以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
本発明の移動情報端末を具体化する機器の例として携帯端末、PDA、携帯ゲーム機、電子手帳、電子書籍専用端末などがある。ただし、これら列挙した機器に限らず(1)把持しながら使用する機器であり使用時に把持特徴を取得でき、(2)紛失、盗難により個人情報や価値情報の流出の危険がある機器であればどんなものでも本発明の移動情報端末とすることができる。実施例における説明では携帯端末を具体例として詳細に説明する。
まず、本発明の全ての実施例に係る携帯端末200、200’、200’’、200’’’が取得する把持特徴サンプルについて説明する。人間は生得的に(1)手指の長さ、(2)握る力の強さ、などが異なることに加え、後天的に(3)携帯端末を持つ時の癖、などが異なっているため、把持特徴は本人認証に用いる生体情報として非常に優れている。具体的には、把持特徴認証は、本人拒否率および他人受入率において、一般的な顔認証と同程度の精度を有する。把持特徴サンプルとしては、例えば把持圧力分布、把持形状分布、把持温熱分布などが考えられる。これらの把持特徴サンプルの取得方法としては、例えば圧力センサを携帯端末200、200’、200’’、200’’’の面に分布して配置することにより把持圧力分布を取得することができる。同様にCCD(CMOS)センサの面状配置により把持形状分布を取得することができる。同様に赤外線センサの面状配置により、把持温熱分布の取得が可能である。また、端末背面に操作キー(タッチパネル)が配置されているような携帯端末であれば、端末を把持したときの操作キー(タッチパネル)の押圧状況(操作キー、タッチパネルが押されているか否か)によっても把持特徴を取得可能である。
実施例における説明では把持特徴サンプルとして把持圧力分布を具体例として用いる。図1、図2を用いて圧力センサアレイを用いた把持圧力分布の取得について詳細に説明する。図1は全ての実施例に係る携帯端末200、200’、200’’、200’’’が把持されている状態を例示する図である。図2は全ての実施例に係る携帯端末200、200’、200’’、200’’’に内蔵された圧力センサアレイが出力する把持圧力分布を例示する図である。携帯端末200、200’、200’’、200’’’は、一般的な折りたたみ型携帯端末であるものとし、二つの長板形状のボディの短手方向の一端同士を連結軸で折り畳み可能に連結されている。一方のボディには操作キーが配置されている。操作キーが配置された面をキー配置面11、キー配置面11の左右の長手方向の側面を左側面12及び右側面13、キー配置面11の裏面を背面14、キー配置面11の下側の短手方向の側面(連結軸を有する面と相対する面)を下面15と呼ぶ。また、他方のボディには折りたたんだ時にキー配置面11と向かい合う面に液晶画面16が配置されている。
このように携帯端末200、200’、200’’、200’’’は構成されているが、上記の説明は、後述する圧力センサアレイが出力する把持圧力分布について詳細に説明するための例示にすぎない。従って携帯端末200、200’、200’’、200’’’は必ずしも図1に示したような折りたたみ型である必要はなく、ストレート型、スライド型、その他どんな形状をしていても構わない。図1に戻り、携帯端末200、200’、200’’、200’’’のユーザが図1のように携帯端末200、200’、200’’、200’’’を把持しているものとする。
携帯端末200、200’、200’’、200’’’のキー配置面11が配置されたボディには圧力センサアレイ105が外部の把持圧力を感知可能に内蔵されている(図2の破線部)。圧力センサアレイ105は、携帯端末200、200’、200’’、200’’’の左側面12、右側面13、背面14の把持圧力分布を感圧可能であり、圧力センサアレイ105の各圧力センサからの信号を解析すれば図2に示すような把持圧力分布を描画することができる。図2の把持圧力分布をみれば、左側面12、右側面13、背面14などに明確にユーザの手指の特長、握る力の特長が表れていることが分かる。このようにして取得した把持圧力分布を本発明に用いる把持特徴サンプルに用いることができる。
次に図3A,3Bを参照して、本発明の実施例において携帯端末200、200’、200’’、200’’’が把持特徴サンプルを取得することによって本人認証に必要な本人認証テンプレートの学習を開始するとき、および学習が終了するときにユーザに対して行うアナウンスについて説明する。図3A,3Bは全ての実施例に係る携帯端末200、200’、200’’、200’’’が本人認証テンプレート学習の開始/終了時にユーザに対して行うアナウンスを例示する図である。例えば携帯端末200、200’、200’’、200’’’は、初めて使用されるとき、後述する本人認証テンプレートの学習を行う。本人認証テンプレートの学習を開始する際には図3Aに示すような画面を液晶画面16に表示する。液晶画面16には携帯端末に常駐するエージェント16−1がユーザに対して語りかけるという場面設定で以下のようなアナウンス16−2がなされる。「これからxxxx(ユーザの名前)様の癖を覚えていきます。学習期間中はxxxx様以外の方が、この端末を操作することがないよう注意してください。」上記のとおり、ユーザに対して使い方を意識させるようなアナウンスを行わないため、ユーザは特に意識することなく普段通りに携帯端末200、200’、200’’、200’’’の使用を継続する。
上述の学習期間内に把持特徴サンプルは自動的に取得される。把持特徴サンプルの取得方法については、一定時刻経過ごとに取得することとしても良いし、ユーザが特定の操作キーを押下したことを契機として取得しても良い。また、実施例3以降で詳細に説明するが、ユーザが上述の学習期間内にあるモード(例えばメール操作中、通話中など)においてある特定のキー操作を行ったことなどをトリガ(以下、サンプリングトリガと呼ぶ)として、把持特徴サンプルを取得することとしても良い。把持特徴サンプルが取得される瞬間又はその前後に、把持特徴サンプルを取得する(した)旨の情報提示がユーザになされることは一切無いものとする。従って、ユーザから見れば無意識の一定時刻経過、無意識に行った自身のキー操作などを取得タイミングとして把持特徴サンプルが自動的に取得され、蓄積されていくことになる。
本発明ではこのように把持特徴サンプルを取得することとしているため、ユーザが無意識かつ最も自然な状態、リラックスした状態で端末を使用している状態の把持特徴サンプルを取得することができる。これにより、把持特徴サンプルの観測値の分散を小さくすることができる。また、把持特徴サンプルを取得すると予め宣言した場合には、宣言を受けたユーザが身構えてしまって、普段通りの把持の仕方でなく、ユーザが考える「正しい把持の仕方」に従って把持しようとしてしまうことがある。また、ユーザが予め宣言を受けることにより普段通りの自分の持ち方が分からなくなってしまうこともあり、これらが原因して精度のよい把持特徴サンプルの取得が困難になる。そこで、上述のようにユーザが無意識のうちに把持特徴サンプルを取得することができれば、上記の問題を解決でき、精度のよい把持特徴サンプルが取得可能となる。上述のように、学習期間においては自動的に把持特徴サンプルが蓄積されてゆく。十分な数の把持特徴サンプルが収集された場合には、例えば図3Bに示すようなアナウンス16−3を表示して学習期間を終了する。
次に本発明の全ての実施例において用いられる外乱センサについて説明する。前述のように外乱要因としては、例えば、携帯端末に加わる揺れ、携帯端末の姿勢(傾き)、携帯端末への装着物の有無、携帯端末の筐体温度などが挙げられる。従って、外乱センサとしては、揺れや姿勢の変化を検知できる加速度センサ、携帯端末へのケーブルなどの接続を検知する接続センサ、筐体温度センサなどが考えられる。実施例における説明では加速度センサを用いることとする。以下に、本発明の実施例で用いられる加速度センサについて説明する。加速度センサとしては携帯電話に用いられることの多い3軸加速度センサを用いることができる。3軸加速度センサとしてはピエゾ抵抗型3軸加速度センサ、静電容量型3軸加速度センサ、熱検知型3軸加速度センサなどがある。ピエゾ抵抗型3軸加速度センサは、シリコン半導体の表面を円環状に薄く作りダイヤフラムを形成する。中央の錘をこの薄い金属で支えることで加速度による変位を検出しやすくする。ダイヤフラムの位置変化をピエゾ抵抗素子によって検出し、電気回路によって増幅・計測する。ダイヤフラムとピエゾ抵抗素子の取り付け方を工夫することで、3軸方向での加速度検出が可能になっている。静電容量型3軸加速度センサは、梁構造で支えられた微小な可動部でのわずかな位置変化を静電容量の変化として検出し、電気回路によって増幅・計測する。静電容量を検出する櫛の歯型の構造を荒い箇所と細かな箇所の2種類作ることで、検出精度を上げている。
上述の条件を前提として、把持特徴サンプル取得により本人認証を実現する実施例1に係る携帯端末200について詳細に説明する。まず図4、図8を参照して実施例1に係る携帯端末200の学習状態における動作について説明する。図4は本実施例に係る携帯端末200の構成を示すブロック図である。図8は本実施例に係る携帯端末200の学習状態における動作を示すフローチャートである。本実施例の携帯端末200は圧力センサアレイ105と、把持特徴サンプル取得部120と、加速度センサ205と、切替え部125と、サンプル一時記憶部130と、テンプレート学習部135と、テンプレート記憶部155と、ティルトカウンタ210と、本人認証部160と、ポイント加減部170と、しきい値スライダ220と、ロック判定部175と、ロック部180とを備えている。
切替え部125によって、携帯端末200を学習状態(サンプル一時記憶部130側)、認証状態(本人認証部160側)のどちらかの状態に切替えられる。ここでは、切替え部125が学習状態にセットされているものとする。圧力センサアレイ105は前述したように携帯端末100に内蔵されている。把持特徴サンプル取得部120は、圧力センサアレイ105より把持特徴サンプルを取得する(S120)。ここで、取得済みの把持特徴サンプルの個数をSmとし、学習開始サンプル数をSFmとする。学習開始サンプル数SFmとは、本人認証テンプレートの学習に必要なサンプル数として予め定めたものである。これは、把持特徴サンプルの取得数が少ない状態で本人認証テンプレートの学習を行っても、十分に精度の高い本人認証テンプレートを生成することが出来ないことが予め分かっているため、精度の高い本人認証テンプレートを得るために必要であると経験的に分かっているサンプルの数を学習開始サンプル数SFmとして設定したものである。従って、サンプル一時記憶部130に記憶された把持特徴サンプルの個数Smが、学習開始サンプル数SFmに達した(Sm>SFm)場合にはステップS135に進み、テンプレート学習部135が、把持特徴サンプルを用いて本人認証テンプレートを学習して、学習済みの本人認証テンプレートをテンプレート記憶部155に記憶する(S130Y、S135)。サンプル一時記憶部130に記憶された把持特徴サンプルの個数Smが、学習開始サンプル数SFmに達していない(Sm<SFm)場合にはスタートに戻り、引き続き把持特徴サンプルを取得する動作を繰り返す(S130N)。本人認証テンプレートは、把持特徴サンプル(実施例では把持圧力分布)の各要素位置での平均値などから求められる。
次に、引き続き図4、新たに図12を参照して実施例1に係る携帯端末200の認証状態における動作について説明する。図12は本実施例に係る携帯端末200の認証状態における動作を示すフローチャートである。ここでは、携帯端末200の切替え部125が認証状態(本人認証部160側)にセットされているものとする。なお、認証状態動作時には、上述した学習状態が既に完了しており、本人認証テンプレートがテンプレート記憶部155に記憶済みであるものとする。まず、把持特徴サンプル取得部120は、圧力センサアレイ105より把持特徴サンプルを取得する(S120)。把持特徴サンプル取得部120は、把持特徴サンプルを取得した時に加速度センサ205が計測した加速度を取得する(S205)。このとき、加速度センサ205から取得した加速度が予め定めた値以内であれば、同時に取得した把持特徴サンプルは有効とみなされる(S205Y)が、加速度センサ205から取得した加速度が予め定めた値を超える場合、同時に取得した把持特徴サンプルは誤差を多量に含んでいるため有効でないサンプルとみなされる(S205N)。加速度の値が予め定めた値を超えており、従って同時に取得された把持特徴サンプルが有効なサンプルでないと判定されると(S205N)、ティルトカウンタ210はティルトポイントを加算して(S210)、ステップS120に戻る。ここで、ティルトポイントをPtlt(初期値を0とする)と表記し、新たに加算するティルトポイントを正の所定値γと表記すればステップS210は以下の式で表現される。
Ptlt=Ptlt+γ・・・(1)
一方、加速度センサ205が計測した加速度の値が予め定めた値以下となっており、同時に取得された把持特徴サンプルが有効なサンプルである場合に(S205Y)、本人認証部160は、上述の学習状態で学習された本人認証テンプレートと把持特徴サンプルとを比較して本人認証を行う(S160)。本人認証部160が行った本人認証結果が本人である場合に(S165Y)、ティルトカウンタ210はティルトポイントを0にリセットする(S215、Ptlt=0)。ポイント加減部170は、本人認証部160が行った本人認証結果が本人でない場合(S165N)毎に、ポイントを加減する(S170)。ここで、ポイント加減部170が取り扱うポイントについて考えられるバリエーションを二つ示す。一つのバリエーションを本発明において他人ポイント(Oth)と呼ぶものとする。他人ポイントは、本人認証部160が行う本人認証の結果が本人でない場合(S165N)毎に一定値ずつ加算される性質のものであって(S170)、本人認証部160が行う本人認証の結果が本人である場合(S165Y)には、他人ポイントは加算されない。他人ポイントをOth(初期値を0とする)と表記し、加算される他人ポイントを正の所定値β1とすれば、ステップS170は以下の式で表現される。
Oth=Oth+β1・・・(2)
他方のバリエーションを本発明において本人ポイント(Ori)と呼ぶものとする。本人ポイントは、本人認証部160が行う本人認証の結果が本人でない場合(S165N)に一定値ずつ減算される性質のものであって(S170)、本人認証部160が行う本人認証の結果が本人である場合(S165Y)には、本人ポイントは減算されない。本人ポイントをOriと表記し、減算される本人ポイントを正の所定値β2とすれば、ステップS170は以下の式で表現される。
Ori=Ori−β2・・・(3)
Oriの初期値はβ2より大の所定値である。このようにポイント加減部170が扱うポイントについては二つのバリエーションがあり、何れのバリエーションを利用しても本人でなかった場合の認証結果をポイントとして蓄積することができる。
次に、しきい値スライダ220は、ポイント加減部170がポイントの加算または減算を行う毎に予め定めたしきい値からティルトポイントを加減して修正しきい値を求める(S220)。前述のポイントが他人ポイントである場合には、予め定めたしきい値をTh1、修正しきい値をTh_jdgと表記すれば、以下の式のようにしきい値を修正しきい値にスライドする。
Th_jdg=Th1−Ptlt・・・(4)
一方、前述のポイントが本人ポイントである場合には、以下の式のように予め定めたしきい値Th2を修正しきい値Th_jdgにスライドする。
Th_jdg=Th2+Ptlt・・・(5)
ここで、しきい値、修正しきい値をいずれも他人判定ラインと呼ぶこととすれば、しきい値スライダ220はティルトポイントPtltの分だけ他人判定ラインを上下にスライドさせることになる。また、本人認証結果が本人でないたびにポイントが増加する他人ポイント(Oth)のバリエーションにおいては、他人判定ラインは下降する。本人認証結果が本人でないたびにポイントが減少する本人ポイント(Ori)のバリエーションにおいては、他人判定ラインは上昇する。これについては詳細を後述する。次にロック判定部175は、前述のポイントが他人ポイントである場合には、他人ポイント(Oth)が修正しきい値(Th_jdg)をまたいで変化した場合(Oth>Th_jdg)に本人認証が失敗したと判定する(S175Y)。また、ロック判定部175は、前述のポイントが本人ポイントである場合には、本人ポイント(Ori)が修正しきい値(Th_jdg)をまたいで変化した場合(Ori<Th_jdg)に本人認証が失敗したと判定する(S175Y)。一方、他人(本人)ポイント(Oth、Ori)が修正しきい値(Th_jdg)をまたいで変化しない場合には、本人認証が成功したと判定し、ステップS120に戻る(S175N)。
本人認証が失敗したと判定された場合(S175Y)、ロック部180は、携帯端末200の機能の一部または全部をロックし終了する(S180)。本人認証が成功した場合には(S175N)ステップS120に戻る。本人認証テンプレートと把持特徴サンプルとの比較の方法については、例えば以下のように実現可能である。本人認証部160は、本人認証テンプレートと認証状態において取得された把持特徴サンプルとの距離(例えばマハラノビス汎距離)を求める。本人認証部160は、この距離がある一定の値以下であれば取得された把持特徴サンプルを本人のものと結論する。一方、本人認証テンプレートと把持特徴サンプルとの距離が一定の値以下でなければ取得された把持特徴サンプルは本人のものでないと結論する。
以下に、前述した判定基準となる距離のいくつかの例について説明する。例えば学習に使用するために計測するj回目の計測における圧力センサアレイのi番目のセンサ素子で取得した圧力値をxi,jとする。ただしi=1, 2, ..., n; j=1, 2, ..., mであり、nはセンサ素子の最大数、mは学習に使うための把持特徴計測の最大回数であり、それぞれ2以上の整数とする。圧力値の平均、分散、それらのベクトルを以下のように定義する。
本人認証テンプレートには添え字"le"を付けることにする。マハラノビス汎距離f1は次式で表される。
距離の別の例として、ユークリッド距離f2は次のように定義される。
更に別の距離の例として、マンハッタン距離f3は次のように定義される。
上記3つの距離基準は、下記に示す判定式で共通して判定が可能である。判定処理用に取得した本人のデータには添え字"self"を付け、他人のデータには添え字"oth"を付けることにする。他人と判定する閾値をxthreと定義すると、他人を判定する式は次のように示せる。
xthre<othf
なお、他人の把持特徴サンプルデータは、携帯端末の製品に予め組み込んでおくか、ネット上で使用者がアクセス可能にしておくか、使用者が他人に携帯端末を把持させてデータを取得する等の何らかの方法で入手可能なものとし、その他人のデータと本人認証テンプレートから距離othfを計算する。また、xthreを定める基準は、テンプレート学習に使用されなかった本人の把持特徴サンプルと学習後のテンプレートから距離selffを計算した上で、次の条件を満たすように決定する。
selff<xthre<othf
上述では本人認証テンプレートを把持特徴サンプルの平均値から求める場合で説明したが、他にも、例えばn点のセンサ素子からの圧力分布を適当なエリアに分割(例えば10分割、ただしnは10より大の値とする)し、その分割エリア毎に把持圧力の総和(または平均)を取ることによりそれぞれの分割エリア内の把持圧力総和(また平均)を要素とするベクトルデータを作成し、そのようなベクトルデータをm個の把持特徴サンプルについて作成して平均したものをテンプレートとする。あるいは、n点のセンサ素子からの圧力値のうち上位20点のセンサ位置を記録し、ベクトルデータを作成し、そのようなベクトルデータをm個の把持特徴サンプルについて作成したものを平均してテンプレートとしてもよい。
次に図16を参照して、前述の他人ポイント、ティルトポイント、他人判定ラインのスライドについて具体的に説明する。図16は本実施例に係る携帯端末200のティルトカウンタ210、ポイント加減部170、しきい値スライダ220の動作を説明する図である。図16のグラフは横軸を時間、縦軸を他人ポイント(Oth)として、他人ポイント(Oth)の累積状況の時間変化を表したものである。このグラフが生成された条件として、携帯端末200の正規のユーザでない第三者が、携帯端末200を操作して、携帯端末200のメニュー画面を開き、続いて電話帳を閲覧し、通話を行ったものと仮定する。本実施例の携帯端末200を操作する第三者は、本携帯端末200が把持特徴サンプルを取得して本人認証を行うことを知っており、さらにこの把持特徴サンプルは揺れの大きい状態や傾きの大きい状態では無効と判定され、把持特徴サンプルが無効である場合には本人認証も行われないことを知っており、この知識を悪用しようとしているものとする。
具体的には、この第三者は、本実施例の携帯端末200を強く揺らしたり、傾けたりしながら操作を行うことで本人認証を逃れながら本携帯端末200に格納された個人情報や価値情報を悪意に取得しようと考えているものとする。この第三者はまず本携帯端末200を大きく傾けたり、ときに強く揺らしたりしながらメニュー画面を開いたものとする。前述のとおり、本携帯端末200には、加速度センサ205が内蔵されており、この加速度センサ205が、携帯端末200の揺れ、傾きを検知して、測定した加速度が予め定めた一定の値を超える場合(S205N)には、ティルトカウンタ210がティルトポイントPtltを加算してゆく(S210)。
しきい値スライダ220はティルトポイントPtltの分だけ他人判定ラインを下降(Th1→Th_jdg)させる(S220)。したがって、他人判定ラインは第三者が携帯端末を傾けたり、揺らしたりするたびに、下降してゆく。この様子を図中一点鎖線で表現している。悪意の第三者は、メニュー画面において数回、本携帯端末200を傾けたり揺らしたりしながら、メニュー画面の操作を行った。これにより、メニュー画面操作中にPtltは図中の一点鎖線のように蓄積していく。次に、悪意の第三者は電話帳画面を開き、前述同様本携帯端末200を傾けたり揺らしたりしながら、画面操作を行った。この結果Ptltは図中の一点鎖線のように蓄積していく。通話に遷移した際にはPtltが蓄積された結果、他人判定ラインはTh1からかなり下降した位置のTh_jdgまで下がっている(S220)。
次に、この第三者は、通話を行っている。この場面において、この第三者は本携帯端末200を揺らしたり、傾けたりせずに普通に用いている。この状況下で予め定められているトリガ(例えば5分に1回など)が発生し、このトリガ発生と共に把持特徴サンプルが取得されたものとする(S120、S205Y)。さらに、本人認証部160がこの把持特徴サンプルと予め学習された本人認証テンプレートを比較した結果、把持特徴が本人でないものと判断されたものとする(S165N)。すると、前述したようにポイント加減部170は他人ポイントOthを加算し(Oth=Oth+β1)(S170)、これにより他人ポイント(Oth)が修正しきい値(Th_jdg)をまたいで変化したものとする(Oth>Th_jdg)(S175Y)。この場合、前述したように本人認証が失敗したと判定され(S175Y)、ロック部180は、携帯端末200の機能の一部または全部をロックする(S180)。
次に図17を参照して、前述の本人ポイント、ティルトポイント、他人判定ラインのスライドについて具体的に説明する。図17は本実施例に係る携帯端末200のティルトカウンタ210、ポイント加減部170、しきい値スライダ220の動作を説明する図である。図17のグラフは横軸を時間、縦軸を本人ポイント(Ori)として、本人ポイント(Ori)の累積状況の時間変化を表したものである。このグラフが生成された条件は図16において説明した条件と同じである。前述同様本実施例の携帯端末200を操作する第三者は、把持特徴サンプルが無効である場合には本人認証も行われないことを知っており、この知識を悪用しようとしているものとする。
この第三者はまず本携帯端末200を大きく傾けたり、ときに強く揺らしたりしながらメニュー画面を開いたものとする。加速度センサ205が、携帯端末200の揺れ、傾きを検知して、測定した加速度が予め定めた一定の値を超える場合(S205N)には、ティルトカウンタ210がティルトポイントPtltを加算してゆく(S210)。しきい値スライダ220はティルトポイントPtltの分だけ他人判定ラインを上昇(Th2→Th_jdg)させる(S220)。したがって、他人判定ラインは第三者が携帯端末を傾けたり、揺らしたりするたびに、上昇してゆく。この様子を図中一点鎖線で表現している。悪意の第三者は、メニュー画面において数回、本携帯端末200を傾けたり揺らしたりしながら、メニュー画面の操作を行った。これにより、メニュー画面操作中にPtltは図中の一点鎖線のように蓄積していく。次に、悪意の第三者は電話帳画面を開き、前述同様本携帯端末200を傾けたり揺らしたりしながら、画面操作を行った。この結果Ptltは図中の一点鎖線のように蓄積していく。通話に遷移した際にはPtltが蓄積された結果、他人判定ラインはTh2からかなり上昇した位置のTh_jdgまで上がっている(S220)。
次に、この第三者は、通話を行っている。この場面において、この第三者は本携帯端末200を揺らしたり、傾けたりせずに普通に用いている。この状況下で予め定められているトリガ(例えば5分に1回など)が発生し、このトリガ発生と共に把持特徴サンプルが取得されたものとする(S120、S205Y)。さらに、本人認証部160がこの把持特徴サンプルと予め学習された本人認証テンプレートを比較した結果、把持特徴が本人でないものと判断されたものとする(S165N)。すると、前述したようにポイント加減部170は本人ポイントOriを減算し(Ori=Ori−β2)(S170)、これにより本人ポイント(Ori)が修正しきい値(Th_jdg)をまたいで変化したものとする(Ori<Th_jdg)(S175Y)。この場合、前述したように本人認証が失敗したと判定され(S175Y)、ロック部180は、携帯端末200の機能の一部または全部をロックする(S180)。
このように揺れや傾きが大きい状況でステップS160の本人認証が行われないままステップS120,S205,S210によりティルトポイントが蓄積していき、次に正常な揺れの範囲、姿勢で使用されステップ160で本人認証が行われた場合、使用者が正規のユーザ本人でなければ蓄積された大きなティルトポイントによりステップS220で他人判定ラインが厳格に設定されることになる。そのため、本携帯端末の把持特徴認証について知識を有しており、これを悪用しようとする第三者に対して携帯端末200をロックすることができるので、携帯端末200のセキュリティを確保することができる。同時に、前述したように蓄積されたティルトポイントは本人認証が成功すると同時にゼロにリセットされるため(S215)揺れや傾きが大きな環境で正規のユーザ本人が本携帯端末200を使用しているような場合でも、携帯端末200が不当にロックされることがなくなり、ユーザの利便性を確保することができる。
上述した実施例1の携帯端末200の本人認証テンプレート機能、しきい値スライダ機能をさらに発展させた例として実施例2に係る携帯端末200’について詳細に説明する。まず図5、図9を参照して実施例2に係る携帯端末200’の学習状態における動作について説明する。図5は本実施例2に係る携帯端末200’の構成を示すブロック図である。図9は本実施例に係る携帯端末200’の学習状態における動作を示すフローチャートである。図5に示すように、本実施例の携帯端末200’は圧力センサアレイ105と、モード取得部110と、把持特徴サンプル取得部120と、加速度センサ205と、切替え部125と、サンプル一時記憶部130’と、テンプレート学習部135と、テンプレート記憶部155と、ティルトカウンタ210と、本人認証部160と、ポイント加減部170と、しきい値スライダ220と、ロック判定部175と、ロック部180とを備えている。
本実施例2と実施例1との学習状態における相違点は本実施例2の携帯端末200’のサンプル一時記憶部130’が一部の把持特徴サンプルを無効とするのに対し、実施例1の携帯端末200のサンプル一時記憶部130ではそのような判定がないこと、本実施例の携帯端末200’がモード取得部110を有するのに対し、実施例1の携帯端末200はこれを有しない点である。サンプル一時記憶部130’、モード取得部110以外の各構成部の動作は実施例1において同一の番号を付した各構成部と全く同じ動作をするため説明を割愛する。
ここでは、切替え部125が学習状態にセットされているものとする。把持特徴サンプル取得部120は、圧力センサアレイ105より把持特徴サンプルを取得する(S120)。この動作は実施例1と同じである。次に、把持特徴サンプル取得部120は、把持特徴サンプルを取得した時に加速度センサ205が計測した加速度を取得する(S205)。このとき、加速度センサ205から取得した加速度が予め定めた値以内であれば、同時に取得した把持特徴サンプルは有効とみなされる(S205Y)が、加速度センサ205が取得した加速度が予め定めた値を超える場合、同時に取得した把持特徴サンプルは誤差を多量に含んでいるため有効でないサンプルとみなされる(S205N)。取得された把持特徴サンプルが有効でない場合(S205N)、サンプル一時記憶部130’にこの有効でない把持特徴サンプルを記憶せずに、処理はスタートに戻り、把持特徴サンプルの取得動作が繰り返される(S120)。一方、取得された把持特徴サンプルが有効である場合(S205Y)、サンプル一時記憶部130’にこの把持特徴サンプルを記憶して、ステップS130’に移動する。以降の動作は実施例1で説明した動作と全く同じであるため説明を省略する。
次に、引き続き図5を、新たに図13を参照して実施例2に係る携帯端末200’の認証状態における動作について説明する。図13は本実施例に係る携帯端末200’の認証状態における動作を示すフローチャートである。まず、モード取得部110は、携帯端末200’のモードを取得する(S110a)。モードとは、例えばメールモード、アプリモード、ブラウザモードなど、携帯情報端末に内蔵されたアプリケーションの起動状況などによって分類される性質のものである。モードの詳細については後述する。なお、モードは全部でn個あり、以下、1番、…、i番、…、n番などと番号付けして称呼する。本実施例の説明では、モード取得部110が取得したモードがi番目のモードであったものとして説明する。
ステップS120、S205、S210、S160、S165、S170、S215についてはステップS210でティルトポイントPtltの加算を行った後はステップS110aに戻る点を除いて実施例1と同様であるため、説明を割愛して、ステップS220から説明を続ける。しきい値スライダ220は、予め定めたi番目のモードの所定のしきい値ThiからティルトポイントPtltを加減してi番目のモードの修正しきい値Thi_jdgを求める(S220)。次に、前述のモード取得部110が取得したi番目のモードが予め定めたモードである場合に(S110bY)、ロック判定部175はポイントが修正しきい値Thi_jdgをまたいで変化した場合に本人認証が失敗したと判定し(S175aY)、ステップS180に移り端末操作をロックする。ステップS175aでポイントが修正しきい値をまたいで変化しなかった場合はステップS110aに戻る。一方、モード取得部110が取得したi番目のモードが予め定めたモードでない場合に(S110bN)、ロック判定部175はポイントがi番目のモードのしきい値Thiをまたいで変化した場合に本人認証が失敗したと判定し(S175bY)、ステップS180に移り端末操作をロックする。ステップS175bでポイントが修正しきい値をまたいで変化しなかった場合はステップS110aに戻る。その他の動作は実施例1で説明した動作と全く同じであるため説明を省略する。
次に、本実施例において用いられるモードについて図15を参照して詳細に説明する。図15は携帯端末200’のモードと、各モードにおける端末の状態、他人判定ラインの関係を例示する図である。図15に例示するように、モードには例えばブラウザ1、ブラウザ2、メール、個人情報閲覧、通話、アプリ、メニューなどの種類がある。ブラウザ1モードとは、ウェブページの閲覧(ブラウジング)によって通信課金が発生している携帯端末の動作状態、もしくは通信課金が発生しうるような携帯端末の動作状態を示す。従って、例えば携帯端末200’にインストールされたブラウザソフトを起動して、携帯端末200’のポータルページを閲覧している動作状態などがブラウザ1モードに該当する。ブラウザ2モードとは、ウェブページの閲覧(ブラウジング)によってコンテンツ課金が発生している動作状態、もしくはコンテンツ課金が発生しうるような携帯端末200’の動作状態を示す。従って、例えば携帯端末200’にインストールされたブラウザソフトを起動して、携帯端末200’の携帯アプリを課金ダウンロードしている動作状態などがブラウザ2モードに該当する。メールモードとは、メールに記載された個人情報閲覧が発生しうる動作状態を示す。従って、例えば携帯端末200’にインストールされたメーラを起動して、携帯端末200’のメールフォルダを閲覧している動作状態、メーラを使用して返信メールを作成している動作状態、相手方のメールを受信しようとしている動作状態などがメールモードに該当する。個人情報閲覧モードとは、電話帳など個人情報を閲覧している動作状態を示す。従って、例えば携帯端末200’に記憶された電話帳を閲覧している動作状態などが個人情報閲覧モードに該当する。通話モードとは、通話課金が発生している携帯端末200’の動作状態を示す。従って、例えば携帯端末200’を用いて通話が行われている動作状態などが通話モードに該当する。アプリモードとは、通信課金の発生や、個人情報閲覧が発生しうるような携帯端末200’の動作状態を示す。従って、例えば携帯端末200’にインストールされたアプリを起動している動作状態などがアプリモードに該当する。メニューモードとは、携帯端末200’のメニューから何れの画面に遷移するかによって個人情報閲覧が発生しうる携帯端末200’の動作状態を示す。従って、例えば携帯端末200’のメニュー画面を閲覧し、何れかの遷移先を選択している最中の動作状態などがメニューモードに該当する。ここで、モードの例として、ブラウザ、メールなど、携帯端末の機能ごとにモードを分ける例を示したが、加速度センサ、ジャイロ、カメラ画像などのセンサ情報を用いて、携帯端末自身の姿勢に基づいてモードを用意することも可能であり、機能ごとにモードを決める必要はない。
ここで、しきい値(他人判定ライン、Thi)はモードごとに異なるものとする。例えば悪意の第三者に本携帯端末200’が操作されていると仮定した場合、この第三者にメニュー画面を操作される場合と、電話帳などの個人情報を閲覧される場合とでは、端末ロックの緊急性が異なる。このため、図15に示すように例えばメニューモードではしきい値(他人判定ライン、Th7)を60に設定しておき、個人情報閲覧モードではしきい値(他人判定ライン、Th4)を40に設定しておくことで携帯端末200’のロックの必要性に差を設けることができる。
次に図18を参照して、他人ポイント、ティルトポイント、他人判定ラインのスライドについて具体的に説明する。図18は本実施例2に係る携帯端末200’のティルトカウンタ210、ポイント加減部170、しきい値スライダ220の動作を説明する図である。図18のグラフは横軸を時間、縦軸を他人ポイント(Oth)として、他人ポイント(Oth)の累積状況の時間変化を表したものである。このグラフが生成された条件として、携帯端末200’の正規なユーザでない第三者が、携帯端末200’を操作して、携帯端末200’のメニュー画面を開き、続いて電話帳を閲覧したものと仮定する。本実施例の携帯端末200’を操作する第三者は、本携帯端末200’が把持特徴サンプルを取得して本人認証を行うことを知っており、さらにこの把持特徴サンプルは揺れの大きい状態や傾きの大きい状態では無効と判定され、把持特徴サンプルが無効である場合には本人認証も行われないことを知っており、この知識を悪用しようとしているものとする。
具体的には、この第三者は、本実施例の携帯端末200’を強く揺らしたり、傾けたりしながら操作を行うことで本人認証を逃れながら本携帯端末200’に格納された個人情報や価値情報を悪意に取得しようと考えているものとする。この第三者はまず本携帯端末200’を大きく傾けたり、ときに強く揺らしたりしながらメニュー画面を開いたものとする。前述のとおり、本携帯端末200’には、加速度センサ205が内蔵されており、この加速度センサ205が、携帯端末200’の揺れ、傾きを検知して、測定した加速度が予め定めた一定の値を超える場合(S205N)には、ティルトカウンタ210がティルトポイントPtltを加算してゆく(S210)。
しきい値スライダ220はモード取得部110が取得したモードが予め定めたモードである場合(この場合は個人情報閲覧モード、図では電話帳画面)に限り、ティルトポイントPtltの分だけ他人判定ラインを下降(Th4→Th4_jdg)させる(S220)。したがって、他人判定ライン(Th4_jdg)は第三者が携帯端末を傾けたり、揺らしたりするたびに、下降してゆく。この様子を図中一点鎖線で表現している。一方、メニュー画面における他人判定ラインは下降せず、Th7のままであるものとする。このように、モードによって修正しきい値(Thi_jdg)を用いるか所定のしきい値(Thi)を用いるかを異ならせることにより、モードごとに携帯端末200’のロックの必要性に差を設けることができる。
前述のメニュー画面および電話帳画面において、この第三者は、本携帯端末200’を揺らしたり、傾けたりせずに普通に用いてもいる。つまり、揺れや傾きを伴う本携帯端末200’の操作によりティルトポイントPtltが蓄積されているし、揺れや傾きのない状態で本携帯端末200’を使用することにより、本人認証が行われてもいる(S165)。この本人認証結果が本人でないと判定されて(S165N)、他人ポイントが加算されている(Oth=Oth+β1)(S170)。このように他人ポイントが加算される様子を図18中の原点から右肩上がりに増加する実線グラフにて表した。これにより図18に示すように電話帳画面操作中に他人ポイント(Oth)が修正しきい値(Th4_jdg)を超えたものとする(Oth>Th4_jdg)(S175Y)。この場合、本人認証が失敗したと判定され(S175Y)、ロック部180は、携帯端末200’の機能の一部または全部をロックする(S180)。
次に図19を参照して、本人ポイント、ティルトポイント、他人判定ラインのスライドについて具体的に説明する。図19は本実施例に係る携帯端末200’のティルトカウンタ210、ポイント加減部170、しきい値スライダ220の動作を説明する図である。図19のグラフは横軸を時間、縦軸を本人ポイント(Ori)として、本人ポイント(Ori)の累積状況の時間変化を表したものである。このグラフが生成された条件は図18において説明した条件と同じである。前述同様本実施例の携帯端末200’を操作する第三者は、把持特徴サンプルが無効である場合には本人認証も行われないことを知っており、この知識を悪用しようとしているものとする。この第三者はまず本携帯端末200’を大きく傾けたり、ときに強く揺らしたりしながらメニュー画面を開いたものとする。加速度センサ205は、携帯端末200’の揺れ、傾きを検知して、測定した加速度が予め定めた一定の値を超える場合(S205N)には、ティルトカウンタ210がティルトポイントPtltを加算してゆく(S210)。しきい値スライダ220はモード取得部110が取得したモードが予め定めたモードである場合(この場合は個人情報閲覧モード、図では電話帳画面)に限り、ティルトポイントPtltの分だけ他人判定ラインを上昇(Th4→Th4_jdg)させる(S220)。したがって、他人判定ライン(Th4_jdg)は第三者が携帯端末を傾けたり、揺らしたりするたびに、上昇してゆく。この様子を図中一点鎖線で表現している。一方、メニュー画面における他人判定ラインは上昇せず、Th7のままであるものとする。
前述のメニュー画面および電話帳画面において、この第三者は、本携帯端末200’を揺らしたり、傾けたりせずに普通に用いてもいる。つまり、揺れや傾きを伴う本携帯端末200’の操作によりティルトポイントPtltが蓄積されているし、揺れや傾きのない状態で本携帯端末200’を使用することにより、本人認証が行われてもいる(S165)。この本人認証結果が本人でないと判定されて(S165N)、本人ポイントが減算されている(Ori=Ori−β2)(S170)。このように本人ポイントが減算される様子を図19中に右肩下がりに減少する実線グラフにて表した。これにより図19に示すように電話帳画面操作中に本人ポイント(Ori)が修正しきい値(Th4_jdg)を下回ったものとする(Ori<Th4_jdg)(S175Y)。この場合、本人認証が失敗したと判定され(S175Y)、ロック部180は、携帯端末200’の機能の一部または全部をロックする(S180)。
このように、本実施例ではモードによって修正しきい値(Thi_jdg)を用いるかしきい値(Thi)を用いるかを異ならせることにより、モードごとに携帯端末200’のロックの必要性に差を設けることができ、個人情報漏えい可能性が高いモードについては修正しきい値を用い、それ以外のモードについてはしきい値を用いることとしてその動作に差を設けることができる。
上述した実施例2の携帯端末200’の学習機能、認証機能をさらに発展させた例として、実施例3に係る携帯端末200’’について詳細に説明する。まず、図6、図10を参照して実施例3に係る携帯端末200’’の学習状態における動作について説明する。図6は本実施例に係る携帯端末200’’の構成を示すブロック図である。図10は本実施例に係る携帯端末200’’の学習状態における動作を示すフローチャートである。図6に示すように、本実施例の携帯端末200’’は圧力センサアレイ105と、モード取得部110と、トリガ監視部115と、把持特徴サンプル取得部120と、加速度センサ205と、切替え部125と、サンプル一時記憶部130’と、テンプレート学習部135と、テンプレート記憶部155と、ティルトカウンタ210と、本人認証部160と、ポイント加減部170と、しきい値スライダ220と、ロック判定部175と、ロック部180とを備える。トリガ監視部115以外の各構成部の動作は実施例2において同一の番号を付した各構成部と全く同じ動作をするため説明を割愛する。
ここでは、切替え部125が学習状態にセットされているものとする。モード取得部110は、携帯端末200’’のモードを取得する(S110a)。トリガ監視部115は、モードに応じて定まるサンプリングトリガが発生した場合に、把持特徴取得信号を出力する(S115Y)。一方、サンプリングトリガが発生しない場合にはスタートに戻り、改めて携帯端末200’’のモードを取得する(S115N、S110a)。把持特徴サンプル取得部120は、トリガ監視部115から把持特徴取得信号を取得して、圧力センサアレイ105より把持特徴サンプルを取得する(S120)。
ここで、i番目のモードにおける取得済みの把持特徴サンプルの個数をSmiとし、i番目のモードにおける学習開始サンプル数をSFmiとする。また、モードの総数は全部でn個(nは1以上の整数)であるものとする。学習開始サンプル数SFmiとは、前述同様、本人認証テンプレートの学習に必要なサンプル数としてモードごとに予め定めたものである。従って、サンプル一時記憶部130’に記憶された全てのモード(i=1〜n)における把持特徴サンプルの個数Smiが、学習開始サンプル数SFmiに達した(Smi>SFmi)場合にはステップS135に進み、テンプレート学習部135が、把持特徴サンプルを用いて本人認証テンプレートをモードごとに学習して、学習済みの本人認証テンプレートをテンプレート記憶部155に記憶する(S130’Y、S135)。サンプル一時記憶部130’に記憶された全てのモード(i=1〜n)の把持特徴サンプルの個数Smiが、学習開始サンプル数SFmiに達していない(Smi<SFmi)場合にはスタートに戻り、引き続き端末のモードを取得し、サンプリングトリガの発生と同時に把持特徴サンプルを取得する動作を繰り返す(S130’N)。よって、全てのモード(i=1〜n)に対して本人認証テンプレートが得られるまで、S110a、S115、S120、S205が繰り返される(S130’N)。
図20を参照してサンプリングトリガについて説明する。図20はモードの種類と、各モードにおける端末状態、サンプリングトリガ、境界値、他人判定ラインを例示して説明する図である。境界値については後述する。前述したように、モードには例えばブラウザ1、ブラウザ2、メール、個人情報閲覧、通話、アプリ、メニューなどの種類がある。ブラウザ1モードに設定されているサンプリングトリガは「ブラウザ起動中∩決定キー押下」である。これは、ブラウザ起動中であってかつユーザが携帯端末200’’の決定キーを押した場合、この操作をサンプリングトリガとして把持特徴サンプルを取得することを意味している。ブラウザ2モードに設定されているサンプリングトリガは「ブラウザ起動中∩決定キー押下」である。これは、ブラウザ1の場合と同様である。
メールモードに設定されているサンプリングトリガは「メーラ起動中∩決定キー押下」である。これは、メーラ起動中であってかつユーザが携帯端末200’’の決定キーを押した場合、この操作をサンプリングトリガとして把持特徴サンプルを取得することを意味している。個人情報閲覧モードに設定されているサンプリングトリガは「個人情報表示中∩決定キー押下」である。これは、電話帳などの個人情報を表示中であってかつユーザが携帯端末200’’の決定キーを押した場合、この操作をサンプリングトリガとして把持特徴サンプルを取得することを意味している。なお、「決定キー押下」は、キー押下によるサンプリングトリガの一例であり、モードに合わせて、任意の操作キーをサンプリングトリガに指定してよい。
上記と異なり決定キーなどの操作キーを押下することがあまりないモードもある。例えば通話モードは操作キーが押下されることがあまりないため、操作キー押下によらず「5分に一回」自動的にサンプリングトリガを発生させて、把持特徴サンプルを取得する。また、アプリモードではアプリに依存して何れの操作キーが押下されるかが異なるため、このモードにおいても「5分に一回」自動的にサンプリングトリガを発生させる。なお、自動的にサンプリングトリガを発生させる「5分」という時間間隔は、一例でありモードや携帯端末の種別に合わせた適切な時間間隔を指定してよい。一方、メニューモードに設定されているサンプリングトリガは「メニュー画面表示中∩決定キー押下」である。
以上のようにあるモードにおいて、安定した把持状態が期待できるようなタイミングをサンプリングトリガに設定することで、バラツキの少ない安定した把持特徴サンプルを取得可能である。前述したようにユーザは携帯端末の各モードにおいて、特に意識せずにサンプリングトリガを発生させ、このサンプリングトリガ発生のタイミングにおいて、把持特徴が自動的に取得されるため、精度のよい把持特徴サンプルが取得可能となる。
次に、引き続き図6を、新たに図14を参照して実施例3に係る携帯端末200’’の認証状態における動作について説明する。図14は本実施例に係る携帯端末200’’の認証状態における動作を示すフローチャートである。本実施例の学習状態における動作と同様に、ステップS120の前にS115が行われることのみが実施例2との相違点である。モード取得部110は、携帯端末200’’のモードを取得する(S110a)。トリガ監視部115は、モードに応じて定まるサンプリングトリガが発生した場合に、把持特徴取得信号を出力する(S115Y)。一方、サンプリングトリガが発生しない場合にはスタートに戻り、改めて携帯端末200’’のモードを取得する(S115N、S110a)。把持特徴サンプル取得部120は、トリガ監視部115から把持特徴取得信号に応答して、圧力センサアレイ105より把持特徴サンプルを取得する(S120)。以降の処理は、実施例2の携帯端末200’の認証状態におけるステップS205以降の処理と同一であるため、説明を割愛する。
上述した実施例3の携帯端末200’’の本人認証テンプレート学習機能をさらに発展させた例として、実施例4に係る携帯端末200’’’について詳細に説明する。まず、図7、図11を参照して実施例4に係る携帯端末200’’’の学習状態における動作について説明する。図7は本実施例に係る携帯端末200’’’の構成を示すブロック図である。図11は本実施例に係る携帯端末200’’’の学習状態における動作を示すフローチャートである。図7に示すように、本実施例の携帯端末200’’’は圧力センサアレイ105と、モード取得部110と、トリガ監視部115と、把持特徴サンプル取得部120と、加速度センサ205と、切替え部125と、サンプル一時記憶部130’’と、テンプレート学習部135’と、テンプレート記憶部155と、ティルトカウンタ210と、本人認証部160と、ポイント加減部170と、しきい値スライダ220と、ロック判定部175と、ロック部180と、認証性能検査部140とを備える。サンプル一時記憶部130’’と、テンプレート学習部135’と、認証性能検査部140以外の各構成部の動作は実施例3において同一の番号を付した各構成部と全く同じ動作をするため説明を割愛する。
ここでは、切替え部125が学習状態にセットされているものとする。サンプル一時記憶部130’’は、取得した把持特徴サンプルをモードごとに「学習用サンプル」と「性能検証用サンプル」のどちらかに分配して記憶しておく。この点は実施例3と異なる。「学習用サンプル」とは本人認証テンプレートの生成に用いるための把持特徴サンプルのことである。「性能検証用サンプル」とは、後述する認証性能の検査に用いるための把持特徴サンプルのことである。また、認証性能検査部140は、上記の2つに分配された把持特徴サンプルとは別に「他人サンプル」を予め記憶しているものとする。他人サンプルとは、携帯端末200’’’を、正規のユーザ以外の人間が把持したときの把持特徴サンプルのことである。他人サンプルは、例えば携帯端末200’’’の工場出荷時点において、正規のユーザ以外の複数の人間に携帯端末200’’’を把持させることで正規のユーザ以外の把持特徴サンプルを一定数取得しておき、この取得した把持特徴サンプルを他人サンプルとして認証性能検査部140に記憶しておくことで実現可能である。また、ネットワーク上に正規のユーザ以外の他人による把持特徴サンプル(他人サンプル)が保存されており、認証性能検査部140が、ネットワークにアクセスすることによって、他人サンプルを取得することとしても良い。
まず、モード取得部110は、携帯端末200’’’のモードを取得する(S110a)。トリガ監視部115は、モードに応じて定まるサンプリングトリガが発生した場合に、把持特徴取得信号を出力する(S115Y)。一方、サンプリングトリガが発生しない場合にはスタートに戻り、改めて携帯端末200’’’のモードを取得する(S115N、S110a)。把持特徴サンプル取得部120は、トリガ監視部115から把持特徴取得信号を取得して、圧力センサアレイ105より把持特徴サンプルを取得する(S120)。ここまでの動作は実施例3の携帯端末200’’が学習状態にあるときの動作と同じである。取得された把持特徴サンプルはサンプル一時記憶部130’’にモードごとに「学習用サンプル」と「性能検証用サンプル」のどちらかに分配されて記憶される。サンプル一時記憶部130’’に記憶された全てのモード(i=1〜n)における把持特徴サンプル(学習用サンプル)の個数Smiが、学習開始サンプル数SFmiに達した(Smi>SFmi)場合にはステップS135’に進み、テンプレート学習部135’が、把持特徴サンプルを用いて本人認証テンプレートをモードごとに学習して、学習済みの本人認証テンプレートをテンプレート記憶部155に記憶する(S130’’Y、S135’)。サンプル一時記憶部130’’に記憶された全てのモード(i=1〜n)における把持特徴サンプル(学習用サンプル)の個数Smiが、学習開始サンプル数SFmiに達していない(Smi<SFmi)場合にはスタートに戻り、引き続き端末のモードを取得し、サンプリングトリガの発生と同時に把持特徴サンプルを取得する動作を繰り返す(S130’’N、S110a〜S205)。本人認証テンプレートは、学習用サンプルの平均値などから求められる。
次に認証性能検査部140の動作について詳細に説明する。認証性能検査部140は、本人認証テンプレートと性能検証用サンプルとの距離、本人認証テンプレートと他人サンプルとの距離をそれぞれ求める。前述したようにここで距離としてはマハラノビス汎距離などを用いることができる。認証性能検査部140は、本人認証テンプレートと性能検証用サンプルとの距離の分布から、ある距離値を上限として(この上限の距離値を以下判別式閾値と呼ぶ)それ以上の距離の性能検証用サンプルを本人でないとして誤って判定をした場合の本人拒否率(FRR:False Rejection Rate)と判別式閾値の関係を求める。同様に、認証性能検査部140は、本人認証テンプレートと他人サンプルとの距離の分布から、判別式閾値を上限としてそれ以下の距離の他人サンプルを本人として誤って判定をした場合の他人受入率(FAR:False Acceptance Rate)と判別式閾値の関係を求める。これについて図21〜図26の例を用いて具体的に解説する。
図21〜26はそれぞれブラウザ1モード、ブラウザ2モード、メールモード、個人情報閲覧モード、通話モード、アプリモードにおける判別式閾値と誤り率との関係を例示する図である。グラフの横軸は判別式閾値、縦軸は誤り率(本人許否率または他人受入率)である。太実線のグラフは本人拒否率(FRR)のグラフである。太破線のグラフは他人受入率(FAR)のグラフである。例えば図21のブラウザ1における誤り率のグラフを参照すれば、本人拒否率(FRR)は判別式閾値の増加に伴って小さくなり、判別式閾値が70弱になると0になる。これは、本人認証テンプレートと性能検証用サンプルとの距離の分布においては、70を超える距離を有する性能検証用サンプルが無かったことを意味する、同様に、判別式閾値が73を超えると、他人受入率(FAR)が0から増加を始める。これは、本人認証テンプレートと他人サンプルとの距離の分布においては、73を下回る距離を有する他人サンプルが無かったことを意味する。本人拒否率も他人受け入れ率も共に0である状態が最も望ましいため、ブラウザ1においては判別式閾値の境界値(以下、単に境界値と呼ぶ)を70〜72程度に設定するのが最適であることが分かる。このように、ブラウザ1モードのおいては、境界値を70〜72に設定することで、本人拒否率(FRR)も他人受入率(FAR)も0とすることができる。
一方で、ブラウザ2では、FRRとFARが同時に0となるような境界値は存在しない。本人拒否率(FRR)のグラフ(太実線)と他人受入率(FAR)のグラフ(太破線)とが第1象限において交差してしまっているため、何れも0となるような条件がないのである。この場合は、境界値として本人拒否率(FRR)のグラフ(太実線)と他人受入率(FAR)のグラフ(太破線)が交差する位置における判別式閾値を用いることができる。図22のブラウザ2モードの例では境界値を60に設定すれば、本人拒否率(FRR)、他人受入率(FAR)の何れも小さく抑えることができ、本人認証の精度を高めることができる。しかし、本人拒否率(FRR)のグラフ(太実線)と他人受入率(FAR)のグラフ(太破線)が交差する位置における誤り率が高い状態であれば、この位置を境界値として設定しても高い精度は望めない。例えば、本人拒否率(FRR)のグラフ(太実線)と他人受入率(FAR)のグラフ(太破線)が誤り率40%の位置で交差しているとすれば、その交差位置の判別式閾値を境界値としたとしても、その境界値においては、常に本人を他人と誤って拒否する確率、他人を本人と誤って許可する確率がそれぞれ40%あるため精度が著しく低くなってしまう。これは、把持特徴サンプルの数が十分でないために起こる現象であり、把持特徴サンプルをさらに多く取得することで、解決することができる。FRR、FARが予め定めた確率(例えば5%)以下になるような境界値を設定することができるようになるまで、把持特徴サンプルの数を増やすことでこの問題を解決することができる。このようにして図20に示したように、FRR、FARが予め定めた確率以下になるようにブラウザ1モードの境界値を70、ブラウザ2モードの境界値を60、メールモードの境界値を55、個人情報閲覧モードの境界値を90、通話モードの境界値を70、アプリモードの境界値を60、などと定めることができる。
従って、認証性能検査部140は、上述の各モードにおける判別式閾値と誤り率との関係を調べ(S140)、FRR、FARが予め定めた確率(例えば5%)以下となる境界値が存在しない場合には(S145N)、学習開始サンプル数SFmi=SFmi+αとして、スタートに戻る(S150)。αは1以上の整数である。新たに追加されたα個の把持特徴サンプル(学習用サンプル)が取得されるまでステップS110a〜S130’’が繰り返される。追加のα個の把持特徴サンプル(学習用サンプル)が取得された場合、ステップS135’に進み本人認証テンプレートの学習が行われる。次に前述同様、認証性能検査部140が、各モードにおける判別式閾値と誤り率との関係を調べ(S140)、FRR、FARが予め定めた確率(例えば5%)以下となる境界値が存在するか否かを調べる(S145)。FRR、FARが予め定めた確率以下となる境界値が存在する場合には(S145Y)学習動作を終了する(エンド)。FRR、FARが予め定めた確率以下となる境界値が存在しない場合には(S145N)ステップS150に進み、学習開始サンプル数SFmi=SFmi+αとして、スタートに戻る(S150)。このように、予め定めた認証性能(FRR、FARが一定値以下)を満たすまで、把持特徴サンプルを追加で取得することにより、本人拒否率、他人受入率の双方が低くなるような精度の高い認証を実現することができる。
次に、本実施例の携帯端末200’’’の認証状態と実施例1の携帯端末200の認証状態との相違点について説明する。実施例1の携帯端末200の本人認証部160は、本人認証テンプレートと認証状態で取得した把持特徴サンプルとの距離が一定の値以下でなければ取得された把持特徴サンプルは本人のものでないと結論した。本実施例においては、この「一定の値」を前述の境界値と設定するものとする。なお、本実施例の認証状態におけるその他の動作については実施例3の携帯端末200’’の認証状態における動作と同じであるため、説明を割愛する。
なお、実施例における説明では実施例1を基本パターンとして、これにモード取得部110を付加した実施例2、実施例2にトリガ監視部115を付加した実施例3、実施例3に認証性能検査部140を付加した実施例4を開示したが、上記の組み合わせに限られない。実施例1にトリガ監視部115のみを付加することもできる。実施例1に認証性能検査部140のみを付加することもできる。実施例1にトリガ監視部115、認証性能検査部140のみを付加することもできる。実施例2に認証性能検査部140のみを付加することもできる。
また、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
切替え部125によって、携帯端末200を学習状態(サンプル一時記憶部130側)、認証状態(本人認証部160側)のどちらかの状態に切替えられる。ここでは、切替え部125が学習状態にセットされているものとする。圧力センサアレイ105は前述したように携帯端末200に内蔵されている。把持特徴サンプル取得部120は、圧力センサアレイ105より把持特徴サンプルを取得する(S120)。ここで、取得済みの把持特徴サンプルの個数をSmとし、学習開始サンプル数をSFmとする。学習開始サンプル数SFmとは、本人認証テンプレートの学習に必要なサンプル数として予め定めたものである。これは、把持特徴サンプルの取得数が少ない状態で本人認証テンプレートの学習を行っても、十分に精度の高い本人認証テンプレートを生成することが出来ないことが予め分かっているため、精度の高い本人認証テンプレートを得るために必要であると経験的に分かっているサンプルの数を学習開始サンプル数SFmとして設定したものである。従って、サンプル一時記憶部130に記憶された把持特徴サンプルの個数Smが、学習開始サンプル数SFmに達した(Sm>SFm)場合にはステップS135に進み、テンプレート学習部135が、把持特徴サンプルを用いて本人認証テンプレートを学習して、学習済みの本人認証テンプレートをテンプレート記憶部155に記憶する(S130Y、S135)。サンプル一時記憶部130に記憶された把持特徴サンプルの個数Smが、学習開始サンプル数SFmに達していない(Sm<SFm)場合にはスタートに戻り、引き続き把持特徴サンプルを取得する動作を繰り返す(S130N)。本人認証テンプレートは、把持特徴サンプル(実施例では把持圧力分布)の各要素位置での平均値などから求められる。
ステップS120、S205、S210、S160、S165、S170、S215についてはステップS210でティルトポイントPtltの加算を行った後はステップS110aに戻る点を除いて実施例1と同様であるため、説明を割愛して、ステップS220から説明を続ける。しきい値スライダ220は、予め定めたi番目のモードの所定のしきい値ThiからティルトポイントPtltを加減してi番目のモードの修正しきい値Thi_jdgを求める(S220)。次に、前述のモード取得部110が取得したi番目のモードが予め定めたモードである場合に(S110bY)、ロック判定部175はポイントが修正しきい値Thi_jdgをまたいで変化した場合に本人認証が失敗したと判定し(S175aY)、ステップS180に移り端末操作をロックする。ステップS175aでポイントが修正しきい値をまたいで変化しなかった場合はステップS110aに戻る。一方、モード取得部110が取得したi番目のモードが予め定めたモードでない場合に(S110bN)、ロック判定部175はポイントがi番目のモードのしきい値Thiをまたいで変化した場合に本人認証が失敗したと判定し(S175bY)、ステップS180に移り端末操作をロックする。ステップS175bでポイントがしきい値をまたいで変化しなかった場合はステップS110aに戻る。その他の動作は実施例1で説明した動作と全く同じであるため説明を省略する。
図21〜26はそれぞれブラウザ1モード、ブラウザ2モード、メールモード、個人情報閲覧モード、通話モード、アプリモードにおける判別式閾値と誤り率との関係を例示する図である。グラフの横軸は判別式閾値、縦軸は誤り率(本人拒否率または他人受入率)である。太実線のグラフは本人拒否率(FRR)のグラフである。太破線のグラフは他人受入率(FAR)のグラフである。例えば図21のブラウザ1における誤り率のグラフを参照すれば、本人拒否率(FRR)は判別式閾値の増加に伴って小さくなり、判別式閾値が70弱になると0になる。これは、本人認証テンプレートと性能検証用サンプルとの距離の分布においては、70を超える距離を有する性能検証用サンプルが無かったことを意味する、同様に、判別式閾値が73を超えると、他人受入率(FAR)が0から増加を始める。これは、本人認証テンプレートと他人サンプルとの距離の分布においては、73を下回る距離を有する他人サンプルが無かったことを意味する。本人拒否率も他人受け入れ率も共に0である状態が最も望ましいため、ブラウザ1においては判別式閾値の境界値(以下、単に境界値と呼ぶ)を70〜72程度に設定するのが最適であることが分かる。このように、ブラウザ1モードのおいては、境界値を70〜72に設定することで、本人拒否率(FRR)も他人受入率(FAR)も0とすることができる。