WO2021106334A1

WO2021106334A1 - 鍵生成装置、鍵利用装置、及び鍵生成方法

Info

Publication number: WO2021106334A1
Application number: PCT/JP2020/035536
Authority: WO
Inventors: 高橋　健太
Original assignee: 株式会社日立製作所
Priority date: 2019-11-29
Filing date: 2020-09-18
Publication date: 2021-06-03
Also published as: CN114762287A; EP4068676A1; EP4068676A4; JP7339866B2; KR20220082061A; US20220405369A1; JP2021087167A

Abstract

高次元ユークリッド空間上の特徴ベクトルに基づくバイオメトリック暗号及びバイオメトリック署名において、高精度な認証を実現するための鍵生成装置であって、第１の生体情報の特徴を示す第１の特徴ベクトルと、１未満であって所定値より高い密度の球充填配置、又は１以上であって所定値より低密度の球被覆配置を特定するためのパラメータと、を保持し、当該パラメータに基づいて球充填配置又は球被覆配置を特定し、該特定した球充填配置又は球被覆配置に含まれる第１の点を選択し、第１の点に対して所定の第１変換を施して第１の鍵を生成し、第１の特徴ベクトルと第１の点とに基づいて、第１の生体情報に対応するテンプレートを生成する。

Description

鍵生成装置、鍵利用装置、及び鍵生成方法

参照による取り込み

　本出願は、２０１９年１１月２９日に出願された日本特許出願第２０１９－２１６４７９号の優先権を主張し、その内容を参照することにより、本出願に取り込む。

　本発明は、鍵生成装置、鍵利用装置、及び鍵生成方法に関する。

　指紋や静脈、顔、虹彩などの生体情報に基づいて個人を認証する生体認証技術が広く利用されている。従来の生体認証技術は、ユーザ登録時にユーザの生体情報から抽出した特徴データ（テンプレート）をシステムに登録しておき、ユーザ認証時に再びユーザの生体情報から抽出した特徴データをテンプレートと比較して、距離が十分近いならば認証成功、そうでなければ認証失敗と判定する。

　しかし生体情報は一般に取り替えることのできない情報であるため、いったん漏えいすると大きな問題となる。この問題に対し、生体情報を秘匿したまま認証する、テンプレート保護型生体認証技術が研究開発されている。その中で、生体情報から鍵データを生成し、暗号学的な認証、暗号化、署名生成などの処理を行う、バイオメトリック暗号と呼ばれる技術がある。

　バイオメトリック暗号では、登録時に生体情報の特徴データＸが変換されるとともに秘密鍵Ｋが埋め込まれることで、保護テンプレートＴが作成される。その後、新たに取得した生体情報の特徴データＸ’と保護テンプレートＴとから秘密鍵Ｋが復元される。復元に成功した場合、当該秘密鍵Ｋを用いて暗号学的な認証、暗号化及び復号化、並びに電子署名生成などの処理を行うことができる。バイオメトリック暗号において、ＴからＸが復元又は推定されることは十分困難でなくてはならない（安全性の要件）。またＸ’とＸの距離が近いならば、またそのときに限って、秘密鍵の復元処理に成功しなくてはならない。

　バイオメトリック暗号の実現方法として、例えば、非特許文献１に記載の技術は、特徴データＸ、Ｘ’がビット列で表現され、その近さがハミング距離で定義される場合に適用可能な方法や、特徴データＸ，Ｘ’が集合で表現され、その近さが｜Ｘ－Ｘ’｜＋｜Ｘ’－Ｘ｜で定義される場合に適用可能な方法が示されている。

　一方、バイオメトリクス認証の基礎となるパターン認識手法の多くは、特徴データを高次元ユークリッド空間上のベクトルとして表現し、近さをユークリッド距離又は正規化されたユークリッド距離（コサイン距離や正規化相互相関を含む）で定義する。例えば深層学習を用いた顔画像からの特徴ベクトル抽出及び照合手法や、指紋、掌紋、及び静脈など様々な画像に対する主成分分析や判別分析及び位相限定相関などの特徴ベクトル抽出及び照合手法は、生体情報から高次元空間の特徴ベクトルを抽出し、ユークリッド距離で照合する手法とみなすことができる。

　しかし、このようなユークリッド距離に対して、非特許文献１に記載の方法は適用できない。そこで、非特許文献２に記載の方法は、三角格子を用いることで近似的にユークリッド距離に基づくバイオメトリック暗号やバイオメトリック署名を実現しようと試みている。

Ｄｏｄｉｓ　Ｙ．，　Ｒｅｙｚｉｎ　Ｌ．，　Ｓｍｉｔｈ　Ａ．　著　"Ｆｕｚｚｙ　Ｅｘｔｒａｃｔｏｒｓ：　Ｈｏｗ　ｔｏ　Ｇｅｎｅｒａｔｅ　Ｓｔｒｏｎｇ　Ｋｅｙｓ　ｆｒｏｍ　Ｂｉｏｍｅｔｒｉｃｓ　ａｎｄ　Ｏｔｈｅｒ　Ｎｏｉｓｙ　Ｄａｔａ．"　Ｉｎ：　Ｃａｃｈｉｎ　Ｃ．，　Ｃａｍｅｎｉｓｃｈ　Ｊ．Ｌ．　（ｅｄｓ）　Ａｄｖａｎｃｅｓ　ｉｎ　Ｃｒｙｐｔｏｌｏｇｙ　－　ＥＵＲＯＣＲＹＰＴ　２００４．　ＥＵＲＯＣＲＹＰＴ　２００４．　Ｌｅｃｔｕｒｅ　Ｎｏｔｅｓ　ｉｎ　Ｃｏｍｐｕｔｅｒ　Ｓｃｉｅｎｃｅ，　ｖｏｌ　３０２７．　Ｓｐｒｉｎｇｅｒ，　Ｂｅｒｌｉｎ，　Ｈｅｉｄｅｌｂｅｒｇ，インターネット＜ＵＲＬ：https://www.iacr.org/archive/eurocrqｑypt2004/30270518/DRS-ec2004-final.pdf＞米山裕太、高橋健太、西垣正勝　著、「三角格子における最近傍点探索とそのＦｕｚｚｙ　Ｓｉｇｎａｔｕｒｅへの応用"　電子情報通信学会論文誌（Ａ）、ｖｏｌ．Ｊ９８－Ａ、ｎｏ．６」、ｐ．４２７－４３５、２０１５年６月

　しかし、非特許文献２に記載の方法は、次元が大きくなるほど認証精度が急速に（指数関数的に）劣化する問題があることが、実験により示されている。このため現実の生体情報に適用して実用的な認証精度を達成することは困難である。

　そこで本発明の一態様は、高次元ユークリッド空間上の特徴ベクトルに基づくバイオメトリック暗号及びバイオメトリック署名において、高精度な認証を実現することを目的とする。

　上記課題を解決するために本発明の一態様は以下の構成を採用する。生体情報から鍵を生成する鍵生成装置は、プロセッサとメモリとを有し、前記メモリは、第１の生体情報の特徴を示す第１の特徴ベクトルと、１未満であって所定値より高い密度の球充填配置、又は１以上であって所定値より低密度の球被覆配置を特定するためのパラメータと、を保持し、前記プロセッサは、前記パラメータに基づいて前記球充填配置又は前記球被覆配置を特定し、前記特定した前記球充填配置又は前記球被覆配置に含まれる第１の点を選択し、前記第１の点に対して所定の第１変換を施して第１の鍵を生成し、前記第１の特徴ベクトルと前記第１の点とに基づいて、前記第１の生体情報に対応するテンプレートを生成する。

　本発明の一態様は、高次元ユークリッド空間上の特徴ベクトルに基づくバイオメトリック暗号及びバイオメトリック署名において、高精度な認証を実現することができる。

　上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。

実施例１における生体認証システムの構成例を示すブロック図である。実施例１におけるは、テンプレート及び検証情報の登録処理の一例を示すフローチャートである。実施例１における認証処理の一例を示すフローチャートである。実施例１における鍵生成処理及びテンプレート生成処理の詳細な例を示すフローチャートである。実施例１における鍵復元処理の詳細な例を示すフローチャートである。実施例１における鍵登録端末、鍵利用端末、及びＤＢサーバそれぞれを構成する計算機のハードウェア構成例を示すブロック図である。

　以下、本発明の実施形態を図面に基づいて詳細に説明する。本実施形態において、同一の構成には原則として同一の符号を付け、繰り返しの説明は省略する。なお、本実施形態は本発明を実現するための一例に過ぎず、本発明の技術的範囲を限定するものではないことに注意すべきである。

　本実施例の生体認証システムは、ユーザの生体情報からテンプレートと、鍵を検証するための検証情報と、を作成して登録し、このテンプレートと新たに取得したユーザの生体情報とを用いて鍵を復元するとともに、当該鍵を用いてユーザ認証、データの暗号化及び復号化、並びに電子署名の作成等を行う。

　図１は、生体認証システムの構成例を示すブロック図である。生体認証システムは、例えば、インターネット等のネットワーク１３０によって互いに接続された、１以上の鍵登録端末１００、１以上の鍵利用端末１１０、及びＤＢ（ＤａｔａＢａｓｅ）サーバ１２０を含む。

　なお、鍵登録端末１００と、鍵利用端末１１０と、ＤＢサーバ１２０のうち、いずれか２つ、あるいは３つ全てが、同じ装置内に実装されていてもよい。またこれらの３つ全てが同じ装置内に実装されている場合、ネットワーク１３０はなくてもよい。

　鍵登録端末１００は、鍵登録端末１００は、ユーザの生体情報からテンプレートと検証情報を作成して登録する。鍵登録端末１００は、例えば、ユーザや他の装置からの入力及び他の装置からの出力を処理する入出力処理部１０１と、センサによってユーザから取得された顔や静脈等の登録用生体情報から登録用特徴データを抽出する特徴抽出部１０２と、鍵を生成する鍵生成部１０３と、登録用特徴データからテンプレートを生成するテンプレート生成部１０４と、鍵利用端末１１０が生成した鍵の正しさ（即ち鍵登録端末１００が生成した鍵と鍵利用端末１１０が生成した鍵が一致するか）を検証するための検証情報を生成する検証情報生成部１０５とを含む。また、鍵登録端末１００は、後述する球充填配置及び球被覆配置を指定するパラメータ等を保持するパラメータ記憶部１０６を有する。

　鍵利用端末１１０は、新たにユーザの生体情報を取得し、取得した生体情報とテンプレートとから鍵を復元し、ユーザ認証、データの暗号化及び復号化、並びに電子署名の作成等を行う。

　鍵利用端末１１０は、ユーザや他の装置からの入力及び他の装置からの出力を処理する入出力処理部１１１と、センサによってユーザから取得された生体情報から特徴データを抽出する特徴抽出部１１２と、特徴データとテンプレートとから鍵を復元する鍵復元部１１３と、鍵の正しさを検証する鍵検証部１１４と、鍵を用いて認証、暗号化、復号化、及び電子署名生成などの暗号学的処理を行う認証・暗号・署名部１１５と、を含む。また、鍵登録端末１００は、後述する球充填配置及び球被覆配置を指定するパラメータ等を保持するパラメータ記憶部１１６を有する。

　ＤＢサーバ１２０は、テンプレートや検証情報を登録及び管理する。ＤＢサーバ１２０はテンプレートおよび検証情報の登録や検索を行う登録・検索部１２１を含む。また、ＤＢサーバ１２０は、テンプレートを保持するテンプレートＤＢ１２３と、検証情報を保持する検証情報ＤＢ１２４と、を有する。なお、テンプレートＤＢ１２３は、テンプレートに対応するユーザＩＤを紐づけて保持してもよいし、検証情報ＤＢ１２４は、検証情報に対応するユーザＩＤを紐づけて保持してもよい。

　なおテンプレートＤＢ１２３と検証情報ＤＢ１２４は、それぞれ別々のサーバや端末に分散して管理されてもよい。このように分散管理することで、漏洩リスクに対してより安全性を高めることができる。またテンプレートと検証情報の少なくとも一方が鍵利用端末１１０内で保存及び管理されてもよい。また、テンプレートと検証情報の少なくとも一方が、ＩＣカードやＵＳＢメモリ、携帯端末、二次元コード化して印刷した紙などの可搬媒体や、スマートフォンなどの個人管理端末に保存及び管理されてもよい。

　図６は、鍵登録端末１００、鍵利用端末１１０、及びＤＢサーバ１２０それぞれを構成する計算機のハードウェア構成例を示すブロック図である。当該計算機は、ＣＰＵ（Ｃｏｎｔｒｏｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）６００、メモリ６０１、補助記憶装置６０２、入力装置６０３、出力装置６０４、通信装置６０５、及びセンサ６０６を含み、これらがバス等の内部通信線によって相互に接続されている。但し、ＤＢサーバ１２０を構成する計算機はセンサ６０６を含まなくてもよい。

　ＣＰＵ６００は、プロセッサを含み、メモリ６０１に格納されたプログラムを実行する。メモリ６０１は、不揮発性の記憶素子であるＲＯＭ及び揮発性の記憶素子であるＲＡＭを含む。ＲＯＭは、不変のプログラム（例えば、ＢＩＯＳ）などを格納する。ＲＡＭは、ＤＲＡＭ（Ｄｙｎａｍｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）のような高速かつ揮発性の記憶素子であり、プロセッサが実行するプログラム及びプログラムの実行時に使用されるデータを一時的に格納する。

　補助記憶装置６０２は、例えば、磁気記憶装置（ＨＤＤ）、フラッシュメモリ（ＳＳＤ）等の大容量かつ不揮発性の記憶装置であり、ＣＰＵ６００が実行するプログラム及びプログラムの実行時に使用されるデータを格納する。すなわち、プログラムは、補助記憶装置６０２から読み出されて、メモリ６０１にロードされて、ＣＰＵ６００によって実行される。

　計算機は、入力インターフェース及び出力インターフェースを有してもよい。入力インターフェースは、キーボードやマウスなどの入力装置６０３が接続され、オペレータからの入力を受けるインターフェースである。出力インターフェースはディスプレイ装置やプリンタなどの出力装置６０４が接続され、プログラムの実行結果をオペレータが視認可能な形式で出力するインターフェースである。通信装置６０５は、所定のプロトコルに従って、他の装置との通信を制御するネットワークインターフェース装置である。センサ６０６は、ユーザを特定するための生体情報を取得するセンサ（例えば撮影装置やマイク等）である。なお、センサ６０６は、計算機に含まれずに、入力インターフェースに接続されてもよい。

　ＣＰＵ６００が実行するプログラムは、他の装置の非一時的記憶装置から、リムーバブルメディア（ＣＤ－ＲＯＭ、フラッシュメモリなど）又はネットワーク１３０を介して計算機に提供され、非一時的記憶媒体である不揮発性の補助記憶装置６０２に格納される。このため、計算機は、リムーバブルメディアからデータを読み込むインターフェースを有するとよい。

　本実施形態の生体認証システムに含まれる各装置は、物理的に一つの計算機上で、又は、論理的又は物理的に構成された複数の計算機上で構成される計算機システムであり、同一の計算機上で別個のスレッドで動作してもよく、複数の物理的計算機資源上に構築された仮想計算機上で動作してもよい。

　なお、鍵登録端末１００の特徴抽出部１０２、鍵生成部１０３、テンプレート生成部１０４、及び検証情報生成部１０５は、鍵登録端末１００を構成する計算機のＣＰＵ６００が実行するプログラムにより実現される。同様に、鍵利用端末１１０の特徴抽出部１１２、鍵復元部１１３、鍵検証部１１４、及び認証・暗号・署名部１１５は、鍵利用端末１１０を構成する計算機のＣＰＵ６００が実行するプログラムにより実現される。同様にＤＢサーバ１２０の登録・検索部１２１は、ＤＢサーバ１２０を構成する計算機のＣＰＵ６００が実行するプログラムにより実現される。

　例えば、鍵登録端末１００を構成する計算機のＣＰＵ６００は、メモリ６０１にロードされた入出力処理プログラムに従って動作することで入出力処理部１０１として機能し、メモリ６０１にロードされた特徴抽出プログラムに従って動作することで特徴抽出部１０２として機能する。鍵登録端末１００に含まれる他の機能部とプログラムとの関係、及び認証システムに含まれる他の装置に含まれる機能部とプログラムとの関係についても、同様である。

　例えば、鍵登録端末１００のパラメータＤＢ１０６は、鍵登録端末１００を構成する計算機に含まれるメモリ６０１又は補助記憶装置６０２に含まれる記憶領域の一部によって構成される。同様に、鍵利用端末１１０のパラメータＤＢ１１６は、鍵利用端末１１０を構成する計算機に含まれるメモリ６０１又は補助記憶装置６０２に含まれる記憶領域の一部によって構成される。同様に、ＤＢサーバ１２０のテンプレートＤＢ１２３及び検証情報ＤＢ１２４は、ＤＢサーバ１２０を構成する計算機に含まれるメモリ６０１又は補助記憶装置６０２に含まれる記憶領域の一部によって構成される。

　なお、本実施形態において、認証システムに含まれる各装置が使用する情報は、データ構造に依存せずどのようなデータ構造で表現されていてもよい。例えば、テーブル、リスト、データベース又はキューから適切に選択したデータ構造体が、情報を格納することができる。

　図２は、テンプレート及び検証情報の登録処理の一例を示すフローチャートである。まず鍵登録端末１００の入出力処理部１０１は、ユーザ又はオペレータの操作に従って登録処理を開始する（Ｓ２００）。

　入出力処理部１０１は、鍵登録端末１００のセンサ６０６が取得したユーザの登録用生体情報を取得する（Ｓ２０１）。なお、入出力処理部１０１は、登録用生体情報の取得処理において、ユーザを識別するためのユーザＩＤを付与してもよい。ここで生体情報とは、ユーザの身体的特徴又は行動的特徴から得られるユーザを特定可能な情報である。同じユーザの生体情報であっても取得する度に誤差が生じ得るため（生体情報は、例えばセンサ６０６の撮影角度やノイズ、ユーザ自身の体調等の状態によって変化し得る）、生体情報はファジーな情報であるといえる。

　例えば、顔や手、指、目、静脈、虹彩、網膜などの身体の一部を、可視光あるいは赤外光、近赤外光、Ｘ線など任意の所定の波長の光で撮像した画像や動画像、ユーザの発話時の音声信号、及びユーザに対する各種身体計測によって得られる信号情報はいずれも生体情報の一例である。また手書きのサインやジェスチャ、及び行動を計測して得られるデータもいずれも生体情報の一例である。後述する鍵利用処理における鍵復元用生体情報についても同様である。

　特徴抽出部１０２は、ステップＳ２０１で取得した登録用生体情報から登録用特徴データを抽出する（Ｓ２０２）。例えば、登録用特徴データは、画像、ベクトル、信号、又は１つ以上の数値などの形式によって表現される。後述する鍵利用処理における鍵復元用特徴データについても同様である。

　鍵生成部１０３は、ステップＳ２０２で抽出された登録用特徴データから鍵ｓｋを生成する（Ｓ２０３）。鍵ｓｋは、所定の長さのビット列でもよいし、所定の桁数の整数や、所定の次元のベクトルや行列などの形式であってもよい。ステップＳ２０３の処理の詳細については後述する。

　テンプレート生成部１０４は、ステップＳ２０２で生成された登録用特徴データからテンプレートＴを生成する（Ｓ２０４）。ステップＳ２０４の処理の詳細については後述する。なお、ステップＳ２０４の処理は、ステップＳ２０３の処理の前に行われてもよいし、ステップＳ２０５の処理の後に行われてもよい。

　検証情報生成部１０５は、ステップＳ２０３で生成された鍵ｓｋから検証情報ｖｋを生成する（Ｓ２０５）。以下ではステップＳ２０５の処理の詳細な例を示す。

　鍵ｓｋから検証情報ｖｋを生成する方法の第一の例として、検証情報生成部１０５は、所定の一方向性関数Ｈａｓｈ（）を用いて下記の（式１）を計算する。

　ｖｋ＝Ｈａｓｈ（ｓｋ）・・・（式１）

　ＳＨＡ２５６やＳＨＡ３など任意の暗号学的ハッシュ関数はいずれもＨａｓｈ（）の一例である。線形ハッシュ関数もＨａｓｈ（）の一例である。

　鍵ｓｋから検証情報ｖｋを生成する方法の第二の例として、検証情報生成部１０５は、ある巡回群Ｇ＝＜ｇ＞（ｇはＧの生成元）と、鍵ｓｋが属する集合から整数全体の集合への写像φを用いて下記の（式２）を計算する。

　ｖｋ＝ｇ＾φ（ｓｋ）・・・（式２）

　このようにして作られる（ｓｋ，ｖｋ）の組は、ＥｌＧａｍａｌ暗号／署名、ＤＳＡ、Ｓｃｈｎｏｒｒ署名、又はそれらの楕円曲線版アルゴリズムなど、多くの公開鍵暗号／電子署名アルゴリズムにおける秘密鍵と公開鍵の組として扱うことができる。

　鍵ｓｋから検証情報ｖｋを生成する方法の第三の例として、検証情報生成部１０５は、鍵ｓｋの他に所定の検証情報生成用秘密鍵又は検証情報生成用パラメータ（ｐ）を用いて下記の（式３）を計算する。

　ｖｋ＝Ｅｎｃ（ｓｋ，ｐ）・・・（式３）

　ＡＥＳやＲＳＡなど任意の暗号化関数、及び鍵付きハッシュ関数はいずれもＥｎｃ（）の一例である。

　検証情報生成用秘密鍵又は検証情報生成用パラメータ（ｐ）は、ユーザ毎又は登録生体情報毎に検証情報生成部１０５が設定してもよいし、鍵利用端末１１０又は生体認証システム毎に検証情報生成部１０５が設定してもよいし予め設定されていてもよい。設定されたパラメータ（ｐ）は、パラメータＤＢ１０６に格納される。

　最後に入出力処理部１０１は、テンプレートＴをＤＢサーバ１２０のテンプレートＤＢ１２３に登録し、検証情報ｖｋをＤＢサーバ１２０の検証情報ＤＢ１２４に登録する（Ｓ２０６）。なお、入出力処理部１０１は、ステップＳ２００においてユーザＩＤを付与していた場合には、テンプレートＴをユーザＩＤと紐づけてテンプレートＤＢ１２３に登録し、検証情報ｖｋをユーザＩＤと紐づけてＤＢサーバ１２０の検証情報ＤＢ１２４に登録する。

　図３は、認証処理の一例を示すフローチャートである。まず鍵利用端末１１０の入出力処理部１１１は、ユーザ又はオペレータの操作に従って認証処理を開始する（Ｓ３００）。入出力処理部１１１は、鍵利用端末１１０のセンサ６０６が取得したユーザの認証用生体情報を取得する（Ｓ３０１）。なお、１：１認証を行う場合には、ステップＳ３０１において、入出力処理部１１１は、併せてユーザからユーザＩＤの入力を受け付ける。以下、１：１認証が行われるものとする。

　特徴抽出部１１２は、ステップＳ３０１で取得した認証用生体情報から認証用特徴データを抽出する（Ｓ３０２）。認証用特徴データの抽出方法はステップＳ２０２における抽出方法と同様である。

　入出力処理部１１１は、ＤＢサーバ１２０に対して、ステップＳ３０１で取得したユーザＩＤに対応するテンプレートＴをテンプレートＤＢ１２３から検索して読み出すよう要求し、ＤＢサーバ１２０の登録・検索部１２１はテンプレートＴを読み出して鍵利用端末１１０に送信し、鍵復元部１１３は受信したテンプレートＴと、認証用特徴データと、から鍵ｓｋ’を復元する（Ｓ３０３）。ステップＳ３０３の処理の詳細については後述する。

　入出力処理部１１１は、ＤＢサーバ１２０に対して、ステップＳ３０１で取得したユーザＩＤに対応する検証情報ｖｋを検証情報ＤＢ１２４から検索して読み出すよう要求し、ＤＢサーバ１２０の登録・検索部１２１は検証情報ｖｋを読みだして鍵利用端末１１０に送信し、鍵検証部１１４は鍵ｓｋ’の正しさ（すなわちｓｋ’＝ｓｋであるか否か）を受信した検証情報ｖｋを用いて検証する（Ｓ３０４）。

　以下ではステップＳ３０４の処理の詳細な例を示す。ステップＳ３０４の処理において、鍵検証部１１４は前述のステップＳ２０５の処理と同様の方法でｓｋ’からｖｋ’を生成し、ｖｋ’とｖｋを比較して一致か不一致かを判定する。具体的には、ステップＳ２０５において第一の例が採用された場合、鍵検証部１１４は、ｖｋ’＝Ｈａｓｈ（ｓｋ’）を算出する。

　ステップＳ２０５において第二の例が採用された場合、鍵検証部１１４は、ｖｋ’＝ｇ＾φ（ｓｋ’）を算出する。ステップＳ２０５において第三の例が採用された場合、鍵検証部１１４は、ｖｋ’＝Ｅｎｃ（ｓｋ’，ｐ）を算出する（但し、検証情報生成用秘密鍵又は検証情報生成用パラメータ（ｐ）はステップＳ２０５と同じ値を用いる）。

　なお、ステップＳ２０５において、第一の例、第二の例、及び第三の例のどの方法が用いられた場合であっても、用いられた方法を予め鍵登録端末１００と鍵利用端末１１０とで共有しているものとし、ステップＳ２０５において、及び第三の例の方法が用いられた場合には、検証情報生成用秘密鍵又は検証情報生成用パラメータ（ｐ）を予め鍵登録端末１００と鍵利用端末１１０とで共有しているものとする。

　ステップＳ３０４において鍵検証部１１４が検証に成功した場合（すなわちｓｋ’＝ｓｋと判定した場合）、認証・暗号・署名部１１５が、鍵ｓｋ’（＝ｓｋ）を用いて、例えばユーザ又はオペレータから要求された認証処理、暗号処理、及び／又は署名処理を行う（Ｓ３０５）。

　認証・暗号・署名部１１５は、認証処理を行う場合、例えば、所定のチャレンジコードに対してｓｋ’を秘密鍵として電子署名又はメッセージ認証コード（ＭＡＣ）を生成する。認証・暗号・署名部１１５は暗号処理を実行する場合、例えば、所定のメッセージデータに対してｓｋ’を暗号鍵として暗号化したり、所定の暗号文データに対してｓｋ’を復号鍵として復号化したりする。認証・暗号・署名部１１５は電子署名を実行する場合、例えば、所定のデータに対してｓｋ’を署名鍵として電子署名を生成する。

　図４は、ステップＳ２０３における鍵生成処理及びステップＳ２０４におけるテンプレート生成処理の詳細な例を示すフローチャートである。ステップＳ４０１～ステップＳ４０４がステップＳ２０３に含まれる処理であり、ステップＳ４０５がステップＳ２０４に含まれる処理である。

　鍵登録端末１００の鍵生成部１０３は、パラメータ記憶部１０６から、球充填配置パラメータ又は球被覆配置パラメータを読み込む（Ｓ４００）。ここで、球充填配置パラメータとは、ある球充填配置を指定するパラメータであり、球被覆配置パラメータとは、ある球被覆配置を指定するパラメータである。

　球充填配置（Ｓｐｈｅｒｅ　Ｐａｃｋｉｎｇ）とは、ｎ次元ユークリッド空間上の点Ｓ＿ｉの可算集合Ｌ＝｛Ｓ＿ｉ｜ｉ＝０，１，２，…｝であって、各点Ｓ＿ｉに対して、Ｓ＿ｉを中心とする所定の半径ｒ（例えばｒ＝１）のｎ次元超球の集合が、互いに重なりあわないような配置である。

　球被覆配置（Ｓｐｈｅｒｅ　Ｃｏｖｅｒｉｎｇ）とは、ｎ次元ユークリッド空間上の点の可算集合Ｌ＝｛Ｓ＿ｉ｜ｉ＝０，１，２，…｝であって、各点Ｓ＿ｉに対して、Ｓ＿ｉを中心とするある所定の半径ｒのｎ次元超球の集合が、ｎ次元空間全体を隙間なく覆いつくす配置である。ここで次元数ｎは、後述する特徴ベクトルの次元数ｎと同じであり、例えば、数十～数万程度の大きさである。以下、球充填配置または球被覆配置のことを、単に「配置」とも呼ぶ。

　配置Ｌ＝｛Ｓ＿ｉ｝が数学的に格子（Ｌａｔｔｉｃｅ）の構造を持つとき、Ｌを格子配置と呼ぶ。格子配置は、その格子が属する空間の基底行列Ｂで指定することができるので、球充填パラメータ又は球被覆配置パラメータとして基底行列Ｂが用いられてもよい。

　ある配置において、空間に対する球の体積（球被覆配置の場合は重複部分の体積も重複して足し合わせる）の割合のことを「密度」と呼ぶ。球充填配置の密度は０より大きく１以下の値であり、球被覆配置の密度は１以上の値である。最も高密度な球充填配置を「最密球充填配置」と呼び、最も低密度な（疎な）球被覆配置を「最疎球被覆配置」と呼ぶ。

　ｎ次元空間における最密充填配置や最疎球被覆配置は次元数ｎによって異なり、幾つかの次元数ｎに対しては最密充填配置や最疎球被覆配置の具体的な構成法が知られている。例えば次元数がｎ＝２４の場合、Ｌｅｅｃｈ格子（Ｌｅｅｃｈ　ｌａｔｔｉｃｅ）と呼ばれる配置が最密球充填配置であることが知られている。

　また、より高次元の空間に対しても、最密ではないものの密な球充填配置の構成法や、最疎ではないが疎な球被覆配置の構成法に関して、様々な方法が知られている。例えばＢＷ格子（Ｂａｒｎｅｓ－Ｗａｌｌ　ｌａｔｔｉｃｅ）と呼ばれる配置は、密な球充填配置の構成法として知られる。

　本実施例では、１未満であって所定の値（空間の次元数によって当該所定の値が異なってもよい）より高密度の球充填配置、又は１以上であって所定の値（空間の次元数によって当該所定の値が異なってもよい）より低密度な球被覆配置が用いられる。そのため、予めこのような配置が構成され、構成された配置を指定するパラメータがパラメータ記憶部１０６及びパラメータ記憶部１１６に格納されている。この特徴により、従来は困難であった、高次元ユークリッド空間上の特徴ベクトルを用いたバイオメトリック暗号やバイオメトリック署名を、高精度に実現することができる。この理由は後述する。

　なお非特許文献２は、三角格子を利用したバイオメトリック署名の方法を開示している。しかし三角格子は、高次元空間（ｎが数十以上）においては球充填配置としてまったく密ではなく、また球被覆配置としてまったく疎でもない。このため三角格子を実際の生体情報に適用しようとすると、大きな精度劣化を引き起こし、実用的ではない。

　ある配置Ｌ＝｛Ｓ＿ｉ｜ｉ＝０，１，２，…｝に対して、それをｔ倍（ｔは正の実数）にスケールした配置ｔ・Ｌ＝｛ｔ・Ｓ＿ｉ｜ｉ＝０，１，２，…｝は、ｔの値によらず同じ密度を持つ。

　一方でｔは、本実施例において、一般的な生体認証システムでいうところの「認証しきい値」の役割を果たし、ｔが大きいほど本人も他人も受理されやすくなり、ｔが小さいほど他人が拒否されやすくなるものの本人であっても拒否されやすくなる。球充配置パラメータ又は球被覆配置パラメータは、ｔの情報も含んでもよい。またユーザ毎に認証しきい値ｔを変える場合（例えばテンプレート登録処理の生体情報取得時にユーザによってｔが指定される）は、ｔをテンプレートＴに含めてもよい。

　続いて、鍵生成部１０３は、登録用特徴データを変換及び正規化して、登録用特徴ベクトルＸ＝（Ｘ＿１，…，Ｘ＿ｎ）を生成する（Ｓ４０１）。ここでＸはｎ次元ユークリッド空間上のベクトルであり、後述する鍵復元用特徴ベクトルＸ’＝（Ｘ’＿１，…，Ｘ’＿ｎ）との間の距離ｄ（Ｘ，Ｘ’）は、下記の（式４）が示すユークリッド距離で定義される。

　ｄ（Ｘ，Ｘ’）＝（（Ｘ＿１－Ｘ’＿１）＾２＋…＋（Ｘ＿ｎ－Ｘ’＿ｎ）＾２）＾（１／２）・・・（式４）

　このようなｎ次元ユークリッド空間上の特徴ベクトルを生成する方法として、例えば深層学習、主成分分析、及び判別分析などの機械学習手法を用いて、生体情報又は特徴データから特徴ベクトルを生成したり、特徴ベクトル抽出器を学習したりする方法などが知られている。なお一般的に、実用的な認証精度を実現するためには、特徴ベクトルの次元数ｎは数十～数万程度必要であり、高次元のユークリッド空間を扱う必要があることに注意が必要である。

　鍵生成部１０３は、球充填配置パラメータ又は球被覆配置パラメータが指定する配置Ｌ＝｛Ｓ＿ｉ｜ｉ＝０，１，２，…｝から、点Ｓを選択する（Ｓ４０２）。鍵生成部１０３は、具体的な選択方法として、例えば以下のいずれかの方法を用いることができる。

　（ａ）鍵生成部１０３は、Ｌの上で定義される所定の分布に従ってランダムにＳを選択する。この分布は例えばＬを台とする離散正規分布や、Ｌの所定の有限部分集合上の一様分布であってもよい。

　（ｂ）鍵生成部１０３は、Ｌの中で前記登録用特徴ベクトルＸに最も近い点（以下、Ｘの最近傍点とも呼ぶ）を選択する。

　（ｃ）Ｌが格子配置のとき、鍵生成部１０３は、格子配置の基底行列Ｂの逆行列をＸに掛けたベクトルＹ＝Ｂ＾（－１）Ｘを計算する。鍵生成部１０３は、Ｙの各成分の小数部分を切り捨て、または切り上げ、または丸め処理した整数ベクトルをＺとして算出する。鍵生成部１０３は、基底行列Ｂに前記整数ベクトルＺを掛けたベクトルＳ＝ＢＺを、Ｓとして選択する。

　鍵生成部１０３は、（ｂ）又は（ｃ）の方法を用いることで、後述する式８で算出される差分ベクトルＤの各成分の絶対値が（ａ）の方法に比べて小さくなる。従って、鍵生成部１０３が（ｂ）又は（ｃ）の方法を用いると、（ａ）の方法を用いる場合と比較して、テンプレートＴのデータサイズが小さくなり、効率的な記録ができる。

　続いて、鍵生成部１０３は、ソルトと呼ばれる値（ｓａｌｔ）を生成する（Ｓ４０３）。鍵生成部１０３は、例えば、所定の長さの文字列若しくはビット列、又は所定の範囲の数値をランダムに生成して、ソルトとしてもよい。また、鍵生成部１０３は、ユーザＩＤやカウンタなど、ユーザ毎又は登録生体情報毎に異なる値をソルトとして用いてもよい。ソルトの長さ（ｓビット）は、総当たり攻撃が困難となる程度の大きさ、例えばｓ＝１２８程度以上あることが望ましい。

　なお、鍵生成部１０３がステップＳ４０３の処理を実施しなくてもよく、この場合後述の処理にソルトが用いられなくてもよい。この場合、以降の処理におけるｓａｌｔを長さ０の文字列又はビット列として読み替えればよい。

　続いて、鍵生成部１０３は、点Ｓとソルトｓａｌｔとから鍵ｓｋを生成する（Ｓ４０４）。具体的には、鍵生成部１０３は、例えば、ＳＨＡ２５６やＳＨＡ３などの一方向性関数Ｈａｓｈ（）を用いた下記の（式５）を計算することでｓｋを算出する。

　ｓｋ＝Ｈａｓｈ（Ｓ｜｜ｓａｌｔ）・・・（式５）

　但し、｜｜はデータ連結を示す。また、鍵生成部１０３は、線形ハッシュ関数を用いてｓｋを算出してもよい。また、鍵生成部１０３は、ＡＥＳなどの暗号化関数又は鍵付きハッシュ関数Ｅｎｃ（）と、所定のパラメータ（ｐ）とを用いた下記の（式６）を計算することでｓｋを算出してもよい。

　ｓｋ＝Ｅｎｃ（Ｓ｜｜ｓａｌｔ，ｐ）・・・（式６）

　また、鍵生成部１０３は、線形関数ｆと、適切な写像ｇと、を用いた下記の（式７）を計算することでｓｋを算出してもよい。

　ｓｋ＝ｆ（Ｓ）＋ｇ（ｓａｌｔ）・・・（式７）

　以上がステップＳ２０３における鍵生成処理の詳細な例である。

　次にテンプレート生成ステップ（Ｓ２０４）の詳細な例を説明する。テンプレート生成部１０４は、点Ｓから登録用特徴ベクトルＸを引いた差分ベクトルＤを下記の（式８）を用いて算出し、Ｄとｓａｌｔとを組にしたテンプレートＴ＝（Ｄ，ｓａｌｔ）を生成する（Ｓ４０５）。

　Ｄ＝Ｘ－Ｓ・・・（式８）

　なお、テンプレート生成部１０４は、Ｄ＝Ｓ＋Ｘ、又はＤ＝Ｓ－Ｘとして算出してもよい。

　図５は、ステップＳ３０３における鍵復元処理の詳細の例を示すフローチャートである。鍵利用端末１１０の鍵復元部１１３は、パラメータ記憶部１１６から、球充填配置パラメータ又は球被覆配置パラメータ（鍵登録端末１００が鍵生成及びテンプレート生成において用いた配置におけるパラメータ）を読み込む（Ｓ５００）。なお、鍵登録端末１００が鍵生成及びテンプレート生成において、球充填配置と球被覆配置のどちらを用いるのかを示す情報を予め鍵利用端末１１０と共有しているものとする。

　鍵復元部１１３は、認証用特徴データを変換及び正規化して、認証用特徴ベクトルＸ’＝（Ｘ’＿１，…，Ｘ’＿ｎ）を生成する（Ｓ５０１）。鍵復元部１１３が、認証用特徴ベクトルＸ’と、テンプレートＴ＝（Ｄ，ｓａｌｔ）と、から、点Ｒを計算する（Ｓ５０２）。具体的には、例えば、鍵復元部１１３は、下記の（式９）を計算することで点Ｒを算出する。

　Ｒ＝Ｘ’－Ｄ・・・（式９）
　（式８）及び（式９）より、下記の（式１０）が成立する。

　Ｒ＝Ｘ’?（Ｘ－Ｓ）＝Ｓ＋（Ｘ’－Ｘ）・・・（式１０）である。

　鍵復元部１１３は、配置Ｌから、点Ｒの最近傍点Ｓ’を探索する（Ｓ５０３）。ここで（式１０）より、Ｘ’－Ｘが十分に短いベクトルであるならば、即ち認証用特徴ベクトルＸ’が登録用特徴ベクトルＸに十分近いならば、Ｒの最近傍点Ｓ’は、Ｓと一致することが期待できる。逆にＸ’がＸに近くない場合には、Ｓ’とＳは異なることが期待できる。従って認証用の生体情報が登録者本人のものであるならばＳ’＝Ｓとなり、他人ならばＳ’＝Ｓとはならない、と期待される。

　鍵復元部１１３は、点Ｓ’とテンプレートＴ＝（Ｄ，ｓａｌｔ）に含まれるソルトｓａｌｔから、鍵ｓｋ’を生成する（Ｓ５０４）。鍵ｓｋ’の具体的な生成方法は、ステップＳ４０４における鍵ｓｋの生成方法と同様である。Ｓ’＝Ｓならばｓｋ＝ｓｋ’となることが期待され、Ｓ’＝Ｓでなければｓｋ＝ｓｋ’とはならないことが期待される。従って正しいユーザ本人が認証用生体情報を入力した場合にのみ、正しい鍵を復元することができる。

　なお、１：Ｎ認証が行われる場合には、ステップＳ３０１において入出力処理部１１１はユーザＩＤを取得せず、例えば、ステップＳ３０３において入出力処理部１１１は、全てのテンプレートＴをＤＢサーバ１２０のテンプレートＤＢ１２３から取得する。さらに、ステップＳ３０４において入出力処理部１１１は、全ての検証情報をＤＢサーバ１２０の検証情報ＤＢ１２４から取得する。そして、例えば、全てのテンプレートＴそれぞれについてステップＳ３０３の処理が実行され、全ての検証情報それぞれについてステップＳ３０４の処理が実行される。

　前述の通り、本実施例の認証システムは高密度の球充填配置、又は低密度な球被覆配置を用いることを特徴としており、これによって従来のバイオメトリック暗号やバイオメトリック署名の手法よりも、高い認証精度を達成できるという効果を有する。以下ではその理由を説明する。

　本来、登録用特徴ベクトルＸに対して、登録者本人として受理される認証用特徴ベクトルＸ’の条件は、ユークリッド距離ｄ（Ｘ，Ｘ’）が所定のしきい値ｒ以下であることとして定義される。すなわち受理されるＸ’の集合（受理領域）は、ｎ次元空間においてＸを中心とする半径ｒの超球となる。

　一方で本実施例のバイオメトリック暗号やバイオメトリック署名における鍵復元処理では、ｎ次元空間上の配置Ｌ＝｛Ｓ＿ｉ｜ｉ＝０，１，２，…｝の中で、式１０の点Ｒ＝Ｓ＋Ｘ’－Ｘの最近傍点がＳである場合に、またその場合に限って正しい鍵ｓｋが復元され、本人として受理される。ここで、ｎ次元空間上でＳが最近傍点となるような領域（Ｓのボロノイセル）をＶ（Ｓ）とすると、Ｘ’が受理される必要十分条件は、下記の（式１１）で表現できる。

　Ｓ＋Ｘ’－Ｘ∈Ｖ（Ｓ）⇔Ｘ’∈Ｘ－Ｓ＋Ｖ（Ｓ）・・・（式１１）

　式１１の右辺のＸ－Ｓ＋Ｖ（Ｓ）は、Ｖ（Ｓ）をＸ－Ｓだけ平行移動した領域である。ここで、もしＶ（Ｓ）がＳを中心とする半径ｒの超球だと仮定すると、右辺はＸを中心とする半径ｒの超球となる。これは前述のユークリッド距離に基づく受理領域と一致し、認証精度も一致するため精度劣化は発生しない。しかし一般に、配置Ｌの各点Ｓに対するボロノイセルは超球とは一致せず、精度劣化が発生する。一般に、超球とボロノイセルの不一致領域が大きいほど精度劣化の程度も大きくなる。

　ところで、半径ｒの超球に関する球充填配置の各点のボロノイセルは、その定義から、半径ｒの超球を含む。そしてその密度が高いほど、ボロノイセルと超球の不一致領域は小さくなり、したがって精度劣化の程度も小さくなる。同様に、半径ｒの超球に関する球被覆配置の各点のボロノイセルは、半径ｒの超球に含まれる。そしてその密度が小さいほど、ボロノイセルと超球の不一致領域は小さくなり、したがって精度劣化の程度も小さくなる。

　従来のバイオメトリック暗号やバイオメトリック署名技術、例えば非特許文献１に記載の三角格子を用いる方法は、次元数ｎが４以上で大きくなるほど球充填配置としての密度は急速に低く、球被覆配置としての密度は急速に高くなる。このため精度劣化の程度も大きくなる。一方で例えばＢＷ格子やＬｅｅｃｈ格子などは、より高い次元でも球充填配置としての密度が高く、精度劣化の程度が小さくなる。

　以上の理由により、本実施例の認証システムは、高い認証精度（即ち本人受入率及び他人拒否率が高い）を達成するバイオメトリック暗号及びバイオメトリック署名を実現することができる。

　なお、本実施形態の認証システムは、生体情報に基づく、鍵、テンプレート、及び検証情報の生成、鍵の復元、並びに鍵の検証等を行っているが、人間を識別する生体情報に限らず、個体を識別するファジーな情報（例えば半導体デバイスを識別するＰＵＦ（Ｐｈｙｓｉｃａｌｌｙ　Ｕｎｃｌｏｎａｂｌｅ　Ｆｕｎｃｔｉｏｎ）等）に基づく、鍵、テンプレート、及び検証情報の生成、鍵の復元、並びに鍵の検証等を行ってもよい。

　なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることも可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。

　また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）等の記録装置、又は、ＩＣカード、ＳＤカード、ＤＶＤ等の記録媒体に置くことができる。

　また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。

Claims

　生体情報から鍵を生成する鍵生成装置であって、
　プロセッサとメモリとを有し、
　前記メモリは、
　第１の生体情報の特徴を示す第１の特徴ベクトルと、
　１未満であって所定値より高い密度の球充填配置、又は１以上であって所定値より低密度の球被覆配置を特定するためのパラメータと、を保持し、
　前記プロセッサは、
　前記パラメータに基づいて前記球充填配置又は前記球被覆配置を特定し、
　前記特定した前記球充填配置又は前記球被覆配置に含まれる第１の点を選択し、
　前記第１の点に対して所定の第１変換を施して第１の鍵を生成し、
　前記第１の特徴ベクトルと前記第１の点とに基づいて、前記第１の生体情報に対応するテンプレートを生成する、鍵生成装置。
　請求項１に記載の鍵生成装置であって、
　前記パラメータが特定する球充填配置又は前記球被覆配置は、格子配置であり、
　前記プロセッサは、
　前記格子配置の基底行列の逆行列を前記第１の特徴ベクトルに掛けたベクトルＹを算出し、
　前記ベクトルＹの各成分の小数部分を切り捨て、切り上げ、又は丸め処理をした整数ベクトルＺを算出し、
　前記基底行列に前記整数ベクトルＺを掛けたベクトルを前記第１の点として選択する、鍵生成装置。
　請求項１に記載の鍵生成装置であって、
　前記プロセッサは、前記特定した前記球充填配置又は前記球被覆配置から、所定の分布に従ってランダムに前記第１の点を選択する、鍵生成装置。
　請求項１に記載の鍵生成装置であって、
　前記プロセッサは、
　前記特定した前記球充填配置又は前記球被覆配置における前記第１の特徴ベクトルの最近傍点を前記第１の点として選択する、
ことを特徴とする、鍵生成装置。
　請求項１に記載の鍵生成装置であって、
　第１変換は、ハッシュ関数、鍵付きハッシュ関数、暗号化関数、及び線形ハッシュ関数の少なくとも１つによる変換を含む、鍵生成装置。
　請求項１に記載の鍵生成装置であって、
　前記プロセッサは、前記第１の鍵に対して所定の第２変換を施して、前記第１の鍵が復元され場合における前記復元された鍵の正当性を検証するための検証情報を生成する、鍵生成装置。
　請求項６に記載の鍵生成装置であって、
　前記第２変換は、ハッシュ関数、鍵付きハッシュ関数、暗号化関数、及び線形ハッシュ関数の少なくとも１つによる変換を含む、鍵生成装置。
　生体情報から生成された鍵を利用する鍵利用装置であって、
　プロセッサとメモリとを有し、
　前記メモリは、
　第１の生体情報から生成されたテンプレートと、
　前記第１の生体情報から生成された第１の鍵を検証するための検証情報と、
　第２の生体情報の特徴を示す第２の特徴ベクトルと、
　１未満であって所定値より高密度の球充填配置、又は１以上であって所定値より低密度の球被覆配置を特定するためのパラメータと、を保持し、
　前記テンプレートは、前記パラメータに基づいて特定された前記球充填配置又は前記球被覆配置に含まれる第１の点と、前記第１の生体情報の特徴を示す第１の特徴と、に基づいて、生成されたものであり、
　前記第１の鍵は、前記第１の点に対して所定の第１変換が施されることによって生成されたものであり、
　前記検証情報は、前記第１の鍵に対して所定の第２変換を施すことによって生成されたものであり、
　前記プロセッサは、
　前記第２の特徴ベクトルと前記テンプレートとから第２の点を算出し、
　前記球充填配置又は配置における前記第２の点の最近傍点を第３の点として算出し、
　前記第３の点に前記第１変換を施して第２の鍵を生成し、
　前記第２の鍵に前記第２変換を施した値と、前記検証情報と、を比較して、前記第１の鍵と前記第２の鍵とが同一の生体の生体情報から生成されたか否かを判定する、鍵利用装置。
　請求項８に記載の鍵利用装置であって、
　前記プロセッサは、前記第２の鍵に前記第２変換を施した値と、前記検証情報と、を比較して、前記第１の鍵と前記第２の鍵とが同一の生体の生体情報から生成されたと判定した場合、前記第２の鍵を用いた、認証処理、暗号化処理、及び署名処理の少なくとも１つを実行する、鍵利用装置。
　生体情報から鍵を生成する鍵生成装置による鍵生成方法であって、
　前記鍵生成装置は、
　第１の生体情報の特徴を示す第１の特徴ベクトルと、
　１未満であって所定値より高い密度の球充填配置、又は１以上であって所定値より低密度の球被覆配置を特定するためのパラメータと、を保持し、
　前記鍵生成方法は、
　前記鍵生成装置が、前記パラメータに基づいて前記球充填配置又は前記球被覆配置を特定し、
　前記鍵生成装置が、前記特定した前記球充填配置又は前記球被覆配置に含まれる第１の点を選択し、
　前記鍵生成装置が、前記第１の点に対して所定の第１変換を施して第１の鍵を生成し、
　前記鍵生成装置が、前記第１の特徴ベクトルと前記第１の点とに基づいて、前記第１の生体情報に対応するテンプレートを生成する、鍵生成方法。