WO2021053777A1

WO2021053777A1 - 生体認証システム及び生体認証装置

Info

Publication number: WO2021053777A1
Application number: PCT/JP2019/036655
Authority: WO
Inventors: 若林　正男
Original assignee: 三菱電機株式会社
Priority date: 2019-09-19
Filing date: 2019-09-19
Publication date: 2021-03-25
Also published as: JP7164052B2; CN114365126A; JPWO2021053777A1

Abstract

本発明にかかる生体認証システムは、予め登録された生体情報である登録生体情報と識別情報とを対応付けて記憶するサーバ２と、生体認証を行う生体認証装置１を備えている。生体認証装置１は、複数の登録生体情報を記憶する記憶部１５と、利用者の生体情報を入力生体情報として取得するセンサ１２、利用者の識別情報を取得する入力装置１１、登録生体情報と入力生体情報を照合する照合部１４を備えている。照合部１４は、利用者の識別情報が取得されたか否かを判断し、取得されなかった場合には記憶部１５に記憶された複数の登録生体情報と入力生体情報とを照合する１対多認証を行い、取得された場合にはサーバから利用者の識別情報に対応する登録生体情報を取得し取得した登録生体情報を用いて１対１認証を行う。また、照合部１４は、センサ１が入力生体情報を取得する前に、１対多認証に用いる複数の登録生体情報を送受信部１６受信させる。

Description

生体認証システム及び生体認証装置

　本発明は、サーバから生体認証装置へ生体情報をダウンロードする生体認証システム及び生体認証装置に関するものである。

　特許文献１には、生体認証の認証時に利用者により提供されるＩＤ（ｉｄｅｎｔｉｆｉｃａｔｉｏｎ）に応じて、生体的特徴データをサーバから端末へダウンロードする生体認証システムが開示されている。このシステムにおいては、生体認証装置が、センサを用いて認証すべき利用者の生体情報を取得し、この情報から生体的特徴を抽出する。そして、端末は抽出した利用者の生体的特徴データとダウンロードした生体的特徴データを照合して、利用者の正当性を検証する１対１認証を行う。

特開２００６－２６２３３３号公報

　上記の生体認証システムは、認証の対象となる生体的特徴データを、ＩＤを用いて１つに特定する場合、すなわち、1対１認証を行う場合には有用である。しかし、認証の対象となる生体的特徴データを特定せずに、認証すべき利用者の生体的特徴データをサーバに登録された全ての生体的特徴データと照合するような認証、すなわち１対多認証を行う場合には、この生体認証システムを利用することができない。その理由はダウンロードの対象となるデータが膨大となり、実用的な時間内に認証を終了することができないためである。

　本発明は上記の問題に鑑みてなされたものであって、生体認証装置が１対１認証と１対多認証の両方の認証を行う生体認証システムにおいて、実用的な時間内に認証を行い、かつ、生体認証装置の起動時間を短縮することができる生体認証システムを提供することを目的とする。

　この発明にかかる生体認証システムは、複数の対象者それぞれについて、予め登録された生体情報である登録生体情報と識別情報とを対応付けて記憶するサーバと、登録生体情報を要求する取得要求を送信し、サーバから複数の登録生体情報を受信する送受信部、利用者の生体情報を入力生体情報として取得するセンサ、利用者の識別情報を取得する入力装置、送受信部が受信した複数の登録生体情報を記憶する記憶部、並びに記憶部に記憶された複数の登録生体情報と入力生体情報とを照合する１対多認証、及び利用者の識別情報に対応する登録生体情報と入力生体情報とを照合する１対１認証を行い、入力装置により利用者の識別情報が取得されたか否かを判断し、取得されなかった場合には１対多認証を行い、取得された場合にはサーバから利用者の識別情報に対応する登録生体情報を取得し取得した登録生体情報を用いて１対１認証を行い、センサが入力生体情報を取得する前に１対多認証に用いる複数の登録生体情報を送受信部に受信させる、照合部、を備えた生体認証装置と、を備えたものである。

　また、この発明にかかる生体認証装置は、複数の対象者それぞれについて、予め登録された生体情報である登録生体情報と識別情報とを対応付けて記憶するサーバと、サーバと通信する生体認証装置と、を備えた生体認証システムの生体認証装置であって、登録生体情報を要求する取得要求を送信し、サーバから複数の登録生体情報を受信する送受信部と、利用者の生体情報を取得するセンサと、利用者の識別情報を取得する入力装置と、送受信部が受信した複数の登録生体情報を記憶する記憶部と、記憶部に記憶された複数の登録生体情報と入力生体情報とを照合する１対多認証、及び利用者の識別情報に対応する登録生体情報と入力生体情報とを照合する１対１認証を行い、入力装置により利用者の識別情報が取得されたか否かを判断し、取得されなかった場合には１対多認証を行い、取得された場合にはサーバから利用者の識別情報に対応する登録生体情報を取得し取得した登録生体情報を用いて１対１認証を行い、センサが入力生体情報を取得する前に１対多認証に用いる複数の対象者の生体情報を送受信部に受信させる照合部と、を備えたものである。

　本発明によれば、生体認証装置が１対１認証と１対多認証の両方の認証を行う生体認証システムにおいて、実用的な時間内に認証を行うことができ、全ての生体的特徴データを起動時にダウンロードするような生体認証システムと比較して、起動時間を短縮することができる。

この発明の実施の形態１における生体認証システムを用いた入退管理システムを示す図である。この発明の実施の形態１における生体認証システムの構成図である。この発明の実施の形態１における生体認証装置の正面図である。この発明の実施の形態１における生体情報データベースのデータ構造を示す図である。この発明の実施の形態１における生体認証装置の起動時の制御を示すフローチャートである。この発明の実施の形態１における生体認証装置の認証動作時の制御を示すフローチャートである。この発明の実施の形態１における生体認証システムにおけるサーバの制御を示すフローチャートである。この発明の実施の形態１における生体認証システムの動作を示すシーケンス図である。この発明の実施の形態２における生体認証装置の認証動作時の制御を示すフローチャートである。

実施の形態１．
　以下に本発明の実施の形態１にかかる生体認証システム及び生体認証装置を図面に基づいて詳細に説明する。なお、各図面における同一の符号は同一又は相当の構成及びステップを表している。

　図１は、本発明の実施の形態１における生体認証システムを用いた入退管理システムを示す図である。初めにシステム全体について図１を用いて説明する。

　この入退管理システムは、生体認証装置１、サーバ２、及び信号線４を備えた生体認証システム、並びにゲート３で構成されている。

　生体認証装置１は、図２を用いて後述する生体センサ１２から利用者の指紋である生体情報（以下、入力生体情報という）を取得し、サーバ２に登録された生体情報（以下、登録生体情報という）と照合することで生体認証を行う装置である。また、生体認証装置１は生体認証が成功した場合に認証が成功したことをサーバ２に出力する。

　この生体認証装置１は、二種類の認証方法、すなわち１対１認証（以下、１：１認証という）と１対多認証（以下、１：Ｎ認証という）を有している。

　サーバ２は、例えば、ビルや施設の管理室、複数のフロアを備えたビルの各フロア等に設けられ、生体認証装置１及びゲート３を制御する装置である。サーバ２は、入退管理の対象者の生体情報を登録生体情報として記録し、対象者の変更、追加、及び削除を行うなど、対象者の情報を一元管理する装置である。サーバ２は、信号線４を介して生体認証装置１に接続されている。また、サーバ２はゲート３の開錠制御を行う装置でもある。図１では、サーバ２に生体認証装置１とゲート３が１台ずつ接続されたシステムが図示されているが、多くの場合、複数台の生体認証装置１と複数台のゲート３がサーバ２に接続される。

　次に、生体認証システムの詳細な構成について図２を用いて説明する。生体認証装置１は、利用者の識別情報を受け付ける入力装置１１、指紋などを読取る生体センサ１２、これらを制御するとともに、認証処理を行うプロセッサ１３、及びサーバ２との間でデータの送受信を行う送受信部１６を備えている。生体認証装置１の一例として、図３にその外観を示す。

　入力装置１１は利用者が入力する識別情報である識別番号を取得するテンキーである。入力装置１１はプロセッサ１３に接続されており、利用者により入力される識別番号をプロセッサ１３へ出力する。

　生体センサ１２は利用者の入力生体情報を読み込むカメラである。生体センサ１２は、プロセッサ１３に接続されており利用者の入力生体情報をプロセッサ１３に出力する。

　プロセッサ１３はマイクロコントローラとメモリを有するＳｏＣ（ｓｙｓｔｅｍ　ｏｎ　ａ　ｃｈｉｐ）であり、入力装置１１、生体センサ１２、送受信部１６、及び出力装置１７と接続されてデータのやり取りを行う。プロセッサ１３は、認証処理を行う照合部１４、生体情報やソフトウェアモジュールのコードを記憶する記憶部１５を備えている。

　照合部１４はダウンロードの制御や認証方法の選択処理、入力装置１１等との間で入出力処理を行う制御部１４ａ、１：Ｎ認証を行う第１認証部１４ｂ、及び１：１認証を行う第２認証部１４ｃを備えている。

　制御部１４ａは、生体認証装置１を構成する入力装置１１、生体センサ１２、第１認証部１４ｂ、第２認証部１４ｃ、記憶部１５、及び送受信部１６の制御を行うソフトウェアモジュールで構成されている。また、制御部１４ａは入力装置１１に識別番号が入力されたか否かに応じて、第１認証部１４ｂによる認証を行うか第２認証部１４ｃによる認証を行うかを判断する処理を行うものである。

　第１認証部１４ｂは、生体センサ１２により取得された利用者の入力生体情報と記憶部１５に記憶された複数の登録生体情報２１ｃとを照合する１：Ｎ認証を行うソフトウェアモジュールで構成されている。登録生体情報２１ｃは図４に示すようなフォーマットで、サーバ２のデータベースに記憶された生体情報であり、サーバ２からダウンロードされ、記憶部１５に記憶される。また、第２認証部１４ｃは、生体センサ１２により取得された利用者の入力生体情報と、入力装置１１により取得された識別番号２１ａに応じてサーバ２よりダウンロードされ記憶部１５に記憶された特定の登録生体情報２１ｃと、を照合する１：１認証を行うソフトウェアモジュールで構成されている。

　記憶部１５はフラッシュメモリであり、送受信部１６を介してサーバ２からダウンロードされた登録生体情報２１ｃを記憶する記憶装置である。

　送受信部１６は、信号線４を介してサーバ２の送受信部２２と通信するＲＳ－４２２用送受信機である。

　出力装置１７は、制御部１４ａの命令に従い音を出力するスピーカーを有する音声出力装置である。

　サーバ２は、生体情報データベース２１、送受信部２２、制御部２３、及び開錠信号送信部２４を備える。また、生体情報データベース２１は、図４に示すように識別番号２１ａ、登録種別２１ｂ、及び登録生体情報２１ｃをそれぞれ対応付けて記憶している。識別番号２１ａは７ケタの整数であり、利用者が入力装置１１に入力する数字そのものである。識別番号２１ａは登録生体情報２１ｃと１対１に対応している。登録種別２１ｂは対応する登録生体情報２１ｃが１：Ｎ認証に用いられるものであるか、１：１認証に用いられるものであるかの種別を表す情報である。登録生体情報２１ｃは指紋の特徴点情報である。

　送受信部２２は、信号線４を介して生体認証装置１の送受信部１６と通信するＲＳ－４２２用送受信機である。

　制御部２３は送受信部２２が受信した登録生体情報２１ｃの取得要求に応じて生体情報データベース２１から登録生体情報２１ｃを抽出し、抽出された登録生体情報２１ｃを送受信部２２を介して送信する制御装置である。また送受信部２２が、認証が成功したことを通知する信号を受信した場合には、開錠信号送信部２４を介して電気錠３１の開錠信号を送信する制御も行う。制御部２３は、プロセッサと上述の制御を行うソフトウェアモジュールによって構成される。

　開錠信号送信部２４は、信号線４を介して電気錠３１と接続されており、制御部２３の指示に従い、開錠信号を電気錠３１に送信する。

　ゲート３は電気錠３１と扉から構成されており、サーバ２から出力される信号に応じて電気錠３１のモータが駆動し開錠する。

　信号線４はＲＳ－４２２規格に準拠した電気信号線である。

　次に、本実施の形態の動作について、図５、図６、及び図７を用いて説明する。
　図５は、本実施の形態における生体認証装置１の起動時における制御を示すフローチャートである。

　生体認証装置１に電力が供給され、プロセッサ１３による起動処理が開始されると、ステップＳ１１において、制御部１４ａが生体認証装置１の各構成要素を初期化する。例えば、生体センサ１２がその制御に用いるパラメータを設定したり、生体センサ１２の内部処理の開始を指示する命令を生体センサ１２に送信したりする。次に、ステップＳ１２において、制御部１４ａは起動処理が初回起動の処理であるか否かを判定する。具体的には、記憶部１５に記憶されている起動処理回数が０であるか否かを判定する。初回起動でない場合には、起動処理を終了し、認証動作に移る。

　一方、初回起動時においては、ステップＳ１３へと進み、制御部１４ａは、登録種別２１ｂが１：Ｎである登録生体情報２１ｃの取得要求を送受信部１６からサーバ２に送信する。取得要求の通信方式はパケット交換方式である。取得要求には、コマンドとして、要求する登録生体情報２１ｃの種別が１：Ｎであることが識別できる情報が記載され、さらにサーバ２のアドレス情報が宛先として、自装置のアドレス情報が要求元情報として記載される。次に、ステップＳ１４で制御部１４ａは、送受信部１６がサーバ２から受信した複数の登録生体情報２１ｃを、送受信部１６から取得する。次に、ステップＳ１５でこの情報を記憶部１５に記憶させる。この際、制御部１４ａは、記憶部１５に記憶されている起動処理回数をカウントアップし、その起動処理回数を記憶部１５に記憶する。その後、起動処理を終了し認証動作へと移る。

　次に、認証動作時における生体認証装置１の動作について図６を用いて説明する。初めにステップＳ２１において、制御部１４ａは入力装置１１及び生体センサ１２にそれぞれ識別番号２１ａ及び入力生体情報の受付を開始させる。

　ステップＳ２２では、入力装置１１及び生体センサ１２は、それぞれ利用者による識別番号２１ａ及び入力生体情報の入力があるまで待機している。生体センサ１２が入力生体情報の入力を検知した場合にはステップＳ２３に進み、制御部１４ａが生体センサ１２から入力生体情報を取得する。具体的には制御部１４ａは、生体センサ１２が取得した指紋の画像情報から指紋のマニューシャ（以下、特徴点）を抽出し記憶部１５に記憶する。この特徴点の抽出方法は、公知のマニューシャ・マッチング法で用いられる抽出方法を用いる。ステップＳ２２において利用者が入力装置１１に識別番号２１ａを入力していた場合は、ステップＳ２３において制御部１４ａは識別番号２１ａも取得する。そして、記憶部１５にその識別番号２１ａを記憶する。

　ステップＳ２４では、ステップＳ２３における識別番号２１ａの取得の有無により、制御部１４ａが認証方法及び登録生体情報２１ｃのダウンロードの要否を判断する。具体的には、記憶部１５に識別番号２１ａが記憶されているか否かを判定する。識別番号２１ａが取得されていない場合には、登録生体情報２１ｃのダウンロードは行わず、１：Ｎ認証を行うと判断しステップＳ２５へ進む。このとき、制御部１４ａは第１認証部１４ｂに認証処理を行うように指示する。ステップＳ２５では、照合部１４の第１認証部１４ｂが、入力生体情報と記憶部１５に記憶された複数の登録生体情報２１ｃを照合する１：Ｎ認証を行う。具体的には、マニューシャ・マッチング方式により、記憶部１５に記憶された入力生体情報の特徴点のうち予め設定された数以上（例えば、２０箇所以上）の箇所が一致する登録生体情報２１ｃがあれば、認証成功と判断し、該当する登録生体情報２１ｃが無ければ、認証失敗と判断する。

　一方、ステップＳ２３で識別番号２１ａが取得されている場合、すなわち記憶部１５に利用者が入力した識別番号２１ａが記憶されていると、制御部１４ａが判断した場合は、登録生体情報２１ｃをサーバ２からダウンロードし１：１認証を行うと判断しステップＳ２６に進む。ステップＳ２６では、入力された識別番号２１ａに対応する登録生体情報２１ｃが記憶部１５に記憶されているか否かを制御部１４ａが判断する。記憶されている場合には制御部１４ａは登録生体情報２１ｃのダウンロードを省略し、ステップＳ２１０へと進む。ここで、制御部１４ａは、第２認証部１４ｃに認証処理を実行するように指示する。照合部１４の第２認証部１４ｃは、入力生体情報と当該登録生体情報２１ｃとを照合する１：１認証を行う。具体的には、マニューシャ・マッチング方式により、記憶部１５に記憶された入力生体情報の特徴点のうち予め設定された数以上（例えば、１０箇所以上）が識別番号２１ａに対応する登録生体情報２１ｃと一致すれば認証成功と判断する。

　ステップＳ２６において、入力された識別番号２１ａに対応する登録生体情報２１ｃが記憶部１５に記憶されていないと制御部１４ａが判断した場合には、ステップＳ２７に進む。ステップＳ２７において制御部１４ａは、入力された識別番号２１ａを含む登録生体情報２１ｃの取得要求を送受信部１６からサーバ２に送信する。取得要求には、コマンドとして、要求する登録生体情報２１ｃの種別が１：１であることが識別できる情報が記載され、パラメータとして識別番号２１ａを識別できる情報が記載される。さらに取得要求には、サーバ２のアドレス情報が宛先として、自装置のアドレス情報が要求元情報として記載される。次に、ステップＳ２８において制御部１４ａは、送受信部１６がサーバ２から受信した登録生体情報２１ｃを、送受信部１６から受信する。そしてステップＳ２９において、制御部１４ａは受信した登録生体情報２１ｃを識別番号２１ａと対応付けて記憶部１５に記憶する。その後、ステップＳ２１０において１：１認証を行う。

　各認証が成功した場合、制御部１４ａは認証が成功したことを知らせる通知を、送受信部１６から出力する。この通知には、通知の内容が、認証が成功したことを知らせるものであることを識別できる情報が記載される。さらに、この通知には、サーバ２のアドレス情報が宛先として、自装置のアドレス情報が要求元情報として記載される。また、認証が成功したか否かに関わらず、制御部１４ａは利用者が入力した識別番号２１ａ及び入力生体情報を記憶部１５から削除する。

　また、各認証が成功した場合は、制御部１４ａは出力装置１７から認証が成功したことを知らせる「ピピ」という音を出力する。一方、各認証が失敗した場合は、制御部１４ａは出力装置１７から認証が失敗したことを知らせる「ピー」という音を出力する。

　次に、本実施の形態を示す生体認証システムにおけるサーバ２の動作を、図７を用いて説明する。ステップＳ３１において、制御部２３は登録生体情報２１ｃの取得要求が送受信部２２によって受信されるまで待機する。送受信部２２は、常に信号線４の要求や通知を受信しており、要求などを受信するとその内容を記憶するように構成されている。制御部２３は、定期又は不定期に送受信部２２が要求などを受信したかを、送受信部２２にアクセスすることによって検査する。そして、送受信部２２が取得要求を受信した場合には、制御部２３は、その取得要求を送受信部２２から取得し、要求されている登録生体情報２１ｃの登録種別２１ｂを判断する。具体的には取得要求のコマンド部分が要求する登録生体情報２１ｃが１：Ｎであることが識別できる情報であると判断した場合にはステップＳ３２へ進み、取得要求のコマンド部分が要求する登録生体情報２１ｃが１：１であることが識別できる情報であると判断した場合には、ステップＳ３４へ進む。

　ステップＳ３２では、サーバ２の制御部２３は生体情報データベース２１に登録されている登録種別２１ｂが１：Ｎである登録生体情報２１ｃを全件抽出する。このとき、制御部２３は、登録種別２１ｂが１：Ｎ認証であることを検索キーとして、生体情報データベース２１から複数の登録生体情報２１ｃを抽出する。その後、ステップＳ３３に進み、制御部２３は抽出した複数の登録生体情報２１ｃを送受信部２２から生体認証装置１へ送信する。一方、ステップＳ３４では、制御部２３が、取得要求に記載されたパラメータから特定できる識別番号２１ａに基づいて、識別番号２１ａに対応する登録生体情報２１ｃを生体情報データベース２１から抽出する。その後、ステップＳ３３に進み、制御部２３は抽出した登録生体情報２１ｃを送受信部２２から生体認証装置１へ送信する。

　登録生体情報２１ｃの通信方式もまた、パケット交換方式である。パケットにはコマンドとして取得要求に対する応答を示す情報が記載され、パラメータとして登録生体情報の数と、図４に示す識別番号２１ａ、登録種別２１ｂ、登録生体情報２１ｃの組が１つまたは複数記載される。さらに生体認証装置１のアドレス情報が宛先として、サーバ２のアドレス情報が発信元情報として記載される。多くの登録生体情報２１ｃの送信が必要であり、そのデータ量が多い場合には、複数の登録生体情報２１ｃ等は、複数のパケットに分けて送信される。

　また、生体認証装置１から認証が成功したことを知らせる通知を受信した場合、制御部２３は、開錠信号送信部２４から開錠信号を出力する。

　この実施の形態の生体認証システムは、以上に説明したように、１：Ｎ認証に用いる登録生体情報を、生体認証装置１の起動処理においてダウンロードする。そのため、１：Ｎ認証を行うときには、生体認証装置１は、予め照合に必要な登録生体情報２１ｃを保持しているため、実用的な時間内で認証を終えることができる。また、この実施の形態の生体認証装置１は、起動時には、全ての登録生体登録情報２１ｃをダウンロードするのではなく、認証種別の情報に基づいて、１：Ｎ認証用の登録生体情報２１ｃをダウンロードし、１：１認証用の登録生体情報２１ｃのダウンロードを後回しにする。例えば、１：１認証用の登録生体情報２１ｃのダウンロードは、認証時に行う。したがって、生体認証装置１は、１：Ｎ認証用の登録生体情報２１ｃをダウンロード後に、入力生体情報の受付を開始でき、起動処理が早く終了するという効果がある。

　この点について、図８を用いて説明する。図８は生体認証装置１とサーバ２とのデータのやり取りについて記載したシーケンス図である。

　生体認証装置１の起動が初回起動である場合、制御部１４ａが生体認証装置１の各構成要素を初期化（ステップＳ１１）した直後に、登録種別２１ｂが１：Ｎである登録生体情報２１ｃをサーバ２からダウンロードする（ステップＳ１３、ステップＳ３２、ステップＳ３３及びステップＳ１５）。ダウンロード終了後に生体認証装置１は生体センサ１２からの入力生体情報の受付を開始する（ステップＳ２１）。

　その後、利用者により生体情報が入力されると、制御部１４ａは入力生体情報を取得し（ステップＳ２３）、第１認証部１４ｂは、起動直後にダウンロードした登録種別２１ｂが１：Ｎである登録生体情報２１ｃを用いて１：Ｎ認証を行う（ステップＳ２５）。

　一方、利用者が識別番号２１ａを入力してから生体情報を入力した場合には、制御部１４ａは入力生体情報と合わせて識別番号２１ａを取得する（ステップＳ２３）。この場合、利用者が入力した識別番号２１ａに対応する登録生体情報２１ｃが記憶部１５に無ければ、制御部１４ａは当該識別番号２１ａに対応する登録生体情報２１ｃをサーバ２からダウンロードする（ステップＳ２６、ステップＳ３４、ステップＳ３３、及びステップＳ２９）。第２認証部１４ｃはダウンロードした登録生体情報２１ｃを用いて１：１認証を行う（ステップＳ２１０）。

　以上によれば、１：１認証に用いる登録生体情報２１ｃについては、従来技術と同様に認証時に生体認証装置１へダウンロードする一方で、１：Ｎ認証に用いる登録生体情報２１ｃについては起動時にダウンロードしておくことができる。そのため、１：Ｎ認証を行う時に膨大な登録生体情報２１ｃのダウンロードを開始する必要がなく、実用的な時間内に認証を行うことができる。また、１：１認証用の登録生体情報２１ｃについては識別番号２１ａが入力されたタイミングでダウンロードするため、登録種別２１ｂ種別に関わらず全ての登録生体情報２１ｃを起動時にダウンロードするような生体認証システムと比較して、起動時間を短縮することができる。

実施の形態２．
　二種類の認証を１つの装置を用いて実行する生体認証システムは、例えば通常は１：Ｎ認証による認証を行い、１：Ｎ認証による認証が正常に行われない場合に１：１認証による認証を行うような用途に使用すると利便性の向上と高いセキュリティの両立を図れる。その理由について以下に説明する。識別番号２１ａの入力が不要である１：Ｎ認証では、認証対象者の登録生体情報２１ｃと入力生体情報との照合を行い、一つでも一致すれば本人と認証される。そのため、多数の登録生体情報の中に、入力生体情報と類似した登録生体情報２１ｃが１つでもあった場合には、誤認証されてしまう。すなわち、１：Ｎ認証では、入力生体情報が他人のものであるにもかかわらず、誤って本人と認証されてしまう可能性が１：１認証よりも高くなる。したがって、１：Ｎ認証では、本人と認証するための生体情報の一致度の閾値を高く設定する必要がある。ただし、このような閾値設定には、１：Ｎ認証で認証されるべき利用者が認証されない場合があるというデメリットがある。

　一方、１：１認証では、識別番号２１ａにより登録生体情報２１ｃを特定してから認証を行うため、マニューシャ・マッチングの一致判定の閾値を低く設定しても、誤認証の可能性が低い。そのため、１：Ｎ認証で認証できなかった場合に、識別情報を入力させ、１：１認証を行うという二段階の認証方法を用いれば、上述のデメリットを解消し、かつ、認証精度が低下しないようにすることができる。

　本実施の形態は、上記の利点を鑑み、１：Ｎ認証で認証されなかった場合に１：１認証による認証を利用者に促す生体認証システムである。以下実施の形態１との相違点を中心に説明する。図９において図６と同一の符号は同一又は相当の部分を表している。

　本実施の形態の動作について図９を用いて説明する。図９においては、ステップＳ２５より前の処理が図示されていないが、これより前の処理は図６と同様である。本実施の形態では実施の形態１と同様の動作によりステップＳ２５において第１認証部１４ｂが１：Ｎ認証を行った後、ステップＳ４１で、制御部１４ａが認証が成功したか否かを判断する。認証が成功している場合は、実施の形態１と同様に制御部１４ａは認証が成功したことを知らせる通知を、送受信部１６から出力する。

　一方、ステップＳ４１において認証がされなかった場合には、ステップＳ４２に進む。ステップＳ４２では、制御部１４ａは出力装置１７から利用者に識別番号２１ａの入力を促す音声（例えば「識別番号を入力してください」）を出力し、ステップＳ４３へと進む。ステップＳ４３では、入力装置１１は識別番号２１ａの入力をあらかじめ設定された時間（例えば１０秒）待機し、利用者により識別番号２１ａ番号が入力された場合は制御部１４ａが識別番号２１ａを取得しステップＳ２７へ進む。以後は実施の形態１と同様の処理により、識別番号２１ａに対応する登録生体情報２１ｃをダウンロードし（ステップＳ２７、ステップＳ２８、及びステップＳ２９）、１：１認証を行う（ステップＳ２１０）。一方、ステップＳ４３においてあらかじめ設定された時間、識別情報の入力がなかった場合は認証処理を終了する。

　なお、実施の形態１では、１：Ｎ認証で認証が成功しなかった場合に、入力生体情報を記憶部１５から削除すると説明したが、この実施の形態２においては、その場合でも削除せず、記憶部１５に保存しておいて、その入力生体情報をステップＳ２１０の１：１認証の際に用いる。そして、１：１認証で認証が成功しなかった場合に、制御部１４ａが記憶部１５に記憶されている識別番号２１ａと入力生体情報とを削除する。

　ここで、ステップＳ２５の１：Ｎ認証と、ステップＳ２１０の１：１認証とでは、登録生体情報２１ｃと入力生体情報との特徴点の一致度を用いた一致判定において、異なる閾値が用いられる。認証システムにおいては、要求されるセキュリティレベルに応じて、本人拒否率と他人受入率が設定される。例えば、本人拒否率は０．０００１％、他人受入率は０．００５％のように目標値が設定され、閾値が決められる。一致度は、比較対象の特徴が一致すればするほど高い数値になり、本人認証おいては、この一致度が閾値以上、または、閾値を超えた場合に、本人と認証され、それ以外の場合は他人と判断される。従って、閾値が低いほど、本人拒否率が低くなるが、反面、他人受入率が高くなってしまう。そのため、上述の本人拒否率、他人受入率が目標値に納まるようするためには、要求される本人拒否率及び他人受入率に基づいて閾値を適切な値に設定しなければならない。１：１認証においては、１つの登録生体情報２１ｃを使って照合を行うため、同じ閾値を使った場合でも、多数の登録生体情報２１ｃを用いる１：Ｎ認証よりも他人受入率が低くなる。そこで、この実施の形態の生体認証装置１は、１：１認証を１：Ｎ認証の閾値よりも低い閾値を用いて本人認証する、すなわち、１：１認証の本人拒否率を１：Ｎ認証の本人拒否率よりも低くなるように設定する。そのため、指の状態や読み取りの問題によって、利用者が本人であるにも関わらず１：Ｎ認証で認証が拒否された場合、さらに１：１認証を行うことで認証を成功させることができ、利便性が高いシステムを提供することができる。同時に、他人受入率を低くすることができるので、高いセキュリティを実現することができる。

　以上によれば、利用者は通常、識別番号２１ａを入力せずに１：Ｎ認証を行うことができるので、毎回、識別番号２１ａを入力するという作業をせずに済む。また、１：１認証が必要な場合は、生体認証装置１からの要求に従い、速やかに１：１認証を行うことができる。そのため、この認証システムは、利用者にとって使い勝手がよい。

　以上、実施の形態について説明したが、本発明はこの実施の形態に限定されるものではない。以下に構成についての変形例を示す。

　実施の形態において、サーバ２は各フロアに１台ずつ設置され、当該フロアにおける複数のゲート３毎に設置された複数台の生体認証装置１と接続しているが、サーバ２は１台で建物全体の生体認証装置１と接続してもよいし、インターネットを介して遠隔地にある生体認証装置１と接続するようにしてもよい。

　入力装置１１は利用者の識別情報を取得できるものであればどんなものでもよく、例えば、識別番号２１ａを記憶したＩＣ（Ｉｎｔｅｇｒａｔｅｄ　ｃｉｒｃｕｉｔ）カードを読み込むＩＣカードリーダーでもよいし、識別情報として顔や虹彩など他の生体情報を読み込むカメラでもよい。
　生体センサ１２は利用者の入力生体情報を取得できるものであれば、どんなものでもよく、例えば、虹彩を読み込むカメラでもよいし、静脈センサ等を用いてもよい。
　入力装置１１と生体センサ１２は生体認証装置１に取り付けられているが、プロセッサ１３とのデータのやり取りができれば、どのようなものでもよく、入力装置１１及び生体センサ１２は生体認証装置１から独立して設置されていてもよい。

　記憶部１５は登録生体情報２１ｃを記憶できるものであれば、どんなものでもよく、フラッシュメモリ以外の不揮発性メモリでもよいし、揮発性のものでもよい。
　プロセッサ１３の構成要素は、実施の形態に記載の機能を有していればどのようなものでもよく、例えば、フラッシュメモリである記憶部１５がプロセッサ１３の外に取り付けられていてもよいし、別のプロセッサが制御部１４ａとして生体認証装置１から独立して外部に備えられていてもよい。
　生体認証装置１の送受信部１６及びサーバ２の送受信部２２は、実施の形態の機能を有するものであれば、どんなものでもよく、例えば、信号線４をインターネットとした場合、送受信部１６及び送受信部２２はインターネット用の通信装置としてもよい。

　サーバ２は実施の形態の構成要素を含むものであれば、パーソナルコンピュータ等に置き換えてもよい。
　生体情報データベース２１は、少なくとも登録生体情報２１ｃと登録生体情報２１ｃの識別情報が対応付けて記憶されていればどんなものでもよく、例えば、識別番号２１ａが登録種別２１ｂの情報を含んでいてもよいし、これらの他に利用者の情報又は生体認証装置１の識別情報等を１つ以上対応付けて記憶していてもよい。
　識別番号２１ａは、入力装置１１が取得する情報及び登録生体情報２１ｃと対応していればどんなものでもよく、例えば、暗号化されていてもよいし、一つの識別番号２１ａに複数の登録生体情報２１ｃが対応付けて記憶されていてもよい。

　登録生体情報２１ｃは、生体センサ１２により取得される入力生体情報と照合できる情報であればどんなものでもよく、例えば顔の特徴点情報でもよいし、特徴点ではなく、輪郭線の特徴や、複数の要素の配置、画像の周波数成分の特徴、その他、全体についての情報でもよい。
　開錠信号送信部２４のインターフェイス、及び開錠信号の通信方式は、送受信部２２と同じものを用いても、異なるものを用いてもよい。
　ゲート３の電気錠３１は、生体認証システムから出力される信号により開錠するものであればどんなものでもよく、生体認証装置１から出力される信号により開錠するようにしてもよい。また、サーバ２又は生体認証装置１が開錠信号の代わりに電気錠３１に電力を供給し開錠するようにしてもよい。

　実施の形態において、信号線４はＲＳ－４２２をインターフェイスとする電気信号線であるが、ＲＳ－４８５等の他のインターフェイスを用いていてもよく、インターネット等の無線通信に置き換えてもよい。

　実施の形態において、出力装置１７は音声出力装置であるが、利用者に何らかの情報を知らせるものであればどんなものでもよく、例えば利用者が視認できるランプに置き換えてもよい。

　次に動作についての変形例を示す。

　実施の形態のステップＳ１２において、その起動が初回起動であるか否かを制御部１４ａが判定を行うが、ステップＳ１２を省略して、起動する度に登録生体情報２１ｃの取得要求を送信するようにしてもよい。

　実施の形態のステップＳ２１は起動処理終了後自動で開始するが、利用者による入力装置１１の操作により開始してもよい。また、ステップＳ１３の登録種別２１ｂが１：Ｎである登録生体情報２１ｃの取得要求は、ステップＳ２１より前であれば、いつ行われていてもよい。

　実施の形態のステップＳ１３及びステップＳ２７における、登録生体情報２１ｃの取得要求の通信方式はパケット交換方式であるが、他の通信方式でもよい。また、実施の形態において１：Ｎ認証に用いられる登録生体情報２１ｃの取得要求には要求する登録生体情報２１ｃの登録種別２１ｂが含まれており、１：１認証に用いられる登録生体情報２１ｃの取得要求には入力装置１１が取得した識別番号２１ａが含まれていてもよい。また、この取得要求は、上記の情報が特定できる情報が含まれていればどんな情報が含まれていてもよく、他に生体認証装置１の識別情報などが含まれていてもよい。

　実施の形態のステップＳ２５において、照合部１４の第１認証部１４ｂを用いて、入力生体情報と記憶部１５に記憶された複数の登録生体情報２１ｃとを照合する１：Ｎ認証を行うが、ここで照合される複数の登録生体情報２１ｃは、記憶されている全ての登録生体情報２１ｃであっても、そのうちの一部の登録生体情報２１ｃであってもよい。

　実施の形態のステップＳ２６では、入力された識別番号２１ａに対応する登録生体情報２１ｃが記憶部１５に記憶されているか否かを制御部１４ａが判断するが、ステップＳ２６を省略して、識別番号２１ａを伴って入力生体情報を取得する度に登録生体情報２１ｃの取得要求を送信するようにしてもよい。

　実施の形態のステップＳ２１０において、照合部１４の第２認証部１４ｃは、一度記憶部１５に記憶された登録生体情報２１ｃを用いて１：１認証を行うが、サーバ２から受信した登録生体情報２１ｃを記憶部１５に保存せず、第２認証部１４ｃが送受信部１６から受信した登録生体情報２１ｃと入力生体情報とを照合するようにしてもよい。

　また、認証のアルゴリズムは、入力生体情報と登録生体情報の一致を検出できるアルゴリズムであれば、マニューシャ・マッチング方式以外のアルゴリズムを用いてもよい。例えば、マニューシャ・リレーション方式、又はパターンマッチング方式等を用いることができる。また、入力生体情報として顔認証や声紋などを用いる場合は、それに対応したパターンマッチング法などのアルゴリズムを用いることができる。

　実施の形態のステップＳ３２では、サーバ２の制御部２３は生体情報データベース２１に登録されている登録種別２１ｂが１：Ｎである登録生体情報２１ｃを全件抽出するが、ここで抽出される登録生体情報２１ｃは、登録種別２１ｂが１：Ｎのもの全てではなく、その一部であってもよい。

　実施の形態２において、ステップＳ４３では識別番号２１ａの入力のみを検出し、入力があるまで待機しているが、実施の形態１のステップＳ２２と同様に識別番号２１ａ及び入力生体情報の両方の入力があるまで待機するようにしてもよい。また、実施の形態１のステップＳ２４及びステップＳ２６を実施の形態２に適用して、識別情報の入力が要求される以外は、実施の形態１と全く同様の動作をするようにしてもよい。

１　生体認証装置、２　サーバ、３　ゲート、４　信号線、１１　入力装置、１２　生体センサ、１３　プロセッサ、１４　照合部、１４ａ　制御部、１４ｂ　第１認証部、１４ｃ　第２認証部、１５　記憶部、１６　送受信部、１７　出力装置、２１　生体情報データベース２１ａ　識別番号、２１ｂ　登録種別、２１ｃ　登録生体情報、２２　送受信部、２３　制御部、２４　開錠信号送信部、３１　電気錠

Claims

　複数の対象者それぞれについて、予め登録された生体情報である登録生体情報と識別情報とを対応付けて記憶するサーバと、
　前記登録生体情報を要求する取得要求を送信し、前記サーバから複数の前記登録生体情報を受信する送受信部、
　利用者の生体情報を入力生体情報として取得するセンサ、
　前記利用者の識別情報を取得する入力装置、
　前記送受信部が受信した前記複数の登録生体情報を記憶する記憶部、並びに
　前記記憶部に記憶された前記複数の登録生体情報と前記入力生体情報とを照合する１対多認証、及び前記利用者の識別情報に対応する前記登録生体情報と前記入力生体情報とを照合する１対１認証を行い、
　前記入力装置により前記利用者の識別情報が取得されたか否かを判断し、取得されなかった場合には前記１対多認証を行い、取得された場合には前記サーバから前記利用者の識別情報に対応する前記登録生体情報を取得し取得した前記登録生体情報を用いて前記１対１認証を行い、
　前記センサが前記入力生体情報を取得する前に前記１対多認証に用いる前記複数の登録生体情報を前記送受信部に受信させる、
　照合部、
　を備えた生体認証装置と、
　を備えた生体認証システム。
　前記照合部は、前記入力装置により前記利用者の識別情報が取得された場合において、前記利用者の識別情報に対応する前記登録生体情報が、前記記憶部に既に記憶されている場合には、前記記憶部に既に記憶されている前記登録生体情報と前記入力生体情報とを照合する前記１対１認証を行うことを特徴とする請求項１に記載の生体認証システム。
　前記送受信部は、前記生体認証装置の起動時において前記１対多認証に用いる前記登録生体情報を受信し、前記入力装置により前記利用者の識別情報を取得した後に前記１対１認証に用いる前記登録生体情報を受信する、ことを特徴とする請求項１又は２に記載の生体認証システム。
　前記サーバは、前記複数の登録生体情報と認証方法の種別とを対応付けて記憶し、前記生体認証装置の起動時において、前記複数の登録生体情報のうち前記認証方法の種別が前記１対多認証である前記登録生体情報を抽出して前記生体認証装置へ送信することを特徴とする請求項１から３のいずれか１つに記載の生体認証システム。
　前記生体認証装置は、前記１対多認証において認証がされなかった場合に、本人拒否率が前記１対多認証の本人拒否率よりも低い前記１対１認証による認証行う、ことを特徴とする請求項１から４のいずれか１つに記載の生体認証システム。
　複数の対象者それぞれについて、予め登録された生体情報である登録生体情報と識別情報とを対応付けて記憶するサーバと、前記サーバと通信する生体認証装置と、を備えた生体認証システムの生体認証装置であって、
　前記登録生体情報を要求する取得要求を送信し、前記サーバから複数の前記登録生体情報を受信する送受信部と、
　利用者の生体情報を取得するセンサと、
　前記利用者の識別情報を取得する入力装置と、
　前記送受信部が受信した前記複数の登録生体情報を記憶する記憶部と、
　前記記憶部に記憶された前記複数の登録生体情報と前記入力生体情報とを照合する１対多認証、及び前記利用者の識別情報に対応する前記登録生体情報と前記入力生体情報とを照合する１対１認証を行い、
　　前記入力装置により前記利用者の識別情報が取得されたか否かを判断し、取得されなかった場合には前記１対多認証を行い、取得された場合には前記サーバから前記利用者の識別情報に対応する前記登録生体情報を取得し取得した前記登録生体情報を用いて前記１対１認証を行い、
　　前記センサが前記入力生体情報を取得する前に前記１対多認証に用いる前記複数の対象者の生体情報を前記送受信部に受信させる照合部と、
　を備えた生体認証装置。