JPWO2006093238A1 - 認証補助装置、認証主装置、集積回路及び認証方法 - Google Patents

認証補助装置、認証主装置、集積回路及び認証方法 Download PDF

Info

Publication number
JPWO2006093238A1
JPWO2006093238A1 JP2006527173A JP2006527173A JPWO2006093238A1 JP WO2006093238 A1 JPWO2006093238 A1 JP WO2006093238A1 JP 2006527173 A JP2006527173 A JP 2006527173A JP 2006527173 A JP2006527173 A JP 2006527173A JP WO2006093238 A1 JPWO2006093238 A1 JP WO2006093238A1
Authority
JP
Japan
Prior art keywords
biometric
authentication
template
data
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006527173A
Other languages
English (en)
Inventor
和紀 井上
和紀 井上
健 中
健 中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Publication of JPWO2006093238A1 publication Critical patent/JPWO2006093238A1/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • G06Q20/40145Biometric identity checks
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
    • G07C9/25Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition
    • G07C9/257Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition electronically
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Finance (AREA)
  • Computer Security & Cryptography (AREA)
  • Human Computer Interaction (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Collating Specific Patterns (AREA)

Abstract

個人情報を保護することができ、多くの計算量を要する認証方式を低コストで提供することができ、生体認証の効果を認証者が直接的に得ることができるとともに、個人情報管理に伴うコスト及びリスク増大を回避することができる認証補助装置。この装置では、生体テンプレート保持手段(102)は、生体テンプレートを保持する。生体テンプレート埋め込み手段(104)は、生体テンプレートを埋め込む生体認証オブジェクト以外は判別できないように難読化した状態で生体テンプレートを生体認証オブジェクトに埋め込む。生体認証オブジェクト送信手段(107)は、生体テンプレートを埋め込んだ生体認証オブジェクトを送信する。

Description

本発明は、認証補助装置、認証主装置、集積回路及び認証方法に関し、特に、生体特徴を用いて使用者の正当性を証明する認証補助装置、認証主装置、集積回路及び認証方法に関する。
インターネットなどの電気通信を介して情報処理装置の機能やサービスを使用する場合、もしくは銀行自動支払機や自動入退室管理装置などを利用する場合、使用者の正当性を認証する事(ユーザ認証)が重要である。
ユーザ認証には大別して(1)知識に基づく認証、(2)所持物に基づく認証、(3)生体特徴に基づく認証、の3種類がある。パスワードや暗証番号は(1)の代表例であり、ICカードは(2)の代表例である。知識に基づく認証では、他人に知られた場合に容易になりすましが可能となり、所持物に基づく認証では紛失や盗難に際しての対策が必要である。
そこで近年注目されているのが(3)の生体特徴に基づく認証である。これは指紋、虹彩、顔貌、静脈、筆跡、行動の癖など、ある個人だけが持つ特定の特徴を電子情報的に抽出し、予め登録しておいた参照用特長データ(生体テンプレート)と比較照合する技術ある。生体特徴に基づく認証は、生物学的認証、バイオメトリクス認証とも呼ばれる。
生体特徴を用いたユーザ認証において留意すべき点の一つは生体テンプレートの保護である。生体テンプレートは元来個人特有のものであり、他人が入手してもなりすまし等の不正利用は出来ないが、昨今の社会的、法的な要件として、生体テンプレートは「保護すべき個人情報」であり、提供者が許可しない限り二次利用や漏洩は許されないものである、というコンセンサスが確立しつつある。
生体特徴を用いた認証における生体テンプレートの保護に関する従来技術としては、認証を実行する装置でのみ復号可能な状態に生体テンプレートを変換しておき、ユーザが保持する装置、サービス提供者の装置、もしくは信頼できる第三者装置のいずれかに保管するものがあった(例えば、特許文献1参照)。
図1は前記特許文献1に記載された従来のユーザ認証補助装置の構成図である。
図1において、ユーザ認証補助装置1は、生体テンプレートを安全に保持する生体テンプレート保持手段2を備え、生体テンプレート保持手段2に格納された生体テンプレート3と、認証時に使用者の生体特徴データを取得する生体特徴データ取得手段4の取得結果とを、照合手段5を用いて照合し、使用者の正当性を検証していた。
図2は前記特許文献1に記載された従来のユーザ認証主装置の構成図である。
図2において、ユーザ認証主装置6は、暗号化生体テンプレート取得手段7が取得したデータを生体テンプレート復号手段8が復号化し、生体テンプレート9を得る一方で、生体特徴データ取得手段10が使用者の生体特徴データと取得し、これらを照合手段11が照合することにより、使用者の正当性を検証していた。なお、図2に示す従来例では、暗号化生体テンプレートは信頼できる第三者期間から取得するか、あるいはユーザが所持するICカードなどから取得していた。
特開2002−73568号公報(第1頁、図21)
しかしながら、前記従来の構成では下記に示す課題を有していた。
(1)生体特徴を用いた認証の利点が認証者にとって間接的。
前記図1に示した従来例では、生体テンプレートがユーザ機器の外に出さない利点があるが、その反面、主認証装置を扱う認証者(多くの場合はサービス提供者である)にとっては、認証補助装置(ユーザ機器)の中でどのようにして照合処理が行われたか検証する術がない。ワーストケースでは認証補助装置が持つ照合手段が何者かにより不正に改竄され、正しい照合処理を経ずに照合成功の信号を送付して来る場合もあり得る。
(2)ユーザ機器コストの増大、もしくは機器能力の限界。
前記図1に示した従来例では、例えば認証補助装置としてICカードなどを想定した場合、ごく限られた計算能力の中で生体特徴データの照合処理を行う必要がある。現在、指紋照合、静脈照合など幾つかの方式については市販レベルのICカード内で処理できるようになっているが、今後社会的許容性等から普及が見込まれている顔貌照合などは扱うデータ量も計算量も多く、ICカード内で短時間に処理を行わせることは困難である。
(3)認証主装置からの生体テンプレート漏洩リスク。
前記図2に示した従来例では、暗号化されていない生体テンプレートが、たとえ一時的とは言え認証主装置の中に存在してしまう。従って、認証主装置を扱うサービス提供者に悪意がある場合や、セキュリティ管理が甘く悪意のある第三者から攻撃を受けてしまった場合には、生体テンプレートが漏洩してしまう危険性がある。ユーザ認証主装置を運営する側の立場から考慮しても、図2に示す構成のユーザ認証主装置を運用する場合、運用者(サービス提供者)は常に前記のリスクへの対策を講じる義務が生じ、サービス運用コストの増大に繋がる。
本発明の目的は、ユーザ(被認証者)は自らの個人情報である生体テンプレートを難読化して生体認証オブジェクトに埋め込むとともに、生体テンプレートを埋め込んだ生体認証オブジェクトを送信することにより、生体認証オブジェクトを受信した認証者は生体テンプレートを解読することができないので、個人情報を保護することができる認証補助装置、認証主装置、集積回路及び認証方法を提供することである。また、本発明の目的は直接他者に手渡すことなく、認証に必要な情報を認証者に渡すことが可能となる。さらに、認証者は、ユーザ認証補助装置は生体テンプレートと認証時の生体情報との照合を行わなくて良いのでため、多くの計算量を要する認証方式をにおいても低コストでの提供することができる認証補助装置、認証主装置、集積回路及び認証方法を提供することであるが可能となる。
また、本発明の目的はのユーザ認証主装置、認証者は照合の手順が正しいことを検証した上で、認証者自らの計算機を用いて認証を行うことにより、生体認証の効果を認証者が直接的に得ることができる認証補助装置、認証主装置、集積回路及び認証方法を提供することである可能となる。またさらに、本発明の目的は、認証者は生体テンプレートを直接参照せずに認証を行うのでする必要がなく、個人情報管理に伴うコスト及びリスク増大をが回避することができる認証補助装置、認証主装置、集積回路及び認証方法を提供することであるされる。
本発明の認証補助装置は、生体特徴を示す固有のデータから成る生体テンプレートを保持する生体テンプレート保持手段と、前記生体テンプレート保持手段が保持する前記生体テンプレートを難読化した状態で生体認証オブジェクトに埋め込む生体テンプレート埋め込み手段と、前記生体テンプレートが埋め込まれた前記生体認証オブジェクトを送信する送信手段と、を具備する構成を採る。
本発明の認証主装置は、生体特徴を示す固有のデータから成る生体テンプレートが難読化された状態で埋め込まれた生体認証オブジェクトを受信する受信手段と、前記生体認証オブジェクトの送信元と共通の誤り訂正符号を記憶する誤り訂正符号記憶手段と、前記誤り訂正符号記憶手段に記憶している誤り訂正符号に基づいて、受信した前記生体認証オブジェクトから前記生体テンプレートを含まない生体認証オブジェクトを復元する生体認証オブジェクト復元手段と、前記生体認証オブジェクト復元手段で復元した前記生体認証オブジェクトの正当性を検証する生体認証オブジェクト検証手段と、前記検証が成功した場合に前記復元前の前記生体認証オブジェクトを実行する生体認証オブジェクト実行手段と、を具備する構成を採る。
本発明の集積回路は、生体特徴を示す固有のデータから成る生体テンプレートを保持する生体テンプレート保持回路と、前記生体テンプレート保持回路が保持する前記生体テンプレートを難読化した状態で生体認証オブジェクトに埋め込む生体テンプレート埋め込み回路と、前記生体テンプレートが埋め込まれた前記生体認証オブジェクトを外部へ送出するインタフェース回路と、を具備する構成を採る。
本発明の認証方法は、生体特徴を示す固有のデータから成る生体テンプレートを保持するステップと、保持する前記生体テンプレートを誤り訂正符号に基づいて分割するステップと、分割した前記生体テンプレートを誤り訂正符号に基づいて前記生体認証オブジェクトに埋め込むとともに、前記生体テンプレートを埋め込んだ前記生体認証オブジェクトを前記誤り訂正符号により符号化して前記生体テンプレートを難読化するステップと、前記生体テンプレートが埋め込まれた前記生体認証オブジェクトを認証補助装置が送信するステップと、前記認証補助装置が送信した前記生体認証オブジェクトを認証主装置が受信するステップと、前記認証補助装置と共通の誤り訂正符号に基づいて、受信した前記生体認証オブジェクトから前記生体テンプレートを含まない生体認証オブジェクトを復元するステップと、復元した前記生体認証オブジェクトの正当性を検証するステップと、前記検証が成功した場合に前記復元前の前記生体認証オブジェクトを実行するステップと、を具備するようにした。
本発明によれば、ユーザ(被認証者)は自らの個人情報である生体テンプレートを難読化して生体認証オブジェクトに埋め込むとともに、生体テンプレートを埋め込んだ生体認証オブジェクトを送信することにより、生体認証オブジェクトを受信した認証者は生体テンプレートを解読することができないので、個人情報を保護することができる。また、本発明によれば、認証者は、生体テンプレートと認証時の生体情報との照合を行わなくて良いので、多くの計算量を要する認証方式を低コストで提供することができる。また、本発明によれば、認証者は、照合の手順が正しいことを検証した上で、認証者自らの計算機を用いて認証を行って、被認証者が本人であることを生物学的に判別することにより、他人による成り済ましを防ぐという生体認証の効果を認証者が直接的に得ることができる。また、本発明によれば、認証者は生体テンプレートを直接参照せずに認証を行うので、個人情報管理に伴うコスト及びリスク増大を回避することができる。
従来のユーザ認証補助装置の構成図 従来のユーザ認証補助装置の構成図 本発明の実施の形態1におけるユーザ認証補助装置の構成図 生体テンプレートのデータ構造例を示した図 生体認証オブジェクトの構造例を示した図 生体テンプレート埋め込み手段の動作フロー図 データ書き込み機能を備えた生体認証オブジェクトの構造例を示した図 本発明の実施の形態2におけるユーザ認証補助装置の構成図 訂正符号が付加された生体認証オブジェクトのデータ構造例を示した図 (7,4)ハミング符号を応用した誤り訂正符号の例を示した図 生体認証オブジェクトの誤り訂正符号に基づく生体テンプレート分割規則の例を示した図 生体認証オブジェクトの誤り訂正符号に基づく生体テンプレート埋め込み規則の例を示した図 分割された生体テンプレートの埋め込み順序を指定する場合の生体テンプレート埋め込み規則の例を示した図 生体テンプレート埋め込み後の生体認証オブジェクトのデータ構造例を示した図 本発明の実施の形態3におけるユーザ認証補助装置の構成図 生体認証オブジェクト受信手段、生体認証オブジェクト復元手段、生体認証オブジェクト検証手段の連携動作フロー図 電子データ復元手段の動作フロー図 訂正出来ないビット誤りの例を示した図 訂正出来ないバイト誤りの例を示した図 本発明の実施の形態4におけるユーザ認証補助装置の構成図 本発明の実施の形態4における生体テンプレート及び生体特徴データ混合埋め込み手段の動作フロー図 本発明の実施の形態5におけるユーザ認証主装置の構成図 生体認証オブジェクト受信手段、生体認証オブジェクト復元手段、生体認証オブジェクト検証手段及び生体認証オブジェクト実行手段の連携動作フロー図 本発明の実施の形態6におけるユーザ認証主装置の構成図 本発明の実施の形態7におけるユーザ認証主装置の構成図 本発明の実施の形態8におけるユーザ認証主装置の構成図 チャレンジデータ書き込みに対応した生体認証オブジェクトの構造例を示した図 本発明の実施の形態9における集積回路の構成図
以下本発明の実施の形態について、図面を参照しながら説明する。
(実施の形態1)
図3は、本発明の実施の形態1におけるユーザ認証補助装置の構成図である。
図3において、ユーザ認証補助装置101は、生体テンプレート保持手段102と、生体テンプレート埋め込み手段104と、生体認証オブジェクト保持手段105と、生体認証オブジェクト送信手段107を備える。
生体テンプレート保持手段102は生体テンプレート103を保持し、生体認証オブジェクト保持手段105は生体認証オブジェクト106を保持する。生体テンプレート保持手段102が保持している生体認証オブジェクト106は、事前に第三者が作成したものであり、誤り訂正符号を含んでいる。また、生体認証オブジェクト106の作成の際に、生体認証オブジェクト106に対する署名も作成される。ここで、生体テンプレートとは、顔画像等の生態的特徴を電子データの形で事前に取得して登録しておくものであり、縮減処理がなされている。
好適な例では認証補助装置101の概観はICカード、CPU(セントラルプロセシングユニット:中央処理装置;Central Processing Unit)付きメモリカード、PDA(パーソナルデジタルアシスタント;Personal Digital Assistant)、携帯電話などの容易に持ち運べる電子機器であり、内部にセキュリティ機能を確保した耐タンパ領域(tamper resistant memory)を備えることが望ましい。
同様に好適な例では、生体テンプレート保持手段102、及び生体認証オブジェクト保持手段はフラッシュメモリ、RAM(ランダムアクセスメモリ;Random Access Memory)、HDD(ハードディスクドライブ;Hard Disk Drive)などの記憶媒体を用いたメモリである。また、これらの内部に格納される生体テンプレート103及び生体認証オブジェクト106は電子データである。特に、生体テンプレート103は認証補助装置101の正当な使用者から取得した生体特徴をデジタルデータ化した電子データであり、生体認証オブジェクト106は前記生体テンプレート103と、別途使用者から取得した生体特徴とを比較照合する処理手順を含むプログラムコードである。さらに、前記生体認証オブジェクト106は処理手順やデータ構造を外部から解析困難とするための難読化が施されていることが望ましい。
生体テンプレート埋め込み手段104は、認証補助装置101のハードウェア資源を利用する情報処理機である。情報処理機はROM(リードオンリーメモリ;Read Only Memory)に書き込まれたプログラムコードが、CPUを駆動する形態であっても良い。
生体認証オブジェクト送信手段107は、公知の通信技術を用いてデジタル信号を外部の機器に送信する通信機を含む情報処理機である。
図4は生体テンプレート103のデータ構造例を示した図である。
図4において、データ部201はヘッダ情報であり、生体テンプレートの種類、バージョン、データ長などを示すデータが格納される。データ部202はID情報であり、生体テンプレートの識別用固有データが格納される。データ部203は特徴ベクトル情報であり、デジタル化された生体画像から変換された値が格納される。変換の例としては、画像データの主成分分析に基づくベクトルデータ、不特定多数の人間から得たサンプルを用いて本人固有の特徴を抽出したベクトルデータ、などが挙げられる。データ部204は署名情報であり、生体テンプレートが改竄されていないことを示す証明データが格納される。
なお、生体テンプレートデータとして最も重要な役割を持つのはデータ部203の特徴ベクトル情報であり、それ以外のデータ部は必ずしも必要ではない。
図5は生体認証オブジェクト106の構造例を示した図である。基本的に、生体認証オブジェクト106は特定のCPU(セントラルプロセシングユニット:中央処理装置)もしくはVM(バーチャルマシン:仮想計算機;Virtual Machine)の命令コードと、前記命令コードが参照したり書換えたりするデータの集合から成り立っている。
図5において、生体テンプレート格納データ領域301は生体認証オブジェクト106の内部にあって、生体テンプレート103を一時的に格納するためのデータ領域である。照合及び判定プログラムコード302は同じく生体認証オブジェクト106の内部にあって、前記生体テンプレート103と、認証補助装置101を提示したユーザ自身から認証時に取得する生体データである認証時生体データを比較照合し、ユーザの正当性を検証する手順を示した命令コード群である。ただし、前記照合及び判定プログラムコード302は、生体認証オブジェクト101内で実行されなくても良い。
図6は生体テンプレート埋め込み手段104の動作フロー図である。
生体テンプレート埋め込み手段104は、まず始めに生体テンプレート保持手段102から生体テンプレート103を読み込む(ステップ401)。次に生体認証オブジェクト保持手段105が保持する生体認証オブジェクト106の中の、生体テンプレート格納データ領域302に前記生体テンプレート103を書き込む(ステップ402)。続いて、生体認証オブジェクト送信手段107に処理を進める(ステップ403)。
生体認証オブジェクト送信手段107は、生体テンプレート103が埋め込まれた生体認証オブジェクト106を外部に送出する。好適には、送出先は後述するユーザ認証主装置である。
前記ステップ402における生体テンプレート103書き込みは、単なるメモリ間データコピーによって実現しても良いが、以下に示す様に生体認証オブジェクト106自身にデータ書き込み機能を持たせても良い。
図7は、データ書き込み機能を備えた生体認証オブジェクト106の構造例を示した図である。この例では生体テンプレートだけでなく、認証時生体データを書き込む機能も備える。
図7において、インタフェースプログラムコード(A)501は、認証補助装置101内で生体認証オブジェクト106の機能が呼び出される際に使用される命令コード群である。生体テンプレート格納プログラムコード502は生体テンプレートを生体認証オブジェクト106内部に格納するための命令コード群であり、生体テンプレート格納データ領域503は生体テンプレート格納先となるデータ領域である。
インタフェースプログラムコード(A)501はユーザ認証補助装置101に処理の呼出口を提供するものであり、主として生体テンプレート埋め込み手段104から呼び出される。生体テンプレート埋め込み手段104は、生体テンプレート保持手段102から生体テンプレート103を読み出し、生体認証オブジェクト保持手段105に格納された生体認証オブジェクト106のインタフェースプログラムコード(A)501を介して生体テンプレート格納プログラムコード502に引き渡す。
引き渡された生体テンプレート103は、生体テンプレート格納データ領域503に格納される。ここで、生体テンプレート格納データ領域の具体的なデータ構造、存在箇所は、生体認証オブジェクト106以外には判別されないよう、難読化されていることが望ましい。難読化の具体例としては、生体テンプレート格納データ領域を複数個所に分散させ、ダミーのデータと混ぜ合わせる方法などが挙げられる。
認証時生体データ格納プログラムコード504は、認証が行われるタイミングで使用者から取得した生体データを生体認証オブジェクト106内部に格納するための命令コード群であり、認証時生体データ格納データ領域505は前記生体データ格納先となるデータ領域である。ここで、前記生体データの構造は図4に示した生体テンプレートのデータ構造例のうちの特徴ベクトル203と同一であることが望ましいが、指紋画像、顔画像など、センサやカメラから取得した画像データであっても良い。
照合及び判定プログラムコード506は、生体テンプレート格納データ領域503と、認証時生体データ格納データ領域505からデータを読み出し、両者を照合し類似度を測定した判定結果を得るための命令コード群である。具体的な照合方法の例としては、まず認証時生体データが画像データ、もしくは画像データを加工したデータである場合には、生体テンプレート生成時と同じ処理に基づき特徴ベクトル503と同一のフォーマットになるよう変換し、認証時生体特徴ベクトルを得る。前記認証時生体特徴ベクトルと、生体テンプレート格納データ領域503に格納された生体テンプレートのうち特徴ベクトル203を抽出したものは同次元のベクトルデータとなるため、内積演算、距離演算等により両者の類似度を算出することが出来る。類似度がある閾値以下である場合は判定結果は「正当」であり、閾値を超える場合は「不当」である。
インタフェースプログラムコード(B)507は後述するユーザ認証装置に処理の呼び出し口を提供するものであり、主として照合及び判定プログラムコード506を呼び出す際に使用する。なお、認証時生体データ格納プログラムコードは、インタフェースプログラムコード(A)501からもインタフェースプログラムコード(B)507からも呼び出され得る。
難読化用ダミーコード508は、格納された生体テンプレートを外部からの解析によって読み出されにくくするためのコードもしくはデータ群である。
因みに、ユーザが所持するICカードの中で生体認証を行い、生体認証の結果を認証者に伝える従来技術の場合、認証者はユーザが所持する機器の生物学的判定結果を間接的に信用することになる。このような生物学的判定結果を間接的に信用するようなシステムを、携帯電話、PDA及びパソコン等のように、処理能力は高いが100%の信用のおけない機器に適用する場合には、充分なセキュリティを確保することができない。これに対して、本実施の形態1では、認証者は、照合の手順が正しいことを検証した上で、認証者自らの計算機を用いて認証を行って、被認証者が本人であることを生物学的に判別することができるので、他人による成り済ましを防ぐという生体認証の効果を認証者が直接的に得ることができる。
以上実施の形態1によれば、ユーザ(被認証者)は自らの個人情報である生体テンプレートを生体認証オブジェクト内に隠した形で他者(認証者)に渡すことが可能となり、個人情報を保護する効果が得られる。さらに、ユーザ認証補助装置は生体テンプレートと認証時の生体情報の照合処理を行う必要がないため、例えばユーザ認証補助装置として個々のユーザが所持する携帯端末やICカードを想定した場合、低コストでの提供が可能となる効果も得られる。
(実施の形態2)
図8は、本発明の実施の形態2におけるユーザ認証補助装置の構成図である。
図8において、図3と同じ構成要素については同じ符号を用い、説明を省略する。
図8において、ユーザ認証補助装置601は、生体テンプレート分割手段602と、生体テンプレート埋め込み手段603と、生体テンプレート分割埋め込み規則保持手段604を備える。生体テンプレート分割埋め込み規則保持手段604は、生体認証オブジェクトの誤り訂正符号に基づく生体テンプレート分割規則605と、生体認証オブジェクトの誤り訂正符号に基づく生体テンプレート埋め込み規則606を保持する。
生体テンプレート埋め込み手段602および生体テンプレート埋め込み手段603は情報処理機であり、生体テンプレート分割埋め込み規則保持手段604はメモリである。
生体認証オブジェクトの誤り訂正符号に基づく生体テンプレート分割規則605及び、生体認証オブジェクトの誤り訂正符号に基づく生体テンプレート埋め込み規則606はいずれも電子データである。
生体認証オブジェクト607は、実施の形態1に示した生体認証オブジェクト106と同様に生体テンプレート103と、別途使用者から取得した生体特徴とを比較照合する処理手順を含むプログラムコードを含む電子データであるが、さらに、誤り訂正符号から成る電子データが付加されている。
図9は、前記誤り訂正符号が付加された生体認証オブジェクト607のデータ構造例を示した図である。
図9において、データブロック701は電子データの本体であるプログラムコード、データを論理的に分割された複数のブロック1〜mで構成されている。ここで図9の例ではデータ本体として機械語コード(マイクロプロセッサ上で動作するネイティブ機械語コード、仮想マシン上で動作するバイトコード等)を用いている。
データブロック701中に示される「P0」の記号部は、電子データ中に配置された書換え可能領域である。
ECC(エラーコレクションコード:誤り訂正符号;Error Correction Code)ブロック702は、論理的に分割された複数のブロック1〜mで構成され、EC1がデータブロック1を、EC2がデータブロック2を、以下同様に番号mまで、ECCiがデータブロックiの誤り訂正符号となるよう構成されている。
ECCブロック702は、先に示した書換え前電子データに対する誤り訂正符号と同一のものを使用する。
誤り訂正符号の一例として、誤り訂正の基本方式に公知の技術である「(7,4)ハミング符号」を用いる。
なお、本発明に用いる誤り訂正符合は(7,4)ハミング符号に限定されるものではなく、公知の誤り訂正符号を任意に適用することができる。
またECCはデータブロック直後に位置する必然性はなく、分離されていても良い。あるいはデータブロック内に含まれていても良い。
(7,4)ハミング符号では、データビット4つ(X1,X2,X3,X4)に対して冗長ビット3つ(P1,P2,P3)を付加し、X1〜X4がいかなる値の場合でも、誤冗長ビットを付加した合計7ビットからなる符号が、必ずハミング距離3以上離れるようにする。
上記についてより詳細に説明すると、X1〜X4に対して、下記の論理式が成立するよう冗長ビットP1〜P3の値を定める。
X1 xor X3 xor X4 xor P1 = 0
X1 xor X2 xor X4 xor P2 = 0 X1 xor X2 xor X3 xor P3 = 0
(xorは排他的論理和を意味する演算子である)
このようにして得られたビット集合X1,X2,X3,X4,P1,P2,P3は全ての組み合わせがハミング距離が3以上離れた関係とり、7ビット中1ビットが誤り(ビット反転)であった場合にはハミング距離1であるビット集合への訂正が可能であり、2ビットが誤りである場合には誤りの存在を検出することが可能である。
図10は、前記(7,4)ハミング符号を応用した誤り訂正符号の例を示した図である。
データブロックiはオフセットk=0〜3の4バイトで構成され、各バイトはビットオフセットj=0〜7の8ビットで構成される。データブロック内の任意のビット801はi,j,kをパラメータとした記号Xijkで表現される。
一方、ECCiはオフセットk=0〜2の3バイトで構成され、各バイトはビットオフセットj=0〜7の8ビットで構成される。ECCi内の任意のビット802はi,j,kをパラメータとした記号Pijkで表現される。
Xij1 xor Xij3 xor Xij4 xor Pij1(式1)
Xij1 xor Xij2 xor Xij4 xor Pij2(式2)
Xij1 xor Xij2 xor Xij3 xor Pij3(式3)とした時、式1、式2、式3全てが0となるようにPij1〜3を定める。値の決定は下記の論理式に従えば良い。
Pij1 = Xij1 xor Xij3 xor Xij4
Pij2 = Xij1 xor Xij2 xor Xij4
Pij3 = Xij1 xor Xij2 xor Xij3
図11は、生体認証オブジェクトの誤り訂正符号に基づく生体テンプレート分割規則の例を示した図である。前記(7,4)ハミング符号を応用した誤り訂正符号を用いる場合、個々のデータブロックに埋め込むことが出来るデータ長は最大で1バイトとなる。従って、生体テンプレート分割規則データ901は、最大データ長が1バイトであることを示すデータとなる。
図12は、生体認証オブジェクトの誤り訂正符号に基づく生体テンプレート埋め込み規則の例を示した図である。図9に示した生体認証オブジェクトの構造を例に取ると、データブロック2、4及びm(mは整数の抽象表記)に各1バイトずつの書換え可能領域が存在し、分割された生体テンプレートはこれらの領域に埋め込まれる。ここで、ブロック2、4、mそれぞれの書換え可能領域のオフセット、即ちブロックの先頭バイトを0とした存在位置を、それぞれ2、1、3とした場合、生体テンプレート埋め込み規則データ1001は下記の内容を示す。
ブロック番号2の、オフセット2の位置に分割された生体テンプレートを埋め込む。
ブロック番号4の、オフセット1の位置に分割された生体テンプレートを埋め込む。
ブロック番号mの、オフセット3の位置に分割された生体テンプレートを埋め込む。
生体テンプレート埋め込み手段603は、上記規則が指定するブロックの指定位置に、分割された生体テンプレートを埋め込む。例えば、生体テンプレート埋め込み規則として、図12のブロック番号2のオフセット2が選択された場合は、生体テンプレート埋め込み手段603は、図9のデータブロック2の先頭から2バイト後ろにずれた部分、即ちデータブロック2の先頭から3バイト目に、分割された生体テンプレートを埋め込む。また、この場合、図10では、i=2であり、生体テンプレート埋め込み手段603は、データブロック2のバイトオフセットk=2の部分に、分割された生体テンプレートを埋め込む。このように、生体テンプレート埋め込み規則に従ってデータを埋め込んだ場合、本来はデータブロック全体の署名が変わってしまうが、誤り訂正符号に基づいて、分割された生体テンプレートを埋め込むことにより、誤り訂正符号の許容範囲内に収まるので、誤り訂正後の署名は不変になる。
なお、分割された生体テンプレートの埋め込み順序を別途指定する規則を設けても良い。
図13は、生体テンプレート分割埋め込み規則保持手段604が保持している分割された生体テンプレートの埋め込み順序を指定する場合の生体テンプレート埋め込み規則606の例を示した図である。
図13において、生体テンプレート埋め込み規則606は、分割された生体テンプレートの番号を示すデータを有する。この例では分割された生体テンプレートの1番目の要素を、ブロック番号2、オフセット2の位置に、3番目の要素を、ブロック番号4、オフセット1の位置に、2番目の要素を、ブロック番号m、オフセット3の位置にそれぞれ埋め込む規則となる。分割された生体テンプレートの断片を入れ替えることにより、元の生体テンプレートの解読を困難にする効果が得られる。
また、図11、図12、図13に示したものと同様の分割、埋め込み規則を、生体認証オブジェクト607が有し、併せて生体テンプレート分割手段602及び生体テンプレート埋め込み603と同様の機能を、生体認証オブジェクト607内に備えても良い。
その場合、図7に示した生体テンプレート格納プログラムコード502に前記機能を実装し、ユーザ認証補助装置601は、生体テンプレートの分割、埋め込みの際にインタフェースプログラムコード(A)501を介して前記機能を呼び出せば良い。
生体テンプレートの分割、埋め込み機能を生体認証オブジェクト607に持たせる事により、分割、埋め込み規則の内容がユーザ認証補助装置601にも知り得ないものとなるため、元の生体テンプレートの解読を困難にする効果が得られる。
図14は、生体テンプレート埋め込み後の生体認証オブジェクトのデータ構造例を示した図である。データブロック1201は、前記図9で示した生体認証オブジェクトのデータブロック701中に配置されたデータ「P0」が、分割された生体テンプレートの各データ「P1」「P2」及び「P3」に書換えられたものとなる。ECC1202は、ECC702と同一である。
以上実施の形態2によれば、ユーザ認証補助装置は生体テンプレートを分割して生体認証オブジェクトに埋め込むため、生体テンプレートの解読をより困難にする効果が得られる。さらに、前記分割と埋め込みに際して、誤り訂正符号の訂正能力に準じた規則を設けることにより、生体認証オブジェクトを随時原本の状態に戻すことが可能となり、これにより生体認証オブジェクトが有する照合手順等のロジックの正当性を検証する作業が、生体テンプレート埋め込み後でも容易に可能となる効果が得られる。
(実施の形態3)
図15は、本発明の実施の形態3におけるユーザ認証補助装置の構成図である。
図15において、図3と同じ構成要素については同じ符号を用い、説明を省略する。
図15において、ユーザ認証補助装置1301は、生体認証オブジェクト受信手段1302、生体認証オブジェクト復元手段1303、生体認証オブジェクト検証手段1304を備える。
図16は、前記3つの手段が相互に関連して機能する際の動作フロー図である。
生体認証オブジェクト受信手段1302は、外部の機器から生体認証オブジェクト106を受信して保持する(ステップ1401)。そして、生体認証オブジェクト受信手段1302は、生体認証オブジェクト検証手段1304で検証が成功した場合に、保持している生体認証オブジェクト106を生体認証オブジェクト保持手段105へ出力する。生体認証オブジェクト106は、実施の形態2に示したものと同様、ECCと書換え可能領域を含むものとする。
受信した生体認証オブジェクトの書換え可能領域に、既に初期値以外のデータが埋め込まれている場合には生体認証オブジェクト復元手段1303に処理を進め、そうでない場合には生体認証オブジェクト検証手段1304に処理を進める(ステップ1402)。
生体認証オブジェクト復元手段1303は、ECCを用いてデータ埋め込み前の生体認証オブジェクトを復元し、生体認証オブジェクトの原本を得る。ここで、原本とは、生体テンプレートが埋め込まれていない生体認証オブジェクトである。データ復元方法の詳細は後述する(ステップ1403)。復元に成功したか否かを判断し(ステップ1404)、成功した場合は生体認証オブジェクト検証手段1304に処理を進め、失敗した場合は受信した生体認証オブジェクトは不正であると判断し、処理を中止する(ステップ1409)。
前記ステップ1404において、復元失敗と判断する場合に例を以下に示す。
図18は、訂正出来ないビット誤りの例である。
前記式1〜式3の演算結果がビットパターン1601に含まれる場合は、ビットXij1〜Xij4のいずれかに2ビット以上の誤りが存在するため、生体認証オブジェクト復元手段1303は受信した生体認証オブジェクトの復元失敗(復元不能)と判断する。
図19は、訂正出来ないバイト誤りの例である。
図19の例では、訂正対象となるビット1701〜1704がバイトオフセット0に、ビット1705がバイトオフセット1に存在する。このように、訂正対象ビットが複数のバイトオフセットに跨っている場合は、生体認証オブジェクト復元手段1303は受信した生体認証オブジェクトの復元失敗(復元不能)と判断する。
生体認証オブジェクト検証手段1304は、公知の技術である電子署名検証などの方法を持ちて生体認証オブジェクトの正当性を検証する(ステップ1405)。検証に成功したか否かを判断し(ステップ1406)、成功した場合は生体認証オブジェクトを生体認証オブジェクト保持手段105に格納する。ここで、格納する生体認証オブジェクトは復元前のもの、即ち生体認証オブジェクト受信手段1302が受信したものと同一である(ステップ1407)。
復元前の生体認証オブジェクトを格納した後は、生体テンプレート埋め込み手段104に処理を進める(ステップ1408)。ステップ1406において検証に失敗したと判断された場合は、受信した生体認証オブジェクトは不正であると判断し、処理を中止する(ステップ1409)。
図17は電子データ復元手段1303の動作フロー図である。
ループ1として、ブロック番号iを0から最終ブロックまで繰り返し処理を行う(ステップ1501)。ループ1内の処理は下記の通りである。
データブロックi、ECCiを読み込む(ステップ1502)。ここでデータブロックiは書換え後電子データのデータブロックであり、電子データ保持手段102が保持していたデータである。続いてループ2として、ビットオフセットjを0から7まで繰り返し処理を行う(ステップ1503)。ループ2内の処理は下記の通りである。
前記の式1、式2、式3を演算する(ステップ1504)。続いてこれら3式とも演算結果が0になるか否かを判定する(ステップ1505)。判定がYESであれば、ステップ1503に戻り、ビットオフセットjを1増加してループ2を継続する。判定がNOであれば、(7,4)ハミング符号誤り訂正の原理に基づいてXij1、Xij2、Xij3、Xij4いずれかを訂正(ビットを反転)する(ステップ1506)。その後ステップ1503に戻り、ビットオフセットjを1増加してループ2を継続する。
ビットオフセット0〜7の処理が全て終了した場合は、ステップ1501に戻り、ブロック番号iを1増加してループ1を継続する。最終ブロックまで処理が終了した場合に電子データ復元手段は処理を終了し、復元後電子データ検証手段の処理に進む。
上記の例では、各々のデータブロックに対して最大8ビット、好適にはバイト境界内に位置する連続する8ビットからなる最大1つのデータバイトを、書換え前電子データと同じ状態に復元することが出来る。
なお、前記ステップ1506において、2ビット以上の誤りがあった場合、もしくはバイト境界を跨って複数の誤りがあった場合は、復元失敗と判断できるため電子データ復元手段の動作を中止して良い。
以上実施の形態3によれば、ユーザ認証補助装置は外部の機器から生体認証オブジェクトを受け取ることが可能となる。さらに、受け取った生体認証オブジェクトに何かしらの情報が埋め込まれていた場合でも、埋め込み処理が誤り訂正符号が許す正当な範囲あれば、原本状態を復元し、正当性を検証することが可能となる効果が得られる。
(実施の形態4)
図20は、本発明の実施の形態4におけるユーザ認証補助装置の構成図である。
図20において、図3と同じ構成要素については同じ符号を用い、説明を省略する。
図20において、ユーザ認証補助装置1801は、生体特徴データ取得手段1802と、生体特徴分割手段1803と、生体テンプレート分割手段1804と、生体テンプレート及び生体特徴データ混合埋め込み手段1805を備える。
さらに、生体認証オブジェクト保持手段105が保持する生体認証オブジェクト1807は、内部に秘匿化された乱数1808を有している。
生体特徴データ取得手段1802は、ユーザ認証補助装置1801を使用しているユーザの生体特徴(指紋、虹彩など)をデジタル化して取り込むセンサ機器である。もしくは、外部のセンサ機器から得た入力データを処理する情報処理機であっても良い。生体特徴分割手段1803、生体テンプレート分割手段1804、生体テンプレート及び生体特徴データ混合埋め込み手段1805はいずれも情報処理機である。
生体認証オブジェクト1807は実施の形態1に示したものと同様な電子データであるが、さらに内部に秘匿化された乱数1808を保持している。秘匿化された乱数1808は生体認証オブジェクト自身が解読できるよう暗号化されている。また、生体テンプレート及び生体特徴データ混合埋め込み手段が解読出来ても良い。
秘匿化された乱数1808は一回の認証毎に値が変化する。乱数の生成は生体認証オブジェクト1807自身が行っても良いし、ユーザ認証補助装置1801が行っても良い。図21は、生体テンプレート及び生体特徴データ混合埋め込み手段1805の動作の例を示したフロー図である。
前提としてまず、生体テンプレート分割手段1804は、生体テンプレート103をn個の断片T1〜Tnに分割し、生体特徴データ分割手段は生体特徴データ取得手段1802が得た生体特徴データをm個の断片X1〜Xmに分割する。生体テンプレート及び生体特徴データ混合埋め込み手段はまず、前記断片T1〜Tn、X1〜Xmを取得する。もしくは、取得できる状態にする(ステップ1901)。ここで、生体特徴データは、顔画像等の生体的特徴をそのまま電子データとしたものであるため、データのサイズが大きいとともにノイズが多いものである。
次に、生体認証オブジェクト1807から、秘匿化された乱数1808を取得する。この乱数をrとする(ステップ1902)。
次に、ループ用変数i及びjを1にセットする(ステップ1903)。
次に、生体特徴データ断片Ti〜Ti+rを結合し、その後にXjを結合する(ステップ1904)。
次に、ループ用変数iにrを加算し、jに1を加算する(ステップ1905)。
次に、ループ用変数jがnを超過したか否かを判定し(ステップ1906)、達していれば結合されたデータを生体認証オブジェクト1807に埋め込む(ステップ1907)。達していなければステップ1904に戻る。
なお、jがnを超過した際、生体特徴データ断片の残りXi〜Xmは、前記結合されたデータの末尾に結合してから生体認証オブジェクト1807に埋め込んでも良いし、別のデータとして埋め込んでも良い。
また、jがnを超過する前にmを超過した場合、即ち生体特徴データ断片の残りが無くなってしまった場合は、残りの生体テンプレート断片Tj〜Tnを前記結合されたデータの末尾に結合しても良いし、各生体テンプレート断片の間に任意のダミーデータを結合しても良い。
以上実施の形態4によれば、生体テンプレートと認証時の生体特徴データを混合させて生体認証オブジェクトに埋め込むことが可能となる。一般に生体テンプレートは長期間不変のデータであるが、毎回カメラ画像等から取得する変動データである認証時の生体特徴データと混合させることにより、生体テンプレートの解読をより困難にする効果が得られる。
(実施の形態5)
図22は、本発明の実施の形態5におけるユーザ認証主装置の構成図である。
図22において、ユーザ認証主装置2001は、生体認証オブジェクト受信手段2002と、誤り訂正符号保持手段2002と、生体認証オブジェクト復元手段2005と、生体オブジェクト検証手段2006と、生体認証オブジェクト実行手段2007を備える。誤り訂正符号保持手段2003は、誤り訂正符号2004を保持する。
生体認証オブジェクト受信手段2002は、有線通信、無線通信など公知の通信技術を用いて外部の機器から電気信号を受け取り、デジタルデータに変換する通信機を含む情報処理機である。好適には生体認証オブジェクト受信手段2002は、前述したユーザ認証補助装置と通信を行って、生体認証オブジェクトを受信する。そして、受信した生体認証オブジェクトに含まれる誤り訂正符号を誤り訂正符号保持手段2003へ出力するとともに、受信した生体認証オブジェクトを生体認証オブジェクト実行手段2007へ出力する。
誤り訂正符号保持手段2003はメモリであり。誤り訂正符号2004は電子データである。
生体認証オブジェクト復元手段2005、生体認証オブジェクト検証手段2006、及び生体認証オブジェクト実行手段2007はいずれも情報処理機である。
図23は、前記各手段が連携して動作する際の動作フロー図である。
生体認証オブジェクト受信手段2002が受信するデータの構造例は、図14に示したものと同一で良い。さらに、生体認証オブジェクト受信手段2002は受信した生体認証オブジェクトに含まれる誤り訂正符号を誤り訂正符号保持手段2003に格納する(ステップ2101)。
誤り訂正符号2004のデータ構造例は、図14に示すECC1202と同一で良い。ECC1202はデータブロック1201と結合されていても、分離されていても良い。
生体認証オブジェクト復元手段2005は、誤り訂正符号2004を用いて生体認証オブジェクトの原本を復元する(ステップ2102)。生体認証オブジェクト復元手段の動作フローは図17と同一で良い。具体的には、生体テンプレートが埋め込まれた生体認証オブジェクトは、生体テンプレートが埋め込まれることにより、原本とは異なる構造になるため、生体テンプレートが埋め込まれたデータブロック全体の署名は、原本の対応するデータブロック全体の署名とは異なるものになる。しかし、生体認証オブジェクト復元手段2005は、誤り訂正が可能な誤り訂正符号の許容範囲内であれば、誤り訂正符号を用いて誤り訂正を行うことにより原本を復元することができる。この際に、原本に埋め込まれていた生体テンプレートは、依然として分割されたままであり、ユーザ認証主装置2001は、生体テンプレート分割規則及び生体テンプレート埋め込み規則を知らないので、分割された生体テンプレートを結合することはできない。従って、ユーザは、ユーザ認証主装置2001に対して、自分の生体テンプレートを秘匿した状態にすることができる。
次に、生体認証オブジェクト復元手段2005は、復元に成功したか否か、即ち原本が改ざんされていないか否かを判断し(ステップ2103)、成功した場合、即ち原本が改ざんされていない場合は生体認証オブジェクト検証手段2006に処理を進め、失敗した場合、即ち原本が改ざんされている場合は生体認証オブジェクトを送信した相手機器(好適な例ではユーザ認証補助装置)を使用しているユーザは不正である、と判断する(ステップ2109)。
生体認証オブジェクト検証手段2006は、公知の技術である電子署名検証などの方法を用いて生体認証オブジェクトの正当性を検証する(ステップ2104)。生体認証オブジェクトの原本を作成、発行、もしくは保証する信頼できる機関等が予め作成し配布する生体認証オブジェクト原本に対する電子署名を用いて、復元された生体認証オブジェクトの検証に成功した場合は、生体認証オブジェクトの正当性が確認されたことになる。続いて検証に成功したか否かを判断し(ステップ2105)、成功した場合は生体認証オブジェクト実行手段2007に処理を進める。
生体認証オブジェクト実行手段2007は、復元前の生体認証オブジェクトを実行する(ステップ2106)。より詳細には、例えば生体認証オブジェクトが図5に示した構造を持つ場合、照合及び判定プログラムコード302を呼び出す。また、例えば生体認証オブジェクトが図7に示した構造を持つ場合は、インタフェースプログラムコード(B)507を介して内部の照合及び判定プログラムコート506を呼び出す。照合及び判定方法の例としては、生体テンプレートが持つベクトル情報と、認証時生体データから得られるベクトル情報とを照らし合わせ、両者の内積値、距離値などを閾値と比較して判定結果を得れば良い。即ち、生体テンプレートと認証時生体データがある閾値を境として類似性が認められれば判定結果は「一致」であり、類似性が認められなければ「不一致」である。
最後に、判定結果から認証成功もしくは失敗の判断を行い(ステップ2107)、「一致」であればユーザは正当であると判断し(ステップ2108)、「不一致」であればユーザは不正であると判断する(ステップ2109)。
以上実施の形態5によれば、ユーザ認証主装置は照合の手順が正しいことを検証した上で、認証者自らの計算機を用いて認証を行うことにより、生体認証の効果を認証者が直接的に得ることが可能となる。さらに、認証者は生体テンプレートを直接参照する必要がなく、個人情報管理に伴うコスト及びリスク増大を回避する効果が得られる。
(実施の形態6)
図24は、本発明の実施の形態6におけるユーザ認証主装置の構成図である。
図24において、図22と同じ構成要素については同じ符号を用い、説明を省略する。
図24において、ユーザ認証主装置2201は、使用者識別DB(データベース)保持手段2202と、使用者識別データ照合手段2204を備える。使用者識別DB保持手段2202は使用者識別DB2203を保持する。使用者識別DB2203は、ユーザ認証主装置2201に登録された正当なユーザの識別データを含むユーザ情報を管理するデータベースである。使用者識別DB保持手段2202はメモリ、もしくはメモリと情報処理機のセットであり、使用者識別データ照合手段2204は情報処理機である。
生体認証オブジェクト実行手段2007の動作結果からユーザは正当であると判断した際、使用者識別データ照合手段2204は、生体認証オブジェクトから、正当と判断されたユーザを一意に識別する識別データを抽出する。識別データの例としては、生体テンプレートが図4に示すデータ構造を持つ場合には、ID情報202を用いれば良い。好適には、生体認証オブジェクトが判定結果と併せて前記ID情報を出力することが望ましい。また、特徴ベクトル203もユーザを一意に識別し得るデータであるが、特徴ベクトル203は保護すべき個人情報であるため識別データとしては使用されない。
使用者識別データ照合手段2204は、前記識別データを用いて、使用者識別DB保持手段2202に問い合わせを行い、使用者識別DB2203から該当ユーザの情報を引き出す。ユーザの情報の例として、ファイルへのアクセス権に関連付けられたユーザIDが挙げられる。
前記引き出されたユーザ情報をもとに、ユーザ認証主装置2201は正当と認められたユーザに然るべき機能や権限を供与する。
以上実施の形態6によれば、ユーザ認証主装置は正当と認められたユーザを然るべき識別データと結びつけることにより、ユーザに適切な機能や権限を容易に与えることが可能となる。
(実施の形態7)
図25は、本発明の実施の形態7におけるユーザ認証主装置の構成図である。
図25において、図22と同じ構成要素については同じ符号を用い、説明を省略する。
図25において、ユーザ認証主装置2301は、生体特徴データ取得手段2302を備える。
生体特徴データ取得手段2302は、ユーザ認証主装置2301を使用しているユーザの生体特徴(指紋、虹彩など)をデジタル化して取り込むセンサ機器である。もしくは、外部のセンサ機器から得た入力データを処理する情報処理機であっても良い。
生体認証オブジェクトの好適な例は図7に示したものと同一である。生体特徴データ取得手段2302は、生体認証オブジェクトのインタフェースプログラムコード(B)507を介して内部の認証時生体データ格納プログラムコード504を呼び出し、センサから取得した情報を復元前の認証時生体データ格納データ領域505に格納する。然る後に、生体認証オブジェクト実行手段2006の処理を行う。
以上実施の形態7によれば、ユーザ認証主装置は生体特徴データを自ら取得し、生体認証オブジェクトに与えることにより、生体テンプレートを取得することなく生体認証の特性をより直接的に得ることが可能となる。
(実施の形態8)
図26は、本発明の実施の形態8におけるユーザ認証主装置の構成図である。
図26において、図22と同じ構成要素については同じ符号を用い、説明を省略する。
図26において、ユーザ認証主装置2401は、チャレンジデータ埋め込み手段2402と、生体認証オブジェクト送信手段2403と、生体認証オブジェクト実行手段2404を備える。
チャレンジデータ埋め込み手段2402は情報処理機である。
生体認証オブジェクト送信手段2403は、公知の通信技術を用いてデジタル信号を外部の機器に送信する通信機を含む情報処理機である。
生体認証オブジェクト実行手段2404は情報処理機である。
図27は、チャレンジデータ書き込みに対応した生体認証オブジェクトの構造例を示した図である。
図27において、図7と同じ構成要素については同じ符号を用い、説明を省略する。
生体認証オブジェクトは、チャレジデータ格納プログラムコード2501と、レスポンスデータ生成プログラムコード2502、チャレンジデータ格納データ領域2503及びインタフェースプログラムコード(B)2504を含む。
チャレンジデータ格納プログラムコード2501は、ユーザ認証主装置2401が任意に指定する値、もしくは乱数から成るチャレンジデータを格納する命令コード群である。チャレンジデータ格納データ領域2503は生体認証オブジェクト内にあって、前記チャレンジデータを格納するためのデータ領域である。
レスポンスデータ生成プログラムコード2502は、前記チャレンジデータをチャレンジデータ格納データ領域2503から読み出し、所定の演算を行った結果を出力するプログラムコードである。所定の演算の例としては、チャレンジデータを秘密鍵で暗号化する演算が挙げられ、別の例としてはチャレンジデータそのものを結果とする例が挙げられる。前者の例では生体認証オブジェクトが正しい秘密鍵を持っていることを証明し、後者の例では生体認証オブジェクトの同一性が証明される。
インタフェースプログラムコード(B)2504は、ユーザ認証主装置2401に呼び出し口を提供する命令コード群である。
チャレンジデータ埋め込み手段2402は、生体認証オブジェクトのインタフェースプログラムコード(B)2504を介してチャレンジデータ格納プログラムコードを呼び出し、所望のチャレンジコードをチャレンジデータ格納データ領域2503に書き込む。
然る後に生体認証オブジェクト送信手段2403は、生体認証オブジェクトを外部の機器に送信する。好適には、送信の相手先は前述したユーザ認証補助装置である。
ユーザ認証補助装置にて生体テンプレートが埋め込まれた生体情報オブジェクトを、再度ユーザ認証主装置2401が受け取った後、ユーザ認証主装置2401の生体認証オブジェクト実行手段2404は、生体認証オブジェクトのインタフェースプログラムコード(B)2504を介してレスポンスデータ生成プログラムコード2502を呼び出し、チャレンジとレスポンスの関係性を調べることにより、生体認証オブジェクトの同一性を確認することが出来る。
図26の認証主装置と連動して認証を行うユーザ認証補助装置は、上記実施の形態3の図15と同一構成であるので、詳細な説明は省略する。図15の生体認証オブジェクト受信手段1302は、ユーザ認証主装置2401の生体認証オブジェクト送信手段2403が送信した、チャレンジデータが埋め込まれた生体認証オブジェクトを受信し、生体認証オブジェクト復元手段1303は、受信した生体認証オブジェクトに埋め込まれているチャレンジデータを復号することにより生体認証オブジェクトの復元を試みる。
以上実施の形態8によれば、ユーザ認証主装置は生体認証オブジェクトに任意の符号を埋め込んだ状態にして、ユーザ認証補助装置に送信することが可能となる。これにより、ユーザ認証時補助装置から返送された生体認証オブジェクトの識別性を向上し、さらにその正当性をより確実に検証する事が可能となる。
(実施の形態9)
図28は、本発明の実施の形態9における集積回路の構成図である。
図28において、2601はユーザ認証補助装置を構成する集積回路である。前記集積回路は、内部に生体テンプレート保持部2602と、生体テンプレート埋め込み部2604と、生体認証オブジェクト保持部2605と、インタフェース部2607とを備える。
生体テンプレート保持部2602と生体認証オブジェクト保持部2605はEEPROM(エレクトロニカリ・イレーサブル・プログラマブル・リード・オンリ・メモリ:電気的消去及び書き込み可能な読み出し専用メモリ)などの不揮発性メモリで構成することが望ましい。
生体テンプレート保持部2602は生体テンプレート2603を保持し、生体認証オブジェクト保持部2605は生体認証オブジェクト2606を保持する。
生体テンプレート埋め込み部2604は定められた処理を行うロジックを構成する半導体であるか、もしくはCPU(セントラルプロセシングユニット:中央処理装置)とCPU上で実行されるプログラムコードを格納したROM(リード・オンリ・メモリ・読み出し専用メモリ)などの不揮発性メモリで構成しても良い。
インタフェース部2607は集積回路外部とのデータの送受を行う部分であり、信号処理を行う半導体と電気信号を伝える端子などで構成する。
前記各部の役割は実施の形態1の各構成要素と同様である。以下にその対応関係を示す。
生体テンプレート保持部2602は、生体テンプレート102に対応する。
生体テンプレート2603は、生体テンプレート103に対応する。
生体テンプレート埋め込み部2604は、生体テンプレート埋め込み手段104に対応する。
生体認証オブジェクト保持部2605は、生体認証オブジェクト保持手段105に対応する。
生体認証オブジェクト2606は、生体認証オブジェクト106に対応する。
インタフェース部2607は、生体認証オブジェクト107に対応する。
以上実施の形態9によれば、実施の形態1に示したユーザ認証補助装置と同等な効果を得られる集積回路を提供できる。
本明細書は、2005年3月3日出願の特願2005−58567に基づく。この内容はすべてここに含めておく。
本発明にかかる認証補助装置、認証主装置、集積回路及び認証方法は、生体特徴を用いたユーザ認証に関わる汎用性を有し、両装置を計算機ネットワーク上の複数地点で用いる電子決済、コンテンツ配布、アクセス制御システムの他、両装置を近接した状態を用いるATM(自動取引機;Automatic Teller Machine)、自動販売機、入退室管理装置、コンピュータやコンソールへのアクセス許可システム等に応用できる。
本発明は、認証補助装置、認証主装置、集積回路及び認証方法に関し、特に、生体特徴を用いて使用者の正当性を証明する認証補助装置、認証主装置、集積回路及び認証方法に関する。
インターネットなどの電気通信を介して情報処理装置の機能やサービスを使用する場合、もしくは銀行自動支払機や自動入退室管理装置などを利用する場合、使用者の正当性を認証する事(ユーザ認証)が重要である。
ユーザ認証には大別して(1)知識に基づく認証、(2)所持物に基づく認証、(3)生体特徴に基づく認証、の3種類がある。パスワードや暗証番号は(1)の代表例であり、ICカードは(2)の代表例である。知識に基づく認証では、他人に知られた場合に容易になりすましが可能となり、所持物に基づく認証では紛失や盗難に際しての対策が必要である。
そこで近年注目されているのが(3)の生体特徴に基づく認証である。これは指紋、虹彩、顔貌、静脈、筆跡、行動の癖など、ある個人だけが持つ特定の特徴を電子情報的に抽出し、予め登録しておいた参照用特長データ(生体テンプレート)と比較照合する技術である。生体特徴に基づく認証は、生物学的認証、バイオメトリクス認証とも呼ばれる。
生体特徴を用いたユーザ認証において留意すべき点の一つは生体テンプレートの保護である。生体テンプレートは元来個人特有のものであり、他人が入手してもなりすまし等の不正利用は出来ないが、昨今の社会的、法的な要件として、生体テンプレートは「保護すべき個人情報」であり、提供者が許可しない限り二次利用や漏洩は許されないものである、というコンセンサスが確立しつつある。
生体特徴を用いた認証における生体テンプレートの保護に関する従来技術としては、認証を実行する装置でのみ復号可能な状態に生体テンプレートを変換しておき、ユーザが保持する装置、サービス提供者の装置、もしくは信頼できる第三者装置のいずれかに保管するものがあった(例えば、特許文献1参照)。
図1は前記特許文献1に記載された従来のユーザ認証補助装置の構成図である。
図1において、ユーザ認証補助装置1は、生体テンプレートを安全に保持する生体テンプレート保持手段2を備え、生体テンプレート保持手段2に格納された生体テンプレート3と、認証時に使用者の生体特徴データを取得する生体特徴データ取得手段4の取得結果とを、照合手段5を用いて照合し、使用者の正当性を検証していた。
図2は前記特許文献1に記載された従来のユーザ認証主装置の構成図である。
図2において、ユーザ認証主装置6は、暗号化生体テンプレート取得手段7が取得したデータを生体テンプレート復号手段8が復号化し、生体テンプレート9を得る一方で、生体特徴データ取得手段10が使用者の生体特徴データを取得し、これらを照合手段11が照合することにより、使用者の正当性を検証していた。なお、図2に示す従来例では、暗号化生体テンプレートは信頼できる第三者機関から取得するか、あるいはユーザが所持するICカードなどから取得していた。
特開2002−73568号公報(第1頁、図21)
しかしながら、前記従来の構成では下記に示す課題を有していた。
(1)生体特徴を用いた認証の利点が認証者にとって間接的。
前記図1に示した従来例では、生体テンプレートがユーザ機器の外に出ない利点はあるが、その反面、主認証装置を扱う認証者(多くの場合はサービス提供者である)にとっては、認証補助装置(ユーザ機器)の中でどのようにして照合処理が行われたか検証する術がない。最悪の場合には、認証補助装置が持つ照合手段が何者かにより不正に改竄され、正しい照合処理を経ずに照合成功の信号を送付して来る場合もあり得る。
(2)ユーザ機器コストの増大、もしくは機器能力の限界。
前記図1に示した従来例では、例えば認証補助装置としてICカードなどを想定した場合、ごく限られた計算能力の中で生体特徴データの照合処理を行う必要がある。現在、指紋照合、静脈照合など幾つかの方式については市販レベルのICカード内で処理できるようになっているが、今後社会的許容性等から普及が見込まれている顔貌照合などは扱うデータ量も計算量も多く、ICカード内で短時間に処理を行わせることは困難である。
(3)認証主装置からの生体テンプレート漏洩リスク。
前記図2に示した従来例では、暗号化されていない生体テンプレートが、たとえ一時的とは言え認証主装置の中に存在してしまう。従って、認証主装置を扱うサービス提供者に悪意がある場合や、セキュリティ管理が甘く且つ悪意のある第三者から攻撃を受けた場合には、生体テンプレートが漏洩する危険性がある。ユーザ認証主装置を運営する側においても、図2に示す構成のユーザ認証主装置を運用する場合、運用者(サービス提供者)は常に前記のリスクへの対策を講じる義務が生じ、サービス運用コストの増大に繋がる。
本発明の目的は、ユーザ(被認証者)は自らの個人情報である生体テンプレートを難読化して生体認証オブジェクトに埋め込むとともに、生体テンプレートを埋め込んだ生体認証オブジェクトを送信することにより、生体認証オブジェクトを受信した認証者は生体テンプレートを解読することができないので、個人情報を保護することができる認証補助装置、認証主装置、集積回路及び認証方法を提供することである。また、本発明の目的は、認証に必要な情報を、他者に手渡すことなく、認証者に渡すことが可能となる認証補助装置、認証主装置、集積回路及び認証方法を提供することである。また、本発明の目的は、認証者は、ユーザ認証補助装置は生体テンプレートと認証時の生体情報との照合を行わなくて良いのでため、多くの計算量を要する認証方式においても低コストでの提供することができる認証補助装置、認証主装置、集積回路及び認証方法を提供することである。
また、本発明の目的は、ユーザ認証主装置、認証者は照合の手順が正しいことを検証した上で、認証者自らの計算機を用いて認証を行うことにより、生体認証の効果を認証者が直接的に得ることができる認証補助装置、認証主装置、集積回路及び認証方法を提供することである。また、本発明の目的は、認証者は生体テンプレートを直接参照せずに認証を行うことにより、個人情報管理に伴うコスト及びリスク増大を回避することができる認証補助装置、認証主装置、集積回路及び認証方法を提供することである。
本発明の認証補助装置は、生体特徴を示す固有のデータから成る生体テンプレートを保持する生体テンプレート保持手段と、前記生体テンプレート保持手段が保持する前記生体テンプレートを難読化した状態で生体認証オブジェクトに埋め込む生体テンプレート埋め込み手段と、前記生体テンプレートが埋め込まれた前記生体認証オブジェクトを送信する送信手段と、を具備する構成を採る。
本発明の認証主装置は、生体特徴を示す固有のデータから成る生体テンプレートが難読化された状態で埋め込まれた生体認証オブジェクトを受信する受信手段と、前記生体認証オブジェクトの送信元と共通の誤り訂正符号を記憶する誤り訂正符号記憶手段と、前記誤り訂正符号記憶手段に記憶している誤り訂正符号に基づいて、受信した前記生体認証オブジェクトから前記生体テンプレートを含まない生体認証オブジェクトを復元する生体認証オブジェクト復元手段と、前記生体認証オブジェクト復元手段で復元した前記生体認証オブジェクトの正当性を検証する生体認証オブジェクト検証手段と、前記検証が成功した場合に前記復元前の前記生体認証オブジェクトを実行する生体認証オブジェクト実行手段と、を具備する構成を採る。
本発明の集積回路は、生体特徴を示す固有のデータから成る生体テンプレートを保持する生体テンプレート保持回路と、前記生体テンプレート保持回路が保持する前記生体テンプレートを難読化した状態で生体認証オブジェクトに埋め込む生体テンプレート埋め込み回路と、前記生体テンプレートが埋め込まれた前記生体認証オブジェクトを外部へ送出するインタフェース回路と、を具備する構成を採る。
本発明の認証方法は、生体特徴を示す固有のデータから成る生体テンプレートを保持するステップと、保持する前記生体テンプレートを誤り訂正符号に基づいて分割するステップと、分割した前記生体テンプレートを誤り訂正符号に基づいて前記生体認証オブジェクトに埋め込むとともに、前記生体テンプレートを埋め込んだ前記生体認証オブジェクトを前記誤り訂正符号により符号化して前記生体テンプレートを難読化するステップと、前記生体テンプレートが埋め込まれた前記生体認証オブジェクトを認証補助装置が送信するステップと、前記認証補助装置が送信した前記生体認証オブジェクトを認証主装置が受信するステップと、前記認証補助装置と共通の誤り訂正符号に基づいて、受信した前記生体認証オブジェクトから前記生体テンプレートを含まない生体認証オブジェクトを復元するステップと、復元した前記生体認証オブジェクトの正当性を検証するステップと、前記検証が成功した場合に前記復元前の前記生体認証オブジェクトを実行するステップと、を具備するようにした。
本発明によれば、ユーザ(被認証者)は自らの個人情報である生体テンプレートを難読化して生体認証オブジェクトに埋め込むとともに、生体テンプレートを埋め込んだ生体認証オブジェクトを送信することにより、生体認証オブジェクトを受信した認証者は生体テンプレートを解読することができないので、個人情報を保護することができる。また、本発明によれば、認証者は、生体テンプレートと認証時の生体情報との照合を行わなくて良いので、多くの計算量を要する認証方式を低コストで提供することができる。
また、本発明によれば、認証者は、照合の手順が正しいことを検証した上で、認証者自らの計算機を用いて認証を行って、被認証者が本人であることを生物学的に判別することにより、他人による成り済ましを防ぐという生体認証の効果を認証者が直接的に得ることができる。また、本発明によれば、認証者は生体テンプレートを直接参照せずに認証を行うので、個人情報管理に伴うコスト及びリスク増大を回避することができる。
以下本発明の実施の形態について、図面を参照しながら説明する。
(実施の形態1)
図3は、本発明の実施の形態1におけるユーザ認証補助装置の構成図である。
図3において、ユーザ認証補助装置101は、生体テンプレート保持手段102と、生体テンプレート埋め込み手段104と、生体認証オブジェクト保持手段105と、生体認証オブジェクト送信手段107を備える。
生体テンプレート保持手段102は生体テンプレート103を保持し、生体認証オブジェクト保持手段105は生体認証オブジェクト106を保持する。生体テンプレート保持手段102が保持している生体認証オブジェクト106は、事前に第三者が作成したものであり、誤り訂正符号を含んでいる。また、生体認証オブジェクト106の作成の際に、生体認証オブジェクト106に対する署名も作成される。ここで、生体テンプレートとは、顔画像等の生体的特徴を電子データの形で事前に取得して登録しておくものであり、縮減処理がなされている。
好適な例では認証補助装置101の概観はICカード、CPU(セントラルプロセシングユニット:中央処理装置;Central Processing Unit)付きメモリカード、PDA(パーソナルデジタルアシスタント;Personal Digital Assistant)、携帯電話などの容易に持ち運べる電子機器であり、内部にセキュリティ機能を確保した耐タンパ領域(tamper resistant memory)を備えることが望ましい。
同様に好適な例では、生体テンプレート保持手段102、及び生体認証オブジェクト保持手段はフラッシュメモリ、RAM(ランダムアクセスメモリ;Random Access Memory)、HDD(ハードディスクドライブ;Hard Disk Drive)などの記憶媒体を用いたメモリである。また、これらの内部に格納される生体テンプレート103及び生体認証オブジェクト106は電子データである。特に、生体テンプレート103は認証補助装置101の正当な使用者から取得した生体特徴をデジタルデータ化した電子データであり、生体認証オブジェクト106は前記生体テンプレート103と、別途使用者から取得した生体特徴とを比較照合する処理手順を含むプログラムコードである。さらに、前記生体認証オブジェクト106は処理手順やデータ構造を外部から解析困難とするための難読化が施されていることが望ましい。
生体テンプレート埋め込み手段104は、認証補助装置101のハードウェア資源を利用する情報処理機である。情報処理機はROM(リードオンリーメモリ;Read Only Memory)に書き込まれたプログラムコードが、CPUを駆動する形態であっても良い。
生体認証オブジェクト送信手段107は、公知の通信技術を用いてデジタル信号を外部の機器に送信する通信機を含む情報処理機である。
図4は生体テンプレート103のデータ構造例を示した図である。
図4において、データ部201はヘッダ情報であり、生体テンプレートの種類、バージョン、データ長などを示すデータが格納される。データ部202はID情報であり、生体テンプレートの識別用固有データが格納される。データ部203は特徴ベクトル情報であり、デジタル化された生体画像から変換された値が格納される。変換の例としては、画像データの主成分分析に基づくベクトルデータ、不特定多数の人間から得たサンプルを用いて本人固有の特徴を抽出したベクトルデータ、などが挙げられる。データ部204は署名情報であり、生体テンプレートが改竄されていないことを示す証明データが格納される。
なお、生体テンプレートデータとして最も重要な役割を持つのはデータ部203の特徴ベクトル情報であり、それ以外のデータ部は必ずしも必要ではない。
図5は生体認証オブジェクト106の構造例を示した図である。基本的に、生体認証オブジェクト106は特定のCPU(セントラルプロセシングユニット:中央処理装置)もしくはVM(バーチャルマシン:仮想計算機;Virtual Machine)の命令コードと、前記命令コードを参照したり書換えたりするデータの集合から成り立っている。
図5において、生体テンプレート格納データ領域301は、生体認証オブジェクト106の内部にあって、生体テンプレート103を一時的に格納するためのデータ領域である。照合及び判定プログラムコード302は、生体認証オブジェクト106の内部にあって、前記生体テンプレート103と、認証補助装置101を提示したユーザ自身から認証時に取得する生体データである認証時生体データとを比較照合するものであるとともに、ユーザの正当性を検証する手順を示した命令コード群である。ただし、前記照合及び判定プログラムコード302は、生体認証オブジェクト101内で実行されなくても良い。
図6は生体テンプレート埋め込み手段104の動作フロー図である。
生体テンプレート埋め込み手段104は、まず始めに生体テンプレート保持手段102から生体テンプレート103を読み込む(ステップ401)。次に生体認証オブジェクト保持手段105が保持する生体認証オブジェクト106の中の、生体テンプレート格納データ領域302に前記生体テンプレート103を書き込む(ステップ402)。続いて、生体認証オブジェクト送信手段107に処理を進める(ステップ403)。
生体認証オブジェクト送信手段107は、生体テンプレート103が埋め込まれた生体認証オブジェクト106を外部に送出する。好適には、送出先は後述するユーザ認証主装置である。
前記ステップ402における生体テンプレート103の書き込みは、単なるメモリ間のデータコピーによって実現しても良いが、以下に示す様に生体認証オブジェクト106自身にデータ書き込み機能を持たせても良い。
図7は、データ書き込み機能を備えた生体認証オブジェクト106の構造例を示した図である。この例では、生体認証オブジェクト106は、生体テンプレートを書き込む機能だけでなく、認証時生体データを書き込む機能も備える。
図7において、インタフェースプログラムコード(A)501は、認証補助装置101内で生体認証オブジェクト106の機能が呼び出される際に使用される命令コード群である。生体テンプレート格納プログラムコード502は生体テンプレートを生体認証オブジェクト106内部に格納するための命令コード群であり、生体テンプレート格納データ領域503は生体テンプレート格納先となるデータ領域である。
インタフェースプログラムコード(A)501はユーザ認証補助装置101に処理の呼出口を提供するものであり、主として生体テンプレート埋め込み手段104から呼び出される。生体テンプレート埋め込み手段104は、生体テンプレート保持手段102から生体テンプレート103を読み出し、生体認証オブジェクト保持手段105に格納された生体認証オブジェクト106のインタフェースプログラムコード(A)501を介して生体テンプレート格納プログラムコード502に引き渡す。
引き渡された生体テンプレート103は、生体テンプレート格納データ領域503に格納される。ここで、生体テンプレート格納データ領域の具体的なデータ構造、存在箇所は、生体認証オブジェクト106以外には判別されないよう、難読化されていることが望ましい。難読化の具体例としては、生体テンプレート格納データ領域を複数個所に分散し、ダミーのデータと混ぜ合わせる方法などが挙げられる。
認証時生体データ格納プログラムコード504は、認証が行われるタイミングで使用者から取得した生体データを生体認証オブジェクト106内部に格納するための命令コード群であり、認証時生体データ格納データ領域505は前記生体データ格納先となるデータ領域である。ここで、前記生体データの構造は図4に示した生体テンプレートのデータ構造例のうちの特徴ベクトル203と同一であることが望ましいが、指紋画像、顔画像など、センサやカメラから取得した画像データであっても良い。
照合及び判定プログラムコード506は、生体テンプレート格納データ領域503と、認証時生体データ格納データ領域505とからデータを読み出し、読み出した両者のデータを照合して類似度を測定することにより判定結果を得るための命令コード群である。具体的な照合方法の例としては、まず認証時生体データが画像データ、もしくは画像データを加工したデータである場合には、生体テンプレート生成時と同じ処理に基づき特徴ベクトル203と同一のフォーマットになるよう認証時生体データを変換し、認証時生体特徴ベクトルを取得する。取得した認証時生体特徴ベクトルと、生体テンプレート格納データ領域503に格納された生体テンプレートから抽出した特徴ベクトル203とは同次元のベクトルデータであるため、内積演算、距離演算等により両者の類似度を算出することが出来る。類似度が閾値以下である場合は判定結果は「正当」であり、類似度が閾値を超える場合は「不当」である。
インタフェースプログラムコード(B)507は後述するユーザ認証装置に処理の呼び出し口を提供するものであり、主として照合及び判定プログラムコード506を呼び出す際に使用する。なお、認証時生体データ格納プログラムコードは、インタフェースプログラムコード(A)501からもインタフェースプログラムコード(B)507からも呼び出され得る。
難読化用ダミーコード508は、格納された生体テンプレートを外部からの解析によって読み出されにくくするためのコードもしくはデータ群である。
因みに、ユーザが所持するICカードの中で生体認証を行い、生体認証の結果を認証者に伝える従来技術の場合、認証者はユーザが所持する機器の生物学的判定結果を間接的に信用することになる。このような生物学的判定結果を間接的に信用するようなシステムを、携帯電話、PDA及びパソコン等のように、処理能力は高いが100%の信用のおけない機器に適用する場合には、充分なセキュリティを確保することができない。これに対して、本実施の形態1では、認証者は、照合の手順が正しいことを検証した上で、認証者自らの計算機を用いて認証を行って、被認証者が本人であることを生物学的に判別することができるので、他人による成り済ましを防ぐという生体認証の効果を認証者が直接的に得ることができる。
以上実施の形態1によれば、ユーザ(被認証者)は自らの個人情報である生体テンプレートを生体認証オブジェクト内に隠した形で他者(認証者)に渡すことが可能となり、個人情報を保護する効果が得られる。さらに、ユーザ認証補助装置は生体テンプレートと認証時の生体情報の照合処理を行う必要がないため、例えばユーザ認証補助装置として個々のユーザが所持する携帯端末やICカードを想定した場合、低コストでの提供が可能となる効果も得られる。
(実施の形態2)
図8は、本発明の実施の形態2におけるユーザ認証補助装置の構成図である。
図8において、図3と同じ構成要素については同じ符号を用い、説明を省略する。
図8において、ユーザ認証補助装置601は、生体テンプレート分割手段602と、生体テンプレート埋め込み手段603と、生体テンプレート分割埋め込み規則保持手段604を備える。生体テンプレート分割埋め込み規則保持手段604は、生体認証オブジェクトの誤り訂正符号に基づく生体テンプレート分割規則605と、生体認証オブジェクトの誤り訂正符号に基づく生体テンプレート埋め込み規則606を保持する。
生体テンプレート埋め込み手段602および生体テンプレート埋め込み手段603は情報処理機であり、生体テンプレート分割埋め込み規則保持手段604はメモリである。
生体認証オブジェクトの誤り訂正符号に基づく生体テンプレート分割規則605及び、生体認証オブジェクトの誤り訂正符号に基づく生体テンプレート埋め込み規則606はいずれも電子データである。
生体認証オブジェクト607は、実施の形態1に示した生体認証オブジェクト106と同様に生体テンプレート103と、別途使用者から取得した生体特徴とを比較照合する処理手順を含むプログラムコードを含む電子データであるが、さらに、誤り訂正符号から成る電子データが付加されている。
図9は、前記誤り訂正符号が付加された生体認証オブジェクト607のデータ構造例を示した図である。
図9において、データブロック701は電子データの本体であるプログラムコード、データを論理的に分割された複数のブロック1〜mで構成されている。ここで図9の例ではデータ本体として機械語コード(マイクロプロセッサ上で動作するネイティブ機械語コード、仮想マシン上で動作するバイトコード等)を用いている。
データブロック701中に示される「P0」の記号部は、電子データ中に配置された書換え可能領域である。
ECC(エラーコレクションコード:誤り訂正符号;Error Correction Code)ブロック702は、論理的に分割された複数のブロック1〜mで構成され、EC1がデータブロック1を、EC2がデータブロック2を、以下同様に番号mまで、ECCiがデータブロックiの誤り訂正符号となるよう構成されている。
ECCブロック702は、先に示した書換え前電子データに対する誤り訂正符号と同一のものを使用する。
誤り訂正符号の一例として、誤り訂正の基本方式に公知の技術である「(7,4)ハミング符号」を用いる。
なお、本発明に用いる誤り訂正符合は(7,4)ハミング符号に限定されるものではなく、公知の誤り訂正符号を任意に適用することができる。
またECCはデータブロック直後に位置する必然性はなく、分離されていても良い。あるいはデータブロック内に含まれていても良い。
(7,4)ハミング符号では、データビット4つ(X1,X2,X3,X4)に対して冗長ビット3つ(P1,P2,P3)を付加し、X1〜X4がいかなる値の場合でも、誤冗長ビットを付加した合計7ビットからなる符号が、必ずハミング距離3以上離れるようにする。
上記についてより詳細に説明すると、X1〜X4に対して、下記の論理式が成立するよう冗長ビットP1〜P3の値を定める。
X1 xor X3 xor X4 xor P1 = 0
X1 xor X2 xor X4 xor P2 = 0
X1 xor X2 xor X3 xor P3 = 0
(xorは排他的論理和を意味する演算子である)
このようにして得られたビット集合X1,X2,X3,X4,P1,P2,P3は全ての組み合わせにおいて、ハミング距離が3以上であり、7ビット中1ビットが誤り(ビット反転)であった場合にはハミング距離1であるビット集合への訂正が可能であり、2ビットが誤りである場合には誤りの存在を検出することが可能である。
図10は、前記(7,4)ハミング符号を応用した誤り訂正符号の例を示した図である。
データブロックiはオフセットk=0〜3の4バイトで構成され、各バイトはビットオフセットj=0〜7の8ビットで構成される。データブロック内の任意のビット801はi,j,kをパラメータとした記号Xijkで表現される。
一方、ECCiはオフセットk=0〜2の3バイトで構成され、各バイトはビットオフセットj=0〜7の8ビットで構成される。ECCi内の任意のビット802はi,j,kをパラメータとした記号Pijkで表現される。
Xij1 xor Xij3 xor Xij4 xor Pij1(式1)
Xij1 xor Xij2 xor Xij4 xor Pij2(式2)
Xij1 xor Xij2 xor Xij3 xor Pij3(式3)
とした時、式1、式2、式3全てが0となるようにPij1〜3を定める。値の決定は下記の論理式に従えば良い。
Pij1 = Xij1 xor Xij3 xor Xij4
Pij2 = Xij1 xor Xij2 xor Xij4
Pij3 = Xij1 xor Xij2 xor Xij3
図11は、生体認証オブジェクトの誤り訂正符号に基づく生体テンプレート分割規則の例を示した図である。前記(7,4)ハミング符号を応用した誤り訂正符号を用いる場合、個々のデータブロックに埋め込むことが出来るデータ長は最大で1バイトとなる。従って、生体テンプレート分割規則データ901は、最大データ長が1バイトであることを示すデータとなる。
図12は、生体認証オブジェクトの誤り訂正符号に基づく生体テンプレート埋め込み規則の例を示した図である。図9に示した生体認証オブジェクトの構造を例に取ると、データブロック2、4及びm(mは整数の抽象表記)に各1バイトずつの書換え可能領域が存在し、分割された生体テンプレートはこれらの領域に埋め込まれる。ここで、ブロック2、4、mそれぞれの書換え可能領域のオフセット、即ちブロックの先頭バイトを0とした存在位置を、それぞれ2、1、3とした場合、生体テンプレート埋め込み規則データ1001は下記の内容を示す。
ブロック番号2の、オフセット2の位置に分割された生体テンプレートを埋め込む。
ブロック番号4の、オフセット1の位置に分割された生体テンプレートを埋め込む。
ブロック番号mの、オフセット3の位置に分割された生体テンプレートを埋め込む。
生体テンプレート埋め込み手段603は、上記規則が指定するブロックの指定位置に、分割された生体テンプレートを埋め込む。例えば、生体テンプレート埋め込み規則として、図12のブロック番号2のオフセット2が選択された場合は、生体テンプレート埋め込み手段603は、図9のデータブロック2の先頭から2バイト後ろにずれた部分、即ちデータブロック2の先頭から3バイト目に、分割された生体テンプレートを埋め込む。また、この場合、図10では、i=2であり、生体テンプレート埋め込み手段603は、データブロック2のバイトオフセットk=2の部分に、分割された生体テンプレートを埋め込む。このように、生体テンプレート埋め込み規則に従ってデータを埋め込んだ場合、本来はデータブロック全体の署名が変わってしまうが、誤り訂正符号に基づいて、分割された生体テンプレートを埋め込むことにより、誤り訂正符号の許容範囲内に収まるので、誤り訂正後の署名は不変になる。
なお、分割された生体テンプレートの埋め込み順序を別途指定する規則を設けても良い。
図13は、生体テンプレート分割埋め込み規則保持手段604が保持している分割された生体テンプレートの埋め込み順序を指定する場合の生体テンプレート埋め込み規則606の例を示した図である。
図13において、生体テンプレート埋め込み規則606は、分割された生体テンプレートの番号を示すデータを有する。この例では分割された生体テンプレートの1番目の要素を、ブロック番号2、オフセット2の位置に、3番目の要素を、ブロック番号4、オフセット1の位置に、2番目の要素を、ブロック番号m、オフセット3の位置にそれぞれ埋め込む規則となる。分割された生体テンプレートの断片を入れ替えることにより、元の生体テンプレートの解読を困難にする効果が得られる。
また、図11、図12、図13に示したものと同様の分割、埋め込み規則を、生体認証オブジェクト607が有し、併せて生体テンプレート分割手段602及び生体テンプレート埋め込み手段603と同様の機能を、生体認証オブジェクト607内に備えても良い。
その場合、図7に示した生体テンプレート格納プログラムコード502に前記機能を実装し、ユーザ認証補助装置601は、生体テンプレートの分割、埋め込みの際にインタフェースプログラムコード(A)501を介して前記機能を呼び出せば良い。
生体テンプレートの分割、埋め込み機能を生体認証オブジェクト607に持たせる事により、分割、埋め込み規則の内容はユーザ認証補助装置601の知り得ないものとなり、元の生体テンプレートの解読を困難にする効果が得られる。
図14は、生体テンプレート埋め込み後の生体認証オブジェクトのデータ構造例を示した図である。データブロック1201では、図9で示した生体認証オブジェクトのデータブロック701中に配置されたデータ「P0」を、分割された生体テンプレートの各データ「P1」「P2」及び「P3」に書換える。また、ECC1202は、ECC702と同一である。
以上実施の形態2によれば、ユーザ認証補助装置は生体テンプレートを分割して生体認証オブジェクトに埋め込むため、生体テンプレートの解読をより困難にする効果が得られる。さらに、前記分割と埋め込みに際して、誤り訂正符号の訂正能力に準じた規則を設けることにより、生体認証オブジェクトを随時原本の状態に戻すことが可能となり、これにより生体認証オブジェクトが有する照合手順等のロジックの正当性を検証する作業が、生体テンプレート埋め込み後でも容易に可能となる効果が得られる。
(実施の形態3)
図15は、本発明の実施の形態3におけるユーザ認証補助装置の構成図である。
図15において、図3と同じ構成要素については同じ符号を用い、説明を省略する。
図15において、ユーザ認証補助装置1301は、生体認証オブジェクト受信手段1302、生体認証オブジェクト復元手段1303、生体認証オブジェクト検証手段1304を備える。
図16は、前記3つの手段が相互に関連して機能する際の動作フロー図である。
生体認証オブジェクト受信手段1302は、外部の機器から生体認証オブジェクト106を受信して保持する(ステップ1401)。そして、生体認証オブジェクト受信手段1302は、生体認証オブジェクト検証手段1304で検証が成功した場合に、保持している生体認証オブジェクト106を生体認証オブジェクト保持手段105へ出力する。生体認証オブジェクト106は、実施の形態2に示したものと同様、ECCと書換え可能領域を含むものとする。
受信した生体認証オブジェクトの書換え可能領域に、既に初期値以外のデータが埋め込まれている場合には生体認証オブジェクト復元手段1303に処理を進め、そうでない場合には生体認証オブジェクト検証手段1304に処理を進める(ステップ1402)。
生体認証オブジェクト復元手段1303は、ECCを用いてデータ埋め込み前の生体認証オブジェクトを復元し、生体認証オブジェクトの原本を得る。ここで、原本とは、生体テンプレートが埋め込まれていない生体認証オブジェクトである。データ復元方法の詳細は後述する(ステップ1403)。復元に成功したか否かを判断し(ステップ1404)、成功した場合は生体認証オブジェクト検証手段1304に処理を進め、失敗した場合は受信した生体認証オブジェクトは不正であると判断し、処理を中止する(ステップ1409)。
前記ステップ1404において、復元失敗と判断する場合の例を以下に示す。
図18は、訂正出来ないビット誤りの例である。
前記式1〜式3の演算結果がビットパターン1601に含まれる場合は、ビットXij1〜Xij4のいずれかに2ビット以上の誤りが存在するため、生体認証オブジェクト復元手段1303は受信した生体認証オブジェクトの復元失敗(復元不能)と判断する。
図19は、訂正出来ないバイト誤りの例である。
図19の例では、訂正対象となるビット1701〜1704がバイトオフセット0に存在するとともに、ビット1705がバイトオフセット1に存在する。このように、訂正対象ビットが複数のバイトオフセットに跨っている場合は、生体認証オブジェクト復元手段1303は受信した生体認証オブジェクトの復元失敗(復元不能)と判断する。
生体認証オブジェクト検証手段1304は、公知の技術である電子署名検証などの方法を用いて生体認証オブジェクトの正当性を検証する(ステップ1405)。検証に成功したか否かを判断し(ステップ1406)、成功した場合は生体認証オブジェクトを生体認証オブジェクト保持手段105に格納する。ここで、格納する生体認証オブジェクトは復元前のもの、即ち生体認証オブジェクト受信手段1302が受信したものと同一である(ステップ1407)。
復元前の生体認証オブジェクトを格納した後は、生体テンプレート埋め込み手段104に処理を進める(ステップ1408)。ステップ1406において検証に失敗したと判断された場合は、受信した生体認証オブジェクトは不正であると判断し、処理を中止する(ステップ1409)。
図17は電子データ復元手段1303の動作フロー図である。
ループ1として、ブロック番号iを0から最終ブロックまで繰り返し処理を行う(ステップ1501)。ループ1内の処理は下記の通りである。
データブロックi、ECCiを読み込む(ステップ1502)。ここでデータブロックiは書換え後電子データのデータブロックであり、電子データ保持手段102が保持していたデータである。続いてループ2として、ビットオフセットjを0から7まで繰り返し処理を行う(ステップ1503)。ループ2内の処理は下記の通りである。
前記の式1、式2、式3を演算する(ステップ1504)。続いてこれらの3式とも演算結果が0になるか否かを判定する(ステップ1505)。判定がYESであれば、ステップ1503に戻り、ビットオフセットjを1増加してループ2を継続する。判定がNOであれば、(7,4)ハミング符号誤り訂正の原理に基づいてXij1、Xij2、Xij3、Xij4のいずれかを訂正(ビットを反転)する(ステップ1506)。その後ステップ1503に戻り、ビットオフセットjを1増加してループ2を継続する。
ビットオフセット0〜7の処理が全て終了した場合は、ステップ1501に戻り、ブロック番号iを1増加してループ1を継続する。最終ブロックまで処理が終了した場合に電子データ復元手段は処理を終了し、復元後電子データ検証手段の処理に進む。
上記の例では、各々のデータブロックに対して最大8ビット、好適にはバイト境界内に位置する連続する8ビットからなる最大1つのデータバイトを、書換え前電子データと同じ状態に復元することが出来る。
なお、前記ステップ1506において、2ビット以上の誤りがあった場合、もしくはバイト境界を跨って複数の誤りがあった場合は、復元失敗と判断できるため電子データ復元手段の動作を中止して良い。
以上実施の形態3によれば、ユーザ認証補助装置は外部の機器から生体認証オブジェクトを受け取ることが可能となる。さらに、受け取った生体認証オブジェクトに何らかの情報が埋め込まれていた場合でも、誤り訂正符号により誤り訂正が可能な範囲で埋め込み処理されていれば、原本状態を復元し、正当性を検証することが可能となる効果が得られる。
(実施の形態4)
図20は、本発明の実施の形態4におけるユーザ認証補助装置の構成図である。
図20において、図3と同じ構成要素については同じ符号を用い、説明を省略する。
図20において、ユーザ認証補助装置1801は、生体特徴データ取得手段1802と、生体特徴分割手段1803と、生体テンプレート分割手段1804と、生体テンプレート及び生体特徴データ混合埋め込み手段1805を備える。
さらに、生体認証オブジェクト保持手段105が保持する生体認証オブジェクト1807は、内部に秘匿化された乱数1808を有している。
生体特徴データ取得手段1802は、ユーザ認証補助装置1801を使用しているユーザの生体特徴(指紋、虹彩など)をデジタル化して取り込むセンサ機器である。もしくは、外部のセンサ機器から得た入力データを処理する情報処理機であっても良い。生体特徴分割手段1803、生体テンプレート分割手段1804、生体テンプレート及び生体特徴データ混合埋め込み手段1805はいずれも情報処理機である。
生体認証オブジェクト1807は実施の形態1に示したものと同様な電子データであるが、さらに内部に秘匿化された乱数1808を保持している。秘匿化された乱数1808は生体認証オブジェクト自身が解読できるように暗号化されている。なお、生体テンプレート及び生体特徴データ混合埋め込み手段が秘匿化された乱数1808を解読出来るようにしても良い。
秘匿化された乱数1808は一回の認証毎に値が変化する。乱数の生成は生体認証オブジェクト1807自身が行っても良いし、ユーザ認証補助装置1801が行っても良い。 図21は、生体テンプレート及び生体特徴データ混合埋め込み手段1805の動作の例を示したフロー図である。
前提としてまず、生体テンプレート分割手段1804は、生体テンプレート103をn個の断片T1〜Tnに分割し、生体特徴データ分割手段は生体特徴データ取得手段1802が得た生体特徴データをm個の断片X1〜Xmに分割する。生体テンプレート及び生体特徴データ混合埋め込み手段はまず、前記断片T1〜Tn、X1〜Xmを取得する。もしくは、取得できる状態にする(ステップ1901)。ここで、生体特徴データは、顔画像等の生体的特徴をそのまま電子データとしたものであるため、データのサイズが大きいとともにノイズが多いものである。
次に、生体認証オブジェクト1807から、秘匿化された乱数1808を取得する。この乱数をrとする(ステップ1902)。
次に、ループ用変数i及びjを1にセットする(ステップ1903)。
次に、生体特徴データの断片Ti〜Ti+rを結合し、その後にXjを結合する(ステップ1904)。
次に、ループ用変数iにrを加算し、jに1を加算する(ステップ1905)。
次に、ループ用変数jがnを超過したか否かを判定し(ステップ1906)、超過していれば結合されたデータを生体認証オブジェクト1807に埋め込む(ステップ1907)。超過していなければステップ1904に戻る。
なお、jがnを超過した際、生体特徴データの断片の残りXi〜Xmは、前記結合されたデータの末尾に結合してから生体認証オブジェクト1807に埋め込んでも良いし、別のデータとして埋め込んでも良い。
また、jがnを超過する前にmを超過した場合、即ち生体特徴データの断片の残りが無くなってしまった場合は、残りの生体テンプレートの断片Tj〜Tnを前記結合されたデータの末尾に結合しても良いし、各生体テンプレートの断片の間に任意のダミーデータを結合しても良い。
以上実施の形態4によれば、生体テンプレートと認証時の生体特徴データを混合させて生体認証オブジェクトに埋め込むことが可能となる。一般に生体テンプレートは長期間不変のデータであるが、毎回カメラ画像等から取得する変動データである認証時の生体特徴データと混合させることにより、生体テンプレートの解読をより困難にする効果が得られる。
(実施の形態5)
図22は、本発明の実施の形態5におけるユーザ認証主装置の構成図である。
図22において、ユーザ認証主装置2001は、生体認証オブジェクト受信手段2002と、誤り訂正符号保持手段2002と、生体認証オブジェクト復元手段2005と、生体オブジェクト検証手段2006と、生体認証オブジェクト実行手段2007を備える。誤り訂正符号保持手段2003は、誤り訂正符号2004を保持する。
生体認証オブジェクト受信手段2002は、有線通信、無線通信など公知の通信技術を用いて外部の機器から電気信号を受け取り、デジタルデータに変換する通信機を含む情報処理機である。好適には生体認証オブジェクト受信手段2002は、前述したユーザ認証補助装置と通信を行って、生体認証オブジェクトを受信する。そして、受信した生体認証オブジェクトに含まれる誤り訂正符号を誤り訂正符号保持手段2003へ出力するとともに、受信した生体認証オブジェクトを生体認証オブジェクト実行手段2007へ出力する。
誤り訂正符号保持手段2003はメモリである。また、誤り訂正符号2004は電子データである。
生体認証オブジェクト復元手段2005、生体認証オブジェクト検証手段2006、及び生体認証オブジェクト実行手段2007はいずれも情報処理機である。
図23は、前記各手段が連携して動作する際の動作フロー図である。
生体認証オブジェクト受信手段2002が受信するデータの構造例は、図14に示したものと同一で良い。さらに、生体認証オブジェクト受信手段2002は受信した生体認証オブジェクトに含まれる誤り訂正符号を誤り訂正符号保持手段2003に格納する(ステップ2101)。
誤り訂正符号2004のデータ構造例は、図14に示すECC1202と同一で良い。ECC1202はデータブロック1201と結合されていても、分離されていても良い。
生体認証オブジェクト復元手段2005は、誤り訂正符号2004を用いて生体認証オブジェクトの原本を復元する(ステップ2102)。生体認証オブジェクト復元手段2005の動作は図17と同一である。具体的には、生体テンプレートが埋め込まれた生体認証オブジェクトは、生体テンプレートが埋め込まれることにより、原本とは異なる構造になるため、生体テンプレートが埋め込まれたデータブロック全体の署名は、原本の対応するデータブロック全体の署名とは異なるものになる。しかし、生体認証オブジェクト復元手段2005は、誤り訂正が可能な誤り訂正符号の許容範囲内であれば、誤り訂正符号を用いて誤り訂正を行うことにより原本を復元することができる。この際に、原本に埋め込まれていた生体テンプレートは、依然として分割されたままであり、ユーザ認証主装置2001は、生体テンプレート分割規則及び生体テンプレート埋め込み規則を知らないので、分割された生体テンプレートを結合することはできない。従って、ユーザは、ユーザ認証主装置2001に対して、自分の生体テンプレートを秘匿した状態にすることができる。
次に、生体認証オブジェクト復元手段2005は、復元に成功したか否か、即ち原本が改ざんされていないか否かを判断し(ステップ2103)、成功した場合、即ち原本が改ざんされていない場合は生体認証オブジェクト検証手段2006に処理を進め、失敗した場合、即ち原本が改ざんされている場合は生体認証オブジェクトを送信した相手機器(好適な例ではユーザ認証補助装置)を使用しているユーザは不正である、と判断する(ステップ2109)。
生体認証オブジェクト検証手段2006は、公知の技術である電子署名検証などの方法を用いて生体認証オブジェクトの正当性を検証する(ステップ2104)。生体認証オブジェクトの原本を作成、発行、もしくは保証する信頼できる機関等が予め作成し配布する生体認証オブジェクト原本に対する電子署名を用いて、復元された生体認証オブジェクトの検証に成功した場合は、生体認証オブジェクトの正当性が確認されたことになる。続いて検証に成功したか否かを判断し(ステップ2105)、成功した場合は生体認証オブジェクト実行手段2007に処理を進める。
生体認証オブジェクト実行手段2007は、復元前の生体認証オブジェクトを実行する(ステップ2106)。より詳細には、例えば生体認証オブジェクトが図5に示した構造を持つ場合、照合及び判定プログラムコード302を呼び出す。また、例えば生体認証オブジェクトが図7に示した構造を持つ場合は、インタフェースプログラムコード(B)507を介して内部の照合及び判定プログラムコート506を呼び出す。照合及び判定方法の例としては、生体テンプレートが持つベクトル情報と、認証時生体データから得られるベクトル情報とを照らし合わせ、両者の内積値、距離値などを閾値と比較して判定結果を得れば良い。即ち、生体テンプレートと認証時生体データとに、閾値を境として、類似性が認められれば判定結果は「一致」であり、類似性が認められなければ「不一致」である。
最後に、判定結果から認証成功もしくは失敗の判断を行い(ステップ2107)、「一致」であればユーザは正当であると判断し(ステップ2108)、「不一致」であればユーザは不正であると判断する(ステップ2109)。
以上実施の形態5によれば、ユーザ認証主装置は照合の手順が正しいことを検証した上で、認証者自らの計算機を用いて認証を行うことにより、生体認証の効果を認証者が直接的に得ることが可能となる。さらに、認証者は生体テンプレートを直接参照する必要がなく、個人情報管理に伴うコスト及びリスク増大を回避する効果が得られる。
(実施の形態6)
図24は、本発明の実施の形態6におけるユーザ認証主装置の構成図である。
図24において、図22と同じ構成要素については同じ符号を用い、説明を省略する。
図24において、ユーザ認証主装置2201は、使用者識別DB(データベース)保持手段2202と、使用者識別データ照合手段2204を備える。使用者識別DB保持手段2202は使用者識別DB2203を保持する。使用者識別DB2203は、ユーザ認証主装置2201に登録された正当なユーザの識別データを含むユーザ情報を管理するデータベースである。使用者識別DB保持手段2202はメモリ、もしくはメモリと情報処理機のセットであり、使用者識別データ照合手段2204は情報処理機である。
生体認証オブジェクト実行手段2007の動作結果からユーザは正当であると判断した際、使用者識別データ照合手段2204は、生体認証オブジェクトから、正当と判断されたユーザを一意に識別する識別データを抽出する。識別データの例としては、生体テンプレートが図4に示すデータ構造を持つ場合には、ID情報202を用いれば良い。好適には、生体認証オブジェクトが判定結果と併せて前記ID情報を出力することが望ましい。また、特徴ベクトル203もユーザを一意に識別し得るデータであるが、特徴ベクトル203は保護すべき個人情報であるため識別データとしては使用されない。
使用者識別データ照合手段2204は、前記識別データを用いて、使用者識別DB保持手段2202に問い合わせを行い、使用者識別DB2203から該当ユーザの情報を引き出す。ユーザの情報の例として、ファイルへのアクセス権に関連付けられたユーザIDが挙げられる。
前記引き出されたユーザ情報をもとに、ユーザ認証主装置2201は正当と認められたユーザに然るべき機能や権限を供与する。
以上実施の形態6によれば、ユーザ認証主装置は正当と認められたユーザを然るべき識別データと結びつけることにより、ユーザに適切な機能や権限を容易に与えることが可能となる。
(実施の形態7)
図25は、本発明の実施の形態7におけるユーザ認証主装置の構成図である。
図25において、図22と同じ構成要素については同じ符号を用い、説明を省略する。
図25において、ユーザ認証主装置2301は、生体特徴データ取得手段2302を備える。
生体特徴データ取得手段2302は、ユーザ認証主装置2301を使用しているユーザの生体特徴(指紋、虹彩など)をデジタル化して取り込むセンサ機器である。もしくは、外部のセンサ機器から得た入力データを処理する情報処理機であっても良い。
生体認証オブジェクトの好適な例は図7に示したものと同一である。生体特徴データ取得手段2302は、生体認証オブジェクトのインタフェースプログラムコード(B)507を介して内部の認証時生体データ格納プログラムコード504を呼び出し、センサから取得した情報を復元前の認証時生体データ格納データ領域505に格納する。然る後に、生体認証オブジェクト実行手段2006の処理を行う。
以上実施の形態7によれば、ユーザ認証主装置は生体特徴データを自ら取得し、生体認証オブジェクトに与えることにより、生体テンプレートを取得することなく生体認証の特性をより直接的に得ることが可能となる。
(実施の形態8)
図26は、本発明の実施の形態8におけるユーザ認証主装置の構成図である。
図26において、図22と同じ構成要素については同じ符号を用い、説明を省略する。
図26において、ユーザ認証主装置2401は、チャレンジデータ埋め込み手段2402と、生体認証オブジェクト送信手段2403と、生体認証オブジェクト実行手段2404を備える。
チャレンジデータ埋め込み手段2402は情報処理機である。
生体認証オブジェクト送信手段2403は、公知の通信技術を用いてデジタル信号を外部の機器に送信する通信機を含む情報処理機である。
生体認証オブジェクト実行手段2404は情報処理機である。
図27は、チャレンジデータ書き込みに対応した生体認証オブジェクトの構造例を示した図である。
図27において、図7と同じ構成要素については同じ符号を用い、説明を省略する。
生体認証オブジェクトは、チャレジデータ格納プログラムコード2501と、レスポンスデータ生成プログラムコード2502、チャレンジデータ格納データ領域2503及びインタフェースプログラムコード(B)2504を含む。
チャレンジデータ格納プログラムコード2501は、ユーザ認証主装置2401が任意に指定する値、もしくは乱数から成るチャレンジデータを格納する命令コード群である。チャレンジデータ格納データ領域2503は生体認証オブジェクト内にあって、前記チャレンジデータを格納するためのデータ領域である。
レスポンスデータ生成プログラムコード2502は、前記チャレンジデータをチャレンジデータ格納データ領域2503から読み出し、所定の演算を行った結果を出力するプログラムコードである。所定の演算の例としては、チャレンジデータを秘密鍵で暗号化する演算が挙げられ、所定の演算を行った結果を出力する例としてはチャレンジデータそのものを結果として出力することが挙げられる。前者の例では生体認証オブジェクトが正しい秘密鍵を持っていることを証明し、後者の例では生体認証オブジェクトの同一性が証明される。
インタフェースプログラムコード(B)2504は、ユーザ認証主装置2401に呼び出し口を提供する命令コード群である。
チャレンジデータ埋め込み手段2402は、生体認証オブジェクトのインタフェースプログラムコード(B)2504を介してチャレンジデータ格納プログラムコードを呼び出し、所望のチャレンジコードをチャレンジデータ格納データ領域2503に書き込む。
然る後に生体認証オブジェクト送信手段2403は、生体認証オブジェクトを外部の機器に送信する。好適には、送信の相手先は前述したユーザ認証補助装置である。
ユーザ認証補助装置にて生体テンプレートが埋め込まれた生体情報オブジェクトを、再度ユーザ認証主装置2401が受け取った後、ユーザ認証主装置2401の生体認証オブジェクト実行手段2404は、生体認証オブジェクトのインタフェースプログラムコード(B)2504を介してレスポンスデータ生成プログラムコード2502を呼び出し、チャレンジとレスポンスの関係性を調べることにより、生体認証オブジェクトの同一性を確認することが出来る。
図26の認証主装置と連動して認証を行うユーザ認証補助装置は、上記実施の形態3の図15と同一構成であるので、詳細な説明は省略する。図15の生体認証オブジェクト受信手段1302は、ユーザ認証主装置2401の生体認証オブジェクト送信手段2403が送信した、チャレンジデータが埋め込まれた生体認証オブジェクトを受信し、生体認証オブジェクト復元手段1303は、受信した生体認証オブジェクトに埋め込まれているチャレンジデータを復号することにより生体認証オブジェクトの復元を試みる。
以上実施の形態8によれば、ユーザ認証主装置は生体認証オブジェクトに任意の符号を埋め込むとともに、任意の符号を埋め込んだ生体認証オブジェクトをユーザ認証補助装置に送信することが可能となる。これにより、ユーザ認証時補助装置から返送された生体認証オブジェクトの識別性を向上させることができ、さらに正当性をより確実に検証する事が可能となる。
(実施の形態9)
図28は、本発明の実施の形態9における集積回路の構成図である。
図28において、2601はユーザ認証補助装置を構成する集積回路である。前記集積回路は、内部に生体テンプレート保持部2602と、生体テンプレート埋め込み部2604と、生体認証オブジェクト保持部2605と、インタフェース部2607とを備える。
生体テンプレート保持部2602と生体認証オブジェクト保持部2605はEEPROM(エレクトロニカリ・イレーサブル・プログラマブル・リード・オンリ・メモリ:電気的消去及び書き込み可能な読み出し専用メモリ)などの不揮発性メモリで構成することが望ましい。
生体テンプレート保持部2602は生体テンプレート2603を保持し、生体認証オブジェクト保持部2605は生体認証オブジェクト2606を保持する。
生体テンプレート埋め込み部2604は定められた処理を行うロジックを構成する半導体であるか、もしくはCPU(セントラルプロセシングユニット:中央処理装置)とCPU上で実行されるプログラムコードを格納したROM(リード・オンリ・メモリ・読み出し専用メモリ)などの不揮発性メモリで構成しても良い。
インタフェース部2607は集積回路外部とのデータの送受信を行う部分であり、信号処理を行う半導体と電気信号を伝える端子などで構成される。
前記各部の役割は実施の形態1の各構成要素と同様である。以下にその対応関係を示す。
生体テンプレート保持部2602は、生体テンプレート102に対応する。
生体テンプレート2603は、生体テンプレート103に対応する。
生体テンプレート埋め込み部2604は、生体テンプレート埋め込み手段104に対応する。
生体認証オブジェクト保持部2605は、生体認証オブジェクト保持手段105に対応する。
生体認証オブジェクト2606は、生体認証オブジェクト106に対応する。
インタフェース部2607は、生体認証オブジェクト107に対応する。
以上実施の形態9によれば、実施の形態1に示したユーザ認証補助装置と同等な効果を得られる集積回路を提供できる。
本明細書は、2005年3月3日出願の特願2005−58567に基づく。この内容はすべてここに含めておく。
本発明にかかる認証補助装置、認証主装置、集積回路及び認証方法は、生体特徴を用いたユーザ認証に関わる汎用性を有し、両装置を計算機ネットワーク上の複数地点で用いる電子決済、コンテンツ配布、アクセス制御システムの他、両装置を近接した状態を用いるATM(自動取引機;Automatic Teller Machine)、自動販売機、入退室管理装置、コンピュータやコンソールへのアクセス許可システム等に応用できる。
従来のユーザ認証補助装置の構成図 従来のユーザ認証補助装置の構成図 本発明の実施の形態1におけるユーザ認証補助装置の構成図 生体テンプレートのデータ構造例を示した図 生体認証オブジェクトの構造例を示した図 生体テンプレート埋め込み手段の動作フロー図 データ書き込み機能を備えた生体認証オブジェクトの構造例を示した図 本発明の実施の形態2におけるユーザ認証補助装置の構成図 訂正符号が付加された生体認証オブジェクトのデータ構造例を示した図 (7,4)ハミング符号を応用した誤り訂正符号の例を示した図 生体認証オブジェクトの誤り訂正符号に基づく生体テンプレート分割規則の例を示した図 生体認証オブジェクトの誤り訂正符号に基づく生体テンプレート埋め込み規則の例を示した図 分割された生体テンプレートの埋め込み順序を指定する場合の生体テンプレート埋め込み規則の例を示した図 生体テンプレート埋め込み後の生体認証オブジェクトのデータ構造例を示した図 本発明の実施の形態3におけるユーザ認証補助装置の構成図 生体認証オブジェクト受信手段、生体認証オブジェクト復元手段、生体認証オブジェクト検証手段の連携動作フロー図 電子データ復元手段の動作フロー図 訂正出来ないビット誤りの例を示した図 訂正出来ないバイト誤りの例を示した図 本発明の実施の形態4におけるユーザ認証補助装置の構成図 本発明の実施の形態4における生体テンプレート及び生体特徴データ混合埋め込み手段の動作フロー図 本発明の実施の形態5におけるユーザ認証主装置の構成図 生体認証オブジェクト受信手段、生体認証オブジェクト復元手段、生体認証オブジェクト検証手段及び生体認証オブジェクト実行手段の連携動作フロー図 本発明の実施の形態6におけるユーザ認証主装置の構成図 本発明の実施の形態7におけるユーザ認証主装置の構成図 本発明の実施の形態8におけるユーザ認証主装置の構成図 チャレンジデータ書き込みに対応した生体認証オブジェクトの構造例を示した図 本発明の実施の形態9における集積回路の構成図

Claims (10)

  1. 生体特徴を示す固有のデータから成る生体テンプレートを保持する生体テンプレート保持手段と、
    前記生体テンプレート保持手段が保持する前記生体テンプレートを難読化した状態で生体認証オブジェクトに埋め込む生体テンプレート埋め込み手段と、
    前記生体テンプレートが埋め込まれた前記生体認証オブジェクトを送信する送信手段と、
    を具備する認証補助装置。
  2. 前記生体テンプレート保持手段が保持する前記生体テンプレートを誤り訂正符号に基づいて分割する生体テンプレート分割手段を具備し、
    前記生体テンプレート埋め込み手段は、前記生体テンプレート分割手段で分割した前記生体テンプレートを前記誤り訂正符号に基づいて前記生体認証オブジェクトに埋め込むことにより前記生体テンプレートを難読化し、
    前記送信手段は、前記生体テンプレートが埋め込まれた前記誤り訂正符号を含む前記生体認証オブジェクトを送信する請求項1記載の認証補助装置。
  3. 前記生体認証オブジェクトを受信する受信手段と、
    受信した前記生体認証オブジェクトの原本を復元する生体認証オブジェクト復元手段と、
    復元した前記原本の正当性を検証する生体認証オブジェクト検証手段とを具備し、
    前記生体テンプレート埋め込み手段は、前記復元が成功した場合で且つ前記検証が成功した場合に前記復元前の前記生体認証オブジェクトに前記生体テンプレートを埋め込む請求項1記載の認証補助装置。
  4. 生体特徴データを取得する生体特徴データ取得手段と、
    取得した前記生体特徴データを分割する生体特徴データ分割手段と、
    前記生体テンプレート保持手段が保持する前記生体テンプレートを誤り訂正符号に基づいて分割する生体テンプレート分割手段とを具備し、
    前記生体テンプレート埋め込み手段は、分割した前記生体特徴データと分割した前記生体テンプレートとを前記生体認証オブジェクトが解読できる秘匿化された乱数で決定できる結合順序で各々結合することにより前記生体テンプレートを難読化する請求項1記載の認証補助装置。
  5. 生体特徴を示す固有のデータから成る生体テンプレートが難読化された状態で埋め込まれた生体認証オブジェクトを受信する受信手段と、
    前記受信手段で受信した前記生体認証オブジェクトに含まれる誤り訂正符号に基づいて、受信した前記生体認証オブジェクトから前記生体テンプレートを含まない生体認証オブジェクトを復元する生体認証オブジェクト復元手段と、
    前記生体認証オブジェクト復元手段で復元した前記生体認証オブジェクトの正当性を検証する生体認証オブジェクト検証手段と、
    前記検証が成功した場合に前記復元前の前記生体認証オブジェクトを実行する生体認証オブジェクト実行手段と、
    を具備する認証主装置。
  6. ユーザを識別するための使用者識別データを記憶する使用者識別データ保持手段と、
    前記生体認証オブジェクト実行手段が前記実行によりユーザが正当であると判断した場合に前記生体認証オブジェクトに含まれる前記ユーザの識別データと前記使用者識別データ保持手段に記憶している前記使用者識別データとを照合する使用者識別データ照合手段と、
    を具備する請求項5記載の認証主装置。
  7. 生体特徴データを取得する生体特徴データ取得手段を具備し、
    前記生体認証オブジェクト実行手段は、前記検証が成功した場合に、前記生体特徴データ取得手段で取得した前記生体特徴データと前記復元した前記生体認証オブジェクトとの同一性を判定する請求項5記載の認証主装置。
  8. 請求項3記載の認証補助装置と通信する認証主装置であって、
    前記認証主装置は、
    前記生体テンプレートを含まない前記生体認証オブジェクトに前記生体認証オブジェクト復元手段で前記生体認証オブジェクトの原本を復元するためのチャレンジデータを埋め込むチャレンジデータ埋め込み手段と、
    前記チャレンジデータ埋め込み手段で前記チャレンジデータが埋め込まれた前記生体認証オブジェクトを送信する生体認証オブジェクト送信手段とを具備する認証主装置。
  9. 生体特徴を示す固有のデータから成る生体テンプレートを保持する生体テンプレート保持回路と、
    前記生体テンプレート保持回路が保持する前記生体テンプレートを難読化した状態で生体認証オブジェクトに埋め込む生体テンプレート埋め込み回路と、
    前記生体テンプレートが埋め込まれた前記生体認証オブジェクトを外部へ送出するインタフェース回路と、
    を具備する集積回路。
  10. 生体特徴を示す固有のデータから成る生体テンプレートを保持するステップと、
    保持する前記生体テンプレートを誤り訂正符号に基づいて分割するステップと、
    分割した前記生体テンプレートを誤り訂正符号に基づいて前記生体認証オブジェクトに埋め込むことにより前記生体テンプレートを難読化するステップと、
    前記生体テンプレートが埋め込まれた前記誤り訂正符号を含む前記生体認証オブジェクトを認証補助装置が送信するステップと、
    前記認証補助装置が送信した前記生体認証オブジェクトを認証主装置が受信するステップと、
    受信した前記生体認証オブジェクトに含まれる前記誤り訂正符号に基づいて、受信した前記生体認証オブジェクトから前記生体テンプレートを含まない生体認証オブジェクトを復元するステップと、
    復元した前記生体認証オブジェクトの正当性を検証するステップと、
    前記検証が成功した場合に前記復元前の前記生体認証オブジェクトを実行するステップと、
    を具備する認証方法。
JP2006527173A 2005-03-03 2006-03-02 認証補助装置、認証主装置、集積回路及び認証方法 Pending JPWO2006093238A1 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2005058567 2005-03-03
JP2005058567 2005-03-03
PCT/JP2006/304016 WO2006093238A1 (ja) 2005-03-03 2006-03-02 認証補助装置、認証主装置、集積回路及び認証方法

Publications (1)

Publication Number Publication Date
JPWO2006093238A1 true JPWO2006093238A1 (ja) 2008-08-07

Family

ID=36941267

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006527173A Pending JPWO2006093238A1 (ja) 2005-03-03 2006-03-02 認証補助装置、認証主装置、集積回路及び認証方法

Country Status (2)

Country Link
JP (1) JPWO2006093238A1 (ja)
WO (1) WO2006093238A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10129028B2 (en) * 2015-07-13 2018-11-13 Fujitsu Limited Relational encryption for password verification
US10075301B2 (en) * 2015-07-13 2018-09-11 Fujitsu Limited Relational encryption for password verification
CN108027951A (zh) * 2015-09-03 2018-05-11 武礼伟仁株式会社 一种多功能卡及卡结算终端及卡结算系统
JP6488954B2 (ja) 2015-09-11 2019-03-27 富士通株式会社 暗号データ処理方法、暗号データ処理システム、暗号データ処理装置および暗号データ処理プログラム
JP6882666B2 (ja) 2017-03-07 2021-06-02 富士通株式会社 鍵生成装置および鍵生成方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3422472B2 (ja) * 1999-04-12 2003-06-30 日本電気株式会社 パーソナルコンピュータシステム
JP3649681B2 (ja) * 2001-07-24 2005-05-18 株式会社エヌ・ティ・ティ・ドコモ ユーザ認証方法、通信システム及びサーバ
JP3917463B2 (ja) * 2002-05-28 2007-05-23 日本電信電話株式会社 個人情報流通管理方法,個人情報流通管理システムおよび個人情報流通管理用プログラム
JP2004227410A (ja) * 2003-01-24 2004-08-12 Nippon Telegr & Teleph Corp <Ntt> モバイルエージェントシステム、及びモバイルエージェント方法、その方法をコンピュータに実行させるプログラムを記録した記録媒体

Also Published As

Publication number Publication date
WO2006093238A1 (ja) 2006-09-08

Similar Documents

Publication Publication Date Title
US10824714B2 (en) Method and system for securing user access, data at rest, and sensitive transactions using biometrics for mobile devices with protected local templates
AU2010318058B2 (en) A method of assigning a secret to a security token, a method of operating a security token, storage medium and security token
JP4886371B2 (ja) 生体認証方法及びシステム
CN101939754B (zh) 使用混合匹配的手指感测设备及相关方法
US9218473B2 (en) Creation and authentication of biometric information
US9384338B2 (en) Architectures for privacy protection of biometric templates
JP2009151788A (ja) 生体データなどの安全なオフチップ処理
WO2005096158A1 (ja) 利用認証方法、利用認証プログラム、情報処理装置および記録媒体
JP4616677B2 (ja) 生体情報による暗号鍵生成および生体情報による個人認証システム
JP2008097438A (ja) ユーザ認証システム、認証サーバ、端末、及び耐タンパデバイス
JPWO2007094165A1 (ja) 本人確認システムおよびプログラム、並びに、本人確認方法
KR20080075956A (ko) 생체정보를 이용하는 사용자 인증방법
JP2009151528A (ja) 生体情報が格納されたicカードおよびそのアクセス制御方法
JPWO2006093238A1 (ja) 認証補助装置、認証主装置、集積回路及び認証方法
CN109961542A (zh) 一种门禁装置、验证装置、验证系统及其验证方法
KR101500947B1 (ko) 생체 정보 생성 및 인증
KR100546775B1 (ko) 생체정보를 이용한 인증서 발급 및 인증 방법
JPWO2020121458A1 (ja) 照合システム、クライアントおよびサーバ
JP4760124B2 (ja) 認証装置、登録装置、登録方法及び認証方法
WO2013114649A1 (ja) 生体認証システム、生体認証装置、および、生体認証方法
Seto Development of personal authentication systems using fingerprint with smart cards and digital signature technologies
JP2007258789A (ja) エージェント認証システム、エージェント認証方法、及びエージェント認証プログラム
JP2006293473A (ja) 認証システム及び認証方法、端末装置及び認証装置
JP2006350683A (ja) 人物認証装置
WO2022130528A1 (ja) 回復用検証システム、照合システム、回復用検証方法および非一時的なコンピュータ可読媒体