WO2021192150A1

WO2021192150A1 - 認証システム、ユーザ端末、認証方法、及びプログラム

Info

Publication number: WO2021192150A1
Application number: PCT/JP2020/013707
Authority: WO
Inventors: 拓也北川; 永男蔡
Original assignee: 楽天グループ株式会社
Priority date: 2020-03-26
Filing date: 2020-03-26
Publication date: 2021-09-30
Also published as: JPWO2021192150A1; TW202139036A; TWI776436B; JP6907426B1

Abstract

認証システム（Ｓ）の第１登録手段（１０２）は、第１情報の第１部分を、第１装置（２０）に登録する。第２登録手段（１０４）は、第１情報の第２部分を、第２情報に関連付けて第２装置（１０）に登録する。認証手段（１０５）は、第１部分、第２部分、及び第２情報に基づいて、認証をする。制限手段（１０６）は、互いに同じ又は類似する複数の第２部分の各々に、互いに同じ又は類似する第２情報が関連付けられることを制限する。

Description

認証システム、ユーザ端末、認証方法、及びプログラム

　本開示は、認証システム、ユーザ端末、認証方法、及びプログラムに関する。

　従来、セキュリティを高めるための認証技術が知られている。例えば、特許文献１には、ユーザの指紋パターンの第１部分をユーザＩＤに関連付けてユーザ端末に登録し、指紋パターンの第２部分をユーザＩＤに関連付けてサーバに登録するシステムが記載されている。ユーザがユーザ端末の指紋センサに指を乗せると、指紋センサが検出した指紋パターンとともに、ユーザ端末に登録された第１部分とユーザＩＤがサーバに送信される。サーバは、受信した第１部分と、受信したユーザＩＤに関連付けられて自身に登録された第２部分と、を結合する。サーバは、結合した指紋パターンと、受信した指紋パターンと、を比較して認証を行う。

特開２００２－３１２３１７号公報

　特許文献１の技術では、ユーザ端末にユーザＩＤが登録されているので、ユーザＩＤが漏洩するリスクがある。ユーザＩＤの漏洩リスクを回避するために、例えば、ランダムな数値を生成してユーザ端末に登録し、ユーザＩＤの代わりに利用することが考えられる。しかしながら、第２部分が互いに類似する複数のユーザに対し、同じ数値が付与されるとなりすましが可能になり、セキュリティが十分ではない。

　本開示の目的は、セキュリティを高めることである。

　本開示の一態様に係る認証システムは、第１情報の第１部分を、第１装置に登録する第１登録手段と、前記第１情報の第２部分を、第２情報に関連付けて第２装置に登録する第２登録手段と、前記第１部分、前記第２部分、及び前記第２情報に基づいて、認証をする認証手段と、互いに同じ又は類似する複数の前記第２部分の各々に、互いに同じ又は類似する前記第２情報が関連付けられることを制限する制限手段と、を含む。

　本開示の一態様に係るユーザ端末は、第１情報の第１部分を取得する第１取得手段と、前記第１情報の第２部分が登録されるサーバであって、互いに同じ又は類似する複数の前記第２部分の各々に、互いに同じ又は類似する第２情報が関連付けられることを制限するサーバから、前記第２情報を取得する第２取得手段と、前記第１部分と前記第２情報を記憶する記憶手段と、認証が行われる場合に、外部装置に対し、前記第１部分と前記第２情報を送信する送信手段と、含む。

　本開示の一態様に係る認証方法は、第１情報の第１部分を、第１装置に登録する第１登録ステップと、前記第１情報の第２部分を、第２情報に関連付けて第２装置に登録する第２登録ステップと、前記第１部分、前記第２部分、及び前記第２情報に基づいて、認証をする認証ステップと、互いに同じ又は類似する複数の前記第２部分の各々に、互いに同じ又は類似する前記第２情報が関連付けられることを制限する制限ステップと、を含む。

　本開示の一態様に係るプログラムは、第１情報の第１部分を、第１装置に登録する第１登録手段、前記第１情報の第２部分を、第２情報に関連付けて第２装置に登録する第２登録手段、前記第１部分、前記第２部分、及び前記第２情報に基づいて、認証をする認証手段、互いに同じ又は類似する複数の前記第２部分の各々に、互いに同じ又は類似する前記第２情報が関連付けられることを制限する制限手段、としてコンピュータを機能させる。

　本開示の一態様によれば、前記制限手段は、互いに異なる又は類似しない複数の前記第２部分の各々に、互いに同じ又は類似する前記第２情報が関連付けられることを許可する。

　本開示の一態様によれば、前記認証システムは、所定の登録申請を受け付ける受付手段を更に含み、前記制限手段は、前記登録申請をしたユーザの前記第２部分に、前記第２部分が同じ又は類似する他のユーザと同じ又は類似する前記第２情報が関連付けられることを制限する。

　本開示の一態様によれば、前記制限手段は、前記他のユーザの前記第２部分に関連付けられていない第２情報を検索し、前記第２登録手段は、前記登録申請をしたユーザの前記第２部分に、検索された前記第２情報を関連付けて登録する。

　本開示の一態様によれば、前記認証システムは、前記登録申請をしたユーザの前記第２情報の候補を生成する生成手段を更に含み、前記制限手段は、前記候補と、前記他のユーザの前記第２情報と、が同じ又は類似する場合に、前記候補は、前記登録申請をしたユーザの前記第２情報とせず、前記候補と、前記他のユーザの前記第２情報と、が異なる又は類似しない場合に、前記候補を、前記登録申請をしたユーザの前記第２情報とする。

　本開示の一態様によれば、前記第１装置は、ユーザ端末であり、前記第２装置は、サーバであり、前記認証手段は、入力された前記第１情報及び前記第２情報と、前記ユーザ端末の前記第１部分と、前記サーバの前記第２部分及び前記第２情報と、に基づいて、前記認証を行う。

　本開示の一態様によれば、前記第１登録手段は、前記ユーザ端末に前記第１部分と前記第２情報とを登録し、入力された前記第２情報は、前記ユーザ端末に登録された前記第２情報である。

　本開示の一態様によれば、前記ユーザ端末は、近距離無線通信を利用して、入力された前記第１情報を取得するための認証装置に、前記第１部分を送信し、前記認証装置は、前記認証手段に対し、前記ユーザ端末から受信した前記第１部分を送信する。

　本開示の一態様によれば、前記近距離無線通信は、アドバタイジングパケットを利用可能な通信規格であり、前記ユーザ端末は、前記アドバタイジングパケットを利用して、前記認証装置に対して前記第１部分を送信する。

　本開示の一態様によれば、前記認証手段は、前記第１装置に登録された前記第１部分と、前記第２装置に登録された前記第２部分と、を結合して前記第１情報を取得し、入力された前記第１情報と結合された前記第１情報との類似性と、入力された前記第２情報と前記第２装置の前記第２情報との同一性と、に基づいて、前記認証を行い、前記制限手段は、互いに類似する前記第２部分の各々に、互いに同じ前記第２情報が関連付けられることを制限する。

　本開示の一態様によれば、前記第２装置に記憶された複数のデータベースの各々に、複数のユーザの各々の前記第２部分が登録され、前記第２情報は、前記データベースの識別情報であり、前記認証手段は、入力された前記第２情報により識別される前記データベースに登録された前記第２部分に基づいて、結合された前記第１情報を取得する。

　本開示の一態様によれば、前記第１情報は、生体情報であり、前記第２情報は、前記第２装置に登録された前記第２部分を検索するための検索情報であり、前記認証は、前記第１部分と、前記検索情報により検索された前記第２部分と、に基づく生体認証である。

　本開示の一態様によれば、前記認証手段は、所定の判定アルゴリズムに基づいて、入力された前記第１情報と、登録された前記第１部分及び前記第２部分を結合した前記第１情報と、が同じ又は類似するか否かを判定することによって、前記認証を行い、前記制限手段は、前記判定アルゴリズムと同じ判定アルゴリズムに基づいて、互いに同じ又は類似する前記複数の第２部分が存在するか否かを判定する。

　本開示によれば、セキュリティを高めることができる。

認証システムの全体構成を示す図である。認証システムが利用される場面の一例を示す図である。登録申請画面の一例を示す図である。登録完了画面の一例を示す図である。認証システムにおける認証の流れを示す図である。なりすましが可能になる場合の一例を示す図である。登録申請時の処理の一例を示す図である。本実施形態の認証システムで実現される機能の一例を示す機能ブロック図である。ユーザデータベースのデータ格納例を示す図である。登録処理の一例を示すフロー図である。認証処理の一例を示すフロー図である。

［１．認証システムの全体構成］
　以下、認証システムの実施形態の例を説明する。図１は、認証システムの全体構成を示す図である。図１に示すように、認証システムＳは、サーバ１０、ユーザ端末２０、及び認証装置３０を含み、これらは、インターネットなどのネットワークＮに接続可能である。なお、図１では、サーバ１０、ユーザ端末２０、及び認証装置３０の各々を１台ずつ示しているが、これらは複数台あってもよい。

　サーバ１０は、サーバコンピュータである。サーバ１０は、制御部１１、記憶部１２、及び通信部１３を含む。制御部１１は、少なくとも１つのプロセッサを含む。制御部１１は、記憶部１２に記憶されたプログラムやデータに従って処理を実行する。記憶部１２は、主記憶部及び補助記憶部を含む。例えば、主記憶部はＲＡＭなどの揮発性メモリであり、補助記憶部は、ＲＯＭ、ＥＥＰＲＯＭ、フラッシュメモリ、又はハードディスクなどの不揮発性メモリである。通信部１３は、有線通信又は無線通信用の通信インタフェースであり、ネットワークＮを介してデータ通信を行う。

　ユーザ端末２０は、ユーザが操作するコンピュータである。例えば、ユーザ端末２０は、携帯電話機（スマートフォンを含む）、携帯情報端末（タブレット型コンピュータ及びウェアラブル端末を含む）、又は、パーソナルコンピュータ等である。本実施形態では、ユーザ端末２０は、制御部２１、記憶部２２、通信部２３、操作部２４、表示部２５、及び撮影部２６を含む。制御部２１、記憶部２２、及び通信部２３の物理的構成は、それぞれ制御部１１、記憶部１２、及び通信部１３と同様であってよい。

　操作部２４は、入力デバイスであり、例えば、タッチパネルやマウス等のポインティングデバイス、キーボード、又はボタン等である。操作部２４は、操作内容を制御部２１に伝達する。表示部２５は、例えば、液晶表示部又は有機ＥＬ表示部等である。表示部２５は、制御部２１の指示に従って画像を表示する。

　撮影部２６は、少なくとも１台のカメラを含む。例えば、撮影部２６は、ＣＣＤイメージセンサやＣＭＯＳイメージセンサなどの撮像素子を含み、当該撮像素子が撮影した画像をデジタルデータとして記録する。画像は、静止画であってもよいし、所定のフレームレートで連続的に撮影された動画であってもよい。

　認証装置３０は、認証に使用されるコンピュータである。例えば、認証装置３０は、携帯電話機、携帯情報端末、又は、パーソナルコンピュータ等である。本実施形態では、認証装置３０は、制御部３１、記憶部３２、通信部３３、操作部３４、表示部３５、及び撮影部３６を含む。制御部３１、記憶部３２、通信部３３、操作部３４、表示部３５、及び撮影部３６の物理的構成は、それぞれ制御部１１、記憶部１２、通信部１３、操作部２４、表示部２５、及び撮影部２６と同様であってよい。

　なお、記憶部１２，２２，３２に記憶されるものとして説明するプログラム及びデータは、ネットワークＮを介して供給されるようにしてもよい。また、上記説明した各コンピュータのハードウェア構成は、上記の例に限られず、種々のハードウェアを適用可能である。例えば、コンピュータ読み取り可能な情報記憶媒体を読み取る読取部（例えば、光ディスクドライブやメモリカードスロット）や外部機器とデータの入出力をするための入出力部（例えば、ＵＳＢポート）が含まれていてもよい。例えば、情報記憶媒体に記憶されたプログラムやデータが読取部や入出力部を介して供給されてもよい。

［２．認証システムの概要］
　認証システムＳは、任意の場面においてユーザの正当性を確認するために、認証を実行する。認証は、ユーザが所定の資格を有するか否かを確認する行為である。認証は、相手認証又は本人認証と呼ばれることもある。認証システムＳは、種々のタイプの認証を実行可能であり、例えば、２次元コード認証、生体認証、パスコード認証、パスワード認証、電子スタンプ認証、又は合言葉認証を実行可能である。

　生体認証は、人間の身体的特徴又は行動的特徴を利用する認証方法である。例えば、身体的特徴を利用する生体認証には、顔認証、指紋認証、ＤＮＡ認証、掌形認証、網膜認証、虹彩認証、静脈認証、又は音声認証がある。また例えば、行動的特徴を利用する生体認証には、筆跡認証、キーストローク認証、リップムーブメント認証、まばたき認証、又は歩行認証がある。

　本実施形態では、ユーザがセキュリティゲートを通過する場面を例に挙げて、認証システムＳの処理を説明する。なお、認証システムＳは、後述する変形例のように、種々の場面に適用可能である。認証システムＳが適用される場面は、本実施形態の例に限られない。

　図２は、認証システムＳが利用される場面の一例を示す図である。図２に示すように、セキュリティゲートＳＧは、回転式のドアを含む。セキュリティゲートＳＧは、認証装置３０が接続されている。セキュリティゲートＳＧのドアは、ロック機構によりロックされている。ユーザの認証が成功すると、ロックが解除される。セキュリティゲートＳＧは、勤務先の会社や公共施設などの任意の施設に配置される。入場する資格を有する者だけがセキュリティゲートＳＧを通過できる。

　本実施形態では、ユーザを認証する認証方法として、顔認証を例に挙げる。ユーザは、認証システムＳが提供する認証サービスを利用するにあたり、所定の利用登録を行う。ユーザが利用登録を完了させると、ユーザを一意に識別するユーザＩＤが発行される。ユーザが入力した氏名などの情報は、サーバ１０に登録される。ユーザは、利用登録時又はその後の任意のタイミングで、顔写真の登録申請を行う。例えば、ユーザがユーザ端末２０を操作してサーバ１０にアクセスすると、登録申請をするための登録申請画面がユーザ端末２０に表示される。

　図３は、登録申請画面の一例を示す図である。図３に示すように、登録申請画面Ｇ１には、ユーザＩＤを入力するための入力フォームＦ１０、パスワードを入力するための入力フォームＦ１１、及び顔写真をアップロードするための入力フォームＦ１２、及び登録申請をするためのボタンＢ１３が表示される。なお、パスワードは、セキュリティゲートＳＧを通過するためではなく、自身の登録情報の変更などの他の目的で利用される。

　例えば、ユーザ端末２０の記憶部２２にユーザの顔写真が記憶されている。ユーザは、入力フォームＦ１２にファイル名を入力して、アップロードする顔写真を指定する。即ち、ユーザは、入力フォームＦ１２に、顔認証で用いる顔写真を指定する。本実施形態では、説明の簡略化のために、顔写真を１枚だけ登録する場合を説明するが、複数の顔写真が登録されてもよい。なお、ユーザは、撮影部２６を起動して、その場で顔写真を撮影してもよい。

　ユーザが、入力フォームＦ１０～Ｆ１２の各々に情報を入力してボタンＢ１３を選択すると、顔写真がサーバ１０にアップロードされる。サーバ１０は、顔写真に基づいて、ユーザの顔の特徴量を計算する。顔の特徴量は、サーバ１０で一括管理されるのではなく、サーバ１０とユーザ端末２０とで分散管理される。

　本実施形態では、顔の特徴量の第１部分は、ユーザ端末２０に登録される。顔の特徴量の第２部分は、サーバ１０に登録される。なお、顔の特徴量の第２部分は、複数のサーバに分散管理されていてもよい。第１部分は、顔の特徴量のうちの一部分である。第２部分は、第１部分とは異なる部分である。第１部分と第２部分は、その一部が重複してもよい。顔の特徴量は、第１部分と第２部分だけではなく、３つ以上の部分に分割されてもよい。顔の特徴量のうち、どの部分が第１部分及び第２部分になるかについては、予め定められているものとする。第１部分及び第２部分は、任意の部分であればよく、本実施形態の例に限られない。

　例えば、顔の特徴量は、ｎ次元（ｎは自然数）のベクトルで表現される。本実施形態では、ｎの数値を５とする。例えば、５次元ベクトルのうち、前半の２つの要素は、第１部分としてユーザ端末２０に登録される。５次元ベクトルのうち、後半の３つの要素は、第２部分としてサーバ１０に登録される。顔の特徴量が（２．４，１．５，３．６，４．３，８．９）だったとすると、（２．４，１．５）の部分は、第１部分としてユーザ端末２０に登録される。（３．６，４．３，８．９）の部分は、第２部分としてサーバ１０に登録される。

　サーバ１０は、少なくとも１人のユーザの第２部分が登録されるデータベースを記憶する。サーバ１０は、複数のデータベースを記憶する。本実施形態では、各データベースにＤＢ番号が割り振られている。ＤＢ番号は、データベースを一意に識別する情報である。ＤＢ番号は、データベースの名前又はＩＤということもできる。本実施形態では、このデータベースを第２部分データベースという。

　ユーザの第２部分は、何れかの第２部分データベースに登録される。ユーザ端末２０には、ユーザの第１部分だけではなく、第２部分が登録された第２部分データベースのＤＢ番号も登録される。第１部分、第２部分、及びＤＢ番号の各々の登録が完了すると、登録完了画面が表示部２５に表示される。

　図４は、登録完了画面の一例を示す図である。図４に示すように、登録完了画面Ｇ２には、登録が完了したことを示すメッセージ等が表示される。登録完了画面Ｇ２には、ユーザ端末２０に登録された第１部分とＤＢ番号が表示されてもよい。登録が完了すると、ユーザは、認証を実行してセキュリティゲートＳＧを通過できるようになる。

　図５は、認証システムＳにおける認証の流れを示す図である。図５の例では、ユーザ端末２０に、第１部分（２．４，１．５）と、ＤＢ番号「１５７８１３」と、が登録されている。ユーザ端末２０は、Ｂｌｕｅｔｈｏｏｔｈ（登録商標）やＷｉ－Ｆｉ（登録商標）などの近距離無線通信を利用して、自身に登録されたこれらの情報を周囲に送信する。例えば、ユーザ端末２０は、アドバタイジングパケットに、第１部分とＤＢ番号を格納して周囲に送信してもよい。

　ユーザが認証装置３０に近づくと、認証装置３０は、近距離無線通信を利用して、ユーザ端末２０から、第１部分（２．４，１．５）と、ＤＢ番号「１５７８１３」と、を受信する。ユーザは、認証装置３０の表示部３５に表示された案内に従い、撮影部３６に自身の顔を撮影させる。認証装置３０は、サーバ１０に対し、第１部分（２．４，１．５）、ＤＢ番号「１５７８１３」、及び撮影部３６により撮影された画像を送信する。

　サーバ１０は、認証装置３０から受信した画像に写された顔の特徴量を計算する。この特徴量は、５次元のベクトルで表現される。例えば、サーバ１０は、画像に写された顔の特徴量として、（２．４，１．５，３．６，４．３，８．９）を取得する。この特徴量は、認証時のクエリに相当する。

　サーバ１０は、認証装置３０から受信したＤＢ番号「１５７８１３」の第２部分データベースＤＢ１を参照する。サーバ１０は、認証装置３０から受信した第１部分（２．４，１．５）に対し、この第２部分データベースＤＢ１に格納された第２部分（３．６，４．３，８．９）を結合し、５次元のベクトル（２．４，１．５，３．６，４．３，８．９）の特徴量を取得する。この特徴量は、認証時のインデックスに相当する。第２部分データベースＤＢ１に複数のユーザの第２部分が登録されていた場合には、そのユーザの数だけ、インデックスの特徴量が取得される。

　サーバ１０は、クエリの特徴量と、インデックスの特徴量と、の距離を計算する。インデックスの特徴量が複数個取得された場合には、インデックスの特徴量の数だけ距離が計算される。サーバ１０は、閾値未満の距離が存在した場合に、認証が成功したと判定する。図５の例であれば、距離が０のものが第２部分データベースＤＢ１内に存在するので、認証が成功したと判定される。認証が成功すると、セキュリティゲートＳＧのロックが解除され、ユーザは、セキュリティゲートＳＧを通過することができる。

　以上のようにして、認証システムＳにおける認証が行われる。第２部分データベースＤＢ１に登録された第２部分は、ユーザ端末２０に登録された第１部分と結合されるので、同じ第２部分データベースＤＢ１に、互いに同じ又は類似する複数の第２部分が登録されていると、なりすましが可能になってしまう。

　図６は、なりすましが可能になる場合の一例を示す図である。図６に示すように、ＤＢ番号「１５７８１３」の第２部分データベースＤＢ１に、第２部分（３．６，４．３，８．９）が同じユーザＡ，Ｂが存在したとする。ユーザＡが認証する場合に、ユーザＡのユーザ端末２０に登録された第１部分（２．４，１．５）と、第２部分データベースＤＢ１に登録された第２部分（３．６，４．３，８．９）と、が結合されると、画像に写されたユーザＡの顔の特徴量と同じ又は類似する可能性がある。

　図６の場合、ユーザＡがユーザＢとして認証され、なりすましが可能となる。ユーザＡの第１部分と、ユーザＢの第１部分と、が異なっていたとしても、なりすましが可能となる。第２部分が完全に同じではなかったとしても、互いに類似する複数の第２部分が同じ第２部分データベースＤＢ１に登録されていれば、同様のなりすましが可能になる。そこで、本実施形態では、同じＤＢ番号の第２部分データベースＤＢ１に、互いに同じ又は類似する複数の第２部分が登録されないようにしている。

　図７は、登録申請時の処理の一例を示す図である。図７に示すように、ユーザＡが登録申請をする場合、ユーザＡの第２部分と同じ又は類似するユーザＢが、既にＤＢ番号「１５７８１３」を使用していたとする。この場合、サーバ１０は、ユーザＢと同じＤＢ番号「１５７８１３」がユーザＡに割り当てられないように、他のＤＢ番号「４３８５６９」をユーザＡに割り当てる。

　例えば、サーバ１０は、ＤＢ番号「４３８５６９」の第２部分データベースＤＢ１の中に、ユーザＡの第２部分と同じ又は類似する他のユーザがいるか否かを判定する。サーバ１０は、ＤＢ番号「４３８５６９」の第２部分データベースＤＢ１の中に、ユーザＡの第２部分と同じ又は類似する他のユーザがいないことを確認したうえで、このＤＢ番号をユーザＡに割り当てる。

　ＤＢ番号「４３８５６９」の第２部分データベースＤＢ１の中に、ユーザＡの第２部分と同じ又は類似する他のユーザがいた場合には、サーバ１０は、ユーザＡの第２部分と同じ又は類似する他のユーザがいない第２部分データベースＤＢ１を見つけるまで、上記の処理を実行する。既存の全ての第２部分データベースＤＢ１で見つけられなかった場合には、サーバ１０は、新たなＤＢ番号を発行してもよい。この場合、サーバ１０は、新たなＤＢ番号に対応する第２部分データベースＤＢ１に、ユーザＡの第２部分を登録する。

　以上のように、認証システムＳは、同じ第２部分データベースＤＢ１に、互いに同じ又は類似する複数の第２部分を登録しないようにすることによって、なりすましを防止し、セキュリティを十分に高めるようにしている。以降、この技術の詳細を説明する。

［３．認証システムにおいて実現される機能］
　図８は、本実施形態の認証システムＳで実現される機能の一例を示す機能ブロック図である。ここでは、サーバ１０、ユーザ端末２０、及び認証装置３０の各々で実現される機能を説明する。

［３－１．サーバにおいて実現される機能］
　図８に示すように、サーバ１０では、データ記憶部１００、受付部１０１、第１登録部１０２、生成部１０３、第２登録部１０４、認証部１０５、制限部１０６、及び処理実行部１０７が実現される。

[データ記憶部]
　データ記憶部１００は、記憶部１２を主として実現される。データ記憶部１００は、認証に必要なデータを記憶する。ここでは、データ記憶部１００が記憶するデータの一例として、第２部分データベースＤＢ１と、ユーザデータベースＤＢ２と、について説明する。

　第２部分データベースＤＢ１は、少なくとも１人のユーザの第２部分が登録されるデータベースである。データ記憶部１００は、複数の第２部分データベースＤＢ１を記憶する。第２部分データベースＤＢ１は、ＤＢ番号によって識別される。ＤＢ番号は、連番となるように採番されてもよいし、特に連番ではなくてもよい。ＤＢ番号は、データ記憶部１００に記録される。

　ＤＢ番号は、第２情報の一例である。このため、本実施形態でＤＢ番号と記載した箇所は、第２情報と読み替えることができる。第２情報は、第２部分に関連付けられる情報である。関連付けられるとは、第２部分と第２情報を互いに検索可能にすること、又は、第２部分と第２情報を互いに紐づけることである。ＤＢ番号が示す第２部分データベースＤＢ１に第２部分を登録することは、第２部分とＤＢ番号を関連付けることに相当する。他にも例えば、後述するユーザデータベースＤＢ２の同じレコードに、第２部分とＤＢ番号を登録することも、第２部分とＤＢ番号を関連付けることに相当する。

　例えば、第２情報は、データベースの識別情報である。この識別情報は、ＤＢ番号に限られず、文字列であってもよいし、文字と数値の組み合わせであってもよい。第２情報は、サーバ１０に登録された第２部分を検索するための検索情報ということもできる。検索情報は、検索時のクエリ又はインデックスとなりうる情報である。サーバ１０に記憶された複数の第２部分データベースＤＢ１の各々に、複数のユーザの各々の第２部分が登録される。

　図９は、ユーザデータベースＤＢ２のデータ格納例を示す図である。図９に示すように、ユーザデータベースＤＢ２は、ユーザに関する各種情報が格納されたデータベースある。ユーザデータベースＤＢ２には、ユーザＩＤ、ユーザの氏名、パスワード、アップロードされた顔写真のデータ、顔写真から計算された顔の特徴量の第２部分、及びＤＢ番号が格納される。なお、ユーザデータベースＤＢ２に格納される情報は、これらに限られず、ユーザの連絡先や住所といった任意の情報が格納されてよい。

　パスワード、第２部分、及びＤＢ番号は、認証情報の一種である。認証情報とは、認証時に参照される情報であり、認証方法によって呼び名が異なる。例えば、電子スタンプ認証であれば、スタンプのマルチタッチパターンが認証情報となり、合言葉認証であれば、合言葉が認証情報となる。

　顔の特徴量は、顔の特徴を数値化した情報であり、例えば、顔のパーツの相対位置、大きさ、又は形状などの特徴が示されている。本実施形態では、顔写真が示す顔の特徴量を予め計算しておくものとするが、顔の特徴量は、認証時にその場で計算されてもよい。複数の顔写真が登録される場合には、顔写真ごとに、顔の特徴量が計算される。顔認証自体は、種々の手法を適用可能であり、例えば、主成分分析、線形判別分析、弾性マッチング、又は隠れマルコフモデルといった手法を利用可能であり、特徴量は、これらの手法に応じた計算式で計算されるようにすればよい。例えば、顔の特徴量は、多次元のベクトルで示されるものとするが、配列や単一の数値といった他の形式で示されてもよい。

［受付部］
　受付部１０１は、制御部１１を主として実現される。受付部１０１は、所定の登録申請を受け付ける。登録申請は、認証に必要な情報を登録するための申請であり、ここでは、顔の特徴量を登録するための申請である。登録申請は、予め定められた手順で手続きをすることによって行われる。例えば、ユーザ端末２０は、ボタンＢ１３が選択されると、所定の登録申請を送信する。登録申請には、ユーザが指定した顔写真の画像データが含まれる。受付部１０１は、ユーザ端末２０から顔写真の画像データを含む登録申請を受信する。

［第１登録部］
　第１登録部１０２は、制御部１１を主として実現される。第１登録部１０２は、顔の特徴量の第１部分を、ユーザ端末２０に登録する。本実施形態では、第１登録部１０２は、ユーザ端末２０に第１部分と第２情報とを登録する。なお、第２情報は、ユーザ端末２０以外のコンピュータに登録されてもよい。登録とは、記録、格納、又は保存と同じ意味である。第１登録部１０２は、あるユーザの第１部分を、そのユーザのユーザ端末２０に登録する。

　顔の特徴量は、第１情報の一例である。このため、本実施形態で顔の特徴量と記載した箇所は、第１情報と読み替えることができる。第１情報は、認証情報である。本実施形態では、生体認証が利用されるので、第１情報は、生体情報である。生体情報は、生体認証で利用される認証情報である。顔の特徴量以外にも、顔写真そのものが生体情報に相当してもよい。顔認証以外の生体認証が利用される場合には、生体情報は、その生体認証に応じた認証情報であればよい。

　ユーザ端末２０は、第１装置の一例である。このため、本実施形態でユーザ端末２０と記載した箇所は、第１装置と読み替えることができる。第１装置は、第２装置とは異なる装置であればよい。例えば、第１装置は、ユーザ端末２０以外にも、サーバ１０とは異なるサーバコンピュータであってもよい。この場合、第１部分と第２部分は、別々のサーバコンピュータに分散管理される。

　ユーザが指定した顔写真の特徴量は、サーバ１０により計算されてもよいし、ユーザ端末２０により計算されてもよい。特徴量は、予め定められたアルゴリズムに基づいて計算されるようにすればよく、例えば、ＣＮＮが利用されてもよい。第１登録部１０２は、顔の特徴量のうち予め定められた位置の部分（本実施形態では、最初の２つの要素）を、第１部分として取得する。別の言い方をすれば、顔の特徴量は、第１部分と第２部分に分割される。第１登録部１０２は、ユーザ端末２０に対し、第１部分を送信して登録する。

［生成部］
　生成部１０３は、制御部１１を主として実現される。生成部１０３は、登録申請をしたユーザのＤＢ番号の候補を生成する。候補とは、ユーザの第２部分が登録される可能性のある第２部分データベースＤＢ２のＤＢ番号である。生成部１０３は、既存のＤＢ番号の中から、候補を選択する。既存のＤＢ番号とは、既に作成された第２部分データベースＤＢ２のＤＢ番号である。生成部１０３は、既存のＤＢ番号の中からランダムに候補を選択してもよいし、既存のＤＢ番号の若い番号順に候補を選択してもよい。生成部１０３は、既存のＤＢ番号ではなく、新たなＤＢ番号を生成してもよい。この場合、生成部１０３は、乱数に基づいて生成したランダムな数値を候補としてもよい。

［第２登録部］
　第２登録部１０４は、制御部１１を主として実現される。第２登録部１０４は、顔の特徴量の第２部分を、ＤＢ番号に関連付けてサーバ１０に登録する。本実施形態では、ユーザが登録申請をすると第２部分が登録されるので、第２登録部１０４は、登録申請をしたユーザの第２部分に、検索されたＤＢ番号を関連付けて登録する。

　第２登録部１０４は、顔の特徴量のうち予め定められた位置の部分（本実施形態では、後半の３つの要素）を、第２部分として取得する。例えば、第２登録部１０４は、登録申請をしたユーザのＤＢ番号の第２部分データベースＤＢ１に、そのユーザの第２部分を登録する。また例えば、第２登録部１０４は、ユーザデータベースＤＢ２のうち、登録申請をしたユーザのレコードに、そのユーザの第２部分とＤＢ番号とを格納する。

［認証部］
　認証部１０５は、制御部１１を主として実現される。認証部１０５は、第１部分、第２部分、及びＤＢ番号に基づいて、認証部１０５は、入力された顔の特徴量及びＤＢ番号と、ユーザ端末２０の第１部分と、サーバ１０の第２部分及びＤＢ番号と、に基づいて、認証を行う。本実施形態では、認証で利用される第２部分は、ＤＢ番号によって検索されるので、認証は、第１部分と、ＤＢ番号により検索された第２部分と、に基づく生体認証である。

　入力された顔の特徴量とは、認証時にコンピュータに対して入力された特徴量であり、例えば、撮影部３６などのセンサの検出結果により入力された特徴量であってもよいし、ユーザの操作により入力された特徴量であってもよい。本実施形態では、撮影部３６により撮影された画像が示す顔の特徴量は、入力された特徴量の一例である。入力されたＤＢ番号も同様であり、認証時にコンピュータに対して入力されたＤＢ番号である。本実施形態では、認証装置３０がユーザ端末２０から受信したＤＢ番号は、入力されたＤＢ番号の一例である。入力されたＤＢ番号は、ユーザ端末２０に登録されたＤＢ番号である。

　入力された顔の特徴量及びＤＢ番号は、認証時のクエリに相当する情報である。ユーザ端末２０の第１部分と、サーバ１０の第２部分及びＤＢ番号と、は認証時のインデックスに相当する情報である。本実施形態では、生体認証を例に挙げるので、クエリに相当する情報と、インデックスに相当する情報と、の類似性によって認証の成否が決定される場合を説明するが、他の認証方法を利用する場合には、これらの同一性によって認証の成否が決定されてもよい。

　例えば、認証部１０５は、ユーザ端末２０に登録された第１部分と、サーバ１０に登録された第２部分と、を結合して顔の特徴量を取得する。認証部１０５は、入力された顔の特徴量と結合された顔の特徴量との類似性と、入力されたＤＢ番号とサーバ１０のＤＢ番号との同一性と、に基づいて、認証を行う。

　認証部１０５は、入力された顔の特徴量と結合された顔の特徴量とが類似する場合に、認証成功と判定する。認証部１０５は、入力された顔の特徴量と結合された顔の特徴量とが類似しない場合、認証失敗と判定する。例えば、認証部１０５は、入力された顔の特徴量と、結合された顔の特徴量と、に基づいて、類似度を計算する。

　認証部１０５は、これらの特徴量の差（例えば、特徴量が示すベクトル同士の距離）をそのまま類似度としてもよいし、これらの特徴量を所定の計算式（例えば、特徴量が示すベクトルの要素ごとに重み付けをした計算式）に代入することで類似度を計算してもよい。認証部１０５は、類似度が閾値以上の場合に認証成功と判定し、類似度が閾値未満の場合に認証失敗と判定する。

　なお、顔の特徴量ではなく、顔写真そのものを顔認証に利用する場合には、認証部１０５は、入力された顔写真と、結合された顔写真と、の類似度を計算してもよい。画像同士の類似度を計算する方法自体は、種々の手法を適用可能であり、例えば、画像内の画素の画素値の差を計算する方法を利用してもよいし、機械学習における類似度計算を利用してもよい。

　本実施形態では、入力されたＤＢ番号とサーバ１０のＤＢ番号とが同じことも認証成功の条件となる。認証部１０５は、入力されたＤＢ番号により識別される第２部分データベースＤＢ１に登録された第２部分に基づいて、結合された顔の特徴量を取得する。認証部１０５は、この第２部分データベースＤＢ１に登録された第２部分ごとに、ユーザの第１部分と当該第２部分を結合して特徴量を取得する。即ち、認証部１０５は、この第２部分データベースＤＢ１に登録された全ての第２部分に対し、ユーザの第１部分と結合して特徴量を取得する。認証部１０５は、入力された特徴量と類似する、結合された特徴量が存在すれば、認証成功と判定する。

　認証部１０５は、所定の判定アルゴリズムに基づいて、入力された顔の特徴量と、登録された第１部分及び第２部分を結合した顔の特徴量と、が同じ又は類似するか否かを判定することによって、認証を行う。判定アルゴリズムは、特徴量同士の類比を判定するためのアルゴリズムである。例えば、判定アルゴリズムは、特徴量の距離を計算する。判定アルゴリズムは、ｎ次元ベクトルの特徴量同士の距離を所定次元（例えば、２次元）の座標上に落とし込み、２次元座標情報距離を計算する。認証部１０５は、所定次元の座標上の距離に基づいて、特徴量の類否を判定する。このため、比較対象となる情報が何次元であったとしても、所定次元の距離に落とし込まれることになる。

［制限部］
　制限部１０６は、制御部１１を主として実現される。制限部１０６は、互いに同じ又は類似する複数の第２部分の各々に、互いに同じ又は類似するＤＢ番号が関連付けられることを制限する。制限部１０６は、第２部分が互いに同じ又は類似する複数のユーザに対し、互いに同じ又は類似するＤＢ番号が関連付けられることを制限する。本実施形態では、登録申請時に制限が行われるので、制限部１０６は、登録申請をしたユーザの第２部分に、第２部分が同じ又は類似する他のユーザと同じ又は類似するＤＢ番号が関連付けられることを制限する。他のユーザは、第１部分、第２部分、及びＤＢ番号を登録済みのユーザである。

　制限とは、上記の関連付けがなされることを防止又は禁止することである。本実施形態では、制限部１０６は、互いに同じ又は類似する複数の第２部分の各々に、互いに同じ又は類似するＤＢ番号が関連付けられないように、ユーザのＤＢ番号を決定することによって制限を行う。

　制限部１０６は、互いに異なる又は類似しない複数の第２部分の各々に、互いに同じ又は類似するＤＢ番号が関連付けられることを許可する。制限部１０６は、第２部分が互いに異なる又は類似しない複数のユーザに対し、互いに同じ又は類似するＤＢ番号が関連付けられることを許可する。このため、１つの第２部分データベースＤＢ１の中に、複数のユーザの第２部分が登録されうることになる。

　制限部１０６は、上記他のユーザの第２部分に関連付けられていないＤＢ番号を検索する。制限部１０６は、登録申請をしたユーザと第２部分が同じ又は類似する他のユーザが存在しないＤＢ番号を検索し、登録申請をしたユーザのＤＢ番号として決定する。

　例えば、制限部１０６は、候補と、上記他のユーザのＤＢ番号と、が同じ又は類似する場合に、候補は、登録申請をしたユーザのＤＢ番号としない。制限部１０６は、候補と、上記他のユーザのＤＢ番号と、が異なる又は類似しない場合に、候補を、登録申請をしたユーザのＤＢ番号とする。制限部１０６は、登録申請をしたユーザと第２部分が同じ又は類似する他のユーザのＤＢ番号ではない候補を検索し、このような候補を発見した場合に、登録申請をしたユーザのＤＢ番号として決定する。

　本実施形態では、類似性によって成否が決まる生体認証が実行されるので、制限部１０６は、互いに類似する第２部分の各々に、互いに同じＤＢ番号が関連付けられることを制限する。

　制限部１０６は、認証部１０５が利用する判定アルゴリズムと同じ判定アルゴリズムに基づいて、互いに同じ又は類似する複数の第２部分が存在するか否かを判定する。制限部１０６は、この判定アルゴリズムを利用して、第２部分を所定次元の座標上の距離に落とし込み、互いに同じ又は類似する複数の第２部分があるか否かを判定する。本実施形態では、この判定に第２部分同士の距離が用いられる。距離が閾値未満であれば、この判定が肯定となる。距離が閾値以上であれば、この判定は否定となる。

［処理実行部］
　処理実行部１０７は、制御部１１を主として実現される。処理実行部１０７は、認証結果に基づいて、所定の処理を実行する。例えば、処理実行部１０７は、認証が失敗した場合には、所定の処理を実行せず、認証が成功した場合に、所定の処理を実行する。所定の処理は、認証が成功した場合に実行が許可される処理である。本実施形態では、セキュリティゲートＳＧのロックを解除するための処理が所定の処理に相当する場合を説明するが、所定の処理は、任意の処理を適用可能である。例えば、所定の処理は、サーバ又は端末へのログイン処理、コンピュータのロックを解除する処理、データの閲覧を許可する処理、データの書き込みを許可する処理、自動ドアを開閉する処理、電子投票を許可する処理、又は公的文書の取得を許可する処理であってよい。

［３－２．ユーザ端末において実現される機能］
　図８に示すように、ユーザ端末２０では、データ記憶部２００、第１取得部２０１、第２取得部２０２、受付部２０３、及び送信部２０４が実現される。

［データ記憶部］
　データ記憶部２００は、記憶部２２を主として実現される。データ記憶部２００は、登録申請及び認証に必要なデータを記憶する。例えば、データ記憶部２００は、ユーザの顔写真のデータを記憶する。また例えば、データ記憶部２００は、第１部分とＤＢ番号とを記憶する。

［第１取得部］
　第１取得部２０１は、制御部２１を主として実現される。第１取得部２０１は、顔の特徴量の第１部分を取得する。本実施形態では、サーバ１０の第１登録部１０２によって第１部分が生成されてユーザ端末２０に送信されるので、第１取得部２０１は、サーバ１０から第１部分を受信し、データ記憶部２００に記録する。

［第２取得部］
　第２取得部２０２は、制御部２１を主として実現される。第２取得部２０２は、顔の特徴量の第２部分が登録されるサーバ１０であって、互いに同じ又は類似する複数の第２部分の各々に、互いに同じ又は類似するＤＢ番号が関連付けられることを制限するサーバ１０から、ＤＢ番号を取得する。本実施形態では、サーバ１０の制限部１０６によってＤＢ番号が決定されるので、第２取得部２０２は、サーバ１０からＤＢ番号を受信し、データ記憶部２００に記録する。

［受付部］
　受付部２０３は、制御部２１を主として実現される。受付部２０３は、種々の入力操作を受け付ける。例えば、受付部２０３は、入力フォームＦ１０に対するユーザＩＤの入力操作を受け付ける。また例えば、受付部２０３は、入力フォームＦ１１に対するパスワードの入力操作を受け付ける。また例えば、受付部２０３は、入力フォームＦ１２に対する顔写真のファイル名などの入力操作を受け付ける。なお、受付部２０３が受け付ける入力操作は、これらに限られず、他の種々の入力操作を受け付け可能である。

［送信部］
　送信部２０４は、制御部２１を主として実現される。送信部２０４は、受付部２０３により受け付けられた入力操作に基づいて、登録申請をするためのデータを送信する。例えば、送信部２０４は、入力フォームＦ１０～Ｆ１２の各々に対する入力操作に基づいて、ユーザＩＤ、パスワード、及び顔写真のデータを送信する。なお、送信部２０４が送信するデータは、これらに限られず、他の種々のデータを送信可能である。

　例えば、送信部２０４は、認証が行われる場合に、認証装置３０に対し、第１部分とＤＢ番号を送信する。認証装置３０は、外部装置の一例である。このため、本実施形態で認証装置３０と記載した箇所は、外部装置と読み替えることができる。外部装置は、ユーザ端末２０以外の装置であればよく、認証装置３０以外のコンピュータであってもよい。

　送信部２０４は、近距離無線通信を利用して、入力された顔の特徴量を取得するための認証装置３０に、第１部分を送信する。本実施形態では、近距離無線通信は、アドバタイジングパケットを利用可能な通信規格である。送信部は、アドバタイジングパケットを利用して、認証装置３０に対して第１部分を送信する。本実施形態では、ＤＢ番号についてもアドバタイジングパケットを利用して送信される。

［３－３．認証装置において実現される機能］
　図８に示すように、認証装置３０では、データ記憶部３００、受付部３０１、送信部３０２、及び処理実行部３０３が実現される。なお、本実施形態では、認証装置３０が認証システムＳに含まれる場合を説明するが、認証装置３０は、認証システムＳと通信可能な外部装置であってもよい。

［データ記憶部］
　データ記憶部３００は、記憶部３２を主として実現される。データ記憶部３００は、認証に必要なデータを記憶する。例えば、データ記憶部３００は、サーバ１０のＩＰアドレス等の情報を記憶する。また例えば、データ記憶部３００は、表示部３５に各種画面を表示させるためのデータ（例えば、ＨＴＭＬデータや画像データ）を記憶する。

［受付部］
　受付部３０１は、制御部３１を主として実現される。受付部３０１は、入力操作を受け付ける。入力操作は、認証に必要な入力操作であればよく、本実施形態では、顔認証についてはユーザの入力操作は要しないので、受付部３０１は、認証開始の操作などを受け付ける。

　なお、受付部３０１は、認証システムＳで利用する認証の種類に応じた入力操作を受け付ければよく、例えば、指紋認証が利用される場合には、ユーザがカメラなどの上に指を置く入力操作を受ける。また例えば、筆跡認証が利用される場合には、ユーザがタッチパネルなどの上で文字を書く入力操作を受け付ける。また例えば、パスワード認証又は合言葉認証が利用される場合には、受付部３０１は、パスワード又は合言葉の入力操作を受け付ける。

［送信部］
　送信部３０２は、制御部３１を主として実現される。送信部３０２は、サーバ１０の認証部１０５に対し、ユーザ端末２０から受信した第１部分を送信する。本実施形態では、ユーザ端末２０は、第１部分だけではなくＤＢ番号も送信するので、送信部３０２は、第１部分とＤＢ番号を送信する。送信部３０２は、認証に必要な情報を送信すればよく、例えば、撮影部３６で撮影した画像も送信する。送信部３０２は、認証情報そのものを送信してもよいし、認証情報を特定するための情報を送信してもよい。

　本実施形態では、認証部１０５がサーバ１０により実現される場合を説明するので、送信部２０４は、サーバ１０にデータを送信する場合を説明するが、他のコンピュータによって認証部１０５が実現される場合には、当該他のコンピュータにデータを送信してもよい。また、認証装置３０側で顔の特徴量が計算されてもよく、この場合には、送信部３０２は、画像の代わりに、当該計算された顔の特徴量を送信する。

　なお、送信部３０２は、認証システムＳで利用する認証の種類に応じた情報を送信すればよく、例えば、指紋認証が利用される場合には、送信部３０２は、ユーザの指の画像を送信してもよいし、画像から計算された指の特徴量を送信してもよい。また例えば、筆跡認証が利用される場合には、送信部３０２は、ユーザがタッチパネルなどの上に書いた文字の画像を送信してもよいし、タッチ位置の変化を示す座標情報を送信してもよい。また例えば、パスワード認証又は合言葉認証が利用される場合には、送信部３０２は、ユーザが入力したパスワード又は合言葉を送信する。

［処理実行部］
　処理実行部３０３は、制御部３１を主として実現される。処理実行部３０３は、認証が成功した場合に、所定の処理を実行する。所定の処理の意味は、先述した通りであり、認証が成功した場合に実行が許可される処理である。本実施形態では、認証が成功した場合に、セキュリティゲートＳＧのロックが解除されるので、処理実行部３０３は、認証が成功したことを示す通知を受信した場合には、ロック機構のモータを回転等させることによってロックを解除し、認証が成功したことを示す通知を受信しなかった場合には、ロックを解除しない。

［４．本実施形態において実行される処理］
　次に、認証システムＳにおいて実行される処理について説明する。ここでは、ユーザが顔写真を登録するための登録処理と、ユーザがセキュリティゲートＳＧを通過するための認証処理と、について説明する。下記に説明する処理は、図８に示す機能ブロックにより実行される処理の一例である。

［４－１．登録処理］
　図１０は、登録処理の一例を示すフロー図である。図１０に示す登録処理は、制御部１１，２１が、それぞれ記憶部１２，２２に記憶されたプログラムに従って動作することによって実行される。なお、登録処理が実行されるにあたり、ユーザは、利用登録を済ませており、自身のユーザＩＤ及びパスワードが発行済みであるものとする。

　図１０に示すように、ユーザ端末２０は、サーバ１０にアクセスし、登録申請画面Ｇ１を表示部２５に表示させる（Ｓ１）。ユーザ端末２０は、ボタンＢ１３が選択された場合に、サーバ１０に対し、入力フォームＦ１０～Ｆ１２の各々に入力された情報を送信する（Ｓ２）。Ｓ２においては、ユーザ端末２０は、ユーザにより入力された、ユーザＩＤ、パスワード、及び顔写真の画像データを送信する。

　サーバ１０は、ユーザ端末２０からユーザＩＤなどを受信すると、ユーザデータベースＤＢ２と、受信したユーザＩＤ及びパスワードと、に基づいて、パスワード認証をする（Ｓ３）。パスワード認証が失敗した場合（Ｓ３；失敗）、サーバ１０は、ユーザ端末２０に対し、所定のエラーメッセージを送信し（Ｓ４）、本処理は終了する。この場合、ユーザの登録申請は受け付けられない。

　一方、パスワード認証が成功した場合（Ｓ３；成功）、サーバ１０は、Ｓ３で受信した顔写真に基づいて、登録申請をしたユーザの顔の特徴量を計算する（Ｓ５）。Ｓ５においては、サーバ１０は、顔のパーツの相対位置などを検出し、顔の特徴量を計算する。サーバ１０は、計算した特徴量を第１部分と第２部分に分割する。

　サーバ１０は、予め定められたアルゴリズムに基づいて、ＤＢ番号の候補を生成する（Ｓ６）。Ｓ６においては、サーバ１０は、既存のＤＢ番号のうちの何れか１つを、候補として選択する。Ｓ６の時点で新たなＤＢ番号が候補として生成されてもよいが、第２部分データベースＤＢ１が大量になる可能性があるので、本実施形態では、Ｓ６の時点では、既存のＤＢ番号の中から選択される場合を説明する。

　サーバ１０は、Ｓ６で生成した候補が示す第２部分データベースＤＢ１を参照し、Ｓ５で計算した特徴量の第２部分と同じ又は類似する第２部分が存在するか否かを判定する（Ｓ７）。Ｓ７においては、サーバ１０は、参照した第２部分データベースＤＢ１の各レコードに格納された第２部分と、Ｓ５で計算した特徴量の第２部分と、の距離を計算する。例えば、この距離は、先述した判定アルゴリズムに基づいて、所定次元に落とし込まれた距離である。この距離が閾値未満のレコードが存在すれば、Ｓ７の判定は肯定となる。この距離が閾値未満のレコードが存在しなければ、Ｓ７の判定は否定となる。

　Ｓ５で計算した特徴量の第２部分と同じ又は類似する第２部分が存在すると判定された場合（Ｓ７；Ｙ）、Ｓ６の処理に戻り、別の候補が生成される。既存の全てのＤＢ番号が候補として生成された場合には、サーバ１０は、新たなＤＢ番号を候補として生成する。この場合、第２部分データベースＤＢ１が新たに生成される。

　Ｓ５で計算した特徴量の第２部分と同じ又は類似する第２部分が存在すると判定されない場合（Ｓ７；Ｎ）、サーバ１０は、現状の候補を、Ｓ５で計算した特徴量の第２部分に関連付けるＤＢ番号として決定し（Ｓ８）、このＤＢ番号の第２部分データベースＤＢ１に、Ｓ５で計算した特徴量の第２部分を格納する（Ｓ９）。

　サーバ１０は、ユーザ端末２０に対し、Ｓ５で計算した特徴量の第１部分と、Ｓ８で決定したＤＢ番号と、を含む完了通知を送信する（Ｓ１０）。完了通知は、所定形式のデータが送信されることによって行われ、例えば、登録された顔写真も含まれるものとする。

　サーバ１０は、ユーザデータベースＤＢ２に、ユーザの顔写真、顔の特徴量、及びＳ８で決定したＤＢ番号を登録する（Ｓ１１）。Ｓ１１においては、サーバ１０は、ユーザデータベースＤＢ２のうち、登録申請をしたユーザのユーザＩＤが格納されたレコードに、Ｓ３で受信した顔写真、Ｓ５で計算した特徴量の第２部分、及びＳ８で決定したＤＢ番号を格納する。

　ユーザ端末２０は、完了通知を受信すると、完了通知に含まれる第１部分とＤＢ番号を記憶部２２に記録し（Ｓ１２）、登録完了画面Ｇ２を表示部２５に表示させ（Ｓ１３）、本処理は終了する。Ｓ１３においては、ユーザ端末２０は、完了通知に含まれる顔写真を登録完了画面Ｇ２に表示させる。特徴量の第１部分とＤＢ番号は、登録完了画面Ｇ２に表示されない。以降、ユーザはセキュリティゲートＳＧを通過できるようになる。

［４－２．認証処理］
　図１１は、認証処理の一例を示すフロー図である。図１１に示す認証処理は、制御部１１，２１，３１が、それぞれ記憶部１２，２２，３２に記憶されたプログラムに従って動作することによって実行される。なお、認証処理が実行されるにあたり、登録処理が完了しているものとする。

　図１１に示すように、ユーザ端末２０は、近距離無線通信を利用して、記憶部２２に記憶された第１部分とＤＢ番号とを送信する（Ｓ２０）。Ｓ２０においては、ユーザ端末２０は、アドバタイジングパケットに第１部分とＤＢ番号とを格納し、周囲に対して送信する。通信部２３の電源は予めオンになっているものとする。通信部２３の電源がオフの場合、ユーザの操作に応じて電源がオンになってもよいし、ＧＰＳの位置情報等を利用して電源が自動的にオンになってもよい。

　認証装置３０は、近距離無線通信を利用して、ユーザ端末２０から送信された第１部分とＤＢ番号とを受信する（Ｓ２１）。Ｓ２１においては、認証装置３０は、受信した第１部分とＤＢ番号とを記憶部３２に記録する。第１部分とＤＢ番号は、任意のタイミングで記憶部３２から消去される。このタイミングは、認証が成功した場合、一定時間が経過した場合、又は近距離無線通信で特徴量の第１部分とＤＢ番号を受信しなくなった場合などである。

　認証装置３０は、撮影部３６の検出信号に基づいて、画像を取得する（Ｓ２２）。認証装置３０は、サーバ１０に対し、第１部分、ＤＢ番号、及び画像を含む認証要求を送信する（Ｓ２３）。認証要求は、所定形式のデータが送信されることによって行われ、例えば、認証装置３０の識別情報なども含まれるものとする。

　サーバ１０は、認証要求を受信すると、認証要求に含まれるＤＢ番号の第２部分データベースＤＢ１に登録された第２部分を取得する（Ｓ２４）。この第２部分データベースＤＢ１の中に、複数の第２部分が登録されていた場合には、サーバ１０は、これら複数の第２部分の全てを取得する。

　サーバ１０は、認証要求に含まれる第１部分と、Ｓ２４で取得した第２部分と、を結合した特徴量を生成する（Ｓ２５）。Ｓ２５においては、サーバ１０は、Ｓ２４で取得した第２部分ごとに、認証要求に含まれる第１部分と当該第２部分とを結合して特徴量を取得する。複数の第２部分が取得された場合には、結合された特徴量は、取得された第２部分の数だけ生成される。

　サーバ１０は、認証要求に含まれる画像に基づいて、顔の特徴量を計算する（Ｓ２６）。Ｓ２６においては、サーバ１０は、Ｓ５の処理と同様にして、顔の特徴量を計算する。

　サーバ１０は、Ｓ２５で生成した特徴量と、Ｓ２６で計算した特徴量と、に基づいて、認証を行う（Ｓ２７）。Ｓ２７においては、サーバ１０は、Ｓ２５で生成した特徴量と、Ｓ２６で計算した特徴量と、の距離を計算する。Ｓ２５で生成した特徴量の中に、この距離が閾値未満のものが存在すれば、認証は成功となる。この距離が閾値未満のものが存在しなければ、認証は失敗となる。Ｓ２７の判定アルゴリズムは、Ｓ７の判定アルゴリズムと同じである。

　認証が失敗した場合（Ｓ２７；失敗）、サーバ１０は、認証装置３０に対し、エラーメッセージを送信し（Ｓ２８）、本処理は終了する。この場合、認証装置３０の表示部３５に、エラーメッセージが表示され、認証が成功しなかったことがユーザに通知される。

　一方、認証が成功した場合（Ｓ２７；成功）、サーバ１０は、認証装置３０に対し、認証が成功したことを示す成功通知を送信する（Ｓ２９）。成功通知は、所定形式のデータが送信されることにより行われ、認証が成功したユーザの名前が含まれるものとする。

　認証装置３０においては、成功通知を受信すると、制御部３１は、セキュリティゲートＳＧのロックを解除し（Ｓ３０）、本処理は終了する。ユーザは、自身の名前が表示部３５に表示されたことを確認し、セキュリティゲートのドアを押して通過する。なお、この場合には、サーバ１０にユーザの氏名や現在日時などの情報が通行記録として残ってもよい。

　本実施形態の認証システムＳによれば、互いに同じ又は類似する複数の第２部分の各々に、互いに同じ又は類似するＤＢ番号が関連付けられることを制限することによって、なりすましを防止し、セキュリティを高めることができる。また、ユーザ端末２０にユーザＩＤのような重要な情報を登録する必要がないので、この情報が漏洩するリスクを回避し、この点でもセキュリティを高めることができる。仮にユーザ端末２０のＤＢ番号が漏洩したとしても、別のＤＢ番号を採番すれば済み、ユーザＩＤを変更する必要がなくなり、ユーザの利便性を向上させることができる。また、顔の特徴量を分散管理することにより、顔の特徴量の漏洩によるセキュリティ低下を防止できる。

　また、認証システムＳは、互いに異なる又は類似しない複数の第２部分の各々に、互いに同じ又は類似するＤＢ番号が関連付けられることを許可することによって、ＤＢ番号が多くなりすぎる（第２部分データベースＤＢ１が多くなりすぎる）ことを防止し、サーバ１０のメモリ消費量を削減できる。また、第２部分データベースＤＢ１の増加を抑えることにより、データベースの管理を簡略化できる。また、ＤＢ番号が枯渇することを防止できる。

　また、認証システムＳは、登録申請をしたユーザの第２部分に、第２部分が同じ又は類似する他のユーザと同じ又は類似するＤＢ番号が関連付けられることを制限することによって、登録申請をしたユーザが登録済みの他のユーザになりすますこと、及び、登録済みの他のユーザが登録申請をしたユーザになりすますことを防止し、セキュリティを高めることができる。

　また、認証システムＳは、他のユーザの第２部分に関連付けられていないＤＢ番号を検索し、登録申請をしたユーザの第２部分に、検索されたＤＢ番号を関連付けて登録することによって、なりすましを防止し、セキュリティを高めることができる。例えば、新たにＤＢ番号を発行しない場合には、既存のＤＢ番号を有効活用し、サーバ１０のメモリ消費量を削減できる。

　また、認証システムＳは、ＤＢ番号の候補と、他のユーザのＤＢ番号と、が同じ又は類似する場合に、この候補は、登録申請をしたユーザのＤＢ番号としない。認証システムＳは、ＤＢ番号の候補と、他のユーザのＤＢ番号と、が異なる又は類似しない場合に、この候補を、登録申請をしたユーザのＤＢ番号とする。これにより、なりすましを確実に防止できるＤＢ番号を付与し、セキュリティを高めることができる。

　また、認証システムＳは、入力された顔の特徴量及びＤＢ番号と、ユーザ端末２０の第１部分と、サーバ１０の第２部分及びＤＢ番号と、に基づいて、認証を行うことによって、なりすましを防止し、セキュリティを高めることができる。また、サーバ１０とユーザ端末２０とで顔の特徴量を分散管理することにより、顔の特徴量の漏洩によるセキュリティ低下を防止できる。

　また、認証システムＳは、ユーザ端末２０に第１部分とＤＢ番号とを登録し、ユーザ端末２０に登録されたＤＢ番号をサーバ１０に入力することによって、ユーザがＤＢ番号を入力する手間を省き、認証時のユーザの利便性を高めることができる。また、ユーザの第２部分が格納された第２部分データベースＤＢ１を正確に特定し、認証の正確性を高めることもできる。

　また、認証システムＳは、近距離無線通信を利用して、入力された顔の特徴量を取得するための認証装置３０に、第１部分を送信し、サーバ１０に対し、ユーザ端末２０から受信した第１部分を送信することによって、第１部分を認証装置３０に送信する手間を省き、認証時のユーザの利便性を高めることができる。

　また、認証システムＳは、アドバタイジングパケットを利用して、認証装置３０に対して第１部分を送信することによって、ペアリングすることなく第１部分を送信でき、ユーザの利便性を高めることができる。例えば、ユーザがユーザ端末２０をポケットや鞄に入れたままであったとしても、第１部分を認証装置３０に送信できる。このため、ユーザがユーザ端末２０をポケットや鞄から取り出さなくても認証を成功させることができる。また、アドバタイジングパケットを利用することで、ユーザ端末２０の消費電力を抑えることもできる。

　また、認証システムＳは、入力された顔の特徴量と結合された顔の特徴量との類似性と、入力されたＤＢ番号とサーバ１０のＤＢ番号との同一性と、に基づいて行われる認証におけるセキュリティを高めることができる。

　また、認証システムＳは、入力されたＤＢ番号により識別される第２部分データベースＤＢ１に登録された第２部分に基づいて、結合された顔の特徴量を取得することによって、セキュリティを高めることができる。

　また、認証システムＳは、認証は、第１部分と、検索情報により検索された第２部分と、に基づく生体認証であることによって、生体認証におけるセキュリティを高めることができる。

　また、認証システムＳは、Ｓ７とＳ２７の判定アルゴリズムを同じとすることで、サーバ１０に複数の判定アルゴリズムを記録する必要がなくなり、効率よく処理をすることができる。

［５．変形例］
　なお、本開示は、以上に説明した実施の形態に限定されるものではない。本開示の趣旨を逸脱しない範囲で、適宜変更可能である。

　例えば、実施形態では、ユーザがセキュリティゲートＳＧを通過する場面を例に挙げたが、認証システムＳは、ユーザが商品を購入したりサービスを利用したりする場面にも適用可能である。この場合、例えば、認証装置３０は、自動販売機、券売機、ＰＯＳ端末、又は店舗における支払端末である。ユーザは、認証が成功すると、決済処理が実行され、商品を購入したり、サービスを利用したりすることができる。

　本変形例では、ユーザデータベースＤＢ２に決済情報を登録しておき、処理実行部は、あるユーザの認証が成功した場合に、そのユーザの決済情報に基づいて決済処理を実行してもよい。決済処理の際に参照される決済情報は、認証が成功したユーザに関連付けられた決済情報である。

　決済情報は、決済をするために必要な情報であり、例えば、クレジットカード情報、電子バリュー（例えば、電子マネー又はポイント）のアカウント情報、仮想通貨のアカウント情報、銀行口座情報、又はデビットカード情報などである。決済情報は、ユーザ登録時などに登録され、例えば、ユーザデータベースＤＢ２に、ユーザＩＤに関連付けて決済情報が格納されているものとする。なお、決済情報は、ユーザデータベースＤＢ２とは異なるデータベースに格納されていてもよい。

　サーバ１０は、決済情報に応じた決済処理を実行すればよく、例えば、クレジットカード情報に基づく与信処理、電子バリューの残高を減少させる処理、仮想通貨の残高を減少させる処理、銀行口座から引き落としや振り込みをする処理、又はデビットカード情報が示す口座の残高を減少させる処理などを実行する。処理実行部は、顔認証又はパスコード認証の何れか一方が失敗した場合には決済処理を実行せず、顔認証とパスコード認証とが成功した場合に決済処理を実行する。

　決済処理が実行された場合、認証装置３０の表示部３５又は店舗の端末などに、その旨が表示され、ユーザは商品を受け取ったり、サービスを利用したりする。例えば、認証装置３０が店舗などに設置されたデジタルサイネージ装置である場合、サーバ１０から認証成功通知を受信すると、認証が成功したことを示すメッセージが表示部３５に表示される。店舗のスタッフは、当該メッセージを確認すると、ユーザに商品を渡したりサービスを提供したりする。なお、メッセージは、認証装置３０ではなく、店舗のスタッフが操作する端末などの他のコンピュータに転送されて表示されてもよい。また例えば、認証装置３０が自動販売機であれば、サーバ１０から認証成功通知を受信すると、認証装置３０は、ユーザが指定した商品を排出したり、コーヒーやインスタント食品などの商品を調理したりする。

　以上説明した変形例によれば、他のユーザになりすまして決済し、不正に商品を購入したりサービスを利用したりすることを防止し、商品の購入時やサービスの利用時におけるセキュリティを十分に高めることができる。

　また例えば、ユーザが登録申請をする場面を例に挙げたが、ＤＢ番号が再発行される場面にも同様の処理が実行されてもよい。この場合、ユーザ端末２０に登録されたＤＢ番号が、再発行されたＤＢ番号に書き換えられる。ユーザの第２部分は、再発行されたＤＢ番号の第２部分データベースＤＢ１に登録され、古いＤＢ番号の第２部分データベースＤＢ１からは、ユーザの第２部分が消去される。また例えば、サーバ１０は、ユーザデータベースＤＢ２を参照し、認証要求に含まれるＤＢ番号に関連付けられた第２部分を取得してもよい。この場合、第２部分が取得された後の処理の流れは、実施形態で説明したものと同様である。

　また例えば、第１情報が顔の特徴量であり、第２情報がＤＢ番号である場合を説明したが、第１情報と第２情報は、他の情報であってもよい。例えば、第１情報が顔の特徴量であり、第２情報がパスコードであってもよい。この場合、顔認証とパスコード認証の２段階認証が行われることになる。ユーザは、ユーザ端末２０又は認証装置３０にパスコードを入力し、パスコード認証が行われる。サーバ１０は、第２部分が互いに同じ又は類似する複数のユーザに対し、同じパスコードが付与されないように制限する。

　また例えば、第１情報がパスワードであり、第２情報が合言葉であってもよい。この場合、パスワード認証と合言葉認証の２段階認証が行われることになる。パスワードがサーバ１０とユーザ端末２０で分散管理される。ユーザは、ユーザ端末２０又は認証装置３０にパスワードと合言葉を入力し、パスワード認証と合言葉認証が行われる。サーバ１０は、パスワードの第２部分が互いに同じ又は類似する複数のユーザに対し、同じ合言葉が付与されないように制限する。

　また例えば、認証装置３０が存在せず、ユーザ端末２０からサーバ１０に対し、第１部分とＤＢ番号が直接的に送信されてもよい。この場合、ユーザ端末２０は、認証が行われる場合に、撮影部２６を利用してユーザの顔を撮影する。ユーザ端末２０は、サーバ１０に対し、自身に登録された第１部分及びＤＢ番号と、撮影部２６により撮影された画像と、を送信する。サーバ１０がこれらを受信した後の処理の流れは、実施形態で説明した通りである。認証が成功すると、サーバ１０は、ユーザ端末２０に対し、成功通知を送信する。ユーザ端末２０は、成功通知を受信すると、所定の処理を実行する。この処理は、任意の処理であってよく、例えば、ユーザ端末２０へのログイン処理や決済処理などである。

　また例えば、主な機能がサーバ１０で実現される場合を説明したが、各機能は、複数のコンピュータで分担されてもよい。例えば、サーバ１０、ユーザ端末２０、及び認証装置３０の各々で機能が分担されてもよい。例えば、認証処理がサーバ１０で実行されるのではなく、ユーザ端末２０又は認証装置３０で実行されてもよい。また例えば、認証システムＳが複数のサーバコンピュータを含む場合には、これら複数のサーバコンピュータで機能が分担されてもよい。また例えば、データ記憶部１００で記憶されるものとして説明したデータは、サーバ１０以外のコンピュータによって記憶されてもよい。

Claims

　第１情報の第１部分を、第１装置に登録する第１登録手段と、
　前記第１情報の第２部分を、第２情報に関連付けて第２装置に登録する第２登録手段と、
　前記第１部分、前記第２部分、及び前記第２情報に基づいて、認証をする認証手段と、
　互いに同じ又は類似する複数の前記第２部分の各々に、互いに同じ又は類似する前記第２情報が関連付けられることを制限する制限手段と、
　を含む認証システム。
　前記制限手段は、互いに異なる又は類似しない複数の前記第２部分の各々に、互いに同じ又は類似する前記第２情報が関連付けられることを許可する、
　請求項１に記載の認証システム。
　前記認証システムは、所定の登録申請を受け付ける受付手段を更に含み、
　前記制限手段は、前記登録申請をしたユーザの前記第２部分に、前記第２部分が同じ又は類似する他のユーザと同じ又は類似する前記第２情報が関連付けられることを制限する、
　請求項１又は２に記載の認証システム。
　前記制限手段は、前記他のユーザの前記第２部分に関連付けられていない第２情報を検索し、
　前記第２登録手段は、前記登録申請をしたユーザの前記第２部分に、検索された前記第２情報を関連付けて登録する、
　請求項３に記載の認証システム。
　前記認証システムは、前記登録申請をしたユーザの前記第２情報の候補を生成する生成手段を更に含み、
　前記制限手段は、
　前記候補と、前記他のユーザの前記第２情報と、が同じ又は類似する場合に、前記候補は、前記登録申請をしたユーザの前記第２情報とせず、
　前記候補と、前記他のユーザの前記第２情報と、が異なる又は類似しない場合に、前記候補を、前記登録申請をしたユーザの前記第２情報とする、
　請求項３又は４に記載の認証システム。
　前記第１装置は、ユーザ端末であり、
　前記第２装置は、サーバであり、
　前記認証手段は、入力された前記第１情報及び前記第２情報と、前記ユーザ端末の前記第１部分と、前記サーバの前記第２部分及び前記第２情報と、に基づいて、前記認証を行う、
　請求項１～５の何れかに記載の認証システム。
　前記第１登録手段は、前記ユーザ端末に前記第１部分と前記第２情報とを登録し、
　入力された前記第２情報は、前記ユーザ端末に登録された前記第２情報である、
　請求項６に記載の認証システム。
　前記ユーザ端末は、近距離無線通信を利用して、入力された前記第１情報を取得するための認証装置に、前記第１部分を送信し、
　前記認証装置は、前記認証手段に対し、前記ユーザ端末から受信した前記第１部分を送信する、
　請求項６又は７に記載の認証システム。
　前記近距離無線通信は、アドバタイジングパケットを利用可能な通信規格であり、
　前記ユーザ端末は、前記アドバタイジングパケットを利用して、前記認証装置に対して前記第１部分を送信する、
　請求項８に記載の認証システム。
　前記認証手段は、
　前記第１装置に登録された前記第１部分と、前記第２装置に登録された前記第２部分と、を結合して前記第１情報を取得し、
　入力された前記第１情報と結合された前記第１情報との類似性と、入力された前記第２情報と前記第２装置の前記第２情報との同一性と、に基づいて、前記認証を行い、
　前記制限手段は、互いに類似する前記第２部分の各々に、互いに同じ前記第２情報が関連付けられることを制限する、
　請求項１～９の何れかに記載の認証システム。
　前記第２装置に記憶された複数のデータベースの各々に、複数のユーザの各々の前記第２部分が登録され、
　前記第２情報は、前記データベースの識別情報であり、
　前記認証手段は、入力された前記第２情報により識別される前記データベースに登録された前記第２部分に基づいて、結合された前記第１情報を取得する、
　請求項１０に記載の認証システム。
　前記第１情報は、生体情報であり、
　前記第２情報は、前記第２装置に登録された前記第２部分を検索するための検索情報であり、
　前記認証は、前記第１部分と、前記検索情報により検索された前記第２部分と、に基づく生体認証である、
　請求項１～１１の何れかに記載の認証システム。
　前記認証手段は、所定の判定アルゴリズムに基づいて、入力された前記第１情報と、登録された前記第１部分及び前記第２部分を結合した前記第１情報と、が同じ又は類似するか否かを判定することによって、前記認証を行い、
　前記制限手段は、前記判定アルゴリズムと同じ判定アルゴリズムに基づいて、互いに同じ又は類似する前記複数の第２部分が存在するか否かを判定する、
　請求項１～１２の何れかに記載の認証システム。
　第１情報の第１部分を取得する第１取得手段と、
　前記第１情報の第２部分が登録されるサーバであって、互いに同じ又は類似する複数の前記第２部分の各々に、互いに同じ又は類似する第２情報が関連付けられることを制限するサーバから、前記第２情報を取得する第２取得手段と、
　前記第１部分と前記第２情報を記憶する記憶手段と、
　認証が行われる場合に、外部装置に対し、前記第１部分と前記第２情報を送信する送信手段と、
　含むユーザ端末。
　第１情報の第１部分を、第１装置に登録する第１登録ステップと、
　前記第１情報の第２部分を、第２情報に関連付けて第２装置に登録する第２登録ステップと、
　前記第１部分、前記第２部分、及び前記第２情報に基づいて、認証をする認証ステップと、
　互いに同じ又は類似する複数の前記第２部分の各々に、互いに同じ又は類似する前記第２情報が関連付けられることを制限する制限ステップと、
　を含む認証方法。
　第１情報の第１部分を、第１装置に登録する第１登録手段、
　前記第１情報の第２部分を、第２情報に関連付けて第２装置に登録する第２登録手段、
　前記第１部分、前記第２部分、及び前記第２情報に基づいて、認証をする認証手段、
　互いに同じ又は類似する複数の前記第２部分の各々に、互いに同じ又は類似する前記第２情報が関連付けられることを制限する制限手段、
　としてコンピュータを機能させるためのプログラム。