとして用いるため、ユーザの記憶負荷を軽減することができる。
高田哲司他、「あわせ絵:画像登録と利用通知を用いた正候補選択方式による画像認証方式の強化法」、情報処理学会論文誌 Vol.44 No.8 pp.2002-2012 (2002)
図6に、1:N認証において定義される認証誤り率の種類を概念的に示す。1:N認証における認証誤り率は、事前に登録を行なった認証対象ユーザが本人以外の登録ユーザとして認証に成功してしまう誤り率(以後、False Negative Acceptance Rate;「FNAR」と呼ぶ)、事前に登録を行なった認証対象ユーザが認証に失敗してしまう誤り率(以後、False Negative Rejection Rate;「FNRR」と呼ぶ)、事前に登録を行なっていない認証対象ユーザが認証に成功してしまう誤り率(以後、False Positive Acceptance Rate;「FPAR」と呼ぶ)の3種類に分別される。FNAR及びFPARが高いと、認証対象ユーザが他人として認証に成功する可能性が高まるので安全性の低下が引き起こされ、FNRRが高いと、登録されている認証対象ユーザが認証に失敗する可能性が高まるので利便性の低下が引き起こされる。
従来の1:N認証を利用した生体認証システムでは、一般に登録ユーザ数Nが増加するほど、FNAR及びFPARが増加し、安全性の低下が引き起こされるという問題があった。この点、本人確認型生体認証システムでは、認証対象ユーザに悪意が無い場合、FNAR及びFPARを事実上、ゼロとできるが、認証対象ユーザに悪意がある場合、他人の氏名が表示されたときにYesボタンを押すことで、容易に他人になりすませるという問題があった。
また、従来の1:N認証を利用した生体認証システムでは、事前に登録を行なっていない認証対象ユーザが、悪意をもって、認証に成功するまで何度も1:N認証を繰り返すことで、いずれ認証に成功してしまう可能性がある、という問題があった。
さらに、従来の1:N認証を利用した生体認証システムでは、事前に登録を行っている認証対象ユーザが、悪意をもって、自分以外の登録ユーザとして認証に成功するまで何度も1:N認証を繰り返すことで、いずれ認証に成功してしまう可能性がある、という問題があった。
本発明は、以上の課題を解決するため、登録ユーザ毎に、該登録ユーザの照合用特徴量データと、該登録ユーザの本人確認情報とを保持するデータベースと、認証対象ユーザから取得した生体情報に基づき、認証対象ユーザの特徴量データを抽出する特徴量抽出手段と、前記抽出した認証対象ユーザ特徴量データと、前記データベースに保持される照合用特徴量データとを用いて認証を行ない、1名以上の候補者を決定するか、或いは候補者がいないと判定する認証手段と、1名以上の候補者を決定した場合、前記データベースに保持される前記1名以上の候補者の本人確認情報と、(定数L−候補者数)個のダミー情報とを、提示情報として選択し、候補者がいないと判定した場合、定数L個のダミー情報を、提示情報として選択する選択手段と、前記選択した提示情報を表示する表示手段と、認証対象ユーザから前記表示した提示情報に対する指定を受け付ける受付手段と、認証対象ユーザが候補者の本人確認情報を指定した場合、該認証対象ユーザが前記指定した本人確認情報に対応する登録ユーザであると判定する判定手段とを備えることを特徴とする。
好適には、前記判定手段は、認証対象ユーザが登録ユーザであると判定した後、次に認証対象ユーザが登録ユーザであると判定するまでの間に、認証対象ユーザによるダミー情報の指定がD回(D≧1)行われた場合、当該認証システムに対して不正な行為が行われたと判定することを特徴とする。
また好適には、前記本人確認情報は、登録ユーザが登録した図形画像であることを特徴とする。
また好適には、前記認証手段は、前記抽出した認証対象ユーザ特徴量データと前記データベースに保持される照合用特徴量データとの特徴量空間における距離を算出し、前記算出した距離が閾値Xth以下となる登録ユーザが存在する場合、そのうち前記算出した距離が最小となる登録ユーザを候補者に決定し、前記算出した距離が閾値Xth以下となる登録ユーザが存在しない場合、候補者がいないと判定することを特徴とする。
また好適には、前記認証手段は、前記データベースに保持される照合用特徴量データを順次選択し、前記抽出した認証対象ユーザ特徴量データと前記選択した照合用特徴量データとの特徴量空間における距離が閾値Xth以下となる場合、前記選択した照合用特徴量データに対応する登録ユーザを唯一の候補者に決定するとともに、前記順次選択を中止し、前記データベースに保持される全ての照合用特徴量データについて前記距離が閾値Xthを越える場合、候補者がいないと判定することを特徴とする。
また好適には、前記認証手段は、前記抽出した認証対象ユーザ特徴量データと前記データベースに保持される照合用特徴量データとの特徴量空間における距離を算出し、前記算出した距離が閾値Xth以下となる登録ユーザが1名のみ存在する場合、該登録ユーザを候補者に決定し、そうでない場合、候補者がいないと判定することを特徴とする。
また好適には、前記認証手段は、前記抽出した認証対象ユーザ特徴量データと前記データベースに保持される照合用特徴量データとの特徴量空間における距離を算出し、前記算出した距離が閾値Xth以下となる登録ユーザが1名のみ存在する場合、該登録ユーザを候補者に決定し、前記算出した距離が閾値Xth以下となる登録ユーザが複数名いる場合であって、前記複数名の前記算出した距離の最小値と次に小さい値の差が第2閾値を越える場合、最小値に対応する登録ユーザを候補者に決定し、いずれでもない場合、候補者がいないと判定することを特徴とする。
また好適には、前記認証手段は、前記抽出した認証対象ユーザ特徴量データと前記データベースに保持される照合用特徴量データとの特徴量空間における距離を算出し、前記算出した距離が閾値Xth以下となる1名以上の登録ユーザが存在する場合、全ての該登録ユーザを候補者に決定し、前記算出した距離が閾値Xth以下となる登録ユーザが存在しない場合、候補者がいないと判定することを特徴とする。
また好適には、閾値xを入力とし、該閾値xを採用した場合のFAR(False Acceptance Rate)を出力する関数g(x)の逆関数を用いて、閾値Xth=g-1(予め定めた基準値Fを登録ユーザ数Nで除算して得られた値)に従って、前記閾値Xthを求める閾値決定手段を備えることを特徴とする。
本発明のクライアント端末は、登録ユーザ毎に、該登録ユーザの照合用特徴量データ及び該登録ユーザの本人確認情報を保持するデータベースを備えた認証サーバに対し、通信可能に構成されたクライアント端末であって、認証対象ユーザから取得した生体情報に基づき、認証対象ユーザの特徴量データを抽出する特徴量抽出手段と、前記認証サーバに対し、認証対象ユーザの特徴量データと、前記データベースに保持される照合用特徴量データとを用いて認証を行って、1名以上の候補者を決定するか、或いは候補者がいないと判定することを要求する認証要求手段と、前記要求に応じて、前記認証サーバが選択した提示情報を受信する手段であって、前記提示情報は、前記認証サーバが、1名以上の候補者を決定した場合、前記データベースに保持される前記1名以上の候補者の本人確認情報と、(定数L−候補者数)個のダミー情報とを含むように構成されており、候補者がいないと判定した場合、定数L個のダミー情報とを含むように構成されている、手段と、前記受信した提示情報を表示する表示手段と、認証対象ユーザから前記表示した提示情報に対する指定を受け付ける受付手段と、認証対象ユーザが候補者の本人確認情報を指定した場合、該認証対象ユーザが前記指定した本人確認情報に対応する登録ユーザであると判定する判定手段とを備えることを特徴とする。
本発明の認証方法は、登録ユーザ毎に、該登録ユーザの照合用特徴量データ及び該登録ユーザの本人確認情報を保持するデータベースを用いた認証方法であって、認証対象ユーザから取得した生体情報に基づき、認証対象ユーザの特徴量データを抽出する特徴量抽出工程と、前記抽出した認証対象ユーザ特徴量データと、前記データベースに保持される照合用特徴量データとを用いて認証を行ない、1名以上の候補者を決定するか、或いは候補者がいないと判定する認証工程と、1名以上の候補者を決定した場合、前記データベースに保持される前記1名以上の候補者の本人確認情報と、(定数L−候補者数)個のダミー情報とを、提示情報として選択し、候補者がいないと判定した場合、定数L個のダミー情報とを、提示情報として選択する選択工程と、前記選択した提示情報を表示する表示工程と、認証対象ユーザから前記表示した提示情報に対する指定を受け付ける受付工程と、認証対象ユーザが本人確認情報を指定した場合、該認証対象ユーザが前記指定した本人確認情報に対応する登録ユーザであると判定する判定工程とを備えることを特徴とする。
本発明の制御方法は、認証サーバと通信可能に構成されたクライアント端末の制御方法であって、前記認証サーバは、登録ユーザ毎に、該登録ユーザの照合用特徴量データ及び該登録ユーザの本人確認情報を保持するデータベースを備えており、前記クライアント端末が、認証対象ユーザから取得した生体情報に基づき、認証対象ユーザの特徴量データを抽出する特徴量抽出工程と、前記クライアント端末が、前記認証サーバに対し、認証対象ユーザの特徴量データと、前記データベースに保持される照合用特徴量データとを用いて認証を行って、1名以上の候補者を決定するか、或いは候補者がいないと判定することを要求する認証要求工程と、前記クライアント端末が、前記要求に応じて、前記認証サーバが選択した提示情報を受信する工程であって、前記提示情報は、前記認証サーバが、1名以上の候補者を決定した場合、前記データベースに保持される前記1名以上の候補者の本人確認情報と、(定数L−候補者数)個のダミー情報とを含むように構成されており、候補者がいないと判定した場合、定数L個のダミー情報を含むように構成されている、工程と、前記クライアント端末が、前記受信した提示情報を表示する表示工程と、前記クライアント端末が、認証対象ユーザから前記表示した提示情報に対する指定を受け付ける受付工程と、前記クライアント端末が、認証対象ユーザが本人確認情報を指定した場合、該認証対象ユーザが前記指定した本人確認情報に対応する登録ユーザであると判定する判定工程とを備えることを特徴とする。
本発明の認証方法、制御方法は、情報処理装置において実施することができるが、そのためのプログラムは、CD−ROM、磁気ディスク、半導体メモリ及び通信ネットワークなどの各種の媒体を通じてインストールまたはロードすることができる。
なお、本発明において、手段とは、単に物理的手段を意味するものではなく、その手段が有する機能をソフトウェアによって実現する場合も含む。また、1つの手段や装置が有する機能が2つ以上の物理的手段や装置により実現されても、2つ以上の手段や装置の機能が1つの物理的手段や装置により実現されても良い。
本発明は、1:N認証を行った結果、候補者を決定した場合、候補者が予め登録した本人確認情報と、(定数L−候補者数)個のダミー情報とを、提示情報として選択・表示し、候補者がいないと判定した場合、定数L個のダミー情報を、提示情報として選択・表示し、認証対象ユーザが、表示された提示情報の中から本人確認情報を選ぶことができたとき、認証成功と判定する構成を採用する。
かかる構成によれば、1:N認証を行った結果、p名の候補者が決定された場合、事前に登録を行なっていない認証対象ユーザがL個の表示された情報の中から偶然、候補者の本人確認情報を指定できる確率はp/Lとなる。これはすなわち、FPARが低減されることを意味するので、安全性の高い認証システムを実現することができる。また、1:N認証を行った結果、p名の候補者が決定された場合、事前に登録を行なっている認証対象ユーザがL個の表示された情報の中から偶然、自分以外の候補者の本人確認情報を指定できる確率は、L個の表示された情報の中に自分の本人確認情報が含まれている場合は(p−1)/(L−1)、含まれていない場合はp/Lとなる。これはすなわち、FNARが低減されることを意味するので、安全性の高い認証システムを実現することができる。
更に、本発明の構成によれば、1:N認証を行った後、候補者の有無にかかわらず、常にL個の提示情報が表示されるため、認証対象ユーザは、1:N認証を行った結果として自分以外に候補者が決定されたか否かを、表示される提示情報やその個数から推測することはできない。
事前に登録を行なっていない認証対象ユーザが認証を成功させるためには、1:N認証において候補者が決定されていることを見抜いた上で、L個の表示された提示情報の中から的確に候補者の本人確認情報を指定する必要がある。しかし、上述したように、本発明の構成によれば、そもそも1:N認証において候補者が決定されているか否かを見抜くことができないため、事前に登録を行なっていない認証対象ユーザが候補者になりすまして認証を成功させることは難しい。これにより、より安全性の高い認証システムを実現することができる。
同様に、事前に登録を行なっている認証対象ユーザが自分以外の登録ユーザとして認証を成功させるためには、1:N認証において自分以外に候補者が決定されていることを見抜いた上で、L個の表示された情報の中から自分以外の候補者の本人確認情報を指定する必要がある。しかし、上述したように、本発明の構成によれば、そもそも1:N認証において自分以外に候補者が決定されているか否かを見抜くことができないため、事前に登録を行なっている認証対象ユーザが自分以外の候補者になりすまして認証を成功させることは難しい。これにより、安全性の高い認証システムを実現することができる。
更に、本発明の判定手段は、認証対象ユーザが登録ユーザであると判定した後、次に認証対象ユーザが登録ユーザであると判定するまでの間に、認証対象ユーザによるダミー情報の指定がD回(D≧1)行われた場合、当該認証システムに対して不正な行為が行われたと判定する構成を採用する。上述したように、本発明の構成によれば、認証対象ユーザが候補者になりすまして認証を成功させることは難しい。従って、認証対象ユーザが悪意をもって何度も認証要求を繰り返した場合、ダミー情報を何度も選択してしまう可能性が高い。本発明の判定手段によれば、認証対象ユーザが悪意をもって認証要求を繰り返した結果、ダミー情報をD回以上選択した場合に、その行為を不正行為として適切に検知することができる。
更に、本発明は、閾値xを入力とし、該閾値xを採用した場合のFAR(False Acceptance Rate)を出力する関数g(x)の逆関数を用いて、閾値Xth=g-1(予め定めた基準値Fを登録ユーザ数Nで除算して得られた値)に従って、特徴量データが同一の個人に属するものであるか否かを判定するための閾値Xthを求める閾値決定手段を備える。かかる構成によれば、FPARを登録ユーザ数に対して実質的に不変とすることができるので、登録ユーザ数が増加した場合でも、安全性の高い認証システムを実現することができる。
以下、図面を参照して、実施形態について説明する。本実施形態の生体認証システム1は、(1)認証対象ユーザとN人の登録ユーザとの間で1:N認証を行なって、1名以上の候補者を決定するか、或いは候補者がいないと判定し、(2)1名以上の候補者を決定した場合、前記データベースに保持される前記1名以上の候補者の本人確認情報と、(定数L−候補者数)個のダミー情報とを、提示情報として選択し、候補者がいないと判定した場合、定数L個のダミー情報とを、提示情報として選択し、(3)選択した提示情報を表示し、(4)認証対象ユーザが提示情報の中から候補者の本人確認情報を指定できたときに認証成功と判定する(すなわち、指定された本人確認情報に対応する登録ユーザと判定する)生体認証システムである。
図1に、生体認証システム1の構成例を示す。
このシステムは、認証対象ユーザとの直接のやり取りを行なう認証クライアント端末100と、1:N認証などを行なう認証サーバ110と、それらを接続するネットワーク130から構成される。ネットワーク130は、WANやLANなどのネットワーク、USBやIEEE1394などを用いた機器間の通信、携帯電話網やBlueToothなどの無線通信、又はそれらの組み合わせであって良い。例えば、カードレスクレジット決済システムの場合、認証クライアント端末100はクレジットカード加盟店に置かれた認証装置、認証サーバ110はデータセンタに置かれたサーバ、ネットワーク130はインターネットとする構成が考えられる。また、企業内の勤怠管理システムの場合、認証クライアント端末100は居室内に置かれた認証装置、認証サーバ110はサーバ室に置かれたサーバ、ネットワーク130は社内イントラネットとする構成が考えられる。
図1では、認証クライアント端末100、認証サーバ110について、それぞれ1台ずつを記載しているが、設計に応じてそれぞれが1台以上存在していてもよい。また、認証クライアント端末100が、認証サーバ110の機能の一部又は全部を備えていてもよい。
認証クライアント端末100は、認証対象ユーザの生体情報を取得するセンサ101、CPU102、メモリ103、HDD104、入出力インタフェース(タッチパネル等の入力装置・表示装置などを含む)105、および通信インタフェース106等のハードウェアを備える(図1参照)。
また、機能的には、センサ101によって取得した生体情報に基づき、認証対象ユーザの特徴量データを抽出する特徴量抽出機能201と、認証サーバ110に対し、認証対象ユーザの特徴量データに基づく1:N認証を要求する1:N認証要求機能202と、1:N認証要求に応じて、認証サーバ110が選択した提示情報を受信する提示情報受信機能203と、認証対象ユーザから前記表示した提示情報のうちのいずれかの情報の指定を受け付ける指定受付機能204と、認証対象ユーザが本人確認情報を指定した場合、該認証対象ユーザが、前記指定した本人確認情報に対応する登録ユーザであると判定する最終判定機能205などを備える(図2(A)参照)。これらの機能はメモリ103に格納されるプログラムをCPU102が実行することにより機能手段として実現される。
認証サーバ110は、データベース111、CPU112、メモリ113、HDD114、入出力インタフェース115、および通信インタフェース116等のハードウェアを備える(図1参照)。
また、機能的には、認証クライアント端末100からの1:N認証要求に応じて、端末認証対象ユーザ特徴量データと、データベース111に保持される照合用特徴量データとを用いて1:N認証を行ない、1名以上の候補者を決定するか、或いは候補者がいないと判定する1:N認証機能211と、1名以上の候補者を決定した場合、前記データベースに保持される前記1名以上の候補者の本人確認情報と、(定数L−候補者数)個のダミー情報とを、提示情報として選択し、候補者がいないと判定した場合、定数L個のダミー情報とを、提示情報として選択する提示情報選択機能212と、1:N認証要求に対する応答として、認証クライアント端末100に前記選択した提示情報を送信する提示情報送信機能213、閾値xを入力とし、該閾値xを採用した場合の他人受入率を出力する関数g(x)の逆関数を用いて、閾値Xth=g-1(予め定めた基準値Fを登録ユーザ数Nで除算して得られた値)に従って、前記閾値Xthを求める閾値設定機能214、データベース更新機能215などを備える(図2(B)参照)。これらの機能はメモリ113に格納されるプログラムをCPU112が実行することにより機能手段として実現される。
データベース111は、登録ユーザ毎に、登録ユーザデータ216を保持する。データベース111は、認証サーバ110のデータベース更新機能215によって、登録ユーザの追加/削除に応じて更新される。
登録ユーザデータ216は、登録テンプレート217と、本人確認情報218とから構成される。本人確認情報218は、登録ユーザが予め本人確認用に登録した情報であり、どのような情報を用いるかは設計に応じて定めることができる。ただし、登録ユーザのプライバシー保護の観点から、本人確認情報として、個人を容易に特定できない情報(事前に登録ユーザが登録した図形画像など)を用いることが望ましい。本実施形態では、後述するように、認証対象ユーザ以外の登録ユーザが候補者として決定された場合、その登録ユーザの本人確認情報も提示情報として選択・表示されることから、仮に本人確認情報として個人を容易に特定できる情報(氏名など)を用いると、登録ユーザが特定されてしまうおそれがあるからである。
図3に、本実施形態における認証の処理手順およびデータの流れを示す。
認証サーバ110は、1:N認証における認証閾値Xthを設定する(ステップS301)。1:N認証における認証閾値Xthの設定方法の詳細は後述する。
認証クライアント端末100は、センサ101から認証対象ユーザの生体情報を取得する(ステップS302)。取得する生体情報としては、例えば、手のひらや指の静脈の情報、指紋の情報、虹彩の情報など、従来より生体認証に用いられている情報を考えることができる。またセンサ101としては、各生体情報に対応する既存のセンサを用いることができる。
次に、認証クライアント端末100は、取得した生体情報に基づき、認証対象ユーザの特徴量データを抽出する(ステップS303)。抽出する特徴量データとしては、取得した生体情報に応じて種々のものを考えることができる。例えば、生体情報として静脈情報を取得する場合であれば、静脈パターンデータを特徴量データとすることが考えられる。
次に、認証クライアント端末100は、特徴量データを含む1:N認証要求を作成し、これを認証サーバ110に送信する(ステップS304)。
認証サーバ110は、認証クライアント端末100から送られてきた1:N認証要求を受信すると(ステップS305)、該要求から認証対象ユーザの特徴量データを抽出し、該認証対象ユーザの特徴量データと、データベース111に保持される各登録ユーザの登録テンプレート217とを用いて、1:N認証を行ない、1名以上の候補者を決定するか、或いは候補者がいないと判定する(ステップS306)。
ここで、1:N認証の具体的な方法としては幾つか考えられるが、本実施形態の生体認証システム1は、次の5つの認証方法のうちのいずれかを採用するものとする。
認証方法1:
認証対象ユーザ特徴量データと、N人の登録ユーザの登録テンプレートとの特徴量空間における距離(照合スコア)を算出する。照合スコアが認証閾値Xth以下となる登録ユーザが存在する場合、そのうち照合スコアが最小となる登録ユーザを候補者に決定する。照合スコアが認証閾値Xth以下となる登録ユーザが存在しない場合、候補者がいないと判定する
認証方法2:
N人の登録ユーザについて、登録テンプレートを順次選択し、認証対象ユーザ特徴量データと前記選択した登録テンプレートとの特徴量空間における距離(照合スコア)を算出する。前記選択した登録テンプレートの照合スコアが、認証閾値Xth以下となる場合、前記選択した登録テンプレートに対応する登録ユーザを唯一の候補者に決定するとともに、照合処理を終了する(登録テンプレートの順次選択を中止する)。N人の登録ユーザの全ての登録テンプレートについて照合スコアが認証閾値Xthを越える場合、候補者がいないと判定する。
認証方法3:
認証対象ユーザ特徴量データと、N人の登録ユーザの登録テンプレートとの特徴量空間における距離(照合スコア)を算出する。照合スコアが、認証閾値Xth以下となる登録ユーザが1名のみ存在する場合、該登録ユーザを候補者に決定する。そうでない場合、候補者がいないと判定する。
認証方法4:
認証対象ユーザ特徴量データと、N人の登録ユーザの登録テンプレートとの特徴量空間における距離(照合スコア)を算出する。照合スコアが認証閾値Xth以下となる登録ユーザが1名のみ存在する場合、該登録ユーザを候補者に決定する。照合スコアが認証閾値Xth以下となる登録ユーザが複数名いる場合であって、それら複数名の照合スコアの最小値と次に小さい値の差が第2閾値tを越える場合、最小値に対応する登録ユーザを候補者に決定する。いずれでもない場合、候補者がいないと判定する。
認証方法5:
認証対象ユーザ特徴量データと、N人の登録ユーザの登録テンプレートとの特徴量空間における距離(照合スコア)を算出する。照合スコアが認証閾値Xth以下となる登録ユーザが存在する場合、該登録ユーザを候補者に決定する。照合スコアが認証閾値Xth以下となる登録ユーザが存在しない場合、候補者がいないと判定する。
次に、認証サーバ110は、1名以上の候補者を決定した場合、データベース111に保持される前記1名以上の候補者の本人確認情報218と、(定数L−候補者数)個のダミー情報とを、提示情報として選択し、候補者がいないと判定した場合、定数L個のダミー情報とを、提示情報として選択する(ステップS307)。従ってステップS307では、常に合計L個の提示情報が選択されることになる。
ダミー情報は、本人確認情報218と同種の情報であれば、どのような情報であってもよい。例えば、候補者以外の登録ユーザの本人確認情報218から必要な個数分だけランダムに選択し、それらをダミー情報とする方法が考えられる。或いは、あらかじめ登録ユーザの本人確認情報218とは別に、本人確認情報218と同種の情報をM個(M≧L)用意しておき、そこから必要な個数分だけランダムに選択する方法を用いても良い。ランダムに選択する方法は、擬似乱数生成器などを用いて実現することができる。ダミー情報は、本人確認情報218のデータ項目に相当するデータ項目を有していてもよいし、本人確認情報218のデータ列数に相当する数のデータ列を有していてもよい。
なお、定数Lは、例えばL=9とするなど、設計に応じて定めることができる。ただし認証方法5を採用する場合、候補者が複数決定される可能性があるため、候補者数が定数Lを超えないように、候補者を決定する必要がある。
次に、認証サーバ110は、前記選択した提示情報を、認証クライアント端末100に送信する(ステップS308)。
認証クライアント端末100は、認証サーバ110から送られてきた提示情報(計L個)を受信すると(ステップS309)、該提示情報を表示装置等の入出力インタフェース105に表示して、認証対象ユーザに事前に登録した自分の本人確認情報218を選択するように促し、認証対象ユーザから前記表示した提示情報に対する指定が入力される(例えば、タッチパネル上でタッチされる)のを待機する(ステップS310)。
この際、本人確認情報218とダミー情報(計L個)のそれぞれの表示位置はランダムになるようにする。また、認証対象ユーザが自分の本人確認情報218がないと判断した場合に選択するためのボタン300(以後、「候補者なしボタン300」と呼ぶ)を表示装置等に表示して、自分の本人確認情報218がない場合に候補者なしボタン300を押すように促す。本人確認情報218とダミー情報(計L個)のそれぞれの表示位置をランダムにする方法は、擬似乱数生成器などを用いて実現する。
図5に、提示情報の表示した画面の例を示す。この例では、本人確認情報218及びダミー情報として図形画像を用いており、L=9として、9個の図形画像と候補者なしボタン300を表示している。図5(A)は、1:N認証の結果、候補者が1名決定された場合の例であり、その候補者の本人確認情報である図形画像301と、8つのダミー情報である図形画像とが表示されている。また図5(B)は、1:N認証の結果、候補者がいないと判定された場合の例であり、9つのダミー情報である図形画像が表示されている。またそれぞれにおいて、事前に登録した自分の本人確認情報があればそれを指定し、なければ候補者なしボタン300を指定するように促すメッセージが表示されている。
認証対象ユーザから前記表示した提示情報又は候補者なしボタン300に対する指定を受け付けた場合、認証クライアント端末100は、図4に示す処理手順で認証対象ユーザが候補者であるか否かの最終判定を行なう(ステップS311)。
図4に、ステップS311における最終判定の具体的な処理手順を示す。
認証クライアント端末100は、認証対象ユーザが候補者なしボタン300を指定したか否かを判定する。判定値が真であれば(即ち、候補者なしボタン300が指定された場合)、ステップS407に進む(ステップS401)。
一方、判定値が偽の場合、認証クライアント端末100は、認証対象ユーザが指定した提示情報が、1:N認証によって決定された候補者の本人確認情報218であるか、ダミー情報であるかを判定する(ステップS402)。
認証対象ユーザが指定した提示情報が候補者の本人確認情報218である場合、認証クライアント端末100は、認証対象ユーザが、前記指定した本人確認情報218に対応する登録ユーザであると判定し(認証成功)、ダミー情報の選択回数を示す変数S(初期値0)に0を設定して(ステップS403)、必要に応じて認証成功時の処理へ移行する。
一方、認証対象ユーザが指定した提示情報がダミー情報である場合、認証クライアント端末100は、変数Sを+1インクリメントする(ステップS404)。
次に、認証クライアント端末100は、前回、認証対象ユーザが登録ユーザであると判定した後、次に認証対象ユーザが登録ユーザであると判定するまでの間に、認証対象ユーザによるダミー情報の指定がD回(D≧1)行われたか否か、すなわち、変数Sの値がDであるか否かを判定する(ステップS405)。Dは、どの程度の行為を生体認証システム1に対する不正行為と判定するかを制御するパラメータであり、Dが小さいほど、生体認証システム1に対する行為をより厳しく不正行為と判定することになる。
判定結果が真の場合、認証クライアント端末100は、認証対象ユーザは候補者ではなく、かつ生体認証システム1に対して不正な行為が行われた(認証対象ユーザは悪意を持っている)と判定し(ステップS406)、必要に応じて不正行為検知時の処理へ移行する。不正行為検知時の処理としては、例えば、認証クライアント端末100を使用不能とする(ロックする)、警報を鳴らすなどを考えることができる。なお、不正行為が行われたと判定した場合であっても、引き続きステップS302に再帰するように構成してもよい。
一方、ステップS405における判定結果が偽の場合、認証クライアント端末100は、認証対象ユーザは候補者ではないと判定し(認証失敗)(ステップS407)、生体情報の取得から認証処理を繰り返すべく、ステップS302に再帰する。
このように、本実施形態の生体認証システム1では、1:N認証を行った結果、候補者を決定した場合、候補者が予め登録した本人確認情報と、(定数L−候補者数)個のダミー情報とを、提示情報として選択・表示し、候補者がいないと判定した場合、定数L個のダミー情報を、提示情報として選択・表示し、認証対象ユーザが、表示された提示情報の中から本人確認情報を選ぶことができたとき、認証成功と判定する構成を採用する。
かかる構成によれば、1:N認証を行った結果、p名の候補者が決定された場合、事前に登録を行なっていない認証対象ユーザがL個の表示された情報の中から偶然、候補者の本人確認情報を指定できる確率はp/Lとなる。これはすなわち、FPARが低減されることを意味するので、安全性の高い認証システムを実現することができる。また、1:N認証を行った結果、p名の候補者が決定された場合、事前に登録を行なっている認証対象ユーザがL個の表示された情報の中から偶然、自分以外の候補者の本人確認情報を指定できる確率は、L個の表示された情報の中に自分の本人確認情報が含まれている場合は(p−1)/(L−1)、含まれていない場合はp/Lとなる。これはすなわち、FNARが低減されることを意味するので、安全性の高い認証システムを実現することができる。
更に、本実施形態の生体認証システム1では、1:N認証を行った後、候補者の有無にかかわらず、常にL個の提示情報が表示されるため、認証対象ユーザは、1:N認証を行った結果として自分以外に候補者が決定されたか否かを、表示される提示情報やその個数から推測することはできない。
事前に登録を行なっていない認証対象ユーザが認証を成功させるためには、1:N認証において候補者が決定されていることを見抜いた上で、L個の表示された提示情報の中から的確に候補者の本人確認情報を指定する必要がある。しかし、上述したように、本発明の構成によれば、そもそも1:N認証において候補者が決定されているか否かを見抜くことができないため、事前に登録を行なっていない認証対象ユーザが候補者になりすまして認証を成功させることは難しい。これにより、より安全性の高い認証システムを実現することができる。
同様に、事前に登録を行なっている認証対象ユーザが自分以外の登録ユーザとして認証を成功させるためには、1:N認証において自分以外に候補者が決定されていることを見抜いた上で、L個の表示された情報の中から自分以外の候補者の本人確認情報を指定する必要がある。しかし、上述したように、本発明の構成によれば、そもそも1:N認証において自分以外に候補者が決定されているか否かを見抜くことができないため、事前に登録を行なっている認証対象ユーザが自分以外の候補者になりすまして認証を成功させることは難しい。これにより、安全性の高い認証システムを実現することができる。
更に、本実施形態の生体認証システム1は、認証対象ユーザが登録ユーザであると判定した後、次に認証対象ユーザが登録ユーザであると判定するまでの間に、認証対象ユーザによるダミー情報の指定がD回(D≧1)行われた場合、当該認証システムに対して不正な行為が行われたと判定する構成を採用する。上述したように、本実施形態の生体認証システム1では、認証対象ユーザが候補者になりすまして認証を成功させることは難しい。従って、認証対象ユーザが悪意をもって何度も認証要求を繰り返した場合、ダミー情報を何度も選択してしまう可能性が高い。本実施形態の生体認証システム1の構成によれば、認証対象ユーザが悪意をもって認証要求を繰り返した結果、ダミー情報をD回以上選択した場合に、その行為を不正行為として適切に検知することができる。
ここで、認証対象ユーザの生体情報を取得する際に、認証対象ユーザにPIN番号などを入力させることで、1:N認証において比較する登録ユーザの数を絞り込む生体認証システム(以後、「N絞込み型生体認証システム」と呼ぶ)を考える。例えば、登録ユーザをグループ1〜LまでのL個のグループに分けておき、認証対象ユーザが生体情報を提示する際に1〜Lまでの番号を入力することで、1:N認証において比較する登録ユーザの数を1/L倍に絞り込む、といったものである。但し、N絞込み型生体認証システムでは、1:N認証後、本実施形態の生体認証システム1のようにダミー情報を含む提示情報を表示する構成は採用せず、絞り込んだ登録ユーザの中に候補者がいれば、その候補者の本人確認情報218を1つ表示し、候補者がいなければ認証失敗とするものとする。
例えば上述した1:N認証の認証方法1においては、FNAR及びFPARはNが十分大きいとき、それぞれ比較対象とする登録ユーザの数Nに凡そ比例するため、N絞込み型生体認証システムにおいても、FNAR及びFPARをそれぞれ1/L倍に低減すると考えられる。
しかし、N絞込み型生体認証システムでは、絞り込んだ登録ユーザの中に候補者がいる場合、認証対象ユーザが、表示された本人確認情報218を選択すれば、認証成功となってしまう。すなわち、N絞込み型生体認証システムは、依然として、本人確認型生体認証システムが有する問題(認証対象ユーザに悪意がある場合、容易に他人になりすませるという問題)を内包している。
これに対し、本実施形態の生体認証システムは、上述したように、1:N認証を行った後、候補者の有無にかかわらず、常にL個の提示情報を選択・表示するように構成しているため、FPAR及びFNARを低減することができるだけでなく、認証対象ユーザに悪意がある場合でも、容易に他人になりすますことはできないという効果を達成することができる。
次に、1:N認証における認証閾値Xthの設定方法について詳述する。
1:1認証を行なう場合、一般的には認証閾値は、所望のFAR(False Acceptance Rate)、及びFRR(False Rejection Rate)が得られるように設定される。ここで、FARとは1:1認証において、他人が誤って本人と認証される確率であり、FRRとは1:1認証において、本人が正しく認証されない確率である。本人の特徴量データと、本人の登録テンプレートとの照合スコアの分布(本人分布)をf(x)、本人の特徴量データと他人の登録テンプレートとの照合スコアの分布(他人分布)をg(x)、1:1認証における認証閾値をX1とすると、FRR、FARはそれぞれ
Figure 2009129354
Figure 2009129354
 で表される。
ここで、FAR=基準値FAR0、FRR=基準値FRR0となるように設定した1:1認証における認証閾値X1を、1:N認証における認証閾値Xthとして採用する、すなわちXth=X1となるように設定する場合を考える。このとき、FARが登録ユーザに依存せず、かつ十分に小さいと仮定すれば、FPARは、登録ユーザ数Nを用いて、以下のようにテーラ展開によって近似することができる。
FPAR=1−(1−FAR)N≒1−(1−N・FAR)=N・FAR
かかる近似からもわかるように、1:N認証では、登録ユーザを追加するなどして登録ユーザ数Nが増加した場合、FPARも増加するため、安全性が低下してしまう問題がある。
この問題を解決するために、本実施形態の認証サーバ110は、閾値xを入力とし、該閾値xを採用した場合の他人受入率を出力する関数g(x)の逆関数を用いて、閾値Xth=g-1(予め定めた基準値Fを登録ユーザ数Nで除算して得られた値)に従って、前記閾値Xthを求める閾値設定機能214を備える。
すなわち、認証サーバ110は、閾値xを入力とし、該閾値xを採用した場合のFARを出力する関数g(x)を予め求めてメモリに記憶しておく。かかる関数g(x)は、対象者の特徴量データのサンプルと、対象者以外の登録ユーザの登録テンプレート217との照合スコアを算出し、該算出した照合スコアの分布から求めることができる。なお、上述したように、基準値FAR0=g(X1)である。
認証サーバ110は、登録ユーザが追加/削除されて、登録ユーザ数Nが変更された場合、認証閾値Xth=g-1(基準値Fを、変更後の登録ユーザ数Nで除算して得られた値)に従って、前記閾値Xthを求める。なお、g-1は、関数g(x)の逆関数を示す。
このように認証閾値Xthを求めた場合、上述した1:N認証の認証方法1〜認証方法5のいずれにおいても、FPAR=N・(FAR0/N)=FAR0となり、その値はNに依存しなくなる。従って、登録ユーザを追加するなどして、登録ユーザ数Nが増加した場合でも、FPARは変化せず、一定の安全性が保たれる効果が得られる。
(変形例)
本発明は上記実施形態に限定されることなく、種々に変形して適用することが可能である。例えば、上記実施形態では、提示情報の数が合計L個となるようにダミー情報を選択する構成としているが、Lを1:N認証によって決定した候補者数に応じて変更するように構成してもよい。この場合、認証対象ユーザが、1:N認証を行った結果として自分以外に候補者が決定されたか否かを推測することができないという作用は抑制されるものの、例えば候補者が多い場合にLを増やすように制御することで、ランダムに選択した場合に候補者の本人確認情報が選択されてしまう確率を低くすることができる。
本発明は、1:N認証に基づいてユーザ認証を行なう任意のアプリケーションに対して適用可能である。例えば勤怠管理システム、クレジットカード決済における個人認証、入退室管理システムなどへの適用が可能である。
本発明の第一の実施形態である生体認証システム1の構成を示すブロック図である。 認証クライアント端末100、認証サーバ110の機能構成を示すブロック図である。 生体認証システム1における認証処理を示すフロー図である。 生体認証システム1における最終判定処理を示すフロー図である。 生体認証システム1における提示情報表示画面の例を説明するための図である。 1:N認証の認証誤り率の種類を説明するための図である。
符号の説明
100 認証クライアント端末
101 センサ
102 CPU
103 メモリ
104 HDD
105 入出力インタフェース
106 通信インタフェース
110 認証サーバ
111 データベース
112 CPU
113 メモリ
114 HDD
115 入出力インタフェース
116 通信インタフェース
201 特徴量抽出機能
202 1:N認証要求機能
203 提示情報受信機能
204 受付機能
205 最終判定機能
211 1:N認証機能
212 提示情報選択機能
213 提示情報送信機能
214 閾値設定機能
215 データベース更新機能

Claims (13)

  1. 登録ユーザ毎に、該登録ユーザの照合用特徴量データと、該登録ユーザの本人確認情報とを保持するデータベースと、
    認証対象ユーザから取得した生体情報に基づき、認証対象ユーザの特徴量データを抽出する特徴量抽出手段と、
    前記抽出した認証対象ユーザ特徴量データと、前記データベースに保持される照合用特徴量データとを用いて認証を行ない、1名以上の候補者を決定するか、或いは候補者がいないと判定する認証手段と、
    1名以上の候補者を決定した場合、前記データベースに保持される前記1名以上の候補者の本人確認情報と、(定数L−候補者数)個のダミー情報とを、提示情報として選択し、候補者がいないと判定した場合、定数L個のダミー情報を、提示情報として選択する選択手段と、
    前記選択した提示情報を表示する表示手段と、
    認証対象ユーザから前記表示した提示情報に対する指定を受け付ける受付手段と、
    認証対象ユーザが候補者の本人確認情報を指定した場合、該認証対象ユーザが前記指定した本人確認情報に対応する登録ユーザであると判定する判定手段とを備えることを特徴とする認証システム。
  2. 前記判定手段は、認証対象ユーザが登録ユーザであると判定した後、次に認証対象ユーザが登録ユーザであると判定するまでの間に、認証対象ユーザによるダミー情報の指定がD回(D≧1)行われた場合、当該認証システムに対して不正な行為が行われたと判定することを特徴とする請求項1記載の認証システム。
  3. 前記本人確認情報は、登録ユーザが登録した図形画像であることを特徴とする請求項1又は2記載の認証システム。
  4. 前記認証手段は、
    前記抽出した認証対象ユーザ特徴量データと前記データベースに保持される照合用特徴量データとの特徴量空間における距離を算出し、
    前記算出した距離が閾値Xth以下となる登録ユーザが存在する場合、そのうち前記算出した距離が最小となる登録ユーザを候補者に決定し、
    前記算出した距離が閾値Xth以下となる登録ユーザが存在しない場合、候補者がいないと判定することを特徴とする請求項1乃至3のいずれか1項に記載の認証システム。
  5. 前記認証手段は、
    前記データベースに保持される照合用特徴量データを順次選択し、
    前記抽出した認証対象ユーザ特徴量データと前記選択した照合用特徴量データとの特徴量空間における距離が閾値Xth以下となる場合、前記選択した照合用特徴量データに対応する登録ユーザを唯一の候補者に決定するとともに、前記順次選択を中止し、
    前記データベースに保持される全ての照合用特徴量データについて前記距離が閾値Xthを越える場合、候補者がいないと判定することを特徴とする請求項1乃至3のいずれか1項に記載の認証システム。
  6. 前記認証手段は、
    前記抽出した認証対象ユーザ特徴量データと前記データベースに保持される照合用特徴量データとの特徴量空間における距離を算出し、
    前記算出した距離が閾値Xth以下となる登録ユーザが1名のみ存在する場合、該登録ユーザを候補者に決定し、
    そうでない場合、候補者がいないと判定することを特徴とする請求項1乃至3のいずれか1項に記載の認証システム。
  7. 前記認証手段は、
    前記抽出した認証対象ユーザ特徴量データと前記データベースに保持される照合用特徴量データとの特徴量空間における距離を算出し、
    前記算出した距離が閾値Xth以下となる登録ユーザが1名のみ存在する場合、該登録ユーザを候補者に決定し、
    前記算出した距離が閾値Xth以下となる登録ユーザが複数名いる場合であって、前記複数名の前記算出した距離の最小値と次に小さい値の差が第2閾値を越える場合、最小値に対応する登録ユーザを候補者に決定し、
    いずれでもない場合、候補者がいないと判定することを特徴とする請求項1乃至3のいずれか1項に記載の認証システム。
  8. 前記認証手段は、
    前記抽出した認証対象ユーザ特徴量データと前記データベースに保持される照合用特徴量データとの特徴量空間における距離を算出し、
    前記算出した距離が閾値Xth以下となる1名以上の登録ユーザが存在する場合、全ての該登録ユーザを候補者に決定し、
    前記算出した距離が閾値Xth以下となる登録ユーザが存在しない場合、候補者がいないと判定することを特徴とする請求項1乃至3のいずれか1項に記載の認証システム。
  9. 閾値xを入力とし、該閾値xを採用した場合のFAR(False Acceptance Rate)を出力する関数g(x)の逆関数を用いて、閾値Xth=g-1(予め定めた基準値Fを登録ユーザ数Nで除算して得られた値)に従って、前記閾値Xthを求める閾値決定手段を備えることを特徴とする請求項4乃至8のいずれか1項に記載の認証システム。
  10. 登録ユーザ毎に、該登録ユーザの照合用特徴量データ及び該登録ユーザの本人確認情報を保持するデータベースを備えた認証サーバに対し、通信可能に構成されたクライアント端末であって、
    認証対象ユーザから取得した生体情報に基づき、認証対象ユーザの特徴量データを抽出する特徴量抽出手段と、
    前記認証サーバに対し、認証対象ユーザの特徴量データと、前記データベースに保持される照合用特徴量データとを用いて認証を行って、1名以上の候補者を決定するか、或いは候補者がいないと判定することを要求する認証要求手段と、
    前記要求に応じて、前記認証サーバが選択した提示情報を受信する手段であって、前記提示情報は、前記認証サーバが、1名以上の候補者を決定した場合、前記データベースに保持される前記1名以上の候補者の本人確認情報と、(定数L−候補者数)個のダミー情報とを含むように構成されており、候補者がいないと判定した場合、定数L個のダミー情報とを含むように構成されている、手段と、
    前記受信した提示情報を表示する表示手段と、
    認証対象ユーザから前記表示した提示情報に対する指定を受け付ける受付手段と、
    認証対象ユーザが候補者の本人確認情報を指定した場合、該認証対象ユーザが前記指定した本人確認情報に対応する登録ユーザであると判定する判定手段とを備えることを特徴とするクライアント端末。
  11. 登録ユーザ毎に、該登録ユーザの照合用特徴量データ及び該登録ユーザの本人確認情報を保持するデータベースを用いた認証方法であって、
    認証対象ユーザから取得した生体情報に基づき、認証対象ユーザの特徴量データを抽出する特徴量抽出工程と、
    前記抽出した認証対象ユーザ特徴量データと、前記データベースに保持される照合用特徴量データとを用いて認証を行ない、1名以上の候補者を決定するか、或いは候補者がいないと判定する認証工程と、
    1名以上の候補者を決定した場合、前記データベースに保持される前記1名以上の候補者の本人確認情報と、(定数L−候補者数)個のダミー情報とを、提示情報として選択し、候補者がいないと判定した場合、定数L個のダミー情報とを、提示情報として選択する選択工程と、
    前記選択した提示情報を表示する表示工程と、
    認証対象ユーザから前記表示した提示情報に対する指定を受け付ける受付工程と、
    認証対象ユーザが本人確認情報を指定した場合、該認証対象ユーザが前記指定した本人確認情報に対応する登録ユーザであると判定する判定工程とを備えることを特徴とする認証方法。
  12. 認証サーバと通信可能に構成されたクライアント端末の制御方法であって、
    前記認証サーバは、登録ユーザ毎に、該登録ユーザの照合用特徴量データ及び該登録ユーザの本人確認情報を保持するデータベースを備えており、
    前記クライアント端末が、認証対象ユーザから取得した生体情報に基づき、認証対象ユーザの特徴量データを抽出する特徴量抽出工程と、
    前記クライアント端末が、前記認証サーバに対し、認証対象ユーザの特徴量データと、前記データベースに保持される照合用特徴量データとを用いて認証を行って、1名以上の候補者を決定するか、或いは候補者がいないと判定することを要求する認証要求工程と、
    前記クライアント端末が、前記要求に応じて、前記認証サーバが選択した提示情報を受信する工程であって、前記提示情報は、前記認証サーバが、1名以上の候補者を決定した場合、前記データベースに保持される前記1名以上の候補者の本人確認情報と、(定数L−候補者数)個のダミー情報とを含むように構成されており、候補者がいないと判定した場合、定数L個のダミー情報を含むように構成されている、工程と、
    前記クライアント端末が、前記受信した提示情報を表示する表示工程と、
    前記クライアント端末が、認証対象ユーザから前記表示した提示情報に対する指定を受け付ける受付工程と、
    前記クライアント端末が、認証対象ユーザが本人確認情報を指定した場合、該認証対象ユーザが前記指定した本人確認情報に対応する登録ユーザであると判定する判定工程とを備えることを特徴とする制御方法。
  13. 請求項12記載の制御方法をクライアント端末で実行させるためのプログラム。
JP2007306216A 2007-11-27 2007-11-27 認証システム及び方法、クライアント端末及びその制御方法、並びにプログラム Pending JP2009129354A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007306216A JP2009129354A (ja) 2007-11-27 2007-11-27 認証システム及び方法、クライアント端末及びその制御方法、並びにプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007306216A JP2009129354A (ja) 2007-11-27 2007-11-27 認証システム及び方法、クライアント端末及びその制御方法、並びにプログラム

Publications (1)

Publication Number Publication Date
JP2009129354A true JP2009129354A (ja) 2009-06-11

Family

ID=40820176

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007306216A Pending JP2009129354A (ja) 2007-11-27 2007-11-27 認証システム及び方法、クライアント端末及びその制御方法、並びにプログラム

Country Status (1)

Country Link
JP (1) JP2009129354A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013164835A (ja) * 2012-01-13 2013-08-22 Ricoh Co Ltd 認証システム、認証方法、機器、及びプログラム
CN106936590A (zh) * 2017-04-26 2017-07-07 郭至涵 用户合法性验证方法和装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013164835A (ja) * 2012-01-13 2013-08-22 Ricoh Co Ltd 認証システム、認証方法、機器、及びプログラム
CN106936590A (zh) * 2017-04-26 2017-07-07 郭至涵 用户合法性验证方法和装置

Similar Documents

Publication Publication Date Title
US11847199B2 (en) Remote usage of locally stored biometric authentication data
US20210286870A1 (en) Step-Up Authentication
CN104796857B (zh) 用于便携式电子设备的基于位置的安全系统
US8407762B2 (en) System for three level authentication of a user
US7986817B2 (en) Verification apparatus, verification method and verification program
JP2011123532A (ja) 複数種類のテンプレートを用いた生体認証システム及び生体認証方法
JP2007299214A (ja) 生体認証装置および生体認証プログラム
EP2096571A1 (en) Personal identification system and method thereof
TWI754964B (zh) 認證系統、認證裝置、認證方法、及程式產品
KR100876628B1 (ko) 사용자의 행동 패턴 정보를 이용한 사용자 인증에 사용되는사용자 단말기, 인증 장치 및 인증 방법
US11928199B2 (en) Authentication system, authentication device, authentication method and program
JP2009129354A (ja) 認証システム及び方法、クライアント端末及びその制御方法、並びにプログラム
JP2009169478A (ja) 生体認証システム、生体認証方法、および生体認証プログラム
JP2009031986A (ja) チャレンジ&レスポンス型指静脈認証システム
JP2010257326A (ja) 生体認証システム、生体認証方法、および情報処理装置
JP5276554B2 (ja) 生体情報認証装置および生体情報認証プログラム
JP6583460B2 (ja) 認証システム
WO2023132194A1 (ja) 認証システム、認証装置及び認証方法
US20230059887A1 (en) Authentication device, authentication method, and recording medium
JP2021184151A (ja) 認証方法、情報処理装置、及び認証プログラム
JP2012084099A (ja) 生体認証失敗情報を活用した生体認証システム
JP2018195141A (ja) 視線の動きによる入室管理システム
JP2015158860A (ja) 利用者認証システム、利用者認証方法、サーバ、及び、プログラム

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20090401