WO2023119639A1

WO2023119639A1 - 生体認証装置、生体認証方法及び生体認証プログラム

Info

Publication number: WO2023119639A1
Application number: PCT/JP2021/048268
Authority: WO
Inventors: 俊日夏
Original assignee: 三菱電機株式会社
Priority date: 2021-12-24
Filing date: 2021-12-24
Publication date: 2023-06-29
Also published as: JP7101922B1; JPWO2023119639A1

Abstract

計測部（２１）は、生体情報を計測する。認証処理部（２２）は、計測部（２１）によって計測された生体情報である第１生体情報から、生体の個体に応じて異なる認証情報を生成して、認証情報に基づき認証可否を判定する。継続処理部（２３）は、認証処理部（２２）によって認証可と判定された認証状態において計測された生体情報である第２生体情報を用いて、認証状態の継続可否を判定する。継続処理部（２３）は、認証処理部（２２）による認証可否の判定とは異なる方法により継続可否を判定する。正当性検証部（２４）は、継続処理部（２３）によって繰り返し継続可否が判定された結果に基づき、前記生体情報の正当性を保証する。

Description

生体認証装置、生体認証方法及び生体認証プログラム

　本開示は、生体情報に基づき継続的な認証をする技術に関する。

　生体情報を計測する計測デバイスが普及してきている。それに伴い生体情報の活用が進んでいる。例えば、顔認証又は指紋認証等の認証手法を基にしたサービスと、健康増進型保険等の健康情報を基にしたサービスとが実現又は検討されている。

　計測デバイス又は上述したサービスに対して、なりすまし又は利益不正獲得が起こり得る。例えば、正当な利用者を認証後、利用者の離席時又は計測デバイス取り外し時に攻撃者が計測デバイスを使用する可能性がある。また、計測デバイスに入力される生体情報を人工生成又は改変し、保険会社から利益を不正に取得するといったことが起こり得る。
　したがって、計測デバイス又は上述したサービス利用者の継続的な認証と、生体情報の正当性の保証とを行う技術が必要である。

　生体認証は、（１）センサでの計測、（２）特徴量抽出、（３）テンプレートへの登録及びテンプレートとの照合の手順で構成される。
　現在は、公開鍵暗号を利用した認証方式であるＦＩＤＯが普及している。ＦＩＤＯは、Ｆａｓｔ　ＩＤｅｎｔｉｔｙ　Ｏｎｌｉｎｅの略である。ＦＩＤＯを用いることにより、秘密鍵、生体情報又はＰＩＮ等の機密情報は外部へ送信されないという利点がある。ＰＩＮは、Ｐｅｒｓｏｎａｌ　Ｉｄｅｎｔｉｆｉｃａｔｉｏｎ　Ｎｕｍｂｅｒの略である。しかし、ＦＩＤＯで認証を継続的に実施する場合、指紋等の生体情報又はＰＩＮの入力を繰り返す必要がある。そのため、利用者に入力の手間が生じる。

　利用者が意識することなく計測デバイスによって取得できる生体情報もある。このような生体情報を用いることにより、利用者に入力の手間を生じさせることなく、継続的な認証を実現できる。しかし、生体情報によっては、時間経過又は利用者の運動等に伴って変化する。そのため、生体情報を単純に用いて継続的に認証を行うことは難しい場合がある。

　特許文献１には、利用者が意識することなく取得可能な生体情報を用いて継続的に認証を行うことが記載されている。特許文献１では、前回取得された生体情報をテンプレートとして、テンプレートと取得された生体情報とが比較される。そして、テンプレートとの差異が許容差値以内であれば、認証される。前回取得された生体情報をテンプレートとすることで、時間経過又は利用者の運動等に伴って生体情報が変化した場合でも認証を可能にしている。

　非特許文献１には、攻撃者が利用者の身体に刺激を加えて生体情報を少しずつ改変することが記載されている。

特許６８２４４７８号公報

　非特許文献１に記載されたように、攻撃者によって生体情報が少しずつ改変されるとする。すると、特許文献１に記載されたように、前回取得された生体情報をテンプレートとして用いた場合には、攻撃者による改変が行われた場合にも認証がされてしまう。その結果、改変された、正当でない生体情報が受け入れられてしまう。
　本開示は、生体情報を用いて認証状態の継続可否の判定を行うとともに、生体情報の正当性を保証可能にすることを目的とする。

　本開示に係る生体認証装置は、
　生体情報を計測する計測部と、
　前記計測部によって計測された生体情報である第１生体情報から、生体の個体に応じて異なる認証情報を生成して、前記認証情報に基づき認証可否を判定する認証処理部と、
　前記認証処理部によって認証可と判定された認証状態において計測された前記生体情報である第２生体情報を用いて、前記認証状態の継続可否を繰り返し判定する継続処理部であって、前記認証処理部による前記認証可否の判定とは異なる方法により前記継続可否を判定する継続処理部と、
　前記継続処理部によって繰り返し前記継続可否が判定された結果に基づき、前記生体情報の正当性を保証する正当性検証部と
を備える。

　本開示では、認証状態において計測された第２生体情報を用いて、認証処理部による認証可否の判定とは異なる方法により継続可否が判定される。これにより、認証処理部による認証可否の判定の際に用いられた生体情報が攻撃者によって改変された場合に、認証状態を継続させないようにすることが可能になる。その結果、生体情報を用いて認証状態の継続可否の判定を行うとともに、生体情報の正当性を保証可能にできる。

実施の形態１に係る生体認証装置１０の構成図。実施の形態１に係るデータベースの説明図。既存のＦＩＤＯによる認証処理の説明図。既存のＦＩＤＯによる認証処理のフローチャート。実施の形態１に係る生体認証装置１０の処理の説明図。実施の形態１に係る生体認証装置１０の処理のフローチャート。実施の形態１に係る方法１の説明図。一般的な認証可否の判定処理の説明図。実施の形態１に係る方法１の処理の説明図。実施の形態１に係る方法２の説明図。実施の形態１に係る方法２の処理の説明図。実施の形態１に係る方法３の説明図。実施の形態１に係る方法３の処理の説明図。実施の形態１に係る方法３の改善版の説明図。実施の形態１に係る方法３の改善版の処理の説明図。実施の形態１に係る方法３の改善版の処理のイメージを示す図。実施の形態１に係る非周期性情報の説明図。実施の形態１に係る方法４の処理の説明図。実施の形態１に係る方法４の改善版の処理の説明図。実施の形態２に係る生体認証装置１０の構成図。実施の形態２に係る生体認証装置１０の処理の説明図。実施の形態２に係る生体認証装置１０の処理のフローチャート。実施の形態３に係る生体認証装置１０の構成図。実施の形態３に係る生体認証装置１０の処理の説明図。実施の形態３に係る生体認証装置１０の処理のフローチャート。実施の形態４に係る生体認証装置１０の構成図。実施の形態４に係る生体認証装置１０の処理の説明図。実施の形態４に係る生体認証装置１０の処理のフローチャート。

　実施の形態１．
　＊＊＊構成の説明＊＊＊
　図１を参照して、実施の形態１に係る生体認証装置１０の構成を説明する。
　生体認証装置１０は、コンピュータである。生体認証装置１０は、生体情報を取得可能なセンサを備えたスマート衣服とスマートウォッチとスマートグラスといったウェアラブルデバイスである。あるいは、生体認証装置１０は、スマートフォンとタブレット端末といったモバイル機器であってもよい。あるいは、生体認証装置１０は、カメラ等を備える設置型機器であってもよい。

　生体認証装置１０は、プロセッサ１１と、メモリ１２と、補助記憶装置１３と、センサインタフェース１４と、表示器インタフェース１５と、通信インタフェース１６とを備える。プロセッサ１１は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。

　プロセッサ１１は、プロセッシングを行うＩＣである。ＩＣはＩｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔの略である。プロセッサ１１は、具体例としては、ＣＰＵ、ＤＳＰ、ＧＰＵである。ＣＰＵは、Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔの略である。ＤＳＰは、Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒの略である。ＧＰＵは、Ｇｒａｐｈｉｃｓ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔの略である。

　メモリ１２は、データを一時的に記憶する記憶装置である。メモリ１２は、具体例としては、ＳＲＡＭ、ＤＲＡＭである。ＳＲＡＭは、Ｓｔａｔｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙの略である。ＤＲＡＭは、Ｄｙｎａｍｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙの略である。

　補助記憶装置１３は、データを保管する記憶装置である。補助記憶装置１３は、具体例としては、ＨＤＤである。ＨＤＤは、Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅの略である。また、補助記憶装置１３は、ＳＤ（登録商標）メモリカード、ＣｏｍｐａｃｔＦｌａｓｈ（登録商標）、ＮＡＮＤフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、Ｂｌｕ－ｒａｙ（登録商標）ディスク、ＤＶＤといった可搬記録媒体であってもよい。ＳＤは、Ｓｅｃｕｒｅ　Ｄｉｇｉｔａｌの略である。ＤＶＤは、Ｄｉｇｉｔａｌ　Ｖｅｒｓａｔｉｌｅ　Ｄｉｓｋの略である。

　センサインタフェース１４は、センサ１７と通信するためのインタフェースである。センサ１７は、利用者の生体情報を取得する装置である。センサインタフェース１４は、具体例としては、ＵＳＢのポートである。ＵＳＢは、Ｕｎｉｖｅｒｓａｌ　Ｓｅｒｉａｌ　Ｂｕｓの略である。
　図１では、生体認証装置１０がセンサ１７を備える構成になっている。しかし、センサ１７は、生体認証装置１０の外部に設けられていてもよい。

　表示器インタフェース１５は、処理結果の情報等を表示する表示器と通信するためのインタフェースである。表示器インタフェース１５は、具体例としては、ＨＤＭＩ（登録商標）のポートである。ＨＤＭＩは、Ｈｉｇｈ－Ｄｅｆｉｎｉｔｉｏｎ　Ｍｕｌｔｉｍｅｄｉａ　Ｉｎｔｅｒｆａｃｅの略である。

　通信インタフェース１６は、外部の装置と通信するためのインタフェースである。通信インタフェース１６は、具体例としては、Ｅｔｈｅｒｎｅｔ（登録商標）のポート又は無線通信のアンテナである。
　図１では、センサ１７は、センサインタフェース１４を介してプロセッサ１１に接続されている。しかし、センサ１７が生体認証装置１０の外部に設けられており、無線通信により接続されることも考えられる。この場合には、センサ１７は、通信インタフェース１６を介してプロセッサ１１に接続される。

　生体認証装置１０は、機能構成要素として、計測部２１と、認証処理部２２と、継続処理部２３と、正当性検証部２４とを備える。生体認証装置１０の各機能構成要素の機能はソフトウェアにより実現される。
　補助記憶装置１３には、生体認証装置１０の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ１１によりメモリ１２に読み込まれ、プロセッサ１１によって実行される。これにより、生体認証装置１０の各機能構成要素の機能が実現される。

　メモリ１２又は補助記憶装置１３は、センサ１７によって取得された生体情報から得られた情報等を記憶するデータベースを実現する。例えば、図２に示すように、このデータベースには、利用者及び取得日時毎に、生体情報から生成された第１特徴量及び第２特徴量と、認証可否の判定が行われたか、継続可否の判定が行われたか等が記憶される。なお、上述したデータベースは、メモリ１２と補助記憶装置１３とに分散して実現されてもよい。また、図２では、表形式にデータが記憶される形式が示されている。しかし、データベースの形式はこれに限るものではなく、ＮｏＳＱＬが用いられてもよい。
　また、メモリ１２又は補助記憶装置１３には、後述する処理で使用される秘密鍵が記憶される。

　図１では、プロセッサ１１は、１つだけ示されていた。しかし、プロセッサ１１は、複数であってもよく、複数のプロセッサ１１が、各機能を実現するプログラムを連携して実行してもよい。
　また、図１では、センサ１７は、１つだけ示されていた。しかし、センサ１７は、複数であってもよい。例えば、生体認証装置１０は、センサ１７として、加速度センサと温度センサとを備えていてもよい。また、生体認証装置１０は、センサ１７として、２つの加速度センサを備えていてもよい。

　＊＊＊動作の説明＊＊＊
　図３から図１９を参照して、実施の形態１に係る生体認証装置１０の動作を説明する。
　実施の形態１に係る生体認証装置１０の動作手順は、実施の形態１に係る生体認証方法に相当する。また、実施の形態１に係る生体認証装置１０の動作を実現するプログラムは、実施の形態１に係る生体認証プログラムに相当する。

　図３及び図４を参照して、既存のＦＩＤＯによる認証処理を説明する。
　利用者はオンラインサービスへのログイン要求を行う（（１）’、Ｓ００１）。オンラインサービスを提供するサーバは、認証用デバイスに署名要求を行う（（２）’、Ｓ００２）。認証用デバイスは、利用者に認証要求を行う（（３）’、Ｓ００３）。利用者は、認証用の生体情報又はＰＩＮ等の認証情報を提示する（（４）’、Ｓ００４）。認証用デバイスは、認証情報をテンプレートと比較して、認証可否を判定する（Ｓ００５）。認証用デバイスは、認証可と判定された場合（Ｓ００５でＯＫ）、保持している秘密鍵を取り出し、秘密鍵で署名要求に対して署名及び暗号化を行い、署名情報を生成する（（５）’、Ｓ００６）。認証用デバイスは、サーバに署名情報を送信する（（６）’、Ｓ００７）。サーバは署名情報に対して公開鍵による復号及び署名検証を行うことで、正当な利用者であることを確認する（（７）’、Ｓ００８）。これにより、ログイン完了となる（（８）’）。

　図５及び図６を参照して、実施の形態１に係る生体認証装置１０の処理を説明する。
　生体認証装置１０は、認証の回数に応じて判定方法を変更することで、利用者の継続的な認証を実現するとともに、計測している生体情報の正当性を保証する。
　実施の形態１では、普及しているＦＩＤＯとの比較のため、ＦＩＤＯに沿った処理を説明する。しかし、以下に説明するアイデアは、ＦＩＤＯの拡張に限られるものではない。例えば、実施の形態１では、公開鍵暗号を用いるＦＩＤＯに合わせて、公開鍵及び秘密鍵のペアを用いる。しかし、公開鍵及び秘密鍵のペアに代えて、共通鍵を用いてもよい。

　利用者はオンラインサービスへのログイン要求を行う（（１）、Ｓ１０１）。オンラインサービスを提供するサーバは、生体認証装置１０に署名要求を行う（（２）、Ｓ１０２）。生体認証装置１０の計測部２１は、利用者に認証要求を行う（（３）、Ｓ１０３）。利用者は、初回認証用の生体情報を提示する（（４）、Ｓ１０４）。
　実施の形態１では、生体情報は、無意識的かつ時系列的に取得可能な生体信号である。したがって、利用者が生体情報を提示するとは、計測部２１がセンサ１７により利用者の生体情報を計測するという意味である。なお、生体情報は、特定の生体信号に限定されるものではない。例えば、生体情報は、心電図、筋電図、心弾動図、光電容積脈波、呼吸信号又は眼電図等の時系列信号である。あるいは、生体情報は、顔又は指紋等が継続的に撮像された動画像でもよい。

　生体認証装置１０の認証処理部２２は、提示された生体情報である第１生体情報から特徴量を抽出することにより、生体の個体に応じて異なる認証情報を生成する。この際、認証処理部２２は、第１生体情報の全てを特徴量として抽出してもよいし、第１生体情報の一部を特徴量として抽出してもよい。そして、認証処理部２２は、認証情報に基づき認証可否を判定する（Ｓ１０５）。具体的には、認証処理部２２は、認証情報を事前に設定された第１テンプレートと比較して、差異が許容差以内であるか以下かを判定する。認証処理部２２は、差異が許容差以内であれば、認証可と判定する。一方、差異が許容差より大きければ認証不可と判定する。
　生体認証装置１０の認証処理部２２は、認証可と判定された場合（Ｓ１０５でＯＫ）、保持している秘密鍵を取り出し、秘密鍵で署名要求に対して署名及び暗号化を行い、署名情報を生成する（（５）、Ｓ１０６）。生体認証装置１０の認証処理部２２は、サーバに署名情報を送信する（（６）、Ｓ１０７）。サーバは署名情報に対して公開鍵による復号及び署名検証を行うことで、正当な利用者であることを確認する（（７）、Ｓ１０８）。これにより、ログイン完了となる（（８））。

　以上のステップＳ１０１からステップＳ１０８の処理を便宜上初回の認証可否の判定と呼ぶ。しかし、初回の認証可否の判定において、同じ内容での判定を複数回行って、認証可否が判定されてもよい。初回の認証可否の判定でログインが完了すると、処理が次に移行する。

　一定又は無作為に定める時間経過が経過する（Ｓ１０９）。すると、サーバは、認証状態の継続確認を生体認証装置１０に送信する（（９）、Ｓ１１０）。生体認証装置１０の計測部２１は、利用者に継続要求を行う（（１０）、Ｓ１１１）。利用者は、継続用の生体情報を提示する（（１１）、Ｓ１１２）。
　上述した通り、実施の形態１では、生体情報は、無意識的かつ時系列的に取得可能な生体信号である。したがって、利用者が生体情報を提示するとは、計測部２１がセンサ１７により利用者の生体情報を計測するという意味である。

　生体認証装置１０の継続処理部２３は、提示された生体情報である第２生体情報から特徴量を抽出することにより、継続情報を生成する。そして、継続処理部２３は、継続情報に基づき、認証状態の継続可否を判定する（Ｓ１１３）。この際、継続処理部２３は、認証処理部２２による初回の認証可否の判定とは異なる方法により継続可否を判定する。
　生体認証装置１０の継続処理部２３は、継続可と判定された場合（Ｓ１１３でＯＫ）、保持している秘密鍵を取り出し、秘密鍵で署名要求に対して署名及び暗号化を行い、署名情報を生成する（（１２）、Ｓ１１４）。生体認証装置１０の継続処理部２３は、サーバに署名情報を送信する（（１３）、Ｓ１１５）。サーバは署名情報に対して公開鍵による復号及び署名検証を行うことで、正当な利用者であることを確認する（（１４）、Ｓ１１６）。これにより、認証状態が継続される。生体認証装置１０の正当性検証部２４は、初回の認証可否の判定とは異なる方法により継続可と判定されたことにより、ステップＳ１１２で提示された生体情報が正当であると判定する。生体情報が正当であるとは、正当な利用者から、正当な方法により得られたものであるという意味である。そして、処理がステップＳ１０９に戻される。
　なお、生体認証装置１０の継続処理部２３は、継続不可と判定された場合（Ｓ１１３でＮＧ）、処理を終了する。なお、継続処理部２３は、継続不可と判定された場合（Ｓ１１３でＮＧ）、処理をステップＳ１０３に戻して、初回の認証可否の判定を再度行わせてもよい。

　以上のステップＳ１０９からステップＳ１１６の処理を便宜上２回目以降の継続可否の判定と呼ぶ。しかし、２回目以降の継続可否の判定において、同じ内容での判定を複数回行って、継続可否が判定されてもよい。

　ステップＳ１１３における処理を説明する。ステップＳ１１３では、認証処理部２２による初回の認証可否の判定とは異なる方法により継続可否を判定する。そして、正当性検証部２４は、継続可と判定されたことにより、ステップＳ１１２で提示された生体情報が正当であると判定する。特に、正当性検証部２４は、継続可否の判定が繰り返し行われた結果に基づき、生体情報が正当であると判定する。
　そのため、ステップＳ１１３では、継続可否を判定でき、かつ、継続可と判定された場合に生体情報が正当であると判定可能な方法が用いられる。実施の形態１では、方法１から方法４の４つの方法について説明する。なお、ステップＳ１１３では、４つの方法のうちいずれか１つが採用されてもよい。あるいは、４つの方法のうち２つ以上が組み合わされて採用されてもよい。

　＜方法１：使用する特徴量を変更＞
　継続処理部２３は、使用する特徴量の内容又は個数を変更する。
　図７に示すように、生体信号の１周期分から特徴量を抽出するとする。初回の認証を行ってから利用者の生体信号が変化する。継続可否の判定では、特徴量を少なくしても、利用者が変わっていないということは判定可能である。そこで、初回の認証可否の判定では多くの特徴量を使用し、２回目以降の継続可否の判定では少ない特徴量を使用することが考えられる。

　図８及び図９を参照して具体的に説明する。
　図８を参照して、一般的な認証可否の判定処理を説明する。
　事前に登録の処理が実行される。登録の処理では、センサにより計測された生体情報から特徴量が抽出される。そして、抽出された特徴量がテンプレートとして設定される。認証可否の判定では、センサにより計測された生体情報から特徴量が抽出される。この際、特徴量は、登録の処理と同じ方法で抽出される。そして、抽出された特徴量がテンプレートと比較される。特徴量とテンプレートとの差異が許容差以内であるか否かにより、認証可否が判定される。

　図９を参照して、方法１の処理を説明する。
　図９では、図８に示す認証可否の判定と比較して特徴的な処理が太枠で示されている。
　図９では、テンプレートの設定については省略されている。方法１の処理では、事前に、初回用のテンプレートと、継続用のテンプレートとが設定される。初回用のテンプレートは、初回用の特徴量と同じ方法により抽出された特徴量である。継続用のテンプレートは、継続用の特徴量と同じ方法により抽出された特徴量である。
　図６のステップＳ１０５では、認証処理部２２は、センサ１７によって取得された第１生体情報から初回用の特徴量を抽出して認証情報を生成する。そして、認証処理部２２は、認証情報と、事前に設定された初回用のテンプレートとを比較する。認証処理部２２は、認証情報とテンプレートとの差異が許容差以内であるか否かにより、認証可否を判定する。
　一方、図６のステップＳ１１３では、継続処理部２３は、センサ１７によって取得された第２生体情報から継続用の特徴量を抽出して継続情報を生成する。継続用の特徴量は、初回用の特徴量と内容又は個数が異なる。上述したように、継続用の特徴量は、初回用の特徴量よりも少ない個数にすることが考えられる。そして、継続処理部２３は、継続情報と、事前に設定された継続用のテンプレートとを比較する。継続処理部２３は、継続情報とテンプレートとの差異が許容差以内であるか否かにより、継続可否を判定する。

　なお、ここでは、初回用の特徴量と継続用の特徴量とを異なる内容又は個数にした。しかし、継続用の特徴量を、継続可否の判定の回数に応じて異なる内容又は個数にしてもよい。

　＜方法２：生体情報の期間を変更＞
　継続処理部２３は、使用する生体情報の期間を変更する。期間は、周期的な生体信号であれば、周期の数である。周期的な生体信号とは、心拍又は呼吸等の人間の生理現象に基づいて繰り返される類似波形の信号である。また、期間は、１０秒のように決められた時間であってもよい。
　継続可否の判定では、生体情報の量を少なくしても、利用者が変わっていないということは判定可能である。そこで、図１０に示すように、初回の認証可否の判定では複数の周期分の生体情報もしくは特徴量を使用し、２回目以降の継続可否の判定では１周期分の生体情報もしくは特徴量を使用することが考えられる。図１０では、初回の認証可否の判定では３周期分の生体情報もしくは特徴量が使用されている。
　なお、ここでは、２回目以降の継続可否の判定では１周期分の生体情報もしくは特徴量が使用されるとした。しかし、２回目以降の継続可否の判定では、初回の認証可否の判定で使用する周期と異なる周期分の生体情報もしくは特徴量が使用されればよい。そのため、２回目以降の継続可否の判定で２周期分以上の生体情報もしくは特徴量が使用されてもよい。

　図１１を参照して、方法２の処理を説明する。
　図１１では、図８に示す認証可否の判定と比較して特徴的な処理が太枠で示されている。
　図１１では、テンプレートの設定については省略されている。方法２の処理では、事前に、初回用のテンプレートと、継続用のテンプレートとが設定される。初回用のテンプレートは、複数周期分の特徴量である。継続用のテンプレートは、１周期分の特徴量である。
　図６のステップＳ１０５では、認証処理部２２は、センサ１７によって取得された第１期間分（ここでは、複数周期分）の生体情報である第１生体情報から特徴量を抽出して認証情報を生成する。なお、認証処理部２２は、第１生体情報をそのまま認証情報としてもよい。そして、認証処理部２２は、認証情報と、事前に設定された初回用のテンプレートとを比較する。認証処理部２２は、認証情報とテンプレートとの差異が許容差以内であるか否かにより、認証可否を判定する。
　一方、図６のステップＳ１１３では、継続処理部２３は、センサ１７によって取得された第２期間分（ここでは、１周期分）の生体情報である第２生体情報から特徴量を抽出して継続情報を生成する。なお、継続処理部２３は、第２生体情報をそのまま継続情報としてもよい。そして、継続処理部２３は、継続情報と、事前に設定された継続用のテンプレートとを比較する。継続処理部２３は、継続情報とテンプレートとの差異が許容差以内であるか否かにより、継続可否を判定する。

　なお、ここでは、継続可否の判定では１周期分の生体情報もしくは特徴量が使用された。しかし、使用する生体情報の期間を、継続可否の判定の回数に応じて変更してもよい。

　＜方法３：前回の情報との比較＞
　図１２に示すように、継続処理部２３は、新たに得られた情報を、前回の判定で使用された情報と比較することで、継続可否の判定を行う。つまり、継続処理部２３は、認証可否の判定又は継続可否の判定を行う度に、認証情報又は継続情報でテンプレートを更新する。これにより、前回の認証情報又は継続情報との比較により、継続可否の判定がされる。

　図１３を参照して、方法３の処理を説明する。
　図１３では、図８に示す認証可否の判定と比較して特徴的な処理が太枠で示されている。
　図６のステップＳ１０５では、認証処理部２２は、センサ１７によって取得された生体情報である第１生体情報から特徴量を抽出して認証情報を生成する。なお、認証処理部２２は、第１生体情報をそのまま認証情報としてもよい。そして、認証処理部２２は、認証情報と、事前に設定された初回用のテンプレートとを比較する。認証処理部２２は、認証情報とテンプレートとの差異が許容差以内であるか否かにより、認証可否を判定する。認証可と判定された場合には、認証処理部２２は、認証情報を継続用のテンプレート（第２テンプレート）に設定する。
　図６のステップＳ１１３では、継続処理部２３は、センサ１７によって取得された生体情報である第２生体情報から特徴量を抽出して継続情報を生成する。なお、継続処理部２３は、第２生体情報をそのまま継続情報としてもよい。そして、継続処理部２３は、継続情報と、継続用のテンプレートとを比較する。継続処理部２３は、継続情報とテンプレートとの差異が許容差以内であるか否かにより、継続可否を判定する。継続可と判定された場合には、継続処理部２３は、継続情報を継続用のテンプレートに設定する。つまり、継続処理部２３は、継続情報で継続用のテンプレートを更新する。

　生体情報同士の比較に用いる情報として、複数の生体信号の誤差と、相関係数と、Ｅｕｃｌｉｄｅａｎ　Ｄｉｓｔａｎｃｅ、Ｄｙｎａｍｉｃ　Ｔｉｍｅ　Ｗａｒｐｉｎｇと、Ｃｏｓｉｎｅ　Ｓｉｍｉｌａｒｉｔｙといった指標が挙げられる。
　例えば、初回の認証可否の判定では、認証処理部２２は、１周期分の波形をテンプレートと比較する。その後、認証処理部２２は、その１周期分を継続用のテンプレートとして設定する。継続可否の判定では、継続処理部２３は、継続用のテンプレート（１周期目）と２周期目の波形との間の誤差を計算し、許容差以内であれば継続可と判定する。

　しかし、上述した方法では、初回の認証可否の判定を行った後に、非特許文献１に記載された攻撃がされると対応できない。非特許文献１に記載された攻撃とは、攻撃者が利用者の身体に少しずつ刺激を与えて生体情報を少しずつ改変するような攻撃である。そのため、生体情報の正当性を保証できない可能性がある。
　そこで、図１４に示すように、継続処理部２３は、継続可否の判定の途中における情報を、初回の情報と比較する。これにより、継続可否の判定の途中における生体情報の正当性を保証する。

　図１５及び図１６を参照して、方法３の改善版の処理を説明する。
　図６のステップＳ１０５での処理は、図１３を参照して説明した処理と同じである。
　図６のステップＳ１１３では、図１３を参照して説明した処理と同様の処理を原則として行う。つまり、継続処理部２３は、継続処理部２３は、継続情報と、継続用のテンプレートとを比較し、継続可否を判定する。そして、継続可と判定された場合には、継続処理部２３は、継続情報を継続用のテンプレートに設定する。但し、継続処理部２３は、継続可否の判定の途中で、継続用のテンプレートではなく初回用のテンプレートと継続情報を比較して、継続可否を判定する。つまり、図１６に示すように、継続処理部２３は、継続可否の判定の途中で、処理をステップＳ１０５に戻して、改めて初回の認証可否の判定を行うようなイメージである。
　継続可否の判定の途中は、「１分に１回」又は「２０周期に１回」等の定期的なタイミングである。継続可否の判定の途中は、毎回無作為に決めたタイミングでもよい。また、継続可否の判定の途中は、継続可否の判定に用いるある特徴量が何らかの閾値を超えたタイミングでもよい。

　＜方法４：生体情報に重畳する非周期性情報を利用＞
　継続処理部２３は、生体情報に重畳する非周期性情報を継続の可否判定に利用する。周期性のある生体情報には、生体情報の取得元の利用者と、生体情報の取得に用いられるデバイスとの少なくともいずれかに起因する非周期性情報が重畳する場合がある。図１７に心電図における例を示す。心電図では、発汗により基線が緩やかに変動し得る。また、電極の接触状態により不規則な変形が生じ得る。これらが心電図に重畳する非周期性情報である。このような非周期性情報は、認証可否の判定等においては生体情報に重畳していないことが望ましい。そのため、非周期性情報は生体情報から除去されることが多い。しかし、方法４では、あえて非周期性情報を抽出し、継続可否の判定に利用する。
　具体的には、継続処理部２３は、新たに得られた非周期性情報を、前回の判定で使用された非周期性情報と比較することで、継続可否の判定を行う。つまり、継続処理部２３は、認証可否の判定又は継続可否の判定を行う度に、非周期性情報でテンプレートを更新する。これにより、前回の非周期性情報との比較により、継続可否の判定がされる。
　例えば、初回の認証可否の判定と同時に非周期性情報である基線の値を継続用のテンプレートとして保存しておく。その後、継続可否の判定時に得られた基線の値でテンプレートを更新しつつ、基線の値に大きな変動があれば、認証状態が打ち切られるという処理が考えられる。

　図１８を参照して、方法４の処理を説明する。
　図１８では、図８に示す認証可否の判定と比較して特徴的な処理が太枠で示されている。
　図６のステップＳ１０５では、認証処理部２２は、センサ１７によって取得された生体情報である第１生体情報から特徴量を抽出して認証情報を生成する。なお、認証処理部２２は、第１生体情報をそのまま認証情報としてもよい。そして、認証処理部２２は、認証情報と、事前に設定された初回用のテンプレートとを比較する。認証処理部２２は、認証情報とテンプレートとの差異が許容差以内であるか否かにより、認証可否を判定する。認証可と判定された場合には、認証処理部２２は、第１生体情報に重畳した非周期性情報を継続用のテンプレート（第２テンプレート）に設定する。
　図６のステップＳ１１３では、継続処理部２３は、センサ１７によって取得された生体情報である第２生体情報に重畳した非周期性情報を抽出する。そして、継続処理部２３は、非周期性情報と、継続用のテンプレートとを比較する。継続処理部２３は、非周期性情報とテンプレートとの差異が許容差以内であるか否かにより、継続可否を判定する。継続可と判定された場合には、継続処理部２３は、非周期性情報を継続用のテンプレートに設定する。つまり、継続処理部２３は、非周期性情報で継続用のテンプレートを更新する。

　なお、非周期性情報の抽出方法としては、生体信号に対する周波数解析を行うといった方法が考えられる。しかし、非周期性情報の抽出方法は、これに限るものではない。

　しかし、方法３の場合と同様に、上述した方法では、初回の認証可否の判定を行った後に、非特許文献１に記載された攻撃がされると対応できない。そこで、継続処理部２３は、継続可否の判定の途中における情報を、初回の情報と比較する。これにより、継続可否の判定の途中における生体情報の正当性を保証する。

　図１９を参照して、方法４の改善版の処理を説明する。
　図６のステップＳ１０５での処理は、図１８を参照して説明した処理と同じである。
　図６のステップＳ１１３では、図１８を参照して説明した処理と同様の処理を原則として行う。つまり、継続処理部２３は、継続処理部２３は、非周期性情報と、継続用のテンプレートとを比較し、継続可否を判定する。そして、継続可と判定された場合には、継続処理部２３は、非周期性情報を継続用のテンプレートに設定する。但し、継続処理部２３は、継続可否の判定の途中で、第２生体情報から、非周期性情報ではなく特徴量を抽出する。そして、継続処理部２３は、抽出された特徴量と、初回用のテンプレートとを比較し、継続可否を判定する。
　継続可否の判定の途中は、「１分に１回」又は「２０周期に１回」等の定期的なタイミングである。継続可否の判定の途中は、毎回無作為に決めたタイミングでもよい。また、継続可否の判定の途中は、継続可否の判定に用いるある特徴量が閾値を超えたタイミングでもよい。

　＊＊＊実施の形態１の効果＊＊＊
　以上のように、実施の形態１に係る生体認証装置１０は、認証状態において計測された第２生体情報を用いて、認証処理部２２による認証可否の判定とは異なる方法により継続可否を判定する。
　これにより、認証処理部２２による認証可否の判定の際に用いられた生体情報が攻撃者によって改変された場合に、認証状態を継続させないようにすることが可能になる。その結果、生体情報を用いて認証状態の継続可否の判定を行うとともに、生体情報の正当性を保証可能にできる。
　また、時間経過又は運動状態等による利用者の生体情報の変化に応じた認証状態の継続可否を行うことが可能となる。そして、必要に応じて認証処理の動作を軽減するという効果を得ることも可能になる。

　生体情報の提示と等は利用者と生体認証装置１０の間で行われる。しかし、実施の形態１に係る生体認証装置１０では、無意識的に取得可能な生体情報を用いることが想定されている。そのため、生体情報の提示のために利用者に手間が生じない。

　＊＊＊他の構成＊＊＊
　＜変形例１＞
　実施の形態１では、各機能構成要素がソフトウェアで実現された。しかし、変形例１として、各機能構成要素はハードウェアで実現されてもよい。この変形例１について、実施の形態１と異なる点を説明する。

　各機能構成要素がハードウェアで実現される場合には、生体認証装置１０は、プロセッサ１１とメモリ１２と補助記憶装置１３とに代えて、電子回路を備える。電子回路は、各機能構成要素と、メモリ１２と、補助記憶装置１３との機能とを実現する専用の回路である。

　電子回路としては、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックＩＣ、ＧＡ、ＡＳＩＣ、ＦＰＧＡが想定される。ＧＡは、Ｇａｔｅ　Ａｒｒａｙの略である。ＡＳＩＣは、Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔの略である。ＦＰＧＡは、Ｆｉｅｌｄ－Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙの略である。
　各機能構成要素を１つの電子回路で実現してもよいし、各機能構成要素を複数の電子回路に分散させて実現してもよい。

　＜変形例２＞
　変形例２として、一部の各機能構成要素がハードウェアで実現され、他の各機能構成要素がソフトウェアで実現されてもよい。

　プロセッサ１１とメモリ１２と補助記憶装置１３と電子回路とを処理回路という。つまり、各機能構成要素の機能は、処理回路により実現される。

　実施の形態２．
　実施の形態２は、サーバに署名情報を送信する際に使用する鍵を使い分ける点が実施の形態１と異なる。実施の形態２では、この異なる点について説明し、同一の点については説明を省略する。

　＊＊＊構成の説明＊＊＊
　図２０を参照して、実施の形態２に係る生体認証装置１０の構成を説明する。
　生体認証装置１０は、機能構成要素として、鍵管理部２５を備える点が図１に示す生体認証装置１０と異なる。鍵管理部２５は、他の機能構成要素と同様に、ソフトウェア又はハードウェアによって実現される。
　鍵管理部２５は、利用者に対応する複数の鍵を管理する。実施の形態２では、実施の形態１と同様に、公開鍵暗号を採用した例を説明する。したがって、実施の形態２では、鍵管理部２５は、利用者に対応する複数の秘密鍵を管理する。複数の秘密鍵は、メモリ１２又は補助記憶装置１３に記憶される。複数の秘密鍵は、メモリ１２と補助記憶装置１３とに分散して記憶されてもよい。

　＊＊＊動作の説明＊＊＊
　図２１及び図２２を参照して、実施の形態２に係る生体認証装置１０の動作を説明する。
　実施の形態２に係る生体認証装置１０の動作手順は、実施の形態２に係る生体認証方法に相当する。また、実施の形態２に係る生体認証装置１０の動作を実現するプログラムは、実施の形態２に係る生体認証プログラムに相当する。

　図２１及び図２２を参照して、実施の形態２に係る生体認証装置１０の処理を説明する。
　実施の形態２では、鍵管理部２５は、複数の鍵として、認証可否の判定で認証可と判定された場合に使用される第１鍵（第１秘密鍵）と、継続可否の判定で継続可と判定された場合に使用される第２鍵（第２秘密鍵）とを管理する。

　図２２のステップＳ２０１からＳ２０５の処理は、図６のＳ１０１からＳ１０５の処理と同じである。また、図２２のステップＳ２０７の処理は、図６のステップＳ１０７の処理と同じである。図２２のステップＳ２０９からステップＳ２１３の処理は、図６のステップＳ１０９からステップＳ１１３の処理と同じである。また、図２２のステップＳ２１５の処理は、図６のステップＳ１１５の処理と同じである。

　ステップＳ２０６では、認証処理部２２は、鍵管理部２５によって管理された第１秘密鍵を取り出し、第１秘密鍵で署名要求に対して署名及び暗号化を行い、署名情報を生成する。ステップＳ２０８では、サーバは署名情報に対して第１秘密鍵に対応する第１公開鍵による復号及び署名検証を行うことで、正当な利用者であることを確認する。

　ステップＳ２１４では、継続処理部２３は、鍵管理部２５によって管理された第２秘密鍵を取り出し、第２秘密鍵で署名要求に対して署名及び暗号化を行い、署名情報を生成する。ステップＳ２１６では、サーバは署名情報に対して第２秘密鍵に対応する第２公開鍵による復号及び署名検証を行うことで、正当な利用者であることを確認する。

　上記説明では、鍵管理部２５は、複数の鍵として、認証可と判定された場合に使用される第１鍵と、継続可と判定された場合に使用される第２鍵とを管理した。しかし、これに限らず、鍵管理部２５は、利用者の状態を表す生体条件毎に鍵を管理してもよい。利用者の状態は、運動状態と、健康状態と、サービスにおいて付与された権限といったものが考えられる。
　この場合には、鍵管理部２５は、認証可と判定された場合及び継続可と判定された場合において、生体情報から利用者が満たす生体条件を特定し、対応する鍵を特定する。そして、認証処理部２２及び継続処理部２３は、鍵管理部２５によって特定された鍵を用いて署名情報を生成する。

　＊＊＊実施の形態２の効果＊＊＊
　以上のように、実施の形態２に係る生体認証装置１０は、サーバに署名情報を送信する際に使用する鍵を使い分ける。これにより、サーバは、署名情報に応じたサービス又は権限の切り替えが可能となる。
　例えば、「体調良好」又は「体調不良」等の体調に応じて情報を利用者に提供するとする。ここでの情報は、例えば、推奨する食事メニューである。この場合に、体調に応じて鍵を使い分けることで、サーバに生体情報を送信することなく、プライバシーを保護した状態でのサービス提供が可能となる。
　また、生体認証装置１０を買い物に利用する場合、初回の認証可否の判定後一定期間のみ支払いを許可し、継続可否の判定後は残高の確認のみ許可するといった制御をするとする。この場合に、認証可と判定されたか、継続可と判定されたかに応じて鍵を使い分けることで、サーバは署名情報に基づき制御を行うことが可能である。つまり、同一利用者内での権限の切り替えを、署名情報に基づきサーバ側で判断することができる。

　なお、実施の形態１では生体情報であっても同じ秘密鍵が取り出される。そのため、偽の生体情報の入力等による秘密鍵漏洩のリスクが高まる。しかし、実施の形態２では鍵を使い分けるためにこのリスクを抑えることができる。

　実施の形態３．
　実施の形態３は、認証状態において再認証条件を満たす場合に、再認証可否を判定する点が実施の形態１，２と異なる。実施の形態３では、この異なる点について説明し、同一の点については説明を省略する。
　実施の形態３では、実施の形態１に変更を加えた場合について説明する。しかし、実施の形態２に変更を加えることも可能である。

　＊＊＊構成の説明＊＊＊
　図２３を参照して、実施の形態３に係る生体認証装置１０の構成を説明する。
　生体認証装置１０は、機能構成要素として、再認証処理部２６を備える点が図１に示す生体認証装置１０と異なる。再認証処理部２６は、他の機能構成要素と同様に、ソフトウェア又はハードウェアによって実現される。
　再認証処理部２６は、認証状態において再認証条件を満たす場合に、再認証可否の判定を行う。再認証処理部２６は、再認証条件を管理する。再認証条件は、利用者によって要求されるサービスの内容等により定められる。再認証条件は、メモリ１２又は補助記憶装置１３に記憶される。

　＊＊＊動作の説明＊＊＊
　図２４及び図２５を参照して、実施の形態３に係る生体認証装置１０の動作を説明する。
　実施の形態３に係る生体認証装置１０の動作手順は、実施の形態３に係る生体認証方法に相当する。また、実施の形態３に係る生体認証装置１０の動作を実現するプログラムは、実施の形態３に係る生体認証プログラムに相当する。

　図２４及び図２５を参照して、実施の形態３に係る生体認証装置１０の処理を説明する。
　実施の形態３では、再認証条件は、利用者によって重要サービスが要求されたことである。重要サービスは、例えば、生体認証装置１０を利用した、店舗での支払いである。

　図２５のステップＳ３０１からステップＳ３０８の処理は、図６のステップＳ１０１からステップＳ１０８の処理と同じである。図２５のステップＳ３０９の処理は、図６のステップＳ１０９からステップＳ１１６の処理と同じである。

　利用者はオンラインサービス中の重要サービスの要求をサーバに対して送信する（（１５）、Ｓ３１０）。すると、再認証条件が満たされる。
　継続可否の判定は、初回の認証可否の判定を行った後の運動状態等を考慮した条件で行われる。そのため、判定の厳格性が下がる可能性がある。したがって、入出金を伴うようなサービスは継続可否の判定のみで実施されることは好ましくない。そこで、サーバは利用者の認証状態を確認する（（１６）、Ｓ３１１）。認証状態は、利用者が初回の認証可否の判定を終えた直後かと、継続可否の判定を終えた後かと、認証状態の持続時間と等を表す。サーバは、認証状態が、重要サービスを提供できる許容範囲内である場合（Ｓ３１２でＯＫ）、重要サービスを提供する。一方、サーバは、認証状態が重要サービスを提供できる許容範囲外である場合（Ｓ３１２でＮＧ）、再認証要求を生体認証装置１０に送信する（（１７）、Ｓ３１３）。なお、サーバは、認証状態が許容範囲を大きく超えるような場合、ここで継続状態自体を打ち切って終了してもよい。

　生体認証装置１０の計測部２１は、利用者に再認証要求を行う（（１８）、Ｓ３１４）。利用者は、再認証用の生体情報を提示する（（１９）、Ｓ３１５）。計測部２１がセンサ１７により利用者の生体情報を計測するという意味である。再認証用の生体情報は、初回の認証可否の判定における第１生体情報と同じでもよいし、異なっていてもよい。

　生体認証装置１０の再認証処理部２６は、提示された生体情報である第３生体情報から特徴量を抽出することにより、生体の個体に応じて異なる再認証情報を生成する。再認証処理部２６は、認証処理部２２と同じ特徴量を抽出して再認証情報を生成してもよい。また、認証処理部２２と異なる特徴量を抽出して再認証情報を生成してもよい。そして、再認証処理部２６は、再認証情報に基づき再認証可否を判定する（Ｓ３１６）。具体的には、再認証処理部２６は、再認証情報を事前に設定された第３テンプレートと比較して、差異が許容差以内であるか以下かを判定する。再認証処理部２６は、差異が許容差以内であれば、再認証可と判定する。一方、差異が許容差より大きければ再認証不可と判定する。
　生体認証装置１０の再認証処理部２６は、再認証可と判定された場合（Ｓ３１６でＯＫ）、保持している秘密鍵を取り出し、秘密鍵で署名要求に対して署名及び暗号化を行い、署名情報を生成する（（２０）、Ｓ３１７）。生体認証装置１０の再認証処理部２６は、サーバに署名情報を送信する（（２１）、Ｓ３１８）。サーバは署名情報に対して公開鍵による復号及び署名検証を行うことで、正当な利用者であることを確認する（（２２）、Ｓ３１９）。サーバは、正当な利用者であることが確認されると、利用者に重要サービスを提供する（（２３））。重要サービスの提供後は、処理がステップＳ３０９に戻される。

　なお、ここで用いられる秘密鍵及び公開鍵のペアは、認証可否の判定後及び継続可否の判定後に用いられるペアと同じでもよい。また、ここで用いられる秘密鍵及び公開鍵のペアは、実施の形態２で説明したように、認証可否の判定後及び継続可否の判定後に用いられるペアと違ってもよい。

　＊＊＊実施の形態３の効果＊＊＊
　以上のように、実施の形態３に係る生体認証装置１０は、認証状態において再認証条件を満たす場合に、再認証可否を判定する。これにより、利用者が認証された状態を維持しつつ、安全に重要サービスを提供することが可能となる。

　実施の形態４．
　実施の形態４は、利用者が複数のデバイスを有しており、他のデバイスとの連携確認を行い、継続可否を判定する点が実施の形態１～３と異なる。実施の形態４では、この異なる点について説明し、同一の点については説明を省略する。
　実施の形態４では、実施の形態１に変更を加えた場合について説明する。しかし、実施の形態２，３に変更を加えることも可能である。

　＊＊＊構成の説明＊＊＊
　図２６を参照して、実施の形態４に係る生体認証装置１０の構成を説明する。
　生体認証装置１０は、機能構成要素として、デバイス連携部２７を備える点が図１に示す生体認証装置１０と異なる。デバイス連携部２７は、他の機能構成要素と同様に、ソフトウェア又はハードウェアによって実現される。
　デバイス連携部２７は、複数のデバイスの間の連携確認を行う。

　＊＊＊動作の説明＊＊＊
　図２７及び図２８を参照して、実施の形態４に係る生体認証装置１０の動作を説明する。
　実施の形態４に係る生体認証装置１０の動作手順は、実施の形態４に係る生体認証方法に相当する。また、実施の形態４に係る生体認証装置１０の動作を実現するプログラムは、実施の形態４に係る生体認証プログラムに相当する。

　図２７及び図２８を参照して、実施の形態４に係る生体認証装置１０の処理を説明する。
　実施の形態４では、利用者は、複数のデバイスを所持しているものとする。利用者が所持するデバイスは、ウェアラブルデバイスとモバイル機器と設置型機器といったいずれの種類であってもよい。実施の形態４では、複数のデバイスのうちのいずれかのデバイスが生体認証装置１０であるとする。

　図２８のステップＳ４０１からステップＳ４１０の処理は、図６のステップＳ１０１からステップＳ１１０の処理と同じである。また、図２８のステップＳ４１２からステップＳ４１７の処理は、図６のステップＳ１１１からステップＳ１１６の処理と同じである。

　ステップＳ４１１では、生体認証装置１０のデバイス連携部２７は、他のデバイスとの連携確認を行う。具体的には、デバイス連携部２７は、他のデバイスと通信し、他のデバイスの状態が適切であることを確認する。
　例えば、デバイス連携部２７は、位置情報サービスから得られる他のデバイスの位置を用いて、生体認証装置１０と他のデバイスとの間の距離を特定する。そして、デバイス連携部２７は、距離が閾値より近ければ状態が適切であると判定する。また、デバイス連携部２７は、センサで取得可能な各デバイスと生体（利用者）との距離を特定してもよい。そして、デバイス連携部２７は、距離が閾値より近ければ状態が適切であると判定してもよい。また、デバイス連携部２７は、他のデバイスの装着又は所持の状態により、状態が適切か否かを判定してもよい。また、デバイス連携部２７は、各デバイスがアクティブ状態か非アクティブ状態かにより、状態が適切か否かを判定してもよい。
　デバイス連携部２７は、状態が適切である場合（Ｓ４１１でＯＫ）、処理をステップＳ４１２に進める。一方、デバイス連携部２７は、状態が適切でない場合（Ｓ４１１でＮＧ）、処理を終了する。なお、デバイス連携部２７は、継続不可と判定された場合（Ｓ４１１でＮＧ）、処理をステップＳ４０３に戻して、初回の認証可否の判定を再度行わせてもよい。

　なお、上記説明では、複数のデバイスのうちのいずれかのデバイスが生体認証装置１０であるとした。複数のデバイスそれぞれが生体認証装置１０であってもよい。この場合には、複数の生体認証装置１０のデバイス連携部２７の間で調整を行い、いずれかの生体認証装置１０が代表して処理を行えばよい。

　＊＊＊実施の形態４の効果＊＊＊
　以上のように、実施の形態４に係る生体認証装置１０は、他のデバイスとの連携確認を行い、継続可否を判定する。これにより、生体情報の正当性をより確かなものにすることが可能である。

　なお、以上の説明における「部」を、「回路」、「工程」、「手順」、「処理」又は「処理回路」に読み替えてもよい。

　以上、本開示の実施の形態及び変形例について説明した。これらの実施の形態及び変形例のうち、いくつかを組み合わせて実施してもよい。また、いずれか１つ又はいくつかを部分的に実施してもよい。なお、本開示は、以上の実施の形態及び変形例に限定されるものではなく、必要に応じて種々の変更が可能である。

　１０　生体認証装置、１１　プロセッサ、１２　メモリ、１３　補助記憶装置、１４　センサインタフェース、１５　表示器インタフェース、１６　通信インタフェース、１７　センサ、２１　計測部、２２　認証処理部、２３　継続処理部、２４　正当性検証部、２５　鍵管理部、２６　再認証処理部、２７　デバイス連携部。

Claims

　生体情報を計測する計測部と、
　前記計測部によって計測された生体情報である第１生体情報から、生体の個体に応じて異なる認証情報を生成して、前記認証情報に基づき認証可否を判定する認証処理部と、
　前記認証処理部によって認証可と判定された認証状態において計測された前記生体情報である第２生体情報を用いて、前記認証状態の継続可否を繰り返し判定する継続処理部であって、前記認証処理部による前記認証可否の判定とは異なる方法により前記継続可否を判定する継続処理部と、
　前記継続処理部によって繰り返し前記継続可否が判定された結果に基づき、前記生体情報の正当性を保証する正当性検証部と
を備える生体認証装置。
　前記認証処理部は、特徴量を前記第１生体情報から抽出することにより、前記認証情報を生成し、
　前記継続処理部は、前記認証処理部によって抽出された特徴量とは異なる内容又は異なる個数の特徴量を前記第２生体情報から抽出することにより、継続情報を生成して、前記継続情報に基づき前記継続可否を判定する
請求項１に記載の生体認証装置。
　前記認証処理部は、前記第１生体情報のうち第１期間分の情報から前記認証情報を生成し、
　前記継続処理部は、前記第２生体情報のうち前記第１期間とは異なる第２期間分の情報から前記認証情報を生成する
請求項１に記載の生体認証装置。
　前記認証処理部は、前記認証情報を事前に設定された第１テンプレートと比較することにより前記認証可否を判定し、認証可と判定された場合に前記認証情報を第２テンプレートとして設定し、
　前記継続処理部は、前記第２生体情報から継続情報を生成して、前記継続情報と前記第２テンプレートとを比較することにより前記継続可否を判定し、継続可と判定された場合に前記継続情報で前記第２テンプレートを更新する
請求項１に記載の生体認証装置。
　前記継続処理部は、あるタイミングになると、前記継続情報を前記第２テンプレートに代えて前記第１テンプレートと比較することにより前記継続可否を判定する
請求項４に記載の生体認証装置。
　前記継続処理部は、前記第２生体情報に重畳して得られる非周期性情報であって、前記第２生体情報の取得元の利用者と、前記第２生体情報の取得に用いられるデバイスとの少なくともいずれかに起因する非周期性情報を用いて、前記継続可否を判定する
請求項１に記載の生体認証装置。
　前記認証処理部は、前記認証情報を事前に設定された第１テンプレートと比較することにより前記認証可否を判定し、
　前記継続処理部は、あるタイミングになると、前記第２生体情報から継続情報を生成して、前記継続情報と前記第１テンプレートとを比較することにより前記継続可否を判定する
請求項６に記載の生体認証装置。
　前記認証処理部は、認証可と判定された場合に、第１鍵を用いて生成された情報を送信し、
　前記継続処理部は、継続可と判定された場合に、前記第１鍵とは異なる第２鍵を用いて生成された情報を送信する
請求項１から７までのいずれか１項に記載の生体認証装置。
　前記生体認証装置は、さらに、
　生体条件毎に鍵を管理する鍵管理部
を備え、
　前記継続処理部は、継続可と判定された場合に、前記鍵管理部によって管理された鍵のうち、前記第２生体情報が満たす生体条件に対応する鍵を用いて生成された情報を送信する
請求項１から７までのいずれか１項に記載の生体認証装置。
　前記生体認証装置は、さらに、
　前記認証状態において再認証条件を満たす場合に、前記計測部によって計測された生体情報である第３生体情報から、生体の個体に応じて異なる再認証情報を生成して、前記再認証情報に基づき再認証可否を判定する
請求項１から９までのいずれか１項に記載の生体認証装置。
　前記生体認証装置は、さらに、
　複数のデバイスの間の連携確認を行うデバイス連携部
を備え、
　前記継続処理部は、前記デバイス連携部によって前記連携確認が行われた場合に、前記複数のデバイスのうちの少なくともいずれかのデバイスを用いて計測された前記第２生体情報を用いて、前記認証状態の継続可否を判定する
請求項１から１０までのいずれか１項に記載の生体認証装置。
　コンピュータが、生体情報を計測し、
　コンピュータが、計測された生体情報である第１生体情報から、生体の個体に応じて異なる認証情報を生成して、前記認証情報に基づき認証可否を判定し、
　コンピュータが、認証可と判定された認証状態において計測された前記生体情報である第２生体情報を用いて、前記認証状態の継続可否を、前記認証可否の判定とは異なる方法により繰り返し判定し、
　コンピュータが、繰り返し前記継続可否が判定された結果に基づき、前記生体情報の正当性を保証する生体認証方法。
　生体情報を計測する計測処理と、
　前記計測処理によって計測された生体情報である第１生体情報から、生体の個体に応じて異なる認証情報を生成して、前記認証情報に基づき認証可否を判定する認証判定処理と、
　前記認証判定処理によって認証可と判定された認証状態において計測された前記生体情報である第２生体情報を用いて、前記認証状態の継続可否を繰り返し判定する継続判定処理であって、前記認証判定処理による前記認証可否の判定とは異なる方法により前記継続可否を判定する継続判定処理と、
　前記継続判定処理によって繰り返し前記継続可否が判定された結果に基づき、前記生体情報の正当性を保証する正当性検証処理と
を行う生体認証装置としてコンピュータを機能させる生体認証プログラム。