本発明は、生体認証に関する技術を提供するものである。
従来、コンピュータ等の情報機器を利用し、金融取引や入退室管理を行う場合の本人確認の手段としては、暗証番号やパスワードといった本人のみ知り得る情報を確認する、カードなどといった本人のみ所持し得る物を用いて確認する、といったことが一般的であった。しかし暗証番号やパスワード、カード等は、他人に盗まれてしまった場合になりすましが容易であるという欠点がある。
そこで近年においては、指紋や虹彩あるいは指静脈といった、他人が盗むのが困難であると共に各個人で異なっている生体情報を利用した、生体認証が注目されている。例えば、指紋に基づく個人認証は、指紋を指紋センサ上に接触させることで指紋を読み取り、指紋の端点や分岐点といった特徴パターンを抽出した照合データを生成し、既に登録されている本人の指紋の特徴パターンである登録データと照合することによって、本人か否かを確認する。
生体情報は時間の経過や認証時の状況により変化し得るため、同一人物の同一生体部位を用いても、登録データと照合データが完全に一致するか否かに基づいた、二値的な判定を行うことはできない。よって、登録データと照合データの類似度や不一致度を特定のアルゴリズムを用いて計算し、計算結果を予め設定した基準値(閾値)と比較することで判定を行う。登録データと照合データの不一致度分布を図23に示す。図23において、横軸が照合の不一致度を表し、縦軸が取得された特徴情報の出現度数を表す。また、901は本人の登録データを本人の照合データで照合した場合の度数曲線を表し、902は本人の登録データを詐称者の照合データで照合した場合の度数曲線を表す。
通常は曲線901の方が曲線902より左寄り(不一致度が小さい)となるため、生体認証閾値903を設定することで、不一致度が生体認証閾値903より小さい場合は本人と判断し、不一致度が生体認証閾値903より大きい場合は詐称者と判断する。ここで、図23に示したように、一般に度数曲線901と度数曲線902は重なりを持っており、詐称者であっても本人と判定してしまう場合が或る確率で存在し、これを他人受入率と呼ぶ。同様に、本人であっても詐称者と判定してしまう場合が或る確率で存在し、これを本人拒否率と呼ぶ。
他人受入率や本人拒否率は閾値の設定で任意に低くすることができるが、一般に、他人受入率が低くなるよう閾値を設定すると本人拒否率が増大し、本人拒否率が低くなるように閾値を設定すると他人受入率が増大する。他人受入率が増大すると、なりすましによる被害等のリスクが増大し、本人拒否率が増大すると、利用者の利便性が低下する。
複数の登録者の登録データを、データベース等を用いて集中管理し、特定の本人を認識する生体認証システムにおいては、照合データをそれぞれの登録データと照合していく1:N照合を行う必要がある。従来の1:N認証の技術としては、次のようなものが存在する。特許文献1で開示されている技術では、サーバで正当な利用者の生体情報を集中的に管理し、コンピュータシステムの利用を開始する際にクライアントにおいて受け付けた利用者の生体情報をサーバで照合して、正当な利用者にのみ、コンピュータシステムへのアクセスを許可することにより、詐称者のコンピュータシステムへのアクセスを防止する。
しかしながら、特許文献1で開示されている技術では、上述した他人受入率の存在により、照合する登録データの数が増えるほど、他人であっても本人と判定してしまう件数が多くなってしまう。特に、偶然似た生体情報を有する、異なる人物が同一の生体認証システムに登録された場合、登録データ同士の特徴の重なり合いが大きくなる。特徴の重なり合いが大きいデータどうしの照合処理では他人受入率・本人拒否率が大きくなるため、セキュリティや利便性が低下する。
本発明の目的は、特徴の重なり合いが大きいデータの登録を回避することで、登録者の数が膨大になったときの他人受入件数と本人拒否件数の増大を抑え、セキュリティや利便性の低下を防ぐことにある。
本発明の生体認証装置は、利用者の生体情報を用いて本人確認を行う生体認証装置であって、前記生体認証装置は、利用者の生体情報を読み取る生体情報センサと、データを格納するメモリと、生体認証を行う演算処理部とを有し、前記メモリには、生体情報が登録される利用者登録テーブルと、第1の閾値と、第2の閾値とを格納し、前記演算処理部は、生体情報を登録する場合に、第1の生体情報を前記生体情報センサから取得し、前記利用者登録テーブルに既に登録されている生体情報との不一致度を、所定のアルゴリズムを用いて計算し、前記不一致度が前記第1の閾値よりも小さい第2の生体情報が前記利用者登録テーブルに存在した場合、前記第2の生体情報の参照情報を付加した前記第1の生体情報を、前記利用者登録テーブルに登録する。
また、前記演算処理部は、生体認証による本人確認を行う際、第3の生体情報を前記生体情報センサから取得し、さらに、前記利用者登録テーブルに、第2の生体情報への参照情報が付加されている第1の生体情報が存在する場合、第3の生体情報と、前記利用者登録テーブルに既に登録されている生体情報のうち第1の生体情報を除いた生体情報との不一致度を、所定のアルゴリズムを用いて計算し、前記不一致度が前記第2の閾値よりも小さい生体情報が、前記利用者登録テーブルに存在する場合に本人確認成功と判断する。
次に、上記構成に対して、更に他の表現にて、以下に説明する。
生体情報を用いて認証を行う生体認証装置であって、前記生体認証装置は、生体情報を読み取る生体情報センサと、データを格納するメモリと、認証に関する演算処理を行う演算処理部とを有し、前記メモリに、前記生体情報センサから取得した生体情報が登録される利用者登録テーブルと、前記生体情報の登録処理において参照される第1の閾値とが格納され、前記演算処理部が、前記生体情報センサから取得した第1の生体情報と、前記利用者登録テーブルに登録されている生体情報との不一致度を演算した不一致度演算値が前記第1の閾値よりも小さい第2の生体情報が、前記利用者登録テーブルに存在した場合、当該第2の生体情報を参照する参照情報を付加して前記第1の生体情報が、前記利用者登録テーブルに登録されるようにする。
また、前記メモリに、生体情報の認証処理において参照される第2の閾値が格納され、前記利用者登録テーブルに第2の生体情報への参照情報が付加されている第1の生体情報が存在する場合、前記生体情報センサから取得した第3の生体情報と、前記利用者登録テーブルで第1の生体情報を除いた生体情報との不一致度を演算した不一致度演算値が前記第2の閾値よりも小さい生体情報が、前記利用者登録テーブルに存在する場合に、認証成功と判断するようにする。
また、前記生体認証装置は、外部に情報を通知する通知部を有し、前記メモリに、前記生体情報の認証処理において参照される第2の閾値が格納され、前記演算処理部は、前記利用者登録テーブルに第2の生体情報への参照情報が付加されている第1の生体情報が存在する場合、前記生体情報センサから取得した第3の生体情報と、前記利用者登録テーブルで第1の生体情報を除いた生体情報との不一致度を演算した不一致度演算値が前記第2の閾値よりも小さい第4の生体情報が、前記利用者登録テーブルに存在する場合に、認証成功と判断し、前記第4の生体情報の所有者と前記第1の生体情報の所有者が同一であり、かつ、前記第2の生体情報が前記利用者登録テーブルから削除されている場合は、前記第1の生体情報が認証において参照されることを、前記通知部を用いて通知するようにする。
また、外部に情報を通知する通知部を設け、前記メモリに、生体情報の認証処理において参照される第2の閾値が格納され、前記利用者登録テーブルに第2の生体情報への参照情報が付加されている第1の生体情報が存在する場合、前記生体情報センサから取得した第3の生体情報と、前記利用者登録テーブルで第1の生体情報を除いた生体情報との不一致度を演算した不一致度演算値が前記第2の閾値よりも小さい第4の生体情報が、前記利用者登録テーブルに存在する場合に、認証成功と判断し、前記第4の生体情報への参照情報が付加されている生体情報が前記利用者登録テーブルに格納されていることを前記通知部を用いて通知するようにする。
また、前記メモリに、生体情報の認証処理において参照される第2の閾値が格納され、前記生体情報センサから取得した第3の生体情報と前記利用者登録テーブルに登録されている生体情報との不一致度を演算した不一致度演算値を演算し、前記第2の閾値よりも小さい不一致度演算値が無い場合、または、前記第2の閾値よりも小さい不一致度演算値が複数有る場合には、認証が成功しなかったと判断するようにする。
生体情報を用いて認証を行う生体認証サーバであって、前記生体認証サーバは、生体情報を取得する通信部と、データを格納するメモリと、生体認証に関する演算処理を行う演算処理部とを有し、前記メモリには、前記通信部から取得した生体情報が登録される利用者登録テーブルと、前記生体情報の登録処理において参照される第1の閾値とを格納し、前記演算処理部が、前記通信部から取得した第1の生体情報と、前記利用者登録テーブルに登録されている生体情報との不一致度を演算して得られた値が前記第1の閾値よりも小さい第2の生体情報が前記利用者登録テーブルに存在した場合、当該第2の生体情報を参照する参照情報を付加して前記第1の生体情報が、前記利用者登録テーブルに登録されるようにする。
また、前記メモリに、生体情報の認証処理において参照される第2の閾値が格納され、
前記利用者登録テーブルに第2の生体情報への参照情報が付加されている第1の生体情報が存在する場合、前記生体情報センサから取得した第3の生体情報と、前記利用者登録テーブルで第1の生体情報を除いた生体情報との不一致度を演算した不一致度演算値が前記第2の閾値よりも小さい第4の生体情報が、前記利用者登録テーブルに存在する場合に、認証成功と判断するようにする。
また、前記メモリに、前記生体情報の認証処理において参照される第2の閾値が格納され、前記演算処理部は、前記利用者登録テーブルに第2の生体情報への参照情報が付加されている第1の生体情報が存在する場合、前記通信部から取得した第3の生体情報と、前記利用者登録テーブルで第1の生体情報を除いた生体情報との不一致度を演算した不一致度演算値が前記第2の閾値よりも小さい第4の生体情報が、前記利用者登録テーブルに存在する場合に、認証成功と判断し、前記第4の生体情報の所有者と前記第1の生体情報の所有者が同一であり、かつ、前記第2の生体情報が前記利用者登録テーブルから削除されている場合は、前記第1の生体情報が認証において参照されることを、前記通信部を用いて通知するようにする。
また、前記メモリに、生体情報の認証処理において参照される第2の閾値が格納され、前記利用者登録テーブルに第2の生体情報への参照情報が付加されている第1の生体情報が存在する場合、前記通信部から取得した第3の生体情報と、前記利用者登録テーブルで第1の生体情報を除いた生体情報との不一致度を演算した不一致度演算値が前記第2の閾値よりも小さい第4の生体情報が、前記利用者登録テーブルに存在する場合に、認証成功と判断し、前記第4の生体情報への参照情報が付加されている生体情報が前記利用者登録テーブルに格納されていることを前記通信部を用いて通知するようにする。
また、前記メモリに、生体情報の認証処理において参照される第2の閾値が格納され、前記生体情報センサから取得した第3の生体情報と前記利用者登録テーブルに登録されている生体情報との不一致度を演算した不一致度演算値を演算し、前記第2の閾値よりも小さい不一致度演算値が無い場合、または、前記第2の閾値よりも小さい不一致度演算値が複数有る場合には、認証が成功しなかったと判断するようにする。
生体情報を用いて認証を行う生体認証装置であって、前記生体認証装置は、生体情報を読み取る生体情報センサと、データを格納するメモリと、認証に関する演算処理を行う演算処理部とを有し、前記メモリに、前記生体情報センサから取得した生体情報が登録される利用者登録テーブルと、前記生体情報の登録処理において参照される第1の閾値とが格納され、前記演算処理部が、前記生体情報センサから取得した第1の生体情報と、前記利用者登録テーブルに登録されている生体情報との不一致度を演算した不一致度演算値の全てが前記第1の閾値よりも大きい場合、所定のサービスが提供されることを示す第1のサービス状態を付加した第1の生体情報を前記利用者登録テーブルに格納し、前記不一致度演算値が前記第1の閾値よりも小さい第2の生体情報が前記利用者登録テーブルに存在した場合、提供されるサービスが前記所定のサービスよりも制限されることを示す第2のサービス状態を付加した第1の生体情報を前記利用者登録テーブルに登録し、かつ、第2の生体情報のサービス状態を、前記第2のサービス状態にするようにする。
また、前記演算処理部は、前記利用者登録テーブルに既に登録されている第3の生体情報を前記メモリから削除する場合、前記第3の生体情報のサービス状態が前記第2のサービス状態であるならば、前記第3の生体情報と、前記利用者登録テーブルで前記第3の生体情報を除いたものとの不一致度を演算した不一致度演算値が前記第1の閾値よりも小さい一個以上の生体情報が存在する場合、前記一個以上の生体情報における各生体情報について、該生体情報と、利用者登録テーブルで該生体情報と前記第3の生体情報を除いたものとの不一致度を演算した不一致度演算値の全てが前記第1の閾値よりも大きい場合、該生体情報のサービス状態を、前記第1のサービス状態にするようにする。
また、前記生体認証装置は、外部に情報を通知する通知部を有し、前記メモリに、生体情報の認証処理において参照される第2の閾値が格納され、前記演算処理部は、前記生体情報センサから取得した第3の生体情報と、前記利用者登録テーブルに登録されている生体情報との不一致度を演算した不一致度演算値が前記第2の閾値よりも小さい第4の生体情報が前記利用者登録テーブルに存在し、前記第4の生体情報のサービス状態が前記第2のサービス状態であった場合、サービス状態が前記第1のサービス状態であった場合よりも、より多い回数だけ、前記生体情報センサから生体情報を取得し、それぞれの生体情報で所定の認証処理を行い、前記認証処理の全てが成功した場合に、前記通知部を用い、前記所定のサービスが提供できることを通知するようにする。
本発明を用いることで、他の生体情報と特徴の重なり合いが小さい生体情報のみを本人確認に用いることが可能となり、登録データ間での特徴の重なり合いを任意に少なく設定することができ、登録者の数が膨大になっても、他人受入率や本人拒否率の増大を抑えることができる。それにより、ユーザの利便性を損なわず、高い認識性能を有する本人確認を行う生体認証装置を実現できる。
以下、本発明の実施の形態について図面を用いて説明する。
本発明の第1の実施例を、図を用いて説明していく。ここで本実施例は、生体情報として指紋あるいは指静脈パターンを用いることを想定しているが、掌の静脈パターン、声紋、虹彩パターンといった、各個人で異なっている他の生体情報を用いる場合でも本発明の適用範囲である。また、声紋と指静脈といった異なる生体情報を組み合わせる場合や、暗証番号など他の認証手段と組み合わせて用いる場合も、本発明の適用範囲である。
本実施例では、ある生体情報について、前記生体情報が生体認証システムに格納され、かつ、認証処理において本人確認に利用することができる状態を、本登録と呼ぶ。また、ある生体情報について、前記生体情報が生体認証システムに格納されている一方で、本人確認には利用できない状態を、仮登録と呼ぶ。また、仮登録された生体情報が本登録に移行することを、格上げと呼ぶ。
図1は第1の実施例の構成を示す構成図である。図1において、10は生体認証装置、11は利用者の指である。生体認証装置10は、利用者の指11を用いて生体認証による本人確認を行う機能を有する装置であり、本人確認だけを行う専用装置であっても、あるいは入退室管理や金融取引処理など他の機能を有していても良い。また生体認証装置10は、生体情報を登録する機能と、生体情報を認証する機能を有するが、登録と認証のうちどちらか一方の機能を有する装置であっても、本発明の適用範囲である。
生体認証装置10の内部構成としては、生体情報センサ20と、利用者出力部21と、利用者入力部22と、外部通信部23と、データ格納メモリ24と、プログラム格納メモリ25と、演算処理部26とを有しており、これらが通信用バスで相互に接続されている。
生体情報センサ20は生体情報を読み取る機能を有する。本実施例では、生体情報として指紋パターンや指静脈パターンを読み取ることを想定するが、他の生体情報を読み取る場合であっても本発明の適用範囲である。
利用者出力部21は、利用者に対して画像や文字等の視覚情報あるいは音声情報を出力して提示するための出力機能を提供する。利用者出力部21としては液晶ディスプレイやスピーカを用いることが考えられる。
利用者入力部22は、利用者が必要な情報を入力することを可能にする。利用者入力部22としてはキーボード、テンキーパッド、マイク、あるいはタッチパネルを用いることが考えられる。
外部通信部23は、生体認証結果等を外部に送受信するために用いる。外部通信部23としては、有線LANモジュール、無線LANモジュール、USBモジュールを用いることが考えられる。あるいは他の通信モジュールを用いる場合でも本発明の適用範囲である。
データ格納メモリ24は、生体認証装置10が生体認証処理を行うために必要なデータを格納するためのメモリであり、ハードディスクや半導体メモリ等から構成される。
プログラム格納メモリ25は、生体認証装置10が生体認証処理を行うための制御プログラムを格納するためのメモリであり、ハードディスクや半導体メモリ等から構成される。
演算処理部26は、生体認証装置10全体の制御を司り、データ格納メモリ24に格納されているデータを用いて、プログラム格納メモリ25に格納しているプログラムを実行して生体認証処理を行う。演算処理部26としてはマイクロプロセッサを用いることが考えられる。
次に、データ格納メモリ24に格納しているデータについて説明していく。データ格納メモリ24には、利用者登録テーブル30と、生体照合データ31と、登録用閾値32と、認証用閾値33が格納されている。
利用者登録テーブル30は、利用者が登録している生体情報である生体登録データと、利用者の氏名や住所といった利用者情報を、互いに関連付けて管理するためのテーブルである。利用者登録テーブル30に格納される生体登録データは、場合によって仮登録を示すマークが付される。仮登録を示すマークには利用者登録テーブル30に格納された他の生体登録データを特定する情報が含まれる。
図1の例では、生体登録データ100は利用者情報200に、生体登録データ110は利用者情報210に、生体登録データ120と生体登録データ121は利用者情報220に、生体登録データ130と生体登録データ131は利用者情報230に関連付けられている。また生体登録データ130には仮登録マーク300が付され、生体登録データ130が生体認証装置10に仮登録されていることが示されている。仮登録マーク300には生体登録データ100を指し示す情報が含まれている。
利用者登録テーブル30は、生体登録データに関連付けられた利用者情報を取得することが可能であると共に、利用者情報に関連付けられた生体登録データを取得することが可能であり、リレーショナルデータベースの仕組みを用いて実装することが考えられる。他の方法で実装された場合も、本発明の適用範囲である。
生体照合データ31は、生体情報センサ20を用いて、利用者の指11から生成した照合データである。
登録用閾値32は、生体情報の登録処理において、生体情報センサ20から取得した生体照合データ31と、利用者登録テーブル30に登録されている生体登録データとで、1:N照合を行う際に用いる閾値である。
認証用閾値33は、生体情報の認証処理において、生体情報センサ20から取得した生体照合データ31と、利用者登録テーブル30に登録されている生体登録データとで、1:N照合を行う際に用いる閾値である。
なお、登録用閾値32と認証用閾値33が、演算処理部26やプログラム格納メモリ25の中に組み込まれている場合や、外部通信部23から取得するような場合も、本発明の適用範囲である。
次に、生体認証装置10が実行する登録処理の処理フローを図2に示す。
[ステップS1000]生体認証装置10は、利用者が生体情報センサ20を用いて、利用者の指11から生体照合データ31を生成して一時保存する。
[ステップS1001]生体認証装置10は、前記生体照合データ31と、利用者登録テーブル30に格納された生体登録データとで、登録用閾値32を用いて1:N照合を行う。
[ステップS1002]生体認証装置10は、ステップS1001で実行した1:N照合で、利用者登録テーブル30に格納された生体登録データの中で、登録用閾値32よりも不一致度が小さい(別の表現をすると、演算処理部にて不一致度を演算した不一致度演算値が小さい)生体登録データが存在した場合はステップS1003に進む。そうでなければ、ステップS1006に進む。
ここで、念のために、説明するが、「1:N照合で、利用者登録テーブル30に格納された生体登録データの中で、登録用閾値32よりも不一致度が小さい生体登録データが存在」するとは、前記生体照合データ31と利用者登録テーブル30に格納された生体登録データとが、例えば、偶然似た生体情報同士であり、特徴の重なり合いが大きいことを意味する。従って、この場合には、前記生体照合データ31を登録すると、例えば、他人であっても本人と判定してしまう可能性が大きくなり、認証性能が低下することが有り得る。
一方、「そうでない」即ち、「1:N照合で、利用者登録テーブル30に格納された生体登録データの中で、登録用閾値32よりも不一致度が小さい生体登録データが存在」しないとは、前記生体照合データ31と利用者登録テーブル30に格納された生体登録データとが、特徴の重なり合いが小さいことを意味する。従って、この場合には、前記生体照合データ31を登録しても、他人であっても本人と判定してしまう可能性が小さくなり、認証性能が低下することは小さいと言える。従って、ステップS1006に進み、前記生体照合データ31を利用者登録テーブル30に格納する。
[ステップS1003]生体認証装置10は、利用者に対し、入力された生体情報が本登録できないことを通知し、仮登録を行うかどうかを問い合わせる。通知および問い合わせには利用者出力部21や利用者入力部22を用いる。仮登録を行う場合はS1004に進む。そうでなければ、ステップS1000に進み、生体情報センサ20を用いて、再度取得した別の生体情報を用いての登録処理を行う。
[ステップS1004]生体認証装置10は、生体照合データ31と利用者情報を利用者登録テーブル30に格納し、格納した生体登録データに仮登録マークを付す。仮登録マークはステップS1001で該当した生体登録データを示す情報を含む。該当した生体登録データが複数あった場合、仮登録マークはそれら全ての生体登録データを示す情報を含むことが考えられる。
[ステップS1005]生体認証装置10は、入力された生体情報を仮登録したことを、利用者出力部21を用いて出力する。その後ステップS1000に進み、別の生体情報を用いた登録処理を行う。
[ステップS1006]生体認証装置10は、生体照合データ31と利用者情報を利用者登録テーブル30に格納する。
[ステップS1007]生体認証装置10は、入力された生体情報を本登録したことを、利用者出力部21を用いて表示し、登録処理を終了する。
次に、生体認証装置10が実行する登録処理について、例を用いて説明する。図3は、登録を試みる生体照合データ31Aと、利用者登録テーブル30の状態を示す。
図4は、生体照合データ31Aの登録処理において、ステップS1001における1:N照合で登録用閾値32よりも不一致度が小さい生体登録データが存在しなかった場合の処理結果として、生体照合データ31Aと利用者登録テーブル30を示す。図4に示すように、生体照合データ31Aは生体登録データ130として利用者登録テーブル30に格納され、利用者情報230と関連付けられる。
図5は、生体照合データ31Aの登録処理において、ステップS1001における1:N照合で、登録用閾値32よりも不一致度が小さい生体登録データとして生体登録データ100が該当した場合における、S1005での仮登録を行った処理結果としての生体照合データ31A、及び利用者登録テーブル30を示す。図5に示すように、生体照合データ31Aは生体登録データ130として利用者登録テーブル30に格納され、利用者情報230と関連付けられた上、生体登録データ100を指し示す仮登録マークが付される。
ここで、念のために、図5の“100”なる記載の意味を説明する。前述のように、「1:N照合で、登録用閾値32よりも不一致度が小さい生体登録データとして生体登録データ100が該当した」とは、前記生体照合データ31Aと生体登録データ100とが、例えば、偶然似た生体情報同士であり、特徴の重なり合いが大きいことを意味する。従って、この場合には、前記生体照合データ31を登録すると、例えば、生体登録データ100を有する利用者が他人であっても本人と判定してしまう可能性が大きいこと言える。
よって、前記生体照合データ31Aが生体登録データ130として利用者登録テーブル30に格納され、利用者情報230と関連付けられるのであるが、“100”として示される仮登録マーク300を明示的に付けることで、利用者情報230が生体登録データ“100”に対応する利用者200と判定される可能性のあることを示すのである
図6は、図5で示した例に続く処理として、先に仮登録された生体情報を持つ利用者について、新たに生体照合データ31Bが取得され、登録処理が終了した際の処理結果としての生体照合データ31B、及び利用者登録テーブル30示す。
図6では、ステップS1001における1:N照合の結果、生体照合データ31B対して、登録用閾値32よりも不一致度が小さい生体登録データが存在しないことが確認された為、前記生体照合データ31Bを生体登録データ131として利用者登録テーブル30に格納され、利用者情報230と関連付けられていることを示している。
次に、生体認証装置10が実行する認証処理の処理フローを図7に示す。
[ステップS2000]生体認証装置10は、利用者が生体情報センサ20を用いて、利用者の指11から生体照合データ31を生成して一時保存する。
[ステップS2001]生体認証装置10は、生体照合データ31と、利用者登録テーブル30に格納された生体登録データのうち仮登録マークのついていない生体登録データとで、認証用閾値33を用いて1:N照合を行う。
[ステップS2002]生体認証装置10は、ステップS2001で実行した1:N照合で、認証用閾値33よりも不一致度が小さい生体登録データが唯一件存在した場合はステップS2003に進む。そうでなければ、ステップS2009に進む。
[ステップS2003]生体認証装置10は、生体認証が成功したことを、利用者出力部21を用いて出力する。
[ステップS2004]生体認証装置10は、ステップS2001で、認証用閾値33よりも不一致度が小さいと判定された生体登録データに関連付けられた利用者情報を取得し、前記利用者が仮登録された生体登録データを持つ場合、ステップS2005に進む。そうでなければ、認証成功として認証処理を終了する。
[ステップS2005]生体認証装置10は、ステップS2004で得た仮登録された生体登録データについて、仮登録マークが指し示す生体登録データが利用者登録テーブル30に格納されているかどうかを得る。登録抹消等の理由により仮登録マークが指し示す生体登録データが利用者登録テーブル30に存在しない場合、ステップS2006に進む。そうでなければ、認証成功として認証処理を終了する。
[ステップS2006]生体認証装置10は、利用者に対し、仮登録されている生体登録データについて、本登録に格上げするかどうかを問い合わせる。通知および問い合わせには利用者出力部21や利用者入力部22を用いる。本登録への格上げを行う場合はS2007に進む。そうでなければ、認証成功として認証処理を終了する。
[ステップS2007]生体認証装置10は、本登録への格上げを行う生体登録データについて、生体登録データに付された仮登録マークを削除する。
[ステップS2008]生体認証装置10は、仮登録されていた生体登録データを本登録に格上げしたことを、利用者出力部21を用いて出力する。その後S2004に進み、他に仮登録の生体登録データが存在するかどうかを得る。
[ステップS2009]生体認証装置10は、生体認証が失敗したことを、利用者出力部21を用いて出力する。認証失敗として認証処理を終了する。
次に、生体認証装置10が実行する認証処理について、例を用いて説明する。図8は、認証処理のステップS2001が完了した時点における、生体照合データ31Cと、利用者登録テーブル30の状態を示す。なお、図8の利用者登録テーブル30は、図6における利用者登録テーブル30から、生体登録データ100およびそれに関連付けられた利用者情報110が削除されたものである。これは生体登録データ100を持つ利用者の登録が抹消された状況を想定している。
図9は、ステップS2001での1:N照合で、生体照合データ31Cと、生体登録データ131とが適合した場合の、生体照合データ31Cと利用者登録テーブル30の状態を示す。生体照合データ31Cが、利用者登録テーブル30に本登録された生体登録データのうち、生体登録データ131と唯一件適合した場合、認証はひとまず成功したとし、S2004以降の仮登録データの格上げ処理に移る。生体登録データ131に関連付けられた利用者情報230は、生体登録データ131の他に、仮登録マーク300が付された生体登録データ130と関連付けられている。仮登録マーク300が指し示す生体登録データ100は、利用者登録テーブル30に存在しないため、生体登録データ130の本登録への格上げが可能になる。図10は、利用者登録テーブル30において、仮登録マーク300が削除され、生体登録データ130が本登録に格上げされた状態を示す。
次に、生体認証装置10の登録処理において、利用者出力部21が出力する画面遷移の一例を図11に示す。
[画面600]生体認証装置10は、生体認証を行うために、利用者の指を生体情報センサ20に置くようにガイドする、文章、音声、あるいはグラフィックスを出力する。生体認証装置10は、生体情報センサ20に指が置かれたことを検知したら、生体情報センサ20から生体情報を取得し、登録処理を続行する。もし本登録を行うのであれば、画面601に遷移する。そうでなければ、画面602に遷移する。
[画面601]生体認証装置10は、生体情報を本登録し、本登録を終了したことを、文章、音声、あるいはグラフィックスで出力する。
[画面602]生体認証装置10は、生体情報が本登録できないことを利用者に提示するための、及び、生体情報を仮登録するかどうかの意思表示を求めるための、文章、音声、あるいはグラフィックスを出力する。仮登録を行う場合は、画面603に遷移する。そうでなければ、画面604に遷移する。
[画面603]生体認証装置10は、生体情報を仮登録し、仮登録を終了したことを、文章、音声、あるいはグラフィックスで出力する。
[画面604]生体認証装置10は、本登録に向け他の生体情報の登録処理を行うことを、文章、音声、あるいはグラフィックスで出力し、画面600に遷移する。
次に、生体認証装置10の認証処理において、利用者出力部21が出力する画面遷移の一例を図12に示す。
[画面700]生体認証装置10は、生体認証を行うために、利用者の指を生体情報センサ20に置くようにガイドする、文章、音声、あるいはグラフィックスを出力する。生体認証装置10は、生体情報センサ20に指が置かれたことを検知したら、生体情報センサ20から生体情報を取得し、認証処理を続行する。認証処理により、認証が成功した場合、画面701に遷移する。そうでなければ、画面702に遷移する。
[画面701]生体認証装置10は、生体認証が成功したことを、文章、音声、あるいはグラフィックスで出力する。さらに、前記利用者が過去に生体認証装置10に登録した生体登録データのうち、格上げできる生体登録データが存在する場合、画面703に遷移する。そうでなければ、認証処理を終了する。
[画面702]生体認証装置10は、生体認証が失敗したことを、文章、音声、あるいはグラフィックスで出力する。
[画面703]生体認証装置10は、前記利用者が過去に生体認証装置10に登録した生体登録データのうち、格上げできる生体登録データが存在することを提示するための、及び、前記生体登録データを格上げするかどうかの意思表示を求めるための、文章、音声、あるいはグラフィックスを出力する。格上げを行う場合は、画面704に遷移する。そうでなければ、認証処理を終了する。
[画面704]生体認証装置10は、前記生体登録データを格上げしたことを、文章、音声、あるいはグラフィックスで出力する。さらに、前記利用者の生体登録データのうち、他に格上げできる生体登録データが存在する場合、画面703に遷移する。そうでなければ、認証処理を終了する。
以上説明したように、登録時において登録用閾値を用い1:N照合を行うことにより、特徴の重なり合いが大きいデータの本登録を回避し、本人確認に利用するデータ間での特徴の重なり合いを任意に少なく設定することができる。それにより、登録データ数の増加に伴う他人受入件数の増加を抑えることができると共に、認証時の本人拒否率の増大を抑えることが可能になり、ユーザの利便性を向上できる。また、生体情報の仮登録を行うことにより、本登録できなかった原因である生体情報が生体認証装置から削除された場合に、格上げ可能である旨を通知することできる。これにより、ユーザは再登録の手間を省くことができ、利便性を向上できる。
登録用閾値32と認証用閾値33は、いずれも自由な値が設定されるため、任意の不一致度で認証結果を左右することができる。登録用閾値32と認証用閾値33は異なる値を参照しても良いし、同じ値を参照しても良い。異なる値に設定する場合、登録用閾値32の不一致度を、認証用閾値33の不一致度よりも大きくなるように設定することが考えられる。こうすることで、認証用閾値31よりは不一致度が大きいものの認証セッション毎のばらつきにより誤認識される可能性が高いような生体情報について、登録を回避することができ、信頼性の高い認証システムを構築できる。同じ値を参照する場合、認証処理フローで用いる認証用閾値33を登録処理フローで用いることと同じになり、誤認識のリスクが極めて高い生体情報の登録を回避することができる。
図2の登録処理フローに示される登録処理では、S1001で登録用閾値32のみを用いて1:N照合を行い、仮登録するかどうかを判定している。S1001における1:N照合により、本登録できないと判定された生体照合データに関し、認証用閾値33を用いた1:N照合を行い、不一致度が登録用閾値32と認証用閾値33の間に存在するデータについては仮登録を行う一方で、不一致度が認証用閾値33よりも低いものは仮登録すらも行わないことが考えられる。これにより、誤認識のリスクが極めて高い生体情報の登録を回避することができる。
また、生体認証装置10は、利用者の指11から生成した生体照合データ31を一時保存した後、1:N照合を行う前に、再度、利用者の指11から生成した生体照合データを取得し、先に一時保存した生体照合データ31を照合対象に含め、登録用閾値32もしくは認証用閾値33を用い1:N照合を行うことも考えられる。この場合、照合結果として、先に一時保存した生体照合データ31とのみ該当した場合において本登録もしくは仮登録を行い、それ以外の場合は登録を行わないことが考えられる。これにより、生体登録データとして不適当な情報の登録を回避することができる。
また本発明において、本登録するかどうかといった判定などは不一致度以外の基準を用いてもよく、例えば一致度を用いてもよい。登録用閾値32や認証用閾値33として一致度を用いる場合は、利用者の指11から生成した生体照合データ31について、一致度が登録用閾値32よりも大きい生体情報が利用者登録テーブルに存在する場合は本登録しない、などといった処理が考えられる。
本発明の第2の実施例を、図を用いて説明していく。第1の実施例では、登録時に利用者の指から取得した生体情報が、既に生体認証装置に登録されている生体情報のいずれかと不一致度が小さいと判断された場合に、前記生体情報の仮登録を行ったが、本実施例では、さらに、前記仮登録された生体情報と不一致度が小さいと判定された生体情報を所持する利用者に対し、別の生体情報を登録するよう利用者に薦める出力を行う。これにより、前記生体情報を利用したなりすまし等によるリスクを低減し、より高い安全性を提供する。
本実施例は、第1の実施例と同様に、生体情報として指紋あるいは指静脈を用いることを想定しているが、他の生体情報を用いる場合でも本発明の適用範囲である。また、声紋と指静脈といった異なる生体情報を組み合わせる場合や、暗証番号など他の認証手段と組み合わせて用いる場合も、本発明の適用範囲である。
本実施例では、第1の実施例と同様に、ある生体情報について、前記生体情報が生体認証システムに格納され、かつ、認証処理において本人確認に利用することができる状態を、本登録と呼ぶ。また、ある生体情報について、前記生体情報が生体認証システムに格納されている一方で、本人確認には利用できない状態を、仮登録と呼ぶ。また、仮登録された生体情報が本登録に移行することを、格上げと呼ぶ。
第2の実施例の構成図は第1の実施例と同じである。また第2の実施例において生体認証装置10が実行する登録処理のフローは第1の実施例と同じである。
第2の実施例において、生体認証装置10が実行する認証処理の処理フローを図13に示す。
[ステップS3000]生体認証装置10は、利用者が生体情報センサ20を用いて、利用者の指11から生体照合データ31を生成して一時保存する。
[ステップS3001]生体認証装置10は、生体照合データ31と、利用者登録テーブル30に格納された生体登録データのうち仮登録マークのついていない生体登録データとで、認証用閾値33を用いて1:N照合を行う。
[ステップS3002]生体認証装置10は、ステップS3001において実行した1:N照合で、認証用閾値33よりも不一致度が小さい生体登録データが唯一件存在した場合はステップS3003に進む。そうでなければ、ステップS3010に進む。
[ステップS3003]生体認証装置10は、生体認証が成功したことを、利用者出力部21を用いて出力する。
[ステップS3004]生体認証装置10は、利用者登録テーブル30内に、利用者の生体登録データを指し示す仮登録マークが付された生体登録データが存在するかどうかを調べ、存在した場合はステップS3011に進む。そうでなければ、ステップS3005に進む。
[ステップS3005]生体認証装置10は、ステップS3001で、認証用閾値33よりも不一致度が小さいと判定された生体登録データに関連付けられた利用者情報を取得し、前記利用者が仮登録された生体登録データを持つ場合、ステップS3006に進む。そうでなければ、認証成功として認証処理を終了する。
[ステップS3006]生体認証装置10は、ステップS3005で得た仮登録された生体登録データについて、仮登録マークが指し示す生体登録データが利用者登録テーブル30に格納されているかどうかを得る。登録抹消等の理由により仮登録マークが指し示す生体登録データが利用者登録テーブル30に存在しない場合、ステップS3007に進む。そうでなければ、認証成功として認証処理を終了する。
[ステップS3007]生体認証装置10は、利用者に対し、仮登録されている生体登録データについて、本登録に格上げするかどうかを問い合わせる。通知および問い合わせには利用者出力部21や利用者入力部22を用いる。本登録への格上げを行う場合はS3008に進む。そうでなければ、認証成功として認証処理を終了する。
[ステップS3008]生体認証装置10は、本登録への格上げを行う生体登録データについて、生体登録データに付された仮登録マークを削除する。
[ステップS3009]生体認証装置10は、仮登録されていた生体登録データを本登録に格上げしたことを、利用者出力部21を用いて出力する。その後S3005に進み、他に仮登録の生体登録データが存在するかどうかを得る。
[ステップS3010]生体認証装置10は、生体認証が失敗したことを、利用者出力部21を用いて出力する。
[ステップS3011]生体認証装置10は、利用者の生体情報と似た生体的特徴を持った別の利用者がシステムに登録されているとし、利用者出力部21用い、別の生体情報を登録するよう利用者に薦める出力を行う。
以上説明したように、仮登録マークに参照情報として付加された生体情報を所持する利用者に対し、別の生体情報を登録するよう利用者に薦める出力を行うことで、前記生体情報を利用したなりすまし等によるリスクを低減し、より高い安全性を提供することができる。
なお、本実施例ではステップS3004において、利用者の生体登録データを指し示す仮登録マークが付された生体登録データが存在するかどうかを調べるには、ステップS3001の1:N照合を行う際に仮登録マークが付された生体情報を覚えておいて、その中から検索するなどの方法が考えられる。また予め登録処理(第1の実施例に准ずる)における仮登録の段階で、S1004で前記利用者の生体登録データに仮登録マークを付す際、既に利用者登録テーブル30に格納されている生体登録データのうち、S1001の1:N照合で前記利用者の生体登録データと不一致度が小さいと判定された生体登録データについて、前記利用者の生体登録データを指し示す情報を含むマークを付しておくことで、仮登録マークを相互参照にすることができる。これにより、全ての生体登録データに対し、利用者登録テーブル30内に不一致度の小さい他の生体登録データが存在するかどうかを直ちに判定することができ、それにより認証処理の負荷を軽減することが可能である。
本発明の第3の実施例を、図を用いて説明していく。第1の実施例および第2の実施例では、生体情報の取得と認証処理を同一の装置で行うが、本実施例では、複数の生体認証装置によって取得された生体情報を、生体認証サーバで一元管理し、生体認証サーバが照合処理を行うことで、各生体認証装置の負荷を軽減させると同時に、生体認証サーバで大量の生体情報を取り扱う場合でも、登録データ間での特徴の重なり合いを任意に少なく設定し、他人受入率や本人拒否率の増大を抑えることで、ユーザの利便性を損なわず、高い認識性能を有する本人確認を行う生体認証システムを実現する。
本実施例では、第1の実施例と同様に、生体情報として指紋あるいは指静脈を用いることを想定しているが、虹彩などのほかの生体情報を用いる場合でも本発明の適用範囲である。また、声紋と指静脈といった異なる生体情報を組み合わせる場合や、暗証番号など他の認証手段と組み合わせて用いる場合も、本発明の適用範囲である。本実施例では、第1の実施例と同様に、ある生体情報について、前記生体情報が生体認証システムに格納され、かつ、認証処理において本人確認に利用することができる状態を、本登録と呼ぶ。また、ある生体情報について、前記生体情報が生体認証システムに格納されている一方で、本人確認には利用できない状態を、仮登録と呼ぶ。また、仮登録された生体情報が本登録に移行することを、格上げと呼ぶ。
図14は第3の実施例の構成を示す構成図である。図14において、10Aと10Bと10Cは生体認証装置、11は利用者の指、40は生態認証サーバ、50はネットワークである。
生体認証装置10A、10B、および10Cは、利用者の指11を用いて生体認証による本人確認を行う機能を有する装置であり、それぞれ同じ構成を有する。生体認証装置10A、10B、および10Cは、利用者の指11を用いて生体認証による本人確認を行う機能を有する装置であり、本人確認だけを行う専用装置であっても、あるいは入退室管理や金融取引処理など他の機能を有していても良い。また生体認証装置10A、10B、および10Cは、生体情報を登録する機能と、生体情報を認証する機能を有するが、登録と認証のうちどちらか一方の機能を有する装置であっても、本発明の適用範囲である。
生体認証サーバ40は、利用者の登録情報を一元管理し、生体認証装置10A、10B、および10Cとネットワーク50経由で連携して、生体認証による本人確認を行う機能を有している。ここで、本実施例においては、3台の生体認証装置がネットワークに接続されているが、任意の台数の生体認証装置をネットワークに接続する構成であっても本発明の適用範囲である。また生体認証サーバ40は、生体情報を登録する機能と、生体情報を認証する機能を有するが、登録と認証のうちどちらか一方の機能を有する装置であっても、本発明の適用範囲である。
次に、生体認証装置10Aの内部構成を説明する。生体認証装置10Aは、生体情報センサ20と、利用者出力部21と、利用者入力部22と、外部通信部23と、データ格納メモリ24と、プログラム格納メモリ25と、演算処理部26とを有しており、これらが通信用バスで相互に接続されている。
生体情報センサ20は生体情報を読み取る機能を有する。本実施例では、生体情報として指紋パターンや指静脈パターンを読み取ることを想定するが、他の生体情報を読み取る場合であっても本発明の適用範囲である。
利用者出力部21は、利用者に対して画像や文字等の視覚情報あるいは音声情報を出力して提示するための出力機能を提供する。利用者出力部21としては液晶ディスプレイやスピーカを用いることが考えられる。
利用者入力部22は、利用者が必要な情報を入力することを可能にする。利用者入力部22としてはキーボード、テンキーパッド、マイク、あるいはタッチパネルを用いることが考えられる。
外部通信部23は、生体認証結果等を外部に送受信するために用いる。外部通信部23としては、有線LANモジュール、無線LANモジュール、USBモジュールを用いることが考えられる。あるいは他の通信モジュールを用いる場合でも本発明の適用範囲である。
データ格納メモリ24は、生体認証装置10が生体認証処理を行うために必要なデータを格納するためのメモリであり、ハードディスクや半導体メモリ等から構成される。
プログラム格納メモリ25は、生体認証装置10が生体認証処理を行うための制御プログラムを格納するためのメモリであり、ハードディスクや半導体メモリ等から構成される。
演算処理部26は、生体認証装置10全体の制御を司り、データ格納メモリ24に格納されているデータを用いて、プログラム格納メモリ25に格納しているプログラムを実行して生体認証処理を行う。演算処理部26としてはマイクロプロセッサを用いることが考えられる。
次に、生体認証サーバ40の内部構成について説明する。生体認証装置40は、外部通信部43と、データ格納メモリ44と、プログラム格納メモリ45と、演算処理部46とを有しており、これらが通信用バスで相互に接続されている。
外部通信部43は、生体認証結果等を外部に送受信するために用いる。外部通信部43としては、優先LANモジュール、無線LANモジュール、USBモジュールを用いることが考えられる。あるいは他の通信モジュールを用いる場合でも本発明の適用範囲である。
データ格納メモリ44は、生体認証装置10が生体認証処理を行うために必要なデータを格納するためのメモリであり、ハードディスクや半導体メモリ等から構成される。
プログラム格納メモリ45は、生体認証装置10が生体認証処理を行うための制御プログラムを格納するためのメモリであり、ハードディスクや半導体メモリ等から構成される。
演算処理部46は、生体認証装置10全体の制御を司り、データ格納メモリ44に格納されているデータを用いて、プログラム格納メモリ45に格納しているプログラムを実行して生体認証処理を行う。演算処理部46としてはマイクロプロセッサを用いることが考えられる。
次に、データ格納メモリ44に格納しているデータについて説明していく。データ格納メモリ44には、利用者登録テーブル30と、生体照合データ31と、登録用閾値32と、認証用閾値33が格納されていおり、これらのデータは第1の実施例で説明したものと同じ構成となっている。登録用閾値32と認証用閾値33が、演算処理部46やプログラム格納メモリ45の中に組み込まれている場合や、外部通信部43から取得するような場合も、本発明の適用範囲である。
次に、生体認証装置10Aと生体認証サーバ40が実行する登録処理の処理フローを図15に示す。
[ステップS4000]生体認証装置10Aは、利用者が生体情報センサ20を用いて、利用者の指11から生体照合データを生成し、生体認証サーバ40に送信する。
[ステップS4001]生体認証サーバ40は、生体認証装置10Aから受信した生体照合データを、生体照合データ31として一時保存する。
[ステップS4002]生体認証サーバ40は、生体照合データ31と、利用者登録テーブル30に格納された生体登録データとで、登録用閾値32を用いて1:N照合を行う。
[ステップS4003]生体認証サーバ40は、ステップS4002で実行した1:N照合の照合結果を生体認証装置10Aに送信し、登録用閾値32よりも不一致度が小さい生体登録データが存在した場合はステップS4004に進む。そうでなければ、ステップS4009に進む。
[ステップS4004]生体認証サーバ40は、生体照合データ31と利用者情報を利用者登録テーブル30に格納し、ステップS4006に進む。
[ステップS4005]生体認証装置10Aは、生体認証サーバ40から受信した結果に基づき、S4002で実行した1:N照合で、登録用閾値32よりも不一致度が小さい生体登録データが存在した場合はステップS4007に進む。そうでなければ、ステップS4008に進む。
[ステップS4006]生体認証サーバ40は、入力された生体情報を本登録したことを、生体認証装置10Aに送信し、登録処理を終了する。
[ステップS4007]生体認証装置10Aは、生体認証サーバから受信した情報に基づき、入力された生体情報を本登録したことを、利用者出力部21を用いて表示し、登録処理を終了する。
[ステップS4008]生体認証装置10Aは、利用者に対し、入力された生体情報が本登録できないことを通知し、仮登録を行うかどうかを問い合わせる。通知および問い合わせには利用者出力部21や利用者入力部22を用いる。問い合わせの結果は生体認証サーバ40に送信する。仮登録を行う場合はS4012に進む。そうでなければ、ステップS4000に進み、別の生体情報を用いた登録処理を行う。
[ステップS4009]生体認証サーバ40は、生体認証装置10Aから受信した情報に基づき、仮登録を行う場合はステップS4010に進む。そうでなければ、ステップS4001に進み、別の生体情報を用いた登録処理を行う。
[ステップS4010]生体認証サーバ40は、生体照合データ31と利用者情報を利用者登録テーブル30に格納し、格納した生体登録データに仮登録マークを付す。仮登録マークはステップS4002で登録用閾値32よりも不一致度が小さいと判定された生体登録データを示す情報を含む。該当した生体登録データが複数あった場合、仮登録マークはそれら全ての生体登録データを示す情報を含むことが考えられる。
[ステップS4011]生体認証サーバ40は、入力された生体情報を仮登録したことを、生体認証装置10Aに送信する。その後ステップS4001に進み、別の生体情報を用いた登録処理を行う。
[ステップS4012]生体認証装置10は、生体認証サーバから受信した情報に基づき、入力された生体情報を仮登録したことを、利用者出力部21を用いて出力する。その後ステップS4000に進み、別の生体情報を用いた登録処理を行う。
次に、生体認証装置10Aと生体認証サーバ40が実行する認証処理の処理フローを図16に示す。
[ステップS5000]生体認証装置10Aは、利用者が生体情報センサ20を用いて、利用者の指11から生体照合データを生成し、生体認証サーバ40に送信する。
[ステップS5001]生体認証サーバ40は、生体認証装置10Aから受信した生体照合データを、生体照合データ31として一時保存する。
[ステップS5002]生体認証サーバ40は、生体照合データ31と、利用者登録テーブル30に格納された生体登録データのうち仮登録マークのついていない生体登録データとで、認証用閾値33を用いて1:N照合を行う。
[ステップS5003]生体認証サーバ40は、ステップS5002で実行した1:N照合で、認証用閾値33よりも不一致度が小さい生体登録データが唯一件存在した場合はステップS5004に進む。そうでなければ、ステップS5005に進む。
[ステップS5004]生体認証サーバ40は、生体認証が成功したことを、生体認証装置10Aに送信するし、ステップS5007に進む。
[ステップS5005]生体認証サーバ40は、生体認証が失敗したことを、生体認証装置10Aに送信し、認証処理を終了する。
[ステップS5006]生体認証装置10Aは、生体認証サーバ40から受信した情報に基づき、生体認証の結果を、利用者出力部21を用いて出力する。生体認証が成功した場合はステップS5009に進む。そうでなければ、認証失敗として認証処理を終了する。
[ステップS5007]生体認証サーバ40は、ステップS5002で、認証用閾値33よりも不一致度が小さいと判定された生体登録データに関連付けられた利用者情報を取得し、結果を生体認証装置10Aに送信する。前記利用者が仮登録された生体登録データを持つ場合、ステップS5008に進む。そうでなければ、認証成功として認証処理を終了する。
[ステップS5008]生体認証サーバ40は、ステップS5007で得た仮登録された生体登録データについて、仮登録マークが指し示す生体登録データが利用者登録テーブル30に格納されているかどうかを得る。登録抹消等の理由により仮登録マークが指し示す生体登録データが利用者登録テーブル30に存在しない場合、ステップS5011に進む。そうでなければ、認証成功として認証処理を終了する。
[ステップS5009]生体認証装置10Aは、生体認証サーバ40から受信した情報に基づき、前記利用者が格上げ可能な仮登録の生体登録データを持つ場合、ステップS5010に進む。そうでなければ、認証成功として認証処理を終了する。
[ステップS5010]生体認証装置10は、利用者に対し、仮登録されている生体登録データについて、本登録に格上げするかどうかを問い合わせる。通知および問い合わせには利用者出力部21や利用者入力部22を用いる。問い合わせの結果は生体認証サーバ40に送信する。生体認証本登録への格上げを行う場合はS5014に進む。そうでなければ、認証成功として認証処理を終了する。
[ステップS5011]生体認証サーバ40は、生体認証装置10Aから受信した情報に基づき、前記仮登録データの格上げを行う場合はS5012に進む。そうでなければ、認証成功として認証処理を終了する。
[ステップS5012]生体認証サーバ40は、本登録への格上げを行う生体登録データについて、生体登録データに付された仮登録マークを削除する。
[ステップS5013]生体認証サーバ40は、仮登録されていた生体登録データを本登録に格上げしたことを、生体認証装置10Aに送信する。その後S5007に進み、他に仮登録の生体登録データが存在するかどうかを得る。
[ステップS5014]生体認証装置10Aは、生体認証サーバ40から受信した情報に基づき、仮登録されていた生体登録データを本登録に格上げしたことを、利用者出力部21を用いて出力する。その後S5009に進む。
以上説明したように、複数の生体認証装置によって取得された生体情報を、生体認証サーバで一元管理し、生体認証サーバが照合処理を行うことで、各生体認証装置の負荷を軽減させると同時に、生体認証サーバで大量の生体情報を取り扱う場合でも、登録データ間での特徴の重なり合いを任意に少なく設定し、他人受入率や本人拒否率の増大を抑えることで、ユーザの利便性を損なわず、高い認識性能を有する本人確認を行う生体認証システムを実現することが可能となる。
図15、図16を用いて説明した生体認証の処理フローでは、生体認証装置10Aは、生体情報センサ20を用いて、利用者の指11から生体照合データを生成して、生体認証サーバ40に送信しているが、生体認証装置10Aは、生体情報センサ20で取得した、特徴パターンの抽出を行っていない生体情報を生体認証サーバ40に送信し、生体認証サーバ40で、受信した生体情報から特徴パターンの抽出を行って生体照合データを生成する構成であっても本発明の適用範囲である。
また、第2の実施例と同様に、利用者の生体認証が成功し、かつ、利用者登録テーブル内に前記利用者の生体登録データを指し示す仮登録マークが存在する場合に、別の生体情報を登録するよう利用者に薦める出力を行う場合も、本発明の適用範囲である。ことのきの出力には、外部通信部43を用いることが考えられる。
本発明の第4の実施例を、図を用いて説明していく。第1の実施例、第2の実施例、および第3の実施例では、生体情報を認証システムに登録する場合に、特徴の重なり合いの大きい生体登録データが既に認証システム内に存在するとき、前記生体情報を本人確認に用いないよう、仮登録を示すマークを付加した。本実施例では、特徴の重なり合いの大きい生体登録データが既に認証システム内に存在した場合であっても、前記生体情報を本人確認に用いることができるようにする代わりに、前記生体情報を用いた認証の結果提供されるサービスの種類や、サービスの質、サービスの回数などを制限するといったこと、あるいは、前記生体情報による認証処理においては複数回生体情報を取得することを要求するといったことによって、特徴の重なり合いが大きい生体情報を用いたなりすまし等によるリスクを低減させ、認証システムの信頼性を向上する。
本実施例は、第1の実施例と同様に、生体情報として指紋あるいは指静脈を用いることを想定しているが、他の生体情報を用いる場合でも本発明の適用範囲である。
図17は第4の実施例の構成を示す構成図である。図17において、10は生体認証装置、11は利用者の指である。生体認証装置は、利用者の指11を用いて生体認証による本人確認を行う機能を有する装置であり、本人確認だけを行う専用装置であっても、あるいは入退室管理や金融取引処理など他の機能を有していても良い。また生体認証装置10は、生体情報を登録する機能と、生体情報を認証する機能を有するが、登録と認証のうちどちらか一方の機能を有する装置であっても、本発明の適用範囲である。
生体認証装置10の内部構成としては、生体情報センサ20と、利用者出力部21と、利用者入力部22と、外部通信部23と、データ格納メモリ24と、プログラム格納メモリ25と、演算処理部26とを有しており、これらが通信用バスで相互に接続されている。
生体情報センサ20は生体情報を読み取る機能を有する。本実施例では、生体情報として指紋パターンや指静脈パターンを読み取ることを想定するが、他の生体情報を読み取る場合であっても本発明の適用範囲である。
利用者出力部21は、利用者に対して画像や文字等の視覚情報あるいは音声情報を出力して提示するための出力機能を提供する。利用者出力部21としては液晶ディスプレイやスピーカを用いることが考えられる。
利用者入力部22は、利用者が必要な情報を入力することを可能にする。利用者入力部22としてはキーボード、テンキーパッド、マイク、あるいはタッチパネルを用いることが考えられる。
外部通信部23は、生体認証結果等を外部に送受信するために用いる。外部通信部23としては、有線LANモジュール、無線LANモジュール、USBモジュールを用いることが考えられる。あるいは他の通信モジュールを用いる場合でも本発明の適用範囲である。
データ格納メモリ24は、生体認証装置10が生体認証処理を行うために必要なデータを格納するためのメモリであり、ハードディスクや半導体メモリ等から構成される。
プログラム格納メモリ25は、生体認証装置10が生体認証処理を行うための制御プログラムを格納するためのメモリであり、ハードディスクや半導体メモリ等から構成される。
演算処理部26は、生体認証装置10全体の制御を司り、データ格納メモリ24に格納されているデータを用いて、プログラム格納メモリ25に格納しているプログラムを実行して生体認証処理を行う。演算処理部26としてはマイクロプロセッサを用いることが考えられる。
次に、データ格納メモリ24に格納しているデータについて説明していく。データ格納メモリ24には、利用者登録テーブル30と、生体照合データ31と、登録用閾値32と、認証用閾値33と、サービス状態テーブル34とが格納されている。
利用者登録テーブル30は、利用者が登録している生体情報である生体登録データと、利用者の氏名や住所といった利用者情報、および、前記生体登録データによる認証によって受けられるサービスを、互いに関連付けて管理するためのテーブルである。図17の例では、生体登録データ100はサービス状態400および利用者情報200に、生体登録データ110はサービス状態410および利用者情報210に関連付けられている。また生体登録データ120はサービス状態420に、生体登録データ121はサービス状態421に関連付けられ、それらの生体登録データは利用者情報220に関連付けられている。また生体登録データ130はサービス状態430に、生体登録データ131はサービス状態431に関連付けられ、それらの生体登録データは利用者情報230に関連付けられている。
利用者登録テーブル30は、生体登録データに関連付けられた利用者情報やサービス状態を取得することが可能であると共に、利用者情報に関連付けられた生体登録データやサービス状態を取得することが可能であり、リレーショナルデータベースの仕組みを用いて実装することが考えられる。あるいは他の方法で実装しても良い。
生体照合データ31は、生体情報センサ20を用いて、利用者の指11から生成した照合データである。
登録用閾値32は、生体情報の登録処理において、生体情報センサ20から取得した生体照合データ31と、利用者登録テーブル30に登録されている生体登録データとで、1:N照合を行う際に用いる閾値である。
認証用閾値33は、生体情報の認証処理において、生体情報センサ20から取得した生体照合データ31と、利用者登録テーブル30に登録されている生体登録データとで、1:N照合を行う際に用いる閾値である。
なお、登録用閾値32と認証用閾値33が、演算処理部26やプログラム格納メモリ25の中に組み込まれている場合や、外部通信部23から取得するような場合も、本発明の適用範囲である。
サービス状態テーブル34は、利用者登録テーブルに格納されたサービス状態と、実際のサービスの内容を紐付けるものである。サービスの内容には、入退室管理や金融取引処理などが考えられ、サービスを提供するための条件などが格納されていてもよい。
生体登録データに紐付けられたサービス状態は、前記生体登録データによる認証が成功した場合にどのようなサービスが受けられるかを示す。サービスの例としては入退室管理や金融取引処理などが考えられ、例えば金融取引処理の場合は、紐付けられた生体登録データの安全性に応じて、「10万円までの取引が可能」「100万円までの取引が可能」といった情報を、サービス状態として生体登録データに紐付けておくことが考えられる。あるいは、「100万円までの取引を許可する場合は、さらに2回、生体情報を取得すること」などといった条件を紐付けておくことも考えられる。
図18は、図17における利用者登録テーブル30の一部を示しており、生体登録データ100はサービス状態400および利用者情報200に、生体登録データ110はサービス状態410および利用者情報210に関連付けられている。例として、サービス状態400には、サービス状態が「標準状態」であることを示すマーク500が格納されており、サービス状態410には、サービス状態が「制限状態」であることを示すマーク510が格納されている。
図19に、サービス状態テーブル34の例を示す。図19では、金融取引を例に取り、標準状態や制限状態といったサービス状態によって、提供されるサービスや、サービスを提供するための条件が記載されている。この例では、サービス状態が標準状態に設定された生体登録データによる認証によって、100万円までの取引が可能であることが記載されている。また、サービス状態が制限状態に設定された生体登録データによる認証によって、10万円までの取引が可能であることが記載されている。さらに、100万円までの取引を行うためには、さらに2回、生体情報を取得し、前記生体登録データと照合が成功することを条件とする旨が記載されている。
この例では、利用者情報200として登録された利用者は、生体登録データ100に登録された生体情報を用いた認証が成功した場合、100万円までの取引が可能である。一方、利用者情報210として登録された利用者は、生体登録データ110に登録された生体情報を用いた認証が成功した場合、10万円までの取引が可能である。前記利用者が100万円までの取引を行いたい場合は、生体登録データ110に登録された生体情報を用いて、さらにあと2回、生体情報を取得される必要がある。このとき、取得された全ての生体情報について照合処理が成功した場合にのみ、サービスを提供することが考えられ、それにより、生体情報のばらつきによる誤認識の影響を低減することが可能である。このように、生体登録データに応じて、提供するサービスや、サービスを提供する要件を任意に設定することが可能な構成となっている。
次に、生体認証装置10が実行する登録処理の処理フローを図20に示す。
[ステップS6000]生体認証装置10は、利用者が生体情報センサ20を用いて、利用者の指11から生体照合データ31を生成して一時保存する。
[ステップS6001]生体認証装置10は、生体照合データ31と、利用者登録テーブル30に格納された生体登録データとで、登録用閾値32を用いて1:N照合を行う。
[ステップS6002]生体認証装置10は、生体照合データ31と利用者情報を利用者登録テーブル30に格納し、ステップS6001で得た不一致度に基づき、サービス状態を設定する。また、既に利用者登録テーブル30に格納されている生体登録データのうち、ステップS6001で実行した1:N照合の照合結果において、登録用閾値32よりも前記不一致度が小さかったものについても、サービス状態を変更する。サービス状態は、例えば、前記不一致が登録用閾値32よりも大きかった場合、前記生体情報を持つ利用者に対し一定のサービスを提供するとし、前記不一致度が登録用閾値32よりも小さかった場合、前記サービスよりも提供側のリスクが小さいサービスを提供する、といった情報を含むことが考えられる。
[ステップS6003]生体認証装置10は、前記生体情報を登録したことと、前記生体情報を用いた認証の際に利用できるサービスを、利用者出力部21を用いて表示し、登録処理を終了する。
次に、生体認証装置10が実行する認証処理の処理フローを図21に示す。
[ステップS7000]生体認証装置10は、利用者が生体情報センサ20を用いて、利用者の指11から生体照合データ31を生成して一時保存する。
[ステップS7001]生体認証装置10は、生体照合データ31と、利用者登録テーブル30に格納された生体登録データとで、認証用閾値33を用いて1:N照合を行う。
[ステップS7002]生体認証装置10は、ステップS7001で実行した1:N照合で、認証用閾値33よりも不一致度が小さい生体登録データが唯一件存在した場合はステップS7003に進む。そうでなければ、ステップS7004に進む。
[ステップS7003]生体認証装置10は、生体認証に成功したこと、および、前記生体情報を用いた生体認証によって利用できるサービスを、利用者出力部21を用いて表示し、認証処理を終了する。
[ステップS7004]生体認証装置10は、生体認証に失敗したことを、利用者出力部21を用いて表示し、認証処理を終了する。
次に、生体認証装置10が実行するサービス状態変更のフローを図22に示す。
[ステップS8000]生体認証装置10は、利用者登録テーブル30に格納された生体登録データを照合データとして一つ選択する。
[ステップS8001]生体認証装置10は、前記生体登録データと、利用者登録テーブル30に格納された他の利用者の生体登録データとで、登録用閾値32を用いて1:N照合を行う。
[ステップS8002]生体認証装置10は、前記生体登録データについて、ステップS8001で得た不一致度に基づき、サービス状態を変更する。サービス状態の変更は、例えば、前記不一致が登録用閾値32よりも大きかった場合、前記生体情報を持つ利用者に対し一定のサービスを提供するとし、前記不一致度が登録用閾値32よりも小さかった場合、前記サービスよりも提供側のリスクが小さいサービスを提供する、といった情報に書き換えることが考えられる。
[ステップS8003]生体認証装置10は、利用者登録テーブル30に格納された生体登録データの全てを照合データとして選択したかどうかを判定する。未選択のデータがある場合、S8000に進む。全て選択した場合、更新処理を終了する。
以上説明したように、本発明は、登録時において登録用閾値を用い1:N照合を行い、特徴の重なり合いの大きい生体登録データが既に認証システム内に存在した場合や、そうでない場合に応じて、提供するサービスの種類や、サービスの質、サービスの回数などを任意に設定することを可能とする。それにより、特徴の重なり合いが大きい生体情報を用いたなりすまし等によるリスクが低減し、認証システムの信頼性を向上できると同時に、なりすまされる危険性が低い生体情報を所持する利用者に対しては、負担を低く抑えることができる。
なお、図22に示したサービス状態の変更は、生体認証装置が登録処理・認証処理を行っていないとき(例えば夜間など)に、随時行われることが考えられる。また、システムに対し生体情報の削除が行われた場合に行うことも考えられる。その場合は、まず、前記削除が行われた生体情報と、その他の生体登録データの不一致度を調べる。前記その他の生体登録データのうち、前記削除が行われた生体情報との不一致度が登録用閾値32よりも小さい生体登録データが一個以上存在した場合は、それらをステップS8000の選択対象とし、各サービス状態を変更する。
また、登録用閾値32は複数用意してもよい。それぞれの登録用閾値よりも前記不一致度が大きいか小さいかによって、設定するサービス状態を変えてもよい。これにより、サービス状態を二種類より多くすることができる。
また、第3の実施例と同様に、生体情報を取得する生体認証装置と、生体情報を一元管理し照合処理を行う生体認証サーバとが外部通信部で結ばれた、クライアント・サーバ型の構成を取っていても、本発明の適用範囲である。
実施例1における生体認証システムの構成図。
実施例1における生体情報登録処理の処理フロー図。
生体情報登録処理における生体照合データ31と利用者登録テーブル30の関係図(その1)。
生体情報登録処理における生体照合データ31と利用者登録テーブル30の関係図(その2)。
生体情報登録処理における生体照合データ31と利用者登録テーブル30の関係図(その3)。
生体情報登録処理における生体照合データ31と利用者登録テーブル30の関係図(その4)。
実施例1における生体認証処理の処理フロー図。
生体認証処理における生体照合データ31と利用者登録テーブル30の関係図(その1)。
生体認証処理における生体照合データ31と利用者登録テーブル30の関係図(その2)。
生体認証処理における生体照合データ31と利用者登録テーブル30の関係図(その3)。
実施例1における生体情報登録処理の画面遷移図。
実施例1における生体情報認証処理の画面遷移図。
実施例2における生体情報認証処理の処理フロー図。
実施例3における生体認証システムの構成図。
実施例3における生体情報登録処理の処理フロー図。
実施例3における生体認証処理の処理フロー図。
実施例4における生体認証システムの構成図。
実施例4における利用者登録テーブル30のサービス状態の例を示した図。
実施例4におけるサービス状態テーブル34の例を示した図。
実施例4における生体情報登録処理の処理フロー図。
実施例4における生体情報認証処理の処理フロー図。
実施例4におけるサービス状態変更処理の処理フロー図。
登録データと照合データの不一致度分布図。
符号の説明
10…生体認証装置、11…利用者の指、20…生体情報センサ、21…利用者出力部、22…利用者入力部、23…外部通信部、24…データ格納メモリ、25…プログラム格納メモリ、26…演算処理部、30…利用者登録テーブル、31…生体照合データ、32…登録用閾値、33…認証用閾、100〜131…生体登録データ、200〜230…利用者情報、300…仮登録マーク。