以下、本発明の各実施形態について図面を用いて説明する。なお、以下の各装置は、装置毎に、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体から対応する装置のコンピュータにインストールされ、対応する装置の機能を実現させるためのプログラムが用いられる。
(第1の実施形態)
図1は本発明の第1の実施形態に係るリファレンス登録システムの構成を示す模式図である。このリファレンス登録システムは、クライアント装置100、リファレンス生成装置200、サーバ装置300及びICカード(リファレンス保管装置)400を備えている。なお、リファレンス生成装置200は物理的にクライアント装置100に内蔵された構成でもよい。リファレンス保管装置の好適な例としては、IC(集積回路:Integrated Circuit)カードや携帯電話などのように、耐タンパ性を有し、計算能力を持つデバイスであることが望ましい。ここでは、ICカード400をリファレンス保管装置の例として説明する。
ここで、クライアント装置100は、ユーザインタフェース部101、外部通信部102及び登録処理実行部103を備えている。
ユーザインタフェース部101は、例えばGUI(グラフィカル・ユーザ・インタフェース)等のように、認証対象者の操作により、各種の情報をクライアント装置100に入力する機能と、外部通信部102又は登録処理実行部103から受けた各種の情報をクライアント装置100から表示出力する機能とをもっている。
外部通信部102は、インターネット等のネットワークを介してサーバ装置300と通信を行う機能をもっている。
登録処理実行部103は、ユーザインタフェース部101からリファレンス開始要求が入力されると、リファレンス作成要求IDを含むリファレンス作成要求をリファレンス生成装置200に送る機能と、リファレンス生成装置200から隠蔽化リファレンス情報、生体認証コンテクスト情報及びリファレンス作成応答IDを含むリファレンス作成応答を受けると、ユーザインタフェース部101にリファレンス作成完了を表示出力させる機能と、ユーザインタフェース部101から氏名、住所、パスワード等、口座を開設するための口座開設情報が入力されると、この口座開設情報、生体認証コンテクスト情報及び隠蔽化リファレンス情報に口座開設要求IDを付して口座開設要求を作成し、この口座開設要求を外部通信部102によりサーバ装置300に送信する機能と、サーバ装置300から口座開設応答ID及び口座開設の合否を含む口座開設応答を外部通信部102により受信すると、口座開設の合否をユーザインタフェース部101に表示出力させる機能とをもっている。なお、口座開設情報のうち、氏名及び住所を身元情報と呼んでもよく、パスワードを認証要素情報と呼んでもよい。
リファレンス生成装置200は、装置性能情報保存部201、秘密情報保存部202、生体情報採取部203、リファレンス採取部204、不可逆変換部205、リファレンス隠蔽化部206、生体認証コンテクスト生成部207及び登録情報送出部208を備えている。
装置性能情報保存部201は、生体認証コンテクスト生成部207から読出/書込可能な記憶装置であり、リファレンス生成装置200本体の証明書参照情報及びリファレンス生成装置200本体の性能情報を予め保存している。証明書参照情報としては、リファレンス生成装置200本体の公開鍵証明書形式の機器証明書を参照するためのURIが使用可能となっている。性能情報としては、性能を表す情報に限らず、リファレンス生成装置の安全性、リファレンス情報の不可逆変換アルゴリズム、などの各種情報を含んでもよい。
秘密情報保存部202は、生体認証コンテクスト生成部207から読出/書込可能な記憶装置であり、リファレンス生成装置200本体の秘密情報及び秘密鍵を保存している。リファレンス生成装置200本体の秘密情報としては、例えば共通鍵暗号方式の共通鍵、又は公開鍵暗号方式のサーバ装置300の公開鍵が使用可能となっている。
生体情報採取部203は、生体認証コンテクスト生成部207に起動されると、認証対象者から生体情報を採取する機能をもっている。
リファレンス採取部204は、生体情報採取部203により採取された生体情報からリファレンス情報を作成し、このリファレンス情報をリファレンス隠蔽化部206に送出すると共に、リファレンス情報の精度を生体認証コンテクスト生成部207に送出する機能をもっている。
不可逆変換部205は、生体認証コンテクスト生成部207から送出されたリファレンス情報の不可逆変換値を生成し、この不可逆変換値を生体認証コンテクスト生成部207に送出する機能をもっている。
リファレンス隠蔽化部206は、リファレンス採取部204から送出されたリファレンス情報を秘密情報保存部202内の秘密情報に基づいて可逆な方式で隠蔽化することにより、隠蔽化リファレンス情報を生成する機能と、この隠蔽化リファレンス情報を登録情報送出部208に送出する機能とをもっている。
生体認証コンテクスト生成部207は、装置性能情報保存部101内の証明書参照情報及び性能情報、リファレンス採取部204から送出されたリファレンスの精度、不可逆変換部205により生成された不可逆変換値を含む署名対象データに対し、秘密情報保存部202内の秘密鍵に基づいて署名を生成する機能と、当該生成した署名と当該署名対象データとからなる生体認証コンテクスト情報を生成する機能と、この生体認証コンテクスト情報を登録情報送出部208に送出する機能とをもっている。なお、生体認証コンテクスト情報としては、これに限らず、例えば図2に示す如き、コンテクスト特定情報やチャレンジ情報を含んでもよく、また、署名に代えて、MAC(メッセージ認証符号)等の認証子を用いる構成としてもよい。
登録情報送出部208は、生体認証コンテクスト生成部207から送出された生体認証コンテクスト情報及びリファレンス隠蔽化部206から送出された隠蔽化リファレンス情報をクライアント装置100に送信する機能をもっている。
サーバ装置300は、秘密情報保存部301、アカウント情報保存部302、登録処理ポリシー保存部303、外部通信部304、登録処理部305、生体認証コンテクスト検証部306、アカウント生成部307、リファレンス復元部308、リファレンス保証情報生成部309及びアカウント関連付け部310を備えている。
秘密情報保存部301は、リファレンス復元部308及びリファレンス保証情報生成部309等から読出/書込可能な記憶装置であり、リファレンス生成装置200の秘密情報及びサーバ装置300本体の秘密鍵が保存されている。ここで、秘密情報は、隠蔽化リファレンス情報の生成に用いた秘密情報と同一又は対応する情報である。例えば秘密情報が共通鍵の場合、隠蔽化リファレンス情報の生成に用いた秘密情報(共通鍵)と同一の情報である。また、秘密情報が秘密鍵(サーバ装置の秘密鍵)の場合、隠蔽化リファレンス情報の生成に用いた秘密情報(サーバ装置の公開鍵)に対応する情報である。
アカウント情報保存部302は、登録処理部305、アカウント生成部307及びアカウント関連付け部310等から読出/書込可能な記憶装置であり、図3に示すように、アカウントID毎に、認証対象者の身元情報(例、氏名、住所)及び認証要素情報(例、パスワード)を含むアカウント開設情報、認証対象者のリファレンス情報、及びリファレンス保証情報の保証情報シリアル番号を互いに関連付けて保存するためのものである。
登録処理ポリシー保存部303は、生体認証コンテクスト検証部306等から読出/書込可能な記憶装置であり、少なくともリファレンス生成装置の性能情報及びリファレンス情報の精度に対する評価基準を示すポリシー情報が予め保存されている。
外部通信部304は、インターネット等のネットワークを介してクライアント装置100と通信を行う機能をもっている。ここでは、外部通信部304は、例えば、認証対象者のアカウント開設情報と、リファレンス生成装置200の証明書参照情報、リファレンス生成装置200の性能情報、リファレンス情報の精度、リファレンス情報の不可逆変換値、及びこれら性能情報と精度と不可逆変換値とに対するリファレンス生成装置200の秘密鍵に基づく署名を含む生体認証コンテクスト情報と、リファレンス情報からリファレンス生成装置200の秘密情報に基づいて生成された隠蔽化リファレンス情報とを含むアカウント開設要求をクライアント装置100から受信する機能と、受信したアカウント開設要求を登録処理部305に送出する機能と、登録処理部305から受けたアカウント開設完了を示すアカウント開設応答をクライアント装置100に送信する機能とをもっている。
登録処理部305は、外部通信部304により受信したアカウント開設情報をアカウント情報保存部302に書き込む機能と、受信した生体認証コンテクストを生体認証コンテクスト検証部306に送出する機能と、生体認証コンテクスト検証部306による署名検証結果が正当を表し、ポリシー判定結果がポリシー情報を満たすことを表すとき、書き込んだアカウント開設情報に対応付けてアカウント生成部307を制御する機能と、隠蔽化リファレンス情報をリファレンス復元部308に送出して当該リファレンス復元部308からリファレンス情報を受ける機能と、生体認証コンテクスト情報内の少なくとも不可逆変換値及び精度、登録処理ポリシー保存部303内のポリシー情報、及び新たに生成した保証情報シリアル番号からなる署名対象データをリファレンス保証情報生成部309に送出して当該リファレンス保証情報生成部309から生成した署名と署名対象データとからなるリファレンス保証情報を受ける手段と、リファレンス復元部308から受けたリファレンス情報と、リファレンス保証情報内の保証情報シリアル番号と、後述する新たなアカウントIDとをアカウント関連付け部310に送出する機能と、リファレンス情報及びリファレンス保証情報をICカード400に書き込む機能と、この書き込みの後、アカウント開設完了を示すアカウント開設応答を外部通信部304からクライアント装置100に送信する機能とをもっている。
生体認証コンテクスト検証部306は、登録処理部305から受けた生体認証コンテクスト情報内の証明書参照情報に基づいて、リファレンス生成装置200の公開鍵を取得し、この公開鍵に基づいて生体認証コンテクスト情報内の署名を検証する機能と、生体認証コンテクスト情報内の性能情報及び精度に対し、登録処理ポリシー保存部303内のポリシー情報を満たすか否かを判定する機能と、署名検証結果及びポリシー判定結果を登録処理部305に送出する機能とをもっている。
アカウント生成部307は、登録処理部305に制御され、書き込まれたアカウント開設情報に対応付けて新たなアカウントIDをアカウント情報保存部302に書き込む機能をもっている。
リファレンス復元部308は、登録処理部305から隠蔽化リファレンス情報を受けると、秘密情報保存部301内の秘密情報に基づいて、当該隠蔽化リファレンス情報からリファレンス情報を復元する機能と、復元したリファレンス情報を登録処理部305に送出する機能とをもっている。
リファレンス保証情報生成部309は、登録処理部から受けた署名対象データに対し、秘密情報保存部301内の秘密鍵に基づいて署名を生成する機能と、生成した署名と署名対象データとからなるリファレンス保証情報を生成する機能と、このリファレンス保証情報を登録処理部305に送出する機能とをもっている。ここで、リファレンス保証情報としては、例えば、図4に示すようなX.509形式の公開鍵証明書に基づき、図5に示すように、基本領域と、基本領域に対するデジタル署名とからなる形式が使用可能となっている。ここで、基本領域としては、バージョン、シリアル番号、署名アルゴリズム、有効期間、生成者名、不可逆変換アルゴリズム、リファレンスダイジェスト、リファレンス評価結果、リファレンス評価ポリシーなどが適宜使用可能となっている。但し、本実施形態では、少なくともリファレンス情報の不可逆変換値、ポリシー情報、及び新たに生成した保証情報シリアル番号を基本領域に用いるものとしている。
アカウント関連付け部310は、登録処理部305から受けたリファレンス情報と、保証情報シリアル番号とを新たなアカウントIDに関連付けてアカウント情報保存部302に書き込む機能をもっている。
ICカード400は、通信部401、制御部402、リファレンス保存部403、リファレンス保証情報保存部404、ICカード秘密情報保存部405及び生体認証コンテクスト生成部406を備えている。
通信部401は、サーバ装置300等の外部装置と通信を行う機能をもっている。
制御部402は、他の各部401,403〜406を制御するものであり、例えば、通信部401から受けたリファレンス情報をリファレンス保存部403に書き込む機能と、通信部401から受けたリファレンス保証情報をリファレンス保証情報保存部404に書き込む機能と、通信部401から受けた秘密情報又はICカード内で生成した秘密情報をICカード秘密情報保存部405に書き込む機能と、生体認証コンテクスト生成部406に生体認証コンテクスト情報を生成させる機能と、生体認証コンテクスト生成部406から受けた生体認証コンテクスト情報を通信部401から出力する機能とをもっている。
リファレンス保存部403は、制御部402等から読出/書込み可能な記憶装置であり、リファレンス情報を保存する。
リファレンス保証情報保存部404は、制御部402等から読出/書込み可能な記憶装置であり、リファレンス保証情報を保存する。
ICカード秘密情報保存部405は、制御部402等から読出/書込み可能な記憶装置であり、ICカードの秘密情報を保存する。
生体認証コンテクスト生成部406は、制御部402に制御され、リファレンス保証情報保存部403内のリファレンスダイジェスト及びリファレンス精度、予め書き込まれたICカード400の証明書参照情報及びICカード400の性能情報からなる署名対象データに対し、ICカード秘密情報保存部405内の秘密情報に基づいて署名を生成する機能と、生成した署名と署名対象データとからなる生体認証コンテクスト情報を制御部402に送出する機能とをもっている。但し、生体認証コンテクスト生成部406は、実際の照合処理の際に用いられるため、本実施形態では使用されない。
次に、以上のように構成されたリファレンス登録システムの動作について図6を用いて説明する。ここでは、銀行口座開設の処理を一例に挙げて説明する。またクライアント装置100は、リファレンス生成装置200が接続されている例を説明する。
[ステップST1] クライアント装置100においては、認証対象者の操作により、リファレンス開始要求が登録処理実行部103に入力される。実際の要求は、ユーザインタフェース部101のGUIなどを用いてリファレンスの作成開始を選択することを想定している。
[ステップST2] クライアント装置100においては、登録処理実行部103が、例えば図7に示す如き、リファレンス作成要求IDを含むリファレンス作成要求をリファレンス生成装置200に送る。
[ステップST3] リファレンス生成装置200においては、生体認証コンテクスト生成部207がリファレンス作成要求を受信すると、生体情報採取部203を起動する。
生体情報採取部203は、認証対象者から生の生体情報を採取してリファレンス採取部204に送出する。リファレンス採取部204は、この生体情報からリファレンス情報を作成し、得られたリファレンス情報をリファレンス隠蔽化部206に送出する。また、リファレンス採取部204は、作成したリファレンス情報の精度を生体認証コンテキクト生成部207に送出する。
生体認証コンテクスト生成部207は、このリファレンス情報と、リファレンス情報の精度とを受けると、装置性能情報保存部201からバージョン情報、リファレンス生成装置200の証明書参照情報、リファレンス生成装置200の性能情報を読み出す。また、生体認証コンテクスト生成部207は、リファレンス情報を不可逆変換部205に送出し、不可逆変換部205からリファレンス情報の不可逆変換値を受ける。
生体認証コンテキクト生成部207は、これらバージョン情報、リファレンス生成装置200の証明書参照情報、リファレンス生成装置200の性能情報、リファレンス情報の精度、リファレンス情報の不可逆変換値に対し、リファレンス生成装置200の秘密鍵に基づく署名生成処理の実行により、署名を生成する。なお、バージョン情報は必須ではなく、省略してもよい。
これにより、生体認証コンテキクト生成部207は、バージョン情報、リファレンス生成装置200の証明書参照情報、リファレンス生成装置200の性能情報、リファレンス情報の精度、リファレンス情報の不可逆変換値及び署名からなる生体認証コンテクスト情報を生成する。この生体認証コンテクスト情報は、生体認証コンテキクト生成部207から登録情報送出部208に送出される。
[ステップST4] 一方、リファレンス隠蔽化部206は、このリファレンス情報を秘密情報保存部202内の秘密情報に基づいて可逆な方式で隠蔽化し、得られた隠蔽化リファレンス情報を登録情報送出部208に送出する。
登録情報送出部208は、図8に示すように、この隠蔽化リファレンス情報、生体認証コンテクスト情報及びリファレンス作成応答IDを含むリファレンス作成応答をクライアント装置100に返信する。
[ステップST5] クライアント装置100は、リファレンス作成応答を受信すると、ユーザインタフェース部101のGUIなどで認証対象者にリファレンス情報が作成できたことを通知する。
[ステップST6] クライアント装置100においては、認証対象者のGUI等の操作により、氏名、住所、パスワード等、口座を開設するための口座開設情報を登録処理実行部103に入力する。この入力処理は、例えば検証者が準備するホームページなどの登録用ページにて必要な情報を記入したのち、例えば登録ボタンを押す場合などを想定する。
[ステップST7] 登録処理実行部103は、図9に示すように、口座開設情報、生体認証コンテクスト情報及び隠蔽化リファレンス情報に口座開設要求IDを付して口座開設要求を作成し、この口座開設要求を外部通信部102により送信する。ここで、口座開設要求は隠蔽化されていても良い。
[ステップST8] サーバ装置300においては、外部通信部304により口座開設要求を受信すると、登録処理部305が口座開設要求内の口座開設情報をアカウント情報保存部302に保存すると共に、生体認証コンテクスト情報を生体認証コンテクスト検証部306に送出する。
生体認証コンテクスト検証部306は、この生体認証コンテクスト情報を、登録処理ポリシー保存部303を参照しながら検証する。具体的には、生体認証コンテクスト情報の署名をリファレンス生成装置200の証明書参照情報に基づいて取得可能な公開鍵により検証する。検証結果が署名の正当性を示すとき、生体認証コンテクスト検証部306は、生体認証コンテクスト情報内のリファレンス生成装置200の性能情報及びリファレンス情報の精度に対し、登録処理ポリシー保存部303内のポリシー情報を満たすか否かを判定し、ポリシー情報を満たす場合には、生体認証コンテクスト情報が正当である旨の検証結果を登録処理部305に送出する。
登録処理部305は、正当である旨の検証結果を受けると、口座開設要求内の口座開設情報をアカウント生成部307に送出する。アカウント生成部307は、この口座開設情報を示す新たなアカウントIDを生成し、アカウント情報保存部302内の当該口座開設情報に対応付けてアカウントIDをアカウント情報保存部302に保存する。
登録処理部305は、口座開設要求内の隠蔽化リファレンス情報をリファレンス復元部308に送出する。リファレンス復元部308は、隠蔽化リファレンス情報に対して秘密情報保存部301内の秘密情報に基づいて復元処理を実行することにより、リファレンス情報を復元し、このリファレンス情報を登録処理部305に送出する。
また、登録処理部305は、バージョン情報、シリアル番号(保証情報シリアル番号)、署名アルゴリズム、有効期間、生成者名、不可逆変換アルゴリズム、リファレンスダイジェスト、リファレンス評価結果、リファレンス評価ポリシーからなる署名対象データをリファレンス保証情報生成部309に送出する。なお、リファレンス評価ポリシーは、登録処理ポリシー保存部303内のポリシー情報のうち、リファレンス生成装置の性能情報とリファレンス情報の精度との検証に用いたポリシー情報である。また、署名対象データとしては、リファレンス情報を保証する観点から、少なくともリファレンスダイジェスト(不可逆変換値)リファレンス精度及びリファレンス評価ポリシーを含んでいることが好ましく、アカウント情報とリファレンス保証情報とを関連付ける観点から、シリアル番号(保証情報シリアル番号)を含んでいることが好ましい。
リファレンス保証情報生成部309は、署名対象データに対し、サーバ装置300の秘密鍵に基づく署名処理を実行し、署名を生成する。
また、リファレンス保証情報生成部309は、これら署名対象データ及び署名からなるリファレンス保証情報を生成する。このリファレンス保証情報は、リファレンス保証情報生成部309から登録処理部305に送出される。
登録処理部305は、リファレンス情報と、リファレンス保証情報内のシリアル番号とをアカウント情報保存部302内のアカウント情報に関連付けてアカウント情報保存部302に書き込む。
[ステップST9] サーバ装置300においては、登録処理部305が、アカウント情報を利用可能なICカード400を作成する。実際には既存のICカードが利用可能になるようにアクティベートする処理などを行うことを想定している。なお、ICカード400は、図示しないカード発行装置により予め秘密鍵等の秘密情報がICカード秘密情報保存部405に格納されている。
[ステップST10] 登録処理部305は、ステップST9でアクティベートしたICカード400に対し、図10に示すように、リファレンス格納要求ID、リファレンス情報及びレファレンス保証情報からなるリファレンス格納要求をICカード400に入力する。
[ステップST11] ICカード400は、この入力されたリファレンス情報をリファレンス保存部403に格納し、リファレンス保証情報をリファレンス保証情報保存部404に格納する。
[ステップST12] ICカード400は各情報を格納した後、図11に示すように、リファレンス格納応答IDを含むリファレンス格納応答をサーバ装置300に送信する。
[ステップST13] サーバ装置300においては、登録処理部305がこのリファレンス格納応答を受けると、図12に示すように、口座開設応答ID及び口座開設の合否を含む口座開設応答をクライアント装置100に送信する。なお、口座開設の合の場合、口座開設完了としてもよい。
[ステップST14] クライアント装置100は、口座開設応答を受信すると、GUIなどで口座が開設できたことを認証対象者に通知する。
[ステップST15] 検証者(サーバ装置300の管理者)は、ステップST11の処理で認証対象者のリファレンス情報及びリファレンス保証情報を格納したICカード400を認証対象者に送付する。この際、例えば書留など、認証対象者本人が受け取ったことを確認できるような手段を用いて送付することが好ましく、本実施形態ではそのような手段を用いることを想定している。
[ステップST16] 例えば書留によってICカード400を送付した場合、検証者は認証対象者が受け取ったことを受け取り確認で確認することができる。
上述したように本実施形態によれば、隠蔽化リファレンス情報及び生体認証コンテクスト情報をサーバ装置300に送信し、サーバ装置300が生体認証コンテクスト情報を検証した後、隠蔽化リファレンス情報から復元したリファレンス情報を登録する構成により、照合精度を一定水準に維持しつつ、任意のクライアント環境からネットワークを介してリファレンスをサーバ装置300に登録することができる。
詳しくは、任意のクライアント環境でリファレンス情報を採取した場合、このリファレンス情報を取得したリファレンス生成装置200自体の情報と、取得したリファレンス情報自体とを、ネットワークを介して検証者側のサーバ装置300に送信する。これにより、リファレンス作成時のクライアント環境の情報を基にその正当性及びリファレンスの精度を検証できるので、バイオメトリック認証の際に用いるリファレンス情報を対面ではなくネットワークを介して登録できる。さらに詳しくは、検証者が持つポリシーを満たしているかどうか、また検証者が満たしてほしい環境下で登録処理が行われているか等、検証者は生体情報がどのような環境で作成したのかネットワークを介して検証できるので、特定の店舗等にユーザが訪問することなく正当な生体情報をネットワークを介して登録することができる。
また、登録時に作成されたリファレンス情報と照合時に作成された生体認証情報を比較検証することで、実際にサービス利用時に行われる照合処理で、登録時とは異なるリファレンスを使っていないか検証できる。また認証対象者の環境で取得されたリファレンス情報は、隠蔽化(例、暗号化)して検証者に送信されるため、リファレンス情報を安全に送信でき、その後の照合時などでは、リファレンス・生体認証情報は認証対象者の環境から外部には流出しないので、それら生体情報が保護される。
上述したように、ネットワークを介してバイオメトリック認証システムに対する安全な登録を実現できる。すなわち、利用者が所有するクライアント装置100を用いた、ネットワークを介してのバイオメトリック認証システムへのリファレンス情報の登録などの利用が期待できる。また、もし認証対象者が自己の所有するICカード400を紛失しても、サーバ装置300に保管しているリファレンス情報を用いてICカード400を再発行することができるので、再度認証対象者の生体情報を取得して登録処理を行う必要がない。
また、上記ステップにおいて、検証者からリファレンス情報及びその生体認証コンテクスト情報が問題ない場合に、検証者が「OK」であることをICカード400に通知し、ICカード400を「ロック」状態にし、それ以降は、検証者からのコマンドがないとリファレンス情報を更新できないようにする機能があっても良い。この機能により、ICカード400に格納されているリファレンス情報をむやみに更新させないようにすることができ、また読み取れるクライアント装置を制御できるようにもなるので、使用用途を限定することも可能になる。
また、リファレンス保証情報に含まれる各種情報はリファレンス保証情報に記述されていなくてもURIなどで参照できる形式であっても良い。このことは以降の実施形態においても同様である。
(第2の実施形態)
図13は本発明の第2の実施形態に係るリファレンス登録システムの構成を示す模式図であり、図1と同一機能部には同一符号を付してその詳しい説明を省略し、ここでは異なる機能部について主に述べる。なお、以下の各実施形態も同様にして重複した説明を省略する。
すなわち、第2の実施形態は、クライアント装置100で取得したリファレンス情報自体をサーバ装置300に送信することなく、リファレンス情報を登録する構成である。
これに伴い、クライアント装置100は、前述した各部101,102と、前述した登録処理実行部103の機能を一部変更した登録処理実行部103’と、新たな登録部104とを備えている。
登録処理実行部103’は、ユーザインタフェース部101から氏名、住所、パスワード等、口座を開設するための口座開設情報が入力されると、この口座開設情報に口座開設要求IDを付した口座開設要求を外部通信部102によりサーバ装置300に送信する機能と、サーバ装置300から口座開設応答ID及び口座開設の合否を含む口座開設応答を外部通信部102により受信すると、口座開設の合否をユーザインタフェース部101に表示出力させる機能と、ユーザインタフェース部101からリファレンス格納要求が入力されると、リファレンス作成要求IDを含むリファレンス作成要求をリファレンス生成装置200に送る機能と、リファレンス生成装置200から第1生体認証コンテクスト情報、リファレンス情報及びリファレンス作成応答IDを含むリファレンス作成応答を受けると、第1生体認証コンテクスト情報を登録情報受領部105に送出する機能と、生体認証コンテクスト検証部107から正当を表す検証結果を受けると、リファレンス情報にリファレンス格納要求IDを付したリファレンス格納要求をICカード400に送信する機能と、ICカード400から第2生体認証コンテクスト情報及びリファレンス格納応答IDを含むリファレンス格納応答を受けると、ユーザインタフェース部101にリファレンス格納完了を表示出力させる機能と、ユーザインタフェース部101からリファレンス検証開始要求が入力されると、第1及び第2生体認証コンテクスト情報にリファレンス検証要求IDを付したリファレンス検証要求を外部通信部102によりサーバ装置300に送信する機能と、サーバ装置300からリファレンス検証応答ID、検証結果及びリファレンス保証情報を含むリファレンス検証応答を外部通信部102により受信すると、リファレンス保証情報をICカードに送信すると共に、検証結果をユーザインタフェース部101に表示出力させる機能と、をもっている。
ここで、第1生体認証コンテクスト情報は、リファレンス生成装置200の証明書参照情報、リファレンス生成装置200の性能情報、リファレンス情報の精度、リファレンス情報の不可逆変換値、及びこれら性能情報と精度と不可逆変換値とに対するリファレンス生成装置200の秘密鍵に基づく第1署名を含んでいる。
第2生体認証コンテクスト情報は、ICカード400の証明書参照情報、ICカード400の性能情報、リファレンス情報の精度、リファレンス情報の不可逆変換値、及びこれら性能情報と精度と不可逆変換値とに対するICカード400の秘密鍵に基づく第2署名を含んでいる。
登録部104は、登録情報受領部105、登録処理ポリシー保存部106、生体認証コンテクスト検証部107及びリファレンス不可逆情報登録部108を備えている。
登録情報受領部105は、登録処理実行部103’から第1生体認証コンテクスト情報を受けると、この第1生体認証コンテクスト情報を保持し、生体認証コンテクスト検証部107を起動する機能をもっている。
登録処理ポリシー保存部106は、生体認証コンテクスト検証部107から読出/書込み可能な記憶装置であり、サーバ装置300内の登録処理ポリシー保存部303と同じポリシー情報を保存している。
生体認証コンテクスト検証部107は、登録情報受領部105から起動されると、登録処理ポリシー保存部106を参照しながら、登録情報受領部105内の第1生体認証コンテクスト情報を検証する機能と、検証結果を登録処理実行部103’に送出する機能と、検証結果が正当を表すとき、第1生体認証コンテクスト情報内のリファレンス情報の不可逆変換値をリファレンス不可逆情報登録部108に書き込む機能とをもっている。
リファレンス不可逆情報登録部108は、生体認証コンテクスト検証部107から読出/書込み可能な記憶装置であり、第1生体認証コンテクスト情報内の不可逆変換値が書き込まれる。
リファレンス生成装置200は、図1に示した構成からリファレンス隠蔽化部206を省略した構成である。これに伴い、秘密情報保存部202、リファレンス採取部204及び登録情報送出部208に代えて、これらの機能を一部変更した秘密情報保存部202’、リファレンス採取部204’及び登録情報送出部208’を備えている。
秘密情報保存部202’は、生体認証コンテクスト生成部207から読出/書込可能な記憶装置であり、リファレンス生成装置200本体の公開鍵暗号方式における秘密鍵を保存している。
リファレンス採取部204’は、生体情報採取部203により採取された生体情報からリファレンス情報を作成し、このリファレンス情報を登録情報送出部208’に送出すると共に、リファレンス情報の精度を生体認証コンテクスト生成部207に送出する機能をもっている。
登録情報送出部208’は、生体認証コンテクスト生成部207から送出された生体認証コンテクスト情報及びリファレンス採取部204’から送出されたリファレンス情報をクライアント装置100に送信する機能をもっている。
サーバ装置300は、図1に示した構成からリファレンス復元部208を省略した構成である。これに伴い、秘密情報保存部301、アカウント情報保存部302、登録処理ポリシー保存部303、登録処理部305及び生体認証コンテクスト検証部306に代えて、これらの機能を一部変更した秘密情報保存部301’、アカウント情報保存部302’、登録処理ポリシー保存部303’、登録処理部305’及び生体認証コンテクスト検証部306’を備えている。
秘密情報保存部301’は、リファレンス保証情報生成部309等から読出/書込可能な記憶装置であり、サーバ装置300本体の公開鍵暗号方式における秘密鍵が保存されている。
アカウント情報保存部302’は、登録処理部305’、アカウント生成部307及びアカウント関連付け部310等から読出/書込可能な記憶装置であり、図14に示すように、前述したリファレンス情報に代えて、リファレンス情報の不可逆変換値を保存するものである。
登録処理ポリシー保存部303’は、生体認証コンテクスト検証部306等から読出/書込可能な記憶装置であり、少なくともリファレンス生成装置200の性能情報、リファレンス情報の精度及びICカード400の性能情報に対する評価基準を示すポリシー情報が予め保存されている。
登録処理部305’は、外部通信部304により受信したアカウント開設情報を新たなアカウントIDに関連付けてアカウント情報保存部302に書き込む機能と、受信した第1及び第2生体認証コンテクストを生体認証コンテクスト検証部306’に送出する機能と、生体認証コンテクスト検証部306’による署名検証結果が正当を表し、ポリシー判定結果がポリシー情報を満たすことを表すとき、前述した新たなアカウントIDと第1生体認証コンテクスト情報内の不可逆変換値とをアカウント関連付け部310に送出する機能と、第1生体認証コンテクスト情報内の少なくとも不可逆変換値及び精度、登録処理ポリシー保存部303内のポリシー情報、及び新たに生成した保証情報シリアル番号からなる署名対象データをリファレンス保証情報生成部309に送出して当該リファレンス保証情報生成部309から生成した署名と署名対象データとからなるリファレンス保証情報を受ける手段と、リファレンス保証情報内の保証情報シリアル番号と前述した新たなアカウントIDとをアカウント関連付け部310に送出する機能と、アカウント関連付け部310による保証情報シリアル番号の書き込みの後、リファレンス保証情報を外部通信部304からクライアント装置100に送信する機能とをもっている。
生体認証コンテクスト検証部306’は、登録処理部305から受けた第1生体認証コンテクスト情報内の証明書参照情報に基づいて、リファレンス生成装置200の公開鍵を取得し、この公開鍵に基づいて第1生体認証コンテクスト情報内の第1署名を検証する機能と、登録処理部305から受けた第2生体認証コンテクスト情報内の証明書参照情報に基づいて、ICカード400の公開鍵を取得し、この公開鍵に基づいて第2生体認証コンテクスト情報内の第2署名を検証する機能と、第1及び第2生体認証コンテクスト情報内の性能情報及び精度に対し、登録処理ポリシー保存部303内のポリシー情報を満たすか否かを判定する機能と、それぞれの署名検証結果及びポリシー判定結果を登録処理部305に送出する機能とをもっている。
ICカード400は、前述した機能を有するものであるが、通信部401の通信先がサーバ装置300の登録処理部305ではなく、クライアント装置100の登録処理実行部103’となっている。
次に、以上のように構成されたリファレンス登録システムの動作について図15を用いて説明する。本実施形態においても、銀行口座開設の処理を想定したもので説明する。またクライアント環境としては、ICカードであるICカード、リファレンスを作成するリファレンス生成装置が分かれているものとする。始めに認証対象者は、検証者に対して口座の開設とリファレンス登録を要求する。このとき認証対象者の身元確認は、運転免許証などの物理的書面・又はインターネットを介して必要な情報を記述することなど、従来の非対面式の本人確認手段を用いて確認する。
[ステップST21] クライアント装置100においては、認証対象者の操作により、口座開設情報及び口座開設開始要求が登録処理実行部103’に入力される。実際の要求は、ユーザインタフェース部101のGUIなどを用い、例えばステップST6と同様に、検証者が準備する生体情報の登録用ホームページで氏名、住所、パスワード等、口座を開設するための口座開設情報を入力した後、登録開始のボタンを押すような場合を想定する。
[ステップST22] 登録処理実行部103’は、図16に示すように、口座開設情報に口座開設要求IDを付した口座開設要求を外部通信部102によりサーバ装置300に送信する。
[ステップST23] サーバ装置300においては、外部通信部304により口座開設要求を受信すると、登録処理部305’が口座開設情報を新たなアカウントIDに関連付けてアカウント情報保存部302に保存する。
そして検証者(サーバ装置300の管理者)は、そのアカウントに対応するICカード400を準備する。
[ステップST24] しかる後、サーバ装置300においては、図17に示すように、登録処理部305’が外部通信部304により口座開設応答ID及び口座開設の合否を含む口座開設応答をクライアント装置100に送信する。なお、口座開設の合の場合、口座開設完了としてもよい。
[ステップST25] クライアント装置100は、口座開設応答を受信すると、GUIなどで口座開設応答を認証対象者に通知する。通知の方法としては、例えばアカウントの作成までが終了したことを示すメッセージが表示されることなどを想定する。
[ステップST26] 検証者は、ステップST23で作成したICカード400を、例えば書留のような、認証対象者本人が正しく受け取ったことを確認できる手段を用いて送付する。このときICカード400はまだ利用することができず、後述する有効化処理を行った後に初めて利用可能となる。
[ステップST27] ICカード400を受け取った認証対象者は、例えば書留を用いて送付されていた場合には、受け取ったことを検証者に通知することができる。
[ステップST28] クライアント装置100においては、認証対象者のユーザインタフェース部101の操作により、リファレンス格納開始要求を登録処理実行部103’に入力する。この入力処理は、例えばGUIで表示されるリファレンス作成ボタンを選択するような場合を想定する。
[ステップST29] 登録処理実行部103’は、登録処理実行部103’が、例えば図18に示す如き、リファレンス作成要求IDを含むリファレンス作成要求をリファレンス生成装置200に送る。
[ステップST30] リファレンス生成装置200においては、生体認証コンテクスト生成部207がリファレンス作成要求を受信すると、生体情報採取部203を起動する。
生体情報採取部203は、認証対象者から生の生体情報を採取してリファレンス採取部204’に送出する。リファレンス採取部204’は、この生体情報から生体認証情報としてのリファレンス情報を作成し、得られたリファレンス情報を登録情報送出部208に送出する。また、リファレンス採取部204’は、作成したリファレンス情報の精度を生体認証コンテキクト生成部207に送出する。
生体認証コンテクスト生成部207は、このリファレンス情報と、リファレンス情報の精度とを受けると、ステップST3と同様にして、バージョン情報、リファレンス生成装置200の証明書参照情報、リファレンス生成装置200の性能情報、リファレンス情報の精度、リファレンス情報の不可逆変換値及び第1署名からなる第1生体認証コンテクスト情報を生成する。この第1生体認証コンテクスト情報は、生体認証コンテキクト生成部207から登録情報送出部208’に送出される。
[ステップST31] 登録情報送出部208’は、図19に示すように、この第1生体認証コンテクスト情報、リファレンス情報及びリファレンス作成応答IDを含むリファレンス作成応答をクライアント装置100に送信する。
ここで、クライアント装置100は、リファレンスの精度がサーバ装置300に指定されたポリシー情報を満たしているか否か等を登録部104により検証する。
具体的には、クライアント装置100においては、登録処理実行部103’が第1生体認証コンテクスト情報を登録情報受領部105に送出する。
登録情報受領部105は、この第1生体認証コンテクスト情報を保持し、生体認証コンテクスト検証部107を起動する。
生体認証コンテクスト検証部107は、起動されると、登録処理ポリシー保存部106を参照しながら、登録情報受領部105内の第1生体認証コンテクスト情報を検証し、検証結果が正当を表すとき、第1生体認証コンテクスト情報内のリファレンス情報の不可逆変換値をリファレンス不可逆情報登録部108に書き込む。また、生体認証コンテクスト検証部107は、正当か否かによらずに検証結果を登録処理実行部103’に送出する。
登録処理実行部103’は検証結果が正当を表すとき、次のステップST32に進む。
[ステップST32] 登録処理実行部103’は、図20に示すように、リファレンス情報及び第1生体認証コンテクスト情報にリファレンス格納要求IDを付したリファレンス格納要求をICカードに送信する。
[ステップST33] ICカード400においては、通信部401により受信したリファレンス情報を制御部402がリファレンス保存部403に格納する。
生体認証コンテクスト生成部406は、制御部402に制御され、第1生体認証コンテクスト情報内のリファレンス情報の精度及びリファレンス情報の不可逆変換値と、予め書き込まれたICカード400の証明書参照情報及びICカード400の性能情報とからなる署名対象データに対し、ICカード秘密情報保存部405内の秘密情報に基づいて第2署名を生成する。
しかる後、生体認証コンテクスト生成部406は、生成した第2署名と署名対象データとからなる第2生体認証コンテクスト情報を制御部402に送出する。
[ステップST34] ICカード400においては、制御部402が通信部401により、図21に示すように、第2生体認証コンテクスト情報及びリファレンス格納応答IDを含むリファレンス格納応答をクライアント装置100に送信する。
[ステップST35] クライアント装置100においては、登録処理実行部103’が、リファレンス格納応答を受信すると、ユーザインタフェース部101のGUI等により、認証対象者に対してリファレンス格納処理が終了したことを通知する。
[ステップST36] クライアント装置100においては、認証対象者によるユーザインタフェース部101の操作により、リファレンス検証開始要求を登録処理実行部103’に入力する。これは、例えば生体認証コンテクスト情報を検証者に送信するように促すボタンを選択することを想定する。
[ステップST37] 登録処理実行部103’は、図22に示すように、第1及び第2生体認証コンテクスト情報にリファレンス検証要求IDを付したリファレンス検証要求を外部通信部102によりサーバ装置300に送信する。
[ステップST38] サーバ装置300においては、外部通信部304によりリファレンス検証要求を受信すると、登録処理部305’がリファレンス検証要求内の第1及び第2生体認証コンテクスト情報を生体認証コンテクスト検証部306’に送出する。
生体認証コンテクスト検証部306’は、第1及び第2生体認証コンテクスト情報を、登録処理ポリシー保存部303’を参照しながら検証する。具体的には、第1生体認証コンテクスト情報の第1署名をリファレンス生成装置200の証明書参照情報に基づいて取得可能な公開鍵により検証する。同様に、第2生体認証コンテクスト情報の第2署名をICカード400の証明書参照情報に基づいて取得可能な公開鍵により検証する。
また、生体認証コンテクスト検証部306’は、第1及び第2生体認証コンテクスト情報内のそれぞれの性能情報及びリファレンス情報の精度に対し、登録処理ポリシー保存部303内のポリシー情報を満たすか否かを判定する。
しかる後、生体認証コンテクスト検証部306’は、第1及び第2署名の検証結果と、ポリシー情報の判定結果とを登録処理部305’に送出する。
登録処理部305’は、第1及び第2署名の検証結果が正当を表し、ポリシー情報の判定結果がポリシー情報を満たすことを表すとき、ステップST23の新たなアカウントIDと第1生体認証コンテクスト情報内の不可逆変換値とをアカウント関連付け部310を介してアカウント情報保存部302’に保存する。
また、登録処理部305’は、第1生体認証コンテクスト情報内の少なくとも不可逆変換値及び精度、登録処理ポリシー保存部303内のポリシー情報、及び新たに生成した保証情報シリアル番号からなる署名対象データをリファレンス保証情報生成部309に送出して当該リファレンス保証情報生成部309から生成した署名と署名対象データとからなるリファレンス保証情報を受ける。
登録処理部305’は、リファレンス保証情報内の保証情報シリアル番号と前述した新たなアカウントIDとをアカウント関連付け部310を介してアカウント情報保存部302’に保存する。保証情報シリアル番号の書込みの後、アカウントが有効になる。
[ステップST39] サーバ装置300においては、登録処理部305’が外部通信部304により、図23に示すように、各生体認証コンテクスト情報の検証結果、リファレンス保証情報及びリファレンス検証応答IDを含むリファレンス検証応答をクライアント装置100に送信する。
[ステップST40] クライアント装置100においては、外部通信部102によりリファレンス検証応答を受信すると、登録処理実行部103’がリファレンス保証情報をICカード400に保存するとともに、ICカード400を有効化し、ICカード400を利用可能とする。
[ステップST41] その後、登録処理実行部103’は、リファレンス検証処理が終了したことを認証対象者に対して、例えばGUIなどで通知する。
上述したように本実施形態によれば、クライアント装置100がリファレンス情報をICカード400に書き込み、リファレンス情報の不可逆変換値を含む生体認証コンテクスト情報をサーバ装置300に送信し、サーバ装置300が生体認証コンテクスト情報を検証した後、リファレンス情報の不可逆変換値を登録し、リファレンス保証情報をクライアント装置100に返信する構成により、照合精度を一定水準に維持しつつ、任意のクライアント環境からネットワークを介してリファレンスをICカード400に登録できる。
詳しくは、任意のクライアント装置100を用いて、認証対象者の環境で作成されたリファレンス情報をネットワーク上に送出することなく、リファレンス生成に関連する処理内容及び処理装置を検証でき、バイオメトリック認証システムに登録でき、かつ照合時には、登録されたリファレンス情報が用いられているかをサーバ装置300が検証できる。また別の見方をすると、サーバ装置300が認めたリファレンス情報がICカード400に格納されることを確認することができ、そのことをクライアント環境の外部にリファレンス情報を出すことなく実現することができる。従って、第1の実施形態の効果に加え、よりプライバシ面を考慮したリファレンスの登録を期待できる。
補足すると、第1の実施形態に関連して、任意のクライアント環境で採取したリファレンスを、ネットワークを介してバイオメトリック認証システムに登録する場合において、ネットワーク等へリファレンス情報を送出することは、プライバシの観点上好ましくない。一般的に、生の生体情報又はリファレンス情報は、センシティブ(機微)な情報であると考えられ、暗号化等を施していたとしてもユーザの管理下の外に出すことは好ましくなく、利用者の抵抗感を生じさせる要因になると考えられる。よって、ネットワーク等へ直接的に生の生体情報又はリファレンス情報を送出することなく、リファレンス情報の正当性の可否を検証でき、その検証結果に従ってリファレンス情報の登録が可能となるので、第1の実施形態に比べ、より好ましいと考えられる。
上記例では、STOCモデルにおける登録処理を想定したものについて説明したが、MOCモデル、SOCモデル、及びSTOC、MOC、SOCに含まれないモデルについても同様に処理を行うことは可能である。故に、説明の簡便上、それぞれの場合の組合せとその実施形態については省略している。
また検証者側で、認証対象者のリファレンスが送付したICカードで正しく作成されているか確認する手段として、検証者が発行するICカードが保持している例えば署名用の秘密鍵などで確認することができる。
また、本実施形態では、リファレンス保証情報生成部309をサーバ装置300に含まれているが、例えばもしICカード400が耐タンパ装置であるという仮定があるなら、ICカード400内にリファレンス保証情報生成部があり、ICカード400内でリファレンス保証情報を生成してもよい。
(第3の実施形態)
図24は本発明の第3の実施形態に係るリファレンス登録システムの構成を示す模式図である。第3の実施形態は、第2の実施形態で作成したリファレンス情報を更新する構成である。
これに伴い、クライアント装置100においては、登録処理実行部103’が前述した機能に加え、更新に関する機能をもっている。
登録処理実行部103’は、ユーザインタフェース部101からリファレンス更新開始要求を受けると、リファレンス更新要求IDを含むリファレンス更新要求を外部通信部102によりサーバ装置300に送信する機能と、ユーザインタフェース部101から照合開始要求を受けると、生体情報取得要求IDを含む生体情報取得要求をリファレンス生成装置200”に送信する機能と、第1生体認証コンテクスト情報、生体認証情報及び生体情報取得応答IDを含む生体情報取得応答をリファレンス生成装置200”から受けると、リファレンス取得要求IDを含むリファレンス取得要求をICカード400に送信する機能と、リファレンス情報、第2生体認証コンテクスト情報及びリファレンス取得応答IDを含むリファレンス取得応答をICカード400から受けると、生体認証情報、リファレンス情報及び生体情報照合要求IDを含む生体情報照合要求をリファレンス生成装置200”に送信する機能と、照合結果、第3生体認証コンテクスト情報及び生体情報照合応答IDを含む対象者照合終了応答をリファレンス生成装置200”から受けると、照合結果、第3生体認証コンテクスト情報及び生体情報照合応答IDを含む対象者照合応答を外部通信部102によりサーバ装置300に送信する機能とをもっている。
リファレンス生成装置200”は、前述したリファレンス生成装置200’の機能に加え、生体照合処理部209を備えており、これに伴い、装置性能情報保存部201及び生体認証コンテクスト生成部207の機能が一部変更されている。
ここで、生体照合処理部209は、生体情報採取部203及びリファレンス採取部204’により新たに作成された認証対象者の生体認証情報と、認証対象者のリファレンス情報とをクライアント装置100から受信すると、当該リファレンス情報と生体認証情報とを照合し、照合結果と照合パラメータとを生体認証コンテクスト生成部207に送出する機能をもっている。
装置性能情報保存部201は、前述した各情報に加え、生体照合処理部209の証明書参照情報及び生体照合処理部209の性能情報を予め保存している。
生体認証コンテクスト生成部207は、前述した機能に加え、装置性能情報保存部201内の証明書参照情報及び性能情報、送出された照合結果と照合パラメータ、当該照合結果と照合パラメータの不可逆変換値を含む署名対象データに対し、秘密情報保存部202’内の秘密鍵に基づいて第3署名を生成する機能と、生成した第3署名と署名対象データとからなる第3生体認証コンテクスト情報を生成する機能と、照合結果及び第3生体認証コンテクスト情報をクライアント装置に送信する機能とをもっている。
同様に、サーバ装置300においては、登録処理ポリシー保存部303’、登録処理部305’及び生体認証コンテクスト検証部306’が前述した機能に加え、更新に関する機能をもっている。
登録処理ポリシー保存部303’は、前述したポリシー情報に加え、生体照合処理部209の性能情報、照合パラメータ及び照合結果に対する評価基準を示す照合ポリシー情報が予め保存されている。
登録処理部305’は、前述した機能に加え、リファレンス更新要求をクライアント装置100から外部通信部304により受信すると、認証対象者照合要求を外部通信部304からクライアント装置に送信する機能と、認証対象者照合要求の送信後、第3生体認証コンテクスト情報を含む認証対象者照合応答をクライアント装置100から外部通信部304により受信すると、この第3生体認証コンテクスト情報を生体認証コンテクスト検証部306’に送出する機能と、生体認証コンテクスト検証部306’による第3署名の検証結果が正当を表し且つ判定結果が照合ポリシー情報を満たすことを表すとき、アカウント情報保存部302’における認証対象者のリファレンス情報の不可逆変換値を無効化する機能と、更新用の新たなリファレンス情報の不可逆変換値を含む第1及び第2生体認証コンテクスト情報を送信するように、認証対象者リファレンス更新要求を外部通信部304からクライアント装置100に送信する機能とをもっている。
生体認証コンテクスト検証部306’は、前述した機能に加え、登録処理部305’から第3生体認証コンテクスト情報を受けると、第3生体認証コンテクスト情報内の証明書参照情報に基づいて、生体照合処理部209の公開鍵を取得し、この公開鍵に基づいて第3署名を検証する機能と、第3生体認証コンテクスト情報内の性能情報、照合パラメータ及び照合結果に対し、登録処理ポリシー保存部303’内の照合ポリシー情報を満たすか否かを判定する機能と、第3署名の検証結果及び照合ポリシー情報の判定結果を登録処理部305’に送出する機能とをもっている。
次に、以上のように構成されたリファレンス登録システムの動作について図25を用いて説明する。
[ステップST51] クライアント装置100においては、認証対象者のユーザインタフェース部101の操作により、リファレンス更新開始要求を登録処理実行部103’に入力する。この処理は、例えばクライアント装置上でGUIなどを用いて表示される、もしくは選択できるものを想定する。
[ステップST52] 登録処理実行部103’は、リファレンス更新開始要求を受けると、図26に示すように、リファレンス更新要求IDを含むリファレンス更新要求を外部通信部102によりサーバ装置300に送信する。
[ステップST53] サーバ装置300においては、外部通信部304によりリファレンス更新要求を受信すると、登録処理部305’が、図27に示すように、認証対象者が本人であることを確認するため、対象者照合要求IDを含む対象者照合要求を外部通信部304からクライアント装置100に送信する。
[ステップST54] クライアント装置100は、対象者照合要求を受信すると、ユーザインタフェース部101のGUIなどで、照合を促されたことを認証対象者に通知する。
[ステップST55] クライアント装置100では、認証対象者によるユーザインタフェース部101の操作により、照合開始要求を登録処理実行部103’に入力する。この処理は、例えばGUIで表示された照合開始のボタンを選択することを想定する。
[ステップST56] 登録処理実行部103’は、照合開始要求を受けると、図28に示すように、生体情報取得要求IDを含む生体情報取得要求をリファレンス生成装置200”に送信する。
[ステップST57] リファレンス生成装置200”においては、生体認証コンテクスト生成部207が生体情報取得要求を受信すると、生体情報採取部203を起動する。
生体情報採取部203は、認証対象者から生の生体情報を採取してリファレンス採取部204’に送出する。リファレンス採取部204’は、この生体情報から生体認証情報を作成し、得られた生体認証情報を登録情報送出部208に送出する。また、リファレンス採取部204’は、作成した生体認証情報の精度を生体認証コンテキクト生成部207に送出する。なお、生体認証情報は、リファレンス情報と同一の処理により、生体情報から作成される。すなわち、最初の登録時に作成される情報をリファレンス情報と呼び、登録後の生体認証時に作成される情報を生体認証情報と呼んでいる。
生体認証コンテクスト生成部207は、この生体認証情報と、生体認証情報の精度とを受けると、ステップST3と同様にして、バージョン情報、リファレンス生成装置200の証明書参照情報、リファレンス生成装置200の性能情報、生体認証情報の精度、生体認証情報の不可逆変換値及び第1署名からなる第1生体認証コンテクスト情報を生成する。この第1生体認証コンテクスト情報及び生体認証情報は、生体認証コンテキクト生成部207から登録情報送出部208’に送出される。
[ステップST58] 登録情報送出部208’は、図29に示すように、この第1生体認証コンテクスト情報、生体認証情報及び生体情報取得応答IDを含む生体情報取得応答をクライアント装置100に送信する。
[ステップST59] クライアント装置100においては、生体情報取得応答を受信した登録処理実行部103’が、図30に示すように、リファレンス取得要求IDを含むリファレンス取得要求をICカード400に送信する。
[ステップST60] ICカード400においては、制御部402が通信部401によりリファレンス取得要求を受信すると、リファレンス保存部403からリファレンス情報を読み出す。
続いて、制御部402は、生体認証コンテクスト生成部406を起動する。生体認証コンテクスト生成部406は、起動されると、リファレンス保証情報保存部403内のリファレンスダイジェスト(不可逆変換値)及びリファレンス精度と、予め書き込まれたICカード400の証明書参照情報及びICカード400の性能情報とからなる署名対象データに対し、ICカード秘密情報保存部405内の秘密情報に基づいて第2署名を生成し、生成した第2署名と署名対象データとからなる第2生体認証コンテクスト情報を制御部402に送出する。なお、リファレンス情報の読み出しと、第2生体認証コンテクスト情報の生成との実行順序は任意である。
[ステップST61] ICカード400においては、制御部402が通信部401により、図31に示すように、リファレンス情報、第2生体認証コンテクスト情報及びリファレンス取得応答IDを含むリファレンス取得応答をクライアント装置100に送信する。
[ステップST62] クライアント装置100は、リファレンス取得応答を受信した登録処理実行部103’が、図32に示すように、生体認証情報、リファレンス情報及び生体情報照合要求IDを含む生体情報照合要求をリファレンス生成装置200”に送信する。
[ステップST63] リファレンス生成装置200においては、生体照合処理部209が、受信した生体情報照合要求内のリファレンス情報と生体認証情報とを照合し、両情報の類似度を含む照合結果と、照合パラメータとを生体認証コンテクスト生成部207に送出する。
生体認証コンテクスト生成部207は、装置性能情報保存部201内の証明書参照情報及び性能情報、送出された照合結果と照合パラメータ、当該照合結果と照合パラメータの不可逆変換値を含む署名対象データに対し、秘密情報保存部202’内の秘密鍵に基づいて第3署名を生成する。
また、生体認証コンテクスト生成部207は、生成した第3署名と署名対象データとからなる第3生体認証コンテクスト情報を生成する。
[ステップST64] 続いて、生体認証コンテクスト生成部207は、図33に示すように、照合結果、第3生体認証コンテクスト情報及び生体情報照合応答IDを含む生体情報照合応答をクライアント装置100に送信する。
[ステップST65] クライアント装置100は、生体情報照合応答を受信すると、ユーザインタフェース部101により、照合処理が終了した旨を認証対象者に通知する。通知する手段としては、GUIなどを用いて行うことを想定する。
[ステップST66] クライアント装置100においては、認証対象者によるユーザインタフェース部101の操作により、対象者照合終了応答を登録処理実行部103’に入力する。この処理は、照合結果を検証者に通知するように選択することを想定する。
[ステップST67] 登録処理実行部103’は、対象者照合終了応答を受信すると、図34に示すように、照合結果、第3生体認証コンテクスト情報及び生体情報照合応答IDを含む対象者照合応答をサーバ装置300に送信する。なお、照合結果は、第3生体認証コンテクスト情報に含まれているので、必ずしも送信しなくてもよい。
[ステップST68] サーバ装置300においては、外部通信部304により対象者照合応答を受信すると、登録処理部305’が対象者照合応答内の照合結果及び第3生体認証コンテクスト情報を生体認証コンテクスト検証部306に送出する。
生体認証コンテクスト検証部306’は、照合結果及び第3生体認証コンテクスト情報を受けると、第3生体認証コンテクスト情報内の証明書参照情報に基づいて、生体照合処理部209の公開鍵を取得し、この公開鍵に基づいて第3署名を検証する。
また、生体認証コンテクスト検証部306’は、第3生体認証コンテクスト情報内の性能情報、照合パラメータ及び照合結果に対し、登録処理ポリシー保存部303’内の照合ポリシー情報を満たすか否かを判定し、第3署名の検証結果及び照合ポリシー情報の判定結果を登録処理部305’に送出する。
登録処理部305’は、この第3署名の検証結果が正当を表し且つ判定結果が照合ポリシー情報を満たすことを表すとき、アカウント情報保存部302’における認証対象者のリファレンス情報の不可逆変換値を無効化する。すなわち、登録処理部305’は、生体認証コンテクスト検証部306により、認証対象者のリファレンス情報を用いて照合処理が行われていること等、照合処理が正しく行われていることを検証し、検証の結果、問題が無ければ、認証対象者に対応するアカウントを無効化し、かつ認証対象者と関連付けているリファレンス情報の不可逆値を無効化する。
[ステップST69] しかる後、登録処理部306’は、更新用の新たなリファレンス情報の不可逆変換値を含む第1及び第2生体認証コンテクスト情報を送信するように、図35に示すように、対象者リファレンス更新要求IDを含む認証対象者リファレンス更新要求を外部通信部304からクライアント装置100に送信する。
[ステップST70] クライアント装置100は、認証対象者リファレンス更新要求を受信すると、GUIなどでリファレンス更新の要求を認証対象者に通知する。
[ステップST71〜ST84] 以降の処理としては、図36に示すように、第2の実施形態のステップST28乃至ST41の処理と同様なステップST71〜ST84の処理を実行する。
例えば、ステップST71〜ST84の処理中、ステップST71のリファレンス更新開始要求と、ステップST28のリファレンス格納開始要求とは、名称は異なるものの、同一の処理を実行している関係にある。
同様に、ステップST78のリファレンス更新終了応答と、ステップST35のリファレンス格納終了応答との関係も同様である。さらに、ステップST79のリファレンス更新終了応答と、ステップST36のリファレンス検証開始要求との関係も同様である。
また例えば、ステップST79のリファレンス更新終了応答の後、クライアント装置100は、ステップST80にて図37に示すように、新たな第1及び第2生体認証コンテクスト情報並びに対象者リファレンス更新応答IDを含む対象者リファレンス更新応答をサーバ装置300に送信している。
また、ステップST82のリファレンス更新応答と、ステップST39のリファレンス検証応答との関係も同様である。さらに、ステップST84のリファレンス更新終了応答と、ステップST41のリファレンス検証終了応答との関係も同様である。
以上の処理によって、リファレンス情報を更新することができる。
上述したように本実施形態によれば、第2の実施形態の効果に加え、認証対象者の生体認証の後に、登録しているリファレンス情報を更新することができる。
補足すると、本実施形態は、第2の実施形態に関連して、バイオメトリック認証で利用される特定のリファレンス情報が経年変化等に影響されることから、照合精度の悪化を防止するために定期的な更新が要求される場合を考慮している。この際にも、ネットワーク等へ直接的に生の生体情報又はリファレンス情報を送出せずに、リファレンス情報の正当性の可否を検証でき、その検証結果にしたがって生体情報の更新(再登録)を可能にする手段が望まれる。
本実施形態では、経年変化などにより生体照合の精度が低下した場合や、生体情報の漏洩などによる複製の危険性が高まった場合に、プライバシ面を考慮したネットワークを介してのバイオメトリック認証システムへのリファレンスの更新を期待できる。
(第4の実施形態)
図38は本発明の第4の実施形態に係るリファレンス登録システムの構成例を示す模式図である。
第4の実施形態は、第2の実施形態の変形例であり、ICカード400に格納したリファレンス情報をリファレンス保証情報の保存まで無効化し、リファレンス保証情報が保存された後に活性化(利用可能)する形態である。
ここで、クライアント装置100は、図9に示した構成に加え、暗号鍵保存部109を備えている。
暗号鍵保存部109は、登録処理実行部103’から読出/書込可能な記憶装置であり、サーバ装置300との間で共有された暗号化鍵を保存している。なお、本実施形態で共有する暗号化鍵は、採用する暗号化方式に依存する。例えば、対称鍵暗号方式を採用した場合には、クライアント装置100の暗号化鍵と、サーバ装置300の暗号化鍵とは同一の情報である。非対称鍵暗号方式を採用した場合には、クライアント装置100の暗号化鍵と、サーバ装置300の暗号化鍵とは異なる情報となる。例えば、非対称鍵暗号方式を採用するとしたならば、クライアント装置100の暗号化鍵はサーバ装置300の公開鍵にあたり、サーバ装置300の暗号化鍵はサーバ装置300のみが知りうる秘密鍵にあたる。公開鍵の正当性を保証するならば、公開鍵基盤等を利用して、公開鍵証明書形式等でICカード400に公開すればよい。
これに伴い、登録処理実行部103’は、前述した機能に加え、暗号鍵保存部109内の暗号化鍵をICカード400に入力する機能と、ICカード400から受けた暗号化活性鍵をサーバ装置300に送信する機能とをもっている。
サーバ装置300は、図9に示した構成に加え、秘密情報保存部311、活性化鍵復号部312及びリファレンス保証情報暗号化部313を備えている。
秘密情報保存部311は、登録処理部305’及び活性化鍵復号部312等から読出/書込可能な記憶装置であり、クライアント装置100との間で共有された暗号化鍵を保存している。
活性化鍵復号部312は、登録処理部305’から受けた活性化鍵を秘密情報保存部311内の暗号化鍵に基づいて復号し、得られた活性化鍵を登録処理部305’に送出する機能をもっている。
リファレンス保証情報暗号化部313は、活性化鍵及びリファレンス保証情報を登録処理部305’から受けると、この活性化鍵により、リファレンス保証情報を暗号化し、得られた暗号化リファレンス保証情報(暗号化された状態のリファレンス保証情報)を登録処理部305’に送出する機能をもっている。
これに伴い、登録処理部305’は、前述した機能に加え、リファレンス検証要求内の暗号化活性化鍵を活性化鍵復号部312に送出する機能と、活性化鍵復号部312から受けた活性化鍵と、リファレンス保証情報生成部309から受けたリファレンス保証情報とをリファレンス保証情報暗号化部313に送出する機能と、リファレンス保証情報暗号化部313から受けた暗号化リファレンス保証情報(暗号化された状態のリファレンス保証情報)を外部通信部304によりクライアント装置100に送信する機能とをもっている。
ICカード400は、図9に示した構成に加え、暗号化鍵保存部407、活性化鍵生成部408、活性化鍵暗号化部409、リファレンス保証情報復号部410及びリファレンス活性化部411を備えている。
暗号化鍵保存部407は、制御部402から読出/書込可能な記憶装置であり、クライアント装置100から入力された暗号化鍵を保存する。
活性化鍵生成部408は、制御部402に制御され、活性化鍵を生成し、この活性化鍵を制御部402に送出する機能をもっている。
活性化鍵暗号化部409は、制御部402から受けた活性化鍵を暗号化鍵保存部407内の暗号化鍵により暗号化し、暗号化活性化鍵を生成して制御部402に送出する機能をもっている。
リファレンス保証情報復号部410は、制御部402から暗号化リファレンス保証情報及び活性化鍵を受けると、活性化鍵に基づいて暗号化リファレンス保証情報を復号し、得られたリファレンス保証情報を制御部402に送出する機能をもっている。
リファレンス活性化部411は、制御部402に制御され、リファレンス保存部403内のフラグ情報を有効状態に更新してリファレンス情報を利用可能な状態に活性化する機能をもっている。
これに伴い、リファレンス保存部403は、リファレンス情報と有効状態又は無効状態を表すフラグ情報とを互いに関連付けて保存するものとしている。制御部402は、前述した機能に加え、各部407〜411を制御する機能をもっている。
次に、以上のように構成されたリファレンス登録システムの動作について図39を用いて説明する。始めに、第2の実施形態のステップST21〜ST31と同一の動作を実行する。ここで、ステップST31が終了したとする。
[ステップST32a] 登録処理実行部103’は、図40に示すように、暗号化鍵保存部109内の暗号化鍵、リファレンス情報及び第1生体認証コンテクスト情報にリファレンス格納要求IDを付したリファレンス格納要求をICカード400に送信する。
なお、暗号化鍵をICカード400に送信する場合、好適には、サーバ装置300の公開鍵証明書等を利用することが望ましい。また、クライアント装置100は、ディフィー−へルマン鍵共有法(Diffie-Hellman Key Agreement Method)などの任意の鍵共有方式を利用して暗号化鍵をサーバ装置300と共有してもよい。又は、人間が記憶可能なパスフレーズ等を利用するのであれば、電話応答等の人間系処理で共有してもよく、サーバ装置300がWebシステムなどで提供してもよく、共有した暗号化鍵をクライアント装置100のユーザインタフェース部101を介して取得すればよい。
[ステップST33a−1] ICカード400においては、通信部401により受信したリファレンス情報を制御部402がリファレンス保存部403に格納する。このとき、制御部402は、当該リファレンス情報と無効状態を表すフラグ情報とをリファレンス保存部403に書き込む。また、制御部402は、通信部401により受信した暗号化鍵を暗号化鍵保存部407に格納する。
[ステップST33a−2] 活性化鍵生成部408は、制御部402に制御され、活性化鍵を生成し、この活性化鍵を制御部402に送出する。活性化鍵の生成方式としては、セキュリティ的に安全な暗号化方式と鍵長を選択することが望ましい。
制御部402は、活性化鍵を一旦、ICカード秘密情報保存部405に保存した後、ICカード秘密情報保存部405内の活性化鍵を活性化鍵暗号化部409に送出する。
活性化鍵暗号化部409は、この活性化鍵を暗号化鍵保存部407内の暗号化鍵により暗号化し、暗号化活性化鍵を生成して制御部402に送出する。
[ステップST33a−3] 生体認証コンテクスト生成部406は、制御部402に制御され、第1生体認証コンテクスト情報内のリファレンス情報の精度及びリファレンス情報の不可逆変換値と、予め書き込まれたICカード400の証明書参照情報及びICカード400の性能情報とからなる署名対象データに対し、ICカード秘密情報保存部405内の秘密情報に基づいて第2署名を生成する。
しかる後、生体認証コンテクスト生成部406は、生成した第2署名と署名対象データとからなる第2生体認証コンテクスト情報を制御部402に送出する。
[ステップST34a] ICカード400においては、制御部402が通信部401により、図41に示すように、暗号化活性化鍵、第2生体認証コンテクスト情報及びリファレンス格納応答IDを含むリファレンス格納応答をクライアント装置100に送信する。
[ステップST35及びST36] ステップST35及びST36は、前述した通りに実行される。
[ステップST37a] クライアント装置100においては、登録処理実行部103’が、図42に示すように、暗号化活性化鍵と第1及び第2生体認証コンテクスト情報とにリファレンス検証要求IDを付したリファレンス検証要求を外部通信部102によりサーバ装置300に送信する。
[ステップST38a−1] ステップST38a−1は、ステップST38に述べた通りに実行される。
[ステップST38a−2] 登録処理部305’は、リファレンス検証要求内の暗号化活性化鍵を活性化鍵復号部312に送出する。
活性化鍵復号部312は、この活性化鍵を秘密情報保存部311内の暗号化鍵に基づいて復号し、得られた活性化鍵を登録処理部305’に送出する。
登録処理部305’は、この活性化鍵及びリファレンス保証情報をリファレンス保証情報暗号化部313に送出する。
リファレンス保証情報暗号化部313は、この活性化鍵により、リファレンス保証情報を暗号化し、得られた暗号化リファレンス保証情報(暗号化された状態のリファレンス保証情報)を登録処理部305’に送出する。
[ステップST39a] サーバ装置300においては、登録処理部305’が外部通信部304により、図43に示すように、各生体認証コンテクスト情報の検証結果、暗号化リファレンス保証情報及びリファレンス検証応答IDを含むリファレンス検証応答をクライアント装置100に送信する。
[ステップST40a] クライアント装置100においては、外部通信部102によりリファレンス検証応答を受信すると、登録処理実行部103’が暗号化リファレンス保証情報をICカード400に保存するとともに、ICカード400を有効化し、ICカード400を利用可能とする。
具体的には図44に示すように、ICカード400においては、暗号化リファレンス保証情報が入力されると(ST40a−1)、制御部402がこの暗号化リファレンス保証情報と、ICカード秘密情報保存部405内の活性化鍵とをリファレンス保証情報復号部410に送出する。
リファレンス保証情報復号部410は、この活性化鍵に基づいて暗号化リファレンス保証情報を復号し(ST40a−2)、得られたリファレンス保証情報を制御部402に送出する。
制御部402は、このリファレンス保証情報をリファレンス保証情報保存部404に書き込んだ後(ST40a−3)、リファレンス活性化部411を介してリファレンス保存部403内のフラグ情報を有効状態に更新してリファレンス情報を利用可能な状態に活性化する(ST40a−4)。
しかる後、制御部402は、処理終了を通信部401により、クライアント装置100に通知する。
[ステップST41] クライアント装置100においては、処理終了を受けた登録処理実行部103’は、リファレンス検証処理が終了したことを認証対象者に対して、例えばGUIなどで通知する。
上述したように本実施形態によれば、第2の実施形態の効果に加え、正式にサーバ装置300上でリファレンス情報の不可逆変換値が登録されるまでの間、ICカード400上のリファレンス情報を利用できないように制限することができる。これにより、生体情報の採取又はリファレンス情報から、正式にバイオメトリック認証システムに登録されるまでの間、ICカード400内のリファレンス情報を不正に利用されることを防止することができる。
なお、本実施形態では、暗号化鍵をクライアント装置100からICカード400に入力する場合について説明したが、これに限らず、例えば、暗号化鍵として公開鍵証明書を利用するのであれば、サーバ装置300又は外部リポジトリなどからICカード400に入力するなどの実現形態が考えられる。ICカード400に代えて携帯電話などを用いる場合であれば、携帯電話が実装する任意の通信手段、例えばOCR(光学読み取り)機能や近接無線通信機能などを介して暗号化鍵を取得してもよい。また、暗号化鍵として人間が記憶可能なパスフレーズ等を利用するのであれば、ユーザインタフェース部101を介して、認証対象者等がICカード400に直接入力してもよい。
また、上記の変形例として、ICカード400の活性化鍵生成部408と活性化鍵暗号化部409を、クライアント装置100上に配備してもよく、その場合ICカード400の暗号化鍵保存部407は活性化鍵を保存する活性化鍵保存部として置き換えてもよい。
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶又は一時記憶した記憶媒体も含まれる。
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
100…クライアント装置、101…ユーザインタフェース部、102…外部通信部、103,103’…登録処理実行部、104…登録部、105…登録情報受領部、106…登録処理ポリシー保存部、107…生体認証コンテクスト検証部、108…リファレンス不可逆情報登録部、109…暗号鍵保存部、200,200’…リファレンス生成装置、201…装置性能情報保存部、202,202’…秘密情報保存部、203…生体情報採取部、204,204’…リファレンス採取部、205…不可逆変換部、206…リファレンス隠蔽化部、207…生体認証コンテクスト生成部、208,208’…登録情報送出部、209…生体照合処理部、300…サーバ装置、301,301’…秘密情報保存部、302,302’…アカウント情報保存部、303,303’…登録処理ポリシー保存部、304…外部通信部、305,305’…登録処理部、306,306’…生体認証コンテクスト検証部、307…アカウント生成部、308…リファレンス復元部、309…リファレンス保証情報生成部、310…アカウント関連付け部、311…秘密情報保存部、312…活性化鍵復号部、313…リファレンス保証情報暗号化部、400…ICカード、401…通信部、402…制御部、403…リファレンス保存部、404…リファレンス保証情報保存部、405…ICカード秘密情報保存部、406…生体認証コンテクスト生成部、407…暗号化鍵保存部、408…活性化鍵生成部、409…活性化鍵暗号化部、410…リファレンス保証情報復号部、411…リファレンス活性化部411。