JP4673065B2 - アイデンティティの秘密保護された生物測定学的検査 - Google Patents

Description

本発明は、アイデンティティの秘密が保護された生物測定学的検査に関する。

本出願は、この明細書においてその全体が参考文献とされている暫定的な米国特許出願第60/409,716号（2002年9月10日出願）、米国特許出願第60/409,715号（2002年9月10日出願）、米国特許出願第60/429,919号（2002年11月27日出願）、米国特許出願第60/433,254号（2002年12月13日出願）および米国特許出願第60/484,692号（2003年7月3日出願）に基づいており、また、これらについて優先権を主張している。

コンピュータ化、とくにインターネットテクノロジーは金融データ、医療データ、個人データを含むデータへの非常に高いアクセス性を、秘密データが更新され、あるいは交換される金融およびその他の取引を迅速に処理する手段により提供している。

パスワードは一般に、このようなデータの機密性を保持するために使用されている。しかしながら、パスワードは、簡単に推測され、秘密保護について全く安全ではない誕生日または電話番号に基づいていることが多い。さらに、ランダムに発生された複雑なパスワードでさえ容易に盗まれることがしばしば可能である。したがって、パスワードベースのデータアクセスシステムは犯罪性のアタックを受け易く、その結果産業や経済、さらには人命にさえ危険およびダメージが及ぶことになる。したがって、データをその秘密について保護し、そのデータを許可されていないアクセスから保護する改良された方法が必要とされている。

生物測定学的データは、捕捉は困難であるが、解析が容易な正確な詳細（一連の指紋の詳細のような）または捕捉は容易であるが解析が困難な全体的なパターン（隣接した指紋の渦巻きの空間的特性のような）を含むことができる。

許可されたユーザだけが利用可能な１つのデジタル鍵を必要とする暗号化アルゴリズムが存在する。適切な鍵がなければ、かなりの量の時間と処理リソースを費やさない限り、その暗号化されたデータは使用可能なフォーマットに解読されることができず、それは暗号化されていないデータのある特性が知られている（あるいは少なくとも予測可能である）場合であってすら同様である。

サイトウ氏による公開された日本国特開昭60-029868号（1985年2月15日）には、カード保持者から得られた暗号化された生物測定学的データを登録するために集積メモリを備えたアイデンティティカードを使用する個人識別システムが教示されている。生物測定学的データには、声紋、指紋、身体的外観および、または生物学的分析評価が含まれる。使用において、カード上のデータは読取られ、そのカードを提示した人物から捕捉された対応したデータとの比較のために解読される。このようなシステムは、登録された個人が高度の正確さで明確に識別されることを可能にする。しかしながら、生物測定学的データは外部装置によって獲得されて処理されるため、カード上に記憶されている情報を変更不可能にし、および、またはアイデンティティを窃盗から保護することが困難である。

カード上に記憶されている生物測定学的データを暗号化すると共に隔離するハードウェアファイヤウォールを提供し、それによってその記憶されているデータを許可されていない変更から実質的にさらに高いセキュリティで保護するためにデータ駆動マルチプロセッサチップをカード上に含んでいる改良された識別カードが提案されている。しかしながら、実際の整合プロセスは、生体の生物測定学的データを捕捉した同じ外部読取端末上で行われ、したがって依然として潜在的に外部からの不正操作を受ける可能性を有している。

高いセキュリティの識別カードの第１の実施形態は、記憶された生物測定学的データのためのオンボードメモリだけでなく、生の生物測定学的データを捕捉するオンボードセンサもまた備えている。遠隔認証システムは、生物測定学的データを含んでいる秘密保護された安全なデータベースを維持する。カード上のオンボードプロセッサは予備的な整合動作を行って、捕捉された生物測定学的データが局所的に記憶されている生物測定学的データに一致することを検査する。局所的な整合検査の結果が肯定的であった場合にのみ、追加の確認の検査を行い、さらに処理するために、捕捉されたデータまたは取り扱いに注意を要する記憶されているデータが遠隔認証システムに送信される。悪意のあるアタックからさらに保護するものとして、局所的に記憶されたデータは遠隔的に記憶されたデータと異なっていることが好ましく、異なった整合アルゴリズムを使用して局所的な整合および遠隔的な整合が行われることが好ましい。したがって、カード、局所的に記憶されたデータおよび、またはそのカードが接続されているローカル端末が危険にさらされた場合でさえ、遠隔認証システムが依然として侵害行為の試みを検出することが可能である確率は高い。

第２の実施形態もまた、記憶された生物測定学的データのためのオンボードメモリと、生の生物測定学的データを捕捉するオンボードセンサと、およびオンボードプロセッサとを備えている。しかしながら、この実施形態においては、整合プロセス全体がオンボードプロセッサによって行われ、オンボードメモリ中に記憶されているオリジナルに捕捉されている生物測定学的データおよび任意の他の“秘密”情報は共に、如何なる外部処理に対しても利用可能にされていない。その代わり、新しく捕捉された生物測定学的データと前に捕捉された生物測定学的データとの間における整合の成功に応答して確認メッセージが発生されるだけである。確認メッセージにより、カードは通常の個人識別番号（ＰＩＮ）の入力の成功／不成功時に通常のＩＳＯスマートカードに類似した方式で、しかし秘密保護に関してさらに安全な検査プロセスによって付加的なセキュリティを与えられて機能する。これらの両実施形態において、記憶されている生物測定学的データおよび任意の関連した局所的に記憶されている暗号化アルゴリズムまたは暗号化鍵は、カード所有者に最初に発行したときに任意の後続する外部アクセスを阻止する方式でカードにロードされ、それによって記憶されている生物測定学的データの完全性および検査プロセス全体の完全性をさらに強化することが好ましい。

１実施形態において、ＩＳＯスマートカードは、保護された生物測定学的データの記憶および処理を行うために使用されるセキュリティプロセッサを悪意のある外部アタックからＩＳＯスマートカードインターフェースによって保護するファイヤウォールとして機能する。別の実施形態においては、セキュリティプロセッサはＩＳＯスマートカードインターフェースと変更されていないＩＳＯスマートカードプロセッサとの間に挿入され、ユーザの指紋が前に登録された指紋と一致するまで何等の外部通信も阻止する。

オンボード指紋整合能力を備えた高いセキュリティの識別カードの好ましい１実施形態においては、ユーザが彼の指を指紋センサ上で操作している期間中に実時間フィードバックが行われ、それによってそのセンサ上に指を最適に位置させることを容易にする。このフィードバックは、計算上の複雑さを減少させるだけでなく、未経験のユーザと不正なユーザとを弁別する付加的な手段もまた提供し、それによって誤った否定および、または誤った肯定の確率をさらに減少させる。別の好ましい実施形態においては、付加的なスチフネスを提供する支持体内に指紋センサが保持される。

１つの例示的な適用において、捕捉された生物測定学的データおよび、またはカード所有者のアイデンティティの表示は暗号化され、機密データへのオンラインアクセスの任意の許可または秘密保護された安全な取引を終了する任意の自動プロセスの前に、金融機関および分離した認証サーバを含む取引ネットワークに入力される。別の例示的な適用においては、カードからの出力は、秘密保護された安全な区域に物理的にアクセスするために使用される。いずれの適用においても、アクセスの試みの成功または不成功の記録は、カードまたは外部セキュリティサーバのいずれか、あるいは両方において保持されることができる。

スマートカード
“スマートカード”または“インテリジェントカード”という用語は、ここでは、手で把持され、首の回りに装着され、あるいは、そうでなければ、その人物により携帯されるように十分に小さく、また、ある個人のカード保持者に関する、あるいは、そうでなければ、その人物に関連したデジタル的に符号化された情報の記憶、処理および通信を行うことのできるマイクロプロセッサを含む任意の物理的な対象物を示すために一般的な意味で使用されている。このようなスマートカードの１つのよく知られている例はＩＳＯ（国際標準化機構）スマートカードであり、これは通常のクレジットカードと同じ物理的寸法および形状を有しているが、しかし特定ユーザ向けデータを記憶するためのフラッシュメモリと、パワフルな暗号化アルゴリズムによりプログラムされることのできるマイクロプロセッサとを含んでおり、このマイクロプロセッサは、ユーザ端末から受信されたＰＩＮ（個人識別番号）がこのカード上に記憶されている暗号化されたＰＩＮに一致したか否かを示し、それによってこのカードを提示した人物が本当のカード所有者であることに関する信頼度は、署名および、または物理的な類似の視覚的な比較だけに依存する検査システムで可能であるよりも高いものとなる。

以下、オンボード生物測定学的検査が行われるそのスマートカードの１実施形態を示している図１を参照とする。カード100は一般にプラスチック材料から形成され、ほぼ５３．９８×８５．６ｍｍのＩＳＯ７８１６において指定されている近似的な大きさおよびほぼ０．７６ｍｍ以上の厚さの通常のクレジットカードと同様の全体的外観を有している。

通常のクレジットカードと同様に、カード100は磁気ストライプ（ＩＳＯ７８１１−２＆７８１１−６により指定されている）をカードの後面上に支持するためにカードの横幅全体に沿って延在するフリーの上方領域102を含んでおり、この磁気ストライプ上には、カード保持者および任意の関連した口座に関する通常符号化された英数字情報が記憶されることができ、それによってカード100が通常の磁気ストライプ読取装置において使用されることを可能にする。しかしながら、磁気ストライプに埋込まれた任意のデータは容易に変更されることができるため、このような磁気ストライプは、古い磁気ストライプベースの端末との逆適合の必要性が、磁気ストライプがシステムにもたらす潜在的なセキュリティの低下より重要なある適用での使用だけを意図されたものである。

この上方領域102はまた、カード保持者の不正変更防止のカラー写真および、またはカード発行者のホログラフロゴのような種々の詐欺行為予防手段をサポートするために使用されてもよい。カード100の下方領域104は、カード保持者の氏名、数字による口座（またはカード）識別名および有効期限のような浮き彫りにされた情報（ＩＳＯ７８１１−１により指定されている）のために慣例的なやり方で使用されることが可能であり、それによってカード100が通常のカード刻印機において使用されることが可能になる。

上方領域102および下方領域104は、８個の可視ＩＳＯスマートカードコンタクトパッド108のセットが埋込まれた中間領域106によって分離され、これらコンタクトパッド108はカードとカード読取装置上の対応したコンタクトとの間に便利な電気接続を提供する。この手段により、読取装置とＩＳＯ７８１６−３において指定されているカードとの間においてデータだけでなく、電力、タイミングおよび制御信号もまた交換されることができる。

領域106の右側には、指紋データをカード保持者の指から捕捉するために使用されるセンサパッド110が認められる。カードは、たとえば、通常のＩＰおよび、またはＭＡＣアドレスのフォーマットでのコード等の、センサ110またはそのカードに埋込まれている他の電子コンポーネントに特有であるＩＤコードを備えていることが好ましい。

図１には、コンタクトパッド108およびセンサ110と協同して、その他の方法で可能なもの優れた機能、とくに、良好なセキュリティを提供する複数の付加的な電子コンポーネントもまた概略的に示されている。

１実施形態において、ＩＳＯスマートカード適合プロセッサ112は、ＩＳＯコンタクトパッド108に直接接続されて外部ＩＳＯ適合カード読取装置（示されていない）との電気接続を提供し、それによって電力をオンボード電子装置に供給するだけでなく、カード読取装置上でまたはこのカード読取装置とネットワークされた任意の関連した計算装置上で実行中の任意の外部通信ソフトウェア、セキュリティソフトウェアおよび、またはその他のアプリケーションソフトウェアとカードとの間でデータのやり取りをする手段を提供する。

示されている実施形態においては、カード100と外部カード読取装置との間のデータ路はＩＳＯ指定スマートカードコンタクト装置を使用する配線式接続の形態であるが、別の実施形態では、ＵＳＢまたはＲＳ２３２ＣまたはＳＰＩ（直列）接続のような別の伝送技術もまた、おそらく無線ＲＦ（無線周波数）、マイクロ波および、またはＩＲ（赤外線）通信リンクによって使用可能であることを理解すべきである。

また、記載されている実施形態はカード読取装置から電力を受取るが、別の実施形態は太陽電池または電池のようなオンボード電源を有することができる。このようなオンボード電源は、たとえば、カード100と特定のタイプのカード読取装置との間の機械的インターフェースは、コンタクト108がカード読取装置内の対応した接続部に接続されたときにユーザが指紋センサ110にアクセスできず、したがってカード100がカード読取装置に直接接続されていないときはそのユーザの指紋データが捕捉されなければならないようなものである場合等に有効である。

セキュリティプロセッサ
示されているように、セキュリティプロセッサはＩＳＯプロセッサ112とセンサ110との間に接続され、捕捉されたデータの秘密保護された安全な処理および記憶を行うと共に、以下に説明するように、秘密保護された安全な“ファイヤウォール”を提供して、その専用メモリ中に記憶されているデータおよびプログラムをＩＳＯプロセッサ112を介した不正アクセスの試みから保護する。このようなファイヤウォールは、前に記憶された指紋パターンから抽出されたデータあるいはＣＰＵ番号または指紋センサ番号のような特有に割当てられた装置番号のような、特有に割当てられたネットワークアドレスに基づいているか、あるいはそうでなければ特定のカードに特有である暗号化鍵を使用して暗号化されたデータだけを通過させるように設計されてもよい。別の実施形態において、ファイヤウォールは、前の伝送またはデータからの特有の識別データを含むデータだけを通過させる。さらに別の実施形態においては、ファイヤウォールは異なったアプリケーションに対して異なった鍵を保持し、これらの鍵を使用してデータを異なった各プロセッサまたはメモリ区分に送る。

別の実施形態（示されていない）において、セキュリティプロセッサ114はＩＳＯコンタクト118に直接接続され、ＩＳＯプロセッサ112とＩＳＯコンタクト108との間の秘密保護された安全なゲートキーパーとして動作する。このような別の構成には、ＩＳＯプロセッサ112中にすでに組込まれている可能性のある如何なるセキュリティ特徴とも妥協することなしに、セキュリティプロセッサ114およびセンサ110により付加的なセキュリティが提供されるという利点がある。

セキュリティプロセッサ114は、前に登録された指紋パターンおよび、またはその他の個人の生物測定学的情報を記憶するＦＲＡＭ、ＯＴＰ、Ｅ²ＰＲＯＭ、ＭＲＡＭ、ＭＲＯＭのような不揮発性の半導体または非半導体メモリを含んでいることが好ましい。別の実施形態においては、セキュリティプロセッサ114の機能のいくつかまたは全てがＩＳＯプロセッサ112において実施されることが可能であり、および、またはＩＳＯプロセッサ112の機能のいくつかまたは全てがセキュリティプロセッサ114において実施されることが可能である。このような１つの組合せ構成は依然として種々の機能間のソフトウェアファイヤウォールを維持し、これは、とくに、記憶されているソフトウェアプログラムへの後続的な変更を許さないプロセスによりその装置が構成されていた場合に有効である。その代わりに、プロセッサ112および114の両者は、各プロセスを異なるプロセッサにおいて実行中の別のプロセスからの干渉から保護するように設計された単一のマルチプロセッサ装置内の別々のプロセッサであることができる。このようなマルチプロセッサ装置の一例は、日本のシャープ社製のＤＤＭＰ（データ駆動マルチプルプロセッサ）である。

これらの種々のセンサ、コンタクトおよびその他の電子コンポーネント、ならびにそれらが相互接続されている印刷回路その他の電気配線は全て、それらが侵蝕および外部汚染から保護されるようにカード100の本体内に完全に組込まれていることが好ましいが、それらは上方領域102と下方領域104との間の中間領域106内の好ましい位置によりそれらの別の領域と機械的にインターフェースする通常の磁気ストライプ読取装置、浮き彫り装置および刻印機から受ける可能性のある損傷からさらに保護される。

ＬＥＤフィードバック
ＬＥＤ116aおよび116bはセキュリティプロセッサ114により制御され、ユーザに可視フィードバックを提供する。示されている実施形態においては、それらは下方領域104内の好ましくはカードの、コンタクトパッド108と反対側の、サイドエッジの位置に配置されている。いずれにしても、ＬＥＤ116a、116bは、それらが浮き彫りプロセス期間中に損傷を受けない場所であって、かつ、カードが通常のＩＳＯスマートカード読取装置中に挿入されたときおよび、またはユーザの指が指紋センサ上110に置かれているあいだ、それらが見える場所に配置されていることが好ましい。たとえば：
検査確認モードにおいて：
・赤色明滅：指を待っている
・明滅の停止：指がセンサ上に置かれた
・一度の赤色明滅：整合不可能、指を動かしてもよい
・一度の長い緑色明滅：整合された、指をどけてもよい
登録モードにおいて：
・緑色明滅：指を待っている
・明滅の停止：指がセンサ上に置かれた
・一度の赤色明滅：登録不可能、指を動かしてもよい
・一度の緑色明滅：登録された、指をどけてもよい
消去モードにおいて：
・緑色および赤色明滅：消去準備完了
・一度の緑色明滅：消去された

ユーザは、否定的な報告が送信される前に、整合または登録の成功のために彼の指を位置する多くの機会を与えられることが好ましい。１実施形態においては、緑色のオーケー表示を受取る前にユーザが彼の指をどけた場合あるいは予め定められた時間限界を超えた場合にのみ、否定的な報告が認証サーバに送信される。このようなプロセスにより、ユーザはセンサ上で彼の指を最適に位置するように訓練され、それによって計算の複雑さが減少するだけでなく、もっと多くの弁別しきい値を使用することが可能になる。この可視フィードバックはまた、未経験のユーザ（典型的に彼が適切に位置させることができるまで試行し続ける）と不正ユーザ（典型的に注意を引くことを望まず、彼の悪意のある意図に気づかれないうちにその場を離れる）とを弁別するための心理的ベースを提供する。最終的な結果として、誤った否定および、または誤った肯定の確率は著しく減少する。

図２は、ユーザが彼の指をセンサ110上に置くのを助ける例示的なプロセスを示している。ブロック150において、赤色ＬＥＤ116bは明滅している。指が検出される（ブロック152）と、ＬＥＤは明滅するのを止めて、イメージ品質（指の皮膚の先と付け根とに対応する規定された細長い領域）のテストが行われる（ブロック154）。その品質が不十分である場合（ノーの分枝156）、赤色ＬＥＤ116bは一度明滅することによりユーザに彼の指を別の位置に移動するように命令する（ブロック158）；そうでない場合（イエス分枝160）、そのユーザを登録するために使用されたのと同じ指が同じ位置に置かれたか否かを決定するために第２のテストが行われ（ブロック162）、その結果、比較的簡単な整合アルゴリズムにより、生体のデータが記憶されているデータに予め定められたしきい値範囲内において一致することが確認され、それによって生体の指が初めに登録された指と同じである（イエス分枝164）ことを確認することができ（イエス分枝164）、緑色ＬＥＤが起動され（ブロック166）、それは整合が成功したのでユーザは彼の指をどけてもよいことを確認するのに十分な時間のあいだ行われる（ブロック168）。その代わり、整合しきい値は満足されない場合（ノー分枝170）、赤色ＬＥＤ116bは一度明滅することよりユーザに彼の指を別の位置に移動するように命令し（ブロック158）、このプロセスが繰返される。

例示的なネットワークアーキテクチャ
次に、秘密保護された安全な識別カードを提示した人物のアイデンティティの局所的および遠隔的な両方の確認検査を行うことのできる生物測定学的検査システムの可能な１実施形態が示されている図３を参照する。それは、クライアント端末200、アプリケーションサーバ202および認証サーバ204の３つの主要なコンポーネントを含んでいる。クライアント端末200は、ユーザの指紋のライブ捕捉および局所的処理を行い、局所的に処理されたデータの暗号化を行い、アプリケーションサーバおよび認証サーバとの秘密保護された安全な通信を、好ましくはＩＰ／ＴＣＰアドレス指定方式および伝送プロトコルを使用してインターネットによって行い、通常のＩＰファイヤウォール206により不正アクセスから保護される機能を備えている。別の実施形態において、ファイヤウォール206は、送信されたデータが許可されたデータであることを確認された後にそれを符号化し、受信されたデータが本当に許可されたデータであるか否かを、たとえば、ＤＥＳ128のような暗号化アルゴリズム使用して決定する前にそれを復号するフィルタおよび暗号化エンコーダ／デコーダを備えることができる。これによって、ファイヤウォール206は、メッセージヘッダだけでなくメッセージ内容にも基づいてデータを許可されたものまたは潜在的に悪意のあるものとして分類することができる。

クライアント端末200は専用ウェブアプライアンスとして構成されてもよいし、あるいはＷｉｎｄｏｗｓ（Ｒ）ＸＸＸ、ＯＳ Ｘ、ＳｏｌａｒｉｓＸＸ、ＬｉｎｕｘまたはＦｒｅｅＢＳＤのような汎用オペレーティングシステムによって制御されるプログラム可能なデスクトップ、ノートブックまたは他のワークステーションあるいはパーソナルコンピュータ上にインストールされたソフトウェアで構成されることができる。クライアント端末200は、セキュリティの付加的な手段を提供する最新“否定”データベース（たとえば、紛失した、あるいは盗まれたカードのアイデンティティ、または特定のカードまたはカードのグループに対する制限等）を含んでいることが好ましい。

アプリケーションサーバ202は、認証サーバ204によってユーザのアイデンティティが確認された後に、取引を行うか、あるいは、そうでなければクライアント端末200における遠隔ユーザからの命令に応答する機能を備えている。認証サーバ204は、クライアント端末200およびアプリケーションサーバ202の両者と秘密保護された安全な通信を行い、認証指紋データおよび前に登録されたユーザに関する他の情報を記憶し、その記憶されたデータを、クライアント端末200から受信された暗号化された生のデータと比較して、特定された生のデータが特定された記憶された指紋データと一致するか否かをアプリケーションサーバ202に知らせる機能を備えている。

とくに、クライアント端末200はさらに、インターネットブラウザ端末210とカード読取装置インターフェース108a（それはＩＳＯスマートカードコンタクトパッド108との各電気接続を形成する１組の電気コンタクトにおいて終端している簡単なＵＳＢケーブルであってもよい）を含むコンポーネントである固定されたカード読取装置208と、ポータブルスマートカードコンポーネント100’の２つの主要なコンポーネントを備えている。１実施形態において、ポータブルコンポーネント100’は、指紋センサ110、セキュリティプロセッサ114およびＩＳＯスマートカードプロセッサ112を含んでいる上述したスマートカード100であってもよい。

アプリケーションサーバ202はさらに、ファイヤウォール206およびインターネットブラウザ214ならびに取引アプリケーションモジュール216および妥当性検査モジュール218を含むインターネットサーバインターフェースを含んでいる。アプリケーションサーバおよびアプリケーションモジュール216がＩＰ／ＴＣＰプロトコルにより外部と通信するようには設計されなかった継承（ｌｅｇａｃｙ）装置である場合、ファイヤウォール206は、妥当性検査モジュール218の組込みを行うと共に固定されたＩＰアドレスを有している適切なプロトコル変換装置で置換されてもよい。アプリケーションサービスサーバは、たとえば、サービスをインターネットによって許可されたユーザに自ら進んで提供する第３パーティによって動作されてもよい。

認証サーバ204はさらに、インターネットサーバインターフェース220と、指紋整合アルゴリズム224を含む処理モジュール222と、個人がそのシステムに登録され、彼等のアイデンティティがそのシステムのオペレータを満足させるものであると保証されたときにそれら個人から収集された指紋およびその他の認識情報を記憶するデータベース226とを備えている。セキュリティをさらに強化するものとして、任意の特定の個人に対する記憶されたデータは情報の単一のシーケンスとしてアプリケーションサーバ上に記憶されるのではなく、むしろ各項目が分離して記憶されることが好ましく、これらの項目を結びつける任意の必要とされる索引または関係は、その個人の秘密データの一部として認証サーバ中に保持されている対応した鍵によってのみアクセス可能である。

位置
ある実施形態においては、固定された読取装置208および、またはポータブルカード100’’はまた、ある特定の取引が行われた時の読取装置およびカードの現在の位置に関する有用な情報を提供することのできる集積ポジショニング衛星（ＧＳＰ）受信機212を備えていてもよい。とくに、ＧＰＳ受信機212からの位置データは、読取装置および、またはカードがその使用の許可されていない位置に移動された場合にその読取装置および、またはカードを動作不能にする（永久的にまたは一時的に）ために使用されてもよい。位置はまた、ＧＰＳ以外の手段によって、たとえば、ＰＨＳ（日本国のセルラー電話）発信元位置決定技術、または地球の電磁界のローカル変化に応答するロケーションセンサを使用して自動的に決定されることができる。ＧＰＳを備えたカードの特定の場合においては、アンテナ、信号増幅、ＡＤ変換器およびサンプリングおよび保持回路、ならびに位置を計算するためのデジタルプロセッサを含む種々のＧＰＳコンポーネントは、カードの本体と統合され、そこに埋込まれ、あるいはその上に積層にされた単一の集積回路の、または単一の回路板上に取付けられたディスクリートな装置の全ての部分であることが好ましい。

オンボード整合ＩＳＯプロセッサインターフェースを備えたＩＳＯカードに対するカードアーキテクチャ
図４は、カード保持者の生物測定学的データの最初のロード期間中および遠隔地アプリケーションへのカード保持者のアイデンティティの検査期間中に使用される異なった物理的データ路を備えた例示的なＩＳＯスマートカードコンパチブル生物測定学的検査カード100または100’の機能ブロック図である。

とくに、上述したＩＳＯプロセッサ112、セキュリティプロセッサ114、指紋センサ110、ＬＥＤ116a、116bおよびオプションのＧＰＳ受信機212に加えて、ＩＳＯプロセッサ112だけがＩＳＯスマートカードコンタクトパッド108を介してカード読取装置208に直接接続された状態で、分離したロードモジュール300および関連した一時的接続302が示されており、この一時的接続302は最初のユーザ登録期間中にセキュリティプロセッサ114との直接的な通信を提供する。ＩＳＯプロセッサ112はＩ／Ｏポート304、306によってセキュリティプロセッサ114と通信し、一方一時的なロード接続302は分離したＩ／Ｏポート308に接続されていることが認められる。セキュリティプロセッサは、取り扱いに注意を要する任意のセキュリティ関連データまたはソフトウェアがポート304および306からではなくポート308からのみアクセス可能であり、それによって接続302がディスエーブルされた後、これらの取り扱いに注意を要するデータへの悪意のあるアクセスの可能性を回避するようにプログラムされることが好ましい。

入手可能な大部分のＩＳＯプロセッサは少なくとも２つのＩ／Ｏポートを有しており、いくつかは少なくとも３つのＩ／Ｏポートを備えている。外部ＩＳＯコンパチブルカード読取装置208への通常のＩＳＯスマートカード直列データ接続108に対して、これらのポートの１つ（Ｉ／Ｏ１）だけが示されている。余分な１または２つのＩ／Ｏポートは、ＩＳＯプロセッサ112とセキュリティプロセッサ114との間に専用ハードワイヤード通信を提供することが好ましく、それは、セキュリティプロセッサ114を再プログラムしようとする、あるいはセンサ110によって前に捕捉された、あるいはそうでなければセキュリティプロセッサ114内に記憶されている取り扱いに注意を要する情報にアクセスしようとする悪意のある試みを阻止するハードウェアファイヤウォールとして働く。３つ以上のＩ／Ｏラインを備えたＩＳＯプロセッサの特定の場合においては、セキュリティプロセッサが完全にパワーダウンされているときでさえ、ＩＳＯプロセッサとセキュリティプロセッサとの間の専用通信路上における静的状態情報の、（１）準備完了、（２）ビジー、（３）失敗、および（４）合格のような３以上の状態を提供することが可能である。当然ながら、１つのＩ／Ｏポートしか利用できない場合でも、これら４つの状態は直列データとして動的に送信されることができる。

ＩＳＯ ＣＰＵとセキュリティＣＰＵとの間においてＩＳＯインターフェースＩ／Ｏ２およびＩ／Ｏ３を介して送信されることのできる可能なコマンドおよびデータには、以下のものが含まれる：
・ユーザを登録し、あるいは認証するためのコマンドであって、これに対してセキュリティＣＰＵは局所記憶および、または遠隔アプリケーションへの送信のために登録の結果または認証の結果を送る。
・テンプレート（基準）としての指紋情報は、遠隔アプリケーションへの送信のためにＩＳＯスマートカードメモリ中に記憶されるためにセキュリティＣＰＵからＩＳＯ ＣＰＵに送られることができる。取り扱いに注意を要する個人情報のセキュリティを高めるために、基準データはそれがＩＳＯ ＣＰＵに送られる前にセキュリティＣＰＵによって暗号化されることができる。

ロード接続302は、セキュリティＣＰＵ114にもまたパワーを利用できるようにＩＳＯ ＣＰＵ112とＩＳＯ読取装置208との間の通信をおそらく保持しながら、ファイヤウォール保護を与えられたＩＳＯ接続および関連した専用Ｉ／Ｏ304および306をバイパスしてセキュリティＣＰＵ114への直接接続を提供する。それは主として特定のユーザへのカードの最初の登録期間中に使用され、許可されていないアクセスから保護されなければならない。

図５は、変更されていないＩＳＯスマートカードＣＰＵによる使用を意図された図４の例示的な生物測定学的検査カードの別の実施形態を示している。とくに、ＩＳＯ ＣＰＵ112’は、通常の使用中またはロード中のいずれの期間中も、もはやカード読取装置208とセキュリティＣＰＵ114’との間の如何なるゲートウェイ機能も行ってはならず、したがって、それは、何の変更もなされず、カード読取装置208および任意の外部アプリケーションの両者に対して絶対的に透明である方法でのみ使用される任意のＩＳＯ認可チップであることができる。このような別の実施形態においては、セキュリティＣＰＵ114’は、捕捉された指紋が記憶されている指紋に一致した場合にはＩＳＯ ＣＰＵ112’と任意の外部アプリケーションとの間の透明なファイヤウォールとして動作し、また、捕捉された指紋が記憶されている指紋に一致しなかった場合にはこのような通信を全て阻止する。

カード初期化および記憶されているデータの保護
ギロチン
１実施形態において、オリジナルな製造されたカードは、セキュリティＣＰＵおよびＩＳＯインターフェースの少なくとも一部分および、またはディスクリートなオンボードメモリへの直接接続を提供する突出した印刷回路拡張部を有している。この直接接続インターフェースはカードのテストおよび指紋データの登録のためだけに使用され、登録プロセスをエネーブルする信号を含んでいる。この回路拡張部は、登録が完了した後、これ以上登録することが不可能であり、セキュリティＣＰＵメモリがＩＳＯ ＣＰＵおよびこのＩＳＯ ＣＰＵとセキュリティＣＰＵとの間の上述したファイヤウォールを介してのみアクセスできるように機械的に切断される。

ヒューズ
別の実施形態において、セキュリティＣＰＵは、登録された指紋パターンが一度書込まれるとアクセス不可能になる１つのタイプのメモリを有している。このようなメモリの一例は、構成がＥＥＰＲＯＭに類似しているがＵＶには不透明であるため消去されることのできないワンタイムＰＲＯＭ（“ＯＴＰ”）である。別の例は、登録が完了した後に、たとえば、エネーブルまたはアドレスあるいはデータ信号路の一部に物理的な破断（“ヒューズ”）を形成するように十分な電流をその信号路の一部分に与えることによって読取専用にされるフラッシュＲＯＭである。

例示的な認証プロセス
１実施形態において、例示的な認証プロセスは、物理的な指紋データを、たとえば、アプリケーションサービスサーバに接続するためにアクセスする人物により使用されるクライアント端末において光学、圧力、導電性、容量性、音響的、弾性または写真技術等を使用して捕捉することを含んでおり、この物理的な指紋データはその後分離した指紋認証サーバに送られる（好ましくは、暗号化された形態で）。指紋認証サーバは捕捉された指紋データを認証ソフトウェアを使用して、登録されたユーザの指紋データを含む指紋ファイルと比較し、データが一致した場合は認証サーバはエネーブル命令をアプリケーションサービスサーバに送る。

別の実施形態において、ユーザは、氏名、住所および誕生日のような個人データと共に全ての指紋がそこに予め登録される指紋のファイルを含んでいる指紋認証サーバの秘密保護された安全なウェブブラウザにアクセスする。ＨＴＴＰＳフォーマットのような秘密保護された安全なプロトコルによってユーザがアクセスしている秘密保護された安全な指紋認証サーバは、その後ユーザの指紋をクライアント端末で捕捉せよという命令をクライアント端末に送る。クライアント端末のブラウザにより表示された命令に応答して、ユーザは彼の選択した指を指紋センサ上に置き、クライアント端末内に存在する指紋捕捉ソフトウェアが、たとえば、２５ミクロン乃至70ミクロンピッチ解像度および１２．５ｍｍ²乃至２５ｍｍ²の面積を有すると共にさらに８ビットグレースケールを有している画素ベースのイメージ等のデジタル指紋を捕捉する。

秘密保護された安全な指紋認証サーバは、ユーザＩＤおよびインターネットＩＰアドレスおよび、または指紋センサ個人コード（ＭＡＣアドレス）および、またはクッキーおよび、または任意の固有コードあるいは特定の個人または端末を識別する他の情報（たとえば、クライアント端末と秘密保護された安全な指紋認証サーバとの間の前の会話からの詳細）と共に指紋データを受取り、その後それはその受取られた指紋データを、認証ソフトウェアを使用して、ユーザＩＤを、氏名、住所、誕生日、犯罪暦、運転免許証、社会保証番号のような個人情報と共に予め登録された指紋データである指紋ファイルと比較し、これは詳細（ｍｉｎｕｔｉａｅ）比較であることが可能であり、および、または高速フーリエ変換比較であることができる。

認証プロセスの始まりにおいて、関連したアプリケーションに対してウェブサーバ214は視覚的または聴覚的にユーザに彼の指を指紋捕捉センサ110上に置いて彼のマウスボタンをクリックするか、あるいはキーボードキーを押し、それによってセキュリティプロセッサ114中の指紋捕捉ソフトウェアに知らせるように命令する。そのあと、ユーザの捕捉された指紋データは暗号化されたフォーマット（たとえば、秘密保護された安全なＲＡＳ暗号化伝送プロトコルＨＴＴＰＳを使用して）でクライアント端末200のＩＳＯプロセッサ112およびウェブブラウザ210を介して指紋認証サーバ204のウェブサーバ220に送られる。捕捉されたデータがデータベース226中の対応したデータと成功的に一致した場合、指紋認証サーバ204はそのユーザのアイデンティティをクライアント端末200およびアプリケーションサーバ202の両者に対して有効なものにする。

以下、図３を参照として３ウェイ認証プロトコルおよびワンタイムパスワードをハッシュ文字符号化シーケンスとして使用する例示的な好ましい実施形態を説明する。
・クライアント端末200のウェブブラウザ210は、アプリケーションプロセス216にアクセスするリクエストによりアプリケーションサーバ202の対応したウェブインターフェース214にアクセスする。
・アプリケーションサーバ202のウェブインターフェース214は、アプリケーションプロセス216にアクセスするためのログインスクリーン情報および関連した命令で応答する。
・クライアント端末200はＩＳＯプロセッサ112にセキュリティプロセッサ114を起動するように命令する。
・ＩＳＯプロセッサ112はセキュリティプロセッサ114をトリガーする。
・セキュリティプロセッサ114は指紋センサ110からの指紋データを待機し、有効なデータが受信されたとき、ＩＳＯプロセッサ112を介してウェブブラウザ210に転送されたデジタル指紋パターンを抽出する。
・ウェブブラウザ210は、ユーザＩＤ、クライアント端末200のＩＰアドレス、および、またはセンサ110のハードワイヤードＩＤコード（ＭＡＣアドレス）のような関与するカード100’およびカード読取装置208に関する関連情報を伴って（あるいは、それにより暗号化されて）、抽出された指紋パターンの暗号化されたバージョンを認証サーバ204に送信する。
・認証サーバ204のウェブインターフェース220は、抽出された指紋パターンをクライアント端末200からその他の情報と共に受取るとき、その情報を指紋整合プロセッサ222に転送する。
・整合ソフトウェア224の制御の下で、指紋整合プロセッサ222は受信されたユーザＩＤまたはその他のユーザに特定の関連情報を使用して対応した基準指紋パターンをデータベース226から検索し、捕捉された指紋パターンをその基準指紋パターンと比較する。
・その結果（一致した、あるいは一致しなかった）は端末200、ユーザＩＤカード100’およびリクエストしたアプリケーション216を識別する関連情報と共にアクセス履歴ログ中に記憶され、制御が認証サーバウェブインターフェース220に戻される。
・結果が一致であった場合、認証サーバウェブインターフェース220は、クライアント端末200に送信されるワンタイムパスワードをチャレンジ文字シーケンスの形態で発生し、また、そのチャレンジ文字シーケンスをハッシュコードとして使用して、それが将来可能性のある参照基準に備えて対応したチャレンジ応答として保存する関連情報を暗号化する。
・クライアント端末200は受信されたチャレンジ文字シーケンスをハッシュコードとして使用して、前に記憶された暗号化されていない実行依頼された関連情報のコピーを暗号化し、その後これをアプリケーションサーバ202のウェブインターフェース214にアプリケーションログインプロセスへのその応答の一部として転送する。
・アプリケーションサーバ202のウェブインターフェース214は、ハッシュ変換された関連情報を受信すると、それをアプリケーションサービス216に転送し、このアプリケーションサービス216がこれをクライアントサーバからの進行中のログオンの試みと関連付け、また、その一致した結果を確認するために、認証サーバによりチャレンジ応答として提供されたチャレンジシーケンスを使用してクライアント端末によりハッシュされたその受信された関連情報を転送する。
・認証サーバ204のウェブインターフェース220は、チャレンジ応答をアプリケーションサーバから受信すると、その応答を認証プロセス222に転送し、この認証プロセス222がこれを、予測されたチャレンジ応答の前に保存されたその基準コピーと比較し、そのユーザアイデンティティが実際に認証されているか否かを決定する。
・この比較から結果的に得られた認証されたユーザアイデンティティ情報はその後、アプリケーションサーバ202のアプリケーションサーバウェブインターフェース220および有効化インターフェース218を介してアプリケーションプロセス216に戻される。
・有効化インターフェース218はその認証を使用して、オリジナルなログオンの試みで設定されるそのユーザのアイデンティティが有効なものにされていることを確認する。
・ユーザのアイデンティティが確認されると、認証プロセス216はその後アプリケーションサーバ202のウェブインターフェース214を介してクライアント端末200のウェブブラウザ210と直接通信し始める。

図６は、全ての整合がセキュリティＣＰＵ114によって図４のＩＳＯコンパチブルカードに関して行われ、外部認証サーバ204は使用されない別の認証プロセスを示している。図６の左側には認証サーバ202により行われる機能が示されており、一方右側にはＩＳＯスマートカード100によって行われる機能が示されている。

スマートカード100がカード読取装置208中に挿入されたとき、リセット信号ＲＳＴがカード読取装置からＩＳＯ ＣＰＵ（スタートブロック502）および指紋ＣＰＵ114（指紋検査ブロック504）の両者に送られ、両者はカード読取装置208からパワーＶＣＣを受取る。その後、ＩＳＯ ＣＰＵはＡＴＲ（リセットに対する応え）メッセージで応答し、必要とされたときＰＰＳ（プロトコルおよびパラメータ選択）を送る（ブロック506）。同時に、指紋ＣＰＵは指紋データを受信するために待機状態になり、データがセンサ110から受取られたときに認証プロセスを行う（ブロック504）。

アプリケーション216によって最初のリクエストコマンドがＩＳＯ ＣＰＵ112に送られたとき（ブロック508）、ＩＳＯ ＣＰＵは認証状態をセキュリティＣＰＵに問合せる（ブロック510）。応答が肯定的であった場合、ＩＳＯ ＣＰＵはリクエストされたコマンドを実行することによりそのアプリケーションに応答する（ブロック512）。そうでない場合（セキュリティＣＰＵ114からエラーメッセージまたは応答なしのいずれか）、それはリクエストされたコマンドに応答せず、むしろ新しい第１のリクエストを待機する（ブロック508b）。

指紋は検査されて確認され、第１の応答がアプリケーション216によってタイムリーに受信され、応答していると決定された（ブロック514）と仮定すると、アプリケーションから１つのリクエストも受信されなかった予め定められた検査タイムアウトを超えるか（ブロック522）、あるいはアプリケーションが予測された応答の受信に失敗する（ブロック524）まで、リクエスト／応答プロセスは続行する（ブロック516、518、520）。

図７は図６のフローチャートに類似しているが、しかし図５の例示的な生物測定学的検査カードによる使用のために修正されたフローチャートである。図７の左端にはアプリケーションサーバ202によって行われる機能が示され、次の列は読取装置208に対応し、その次の列はＩＳＯコンタクト108を表し、次の列はセキュリティＣＰＵ114によって行われる機能を示し、右端には変更されていないＩＳＯスマートカードＣＰＵ112によって行われる機能が示されている：
・スマートカードがカード読取装置中に挿入されたとき、あるいはアプリケーションソフトウェアがカード読取装置の動作を開始させたいずれかのときに、リセット信号550がカード読取装置208からセキュリティＣＰＵ114に送られる。
・セキュリティＣＰＵがリセット信号550を受信した後すぐに対応したリセット信号552をＩＳＯ ＣＰＵ112に送る。同時に、セキュリティＣＰＵは指紋センサからの指紋データを待機する。
・ＩＳＯ ＣＰＵはリセット信号552を受信すると、ＡＴＲ（リセットに対する応え）応答554を行って、その後必要とされたときにＰＰＳ（プロトコルおよびパラメータ選択）を送る。
・セキュリティＣＰＵ114はＩＳＯ ＣＰＵからＡＴＲ（リセットに対する応え）を受信するとすぐに、これをカード読取装置に転送し（ブロック556）、これには任意の関連したＰＰＳコマンドが含まれている。
・その期間中に、セキュリティＣＰＵが指紋データを受信した場合、それは上述した認証プロセスを実行する。認証テストの結果が合格であった場合、その合格状態が特定の時間期間中保持される。結果が失敗であった場合、セキュリティＣＰＵ114は新しい指紋データを待機する。
・アプリケーションの実行時に、コマンドリクエスト558はセキュリティＣＰＵに送られ、このセキュリティＣＰＵはコマンドリクエスト560をＩＳＯ ＣＰＵに転送すると共に、セキュリティＣＰＵが依然として上述の合格状態であるか、あるいは最後の正しい応答がもっと多くのデータビットセットを有している（テストブロック564）場合にのみ、その正しい応答562をカード読取装置に転送する。
・そうでない場合（ノー分枝566）、指紋ＣＰＵはダミーリクエスト568を発生し、それをＩＳＯ ＣＰＵに転送すると共に結果的に得られたＥＲＲ応答570をカード読取装置216に転送し、それによってリクエストと応答におけるシーケンス番号の間の適切な同期を維持する。

暗号化およびセキュリティ
任意の外部ネットワークによる送信の前に、取り扱いに注意を要する任意のデータおよび、または認証結果は、おそらくＤＥＳまたはツーフィッシュ暗号化を使用して暗号化されることが好ましい。暗号化鍵は、捕捉されたまたは記憶されている指紋データ、ユーザＩＤコード、センサの特有に割当てられたコード、メモリアドレス、メモリ中の隣接したデータ、別の機能的に関連したデータ、前の会話（取引）、ＩＰアドレス、端末コードまたは割当てられたパスワードに基づくことができる。その代わり、取り扱いに注意を要するデータは、秘密保護された安全なＨＴＴＰＳプロトコルを使用してインターネットによって送信されることができる。

さらに高いセキュリティを提供するために、ハードウェアＤＥＳ暗号化および解読のような仮想秘密ゲートウェイが秘密保護された安全な指紋認証サーバとネットワーク接続との間に挿入されると共に、対応的にアプリケーションサービスサーバとネットワーク接続との間にも挿入されることができる。このような仮想ゲートウェイまたは仮想秘密ネットワーク（“ＶＰＮ”）を使用してそのようにすることにより、取り扱いに注意を要するデータは暗号化の付加的な層、たとえば、ＤＥＳ128（典型的にＶＰＮにおいて使用される）およびＲＳＡ（ＨＴＴＰＳにより使用される）の両者等、によってさらに保護される。

とくに、秘密保護されて安全なアプリケーションについて、全ての通信はセキュリティの付加的な層によりラップされてもよい。とくに、下位層中のメッセージヘッダは上位層において暗号化されることができる。

無線通信
別の実施形態は、コンタクト（ＩＳＯ７８１６）および無線（ＩＳＯ１４４３ＡまたはＢ）の両動作に対する二重インターフェースを含んでおり、全てが１枚のカード上にある（とくに）ＩＳＯ７８１６コンタクト、ＩＳＯ１４４３Ａ、ＩＳＯ１４４３Ｂ、ＩＳＯ１５６９３およびＨＩＤ継承無線システム間における共同利用を可能にするマルチインターフェースパワーユニットを組込んでいることが好ましい。その代わり、カードは、ブルートゥース（短距離）またはセルラー（中距離）あるいはマイクロ波（長距離）のような別の無線通信テクノロジーに備えた構成を含んでいてもよい。

次に図８を参照すると、無線または電気コネクタのいずれかによってローカル端末に接続されることのできる、オンボード生物測定学的検査を行われているスマートカードが示されている。主要な部分について、その構成およびアーキテクチャは上述された図１の実施形態のものに類似しており、同じ参照符号（おそらくシングルクォーテーションマークによって区別される）は類似した素子を示している。とくに、ＩＳＯ ＣＰＵ112は異なった位置（コンタクト108の片側ではなくその下方）に示されているが、しかし上述したものと同じ機能を有している。

ＩＳＯアンテナ132は、ほぼカード100の周囲に沿うように配置された２つのループを備え、配線式の電気インターフェース108により提供されるものに類似したデータおよびパワーの両方のためのＩＳＯ ＣＰＵ112へのＩＳＯコンパチブル無線インターフェースを提供する。さらに、セキュリティアンテナ134（示されている例では、内側アンテナ132であり、ただ１つのループから構成されている）は、ＤＣ−ＤＣ電力調整装置120を介したセキュリティＣＰＵ114への分離した電源を提供する。ＩＳＯ ＣＰＵ112による以外に無線データへの直接的な接続は存在しないため、セキュリティＣＰＵ114内に記憶されている取り扱いに注意を要するデータは、このような無線インターフェースにより危険にさらされない。その代わり、外部読取装置および外部ネットワークへの配線接続だけを有する実施形態に関して上述したように、２個のプロセッサの機能は結合されることが可能であり、あるいは外部インターフェースがＩＳＯ ＣＰＵ112ではなくセキュリティＣＰＵ114を介するものであることが可能であり、このとき、適切な無線セキュリティ手段がこのように変更されたアーキテクチャに組込まれなければならない。

図９は図８のカードの断面図である。示されているコンポーネントの大部分は中心コア126内に含まれており、コンタクトパッド108だけが上部保護層122を貫通していることに注意しなければならない。センサ110の動作領域は、上部層122中の上部ウインドウおよび上部層122と中心コア126との間に配置されたＰＣＢ134中の下部ウインドウを通ってアクセス可能であり、このＰＣＢ134は、種々の電気コンポーネントの間において必要とされる電気接続およびセンサ110の活動領域を取囲む包囲静電放電接地コンタクトを提供する。

下部層124および磁気ストライプ128もまた示されている。

指紋センサ
図１０はセンサ110の例示的な概略回路図であり、センサセル402のアレイ400が行404および列406に配列されている。示されているように、各セル402は起動ゲート410およびトランスデューサ412を備えている。指紋は指の皮膚リッジとバレーから形成されている。各センサセルトランスデューサ412は、これらのリッジの1つがアレイ400内のセル402のすぐ近くに触れたときに機械的および、または電気的な変化を経験し、実際に、指先上のリッジおよびバレーによって発生されたセンサ表面を横切るマイクロ圧力変化に基づいてデジタル指紋イメージを提供する。各トランスデューサ412は単一の可変キャパシタとして示されているが、種々のタイプのトランスデューサが人間の皮膚のこれらのリッジの１つの存在に応答することができることに注意すべきである。圧力感応性の圧電薄膜トランスデューサの特定の例においては、その薄膜がセルの付近で変形されて変化を生じさせ、それがそのセルに接続されているキャパシタ中に記憶される。したがって、キャパシタ上の電圧は圧電材料の変形により生じた機械的応力の関数であり、それ故、これは、山または谷がセルより上方にあるか否かの関数である。関連した列ドライバ414からの１つの信号がそのセルのゲート410をオンに切替え、関連した行ドライバ416が接地されたとき、その電圧が行の出力ライン418上に出現し、出力ドライバ420において８ビットデジタル信号に変換される。圧電材料の変形の検出を最大化するために、圧電材料がポリイミドのような弾性材料上に形成されてもよいし、あるいはそれがポリイミド圧電材料であってもよい。類似したアレイ組織により構成されることできる別の例示的なアナログトランスデューサ技術は、可変抵抗および可変キャパシタンスを含んでいる。その代わり、各セルは、情報の単一のビットだけを提供する簡単なデジタルスイッチから構成されることができる。その場合、情報の付加的なビットは、同じ領域内にもっと多くのセルを設けることにより、あるいはもっと高い周波数で各セルをサンプリングすることにより発生されることができる。このような別の実施形態により、Ａ／Ｄ変換器は必要なくなる。

例示的な実施形態において、センサはわずか０．３３ｍｍの薄さであり、スマートカード中に埋込まれるように十分な耐性を有しており、静電気、素子またはユーザの皮膚の状態（湿っている、乾燥している、暖かい、冷たい）により影響を与えられない。センサ110の典型的な単位セルのサイズは２５ミクロン乃至７０ミクロンであり、典型的なピッチは２５ミクロン乃至７０ミクロンである。例示的なセンサは、１２．５ｍｍ²乃至２５ｍｍ²の感知領域と８ビットのマルチレベルの感度を有している。このようなセンサは、ＴＦＴ（薄膜トランジスタ）のアレイと、チタンバリウム酸化物またはストロンチウムバリウム酸化物のような薄膜圧電材料により形成されたもののような圧力感応キャパシタとによって製造されることが可能であり、感知領域全体をカバーして保護する上部電極を含んでいる。機械的な応力が与えられた場合、対応した電荷が発生され、薄膜圧電キャパシタ中に記憶される。その代わり、圧力ベースのセンサは、薄膜キャパシタと、炭素繊維が分散されたゴムシートのような圧力伝導性材料のシート、金属（銅または錫あるいは銀のような）めっきされた炭素繊維またはガラス繊維ベースの紙、あるいは金属が分散された弾性材料（シリコーンのような）により形成されるもののような圧力感応キャパシタと、および感知領域全体をカバーする上部電極シートと共にＴＦＴ（薄膜トランジスタ）のアレイとして製造されることができる。

行および列ドライバ416および414は、特定の指定された指紋センサ素子402が電気データを出力回路420に出力し、それによってユーザの指紋を表す物理的な入力をアナログ電気データに変換するためのものである。その後、出力回路420内のＡ／Ｄ変換器はアナログ電気信号をデジタル電気信号に変換する。各薄膜トランジスタは、共用される行相互接続をその関連したキャパシタ上の電圧に選択的に切替え、したがって各キャパシタ上の電圧が読取られることができ、また、それによって各セルの変形が測定されることができる。薄膜トランジスタの１つの全体的な列が同時に切替えられることが好ましく、したがって１つの選択された列中の複数（たとえば、８個）のセルが異なって行相互接続上において並列に読取られることができる。行および列のような多数のゲートの相互接続により、相互接続の数は減少し、一方同じ列の異なった行からの多数のセルの並列読取りにより全体的なアレイの読取り時間が減少する。センサからの出力電圧は、差動増幅器によって増幅されることができる。このような増幅器の出力はサンプリングされ、アナログデジタル変換（Ａ／Ｄ変換器）のために保持されることができる。

基板はガラス（非アルカリ族ガラスのような）、ステンレス鋼、アルミニウム、セラミックス（アルミニウム酸化物のような）、紙、ガラス樹脂であることができるが、しかし結晶シリコンの薄いシートであることが好ましい。薄膜半導体材料は、アモルファスシリコン、ポリシリコン、ダイヤモンド、または任意の別の半導体薄膜であることができる。圧電材料は、厚さの範囲が０．１乃至５０．０ミクロンであることが好ましいジルコン酸チタン酸鉛（ＰＺＴ）薄膜のような圧電セラミックスであるか、あるいは圧電ポリマーポリイミド薄膜材料であることができる。相互接続材料は、Ｔｉ／Ｎｉ／Ｃｕ、Ａｌ、Ｃｒ／Ｎｉ／Ａｕ、Ｔｉ／Ｎｉ／Ａｕ、Ａｌ／Ａｕ、Ｗ／Ｃｕ、Ｗ／Ａｕであってもよい。

図１１は、結晶シリコンの薄い基板上に形成されたセンサのための支持装置を示している。結晶シリコンは優れた電気特性を有しており、また、必要とされるドライバおよび出力回路とのセンサアレイの集積を容易にするが、しかしながら、シリコーンの比較的広くて薄いシートは、局所化された表面圧力にさらされたときに曲がって折れる。示されている支持体は、同じ全体的な厚さを有するシリコンのシートにより提供されるものよりはるかに堅牢な構造を提供する。

示されているように、シリコンのモノリシックシート430はその厚さが約０．１ｍｍであり、バッキングプレート434上に取付けられたガラスエポキシの同じ厚さのフレーム432によって取囲まれており、このバッキングプレート434もまたガラスエポキシ構造であり、その厚さは約０．０５ｍｍである。フレーム432およびバッキングプレート434は、通常の印刷回路板（ＰＣＢ）技術を使用して容易に構成されることができる。とくに、バッキングプレート434の上面および下面は、ガラスエポキシコアにより分離された薄い銅の層436によってカバーされている。フレーム432は、セキュリティプロセッサ114に接続するための多数のはんだパッド440をその外周に沿って備えている。薄いシリコンチップ430は、フレーム432およびプレート434にエポキシで接着され、そのアクチブな領域は、上部保護電極446を取囲むシリコン430の露出された外端部444における通常のワイヤボンディング442によってフレーム432内の各電気トレースに電気的に結合されている。

整合アルゴリズム
処理電力が制限され、単一の基準サンプルとの簡単な１：１の整合だけが試みられる局所オンボード処理のために、指紋整合ソフトウェアは、２つのパターンから得られた詳細の比較的簡単な比較に基づくことができる。たとえば、１つの指紋のグレースケールのイメージは白および黒の２つの値に減少されることができ、３次元リッジは２次元の細いライン（ベクトル）に変換される。したがって、この方法の正確さは、数ある問題の中でもとくに、ぼやけ、膠着、歪、ラインセグメントの部分的欠如およびその他の効果の影響を受け易い。詳細方法は、原則的にその正確さは低いが、それに必要とされる計算リソースは少なく、また、多数の既存のデータベースに適合する可能性が生じる。

多くの処理パワーが利用可能であり、さらに精確な弁別が要求される可能性のある遠隔認証サーバにおける処理に対して、たとえば、“ＰＯＣ”（フェーズオンリー相関）整合アルゴリズムが使用される。ＰＯＣは、イメージ全体のマクロスコピックな整合に基づいた識別アルゴリズムである。逆に言えば、ＰＯＣは広範囲にわたる、すなわち、細部から全体的なイメージまでの構造的情報を整合する。したがって、ＰＯＣは膠着および部分的隙間のような雑音に強い正確さを提供することができる。原理的に、ＰＯＣ方法は、位置シフトおよび輝度の差の悪影響を受けず、高速であり（オフライン整合に対して約０．１秒）、非常に正確である。たとえば、ＰＯＣソフトウェアは、２次元高速フーリエ変換（“２ＤＦＦＴ”）を使用して２つの指紋パターンの空間周波数比較を行うことができる。２ＤＦＦＴは、指紋の物理的な２次元分布を表すデジタル化されたデータのアレイを周波数空間に変換し、換言すると、逆空間分布に変換し、ここでは高い密度のパターンが高い空間周波数を有する。回転変換は、周波数空間パターン整合を整合るために使用されることができる。ＰＯＣパターン整合は詳細ベクトル整合を有しており、それは、ＰＯＣは雑音として認識するが詳細解析は意味のあるデータとして解釈する記録された指紋パターン中の共通の欠陥によって誤って導かれないため、さらに有効である。

とくに要求の厳しいアプリケーションに対して、ハイブリッド方法は、いずれか１つの方法だけよりも高い正確さおよびセキュリティを提供することができる。たとえば、捕捉する時に詳細方法を使用することができ、一方ＰＯＣ方法は遠隔サーバにおいて使用されることができる。別の例として、整合プロセスは、詳細および空間的関係の両者を解析し、両者の結果を考慮して１つの組合せられたスコアを生成することができる。

アプリケーション
上述した技術は、民間および政府用の両方において多くのアプリケーションに対して高レベルのセキュリティを提供する。各アプリケーションの要求に応じて、多数の秘密保護された安全なアプリケーションが同じカードおよび、または同じ認証サーバ上に共存して動作することが可能である。１実施形態において、ある単一のカードは２４個までの無関係の秘密保護された安全なアプリケーションを含むことができる。たとえば、この技術は、アクセス（物理的および、または論理的）の許可／拒否を行い、個人および、またはウォッチリストパーティの正確な位置および、または動きを識別すると同時に一方において別の秘密保護された安全なアプリケーションを動作させており、それらはそれぞれ互いから完全に、かつ秘密保護されて安全に隔離されている。

ここで考慮されているアプリケーションには以下のものがある：
・空港ＩＤ／アクセス
・建物のセキュリティ
・ホテルの客室のアクセス／料金請求
・病院
・オンラインゲーム
・ダウンロードされたエンターテイメント
・出生証明書
・コンピュータアクセス
・運転免許証−ＴＷＩＣ
・電子財布
・緊急医学情報
・爆発物取扱い免許証
・政府および軍用ファシリティアクセス
・ＨＡＺＭＡＴ免許証
・メディケアおよび給付金カード
・駐車場アクセス
・パスポート
・パイロットの免許証
・港ＩＤ／アクセス
・保険の証明
・社会保障カード
・信頼できる旅行者カード
・ビザまたは入国／出国許可証
・投票者登録カード
・福祉および食糧スタンプカード

これらのアプリケーションの多くに対して、カードのオンボードメモリはまた、登録されたカード保持者が彼のアイデンティティを証明してアクセスを許可したときにのみこのようなアクセスが可能である種々の種類の個人秘密情報の秘密保護された安全な記憶を行うことが好ましい。このような秘密情報の例を以下に示す：
・氏名、住所、生年月日、出生地、国籍、宗教、組織における地位、社会保障番号、運転免許証の番号、パスポート番号のような管理用情報、およびビザのタイプ、ビザの期限、市民権等のような入国管理情報
・電子財布のような金融情報、ビザ、マスターカード、アメリカンエクスプレス等のクレジットカード情報、銀行の名称、銀行のバランス、マネートランスファー情報、ＩＲＳ番号、倒産記録等のような銀行情報
・身長、体重、指紋、虹彩、網膜、手の大きさ、骨格、声、ＤＮＡのような個人を識別するための生物測定学的情報、血液型、医学的診断テスト結果、病歴、薬物、保険情報、ある刺激に対する心理的および生理学的反応等のような生理学的または健康情報
・犯罪暦、重罪、軽犯罪、違反のような事件情報
・共同墓地、親類およびその他の連絡情報、弁護士情報、宗教情報のような緊急情報
・通学した学校、学位、ＦＤＤに関連する勤務していた会社を含む学歴や職歴
・データアクセス履歴（アクセス履歴のデータをカードに記憶すると共にカードから記憶する）
・指紋パターン、処理された指紋パターン、指紋パターンの結果のようなＩＤ関連情報
・永久パスワード、一時的パスワードおよび、またはワンタイムパスワードのようなパスワード
・公開キー、パーソネル（ｐｅｒｓｏｎｎｅｌ）キーおよび、またはワンタイムキーのような暗号化キー

以下、例示的なカード登録システムを説明する。

希望者は、申込書に記入してそれを提出し、写真および指紋がそれに含まれていることが好ましい。大部分の希望者について、彼等の養育者の書類の検査および１以上の入手可能な政府および民間データベースに対する提出された情報の簡単なクロスチェックは、その個人の本当のアイデンティティを確定するのに十分なものでなければならない。

彼のアイデンティティがそのようにして検査され確認された後、希望者は発行局に進み、ここでカード発行者により必要だと考えられた任意の情報がカードにロードされる。希望者は、カード上のセンサの上に彼の指紋を置く。指紋がセンサ上に満足できるように置かれてカードにロードされると、カード上のタブは、誰かがカードのある定まった領域に二度と書込まないようにするそのある定まったヒューズの機能を果たさなくする電気衝撃が与えられる。その後、小さいタブは切断／ギロチンをオフにする（臍の緒のように）。その時点で、カードはＩＳＯコンタクト読取装置またはＩＳＯ無線システムによって読取りまたは書込みのいずれかだけを行うことができる。

ネットワークされた認証サーバの場合、カードにロードされた同じデータの一部または全てはまた暗号化された形態で遠隔サーバに送信される。このデータは、おそらく、通常カード上に記憶されておらず、ある定まった高度のセキュリティのアプリケーションに対して必要とされる可能性のある付加的なデータで補われる。

スマートカードを提示した人物のアイデンティティのオンボード生物測定学的検査が行われるそのスマートカードの１実施形態を示す概略図。 ユーザが指を指紋センサ上に最適に位置させるのを助ける例示的なプロセスを示すフローチャート。 秘密保護された安全な識別カードを提示した人物のアイデンティティの局所的検査および遠隔的な検査の両方を行うことのできる生物測定学的検査システムの機能ブロック図。 カード保持者の生物測定学的データの最初のロード期間中および遠隔地アプリケーションに対するカード保持者のアイデンティティの検査期間中に使用される異なった物理的データ路を備えた例示的な生物測定学的検査カードの機能ブロック図。 変更されていないＩＳＯスマートカードＣＰＵによる使用を意図された図４の例示的な生物測定学的検査カードの別の実施形態を示す概略図。 カード保持者のアイデンティティのローカル的な検査だけが行われる、例示的なアプリケーションと例示的な検査カードとの間における通信を示すフローチャート。 図６のフローチャートに類似しているが、しかし図５の例示的な生物測定学的検査カードによる使用のために修正されたフローチャート。 ローカル端末に対して無線または電気コネクタのいずれかによって接続されることのできる、オンボード生物測定学的検査を行われているスマートカードの第２の実施形態を示す概略図。 図８のカードの断面図。 例示的な指紋センサの回路図。 図１０のセンサのための支持装置の１実施形態を示す斜視図。

Claims (25)

1. インテリジェントな識別カードにおいて、
   基準データを記憶するオンボードメモリと、
   生の生物測定学的データを捕捉するオンボードセンサと、
   捕捉された生物測定学的データを対応した記憶されている基準データと予め定められたしきい値の範囲内で比較し、前記予め定められたしきい値範囲内に一致が存在する場合にのみ確認メッセージを発生し、前記予め定められたしきい値範囲内に一致が存在しない場合に前記識別カードの外部から入力されるデータへの接続をディスエーブルするオンボードマイクロプロセッサと、
   確認メッセージを外部ネットワークに伝送するインターフェースとを備えており、
   確認メッセージは少なくとも、捕捉された生物測定学的データからの抜粋を含んでおり、確認メッセージは、前記オンボードメモリに記憶されている基準データとは異なる基準データを使用する追加の確認検査のために遠隔認証システムに送られるインテリジェントな識別カード。
2. 前記オンボードマイクロプロセッサは、遠隔認証システムにおいて使用されるものとは異なった整合アルゴリズムを使用する請求項１記載の識別カード。
3. 前記識別カードはＩＳＯスマートカードコンパチブルである請求項１記載の識別カード。
4. 前記オンボードプロセッサは、秘密保護された生物測定学的データを記憶し、処理するためのセキュリティプロセッサであり、前記識別カードはさらにＩＳＯスマートカードプロセッサを備えている請求項３記載の識別カード。
5. 前記セキュリティプロセッサはファイヤウォールによって前記ＩＳＯスマートカードプロセッサから機能的に分離されている請求項４記載の識別カード。
6. 前記セキュリティプロセッサとの間でやり取りされる、前記識別カードの外部から入力されるデータは全て、前記ＩＳＯスマートカードプロセッサを通過する請求項４記載の識別カード。
7. 前記ＩＳＯスマートカードプロセッサとの間でやり取りされる、前記識別カードの外部から入力されるデータは全て、前記セキュリティプロセッサを通過する請求項４記載の識別カード。
8. 前記識別カードは上方の磁気ストライプ領域と下方の浮き彫り領域とを備え、
   生物測定学的センサは指紋センサであり、
   セキュリティプロセッサと、ＩＳＯスマートカードプロセッサと、指紋センサとは全て前記上方の領域と前記下方の領域との間の中間領域内に配置されている請求項４記載の識別カード。
9. 生物測定学的データは指紋データを含み、前記センサは、そのセンサ上に置かれたユーザの指からデータを捕捉する指紋センサである請求項１記載の識別カード。
10. ユーザが指紋センサ上のその指を操作しているときに実時間フィードバックが行われてセンサ上の指を最適に位置させるようにするインジケータをさらに具備している請求項９記載の識別カード。
11. 整合プロセスは、捕捉された生物測定学的データ中の細部および全体的な空間的関係の両方を考慮するハイブリッド整合アルゴリズムを使用する請求項９記載の識別カード。
12. 指紋センサは、バッキングプレートによって支持された結晶シリコンのシートを含んでいる請求項９記載の識別カード。
13. 前記バッキングプレートは、２つの金属層に挟まれたガラスエポキシ層を含んでいる請求項１２記載の識別カード。
14. 前記バッキングプレートは、シリコンのシートを取囲む支持体フレームによって補強されている請求項１２記載の識別カード。
15. 前記識別カードはさらに、前記識別カードの使用を予め定められた位置に制限する手段を備えている請求項１記載の識別カード。
16. ユーザが関与している秘密保護された安全な金融取引の処理を行うアプリケーションサーバへのオンラインアクセスの許可の前に、そのユーザのアイデンティティの秘密保護されて安全な確認検査のために、捕捉された生物測定学的データおよび基準データの少なくともいくつかが分離した認証サーバに送られる請求項１記載の識別カード。
17. 認証サーバにおいて肯定的な一致が生じる特定のアプリケーションサーバにおける特定のログオンの試みに関する整合リクエストに応答して、秘密保護された安全な３ウェイ認証プロトコルが実行され、前記３ウェイ認証プロトコルは、チャレンジ文字シーケンスが認証サーバから識別カードに送られ、その後この識別カードがチャレンジ文字シーケンスと整合リクエストとを使用してチャレンジ応答を発生し、それはその後このチャレンジ応答をアプリケーションサーバに転送し、その後このアプリケーションサーバはチャレンジ応答を認証サーバに転送し、その後この認証サーバは、このチャレンジ応答が有効であるか否かを検査する動作を行なわせるプロトコルである、請求項１記載の識別カード。
18. 前記識別カードからの出力は、秘密保護された安全な区域に物理的にアクセスするために使用される請求項１記載の識別カード。
19. アクセスの試みの成功および不成功の記録は、前記識別カード上に保持される請求項１８記載の識別カード。
20. 前記インターフェースは、
    電気コンタクトインターフェースと、
    無線通信インターフェースの少なくとも１つを含んでいる請求項１記載の識別カード。
21. 基準データを記憶するオンボードメモリと、オンボード生物測定学的センサとを含んでいるインテリジェントな識別カードのユーザを識別する方法において、
    オンボードセンサを使用して、生の生物測定学的データを捕捉し、
    捕捉された生物測定学的データを、オンボードメモリに記憶されている対応した基準データと予め定められたしきい値の範囲内で比較し、
    前記予め定められたしきい値範囲内に一致が存在する場合にのみ確認メッセージを発生し、前記予め定められたしきい値範囲内に一致が存在しない場合に前記識別カードの外部から入力されるデータへの接続をディスエーブルし、
    確認メッセージを外部ネットワークに伝送し、確認メッセージは少なくとも捕捉された生物測定学的データからの抜粋を含んでおり、
    前記オンボードメモリに記憶されている基準データとは異なる基準データを使用して遠隔認証システムのユーザを追加的に確認検査するステップを含んでいる方法。
22. 識別カードで使用される整合アルゴリズムは遠隔認証システムにおいて使用される整合アルゴリズムとは異なっている請求項２１記載の方法。
23. さらに、ユーザが関与している秘密保護された安全な金融取引の処理を行うアプリケーションサーバへのオンラインアクセスの許可の前に、そのユーザのアイデンティティの秘密保護されて安全な確認検査のために、捕捉された生物測定学的データおよび基準データの少なくともいくつかを分離された別の認証サーバに送信するステップを含んでいる請求項２１記載の方法。
24. 特定のアプリケーションサーバにおける特定のログオンの試みに関する整合リクエストを受信し、
    その整合リクエストに応答して、認証サーバにおいて肯定的な一致が生じるならば、秘密保護された安全な３ウェイ認証プロトコルを実行するステップを含み、前記３ウェイ認証プロトコルは、
    チャレンジ文字シーケンスを認証サーバから識別カードへ送信し、
    チャレンジ文字シーケンスと整合リクエストに基づいて、識別カードでチャレンジ応答を発生し、
    そのチャレンジ応答をアプリケーションサーバに転送し、
    そのチャレンジ応答をアプリケーションサーバから認証サーバに転送し、
    認証サーバにおいて、このチャレンジ応答が有効であるか否かを検査する動作を行なわせるプロトコルである、請求項２１記載の方法。
25. 基準データを記憶するオンボードメモリと、オンボード生物測定学的センサとを含んでいるインテリジェントな識別カードのユーザを識別する装置において、
    オンボードセンサを使用して、生の生物測定学的データを捕捉する手段と、
    捕捉された生物測定学的データを、オンボードメモリに記憶されている対応した基準データと予め定められたしきい値の範囲内で比較する手段と、
    前記予め定められたしきい値範囲内に一致が存在する場合にのみ確認メッセージを発生し、前記予め定められたしきい値範囲内に一致が存在しない場合に前記識別カードの外部から入力されるデータへの接続をディスエーブルする手段と、
    確認メッセージを外部ネットワークに伝送する手段とを具備し、
    確認メッセージは少なくとも捕捉された生物測定学的データからの抜粋を含んでおり、確認メッセージは遠隔認証システムに送信されて、前記オンボードメモリに記憶されている基準データとは異なる遠隔位置に記憶されている基準データを使用して追加の確認検査が行われるユーザ識別装置。

Images