JP2021513259A - 生体認証テンプレート保護鍵の更新 - Google Patents

生体認証テンプレート保護鍵の更新 Download PDF

Info

Publication number
JP2021513259A
JP2021513259A JP2020542371A JP2020542371A JP2021513259A JP 2021513259 A JP2021513259 A JP 2021513259A JP 2020542371 A JP2020542371 A JP 2020542371A JP 2020542371 A JP2020542371 A JP 2020542371A JP 2021513259 A JP2021513259 A JP 2021513259A
Authority
JP
Japan
Prior art keywords
biometric data
data set
conversion key
key
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020542371A
Other languages
English (en)
Other versions
JP7337817B2 (ja
Inventor
イェールマン クリスティアン
イェールマン クリスティアン
ポーピ ステベン
ポーピ ステベン
Original Assignee
フィンガープリント カーズ アクティエボラーグ
フィンガープリント カーズ アクティエボラーグ
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by フィンガープリント カーズ アクティエボラーグ, フィンガープリント カーズ アクティエボラーグ filed Critical フィンガープリント カーズ アクティエボラーグ
Publication of JP2021513259A publication Critical patent/JP2021513259A/ja
Application granted granted Critical
Publication of JP7337817B2 publication Critical patent/JP7337817B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Collating Specific Patterns (AREA)

Abstract

本発明は、生体認証テンプレート保護鍵を更新する方法及びデバイスに関する。本発明の1つの態様では、ネットワークノード(300)により実行される、少なくとも1つの格納特徴量変換鍵を更新する方法が提供され、少なくとも1つの格納特徴量変換鍵を用いて、ユーザ(200)の生体データ集合が第1クライアントデバイス(100)で最初に変換されており、第1クライアントデバイス(100)では、ユーザの生体データを撮影してネットワークノード(300)に登録しており、ユーザの当該変換生体データ集合は、生体データ検証ノード(400)に、生体データ検証ノード(400)が特徴量変換鍵にアクセスすることなく格納される。方法は、当該少なくとも1つの格納変換鍵を更新する必要があると決定する(S302)ことと、ランダムデータを生成する(S303)ことと、少なくとも1つの新規特徴量変換鍵を当該ランダムデータに基づいて計算する(S304)ことと、少なくとも1つの格納特徴量変換鍵を少なくとも1つの新規計算特徴量変換鍵で置き換える(S305)ことと、生成ランダムデータを当該生体データ検証ノード(400)に送信する(S306)ことと、を含み、生体データ検証ノード(400)は生成ランダムデータを使用して、置き換え対象の少なくとも1つの特徴量変換鍵を使用して最初に変換されている少なくとも1つの変換生体データ集合を更新する。
【選択図】図6

Description

本発明は、生体認証テンプレート保護鍵を更新する方法及びデバイスに関する。
生体情報を利用した識別は、人間ユーザをセキュアに認証するためのユーザフレンドリーな方法である。生体データを使用して分散システムで識別を行なう場合の生体データの1つの主要な問題は、テンプレート生体データが、エンドユーザが識別されると考えられるコンピュータシステムのノードで利用可能になる必要があることである。これは、通常、元の平文生体データが中心ノードに格納され、当該システムにおいて分散されることを必要とするので、分散型コンピュータシステムの主要なセキュリティ設計課題を構成する。このようなソリューションは、元の生体データの改ざんに対して非常に脆弱であり、データが1つのシステムで改ざんされると、同じ生体データが、生体データを使用する全ての他のシステムでも改ざんされる状況が生じる可能性がある。生体データを単純に暗号化しても、元の生体データは、遠く離れた場所で認証中に利用可能となる必要があるので、この問題を解決することにはならない。
したがって、生体識別情報に基づくリモート認証を可能にするのではあるが、同時に、元の生体データの保護を可能にし、生体データ保護鍵を更新することができるソリューションを提供する必要がある。
本発明の目的は、この技術分野におけるこの問題を解決する、又は少なくとも軽減することにあり、ユーザの格納生体データを保護するために使用される鍵を更新する方法を提供することにある。
この目的は、本発明の第1の態様において、ネットワークノードにより実行される、少なくとも1つの格納特徴量変換鍵を更新する方法により達成され、少なくとも1つの格納特徴量変換鍵を用いて、ユーザの生体データ集合が第1クライアントデバイスで最初に変換されており、第1クライアントデバイスでは、ユーザの生体データを撮影してネットワークノードに登録しており、ユーザの当該変換生体データ集合は、生体データ検証ノードに、生体データ検証ノードが特徴量変換鍵にアクセスすることなく格納される。方法は、当該少なくとも1つの格納変換鍵を更新する必要があると決定することと、ランダムデータを生成することと、少なくとも1つの新規特徴量変換鍵を当該ランダムデータに基づいて計算することと、少なくとも1つの格納特徴量変換鍵を少なくとも1つの新規計算特徴量変換鍵で置き換えることと、生成ランダムデータを生体データ検証ノードに送信することと、を含み、生体データ検証ノードは生成ランダムデータを使用して、置き換え対象の少なくとも1つの特徴量変換鍵を使用して最初に変換されている少なくとも1つの変換生体データ集合を更新する。
この目的は、本発明の第2の態様において、生体データ検証ノードにより実行される、第1クライアントデバイスで最初に変換されたユーザの少なくとも1つの格納変換生体データ集合を更新する方法により達成され、第1クライアントデバイスでは、ユーザの生体データを撮影して生体データ検証ノードに登録している。方法は、更新対象の格納変換生体データ集合を変換するために使用された特徴量変換鍵にアクセスするネットワークノードから、更新対象の格納変換生体データ集合を更新するために使用されるランダムデータを受信することと、少なくとも1つの格納変換生体データ集合を、格納変換生体データ集合を受信ランダムデータで処理することにより更新して、更新変換生体データ集合が、ネットワークノードで生成される当該ランダムデータに基づいてそれに応じて更新される特徴量変換鍵で変換されたユーザの生体データ集合に一致するようにすることと、少なくとも1つの格納変換生体データ集合を更新変換生体データ集合で置き換えることと、を含む。
この目的は、本発明の第3の態様において、少なくとも1つの格納特徴量変換鍵を更新するように構成されるネットワークノードにより達成され、少なくとも1つの格納特徴量変換鍵を用いて、ユーザの生体データ集合が最初に、第1クライアントデバイスで変換されており、第1クライアントデバイスでは、ユーザの生体データを撮影してネットワークノードに登録しており、ユーザの当該変換生体データ集合は、生体データ検証ノードに、生体データ検証ノードが特徴量変換鍵にアクセスすることなく格納される。ネットワークノードは処理ユニットを含み、処理ユニットは、ネットワークノードを、当該少なくとも1つの格納変換鍵を更新する必要があると決定し、ランダムデータを生成し、少なくとも1つの新規特徴量変換鍵を当該ランダムデータに基づいて計算し、少なくとも1つの格納特徴量変換鍵を少なくとも1つの新規計算特徴量変換鍵で置き換え、生成ランダムデータを生体データ検証ノードに送信し、生体データ検証ノードは生成ランダムデータを使用して、置き換え対象の少なくとも1つの特徴量変換鍵を使用して最初に変換されている少なくとも1つの変換生体データ集合を更新するように動作させるように構成される。
この目的は、本発明の第4の態様において、第1クライアントデバイスで最初に変換されたユーザの少なくとも1つの格納変換生体データ集合を更新するように構成される生体データ検証ノードにより達成され、第1クライアントデバイスでは、ユーザの生体データを撮影して生体データ検証ノードに登録している。生体データ検証ノードは処理ユニットを含み、処理ユニットは、生体データ検証ノードを、更新対象の格納変換生体データ集合を変換するために使用された特徴量変換鍵にアクセスするネットワークノードから、更新対象の格納変換生体データ集合を更新するために使用されるランダムデータを受信し、少なくとも1つの格納変換生体データ集合を、格納変換生体データ集合を受信ランダムデータで処理することにより更新して、更新変換生体データ集合が、ネットワークノードで生成される当該ランダムデータに基づいてそれに応じて更新される特徴量変換鍵で変換されたユーザの生体データ集合に一致するようにし、少なくとも1つの格納変換生体データ集合を更新変換生体データ集合で置き換えるように動作させるように構成される。
したがって、変換鍵を更新する必要がある旨が、例えば生体データ検証ノード(本明細書では、生体認証信頼サーバ(BTS)と表記される)が更新要求を、本明細書ではアプリケーションサーバ(AS)と表記されるネットワークノードに、それに応じて送信することにより決定される。BTSは、1個の鍵から数百個の鍵、又は数千個の鍵を更新する必要がある旨を、いずれの場所にあっても要求することができる。
BTSはしたがって、いずれの変換鍵を更新する必要があるかを、例えばユーザインデックスを更新要求に含めることにより指示し、当該インデックスは、ユーザの登録変換生体データ集合ごとに固有である。
ASは、更新要求から、格納特徴量変換鍵のいずれを更新する必要があるかを決定する。
次に、ASは、ランダムデータを生成し、新規特徴量変換鍵を生成ランダムデータに基づいて計算する。その後、各更新特徴量変換鍵で、以前に格納されている対応する各鍵を置き換える。
ASは、生成ランダムデータをBTSに送信し、BTSは同様にして、受信ランダムデータを使用して、以前に送信されているユーザインデックスに対応する格納変換生体データ集合を更新する。すなわち、ASで更新された特徴量変換鍵で以前に変換されている格納変換生体データ集合はBTSでも更新される必要がある。
したがって、BTSは、格納変換生体データ集合を、格納変換生体データ集合を受信ランダムデータで処理することにより更新して、更新変換生体データ集合が、ASで生成されるランダムデータに基づいてそれに応じて更新される特徴量変換鍵で変換されたユーザの生体データ集合に一致するようにする。
格納変換生体データ集合を更新した後、更新集合で、以前に格納されている対応する各変換生体データ集合を置き換える。
BTSは任意であるが、更新確認をASに送信して、更新手順を完了した旨を指示することができる。
結論付けることができるように、BTSに格納されている変換生体データ集合及びASに格納されている対応する特徴量変換鍵は、ユーザを関与させることなく更新されるので有利である。
追加の利点は、更新される前にASに格納された特徴量変換鍵がこの時点で古くなって使えないので、鍵にアクセスする悪意のある潜在的なサードパーティは、特徴量変換鍵を使用することができないことである。
第2特徴量変換鍵の更新は、定期的に行なうことができるので有利である。したがって、新規計算特徴量変換鍵は、設定期間後に更新されて、ASに格納されている全ての特徴量変換鍵−及び、BTSに格納されている対応する変換生体データ集合−が継続的に更新されるようになる。
1つの実施形態では、当該ランダムデータに基づくネットワークノードにおける少なくとも1つの新規特徴量変換鍵の計算は、生成ランダムデータを少なくとも1つの格納特徴量変換鍵に加算することにより実行される。
同様に、生体データ検証ノードにおける少なくとも1つの格納変換生体データ集合の更新は、生成ランダムデータを少なくとも1つの格納生体データ集合に加算することにより実行される。
追加の実施形態では、生体データ検証ノードは、要求をネットワークノードに送信して、当該少なくとも1つの格納変換鍵を更新し、要求は、更新対象の当該少なくとも1つの格納変換鍵の固有識別子を含む。
別の実施形態では、生体データ検証ノードへの生成ランダムデータの送信は更に、更新されている当該少なくとも1つの格納変換鍵の固有識別子を含む。
本発明の追加の実施形態について以下に説明する。
概して、特許請求の範囲に使用される全ての用語は、本明細書で他に明確に定義されていない限り、この技術分野におけるこれらの用語の普通の意味に従って解釈されるべきである。「a/an/the element,apparatus,component,means,step,etc.(1つの/ある/当該要素、装置、構成要素、手段、ステップなど)」を指す全ての用語は、他に明示的に述べられていない限り、要素、装置、構成要素、手段、ステップなどの少なくとも1つの実例を指すものとして広義に解釈されるべきである。本明細書において開示される任意の方法のステップは、明示的に述べられていない限り、開示される厳密な順序で実行される必要はない。
本発明がここで、例を通して添付の図面を参照して説明される。
1つの実施形態におけるユーザの生体データを撮影するために使用されるスマートフォンの形態の電子デバイスを示している。 ユーザが指を載せる指紋センサの図を示している。 1つの実施形態による指紋検出システムの一部である指紋センサを示している。 1つの実施形態によるユーザの変換生体データを信頼サーバに登録する信号伝達図を示している。 別の実施形態によるユーザを登録変換生体データに基づいて認証する信号伝達図を示している。 1つの実施形態による特徴量変換鍵及び格納変換生体データ集合を更新する信号伝達図を示している。
ここで、本発明について、本発明の特定の実施形態が示されている添付の図面を参照しながら以下に更に完全に説明することとする。しかしながら、本発明は、多くの異なる形態で具体化することができ、本明細書において開示される実施形態に限定されると解釈されてはならず、これらの実施形態は、本開示が網羅的かつ完全であり、本発明の範囲を当業者に全て伝えるように例を通して提供される。同様の参照番号は、同様の構成要素を、説明全体を通じて指している。
図1は、指紋センサ102と、タッチスクリーンインターフェース106を備えるディスプレイユニット104と、が設けられるスマートフォンの形態のクライアントデバイス100を示している。指紋センサ102は、例えば携帯電話100をアンロックする、及び/又は携帯電話100を使用して実行されるトランザクションを許可するなどのために使用することができる。指紋センサ102は、代替として、携帯電話100の裏面に配置することができる。指紋センサ102は、ディスプレイユニット/タッチスクリーンに一体的に設けることができる、又はスマートフォンホームボタンの一部を形成することができることに留意されたい。
本発明の実施形態による指紋センサ102は、ラップトップ、リモートコントロール、タブレット、スマートカードなどのような他の種類の電子デバイスに実装する、又は例えば、自動車のような車両の操作パネルの一部とする、若しくは指紋検出を利用する任意の他の種類の現在同様に構成される、又は将来同様に構成されるデバイスとすることができることを理解されたい。
代替として、ユーザの生体データは、例えば虹彩センサ又は顔認識センサのような、指紋センサ以外のデバイスを使用して撮影することができる。虹彩センサ又は顔認識センサと組み合わせた指紋センサのようなセンサの組み合わせを使用することを更に考えることができる。
図2は、ユーザが当該ユーザの指201を載せる指紋センサ102の幾分大きくした拡大図を示している。静電容量検出技術を用いる場合、指紋センサ102は、複数の検出素子を含むように構成される。1個の検出素子(画素とも表記される)が図2に、参照番号202が付されて図示されている。
図3は、指紋検出システム101の一部である指紋センサ102を示している。指紋検出システム101は、指紋センサ102と、指紋センサ102を制御し、撮影した指紋を分析するマイクロプロセッサのような処理ユニット103と、を備える。指紋検出システム101は更に、メモリ105を備える。指紋検出システム101が今度は通常、図1に例示される電子デバイス100の一部を形成する。
ここで、被写体が指紋センサ102に触れると、センサ102が、被写体の画像を撮影して処理ユニット103に、被写体が許可ユーザの指紋であるかどうかを、撮影した指紋を、メモリ105に予め格納されている1つ以上の許可指紋テンプレートと比較することにより判断させる。
指紋センサ102は、例えば静電容量検出技術、光検出技術、超音波検出技術、又は熱検出技術を含む任意の種類の現在又は将来の指紋検出原理を使用して実現することができる。現在、静電容量検出が、特にサイズ及び消費電力が重要となる用途において最も広く使用されている。静電容量指紋センサは、幾つかの検出素子202と、指紋センサ102の表面に載せる指201との間の静電容量(図2参照)の指示指標を提供する。指紋画像の取得は通常、2次元に配列される複数の検出素子202を含む指紋センサ102を使用して実行される。
普通の認証プロセスでは、指紋センサが使用される場合、ユーザが当該ユーザの指201をセンサ102に載せて、当該センサでユーザの指紋の画像を撮影する。処理ユニット103は、撮影した指紋を評価し、当該指紋をメモリ105に格納されている1つ以上の指紋認証テンプレートと比較する。記録した指紋が、予め格納されているテンプレートに一致する場合、ユーザは認証され、処理ユニット103は通常、スマートフォン100に指示して適切な処理を行なわせ、例えばロックモードからアンロックモードに移行させ、ユーザに許可してスマートフォン100にアクセスさせることができる。
図3を再度参照すると、指紋検出システム101により実行される方法のステップ(センサ102により実行される画像の撮影は別として)は、実際には、ランダムアクセスメモリ(RAM)、フラッシュメモリ、又はハードディスクドライブのような、マイクロプロセッサに関連付けられる記憶媒体105にダウンロードされるコンピュータプログラム107を実行するように構成される1つ以上のマイクロプロセッサの形態で具体化される処理ユニット103により実行される。処理ユニット103は、指紋検出システム101が実施形態による方法を、コンピュータ実行可能命令を含む適切なコンピュータプログラム107が記憶媒体105にダウンロードされて、処理ユニット103により実行されると実行するように構成される。記憶媒体105は、コンピュータプログラム107を含むコンピュータプログラム製品とすることもできる。代替として、コンピュータプログラム107は記憶媒体105に、デジタル多用途ディスク(DVD)又はメモリスティックのような適切なコンピュータプログラム製品を利用して転送することができる。追加の代替として、コンピュータプログラム107を記憶媒体105にネットワーク経由でダウンロードすることができる。処理ユニット103は、代替として、デジタルシグナルプロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)、複合プログラマブルロジックデバイス(CPLD)などの形態で具体化することができる。更に、処理ユニット103を利用して提供される機能の全部又は幾つかの部分は、指紋センサ102に少なくとも部分的に組み込むことができることを理解されたい。
図4は、本発明を実施することができるシステムを示している。このシステムは、スウェーデン特許出願第1751469−6号明細書に記載されている。
図4のシステムでは、第1クライアントデバイス100は、ユーザ200の生体データを、アプリケーションサーバ(AS)300と表記されるネットワークノードにセキュア通信チャネルを介して登録する。アプリケーションサーバ300が今度は、ユーザ200の生体データの所定部分を、生体認証信頼サーバ(BTS)400と表記される生体データ検証ノードに登録する。
手短に言えば、例えばスマートフォンの形態で具体化される第1クライアントデバイス100は、ユーザ200の生体データを、例えば図1〜図3を参照して説明した態様で、例えば指紋センサ、虹彩センサ、顔認識センサなどを使用して撮影する。
次に、この生体データをスマートフォン100で、例えば特徴量変換を使用して保護し、受信データ部分集合を格納する(しかしながら、生体データ自体をいずれの形式でも格納することがない)遠く離れた場所にある高信頼性AS300にセキュアに記録又は登録し、保護生体データをBTS400に転送する。
引き続き、ユーザ200は、ユーザ自体を、ローカルコンピューティングステーション500、すなわち第2クライアントデバイスで、コンピューティングステーション500にユーザの生体データを撮影させることにより認証し、撮影生体データを、スマートフォン100により以前に実行されている態様で登録中に保護し、保護生体データをBTS400に(AS300を介して)送信して、保護生体データをBTS400に以前に登録されている保護生体データと照合する。
例えば、AS300は、ユーザ200がユーザ自身を個人識別番号(PIN)の代わりに生体データを使用して認証し、電子商取引サービスを介して購入した商品の支払いを行なう電子商取引サービスのようなユーザ200がアクセスしたいと考える1つ以上のサービスを供給することができる。
これは、ユーザがAS300により供給されるリモートWebサービスに、ユーザの生体情報を、リモート認証手順をサポートする任意の(信頼)デバイスを用いて提示することによりログインすることができることを意味している。したがって、ユーザが、ユーザ名及び/又はパスワードを覚えておいて、又は要件を覚えておいて特定のハードウェアトークンを保持するという必要は全くない、又は特殊目的の識別プログラム、若しくは証明書を、ログインに使用されるクライアントデバイスに格納しておく必要は全くない。
認証に成功すると、ユーザ200には、AS300により供給されるサービスへのアクセスが付与される。ユーザ200の生体データの平文コピーは、スマートフォン100又はローカルコンピューティングステーション500から出て行くことが決してないことに留意されたい。AS300が複数のサービスを供給し、異なるサービスを異なる識別対象ユーザに供給することができることが考えられる。
ユーザ200の認証プロセスは、代替として、第1クライアントデバイス100、すなわちユーザ200の生体データを登録した同じデバイスで行なうことができることに留意されたい。
ユーザのスマートフォン100を使用することの代替として、ユーザがAS300にローカルコンピューティングステーション群500のいずれか1つのローカルコンピューティングステーションを介して登録することも可能である。
別の例では、AS300は、レンタカー会社のようなサービスプロバイダに属し、第2クライアントデバイス500は、生体認証リーダを備える乗用車の鍵デバイスの形態で具体化することができる。この用途に使用される場合、レンタカー会社は、当該会社の顧客を完全にオンラインで処理することができ、乗用車の鍵を顧客が安全ではない場所(就業時間外及び遠く離れた場所)でも、乗用車が盗まれる危険が高くなることなく利用可能になるが、その理由は、乗用車の鍵は、特定の乗用車を実際に注文して支払いを行なったユーザだけが作動させることができるからである。ユーザの生体データ(生体データがレンタカー会社に転送される場合でも)を、セキュアであると仮定することができる乗用車の鍵デバイスの外部にあるレンタカー会社が決して利用可能になることがないことが保証されるので、ユーザは当該システムを信頼することができる。
ここで、登録手順及び認証手順の両方について、それぞれ図4及び図5で、かなり詳細に説明することとする。
図4を参照すると、スマートフォン100は、ユーザ200の生体データTを、例えば図1〜図3を参照して説明した指紋センサ、虹彩センサ、又は顔認識センサを使用して撮影する。
次に、スマートフォン100は、撮影生体データTを第1変換生体データ集合Tr1に、適切な特徴量変換方式を使用して、すなわち特徴量変換関数を使用して変換し、特徴量変換関数は、元の生体認証テンプレート表現及び適切な変換パラメータを入力パラメータとして取り込み、変換生体認証テンプレート情報を出力として生成する。
これは、例えばスマートフォン100で、適切な疑似ランダム関数(PRF)を利用して生成されている第1特徴量変換鍵R1を使用して行なうことができる。代替として、スマートフォン100は、第1特徴量変換鍵R1が予め設定される、又はスマートフォン100には、AS300から第1特徴量変換鍵R1が供給される。
登録中に使用される第1特徴量変換鍵R1は、ユーザが認証されることになる、例えばローカルコンピューティングステーション500のような任意の他のクライアントデバイスと共有される必要がある。したがって、第1変換生体データ集合は、Tr1=F(R1、T)と表わされる。
次に、スマートフォン100は、第2特徴量変換鍵R2を生成し、第2変換生体データ集合を、撮影生体データTに基づいて生成する:Tr2=F(R2,T)。
第2特徴量変換鍵R2は、テンプレートと普通表記される登録生体データ集合ごとに固有であり、AS300によりアクセス可能である。BTSは、R1又はR2のいずれにもアクセスすることがなく、変換生体データ集合Tr1及びTr2を格納することになる。したがって、AS300又はBTS400のいずれもが、平文生体データにアクセスすることがない。
ステップS101に示すように、第1及び第2変換生体データ集合Tr1,Tr2は、スマートフォン100からAS300に、BTS400と共有される鍵で暗号化されてE(Tr1、Tr2)が得られた後に送信される。これらの集合には、送信される前に真正性を、例えばスマートフォン100とAS300との間で共有される対称鍵を使用して付与することができることに留意されたい。しかしながら、図4のシステムの主要な概要のみが以下に説明される。
スマートフォンは更に、第2特徴量変換鍵R2を、AS300と共有される暗号化鍵で暗号化し、S101で送信される第2暗号化特徴量変換鍵E(R2)を含む。
暗号化データを受信すると、AS300は、ステップS102において、第2暗号化特徴量変換鍵E(R2)を復号化し、鍵R2をセキュアに格納するとともに、ステップS103において、第1及び第2暗号化変換生体データ集合E(Tr1,Tr2)をBTS400に転送する。
R2及びTr1,Tr2の両方は通常、ユーザプロフィールデータdに関連付けられて、データ集合を引き続き、ユーザが認証プロセス中に供給する、対応するユーザプロフィールデータdにマッピングしてテンプレート照合を行なうことができることに留意されたい。
更に、AS300は、ステップS102において、第2受信特徴量変換鍵R2に固有のユーザインデックスiを生成し、ユーザプロフィールデータd及びユーザインデックスiを第2特徴量変換鍵R2と一緒に格納し、ステップS103において、ユーザインデックスiをBTS400への送信に含める。スマートフォン100が複数の生体認証テンプレートを登録する場合、固有のユーザインデックスが、それに応じて受信される第2特徴量変換鍵R2ごとに生成されることに留意されたい。
登録手順の最終ステップでは、BTS400はこのように、ステップS103においてAS300から、第1及び第2暗号化変換生体データ集合E(Tr1,Tr2)を含む登録要求をユーザプロフィールデータd及びユーザインデックスiとともに受信する。
BTS400は、スマートフォン100で使用される暗号化鍵に対応する復号化鍵を使用して、暗号化変換生体データを復号化する。その後、BTS400は、ステップS104において、第1変換生体データ集合Tr1、第2変換生体データ集合Tr2、ユーザプロフィールデータd、及びユーザインデックスiをセキュアに格納する。
結論付けることができるように、BTS400は、第1及び第2特徴量変換鍵R1,R2のいずれの特徴量変換鍵にもアクセスしないことにより、生体データTの平文コピーを取得することができないので有利である。
ここで、AS300の前述のサービスのいずれかに、ローカルコンピューティングステーション500を介してアクセスしようと考えるユーザはユーザ自身を、AS300を介して、当該ユーザが以前に登録しているBTS400で認証する必要があり、これについては、図5の信号伝達図を参照して説明される。
したがって、ユーザ(ユーザはこの特定の例では、ステップS101〜S104で信頼サーバに登録されるユーザ200であると仮定する)は、要求をAS300に提示して、第2クライアントデバイス、すなわちローカルコンピューティングステーション500のユーザ200を認証することができる。
ローカルステーション500(適切な生体センサを備えている)は、ユーザ200の生体データT’を撮影し、撮影生体データT’を第1変換生体データ集合Tr1’に、スマートフォン100が第1変換生体データ集合Tr1の登録中に使用する第1特徴量変換鍵R1で変換する;Tr1’=F(T’,R1)。
更に、ローカルステーション500は、第1変換生体データ集合Tr1’を、ユーザ200が認証されることになるBTS400と共有され、E(Tr1')で表わされる鍵で暗号化し、E(Tr1')をAS300にステップS201において、この特定のユーザ200に関して既に登録されているユーザプロフィールデータdに対応するユーザプロフィールデータd'と一緒に送信する(認証対象のユーザが実際には、ユーザプロフィールデータdに以前に登録されているユーザであると仮定すると)。この場合も同じく、任意の送信データには、受信側パーティにより検証される真正性の指標を付与することができる。
AS300が今度は、ステップS202において、第1暗号化変換生体データ集合E(Tr1')及びユーザプロフィールデータd’をBTS400に提示する。
BTS400は、ステップS203において、第1暗号化変換生体データ集合E(Tr1')を復号化し、ステップS204において、第1復号化変換生体データ集合Tr1'を、受信ユーザプロフィールデータd’に関して以前に登録されている、すなわちd'=dの場合に以前に登録されている少なくとも1つの変換生体データ集合Tr1と照合する。
BTS400は通常、非常に多くの登録を格納し、何千ものユーザをBTS400に登録することができることに留意されたい。更に、ユーザプロフィールデータは、例えばエンドユーザ名、地理的場所、ネットワークなどの形式で具体化することができる、すなわちユーザプロフィールデータは、必ずしもユーザを固有に特定する必要はなく、ユーザグループを特定するようにしてもよい。したがって、BTS400に格納されている複数の登録変換生体データ集合Tr1iは、第1受信変換生体データ集合Tr1’に一致すると考えることができる。これらは、登録集合候補と表記される。
したがって、登録集合候補を構成する変換生体データ集合を照合するたびに、BTS400は、ステップS205において、関連付けられたユーザインデックスiをAS300に返す。
したがって、「pre−match(事前照合)」をBTS400で第1受信変換生体データ集合Tr1’を利用して行なって適切な登録集合候補をフェッチするので、事前照合を行なわないシナリオと比較して、非常に少ない数の登録集合候補を引き続き、コンピューティングステーション500により考慮するだけで済むという効果をもたらし有利である。
ここで、ユーザインデックスiをステップS205で受信すると、AS300は、適切なストレージから、ステップS206において各特定のユーザインデックスiに関連付けられる以前に登録されている第2特徴量変換鍵R2iをフェッチし、ステップS207において、各第2登録特徴量変換鍵R2iをローカルステーション500と共有される鍵で暗号化し、ステップS208において、E(R2i)をローカルステーション500に送信する。
ローカルステーション500は、(少なくとも1つの)第2暗号化特徴量変換鍵を復号化し、各第2受信特徴量変換鍵R2iを使用して撮影生体データT’を、対応する数iの第2変換生体データ集合に変換する:Tr2i’=(T’,R2i)。
ローカルステーション500は更に、ステップS209において、第2変換生体データ集合(群)を、BTS400と共有される暗号化鍵で暗号化し、結果E(Tr2i’)をAS300に送信する。
AS300が今度は、ステップS210において、E(Tr2i’)をBTS400に転送して最終照合を行なう。AS300は、各第2暗号化変換生体データ集合E(Tr2i’)を、登録集合候補をBTS400から以前に受信したときと同じ順序で転送することができる。転送する場合、BTS400は、照合を行なう場合に、いずれの特定のユーザインデックスiに、それぞれの各第2暗号化変換生体データ集合E(Tr2i’)が属するかを認識する。
BTS400は、ステップ211において、少なくとも1つの第2暗号化変換生体データ集合E(Tr2i’)を復号化し、ステップ212において、第2復号化変換生体データ集合Tr2i’をユーザインデックスiに関して以前に登録されている、対応する第2変換生体データ集合Tr2iと照合する。この場合も同じく、少なくとも1つの第2変換生体データ集合Tr2がユーザ−数百に達する、又は数千にも達する数のユーザ−ごとに登録されて、照合が、データ処理の観点から非常に面倒な作業となる可能性があるので;BTS400は通常、ローカルステーション500と比較して、処理能力の点でより強力である。
最終的に、BTS400は、ステップ213において、第2変換生体データ集合Tr2iの中で一致が見られてユーザ200が認証されると考えられる場合の少なくとも1つのユーザインデックスiをAS300に送信する。
第2変換生体データ集合Tr2’のうち少なくとも1つの第2変換生体データ集合を以前に登録されている第2変換生体データ集合Tr2と照合している旨の確認をBTS400から受信すると、AS300は、ローカルステーション500に居るユーザ200が認証されている(及び場合によっては、任意の受信ユーザインデックスiに関連付けられるユーザプロフィールデータdで特定されてもいる)旨の結論を出し、それに応じてステップS214において、確認をローカルステーション500に送信することができ、この場合、ユーザ200には、例えばAS300により供給されるサービスへのコンピューティングステーション500を介したアクセスが付与される。
有利なことに、上記から結論付けることができるように、平文生体データがクライアントデバイス100,500のいずれからも出て行くことがないのに対し、セキュアな認証が実行され続けるので、システムを使用する際のユーザの信頼度を大幅に高めることができる。
ここで、この解決策は、攻撃に対する高いセキュリティレベル及び堅牢性を実現するが、BTS400又はAS300の一部若しくは全体がセキュリティ侵害を受ける稀なイベントが、以下に説明される本発明の実施形態により提案される通りに考えられる。
AS300により保持される第2特徴量変換鍵R2のうち1つ以上の第2特徴量変換鍵R2を定期的に更新することにより、及び第2更新特徴量変換鍵R2を使用して、対応する第2変換生体データ集合Tr2をBTS400で更新することにより、潜在的な攻撃の時間窓を大幅に小さくする。すなわち、サーバ群の一方又は両方に対する攻撃に成功する場合、攻撃者が重要鍵を取り出すまでに、鍵が既に古くて使用できないようにし、テンプレートを新規鍵で保護し直している。追加の利点は、これらの更新を自動的に行なうことができ、ユーザが関与する必要がないことである。
AS300により保持される第2特徴量変換鍵R2のうち1つ以上の第2特徴量変換鍵R2の更新は、多くの理由から推奨することができる。
例えば、鍵を侵害する試みが実行されていることが実際に検出されている可能性がある。しかしながら、代替として、鍵R2が、最初にシステムへの攻撃を検出することなく定期的に更新されることを想到することができる。第2特徴量変換鍵R2のうち1つ以上の第2特徴量変換鍵R2を更新する決定は、AS300により、又はそれに応じてAS300に通知するBTS400により行なうことができる。
図6は、本発明の実施形態を示しており、BTS400は、例えばBTS400への攻撃が検出されているので、1つ以上の第2登録変換生体データ集合Tr2を更新する必要があると決定する。
それに応じて、BTS400は、ステップS301において、いずれの第2格納変換生体データ集合Tr2iを更新する必要があるかの旨の更新要求をAS300に送信する。BTS400は、いかなる場所にあっても、1個の集合から数百の集合を更新する、又は1個の集合から数千の集合でさえも更新するように要求することができることに留意されたい。
1つの実施形態では、BTS400は、第2登録変換生体データ集合Tr2iごとに固有であり、AS300に、いずれの特定の第2特徴量変換鍵R2iを更新する必要があるかを指示するユーザインデックスiを、ステップS301で送信される更新要求に含める。これは、セキュリティ上の理由から、完全性及び機密性が確保された認証保護チャネルを介して実行されることが好ましい。
更新要求を受信すると、AS300は、ステップS302において、第2格納特徴量変換鍵R2iのうちいずれを、受信ユーザインデックスi0,i1,...,iq-1に基づいて更新する必要がある(すなわち、q個の鍵を更新する必要がある)かを決定する。
以下に、幾つかの仮定を行なうこととする。まず、BTS400及びAS300の両方が、アルゴリズム固有の整数集合を格納する:P=p0,p1,...,pk-1
更に、第2変換生体データ集合が、以下の通りに定義される:
Tr2i=F(R2i,Ti)=tr2i0,tr2i1,...,tr2in-1=[ai00,ai01,...,ai0k-1],[ai10,ai11,...,ai1k-1],...,[ain-10,ain-11,...,ain-1k-1],
一方、第2特徴量変換鍵は、以下の通りに定義される:
R2i=Ri0,Ri1,...,Rin-1=[ri00,ri01,...,ri0k-1],[ri10,ri11,...,ri1k-1],...,[rin-10,rin-11,...,rin-1k-1]。
次に、AS300は、以下の特徴量変換鍵更新演算を行なう。表記Xijを以下に使用する場合、意味するのは、iがXのインデックスであるのに対し、jがiの補助インデックスであることに留意されたい。
・ステップS303では、良好なランダムソースを使用してランダムデータを生成する。特定の実施形態では、q x n x kのランダム整数値が生成される:
{R2’ij}={r’ijls},0≦j≦q−1,0≦l≦n−1,0≦s≦k−1であり、それぞれ0≦r’ijls<ps,すなわちR2’ij=R’ij0,R’ij1,...,R’ijn-1=[r’ij00,r’ij01,...,r’ij0k-1],[r’ij10,r’ij11,...,r’ij1k-1],...,[r’ijn-10,r’ijn-11,...,r’ijn-1k-1]である。
・その後、ステップS304では、新規特徴量変換鍵R2^ijをランダムデータに基づいて生成する。すなわち、各インデックス値ijが示すように、鍵を更新するたびに、AS300は以下の計算を行なう:
R2^ij={r^ijls},0≦l≦n−1,0≦s≦k−1,式中、r^ijls=rijls+r’ijls mod psである。
・その後、ステップS305では、各第2更新特徴量変換鍵R2^ijで以前に登録及び格納されている対応する各鍵R2ijを置き換える。
ステップS306では、AS300は、受信更新要求に応答して、生成ランダムデータR2’ijをBTS400に送信する。セキュリティ上の理由から、BTS400に送信した後、AS300では、生成ランダムデータR2’ijを完全に破棄する。
次に、BTS400は、以下の更新演算を、ステップS301の更新要求に含めて送信された指示ユーザインデックスiに対応する第2格納変換生体データ集合Tr2iに対して行なう。
・格納変換生体データ集合Tr2ijをステップS307において、格納変換生体データ集合Tr2ijを受信ランダムデータR2’ijで処理することにより更新して、更新変換生体データ集合Tr2^ijが、AS300で生成されるランダムデータに基づいてそれに応じて更新される特徴量変換鍵R2^ijで変換されたユーザの生体データ集合T’に一致するようにする:
Tr^ij={a^ijls},0≦l≦n−1,0≦s≦k−1,式中、a^ijls=aijls+r’ijls mod psである。
・その後、ステップS308では、各第2更新変換生体データ集合Tr2^ijで、以前に格納及び登録されている対応する各集合Tr2ijを置き換え、BTS400に送信した後、受信ランダムデータR2’ijをAS300から完全に破棄する。
ステップS309では、BTS400は任意であるが、更新確認をAS300に送信することができる。
結論付けることができるように、BTS400は、格納変換生体データ集合Tr2ij(当該格納変換生体データ集合は、ステップS301の更新要求中に指示されていた)を、格納変換生体データ集合Tr2ijを受信ランダムデータR2’ijで処理することにより更新して、更新変換生体データ集合タTr2^ijが、AS300で生成されるランダムデータに基づいてそれに応じて更新される特徴量変換鍵R2^ijで変換されたユーザの生体データ集合T’に一致するようにする。すなわち、Tr2^ij=F(T’,R2^ij)となる。
このように、認証手順を行なうと(この場合も同じく、図5を参照)、AS300は−BTS400でステップS204において、第1変換生体データ集合Tr1’をTr1に照合し、ステップS205において、インデックスiを受信した後−ステップS206において、受信インデックスiに対応する第2更新特徴量変換鍵R2^をローカルステーション500に送信し(第2更新特徴量変換鍵R2^は、AS300でステップS207において、セキュリティ上の理由からローカルステーション500と共有される鍵で暗号化されている)、ユーザは、第2更新特徴量変換鍵R2^を利用して撮影生体データT’を変換して変換生体データ集合:Tr2^’=F(R2^,T’)が得られるようにする。
ステップS209では、変換生体データ集合:Tr2^’を暗号化してAS300に送信し、AS300が今度は、ステップS210において、暗号化変換生体データ集合E(Tr2^’)をBTS400に転送する。
BTS400は、ステップS211において、受信データを復号化し、Tr2^’を、図6のステップS307において以前に更新され、ステップS308において格納された対応する変換生体データ集合と比較する。
ステップS211において、更新変換生体データ集合Tr2^が、受信したTr2^’に一致する場合、ユーザ200が認証されると考えられ、ステップS213において、それに応じて確認をAS300に、一致が見られる場合のインデックスiの形式で送信することができる。
有利なことに、認証は、第2更新変換鍵R2^’及びそれに応じて更新された変換生体データ集合Tr2^を用いて、ユーザ200が更新手順に関与することなく実行されている。
追加の利点は、更新される前にAS300に格納されていた第2特徴量変換鍵がこの時点で古くて使用できないので、当該鍵にアクセスしようとする悪意のある潜在的なサードパーティは第2特徴量変換鍵を使用することができないことである。第2特徴量変換鍵の更新は、定期的に行なうことができる。したがって、第2新規計算特徴量変換鍵は、設定期間後に更新されて、AS300に格納されている全ての第2特徴量変換鍵−及び、BTS400に格納されている対応する第2変換生体データ集合−が継続的に更新されるようにすることができる。
図6を再度参照すると、AS300自体が、1つ以上の第2格納特徴量変換鍵R2を更新する必要があると決定する代替実施形態では、BTS400は、ステップS301において、更新要求を送信しない。しかしながら、このような実施形態では、AS300は、ステップS306において、ランダムデータをBTS400に送信すると、ユーザインデックスiを、更新されている鍵ごとに含めて、BTS400が、いずれの対応する変換生体データ集合Tr2をそれに応じて更新する必要があるかに気付くようにする。
理解されているように、AS300により実行される第2特徴量変換鍵の更新−及びBTS400における対応する変換生体データ集合の後続の更新−は、BTS400が、第2更新特徴量変換鍵R2^で変換されている生体認証テンプレートT’を受信するときに、すなわち更新鍵で変換されている生体データ集合Tr2^’を受信する前に、格納変換生体データ集合を更新して、適正な変換生体データ集合Tr2^及びTr2^’が互いに一致するようになる限り、任意の時間に、図5を参照して説明される進行中の認証手順が実行されている間でも行なうことができる。
更に、ユーザ200の登録及び認証が実行されている間に、登録が第1クライアントデバイス100で実行されており、認証が第1クライアントデバイス100又は第2クライアントデバイス500のいずれかで実行されており、システムのノード間で送信されるデータの真正性に普通、真正性の指標が、例えばデジタル署名、メッセージ認証コード(MAC)、保護セッション値などの形式で付与されることに留意されたい。したがって、高レベルの信頼性及びセキュリティを実現するために、受信者は、送信者が実際には高信頼性パーティであることを検証することができることが好ましい。
本発明は主として、幾つかの実施形態を参照して上に説明されている。しかしながら、当業者であれば容易に理解することができるように、添付の特許請求の範囲により定義されている通り、上に開示される実施形態以外の他の実施形態も本発明の範囲内に収まるように同様に想到することができる。

Claims (24)

  1. ネットワークノード(300)により実行される、少なくとも1つの格納特徴量変換鍵を更新する方法であって、前記少なくとも1つの格納特徴量変換鍵を用いて、ユーザ(200)の生体データ集合を第1クライアントデバイス(100)で最初に変換しており、前記第1クライアントデバイス(100)では、前記ユーザの生体データを撮影して前記ネットワークノード(300)に登録しており、前記ユーザの当該変換生体データ集合は、生体データ検証ノード(400)に、前記生体データ検証ノード(400)が前記特徴量変換鍵にアクセスすることなく格納され、前記方法は、
    前記少なくとも1つの格納変換鍵を更新する必要があると決定する(S302)ことと、
    ランダムデータを生成する(S303)ことと、
    少なくとも1つの新規特徴量変換鍵を前記ランダムデータに基づいて計算する(S304)ことと、
    前記少なくとも1つの格納特徴量変換鍵を前記少なくとも1つの新規計算特徴量変換鍵で置き換える(S305)ことと、
    前記生成ランダムデータを前記生体データ検証ノード(400)に送信する(S306)ことと、を含み、前記生体データ検証ノード(400)は前記生成ランダムデータを使用して、前記置き換えた少なくとも1つの特徴量変換鍵を使用して最初に変換されている前記少なくとも1つの変換生体データ集合を更新する、方法。
  2. 前記ランダムデータに基づく前記少なくとも1つの新規特徴量変換鍵の前記計算(S304)は、
    前記生成ランダムデータを前記少なくとも1つの格納特徴量変換鍵に加算することにより実行される、請求項1に記載の方法。
  3. 要求を前記生体データ検証ノード(400)から受信して前記少なくとも1つの格納変換鍵を更新することを含み、前記要求は、更新対象の前記少なくとも1つの格納変換鍵の固有識別子を更に含む、請求項1又は2に記載の方法。
  4. 前記生体データ検証ノード(400)への前記生成ランダムデータの送信(S306)は、更新された前記少なくとも1つの格納変換鍵の固有識別子を更に含む、請求項1又は2に記載の方法。
  5. 第2クライアントデバイス(500)から、前記ユーザの第1暗号化変換生体データ集合を受信する(S201)ことであって、前記第1生体データ集合は、第1特徴量変換鍵で変換されて、前記第2クライアントデバイス(500)と前記生体データ検証ノード(400)との間でユーザプロフィールデータとともに共有される鍵で暗号化されていることと、
    前記第1暗号化変換生体データ集合及び前記ユーザプロフィールデータを前記生体データ検証ノード(400)に送信する(S202)ことと、
    前記生体データ検証ノードから、前記生体データ検証ノード(400)に以前に登録されている少なくとも1つの変換生体データ集合の各変換生体データ集合に関連付けられるユーザインデックスを受信する(S205)ことであって、当該変換生体データは、前記第1提示変換生体データ集合に一致することと、
    各受信ユーザインデックスに対応する第2特徴量変換鍵をフェッチする(S206)ことであって、前記第2特徴量変換鍵は、前記第1クライアントデバイス(100)が以前に登録している特徴量変換鍵、又は新規計算特徴量変換鍵のいずれかであることと、
    前記フェッチした少なくとも1つの第2特徴量変換鍵を前記第2クライアントデバイス(500)と共有される鍵で暗号化する(S207)ことと、
    前記少なくとも1つの第2暗号化特徴量変換鍵を前記第2クライアントデバイス(500)に送信する(S208)ことと、
    前記第2クライアントデバイス(500)から、前記少なくとも1つの第2特徴量変換鍵で変換されている少なくとも1つの第2暗号化変換生体データ集合を受信する(S209)ことであって、前記少なくとも1つの第2変換生体データ集合は、前記第2クライアントデバイス(500)と前記生体データ検証ノード(400)との間で共有される鍵で暗号化されていることと、
    前記生体データ検証ノード(400)に、前記少なくとも1つの第2暗号化変換生体データ集合を送信する(S210)ことと、
    前記生体データ検証ノード(400)から、前記第2クライアントデバイス(500)で、前記第2特徴量変換鍵を使用して変換された前記少なくとも1つの第2変換生体データ集合との一致が見られて前記ユーザ(200)が認証されると考えられる場合の少なくとも1つの格納変換生体データ集合の各格納変換生体データ集合に関連付けられる前記ユーザインデックスを受信する(S213)ことと、を更に含む、請求項1から4のいずれか一項に記載の方法。
  6. 生体データ検証ノード(400)により実行される、最初に第1クライアントデバイス(100)で変換されたユーザ(200)の少なくとも1つの格納変換生体データ集合を更新する方法であって、前記第1クライアントデバイス(100)では、前記ユーザの生体データを撮影して前記生体データ検証ノード(400)に登録しており、
    更新対象の前記格納変換生体データ集合を変換するために使用された特徴量変換鍵にアクセスするネットワークノード(300)から、更新対象の前記格納変換生体データ集合を更新するために使用されるランダムデータを受信する(S306)ことと、
    前記少なくとも1つの格納変換生体データ集合を、前記格納変換生体データ集合を前記受信ランダムデータで処理することにより更新して(S307)、前記更新変換生体データ集合が、前記ネットワークノード(300)で生成される前記ランダムデータに基づいてそれに応じて更新される特徴量変換鍵で変換された前記ユーザの生体データ集合に一致するようにすることと、
    前記少なくとも1つの格納変換生体データ集合を前記更新変換生体データ集合で置き換える(S308)ことと、を含む方法。
  7. 前記少なくとも1つの格納変換生体データ集合の前記更新(S307)は、
    前記生成ランダムデータを前記少なくとも1つの格納生体データ集合に加算することにより実行される、請求項6に記載の方法。
  8. 要求を前記ネットワークノード(300)に送信して(S301)、前記少なくとも1つの格納変換鍵を更新することを含み、前記要求は、更新対象の前記少なくとも1つの格納変換鍵の固有識別子を更に含む、請求項6又は7に記載の方法。
  9. 前記ネットワークノード(300)からの前記生成ランダムデータの受信(S306)は、更新された前記少なくとも1つの格納変換鍵の固有識別子を更に含む、請求項6又は7に記載の方法。
  10. 前記第2クライアントデバイス(500)と通信するように構成されるネットワークノード(300)から、前記ユーザ(200)の第1暗号化変換生体データ集合を受信する(S202)ことであって、前記第1生体データ集合は、第1特徴量変換鍵で変換されて、前記第2クライアントデバイス(500)とユーザプロフィールデータとともに共有される鍵で暗号化されていることと、
    前記第1暗号化変換生体データ集合を復号化する(S203)ことと、
    前記第1復号化変換生体データ集合を、前記受信ユーザプロフィールデータについて以前に登録されている少なくとも1つの変換生体データ集合と照合する(S204)ことと、
    前記ネットワークノード(300)に、前記生体データ検証ノード(400)に以前に登録されている少なくとも1つの変換生体データ集合の各変換生体データ集合に関連付けられて、前記第1受信変換生体データ集合との一致が見られる場合のユーザインデックスを送信する(S205)ことと、
    前記ネットワークノード(300)から、前記第2クライアントデバイス(500)により、前記ネットワークノード(300)に格納されている第2特徴量変換鍵で変換されている少なくとも1つの第2暗号化変換生体データ集合を受信する(S210)ことであって、前記第2鍵は、前記第1クライアントデバイス(100)により以前に登録されている特徴量変換鍵、又は新規計算特徴量変換鍵のいずれかであり、前記少なくとも1つの第2変換生体データ集合は、前記第2クライアントデバイス(500)と共有される鍵で暗号化されていることと、
    前記少なくとも1つの第2暗号化変換生体データ集合を復号化する(S211)ことと、
    前記少なくとも1つの第2復号化変換生体データ集合を、前記第1クライアントデバイス(100)により以前に登録されている変換生体データ集合又は更新変換生体データ集合のいずれかである少なくとも1つの格納変換生体データ集合と照合する(S212)ことと、
    前記ネットワークノード(300)に、一致が見られて前記ユーザが認証されると考えられる場合の少なくとも1つのユーザインデックスを送信する(S213)ことと、を更に含む、請求項6から9のいずれか一項に記載の方法。
  11. 少なくとも1つの格納特徴量変換鍵を更新するように構成されるネットワークノード(300)であって、前記少なくとも1つの格納特徴量変換鍵を用いて、ユーザ(200)の生体データ集合が最初に、第1クライアントデバイス(100)で変換されており、前記第1クライアントデバイス(100)では、前記ユーザの生体データを撮影して前記ネットワークノード(300)に登録しており、前記ユーザの当該変換生体データ集合は、生体データ検証ノード(400)に、前記生体データ検証ノード(400)が前記特徴量変換鍵にアクセスすることなく格納され、前記ネットワークノード(300)は処理ユニット(301)を含み、処理ユニット(301)は、前記ネットワークノード(300)を、
    前記少なくとも1つの格納変換鍵を更新する必要があると決定し、
    ランダムデータを生成し、
    少なくとも1つの新規特徴量変換鍵を前記ランダムデータに基づいて計算し、
    前記少なくとも1つの格納特徴量変換鍵を前記少なくとも1つの新規計算特徴量変換鍵で置き換え、
    前記生成ランダムデータを前記生体データ検証ノード(400)に送信し、前記生体データ検証ノード(400)は前記生成ランダムデータを使用して、前記置き換えた少なくとも1つの特徴量変換鍵を使用して最初に変換されている前記少なくとも1つの変換生体データ集合を更新するように動作させるように構成される、ネットワークノード(300)。
  12. 前記少なくとも1つの新規特徴量変換鍵を前記ランダムデータに基づいて計算すると、
    前記生成ランダムデータを前記少なくとも1つの格納特徴量変換鍵に加算するように更に動作する、請求項11に記載のネットワークノード(300)。
  13. 要求を前記生体データ検証ノード(400)から受信して前記少なくとも1つの格納変換鍵を更新し、前記要求は、更新対象の前記少なくとも1つの格納変換鍵の固有識別子を含むように更に動作する、請求項11又は12に記載のネットワークノード(300)。
  14. 前記生体データ検証ノード(400)に前記送信した前記生成ランダムデータを用いて更新された前記少なくとも1つの格納変換鍵の固有識別子を含むように更に動作する、請求項11又は12に記載のネットワークノード(300)。
  15. 第2クライアントデバイス(500)から、前記ユーザの第1暗号化変換生体データ集合を受信し、前記第1生体データ集合は、第1特徴量変換鍵で変換されて、前記第2クライアントデバイス(500)と前記生体データ検証ノード(400)との間でユーザプロフィールデータとともに共有される鍵で暗号化されており、
    前記第1暗号化変換生体データ集合及び前記ユーザプロフィールデータを前記生体データ検証ノード(400)に送信し、
    前記生体データ検証ノードから、前記生体データ検証ノード(400)に以前に登録されている少なくとも1つの変換生体データ集合の各変換生体データ集合に関連付けられるユーザインデックスを受信し、当該変換生体データは、前記第1提示変換生体データ集合に一致し、
    各受信ユーザインデックスに対応する第2特徴量変換鍵をフェッチし、前記第2特徴量変換鍵は、前記第1クライアントデバイス(100)により以前に登録されている特徴量変換鍵、又は新規計算特徴量変換鍵のいずれかであり、
    前記フェッチした少なくとも1つの第2特徴量変換鍵を前記第2クライアントデバイス(500)と共有される鍵で暗号化し、
    前記少なくとも1つの第2暗号化特徴量変換鍵を前記第2クライアントデバイス(500)に送信し、
    前記第2クライアントデバイス(500)から、前記少なくとも1つの第2特徴量変換鍵で変換されている少なくとも1つの第2暗号化変換生体データ集合を受信し、前記少なくとも1つの第2変換生体データ集合は、前記第2クライアントデバイス(500)と前記生体データ検証ノード(400)との間で共有される鍵で暗号化されており、
    前記生体データ検証ノード(400)に、前記少なくとも1つの第2暗号化変換生体データ集合を送信し、
    前記生体データ検証ノード(400)から、前記第2クライアントデバイス(500)において、前記第2特徴量変換鍵を使用して変換された前記少なくとも1つの第2変換生体データ集合との一致が見られて前記ユーザ(200)が認証されると考えられる場合の少なくとも1つの格納変換生体データ集合の各格納変換生体データ集合に関連付けられる前記ユーザインデックスを受信するように更に動作する、請求項11から14のいずれか一項に記載のネットワークノード(300)。
  16. 第1クライアントデバイス(100)で最初に変換されているユーザ(200)の少なくとも1つの格納変換生体データ集合を更新するように構成される生体データ検証ノード(400)であって、第1クライアントデバイス(100)では、前記ユーザの生体データを撮影して前記生体データ検証ノード(400)に登録しており、前記生体データ検証ノード(400)は処理ユニット(401)を含み、処理ユニット(401)は、前記生体データ検証ノード(400)を、
    更新対象の前記格納変換生体データ集合を変換するために使用された特徴量変換鍵にアクセスするネットワークノード(300)から、更新対象の前記格納変換生体データ集合を更新するために使用されるランダムデータを受信し、
    前記少なくとも1つの格納変換生体データ集合を、前記格納変換生体データ集合を前記受信ランダムデータで処理することにより更新して、前記更新変換生体データ集合が、前記ネットワークノード(300)で生成される前記ランダムデータに基づいてそれに応じて更新される特徴量変換鍵で変換された前記ユーザの生体データ集合に一致するようにし、
    前記少なくとも1つの格納変換生体データ集合を前記更新変換生体データ集合で置き換えるように動作させる生体データ検証ノード(400)。
  17. 前記少なくとも1つの格納変換生体データ集合を更新すると、
    前記生成ランダムデータを前記少なくとも1つの格納生体データ集合に加算するように更に動作する、請求項16に記載の生体データ検証ノード(400)。
  18. 要求を前記ネットワークノード(300)に送信して前記少なくとも1つの格納変換鍵を更新し、前記要求は、更新対象の前記少なくとも1つの格納変換鍵の固有識別子を含むように更に動作する、請求項16又は17に記載の生体データ検証ノード(400)。
  19. 前記ネットワークノード(300)から前記受信した前記生成ランダムデータを用いて更新された前記少なくとも1つの格納変換鍵の固有識別子を受信するように更に動作する、請求項16又は17に記載の生体データ検証ノード(400)。
  20. 前記第2クライアントデバイス(500)と通信するように構成されるネットワークノード(300)から、前記ユーザ(200)の第1暗号化変換生体データ集合を受信し、前記第1生体データ集合は、第1特徴量変換鍵で変換されて、前記第2クライアントデバイス(500)とユーザプロフィールデータとともに共有される鍵で暗号化されており、
    前記第1暗号化変換生体データ集合を復号化し、
    前記第1復号化変換生体データ集合を、前記受信ユーザプロフィールデータについて以前に登録されている少なくとも1つの変換生体データ集合と照合し、
    前記ネットワークノード(300)に、前記生体データ検証ノード(400)に以前に登録されている少なくとも1つの変換生体データ集合の各変換生体データ集合に関連付けられて前記第1受信変換生体データ集合との一致が見られる場合のユーザインデックスを送信し、
    前記ネットワークノード(300)から、前記第2クライアントデバイス(500)により、前記ネットワークノード(300)に格納されている第2特徴量変換鍵で変換されている少なくとも1つの第2暗号化変換生体データ集合を受信し、前記第2鍵は、前記第1クライアントデバイス(100)により以前に登録されている特徴量変換鍵、又は新規計算特徴量変換鍵のいずれかであり、前記少なくとも1つの第2変換生体データ集合は、前記第2クライアントデバイス(500)と共有される鍵で暗号化されており、
    前記少なくとも1つの第2暗号化変換生体データ集合を復号化し、
    前記少なくとも1つの第2復号化変換生体データ集合を、前記第1クライアントデバイス(100)により以前に登録されている変換生体データ集合、又は更新変換生体データ集合のいずれかである少なくとも1つの格納変換生体データ集合と照合し、
    前記ネットワークノード(300)に、一致が見られて前記ユーザが認証されると考えられる場合の少なくとも1つのユーザインデックスを送信するように更に動作する、請求項16から19のいずれか一項に記載の生体データ検証ノード(400)。
  21. 前記ネットワークノード(300)に、請求項1から5のいずれか一項に記載のステップを、コンピュータ実行可能命令が、前記ネットワークノード(300)に含まれる処理ユニット(301)で実行される場合に実行させるコンピュータ実行可能命令を含む、コンピュータプログラム(302)。
  22. コンピュータ可読媒体(303)を含むコンピュータプログラム製品であって、前記コンピュータ可読媒体は、前記コンピュータ可読媒体で具体化される請求項21に記載のコンピュータプログラム(302)を有する、コンピュータプログラム製品。
  23. 前記生体データ検証ノード(400)に、請求項6から10のいずれか一項に記載のステップを、コンピュータ実行可能命令が、前記生体データ検証ノード(400)に含まれる処理ユニット(401)で実行される場合に実行させる前記コンピュータ実行可能命令を含む、コンピュータプログラム(402)。
  24. コンピュータ可読媒体(403)を含むコンピュータプログラム製品であって、前記コンピュータ可読媒体は、前記コンピュータ可読媒体で具体化される請求項23に記載のコンピュータプログラム(402)を有する、コンピュータプログラム製品。
JP2020542371A 2018-02-13 2019-02-08 生体認証テンプレート保護鍵の更新 Active JP7337817B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
SE1850151 2018-02-13
SE1850151-0 2018-02-13
PCT/SE2019/050107 WO2019160472A1 (en) 2018-02-13 2019-02-08 Updating biometric template protection keys

Publications (2)

Publication Number Publication Date
JP2021513259A true JP2021513259A (ja) 2021-05-20
JP7337817B2 JP7337817B2 (ja) 2023-09-04

Family

ID=67619642

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020542371A Active JP7337817B2 (ja) 2018-02-13 2019-02-08 生体認証テンプレート保護鍵の更新

Country Status (6)

Country Link
US (1) US10742410B2 (ja)
EP (1) EP3752940B1 (ja)
JP (1) JP7337817B2 (ja)
KR (1) KR102578428B1 (ja)
CN (1) CN110574030B (ja)
WO (1) WO2019160472A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024171434A1 (ja) * 2023-02-17 2024-08-22 日本電気株式会社 情報更新装置及び方法、認証装置及び方法、並びにコンピュータ可読媒体

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019054914A1 (en) * 2017-09-13 2019-03-21 Fingerprint Cards Ab METHODS AND APPARATUS FOR AUTHENTICATING A USER OF A CLIENT DEVICE ON A SECURE COMMUNICATION CHANNEL BASED ON BIOMETRIC DATA
US11424929B2 (en) 2021-01-07 2022-08-23 Bank Of America Corporation Authentication using encrypted biometric information
US20240104182A1 (en) * 2021-01-29 2024-03-28 Nec Corporation Biometric authentication system, template updating method therefor, storage medium, biometric authentication client device, and biometric authentication server device
US12095761B2 (en) 2021-12-02 2024-09-17 Ford Global Technologies, Llc Enhanced biometric authorization
US11912234B2 (en) * 2021-12-02 2024-02-27 Ford Global Technologies, Llc Enhanced biometric authorization
KR102424040B1 (ko) * 2022-02-21 2022-07-22 (주)레오컴 생체정보 분산관리 시스템 및 이를 이용한 생체정보 분산관리 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010146245A (ja) * 2008-12-18 2010-07-01 Hitachi Ltd 生体認証システムおよびその方法
JP2013084034A (ja) * 2011-10-06 2013-05-09 Hitachi Ltd テンプレート配信型キャンセラブル生体認証システムおよびその方法
JP2015226323A (ja) * 2014-05-23 2015-12-14 富士通株式会社 誤り訂正符号に基づいたプライバシーを保護する生体認証

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3028436B2 (ja) 1992-06-16 2000-04-04 株式会社フジタ 吊り荷の吊り換え方法
JP4885853B2 (ja) * 2004-06-25 2012-02-29 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 更新可能かつプライベートなバイオメトリクス
US7689006B2 (en) * 2004-08-20 2010-03-30 The Research Foundation Of State University Of Ny Biometric convolution using multiple biometrics
JP4564348B2 (ja) * 2004-12-10 2010-10-20 株式会社日立製作所 生体情報の特徴量変換方法および生体認証システム
JP2008097438A (ja) * 2006-10-13 2008-04-24 Hitachi Ltd ユーザ認証システム、認証サーバ、端末、及び耐タンパデバイス
JP4867601B2 (ja) * 2006-11-20 2012-02-01 株式会社日立製作所 生体情報の特徴量変換装置を用いたユーザ認証方法およびユーザ認証システム
CN100561916C (zh) * 2006-12-28 2009-11-18 北京飞天诚信科技有限公司 一种更新认证密钥的方法和系统
KR101010218B1 (ko) * 2007-10-24 2011-01-21 한국전자통신연구원 생체 인증 방법
US8239685B2 (en) 2007-10-24 2012-08-07 Electronics And Telecommunications Research Institute Biometric authentication method
US8838990B2 (en) * 2008-04-25 2014-09-16 University Of Colorado Board Of Regents Bio-cryptography: secure cryptographic protocols with bipartite biotokens
US8406428B2 (en) * 2008-12-11 2013-03-26 International Business Machines Corporation Secure method and apparatus to verify personal identity over a network
CN101420694A (zh) * 2008-12-16 2009-04-29 天津工业大学 一种wapi-xg1接入及快速切换认证方法
US9298902B2 (en) * 2009-02-12 2016-03-29 International Business Machines Corporation System, method and program product for recording creation of a cancelable biometric reference template in a biometric event journal record
EP2426640A4 (en) * 2009-04-28 2018-01-03 Fujitsu Limited Biometric authentication device, biometric authentication method and biometric authentication program
JP5859953B2 (ja) * 2010-09-30 2016-02-16 パナソニック株式会社 生体認証システム、通信端末装置、生体認証装置、および生体認証方法
CN103079198B (zh) * 2011-10-26 2018-08-03 中兴通讯股份有限公司 传感器节点的密钥更新方法和系统
EP2787681B1 (en) * 2011-11-30 2016-10-12 Mitsubishi Electric Corporation Data processing device, data processing method, and program
FR2988196B1 (fr) * 2012-03-19 2014-03-28 Morpho Procede d'authentification d'un individu porteur d'un objet d'identification
EP3047601B1 (en) * 2013-09-19 2019-07-10 Intel Corporation Technologies for synchronizing and restoring reference templates
KR102213448B1 (ko) * 2014-04-04 2021-02-08 삼성전자 주식회사 전자 장치의 인증 상태를 제어하는 방법 및 이를 이용한 전자 장치
US9935948B2 (en) * 2015-09-18 2018-04-03 Case Wallet, Inc. Biometric data hashing, verification and security
US10305690B1 (en) 2017-11-29 2019-05-28 Fingerprint Cards Ab Two-step central matching

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010146245A (ja) * 2008-12-18 2010-07-01 Hitachi Ltd 生体認証システムおよびその方法
JP2013084034A (ja) * 2011-10-06 2013-05-09 Hitachi Ltd テンプレート配信型キャンセラブル生体認証システムおよびその方法
JP2015226323A (ja) * 2014-05-23 2015-12-14 富士通株式会社 誤り訂正符号に基づいたプライバシーを保護する生体認証

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024171434A1 (ja) * 2023-02-17 2024-08-22 日本電気株式会社 情報更新装置及び方法、認証装置及び方法、並びにコンピュータ可読媒体

Also Published As

Publication number Publication date
EP3752940A4 (en) 2021-11-03
CN110574030B (zh) 2021-05-11
CN110574030A (zh) 2019-12-13
WO2019160472A1 (en) 2019-08-22
US10742410B2 (en) 2020-08-11
EP3752940A1 (en) 2020-12-23
EP3752940B1 (en) 2023-09-27
US20200127824A1 (en) 2020-04-23
KR20200119788A (ko) 2020-10-20
KR102578428B1 (ko) 2023-09-14
JP7337817B2 (ja) 2023-09-04

Similar Documents

Publication Publication Date Title
JP7337817B2 (ja) 生体認証テンプレート保護鍵の更新
JP7021417B2 (ja) 生体データテンプレートの更新
US7805614B2 (en) Secure local or remote biometric(s) identity and privilege (BIOTOKEN)
US8775814B2 (en) Personalized biometric identification and non-repudiation system
US11556617B2 (en) Authentication translation
US20130042111A1 (en) Securing transactions against cyberattacks
CN110291755B (zh) 受信密钥服务器
JP2017519412A (ja) 認証装置の登録のための強化されたセキュリティ
US20130088327A1 (en) Template delivery type cancelable biometric authentication system and method therefor
US20140258718A1 (en) Method and system for secure transmission of biometric data
US11868457B2 (en) Device and method for authenticating user and obtaining user signature using user's biometrics
US10574452B2 (en) Two-step central matching
JP2021093063A (ja) 情報処理装置、認証システム、情報処理方法、および認証方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211115

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20220208

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220913

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221212

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230328

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230623

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230704

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230726

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230808

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230823

R150 Certificate of patent or registration of utility model

Ref document number: 7337817

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150