WO2022085126A1

WO2022085126A1 - 照合システム、照合方法、及び、コンピュータ可読媒体

Info

Publication number: WO2022085126A1
Application number: PCT/JP2020/039598
Authority: WO
Inventors: 成泰奈良; 利彦岡村; 寿幸一色; 寛人田宮
Original assignee: 日本電気株式会社
Priority date: 2020-10-21
Filing date: 2020-10-21
Publication date: 2022-04-28
Also published as: JPWO2022085126A1; US20230370261A1

Abstract

照合システム（１００）は、共通乱数を用いて複数の登録情報のそれぞれに共通の共通鍵を生成すると共に、複数の識別情報を用いて複数の登録情報のそれぞれに固有の複数の固有鍵を生成する、鍵生成手段（１２５）と、共通鍵と複数の固有鍵とを用いて複数の登録情報のそれぞれを秘匿化した複数の秘匿化情報を生成する秘匿化手段（１２６）と、クライアントと、検証サーバと、を備え、クライアントは、照合情報と、複数の秘匿化情報のそれぞれと、の近似度を表す複数の秘匿化指標を算出する秘匿化指標算出手段（１３４）を有し、検証サーバは、共通鍵と複数の固有鍵とを用いて複数の秘匿化指標のそれぞれを復号した複数の指標を生成するとともに、複数の指標の何れかが所定範囲内の値を示すか否かに基づいて、照合情報についての認証を行う判定手段（１４４）を有する。

Description

照合システム、照合方法、及び、コンピュータ可読媒体

　本発明は、照合システム、照合方法、及び、コンピュータ可読媒体に関する。

　認証の一例として、生体認証がある。「生体認証」とは、被登録者の生体情報と、被認証者の生体情報と、を照合することにより、被登録者と被認証者とが一致するか否かを確認する個人認証の手法である。また、「生体情報」とは、身体や行動に関する一部の特徴から抽出されたデータ、または、その抽出されたデータを変換することによって生成されたデータである。このデータは、特徴量と称されることもある。ここで、被登録者の生体情報（以下、登録情報と称す）によって生成されたデータを含む、生体認証のために予め保存されるデータは、テンプレートと呼ばれている。

　クライアント・サーバシステムによって生体認証を行う場合、テンプレートをクライアントに保存する態様と、テンプレートをサーバに保存する態様と、がある。

　特許文献１および特許文献２には、暗号化された登録情報をテンプレートとしてサーバに保存することにより、登録情報が漏えいしない認証装置および認証方法の一例が記載されている。

　また、特許文献３には、二値のベクトルに関して安全性を高める照合システムが記載されている。

　さらに、特許文献４には、暗号化された登録情報をテンプレートとしてクライアントに保存することにより、登録情報が漏洩しない認証装置および認証方法の一例が記載されている。暗号化された登録情報をテンプレートとしてクライアントに保存することにより、サーバに保存する場合よりも、データ漏洩発生時の被害を軽減することができる。

特開２０１１－２１１５９３号公報特開２００９－１２９２９２号公報国際公開第２０１８／１１０６０８号国際公開第２０２０／１２１４５８号

　生体認証では、Ｎ個（Ｎは１以上の整数）のテンプレートと被認証者の生体情報とを照合し、一致するものがないか確認する認証形式（以下、１：Ｎ認証と記す）がある。１：Ｎ認証では、例えば１個のテンプレートと被認証者の生体情報とを照合し確認する認証形式（以下、１：１認証と記す）をＮ回繰り返す方法が考えられる。しかしながら、この方法では、クライアントやサーバの通信量、計算量及び記憶するデータ量が、１：１認証と比べてＮ倍になり、Ｎの値が大きくなるほど効率が悪くなるという課題があった。

　本開示は、このような課題を解決するためになされたものであり、効率的な１：Ｎ認証の照合システム、照合方法、及び、コンピュータ可読媒体を提供することを目的とする。

　本開示にかかる照合システムは、共通乱数を生成する共通乱数生成手段と、複数の被登録者の生体情報である複数の登録情報のそれぞれに固有の複数の識別情報を生成する識別情報生成手段と、前記共通乱数を用いて前記複数の登録情報のそれぞれに共通の共通鍵を生成すると共に、前記複数の識別情報を用いて前記複数の登録情報のそれぞれに固有の複数の固有鍵を生成する、鍵生成手段と、前記共通鍵と前記複数の固有鍵とを用いて前記複数の登録情報のそれぞれを秘匿化した複数の秘匿化情報を生成する秘匿化手段と、クライアントと、検証サーバと、を備え、前記クライアントは、被認証者の生体情報である照合情報と、前記複数の秘匿化情報のそれぞれと、の近似度を表す複数の秘匿化指標を算出する秘匿化指標算出手段を有し、前記検証サーバは、前記共通鍵と前記複数の固有鍵とを用いて前記複数の秘匿化指標のそれぞれを復号した複数の指標を生成するとともに、前記複数の指標の何れかが所定範囲内の値を示すか否かに基づいて、前記照合情報についての認証を行う判定手段を有する。

　本開示にかかる照合方法は、共通乱数を生成する共通乱数生成ステップと、複数の被登録者の生体情報である複数の登録情報のそれぞれに固有の複数の識別情報を生成する識別情報生成ステップと、前記共通乱数を用いて前記複数の登録情報のそれぞれに共通の共通鍵を生成すると共に、前記複数の識別情報を用いて前記複数の登録情報のそれぞれに固有の複数の固有鍵を生成する、鍵生成ステップと、前記共通鍵と前記複数の固有鍵とを用いて前記複数の登録情報のそれぞれを秘匿化した複数の秘匿化情報を生成する秘匿化ステップと、クライアントにおいて、被認証者の生体情報である照合情報と、前記複数の秘匿化情報のそれぞれと、の近似度を表す複数の秘匿化指標を算出する秘匿化指標算出ステップと、検証サーバにおいて、前記共通鍵と前記複数の固有鍵とを用いて前記複数の秘匿化指標のそれぞれを復号した複数の指標を生成するとともに、前記複数の指標の何れかが所定範囲内の値を示すか否かに基づいて、前記照合情報についての認証を行う判定ステップと、を備える。

　本開示にかかる非一時的なコンピュータ可読媒体は、共通乱数を生成する共通乱数生成処理と、複数の被登録者の生体情報である複数の登録情報のそれぞれに固有の複数の識別情報を生成する識別情報生成処理と、前記共通乱数を用いて前記複数の登録情報のそれぞれに共通の共通鍵を生成すると共に、前記複数の識別情報を用いて前記複数の登録情報のそれぞれに固有の複数の固有鍵を生成する、鍵生成処理と、前記共通鍵と前記複数の固有鍵とを用いて前記複数の登録情報のそれぞれを秘匿化した複数の秘匿化情報を生成する秘匿化処理と、クライアントにおいて、被認証者の生体情報である照合情報と、前記複数の秘匿化情報のそれぞれと、の近似度を表す複数の秘匿化指標を算出する秘匿化指標算出処理と、検証サーバにおいて、前記共通鍵と前記複数の固有鍵とを用いて前記複数の秘匿化指標のそれぞれを復号した複数の指標を生成するとともに、前記複数の指標の何れかが所定範囲内の値を示すか否かに基づいて、前記照合情報についての認証を行う判定処理と、をコンピュータに実行させる照合プログラムが格納されている。

　本開示により、効率的な１：Ｎ認証の照合システム、照合方法、及び、コンピュータ可読媒体を提供することができる。

実施の形態１に係る照合システムの構成例を示すブロック図である。実施の形態２に係る照合システムの構成例を示すブロック図である。図２に示す照合システムにおける共通乱数の生成動作を示すフローチャートである。図２に示す照合システムにおける登録処理及び認証処理の動作を示すフロー図である。図２に示す照合システムの第１の適用事例を示すブロック図である。図２に示す照合システムの第２の適用事例を示すブロック図である。実施の形態１，２に係る照合システムが適用されたクライアント及びサーバを実現するコンピュータの概略を示すブロック図である。

　以下では、本開示の実施形態について、図面を参照しながら詳細に説明する。各図面において、同一又は対応する要素には同一の符号が付されており、説明の明確化のため、必要に応じて重複説明は省略される。

　なお、以下の説明では、本開示の照合システムが生体認証に適用される場合を例に説明するが、これに限られず、生体認証以外の認証や照合処理に適用されてもよい。

＜実施の形態１＞
　図１は、実施の形態１に係る照合システムの概要を示すブロック図である。
　実施の形態１に係る照合システムは、共通乱数生成部１１１と、ＩＤ発行部１２３と、鍵生成部１２５と、秘匿化部１２６と、秘匿化指標算出部１３４と、判定部１４４と、を備える。なお、秘匿化指標算出部１３４は、クライアントに設けられている。判定部１４４は、検証サーバに設けられている。

　共通乱数生成部１１１は、ｓｔａｒｔ信号が入力されると共通乱数ＣＲを生成する。ＩＤ発行部１２３は、被登録者の生体情報（以下、登録情報と記す）ＸごとにＩＤ（IDentification）を発行する。鍵生成部１２５は、入力された共通乱数ＣＲを用いてＩＤごとに固有の秘匿化鍵ｓｋ＿ＩＤを生成する。秘匿化部１２６は、登録情報Ｘごとに当該登録情報Ｘを秘匿化鍵ｓｋ＿ＩＤによって秘匿化する。秘匿化部１２６は、複数の登録情報Ｘを秘匿化した情報（以下、秘匿化情報と記す）を、テンプレートとして、クライアントに送信する。

　クライアントにおいて、秘匿化指標算出部１３４は、複数のテンプレート（即ち、登録情報Ｘを秘匿化することによって得られた秘匿化情報）と、照合情報Ｙ（登録情報Ｘとの照合に用いられる被認証者の生体情報）と、に基づいて、複数の登録情報Ｘのそれぞれと照合情報Ｙとの近さを示す値である指標を秘匿化したデータ（以下、秘匿化指標と記す）を算出し、算出した複数の秘匿化指標を検証サーバに送信する。

　検証サーバにおいて、判定部１４４は、クライアントから送信された複数の秘匿化指標を取得する。そして、判定部１４４は、まず、共通鍵ＣＲとＩＤ毎に固有の複数の秘匿化鍵ｓｋ＿ＩＤとを用いて複数の秘匿化指標のそれぞれを復号した複数の指標を生成する。その後、判定部１４４は、復号した複数の指標の何れかが、予め定められた受理範囲内の値であるか否かを判定することによって１：Ｎ認証を行う。受理範囲内にある指標が１つ存在した場合のみ、判定部１４４は、ＩＤと、認証に成功した（認証が受理された）ことを示す認証結果情報とを、クライアントに送信する。それに対し、受理範囲内の指標が存在しない場合、又は、受理範囲内にある指標が複数存在する場合、判定部１４４は、認証に失敗したことを示す認証結果情報を、クライアントに送信する。

　例えば、クライアントは、検証サーバから認証に成功したことを示す認証結果情報を受け取った場合、ＩＤに対応する認証後の処理を実行する。但し、認証後の処理を実行する装置は、クライアントに限定されず、認証に成功したことを示す認証結果情報が得られたことを条件に、クライアント以外の装置がＩＤに対応する認証後の処理を実行してもよい。

　このように、実施の形態１に係る照合システムは、各テンプレートの生成に用いられる秘匿化鍵の一部を共通化しているため、共通化していない場合と比較して、クライアントが保持するデータ数及び検証サーバが保持する鍵の数を減少させたり、クライアント及び検証サーバのべき乗算の回数や通信量を減少させたりすることができる。つまり、実施の形態１に係る照合システムは、効率的な１：Ｎ認証を行うことができる。

　なお、実施の形態１に係る照合システムでは、暗号化された登録情報がテンプレートとしてクライアントに保存されるため、サーバに保存される場合よりも、データ漏洩発生時の被害が軽減される。つまり、実施の形態１に係る照合システムは、セキュリティ性能を向上させつつ、効率的な１：Ｎ認証を行うことができる。

＜実施の形態２＞
　図２は、実施の形態２に係る照合システム１００の構成例を示すブロック図である。図２に示す照合システム１００は、図１に示す照合システムをより詳細に示したブロック図である。

　図２に示すように、照合システム１００は、共通乱数生成装置１１０と、登録情報秘匿化装置１２０と、秘匿化指標算出装置１３０と、秘匿化指標検証装置１４０と、を備える。

　なお、本実施形態では、登録情報及び照合情報が共通の次元のベクトルで表されている場合を例にして説明する。また、本実施形態において、生体情報は、指紋以外に虹彩、網膜、顔、血管（静脈）、掌紋、声紋、又はこれらの組み合わせから抽出されてもよい。或いは、生体情報は、上述した例以外の、生体を識別可能な他の情報から抽出されてもよい。

（共通乱数生成装置１１０の構成）
　共通乱数生成装置１１０は、共通乱数生成部１１１と共通乱数記憶部１１２とを備える。共通乱数生成装置１１０は、共通乱数ＣＲを生成する。共通乱数生成部１１１は、ｓｔａｒｔ信号が入力されると共通乱数ＣＲを生成する。共通乱数記憶部１１２は、共通乱数生成部１１１によって生成された共通乱数ＣＲを記憶する。共通乱数生成装置１１０によって生成された共通乱数ＣＲは、登録情報秘匿化装置１２０において用いられる。

（登録情報秘匿化装置１２０の構成）
　登録情報秘匿化装置１２０は、登録情報入力部１２１と、共通乱数入力部１２２と、ＩＤ発行部１２３と、乱数生成部１２４と、鍵生成部１２５と、秘匿化部１２６と、を備える。

　登録情報入力部１２１は、被登録者の生体情報（以下、登録情報と記す）Ｘの入力を受け付ける。登録情報入力部１２１は、登録情報Ｘの種類に応じた入力デバイスであればよい。例えば、指紋から抽出される生体情報を登録情報Ｘとする場合、登録情報入力部１２１は、指紋を読み取り、その指紋から被登録者の生体情報となるベクトルを抽出し、そのベクトルを登録情報Ｘとして受け付ける入力デバイスであってもよい。また、登録情報入力部１２１は、被登録者の生体情報となるベクトルが登録情報Ｘとして直接入力される入力デバイスであってもよい。

　共通乱数入力部１２２は、共通乱数生成装置１１０からの共通乱数ＣＲを受け付ける。共通乱数入力部１２２は、受け付けた共通乱数ＣＲを鍵生成部１２５に出力する。ＩＤ発行部１２３は、登録情報入力部１２１に登録情報Ｘが入力されるごとにＩＤを発行する。乱数生成部１２４は、発行されたＩＤごとに乱数Ｒ＿ＩＤを生成する。乱数生成部１２４によって生成された乱数Ｒ＿ＩＤに入力される。

　鍵生成部１２５は、共通乱数ＣＲと乱数Ｒ＿ＩＤを用いて秘匿化鍵を生成する。ここで、本実施形態には、公開鍵暗号方式に基づくデジタル署名が採用されている。そのため、鍵生成部１２５は、共通乱数ＣＲを用いてデジタル署名の公開鍵ｐｋおよび秘密鍵ｓｋを生成する。なお、秘密鍵ｓｋは秘匿化鍵としても用いられる。また、鍵生成部１２５は、共通乱数ＣＲを用いて共通秘匿化鍵ｓｋ＿Ｃを生成するとともに、共通乱数ＣＲ及び乱数Ｒ＿ＩＤを用いて登録情報Ｘごとに秘匿化鍵ｓｋ＿ＩＤを生成する。鍵生成部１２５は、秘密鍵ｓｋ、共通秘匿化鍵ｓｋ＿Ｃ、及び、登録情報Ｘごとの秘匿化鍵ｓｋ＿ＩＤを、秘匿化部１２６に出力する。また、鍵生成部１２５は、公開鍵ｐｋ、共通秘匿化鍵ｓｋ＿Ｃ、及び、登録情報Ｘごとの秘匿化鍵ｓｋ＿ＩＤを、秘匿化指標検証装置１４０に送信する。

　秘匿化部１２６は、登録情報入力部１２１に入力された登録情報Ｘを、秘密鍵ｓｋ、共通秘匿化鍵ｓｋ＿Ｃ、及び、当該登録情報Ｘに対応する秘匿化鍵ｓｋ＿ＩＤを用いて秘匿化する。秘匿化部１２６は、登録情報Ｘを秘匿化した情報（以下、秘匿化情報と記す）を、秘匿化指標算出装置１３０に送信する。

　共通乱数入力部１２２、鍵生成部１２５、秘匿化部１２６は、例えば、クライアント用プログラムに従って動作するコンピュータのＣＰＵ（Central Processing Unit）、および、そのコンピュータの通信インタフェースによって実現される。例えば、ＣＰＵが、コンピュータのプログラム記憶装置等のプログラム記録媒体からクライアント用プログラムを読み込み、そのプログラムに従って、通信インタフェースを用いて、共通乱数入力部１２２、鍵生成部１２５、秘匿化部１２６として動作すればよい。また、ＩＤ発行部１２３および乱数生成部１２４は、例えば、クライアント用プログラムに従って動作するコンピュータのＣＰＵによって実現される。例えば、ＣＰＵが上記のようにプログラム記録媒体からクライアント用プログラムを読み込み、そのプログラムに従って、ＩＤ発行部１２３および乱数生成部１２４として動作すればよい。

（秘匿化指標算出装置１３０の構成）
　秘匿化指標算出装置１３０は、秘匿化情報受信部１３１と、秘匿化情報記憶部１３２と、照合情報入力部１３３と、秘匿化指標算出部１３４と、出力部１３５と、を備える。

　秘匿化情報受信部１３１は、登録情報秘匿化装置１２０から送信される秘匿化情報を受信し、秘匿化情報記憶部１３２に記憶させる。秘匿化情報記憶部１３２は、秘匿化情報を記憶する装置である。

　照合情報入力部１３３は、登録情報Ｘとの照合に用いられる被認証者の生体情報（以下、照合情報と記す）Ｙの入力を受け付ける。照合情報入力部１３３は、照合情報Ｙの種類に応じた入力デバイスであればよい。また、照合情報入力部１３３は、被認証者の生体情報となるベクトルが照合情報Ｙとして直接入力される入力デバイスであってもよい。

　なお、本実施形態の照合システム１００には、クライアントと検証サーバと間の通信を盗聴する攻撃者によるクライアントへのなりすましを防ぐために、チャレンジ・レスポンス方式が導入されている。具体的には、照合システム１００では、秘匿化指標検証装置１４０が、認証ごとに異なるチャレンジを秘匿化指標算出装置１３０に送信し、秘匿化指標算出装置１３０が、認証ごとに異なるチャレンジに対応し、かつ、登録情報と照合情報との近さを含むレスポンスを計算することで、レスポンスの値が認証ごとに変更されている。それにより、攻撃者がレスポンスの値を盗聴としたとしても、盗聴された値は次の認証において使用不能であり、攻撃者は別のチャレンジに対応するレスポンスを生成できないため、クライアントへのなりすましが防止される。

　秘匿化指標算出部１３４は、複数のテンプレート（即ち、登録情報Ｘを秘匿化することによって得られた秘匿化情報）と、照合情報Ｙと、秘匿化指標検証装置１４０から受け取るチャレンジと、に基づいて、複数の登録情報Ｘのそれぞれと照合情報Ｙとの近さを示す値である指標を秘匿化したデータ（以下、秘匿化指標と記す）を算出する。このとき、秘匿化指標算出部１３４はテンプレートの秘匿化の解除をすることなく、秘匿化指標を算出する。算出された複数の秘匿化指標は、秘匿化指標検証装置１４０に送信される。

　出力部１３５は、秘匿化指標検証装置１４０から送信された、生体認証の結果を示す認証結果情報を受信する。また、出力部１３５は、受信された認証結果情報を秘匿化指標算出装置１３０外に出力する。

　秘匿化情報受信部１３１、秘匿化情報記憶部１３２、出力部１３５は、例えば、クライアント用プログラムに従って動作するコンピュータのＣＰＵ（Central Processing Unit）、および、そのコンピュータの通信インタフェースによって実現される。例えば、ＣＰＵが、コンピュータのプログラム記憶装置等のプログラム記録媒体からクライアント用プログラムを読み込み、そのプログラムに従って、通信インタフェースを用いて、秘匿化情報受信部１３１、秘匿化情報記憶部１３２、出力部１３５として動作すればよい。また、ＩＤ発行部１２３および乱数生成部１２４は、例えば、登録サーバ用プログラムに従って動作するコンピュータのＣＰＵによって実現される。例えば、ＣＰＵが上記のようにプログラム記録媒体からクライアント用プログラムを読み込み、そのプログラムに従って、ＩＤ発行部１２３および乱数生成部１２４として動作すればよい。

　秘匿化情報記憶部１３２は、例えば、コンピュータが備える記憶装置によって実現される。

（秘匿化指標検証装置１４０の構成）
　秘匿化指標検証装置１４０は、鍵受信部１４１と、鍵記憶部１４２と、受理範囲記憶部１４３と、判定部１４４と、チャレンジ生成部１４５と、を備える。

　鍵受信部１４１は、登録情報秘匿化装置１２０から送信される公開鍵ｐｋ、共通秘匿化鍵ｓｋ＿Ｃ、及び、登録情報Ｘごとの秘匿化鍵ｓｋ＿ＩＤを受信し、鍵記憶部１４２に記憶させる。

　鍵記憶部１４２は、公開鍵ｐｋ、共通秘匿化鍵ｓｋ＿Ｃ、及び、登録情報Ｘごとの秘匿化鍵ｓｋ＿ＩＤを記憶する記憶装置である。

　判定部１４４は、鍵記憶部１４２に記憶されている鍵（公開鍵ｐｋ、共通秘匿化鍵ｓｋ＿Ｃ、及び、登録情報Ｘごとの秘匿化鍵ｓｋ＿ＩＤ）を用いて、秘匿化指標算出装置１３０において算出された複数の秘匿化指標のそれぞれから指標を取得可能か否かを判定する。

　なお、判定部１４４は、各秘匿化指標を秘匿化指標算出装置１３０から受け取る前に、チャレンジ生成部１４５によって生成されたチャレンジを秘匿化指標算出装置１３０に送信する。

　判定部１４４は、秘匿化指標算出装置１３０において算出された複数の秘匿化指標のそれぞれから指標を取得可能な場合、当該指標を取得する。次いで、判定部１４４は、各秘匿化指標から得られた指標が、予め定められた受理範囲内の値であるか否かを判定することによって、登録情報Ｘに含まれる被登録者と、照合情報Ｙに含まれる被認証者と、が一致するか否かを判定する。なお、予め定められた受理範囲は、受理範囲記憶部１４３に記憶されている。

　例えば、判定部１４４は、秘匿化指標から取得された指標が、受理範囲内の値であるならば、被登録者と被認証者とが一致すると判定する。被登録者と被認証者とが一致することが、登録情報Ｘと照合情報Ｙとが対応することに相当する。また、判定部１４４は、秘匿化指標から取得された指標が、受理範囲内の値でないならば、被登録者と被認証者とが一致しないと判定する。判定部１４４は、被登録者と被認証者とが一致する判定結果が１つ存在した場合のみ、ＩＤと、認証に成功した（認証が受理された）ことを示す認証結果情報とを、秘匿化指標算出装置１３０に送信する。被登録者と被認証者とが一致する判定結果が存在しない、又は、一致する判定結果が複数存在する場合、認証に失敗したことを示す認証結果情報を、秘匿化指標算出装置１３０に送信する。

　例えば、秘匿化指標算出装置１３０は、秘匿化指標検証装置１４０から認証に成功したことを示す認証結果情報を受け取った場合、ＩＤに対応する認証後の処理を実行する。但し、認証後の処理を実行する装置は、秘匿化指標算出装置１３０に限定されず、認証に成功したことを示す認証結果情報が得られたことを条件に、クライアント以外の装置がＩＤに対応する認証後の処理を実行してもよい。

　鍵受信部１４１、チャレンジ生成部１４５、判定部１４４は、例えば、サーバ用プログラムに従って動作するコンピュータのＣＰＵ（Central Processing Unit）、および、そのコンピュータの通信インタフェースによって実現される。例えば、ＣＰＵが、コンピュータのプログラム記憶装置等のプログラム記録媒体からサーバ用プログラムを読み込み、そのプログラムに従って、通信インタフェースを用いて、鍵受信部１４１、チャレンジ生成部１４５、判定部１４４として動作すればよい。

　鍵記憶部１４２、受理範囲記憶部１４３は、例えば、コンピュータが備える記憶装置によって実現される。

（フローチャート）
　続いて、照合システム１００の処理の流れを説明する。
　図３は、照合システム１００における共通乱数の生成動作を示すフローチャートである。なお、既に説明した内容については、詳細な説明を省略する。

　まず、共通乱数生成装置１１０は、共通乱数生成部１１１において共通乱数ＣＲを生成する（ステップＳ１０１）。その後、共通乱数生成装置１１０は、共通乱数記憶部１１２に共通乱数ＣＲを記憶させる（ステップＳ１０２）。その後、共通乱数生成装置１１０は、共通乱数ＣＲを登録情報秘匿化装置１２０の共通乱数入力部１２２に送信する（ステップＳ１０３）。

　図４は、照合システム１００における登録処理及び認証処理の動作を示すフローチャートである。なお、既に説明した事項については、詳細な説明を省略する。

　まず、登録処理が行われる。
　具体的には、まず、登録情報秘匿化装置１２０において、登録情報Ｘ（被登録者の生体情報）が登録情報入力部１２１に入力される（ステップＳ２０１）。

　次いで、共通乱数入力部１２２は、共通乱数生成装置１１０から送信された共通乱数ＣＲを受信する（ステップＳ２０２）。

　次いで、ＩＤ発行部１２３は、登録情報入力部１２１に登録情報Ｘが入力されるごとにＩＤを発行する（ステップＳ２０３）。

　次いで、乱数生成部１２４は、発行されたＩＤごとに乱数Ｒ＿ＩＤを生成する（ステップＳ２０４）。

　次いで、鍵生成部１２５は、共通乱数ＣＲを用いてデジタル署名の秘密鍵ｓｋ及び公開鍵ｐｋを生成する（ステップＳ２０５）。また、鍵生成部１２５は、共通乱数ＣＲを用いて共通秘匿化鍵ｓｋ＿Ｃを生成するとともに、共通乱数ＣＲ及び乱数Ｒ＿ＩＤを用いて登録情報Ｘごとに秘匿化鍵ｓｋ＿ＩＤを生成する（ステップＳ２０５）。

　次いで、秘匿化部１２６は、登録情報入力部１２１に入力された登録情報Ｘを、秘密鍵ｓｋ、共通秘匿化鍵ｓｋ＿Ｃ、及び、当該登録情報Ｘに対応する秘匿化鍵ｓｋ＿ＩＤを用いて秘匿化し、秘匿化情報として出力する（ステップＳ２０６）。

　次いで、秘匿化部１２６は、秘匿化情報を秘匿化指標算出装置１３０の秘匿化情報受信部１３１に送信する（ステップＳ２０７）。

　次いで、鍵生成部１２５は、公開鍵ｐｋと、共通秘匿化鍵ｓｋ＿Ｃ、及び、登録情報Ｘごとの秘匿化鍵ｓｋ＿ＩＤを、秘匿化指標検証装置１４０の鍵受信部１４１に送信する（ステップＳ２０８）。

　次いで、秘匿化指標算出装置１３０において、秘匿化情報受信部１３１は、秘匿化情報を受信する（ステップＳ２０９）。

　次いで、秘匿化情報記憶部１３２は、秘匿化情報を記憶する（ステップＳ２１０）。

　次いで、秘匿化指標検証装置１４０において、鍵受信部１４１は、登録情報秘匿化装置１２０から送信された公開鍵ｐｋ、共通秘匿化鍵ｓｋ＿Ｃ、及び、登録情報Ｘごとの秘匿化鍵ｓｋ＿ＩＤを受信する（ステップＳ２１１）。

　次いで、鍵記憶部１４２は、公開鍵ｐｋ、共通秘匿化鍵ｓｋ＿Ｃ、及び、登録情報Ｘごとの秘匿化鍵ｓｋ＿ＩＤを記憶する（ステップＳ２１２）。

　図５は、照合システム１００の第１の適用事例を示すブロック図である。
　図５の例では、登録サーバが共通乱数生成装置１１０及び登録情報秘匿化装置１２０を備え、クライアントが秘匿化指標算出装置１３０を備え、検証サーバが秘匿化指標検証装置１４０を備えている。この場合、登録サーバは、共通乱数ＣＲと秘密鍵ｓｋと共通秘匿化鍵ｓｋ＿Ｃと登録情報Ｘごとの秘匿化鍵ｓｋ＿ＩＤとを保持し続ける。

　図６は、照合システム１００の第２の適用事例を示すブロック図である。
　図６の例では、クライアントが、共通乱数生成装置１１０と、登録情報秘匿化装置１２０と、秘匿化指標算出装置１３０とを備え、検証サーバが秘匿化指標検証装置１４０を備えている。この場合、登録処理が終了すると、共通乱数ＣＲと秘密鍵ｓｋと共通秘匿化鍵ｓｋ＿Ｃと登録情報Ｘごとの秘匿化鍵ｓｋ＿ＩＤとはクライアントから削除される。

　登録処理の後、認証処理が行われる。
　具体的には、まず、秘匿化指標算出装置１３０において、照合情報Ｙ（被認証者の生体情報）が照合情報入力部１３３に入力される（ステップＳ２１３）。

　次いで、秘匿化指標検証装置１４０において、チャレンジ生成部１４５は、チャレンジを生成する（ステップＳ２１４）。また、チャレンジ生成部１４５は、チャレンジを秘匿化指標算出装置１３０の秘匿化指標算出部１３４に送信する（ステップＳ２１５）。

　次いで、秘匿化指標算出装置１３０において、秘匿化指標算出部１３４は、チャレンジを受信する（ステップＳ２１６）。

　次いで、秘匿化指標算出部１３４は、複数のテンプレート（登録情報Ｘを秘匿化することによって得られた秘匿化情報）と、照合情報Ｙと、秘匿化指標検証装置１４０から受け取ったチャレンジと、に基づいて、複数の秘匿化指標を算出する（ステップＳ２１７）。

　次いで、秘匿化指標算出部１３４は、算出した複数の秘匿化指標を秘匿化指標検証装置１４０の判定部１４４に送信する（ステップＳ２１８）。

　次いで、秘匿化指標検証装置１４０において、判定部１４４は、秘匿化指標算出装置１３０から送信された複数の秘匿化指標を受信する（ステップＳ２１９）。

　次いで、判定部１４４は、受信した複数の秘匿化指標の中に予め定められた受理範囲内の指標があるか否かの照合を、公開鍵ｐｋと、共通秘匿化鍵ｓｋ＿Ｃ、秘匿化鍵ｓｋ＿ＩＤ、チャレンジを用いて行う（ステップＳ２２０）。また、判定部１４４は、秘匿化指標算出装置１３０の出力部１３５に照合結果を送信する（ステップＳ２２１）。

　次いで、秘匿化指標算出装置１３０において、出力部１３５は照合結果を受信する（ステップＳ２２２）。次いで、出力部１３５は、照合結果を出力する（ステップＳ２２３）。

　以下、本実施形態の認証処理の具体例について説明する。
　以下の説明では、登録情報Ｘおよび照合情報Ｙは、いずれもｎ次元のベクトルであるものとする。そして、Ｘの各要素は、Ｘ＝（ｘ＿１，・・・，ｘ＿ｎ）と表され、Ｙの各要素は、Ｙ＝（ｙ＿１，・・・，ｙ＿ｎ）と表されるものとする。また、記号ｉは１，・・・，ｎを表すものとする。例えば、｛ｕ＿ｉ｝＝ｕ＿１，ｕ＿２，・・・，ｕ＿ｎである。さらに登録時に入力される登録情報Ｘの数をＮとする。また、記号ｊは１，・・・，Ｎを表すものとする。

（第１の具体例）
　本具体例では、登録情報Ｘと照合情報Ｙとの近さを示す指標が、登録情報Ｘと照合情報Ｙとの内積である場合を考える。登録情報Ｘと照合情報Ｙとの内積＜Ｘ，Ｙ＞は、Σ（ｘ＿ｉ・ｙ＿ｉ）である。以下では、指標が内積である場合の処理の一例を示す。

　また、本具体例では、Ｓｃｈｎｏｒｒ署名が用いられている。Ｓｃｈｎｏｒｒ署名では、秘密鍵ｓｋと公開鍵ｐｋ＝ｇ＾ｓｋとの組が生成される。なお、ｓｋ∈Ｚ＿ｑ（Ｚ＿ｑ＝｛０，１，・・・，ｑ－１｝、ｑは素数）である（Ｚは整数全体の集合を表す記号）。また、ｇは、位数ｑの群Ｇの生成元である。すなわち、Ｇ＝｛ｇ＿０，ｇ＿１，・・・，ｇ＿ｑ－１｝である。Ｚ＿ｑ、ｇ、およびＧは、全ての装置との間で共有されている。

　さらに、秘匿化指標検証装置１４０に受理範囲Θ＝｛θ＿１，・・・，θ＿ｍ｝が与えられている。秘匿化指標検証装置１４０の受理範囲記憶部１４３は、Θ’＝｛ｇ＾（θ＿１），・・・，ｇ＾（θ＿ｍ）｝を記憶している。なお、Θ’は、Θの各値を指数とするｇのべき乗の集合である。

　以下、Ｓｃｈｎｏｒｒ署名が使用される場合の具体的な登録処理を説明する。

　最初に、Ｎ人の被登録者の生体情報（即ち、登録情報）｛Ｘ＿ｊ｝が、登録情報入力部１２１に入力される。次いで、ＩＤ発行部１２３は生体情報ごとにＩＤを発行する。
次いで、共通乱数生成部１１１は以下の式（１）、式（２）のように共通乱数を生成する。

　Ｒ＿１←＾ＲＺ＿ｑ　・・・（１）
　Ｒ＿３←＾ＲＺ＿ｑ　・・・（２）

　また、乱数生成部１２４は以下の式（３）、式（４）のように乱数を生成する。

　（Ｒ＿２＿１，Ｒ＿２＿２，・・・，Ｒ＿２＿Ｎ）←＾ＲＺ＿ｑ　・・・（３）
　（ｒ＿１＿１，ｒ＿２＿１，・・・，ｒ＿ｎ＿１，ｒ＿１＿２，・・・，ｒ＿ｎ＿Ｎ）←＾ＲＺ＿ｑ　・・・（４）

　次いで、鍵生成部１２５は、Ｒ＿３を秘密鍵とみなし、公開鍵ｇ＾（Ｒ＿３）を生成する。また、共通乱数｛ｒ＿ｉ＿ｊ｝と、乱数Ｒ＿１，｛Ｒ＿２＿ｊ｝と、を秘匿化鍵とみなす。

　鍵生成部１２５は、秘密鍵と秘匿化鍵を秘匿化部１２６に入力する。また、鍵生成部１２５はＩＤと、公開鍵ｇ＾（Ｒ＿３）と、秘匿化鍵Ｒ＿１，｛Ｒ＿２＿ｊ｝を秘匿化指標検証装置１４０の鍵受信部１４１に送信する。

　次いで、鍵記憶部１４２は受信したＩＤ、公開鍵と秘匿化鍵を記憶する。

　次いで、登録情報秘匿化装置１２０の秘匿化部１２６は、入力された秘密鍵と秘匿化鍵、Ｎ個の登録情報｛Ｘ＿ｊ｝を基に、ｉ＝１，２，・・・，ｎとｊ＝１，２，・・・，Ｎに対して、Ｒ＿１・ｘ＿ｉ＿ｊ＋Ｒ＿２＿ｊ・ｒ＿ｉ＋Ｒ＿３、ｇ＾（ｒ＿ｉ＿ｊ）を生成する。以下、テンプレートを｛Ｒ＿１・ｘ＿ｉ＿ｊ＋Ｒ＿２＿ｊ・ｒ＿ｉ＿ｊ＋Ｒ３｝、｛ｇ＾（ｒ＿ｉ＿ｊ）｝とする。

　秘匿化部１２６は、ＩＤとテンプレートを秘匿化指標算出装置１３０の秘匿化情報受信部１３１に送信する。

　次いで、秘匿化情報記憶部１３２は、ＩＤとテンプレートを記憶する。

　次に、Ｓｃｈｎｏｒｒ署名が使用される場合の具体的な認証処理を説明する。

　最初に、照合情報Ｙが照合情報入力部１３３に入力される。秘匿化指標算出部１３４は、照合情報入力部１３３から照合情報Ｙを取得し、秘匿化情報記憶部からＩＤとテンプレートを取得する。

　次いで、秘匿化指標算出部１３４は、σ＿１＿ｊ＝ｇ＾（Σｒ＿ｉ＿ｊ・ｙ＿ｉ）を計算する。その後、秘匿化指標算出部１３４はＩＤと、対応する｛σ＿１＿ｊ｝を秘匿化指標検証装置１４０の判定部１４４に送信する。

　次いで、ＩＤとσ＿１＿ｊを受信した秘匿化指標検証装置１４０は、チャレンジ生成部１４５において、Ｍ，Ｒ←＾ＲＺ＿ｑを生成し、鍵記憶部１４２に記憶されている公開鍵ｇ＾（Ｒ＿３）を用いて、ｇ＾（Ｒ・Ｒ＿３）を計算する。その後、チャレンジとしてＭ，ｇ＾（Ｒ・Ｒ＿３）を秘匿化指標算出装置の秘匿化指標算出部１３４に送信する。

　次いで、秘匿化指標算出部１３４は、Ｓ＿ｊ＝Ｈ（Ｍ，ｇ＾ｒ’＿ｊ）を算出する。なお、Ｈは暗号学的ハッシュ関数である。次いで、秘匿化指標算出部１３４は、入力された照合情報Ｙとテンプレートとを基に、以下の各値を式（５）、式（６）、式（７）から算出する。

　Ａ＿ｊ＝Σ＿ｉ（Ｒ＿１・ｘ＿ｉ＿ｊ＋Ｒ＿２＿ｊ・ｒ＿ｉ＿ｊ＋Ｒ＿３）・ｙ＿ｉ　・・・（５）
　σ＿２＿ｊ＝ｒ’＿ｊ－Ａ＿ｊ・Ｓ　・・・（６）
　σ＿３＝ｇ＾（Ｒ・Ｒ＿３・ｙ＿ｉ）　・・・（７）

　なお、Ａ＿ｊは、ＸとＹの内積＜Ｘ，Ｙ＞がＲ＿１倍された値に、Ｒ＿２＿ｊ倍のΣｒ＿ｉ・ｙ＿ｉとＲ＿３倍のΣｙ＿ｉが加算された値である。各値を算出した後、秘匿化指標算出部１３４は、登録情報Ｘ＿ｊと照合情報Ｙとの内積を含むレスポンスとして、（｛Ｓ＿ｊ｝，｛σ＿２＿ｊ｝，σ＿３）を秘匿化指標検証装置１４０の判定部１４４に送信する。（Ｓ＿ｊ，σ＿２＿ｊ，σ＿３）は、Ａ＿ｊを秘密鍵とするＳｃｈｎｏｒｒ署名に相当する。

　判定部１４４は、秘匿化指標算出部１３４からレスポンスを受信する。判定部１４４は、鍵記憶部１４２にＩＤとともに記憶されている公開鍵ｇ＾（Ｒ＿３）と、秘匿化鍵Ｒ＿１，｛Ｒ＿２＿ｊ｝を用いてＮ個のデジタル署名｛Ｓ＿ｊ，σ＿２＿ｊ，σ＿３｝を検証する。具体的には、以下の式（８）を計算する。

　ｖ＿ｊ＝［｛ｇ＾（σ＿２＿ｊ）｝・｛（σ＿３）＾（Ｓ＿ｊ・Ｒ＿３）｝・｛（σ＿１＿ｊ）＾（Ｓ＿ｊ・Ｒ＿２＿ｊ）｝・（ｇ＾（－ｒ’＿ｊ））］＾（－１／Ｒ＿１）　・・・（８）

　判定部１４４は、計算されたｖ＿ｊがΘ’に含まれるか否かを確認する。Θ’に含まれる値が見つからなかった、もしくは、複数見つかった場合，「認証失敗」を示す認証結果情報を生成する。

　また、Θ’に含まれる値が一つだけ見つかった場合、判定部１４４は、「ＩＤ＿ｊが認証成功」を示す認証結果情報を生成する。

　次いで、判定部１４４は、生成された認証結果情報を秘匿化指標算出装置１３０の出力部１３５に送信する。次いで、認証結果情報を受信した出力部１３５は、認証結果情報を出力する。なお、認証結果情報は、直接秘匿化指標検証装置１４０から出力されてもよい。

　なお、本具体例では、本具体例ではＳｃｈｎｏｒｒ署名が用いられているが、ＤＳＡ署名等の他の暗号学的に安全なデジタル署名方式が用いられてもよい。

（第２の具体例）
　本具体例でも、登録情報Ｘと照合情報Ｙとの近さを示す指標が、登録情報Ｘと照合情報Ｙとの内積である場合を考える。以下では、指標が内積である場合の処理の一例を示す。

　最初に、Ｎ人の被登録者の生体情報（即ち、登録情報）｛Ｘ＿ｊ｝が、登録情報入力部１２１に入力される。次いで、ＩＤ発行部１２３は生体情報ごとにＩＤを発行する。
次いで、共通乱数生成部１１１は以下の式（９）、式（１０）のように共通乱数を生成する。

　Ｒ＿２←＾ＲＺ＿ｑ　・・・（９）
　Ｒ＿３←＾ＲＺ＿ｑ　・・・（１０）

　また、乱数生成部１２４は以下の式（１１）、式（１２）のように乱数を生成する。

　（Ｒ＿１＿１，Ｒ＿１＿２，・・・，Ｒ＿１＿Ｎ）←＾ＲＺ＿ｑ　・・・（１１）
　（ｒ＿１＿１，ｒ＿２＿１，・・・，ｒ＿ｎ＿１，ｒ＿１＿２，・・・，ｒ＿ｎ＿Ｎ）←＾ＲＺ＿ｑ　・・・（１２）

　次いで、鍵生成部１２５は、Ｒ＿３を秘密鍵とみなし、公開鍵ｇ＾（Ｒ＿３）を生成する。また、共通乱数｛ｒ＿ｉ＿ｊ｝と，乱数｛Ｒ＿１＿ｊ｝，Ｒ＿２を秘匿化鍵とみなす。

　鍵生成部１２５は、秘密鍵と秘匿化鍵を秘匿化部１２６に入力する。また、鍵生成部１２５はＩＤと、公開鍵ｇ＾（Ｒ＿３）と、秘匿化鍵｛Ｒ＿１＿ｊ｝，Ｒ＿２を秘匿化指標検証装置１４０の鍵受信部１４１に送信する。

　次いで、登録情報秘匿化装置１２０の秘匿化部１２６は、入力された秘密鍵と秘匿化鍵、Ｎ個の生体情報｛Ｘ＿ｊ｝を基に、ｉ＝１，２，・・・，ｎとｊ＝１，２，・・・，Ｎに対して、Ｒ＿１＿ｊ・ｘ＿ｉ＿ｊ＋Ｒ＿２・ｒ＿ｉ＋Ｒ＿３、ｇ＾（ｒ＿ｉ＿ｊ）を生成する。以下、テンプレートを｛Ｒ＿１＿ｊ・ｘ＿ｉ＿ｊ＋Ｒ＿２・ｒ＿ｉ＿ｊ＋Ｒ３｝、｛ｇ＾（ｒ＿ｉ＿ｊ）｝とする。

　次いで、秘匿化指標算出部１３４は、Ｓ＿ｊ＝Ｈ（Ｍ，ｇ＾ｒ’＿ｊ）を算出する。なお、Ｈは暗号学的ハッシュ関数である。次いで、秘匿化指標算出部１３４は、入力された照合情報Ｙとテンプレートとを基に、以下の各値を式（１３）、式（１４）、式（１５）から算出する。

　Ａ＿ｊ＝Σ＿ｉ（Ｒ＿１＿ｊ・ｘ＿ｉ＿ｊ＋Ｒ＿２・ｒ＿ｉ＿ｊ＋Ｒ＿３）・ｙ＿ｉ　・・・（１３）
　σ＿２＿ｊ＝ｒ’＿ｊ－Ａ＿ｊ・Ｓ　・・・（１４）
　σ＿３＝ｇ＾（Ｒ・Ｒ＿３・ｙ＿ｉ）　・・・（１５）

　なお、Ａ＿ｊは、ＸとＹの内積＜Ｘ，Ｙ＞がＲ＿１＿ｊ倍された値に、Ｒ＿２倍のΣｒ＿ｉ・ｙ＿ｉとＲ＿３倍のΣｙ＿ｉが加算された値である。各値を算出した後、秘匿化指標算出部１３４は、登録情報Ｘ＿ｊと照合情報Ｙとの内積を含むレスポンスとして、（｛Ｓ＿ｊ｝，｛σ＿２＿ｊ｝，σ＿３）を秘匿化指標検証装置１４０の判定部１４４に送信する。（Ｓ＿ｊ，σ＿２＿ｊ，σ＿３）は、Ａ＿ｊを秘密鍵とするＳｃｈｎｏｒｒ署名に相当する。

　判定部１４４は、秘匿化指標算出部１３４からレスポンスを受信する。判定部１４４は、鍵記憶部１４２にＩＤとともに記憶されている公開鍵ｇ＾（Ｒ＿３）と、秘匿化鍵｛Ｒ＿１＿ｊ｝，Ｒ＿２を用いてＮ個のデジタル署名｛Ｓ＿ｊ，σ＿２＿ｊ，σ＿３｝を検証する。具体的には、以下の式（１６）を計算する。

　ｖ＿ｊ＝［｛ｇ＾（σ＿２＿ｊ）｝・｛（σ＿３）＾（Ｓ＿ｊ・Ｒ＿３）｝・｛（σ＿１＿ｊ）＾（Ｓ＿ｊ・Ｒ＿２）｝・（ｇ＾（－ｒ’＿ｊ））］＾（－１／Ｒ＿１＿ｊ）　・・・（１６）

　このように、実施の形態２に係る照合システム１００は、各テンプレートの生成に用いられる秘匿化鍵の一部を共通化しているため、共通化していない場合と比較して、クライアントが保持するデータ数及び検証サーバが保持する鍵の数を減少させたり、クライアント及び検証サーバのべき乗算の回数や通信量を減少させたりすることができる。つまり、実施の形態２に係る照合システム１００は、効率的な１：Ｎ認証を行うことができる。

　なお、実施の形態２に係る照合システム１００では、暗号化された登録情報がテンプレートとしてクライアントに保存されるため、サーバに保存される場合よりも、データ漏洩発生時の被害が軽減される。つまり、実施の形態２に係る照合システム１００は、セキュリティ性能を向上させつつ、効率的な１：Ｎ認証を行うことができる。

　なお、照合システム１００は、登録処理のみを実行する構成に適宜変更可能である。例えば、照合システム１００は、共通乱数生成装置１１０と、登録情報秘匿化装置１２０と、秘匿化指標算出装置１３０ａと、秘匿化指標検証装置１４０ａと、によって構成されてもよい。秘匿化指標算出装置１３０ａは、秘匿化指標算出装置１３０に対応する装置であって、秘匿化情報受信部１３１及び秘匿化情報記憶部１３２のみを有する。秘匿化指標検証装置１４０ａは、秘匿化指標検証装置１４０に対応する装置であって、鍵受信部１４１及び鍵記憶部１４２のみを有する。

　また、照合システム１００は、認証処理のみを実行する構成に適宜変更可能である。例えば、照合システム１００は、秘匿化指標算出装置１３０ａと、秘匿化指標検証装置１４０ａと、によって構成されてもよい。秘匿化指標算出装置１３０ａは、秘匿化指標算出装置１３０に対応する装置であって、秘匿化情報記憶部１３２、照合情報入力部１３３、秘匿化指標算出部１３４、及び、出力部１３５のみを有する。秘匿化指標検証装置１４０ａは、秘匿化指標検証装置１４０に対応する装置であって、鍵記憶部１４２、受理範囲記憶部１４３、判定部１４４、及び、チャレンジ生成部１４５のみを有する。

　図７は、実施の形態１，２に係る照合システムが適用されたクライアント及びサーバを実現するコンピュータの概略を示すブロック図である。下、図７を参照して説明するが、クライアントとして用いられるコンピュータと、サーバとして用いられるコンピュータとは、別々のコンピュータである。

　コンピュータ１０００は、ＣＰＵ１００１と、主記憶装置１００２と、補助記憶装置１００３と、インタフェース１００４と、通信インタフェース１００５と、を備える。

　クライアントを実現するコンピュータ１０００の動作は、クライアント用プログラムの形式で補助記憶装置１００３に記憶されている。ＣＰＵ１００１は、そのクライアント用プログラムを補助記憶装置１００３から読み出して主記憶装置１００２に展開し、そのクライアント用プログラムに従って、上記の実施形態やその具体例で説明したクライアントの動作を実行する。

　サーバを実現するコンピュータ１０００の動作は、サーバ用プログラムの形式で補助記憶装置１００３に記憶されている。ＣＰＵ１００１は、そのサーバ用プログラムを補助記憶装置１００３から読み出して主記憶装置１００２に展開し、そのサーバ用プログラムに従って、上記の実施形態やその具体例で説明したサーバの動作を実行する。

　補助記憶装置１００３は、一時的でない有形の媒体の例である。一時的でない有形の媒体の他の例として、インタフェース１００４を介して接続される磁気ディスク、光磁気ディスク、ＣＤ－ＲＯＭ（Compact Disk Read OnlyMemory）、ＤＶＤ－ＲＯＭ（Digital Versatile Disk Read Only Memory）、半導体メモリ等が挙げられる。また、プログラムが通信回線によってコンピュータ１０００に配信される場合、配信を受けたコンピュータ１０００がそのプログラムを主記憶装置１００２に展開し、そのプログラムに従って動作してもよい。

　また、クライアントの各構成要素の一部または全部は、汎用または専用の回路（circuitry）、プロセッサ等やこれらの組み合わせによって実現されてもよい。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。各構成要素の一部または全部は、上述した回路等とプログラムとの組み合わせによって実現されてもよい。この点は、サーバに関しても同様である。

　上記の実施の形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。

（付記１）
　共通乱数を生成する共通乱数生成手段と、
　複数の被登録者の生体情報である複数の登録情報のそれぞれに固有の複数の識別情報を生成する識別情報生成手段と、
　前記共通乱数を用いて前記複数の登録情報のそれぞれに共通の共通鍵を生成すると共に、前記複数の識別情報を用いて前記複数の登録情報のそれぞれに固有の複数の固有鍵を生成する、鍵生成手段と、
　前記共通鍵と前記複数の固有鍵とを用いて前記複数の登録情報のそれぞれを秘匿化した複数の秘匿化情報を生成する秘匿化手段と、
　クライアントと、
　検証サーバと、
　を備え、
　前記クライアントは、
　被認証者の生体情報である照合情報と、前記複数の秘匿化情報のそれぞれと、の近似度を表す複数の秘匿化指標を算出する秘匿化指標算出手段を有し、
　前記検証サーバは、
　前記共通鍵と前記複数の固有鍵とを用いて前記複数の秘匿化指標のそれぞれを復号した複数の指標を生成するとともに、前記複数の指標の何れかが所定範囲内の値を示すか否かに基づいて、前記照合情報についての認証を行う判定手段を有する、
　照合システム。

（付記２）
　前記判定手段は、前記複数の指標の何れか一つが前記所定範囲内の値を示す場合、前記照合情報についての認証を受理する、
　付記１に記載の照合システム。

（付記３）
　各前記固有鍵は、秘密鍵及び公開鍵によって構成され、
　前記鍵生成手段は、各前記固有鍵のうち秘密鍵を前記秘匿化手段に送信し、各前記固有鍵のうち公開鍵を前記検証サーバに送信する、
　付記１又は２に記載の照合システム。

（付記４）
　前記検証サーバは、
　前記照合情報ごとにチャレンジ信号を生成して前記クライアントに送信するチャレンジ生成手段をさらに備え、
　前記クライアントにおいて、
　前記秘匿化指標算出手段は、前記チャレンジ信号に対応するレスポンス信号として前記複数の秘匿化指標を算出するように構成されている、
　付記１～３の何れか一項に記載の照合システム。

（付記５）
　前記照合情報及び前記複数の登録情報は、何れもベクトルによって表される、
　付記１～４の何れか一項に記載の照合システム。

（付記６）
　前記クライアントにおいて、前記秘匿化指標算出手段は、前記照合情報と、前記複数の秘匿化情報のそれぞれと、の内積によって、前記複数の秘匿化指標を算出する、
　付記１～５の何れか一項に記載の照合システム。

（付記７）
　少なくとも前記識別情報生成手段、前記鍵生成手段、及び、前記秘匿化手段は、前記クライアントに設けられている、
　付記１～６の何れか一項に記載の照合システム。

（付記８）
　少なくとも前記識別情報生成手段、前記鍵生成手段、及び、前記秘匿化手段は、前記クライアント及び前記検証サーバとは別の登録サーバに設けられている、
　付記１～６の何れか一項に記載の照合システム。

（付記９）
　共通乱数を生成する共通乱数生成ステップと、
　複数の被登録者の生体情報である複数の登録情報のそれぞれに固有の複数の識別情報を生成する識別情報生成ステップと、
　前記共通乱数を用いて前記複数の登録情報のそれぞれに共通の共通鍵を生成すると共に、前記複数の識別情報を用いて前記複数の登録情報のそれぞれに固有の複数の固有鍵を生成する、鍵生成ステップと、
　前記共通鍵と前記複数の固有鍵とを用いて前記複数の登録情報のそれぞれを秘匿化した複数の秘匿化情報を生成する秘匿化ステップと、
　クライアントにおいて、被認証者の生体情報である照合情報と、前記複数の秘匿化情報のそれぞれと、の近似度を表す複数の秘匿化指標を算出する秘匿化指標算出ステップと、
　検証サーバにおいて、前記共通鍵と前記複数の固有鍵とを用いて前記複数の秘匿化指標のそれぞれを復号した複数の指標を生成するとともに、前記複数の指標の何れかが所定範囲内の値を示すか否かに基づいて、前記照合情報についての認証を行う判定ステップと、
　を備えた、照合方法。

（付記１０）
　共通乱数を生成する共通乱数生成処理と、
　複数の被登録者の生体情報である複数の登録情報のそれぞれに固有の複数の識別情報を生成する識別情報生成処理と、
　前記共通乱数を用いて前記複数の登録情報のそれぞれに共通の共通鍵を生成すると共に、前記複数の識別情報を用いて前記複数の登録情報のそれぞれに固有の複数の固有鍵を生成する、鍵生成処理と、
　前記共通鍵と前記複数の固有鍵とを用いて前記複数の登録情報のそれぞれを秘匿化した複数の秘匿化情報を生成する秘匿化処理と、
　クライアントにおいて、被認証者の生体情報である照合情報と、前記複数の秘匿化情報のそれぞれと、の近似度を表す複数の秘匿化指標を算出する秘匿化指標算出処理と、
　検証サーバにおいて、前記共通鍵と前記複数の固有鍵とを用いて前記複数の秘匿化指標のそれぞれを復号した複数の指標を生成するとともに、前記複数の指標の何れかが所定範囲内の値を示すか否かに基づいて、前記照合情報についての認証を行う判定処理と、
　をコンピュータに実行させる照合プログラムが格納された非一時的なコンピュータ可読媒体。

　以上、実施の形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　１００　照合システム
　１１０　共通乱数生成装置
　１１１　共通乱数生成部
　１１２　共通乱数記憶部
　１２０　登録情報秘匿化装置
　１２１　登録情報入力部
　１２２　共通乱数入力部
　１２３　ＩＤ発行部
　１２４　乱数生成部
　１２５　鍵生成部
　１２６　秘匿化部
　１３０　秘匿化指標算出装置
　１３１　秘匿化情報受信部
　１３２　秘匿化情報記憶部
　１３３　照合情報入力部
　１３４　秘匿化指標算出部
　１３５　出力部
　１４０　秘匿化指標検証装置
　１４１　鍵受信部
　１４２　鍵記憶部
　１４３　受理範囲記憶部
　１４４　判定部
　１４５　チャレンジ生成部
　１０００　コンピュータ
　１００２　主記憶装置
　１００３　補助記憶装置
　１００４　インタフェース
　１００５　通信インタフェース

Claims

　共通乱数を生成する共通乱数生成手段と、
　複数の被登録者の生体情報である複数の登録情報のそれぞれに固有の複数の識別情報を生成する識別情報生成手段と、
　前記共通乱数を用いて前記複数の登録情報のそれぞれに共通の共通鍵を生成すると共に、前記複数の識別情報を用いて前記複数の登録情報のそれぞれに固有の複数の固有鍵を生成する、鍵生成手段と、
　前記共通鍵と前記複数の固有鍵とを用いて前記複数の登録情報のそれぞれを秘匿化した複数の秘匿化情報を生成する秘匿化手段と、
　クライアントと、
　検証サーバと、
　を備え、
　前記クライアントは、
　被認証者の生体情報である照合情報と、前記複数の秘匿化情報のそれぞれと、の近似度を表す複数の秘匿化指標を算出する秘匿化指標算出手段を有し、
　前記検証サーバは、
　前記共通鍵と前記複数の固有鍵とを用いて前記複数の秘匿化指標のそれぞれを復号した複数の指標を生成するとともに、前記複数の指標の何れかが所定範囲内の値を示すか否かに基づいて、前記照合情報についての認証を行う判定手段を有する、
　照合システム。
　前記判定手段は、前記複数の指標の何れか一つが前記所定範囲内の値を示す場合、前記照合情報についての認証を受理する、
　請求項１に記載の照合システム。
　各前記固有鍵は、秘密鍵及び公開鍵によって構成され、
　前記鍵生成手段は、各前記固有鍵のうち秘密鍵を前記秘匿化手段に送信し、各前記固有鍵のうち公開鍵を前記検証サーバに送信する、
　請求項１又は２に記載の照合システム。
　前記検証サーバは、
　前記照合情報ごとにチャレンジ信号を生成して前記クライアントに送信するチャレンジ生成手段をさらに備え、
　前記クライアントにおいて、
　前記秘匿化指標算出手段は、前記チャレンジ信号に対応するレスポンス信号として前記複数の秘匿化指標を算出するように構成されている、
　請求項１～３の何れか一項に記載の照合システム。
　前記照合情報及び前記複数の登録情報は、何れもベクトルによって表される、
　請求項１～４の何れか一項に記載の照合システム。
　前記クライアントにおいて、前記秘匿化指標算出手段は、前記照合情報と、前記複数の秘匿化情報のそれぞれと、の内積によって、前記複数の秘匿化指標を算出する、
　請求項１～５の何れか一項に記載の照合システム。
　少なくとも前記識別情報生成手段、前記鍵生成手段、及び、前記秘匿化手段は、前記クライアントに設けられている、
　請求項１～６の何れか一項に記載の照合システム。
　少なくとも前記識別情報生成手段、前記鍵生成手段、及び、前記秘匿化手段は、前記クライアント及び前記検証サーバとは別の登録サーバに設けられている、
　請求項１～６の何れか一項に記載の照合システム。
　共通乱数を生成する共通乱数生成ステップと、
　複数の被登録者の生体情報である複数の登録情報のそれぞれに固有の複数の識別情報を生成する識別情報生成ステップと、
　前記共通乱数を用いて前記複数の登録情報のそれぞれに共通の共通鍵を生成すると共に、前記複数の識別情報を用いて前記複数の登録情報のそれぞれに固有の複数の固有鍵を生成する、鍵生成ステップと、
　前記共通鍵と前記複数の固有鍵とを用いて前記複数の登録情報のそれぞれを秘匿化した複数の秘匿化情報を生成する秘匿化ステップと、
　クライアントにおいて、被認証者の生体情報である照合情報と、前記複数の秘匿化情報のそれぞれと、の近似度を表す複数の秘匿化指標を算出する秘匿化指標算出ステップと、
　検証サーバにおいて、前記共通鍵と前記複数の固有鍵とを用いて前記複数の秘匿化指標のそれぞれを復号した複数の指標を生成するとともに、前記複数の指標の何れかが所定範囲内の値を示すか否かに基づいて、前記照合情報についての認証を行う判定ステップと、
　を備えた、照合方法。
　共通乱数を生成する共通乱数生成処理と、
　複数の被登録者の生体情報である複数の登録情報のそれぞれに固有の複数の識別情報を生成する識別情報生成処理と、
　前記共通乱数を用いて前記複数の登録情報のそれぞれに共通の共通鍵を生成すると共に、前記複数の識別情報を用いて前記複数の登録情報のそれぞれに固有の複数の固有鍵を生成する、鍵生成処理と、
　前記共通鍵と前記複数の固有鍵とを用いて前記複数の登録情報のそれぞれを秘匿化した複数の秘匿化情報を生成する秘匿化処理と、
　クライアントにおいて、被認証者の生体情報である照合情報と、前記複数の秘匿化情報のそれぞれと、の近似度を表す複数の秘匿化指標を算出する秘匿化指標算出処理と、
　検証サーバにおいて、前記共通鍵と前記複数の固有鍵とを用いて前記複数の秘匿化指標のそれぞれを復号した複数の指標を生成するとともに、前記複数の指標の何れかが所定範囲内の値を示すか否かに基づいて、前記照合情報についての認証を行う判定処理と、
　をコンピュータに実行させる照合プログラムが格納された非一時的なコンピュータ可読媒体。