JP2011022786A - Template writing device, biometric authentication device, method of writing template, method of providing template, and program - Google Patents
Template writing device, biometric authentication device, method of writing template, method of providing template, and program Download PDFInfo
- Publication number
- JP2011022786A JP2011022786A JP2009167042A JP2009167042A JP2011022786A JP 2011022786 A JP2011022786 A JP 2011022786A JP 2009167042 A JP2009167042 A JP 2009167042A JP 2009167042 A JP2009167042 A JP 2009167042A JP 2011022786 A JP2011022786 A JP 2011022786A
- Authority
- JP
- Japan
- Prior art keywords
- template
- time
- writing
- unit
- generation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
Description
本発明は、テンプレート書き込み装置、生体認証装置、テンプレート書き込み方法、テンプレート提供方法、及びプログラムに関する。 The present invention relates to a template writing device, a biometric authentication device, a template writing method, a template providing method, and a program.
近年、情報化社会の進展に伴い、個人が保持する情報の価値や重要性が急速に高まっている。こうした状況の中で、堅牢な情報管理を実現する手法として生体認証技術(バイオマトリックス技術)に大きな注目が集まっている。生体認証とは、人間の体(生体)の特徴的な部分(以下、生体部位)を利用して本人又は他人を特定することである。例えば、異なる生体間では指紋が互いに異なるため、指紋を生体認証に用いることができる。指紋と同様に、人間の声紋、顔の形状、手の形状、虹彩パターン、静脈パターン等も異なる生体間で互いに異なる特徴を有する。そのため、これらの特徴量を生体認証に利用して個人を特定したり、認証処理や探索処理等を行ったりすることができる。 In recent years, with the progress of the information society, the value and importance of information held by individuals are rapidly increasing. Under these circumstances, biometric authentication technology (biomatrix technology) has attracted a great deal of attention as a method for realizing robust information management. Biometric authentication is to identify a person or another person using a characteristic part (hereinafter referred to as a biological part) of a human body (biological body). For example, since fingerprints are different between different biometrics, the fingerprints can be used for biometric authentication. Similar to fingerprints, human voiceprints, face shapes, hand shapes, iris patterns, vein patterns, and the like have different characteristics among different living bodies. Therefore, it is possible to specify an individual by using these feature amounts for biometric authentication, and to perform authentication processing, search processing, and the like.
このように、生体認証を利用して個人を特定したり、認証処理や探索処理等を行ったりするには、生体部位から取得された特徴量の比較処理を行う必要がある。そのため、生体部位の特徴量(例えば、指紋、声紋、静脈パターン等)が比較可能なデータ(例えば、画像データ、音声データ、3次元座標データ、アイリスコード等)の形式で取得される。次いで、このような形式で本人が予め登録しておいた「テンプレート」と、認証操作の際に入力された「入力データ」とが何らかの方式で比較され、類似性が測定される。そして、比較の結果得られた類似性に基づいて個人の特定や認証処理等が行われる。 Thus, in order to specify an individual using biometric authentication, or to perform an authentication process, a search process, or the like, it is necessary to perform a comparison process of feature amounts acquired from a biological part. Therefore, it is acquired in the form of data (for example, image data, audio data, three-dimensional coordinate data, iris code, etc.) that can compare feature quantities (for example, fingerprints, voiceprints, vein patterns, etc.) of living body parts. Next, the “template” registered in advance by the person in this format and the “input data” input during the authentication operation are compared in some manner, and the similarity is measured. Then, identification of individuals, authentication processing, and the like are performed based on the similarity obtained as a result of the comparison.
生体認証に関し、下記の特許文献1には、生体パターンによる本人認証を行う前に、生体認証センサで検出された生体パターンが生体のものであるか、或いは、非生体のものであるかを判別する技術が開示されている。特に、同文献には、生体パターンに見られる固有の統計的な傾向を捉えて生体と非生体とを判別する技術が開示されている。例えば、生体の血管パターンは一定の方向に揃う傾向がある。この傾向に関し、同文献では、血管パターンを形成する各線分の角度分布や分布強度等に基づいて生体パターンと非生体パターンとを判別し、その判別結果に応じて疑似血管パターン等を排除する方法が提案されている。また、下記の特許文献2には、テンプレート等の生体認証に用いる情報を効率的に管理する方法が開示されている。 Regarding biometric authentication, Patent Document 1 below determines whether a biometric pattern detected by a biometric sensor is a living body or a non-living body before performing personal authentication using a biometric pattern. Techniques to do this are disclosed. In particular, this document discloses a technique for discriminating between a living body and a non-living body by capturing a unique statistical tendency found in a living body pattern. For example, the blood vessel pattern of a living body tends to align in a certain direction. With regard to this tendency, this document discloses a method for discriminating a biological pattern and a non-biological pattern based on the angular distribution and distribution intensity of each line segment forming the blood vessel pattern and eliminating the pseudo blood vessel pattern or the like according to the discrimination result. Has been proposed. Patent Document 2 below discloses a method for efficiently managing information used for biometric authentication such as a template.
確かに、上記文献1等に記載の生体認証方法を用いることで、より高精度に生体認証を行うことが可能になる。また、上記文献2等に記載の管理方法を用いることでテンプレート等の生体認証に用いる情報を効率的に管理することができる。しかしながら、上記文献に記載の生体認証システムにおいては、生体認証を行う際に利用する生体認証装置にテンプレートが格納されている。そのため、複数の生体認証装置が存在すると、ユーザは、各生体認証装置にて生体情報の登録を行う必要が生じてしまう。例えば、金融サービスや入退出管理サービス等、様々なサービスが存在し、サービス毎に生体認証装置が設置されている場合、ユーザは、各サービスの生体認証装置に生体情報を登録する必要がある。 Certainly, by using the biometric authentication method described in the above document 1 or the like, biometric authentication can be performed with higher accuracy. Moreover, the information used for biometric authentication, such as a template, can be efficiently managed by using the management method described in Document 2 above. However, in the biometric authentication system described in the above document, a template is stored in a biometric authentication device used when performing biometric authentication. Therefore, when there are a plurality of biometric authentication devices, the user needs to register biometric information in each biometric authentication device. For example, when there are various services such as financial services and entrance / exit management services, and a biometric authentication device is installed for each service, the user needs to register biometric information in the biometric authentication device of each service.
今後、安全性の高さや認証精度の高さを特徴とする生体認証は、様々なサービスへの利用拡大が予想される。既に例示した金融サービスや入退出管理サービスの他、例えば、社内サービスとして提供される複写機や自動販売機の利用者認証等にも利用されるようになるかもしれない。しかし、各生体認証装置にユーザが生体情報を登録するとなると、その登録にかかるユーザの手間が膨大になり、現実的には利用が困難なものとなってしまう。このような困難を解消するための一方策として、例えば、テンプレートを暗号化してICカード等のセキュアデバイスに格納しておき、ユーザがサービスを利用する都度、そのセキュアデバイスを利用して生体認証することができるようなシステムを構築する方法が考えられる。しかしながら、テンプレートを生体認証装置の外部に持ち出すことになるため、悪意ある第三者によって不正にテンプレートが複製される恐れもある。 In the future, biometric authentication, which is characterized by high safety and high authentication accuracy, is expected to expand its use to various services. In addition to the already exemplified financial services and entry / exit management services, for example, they may be used for user authentication of copiers and vending machines provided as in-house services. However, when a user registers biometric information in each biometric authentication device, the user's labor for the registration becomes enormous and practically difficult to use. As one measure for solving such difficulty, for example, a template is encrypted and stored in a secure device such as an IC card, and biometric authentication is performed using the secure device each time the user uses the service. A method for constructing such a system is possible. However, since the template is taken out of the biometric authentication device, the template may be illegally copied by a malicious third party.
そこで、本発明は、上記問題に鑑みてなされたものであり、本発明の目的とするところは、生体認証装置の外部にあるセキュアデバイスにテンプレートを書き込み際、無制限にテンプレートが複製されることを防止することが可能なシステムを構築するための新規かつ改良されたテンプレート書き込み装置、生体認証装置、テンプレート書き込み方法、テンプレート提供方法、及びプログラムを提供することにある。 Therefore, the present invention has been made in view of the above problems, and an object of the present invention is to copy an unlimited number of templates when writing a template to a secure device outside the biometric authentication device. It is an object of the present invention to provide a new and improved template writing apparatus, biometric authentication apparatus, template writing method, template providing method, and program for constructing a system that can be prevented.
上記課題を解決するために、本発明のある観点によれば、暗号化された生体認証用のテンプレート、及び当該テンプレートの生成時刻を示す時刻情報を取得するテンプレート情報取得部と、前記テンプレート情報取得部で取得されたテンプレートがメモリに書き込まれる書き込み時刻を取得する書き込み時刻取得部と、前記テンプレート情報取得部で取得された時刻情報が示す生成時刻と、前記書き込み時刻取得部で取得された書き込み時刻との間の時間差を算出する時間差算出部と、前記時間差算出部で算出された時間差が所定値よりも小さい場合に前記テンプレート情報取得部で取得されたテンプレートを前記メモリに書き込むテンプレート書き込み部と、を備える、テンプレート書き込み装置が提供される。 In order to solve the above-described problem, according to an aspect of the present invention, an encrypted biometric authentication template, a template information acquisition unit that acquires time information indicating a generation time of the template, and the template information acquisition Write time acquisition unit that acquires a write time when the template acquired by the unit is written to the memory, a generation time indicated by the time information acquired by the template information acquisition unit, and a write time acquired by the write time acquisition unit A time difference calculation unit that calculates a time difference between and a template writing unit that writes the template acquired by the template information acquisition unit to the memory when the time difference calculated by the time difference calculation unit is smaller than a predetermined value; A template writing device is provided.
また、前記テンプレート情報取得部は、前記テンプレート及び前記時刻情報に加え、当該テンプレート及び時刻情報に基づいて生成された電子署名を取得するように構成されていてもよい。この場合、前記テンプレート書き込み装置は、前記テンプレート情報取得部で取得されたテンプレート及び時刻情報を用いて前記電子署名を検証する署名検証部をさらに備える。さらに、前記テンプレート書き込み部は、前記時間差算出部で算出された時間差が所定値よりも小さく、かつ、前記署名検証部による検証が成功した場合に前記テンプレートを前記メモリに書き込む。 In addition to the template and the time information, the template information acquisition unit may be configured to acquire an electronic signature generated based on the template and the time information. In this case, the template writing apparatus further includes a signature verification unit that verifies the electronic signature using the template and time information acquired by the template information acquisition unit. Further, the template writing unit writes the template into the memory when the time difference calculated by the time difference calculating unit is smaller than a predetermined value and the verification by the signature verification unit is successful.
また、前記テンプレート書き込み装置は、耐タンパ性を有するメモリを搭載したセキュアデバイスとの間で通信可能な通信部をさらに備えていてもよい。この場合、前記テンプレート書き込み部は、前記通信部を通じて前記セキュアデバイスのメモリに前記テンプレートを書き込む。 The template writing apparatus may further include a communication unit capable of communicating with a secure device equipped with a tamper-resistant memory. In this case, the template writing unit writes the template into the memory of the secure device through the communication unit.
また、前記テンプレート書き込み部は、自装置に搭載されたメモリに前記テンプレートを書き込むように構成されていてもよい。 The template writing unit may be configured to write the template in a memory mounted on the device.
また、上記課題を解決するために、本発明の別の観点によれば、暗号化された生体認証用のテンプレートを生成するテンプレート生成部と、前記テンプレート生成部でテンプレートが生成された時刻を取得する時刻取得部と、前記時刻取得部で取得された時刻を基準とする所定期間だけ前記テンプレート生成部で生成されたテンプレートを取得してメモリに書き込むことが可能なテンプレート書き込み装置に対し、当該テンプレート及び時刻の情報を提供するテンプレート情報提供部と、を備える、生体認証装置が提供される。 In order to solve the above problem, according to another aspect of the present invention, a template generation unit that generates an encrypted biometric authentication template, and a time when the template is generated by the template generation unit are acquired. And a template writing device capable of acquiring a template generated by the template generation unit and writing it to a memory for a predetermined period based on the time acquired by the time acquisition unit. And a template information providing unit that provides time information, a biometric authentication device is provided.
また、前記テンプレート生成部で生成されたテンプレート、及び前記時刻取得部で取得された時刻の情報に基づいて電子署名を生成する署名生成部をさらに備えていてもよい。 In addition, a signature generation unit that generates an electronic signature based on the template generated by the template generation unit and the time information acquired by the time acquisition unit may be further provided.
また、前記テンプレート生成部は、所定の生体部位に対して近赤外光を照射し、当該生体部位の内部で散乱された散乱光を受光して得られる静脈パターンの画像に所定の画像処理及び暗号化処理を施して前記暗号化された生体認証用のテンプレートを生成するように構成されていてもよい。 Further, the template generation unit irradiates a predetermined biological part with near infrared light and receives a scattered light scattered inside the biological part, and performs predetermined image processing and processing on a vein pattern image obtained. The encrypted biometric authentication template may be generated by performing an encryption process.
また、上記課題を解決するために、本発明の別の観点によれば、暗号化された生体認証用のテンプレート、及び当該テンプレートの生成時刻を示す時刻情報を取得するテンプレート情報取得ステップと、前記テンプレート情報取得ステップで取得されたテンプレートがメモリに書き込まれる書き込み時刻を取得する書き込み時刻取得ステップと、前記テンプレート情報取得ステップで取得された時刻情報が示す生成時刻と、前記書き込み時刻取得ステップで取得された書き込み時刻との間の時間差を算出する時間差算出ステップと、前記時間差算出ステップで算出された時間差が所定値よりも小さい場合に前記テンプレート情報取得ステップで取得されたテンプレートを前記メモリに書き込むテンプレート書き込みステップと、を含む、テンプレート書き込み方法が提供される。 In order to solve the above problem, according to another aspect of the present invention, an encrypted biometric authentication template, and a template information acquisition step for acquiring time information indicating a generation time of the template, It is acquired in the writing time acquisition step for acquiring the writing time when the template acquired in the template information acquisition step is written to the memory, the generation time indicated by the time information acquired in the template information acquisition step, and the writing time acquisition step. A time difference calculating step for calculating a time difference between the writing time and a template writing for writing the template acquired in the template information acquiring step into the memory when the time difference calculated in the time difference calculating step is smaller than a predetermined value. Steps including Rate writing method is provided.
また、上記課題を解決するために、本発明の別の観点によれば、暗号化された生体認証用のテンプレートを生成するテンプレート生成ステップと、前記テンプレート生成ステップでテンプレートが生成された時刻を取得する時刻取得ステップと、前記時刻取得ステップで取得された時刻を基準とする所定期間だけ前記テンプレート生成ステップで生成されたテンプレートを取得してメモリに書き込むことが可能なテンプレート書き込み装置に対し、当該テンプレート及び時刻の情報を提供するテンプレート情報提供ステップと、を含む、テンプレート提供方法が提供される。 In order to solve the above problem, according to another aspect of the present invention, a template generation step for generating an encrypted biometric authentication template and a time at which the template is generated in the template generation step are acquired. The template acquisition apparatus capable of acquiring the template generated in the template generation step and writing it in the memory only for a predetermined period based on the time acquired in the time acquisition step. And a template information providing step for providing time information, a template providing method is provided.
また、上記課題を解決するために、本発明の別の観点によれば、暗号化された生体認証用のテンプレート、及び当該テンプレートの生成時刻を示す時刻情報を取得するテンプレート情報取得機能と、前記テンプレート情報取得機能で取得されたテンプレートがメモリに書き込まれる書き込み時刻を取得する書き込み時刻取得機能と、前記テンプレート情報取得機能で取得された時刻情報が示す生成時刻と、前記書き込み時刻取得機能で取得された書き込み時刻との間の時間差を算出する時間差算出機能と、前記時間差算出機能で算出された時間差が所定値よりも小さい場合に前記テンプレート情報取得機能で取得されたテンプレートを前記メモリに書き込むテンプレート書き込み機能と、をコンピュータに実現させるためのプログラムが提供される。 In order to solve the above problem, according to another aspect of the present invention, an encrypted biometric authentication template and a template information acquisition function for acquiring time information indicating a generation time of the template, A write time acquisition function for acquiring a write time at which a template acquired by the template information acquisition function is written to the memory, a generation time indicated by the time information acquired by the template information acquisition function, and the write time acquisition function A time difference calculating function for calculating a time difference between the writing time and a template writing for writing the template acquired by the template information acquiring function to the memory when the time difference calculated by the time difference calculating function is smaller than a predetermined value. Functions and programs for realizing the functions on a computer are provided It is.
また、上記課題を解決するために、本発明の別の観点によれば、暗号化された生体認証用のテンプレートを生成するテンプレート生成機能と、前記テンプレート生成機能でテンプレートが生成された時刻を取得する時刻取得機能と、前記時刻取得機能で取得された時刻を基準とする所定期間だけ前記テンプレート生成機能で生成されたテンプレートを取得してメモリに書き込むことが可能なテンプレート書き込み装置に対し、当該テンプレート及び時刻の情報を提供するテンプレート情報提供機能と、をコンピュータに実現させるためのプログラムが提供される。 In order to solve the above problem, according to another aspect of the present invention, a template generation function for generating an encrypted biometric authentication template and a time at which the template is generated by the template generation function are acquired. The template acquisition apparatus capable of acquiring the template generated by the template generation function and writing it to the memory only for a predetermined period based on the time acquired by the time acquisition function. Also provided is a program for causing a computer to realize a template information providing function for providing time information.
また、上記課題を解決するために、本発明の別の観点によれば、上記のプログラムが記録されたコンピュータにより読み取り可能な記録媒体が提供される。 In order to solve the above problem, according to another aspect of the present invention, a computer-readable recording medium on which the above-described program is recorded is provided.
以上説明したように本発明によれば、生体認証装置の外部にあるセキュアデバイスにテンプレートを書き込み際、無制限にテンプレートが複製されることを防止することが可能になる。 As described above, according to the present invention, it is possible to prevent unlimited copying of a template when writing the template to a secure device outside the biometric authentication apparatus.
以下に添付図面を参照しながら、本発明の好適な実施の形態について詳細に説明する。なお、本明細書及び図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略する。 Exemplary embodiments of the present invention will be described below in detail with reference to the accompanying drawings. In addition, in this specification and drawing, about the component which has the substantially same function structure, duplication description is abbreviate | omitted by attaching | subjecting the same code | symbol.
[説明の流れについて]
ここで、以下に記載する本発明の実施形態に関する説明の流れについて簡単に述べる。まず、図1を参照しながら、本実施形態に係るテンプレート書き込みシステムの全体的なシステム構成について説明する。次いで、図2を参照しながら、本実施形態に係るテンプレート書き込みシステムにおけるテンプレートの書き込み処理の流れについて説明する。次いで、図3を参照しながら、本実施形態に係るテンプレート生成装置の機能構成について説明する。次いで、図4を参照しながら、本実施形態に係るテンプレート書き込み装置の機能構成について説明する。
[About the flow of explanation]
Here, the flow of explanation regarding the embodiment of the present invention described below will be briefly described. First, an overall system configuration of the template writing system according to the present embodiment will be described with reference to FIG. Next, a flow of template writing processing in the template writing system according to the present embodiment will be described with reference to FIG. Next, the functional configuration of the template generation apparatus according to the present embodiment will be described with reference to FIG. Next, the functional configuration of the template writing apparatus according to the present embodiment will be described with reference to FIG.
次いで、図5を参照しながら、本実施形態に係るテンプレート書き込みシステムにおいてテンプレート送信時に用いられる送信フレームのフレーム構成について説明する。次いで、図6を参照しながら、本実施形態に係るテンプレート生成装置、及びテンプレート書き込み装置の機能を実現することが可能な情報処理装置のハードウェア構成例について説明する。最後に、本実施形態の技術的思想について纏め、当該技術的思想から得られる作用効果について簡単に説明する。 Next, a frame configuration of a transmission frame used at the time of template transmission in the template writing system according to the present embodiment will be described with reference to FIG. Next, a hardware configuration example of an information processing apparatus capable of realizing the functions of the template generation apparatus and the template writing apparatus according to the present embodiment will be described with reference to FIG. Finally, the technical idea of the present embodiment will be summarized and the effects obtained from the technical idea will be briefly described.
(説明項目)
1:実施形態
1ー1:テンプレート書き込みシステムの全体構成
1−2:全体的な処理の流れ(テンプレート書き込み方法)
1−3:テンプレート生成装置の機能構成
1−4:テンプレート書き込み装置の機能構成
1−5:テンプレートの送信に用いるフレームの構成
2:ハードウェア構成例
3:まとめ
(Description item)
1: Embodiment 1-1: Overall Configuration of Template Writing System 1-2: Overall Process Flow (Template Writing Method)
1-3: Functional configuration of template generation apparatus 1-4: Functional configuration of template writing apparatus 1-5: Configuration of frame used for template transmission 2: Hardware configuration example 3: Summary
<1:実施形態>
本発明の一実施形態について説明する。本実施形態は、生体認証装置の外部にあるセキュアデバイスにテンプレートを書き込むことを許すシステム構成において、テンプレートが不正に複製されるのを防止することが可能な技術を提案するものである。また、この技術を用いると、不用意に外部のセキュアデバイスに保存されていたテンプレートが正規のテンプレート保存場所に書き込まれるのを防止することが可能になる。その結果、安易な手法を用いた生体認証システムに対する攻撃を抑圧することが可能になる。
<1: Embodiment>
An embodiment of the present invention will be described. This embodiment proposes a technique capable of preventing a template from being illegally copied in a system configuration that allows a template to be written to a secure device outside the biometric authentication apparatus. Further, when this technique is used, it is possible to prevent a template stored in an external secure device from being inadvertently written in a regular template storage location. As a result, it is possible to suppress attacks on the biometric authentication system using an easy technique.
[1ー1:テンプレート書き込みシステムの全体構成]
まず、図1を参照しながら、本実施形態に係るテンプレート書き込みシステム10の全体構成について説明する。図1は、本実施形態に係るテンプレート書き込みシステム10の全体構成を示す説明図である。
[1-1: Overall configuration of template writing system]
First, the overall configuration of the template writing system 10 according to the present embodiment will be described with reference to FIG. FIG. 1 is an explanatory diagram showing an overall configuration of a template writing system 10 according to the present embodiment.
図1に示すように、テンプレート書き込みシステム10は、主に、テンプレート生成装置100と、テンプレート書き込み装置200(例えば、PC)と、記録媒体300(例えば、非接触ICカード)とにより構成される。なお、PCは、Personal Computerの略である。また、ICは、Integrated Circuitの略である。
As shown in FIG. 1, the template writing system 10 mainly includes a
テンプレート生成装置100は、生体認証装置の一例である。そして、テンプレート生成装置100は、ユーザの生体パターンを取得して生体認証用のテンプレートを生成する手段である。また、テンプレート生成装置100とテンプレート書き込み装置200とはデータ伝送路で接続されており、テンプレート生成装置100からテンプレート書き込み装置200に対して所定のデータを伝送できるように構成されている。テンプレート生成装置100によりテンプレートが生成されると、生成されたテンプレートは、データ伝送路を通じてテンプレート書き込み装置200に伝送される。
The
テンプレート書き込み装置200は、記録媒体300にテンプレートを書き込む手段である。また、テンプレート書き込み装置200は、記録媒体300との間で通信経路を確立し、その通信経路を通じてデータを書き込むことができるように構成されている。例えば、記録媒体300が非接触ICカードの場合、テンプレート書き込み装置200には非接触ICカードにデータを読み書きするためのリーダ/ライタ(R/W)が接続され、非接触通信により記録媒体300にデータが書き込まれる。但し、記録媒体300は非接触ICカードに限定されず、例えば、記録媒体300としてテンプレート書き込み装置200に内蔵された記録媒体や、有線又は無線接続された外部機器記録媒体を利用することも可能である。
The
上記の通り、本実施形態に係るテンプレート書き込みシステム10においては、テンプレート生成装置100により生成されたテンプレートがテンプレート書き込み装置200を介して記録媒体300に書き込まれる。このように、テンプレートがテンプレート生成装置100の外部にある記録媒体300に書き込まれて管理されるようになると、各所に設置された生体認証装置のセキュアデバイスでテンプレートを保持する必要が無くなる。
As described above, in the template writing system 10 according to the present embodiment, the template generated by the
つまり、各生体認証装置は、記録媒体300からテンプレートを読み出し、ユーザの生体部位から取得した生体パターンと照合することで生体認証を実施することができるようになる。その結果、様々な場所に設置された生体認証装置に対してユーザがテンプレートを登録しに行く必要が無くなり、生体認証サービスの利便性を向上させることができる。しかし、単にテンプレートを記録媒体300に書き込めるようにしただけでは、悪意ある第三者によりテンプレート書き込み装置200又は記録媒体300から不正にテンプレートが読み出されて複製される恐れがある。
That is, each biometric authentication device can perform biometric authentication by reading a template from the
そこで、テンプレート書き込みシステム10においては、テンプレートの書き込み可能期間を設定し、その書き込み可能期間だけテンプレートの書き込みができる仕組みが設けられている。以下、この仕組みについて説明する。まず、テンプレート生成装置100は、テンプレートを生成した時刻(以下、テンプレート生成時刻)を取得する。このとき、テンプレート生成装置100は、例えば、内蔵するチップのRTC(Real Time Clock)からテンプレート生成時刻を取得する。このようにして得られたテンプレート生成時刻は、テンプレートと共にテンプレート書き込み装置200に伝送される。
Therefore, the template writing system 10 is provided with a mechanism for setting a template writable period and writing the template only during the writable period. Hereinafter, this mechanism will be described. First, the
テンプレート書き込み装置200では、テンプレートを記録媒体300に書き込む時刻(以下、テンプレート書き込み時刻)が取得され、テンプレート生成時刻との時間差が算出される。そして、テンプレート書き込み装置200は、算出した時間差が所定値(以下、有効期限)より小さいか否かを判定し、小さい場合には記録媒体300への書き込み処理を進め、大きい場合にはエラーを出力して書き込み処理を終了する。このような構成にすることで、テンプレートの書き込み期間を制限することが可能になり、テンプレートの不正な複製を抑制することができる。例えば、記録媒体300に書き込まれたテンプレートを他の外部機器に書き込もうとしても、有効期限が適切に設定されていれば、他の外部機器に書き込む時点で有効期限外となり、他の外部機器への複製が防止されるのである。
In the
また、テンプレート書き込みシステム10においては、テンプレートと共に伝送されるテンプレート生成時刻の改竄を防止するための仕組みも設けられている。以下、この仕組みについて説明する。まず、テンプレート生成装置100は、テンプレートとテンプレート生成時刻とに基づいて電子署名を生成する。そして、テンプレート及びテンプレート生成時刻のデータがテンプレート書き込み装置200に伝送される際、これらのデータと共に電子署名が伝送される。
The template writing system 10 is also provided with a mechanism for preventing falsification of the template generation time transmitted with the template. Hereinafter, this mechanism will be described. First, the
テンプレート及びテンプレート生成時刻のデータを取得すると、テンプレート書き込み装置200は、テンプレート及びテンプレート生成時刻のデータと共に取得した電子署名を用いて当該テンプレート及びテンプレート生成時刻のデータを検証する。署名検証が成功し、かつ、テンプレート書き込み時刻が有効期限内である場合、テンプレート書き込み装置200は、テンプレートを記録媒体300に書き込む。このような仕組みを設けることで、テンプレート生成時刻の改竄を検知することが可能になり、不正にテンプレートが書き込まれるのを防止することができる。
When the template and the template generation time data are acquired, the
以上、本実施形態に係るテンプレート書き込みシステム10の全体的な構成について説明した。 The overall configuration of the template writing system 10 according to the present embodiment has been described above.
[1−2:全体的な処理の流れ(テンプレート書き込み方法)]
次に、図2を参照しながら、本実施形態に係るテンプレート書き込み方法について説明する。図2は、本実施形態に係るテンプレート書き込みシステム10において実行されるテンプレート書き込み処理の全体的な流れを示す説明図である。図2には、テンプレート書き込み装置200による処理内容と、テンプレート生成装置100による処理内容とを区別可能な形で記載した。
[1-2: Overall Process Flow (Template Writing Method)]
Next, a template writing method according to the present embodiment will be described with reference to FIG. FIG. 2 is an explanatory diagram showing the overall flow of the template writing process executed in the template writing system 10 according to the present embodiment. In FIG. 2, the processing content by the
図2に示すように、まず、テンプレート生成装置100によりテンプレート(T)が生成される(S102)。次いで、テンプレート生成装置100により、生成されたテンプレートが暗号化され、暗号化テンプレート(Tenc)が生成される(S104)。次いで、テンプレート生成装置100により、テンプレート生成時刻(t0)が取得される(S106)。次いで、テンプレート生成装置100により、暗号化テンプレートTencとテンプレート生成時刻t0とを連結して得られる結合データ[Tenc,t0]に基づいて電子署名(sign)が生成される(S108)。次いで、テンプレート生成装置100により、結合データ[Tenc,t0]と電子署名signとを連結して得られる結合データ[[Tenc,t0],sign]が書き込み命令としてテンプレート書き込み装置200に送信される(S110)。
As shown in FIG. 2, first, a template (T) is generated by the template generation apparatus 100 (S102). Next, the
書き込み命令を受信すると、テンプレート書き込み装置200は、書き込み処理を開始する(S112)。まず、テンプレート書き込み装置200により、テンプレート書き込み時刻(t1)が取得される(S114)。次いで、テンプレート書き込み装置200により、受信したテンプレート生成時刻t0と、ステップS114で取得したテンプレート書き込み時刻t1との時間差(|t1−t0|)が計算され、時間差|t1−t0|と有効期限(Δt)とが比較される(S116)。|t1−t0|<Δtである場合、テンプレート書き込み装置200は、ステップS118の処理に進行する。一方、|t1−t0|≧Δtである場合、テンプレート書き込み装置200は、エラーを出力して一連の書き込み処理を終了する。
When receiving the write command, the
ステップS118に進行した場合、テンプレート書き込み装置200は、受信した電子署名signを用いて暗号化テンプレートTenc及びテンプレート生成時刻t0の署名検証を実行する(S118)。署名検証が成功した場合、テンプレート書き込み装置200は、ステップS120の処理に進行する。一方、署名検証が失敗した場合、テンプレート書き込み装置200は、エラーを出力して一連の書き込み処理を終了する。ステップS120に進行した場合、テンプレート書き込み装置200は、記録媒体300に暗号化テンプレートTencを書き込み、書き込み完了通知をテンプレート生成装置100に送信して一連の書き込み処理を終了する(S120)。また、書き込み完了通知を受信すると、テンプレート生成装置100も一連の書き込み処理を終了する(S122)。
When the process proceeds to step S118, the
以上、本実施形態に係るテンプレート書き込み方法について説明した。上記の通り、本実施形態においては、書き込み可能な期限の設定と電子署名による署名検証とを併用している。このような仕組みを設けることにより、安易な方法で不正にテンプレートが複製されることを抑圧することが可能になる。 The template writing method according to the present embodiment has been described above. As described above, in the present embodiment, setting of a writable time limit and signature verification using an electronic signature are used in combination. By providing such a mechanism, it is possible to suppress illegal duplication of a template by an easy method.
[1−3:テンプレート生成装置の機能構成]
次に、図3を参照しながら、上記のテンプレート書き込み方法を実現することが可能な本実施形態に係るテンプレート生成装置100の機能構成について説明する。図3は、本実施形態に係るテンプレート生成装置100の機能構成例を示す説明図である。
[1-3: Functional configuration of template generation apparatus]
Next, a functional configuration of the
図3に示すように、テンプレート生成装置100は、主に、生体パターン取得部102と、テンプレート暗号化部104と、時刻取得部106と、署名生成部108と、計時部110と、結合データ送信部112とにより構成される。テンプレート生成装置100は、生体認証装置の一例である。また、生体パターン取得部102、テンプレート暗号化部104は、テンプレート生成部の一例である。さらに、結合データ送信部112は、テンプレート情報提供部の一例である。
As shown in FIG. 3, the
生体パターン取得部102は、ユーザの生体部位から生体パターンを取得して生体認証用のテンプレートを生成する手段である。例えば、生体パターン取得部102は、所定の生体部位に対して近赤外光を照射し、当該生体部位の内部で散乱された散乱光を受光して得られる生体パターンの画像に所定の画像処理を施して生体認証用のテンプレートを生成する。所定の生体部位としては、例えば、指、掌、手首等が用いられる。また、生体パターンとしては、例えば、静脈パターン等が用いられる。さらに、所定の画像処理としては、2値化処理や圧縮符号化処理等が用いられる。
The biometric
生体パターン取得部102により生成されたテンプレートは、テンプレート暗号化部104に入力される。テンプレート暗号化部104は、テンプレート生成装置100に設けられた耐タンパメモリ内に格納されているテンプレート暗号鍵を用いてテンプレートを暗号化する手段である。生体パターン取得部102からテンプレートが入力されると、テンプレート暗号化部104は、テンプレート暗号鍵を用いて、入力されたテンプレートを暗号化して暗号化テンプレートを生成する。テンプレート暗号化部104により生成された暗号化テンプレートは、署名生成部108、及び結合データ送信部112に入力される。
The template generated by the biometric
上記のようにテンプレート暗号化部104により暗号化テンプレートが生成されると、時刻取得部106は、計時部110を参照して暗号化テンプレートが生成された時刻を取得する。但し、計時部110は、テンプレート生成装置100に設けられたチップのリアルタイムクロック(Real Time Clock)である。時刻取得部106により取得されたテンプレート生成時刻は、署名生成部108、及び結合データ送信部112に入力される。この段階で、署名生成部108及び結合データ送信部112には、暗号化テンプレートとテンプレート生成時刻とが入力される。
When the encryption template is generated by the
暗号化テンプレート及びテンプレート生成時刻が入力されると、署名生成部108は、暗号化テンプレート及びテンプレート生成時刻に基づいて電子署名を生成する。例えば、署名生成部108は、暗号化テンプレートとテンプレート生成時刻とを連結させ、その連結データを用いて電子署名を生成する。このようにして署名生成部108により生成された電子署名は、結合データ送信部112に入力される。電子署名が入力されると、結合データ送信部112は、暗号化テンプレート及びテンプレート暗号鍵の連結データと、電子署名とを連結して結合データを生成する。そして、結合データ送信部112は、生成した結合データをテンプレート書き込み装置200に送信する。
When the encryption template and the template generation time are input, the
このようにしてテンプレート生成装置100により暗号化テンプレート、テンプレート生成時刻、及び電子署名が生成され、テンプレート書き込み装置200に送信される。
In this way, the
[1−4:テンプレート書き込み装置の機能構成]
次に、図4を参照しながら、上記のテンプレート書き込み方法を実現することが可能な本実施形態に係るテンプレート書き込み装置200の機能構成について説明する。図4は、本実施形態に係るテンプレート書き込み装置200の機能構成例を示す説明図である。
[1-4: Functional configuration of template writing apparatus]
Next, a functional configuration of the
図4に示すように、テンプレート書き込み装置200は、主に、結合データ受信部202と、時間差計算部204と、時刻取得部206と、計時部208と、時間差判定部210と、署名検証部212と、テンプレート書き込み部214とにより構成される。なお、結合データ受信部202は、テンプレート情報取得部の一例である。また、時刻取得部206は、書き込み時刻取得部の一例である。さらに、時間差計算部204は、時間差算出部の一例である。そして、テンプレート書き込み部214、R/Wは、通信部の一例である。また、テンプレート書き込み装置200には、耐タンパ性を有するメモリ(非図示)が搭載されていてもよい。
As shown in FIG. 4, the
結合データ受信部202は、テンプレート生成装置100により送信された結合データを受信する手段である。上記の通り、テンプレート生成装置100は、結合データ送信部112により、暗号化テンプレート、テンプレート生成時刻、電子署名を含む結合データを送信する。結合データ受信部202は、テンプレート生成装置100から送信された結合データを受信し、時間差計算部204、署名検証部212、及びテンプレート書き込み部214に入力する。但し、時間差計算部204には、テンプレート生成時刻が入力される。また、署名検証部212及びテンプレート書き込み部214には、暗号化テンプレート、テンプレート生成時刻、及び電子署名が入力される。
The combined
テンプレート生成時刻が入力されると、時間差計算部204は、テンプレート書き込み時刻とテンプレート生成時刻との間の時間差を計算する。但し、テンプレート書き込み時刻は、時刻取得部206により取得される。結合データ受信部202により結合データが受信され、テンプレートの書き込み処理が開始されると、時刻取得部206は、計時部208を参照して時刻(テンプレート書き込み時刻)を取得する。なお、計時部208は、テンプレート書き込み装置200の内部チップに設けられたRTC等である。時刻取得部206により取得されたテンプレート書き込み時刻は、時間差計算部204に入力される。そして、時間差計算部204により上記2つの時刻の時間差が計算される。
When the template generation time is input, the time
時間差計算部204により算出された時間差は、時間差判定部210に入力される。時間差判定部210は、入力された時間差と所定の時間差とを比較し、入力された時間差が所定の時間差よりも小さいか否かを判定する。入力された時間差が所定の時間差よりも小さい場合、時間差判定部210は、書き込み処理を継続すべき旨を示す通知信号を署名検証部212に入力する。一方、入力された時間差が所定の時間差よりも大きい場合、時間差判定部210は、エラーを出力して一連の書き込み処理を終了する。
The time difference calculated by the time
書き込み処理を継続すべき旨を示す通知信号が入力されると、署名検証部212は、結合データ受信部202から入力された電子署名を用いて暗号化テンプレート及びテンプレート生成時刻の正当性を検証する。署名検証の結果、暗号化テンプレート及びテンプレート生成時刻の正当性が確認された場合、署名検証部212は、書き込み処理を継続すべき旨を示す通知信号をテンプレート書き込み部214に入力する。一方で、署名検証の結果、暗号化テンプレート及びテンプレート生成時刻の正当性が確認されなかった場合、署名検証部212は、エラーを出力して一連の書き込み処理を終了する。
When a notification signal indicating that the writing process should be continued is input, the
書き込み処理を継続すべき旨を示す通知信号が入力されると、テンプレート書き込み部214は、結合データ受信部202から入力された暗号化テンプレートを記録媒体300に書き込む。このとき、テンプレート書き込み部214は、暗号化テンプレートと共に、テンプレート生成時刻及び電子署名を記録媒体300に書き込む。このような構成にすることで、記録媒体300に書き込まれた暗号化テンプレートが他の記録媒体に複製される際に、テンプレート生成時刻を基準とする書き込み期限を確認することができるようになる。また、記録媒体300から読み出された暗号化テンプレート及びテンプレート生成時刻の正当性を確認することができるようになる。
When a notification signal indicating that the writing process should be continued is input, the
以上、本実施形態に係るテンプレート書き込み装置200の機能構成について説明した。上記の通り、テンプレートの生成時刻を基準として書き込み期間に制限を設けることにより、安易な手法で不正にテンプレートが複製されるのを防止することが可能になる。また、電子署名によりテンプレート生成時刻の改竄を検知することも可能になる。なお、テンプレート生成装置100から取得した結合データにテンプレート生成時刻や電子署名が付与されていない場合、テンプレート書き込み装置200は、エラーを出力して一連の書き込み処理を終了する。
Heretofore, the functional configuration of the
[1−5:テンプレートの送信に用いるフレームの構成]
次に、図5を参照しながら、テンプレート生成装置100から結合データを送信する際に用いる送信フレームの構成について簡単に説明する。図5は、テンプレート生成装置100から結合データを送信する際に用いる送信フレームの構成例を示す説明図である。
[1-5: Frame configuration used for template transmission]
Next, a configuration of a transmission frame used when transmitting combined data from the
図5に示すように、結合データを送信する際に用いる送信フレームの構成について簡単に説明する。図5は、テンプレート生成装置100から結合データを送信する際に用いる送信フレームは、ヘッダ部分とデータ部分とで構成される。多くの場合、ヘッダ部分は平文のままで送信される。また、暗号化テンプレートが含まれるデータ部分は暗号文の形で送信される。テンプレート生成時刻は、暗号化テンプレートと共に暗号化されたデータ部分に含める形で送信してもよいが、平文のままヘッダ部分に含める形で送信してもよい。
As shown in FIG. 5, the configuration of a transmission frame used when transmitting combined data will be briefly described. In FIG. 5, the transmission frame used when transmitting the combined data from the
図5に示すように、この送信フレームには、ヘッダ部分の改竄を検出するためのヘッダ用改竄検出コード、及びデータ部分の改竄を検出するためのデータ用改竄検出コードが設けられている。ヘッダ用改竄検出コードは、データ部分の先頭に設けられる。また、データ用改竄検出コードは、データ部分の後に続くフレーム要素に設けられる。このようなフレーム構成にすることで、テンプレート生成時刻をヘッダ部分に含めたとしても、ヘッダ用改竄検出コードを用いて改竄を検出することが可能になる。また、データ部分に含まれる暗号化テンプレートについても、データ用改竄検出コードを用いて改竄を検出することが可能になる。その結果、データの改竄に対する耐性が向上する。 As shown in FIG. 5, this transmission frame is provided with a header falsification detection code for detecting falsification of the header portion and a data falsification detection code for detecting falsification of the data portion. The header falsification detection code is provided at the beginning of the data portion. The data alteration detection code is provided in a frame element that follows the data portion. By adopting such a frame configuration, even if the template generation time is included in the header part, it becomes possible to detect falsification using the header falsification detection code. In addition, it is possible to detect falsification using the data falsification detection code for the encryption template included in the data portion. As a result, resistance to data tampering is improved.
<2:ハードウェア構成例>
上記のテンプレート生成装置100、及びテンプレート書き込み装置200が有する機能は、例えば、図6に示す情報処理装置のハードウェア構成を用いて実現することが可能である。つまり、当該機能は、コンピュータプログラムを用いて図6に示すハードウェアを制御することにより実現される。なお、このハードウェアの形態は任意であり、例えば、パーソナルコンピュータ、携帯電話、PHS、PDA等の携帯情報端末、ゲーム機、又は種々の情報家電がこれに含まれる。但し、上記のPHSは、Personal Handy−phone Systemの略である。また、上記のPDAは、Personal Digital Assistantの略である。
<2: Hardware configuration example>
The functions of the
図6に示すように、このハードウェアは、主に、CPU902と、ROM904と、RAM906と、ホストバス908と、ブリッジ910と、を有する。さらに、このハードウェアは、外部バス912と、インターフェース914と、入力部916と、出力部918と、記憶部920と、ドライブ922と、接続ポート924と、通信部926と、を有する。但し、上記のCPUは、Central Processing Unitの略である。また、上記のROMは、Read Only Memoryの略である。そして、上記のRAMは、Random Access Memoryの略である。
As shown in FIG. 6, this hardware mainly includes a
CPU902は、例えば、演算処理装置又は制御装置として機能し、ROM904、RAM906、記憶部920、又はリムーバブル記録媒体928に記録された各種プログラムに基づいて各構成要素の動作全般又はその一部を制御する。ROM904は、CPU902に読み込まれるプログラムや演算に用いるデータ等を格納する手段である。RAM906には、例えば、CPU902に読み込まれるプログラムや、そのプログラムを実行する際に適宜変化する各種パラメータ等が一時的又は永続的に格納される。
The
これらの構成要素は、例えば、高速なデータ伝送が可能なホストバス908を介して相互に接続される。一方、ホストバス908は、例えば、ブリッジ910を介して比較的データ伝送速度が低速な外部バス912に接続される。また、入力部916としては、例えば、マウス、キーボード、タッチパネル、ボタン、スイッチ、及びレバー等が用いられる。さらに、入力部916としては、赤外線やその他の電波を利用して制御信号を送信することが可能なリモートコントローラ(以下、リモコン)が用いられることもある。
These components are connected to each other via, for example, a
出力部918としては、例えば、CRT、LCD、PDP、又はELD等のディスプレイ装置、スピーカ、ヘッドホン等のオーディオ出力装置、プリンタ、携帯電話、又はファクシミリ等、取得した情報を利用者に対して視覚的又は聴覚的に通知することが可能な装置である。但し、上記のCRTは、Cathode Ray Tubeの略である。また、上記のLCDは、Liquid Crystal Displayの略である。そして、上記のPDPは、Plasma DisplayPanelの略である。さらに、上記のELDは、Electro−Luminescence Displayの略である。
As the
記憶部920は、各種のデータを格納するための装置である。記憶部920としては、例えば、ハードディスクドライブ(HDD)等の磁気記憶デバイス、半導体記憶デバイス、光記憶デバイス、又は光磁気記憶デバイス等が用いられる。但し、上記のHDDは、Hard Disk Driveの略である。
The
ドライブ922は、例えば、磁気ディスク、光ディスク、光磁気ディスク、又は半導体メモリ等のリムーバブル記録媒体928に記録された情報を読み出し、又はリムーバブル記録媒体928に情報を書き込む装置である。リムーバブル記録媒体928は、例えば、DVDメディア、Blu−rayメディア、HD DVDメディア、各種の半導体記憶メディア等である。もちろん、リムーバブル記録媒体928は、例えば、非接触型ICチップを搭載したICカード、又は電子機器等であってもよい。但し、上記のICは、Integrated Circuitの略である。
The
接続ポート924は、例えば、USBポート、IEEE1394ポート、SCSI、RS−232Cポート、又は光オーディオ端子等のような外部接続機器930を接続するためのポートである。外部接続機器930は、例えば、プリンタ、携帯音楽プレーヤ、デジタルカメラ、デジタルビデオカメラ、又はICレコーダ等である。但し、上記のUSBは、Universal Serial Busの略である。また、上記のSCSIは、Small Computer System Interfaceの略である。
The
通信部926は、ネットワーク932に接続するための通信デバイスであり、例えば、有線又は無線LAN、Bluetooth(登録商標)、又はWUSB用の通信カード、光通信用のルータ、ADSL用のルータ、又は各種通信用のモデム等である。また、通信部926に接続されるネットワーク932は、有線又は無線により接続されたネットワークにより構成され、例えば、インターネット、家庭内LAN、赤外線通信、可視光通信、放送、又は衛星通信等である。但し、上記のLANは、Local Area Networkの略である。また、上記のWUSBは、Wireless USBの略である。そして、上記のADSLは、Asymmetric Digital Subscriber Lineの略である。
The
<3:まとめ>
最後に、本実施形態に係るテンプレート書き込み装置、及び生体認証装置が有する機能構成と、当該機能構成により得られる作用効果について簡単に纏める。
<3: Summary>
Finally, the functional configuration of the template writing device and the biometric authentication device according to the present embodiment and the effects obtained by the functional configuration will be briefly summarized.
(A:テンプレート書き込み装置)
本実施形態に係るテンプレート書き込み装置の機能構成は次のように表現することができる。当該テンプレート書き込み装置は、それぞれ以下の機能を持つテンプレート情報取得部、書き込み時刻取得部、時間差算出部、及びテンプレート書き込み部を有する。上記のテンプレート情報取得部は、暗号化された生体認証用のテンプレート、及び当該テンプレートの生成時刻を示す時刻情報を取得するものである。このように、当該テンプレート書き込み装置は、テンプレート情報取得部により、書き込むべきテンプレートと共に、そのテンプレートの生成時刻を示す時刻情報を併せて取得する。テンプレートの生成時刻は、例えば、そのテンプレートを生成したテンプレート生成装置(生体認証装置)に搭載されたセキュアデバイスの内部クロック(例えば、RTL;Real Time Clock)から取得される。
(A: Template writing device)
The functional configuration of the template writing apparatus according to the present embodiment can be expressed as follows. The template writing apparatus includes a template information acquisition unit, a writing time acquisition unit, a time difference calculation unit, and a template writing unit each having the following functions. The template information acquisition unit acquires the encrypted biometric authentication template and time information indicating the generation time of the template. In this way, the template writing apparatus acquires, together with the template to be written, time information indicating the generation time of the template by the template information acquisition unit. The generation time of the template is acquired from, for example, an internal clock (for example, RTL; Real Time Clock) of a secure device mounted on the template generation apparatus (biometric authentication apparatus) that generated the template.
また、上記の書き込み時刻取得部は、前記テンプレート情報取得部で取得されたテンプレートがメモリに書き込まれる書き込み時刻を取得するものである。書き込み時刻は、例えば、テンプレート生成装置の内部に設けられたシステムクロックや所定のNTP(Network Time Protocol)サーバ等から取得されるか、或いは、テンプレート生成装置から取得される。また、上記の時間差算出部は、前記テンプレート情報取得部で取得された時刻情報が示す生成時刻と、前記書き込み時刻取得部で取得された書き込み時刻との間の時間差を算出するものである。そして、上記のテンプレート書き込み部は、前記時間差算出部で算出された時間差が所定値よりも小さい場合に前記テンプレート情報取得部で取得されたテンプレートを前記メモリに書き込むように構成されている。 The writing time acquisition unit acquires a writing time at which the template acquired by the template information acquisition unit is written to the memory. The writing time is acquired from, for example, a system clock provided in the template generation apparatus, a predetermined NTP (Network Time Protocol) server, or the like, or is acquired from the template generation apparatus. The time difference calculation unit calculates a time difference between the generation time indicated by the time information acquired by the template information acquisition unit and the writing time acquired by the writing time acquisition unit. The template writing unit is configured to write the template acquired by the template information acquisition unit to the memory when the time difference calculated by the time difference calculation unit is smaller than a predetermined value.
このように、本実施形態に係るテンプレート書き込み装置は、書き込むべきテンプレートの生成時刻を基準として書き込み可能な期間を管理する機能を有する。このような機能を有することで、書き込み可能な期間を越えたテンプレートの書き込みが禁止され、悪意ある第三者によってテンプレートが無尽蔵に複製されるのを防止することができる。 As described above, the template writing apparatus according to the present embodiment has a function of managing a writable period based on the generation time of the template to be written. By having such a function, template writing beyond a writable period is prohibited, and a template can be prevented from being copied inexhaustibly by a malicious third party.
また、前記テンプレート情報取得部は、前記テンプレート及び前記時刻情報に加え、当該テンプレート及び時刻情報に基づいて生成された電子署名を取得するように構成されていてもよい。さらに、前記テンプレート書き込み装置は、前記テンプレート情報取得部で取得されたテンプレート及び時刻情報を用いて前記電子署名を検証する署名検証部をさらに有していてもよい。そして、前記テンプレート書き込み部は、前記時間差算出部で算出された時間差が所定値よりも小さく、かつ、前記署名検証部による検証が成功した場合に前記テンプレートを前記メモリに書き込むように構成されていてもよい。 In addition to the template and the time information, the template information acquisition unit may be configured to acquire an electronic signature generated based on the template and the time information. Furthermore, the template writing apparatus may further include a signature verification unit that verifies the electronic signature using the template and time information acquired by the template information acquisition unit. The template writing unit is configured to write the template to the memory when the time difference calculated by the time difference calculating unit is smaller than a predetermined value and the verification by the signature verification unit is successful. Also good.
このように、テンプレート及び時刻情報に基づいて電子署名が生成され、電子署名によりテンプレート及び時刻情報の正当性が確認できるようにすることで、時刻情報の改竄を検知することが可能になる。その結果、時刻情報を改竄して書き込み期間を不正に変更する攻撃を防ぐことができるようになる。 As described above, an electronic signature is generated based on the template and the time information, and the validity of the template and the time information can be confirmed by the electronic signature, so that it is possible to detect falsification of the time information. As a result, it is possible to prevent an attack that falsifies the time information and illegally changes the writing period.
また、前記テンプレート書き込み装置は、耐タンパ性を有するメモリを搭載したセキュアデバイスとの間で通信可能な通信部をさらに備えていてもよい。そして、前記テンプレート書き込み部は、前記通信部を通じて前記セキュアデバイスのメモリに前記テンプレートを書き込むように構成されていてもよい。このように、本実施形態のテンプレート書き込み装置は、耐タンパメモリを搭載した非接触ICカード等にテンプレートを書き込む装置として利用することができる。但し、前記テンプレート書き込み部は、自装置に搭載されたメモリに前記テンプレートを書き込むように構成されていてもよい。 The template writing apparatus may further include a communication unit capable of communicating with a secure device equipped with a tamper-resistant memory. The template writing unit may be configured to write the template into the memory of the secure device through the communication unit. Thus, the template writing apparatus of this embodiment can be used as an apparatus for writing a template on a non-contact IC card or the like equipped with a tamper resistant memory. However, the template writing unit may be configured to write the template into a memory mounted on the device itself.
(B:生体認証装置)
本実施形態に係る生体認証装置の機能構成は次のように表現することができる。当該生体認証装置は、それぞれ以下の機能を持つテンプレート生成部、時刻取得部、及びテンプレート情報提供部を有する。上記のテンプレート生成部は、暗号化された生体認証用のテンプレートを生成するものである。上記のテンプレート生成部は、例えば、光学的な手法で指静脈等の生体パターンを撮影して得られた画像データに所定の画像処理及び暗号化処理を施して生体認証用のテンプレートを生成する。
(B: Biometric authentication device)
The functional configuration of the biometric authentication apparatus according to the present embodiment can be expressed as follows. The biometric authentication apparatus includes a template generation unit, a time acquisition unit, and a template information provision unit each having the following functions. The template generation unit generates an encrypted biometric authentication template. The template generation unit generates a biometric authentication template by performing predetermined image processing and encryption processing on image data obtained by photographing a biological pattern such as a finger vein using an optical technique, for example.
また、上記の時刻取得部は、前記テンプレート生成部でテンプレートが生成された時刻を取得するものである。上記の時刻取得部は、例えば、当該生体認証装置に搭載されたセキュアデバイスの内部クロック(例えば、RTL;Real Time Clock)を参照し、テンプレートが生成された時刻を取得する。また、上記のテンプレート情報提供部は、前記時刻取得部で取得された時刻を基準とする所定期間だけ前記テンプレート生成部で生成されたテンプレートを取得してメモリに書き込むことが可能なテンプレート書き込み装置に対し、当該テンプレート及び時刻の情報を提供するものである。 Moreover, said time acquisition part acquires the time when the template was produced | generated in the said template production | generation part. The time acquisition unit refers to, for example, an internal clock (for example, RTL; Real Time Clock) of a secure device mounted on the biometric authentication device, and acquires the time when the template is generated. Further, the template information providing unit described above is a template writing device capable of acquiring the template generated by the template generating unit and writing it to the memory only for a predetermined period based on the time acquired by the time acquiring unit. On the other hand, the template and time information are provided.
このように、本実施形態に係る生体認証装置は、上記のテンプレート提供部により、生成したテンプレートを時刻情報と共に外部のテンプレート書き込み装置に提供する機能を有する。テンプレートと共に時刻情報が提供されることで、テンプレート書き込み装置においてテンプレートの生成時刻に基づく書き込み期間の制限を設けることが可能になる。その結果、生体認証装置の外部にあるセキュアデバイスにテンプレートを書き込めるようにしても、悪意ある第三者がテンプレート書き込み装置を不正に制御して無尽蔵にテンプレートを複製することを防止できるようになる。 As described above, the biometric authentication apparatus according to the present embodiment has a function of providing the generated template together with time information to the external template writing apparatus by the template providing unit. By providing the time information together with the template, the template writing device can limit the writing period based on the template generation time. As a result, even if a template can be written to a secure device outside the biometric authentication device, a malicious third party can be prevented from illegally controlling the template writing device and copying the template indefinitely.
また、前記テンプレート生成部で生成されたテンプレート、及び前記時刻取得部で取得された時刻の情報に基づいて電子署名を生成する署名生成部をさらに備えていてもよい。このように、テンプレート及び時刻情報に基づいて電子署名が生成され、電子署名によりテンプレート及び時刻情報の正当性が確認できるようにすることで、時刻情報の改竄を検知することが可能になる。その結果、時刻情報を改竄して書き込み期間を不正に変更する攻撃を防ぐことができるようになる。 In addition, a signature generation unit that generates an electronic signature based on the template generated by the template generation unit and the time information acquired by the time acquisition unit may be further provided. As described above, an electronic signature is generated based on the template and the time information, and the validity of the template and the time information can be confirmed by the electronic signature, so that it is possible to detect falsification of the time information. As a result, it is possible to prevent an attack that falsifies the time information and illegally changes the writing period.
また、前記テンプレート生成部は、所定の生体部位に対して近赤外光を照射し、当該生体部位の内部で散乱された散乱光を受光して得られる静脈パターンの画像に所定の画像処理及び暗号化処理を施して前記暗号化された生体認証用のテンプレートを生成するように構成されていてもよい。このように、生体に照射した近赤外光の反射光を検知して静脈パターンの画像を取得し、その画像に基づいてテンプレートを生成することにより、本人認証精度の高い生体認証システムを構築することが可能になる。 Further, the template generation unit irradiates a predetermined biological part with near infrared light and receives a scattered light scattered inside the biological part, and performs predetermined image processing and processing on a vein pattern image obtained. The encrypted biometric authentication template may be generated by performing an encryption process. In this way, a biometric authentication system with high personal authentication accuracy is constructed by detecting reflected light of near-infrared light irradiated on a living body, acquiring a vein pattern image, and generating a template based on the image. It becomes possible.
以上、添付図面を参照しながら本発明の好適な実施形態について説明したが、本発明は係る例に限定されないことは言うまでもない。当業者であれば、特許請求の範囲に記載された範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。 As mentioned above, although preferred embodiment of this invention was described referring an accompanying drawing, it cannot be overemphasized that this invention is not limited to the example which concerns. It will be apparent to those skilled in the art that various changes and modifications can be made within the scope of the claims, and these are naturally within the technical scope of the present invention. Understood.
例えば、記録媒体300として、非接触ICカードの利用を想定していたが、携帯電話、携帯情報端末、又はノートPC等に搭載された耐タンパメモリを記録媒体300として用いることもできる。
For example, although a non-contact IC card is assumed to be used as the
100 テンプレート生成装置
102 生体パターン取得部
104 テンプレート暗号化部
106 時刻取得部
108 署名生成部
110 計時部
112 結合データ送信部
200 テンプレート書き込み装置
202 結合データ受信部
204 時間差計算部
206 時刻取得部
208 計時部
210 時間差判定部
212 署名検証部
214 テンプレート書き込み部
300 記録媒体
DESCRIPTION OF
Claims (11)
前記テンプレート情報取得部で取得されたテンプレートがメモリに書き込まれる書き込み時刻を取得する書き込み時刻取得部と、
前記テンプレート情報取得部で取得された時刻情報が示す生成時刻と、前記書き込み時刻取得部で取得された書き込み時刻との間の時間差を算出する時間差算出部と、
前記時間差算出部で算出された時間差が所定値よりも小さい場合に前記テンプレート情報取得部で取得されたテンプレートを前記メモリに書き込むテンプレート書き込み部と、
を備える、テンプレート書き込み装置。 A template information acquisition unit for acquiring an encrypted template for biometric authentication and time information indicating a generation time of the template;
A writing time acquisition unit that acquires a writing time at which the template acquired by the template information acquisition unit is written to the memory;
A time difference calculation unit that calculates a time difference between the generation time indicated by the time information acquired by the template information acquisition unit and the writing time acquired by the writing time acquisition unit;
A template writing unit that writes the template acquired by the template information acquisition unit to the memory when the time difference calculated by the time difference calculation unit is smaller than a predetermined value;
A template writing apparatus comprising:
前記テンプレート書き込み装置は、前記テンプレート情報取得部で取得されたテンプレート及び時刻情報を用いて前記電子署名を検証する署名検証部をさらに備え、
前記テンプレート書き込み部は、前記時間差算出部で算出された時間差が所定値よりも小さく、かつ、前記署名検証部による検証が成功した場合に前記テンプレートを前記メモリに書き込む、請求項1に記載のテンプレート書き込み装置。 The template information acquisition unit acquires an electronic signature generated based on the template and the time information in addition to the template and the time information,
The template writing device further includes a signature verification unit that verifies the electronic signature using the template and time information acquired by the template information acquisition unit,
The template according to claim 1, wherein the template writing unit writes the template into the memory when the time difference calculated by the time difference calculating unit is smaller than a predetermined value and the verification by the signature verification unit is successful. Writing device.
前記テンプレート書き込み部は、前記通信部を通じて前記セキュアデバイスのメモリに前記テンプレートを書き込む、請求項2に記載のテンプレート書き込み装置。 The template writing apparatus further includes a communication unit capable of communicating with a secure device equipped with a tamper-resistant memory,
The template writing apparatus according to claim 2, wherein the template writing unit writes the template into a memory of the secure device through the communication unit.
前記テンプレート生成部でテンプレートが生成された時刻を取得する時刻取得部と、
前記時刻取得部で取得された時刻を基準とする所定期間だけ前記テンプレート生成部で生成されたテンプレートを取得してメモリに書き込むことが可能なテンプレート書き込み装置に対し、当該テンプレート及び時刻の情報を提供するテンプレート情報提供部と、
を備える、生体認証装置。 A template generation unit for generating an encrypted biometric authentication template;
A time acquisition unit for acquiring a time when the template is generated by the template generation unit;
Provide the template and time information to a template writing device that can acquire the template generated by the template generation unit and write it to the memory for a predetermined period based on the time acquired by the time acquisition unit. A template information providing unit,
A biometric authentication device.
前記テンプレート情報取得ステップで取得されたテンプレートがメモリに書き込まれる書き込み時刻を取得する書き込み時刻取得ステップと、
前記テンプレート情報取得ステップで取得された時刻情報が示す生成時刻と、前記書き込み時刻取得ステップで取得された書き込み時刻との間の時間差を算出する時間差算出ステップと、
前記時間差算出ステップで算出された時間差が所定値よりも小さい場合に前記テンプレート情報取得ステップで取得されたテンプレートを前記メモリに書き込むテンプレート書き込みステップと、
を含む、テンプレート書き込み方法。 A template information acquisition step of acquiring an encrypted biometric authentication template and time information indicating a generation time of the template;
A writing time acquisition step of acquiring a writing time at which the template acquired in the template information acquisition step is written into a memory;
A time difference calculating step of calculating a time difference between the generation time indicated by the time information acquired in the template information acquisition step and the writing time acquired in the writing time acquisition step;
A template writing step of writing the template acquired in the template information acquisition step into the memory when the time difference calculated in the time difference calculation step is smaller than a predetermined value;
Including template writing method.
前記テンプレート生成ステップでテンプレートが生成された時刻を取得する時刻取得ステップと、
前記時刻取得ステップで取得された時刻を基準とする所定期間だけ前記テンプレート生成ステップで生成されたテンプレートを取得してメモリに書き込むことが可能なテンプレート書き込み装置に対し、当該テンプレート及び時刻の情報を提供するテンプレート情報提供ステップと、
を含む、テンプレート提供方法。 A template generation step for generating an encrypted biometric template;
A time acquisition step of acquiring the time when the template is generated in the template generation step;
Provide the template and time information to the template writing device that can acquire the template generated in the template generation step and write it to the memory for a predetermined period based on the time acquired in the time acquisition step. A template information providing step,
Including a template providing method.
前記テンプレート情報取得機能で取得されたテンプレートがメモリに書き込まれる書き込み時刻を取得する書き込み時刻取得機能と、
前記テンプレート情報取得機能で取得された時刻情報が示す生成時刻と、前記書き込み時刻取得機能で取得された書き込み時刻との間の時間差を算出する時間差算出機能と、
前記時間差算出機能で算出された時間差が所定値よりも小さい場合に前記テンプレート情報取得機能で取得されたテンプレートを前記メモリに書き込むテンプレート書き込み機能と、
をコンピュータに実現させるためのプログラム。 A template information acquisition function for acquiring an encrypted template for biometric authentication and time information indicating a generation time of the template;
A writing time acquisition function for acquiring a writing time at which a template acquired by the template information acquisition function is written to a memory;
A time difference calculation function for calculating a time difference between a generation time indicated by the time information acquired by the template information acquisition function and a writing time acquired by the writing time acquisition function;
A template writing function for writing the template acquired by the template information acquisition function to the memory when the time difference calculated by the time difference calculation function is smaller than a predetermined value;
A program to make a computer realize.
前記テンプレート生成機能でテンプレートが生成された時刻を取得する時刻取得機能と、
前記時刻取得機能で取得された時刻を基準とする所定期間だけ前記テンプレート生成機能で生成されたテンプレートを取得してメモリに書き込むことが可能なテンプレート書き込み装置に対し、当該テンプレート及び時刻の情報を提供するテンプレート情報提供機能と、
をコンピュータに実現させるためのプログラム。 A template generation function for generating an encrypted biometric template;
A time acquisition function for acquiring the time when the template is generated by the template generation function;
Providing the template and time information to the template writing device that can acquire the template generated by the template generation function and write it to the memory for a predetermined period based on the time acquired by the time acquisition function. A template information providing function,
A program to make a computer realize.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009167042A JP2011022786A (en) | 2009-07-15 | 2009-07-15 | Template writing device, biometric authentication device, method of writing template, method of providing template, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009167042A JP2011022786A (en) | 2009-07-15 | 2009-07-15 | Template writing device, biometric authentication device, method of writing template, method of providing template, and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011022786A true JP2011022786A (en) | 2011-02-03 |
Family
ID=43632808
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009167042A Withdrawn JP2011022786A (en) | 2009-07-15 | 2009-07-15 | Template writing device, biometric authentication device, method of writing template, method of providing template, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2011022786A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9268988B2 (en) | 2010-01-15 | 2016-02-23 | Idex Asa | Biometric image sensing |
-
2009
- 2009-07-15 JP JP2009167042A patent/JP2011022786A/en not_active Withdrawn
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9268988B2 (en) | 2010-01-15 | 2016-02-23 | Idex Asa | Biometric image sensing |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11526885B2 (en) | Systems and methods for user identification using graphical barcode and payment card authentication read data | |
US9396376B1 (en) | Enhanced quick response codes | |
JP2011022785A (en) | Key storage device, biometric authentication device, biometric authentication system, key management method, biometric authentication method, and program | |
CN208580402U (en) | Store equipment and the station for storing equipment | |
US6741729B2 (en) | Fingerprint recognition system | |
TW200952468A (en) | Camera modules and the authentication systems | |
JP5676592B2 (en) | Robust biometric feature extraction with and without reference points | |
JP2010154051A (en) | Signature system, signature device, signature verification device, and program | |
WO2014049749A1 (en) | Biometric reference information registration system, device, and program | |
US20200366670A1 (en) | A system and method for authenticating a user | |
US11727371B2 (en) | Security key input system and method using one-time keypad | |
JP2000358025A (en) | Information processing method, information processor and recording medium storing information processing program | |
JP2005011207A (en) | Ic card, biometrics authentication system and method for authenticating biometrics | |
JP7013385B2 (en) | Systems and methods for identifying users using graphical barcodes and payment card authentication read data | |
JP2010204829A (en) | Authentication device, authentication method, and user authentication system | |
US20220383315A1 (en) | Systems and methods for user identification using graphical barcode and payment card authentication read data | |
JP2005148982A (en) | Method for authenticating user, user information acquisition device, authentication server device, program for user information acquisition device, and program for authentication server device | |
JP2008158778A (en) | Personal identification program, method, and system | |
US11366887B2 (en) | Biometric authentication | |
JP2011022786A (en) | Template writing device, biometric authentication device, method of writing template, method of providing template, and program | |
EP3564837A1 (en) | System, method and computer programs for user authentication and/or authorization | |
Jouda et al. | MagRing-SASB: Static Authentication of Magnetism Sensor Using Semi-Biometric Interaction Magnetic Ring | |
JP2008269415A (en) | One-time password issuing system | |
JP5003678B2 (en) | Fingerprint authentication system | |
TWI646474B (en) | Forged-physiological-characteristic filtering device of identity authentication system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20121002 |