WO2012042775A1

WO2012042775A1 - 生体認証システム、通信端末装置、生体認証装置、および生体認証方法

Info

Publication number: WO2012042775A1
Application number: PCT/JP2011/005245
Authority: WO
Inventors: 康朗稲富; 峰村　淳; 充横堀; 伊藤　快; 藤松　健; 学井沼; 玲大塚
Original assignee: パナソニック株式会社
Priority date: 2010-09-30
Filing date: 2011-09-16
Publication date: 2012-04-05
Also published as: EP2624160A4; US20130174243A1; EP2624160A1; US9049191B2; JPWO2012042775A1; EP2624160B1; JP5859953B2

Abstract

　鍵情報と登録時変換テンプレートとが漏洩した場合でも成りすまし攻撃を防止することができる生体認証システム。通信端末装置（３００）は、登録時生体情報の鍵情報ｋと所定の誤り訂正符号群の中からランダムに選択されたマスク値ｃ'との排他的論理和である鍵秘匿情報ｋ'を算出し、送られてきた誤り訂正後情報ｃ''とマスク値ｃ'との排他的論理和である被証明情報ｃ'''を算出する。生体認証装置（５００）は、認証時生体情報と、被認証者の通信端末装置（３００）から取得した鍵秘匿情報ｋ'と、登録時生体情報ｘと鍵情報ｋと誤り訂正符号群の中からランダムに選択された認証パラメータｃとの排他的論理和である登録時変換テンプレートｗとの排他的論理和を誤り訂正後情報ｃ''として算出し、これに対応する被証明情報ｃ'''と認証パラメータｃとの一致の度合いに基づいて生体認証を行う。

Description

生体認証システム、通信端末装置、生体認証装置、および生体認証方法

　本発明は、生体認証を行う被認証者の生体情報と被認証者の所持する通信端末装置とを用いて本人確認を行う生体認証システムと、この生体認証システムにおいて用いられる通信端末装置、生体認証装置、および生体認証方法に関する。

　虹彩、指紋、静脈、声紋等の生体情報を用いて個人認証を行う生体認証システムが、データセンター入退室、ＰＣログイン、銀行取引等の各種用途で利用されつつある。

　生体情報は、身体の固有の特徴であり変更が不可能という性質を持つため、漏洩した場合であっても破棄・更新することができない。そのため、近年、生体情報そのものの漏洩のリスクを抑えて生体認証を行うことができる生体認証技術として、キャンセラブルバイオメトリクスが提案されている。

　一般的なキャンセラブルバイオメトリクスでは、まず、登録時に、登録装置は、登録時変換テンプレートを生成する。具体的には、登録装置は、生体情報の特徴量（ここでは「登録時生体情報」という）を、生体情報の提供者本人（以下「ユーザ」という）が所持する通信端末装置に保持された秘密の鍵情報によって変換して、登録時変換テンプレートを生成する。そして、登録装置は、生成された登録時変換テンプレートを、認証サーバに登録しておく。

　一方、認証時に、生体認証装置は、認証時変換テンプレートを生成する。具体的には、生体認証装置は、生体認証を受けようとする人物から取得された生体情報の特徴量（ここでは「認証時生体情報」という）を、ユーザの通信端末装置から取得した鍵情報によって同様に変換して、認証時変換テンプレートを生成する。そして、生体認証装置は、生成された認証時変換テンプレートを、認証サーバに登録された登録時変換テンプレートと照合する。以下、登録時変換テンプレートおよび認証時変換テンプレートの総称、または、いずれか一方を示す語句として、「変換テンプレート」を用いる。

　これにより、生体認証装置は、変換テンプレート同士の照合により認証を行うことができる。また、認証サーバは、生体情報の特徴量ではなく、変換テンプレートを管理するだけでよい。したがって、キャンセラブルバイオメトリクスによれば、生体情報そのものの漏洩リスクを回避することが可能である。

　ところが、この技術では、登録時変換テンプレートもしくは認証時変換テンプレートが漏洩した場合、いわゆる「成りすまし攻撃」が発生するおそれがある。「成りすまし攻撃」とは、悪意の第三者が変換テンプレートを認証サーバに送信し、ユーザになりすまして認証を成功させることである。

　この問題は、登録時変換テンプレートと認証時変換テンプレートとが非常に類似した情報であることに起因する。これらが類似する理由は以下の通りである。登録時変換テンプレートの基の情報である登録時生体情報と、認証時変換テンプレートの基の情報である認証時生体情報とは、同じユーザから取得される情報であるため、非常に類似する。また、この技術では、同一の変換方法および鍵を用いて、登録時変換テンプレートおよび認証時変換テンプレートが生成される。したがって、登録時変換テンプレートと認証時変換テンプレートとは、非常に類似した情報となる。

　したがって、悪意の第三者は、ユーザが所持する通信端末装置、もしくは通信端末装置内に保持する秘密の鍵情報を取得せずとも、いずれかの変換テンプレートを入手し、生体認証装置に対して入力するだけで認証を成功させることができる。

　そこで、変換テンプレートが漏洩した場合でも成りすまし攻撃の防止を可能にする技術が、例えば特許文献１に記載されている。

　特許文献１記載の技術では、認証時に、生体認証装置は、ランダム値を生成し、このランダム値を秘匿に通信端末装置へ送信する。そして、通信端末装置は、上述の鍵情報をこのランダム値を用いて変換し、生体認証装置へ送信する。生体認証装置は、変換後の鍵情報を用いて認証時生体情報を生成し、上述のランダム値を用いて、認証サーバが保持する登録時変換テンプレートとの照合を行う。これにより、特許文献１記載の技術は、登録時変換テンプレートと認証時変換テンプレートとを異なったものにすることができるので、いずれかの変換テンプレートが漏洩したとしても、成りすまし攻撃を防ぐことができる。

特開２００８－９７４３８号公報

C.P.Schnorr, "Efficient signature generation by smart cards," Journal of Cryptology, 4(3), pp. 161-174, 1991

　しかしながら、特許文献１の技術では、登録時変換テンプレートを管理する認証サーバを、インターネットやクラウド等の、専用ネットワークや専用サーバに比べてセキュリティレベルの低いオープンな環境上で運用する場合、成りすまし攻撃のリスクが高くなる。

　理由は以下の通りである。特許文献１の技術は、登録時生体情報を、通信端末装置に保持された秘密の鍵情報で変換した上で、登録時変換テンプレートとして認証サーバに登録する。したがって、かかる技術をインターネット等のオープンな環境上で運用する場合、複数のコンピュータによる総当り攻撃を用いた不正侵入により、管理する登録時変換テンプレートが不正に取得される可能性がある。更に鍵情報が漏洩した場合、または悪意を持った第三者が不正に鍵情報を取得した場合には、登録時変換テンプレートと鍵情報との両方が揃うことになり、基の登録時生体情報を復元することが容易となる。登録時生体情報が復元されれば、悪意の第三者はユーザ本人に完全に成りすますことができる。すなわち、悪意の第三者が、ユーザ本人に成りすまして認証を通過するおそれがある。

　本発明の目的は、通信端末装置が保持する鍵情報と登録時変換テンプレートとが漏洩した場合でも成りすまし攻撃を防止することができる生体認証システム、通信端末装置、生体認証装置、および生体認証方法を提供することである。

　本発明の生体認証システムは、生体認証を受けるユーザが所持する通信端末装置と、前記生体認証を行う生体認証装置とを含む生体認証システムであって、前記通信端末装置は、前記ユーザの登録時生体情報に対応付けて発行された鍵情報を保持する登録情報格納部と、保持された前記鍵情報と予め定められた誤り訂正符号群の中からランダムに選択された第１の誤り訂正符号との排他的論理和を、鍵秘匿情報として算出する鍵秘匿部と、前記生体認証装置から誤り訂正後情報が送られてきたとき、送られてきた前記誤り訂正後情報と前記第１の誤り訂正符号との排他的論理和を、被証明情報として算出する認証パラメータ抽出部とを有し、前記生体認証装置は、生体認証を受けようとする人物から認証時生体情報を取得する認証時生体情報取得部と、前記人物が所持する通信端末装置から前記鍵秘匿情報を取得する認証情報取得部と、取得された前記認証時生体情報と、取得された前記鍵秘匿情報と、前記登録時生体情報と前記鍵情報と前記誤り訂正符号群の中からランダムに選択された第２の誤り訂正符号との排他的論理和である登録時変換テンプレートと、の排他的論理和から前記誤り訂正後情報を算出する誤り訂正処理部と、算出された前記誤り訂正後情報を前記通信端末装置に対して送り、これに基づいて算出された前記被証明情報と、前記誤り訂正後情報の算出に用いられた前記第２の誤り訂正符号と、の一致の度合いに基づいて、前記生体認証を行う証明処理部とを有する。

　本発明の通信端末装置は、生体認証を受けるユーザが所持する通信端末装置と、前記生体認証を行う生体認証装置とを含む生体認証システムにおいて用いられる前記通信端末装置であって、前記ユーザの登録時生体情報に対応付けて発行された鍵情報を保持する登録情報格納部と、保持された前記鍵情報と予め定められた誤り訂正符号群の中からランダムに選択された第１の誤り訂正符号との排他的論理和を鍵秘匿情報として算出し、算出した前記鍵秘匿情報を前記生体認証装置へ送信する鍵秘匿部と、前記ユーザが前記生体認証を受けようとする際に前記生体認証装置が取得した認証時生体情報と、送信された前記鍵秘匿情報と、前記登録時生体情報と前記鍵情報と前記誤り訂正符号群の中からランダムに選択された第２の誤り訂正符号との排他的論理和である登録時変換テンプレートと、の排他的論理和から算出された誤り訂正後情報を取得し、取得した前記誤り訂正後情報と前記第１の誤り訂正符号との排他的論理和を、被証明情報として算出する認証パラメータ抽出部と、算出された前記被証明情報を秘匿化した情報を、証明用情報として生成し、生成した前記証明用情報を、前記生体認証装置へ送信する証明用情報生成部とを有する。

　本発明の生体認証装置は、生体認証を受けるユーザが所持する通信端末装置と、前記生体認証を行う生体認証装置とを含む生体認証システムにおいて用いられる前記生体認証装置であって、生体認証を受けようとする人物から認証時生体情報を取得する認証時生体情報取得部と、前記人物が所持する通信端末装置から鍵秘匿情報を取得する認証情報取得部と、取得された前記認証時生体情報と、取得された前記鍵秘匿情報と、前記登録時生体情報と前記登録時生体情報に対応付けて発行された鍵情報と誤り訂正符号群の中からランダムに選択された第２の誤り訂正符号との排他的論理和である登録時変換テンプレートと、の排他的論理和から誤り訂正後情報を算出する誤り訂正処理部と、算出された前記誤り訂正後情報を前記通信端末装置に対して送り、これに対して前記通信端末装置が算出した前記被証明情報と、前記登録時変換テンプレートの生成に用いられた前記第２の誤り訂正符号と、の一致の度合いに基づいて、前記生体認証を行う証明処理部とを有する。

　本発明の生体認証方法は、生体認証を受けるユーザが所持する通信端末装置と、前記生体認証を行う生体認証装置とを含む生体認証システムにおいて用いられる生体認証方法であって、前記通信端末装置が、前記ユーザの登録時生体情報に対応付けて発行された鍵情報と、予め定められた誤り訂正符号群の中からランダムに選択された第１の誤り訂正符号と、の排他的論理和を、鍵秘匿情報として算出するステップと、前記生体認証装置が、生体認証を受けようとする人物から認証時生体情報を取得し、前記人物が所持する通信端末装置から前記鍵秘匿情報を取得し、取得された前記認証時生体情報と、取得された前記鍵秘匿情報と、前記登録時生体情報と前記鍵情報と前記誤り訂正符号群の中からランダムに選択された第２の誤り訂正符号との排他的論理和である登録時変換テンプレートと、の排他的論理和から誤り訂正後情報を算出するステップと、前記通信端末装置が、前記生体認証装置から前記誤り訂正後情報が送られてきたとき、送られてきた前記誤り訂正後情報と前記第１の誤り訂正符号との排他的論理和を、被証明情報として算出し、前記被証明情報から算出した証明用情報を前記生体認証装置へ送るステップと、前記生体認証装置が、送られた前記誤り訂正後情報に基づいて算出された前記証明用情報と、前記誤り訂正後情報の算出に用いられた前記第２の誤り訂正符号と、の一致の度合いに基づいて、前記生体認証を行うステップとを有する。

　本発明によれば、通信端末装置が保持する鍵情報と登録時変換テンプレートとが漏洩した場合でも、成りすまし攻撃を防止することができる。

本発明の実施の形態１に係る生体認証システムの構成を示すシステム構成図本実施の形態１に係る生体認証システムにおける生体認証の概要を示す図本実施の形態１における登録装置の構成を示すブロック図本実施の形態１に係る通信端末装置の構成を示すブロック図本実施の形態１における認証情報格納装置の構成を示すブロック図本実施の形態１に係る生体認証装置の構成を示すブロック図本実施の形態１における登録装置の動作を示すフローチャート本実施の形態１に係る通信端末装置の動作を示すフローチャート本実施の形態１に係る生体認証装置の動作を示すフローチャート本発明の実施の形態２に係る生体認証システムにおける生体認証の概要を示す図本実施の形態２に係る通信端末装置の構成を示すブロック図本実施の形態２における認証情報格納装置の構成を示すブロック図本実施の形態２に係る生体認証装置の構成を示すブロック図本実施の形態２に係る通信端末装置の動作を示すフローチャート本実施の形態２に係る生体認証装置の動作を示すフローチャート本発明の実施の形態３に係る生体認証システムにおける生体認証の概要を示す図本実施の形態３に係る通信端末装置の構成を示すブロック図本実施の形態３における認証情報格納装置の構成を示すブロック図本実施の形態３に係る生体認証装置の構成を示すブロック図本実施の形態３に係る通信端末装置の動作を示すフローチャート本実施の形態３に係る生体認証装置の動作を示すフローチャート

　以下、本発明の各実施の形態について、図面を参照して詳細に説明する。

　（実施の形態１）
　まず、本発明の実施の形態１に係る生体認証システムのシステム構成について説明する。

　図１は、本実施の形態に係る生体認証システムの構成を示すシステム構成図である。

　図１において、生体認証システム１００は、登録装置２００、通信端末装置３００、認証情報格納装置４００、および生体認証装置５００を有する。

　登録装置２００は、登録段階において、生体認証を受けるユーザから登録時生体情報ｘを取得する毎に、鍵情報ｋを発行する。また、この際、登録装置２００は、予め定められた誤り訂正符号群のうちの１つを、認証パラメータ（第２の誤り訂正符号）ｃとしてランダムに選択する。

　生体情報は、例えば、虹彩、指紋、静脈、声紋、顔等の特徴量である。本実施の形態では、生体情報として虹彩を用いる場合を例として説明する。等の特徴量であり、本実施の形態においては虹彩の特徴量とする。

　登録装置２００は、登録時生体情報ｘと鍵情報ｋと認証パラメータｃとの排他的論理和を、登録時変換テンプレートｗとして算出する。更に、登録装置２００は、認証パラメータｃを秘匿化した情報である公開鍵情報Ｗを生成する。その後、認証パラメータｃは削除され、登録時変換テンプレートｗおよび公開鍵情報Ｗ（認証情報）が認証情報格納装置４００に登録される。

　通信端末装置３００は、登録装置２００および生体認証装置５００との間で無線または有線により通信可能な装置であり、例えば、ユーザが所持する携帯電話機である。通信端末装置３００は、登録段階において、そのユーザの登録時生体情報ｘに対応付けて発行された鍵情報ｋを取得し、これを保持する。そして、通信端末装置３００は、認証前の段階または認証段階において、予め定められた誤り訂正符号群うちの１つをマスク値（第１の誤り訂正符号）ｃ'としてランダムに選択する。そして、通信端末装置３００は、鍵情報ｋとマスク値ｃ'との排他的論理和を、鍵秘匿情報ｋ'として算出する。

　また、通信端末装置３００は、認証段階において、生体認証装置５００から後述の誤り訂正後情報が送られてきた場合に、その誤り訂正後情報と前マスク値ｃ'との排他的論理和を、被証明情報ｃ'''として算出する。そして、通信端末装置３００は、算出された被証明情報ｃ'''を秘匿化した情報を、証明用情報Ｙ、ｚとして、生体認証装置５００へ送信する。

　認証情報格納装置４００は、登録装置２００および生体認証装置５００との間で無線または有線により通信可能な装置であり、例えば、銀行システムのネットワーク上に配置されたサーバである。認証情報格納装置４００は、登録段階において生成された登録時変換テンプレートｗおよび公開鍵情報Ｗを格納し、これらを認証段階まで保持する。

　生体認証装置５００は、ユーザに対して、ユーザの生体情報に基づいて個人認証（登録された本人であるかどうかの確認）を行う装置であり、例えば銀行のＡＴＭ（Automated　Teller　Machine）である。生体認証装置５００は、認証段階において、生体認証を受けようとする人物（以下「被認証者」という）から認証時生体情報ｘ'を取得する毎に、その被認証者が所持する通信端末装置から鍵秘匿情報ｋ'を取得する。なお、鍵秘匿情報ｋ'を取得する相手には、本発明に係る通信端末装置３００ではないもの（例えば悪意の第三者の所持する通信端末装置）も含まれ得る。

　生体認証装置５００は、認証時生体情報ｘ'と、鍵秘匿情報ｋ'と、認証情報格納装置４００に保持された登録時変換テンプレートｗとの排他的論理和から、上述の誤り訂正後情報ｃ''を算出し、被認証者が所持する通信端末装置へ送信する。そして、生体認証装置５００は、通信端末装置から返信されてきた上述の証明用情報Ｙ、ｚと上述の公開鍵情報Ｗとに基づいて、上述の被証明情報ｃ'''と認証パラメータｃとの一致を判定する。

　登録時生体情報と認証時生体情報とが非常に似た情報である場合、被証明情報ｃ'''と認証パラメータｃとは一致する。したがって、このような生体認証システム１００は、被証明情報ｃ'''と認証パラメータｃとの一致から、登録時生体情報と認証時生体情報との一致の度合いを判定することができる。このため、生体認証システム１００は、登録時変換テンプレートｗだけでなく、通信端末装置３００が保持する鍵情報ｋが更に漏洩した場合でも、悪意の第三者には認証パラメータｃが取得されないようにすることができる。また、生体認証システム１００は、登録時変換テンプレートｗと鍵情報ｋとから登録時生体情報の復元ができないようにすることができる。したがって、生体認証システム１００は、成りすまし攻撃を防止することができる。

　ここで、生体認証システム１００における生体認証の概要について説明する。

　図２は、生体認証システム１００における生体認証の概要を示す図である。

　図２に示すように、まず、登録段階において、ユーザ６１０は、登録装置２００に接続されたカメラ６２０を覗き込み、瞳の虹彩を撮影する。カメラ６２０は、つまり、虹彩を取得するための生体センサである。登録装置２００は、撮影された画像のデータを、登録時生体情報ｘとしてカメラ６２０から入力すると、認証パラメータｃとして、予め定められた誤り訂正符号群Ｃから１つの符号語を、ランダムに選択する。これは、例えば、以下の式（１）で表される。また、登録装置２００は、鍵情報ｋを発行し、通信端末装置３００に保持させる。更に、登録装置２００は、認証パラメータｃを用いて、登録時変換テンプレートｗおよび公開鍵情報Ｗをそれぞれ算出する。これは、例えば、以下の式（２）および式（３）で表される。なお、記号ｇは、所定の乗法群の生成元を示す。また、式（３）中のｉ（ｃ）は、認証パラメータｃに対応する整数値である。

　なお、登録する生体情報が指紋である場合には、カメラ６２０の代わりに指紋センサ（図示せず）を用い、登録する生体情報が静脈の場合には、カメラ６２０の代わりに静脈センサ（図示せず）を用いる。また、登録する生体情報が声紋である場合には、カメラ６２０の代わりにマイクを具備する声紋分析装置（図示せず）を用いる。この場合、各センサ、分析装置は取得したデータから特徴量を抽出し、登録時生体情報ｘとして登録装置２００へ入力する。

　算出された登録時変換テンプレートｗおよび公開鍵情報Ｗは、認証情報格納装置４００に保持され、適宜、生体認証装置５００によって読み出される。

　そして、認証の前の段階または認証段階において、通信端末装置３００は、以下の式（４）で表されるように、端末側ランダム値（第２のランダム値）ａを選択する。そして、通信端末装置３００は、端末側ランダム値ａを用いて、以下の式（５）で表されるように、第１の証明用情報Ｙを算出する。

　また、通信端末装置３００は、以下の式（６）で表されるように、マスク値ｃ'として、予め定められた誤り訂正符号群Ｃから１つの符号語を、ランダムに選択する。また、通信端末装置３００は、マスク値ｃ’を用いて、以下の式（７）で表されるように、鍵情報ｋを秘匿化した鍵秘匿情報ｋ'を算出する。

　そして、認証段階において、ユーザ６１０は、生体認証装置５００に接続されたカメラ６３０を覗き込み、瞳の虹彩を撮影する。カメラ６３０は、つまり、虹彩を取得するための生体センサである。また、通信端末装置３００は、鍵秘匿情報ｋ'と第１の証明用情報Ｙとを、生体認証装置５００へ送信する。生体認証装置５００は、カメラ６３０から撮影画像のデータを認証時生体情報ｘ'として入力し、鍵秘匿情報ｋ'を受信すると、ユーザ６１０に対応する登録時変換テンプレートｗおよび公開鍵情報Ｗを、認証情報格納装置４００から取得する。そして、生体認証装置５００は、認証時生体情報ｘ'と鍵秘匿情報ｋ'と登録時変換テンプレートｗとの排他的論理和に対して誤り訂正処理を行い、誤り訂正後情報ｃ''を算出する。これは、例えば、以下の式（８）で表される。ここで、式（８）中の「Ｄｅｃｏｄｅ」は、誤り訂正符号群Ｃに付随する復号アルゴリズムである。

　なお、認証に用いる生体情報が指紋である場合には、カメラ６３０の代わりに指紋センサ（図示せず）を用い、認証に用いる生体情報が静脈の場合には、カメラ６３０の代わりに静脈センサ（図示せず）を用いる。また、認証に用いる生体情報が声紋である場合には、カメラ６３０の代わりにマイクを具備する声紋分析装置（図示せず）を用いる。この場合、各センサ、分析装置は取得したデータから特徴量を抽出し、認証時生体情報ｘ’として生体認証装置５００へ入力する。

　そして、生体認証装置５００は、以下の式（９）で表されるように、装置側ランダム値（第１のランダム値）ｂを選択する。そして、生体認証装置５００は、装置側ランダム値ｂおよび誤り訂正後情報ｃ''を、通信端末装置３００へ送信する。

　通信端末装置３００は、装置側ランダム値ｂおよび誤り訂正後情報ｃ''を受信すると、以下の式（１０）で表されるように、被証明情報ｃ'''を算出する。そして、通信端末装置３００は、被証明情報ｃ'''および装置側ランダム値ｂを用いて、以下の式（１１）で表されるように、第２の証明用情報ｚを算出する。そして、通信端末装置３００は、第２の証明用情報ｚを、生体認証装置５００へ送信する。

　生体認証装置５００は、受信した第１の証明用情報Ｙおよび第２の証明用情報ｚを用いて、以下の式（１２）が成立するか否かを判定することにより、認証時生体情報が登録時生体情報と類似するか否かを判定する。この式（１２）は、非特許文献１で提案されたゼロ知識証明を基盤とした認証プロトコルにおける論理式である。

　そして、生体認証装置５００は、生体認証結果を利用する作動装置６４０（例えばＡＴＭの機能部）に対し、情報が一致すると判定した場合には受理（Accept）を示す情報を出力する。また、生体認証装置５００は、情報が一致しないと判定した場合には拒絶（Reject）を示す情報を出力しても良い。

　登録時生体情報ｘと認証時生体情報ｘ'との間には、通常、検出誤差が存在する。したがって、認証時生体情報ｘ'を以下の式（１３）のように検出誤差ｅを用いて表すことができるとすると、上述の誤り訂正後情報ｃ''は以下の式（１４）のように表すことができる。

　ところが、検出誤差ｅは、登録時生体情報ｘと鍵秘匿情報ｋ'と登録時変換テンプレートｗとの排他的論理和に対して非常に小さいため、誤り訂正処理によりｅを排除することができる。したがって、ユーザ本人による生体認証が行われている場合には、上述の式（１０）は、以下の式（１５）のように変形される。

　すなわち、ユーザ本人による生体認証においては、被証明情報ｃ'''は認証パラメータｃと一致する。そして、この場合、上述の式（１２）は、以下の式（１６）のように変形され、必ず成り立つことになる。したがって、生体認証システム１００は、式（１２）が成り立つか否かによって、生体認証を正しく行うことができる。

　このような生体認証によれば、登録時変換テンプレートｗと鍵情報ｋの両方が万が一漏洩した場合でも、認証パラメータｃを取得しなければ、基の登録時生体情報ｘを復元することはできない。また、被証明情報ｃ'''は秘匿されるので、認証パラメータｃが漏洩する危険性は非常に低い。したがって、生体認証システム１００は、登録時変換テンプレートｗと鍵情報ｋとが漏洩した場合でも成りすまし攻撃を防ぐことができる。

　次に、各装置の構成について説明する。なお、以下の各装置のブロック図において、説明の簡便化のため、情報の流れを示す記号や他の装置を記載している。

　まず、登録装置２００の構成について説明する。

　図３は、登録装置２００の構成を示すブロック図である。

　図３において、登録装置２００は、登録時生体情報取得部２１０、ＩＤ発行部２２０、鍵発行部２３０、認証パラメータ生成部２４０、認証情報生成部２５０、および登録部２６０を有する。

　登録時生体情報取得部２１０は、登録時に、生体センサ（例えば図２のカメラ６２０）を介して、ユーザから登録時生体情報ｘを取得し、認証パラメータ生成部２４０へ出力する。また、登録時生体情報取得部２１０は、登録時生体情報ｘを認証パラメータ生成部２４０へ出力する毎に、情報発行の指示を、ＩＤ発行部２２０および鍵発行部２３０へ出力する。

　ＩＤ発行部２２０は、情報発行の指示を入力される毎に、ユーザ毎に一意となるＩＤ情報ｉｄを発行し、登録部２６０へ出力する。

　鍵発行部２３０は、情報発行の指示を入力される毎に、鍵情報ｋを生成して発行し、登録部２６０および認証情報生成部２５０へ出力する。鍵情報ｋは、例えば、一定の長さの乱数である。

　認証パラメータ生成部２４０は、登録時生体情報ｘを入力される毎に、認証パラメータｃを生成し（式（１）参照）、認証パラメータｃおよび登録時生体情報ｘを認証情報生成部２５０へ出力する。

　認証情報生成部２５０は、登録時生体情報ｘと、これに対応する鍵情報ｋおよび認証パラメータｃとを入力されると、登録時変換テンプレートｗおよび公開鍵情報Ｗを生成する（式（２）および式（３）参照）。そして、認証情報生成部２５０は、登録時変換テンプレートｗおよび公開鍵情報Ｗを、登録部２６０へ出力する。

　登録部２６０は、ユーザの通信端末装置３００と登録時にのみ接続し、認証情報格納装置４００と常時接続する。登録部２６０は、登録時変換テンプレートｗと、これに対応するＩＤ情報ｉｄ、鍵情報ｋ、および公開鍵情報Ｗとを入力されると、まず、ＩＤ情報ｉｄおよび鍵情報ｋを、通信端末装置３００へ送信する。そして、登録部２６０は、ＩＤ情報ｉｄと登録時変換テンプレートｗと公開鍵情報Ｗとを組にして、認証情報格納装置４００へ送信する。

　このような登録装置２００は、登録時生体情報ｘを取得し、鍵情報ｋを通信端末装置３００へ登録し、登録時変換テンプレートｗおよび公開鍵情報Ｗを認証情報格納装置４００へ登録することができる。

　次に、通信端末装置３００の構成について説明する。

　図４は、通信端末装置３００の構成を示すブロック図である。

　図４において、通信端末装置３００は、登録情報格納部３１０、マスク値生成部３２０、鍵秘匿部３３０、認証パラメータ抽出部３４０、およびゼロ知識証明部３５０を有する。

　登録情報格納部３１０は、登録装置２００と登録時にのみ接続し、登録装置２００からＩＤ情報ｉｄおよび鍵情報ｋを受信すると、これらを保持する。

　マスク値生成部３２０は、マスク値ｃ'を生成し（式（６）参照）、鍵秘匿部３３０へ出力する。マスク値ｃ'の生成および出力は、例えば、認証時に生体認証装置５００によって入力される指示をトリガとして行われる。

　鍵秘匿部３３０は、認証時にのみ生体認証装置５００に接続する。鍵秘匿部３３０は、マスク値ｃ'を入力される毎に、ＩＤ情報ｉｄおよび鍵情報ｋを登録情報格納部３１０から読み出し、鍵秘匿情報ｋ'を生成する（式（７）参照）。そして、鍵秘匿部３３０は、ＩＤ情報ｉｄおよび鍵秘匿情報ｋ'を生体認証装置５００へ送信し、マスク値ｃ'を認証パラメータ抽出部３４０へ出力する。

　認証パラメータ抽出部３４０は、認証時にのみ生体認証装置５００に接続する。鍵秘匿部３３０は、生体認証装置５００から誤り訂正後情報ｃ''および装置側ランダム値ｂを受信すると、入力されたマスク値ｃ'を用いて、被証明情報ｃ'''を生成する（式（１０）参照）。そして、認証パラメータ抽出部３４０は、装置側ランダム値ｂおよび被証明情報ｃ'''を、ゼロ知識証明部３５０へ出力する。

　ゼロ知識証明部３５０は、認証時にのみ生体認証装置５００に接続する。ゼロ知識証明部３５０は、端末側ランダム値ａを選択し（式（４）参照）、第１の証明用情報Ｙを算出して（式（５）参照）、算出された第１の証明用情報Ｙを生体認証装置５００へ送信する。また、ゼロ知識証明部３５０は、装置側ランダム値ｂおよび被証明情報ｃ'''を入力されると、第２の証明用情報ｚを算出し（式（１１）参照）、算出された第２の証明用情報ｚを生体認証装置５００へ送信する。

　このような通信端末装置３００は、登録されたＩＤ情報ｉｄおよび鍵情報ｋを保持しておくことができる。そして、通信端末装置３００は、生体認証時に、マスク値ｃ'により秘匿化した鍵秘匿情報ｋ'と、ＩＤ情報ｉｄと、第１の証明用情報Ｙとを、生体認証装置５００へ送信することができる。また、通信端末装置３００は、誤り訂正後情報ｃ''および装置側ランダム値ｂを受信し、これに基づいて第２の証明用情報ｚを生成して返信することができる。

　次に、認証情報格納装置４００の構成について説明する。

　図５は、認証情報格納装置４００の構成を示すブロック図である。

　図５において、認証情報格納装置４００は、認証情報格納部４１０および検索部４２０を有する。

　認証情報格納部４１０は、登録装置２００と常時接続する。認証情報格納部４１０は、登録装置２００からＩＤ情報ｉｄと登録時変換テンプレートｗと公開鍵情報Ｗとの組を受信すると、これを保持する。

　検索部４２０は、生体認証装置５００と常時接続する。検索部４２０は、生体認証装置５００からＩＤ情報ｉｄを指定される毎に、指定されたＩＤ情報ｉｄと組となっている登録時変換テンプレートｗおよび公開鍵情報Ｗを検索し、生体認証装置５００へ返信する。

　このような認証情報格納装置４００は、生体認証装置５００から常時読み出し可能な状態で、登録されたＩＤ情報ｉｄと登録時変換テンプレートｗと公開鍵情報Ｗとの組を保持することができる。

　次に、生体認証装置５００の構成について説明する。

　図６は、生体認証装置５００の構成を示すブロック図である。

　図６において、生体認証装置５００は、認証時生体情報取得部５１０、認証情報取得部５２０、誤り訂正処理部５３０、およびゼロ知識証明処理部５４０を有する。

　認証時生体情報取得部５１０は、認証時に、生体センサ（例えば図２のカメラ６３０）を介して、被認証者から認証時生体情報ｘ'を取得し、認証情報取得部５２０へ出力する。

　認証情報取得部５２０は、認証情報格納装置４００と常時接続し、被認証者の通信端末装置と認証時にのみ接続する。なお、この通信端末装置は、本発明に係る通信端末装置３００ではないものを含むが、ここでは、説明の簡便化のため、通信端末装置３００と接続しているものとする。認証情報取得部５２０は、認証時に、通信端末装置からＩＤ情報ｉｄおよび鍵秘匿情報ｋ'を受信し、認証時生体情報ｘ'を入力されると、認証情報格納装置４００に対して登録時変換テンプレートｗおよび公開鍵情報Ｗを要求する。この要求は、認証情報格納装置４００に対し、受信したＩＤ情報ｉｄを送信してこれを指定することにより行われる。認証情報取得部５２０は、登録時変換テンプレートｗおよび公開鍵情報Ｗを受信すると、認証時生体情報ｘ'、登録時変換テンプレートｗ、公開鍵情報Ｗ、および鍵秘匿情報ｋ'を、誤り訂正処理部５３０へ出力する。

　誤り訂正処理部５３０は、認証時生体情報ｘ'、登録時変換テンプレートｗ、公開鍵情報Ｗ、および鍵秘匿情報ｋ'を入力されると、誤り訂正後情報ｃ''を生成し（式（８）参照）、ゼロ知識証明処理部５４０へ出力する。

　ゼロ知識証明処理部５４０は、通信端末装置３００と認証時にのみ接続する。ゼロ知識証明処理部５４０は、誤り訂正後情報ｃ''を入力されると、端末側ランダム値ｂを選択し（式（９）参照）、誤り訂正後情報ｃ''および端末側ランダム値ｂを通信端末装置３００へ送信する。そして、ゼロ知識証明処理部５４０は、通信端末装置３００から第１の証明用情報Ｙおよび第２の証明用情報ｚを受信すると、ゼロ知識証明により、認証の成否を判定する（式（１２）参照）。

　このような生体認証装置５００は、被認証者から認証時生体情報ｘ'を取得することができる。そして、生体認証装置５００は、対応する鍵秘匿情報ｋ'、登録時変換テンプレートｗ、および公開鍵情報Ｗを取得して、誤り訂正後情報ｃ''を生成し、通信端末装置３００へ送信することができる。また、生体認証装置５００は、同様に送信した装置側ランダム値ｂを用いて、通信端末装置３００から受信した第１の証明用情報Ｙおよび第２の証明用情報ｚに基づいて、生体認証を行うことができる。

　なお、以上の登録装置２００、通信端末装置３００、認証情報格納装置４００、および生体認証装置５００は、図示しないが、例えば、ＣＰＵ（central processing unit）及びＲＡＭ（random access memory）等の記憶媒体をそれぞれ有する。この場合、上述の各機能部は、各ＣＰＵが制御プログラムを実行することにより実現される。

　次に、各装置の動作について説明する。

　まず、登録装置２００の動作について説明する。

　図７は、登録装置２００の動作を示すフローチャートである。

　まず、Ｓ１１００において、登録時生体情報取得部２１０は、新たに登録時生体情報ｘを入力されたか否か、つまり、登録が開始されたか否かを判断する。登録時生体情報取得部２１０は、登録時生体情報ｘを入力されていない場合には（Ｓ１１００：ＮＯ）、ステップＳ１２００へ進む。また、登録時生体情報取得部２１０は、登録時生体情報ｘを入力された場合には（Ｓ１１００：ＹＥＳ）、ステップＳ１３００へ進む。

　ステップＳ１３００において、ＩＤ発行部２２０は、ＩＤ情報ｉｄを発行する。

　そして、ステップＳ１４００において、鍵発行部２３０は、鍵情報ｋを発行する。

　そして、ステップＳ１５００において、認証パラメータ生成部２４０は、認証パラメータｃを生成する（式（１）参照）。

　そして、ステップＳ１６００において、認証情報生成部２５０は、鍵情報ｋ、認証パラメータｃ、および登録時生体情報から、登録時変換テンプレートｗおよび公開鍵情報Ｗを生成する（式（２）および式（３）参照）。また、認証情報生成部２５０は、登録時変換テンプレートｗおよび公開鍵情報Ｗを生成すると、基の認証パラメータｃを登録装置２００の全ての記憶媒体から削除する。

　そして、ステップＳ１７００において、登録部２６０は、ＩＤ情報ｉｄおよび鍵情報ｋを、通信端末装置３００へ送信する。

　また、ステップＳ１８００において、登録部２６０は、ＩＤ情報ｉｄ、登録時変換テンプレートｗ、および公開鍵情報Ｗの組を、認証情報格納装置４００へ送信して、ステップＳ１２００へ進む。

　ステップＳ１２００において、登録時生体情報取得部２１０は、ユーザ操作等により処理の終了を指示されたか否か判断する。登録時生体情報取得部２１０は、処理の終了を指示されていない場合には（Ｓ１２００：ＮＯ）、ステップＳ１１００へ戻る。また、登録時生体情報取得部２１０は、処理の終了を指示された場合には（Ｓ１２００：ＹＥＳ）、一連の処理を終了する。

　このような動作により、登録装置２００は、登録が行われる毎に、鍵情報ｋを発行して通信端末装置３００に登録し、登録時変換テンプレートｗおよび公開鍵情報Ｗを生成して認証情報格納装置４００に登録することができる。

　次に、通信端末装置３００の動作について説明する。

　図８は、通信端末装置３００の動作を示すフローチャートである。

　まず、ステップＳ２１００において、登録情報格納部３１０は、登録装置２００からＩＤ情報ｉｄおよび鍵情報ｋを受信したか否かを判断する。登録情報格納部３１０は、ＩＤ情報ｉｄおよび鍵情報ｋを受信していない場合には（Ｓ２１００：ＮＯ）、ステップＳ２２００へ進む。また、登録情報格納部３１０は、ＩＤ情報ｉｄおよび鍵情報ｋを受信した場合には（Ｓ２１００：ＹＥＳ）、ステップＳ２３００へ進む。

　ステップＳ２３００において、登録情報格納部３１０は、受信したＩＤ情報ｉｄおよび鍵情報ｋを格納し、保持して、ステップＳ２２００へ進む。

　ステップＳ２２００において、マスク値生成部３２０は、認証が開始されたか否かを判断する。この判断は、上述の通り、例えば、所定のユーザ操作が行われたか否かを判断することにより行われる。マスク値生成部３２０は、認証が開始されていない場合には（Ｓ２２００：ＮＯ）、ステップＳ２４００へ進む。また、マスク値生成部３２０は、認証が開始された場合には（Ｓ２２００：ＹＥＳ）、ステップＳ２５００へ進む。

　ステップＳ２５００において、マスク値生成部３２０は、マスク値ｃ'を生成する（式（６）参照）。

　そして、ステップＳ２６００において、鍵秘匿部３３０は、マスク値ｃ'および鍵情報から鍵秘匿情報ｋ'を生成し（式（７）参照）、ＩＤ情報ｉｄおよび鍵秘匿情報ｋ'を生体認証装置５００へ送信する。また、ゼロ知識証明部３５０は、端末側ランダム値ａを選択し（式（４）参照）、端末ランダム値ａから、第１の証明用情報Ｙを生成する（式（５））。ゼロ知識証明部３５０は、例えば、ＩＤ情報ｉｄおよび鍵秘匿情報ｋ'が送信される毎に、端末側ランダム値ａを選択して第１の証明用情報Ｙを生体認証装置５００へ送信する。

　そして、ステップＳ２７００において、認証パラメータ抽出部３４０は、生体認証装置５００から誤り訂正後情報ｃ''および装置側ランダム値ｂを受信する。そして、認証パラメータ抽出部３４０は、マスク値ｃ'および誤り訂正後情報ｃ''から、被証明情報ｃ'''を生成する（式（１０）参照）。

　そして、ステップＳ２８００において、ゼロ知識証明部３５０は、端末ランダム値ａ、装置ランダム値ｂ、および被証明情報ｃ'''から、第２の証明用情報ｚを生成する（式（１１）参照）。そして、ゼロ知識証明部３５０は、第２の証明用情報ｚを、生体認証装置５００へ送信して、ステップＳ２４００へ進む。

　ステップＳ２４００において、マスク値生成部３２０は、ユーザ操作等により処理の終了を指示されたか否か判断する。マスク値生成部３２０は、処理の終了を指示されていない場合には（Ｓ２４００：ＮＯ）、ステップＳ２２００へ戻る。また、マスク値生成部３２０は、処理の終了を指示された場合には（Ｓ２４００：ＹＥＳ）、一連の処理を終了する。

　このような動作により、通信端末装置３００は、認証が行われる毎に、毎回異なる鍵秘匿情報ｋ'および第１の証明用情報Ｙを生体認証装置５００へ送信することができる。そして、通信端末装置３００は、鍵秘匿情報ｋ'の生成に用いたマスク値ｃ'と、生体認証装置５００から送られてきた誤り訂正後情報ｃ''とを用いて、被証明情報ｃ'''を生成することができる。そして、通信端末装置３００は、生体認証装置５００から送られてきた装置側ランダム値ｂと、通信端末装置３００のみが知る端末側ランダム値ａとを用いて、被証明情報ｃ'''を秘匿化し第２の証明用情報ｚを返送することができる。

　次に、認証情報格納装置４００の動作について説明する。

　認証情報格納部４１０は、登録装置２００からＩＤ情報ｉｄ、登録時変換テンプレートｗ、および公開鍵情報Ｗの組を受信する毎に、これを格納し、以降保持する。また、これと並行して、検索部４２０は、生体認証装置５００からＩＤ情報ｉｄを指定される毎に、指定されたＩＤ情報ｉｄと組となっている登録時変換テンプレートｗおよび公開鍵情報Ｗを検索し、生体認証装置５００へ返信する。このような動作により、認証情報格納装置４００は、登録されたＩＤ情報ｉｄ、登録時変換テンプレートｗ、および公開鍵情報Ｗの組を保持しておくことができる。そして、認証情報格納装置４００は、生体認証装置５００からの要求に応じて、登録時変換テンプレートｗおよび公開鍵情報Ｗを返送することができる。

　次に、生体認証装置５００の動作について説明する。

　図９は、生体認証装置５００の動作を示すフローチャートである。

　まず、ステップＳ３１００において、認証時生体情報取得部５１０は、新たに認証時生体情報ｘ'を入力されたか否か、つまり、認証が開始されたか否かを判断する。認証時生体情報取得部５１０は、認証時生体情報ｘ'を入力されていない場合には（Ｓ３１００：ＮＯ）、ステップＳ３２００へ進む。また、認証時生体情報取得部５１０は、認証時生体情報ｘ'を入力された場合には（Ｓ３１００：ＹＥＳ）、ステップＳ３３００へ進む。

　ステップＳ３３００において、認証情報取得部５２０は、被認証者の通信端末装置３００から、ＩＤ情報ｉｄ、鍵秘匿情報ｋ'、および第１の証明用情報Ｙを受信し、ＩＤ情報ｉｄを認証情報格納装置４００へ転送する。

　そして、ステップＳ３４００において、認証情報取得部５２０は、ＩＤ情報ｉｄに対応する登録時変換テンプレートｗおよび公開鍵情報Ｗを、認証情報格納装置４００から取得する。

　そして、ステップＳ３５００において、誤り訂正処理部５３０は、認証時生体情報ｘ'、鍵秘匿情報ｋ'、および登録時変換テンプレートｗから、誤り訂正後情報ｃ''を生成する（式（８）参照）。

　そして、ステップＳ３６００において、ゼロ知識証明処理部５４０は、装置側ランダム値ｂを選択し（式（９）参照）、誤り訂正後情報ｃ''および装置側ランダム値ｂを通信端末装置３００へ送信する。

　そして、ステップＳ３７００において、ゼロ知識証明処理部５４０は、通信端末装置３００から第２の証明用情報ｚを受信し、これからゼロ知識証明プロトコルにおける論理式を生成する（式（１２）参照）。

　そして、ステップＳ３８００において、ゼロ知識証明処理部５４０は、論理式が成り立つ否かに基づいて、認証が成功したか否かを判断する。ゼロ知識証明処理部５４０は、認証が成功した場合には（Ｓ３８００：ＹＥＳ）、ステップＳ３９００へ進む。また、ゼロ知識証明処理部５４０は、認証が失敗した場合には（Ｓ３８００：ＮＯ）、そのままステップＳ３２００へ進む。

　ステップＳ３９００において、ゼロ知識証明処理部５４０は、例えば図２に示す作動装置６４０に受理を示す情報を出力する等、認証が成功した場合の所定の処理を行い、ステップＳ３２００へ進む。

　ステップＳ３２００において、認証時生体情報取得部５１０は、ユーザ操作等により処理の終了を指示されたか否か判断する。認証時生体情報取得部５１０は、処理の終了を指示されていない場合には（Ｓ３２００：ＮＯ）、ステップＳ３１００へ戻る。また、認証時生体情報取得部５１０は、処理の終了を指示された場合には（Ｓ３２００：ＹＥＳ）、一連の処理を終了する。

　このような動作により、生体認証装置５００は、認証が行われる毎に、認証時生体情報を取得し、通信端末装置３００から鍵秘匿情報ｋ'を取得し、対応する登録時変換テンプレートｗおよび公開鍵情報Ｗを取得することができる。そして、生体認証装置５００は、誤り訂正後情報ｃ''および装置側ランダム値ｂを通信端末装置３００へ送信することができる。更に、生体認証装置５００は、先に受信した第１の証明用情報Ｙと、返送された被証明情報ｃ'''を秘匿化した第２の証明用情報ｚとに基づいて、認証の成否を判定することができる。

　以上のように、本実施の形態に係る生体認証システム１００は、通信端末装置３００内に登録時に用いた認証パラメータｃが被証明情報ｃ'''として復元され、正しい認証パラメータｃが復元されたか否かに基づいて認証を行う。また、生体認証システム１００は、登録を行ったユーザの認証時生体情報と、登録時に発行された通信端末装置３００との２つが揃った場合にのみ、通信端末装置３００内に登録時に用いた認証パラメータｃが被証明情報ｃ'''として復元される構成となっている。すなわち、生体認証システム１００において、悪意の第３者が認証パラメータｃを取得することは困難である。したがって、生体認証システム１００は、登録時変換テンプレートｗと鍵情報ｋとの両方が漏洩した場合でも、登録時生体情報ｘを復元することを不可能にすることができるため、成りすまし攻撃を防止することができる。

　また、生体認証システム１００は、認証時に、被認証者が正当なユーザである場合に、その通信端末装置３００内にのみ認証パラメータｃが復元されることにあるため、正当なユーザと通信端末装置３００との２つがそろった場合にのみ、認証を成功とすることができる。

　また、生体認証システム１００は、生体情報の特徴量の漏洩リスクや、成りすましによる不正な認証通過のリスクを軽減することができるため、認証情報を管理する認証情報格納装置４００をオープンな環境で運用する事が可能となる。例えば、認証情報格納装置４００は、第三者がサービスとして提供するサーバ装置の形態を取ることができる。このことは、クラウド型のサーバでの実施が可能となることを示し、物理的、地理的束縛から自由になる上、低コストでの運用が可能となることを示す。また、生体認証装置５００を堅牢に守る必要性が低減し、生体認証装置５００を不特定多数の人間に晒される衆人環境に設置可能となること、更には、家電のようなコンシューマ機器でも実装可能となることを示す。

　（実施の形態２）
　本発明の実施の形態２は、端末側ランダム値ａを生体認証装置側へ送信し、生体認証装置側で第１の証明用情報Ｙを算出するようにした例である。

　まず、本実施の形態に係る生体認証システムにおける生体認証の概要について説明する。

　図１０は、本実施の形態に係る生体認証システムにおける生体認証の概要を示す図であり、実施の形態１の図２に対応するものである。

　図１０に示すように、本実施の形態に係る生体認証システム１００ａは、実施の形態１とは異なる通信端末装置３００ａ、認証情報格納装置４００ａ、および生体認証装置５００ａを有する。なお、各装置の配置は、実施の形態１と同様である。

　通信端末装置３００ａおよび認証情報格納装置４００ａは、予め、暗号鍵Ｋを保持している。通信端末装置３００ａは、暗号鍵Ｋを用いて、以下の式（１７）で表されるように、端末側ランダム値ａを暗号化したランダム値暗号化情報Ｅ（ａ）を算出する。そして、通信端末装置３００ａは、算出したランダム値暗号化情報Ｅ（ａ）を、生体認証装置５００ａを介して認証情報格納装置４００ａへ送信する。ここで、ＡＥＳ（ａ｜Ｋ）は、暗号化アルゴリズムＡＥＳおよび暗号鍵Ｋによるランダム値ａの暗号化を表す。

　認証情報格納装置４００ａは、暗号鍵Ｋを用いて、以下の式（１８）で表されるように、ランダム値暗号化情報Ｅ（ａ）から基の端末側ランダム値ａを復号する。そして、認証情報格納装置４００ａは、復号した端末側ランダム値ａから、第１の証明用情報Ｙを算出して（式（５）参照）、生体認証装置５００ａへ送信する。ここで、ＤＥＣ（Ｅ（ａ）｜Ｋ）は、復号アルゴリズムＤＥＣおよび暗号鍵Ｋによるランダム値暗号化情報Ｅ（ａ）の復号結果を表す。

　以降の処理は、実施の形態１と同様である。したがって、本実施の形態に係る生体認証システム１００ａも、登録時変換テンプレートｗと鍵情報ｋとが漏洩した場合でも、成りすまし攻撃が成功する可能性を低減することができる。また、第１の証明用情報Ｙの算出を生体認証装置側（本実施例では認証情報格納装置４００ａ）にて行うようにしたことにより、通信端末装置３００が処理速度の遅い低リソースな端末である場合にも本発明が適用可能となる。

　次に、各装置の構成のうち、実施の形態１と異なる部分について説明する。

　まず、通信端末装置３００ａの構成について説明する。

　図１１は、通信端末装置３００ａの構成を示すブロック図であり、実施の形態１の図４に対応するものである。図４と同一部分には同一符号を付し、これについての説明を省略する。

　図１１に示すように、通信端末装置３００ａは、新たに乱数生成部３６０ａを有し、実施の形態１の鍵秘匿部およびゼロ知識証明部とは異なる鍵秘匿部３３０ａおよびゼロ知識証明部３５０ａを有する。

　乱数生成部３６０ａは、端末側ランダム値ａを選択し（式（４）参照）、暗号鍵Ｋを用いてランダム値暗号化情報Ｅ（ａ）を算出する（式（１７）参照）する。そして、乱数生成部３６０ａは、ランダム値暗号化情報Ｅ（ａ）を鍵秘匿部３３０ａへ出力し、端末側ランダム値ａをゼロ知識証明部３５０ａへ出力する。

　鍵秘匿部３３０ａは、認証時に、ＩＤ情報ｉｄおよび鍵秘匿情報ｋ'と共に、ランダム値暗号化情報Ｅ（ａ）を、生体認証装置５００ａへ送信する。

　ゼロ知識証明部３５０ａは、端末側ランダム値ａの生成および第１の証明用情報Ｙの生成を行わず、乱数生成部３６０ａから入力された端末側ランダム値ａを用いて第２の証明用情報ｚのみを算出し、生体認証装置５００ａへ送信する。

　次に、認証情報格納装置４００ａの構成について説明する。

　図１２は、認証情報格納装置４００ａの構成を示すブロック図であり、実施の形態１の図５に対応するものである。図５と同一部分には同一符号を付し、これについての説明を省略する。

　図１２に示すように、認証情報格納装置４００ａは、ゼロ知識証明パラメータ計算部４３０ａを新たに有し、実施の形態１とは異なる検索部４２０ａを有する。

　検索部４２０ａは、認証情報格納部４１０における情報検索だけでなく、生体認証装置５００ａとゼロ知識証明パラメータ計算部４３０ａとの間で情報の転送を行う。

　ゼロ知識証明パラメータ計算部４３０ａは、生体認証装置５００ａおよび検索部４２０ａを介して通信端末装置３００ａから送られてきたランダム値暗号化情報Ｅ（ａ）を取得する。そして、ゼロ知識証明パラメータ計算部４３０ａは、暗号鍵Ｋを用いて、ランダム値暗号化情報Ｅ（ａ）から基の端末側ランダム値ａを復号し（式（１８）参照）、第１の証明用情報Ｙを算出する（式（５）参照）。そして、ゼロ知識証明パラメータ計算部４３０ａは、算出した第１の証明用情報Ｙを、検索部４２０ａを介して生体認証装置５００ａへ返信する。

　次に、生体認証装置５００ａの構成について説明する。

　図１３は、生体認証装置５００ａの構成を示すブロック図であり、実施の形態１の図６に対応するものである。図６と同一部分には同一符号を付し、これについての説明を省略する。

　図１３に示すように、生体認証装置５００ａは、実施の形態１とは異なる認証情報取得部５２０ａ、誤り訂正処理部５３０ａ、およびゼロ知識証明処理部５４０ａを有する。

　認証情報取得部５２０ａは、ＩＤ情報ｉｄだけでなく、通信端末装置３００ａから受信したランダム値暗号化情報Ｅ（ａ）を、認証情報格納装置４００ａへ送信する。そして、認証情報取得部５２０ａは、登録時変換テンプレートｗおよび公開鍵情報Ｗだけでなく、返信されてきた第１の証明用情報Ｙを受信し、誤り訂正処理部５３０ａへ出力する。

　誤り訂正処理部５３０ａは、算出した誤り訂正後情報ｃ''だけでなく、入力された第１の証明用情報Ｙを、ゼロ知識証明処理部５４０ａへ出力する。

　ゼロ知識証明処理部５４０ａは、第１の証明用情報Ｙを、通信端末装置３００ａからではなく、誤り訂正処理部５３０ａから取得する。

　次に、各装置の動作のうち、実施の形態１と異なる部分について説明する。

　まず、通信端末装置３００ａの動作について説明する。

　図１４は、通信端末装置３００ａの動作を示すフローチャートであり、実施の形態１の図８に対応するものである。図８と同一部分には同一ステップ番号を付し、これについての説明を省略する。

　乱数生成部３６０ａは、ステップＳ２５１０ａにおいて、認証時に、端末側ランダム値ａを選択し（式（４）参照）、端末側ランダム値ａおよび暗号鍵Ｋからランダム値暗号化情報Ｅ（ａ）を生成する（式（１７）参照）。また、乱数生成部３６０ａは、選択した端末側ランダム値ａを、ゼロ知識証明部３５０ａへ出力する。

　そして、ステップＳ２６００ａにおいて、鍵秘匿部３３０ａは、マスク値ｃ'および鍵情報から鍵秘匿情報ｋ'を生成し（式（７）参照）、ＩＤ情報ｉｄ、鍵秘匿情報ｋ'、およびランダム値暗号化情報Ｅ（ａ）を生体認証装置５００ａへ送信する。

　また、ステップＳ２８００ａにおいて、ゼロ知識証明部３５０ａは、乱数生成部３６０ａから入力された端末ランダム値ａと、認証パラメータ抽出部３４０から入力された装置ランダム値ｂおよび被証明情報ｃ'''とから、第２の証明用情報ｚを生成する（式（１１）参照）。そして、ゼロ知識証明部３５０ａは、生成した第２の証明用情報ｚを生体認証装置５００へ送信して、ステップＳ２４００へ進む。

　次に、認証情報格納装置４００ａの動作について説明する。

　検索部４２０ａは、登録時変換テンプレートｗおよび公開鍵情報Ｗの検索処理と並行して、生体認証装置５００ａとゼロ知識証明パラメータ計算部４３０ａとの間の情報の転送を行う。具体的には、検索部４２０ａは、生体認証装置５００ａから受信したランダム値暗号化情報Ｅ（ａ）を、ゼロ知識証明パラメータ計算部４３０ａへ出力する。また、検索部４２０ａは、ゼロ知識証明パラメータ計算部４３０ａから入力された第１の証明用情報Ｙを、生体認証装置５００ａへ送信する。

　次に、生体認証装置５００ａの動作について説明する。

　図１５は、生体認証装置５００ａの動作を示すフローチャートであり、実施の形態１の図９に対応するものである。図９と同一部分には同一ステップ番号を付し、これについての説明を省略する。

　ステップＳ３３００ａにおいて、認証情報取得部５２０ａは、被認証者の通信端末装置３００ａから、ＩＤ情報ｉｄおよび鍵秘匿情報ｋ'と共に、ランダム値暗号化情報Ｅ（ａ）を受信する。そして、認証情報取得部５２０ａは、受信したＩＤ情報ｉｄ、鍵秘匿情報ｋ'、およびランダム値暗号化情報Ｅ（ａ）を、認証情報格納装置４００ａへ転送する。

　そして、ステップＳ３４００ａにおいて、認証情報取得部５２０ａは、登録時変換テンプレートｗおよび公開鍵情報Ｗと共に、ランダム値暗号化情報Ｅ（ａ）から算出された第１の証明用情報Ｙを、認証情報格納装置４００ａから取得する。

　そして、ステップＳ３７００ａにおいて、ゼロ知識証明処理部５４０ａは、通信端末装置３００ａから第２の証明用情報ｚのみを受信して、ゼロ知識証明プロトコルにおける論理式を生成する（式（１２）参照）。

　このように、本実施の形態に係る生体認証システム１００ａは、第１の証明用情報Ｙの算出処理を生体認証装置５００ａ側（認証情報格納装置４００ａ）において行うようにした。これにより、本実施の形態に係る生体認証システム１００ａは、実施の形態１に比べて、通信端末装置３００ａの処理負荷を軽減することができる。

　（実施の形態３）
　本発明の実施の形態３は、実施の形態２において、更にマスク値ｃ'を生体認証装置側で選択するようにした例である。

　図１６は、本発明の実施の形態３に係る生体認証システムにおける生体認証の概要を示す図であり、実施の形態２の図１０に対応するものである。

　図１６に示すように、本実施の形態に係る生体認証システム１００ｂは、実施の形態１とは異なる通信端末装置３００ｂ、認証情報格納装置４００ｂ、および生体認証装置５００ｂを有する。なお、各装置の配置は、実施の形態２と同様である。

　通信端末装置３００ｂは、マスク値ｃ'の選択も鍵秘匿情報ｋ'の生成も行わずに、まず、ランダム値暗号化情報Ｅ（ａ）を生成し（式（１７）参照）、生体認証装置５００ｂを介して認証情報格納装置４００ｂへ送信する。

　認証情報格納装置４００ｂは、ランダム値暗号化情報Ｅ（ａ）から基の端末側ランダム値ａを復号し（式（１８）参照）、第１の証明用情報Ｙを算出する（式（５）参照）。更に、認証情報格納装置４００ｂは、マスク値ｃ'をランダムに選択する（式（６）参照）。そして、認証情報格納装置４００ｂは、暗号鍵Ｋを用いて、以下の式（１９）で表されるように、マスク値ｃ'を暗号化したマスク値暗号化情報（誤り訂正符号暗号化情報）Ｅ（ｃ'）を算出する。認証情報格納装置４００ｂは、算出したマスク値暗号化情報Ｅ（ｃ'）を、生体認証装置５００ｂを介して通信端末装置３００ｂへ送信する。

　通信端末装置３００ｂは、暗号鍵Ｋを用いて、以下の式（２０）で表されるように、マスク値暗号化情報Ｅ（ｃ'）から基のマスク値ｃ'を復号する。そして、通信端末装置３００ｂは、復号したマスク値ｃ'から、鍵秘匿情報ｋ'を生成して（式（７）参照）、生体認証装置５００ｂへ送信する。

　以降の処理は、実施の実施の形態２と同様である。したがって、これにより、本実施の形態に係る生体認証システム１００ｂは、実施の形態２に比べて、更に通信端末装置３００ｂの処理負荷を軽減することができる。

　次に、各装置の構成のうち、実施の形態２と異なる部分について説明する。

　まず、通信端末装置３００ｂの構成について説明する。

　図１７は、通信端末装置３００ｂの構成を示すブロック図であり、実施の形態２の図１１に対応するものである。図１１と同一部分には同一符号を付し、これについての説明を省略する。

　図１７に示すように、通信端末装置３００ｂは、実施の形態２のマスク値生成部３２０を有しておらず、実施の形態２の鍵秘匿部とは異なる鍵秘匿部３３０ｂを有する。

　鍵秘匿部３３０ｂは、認証時に、まず、ＩＤ情報ｉｄおよびランダム値暗号化情報Ｅ（ａ）を、生体認証装置５００ｂへ送信する。鍵秘匿部３３０ｂは、生体認証装置５００ｂからマスク値暗号化情報Ｅ（ｃ'）を受信すると、マスク値ｃ'を復号する（式（２０）参照）。そして、鍵秘匿部３３０ｂは、鍵秘匿情報ｋ'を生成して（式（７）参照）、鍵秘匿情報ｋ'を生体認証装置５００ｂへ送信する。

　次に、認証情報格納装置４００ｂの構成について説明する。

　図１８は、認証情報格納装置４００ｂの構成を示すブロック図であり、実施の形態２の図１２に対応するものである。図１２と同一部分には同一符号を付し、これについての説明を省略する。

　図１８に示すように、認証情報格納装置４００ｂは、マスク値生成部４４０ｂを新たに有し、実施の形態２とは異なる検索部４２０ｂを有する。

　マスク値生成部４４０ｂは、マスク値ｃ'を選択し（式（６）参照）、マスク値ｃ'を暗号化したマスク値暗号化情報Ｅ（ｃ'）を検索部４２０ｂへ出力する。マスク値ｃ'の選択およびマスク値暗号化情報Ｅ（ｃ'）の出力は、例えば、生体認証装置５００ｂからの認証情報の要求をトリガとして行われる。

　検索部４２０ｂは、認証情報格納部４１０における情報検索およびゼロ知識証明パラメータ計算部４３０ａに関する情報転送だけでなく、マスク値ｃ'から入力されたマスク値暗号化情報Ｅ（ｃ'）の生体認証装置５００ｂへの転送を行う。

　次に、生体認証装置５００ｂの構成について説明する。

　図１９は、生体認証装置５００ｂの構成を示すブロック図であり、実施の形態２の図１３に対応するものである。図１３と同一部分には同一符号を付し、これについての説明を省略する。

　図１９に示すように、生体認証装置５００ｂは、実施の形態２とは異なる認証情報取得部５２０ｂを有する。

　認証情報取得部５２０ｂは、ＩＤ情報ｉｄおよびランダム値暗号化情報Ｅ（ａ）を認証情報格納装置４００ｂへ送信する。認証情報取得部５２０ｂは、この送信に対応して、認証情報格納装置４００ｂからマスク値暗号化情報Ｅ（ｃ'）を受信する。そして、認証情報取得部５２０ｂは、受信したマスク値暗号化情報Ｅ（ｃ'）を、通信端末装置３００ｂへ送信する。認証情報取得部５２０ｂは、この送信に対応して、通信端末装置３００ｂから鍵秘匿情報ｋ'を受信する。そして、認証情報取得部５２０ｂは、受信した鍵秘匿情報ｋ'と、認証情報格納装置４００ｂから受信した登録時変換テンプレートｗ、公開鍵情報Ｗ、および第１の証明用情報Ｙと、認証時生体情報ｘ'とを、誤り訂正処理部５３０ａへ出力する。

　次に、各装置の動作のうち、実施の形態２と異なる部分について説明する。

　まず、通信端末装置３００ｂの動作について説明する。

　図２０は、通信端末装置３００ｂの動作を示すフローチャートであり、実施の形態２の図１４に対応するものである。図１４と同一部分には同一符号を付し、これについての説明を省略する。

　鍵秘匿部３３０ｂは、ステップＳ２６００ｂにおいて、ＩＤ情報ｉｄおよびランダム値暗号化情報Ｅ（ａ）のみをまず生体認証装置５００ｂへ送信する。

　そして、ステップＳ２６１０ｂにおいて、鍵秘匿部３３０ｂは、マスク値暗号化情報Ｅ（ｃ'）を受信し、マスク値ｃ'を復号し（式（２０）参照）、鍵秘匿情報ｋ'を生成する（式（７）参照）。そして、鍵秘匿部３３０ｂは、生成した鍵秘匿情報ｋ'を、生体認証装置５００ｂへ送信して、ステップＳ２７００へ進む。

　次に、認証情報格納装置４００ｂの動作について説明する。

　マスク値生成部４４０ｂは、生体認証装置５００ｂからＩＤ情報ｉｄを受信する毎に（つまり認証が行われる毎に）、マスク値ｃ'を選択する（式（６）参照）。そして、マスク値生成部４４０ｂは、マスク値暗号化情報Ｅ（ｃ'）を生成して（式（１９）参照）、検索部４２０ｂへ出力する。また、検索部４２０ｂは、登録時変換テンプレートｗおよび公開鍵情報Ｗの検索処理、並びに、ランダム値暗号化情報Ｅ（ａ）および第１の証明用情報Ｙの転送処理と並行して、マスク値暗号化情報Ｅ（ｃ'）の転送処理を行う。具体的には、検索部４２０ｂは、マスク値暗号化情報Ｅ（ｃ'）を入力される毎に、入力されたマスク値暗号化情報Ｅ（ｃ'）を生体認証装置５００ｂへ送信する。

　次に、生体認証装置５００ｂの動作について説明する。

　図２１は、生体認証装置５００ｂの動作を示すフローチャートであり、実施の形態２の図１５に対応するものである。図１５と同一部分には同一ステップ番号を付し、これについての説明を省略する。

　認証情報取得部５２０ｂは、ステップＳ３３００ｂにおいて、認証情報取得部５２０ｂは、通信端末装置３００ｂから、ＩＤ情報ｉｄおよびランダム値暗号化情報Ｅ（ａ）をまず受信する。そして、認証情報取得部５２０ｂは、受信したＩＤ情報ｉｄおよびランダム値暗号化情報Ｅ（ａ）を、認証情報格納装置４００ｂへ転送する。

　そして、ステップＳ３４００ｂにおいて、認証情報取得部５２０ｂは、登録時変換テンプレートｗ、公開鍵情報Ｗ、および第１の証明用情報Ｙと共に、マスク値暗号化情報Ｅ（ｃ'）を、認証情報格納装置４００ｂから取得する。そして、認証情報取得部５２０ｂは、マスク値暗号化情報Ｅ（ｃ'）を、通信端末装置３００ｂへ転送する。

　そして、ステップＳ３４１０ｂにおいて、認証情報取得部５２０ｂは、通信端末装置３００ｂから、マスク値暗号化情報Ｅ（ｃ'）に基づいて生成された鍵秘匿情報ｋ'を受信する。

　このように、本実施の形態に係る生体認証システム１００ｂは、マスク値ｃ'の選択を生体認証装置５００ｂ側（認証情報格納装置４００ｂ）において行うようにした。これにより、本実施の形態に係る生体認証システム１００ｂは、実施の形態２に比べて、通信端末装置３００ａの処理負荷を軽減することができる。

　なお、以上説明した実施の形態では、ゼロ知識証明を用いて被証明情報ｃ'''を秘匿化したが、必ずしも秘匿化しなくても良い。この場合には、生体認証装置５００は、認証パラメータｃを取得し、通信端末装置３００から被証明情報ｃ'''を受信し、これらが一致するか否かを直接に判定すれば良い。

　また、本発明に係る通信端末装置は、無線機能を有さず有線により生体認証装置５００と接続する通信端末装置に適用しても良い。

　また、生体認証システム１００は、ＩＤ情報ｉｄに基づいて通信端末装置に対応する認証情報を特定するようにしたが、必ずしも通信端末装置に対応する認証情報を特定しなくても良い。これは、総当り的に認証処理を行う場合等もあるためである。

　また、登録装置２００、認証情報格納装置４００、および生体認証装置５００のうち、２つまたは全ては、一体的な装置として配置されても良い。

　２０１０年９月３０日出願の特願２０１０－２２１３７９の日本出願に含まれる明細書、図面および要約書の開示内容は、すべて本願に援用される。

　本発明に係る生体認証システム、通信端末装置、生体認証装置、および生体認証方法は、通信端末装置が保持する鍵情報と登録時変換テンプレートとが漏洩した場合でも成りすまし攻撃を防止することができる生体認証システム、通信端末装置、生体認証装置、および生体認証方法として有用である。

　１００、１００ａ、１００ｂ　生体認証システム
　２００　登録装置
　２１０　登録時生体情報取得部
　２２０　ＩＤ発行部
　２３０　鍵発行部
　２４０　認証パラメータ生成部
　２５０　認証情報生成部
　２６０　登録部
　３００、３００ａ、３００ｂ　通信端末装置
　３１０　登録情報格納部
　３２０　マスク値生成部
　３３０、３３０ａ、３３０ｂ　鍵秘匿部
　３４０　認証パラメータ抽出部
　３５０、３５０ａ　ゼロ知識証明部
　３６０ａ　乱数生成部
　４００、４００ａ、４００ｂ　認証情報格納装置
　４１０　認証情報格納部
　４２０、４２０ａ、４２０ｂ　検索部
　４３０ａ　ゼロ知識証明パラメータ計算部
　４４０ｂ　マスク値生成部
　５００、５００ａ、５００ｂ　生体認証装置
　５１０　認証時生体情報取得部
　５２０、５２０ａ、５２０ｂ　認証情報取得部
　５３０、５３０ａ　誤り訂正処理部
　５４０、５４０ａ　ゼロ知識証明処理部
　６２０、６３０　カメラ
　６４０　作動装置

Claims

　生体認証を受けるユーザが所持する通信端末装置と、前記生体認証を行う生体認証装置と、を含む生体認証システムであって、
　前記通信端末装置は、
　前記ユーザの登録時生体情報に対応付けて発行された鍵情報を保持する登録情報格納部と、
　保持された前記鍵情報と予め定められた誤り訂正符号群の中からランダムに選択された第１の誤り訂正符号との排他的論理和を、鍵秘匿情報として算出する鍵秘匿部と、
　前記生体認証装置から誤り訂正後情報が送られてきたとき、送られてきた前記誤り訂正後情報と前記第１の誤り訂正符号との排他的論理和を、被証明情報として算出する認証パラメータ抽出部と、を有し、
　前記生体認証装置は、
　生体認証を受けようとする人物から認証時生体情報を取得する認証時生体情報取得部と、
　前記人物が所持する通信端末装置から前記鍵秘匿情報を取得する認証情報取得部と、
　取得された前記認証時生体情報と、取得された前記鍵秘匿情報と、前記登録時生体情報と前記鍵情報と前記誤り訂正符号群の中からランダムに選択された第２の誤り訂正符号との排他的論理和である登録時変換テンプレートと、の排他的論理和から前記誤り訂正後情報を算出する誤り訂正処理部と、
　算出された前記誤り訂正後情報を前記通信端末装置に対して送り、これに基づいて算出された前記被証明情報と、前記誤り訂正後情報の算出に用いられた前記第２の誤り訂正符号と、の一致の度合いに基づいて、前記生体認証を行う証明処理部と、を有する、
　生体認証システム。
　前記通信端末装置は、
　前記被証明情報を秘匿化した情報を、証明用情報として生成する証明用情報生成部、を更に有し、
　前記証明処理部は、
　前記人物が所持する前記通信端末装置から前記証明用情報を取得し、取得された前記証明用情報と、前記第２の誤り訂正符号を秘匿化した情報である公開鍵情報と、に基づいて、前記一致の度合いを判定する、
　請求項１記載の生体認証システム。
　前記公開鍵情報は、所定の乗法群の生成元を底とし前記第２の誤り訂正符号に対応する整数値を指数とする値であり、
　前記証明用情報は、前記被証明情報に対応する整数値と前記生体認証装置から通知された第１のランダム値との積と前記通信端末装置のみが知る第２のランダム値との和である第２の証明用情報と、前記乗法群の生成元を底とし前記第２のランダム値を指数とする値である第１の証明用情報と、を含み、
　前記証明処理部は、
　前記情報群の生成元を底とし前記第２の証明用情報を指数とする値と、前記公開鍵情報を底とし前記第１のランダム値を指数とする値と前記第１の証明用情報との積とが一致するか否かに基づいて、前記前記生体認証を行う、
　請求項２記載の生体認証システム。
　前記鍵秘匿部は、
　前記第２のランダム値を暗号化した情報であるランダム値暗号化情報を前記生体認証装置へ送信し、
　前記認証情報取得部は、
　前記通信端末装置から受信した前記ランダム値暗号化情報に基づいて、前記第１の証明用情報を取得する、
　請求項３記載の生体認証システム。
　前記認証情報取得部は、
　前記通信端末装置から受信した前記ランダム値暗号化情報に基づいて、前記第１の誤り訂正符号を暗号化した情報である誤り訂正符号暗号化情報を取得し、取得した前記誤り訂正符号暗号化情報を前記通信端末装置へ送信し、
　前記鍵秘匿部は、
　前記生体認証装置から受信した前記誤り訂正符号暗号化情報に基づいて、前記第１の誤り訂正符号を取得する、
　請求項４記載の生体認証システム。
　生体認証を受けるユーザが所持する通信端末装置と、前記生体認証を行う生体認証装置と、を含む生体認証システムにおいて用いられる前記通信端末装置であって、
　前記ユーザの登録時生体情報に対応付けて発行された鍵情報を保持する登録情報格納部と、
　保持された前記鍵情報と予め定められた誤り訂正符号群の中からランダムに選択された第１の誤り訂正符号との排他的論理和を鍵秘匿情報として算出し、算出した前記鍵秘匿情報を前記生体認証装置へ送信する鍵秘匿部と、
　前記ユーザが前記生体認証を受けようとする際に前記生体認証装置が取得した認証時生体情報と、送信された前記鍵秘匿情報と、前記登録時生体情報と前記鍵情報と前記誤り訂正符号群の中からランダムに選択された第２の誤り訂正符号との排他的論理和である登録時変換テンプレートと、の排他的論理和から算出された誤り訂正後情報を取得し、取得した前記誤り訂正後情報と前記第１の誤り訂正符号との排他的論理和を、被証明情報として算出する認証パラメータ抽出部と、
　算出された前記被証明情報を秘匿化した情報を、証明用情報として生成し、生成した前記証明用情報を、前記生体認証装置へ送信する証明用情報生成部と、を有する、
　通信端末装置。
　生体認証を受けるユーザが所持する通信端末装置と、前記生体認証を行う生体認証装置と、を含む生体認証システムにおいて用いられる前記生体認証装置であって、
　生体認証を受けようとする人物から認証時生体情報を取得する認証時生体情報取得部と、
　前記人物が所持する通信端末装置から鍵秘匿情報を取得する認証情報取得部と、
　取得された前記認証時生体情報と、取得された前記鍵秘匿情報と、前記登録時生体情報と前記登録時生体情報に対応付けて発行された鍵情報と誤り訂正符号群の中からランダムに選択された第２の誤り訂正符号との排他的論理和である登録時変換テンプレートと、の排他的論理和から誤り訂正後情報を算出する誤り訂正処理部と、
　算出された前記誤り訂正後情報を前記通信端末装置に対して送り、これに対して前記通信端末装置が算出した前記被証明情報と、前記登録時変換テンプレートの生成に用いられた前記第２の誤り訂正符号と、の一致の度合いに基づいて、前記生体認証を行う証明処理部と、を有する、
　生体認証装置。
　生体認証を受けるユーザが所持する通信端末装置と、前記生体認証を行う生体認証装置と、を含む生体認証システムにおいて用いられる生体認証方法であって、
　前記通信端末装置が、前記ユーザの登録時生体情報に対応付けて発行された鍵情報と、予め定められた誤り訂正符号群の中からランダムに選択された第１の誤り訂正符号と、の排他的論理和を、鍵秘匿情報として算出するステップと、
　前記生体認証装置が、生体認証を受けようとする人物から認証時生体情報を取得し、前記人物が所持する通信端末装置から前記鍵秘匿情報を取得し、取得された前記認証時生体情報と、取得された前記鍵秘匿情報と、前記登録時生体情報と前記鍵情報と前記誤り訂正符号群の中からランダムに選択された第２の誤り訂正符号との排他的論理和である登録時変換テンプレートと、の排他的論理和から誤り訂正後情報を算出するステップと、
　前記通信端末装置が、前記生体認証装置から前記誤り訂正後情報が送られてきたとき、送られてきた前記誤り訂正後情報と前記第１の誤り訂正符号との排他的論理和を、被証明情報として算出し、前記被証明情報から算出した証明用情報を前記生体認証装置へ送るステップと、
　前記生体認証装置が、送られた前記誤り訂正後情報に基づいて算出された前記証明用情報と、前記誤り訂正後情報の算出に用いられた前記第２の誤り訂正符号と、の一致の度合いに基づいて、前記生体認証を行うステップと、を有する、
　生体認証方法。