JP6190041B2 - 安否確認システム及び秘匿化データの類似検索方法 - Google Patents

安否確認システム及び秘匿化データの類似検索方法 Download PDF

Info

Publication number
JP6190041B2
JP6190041B2 JP2016511182A JP2016511182A JP6190041B2 JP 6190041 B2 JP6190041 B2 JP 6190041B2 JP 2016511182 A JP2016511182 A JP 2016511182A JP 2016511182 A JP2016511182 A JP 2016511182A JP 6190041 B2 JP6190041 B2 JP 6190041B2
Authority
JP
Japan
Prior art keywords
data
concealed
sample data
server
query
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016511182A
Other languages
English (en)
Other versions
JPWO2015151155A1 (ja
Inventor
伊藤 渡
渡 伊藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Kokusai Electric Inc
Original Assignee
Hitachi Kokusai Electric Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Kokusai Electric Inc filed Critical Hitachi Kokusai Electric Inc
Publication of JPWO2015151155A1 publication Critical patent/JPWO2015151155A1/ja
Application granted granted Critical
Publication of JP6190041B2 publication Critical patent/JP6190041B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • G06Q50/26Government or public services
    • G06Q50/265Personal security, identity or safety
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/50Information retrieval; Database structures therefor; File system structures therefor of still image data
    • G06F16/53Querying
    • G06F16/538Presentation of query results
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/50Information retrieval; Database structures therefor; File system structures therefor of still image data
    • G06F16/58Retrieval characterised by using metadata, e.g. metadata not derived from the content or metadata generated manually
    • G06F16/583Retrieval characterised by using metadata, e.g. metadata not derived from the content or metadata generated manually using metadata automatically derived from the content
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/10Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
    • G06V40/16Human faces, e.g. facial parts, sketches or expressions
    • G06V40/172Classification, e.g. identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Tourism & Hospitality (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Library & Information Science (AREA)
  • Human Resources & Organizations (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Development Economics (AREA)
  • Educational Administration (AREA)
  • Software Systems (AREA)
  • Oral & Maxillofacial Surgery (AREA)
  • Human Computer Interaction (AREA)
  • Multimedia (AREA)
  • Collating Specific Patterns (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Image Analysis (AREA)

Description

本発明は、個人を容易に特定できない程度に秘匿化或いは保護された生体特徴情報などについて類似検索を行う秘匿化データ類似検索方法、及び、それを応用した安否確認システム等に関する。
従来、監視カメラ等で撮影され或いは記録された映像(動画像)の中から、所望の人物を画像認識技術等を用いてコンピュータに検索させる人物検索システムが知られる(例えば、特許文献1乃至4、非特許文献1参照。)。このような、タグ付け等の外部情報に拠らずに画像そのものの特徴に基づき検索する技術は、一般にCBIR(Content-Based Image Retrieval)と呼ばれ、人物の検索にも利用され始めている。
特許文献2は、画像から人物(の顔)が映った部分を切出し、人物を個々に特定するための特徴量として色ヒストグラム等を抽出し、この特徴量が所望の人物のものと類似する場合に同一人物であると推定する、映像検索システムおよび人物検索方法を開示している。
画像認識に用いる特徴量は、古くは主成分分析の固有顔のように画素の輝度値そのものであり、第一世代特徴量では、画素値(輝度)の分布やwavelet変換に基づくものが知られる。第二世代では、Haar-Like、HOG、EOH、Edgelet等の局所領域をもとにした特徴量が知られ、SIFTやSURFのようにある注目する特徴点に関してスケール不変性を備えたものもある。第三世代では、これら局所領域の空間的関連性を考慮し学習に対象にするようになり、Joint Haar-like、Joint HOG、スパース特徴、Shapelet、共起確率特徴等が用いられるようになった。
近年では、第四世代とされるPSA(Pixel State Analysis)等の時空間特徴の研究がなされている(例えば、非特許文献2参照。)。
顔認識の性能は、学習に用いた顔画像データベースに依存する。コンテストでしばしば用いられるFERET顔データベースは、正面顔の他、右寄り、左寄りの顔を含む。このデータベースにおいて、2010年時点で、FAR(False Accept Rate:他人受入率)=0.001におけるFRR(False Reject Rate:本人拒否率)は0.0003%程度の顔認識が実現されている。
顔認識において実用レベルの精度に至ったCBIRは、今後様々な分野での利用が期待されている。
その1つに、災害時等の安否確認システムが考えられる。
現在普及している災害時用の安否確認手段は、電気通信事業者が提供しているもので、例えば、安否を確認したい人(確認依頼者)、確認される側の人(非確認依頼者)が所定の電話番号に電話を掛け、相手或いは自己の電話番号とともに音声メッセージを残し、その後、相手側の人が所定の電話を掛け、自己の或いは相手の電話番号を入力するとその音声メッセージを再生できるというものである。
或いは、携帯電話やスマートフォン、パソコン等から、安否情報を文字で入力し、相手側の人は電話番号等で検索することでその安否情報を閲覧できるようなもの、同様の操作で音声も録音、再生できるものが、各種提供されている。また、被確認者のメールアドレスに安否情報の入力を促すメールを自動的に送信するものもある。
また、近年普及しているSNS(ソーシャルネットワーキングサービス)等も、安否確認の手段となりうる。
なお、本発明に関連して、CBIR技術を利用した、或いは何らかの個人情報と電話番号と対にして検索に利用した安否確認システム等が知られる(例えば、特許文献5乃至7参照。)。
また、画像を用いて人体の識別を行う技術が知られる(例えば、特許文献8乃至9参照。)。
特開平5−154651号公報 特開2009−027493号公報 特開2012−068717号公報 特開2013−218511号公報 特開2003−304300号公報 特開2006−254798号公報 特開平9−198401号公報 特開2012−85114号公報 特許5125424号公報
助川 寛、外4名、「顔画像認識による大規模人物検索システムの開発」、バイオメトリクス研究会資料、一般社団法人電子情報通信学、平成24年8月27日、p.102−107、インターネット<URL:http://www.ieice.org/~biox/2012/001-kenkyukai/pdf/BioX2012-18.pdf> 山下隆義、"特定物体認識に有効な特徴量"、[online]、平成20年11月28日、[平成26年2月21日検索]、インターネット<URL:http://www.vision.cs.chubu.ac.jp/features/PPT/CVIM2008/ppt.pdf> Yair Weiss, et al、"Spectral Hashing"、[online]、[平成26年2月21日検索]、インターネット<URL:http://people.csail.mit.edu/torralba/publications/spectralhashing.pdf> Anxiao Jiang, et al、"Rank Modulation for Flash Memories"、[online]、[平成26年2月21日検索]、インターネット<URL:http://www.paradise.caltech.edu/papers/etr086.pdf> Alexander Barg and Arya Mazumdar、"Codes in Permutations and Error Correction for Rank Modulation"、[online]、[平成26年2月21日検索]、インターネット<URL: http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.249.198&rep=rep1&type=pdf> 古賀久志、「ハッシュを用いた類似検索技術とその応用」、Fundamentals Review、一般社団法人電子情報通信学会 基礎・境界ソサイエティ、平成26年1月1日、第7巻、第3号、p.256−267、インターネット<URL:https://www.jstage.jst.go.jp/article/essfr/7/3/7_256/_pdf> Tuyls Pim, et al、 "Capacity and examples of template-protecting biometric authentication systems",ECCV Workshop BioAW, no.77, 2004、インターネット<http://eprint.iacr.org/2004/106.pdf>
上述した従来の安否確認システムは、被確認者が、自己が被確認者となっていることを自覚し、安否確認システムの知識があり、安否確認システムにアクセス可能な通信手段が利用可能であり、自発的アクセスしてメッセージ等を残すといった行動をすることが条件となり、これらを1つでも満たせないと安否確認を行うことができない。例えば、災害発生後、安全な場所への避難が完了し、肉親と連絡をとりたいと思った時、所などへの輻輳や回線寸断により固定電話がほとんど利用できない状況では、それ以外の通信手段を利用することが困難な年少者、高齢者は、安否確認ができない恐れがある。
また、災害時用或いは安否確認用のインターネット掲示板等が、多数存在するが、それらのほとんどは互いに連携しておらず、確認依頼者は、各掲示板でそれぞれ検索操作をしなければならないという問題がある。また、仮にそれら掲示板に被確認者や確認依頼者の顔の情報を登録することができたとしても、顔の画像がそのまま掲載されることへの心理的抵抗や、第3者に収集、利用等される恐れなどから、ほとんど登録されないことが予想される。
また、監視カメラ等で撮影した人物に対して、当人が気が付かないまま顔認証(既知の顔と照合すること)をおこなったり、顔情報を収集保存したりすることには、社会的同意が十分得られていないのが現状である。
従って、安否確認システムの構成としては、照合すべき顔(クエリ)をサーバ等に送る集中型よりも、撮影されたその場で照合する分散型のほうが、より受容されやすいと考えられる。その場合、各拠点において、顔データベースを安全に保持するセキュリティ技術が必要である。
同一人の生体情報同士の照合のみが行え、他の用途への転用、統計情報の収集等を困難にするものとして、テンプレート保護技術等があり、Fuzzy Vault、Cancelable Biometrics、Bioscript、Anonymous biometrics(非特許文献7参照)等が知られる。そのような方法で保護されたデータは、暗号の様にランダム化されるので、元の生体情報を類推することは困難であり、また、等長写像ではないので、元の空間での類似度は1件ずつ試行して求めなければならない。このため、大規模高速検索への応用例は、発明者の知る限り、まだ無い。
そもそも類似検索は、検索されるべき情報と同一の情報を持ち合わせていなくても、その情報にたどり着けるということが本質であって、テンプレート保護を施したとしても、類似検索機能を提供する限り、システム構成如何にかかわらず、第三者は一般の暗号解読に比べて格段に少ない試行回数で所望の情報を入手しうる。また、生体情報は、そのようなオンラインの手法によらず、秘密裏に本人から直接入手されるリスクもあり、結局はそれらの入手コストと、テンプレート保護の攻撃コストのバランスの問題である。入手コストは、どの程度の類似度の範囲で検索結果を提示するかに強く依存するが、テンプレート保護は強力であればあるほど、類似の範囲を広げないと照合できない傾向がある。
本発明は、このような問題に鑑みてなされたものであり、被確認者に自己が被確認者となっている自覚がなくとも、安否確認システムの知識がなくとも、安否確認システムにアクセス可能な通信手段を直接利用することができなくとも、自発的な行動を必要とせず、被確認者の安否を確認できる安否確認システム等を提供することを目的とする。
本発明の一側面に係る安否確認システムは、尋ね人の顔の特徴量と、確認依頼者或いは前記尋ね人の個人情報と、確認依頼者の連絡先とのセットが、複数蓄積されたデータベースを提供するポータルサーバ(4)と、前記データベースのコピーを取得し、カメラで撮影した人物の顔画像から特徴量を抽出し、前記コピーの中から類似する特徴量を検索する現地サーバ(3)と、を備え、前記ポータルサーバは、前記顔の特徴量をテンプレート保護された状態で蓄積および提供し、前記現地サーバは、前記類似する特徴量の検索に成功すると、前記撮影した人物に向けて、前記類似する特徴量に対応する前記個人情報を提示して確認を求め、前記人物からの確認操作を受け付けると、前記確認依頼者の連絡先に通知することを特徴とする。
前記個人情報は、電話番号、であり、前記確認依頼者の連絡先は、メールアドレス或いは電話番号であり、前記顔の特徴量は、主成分分析、独立成分分析或いは線形判別分析により低次元化された、100次元以下或いはデータサイズが128バイト以下のベクトルデータであり、ランダムプロジェクション、一方向性関数或いは公開鍵暗号の少なくとも1つを用いてテンプレート保護される。
前記ポータルサーバは、インターネットに接続され、前記テンプレート保護された状態の特徴量を含む前記セットを前記確認依頼者の端末(2)から受信するとともに、前記現地サーバが電子証明書を有するか或いは信頼できる場合、あるいは非常時にのみ、前記データベースを提供し、前記前記確認依頼者の連絡先への通知は、確認された前記人物を撮影した場所を示す情報を含む。
本発明の他の側面にかかる秘匿化データの類似検索方法は、複数の標本データを、標本データ空間において少なくとも局所的に距離保存されるような写像で秘匿化する第1ステップ(S23、44)と、前記秘匿化された標本データと任意データの対を、該秘匿化された標本データ自体に基づいてクラスタリングして記録する第2ステップ(65)と、クエリデータを、前記標本データにした方法と同じ方法で秘匿化する第3ステップ(S86)と、前記秘匿化されたクエリデータに基づいて、クエリデータに類似する標本データが記録されているクラスタを特定する第4ステップと、前記特定されたクラスタから、前記秘匿化された標本データと前記秘匿化されたクエリデータの間の距離の計算によって、前記クエリデータに類似する1つの標本データを特定し、該標本データと対の任意データにアクセスする第5ステップと、を有する。
本発明によれば、被確認者が自発的にアクセスせずとも、被確認者を発見し、安否確認することができる。
安否確認システム1の構成図。 安否確認システム1のユースケース図。 確認端末3における顔を登録する機能のアクティビティ図。 図3のS23における特徴量抽出処理を示す機能ブロック図。 図4のテンプレート保護部44a〜44dの構成例。 ポータルサーバ4の機能ブロック図。 クラスタ化部65の構成例。 現地サーバ2における、類似顔を探知する機能のアクティビティ図。 S87のDB検索の機能手段の構成例。 テンプレート保護部44eの構成例。 S87のDB検索の機能手段の構成例。 本人確認画面の例。
以下、本発明に係る実施形態について図面を参照して説明する。なお、各図の説明において、実質的に同一な機能を有する構成要素には同一の参照番号を付し、説明を省略する。
図1〜図4を参照して、実施例1にかかる安否確認システム1を説明する。図1には、安否確認システム1の構成を例示してある。
本例の安否確認システム1は、被確認者を撮影するカメラ等が接続された複数の現地サーバ2a〜2c(個々を区別しないときは現地サーバ2と呼ぶ。以下同じ。)と、それぞれの確認依頼者等が所有或いは操作する確認端末3a〜3cと、確認端末3からの問合せを最初に受付け、現地サーバ2と確認端末3の間を仲介するポータルサーバ4と、で構成される。
本例の安否確認システム1は概略的には、確認端末3から、被確認者の顔画像の特徴量と電話番号等の情報とが入力され、それが各現地サーバ2a〜2cに配信されて、現地サーバが自己のカメラで撮影された映像中の顔と照合されるというものである。被確認者の顔が検出された時には、現地サーバ2が合成音声を発してその被確認者を呼び止め、適宜本人確認或いは同意の操作を求め、確認がとれれば確認依頼者に通知される。
図2は、安否確認システム1のユースケース図である。なおこの図2は、現地サーバ2等の機能の全てを表現しているとは限らず、それらの機能を限定的に特定する意図はない。
現地サーバ2は、避難所の通用口やホール、その他往来の多い場所に、通行人の顔を撮影するビデオカメラとともに設置されたパソコンやタブレット等であり、所定のソフトウェアをインストールされると、その存在をポータルサーバ4に通知し、現地サーバ2として機能し始める。ビデオカメラは、好ましくはフルフレームでHD撮影可能なものとし、その映像がHDMI(商標)ケーブルにより現地サーバ2に入力される。現地サーバ2は、通行人に呼びかけるためのスピーカ、確認のための情報を表示する画面、通行人からの操作を受け付けるタッチパネル等のヒューマンI/Fを備える。またインターネットに接続され、好ましくは、互いにP2Pネットワーク或いは自律分散データーベースを構成し、インターネットへの接続手段は、有線回線の他、LTEデータ通信や衛星インターネット等により複数確保される。
確認端末3は、携帯電話、スマートフォン、タブレット、パソコン等の、インターネットに接続してWebサイトを閲覧できる通信端末であり、確認依頼者が顔を登録するための機能、被確認者の確認通知を受信して表示する機能、更に好ましくは、人物の顔を対応付けて登録可能な電話帳機能を有する。顔を登録する機能は、確認依頼者が顔を選ぶ機能、電話番号等を指定する機能、送信ボタンを押す機能を含む。
ポータルサーバ4は、パブリックIPアドレスを有するWebサーバであり、被確認者の顔登録をするためのWebページを端末3に提供し、端末3から受取った登録情報を蓄積してデータベース(DB)を構築し、現地サーバ2に配信する。また、現地サーバ2から被確認者が確認された旨の通知を受取り、必要に応じデータベースに反映させる。また外部或いは内部のSMTPサーバを利用して被確認者に通知する。
図3は、確認端末3における顔を登録する機能のアクティビティ図である。本例では、確認端末3はAndroid(商標)端末とし、事前に顔登録アプリケーションがインストールされていることを想定する。このアプリケーションの本体は、java仮想マシンでの実行コードであり、難読化されていることが望ましい。
顔登録アプリケーションが起動されると、最初にステップS11として、顔画像ソース選択画面を表示する。この画面では、顔画像ソースとして、確認端末3内に保存されている任意の画像ファイルから選択するか、連絡先(電話帳)から選択するかをユーザが指定する。
顔画像ソースとして任意ファイルが指定された場合、ステップS12として、ギャラリ表示を行う。具体的には、Intentのインスタンスを生成し、setTypeメソッドにより対象が画像であることを指定し、setActionメソッドでアイテムの選択が目的であることを指定し、startActivityForResuitメソッドによりギャラリ表示を行い、戻り値としてユーザによるファイル指定の結果を取得させるためのIntentを発行する。このIntentはOS側で適切に処理されギャラリ表示アプリケーション等が起動される。
ステップS13として、onActivityResultメソッドにより、S12のギャラリ表示の戻り値を受取る。確認端末3の画面はIntentに協調して遷移するため、Intentが戻ってくると画面は登録アプリケーションの表示に戻る。
一方S11において顔画像ソースとして連絡先が指定された場合、ステップS14として、連絡先の表示を行う。S12と同様、startActivityForResultでIntentを発行するが、リクエストコードとしてGALLERYではなくPICK_CONTACTを指定する。
ステップS15として、onActivityResultメソッドにより、S14の連絡先表示の戻り値を受取る。戻り値は、連絡先から選択された1人の人物を指すContactsContract.ContactsクラスのURIである。なお、Grant-uri-permission機能を用いて、1回のみのアクセスを可能なURIを取得することもできる。その後getContentResolver.queryメソッドでcursorインスタンスを生成しそのcursorを用いてS13の戻り値と同様の、画像ファイルのURIを得る。また、この時点で当該人物の電話番号も取得しておいてもよい。
ステップS16として、android.media.FaceDetectorクラスを用いて顔検出を行う。具体的には、画像ファイルのURI を指定したBitmapFactory.decodeFileメソッドでBitmapインスタンスを生成し、Bitmapインスタンスの幅や高さのプロパティ等を用いてFaceDetectorインスタンスを生成し、FaceDetectorインスタンスに対してfindFacesメソッドで認識を行う。戻り値は認識した顔の数であり、詳細な結果(両目の間隔、顔中央の座標、顔の傾き、信頼度)はFaceDetector.Faceに格納される。
ステップS17として、S16の検出でエラーが発生しているか判断する。エラーは、顔の数が0、或いは信頼度が所定値以上の顔が存在しないことで判断される。エラーが発生したときはステップS19に分岐する。
ステップS18として、顔の切り出し(トリミング)を行う。具体的には、元のBitmapインスタンスと切り出し位置を指定したcreateBitmapメソッドにより、トリミングされた新たなBitmapインスタンスを得る。切り出し位置は、最も信頼度の高かった顔のFaceDetector.Faceのプロパティに基づき、一定の規則で計算するものとする。その後、所定のファイル名でFileOutputStreamインスタンスを生成し、そのファイル出力インスタンスを指定した、Bitmap.compressメソッドで、画像ファイルとして保存される。
なお、顔を所定の3次元モデル(例えば楕円体)に当てはめて、顔向きの補正をする場合は、画像を分割し、個々にMatrixクラスのpostRotateやpostSkewメソッドを適用後、1つの画像に合成する。
一方S17でエラーと判断されていた場合、ステップS19として、手動トリミング画面の表示を行う。S14と同様、startActivityForResultでIntentを発行するが、intent.setData(uri)のuriにはS16用いた画像ファイルのURIを指定し、putExtra(MediaStore.EXTRA_OUTPUT, uri)のuriにはS18と同じ保存先ファイルのURIを指定しておく。
ステップS20として、onActivityResultメソッドにより、S19の手動トリミングの戻り値を受取り、S16に遷移する。ここで受取る戻り値は適宜エラー処理に使用できるが、説明は省略する。
S18の次に、ステップS21とステップS22とステップS23が非同期で並列動作する。
ステップS21では、ポータルサーバ4と通信を確立し、ポータルサーバ4からテンプレート保護用の乱数を受取る。
ステップS22では、電話番号の入力を受け付ける画面を表示する。この画面には、数字を入力可能なテキストボックスと、入力した電話番号が確認依頼者(つまり検索端末3の操作者)のものか、被確認者(つまり登録される顔の人物)のものかの別(番号種別と呼ぶ)を指定するラジオボックスと、送信ボタンとを有する。より好ましくは、S18で保存した被確認者の顔画像を表示し、「送信ボタンを押すとこの顔の特徴量情報が電話番号等とともにサーバに送信される」旨の確認メッセージも表示する。
なおS15で、被確認者の電話番号のを取得できていた場合、予めテキストボックスに入力された状態で表示してもよい。なお確認端末3自体の電話番号は、操作者がその場で入力することが特段の手間ではないと考えられるため、自動取得はしていない。
また、確認依頼者と被確認者の両方の電話番号を入力できるようにしてもよく、更に任意で追加的な個人情報(被確認者の年齢、性別、その他の身体的特徴、メールアドレス、SNSアカウント、ハンドルネーム、住所、勤務先(学校名)等)を入力できるようにしてもよい。
最終的に送信ボタンの押下を検知すると、その時点で入力されていた電話番号や番号種別、追加的な個人情報を保持する。
ステップS23では、被確認者の顔画像から特徴量を抽出し、テンプレート保護を施して、サーバへ送信するための「保護された特徴量」を生成する。このテンプレート保護には、S21で受信する乱数が必要であり、乱数が得られるまでS23は中断する。なお保護された特徴量のデータサイズは高々100オクテット程度である。S23の処理は、数秒以内で終了できるよう、また難読化の意味でも、JNI(Java Native Interface)等を介してネイティブコードに処理させることが望ましい。ネイティブなライブラリで入手可能なものにopenCV for Androidがあり、Javaから使うためのAPIの他、ネイティブ(C/C++)用のAPIも公開されている。
S21〜S23が全て完了すると、次にステップS24として、S22の画面で入力されていた電話番号や番号種別等と、S23で生成した保護された特徴量を、HTTP/TLSプロトコルや、SMS(Short Message Service)を用いてポータルサーバ2へ送信する。ショートメッセージを用いる際は、保護された特徴量はBase64エンコードされる。
図4は、図3のS23における特徴量抽出処理を示すブロック図である。サイズ・解像度正規化部41は、受け取った顔画像を所定のサイズ(幅及び高さ)にリサイズするとともに、解像度やコントラストを正規化する。リサイズ直後の解像度は、原画像のサイズや解像度に依存し、ばらつきがあるため、抽出される特徴量(或いは特徴点)もばらついてしまう。ガウスフィルタ等のLPFで常に一定以上の周波数の成分を除去するか、エッジや高周波成分の大きさを検出し、その値に応じた鮮鋭化/ぼかしフィルタ処理を施す。また必要に応じ、輝度ヒストグラムを求め、それに基づいてコントラストを正規化する。なおこれらの正規化処理は、特徴量抽出後に行うこともできる。
特徴量抽出部42は、サイズ・解像度正規化部41からの正規化画像から、特徴量を抽出する。特徴量としては、非特許文献2で述べられているような各種の公知のものが利用できる。本例では、正規化画像を小ブロックに分割し、小ブロック毎のエッジパターンの頻度についてのヒストグラムを求め、ヒストグラムの各ビンの値(度数)を所定の規則で1列に並べて得た列ベクトルを特徴量とし、その次元は1000程度に達する。
次元圧縮部43は、特徴量抽出部42からの特徴量を入力し、より小さい次元の特徴量に変換して出力する。基本的には、主成分分析(PCA)、線形判別分析(LDA)、独立成分分析(ICA)等の手法を用いる。つまり、予め多数の人の顔(標本)から抽出した特徴量から分散共分散行列或いはそれに類するものを求め、その固有ベクトルからなる変換行列(射影行列)Aを用意しておく。変換行列Aには、変換後の各主軸のスケールを一定にするための係数が乗算されており、次元削減部43は、入力された特徴量にこの変換行列を単に掛け算するだけで、正規化された低次元化特徴量を得る。変換行列Aの行数(低次元化特徴量の次元)は、標本数にもよるが、PCAやLDAでは100程度、ICAでは20〜30程度で十分とされている。
変換行列Aはシステム全体で共通でおり、基本的に運用中に変更することはしない。また、次元圧縮部43における正規化は必須ではない。
ICAで得られる主軸は、人が他人の顔を覚えようとするときに意識する外見的特徴と似ており、例えば、ひげの有無、眼鏡の有無等をよく反映する軸がある。そのような不変性のない特徴の軸は、重みを下げたり、除去してもよい。
PCA等で得た変換行列は正規直交基底となっており、次元圧縮後も距離関係がよく保存されている。このような性質のものとして後述のRPも使用でき、LSH(Locality Sensitive Hashing)は補助的に使用できる。
テンプレート保護部44は、次元圧縮部43からの低次元化特徴量に、一方向性関数、ランダムプロジェクション(RP)または公開鍵暗号等を適用し、秘匿化された特徴量(或いはコード)を出力する。
図5及び図10に、テンプレート保護部44の構成の5つのバリエーションが示される。
図5の(a)の例のテンプレート保護部44aは、Anoymous biometrics(非特許文献7参照)を非常に簡略化した実装であり、低次元化特徴量を量子化する量子化器51、量子化された特徴量を暗号学的ハッシュ処理するハッシュ計算機52、量子化前の低次元化特徴量から、量子化された特徴量を減算する減算器53、とで構成される。
量子化器51は、入力された低次元化特徴量をより荒く離散化するもので、例えばLSHを利用する。本例では、低次元化特徴量が予めPCAで処理され、スケールも正規化されているので、一種のPCH(Principal Component Hashing)として機能する。簡易的には、各軸の成分の値を複数の区間に等分割するだけでよく、成分の値の上位桁(上位ビット)を取り出すことでも達成できる。情報の損失を避けるため、離散化特徴量のビット長Bdは、ハッシュ計算機52の出力するビット長Bhよりも少ないほうが良いと思われるが、実際にはほとんど問題ない。むしろテンプレート保護部44aが出力するビット長Bt(減算器53の出力する残差のビット長Brと、Bhの和)が所望値となるよう、Bdを選べばよい。
ハッシュ計算機52は、例えばSHA−1等のアルゴリズムに従い、離散化特徴量を一定のビット長Bhのハッシュ値を出力する。
もし、入力された低次元化特徴量が、量子化の境界付近にある(量子化残差の大きさが略等しい量子化値が複数存在する)場合、テンプレート保護部44aは、それら複数の量子化値に対応する複数のハッシュ値及び残差のセットを出力してもよい。
離散化特徴量は、Anoymous biometricsにおけるhelper dataに相当する。
なお、このテンプレート保護部44aでは、図3のS21の乱数は使用しない。
図5の(b)は、RPを用いたキャンセラブルバイオメトリクスの例である。このテンプレート保護部44bは、図3のS21で受け取った乱数から、所定の規則でパラメータを生成する変換パラメータ生成部54と、生成されたパラメータに基づき、低次元化特徴量を変換する変換部55と、を備える。
変換パラメータ生成部54は、例えば、予め用意したBd×Bdの行列を、乱数に従い所定の規則で行或いは列を入れ替えたり、符号を反転させたりしてランダムプロジェクション行列を得る。乱数として、このRP行列を初めから受け取ってもよい。予め用意する行列は、ユニタリ行列が望ましく、単位行列でもよいし、各要素に正規乱数や一様乱数を用いたRP行列でもよい。
変換部55は、次元圧縮部43からの低次元化特徴量(列ベクトル)に、RP行列を掛け算し、その結果をテンプレート保護部44bの出力とする。
ここテンプレート保護部44bは、次元圧縮は行わないものとして説明したが、行列の掛け算をしているだけという点で次元圧縮部43と同じであり、これらの処理を一体化することは可能である。つまり、変換行列Aの行を乱数に基づきに入れ替える等すればよい。
キャンセラブルバイオメトリクスでは、秘密の乱数あるいは保護された特徴量が流出した場合、乱数を更新し、記憶している特徴量は全て、新しい乱数でRPし直すことで、流出した情報によるなりすまし等を防ぐ。
RPだけでは、RP後のサンプルにPCAを適用するなどして成分を推定し元の特徴量或いは顔画像を復元する攻撃があり得るが、本例ではRP前にPCA及び正規化されているので、各成分は独立に見え、このような解析はより困難となる。
本例のRPはユニタリ変換あるいはそれに似た変換としたので、変換後も距離関係が良く保存されている。
図5の(c)は、秘密の乱数が与えられなくとも一定の秘匿性を有するRPの例である。このテンプレート保護部44cは、テンプレート保護部44bに加え、ハッシュ関数、誤り訂正復号、ベクトル量子化、距離保存ランレングス制限符号、順列符号(Permutation code)、距離保存マップ(DPM)、Rank Modulation復号等のいずれか1つ以上を行うコード化部57を備え、必要であれば別途、マッピング部58を備える。テンプレート保護部44cは、与えられた乱数ではなく、低次元化特徴量から一意に決まるタプル(符号やベクトル等)でランダム化したRP行列を用いて、ランダムプロジェクションを行う。
タプルは、例えば、テンプレート保護部44aと同様、疎に量子化した特徴量(ハッシュ値)を用いることができる。例えば、タプルを8ビット毎に切り出して、奇数ワードの値(0〜127)で指定される行と、偶数ワードの値で指定される行とを交換することで、PR行列はランダム化される。同じバケットに量子化される低次元化特徴同士であれば、同じランダムプロジェクションを受けるので、距離関係が保存される。しかしバケットが異なると、距離は保存されない。秘匿性を重視するなら、この方法が有利である。
RP行列が、量子化特徴量と1対1対応するということは、保護された特徴量の各成分の大きさから、RP行列を推定される可能性を示唆する。しかしランダム化に符号反転操作が含まれいれば、推定をより困難にできる。RP行列のランダム化は、上記の行や列の交換や符号反転の他、ユニタリ性を(近似的に)維持するいかなる操作を含むことができ、これらの操作はできるだけ秘密にする。
ここで、ランダムプロジェクション手法を保持したまま、互いに近接するバケット同士を、近接したまま写像する方法を考える。1つの答えは、近接バケットのRP行列が、ある2つの行(または列)が入れ替わっただけの関係になるよう、それらのタプルのハミング距離を最小(1)にすることである。LSHの派生であるSpectral Hashingがそれを実現している。Spectral Hashingでは、空間周波(モード)という概念を導入し、主軸上の最大値と最小値の間を、モード数の2倍の数に分割し、それらを交互に二元符号の0又は1のどちらかに符号化することで、ビット長が主軸数と同じバイナリ符号が得られる。より簡易には、PCH(LSH)の各主軸の成分を2値化するだけでよく、各成分を多値で表したい場合はグレイコードを用いる。
符号理論の分野では、ハミング長を保存する或いは強化する符号が古くから知られ、距離保存ランレングス制限符号、順列符号(Permutation code)、距離保存マップ(DPM)等がある。また近年、Multi-Level Cellタイプのフラッシュメモリで誤り訂正を行うために開発されたRank Modulationも利用できる。これらは基本的に二元符号を扱うものなので、多値情報であるバイナリ表現された低次元化特徴量を、二元符号に変換する必要がある。
マッピング部58はこの変換を行うものであり、一例としてグレイコードでマップ化する。
図5の(d)は、公開鍵暗号を用いた例である。このテンプレート保護部44dは、図3のS21で受け取った乱数(公開鍵)に基づいて、低次元化特徴量を暗号化する公開鍵暗号化部60を備える。
公開鍵暗号化部60は、例えば、ゴッパ符号や低密度パリティ検査符号を利用したMcElice暗号或いはNiederriter暗号で低次元化特徴量を暗号化する。McElice暗号は、k×nの生成行列G、k×kの正則行列S、n×nの転置行列Pを秘密鍵とし、G’=SGPを公開鍵とする。この暗号は、符号となる多項式の一部に脆弱な部分があるものの、暗号化及び復号化の計算コストが低く、量子計算機に解読されにくいという利点がある。
図10は、テンプレート保護部44eの構成図である。このテンプレート保護部44eは、テンプレート保護部44a〜44cのアイディアに、ランダムなデータ改変と誤り訂正を組み合わせたものである。
ビット分割器101は、入力された低次元化特徴量のバイナリ表現における最上位1〜2ビットと、残りのビットとに分割し、それぞれを量子化特徴量、残差特徴量として出力する。これらは、テンプレート保護部44aの量子化器51と減算器53の出力に相当する。
グレイ符号化器102は、量子化特徴量をグレイコード化する。なお、ビット分割器101が最上位の1ビットのみ取り出している場合は、不要である。
乱数発生器103は、都度、乱数を発生する。
データ改変器104は、乱数発生器103からの乱数に応じた所定の規則で、グレイコードの所定位置の1つのビットを反転するなどの改変を行う。
事前改変器105は、乱数発生器103からの乱数に応じた所定の規則で、残差特徴量の一部を改変する。例えば、乱数で決まる成分に対し、符号反転したり、ブロックスクランブルやモーフィング等のテンプレート保護手法等を適用する。なお、検索の初期段階において、事前改変器105で改変された特徴量で荒い類似検索をするため、ここでの改変の量は、個人の識別を困難にする程度に(単一人物の特徴量の分散より)大きく、かつ、荒い類似検索で発見できる程度に小さくする。
RP(Random Projection)処理器106は、データ改変器104からの改変されたグレイコードに応じた所定の規則で、RP行列を生成し、入力された低次元化特徴量に掛け算する。RP行列は、仮にRP行列が判っても、その元となったグレイコードや低次元化特徴量が推定されにくいことが要求され、グレイコードの改変はこの要求に貢献する。
誤り訂正符号部107は、例えばRS(リードソロモン)符号化器であり、冗長シンボルを出力する。
連結器108は、RP処理器106でRPされた特徴量と、冗長シンボルとを連結し、保護された特徴量として出力する。
図6は、本例の安否確認システム1のポータルサーバ4の機能ブロック図である。本例のポータルサーバ4はLAMP/LAPP環境で構築される。
httpサーバ61は、例えばApatch HTTPサーバとOpensslであり、基本的には、コンテンツ記憶部62が保持している、インターネット上で当該サイトを紹介するページ等の静的コンテンツを提供するとともに、検索端末3からの顔登録要求のhttpメッセージを受信する。
また、現地サーバ2からの要求に応じ、後述するDBのスナップショットや差分パッチを送信する。この際、少なくとも平時はSSL通信を用いることが望ましい。httpサーバ61は、事前にパブリックCAから取得したサーバ証明書を有する。
コンテンツ記憶部62は、トップページの他、検索端末3のウェブブラウザに実行及び表示させる顔登録用のページ、検索端末3にダウンロードすべき顔登録アプリケーションの提供先に誘導するページ、後述するDB66のスナップショットや差分パッチ等の、予め用意された静的コンテンツを保持する。
サーバサイド処理部63は、例えばJava(商標)サーブレットであり、ポータルサーバ4としての動作をつかさどる。例えば顔登録要求のhttpメッセージの本体を、電話番号等の個人情報と、保護された特徴量とに分け、後述のクラスタ化部65などを制御して、DB66に登録させる処理をする。またDB66にスナップショット等を作成させ、それらを圧縮したファイルをコンテンツ記憶部62に保存する。
サーバサイド処理部63は、更にJava仮想マシン上で動作する高次機能を実行可能であり、例えばBitTorrent DNA(BitTorrentは商標)等のサーバ指向P2P技術を使った配信を行うこともできる。
プライベート認証局(CA)64は、例えばOpensslの機能の一部であり、証明書を持たない現地サーバ2に対し、プライベートCA64をルートとする独自の証明書を発行する。可能であれば、パブリックCAの方が望ましい。証明書が与えられる現地サーバ2は、官公庁や自治体等の公的機関、教育機関、その他公共性の高い団体(指定公共機関等)等により管理されている場合であり、IPアドレスをwhoisサービスで調べるオンラインの方法や、書面等で申し込むオフラインの方法による。一旦発行された証明書は、災害時にIPアドレスが変わっても継続して使用できる。
クラスタ化部65は、保護された特徴量を、保護されたまま或いは保護を解除して、複数あるクラスタのいずれかに分類し、そのクラスタIDを出力する。クラスタは、互いに近い複数の特徴量をグループ化したものである。類似検索(擬似最近傍検索)を顔登録数nに対してO(n logn)で実現するために、各クラスタは登録数(クラスタサイズ)ができるだけ均等になるように制御される必要がある。周知のクラスタ化手法の多くは、クラスタ間或いはクラスタ内の距離を測り、それに基づきクラスタの統合・分割をしたり、クラスタの分類基準を更新したりする。本例のクラスタ化部65は、必要に応じ、距離計算に必要なクラスタの統計情報や分類基準をDB66に保持させ、所定のタイミングで、分類の基準を更新する。
DB66は、ハードディスク等の記憶媒体に、クラスタテーブル67、クラスタ数と同数の特徴量テーブル68、個人テーブル69等を保持し、それらテーブルに対するデータの登録、更新、削除等を実行する。
クラスタテーブル67は、実在するクラスタのIDを主キーとし、クラスタの場所(先頭アドレス)や属性(登録数、クラスタ内の統計情報、分類基準等)を保持する。
特徴量テーブル68は、各クラスタの実体であり、顔IDを主キーとし、当該クラスタに分類された特徴量を保持する。
個人テーブル69は、顔IDを主キーとし、その顔の本人(被確認者)や登録者(確認依頼者)の個人情報を保持する。個人情報は、登録者に連絡をとるための、登録者の電話番号或いはメールアドレスを含む。顔IDは、登録された顔の個々にユニークに付されるIDである。
なおDB66自体の機能として、それらテーブルを暗号化して記録するようにしてもよい。
図7は、クラスタ化部65の構成例である。クラスタ化部65は、テンプレート保護部44のバリエーションに対応して、複数のバリエーションがある。
図7の(a)は、テンプレート保護部44aに対応するクラスタ化部65aである。分離部71は、入力される保護された特徴量を、暗号学的ハッシュ値と、量子化残差とに分離する。暗号学的ハッシュ値は、距離保存性が全くなく、ハッシュ値の異なる特徴量間の距離計量は不可能であるため、テンプレート保護部44aにおける量子化の境界と、クラスタの境界はそろえなければならない。本例では、1つのハッシュ値と1つのクラスタとを対応付ける(1対1)様態を基本とし、例外的に、1つのハッシュ値と複数のクラスタとを対応付ける(1対多)様態を用いる。
クラスタ分割部72は、大きすぎるクラスタを分割するためのもので、クラスタテーブル67aからサイズを取得し、規定サイズのときに、周知のクラスタリング手法を用いて当該クラスタを、(現サイズ/規定サイズ)を整数化した数に分割する。クラスタリング手法としては、k-means法、分割統治法、Ward法等の階層的クラスタリング、1クラスSVM(2分割のみ)等が利用できる。そして分割後の各クラスタについて、分割インデックスを付与し、重心等のクラスタの属性をクラスタテーブル67aに記録する。
最短探索部73は、DB66に登録しようとする特徴量のハッシュ値で、クラスタテーブル67aからクラスタIDのハッシュ値部を検索し、そのクラスタID等を取得する。ハッシュ値が一致したクラスタが複数あるときは、読みだしたクラスタ属性(重心)に基づき、分類されるべきクラスタを決定し、そのクラスタIDを出力する。一致したクラスタが1つだけあるときは、そのクラスタの分割インデックスを出力する。当該ハッシュ値に対応するクラスタが1つもなければ、新規にクラスタを作成する。その際、分割インデックスは0とする。
ハッシュ値と分割インデックスとを連結したものをクラスタIDとし、そのビット長BIDを128とすると、100万件の顔登録があってもクラスタテーブル67aの記録容量は最大24Mバイト程度で済み、オンメモリDBの支障にはならない。クラスタテーブル67aは、クラスタIDでソートしておけば、二分探索で容易に検索可能である。
図7の(b)は、テンプレート保護部44bに対応するクラスタ化部65bである。入力される保護された特徴量は、固定のRP行列によりランダムプロジェクションされ、それは実質的に等長写像とみなせる。従って任意のクラスタリング手法が利用可能であり、例えば非特許文献6に記載のLSH−Linkを用いる。LSH−Linkは、階層的クラスタリングの一種であり、クラスタ間距離(最小距離)の近似計算にLSHを用いたもので、単連結法の他、完全連結法にも応用可能である。LSH−Linkでは、別のクラスタに属する同じハッシュ値の要素(本例では特徴量)に絞って、距離計算を行う。
LSH部74は、DB66のクラスタテーブル67bに属性情報の1つとして保存されている、LSHの荒さを表すハッシュ関数情報を読出し、それに従って入力される保護された特徴量のハッシュ値を計算する。
クラスタテーブル67bは、ハッシュ値(バケット)と、そのハッシュ値が属するクラスタのIDとを対応付ける辞書を有しており、ハッシュ値を引数にして単純にクラスタIDを読み出すことができる。この辞書は、LSHの荒さが異なる複数のバージョンがあり、クラスタリングの試行中の辞書は、ハッシュ値毎に、そのハッシュ値が得られた複数のクラスタID(直前のバージョン)およびその特徴量を保持し、距離計算に利用できるようになっている。
距離計算部75は、その同じハッシュ値となった複数の特徴量の間の距離(マンハッタン距離)を計算する。
更新部76は、距離計算部75が得た距離と、LSHの荒さとを比較し、その距離を得た特徴量が属するクラスタを併合すべきかを判断し、新たなバージョンの辞書を作成してクラスタテーブル67bを更新する。
なお、例示したテンプレート保護部44bでは、同一人物の顔が複数登録されるような用途においては、単一人物が複数のクラスタに分類されるケースが十分少なくなるよう、実際にDB66に登録された各人の特徴量分布に対応したクラスタリングを行うことが望ましい。
テンプレート保護部44cに対応するクラスタ化部65cは、クラスタ化部65aまたはクラスタ化部65bと同じであるので、図示を省略する。近隣の量子化された低次元化特徴量が、類似するRP行列によって、互いに近隣のまま投影されることが期待できるのであれば、クラスタ化部65bを、期待できなければクラスタ化部65aを用いればよい。
図7の(c)は、テンプレート保護部44dに対応するクラスタ化部65dである。クラスタ化部65dは、クラスタ化部65bに、暗号復号化部78を追加しただけであり、詳述を省略する。つまり、保護された特徴量は暗号復号化部78によって一時的に低次元化特徴量に復号され、この低次元化特徴量に基づいて任意のクラスタリング手法を適用し、保護された特徴量が属するべきクラスタIDを決定する。なおDB66には、保護された特徴量がクラスタ化されて登録される。
テンプレート保護部44eに対応するクラスタ化部65eは、クラスタ化部65aまたはクラスタ化部65bと同様に実現できる。クラスタ化部65dは、クラスタ化部65aに基づく場合、入力される保護された特徴量が含んでいる冗長シンボルを、初期のクラスタIDに利用し、大きいクラスタは適宜分割すればよく、クラスタ化部65bに基づく場合も、冗長シンボルを(RPの影響を受けていない)ハッシュ値の一部として利用できる。
図8は、現地サーバ2における、類似顔を探知する機能のアクティビティ図である。この探知機能は、ビデオカメラと接続し、動画のフレームを取り出すためのドライバと、探知アプリケーションプログラムとで構成される。このアプリケーションは、クラッキング防止ツールにより、テンプレート保護処理や類似検索を行う部分のコードが暗号化されており、逆アセンブルやソフトデバッガによる動的解析が困難化されている。アプリケーションは、初めて起動されたときは、証明書を用いてポータルサーバ4からDB66のスナップショットをダウンロードし、その後も定期的に差分パッチをダウンロードしてローカルのDB80を更新するものとする。また現地サーバ2のカメラの設置場所を示す文字列(例えば、「ABC町のXYZ小学校避難所」)を設定する。
このアクティビティ図は、ステップS81から開始する検索のコアの処理と、S89から開始するユーザインタフェース等の外見的な処理とが、常に平行に動作することを表している。
まず、ステップS81では、ビデオカメラで撮影された動画の最新の1フレームを取り込む。
次にS82では、1フレームの画像から、AdaBoost等の公知アルゴリズムにより顔検出を試行し、1つ以上の顔が検出された時はその画像を切り出して、フレーム内での位置や信頼度等の属性情報とともに出力する。
次にS83として、検出された顔のそれぞれについて、図4に示した特徴量抽出部42及び次元圧縮部43と同じ処理を行う。
次にS84として、追跡中人物テーブルを用いて追跡処理を行う。この追跡処理は、新たに抽出された特徴量やその属性情報のそれぞれについて、以前(例えば数秒以内)に抽出された特徴量や属性情報と類似していないか、追跡中人物テーブルと照合し、類似したものが無ければ、その特徴量を登録時刻とともにテーブルに追加する。新たな特徴量の信頼度が所定値以上で、且つ、追跡中人物テーブル中の出力済みフラグが偽ならば、その特徴量を出力するとともに、出力済みフラグを真に更新する。テーブル中の、登録時刻が古い特徴量は削除する。
この追跡処理により、続いて行われる検索処理を、全数処理できる程度の頻度に絞ることができる。
次にS85として、S84の追跡処理で、検索すべき人物が出力されたか否かを判断し、出力が無ければ、今のフレームに対する処理を終了する。
次にS86として、図4に示したテンプレート保護部44における処理と同じ処理でテンプレート保護を行う。この保護された特徴量が、検索クエリとなる。なお、テンプレート保護部44eの場合、続くS87との間で後述する反復処理を伴う。
次にS87として、S86で与えられたクエリ特徴量に類似する(最近傍の)特徴量を、DB80の中から検索する。DB80は、DB66と同じ内容のクラスタテーブル91、特徴量テーブル92、個人テーブル93を有し、ポータルサーバ4で行われたクラスタ構造がそのまま維持されている。そこでは類似する特徴量がクラスターに凝集されており、検索対象のクラスターを1乃至数個検索し、更にそのクラスター内を検索するという多段階検索を行うことにより、数10万件以上の登録があっても高速に検索できる。また、1つの特徴量のサイズが128バイトと小さいので、800万件あっても1Gバイトであり、オンメモリでの超高速検索も現実的である。以下、テンプレート保護の種類毎に、DB検索の詳細を説明する。
図9及び図11に、S87におけるDB検索の機能手段のバリエーションが示される。
図9の(a)の例のDB検索手段87aは、テンプレート保護部44aで保護され、クラスタ化部65aでクラスタリングされた特徴量を検索するものである。保護された特徴量は、ハッシュ値及び残差で構成され、分離器71で取り出される。またクラスタリングは基本的にハッシュ値と1対1である。
クラスタテーブル91aは、DB66内のクラスタテーブル67aと同じ内容であり、クラスタIDとしてハッシュ値を与えると、該当するクラスタの特徴量テーブル92aにアクセスできる。
特徴量テーブル92aは、DB66内のそれと同じもので、保護された特徴量の内の残差が保持されている。
最小距離検索部93は、当該クラスタの特徴量テーブル92aの中で、S86で与えられた特徴量の残差と、距離(マンハッタン距離)が最も小さいものを探索し、その特徴量の顔IDを出力する。クラスタのサイズが小さければ、線形探索で構わない。
図9の(b)の例のDB検索手段87bは、テンプレート保護部44bで保護され、クラスタ化部65bでクラスタリングされた特徴量を検索するものである。この特徴量は、その特徴量空間の全体で距離保存されており、テンプレート保護に関係なく任意のクラスタリング手法が利用できる。
クラスタテーブル91bは、クラスタテーブル67aと同じ内容であり、クラスタIDとしてハッシュ値を与えると、該当するクラスタの特徴量テーブル92aにアクセスできる。
クラスタテーブル92bは、クラスタテーブル67bと同じもので、ハッシュ値とクラスタIDを結びつける辞書と、クラスタリングに用いたハッシュ関数情報を保持している。
LSH部94は、クラスタテーブル91bのハッシュ関数情報を読出し、クエリ特徴量のハッシュ値を出力する。このハッシュ値で辞書を参照し、通常1つのクラスタIDを得る。
その後、DB検索手段87a同様、最小距離検索部93が当該クラスタ内を検索する。
DB検索手段87bは、テンプレート保護部44cで保護された特徴量の検索にも使用できる。そのような特徴量は、(クラスタよりも十分大きい)巨視的には、距離保存されているとみなされる。
テンプレート保護部44cで保護され、クラスタ化部65cでクラスタリングされた特徴量を検索するDB検索手段87cは、DB検索手段87aまたは87bと同様なので、説明を省略する。
テンプレート保護部44dで保護され、クラスタ化部65dでクラスタリングされた特徴量を検索するDB検索手段87dは、DB検索手段87dに、暗号復号化部94(暗号復号化部78と同一構成である)を追加しただけなので、説明を省略する。
図11の例のDB検索手段87eは、テンプレート保護部44eで保護され、クラスタ化部65dでクラスタリングされた特徴量を検索するものである。ここで扱う特徴量は、保護された特徴量の本体と、冗長シンボルとを含んでいる。クラスタ化部65dは、冗長シンボルをLSHのハッシュ値と組み合わせて、クラスタIDと対応付けるものとする。DB検索手段87eは反復処理を伴うため、S86のテンプレート保護の手段も一緒に図示してある。
ビット分割器111、グレイ符号化器112、及び、データ改変器114から誤り訂正符号部117までは、クエリを生成するテンプレート保護手段であり、図10に示したビット分割器101、グレイ符号化器102、及び、データ改変器104から誤り訂正符号部107と、それぞれ同じ構成である。
ただし、グレイ符号化器112は、データ改変を受ける前のグレイコードをDB検索手段87dに出力することができる。また、事前改変器115は、乱数ではなく、DB検索手段87eから与えられる訂正ビット標識に応じて、改変を行う。また、RP処理器116は、DB検索手段87eから与えられる訂正されたグレイコードに応じて、RPを行う。
乱数試行制御器113は、全通りの乱数について試行する動作を制御するものであり、グレイコードの長さ(ビット数)に相当するn個の数を順次、データ改変器114に与える。従って、テンプレート保護手段からは、保護された特徴量(冗長シンボルを含む)が最大でn通り出力される。このn回の試行は、もしクエリと類似する登録がDB80にあった時に、その登録時に得られていたであろう冗長シンボルを探すためであり、それがハッシュ値がわずかに違ったためか、乱数によるかを区別せず、探すことができる。
誤り訂正復号化器119は、グレイ符号化器112からの無改変のグレイコードを、誤り訂正符号化器117からの冗長シンボルを用いて誤り訂正復号し、正常に訂正できた場合、訂正されたグレイコードと、訂正されたビットの位置を示す訂正ビット標識を出力する。訂正ビットが複数ある場合、1ビットずつ、訂正ビット標識を出力し、試行される。つまり複数の訂正ビットの内、1つは乱数による改変であり、残りは登録時と検索時との間に生じるハッシュ値のわずかな相違によるものと考える。
この結果、訂正ビット標識に基づいて事前改変され、訂正されたグレイコードに基づいてRPされた、保護された特徴量が得られる。
LSH部119は、クラスタ分割部72で用いられるものと同じハッシュ関数で、保護された特徴量のハッシュ値を計算する。
クラスタテーブル91eは、クラスタテーブル91bと同様のもので、クラスタ毎に、誤り訂正復号化器119へ入力された冗長シンボルと、LSH部119からのハッシュ値とのセット(クラスタID)を引数としてアクセスすると、当該クラスタの特徴量テーブルにアクセスするためのアドレスやクラスタ属性を返す。ここでは、クラスタ属性として、そのクラスタに分類された任意の1つ以上の特徴量(代表特徴量)が利用可能だとする。もしクラスタ属性が利用不能でも、都度特徴量テーブル92eにアクセスして特徴量を適当に1つ取り出せばよい。
なお、クラスタテーブル91eは辞書型なので、辞書にない(クラスタが存在しない)場合は、次の試行に移動する。
距離計算機120は、距離計算部75と同様のもので、クラスタテーブル91eから返された当該クラスタの特徴量と、クエリの保護された特徴量との距離を計算し、n回の試行の最中、所定の閾値以下の距離が得らる都度、試行中断信号を乱数試行制御器113に出力するとともに、最小距離検索部121に当該クラスタの特徴量テーブル92eのアドレスを渡す。閾値は、LSHの荒さに基づき定める。距離が閾値以下になるには、偶然に冗長シンボルが一致するだけでは不十分で、その冗長シンボルを伴って登録された特徴量と類似するクエリが用意できなければならない。
なお、DB80に同一人物の登録が複数ある場合、複数回、距離が閾値以下となりうる。
最小距離検索部93eは、渡されたアドレスの特徴量テーブル92eの中から、個人を識別できるレベルで、クエリの保護された特徴量との類似検索を行う。そして、最も類似する特徴量、或いは最初に距離が所定の閾値以下となった特徴量の顔IDを出力する。
最終的にDB検索手段87eは、検索結果として、1つの顔IDか、該当なしの情報を返す。
再び図8に戻り、S88では、S87の検索で類似人物が見つかっていれば、その結果(顔ID、特徴量の元となった画像等)を送信する。
なお、最初に動作を開始しているS89は、この検索結果の受信を常に待ち受け、受信した1回分の検索結果を保持することができ、検索結果が保持されている或いは新たに受信したときは、S90へ進む。
S90では、カメラの前を通り過ぎようとしている人物を呼び止める合成音声を再生するとともに、その人物に本人確認を求める画面を表示する。その際、顔IDを引数にしてDB80内の個人テーブルを参照して個人情報を取得し、個人情報が含む電話番号がその顔の本人(被確認者)のものか、登録者(確認依頼者)のものかに応じて、本人確認画面の内容を選ぶ。
図12に、本人確認画面の例を示す。
図12(a)は、本人の電話番号を提示する本人確認画面121である。この画面121は、画面の前の人物が、提示された電話番号が自分のものだと認識したときに押す同意ボタン(本人ボタン)122と、電話番号が自分のものではないと認識したときに押す否認ボタン(別人ボタン)123と、判断を保留したいときに押す保留ボタン124とを有する。
図12(b)は、登録者の電話番号を提示する本人確認画面126であり、同様に3つのボタンを有する。
本人確認画面が表示されると、S91とS92が平行して動作を開始する。
S91では、人物によるヒューマンI/Fの操作を待ち受ける。
S92では、タイマを始動する。このタイマはボタン押下のタイムアウト時間(例えば30秒)になると発火し、ボタン押下が無くても次の処理へ進むことができる。
S93では、いずれのボタンを押したか判断する。なお、保留ボタン124が押された場合は、特段何もしない。
同意ボタン122が押された場合、S94として、S88で取得した個人情報が示す確認依頼者のメールアドレスや電話番号に宛てて、本人(被確認者)が発見された旨のメールやショートメッセージを送信する。或いは、それらの送信を、ポータルサーバ2や電気通信事業者等に依頼してもよい。メール等には、確認された人物を撮影した場所を示す情報が記載される。メールやショートメッセージの受信が確認依頼者の端末で拒否設定されている可能性もあるので、送信に失敗したときは他の方法或いは他のサーバから再度送信することが望ましい。
S89で同意ボタン122が押されたと判断された場合、S95として、DB80の特徴量テーブル或いは個人テーブルから、当該顔IDのレコードを削除するなどして、カメラの前を再び通りかかっても、検索に該当しないようにする。
上述のように、現地サーバ2の探知アプリケーションプログラムは、使用できる管理者にしかDB66を利用できないようにされているので、本来の目的外の使用は困難になっている。また仮に、悪意の利用者に利用されることになっても、検索頻度が制限されているので、例えばフレーム毎に顔画像が切り替わるような映像を用意して検索結果を取り出そうとしても、パフォーマンスが得られない。また類似人物が見つかった場合、個人情報が暴露されうるが、それは電話番号に限られる。電話番号は、オンラインでのクラッキング行為には利用しにくく、また本人ではない登録者のものでは、個人情報としての価値も低いと考えられる。或いは、電話番号の代わりに、本人と登録者の間でしか理解できない秘密の合言葉等を用いてもよい。
以上説明した様に、本実施例1の安否確認システム1は、災害時などにおいて被確認者の能動的な作業なしに被確認者を検索できる。
本例の安否確認システム1は、様々に変形して実施することもできる。本例では通信環境の不安定さを考慮し、現地サーバ2へダウンロードされるDBは、ポータルサーバのDB66と同じとしたが、例えば、クラスタテーブルのみ、或いはクラスタテーブルと特徴量テーブルのみとし、類似検索の成否に応じて必要な情報はポータルサーバから逐次取得するようにしてもよい。
また、S94の通知を受取った確認依頼者から、所定時間内に登録継続の依頼が無い場合や、登録から所定日数経過した場合に、DB66から当該登録を抹消してもよい。
本例の安否確認システム1はまた、様々な用途に応用することもできる。本例では、本人が生存していることを前提としたが、例えば、警察や在外公館等が遺体の顔写真から身元を推定する目的にも使用できる。類似が認められた顔の登録者の連絡先(生データ)は、警察に提供され、親族等や歯科医に本人確認を依頼するために利用される。
なお、登録した内容が誰に開示されどのように使用されるか、登録者に認識できるように提示したうえで登録が行われることが望ましい。
或いは、登録する顔は遺体のものとし、安否確認依頼をクエリとしてもよい。
ここで、本発明に係るシステムや装置などの構成としては、必ずしも以上に示したものに限られず、種々な構成が用いられてもよい。また、本発明は、例えば、本発明に係る処理を実行する方法或いは装置や、そのような方法をコンピュータに実現させるためのプログラムや、当該プログラムを記録する一過性ではない有形の媒体などとして提供することもできる。
秘匿化されたデータを類似検索する装置等に広く利用でき、バイオメトリクス認証システム、CCTV(Closed-Circuit Television )システム等に好適である。
2:映像蓄積サーバ、 3:類似顔画像検索サーバ、 4:表示端末、 5:管理端末、 6:LAN、 11:施設、 12、12a、12b、12c、12d:監視カメラ、 13:データベース(DB)、 14:ホワイトリスト、15:不審者登場リスト、16:選別・間引き部、 17:グループ化部、 18:不審者候補検索部、 19:不審者判断部、
21:カメラI/F、 22:記録配信制御部、 23:Webサーバ部、 24:ストレージ、 25:設定保持部25、 41:画像取得I/F、 42:顔検出・特徴量算出部、 43:顔登録・検索部、 44:顔特徴量DB、 45:Webサービス部、 46:検索トリガー部、 47:設定保持部、 48:障害通知部、71:人物IDテーブル、 72:最終検索日時リスト、 73:ブラックリスト。

Claims (11)

  1. 複数の標本データを保存する第1サーバと、前記第1サーバにアクセスする第2サーバとを備えた秘匿化データの類似検索方法であって、
    前記第1サーバが、
    前記複数の標本データを、標本データ空間において少なくとも局所的に距離保存されるような写像で秘匿化する第1ステップと、
    前記秘匿化された標本データと任意データの対を、該秘匿化された標本データ自体に基づいてクラスタリングしてデータベースに記録する第2ステップと、を実行し、
    前記第2サーバが、
    クエリデータを、前記標本データにした方法と同じ方法で秘匿化する第3ステップと、
    前記秘匿化されたクエリデータに基づいて、クエリデータに類似する標本データが記録されているクラスタを特定する第4ステップと、
    前記特定されたクラスタから、前記秘匿化された標本データと前記秘匿化されたクエリデータの間の距離の計算によって、前記クエリデータに類似する1つの標本データを特定し、該標本データと対の任意データにアクセスする第5ステップと、を実行し、
    前記第1ステップおよび前記第3ステップにおけるデータの秘匿化は、前記データをそのデータ空間上で量子化するサブステップと、前記データから、前記量子化されたデータを減算して残差を得るサブステップと、前記量子化されたデータを暗号学的ハッシュ関数に入力し、ハッシュ値を得るサブステップと、を有し、前記ハッシュ値と前記残差の組を秘匿化されたデータとして出力するものであり、
    前記第1サーバによる前記クラスタリングは、前記秘匿化された標本データの前記ハッシュ値の部分に基づいて、該ハッシュ値とクラスタとを1対1または多対1に対応付けるものであることを特徴とする秘匿化データの類似検索方法。
  2. 複数の標本データを保存する第1サーバと、前記第1サーバにアクセスする第2サーバとを備えた秘匿化データの類似検索方法であって、
    前記第1サーバが、
    前記複数の標本データを、標本データ空間において少なくとも局所的に距離保存されるような写像で秘匿化する第1ステップと、
    前記秘匿化された標本データと任意データの対を、該秘匿化された標本データ自体に基づいてクラスタリングしてデータベースに記録する第2ステップと、を実行し、
    前記第2サーバが、
    クエリデータを、前記標本データにした方法と同じ方法で秘匿化する第3ステップと、
    前記秘匿化されたクエリデータに基づいて、クエリデータに類似する標本データが記録されているクラスタを特定する第4ステップと、
    前記特定されたクラスタから、前記秘匿化された標本データと前記秘匿化されたクエリデータの間の距離の計算によって、前記クエリデータに類似する1つの標本データを特定し、該標本データと対の任意データにアクセスする第5ステップと、を実行し、
    前記第1ステップおよび前記第3ステップにおけるデータの秘匿化は、与えられた特定の数に基づいて、前記データの要素数に対応する列数のランダムプロジェクション(RP)行列を生成するサブステップと、前記データを列ベクトルに見立て、RP行列を前から掛け算して、秘匿化されたデータを得るサブステップと、を有し、
    前記第2サーバの前記データは、ベクトル空間の全域において実質的に距離保存されて前記秘匿化されたデータの空間へ写像されることを特徴とする秘匿化データの類似検索方法。
  3. 前記RP行列は、ユニタリ行列であることを特徴とする請求項2記載の秘匿化データの類似検索方法。
  4. 複数の標本データを保存する第1サーバと、前記第1サーバにアクセスする第2サーバとを備えた秘匿化データの類似検索方法であって、
    前記第1サーバが、
    前記複数の標本データを、標本データ空間において少なくとも局所的に距離保存されるような写像で秘匿化する第1ステップと、
    前記秘匿化された標本データと任意データの対を、該秘匿化された標本データ自体に基づいてクラスタリングしてデータベースに記録する第2ステップと、を実行し、
    前記第2サーバが、
    クエリデータを、前記標本データにした方法と同じ方法で秘匿化する第3ステップと、
    前記秘匿化されたクエリデータに基づいて、クエリデータに類似する標本データが記録されているクラスタを特定する第4ステップと、
    前記特定されたクラスタから、前記秘匿化された標本データと前記秘匿化されたクエリデータの間の距離の計算によって、前記クエリデータに類似する1つの標本データを特定し、該標本データと対の任意データにアクセスする第5ステップと、を実行し、
    前記第1ステップおよび前記第3ステップにおけるデータの秘匿化は、前記データを列ベクトルに見立て、そのベクトル空間において局所的に、距離が小さいほどハミング長が小さくなるように該データを符号化する第1サブステップと、該符号化されたデータに基づいて、所定の規則でランダムされたランダムプロジェクション(RP)行列を生成する第2サブステップと、列ベクトルに見立てた前記データに、RP行列を前から掛け算して、秘匿化されたデータを得る第3サブステップと、を有し、
    前記第1サーバによる前記クラスタリングは、前記秘匿化された標本データを、該秘匿化された標本データの空間での互いの距離が小さいものが同じクラスタに集まるように行うことを特徴とする秘匿化データの類似検索方法。
  5. 前記第1サブステップの符号化には、局所性鋭敏型ハッシュ、ベクトル量子化、誤り訂正符号、距離保存ランレングス制限符号、順列符号、距離保存マップ符号、ランクモジュレーション符号、グレイ符号の1つ或いは複数の組み合わせを用いることを特徴とする請求項4記載の秘匿化データの類似検索方法。
  6. 複数の標本データを保存する第1サーバと、前記第1サーバにアクセスする第2サーバとを備えた秘匿化データの類似検索方法であって、
    前記第1サーバが、
    前記複数の標本データを、標本データ空間において少なくとも局所的に距離保存されるような写像で秘匿化する第1ステップと、
    前記秘匿化された標本データと任意データの対を、該秘匿化された標本データ自体に基づいてクラスタリングしてデータベースに記録する第2ステップと、を実行し、
    前記第2サーバが、
    クエリデータを、前記標本データにした方法と同じ方法で秘匿化する第3ステップと、
    前記秘匿化されたクエリデータに基づいて、クエリデータに類似する標本データが記録されているクラスタを特定する第4ステップと、
    前記特定されたクラスタから、前記秘匿化された標本データと前記秘匿化されたクエリデータの間の距離の計算によって、前記クエリデータに類似する1つの標本データを特定し、該標本データと対の任意データにアクセスする第5ステップと、を実行し、
    前記第1ステップにおける標本データの秘匿化は、前記標本データを、各要素の2進数表現における上位ビットと下位ビットとを分離する方法で2分割する第1サブステップと、前記2分割で得られた前記上位ビットのデータを、要素毎にグレイ符号化する第2サブステップと、1つの乱数を発生する第3サブステップと、前記乱数に基づいて、所定の規則で前記グレイ符号の一部を改変する第4サブステップと、前記乱数に基づいて、前記2分割で得られた前記下位ビットのデータを改変する第5サブステップと、前記改変された下位ビットのデータを列ベクトルに見立て、前記改変されたグレイ符号に基づいて生成したランダムプロジェクション(RP)行列を前から掛け算して、ランダム投影された下位ビットのデータを得る第6サブステップと、前記改変されたグレイ符号を誤り訂正符号化し、冗長シンボルを得る第7サブステップと、前記ランダム投影された下位ビットのデータと、前記冗長シンボルを連結して秘匿化されたデータを得る第8サブステップと、を有することを特徴とする秘匿化データの類似検索方法。
  7. 複数の標本データを保存する第1サーバと、前記第1サーバにアクセスする第2サーバとを備えた秘匿化データの類似検索方法であって、
    前記第1サーバが、
    前記複数の標本データを、標本データ空間において少なくとも局所的に距離保存されるような写像で秘匿化する第1ステップと、
    前記秘匿化された標本データと任意データの対を、該秘匿化された標本データ自体に基づいてクラスタリングしてデータベースに記録する第2ステップと、を実行し、
    前記第2サーバが、
    クエリデータを、前記標本データにした方法と同じ方法で秘匿化する第3ステップと、
    前記秘匿化されたクエリデータに基づいて、クエリデータに類似する標本データが記録されているクラスタを特定する第4ステップと、
    前記特定されたクラスタから、前記秘匿化された標本データと前記秘匿化されたクエリデータの間の距離の計算によって、前記クエリデータに類似する1つの標本データを特定し、該標本データと対の任意データにアクセスする第5ステップと、を実行し、
    前記第3ステップにおけるクエリデータの秘匿化は、前記クエリデータを、各要素の2進数表現における上位ビットと下位ビットとを分離する方法で2分割する第1サブステップと、前記2分割で得られた前記上位ビットのデータを、要素毎にグレイ符号化する第2サブステップと、乱数として発生されうる全通りの数から試行する1つを決める第3サブステップと、前記試行する1つの数に基づいて、所定の規則で前記グレイ符号の一部を改変する第4サブステップと、前記改変されたグレイ符号を誤り訂正符号化し、冗長シンボルを得る第5サブステップと、前記冗長シンボルを用いて、改変される前の前記グレイ符号を誤り訂正復号化する第6サブステップと、前記誤り訂正復号化で訂正されたビットの位置に基づいて、前記2分割で得られた前記下位ビットのデータを改変する第7サブステップと、前記改変された下位ビットのデータを列ベクトルに見立て、前記改変されたグレイ符号に基づいて生成したランダムプロジェクション(RP)行列を前から掛け算して、ランダム投影された下位ビットのデータを得る第8サブステップと、を有し、
    前記ランダム投影された下位ビットのデータと、前記冗長シンボルを連結して秘匿化されたデータを得る第9サブステップと、を有することを特徴とする秘匿化データの類似検索方法。
  8. 前記第5サブステップの前記誤り訂正符号化は、前記グレイ符号が改変されうるビットの数の2倍に1を加えた数以上の誤り訂正能力を有し、前記第4ステップのクラスタの特定は、クエリデータに類似する標本データが記録されている可能性のあるクラスタを、前記第3サブステップの試行回数より少ない数に絞り込むものであることを特徴とする請求項7記載の秘匿化データの類似検索方法。
  9. 複数の標本データを保存する第1サーバと、前記第1サーバにアクセスする第2サーバとを備えた秘匿化データの類似検索方法であって、
    前記第1サーバが、
    前記複数の標本データを、標本データ空間において少なくとも局所的に距離保存されるような写像で秘匿化する第1ステップと、
    前記秘匿化された標本データと任意データの対を、該秘匿化された標本データ自体に基づいてクラスタリングしてデータベースに記録する第2ステップと、を実行し、
    前記第2サーバが、
    クエリデータを、前記標本データにした方法と同じ方法で秘匿化する第3ステップと、
    前記秘匿化されたクエリデータに基づいて、クエリデータに類似する標本データが記録されているクラスタを特定する第4ステップと、
    前記特定されたクラスタから、前記秘匿化された標本データと前記秘匿化されたクエリデータの間の距離の計算によって、前記クエリデータに類似する1つの標本データを特定し、該標本データと対の任意データにアクセスする第5ステップと、を実行し、
    前記複数の標本データは、主成分分析、独立成分分析或いは線形判別分析により低次元化された画像特徴量ベクトル、または、バイオメトリクス情報であることを特徴とする秘匿化データの類似検索方法。
  10. 複数の標本データを保存する第1サーバと、前記第1サーバにアクセスする第2サーバとを備えた秘匿化データの検索システムにおいて、
    前記第1サーバは、
    前記複数の標本データを、標本データ空間において少なくとも局所的に距離保存されるような写像で秘匿化し、
    前記秘匿化された標本データと任意データの対を、該秘匿化された標本データ自体に基づいてクラスタリングしてデータベースに記録するように構成され、
    前記第2サーバは、
    クエリデータを、前記標本データにした方法と同じ方法で秘匿化し、
    前記秘匿化されたクエリデータに基づいて、クエリデータに類似する標本データが記録されているクラスタを特定し、
    前記特定されたクラスタから、前記秘匿化された標本データと前記秘匿化されたクエリデータの間の距離の計算によって、前記クエリデータに類似する1つの標本データを特定し、該標本データと対の任意データにアクセスするように構成され、
    データの前記秘匿化は、前記データをそのデータ空間上で量子化し、前記データから、前記量子化されたデータを減算して残差を得て、前記量子化されたデータを暗号学的ハッシュ関数に入力し、ハッシュ値を得るものであり、前記ハッシュ値と前記残差の組を秘匿化されたデータとして出力するものであり、
    前記第1サーバによる前記クラスタリングは、前記秘匿化された標本データの前記ハッシュ値の部分に基づいて、該ハッシュ値とクラスタとを1対1または多対1に対応付けるものであることを特徴とする秘匿化データの検索システム。
  11. 複数の標本データを保存する第1サーバと、前記第1サーバにアクセスする第2サーバとを備えた秘匿化データの検索システムにおいて、
    前記第1サーバは、
    前記複数の標本データを、標本データ空間において少なくとも局所的に距離保存されるような写像で秘匿化し、
    前記秘匿化された標本データと任意データの対を、該秘匿化された標本データ自体に基づいてクラスタリングしてデータベースに記録するように構成され、
    前記第2サーバは、
    クエリデータを、前記標本データにした方法と同じ方法で秘匿化し、
    前記秘匿化されたクエリデータに基づいて、クエリデータに類似する標本データが記録されているクラスタを特定し、
    前記特定されたクラスタから、前記秘匿化された標本データと前記秘匿化されたクエリデータの間の距離の計算によって、前記クエリデータに類似する1つの標本データを特定し、該標本データと対の任意データにアクセスするように構成され、
    前記複数の標本データは、主成分分析、独立成分分析或いは線形判別分析により低次元化された画像特徴量ベクトル、または、バイオメトリクス情報であることを特徴とする秘匿化データの検索システム。
JP2016511182A 2014-03-31 2014-03-31 安否確認システム及び秘匿化データの類似検索方法 Active JP6190041B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2014/059443 WO2015151155A1 (ja) 2014-03-31 2014-03-31 安否確認システム及び秘匿化データの類似検索方法

Publications (2)

Publication Number Publication Date
JPWO2015151155A1 JPWO2015151155A1 (ja) 2017-04-13
JP6190041B2 true JP6190041B2 (ja) 2017-08-30

Family

ID=54239526

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016511182A Active JP6190041B2 (ja) 2014-03-31 2014-03-31 安否確認システム及び秘匿化データの類似検索方法

Country Status (4)

Country Link
US (1) US10181168B2 (ja)
JP (1) JP6190041B2 (ja)
SG (1) SG11201607875WA (ja)
WO (1) WO2015151155A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7257319B2 (ja) 2016-08-26 2023-04-13 サノフィ-アベンティス・ドイチュラント・ゲゼルシャフト・ミット・ベシュレンクテル・ハフツング 可聴インジケータ

Families Citing this family (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7937393B2 (en) 2005-11-28 2011-05-03 Commvault Systems, Inc. Systems and methods for classifying and transferring information in a storage network
US20200257596A1 (en) 2005-12-19 2020-08-13 Commvault Systems, Inc. Systems and methods of unified reconstruction in storage systems
US8892523B2 (en) 2012-06-08 2014-11-18 Commvault Systems, Inc. Auto summarization of content
SG11201607875WA (en) * 2014-03-31 2016-11-29 Hitachi Int Electric Inc Personal safety verification system and similarity search method for data encrypted for confidentiality
JP6728649B2 (ja) * 2015-11-27 2020-07-22 日本電気株式会社 ポイント管理システム、アカウント生成方法、自動販売機及びプログラム
WO2017149597A1 (ja) * 2016-02-29 2017-09-08 三菱電機株式会社 機器分類装置
JP6690338B2 (ja) * 2016-03-22 2020-04-28 日本電気株式会社 通信システム、検索装置、検索方法およびプログラム
US10540516B2 (en) 2016-10-13 2020-01-21 Commvault Systems, Inc. Data protection within an unsecured storage environment
CN108629233A (zh) * 2017-03-20 2018-10-09 华为技术有限公司 一种行人检索方法及装置
JP7145589B2 (ja) 2017-06-14 2022-10-03 清水建設株式会社 情報提供システム
EP3662641B1 (en) * 2017-07-31 2022-09-07 Ricoh Company, Ltd. Communication system, distributed processing system, distributed processing method, and recording medium
CN107944344A (zh) * 2017-10-30 2018-04-20 国网浙江省电力公司绍兴供电公司 供电企业施工移动安全监督平台
CN108256031B (zh) * 2018-01-11 2021-09-10 北京理工大学 一种支持隐私保护的多源加密图像检索方法
US20190251204A1 (en) 2018-02-14 2019-08-15 Commvault Systems, Inc. Targeted search of backup data using calendar event data
US10642886B2 (en) * 2018-02-14 2020-05-05 Commvault Systems, Inc. Targeted search of backup data using facial recognition
WO2020008511A1 (ja) * 2018-07-02 2020-01-09 株式会社ソニー・インタラクティブエンタテインメント 電子機器、コンテンツ処理装置、コンテンツ処理システム、画像データ出力方法、および画像処理方法
WO2020036959A1 (en) 2018-08-13 2020-02-20 BigID Inc. Machine learning system and methods for determining confidence levels of personal information findings
US10872166B2 (en) * 2018-09-12 2020-12-22 Netz Forecasts Ltd. Systems and methods for secure prediction using an encrypted query executed based on encrypted data
US11985232B2 (en) 2018-10-26 2024-05-14 Nec Corporation Secure computing server, system, secure computing method, and program
JP7096145B2 (ja) * 2018-12-12 2022-07-05 Kddi株式会社 クラスタリング装置、クラスタリング方法及びクラスタリングプログラム
CN109766341B (zh) * 2018-12-27 2022-04-22 厦门市美亚柏科信息股份有限公司 一种建立哈希映射的方法、装置、存储介质
CN109783667B (zh) * 2019-01-14 2023-10-27 西安电子科技大学 一种图像存储和检索的方法、客户端及系统
KR20200100481A (ko) * 2019-02-18 2020-08-26 삼성전자주식회사 생체 정보를 인증하기 위한 전자 장치 및 그의 동작 방법
EP3719679B1 (en) * 2019-04-03 2021-06-09 Fondation de L'institut de Recherche Idiap A method for protecting biometric templates, and a system and method for verifying a speaker´s identity
CN110213522B (zh) * 2019-05-27 2021-07-27 腾讯科技(深圳)有限公司 一种视频数据处理方法、装置以及相关设备
CN110544151A (zh) * 2019-08-20 2019-12-06 北京市天元网络技术股份有限公司 确定用户是否为网约车司机的方法及设备
CN110852203B (zh) * 2019-10-28 2022-04-22 西安交通大学 一种基于视频特征学习的多要素可疑人员识别方法
US12019784B2 (en) * 2019-10-30 2024-06-25 EMC IP Holding Company LLC Privacy preserving evaluation of sensitive user features for anomaly detection
JP7173597B2 (ja) * 2020-04-06 2022-11-16 日本電気株式会社 通信システム、検索装置および検索方法
CN112000833B (zh) * 2020-07-29 2023-02-28 西安电子科技大学 一种边缘环境下加密图像安全检索方法及检索系统
CN112381726B (zh) * 2020-10-29 2023-05-23 浙江吉利控股集团有限公司 一种地下车库全局图的构建方法及装置
CN112446364B (zh) * 2021-01-29 2021-06-08 中国科学院自动化研究所 高清人脸替换视频生成方法及系统
CN113722752B (zh) * 2021-08-19 2024-04-09 国网电力科学研究院有限公司 基于lfp树与代理向量的轨迹隐私数据发布方法、装置及系统
CN113704522B (zh) * 2021-10-28 2022-02-18 山东建筑大学 基于人工智能的目标图像快速检索方法及系统
WO2023127069A1 (ja) * 2021-12-27 2023-07-06 日本電気株式会社 照合システム、照合方法、および照合プログラム
WO2023127068A1 (ja) * 2021-12-27 2023-07-06 日本電気株式会社 照合システム、鍵生成装置、照合装置、第1変換装置、第2変換装置、およびそれらの方法

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05125424A (ja) 1991-11-08 1993-05-21 Nippon Steel Corp スラグフオーミング抑制方法
JPH05154651A (ja) 1991-12-02 1993-06-22 Honda Motor Co Ltd 熱バリ取り装置
JPH09198401A (ja) 1996-01-18 1997-07-31 Fujikura Ltd 個人情報の登録検索システム
US6774917B1 (en) * 1999-03-11 2004-08-10 Fuji Xerox Co., Ltd. Methods and apparatuses for interactive similarity searching, retrieval, and browsing of video
JP2003304300A (ja) 2002-04-09 2003-10-24 Fuji Film Microdevices Co Ltd 物理層デバイス
US7379627B2 (en) * 2003-10-20 2008-05-27 Microsoft Corporation Integrated solution to digital image similarity searching
JP2005301677A (ja) * 2004-04-12 2005-10-27 Casio Comput Co Ltd 被保護者情報管理装置及びプログラム
JP2006243798A (ja) * 2005-02-28 2006-09-14 Fuji Photo Film Co Ltd 安否情報提供装置、安否情報提供方法及び安否情報提供プログラム
JP2006254798A (ja) 2005-03-17 2006-09-28 Yanmar Co Ltd コンバイン
JP4197048B2 (ja) 2005-04-25 2008-12-17 パナソニック株式会社 監視カメラシステム、撮影装置および映像表示装置
JP4722620B2 (ja) * 2005-08-19 2011-07-13 Kddi株式会社 暗号化文書検索方法および暗号化文書検索システム
US8019742B1 (en) * 2007-05-31 2011-09-13 Google Inc. Identifying related queries
JP2009027493A (ja) 2007-07-20 2009-02-05 Victor Co Of Japan Ltd 画像符号化装置および画像符号化方法
JP4735729B2 (ja) * 2009-03-12 2011-07-27 沖電気工業株式会社 近似計算処理装置、近似ウェーブレット係数計算処理装置、及び近似ウェーブレット係数計算処理方法
JP5150572B2 (ja) * 2009-07-13 2013-02-20 日本電信電話株式会社 プライバシー保護システム及びプライバシー保護方法
JP5777310B2 (ja) 2010-09-21 2015-09-09 株式会社日立国際電気 画像セキュリティシステムおよび認証方法
JP2012085114A (ja) 2010-10-12 2012-04-26 Sony Corp イヤホン
JP5694890B2 (ja) 2011-10-04 2015-04-01 日本電信電話株式会社 注視領域データ生成装置およびその動作方法
US8837727B2 (en) 2011-11-08 2014-09-16 Mitsubishi Electric Research Laboratories, Inc. Method for privacy preserving hashing of signals with binary embeddings
US9311494B2 (en) * 2011-12-01 2016-04-12 Hitachi, Ltd. Secure search method and secure search device
JP5979415B2 (ja) 2012-04-09 2016-08-24 パナソニックIpマネジメント株式会社 監視システムおよび電話システム
US8972415B2 (en) * 2012-04-30 2015-03-03 Hewlett-Packard Development Company, L.P. Similarity search initialization
CN103051705A (zh) 2012-12-19 2013-04-17 中兴通讯股份有限公司 目标人的确定方法、装置及移动终端
US20150254280A1 (en) * 2014-03-06 2015-09-10 Nec Laboratories America, Inc. Hybrid Indexing with Grouplets
SG11201607875WA (en) * 2014-03-31 2016-11-29 Hitachi Int Electric Inc Personal safety verification system and similarity search method for data encrypted for confidentiality
US10360276B2 (en) * 2015-07-28 2019-07-23 Expedia, Inc. Disambiguating search queries
US10719509B2 (en) * 2016-10-11 2020-07-21 Google Llc Hierarchical quantization for fast inner product search

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7257319B2 (ja) 2016-08-26 2023-04-13 サノフィ-アベンティス・ドイチュラント・ゲゼルシャフト・ミット・ベシュレンクテル・ハフツング 可聴インジケータ

Also Published As

Publication number Publication date
US10181168B2 (en) 2019-01-15
JPWO2015151155A1 (ja) 2017-04-13
US20170109852A1 (en) 2017-04-20
WO2015151155A1 (ja) 2015-10-08
SG11201607875WA (en) 2016-11-29

Similar Documents

Publication Publication Date Title
JP6190041B2 (ja) 安否確認システム及び秘匿化データの類似検索方法
US11727053B2 (en) Entity recognition from an image
US11048788B2 (en) Content authentication and validation via multi-factor digital tokens, systems, and methods
JP6256624B2 (ja) 情報処理装置及び協調分散保存システム
US20210349988A1 (en) Systems and methods for decentralized recovery of identity attributes
US11899719B2 (en) Systems and methods for determining whether to modify content
CN110019640B (zh) 涉密文件检查方法及装置
US20220272096A1 (en) Media data based user profiles
CN106030527B (zh) 将可供下载的应用程序通知用户的系统和方法
CN108377319B (zh) 图片传输方法及装置
US20190018977A1 (en) Document management apparatus, document management system, and non-transitory computer readable medium
CN112860933A (zh) 密文图像检索方法、装置、终端设备及存储介质
CN108509059B (zh) 一种信息处理方法、电子设备和计算机存储介质
US9426173B2 (en) System and method for elimination of spam in a data stream according to information density
CN112632054A (zh) 一种基于属性加密的数据集去重方法、存储介质及系统
CN112702623A (zh) 视频处理方法、装置、设备及存储介质
CN117235803B (zh) 基于数据要素的数据安全认证方法、装置和电子设备
KR102493080B1 (ko) 클라이언트 커스터마이징 기반의 디지털 포렌식 서비스 제공 시스템
WO2018044649A1 (en) Multi-dimensional run-length encoding
WO2015065203A1 (en) A method of protecting communications
CN114444464A (zh) 文档检测处理方法、装置、存储介质及电子设备
CN116975488A (zh) 网站指纹生成方法、相似网站识别方法、装置和设备
JP2023531561A (ja) デジタルコンテンツアイテムをブロックチェーンで認証してデジタルコンテンツアイテムデータをブロックチェーンに書き込むための方法
CN116975905A (zh) 一种数据处理方法、装置、计算机设备以及可读存储介质
CN117786035A (zh) 一种基于特征向量的非结构化数据安全下发方法和系统

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170511

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170706

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170726

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170803

R150 Certificate of patent or registration of utility model

Ref document number: 6190041

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250