JP2019508816A - 攻撃耐性生体認証デバイス - Google Patents
攻撃耐性生体認証デバイス Download PDFInfo
- Publication number
- JP2019508816A JP2019508816A JP2018545948A JP2018545948A JP2019508816A JP 2019508816 A JP2019508816 A JP 2019508816A JP 2018545948 A JP2018545948 A JP 2018545948A JP 2018545948 A JP2018545948 A JP 2018545948A JP 2019508816 A JP2019508816 A JP 2019508816A
- Authority
- JP
- Japan
- Prior art keywords
- biometric
- output signal
- processing unit
- signal
- sensor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/22—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
- G07C9/25—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition
- G07C9/257—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition electronically
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
- G06Q20/40145—Biometric identity checks
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C9/00563—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys using personal physical data of the operator, e.g. finger prints, retinal images, voicepatterns
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/22—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
- G07C9/25—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/22—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
- G07C9/25—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition
- G07C9/26—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition using a biometric sensor integrated in the pass
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C2209/00—Indexing scheme relating to groups G07C9/00 - G07C9/38
- G07C2209/02—Access control comprising means for the enrolment of users
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C2209/00—Indexing scheme relating to groups G07C9/00 - G07C9/38
- G07C2209/12—Comprising means for protecting or securing the privacy of biometric data, e.g. cancellable biometrics
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Human Computer Interaction (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Accounting & Taxation (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Finance (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Collating Specific Patterns (AREA)
- Lock And Its Accessories (AREA)
- Measurement Of The Respiration, Hearing Ability, Form, And Blood Characteristics Of Living Organisms (AREA)
Abstract
生体認証デバイスは、生体認証センサ130と、生体認証センサ130からの出力信号を受信するための処理ユニット128と、1つ以上の保護された機能とを備える。生体認証センサ130を通して処理ユニット128に供給された生体認証データを介した認証ユーザの識別に応答して、デバイスの保護された機能へのアクセスが可能になり、デバイスは、生体認証センサ130の出力信号を認証ユーザのための以前の出力信号に基づいて記憶されたデータと比較するように構成される。出力信号が以前の出力信号の1つと同一であると分かった場合には、保護された機能へのアクセスは許可されない。
【選択図】図1
【選択図】図1
Description
本発明は、不正使用に対する改善された耐性を備えた生体認証デバイス、およびこのような生体認証デバイスを制御するための方法に関する。
指紋認証スマートカードなどの生体認証デバイスは、ますます、より広く使用されるようになっている。生体認証が提案されたスマートカードとしては、例えば、アクセスカード、クレジットカード、デビットカード、プリペイドカード、ポイントカード、身分証明書、暗号カードなどが挙げられる。スマートカードは、例えばRFIDなどの非接触技術を介して、データを記憶し、ユーザおよび/または外部デバイスと相互作用する機能を備えた電子カードである。これらのカードは、アクセスを可能にしたり、取引などを認証するために、センサと相互作用して情報を伝達することができる。指紋認証などの生体認証を使用する他のデバイスも知られており、これらはコンピュータメモリデバイス、ビルアクセス制御デバイス、軍事技術、車両などを含む。
他のデバイスはまた、例えば車両のキーレスエントリーシステムのためのフォブなどの、制御トークン用にも提案されている生体認証を用いて強化することができる。車両では、リモートキーレスエントリーシステムが、物理的接触なく標準車のキーの機能を実行する。システムはまた、トランクを開ける、エンジンを始動するなどの他の機能を実行することができる。同様の制御トークンは、他のアクセス制御状況、および例えば電気デバイスを作動させるために無線伝送を使用する外部システムとの相互作用を必要とする他の目的のために使用することができる。このようなデバイスについて、生体認証、例えば指紋認証を含めることが提案されている。この場合、制御トークンの一部またはすべての機能は、ユーザの身元が生体認証センサを介して認証された後にのみ利用可能となる。
生体認証センサを用いてさえも、デバイスのセキュリティへの攻撃は依然として可能である。このような攻撃としては、デバイスの完全性への物理的攻撃、およびコンピュータに基づくデバイスの「ハッキング」および/またはデバイスと相互作用する外部システムが挙げられる。いくつかの保護は、デバイスと外部システムとの間の暗号化された通信の使用によって提供することができる。デバイスの内部プロセッサまたはコントローラ間の暗号化されたデータ転送も提案されている。それにもかかわらず、生体認証デバイスのセキュリティへの攻撃に対する耐性を改善する必要性が引き続き残っている。
第1の態様から見ると、本発明は、生体認証センサと、生体認証センサからの出力信号を受信するための処理ユニットと、1つ以上の保護された機能とを含む生体認証デバイスを提供し、生体認証センサを通して処理ユニットに供給された生体認証データを介して認証ユーザの識別に応答して、デバイスの保護された機能へのアクセスが可能にされ、デバイスは、生体認証センサの出力信号を、認証ユーザのための以前の出力信号に基づいて記憶されたデータと比較するように構成され、出力信号が以前の出力信号の1つと同一であることが分かった場合には、保護された機能へのアクセスは許可されない。
このデバイスは、認証経路に挿入された偽の信号の使用から保護されている。認証なくセキュアデバイスにアクセスすることを試みる一般的な方法は、以前のデバイスの使用中に有効な信号を記録し、偽の信号が以前の信号をコピーして偽の信号を認証経路に挿入することによってシステムを攻撃することである。このタイプの攻撃は、「スニファ」攻撃と呼ばれることもある。このような偽の信号は、以前の信号と同一であり、そうでなくても保護された機能へのアクセスを可能にし得る。同一の信号が拒絶されて、センサからの出力信号と以前の出力信号との比較の提案された使用は、生体認証センサからの現実世界の出力信号が、同じユーザを識別する複数の例について決して同一でないという現実化に基づく。ユーザが生体認証のために自分自身をどのようにデバイスに提示するか、および生体認証センサの通常の動作から生じる何らかのノイズなどには、常にいくつかのバリエーションがある。したがって、直観に反して、以前の生体認証測定値と同一である生体認証データを拒絶する必要がある。
上記のように暗号化されたデータを使用することによって生体認証デバイスを保護することはもちろん可能である。しかし、生体認証センサ自体は一般に論理的には暗号化できないため、センサからのデータ信号はプロセッサに到達するまで暗号化され得ない。したがって、これは、センサからの暗号化されていない信号が処理ユニットに渡されるときに潜在的な弱点をもたらす。生体認証デバイスは、もちろん通常、この暗号化されていない信号を伝達する物理的接続へのアクセスを制限するように構成され、そして好ましくは、処理ユニットは、容易にアクセスされ得ない電気的接続を備えた生体認証センサに近接しており、例えばプラスチックなどに封入され得るが、それにもかかわらず、デバイスへの熟練した攻撃が、暗号化されていないデータのための信号経路にアクセスすることができ、それによって出力信号を記録して記録された信号を用いたデバイスの不正使用を許すことは相変わらず可能性がある。同一の信号に対する提案された比較およびチェックは、この可能性を防ぐ。
例示の実施形態では、デバイスは、生体認証センサから処理ユニットに送信された出力信号に由来する信号チェックパラメータを提供するための信号チェックモジュールを含み、信号チェックパラメータは、処理ユニットが生体認証センサからの出力信号と、デバイスに記憶されている多数の過去の信号チェックパラメータとを受信するたびに使用される同じ関数を備えた出力信号の関数として決定され、デバイスは、新たな出力信号が処理ユニットに提示された場合に新たな信号チェックパラメータが決定されるように構成され、新たな信号チェックパラメータは、記憶された信号チェックパラメータと比較され、新たな信号チェックパラメータが、記憶された信号チェックパラメータの1つと同一である場合には、セキュアエレメントの保護された機能へのアクセスは許可されない。
信号チェックパラメータは、同一の出力信号が、デバイスに記憶された多数の以前の信号チェックパラメータとの比較に基づいて、デバイスによって容易に見られることを許す。
この文は、チェックサム型の計算の可能性を優先オプションとして説明する前に、より面倒な比較が使用することができることを明確にする。
出力信号と過去の出力信号との比較は、認証ユーザをチェックするための従来の生体認証比較と同様の方法で行われてもよく、主な違いは、同一または非常に類似した信号に対して一致が見つからないことである。したがって、信号チェックモジュールが使用されると、信号チェックモジュールによって使用される関数は、信号チェックパラメータを備えた従来の生体認証アルゴリズムと類似しており、したがって生体認証用の信頼スコアに等しく、複数の以前に記憶された測定値と比較される。この場合、デバイスは、以前に記録されたパラメータの1つと同一またはあまりにも類似した、すなわち、以前に記録された生体認証データ信号に近すぎる出力データを備えた生体認証試行を拒絶する一方同時に、あまりにも類似してない一致を定義する設定閾値内にある生体認証試行を受諾する。しかし、このプロセスは、複数の記憶された以前の生体認証テンプレートに基づいて生体認証を本質的に実行することを含み得るため、煩雑で潜在的に遅く、偽のネガティブをもたらし得る。これはまた、過去の信号チェックパラメータのための比較的大きな記憶容量を必要とする。
別の例では、好ましい実施形態で使用されるように、出力信号と過去の出力信号との比較は、出力信号および過去の出力信号の単純化された表現に基づいて行われる。信号チェックモジュールが使用されると、信号チェックモジュールによって使用される関数は、信号チェックパラメータとして数値を提供する。これは、大きなメモリ容量の必要性なく、多数の過去の信号チェックパラメータの記憶を可能にする。それはまた、新たな出力信号と古い出力信号との比較が非常に速いことを意味する。信号の単純化された表現は、チェックサム計算に基づくことができ、したがって、信号チェックモジュールは、信号チェックパラメータがチェックサムであるチェックサム計算モジュールであり得る。チェックサムは、生体認証センサからといわれる出力信号が以前の出力信号といつ同一であるかを示すための迅速で効果的なチェックを提供し、したがって、以前の信号の記録に基づく偽の信号である可能性が最も高い。
チェックサムを用いて、処理ユニットに入る信号はチェックサム計算を受ける。このチェックサムは、生体認証の読み取りが行われるたびに記憶される。限定された数のチェックサムがいつでも一時的に記憶され、記憶は、新たな良好な測定値が見つかったとき、すなわちユーザが認証ユーザとして識別されたときに更新され得る。新たな測定値が得られると、新たなチェックサムが以前のチェックサムと比較される。新たなチェックサムが以前のチェックサムと同じであると、これは新たな測定値が偽であることの一応の証拠である。
デバイスの保護された機能は、生体認証のセキュリティを必要とする任意の機能であり得る。これには、1つ以上の、デバイスと外部システムとの間の通信を可能にすること、例えば、非接触通信、一定のタイプのデータを外部システムに送信すること、デバイスの、金融取引に使用されるセキュアエレメントなどのセキュアエレメントへのアクセスを可能にすること、デバイスと外部システムとの間のトランザクションを許可すること、デバイスに記憶されたデータへのアクセスなどを可能にすることが挙げられる。
処理ユニットは、デバイスの制御システムに接続されていてもよいし、デバイスの制御システムの一部であってもよい。別の制御システムがあると、好ましくは、処理ユニットは暗号化されたデータを用いて制御システムと通信する。
セキュアエレメントは、制御システムの一部としてデバイスに含まれていてもよく、および/または、好ましくは、セキュアエレメントと制御システムとの間の暗号化された通信を備えた制御システムに接続されていてもよい。セキュアエレメントは、例えば、銀行カードに使用されるような金融取引のためのセキュアエレメントであってもよい。
制御システムは、生体認証照合アルゴリズムを実行するように構成され得、登録された生体認証データを記憶するためのメモリを含むことができる。デバイスの制御システムは、複数のプロセッサを含むことができる。これは、生体認証センサから信号を受信する処理ユニットを含むことができる。他のプロセッサは、他のデバイスとの通信(例えば、非接触技術を介して)、受信機/送信機の起動および制御、セキュアエレメントの起動および制御など、デバイスの基本機能を制御するための制御プロセッサを含むことができる。種々のプロセッサは、別のハードウェア要素に具体化されてもよく、または単一のハードウェア要素に、もしかすると別のソフトウェアモジュールと共に組み合わされていてもよい。
生体認証センサは、任意の適切な生体測定を用いて、ユーザの身元をチェックしてもよい。例示の実施形態では、指紋認証が使用される。これは、車両キーフォブなどの既存の類似の制御トークンと比べて、制御トークンのサイズを増やすことなく、低電力使用で実施することができる。
したがって、生体認証センサは、指紋センサであってもよい。好ましい実施形態では、制御システムおよび/または処理ユニットは、指紋センサに提示された指の指紋に対する登録プロセスも照合プロセスも実行することが可能であってもよい。
デバイスは、人によって持ち運ばれるように設計されたデバイス、好ましくは便利に持ち運ばれるに十分に小型で軽いデバイスを意味するポータブルデバイスであってもよい。デバイスは、例えば、ポケット、ハンドバッグまたは財布内で持ち運ばれるように構成され得る。デバイスは、指紋認証可能なRFIDカードなどのスマートカードであってもよい。デバイスは、コンピュータシステムへのアクセスのためのワンタイムパスワードデバイスまたは車両キーレスエントリシステム用フォブなどの、制御トークンの外部のシステムへのアクセスを制御するための制御トークンであってもよい。デバイスはまた、好ましくは、有線の電源に依存しないという意味で携帯可能である。デバイスは、内部電池によって、および/またはRFIDリーダなどのリーダなどから非接触で収集された電力によって給電されてもよい。
デバイスは、専用のデバイス、すなわち、単一の外部システムまたはネットワークと相互作用するためのデバイス、または、単一のタイプの外部システムまたはネットワークと相互作用するためデバイスであって、他のどんな目的も有しないデバイスであってもよい。したがって、デバイスは、スマートフォンなどの複雑で多機能なデバイスと区別されるべきである。それにもかかわらず、デバイスは、複数の動作モードを有することができ、各々は、同じタイプの外部システムまたはネットワークと相互作用すること、例えば、2つの異なる銀行口座用カードとして動作する能力、またはアクセスカードまたは支払カードとしてNFCデバイスと相互作用する能力を含む。
デバイスがスマートカードであると、スマートカードは、アクセスカード、クレジットカード、デビットカード、プリペイドカード、ポイントカード、身分証明書、暗号カードなどのいずれか1つであってもよい。スマートカードは、好ましくは、85.47mm〜85.72mmの幅と、53.92mm〜54.03mmの高さとを有する。スマートカードは、0.84mm未満、好ましくは約0.76mm(例えば±0.08mm)の厚さを有していてもよい。より一般的には、スマートカードは、スマートカード用の仕様であるISO7816に準拠してもよい。
デバイスが制御トークンである場合、例えば車両用のキーレスエントリキーであってもよく、この場合、外部システムは車両および/または点火システムのロック/アクセスシステムであってもよい。外部システムは、より広義には、車両の制御システムであってもよい。制御トークンは、単に認証ユーザの生体認証識別に応答して送信される車両の機能へのアクセスを与える無線周波数信号を備えたマスターキーまたはスマートキーとして機能することができる。あるいは、制御トークンは、デバイスが認証ユーザを識別する場合に、単に送信され得る車両のロック解除のための信号を備えたリモートロック型キーとして機能することができる。この場合、認証ユーザの識別は、従来技術のキーレスエントリタイプのデバイスのロック解除ボタンを押すのと同じ効果を有することができ、車両のロック解除のための信号は、認証ユーザの識別の際に自動的に送信され得るか、または制御トークンが認証ユーザの認証によって起動されたときにボタン押しに応答して送信され得る。
好ましくは、デバイスは、生体認証を介してユーザを識別するために使用されるデータを抽出することが不可能であるように構成される。このタイプのデータをデバイスの外部に送信することは、デバイスのセキュリティに対する最大のリスクの1つと考えられる。
生体認証データをデバイスの外部に伝達する必要性を避けるために、デバイスは自己登録することができてもよい、すなわちデバイスは、生体認証センサを介して生体認証データを得ることによって認証ユーザを登録するように構成することができる。これはまた、同じ幾何学的形状を備えた同じセンサが生体認証のように登録のために使用されるという事実から生じる利点を有する。生体認証データは、異なるデバイス上の異なるセンサが登録のために使用される場合と比べて、このようにしてより一貫して得られる。生体認証、特に指紋では、1つの問題は、最初の登録が専用の登録端末などの1か所で行われ、照合のためのその後の登録が、一致が必要な端末などの別の場所で行われるときに再現可能な結果を得ることが難しいということである。各指紋センサの周りのハウジングの機械的特徴は、複数のセンサのいずれか1つによって読み取られるたびに指を一貫した方法で案内するように慎重に設計されなければならない。指紋が、各々がわずかに異なる多数の異なる端末でスキャンされると、指紋の読み取りにエラーが生じ得る。逆に、同じ指紋センサが毎回使用されると、このようなエラーが生じることが減る可能性がある。
提案されたデバイスによれば、照合スキャンも登録スキャンも、同じ生体認証センサを用いて実行されてもよい。その結果、例えば、ユーザが、登録中に指を指紋センサに横バイアスで提示する傾向があると、照合中もそう行う可能性があるため、スキャンエラーを相殺することができる。
制御システムは、ユーザが生体認証センサを介して生体認証データを登録し、登録中に生成された生体認証データがメモリに記憶される登録モードを有していてもよい。制御システムは、デバイスがユーザに最初に提供されるときにユーザが自分の生体認証データをすぐに登録することができるように登録モードにあってもよい。最初に登録されたユーザは、例えば、識別が確認された後に、デバイスの入力デバイス上の入力を介して、追加されるその後のユーザのための登録モードを後で促す機能が提供され得る。あるいは、またはさらに、デバイスと、製造業者または別の認証法人によって制御される安全な外部システムであり得る安全な外部システムとの間の相互作用などの外部手段を介して制御システムの登録モードを促すことができ得る。
第2の態様から見ると、本発明は、生体認証センサを有する生体認証デバイスを保護するための方法、生体認証センサからの出力信号を受信するための処理ユニット、および1つ以上の保護された機能を備えたセキュアエレメントを提供し、生体認証センサを通して処理ユニットに供給される生体認証データを介して認証ユーザの識別に応答して、デバイスのセキュアエレメントの保護された機能へのアクセスが可能にされ、方法は、認証ユーザとして識別されたユーザから受信された出力信号に基づいてデータを記憶する工程と、新たな出力信号が受信されるときに、生体認証センサの新たな出力信号を記憶されたデータと比較する工程と、出力信号が以前の出力信号の1つと同一であると分かった場合には、セキュアエレメントの保護された機能へのアクセスを可能にしない工程とを含む。
方法は、第1の態様に記載のデバイス上で、および任意に上記他の機能のいずれかを用いて実行されてもよい。方法はまた、新たな出力信号が記憶された出力信号の1つにあまりにも類似している場合、保護された機能へのアクセスを許可しない工程を含むことができる。
例示の実施形態では、デバイスは、生体認証センサから処理ユニットに送信された出力信号に由来する信号チェックパラメータを提供するための信号チェックモジュールを含み、方法は、信号チェックパラメータが、処理ユニットが生体認証センサからの出力信号を受信するたびに使用される同じ関数を備えた出力信号の関数であることを決定する工程と、認証ユーザのための多数の過去の信号チェックパラメータを記憶する工程と、新たな出力信号が処理ユニットに提示される場合には、新たな信号チェックパラメータを決定する工程と、新たな信号チェックパラメータを記憶された信号チェックパラメータと比較する工程と、新たな信号チェックパラメータが記憶された信号チェックパラメータの1つと同一である場合には、セキュアエレメントの保護された機能へのアクセスを可能にしないことを含む。
信号の比較および/または信号チェックモジュールの実施は、上記のようなものであってもよく、したがって、方法は、チェックサムパラメータを使用する工程を含んでもよい。
第3の態様から見ると、本発明は、生体認証センサと、生体認証センサからの出力信号を受信する処理ユニットとを含む生体認証デバイスのためのコンピュータプログラム製品であって、デバイスのセキュアエレメントの保護された機能へのアクセスが、認証ユーザの識別に応答して、生体認証センサを通して処理ユニットに供給された生体認証データを介して可能にされ、コンピュータプログラム製品は、処理ユニット上で実行されると、処理ユニットが、認証ユーザとして識別されたユーザから受信された出力信号に基づいてデータを記憶し、新たな出力信号が受信されるときに、生体認証センサの新たな出力信号を記憶されたデータと比較し、出力信号が以前の出力信号の1つと同一であると分かった場合には、セキュアエレメントの保護された機能へのアクセスを可能にしないように構成する命令を含む。
コンピュータプログラム製品は、第1の態様に記載のデバイスおよびオプションで上記任意の他の機能を備えたデバイス上の実行のためであってもよい。コンピュータプログラム製品は、第2の態様の方法およびオプションで上記任意の他の方法の工程を実行するように処理ユニットを構成してもよい。
本発明のある好ましい実施形態を、例示のみを意図して、添付の図面を参照して、以下に、より詳細に説明する。
好ましい実施形態は、生体認証システム120がチェックサム計算モジュール129の形態の信号チェックモジュールによって「スニファ」タイプの攻撃から保護される生体認証デバイス102の使用に関する。チェックサム計算モジュール129は、生体認証システム120の生体認証センサ130からの出力信号を受信し、これを用いてチェックサムを生成する。多数のチェックサムが記憶され、次いで将来の出力信号からのチェックサムが記憶されたチェックサムと比較される。このようにして、チェックサムは、生体認証センサとデバイスの処理ユニット128との間でまったく同じ電気信号の不正使用を示す類似または同一の信号を見つけるために使用される。図1、2および3では、生体認証デバイス102は、スマートカードであり、図4では、無線制御トークンである。
これらの例では、スマートカード102または制御トークン102の機能への完全なアクセスが許可される前に、指紋センサ130が生体認証を提供するために使用される。この指紋センサ130は、専用処理ユニット128も含む指紋認証モジュール120の一部として提供される。処理ユニット128は、いつユーザの身元が生体認証機能により確認されたかを示すために、生体認証デバイス102の他のプロセッサ/コントローラと相互作用する。例えば、処理ユニット128は、図1の制御回路114または図4の制御モジュール113と相互作用し、この通信は暗号化することができる。センサ130と処理ユニット128との間の通信は、センサ130が処理ユニット128への出力信号を変更する能力を有していないため、暗号化することができない。
したがって、センサ130と処理ユニット128との間を通過する信号を記録し、次いで複製することによって、デバイスへの攻撃のリスクが生じる。このようにして、「スニファ」攻撃は、認証ユーザの身元が確認されるときに、生成した信号を記録することができ、次いで、デバイス102の生体認証機能により保護された機能に対するアクセスを不正に得る意図でそれらの信号を再生することができる。生体認証デバイス102がこのような攻撃に耐えることを可能にするために、処理ユニット128は、チェックサム計算モジュール129を含む。
センサ130から処理ユニット128に渡されたデジタル信号は、チェックサム計算モジュール129によって実行されるチェックサム計算を受ける。このチェックサムは、生体測定読み取りが認証ユーザから行われるたびに記憶される。一定数のチェックサムが、例えば処理ユニット128のメモリに、いつでも一時的に記憶される。チェックサムの最初のセットは、ユーザの登録中に得ることができ、またはデバイス102の最初の使用中に集めることができる。新たな生体認証測定値が得られると、チェックサムが以前のそれと比較される。新たな生体認証測定値のためのチェックサムが以前のそれと同じかまたは非常に類似していると、これは新たな生体認証測定値が偽であることを示す一応の証拠である。これは、指紋などの生体認証データは本来非常に変わりやすく「ノイズが多い」ため、ほんの数ビットだけ異なる測定値を生成することはほとんどないからである。チェックサム計算はこれをより鮮やかに示し、結果は、同じ人について異なる測定値の間でまったく異なるはずである。すなわち、同じ指を備えた同じユーザによる2つの指紋認証が、高い信頼度で一致する指紋を生成する場合であっても、チェックサム計算から著しく異なる出力を生成するはずである。
疑いの合理的な確率内で一対の測定値が同じである唯一の方法は、後者の測定値が非生理学的な原因(おそらく、コンピュータなどのデジタルデバイス)によって生成され、本物の指からの測定値の結果ではなかった場合である。
このようにして、2つの測定値が同じチェックサムを生成すると、システムが傷つけられ、適切な措置が取られる可能性が高い。特に、処理ユニット128は、認証ユーザがいることを示すべきではなく、代わりに、カードリーダまたは外部システム104を介してアラートを送信する工程、および/または生体認証デバイス102を無効にする工程を含むセキュリティ手順を始めることができる。
図1は、チェックサム計算モジュール129を組み込んだパッシブRFID生体認証デバイス102のアーキテクチャを示す。駆動中のRFIDリーダ104は、アンテナ106を介して信号を送信する。信号は、典型的には、NXP Semiconductorsによって製造されたMIFARE(登録商標)およびDESFire(登録商標)システムについては3.56MHzであり得るが、HID Global Corp.によって製造された低周波PROX(登録商標)製品については125kHzであり得る。この信号は、同調コイルおよびコンデンサを含むRFIDデバイス1022のアンテナ108によって受信され、次いで、RFIDチップ110に渡される。受信信号は、ブリッジ整流器112によって整流され、整流器112のDC出力は、チップ110からのメッセージングを制御する制御回路114に供給される。
制御回路114からのデータ出力は、アンテナ108に接続された電界効果トランジスタ116に接続されている。トランジスタ16をオンとオフとにスイッチすることによって、信号をRFIDデバイス102によって送信し、リーダ104内の適切な制御回路118によって復号することができる。このタイプのシグナリングは、後方散乱変調として知られており、リーダ104がそれ自体への戻りメッセージに給電するために使用されるという事実によって特徴づけられる。
本明細書で使用される場合、「パッシブRFIDデバイス」という用語は、RFIDチップ110が、例えばRFIDリーダ118によって生成されたRF励起フィールドから収集されたエネルギーによってのみ給電されるRFIDデバイス102を意味すると理解すべきである。すなわち、パッシブRFIDデバイス102は、RFIDリーダ118に依存して、ブロードキャストのためにその電力を供給する。パッシブRFIDデバイス102は通常、電池を含まないが、電池は回路の補助構成要素に給電するために含まれていてもよい(ただし、ブロードキャストはしない)。このようなデバイスは、しばしば「セミパッシブRFIDデバイス」と呼ばれる。
同様に、「パッシブフィンガープリント/生体認証エンジン」という用語は、RF励起フィールドから収集されたエネルギー、例えばRFIDリーダ118によって生成されたRF励起フィールドのみによって給電される指紋/生体認証エンジンを意味すると理解すべきである。
アンテナ108は、この構成では、RFIDリーダ104からのRF信号を受信するように調整される誘導コイルおよびコンデンサを含む同調回路を備える。RFIDリーダ104によって生成された励起フィールドに曝されると、電圧が誘導されるアンテナ108を横切る。
アンテナ108は、アンテナ108の各端に1つずつ、第1および第2の端部出力線122、124を有する。アンテナ108の出力線は、指紋認証エンジン120に接続され、指紋認証エンジン120に給電する。この構成では、整流器126が設けられ、アンテナ108によって受信された交流電圧を整流する。整流された直流電圧は、平滑コンデンサを用いて平滑化され、指紋認証エンジン120に供給される。
指紋認証エンジン120は、処理ユニット128と、チェックサム計算モジュール129と、好ましくは、図2および図3に示すエリア指紋センサ130とを含む。指紋認証エンジン120は受動的であるため、アンテナ108からの電圧出力のみによって給電される。処理ユニット128は、合理的な時間に生体認証照合を実行することができるように、非常に低電力かつ非常に高速であるように選ばれるマイクロプロセッサを備える。
指紋認証エンジン120は、指紋センサ130に提示された指または親指をスキャンし、処理ユニット128を用いて、スキャンされた指または親指の指紋を、予め記憶された指紋データと比較するように構成される。チェックサム計算モジュール129は、指紋センサ130が信号を処理ユニット128に送信するたびに、チェックサムを生成する。処理ユニット128は、指紋センサが認証ユーザを識別するときに得られた過去の出力信号に対する多数のチェックサムを記憶する。これは、例えば、5、10または20以上のチェックサムを記憶することを含む。新たな出力信号が受信されると、チェックサム計算モジュール129は新たなチェックサムを計算し、処理ユニット128はこのチェックサムを記憶されたチェックサムのすべてと比較する。新たなチェックサムが記憶されたチェックサムと同一であると、これは偽の信号を示し、スマートカード102の保護された機能へのアクセスは可能にされない。新たなチェックサムが記憶されたチェックサムと異なると、アクセスは、指紋が登録された指紋と一致する場合に、許可され得る。したがって、チェックサムが問題を示さないと、次いで、スキャンされた指紋が予め記憶された指紋データと一致するかどうかについて決定が行われる。好ましい実施形態では、指紋画像を捕捉し、登録された指を正確に認識するために必要な時間は1秒未満である。
一致が決定されると、RFIDチップ110は、RFIDリーダ104に信号を送信するよう認証される。図1の構成では、これは、RFIDチップ110をアンテナ108に接続するスイッチ132を閉じることによって達成される。RFIDチップ110は従来型であり、図1に示すRFIDチップ10と同様に動作して、トランジスタ116をオンオフにスイッチすることによって後方散乱変調を用いてアンテナ108を介して信号をブロードキャストする。
図2は、RFIDデバイス102の例示的なハウジング134を示す。図1に示す回路は、指紋センサ130のスキャン領域がハウジング134から露出されるように、ハウジング134内に収容される。図3は、図1に示す回路が、指紋センサ130のスキャン領域が積層本体140から露出されるようにカード本体140内に積層されている代替の実施を示す。
使用に先立って、RFIDデバイス102のユーザは、最初に、「未使用」の、すなわち、予め登録された生体認証データを何も含まないデバイスに彼の指紋の日付を登録しなければならない。これは、彼の指を指紋センサ130に1回以上、好ましくは少なくとも3回、通常は5〜7回提示することによって行うことができる。低電力スワイプ型センサを使用する指紋用の例示的な登録方法は、国際公開2014/068090号に開示されており、当業者は、本明細書に記載のエリア指紋センサ130に適合させることができる。
ハウジング134またはカード本体140は、図2および3に示すLED136、138など、RFIDデバイスのユーザとの通信のためのインジケータを含むことができる。登録中、ユーザは、指紋が正しく登録されたかどうかをユーザに伝えるインジケータ136、138によって案内され得る。RFIDデバイス102上のLED136、138は、ユーザがRFIDデバイス102で受信した指示と一致する一連のフラッシュを送信することによって、ユーザと通信することができる。
いくつかの提示の後、指紋が登録され、デバイス102は、その元のユーザ102にのみ永久に応答することができる。
指紋認証では、1つの一般的な問題は、最初の登録が専用の登録端末のような1か所で行われるときに再現可能な結果を得ることが難しく、その後の照合のための登録が、照合が必要な端末などの別の場所で行われることである。各指紋センサ周りのハウジング134またはカード本体140の機械的特徴は、指を読み取るたびに一貫した方法で案内するように慎重に設計されなければならない。指紋が、各々がわずかに異なる多数の異なる端末でスキャンされると、指紋の読み取りにエラーが生じ得る。逆に、同じ指紋センサが毎回使用されると、このようなエラーが生じる可能性が減る。
上記のように、本デバイス102は、オンボードの指紋センサ130およびユーザ登録能力を有する指紋認証エンジン120を含むため、照合スキャンも登録スキャンも、同じ指紋センサ130を用いて実行することができる。その結果、ユーザが登録中に指を横バイアスで提示する傾向があると、照合中もそうする可能性があるから、スキャンエラーを相殺することができる。
したがって、RFIDデバイス102とともに使用されるすべてのスキャンに対して同じ指紋センサ130を使用することにより、登録および照合のエラーが大幅に減り、したがってより再現性のある結果がもたらされる。
現在の構成では、RFIDチップ110および指紋認証エンジン120のための電力は、RFIDリーダ104によって生成された励起フィールドから収集される。すなわち、RFIDデバイス102は、パッシブRFIDデバイスであるため、バッテリを有しないが、代わりに、基本的なRFIDデバイス2と同様の方法でリーダ104から収穫された電力を使用する。
第2のブリッジ整流器126からの整流された出力は、指紋認証エンジン120に給電するために使用される。しかし、これに必要な電力は、通常のRFIDデバイス2の構成要素の電力需要と比べて比較的高い。このため、以前、指紋センサ130をパッシブRFIDデバイス102に組み込むことができなかった。現在の構成では、RFIDリーダ104の励起フィールドから収集された電力を用いて指紋センサ130に給電するために特別な設計の考慮が使用されている。
指紋認証エンジン120に給電しようとするときに生じる1つの問題は、典型的なRFIDリーダ104が、励起信号を着実に放出するのではなく、エネルギーを節約するように、その励起信号をオンオフのパルスにすることである。しばしば、このパルスは、定常放射によって放射された電力の10%未満の有用エネルギーのデューティサイクルをもたらす。これは、指紋認証エンジン120に給電するには不十分である。
RFIDリーダ104は、識別のために使用される近接カードを定義する国際標準であるISO/IEC14443およびそれらと通信するための伝送プロトコルに準拠することができる。このようなRFIDデバイス104と通信するとき、RFIDデバイス102は、下記これらのプロトコルのある特徴を利用して、RFIDリーダ104からの励起信号を、必要な計算を実行するのに十分長い間連続的にスイッチすることができる。
ISO/IEC14443−4標準は、近接カードのための伝送プロトコルを定義している。ISO/IEC14443−4は、近接ICカード(PICC)、すなわちRFIDデバイス102と近接結合デバイス(PCD)、すなわちRFIDリーダ104との間の最初の情報交換を指示し、一部、フレーム待ち時間(FWT)をネゴシエートするために使用される。FWTは、PICCがPCD伝送フレームの終了後にその応答を開始する最大時間を定義する。PICCは、302μs〜4.949秒の範囲にわたるFWTを要求するように工場で設定され得る。
ISO/IEC14443−4は、PCDが、PICCに識別コードの提供を要求するなどのコマンドをPICCに送信するとき、PCDは、RFフィールドを維持し、応答のタイムアウトが生じたと決める前に、PICCからの応答のための少なくとも1つのFWT時間を待たなければならないと指示する。PICCがPCDから受信したコマンドを処理するためにFWTよりも多くの時間を必要とすると、PICCは待機時間延長(S(WTX))の要求をPCDに送信することができ、FWTタイマは完全な交渉価値。PCDは、タイムアウト条件を宣言する前に、別のフルFWT期間を待つ必要がある。
リセットFWTが満了する前に、PCDにさらに待ち時間延長(S(WTX))が送信されると、FWTタイマは再度完全なネゴシエーション値にリセットバックされ、PCDは、タイムアウト条件を宣言する前に、別のフルFWT期間を待つ必要がある。
待機時間延長要求を送信するこの方法を用いて、RFフィールドを無期限に維持することができる。この状態が維持されている間、PCDとPICCとの間の通信の進行が停止され、RFフィールドを用いて、スマートカードの通信に典型的には関連づけられていない他のプロセス(指紋の登録や確認など)を駆動するように電力を収集する。
したがって、カードとリーダとの間の慎重に設計されたメッセージングによって、リーダから十分な電力を抽出して認証サイクルを可能にすることができる。この方法の電力収集は、特に指紋が登録されるべきときに、パッシブRFIDデバイス102のパッシブ指紋認証エンジン120に給電することの主な問題の1つを克服する。
さらに、この電力収集方法は、より大きい指紋スキャナ130、特に処理するのに計算的に集中しにくいデータを出力するエリア指紋スキャナ130を使用することを可能にする。
上記のように、RFIDデバイス102の使用に先立って、デバイス102のユーザは、最初に、「未使用の」デバイス102に自分自身を登録しなければならない。登録後、RFIDデバイス102は、このユーザにのみ応答する。したがって、意図されたユーザだけがRFIDデバイス102に指紋を登録することができることが重要である。
新たなクレジットカードまたはチップカードを郵便で受取人のための典型的なセキュリティ対策は、カードを1つの郵送物とカードに関連づけられたPINで別のものに送ることである。しかし、上記のように、生物測定により認証されたRFIDデバイス102の場合、このプロセスはより複雑である。RFIDデバイス102の意図された受取人だけがその指紋を登録できることを保証する例示的な方法を下に記載する。
上記のように、RFIDデバイス102およびRFIDデバイス102に関連する固有のPINは、別々にユーザに送信される。しかし、ユーザは、指紋をRFIDデバイス102に登録するまで、RFIDカード102の生体認証の機能性を使用することができない。
ユーザは、非接触でカードを読み取り彼のRFIDデバイス102を端末に提示できるように装備されているPOS端末に行くように指示される。同時に、彼は彼のPINをキーパッドを通して端末に入力する。
端末は、入力されたPINをRFIDデバイス102に送信する。ユーザの指紋がまだRFIDデバイス102に登録されていないため、RFIDデバイス102は、キーパッド入力をRFIDデバイス102のPINと比較する。2つが同じであると、カードは登録可能となる。
次いで、カードユーザは、上記の方法を用いて彼の指紋を登録することができる。あるいは、ユーザが自宅で利用可能な適切な電源を有する場合、ユーザは、RFIDデバイス102を家に持ち帰り、後で生体認証登録手順を行うことができる。
RFIDデバイス102は、いったん登録されると、PINのない指紋を用いて非接触で使用され得るか、または行われる取引の量に応じてPINだけが使用され得る。
図4は、スマートカード102が無線制御トークン102と置換され、カードリーダ104が外部システムまたはデバイス104と置換されている代替の基本アーキテクチャを示す。追加されたチェックサム計算の動作に関して、制御トークン102とスマートカード102とは同様に動作し、同様に、制御トークン102と外部システム104との間の相互作用は、スマートカード102とカードリーダ104との間の相互作用とほぼ同じである。例えば、制御トークン102は車両のキーフォブであり得、したがって、外部システム104は車両であり得る。車両のキーレスエントリーフォブは、指定された異なるデジタル身元コードを備えた無線周波数を発する。キーのボタンを押したときに送信されるか、または車両への接近に応じて送信されるコードを車両が受信すると、車両はドアロックを開けること、そしてまたオプションで他の機能を可能にすることによって応答する。一部の車両は、従来のリモートキーレスエントリーキーに似ているが、車両に近接している余分な機能を備えた、いわゆるマスターキーまたはスマートキーを有する。マスターキーが車両の近くに存在する場合、車両のいくつかの機能はマスターキーの存在によってのみ有効になる。ドアロックは解放され、トランク/ブーツは解放され、エンジンはダッシュボードまたはセンターコンソールのどこかのボタンを押すだけで始動することができる。制御トークン102は、例えば、いずれかのタイプのキーとすることができる。
これらのキーが動作する方法は、典型的には、一意にコード化されたメッセージを周期的に(またはボタン押しに応じて)発信し、車両のRFユニットによって受信されるキーのRF送信機を通してである。このメッセージのデューティサイクルは非常に小さいため、キー内のバッテリは常に動いているため長時間続き得る。車両とキーが合うと、上記の機能はアクティブになる。
外部システム104は、制御トークン102からの送信を受信するためのトランシーバ106を含む。外部デバイスは、無線周波数受信機を含むことが必要であり、トランシーバ106によって提供されるような送信能力も有することがオプションである。外部システム104はまた、トランシーバ106と通信するアクセス制御要素118を含む。トランシーバ106が適切な信号を受信すると、それはアクセス制御要素118へのアクセスを許可し、および/またはアクセス制御要素118のある機能を作動させる。外部システム104が車両である例では、アクセス制御要素118は、ドアロック、車両点火システムなどを含み得る。制御トークン102は、車両用のキーレスシステムの公知の使用法にしたがって、ユーザが外部システム104として機能する車両の機能を作動および/またはアクセスすることを許可することができる。
無線制御トークン102は、無線周波数信号を外部システム104のトランシーバに送信するためのトランシーバ108を含む。無線制御トークン102は、無線周波数送信機を含むことが必要であり、トランシーバ108によって提供されるような送信能力も有することがオプションである。無線制御トークン102は、指紋認証エンジン120の形態の制御モジュール113および生体認証モジュールをさらに含む。バッテリなどの電源(図示せず)が、トランシーバ108、制御モジュール113、および指紋認証エンジン120に給電するために使用される。
指紋認証エンジン120は、処理ユニット128と、エリア指紋センサであり得る指紋センサ130とを含む。処理ユニット128は、合理的な時間内に生体認証照合を実行することができ、電源の寿命を最大にすることができるように、非常に低電力かつ非常に高速であるように選ばれるマイクロプロセッサを備える。処理ユニット128は、制御モジュール113の一部であってもよく、すなわち一般的なハードウェア上におよび/または一般的なソフトウェア要素を用いて実装されてもよいが、典型的には、別であり、指紋センサ130に接続された専用プロセッサである。チェックサム計算モジュールは、上記のように、指紋センサ130からの信号をチェックするために処理ユニット128に設けられている。
指紋認証エンジン120は、指紋センサ130に提示された指または親指をスキャンし、スキャンされた指または親指の指紋と記憶された参照指紋データとを、処理ユニット128を用いて比較するように構成されている。記憶された参照指紋データは、処理ユニット128または制御モジュール113内の不揮発性メモリに暗号化された形態で記憶される。チェックサムモジュール129は、「スニファ」攻撃で集められたデータを用いて、制御トークン102の機能へのアクセスの不正試行を識別するために、センサ出力が記憶された以前の測定値と同一または非常に類似していないことをチェックする。次いで、例えば、指紋テンプレートおよび細目の照合を用いて、スキャンされた指紋が参照指紋データと一致するかどうかの判定が行われる。理想的には、指紋画像の捕捉、チェックサム計算の実行、および登録された指の正確な認識に必要な時間は1秒未満である。
一致が判定されると、指紋認証エンジン120は、これを制御モジュール113に伝達する。次いで、制御モジュール113は、トランシーバ108からの無線周波数信号の送信を許可/起動することができる。無線周波数信号は、認証された指紋が指紋認証エンジン120によって識別されいなや一定期間連続的に送信され得る。あるいは、制御モジュール113は、ボタン押しまたは、いくつかの可能なアクションのどれが必要かを示し得る制御トークン102への他の入力など、ユーザからのさらなるアクションを待つことができる。例えば、車両の場合、制御トークン102は、車両のドアのロックを解除し、車両のエンジンを始動させるか、あるいは車両のトランク/ブーツを開くことができる。取られるアクションは、ユーザによる制御トークン102への入力に依存する。
無線制御トークン102と外部システム104との両方のためのトランシーバの使用により、外部システム104が無線制御トークン102と相互作用し、例えば外部システム104の状態を返すことが可能になる。この相互作用は、例えば、認証ユーザが識別された後に無線制御トークン102がアクティブのままであるべき期間に影響を及ぼすために、種々の形で使用され得る。
使用に先立って、制御トークン102の新たなユーザは、最初に、指紋の日付を「未使用」の、すなわち、予め記憶された生体認証データを含まないデバイスに登録しなければならない。一例では、制御トークン102は、登録モードで供給されてもよく、制御トークン102の最初のユーザは、自分の指紋を自動的に登録することができる。別の例では、登録モードは、認証された外部システム(例えば、製造業者によって操作されるコンピュータシステム)によって開始されなければならない。登録モードでは、指紋認証エンジン120を用いて指紋データを集め、指紋テンプレートを形成して制御トークン102に記憶する。これは、指を指紋センサ130に1回以上、好ましくは少なくとも3回、通常は5〜7回行われ得る。低電力スワイプ型センサを用いて指紋を登録する例示的な方法が、国際公開2014/068090号に開示されており、当業者は、本明細書に記載のエリア指紋センサ130に適合させることができる。
制御トークン102は、制御トークン102のユーザとの通信のためのインジケータ、このようなLEDまたはLCDディスプレイを含む本体134、140を有することができる。登録中に、指紋が正しく登録されたかどうかをユーザに知らせるインジケータによってユーザを案内することができる。指のいくつかの提示の後、指紋が登録され、次いで、デバイス102は、認証ユーザの指紋に応答する。インジケータはまた、ユーザの指紋が認識されるとき、および外部システム104のアクセス制御機能118へのアクセスが許可されたときをユーザに示すためにその後の認証中に使用されてもよい。
上記のように、制御トークン102は、オンボード指紋センサ130を有する指紋認証エンジン120、およびユーザを登録する能力を含むため、照合スキャンも登録スキャンも、同じ指紋センサ130を用いて実行することができる。これにより、上記のようにセキュリティが改善し、スキャンエラーが減る。
制御トークン102は、複数のユーザのための指紋データを記憶することができ、その各々は、好都合には、上記のように、制御トークン102の指紋認証エンジン120によって登録される。複数のユーザの場合、制御モジュール113は、最初の登録ユーザを、その後の使用中に、デバイスの登録モードを開始する能力を備えた管理者レベルのユーザとして、例えば、管理者レベルのユーザとしての指紋認証の提示を含むデバイスへの特定の入力を通して記憶するように構成することができる。
制御トークン102は、車両用のキーレスエントリーデバイスとして使用されるときは特別な有用性を有するが、他の状況においても使用できることは理解されよう。指紋認証はユーザの生体認証の好ましい方法であるが、指紋センサおよび指紋認証エンジンを、顔認識または網膜スキャンなどの代替の生体認証感知システムで置き換えることによって、上記と同様の線に沿って代替技術を使用および実施することができるとして使用することができる。
Claims (11)
- 生体認証センサと、前記生体認証センサからの出力信号を受信する処理ユニットと、1つ以上の保護された機能とを備える生体認証デバイスであって、前記デバイスの前記保護された機能へのアクセスが、前記生体認証センサを通して前記処理ユニットに供給された生体認証データを介した認証ユーザの識別に応答して可能にされ、前記デバイスが、前記生体認証センサの前記出力信号を、認証ユーザのための以前の出力信号に基づいて記憶されたデータと比較するように構成され、そして前記出力信号が前記以前の出力信号の1つと同一であることが分かった場合には、前記保護された機能へのアクセスが許可されない、生体認証デバイス。
- 前記デバイスが、前記生体認証センサから前記処理ユニットに送信された前記出力信号に由来する信号チェックパラメータを提供するためのシグナルチェックモジュールを含み、前記信号チェックパラメータが、前記処理ユニットが前記生体認証センサから出力信号を受信するたびに使用される同じ関数を用いて前記出力信号の関数として決定され、そして新たな出力信号が前記処理ユニットに提示される場合に、新たな信号チェックパラメータが決定され、前記新たな信号チェックパラメータが、前記記憶された信号チェックパラメータと比較され、そして前記新たな信号チェックパラメータが前記記憶された信号チェックパラメータの1つと同一である場合には、セキュアエレメントの前記保護された機能へのアクセスが許可されない、請求項1に記載の生体認証デバイス。
- 前記信号チェックモジュールがチェックサム計算モジュールであり、前記信号チェックパラメータがチェックサムである、請求項2に記載の生体認証デバイス。
- 1以上の前記保護された機能を提供するセキュアエレメントを含む、請求項1、2または3に記載の生体認証デバイス。
- 前記セキュアエレメントが金融取引用であり、前記保護された機能の1つが、金融取引を実行する目的で前記セキュアエレメントへのアクセスである、請求項4に記載の生体認証デバイス。
- 前記生体認証センサが指紋センサである、請求項1〜5のいずれか一項に記載の生体認証デバイス。
- 前記デバイスが、前記生体認証センサを介して生体認証データを得ることによって、認証ユーザを登録するように構成されている、請求項1〜6のいずれか一項に記載の生体認証デバイス。
- 前記デバイスがポータブルデバイスである、請求項1に記載の生体認証デバイス。
- 前記デバイスが単一のタイプの外部システムと相互作用するための専用のデバイスである、請求項1〜8のいずれか一項に記載の生体認証デバイス。
- 生体認証センサと、前記生体認証センサからの出力信号を受信するための処理ユニットと、1つ以上の保護された機能とを備えたセキュアエレメントとを有する生体認証デバイスを保護するための方法であって、前記デバイスの前記セキュアエレメントの前記保護された機能へのアクセスが、前記生体認証センサを通して前記処理ユニットに供給された生体認証データを介した認証ユーザの識別に応答して可能にされ、前記方法は、認証ユーザとして識別されたユーザから受信された出力信号に基づいてデータを記憶する工程と、新たな出力信号が受信されるときに、前記生体認証センサの前記新たな出力信号を記憶されたデータと比較する工程と、前記出力信号が前記以前の出力信号の1つと同一であると分かった場合には、前記セキュアエレメントの前記保護された機能へのアクセスを可能にしない工程とを含む、方法。
- 生体認証センサと、前記生体認証センサからの出力信号を受信する処理ユニットとを備えた生体認証デバイスのためのコンピュータプログラム製品であって、前記デバイスの前記セキュアエレメントの前記保護された機能へのアクセスが、前記生体認証センサを通して前記処理ユニットに供給された生体認証データを介した認証ユーザの識別に応答して可能にされ、前記コンピュータプログラム製品は、処理ユニット上で実行されると、前記処理ユニットが、認証ユーザとして識別されたユーザから受信した出力信号に基づいてデータを記憶し、新たな出力信号が受信されたときに、前記生体認証センサの前記新たな出力信号を前記記憶されたデータと比較し、前記出力信号が前記以前の出力信号の1つと同一であると分かった場合には、前記セキュアエレメントの前記保護された機能へのアクセスを可能にしないように構成する命令を含むコンピュータプログラム製品。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662302836P | 2016-03-03 | 2016-03-03 | |
| US62/302,836 | 2016-03-03 | ||
| GB1605047.8A GB2547954B (en) | 2016-03-03 | 2016-03-24 | Attack resistant biometric authorised device |
| GB1605047.8 | 2016-03-24 | ||
| PCT/EP2017/054792 WO2017149022A1 (en) | 2016-03-03 | 2017-03-01 | Attack resistant biometric authorised device |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2019508816A true JP2019508816A (ja) | 2019-03-28 |
Family
ID=56027353
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018545948A Pending JP2019508816A (ja) | 2016-03-03 | 2017-03-01 | 攻撃耐性生体認証デバイス |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20190065716A1 (ja) |
| EP (1) | EP3424023A1 (ja) |
| JP (1) | JP2019508816A (ja) |
| KR (1) | KR102367791B1 (ja) |
| CN (1) | CN108701383A (ja) |
| GB (1) | GB2547954B (ja) |
| WO (1) | WO2017149022A1 (ja) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10984304B2 (en) | 2017-02-02 | 2021-04-20 | Jonny B. Vu | Methods for placing an EMV chip onto a metal card |
| WO2019161887A1 (en) * | 2018-02-20 | 2019-08-29 | Zwipe As | Secure enrolment of biometric data |
| USD956760S1 (en) * | 2018-07-30 | 2022-07-05 | Lion Credit Card Inc. | Multi EMV chip card |
| KR20220016982A (ko) | 2019-06-12 | 2022-02-10 | 랑셍 홀딩 | 통신 장치 및 통신 장치를 이용하는 방법 |
| KR20210023331A (ko) | 2019-08-23 | 2021-03-04 | 주식회사 시솔지주 | 지문 인식 카드 |
| GB2588661B (en) | 2019-10-31 | 2023-11-22 | Zwipe As | Biometrically protected device |
| US11328045B2 (en) | 2020-01-27 | 2022-05-10 | Nxp B.V. | Biometric system and method for recognizing a biometric characteristic in the biometric system |
| US11651060B2 (en) | 2020-11-18 | 2023-05-16 | International Business Machines Corporation | Multi-factor fingerprint authenticator |
| US20220261570A1 (en) * | 2021-02-12 | 2022-08-18 | Dell Products L.P. | Authentication of user information handling system through stylus |
| ES1273130Y (es) * | 2021-06-10 | 2021-10-18 | Jma Alejandro Altuna S L U | Mando a distancia con detector de huella dactilar para apertura de puertas de acceso |
Family Cites Families (60)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20010013546A1 (en) * | 1996-01-09 | 2001-08-16 | Ross William Leslie | Identification system |
| US5995630A (en) * | 1996-03-07 | 1999-11-30 | Dew Engineering And Development Limited | Biometric input with encryption |
| US6035403A (en) * | 1996-09-11 | 2000-03-07 | Hush, Inc. | Biometric based method for software distribution |
| DE69736235D1 (de) * | 1996-09-11 | 2006-08-10 | Yang Li | Verfahren zur anwendung von fingerabdrücken für die beglaubigung von drahtlosen kommunikationen |
| US6219793B1 (en) * | 1996-09-11 | 2001-04-17 | Hush, Inc. | Method of using fingerprints to authenticate wireless communications |
| EP0953183B1 (en) * | 1997-01-17 | 2003-06-04 | BRITISH TELECOMMUNICATIONS public limited company | Security apparatus and method |
| US20010014167A1 (en) * | 1997-03-03 | 2001-08-16 | Maurice M Gifford | Security check provision |
| USRE41198E1 (en) * | 1997-04-16 | 2010-04-06 | Dunn Christopher S | Method of detecting authorised biometric information sensor |
| US6901154B2 (en) * | 1997-04-16 | 2005-05-31 | Activcard Ireland Limited | Method of detecting authorised biometric information sensor |
| US6084977A (en) * | 1997-09-26 | 2000-07-04 | Dew Engineering And Development Limited | Method of protecting a computer system from record-playback breaches of security |
| US6721891B1 (en) * | 1999-03-29 | 2004-04-13 | Activcard Ireland Limited | Method of distributing piracy protected computer software |
| US20050111709A1 (en) * | 1999-10-28 | 2005-05-26 | Catherine Topping | Identification system |
| US20040151353A1 (en) * | 1999-10-28 | 2004-08-05 | Catherine Topping | Identification system |
| GB0004287D0 (en) * | 2000-02-23 | 2000-04-12 | Leeper Kim | System and method for authenticating electronic documents |
| EP1323089A4 (en) * | 2000-08-04 | 2006-04-19 | First Data Corp | ENTITY AUTHENTICATION IN ELECTRONIC COMMUNICATION BY PROVIDING THE VERIFICATION STATUS OF A DEVICE |
| AU736796B3 (en) * | 2000-09-27 | 2001-08-02 | Comgeer Pty Ltd | Computer-type peripherals |
| US7218202B2 (en) * | 2000-11-16 | 2007-05-15 | Mu Hua Investment Limited | Biometric key |
| FR2828755B1 (fr) * | 2001-08-14 | 2004-03-19 | Atmel Nantes Sa | Dispositif et procede de reconnaissance d'au moins un individu, dispositif et systeme de controle d'acces et application correspondants |
| KR20030021054A (ko) * | 2001-09-05 | 2003-03-12 | 김영하 | 지문정보를 이용한 금융거래방법 및 그 시스템 |
| EP1459251B1 (en) * | 2001-11-22 | 2008-08-13 | Liberate Software Limited | Portable storage device for storing and accessing personal data |
| EP1329855A1 (en) * | 2002-01-18 | 2003-07-23 | Hewlett-Packard Company | User authentication method and system |
| GB2390705B (en) * | 2002-07-11 | 2004-12-29 | Ritech Internat Ltd | Portable biodata protected data storage unit |
| US20040203594A1 (en) * | 2002-08-12 | 2004-10-14 | Michael Kotzin | Method and apparatus for signature validation |
| DE10237132A1 (de) * | 2002-08-13 | 2004-02-26 | BSH Bosch und Siemens Hausgeräte GmbH | Haushaltsgerät mit biometrischer Personenidentifikationseinrichtung |
| CZ2005209A3 (cs) * | 2002-09-10 | 2005-12-14 | Ivi Smart Technologies, Inc. | Bezpečné biometrické ověření identity |
| US7565545B2 (en) * | 2003-02-19 | 2009-07-21 | International Business Machines Corporation | Method, system and program product for auditing electronic transactions based on biometric readings |
| WO2004077208A2 (en) * | 2003-02-27 | 2004-09-10 | Rand Afrikaans University | Authentication system and method |
| AU2003904317A0 (en) * | 2003-08-13 | 2003-08-28 | Securicom (Nsw) Pty Ltd | Remote entry system |
| US7693313B2 (en) * | 2004-03-22 | 2010-04-06 | Raytheon Company | Personal authentication device |
| CN1327387C (zh) * | 2004-07-13 | 2007-07-18 | 清华大学 | 指纹多特征识别方法 |
| WO2007019605A1 (en) * | 2005-08-12 | 2007-02-22 | Securicom (Nsw) Pty Ltd | Improving card device security using biometrics |
| NZ571961A (en) * | 2006-03-27 | 2011-10-28 | Fabrizio Borracci | A method for making a secure personal card and its working process |
| EP2118410A2 (de) * | 2007-03-05 | 2009-11-18 | Kaba AG | System für die zugangskontrolle und schliessvorrichtung |
| US20110113664A1 (en) * | 2007-08-07 | 2011-05-19 | Raul Delgado Acarreta | Authentification and authorization device |
| CN101373526A (zh) * | 2007-08-23 | 2009-02-25 | 吴铭远 | 存有生物特征数据的安全卡及其使用方法 |
| SG170074A1 (en) * | 2007-10-22 | 2011-04-29 | Microlatch Pty Ltd | A transmitter for transmitting a secure access signal |
| WO2009070339A1 (en) * | 2007-11-28 | 2009-06-04 | Atrua Technologies, Inc. | System for and method of locking and unlocking a secret using a fingerprint |
| AU2008353513B2 (en) * | 2008-03-25 | 2013-08-08 | Oneempower Pte Ltd | Health monitoring system with biometric identification |
| WO2010000276A1 (en) * | 2008-06-30 | 2010-01-07 | Telecom Italia S.P.A. | Method and system for communicating access authorization requests based on user personal identification as well as method and system for determining access authorizations |
| US20100052853A1 (en) * | 2008-09-03 | 2010-03-04 | Eldon Technology Limited | Controlling an electronic device by way of a control device |
| US20120296476A1 (en) * | 2009-10-30 | 2012-11-22 | Richard John Cale | Environmental control method and system |
| WO2011114278A2 (en) * | 2010-03-15 | 2011-09-22 | Flight Focus Pte. Ltd. | Aeronautical input/output device with biometric identification means |
| CN102195778A (zh) * | 2010-03-16 | 2011-09-21 | 无锡指网生物识别科技有限公司 | 互联网电子支付指纹认证方法 |
| AU2010224455B8 (en) * | 2010-09-28 | 2011-05-26 | Mu Hua Investments Limited | Biometric key |
| AU2013204744A1 (en) * | 2012-07-26 | 2014-02-13 | Peter Cherry | System and Method for Fraud Prevention |
| GB2507539A (en) * | 2012-11-02 | 2014-05-07 | Zwipe As | Matching sets of minutiae using local neighbourhoods |
| AU2013204965B2 (en) * | 2012-11-12 | 2016-07-28 | C2 Systems Limited | A system, method, computer program and data signal for the registration, monitoring and control of machines and devices |
| GB2509495A (en) * | 2013-01-02 | 2014-07-09 | Knightsbridge Portable Comm Sp | Device and system for user authentication to permit access to an electronic device |
| AP2015008710A0 (en) * | 2013-01-29 | 2015-08-31 | Mary Grace | Smart card and smart card system with enhanced security features |
| AU2013204989A1 (en) * | 2013-04-13 | 2014-10-30 | Digital (Id)Entity Limited | A system, method, computer program and data signal for the provision of a profile of identification |
| RU2016133951A (ru) * | 2014-01-21 | 2018-03-02 | Сёркарр Пти Лтд | Система и способ персональной идентификации |
| JP6430540B2 (ja) * | 2014-02-24 | 2018-11-28 | ハンスキャン・アイピー・ベスローテン・フェンノートシャップHanscan IP B.V. | 生体認証に基づく携帯型本人確認装置 |
| GB2520099B (en) * | 2014-06-26 | 2015-11-04 | Cocoon Alarm Ltd | Intruder detection method and system |
| WO2016026532A1 (en) * | 2014-08-21 | 2016-02-25 | Irdeto B.V. | User authentication using a randomized keypad over a drm secured video path |
| CN104239869B (zh) * | 2014-09-25 | 2018-03-16 | 武汉华和机电技术有限公司 | 一种智能指纹识别装置及方法 |
| CN105160082B (zh) * | 2015-08-17 | 2018-08-31 | 加弘科技咨询(上海)有限公司 | 电子电路的再利用与验证方法 |
| US10467548B2 (en) * | 2015-09-29 | 2019-11-05 | Huami Inc. | Method, apparatus and system for biometric identification |
| US9916432B2 (en) * | 2015-10-16 | 2018-03-13 | Nokia Technologies Oy | Storing and retrieving cryptographic keys from biometric data |
| DE102015225275A1 (de) * | 2015-12-15 | 2017-06-22 | Bundesdruckerei Gmbh | ID-Token mit geschütztem Mikrocontroller |
| AU2017210749A1 (en) * | 2016-01-29 | 2018-09-20 | Xard Group Pty Ltd | Biometric reader in card |
-
2016
- 2016-03-24 GB GB1605047.8A patent/GB2547954B/en active Active
-
2017
- 2017-03-01 WO PCT/EP2017/054792 patent/WO2017149022A1/en active Application Filing
- 2017-03-01 US US16/077,598 patent/US20190065716A1/en not_active Abandoned
- 2017-03-01 JP JP2018545948A patent/JP2019508816A/ja active Pending
- 2017-03-01 EP EP17708233.6A patent/EP3424023A1/en active Pending
- 2017-03-01 CN CN201780014114.3A patent/CN108701383A/zh active Pending
- 2017-03-01 KR KR1020187028485A patent/KR102367791B1/ko active IP Right Grant
Also Published As
| Publication number | Publication date |
|---|---|
| KR102367791B1 (ko) | 2022-02-25 |
| GB2547954B (en) | 2021-12-22 |
| CN108701383A (zh) | 2018-10-23 |
| US20190065716A1 (en) | 2019-02-28 |
| KR20180117690A (ko) | 2018-10-29 |
| GB201605047D0 (en) | 2016-05-11 |
| WO2017149022A1 (en) | 2017-09-08 |
| EP3424023A1 (en) | 2019-01-09 |
| GB2547954A (en) | 2017-09-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102367791B1 (ko) | 공격 방지 바이오메트릭 인증 장치 | |
| TWI828623B (zh) | 付款卡及漸進式登記演算法 | |
| US10726115B2 (en) | Biometric device | |
| US10922598B2 (en) | Fingerprint authorisable device | |
| JP2017537376A (ja) | 生体認証における登録の許可 | |
| KR20190021368A (ko) | 바이오메트릭적으로 인증 가능한 장치 | |
| US9111084B2 (en) | Authentication platform and related method of operation | |
| US20190156098A1 (en) | Fingerprint authorisable device | |
| WO2017109173A1 (en) | Biometric device | |
| US20230334131A1 (en) | Biometrically protected device | |
| WO2018087336A1 (en) | Fingerprint authorisable demonstrator device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200221 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210311 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210323 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210623 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20210817 |